Computing">
Segurança de Computadores - Firewall IDS IPS VPN
Segurança de Computadores - Firewall IDS IPS VPN
Segurança de Computadores - Firewall IDS IPS VPN
CONTEÚDO
Firewall ............................................................................................................................. 4
Filtro de Pacotes (Firewall Stateless, estático) ...................................................................... 7
Filtro de Pacotes Baseado em Estados (Firewall Stateful, dinâmico) ................................. 10
Gateways de Aplicação (Proxy)............................................................................................ 12
NAT - Network Address Translation .................................................................................... 14
Zona Desmilitarizada (DMZ – Demilitarized Zone) .............................................................. 15
Arquiteturas...................................................................................................................... 16
Detecção e Prevenção de Intrusos ................................................................................... 19
Sistema de Detecção de Intrusos (IDS) ................................................................................ 19
Baseado em Anomalia ...................................................................................................... 20
Baseado em Assinaturas .................................................................................................. 21
Arquitetura baseada na Localização ................................................................................ 21
Arquitetura baseada no Alvo ........................................................................................... 22
Comportamento Pós-Detecção ........................................................................................ 23
Sistema de Prevenção de Intrusos (IPS) .............................................................................. 24
Rede Privada Virtual (VPN - Virtual Private Network) ...................................................... 26
Protocolos da Camada de Enlace ........................................................................................ 29
PPTP (Point-to-Point Tunelling Protocol) e L2TP (Layer 2 Tunelling Protocol) ................. 29
Protocolos da Camada de Rede ........................................................................................... 29
IPSec (IP Security Protocol) ............................................................................................... 29
Protocolos da Camada de Transporte ................................................................................. 34
SSL (Secure Sockets Layer) e TLS (Transport Layer Security) ............................................ 34
Protocolos da Camada de Aplicação ................................................................................... 36
SSH (Secure Shell) ............................................................................................................. 36
Monitoramento e Análise de Tráfego .............................................................................. 37
Uso de Sniffers (Analisadores de Pacotes) .......................................................................... 37
Traffic Shapping ................................................................................................................... 37
2
www.resumosdeti.com.br
vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação e distribuição, sujeitando-se os infratores à
responsabilização civil e criminal.
Segurança da Informação
Segurança de Redes (Firewall, IDS, IPS e VPN),
Monitoramento e Análise de Tráfego
Netflow ................................................................................................................................ 38
Programas usados na Internet ............................................................................................ 39
3
www.resumosdeti.com.br
vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação e distribuição, sujeitando-se os infratores à
responsabilização civil e criminal.
Segurança da Informação
Segurança de Redes (Firewall, IDS, IPS e VPN),
Monitoramento e Análise de Tráfego
Firewall
- É um ponto entre duas ou mais redes, que pode ser um componente ou um conjunto de
componentes, por onde passa todo o tráfego, permitindo que o controle, a autenticação
e os registros de todo o tráfego sejam realizados.
- É um mecanismo de proteção que controla a passagem de pacotes entre redes, tanto
locais como externas.
- É um dispositivo que possui um conjunto de regras especificando que tráfego ele
permitirá ou negará.
- É um dispositivo que permite a comunicação entre redes, de acordo com a política de
segurança definida e que são utilizados quando há uma necessidade de que redes com
níveis de confiança variados se comuniquem entre si.
FCC
Dependendo do tipo de conexão usada no computador, é possível usar dois tipos de
firewall, um por hardware e outro por software. Os firewalls por hardware muito
utilizados são os que já vêm incorporados aos roteadores e modems de banda larga.
4
www.resumosdeti.com.br
vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação e distribuição, sujeitando-se os infratores à
responsabilização civil e criminal.
Segurança da Informação
Segurança de Redes (Firewall, IDS, IPS e VPN),
Monitoramento e Análise de Tráfego
Em redes com vários computadores, o firewall do roteador pode ser configurado com
políticas de bloqueio ou liberação de portas, fazendo posteriormente um ajuste individual
no software do firewall de cada uma das máquinas da rede, de acordo com o perfil do
usuário que as utilizará.
O firewall não dispensa a instalação de um antivírus. Ele funciona como um filtro que
restringe a passagem dos dados recebidos e enviados pelo computador. O antivírus é
necessário porque mesmo as comunicações consideradas seguras pelo firewall podem
trazer ameaças à máquina, geralmente devido à operação incorreta do computador pelo
usuário.
Tanto o firewall por hardware como o por software operam de maneira similar.
Conforme a configuração definida, o firewall compara os dados recebidos com as
diretivas de segurança e libera ou bloqueia os pacotes.
O dispositivo identificado pela letra A tem por função bloquear os acessos indevidos
provenientes da Internet para a rede local (LAN), por meio da verificação do endereço
(IP), é conhecido como firewall.
5
www.resumosdeti.com.br
vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação e distribuição, sujeitando-se os infratores à
responsabilização civil e criminal.
Segurança da Informação
Segurança de Redes (Firewall, IDS, IPS e VPN),
Monitoramento e Análise de Tráfego
- Classificação:
• Filtro de pacotes (Firewall Stateless);
• Filtro de pacotes baseado em estados ou filtro de estado das conexões (Firewall
Stateful);
• Proxy de serviços ou Gateway de aplicação.
