Domnio de Conhecimento 3

Topologias e IDS
Carlos Sampaio

Agenda
Topologia de Segurana
Zonas de Segurana
DMZs
Deteco de Intruso (IDS / IPS)

Topologias de segurana
Fundamentos de infra-estrutura de redes
Nem todas as redes so criadas igualmente, por
isso no devem ser igualmente organizadas;
Um exemplo de uma aplicao de e-commerce,
com servidores IIS, e servidores customizados de
middle-tier e servidores de Banco SQL

Topologias de segurana
Zonas de Segurana
Diz-se de uma zona de segurana, qualquer
poro de uma rede que necessita de requisitos
de segurana especiais. Intranet, extranet,
DMZs e VLANs, so exemplos de zonas de
segurana
Segmentos de rede distintos;
Agrupamentos lgicos;
Que tipo de informao manipulada;
Quem utiliza;
Qual nvel de segurana requisitado;

Topologias de segurana
Firewall, DMZ e IDS
Firewall
um equipamento utilizado para proteger a rede interna de uma
organizao de ameaas lgicas de redes externas, como a
Internet;
Da mesma forma que uma porta fechada protege seu contedo de
ameaas fsicas externas;

O Firewall utiliza uma tabela de regras

predefinidas, de forma a permitir ou
bloquear o trafego atravs dele,
provendo assim segurana aos
equipamentos localizados depois dele;

Topologias de segurana
Firewall (cont.)
No mnimo, um firewall deve ser capaz de:

Bloquear trafego baseado em regras predefinidas;

Mascarar a presena de redes (ou hosts) ao mundo externo;
Reduzir a quantidade de informaes apresentada como resposta;
Logar e manter uma trilha de auditoria de trfego que entra e que sai;
Prover mtodos de autenticao adicionais;

Topologias de segurana
Firewall (cont.)
Firewalls atuais tem a capacidade
de reagir a deteco de intruso
com a atualizao de regras;
Sistemas de IDS integrados;
Redes virtuais privadas
integradas (VPNs)
Capacidade de executar tcnicas
de proxy transparente;
Obs1.: Quanto maior for o
nmero de servios disponveis
em um firewall maior a
probabilidade de um ataque
direcionado ter sucesso.
Obs2.: O firewall por si s no
garante segurana

Topologias de segurana
Tecnologias de Firewall
As tecnologias de firewall mais
utilizadas so:

Filtragem de pacotes
Gateways de camada de aplicao
Inspeo de estado (statefull inspection)

Qualquer uma das tecnologias acima

tm suas vantagens e desvantagens,
desvantagens
Cabe ao administrador de segurana
determinar a que dever ser utilizada
em cada caso

Topologias de segurana
Filtragem de Pacotes:
Opera na camada 3 (rede) do modelo OSI
Funciona permitindo ou negando trfego por uma
porta especfica
Opera de maneira mais rpida pois s verifica o
contedo do cabealho do pacote
Pode ser configurado para permitir o negar acesso
portas especficas ou endereos IP
Possui apenas duas diretivas para poltica de filtragem
Permite por padro
Nega por padro (melhor prtica)

Ex.: ipfw, Firewalls pessoais, Wireless Routers, ...

Topologias de segurana
Filtragem de Pacotes:
Opera em ambas as direes:
Impede a entrada de elementos nocivos rede
Restringe o trfego a rede externa

Exemplo: Trojan (Cavalo de Tria)

Portas conhecidas (well-known)
Total de 65535 portas
Destas, as primeiras 1023 so portas conhecidas
Portas acima de 1023 so consideradas portas registradas
ou portas dinmicas/privadas
Portas registradas: de 1024 a 49.151
Portas Dinamicas/privadas 49.151 a 65.535

Muitas destas portas oferecem vulnerabilidades, mesmo as

portas conhecidas, melhor manter o desnecessrio fechado

Topologias de segurana
Exemplo de conexo: FTP

Modo Ativo:
1.
2.
3.

