Baixe o app para aproveitar ainda mais
Prévia do material em texto
Aula 09 Redes de Computadores e Segurança da Informação para Concursos - Curso Regular Professor: André Castro Tecnologia da Informação – Redes de Computadores Curso de Teoria e Exercícios Prof. André Castro ʹ Aula 13 Prof. André Castr o www.estrategiaconcursos.com.br Pág. 1 de 136 AULA 09 SUMÁRIO PÁGINA CRONOGRAMA DO CURSO ................................................................... 2 1. Firewall / Iptables ............................................................................... 3 Principais conceitos ....................................................................... 7 Classificação dos Firewalls ......................................................... 10 Iptables ........................................................................................ 13 Protocolo ICAP ............................................................................ 18 2. Metodologias de Detecção .............................................................. 20 IDS ............................................................................................... 22 IPS ............................................................................................... 25 3. SSL (Security Socket Layer) e TLS (Transport Layer Security) ...... 28 SSL .............................................................................................. 29 TLS .............................................................................................. 32 OpenSSL ..................................................................................... 33 4. IPSeC .............................................................................................. 34 Elementos do IPSec .................................................................... 35 Arquitetura do IPSec ................................................................... 37 5. VPN - Virtual Private Network ......................................................... 40 Aspectos de Segurança .............................................................. 42 LISTA DE EXERCÍCIOS COMENTADOS ............................................... 46 LISTA DE EXERCÍCIOS COMENTADOS COMPLEMENTARES .......... 78 LISTA DE EXERCÍCIOS ........................................................................ 107 LISTA DE EXERCÍCIOS COMPLEMENTARES ................................... 121 GABARITO ............................................................................................ 136 Tecnologia da Informação – Redes de Computadores Curso de Teoria e Exercícios Prof. André Castro ʹ Aula 13 Prof. André Castr o www.estrategiaconcursos.com.br Pág. 2 de 136 CRONOGRAMA DO CURSO AULA CONTEÚDO DATA Aula 0 Demonstrativa Conceitos Básicos de Redes, Meios de Transmissão, Tipos de rede e conexão, Topologias de rede, Classificação das Redes; Transmissão de Sinais; Cabeamento Estruturado. 17/03 Aula 1 Elementos de interconexão de redes de computadores (hubs, bridges, switches, roteadores, gateways). Arquitetura e protocolos de redes de comunicação: modelo de referência OSI e arquitetura TCP/IP; 30/03 Aula 2 Ethernet, ATM, X.25, Frame Relay, outros protocolo; Tecnologias de Redes de Acesso; 12/03 Aula 3 STP e RSTP; 802.1.q (VLAN); 802.1p, 802.1x, EAP, Redes sem Fio e Aspectos de Segurança; 25/03 Aula 4 IPv4 e IPv6; Endereçamento de Rede; ICMP; IGMP; NAT, ARP/RARP; Internet das Coisas; Troca de Tráfego - PTT 10/04 Aula 5 MPLS, TCP; UDP e SCTP; 20/04 Aula 6 HTTP, HTTPS, DHCP, FTP, DNS, SMTP, POP, IMAP, NTP v4; SSH; TELNET; 30/04 Aula 7 Gerenciamento de Redes: SNMP; Ferramentas de Gerenciamento; VPN 10/05 Aula 8 Protocolos de Roteamento – Rip, OSPF, BGP, outros; Protocolos de Roteamento Multicast; VRRP; 20/05 Aula 9 Análise de Tráfego; 30/05 Aula 10 QoS – IntServ e DiffServ; Redes e Protocolos Multimídia; SIP; H.323; MGCP 10/06 Aula 11 X.500 e LDAP; Serviços de Autenticação: Radius, TACACS, TACACS+, Kerberos; NFS, SAMBA e CIFS; 20/06 Aula 12 Conceitos Básicos; Princípios de Segurança; Mecanismos de Segurança; Controle Físico e Lógico. Princípios Normativos. 25/06 Aula 13 Firewall, Proxy, IpTables, IDS/IPS, SELinux, ICAP; SSL/TLS e IPSeC 30/06 Tecnologia da Informação – Redes de Computadores Curso de Teoria e Exercícios Prof. André Castro ʹ Aula 13 Prof. André Castr o www.estrategiaconcursos.com.br Pág. 3 de 136 .Aula 14 Ataques em redes e aplicações corporativas: DDoS, DoS, IP spoofing, port scan, session hijacking, buffer overflow, SQL Injection, cross-site scripting, spear phishing; Malwares; 05/07 Aula 15 Sistemas de Criptografia: Criptografia simétrica e assimétrica. Certificação Digital e assinatura digital; Funções HASH; 12/07 Aula 16 Cluster, GRID e Balanceamento de Carga; Cloud Computing: IaaS, PaaS, SaaS, outros; 19/07 Aula 17 Redes de Armazenamento: SAN, NAS, DAS. Tecnologias, estratégias e Ferramentas de Backup; Tipos de Armazenamento; Deduplicação; ILM 25/07 1. Firewall / Iptables Falaremos agora de um componente de rede extremamente importante sob a ótica da segurança das redes de comunicação, que é o firewall. Esse assunto geralmente é abordado na disciplina de segurança, porém, trataremos dele aqui em nosso curso. A tradução pura do termo Firewall é parede de fogo. Em um cenário natural, temos que ele é o responsável por não deixar o incêndio ser propagado para dentro da rede a qual ele serve como elemento de proteção. Por esse motivo, dizemos que o firewall é o elemento de borda da rede que concentra a entrada e saída dos pacotes da nossa rede. Este é um princípio de segurança conhecido como “choke point” ou ponto único de entrada . A partir desse ponto é possível realizar a monitoração do tráfego, controle, autenticação além da capacidade de se gerar registros (logs), alertas e trilhas de auditoria. A figura abaixo nos traz uma representação de um possível arranjo de topologia de rede: Tecnologia da Informação – Redes de Computadores Curso de Teoria e Exercícios Prof. André Castro ʹ Aula 13 Prof. André Castr o www.estrategiaconcursos.com.br Pág. 4 de 136 Aproveitando a imagem, gostaria de definir outro conceito extremamente importante em uma topologia de rede segura. É a tão conhecida DMZ (Demilitarized Zone) . A ideia é criar uma área de serviços comuns que podem ser acessados tanto por usuário externos (Internet – rede não confiáveis) como por usuários internos (Intranet – rede confiável). A grande vulnerabilidade se encontra nos serviços e servidores que possibilitam acessos externos. Desse modo, tira-se esses servidores da rede interna para, caso esses sejam comprometidos, não necessariamente implica em comprometimento dos usuários e serviços internos. Uma evolução desse modelo é através da utilização de 2 (dois) firewalls conforme arranjo na imagem a seguir: Tecnologia da Informação – Redes de Computadores Curso de Teoria e Exercícios Prof. André Castro ʹ Aula 13 Prof. André Castr o www.estrategiaconcursos.com.br Pág. 5 de 136 Reparem que para um atacante conseguir penetrar na rede através dos servidores da DMZ deverá passar por uma segunda camada de segurança. Esse é um conceito de defesa em profundidade muito utilizado. Em relação à forma de arranjo dos firewalls surgem alguns conceitos que aparecem bastante em prova. São elas: dual-homed host, Screened host, Screened Subnet host. Dual-homed host: É formado por um elemento que atua como firewall e possui duas interfaces, sendo uma para a rede externa e uma para a rede interna. Tecnologia da Informação – Redes de Computadores Curso de Teoria e Exercícios Prof. André Castro ʹ Aula 13 Prof. André Castr o www.estrategiaconcursos.com.brPág. 6 de 136 Screened host : Formado por um firewall e um Bastion host, tipo de servidor que veremos mais à frente. Especificamente customizado para acessos externos a serviços de forma segura. Screened -subnet host: Tem-se o modelo específico de criação de uma subrede de segurança (DMZ) ou rede de perímetro, a partir da utilização de dois firewalls. Essa implementação pode ser dar também de forma virtual, onde, a partir de um único firewall físico, cria-se dois virtuais com interfaces físicas distintas que isolam complemente as redes. Tecnologia da Informação – Redes de Computadores Curso de Teoria e Exercícios Prof. André Castro ʹ Aula 13 Prof. André Castr o www.estrategiaconcursos.com.br Pág. 7 de 136 Retomando então a nossa discussão a respeito do firewall, temos que este deverá ser capaz então de interpretar o tráfego que passa por ele e avaliar se a informação é legítima ou maliciosa. Desse modo, os administradores configuram diversas regras que retratam a política de segurança e acesso da rede corporativa. Existem diversos tipos de firewalls no mercado com as mais diversas características e capacidades. Existe ainda a implementação de firewall em servidores Unix ou Linux. No caso do Linux, temos que o firewall é conhecido como NetFilter e a sua configuração se dá pela ferramenta Iptables. Entretanto, no jargão técnico, diz-se que o firewall do Linux é o próprio Iptables. Veremos algumas características a respeito dele a seguir. Principais conceitos Veremos a seguir diversos conceitos que relacionam os ambientes de segurança e as capacidades dos firewalls. Vamos comentá-las a seguir: Filtros Capacidade de selecionar o tráfego que será aceito ou bloqueado pelo equipamento. Para tanto, deve-se obter informações dos pacotes a partir das informações dos