O documento discute segurança de redes. Ele destaca que (1) redes se tornaram maiores, mais complexas e carregam mais dados, tornando-se mais vulneráveis; (2) a maioria das empresas investe pouco em segurança e sofre incidentes; e (3) é necessário proteger hosts, gerenciar senhas e patches, bloquear serviços e softwares maliciosos para melhorar a segurança.
2. Segurança de redes ‐ Cenári o
• Popularização do uso de redes
– Intercâmbio de acesso
– Mobilidade
– Sistemas distribuídos
• Redes se tornam maiores, mais complexas e com maior
volume de dados
• Os sistemas operacionais são naturalmente inseguros
– Até o Linux começa a ser alvo de mais ataques
4. Segurança de redes ‐ Cenári o
• Pesquisa de segurança FBI‐CSI 2008
– Pesquisa realizada com diversas empresas americanas dos mais
variados portes
– 517 empresas responderam em 2008
• Resultados
– Mais de 50% das empresas destinam menos de 5% do orçamento de
TI em segurança
– Apenas 68% das empresas possuem política de segurança da
informação formalizada
– 52% investem menos de 1% do orçamento de segurança em
treinamentos dos funcionários
5. FBI/CSI 2008 – Result.
– 60% das empresas não terceirizam qualquer parte da segurança da
informação, e outros 27% terceirizam menos de 20%
– 46% das empresas tiveram incidentes de segurança em 2008
– Maioria dos prejuízos vem de ataques externos (51% disseram que os
incidentes não envolviam funcionários)
– Tipos de incidente mais encontrados:
– Vírus (50%); Roubo de laptop (42%); Abuso de funcionário (44%);
Denial of Service (21%)
– Tecnologias de prevenção/defesa mais usadas:
– Antivirus (97%); Firewalls (94%); VPN (85%) Anti‐spyware (80%);
IDS/IPS (69%); filtro de URL (65%)
6. Resultados naci onai s
– 10ª Pesquisa Nacional de Segurança da informação – 2007
– Amostra: 600 questionários
– Problemas que geraram perdas financeiras:
– Vírus (15%); Spam (10%); Roubo laptop (8%); Vazamento de
informações (7%)
– 22% nunca fizeram e 39% fazem irregularmente análise de riscos na
TI
– Em 65% das empresas não há um procedimento formal de análise
de riscos
– Apenas 18% dos funcionários são plenamente capacitados
– Apenas 30% das empresas investem mais de 5% do orçamento de TI
em segurança
7. Segurança de rede
• Importância
– Proteção do patrimônio (informação)
– Credibilidade
– Vantagem competitiva
• Níveis de segurança
– Baseados no custo x benefício
• Análise de risco
– Identifica valores, vulnerabilidades, ameaças, contra‐medidas, etc
• Políticas e procedimentos
– Políticas: normas formais, geram o quê e porquê
– Procedimentos: modus operandi
8. Segurança de rede – conceitos base
• Autenticação – validar identidade do usuário
• Controle de acesso – nível de autorizações
• Não‐repúdio – impedir que seja negada a autoria ou
ocorrência de um envio ou recepção de informação
• Confidencialidade – descoberta não autorizada
• Integridade – alteração não autorizada na informação
• Disponibilidade – acesso à informação
9. Ameaças e ataques
• Vulnerabilidade
– Ponto fraco inerente à natureza do sistema
– Brecha: ponto fraco ou falho que pode ser explorado
• Ameaça
– Algo que afete o funcionamento da rede, comprometendo sua
operação, disponibilidade ou integridade
• Ataque
– Modo utilizado para explorar determinada vulnerabilidade
• Contra‐medidas
– Métodos de defesa dos ataques
10. Vulnerabi li dades ‐ Ori gens
• Falha no projeto de hardware ou software
– Situações não previstas, bugs, etc
• Implementação incorreta
– Má proteção física dos equipamentos
– Equipe despreparada para instalação
• Falta de gerenciamento/monitoramento
– Os dados existem, mas ninguém os verifica
11. Pri ncip ai s ameaças
• 10ª Pesquisa Nacional
• Funcionários (24%)
• Hackers (20%)
• Vírus (15%)
• 21% das empresas não conseguem identificar os
responsáveis
12. Ataques
• Interrupção (disponibilidade)
– Informação não chega ao seu destino
• Interceptação (confidencialidade)
– Informação chega ao destino e também a um outro destinatário não
autorizado