O cliente FTP inicia uma conexo de controle a partir de uma porta

qualquer, maior que 1024, na porta 21 do servidor
O cliente FTP envia um comando PORT instruindo o servidor a
estabelecer uma conexo para uma porta uma unidade mais alta
que a conexo de controle. Esta ser a porta de dados do cliente
O servidor ir enviar dados ao cliente, a partir da porta 20 do
servidor, para a porta de dados do cliente

Modo Passivo:
1.
2.
3.
4.

O cliente FTP inicia uma conexo a partir de uma porta qualquer

maior que 1024 como porta de controle, e inicia uma outra porta,
uma unidade mais alta que a de controle, como porta de dados.
O cliente ento envia um comando PASV, instruindo o servidor a
abrir uma porta de dados qualquer
O Servidor envia um comando PORT indicando ao cliente a porta
que ele iniciou
O cliente pode assim enviar e receber dados atravs da porta de
dados que o servido o instruiu a utilizar

Topologias de segurana
Filtragem de Pacotes:
Benefcios:
Velocidade Apenas o cabealho examinado e uma tabela
bsica de regras analisada;
Facilidade de uso As regras deste tipo de firewall so
fceis de definir, e portas podem ser abertas ou fechadas
rapidamente;
Transparncia Pacotes podem trafegar por este tipo de
firewall sem que remetente ou destinatrio saibam de sua
existncia;

Desvantagens:
Rigidez Uma porta s pode estar aberta ou fechada,
abertura/fechamento por demanda no so suportados
Anlise de contedo Este tipo de firewall no enxerga
alm do cabealho, portanto, se um pacote tiver um
cabealho vlido, ele pode ter qualquer contedo, inclusive
malicioso.

Topologias de segurana

O trfego filtrado baseado em

regras especficas, que incluem:
IP de origem e destino, tipo de
pacote (TCP/UDP), numero da
porta, etc...
Todo trfego desconhecido
permitido apenas at a camada
OSI 3

Topologias de segurana
Gateway de camada de aplicao
Tambm conhecido com filtragem por aplicao
Benefcios:
Mais avanada que a filtragem de pacotes, examina todo o
pacote para determinar o que deve ser feito com ele
Permite, por exemplo, bloquear telnet atravs da porta de
ftp. Ou ainda, verificar que controles de um Trojan esto
sendo enviados pela porta 80 de HTTP, e bloque-los
Um dos principais benefcios o conhecimento a nvel de
aplicao
Utiliza um conjunto de regras mais complexa

Topologias de segurana
Gateway de camada de aplicao
Desvantagens:
Cada pacote e completamente reconstrudo, comparado a
uma srie de regras complexas e novamente desmontado.
O que o torna mais lento.
Apenas uma frao das aplicaes tem regras prdefinidas, qualquer outra tem que ser manualmente
adicionada.
Quebra o conceito de arquitetura cliente-servidor por
reconstruir o pacote atravs de todo o modelo OSI at a
camada de aplicao.

O cliente estabelece uma conexo com o firewall, onde o

pacote analizado, em seguida o firewall cria uma conexo
com o servidor para o cliente.

Topologias de segurana

O trfego filtrado baseado em

regras especficas de aplicao,
como aplicaes especficas (ex.
browsers) ou um protocolo (ex.
FTP), ou ainda uma combninao
de ambos.
O trfego desconhecido
permitido at o topo da camada
de transporte

Topologias de segurana
Inspeo de estado
Trata-se da interseco entre duas tecnologias
Benefcios:
Mais robusto que filtragem de pacotes e mais verstil que
gateway de camada de aplicao.
Possu conhecimento a nvel de aplicao sem quebrar
efetivamente a arquitetura cliente servidor.
Mais rpido que gateway de camada de aplicao por no
desmontar e remontar todos os pacotes.
Utiliza um conjunto de regras mais complexa.
Mais seguro que a filtragem de pacotes por permitir
conhecimento dos dados na camada de aplicao.
Introduz o conceito de conhecimento do estado da
comunicao e da aplicao.