- Funcionalidades:
• Filtros;
• Proxies;
• Bastion hosts;
• Zonas Desmilitarizadas (DMZ);
• NAT;
• Rede privada virtual (VPN);
• Autenticação/Certificação;
• Balanceamento de carga e Alta Disponibilidade;
• Alta disponibilidade.
- Política Padrão:
• Existem dois tipos de modelo de acesso, ou política padrão, que podem ser
aplicados ao firewall:
▪ Tudo é permitido, exceto o que for expressamente proibido;
▪ Tudo é proibido, exceto o que for expressamente permitido.
FCC
Em segurança de redes, firewall é uma barreira de proteção. Sobre este tema está
correto dizer que controlam somente o tráfego que passa por eles. Em ataques
provenientes de usuários internos à rede, cujo tráfego não passa pelo firewall, ele não
garante proteção.
6
www.resumosdeti.com.br
vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação e distribuição, sujeitando-se os infratores à
responsabilização civil e criminal.
Segurança da Informação
Segurança de Redes (Firewall, IDS, IPS e VPN),
Monitoramento e Análise de Tráfego
- Este tipo de firewall é implementado como um roteador que, ao realizar suas funções de
roteamento, verifica as seguintes informações dos pacotes:
• Endereços IP de origem e de destino;
• Tipo de protocolo – TCP, UDP e ICMP;
• Portas de origem e de destino;
• Flags IP e TCP;
• Tipos de mensagens ICMP;
• Tamanho do pacote.
- A principal vantagem dos filtros de pacotes é a sua eficiência, pois cada operação de
filtragem estará restrita a verificar somente informações básicas do cabeçalho do
pacote.
- Desta forma, é amplamente utilizado em roteadores como listas de controle de acesso.
- A despeito disso, sua principal desvantagem é a de não conseguir verificar o estado das
conexões, sendo necessário criar várias linhas de filtragem para se implementar uma
única regra.
- Por exemplo, em uma regra simples que permita o acesso de clientes a um servidor
HTTP é necessário configurar as conexões de chamada do cliente para o servidor bem
como as das respostas do servidor para o cliente.
- Sintaxe:
• Política [ACCEPT | DROP | REJECT] Protocolo [TCP | UDP | ICMP ] Endereço Origem [SA=ipaddr/msk] { Porta Origem
[SP] | [Tipo ICMP ] } Endereço Destino [DA=ipaddr/msk] Porta Destino [DP] Opções [ ].
7
www.resumosdeti.com.br
vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação e distribuição, sujeitando-se os infratores à
responsabilização civil e criminal.
Segurança da Informação
Segurança de Redes (Firewall, IDS, IPS e VPN),
Monitoramento e Análise de Tráfego
- Vantagens:
• Baixo overhead;
• Barato, simples e flexível;
• Alto desempenho da rede;
• Transparente para o usuário.
- Desvantagens:
• Permite a conexão direta para hosts internos de clientes externos,
• Difícil de gerenciar em ambientes complexos;
• É vulnerável a ataques como o IP spoofing, a menos que seja configurado para
que isso seja evitado (apenas falsificação de endereços internos).
• Não oferece autenticação de usuários.
FCC
Os firewalls de filtro de pacotes trabalham com uma lista de controle de acesso que é
verificada antes de um pacote ser encaminhado para a rede interna. A lista relaciona o
tráfego que é permitido e o que deve ser bloqueado.
8
www.resumosdeti.com.br
vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação e distribuição, sujeitando-se os infratores à
responsabilização civil e criminal.
Segurança da Informação
Segurança de Redes (Firewall, IDS, IPS e VPN),
Monitoramento e Análise de Tráfego
Firewall de filtragem de pacotes pode encaminhar ou bloquear pacotes com base nas
informações disponíveis nos cabeçalhos da camada de rede ou de transporte.
Firewall de filtragem de pacotes usa uma tabela de filtragem para decidir quais pacotes
devem ser descartados.
Firewall pode filtrar todos os pacotes que chegam destinados a determinado host ou
serviço como HTTP.
Um firewall de filtragem de pacotes examina todos os dados enviados de fora da LAN e
rejeita pacotes de dados com base em regras predefinidas, como rejeitar pacote de certas
redes ou portas.
Firewall de Filtro de Pacotes atua na camada de rede, analisando e filtrando datagramas
IP de acordo com informações específicas contidas em seus cabeçalhos, tais como,
endereços IP de origem e destino e porta TCP ou UDP.
Utilizando um firewall default deny será bloqueado tudo o que não for explicitamente
permitido.
A implantação do esquema de segurança em uma rede local de computadores pode
utilizar o Firewall que atua de diferentes maneiras. Considerando o modelo OSI, o
Firewall de filtragem de pacotes faz a verificação dos pacotes das camadas de: Rede e
Transporte.
Em um firewall de filtragem de pacotes os filtros de pacote primeiramente analisam os
cabeçalhos de datagramas e então aplicam regras de filtragem especificadas por um
conjunto definido pelo administrador.
