Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
Infraestrutura de Segurança – Aula 05
Profa Janniele Aparecida Soares Araujo
CSI463 – Segurança e Auditoria de Sistemas
2
Infraestrutura de Segurança
● Controles de Segurança● Uma vez identificados os impactos e as ameaças e calculado os
riscos, são desenvolvidas estratégias para controlar esse ambiente vulnerável, quatro linhas de ações podem ser estabelecidas● Eliminar risco● Reduzir o risco a um nível aceitável● Limitar o dano, reduzindo o impacto● Compensar o dano, por meio de seguros
3
Infraestrutura de Segurança
● Controle em camadas● Ambientes computacionais são complexos● A disposição de várias camadas de segurança entre a ameaça e o recurso
diminui consideravelmente a vulnerabilidade desse recurso, pois mesmo se uma camada for quebrada, existirão ainda outras para proteger o recurso
● Subdivisão dos sistemas de informações em 4 camadas● Programas aplicativos● Serviços● Sistema operacional● Hardware
● É imprescindível levar em consideração os controles de segurança física e os controles administrativos.
4
Infraestrutura de Segurança
● Segurança do ambiente físico● É preciso combinar medidas de prevenção, detecção e reação aos
incidentes● ISO 17.799 define barreira de segurança quaisquer medidas
preventivas que impeçam ataques aos ativos da informação● Físicas: muros, cercas, trancas● Lógicas: senhas de logon, token
● Perímetro de segurança ajuda a estabelecer os melhores investimentos e definir tipos de barreiras mais adequados
5
Infraestrutura de Segurança
● Segurança do ambiente físico: escritórios, salas e instalações de processamento de dados● ISO 17.799 recomenda escritórios fechados ou com várias salas
dentro de um perímetro seguro que considere as ameças● Fogo, poeira, fumaça, vibração, vazamento de água, explosão, manifestações civis
ou desastres naturais
● A norma sugere mecanismos de bloqueio contra acesso não autorizado e treinamento para os prestadores de serviços de limpeza e manutenção
6
Infraestrutura de Segurança
● Segurança do ambiente físico: equipamentos● ISO 17.799 aponta opções para garantir a continuidade do
fornecimento elétrico● Alimentação com múltiplas fontes, nobreaks e geradores reserva
● A norma também sugere medidas preventivas para garantir o perfeito funcionamento dos equipamentos como o planejamento de manutenções periódicas
7
Infraestrutura de Segurança
● Segurança do ambiente físico: documentos em papel eletrônicos● Cuidados com cópias, armazenamento, transmissão e descarte● Papel
● Exige mecanismos de proteção compatíveis com o meio em que o documento em papel foi produzido: acidez do papel, umidade do ambiente● Uso de rótulos, políticas de armazenamento em local adequado, procedimentos especiais
para impressão, cópia e transmissão, recepção e envio de correspondências sigilosas
● Eletrônicos● Aparato tecnológico que os torne visíveis e compreensíveis aos seus usuários● Integridade das informações
8
Infraestrutura de Segurança
● Segurança do ambiente físico: mídias de computador● ISO 17.799 recomenda segurança dos backups, políticas de segurança
para armazenamento, controle de acesso às mídias, cópia e descarte
9
Infraestrutura de Segurança
● Segurança do ambiente físico: cabeamento● ISO 17.799 recomenda os seguintes controles para cabeamento
elétrico e de telecomunicações● Utilização de linhas subterrâneas● Proteção do cabeamento de rede contra interceptações não autorizadas ou danos● Separação de cabos elétricos dos cabos de comunicação● Uso de conduítes blindados e salas trancadas para os sistemas críticos
10
Infraestrutura de Segurança
● Segurança do ambiente lógico● Serviços de segurança são uma classe especial de medidas
preventivas relacionadas com o ambiente lógico para combater ameaças identificadas
● ISO 7498-2 aborda aspectos relacionados com segurança no modelo OSI (Open Systems Intterconnection), esse modelo refere-se a serviços de segurança de redes e seus conceitos podem ser usados para qualquer tipo de ambiente computacional● Autenticação: identidade e origem● Controle de acesso● Confidencialidade, integridade, disponibilidade, não repúdio
11
Infraestrutura de Segurança
● Segurança do ambiente lógico: segurança em redes● ISO 17.799 menciona mecanismos de proteção das redes
● Gatways e firewalls: controlam o tráfego que entra e sai, estabelece rotas de redes obrigatórias e divide grandes redes em domínios lógicos
● Técnicas de criptografia, tokens, VPNs, antivírus, etc.
