Segurana de RedesArquitetura

Cssio Alexandre Ramos cassioaramos (at) gmail (dot) com http://www.facebook.com/cassioaramos http://cassioaramos.blogspot.com

Sumrio
Introduo Requisitos Bsicos e Projeto de Defesa Ameaas e Tipos de Ataques Segurana de Permetro Segurana de Backbone Segurana de Desktop e Rede Local Metodologia de Ataque
27/12/11 2

Introduo
Por que Segurana?
Estamos cada vez mais dependentes dos sistemas de informao A Internet vulnervel foi concebida utilizando protocolos inseguros Segurana no est somente relacionada com invaso de sistemas

27/12/11

Pesquisa Nacional de Segurana da Informao [Modulo 2004]:

! 42% das empresas tiveram problemas com a Segurana da Informao; ! 35% das empresas reconhecem perdas financeiras. 65% das empresas no conseguiram quantificar essas perdas; ! Vrus, Spam, acessos indevidos e vazamento de informaes foram apontados como as principais ameaas segurana das informaes nas empresas; ! O percentual de empresas que afirmam ter sofrido ataques e invases de 77%; ! 26% das empresas no conseguem sequer identificar os responsveis pelos ataques; e ! 58% dos entrevistados sentem-se inseguros para comprar em sites de comrcio eletrnico.

27/12/11

Requisitos Bsicos da Segurana

-! Confidencialidade -! Integridade -! Disponibilidade

Confidencialidade

Integridade

Disponibilidade

27/12/11

Requisitos Bsicos da Segurana

Confidencialidade: Certeza que somente as pessoas autorizadas a acessar os dados podem acess-los

Integridade: Certeza que os dados no foram alterados - por acidente ou intencionalmente

Disponibilidade: Certeza que os dados esto acessveis quando e onde forem necessrios
27/12/11 6

Requisitos Bsicos da Segurana

" ! Elementos Utilizados para Garantir a Confidencialidade " ! Criptografia dos dados " ! Controle de acesso " ! Elementos para garantir a Integridade

" ! Assinatura digital " ! MD5- hash

" ! Elementos para garantir a Disponibilidade " ! Backup " ! Tolerncia a falhas " ! Redundncia

27/12/11

Projeto de Defesa
Como se Defender?
Preveno mecanismos que devem ser instalados no sistema para evitar ataques Deteco como detectar os ataques. Como saber se esto acontecendo Resposta como responder aos ataques Poltica de Segurana formalizao e sistemas que implementam a poltica

27/12/11

Projeto de Defesa
Defesa em Profundidade
Mltiplas barreiras entre quem ataca e o recurso que se quer proteger Quanto mais fundo o atacante quer chegar, mais difcil ser Aumentar o custo do ataque O principal da defesa em camadas que um componente complemente o outro formando um sistema mais seguro

Principio do Menor Privilgio

27/12/11 9

Ameaas e Tipos de Ataque

Ameaas
Backdoors, bots, exploits, Trojans, malwares etc Virus, Worms, Spams, Hoax, fishing scam etc Hackers, Crackers, Defacers, spammers, funcionrios, exfuncionrios Falhas (vulnerabilidades) em S.O, aplicativos e protocolos

27/12/11

10

Ameaas e Tipos de Ataque

Tipos de Ataques
Hijacking, cracking, scanning, sniffing, spoofing, buffer overflow, defacing etc.

27/12/11

11

Ameaas e Tipos de Ataque

Tipos de Ataques
DOS e DDOS Engenharia Social- Kevin Mitnick

27/12/11

12

Segurana de Permetro
Permetro
" !

Fronteira fortificada da sua rede de dados

" ! Deve incluir alguns elementos de proteo

27/12/11

13

Elementos de Segurana de Permetro

Elementos de Segurana de Permetro
" ! Firewall
" ! VPN " ! Zona Desmilitarizada (DMZ) "! "! "! "! "!