Um firewall de filtragem de pacotes examina cada datagrama individualmente,
determinando se ele deve passar ou ficar retido baseado nas regras específicas do
administrador.
As decisões de filtragem podem ser baseadas em:
• Endereço IP de origem e de destino.
• Tipo de protocolo no campo do datagrama IP: TCP, UDP, ICMP, OSPF etc.
• Porta TCP ou UDP de origem e de destino.
• IV. Flag bits do TCP: SYN, ACK etc.
9
www.resumosdeti.com.br
vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação e distribuição, sujeitando-se os infratores à
responsabilização civil e criminal.
Segurança da Informação
Segurança de Redes (Firewall, IDS, IPS e VPN),
Monitoramento e Análise de Tráfego
- Desse ponto em diante, os pacotes relacionados com a sessão que consta na tabela de
estado terão os seus acessos permitidos, sem a chamada de qualquer outra inspeção.
- Em tese, este método aumenta o desempenho geral do firewall, pois somente os
pacotes iniciais precisam ser totalmente desmembrados até a camada de transporte.
- Entretanto, se a implementação da tabela de estado não oferecer um modo eficiente de
manipular os estados da conexão, poderá haver queda de desempenho do
equipamento.
- Este tipo de firewall é um filtro de pacotes dinâmico, ou seja, ele mantém o estado de
cada conexão que passa por ele.
- Isto é possível com a implementação de uma tabela de estados em que o firewall
mantém o relacionamento entre endereços IP de origem e de destino, portas de origem
e de destino, flags do segmento TCP e tipos de pacotes ICMP.
- Desta forma, não é mais necessário criar entradas adicionais para a mesma conexão.
10
www.resumosdeti.com.br
vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação e distribuição, sujeitando-se os infratores à
responsabilização civil e criminal.
Segurança da Informação
Segurança de Redes (Firewall, IDS, IPS e VPN),
Monitoramento e Análise de Tráfego
- Vantagens:
• Alto desempenho da rede;
• Aceita quase todos os tipos serviços;
• Transparente para o usuário.
- Desvantagens:
• Permite a conexão direta para hosts internos de clientes externos,
• Não oferece autenticação de usuários, a não ser via gateway de aplicação.
FCC
A função dos stateful inspection firewalls é analisar o tráfego ao nível do IP e TCP/UDP,
construindo tabelas de estado das ligações à Internet para prevenir os ataques do tipo
spoofing, replaying, entre outros.
11
www.resumosdeti.com.br
vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação e distribuição, sujeitando-se os infratores à
responsabilização civil e criminal.
Segurança da Informação
Segurança de Redes (Firewall, IDS, IPS e VPN),
Monitoramento e Análise de Tráfego
- Na figura a seguir, todas as conexões HTTP originadas pelos clientes são enviadas para o
Proxy do Serviço HTTP.
- Este, por sua vez, envia os pedidos ao servidor como sendo ele o solicitante.
- O servidor HTTP responde ao proxy e este repassa as respostas aos respectivos clientes.
- Neste contexto, o proxy de serviço roda em uma máquina com duas interfaces de rede,
entretanto, diferentemente do filtro de pacotes, o proxy não realiza roteamento dos
datagramas IP.
- Desta forma, não é necessário criar regras de filtragem dentro do proxy de serviços pois
as duas redes conectadas ao proxy não são visíveis entre si.
12
www.resumosdeti.com.br
vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação e distribuição, sujeitando-se os infratores à
responsabilização civil e criminal.
Segurança da Informação
Segurança de Redes (Firewall, IDS, IPS e VPN),
Monitoramento e Análise de Tráfego
- Vantagens:
• Não permite conexões diretas entre hosts internos e hosts externos;
• Aceita autenticação do usuário;
• Analisa comandos da aplicação no payload dos pacotes de dados, ao contrário do
filtro de pacotes.
- Desvantagens:
• Mais lento do que os filtros de pacotes (somente os gateways de aplicação);
• Requer um proxy específico pra cada aplicação;
• Não trata pacotes ICMP.
FCC
Firewall proxy, faz a filtragem na camada de aplicação.
Quando o processo de cliente-usuário envia uma mensagem, o firewall proxy executa um
processo de servidor para receber a solicitação. O servidor abre o pacote no nível de
aplicação e determina se a solicitação é legítima. Se for, o servidor atua como um
processo de cliente e envia a mensagem para o verdadeiro servidor na empresa.
Um dos tipos existentes de firewall é o filtro de camada da aplicação. Neste modo, o
bloqueio é realizado ao se analisar detalhes específicos de cada aplicação, como por
exemplo, cabeçalhos de mensagens de e-mail.
Poder avaliar hipertextos criptografados, que, normalmente, não são analisados por
firewalls tradicionais de rede, constitui uma vantagem do firewall de aplicação.
A empresa onde Paulo trabalha deseja implementar a seguinte política referente a suas
páginas web: somente aqueles usuários de Internet que tiverem estabelecido relações
comerciais anteriores com a empresa poderão ter acesso; o acesso para outros tipos de
usuários deve ser bloqueado. Nesse caso, uma solução é instalar um computador proxy
(algumas vezes denominado gateway de aplicação), entre o computadorcliente (usuário)
e o computador da empresa.
