Firewall em estado ativo utilizando open-source software

Documentos relacionados

IPTABLES. Helder Nunes

Sistemas de Detecção de Intrusão

Segurança de Redes de Computadores

Usando o Nmap. A instalação do Nmap é bem simples. Após obter o código fonte execute os comandos abaixo: tar xjvpf nmap-3.48.tar.bz2 cd nmap-3.

Nmap Diferenças entre estados de porta (Parte 1)

Segurança de Redes. Funcionamento de um ataque. Varreduras Analisadores de vulnerabilidades. Levantamento de informações.

1 day Fri 08/04/11 Fri 08/04/11 Brunno Henrique;Cleon Xavier;Douglas Task

Segurança com Iptables

Ferramentas de varredura de segurança para GNU/Linux

genérico proteção de rede filtragem dos pacotes Sem estado (stateless) no próprio pacote. Com estado (stateful) outros pacotes

Segurança em Sistemas de Informação Tecnologias associadas a Firewall

O que é uma firewall? É um router entre uma rede privada e uma rede pública que filtra o tráfego com base num conjunto de regras.

Senha Admin. Nessa tela, você poderá trocar a senha do administrador para obter acesso ao NSControl. Inicialização

Palestra sobre Segurança de Redes - Windows NT

Firewalls. Firewalls

Segurança de Redes. Firewall. Filipe Raulino

Políticas de Segurança de Sistemas

Aula 08. Firewall. Prof. Roitier Campos Gonçalves

FTIN Formação Técnica em Informática Módulo de Administração de Servidores de Rede AULA 02. Prof. Gabriel Silva

Capítulo 4 TCP/IP FIREWALLS.

Instalação e Configuração Iptables ( Firewall)

Redes IP. M. Sc. Isac Ferreira Telecomunicações e Redes de Computadores: Tecnologias Convergentes

PROJETO DE IMPLEMENTAÇÃO DE UM SERVIDOR FIREWALL LIVRE UTILIZANDO IPTABLES

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1

(In)Segurança Virtual. Técnicas de Ataque e Defesa

Firewalls em Linux. Tutorial Básico. André Luiz Rodrigues Ferreira

Firewall. Professor: João Paulo de Brito Gonçalves Disciplina: Serviços de Redes. Campus Cachoeiro Curso Técnico em Informática

Redes de Computadores

Redes de Computadores. TCP Orientação à Conexão. Prof. Othon M. N. Batista Mestre em Informática

Tiago Jun Nakamura Analista de Desenvolvimento São Paulo, SP 13 de maio de 2015

Capítulo 8 - Aplicações em Redes

Metodologia de Monitoração

Procedimentos para Configuração de Redirecionamento de Portas

BRUNO PEREIRA PONTES

Projeto e Instalação de Servidores Servidores Linux Aula 6 Firewall e Proxy

Segurança de redes com Linux. Everson Scherrer Borges Willen Borges de Deus

Atividade PT 5.3.4: Configurando ACLs estendidas Diagrama de topologia

Redes de Computadores

Cartilha de Segurança para Internet

Oficina de ferramentas de Gerência para Redes em Linux

Tratamento de Incidentes de Segurança na Internet Br pelo NBSO

Ricardo Lino Olonca. Novatec

ll a w ire F e ota Filho ai s d a m as, SP, 06 m pin Cam iste S João Eriberto M Eriberto mai. 14

Hackers. Seus dados podem ser inúteis, mas seu computador em si pode ainda ser um recurso valioso.

Capítulo 9: Listas de Controle de Acesso

Obs: Endereços de Rede. Firewall em Linux Kernel 2.4 em diante. Obs: Padrões em Intranet. Instalando Interface de Rede.

Ferramenta de. Humberto Sartini

Uso de Honeypots de Baixa Interatividade na Resposta a Incidentes de Segurança

5º Semestre. AULA 02 Introdução a Gerência de Redes (Arquitetura e Áreas de Gerenciamento)

Desafios do IPv6 para profissionais de segurança

Curso de extensão em Administração de sistemas GNU/Linux: redes e serviços

Algumas das características listada nela:

Relatório do 2º Guião Laboratorial de Avaliação: Encaminhamento de pacotes. Licenciatura: ETI Turma : ETC1 Grupo : rd2_t3_02 Data: 30/10/2009

Características de Firewalls

Firewall. Alunos: Hélio Cândido Andersson Sales

Aula Prática Roteador

1. DHCP a. Reserva de IP

Configurando o DDNS Management System

Servidor proxy - Squid PROFESSOR : RENATO WILLIAM

U3 Sistemas Análise e Desenvolvimento de Softwares ===== Manual de Rede Interna ===== Manual. Rede Interna

ConfigServer Firewall Instalando e Configurando Básico

External Milestone. Manual Summary Rollup Split. Inactive Task. Start-only Finish-only Project Summary. Inactive Milestone Inactive Summary

A IMPORTÂNCIA DE FIREWALL S PARA AMBIENTES CORPORATIVOS

Segurança na Rede Local Redes de Computadores

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Elaboração de Script de Firewall de Fácil administração

Segurança da Informação

Winconnection 6. Internet Gateway

Centro de Inteligência em Tecnologia da Informação e Segurança Tutorial Ammyy admin

Gerência e Administração de Redes

e Uso Abusivo da Rede

NTP. Instalação e Configuração. Centro de Atendimento a Incidentes de Segurança - CAIS. Novembro de 1998 NTP PAL0102 PAL RNP

Redes de computadores

Entendendo como funciona o NAT

Procedimentos para configuração de Filters

Os equipamentos multifuncionais devem possuir digitalizador (scanner) com as seguintes características mínimas:

