Professional Documents
Culture Documents
Topologias e IDS
Carlos Sampaio
Agenda
Topologia de Segurana
Zonas de Segurana
DMZs
Deteco de Intruso (IDS / IPS)
Topologias de segurana
Fundamentos de infra-estrutura de redes
Nem todas as redes so criadas igualmente, por
isso no devem ser igualmente organizadas;
Um exemplo de uma aplicao de e-commerce,
com servidores IIS, e servidores customizados de
middle-tier e servidores de Banco SQL
Topologias de segurana
Zonas de Segurana
Diz-se de uma zona de segurana, qualquer
poro de uma rede que necessita de requisitos
de segurana especiais. Intranet, extranet,
DMZs e VLANs, so exemplos de zonas de
segurana
Segmentos de rede distintos;
Agrupamentos lgicos;
Que tipo de informao manipulada;
Quem utiliza;
Qual nvel de segurana requisitado;
Topologias de segurana
Firewall, DMZ e IDS
Firewall
um equipamento utilizado para proteger a rede interna de uma
organizao de ameaas lgicas de redes externas, como a
Internet;
Da mesma forma que uma porta fechada protege seu contedo de
ameaas fsicas externas;
Topologias de segurana
Firewall (cont.)
No mnimo, um firewall deve ser capaz de:
Topologias de segurana
Firewall (cont.)
Firewalls atuais tem a capacidade
de reagir a deteco de intruso
com a atualizao de regras;
Sistemas de IDS integrados;
Redes virtuais privadas
integradas (VPNs)
Capacidade de executar tcnicas
de proxy transparente;
Obs1.: Quanto maior for o
nmero de servios disponveis
em um firewall maior a
probabilidade de um ataque
direcionado ter sucesso.
Obs2.: O firewall por si s no
garante segurana
Topologias de segurana
Tecnologias de Firewall
As tecnologias de firewall mais
utilizadas so:
Filtragem de pacotes
Gateways de camada de aplicao
Inspeo de estado (statefull inspection)
Topologias de segurana
Filtragem de Pacotes:
Opera na camada 3 (rede) do modelo OSI
Funciona permitindo ou negando trfego por uma
porta especfica
Opera de maneira mais rpida pois s verifica o
contedo do cabealho do pacote
Pode ser configurado para permitir o negar acesso
portas especficas ou endereos IP
Possui apenas duas diretivas para poltica de filtragem
Permite por padro
Nega por padro (melhor prtica)
Topologias de segurana
Filtragem de Pacotes:
Opera em ambas as direes:
Impede a entrada de elementos nocivos rede
Restringe o trfego a rede externa
Topologias de segurana
Exemplo de conexo: FTP
Modo Ativo:
1.
2.
3.
Modo Passivo:
1.
2.
3.
4.
Topologias de segurana
Filtragem de Pacotes:
Benefcios:
Velocidade Apenas o cabealho examinado e uma tabela
bsica de regras analisada;
Facilidade de uso As regras deste tipo de firewall so
fceis de definir, e portas podem ser abertas ou fechadas
rapidamente;
Transparncia Pacotes podem trafegar por este tipo de
firewall sem que remetente ou destinatrio saibam de sua
existncia;
Desvantagens:
Rigidez Uma porta s pode estar aberta ou fechada,
abertura/fechamento por demanda no so suportados
Anlise de contedo Este tipo de firewall no enxerga
alm do cabealho, portanto, se um pacote tiver um
cabealho vlido, ele pode ter qualquer contedo, inclusive
malicioso.
Topologias de segurana
Topologias de segurana
Gateway de camada de aplicao
Tambm conhecido com filtragem por aplicao
Benefcios:
Mais avanada que a filtragem de pacotes, examina todo o
pacote para determinar o que deve ser feito com ele
Permite, por exemplo, bloquear telnet atravs da porta de
ftp. Ou ainda, verificar que controles de um Trojan esto
sendo enviados pela porta 80 de HTTP, e bloque-los
Um dos principais benefcios o conhecimento a nvel de
aplicao
Utiliza um conjunto de regras mais complexa
Topologias de segurana
Gateway de camada de aplicao
Desvantagens:
Cada pacote e completamente reconstrudo, comparado a
uma srie de regras complexas e novamente desmontado.
O que o torna mais lento.
Apenas uma frao das aplicaes tem regras prdefinidas, qualquer outra tem que ser manualmente
adicionada.
Quebra o conceito de arquitetura cliente-servidor por
reconstruir o pacote atravs de todo o modelo OSI at a
camada de aplicao.
Topologias de segurana
Topologias de segurana
Inspeo de estado
Trata-se da interseco entre duas tecnologias
Benefcios:
Mais robusto que filtragem de pacotes e mais verstil que
gateway de camada de aplicao.
Possu conhecimento a nvel de aplicao sem quebrar
efetivamente a arquitetura cliente servidor.
