Redes de Computadores

Transcrição

1 8. Segurança de Rede DIN/CTC/UEM 2008

2 : o que é? Dispositivo que permite conectividade segura entre redes (interna e externa) com vários graus de confiabilidade Utilizado para implementar e impor as regras de comunicação e segurança da rede Oferece um ponto de acesso controlado

3 s podem: Restringir os tráfegos de entrada e saída por endereço IP, número de porta, ou usuário Impedir o trânsito de pacotes inválidos Coletar informações sobre o tráfego s não podem: Atuar sobre o tráfego que não passa por ele (exemplo, tráfego interno) Proteger quando configurados incorretamente Proteger contra vírus Proteger contra ameaças inesperadas (novas) Interno Proteção diferenciada de partes da rede interna

4 Duas poĺıtica de acesso: Permite todos os serviços exceto os bloqueados Proibe todos os serviços exceto os permitidos Primeira poĺıtica é menos segura e pode permitir inadvertidamente acesso para serviços perigosos Segunda poĺıtica é mais segura mas pode causar impacto/desconforto aos usuários Administrador deve encontrar a mistura apropriada que permita máxima segurança e mínima interferência para o usuário

5 Filtragem de pacotes Pacotes são verificados quando em trânsito Pacotes são analisados um a um Nenhuma informação de estado é armazenada Feita de modo transparente a usuários Autoriza todos ou nenhum Regras de filtragem podem conter: Endereço IP de origem ou destino Porta TCP/UDP origem ou destino Protocolos TCP, UDP, ICMP Tipo de mensagem ICMP Flags do TCP (ACK, SYN, FIN) Filtros não tratam protocolos da camada de aplicação Problemas: IP Spoofing Quando serviço troca de porta

6 Filtragem de pacotes Exemplos Regra Proibe tráfego UDP e Telnet Configuração Bloquear se campo IP protocol 17 e porta destino ou origem 23 Proibe clientes externos de Bloquear se entrada TCP ACK 0 estabelecer conexões TCP Proibe acesso externo a Internet Bloquear se saída qualquer IP e porta 80 Proibe conexões TCP de entrada Bloquear se entrada TCP SYN 1 qualquer IP exceto do servidor da cia. exceto e porta 80 Proibe rádio online Bloquear se entrada UDP exceto DNS e broadcast do roteador Previne smurf attack Bloquear se ICMP endereço broadcast (exemplo ) Previne aparição no traceroute Bloquear se saída ICMP

7 Filtragem de pacotes Access Control List (ACL) Lista de permisssões aplicadas de cima para baixo Exemplo: Endereço Porta Ação Origem Destino Prot. Origem Destino Flags Permite /16 / /16 TCP > qquer Permite / / /16 TCP 80 > 1023 ACK Permite /16 / /16 UDP > Permite / / /16 UDP 53 > 1023 Bloqueia qquer qquer qquer qquer qquer qquer

8 Filtragem de pacotes Vantagens Rápido, flexível e transparente Considerado uma alternativa barata Em geral necessita apenas configuração dos roteadores Desvantagens Vulnerável a spoofing de endereço e porta Poucos recursos de logging Praticamente imposível identificar quando rede está sob ataque Ausência de identificação de usuário forte Regras para filtragem podem ser complexas e podem provocar vulnerabilidade inconsciente RPC (remote procedure call), que atribui número de porta aleatóreamente, é difícil filtragem

9 Filtragem de sessão Filtragem dinâmica de pacotes que depende do estado da conexão Controle de acesso baseado no contexto Mantém o estado de cada conexão TCP e determina quais pacotes fazem sentido Termina conexões que estejam inativas por muito tempo Ofecere mais inteligência nas decisões quando comparado a filtragem simples de pacotes

10 Servidor de Proxy Recebem e encaminham as requisições dos usuários da rede Atuam em nome do usuário de forma transparente Não permitem trânsito direto de pacotes entre cliente e servidor Duplicam as comunicações que precisam ser feitas Mantém um registro de todas as conexões realizadas Devem entender as aplicações porque atuam como os 2 lados da conexão Utiliza recursos intensivamente Um processo por conexão Deixam passar apenas os serviços para os quais existe proxy

11 Servidor de Proxy e Filtro de pacotes Tomada de decisões Servidor de proxy: decisões baseadas no serviço Filtro de pacotes: decisões baseadas no cabeçalho do pacote Desempenho Filtro de pacotes atua em nível mais baixo Auditoria Servidor de proxy permite auditoria do tráfego

12 Arquitetura Dual Homed Máquina possui ao menos 2 placas de rede Vulnerabilidade proporcional ao número de aplicações rodando na máquina dual homed Apropriado para pequenas redes

13 Arquitetura Screened Host Componentes: screened router e bastion host Bastion host pode atuar como servidor de proxy Bastion host pode ser a única máquina que recebe conexões da rede externa Pode também permitir que outras máquinas abram conexões externas para determinados serviços

14 Arquitetura Screened Subnet Componentes: 2 screened routers e bastion host Acrescenta uma camada extra de segurança (a demilitarized zone DMZ) Bastion host pode atuar como servidor de proxy Maior parte da filtragem de pacotes ocorre no roteador interno