Segurança da Informação – SI Aula 3 Firewall Faculdade PITÁGORAS – 2012 Prof. Ramon Pedrosa [email protected] Firewalls Aumenta muito a segurança do sistema, impedindo acessos não-autorizados, provenientes de fora. É claro que, para isso, o firewall tem que estar bem configurado através das ACLs (Access Control Lists, ou listas de controle de acesso). Firewalls Veja, na imagem a seguir, o modo conceitual de como o firewall atua em uma rede: Firewalls Existem diversos tipos de firewalls. Firewall filtro de pacotes - É o tipo mais comum. Ele apenas filtra os pacotes que entram e saem da rede baseado nas listas de controle de acesso (ACLs). Firewall Proxy - É utilizado para fornecer acesso à internet com maior segurança para as máquinas de uma rede interna, fazendo-as passar por um único ponto. Isso é útil para realizar um maior controle de segurança, bloqueando o acesso a determinados websites, etc. Firewalls Firewall NAT - É um firewall que, normalmente, já é filtro de pacotes, mas que também possui recursos de Network Address Translator, ou NAT. Isso permite que computadores de uma rede interna consigam receber e trocar informações com sistemas de fora dessa rede. Alguns exemplos de firewalls: IPTables, Winroute, ISA Server. DMZ Uma prática bem comum também é utilizar mais um ponto de firewall em uma rede, criando o que chamamos de DMZ ou Zona Demilitarizada. Pode-se colocar um firewall no primeiro ponto de entrada da rede, posicionando, ali, servidores de menor risco, como o servidor WEB. Logo depois, então, teria outro firewall, bloqueando melhor os acessos à rede interna e a servidores mais importantes, como o de banco de dados. Isso é bom, pois cria uma camada extra de proteção. DMZ A importância do IDS e IPS Em uma arquitetura de rede segura existem muitas tecnologias e equipamentos, tais como, firewalls, switches ou roteadores que, de certa forma, aumentam a segurança da rede mas trabalham separadamente, cada qual executando tarefas específicas. Quando trabalham juntos, conseguem diminuir os riscos, através da geração de logs, utilização de políticas, regras, etc. Mas podem também deixar passar acessos indevidos, roubo de informações e outros ataques, uma vez que a configuração de tais equipamentos muitas vezes é complexa, exigindo alto conhecimento dos administradores de sistemas. A importância do IDS e IPS Podemos dizer que o IDS irá fornecer uma camada extra de proteção aos ativos computacionais da empresa, dando flexibilidade, segurança e disponibilidade necessária ao ambiente corporativo Definindo IDS – Intrusion Detection System Um IDS é uma ferramenta utilizada para monitorar o tráfego da rede, detectar e alertar sobre ataques e tentativas de acessos indevidos. Na grande maioria das vezes não bloqueia uma ação, mas verifica se esta ação é ou não uma ameaça para um segmento de rede. A vantagem de se utilizar um IDS é que ele, não interfere no fluxo de tráfego da rede. Um IDS é geralmente instalado em um modo que chamamos de “Promiscous-mode” ou simplesmente ”Modo Promiscuo”, veja a figura a seguir: Definindo IDS – Intrusion Detection System Definindo IDS – Intrusion Detection System Note no desenho, que o equipamento identificado como “Sensor” está conectado a uma porta do Switch L2 mostrado na figura, e todo o trafego que está passando por este switch está sendo analisado, consequentemente caso seja identificado algum tráfego malicioso, que vá de encontro a base de dados de assinaturas do software IDS um alerta imediato será enviado ao sistema de gerenciamento (System Management). Este alerta pode ser por exemplo: via e-mail ao administrador de segurança. Definindo IPS – Intrusion Prevention System Como complemento do IDS, temos o IPS, que tem a capacidade de identificar uma intrusão, analisar a relevância do evento/risco e bloquear determinados eventos, fortalecendo assim a tradicional técnica de detecção de intrusos. O IPS é uma ferramenta com inteligência na maneira de trabalhar, pois reúne componentes que fazem com que ele se torne um repositório de logs e técnicas avançadas de alertas e respostas, voltadas exclusivamente a tornar o ambiente computacional cada vez mais seguro sem perder o grau de disponibilidade que uma rede deve ter. Definindo IPS – Intrusion Prevention System O IPS usa a capacidade de detecção do IDS junto com a capacidade de bloqueio de um firewall, notificando e bloqueando de forma eficaz qualquer tipo de ação suspeita ou indevida e é uma das ferramentas de segurança de maior abrangência, uma vez que seu poder de alertar e bloquear age em diversos pontos de uma arquitetura de rede. Um IPS é instalado em modo In-Line como mostrado no desenho a seguir, dessa forma o equipamento consegue enxergar todo o tráfego em ambos os sentidos (In and out). Definindo IPS – Intrusion Prevention System Como trabalha um IDS / IPS Veremos a seguir as tecnologias de IDS e IPS em maiores detalhes, seus tipos de implementações, como trabalham e como podem estar dispostas em uma arquitetura de rede segura. É importante analisar antes qual das implementações existentes trará melhores resultados e menores níveis de manutenção. Como trabalha um IDS / IPS Como já foi dito, a análise que um IDS faz do tráfego da rede tem o intuito de identificar atividades anômalas ou indevidas. Nestas análises são verificados padrões do sistema operacional e rede como, por exemplo: atividades de usuários, erros de