Domínio de Conhecimento 3 Topologias e IDS Carlos Sampaio

Domínio de Conhecimento 3Domínio de Conhecimento 3Topologias e IDSTopologias e IDS

Carlos Sampaio

Agenda

• Topologia de SegurançaTopologia de Segurança– Zonas de Segurança– DMZ’s– Detecção de Intrusão (IDS / IPS)

Topologias de segurança

• Fundamentos de infra-estrutura de redes– Nem todas as redes são criadas igualmente, por

isso não devem ser igualmente organizadas;– Um exemplo de uma aplicação de e-commerce,

com servidores IIS, e servidores customizados de middle-tier e servidores de Banco SQL

Servidores SQL

Servidores IIS Servidores Middle-Tier


• Zonas de SegurançaZonas de Segurança– Diz-se de uma zona de segurança, qualquer

porção de uma rede que necessita de requisitos de segurança especiais. Intranet, extranet, DMZ’s e VLAN’s, são exemplos de zonas de segurança

– Segmentos de rede distintos;– Agrupamentos lógicos;

• Que tipo de informação é manipulada;• Quem utiliza;• Qual nível de segurança é requisitado;


• Firewall, DMZ e IDS– FirewallFirewall

• É um equipamento utilizado para proteger a rede interna de uma organização de ameaças lógicas de redes externas, como a Internet;

• Da mesma forma que uma porta fechada protege seu conteúdo de ameaças físicas externas;

Servidor WEB

Servidores Corporativos

Servidor dee-mail

Internet(Rede Externa)

Firewall

• O Firewall utiliza uma tabela de regras predefinidas, de forma a permitir ou bloquear o trafego através dele, provendo assim segurança aos equipamentos localizados depois dele;


• Firewall (cont.)Firewall (cont.)– No mínimo, um firewall deve ser capaz de:

• Bloquear trafego baseado em regras predefinidas;• Mascarar a presença de redes (ou hosts) ao mundo externo;• Reduzir a quantidade de informações apresentada como resposta;• Logar e manter uma trilha de auditoria de tráfego que entra e que sai;• Prover métodos de autenticação adicionais;


• Firewall (cont.)Firewall (cont.)– Firewalls atuais tem a

capacidade de reagir a detecção de intrusão com a atualização de regras;

– Sistemas de IDS integrados;– Redes virtuais privadas

integradas (VPN’s)– Capacidade de executar

técnicas de proxy transparente; Obs1.: Quanto maior for o Obs1.: Quanto maior for o

número de serviços disponíveis número de serviços disponíveis em um firewall maior é a em um firewall maior é a probabilidade de um ataque probabilidade de um ataque direcionado ter sucesso.direcionado ter sucesso.

Obs2.: O firewall por si só não Obs2.: O firewall por si só não garante segurançagarante segurança


• Tecnologias de Firewall• As tecnologias de firewall mais

utilizadas são: Filtragem de pacotesFiltragem de pacotes Gateways de camada de aplicaçãoGateways de camada de aplicação Inspeção de estado (statefull inspection)Inspeção de estado (statefull inspection)

• Qualquer uma das tecnologias acima têm suas vantagensvantagens e desvantagensdesvantagens,

• Cabe ao administrador de segurança determinar a que deverá ser utilizada em cada caso


Filtragem de Pacotes:• Opera na camada 3 (rede) do modelo OSI• Funciona permitindo ou negando tráfego por uma

porta específica• Opera de maneira mais rápida pois só verifica o

conteúdo do cabeçalho do pacote• Pode ser configurado para permitir o negar acesso à

portas específicas ou endereços IP• Possui apenas duas diretivas para política de

filtragem Permite por padrão Nega por padrão (melhor prática)

Ex.: ipfw, Firewalls pessoais, Wireless Routers, ...


