firewalls
86 pág.

firewalls


DisciplinaOrganização de Computadores4.570 materiais81.645 seguidores
Pré-visualização5 páginas
\u2013 falha no monitoramento
\u2022 varredura de portas
\u2022 logs com o resultado da exploração da vulnerabilidade do POP
\u2022 portas abertas pelo backdoor
\u2022 kernel recompilado
\u2022 instalação e uso do sniffer
\u2013 backup comprometido
\u2013 falha no gerenciamento de senhas
\u2022 uso do telnet, possibilitando a captura de senhas
\u2022 todas as senhas eram iguais
61 GSegGSeg
UFRGSUFRGS
Bastion HostsBastion HostsBastion Hosts
\u2022\u2022 Recomendações geraisRecomendações gerais
\u2013 o SO deve ser instalado a partir de mídias confiáveis (cd 
original do fabricante/distribuidor)
\u2013 serviços que não serão utilizados não devem ser instalados
\u2013 aplicar todos os patches conhecidos
\u2013 configurar mecanismos de segurança (ex.: filtragem local de 
pacotes)
\u2013 todas as configurações devem ser feitas off-line (sem 
contato com a Internet ou qualquer outra rede não confiável)
\u2013 conheça os serviços a serem fornecidos
\u2022 configuração
\u2022 histórico de vulnerabilidades
62 GSegGSeg
UFRGSUFRGS
Bastion HostsBastion HostsBastion Hosts
\u2022\u2022 UNIX UNIX LikeLike
\u2013 Qual UNIX?
\u2022 familiarização versus ferramentas disponíveis
\u2022 distribuições (BSD, Linux)? Somente as mais conhecidas
\u2013 Sistema de Log (syslog)
\u2022 organização dos arquivos de log
\u2022 segurança (integridade dos arquivos de log)
\u2022 log local e remoto
\u2013 Desabilitando serviços
\u2022 /etc/inittab
\u2022 /etc/rc
\u2022 inetd ou xinetd
63 GSegGSeg
UFRGSUFRGS
Bastion HostsBastion HostsBastion Hosts
\u2022\u2022 UNIX UNIX LikeLike
\u2013 Controlando acesso
\u2022 /etc/pam.d
\u2022 TCP Wrapper (/etc/hosts.deny, /etc/hosts.allow)
\u2022 filtragem local de pacotes (ipf, ipchains, netfilter, etc.)
64 GSegGSeg
UFRGSUFRGS
Bastion HostsBastion HostsBastion Hosts
\u2022\u2022 WindowsWindows
\u2013 Qual versão do Windows?
\u2022 3.0, 3.11, 95, 98, *workstation, release candidates: NÃO, 
NUNCA, JAMAIS
\u2022 versões recentes, estáveis e especificamente para servidores, 
ex.: Windows NT Server, Windows 2000 Server
\u2013 Sistema de Log
\u2022 não suporta log remoto
\u2022 perder os últimos registros ou não registrar mais?
65 GSegGSeg
UFRGSUFRGS
Bastion HostsBastion HostsBastion Hosts
\u2022\u2022 WindowsWindows
\u2013 Sistema de Log
\u2022 recomenda-se o uso de programas auxiliares
Para a máquina desligar quando o log encher, basta colocar o valor 1 nesta chave:
\HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\CrashOnAuditFail
Para a máquina desligar quando o log encher, basta colocar o valor 1 nesta chave:
\HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\CrashOnAuditFail
Para trocar a localização dos três arquivos de log (application, system e security):
\HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EventLog
Para trocar a localização dos três arquivos de log (application, system e security):
\HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EventLog
Para não perder os últimos logs: vá no menu de configuração do Visualizador de
eventos (Event Viewe) e selecione a opção \u201cDo Not Overwrite Events\u201d
Para não perder os últimos logs: vá no menu de configuração do Visualizador de
eventos (Event Viewe) e selecione a opção \u201cDo Not Overwrite Events\u201d
66 GSegGSeg
UFRGSUFRGS
Bastion HostsBastion HostsBastion Hosts
\u2022\u2022 WindowsWindows
\u2013 Desabilitando serviços
\u2022 Services control panel
\u2022 Devices control panel (alguns serviços são implementados 
desta maneira)
\u2022 remover o executável? Nem sempre
Lista de todos os serviços em ordem alfabética:
\HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
Lista de todos os serviços em ordem alfabética:
\HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
67 GSegGSeg
UFRGSUFRGS
Bastion HostsBastion HostsBastion Hosts
\u2022\u2022 WindowsWindows
\u2013 Desabilitando serviços
\u2022 O que desabilitar?
\u2013 DNS
\u2013 TCP/IP Printing
\u2013 NetBIOS interface
\u2013 Remote Access Service (só ser for utilizar VPN)
\u2013 Server
\u2013 Simple TCP/IP services (echo, chargen, discard, daytime, quotd)
\u2013 SNMP service (se for utilizar use no mínimo NT4 SP4)
\u2013 Routing (Protocols > TCP/IP > Routing > Enable IP Forwarding)
\u2013 Recomendação: Compre o Resource Kit!!!
