Baixe o app para aproveitar ainda mais
Prévia do material em texto
29/03/2021 AVA UNINOVE https://ava.uninove.br/seu/AVA/topico/container_impressao.php 1/10 Sistemas de proteção em redes (Firewall, IDS, IPS), conceito de Aplliances DESCREVER OS CONCEITOS DAS FERRAMENTAS DE SEGURANÇA EM REDES: FIREWALL, IDS, IPS E APLLIANCES AUTOR(A): PROF. JOAO DAVID DAMINELLI CABRAL Introdução Antigamente quando pensávamos, principalmente em sistemas de antivírus e firewalls, hoje temos uma preocupação maior e sistemas específicos com finalidades muito bem definidas. Vejamos agora alguns conceitos importantes. O que é um Appliance Um appliance é uma combinação de hardware e software, ou seja, você adquire tudo junto com um objetivo específico, dentre as principais vantagens podemos citar: Ter um sistema operacional totalmente customizado para o hardware e o software. Ter uma função específica não permitindo com que sejam agregadas funções e sistemas extras. Ter uma estabilidade maior, uma vez que tudo foi customizado e a empresa sabe qual o hardware e sistema operacional. Basicamente podemos ter qualquer serviço em um appliance, principalmente recursos de segurança como alguns que veremos a seguir. Firewall A palavra firewall (parede de fogo) é bastante comum no nosso dia a dias, ainda mais em tempos onde a segurança da informação está a cada dia mais em alta, trata-se de uma barreira de proteção, contemplando um conjunto de regras permissivas (que só permitem o que é estritamente permitido) que ajuda a bloquear o acesso de conteúdo malicioso, mas sem impedir que os dados que precisam transitar continuem fluindo. Em inglês, “firewall” é o nome daquelas portas anti-chamas usadas nas passagens para as escadarias em prédios. 29/03/2021 AVA UNINOVE https://ava.uninove.br/seu/AVA/topico/container_impressao.php 2/10 Legenda: ILUSTRAçãO DE FIREWALL O firewall geralmente contempla um software e um hardware ou um appliance e é fundamental para a segurança das redes, uma vez que nele são definidas as regras do que é permitido (se não houver uma regra está automaticamente bloqueado). Com base nisso, um firewall pode ter, por exemplo, uma regra que permita todo o tráfego da rede local que utilize a porta UDP 123, assim como ter uma política que bloqueia qualquer acesso da rede local por meio da porta TCP 25. Legenda: REGRAS DO FIREWALL IDS – Intrusion Detection System (Sistema de Detecção de Intrusão) Os IDS são usados para detectar vários tipos de comportamentos maliciosos que podem comprometer a segurança de um sistema. Eles incluem ataques pela rede contra serviços vulneráveis, como elevação de privilégios, acessos não autorizados e itens maliciosos. Um IDS é composto de diversos componentes: sensores, que geram eventos de segurança; console para monitorar eventos e alertas e controlar os sensores; e um mecanismo central que grava os eventos registrados pelo sensor na base de dados e usa um sistema de regras para gerar alertas a partir dos eventos de segurança recebidos. Uma vez que é detectado alguma intrusão, alertas são enviados, e podem haver dois tipos de resposta, ativa ou passiva. Na ativa, respostas aos incidentes são geradas pelo próprio sistema, enquanto que na passiva, são gerados apenas relatórios para que o administrador venha a tomar as medidas que julgar necessárias. 29/03/2021 AVA UNINOVE https://ava.uninove.br/seu/AVA/topico/container_impressao.php 3/10 Os IDS são divididos em alguns métodos de detecção, como: baseados em assinatura e detecção de anomalias. Intrusos tem assinaturas, como vírus de computadores, que podem ser detectados usando-se software. Tenta-se achar pacotes de dados que contenham quaisquer assinaturas conhecidas relacionadas a intrusos ou anomalias relacionadas a protocolos de Internet. Baseado em um conjunto de assinaturas e regras, o sistema de detecção pode achar atividades suspeitas e gerar alertas. Detecção de intrusos baseadas em anomalias geralmente dependem de anomalias nos pacotes presentes nos cabeçalhos dos pacotes. Em alguns casos esses métodos podem produzir resultados melhores comparados aos IDS baseados em assinaturas. Geralmente, IDS capturam dados da rede e aplicam suas regras a esses dados ou detectam