(Microsoft PowerPoint - Dispositivos de seguran\347a.ppt [Somente

Dispositivos de
segurança
[email protected]
Apresentação
Alessandro Coneglian Bianchini exerce a função de
engenheiro na NEC Brasil, atuando na elaboração de
projetos e implantação de VoIP, Wireless, Redes e
Segurança da informação; formado em engenharia elétrica
com ênfase em telecomunicações pela Escola de
Engenharia Mauá-SP, pós-graduado em segurança da
informação pelo IBTA-SP e também pós-graduado em
engenharia de rede e sistema de telecomunicações pelo
INATEL-MG; Possui certificações de fabricantes como
Cisco,Allied Telesyn, Fortinet e Vmware.
Certificações
VCP 4– Vmware Certified Professional 4.0
VCP 3– Vmware Certified Professional 3.0
ITIL v3 Foundation
CCNP - Cisco Certified Network Professional
CCDP - Cisco Certified Design Professional
CCVP - Cisco Certified Voice Professional
CCSP - Cisco Certified Security Professional
CCNA - Cisco Certified Network Associate
CCDA - Cisco Certified Design Associate
CAWDS – Cisco Advanced Wireless Design Specialist
CAWFS – Cisco Advanced Wireless Field Specialist
CISS - Cisco Information Security Specialist
CIOSSS - Cisco IOS Security Specialist
CFWS - Cisco Firewall Specialist
CIPSS - Cisco IPS Specialist
FCNSA- Fortinet Certified Network Security Administrator
FCNSP- Fortinet Certified Network Security Professional
CAIR – Certified Allied installation Router
CAIS – Certified Allied installation switch
CASE – Certified Allied system engineer
4011 Recognition - CNSS (Committee on National Security Systems)
4013 Recognition – CNSS (Committee on National Security Systems)
Firewall
(em português: muro corta-fogo) é o nome dado
ao dispositivo de uma rede de computadores
que tem por objetivo aplicar uma política de
segurança a um determinado ponto de controle
da rede. Sua função consiste em regular o
tráfego de dados entre redes distintas e impedir
a transmissão e/ou recepção de acessos
nocivos ou não autorizados de uma rede para
outra. Este conceito inclui os equipamentos de
filtros de pacotes e de proxy de aplicações,
comumente associados a redes TCP/IP.
Formas de Implementação
Hardware (Appliance)
ASA/PIX
-Cisco
Fortigate –Fortinet
Netscreen - Juniper
Software
IPTABLES
- Linux
FW1 – Checkpoint
Etrust – CA
ISA SERVER - Microsoft
Primeira geração
Filtro de pacote
A
tecnologia foi disseminada em 1988 através
de pesquisa sustentada pela DEC
Bill Cheswick e Steve Bellovin da AT&T
desenvolvem o primeiro modelo para prova
de conceito
Analise do cabeçalho IP / TCP e UDP
Atualmente conhecido como ACL
Analise do filtro de pacote
Firewall de segunda geração
A tecnologia foi disseminada a partir de
estudo desenvolvido no começo dos anos
90 pelo Bell Labs
Analise dos estados da conexão do TCP
Alem de IP / PORTA analisa:
ESTABILISHED
ACK
SYN
FIN
e etc.
Analise da conexão
Terceira geração
Firewall de aplicação
Conhecido também proxy
Protocolos:
HTTP
FTP
DNS
H323
SIP
/ HTTPS
Protocolo H323
3344
GW1
1 2
3
4 5
6
7 8
9
8
#
*
GW2
Frame Relay
1 2
4 5
Modem Ba nk
Modem Bank
Gateway FXS
192.168.1.2\24
3
6
7 8
9
8
#
*
Gateway FXS
192.168.2.2\24
TCP por
ta
1720 –set
u
lerting
A
–
0
2
7
1
a
t
TCP por
onnect
C
–
0
2
7
1
TCP porta
Endereço H.245
192.168.2.2:8999
p
H.225
Exemplo – H323
Protocolo SIP
3344
GW1
1 2
Frame Relay
3
4 5
6
7 8
9
8
#
*
GW2
1 2
4 5
Modem Ba nk
Modem Bank
Gateway FXS
192.168.1.2\24
Gateway FXS
192.168.2.2\24
Invite [email protected]
C=IN IP4 192.168.1.2
M=áudio 49170 RTP/AVP
200 -OK
ACK
Porta 49170
G.711
0
3
6
7 8
9
8
#
*
Exemplo - SIP
Quarta geração
Deep Inspection
Combinação
de Firewall + IPS
Quinta geração
UTM – Inspeção completa
Firewall
Antivírus
Webfilter
IPS
Antispan
INTELLIGENCE & THREAT COVERAGE
Evolução da Segurança de rede
Email Spam
Complete
Content
Protection
Inappropriate
Web Content
Worms
Trojans
Viruses
Deep
Packet
Inspection
Stateful
Inspection
1990
1995
2000
Sophisticated
Intrusions
Denial of
Service Attacks
Simple
intrusions
2005
Firewall não analisa o conteudo dos
Pacotes
DATA PACKETS
STATEFUL
INSPECTION
FIREWALL
Inspects packet
headers only – i.e.
