Segurança na Web Cap. 3: Visão Geral das Tecnologias de Segurança Prof. Roberto Franciscatto 4º Free Semestre - TSITemplates - CAFW Powerpoint Page 1 Introdução • Projeto de segurança de Redes Free Powerpoint Templates Page 2 Visão Geral das Tecnologias de Segurança • Etapas: • Segurança em camadas • Este item inclui: roteador, firewall, switch, servidores e usuários Free Powerpoint Templates Page 3 Visão Geral das Tecnologias de Segurança • Etapas: • Controle de acesso • Uma das práticas altamente recomendáveis é tomar decisões de acesso com a mentalidade de ‘bloquear tudo’ • e permitir apenas o que é necessário • também conhecida como política de menor privilégio (ação padrão) Free Powerpoint Templates Page 4 Visão Geral das Tecnologias de Segurança • Etapas: • Função específica de segurança • Função do usuário na organização • Ex.: desenvolvedor web precisa de acesso ao website da organização, enquanto o assistente administrativo não Free Powerpoint Templates Page 5 Visão Geral das Tecnologias de Segurança • Etapas: • Conscientização do usuário • Trocar as senhas de tempo em tempo e retomar as senhas antigas... • Eles não compreendem o propósito da segurança Free Powerpoint Templates Page 6 Visão Geral das Tecnologias de Segurança • Etapas: • Monitoração • Monitoração através de Detecção invasão e honeypots, é uma saída de • é necessário incluir a implantação de IDS quando se projeta a solução da segurança na rede Free Powerpoint Templates Page 7 Visão Geral das Tecnologias de Segurança • Etapas: • Manter os sistemas atualizados • Corrigir/atualizar os sistemas é uma tarefa fundamental e frequentemente esquecida pelos administradores • Ferramentas: tarefas agendadas, scripts de inicialização, etc... Free Powerpoint Templates Page 8 Visão Geral das Tecnologias de Segurança • Filtragem de pacotes via ACL – Access Control • Informação que flui pela internet usa o TCP/IP • Enviadas através de pacotes • Filtros de pacotes são normalmente usados como a primeira defesa em combinação com o firewall Free Powerpoint Templates Page 9 Visão Geral das Tecnologias de Segurança • Filtragem de pacotes via ACL – Access Control • A filtragem de pacotes faz a inspeção de pacotes disponíveis • Filtragem baseada na origem ou destino do endereço IP Free Powerpoint Templates Page 10 Visão Geral das Tecnologias de Segurança • Filtragem de pacotes via ACL – Access Control 5 – Aplicação Proibido 4 - Transport Control Protocol (TCP) User Datagram Protocol (UDP) 3 - Internet Protocol (IP) Permitido O tráfego é filtrado baseandose em regras especificadas, incluindo endereços IP de origem e destino 2 – Enlace 1 – Físico Tráfego recebido Tráfego de saída permitido Free Powerpoint Templates Page 11 Visão Geral das Tecnologias de Segurança • Filtragem de pacotes via ACL – Access Control • O método mais usado para configurar filtros de pacotes é conhecido como listas de controle de acesso (ACLs) • Dividem-se em dois tipos padrão: • ACLs padrão – filtram baseadas no endereço IP • ACLs estendidas – procuram ‘mais dentro’ do cabeçalho do pacote Free Powerpoint Templates Page 12 Visão Geral das Tecnologias de Segurança • Filtragem de pacotes via ACL – Access Control • Implementando um servidor proxy com o Squid • Squid permite compartilhar a conexão entre vários micros, servindo como intermediário entre eles e a internet Free Powerpoint Templates Page 13 Visão Geral das Tecnologias de Segurança • Filtragem de pacotes via ACL – Access Control • Implementando um servidor proxy com o Squid • Para colocar em funcionamento: • # apt-get install squid • # mv /etc/squid/squid.conf /etc/squid/squid.conf.orig • Arquivo /etc/squid/squid.conf seguintes linhas: contendo as • http_port 3128 •visible_hostname servidor •acl all src 0.0.0.0/0.0.0.0 •http_access allow all Free Powerpoint Templates Page 14 Visão Geral das Tecnologias de Segurança • Filtragem de pacotes via ACL – Access Control • Implementando um servidor proxy com o Squid Ex.: permissões Free Powerpoint Templates Page 15 Visão Geral das Tecnologias de Segurança • Filtragem de pacotes via ACL – Access Control • Bloqueando por dominios ou palavras • Bloqueando por dominios ou palavras (com ou sem www) Free Powerpoint Templates Page 16 Visão Geral das Tecnologias de Segurança • Filtragem de pacotes via ACL – Access Control • Bloqueando por dominios ou palavras • Bloqueando por dominios ou palavras (com ou sem www) • E se a regra ficar muito grande ? Free Powerpoint Templates Page 17 Visão Geral das Tecnologias de Segurança • Filtragem de pacotes via ACL – Access Control • É possível nestes casos criar um arquivo externo, inserir os dominios, linha-a-linha e posteriormente fazer uma ‘chamada’ a este arquivo • Ex.: • Problema: • Cada novo endereço descoberto deve ser inserido na lista • Solução: • O Sarg pode ajudar bastante Free Powerpoint Templates Page 18 