13
www.resumosdeti.com.br
vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação e distribuição, sujeitando-se os infratores à
responsabilização civil e criminal.
Segurança da Informação
Segurança de Redes (Firewall, IDS, IPS e VPN),
Monitoramento e Análise de Tráfego
▪ NAT dinâmico
o Os endereços IP interno são mapeados para endereços externos de
acordo com uma faixa de valores predeterminada.
o Uma máquina interna pode estar associado a um endereço IP
diferente para cada conexão.
14
www.resumosdeti.com.br
vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação e distribuição, sujeitando-se os infratores à
responsabilização civil e criminal.
Segurança da Informação
Segurança de Redes (Firewall, IDS, IPS e VPN),
Monitoramento e Análise de Tráfego
- Ao NAT, pode ser agregado o serviço Network Address Port Translation (NAPT ou PAT)
que faz a conversão de portas de rede.
• O seu uso é interessante para o fornecimento de proteção adicional, pois é
possível fazer o remapeamento das portas de alguns protocolos ou aplicações
conhecidas para outras portas, dificultando ainda mais a sua descoberta.
FCC
Como o endereço IP de um computador integrante de uma rede privada não é roteado na
Internet, o NAT gera um número de 16 bits, que é escrito no campo da porta de origem,
para permitir que o roteador faça a respectiva associação em suas tabelas e identifique o
destinatário correto.
- Objetivos:
• Evitar que a Internet acesse diretamente serviços dentro de uma rede interna;
• Separar o tráfego de rede interno do externo;
• Ligação de uma rede interna com a Internet ou com uma rede de outra
organização.
FCC
O desenho e implementação de uma DMZ estão intimamente ligados à utilização de
sistemas de firewall.
Caso um invasor consiga ter acesso à DMZ por conta de uma vulnerabilidade de algum
serviço, ele normalmente permanece sem acesso à rede interna, uma vez que um firewall
pode estar configurado para proteger a rede interna.
15
www.resumosdeti.com.br
vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação e distribuição, sujeitando-se os infratores à
responsabilização civil e criminal.
Segurança da Informação
Segurança de Redes (Firewall, IDS, IPS e VPN),
Monitoramento e Análise de Tráfego
Arquiteturas
- Dual-homed host architecture
• Formada por um equipamento que tem duas interfaces de rede e funciona como
um separador entre as duas redes.
• Os sistemas internos têm de ser conectados ao firewall para que possam se
comunicar com os servidores externos e vice-versa, mas nunca diretamente.
• Assim, as comunicações são realizadas por meio de proxies ou conexões em duas
etapas, nas quais o usuário se conecta primeiramente ao host dual-homed, para
depois se conectar ao servidor externo.
16
www.resumosdeti.com.br
vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação e distribuição, sujeitando-se os infratores à
responsabilização civil e criminal.
Segurança da Informação
Segurança de Redes (Firewall, IDS, IPS e VPN),
Monitoramento e Análise de Tráfego
17
www.resumosdeti.com.br
vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação e distribuição, sujeitando-se os infratores à
responsabilização civil e criminal.
Segurança da Informação
Segurança de Redes (Firewall, IDS, IPS e VPN),
Monitoramento e Análise de Tráfego
18
www.resumosdeti.com.br
vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação e distribuição, sujeitando-se os infratores à
responsabilização civil e criminal.
Segurança da Informação
Segurança de Redes (Firewall, IDS, IPS e VPN),
Monitoramento e Análise de Tráfego
• Falso Negativo: IDS não gera alarme na ocorrência de um evento ou tráfego mal
intencionado.
▪ Já no caso dos falsos negativos, estes podem ocorrer tanto em eventos não
observáveis como em eventos observáveis e, dentro deste último grupo,
também pode estar presente dentro dos eventos relevantes.
▪ Seu maior problema é justamente o inverso do falso positivo, ou seja, não
há registros da ocorrência de falsos negativos no IDS.
- Classificação:
• Quanto ao Método de Detecção, os sistemas de detecção de intrusos são
classificados como:
▪ Sistemas de intrusão baseados em anomalias;
▪ Sistemas de detecção baseados em assinatura.
19
www.resumosdeti.com.br
vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação e distribuição, sujeitando-se os infratores à
responsabilização civil e criminal.
Segurança da Informação
Segurança de Redes (Firewall, IDS, IPS e VPN),
Monitoramento e Análise de Tráfego
Baseado em Anomalia
- O Sistema de Intrusão Baseado em Anomalia é um método também conhecido como
Método Reacionário ou Sistema de Detecção por Comportamento.
- Independente do nome, ele se baseia na análise do comportamento do sistema e na
identificação de possíveis desvios, comparando o estado observado a um padrão de
comportamento considerado normal.
- As informações a seguir podem ser tomadas como base para identificar o
comportamento padrão do sistema/rede e subsidiar na identificação de tráfegos
anormais:
• Quantidade de tráfego na rede em determinados horários;
• Tipos de protocolos que passam na rede e seus prováveis horários;
• Carga de processamento da CPU;
• Aplicações utilizadas na rede;
• Serviços ativos no sistema;
• Endereços IP que trafegam pela rede, etc.
