Segurança de Redes-    Arquitetura    Cássio Alexandre Ramos    cassioaramos (at) gmail (dot) com    http://www.facebook.c...
Sumário           Introdução           Requisitos Básicos e Projeto de Defesa           Ameaças e Tipos de Ataques        ...
Introdução     Por que Segurança?           Estamos cada vez mais dependentes dos sistemas           de informação        ...
Pesquisa Nacional de Segurança             da Informação [Modulo 2004]:•  42% das empresas tiveram problemas com a Seguran...
Requisitos Básicos da Segurança-  Confidencialidade-  Integridade-  Disponibilidade             Confidencialidade         ...
Requisitos Básicos da SegurançaConfidencialidade: Certeza que somente as pessoas autorizadas aacessar os dados podem acess...
Requisitos Básicos da Segurança  "   Elementos Utilizados para Garantir a Confidencialidade           "   Criptografia dos...
Projeto de Defesa     Como se Defender?           Prevenção – mecanismos que devem ser instalados           no sistema par...
Projeto de Defesa     Defesa em Profundidade           Múltiplas barreiras entre quem ataca e o recurso que           se q...
Ameaças e Tipos de Ataque     Ameaças  Backdoors, bots, exploits,  Trojans, malwares etc  Virus, Worms, Spams,  Hoax, fish...
Ameaças e Tipos de Ataque     Tipos de Ataques           Hijacking, cracking, scanning, sniffing, spoofing, buffer        ...
Ameaças e Tipos de Ataque     Tipos de Ataques  DOS e DDOS  Engenharia Social- Kevin  Mitnick27/12/11                     ...
Segurança de Perímetro           Perímetro   	 "      Fronteira fortificada da sua rede de dados   	           "   Deve in...
Elementos de Segurança de PerímetroElementos de Segurança de Perímetro	"   Firewall  "  	VPN  "  	Zona Desmilitarizada (DM...
Firewall •  Dispositivo (hardware + software) que possui regras específicas que    permitem ou bloqueiam o tráfico •  Barr...
Filtro de Pacotes     Filtro de Pacotes           Determina se o pacote tem permissão para entrar ou           sair da red...
Stateful Firewall     Filtro de Pacotes Statefull           Examina o cabeçalho dos pacotes           Se pacote é permitid...
Usando filtros de pacote IP           Cliente                            Servidor Web                                   HT...
Firewall     LAN                      Endereço/Serviço                         Autorizado     LAN                         ...
Proxy de Aplicação                                            Proxy                              Web                      ...
Proxy de Aplicação                                            Proxy    Web                                           Cache...
Proxy de Aplicação                                        Verifica …                                   User autorizado?   ...
Hierarquia de Proxies           Internet                          4                                             2         ...
Registro de Acessos           Registra o uso da Internet por usuário           Registro em texto bruto pode ser analizado ...
Analisador de Logs    Perfil de     Acesso27/12/11                             25
Proxy Reverso                                              Verifica …                                      Request é permi...
Intranet   INTRANET                         Parceiro1        Parceiro2       Parceiro3      LAN1      LAN2      LAN3      ...
VPN – Virtual Private Network •  A idéia é utilizar a estrutura pública, com as mesmas facilidades de    uma rede privativ...
VPN – Virtual Private Network                     ISDN                     Cable                  Site      Site central  ...
VPN – Virtual Private Network                              Tipos de VPN   n LAN to LAN        n  Extranet VPNs – interli...
VPN – Virtual Private Network                                  Servidor                                    VPN            ...
VPN – Virtual Private Network              Vantagens                         Desvantagens     l  Escalável               ...
Intranet   INTRANET                          Parceiro1        Parceiro2       Parceiro3      LAN1      LAN2               ...
DMZ e Bastion Host DMZ: Zona Desmilitarizada l    Utilizada para separar os servidores que precisam ser acessados       p...
DMZ e Bastion Host     Hardening           Desabilitar serviços que não estão sendo           utilizados           Utiliza...
DMZ e Rede Protegida                  Servidor Web              Cliente       Intranet                                    ...
Intranet   INTRANET                          Parceiro1        Parceiro2        Parceiro3      LAN1      LAN2              ...
IDS – Intrusion Detection System     IDS           Utilizado para detectar e alertar eventos maliciosos           Antecipa...
IDS – Intrusion Detection System                Arquitetura Genérica27/12/11                                  39
IDS – Intrusion Detection System     Host Intrusion Detection System (HIDS)           Esse tipo de IDS reside em um único ...