Host Hardening Intrusion Detection System (IDS) Network Address Translation (NAT) Analisadores de Contedo Analisadores de Logs

27/12/11

14

Firewall
! Dispositivo (hardware + software) que possui regras especficas que permitem ou bloqueiam o trfico ! Barreiras de segurana entre a intranet e a Internet para proteger a rede interna contra acessos no autorizados ! Mensagens que entram ou saem da rede devem ser examinadas pelo firewall, que toma aes de acordo com critrios de segurana especificados ! Esttico: Filtro de pacotes ! Stateful: memoriza as conexes para uma melhor anlise ! Proxy de Aplicao e Proxy Reverso
27/12/11 15

Filtro de Pacotes
Filtro de Pacotes
Determina se o pacote tem permisso para entrar ou sair da rede de acordo com informaes localizadas no cabealho do pacote Cabealho de pacote um pequeno segmento de informao que colocado no incio do pacote para indentific-lo Amplamente usado nos roteadores de borda ou de permetro

27/12/11

16

Stateful Firewall
Filtro de Pacotes Statefull
Examina o cabealho dos pacotes Se pacote permitido pelas regras- informaes so armazenadas em uma tabela de estado A partir da todas as comunicaes naquela sesso so permitidas

27/12/11

17

Usando filtros de pacote IP

Cliente Servidor Web

HTTP Outros Protocolos

27/12/11

18

Firewall

LAN
Endereo/Servio Autorizado

LAN Firewall LAN

Internet

Endereo/Servio no Autorizado

27/12/11

19

Proxy de Aplicao

Proxy

O que ?
"! "! "! "!

Cache

Web Server

Procurador Atua no nvel da aplicao- orientado a aplicao Geralmente, o cliente precisa ser modificado- no transparente Funciona como acelerador

27/12/11

20

Proxy de Aplicao

Proxy

Por que usar?

"! "! "! "! "!

Cache

Web Server

Autenticao de usurio Inspeo de Contedo Cache Registro de Acessos Esconde detalhes da rede interna

27/12/11

21

Proxy de Aplicao
Verifica User autorizado? Protocolo permitido? Destino autorizado?

3 6

5 2
Proxy

Web Server

27/12/11

22

Hierarquia de Proxies
4 5 3
LAN1 Matriz

Internet

LAN2

27/12/11

23

Registro de Acessos
Registra o uso da Internet por usurio Registro em texto bruto pode ser analizado Pode ser utilizado para detectar alguns tipos de vrus e adwares

27/12/11

24

Analisador de Logs Perfil de Acesso

27/12/11

25

Proxy Reverso
Verifica Request permitido? Protocolo permitido? Web Server Destino permitido?

3 4 5 2

DNS Server

1 6

Proxy R

27/12/11

26

Intranet
INTRANET
Parceiro1 LAN1 Parceiro2 Parceiro3

LAN2

LAN3 Firewall Proxy LAN4 Firewall Router B Internet

LAN5

27/12/11

27

VPN Virtual Private Network

! A idia utilizar a estrutura pblica, com as mesmas facilidades de uma rede privativa ! Canal protegido que cruza um canal desprotegido Ex. Internet ! Permite que usurios externos acessem a rede interna com segurana

27/12/11

28

VPN Virtual Private Network

Site central Server

ISDN Cable DSL

Usurio remoto

Site Remoto

Internet

Site Remoto

27/12/11

29

VPN Virtual Private Network

Tipos de VPN
LAN to LAN !! Extranet VPNs interligam escritrios remotos, clientes, fornecedores e parceiros utilizando a estrutura pblica !!Acesso Remoto !! Interliga com segurana usurios remotos intranet corporativa
!!

Site Remoto

27/12/11

30

VPN Virtual Private Network

Servidor VPN

Internet

Servidor VPN

27/12/11

31

VPN Virtual Private Network

Vantagens
Escalvel "! Baixo custo de link "! Transparente para o usurio
"! "!

