Upload
eugenio-casqueira-de-escobar
View
216
Download
1
Embed Size (px)
Citation preview
Segurança de redes
Arquitetura de segurança – Redes
Arquitetura de Segurança
• Entende-se por arquitetura toda e qualquer organização de topologia e distribuição de equipamentos de segurança em um ambiente com a finalidade de reduzir a possibilidade da ocorrência de problemas
• Quando se fala de uma rede, pode-se criar uma topologia com diversas camadas de segurança, tornando mais difícil eventuais invasões
Arquitetura de Segurança
• Definição de uma topologia
• Identificação dos elementos existentes no ambiente, por exemplo:
• Uma rede local• Conexões com a Internet• Servidores (Ex. WEB, SMTP, POP...)• Conexões entre localidades• Conexões remotas (VPN)
Exemplo de arquitetura de rede
DMZ – Zona Desmilitarizada
• DMZ = Zona Desmilitarizada• Maneira de segregar o acesso entre diferentes redes
• Criar áreas cujo acesso é publico, porém controlado
• Em geral, servidores que possuem acesso público estão nessa rede
• O Firewall é normalmente o elemento responsável por essa interconexão
DMZ – Zona Desmilitarizada
• Exemplo:
• O firewall somente irá permitir que conexões provenientes da Internet acessar os servidores da DMZ. Isso protegeria a rede local de outros acessos
• Se os servidores estivessem na mesma rede que as estações de trabalho, haveria a possibilidade de um dos servidores ser invadido e lançar ataques para estações da rede local, ou um empregado atacar um servidor
Regras de firewall
• As regras de firewall devem ser criadas para implementar essa arquitetura, considerando as DMZs, Redes Locais e também as conexões entre as redes
• Exemplo:IP de Origem IP de Destino Serviço (Porta) Ação IP da máquina. do administrador
IP do Firewall Serviço de adm. do firewall
Permitir
Qualquer IP IP do Firewall Qualquer Serviço Bloquear Qualquer IP IP do Web Server HTTP / HTTPS Permitir Qualquer IP IP do SMTP Server SMTP Permitir Qualquer IP IP do DNS Server DNS Permitir Rede Interna Qualquer IP HTTP/ HTTPS Permitir IP do SMTP Server IP do Servidor de
Correio interno SMTP Permitir
Redes de Terceiros IP dos servidores utilizados por terceiros
Serviços utilizados por terceiros
Permitir
Qualquer IP Qualquer IP Qualquer Serviço Bloquear
Segurança em dispositivos de rede
• Parte da arquitetura de segurança de uma rede é a necessidade de proteger os ativos da rede contra eventuais ataques
• Grande maioria dos dispositivos de rede possuem sistemas operacionais e camadas de software que podem ser passíveis de vulnerabilidades, viabilizando ataques
• Dessa forma, alguns cuidados devem ser tomados com relação a esses dispositivos
Atualização de dispositivos de rede
• Assim como qualquer outro servidor, os seguintes cuidados devem ser observados
• Atualização do sistema operacional• Controle de acesso • Serviços desnecessários habilitados • Serviços potencialmente inseguros habilitados • Boas práticas de ocnfiugração de redes IP• Monitoração
• Deve haver uma rotina para garantir que a versão dos softwares desses equipamentos estejam sempre atualizados
Atualização de dispositivos de rede
• Exemplos de serviços desnecessários em dispositivo de rede:
• Bootp Server – Serviço anterior e semelhante ao DHCP, raramente utilizado.• Http Server – Normalmente a interface de administração Web do dispositivo.• Finger Server – Serviço que fornece informações sobre usuários do dispositivo. Pode ser utilizado para obter informações que serão utilizadas em uma tentativa de acesso não autorizada.• Echo – Serviço que age como “eco”, transmitindo toda a informação que recebeu. Pode ser utilizado em ataques de Denial of Service contra outros hosts. • Chargen – Serviço que fornece uma cadeia constante de caracteres ASCII, também pode ser utilizado para ataques de DoS.• Discard – Serviço que descarta tudo que recebe. • Daytime - Serviço que fornece a hora vigente no dispositivo.