IDS – Intrusion Detection SystemHDIS (Cont.)	  "   Exemplos de componentes monitorados    	    	 "   Memória       "   Arq...
IDS – Intrusion Detection System     Network Intrusion Detection System (NDIS)           Monitora todo o tráfego da rede e...
IDS – Intrusion Detection SystemNDIS (Cont.)	  "    Sensor de Rede     	     	 "   Posicionamento em função do conheciment...
Intranet   INTRANET                          Parceiro1          Parceiro2             Parceiro3      LAN1                 ...
Network Address Translation     NAT            Técnica utilizada por um dispositivo para a tradução            de endereço...
NAT                                                    131.107.0.9                                      131.107.0.9       ...
Intranet   INTRANET                          Parceiro1          Parceiro2             Parceiro3      LAN1                 ...
Analisador de Conteúdo Web     Analisador de Conteúdo            Analisa as solicitações de acesso a Internet            a...
Soluções de Antivírus e Anti-Spam     Soluções Antivirus/ Anti-Spam           Distribuidos em Gateways, Proxies, Servidore...
Segurança de Backbone     Segurança de Backbone                                                                  Vendas Só...
Segurança de Desktop                       e Rede Local     Desktop Usuário recebe máquina pronta- firewall, IDS, antivíru...
Segurança de Desktop                         e Rede Local     Desktop  Segurança física- fogo, calor, poeira,  magnetismo,...
Segurança de Desktop                        e Rede Local     Rede Local           Utilizar switches e monitorar tráfego   ...
Metodologia de AtaqueColetando Informações	"   Footprinting           "   nome   de domínio,   	   	 "   endereços IP de s...
Metodologia de AtaqueColetando Informações	"   Varredura de rede    "   Verificar sistemas operacionais de servidores   Po...
Metodologia de AtaqueColetando Informações	"   Procura de Vulnerabilidades    "   Procura por serviços vulneráveis- Ferram...
Dúvidas??????27/12/11                   57
Upcoming SlideShare
Loading in...5
×

Segurança de Redes

4,543

Published on

Aula de Segurança de Redes da Pós da Estácio

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
4,543
On Slideshare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
208
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Segurança de Redes

  1. 1. Segurança de Redes- Arquitetura Cássio Alexandre Ramos cassioaramos (at) gmail (dot) com http://www.facebook.com/cassioaramos http://cassioaramos.blogspot.com
  2. 2. Sumário Introdução Requisitos Básicos e Projeto de Defesa Ameaças e Tipos de Ataques Segurança de Perímetro Segurança de Backbone Segurança de Desktop e Rede Local Metodologia de Ataque27/12/11 2
  3. 3. Introdução Por que Segurança? Estamos cada vez mais dependentes dos sistemas de informação A Internet é vulnerável – foi concebida utilizando protocolos inseguros Segurança não está somente relacionada com invasão de sistemas27/12/11 3
  4. 4. Pesquisa Nacional de Segurança da Informação [Modulo 2004]:•  42% das empresas tiveram problemas com a Segurança da Informação;•  35% das empresas reconhecem perdas financeiras. 65% das empresas não conseguiram quantificar essas perdas;•  Vírus, Spam, acessos indevidos e vazamento de informações foram apontados como as principais ameaças à segurança das informações nas empresas;•  O percentual de empresas que afirmam ter sofrido ataques e invasões é de 77%;•  26% das empresas não conseguem sequer identificar os responsáveis pelos ataques; e•  58% dos entrevistados sentem-se inseguros para comprar em sites de comércio eletrônico. 27/12/11 4
  5. 5. Requisitos Básicos da Segurança-  Confidencialidade-  Integridade-  Disponibilidade Confidencialidade Integridade Disponibilidade27/12/11 5
  6. 6. Requisitos Básicos da SegurançaConfidencialidade: Certeza que somente as pessoas autorizadas aacessar os dados podem acessá-losIntegridade: Certeza que os dados não foram alterados - poracidente ou intencionalmenteDisponibilidade: Certeza que os dados estão acessíveis quando eonde forem necessários27/12/11 6