- Vantagens:
• Possibilita detectar ataques desconhecidos, sendo desnecessária a manutenção
de uma base de dados que armazene todos os tipos possíveis de ataques e
vulnerabilidades;
• Pode ser usado para gerar informações que darão origem a uma assinatura.
- Desvantagens:
• Para usar esse método de detecção, é imprescindível que o administrador
conheça o comportamento da rede/sistema, o que é muito difícil devido à
heterogeneidade e à complexidade desses ambientes.
• Devido à dificuldade apresentada no item anterior, esse método leva a um maior
número de falsos positivos;
• Os relatórios são mais difíceis de serem analisados, não informando dados
conclusivos da vulnerabilidade explorada.
20
www.resumosdeti.com.br
vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação e distribuição, sujeitando-se os infratores à
responsabilização civil e criminal.
Segurança da Informação
Segurança de Redes (Firewall, IDS, IPS e VPN),
Monitoramento e Análise de Tráfego
Baseado em Assinaturas
- O Sistema de Intrusão Baseado em Assinatura é um método também conhecido como
Sistema Preemptivo ou Sistema de Detecção por Abuso.
- Essa técnica busca sequências de ações nitidamente caracterizadas como inválidas,
registradas em uma base de dados (assinaturas) que contém o conhecimento
acumulado sobre ataques específicos e vulnerabilidades.
- Vantagens:
• Por comparar o tráfego capturado a uma assinatura, o número de falsos positivos
é menor, comparado ao método anterior;
• Devido ao fato de o número de falsos positivos ser menor, e também porque o
alarme gerado pelo IDS irá mostrar a que tipo de ataque o tráfego corresponde
(devido à assinatura a qual foi comparado), faz-se possível a adoção de
contramedida;
• Redução na quantidade de informação tratada, isto é, o alarme é mais preciso e
evidente;
• Permite diagnosticar, de maneira rápida e confiável, a utilização de determinadas
ferramentas ou técnicas específicas de ataque, auxiliando os gerentes a
verificarem as correções necessárias.
- Desvantagens:
• Como o método é baseado em assinaturas, a detecção só ocorre para ataques
conhecidos, por isso mesmo não permite detectar variações de um mesmo
ataque, pois as assinaturas são utilizadas com muita rigidez;
• Faz-se necessária a manutenção freqüente na base de dados que contém as
assinaturas.
- Hierárquico
• Os componentes encontram-se parcialmente distribuídos, isto é, em
equipamentos separados, cada um com sua função específica, porém com fortes
relações de hierarquia entre eles.
• Tarefas como a tomada de decisões fica normalmente concentrada em um único
ponto.
21
www.resumosdeti.com.br
vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação e distribuição, sujeitando-se os infratores à
responsabilização civil e criminal.
Segurança da Informação
Segurança de Redes (Firewall, IDS, IPS e VPN),
Monitoramento e Análise de Tráfego
- Distribuído
• Possui todos os seus componentes espalhados pelo sistema, com relações
mínimas de hierarquia entre eles, não existe centralização de decisões, os
componentes trabalham em regime de cooperação para alcançar o objetivo
comum de detectar um intruso.
• Geralmente utilizados na segmentação de links com grande largura de banda, de
tal forma que nenhum pacote seja descartado pelos sensores.
22
www.resumosdeti.com.br
vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação e distribuição, sujeitando-se os infratores à
responsabilização civil e criminal.
Segurança da Informação
Segurança de Redes (Firewall, IDS, IPS e VPN),
Monitoramento e Análise de Tráfego
Comportamento Pós-Detecção
- Os IDS podem se comportar de duas maneiras distintas: passiva e ativa.
• Passivo:
▪ Apenas detecta, mas não barra o ataque;
▪ Após detecção, um evento é gerado e encaminhado ao gerente, deixando
com que o administrador do sistema possa tomar a decisão;
▪ Falsos Positivos são interpretados pelo administrador, diminuindo seus
efeitos na rede.
• Ativo:
▪ Também chamados de IPS – Intrusion Prevention System
▪ Ao detectar um ataque, ele próprio, segundo configurações realizadas pelo
administrador do sistema, realizará contramedidas automaticamente;
▪ Processos automatizados sem a intervenção do administrador;
▪ Falsos Positivos podem gerar grandes problemas na rede como um todo,
tornando-se muito perigoso.
FCC
NIDS é um sistema instalado na rede que analisa todos os pacotes e tenta detectar os
ataques como DoS.
Análise de comportamento de redes, ou NBA, da sigla, em inglês, Network Behavior
Analysis, é uma técnica que examina o tráfego da rede em busca de ameaças que geram
fluxos não usuais, como DdoS e violações de políticas da empresa ou um sistema cliente
provendo serviços de rede para outros sistemas.
O NIDS necessita ler todos os quadros que estão circulando na rede para funcionar
corretamente. Por isso, sua conexão diretamente ao switch sem qualquer configuração
adicional fará com que este não funcione corretamente. Para solucionar tal problema, a
porta do switch ao qual o NIDS é conectado deve ser configurada como SPAN (Switched
Port Analyzer).
