Estrategias Seguranca

UNIVERSIDADE DO VALE DO ITAJAI
CENTRO DE EDUCAO SUPERIOR DE CINCIAS

TECNOLGICAS DA TERRA E DO MAR
CURSO DE CINCIA DA COMPUTAO

Estratgias de Segurana

rea de Redes de Computadores

Fabricio Bortoluzzi

Itaja (SC), novembro de 2001.
www.projetoderedes.kit.net

UNIVERSIDADE DO VALE DO ITAJAI
CENTRO DE EDUCAO SUPERIOR DE CINCIAS
TECNOLGICAS DA TERRA E DO MAR
CURSO DE CINCIA DA COMPUTAO

Estratgias de Segurana

rea de Redes de Computadores

Fabricio Bortoluzzi
Relatrio apresentado Banca Examinadora
do Trabalho de Concluso do Curso de Cincia da
Computao para anlise e aprovao.

Itaja (SC), novembro de 2001.

ii
EQUIPE TCNICA

Acadmico
Fabricio Bortoluzzi

Professor Orientador
Prof. Gilberto da Silva Luy, M.Eng.

Coordenador dos Trabalhos de Concluso de Curso
Prof Anita Maria da Rocha Fernandes, Dr

Coordenador do Curso
Prof. Lus Carlos Martins


iii
DEDICATRIA

Dedico este trabalho ao meu irmo Lucas e minha
namorada Luciene, ambos acadmicos da Cincia da
Computao, bem como aos meus amigos administradores
de redes, que criticaram construtivamente as idias
discutidas neste documento.

iv
AGRADECIMENTOS

Aos meus pais, que, desde minha infncia, nunca hesitaram em me fazer entender a importncia de
um curso de graduao.

Aos meus irmos Chris e Lu, pela boa companhia que me proporcionam :-)

Aos professores, transmissores de conhecimento, em especial, ao meu orientador Gilberto Luy.

minha namorada Luciene, que consegue transformar sentimentos de desespero em confiana.

Aos amigos que me incentivaram e ajudaram na coleta de informaes para compor este, em
especial: Ivan, Mrcio, Mateus, Neto e Ronan.

Aos desenvolvedores de sistemas open source, por permitirem que possamos buscar no cdigo-
fonte o entendimento do funcionamento do software que executamos em nossos computadores.


v
SUMRIO
EQUIPE TCNICA....................................................................................ii
DEDICATRIA........................................................................................ iii
AGRADECIMENTOS ..............................................................................iv
SUMRIO...................................................................................................v
LISTA DE ABREVIATURAS E SIGLAS ..............................................ix
LISTA DE FIGURAS................................................................................xi
LISTA DE TABELAS ............................................................................. xii
RESUMO................................................................................................. xiii
ABSTRACT..............................................................................................xiv
I - INTRODUO......................................................................................1
1. APRESENTAO.................................................................................................. 1
2. JUSTIFICATIVA.................................................................................................... 1
3. IMPORTNCIA DO TRABALHO....................................................................... 2
4. OBJETIVOS DO TRABALHO............................................................................. 2
4.1. Objetivo Geral....................................................................................................... 2
4.2. Objetivos Especficos............................................................................................ 2
5. METODOLOGIA.................................................................................................... 2
5.1. Descrio Das Etapas ........................................................................................... 3
6. CRONOGRAMA..................................................................................................... 3
6.1. Fase 1...................................................................................................................... 3
6.2. Fase 2...................................................................................................................... 3
6.3. Fase 3...................................................................................................................... 3
6.4. Fase 4...................................................................................................................... 4
6.5. Fase 5...................................................................................................................... 4
II - REVISO BIBLIOGRFICA............................................................5
1. RISCOS DA CONEXO COM A INTERNET................................................... 6
1.1. Dados...................................................................................................................... 6
1.1.1. Confidencialidade...................................................................................................................... 6
1.1.2. Integridade................................................................................................................................. 7
1.1.3. Disponibilidade.......................................................................................................................... 7
1.2. Recursos................................................................................................................. 7
1.3. Reputao.............................................................................................................. 8
2. MOTIVOS QUE LEVAM OS HACKERS S SUAS PRTICAS..................... 9
3. ATAQUES.............................................................................................................. 12
3.1. Tcnicas De Ataques........................................................................................... 12
3.1.1. Ataques de Canal de Comando................................................................................................ 13
3.1.2. Ataques Direcionados a Dados................................................................................................ 13
3.1.3. Ataques de Terceiros ............................................................................................................... 13

vi
3.1.4. Falsa Autenticao de Clientes................................................................................................ 14
3.1.5. Seqestro ............................................................................................................................... 14
3.1.6. Packet Sniffing ........................................................................................................................ 14
3.1.7. Injeo e Modificao de Dados ............................................................................................. 15
3.1.8. Replay ............................................................................................................................... 15
3.1.9. Negao de Servio ................................................................................................................. 15
3.1.10. SYN Flood............................................................................................................................. 17
3.1.11. Ping of Death......................................................................................................................... 17
3.1.12. IP Spoofing............................................................................................................................ 18
3.1.13. Ataques Contra o Protocolo NetBIOS................................................................................... 18
3.1.14. Ataques Contra o X-Window................................................................................................ 18
3.1.15. Ataques Utilizando o RIP...................................................................................................... 19
3.2. Implementaes de Ataques .............................................................................. 19
4. ENGENHARIA SOCIAL..................................................................................... 21
4.1. Exemplos de Ataque de Engenharia Social...................................................... 22
4.2. Aes Contra Ataques De Engenharia Social.................................................. 22
5. FIREWALLS ......................................................................................................... 23
5.1. Caractersticas de um Pacote ............................................................................ 24
5.1.1. Exemplo TCP / IP / Ethernet ................................................................................................... 25
5.1.1.1. A Camada Ethernet............................................................................................................... 26
5.1.1.2. A Camada IP......................................................................................................................... 26
6. SERVIOS DA INTERNET................................................................................ 29
6.1. A World Wide Web............................................................................................ 30
6.1.1. A Web ............................................................................................................................... 31
6.1.1.1. Consideraes sobre segurana ............................................................................................ 31
6.1.2. O protocolo HTTP................................................................................................................... 31
6.1.3. A linguagem HTML................................................................................................................ 31
6.2. Correio eletrnico............................................................................................... 32
6.2.1. Consideraes sobre segurana ............................................................................................... 32
6.3. Transferncia de arquivos ................................................................................. 33
6.4. Terminais Remotos............................................................................................. 33
6.5. Converso de nomes-de-domnio em endereo IP........................................... 35
7. POLTICAS DE SEGURANA.......................................................................... 36
7.1. Contedo de Um Documento de Polticas de Segurana................................ 37
7.1.1. Explicaes.............................................................................................................................. 37
7.1.2. Responsabilidade de Todos ..................................................................................................... 37
7.1.3. Linguagem Clara ..................................................................................................................... 37
7.1.4. Autoridade de Execuo.......................................................................................................... 38
7.1.5. Excees e Revises................................................................................................................ 38
7.1.6. Itens Que No Devem Estar Presentes em um Documento de Polticas de Segurana........... 38
7.1.7. Principais Ameaas da Poltica de Segurana da Informao................................................. 39
III - DESENVOLVIMENTO...................................................................40
1. INTRODUO..................................................................................................... 40

vii
2. ESTRATGIAS DE SEGURANA.................................................................... 42
2.1. Lei do privilgio mnimo.................................................................................... 42
2.2. Defesa em profundidade .................................................................................... 44
2.3. Ponto de aferio ................................................................................................ 44
2.4. Elo mais fraco...................................................................................................... 45
2.5. Segurana em caso de falha............................................................................... 45
2.5.1. Negar conexes no regulamentadas....................................................................................... 46
2.5.2. Poltica de aceitar conexes como padro............................................................................... 46
2.6. Participao universal........................................................................................ 47
2.7. Simplicidade........................................................................................................ 47
2.8. Segurana atravs de obscuridade.................................................................... 47
3. AVALIAO DE PROGRAMAS DE SEGURANA DA INFORMAO. 49
3.1. Questo 1 ............................................................................................................. 49
3.1.1. Anlise ............................................................................................................................... 50
3.2. Questo 2 ............................................................................................................. 50
3.2.1. Anlise ............................................................................................................................... 51
3.3. Questo 3 ............................................................................................................. 51
3.3.1. Anlise ............................................................................................................................... 52
3.4. Questo 4 ............................................................................................................. 53
3.4.1. Anlise ............................................................................................................................... 54
3.5. Questo 5 ............................................................................................................. 55
3.5.1. Anlise ............................................................................................................................... 56
3.6. Questo 6 ............................................................................................................. 56
3.6.1. Anlise ............................................................................................................................... 57
3.7. Questo 7 ............................................................................................................. 61
4. MODELO PROPOSTO PARA PROTEO DE REDES............................... 63
4.1. Roteador .............................................................................................................. 64
4.2. Bridge Host .......................................................................................................... 64
4.3. NAT Host / Bastion Host .................................................................................... 65
4.3.1. Orientao simplicidade ....................................................................................................... 66
4.3.2. Preparao para o comprometimento do sistema .................................................................... 66
4.4. O Log Host .......................................................................................................... 67
4.5. As redes de servidores e clientes........................................................................ 67
4.5.1. Negao de servio.................................................................................................................. 67
4.5.2. Explorao de falhas na implementao do software servidor................................................ 68
5. RECOMENDAES PARA O MODELO DE PROTEO PROPOSTO.. 69
5.1. O Sistema Operacional do Bridge Host............................................................ 69
5.2. Verificador de integridade................................................................................. 70
5.3. O detector de intrusos ........................................................................................ 71
6. POLTICA DE SEGURANA ............................................................................ 72
6.1. Contedo.............................................................................................................. 72
6.2. Planejamento....................................................................................................... 75
6.3. Usurios e senhas................................................................................................ 75
6.4. Contas no sistema ............................................................................................... 76

viii
6.5. Configuraes do sistema operacional. ............................................................ 76
6.6. Logs ...................................................................................................................... 77
6.7. Ameaas locais .................................................................................................... 77
6.8. Ameaas nos servios de rede............................................................................ 78
6.9. Respondendo a incidentes de segurana .......................................................... 78
CONCLUSES E RECOMENDAES ..............................................80
BIBLIOGRAFIA.......................................................................................82
GLOSSRIO.............................................................................................84
ANEXOS....................................................................................................86
1. QUESTIONRIO.................................................................................................. 86
2. MANUAL DE CONFIGURAO...................................................................... 90
3. ATRIBUIES DO COMIT GESTOR........................................................... 92


ix
LISTA DE ABREVIATURAS E SIGLAS

AIDE Advanced Intrusion Detection Environment
BSD Berkley System Distribution
CIFS Common Internet File System
DNS Domain Name Service
FTP File Transfer Protocol
ICMP Internet Control Message Protocol
IETF Internet Engineering Task Force
GID Group ID, Group Identificator
HTML Hyper-text Markup Language
HTTP Hyper-text Transfer Protocol
IMAP Internet Message Access Protocol
IDS Intrusion Detection System
IP Internet Protocol
IRC Internet Relay Chat
LAN Local Area Network
LIDS Linux Intrusion Detection System
LDAP Lightweight Directory Access Protocol
NAT Network Adderss Translator

x
NFS Network File System
NIDS Novel Internet
NIS Network Information System
TCP Transmission Control Protocol
POP Post Office Protocol, Point Of Presence
RIP Routing Internet Protocol
SMB Server Message Block
SNMP Simple Network Management Protocol
SSH Secure Shell
UDP User Datagram Protocol
UID User ID, User Identificator
WINS Windows Internet Name Service
WWW World Wide Web


xi
LISTA DE FIGURAS
Figura 1 Negociao do bit ACK. ..................................................................................................... 17
Figura 2 Posicionamento do firewall na rede de computadores. ....................................................... 23
Figura 3 Camadas de um pacote IP. .................................................................................................. 25
Figura 4 Definio do cabealho e corpo de um pacote TCP/IP. ...................................................... 27
Figura 5 A Camada TCP. .................................................................................................................. 28
Figura 6 Usar proxy para redirecionar pedidos do cliente................................................................. 30
Figura 7 Incidentes - Valores acumulados ........................................................................................ 41
Figura 8 Qual o sistema operacional predominante em seus hosts?.................................................. 50
Figura 9 Como voc define a poltica de segurana na rede que administra?................................... 51
Figura 10 Quais conceitos de segurana voc aplica na rede que administra? ................................. 52
Figura 11 Posicionamento do filtro de pacotes. ................................................................................ 54
Figura 12 Motivos para no manter um filtro de pacotes dedicado. ................................................. 56
Figura 13 Qual(is) sistema(s) de deteco de intrusos esto em atividade na sua rede?................... 57
Figura 14 Quais ataques voc j detectou em sua rede?.................................................................... 61
Figura 15 Viso geral do modelo proposto. ...................................................................................... 64


xii
LISTA DE TABELAS
Tabela 1 Cronograma De Trabalho ..................................................................................................... 4
Tabela 2 Totais Mensais e Anual Classificados por Tipo de Ataque. ............................................... 40
Tabela 3 Resumo da pesquisa............................................................................................................ 49
Tabela 4 Qual o sistema operacional predominante em seus hosts? ................................................. 49
Tabela 5 Como voc define a poltica de segurana na rede que administra? .................................. 50
Tabela 6 Quais dos seguintes conceitos de segurana voc aplica na rede que administra? ............ 51
Tabela 7 Motivos para no manter um filtro de pacotes dedicado. ................................................... 55
Tabela 8 Qual(is) sistema(s) de deteco de intrusos esto em atividade na sua rede? .................... 57
Tabela 9 Qual(is) ataque(s) voc j detectou em sua rede?............................................................... 61


xiii
RESUMO
Os ataques contra sistemas conectados Internet nos dias de hoje so mais srios e
complexos do que costumava ser no passado. Manter dados, recursos computacionais e,
principalmente, a reputao de uma organizao protegida se tornou tarefa para profissionais
dedicados ao estudo de segurana da informao.
O objetivo deste trabalho implementar e documentar tcnicas que auxiliem nos
procedimentos para garantir segurana de sistemas computacionais ligados em rede.
Para a realizao do trabalho, levantou-se primeiramente as razes que as pessoas mal
intencionadas tm para praticar atos de ataque e invaso dos ambientes computacionais alheios,
bem como as ferramentas mais utilizadas por estas pessoas.
Para o entendimento das falhas de segurana envolvidas com o ambiente da tecnologia da
informao, fez-se necessrio um estudo sobre o comportamento dos elementos vitais de
comunicao entre redes locais e Internet, o funcionamento dos sistemas operacionais e softwares
que servem contedo nos hosts conectados, as vrias topologias de firewall, seus benefcios e suas
vulnerabilidades.
Tambm so apresentados os resultados de uma pesquisa onde foram analisados os
procedimentos de segurana utilizados atualmente por 15 administradores de redes de
universidades, provedores de acesso Internet e empresas comerciais.
Em funo do comportamento da pesquisa, so estudados mtodos de segurana inditos
para o ambiente de trabalho dos entrevistados, mais aprimorados que os atuais, propondo a adio
de uma nova camada de segurana nestas redes.
Conclui-se que o cumprimento das recomendaes especificadas neste trabalho auxilia
efetivamente na proteo das redes de trabalho expostas Internet.

xiv
ABSTRACT
Attacks against Internet-connected systems are more serious and complex than they used to
be in the past. Keeping data, computational resources and, above all, the reputation of institutions
protected against such attacks has become a task to professionals dedicated to the study of
information security.
The aim of this work is to document and to implement techniques in order to assist security
procedures to assure the safety of computer networks.
The first part of this work tries to explain the reasons that would lead people to perform
unauthorized actions with the intention of disturbing or harming the normal operation of third-part
computer systems. This section also focus in determining the software and hardware tools used by
these individuals.
A study about the behaviour of important elements in network systems and the Internet
provided a way of understanding the security flaws related to such technology environment.
Operational systems and firewall topologies benefits and vulnerabilities are important clues to solve
security puzzles.
Finally, a research has been conducted to assess current network security conditions of local
companies, including Internet service providers, academic networks and commercial companies.
Based on the results of the research, this work proposes modifications in the current layout of their
computer network to improve security.


