Sistemas Distribuídos

Documentos relacionados
Firewalls Reginaldo Campos 1

Firewall. Prof. Marciano dos Santos Dionizio

IX (PTT) Fórum 11 São Paulo, SP 04 de dezembro de 2017

IX Fórum Regional São Paulo, SP 10 de novembro de 2017

Firewalls. Carlos Gustavo A. da Rocha. ASSR

20º Fórum de Certificação para Produtos de Telecomunicações 30 de novembro de 2016 Campinas, SP

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini /

Execícios de Revisão Redes de Computadores Edgard Jamhour. Proxy, NAT Filtros de Pacotes

CEA463 SEGURANÇA E AUDITORIA DE SISTEMAS

Firewall. Professor: João Paulo de Brito Gonçalves Disciplina: Serviços de Redes. Campus Cachoeiro Curso Técnico em Informática

Firewall - Inspeção com estado. (Stateful Inspection)

Redes de Computadores Aula 23

Protocolos de Rede. Protocolos em camadas

IX Fórum de dezembro de 2016 São Paulo, SP

Tendências em Atividades Maliciosas na Internet Brasileira

Características de Firewalls

Segurança da Informação

PROJETO LÓGICO DE REDE

Internet. Informática para Secretariado 23/06/2015

Configuração do Servidor Gateway Firewall e DHCP

Segurança de Redes de Computadores

CURSO TÉCNICO EM INFORMÁTICA

Os três principais tipos de firewall são o filtro de pacotes, o filtro de pacotes com estado e o proxy.

VII Fórum da Internet no Brasil Rio de Janeiro, RJ 15 de novembro de 2017

O Que nos Mostram os Incidentes Atuais: Evolução ou Involução da Segurança nos últimos 20 anos?

Capacitação IPv6.br. Serviços em IPv6. Serviços rev

Criptografia e Certificação Digital Oitava Aula. Prof. Frederico Sauer, D.Sc.

Segurança da Informação p.1/25

INFORMÁTICA. Com o Professor: Rene Maas

Eduardo Barasal Morales Tiago Jun Nakamura Maputo, Moçambique 18/07/17-21/07/17

Redes de Computadores e Aplicações Camada de aplicação IGOR ALVES

INTERNET E SEGURANÇA DOS DADOS. Introdução a Computação e Engenharia de Software. Profa. Cynthia Pinheiro

A CASA DO SIMULADO DESAFIO QUESTÕES MINISSIMULADO 02/360

Estruturas de Comunicação de Dados Aula 3 Camadas de Aplicação e Transporte

genérico proteção de rede filtragem dos pacotes Sem estado (stateless) no próprio pacote. Com estado (stateful) outros pacotes

Firewalls. Firewalls

Trabalhando com Redes de Computadores - 2ª Edição Plano de Aula - 24 Aulas (Aulas de 1 Hora)

Guia Primeiros Passos da Bomgar B400

Introdução a Redes e a Internet. Introdução ao Computador 2010/01 Renan Manola

Webinário Informática INSS Prof. Paulo França

Segurança na Rede Estácio - II Semana de Informática - Out/05

Os vírus se espalham através de (MORIMOTO, 2011, p. 403):

Testes de Penetração: Força Bruta para Login em SSH

MITO OU VERDADE? 11/02/2013 MITO OU VERDADE? MITO OU VERDADE? MITO OU VERDADE? Dois antivírus funcionam melhor que um?

Você tem o controle da Internet na sua empresa? Gerencie melhor os seus usuários Filtro de conteúdo e Anti-Spam

BT Assure DDoS Mitigation

INTERNET P R O F. M A R C O A N T Ô N I O PROF. MARCO ANTÔNIO

FUNDAMENTOS DE REDES DE COMPUTADORES Unidade 5 Camada de Transporte e Aplicação. Luiz Leão

Serviço que permite acesso a documentos multimídia. As chamadas páginas da Web, os sites.

Comunicação em Rede e Internet. Computação Aplicada à Comunicação e Artes Carlos Eduardo Ba9sta

