Domínio de Conhecimento 3
Topologias e IDS
Carlos Sampaio
Agenda
• Topologia de Segurança
– Zonas de Segurança
– DMZ’s
– Detecção de Intrusão (IDS / IPS)
Topologias de segurança
• Fundamentos de infra-estrutura de redes
– Nem todas as redes são criadas igualmente, por
isso não devem ser igualmente organizadas;
– Um exemplo de uma aplicação de e-commerce,
com servidores IIS, e servidores customizados
de middle-tier e servidores de Banco SQL
Servidores IIS
Servidores
Middle-Tier
Servidores
SQL
Topologias de segurança
• Zonas de Segurança
– Diz-se de uma zona de segurança, qualquer
porção de uma rede que necessita de requisitos
de segurança especiais. Intranet, extranet,
DMZ’s e VLAN’s, são exemplos de zonas de
segurança
– Segmentos de rede distintos;
– Agrupamentos lógicos;
• Que tipo de informação é manipulada;
• Quem utiliza;
• Qual nível de segurança é requisitado;
Topologias de segurança
• Firewall, DMZ e IDS
– Firewall
• É um equipamento utilizado para proteger a rede interna de uma
organização de ameaças lógicas de redes externas, como a
Internet;
• Da mesma forma que uma porta fechada protege seu conteúdo de
ameaças físicas externas;
Internet
(Rede Externa)
• O Firewall utiliza uma tabela de regras
predefinidas, de forma a permitir ou
bloquear o trafego através dele,
provendo assim segurança aos
equipamentos localizados depois dele;
Firewall
Servidor de
e-mail
Servidor WEB
Servidores
Corporativos
Topologias de segurança
• Firewall (cont.)
– No mínimo, um firewall deve ser capaz de:
•
•
•
•
•
Bloquear trafego baseado em regras predefinidas;
Mascarar a presença de redes (ou hosts) ao mundo externo;
Reduzir a quantidade de informações apresentada como resposta;
Logar e manter uma trilha de auditoria de tráfego que entra e que sai;
Prover métodos de autenticação adicionais;
Topologias de segurança
• Firewall (cont.)
– Firewalls atuais tem a
capacidade de reagir a detecção
de intrusão com a atualização de
regras;
– Sistemas de IDS integrados;
– Redes virtuais privadas
integradas (VPN’s)
– Capacidade de executar
técnicas de proxy transparente;
 Obs1.: Quanto maior for o
número de serviços disponíveis
em um firewall maior é a
probabilidade de um ataque
direcionado ter sucesso.
 Obs2.: O firewall por si só não
garante segurança
Topologias de segurança
• Tecnologias de Firewall
• As tecnologias de firewall mais
utilizadas são:



Filtragem de pacotes
Gateways de camada de aplicação
Inspeção de estado (statefull inspection)
• Qualquer uma das tecnologias acima
têm suas vantagens e desvantagens,
• Cabe ao administrador de segurança
determinar a que deverá ser utilizada
em cada caso
Topologias de segurança
 Filtragem de Pacotes:
• Opera na camada 3 (rede) do modelo OSI
• Funciona permitindo ou negando tráfego por uma
porta específica
• Opera de maneira mais rápida pois só verifica o
conteúdo do cabeçalho do pacote
• Pode ser configurado para permitir o negar acesso à
portas específicas ou endereços IP
• Possui apenas duas diretivas para política de
filtragem
Permite por padrão
 Nega por padrão (melhor prática)


Ex.: ipfw, Firewalls pessoais, Wireless Routers, ...
Topologias de segurança
 Filtragem de Pacotes:
• Opera em ambas as direções:
 Impede a entrada de elementos nocivos à rede
 Restringe o tráfego a rede externa
• Exemplo: Trojan (Cavalo de Tróia)
 Portas conhecidas (well-known)
• Total de 65535 portas
• Destas, as primeiras 1023 são portas conhecidas
• Portas acima de 1023 são consideradas portas registradas
ou portas dinâmicas/privadas
 Portas registradas: de 1024 a 49.151
 Portas Dinamicas/privadas 49.151 a 65.535
• Muitas destas portas oferecem vulnerabilidades, mesmo as
portas conhecidas, melhor manter o desnecessário fechado
Topologias de segurança

Exemplo de conexão: FTP
•
Modo Ativo:
1.