Firewalls usando LinuxFirewalls Firewalls usando Linuxusando Linux
Vinícius SerafimVinícius Serafim
serafim@serafim@infinf..ufrgsufrgs.br.br
GSegGSegGSeg
UFRGSUFRGSUFRGS
69 GSegGSeg
UFRGSUFRGS
TópicosTópicosTópicos
\u2022\u2022 IPChainsIPChains
\u2022\u2022 NetFilterNetFilter
70 GSegGSeg
UFRGSUFRGS
IPChainsIPChainsIPChains
\u2022\u2022 Sucessor do Sucessor do ipfwadmipfwadm
\u2022\u2022 Presente no Linux a partir do kernel 2.1.102Presente no Linux a partir do kernel 2.1.102
\u2022\u2022 Estável e seguroEstável e seguro
\u2022\u2022 Não faz Não faz statefull packet inspectionstatefull packet inspection
71 GSegGSeg
UFRGSUFRGS
IPChainsIPChainsIPChains
\u2022\u2022 Listas de regras (Listas de regras (chainschains))
\u2022\u2022 Cada lista tem uma políticaCada lista tem uma política defaultdefault
\u2013 ACCEPT
\u2013 REJECT
\u2013 DENY
\u2022\u2022 Listas podem ser criadas para melhor organizar as Listas podem ser criadas para melhor organizar as 
regrasregras
\u2022\u2022 Cada regra tem um dos seguintes alvosCada regra tem um dos seguintes alvos
\u2013 ACCEPT, REJECT, DENY
\u2013 MASQ
72 GSegGSeg
UFRGSUFRGS
IPChainsIPChainsIPChains
\u2022\u2022 Como os pacotes passam pelos filtros...Como os pacotes passam pelos filtros...
RINPUT FORWARD OUTPUT
Processos Locais
IF IF
73 GSegGSeg
UFRGSUFRGS
IPChainsIPChainsIPChains
\u2022\u2022 ReferênciasReferências
\u2013 Firewall and Proxy Server HOWTO
\u2013 Linux IPCHAINS-HOWTO
\u2013 Linux IP Masquerade HOWTO
\u2013 todos podem ser encontrados em http://www.linuxdoc.org
74 GSegGSeg
UFRGSUFRGS
NetFilterNetFilterNetFilter
\u2022\u2022 Sucessor do Sucessor do IPChainsIPChains
\u2022\u2022 Presente no Linux a partir do kernel série 2.4.xPresente no Linux a partir do kernel série 2.4.x
\u2013 em desenvolvimento, mas já em uso
\u2013 compatível com ipchains e ipfwadm
\u2022\u2022 Statefull Packet InspectionStatefull Packet Inspection
\u2022\u2022 Tabelas (Tabelas (tablestables))
\u2022\u2022 Listas (Listas (chainschains) de Regras) de Regras
75 GSegGSeg
UFRGSUFRGS
NetFilterNetFilterNetFilter
\u2022\u2022 NetFilter FrameworkNetFilter Framework
RPRE_ROUTING FORWARD POST_ROUTING
Processos Locais
LOCAL INPUT LOCAL OUTPUT
IF IF
76 GSegGSeg
UFRGSUFRGS
NetFilterNetFilterNetFilter
\u2022\u2022 Filter TableFilter Table
RPRE_ROUTING FORWARD POST_ROUTINGIF IF
Processos Locais
INPUT OUTPUT
77 GSegGSeg
UFRGSUFRGS
NetFilterNetFilterNetFilter
\u2022\u2022 NAT NAT TableTable
\u2013 Source NAT (S-NAT): Masquerading
\u2013 Destination NAT (D-NAT): balanceamento, transparent 
proxy
D-NAT
D-NAT
S-NAT
RPREROUTING FORWARD POSTROUTINGIF IF
Processos Locais
LOCAL INPUT OUTPUT
78 GSegGSeg
UFRGSUFRGS
NetFilterNetFilterNetFilter
\u2022\u2022 Mangle TableMangle Table
RPREROUTING FORWARD POST_ROUTINGIF IF
Processos Locais
LOCAL INPUT OUTPUT
79 GSegGSeg
UFRGSUFRGS
NetFilterNetFilterNetFilter
\u2022\u2022 Onde buscar mais informações (HOWOnde buscar mais informações (HOW--TOsTOs))
\u2013 http://netfilter.samba.org
Burlando um firewallBurlando um Burlando um firewallfirewall
Vinícius SerafimVinícius Serafim
serafim@serafim@infinf..ufrgsufrgs.br.br
GSegGSegGSeg
UFRGSUFRGSUFRGS
81 GSegGSeg
UFRGSUFRGS
TópicosTópicosTópicos
\u2022\u2022 Uso de portas altasUso de portas altas
\u2022\u2022 Manipulação de portas e endereçosManipulação de portas e endereços
\u2022\u2022 Conexões iniciadas internamenteConexões iniciadas internamente
\u2022\u2022 TunnelingTunneling
82 GSegGSeg
UFRGSUFRGS
Uso de portas altasUso de portas altasUso de portas altas
\u2022\u2022 Portas acima de 1023 são utilizadas para Portas acima de 1023 são utilizadas para 
disponibilização disponibilização de serviçosde serviços
\u2022\u2022 São possíveis devido à falha de configuração ou à São possíveis devido à falha de configuração ou à 
um modelo de política permissivaum modelo de política permissiva
83 GSegGSeg
UFRGSUFRGS
Manipulação de portas e endereçosManipulação de portas e endereçosManipulação de portas e endereços
\u2022\u2022 Uso de uma porta privilegiada como porta de origemUso de uma porta privilegiada como porta de origem
\u2022\u2022 Opção Opção Source RoutingSource Routing do IPdo IP
143.54.90.32 200.202.72.143 192.168.1.10
SRC: 143.54.90.32
DST: 200.202.72.143
OPT: 192.168.1.10
SRC: 143.54.90.32
DST: 192.168.1.10
OPT: 200.202.72.143
84 GSegGSeg
UFRGSUFRGS
Conexões iniciadas internamenteConexões iniciadas internamenteConexões