(Microsoft PowerPoint - Dispositivos de seguran\347a.ppt [Somente
Transcrição
(Microsoft PowerPoint - Dispositivos de seguran\347a.ppt [Somente
Dispositivos de segurança [email protected] Apresentação Alessandro Coneglian Bianchini exerce a função de engenheiro na NEC Brasil, atuando na elaboração de projetos e implantação de VoIP, Wireless, Redes e Segurança da informação; formado em engenharia elétrica com ênfase em telecomunicações pela Escola de Engenharia Mauá-SP, pós-graduado em segurança da informação pelo IBTA-SP e também pós-graduado em engenharia de rede e sistema de telecomunicações pelo INATEL-MG; Possui certificações de fabricantes como Cisco,Allied Telesyn, Fortinet e Vmware. Certificações VCP 4– Vmware Certified Professional 4.0 VCP 3– Vmware Certified Professional 3.0 ITIL v3 Foundation CCNP - Cisco Certified Network Professional CCDP - Cisco Certified Design Professional CCVP - Cisco Certified Voice Professional CCSP - Cisco Certified Security Professional CCNA - Cisco Certified Network Associate CCDA - Cisco Certified Design Associate CAWDS – Cisco Advanced Wireless Design Specialist CAWFS – Cisco Advanced Wireless Field Specialist CISS - Cisco Information Security Specialist CIOSSS - Cisco IOS Security Specialist CFWS - Cisco Firewall Specialist CIPSS - Cisco IPS Specialist FCNSA- Fortinet Certified Network Security Administrator FCNSP- Fortinet Certified Network Security Professional CAIR – Certified Allied installation Router CAIS – Certified Allied installation switch CASE – Certified Allied system engineer 4011 Recognition - CNSS (Committee on National Security Systems) 4013 Recognition – CNSS (Committee on National Security Systems) Firewall (em português: muro corta-fogo) é o nome dado ao dispositivo de uma rede de computadores que tem por objetivo aplicar uma política de segurança a um determinado ponto de controle da rede. Sua função consiste em regular o tráfego de dados entre redes distintas e impedir a transmissão e/ou recepção de acessos nocivos ou não autorizados de uma rede para outra. Este conceito inclui os equipamentos de filtros de pacotes e de proxy de aplicações, comumente associados a redes TCP/IP. Formas de Implementação Hardware (Appliance) ASA/PIX -Cisco Fortigate –Fortinet Netscreen - Juniper Software IPTABLES - Linux FW1 – Checkpoint Etrust – CA ISA SERVER - Microsoft Primeira geração Filtro de pacote A tecnologia foi disseminada em 1988 através de pesquisa sustentada pela DEC Bill Cheswick e Steve Bellovin da AT&T desenvolvem o primeiro modelo para prova de conceito Analise do cabeçalho IP / TCP e UDP Atualmente conhecido como ACL Analise do filtro de pacote Firewall de segunda geração A tecnologia foi disseminada a partir de estudo desenvolvido no começo dos anos 90 pelo Bell Labs Analise dos estados da conexão do TCP Alem de IP / PORTA analisa: ESTABILISHED ACK SYN FIN e etc. Analise da conexão Terceira geração Firewall de aplicação Conhecido também proxy Protocolos: HTTP FTP DNS H323 SIP / HTTPS Protocolo H323 3344 GW1 1 2 3 4 5 6 7 8 9 8 # * GW2 Frame Relay 1 2 4 5 Modem Ba nk Modem Bank Gateway FXS 192.168.1.2\24 3 6 7 8 9 8 # * Gateway FXS 192.168.2.2\24 TCP por ta 1720 –set u lerting A – 0 2 7 1 a t TCP por onnect C – 0 2 7 1 TCP porta Endereço H.245 192.168.2.2:8999 p H.225 Exemplo – H323 Protocolo SIP 3344 GW1 1 2 Frame Relay 3 4 5 6 7 8 9 8 # * GW2 1 2 4 5 Modem Ba nk Modem Bank Gateway FXS 192.168.1.2\24 Gateway FXS 192.168.2.2\24 Invite [email protected] C=IN IP4 192.168.1.2 M=áudio 49170 RTP/AVP 200 -OK ACK Porta 49170 G.711 0 3 6 7 8 9 8 # * Exemplo - SIP Quarta geração Deep Inspection Combinação de Firewall + IPS Quinta geração UTM – Inspeção completa