seguranca_e_firewalls

Prévia do material em texto

Segurança de Sistemas
e Internet Firewalls
Marcos Aguinaldo Forquesato
Centro de Computação
UNICAMP
Por que você precisa de
segurança?
äPara proteger sua rede contra a invasão de
pessoas não autorizadas
ä INTERNET ( NW - Julho/98 )
ä~ 36.739.000 computadores
ä~ 13.062.628 domínios ( nível 3 )
ä ???.???.??? usuários -> 150.000.000 ( 1 % )
ä INTERNET Brasil ( CG )
ä ~ 163.890 computadores
ä ~ 23.941 domínios
ä~ 1.310.001 usuários - Dezembro/97 ( 1 % )
Incidentes nos USA ( CERT ) :
ä 1992 773
ä 1994 2.340
ä 1996 2.573
ä 1997 2.134 ( > 100.000 )
ä 1-3Q 1998 2.497
ä 4 % detectam as tentativas de invasão
ä 40 % dos ataques obtém permissão de
super-usuário
Teste do Departamento de Defesa
( USA - 1995 )
ä 8.932 sistemas participantes
ä 7.860 foram invadidos com sucesso
ä 390 detectaram os ataques
ä apenas 19 relataram os ataques
O que você está tentando
proteger?
äSeus dados
ä Integridade
äPrivacidade
äDisponibilidade
äSeus recursos
äSua reputação
Riscos na Internet
äEstelionato / Sedução / Conto do Vigário
äPerda da Performance
äViolação de direitos autorais
äRepúdio de informações
äFalsos Sites/Identidades
äFraudes
äViolação de correspondência
Contra o que você está tentando
se proteger?
äClasses de Ataques
äRoubo de senhas
äEngenharia Social
äBUG & Backdoors
äFalha de autenticação
äFalha de protocolo
äObtendo Informações
äNegando serviços
Segurança das Contas
äSenhas
äSeleção adequada
äPolíticas para escolha
äVerificação periódica da segurança ( Crack )
äDatas de expiração
ä Contas guest 
ä Contas sem senha
ä Contas de grupo -> Mecanismo de grupos
Segurança do Sistema de
Arquivos
äVerificação periódica dos arquivos com
suid/sgid
äRemova os suids desnecessários dos
filesystems ( locais e remotos )
äACLs
äNunca utilize shell scripts com o suid bit
ä umask ( 027 ou 077 )
äDispositivos
Segurança do Sistema de
Arquivos
äArquivos imutáveis
äMontar filesystems read-only
äNetwork File System (NFS)
ä /etc/exports ( -access )
äRestrição de acesso para o root
änosuid/nodev
äBACKUPs
Monitoração da Segurança
äChecklists diários
ä /etc/passwd ( formato/conteúdo)
äarquivos suid/sgid
äarquivos sem dono
ä .rhosts
äTripwire
äCOPS/Tiger
Auditoria
äLog Host
ä lastlog
ä utmp
äwtmp
ä acct
 Auditoria
ä syslog
ämessages
ä sulog
ä xferlog
Segurança Física
äBackups
äPlano de contingência
ä autologout
ä xautolock
Serviços
ä "r" commands -> SSH
ä /etc/hosts.equiv - $HOME/.rhosts
ä lpd -> LPRng
äNIS
äNFS -> DFS
ä /etc/hosts.lpd
ä fingerd
Serviços
äDNS ( zone transfer )
äTrivial ftp (tftp)
äNNTP/INND
äPOP/IMAP
ä /etc/aliases
äSendmail ( smrsh - procmail )
ämajordomo/petidomo
Serviços
äTerminais seguros
äUUCP
äWorld Wide Web (WWW)
äRode o httpd com o usuário nobody
äCGI scripts
äMonitore as logs ( access.log )
ä anonymous ftp
Internet Firewalls
O que é um Internet Firewall?
äRestringe acessos a um local
cuidadosamente controlado
ä Impede que invasores alcançem
suas demais defesas
äRestringe saídas de um local
cuidadosamente controlado
O que um Firewall pode fazer?
äForçar a política de segurança
äLogar todo tráfego
äLimitar riscos
äUm firewall é um foco de decisões
O que um Firewall não pode
fazer?