12
Infraestrutura de Segurança
● Segurança do ambiente lógico: firewalls● Barreira de proteção entre um computador e o ambiente externo● Dimensionamento correto do tráfego para evitar gargalos na rede
13
Infraestrutura de Segurança
● Segurança do ambiente lógico: perímetros lógicos● Redes de perímetro ou zonas desmilitarizadas (DMZ – de-militarized
zone) permitem proteger um computador em segmento de rede que ficam entre uma rede interna e a internet
● O uso de Redes Privadas Virtuais (VPNs) criam túneis virtuais criptografados entre pontos autorizados para transferência de informação segura
14
Infraestrutura de Segurança
● Segurança do ambiente lógico: antivírus● Um bom sistema antivírus é um elemento essencial para a proteção
de redes conectadas à Internet● Atualização● Periodicidade no rastreio das máquinas
15
Infraestrutura de Segurança
● Segurança do ambiente lógico: criptografia e esteganografia● Arte ou ciência de escrever em cifras ou em códigos, com o propósito
de restringir ao destinatário a capacidade de decodificá-la e compreendê-la
● As técnicas de esteganografia possibilitam a ocultação de informações dentro de outra, usando o princípio da camuflagem
16
Infraestrutura de Segurança
● Segurança do ambiente lógico: assinatura e certificado digital● Assinatura digital tem como propósito providenciar prova inegável de
que uma mensagem veio do emissor● Uma pessoa ou instituição que queira comprovar a assinatura digital
de um documento deve obter o certificado digital correspondente
17
Infraestrutura de Segurança
● Segurança do ambiente lógico: sistemas de detecção de intrusos (IDS)● Serviço que monitora e analisa eventos de uma rede com o propósito
de encontrar e providenciar alertas em tempo real a acessos não autorizados
● Caso venha a detectar uma invasão, aciona rotinas pré-definidas pela organização a fim de inibir tal acesso
18
Aprofundando em Firewalls
Rede 1
Rede 2Firewall
Ponto único de acesso
Formado por um ou mais componentes
● Controle de acesso● Autenticação● Registro de Tráfego
19
Aprofundando em Firewalls
● O que é um Firewall?● Logicamente é um separador, analisador e filtro de pacotes● Fisicamente pode ser um roteador, um computador ou uma
combinação de roteadores, computadores com o software apropriado
● Pode trabalhar em conjunto com um Intrusion Detection System (IDS)
20
Aprofundando em Firewalls
● O que faz um Firewall?● Serve como foco das decisões de segurança● Reforça a política de segurança● Registra a atividade de Internet com eficiência● Limita a exposição
● O que um Firewall não faz?● Não protege contra atacantes internos● Não protege contra conexões que não passa por ele● Não protege contra novas vulnerabilidades● Não protege completamente contra vírus● Não se autoconfigura corretamente
21
Firewalls: funcionalidades
● Componentes básicos● Filtros● Proxies● Bastion hosts● Zonas desmilitarizadas (DMZ)
● Componentes adicionais● Network Address Translation (NAT)● Rede Privada Virtual (VPN)
22
Firewalls: funcionalidades
● Filtros● Realizam o roteamento entre os pacotes de maneira seletiva● Aceitam/descartam pacotes por meio da análise das informações de
seus cabeçalhos● Atua na camada de rede e de transporte
23
Firewalls: funcionalidades
● Proxies● Sistemas que atuam como gateways (intermediários) entre duas
redes, permitindo as requisições internas dos usuários e as respostas à essas requisições (de acordo com a política de segurança definida)
● Pode realizar uma filtragem mais apurada dos pacotes por atuar na camada de aplicação
24
Firewalls: funcionalidades
● Bastions Hosts● Trata-se de equipamentos em que são instalados os serviços a
serem oferecidos para a Internet● Estão em contato direto com conexões externas● Devem ser muito bem protegidos
25
Firewalls: funcionalidades
● Zonas desmilitarizadas - DMZ● É uma rede que fica entre a rede interna, que deve ser protegida, e
a rede externa ● Essa segmentação é feita para que caso um equipamento dessa rede
seja comprometido, a rede interna continue intacta e segura
26
Firewalls: funcionalidades
● NATs - (Network Address Translation)● Foi criado com a ideia de tratar escassez de endereços IP em
redes (internas) de grande porte● É uma técnica que consiste em reescrever os endereços IP
(reservados) de origem para IP válido e roteável quando a rede externa é acessada
● Pode esconder os endereços dos equipamentos da rede interna (esconde a topologia da rede)
27
Firewalls: funcionalidades
● VPNs - Redes Privadas Virtuais● Foi criada inicialmente para que redes com determinado protocolo
