Upload
cassio-ramos
View
3.857
Download
3
Embed Size (px)
DESCRIPTION
Aula de Segurança de Redes da Pós da Estácio
Citation preview
Segurança de Redes- Arquitetura
Cássio Alexandre Ramos cassioaramos (at) gmail (dot) com http://www.facebook.com/cassioaramos http://cassioaramos.blogspot.com
27/12/11 2
Sumário
Introdução
Requisitos Básicos e Projeto de Defesa
Segurança de Backbone
Segurança de Desktop e Rede Local
Ameaças e Tipos de Ataques
Segurança de Perímetro
Metodologia de Ataque
27/12/11 3
Introdução
Por que Segurança? Estamos cada vez mais dependentes dos sistemas de informação
A Internet é vulnerável – foi concebida utilizando protocolos inseguros
Segurança não está somente relacionada com invasão de sistemas
27/12/11 4
Pesquisa Nacional de Segurança da Informação [Modulo 2004]:
• 42% das empresas tiveram problemas com a Segurança da
Informação; • 35% das empresas reconhecem perdas financeiras. 65% das
empresas não conseguiram quantificar essas perdas; • Vírus, Spam, acessos indevidos e vazamento de informações
foram apontados como as principais ameaças à segurança das informações nas empresas;
• O percentual de empresas que afirmam ter sofrido ataques e invasões é de 77%;
• 26% das empresas não conseguem sequer identificar os responsáveis pelos ataques; e
• 58% dos entrevistados sentem-se inseguros para comprar em sites de comércio eletrônico.
27/12/11 5
Requisitos Básicos da Segurança
Integridade
Disponibilidade
Confidencialidade
- Confidencialidade - Integridade - Disponibilidade
27/12/11 6
Requisitos Básicos da Segurança
Confidencialidade: Certeza que somente as pessoas autorizadas a acessar os dados podem acessá-los
Integridade: Certeza que os dados não foram alterados - por acidente ou intencionalmente
Disponibilidade: Certeza que os dados estão acessíveis quando e onde forem necessários
27/12/11 7
Requisitos Básicos da Segurança
" Elementos Utilizados para Garantir a Confidencialidade " Criptografia dos dados " Controle de acesso
" Elementos para garantir a Integridade " Assinatura digital " MD5- hash
" Elementos para garantir a Disponibilidade " Backup " Tolerância a falhas " Redundância
27/12/11 8
Projeto de Defesa
Como se Defender?
Prevenção – mecanismos que devem ser instalados no sistema para evitar ataques
Detecção – como detectar os ataques. Como saber se estão acontecendo
Resposta – como responder aos ataques
Política de Segurança – formalização e sistemas que implementam a política
27/12/11 9
Projeto de Defesa
Defesa em Profundidade Principio do Menor Privilégio
Múltiplas barreiras entre quem ataca e o recurso que se quer proteger
Quanto mais fundo o atacante quer chegar, mais difícil será
Aumentar o custo do ataque
O principal da defesa em camadas é que um componente complemente o outro formando um sistema mais seguro
27/12/11 10
Ameaças e Tipos de Ataque
Ameaças
Backdoors, bots, exploits, Trojans, malwares etc
Virus, Worms, Spams, Hoax, fishing scam etc
Hackers, Crackers, Defacers, spammers, funcionários, ex-funcionários
Falhas (vulnerabilidades) em S.O, aplicativos e protocolos
27/12/11 11
Ameaças e Tipos de Ataque
Tipos de Ataques Hijacking, cracking, scanning, sniffing, spoofing, buffer overflow, defacing etc.
27/12/11 12
Ameaças e Tipos de Ataque
Tipos de Ataques
DOS e DDOS
Engenharia Social- Kevin Mitnick
27/12/11 13
Segurança de Perímetro
" Fronteira fortificada da sua rede de dados " Deve incluir alguns elementos de proteção
Perímetro
27/12/11 14
Elementos de Segurança de Perímetro
Elementos de Segurança de Perímetro " Firewall " VPN " Zona Desmilitarizada (DMZ) " Host Hardening " Intrusion Detection System (IDS) " Network Address Translation (NAT) " Analisadores de Conteúdo " Analisadores de Logs
27/12/11 15
Firewall
• Dispositivo (hardware + software) que possui regras específicas que permitem ou bloqueiam o tráfico
• Mensagens que entram ou saem da rede devem ser examinadas pelo firewall, que toma ações de acordo com critérios de segurança especificados
• Barreiras de segurança entre a intranet e a Internet para proteger a rede interna contra acessos não autorizados
• Estático: Filtro de pacotes • Stateful: memoriza as conexões para uma melhor análise • Proxy de Aplicação e Proxy Reverso
27/12/11 16
Filtro de Pacotes
Filtro de Pacotes Determina se o pacote tem permissão para entrar ou sair da rede de acordo com informações localizadas no cabeçalho do pacote
Cabeçalho de pacote é um pequeno segmento de informação que é colocado no início do pacote para indentificá-lo
Amplamente usado nos roteadores de borda ou de perímetro
27/12/11 17
Stateful Firewall
Filtro de Pacotes Statefull
Examina o cabeçalho dos pacotes
Se pacote é permitido pelas regras- informações são armazenadas em uma tabela de estado
A partir daí todas as comunicações naquela sessão são permitidas
27/12/11 18
Usando filtros de pacote IP
Servidor Web
HTTP
Outros Protocolos
Cliente
27/12/11 19
Firewall
LAN
LAN
LAN
Internet
Firewall
Endereço/Serviço Autorizado
Endereço/Serviço não Autorizado
27/12/11 20
Proxy de Aplicação
O que é?
" Procurador " Atua no nível da aplicação- orientado a aplicação " Geralmente, o cliente precisa ser modificado- não é transparente " Funciona como acelerador
Proxy Cache
Web Server
27/12/11 21
Proxy de Aplicação
Por que usar? " Autenticação de usuário " Inspeção de Conteúdo " Cache " Registro de Acessos " Esconde detalhes da rede interna
Proxy Cache
Web Server
27/12/11 22
Proxy de Aplicação
Proxy Web Server
1
3
6
2
5
4
Verifica …
User autorizado?
Protocolo permitido?
Destino autorizado?
27/12/11 23
Hierarquia de Proxies
Internet
LAN2 Matriz
LAN1
1
3 5
6
2 4
27/12/11 24
Registro de Acessos
Registra o uso da Internet por usuário
Registro em texto bruto pode ser analizado
Pode ser utilizado para detectar alguns tipos de vírus e adwares
27/12/11 25
Analisador de Logs
Perfil de Acesso
27/12/11 26
Proxy Reverso
3
Web Server
DNS Server
Proxy R
5
4
2
6
1
Verifica …
Request é permitido?
Protocolo permitido?
Destino permitido?
27/12/11 27
Intranet
Router B
Parceiro1 Parceiro2 Parceiro3
Firewall Firewall Proxy
Internet
INTRANET
LAN1
LAN2
LAN3
LAN4
LAN5
27/12/11 28
VPN – Virtual Private Network
• A idéia é utilizar a estrutura pública, com as mesmas facilidades de uma rede privativa
• Permite que usuários externos acessem a rede interna com segurança
• Canal protegido que cruza um canal desprotegido Ex. Internet
27/12/11 29
VPN – Virtual Private Network
Internet
Usuário remoto
ISDN Cable DSL Site central
Server
Site Remoto
Site Remoto
27/12/11 30
VPN – Virtual Private Network
n LAN to LAN n Extranet VPNs – interligam escritórios remotos, clientes, fornecedores e parceiros utilizando a estrutura pública
n Acesso Remoto n Interliga com segurança usuários remotos à intranet corporativa
Tipos de VPN
Site Remoto
27/12/11 31
VPN – Virtual Private Network
Servidor VPN
Servidor VPN
Internet
27/12/11 32
VPN – Virtual Private Network
l Escalável l Baixo custo de link l Transparente para o usuário
Vantagens l Não é utilizada quando o
desempenho é fundamental l Configuração complexa
Desvantagens
Servidor VPN Servidor VPN
Pacote de dados
IPSEC
27/12/11 33
Intranet
Router B
Parceiro1 Parceiro2 Parceiro3
Firewall Firewall/ Proxy
FILIAL
VPN
Internet
INTRANET
LAN1
LAN2
LAN3
LAN4
LAN5
27/12/11 34
DMZ e Bastion Host
l Utilizada para separar os servidores que precisam ser acessados pela Internet dos que apenas serão acessados pelo pessoal interno da organização
DMZ: Zona Desmilitarizada
l Bastião, Baluarte. Fortaleza inexpugnável. É uma posição bem fortificada
l Deve ser feito o hardening do host
Bastion Host
27/12/11 35
DMZ e Bastion Host
Hardening Desabilitar serviços que não estão sendo utilizados
Utilizar sistemas operacionais e softwares sempre atualizados
Desabilitar usuários e senhas default. Estabelecer política rígida de senhas
Utilizar sistemas de arquivos robusto
Servidor deve estar configurado de acordo com as boas práticas de segurança
27/12/11 36
DMZ e Rede Protegida
Internet
Servidor Web
Firewall
Cliente
Intranet
27/12/11 37
Intranet
Router B
Parceiro1 Parceiro2 Parceiro3
Internet
INTRANET
LAN1
LAN2
LAN3
LAN4
LAN5
FILIAL
VPN
DMZ
WEB Server
DNS Server
Mail Server
Proxy R.
Hardened Server
Firewall Firewall/ Proxy
27/12/11 38
IDS – Intrusion Detection System
IDS
Utilizado para detectar e alertar eventos maliciosos
Antecipar possíveis invasões aos sistemas
O sistema de defesa deverá dispor de vários agentes IDS pela rede
Tipos: NIDS, HIDS e IPS
Normalmente verifica assinaturas pré-definidas e eventos maliciosos
27/12/11 39
IDS – Intrusion Detection System
Arquitetura Genérica
27/12/11 40
IDS – Intrusion Detection System
Host Intrusion Detection System (HIDS)
Pode ser baseado em assinaturas
Esse tipo de IDS reside em um único “host” e monitora atividades específicas do mesmo
Verifica a integridade dos arquivos do SO
Monitora utilização de recursos do host
27/12/11 41
IDS – Intrusion Detection System
HDIS (Cont.) " Exemplos de componentes monitorados
" Memória " Arquivos executáveis " Espaço em disco " Kernel
27/12/11 42
IDS – Intrusion Detection System
Network Intrusion Detection System (NDIS) Monitora todo o tráfego da rede e compara este a um banco de dados com assinaturas de ataque
Quando uma assinatura é detectada um evento é disparado pelo IDS
Sistema utilizado para detectar e/ou reagir a uma assinatura de ataque na rede
Utilizado para analisar o tráfego de rede em tempo real
Equipamento dedicado com processamento compatível com o tamanho da infra-estrutura
27/12/11 43
IDS – Intrusion Detection System
NDIS (Cont.)
" Sensor de Rede " Posicionamento em função do conhecimento da topologia " Em ambientes com switch - Espelhamento de porta " Configuração stealth recomendada - Interface de captura sem endereçamento e capturando tráfego de rede em modo promíscuo
27/12/11 44
Intranet
Internet
INTRANET
LAN1
LAN2
LAN3
LAN4
LAN5
FILIAL
VPN
DMZ
WEB Server
NDIS
Mail Server
Proxy R.
