Segurança da Informação – SI
Aula 3
Firewall
Faculdade PITÁGORAS – 2012
Prof. Ramon Pedrosa
[email protected]
Firewalls
Aumenta muito a segurança do sistema,
impedindo acessos não-autorizados, provenientes de
fora.
É claro que, para isso, o firewall tem que estar
bem configurado através das ACLs (Access Control
Lists, ou listas de controle de acesso).
Firewalls
Veja, na imagem a seguir, o modo conceitual de
como o firewall atua em uma rede:
Firewalls
Existem diversos tipos de firewalls.
Firewall filtro de pacotes - É o tipo mais comum. Ele
apenas filtra os pacotes que entram e saem da rede
baseado nas listas de controle de acesso (ACLs).
Firewall Proxy - É utilizado para fornecer acesso à
internet com maior segurança para as máquinas de uma
rede interna, fazendo-as passar por um único ponto.
Isso é útil para realizar um maior controle de segurança,
bloqueando o acesso a determinados websites, etc.
Firewalls
Firewall NAT - É um firewall que, normalmente,
já é filtro de pacotes, mas que também possui recursos
de Network Address Translator, ou NAT. Isso permite
que computadores de uma rede interna consigam
receber e trocar informações com sistemas de fora
dessa rede. Alguns exemplos de firewalls: IPTables,
Winroute, ISA Server.
DMZ
Uma prática bem comum também é utilizar mais
um ponto de firewall em uma rede, criando o que
chamamos de DMZ ou Zona Demilitarizada.
Pode-se colocar um firewall no primeiro ponto de
entrada da rede, posicionando, ali, servidores de menor
risco, como o servidor WEB.
Logo depois, então, teria outro firewall,
bloqueando melhor os acessos à rede interna e a
servidores mais importantes, como o de banco de
dados. Isso é bom, pois cria uma camada extra de
proteção.
DMZ
A importância do IDS e IPS
Em uma arquitetura de rede segura existem
muitas tecnologias e equipamentos, tais como, firewalls,
switches ou roteadores que, de certa forma, aumentam
a segurança da rede mas trabalham separadamente,
cada qual executando tarefas específicas.
Quando trabalham juntos, conseguem diminuir os
riscos, através da geração de logs, utilização de
políticas, regras, etc. Mas podem também deixar passar
acessos indevidos, roubo de informações e outros
ataques, uma vez que a configuração de tais
equipamentos muitas vezes é complexa, exigindo alto
conhecimento dos administradores de sistemas.
A importância do IDS e IPS
Podemos dizer que o IDS irá fornecer uma
camada extra de proteção aos ativos computacionais da
empresa,
dando
flexibilidade,
segurança
e
disponibilidade necessária ao ambiente corporativo
Definindo IDS – Intrusion Detection System
Um IDS é uma ferramenta utilizada para
monitorar o tráfego da rede, detectar e alertar sobre
ataques e tentativas de acessos indevidos.
Na grande maioria das vezes não bloqueia uma
ação, mas verifica se esta ação é ou não uma ameaça
para um segmento de rede.
A vantagem de se utilizar um IDS é que ele, não
interfere no fluxo de tráfego da rede.
Um IDS é geralmente instalado em um modo que
chamamos de “Promiscous-mode” ou simplesmente
”Modo Promiscuo”, veja a figura a seguir:
Definindo IDS – Intrusion Detection System
Definindo IDS – Intrusion Detection System
Note no desenho, que o equipamento identificado
como “Sensor” está conectado a uma porta do Switch
L2 mostrado na figura, e todo o trafego que está
passando por este switch está sendo analisado,
consequentemente caso seja identificado algum tráfego
malicioso, que vá de encontro a base de dados de
assinaturas do software IDS um alerta imediato será
enviado ao sistema de gerenciamento (System
Management).
Este alerta pode ser por exemplo: via e-mail ao
administrador de segurança.
Definindo IPS – Intrusion Prevention System
Como complemento do IDS, temos o IPS, que
tem a capacidade de identificar uma intrusão, analisar a
relevância do evento/risco e bloquear determinados
eventos, fortalecendo assim a tradicional técnica de
detecção de intrusos.
O IPS é uma ferramenta com inteligência na
maneira de trabalhar, pois reúne componentes que
fazem com que ele se torne um repositório de logs e
técnicas avançadas de alertas e respostas, voltadas
exclusivamente a tornar o ambiente computacional cada
vez mais seguro sem perder o grau de disponibilidade
que uma rede deve ter.
Definindo IPS – Intrusion Prevention System
O IPS usa a capacidade de detecção do IDS
junto com a capacidade de bloqueio de um firewall,
notificando e bloqueando de forma eficaz qualquer tipo
de ação suspeita ou indevida e é uma das ferramentas
de segurança de maior abrangência, uma vez que seu
poder de alertar e bloquear age em diversos pontos de
uma arquitetura de rede.
Um IPS é instalado em modo In-Line como
mostrado no desenho a seguir, dessa forma o
equipamento consegue enxergar todo o tráfego em
ambos os sentidos (In and out).
Definindo IPS – Intrusion Prevention System
Como trabalha um IDS / IPS
Veremos a seguir as tecnologias de IDS e IPS
em maiores detalhes, seus tipos de implementações,
como trabalham e como podem estar dispostas em uma
arquitetura de rede segura.
É importante analisar antes qual das
implementações existentes trará melhores resultados e
menores níveis de manutenção.
Como trabalha um IDS / IPS
Como já foi dito, a análise que um IDS faz do
tráfego da rede tem o intuito de identificar atividades
anômalas ou indevidas.