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini /

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP

CENTRO FEDERAL DE EDUCAÇÃO TECNOLÓGICA DO RIO GRANDE DO NORTE DEPARTAMENTO ACADÊMICO DE TECNOLOGIA DA INFORMAÇÃO

HoneyPot e HoneyNet. Reginaldo Campos Segurança em Redes de Computadores

Camada de Transporte Protocolos TCP e UDP

ENDEREÇAMENTO PRIVADO PROXY E NAT

Protocolos e Serviços de Redes

Firewalls. André Zúquete Segurança Informática e nas Organizações 1

Camada de Rede. Endereçamento de Rede Protocolo IP

Prof. Marcelo Cunha Parte 6

Redes de Computadores

A CASA DO SIMULADO DESAFIO QUESTÕES MINISSIMULADO 02/360


Segurança de redes com Linux. Everson Scherrer Borges Willen Borges de Deus

Firewall. Andrei Jean Fabio Garzarella William Passig

Nível de segurança de uma VPN

Segurança em Sistemas Informáticos. Denial of Service

Kaspersky Open Space Security

4 o Fórum Brasileiro de CSIRTs 17 e 18 de setembro de 2015 São Paulo, SP

Redes de Comunicação de Dados

Redes de Computadores e Internet

Execícios de Revisão Redes de Computadores Edgard Jamhour. Proxy, NAT Filtros de Pacotes

MÓDULO 8 Modelo de Referência TCP/IP

DoS, DDoS & Botnets. Alunos: Lucas Gomes, Marcos Seefelder, Vinicius Campos Professor: Otto Carlos Muniz Bandeira Duarte

HLBR: Um IPS invisível para a segurança em redes de computadores. João Eriberto Mota Filho (Comando do Exército Brasileiro)

TECNOLOGIA WEB INTERNET PROTOCOLOS

Trabalhando com Redes de Computadores Plano de Aula - 24 Aulas (Aulas de 1 Hora)

P L A N O D E D I S C I P L I N A

Execícios de Revisão Redes de Computadores Edgard Jamhour. Filtros de Pacotes Criptografia SSL

Segurança da Informação

Campus Capivari Técnico em Manutenção e Suporte em Informática Prof. André Luís Belini /

SEGURANÇA APLICADA MATERIAL 19

Política de Segurança de Informações

Operations Research Serviços de Redes

Lista de exercícios - 1º bimestre 2016 REDES

PROCESSO SELETIVO EDITAL 001/2017

Firewalls. André Zúquete, João Paulo Barraca SEGURANÇA INFORMÁTICA E NAS ORGANIZAÇÕES 1

SISTEMAS OPERACIONAIS DE REDE

Sistemas de Detecção de Intrusão

REDES DE COMPUTADORES

Ataques para obtenção de informações

Resumo P2. Internet e Arquitetura TCP/IP


Transcrição:

Sistemas Distribuídos Segurança Prof. Emerson Ribeiro de Mello Instituto Federal de Santa Catarina IFSC campus São José mello@ifsc.edu.br http://docente.ifsc.edu.br/mello 9 de dezembro de 2015 1/35

Ataques mais frequentes e graves do último ano 2/35

Ataques mais frequentes e graves do último ano Levantamento do cert.br Força bruta no SSH e Wordpress (também em RDP, VNC, FTP, POP3) Servidores web com CMS (Joomla, Wordpress, Drupal, etc.) Desfiguração e hospedagem de malware ou páginas falsas (phishing) Zumbi para gerar DDoS ou minerar bitcoins Boletos bancários alterados malware na máquina, página falsa para 2a. via 2/35

Governo Chinês - O grande irmão! Quando alguém tenta acessar icloud.com ou live.com é redirecionado para um site falso do governo Ataque do homem no meio main-in-the-middle A maioria dos navegadores web dispara o famoso alerta certificado inválido Qihoo, o navegador mais popular na China, não dá qualquer dica que tem algo errado 3/35

Ataques envolvendo DNS no lado dos clientes Objetivo: apontar para um servidor de DNS malicioso Em modems/roteadores SOHO de banda larga força bruta via telnet, ssh, backdoor do fabricante 15/10/13 - D-Link assume backdoors http://goo.gl/ojruyn iframe em páginas maliciosas para alterar o DNS destes dispositivos 1 <iframe height=0 width=0 name="cantseeme"></iframe> 2 <form name="csrf_form" action="http://192.168.1.1/goform/ AdvSetDns" method="post" target="cantseeme"> 3 <img src="http://admin:admin@ip_vitima/dnscfg.cgi?dnsprimary =64.186.158.42&dnsSecondary=64.186.146.68&dnsDynamic=0& dnsrefresh=1" border=0 width=0 height=0> 4/35

Ataques envolvendo DNS no lado dos servidores Servidores DNS de ISP recursivos respondendo incorretamente como autoridade flag aa - authoritative answer 4 dig @IP-DNS-PROVEDOR www.vitima.br 5... 6 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL:! 5/35

DrDoS - Amplificação de DNS 53/UDP Também tem com NTP, SNMP Só são possíveis porque as redes permitem spoofing http://bcp.nic.br/antispoofing 6/35