logins, excesso de conexões, volume de dados trafegando no segmento de rede, ataques a serviços de rede, etc. Os dados colhidos formam uma base de informação do uso do sistema ou rede em vários momentos. Tipos de IDS / IPS Existem dois tipos de implementação de Intrusion Detection / Prevention System: • host-based • network-based Host-Based Intrusion Detection System - HIDS Host-Based Intrusion Detection System (HIDS): Este tipo de IDS é instalado em um host que será alertado sobre ataques ocorridos contra a própria máquina. Este IDS irá avaliar a segurança deste host com base em arquivos de logs de Sistema Operacional, logs de acesso e logs de aplicação. Tem grande importância pois fornece segurança a tipos de ataques que o firewall e um IDS networkbased não detectam, como aqueles baseados em protocolos de criptografia, como HTTPS. Host-Based Intrusion Detection System - HIDS O IDS host-based monitora as conexões de entrada no host e tenta determinar se alguma destas conexões pode ser uma ameaça. Monitora também arquivos, file systems, logs, ou outras partes do host em particular, que podem ter atividades suspeitas representando uma tentativa de intrusão ou até mesmo uma invasão bem sucedida. Host-Based Intrusion Detection System - HIDS Alguns IDS de host possuem a capacidade de interpretar a atividade da rede e detectar ataques em todas as camadas do protocolo, aumentando assim a sua capacidade de bloqueio a determinados ataques que não seriam notados pelo firewall ou pelo IDS de rede, tais como pacotes criptografados. Esta análise é restrita a pacotes direcionados ao host protegido pelo IDS. Host-Based Intrusion Detection System - HIDS Um exemplo de tentativa suspeita que é detectada pelo IDS host-based é o login sem sucesso em aplicações que utilizam autenticação de rede, desta forma o sistema IDS informará ao administrador de rede que existe um usuário tentando utilizar uma aplicação que ele não tem permissão. Network-Based Intrusion Detection System NIDS Network-based Intrusion Detection System (NIDS): São instalados em servidores ou “appliances” que monitoram o tráfego do segmento de rede. Estes equipamentos são responsáveis por analisar possíveis ataques contra qualquer equipamento localizado neste segmento de rede. A análise pode ser de dois tipos: realizada através de assinaturas de ataques conhecidos, onde o conteúdo dos pacotes é comparado com uma base de dados, que deve ser constantemente atualizada, ou baseada na decodificação e verificação de protocolos de rede. Network-Based Intrusion Detection System NIDS O NIDS, por estar conectado em um determinado segmento de rede e poder analisar todo o tráfego que passa por ele, possibilita a proteção de vários equipamentos ao mesmo tempo. O Network-based IDS utiliza o “packet-sniffing” para capturar os dados que estão trafegando por um segmento de rede. Alguns ataques que o NIDS detecta: acesso não autorizado de usuários externos, Denial of Services, port scans, entre outros. Arquitetura Ideal Para se obter a mais segura arquitetura possível, deve-se combinar os dois tipos de implementação, HIDS e NIDS. Cada uma destas tecnologias possui características que, trabalhando em conjunto suprem algumas deficiências que são encontrada nas implementações separadas. Como pudemos observar, (HIDS/NIDS) sem complementam. ambas soluções Analisando um ambiente real Analisando um ambiente real Analisando o cenário, note que os IPS’s estão localizados em pontos estratégicos protegendo a entrada de cada rede. Um está localizado antes do firewall e a função deste IPS é evitar que determinado usuário externo venha obter alguma informação da topologia interna da rede. Já o IDS na DMZ tem como objetivo detectar alguma atividade anormal que o firewall não tenha conseguido bloquear. Analisando um ambiente real O IDS na rede interna tem como objetivo detectar alguma atividade anormal vinda de um computador da rede interna, uma vez que sabemos ser esta a maior fonte de ataques (70%). Os IDS de host estão localizados em servidores críticos, tais como o DNS, Webserver e servidor de email, nestes casos, o que não for detectado pelo NIDS, serão detectados nos HIDS instalados nestes servidores. Terminologias IPS/IDS False Alarms False Positives: Ocorre quando o IDS / IPS alerta sobre uma ação, mas na verdade esta ação não indica uma ameaça ou um ataque. False Negatives: Ocorre quando uma ação indevida acontece, mas o IDS / IPS não alerta sobre esta ação. True Alarms True Positives: Ocorre quando o IDS / IPS alerta sobre a detecção de um ataque eminente. True Negatives: Ocorre quando um tráfego não ofensivo é detectado, ou seja é um tráfego normal que não causa alarme. IPS/IDS - Conclusão Hoje estamos expostos a diversos ataques ou ameaças, que ocorrem na forma mais variada possível, o que torna cada vez mais difícil garantir que uma estrutura computacional corporativa esteja completamente segura. Com sistemas como IDS e IPS podemos ser alertados para estes ataques e consequentemente, tomarmos uma atitude certa de forma eficaz e precisa, diminuindo cada vez o tempo de indisponibilidade. IPS/IDS - Conclusão É de grande importância saber o que na verdade está ameaçando nossa segurança. Pois qualquer ferramenta será inútil caso esteja em local errado ou funcionando de maneira errada. Em resumo, o IDS e IPS são tecnologias que fornecem uma camada extra de proteção para o ambiente corporativo.