Filtragem de Pacotes:• Opera em ambas as direções:

Impede a entrada de elementos nocivos à redeRestringe o tráfego a rede externa

• Exemplo: Trojan (Cavalo de Tróia) Portas conhecidas (well-known)

• Total de 65535 portas• Destas, as primeiras 1023 são portas conhecidas• Portas acima de 1023 são consideradas portas registradas

ou portas dinâmicas/privadas Portas registradas: de 1024 a 49.151 Portas Dinamicas/privadas 49.151 a 65.535

• Muitas destas portas oferecem vulnerabilidades, mesmo as portas conhecidas, melhor manter o desnecessário fechado

Topologias de segurança Exemplo de conexão: FTP

• Modo Ativo:Modo Ativo:1. O cliente FTP inicia uma conexão de controle a partir de uma

porta qualquer, maior que 1024, na porta 21 do servidor2. O cliente FTP envia um comando PORT instruindo o servidor a

estabelecer uma conexão para uma porta uma unidade mais alta que a conexão de controle. Esta será a porta de dados do cliente

3. O servidor irá enviar dados ao cliente, a partir da porta 20 do servidor, para a porta de dados do cliente

• Modo Passivo:Modo Passivo:1. O cliente FTP inicia uma conexão a partir de uma porta qualquer

maior que 1024 como porta de controle, e inicia uma outra porta, uma unidade mais alta que a de controle, como porta de dados.

2. O cliente então envia um comando PASV, instruindo o servidor a abrir uma porta de dados qualquer

3. O Servidor envia um comando PORT indicando ao cliente a porta que ele iniciou

4. O cliente pode assim enviar e receber dados através da porta de dados que o servido o instruiu a utilizar


Filtragem de Pacotes:• Benefícios:Benefícios:

VelocidadeVelocidade – Apenas o cabeçalho é examinado e uma tabela básica de regras é analisada;

Facilidade de uso Facilidade de uso – As regras deste tipo de firewall são fáceis de definir, e portas podem ser abertas ou fechadas rapidamente;

Transparência Transparência – Pacotes podem trafegar por este tipo de firewall sem que remetente ou destinatário saibam de sua existência;

• Desvantagens:Desvantagens: RigidezRigidez – Uma porta só pode estar aberta ou fechada,

abertura/fechamento por demanda não são suportados Análise de conteúdo Análise de conteúdo – Este tipo de firewall não enxerga

além do cabeçalho, portanto, se um pacote tiver um cabeçalho válido, ele pode ter qualquer conteúdo, inclusive malicioso.


O tráfego é filtrado baseado em regras específicas, que incluem: IP de origem e destino, tipo de pacote (TCP/UDP), numero da porta, etc...

Todo tráfego desconhecido é permitido apenas até a camada OSI 3


Gateway de camada de aplicação• Também conhecido com filtragem por aplicação• Benefícios:Benefícios:

Mais avançada que a filtragem de pacotes, examina todo o pacote para determinar o que deve ser feito com ele

Permite, por exemplo, bloquear telnet através da porta de ftp. Ou ainda, verificar que controles de um Trojan estão sendo enviados pela porta 80 de HTTP, e bloqueá-los

Um dos principais benefícios é o conhecimento a nível de aplicação

Utiliza um conjunto de regras mais complexa


Gateway de camada de aplicação• Desvantagens:Desvantagens:

Cada pacote e completamente reconstruído, comparado a uma série de regras complexas e novamente desmontado. O que o torna mais lento.

Apenas uma fração das aplicações tem regras pré-definidas, qualquer outra tem que ser manualmente adicionada.

Quebra o conceito de arquitetura cliente-servidor por reconstruir o pacote através de todo o modelo OSI até a camada de aplicação.

O cliente estabelece uma conexão com o firewall, onde o pacote é analizado, em seguida o firewall cria uma conexão com o servidor para o cliente.


O tráfego é filtrado baseado em regras específicas de aplicação, como aplicações específicas (ex. browsers) ou um protocolo (ex. FTP), ou ainda uma combninação de ambos.

O tráfego desconhecido é permitido até o topo da camada de transporte


Inspeção de estado• Trata-se da intersecção entre duas tecnologias• Benefícios:Benefícios:

Mais robusto que filtragem de pacotes e mais versátil que gateway de camada de aplicação.

Possuí conhecimento a nível de aplicação sem quebrar efetivamente a arquitetura cliente servidor.

Mais rápido que gateway de camada de aplicação por não desmontar e remontar todos os pacotes.

Utiliza um conjunto de regras mais complexa. Mais seguro que a filtragem de pacotes por permitir

conhecimento dos dados na camada de aplicação. Introduz o conceito de conhecimento do estado da

comunicação e da aplicação.


Inspeção de estado• Mecanismo de funcionamento:

Monitora estados de comunicação e aplicações através de suas requisições, além de saber qual a resposta esperada por cada sessão.

