Perímetros de segurança
Perímetro de segurança em redes Sumario Sumário Introdução 4 Segregação de redes 5 Zona Desmilitarizada (DMZ) 6 Serviços no DMZ6 Tipos de Guarda. Fog07 gastion Hosts g Design: 9 Documentação 10 Hardware/Software Instalação 11 Verlficação 12 Firewalls 14 Características de u orao to view nut*ge Cuidados na implementação de um firewall 14 Politica de firewall / controle de acess014 Proteção de perimetro 17 Rede de Perímetro 17 Segurança em Redes de Dados 19 Assinatura Digital: 19 Certificados 19 SSL 20 Criptografia 21 Chave simétrica 21 Chave assimétrica22 proxy 24
Vian 25 Rede Wireless26 Arquiteturas 26 Servidores FTP * Servidores Volp Servidores Web que se comunicam com um banco de dados interno requerem acesso a um servidor de banco de dados, que pode não ser acesslVel ao público e pode conter informações confidenciais. Os servidores web podem se comunicar com servidores de banco de dados diretamente ou através de um firewall de aplicação por razões de segurança.
E-mails e principalmente de banco de dados do usuário são informações confidenciais, então eles são normalmente armazenados em semdores que não podem ser acessados a artir da Internet (pelo menos não de forma insegura), mas pode ser acessado a partir dos servidores SMTP que são expostos a Internet. Os servidores da DMZ devem ser endurecidos, tanto quanto possível (mantendo a sua acessibilidade para aqueles que precisam acessá-los).
Isto significa: * Todos os serviços desnecessários devem ser desabilitados; * Serviços necessários devem ser executados com os menores privilégios posslVeis; * As senhas fortes ou passphrases devem ser usadas; * Contas de usuário desnecessárias devem ser excluídas ou desativadas e contas padrão devem ser disfarçadas: renomear, lterar a descrição, etc; * Sistemas devem ter as últimas atualizações de segurança e patches aplicados; Segurança de log deve ser habilitada (e você deve verificar os logs com freqüência)Dictionary. adjective destinado Bottom of Form PAGF estes são: 1 . Guarda-fogo único 2. Guarda-fogo duplo 3. Anfitrião de DMZ 1. Guarda-Fogo Único (Single firewall) Um guarda-fogo único com mínimo de 3 interfaces da rede pode ser usado para criar uma arquitetura de rede que contem um DMZ. A rede externa é dada forma do ISP ao guarda-fogo na primeira relação da rede, a rede interna é dada forma da segunda elação da rede, e o DMZ é dado forma da terceira relação da rede.
O guarda-fogo transforma-se em um único ponto da falha para a rede e deve-se segurar todo o tráfego que vai ao DMZ e todo o tráfego da rede interna também. Single Firewall DMZ (Sangre Viento, English Wikipedia project) 2. Guarda-Fogo Duplo (Dual firewall) Uma aproxmação mais segura é usar dois guarda-fogos cnar um DMZ. O primeiro guarda-fogo (chamado também o guarda-fogo ‘front end”) deve ser configurado para permitir tráfego destinado ao DMZ somente. O segundo guarda-fogo (chamado também guarda-fogo “back-end”) permite somente o tráfego do DMZ ? ede interna.
Esta instalação é considerada mais segura desde que dois dispositivos necessitariam ser comprometidos. Há ainda mais proteção se os dois guarda-fogos forem fornecidos por dois vendedores diferentes, porque é mais (menos) provavelmente que ambos os dispositivos sofrem as mesmas vulnerabllidades da segurança. Dual Firewall DVIZ (Sangre Viento, English Wiki edia ro•ect) PAGF 3 as portas de outra forma encaminhados. Por definição, este não é um verdadeiro DMZ (zona desmilitarizada), uma vez que por si só não separar o host da rede interna.
Ou seja, o host DMZ é apaz de se conectar aos hosts da rede interna, enquanto que acolhe dentro de uma DMZ real são impedidos de se conectarem com a rede interna por um firewall que separá-los, a menos que o firewall permite a conexão. Um firewall pode permitir que este seja uma série sobre os pedidos da rede interna primeiro uma conexão com o host dentro da DMZ. O host DMZ fornece nenhuma das vantagens de segurança que fornece uma sub-rede e é usado frequentemente como um método fácil de encaminhar todas as portas para outro dispositivo de firewall / NAT.