cabeçalhos dos diversos protocolos utilizados. Pode-se inclusive considerar o estado da conexão conforme será visto posteriormente. Tecnologia da Informação – Redes de Computadores Curso de Teoria e Exercícios Prof. André Castro ʹ Aula 13 Prof. André Castr o www.estrategiaconcursos.com.br Pág. 8 de 136 É muito importante deixar claro que em nenhuma aplicação de firewall, nativamente, teremos a característica nativa de antivírus, pois esse não é o papel do firewall. Em soluções modernas, temos a implementação de antivírus de forma conjugada em um mesmo equipamento ou appliance, porém, não é o seu papel nativo. Proxies São elementos que atuam como intermediários em uma comunicação. O proxy pode ser utilizado para uma política de acesso de clientes internos aos serviços externos, bem como para acesso de clientes externos aos serviços internos. Desse modo, não haverá comunicação direta entre os clientes e servidores nas duas perspectivas. Bastion hosts É um servidor especializado para fornecer serviços ao público externo. Desse modo, é muito bem customizado, com regras de segurança mais rígidas que mitiguem os possíveis riscos de comprometimento desses servidores. Como regra, é válido lembrar que deve ser instalado exclusivamente os serviços e recursos necessários para o provimento das funcionalidades esperadas, reduzindo assim as possibilidades de surgimento de vulnerabilidades. HoneyPot É um servidor criado especificamente para obter informações a respeito de possíveis atacantes. A ideia é replicar todos os serviços e principais elementos de implementação de serviços neste servidor, porém, sem dados sigilosos que possam gerar dano ou lesão à instituição. Busca-se ainda deixar algumas vulnerabilidades específicas como atrativos para os atacantes. Além disso, implementa-se uma série de elementos com vistas a monitorar, rastrear e obter o máximo de informações do atacante. Como o próprio nome diz, é um verdadeiro pote de mel para atrair os atacantes! DMZ Conforme já vimos. Também é conhecido como rede de perímetro. Tecnologia da Informação – Redes de Computadores Curso de Teoria e Exercícios Prof. André Castro ʹ Aula 13 Prof. André Castr o www.estrategiaconcursos.com.br Pág. 9 de 136 NAT Apesar de o NAT ter sido criado para resolver o problema de esgotamento de endereços IPv4, o NAT possibilitou a criação de uma camada de segurança através do conceito de segurança por obscuridade. Dessa forma, usuários externos não conseguem identificar em um primeiro momento os endereços internos de uma rede corporativa pois só terá acesso ao endereço público utilizado por essa rede. VPN A rede privada virtual pode ser criada com uma terminação no firewall. Desse modo, podemos exemplificar com dois cenários. No primeiro, pode-se criar um túnel seguro entre os firewalls da matriz e de uma filial permitindo assim a extensão da rede interna da matriz até a rede da filial através da VPN. Outra aplicação seria o estabelecimento de um túnel seguro a partir de um empregado da empresa que esteja externo à rede. Assim, este pode criar um túnel diretamente no firewall da empresa para ter acesso aos recursos internos. É importante mencionarmos ainda alguns tipos de defesa que não são realizados pelo firewall. Dessa forma, um firewall não é um antivírus ou AntiSpam. Caso haja alguma assinatura específica no conteúdo e o firewall possua o recurso DEEP INSPECTION, que veremos mais à frente, pode ser que seja identificado alguns aspectos. Porém, a regra é distinguirmos muito bem esses papéis. Autenticação/certificação Diversos são os requisitos que podem ser considerados para uma autenticação de usuários ou dispositivos. Como exemplo, podemos citar as senhas, certificados digitais, tokens, smartcards ou biometria. Para o caso de certificados digitais pode-se inclusive utiliza a infraestrutura de chaves pública (PKI). É importante mencionar também a importância de se ter uma camada de segurança (firewall) de alta disponibilidade, pois caso esse equipamento dê problema, todo o acesso externo da rede corporativa poderá ser comprometido. Assim, deve-se implementar técnicas de balancea mento de carga e redundância . Tecnologia da Informação – Redes de Computadores Curso de Teoria e Exercícios Prof. André Castro ʹ Aula 13 Prof. André Castr o www.estrategiaconcursos.com.br Pág. 10 de 136 Classificação dos Firewalls Como eu disse antes, os firewalls são definidos por suas diversas capacidades. Estas são representadas a partir de qual camada o firew all atuará . Ou seja, se um firewall atua no nível da camada de rede, este será capaz de interpretar as informações do cabeçalho dos protocolos dessa camada. Se atuar na camada de aplicação, será capaz de interpretar as informações dos cabeçalhos dos protocolos da camada de aplicação e das camadas inferiores. Ou seja, os firewalls de camada superiores possuem as capacidades das camadas inferiores. Quando se agrupa várias características de firewalls distintos, tem-se o conceito de “Hybrid host”. Portanto, vamos conhecê-los: Firewall Bridge Esse tipo de firewall atua na camada de enlace do modelo OSI . Justamente por atuar na camada de enlace, temos que ele não possui um endereço IP. Logo, sua configuração e acesso se dá diretamente no dispositivo, através de uma interface de conexão física ou através do seu endereço MAC estando no mesmo domínio de Broadcast. Algo semelhante acontece quando se deseja acessar um switch L2 para configuração. Desse modo, este tipo de firewall é considerado estratégico por não possuir visibilidade externa frente a sua falta de endereçamento IP, incorrendo em mais uma cada de segurança. Entretanto, perceba que este firewall possui certas limitações a respeito do tipo de informação que ele é capaz de filtrar. Firewall – Filtro de Pacotes Este é otipo mais primitivo de implementação de firewalls. Também conhecido como Firewall estático. Ele atua na camada de rede e é capaz de obter algumas informações a respeito da camada de transporte. A sua capacidade básica seria permitir a filtragem a partir dos endereços de origem e destino, bem como as portas de origem e destino . Desse modo, podemos definir os serviços que serão permitidos a partir das portas de operação. Tecnologia da Informação – Redes de Computadores Curso de Teoria e Exercícios Prof. André Castro ʹ Aula 13 Prof. André Castr o www.estrategiaconcursos.com.br Pág. 11 de 136 Vale mencionar que para o filtro de pacotes, o sentido da informação importa. Logo, deve-se considerar o fluxo de entrada e saída da rede. Entretanto, os filtros de pacotes atuais são capazes de identificar outros parâmetros dos cabeçalhos conforme as figuras a seguir. Os campos escurecidos são aqueles que o firewall do tipo filtro de pacotes considera na sua filtragem. Para o protocolo IP tem-se: Para o protocolo TCP: Para o protocolo UDP: Para o protocolo ICMP: Tecnologia da Informação – Redes de Computadores Curso de Teoria e Exercícios Prof. André Castro ʹ Aula 13 Prof. André Castr o www.estrategiaconcursos.com.br Pág. 12 de 136 Essas características permitem que seja um modelo simples de ser implementado em que os elementos de borda atuais, todos eles já implementam esses recursos do firewall. Veremos que os modelos mais atuais implementam o tipo de firewall statefull. Filtros de Pacotes Baseados em Estados Também conhecidos como filtro de pacotes dinâmicos ou Statefull. Esse tipo de firewall não se restringe à análise dos cabeçalhos conforme vimos anteriormente. Entretanto, é criada e utilizada uma tabela auxiliar conhecida como tabela de estados. Essa tabela armazena os estados de todas as conexões que foram estabelecidas e passam pelo firewall. Nesse sentido, é considerado dinâmico pois uma vez que seja aberto e permitido o primeiro fluxo de informação pelo firewall, ele é inteligente o suficiente para identificar as mensagens posteriores que pertencem ao mesmo fluxo, ou seja, à mesma conexão. Assim, ele abre e fecha as portas que forem necessárias conforme evolução da comunicação. Importante lembrar que quando falamos de conexão estabelecida, estamos falando do protocolo TCP. Entretanto, o firewall statefull utiliza um conceito baseado em contextos que permite a criação de uma conexão virtual para o protocolo UDP, identificando assim fluxos de pacotes UDP que fazem parte de um mesmo serviço. Proxies Os proxies também fazem parte da classificação de firewalls. Estes possue m a capacidade de atuar a nível da camada de aplicação averiguando as informações dos cabeçalhos que fazem parte dessa camada. Um ponto importante é que os firewalls do tipo filtro de pacotes permitem a comunicação direta entre cliente e servidor. Fato que não acontece com o proxy que faz com que sejam estabelecidas duas conexões. Do cliente com o proxy e do proxy com o servidor. Entretanto é importante mencionarmos que o proxy não verifica o conteúdo dos pacotes. Tecnologia da Informação – Redes de Computadores Curso de Teoria e Exercícios Prof. André Castro ʹ Aula 13 Prof. André Castr o www.estrategiaconcursos.com.br Pág. 13 de 136 Tal regra não se aplica às soluções de proxies e firewalls mais modernas. Estes implementam o conceito do DEEP INSPECTION, ou inspeção profunda. Esse recurso permite que seja verificado o conteúdo dos pacotes impedindo, portanto, ataques que se utilizem do conteúdo dos pacotes trafegados . O proxy mais utilizado e criado em Linux é o SQUID. Possui os principais recursos