Permite abertura dinâmica de portas e fechamento automático após o final da conexão

Exemplo: FTPExemplo: FTP


O tráfego é filtrado em três níveis, baseado em uma grande variedade de regras de aplicação, sessão e/ou filtragem de pacotes.

O tráfego desconhecido é permitido apenas até a camada 3

IDSIDS

FirewallFirewall

Auditoria e Controle Auditoria e Controle de Acessode Acesso

Política de SegurançaPolítica de Segurança


• Defesa em camadasDefesa em camadas– Define o uso de múltiplas camadas de segurança;– Evita a utilização de uma única linha de defesa– Falso sentimento de segurança.– Outras tecnologias devem ser utilizadas:– IDS, auditoria, controle de acesso por biometria, múltiplos

níveis de segurança.Política de Segurança

Auditoria e Controle de Acesso

Firewall

IDS


• Zona Desmilitarizada (DMZ)Zona Desmilitarizada (DMZ) – Introdução

• Termo militar, se refere a uma zona segura entre faixas em conflito;

• Regras severas definem o que pode trafegar em uma DMZ;• Em segurança de redes: Segmento “neutro” da rede onde o

público tem acesso restrito;


• Zona Desmilitarizada (DMZ)Zona Desmilitarizada (DMZ) – Implementações de DMZ normalmente são:

• Implementações de DMZ em camadas (entre firewalls);

– Permite a utilização de sockets;– Também conhecida como “rede protegidarede protegida”;

• Implementações de Firewalls com múltiplas interfaces (interfaces distintas do mesmo firewall);

– Um único firewall responsável por todos os tráfegos;– Diminui o custo em hardware e esforço de

administração;


• Zona Desmilitarizada (DMZ)Zona Desmilitarizada (DMZ)

Em CamadasEm Camadas Múltiplas InterfacesMúltiplas Interfaces

– Host localizados em uma DMZ podem ser acessados tanto por redes externas (como a Internet) como pela rede interna (Intranet). Exemplos de tais serviços são:

– Servidores de DNS, WEB, FTP, “Bastion Hosts”

Servidorde E-Mail

ServidorWEB

RedeInterna

Servidorde E-Mail

ServidorWEB

RedeInterna


• Zona Desmilitarizada (DMZ)Zona Desmilitarizada (DMZ)– A função do firewall nestes cenário é controlar

tráfego entre segmentos;– Tentativas de acesso entre a DMZ e a rede interna

devem ser rejeitadas e logadas para auditoria;


• Zona Desmilitarizada (DMZ)Zona Desmilitarizada (DMZ)– A DMZ deve prover espaço para serviços como:

• Sites Internet de acesso WEBSites Internet de acesso WEB: Servidores como o IIS, o Apache, provêm serviços que podem ser utilizados tanto interna como externamente;

• Serviços de FTPServiços de FTP: Serviço não seguro; informações triviais;• Encaminhamento de E-MailEncaminhamento de E-Mail: Filtro de e-mail que entra;

mascara o servidor de e-mail que sai; potencialmente perigoso;

• Serviços de DNSServiços de DNS: Deve ficar exposto, porém bem monitorado e mantido; excesso de informação deve ser evitada; Zone X-fer;

• Detecção de IntrusãoDetecção de Intrusão: É uma localização de difícil manutenção;

• DarkNetsDarkNets: É um segmento de rede que não leva a lugar nenhum. Serve para coletar pacotes malconfigurados ou maliciosos.


• Zona Desmilitarizada Zona Desmilitarizada (DMZ)(DMZ)– Múltiplas necessidades

requerem múltiplas zonas

Servidorde E-Mail

ServidorWEB

RedeInterna

Bancode Dados

Arquivos


• Detecção de IntrusãoDetecção de Intrusão• IDS

– Dispositivos dedicados– Componentes baseados em software– Monitoram trafego ou atividades

específicas do usuário, com o objetivo de:

• Identificar ações maliciosas• Tentativas de acesso não autorizado• Ataques

O IDS não substitui a necessidade O IDS não substitui a necessidade do firewall, software de anti-virus, do firewall, software de anti-virus, políticas de segurança, e outros políticas de segurança, e outros controlescontroles


• Detecção de IntrusãoDetecção de Intrusão• Classes de IDS

– Análise de assinaturas• Ataques conhecidos, pontos vulneráveis conhecidos• Pattern-matching• Precisa atualizar a lista de assinaturas• Comparação com anti-vírus

