Topologias de segurança
Download
Report
Transcript Topologias de segurança
Domínio de Conhecimento 3
Topologias e IDS
Carlos Sampaio
Agenda
• Topologia de Segurança
– Zonas de Segurança
– DMZ’s
– Detecção de Intrusão (IDS / IPS)
Topologias de segurança
• Fundamentos de infra-estrutura de redes
– Nem todas as redes são criadas igualmente, por
isso não devem ser igualmente organizadas;
– Um exemplo de uma aplicação de e-commerce,
com servidores IIS, e servidores customizados
de middle-tier e servidores de Banco SQL
Servidores IIS
Servidores
Middle-Tier
Servidores
SQL
Topologias de segurança
• Zonas de Segurança
– Diz-se de uma zona de segurança, qualquer
porção de uma rede que necessita de requisitos
de segurança especiais. Intranet, extranet,
DMZ’s e VLAN’s, são exemplos de zonas de
segurança
– Segmentos de rede distintos;
– Agrupamentos lógicos;
• Que tipo de informação é manipulada;
• Quem utiliza;
• Qual nível de segurança é requisitado;
Topologias de segurança
• Firewall, DMZ e IDS
– Firewall
• É um equipamento utilizado para proteger a rede interna de uma
organização de ameaças lógicas de redes externas, como a
Internet;
• Da mesma forma que uma porta fechada protege seu conteúdo de
ameaças físicas externas;
Internet
(Rede Externa)
• O Firewall utiliza uma tabela de regras
predefinidas, de forma a permitir ou
bloquear o trafego através dele,
provendo assim segurança aos
equipamentos localizados depois dele;
Firewall
Servidor de
e-mail
Servidor WEB
Servidores
Corporativos
Topologias de segurança
• Firewall (cont.)
– No mínimo, um firewall deve ser capaz de:
•
•
•
•
•
Bloquear trafego baseado em regras predefinidas;
Mascarar a presença de redes (ou hosts) ao mundo externo;
Reduzir a quantidade de informações apresentada como resposta;
Logar e manter uma trilha de auditoria de tráfego que entra e que sai;
Prover métodos de autenticação adicionais;
Topologias de segurança
• Firewall (cont.)
– Firewalls atuais tem a
capacidade de reagir a detecção
de intrusão com a atualização de
regras;
– Sistemas de IDS integrados;
– Redes virtuais privadas
integradas (VPN’s)
– Capacidade de executar
técnicas de proxy transparente;
Obs1.: Quanto maior for o
número de serviços disponíveis
em um firewall maior é a
probabilidade de um ataque
direcionado ter sucesso.
Obs2.: O firewall por si só não
garante segurança
Topologias de segurança
• Tecnologias de Firewall
• As tecnologias de firewall mais
utilizadas são:
Filtragem de pacotes
Gateways de camada de aplicação
Inspeção de estado (statefull inspection)
• Qualquer uma das tecnologias acima
têm suas vantagens e desvantagens,
• Cabe ao administrador de segurança
determinar a que deverá ser utilizada
em cada caso
Topologias de segurança
Filtragem de Pacotes:
• Opera na camada 3 (rede) do modelo OSI
• Funciona permitindo ou negando tráfego por uma
porta específica
• Opera de maneira mais rápida pois só verifica o
conteúdo do cabeçalho do pacote
• Pode ser configurado para permitir o negar acesso à
portas específicas ou endereços IP
• Possui apenas duas diretivas para política de
filtragem
Permite por padrão
Nega por padrão (melhor prática)
Ex.: ipfw, Firewalls pessoais, Wireless Routers, ...
Topologias de segurança
Filtragem de Pacotes:
• Opera em ambas as direções:
Impede a entrada de elementos nocivos à rede
Restringe o tráfego a rede externa
• Exemplo: Trojan (Cavalo de Tróia)
Portas conhecidas (well-known)
• Total de 65535 portas
• Destas, as primeiras 1023 são portas conhecidas
• Portas acima de 1023 são consideradas portas registradas
ou portas dinâmicas/privadas
Portas registradas: de 1024 a 49.151
Portas Dinamicas/privadas 49.151 a 65.535
• Muitas destas portas oferecem vulnerabilidades, mesmo as
portas conhecidas, melhor manter o desnecessário fechado
Topologias de segurança
Exemplo de conexão: FTP
•
Modo Ativo:
1.