  7. 7. Requisitos Básicos da Segurança "   Elementos Utilizados para Garantir a Confidencialidade "   Criptografia dos dados "   Controle de acesso " Elementos para garantir a Integridade   "   Assinatura digital "   MD5- hash "   Elementos para garantir a Disponibilidade "   Backup "   Tolerância a falhas "   Redundância27/12/11 7
  8. 8. Projeto de Defesa Como se Defender? Prevenção – mecanismos que devem ser instalados no sistema para evitar ataques Detecção – como detectar os ataques. Como saber se estão acontecendo Resposta – como responder aos ataques Política de Segurança – formalização e sistemas que implementam a política27/12/11 8
  9. 9. Projeto de Defesa Defesa em Profundidade Múltiplas barreiras entre quem ataca e o recurso que se quer proteger Quanto mais fundo o atacante quer chegar, mais difícil será Aumentar o custo do ataque O principal da defesa em camadas é que um componente complemente o outro formando um sistema mais seguro Principio do Menor Privilégio27/12/11 9
  10. 10. Ameaças e Tipos de Ataque Ameaças Backdoors, bots, exploits, Trojans, malwares etc Virus, Worms, Spams, Hoax, fishing scam etc Hackers, Crackers, Defacers, spammers, funcionários, ex- funcionários Falhas (vulnerabilidades) em S.O, aplicativos e protocolos27/12/11 10
  11. 11. Ameaças e Tipos de Ataque Tipos de Ataques Hijacking, cracking, scanning, sniffing, spoofing, buffer overflow, defacing etc.27/12/11 11
  12. 12. Ameaças e Tipos de Ataque Tipos de Ataques DOS e DDOS Engenharia Social- Kevin Mitnick27/12/11 12
  13. 13. Segurança de Perímetro Perímetro "   Fronteira fortificada da sua rede de dados "   Deve incluir alguns elementos de proteção27/12/11 13
  14. 14. Elementos de Segurança de PerímetroElementos de Segurança de Perímetro "   Firewall "   VPN "   Zona Desmilitarizada (DMZ) "  Host Hardening "  Intrusion Detection System (IDS) "  Network Address Translation (NAT) "  Analisadores de Conteúdo "  Analisadores de Logs27/12/11 14
  15. 15. Firewall •  Dispositivo (hardware + software) que possui regras específicas que permitem ou bloqueiam o tráfico •  Barreiras de segurança entre a intranet e a Internet para proteger a rede interna contra acessos não autorizados •  Mensagens que entram ou saem da rede devem ser examinadas pelo firewall, que toma ações de acordo com critérios de segurança especificados •  Estático: Filtro de pacotes •  Stateful: memoriza as conexões para uma melhor análise •  Proxy de Aplicação e Proxy Reverso27/12/11 15
  16. 16. Filtro de Pacotes Filtro de Pacotes Determina se o pacote tem permissão para entrar ou sair da rede de acordo com informações localizadas no cabeçalho do pacote Cabeçalho de pacote é um pequeno segmento de informação que é colocado no início do pacote para indentificá-lo Amplamente usado nos roteadores de borda ou de perímetro27/12/11 16
  17. 17. Stateful Firewall Filtro de Pacotes Statefull Examina o cabeçalho dos pacotes Se pacote é permitido pelas regras- informações são armazenadas em uma tabela de estado A partir daí todas as comunicações naquela sessão são permitidas27/12/11 17
  18. 18. Usando filtros de pacote IP Cliente Servidor Web HTTP Outros Protocolos27/12/11 18
  19. 19. Firewall LAN Endereço/Serviço Autorizado LAN Internet Firewall Endereço/Serviço não Autorizado LAN27/12/11 19
  20. 20. Proxy de Aplicação Proxy Web Cache Server O que é? "  Procurador "  Atua no nível da aplicação- orientado a aplicação "  Geralmente, o cliente precisa ser modificado- não é transparente "  Funciona como acelerador27/12/11 20
  21. 21. Proxy de Aplicação Proxy Web Cache Server Por que usar? "  Autenticação de usuário "  Inspeção de Conteúdo "  Cache "  Registro de Acessos "  Esconde detalhes da rede interna27/12/11 21
  22. 22. Proxy de Aplicação Verifica … User autorizado? 3 Protocolo permitido? Destino autorizado? 6 1 5 2 4 Web Proxy Server27/12/11 22
  23. 23. Hierarquia de Proxies Internet 4 2 5 3 LAN1 LAN2 Matriz 1 627/12/11 23
