Segurança na Web
Cap. 3: Visão Geral das Tecnologias de Segurança
Prof. Roberto Franciscatto
4º Free
Semestre
- TSITemplates
- CAFW
Powerpoint
Page 1
Introdução
• Projeto de segurança de Redes
Free Powerpoint Templates
Page 2
Visão Geral das Tecnologias de Segurança
• Etapas:
• Segurança em camadas
• Este item inclui: roteador, firewall, switch,
servidores e usuários
Free Powerpoint Templates
Page 3
Visão Geral das Tecnologias de Segurança
• Etapas:
• Controle de acesso
• Uma das práticas altamente recomendáveis
é tomar decisões de acesso com a
mentalidade de ‘bloquear tudo’
• e permitir apenas o que é necessário
• também conhecida como política de menor
privilégio (ação padrão)
Free Powerpoint Templates
Page 4
Visão Geral das Tecnologias de Segurança
• Etapas:
• Função específica de segurança
• Função do usuário na organização
• Ex.: desenvolvedor web precisa de acesso
ao website da organização, enquanto o
assistente administrativo não
Free Powerpoint Templates
Page 5
Visão Geral das Tecnologias de Segurança
• Etapas:
• Conscientização do usuário
• Trocar as senhas de tempo em tempo e
retomar as senhas antigas...
• Eles não compreendem o propósito da
segurança
Free Powerpoint Templates
Page 6
Visão Geral das Tecnologias de Segurança
• Etapas:
• Monitoração
• Monitoração através de Detecção
invasão e honeypots, é uma saída
de
• é necessário incluir a implantação de IDS
quando se projeta a solução da segurança
na rede
Free Powerpoint Templates
Page 7
Visão Geral das Tecnologias de Segurança
• Etapas:
• Manter os sistemas atualizados
• Corrigir/atualizar os sistemas é uma tarefa
fundamental e frequentemente esquecida
pelos administradores
• Ferramentas: tarefas agendadas, scripts de
inicialização, etc...
Free Powerpoint Templates
Page 8
Visão Geral das Tecnologias de Segurança
• Filtragem de pacotes via ACL – Access
Control
• Informação que flui pela internet usa o
TCP/IP
• Enviadas através de pacotes
• Filtros de pacotes são normalmente usados
como a primeira defesa em combinação com
o firewall
Free Powerpoint Templates
Page 9
Visão Geral das Tecnologias de Segurança
• Filtragem de pacotes via ACL – Access
Control
• A filtragem de pacotes faz a inspeção de
pacotes disponíveis
• Filtragem baseada na origem ou destino do
endereço IP
Free Powerpoint Templates
Page 10
Visão Geral das Tecnologias de Segurança
• Filtragem de pacotes via ACL – Access
Control
5 – Aplicação
Proibido
4 - Transport Control Protocol (TCP)
User Datagram Protocol (UDP)
3 - Internet Protocol (IP)
Permitido
O tráfego é filtrado baseandose em regras especificadas,
incluindo endereços IP de
origem e destino
2 – Enlace
1 – Físico
Tráfego recebido
Tráfego de saída permitido
Free Powerpoint Templates
Page 11
Visão Geral das Tecnologias de Segurança
• Filtragem de pacotes via ACL – Access
Control
• O método mais usado para configurar
filtros de pacotes é conhecido como listas
de controle de acesso (ACLs)
• Dividem-se em dois tipos padrão:
• ACLs padrão – filtram baseadas no
endereço IP
• ACLs estendidas – procuram ‘mais
dentro’ do cabeçalho do pacote
Free Powerpoint Templates
Page 12
Visão Geral das Tecnologias de Segurança
• Filtragem de pacotes via ACL – Access
Control
• Implementando um servidor proxy com o
Squid
• Squid permite compartilhar a conexão
entre vários micros, servindo como
intermediário entre eles e a internet
Free Powerpoint Templates
Page 13
Visão Geral das Tecnologias de Segurança
• Filtragem de pacotes via ACL – Access Control
• Implementando um servidor proxy com o Squid
• Para colocar em funcionamento:
• # apt-get install squid
• # mv /etc/squid/squid.conf
/etc/squid/squid.conf.orig
• Arquivo
/etc/squid/squid.conf
seguintes linhas:
contendo
as
• http_port 3128
•visible_hostname servidor
•acl all src 0.0.0.0/0.0.0.0
•http_access allow all
Free Powerpoint Templates
Page 14
Visão Geral das Tecnologias de Segurança
• Filtragem de pacotes via ACL – Access Control
• Implementando
um servidor proxy
com o Squid
Ex.: permissões
Free Powerpoint Templates
Page 15
Visão Geral das Tecnologias de Segurança
• Filtragem de pacotes via ACL – Access Control
• Bloqueando por dominios ou palavras
• Bloqueando por dominios ou palavras (com ou sem www)
Free Powerpoint Templates
Page 16
Visão Geral das Tecnologias de Segurança
• Filtragem de pacotes via ACL – Access Control
• Bloqueando por dominios ou palavras
• Bloqueando por dominios ou palavras (com ou sem www)
• E se a regra ficar muito grande ?
Free Powerpoint Templates
Page 17
Visão Geral das Tecnologias de Segurança
• Filtragem de pacotes via ACL – Access Control
• É possível nestes casos criar um arquivo externo, inserir os
dominios, linha-a-linha e posteriormente fazer uma
‘chamada’ a este arquivo
• Ex.:
• Problema:
• Cada novo endereço descoberto deve ser inserido na lista
• Solução:
• O Sarg pode ajudar bastante
Free Powerpoint Templates
Page 18
Visão Geral das Tecnologias de Segurança
• Filtragem de pacotes via ACL – Access Control
• É possível também inverter a regra, de forma que eu possa
bloquear tudo e ir liberando acesso a determinados sites
• Ex.:
• Nos proxys mais atuais tem-se o bloqueio de dominios
associado aos respectivos Ips, evitando assim que o usuario
digite diretamente o IP de um site...