• Modificação (integridade)
– Informação faz pit‐stop e é alterada antes de chegar ao destino
• Fabricação (Autenticidade)
– Origem se passa por outra máquina para enviar informação ao
destinatário
14. Hardeni ng
• Protegendo contra incidentes nos hosts
– Restringir ferramentas administrativas
– Remover softwares desnecessários
– Remover pastas compartilhadas desnecessariamente
– Desativar portas USB
– Controlar permissões de arquivo
– Usar grupos de usuários para conceder apenas as permissões
necessárias (Ex. Admin x Power User)
– Logar informações de segurança
– Remover usuários e contas inativos
– Antivírus, Patches
– Uso de firewall no host (opcional)
15. Gerenci amento de senhas
• Primeira linha de defesa contra invasores
• Usuários utilizam login e senha para acessar sistemas
– Senhas normalmente armazenadas criptografadas
– Arquivos de senha normalmente protegidos
• Estudos indicam que usuários normalmente escolhem
senhas de fácil adivinhação
• Para diminuir essas ocorrências, algumas medidas são
usadas para incentivar usuários a usar senhas mais fortes
16. Gerenci amento de senhas
• Guias para senhas seguras
– Ter um tamanho mínimo (geralmente 6 ou 8 caracteres)
– Usar sempre letras maiúsculas, minúsculas e números
– Não usar palavras comuns
– Não usar datas de nascimento
• Maneiras de assegurar o uso de senhas seguras
– Educação dos usuários – pouco eficaz
– Geração por computador – baixa aceitação de usuários; difícil de
decorar
– Verificação reativa – rodar ferramentas periodicamente para
verificar se há senhas inseguras na rede. Pouco prático
– Verificação proativa – Sistema verifica aceitabilidade; próprio
usuário escolhe a senha.
17. Patches
• Problemas da auto‐instalação de patches
– Problemas com confiabilidade
• Patches não podem ser testados tanto quanto uma nova versão
• Conflitos entre patches
• Instalar automaticamente.... Em uma máquina crítica?
– Ataques podem ser direcionados a um fornecedor
– Muitas vezes, a melhor política é o workaroung
• i.e. desabilitar determinada funcionalidade até que o patch esteja
estável
18. Servi ços vulnerávei s
• Muitos ataques exploram serviços vulneráveis
• Soluções
– Bloquear requests àquele serviço
• Identificados por protocolo, porta
• Ineficaz para novos serviços ou serviços em portas alternativas
– Permitir apenas serviços essenciais e específicos
• Bloqueia serviços novos ou maléficos
• Serviços maléficos inteligentes podem se esconder
19. Bloquei os
• Descarte
– Silencioso
– Interessante para pacotes maliciosos
• Não utiliza recursos desnecessariamente
• Não expõe informações internas
• IP de origem normalmente é vítima de Spoof
• Rejeição
– Melhor se a conexão for legítima
20. Bloquei o em TCP/IP
• Bloqueio de incoming requests de TCP
– Lembrete: 3‐way handshake é iniciado pelo cliente
• Exceção: servidor FTP é quem inicia a conexão de dados
– Clientes internos iniciam da rede interna
– Atacantes iniciam conexões de fora
– Destino responde ao SYN do cliente com um SYN+ACK
• Solução: Bloquear pacotes SYN que não tenham SYN+ACK
– Exceção: Servidores públicos (www, smtp, etc)
• Separar em outra subrede, com DMZ
21. Bloquei o em TCP/IP
• Bloqueio de incoming requests de UDP/ICMP
– Lembrete: UDP não é orientado à conexão
– Pode usar endereços IP spoofed
– Aplicações UDP são normalmente request/response
• Não há flag request/response no datagrama UDP
– Soluções
• Bloquear todo tráfego UDP
• Permitir apenas para algumas aplicações específicas
22. Softwares Mali ci osos
• Grande volume de ataques é baseada em características de
TCP/IP
– TCP/IP é praticamente universal em LANs e na Internet
• Vírus
– Fragmento de código parasita que precisa de um programa
verdadeiro “hospedeiro” para funcionar
– Ativado pela execução do código infectado
– Propaga pela infecção de outros programas; e‐mail ou cópia do
programa infectado
• Worm
– Programa independente, feito para se propagar automaticamente
via rede e ativar nos sistemas infectados.
