curso: segurança da informação disciplina: mecanismo segurança de redes professor: luciano...
TRANSCRIPT
Curso: Segurança da InformaçãoDisciplina: Mecanismo Segurança de RedesProfessor: Luciano Ricardi ScorsinData: 10/02/2010
Fluxo
Identificação do
Alvo/Objetivo
Mapeamento do
Alvo/Objetivo
Exploracao de Vulnerabilidad
es
Elevação de Privilégios e
Consolidação
Procedimentos Legais
Procedimentos de
RestauraçãoAnálise Forense
Procedimentos de Resposta a
Incidente
Mapeamento doAlvo/Objetivo
Objetivos de Hoje
• Estratégias de Defesa
• Conceitos básicos de IDS, Firewall e Hardening
• Ferramentas
•Snort
•Iptables
•FirewallBuilder
• Utilização das ferramentas
Estratégias de Defesa
Objetivo: As estratégias de defesa devem ser elaboradas tendo em vista também o pior caso, ou seja, o comprometimento do ambiente. Assim, não apenas prevenir mas também manter rastreabilidade em casos de comprometimento é essencial na elaboração desta estratégia.
Se a estratégia for elaborada a partir da visão do invasor, certamente esta será mais eficiente.
Conceitos Básicos
Firewall
Muro Corta-Fogo
Firewall
Muro Corta-Fogo
São dispositivos de rede que permitem executar bloqueios em qualquer camada. Podem ser classificados em:
Firewall de Rede – Normalmente trabalham até a camada 3 e 4, podendo extender-se para outras camadas.Firewall de Aplicação – Trabalhando essencialmente na camada 7 (aplicação), tem por objetivo filtrar pacotes com base em assinaturas.
São dispositivos de rede que permitem executar bloqueios em qualquer camada. Podem ser classificados em:
Firewall de Rede – Normalmente trabalham até a camada 3 e 4, podendo extender-se para outras camadas.Firewall de Aplicação – Trabalhando essencialmente na camada 7 (aplicação), tem por objetivo filtrar pacotes com base em assinaturas.
Conceitos Básicos
Os Firewalls “pessoais” também são considerados Firewalls de Rede, mesmo que instalados em pontos finais da rede.
Em uma rede típica, normalmente possuem no mínimo 2 interfaces (adaptadores de rede), permitindo efetivo isolamento das redes protegidas.
Os Firewalls “pessoais” também são considerados Firewalls de Rede, mesmo que instalados em pontos finais da rede.
Em uma rede típica, normalmente possuem no mínimo 2 interfaces (adaptadores de rede), permitindo efetivo isolamento das redes protegidas.
Firewall de RedeFirewall de Rede
Conceitos Básicos
Firewall de RedeFirewall de Rede
Rede Servidores
Rede: 192.168.100.0/24
192.168.100.10Web1
192.168.100.20Web2
Rede Servidores
Rede: 192.168.1.0/24
192.168.1.10Client1
192.168.1.66Hacker
IDS
192.168.1.1Gateway Clientes
192.168.100.1Gateway Servidores
Conceitos Básicos
Diversos fabricantes utilizam diversas tecnologias que aprimoram o funcionamento dos firewalls sem alterar a sua funcao principal. Ex:
- Checkpoint Stateful Inspection- Checkpoint SmartDefense- NAT- PAT- QoS
Diversos fabricantes utilizam diversas tecnologias que aprimoram o funcionamento dos firewalls sem alterar a sua funcao principal. Ex:
- Checkpoint Stateful Inspection- Checkpoint SmartDefense- NAT- PAT- QoS
Firewall de RedeFirewall de Rede
Conceitos Básicos
Iptables
O Iptables (Netfilter) utiliza as técnicas mais avançadas na filtragem de pacotes tornando-o uma excelente opção de baixo custo para firewalls, pois é um projeto de código aberto já presente nativamente no kernel Linux. Possui funcoes avancadas como NAT, PAT e QoS. Pode ser entendido como o próprio módulo de kernel como também o conjunto de ferramentas de gerenciamento.