Internet das coisas Carga de firmware malicioso via rede ou malware no computador do usuário Modems, roteadores, etc SOHO Phishing hospedado em CFTV da Intelbras Mineração de bitcoin em NAS Synology Site falso (phishing) de um banco que orientava a instalar um aplicativo Android para gerar senhas para acesso ao banco http://goo.gl/qugbeu 7/35

Uso de chaves fracas em dispositivos de rede https://factorable.net Chaves criptográficas RSA e DSA (usadas no TLS ou SSH) geradas sem aaleatoriedadenecessária Gerador de números aleatórios no Linux /dev/random Aleatoriedade de alta qualidade Fica bloqueado se a entropia disponível for insuficiente /dev/urandom Gera números pseudo-aleatórios Nunca bloqueia /dev/urandom pode ser usado em tudo, exceto na geração de chaves de longa duração, como no GPG, SSL ou SSH man urandom 8/35

Uso de chaves fracas em dispositivos de rede https://factorable.net Dropbear cliente e servidor SSH Substituto do OpenSSH para ambientes com pouco poder de processamento e memória sistemas embarcados Comentário no código fonte Usaremos /dev/urandom, uma vez que o /dev/random incomoda muito Chave padrão distribuída em diversos dispositivos 9/35

Ataque SYN flood Não responde com ACK o SYN-ACK IP de origem forjado (IP spoofing) Uma solução: Syncookies 10/35

Slowloris migrando ataque para a camada de aplicação Alvo: servidor web baseado em conexões, p.e. Apache HTTP Atacante não precisa de muito recurso (rede e processamento) 11/35

Honeypots e Honeynets Honeypot Recurso computacional projetado para ser sondado, atacado ou comprometido Baixa interatividade, pois emula sistemas operacionais e serviços Honeynet Honeypot de alta interatividade, consiste de uma rede projetada para ser comprometida Possui outros mecanismos de controle para evitar que o sistema atacado gere ataques para outras máquinas 12/35

Honeypots e Honeynets Honeypot Recurso computacional projetado para ser sondado, atacado ou comprometido Baixa interatividade, pois emula sistemas operacionais e serviços Honeynet Honeypot de alta interatividade, consiste de uma rede projetada para ser comprometida Possui outros mecanismos de controle para evitar que o sistema atacado gere ataques para outras máquinas Regra de ouro O atacante não pode saber que está em uma honeynet 12/35

Honeypots e Honeynets Características Honeypot Honeynet instalação fácil difícil manutenção fácil trabalhosa risco de comprometimento baixo alto obtenção de informações limitada extensiva necessidade de mecanismos de contenção não sim atacante tem acesso ao S.O real não (em teoria) sim aplicações e serviços oferecidos emulados reais atacante pode comprometer o honeypot não (em teoria) sim www.cert.br/docs/whitepapers/honeypots-honeynets/ 13/35

Conceitos sobre Firewall 14/35

Firewall Definição convencional: Parede corta fogo Dispositivo feito de material a prova de fogo para evitar que o fogo se espalhe de uma parte do edifício para outra 14/35

Firewall Definição convencional: Parede corta fogo Dispositivo feito de material a prova de fogo para evitar que o fogo se espalhe de uma parte do edifício para outra Definição para sistemas computacionais Ponto de controle que mantém acessos não autorizados fora do perímetro de segurança, ao mesmo tempo possibilita acesso aos sistemas externos Atua como uma barreira de segurança entre a rede interna e o mundo exterior Evita que potenciais vulnerabilidades de serviços sejam exploradas Nenhum software complexo é 100% seguro Pode ser classificado como firewall de máquina ou de rede 14/35

Firewall de máquina (ou Firewall pessoal) Perímetro de segurança: A própria máquina Analisa todo o tráfego entrante e sainte Uma forma de proteção contra spywares, máquinaszumbis As regras podem seguir uma poĺıtica de segurança da organização (mais seguro) ou o próprio usuário pode definir suas regras (menos seguro) Exemplo: Firewall do Microsoft Windows 15/35

Firewall de máquina (ou Firewall pessoal) Perímetro de segurança: A própria máquina Analisa todo o tráfego entrante e sainte Uma forma de proteção contra spywares, máquinaszumbis As regras podem seguir uma poĺıtica de segurança da organização (mais seguro) ou o próprio usuário pode definir suas regras (menos seguro) Exemplo: Firewall do Microsoft Windows 15/35