pudessem se comunicar através de outras redes● Atualmente utiliza conceitos de criptografia para manter o sigilo dos
dados (garante também integridade e autenticação)
28
Firewalls: tecnologias
● Filtro de Pacotes● Funciona na camada de rede e de transporte TCP/IP, realizando as
decisões de filtragem com base nas informações do cabeçalho de pacotes
● IP: endereço IP de origem e destino● UDP: porta origem e destino● TCP: porta de origem e destino, flags usadas para observar sentido
das conexões● Exemplo: permissão de usuários internos a websites
29
Firewalls: tecnologias
● Filtro de Pacotes● A sequência de criação de regras podem alterar a o resultado da
política de segurança
30
Firewalls: tecnologias
● Filtro de Pacotes● Vantagens
● Baixo overhead/alto desempenho da rede● Barato, simples e flexível● Transparente para o usuário
● Desvantagens● Permite conexão direta com hosts internos de clientes externos● Dificuldade para filtrar serviços que utilizam portas dinâmicas● Deixa brechas
● Validação apenas do primeiro fragmento● Difícil gerenciar em ambientes complexos
31
Firewalls: tecnologias
● Filtro de pacotes baseados em estados● Filtro de pacotes dinâmicos ou baseado em estados, decisões de
filtragem usando● Informações dos cabeçalhos dos pacotes● Tabela de estados, que guarda os estados de todas as conexões
● O firewall trabalha verificando somente o primeiro pacote de cada conexão
● Se este pacote é aceito, os demais pacotes são filtrados de acordo com as informações desta conexão na tabela de estados
32
Firewalls: tecnologias
● Filtro de pacotes baseados em estados
33
Firewalls: tecnologias
● Filtro de pacotes baseados em estados
34
Firewalls: tecnologias
● Filtro de pacotes baseados em estados
35
Firewalls: tecnologias
● Filtro de pacotes baseados em estados● Vantagens
● Baixo overhead/alto desempenho da rede (melhor do que sem estados)● Aceita quase todos os tipos de serviços● A filtragem é transparente● Melhora proteção contra ataques que utilizam portas abertas (backdoor)
● Desvantagens● Permite conexão direta para hosts internos a partir de redes externas● Não oferece autenticação de usuário
36
Firewalls: tecnologias
● Proxy● Usuário se conecta a uma porta TCP no firewall, que então abre outra
conexão no mundo exterior ● Faz com que o tráfego pareça ter origem no proxy, mascarando o
endereço do host interno, garantindo maior segurança da rede interna● Exemplo: Squid (www.squid-cache.org) → proxy HTTP● Na camada de transporte: é apenas um retransmissor, sem realizar a
verificação de serviços● Na camada de aplicação: permite que o payload de pacotes seja
filtrado● Ex: Tags HTML feitas pelo proxy HTTP
37
Firewalls: tecnologias
● Proxy● Vantagens:
● Não permite conexões diretas entre hosts internos e externos● Aceita autenticação de usuário● Analisa comandos da aplicação no payload dos pacotes de dados● Permite criar logs do tráfego
● Desvantagens:● Escalabilidade, pois requer um proxy diferente para cada aplicação● Não aceita todos os serviços● Requer que os clientes internos saibam da sua existência(está mudando com o uso
de proxy transparente)
38
Firewalls: tecnologias
● Proxy transparente● Servidor proxy modificado, que exige mudanças na camada de
aplicação e no núcleo do firewall● Redireciona as sessões que passam pelo filtro de pacotes para um
servidor proxy local● Isso é transparente para o usuário
● Não necessita configurar aplicativos● Squid pode ser usado como proxy transparente
39
Firewalls: tecnologias
● Proxy
Fonte: https://www.diegomacedo.com.br/tipos-de-firewall/
40
Firewalls: tecnologias
● Firewalls híbridos● Misturam elementos de filtros de pacotes, pacotes baseado em
estados e proxies para cada serviço específico● Utiliza estes mecanismos de segurança em paralelo● Atualmente, a maioria dos firewalls comerciais é híbrida
● Ex: telnet é manipulado por filtro de pacotes e HTTP pelo proxy (filtragem no nível da aplicação)
41
Firewalls: tecnologias
● Firewalls individuais● Atua na segurança do host individual e não da rede● A conexão na rede interna cada vez mais é feita através de laptops e
acessos remotos por equipamentos na cada do usuário, usando VPNs, necessitam de uma proteção adequada
42
Firewalls: arquiteturas
● Dual-homed host● Formada por um equipamento que tem duas interfaces de rede e
funciona como um separador entre as duas redes● Vantagens:
● Provê um alto grau de controle, pois além de filtrar os pacotes indesejados, possibilita que o administrador rejeite conexões que pedem algum tipo de serviço especial, mas que não têm a permissão necessária.