Uso de Flows no Tratamento de Incidentes da Unicamp

Rede de Computadores

Guia de Conectividade Worldspan Go Res! A V A N Ç A D O

Ajuda das opções Fiery 1.3 (cliente)

MANUAL DE CONFIGURAÇÃO

Proposta de Implementação de uma Honeypot para Detecção de Vulnerabilidades

Redes de Computadores. 1 Questões de múltipla escolha. TE090 - Prof. Pedroso. 17 de junho de 2015

Procedimentos para configurar o Motion Detection no D-ViewCam 1 Para configurar o Motion Detection no D-ViewCam, é necessário que a câmera IP esteja

Ajuda das opções Fiery 1.3 (servidor)

Curso Firewall. Sobre o Curso de Firewall. Conteúdo do Curso

Ferramentas Livres para Monitoramento de Redes

OS endereços IP v.4 consistem em 4 octetos separados por pontos. Estes endereços foram separados

CCNA 2 Conceitos Básicos de Roteadores e Roteamento

Transcrição:

Firewall em estado ativo utilizando open-source software Dagoberto Carvalio Junior Instituto de Ciências Matemáticas e de Computação dago@icmc.usp.br

Primeira Ação de um Cracker Estatisticamente os crackers mapeiam portas para realizar um determinado ataque (precursor). Para verificar a ação de um portscanner o administrador deverá checar os logs do sistema. O ideal é ter um IPS que realize o bloqueio automático do atacante que realizar um portscanner

Sobre o PortSentry PortSentry é uma aplicação muito simples de ser utilizada, barrando portscanners e outras tentativas de burlar sua segurança. PortSentry foi desenvolvido pelo pessoal da Psionic.com, que hoje faz parte da Cisco Systems. http://newsroom.cisco.com/dlls/corp_102202.html

Sobre o Portsentry Parte do projeto Sentry Tools, que tem além dele o LogCheck. Sentry Tools veio para ajudar usuários e administradores que não tem muita experiência em segurança de informática. Recomendo uma visita ao site do projeto: http://sourceforge.net/projects/sentrytools/

Teoria do PortSentry O PortSentry analisa porta TCP e UDP. Vários métodos de descoberta de portas são detectados pelo PortSentry, inclusive métodos avançados do nmap.

Teoria do PortSentry Método Conecte Scan

Teoria do PortSentry Método SYN Scan

Teoria do PortSentry Método FIN Scan

Teoria do PortSentry NULL scans Uso de pacotes sem o uso de nenhuma flag, retorna RST. XMAS scans Uso de pacotes com flags FIN, URG e PUSH no cabeçalho TCP, retorna RST. FULL-XMAS scan Uso de pacotes com todas as flags, pacote nunca deveria ser encaminhado, retorna RST. UDP scan O scan é detectado através de múltiplos pacotes UDPs originados do mesmo IP.

Configuração do PortSentry Como configurar? portsentry.conf. TCP_PORTS="1,11,15,79,111,119,143,540,635,1080,1524,2000,5742,[..]" UDP_PORTS="1,7,9,69,161,162,513,635,640,641,700,37444,34555,[..]" NÃO DEVEM SER INSERIDAS AS PORTAS VERDADEIRAS DO SEU SISTEMA!

Configuração do PortSentry Ações do PortSentry. IGNORE_FILE="/usr/local/psionic/portsentry/portsentry.ignore" ignora os ip s de estão listados HISTORY_FILE="/usr/local/psionic/portsentry/portsentry.history cria um histórico dos bloqueios BLOCKED_FILE="/usr/local/psionic/portsentry/portsentry.blocked lista negra dos ip s bloqueados

Configuração do PortSentry Como criar regra de bloqueio? KILL_ROUTE. Esta função como já diz o nome, cria uma regra de bloqueio do atacante. Se for Linux: KILL_ROUTE="/usr/local/sbin/iptables -I INPUT -s $TARGET$ -j DROP" TCP Wrappers: KILL_HOSTS_DENY="ALL: $TARGET$ # PortSentry blocked" External Command! Essa parte permite você realizar um comando externo ao PortSentry para reagir ao ataque ou para escrever algum log especial. Bom para a função Mail. KILL_RUN_CMD="/some/path/here/script $TARGET$ $PORT$"

PortSentry no ICMC Utilizamos o PortSentry desde 2003. Foram criadas 3572 regras no firewall de forma automática no ano de 2005. Utilizamos como router o FreeBSD.

PortSentry no ICMC Descritivo de Port Scanner por Dias da Semana Quantidade de Bloqueios 900 800 700 600 500 400 300 200 100 0 Sun, Mon, Tue, Wed, Thu, Fri, Sat, Dias Semanais

PortSentry no ICMC Descritivo de Port Scanner por Dias do Mês 300 250 Quantidade de Bloqueios 200 150 100 50 0 1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 Dias

PortSentry no ICMC Descritivo de Port Scanner por Meses do Ano Quantidade de Bloqueios 1000 900 800 700 600 500 400 300 200 100 0 Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec Meses

PortSentry no ICMC Evolutivo de Port Scanner por Portas Numeros de Port Scanner 1600 1400 1200 1000 800 600 400 200 0 1023 23 211 445 57 68 135 500 177 412 631 Outras Portas TCP

Topologia Lógica do PortSentry

Desafio Criar um BOX para gerar regras automáticas através do PortSentry e através do SNMP enviar as ACLs para Routers de diversos fabricantes.

Topologia Lógica - Desafio

Conclusão Esta ferramenta é muito útil e pode ser usada para complementar outras formas de segurança, basicamente ele barra a exploração da sua rede. Muito pouco falso positivo é gerado pelo PortSentry. Um desafio futuro é a inclusão das regras automáticas de bloqueio em roteadores pontuais através do protocolo snmp (Simple Network Management Protocol), como Cisco, Foundry e outros.