Firewall de rede Perímetro de segurança: rede local da organização Todo o tráfego de dentro para fora, e vice-versa, deverá passar pelo Firewall Somente o tráfego autorizado, definido pela poĺıtica de segurança local, deverá ter permissão para passar O próprio Firewall deverá ser imune a invasões Implica na utilização de um sistema confiável, com um sistema operacional seguro e rodando um conjunto mínimo de serviços 16/35

Características de um firewall de rede Ponto único de controle garante uma maior segurança da rede Mesmo que máquinas de clientes não estejam plenamente seguras Um bom local para realizar Traduções de Endereços de Rede (NAT) e registro do tráfego Não protege contra ataques oriundos da rede interna Não evita que máquinas internas façam uso de modems (3G) e se conectem à rede externa 17/35

Características de um firewall de rede Ponto único de controle garante uma maior segurança da rede Mesmo que máquinas de clientes não estejam plenamente seguras Um bom local para realizar Traduções de Endereços de Rede (NAT) e registro do tráfego Não protege contra ataques oriundos da rede interna Não evita que máquinas internas façam uso de modems (3G) e se conectem à rede externa Firewall pessoal + Firewall rede Se o firewall de rede protege contra ataques oriundos da rede externa, o firewall pessoal pode proteger contra ataques originados dentro da rede local 17/35

Tipos de firewall 18/35

Tipos de Firewall Filtro de pacotes (camada de rede) Se preocupa com endereço IP de origem/destino, porta de origem/destino, protocolo utilizado Geralmente combinado com roteador Inspeção de estado (camada de transporte) Não filtram pacotes individuais, o filtro é baseado em regras de sessões Gateway no nível de aplicação O tráfego é analisado na camada de aplicação Híbridos 18/35

Filtro de pacotes Atua na camada de rede e não se preocupa com o conteúdo dos pacotes Analisa todo datagrama que passa por este e decide se serão descartados ou encaminhados Endereço IP de origem e de destino Porta de origem e de destino Interface de entrada e de saída Protocolo TCP, UDP ou ICMP 19/35

Filtro de pacotes Exemplos Poĺıtica Configuração do firewall 20/35

Filtro de pacotes Exemplos Poĺıtica Máquinas de usuários não podem gerar SPAM Configuração do firewall Descarte todos pacotes saintes com destino a porta 25 20/35

Filtro de pacotes Exemplos Poĺıtica Máquinas de usuários não podem gerar SPAM Máquinas internas não podem ser acessadas remotamente Configuração do firewall Descarte todos pacotes saintes com destino a porta 25 Descarte pacotes destinados as portas do SSH, VNC, RDesktop 20/35

Filtro de pacotes Exemplos Poĺıtica Máquinas de usuários não podem gerar SPAM Máquinas internas não podem ser acessadas remotamente Usuários podem navegar na web Configuração do firewall Descarte todos pacotes saintes com destino a porta 25 Descarte pacotes destinados as portas do SSH, VNC, RDesktop Permita o tráfego sainte para as portas 80 e 443 20/35

Inspeção de estado Atua na camada de transporte (camada 4) Não analisa pacotes individuais Mantém estado de todas as conexões que passam por este Consegue determinar se um pacote faz parte de uma conexão existente ou de uma nova conexão TCP Flags: SYN,ACK... 7 172.18.0.4 172.18.0.10 8 9 SYN 10 (41143) ------------------> (1234) 11 SYN, ACK 12 (41143) <------------------ (1234) 13 ACK 14 (41143) ------------------> (1234) 15 PSH, ACK - Len: 3 16 (41143) ------------------> (1234) 17 ACK 18 (41143) <------------------ (1234) 19 PSH, ACK - Len: 6 20 (41143) <------------------ (1234) 21 ACK 22 (41143) ------------------> (1234) 23 FIN, ACK 24 (41143) ------------------> (1234) 25 FIN, ACK 26 (41143) <------------------ (1234) 27 ACK 28 (41143) ------------------> (1234) 21/35

Gateway no nível de aplicação Atua na camada de aplicação (camada 7), examinando o conteúdo dos pacotes Permite um controle mais granular que aquele presente nos filtros de pacotes e de sessões Ex: Aos usuários internos não é permitido baixar arquivos.exe Pode ser combinado com antivírus Consome uma carga maior de processamento se comparado a outros filtros A conexão entre clientes e servidores é sempre intermediada 1 Pacotes originados pelos clientes param no gateway, onde são analisados 2 Se estiverem de acordo, o gateway inicia uma conexão com o servidor externo 22/35

Comparativo entre os tipos de firewall Filtro de pacotes Inspeção de estados Gateway de aplicação 23/35

