Você está na página 1de 64

Mestrado em

Gestão de Redes de Computadores e


Sistemas de Comunicações
Disciplina:“Segurança de Sistemas e
Administração de Servidores”

PhD. Eng. Wilfredo Falcón


Urquiaga
falconcuba2007@gmail.com
Luanda, Agosto 2022
Segurança de Redes - Soluções
Soluções Corporativas
• Firewall
• VPN
• IDS/IPS
• Honeypot
Firewalls
Definição de Firewall
• É um sistema de proteção que vem evoluindo
continuamente suas tecnologias.
• Com muita fama, erroneamente causa a falsa
expectativa que apenas sua presença resolve todos os
problemas de segurança
• Diversos conceitos estão vinculados ao nome
FIREWALL
Firewalls

Definição – Cheswick e Bellovin

Firewall é um ponto entre duas ou mais


redes, no qual circula todo o tráfego. A
partir desse único ponto, é possível
controlar e autenticar o tráfego, além de
registrar, por meio de logs, todo o tráfego
da rede, facilitando sua auditoria.
Firewalls
Definição – Chapman

Firewall é um componente ou conjunto de


componentes que restringe o acesso entre
uma rede protegida e a Internet, ou entre
outros conjuntos de redes.
Firewalls
Conceitos Associados:
• Tecnologia do Firewall:
– Filtro de pacotes estático (static packet filter)
– Proxy (application-level gateway)
– Filtro de pacotes com base em estados (dynamic packet
filter, stateful packet filter)
• Arquitetura do Firewall:
– Roteadores escrutinadores
– Proxies
– DMZs
– Bastion Hosts
Firewalls
Conceitos Associados:
Arquitetura do Firewall:
– Dual-Homed Host Architecture
– Screened Host Architecture
– Screened Subnet Architecture
• Produtos Comerciais
– A tendência é integrar diversas soluções
• Cisco / Checkpoint
• Produtos externos:
• Linux IPTables; Cisco IOS; Microsoft ISA Server
Firewalls
Definição – Organizacional
Sistema ou grupo de sistemas que reforça a política de controle de
acesso entre duas redes e, portanto, pode ser visto como uma
implementação da P.S.

O firewall é tão seguro quanto a


política de segurança
com que ele trabalha
Firewalls
FUNCIONALIDADES
1- Filtros
Realizam o roteamento de pacotes de maneira seletiva (baseado
nos cabeçalhos)

2- Proxies
São softwares que funcionam como gateway entre duas redes
podendo ou não aplicar filtros

Arquitetura: dual-homed host


Firewalls
FUNCIONALIDADES
3- Bastion Hosts - Arquitetura: screened host
São equipamentos onde estão instalados os serviços a serem
oferecidos para a Internet.

Estarão em contato direto com as conexões externas, por isso


deverão estar o mais protegido possível.

Executar apenas os serviços essenciais, com a versão mais recente


e com os patches de segurança aplicados logo que são
disponibilizados.
DMZ
FUNCIONALIDADES
4- DMZ (DeMilitarized Zone) - Zona Desmilitarizada
Arquitetura: screened subnet

A DMZ, ou perimeter network, é uma rede que fica entre a rede


interna, que deve ser protegida, e a rede externa. Essa
segmentação faz com que, caso algum equipamento dessa rede
desmilitarizada (um Bastion Host) seja comprometido, a rede
interna continue intacta e segura.
Firewalls
NAT
FUNCIONALIDADES

5- NAT – Network Address Translation

Não foi projetado como um componente de


segurança, mas permite esconder o
endereço real dos equipamentos de uma
rede interna, dificultando ataques externos.
VPN
FUNCIONALIDADES

