Firewalls, Intrusion Detection, Traffic shapers, and filters

897 views
776 views

Published on

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
897
On SlideShare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
50
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide
  • http://www.gta.ufrj.br/ensino/eel879/trabalhos_vf/jonas/introducao.html http://www.gta.ufrj.br/~jaime/trabalhos/firewall/firewall.htm
  • http://www.gta.ufrj.br/ensino/eel879/trabalhos_vf/jonas/introducao.html http://www.gta.ufrj.br/~jaime/trabalhos/firewall/firewall.htm
  • An intrusion detection system ( IDS ) generally detects unwanted manipulations to computer systems , mainly through the Internet . The manipulations may take the form of attacks by skilled malicious hackers , or script kiddies using automated tools. An intrusion detection system is used to detect all types of malicious network traffic and computer usage that can't be detected by a conventional firewall . This includes network attacks against vulnerable services, data driven attacks on applications, host based attacks such as privilege escalation, unauthorized logins and access to sensitive files, and malware ( viruses , trojan horses , and worms ). An IDS is composed of several components: Sensors which generate security events, a Console to monitor events and alerts and control the sensors, and a central Engine that records events logged by the sensors in a database and uses a system of rules to generate alerts from security events received. There are several ways to categorize an IDS depending on the type and location of the sensors and the methodology used by the engine to generate alerts. In many simple IDS implementations all three components are combined in a single device or appliance.
  • Procurar sobre o HLBR Howgash
  • Procurar sobre o HLBR Howgash
  • Prevent malicious attacks on hosts Port sweeps, ICMP echo to broadcast addr, syn flooding, … Worm propagation Exploit buffer overflow in program listening on network Prevent general disruption of internal network External SMNP packets Provide defense in depth Programs contain bugs and are vulnerable to attack Network protocols may contain; Design weaknesses (SSH CRC) Implementation flaws (SSL, NTP, FTP, SMTP...) Control traffic between “zones of trusts” Can control traffic between separate local networks, etc
  • Resilience is the ability of the network to provide and maintain an acceptable level of service in the face of various faults and challenges to normal operation . Resilient networks aim to provide acceptable service to applications: ability for users and applications to access information when needed, e.g.: Web browsing distributed database access sensor monitoring situational awareness maintenance of end-to-end communication association, e.g.: computer-supported cooperative work video conference teleconference (including VoIP calls) operation of distributed processing and networked storage, e.g.: ability for distributed processes to communicate with one another ability for processes to read and write networked storage Note that resilience is a superset of survivability . Network resilience Active traffic management can provide resilience to DoS attacks, at least within the enterprise network
  • Firewalls, Intrusion Detection, Traffic shapers, and filters