2.
3.
•
O cliente FTP inicia uma conexão de controle a partir de uma
porta qualquer, maior que 1024, na porta 21 do servidor
O cliente FTP envia um comando PORT instruindo o servidor a
estabelecer uma conexão para uma porta uma unidade mais alta
que a conexão de controle. Esta será a porta de dados do cliente
O servidor irá enviar dados ao cliente, a partir da porta 20 do
servidor, para a porta de dados do cliente
Modo Passivo:
1.
2.
3.
4.
O cliente FTP inicia uma conexão a partir de uma porta qualquer
maior que 1024 como porta de controle, e inicia uma outra porta,
uma unidade mais alta que a de controle, como porta de dados.
O cliente então envia um comando PASV, instruindo o servidor a
abrir uma porta de dados qualquer
O Servidor envia um comando PORT indicando ao cliente a porta
que ele iniciou
O cliente pode assim enviar e receber dados através da porta de
dados que o servido o instruiu a utilizar
Topologias de segurança
Filtragem de Pacotes:
• Benefícios:
Velocidade – Apenas o cabeçalho é examinado e uma tabela
básica de regras é analisada;
Facilidade de uso – As regras deste tipo de firewall são
fáceis de definir, e portas podem ser abertas ou fechadas
rapidamente;
Transparência – Pacotes podem trafegar por este tipo de
firewall sem que remetente ou destinatário saibam de sua
existência;
• Desvantagens:
Rigidez – Uma porta só pode estar aberta ou fechada,
abertura/fechamento por demanda não são suportados
Análise de conteúdo – Este tipo de firewall não enxerga
além do cabeçalho, portanto, se um pacote tiver um
cabeçalho válido, ele pode ter qualquer conteúdo, inclusive
malicioso.
Topologias de segurança
O tráfego é filtrado baseado em
regras específicas, que incluem:
IP de origem e destino, tipo de
pacote (TCP/UDP), numero da
porta, etc...
Todo tráfego desconhecido é
permitido apenas até a camada
OSI 3
Topologias de segurança
Gateway de camada de aplicação
• Também conhecido com filtragem por aplicação
• Benefícios:
Mais avançada que a filtragem de pacotes, examina todo o
pacote para determinar o que deve ser feito com ele
Permite, por exemplo, bloquear telnet através da porta de
ftp. Ou ainda, verificar que controles de um Trojan estão
sendo enviados pela porta 80 de HTTP, e bloqueá-los
Um dos principais benefícios é o conhecimento a nível de
aplicação
Utiliza um conjunto de regras mais complexa
Topologias de segurança
Gateway de camada de aplicação
• Desvantagens:
Cada pacote e completamente reconstruído, comparado a
uma série de regras complexas e novamente desmontado.
O que o torna mais lento.
Apenas uma fração das aplicações tem regras prédefinidas, qualquer outra tem que ser manualmente
adicionada.
Quebra o conceito de arquitetura cliente-servidor por
reconstruir o pacote através de todo o modelo OSI até a
camada de aplicação.
O cliente estabelece uma conexão com o firewall, onde o
pacote é analizado, em seguida o firewall cria uma conexão
com o servidor para o cliente.
Topologias de segurança
O tráfego é filtrado baseado em
regras específicas de aplicação,
como aplicações específicas (ex.
browsers) ou um protocolo (ex.
FTP), ou ainda uma combninação
de ambos.
O tráfego desconhecido é
permitido até o topo da camada de
transporte
Topologias de segurança
Inspeção de estado
• Trata-se da intersecção entre duas tecnologias
• Benefícios:
Mais robusto que filtragem de pacotes e mais versátil que
gateway de camada de aplicação.
Possuí conhecimento a nível de aplicação sem quebrar
efetivamente a arquitetura cliente servidor.
Mais rápido que gateway de camada de aplicação por não
desmontar e remontar todos os pacotes.
Utiliza um conjunto de regras mais complexa.
Mais seguro que a filtragem de pacotes por permitir
conhecimento dos dados na camada de aplicação.
Introduz o conceito de conhecimento do estado da
comunicação e da aplicação.
Topologias de segurança
Inspeção de estado
• Mecanismo de funcionamento:
Monitora
estados de comunicação e aplicações
através de suas requisições, além de saber qual
a resposta esperada por cada sessão.
Permite abertura dinâmica de portas e
fechamento automático após o final da conexão
Exemplo: FTP
Topologias de segurança
O tráfego é filtrado em três
níveis, baseado em uma grande
variedade de regras de
aplicação, sessão e/ou filtragem
de pacotes.
O tráfego desconhecido é
permitido apenas até a camada 3
Topologias de segurança
• Defesa em camadas
–
–
–
–
–
Define o uso de múltiplas camadas de segurança;
Evita a utilização de uma única linha de defesa
Falso sentimento de segurança.
Outras tecnologias devem ser utilizadas:
IDS, auditoria, controle de acesso por biometria, múltiplos
níveis de segurança.
Política de Segurança
Auditoria e Controle de Acesso
IDS
Firewall
Firewall
IDS
Auditoria e Controle
de Acesso
Política de Segurança
Topologias de segurança
• Zona Desmilitarizada (DMZ)
– Introdução
• Termo militar, se refere a uma zona segura entre faixas em
conflito;
• Regras severas definem o que pode trafegar em uma DMZ;
• Em segurança de redes: Segmento “neutro” da rede onde o
público tem acesso restrito;
Topologias de segurança
• Zona Desmilitarizada (DMZ)
– Implementações de DMZ normalmente são:
• Implementações de DMZ em camadas (entre
firewalls);
– Permite a utilização de sockets;
– Também conhecida como “rede protegida”;
• Implementações de Firewalls com múltiplas
interfaces (interfaces distintas do mesmo firewall);
– Um único firewall responsável por todos os tráfegos;
– Diminui o custo em hardware e esforço de
administração;
Topologias de segurança
• Zona Desmilitarizada (DMZ)
Rede
Interna
Em Camadas
Servidor
WEB
Servidor
WEB
Servidor
de E-Mail
Servidor
de E-Mail
Rede
Interna
Múltiplas Interfaces
– Host localizados em uma DMZ podem ser acessados tanto por
redes externas (como a Internet) como pela rede interna
(Intranet). Exemplos de tais serviços são:
– Servidores de DNS, WEB, FTP, “Bastion Hosts”
Topologias de segurança
• Zona Desmilitarizada (DMZ)
– A função do firewall nestes cenário é controlar
tráfego entre segmentos;
– Tentativas de acesso entre a DMZ e a rede interna
devem ser rejeitadas e logadas para auditoria;
Topologias de segurança
• Zona Desmilitarizada (DMZ)
– A DMZ deve prover espaço para serviços como:
• Sites Internet de acesso WEB: Servidores como o IIS, o
Apache, provêm serviços que podem ser utilizados tanto
interna como externamente;
• Serviços de FTP: Serviço não seguro; informações triviais;
• Encaminhamento de E-Mail: Filtro de e-mail que entra;
mascara o servidor de e-mail que sai; potencialmente
perigoso;
• Serviços de DNS: Deve ficar exposto, porém bem
monitorado e mantido; excesso de informação deve ser
evitada; Zone X-fer;
• Detecção de Intrusão: É uma localização de difícil
manutenção;
• DarkNets: É um segmento de rede que não leva a lugar
nenhum. Serve para coletar pacotes malconfigurados ou
maliciosos.