Firewall Antivírus Webfilter IPS Antispan INTELLIGENCE & THREAT COVERAGE Evolução da Segurança de rede Email Spam Complete Content Protection Inappropriate Web Content Worms Trojans Viruses Deep Packet Inspection Stateful Inspection 1990 1995 2000 Sophisticated Intrusions Denial of Service Attacks Simple intrusions 2005 Firewall não analisa o conteudo dos Pacotes DATA PACKETS STATEFUL INSPECTION FIREWALL Inspects packet headers only – i.e. looks at the envelope, but not at what’s contained inside http://www.freesurf.com/downloads/Gettysburg Four score and BAD CONTENT our forefathers brou ght forth upon this continent a new nation, n liberty, and dedicated to the proposition that all OK OK OK OK Not Scanned Packet “headers” (TO, FROM, TYPE OF DATA, etc.) Packet “payload” (data) Deep Inspection DEEP PACKET INSPECTION Performs a packet-by-packet inspection of contents – but can easily miss complex attacks that span multiple packets Undetected http://www.freesurf.com/downloads/Gettysburg OK Four score and BAD CONTENT our forefathers brou ! ght forth upon this continent a new nation, OK n liberty, and dedicated to the proposition that all OK COMPLETE CONTENT PROTECTION COMPLETE CONTENT PROTECTION 1. Reassemble packets into content http://www.freesurf.com/downloads/Gettysburg Four score and BAD CONTENT our forefathers brou ght forth upon this continent a new nation, n liberty, and dedicated to the proposition that all DISALLOWED CONTENT Four score and seven years ago our BAD CONTENT forefathers brought forth upon this BAD CONTENT BAD CONTENT NASTY THINGS NASTIER THINGS !! a new liberty, and dedicated to the proposition that all… !! ATTACK SIGNATURES 2. Compare against disallowed content and attack lists Complete Content Protection Requires Enormous Processing Power Complete Content Protection PROCESSING POWER REQUIRED 1000 Email Spam Inappropriate Web Content Worms 100 Trojans Viruses Deep Packet Inspection 10 1 Stateful Inspection 1990 1995 2000 Sophisticated Intrusions Denial of Service Attacks Simple Intrusions 2005 Firewall – Técnicas Avançadas de Detecção A tecnologia de detecção da Fortinet envolve o passado… Stateful Inspection Application Inspection Deep Packet Inspection …Inovando com Full Content Inspection & Activity Inspection com remontagem de conteúdo O que precisamos então? Uma Nova arquitetura de segurança Firewall Antivirus IPS Antispam Web filters VPN VPN IPS Firewall Servers Antivirus Antispam Users URL Filters Soluções multiplas aumenta a complexidade de gerenciamento Vantagens Real Disadvantages Segurança Nescessita em de varios produtos Aumenta a complexidade da rede camadas VPN IPS Firewall Servers Antivirus Antispam Users URL Filters Solução UTM Segurança em camadas Reduz o número de equipamento Simplifica o gerenciamento VPN IPS Firewall Servers Antivirus Antispam Users URL Filters Mercado de UTM In In 2008, 2008, UTM UTM surpassed surpassed firewall firewall market market Fortinet Confidential Mercado de UTM Fortinet Other 12.7% SonicWALL 7.6% 43.9% 10.6% Cisco 9.3% Crossbeam 4.1% 4.8% Check Point Source: IDC, Dec. 2008 7.2% Juniper Secure Computing Comparativo FW/ VPN IPS AV Web filtering Antispam Access Control WAN Opt. Neoteris Perabit FortiGate NetScreen OneSecure SSG (Trend, Kaspersky, Symantec, SurfControl) 65xx blade IronPort ASA (Trend for AV) MARS VPNVPN-1 with SmartDefense Zone Labs UTMUTM-1 TZ & PRO appliances McAfee “Homegrown” Homegrown” products Acquired / OEM products Websense E-mail security IDS Sistema de detecção de intrusos ou simplesmente IDS ( em inglês: Intrusion detection system) refere-se a meios técnicos de descobrir em uma rede quando esta está tendo acessos não autorizados