de funcionamento, como regras de filtragem baseados nos endereços URL’s e listas de acesso. Iptables Conforme já adiantei para vocês, o Iptables é a ferramenta ou front-end que implementa o firewall NetFilter de ambientes Linux a partir das soluções de Kernel 2.4. Esse firewall é do tipo filtro de pacotes dinâmico. O NetFilter possui três listas ou cadeias (chains) em que serão aplicadas as regras do firewall. São elas: INPUT – Corresponde ao tráfego destinado ao firewall. Isto é, o tráfego que termina no firewall. Por exemplo, um acesso remoto no firewall para sua configuração. OUTPUT – Corresponde ao tráfego que possui como origem o próprio firewall. Por exemplo, um acesso externo para atualização do repositório de pacotes do firewall. FORWARD – Corresponde ao tráfego que passa pelo firewall. Ele não é nem a origem e nem o destino. Desse modo, sempre que um cliente interno faz a requisição de serviços na Internet ou um cliente externo solicita serviços internos, a cadeia que será analisada é a FORWARD. Assim, cada regra criada deverá ser inserida em alguma das três cadeias apresentadas. Além disso, o IPTABLES trabalha também com três tabelas básicas para armazenamento das informações e operações a serem realizadas pelo firewall, quais sejam: Tecnologia da Informação – Redes de Computadores Curso de Teoria e Exercícios Prof. André Castro ʹ Aula 13 Prof. André Castr o www.estrategiaconcursos.com.br Pág. 14 de 136 Tabela Filter – Essa é a tabela padrão. Aqui são armazenadas todas as regras de filtragem. Tabela Nat – Aqui são armazenadas as regras de aplicações de NAT, ou seja, alterações de endereços de entrar e saída. Tabela Mangle – Armazena informações a respeito da manipulação de pacotes, isto é, caso se deseja alterar alguma flag ou parâmetros dos cabeçalhos. Para referenciar o tipo de tabela ao inserir qualquer comando, utiliza-se o parâmetro “-t”. Caso não seja inserido, utiliza-se a tabela padrão Filter. Algumas questões têm cobrado de forma mais detalhada a utilização e configuração do NAT. Para tanto, é importante entendermos os pontos abaixo. Na maioria dos casos de implementação, tem-se um NAT de diversos IP’s internos utilizando um único IP de saída, podendo este ser dinâmico ou não. Algo semelhante ao que temos em nossas residências com o compartilhamento de diversos dispositivos para acesso à Internet. Para tanto, utiliza-se o conceito de mascaramento ou “masquerade”. Assim, tem-se o exemplo abaixo: iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE Esse comando nos diz que deverá ser inserida a regra acima na tabela NAT ( -t nat). Deve-se utilizar o conceito POSTROUTING, ou seja, aplica- se o NAT após o processamento das regras de filtragem e verificação de regras de roteamento. Além disso, deve-se mascarar os IP’s para o IP da interface de saída ppp0 (-o ppp0 –j masquerade). Desse modo, vamos esclarecer o conceito de POSTROUTING e PREROUTING. Como o Iptables possui a capacidade de modificar a conexão, ou seja, mudar as portas através do NAT, deve-se informar ao KERNEL o momento em que tais mudanças devem ser efetuadas. Existem três Chains: Tecnologia da Informação – Redes de Computadores Curso de Teoria e Exercícios Prof. André Castro ʹ Aula 13 Prof. André Castr o www.estrategiaconcursos.com.br Pág. 15 de 136 PREROUTING - utilizada para manipular endereço e porta de destino para os pacotes de entrada na rede. POSTROUTING – Utilizada para manipular o endereço e porta de origem para os pacotes que saem da rede. OUTPUT – Utilizado para manipular o endereço e porta de destino para os pacotes gerado localmente pelo próprio firewall. Percebam que essa CHAIN tem o mesmo nome do tipo de tráfego verificado anteriormente, entretanto, aqui, estamos falando de regras de NAT. Desse modo, pode-se utilizar a “manha” para decorar a regra acima de que SNAT (source NAT) começa com a letra “S”, logo, deve-seutilizar o POSTROUTING, pois este possui a letra “S”. Meio forçado, certo? Logo vamos tentar entender para facilitar as coisas. Quando um pacote chega no firewall, ele deve passar pelas fases constantes no diagrama abaixo: Desse modo, segundo as regras de NAT, se vamos acessar serviços externos a partir de endereços internos, devemos manipular os endereços e portas de origem. Assim, para sabermos se um host interno pode ou não acessar determinado recurso, devemos verificar as Tecnologia da Informação – Redes de Computadores Curso de Teoria e Exercícios Prof. André Castro ʹ Aula 13 Prof. André Castr o www.estrategiaconcursos.com.br Pág. 16 de 136 informações originais, antes de aplicar o NAT. Por esse motivo, para essa manipulação, deve-se realizar o NAT apenas no POSTROUTING para tratar esses endereços, ou seja, após verificação de regras de filtragem e roteamento. Agora o cenário inverso. Assumindo que algum host externo pretenda acessar algum serviço interno escondido atrás de um NAT. Nesse caso, ele vai apontar para um IP e porta de destino que não correspondem a informações diretas e reais dos servidores, pois estão atrás do NAT. Nesse sentido, deve-se converter esses endereços e portas para posterior análise das regras de filtragem e roteamento, ou seja, deve-se utilizar o PREROUTING para manipular as informações de destino. Ficou claro pessoal? Caso ainda tenham dúvida, leiam novamente esse trecho com mais cautela. Vamos então verificar alguns exemplos de utilização dessas CHAINS. Muita atenção nas interfaces utilizadas em cada uma das CHAINS. Primeiro, vamos verificar a utilização do POSTROUTING para manipulação do SNAT: ## Mudando o endereço de origem para 1.2.3.4 em todos os pacotes que saiam pela interface de saída eth0 # iptables -t nat -A POSTROUTING -o eth0 -j SNAT -- to 1.2.3.4 ## Mudando o endereço de origem para 1.2.3.4, 1.2.3.5 ou 1.2.3.6. Nesse caso, tem-se disponível vários endereços na interface de saída. # iptables -t nat -A POSTROUTING -o eth0 -j SNAT -- to 1.2.3.4-1.2.3.6 ## Mudando o endereço de origem para 1.2.3.4, portas 1-1023 # iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to 1.2.3.4:1-1023 Agora, vamos verificar a utilização do PREROUTING para manipulação do DNAT: Tecnologia da Informação – Redes de Computadores Curso de Teoria e Exercícios Prof. André Castro ʹ Aula 13 Prof. André Castr o www.estrategiaconcursos.com.br Pág. 17 de 136 ## Mudando destino para 5.6.7.8. Utiliza-se a interface de entrada. # iptables -t nat -A PREROUTING -i eth0 -j DNAT --to 5.6.7.8 ## Mudando destino para 5.6.7.8, 5.6.7.9 ou 5.6.7.10. Caso de utilização de um cluster interno que responda por diversos endereços. # iptables -t nat -A PREROUTING -i eth0 -j DNAT --to 5.6.7.8-5.6.7.10 ## Mudando destino do tráfego web para 5.6.7.8, porta 8080. # iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth0 -j DNAT --to 5.6.7.8:8080 ## Redirecionar pacotes locais com destino a 1.2.3.4 para loopback. # iptables -t nat -A OUTPUT -d 1.2.3.4 -j DNAT --to 127.0.0.1 Há um caso especializado de Destination NAT chamado redirecionamento. É uma simples conveniência, a qual equivale a fazer DNAT para o endereço da própria interface de entrada. ## Mandando tráfego web da porta-80 para um proxy interno transparente na porta 3128 # iptables -t nat -A PREROUTING -i eth1 -p tcp -- dport 80 -j REDIRECT --to-port 3128 Veremos algumas questões que dizem respeito ao código de execução dos comandos para criação, alteração ou exclusão das regras de firewall. Complementarei o aprendizado na resolução das questões que abordem esse assunto. Para os alunos que têm disponibilidade para aprofundar o conhecimento, sugiro a leitura do artigo publicado no link a seguir: http://www.vivaolinux.com.br/dica/Comandos-basicos-e-parametros-do- Iptables Tecnologia da Informação – Redes de Computadores Curso de Teoria e Exercícios Prof. André Castro ʹ Aula 13 Prof. André Castr o www.estrategiaconcursos.com.br Pág. 18 de 136 Protocolo ICAP O ICAP (Internet Content Adaptation Protocol) é um protocolo baseado no HTTP. Desse modo, possui as características de ser simples e leve como o HTTP. Ele foi criado originalmente para efetuar chamadas remotas em mensagens HTTP. É baseado em uma estrutura de servidores que permitem a alteração dinâmica do tráfego em cada um desses servidores. Estes são mantidos por diversas empresas, fabricantes e provedores com vistas a criar uma estrutura de troca de informações e adaptação de tráfego para sistemas mais seguros. Este protocolo permite que clientes ICAP enviem requisições para os servidores ICAP objetivando a “adaptação do conteúdo”, ou seja, pode- se verificar a existência de um vírus em um dado arquivo a partir de uma consulta a um servidor ICAP. Geralmente é implementado em servidores que pertencem à DMZ. Permite a criação de uma infraestrutura na Internet única de comunicação, integrando diferentes fabricantes e possibilitando a gerência do conteúdo do tráfego entre diferentes serviços. Tecnologia da Informação – Redes de Computadores Curso de Teoria e Exercícios Prof. André Castro ʹ Aula 13 Prof. André Castr o www.estrategiaconcursos.com.br Pág. 19 de 136 Um assunto que tem aparecido em provas é o SELinux. Já adianto que ele nada tem a ver com a implementação de firewall no Linux, como o Iptables. Em suma, o SELinux é uma extensão de segurança desenvolvida pela NSA, RedHat, entre outros para inserir uma camada de segurança a nível de kernel. O foco de sua aplicação é possibilitar uma maior gerência sobre o controle