Dispositivos de segurança.

Transcrição

1 Dispositivos de segurança

2 Apresentação Alessandro Coneglian Bianchini exerce a função de engenheiro na NEC Brasil, atuando na elaboração de projetos e implantação de VoIP, Wireless, Redes e Segurança da informação; formado em engenharia elétrica com ênfase em telecomunicações pela Escola de Engenharia Mauá-SP, pós-graduado em segurança da informação pelo IBTA-SP e também pós-graduado em engenharia de rede e sistema de telecomunicações pelo INATEL-MG; Possui certificações de fabricantes como Cisco,Allied Telesyn, Fortinet e Vmware.

3 Certificações VCP 4 Vmware Certified Professional 4.0 VCP 3 Vmware Certified Professional 3.0 ITIL v3 Foundation CCNP - Cisco Certified Network Professional CCDP - Cisco Certified Design Professional CCVP - Cisco Certified Voice Professional CCSP - Cisco Certified Security Professional CCNA - Cisco Certified Network Associate CCDA - Cisco Certified Design Associate CAWDS Cisco Advanced Wireless Design Specialist CAWFS Cisco Advanced Wireless Field Specialist CISS - Cisco Information Security Specialist CIOSSS - Cisco IOS Security Specialist CFWS - Cisco Firewall Specialist CIPSS - Cisco IPS Specialist FCNSA- Fortinet Certified Network Security Administrator FCNSP- Fortinet Certified Network Security Professional CAIR Certified Allied installation Router CAIS Certified Allied installation switch CASE Certified Allied system engineer 4011 Recognition - CNSS (Committee on National Security Systems) 4013 Recognition CNSS (Committee on National Security Systems)

4 Firewall (em português: muro corta-fogo) é o nome dado ao dispositivo de uma rede de computadores que tem por objetivo aplicar uma política de segurança a um determinado ponto de controle da rede. Sua função consiste em regular o tráfego de dados entre redes distintas e impedir a transmissão e/ou recepção de acessos nocivos ou não autorizados de uma rede para outra. Este conceito inclui os equipamentos de filtros de pacotes e de proxy de aplicações, comumente associados a redes TCP/IP.

5 Formas de Implementação Hardware (Appliance) ASA/PIX -Cisco Fortigate Fortinet Netscreen - Juniper Software IPTABLES - Linux FW1 Checkpoint Etrust CA ISA SERVER - Microsoft

6 Primeira geração Filtro de pacote A tecnologia foi disseminada em 1988 através de pesquisa sustentada pela DEC Bill Cheswick e Steve Bellovin da AT&T desenvolvem o primeiro modelo para prova de conceito Analise do cabeçalho IP / TCP e UDP Atualmente conhecido como ACL

7 Analise do filtro de pacote

8 Firewall de segunda geração A tecnologia foi disseminada a partir de estudo desenvolvido no começo dos anos 90 pelo Bell Labs Analise dos estados da conexão do TCP Alem de IP / PORTA analisa: ESTABILISHED ACK SYN FIN e etc.

9 Analise da conexão

10 Terceira geração Firewall de aplicação Conhecido também proxy Protocolos: HTTP / HTTPS FTP DNS H323 SIP

11 Modem Bank TCP porta 1720 setup Modem Bank Protocolo H GW1 GW Frame Relay * 8 # * 8 # Gateway FXS \24 Gateway FXS \24 TCP porta 1720 Alerting TCP porta 1720 Connect H.225 Endereço H :8999

12 Exemplo H323

13 1 2 3 Modem Bank Modem Bank Protocolo SIP 3344 GW1 GW Frame Relay * 8 # * 8 # Gateway FXS \24 Gateway FXS \24 Invite 3344@ C=IN IP M=áudio RTP/AVP OK ACK Porta G.711