Desvantagens
No utilizada quando o desempenho fundamental "! Configurao complexa

IPSEC
Pacote de dados

Servidor VPN

Servidor VPN

27/12/11

32

Intranet
INTRANET
Parceiro1 LAN1 Parceiro2 Parceiro3

LAN2

VPN

LAN3 Firewall/ Proxy LAN4 Firewall Router B Internet FILIAL

LAN5

27/12/11

33

DMZ e Bastion Host

DMZ: Zona Desmilitarizada
"!

Utilizada para separar os servidores que precisam ser acessados pela Internet dos que apenas sero acessados pelo pessoal interno da organizao

Bastion Host
Bastio, Baluarte. Fortaleza inexpugnvel. uma posio bem fortificada "!Deve ser feito o hardening do host
"!

27/12/11

34

DMZ e Bastion Host

Hardening
Desabilitar servios que no esto sendo utilizados Utilizar sistemas operacionais e softwares sempre atualizados Desabilitar usurios e senhas default. Estabelecer poltica rgida de senhas Utilizar sistemas de arquivos robusto Servidor deve estar configurado de acordo com as boas prticas de segurana
27/12/11 35

DMZ e Rede Protegida

Servidor Web

Cliente

Intranet

Internet

Firewall
27/12/11 36

Intranet
INTRANET
Parceiro1 LAN1 Parceiro2 Parceiro3

LAN2

VPN

LAN3 Firewall/ Proxy LAN4

Hardened Server

Firewall DMZ

Router B

Internet FILIAL

LAN5
DNS Server Mail Server

WEB Server

Proxy R.

27/12/11

37

IDS Intrusion Detection System

IDS
Utilizado para detectar e alertar eventos maliciosos Antecipar possveis invases aos sistemas O sistema de defesa dever dispor de vrios agentes IDS pela rede Tipos: NIDS, HIDS e IPS Normalmente verifica assinaturas pr-definidas e eventos maliciosos
27/12/11 38

IDS Intrusion Detection System

Arquitetura Genrica

27/12/11

39

IDS Intrusion Detection System

Host Intrusion Detection System (HIDS)
Esse tipo de IDS reside em um nico host e monitora atividades especficas do mesmo Pode ser baseado em assinaturas Verifica a integridade dos arquivos do SO Monitora utilizao de recursos do host

27/12/11

40

IDS Intrusion Detection System

HDIS (Cont.)

" ! Exemplos de componentes monitorados " ! Memria
" ! Arquivos executveis " ! Espao em disco " ! Kernel

27/12/11

41

IDS Intrusion Detection System

Network Intrusion Detection System (NDIS)
Monitora todo o trfego da rede e compara este a um banco de dados com assinaturas de ataque Quando uma assinatura detectada um evento disparado pelo IDS Sistema utilizado para detectar e/ou reagir a uma assinatura de ataque na rede Utilizado para analisar o trfego de rede em tempo real Equipamento dedicado com processamento compatvel com o tamanho da infra-estrutura
27/12/11 42

IDS Intrusion Detection System

NDIS (Cont.)

"!

" ! Posicionamento em funo do conhecimento da topologia

"! "!

Sensor de Rede

Em ambientes com switch - Espelhamento de porta

Configurao stealth recomendada - Interface de captura sem endereamento e capturando trfego de rede em modo promscuo

27/12/11

43

Intranet
INTRANET
Parceiro1 LAN1
NIDS NIDS

Parceiro2
NIDS

Parceiro3

LAN2
NIDS

VPN
NIDS

LAN3 Internet LAN4

Hardened Server

DMZ
HIDS

FILIAL
WEB Server

LAN5
NDIS

Proxy R. Mail Server

27/12/11

44

Network Address Translation

NAT
Tcnica utilizada por um dispositivo para a traduo de endereos IP Permite que uma rede use um conjunto de endereos IP particulares para trfego interno Converte os endereos IP particulares em endereos IP pblicos Aumenta a segurana ocultando endereos IP Internos Permite que uma organizao economize endereos IP pblicos
27/12/11 45

NAT

131.107.0.9 10.10.10.6 131.107.0.9

10.10.10.10 10.10.10.7
"!