de acesso ao Sistema Operacional e seus recursos. O bloqueio funciona a nível de usuário e aplicações. Diferentemente do controle de acesso de leitura e escrita de arquivos e diretórios, a mudança nas permissões do SELinux são mais rígidas e burocráticas, exigindo controle de root. Diversas regras já são preestabelecidas conforme política de segurança do Sistema Operacional. O seu controle chega a nível de processos e chamadas a sistemas, contemplando acessos ao hardware, entre outros. Percebam que a profundidade de controle é muito maior do que um simples controle de sistema de arquivos. O SELinux opera em três modos básicos: Enforcing : neste modo as políticas do SELinux são impostas, ou seja, tudo é analisado, e regras vindas do servidor de segurança são aplicadas. Para colocá-lo nesse modo, usa-se o comando “setenforce 1”. Esse é o modo padrão para REDHAT. Permissi ve: aqui as regras não são aplicadas. Mas o SELinux registra as ações, que deviriam ser negadas. Para colocá-lo nesse modo, usa-se o comando #setenforce 0. Este é o modo padrão para debian. Disabled : este, como o nome sugere, desabilita o SELinux. Tem-se ainda o parâmetro audit=1 que registra todas as operações negadas. Tecnologia da Informação – Redes de Computadores Curso de Teoria e Exercícios Prof. André Castro ʹ Aula 13 Prof. André Castr o www.estrategiaconcursos.com.br Pág. 20 de 136 2. Metodologias de Detecção Conversando um pouco mais sobre segurança, abordaremos um tópico que recorrentemente tem sido cobrado em provas, que são as metodologias de detecção/prevenção, bem como suas principais ferramentas. Quando falamos de metodologia, logo nos remetemos ao seu significado de definir método, princípios ou regras que serão a base para determinados procedimentos. Trazendo esse conceito para a área de segurança, nada mais é do que se definir regras que permitirão a detecção de possíveis ataques e invasões não autorizadas. Nesse sentido, vamos definir de imediatoduas bases de conhecimento que são utilizados como parâmetro para nossa conversa ao longo desse capítulo: Base de Conhecimento – A partir de uma lista específica de regras ou assinaturas, pode-se comparar determinados acessos ou pacotes que ali trafegam. Assim, se houver um “hit”, isto é, caso as informações estejam nessa lista, o equipamento poderá tomar alguma atitude. Base de Comportamento – Nesse perfil, temos a análise das características e comportamento dos pacotes ou acessos. A partir de um histórico, pode-se determinar um comportamento considerado normal ou padrão. Caso haja algum acesso ou tráfego de pacote que fuja desse comportamento, considera-se um acesso indevido ou anômalo, cabendo ao equipamento tomar alguma atitude. Para exemplificarmos os conceitos acima, imaginemos que estamos indo a uma festa da elite da sociedade. Assim, trazendo a analogia da “Base de Conhecimento”, teríamos uma lista de nomes e placas de carros que estariam proibidos de entrar na festa. Já com “Base no Comportamento”, a partir do histórico analisado, percebeu-se que todos os convidados chegam com carros importados e com motoristas particulares. Caso cheguemos dirigindo nosso carro popular por conta própria, há uma grande probabilidade de sermos barrados! Tecnologia da Informação – Redes de Computadores Curso de Teoria e Exercícios Prof. André Castro ʹ Aula 13 Prof. André Castr o www.estrategiaconcursos.com.br Pág. 21 de 136 Já trazendo a associação de equipamentos para os conceitos apresentados, temos que o IDS (Intrusion Detection System) atuará na maioria das vezes com “Base de Conhecimento”, enquanto o IPS (Intrusion Prevent System) atuará na maioria das vezes com “Base de Comportamento”. Veremos algumas outras diferenças desses dois posteriormente. Lembremos sempre que o modelo “Base de Conhecimento” se assemelha ao funcionamento de um antivírus. Percebamos que a eficiência desse modelo depende de uma atualização constante da base de assinaturas. Ainda no nosso campo de conceitos, temos alguns termos muito utilizados referenciando a atuação dos equipamentos após análise das informações. São eles: Tráfego Suspeito Detectado – Funcionamento normal do equipamento, onde o tráfego suspeito de fato foi detectado. Tráfego Suspeito não Detectado – Conhecido como “Falso Negativo ”. Ou seja, era para ser acusado como um tráfego suspeito, porém, não foi acusado. Em termos de analogia, imaginem que um penetra tenha entrado na festa sem ser percebido. Tráfego Legítimo que o Equipamento acusa como suspeito – Também conhecido como “Falso Positivo”. Percebam que agora, na nossa analogia, um convidado legítimo foi considerado penetra. Em condições normais e corretas, ele deveria ser capaz de passar sem problemas. Tráfego Legítimo que o Equipamento considera legítimo – E para finalizar, temos o comportamento normal de um tráfego legítimo, passando sem nenhum problema pela linha de defesa do sistema. Vamos discutir agora sobre algumas vantagens e desvantagens de cada modelo. Para o modelo “Base de Conhecimento”. Como pontos positivos, podemos citar a baixa taxa de falsos positivos e o tempo de resposta na análise. Como pontos negativos, podemos citar a dependência da base atualizada, dificultando a detecção de novos tipos de ataques; apesar de ter um bom desempenho, pode ser degradado à medida que se aumenta o número de regras para análise. Tecnologia da Informação – Redes de Computadores Curso de Teoria e Exercícios Prof. André Castro ʹ Aula 13 Prof. André Castr o www.estrategiaconcursos.com.br Pág. 22 de 136 Já o modelo de “Base de Comportamento” que busca desvios de comportamento dos usuários, sistemas e tráfego, foca na análise estatística e heurística. Como ponto positivo podemos citar a capacidade de se detectar novos tipos de ataques, independência de plataforma de Sistema Operacional e/ou arquitetura. Como lado negativo, podemos citar a possibilidade de se gerar muitos falsos positivos com regras mais rígidas de desvios, além de falsos negativos, quando ataques não geram grandes mudanças ou alterações no comportamento. IDS Conforme seu próprio nome diz, é um sistema de detecção de intrusão. Logo, em termos de analogia, devemos sempre lembrar de um alarme. Quando algo acontece, ele acusa a ocorrência, porém, em regra, não atua diretamente. Um dos principais IDS’s utilizados é o SNORT, que acaba funcionand o também como um IPS. O IDS pode ser categorizado ainda em três tipos: NIDS (Network-Based Intrusion Detecction System) – Esses sistemas buscam atuar a nível da rede, analisando o tráfego de entrada e saída. É o tipo mais utilizado. Como vantagens, podemos citar: o Se bem planejado, pode-se utilizar NIDS em pontos estratégicos da rede, reduzindo custos e aumentando o grau de defesa; o Atuando em modo passivo, não impactam no desempenho da rede; o Difíceis de serem detectados por atacantes; Como desvantagens, podemos citar: o Diante de tráfego intenso, pode não ser muito eficiente; o Os switches e roteadores mais modernos já possuem recursos de NIDS embutidos; o Incapacidade de analisar informações criptografadas; o Incapacidade de bloquear o ataque, restando apenas a detecção; HIDS (Host-Based Intrusion Detecction System) – Atuar a nível de um host específico (servidor ou máquina de usuário) buscando Tecnologia da Informação – Redes de Computadores Curso de Teoria e Exercícios Prof. André Castro ʹ Aula 13 Prof. André Castr o www.estrategiaconcursos.com.br Pág. 23 de 136 analisar características de acesso indevido da máquina, como tentativas de mudanças de perfil, variações dos componentes físicos, entre outros. Como vantagens, citamos: o Por monitorarem eventos localmente, os HIDS são capazes de detectar ataques mais específicos quando comparados com os NIDS. o Capacidade de tratar dados criptografados. Na origem antes de ocorrer a criptografia e no destino, após a decriptação. o Não são afetados por elementos de rede como switches ou roteadores. Como desvantagens, podemos citar: o Difícil configuração pois se deve considerar as características de cada estação; o Podem ser derrubados por DoS; o Degradação de desempenho na estação; IDS baseado em pilhas – É um modelo novo de implementação com grande dependência dos fabricantes, variando, portanto, de características. Entretanto, em regras gerais, tem-se a sua integração à pilha TCP/IP, permitindo a análise dos pacotes à medida que estes são desencapsulados nas diversas camadas. Assim, pode-se detectar ataques antes da informação passar para a camada superior, buscando evitar que chega até a aplicação ou Sistema Operacional. Uma observação a acrescentar é a capacidade de um IDS atuar tanto como HIDS e NIDS. Esses são chamados de Hybrid IDS ou IDS híbrido . Além disso das classificações acima, podemos classificar o IDS em categorias conforme seu posicionamento na rede e modo de ação. Em regra, posiciona-se o IDS em paralelo na rede, isto é, ele não afeta o tráfego diretamente, não sendo capaz, portanto, de bloquear o tráfego, conforme verificamos na imagem abaixo: Tecnologia da Informação – Redes de Computadores Curso de Teoria e Exercícios Prof. André Castro ʹ Aula 13 Prof. André Castr o www.estrategiaconcursos.com.br Pág. 24 de 136 Ainda assim, podemos classifica-lo em modo passivo ou reativo. O primeiro, simplesmente identificará o ataque, gerará logs e alertas acusando o acontecido. Caberá então ao administrador de rede atuar para bloquear o ataque. Já em modo