2.
3.
•
O cliente FTP inicia uma conexão de controle a partir de uma
porta qualquer, maior que 1024, na porta 21 do servidor
O cliente FTP envia um comando PORT instruindo o servidor a
estabelecer uma conexão para uma porta uma unidade mais alta
que a conexão de controle. Esta será a porta de dados do cliente
O servidor irá enviar dados ao cliente, a partir da porta 20 do
servidor, para a porta de dados do cliente
Modo Passivo:
1.
2.
3.
4.
O cliente FTP inicia uma conexão a partir de uma porta qualquer
maior que 1024 como porta de controle, e inicia uma outra porta,
uma unidade mais alta que a de controle, como porta de dados.
O cliente então envia um comando PASV, instruindo o servidor a
abrir uma porta de dados qualquer
O Servidor envia um comando PORT indicando ao cliente a porta
que ele iniciou
O cliente pode assim enviar e receber dados através da porta de
dados que o servido o instruiu a utilizar
Topologias de segurança
 Filtragem de Pacotes:
• Benefícios:
 Velocidade – Apenas o cabeçalho é examinado e uma tabela
básica de regras é analisada;
 Facilidade de uso – As regras deste tipo de firewall são
fáceis de definir, e portas podem ser abertas ou fechadas
rapidamente;
 Transparência – Pacotes podem trafegar por este tipo de
firewall sem que remetente ou destinatário saibam de sua
existência;
• Desvantagens:
 Rigidez – Uma porta só pode estar aberta ou fechada,
abertura/fechamento por demanda não são suportados
 Análise de conteúdo – Este tipo de firewall não enxerga
além do cabeçalho, portanto, se um pacote tiver um
cabeçalho válido, ele pode ter qualquer conteúdo, inclusive
malicioso.
Topologias de segurança
O tráfego é filtrado baseado em
regras específicas, que incluem:
IP de origem e destino, tipo de
pacote (TCP/UDP), numero da
porta, etc...
Todo tráfego desconhecido é
permitido apenas até a camada
OSI 3
Topologias de segurança
Gateway de camada de aplicação
• Também conhecido com filtragem por aplicação
• Benefícios:
Mais avançada que a filtragem de pacotes, examina todo o
pacote para determinar o que deve ser feito com ele
 Permite, por exemplo, bloquear telnet através da porta de
ftp. Ou ainda, verificar que controles de um Trojan estão
sendo enviados pela porta 80 de HTTP, e bloqueá-los
 Um dos principais benefícios é o conhecimento a nível de
aplicação
 Utiliza um conjunto de regras mais complexa

Topologias de segurança
Gateway de camada de aplicação
• Desvantagens:
Cada pacote e completamente reconstruído, comparado a
uma série de regras complexas e novamente desmontado.
O que o torna mais lento.
 Apenas uma fração das aplicações tem regras prédefinidas, qualquer outra tem que ser manualmente
adicionada.
 Quebra o conceito de arquitetura cliente-servidor por
reconstruir o pacote através de todo o modelo OSI até a
camada de aplicação.


O cliente estabelece uma conexão com o firewall, onde o
pacote é analizado, em seguida o firewall cria uma conexão
com o servidor para o cliente.
Topologias de segurança
O tráfego é filtrado baseado em
regras específicas de aplicação,
como aplicações específicas (ex.
browsers) ou um protocolo (ex.
FTP), ou ainda uma combninação
de ambos.
O tráfego desconhecido é
permitido até o topo da camada de
transporte
Topologias de segurança
Inspeção de estado
• Trata-se da intersecção entre duas tecnologias
• Benefícios:
Mais robusto que filtragem de pacotes e mais versátil que
gateway de camada de aplicação.
 Possuí conhecimento a nível de aplicação sem quebrar
efetivamente a arquitetura cliente servidor.
 Mais rápido que gateway de camada de aplicação por não
desmontar e remontar todos os pacotes.
 Utiliza um conjunto de regras mais complexa.
