GRIS - Securing DMZ - Palestra sobre Securing DMZ

  • View
    219

  • Download
    1

Embed Size (px)

DESCRIPTION

Apresentaçoes do GRIS - Grupo de Resposta a Incidentes de Segurança - atuante no DCC/UFRJ

Text of GRIS - Securing DMZ - Palestra sobre Securing DMZ

  • Grupo de RespostaGrupo de Respostaa Incidentes de Seguranaa Incidentes de Segurana

    Segurana em DMZSegurana em DMZ

    Nome:AugustoCesardaF.dosSantos

    GrupodeRespostasaIncidentesdeSegurana

    DepartamentodeCinciadaComputao

    InstitutodeMatemtica

    UniversidadeFederaldoRiodeJaneiro

    augusto@gris.dcc.ufrj.br

  • DMZ Conceito Geopolitico DMZ Conceito Geopolitico

    Geopoliticamente - Zona Desmilitarizada (De-Militarized Zone) Vietn do Sul X Vietn do Norte Atividade Blica Proibida Armistcio Na Segurana da Informao (Zona de Permetro ou Zona Neutra)

  • A InternetA Internet Rede Mundial de Computadores Rede Externa (No Confivel) Confiabilidade e Segurana Riscos e Atividades Maliciosas

    http://eb23svformoso.ccbi.com.pt/blog/?p=92

  • A DMZ (Zona Desmilitarizada)A DMZ (Zona Desmilitarizada) O que ?Subredesquehospedamservidorescomseusrespectivosservios,protegidosporregrasdeFirewall

    O que existe na DMZ?- Firewalls ( Gateways,Dispositivosde Permetro) ControlergidodofluxodetrfegoPassagenssegurasentreredeinternaeinternet

    Por que Parcialmente Segura?AcessoPblicoRiscodeAtividadeMaliciosa

  • Esquema de Endereamento IPEsquema de Endereamento IP Poltica de Segurana: IP Pblico IP Privado NAT VLANs (Redes Virtuais Distinas que no se falam entre si)MaiorSeguranaSeparardadossigilosos

    DesempenhoeLarguradeBanda

    - Segregaodedepartamentos

  • Um firewall com trs interfacesUm firewall com trs interfaces- Rede Interna (Confivel)- Rede Externa (No Confivel)- DMZ ( Semi-segura)

  • Dois Firewalls com duas interfaces cadaDois Firewalls com duas interfaces cada

    - Recebe trfego da Internet- Filtro de Pacotes na entrada da DMZ melhora o desempenho no acesso aos servidores

  • Regras de FirewallRegras de Firewall Para uma boa poltica de segurana a ser implementada no Firewall importante que se estabeleam algumas regras, como:Habilitaraplicaesestritamentenecessriosdeacordoosserviosdisponibilizadosaosusurios(quaisportaseseusrespectivosservios)

    RegrasrgidasdeacordocomquetiposdeendereosIPspodemacessarquaisservios

    GerenciamentodeLogsdeportasproibidas

    RedirecionamentodePortas

    Regrasdeacordocomataquesespecficos

  • Ataques e Defesas em DMZAtaques e Defesas em DMZMais comuns: DoS (Denial of Service) Tentativadetornarrecursosdeumsistemaindisponveis

    MaiscomumemservidoresHTTPObjetivodeTornaroservioindisponvel

    DDoS ( Distributed Denial of Service)Maquinasinfectadascontroladas(zumbis)porumamquinaMestre

    Servidorrecebenmerolimitadoderequisies,noataquetodososzumbisefetuamarequisiodeumasvez

    Servidorpodereiniciarouficartravado

    Proteo:RegrasdeFirewallcomataquesespecficos(maiscomuns)

    - FerramentasdeHardening(IDS,IPSeetc.)

  • Honeypot e Ferramentas de hardeningHoneypot e Ferramentas de hardeningHoneypots - OpoPrAtivaqueatrai atenodosinvasores

    IDS (Intrusion Detection System)-DetectaeRegistraaesmaliciosasetrfegoanmalonasrededecomputadores(NIDS)eemhosts(HIDS).SoPassivos.

    IPS ( intrusion Prevention System)- Detecta,Registraetrataaesmaliciosasetrfegoanmalonasrededecomputadores.SoAtivos

    http://www.jrcontrole.com.br/alarme.htm

    http://www.easyvmx.com/blog/?q=security_vmware_honeypots

  • Dvidas?Dvidas?

    Nome:AugustoCesardaF.dosSantos

    GrupodeRespostasaIncidentesdeSegurana

    DepartamentodeCinciadaComputao

    InstitutodeMatemtica

    UniversidadeFederaldoRiodeJaneiro

    augusto@gris.dcc.ufrj.br

  • Bibliografias:Bibliografias:SolutionBaseStrengthennetworkdefensesbyusingaDMZ:http://articles.techrepublic.com/510022115756029.html

    DisigningaDMZ:http://sans.org/readingroom/whitepapers/firewalls/950.php

    SampleDMZExemple:http://www.ciberciti.biz/faq/linuxdemilitarizedzonehowto/

    http://www.honeynet.org

    CursoTecnologicodeRedesdeComputadores(ApostilaemPDF)Professores:JosMaurcioS.Pinheiro/JosRicardoF.deAlmeida

    FirewallSuascaractersticaseVulnerabilidades(ApostilaemPDF)FaculdadedeTecnologiadoSENAIdeFlorianpolisDepartamentodePsGraduao(CTAIFlorianpolis)VandersoC.Siewert

    Slide 1Slide 2Slide 3Slide 4Slide 5Slide 6Slide 7Slide 8Slide 9Slide 10Slide 11Slide 12