firewalls
86 pág.

firewalls


DisciplinaOrganização de Computadores4.933 materiais85.619 seguidores
Pré-visualização5 páginas
da DMZ
Exemplos de ArquiteturasExemplos de ArquiteturasExemplos de Arquiteturas
Multiple-Boxes
42 GSegGSeg
UFRGSUFRGS
Exemplos de ArquiteturasExemplos de ArquiteturasExemplos de Arquiteturas
\u2022\u2022 Screened SubnetScreened Subnet
\u2013 múltiplos níveis de segurança
\u2013 não existe um ponto único de falha
\u2013 o atacante tem que passar pelos dois roteadores para 
chegar na rede interna
\u2013 criação de uma rede perimetral
\u2013 arquitetura apropriada para a maioria dos casos
43 GSegGSeg
UFRGSUFRGS
\u2022\u2022 SplitSplit--Screened SubnetScreened Subnet
\u2013 filtros são semelhantes aos da Screened Subnet
\u2013 filtragem e controle maximizados
\u2013 mais complexo, mais difícil de criar e manter
\u2013 múltiplos níveis de defesa
DMZ
Exemplos de ArquiteturasExemplos de ArquiteturasExemplos de Arquiteturas
Multiple-Boxes
44 GSegGSeg
UFRGSUFRGS
Algumas ConsideraçõesAlgumas ConsideraçõesAlgumas Considerações
\u2022\u2022 Não existem somente as aqui citadasNão existem somente as aqui citadas
\u2022\u2022 Não existe um padrãoNão existe um padrão
\u2022\u2022 Cada ambiente exige um Cada ambiente exige um firewall firewall especialmente especialmente 
projetadoprojetado
\u2022\u2022 Leve em contaLeve em conta
\u2013 necessidade dos seus usuários internos
\u2013 necessidade dos seus usuários externos (ex.: clientes)
\u2013 o quanto crítica é a segurança dos seus sistemas
\u2013 capacidade de investimento
\u2022\u2022 Não é preciso fazer tudo de uma vez, nem se deveNão é preciso fazer tudo de uma vez, nem se deve
ImplementaçãoImplementaçãoImplementação
Vinícius SerafimVinícius Serafim
serafim@serafim@infinf..ufrgsufrgs.br.br
GSegGSegGSeg
UFRGSUFRGSUFRGS
46 GSegGSeg
UFRGSUFRGS
TópicosTópicosTópicos
\u2022\u2022 Software Livre ou Comercial?Software Livre ou Comercial?
\u2022\u2022 Unix, Windows e outras \u201cseitas\u201dUnix, Windows e outras \u201cseitas\u201d
\u2022\u2022 Projetando um FirewallProjetando um Firewall
\u2022\u2022 Mantendo um FirewallMantendo um Firewall
\u2022\u2022 Um caso para não ser seguidoUm caso para não ser seguido
\u2022\u2022 Bastion HostsBastion Hosts
47 GSegGSeg
UFRGSUFRGS
Software Livre ou Comercial?Software Livre ou Comercial?Software Livre ou Comercial?
\u2022\u2022 Qualquer solução exige pelo menos os seguintes Qualquer solução exige pelo menos os seguintes 
conhecimentosconhecimentos
\u2013 como funciona a solução empregada
\u2013 funcionamento dos protocolos a serem filtrados
\u2022\u2022 A escolha depende:A escolha depende:
\u2013 dos recursos disponíveis (humanos e financeiros)
\u2013 das suas necessidades
\u2022\u2022 Os extremos são perniciososOs extremos são perniciosos
\u2013 por que não combinar as melhores de cada um?
48 GSegGSeg
UFRGSUFRGS
Unix, Windows e outras \u201cseitas\u201dUnix, Windows e outras \u201cseitas\u201dUnix, Windows e outras \u201cseitas\u201d
\u2022\u2022 Unix foi um dos primeiros (o primeiro) a fornecer os Unix foi um dos primeiros (o primeiro) a fornecer os 
serviços necessáriosserviços necessários
\u2022\u2022 Hoje temos inúmeras variações do Unix e outros Hoje temos inúmeras variações do Unix e outros 
sistemas operacionais que também fornecem esses sistemas operacionais que também fornecem esses 
serviçosserviços
\u2022\u2022 Dizer que o Windows NT não serve...Dizer que o Windows NT não serve...