looks at the
envelope, but not at
what’s contained
inside
http://www.freesurf.com/downloads/Gettysburg
Four score and BAD CONTENT our forefathers brou
ght forth upon this continent a new nation,
n liberty, and dedicated to the proposition that all
OK
OK
OK
OK
Not Scanned
Packet “headers”
(TO, FROM, TYPE
OF DATA, etc.)
Packet “payload”
(data)
Deep Inspection
DEEP PACKET INSPECTION
Performs a packet-by-packet inspection of contents
– but can easily miss complex attacks that span
multiple packets
Undetected
http://www.freesurf.com/downloads/Gettysburg
OK
Four score and BAD CONTENT our forefathers brou
!
ght forth upon this continent a new nation,
OK
n liberty, and dedicated to the proposition that all
OK
COMPLETE CONTENT PROTECTION
COMPLETE CONTENT PROTECTION
1. Reassemble packets into content
http://www.freesurf.com/downloads/Gettysburg
Four score and BAD CONTENT our forefathers brou
ght forth upon this continent a new nation,
n liberty, and dedicated to the proposition that all
DISALLOWED
CONTENT
Four score and seven years ago our
BAD CONTENT
forefathers brought forth upon this
BAD CONTENT
BAD CONTENT
NASTY THINGS
NASTIER THINGS
!!
a new
liberty, and dedicated to the proposition
that all…
!!
ATTACK
SIGNATURES
2. Compare against disallowed content and attack lists
Complete Content Protection Requires
Enormous Processing Power
Complete
Content
Protection
PROCESSING POWER REQUIRED
1000
Email Spam
Inappropriate
Web Content
Worms
100
Trojans
Viruses
Deep
Packet
Inspection
10
1
Stateful
Inspection
1990
1995
2000
Sophisticated
Intrusions
Denial of
Service Attacks
Simple
Intrusions
2005
Firewall – Técnicas Avançadas de Detecção
A tecnologia de detecção da Fortinet envolve o
passado…
Stateful Inspection
Application Inspection
Deep Packet Inspection
…Inovando com Full Content Inspection & Activity
Inspection com remontagem de conteúdo
O que precisamos então?
Uma Nova arquitetura de segurança
Firewall
Antivirus
IPS
Antispam
Web filters
VPN
VPN
IPS
Firewall
Servers
Antivirus
Antispam
Users
URL Filters
Soluções multiplas aumenta a complexidade de
gerenciamento
Vantagens
Real Disadvantages
Segurança
Nescessita
em
de varios
produtos
Aumenta a complexidade
da rede
camadas
VPN
IPS
Firewall
Servers
Antivirus
Antispam
Users
URL Filters
Solução UTM
Segurança
em camadas
Reduz
o número de equipamento
Simplifica o gerenciamento
VPN
IPS
Firewall
Servers
Antivirus
Antispam
Users
URL Filters
Mercado de UTM
In
In 2008,
2008, UTM
UTM surpassed
surpassed
firewall
firewall market
market
Fortinet Confidential
Mercado de UTM
Fortinet
Other
12.7%
SonicWALL
7.6%
43.9%
10.6%
Cisco
9.3%
Crossbeam
4.1%
4.8%
Check Point
Source: IDC, Dec. 2008
7.2%
Juniper
Secure Computing
Comparativo
FW/
VPN
IPS
AV
Web
filtering
Antispam
Access
Control
WAN
Opt.
Neoteris
Perabit
FortiGate
NetScreen
OneSecure
SSG (Trend, Kaspersky, Symantec, SurfControl)
65xx blade
IronPort
ASA (Trend for AV)
MARS
VPNVPN-1 with SmartDefense
Zone Labs
UTMUTM-1
TZ & PRO appliances
McAfee
“Homegrown”
Homegrown” products
Acquired / OEM products
Websense
E-mail
security
IDS
Sistema de detecção de intrusos ou simplesmente IDS (
em inglês: Intrusion detection system) refere-se a
meios técnicos de descobrir em uma rede quando esta
está tendo acessos não autorizados que podem indicar
a ação de um cracker ou até mesmo funcionários mal
intencionados.