I - INTRODUO
1. APRESENTAO
Embora a pilha TCP/IP (Transmission Control Protocol / Internet Protocol) viabilize a
Internet e oferea valiosos servios, existem srios problemas relacionados com a questo da
segurana. Quando uma organizao conecta sua rede com a Internet, qualquer computador na rede
interna que utilize TCP/IP pode (teoricamente) ser acessado por qualquer usurio da Internet, o que
representa um risco para a segurana das informaes daquela rede.
Muitos dos problemas atuais de segurana na transmisso de dados pela Internet esto
relacionados com o fato de que o protocolo TCP/IP no foi projetado para prover segurana,
estando sujeito a vrias formas de ataque. Como conseqncia, vrios servios da Internet que so
baseados no TCP/IP, como o TELNET, FTP (File Transfer Protocol) e o SMTP (Simple Message
Transfer Protocol) tambm so inseguros, pois utilizam mensagens que so transportadas em texto
plano e, portanto, so vulnerveis a ataques que podem ser classificados em dois tipos: passivos,
(como captura de trfego atravs de sniffers) ou ativos, como o seqestro de sesses.
2. JUSTIFICATIVA
O desenvolvimento deste trabalho justificado pela necessidade de proteo das informaes
que se armazenam e se publicam nos servidores ligados Internet. Manter a integridade de tais
informaes requer profissionais adequadamente especializados para esta finalidade, j que se trata
de um esforo contnuo, para que a aplicao dos conceitos de segurana no fique desatualizada.
Em complemento, acrescenta-se a notvel necessidade de estabelecer polticas de acesso e uso
dos recursos computacionais concedidos aos usurios das redes de trabalho, tanto no meio
acadmico como no comercial, esclarecendo quais servios podem ser acessados e quais no podem
(e sob quais penas), bem como as rotinas do administrador de sistemas na distribuio e expirao
de senhas, criptografia, gerao de relatrios sobre tentativas de mau uso, sistemas de deteco de
intrusos entre outros.

2
3. IMPORTNCIA DO TRABALHO
Este trabalho apresenta uma introduo ao conhecimento dos riscos envolvidos na conexo de
redes de computadores Internet bem como fornece abordagens tericas e prticas sobre topologias
de firewalls. O Comportamento tico do administrador de sistemas diante dos choques contra
hackers tambm recebe tratamento, visando melhorar o cenrio da segurana para aqueles que se
interessam pelo assunto.
4. OBJETIVOS DO TRABALHO
4.1. Objetivo Geral
Estudar e implementar tcnicas que auxiliem nos procedimentos para garantir a segurana dos
sistemas computacionais e informaes neles armazenadas e distribudas, preservando, de forma
ntegra, os recursos e a reputao dos seus proprietrios, diante das deficincias existentes na
Internet.
4.2. Objetivos Especficos
Estudar a elaborao de um documento de poltica de segurana;
Estudar a pilha TCP/IP implementada em um sistema operacional entendendo seu
funcionamento e suas vulnerabilidades;
Conhecer os ambientes de rede de outros administradores e com eles elaborar um modelo
inovador de proteo para suas redes;
Configurar um sistema de deteco de intrusos.
5. METODOLOGIA
Coletar informaes sobre os diversos sistemas operacionais existentes e que possam
contribuir para o desenvolvimento do trabalho;
Tomar conhecimento sobre quais servios so explicitamente necessrios e quais devem
ser proibidos, com base nas redes utilizadas atualmente;

3
Implementar no sistema operacional escolhido, as teorias estudadas;
Estudar, no cdigo-fonte do sistema operacional, o funcionamento do protocolo TCP/IP;
Obter conhecimento das tcnicas de deteco de intruso, funcionamento e configurao;
Executar testes.
5.1. Descrio Das Etapas
Efetuar levantamento bibliogrfico sobre os assuntos a serem estudados e entrega da
Reviso Bibliogrfica em 12 de novembro.
Estudar os documentos citados na Reviso Bibliogrfica a fim de obter informaes de
como efetuar os objetivos gerais e especficos citados anteriormente neste documento.
Pr em prtica o conhecimento obtido nos estudos anteriores.
Avaliao dos resultados, prestando informaes sobre os pontos positivos e,
eventualmente, negativos da implantao deste projeto de segurana.
6. CRONOGRAMA
6.1. Fase 1
Definio dos detalhes do projeto, de acordo com as instrues obtidas junto ao orientador.
6.2. Fase 2
Efetuar levantamento bibliogrfico sobre os assuntos a serem estudados e entrega da
Reviso Bibliogrfica em 17 de novembro.
6.3. Fase 3
Estudar os documentos citados na Reviso Bibliogrfica obtendo informaes de como
efetuar os objetivos gerais e especficos.

4
6.4. Fase 4
Pr em prtica os conhecimentos obtidos nas fases anteriores.
6.5. Fase 5
Avaliao dos resultados, descrevendo os pontos positivos e, eventualmente, negativos da
implantao deste projeto.
A Tabela 1 apresenta uma descrio visual das fases do cronograma.
Tabela 1 Cronograma De Trabalho
2000 2001
F Ago Set Out Nov Dez Jun Jul Ago Set Out Nov Dez
1

2

3

4

5


II - REVISO BIBLIOGRFICA
Com o crescimento exponencial da Internet, empresas do mundo inteiro vislumbram inmeras
oportunidades de negcios. Algumas empresas j utilizam a Internet como uma ferramenta para
agilizar e criar os processos mercantis. Outras a utilizam como uma forma de oferecer novos
servios e de criar novas fontes de renda (BERNSTEIN et al. 1997).
Porm, segundo UNISINOS (1998), a utilizao das redes de computadores como meio para
realizao de transaes eletrnicas no um fato recente na histria da informtica. Os bancos e
outras instituies financeiras mundiais j utilizam, h muito tempo, servios eletrnicos para
efetuar negociaes entre si.
Com a popularizao deste uso, hoje, atravs da Internet, transaes comerciais eletrnicas
podem ser utilizadas pelo usurio para adquirir mercadorias em qualquer ponto do mundo (ibidem).
Atualmente, cada vez mais, empresas esto se apressando para usar a Internet por motivos
comerciais e as questes relacionadas segurana que esto presentes nessas conexes so
consideradas extremamente relevantes, mas nem sempre tratadas de forma adequada. J foi possvel
testemunhar centenas de ataques sistemas conectados Internet, sendo que muitos deles foram
bem sucedidos nos seus objetivos. A no incluso de controles de segurana adequados para
conexes com a Internet pode fazer com que uma empresa se torne vulnervel a ataques que
podero deix-la em uma situao embaraosa e causar imensos prejuzos financeiros.
A adoo de medidas para a segurana de conexes com a Internet exige investimentos
significativos em termos de tempo e esforo. Portanto, necessrio comparar custos e benefcios
em relao a todas as medidas de controle de segurana.

6
1. RISCOS DA CONEXO COM A INTERNET
Para ZWICKY et al. (2000), quando se est conectado Internet, coloca-se estes trs tens em risco:
Dados
Recursos
Reputao
1.1. Dados
As propriedades que devem ser satisfeitas para que se tenha segurana dos dados so:
Confidencialidade
Integridade
Disponibilidade
1.1.1. Confidencialidade
Existe uma tendncia em se focar os riscos associados com a confidencialidade da
informao, e comprovadamente, este o maior dos riscos. Muitas organizaes tm alguns dos
seus maiores segredos - o projeto dos seus produtos ou registros financeiros - em seus
computadores. Por outro lado, pode-se achar relativamente fcil separar fisicamente os
computadores que tm informaes confidenciais dos que devem estar conectados Internet
(ZWICKY et al. 2000).
Supondo que se possa separar os computadores desta forma e que nenhuma informao
acessvel seja sigilosa. Neste caso, por que se preocupar com a segurana? Porque
confidencialidade no a nica coisa que se deve tentar proteger. Ainda h necessidade de proteo
com a integridade dos equipamentos e a disponibilidade que eles provem (ibidem).

7
1.1.2. Integridade
Mesmo que as informaes no sejam particularmente sigilosas, pode-se sofrer conseqncias
caso elas sejam destrudas ou alteradas. Geralmente, do ponto de vista do cliente, a perda das
informaes confidenciais implica na perda de confiana na empresa (ZWICKY et al. 2000).
1.1.3. Disponibilidade
A disponibilidade das informaes contidas em um sistema diminui medida em que se
percebem riscos que possam compromet-las. Freqentemente ocorre a necessidade de acesso a
documentos de uso interno por parte de um executivo em viagem. Em casos como este, muitas
vezes necessrio reorganizar a poltica de segurana da empresa de forma que ela possa atender
aos usurios "temporariamente externos", sem gerar oportunidades para intrusos (ZWICKY et al.
2000).
1.2. Recursos
Os intrusos, ou hackers, freqentemente argumentam que utilizam somente recursos
excedentes; como conseqncia, suas invases no custam nada s vtimas. H, para ZWICKY et
al. (2000) dois problemas com este argumento:
Primeiro: impossvel para um intruso determinar com certeza, que recursos em um sistema
so excedentes. Pode-se pensar que o sistema tenha imensas quantidades de espao de
armazenamento vazio e horas de tempo de processamento no utilizadas. De fato, em muitas
situaes isto ocorre, porm, no momento em que todos os recursos so necessrios, deve-se
garantir que todos os recursos estejam ntegros.
Segundo: de direito da empresa utilizar os recursos como ela bem quiser, mesmo que isto
signifique deixar disponvel uma grande quantidade de recursos sem utilizao.

8
1.3. Reputao
Quais seriam as conseqncias se um intruso acessasse as informaes de um dos
representantes de uma organizao e as utilizasse na Internet? Para ZWICKY et al. (2000), algumas
vezes, tais impostores podem tomar mais do que tempo. Um invasor que se empenha em destruir a
identidade de uma organizao pode, por exemplo, alterar o contedo do seu web site ou forjar
mensagens eletrnicas. Outros exemplos piores podem danificar permanentemente a reputao da
organizao.
possvel forjar mensagens eletrnicas sem a invaso de um sistema, porm muito mais
fcil de comprovar sua falsidade (ibidem).

9
2. MOTIVOS QUE LEVAM OS HACKERS S SUAS PRTICAS
De acordo com ANTIHACKERS (2000), h muito tempo se ouve falar de adolescentes que
passam a noite inteira invadindo sistemas de computadores. Entretanto, muito pouco se fala dos
mais perigosos hackers. O motivo pelo qual os jovens ganham destaque na mdia a sua captura,
pois eles no possuem conhecimento suficiente para que se mantenham ocultos por muito tempo.
Por inexperincia, deixam rastros por onde passam, pelo descuido e inconseqncia, ou porque
simplesmente no tm motivos para se esconderem. Do outro lado, esto os hackers profissionais,
extremamente cuidadosos em suas tentativas sendo muito mais difceis de se detectar e capturar
(ibidem).
Em geral, se trabalha com a seguinte classificao de atacantes potenciais: (BERNSTEIN,
2000)
Curiosos: so estudantes que passam tempos na Internet procurando alguma forma de
diverso, e normalmente aprendem com programas e ferramentas prontas que esto na Web
e so facilmente capturados;
In-house: so funcionrios, ou ex-funcionrios que procuram causar problemas para a
empresa onde atuam ou atuaram. Muitas vezes so movidos por vingana, ou mesmo, por
dinheiro, no caso de estarem sendo usados por um concorrente ou um terceiro que tenha
interesse em prejudicar a empresa em questo. Estes so responsveis por 80% dos ataques.
Tcnicos: normalmente so os que criam programas que causam danos, sendo extremamente
bons no que fazem e espalham rapidamente suas novas tcnicas atravs da Internet. Podem
ser pessoas problemticas com dificuldade de integrao na comunidade e trabalham pelo
prazer da destruio.
Profissionais: esses so os mais perigosos, muitas vezes criam novas ferramentas ou at
utilizam-se das que j existem. O diferencial que recebem pelo que fazem. Trabalham para
grupos mafiosos, terroristas ou espionagens industriais, normalmente so mais velhos (25
anos ou mais), muito inteligentes e difceis de serem pegos.
ANTIHACEKRS (2000) observou que, independente do tipo de hacker, as motivaes para
seus ataques so bastante variadas. possvel categoriz-las nas seguintes definies:

10
Espionagem Industrial: ocorre quando uma empresa contrata um hacker para que este
invada o sistema da concorrncia, e descubra seus planos, roube seus programas ou at
mesmo suas polticas de parcerias e de investimento.
Proveito Prprio: o hacker pode invadir um sistema para roubar dinheiro, transferir bens,
cancelar dvidas ou at mesmo ganhar concursos, ou seja, qualquer ao em que ele seja
diretamente beneficiado.
Inexperincia: h tambm o caso de uma invaso ocorrer por ignorncia. Por exemplo, um
funcionrio que acessa sua conta da empresa atravs do seu micro em casa. Dependendo da
poltica de segurana da empresa, isto pode ser considerado uma invaso, mesmo que o
usurio no tenha conhecimento do problema que pode causar.
Vingana: Um ex-funcionrio, tendo conhecimento do sistema, pode causar vrios
problemas, se o gerente de segurana da empresa no bloquear seu acesso imediatamente
aps sua sada da empresa. Ou, um parceiro de pesquisas pode acessar "mais do que deve"
aps a quebra de um contrato, trazendo complicaes e prejuzos empresa.
Status ou Necessidade de Aceitao: uma invaso difcil pode fazer com que o invasor
ganhe um certo status junto aos seus colegas. Isso pode acarretar uma competio, ou uma
verdadeira "gincana" nas empresas. Dentro de grupos, constante a necessidade de mostrar
sua superioridade. Este um fato natural, seja entre humanos, animais selvagens ou hackers.
Curiosidade e Aprendizado: muitos hackers alegam invadir sistemas apenas para aprender
como eles funcionam. Alguns fazem questo de testar o esquema de segurana, buscando
brechas e aprendendo sobre novos mecanismos. Este tipo de ataque raramente causa um
dano maior ou compromete os servios atacados.
Busca de Aventuras: o ataque a sistemas importantes, onde o esquema de segurana muito
avanado, pode fazer com que o hacker se sinta motivado pelo desafio e pelo perigo de ser
pego, assim como alpinistas sobem montanhas, mesmo sabendo do risco de carem.
Maldade: algumas pessoas sentem prazer na destruio. Invadem e destroem, pelo puro
prazer de causar o mal. Raramente so pegos e se vangloriam dos seus atos.

11
Seja o hacker quem for e faa ele o que fizer, importante que ele seja neutralizado, pelo
menos temporariamente, at que seu esquema de segurana seja revisto e atualizado. Essa
atualizao precisa ser constante, pois os hackers esto sempre em busca de falhas de segurana e,
muitas vezes, no fazem nada alm de invadir sistemas. extremamente necessrio que haja
algum dedicado a este assunto, pelo menos o mesmo tempo gasto por dia pelos hackers nas
tentativas de invaso (ibidem).

12
3. ATAQUES
3.1. Tcnicas De Ataques
Segundo ZWICKY (2000), os riscos que envolvem os procedimentos de ataques podem ser
divididos em duas categorias. A primeira envolve conexes permitidas entre um cliente e um
servidor, incluindo:
Ataques de canal de comando.
Ataques direcionados a dados.
Ataques de terceiros.
Falsa autenticao de clientes.
E a segunda, envolve ataques que trabalham a necessidade de se fazer conexes, incluindo:
Seqestro.
Packet Sniffing.
Injeo e modificao de dados.
Replay.
Negao de servios.
UNISINOS (1998) complementa com as seguintes tcnicas:
SYN Flood.
Ping of Death.
IP Spoofing
Ataques contra o protocolo NETBIOS.
Ataques contra o X-Windows.