NIDS: Sistema instalado na rede e que analisa todos os pacotes, bem como tenta detectar
ataques do tipo DoS, varredura de portas e tentativa de ataques.
PIDS: Sistema que conhece a fundo um determinado protocolo e analisa o tráfego desse
protocolo.
HIDS: Sistema que analisa o comportamento interno de uma máquina a fim de detectar
qualquer anomalia.
Os equipamentos do IPS normalmente estão conectados nos segmentos críticos da rede,
em linha, ou seja, todo o tráfego a ser inspecionado precisa passar por eles.
23
www.resumosdeti.com.br
vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação e distribuição, sujeitando-se os infratores à
responsabilização civil e criminal.
Segurança da Informação
Segurança de Redes (Firewall, IDS, IPS e VPN),
Monitoramento e Análise de Tráfego
Ao contrário do IDS, que apenas detecta e registra atividades suspeitas, o IPS reage
mediante uma situação adversa, pois, além de detectar o tráfego suspeito, é capaz de
tratá-lo.
- Podemos perceber que o tráfego passa diretamente pelo IPS, de modo que o sistema
pode optar por não transmitir um tráfego adiante, caso suspeite que seja malicioso.
• Esse comportamento é diferente do comportamento do IDS, que apenas
monitora o tráfego.
• Mesmo que o IDS tome uma ação, essa será reativa, pois não vai interferir no
tráfego da rede.
- Uma vantagem clara dos IPSs é a possibilidade de bloquear um ataque a partir do seu
primeiro pacote, o que pode ser fundamental para mitiga-lo, visto que em alguns
ataques, basta um pacote para que o atacante seja bem-sucedido (lembre-se do ping da
morte).
24
www.resumosdeti.com.br
vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação e distribuição, sujeitando-se os infratores à
responsabilização civil e criminal.
Segurança da Informação
Segurança de Redes (Firewall, IDS, IPS e VPN),
Monitoramento e Análise de Tráfego
25
www.resumosdeti.com.br
vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação e distribuição, sujeitando-se os infratores à
responsabilização civil e criminal.
Segurança da Informação
Segurança de Redes (Firewall, IDS, IPS e VPN),
Monitoramento e Análise de Tráfego
- Uma VPN proporciona conexões somente permitidas a usuários, que estejam em redes
distintas e que façam parte de uma mesma comunidade.
- Solução para alto custo de enlaces de comunicação dedicados e privados.
26
www.resumosdeti.com.br
vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação e distribuição, sujeitando-se os infratores à
responsabilização civil e criminal.
Segurança da Informação
Segurança de Redes (Firewall, IDS, IPS e VPN),
Monitoramento e Análise de Tráfego
- Tunelamento
• O conceito de tunelamento foi utilizado, inicialmente, com o objetivo de
possibilitar a comunicação entre organizações que utilizam um determinado
protocolo, empregando um meio que tem como base um outro protocolo
diferente. Ex: IPX trafegando em rede IP.
• Pode ser realizado nas camadas 2 e 3, e as duas possuem vantagens e
desvantagens.
• Túnel é a denominação do caminho lógico percorrido pelos pacotes
encapsulados.
• Simula a conexão ponto-a-ponto requerida para a transmissão de pacotes através
de uma rede pública.
FCC
A tecnologia VPN proporciona, em termos de níveis de segurança: autenticação do
usuário, criptografia e autenticação dos dados.
VPNs seguras encapsulam o quadro normal com o cabeçalho IP da rede local, mais o
cabeçalho IP da Internet atribuída ao roteador e adicionam os cabeçalhos de
autenticação e criptografia.
27
www.resumosdeti.com.br
vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação e distribuição, sujeitando-se os infratores à
responsabilização civil e criminal.
Segurança da Informação
Segurança de Redes (Firewall, IDS, IPS e VPN),
Monitoramento e Análise de Tráfego
VPNs utilizam a infraestrutura existente da Internet e são muito mais econômicas do que
as redes de longa distância (WANs).
VPNs podem ser baseadas em conexões gateway-gateway e usuário-gateway e quanto
aos tipos básicos elas podem ser:
• Virtual Leased Line − VLL.
• Virtual Private Routed Network − VPRN.
• Virtual Private Dial Network − VPDN.
• Virtual Private Lan Segment − VPLS.
• Virtual Leased Dial Network − VLDN.
Referem-se à VPN:
• Uma rede compartilhada onde a informação é separada de outras no mesmo
meio, de modo que apenas o destinatário pretendido tenha acesso.
• Um conceito arquitetural no qual uma ou mais camadas de protocolo são
repetidas, criando uma topologia virtual no topo da topologia física.
• Faz uso da infraestrutura pública de comunicações, como a internet, para
proporcionar acesso remoto e seguro a uma determinada rede localizada
geograficamente distante do local de acesso.
28
www.resumosdeti.com.br
vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação e distribuição, sujeitando-se os infratores à
responsabilização civil e criminal.
Segurança da Informação
Segurança de Redes (Firewall, IDS, IPS e VPN),
Monitoramento e Análise de Tráfego
vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação e distribuição, sujeitando-se os infratores à
responsabilização civil e criminal.
