Professional Documents
Culture Documents
Solues mais simples. Sistemas de Segurana de Permetro Zona Desmilitarizada (DMZ) Roteador de Permetro Tipos de Firewalls Hosts de Segurana Gateways de Aplicativo
Segurana de Permetro
Implantao de tecnologias de rede para resguardar uma rede contra invasores (intrusos). Usada para resguardar a conexo de uma rede corporativa com a Internet. Mesmas tecnologias e tcnicas usadas para proteger uma parte de uma rede.
Segurana de Permetro
A ausncia ou insuficincia da segurana de permetro abre uma brecha na segurana da rede corporativa por onde invasores podem explorar. estabelecida com um roteador de permetro, o ponto de demarcao entre uma rede desprotegida (Internet) e uma rede protegida.
Segurana de Permetro
Um roteador de permetro pode ser usado para criar uma demarcao entre a Internet desprotegida e uma zona desmilitarizada (DMZ) semi-protegida (DMZ suja).
Segurana de Permetro
Uma parte importante identificar: - o domnio interno (rede corporativa abaixo do Firewall); - o domnio intermedirio - o domnio externo (Internet ou um enlace com um fornecedor ou parceiro comercial).
Domnio intermedirio
Switch-Router Switch
Segurana de Permetro
Pode ser implementada de maneiras diferentes de acordo com: - a Poltica de Segurana; - o que precisa ser protegido; - o nvel de segurana necessrio; - o oramento de segurana; - outros fatores.
Segurana de Permetro
Realizada com elementos de rede, que podem ser combinados de vrias maneiras para proteger a rede interna. Um nico roteador poderia ser usado.
Segurana de Permetro
Implementada segundo uma topologia, na qual um roteador de permetro a primeira linha de defesa e um Firewall a segunda linha de defesa.
Segurana de Permetro
Roteadores de permetro so usados para implementar a parte da poltica de segurana de rede que especifica como a rede interna ser conectada rede externa.
Rede intermediria entre a rede externa (Internet) e a rede corporativa interna. Requer dois firewalls para ser implementada.
Constitui a sub-rede, chamada de LAN de Isolamento, criada pelos elementos de rede de segurana de permetro em conjunto, para compor um sistema de defesa semi-protegido por um host de segurana. Um Roteador de Permetro (contm um firewall); Um host de segurana; Um Firewall.
Fornece servios a usurios externos e internos atravs de um Gateway de Aplicativo e do Host de Segurana. Possui um nmero de rede exclusivo, diferente do nmero da rede corporativa. a nica que pode ser vista de fora.
Roteador de Permetro
A primeira linha de defesa. Um roteador de uso geral com uma interface serial com a Internet e conexo Ethernet com uma DMZ. Cria uma DMZ (semi-protegida). Protege os Hosts de Segurana na DMZ suja.
Roteador de Permetro
Protege o Firewall. Funciona como alarme, se ele prprio ou um Host de Segurana for invadido. O Firewall usado para criar uma DMZ protegida, colocando Hosts de Segurana em uma outra interface do Firewall.
Roteador de Permetro
Pode utilizar regras de filtragem de pacotes para restringir o acesso a servios TCP/IP e aplicativos. Listas de Controle de Acesso (ACL) so usadas para implementar as regras de filtragem.
Roteador de Permetro
Ponto principal do controle de acesso a redes internas. Recursos de segurana: - autenticao de usurio, - autorizao de usurio, - proteo contra endereos de origem/destino desconhecidos, - oculta endereos IP internos, - rastreiam atividade dentro e fora do roteador, - administradores podem implementar poltica de segurana no permetro.
Host de Segurana
um servidor protegido. Normalmente com base em LINUX ou Windows. Reside na DMZ suja. Servios essenciais ao mundo exterior: - servidor FTP annimo, - servidor Web, - servidor DNS - servidor SMTP de entrega de emails empresa, - servidor de Proxy da Internet para hosts internos.