Mais rpido que gateway de camada de aplicao por no
desmontar e remontar todos os pacotes.
Utiliza um conjunto de regras mais complexa.
Mais seguro que a filtragem de pacotes por permitir
conhecimento dos dados na camada de aplicao.
Introduz o conceito de conhecimento do estado da
comunicao e da aplicao.
Topologias de segurana
Inspeo de estado
Mecanismo de funcionamento:
Monitora
Topologias de segurana
Topologias de segurana
Defesa em camadas
Topologias de segurana
Zona Desmilitarizada (DMZ)
Introduo
Termo militar, se refere a uma zona segura entre faixas em
conflito;
Regras severas definem o que pode trafegar em uma DMZ;
Em segurana de redes: Segmento neutro da rede onde o
pblico tem acesso restrito;
Topologias de segurana
Zona Desmilitarizada (DMZ)
Implementaes de DMZ normalmente so:
Implementaes de DMZ em camadas (entre
firewalls);
Permite a utilizao de sockets;
Tambm conhecida como rede protegida;
protegida
Topologias de segurana
Zona Desmilitarizada (DMZ)
Em Camadas
Mltiplas Interfaces
Topologias de segurana
Zona Desmilitarizada (DMZ)
Topologias de segurana
Zona Desmilitarizada (DMZ)
Topologias de segurana
Zona Desmilitarizada
(DMZ)
Mltiplas necessidades
requerem mltiplas zonas
Topologias de segurana
Deteco de Intruso
IDS
Dispositivos dedicados
Componentes baseados em software
Monitoram trafego ou atividades
especficas do usurio, com o
objetivo de:
Identificar aes maliciosas
Tentativas de acesso no autorizado
Ataques
Topologias de segurana
Deteco de Intruso
Classes de IDS
Anlise de assinaturas
Anlise estatstica
Observao dos desvios na utilizao padro do sistema, rede
ou aplicao
Precisa de uma referncia (Utilizao de CPU, I/O, horrio de
logins, ...) Treino do IDS
Anlise de integridade
Identifica modificao em arquivos ou objetos do sistema
Utiliza criptografia (Hashes criptogrficos)
Topologias de segurana
Deteco de Intruso
Principais Caractersticas
Pode funcionar com pouca ou nenhuma
superviso
tolerante a falhas
No exige muitos recursos do sistema
preciso. Apresenta poucos:
Falso positivo:
positivo Quando o IDS classifica uma
ao legitima como maliciosa
Falso Negativo:
Negativo Quando uma ao maliciosa
no identificada
Topologias de segurana
Deteco de Intruso
Categorias de IDS
NIDS Network Intrusion Detection
System (mais comum)
HIDS Host Intrusion Detection System
IDS de Aplicao
IDS de Integridade
http://www.tripwire.com
Topologias de segurana
Deteco de Intruso NIDS
Equipamentos ou componentes de software
Funcionam em modo Promscuo sniffando o trfego da rede
e colocam a placa de rede em modo Full Stealth
Distribudos pela rede e integrados a uma console de
gerenciamento
Em sua maior parte so baseados em assinaturas
Podem ser completamente invisveis para atacantes por no
precisarem de endereos IP e no responderem a probes
como PINGs
Desvantagens:
S alarma se houver uma identificao com uma assinatura
No informa se o ataque teve sucesso
Tem pouca eficincia contra trafego encriptado ou redes muito
rpidas (Gigabit Ethernets)
Topologias de segurana
Deteco de Intruso HIDS
Rede de sensores carregados em diversos equipamentos
espalhados pela rede, gerenciados por uma console
centralizada
Os sensores observam os eventos associados ao
equipamento que eles esto presentes
Possibilita verificar o sucesso do ataque (sensor no prprio
equipamento)
Efetivo contra trfego encriptado (analisa o prprio sistema)
No necessita de hardware adicional. Menor custo
Desvantagens:
Topologias de segurana
Deteco de Intruso HIDS (cont.)
Os 5 Tipos Bsicos de sensores HIDS
Analisadores de Logs
Sensores Baseados em assinaturas
Analisadores de System Calls
Analisadores de Comportamento para
aplicaes
Analisadores de integridade de arquivos
Topologias de segurana
Deteco de Intruso (cont.)
IDS de Aplicao
Coleta informao no nvel da aplicao
SGBDs, Firewalls, Servidores WEB
Desvantagens
Quantidade excessiva de aplicaes para suportar
S monitora um componente por vez
Topologias de segurana
Deteco de Intruso (cont.)
IPS Intrusion Prevention System
Foca na preveno e no na reao
Mecanismos:
Host-based com proteo de memria e processos
(interrupo de BufferOverflows)
Interceptao de sesso (Envio de RST)
Gateway Intrusion Detection (Modificao de ACLs)
HoneyPots