reativo, também será capaz de identificar, gerar log e alerta, entretanto, será capaz de enviar comandos para o firewall ou outros sistemas para alterar suas regrasde funcionamento de forma automática para bloquear o ataque. Agora percebam uma coisa, o ataque inicial já ocorreu. Bloqueou-se ataques futuros com a mesma característica, porém, algo danoso já poderá ter ocorrido. Por esse motivo, chamamos de modo reativo. Tecnologia da Informação – Redes de Computadores Curso de Teoria e Exercícios Prof. André Castro ʹ Aula 13 Prof. André Castr o www.estrategiaconcursos.com.br Pág. 25 de 136 IPS Avançando um pouco mais na nossa discussão, chegamos finalmente ao IPS. Muitos consideram como sendo um IDS de posicionamento in-line, capaz de bloquear ataques de forma ativa e preventiva. Vejamos a figura abaixo: E aqui gostaria de trazer para vocês uma dificuldade de entendimento da banca CESPE. O CESPE não considera o procedimento reativo como um tipo de bloqueio de tráfego padrão. Para esta banca, isto é característica do IPS, conforme veremos a seguir. Tecnologia da Informação – Redes de Computadores Curso de Teoria e Exercícios Prof. André Castro ʹ Aula 13 Prof. André Castr o www.estrategiaconcursos.com.br Pág. 26 de 136 Percebam que na própria imagem, muitos já consideram o IDS/IPS como sendo uma única caixa. Ficou claro a diferença do modo ativo do IDS (IPS) com o modo reativo do IDS, pessoal? No primeiro, busca-se evitar que qualquer tipo de ataque aconteça alguma vez, enquanto no segundo, já houve um ataque, cabe agora bloquear posteriormente. Alguns autores ainda trazem a nomenclatura de IDPS, que nada mais é um sistema híbrido que suportam todos os recursos apresentados acima, cabendo ao administrado configurá-lo conforme sua necessidade. Tecnologia da Informação – Redes de Computadores Curso de Teoria e Exercícios Prof. André Castro ʹ Aula 13 Prof. André Castr o www.estrategiaconcursos.com.br Pág. 27 de 136 Para efeito de implementação dos IDS’s, podemos considerar três técnicas básicas que podem ser utilizadas, quais sejam: 1. Port Span: Utiliza-se uma porta do switch com a capacidade de banda maior que as demais portas e redireciona-se todo os tráfego das demais portas a essa porta de maior banda, a qual estará conectada um IDS para coletar os dados e analisá-los. 2. Splitting Wire/Optical TAP: Insere-se um equipamento específico ou um simples hub entre o host que se deseja monitorar o tráfego e o switch com vistas a realizar uma cópia de modo não intrusiva dos dados e remeter a um IDS. 3. Port Mirror: Faz-se o espelhamento de uma porta específica de um switch para um outra porta a qual estará conectada o IDS. Percebam que as três técnicas mantêm o princípio de um IDS de não interferir diretamente no tráfego, ou seja, é um posicionamento paralelo na rede, evitando inclusive que o IDS seja capaz de barrar tráfego indesejado por si só, como faria um IPS posicionado de forma serial. Tecnologia da Informação – Redes de Computadores Curso de Teoria e Exercícios Prof. André Castro ʹ Aula 13 Prof. André Castr o www.estrategiaconcursos.com.br Pág. 28 de 136 3. SSL (Security Socket Layer) e TLS (Transport Layer Security) Este é um assunto cobrado recorrentemente em concursos que contêm a disciplina de segurança. O protocolo SSL surgiu a partir da necessidade de se obter uma comunicação segura em meios compartilhados como a Internet. Em termos práticos, o objetivo era possibilitar a criação de um meio suficientemente seguro para garantir a confidencialidade de transações bancárias que são a base para o comércio eletrônico. Nesse sentido, investiu-se pesado em métodos de criptografia para criação desses túneis. Ao longo do tempo, surgiu então o sucessor do SSL, conhecido como TLS, com algumas diferenças que mencionaremos em momento oportuno. Para termos uma ideia cronológica da evolução desse protocolo, vamos ver a figura a seguir: Um novo conceito que tem aparecido em provas é o WIPS (Wireless Intrusion Prevent System). Esse dispositivo é capaz de monitorar o espectro de ondas de rádio de tal forma que pode-se identificar pontos de acesso que estejam tentando utilizar canais não autorizados. Uma vez que seja detectado, passa-se a atuar normalmente como um IPS, bloqueando o tráfego diretamente ou passando tal função ao firewall da rede. Tecnologia da Informação – Redes de Computadores Curso de Teoria e Exercícios Prof. André Castro ʹ Aula 13 Prof. André Castr o www.estrategiaconcursos.com.br Pág. 29 de 136 Falando agora especificamente das características do SSL, é importante destacarmos que ele permite o envio de informações de forma segura até um destino específico, agregando ainda recursos de autenticidade, integridade e confidencialidade. O intuito de sua criação, era criar uma cada de segurança para que as aplicações como HTTP, POP3 e SMTP pudessem ter tais recursos. Assim, criou-se o SSL de tal modo que fosse independentemente do tipo de protocolo utilizado na camada da aplicação e que pudesse rodar sobre as camadas mais inferiores. Por esse motivo, temos que o SSL se posiciona em uma camada intermediária entre as camadas de aplicações e transporte da arquitetura TCP/IP conforme imagem abaixo: Tecnologia da Informação – Redes de Computadores Curso de Teoria e Exercícios Prof. André Castro ʹ Aula 13 Prof. André Castr o www.estrategiaconcursos.com.br Pág. 30 de 136 O desenvolvimento original foi realizado pela Netscape, chegando a desenvolver três versões do protocolo. Assim, um exemplo de utilização de protocolo é através das comunicações WEB via HTTP de modo seguro, utilizando o SSL. Essas comunicações passam a funcionar em uma porta diferente e são chamadas de HTTPS. Uma característica do SSL é ser transparente ao usuário. Ao trazermos os principais objetivos a serem alcançados pelo SSL, podemos listar: Autenticação entre clientes e servidores; Garantia da Integridade dos dados (caso estes sejam alterados, pode-se detectar facilmente); Garantia da Confidencialidade : As informações transmitidas não podem ser interceptadas e interpretadas devido ao uso da criptografia, devendo ser lida apenas pelo destinatário que possui a chave de sessão. Desse modo, diz-se que o SSL não é um protocolo simples e único, mas sim um conjunto de protocolos auxiliares que atuam em conjunto em prol dos objetivos acima. Esse conjunto de protocolos pode ser dividido em duas camadas: Camada de segurança e integridade dos dados: SSL Record; Camada de conexão SSL: SSL Handshake protocol, SSL ChangeCipher SpecProtocol e SSL Alert Protocol. Tecnologia da Informação – Redes de Computadores Curso de Teoria e Exercícios Prof. André Castro ʹ Aula 13 Prof. André Castr o www.estrategiaconcursos.com.br Pág. 31 de 136 Assim, para termos um aspecto visual da estrutura do protocolo, podemos analisar a imagem a seguir: Falando um pouco sobre cada um dos protocolos: Handshake Protocol – Responsável pelo estabelecimento da comunicação segura e autenticação das partes, com a escolha dos algoritmos de criptografia. Falaremos mais detalhadamente a seguir. Alert Protocol – É o protocolo responsável pelo controle do protocolo através da troca de mensagens vinculadas ao funcionamento e transmissão de dados na conexão. Faz algo semelhante ao protocolo ICMP em relação ao IP. Possui duas identificações clássicas: “Warning” e “Fatal”. Ao ser enviado uma mensagem do tipo FATAL, a transmissão é interrompida imediatamente. Possui uma estrutura de dois bytes em que o primeiro é o tipo da falha e o segundo diz respeito ao alerta ou erro ocorrido. Change Cipher Spec – É constituídopor um tipo de mensagem que caracteriza um marco onde, a partir dessa mensagem, toda comunicação será criptografada conforme negociações feitas no estabelecimento da comunicação. É uma mensagem de duas vias, onde ambas as partes precisam emitir essa mensagem. Assim, Tecnologia da Informação – Redes de Computadores Curso de Teoria e Exercícios Prof. André Castro ʹ Aula 13 Prof. André Castr o www.estrategiaconcursos.com.br Pág. 32 de 136 diz-se que a sessão SSL de fato está aberta e será utilizado o RECORD PROTOCOL. Record Protocol – Protocolo responsável pelo encapsulamento dos dados. Esse protocolo recebe os dados abertos da camada superior, encapsula, encripta e/ou adiciona o Message Authentication Codes (MACs) para garantir a segurança. É nessa fase que percebemos a total independência dos protocolos. Importante mencionar que o algoritmo aqui utilizado é simétrico, conforme princípios de criptografia, além da capacidade de se comprimir as mensagens. O estabelecimento de uma conexão SSL se dá em etapas. Toda comunicação começa com o HANDSHAKE PROTOCOL. Detalhando um pouco mais essa fase, temos que essas etapas permitem a definição de algoritmos para geração de chaves de sessão. As etapas são: 1. Negociação dos Algoritmos – Busca-se definir qual algoritmo é suportado por ambos e será utilizado. A tendência é escolher sempre o algoritmo mais robusto. O cliente faz a requisição da comunicação segura e o servidor responde com uma lista de algoritmos suportados. 2. Troca de Chaves e Autenticação – Após a ciência e definição pelo servidor do algoritmo, ambos trocam chaves para e realizam a autenticação entre si. Nesse primeiro momento, utiliza-se algoritmos de criptografia assimétrica como RSA, Diffie-Hellman, entre outros. Aplica-se aqui o conceito de certificado digital por parte do servidor com todas as informações inerentes a essa tecnologia. 