Iptables
O Iptables (Netfilter) utiliza as técnicas mais avançadas na filtragem de pacotes tornando-o uma excelente opção de baixo custo para firewalls, pois é um projeto de código aberto já presente nativamente no kernel Linux. Possui funcoes avancadas como NAT, PAT e QoS. Pode ser entendido como o próprio módulo de kernel como também o conjunto de ferramentas de gerenciamento.
Firewall de Rede - FerramentasFirewall de Rede - Ferramentas
Conceitos Básicos
Iptables – Comandos:
Listar regras: /sbin/iptables –LAdicionar Regras (Append): /sbin/iptables –AInserir Regras: /sbin/iptables –IAlterar Política: /sbin/iptables –P (DROP/ACCEPT)
Iptables – Comandos:
Listar regras: /sbin/iptables –LAdicionar Regras (Append): /sbin/iptables –AInserir Regras: /sbin/iptables –IAlterar Política: /sbin/iptables –P (DROP/ACCEPT)
Firewall de Rede - FerramentasFirewall de Rede - Ferramentas
Conceitos Básicos
Iptables – Conceitos:
Política: Trata-se da política padrão para funcionamento dos filtros, ou seja, altera toda a forma de funcionamento do firewall. Os dois tipos mais utilizados:DROPDROP – Todos os pacotes da tabela são descartados, cabendo às regras então liberarem o acesso.ACCEPT ACCEPT – Os acessos são todos liberados, cabendo as regras negá-los explicitamente.
Iptables – Conceitos:
Política: Trata-se da política padrão para funcionamento dos filtros, ou seja, altera toda a forma de funcionamento do firewall. Os dois tipos mais utilizados:DROPDROP – Todos os pacotes da tabela são descartados, cabendo às regras então liberarem o acesso.ACCEPT ACCEPT – Os acessos são todos liberados, cabendo as regras negá-los explicitamente.
Firewall de Rede - FerramentasFirewall de Rede - Ferramentas
Conceitos Básicos
Iptables – Conceitos:
Targets (Ações): Resumidamente podem ser considerados como “o que voce quer fazer com o pacote”. As ações possíveis:DROPDROP – Descarta os pacotesACCEPT ACCEPT – Aceita os pacotesREJECT REJECT – Rejeita os pacotes (Utilizados apenas nas tabelas INPUT e OUTPUT)
Iptables – Conceitos:
Targets (Ações): Resumidamente podem ser considerados como “o que voce quer fazer com o pacote”. As ações possíveis:DROPDROP – Descarta os pacotesACCEPT ACCEPT – Aceita os pacotesREJECT REJECT – Rejeita os pacotes (Utilizados apenas nas tabelas INPUT e OUTPUT)
Firewall de Rede - FerramentasFirewall de Rede - Ferramentas
Conceitos Básicos
Iptables – Conceitos:
Tabelas e Chains: São tabelas utilizadas pelas regras. Nativamente existem as tabelas filter (padrao), nat (para regras de nat e pat), mangle (alteracao de pacotes). Principais chains:filterfilter – INPUT, OUTPUT e FORWARDnat nat – PREROUTING, OUTPUT, POSTROUTING
Iptables – Conceitos:
Tabelas e Chains: São tabelas utilizadas pelas regras. Nativamente existem as tabelas filter (padrao), nat (para regras de nat e pat), mangle (alteracao de pacotes). Principais chains:filterfilter – INPUT, OUTPUT e FORWARDnat nat – PREROUTING, OUTPUT, POSTROUTING
Firewall de Rede - FerramentasFirewall de Rede - Ferramentas
Conceitos Básicos
DiagramaFluxoIptables
DiagramaFluxoIptables
Conceitos Básicos
Iptables – Parece Difícil mas não é!:
Alguns exemplos práticos nos próximos slides.
Iptables – Parece Difícil mas não é!:
Alguns exemplos práticos nos próximos slides.