13
Ataques utilizando o RIP (Routing Information Protocol).
3.1.1. Ataques de Canal de Comando
Esta tcnica ataca diretamente um servio em particular atravs do envio de comandos da
mesma forma que o servidor geralmente os recebe. Ocorre de duas formas: Pelo envio de comandos
vlidos que acabam por provocar danos, e pelo envio de comandos invlidos que exploram bugs na
manipulao de dados de entrada (ZWICKY et al. 2000).
culpa do administrador de sistemas permitir a execuo de comandos vlidos que possam
causar danos ao sistema. E, culpa do programador que implementou o servio, permitir que
comandos invlidos possam provocar acesso no permitido ao sistema (ibidem).
Um exemplo desta tcnica trata-se do Worm de Morris, conhecido como o primeiro ataque por
parte de um hacker. Neste caso, Morris atacou o servidor de envio de mensagens Sendmail usando
um comando vlido de depurao que no foi devidamente bloqueado por vrios hosts e que dava
acesso completo ao sistema onde estavam hospedados (ibidem).
3.1.2. Ataques Direcionados a Dados
o que envolve as informaes transmitidas por um protocolo, ao invs daquela
implementada por um servio. Exemplos desta forma de ataque so os vrus transmitidos por
correio eletrnico, ou ainda, o roubo das informaes que trafegam na rede, como nmeros de
carto de crdito (ZWICKY et al. 2000).
3.1.3. Ataques de Terceiros
Caso se permita conexo TCP entrante em qualquer porta acima de 1024, na tentativa de dar
suporte a algum protocolo (como o FTP que necessita, alem da porta 21, uma porta para cada
comando que o cliente faz) est se abrindo um grande nmero de oportunidades para que terceiros
faam conexes de entrada (ZWICKY et al. 2000).

14
3.1.4. Falsa Autenticao de Clientes
Um grande risco para conexes entrantes a falsa autenticao, que a subverso da
autenticao que se exige de quem deseja fazer uso do sistema. Por exemplo, criptografar uma
senha e envi-la pela rede por si s no funciona, pois, um hacker pode estar coletando as
informaes que trafegam com um sniffer e depois usa a senha (em sua forma criptografada
mesmo) para obter acesso ao sistema. Tal ato conhecido como playback (ZWICKY et al. 2000).
3.1.5. Seqestro
Ataques de seqestro permitem que um hacker tome conta de uma sesso de terminal em
andamento, de um usurio que foi autenticado e autorizado pelo sistema. Ataques de seqestro
geralmente ocorrem em um computador remoto. Entretanto, s vezes, possvel seqestrar uma
conexo a partir de um computador na rota entre o cliente e o servidor (ZWICKY et al. 2000).
A nica forma de proteo neste caso permitir conexes partir de computadores em que o
servidor confie. Isto pode ser conseguido atravs de configurao do filtro de pacotes ou por
alteraes de configurao no software que executado no servidor (ibidem).
Os seqestros de conexes que ocorrem no computador remoto, acontecem quando usurios
deixam conexes em aberto e se ausentam do local. A possibilidade de este ataque ocorrer, depende
da quantidade de usurios que podem se identificar no sistema e principalmente, da
responsabilidade de cada um deles. Seqestros que ocorrem em computadores intermedirios so
altamente tcnicos e, geralmente, deve haver muitos motivos que levem um hacker a faz-lo,
devido a sua relativa complexidade. (ZWICKY et al. 2000)
O risco de seqestro de conexes pode ser diminudo aplicando-se polticas srias de controle
de time-outs em caso de inatividade, como tambm por auditorias, na tentativa de se alertar ao
administrador de sistema caso um seqestro ocorra (ibidem).
3.1.6. Packet Sniffing
O invasor de sistemas no precisa necessariamente seqestrar uma conexo para obter a
informao que se pretende proteger. Pelo simples fato de observar os pacotes passando em
qualquer direo entre o servidor e o cliente, o invasor pode capturar informaes importantes

15
Proteger o login e a senha uma tarefa fcil, atravs de senhas no reutilizveis, ou seja, que
so alteradas para cada conexo que se faz, inutilizando a senha que serviu para a conexo (ibidem).
J a tarefa de se proteger os dados que trafegam em uma conexo mais complicada. Estes
dados precisaro ser criptografados antes de serem transmitidos de uma forma que somente o
verdadeiro computador de destino possa decodifica-lo (ZWICKY et al. 2000).
3.1.7. Injeo e Modificao de Dados
Um invasor que controle um equipamento roteador entre o cliente e servidor, pode interceptar
um pacote e alter-lo, ao invs de apenas l-lo. Proteger-se totalmente contra a injeo ou a
modificao dos dados que trafegam por um roteador, requer alguma forma de proteo da
mensagem na ntegra, adicionado-se valores de checksum que so computados na origem e no
podem ser recalculados pelo atacante (ZWICKY et al. 2000).
3.1.8. Replay
Um invasor, que no possa tomar controle de uma conexo ainda pode ser capaz de danific-
la salvando uma cpia da informao que passa, e reenviando-a novamente. H dois tipos de ataque
por replay: um onde deve ser capaz de identificar certas partes da informao (por exemplo, senhas)
e outro onde simplesmente se reenvia o pacote inteiro. A criptografia ajuda a evitar este tipo de
ataque (ZWICKY et al. 2000).
3.1.9. Negao de Servio
A Negao de servio ocorre quando um atacante no est tentando ter acesso a nenhuma
informao, apenas impede outras pessoas consigam acess-la (ZWICKY et al. 2000).
Os ataques chamados de negao de servio (ou denial of service) so aqueles que tem por
objetivo deixar um recurso da rede indisponvel (UNISINOS, 1998).
Do ponto de vista do atacante, muito eficiente poder efetuar um ataque que no pode ser
traado (j que se forja o endereo de origem) e que requer um mnimo de esforo (explorar bugs no
sistema alvo). Estes ataques, entretanto, tornam-se previsveis, e os endereos forjados podem ser
filtrados atravs do firewall (ZWICKY et al. 2000).

16
Outras formas deste ataque so praticamente impossveis de se impedir. Um grupo de
pessoas pode escolher o mesmo alvo e caracterizar um ataque distribudo, impedindo novamente
que os usurios legtimos faam uso do recurso em questo ibidem).
Em geral, esta forma de ataque no causa danos as informaes, nem ao hardware atacado,
salvo se, em conseqncia de seu desligamento acontea algum dano lgico (devido ao processo
normal de desligamento que muitas vezes no poder ser efetuado, causando perda de alguns
arquivos) (UNISINOS, 1998).
Mesmo sendo verdadeiro o fato de que os ataques de negao de servios no podem ser
totalmente prevenidos (ZWICKY et al. 2000), pode-se dificultar que um atacante (ou um grupo de
atacantes) consiga realizar seu intento. Isto acontece em duas etapas:
Os hosts no devem ficar indisponveis quando comandos invlidos ocorrerem. Muitas
vezes, hosts mal administrados deixam de responder ao usurio se um comando invlido
repetir-se vrias vezes.
Os hosts devem limitar os recursos alocados para cada entidade que solicita conexo. Isto
inclui:
o O nmero de conexes abertas por servidor (Web server, SMTP server, etc...);
o O tempo mximo de persistncia de uma conexo;
o A quantidade de processamento alocada para atender uma requisio de conexo;
o A quantidade de memria alocada para atender uma requisio de conexo;
o A quantidade de espao em disco rgido alocada para atender uma requisio de
conexo.

17
3.1.10. SYN Flood
Para UNISINOS, (1998) um dos ataques mais populares de negao de servio. Esse ataque
visa impedir o funcionamento de um host ou um servio em especfico. O computador cliente (ver
Figura 1) envia um pacote para o servidor com um flag especial, chamado de flag de SYN e este
indica que o cliente deseja estabelecer uma conexo. Em seguida, o servidor responde um pacote
contendo os flags SYN e ACK, indicando que ele aceitou o pedido de conexo e est aguardando
uma confirmao do cliente para marcar a conexo como estabelecida. O ataque consiste em se
enviar vrias solicitaes de conexo com o endereo de origem forjado. Como resultado, os
usurios legtimos ficam impedidos de fazer uso dos servios prestados pelo host alvo do ataque.

Figura 1 Negociao do bit ACK.
Fonte: (ZWICKY et al. 2000)
3.1.11. Ping of Death
Consiste em enviar um pacote IP com tamanho maior que o permitido (65535 bytes) para o
host que se deseja atacar. O pacote ento enviado na forma de fragmentos ocasionando vrios
problemas no servidor, desde mensagens no console at o travamento sistema operacional. Alvos:
todos sistemas operacionais que no implementaram correes para o problema de fragmentao de
pacotes IP (UNISINOS, 1998).

18
3.1.12. IP Spoofing
o nome dado para as falsificaes de endereos IP, fazendo com que um pacote seja
emitido com o endereo de origem diferente do computador que o enviou. Com o uso desta tcnica
possvel para um atacante assumir a identidade de qualquer outro computador ligado Internet. O
maior perigo deste ataque se d nos servios baseados no protocolo UDP (User Datagram
Protocol). Atravs do spoofing de IP possvel para um atacante tirar proveito dos hosts confiveis
armazenados no arquivo .rhosts existentes nos sistemas operacionais Unix e derivados,
possibilitando acessos via rlogin por exemplo, onde a senha no exigida. Alvos: principalmente os
sistemas operacionais derivados do BSD (Berkley System Distribution), por serem os que
implementam servidos de rlogin e rsh (UNISINOS, 1998).
3.1.13. Ataques Contra o Protocolo NetBIOS
As plataformas Windows e OS/2 tm a caracterstica de disponibilizar todos os seus servios
atravs do protocolo NETBIOS. Em redes onde o NETBIOS disponibilizado sobre TCP/IP,
possvel para um atacante verificar quais so os diretrios e as impressoras compartilhadas por cada
computador presente nestas redes. Normalmente comum a prtica dos usurios de deixar o acesso
compartilhado s pastas sem proteo ou autenticao por senhas. Fica relativamente fcil portanto,
para um hacker conseguir acessar arquivos presentes nestas pastas compartilhadas (UNISINOS,
1998).
3.1.14. Ataques Contra o X-Window
O sistema X-Windows o padro de interface grfica utilizada em workstations com
sistema operacional derivado do Unix. Este padro foi criado para ser utilizado em redes locais.
Desta forma possvel executar um programa em um computador e ver seu resultado em outro,
localizado em qualquer ponto da Internet. possvel tambm, executar programas em diversas
mquinas e visualizar todos como se fossem aplicaes locais, cada um em sua janela (UNISINOS,
1998).
Toda essa flexibilidade, entretanto, tem problemas de segurana: caso disponha de
autorizao do servidor X-Windows, possvel para um atacante exercer controle total sobre a tela
do cliente, como o movimento do mouse ou as funes do teclado (ibidem).

19
Esta autorizao muitas vezes no difcil de ser obtida pois o X-Windows possui dois
mtodos de autenticao, um no nvel de usurio e outro no nvel de mquina. Este ltimo permite
que um ataque por IP spoofing d acesso a este recurso (o ambiente grfico) do sistema operacional
(UNISINOS, 1998).
Os servidores X-Windows utilizam portas com nmeros bem definidos, sendo que o primeiro
servidor de cada computador utiliza a porta 6000, o segundo 6001 e assim sucessivamente.
Portanto, basta bloquear no host o acesso externo a estas portas (ibidem).
3.1.15. Ataques Utilizando o RIP
O RIP um protocolo de configurao dinmica de rotas. Os roteadores utilizam este
protocolo para transmitir informaes para outros roteadores (normalmente em broadcast). Em
geral, cada roteador, anuncia de tempos em tempos para os roteadores ao seu redor, que ele capaz
de rotear pacotes para determinada rede, de tal forma que em pouco tempo, a partir destas
mensagens, todos tenham uma tabela nica e otimizada de roteamento. (UNISINOS, 1998)
O problema principal do protocolo RIP o de que as informaes no so checadas. Um
atacante pode, portanto, enviar informaes falsas e maliciosas de roteamento para outros
roteadores, de tal forma que possa fingir que outra mquina, pretensamente confivel, ou at
mesmo para gravar todos pacotes enviados para uma determinada mquina (ibidem).
Um ataque tpico o de repassar, para os roteadores da rede, a informao de que os pacotes
enviados para uma determinada rede devem ser roteados atravs dele, atacante, que posteriormente
os envia para o destino correto. Durante a passagem do pacote, o atacante capaz de examinar seu
contedo em busca de senhas ou qualquer outra informao que julgar interessante ou, at mesmo,
modificar seu contedo (UNISINOS, 1998).
Os pacotes RIP so enviados para a porta 513 UDP. Portanto bloquear o acesso a essas portas
pode solucionar este problema.(ibidem)
3.2. Implementaes de Ataques
CURY (2000), descreve como ocorrem os ataques mais comuns:

20
Hanson: explora os soquetes criados pelo software cliente de IRC (Internet Relay Chat)
fazendo-o travar. Geralmente estes softwares (como o Mirc, para Windows) aceitam um
volume de dados maior do que conseguem manipular, ocasionando uma necessidade de
armazenamento em buffer maior do que o limite disponvel. O resultado o travamento do
sistema operacional. Alvo: Usurios de cliente de IRC.
Beer: o envio de pacotes ICMP (Internet Control Message Protocol) com endereos de
origem aleatrios e falsos, causando, no computador de destino, a necessidade de conferir a
origem de cada um destes pacotes, elevando o uso do processador nveis que o faam parar
de responder para o usurio local. Alvos: Sistemas operacionais Windows.
Teardrop: este algoritmo explora um bug no mdulo de fragmentao de endereos IP. Pode
causar indisponibilidade no computador alvo. Alvos: Linux, com kernel inferior verso
2.0.32 e Windows.
Win nuke: causa negao de servio, derrubando a conexo do protocolo IP. Isto feito
explorando a porta TCP 139, que atende requisies NetBIOS. Vrios problemas ocorrem.
O mais comum a falha geral de proteo do sistema operacional, o GPF (General
Protection Fault). Alvos: Sistemas operacionais Windows.
Land: este algoritmo causa a negao de servio atravs do envio de pacotes que tm
endereo de origem falso gerado aleatoriamente, causando no alvo a necessidade de conferir
a origem de cada um deles. O computador fica sem recursos para atender ao usurio. Alvos:
Windows NT 4 e Workgroups.
Coke: dependendo do estado da configurao de logging do host, este algoritmo pode causar
aumento da ocupao do espao em disco arbitrariamente. Alvo: Host Windows NT com
servio WINS.
Open tear: consiste no envio de uma grande quantidade de pacotes UDP para o alvo.
Geralmente isto causa a negao de servio, fazendo com que o host no atenda aos
usurios. Alvos: Windows e Linux.