23. Vírus
• Código viral se insere no código verdadeiro
– Tamanho do executável infectado será maior que o original
– Vírus compactam o original para manter o tamanho
• Tipos de vírus
– Parasitas – ligados a executáveis. Replicam com a execução do
programa
– Residentes na memória – parte de um sistema residente. Afeta
qualquer programa executado
– Boot sector – infecta área de boot de um disco e se espalha quando
o sistema for bootado pelo disco
– Continua...
24. Vírus
• Tipos de vírus (cont...)
– Stealth – Vírus desenhados para burlar a detecção de softwares
antivírus (compressão; interceptação de I/O)
– Polimórficos – Vírus que mutam a cada infecção, fazendo com que a
detecção da assinatura se torne muito mais difícil
– Vírus de macro – Infecta documentos e não executáveis.
• Normalmente produtos da família Microsoft Office
• Espalha‐se facilmente por e‐mail
• Uma macro auto‐executável é o gatilho do vírus
• Microsoft tem investido na segurança das macros
25. Anti vi rus
• Defesa primária para vírus e outros maliciosos
• Trabalha com detecção, identificação e remoção
• Gerações de antivírus
– Scanners simples (tamanhos de programas)
– Scanners de heurística (checagem de integridade com CRC)
– Traps de atividade (reside na memória e detecta ações suspeitas)
– Proteção total (Várias técnicas utilizadas, proteção para demais
malwares, capacidade de controle de acesso)
26. Anti vi rus – Técni cas avançadas
• Generic Decryption
– Detecta facilmente inclusive vírus polimórficos
– Computador pessoal não é afetado
– Usa conceito de emulação de ambiente
• Emulador de CPU
• Scanner de assinatura
• Módulo de controle de emulação
• Behavior blocking
– Monitora em tempo real o comportamento das aplicações
– Procura por pedidos específicos ao OS: modificações de
configuração; formatação de discos; modificações de arquivos; etc
27. SW Mali ci osos
• Trojan Horse
– Código malicioso que se esconde dentro de um programa ou
disfarça de programa legítimo
– Realiza alterações sem conhecimento do usuário
• Back (ou Trap) Door
– Forma não documentada de ganhar acesso a um sistema
– Pode ser criada pelo criador ou alterada por terceiros para acesso
privilegiado
• Bomba lógica
– Fragmento de código malicioso, ativado por determinada condição
– Caso comum: Programador mal intencionado
28. SW Mali ci osos
• Bots
– Programa capaz de se reproduzir através da rede
– O bot “executa” dentro da máquina hospedeira e permite comunicação
com o invasor, que orienta diversas medidas
– Botnet – rede de bots que podem ser usadas em spams, fraudes..