Host de Segurana
Precisa ser muito resguardado. vulnervel a ataques por ser exposto Internet. Pode ser acessado por usurios internos. Fornecendo servio de Proxy, por enviar solicitaes de servios de Internet, ele monitora suas portas para HTTP, POP, SMTP, FTP, NTP, NNTP, SSH, ... ... dos usurios internos para os servios reais, com base na poltica de segurana da rede.
Host de Segurana
Tambm pode ser configurado como um host de base dual, se possuir duas interfaces de rede uma na rede interna e outra na rede externa. Desta forma, podem / devem fornecer recursos de Firewall, pois bastante vulnervel, sujeito a ser comprometido em um ataque. Um Firewall que fornea segurana mais resistente que um host de base dual uma soluo mais recomendada.
Firewall
Elemento de rede especialmente projetado para proteger uma rede interna de uma externa. Usa vrios recursos que, em conjunto, possuem as seguintes propriedades:
Firewall - Propriedades
Todo trfego de dentro para fora e de fora para dentro, passa pelo Firewall. Somente o trfego autorizado, conforme a poltica de segurana adotada, tem permisso para passar. configurado em si, para ser imune a invases. Torna a rede interna invisvel ao exterior.
Examina mensagens no nvel de aplicativo, em todos os pacotes que passam por ele antes de permitir uma conexo. Somente mensagens vlidas so permitidas atravs do Firewall. Um gateway de aplicativo FTP, examina pacotes no aplicativo FTP e permite somente acesso vlido para FTP.
Um conjunto de recursos de software apropriados para configurar um firewall em um roteador: - Cisco IOS Firewall dentro do Software Cisco IOS. Um firewall especializado de hadware e software, com um sistema operacional protegido: - Cisco PIX Firewall
Considere-se um roteador de permetro. Com servios TCP/IP. Controle desses servios. Para reduzir ataques de espionagem, DoS e ataques de acesso no autorizado. Existem os servios TCP/IP ativados por default que devem ser desativados manualmente atravs de comandos. Se um servio necessrio, comandos especficos devem ser inseridos na configurao do roteador.
Comandos para controlar servios TCP/IP: - modo configurao de interface administrativa do roteador; Exemplo: controle do servio SNMP bloqueando o acesso atravs do console (protegendo o console). - oferecidos pelo roteador.
Roteadores de permetro so suscetveis tentativa de examinar atualizaes de roteamento para aprenderem a composio de uma DMZ ou uma rede interna (ataques de reconhecimento e acesso remoto).
Como proteger o roteamento por roteador de permetro ? Rotas estticas Controlando o anncio de rotas Autenticao de rota Controlando o acesso Filtragem na entrada de pacotes Filtragem na sada de pacotes Segurana de trava e chave
Pode ser usada em roteadores de permetro para oferecer proteo entre os sistemas de permetros. Criptografa o trfego entre pares de aplicativos especficos. Criptografa somente os dados do usurio, deixando livres os cabealhos dos pacotes da camada de rede.
especfica ao protocolo da camada de rede. Como pode ser obtida ? - CET (Cisco Encryption Technology) - IPSec (IP Security)
Com CET (Cisco Encrytion Technology), - soluo patenteada da Cisco; - criptografia simtrica com o DES (Data Encryption Standard); - algoritmo de chave pblica com DH (Diffie-Hellman); - assinatura digital com DSS (Digital Signature Standard); - resumo de mensagem com MD5.
Entre roteadores de permetro, mas criando uma VPN com IPSec. IPSec um conjunto de padres abertos para assegurar comunicaes privadas seguras em redes IP. Garante confidencialidade, integridade e autenticidade em uma rede IP pblica (Internet).
Resguarda o trfego entre dois roteadores de permetro, criando uma VPN entre um local corporativo central e um local corporativo remoto. Todo o trfego entre dois roteadores de permetro pode ser criptografado. Ou somente fluxos selecionados entre hosts por trs dos roteadores.
Embora VPN com IPSec possa ser feita usando uma rede pblica, as empresas fazem uso das mesmas polticas como numa rede privada. Garantem: segurana, QoS, confiabilidade e gerenciamento. IPSec dispe de mais algoritmos de criptografia que CET.