Com o acentuado crescimento das tecnologias de infraestrutura tanto nos serviços quanto nos protocolos de
rede torna-se cada vez mais difícil a implantação de
sistema de detecção de intrusos. Esse fato está
intimamente ligado não somente a velocidade com que
as tecnologias avançam, mas principalmente com a
complexidade dos meios que são utilizados para
aumentar a segurança nas transmissões de dados.
Tipos de IDS/IPS
HIDS
Software
no servidor e/ou estação
NIDS
Dispositivo
na rede
HIDS
Funcionalidade do HIDS
Monitoramento de registros
Pode trabalhar em conjunto com antivírus
Monitora software maliciosos
Pode trabalhar com analise do
comportamento da maquina
Exemplo de HIDS
Cisco Security Agent - Cisco
Forticlient - Fortinet
Checkpoint endpoint security – Checkpoint
Symantec Endpoint Protection - Symantec
Arquitetura NIDS
Arquitetura
• Sensor
• Coleta dados
• Identifica Ataques
• Duas placas de rede
• Monitoração
• Sem IP
• Dumb ou Stealth
Console
• Consolida informações
• Analisa dados
• Client-Server / Web
IDS
Realiza a detecção
Elemento
passivo
Gera alerta
Gera Log
Pode enviar Reset para conexão TCP
Analisa a copia do Trafego
Aonde colocar?
IPS
Prevenção de intrusão
Elemento
ativo
O trafego passa por ele
Bloqueia o ataque
Arquitetura Hibrida
Tipos de IPS/IDS
Assinatura
Identidade
do ataque
Conteúdo do pacote
Comportamento
Inteligência
artificial
Exemplo de assinatura
Assinatura Snort:
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS
$HTTP_PORTS (msg:"WEB-IIS unicode directory
traversal attempt"; flow:to_server,established;
content:"/..%c0%af../"; nocase;
classtype:webapplicationattack; reference:cve,CVE-2000-0884;
sid:981; rev:6;)
Ação a ser tomada de acordo com a regra:
• alert – Alertar e Logar
• log – Somente logar
• pass – Ignorar
• Block – Bloquear
Exemplos IDS/IPS
Snort – Linux
Dragon – Enterasys
TippingPoint – HP
Cisco IPS – Cisco
ISS Real Secure – ISS
Sourcefire
Honeypot
Rede criada para invasão
Pote
de mel
Atrair e enganar o inimigo
Aprender as técnicas do inimigo
Fora do ambiente de produção
Baixa Interação
Honeypot é “instalado” em um sistema
real.
Emula serviços, aplicações e sistemas
operacionais.
Implementação mais simples com menos
riscos ao ambiente.
Invasores experientes podem identificar que
estão em um honeypot.
Ataques e ações “não previstas” podem não
funcionar e não ser detectadas.
Exemplos
Specter: honeypot comercial para
Windows
• Pode simular até 13 tipos de sistema
operacional
• Pode escutar até 14 portas e emular
7 serviços
KFsensor: honeypot comercial para
Windows
• Simulação de várias portas e serviços
SPECTER
Analise
Analise do incidente
Alta Interação
• Máquinas completas agindo como
honeypots
• Funcionalidade ilimitada para o invasor
• Traz maior risco, uma vez que é possível
“perder o controle”
• Mais difícil de ser identificado como
honeypot pelo invasor
Honeynets
Conjunto de um ou mais Honeypots
Honeypots de Alta-Interação desenvolvidos para
capturar pacotes e informações de ataques.
Redes utilizadas como honeypots
• Diferentes sistemas:
• Windows, UNIX, Oracle, IIS, Apache, MSSQL
etc.
• Trata-se de uma arquitetura não somente
software.
Exemplo de topologia
Honeynet project
Projeto com fins não lucrativos de um
grupo de pesquisadores sobre o uso de
honeypots. O trabalho do grupo rendeu
outro livro, “Know Your Enemy”, onde
são apresentadas análises de invasões
capturadas
durante o projeto. Inclui instruções para
a montagem de honeynets.
Network Admission Control
Controle de acesso a rede
Verifica
Antivírus
Software instalados
Patches de segurança
Firewall Habilitados
Arquitetura CISCO
NAC - Checkpoint
Dúvidas