anomalias neles. Os IDS geralmente são apenas passivos, somente observando o sistema e gerando alertas para os responsáveis por este sistema. Porém, em alguns casos, o sistema pode reagir em caso de uma intrusão ser detectada, como por exemplo fechar a conexão, bloquear a partir do firewall ou até mesmo desabilitar uma conta. Legenda: IDS - INTRUSION DETECTION SYSTEM Tipos de IDS Existem 3 tipos de IDS: Baseados na estação 29/03/2021 AVA UNINOVE https://ava.uninove.br/seu/AVA/topico/container_impressao.php 4/10 Os sistemas baseados em estação foram os primeiros tipos de IDS a serem desenvolvidos e implementados. Eles começaram no início dos anos 80. Os IDS de estação podem ser instalados em diferentes tipos de maquinas, como servidores, estações de trabalho e notebook. Esses sistemas coletam e analisam dados originados nos computadores que hospedam um serviço, como servidor de web. Uma vez que o dado é agregado em um dado computador, ele pode ser analisado localmente ou enviado para uma máquina central de análise. Um exemplo de sistema baseado em estação são programas que operam em um sistema e recebem aplicações ou logs do sistema operacional. Esses programas são altamente efetivos para detectar abusos de dentro. Residindo em sistemas confiáveis, eles estão perto dos usuários autênticos da rede. Se um desses usuários tentar realizar alguma atividade desautorizada, o IDS de estação geralmente detecta e coleta a maioria das informações possíveis, da maneira mais rápida. Esse tipo de sistema também é efetivo em detectar modificações em arquivos não autorizadas. Vantagens dos IDS baseados em estação: Como podem monitorar eventos localmente, os IDS de estação conseguem detectar ataques que não conseguem ser detectados por IDS de rede; Trabalham em ambientes onde o trafego seja criptografado, desde que os dados sejam encriptados na estação antes do envio ou decriptados nos host após o recebimento; Não são afetados por switches; Desvantagens dos IDS baseados em estação: São de difícil monitoramento, já que em cada estação deve ser instalado e configurado um IDS; Podem ser desativados por DoS; Recursos computacionais são consumidos nas estações monitoradas, com diminuição do desempenho; O IDS pode ser atacado e desativado, escondendo um ataque, se as fontes de informações residirem na estação monitorada; Alguns IDS de estação comercializados: RealSecure, ITA, Squire, e Entercept. Baseados na rede A maioria dos IDS comerciais é baseada em rede. Os IDS baseados em rede analisam pacotes de dados que trafegam pela rede. Esses pacotes são examinados e algumas vezes comparados com dados empíricos para verificar a sua natureza: maliciosa ou benigna. Pelo fato de serem responsáveis pelo monitoramento da rede, ao invés de uma simples estação, os IDS de rede têm a tendência de serem mais distribuídos do que os IDS baseados em estação. Softwares, ou em alguns casos aparelhos de hardware, residem em um ou mais sistemas conectados numa rede, e são usados para analisar dados, como pacotes de rede. Ao invés de analisar informação que reside e é originada em um computador, IDS de rede usa técnicas como ?packet- sniffing?, para pegar dados do TCP/IP ou pacotes de outros protocolos passando sozinhos pela rede. Essa vigilância das conexões entre computadores faz com que IDS de rede sejam ótimos em detectar tentativas de acesso por fora da rede confiável. Os IDS baseados em rede normalmente consistem em um conjunto de sensores implantado em diversas partes da rede, monitorando o trafego, realizando analises e relatando ataques a uma central. Em geral, IDS de rede são melhores em detectar as seguintes atividades: 29/03/2021 AVA UNINOVE https://ava.uninove.br/seu/AVA/topico/container_impressao.php 5/10 Acesso desautorizadode fora: quando um usuário desautorizado loga com sucesso, ou tenta logar, são melhores monitorados por IDS de estação. Entretanto, detectar usuários desautorizados antes da tentativa de log is melhor realizado por IDS de rede; Denial of Service ( Negação de Serviço ): os pacotes que iniciam esses ataques podem melhor ser percebidos com o uso de IDS de rede; · Vantagens do IDS baseado em rede: Com um bom posicionamento, pode haver apenas poucos