Palestra - Conceitos Básicos sobre Política de Segurança e Firewall

TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Conceitos BConceitos Báásicos sobre Polsicos sobre Políítica de tica de SeguranSegurançça e Firewalla e Firewall

Março de 2010

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Termo de Isenção de Responsabilidade

A TI Safe, seus colaboradores e executivos, não se responsabilizam pelo mal uso das informações aqui prestadas.

Aproveite esta apresentação para ampliar seus conhecimentos em Segurança da Informação. Use com responsabilidade.


Sobre a TI Safe

• Missão

– Fornecer produtos e serviços de qualidade para a Segurança da Informação

• Visão

– Ser referência de excelência em serviços de Segurança da Informação

• Equipe técnica altamente qualificada

• Apoio de grandes marcas do mercado


Não precisa copiar...

http://www.tisafe.com/recursos/palestras/


FIREWALLFIREWALL


FirewallFirewall

• Tecnologia utilizada desde 1990• Evoluíram de simples filtros de

pacotes a sofisticadas ferramentas de controle pró-ativo

• Podem trabalhar junto a sistemas de detecção de intrusos e anti-vírus

• São considerados a primeira linha de defesa, mas podem ser a última linha de defesa


DefiniDefiniçções de Firewallões de Firewall

• O que é um firewall?– São conjuntos de sistemas ou equipamentos que filtram

tráfegos de rede entre dois níveis de segurança• O que ele deve fazer?

– Os firewalls são responsáveis pela filtragem dos pacotes de conexão que trafegam na rede

• O que não se espera de um firewall?– Não se espera que um firewall filtre pacotes que não

passem por ele ou mesmo que exerça qualquer outro tipo de proteção diferente da filtragem de pacotes


Tipo de filtro de firewallTipo de filtro de firewall

• Os firewalls filtram tráfegos de rede baseados em regras• São duas condições importantes para determinar se um

pacote será ou não filtrado:– Por endereço– Por serviço


Por pacote (enderePor pacote (endereçço)o)

• Por endereço– Os firewalls analisam os endereços dos dispositivos de rede


Por serviPor serviççoo

• Por serviços– Os firewalls analisam os pacotes de conexão identificando

os serviços solicitados através das portas acessadas


Tipos de firewallTipos de firewall

• Filtro de pacotes• De inspeção estática (Stateful

Firewall)• Gateway com aplicação de proxy• Servidores de proxy dedicados• Híbridos• Baseados em equipamentos• Pessoais (aplicações)


AplicaAplicaçção de Firewallsão de Firewalls

• Os firewalls devem ser utilizados para proteger as camadas de rede contra acessos não permitidos ao segregar a rede da empresa


ProxyProxy

• O proxy permite outras máquinas terem acesso externo. • Toda solicitação de conexão de uma máquina da rede

local para um host da internet é direcionada ao proxy


Formas de aplicaFormas de aplicaçção de proxyão de proxy

• Caching Proxy• Web Proxy• Proxy transparente• Proxy reverso


Algumas opAlgumas opçções de proxyões de proxy


Sessão de VSessão de Víídeo I: Proxy e formas de anonimatodeo I: Proxy e formas de anonimato

Tempo Estimado: 14 minutos

• O vídeo apresenta princípios básicos de Proxy e como se manter com uma conexão anonima com ele.

• Idioma: Português


DeMilitarized Zone DeMilitarized Zone –– DMZDMZ

• Segmento onde há acesso tanto interno quanto externo• São exemplos de serviços hospedáveis na DMZ:

– Web– WebProxy– Autenticação externa (ex. VPN)– FTP


Topologia Topologia –– DMZDMZ


Como funciona um IDSComo funciona um IDS

Os sensores detectam os eventos para análise

O sistema de decisão determinase houve comportamento intrusivo

Ocorre o armazenamento de log com o evento associado à decisão tomada para futura análise

É lançada uma reação em resposta ao ataque


Intrusion Detection System Intrusion Detection System –– IDSIDS

• Os IDSs são sistemas capazes de detectar tráfego malicioso na rede e mau uso de sistemas onde um firewall convencional não consegue– Ataques de rede contra vulnerabilidades de serviços– Ataque a dados em trânsito– Ataques direcionados a equipamentos

• Login desautorizado• Escalada de privilégoios• Implantação de malwares


Tipos de IDSTipos de IDS• Network-based

– Sensores localizados em pontos estratégicos de conexão• DMZ• Bordas da rede, ...