Comparativo entre os tipos de firewall Filtro de pacotes Vantagens Com regras simples é possível se proteger da maioria das ameaças de segurança Desvantagens Segurança vs facilidade para usuários Inspeção de estados Gateway de aplicação 23/35

Comparativo entre os tipos de firewall Filtro de pacotes Vantagens Com regras simples é possível se proteger da maioria das ameaças de segurança Desvantagens Segurança vs facilidade para usuários Inspeção de estados Vantagens Evita ataques mais elaborados; facilidade para usuários Desvantagens Aplicações UDP não são atendidas Gateway de aplicação 23/35

Comparativo entre os tipos de firewall Filtro de pacotes Vantagens Com regras simples é possível se proteger da maioria das ameaças de segurança Desvantagens Segurança vs facilidade para usuários Inspeção de estados Vantagens Evita ataques mais elaborados; facilidade para usuários Desvantagens Aplicações UDP não são atendidas Gateway de aplicação Vantagens Filtro granular baseado em conteúdo; cache; autenticação de usuários Desvantagens Nem todas aplicações funcionam com este; desempenho 23/35

Comparativo entre os tipos de firewall Filtro de pacotes Vantagens Com regras simples é possível se proteger da maioria das ameaças de segurança Desvantagens Segurança vs facilidade para usuários Inspeção de estados Vantagens Evita ataques mais elaborados; facilidade para usuários Desvantagens Aplicações UDP não são atendidas Gateway de aplicação Vantagens Filtro granular baseado em conteúdo; cache; autenticação de usuários Desvantagens Nem todas aplicações funcionam com este; desempenho A combinação destes se mostra como uma boa solução 23/35

Projetos de firewall 24/35

Estratégias de configuração 24/35

Estratégias de configuração Estratégia Descrição Local Instalado em cada máquina individual Roteador/Firewall Uma única máquina para roteamento e filtragem de pacotes Firewall com 2 interfaces Intermedia a conexão entre a LAN e o roteador Firewall com subredes Máquinas da rede interna são alocadas em diferentes subredes 2 Firewalls com subredes Separação de tarefas por 2 firewalls 24/35

Estratégia: Local 25/35

Estratégia: Local 25/35

Estratégia: Local 25/35

Estratégia: Roteador/Firewall 26/35

Estratégia: Firewall com 2 interfaces 27/35

Estratégia: Firewall com subredes 28/35

Estratégia: 2 Firewalls com subredes 29/35

Estratégia: Estação bastião Uma estação especial com poucas aplicações em execução, projetada e configurada para resistir a ataques Servidores proxy (SOCKS, HTTP, RTP, etc.) Somente pacotes oriundos e destinados a esta máquina podem passar pelo firewall 30/35

Perímetros de segurança 31/35

Organização da rede 1 Somente com estações de trabalho Residencias e pequenas empresas 31/35

Organização da rede 1 Somente com estações de trabalho Residencias e pequenas empresas 2 Estações e servidores internos Servidor de impressão, arquivos, etc. 31/35

Organização da rede 1 Somente com estações de trabalho Residencias e pequenas empresas 2 Estações e servidores internos Servidor de impressão, arquivos, etc. 3 Estações, servidores internos e externos WWW, SMTP, DNS, POP, IMAP, etc. 31/35

Organização da rede 1 Somente com estações de trabalho Residencias e pequenas empresas 2 Estações e servidores internos Servidor de impressão, arquivos, etc. 3 Estações, servidores internos e externos WWW, SMTP, DNS, POP, IMAP, etc. Como oferecer serviços externos sem que isto resulte em ameaças para a rede interna? 31/35

DMZ Zona desmilitarizada Segmento de rede tratado como zona neutra entre faixas em conflito (rede local e Internet) Local ideal para disponibilizar serviços que podem ser acessados tanto por máquinas da rede local como da rede externa (Internet) Exemplo: DNS, WWW, SMTP Parte-se do pressuposto que as máquinas ali presentes seguem a risca a poĺıtica de segurança e estão sempre com as últimas atualizações de segurança Roda um conjunto mínimo de serviços Principal objetivo Proteger a rede interna contra ataques oriundos dos servidores externos, caso estes sejam comprometidos 32/35

DMZ Zona desmilitarizada 33/35

Replicar serviços pela DMZ e rede local Replicar serviços pela rede local e DMZ garante que se o servidor na DMZ for comprometido, isto não irá afetar os usuários da rede local Exemplo: Servidor de DNS apontando para máquinas maliciosas 34/35

Material para conscientização sobre segurança Cartilha de Segurança para Internet http://cartilha.cert.br Site Antispam.br http://antispam.br Portal InternetSegura.br http://internetsegura.br 35/35

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback