Segurança de redes

Arquitetura de segurança – Redes

Arquitetura de Segurança

• Entende-se por arquitetura toda e qualquer organização de topologia e distribuição de equipamentos de segurança em um ambiente com a finalidade de reduzir a possibilidade da ocorrência de problemas

• Quando se fala de uma rede, pode-se criar uma topologia com diversas camadas de segurança, tornando mais difícil eventuais invasões

Arquitetura de Segurança

• Definição de uma topologia

• Identificação dos elementos existentes no ambiente, por exemplo:

• Uma rede local• Conexões com a Internet• Servidores (Ex. WEB, SMTP, POP...)• Conexões entre localidades• Conexões remotas (VPN)

Exemplo de arquitetura de rede

DMZ – Zona Desmilitarizada

• DMZ = Zona Desmilitarizada• Maneira de segregar o acesso entre diferentes redes

• Criar áreas cujo acesso é publico, porém controlado

• Em geral, servidores que possuem acesso público estão nessa rede

• O Firewall é normalmente o elemento responsável por essa interconexão

DMZ – Zona Desmilitarizada

• Exemplo:

• O firewall somente irá permitir que conexões provenientes da Internet acessar os servidores da DMZ. Isso protegeria a rede local de outros acessos

• Se os servidores estivessem na mesma rede que as estações de trabalho, haveria a possibilidade de um dos servidores ser invadido e lançar ataques para estações da rede local, ou um empregado atacar um servidor

Regras de firewall

• As regras de firewall devem ser criadas para implementar essa arquitetura, considerando as DMZs, Redes Locais e também as conexões entre as redes

• Exemplo:IP de Origem IP de Destino Serviço (Porta) Ação IP da máquina. do administrador

IP do Firewall Serviço de adm. do firewall

Permitir

Qualquer IP IP do Firewall Qualquer Serviço Bloquear Qualquer IP IP do Web Server HTTP / HTTPS Permitir Qualquer IP IP do SMTP Server SMTP Permitir Qualquer IP IP do DNS Server DNS Permitir Rede Interna Qualquer IP HTTP/ HTTPS Permitir IP do SMTP Server IP do Servidor de

Correio interno SMTP Permitir

Redes de Terceiros IP dos servidores utilizados por terceiros

Serviços utilizados por terceiros

Permitir

Qualquer IP Qualquer IP Qualquer Serviço Bloquear

Segurança em dispositivos de rede

• Parte da arquitetura de segurança de uma rede é a necessidade de proteger os ativos da rede contra eventuais ataques

• Grande maioria dos dispositivos de rede possuem sistemas operacionais e camadas de software que podem ser passíveis de vulnerabilidades, viabilizando ataques

• Dessa forma, alguns cuidados devem ser tomados com relação a esses dispositivos

Atualização de dispositivos de rede

• Assim como qualquer outro servidor, os seguintes cuidados devem ser observados

• Atualização do sistema operacional• Controle de acesso • Serviços desnecessários habilitados • Serviços potencialmente inseguros habilitados • Boas práticas de ocnfiugração de redes IP• Monitoração

• Deve haver uma rotina para garantir que a versão dos softwares desses equipamentos estejam sempre atualizados

Atualização de dispositivos de rede

• Exemplos de serviços desnecessários em dispositivo de rede:

• Bootp Server – Serviço anterior e semelhante ao DHCP, raramente utilizado.• Http Server – Normalmente a interface de administração Web do dispositivo.• Finger Server – Serviço que fornece informações sobre usuários do dispositivo. Pode ser utilizado para obter informações que serão utilizadas em uma tentativa de acesso não autorizada.• Echo – Serviço que age como “eco”, transmitindo toda a informação que recebeu. Pode ser utilizado em ataques de Denial of Service contra outros hosts. • Chargen – Serviço que fornece uma cadeia constante de caracteres ASCII, também pode ser utilizado para ataques de DoS.• Discard – Serviço que descarta tudo que recebe. • Daytime - Serviço que fornece a hora vigente no dispositivo.

Elementos de segurança de rede

• A arquitetura de rede depende de diversos dispositivos de segurança. Entre os mais comuns:

• Firewalls

• IDS / IPS

• Servidores Proxy

• VirusWalls

• Detectores de anomalia de rede

• Concentradores de VPN

• UTMs

Firewalls

• Os Firewalls devem ser os elementos de interconexão entre diferentes redes

• Realizam a inspeção de cada pacote que passa por eles, possibilitando o controle do tráfego entre redes e hosts

• Os modelos mais simples inspecionam as camadas 3 e 4 do modelo OSI

• Há tipos de firewall que permitem a inspeção do tráfego nas camadas mais altas do modelo OSI, controlando protocolos, estado de sessões e a adequação de protocolos

IDS / IPS

• Os Sistemas de Detecção/Prevenção de Intrusão (Intruder Detection/Prevention System) analisam o conteúdo dos pacotes de dados em buscas de características (assinaturas) que possam denotar um ataque

• Podem funcionar em duas topologias diferentes

IDS / IPS

• Topologia Inline

• Esta topologia permite bloquear ataques, mas insere um ponto de falha na rede, e também aumenta a latência (atraso) da rede.

• Topologia Out-of-band

• Esta topologia permite apenas detectar ataques, sem inserir qualquer tipo de atraso ou latência na rede – mas não pode bloquear diretamente um ataque

IDSPort Span

IDS

Proxy Servers

• Os servidores Proxy são úteis para controlar / concentrar o acesso entre redes

• Normalmente são utilizados para o acesso WEB• Um servidor Proxy é colocado em uma rede separada da rede local, e somente ele terá acesso à Internet

• As estações precisam se conectar a esse servidor para ter acesso, como se fosse um “procurador”

Proxy Servers

• Os servidores Proxy podem ser utilizados para concentrar acessos provenientes de outras rede – conhecidos como Proxy Reverso

Firewall

Router

Internet

SwitchServidores

Switch

Estações de trabalho

Proxy Reverso

1-Solicitação 3-Resposta

2-Solicitação

4-Resposta

VirusWalls

• Muitas empresas decidem colocar camadas especiais de controle de vírus

• Os Viruswalls são equipamentos cujo o tráfego da rede deve passar por ele, e este tem a habilidade de detectar a presença de vírus durante o tráfego da rede

• Caso este elemento detecte um tráfego contendo vírus, pode automaticamente bloquear a conexão, deletar o arquivo ou gerar um aviso.

Detectores de anomalia de rede

• Os detectores de anomalia de rede (NBAD – Network Behavioural Anomaly Detectors) são equipamentos que têm a função de “aprender” o comportamento padrão da rede

• Quando um tráfego desconhecido surge na rede, o NBAD irá gerar um alerta para os administradores da rede, já trazendo todas as informações relativas à anomalia detectada

• O NBAD depende de informações fornecidas pelos equipamentos de rede existentes...

Detectores de anomalia de rede

• As informações necessárias são coletadas de Firewalls, Roteadores, Switches, IDSs, IPSs, Servidores e etc.

• Os métodos para a coleta das informações podem ser:

• Syslog• SMTP• SNMP• FTP• entre outros...

Concentradores de VPN

• Os concentradores de VPN são importantes para viabilizar a conexão segura entre localidades através da criação de um “túnel” seguro sobre meios de transmissão inseguros (linhas telefônicas ou a Internet, por exemplo)

• Podem ser utilizados para viabilizar o trabalho remoto de usuários com notebooks ou em computadores pessoais

• São soluções simples e de relativo baixo custo

UTM

• Os UTMs (Unified Threat Management) são equipamentos que concentram todas as funcionalidades descritas anteriormente em um único dispositivo

• São extremamente adequados para pequenas empresas ou escritórios remotos

• Com baixo custo conseguem oferecer uma solução completa de segurança, ainda que sem as características mais avançadas de cada um dos equipamentos especializados