Free Powerpoint Templates
Page 19
Visão Geral das Tecnologias de Segurança
• Filtragem de pacotes via ACL – Access Control
• É possível bloquear também por endereços IP
• Descobrir o endereço IP associado a um dominio:
• # host (dominio)
Free Powerpoint Templates
Page 20
Visão Geral das Tecnologias de Segurança
• Filtragem de pacotes via ACL – Access Control
• Bloqueando por palavras (incluidas na URL de acesso)
•
Criar um arquivo texto com as palavras a serem bloqueadas
• orkut, xxx, sexo, teens...
• Adicionar a regra contendo a localização do arquivo
• Problemas ?
• Falsos positivos
Free Powerpoint Templates
Page 21
Visão Geral das Tecnologias de Segurança
• Filtragem de pacotes via ACL – Access Control
• Mensagens de erro
• Adicionar a seguinte linha no squid
"error_directory /usr/share/squid/errors/Portuguese/ "
• É possivel alterar os arquivos HTML
mensagem de forma personalizada...
Free Powerpoint Templates
de
cada
Page 22
Visão Geral das Tecnologias de Segurança
• Exercício
• Em dupla, logar no sistema linux e implementar as
seguintes tarefas:
• Instalar o squid
• Efetuar os seguintes bloqueios:
• lista de palavras inapropriadas (criar arquivo)
• lista de sites bloqueados pela instituição (criar arquivo)
• bloquear acesso durante o período da aula do prof.
Roberto
• bloquear acesso a arquivos com a extensão (avi, exe,
mp3, mov, wmv, etc...)
• Quando estiver tudo rodando, apresente ao professor
Free Powerpoint Templates
Page 23
Visão Geral das Tecnologias de Segurança
• Exercício
• Em dupla, logar no sistema linux e implementar as
seguintes tarefas:
• Ainda no squid...
• Configure uma cache de paginas e arquivos
• Tanto cache de RAM como de HD
• Proxy com autenticação
• Instalar pacote apache2-utils
• Cadastrar 5 usuarios diferentes
• Instalar o Sarg
• Gerar os relatorios e monitorar acessos
Free Powerpoint Templates
Page 24
Visão Geral das Tecnologias de Segurança
• Inspeção do estado dos pacotes
• O componente de inspeção de estado se preocupa com
como o TCP faz as conexões.
• Rastrear o estado da conexão TCP é feita via Camada 4 do
modelo TCP/IP.
Free Powerpoint Templates
Page 25
Visão Geral das Tecnologias de Segurança
• Inspeção do estado dos pacotes
5 – Aplicação
Proibido
4 - Transport Control Protocol (TCP)
User Datagram Protocol (UDP)
3 - Internet Protocol (IP)
2 – Enlace
1 – Físico
Tráfego recebido
Permitido
O tráfego é filtrado baseandose em regras especificadas,
incluindo endereços IP de
origem e destino
Tráfego desconhecido é
permitido apenas até a
Camada 4 da Pilha de Rede
Tráfego de saída permitido
Free Powerpoint Templates
Page 26
Visão Geral das Tecnologias de Segurança
• Inspeção do estado dos pacotes
• Na maioria dos casos, a SPI ocorre no firewall, que se situa
por detrás do roteador que conecta a sua rede a internet
• A colocação desta segurança adicional permite que a defesa
seja aprofundada a um outro npivel da camada
• com o objetivo de proteger completamente a rede via
múltiplas camadas de proteção
Free Powerpoint Templates
Page 27
Visão Geral das Tecnologias de Segurança
• Fluxo detalhado de pacotes usando SPI
• Quando um pacote chega ao firewall, deve-se tomar uma
decisão para determinar se o pacote deve ser permitido para
a rede interna
• Firewall pega cada pacote recebido e inspeciona o seu
cabeçalho
• verifica se o pacote é permitido, consultando o conjunto
de regras pré-estabelecido (IPTABLES, por exemplo)
Free Powerpoint Templates
Page 28
Visão Geral das Tecnologias de Segurança
• Fluxo detalhado de pacotes usando SPI
• A inspeção ao cabeçalho do pacote inclui:
• endereços de origem e destino do pacote
• tipo de protocolo (UDP, TCP, ICMP,...)
• os flags definidos no pacote (SYN, ACK, FIN, RST)
Free Powerpoint Templates
Page 29
Visão Geral das Tecnologias de Segurança
• Fluxo detalhado de pacotes usando SPI
• Estes dados inspecionados são comparados contra o
conjunto de regras que determina o que deve ser permitido e
o que deve ser proibido.
Free Powerpoint Templates
Page 30
Visão Geral das Tecnologias de Segurança
• Exemplos de Firewall
• WINDOWS
• Firewall do Windows
• Zone Alarm
• Mcafee Security Center
• LINUX
• IPTABLES
• Firestarter
Free Powerpoint Templates
Page 31
Visão Geral das Tecnologias de Segurança
• Exemplos de Firewall
• Firewall do Windows
• Como bloqueio um aplicativo ?
• Como libero acesso a determinada porta?
• Firestarter
•
•
•
•
•
Instalação
Utilização
Inserindo regras
Controlando regras
Monitorando os pacotes da rede
Free Powerpoint Templates
Page 32
Download

Segurança na Web Cap. 3: Visão Geral das Tecnologias de