3. Encriptação simétrica e autenticação das mensagens – A partir de então as mensagens utilizam funções HASH para autenticação, garantindo assim a integridade, segurança e autenticação. TLS Conforme vimos anteriormente, o SSL foi desenvolvido pela Netscape. Trazendo o desenvolvimento dessa solução de modo independente de Tecnologia da Informação – Redes de Computadores Curso de Teoria e Exercícios Prof. André Castro ʹ Aula 13 Prof. André Castr o www.estrategiaconcursos.com.br Pág. 33 de 136 plataforma, o IETF assumir tal responsabilidade, renomeando, assim, para TLS. Este foi baseado na versão 3.0 do protocolo SSL. Atualmente não se faz tanto essa distinção, sempre nos referenciando ao conjunto de ambos: SSL/TLS. Isso se deve por não haver uma distinção substancial destes protocolos. Agora um fato muito importante para prova. Estes dois protocolos não são compatíveis, isto é, eles não interoperam entre si. Abordando então as diferenças entre esses protocolos, podemos citar: O TLS tem a capacidade de trabalhar em portas diferentes e usa algoritmos de criptografia mais robustos como o HMAC, enquanto o SSL suporta apenas o MAC. O TLS, quando utilizado em infraestrutura de chaves públicas, pode ser utilizado por uma autoridade intermediária, não necessitando recorrer à raiz de um Autoridade de Certificação como o SSL. OpenSSL O OpenSSL é a implementação em código aberto dos padrões estudados anteriormente. Muita atenção, pois, apesar do nome, o OpenSSL também suporta o TLS. A sua codificação é escrita em linguagem C. Por ser um código aberto, visando sempre integrar os mais diversos protocolos e linguagens, pode- se utilizar o Wrapper que permite a integração com várias outras linguagens. Atualmente se encontra na versão 1.0.2. Possui suporte a uma game de algoritmos de criptografia, conforme listagem abaixo: - Algoritmos simétricos: AES (128,192 e 256), Blowfish, Camellia, SEED, CAST128, DES, IDEA, RC2, RC4, RC5, Triple DES, GOST 28147-89 - Algoritmos assimétricos: RSA, DSA, Diffie–Hellman key exchange, Elliptic curve, GOST R 34.10-2001 Tecnologia da Informação – Redes de Computadores Curso de Teoria e Exercícios Prof. André Castro ʹ Aula 13 Prof. André Castr o www.estrategiaconcursos.com.br Pág. 34 de 136 - Funções HASH: MD5, MD4, MD2, SHA-1, SHA-2, RIPEMD-160, MDC- 2, GOST R 34.11-94 Suporta ainda outros protocolos agregados como o S/MIME, bastante utilizado para assinatura e cifragem de mensagens de e-mail. 4. IPSeC Dando continuidade à nossa discussão a respeito de implementações de segurança com o propósito de tornar a comunicação na rede cada vez mais segura, falaremos do IPSec.- IP Security Protocol. Já tivemos alguma introdução a respeito desse assunto nos capítulos anteriores pois ele é uma implementação utilizada por diversos protocolos e serviços. Vale lembrar que o IPSec é implementado de forma nativa no protocolo IPv6, enquanto no IPv4 é opcional. O IPSec nada mais é do que uma extensão do próprio protocolo IP (vale para as duas versões). É importante mencionar também que este independe das versões, ou seja, é o mesmo para ambos. O IPSec visa garantir os princípios de segurança da autenticidade, integridade e confidencialidade, a depender da sua forma de utilização. Veremos que é uma implementação extremamente versátil e por esse motivo é utilizado para muitas finalidades. A RFC 6071 define o IPSec como um conjunto de protocolos que provê essa camada de segurança a nível da cada de rede do modelo OSI. E aqui temos uma primeira diferença do SSL/TLS, pois este último, conforme vimos, atua em uma cada intermediária entre a camada de transporte e aplicação da arquitetura TCP/IP. A figura nos traz essa representação: Tecnologia da Informação – Redes de Computadores Curso de Teoria e Exercícios Prof. André Castro ʹ Aula 13 Prof. André Castr o www.estrategiaconcursos.com.br Pág. 35 de 136 Ou seja pessoal, o IPSec pode ser utilizado para prover segurança para a camada de transporte (incluindo os protocolo TCP e UDP) e, também, poderá ser utilizado para prover segurança ao próprio protocolo IP. Veremos em mais detalhes a frente. O IPSec utiliza diversos recursos no que concerne a aspectos de criptografia. Utiliza chaves assimétricas e/ou certificados digitais para garantir a autenticidade e integridade das partes envolvidas, utiliza também chaves simétricas para a confidencialidade dos dados, além de funções HASH para integridade dos dados. Todos esses parâmetros podem ser definidos a partir de políticas com vistas a determinar o nível de segurança a ser aplicado pelo IPSec, considerando aspectos de desempenho da comunicação. A implementação do IPSec não requer nenhuma alteração nos aplicativos ou sistemas operacionais existentes, basta a configuração das diretivas de segurança, para que o computador passe a usar o IPSec. Automaticamente, todos os programas instalados no computador, passarão a utilizar o IPSec para troca de informações com outros computadores também habilitados ao IPSec. Isso é bem mais fácil de implementar e de administrar do que ter que configurar a criptografia e segurança em cada aplicativo ou serviço. Elementos do IPSec O IPSec possui elementos básicos que são utilizados em seu funcionamento, quais sejam; Tecnologia da Informação – Redes de Computadores Curso de Teoria e Exercícios Prof. André Castro ʹ Aula 13 Prof. André Castr o www.estrategiaconcursos.com.br Pág. 36 de 136 Cabeçal ho de Autenticação – AH (Authent ication Head er) O AH é aplicado para finalidade de autenticidade e integridade, mas não de confidencialidade! Assim, ele fornece a integridade dos pacotes e a garantia de sua origem. A autenticidade do AH abrange tanto o cabeçalhoIP quanto os dados. Outro ponto a ser mencionado é em relação ao acréscimo de elementos na estrutura do pacote original. Para o AH, é suficiente o acréscimo de um cabeçalho posicionado no meio do pacote IP. Uma vantagem de se utilizar o AH de forma obrigatória é a capacidade de se exigir parâmetros do AH específicos que impossibilitam ataques do tipo DoS ou DDoS, uma vez que esses pacotes gerados para o ataque não atenderão aos requisitos estabelecidos e serão descartados. Cabeçalho de Encapsulamento do payload – ESP (Encapsulation Securty Payload) O ESP é aplicado para suprir as três necessidades: confidencialidade, integridade e autenticidade. Em relação à autenticidade, temos uma diferença em relação ao AH, pois no ESP, ela só se aplica aos dados, não contemplando, portanto, o cabeçalho IP. Outro ponto de diferença é que, enquanto o AH apenas acrescenta um cabeçalho no pacote original, o ESP se utiliza de três partes: cabeçalho ESP, ESP Trailer e ESP Authentication. Os dois últimos são acrescentados após o payload do pacote IP. Veremos essa organização de forma visual logo mais. Em regra, os dois elementos (AH e ESP) são usados isoladamente, entretanto, há pleno suporte em sua utilização conjunta. Um ponto comum em ambos é a existência do campo NÚMERO DE SEQUÊNCIA, que é um número crescente utilizado para evitar ataques repetitivos, ou conhecido como REPLAY PEVENTION. Tecnologia da Informação – Redes de Computadores Curso de Teoria e Exercícios Prof. André Castro ʹ Aula 13 Prof. André Castr o www.estrategiaconcursos.com.br Pág. 37 de 136 Protocolo de negociação e troca de chaves - IKE (Internet Key Exchange) Este protocolo é o responsável pela negociação e troca de chaves entre os elementos envolvidos. Ele é dividido em duas fases ou modos: o Main Mode: Corresponde à fase 1 do IKE estabelecendo o canal seguro para a fase seguinte. Gera-se nessa fase o IKE SA – Security Association. o Aggessive Mode: Corresponde também à fase 1 do IKE, porém é mais simples e mais rápido que o MAIN MODE, pois não fornece proteção às identidades dos hosts que estão se comunicando. Isso ocorre porque as identidades são transmitidas juntamente com as solicitações de negociação, sem que um canal seguro seja criado antes, estando, assim, susceptível a ataques de interceptação. o Quick Mode: Corresponde à fase 2 do IKE sendo a comunicação estabelecida para a negociação do SA. Após a negociação do SA, as entidades estão aptas a trocar dados de forma segura. Para consolidarmos as diferenças do AH e do ESP, segue uma pequena tabela: AH ESP Princípios Integridade dos dados e cabeçalho + Autenticidade da origem Confidencialidade, Integridade e Autenticidade dos dados Estrutura Cabeçalho AH Cabeçalho ESP + ESP Trailer + ESP Auth Arquitetura do IPSec Além dos elementos citados acima, temos outros conceitos extremamente para o entendimento do IPSec, que são os seus modos de operação. Os dois elementos vistos anteriormente (AH e ESP) podem ser utilizados nos dois modos que veremos a seguir, nos levando a uma combinação Tecnologia da Informação – Redes de Computadores Curso de Teoria e Exercícios Prof. André Castro ʹ Aula 13 Prof. André Castr o www.estrategiaconcursos.com.br Pág. 38 de 136 básica de 4 formas de utilização do IPSec considerando apenas os elementos e seus modos. Vamos conhecê-los: Modo Trans porte Esse é o modo nativo de implementação do IPSec. Nesse caso, tem-se uma transmissão direta dos dados protegidos entre os hosts. Toda a manipulação dos dados acontece sobre os dados, ou seja, sobre o payload do pacote IP, não contemplando, assim, o cabeçalho. Outra característica é que o modo transporte é incorporado diretamente na pilha de protocolos TCP/IP