21
4. ENGENHARIA SOCIAL
LIMA (2000) define Engenharia Social da seguinte forma " o mtodo de se obter dados
importantes de pessoas incautas atravs da velha e conhecida lbia."
J FONTES (2001), profere que o termo Engenharia Social relativamente novo, porm, o
assunto no, definindo-o assim: aquela conversa que encanta quem est ouvindo e faz com que
esse ouvinte fique com total confiana em quem est falando.
Estas duas citaes tm muito a ver com a segurana da informao. Quando dizemos que a
proteo da informao deve ser tratada de forma profissional, significa que ela deve ser
estruturada, deve ter regras e normas explcitas e ser vlida para todos. E isto deve ser de
conhecimento de todos. Tudo isto acaba invlido se um assessor da presidncia da empresa for
barrado no acesso fsico de uma rea restrita e no outro dia o vigilante que estava cumprindo a
norma for mandado embora por este fato. Esta situao demonstra que a organizao no deseja ter
uma segurana efetiva, mas sim, uma segurana faz de conta (FONTES, 2000).
Na opinio de ANTIHACKERS (2000), o mtodo mais simples, mais usado e, infelizmente,
mais eficiente de se descobrir uma senha perguntando ao detentor dela. Basta que algum
convena um funcionrio mal informado que ele acaba contando. Pode no ser a senha, mas ele vai
contar o tipo de sistema, o tipo de computador, e o que mais ele souber ou lembrar. Tudo depende
de quo eficiente o "Engenheiro Social", e quais conhecimentos sobre a empresa o alvo possui.
Prestar ateno no tipo de informao que sai da empresa, nos papis jogados no lixo e na
entrada das pessoas estranhas so formas comuns de prtica da engenharia social. Outra estratgia
encontrar um organograma da empresa. A partir da, o intruso vai saber com quem estar falando,
podendo se fazer passar, inclusive, por uma pessoa de maior hierarquia, como o diretor de
informtica, por exemplo (ibidem).
O hacker se passa por outras pessoas, enganando os funcionrios da empresa. Para poder fazer
um "teatro" convincente, ele utiliza informaes (nomes de usurios ou, do administrador)
coletadas previamente. Com isto o invasor consegue obter informaes privilegiadas (p.e. senhas),
ou ento induzir funcionrios a executar aes que enfraqueam a segurana (p.e. executar um
trojan ou uma reinicializao de senha) (NETSEC INTERNET SECURITY, 2000).

22
4.1. Exemplos de Ataque de Engenharia Social
Um usurio recebe um e-mail do hacker (se passando pelo administrador) solicitando que a
sua senha seja alterada para "x". Se o usurio proceder conforme solicitado, o hacker saber qual
sua senha, e poder passar a utilizar as credenciais deste usurio (NETSEC INTERNET
SECURITY, 2000).
O administrador da rede recebe um e-mail ou telefonema de um hacker (alegando ser um
usurio), solicitando a reinicializao da sua senha. Isto permite ao hacker logar com a senha deste
usurio (ibidem).
4.2. Aes Contra Ataques De Engenharia Social
LIMA (2000) recomenda que nas organizaes exista uma poltica de segurana centralizada e
bem divulgada para que todos saibam a quem recorrer em casos de dvida, alm de orientao e
esclarecimentos aos usurios. No h necessidade de desconfiar de todas as solicitaes de
informao, basta estar sempre alerta para pedidos de dados sigilosos, e nunca divulgar senha
nenhuma em qualquer circunstncia, pois a mesma perde o sentido se no se mantiver secreta.

23
5. FIREWALLS
Os firewalls, para UNISINOS (1998), protegem a rede interna de trabalho contra os perigos da
Internet (Figura 2). Eles servem para mltiplos propsitos:
Restringir a entrada de pessoas no sistema.
Prevenir contra ataques que possam atingir defesas.
Restringir ou limitar acessos dos usurios internos Internet.

Figura 2 Posicionamento do firewall na rede de computadores.
Para se compreender a tecnologia utilizada nas implementaes de firewalls, preciso ter
conhecimento dos objetos com os quais o firewall lida: pacotes e protocolos. Para transferir
informaes atravs de uma rede, estas informaes devem ser quebradas em pequenas partes,
transferidas uma a uma separadamente. Quebrar as informaes em pedaos permite a muitos
sistemas dividirem a rede, cada um enviando partes de suas informaes na sua vez. Em uma rede
IP, estes pedaos de informao so chamados de pacotes. (ZWICKY et al. 2000)

24
5.1. Caractersticas de um Pacote
Para entender a filtragem de pacotes, deve-ser entender como eles so classificados na pilha
TCP/IP, sendo elas:
Camada de aplicao (exemplos: FTP, Telnet, HTTP)
Camada de transporte (TCP e UDP)
Camada Internet (IP)
Camada de acesso rede (exemplos: Ethernet, FDDI, ATM)

Os pacotes so construdos de uma forma que as camadas para cada protocolo usado para uma
conexo em particular sejam quebrados em pacotes menores, ficando encapsulados de uma forma
concntrica (ZWICKY et al. 2000).
Em cada camada, um pacote tem duas partes: o cabealho e o corpo. O cabealho contm
informaes relevantes para aquela camada, enquanto o corpo contm os dados daquela camada,
que consiste de um pacote completo para a prxima camada superior. Cada camada trata as
informaes que recebe da camada acima e aplica seu cabealho ao dado. Este processo de se
preservar os dados enquanto se anexa novos cabealhos chamado de encapsulamento (Figura 3)
(ibidem).

25

Figura 3 Camadas de um pacote IP.

5.1.1. Exemplo TCP / IP / Ethernet
Considerando um pacote TCP/IP em uma rede Ethernet , (ZWICKY et al. 2000) examina o
contedo dos dados e cabealhos em cada camada existente no exemplo em questo, sendo elas:
Camada Ethernet.
Camada IP.
Camada TCP.
Camada de dados.

26
5.1.1.1. A Camada Ethernet
Na camada Ethernet, segundo ZWICKY et al. (2000), o pacote consiste de duas partes: o
cabealho Ethernet e o corpo Ethernet. Em geral, no possvel filtrar pacotes com base nas
informaes contidas neste pacote. Em algumas situaes, pode-se estar interessado entretanto, nas
informaes de endereamento deste protocolo, conhecido como MAC. Basicamente este cabealho
informa:
O tipo do pacote: neste exemplo, o pacote IP, no portanto um pacote AppleTalk, ou um
pacote IPX, nem um pacote DECnet.
O endereo Ethernet do computador que ps o pacote para transmisso na rede.
O endereo Ethernet do computador que deve receber o pacote.
5.1.1.2. A Camada IP
ZWICKY et al. (2000) diz que, nesta camada, o pacote IP tambm composto de duas partes:
o cabealho IP (Figura 4) e o corpo IP. Do ponto de vista de um filtro de pacotes , o cabealho IP
contm informaes teis:
O endereo IP de origem.
O endereo IP de destino.
O tipo de protocolo IP (TCP ou UDP).
O campo de opes.

27

Figura 4 Definio do cabealho e corpo de um pacote TCP/IP.

A maioria das redes especificam um tamanho mximo para o pacote, que muito maior que
o limite imposto pelo IP. Para sanar este conflito, o IP divide os pacotes grandes demais para
trafegar na rede em sries de pacotes, chamadas fragmentos. A fragmentao (Figura 5) no muda
as estruturas da camada IP (os cabealhos IP so duplicados em cada fragmento), mas isto pode
significar que o corpo contm apenas uma parte do pacote na prxima camada (ZWICKY et al.
2000).

28

Figura 5 A Camada TCP.
Nesta camada, ZWICKY et al. (2000) relata que o pacote novamente consiste de duas partes:
o cabealho TCP e o corpo TCP. Do ponto de vista do firewall, o cabealho TCP contm trs
informaes interessantes:
A porta TCP de origem.
A porta TCP de destino.
O campo de flags.
O corpo TCP contm a informao propriamente dita, por exemplo, o caractere transmitido em
uma sesso Telnet, ou o arquivo transferido em uma conexo FTP.

29
6. SERVIOS DA INTERNET
Saber quais servios sero prestados pela infra-estrutura da corporao um passo muito
importante durante a fase de projeto dos equipamentos computacionais que vo compor uma rede.
Portanto todo modelo que difere nos servios a prestar, difere na configurao dos equipamentos de
segurana. Entretanto para ZWICKY et al. (2000), a maioria das redes atende sempre a cinco
servios bsicos:
World Wide Web access (HTTP);
Correio eletrnico (SMTP);
Transferncia de arquivos (FTP);
Acesso de terminal remoto (TELNET e/ou SSH);
Converso de nomes de domnio em endereos IP (DNS).
Todos estes servios so regulamentados e podem ser providos de forma segura de diversas
formas, inclusive estando protegido por filtros de pacotes ou por sistemas proxy (Figura 6).

30

Figura 6 Usar proxy para redirecionar pedidos do cliente.

6.1. A World Wide Web
Atualmente, o servio de world wide web um dos mais populares da Internet. Para que se
entenda claramente do que composta esta grande fatia da Rede pode-se dividi-la nas seguintes
estruturas:
A Web;
O protocolo http (hypertext transfer protocol);
A linguagem HTML(hypertext markup language);
Os navegadores.

31
6.1.1. A Web
Consiste na coleo de servidores na Internet que atendem a requisies no protocolo de
comunicao HTTP. baseado em conceitos desenvolvidos na European Particle Physics
Laboratory (CERN) em Genebra, na Sua, por Tim Berners-Lee e outros pesquisadores. Hoje,
muitas organizaes e indivduos esto desenvolvendo este servio da rede e um nmero muito
maior de empresas e pessoas esto fazendo uso desta tecnologia. A Internet Engineering Task
Force (IETF) responsvel por manter o HTTP padronizado e o World Wide Web Consortium
(W3C) por desenvolver seus futuros sucessores (ZWICKY et al., 2000).
6.1.1.1. Consideraes sobre segurana
Quando se mantm um web server, se permite que qualquer pessoa alcance este computador
e envie comandos para ele. Os riscos de segurana se encontram quando o software servidor deixa
de somente manipular HTML para chamar acesso a programas ou mdulos externos que ampliam
as suas capacidades. Estes programas so relativamente fceis de se escrever porm difceis de se
implementar porque no se consegue prever todas as passagens de comandos que poder receber e o
comportamento que ter em sua execuo.
6.1.2. O protocolo HTTP
um dos protocolos que fazem parte da camada de aplicao do TCP/IP. Prov aos
usurios, acesso a arquivos que fazem a Web. Estes podem ter diferentes formatos (texto, grficos,
udio, vdeo etc.) mas primariamente ligados atravs de hyperlinks e programados na notao
HyperText Markup Language (ZWICKY et al. 2000).
6.1.3. A linguagem HTML
Descrio padronizada para criao de pginas. Basicamente, prov capacidades de
formatao de documentos, incluso de grficos e marcao de referncia outros documentos
atravs dos hyperlinks (ZWICKY et al. 2000).

32
6.2. Correio eletrnico
O correio eletrnico prov troca de mensagens eletrnicas umas com as outras sem a
necessidade de requerer respostas imediatas ou em tempo real. tambm o servio mais antigo e
tambm, um dos mais populares. Relativamente de baixo risco (mas isto no significa que seja
risco-zero), trivialmente se forja mensagens (assim como no servio postal) e isto facilita dois tipos
de ataque:
Ataques contra a reputao;
Ataques de manipulao social.
SMTP o protocolo padro na Internet para o transporte de mensagens entre computadores.
Os servidores de SMTP, como outros programas, diferenciam-se entre orientao a recursos e
orientao segurana.
Enquanto o SMTP transporta mensagens entre servidores, os clientes que recebem
mensagens no usam este protocolo porque a leitura de mensagens diretamente no servidor se
tornou no usual. Na Internet, os protocolos mais comuns para o descarregamento das mensagens
no software cliente so o Post Office Protocol (POP) e o Internet Message Access Protocol (IMAP)
6.2.1. Consideraes sobre segurana
Servir correio eletrnico toma espao em disco e tempo de processamento no host, ficando
aberto para ataques de negao de servio e muitas vezes deixa-se um canal aberto para a entrada de
cavalos-de-tria. Tambm, comum neste sistema o envio em massa de mensagens no solicitadas
e as cartas correntes, bem como a confiana exagerada que as pessoas tm no servio, fazendo
seu uso para envio de informaes confidenciais sem o mnimo de preocupao com os
intermediadores entre o remetente e o destinatrio (ZWICKY et al. 2000).
POP e IMAP tm as mesmas implicaes de segurana, eles comumente transferem as
informaes de autenticao do usurio sem nenhum recurso de criptografia, permitindo a hackers
lerem tanto suas credenciais quanto as mensagens que esto para ser transmitidas (ibidem).

33
6.3. Transferncia de arquivos
File Transfer Protocol (FTP) o servio padronizado na Internet para transferncia de
arquivos. A maioria dos navegadores baseados no protocolo HTTP tambm implementam este
protocolo como uma extenso dos seus recursos.
A primeira preocupao em servir o protocolo FTP que ele pode atuar como ponto de
entrada para cavalos-de-tria e outros cdigos maliciosos que exploram falhas na implementao
deste servio. Outras vezes o motivo da preocupao sobre o licenciamento do contedo que
enviado para o servidor. Entre eles softwares comerciais, jogos copiados ilegalmente e contedo
pornogrfico. Apesar de no apresentarem um risco tcnico de segurana, este contedo implica em
vrios outros problemas relevantes, como distribuio ilegal de software e infraes fiscais.
Algumas recomendaes para sistemas que precisam servir este servio so:
No permitir upload de usurios no identificados pelo sistema, mais precisamente upload
como usurio annimo.
Educar os usurios, inclusive com penalidades descritas no documento de polticas de
segurana, sobre o contedo que os mesmos disponibilizam.
Monitorar periodicamente o contedo dos diretrios dos usurios.
Implementar quotas no sistema de arquivos de modo a limitar a quantidade de espao que
cada usurio pode ocupar.
6.4. Terminais Remotos
H muitas situaes em que necessrio ou ao menos, desejvel, executar comandos em
computadores diferentes daquele que se est fazendo uso. Muitas vezes o motivo que justifica esta
necessidade o fato de se estar fisicamente muito distante do computador a controlar. Como
soluo, implementou-se servios capazes de prover esta tarefa, tanto em computadores com
sistema operacional orientado ao modo texto quanto nos que utilizam interfaces grficas.

34
Questes relevantes para ZWICKY et al. (2000) sobre o fornecimento deste tipo de servio
so:
H controles apropriados para identificar quem pode acessar o computador remotamente?
De que forma so autenticados os usurios?
possvel algum intruso tomar conta de uma conexo em andamento?
possvel alguma ferramenta de anlise de rede capturar informaes sigilosas,
particularmente, as credenciais do usurio?
Telnet est, cada vez mais, deixando de ser o servio padronizado na Internet para tarefas de
administrao remota. Porm, este servio j foi considerado seguro por requerer credenciais do
usurio. Comparado com os servios de execuo remota de comandos rsh e rlogin, isto realmente
faz sentido. Entretanto, estas credenciais podem ser to facilmente capturadas atravs da Rede que
seu uso se torna muito arriscado (ZWICKY et al. 2000).
Para solucionar as srias falhas do Telnet, criou-se o to bem aceito Secure Shell (SSH), que
prov uma coleo de utilitrios capazes de fornecer servios criptografados de execuo remota de
comandos, como tambm, transferncia segura de arquivos. Implementaes deste protocolo esto
disponveis atravs de vrios fornecedores e esto se tornando o novo padro no que diz respeito
administrao remota (ibidem).
Na utilizao do Secure Shell de forma a evitar o uso indevido deste servio, recomenda-se
o seguinte:
Explorar ao mximo as capacidades inovadoras para autenticao do usurio. Isto significa
exigir mais que apenas o par login e senha. Como recurso embutido, as implementaes
SSH podem ser configuradas para exigir uma chave criptogrfica pblica do usurio que
tenha sido gerada por uma chave privada anteriormente instalada no servidor. Este
procedimento faz com que o usurio no s fornea algo que s ele tenha conhecimento
(senha) mas tambm algo que somente ele possua (o par de chaves criptogrficas).