 Mais seguro que a filtragem de pacotes por permitir
conhecimento dos dados na camada de aplicação.
 Introduz o conceito de conhecimento do estado da
comunicação e da aplicação.

Topologias de segurança
Inspeção de estado
• Mecanismo de funcionamento:
 Monitora
estados de comunicação e aplicações
através de suas requisições, além de saber qual
a resposta esperada por cada sessão.
 Permite abertura dinâmica de portas e
fechamento automático após o final da conexão
 Exemplo: FTP
Topologias de segurança
O tráfego é filtrado em três
níveis, baseado em uma grande
variedade de regras de
aplicação, sessão e/ou filtragem
de pacotes.
O tráfego desconhecido é
permitido apenas até a camada 3
Topologias de segurança
• Defesa em camadas
–
–
–
–
–
Define o uso de múltiplas camadas de segurança;
Evita a utilização de uma única linha de defesa
Falso sentimento de segurança.
Outras tecnologias devem ser utilizadas:
IDS, auditoria, controle de acesso por biometria, múltiplos
níveis de segurança.
Política de Segurança
Auditoria e Controle de Acesso
IDS
Firewall
Firewall
IDS
Auditoria e Controle
de Acesso
Política de Segurança
Topologias de segurança
• Zona Desmilitarizada (DMZ)
– Introdução
• Termo militar, se refere a uma zona segura entre faixas em
conflito;
• Regras severas definem o que pode trafegar em uma DMZ;
• Em segurança de redes: Segmento “neutro” da rede onde o
público tem acesso restrito;
Topologias de segurança
• Zona Desmilitarizada (DMZ)
– Implementações de DMZ normalmente são:
• Implementações de DMZ em camadas (entre
firewalls);
– Permite a utilização de sockets;
– Também conhecida como “rede protegida”;
• Implementações de Firewalls com múltiplas
interfaces (interfaces distintas do mesmo firewall);
– Um único firewall responsável por todos os tráfegos;
– Diminui o custo em hardware e esforço de
administração;
Topologias de segurança
• Zona Desmilitarizada (DMZ)
Rede
Interna
Em Camadas
Servidor
WEB
Servidor
WEB
Servidor
de E-Mail
Servidor
de E-Mail
Rede
Interna
Múltiplas Interfaces
– Host localizados em uma DMZ podem ser acessados tanto por
redes externas (como a Internet) como pela rede interna
(Intranet). Exemplos de tais serviços são:
– Servidores de DNS, WEB, FTP, “Bastion Hosts”
Topologias de segurança
• Zona Desmilitarizada (DMZ)
– A função do firewall nestes cenário é controlar
tráfego entre segmentos;
– Tentativas de acesso entre a DMZ e a rede interna
devem ser rejeitadas e logadas para auditoria;
Topologias de segurança
• Zona Desmilitarizada (DMZ)
– A DMZ deve prover espaço para serviços como:
• Sites Internet de acesso WEB: Servidores como o IIS, o
Apache, provêm serviços que podem ser utilizados tanto
interna como externamente;
• Serviços de FTP: Serviço não seguro; informações triviais;
• Encaminhamento de E-Mail: Filtro de e-mail que entra;
mascara o servidor de e-mail que sai; potencialmente
perigoso;
• Serviços de DNS: Deve ficar exposto, porém bem
monitorado e mantido; excesso de informação deve ser
evitada; Zone X-fer;
• Detecção de Intrusão: É uma localização de difícil
manutenção;
• DarkNets: É um segmento de rede que não leva a lugar
nenhum. Serve para coletar pacotes malconfigurados ou
maliciosos.