• Keylogger ou Screenlogger
– Programa que “grava” as ações do usuário em determinado computador
(digitação ou tela, por exemplo)
29. SW Mali ci osos
• Spyware
– Software instalado sem o consentimento do usuário
– Monitora as atividades de um sistema e as envia para terceiros
– Pode coletar vários tipos de informação: hábitos de navegação no
internet; sites acessados; instalar outros malwares
• Rootkit
– Conjunto de ferramentas que ocultam a presença de um invasor
30. Proteção a SW mali ci osos
• Scanners
– Identifica códigos maliciosos conhecidos (assinaturas)
• Integrity Checker
– Determina se o código foi alterado – baseado em checksum
• Monitores de vulnerabilidade
– Previne modificação ou acesso a partes sensíveis do Sistema
– Ex. Windows DEP
• Behavior blocking
31. Ataques
• Port Scanning
– Varredura de portas para reconhecimento
– Detecta informações e serviços ativos em determinada máquina
• Spoofing (Falsificação ou disfarce de identidade)
– Spoofing de IP: Uso de máquina com IP aceito pelos sistemas de
validação (roteador, firewall)
– Sequence Number Spoofing: Uso dos SEQs TCP para inserção no
meio da conexão
– Replay: Interceptar e capturar transmissão legítima, inserindo
dados. Pode ser evitada por timestamp
32. DNS Sp oofi ng
• DNS pode sofrer uma série de ataques via spoofing:
• Man in the Middle (Homem no meio)
– Interposto no meio da comunicação entre estação e servidor
– Registro de domínio parecido (ex. www.terrs.com.br)
• Redirecionamento
– Inserção de links para destinos falsos
• DNS Poisoning (envenenamento)
– Dados de DNS não confiáveis, pois não são originários dos DNS raiz
– Responde antes do DNS verdadeiro
33. Ataques
• Buffer Overflow
– Um processo excede o buffer alocado para determinada informação
• O dado extra sobrepõe o dado original
– Pode explorar o heap (variáveis dinâmicas) ou as stacks
• Stack: Sobrepõe dados para mudar a execução de função
• Heap: Altera os dados dinâmicos. Pode corromper dados, estruturas
internas, causar travamentos, etc
– Formas de se defender
• Escolha correta da linguagem de programação
• Usar libraries mais seguras
• Proteção das pilhas (verificação de alteração)
• Proteção dos executáveis (causa exceção ao tentar executar)
35. Ataques
• Sniffing (“Grampo”)
– Monitoramento de pacotes na rede
– Coleta informações não criptografadas na rede: endereços IP;
senhas em plain text (telnet; smtp; etc)
• Web Site defacement
– Uso de mensagens de protesto/aviso em home‐pages verdadeiras
– Exploração de configuração frágil
36. Ataques
• DoS – Denial of Service
– Interrupção da disponibilidade de determinado serviço para seus
usuários legítimos
– A simples interrupção do serviço já causa prejuízo ao
funcionamento, inclusive financeiro
• Tipos básicos de ataques de DoS:
– Sobrecarga no consumo de recursos do sistema (memória,
processador, etc)
– Alterações nas configurações do dispositivo
– Obstrução do canal de comunicação
38. Tip os de DoS
• SYN Flooding
– “Inunda” o receptor de SYNs
– Ataque ao 3‐way handshake do TCP/IP
– Atacante envia SYNs mas não responde ao SYN‐ACK do receptor,
estourando os buffers de conexão no servidor
– Aplicação não consegue responder às requisições verdadeiras
• Ping of Death ( Ping da morte)
– Envia pacotes PING com tamanho de pacotes ICMP maior do que o
normal, para derrubar a conexão do receptor
• Smurf
– Atacante envia um ICMP ECHO a todas as máquinas da rede, com IP
de origem spoof da máquina alvo ‐ Sobrecarga
39. Tip os de DoS
• Application Level floods
– Mais comum: IRC
• Nuke
– Um dos tipos mais antigos de DoS
– Envia fragmentos ICMP inválidos (causava tela azul no W95)
• Distribuído (DDoS)
– Vários computadores infectados atacam um sistema ao mesmo
tempo
– Muitos malwares trabalham com esse conceito (MyDoom)
40. Ataques em correi o eletrôni co
• Spam
– Envio de e‐mails não solicitados em larga escala
– Usados para propaganda, marketing, etc
– Quantidades grandes podem ser usados para causar DoS em
servidores smtp
– Falsos e‐mails de descadastramento podem ser usados para
descobrir endereços válidos
• Phishing
– Mensagens falsas que se passam por instituições (bancos,
