Segurana de Permetro

Roteador de Permetro DMZ Hosts de Segurana Gateway de Aplicativo

Conectando-se Internet com Segurana

      

Solues mais simples. Sistemas de Segurana de Permetro Zona Desmilitarizada (DMZ) Roteador de Permetro Tipos de Firewalls Hosts de Segurana Gateways de Aplicativo

Solues simples - Para um usurio domstico de ADSL

Solues simples - Firewall Corporativo

DMZ Exemplo para uma empresa real

Segurana de Permetro


Implantao de tecnologias de rede para resguardar uma rede contra invasores (intrusos). Usada para resguardar a conexo de uma rede corporativa com a Internet. Mesmas tecnologias e tcnicas usadas para proteger uma parte de uma rede.

Segurana de Permetro


A ausncia ou insuficincia da segurana de permetro abre uma brecha na segurana da rede corporativa por onde invasores podem explorar. estabelecida com um roteador de permetro, o ponto de demarcao entre uma rede desprotegida (Internet) e uma rede protegida.

Segurana de Permetro

Um roteador de permetro pode ser usado para criar uma demarcao entre a Internet desprotegida e uma zona desmilitarizada (DMZ) semi-protegida (DMZ suja).

Segurana de Permetro


Uma parte importante identificar: - o domnio interno (rede corporativa abaixo do Firewall); - o domnio intermedirio - o domnio externo (Internet ou um enlace com um fornecedor ou parceiro comercial).

Domnio externo - Internet

Domnio intermedirio

Domnio interno sem segurana de permetro

Parte do domnio interno com segurana de permetro

Segunda linha de defesa

Segurana de Permetro Primeira linha de defesa

Switch-Router Switch

Segurana de Permetro


Pode ser implementada de maneiras diferentes de acordo com: - a Poltica de Segurana; - o que precisa ser protegido; - o nvel de segurana necessrio; - o oramento de segurana; - outros fatores.

Segurana de Permetro
Realizada com elementos de rede, que podem ser combinados de vrias maneiras para proteger a rede interna. Um nico roteador poderia ser usado.

Segurana de Permetro

Implementada segundo uma topologia, na qual um roteador de permetro a primeira linha de defesa e um Firewall a segunda linha de defesa.

Segurana de Permetro

Roteadores de permetro so usados para implementar a parte da poltica de segurana de rede que especifica como a rede interna ser conectada rede externa.

Conceito de DMZ DeMilitarized Zone

Rede intermediria entre a rede externa (Internet) e a rede corporativa interna. Requer dois firewalls para ser implementada.

DMZ Conceito Inicial

DMZ - Soluo para falha de segurana

DMZ Soluo mais barata

DMZ Soluo de segurana ideal

DMZ Semi-Protegida (suja)



Constitui a sub-rede, chamada de LAN de Isolamento, criada pelos elementos de rede de segurana de permetro em conjunto, para compor um sistema de defesa semi-protegido por um host de segurana. Um Roteador de Permetro (contm um firewall); Um host de segurana; Um Firewall.

  

DMZ Semi-Protegida (suja)



Fornece servios a usurios externos e internos atravs de um Gateway de Aplicativo e do Host de Segurana. Possui um nmero de rede exclusivo, diferente do nmero da rede corporativa. a nica que pode ser vista de fora.

Roteador de Permetro


A primeira linha de defesa. Um roteador de uso geral com uma interface serial com a Internet e conexo Ethernet com uma DMZ. Cria uma DMZ (semi-protegida). Protege os Hosts de Segurana na DMZ suja.

Roteador de Permetro


Protege o Firewall. Funciona como alarme, se ele prprio ou um Host de Segurana for invadido. O Firewall usado para criar uma DMZ protegida, colocando Hosts de Segurana em uma outra interface do Firewall.

Roteador de Permetro
Pode utilizar regras de filtragem de pacotes para restringir o acesso a servios TCP/IP e aplicativos. Listas de Controle de Acesso (ACL) so usadas para implementar as regras de filtragem.

Roteador de Permetro
 

Ponto principal do controle de acesso a redes internas. Recursos de segurana: - autenticao de usurio, - autorizao de usurio, - proteo contra endereos de origem/destino desconhecidos, - oculta endereos IP internos, - rastreiam atividade dentro e fora do roteador, - administradores podem implementar poltica de segurana no permetro.

Host de Segurana
 

um servidor protegido. Normalmente com base em LINUX ou Windows. Reside na DMZ suja. Servios essenciais ao mundo exterior: - servidor FTP annimo, - servidor Web, - servidor DNS - servidor SMTP de entrega de emails empresa, - servidor de Proxy da Internet para hosts internos.

Host de Segurana


Precisa ser muito resguardado. vulnervel a ataques por ser exposto Internet. Pode ser acessado por usurios internos. Fornecendo servio de Proxy, por enviar solicitaes de servios de Internet, ele monitora suas portas para HTTP, POP, SMTP, FTP, NTP, NNTP, SSH, ... ... dos usurios internos para os servios reais, com base na poltica de segurana da rede.