Classes de Endereos IP
Gerenciando endereos IP
Roteadores de permetro: - usam NAT (Network Address Translation) RFC 1631 - usam PAT (Port Address Translation).
Gerenciando endereos IP
Usando NAT (Network Address Translation) NAT um recurso de roteadores de permetro e firewalls de filtragem de pacotes, que convertem endereos IP internos em externos (atribudos pelo NIC Network Information Center).
NAT
NAT usada no permetro para: - atenuar o esgotamento de endereos IP; - ocultar endereos IP internos para o exterior; - converter endereos IP no roteveis (invlidos) para endereos IP roteveis.
Terminologia NAT
IP no vlido, no legtimo, no rotevel, um IP no atribudo pelo NIC ou um ISP. endereo local interno: endereo IP, no vlido, atribudo a um host na rede interna. endereo global interno: endereo IP legtimo, que representa um ou mais endereos IP locais internos para o mundo exterior.
Terminologia NAT
endereo local externo: endereo IP de um host externo como aparece para a rede interna; no necessariamente um IP vlido, mas alocado no espao de endereos roteveis no interior.
Terminologia NAT
endereo global externo: endereo IP de um host na rede externa, alocado nos endereos globalmente roteveis ou do espao da rede.
Formas de NAT
NAT Esttica NAT Dinmica NAT Oculta (Hide) NAT de Porta (PAT)
NAT Esttico
Traduz um para um. Endereo invlido para um vlido. Ou vice-versa: endereo vlido para um invlido. gerado um novo cabealho no pacote IP, colocando o endereo de origem como um IP vlido, para trafegar na Internet. A troca feita no roteador ou no firewall.
NAT Esttico
Pacotes de retorno (da externa para interna), os endereos de destino so trocados pelo NAT. Para um servidor Web interno, no acessvel ao mundo exterior, feito um NAT esttico com um endereo vlido na Internet para o endereo real do servidor na rede interna.
Traduz de muitos IP invlidos para um IP vlido (endereo local interno). Permite que vrios usurios trafeguem na Internet. Um grupo de usurios com a acesso Internet definido. Todos no grupo tm o seu endereo IP invlido (real e interno), trocado por um IP vlido na Internet, onde o NAT executado.
Troca os endereos de origem e destino e tambm o nmero de porta de origem e destino. Serve para ocultar um nmero de porta estabelecido, usando-se um outro nmero.
Configurar o logging de eventos do roteador de permetro. Usar um Servidor de syslog na rede interna (IP 10.1.1.4)
Cenrio da Empresa XYZ Topologia da rede Poltica de segurana: - controlar servios TCP/IP; - controlar o acesso de administrador; - Impedir o spoofing de endereo de origem.
Perguntas de Reviso
1. Cite trs objetivos de um sistema de segurana de roteador de permetro. 2. Cite os componentes que compem um sistema de segurana de permetro e identifique suas funes de forma concisa. 3. Qual o objetivo de um roteador de permetro ?
Perguntas de Reviso
4. Qual a importncia de se registrar eventos do roteador de permetro em um servidor syslog ? 5. Que tipos de spoofing de endereos IP podem ser filtrados no trfego recebido de um roteador de permetro ?
Perguntas de Reviso
6. Para que serve o NAT esttico em um roteador de permetro ? 7. Para que serve o NAT dinmico em um roteador de permetro ? 8. Para que serve o PAT em um roteador de permetro ?
Perguntas de Reviso
10. O que uma lista de acesso ? 11. Como se pode evitar que um roteador de permetro se transforme em um amplificador de broadcast em ataque DDoS ? 12. Como se pode controlar servios TCP/IP em um roteador de permetro para bloquear consultas de echo e finger da Internet ?
Listas de Firewalls
Firewalls acadmicos: assinaturas em majordomo@net.tamu.edu Lista compilada de firewalls: assinaturas em www.gnac.net/firewalls