\u2013 é um pouco de preconceito
\u2013 e de ignorância
49 GSegGSeg
UFRGSUFRGS
Unix, Windows e outras \u201cseitas\u201dUnix, Windows e outras \u201cseitas\u201dUnix, Windows e outras \u201cseitas\u201d
\u2022\u2022 Usar o NT para construir um Usar o NT para construir um firewall firewall é apenas mais é apenas mais 
difícildifícil
\u2013 Unix foi um dos primeiros a implementar o TCP/IP, o que 
resulta em cerca de 20 anos de uso e correções
\u2013 Já o NT implementou o TCP/IP do zero, erros já corrigidos 
no Unix e que não existiam apareceram
\u2013 O Windows NT é uma caixa preta, as coisas foram feitas 
para funcionarem sem que os administradores saibam como
\u2022\u2022 A máxima: use o que você já conheceA máxima: use o que você já conhece
50 GSegGSeg
UFRGSUFRGS
Projetando um FirewallProjetando um FirewallProjetando um Firewall
\u2022\u2022 EtapasEtapas
\u2013 Definir suas necessidades
\u2013 Avaliar os produtos disponíveis
\u2013 Estudar como juntar os produtos
51 GSegGSeg
UFRGSUFRGS
Projetando um FirewallProjetando um FirewallProjetando um Firewall
\u2022\u2022 Definir suas necessidadesDefinir suas necessidades
\u2013 escolher os produtos a partir das necessidades e não o 
contrário
\u2013 política de segurança, não continue sem ter uma
\u2013 que serviços serão oferecidos
\u2013 qual o nível de segurança necessário
\u2013 qual o tráfego esperado
\u2022 canais disponíveis
\u2022 quantos usuários
\u2022 o que eles irão fazer
\u2013 quanto é possível investir
\u2013 recursos humanos disponíveis
52 GSegGSeg
UFRGSUFRGS
Projetando um FirewallProjetando um FirewallProjetando um Firewall
\u2022\u2022 Avaliar os produtos disponíveisAvaliar os produtos disponíveis
\u2013 escalabilidade
\u2013 disponibilidade e redundância
\u2013 recursos para auditoria
\u2013 custo
\u2022 hardware
\u2022 software
\u2022 suporte e atualizações
\u2022 administração e instalação
\u2013 não procure uma solução perfeita, mas a que melhor atende 
o seu caso em particular
53 GSegGSeg
UFRGSUFRGS
Projetando um FirewallProjetando um FirewallProjetando um Firewall
\u2022\u2022 Estudar como juntar os produtosEstudar como juntar os produtos
\u2013 onde serão armazenados os logs
\u2013 sincronização de relógios
\u2013 como fazer backup
\u2013 como será o acesso para manutenção
\u2013 alguma possível incompatibilidade?
54 GSegGSeg
UFRGSUFRGS
Mantendo um FirewallMantendo um FirewallMantendo um Firewall
\u2022\u2022 BackupBackup
\u2013 proxy
\u2013 filtros de pacotes (seja roteador ou PC)
\u2022\u2022 Gerenciamento de senhasGerenciamento de senhas
\u2013 devem ser bem escolhidas
\u2013 usar uma diferente para cada equipamento
\u2013 altera-las regularmente
\u2013 controlar o tráfego
55 GSegGSeg
UFRGSUFRGS
Mantendo um FirewallMantendo um FirewallMantendo um Firewall
\u2022\u2022 MonitoramentoMonitoramento
\u2013 de recursos do sistema (disco, memória, cpu)
\u2013 de logs
\u2022 alguém tentou varrer as portas de um servidor
\u2022 alguém tentou algum tipo de ataque
\u2022 mensagens de erro
\u2022 pacotes rejeitados
\u2013 um Sistema de Detecção de Intrusão (IDS) pode ser 
utilizado
\u2013 verificar se o sistema foi comprometido
56 GSegGSeg
UFRGSUFRGS
Mantendo um FirewallMantendo um FirewallMantendo um Firewall
\u2022\u2022 AtualizaçãoAtualização
\u2013 Você
\u2022 componente mais importante a ser atualizado
\u2022 novos bugs
\u2022 novos ataques
\u2022 melhoramento de tecnologias
\u2022 novas tecnologias
\u2022 Onde? Na INTERNET (ex.: www.securityfocus.org)
\u2013 Firewall
\u2022 se você já está atualizado o resto é fácil
\u2022 nem sempre a atualização é necessária
\u2022 teste antes de atualizar o firewall em uso
\u2022 todos os testes devem ser feitos off-line
57 GSegGSeg
UFRGSUFRGS
Um caso para não ser seguidoUm caso para não ser seguidoUm caso para não ser seguido
\u2022\u2022 Atacante com conhecimento zero sobre o alvoAtacante com conhecimento zero sobre o alvo
\u2013 dados coletados no DNS
\u2013 portas dos servidores expostos foram varridas sem 
nenhuma preocupação com detecção, e de fato nada foi 
detectado
\u2022\u2022 Encontrado serviço POP vulnerável em um Encontrado serviço POP vulnerável em um FreeBSDFreeBSD
\u2013 exploração da falha resultou em acesso à conta root
\u2013 instalação de backdoor operando em portas acima de 1023, 
roteador não filtrava acima disso
58 GSegGSeg
UFRGSUFRGS
Um caso para não ser seguidoUm caso para não ser seguidoUm caso para não ser seguido
\u2022\u2022 Kernel teve que ser recompilado para habilitar a Kernel teve que ser recompilado para habilitar a 
captura de pacotes da rede por um captura de pacotes da rede por um sniffingsniffing
\u2013 novo kernel instalado e ninguém notou a diferença
\u2013 senhas capturadas
\u2022 SURPRESA!!! Todas as contas root dos servidores vizinhos e 
dos roteadores tinham a mesma senha, e usavam telnet para 
gerenciamento remoto
\u2022\u2022 ResultadosResultados
\u2013 invasão durou mais de 1 ano sem qualquer detecção
\u2013 5 servidores e 2 roteadores completamente comprometidos
\u2013 poderia ter ocorrido uma mudança drástica na vida dos 
administradores
59 GSegGSeg
UFRGSUFRGS
Um caso para não ser seguidoUm caso para não ser seguidoUm caso para não ser seguido
60 GSegGSeg
UFRGSUFRGS
Um caso para não ser seguidoUm caso para não ser seguidoUm caso para não ser seguido
\u2022\u2022 Erros cometidosErros cometidos
\u2013 serviços não foram atualizados (POP)
\u2013 filtro de pacotes mal configurado, possibilitando o backdoor