Please enable JavaScript.
Coggle requires JavaScript to display documents.
Firewalls - Iptable - IPS/IDS (Classificação dos Firewalls (Representadas…
Firewalls - Iptable - IPS/IDS
Características
Firewall é o elemento
de borda da rede
que conecta a entrada e saída dos pacotes da nossa rede.
É conhecido como ponto único de entrada, e a partir dele é possível realizar monitoramento de tráfego, controle, autenticação, e gerar logs.
DMZ - Demilitarized Zone
- área com rede de serviços comuns que podem ser acessados tanto por usuários externos como por usuários internos. Serve para isolar a rede interna, e não permitir que ela seja comprometida com acessos externos
Deve ser capaz de interpretar o tráfego que passa por ele, e avaliar se a informação é legítima ou maliciosa.
Tipos de Implementação DMZ
Dual-homed host
- um elemento atua como firewall e possui duas interfaces: uma para a rede externa e uma para a rede interna
Screened host
- formado por um firewall e um Bastion Host.
Screened-subnet host
- utiliza dois firewalls para separar a DMZ e a rede interna
Em Linux, a configuração do firewall se dá pela ferramenta
Iptables
Conceitos
Filtros
- capacidade de selecionar o tráfego que será aceito ou bloqueado pelo equipamento. Não faz papel de antivírus de forma nativa
Proxies
- elementos intermediários em uma comunicação, não havendo comunicação direta entre os clientes e servidores.
Bastion hosts
- servidor especializado para fornecer serviços ao público externo
HoneyPot
- servidor criado especificamente para obter informações a respeito de possíveis atacantes
DMZ
- rede de perímetro
Classificação dos Firewalls
Representadas a partir de qual camada o firewall atua
Firewalls de camada superiores possuem as capacidades das camadas inferiores
Firewall Bridge
-
Camada de Enlace
- configuração diretamente no dispositivo. É considerado estratégico por não possuir visibilidade externa.
Firewall - Filtro de Pacotes
-
Camada de Rede
- capaz de obter algumas informações da camada de transporte. Permite a filtragem a partir dos endereços de origem e destino, bem como portas de origem e destino. Deve-se considerar o sentido do fluxo de informação
Filtros de Pacotes Baseados em Estados
- Não se restringe à análise de cabeçalhos. Armazena os estados de todas as conexões e mantém o controle de cada uma
Proxy
-
Camada de Aplicação
- intermediam a comunicação: cliente-proxy e proxy-servidor. Se implementado
Deep Inspection
, inspeciona o conteúdo e impedem ataques. O proxy mais usado é o
Squid
Proxy Reverso
- gera benefícios na implementação de serviços http no lado do servidor. Dispõe de recursos de proteção, balanceamento e distribuição de requisições e armazenamento em cache. É capaz de responder diretamente a uma requisição, caso esteja em cache.
Web Application Firewall - WAF
- criado especificamente para proteger aplicações WEB (servidores). Geralmente é utilizado em conjunto com outras implementações. Controla o tráfego de entrada e saída e acessos aos serviços web.
Ele serve para proteger o servidor de aplicação
Iptables
Firewall do tipo
Filtro de Pacotes Dinâmico
Principais Cadeias
Input
- corresponde ao tráfego destinado ao firewall, como um acesso remoto no firewall para sua configuração.
Output
- corresponde ao tráfego que possui como origem o próprio firewall.
Forward
- corresponde ao tráfego que passa pelo firewall, não sendo ele a origem nem o destino.
Tabelas
Tabela Filter
- tabela padrão que armazena todas as regras de filtragem
Tabela Nat
- alterações de endereços de entrada e saída
Tabela Mangle
- informações a respeito de manipulações de pacotes, alteração de flags ou parâmetros de cabeçalhos
Routings
PREROUTING
- manipula endereço e porta de destino para os pacotes de entrada na rede
POSTROUTING
- manipula o endereço e porta de origem para os pacotes que saem da rede
OUTPUT
- manipula o endereço e porta de destino para os pacotes gerados localmente pelo próprio firewall
SELinux
é apenas uma extensão de segurança para o Kernel. NÃO é um firewall
IPS/IDS
Formas de Conhecimento
Base de Conhecimento
- lista específica de regras ou assinaturas que é utilizada para comparar-se determinados acessos ou pacotes.
Base de Comportamento
- análise das características e comportamentos dos pacotes ou acessos. Pode-se determinar um comportamento considerado normal ou padrão, ou atípico.
IDS - Intrusion Detection System
Sistema de Detecção de Intrusão. Funciona como um alarme: quando algo acontece, dispara uma ocorrência.
Por via de regra, não atua diretamente contra a intrusão!
NIDS - Network Based IDS
- atuam a nível de rede
HIDS - Host Based IDS
- atuam a nível de host
Não afeta o tráfego diretamente
Pode ser classificado em
passivo
ou
reativo
. O primeiro simplesmente identifica o ataque e gera logs sobre o ocorrido. O último é capaz de enviar comandos para o firewall de forma automática para bloquear ataques futuros similares
IPS - Intrusion Prevention System
É um IDS de posicionamento
in-line
, capaz de bloquear ataques de forma ativa e preventiva
Busca evitar qualquer tipo de ataque