14 Exemplo - SIP

15 Quarta geração Deep Inspection Combinação de Firewall + IPS

16 Quinta geração UTM Inspeção completa Firewall Antivírus Webfilter IPS Antispan

17 Evolução da Segurança de rede INTELLIGENCE & THREAT COVERAGE Stateful Inspection Complete Content Protection Deep Packet Inspection Spam Inappropriate Web Content Worms Trojans Viruses Sophisticated Intrusions Denial of Service Attacks Simple intrusions

18 Firewall não analisa o conteudo dos Pacotes STATEFUL INSPECTION FIREWALL Inspects packet headers only i.e. looks at the envelope, but not at what s contained inside DATA PACKETS Four score and BAD CONTENT our forefathers brou ght forth upon this continent a new nation, n liberty, and dedicated to the proposition that all Not Scanned OK OK OK OK Packet headers (TO, FROM, TYPE OF DATA, etc.) Packet payload (data)

19 Deep Inspection DEEP PACKET INSPECTION Performs a packet-by-packet inspection of contents but can easily miss complex attacks that span multiple packets Undetected OK Four score and BAD CONTENT our forefathers brou! ght forth upon this continent a new nation, OK n liberty, and dedicated to the proposition that all OK

20 COMPLETE CONTENT PROTECTION COMPLETE CONTENT PROTECTION 1. Reassemble packets into content Four score and BAD CONTENT our forefathers brou ght forth upon this continent a new nation, n liberty, and dedicated to the proposition that all DISALLOWED CONTENT BAD CONTENT BAD CONTENT NASTY THINGS NASTIER THINGS Four score and seven years ago our forefathers brought forth upon this BAD CONTENT a new liberty, and dedicated to the proposition!!!! that all ATTACK SIGNATURES 2. Compare against disallowed content and attack lists

21 Complete Content Protection Requires Enormous Processing Power PROCESSING POWER REQUIRED Stateful Inspection Complete Content Protection Deep Packet Inspection Spam Inappropriate Web Content Worms Trojans Viruses Sophisticated Intrusions Denial of Service Attacks Simple Intrusions

22 Firewall Técnicas Avançadas de Detecção A tecnologia de detecção da Fortinet envolve o passado Stateful Inspection Application Inspection Deep Packet Inspection Inovando com Full Content Inspection & Activity Inspection com remontagem de conteúdo

23 O que precisamos então?

24 Uma Nova arquitetura de segurança Firewall Antivirus IPS Antispam Web filters VPN VPN IPS Firewall Servers Antivirus Antispam URL Filters Users

25 Soluções multiplas aumenta a complexidade de gerenciamento Vantagens Segurança em camadas VPN Real Disadvantages Nescessita de varios produtos Aumenta a complexidade da rede IPS Firewall Servers Antivirus Antispam URL Filters Users

26 Solução UTM Segurança em camadas Reduz o número de equipamento Simplifica o gerenciamento VPN IPS Firewall Servers Antivirus Antispam URL Filters Users

27 Mercado de UTM In 2008, UTM surpassed firewall market Fortinet Confidential

28 Mercado de UTM Other Fortinet 12.7% SonicWALL 43.9% 7.6% 10.6% Cisco Crossbeam Check Point 4.1% 4.8% 7.2% 9.3% Juniper Secure Computing Source: IDC, Dec. 2008

29 Comparativo FW/ VPN IPS AV Web filtering Antispam Access Control WAN Opt. FortiGate NetScreen OneSecure SSG (Trend, Kaspersky, Symantec, SurfControl) Neoteris Perabit 65xx blade ASA (Trend for AV) VPN-1 1 with SmartDefense UTM-1 IronPort MARS Zone Labs TZ & PRO appliances McAfee Websense security Homegrown products Acquired / OEM products

30 IDS Sistema de detecção de intrusos ou simplesmente IDS ( em inglês: Intrusion detection system) refere-se a meios técnicos de descobrir em uma rede quando esta está tendo acessos não autorizados que podem indicar a ação de um cracker ou até mesmo funcionários mal intencionados. Com o acentuado crescimento das tecnologias de infraestrutura tanto nos serviços quanto nos protocolos de rede torna-se cada vez mais difícil a implantação de sistema de detecção de intrusos. Esse fato está intimamente ligado não somente a velocidade com que as tecnologias avançam, mas principalmente com a complexidade dos meios que são utilizados para aumentar a segurança nas transmissões de dados.