Topologias de segurança
• Zona Desmilitarizada
(DMZ)
Servidor
WEB
– Múltiplas necessidades
requerem múltiplas zonas
Rede
Interna
Servidor
de E-Mail
Banco Arquivos
de Dados
Topologias de segurança
• Detecção de Intrusão
• IDS
– Dispositivos dedicados
– Componentes baseados em software
– Monitoram trafego ou atividades
específicas do usuário, com o
objetivo de:
• Identificar ações maliciosas
• Tentativas de acesso não autorizado
• Ataques
O IDS não substitui a necessidade
do firewall, software de anti-virus,
políticas de segurança, e outros
controles
Topologias de segurança
• Detecção de Intrusão
• Classes de IDS
– Análise de assinaturas
•
•
•
•
Ataques conhecidos, pontos vulneráveis conhecidos
Pattern-matching
Precisa atualizar a lista de assinaturas
Comparação com anti-vírus
– Análise estatística
• Observação dos desvios na utilização padrão do sistema, rede
ou aplicação
• Precisa de uma referência (Utilizaçào de CPU, I/O, horário de
logins, ...) – Treino do IDS
– Análise de integridade
• Identifica modificação em arquivos ou objetos do sistema
• Utiliza criptografia (Hashes criptográficos)
Topologias de segurança
• Detecção de Intrusão
• Principais Características
– Pode funcionar com pouca ou nenhuma
supervisão
– É tolerante a falhas
– Não exige muitos recursos do sistema
– É preciso. Apresenta poucos:
• Falso positivo: Quando o IDS classifica uma
ação legitima como maliciosa
• Falso Negativo: Quando uma ação maliciosa
não é identificada
Topologias de segurança
• Detecção de Intrusão
• Categorias de IDS
– NIDS – Network Intrusion Detection
System (mais comum)
– HIDS – Host Intrusion Detection System
– IDS de Aplicação
– IDS de Integridade
• http://www.tripwire.com
Topologias de segurança
• Detecção de Intrusão – NIDS
– Equipamentos ou componentes de software
– Funcionam em modo Promíscuo sniffando o tráfego da rede
e colocam a placa de rede em modo Full Stealth
– Distribuídos pela rede e integrados a uma console de
gerenciamento
– Em sua maior parte são baseados em assinaturas
– Podem ser completamente invisíveis para atacantes por não
precisarem de endereços IP e não responderem a probes
como PINGs
– Desvantagens:
• Só alarma se houver uma identificação com uma assinatura
• Não informa se o ataque teve sucesso
• Tem pouca eficiência contra trafego encriptado ou redes muito
rápidas (Gigabit Ethernets)
Topologias de segurança
• Detecção de Intrusão – HIDS
– Rede de sensores carregados em diversos equipamentos
espalhados pela rede, gerenciados por uma console
centralizada
– Os sensores observam os eventos associados ao
equipamento que eles estão presentes
– Possibilita verificar o sucesso do ataque (sensor no próprio
equipamento)
– Efetivo contra tráfego encriptado (analisa o próprio sistema)
– Não necessita de hardware adicional. Menor custo
– Desvantagens:
•
•
•
•
Atividade na rede não é visível a um sensor do sistema
Utiliza mecanismos de auditoria que consomem mais recursos
Gerencia e Implantação difícil em grandes redes
Pode demandar muito espaço para armazenamento de logs
Topologias de segurança
• Detecção de Intrusão – HIDS (cont.)
– Os 5 Tipos Básicos de sensores HIDS
•
•
•
•
Analisadores de Logs
Sensores Baseados em assinaturas
Analisadores de System Calls
Analisadores de Comportamento para
aplicações
• Analisadores de integridade de arquivos
Topologias de segurança
• Detecção de Intrusão (cont.)
– IDS de Aplicação
• Coleta informação no nível da aplicação
– SGBD’s, Firewalls, Servidores WEB
• Não são muito populares atualmente
– Existe a tendência de migração do foco em segurança
da rede para o conjunto servidores/aplicações.
• Desvantagens
– Quantidade excessiva de aplicações para suportar
– Só monitora um componente por vez
Topologias de segurança
• Detecção de Intrusão (cont.)
– IPS – Intrusion Prevention System
• Foca na prevenção e não na reação
• Mecanismos:
– Host-based com proteção de memória e processos
(interrupção de BufferOverflows)
– Interceptação de sessão (Envio de RST)
– Gateway Intrusion Detection (Modificação de ACL’s)
– HoneyPots
•
•
•
•
•
Utilizada em Forense Computacional
É um IDS disfarçado de servidor na rede
Pode estar disfarçado de serviço, host ou servidor
Não resolve um problema, captura informações
Quando distribuídas compõem as HoneyNets