Elementos de segurança de rede
• A arquitetura de rede depende de diversos dispositivos de segurança. Entre os mais comuns:
• Firewalls
• IDS / IPS
• Servidores Proxy
• VirusWalls
• Detectores de anomalia de rede
• Concentradores de VPN
• UTMs
Firewalls
• Os Firewalls devem ser os elementos de interconexão entre diferentes redes
• Realizam a inspeção de cada pacote que passa por eles, possibilitando o controle do tráfego entre redes e hosts
• Os modelos mais simples inspecionam as camadas 3 e 4 do modelo OSI
• Há tipos de firewall que permitem a inspeção do tráfego nas camadas mais altas do modelo OSI, controlando protocolos, estado de sessões e a adequação de protocolos
IDS / IPS
• Os Sistemas de Detecção/Prevenção de Intrusão (Intruder Detection/Prevention System) analisam o conteúdo dos pacotes de dados em buscas de características (assinaturas) que possam denotar um ataque
• Podem funcionar em duas topologias diferentes
IDS / IPS
• Topologia Inline
• Esta topologia permite bloquear ataques, mas insere um ponto de falha na rede, e também aumenta a latência (atraso) da rede.
• Topologia Out-of-band
• Esta topologia permite apenas detectar ataques, sem inserir qualquer tipo de atraso ou latência na rede – mas não pode bloquear diretamente um ataque
IDSPort Span
IDS
Proxy Servers
• Os servidores Proxy são úteis para controlar / concentrar o acesso entre redes
• Normalmente são utilizados para o acesso WEB• Um servidor Proxy é colocado em uma rede separada da rede local, e somente ele terá acesso à Internet
• As estações precisam se conectar a esse servidor para ter acesso, como se fosse um “procurador”
Proxy Servers
• Os servidores Proxy podem ser utilizados para concentrar acessos provenientes de outras rede – conhecidos como Proxy Reverso
Firewall
Router
Internet
SwitchServidores
Switch
Estações de trabalho
Proxy Reverso
1-Solicitação 3-Resposta
2-Solicitação
4-Resposta
VirusWalls
• Muitas empresas decidem colocar camadas especiais de controle de vírus
• Os Viruswalls são equipamentos cujo o tráfego da rede deve passar por ele, e este tem a habilidade de detectar a presença de vírus durante o tráfego da rede
• Caso este elemento detecte um tráfego contendo vírus, pode automaticamente bloquear a conexão, deletar o arquivo ou gerar um aviso.
Detectores de anomalia de rede
• Os detectores de anomalia de rede (NBAD – Network Behavioural Anomaly Detectors) são equipamentos que têm a função de “aprender” o comportamento padrão da rede
• Quando um tráfego desconhecido surge na rede, o NBAD irá gerar um alerta para os administradores da rede, já trazendo todas as informações relativas à anomalia detectada
• O NBAD depende de informações fornecidas pelos equipamentos de rede existentes...
Detectores de anomalia de rede
• As informações necessárias são coletadas de Firewalls, Roteadores, Switches, IDSs, IPSs, Servidores e etc.
• Os métodos para a coleta das informações podem ser:
• Syslog• SMTP• SNMP• FTP• entre outros...
Concentradores de VPN
• Os concentradores de VPN são importantes para viabilizar a conexão segura entre localidades através da criação de um “túnel” seguro sobre meios de transmissão inseguros (linhas telefônicas ou a Internet, por exemplo)
• Podem ser utilizados para viabilizar o trabalho remoto de usuários com notebooks ou em computadores pessoais
• São soluções simples e de relativo baixo custo
UTM
• Os UTMs (Unified Threat Management) são equipamentos que concentram todas as funcionalidades descritas anteriormente em um único dispositivo
• São extremamente adequados para pequenas empresas ou escritórios remotos
• Com baixo custo conseguem oferecer uma solução completa de segurança, ainda que sem as características mais avançadas de cada um dos equipamentos especializados