Segurança da Informação
Segurança de Redes (Firewall, IDS, IPS e VPN),
Monitoramento e Análise de Tráfego
- AH e ESP podem ser usados separadamente ou em conjunto, mas para a maioria das
aplicações apenas um deles é suficiente.
- Modo Transporte
• No modo de transporte, somente a informação (payload) é encriptada, enquanto
o cabeçalho IP original não é alterado.
• Este modo tem a vantagem de adicionar apenas alguns octetos a cada pacote,
deixando que dispositivos da rede pública vejam a origem e o destino do pacote,
o que permite processamentos especiais (como de QoS) baseados no cabeçalho
do pacote IP.
30
www.resumosdeti.com.br
vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação e distribuição, sujeitando-se os infratores à
responsabilização civil e criminal.
Segurança da Informação
Segurança de Redes (Firewall, IDS, IPS e VPN),
Monitoramento e Análise de Tráfego
- Modo Túnel
• No modo de tunelamento, todo o datagrama IP original é encriptado e passa a ser
o payload de um novo pacote IP.
• Este modo permite que um dispositivo de rede, como um roteador, aja como um
Proxy IPSec (o dispositivo realiza a encriptação em nome dos terminais).
• O roteador de origem encripta os pacotes e os envia ao longo do túnel IPSec; o
roteador de destino decripta o datagrama IP original e o envia ao sistema de
destino.
• A grande vantagem do modo de tunelamento é que os sistemas finais não
precisam ser modificados para aproveitarem os benefícios da segurança IP; além
disto, esse modo também protege contra a análise de tráfego, já que o atacante
31
www.resumosdeti.com.br
vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação e distribuição, sujeitando-se os infratores à
responsabilização civil e criminal.
Segurança da Informação
Segurança de Redes (Firewall, IDS, IPS e VPN),
Monitoramento e Análise de Tráfego
- Associações de Segurança - SA
• O IPSec fornece diversas opções para executar a encriptação e autenticação na
camada de rede.
• Quando dois nós desejam se comunicar com segurança, eles devem determinar
quais algoritmos serão usados (se DES ou IDEA, MD5 ou SHA).
• Após escolher os algoritmos, as chaves de sessão devem ser trocadas.
• Associação de Segurança é o método utilizado pelo IPSec para lidar com todos
estes detalhes de uma determinada sessão de comunicação.
• Uma SA representa o relacionamento entre duas ou mais entidades que descreve
como estas utilizarão os serviços de segurança para se comunicarem.
• As SAs são unidirecionais, o que significa que para cada par de sistemas que se
comunicam, devemos ter pelo menos duas conexões seguras, uma de A para B e
outra de B para A.
• As SAs são identificadas de forma única pela associação entre um número
aleatório chamado SPI (Security Parameter Index), o protocolo de segurança (AH
ou ESP) e o endereço IP de destino.
• Quando um sistema envia um pacote que requer proteção IPSec, ele olha as SAs
armazenadas em seus banco de dados, processa as informações, e adiciona o SPI
da SA no cabeçalho IPSec.
32
www.resumosdeti.com.br
vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação e distribuição, sujeitando-se os infratores à
responsabilização civil e criminal.
Segurança da Informação
Segurança de Redes (Firewall, IDS, IPS e VPN),
Monitoramento e Análise de Tráfego
FCC
O IPSec fornece uma função combinada de autenticação e criptografia denominada
Encapsulating Security Payload.
O protocolo de segurança IP, mais conhecido por IPSec, fornece dois modos de operação,
a saber: Transporte e Tunelamento.
No modo de transporte, o IPSec cuida da proteção ou autenticação somente da área de
dados do pacote IP.
No modo túnel do IPSec, o pacote IP inteiro é criptografado e encapsulado.
Encapsulating Security Payload (ESP) criptografa os dados em transmissão num
datagrama IP a fim de evitar que hackers tenham acesso aos dados, caso façam uma
captura desse datagrama. No IPv6 é adicionado como um cabeçalho extra.
O IPsec (processo de criptografia descrito na RFC 2406) determina que as
implementações precisam pelo menos oferecer suporte ao algoritmo: Data Encryption
Standard − DES.
O IPsec fornece a capacidade de proteger comunicações. Seu uso tem como exemplos:
• O estabelecimento de conectividade de extranet e intranet com parceiros.
• A melhoria da segurança no comércio eletrônico.
33
www.resumosdeti.com.br
vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação e distribuição, sujeitando-se os infratores à
responsabilização civil e criminal.
Segurança da Informação
Segurança de Redes (Firewall, IDS, IPS e VPN),
Monitoramento e Análise de Tráfego
- O protocol SSL provê a privacidade e a integridade de dados entre duas aplicações que
estejam se comunicando pela Internet.
• Isto ocorre através da autenticação das partes envolvidas e da criptografia dos
dados transmitidos entre as partes.
- As sessões do SSL são statefull, ou seja, elas guardam informação sobre o estado atual
da conexão de forma a impedir que algum atacante as capture.
- Cada sessão possui os seguintes parâmetros:
• Session identifier: identificador único da sessão;
• Peer certificate: certificado da outra parte da comunicação;
34
www.resumosdeti.com.br
vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação e distribuição, sujeitando-se os infratores à
responsabilização civil e criminal.