que podem indicar a ação de um cracker ou até mesmo funcionários mal intencionados. Com o acentuado crescimento das tecnologias de infraestrutura tanto nos serviços quanto nos protocolos de rede torna-se cada vez mais difícil a implantação de sistema de detecção de intrusos. Esse fato está intimamente ligado não somente a velocidade com que as tecnologias avançam, mas principalmente com a complexidade dos meios que são utilizados para aumentar a segurança nas transmissões de dados. Tipos de IDS/IPS HIDS Software no servidor e/ou estação NIDS Dispositivo na rede HIDS Funcionalidade do HIDS Monitoramento de registros Pode trabalhar em conjunto com antivírus Monitora software maliciosos Pode trabalhar com analise do comportamento da maquina Exemplo de HIDS Cisco Security Agent - Cisco Forticlient - Fortinet Checkpoint endpoint security – Checkpoint Symantec Endpoint Protection - Symantec Arquitetura NIDS Arquitetura • Sensor • Coleta dados • Identifica Ataques • Duas placas de rede • Monitoração • Sem IP • Dumb ou Stealth Console • Consolida informações • Analisa dados • Client-Server / Web IDS Realiza a detecção Elemento passivo Gera alerta Gera Log Pode enviar Reset para conexão TCP Analisa a copia do Trafego Aonde colocar? IPS Prevenção de intrusão Elemento ativo O trafego passa por ele Bloqueia o ataque Arquitetura Hibrida Tipos de IPS/IDS Assinatura Identidade do ataque Conteúdo do pacote Comportamento Inteligência artificial Exemplo de assinatura Assinatura Snort: alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-IIS unicode directory traversal attempt"; flow:to_server,established; content:"/..%c0%af../"; nocase; classtype:webapplicationattack; reference:cve,CVE-2000-0884; sid:981; rev:6;) Ação a ser tomada de acordo com a regra: • alert – Alertar e Logar • log – Somente logar • pass – Ignorar • Block – Bloquear Exemplos IDS/IPS Snort – Linux Dragon – Enterasys TippingPoint – HP Cisco IPS – Cisco ISS Real Secure – ISS Sourcefire Honeypot Rede criada para invasão Pote de mel Atrair e enganar o inimigo Aprender as técnicas do inimigo Fora do ambiente de produção Baixa Interação Honeypot é “instalado” em um sistema real. Emula serviços, aplicações e sistemas operacionais. Implementação mais simples com menos riscos ao ambiente. Invasores experientes podem identificar que estão em um honeypot. Ataques e ações “não previstas” podem não funcionar e não ser detectadas. Exemplos Specter: honeypot comercial para Windows • Pode simular até 13 tipos de sistema operacional • Pode escutar até 14 portas e emular 7 serviços KFsensor: honeypot comercial para Windows • Simulação de várias portas e serviços SPECTER Analise Analise do incidente Alta Interação • Máquinas completas agindo como honeypots • Funcionalidade ilimitada para o invasor • Traz maior risco, uma vez que é possível “perder o controle” • Mais difícil de ser identificado como honeypot pelo invasor Honeynets Conjunto de um ou mais Honeypots Honeypots de Alta-Interação desenvolvidos para capturar pacotes e informações de ataques. Redes utilizadas como honeypots • Diferentes sistemas: • Windows, UNIX, Oracle, IIS, Apache, MSSQL etc. • Trata-se de uma arquitetura não somente software. Exemplo de topologia Honeynet project Projeto com fins não lucrativos de um grupo de pesquisadores sobre o uso de honeypots. O trabalho do grupo rendeu outro livro, “Know Your Enemy”, onde são apresentadas análises de invasões capturadas durante o projeto. Inclui instruções para a montagem de honeynets. Network Admission Control Controle de acesso a rede Verifica Antivírus Software instalados Patches de segurança Firewall Habilitados Arquitetura CISCO NAC - Checkpoint Dúvidas