● Facilitam o monitoramento das atividades dos usuários e é relativamente fácil de configurar e manter, além de ser relativamente barato
● Desvantagens:● A segurança de toda rede fica dependente de uma única máquina
43
Firewalls: arquiteturas
● Dual-homed host
Fonte: https://www.diegomacedo.com.br/tipos-de-firewall/
44
Firewalls: arquiteturas
● Screened host● Formada por um filtro de pacotes e um bastion host, se o bastion host for
comprometido, o invasor já estará dentro da rede interna● Vantagens:
● Esta configuração é bastante segura, já que oferece dois níveis de proteção (tanto na camada de rede com o screening router quanto na camada de aplicação com o bastion host)
● É relativamente fácil de configurar e de dar manutenção
● Desvantagens:● As regras do screening router devem ser bem configuradas, pois qualquer erro pode
ocasionar o envio de pacotes diretamente para a rede interna, "furando"o esquema de proteção
● Único ponto de falha● Custo deste tipo de firewall é mais alto
45
Firewalls: arquiteturas
● Screened host
Fonte: https://www.diegomacedo.com.br/tipos-de-firewall/
46
Firewalls: arquiteturas
● Screened subnet● Aumenta a segurança ao adicionar uma DMZ (zona desmilitarizada). O
bastion host fica na DMZ, o que evita que um ataque ao bastion host resulte na utilização de um sniffer para a captura de pacotes de usuários internos
● Vantagens:● Nível de segurança muito maior
● Desvantagens:● A complexidade deste sistema é alta e a sua configuração e manutenção da subnet
não é tão simples como a das firewalls anteriores● O acesso a rede é retardado porque o tráfego deve passar pela subrede● Custo deste tipo de firewall é bem elevado
47
Firewalls: arquiteturas
● Screened subnet
Fonte: https://www.diegomacedo.com.br/tipos-de-firewall/
48
Firewalls: arquiteturas
● Firewall Cooperativo● Arquitetura em que são inseridos novos componentes
● Redes privadas virtuais – VPNs● Sistemas de detecção de intrusão (IDS)● Infraestrutura de chave pública (ICP)
● Usuários internos tratados como usuários externos (não tem acesso direto – sem firewall – a servidores e demais recursos críticos)
49
Firewalls: arquiteturas
● Firewall Cooperativo● Cria uma divisão em três partes das localizações de recursos:
● Recursos públicos disponibilizados para o acesso via internet: localizado na DMZ 1● Recursos privados disponibilizados para acesso via internet: localizado na DMZ 2● Recursos internos acessados via VPN: localizado na rede interna
50
Firewalls: arquiteturas
● Firewall Cooperativo
51
Iptables
● Projeto Netfilter (http://www.netfilter.org/) com iptables no Linux● O filtro de pacotes é o componente mais conhecido do Netfilter● Há outras funções:
● Tradução de endereços (NAT)● Inspeção de estado● Enfileiramento de pacotes
● Iptables é a interface do Netfilter que permite ao administrador do sistema configurar as tabelas, cadeias e regras de filtragem
52
Iptables
● Filtro de pacote● Baseia-se em ACL ́s (Access Control List), que servem para
representar a política de segurança desejada● As ACL ́s do iptables possuem várias peculiaridades, porque vários
elementos sofisticados são utilizados para formar uma regra● O iptables utiliza os conceitos de
● Cadeias (chains)● Tabelas (Tables)● Regras (rules)
53
Iptables
● Regras● As regras são como comandos passados ao iptables para que ele realize
uma determinada ação (como bloquear ou deixar passar um pacote)● As regras são armazenadas dentro dos chains e processadas na ordem que
são inseridas● As regras são armazenadas no kernel, o que significa que quando o
computador for reiniciado tudo o que fez será perdido, por este motivo elas deverão ser gravadas em um arquivo para serem carregadas a cada inicialização
● Sintaxe: iptables [comando] [cadeia] [parâmetro] [ação]
iptables -A INPUT -s 123.123.123.1 -j DROP
54
Iptables
● Cadeias● É onde podemos especificar a situação do tratamento dos pacotes,
seja qual tabela for● Podem ser classificadas como estruturas para comportar regras● Existem dois tipos de cadeias
● Cadeias padrão● Cadeias criadas pelo usuário.
