1 / 29

Criptografia e Segurança de rede Lição 20

Criptografia e Segurança de rede Lição 20. 4ª Edição by William Stallings Lecture slides by Lawrie Brown. Lição 20 – Firewalls. A função de uma forte posição é fazer com que as forças de exploração sejam praticamente imbatível. — On War, Carl Von Clausewitz. Introdução.

alize
Download Presentation

Criptografia e Segurança de rede Lição 20

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Criptografia e Segurança de redeLição 20 4ª Edição by William Stallings Lecture slides by Lawrie Brown

  2. Lição 20 – Firewalls A função de uma forte posição é fazer com que as forças de exploração sejam praticamente imbatível. —On War, Carl Von Clausewitz

  3. Introdução • visto a evolução dos sistemas de informação • agora todos querem estar na Internet • e para interligar redes • existem persistentes preocupações de segurança • não pode facilmente obter todos os sistemas em org • normalmente usam um Firewall • para fornecer perímetro de defesa • como parte da estratégia de segurança

  4. O que é uma Firewall? • Um ponto de estrangulamento de controle e monitoramento • interconecta redes com diferentes restrições • impõe restrições à rede de serviços • apenas autoriza o tráfego que é permitido • autenticação e controlo do acesso • pode implementar com alarmes para comportamento anormal • fornece NAT e usa monitoramento • implementa VPNs usando IPSec • deve ser imune à penetração

  5. Limitações do Firewall • não pode proteger contra ataques que contornam o firewall • por exemplo, redes de espiões, utilitário de modens, organizações e serviços confiáveis (por exemplo SSL/SSH) • não pode proteger contra ameaças internas • por exemplo, funcionários descontentes ou coniventes • não pode proteger contra transferência de programas ou arquivos infectados com vírus. • devido à enorme gama de O/S e tipos de arquivo

  6. Firewalls – Pacotes de Filtros • simples e mais rápido componente de firewall • base de qualquer sistema de firewall • examinar cada pacote IP (sem conteudo), permiti ou nega, de acordo com as regras • por consequencia, restringi o acesso a serviços (portas) • possíveis políticas padrões: • que não é expressamente permitido é proibido • que não é expressamente proibido é permitido

  7. Firewalls – Pacotes de Filtros

  8. Firewalls – Pacotes de Filtros

  9. Ataques em Pacotes de Filtros • Falsificação de endereço IP (spoofing) • fornece endereço falso para ser aceito • adicionar filtros no roteador para bloquear • Ataques de roteamento da origem • ataque utilizando uma rota diferente da padrão • descartartodosospacotesqueusamessaopção • Ataques de fragmento pequenos • informações de cabeçalho dividida em vários pacotes pequenos • rejeitaroudescartartodososfragmentossubsequentes

  10. Firewalls – Pacotes de Filtros com Estado • filtros de pacotes tradicionais não analisam contexto da camada superior • Pacotes de Filtros com Estado (stateful packet filters) abordaessanecessidade • examinar cada pacote IP • acompanha sessões de cliente-servidor • verificar e valida cada pacote de IP • são capazes de detectar falsos pacotes enviados fora do contexto.

  11. Firewalls – Nível de Aplicação Gateway (ou Proxy) • têm aplicação específica gateway / proxy •  tendo pleno acesso ao protocolo • usuário solicita serviço de proxy • proxy valida pedido • retornando o resultado para o usuário • autorizando login / autenticação de tráfego em nível aplicação • necessita proxy separado para cada serviço • alguns serviços comuns suportam proxy • outros são mais problemáticas

  12. Firewalls - Nível de Aplicação Gateway (ou Proxy)

  13. Firewalls - Gateway em Nível de Circuito

  14. Bastion Host • Sistema de host altamente seguro • executa circuito / aplicação em nível gateways • ou presta serviços acessíveis externamente • garante suporte para: • hardened O/S, essential services, extra auth • proxies pequenos, seguro, independente, não-privilegiado • pode servir de suporte para duas ou mais conexões à rede • confiável para aplicar políticas de confiança na separação entre conexões de rede

  15. Configurações do Firewall

  16. Configurações do Firewall

  17. Configurações do Firewall

  18. Controle de Acesso • dado o usuário o sistema identifica • determina o recurso que ele pode acessar • modelo geral da matriz de acesso: • sujeito – entidade ativa (usuário, aplicação) • objeto - entidade passiva(arquivos ou recursos) • Direito de acesso – modo em que o objeto é acessado pelo sujeito. • pode decompor-se : • colunas como listas de controlo de acesso • linhas como capacidade de tickets

  19. Matrix de Controle de Acesso

  20. Sistemas Confiáveis • segurança da informação é cada vez mais importante • apresentam diferentes graus de sensibilidade na informação • cf militar classificações das informações: confidencial, secreto etc • sujeitos (pessoas ou programas) têm diferentes direitos de acesso a objetos (informações) • máximo nível de segurança • objetos com classificação de nível de segurança • criar formas de reforçar a confiança nos sistemas

  21. Modelo Bell LaPadula (BLP) • um dos mais famosos modelos de segurança • com políticas obrigatórias implementadas no sistema • existem duas políticas fundamentais: • Nenhuma leitura acima (no read up) • Um sujeito só pode ler um objeto que tenha um nível de segurança inferior ou igual ao seu. • Nenhuma escrita abaixo (no write down) • Um sujeito só pode escrever em um objeto que tenha um nível de segurança maior ou igual ao seu.

  22. Monitor de Referência

  23. Sistema de Avaliação • governos avaliam os sistemas de TI • contra uma série de normas: • TCSEC, IPSEC e CC - Common Criteria • defini uma série de "níveis" de avaliação, com testes cada vez mais rigorosos • são publicadas listas de produtos avaliados • visando a utilização no governo • pode ser útil também na indústria

  24. CC - Common Criteria • Iniciativa internacional das agências para desenvolver padrões e definir critérios de avaliação • incorporando normas anteriores • por exemplo: CSEC, ITSEC, CTCPEC (Canadian), Federal (US) • define normas para • critérios de avaliação • metodologia para aplicação dos critérios • procedimentos administrativos para avaliação, certificação e regimes de aprovação

  25. CC - Common Criteria • define conjunto de requisitos de segurança • tem um Alvo de Avaliação (Target Of Evaluation (TOE)) • requisitos podem estar em duas categorias • funcionais • garantia • ambos organizados em classes de diversas famílias e componentes

  26. Requisitos do Common Criteria • Requisitos funcionais • Auditoria, suporte criptográficos, comunicações, proteção de dados do usuário, identificação e autenticação, gerenciamento de segurança, privacidade,proteção das funções TOE, acesso TOE e canais confiáveis • Requisitos de garantia • Gerenciamento de configuração, entrega e operação, desenvolvimento, documento de orientação, suporte do ciclo de vida, testes…

  27. Common Criteria

  28. Critérios Comuns

  29. Sumário • Assuntos vistos: • firewalls • tipos de firewalls • configurações • controle de acesso • sistemas confiáveis • Common Criteria

More Related