6- VPN – Virtual Private Network

Inicialmente criada para que protocolos


diferentes do IP pudessem trafegar em uma
rede TCP/IP. Em seguida, foi adicionada
criptografia, garantindo, através do IPSEC a
integridade e a autenticação.
VPN's – REDES PRIVADAS
VIRTUAIS
Aplicações para VPNs
1- ACESSO REMOTO VIA INTERNET
O acesso remoto a redes corporativas através da Internet pode ser
viabilizado com a VPN através da ligação local a algum provedor de
acesso (Internet Service Provider - ISP). A estação remota disca para o
provedor de acesso, conectando-se à Internet e o software de VPN cria
uma rede virtual privada entre o usuário remoto e o servidor de VPN
corporativo através da Internet.
Aplicações para VPNs
2- CONEXÃO DE LANS VIA INTERNET
Uma solução que substitui as conexões entre LANs através de circuitos dedicados de
longa distância é a utilização de circuitos dedicados locais interligando-as à Internet. O
software de VPN assegura esta interconexão formando a WAN corporativa.
Aplicações para VPNs
3- CONEXÃO DE COMPUTADORES NUMA INTRANET
 
Em algumas organizações, existem dados confidenciais cujo acesso é restrito a um
pequeno grupo de usuários. Nestas situações, redes locais departamentais são
implementadas fisicamente separadas da LAN corporativa. Esta solução, apesar de
garantir a "confidencialidade" das informações, cria dificuldades de acesso a dados da
rede corporativa por parte dos departamentos isolados.
TUNELAMENTO
TIPOS DE TÚNEIS

IPSEC - INTERNET PROTOCOL SECURITY


Autenticação
FUNCIONALIDADES
7- Autenticação/certificação

A autenticação e a certificação dos usuários


pode ter como base endereços IP, senhas,
certificados digitais, tokens, smartcards ou
biometria.
Tecnologias auxiliares: PKI e SSO
Funcionamento de Firewalls
FILTRO DE PACOTES

Trabalha na camada de rede e de transporte da pilha TCP/IP, realizando as


decisões de filtragem com base nas informações do cabeçalho dos pacotes:
- Endereços de origem / destino
- Porta de origem / destino
- Direção das conexões

Regras normalmente estáticas (static packet filtering)

Para ICMP – filtragem por código ou tipo de mensagem de controle ou de erro


Filtro de Pacotes
Firewalls
Vantagens do FILTRO DE PACOTES

- Baixo overhead / Alto Throughput


- É barato, simples e flexível
- É bom para o gerenciamento de tráfego
- É transparente para o usuário
Firewalls
Desvantagens do FILTRO DE PACOTES

- Permite conexão direta de clientes externos para hosts externos


- É difícil de gerenciar em ambientes complexos
- É vulnerável a ataques como IP spoofing, a menos que seja configurado para
que isso seja evitado (apenas spoofing de endereços internos)
- Não oferece autenticação do usuário
- Dificuldade para filtrar serviços de portas dinâmicas, como o RPC
- Deixa “brechas” permanentes abertas no perímetro da rede.
Firewalls

Exemplo de FILTRO DE PACOTES

Regras denominadas ACL – Access Control List


no IOS de Roteadores da Cisco.

Bom artigo em:


http://www.rnp.br/newsgen/0103/filtros.html
Firewalls
Fluxo de Dados em roteadores Cisco
Firewalls
ACLs Cisco

Uma lista de controle de acesso ( ACL ) é uma lista de regras ordenadas que
permitem ou bloqueiam o tráfego de pacotes baseado em certas informações
presentes nestes.

ACL do tipo Padrão (1 a 99)


# access-list 10 permit ip 10.10.0.0 0.0.0.0 160.10.2.100 0.0.0.0

ACL do tipo Estendida (100 a 199)


# access-list 101 deny tcp 172.16.1.0 0.0.0.255 192.168.0.0 0.0.255.255 eq
21
Firewalls
FILTRO DE PACOTES COM BASE EM ESTADOS

Filtro de pacotes dinâmicos ou baseado em estados


Dynamic Packet Filtering / Stateful packet filter)

Também trabalha na camada de rede = bom desempenho.