IDS instalados para monitorar uma rede grande; Um pequeno impacto é provocado na rede com a instalação desses IDS, pois são passivos, e não interferem no funcionamento da rede; Difíceis de serem percebidos por atacantes e com grande segurança contra-ataques; Desvantagens do IDS baseado em rede: Podem falhar em reconhecer um ataque em um momento de trafego intenso; Em redes mais modernas baseadas em switches, algumas das vantagens desse tipo de IDS não se aplicam; Não conseguem analisar informações criptografadas, sendo um grande problema, visto que muitos atacantes utilizam criptografia em suas invasões; Grande parte não pode informar se o ataque foi ou não bem-sucedido, podendo apenas alertar quando o ataque foi iniciado. Baseados em pilhas Essa é a tecnologia de IDS mais nova e varia bastante de vendedor para vendedor. Este tipo de IDS funciona integrando próximo à pilha TCP/IP, permitindo que pacotes sejam vistos quando eles fazem seu caminho através das camadas OSI. Vendo os pacotes desse jeito permite ao IDS puxar pacotes da pilha antes que o sistema operacional ou a aplicação tenham a chance de processar os pacotes. Esse IDS deve olhar o trafego entrando e saindo do sistema. Monitorando apenas pacotes de rede destinados apenas para uma simples estação, o princípio é fazer com que o IDS tenha baixo overhead suficiente para que todos os sistemas na rede possam rodar esse IDS. IPS – Intrusion Prevention System (Sistema de Prevenção a Intrusão) O IPS, tem a capacidade de identificar uma intrusão, mas além disso, analisar a relevância de cada evento ocorrido e seu risco, e então bloqueá-los, aumentando assim a tradicional técnica de detecção de intrusos. O IPS é uma ferramenta com inteligência na maneira de trabalhar, pois reúne componentes que fazem com que ele se torne um repositório de logs e técnicas avançadas de alertas e respostas, voltadas exclusivamente a tornar o ambiente computacional cada vez mais seguro sem perder o grau de 29/03/2021 AVA UNINOVE https://ava.uninove.br/seu/AVA/topico/container_impressao.php 6/10 disponibilidade que uma rede deve ter. O IPS usa a capacidade de detecção do IDS junto com a capacidade de bloqueio de um firewall, notificando e bloqueando de forma eficaz qualquer tipo de ação suspeita ou indevida e é uma das ferramentas de segurança de maior abrangência, uma vez que seu poder de alertar e bloquear age em diversos pontos de uma arquitetura de rede. Um IPS é instalado como mostrado de forma que o equipamento consegue enxergar todo o tráfego em ambos os sentidos camada de registro para autenticação, comunicação e reportar condições de erro entre elas. Legenda: IPS - INTRUSION PREVENT SYSTEM (SISTEMA DE PREVENçãO A INTRUSãO) ATIVIDADE Qual a definição de um IPS? A. Intrusion Prevent System B. Intrusion Portable System C. Intrusion Detectio System 29/03/2021 AVA UNINOVE https://ava.uninove.br/seu/AVA/topico/container_impressao.php 7/10 D. Intrision Primary System ATIVIDADE A definição "... uma combinação de hardware e software, ou seja, você adquire tudo junto com um objetivo específico." está abordando qual sistema de segurança? A. Firewall B. IPS C. IDS D. Appliance ATIVIDADE Esse sistema geralmente contempla um software e um hardware ou um appliance e é fundamental para a segurança das redes, uma vez que nele são definidas as regras do que é permitido. Estamos falando de A. IDS B. Firewall C. IPS D. Appliance REFERÊNCIA ALVES, Gustavo Alberto. Segurança da informação: uma visão inovadora da gestão. Rio de Janeiro: Ciência Moderna, 2006. CARVALHO, Luciano Gonçalves. Segurança de Redes. Rio de Janeiro: Ciência Moderna Ltda., 2005. GHEORGHE, Lucian. Designing and Implementing Linux Firewalls and Qos using netfilter, iproute2, NAT, and L7-filter. Birmingham: Packt Publishing, 2006. SITES http://forsecurity.blogspot.com.br/2010/06/diferenca-entre-ids-e-ips.html http://www.gta.ufrj.br/grad/07_2/rodrigo_leobons/hids.html 29/03/2021 AVA UNINOVE https://ava.uninove.br/seu/AVA/topico/container_impressao.php 8/10 29/03/2021 AVA UNINOVE https://ava.uninove.br/seu/AVA/topico/container_impressao.php 9/10 29/03/2021 AVA UNINOVE https://ava.uninove.br/seu/AVA/topico/container_impressao.php 10/10
Compartilhar