    1. 2. S e m i n á r i o: Network Defense Tools Osmany Barros de Freitas [email_address]
    2. 3. <ul><li>Motivação </li></ul><ul><li>Tipos de Defesa </li></ul><ul><li>Prevenção de Intrusos </li></ul><ul><ul><li>Firewall </li></ul></ul><ul><ul><li>Traffic Shaping </li></ul></ul><ul><li>Detecção de Intrusos </li></ul><ul><ul><li>Tripwire </li></ul></ul><ul><ul><li>HijackThis </li></ul></ul><ul><ul><li>Nessus </li></ul></ul><ul><li>Referências </li></ul>Roteiro
    3. 4. <ul><li>Devido ao grande alarme de ataques e invasões de vândalos, muitas pessoas receiam deixar seus computadores diretamente ligados à internet </li></ul>Motivação <ul><li>Administrar uma rede segura nunca foi tão desafiador </li></ul>
    4. 5. <ul><li>Defesas Externas </li></ul><ul><ul><li>IPS, IDS </li></ul></ul><ul><ul><ul><li>Proteger a rede e os hosts </li></ul></ul></ul><ul><ul><ul><li>Manter ameaças externas longe da rede interna </li></ul></ul></ul><ul><li>Defesas Internas </li></ul><ul><ul><li>Anti-Vírus, Anti-Spyware </li></ul></ul><ul><ul><ul><li>Proteger os hosts </li></ul></ul></ul>Tipos de Defesas
    5. 6. IDS <ul><li>Sistema de Detecção de Intruso ( Passivo) </li></ul><ul><ul><li>Sistema utilizado para manipular tráfegos maliciosos que não são detectados por um firewall convencional. </li></ul></ul><ul><ul><ul><li>Vulnerabilidades no sistema </li></ul></ul></ul><ul><ul><ul><li>Elevação de privilégios </li></ul></ul></ul><ul><ul><ul><li>Login não autorizado </li></ul></ul></ul><ul><ul><ul><li>Malware </li></ul></ul></ul>
    6. 7. <ul><li>Sistema de Prevenção de Intruso(Reativo) </li></ul><ul><ul><li>Sistema que pratica o controle de acesso protegendo computadores de exploração. Bastante similar ao IDS, mas além de detectar tráfego suspeito, é capaz de tratá-lo. </li></ul></ul><ul><ul><li>Os IPS´s são usados para compor os sistemas de Firewall </li></ul></ul>IPS
    7. 8. <ul><li>Sistema de Detecção de Intruso </li></ul><ul><ul><li>Apenas grava logs registrando atividades suspeitas </li></ul></ul><ul><li>Sistema de Prevenção de Intruso </li></ul><ul><ul><li>Reage mediante uma situação adversa </li></ul></ul>Ou seja...
    8. 9. Prevenção de Intrusos
    9. 10. Firewall <ul><li>Sistema que aplica políticas de segurança para restringir passagem apenas de tráfego autorizado </li></ul><ul><li>Cria um perímetro de defesa para proteger a rede interna </li></ul>
    10. 11. <ul><li>Funcionamento Básico </li></ul><ul><li>Age como uma barreira que controla o tráfego entre duas redes. </li></ul>Firewall Firewall Rede Local Internet
    11. 12. <ul><li>Permite criar um ponto de controle único, impedindo acessos não autorizados e recusando serviços e dados vulneráveis saiam da rede </li></ul><ul><li>Monitorar a rede, alertas de invasão em apenas um ponto da rede </li></ul>Firewall - Vantagens
    12. 13. <ul><li>Manipulação maliciosa de dados por usuários internos </li></ul><ul><li>Não impede proliferação de vírus </li></ul><ul><li>Ataques acionados por dados que são recebidos via e-mail, por exemplo, onde sua execução dispara alterações em arquivos de segurança do sistema, tornando-o vulnerável </li></ul>Firewall - Limitações
    13. 14. Firewall - Windows http://www.matousec.com/projects/windows-personal-firewall-analysis/leak-tests-results.php