Host de Segurana


Tambm pode ser configurado como um host de base dual, se possuir duas interfaces de rede uma na rede interna e outra na rede externa. Desta forma, podem / devem fornecer recursos de Firewall, pois bastante vulnervel, sujeito a ser comprometido em um ataque. Um Firewall que fornea segurana mais resistente que um host de base dual uma soluo mais recomendada.

Firewall
Elemento de rede especialmente projetado para proteger uma rede interna de uma externa. Usa vrios recursos que, em conjunto, possuem as seguintes propriedades:

Firewall - Propriedades


Todo trfego de dentro para fora e de fora para dentro, passa pelo Firewall. Somente o trfego autorizado, conforme a poltica de segurana adotada, tem permisso para passar. configurado em si, para ser imune a invases. Torna a rede interna invisvel ao exterior.

Firewall: Como so implementados

Filtro de Pacotes Gateway de Aplicativo Gateway de Conexes TCP e UDP Servidor de Proxy

   

Firewall Filtro de Pacotes

Inspeciona em cada pacote os parmetros especficos de usurio, com endereos IP ou portas TCP e UDP. No controla sesses TCP ou UDP antes de abrir uma conexo pelo Firewall.

Firewall Gateway de Aplicativo



Examina mensagens no nvel de aplicativo, em todos os pacotes que passam por ele antes de permitir uma conexo. Somente mensagens vlidas so permitidas atravs do Firewall. Um gateway de aplicativo FTP, examina pacotes no aplicativo FTP e permite somente acesso vlido para FTP.

Firewalls: caractersticas de produtos



Um conjunto de recursos de software apropriados para configurar um firewall em um roteador: - Cisco IOS Firewall dentro do Software Cisco IOS. Um firewall especializado de hadware e software, com um sistema operacional protegido: - Cisco PIX Firewall

Configurando segurana em roteador de permetro

   

Considere-se um roteador de permetro. Com servios TCP/IP. Controle desses servios. Para reduzir ataques de espionagem, DoS e ataques de acesso no autorizado. Existem os servios TCP/IP ativados por default que devem ser desativados manualmente atravs de comandos. Se um servio necessrio, comandos especficos devem ser inseridos na configurao do roteador.

Configurando segurana em um roteador de permetro



Comandos para controlar servios TCP/IP: - modo configurao de interface administrativa do roteador; Exemplo: controle do servio SNMP bloqueando o acesso atravs do console (protegendo o console). - oferecidos pelo roteador.

Evitando ataques de reencaminhamento



Roteadores de permetro so suscetveis tentativa de examinar atualizaes de roteamento para aprenderem a composio de uma DMZ ou uma rede interna (ataques de reconhecimento e acesso remoto).

Evitando ataques de reencaminhamento

       

Como proteger o roteamento por roteador de permetro ? Rotas estticas Controlando o anncio de rotas Autenticao de rota Controlando o acesso Filtragem na entrada de pacotes Filtragem na sada de pacotes Segurana de trava e chave

Proteo contra DoS



Impedindo DDoS Usando interceptao TCP para controlar ataques SYN

Usando criptografia da camada de rede



Pode ser usada em roteadores de permetro para oferecer proteo entre os sistemas de permetros. Criptografa o trfego entre pares de aplicativos especficos. Criptografa somente os dados do usurio, deixando livres os cabealhos dos pacotes da camada de rede.

Usando criptografia da camada de rede



especfica ao protocolo da camada de rede. Como pode ser obtida ? - CET (Cisco Encryption Technology) - IPSec (IP Security)

Entre um roteador de permetro e outro.

Usando criptografia da camada de rede



Com CET (Cisco Encrytion Technology), - soluo patenteada da Cisco; - criptografia simtrica com o DES (Data Encryption Standard); - algoritmo de chave pblica com DH (Diffie-Hellman); - assinatura digital com DSS (Digital Signature Standard); - resumo de mensagem com MD5.

Usando criptografia da camada de rede



Entre roteadores de permetro, mas criando uma VPN com IPSec. IPSec um conjunto de padres abertos para assegurar comunicaes privadas seguras em redes IP. Garante confidencialidade, integridade e autenticidade em uma rede IP pblica (Internet).

Usando criptografia da camada de rede



Resguarda o trfego entre dois roteadores de permetro, criando uma VPN entre um local corporativo central e um local corporativo remoto. Todo o trfego entre dois roteadores de permetro pode ser criptografado. Ou somente fluxos selecionados entre hosts por trs dos roteadores.

Usando criptografia da camada de rede



Embora VPN com IPSec possa ser feita usando uma rede pblica, as empresas fazem uso das mesmas polticas como numa rede privada. Garantem: segurana, QoS, confiabilidade e gerenciamento. IPSec dispe de mais algoritmos de criptografia que CET.