Topologias de segurana
Inspeo de estado
Mecanismo de funcionamento:
Monitora

estados de comunicao e aplicaes

atravs de suas requisies, alm de saber qual
a resposta esperada por cada sesso.
Permite abertura dinmica de portas e
fechamento automtico aps o final da conexo
Exemplo: FTP

Topologias de segurana

O trfego filtrado em trs

nveis, baseado em uma grande
variedade de regras de
aplicao, sesso e/ou filtragem
de pacotes.
O trfego desconhecido
permitido apenas at a camada
3

Topologias de segurana
Defesa em camadas

Define o uso de mltiplas camadas de segurana;

Evita a utilizao de uma nica linha de defesa
Falso sentimento de segurana.
Outras tecnologias devem ser utilizadas:
IDS, auditoria, controle de acesso por biometria, mltiplos
nveis de segurana.
IDS
Firewall
Auditoria e Controle
de Acesso
Poltica de Segurana

Topologias de segurana
Zona Desmilitarizada (DMZ)
Introduo
Termo militar, se refere a uma zona segura entre faixas em
conflito;
Regras severas definem o que pode trafegar em uma DMZ;
Em segurana de redes: Segmento neutro da rede onde o
pblico tem acesso restrito;

Topologias de segurana
Zona Desmilitarizada (DMZ)
Implementaes de DMZ normalmente so:
Implementaes de DMZ em camadas (entre
firewalls);
Permite a utilizao de sockets;
Tambm conhecida como rede protegida;
protegida

Implementaes de Firewalls com mltiplas

interfaces (interfaces distintas do mesmo firewall);
Um nico firewall responsvel por todos os trfegos;
Diminui o custo em hardware e esforo de
administrao;

Topologias de segurana
Zona Desmilitarizada (DMZ)

Em Camadas

Mltiplas Interfaces

Host localizados em uma DMZ podem ser acessados tanto por

redes externas (como a Internet) como pela rede interna
(Intranet). Exemplos de tais servios so:
Servidores de DNS, WEB, FTP, Bastion Hosts

Topologias de segurana
Zona Desmilitarizada (DMZ)

A funo do firewall nestes cenrio controlar

trfego entre segmentos;
Tentativas de acesso entre a DMZ e a rede interna
devem ser rejeitadas e logadas para auditoria;

Topologias de segurana
Zona Desmilitarizada (DMZ)

A DMZ deve prover espao para servios como:

Sites Internet de acesso WEB:
WEB Servidores como o IIS, o
Apache, provm servios que podem ser utilizados tanto
interna como externamente;
Servios de FTP:
FTP Servio no seguro; informaes triviais;
Encaminhamento de E-Mail:
E-Mail Filtro de e-mail que entra;
mascara o servidor de e-mail que sai; potencialmente
perigoso;
Servios de DNS:
DNS Deve ficar exposto, porm bem
monitorado e mantido; excesso de informao deve ser
evitada; Zone X-fer;
Deteco de Intruso:
Intruso uma localizao de difcil
manuteno;
DarkNets:
DarkNets um segmento de rede que no leva a lugar
nenhum. Serve para coletar pacotes malconfigurados ou
maliciosos.