Nestas análises são verificados padrões do
sistema operacional e rede como, por exemplo:
atividades de usuários, erros de logins, excesso de
conexões, volume de dados trafegando no segmento de
rede, ataques a serviços de rede, etc.
Os dados colhidos formam uma base de
informação do uso do sistema ou rede em vários
momentos.
Tipos de IDS / IPS
Existem dois tipos de implementação de Intrusion
Detection / Prevention System:
• host-based
• network-based
Host-Based Intrusion Detection System - HIDS
Host-Based Intrusion Detection System
(HIDS): Este tipo de IDS é instalado em um host que
será alertado sobre ataques ocorridos contra a própria
máquina.
Este IDS irá avaliar a segurança deste host com
base em arquivos de logs de Sistema Operacional, logs
de acesso e logs de aplicação.
Tem grande importância pois fornece segurança
a tipos de ataques que o firewall e um IDS networkbased não detectam, como aqueles baseados em
protocolos de criptografia, como HTTPS.
Host-Based Intrusion Detection System - HIDS
O IDS host-based monitora as conexões de
entrada no host e tenta determinar se alguma destas
conexões pode ser uma ameaça.
Monitora também arquivos, file systems, logs, ou
outras partes do host em particular, que podem ter
atividades suspeitas representando uma tentativa de
intrusão ou até mesmo uma invasão bem sucedida.
Host-Based Intrusion Detection System - HIDS
Alguns IDS de host possuem a capacidade de
interpretar a atividade da rede e detectar ataques em
todas as camadas do protocolo, aumentando assim a
sua capacidade de bloqueio a determinados ataques
que não seriam notados pelo firewall ou pelo IDS de
rede, tais como pacotes criptografados. Esta análise é
restrita a pacotes direcionados ao host protegido pelo
IDS.
Host-Based Intrusion Detection System - HIDS
Um exemplo de tentativa suspeita que é
detectada pelo IDS host-based é o login sem sucesso
em aplicações que utilizam autenticação de rede, desta
forma o sistema IDS informará ao administrador de rede
que existe um usuário tentando utilizar uma aplicação
que ele não tem permissão.
Network-Based Intrusion Detection System NIDS
Network-based Intrusion Detection System
(NIDS): São instalados em servidores ou “appliances”
que monitoram o tráfego do segmento de rede.
Estes equipamentos são responsáveis por
analisar possíveis ataques contra qualquer equipamento
localizado neste segmento de rede.
A análise pode ser de dois tipos: realizada
através de assinaturas de ataques conhecidos, onde o
conteúdo dos pacotes é comparado com uma base de
dados, que deve ser constantemente atualizada, ou
baseada na decodificação e verificação de protocolos
de rede.
Network-Based Intrusion Detection System NIDS
O NIDS, por estar conectado em um determinado
segmento de rede e poder analisar todo o tráfego que
passa por ele, possibilita a proteção de vários
equipamentos ao mesmo tempo.
O Network-based IDS utiliza o “packet-sniffing”
para capturar os dados que estão trafegando por um
segmento de rede.
Alguns ataques que o NIDS detecta: acesso não
autorizado de usuários externos, Denial of Services, port
scans, entre outros.
Arquitetura Ideal
Para se obter a mais segura arquitetura possível,
deve-se combinar os dois tipos de implementação,
HIDS e NIDS.
Cada
uma
destas
tecnologias
possui
características que, trabalhando em conjunto suprem
algumas deficiências que são encontrada nas
implementações separadas.
Como pudemos observar,
(HIDS/NIDS) sem complementam.
ambas
soluções
Analisando um ambiente real
Analisando um ambiente real
Analisando o cenário, note que os IPS’s estão
localizados em pontos estratégicos protegendo a
entrada de cada rede.
Um está localizado antes do firewall e a função
deste IPS é evitar que determinado usuário externo
venha obter alguma informação da topologia interna da
rede.
Já o IDS na DMZ tem como objetivo detectar
alguma atividade anormal que o firewall não tenha
conseguido bloquear.
Analisando um ambiente real
O IDS na rede interna tem como objetivo detectar
alguma atividade anormal vinda de um computador da
rede interna, uma vez que sabemos ser esta a maior
fonte de ataques (70%).
Os IDS de host estão localizados em servidores
críticos, tais como o DNS, Webserver e servidor de email, nestes casos, o que não for detectado pelo NIDS,
serão detectados nos HIDS instalados nestes
servidores.
Terminologias IPS/IDS
False Alarms
False Positives: Ocorre quando o IDS / IPS alerta
sobre uma ação, mas na verdade esta ação não indica
uma ameaça ou um ataque.
False Negatives: Ocorre quando uma ação
indevida acontece, mas o IDS / IPS não alerta sobre
esta ação.
True Alarms
True Positives: Ocorre quando o IDS / IPS alerta
sobre a detecção de um ataque eminente.
True Negatives: Ocorre quando um tráfego não
ofensivo é detectado, ou seja é um tráfego normal que
não causa alarme.
IPS/IDS - Conclusão
Hoje estamos expostos a diversos ataques ou
ameaças, que ocorrem na forma mais variada possível,
o que torna cada vez mais difícil garantir que uma
estrutura
computacional
corporativa
esteja
completamente segura.
Com sistemas como IDS e IPS podemos ser
alertados para estes ataques e consequentemente,
tomarmos uma atitude certa de forma eficaz e precisa,
diminuindo cada vez o tempo de indisponibilidade.
IPS/IDS - Conclusão
É de grande importância saber o que na verdade
está ameaçando nossa segurança. Pois qualquer
ferramenta será inútil caso esteja em local errado ou
funcionando de maneira errada.
Em resumo, o IDS e IPS são tecnologias que
fornecem uma camada extra de proteção para o
ambiente corporativo.