empresas), com o objetivo de obter dados pessoais e financeiros de
usuários
– Geralmente conduz a um site falso e instala “Malwares”
43. Fi rewall – fi ltro de p acotes
• Foco principal: analisa os cabeçalhos dos pacotes para
aceitar/negá‐los
• Regras podem definir comportamentos em ambas as
direções
• Tipo mais básico e comum de firewall
• Vantagens
– Velocidade e flexibilidade
• Desvantagens
– Dificuldade em gerenciar muitas listas
– Inadequado para redes complexas
– Não analisa dados das camadas superiores
44. Fi rewall – Stateful
• Combinação de filtro por pacotes e gateway
• Adiciona conhecimento da camada 4 ao fw comum
• Guarda as informações de sessão
• Suporte maior a protocolos de camada 7
• Vantagens
– Entende TCP SYN, ACK, etc
– Suporta mais protocolos que o packet‐filter
• Desvantagens
– Não há exame das informações de aplicação
– Alto custo – monitoramento da sessão realtime
45. Fi rewall – Ap li cati on p roxy
• Todos os dados do pacote são examinados, incluindo a
camada de aplicação
• Também funciona com base em regras estabelecidas
• Tipo mais seguro de firewall
• Vantagens
– Capacidade de logging mais apurada
– Menos vulnerável a spoofing de endereço
• Desvantagens
– Uso de proxy para cada serviço da rede é essencial
– Menos throughput
46. Fi rewall – Regras
• As políticas de filtros de pacotes são chamadas de ACL
– É geralmente uma lista de regras
• As regras são pares (Seleção, Ação)
– Regras normalmente processadas em determinada ordem
– Seleção identifica se a regra se aplica àquele pacote
• Ex. protocol=UDP, SrcPort=7 (Echo)
– Ação define o que fazer com os pacotes
• Ex. silently discard (block echo requests)
47. Fi rewall – Regras
• Selectors
– Possuem campos e valores atribuíveis
– Campos: SrcIP; DestIP; SrcPort; DestPort; Protocol; Flags...
– Valor: IpAddr; Port #; Protocol; Tipos; Hops...
– Exemplo
• Protocol=UDP [And DstIP = *.*.*.FF]
• Bloqueia todo o tráfego UDP para endereço broadcast
• Ações
– Allow
– Discard
– Reject
– Log/Alert
48. Fi rewalls – Op ções ACL
• Permita todos e negue alguns;
• Negue todos e permita alguns
– Mais seguro, porém com custo administrativo maior
• Permitir determinados serviços em uma direção
– Rede > Internet: http; ftp; dns
– Todos > Rede: smtp
– Servidor MX > internet: smtp
49. Fi rewalls – Arqui teturas
• Screened‐host
– Combina um roteador com filtro de pacotes e um firewall dedicado
• Dual‐homed host
– Host contém 2 placas de rede; Uma ligada à rede interna e outra à
rede externa
• Screened‐Subnet (com DMZ)
– Provê uma área intermediária entre a rede confiável (interna) e a
desconhecida. A área é conhecida por demilitarized zone (DMZ)
50. Fi rewalls – DMZ
• Bloquear requests é uma boa prática, mas é necessário
prover alguns serviços públicos
– www; smtp; ftp, etc
• DMZ é a solução
– DMZ é protegido por firewall
– É menos segura, mas é separada da rede interna
– Contém os servidores que devem ter acesso público
• Outras características
– Pode ter configurações com 2 FW ou 1 FW
– Pode permitir conexões para servidores específicos dentro da rede
(correio)
52. Fi rewalls – Regras de acesso
• Bloqueie o tráfego para o firewall
– Descarte quando o IP destino for o FW
• Interno e externo
– Previne ataques ao FW
– Exceção: Máquina do administrador
• Permitir acesso apenas ao console de administração (shell ou http)
• Apenas com protocolos seguros (SSH; HTTPS; IPSec)
– Assegurar segurança física de acesso ao FW
53. Fi rewalls – Li mi tações
• Apenas provê proteção do perímetro
• Tráfego criptografado não pode ser analisado
• Até os firewalls de aplicação podem não ser capazes de
verificar todo o conteúdo
• Não há checagem contra malwares nos downloads
• Volume de tráfego pode esconder muitos ataques
• Não protege a rede interna se um malware já está dentro da
rede
54. Exercíci os
• (Serpro/08 – Cespe) Firewalls por inspeção de estado permitem mais
granularidade e especificidade na filtragem de tráfego que filtros de pacotes
sem estado.
• Geralmente, firewalls restringem‐se a inspecionar cabeçalhos, sendo ineficazes
para filtrar ataques focalizados em vulnerabilidades específicas de aplicações.