Segurança da Informação
Segurança de Redes (Firewall, IDS, IPS e VPN),
Monitoramento e Análise de Tráfego
FCC
O SSL (Secure Socket Layer) é executado entre a camada de transporte e de aplicação do
TCP/IP.
O protocolo TLS usa o algoritmo HMAC (keyed-Hashing for Message Authentication
Code), que produz hashes mais seguros que o MAC, utilizado pelo SSL.
35
www.resumosdeti.com.br
vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação e distribuição, sujeitando-se os infratores à
responsabilização civil e criminal.
Segurança da Informação
Segurança de Redes (Firewall, IDS, IPS e VPN),
Monitoramento e Análise de Tráfego
36
www.resumosdeti.com.br
vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação e distribuição, sujeitando-se os infratores à
responsabilização civil e criminal.
Segurança da Informação
Segurança de Redes (Firewall, IDS, IPS e VPN),
Monitoramento e Análise de Tráfego
- O sniffing pode ser utilizado com propósitos maliciosos por invasores que tentam
capturar o tráfego da rede com diversos objetivos, dentre os quais podem ser citados,
obter cópias de arquivos importantes durante sua transmissão, e obter senhas que
permitam estender o seu raio de penetração em um ambiente invadido ou ver as
conversações em tempo real.
FCC
Sniffing é uma técnica que consiste em inspecionar os dados trafegados em redes de
computadores, por meio do uso de programas específicos. Pode ser utilizada por
administradores de redes, de forma legítima, para detectar problemas, analisar
desempenho e monitorar atividades maliciosas ou por atacantes, de forma maliciosa,
para capturar informações como senhas, números de cartão de crédito e conteúdo de
arquivos confidenciais que estejam trafegando por meio de conexões inseguras, ou seja,
sem criptografia.
Traffic Shapping
- Traffic shaping é um termo da língua inglesa (modelagem do tráfego), utilizado para
definir a prática de priorização do tráfego de dados, através do condicionamento do
débito de redes, a fim de otimizar o uso da largura de banda disponível.
vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação e distribuição, sujeitando-se os infratores à
responsabilização civil e criminal.
Segurança da Informação
Segurança de Redes (Firewall, IDS, IPS e VPN),
Monitoramento e Análise de Tráfego
- No Brasil, suspeita-se que a prática passou a ser adotada pelas empresas de telefonia
que adotaram, em algum trecho de sua rede, tecnologias de voz sobre o protocolo IP,
apesar de condenada por algumas instituições protetoras dos direitos do consumidor.
• Estas empresas utilizam programas de gestão de dados que acompanham e
analisam a utilização e priorizam o tráfego digital (pacotes), bloqueando,
retardando ou diminuindo o tráfego de dados VoIP que contenham determinados
atributos não desejados pelo gestor da rede, assim prejudicando a qualidade do
uso deste tipo de serviço.
• A prática também é comumente adotada para outros tipos de serviços,
conhecidos por demandar grande utilização da largura de banda, como os de
transferência de arquivos P2P e FTP por exemplo, ou de "streaming" de portais
de internet que transmitem video etc.
- Os programas de traffic shaping poderão ainda fazer logs dos tipos de utilizadores, pegar
informações sobre IPs acedidos, ativar gravações automáticas a partir de determinadas
condutas, reduzir ou interferir na transferência de dados de cada utilizador, bloqueando
redes peer-to-peer (P2P) ou FTP.
FCC
Traffic shapping é uma prática que pode ser utilizada por provedores de acesso à
internet com o objetivo de limitar o tamanho da banda para os protocolos e programas
que usam mais a rede, notadamente os de transferência de arquivos grandes, como P2P.
Alguns provedores limitam, inclusive, a transmissão de arquivos via FTP. Esta prática é
realizada para garantir que os usuários, que não utilizam esses protocolos de
transferência ou não fazem downloads de grandes arquivos, possam ter acesso a outros
tipos de serviço sem enfrentar lentidão na rede, embora seja condenada por algumas
instituições protetoras dos direitos do consumidor.
Netflow
- Netflow é um recurso que foi introduzido em roteadores Cisco cuja função é coletar
características e informações sobre o tráfego de redes IP, tanto na saída quanto na
entrada de uma interface.
38
www.resumosdeti.com.br
vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação e distribuição, sujeitando-se os infratores à
responsabilização civil e criminal.
Segurança da Informação
Segurança de Redes (Firewall, IDS, IPS e VPN),
Monitoramento e Análise de Tráfego
- Looking Glass
• Diagnostica problemas na rede através da obtenção de informações sobre um
roteador sem o acesso direto ao mesmo.
- ARGUS
• Monitora redes e sistemas, acompanhando e avaliando dados referentes à
conectividade na rede, portas TCP/UDP e de aplicações como HTTP, SMTP e
RADIUS.
- Pchar
• Avalia desempenho da rede, analisando largura de banda, latência e perda de
conexões.
39
www.resumosdeti.com.br
vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação e distribuição, sujeitando-se os infratores à
responsabilização civil e criminal.