• Protocol-based– Instalado a frente de servidores monitorando e analizandos os protocolos de

comunicação entre dispositivos• HTTPS, HTTP, FTP, SSL, ...

• Application-protocol-based– Protege um grupo de servidores monitorando e analizando as comunicações

de aplicações específicas• SQL, VoIP, ...

• Host-based– Agentes instalados em um terminal analizando chamadas de sistemas, logs

de aplicações, modificações de arquivos de sistema, ...• Híbridos

– Misturam duas ou mais aplicações anteriores


Topologia Topologia –– IDSIDS


Firewall + IDSFirewall + IDS


Intrusion Prevention System Intrusion Prevention System –– IPSIPS

• Sistema que monitora a rede e/ou atividades de sistemas – Busca de comportamentos maliciosos– Reage em real-time

• Bloqueia os pacotes maliciosos e permite o resto do tráfego

• Executa controle de acesso baseado em:– Conteúdo de aplicações– Endereços IP– Portas de conexão

• Mantém relação com IDS por ser uma “evolução”mesclada com funcionalidades de firewall– Deve ser um ótimo IDS para evitar a incidência de

falsos-positivos/falsos-negativos


Intrusion Prevention System Intrusion Prevention System –– IPSIPS

• Opera totalmente invisível na rede (sem endereço IP) e não responde diretamente a tráfegos solicitantes

• Implementam funcionalidades de firewall, mas não são suas principas funções

• Oferece análise minunciosa nas operações de rede provendo informações sobre:– Atividades de equipamentos da rede– Tentativas de logon sem sucesso– Conteúdo inapropriado


Tipos de IPSTipos de IPS

• Baseado em equipamentos– Residente em um equipamento, analisa o tráfego daquele endereço

• Baseado em rede– Analisa o tráfego da rede. Pode ser associado a um firewall de perímetro

• Baseado em conteúdo– Inspeciona o conteúdo dos pacotes por seqüência e assinaturas

• Baseado em protocolos– Analisa protocolos de aplicações e verifica seu conteúdo através de:

• Reconhecimento de assinaturas• Comportamento do pacote

• Baseado em taxas– Previne contra DoS/DDoS– Monitora a quantidade de pacotes enviados por espaço de tempo

(geralmente em segundos)


IPS IPS versusversus IDSIDS

• Posto alinhado aos equipamentos de rede, previne ataques em tempo real

• Analisa protocolos da camada 7 (ex. HTTP, FTP, SMTP,...) verificando seu conteúdo de forma minuciosa


Topologia Topologia –– IPSIPS


HoneyNetsHoneyNets

• Rede formada por Honeypots

• Um honeypot é um sistema que possui falhas de segurança reais ou virtuais, colocadas de maneiraproposital, afim de que seja invadido e o fruto destainvasão possa ser estudado

Lance Spitzner – hands on


HoneyNet HoneyNet –– Topologia Topologia

Rede Interna

Honey NetHoney Net

DMZ 1DMZ 1

IDSIDS


Algumas portas de comunicaAlgumas portas de comunicaççãoão

Lista de Portas TCP/UDP

Port Type Keyword Description Trojan info

21 TCP ftp File Transfer [Control]Back Construction, Blade Runner, Cattivik FTP Server, CC Invader, Dark FTP, Doly Trojan, Fore, FreddyK, Invisible FTP,

Juggernaut 42, Larva, MotIv FTP, Net Administrator, Ramen, RTB 666, Senna Spy FTP server, The Flu, Traitor 21, WebEx, WinCrash