35
Quando financeiramente vivel, exigir identificao atravs de recursos menos burlveis
ainda, como autenticao por SmartCards, que so cartes, (parecidos com o de crdito) que
armazenam a chave pblica do usurio e so praticamente impossveis de se forjar.
6.5. Converso de nomes-de-domnio em endereo IP
A traduo de nomes que os usurios usam em endereos numricos que os protocolos
necessitam implementada pelo Domain Name System. No incio da Internet era possvel para cada
servidor manter uma tabela de hosts presentes naquela rede. Mais tarde, com o nmero de
computadores aumentando drasticamente, percebeu-se que esta tabela no poderia mais ser
mantida. O DNS uma soluo de base de dados distribuda que atende requisies para traduo
nome do domnio -> IP, e quando no sabe responder, consulta uma base presente um nvel acima
de sua hierarquia.
O resultado prtico que quem precisa servir na Internet, precisa do servio DNS.
Um dos riscos de se servir DNS prover mais informaes do que o necessrio. Por
exemplo: este protocolo permite embutir nas respostas informaes sobre o hardware e o sistema
operacional onde est sendo executado.
O DNS pode ficar mais seguro quando se toma algumas medidas, como:
Obrigar a utilizao de nmeros IP (ao invs do hostname) para autenticao em servios
que precisam alto nvel de segurana;
Autenticar sempre os usurios e no a origem deles. Isto significa exigir autenticao do
usurio mesmo quando a origem dele consta como segura na tabela de hosts do sistema
operacional, porque esta origem pode estar sendo forjada.

36
7. POLTICAS DE SEGURANA
"A poltica de segurana, do ponto de vista da administrao de sistemas, deve ser vista como a
poltica de segurana utilizada por uma nao para receber estrangeiros." (ZWICKY et al. 2000).
"A Poltica de Segurana um conjunto de regras, que tm por objetivo disciplinar o uso da
rede de trabalho. Na poltica de segurana, deve se especificar quem tem acesso rede, quais os
direitos de cada usurio ou grupo, quais servios so disponibilizados e para quais grupos.
importante tambm que a Poltica de Segurana tenha definido punies para cada tipo de infrao
cometida." (UNISINOS, 1998).
A palavra poltica sugere, para muitos, que se trata de documentos inacessveis, formulados
por grandes comits e que so impostas a todos e, posteriormente, ignoradas com o passar do
tempo. Porm, as polticas discutidas na administrao de sistemas, so tticas, que envolvem a
construo de um firewall, os detalhes de que servios so necessrios e quais so proibidos, entre
outros. Entretanto, no importa a qualidade do conjunto de tticas, se a estratgia de aplicao
destas for mal sucedida (ZWICKY et al. 2000).
Para RIBEIRO (1998), o objetivo da poltica de segurana resume-se em manter sob controle o
armazenamento da informao, que muitas vezes, o bem mais valioso de uma empresa devendo
seguir estes 4 paradigmas bsicos:
Integridade: A condio na qual a informao ou os recursos da informao so protegidos
contra modificaes no autorizadas.
Confidencialidade: Propriedade de certas informaes que no podem ser disponibilizadas
ou divulgadas sem autorizao prvia do seu dono.
Disponibilidade: Caracterstica da informao que se relaciona diretamente a possibilidade
de acesso por parte daqueles que a necessitam para o desempenho de suas atividades.
Legalidade: Estado legal da informao, em conformidade com os preceitos da legislao
em vigor, no que se refere aplicao de medidas punitivas.
De outra forma, ZWICKY et al. (2000) considera 4 questes para a formulao da poltica de
segurana:

37
Capacidade financeira: Quanto custa a segurana?
Funcionalidade: Pode-se utilizar o sistema de forma plena?
Compatibilidade cultural: A poltica de segurana proposta est em conflito com a forma
como as pessoas normalmente interagem com os que esto do lado de fora da empresa?
Legalidade: A poltica de segurana est de acordo com os requerimentos legais exigidos?
7.1. Contedo de Um Documento de Polticas de Segurana
Um documento de polticas de segurana uma forma de comunicao entre administradores
e usurios. Deve explicar a eles o que precisarem saber quando houver dvidas sobre segurana
7.1.1. Explicaes
importante que o documento seja explcito e compreensvel sobre todas as decises a
serem tomadas. A maioria das pessoas no ir seguir as regras a no ser que compreendam a sua
importncia.
7.1.2. Responsabilidade de Todos
Um documento de polticas de segurana esclarece expectativas e responsabilidades entre
usurios e administradores; permite a todos saberem o que esperar de cada um.
7.1.3. Linguagem Clara
A maioria das pessoas esto acostumadas com explicaes casuais. Para o administrador, pode
ser desconfortvel elaborar um documento casual, porque pode parecer ao mesmo tempo, muito
pessoal. Porm, mais importante fazer este documento amigvel e compreensvel do que faz-lo
preciso e com formato oficial.

38
7.1.4. Autoridade de Execuo
Escrever o documento de polticas de segurana no to importante quanto segui-lo.
Significa que quando a poltica no seguida, algo deve acontecer para consertar a situao e
algum precisa ser responsvel por fazer as correes.
Alguns exemplos do que deve especificar a poltica de segurana:
Gerentes de certas reas tm autoridade de revogar acesso a um usurio.
Gerentes so responsveis por efetuar correes em casos de transgresso.
Penalidades que esto reservadas aos transgressores.
7.1.5. Excees e Revises
Nenhuma poltica de segurana perfeita. No se pode cobrir qualquer evento futuro.
Entretanto, pode-se especificar as possveis providncias e as possveis penalidades em casos que
no constem no documento, sempre sujeito a revises e reavaliaes futuras.
Muitas vezes, regras que so impostas a seis funcionrios no se adaptam a sessenta. Tudo na
informtica muda muito mais rpido do que em qualquer outra rea, desde o hardware at a rea de
atuao de mercado da empresa. E isto implica na necessidade de revises constantes no documento
de polticas de segurana.
7.1.6. Itens Que No Devem Estar Presentes em um Documento de Polticas de
Segurana
Algumas caractersticas sobre assuntos que no devem constar em um documento de
polticas de segurana:
Detalhes Tcnicos
O documento deve descrever o que se est tentando proteger, e por qu. No deve
necessariamente, descrever detalhadamente de qu forma. muito mais til se ter um documento de
uma pgina descrevendo o qu e por qu do que ter dez pginas descrevendo como.
www.projetoderedes.kit.net www.projetoderedes.kit.net www.projetoderedes.kit.net

39
Comparaes Externas
Todos os documentos de polticas de segurana so diferentes, pois, empresas diferentes tm
conceitos diferentes, usurios diferentes e capacidades diferentes. No se pode portanto, esperar
bons resultados utilizando uma poltica j existente e alterando apenas os nomes escritos nela.
7.1.7. Principais Ameaas da Poltica de Segurana da Informao
Para RIBEIRO (1998), as principais ameaas que devem ser tratadas na Poltica de Segurana
da Informao so:
Integridade:
o Ameaas de Ambiente (fogo, enchente, tempestade...).
o Erros humanos.
o Fraudes.
o Erro de processamento.
Indisponibilidade:
o Falhas em sistemas ou nos diversos ambientes computacionais.
Divulgao da Informao:
o Divulgao de informaes premeditada.
o Divulgao de informaes acidental.
Alteraes no Autorizadas.
o Alterao premeditada.
o Alterao acidental.

III - DESENVOLVIMENTO
1. INTRODUO
Para que se possa entender a importncia e a necessidade de se manter seguros os sistemas
que hospedam contedo na Internet, so apresentadas aqui algumas informaes a respeito do uso
da Internet para fins maliciosos.
A Tabela 2 informa em valores numricos a quantidade de ataques ocorridos no Brasil que
foram reportados ao NIC BR Security Office, entidade mantida pelo Comit Gestor da Internet no
Brasil, que responde aos ataques com procedimentos legais de investigao.
Tabela 2 Totais Mensais e Anual Classificados por Tipo de Ataque.
Ano 2000
Ms Total axfr (%) af (%) dos (%) invaso (%) aw (%) scan (%) fraude (%)
Jan 424 28 6,60 108 25,47 11 2,59 3 0,71 57 13,44 217 51,18 0 0,00
Fev 509 61 11,98 78 15,32 8 1,57 11 2,16 80 15,72 270 53,05 1 0,20
Mar 541 55 10,17 117 21,63 14 2,59 8 1,48 38 7,02 309 57,12 0 0,00
Abr 351 19 5,41 93 26,50 17 4,84 5 1,42 22 6,27 194 55,27 1 0,28
Mai 480 12 2,50 145 30,21 15 3,12 11 2,29 28 5,83 267 55,62 2 0,42
Jun 641 7 1,09 215 33,54 8 1,25 17 2,65 20 3,12 374 58,35 0 0,00
Jul 585 2 0,34 80 13,68 13 2,22 17 2,91 22 3,76 450 76,92 1 0,17
Ago 432 2 0,46 112 25,93 6 1,39 13 3,01 16 3,70 280 64,81 3 0,69
Set 337 3 0,89 90 26,71 6 1,78 15 4,45 12 3,56 209 62,02 2 0,59
Out 468 0 0,00 139 29,70 4 0,85 7 1,50 17 3,63 301 64,32 0 0,00
Nov 573 2 0,35 167 29,14 34 5,93 13 2,27 57 9,95 295 51,48 5 0,87
Dez 656 9 1,37 196 29,88 23 3,51 7 1,07 46 7,01 372 56,71 3 0,46
Total 5997 200 3,34 1540 25,68 159 2,65 127 2,12 415 6,92 3538 59,00 18 0,30
Fonte: NIC BR Security Office
Legenda:
axfr: Tentativas de obter mapas de DNS.
af: Ataque ao usurio final.
dos: Denial of Service (negao de servio).
aw: Ataque ao servidor web.
Na Figura 7, uma representao grfica dos valores acumulados:

41
Incidentes reportados ao NBSO
0
100
200
300
400
500
600
700
jan fev mar abr mai jun jul ago set out nov dez
portscan
aw
invaso
dos
af
axfr

Figura 7 Incidentes - Valores acumulados
Fonte: NBSO (2001)

42
2. ESTRATGIAS DE SEGURANA
importante entender algumas das estratgias bsicas empregadas na construo de
sistemas de segurana. Os tpicos mais relevantes so:
Lei do privilgio mnimo;
Defesa em profundidade;
Ponto de aferio;
Elo mais fraco;
Segurana em caso de falha;
Poltica de negar conexes como padro;
Poltica de aceitar conexes como padro;
Participao universal;
Simplicidade;
Segurana atravs de obscuridade.
2.1. Lei do privilgio mnimo
Um dos principais princpios de segurana o fornecimento do privilgio mnimo. Neste
sentido, qualquer objeto (usurio, administrador, programador, etc.) deve obter apenas privilgios
suficientes para execuo de suas tarefas. A lei do privilgio mnimo limita a exposio dos
sistemas e reduz a gama de danos que podem ser causadas por ataques contra a falha na
implementao dos servios que se prov.

43
No contexto da Internet, cada usurio deve obter apenas o acesso que realmente necessita ao
sistema. Por exemplo, os usurios no necessitam direitos de leitura a todos binrios do sistema, os
operadores de backup no necessitam todos privilgios de um administrador de sistemas. Um
administrador de sistemas no necessita credenciais de acesso em sistemas que ele no mantm. Um
sistema no necessita de privilgios de escrita em outro sistema.
A maioria dos sistemas operacionais no chega at os administradores com a lei do
privilgio mnimo totalmente aplicada, forando o administrador de sistemas a constantemente
explorar novas formas de prover os mesmos recursos envolvendo sempre os menores privilgios,
como por exemplo:
No conceder privilgios administrativos a um usurio se tudo que ele necessita poder
reiniciar o servio de impresso. Para tal, inclua-o no grupo de operadores de impresso
(criando um novo, onde for caso) e para este grupo conceder permisso de execuo do
binrio que ativa o servio.
No executar programas nem servios com privilgios genricos. Muitas vezes comum
haver no sistema um usurio genrico, sob o nome de nobody e a ele atribuir todos servios.
Este procedimento expande os privilgios de um atacante que invade o sistema.
No aceitar credenciais, incluindo as legtimas, se estas apresentarem como ponto de origem
um dos sistemas que age como firewall, porque a segurana deles pode sempre estar
comprometida.
Muitos dos problemas de segurana na Internet podem ser vistos como falha no
cumprimento da lei do privilgio mnimo. Por exemplo, o Sendmail, que o agente de transporte de
mensagens eletrnicas mais utilizado na Rede, complexo e tem todas as suas tarefas (coletar
mensagens entrantes, escrever na caixa de mensagens do usurio, etc) sob privilgios de um
mesmo usurio (at o presente momento, setuid to root). Por necessitar de tanto acesso ao sistema
este software continuar a receber muita ateno dos hackers. Isto implica em que programas
superprivilegiados devem ser o mais simples possvel e deve sempre haver formas de se separar e
isolar partes de software que no precisam estar agrupadas em binrios de execuo complexa.

44
A aplicao da lei do privilgio mnimo relativamente simples de se aplicar quando se quer
reduzir privilgios de execuo de softwares mas pode exigir cautela quando se tratar de pessoas.
Deve haver cuidado para que os usurios realmente consigam fazer o que desejam e aceitem os
limites definidos pelo administrador para realizar suas tarefas.
Em suma, a maioria das solues que um administrador de sistemas aplica a uma rede
resume-se a aplicao da lei do privilgio mnimo. Como exemplos tem-se o filtro de pacotes, que
um conjunto de regras cujo objetivo a minimalizao de privilgios que se concede a conexes
entre redes, e o sistema de quotas em disco, que impede um usurio de utilizar mais espao em
disco do que o concedido.
2.2. Defesa em profundidade
Outro princpio de segurana a defesa em profundidade. Um dos significados para este
termo : no depender de um mecanismo de segurana em especfico, por mais forte que ele
parea . Em vez disso, deve se instalar vrios sistemas que possam suportar uns as necessidades
dos outros. O administrador de segurana em redes no deve esperar, nem arquitetar sua rede, com
foco em apenas em uma nica estratgia de segurana.
Apesar de os firewalls serem o principal instrumento de proteo, no se deve depositar
unicamente nele todas as esperanas de proteo da rede interna. O objetivo deve ser: fazer o
sistema muito arriscado ou muito custoso para ser invadido. Para tanto, somente um conjunto de
tcnicas diferentes pode garantir esta regra.
2.3. Ponto de aferio
Focalizar a ateno para os pontos de aferio do sistema pode tornar a deteco de intrusos
uma tarefa mais simples. Exemplos destes pontos de aferio na vida cotidiana so:
Pedgios;
Caixas dos supermercados;
Porto de entrada de uma casa.

45
Na segurana de redes e sistemas o firewall entre a Internet e a intranet o maior ponto de
aferio que o administrador tem com o atacante, ento muito importante saber monitorar este
canal e principalmente, saber como agir caso um ataque se inicie.
Todo cuidado com um canal perde o sentido quando outros so deixados sem ateno. Por
exemplo, de que adianta monitorar o firewall se existem inmeras linhas dial-up aguardando
conexes que do acesso no filtrado aos servidores de informao?
O modelo de segurana orientado a hosts, que aquele quando se colocam vrios servidores
atendendo um link, cada um com seu firewall (que na verdade no passa de um filtro pessoal de
pacotes) e um caso tpico de falha na implementao de pontos de aferio.
2.4. Elo mais fraco
Uma estratgia para aumentar a segurana dos sistemas ligados Internet a idia de que a
fora de uma corrente se mede por seu elo mais fraco. Este pensamento deixa a mensagem de que
hackers espertos sabero atacar nos pontos mais fracos e vulnerveis do sistema. necessrio que o
administrador esteja atento e seja capaz de classificar os pontos fracos e elimina-los quando
possvel, ou monitora-los com cuidado, quando sua existncia imprescindvel.
Mais uma vez, a utilizao de modelo de segurana orientado a hosts falha na aplicao
deste conceito, porque torna todos elos da corrente pontos susceptveis a ataques.
2.5. Segurana em caso de falha
Outro princpio de segurana o de que os sistemas de informao devem ser a prova de
falhas, ou seja, se falharem, a segurana do resto do ambiente no deve ser comprometida, mesmo
que isto custe a inacessibilidade do sistema at mesmo por quem possui credenciais para utiliza-lo
at que os reparos sejam feitos.
Os sistemas eltricos so projetados para se desligar, ou at mesmo queimar, quando falham;
Os elevadores de uma construo tm presilhas para fre-los em caso de falha mecnica. Da mesma
forma deve ser o comportamento dos sistemas computacionais que compem o firewall de uma
rede. A maioria dos sistemas j segura em caso de falhas. Por exemplo, se um filtro de pacotes
fica sem energia eltrica automaticamente o trfego deixa de passar por ele, negando fisicamente
todo e qualquer acesso rede.