Bastion Hosts Um “Bastion Host” é um computador de propósito específico m uma rede especificamente projetada e configurada para suportar os ataques. O computador geralmente hospeda uma única aplicação, por exemplo, um servidor proxy. Todos os outros serviços são removidos ou limitado para reduzir a ameaça ao computador. É endurecido dessa forma principalmente devido à sua locallzação e finalidade, que é tanto do lado de fora do firewall ou na DMZ e, geralmente, envolve o acesso de redes não confiáveis ou computadores. O termo é geralmente atribuído a Marcus J.
Ranum em um artigo sobre firewalls. Nele, ele define como anfitriões do Bastion: “… system identified by the firewall administrator as a critical strong point in the network’s security. Generally, bastion hosts WIII have some degree of extra attention paid to their securlty, may undergo regular audits, and may have modified software. ” Em portugues: to their security, may undergo regular audits, and may have modified software. ” um sistema identificado pelo administrador do firewall como um ponto crítico forte na segurança da rede.
Geralmente, “bastion hosts” terá algum grau de atenção extra pago para sua segurança, podem ser submetidos as auditorias regulares, e pode er modificado o software. ‘ Há duas configurações de rede comuns que incluem “Bastion Hosts” e sua colocação. O primeiro requer dois firewalls, com “Bastion Hosts” sentado entre o primeiro “mundo exterior”, firewall e um firewall para dentro, em uma zona desmilitarizada (DMZ). Muitas vezes as redes menores não têm múltiplos firewalls, por isso, se só existe um firewall em uma rede, “Bastion Hosts” são normalmente colocados fora do firewall.
Tipos de “Bastion Hosts” incluem: * Servidor DNS (Domain Name System) * Servidor de E-mail ‘k Servidor FTP (File Transfer Protocol) * Honeypot * Servidor Proxy Servidor VPN (Virtual Private Network) * Servidor Web Há 5 considerações quando se trata de bastion hosts: design, documentação, hardware/ software, instalação e verificação. Design: Você deve finalmente decidir quais serviços precisam estar em um host bastião. O ideal seria ter um serviço por host, mas isso não costuma trabalha s o custo é geralmente ataque. “Only the services that the network administrator considers essential are installed on the baston host.
The reasonlng is that if a service is not installed, it can’t be attacked. ” (Semeria, Chuck. Internet Firewalls and Security. EM portugues: “Só os serviços que o administrador de rede considera essenciais estão instalados no “Bastion Host”. O raciocínio é que se um serviço não é instalado, ele não pode ser atacado. ” A configuração ideal para os “Bastion Hosts” é utilizando 2 firewalls e rateadores. O primeiro firewall eo rateador seria em uma sub-rede eo DMZ, contendo os “Bastion Hosts” em outro. Um segundo firewall eo rateador, então, ligar o DMZ para a Internet e outras redes e computadores.
Isto é apenas expor o DMZ para o mundo exterior. Topografia de Bastion Hosts Usando DMZ de Guarda-Fogo Duplo Esta concepção torna muito mais difícil para um hacker para obter o acesso à rede interna que tem 3 níveis de segurança para quebrar antes que seja possível ver a CAN. No momento em que isso acontece, você deve estar ciente do ataque e tomar medidas preventivas para garantir que o hacker não será bem sucedida, ou pelo menos tomado uma postura defensiva. Documentação É extremamente importante documentar todo o projeto completamente.
Isso ocorre porque o sistema terá de ser reconstruído em algum momento e a documentação irá assegurar que nada está p o fazê-lo. Também uando novas técnicas de teste são necessárias. Também é importante manter esta documentação atualizada com as alterações feitas na configuração e regime de testes. O sistema de hardware e operacional deve estar familiarizado. Isto é essencial como a rede pode ser vulnerável se você está tentando aprender um novo sistema operacional ao mesmo tempo tentando endurecer, o que, por sua vez, poderia levar a vulnerabilidades e falhas de segurança que estão sendo deixadas em aberto.
Um hospedeiro bastião geralmente não tem de ser uma máqulna rápida, uma vez que é limltada pela sua ligação ? Internet. Na verdade, uma máquina mais lenta é muitas vezes um impedimento a um invasor-ser desde uma máquina mais lenta nao terá os recursos de espera ociosa. A máquina só deve ter hardware suficiente para concluir a instalação e para a manutenção, com exceção de espaço em disco como registros deverão ser armazenados.
Uma vez que a máquina é construída, hardware, tais como CD- ROM e drives de disquetes pode ser removido para segurança adicional, mas uma unidade de fita removível, CDRW ou disco rígido removível será exigida para fins de backup ou de imagem. Localização de segurança é tão importante quanto a segurança da máquina, como os ataques podem vir de dentro da empresa, bem como de fora, mas geralmente não intencionalmente. Instalação Ao Instalar o bastion host, você deve assumir que o sistema ficará comprometido, a fim de tomar todas as medidas para reduzir esse risco.