21 UDP ftp File Transfer [Control]22 TCP ssh SSH Remote Login Protocol Adore sshd, Shaft22 UDP ssh SSH Remote Login Protocol23 TCP telnet Telnet ADM worm, Fire HacKer, My Very Own trojan, RTB 666, Telnet Pro, Tiny Telnet Server ‐ TTS, Truva Atl23 UDP telnet Telnet24 TCP any private mail system Back Orifice 2000 (BO2K) Control Port24 UDP any private mail system

25 TCP smtp Simple Mail TransferAjan, Antigen, Barok, BSE, Email Password Sender ‐ EPS, EPS II, Gip, Gris, Happy99, Hpteam mail, Hybris, I love you, Kuang2, Magic Horse, MBT (Mail Bombing Trojan), Moscow Email trojan, Naebi, NewApt worm, ProMail trojan,

Shtirlitz, Stealth, Stukach, Tapiras, Terminator, WinPC, WinSpy25 UDP smtp Simple Mail Transfer130 TCP cisco‐fna cisco FNATIVE130 UDP cisco‐fna cisco FNATIVE131 TCP cisco‐tna cisco TNATIVE131 UDP cisco‐tna cisco TNATIVE132 TCP cisco‐sys cisco SYSMAINT132 UDP cisco‐sys cisco SYSMAINT

A lista detalhada e completa está em http://www.portalchapeco.com.br/~jackson/portas.htm


Algumas soluAlgumas soluçções de ões de ““prateleiraprateleira””


POLPOLÍÍTICA DE SEGURANTICA DE SEGURANÇÇAA


Políticas de segurança aplicadas aos usuários

• As políticas de segurança envolvem de uma maneira geral todos os níveis da empresa, incluindo os funcionários. São exemplos de políticas aplicadas aos funcionários:– Horário de trabalho– Utilização de equipamentos– Mesa e tela limpas– Formas de identificação nos

sistemas computacionais


Política de segurança

• Itens abordados pela política– Controle de acesso físico a

máquinas e mídias– Política de mesa e desktop limpos– Aplicação de camadas de acesso

(políticas em X509)– Instalações/usos de softwares

(exemplificado)


Política de segurança

• PolíticaDiretivas abrangentes, de alto nível

• PadrõesAtividades mandatórias

• Linhas BaseDescrição de configurações mandatórias

• Procedimentos Funcionamento passo-a-passo

• Linhas GuiaRecomendações abrangentes


Política de segurança - Exemplo

Exemplo de política de conexão de uso de firewall pessoal• Política

– Aqueles que detém informações da empresa são responsáveis pela sua integridade

• Padrões• Linhas Base• Procedimentos• Linhas Guia





• Padrões– Os usuários devem utilizar o firewall pessoal XYZ

• Linhas Base• Procedimentos• Linhas Guia





• Padrões– Os usuários devem utilizar o firewall pessoal XYZ

• Linhas Base– As configurações de portas e serviços do firewall pessoal XYZ

devem ser restritas para acessos externos aos servidores de WWW, de correio eletrônico e de resolução de nomes (DNS), sendo que exceções devem ser estudadas pelo Centro de Informática local

• Procedimentos• Linhas Guia


ConclusãoConclusão

• Os sistemas de firewall foram criados para a filtragem de conexões entre equipamentos e redes de computadores tendo uma evolução natural para a filtragem de serviços, extrapolando a analise das portas de conexão

• As política de segurança são documentos que encerram todas as normas relacionadas à implantação e manutenção da segurança dos ativos dos ambientes, considerando equipamentos, pessoal e seus comportamentos junto aos outros elementos da empresa.


Participe do nosso fórum de segurança

• Acesse www.tisafe.com/forum e cadastre-se


Contato

Palestra - Conceitos Básicos sobre Política de Segurança e Firewall

Documents

Transcript of Palestra - Conceitos Básicos sobre Política de Segurança e Firewall