46
O fato mais importante para aplicao deste conceito conhecer a postura geral da rede com
relao segurana, podendo ser agrupadas em duas:
Postura de negar conexes em situaes no regulamentadas;
Postura de permitir conexes em situaes no regulamentadas;
Pode parecer bvia qual deve ser a postura geral de uma rede com relao a sua segurana,
mas os motivos que fundamentam cada uma delas so os que seguem.
2.5.1. Negar conexes no regulamentadas
A poltica de se negar conexes como sendo a atitude para tudo que no est regulamentado
faz sentido quando se usa o ponto de vista da segurana. O administrador da rede fica sabendo tudo
que pode coloc-lo em risco e elimina tudo que for desnecessrio, mas esta viso geralmente no
cabe para o usurio.
Neste ponto de vista, nega-se toda conexo desconhecida como padro e ento se concede
acessos de acordo com a necessidade. Isto exige do administrador as seguintes tarefas:
Examinar quais servios os usurios querem e necessitam;
Fazer consideraes sobre as implicaes de segurana sobre a prestao de tais servios;
Permitir apenas os servios que so do entendimento do administrador, e que podem ser
providos com segurana, que tm motivo legtimo para serem usados e que esto de acordo
com a poltica administrativa imposta pelos diretores da organizao.
2.5.2. Poltica de aceitar conexes como padro
A maioria dos usurios e gerentes no-tcnicos preferem a poltica de aceitar conexes como
padro. Ela assume que tudo que no foi proibido ser permitido mas, as prticas inseguras devem
ser impedidas, como:
Compartilhamento de arquivos SMB/CIFS (Server Message Block / Common Internet File
System) e/ou NFS (Network File System) atravs da Internet;
Proibio aos usurios de instalar softwares servidores em seus computadores pessoais;

47
Assinatura de documento responsabilizando o usurio por seus atos na World Wide Web e
demais servios.
Vrios conflitos entre administradores de sistemas e usurios surgem com a implantao
desta poltica, como por exemplo, o compartilhamento de arquivos atravs da Internet, que visto
como extremamente inseguro pela maioria dos administradores, porm, a primeira idia que os
usurios em geral tm quando necessitam trocar arquivos dentro e fora da rede de trabalho. A
utilizao de um servidor de FTP pode neste caso amenizar a situao, j que exige de ambos a
necessidade de se autenticar em um sistema operacional designado para atuar como servidor.
2.6. Participao universal
Para ser completamente eficaz, a maioria dos sistemas de segurana necessita do
comprometimento de todos, ou ao menos, no deve receber resistncia daqueles que o mantm ou o
gerencia. Se uma nica pessoa puder optar por ficar excluda do sistema de segurana, ento toda a
eficcia deste sistema estar comprometida.
2.7. Simplicidade
Simplicidade uma estratgia por dois motivos:
1. Manter os sistemas simples faz deles sistemas mais fceis de se entender. No dominar por
completo um sistema, faz do administrador algum incapaz de dizer se ele est seguro ou
no;
2. A complexidade fornece um ambiente propcio para ocultar falhas ao administrador.
Programas complexos costumam ter mais bugs que podem levar a falhas de implementao
de software. Deve ser portanto, uma prtica do administrador de sistemas, manter as tarefas simples
de usar, manter e de administrar.
2.8. Segurana atravs de obscuridade
Este o princpio de se proteger a rede escondendo-a. No dia a dia este procedimento se
compara com o de no deixar objetos vista dentro do automvel mas sim guarda-los no porta
luvas. Em termos computacionais os significados so:

48
Instalar um computador e conecta-lo a Internet sem ningum saber sobre a existncia dele;
Desenvolver algoritmos de criptografia prprios, ou fazer uso de outros incomuns;
Instalar um servidor em uma porta diferente do padro para fins de utilizao interna;
Fornecer informaes diferentes para usurios de origem externa sobre os nomes-de-
mquina da rede;
Omitir verso do software que est atendendo a um servio.
Em geral, discute-se muito a eficincia deste mtodo, j que existem formas de detectar a
presena de computadores no anunciados na rede atravs de network scanning (varredura de rede)
ou de servidores em portas diferentes do padro atravs de port scanning (varredura de portas de
hosts). De fato, este mtodo ineficiente em muitos casos, mas quando usado em conjunto com os
demais, certamente contribui para o aumento do nvel de segurana da rede.

49
3. AVALIAO DE PROGRAMAS DE SEGURANA DA INFORMAO
Para auxiliar no desenvolvimento de um modelo de proteo de redes inovador, foi realizada
uma pesquisa baseada em questionrio (Anexo 1) com administradores de rede que se propuseram a
informar quais conceitos e tecnologias so empregados nas redes que administram.
A Tabela 3 informa o resumo dos ambientes pesquisados.
Tabela 3 Resumo da pesquisa
Convidados 20 administradores de rede da regio do Vale do Itaja, em
Santa Catarina, no Brasil.
Participantes efetivos 15.
Ambientes de trabalho visitados
pelo autor.
08 ambientes.
Locais de trabalho dos
entrevistados.
Provedores de acesso Internet, redes acadmicas e empresas
comerciais.
Quantidade de questes 6 questes objetivas sendo 3 de escolha simples e 3 de mltipla
escolha
3.1. Questo 1
A primeira questo Qual o sistema operacional predominante em seus hosts? tem o
objetivo de fornecer o cenrio da regio com relao ao uso dos diversos sistemas operacionais
existentes.
Tabela 4 Qual o sistema operacional predominante em seus hosts?
GNU/Linux 62%
FreeBSD 25%
Netware 13%


50
Sistema operacional servidor predominante
62%
25%
13%
Linux
FreeBSD
Netware

Figura 8 Qual o sistema operacional predominante em seus hosts?.
3.1.1. Anlise
Fica evidente o predomnio de sistemas operacionais que implementam o padro POSIX
(Portabe Operating System Interface) sendo eles o GNU/Linux e o FreeBSD. Isto leva a concluir
que o modelo de proteo de redes contar tambm com estes sistemas operacionais.
3.2. Questo 2
O segundo questionamento trata da maneira como est definida atualmente a poltica de uso
e segurana dos sistemas e recursos computacionais que so fornecidos para os usurios da rede
(clientes dial-up e dedicados no caso dos provedores de acesso; usurios da LAN para os demais).
Tabela 5 Como voc define a poltica de segurana na rede que administra?
Existe uma poltica documentada, que estipula limites e penalidades. 13%
Fao recomendaes verbais e informais para os usurios da rede. 74%
No existe nada nesse sentido. 13%


51
Poltica de Segurana
74%
13%
13%
Recomendaes
Informais
Poltica Regulamentada
Nenhum

Figura 9 Como voc define a poltica de segurana na rede que administra?
3.2.1. Anlise
A importncia da execuo formal da poltica de segurana relatada na Parte I deste
trabalho. Entretanto, a maioria dos administradores de rede entrevistados desconhece ou no
mantm vigente algum conjunto formal de normas sobre as normas de uso dos servios prestados
por seu setor ou sua empresa.
3.3. Questo 3
Na terceira questo Quais dos seguintes conceitos de segurana voc aplica na rede que
administra? obteve-se estes resultados:
Tabela 6 Quais dos seguintes conceitos de segurana voc aplica na rede que administra?
Criptografia em terminais 14 administradores.
Filtragem de pacotes 10 administradores.
Zona desmilitarizada (DMZ) 03 administradores.
Centralizao de autenticao (NIS, LDAP, Outros) 01 administrador.
Bridging Nenhum administrador.


52
Conceitos de segurana aplicados
14
10
3
1
0
Criptografia em
terminais
Filtragem de
pacotes
DMZ Centralizao
de
autenticao
Bridging

Figura 10 Quais conceitos de segurana voc aplica na rede que administra?
3.3.1. Anlise
A criptografia de conexes entre terminal e servidor se tornou fundamental. Essas conexes
transportam a autenticao dos usurios e proteger-se contra ao de sniffers esforo quase
unnime para os participantes da pesquisa.
A filtragem de pacotes, em teoria, deve ser o resultado de um estudo profundo sobre a poltica
de segurana, porque desse modo fica sendo apenas a aplicao prtica daquilo que j se
formalizou. Porm, como grande parte dos entrevistados no exerce documentao formalizada a
filtragem fica a cargo do conhecimento tcnico do administrador da rede.
Zonas desmilitarizadas fornecem uma camada adicional de segurana atravs da criao de
uma terceira rede entre a Internet e a LAN. O uso desta tcnica implica na adio de um roteador e
de alteraes na poltica de direcionamento de trfego. Estes motivos, em conjunto com o relativo
aumento dos custos de projeto e manuteno da rede, justificam o baixo ndice de utilizao da
topologia DMZ.
Os sistemas centralizados de autenticao, como LDAP (Lightweight Directory Access
Protocol), NIS (Network Information System), NDS (Novell Directory Service) e Active Directory
no so muito utilizados. Na pesquisa, isto se deu por dois motivos: O LDAP e o Active Directory
so protocolos muito recentes, estando em fase de estudo para alguns administradores e ainda no
tendo sido avaliados pelo restante. O NIS, que j existe a mais tempo, inseguro, sendo portanto,
deixado de lado.

53
O Bridging um caso especial: no usado por nenhum dos participantes da pesquisa. Os
motivos so vrios e esto descritos na questo 5 desta pesquisa. Entre eles:
Impossibilidade de conciliar tempo para estudo do bridge host e dos pr-requisitos para seu
funcionamento;
Documentao sobre o assunto ainda limitada e pouco divulgada;
O administrador admite desconhecer ou no saber fazer este mtodo de segurana.
3.4. Questo 4
A quarta pergunta questiona o posicionamento do(s) filtro(s) de pacote(s) com relao
topologia de rede existente no local de trabalho do entrevistado. A tabela abaixo apresenta as
respostas.
Tenho um (ou mais de um) host fazendo somente filtragem de pacotes. 22%
Mantenho um filtro de pacotes mas agrego nele outras funes. (Proxy,
NAT, FTP etc...)
34%
Todos servios que disponibilizo esto em um computador e nele filtro
pacotes.
22%
Somente configuro a filtragem de pacotes nos servidores que atendem aos usurios. 11%
No fao filtragem de pacotes. 11%


54
Filtragem de pacotes
34%
22%
22%
11%
11%
Firewall agregada com
NAT e/ou SQUID
Firewall dedicado
Todos servios em um
host
Filtragem nos hosts
somente
Sem filtro de pacotes

Figura 11 Posicionamento do filtro de pacotes.
3.4.1. Anlise
O cenrio mais comum que a pesquisa relata no que diz respeito a filtragem de pacotes o do
posicionamento do filtro no mesmo computador que faz a traduo de endereos e o proxying. Esta
topologia justa, pois o equipamento pode suportar a carga que lhe dada. Mesmo assim existe um
comprometimento do firewall porque este precisa receber endereamento IP rotevel sendo visvel
por toda a Internet. Esta topologia comum nas redes acadmicas e em algumas LANs comerciais.
A anlise do questionrio conclui que 22% dos administradores mantm um filtro dedicado.
J que este(s) equipamento(s) recebe(m) endereamento no protocolo IP subentende-se portanto que
esto to expostos quanto os firewalls com servios agregados.
O motivo para que outros 22% dos participantes concentrassem todos servios em um s
equipamento claro: custo. As organizaes que mantm esta topologia optam por no investir em
mtodos de segurana alm daqueles que no precisam novos investimentos. Esta situao ocorreu
somente em empresas comerciais, no ocorrendo portanto com provedores de acesso nem nas redes
acadmicas.
Alguns administradores de rede optam por habilitar a filtragem de pacotes diretamente nos
servidores. Esta topologia comum em provedores de acesso e os benefcios do Modelo Proposto
so muito evidentes neste caso, como ser visto no prximo captulo.

55
O restante (11%) no filtra pacotes. Nestes casos, geralmente o(s) servidor(es) no recebem
ateno de administradores de rede, mas sim de profissionais que exercem outras tarefas no
departamento de informtica e que esto apenas comeando a servir contedo na Internet.
3.5. Questo 5
Quinta questo: Se voc no mantm um host dedicado somente a filtrar pacotes, isto
acontece por qual (quais) motivo(s)? (Tabela 7)
Tabela 7 Motivos para no manter um filtro de pacotes dedicado.
Complexidade versus Tempo disponvel 34%
No sei porque ou como fazer 33%
Financeiramente invivel 22%
No aumentar a segurana no meu caso 11%


56
Motivos para no manter um filtro dedicado
34%
33%
22%
11%
Conciliar complexidade
e tempo
No sabe fazer
Financeiramente Invivel
No aumentar a
segurana

Figura 12 Motivos para no manter um filtro de pacotes dedicado.
3.5.1. Anlise
Conciliar tempo para entender o funcionamento de um filtro dedicado , neste caso, o
principal motivo para que um administrador no o faa. Mais do que ser capaz de prepar-lo, este
equipamento deve receber monitoramento contnuo porque nele so relatadas todas as anomalias
detectadas nos pacotes IP pelos NIDSs (Network Intrusion Detection System). Neste ponto, surge a
figura do analista de segurana, um profissional que trabalha em conjunto com o administrador de
redes, porm focalizado no monitoramento da informao que trafega, na pesquisa por novos
sistemas e nas tarefas contnuas de execuo do plano de contingncia e da poltica de segurana.
A falta de conhecimento sobre como se prepara e se mantm um firewall dedicado tambm
um dos motivos para os entrevistados no o fazer. Na maioria dos casos as redes comeam
pequenas, sem necessidades requintadas de segurana e depois a migrao e o downtime necessrio
para execuo de testes quase impossibilita esta melhoria. No Modelo Proposto sugere-se um
firewall dedicado cujo downtime muito prximo de zero ou, no maior do que o tempo necessrio
para uma troca de dois cabos de rede.
3.6. Questo 6
Em relao sexta questo: Qual(is) sistema(s) de deteco de intrusos esto em atividade
na sua rede? obteve-se os seguintes resultados:

57
Tabela 8 Qual(is) sistema(s) de deteco de intrusos esto em atividade na sua rede?
Outros 10 ocorrncias.
Tcpdump 8 ocorrncias.
Tripwire 4 ocorrncias
Portsentry 3 ocorrncias
Chkrootkit 2 ocorrncias
Netsaint 2 ocorrncias.
Logcheck 1 ocorrncia.
Snort Nenhuma ocorrncia.
Nenhum 2 ocorrncias.

Ferramentas de deteco de intrusos utilizadas
10
8
4
3
2 2 2
1
0
O
u
t
r
o
s
T
c
p
d
u
m
p
T
r
i
p
w
i
r
e
P
o
r
t
s
e
n
t
r
y
C
h
k
r
o
o
t
k
i
t
N
e
n
h
u
m
N
e
t
s
a
i
n
t
L
o
g
c
h
e
c
k
S
n
o
r
t

Figura 13 Qual(is) sistema(s) de deteco de intrusos esto em atividade na sua rede?
3.6.1. Anlise
O alto ndice de uso de outras ferramentas que no as listadas se d pelo motivo de que
existem procedimentos especficos de cada sistema operacional que servem como ferramenta de
deteco de intrusos. O GNU/Linux conta com o LIDS (Linux Intrusion Detection System). J o
FreeBSD emite relatrios diariamente com alteraes relevantes no sistema. O Novell Netware por
sua vez pode ter o border manager configurado para fins similares.
Porm, entre as ferramentas multiplataforma, tm se o Tcpdump (TCPDUMP, 2001) como a
mais usada. O Tcpdump um utilitrio que monitora o trfego que passa nas interfaces de rede.
uma ferramenta genrica.