Topologias de segurança
• Zona Desmilitarizada
(DMZ)
Servidor
WEB
– Múltiplas necessidades
requerem múltiplas zonas
Rede
Interna
Servidor
de E-Mail
Banco Arquivos
de Dados
Topologias de segurança
• Detecção de Intrusão
• IDS
– Dispositivos dedicados
– Componentes baseados em software
– Monitoram trafego ou atividades
específicas do usuário, com o
objetivo de:
• Identificar ações maliciosas
• Tentativas de acesso não autorizado
• Ataques
 O IDS não substitui a necessidade
do firewall, software de anti-virus,
políticas de segurança, e outros
controles
Topologias de segurança
• Detecção de Intrusão
• Classes de IDS
– Análise de assinaturas
•
•
•
•
Ataques conhecidos, pontos vulneráveis conhecidos
Pattern-matching
Precisa atualizar a lista de assinaturas
Comparação com anti-vírus
– Análise estatística
• Observação dos desvios na utilização padrão do sistema, rede
ou aplicação
• Precisa de uma referência (Utilizaçào de CPU, I/O, horário de
logins, ...) – Treino do IDS
– Análise de integridade
• Identifica modificação em arquivos ou objetos do sistema
• Utiliza criptografia (Hashes criptográficos)
Topologias de segurança
• Detecção de Intrusão
• Principais Características
– Pode funcionar com pouca ou nenhuma
supervisão
– É tolerante a falhas
– Não exige muitos recursos do sistema
– É preciso. Apresenta poucos:
• Falso positivo: Quando o IDS classifica uma
ação legitima como maliciosa
• Falso Negativo: Quando uma ação maliciosa
não é identificada
Topologias de segurança
• Detecção de Intrusão
• Categorias de IDS
– NIDS – Network Intrusion Detection
System (mais comum)
– HIDS – Host Intrusion Detection System
– IDS de Aplicação
– IDS de Integridade
• http://www.tripwire.com
Topologias de segurança
• Detecção de Intrusão – NIDS
– Equipamentos ou componentes de software
– Funcionam em modo Promíscuo sniffando o tráfego da rede
e colocam a placa de rede em modo Full Stealth
– Distribuídos pela rede e integrados a uma console de
gerenciamento
– Em sua maior parte são baseados em assinaturas
– Podem ser completamente invisíveis para atacantes por não
precisarem de endereços IP e não responderem a probes
como PINGs
– Desvantagens:
• Só alarma se houver uma identificação com uma assinatura
• Não informa se o ataque teve sucesso
• Tem pouca eficiência contra trafego encriptado ou redes muito
rápidas (Gigabit Ethernets)
Topologias de segurança
• Detecção de Intrusão – HIDS
– Rede de sensores carregados em diversos equipamentos
espalhados pela rede, gerenciados por uma console
centralizada
– Os sensores observam os eventos associados ao
equipamento que eles estão presentes
– Possibilita verificar o sucesso do ataque (sensor no próprio
equipamento)
– Efetivo contra tráfego encriptado (analisa o próprio sistema)
– Não necessita de hardware adicional. Menor custo
– Desvantagens:
•
•
•
•
Atividade na rede não é visível a um sensor do sistema
Utiliza mecanismos de auditoria que consomem mais recursos
Gerencia e Implantação difícil em grandes redes
Pode demandar muito espaço para armazenamento de logs
Topologias de segurança
• Detecção de Intrusão – HIDS (cont.)
– Os 5 Tipos Básicos de sensores HIDS
•
•
•
•
Analisadores de Logs
Sensores Baseados em assinaturas
Analisadores de System Calls
Analisadores de Comportamento para
aplicações
• Analisadores de integridade de arquivos
Topologias de segurança
• Detecção de Intrusão (cont.)
– IDS de Aplicação
• Coleta informação no nível da aplicação
– SGBD’s, Firewalls, Servidores WEB
• Não são muito populares atualmente
– Existe a tendência de migração do foco em segurança
da rede para o conjunto servidores/aplicações.
• Desvantagens
– Quantidade excessiva de aplicações para suportar
– Só monitora um componente por vez
Topologias de segurança
• Detecção de Intrusão (cont.)
– IPS – Intrusion Prevention System
• Foca na prevenção e não na reação
• Mecanismos:
– Host-based com proteção de memória e processos
(interrupção de BufferOverflows)
– Interceptação de sessão (Envio de RST)
– Gateway Intrusion Detection (Modificação de ACL’s)
– HoneyPots
•
•
•
•
•
Utilizada em Forense Computacional
É um IDS disfarçado de servidor na rede
Pode estar disfarçado de serviço, host ou servidor
Não resolve um problema, captura informações
Quando distribuídas compõem as HoneyNets