pelos hosts envolvidos, conforme imagem a seguir: Modo Túnel O modo túnel é implementado por elementos intermediários na comunicação, não sendo, portanto, host a host diretamente. A ideia aqui é possibilitar que redes ou hosts utilizem a comunicação segura sem que necessitem ter o devido suporte ou configuração. A figura abaixo nos traz essa representação: Tecnologia da Informação – Redes de Computadores Curso de Teoria e Exercícios Prof. André Castro ʹ Aula 13 Prof. André Castr o www.estrategiaconcursos.com.br Pág. 39 de 136 Como o próprio nome sugere, a ideia é que todo o tráfego que passe por esse túnel criado usufrua dos recursos do IPSec. Desse modo, os elementos intermediários que implementam o IPSec realizam o encapsulamento de todo o pacote IP original. Além disso, acrescenta-se um novo cabeçalho IP no pacote para trafegar pelo túnel. Esse novo pacote deve ser retirado pelo outro elemento intermediário que implementa a outra ponta do túnel do IPSec, fazendo-o retornar a sua estrutura original. Avaliando ainda algumas capacidades de segurança embutidas nesse processo, temos que o fato de se gerar um novo cabeçalho, gera-se um novo número de sequência, possibilitando então aos elementos controlar até certo ponto ataques do tipo DoS e DDoS. A figura abaixo nos apresenta as principais características de cada uma das formas de utilização do AH e ESP nos modos Túnel e Transporte. Avaliem com cautela a figura para verificar os principais pontos que conversamos neste capítulo. Prestem atenção nas parcelas do cabeçalho que são criptografadas e autenticadas em cada uma das combinações: Tecnologia da Informação – Redes de Computadores Curso de Teoria e Exercícios Prof. André Castro ʹ Aula 13 Prof. André Castr o www.estrategiaconcursos.com.br Pág. 40 de 136 Reparem que o AH sempre contempla os cabeçalhos IP, enquanto o ESP não. Reparem também que no modo túnel, em ambos os casos, são gerados novos cabeçalhos IP. Percebam ainda a inserção dos trechos ESP Trailler e ESP Auth ao final do pacote. 5. VPN - Virtual Private Network As redes privadas virtuais foram criadas para atender as necessidades de acesso a ambientes privados e internos (intranets) passando por ambientes inseguros ou públicos (Internet). Tal característica é fundamental para acesso a serviços internos à rede por parte de usuários externos à rede. Dessa forma, caso o usuário queira consultar uma base de dados do setor de RH armazenado em um servidor de arquivos do setor de RH, este usuário poderá utilizar a técnica apresentada. Vale ressaltar, que, antes da criação das VPN’s, caso uma empresa quisesse fornecer acesso a uma filial por exemplo, era necessário a Tecnologia da Informação – Redes de Computadores Curso de Teoria e Exercícios Prof. André Castro ʹ Aula 13 Prof. André Castr o www.estrategiaconcursos.com.br Pág. 41 de 136 contratação de enlaces lógicos dedicados das operadoras, o que gerava alto custo de operação e manutenção do serviço. A rede virtual privada (VPN) cria um túnel seguro com implementações de algoritmos de criptografia para que o referido tráfego não seja visualizado na rede pública. Para tanto, na criação do túnel, o usuário deve se autenticar para validar que é um usuário externo com vínculo à instituição. Desse modo, tem-se os principais requisitos de segurança garantidos como a confidencialidade, autenticidade e integridade. O conceito acima pode ser aplicado de três formas: Interligação entre ponto s da instituição em regiões geográficas distintas - Dessa forma, pode-se ter o setor financeiro em um estado e o setor de administração em outro estado compartilhando recursos entre si através da Intranet VPN , ou ainda, um funcionário da empresa fazendo uso dessa conexão dedicada de forma remota. Ou seja, só envolve o acesso remoto de funcionários da empresa.Esse modelo depende de configuração ou responsabilidade por parte do usuário, uma vez que o túnel é estabelecido diretamente entre os equipamentos de borda ou gateways. Também é chamado de VPN SITE-TO-SITE. Vale lembrar que o tráfego interno não depende de implementação de VPN, por teoricamente estar em um meio isolado e seguro. Acesso Remoto VPN – Um funcionário da empresa, através de um equipamento fora da rede da empresa, deseja acessar seus arquivos corporativos para trabalhar externamente à empresa. Nesse sentido, ele cria o túnel e possui acesso aos seus arquivos. Permissão de acesso para u suário externo à empresa a recursos internos da empresa - Um exemplo seria uma empresa de transporte que precisa acessar algumas informações pessoas dos funcionários da empresa, dessa forma, pode-se liberar um acesso via VPN para a empresa de transporte ter acesso apenas a essas informações. Chama-se tal recurso de Extranet VPN , dado que só permite acesso aos usuários externos à empresa. Tecnologia da Informação – Redes de Computadores Curso de Teoria e Exercícios Prof. André Castro ʹ Aula 13 Prof. André Castr o www.estrategiaconcursos.com.br Pág. 42 de 136 A imagem abaixo ilustra os três cenários: Para que uma conexão VPN funcione quando existe um equipamento fazendo NAT (Hide ou muitos-para-um) entre os pontos que estão estabelecendo a VPN é necessário que haja um mecanismo para garantir que os pacotes serão traduzidos adequadamente, desde a origem até o destino final. Este mecanismo é chamado de NAT Transversal. Tal nomenclatura também pode ser referenciada como UDP Encapsulation. Aspectos de Segurança A criptografia exerce papel fundamental no processo de criação da VPN, assim como o princípio do tunelamento. O primeiro visa garantir a autenticidade, o sigilo e a integridade dos dados. Já o tunelamento, permite a criação de túneis que sejam seguros (podendo ser utilizados em ambientes inseguros) e independente de protocolos (é capaz de trafegar qualquer tipo de protocolo, até mesmo diferentes ao IP), sendo considerado, portanto independente de rede e aplicação. Diversas são as técnicas, recursos e aplicações utilizadas para a criação de um túnel seguro em um ambiente inseguro. Podem atuar inclusive em diferentes camadas do modelo OSI, como é o caso do PPTP (camada 2) e o IPSec (camada 3). Para o acesso de um cliente remoto, geralmente se utiliza de um software no lado do cliente que permite a criação do túnel para posterior tráfego dos dados. Esse software é baseado no protocolo IPSec (Padrão de fato para criação de VPN’s). Pode-se utilizar apenas chaves para Tecnologia da Informação – Redes de Computadores Curso de Teoria e Exercícios Prof. André Castro ʹ Aula 13 Prof. André Castr o www.estrategiaconcursos.com.br Pág. 43 de 136 autenticação e criptografia, bem como certificados digitais autenticação e troca de chaves. A seguir, veremos os principais protocolos de tunelamento. PPTP - Baseado no protocolo PPP. Opera na camada de enlace. É um protocolo puramente desenvolvido para VPN. Possui recursos de autenticação de usuário dependendo , portanto, da inicialização por parte deste . É suportado pelas mais diversas plataformas. É considerado leve, rápido e de fácil implementação. Porém, por se basear em chaves de 128 bits, não é considerado seguro. Critérios mais robustos de autenticidade, bem como qualquer implementação de integridade e confidencialidade dependem do IPSec, ou seja, protocolos de camada superiores. L2TP - É um protocolo puramente desenvolvido na camada de enlace para criação de túneis VPN baseado no protocolo L2F (Layer 2 Forwarding) e PPTP, porém sem técnicas de segurança para garantir a confidencialidade. Por esse motivo, utiliza o IPSEC na camada supe rior . Utiliza a porta UDP 500, o que pode gerar problemas de liberação de portas em firewalls. É considerado rápido, leve e multiplataforma bem como o PPTP . Possui a capacidade de realizar a autenticação entre os dispositivos através da utilização de PAP ou CHAP. Por esse motivo, é muito utilizado para o encapsulamento de pacotes PPP. Diferentemente do PPTP, pode ser transparente ao usuário, sendo o túnel criado diretamente nos equipamentos de borda ou gateways . OpenVPN - É um cliente que utiliza protocolo de código aberto que utiliza a biblioteca OpenSSL e os protocolos SSLv3/TLSv1 (Cria- se uma camada segura entre a camada de aplicação e transporte . Possui grande versatilidade de configuração e implementação. Por padrão, roda sobre UDP, porém pode rodar em qualquer porta do TCP, como a 443. Possui suporte a diversos Tecnologia da Informação – Redes de Computadores Curso de Teoria e Exercícios Prof. André Castro ʹ Aula 13 Prof. André Castr o www.estrategiaconcursos.com.br Pág. 44 de 136 algoritmos criptográficos devido o OpenSSL. Geralmente é mais rápido que o IPSEC. Percebam que essa é uma implementação aberta de VPN com SSL. Porém, existem outras implementações utilizando o mesmo modelo. SSTP - Protocolo proprietário da MICROSOFT. Utiliza SSLv3, dessa forma pode atuar na porta TCP 443, a mesma do HTTPS, evitando problemas de abertura de portas em firewalls. Possui integração completa com WINDOWS, sendo de fácil instalação e utilização. IPSec – Implementação a nível da camada de rede que utiliza os conceitos de operação em modo transporte ou tunelamento com a capacidade de acrescentar cabeçalhos AH e ESP. Para efeitos de filtragem em firewall, deve-se liberar a porta UDP/500 para troca de chaves. Além disso, deve-se liberar a identificação do protocolo IP 50 e 51. O primeiro é utilizado para o encaminhamento do ESP e o segundo