Tabela NAT 10.10.10.0 mapeia para 131.107.0.9

27/12/11

46

Intranet
INTRANET
Parceiro1 LAN1
NIDS NIDS

Parceiro2
NIDS

Parceiro3

LAN2
NIDS

VPN
NIDS

LAN3

NAT Internet

LAN4
Hardened Server

DMZ
HIDS

FILIAL
WEB Server

LAN5
NDIS

Proxy R. Mail Server

27/12/11

47

Analisador de Contedo Web

Analisador de Contedo
Analisa as solicitaes de acesso a Internet autorizando-as ou no Poltica diferente de acordo com dias da semana e horrios Utilizado para evitar a navegao annima Otimiza o uso do link de Internet, priorizando acesso relacionado ao servio

27/12/11

48

Solues de Antivrus e Anti-Spam

Solues Antivirus/ Anti-Spam
Distribuidos em Gateways, Proxies, Servidores de Arquivos, Servidores de Correio e desktops Administrao Centralizada- firewall pessoal, IDS, anti-spyware, atualizao de vacinas, assinaturas e polticas Filtra contedo de e-mail, por tamanho, n de destinatrios, tipos de anexos etc Possibilita anlise grfica e alarmes em tempo real

27/12/11

49

Segurana de Backbone
Segurana de Backbone
Vendas

S trafegam no backbone aplicaes autorizadas Hardening nos equipamentos de conectividade Protocolos de roteamentoseguros e com autenticao Monitoramento do backbone e links- criptografia Segurana fsica dos equipamentos
27/12/11

Engenharia

Finanas

WAN

Campus backbone

Logstica

Contabilidade Intranet servers

50

Segurana de Desktop e Rede Local

Desktop
Usurio recebe mquina pronta- firewall, IDS, antivrus etc. S.O atualizado, servios desnecessrios desabilitados Utilizar somente software autorizado e no receber e-mail de procedncia duvidosa

27/12/11

51

Segurana de Desktop e Rede Local

Desktop
Segurana fsica- fogo, calor, poeira, magnetismo, exploso, vandalismo, roubo etc Implementar rigida poltica de senhas Utilizar rea de rede para arquivos importantes

27/12/11

52

Segurana de Desktop e Rede Local

Rede Local
Utilizar switches e monitorar trfego Administrao de Polticas centralizada Autenticao nos dispositivos de rede Segurana fsica dos dispositivos, poltica de backup, tolerncia a falhas etc. Implementar segurana de layer 2
27/12/11 53

Metodologia de Ataque
Coletando Informaes
" ! Footprinting
" ! endereos IP de servidores
" ! arquitetura de rede e servios " ! mecanismos de segurana, " ! protocolos de rede " ! endereo, telefones de contato, e-mails etc.
" ! nome

de domnio,

www.arin.net, registro.br, www.netcraft.com, whois.com

27/12/11 54

Metodologia de Ataque
Coletando Informaes
" ! Varredura de rede

Verificar sistemas operacionais de servidores alvo

"! " ! Verificar que servios esto ativos, " ! Consultas icmp ou varredura de portas TCP/UDP

Port Service 20? closed 21? FTP 22? closed 23? closed 24? closed 25? SMTP

27/12/11

55

Metodologia de Ataque
Coletando Informaes
" ! Procura de Vulnerabilidades
" ! Procura por servios vulnerveis- Ferramentas: Nessus, Nmap, Languard " ! Verificar a necessidade de utilizao de exploit- www.securityfocus.com " ! Utilizao de ferramentas para apagar rastros root kits

27/12/11

56

Dvidas??????

27/12/11

57