Firewall de Rede - FerramentasFirewall de Rede - Ferramentas
Conceitos Básicos
/sbin/iptables –A INPUT –s rede.x –d rede.y –j DROP/sbin/iptables –A INPUT –s rede.x –d rede.y –j DROP
Bloqueio de Rede X a Rede YBloqueio de Rede X a Rede Y
Traduzindo:/sbin/iptables = Por favor,-A INPUT = na tabela de entrada-s rede.x = pegue os pacotes da rede de origem (-s de source) “rede.x”-d rede.y = que vao com destino (d) à “rede.y”-j DROP = e descarte!
Traduzindo:/sbin/iptables = Por favor,-A INPUT = na tabela de entrada-s rede.x = pegue os pacotes da rede de origem (-s de source) “rede.x”-d rede.y = que vao com destino (d) à “rede.y”-j DROP = e descarte!
Conceitos Básicos
iptables –A INPUT –s rede.x –d rede.y –j DROPiptables –A INPUT –s rede.x –d rede.y –j DROP
Uma olhada mais de perto:Uma olhada mais de perto:
TabelaTabela
RegraRegra
OrigemOrigem DestinoDestino AçãoAção
Conceitos Básicos
Regras...Regras...
As regras consistem no conceito mais básico relacionado a firewalls e, independentemente de sua complexidade, sempre terão os componentes básicos:
Origem – Destino - Ação
Origem e Destino podem ser compostos de endereços de hosts, redes, hosts e portas, redes e portas.
As ações podem variar bastante, sendo as duas ações mais comuns aceitar ou rejeitar um pacote.
As regras consistem no conceito mais básico relacionado a firewalls e, independentemente de sua complexidade, sempre terão os componentes básicos:
Origem – Destino - Ação
Origem e Destino podem ser compostos de endereços de hosts, redes, hosts e portas, redes e portas.
As ações podem variar bastante, sendo as duas ações mais comuns aceitar ou rejeitar um pacote.
Exemplos:
/sbin/iptables –A INPUT –d 192.168.100.10 –p tcp –dport 21 –j DROP
/sbin/iptables –A INPUT –d 192.168.100.10 –p tcp –dport 21 –j DROP
Bloqueando o acesso da Internet ao Servidor 192.168.100.10 na porta 21
Bloqueando o acesso da Internet ao Servidor 192.168.100.10 na porta 21
/sbin/iptables –A OUTPUT –s 192.168.100.10 –p tcp –dport 1024-65535 –j DROP
/sbin/iptables –A OUTPUT –s 192.168.100.10 –p tcp –dport 1024-65535 –j DROP
Bloqueando o acesso do Servidor 192.168.100.10 para portas maiores que 1024 na Internet
Bloqueando o acesso do Servidor 192.168.100.10 para portas maiores que 1024 na Internet
Exemplos:
/sbin/iptables –A INPUT –d 192.168.100.0/24 –p tcp –dport 445,135 –j DROP
/sbin/iptables –A INPUT –d 192.168.100.0/24 –p tcp –dport 445,135 –j DROP
Bloqueando o acesso da Internet à rede 192.168.100.0/24 na porta 445 e 135
Bloqueando o acesso da Internet à rede 192.168.100.0/24 na porta 445 e 135
/sbin/iptables –A OUTPUT –s 192.168.100.10 –d 64.233.163.85 –j DROP
/sbin/iptables –A OUTPUT –s 192.168.100.10 –d 64.233.163.85 –j DROP
Bloqueando o acesso do Servidor 192.168.100.10 para o orkut
Bloqueando o acesso do Servidor 192.168.100.10 para o orkut
Exercício
Realizar em Duplas
1 – Mapear vulnerabilidades entre as maquinas de cada um na dupla
2 – Utilizar a ferramenta Iptables para diminuir as vulnerabilidades
3 – Realizar novo mapeamento.