Classes de Endereos IP

Gerenciando endereos IP


Roteadores de permetro: - usam NAT (Network Address Translation) RFC 1631 - usam PAT (Port Address Translation).

Gerenciando endereos IP


Usando NAT (Network Address Translation) NAT um recurso de roteadores de permetro e firewalls de filtragem de pacotes, que convertem endereos IP internos em externos (atribudos pelo NIC Network Information Center).

NAT


NAT usada no permetro para: - atenuar o esgotamento de endereos IP; - ocultar endereos IP internos para o exterior; - converter endereos IP no roteveis (invlidos) para endereos IP roteveis.

Terminologia NAT


IP no vlido, no legtimo, no rotevel, um IP no atribudo pelo NIC ou um ISP. endereo local interno: endereo IP, no vlido, atribudo a um host na rede interna. endereo global interno: endereo IP legtimo, que representa um ou mais endereos IP locais internos para o mundo exterior.

Terminologia NAT

endereo local externo: endereo IP de um host externo como aparece para a rede interna; no necessariamente um IP vlido, mas alocado no espao de endereos roteveis no interior.

Terminologia NAT

endereo global externo: endereo IP de um host na rede externa, alocado nos endereos globalmente roteveis ou do espao da rede.

Formas de NAT


NAT Esttica NAT Dinmica NAT Oculta (Hide) NAT de Porta (PAT)

NAT Esttico
  

Traduz um para um. Endereo invlido para um vlido. Ou vice-versa: endereo vlido para um invlido. gerado um novo cabealho no pacote IP, colocando o endereo de origem como um IP vlido, para trafegar na Internet. A troca feita no roteador ou no firewall.

NAT Esttico


Pacotes de retorno (da externa para interna), os endereos de destino so trocados pelo NAT. Para um servidor Web interno, no acessvel ao mundo exterior, feito um NAT esttico com um endereo vlido na Internet para o endereo real do servidor na rede interna.

Exemplo de NAT esttico

Pedidos externos (entrada) para o servidor 200.244.256.1 sero redirecionados para o endereo real do servidor Web 192.168.0.1 Na sada do servidor Web 192.168.0.1 (retorno), todos os pacotes sero redirecionados para 200.244.256.1 .

Exemplo de NAT Esttico

NAT Oculto (Hide)



Traduz de muitos IP invlidos para um IP vlido (endereo local interno). Permite que vrios usurios trafeguem na Internet. Um grupo de usurios com a acesso Internet definido. Todos no grupo tm o seu endereo IP invlido (real e interno), trocado por um IP vlido na Internet, onde o NAT executado.

Exemplo de NAT oculto

NAT de Porta - PAT

Troca os endereos de origem e destino e tambm o nmero de porta de origem e destino. Serve para ocultar um nmero de porta estabelecido, usando-se um outro nmero.

Exemplo de NAT de porta

Exemplo de NAT Dinmico

Registrando eventos do roteador de permetro



Configurar o logging de eventos do roteador de permetro. Usar um Servidor de syslog na rede interna (IP 10.1.1.4)

Estudo de Caso: configurando um roteador de permetro

  

Cenrio da Empresa XYZ Topologia da rede Poltica de segurana: - controlar servios TCP/IP; - controlar o acesso de administrador; - Impedir o spoofing de endereo de origem.

Perguntas de Reviso
1. Cite trs objetivos de um sistema de segurana de roteador de permetro. 2. Cite os componentes que compem um sistema de segurana de permetro e identifique suas funes de forma concisa. 3. Qual o objetivo de um roteador de permetro ?

Perguntas de Reviso
4. Qual a importncia de se registrar eventos do roteador de permetro em um servidor syslog ? 5. Que tipos de spoofing de endereos IP podem ser filtrados no trfego recebido de um roteador de permetro ?

Perguntas de Reviso
6. Para que serve o NAT esttico em um roteador de permetro ? 7. Para que serve o NAT dinmico em um roteador de permetro ? 8. Para que serve o PAT em um roteador de permetro ?

Perguntas de Reviso
10. O que uma lista de acesso ? 11. Como se pode evitar que um roteador de permetro se transforme em um amplificador de broadcast em ataque DDoS ? 12. Como se pode controlar servios TCP/IP em um roteador de permetro para bloquear consultas de echo e finger da Internet ?

Listas de Firewalls
Firewalls acadmicos: assinaturas em majordomo@net.tamu.edu Lista compilada de firewalls: assinaturas em www.gnac.net/firewalls

Referncias de segurana de permetro

Chapman and Zwicky, Building Internet Firewalls, OReilly Publishing, 1995. Ampla abordagem da criao de um firewall de permetro. Simson, Garfinkel and Spafford, Practical UNIX and Internet Security, OReilly & Associates, 1996.