Informações dos pacotes + Tabela de estados

Filtragem pode ter como base todos os dados do pacote e não só o


cabeçalho.
Firewalls
FILTRO DE PACOTES COM BASE EM ESTADOS
Firewalls
FILTRO DE PACOTES COM BASE EM ESTADOS
Firewalls
FILTRO DE PACOTES COM BASE EM ESTADOS
Firewalls
FILTRO DE
PACOTES
COM BASE
EM
ESTADOS
Firewalls
FILTRO DE PACOTES COM BASE EM ESTADOS

Vantagens:
- Aberturas apenas temporárias no perímetro da rede
- Baixo overhead / alto throughput
- Aceita quase todos os tipos de serviços

Desvantagens:
- Permite a conexão direta de clientes externos para hosts internos
- Não oferece autenticação do usuário, a não ser via gateway de aplicações.
Firewall - Exemplo

IPTABLES
O firewall do linux é configurado pelo comando “iptables”.
É baseado em grupos de regras gravadas em 3 grandes tabelas
(filter, mangle e nat)
 Sequência de comandos
Listar as regras existentes (-L = list):
iptables –t nat –L
iptables –t filter –L
iptables –t mangle –L

Verificar as ações padrões de cada tabela.


Firewall - Exemplo
IPTABLES

Limpar regras (-F = flush):


iptables –t nat –F
iptables –t filter –F
iptables –t mangle –F
Prática
Firewall - Exemplo
IPTABLES

Criando uma regra para barrar o PING


 
iptables -A INPUT -s IP_MAQ_REAL -p icmp -j DROP
 
Para apagar essa regra:
 
iptables -D INPUT -s IP_MAQ_REAL -p icmp -j DROP
 
ou então usar o -F
Firewall - Exemplo

IPTABLES – Syn Flood / DoS


- Barrar o IP de Origem
iptables -A INPUT -s IP_Origem -j DROP
Quais os problemas?

- Usar o controle do número de conexões por segundo


iptables -A FORWARD -p tcp --syn -m limit --limit 10/s -j ACCEPT
iptables -A FORWARD -p tcp --syn -j DROP
Quais os problemas?
Firewall - Exemplo
IPTABLES – Syn Cookies
A alocação de recursos ocorre com o SYN.
Uma solução seria alocar recursos apenas com o ACK final, mas aí poderia aver
um ACK FLood.

Para gerenciar o ACK com um SYN inicial, eu continuaria tendo que alocar recursos
para o SYN inicial e o Syn Flood continua existindo.

Uma solução é usar Syn Cookies


echo 1 > /proc/sys/net/ipv4/tcp_syncookies
Firewall - Exemplo

IPTABLES – Syn Cookies


Parte do princípio de que se deve monitorar os SN (Sequence Numbers) do TCP,

 
mas não se pode salvá-lo senão alocaria recursos...

O que ocorre é um cálculo do SN no pacote SYN baseado em um hash exclusivo


para aquela conexão e quando recebe o pacote ACK, o hash é recalculado.
                                                                                                                             

                 
IDS x IPS
IDS – Intrusion DETECTION System

IPS – Intrusion PREVENTION System

Qual a diferença??
DETECÇÃO DE INTRUSOS

Existem dois tipos de sistemas de detecção de intrusos:

- HOST BASED IDS

- NETWORK BASED IDS

Observações:

- HYBRID IDS

- Honeypot
DETECÇÃO DE INTRUSOS
- HOST BASED IDS - HIDS

Faz o monitoramento do sistema, baseado em informações


de logs ou de agentes de auditoria. Pode ser capaz de
monitorar acessos e alterações em importantes arquivos do
sistema, modificações de privilégios dos usuários,
processos do sistema, programas executados, uso de CPU,
etc.

Exemplos: Tripwire; Portsentry


DETECÇÃO DE INTRUSOS
- NETWORK BASED IDS - NIDS

Monitora o tráfego de um segmento de rede desejado.


Geralmente a interface de rede atuará no modo “promíscuo”.
A detecção é realizada com a captura e análise dos
cabeçalhos e conteúdos dos pacotes, que são comparados
com padrões ou assinaturas conhecidos.

Exemplo: Snort; RealSecure; NFR


DETECÇÃO DE INTRUSOS
LOCALIZAÇÃO DO IDS NA REDE
LOCALIZAÇÃO DO IDS NA
REDE
IDS 1 – Detecta todas as tentativas de ataques contra a rede da
organização, até mesmo as tentativas que não teriam efeito algum, como
ataques a servidores WWW inexistentes. Essa localização oferece uma
rica fonte de informações sobre que tipos de tentativas de ataques a
empresa estaria sofrendo.