55
Iptables
● Cadeias Padrão
● INPUT● Tráfego que tem como destino a própria máquina
● FORWARD● Tráfego passante pela máquina
● OUTPUT● Tráfego gerado localmente (tanto com destino local, como remoto)
56
Iptables
● Comandos importantes● iptables -h
● Invoca a ajuda dos comandos
● iptables -L● Lista as regras do iptables
● iptables -F● Limpa todas as regras e deixa a regra padrão
● iptables -P (cadeia) (ação)● Define a regra como padrão
● iptables -P INPUT ACCEPT
● iptables -C ● Checa as regras básicas do firewall
● iptables -A● Adiciona uma nova regra a uma cadeia
57
Iptables
● Comandos importantes● iptables -D
● Apaga uma regra em uma posição da cadeia● iptables -D FORWARD 2
● iptables -R● Substitui uma regra em uma posição na cadeia
● iptables -I● Insere uma nova regra no início da lista de regras
● iptables -N● Cria uma nova regra com um nome específico
● iptables -E● Renomeia uma nova cadeia
● iptables -X● Apaga uma cadeia criada
58
Iptables
● Tabelas● Tabelas são os locais usados para armazenar os chains e conjunto de
regras com uma determinada característica em comum. As tabelas podem ser referenciadas com a opção -t tabela
● Existem 3 tabelas disponíveis no iptables● FILTER - responsável pela filtragem de todos os pacotes que passam pelo host, não
importando origem e destino● NAT - responsável pelo controle dos pacotes que passam pelo host, mas cuja origem
ou destino não é o mesmo● MANGLE - permite alterar características específicas do pacote, como por exemplo:
o TOS (Tipo de Serviço) o que permite implementar um sistema simples de QOS (qualidade de serviço)
59
Iptables
● Ações do iptables● São os destinos dados ao pacote quando o pacote coincide com a
regra● Target padrão
● ACCEPT● DROP● REJECT● LOG
● Target personalizada● Implementado com chains personalizadas
60
Iptables
● Parâmetros de ação● -p
● Define qual protocolo TCP/IP deverá ser tratado (TCP,UDP, ICMP...)
● -i● Define o nome da interface de rede de onde trafegarão os pacotes de entrada e saída do
firewall
● -o● Parecida com a regra -i, porém se aplica às cadeias OUTPUT e FORWARD
● -s (origem) / -d (destino)● Define qual o endereço de origem e de destino que a regra atuará
● -j ● Serve para direcionar uma ação desde que as regras sejam similares
61
Iptables
● Política Padrão● As cadeias INPUT, OUTPUT e FORWARD possuem também políticas
● Política ACCEPT● Tudo que não estiver bloqueado será permitido● Regras serão de bloqueio
● Política DROP● Tudo que não estiver liberado será bloqueado● Regras serão de liberação
Sintaxe: iptables -P <chain> <politica>
62
Iptables
● Ordem de aplicação das regras● São avaliadas na ordem em que são inseridas, sequencialmente● Após avaliadas todas as regras, sem ocorrência de ‘match’, a política
padrão será aplicada
63
Exemplos
64
Prática - iptables
● Crie regras usando iptables e teste seu funcionamento. Utilize os slides da aula, a ajuda do Linux e sites da internet como referência
● Faça um relatório e envie para o e-mail [email protected] com o assunto iptables_nomedadupla
1)Listar as regras existentes
2)Crie uma regra para bloquear um host específico
3)Crie regra para bloquear ping originado do seu computador
4)Definir uma regra (aceitar/bloquear) para o acesso a internet (HTTP).
5)Pesquise e crie regras para tentar evitar os seguintes tipos de ataques: SYN Flooding (DoS) e port scanning.
65
Bibliografia básica
● LYRA, Maurício Rocha. Segurança e auditoria em sistemas de informação. Rio de Janeiro: Ciência Moderna, 2008.
● DIAS, Cláudia. Segurança e auditoria da tecnologia da informação. Rio de Janeiro: Axcel Books, c2000.
● NAKAMURA, Emílio T.; de GEUS, Paulo L. Segurança de redes em ambientes cooperativos. 3a edição. Editora Novatec.
● RAULINO, Filipe. Notas de aula. Segurança de Redes. Instituto Federal de Educação e Tecnologia Rio Grande do Norte
● LIMA, Helen .C.S. Notas de aula. Segurança e auditoria de sistemas. Universidade Federal de Ouro Preto
● LINS, Theo. Notas de aula. Rede de Computadores. Universidade Federal de Ouro Preto