Topologias de segurana
Zona Desmilitarizada
(DMZ)
Mltiplas necessidades
requerem mltiplas zonas

Topologias de segurana
Deteco de Intruso
IDS
Dispositivos dedicados
Componentes baseados em software
Monitoram trafego ou atividades
especficas do usurio, com o
objetivo de:
Identificar aes maliciosas
Tentativas de acesso no autorizado
Ataques

O IDS no substitui a necessidade

do firewall, software de anti-virus,
polticas de segurana, e outros
controles

Topologias de segurana
Deteco de Intruso
Classes de IDS
Anlise de assinaturas

Ataques conhecidos, pontos vulnerveis conhecidos

Pattern-matching
Precisa atualizar a lista de assinaturas
Comparao com anti-vrus

Anlise estatstica
Observao dos desvios na utilizao padro do sistema, rede
ou aplicao
Precisa de uma referncia (Utilizao de CPU, I/O, horrio de
logins, ...) Treino do IDS

Anlise de integridade
Identifica modificao em arquivos ou objetos do sistema
Utiliza criptografia (Hashes criptogrficos)

Topologias de segurana
Deteco de Intruso
Principais Caractersticas
Pode funcionar com pouca ou nenhuma
superviso
tolerante a falhas
No exige muitos recursos do sistema
preciso. Apresenta poucos:
Falso positivo:
positivo Quando o IDS classifica uma
ao legitima como maliciosa
Falso Negativo:
Negativo Quando uma ao maliciosa
no identificada

Topologias de segurana
Deteco de Intruso
Categorias de IDS
NIDS Network Intrusion Detection
System (mais comum)
HIDS Host Intrusion Detection System
IDS de Aplicao
IDS de Integridade
http://www.tripwire.com

Topologias de segurana
Deteco de Intruso NIDS
Equipamentos ou componentes de software
Funcionam em modo Promscuo sniffando o trfego da rede
e colocam a placa de rede em modo Full Stealth
Distribudos pela rede e integrados a uma console de
gerenciamento
Em sua maior parte so baseados em assinaturas
Podem ser completamente invisveis para atacantes por no
precisarem de endereos IP e no responderem a probes
como PINGs
Desvantagens:
S alarma se houver uma identificao com uma assinatura
No informa se o ataque teve sucesso
Tem pouca eficincia contra trafego encriptado ou redes muito
rpidas (Gigabit Ethernets)

Topologias de segurana
Deteco de Intruso HIDS
Rede de sensores carregados em diversos equipamentos
espalhados pela rede, gerenciados por uma console
centralizada
Os sensores observam os eventos associados ao
equipamento que eles esto presentes
Possibilita verificar o sucesso do ataque (sensor no prprio
equipamento)
Efetivo contra trfego encriptado (analisa o prprio sistema)
No necessita de hardware adicional. Menor custo
Desvantagens:

Atividade na rede no visvel a um sensor do sistema

Utiliza mecanismos de auditoria que consomem mais recursos
Gerencia e Implantao difcil em grandes redes
Pode demandar muito espao para armazenamento de logs

Topologias de segurana
Deteco de Intruso HIDS (cont.)
Os 5 Tipos Bsicos de sensores HIDS

Analisadores de Logs
Sensores Baseados em assinaturas
Analisadores de System Calls
Analisadores de Comportamento para
aplicaes
Analisadores de integridade de arquivos

Topologias de segurana
Deteco de Intruso (cont.)
IDS de Aplicao
Coleta informao no nvel da aplicao
SGBDs, Firewalls, Servidores WEB

No so muito populares atualmente

Existe a tendncia de migrao do foco em segurana
da rede para o conjunto servidores/aplicaes.

Desvantagens
Quantidade excessiva de aplicaes para suportar
S monitora um componente por vez

Topologias de segurana
Deteco de Intruso (cont.)
IPS Intrusion Prevention System
Foca na preveno e no na reao
Mecanismos:
Host-based com proteo de memria e processos
(interrupo de BufferOverflows)
Interceptao de sesso (Envio de RST)
Gateway Intrusion Detection (Modificao de ACLs)

HoneyPots

Utilizada em Forense Computacional

um IDS disfarado de servidor na rede
Pode estar disfarado de servio, host ou servidor
No resolve um problema, captura informaes
Quando distribudas compem as HoneyNets