Pré-visualização5 páginas
da DMZ Exemplos de ArquiteturasExemplos de ArquiteturasExemplos de Arquiteturas Multiple-Boxes 42 GSegGSeg UFRGSUFRGS Exemplos de ArquiteturasExemplos de ArquiteturasExemplos de Arquiteturas \u2022\u2022 Screened SubnetScreened Subnet \u2013 múltiplos níveis de segurança \u2013 não existe um ponto único de falha \u2013 o atacante tem que passar pelos dois roteadores para chegar na rede interna \u2013 criação de uma rede perimetral \u2013 arquitetura apropriada para a maioria dos casos 43 GSegGSeg UFRGSUFRGS \u2022\u2022 SplitSplit--Screened SubnetScreened Subnet \u2013 filtros são semelhantes aos da Screened Subnet \u2013 filtragem e controle maximizados \u2013 mais complexo, mais difícil de criar e manter \u2013 múltiplos níveis de defesa DMZ Exemplos de ArquiteturasExemplos de ArquiteturasExemplos de Arquiteturas Multiple-Boxes 44 GSegGSeg UFRGSUFRGS Algumas ConsideraçõesAlgumas ConsideraçõesAlgumas Considerações \u2022\u2022 Não existem somente as aqui citadasNão existem somente as aqui citadas \u2022\u2022 Não existe um padrãoNão existe um padrão \u2022\u2022 Cada ambiente exige um Cada ambiente exige um firewall firewall especialmente especialmente projetadoprojetado \u2022\u2022 Leve em contaLeve em conta \u2013 necessidade dos seus usuários internos \u2013 necessidade dos seus usuários externos (ex.: clientes) \u2013 o quanto crítica é a segurança dos seus sistemas \u2013 capacidade de investimento \u2022\u2022 Não é preciso fazer tudo de uma vez, nem se deveNão é preciso fazer tudo de uma vez, nem se deve ImplementaçãoImplementaçãoImplementação Vinícius SerafimVinícius Serafim serafim@serafim@infinf..ufrgsufrgs.br.br GSegGSegGSeg UFRGSUFRGSUFRGS 46 GSegGSeg UFRGSUFRGS TópicosTópicosTópicos \u2022\u2022 Software Livre ou Comercial?Software Livre ou Comercial? \u2022\u2022 Unix, Windows e outras \u201cseitas\u201dUnix, Windows e outras \u201cseitas\u201d \u2022\u2022 Projetando um FirewallProjetando um Firewall \u2022\u2022 Mantendo um FirewallMantendo um Firewall \u2022\u2022 Um caso para não ser seguidoUm caso para não ser seguido \u2022\u2022 Bastion HostsBastion Hosts 47 GSegGSeg UFRGSUFRGS Software Livre ou Comercial?Software Livre ou Comercial?Software Livre ou Comercial? \u2022\u2022 Qualquer solução exige pelo menos os seguintes Qualquer solução exige pelo menos os seguintes conhecimentosconhecimentos \u2013 como funciona a solução empregada \u2013 funcionamento dos protocolos a serem filtrados \u2022\u2022 A escolha depende:A escolha depende: \u2013 dos recursos disponíveis (humanos e financeiros) \u2013 das suas necessidades \u2022\u2022 Os extremos são perniciososOs extremos são perniciosos \u2013 por que não combinar as melhores de cada um? 48 GSegGSeg UFRGSUFRGS Unix, Windows e outras \u201cseitas\u201dUnix, Windows e outras \u201cseitas\u201dUnix, Windows e outras \u201cseitas\u201d \u2022\u2022 Unix foi um dos primeiros (o primeiro) a fornecer os Unix foi um dos primeiros (o primeiro) a fornecer os serviços necessáriosserviços necessários \u2022\u2022 Hoje temos inúmeras variações do Unix e outros Hoje temos inúmeras variações do Unix e outros sistemas operacionais que também fornecem esses sistemas operacionais que também fornecem esses serviçosserviços \u2022\u2022 Dizer que o Windows NT não serve...Dizer que o Windows NT não serve... \u2013 é um pouco de preconceito \u2013 e de ignorância 49 GSegGSeg UFRGSUFRGS Unix, Windows e outras \u201cseitas\u201dUnix, Windows e outras \u201cseitas\u201dUnix, Windows e outras \u201cseitas\u201d \u2022\u2022 Usar o NT para construir um Usar o NT para construir um firewall firewall é apenas mais é apenas mais difícildifícil \u2013 Unix foi um dos primeiros a implementar o TCP/IP, o que resulta em cerca de 20 anos de uso e correções \u2013 Já o NT implementou o TCP/IP do zero, erros já corrigidos no Unix e que não existiam apareceram \u2013 O Windows NT é uma caixa preta, as coisas foram feitas para funcionarem sem que os administradores saibam como \u2022\u2022 A máxima: use o que você já conheceA máxima: use o que você já conhece 50 GSegGSeg UFRGSUFRGS Projetando um FirewallProjetando um FirewallProjetando um Firewall \u2022\u2022 EtapasEtapas \u2013 Definir suas necessidades \u2013 Avaliar os produtos disponíveis \u2013 Estudar como juntar os produtos 51 GSegGSeg UFRGSUFRGS Projetando um FirewallProjetando um FirewallProjetando