para tráfego AH. MPLS - É possível criar túneis VPN em uma rede MPLS com o mapeamento de determinado cliente ou rede para um rótulo específico. Dessa forma, somente o tráfego de determinada fonte com determinado destino possuirá a referida identificação, criando- se assim um túnel na rede. Tal característica permite apenas o isola mento de tráfego, não havendo implementação de técnicas de criptografia. Importante mencionar que este modelo é diferenciado uma vez que não há orientação à conexão, mas tão somente a marcação dos pacotes, tal qual ocorre com o IPSec. Tecnologia da Informação – Redes de Computadores Curso de Teoria e Exercícios Prof. André Castro ʹ Aula 13 Prof. André Castr o www.estrategiaconcursos.com.br Pág. 45 de 136 Existem ainda algumas classificações de redes VPN conforma abaixo: VLL (Virtual Leased Line) - se refere a dois usuários conectados por um túnel IP que emula um circuito físico dedicado ou uma linha privada. VPRN (Virtual Private Routed Network) - Emulação de uma WAN com vários sites usando IP. VPDN (Virtual Private Dial Network)- Permite aos usuário terem acesso remoto via PPP (Point-to-Point Protocol). VPLS (Virtual Private Lan Segment) - Emula um segmento de rede local usando o backboneIP. A VPLS é utilizada para prover o serviço de LAN transparente, e oferece serviço semelhante à emulação de LAN do ATM. Esta também oferece completa transparência aos protocolos com tunelamento multiprotocololar, e suporte a Broadcast e Multicast. Tecnologia da Informação – Redes de Computadores Curso de Teoria e Exercícios Prof. André Castro ʹ Aula 13 Prof. André Castr o www.estrategiaconcursos.com.br Pág. 46 de 136 LISTA DE EXERCÍCIOS COMENTADOS 1. CESPE – CGE-PI/Auditor Governamental/2015 O firewall IPTABLES permite o uso de filtro de pacotes, de forma a controlar o fluxo de dados entre a rede local e a Internet, interferindo em situações normais atéa camada de transporte do modelo TCP/IP. Comentários: Questão bem tranquila a respeito do IPTABLES. Conforme vimos, é um firewall utilizado em sistemas LINUX do tipo Statefull, ou seja, consegue atuar normalmente com as características do tipo filtro de pacotes. Percebam que o enunciado usou ;àW┝ヮヴWゲゲ?ラàさヮWヴマキデWざく Gabarito: C 2. CESPE – ANTT/Analista Administrativo – Infraestrutura de TI/2013 Um firewall que trabalha especificamente na camada de aplicação tem a capacidade de estabelecer regras para registrar e descartar pacotes que sejam destinados a um endereço IP e a uma porta específica. Comentários: Muito mais uma questão de redes do que segurança. Se o Firewall trabalha especificamente na camada de aplicação, não há o que se falar de filtragem por endereços IP ou porta, que são elementos das camadas 3 e 4 do modelo OSI. Gabarito: E 3. CESPE – FUB/Técnico de TI/2014 Em uma rede local protegida por firewall, não é necessário instalar um software antivírus, pelo fato de o firewall proteger a rede contra mensagens de spam, vírus e trojans. Tecnologia da Informação – Redes de Computadores Curso de Teoria e Exercícios Prof. André Castro ʹ Aula 13 Prof. André Castr o www.estrategiaconcursos.com.br Pág. 47 de 136 Comentários: Lembrando sempre que o Firewall não possui a função de substituir softwares antivírus. Além do mais, o firewall não protege contra ataques internos. Nesse sentido, o antivírus é imprescindível. Gabarito: E 4. CESPE – ICMBIO/Nível Médio/2014 Um firewall filtra o tráfego de entrada e saída entre a rede interna e a externa. Comentários: Forma bem simplista de se definir a capacidade de um firewall. Gabarito: C 5. CESPE – TCU/Técnico Federal de Controle Externo/2015 O firewall é capaz de proteger o computador tanto de ataques de crackers quanto de ataques de vírus. Comentários: E aqui temos uma questão que gerou polêmica. Vimos que o Firewall de fato não é um antivírus. Entretanto, a palavra “capaz” aqui deu margem para muitos entendimentos. Além disso, não delimitou fronteiras, se é interno ou externo, enfim, questão totalmente aberta. Trazendo uma possibilidade para validar a questão, temos a possibilidade de se utilizar um firewall do tipo Deep Inspection que seja capaz de averiguar o conteúdo das aplicações e detectar conteúdos maliciosos como vírus. Entretanto, em minha opinião, essa questão deveria ser anulada. Mas como não foi, vamos ficar com mais um entendimento da banca CESPE. Gabarito: C (Gabarito do Professor: Anulação) 6. CESPE – Polícia Federal/Agende de Polícia Federal/2014 Tecnologia da Informação – Redes de Computadores Curso de Teoria e Exercícios Prof. André Castro ʹ Aula 13 Prof. André Castr o www.estrategiaconcursos.com.br Pág. 48 de 136 Embora os firewalls sejam equipamentos ou softwares utilizados no controle das conexões de uma rede, eles não protegem computadores contra ataques internos. Comentários: Conforme vimos, como o Firewall é um equipamento de borda que atua, geralmente, na fronteira entre redes distintas, ao termos um ataque interno, esse tipo de tráfego nem chega a passar pelo firewall. Gabarito: C 7. CESPE – UNIPAMPA/Analista de Tecnologia da Informação/2013 O serviço de firewall pode ser utilizado para monitorar os acessos ou as tentativas de acesso a determinados recursos de uma rede de computadores. Comentários: Como cada serviço é acessado em portas específicas, pode-se claramente monitorar esses recursos, além de controlar o acesso a eles através da filtragem por portas. Gabarito: C 8. CESPE – ANTT/Analista Administrativo/2013 Considere que, em um servidor com serviço de firewall habilitado e em funcionamento, o administrador de rede tenha verificado que existe muito tráfego de flags SYN do protocolo TCP, sem que ocorra o retorno da flag ACK do host a que foi destinada a flag SYN. Nessa situação, é possível que regras de firewall estejam descartando os pedidos de abertura de conexão. Comentários: Questão muito bem elaborada pelo CESPE. Tal questão exige relembrarmos que para o estabelecimento de uma conexão, deverá ser feito o 3-way-handshake. Tecnologia da Informação – Redes de Computadores Curso de Teoria e Exercícios Prof. André Castro ʹ Aula 13 Prof. André Castr o www.estrategiaconcursos.com.br Pág. 49 de 136 No caso da questão, percebemos que há pacotes SYN saindo da rede, ou seja, podemos assumir que a requisição está partindo do próprio servidor. Assim, a regra de saída para o SYN está habilitada. No retorno, o host de destino deve responder com um pacote do tipo SYN+ACK. Nesse caso, pode-se perfeitamente configurar o firewall para bloquear pacotes SYN de entrada, ocorrendo o descarte de pacotes e não permitindo o pedido de abertura de conexão do outro host. Gabarito: C 9. CESPE – TRT 17ª Região (ES)/Técnico Judiciário – Tecnologia da Informação O firewall representado é um sistema que isola áreas distintas da rede de dados e que delimita os domínios de confiança. Comentários: Temos aqui o modelo de utilização de apenas um firewall segmentando 3 segmentos de rede (Internet, DMZ e intranet). A divisão da DMZ e da Intranet é justamente para se estabelecer limites de confiança, situação que a rede DMZ será acessada externamente, enquanto a intranet não. Gabarito: C 10. CESPE – CNJ/Analista Judiciário – Análise de Sistemas/2013 Supondo que um vírus atue entre uma rede local e a Internet, gerando tráfego de dados na porta 34465, então é possível que um firewall com Tecnologia da Informação – Redes de Computadores Curso de Teoria e Exercícios Prof. André Castro ʹ Aula 13 Prof. André Castr o www.estrategiaconcursos.com.br Pág. 50 de 136 iptables executado no sistema operacional Linux seja capaz de gerar logs desse tráfego. Comentários: Muito cuidado com a interpretação. Percebam que em nenhum momento a questão afirma que o firewall atuará como um antivírus, mas tão somente que este será capaz de gerar log do tráfego. Para isso, basta monitorar e filtrar o fluxo na porta em questão, uma vez que o perfil de tráfego é conhecido. Gabarito: C 11. CESPE – SERPRO/Analista – Redes/2013 O Kernel do Linux, na versão 2.6 ou superior, suporta nativamente a capacidade de filtro de pacotes TCP/IP por meio do sistema SELINUX. Comentários: Conforme vimos, o SELinux não deve ser confundido com o filtro de pacotes IPTables do Linux. Gabarito: E 12. CESPE – STJ/Analista Judiciário – Suporte em TI/2015 Firewalls que utilizam filtros de pacotes sem estados não verificam a parte útil de dados dos pacotes e não guardam o estado das conexões, o que pode impedir que sejam totalmente eficazes. Comentários: Os firewalls do tipo filtro de pacotes atuam basicamente na inspeção das informações de camada 3 e algumas informações de camada 4. Entretanto, tais informações não são suficientes para se monitorar o estado das conexões. Esta capacidade surge a partir do firewall do tipo statefull com a capacidade de inspecionar todo o cabeçalho dos segmento (camada 4). Desse modo, como a inspeção é limitada, possíveis ataques que extrapolem a capacidade de inspeção não serão identificados e assim, não serão totalmente eficazes. Tecnologia da Informação – Redes de Computadores Curso de Teoria e Exercícios Prof. André Castro ʹ Aula 13 Prof. André Castr o www.estrategiaconcursos.com.br Pág. 51 de 136 Gabarito: C 13. CESPE – STJ/Analista Judiciário – Suporte em TI/2015 O SELinux (security enhanced linux) pode operar em três modos distintos: Enforcing, no qual as regras estão aplicadas, e logs de todas as operações são gerados; Permissive,
Compartilhar