58
Seus pontos fortes so:
Flexibilidade.
Por exemplo: tcpdump i rl0 dst host 192.168.1.1 and port 23 or port 110 or
port 21 para monitorar logins nas portas TELNET, POP ou FTP;
Distribudo junto com a maioria dos sistemas operacionais POSIX;
Fcil aprendizado e utilizao. A sada pode ser direcionada para arquivo e analisada
posteriormente.
E principais pontos fracos:
Precisa ter seu comportamento ajustado pelo administrador da rede;
Est limitado a ser um sniffer, a interpretao depende do administrador.
O Tripwire (TRIPWIRE, 2001) um analisador de integridade do sistema de arquivos. Este
tipo de software utiliza algoritmos criptogrficos para criar fotografias do sistema de arquivos.
Qualquer modificao nos arquivos, como por exemplo a instalao de um rootkit facilmente
detectada comparando as fotografias de antes e depois do ataque. Para ambientes GNU/Linux est
sob licena GNU General Public License. No FreeBSD entretanto, caso no se deseja obter licena
comercial para o Tripwire pode-se optar pelo AIDE (Advanced Intrusion Detection Environment)
sob GPL para todos sistemas operacionais.
Portsentry um Host-based Intrusion Detection System criado pela Psionic (PSIONIC, 2001)
capaz de identificar varredura de portas. Manter um software como este faz com que o
administrador de redes saiba o momento e a origem dos ataques que o Portsentry pode identificar.
Pontos fortes do Portsentry:
Detecta stealth scans (GNU/Linux);
Baseado em regras pr-definidas de comportamento, sem necessidade de interveno do
usurio.
Pontos fracos:

59
Por funcionar com regras pr-definidas precisa ser atualizado para se adaptar a novas formas
de ataque;
No detecta stealth scans no FreeBSD e demais sistemas operacionais.
Chkrootkit (MURILO, 2001) um conjunto de shell scripts que testa o sistema contra uma
variedade de rootkits.
Pontos fortes do chkrootkit:
Detecta de forma rpida e eficiente os rootkits mais conhecidos;
Sua utilizao fcil e pode ser inserida no agendador do sistema (vixie cron, anacron,
etc...)
Pontos fracos:
Assim como os demais softwares, no deve ser o nico sistema de deteco instalado;
O programa somente informa a deteco de rootkits. No os remove nem prov
procedimentos para remoo deles.
O netsaint (NETSAINT, 2001) um IDS hbrido, que monitora host e rede utilizando-se de
regras obtidas com o produto e que tambm podem ser programadas para fins especficos do
administrador.
Pontos fortes:
Anlise em tempo real do trfego da rede.
Relatrios de fcil leitura e alto teor tcnico so gerados e podem ser acessados por um
browser.
Ponto fraco:
Setup inicial complexo e propenso a falhas at que se entenda o funcionamento dos arquivos
de configurao.

60
O Logcheck (PSIONIC, 2001) , assim como o Porsentry, um dos integrantes da sute de
ferramentas de segurana Abacus Project. Este programa tem a funo de analisar logs gerados
pelos seguintes softwares:
Sute Abacus Project;
TCP Wrappers;
System Logger (SyslogD);
Log Dmon;
TIS Firewall Toolkit.
uma ferramenta de auxlio na deteco de intrusos, j que sua tarefa fazer a anlise e
interpretao de arquivos-texto em lugar do administrador.
Ponto forte:
altamente integrado aos softwares para os quais foi desenhado;
Ponto fraco:
Por ser altamente integrado, no importante quando a configurao do host no inclui
muitos dos aplicativos que ele suporta.
Snort (ROESCH, 2001) um kit de deteco de intrusos quase completo. Vem pr
configurado e a atualizao das regras de comportamento so atualizadas a cada 30 minutos no
website. Funcionando de forma parecida com os anti-vrus para desktops ele pesquisa por
assinaturas conhecidas de ataque e toma as seguintes aes:
Relata, em arquivo de log todas informaes necessrias do ataque, entre elas: classificao,
nvel de risco, endereo de origem, data e referncias para estudo sobre o ocorrido;
Opcionalmente, atravs do mdulo Guardian, escreve em tempo real uma regra que alimenta
o filtro de pacotes impossibilitando a continuao do ataque.

61
3.7. Questo 7
A stima questo Qual(is) ataque(s) voc j detectou em sua rede? trata dos ataques que j
foram detectados nas redes pesquisadas.
Tabela 9 Qual(is) ataque(s) voc j detectou em sua rede?
Port Scan 13 ocorrncias.
Fora bruta 10 ocorrncias.
Outros 07 ocorrncias
Negao de servio 04 ocorrncias
Rootkits 03 ocorrncias
Ataque contra o usurio 02 ocorrncias.
Nenhum 02 ocorrncia.
Mapas de DNS 01 ocorrncia.

Incidentes
1
2
2
3
4
7
10
13
Mapas de DNS
Nenhum
Ataque contra usurio
Instalao de rootkit
Negao de Servio
Outros
Fora Bruta
Port Scan

Figura 14 Quais ataques voc j detectou em sua rede?

O ndice relativamente alto de varreduras de portas (port scan) justificado pelo fato de que
ele serve como base para os demais ataques. Atravs de uma varredura consegue-se obter entre
outras, as seguintes informaes do alvo:
Nome e verso do sistema operacional;
Quais portas TCP e UDP esto em estado de escuta;
Nome e verso do software que est atendendo cada porta em estado de escuta.

62
Estas informaes so essenciais quando o atacante, para obter sucesso, depende de falhas na
implementao dos softwares que esto em execuo no host.
O ataque por fora bruta aquele onde o atacante sabe o nome de login da vtima e tenta
seqncias de senhas com base em dicionrios ou geradas seqencialmente contra servidores
que as solicitam, como FTP e POP. O resultado que aps horas de execuo, estes programas
podem acabar por formular a senha correta informando-a para seu utilizador.
A maioria dos servidores destes protocolos, ao detectar a repetio de tentativas de login so
capazes de alertar o administrador sobre o ataque em execuo, mas dependem da presena dele no
sistema para efetivamente bloquear o endereo de origem do atacante.
Os ataques de negao de servio resultam em conseqncias desagradveis para o prestador
de acesso a Internet. Geralmente seus clientes (usurios da LAN e dial-up) ficam com a impresso
de que no h conexo nem podem medir por quanto tempo a situao persistir.

63
4. MODELO PROPOSTO PARA PROTEO DE REDES
O esboo de rede aqui sugerido (Figura 15) inspirado em um prottipo que tem mostrado
resultados eficazes para VEEN (2001) e prope a utilizao de apenas um endereo IP vlido para
toda a rede Esta situao muito comum para as empresas que no podem (e no precisam) obter
uma classe de endereos ou frao dela. Em adio, possvel adequar este modelo a redes
acadmicas e a provedores de acesso, segmentando a rede de acordo com as necessidades.
O modelo faz uso dos seguintes recursos computacionais:
Roteador.
Bridge Host.
NAT Host.
LOG Host.
As redes de servidores e clientes.

64

Figura 15 Viso geral do modelo proposto.
4.1. Roteador
Muitos roteadores tm implementado verdadeiros sistemas operacionais que possibilitam ao
administrador de redes filtrar vrios tipos de acesso antes destes entrarem em sua rede. Outros,
entretanto, no dispem de tais ferramentas, restringindo-se somente ao roteamento de pacotes sem
analisar em nenhum aspecto seu contedo. Aqui, assume-se que o roteador faa apenas seu trabalho
principal, ou seja, o roteamento. A filtragem e o tratamento de pacotes se dar no Bridge Host, visto
a seguir.
4.2. Bridge Host
Este computador possui 3 interfaces de rede. A primeira (b1) e a segunda (b2) agem como
bridge. A funo primria de um bridge conectar dois segmentos de rede criando a impresso de
uma nica e grande rede. Porm, neste caso, o bridge tem a funo especial de filtrar todo o trfego
que passa por ele atravs de regras que direcionam os pacotes, bloqueando os indesejados.
Tipicamente o que se v hoje o computador que age como proxy fazendo este trabalho. A
desvantagem nisso que o firewall visvel (acessvel) na Internet. No caso aqui proposto as
interfaces b1 e b2 no recebem endereamento IP. Este procedimento assegura que nenhum
computador - tanto na rede interna como na externa - saber de sua existncia. Portanto ele no
pode ser acessado via Internet nem ser atacado no nvel do protocolo IP.

65
A terceira interface de rede (b3) existe para uma finalidade muito importante: ela a
responsvel por enviar relatos (logs) ao LOG Host sobre as atividades suspeitas e as tentativas de
invaso para que sejam reportadas (servido como evidncias) para eventual processo jurdico, bem
como receber novas regras de filtragem de emergncia sobre acessos indevidos detectados pelo IDS
(Sistema de deteco de intrusos) que esto em cada segmento de rede. Esta interface necessita um
endereo IP, porm o trabalho de bridging entre b1 e b2 ocorre de tal forma que elas so incapazes
de trocar informaes com b3.
4.3. NAT Host / Bastion Host
A tecnologia NAT (Network Address Translator) permite que computadores configurados com
endereos no roteveis possam enviar e receber pacotes pela Internet. Os motivos para o uso deste
recurso so estes:
Escassez de endereos vlidos: Muitas vezes o custo para se alocar um endereo vlido para
cada computador em uma rede pode inviabilizar o acesso a Internet.
Segurana: Considerando que maioria dos computadores faz uso da Internet para acessar
recursos e no para servir contedo mais seguro fornecer a estes computadores um
endereo que no pode receber pedidos de conexo originados de fora da rede local.
O Modelo ento requer um computador que seja capaz de assumir pedidos originados na rede
interna, processa-los e devolver os resultados ao computador que fez a solicitao.
Este host necessita de 3 interfaces de rede. A primeira (n1) entrega todo contedo que recebe de
n2 e n3 para a interface b2 presente no Bridge Host. A segunda (n2) o gateway para todos os
servidores da corporao. A terceira (n3), por fim, o gateway de todos computadores que no
servem contedo, ou seja, os clientes. Esta separao entre rede de servidores e rede de clientes
fornece o benefcio de que se uma vulnerabilidade for encontrada e explorada por um hacker nos
servios (DNS, SMTP, HTTP etc..) de um dos servidores, os computadores da rede de clientes
ainda estaro protegidos de tal ataque.

66
O bastion host o primeiro computador (se no o nico) com presena real na Internet. Este
pode ser comparado com o hall de um edifcio comercial. As pessoas que vem de fora no devem
ter acesso s escadarias nem aos elevadores da construo, mas podem transitar livremente pelo hall
e perguntar o que quiserem. Da mesma forma, o bastion host o sistema exposto a estes elementos
potencialmente hostis. nele que todos usurios - inclusive os que agem de m f devem se
conectar para acessar todos os outros sistemas e servios.
O bastion host est altamente exposto porque sua existncia conhecida na Internet.
Portanto, o mantenedor do sistema deve concentrar esforos de segurana nele, principalmente
durante sua construo e fase inicial de operao. Mesmo em se falando em um nico bastion host,
importante saber que pode haver mais de um, dependendo da configurao do firewall. O nmero
depende dos requerimentos de cada site em particular, mas o princpio sempre o mesmo.
Bastion hosts so usados de vrias formas em vrias topologias. A maioria, entretanto,
orientada filtragem de pacotes, ao proxying ou a ambas. Em uma abordagem hbrida seus
princpios gerais devem ser:
Orientao simplicidade;
Preparao para o comprometimento do sistema.
4.3.1. Orientao simplicidade
Quanto mais simples for um bastion host, mais facilmente pode-se mant-lo seguro.
Qualquer servio que o bastion host oferea pode conter bugs de software ou erros de configurao
que potencialmente acarretam problemas de segurana. Portanto, deve-se ter em mente a
importncia em manter a simplicidade e oferecer o menor nmero de servios possvel neste
sistema e com os mais baixos privilgios mantendo assim, a rede sem criar nela um gargalo.
4.3.2. Preparao para o comprometimento do sistema
Por mais que se empreenda todos os esforos para garantir a segurana do bastion host,
pontos de quebra (ou, pontos de entrada) podem ocorrer. Subestimar o quo seguro este sistema
deve ser regra para o administrador de sistemas. Somente preparando-se para o pior, e planejando-
se para este fato ser possvel revert-lo. Sempre manter a questo E se o bastion host for
comprometido?...

67
Caso o comprometimento do bastion host venha a ocorrer, deve-se evitar que esta quebra
leve a um desastre do sistema de proteo por completo, instruindo os servidores de contedo no
aceitar nenhuma conexo com origem no bastion host exceto aquela que justifica a existncia do
servidor em questo. Por exemplo: negar, no filtro do servidor HTTP qualquer conexo originada
no bastion host com destino diferente da porta 80/tcp.
4.4. O Log Host
O Log Host se trata de um computador, isolado fisicamente dos demais e, preferencialmente,
conectado atravs de uma comunicao serial ou qualquer outra inalcanvel por qualquer intruso.
Seu papel receber e registrar eventos que esto ocorrendo pela rede, bem como coletar provas que
possam incriminar judicialmente o intruso que atacar o permetro monitorado.
4.5. As redes de servidores e clientes
Estando protegida tanto por um filtro de pacotes invisvel quanto por um gateway
desempenhando traduo de endereos, as redes de servidores e clientes esto relativamente
protegidas. As medidas tomadas neste modelo elevam ao mximo o nvel de segurana entre os
computadores que formam estas redes. Porm, isto no significa que a barreira seja intransponvel.
Por mais que se inspecione todos os pacotes, quando o servio parecer legtimo ele deve ser
atendido. Deste ponto em diante, possvel ao atacante agir de duas formas:
Causar negao de servio;
Explorar falhas de implementao dos softwares que realizam servios.
4.5.1. Negao de servio
Sendo os pacotes legtimos, eles devem ser atendidos. Porm se o hacker fizer muitos
pedidos de conexo antes de receber confirmao (enviar SYNs antes de receber ACKs), configura-
se um ataque de negao de servio. Isto no causa propriamente uma invaso mas o servio
disponibilizado naquele computador fica inacessvel para todos os outros interessados em us-lo.
Geralmente um computador s no consegue causar tal efeito, mas uma rede distribuda de
atacantes consegue este intento, principalmente escolhendo como alvos grandes empresas
comerciais.

68
No existe soluo que garanta com sucesso a proteo de uma rede contra ataques de
negao de servios. O que se pode fazer utilizar um sistema de deteco de intrusos ativo que
monitora o sistema e encontrando alguma atividade suspeita, instruindo o filtro de pacotes a no
mais aceitar qualquer conexo com o endereo de origem do atacante. Neste caso, para evitar a
sobrecarga de informao (flood) deve-se enviar uma nica notificao ao administrador sobre o
ocorrido e rejeitar os demais pacotes, evitando assim, entupir o Log Host com mensagens repetidas
sobre o estado da filtragem.
4.5.2. Explorao de falhas na implementao do software servidor
Quando todos os componentes de segurana esto ativos e no mximo de sua performance,
incluindo o sistema que controla e evita ataques de negao de servio ainda pode haver falhas nos
softwares que servem nos computadores desta rede.
Estas falhas so brechas deixadas pelos programadores da implementao de um servio
(p.e. o Sendmail uma implementao do protocolo SMTP) e descobertas por hackers experientes.
A lista de discusso Bugtraq (BUGTRAQ 2001) freqentemente emite boletins informando
aos assinantes relatando descobertas de falha na implementao dos vrios softwares utilizados nos
servidores espalhados por toda Internet.