um Firewall \u2022\u2022 Definir suas necessidadesDefinir suas necessidades \u2013 escolher os produtos a partir das necessidades e não o contrário \u2013 política de segurança, não continue sem ter uma \u2013 que serviços serão oferecidos \u2013 qual o nível de segurança necessário \u2013 qual o tráfego esperado \u2022 canais disponíveis \u2022 quantos usuários \u2022 o que eles irão fazer \u2013 quanto é possível investir \u2013 recursos humanos disponíveis 52 GSegGSeg UFRGSUFRGS Projetando um FirewallProjetando um FirewallProjetando um Firewall \u2022\u2022 Avaliar os produtos disponíveisAvaliar os produtos disponíveis \u2013 escalabilidade \u2013 disponibilidade e redundância \u2013 recursos para auditoria \u2013 custo \u2022 hardware \u2022 software \u2022 suporte e atualizações \u2022 administração e instalação \u2013 não procure uma solução perfeita, mas a que melhor atende o seu caso em particular 53 GSegGSeg UFRGSUFRGS Projetando um FirewallProjetando um FirewallProjetando um Firewall \u2022\u2022 Estudar como juntar os produtosEstudar como juntar os produtos \u2013 onde serão armazenados os logs \u2013 sincronização de relógios \u2013 como fazer backup \u2013 como será o acesso para manutenção \u2013 alguma possível incompatibilidade? 54 GSegGSeg UFRGSUFRGS Mantendo um FirewallMantendo um FirewallMantendo um Firewall \u2022\u2022 BackupBackup \u2013 proxy \u2013 filtros de pacotes (seja roteador ou PC) \u2022\u2022 Gerenciamento de senhasGerenciamento de senhas \u2013 devem ser bem escolhidas \u2013 usar uma diferente para cada equipamento \u2013 altera-las regularmente \u2013 controlar o tráfego 55 GSegGSeg UFRGSUFRGS Mantendo um FirewallMantendo um FirewallMantendo um Firewall \u2022\u2022 MonitoramentoMonitoramento \u2013 de recursos do sistema (disco, memória, cpu) \u2013 de logs \u2022 alguém tentou varrer as portas de um servidor \u2022 alguém tentou algum tipo de ataque \u2022 mensagens de erro \u2022 pacotes rejeitados \u2013 um Sistema de Detecção de Intrusão (IDS) pode ser utilizado \u2013 verificar se o sistema foi comprometido 56 GSegGSeg UFRGSUFRGS Mantendo um FirewallMantendo um FirewallMantendo um Firewall \u2022\u2022 AtualizaçãoAtualização \u2013 Você \u2022 componente mais importante a ser atualizado \u2022 novos bugs \u2022 novos ataques \u2022 melhoramento de tecnologias \u2022 novas tecnologias \u2022 Onde? Na INTERNET (ex.: www.securityfocus.org) \u2013 Firewall \u2022 se você já está atualizado o resto é fácil \u2022 nem sempre a atualização é necessária \u2022 teste antes de atualizar o firewall em uso \u2022 todos os testes devem ser feitos off-line 57 GSegGSeg UFRGSUFRGS Um caso para não ser seguidoUm caso para não ser seguidoUm caso para não ser seguido \u2022\u2022 Atacante com conhecimento zero sobre o alvoAtacante com conhecimento zero sobre o alvo \u2013 dados coletados no DNS \u2013 portas dos servidores expostos foram varridas sem nenhuma preocupação com detecção, e de fato nada foi detectado \u2022\u2022 Encontrado serviço POP vulnerável em um Encontrado serviço POP vulnerável em um FreeBSDFreeBSD \u2013 exploração da falha resultou em acesso à conta root \u2013 instalação de backdoor operando em portas acima de 1023, roteador não filtrava acima disso 58 GSegGSeg UFRGSUFRGS Um caso para não ser seguidoUm caso para não ser seguidoUm caso para não ser seguido \u2022\u2022 Kernel teve que ser recompilado para habilitar a Kernel teve que ser recompilado para habilitar a captura de pacotes da rede por um captura de pacotes da rede por um sniffingsniffing \u2013 novo kernel instalado e ninguém notou a diferença \u2013 senhas capturadas \u2022 SURPRESA!!! Todas as contas root dos servidores vizinhos e dos roteadores tinham a mesma senha, e usavam telnet para gerenciamento remoto \u2022\u2022 ResultadosResultados \u2013 invasão durou mais de 1 ano sem qualquer detecção \u2013 5 servidores e 2 roteadores completamente comprometidos \u2013 poderia ter ocorrido uma mudança drástica na vida dos administradores 59 GSegGSeg UFRGSUFRGS Um caso para não ser seguidoUm caso para não ser seguidoUm caso para não ser seguido 60 GSegGSeg UFRGSUFRGS Um caso para não ser seguidoUm caso para não ser seguidoUm caso para não ser seguido \u2022\u2022 Erros cometidosErros cometidos \u2013 serviços não foram atualizados (POP) \u2013 filtro de pacotes mal configurado, possibilitando o backdoor