Hardened Server
HIDS
Parceiro1 Parceiro2 Parceiro3
NIDS NIDS NIDS
NIDS NIDS
27/12/11 45
Network Address Translation
NAT Técnica utilizada por um dispositivo para a tradução de endereços IP
Permite que uma rede use um conjunto de endereços IP particulares para tráfego interno
Converte os endereços IP particulares em endereços IP públicos
Permite que uma organização economize endereços IP públicos
Aumenta a segurança ocultando endereços IP Internos
27/12/11 46
131.107.0.9
NAT
131.107.0.9
10.10.10.7 Tabela NAT " 10.10.10.0 mapeia
para 131.107.0.9
10.10.10.6
10.10.10.10
27/12/11 47
Intranet
Internet
INTRANET
LAN1
LAN2
LAN3
LAN4
LAN5
FILIAL
VPN
DMZ
WEB Server
NDIS
Mail Server
Proxy R.
Hardened Server
HIDS
Parceiro1 Parceiro2 Parceiro3
NIDS NIDS NIDS
NIDS NIDS
NAT
27/12/11 48
Analisador de Conteúdo Web
Analisador de Conteúdo Analisa as solicitações de acesso a Internet autorizando-as ou não
Política diferente de acordo com dias da semana e horários
Utilizado para evitar a navegação anônima
Otimiza o uso do link de Internet, priorizando acesso relacionado ao serviço
27/12/11 49
Soluções de Antivírus e Anti-Spam
Soluções Antivirus/ Anti-Spam Distribuidos em Gateways, Proxies, Servidores de Arquivos, Servidores de Correio e desktops
Administração Centralizada- firewall pessoal, IDS, anti-spyware, atualização de vacinas, assinaturas e políticas
Filtra conteúdo de e-mail, por tamanho, nº de destinatários, tipos de anexos etc
Possibilita análise gráfica e alarmes em tempo real
27/12/11 50
Segurança de Backbone
Segurança de Backbone
Só trafegam no backbone aplicações autorizadas
Hardening nos equipamentos de conectividade
Protocolos de roteamento- seguros e com autenticação
Monitoramento do backbone e links- criptografia
S e g u r a n ç a f í s i c a d o s equipamentos Intranet servers
Campus backbone
Logística
Engenharia Finanças
Contabilidade
WAN
Vendas
27/12/11 51
Segurança de Desktop e Rede Local
Desktop
Usuário recebe máquina pronta- firewall, IDS, antivírus etc.
S.O atualizado, serviços desnecessários desabilitados
Utilizar somente software autorizado e não receber e-mail de procedência duvidosa
27/12/11 52
Segurança de Desktop e Rede Local
Desktop Segurança física- fogo, calor, poeira, magnetismo, explosão, vandalismo, roubo etc
Implementar rigida política de senhas
Utilizar área de rede para arquivos importantes
27/12/11 53
Segurança de Desktop e Rede Local
Rede Local
Utilizar switches e monitorar tráfego
Administração de Políticas centralizada
Autenticação nos dispositivos de rede
Segurança física dos dispositivos, política de backup, tolerância a falhas etc.
Implementar segurança de layer 2
27/12/11 54
Metodologia de Ataque
Coletando Informações " Footprinting
" nome de domínio, " endereços IP de servidores " arquitetura de rede e serviços " mecanismos de segurança, " protocolos de rede " endereço, telefones de contato, e-mails etc. www.arin.net, registro.br, www.netcraft.com, whois.com
27/12/11 55
Metodologia de Ataque
Coletando Informações
" Varredura de rede " Verificar sistemas operacionais de servidores alvo " Verificar que serviços estão ativos, " Consultas icmp ou varredura de portas TCP/UDP
Port Service 20?… closed 21?… FTP 22?… closed 23?… closed 24?… closed 25?… SMTP
27/12/11 56
Metodologia de Ataque
Coletando Informações " Procura de Vulnerabilidades
" Procura por serviços vulneráveis- Ferramentas: Nessus, Nmap, Languard " Verificar a necessidade de utilização de exploit- www.securityfocus.com " Utilização de ferramentas para apagar rastros – root kits
27/12/11 57
Dúvidas??????