Pergunte a si mesmo estas perguntas a cada passo que você der para garantir que você nunca deixou um buraco na PAGF 7 para garantir que você nunca deixou um buraco na segurança. 1. É protegido de invasores? 2. Quando é comprometida, irá a integridade da rede interna ainda ser protegida? Uma lista de verificação de instalação é de valor inestimável, como mostra este trecho de “guilding Internet Firewalls” “The basic hardening process is as follows: 1. Secure the machine. 2. Disable all non-required services. 3. Install or modify the services you want to provide. 4.
Reconfigure the machine from a configuration suitable for development into its final running state. 5. Run a security audit to establish a baseline. 6. Connect the machine to the network it Will be used on. ” (Zwicky, Elizabeth D. , Simon Cooper and Brent D. Chapman. Page 131. ) Você vai preclsar instalar uma versão segura do sistema peracional. Instalar o sistema operacional de base e, em seguida, a instalação de patches e / ou Service Packs geralmente faz isso. Certifique-se de verificar o site do desenvolvedor do sistema operacional para a sua lista de atualizações.
Uma vez que uma cópia segura do sistema operacional base é instalado e completamente atualizado, você terá de proteger o sistema. Estas são algumas idéias para endurecer o sistema: * Desative ou remova qualquer serviço que não é especificamente necessária para o acolhimento de funcionar corretamente. * Não se esqueça dos servi os de de verificar se os serviços de endência. Você terá que de serviços que você hospedeiro. Desligue serviços um de cada vez e teste para a funcionalidade. Se o sistema continua a funcionar adequadamente, documentar a mudança e passar para o próxmo serviço.
Se o sistema falhar, restaurar o serviço e avaliar seu impacto na segurança. Você deve prestar atenção especial aos serviços que não podem ser desativados. * As contas de usuário não deve existir em “Bastion Hosts”, pois os usuários não devem ser capazes de acessar os anfitriões do console. Remova todas as contas desnecessárias, incluindo hóspedes, e deixar apenas a conta do administrador. Roteamento e trusts são pergosos para o regme geral de segurança se não implementado corretamente. Certifique-se de roteamento não está habilitado a menos que naturalmente você estiver usando um host bastião como um roteador.
Roteamento enfraquece o propósito da postura do host bastião de segurança. O “Bastion Host” deve ter também relações de confiança limitadas com outros sistemas se o host pode encaminhar para um sistema ou conectar a um sistema confiável na rede interna, então você tem menos uma camada de defesa. * O sistema deve ser totalmente configurado, endurecido e estado antes de ser conectado a qualquer rede ao vivo, embora possa ser conectado a uma rede local segura para configuração, desde que a rede não tenho nenhuma conexão com o mundo exterior ou da rede interna. Remova todos os compiladores e as ferramentas de desenvolvimento de sistemas como elas poderiam ser usadas contra o sistema que eles estão instalados. ‘k Redes sem fio não devem ser utilizadas como, por sua própria natureza, elas são mais aberta para atacar. De utilizadas como, por sua própria natureza, elas são mais aberta para atacar. Desative qualquer conexão sem fio e remova o hardware se possível. Verificação Quando o sistema estiver instalado, você precisará estabelecer uma base para comparar a utilização do servidor com uma base regular.
Para fazer isso, verificar e registrar o seguinte: * A utilização do processador * Utilização da memória * Logs do slstema Essas linhas de base lhe dará uma compreensão gravada de como o sistema opera normalmente. Há também pacotes de software disponíveis para automatizar esse processo. O servidor precisa de ser testado, sem esquecer de documentar os procedimentos, antes que possa ser ligado à rede vivo. Há também pacotes de software disponlVels para automatlzar sse processo. Como avaliação final, verifique a documentação novamente e certifique-se de nenhuma das etapas foram perdidas.
Se você tiver que modificar ou instalar serviços que não tenham sido testados em seu ambiente, testá-los após a instalação para verificar se deve ou não trabalhar com a sua política de segurança da rede. Se possível, é uma boa idéia para executar um scanner fragilidade da rede, uma vez que irá ajudá-lo a detectar eventuais falhas em seu servidor. Você pode ter estes resultados e fortalecer o seu host para evitar ataques reais. Nota: Isso só deve ser feit de teste separada.