4 – Fazer testes com a opção DROP e REJECT
Conceitos Básicos
Além de Firewalls, existem equipamentos de redes que executam funções semelhantes de filtragem de pacotes. Um bom exemplo são as chamadas “ACLs” Access Control Lists. Em roteadores e switches mais modernos é possivel normalmente executar estes filtros, aumentando ainda mais a segurança do ambiente.
Além de Firewalls, existem equipamentos de redes que executam funções semelhantes de filtragem de pacotes. Um bom exemplo são as chamadas “ACLs” Access Control Lists. Em roteadores e switches mais modernos é possivel normalmente executar estes filtros, aumentando ainda mais a segurança do ambiente.
Firewall de RedeFirewall de Rede
Conceitos Básicos
Os principais fabricantes e seus produtos de Firewalls:
CheckPoint – Firewall-1Cisco – PIXSymantec – GuardianMicrosoft – ISA ServerSonicWall – SonicWallFirewallBuilder – Interface que permite gerenciar outros Firewalls.
Os principais fabricantes e seus produtos de Firewalls:
CheckPoint – Firewall-1Cisco – PIXSymantec – GuardianMicrosoft – ISA ServerSonicWall – SonicWallFirewallBuilder – Interface que permite gerenciar outros Firewalls.
Firewall de RedeFirewall de Rede
Conceitos Básicos
IDS – Intrusion Detection System
Sistema de Detecção de Intrusão
IDS – Intrusion Detection System
Sistema de Detecção de Intrusão
Sistema que permite monitorar, eletronicamente, ações mal intencionadas em uma rede ou servidor através de “assinaturas” ou “checagens de integridade”. Podem ser classificados em:NIDS – Network IDS, ou seja, monitoram pacotes em uma rede.HIDS – Host IDS, ou seja, monitoram ações em um equipamento eletrônico.
Sistema que permite monitorar, eletronicamente, ações mal intencionadas em uma rede ou servidor através de “assinaturas” ou “checagens de integridade”. Podem ser classificados em:NIDS – Network IDS, ou seja, monitoram pacotes em uma rede.HIDS – Host IDS, ou seja, monitoram ações em um equipamento eletrônico.
Conceitos Básicos
Também podem ter sua classificação quanto ao modo de atuação em:
Ativos – Ao detectarem alguma anomalia, tomam alguma ação. Podem ser considerados como IPS (Intrusion Prevention System)
Passivos – Apenas geram alarmes que devem (ou não) serem tratados manualmente.
Também podem ter sua classificação quanto ao modo de atuação em:
Ativos – Ao detectarem alguma anomalia, tomam alguma ação. Podem ser considerados como IPS (Intrusion Prevention System)
Passivos – Apenas geram alarmes que devem (ou não) serem tratados manualmente.
Conceitos Básicos
Principais Ferramentas:Snort – Network IDS mais utilizado no mundo OpenSource. Extremamente performático e fácil de configurar.
Samhain – Host IDS com inúmeras características que o colocam entre os melhores do mundo.
Principais Ferramentas:Snort – Network IDS mais utilizado no mundo OpenSource. Extremamente performático e fácil de configurar.
Samhain – Host IDS com inúmeras características que o colocam entre os melhores do mundo.
Conceitos Básicos
Firewall de RedeFirewall de Rede
Rede Servidores
Rede: 192.168.100.0/24
192.168.100.10Web1
192.168.100.20Web2
Rede Servidores
Rede: 192.168.1.0/24
192.168.1.10Client1
192.168.1.66Hacker
IDS
192.168.1.1Gateway Clientes
192.168.100.1Gateway Servidores
Mapeando Alvos
Mapeamento de Rede e Portas (Portscan)
Defesa: IDS, Firewall e Hardening
Mapeamento de Aplicações (AppScan)
Defesa: IDS, Firewall e configuração de aplicações
Mapeamento de Vulnerabilidades
Defesa: IDS, Firewall, configuração de aplicações, Hardening.
“LOGS, LOGS, LOGS”!
“LOGAR” TUDO!