    14. 15. <ul><li>Symantec Security Check </li></ul><ul><ul><li>http://security.symantec.com/sscv6/default.asp?langid=ie&venid=sym </li></ul></ul><ul><li>Audit My PC Firewall Test </li></ul><ul><ul><li>http://www.auditmypc.com/firewall-test.asp </li></ul></ul><ul><li>Gibson Research Corporation-Internet Vulnerability Test </li></ul><ul><ul><li>https://www.grc.com/x/ne.dll?bh0bkyd2 </li></ul></ul><ul><li>PC Flank's tests </li></ul><ul><ul><li>http://www.pcflank.com/about.htm </li></ul></ul><ul><li>HackerWatch firewall tests </li></ul><ul><ul><li>http://www.hackerwatch.org/probe/ </li></ul></ul><ul><li>Hacker Whacker free tests </li></ul><ul><ul><li>http://theta.hackerwhacker.com/freetools.php </li></ul></ul><ul><li>Look 'n' Stop - Internet security Test </li></ul><ul><ul><li>http://www.soft4ever.com/security_test/En/ </li></ul></ul>Firewall - Testes na Web
    15. 16. <ul><li>Técnica para controlar o tráfego na rede provendo otimização e garantia de performance </li></ul><ul><li>Bastante utilizado por provedores de acesso para melhoria de seus serviços </li></ul>Traffic Shaping
    16. 17. <ul><li>O Firewall </li></ul><ul><ul><li>Libera ou bloquea o tráfego </li></ul></ul><ul><li>Traffic Shaping </li></ul><ul><ul><li>Limita, condiciona o tráfego </li></ul></ul><ul><ul><ul><li>Classificação </li></ul></ul></ul><ul><ul><ul><li>Filas </li></ul></ul></ul><ul><ul><ul><li>Políticas de esforço </li></ul></ul></ul><ul><ul><ul><li>QoS </li></ul></ul></ul>Traffic Shaping
    17. 18. Traffic Shaping <ul><li>Como controlar o tráfego de compartilhadores P2P ? </li></ul>
    18. 19. <ul><li>Clasifica e analiza o tráfego </li></ul><ul><ul><li>Classificando IP e porta </li></ul></ul><ul><li>Controla Tráfego </li></ul><ul><ul><li>Selecionando faixas de banda para classes </li></ul></ul><ul><li>Monitora performance da rede </li></ul><ul><ul><li>Coleta dados e aplica políticas </li></ul></ul>Traffic Shaping
    19. 20. Exemplo: Firewall – Traffic Shaping
    20. 21. <ul><li>O Linux possui um Framework em seu Kernel funcionalidades de controle de pacotes que permitem a configuração de Firewall. </li></ul><ul><li>Nas versões até 2.2 do Kernel é chamado de ipchains, mas a partir da 2.4 é chamado de Netfilter (iptables ) </li></ul>Firewall - Linux
    21. 22. <ul><li>Vamos mostrar como é possível configurar um Firewall utilizando as linhas de comando para configurar os módulos do Kernel </li></ul>Exemplo - Firewall
    22. 23. <ul><li>Os tipos de tráfego permitidos serão agrupados em 4 grupos: </li></ul>Exemplo: Firewall Linux ICMP DNS TCP ( tráfego comum ) Email P2P WWW ( http ) Grupo 1 Grupo 2 Grupo 3 Grupo 4
    23. 24. <ul><li>Alterando as configurações do kernel do linux, é possível, com poucas instruções, configurar seu firewall e aplicar técnicas de Traffic Shaping. </li></ul><ul><li>Para isso utilizamos algumas linhas de comando para montar um script que descreve a configuração do nosso firewall </li></ul>Exemplo: Firewall Linux
    24. 25. <ul><li># Limpa as regras anteriores </li></ul><ul><li>/sbin/ipchains -F input </li></ul><ul><li>/sbin/ipchains -F output </li></ul><ul><li>/sbin/ipchains -F forward </li></ul><ul><li># Bloquea todo acesso </li></ul><ul><li>/sbin/ipchains -P input DENY </li></ul><ul><li>/sbin/ipchains -P output DENY </li></ul><ul><li>/sbin/ipchains -P forward DENY </li></ul><ul><li># Permite tráfego icmp e marca como grupo 1 </li></ul><ul><li>/sbin/ipchains -A input -p ICMP -i ppp+ -j ACCEPT -m 1 </li></ul><ul><li>/sbin/ipchains -A output -p ICMP -i ppp+ -j ACCEPT -m 1 </li></ul><ul><li>/sbin/ipchains -A input -y -p tcp -i ppp+ -j ACCEPT -m 1 </li></ul><ul><li># Libera tráfego de email e marca como grupo 2 </li></ul><ul><li>/sbin/ipchains -A input ! -y -p tcp -i ppp+ -s 0/0 smtp -d 0/0 –j ACCEPT -m 2 </li></ul><ul><li>/sbin/ipchains -A input ! -y -p tcp -i ppp+ -s 0/0 pop3 -d 0/0 –j ACCEPT -m 2 </li></ul><ul><li># Configura acesso p2p na porta 6699 e marca como grupo 3 </li></ul><ul><li>/sbin/ipchains -A input ! -y -p tcp -i ppp+ -s 0/0 6699 -d 0/0 –j ACCEPT -m 3 </li></ul><ul><li>/sbin/ipchains -A input -p tcp -i ppp+ -s 0/0 -d 0/0 6699 –j ACCEPT -m 3 </li></ul><ul><li>/sbin/ipchains -A input ! -y -p tcp -i ppp+ -s 0/0 nntp -d 0/0 –j ACCEPT -m 3 </li></ul><ul><li># Permite acesso www e https como grupo 4 </li></ul><ul><li>/sbin/ipchains -A input ! -y -p tcp -i ppp+ -s 0/0 www -d 0/0 –j ACCEPT -m 4 </li></ul><ul><li>/sbin/ipchains -A input ! -y -p tcp -i ppp+ -s 0/0 https -d 0/0 –j ACCEPT -m 4 </li></ul>Exemplo: Firewall Linux
    25. 26. <ul><li>Normalmente o TCP/IP no Linux tenta dividir a largura de banda com todas as conexões existentes. </li></ul><ul><ul><li>Significa que se houver 49 conexões P2P e 1 para web, esta terá apenas 2% da banda. </li></ul></ul><ul><li>Com Traffic Shaping podemos organizar essa distribuição do TCP/IP </li></ul>Exemplo: Traffic Shaping
    26. 27. <ul><li>Esse controle concede proteção contra ataques DoS, uma vez que firewall simples não protege contra SYN floods e ICMP floods. </li></ul><ul><ul><li>Importante: Esse controle não evita que o ataque seja efetuado, mas diminui os estragos provocados pelo mesmo </li></ul></ul>Exemplo: Traffic Shaping
    27. 28. Exemplo: Traffic Shaping <ul><li>A figura ilustra o comportamento que queremos definir no nosso exemplo: </li></ul>70% HTTP/HTTPS 20% SMTP/POP3 5% P2P 5% ICMP/TCP-SYN
    28. 29. <ul><li>Primeiro Grupo: ICMP, TCP-SYN, DNS receberá 5% da banda total (64*0.05=3.2): </li></ul><ul><li>add_class 10:1 10:100 3.2kbit 0.32kbit 1 bounded </li></ul><ul><li>Segundo grupo SMTP,POP3 utilizará 20% do total da banda </li></ul><ul><li>add_class 10:1 10:200 12.8kbit 1.28kbit 2 </li></ul><ul><li>Terceiro grupo: P2P terá direito a 5% da banda </li></ul><ul><li>add_class 10:1 10:300 3.2kbit 0.32kbit 3 </li></ul><ul><li>Finalmente o quarto grupo: Http / Https receberá 70% de banda </li></ul><ul><li>add_class 10:1 10:400 44.8kbit 4.48kbit 4 </li></ul>Exemplo: Traffic Shaping
    29. 30. Traffic Shaping - Firewall <ul><li>Muitos programas gráficos para Linux transcrevem em comandos, como os mostrados no exemplo, a configuração definida pelo usuário via interface </li></ul>
    30. 31. Detecção de Intrusos
    31. 32. Detecção de Instrusos <ul><li>Analisam os pacotes da rede comparando-os com assinaturas já prontas de ataque </li></ul><ul><li>Monitoram arquivos dos sistema em busca de modificações suspeitas </li></ul><ul><li>É capaz de trazer informações da rede como: </li></ul><ul><ul><li>Quantas tentativas de ataques sofremos por dia; </li></ul></ul><ul><ul><li>Qual tipo de ataque foi usado; </li></ul></ul><ul><ul><li>Qual a origem dos ataques; </li></ul></ul>