• (STJ/08 – Cespe) Ataques denominados buffer overflows, tanto na heap quanto
a stack, levam à execução arbitrária de código, podendo ser evitados pela
retirada de privilégios de execução e pela checagem de integridade das
estruturas citadas.
• Em geral, firewalls com inspeção de estado evitam ataques do tipo buffer
overflow.
• Em redes IP que utilizam switches, pode‐se realizar a escuta do tráfego com o
ARP spoofing.
55. Exercíci os
• (CGU/08 – Esaf) Assinale a opção que não compreende uma
informaçãorelevante a decisões em fi ltragem de pacotes.
• a) Porta UDP (User Datagram Protocol) destino.
• b) Tipo de mensagem ICMP (Internet Control Message Protocol).
• c) Endereço IP do gateway de aplicação.
• d) Datagramas de inicialização de conexão usando bits TCP SYN.
• e) Linha de requisição de uma mensagem de pedido HTTP (HyperText Transfer
Protocol).
57. Exercíci os
• (TST/08 – Cespe) O firewall, que tem por objetivo implementar mecanismos
básicos de segurança para rede corporativa, não protege a rede denominada
EXT de ataques provenientes da Internet.
• As redes INT e DMZ estão interligadas pelo equipamento comutador 2. Desse
modo, mesmo que do ponto de vista da interconexão IP essas sejam redes
separadas, elas necessariamente têm conectividade em nível de enlace, o que
fragiliza a segurança implementada pelo firewall.
• O sistema firewall utiliza NAT para prover conectividade aos sistemas
computacionais ligados à rede IP, denominada INT.
• O servidor de e‐mail implementa os protocolos SMTP, POP3 e IMAP.
• O equipamento roteador executa funções das camadas 1, 2 e 3 do modelo OSI.
• O sistema firewall deve ter três endereços IP, cada um deles atribuído a cada
uma de suas interfaces. O endereço IP da interface conectada à rede
denominada DMZ é 200.120.12.17.
58. Exercíci os
• (TCU/07 – Cespe) Uma técnica comumente usada na segurança de redes é o
estabelecimento de um perímetro de segurança cuja finalidade é controlar o
tráfego ingresso na rede e o egresso da rede.
• Roteadores de borda, firewalls, IDSs, IPSs e VPNs são alguns dos principais
elementos do perímetro de segurança da rede.
• Em geral, os firewalls inspecionam todo o pacote, enquanto os IDSs
inspecionam apenas os cabeçalhos.
• Algumas providências que um processo de hardening deve incluir são: limitar o
software instalado àquele que se destina à função desejada do sistema; aplicar
e manter os patches atualizados, tanto de sistema operacional quanto de
aplicações; revisar e modificar as permissões dos sistemas de arquivos, em
especial no que diz respeito a escrita e execução; reforçar a segurança do login,
impondo uma política de senhas fortes; habilitar apenas os serviços necessários.
59. Exercíci os
• (BASA/06 – Cespe) A realização de cadastro de endereços IP e(ou) MAC
dosterminais autorizados a realizar o acesso não é uma medida
necessariamente eficaz para evitar ataques relacionados ao uso de sítios web
falsos que imitam os sítios legítimos.
• Manter um sistema de antivírus e anti‐spyware atualizado e ativado é uma boa
medida para prevenir ataques que se utilizam de programas maliciosos, ainda
que essa medida não seja suficiente, uma vez que esse tipo de sistema não é
capaz de detectar a presença de programas do tipo trojan.
• Ataques do tipo man‐in‐the‐middle não são possíveis em serviços de Internet
banking de instituições brasileiras.
60. Exercíci os
• (Pref. Vitória /07 – Cespe) Há ataques que resultam na negação de serviços
(denial of service). Esse tipo de ataque se caracteriza pelo consumo excessivo de
recursos, tornando os recursos escassos ou mesmo indisponíveis.
• Um programa do tipo vírus é, tipicamente, capaz de se duplicar e se inserir em
programas ou em arquivos. Alguns vírus são escritos nas linguagens de comando
de programas como editores de texto.