IDS 2 – Funcionando no próprio Firewall, o IDS pode detectar tentativas


de ataques contra o FIREWALL.

IDS 3 – Detecta tentativas de ataques contra servidores localizados na


DMZ, que são capazes de passar pelo firewall. Ataques contra serviços
legítimos situados na DMZ podem ser detectados por esse IDS.
LOCALIZAÇÃO DO IDS NA
REDE
IDS 4 – Detecta tentativas de ataques contra recursos internos que
passaram pelo firewall e que podem vir pela VPN

IDS 5 – Detecta tentativas de ataque contra servidores localizados na


DMZ 2, que passaram pelo firewall, pela VPN e por algum serviço da
DMZ 1, como o servidor WEB.

IDS 6 – Detecta tentativas de internos na organização. Esse


posicionamento passa a ser importante em ambientes cooperativos
(fornecedores, parceiros, etc), devido ao aumento dos bolsões de
segurança característicos.
LOCALIZAÇÃO DO IDS NA
REDE
Observações:

IDS 1 – Antes do firewall - Detecção de Ataques

IDS 3, 4, 5, 6 – Depois do firewall – Detecção de


Intrusões / Mau uso dos usuários
LOCALIZAÇÃO DO IDS NA
REDE
Monitorando uma rede com switch:

1- SPAN – Switch Port Analyser

2- HUB

3- Taps
LOCALIZAÇÃO DO IDS NA
REDE
1- SPAN – Switch Port Analyser

Configurar o switch para copiar todo o Tx/Rx de uma porta para outra.
Não altera a arquitetura da rede, mas tem várias limitações: normalmente
só monitora 1 porta, degrada a performance do switch, portas uni-
direcionais não permitindo terminar conexões.
LOCALIZAÇÃO DO IDS NA
REDE
2- Hub

Fácil implementação e barata. Muito utilizado mas não é uma solução


adequada. Não precisa configurar nada. Degrada conexões full-duplex,
aumenta colisões, .
LOCALIZAÇÃO DO IDS NA
REDE
3- Tap

Muito parecida com a solução de Hub. Não usa energia, é uma


duplicação física, não impacta no tráfego. Não permite monitorar o
tráfego nas duas direções.
LOCALIZAÇÃO DO IDS NA
REDE
3- Tap

Cada porta TAP monitora um


sentido do tráfego, sendo
necessário, portanto, duas placas
de redes no IDS, uma para cada
sentido.
Exemplo - SNORT
SNORT é uma ferramenta IDS/IPS open-source
bastante popular por sua flexibilidade nas
configurações de regras e constante atualização frente
às novas ferramentas de invasão.

Outro ponto forte desta ferramenta é o fato de ter o


maior cadastro de assinaturas, ser leve, pequeno, de
fácil instalação, fazer escaneamento do micro e
verificar anomalias dentro de toda a rede à qual o
computador pertence.
HoneyPots / HoneyNets
A idéia é criar um falso servidor próprio para ser
atacado, sondado ou comprometido.

- baixa interatividade – emula S.O. e aplicações.


- alta interatividade – interage com o S.O. e suas
aplicações.
HoneyPots / HoneyNets
HoneyNet

É uma ferramenta de pesquisa, que consiste de uma REDE projetada


especificamente para ser comprometida, e que contém mecanismos de
controle para prevenir que seja utilizada como base de ataques contra
outras redes.

É um tipo de honeypot de alta interatividade, projetado para pesquisa e


obtenção de informações dos invasores.
HoneyPots / HoneyNets
HoneyPots / HoneyNets
HoneyPots / HoneyNets
HoneyPots / HoneyNets
Soluções

- Utilização de blacklists
- Atualização dos patches dos navegadores
- Navegador utilizado
- lnternet options
HoneyPots / HoneyNets
Exemplo de site comprometido
www.keithjarret.it – Pianista de Jazz

Após comprometido, envia informações para um site remoto.

O servidor que coleta os dados é diferente do servidor que hospeda o exploit.

Site inicial – Itália


Site que hospeda o exploit – Rússia
Dono do site – Pessoa física na Alemanha
O coletor de dados – República da Moldávia
Dono do site – Pessoa física na Ucrânia

Você também pode gostar