    32. 33. Classificação de IDS <ul><li>NIDS - Sistemas de Detecção de Intrusão de Rede </li></ul><ul><ul><li>Os ataques são capturados e analisados através de pacotes da rede </li></ul></ul><ul><ul><li>Monitoram múltiplas estações através de sensores espalhados pela rede </li></ul></ul><ul><ul><li>Dificuldade pra processar dados em grandes redes e dados criptografados </li></ul></ul>
    33. 34. Classificação de IDS <ul><li>HIDS - Sistemas de Detecção de Intrusão de Host </li></ul><ul><ul><li>Operam sobre informações coletadas em computadores individuais </li></ul></ul><ul><ul><li>Por operar diretamente nas estações, é capaz de ver as conseqüências do ataque </li></ul></ul><ul><ul><li>Porém requer que cada máquina seja configurada e não detecta ataques em outras estações </li></ul></ul>
    34. 35. Ataque Padrão <ul><li>O invasor: </li></ul><ul><ul><li>Obtém acesso ao sistema </li></ul></ul><ul><ul><li>Adquire acesso root </li></ul></ul><ul><ul><li>Modifica o sistema pra instalar backdoor </li></ul></ul><ul><ul><li>Usa o backdoor para futuras atividades </li></ul></ul><ul><ul><li>Apaga rastros ( possivelmente ) </li></ul></ul>
    35. 36. Tripwire <ul><li>Basea-se em guardar informações sobre a estrutura dos arquivos no sistema. </li></ul><ul><li>Realiza comparações com uma base de dados e reporta problemas se houver diferenças </li></ul>
    36. 37. Tripwire
    37. 38. Hijack This <ul><li>Programa que verifica processos ativos e entradas suspeitas no Windows, ajudando a identificar malwares em geral </li></ul><ul><li>Através dele é gerado um log que possibilita identificar </li></ul>
    38. 39. Hijack This <ul><li>Inicialmente o usuário roda a aplicação realizando um scan </li></ul>
    39. 40. Hijack This <ul><li>O log é gerado e salvo num arquivo: </li></ul>
    40. 41. Hijack This <ul><li>Analizador de logs gratuito no site do programa: </li></ul>http://hijackthis.de
    41. 42. Hijack This <ul><li>Trecho do resultado da análise do log: </li></ul><ul><li>Observe que qualquer processo suspeito é imediatamente avisado ao usuário </li></ul>
    42. 43. Nessus <ul><li>Programa de verificação de falhas/vulnerabilidades de segurança. </li></ul><ul><li>Composto por um cliente e servidor ( este serve para realizar o scan no cliente ) </li></ul><ul><li>Ele realiza uma varredura de portas, detectando servidores ativos e simulando invasões para detectar vulnerabilidades </li></ul>
    43. 44. Nessus <ul><li>Há 3 níveis de alerta: </li></ul><ul><ul><li>O mais grave indica que há uma brecha de segurança em um servidor ativo da máquina. </li></ul></ul><ul><ul><li>O segundo informa que há um serviço potencialmente inseguro numa determinada porta </li></ul></ul><ul><ul><li>O último nível é apenas aviso mostrando que há um servidor ativo e que está sem falha de segurança </li></ul></ul>
    44. 45. Nessus <ul><li>O nessus: </li></ul><ul><ul><li>Aponta as falhas </li></ul></ul><ul><ul><li>Oferece uma descrição detalhada da vulnerabilidade </li></ul></ul><ul><ul><li>Aponta uma solução </li></ul></ul>
    45. 46. Nessus 1- Resultado da avaliação 2- Descrição do problema 3- Solução
    46. 47. Referências <ul><li>http://en.wikipedia.org/wiki/Main_Page </li></ul><ul><li>http://linhadefensiva.uol.com.br/forum </li></ul><ul><li>http://www.forum-invasao.com.br </li></ul><ul><li>http://www.securityfocus.com/infocus/1285 </li></ul><ul><li>http://crypto.stanford.edu/cs155/IDSpaper.pdf </li></ul><ul><li>http://www.hijackthis.de </li></ul><ul><li>http://www.nessus.org </li></ul>
    47. 48. Obrigado

    ×