  24. 24. Registro de Acessos Registra o uso da Internet por usuário Registro em texto bruto pode ser analizado Pode ser utilizado para detectar alguns tipos de vírus e adwares27/12/11 24
  25. 25. Analisador de Logs Perfil de Acesso27/12/11 25
  26. 26. Proxy Reverso Verifica … Request é permitido? Protocolo permitido? Destino permitido? Web Server 3 DNS Server 4 5 2 1 Proxy R 627/12/11 26
  27. 27. Intranet INTRANET Parceiro1 Parceiro2 Parceiro3 LAN1 LAN2 LAN3 Firewall Firewall Internet Proxy Router B LAN4 LAN527/12/11 27
  28. 28. VPN – Virtual Private Network •  A idéia é utilizar a estrutura pública, com as mesmas facilidades de uma rede privativa •  Canal protegido que cruza um canal desprotegido Ex. Internet •  Permite que usuários externos acessem a rede interna com segurança27/12/11 28
  29. 29. VPN – Virtual Private Network ISDN Cable Site Site central DSL Usuário RemotoServer remoto Internet Site Remoto27/12/11 29
  30. 30. VPN – Virtual Private Network Tipos de VPN n LAN to LAN n  Extranet VPNs – interligam escritórios remotos, clientes, fornecedores e parceiros utilizando a estrutura pública n Acesso Remoto n  Interliga com segurança usuários remotos à intranet corporativa Site Remoto27/12/11 30
  31. 31. VPN – Virtual Private Network Servidor VPN Internet Servidor VPN27/12/11 31
  32. 32. VPN – Virtual Private Network Vantagens Desvantagens l  Escalável l  Não é utilizada quando o l  Baixo custo de link desempenho é fundamental l  Transparente para o usuário l  Configuração complexa IPSEC Pacote de dados Servidor VPN Servidor VPN27/12/11 32
  33. 33. Intranet INTRANET Parceiro1 Parceiro2 Parceiro3 LAN1 LAN2 VPN LAN3 Firewall/ Firewall Internet Router B Proxy LAN4 FILIAL LAN527/12/11 33
  34. 34. DMZ e Bastion Host DMZ: Zona Desmilitarizada l  Utilizada para separar os servidores que precisam ser acessados pela Internet dos que apenas serão acessados pelo pessoal interno da organização Bastion Host l Bastião, Baluarte. Fortaleza inexpugnável. É uma posição bem fortificada l Deve ser feito o hardening do host27/12/11 34
  35. 35. DMZ e Bastion Host Hardening Desabilitar serviços que não estão sendo utilizados Utilizar sistemas operacionais e softwares sempre atualizados Desabilitar usuários e senhas default. Estabelecer política rígida de senhas Utilizar sistemas de arquivos robusto Servidor deve estar configurado de acordo com as boas práticas de segurança27/12/11 35
  36. 36. DMZ e Rede Protegida Servidor Web Cliente Intranet Internet Firewall27/12/11 36
  37. 37. Intranet INTRANET Parceiro1 Parceiro2 Parceiro3 LAN1 LAN2 VPN LAN3 Firewall/ Firewall Internet Router B Proxy LAN4 DMZ FILIAL Hardened Server WEB LAN5 Server DNS Server Proxy R. Mail Server27/12/11 37
  38. 38. IDS – Intrusion Detection System IDS Utilizado para detectar e alertar eventos maliciosos Antecipar possíveis invasões aos sistemas O sistema de defesa deverá dispor de vários agentes IDS pela rede Tipos: NIDS, HIDS e IPS Normalmente verifica assinaturas pré-definidas e eventos maliciosos27/12/11 38
  39. 39. IDS – Intrusion Detection System Arquitetura Genérica27/12/11 39
  40. 40. IDS – Intrusion Detection System Host Intrusion Detection System (HIDS) Esse tipo de IDS reside em um único “host” e monitora atividades específicas do mesmo Pode ser baseado em assinaturas Verifica a integridade dos arquivos do SO Monitora utilização de recursos do host27/12/11 40
  41. 41. IDS – Intrusion Detection SystemHDIS (Cont.) "   Exemplos de componentes monitorados "   Memória "   Arquivos executáveis "   Espaço em disco "   Kernel27/12/11 41
  42. 42. IDS – Intrusion Detection System Network Intrusion Detection System (NDIS) Monitora todo o tráfego da rede e compara este a um banco de dados com assinaturas de ataque Quando uma assinatura é detectada um evento é disparado pelo IDS Sistema utilizado para detectar e/ou reagir a uma assinatura de ataque na rede Utilizado para analisar o tráfego de rede em tempo real Equipamento dedicado com processamento compatível com o tamanho da infra-estrutura27/12/11 42