31 Tipos de IDS/IPS HIDS Software no servidor e/ou estação NIDS Dispositivo na rede

32 HIDS

33 Funcionalidade do HIDS Monitoramento de registros Pode trabalhar em conjunto com antivírus Monitora software maliciosos Pode trabalhar com analise do comportamento da maquina

34 Exemplo de HIDS Cisco Security Agent - Cisco Forticlient - Fortinet Checkpoint endpoint security Checkpoint Symantec Endpoint Protection - Symantec

35 Arquitetura NIDS Arquitetura Sensor Coleta dados Identifica Ataques Duas placas de rede Monitoração Sem IP Dumb ou Stealth Console Consolida informações Analisa dados Client-Server / Web

36 IDS Realiza a detecção Elemento passivo Gera alerta Gera Log Pode enviar Reset para conexão TCP Analisa a copia do Trafego

37 Aonde colocar?

38 IPS Prevenção de intrusão Elemento ativo O trafego passa por ele Bloqueia o ataque

39 Arquitetura Hibrida

40 Tipos de IPS/IDS Assinatura Identidade do ataque Conteúdo do pacote Comportamento Inteligência artificial

41 Exemplo de assinatura Assinatura Snort: alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"web-iis unicode directory traversal attempt"; flow:to_server,established; content:"/..%c0%af../"; nocase; classtype:webapplicationattack; reference:cve,cve ; sid:981; rev:6;) Ação a ser tomada de acordo com a regra: alert Alertar e Logar log Somente logar pass Ignorar Block Bloquear

42 Exemplos IDS/IPS Snort Linux Dragon Enterasys TippingPoint HP Cisco IPS Cisco ISS Real Secure ISS Sourcefire

43 Honeypot Rede criada para invasão Pote de mel Atrair e enganar o inimigo Aprender as técnicas do inimigo Fora do ambiente de produção

44 Baixa Interação Honeypot é instalado em um sistema real. Emula serviços, aplicações e sistemas operacionais. Implementação mais simples com menos riscos ao ambiente. Invasores experientes podem identificar que estão em um honeypot. Ataques e ações não previstas podem não funcionar e não ser detectadas.

45 Exemplos Specter: honeypot comercial para Windows Pode simular até 13 tipos de sistema operacional Pode escutar até 14 portas e emular 7 serviços KFsensor: honeypot comercial para Windows Simulação de várias portas e serviços

46 SPECTER

47 Analise

48 Analise do incidente

49 Alta Interação Máquinas completas agindo como honeypots Funcionalidade ilimitada para o invasor Traz maior risco, uma vez que é possível perder o controle Mais difícil de ser identificado como honeypot pelo invasor

50 Honeynets Conjunto de um ou mais Honeypots Honeypots de Alta-Interação desenvolvidos para capturar pacotes e informações de ataques. Redes utilizadas como honeypots Diferentes sistemas: Windows, UNIX, Oracle, IIS, Apache, MSSQL etc. Trata-se de uma arquitetura não somente software.

51 Exemplo de topologia

52 Honeynet project Projeto com fins não lucrativos de um grupo de pesquisadores sobre o uso de honeypots. O trabalho do grupo rendeu outro livro, Know Your Enemy, onde são apresentadas análises de invasões capturadas durante o projeto. Inclui instruções para a montagem de honeynets.

53 Network Admission Control Controle de acesso a rede Verifica Antivírus Software instalados Patches de segurança Firewall Habilitados

54 Arquitetura CISCO

55 NAC - Checkpoint

56 Dúvidas