Visão Geral das Tecnologias de Segurança • Filtragem de pacotes via ACL – Access Control • É possível também inverter a regra, de forma que eu possa bloquear tudo e ir liberando acesso a determinados sites • Ex.: • Nos proxys mais atuais tem-se o bloqueio de dominios associado aos respectivos Ips, evitando assim que o usuario digite diretamente o IP de um site... Free Powerpoint Templates Page 19 Visão Geral das Tecnologias de Segurança • Filtragem de pacotes via ACL – Access Control • É possível bloquear também por endereços IP • Descobrir o endereço IP associado a um dominio: • # host (dominio) Free Powerpoint Templates Page 20 Visão Geral das Tecnologias de Segurança • Filtragem de pacotes via ACL – Access Control • Bloqueando por palavras (incluidas na URL de acesso) • Criar um arquivo texto com as palavras a serem bloqueadas • orkut, xxx, sexo, teens... • Adicionar a regra contendo a localização do arquivo • Problemas ? • Falsos positivos Free Powerpoint Templates Page 21 Visão Geral das Tecnologias de Segurança • Filtragem de pacotes via ACL – Access Control • Mensagens de erro • Adicionar a seguinte linha no squid "error_directory /usr/share/squid/errors/Portuguese/ " • É possivel alterar os arquivos HTML mensagem de forma personalizada... Free Powerpoint Templates de cada Page 22 Visão Geral das Tecnologias de Segurança • Exercício • Em dupla, logar no sistema linux e implementar as seguintes tarefas: • Instalar o squid • Efetuar os seguintes bloqueios: • lista de palavras inapropriadas (criar arquivo) • lista de sites bloqueados pela instituição (criar arquivo) • bloquear acesso durante o período da aula do prof. Roberto • bloquear acesso a arquivos com a extensão (avi, exe, mp3, mov, wmv, etc...) • Quando estiver tudo rodando, apresente ao professor Free Powerpoint Templates Page 23 Visão Geral das Tecnologias de Segurança • Exercício • Em dupla, logar no sistema linux e implementar as seguintes tarefas: • Ainda no squid... • Configure uma cache de paginas e arquivos • Tanto cache de RAM como de HD • Proxy com autenticação • Instalar pacote apache2-utils • Cadastrar 5 usuarios diferentes • Instalar o Sarg • Gerar os relatorios e monitorar acessos Free Powerpoint Templates Page 24 Visão Geral das Tecnologias de Segurança • Inspeção do estado dos pacotes • O componente de inspeção de estado se preocupa com como o TCP faz as conexões. • Rastrear o estado da conexão TCP é feita via Camada 4 do modelo TCP/IP. Free Powerpoint Templates Page 25 Visão Geral das Tecnologias de Segurança • Inspeção do estado dos pacotes 5 – Aplicação Proibido 4 - Transport Control Protocol (TCP) User Datagram Protocol (UDP) 3 - Internet Protocol (IP) 2 – Enlace 1 – Físico Tráfego recebido Permitido O tráfego é filtrado baseandose em regras especificadas, incluindo endereços IP de origem e destino Tráfego desconhecido é permitido apenas até a Camada 4 da Pilha de Rede Tráfego de saída permitido Free Powerpoint Templates Page 26 Visão Geral das Tecnologias de Segurança • Inspeção do estado dos pacotes • Na maioria dos casos, a SPI ocorre no firewall, que se situa por detrás do roteador que conecta a sua rede a internet • A colocação desta segurança adicional permite que a defesa seja aprofundada a um outro npivel da camada • com o objetivo de proteger completamente a rede via múltiplas camadas de proteção Free Powerpoint Templates Page 27 Visão Geral das Tecnologias de Segurança • Fluxo detalhado de pacotes usando SPI • Quando um pacote chega ao firewall, deve-se tomar uma decisão para determinar se o pacote deve ser permitido para a rede interna • Firewall pega cada pacote recebido e inspeciona o seu cabeçalho • verifica se o pacote é permitido, consultando o conjunto de regras pré-estabelecido (IPTABLES, por exemplo) Free Powerpoint Templates Page 28 Visão Geral das Tecnologias de Segurança • Fluxo detalhado de pacotes usando SPI • A inspeção ao cabeçalho do pacote inclui: • endereços de origem e destino do pacote • tipo de protocolo (UDP, TCP, ICMP,...) • os flags definidos no pacote (SYN, ACK, FIN, RST) Free Powerpoint Templates Page 29 Visão Geral das Tecnologias de Segurança • Fluxo detalhado de pacotes usando SPI • Estes dados inspecionados são comparados contra o conjunto de regras que determina o que deve ser permitido e o que deve ser proibido. Free Powerpoint Templates Page 30 Visão Geral das Tecnologias de Segurança • Exemplos de Firewall • WINDOWS • Firewall do Windows • Zone Alarm • Mcafee Security Center • LINUX • IPTABLES • Firestarter Free Powerpoint Templates Page 31 Visão Geral das Tecnologias de Segurança • Exemplos de Firewall • Firewall do Windows • Como bloqueio um aplicativo ? • Como libero acesso a determinada porta? • Firestarter • • • • • Instalação Utilização Inserindo regras Controlando regras Monitorando os pacotes da rede Free Powerpoint Templates Page 32