  43. 43. IDS – Intrusion Detection SystemNDIS (Cont.) "  Sensor de Rede "   Posicionamento em função do conhecimento da topologia "  Em ambientes com switch - Espelhamento de porta "  Configuração stealth recomendada - Interface de captura sem endereçamento e capturando tráfego de rede em modo promíscuo27/12/11 43
  44. 44. Intranet INTRANET Parceiro1 Parceiro2 Parceiro3 LAN1 NIDS NIDS NIDS LAN2 VPN NIDS NIDS LAN3 Internet LAN4 DMZ FILIAL Hardened HIDS Server WEB LAN5 Server NDIS Proxy R. Mail Server27/12/11 44
  45. 45. Network Address Translation NAT Técnica utilizada por um dispositivo para a tradução de endereços IP Permite que uma rede use um conjunto de endereços IP particulares para tráfego interno Converte os endereços IP particulares em endereços IP públicos Aumenta a segurança ocultando endereços IP Internos Permite que uma organização economize endereços IP públicos27/12/11 45
  46. 46. NAT 131.107.0.9 131.107.0.9 10.10.10.6 10.10.10.10 10.10.10.7 Tabela NAT "  10.10.10.0 mapeia para 131.107.0.927/12/11 46
  47. 47. Intranet INTRANET Parceiro1 Parceiro2 Parceiro3 LAN1 NIDS NIDS NIDS LAN2 VPN NIDS NIDS LAN3 NAT Internet LAN4 DMZ FILIAL Hardened HIDS Server WEB LAN5 Server NDIS Proxy R. Mail Server27/12/11 47
  48. 48. Analisador de Conteúdo Web Analisador de Conteúdo Analisa as solicitações de acesso a Internet autorizando-as ou não Política diferente de acordo com dias da semana e horários Utilizado para evitar a navegação anônima Otimiza o uso do link de Internet, priorizando acesso relacionado ao serviço27/12/11 48
  49. 49. Soluções de Antivírus e Anti-Spam Soluções Antivirus/ Anti-Spam Distribuidos em Gateways, Proxies, Servidores de Arquivos, Servidores de Correio e desktops Administração Centralizada- firewall pessoal, IDS, anti-spyware, atualização de vacinas, assinaturas e políticas Filtra conteúdo de e-mail, por tamanho, nº de destinatários, tipos de anexos etc Possibilita análise gráfica e alarmes em tempo real27/12/11 49
  50. 50. Segurança de Backbone Segurança de Backbone Vendas Só trafegam no backbone Engenharia Finanças aplicações autorizadas Hardening nos equipamentos de conectividade WAN Protocolos de roteamento- Campus Logística seguros e com autenticação backbone Monitoramento do backbone e links- criptografia Contabilidade Segurança física dos Intranet servers equipamentos27/12/11 50
  51. 51. Segurança de Desktop e Rede Local Desktop Usuário recebe máquina pronta- firewall, IDS, antivírus etc. S.O atualizado, serviços desnecessários desabilitados Utilizar somente software autorizado e não receber e-mail de procedência duvidosa27/12/11 51
  52. 52. Segurança de Desktop e Rede Local Desktop Segurança física- fogo, calor, poeira, magnetismo, explosão, vandalismo, roubo etc Implementar rigida política de senhas Utilizar área de rede para arquivos importantes27/12/11 52
  53. 53. Segurança de Desktop e Rede Local Rede Local Utilizar switches e monitorar tráfego Administração de Políticas centralizada Autenticação nos dispositivos de rede Segurança física dos dispositivos, política de backup, tolerância a falhas etc. Implementar segurança de layer 227/12/11 53
  54. 54. Metodologia de AtaqueColetando Informações "   Footprinting "   nome de domínio, "   endereços IP de servidores "   arquitetura de rede e serviços "   mecanismos de segurança, "   protocolos de rede "   endereço, telefones de contato, e-mails etc. www.arin.net, registro.br, www.netcraft.com, whois.com27/12/11 54
  55. 55. Metodologia de AtaqueColetando Informações "   Varredura de rede "  Verificar sistemas operacionais de servidores Port Service alvo 20?… closed 21?… FTP "   Verificar que serviços estão ativos, 22?… closed 23?… closed "   Consultas icmp ou varredura de portas TCP/UDP 24?… closed 25?… SMTP 27/12/11 55
  56. 56. Metodologia de AtaqueColetando Informações "   Procura de Vulnerabilidades "   Procura por serviços vulneráveis- Ferramentas: Nessus, Nmap, Languard "   Verificar a necessidade de utilização de exploit- www.securityfocus.com "   Utilização de ferramentas para apagar rastros – root kits 27/12/11 56
  57. 57. Dúvidas??????27/12/11 57
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×