– Análise estatística• Observação dos desvios na utilização padrão do sistema, rede

ou aplicação• Precisa de uma referência (Utilizaçào de CPU, I/O, horário de

logins, ...) – Treino do IDSTreino do IDS– Análise de integridade

• Identifica modificação em arquivos ou objetos do sistema• Utiliza criptografia (Hashes criptográficos)


• Detecção de IntrusãoDetecção de Intrusão• Principais Características

– Pode funcionar com pouca ou nenhuma supervisão

– É tolerante a falhas– Não exige muitos recursos do sistema– É preciso. Apresenta poucos:

• Falso positivoFalso positivo: Quando o IDS classifica uma ação legitima como maliciosa

• Falso NegativoFalso Negativo: Quando uma ação maliciosa não é identificada


• Detecção de IntrusãoDetecção de Intrusão

• Categorias de IDS– NIDS – Network Intrusion Detection

System (mais comum)– HIDS – Host Intrusion Detection System– IDS de Aplicação– IDS de Integridade

• http://www.tripwire.com

http://www.tripwire.com/

http://www.cisco.com/warp/public/cc/pd/sqsw/sqidsz/index.shtml

http://www.networkice.com/


• Detecção de Intrusão – NIDSDetecção de Intrusão – NIDS– Equipamentos ou componentes de software– Funcionam em modo PromíscuoPromíscuo sniffando o tráfego da rede

e colocam a placa de rede em modo Full StealthFull Stealth– Distribuídos pela rede e integrados a uma console de

gerenciamento– Em sua maior parte são baseados em assinaturas– Podem ser completamente invisíveis para atacantes por não

precisarem de endereços IP e não responderem a probesprobes como PINGs

– Desvantagens:• Só alarma se houver uma identificação com uma assinatura• Não informa se o ataque teve sucesso• Tem pouca eficiência contra trafego encriptado ou redes muito

rápidas (Gigabit Ethernets)


• Detecção de Intrusão – HIDSDetecção de Intrusão – HIDS– Rede de sensores carregados em diversos equipamentos

espalhados pela rede, gerenciados por uma console centralizada

– Os sensores observam os eventos associados ao equipamento que eles estão presentes

– Possibilita verificar o sucesso do ataque (sensor no próprio equipamento)

– Efetivo contra tráfego encriptadotráfego encriptado (analisa o próprio sistema)– Não necessita de hardware adicional. Menor custo – Desvantagens:

• Atividade na rede não é visível a um sensor do sistema• Utiliza mecanismos de auditoria que consomem mais recursos• Gerencia e Implantação difícil em grandes redes• Pode demandar muito espaço para armazenamento de logs


• Detecção de Intrusão – HIDS (cont.)Detecção de Intrusão – HIDS (cont.)– Os 5 Tipos Básicos de sensores HIDS

• Analisadores de Logs• Sensores Baseados em assinaturas• Analisadores de System CallsSystem Calls• Analisadores de Comportamento para

aplicações• Analisadores de integridade de arquivos


• Detecção de Intrusão (cont.)Detecção de Intrusão (cont.)– IDS de Aplicação

• Coleta informação no nível da aplicação– SGBD’s, Firewalls, Servidores WEB

• Não são muito populares atualmente– Existe a tendência de migração do foco em segurança

da rede para o conjunto servidores/aplicações.

• Desvantagens– Quantidade excessiva de aplicações para suportar– Só monitora um componente por vez


• Detecção de Intrusão (cont.)Detecção de Intrusão (cont.)– IPS – Intrusion Prevention System

• Foca na prevenção e não na reação• Mecanismos:

– Host-based com proteção de memória e processos Host-based com proteção de memória e processos (interrupção de BufferOverflows)

– Interceptação de sessãoInterceptação de sessão (Envio de RST)

– Gateway Intrusion DetectionGateway Intrusion Detection (Modificação de ACL’s)

– HoneyPotsHoneyPots• Utilizada em Forense Computacional• É um IDS disfarçado de servidor na rede• Pode estar disfarçado de serviço, host ou servidor• Não resolve um problema, captura informações• Quando distribuídas compõem as HoneyNetsHoneyNets

Documents

Domínio de Conhecimento 3 Topologias e IDS Carlos Sampaio