äProteger contra pessoas internas
äProteger contra conexões que não
passam por ele
äProteger completamente contra
novos caminhos
Definições
äFiltros de pacotes
äProxy / Aplicação Gateway
Filtros de pacotes
äControle de acesso
äEndereço de origem e destino
äProtocolo ( TCP, UDP ou ICMP )
äPorta de origem e destino ( TCP ou UDP )
äTipo de mensagem ICMP
ä Interface de rede de entrada e saida
äTCP flags
äFragmentos
Proxy / Aplicação Gateway
Proxy / Aplicação Gateway
äRecebe as conexões e repassa a entrada
de dados (input) para o sistema remoto.
A aplicação responde aos proxies que
repassam a saída (output) para o usuário.
äControle de acesso
äVerifica o protocolo de cada aplicação
äLoga o tráfego
äPode possuir mecanismos anti-virus
Proxy / Aplicação Gateway
äExemplos :
äSendmail ( smapd - smtpd/smtpfwdd )
äTelnet gateway
äFTP gateway
äX11 protocol forwarder
äHTTP gateway ( Screening )
Arquiteturas de Firewall
äDual-Homed Host
äScreened Host
ä
 Bastion Host
äScreened Subnet
äRede perimetral ( Zona desmilitarizada )
äBastion Host
äRoteador interno
äRoteador externo
Dual-Homed Gateway
Screened Host
Screened Subnet
 Zona desmilitarizada ( DMZ )
äSubrede localizada entre a
rede externa ( Internet ) e a
rede interna ( rede privada )
äPode ser a terceira interface
de um gateway
Variações sobre as arquiteturas
äMúltiplos bastion hosts
ä Juntar o roteador externo e interno
äMúltiplos roteadores externos
äMúltiplas redes perimetrais
äUsar Dual-Homed Hosts e Screened Subnet
Autenticação
äOne-time passwords
äPrograma/Calculadora
äLista de senhas
äEx: S/Key ( jotp ) - OPIE
äSmart Card
äEx: SecurID
Criptografia
äSimétrica
äAssimétrica
Criptografia Simétrica
Criptografia Assimétrica
Certificação
äVerifica a chave pública
äNecessita de um terceiro elemento ,
conhecido como Autoridade
Certificadora ( CA )
Assinatura Digital
äCertificados são conhecidos como
assinaturas digitais
äA chave pública pode verificar a
integridade de um documento
através da assinatura digital
Network Address Translation
( NAT )
äMecanismo que troca o endereço IP
de máquinas da rede interna
para o endereço do firewall
( ou um range de endereços )
äOs IPs internos não são de
conhecimento público
Administração do Firewall
äAlertas
äAuditoria
äAtendimento a emergências de segurança
Ferramentas
äFerramentas de autenticação
äFerramentas de análise
äFiltros de pacotes
äSistemas proxies
äFerramentas de criptografia
äDaemons
äUtilitários
äProdutos comercias
Ferramentas de autenticação
äTIS Internet Firewall Toolkit
äKerberos
äDCE
Ferramentas de análise
äCOPS / Tiger
äTripwire
äSATAN ( Security Administrator Tool for
Analyzing Networks )
ä ISS ( Internet Security Scanner )
äStrobe
äNessus
Filtros de pacotes
ä IPfilter
ä IPFW
Proxies
äSOCKS
äTIS Internet Firewall Toolkit
äUDP Packet Relayer
ä rinetd
äBjorb/stunnel
Ferramentas de criptografia
äSSH ( Secure Shell )
äSSL ( Secure Socket Lawer ) -
SSLtelnet/SSLftp
äPGP ( Pretty Good Privacy ) - gnupg
Daemons
äwuarchive ftpd
ä gated
äNIS+
äDFS
ä xntpd
Utilitários
äTCPwrapper
ä chrootuid
ä swatch/logsurfer
ä trimlog
ä tcpdump/tcpshow
Produtos comercias
( 38 empresas )
äFirewall-1 ( Checkpoint )
äAltavista Firewall
äGauntlet Firewall ( TIS )
äFirewall Aker ( brasileiro )
Referências
äLivros :
äFirewalls and Internet Security
äBuilding Internet Firewalls
äPractical Unix & Internet Security
äComputer Crime
Referências
äLinks :
äCOAST Homepage - www.cs.purdue.edu/coast
äCERT Coordination Center - www.cert.org
äNIC-BR - www.nic.br
äPangéia - www.pangeia.com.br
Listas
ä seguranca@pangeia.com.br
ä cert-br@pangeia.com.br
ä nbso@nic.br
ä BUGTRAQ@NETSPACE.ORG
ä firewalls@GreatCircle.COM