69
5. RECOMENDAES PARA O MODELO DE PROTEO PROPOSTO
Para o entendimento sobre a importncia de cada elemento do Modelo Proposto,
apresentado aqui um relatrio descrevendo os procedimentos necessrios para se obter as
funcionalidades desejadas.
5.1. O Sistema Operacional do Bridge Host
Para aplicao prtica deste estudo, foi escolhido o FreeBSD, que um sistema operacional
BSD UNIX profissional, para computadores com processadores baseados no modelo i386, DEC-
Alpha ou PC-98. mantido pela Universidade da Califrnia, Berkley, e seus contribuidores, bem
como recebe suporte de grandes empresas como a Daemon News Inc., BSD Central Inc. e Yahoo
Inc. (FREEBSD, 2001).
Derivado do ltimo release do BSD UNIX (verso 4.4), o FreeBSD herda a implementao
do protocolo TCP/IP que deu origem a ArpaNet e posteriormente, Internet.
Entre os motivos para esta escolha, esto:
Possui filtro-de-pacotes (firewall) incorporado ao kernel do sistema;
O acesso a seu cdigo fonte, alm de ser didtico, permite ajustes de performance e
segurana;
Tem como princpios a estabilidade, segurana e uniformidade de uso;
Possui, historicamente, a melhor implementao do protocolo TCP/IP entre todos sistemas
operacionais;
No h custos financeiros com licenciamento;
Possui um dos histricos de menor nmero de falhas que possibilitam acesso indevido ao
sistema, ficando geralmente por anos sem nenhum relato neste sentido. (BUGTRAQ, 2001)
Como a maioria dos sistemas UNIX, o FreeBSD permite:
Compartilhamento de arquivos via NFS;

70
Distribuio de informaes de rede via NIS;
Logins remotos via SSH;
Monitoramento remoto, incluindo carga do processador, memria, interfaces de rede, estado
de processos via SNMP;
Cdigo para configurao de bridge mais estvel do que os outros sistemas operacionais.
5.2. Verificador de integridade
AIDE (Advanced Intrusion Detection Environment) um verificador de integridade de
sistemas construdo nos moldes do software comercial Tripwire (LEHTI & VIROLAINEN, 2001).
O AIDE constri um banco de dados a partir de expresses regulares existentes em seu
arquivo de configurao, armazenando atributos como: permisses, inodes (ns no sistema de
arquivos), UID (cdigo de identificao do usurio), GID (cdigo de identificao do grupo),
tamanho do arquivo, data de modificao, data de acesso, nmero de links. Cria tambm um
checksum ou hash de cada arquivo usando um ou uma combinao dos seguintes algoritmos: sha1,
md5, rmd160, tiger (crc32, haval e gost podem ser compilados se o suporte a mhash estiver
disponvel).
Tipicamente, o administrador de sistemas ir criar um banco de dados AIDE no novo host
antes deste ser colocado para funcionamento em rede. Este primeiro banco de dados um retrato do
estado normal dos arquivos protegidos e servir como base para todas as alteraes futuras no
sistema. Este repositrio deve conter informaes sobre os binrios-chave do sistema, bem como
bibliotecas, headers e demais arquivos que devem ser preservados. No se inclui porm, arquivos
que sofrem alteraes freqentemente, como os aquivos de log, os diretrios de usurios etc...
Aps uma invaso, geralmente o administrador examina o sistema usando ferramentas como
o ls, ps, netstat e who. comum entretanto, o invasor alterar estes binrios com verses
modificadas para esconder arquivos e processos que esto em execuo na tentativa de ocultar seu
rootkit do administrador. Mesmo um administrador que tenha anotado previamente as datas e
tamanhos de seus binrios a comparao pode no funcionar porque possvel manipular todos
atributos de um arquivo e, alguns rootkits fazem este trabalho sem que o invasor tenha que se
preocupar.

71
Apesar de ser possvel manipular os arquivos do sistema, muito difcil manipular um
algoritmo de checksum como o md5 e, exponencialmente mais difcil manipular cada um dos
algoritmos suportados pelo AIDE. Executando-o aps uma invaso, o administrador pode
facilmente identificar as alteraes feitas em seu sistema com alto grau de confiana e preciso.
5.3. O detector de intrusos
Optou-se por utilizar o Snort como detector de intrusos. Alguns motivos que levaram a esta
escolha so:
Simplicidade de uso;
Possibilidade de se manter as assinaturas de ataques em sincronia quase simultnea com as
regras atuais do website do autor da ferramenta;
Alto ndice de resultado nos testes informais iniciais.

72
6. POLTICA DE SEGURANA
Com base nas informaes fornecidas por ZWICKY et al. (2001) formulou-se linhas mestras
para a elaborao de um documento de poltica de segurana. O objetivo encontrar o melhor
modelo considerando:
Custo da segurana;
Em ambientes conectados Internet, no se pode assumir segurana absoluta, mesmo que se
tenha a disposio recursos financeiros ilimitados.
Funcionalidade;
As pessoas no gostam de trabalhar ou estudar em ambientes hostis, ento, por um lado se
perde em segurana e por outro se perde em funcionalidade. Sempre.
Compatibilidade cultural;
Regulamentar o comportamento do usurio de acordo com o que est dentro de seus
costumes fator decisivo no sucesso da implantao da poltica de segurana.
Aspectos legais.
importante que haja conformidade entre as penalidades impostas no documento de poltica
de segurana e a lei vigente no Pas.
6.1. Contedo
A poltica de segurana deve ser vista como um canal de comunicao entre usurios e
administradores da rede. Precisa explicar a importncia da segurana para motivar o usurio a
pratic-la.
importante incluir no documento a mensagem de que a responsabilidade por atos
prejudiciais de todos. hostil e injusto distribuir um documento que especifica apenas as
obrigaes dos usurios.

73
A maioria das pessoas no convive com textos jurdicos nem so especialistas em
computao. prefervel portanto, utilizar uma linguagem casual para formular o documento de
poltica de segurana mesmo que ele no ganhe toda aparncia oficial que se deseja.
Mais do que escrever o documento, necessrio usa-lo como regra todos os dias. Isto
significa que se a poltica no seguida, algo deve ser feito para consertar a situao. O profissional
de segurana da informao deve ser responsvel por fazer tais correes acontecerem e esta
afirmao tambm deve estar contida no documento, assim como outras:
Gerentes de certos servios tem autoridade para revogar acesso de usurios subordinados a
ele;
Gerentes tero como responsabilidade avaliar transgresses ocorridas em seus setores;
O administrador da rede, em conjunto com a diretoria pode cessar recursos que no se
enquadram nos padres da empresa.
A poltica deve especificar quem decide e dar indcios de quais penalidades esto previstas
para cada caso descrito. Porm no deve apontar o que acontecer em seguida com muita exatido,
j que no se tratam de sentenas de lei, mas sim de polticas.
Nenhuma poltica atinge a perfeio. No possvel prever cada caso e documenta-los.
Entretanto, preciso especificar as excees que podem ocorrer em cada processo.
Prever que a poltica sofrer revises necessrio. Nunca se pode dar por encerrada a
formulao do documento. Com o passar do tempo novas necessidades precisam ser documentadas
e o lanamento destas, importante para a continuidade efetiva da poltica.
No momento em que se precisa aprofundar o detalhamento tcnico que descreve os sistemas
do qual a rede formada, algumas questes so relevantes para o processo de formulao do
documento de poltica de segurana. Entre elas:
A quem permitido ter conta no sistema?
Existem contas temporrias para visitantes?
Como tratar fornecedores, parceiros e clientes?

74
As contas podem ser compartilhadas entre mais de um usurio?
Secretrias e auxiliares podem receber permisso para ler correspondncia eletrnica de seus
superiores?
De que forma disponibilizar informaes de projeto para os parceiros da organizao?
Membros das famlias dos funcionrios recebem algum privilgio no sistema?
Como tratar os emprstimos informais de credenciais de acesso ao sistema?
Em que circunstncias um funcionrio perde sua credencial de acesso? E quando a recebe de
volta?
Os funcionrios podem servir contedo em seus computadores?
Quais procedimentos os usurios devem tomar quando necessitarem ligar um computador
pessoal (ou externo) na rede?
Informaes financeiras da corporao precisam tratamento especial? (criptografia, backups
extra etc)
Como deve ser a formulao das senhas dos usurios e com que freqncia devem ser
renovadas?
Quais so os limites de uso da Internet? Quais as penalidades para os infratores?
Que precaues devem ser seguidas em ordem de se evitar infeces por vrus na rede?
Quais procedimentos devem os usurios tomar para manter seus computadores domsticos
to seguros quanto os da empresa?
Devem existir recursos/privilgios especiais para funcionrios viajantes?
Quais pr-requisitos deve-se atender antes de se projetar sites de comrcio eletrnico dentro
da empresa?
Quais informaes so confidenciais? Como sero protegidas? Podem ser transmitidas por
meios no criptografados?

75
Informaes que no so importantes para o usurio no devem ser inclusas no documento
de poltica de segurana. importante enfatizar o que est se tentando proteger e porque estes
procedimentos so feitos, entretanto, no se deve detalhar no nvel tcnico estas instrues. Em
resumo, de maior utilidade ter a poltica toda documentada em uma pgina de texto descrevendo o
qu e o porqu das medidas de segurana a ter um documento formal e altamente tcnico ocupando
10 folhas de papel para detalhar procedimentos que os usurios no conseguem compreender.
6.2. Planejamento
O item planejamento diz respeito s aes que devem ser tomadas antes de colocar os
sistemas computacionais em funcionamento. Nem sempre isto possvel, pois na maioria das vezes
a preocupao com segurana surge aps os incidentes da rede j em funcionamento. Em todos os
casos, deve-se avaliar a segurana como um processo cclico revendo cada ponto crtico de tempos
em tempos.
Identificar o que necessrio proteger;
Definir quais so as prioridades de proteo do ambiente;
Especificar normas sobre como proceder diante de cada emergncia;
Educar os usurios da rede interna.
6.3. Usurios e senhas
Algumas prticas com relao aos usurios e senhas so muito eficientes na preveno de
incidentes. Uma prtica instruir os usurios a usar senhas formadas por combinaes
relativamente complexas que inviabilizem o uso de password crackers. Outra estudar o
funcionamento dos programas que atacam com fora bruta as contas do sistema. Assim o prprio
administrador faz o trabalho de tentar quebrar senhas detectando combinaes fracas antes do
atacante.
Outro ponto importante o elo de ligao entre os setores de informtica e recursos humanos.
O administrador da rede deve ser sempre a primeira pessoa a saber da demisso de qualquer
usurio/cliente da rede, para invalidar tentativas de destruio das informaes que ele possa ter
acesso.

76
Certificar-se que cada usurio possui uma conta individual no sistema;
Certificar-se que todas as contas possuem senha;
Certificar-se que o sistema no aceita senhas mal formuladas;
Executar password crackers contra o prprio sistema procura de senhas fracas;
No transmitir senhas por meios de fcil captura, como telefone e e-mail;
Certificar-se que as permisses do arquivo de contas de usurios no possa ser lido por
ningum alm do administrador e do sistema de autenticao;
Considerar a possibilidade de expirar as senhas dos usurios em intervalos curtos e
regulares.
6.4. Contas no sistema
Em um aspecto mais interno do sistema operacional, importante haver um tratamento
especial para as contas do administrador e dos softwares servidores. No se deve atribuir por
exemplo a mesma conta para mais de um servio.
Inibir a possibilidade de login da conta de administrador a partir de terminais remotos;
Remover periodicamente contas que ficaram inativas;
Criar contas separadas para cada software servidor existente no host, evitando atribuir
servios conta padro nobody:nogroup comum em ambientes que seguem o padro
POSIX.
6.5. Configuraes do sistema operacional.
Arquivos do sistema operacional que so vitais para seu funcionamento. So os principais
alvos de ataque, pois neles esto todas as regras de comportamento do computador. Deve ser dada
ateno mxima a este ambiente. Algumas recomendaes:
Efetuar backups dos arquivos de sistema e arquivos de usurio regularmente;

77
Executar testes de restaurao das mdias de armazenamento dos backups.
Examinar o sistema de arquivos regularmente procura de arquivos que estejam com o bit
de setuid/setgid ligados;
Eliminar possibilidade de gravao nos dispositivos de terminais e pseudoterminais;
Remover shells desnecessrias;
Remover utilitrios que no sejam necessrios mas so instalados com o sistema
operacional.
6.6. Logs
Nos arquivos de log esto todas as atividades que o administrador precisa saber sobre o
sistema. Entender o funcionamento e contedo de cada um deles ajuda o administrador a detectar
anomalias. Recomendaes
Executar os utilitrios de verificao de atividades do sistema operacional, como o last e
who /var/log/wtmp, regularmente;
Estudar e entender a configurao e a sada gerada pelo servidor de logs, para saber quais
atividades ele reporta e onde encontr-las quando necessrio.
6.7. Ameaas locais
A maioria das falhas relatadas por BUGTRAQ (2001) s podem ser exploradas quando se
obtm acesso local ao computador alvo. Algumas recomendaes so:
No instalar softwares que no forneam cdigo-fonte;
No incluir o diretrio atual (.) na varivel de ambiente $PATH;
Incluir e examinar a varivel de ambiente $PATH nos scripts de administrao de sistema;
Certificar-se que scripts que possuam bit setuid/setgid no provoquem sada para o shell.

78
6.8. Ameaas nos servios de rede
Falhas nos servios de rede so as que do acesso ao sistema sem a necessidade de presena
ou conta local no host. Apesar de serem difceis de se explorar so as que mais servem como porta
de entrada para intrusos. Recomendaes:
Desativar servios rlogin, rsh, rexec, rcp e demais servios r, substituindo-os pelo secure
shell;
Desabilitar recursos de rede que no so necessrios. Entre eles NFS, UUCP, Finger, TFTP
e TELNET;
Remover programas de teste que acompanham softwares servidores, como o test-cgi,
printenv, phf do servio HTTPD.
6.9. Respondendo a incidentes de segurana
O primeiro passo para responder a um incidente de segurana decidir qual a natureza da
resposta, se houver alguma, que deve ser feita imediatamente. Questes como O atacante obteve
sucesso em seu ataque? ou O ataque ainda est em progresso? so extremamente relevantes, pois
se o atacante obteve sucesso ento o administrador de redes se encontra realmente em uma
emergncia porque necessrio antes de tudo, descobrir quais os danos que ocorreram para depois
saber qual servio/recurso que deu entrada para o intruso. Se o ataque ainda est em progresso
pode-se tomar decises como desligar os equipamentos que fazem conexo com a Internet.
Uma vez determinado que se est realmente em situao de emergncia e que necessrio
responder, importante iniciar a documentao de tudo que est ocorrendo. Mesmo no sendo um
momento apropriado, escrever um relatrio simples em papel, no formato de log ajuda a evitar
novos problemas como este e uma oportunidade de se obter uma compreenso sobre o fato.
Uma vez de posse do material necessrio para a documentao, hora de decidir pelo
desligamento do sistema. Para avaliar esta necessidade, deve-se considerar conseqncias como:
Perda de dados que podem ser necessrios para os usurios legtimos da rede;
Perda de dados que evidenciem o ataque;

79
Impossibilidade de analisar os equipamentos porque eles estaro desligados/desconectados;
A prxima prioridade reparar os danos. Manter a tranqilidade nesta situao pode ser
essencial para resoluo de problemas, pois o administrador ter que se autenticar no sistema com
privilgios mximos e novos erros por causa da tenso podem comprometer ainda mais o sistema. A
presena de um colega de trabalho ou administrador de rede de outra organizao pode ajudar
muito.
Dependendo da natureza da organizao pode ser necessrio relatar o incidente ao corpo
jurdico, auditores, relaes pblicas e departamento de segurana interno se:
for necessrio acusar judicialmente o atacante;
houver suspeita que h colaborao de internos no incidente;
houver suspeita de que houve acesso fsico por parte do atacante.
O Anexo III descreve as atribuies do Comit Gestor (COMIT GESTOR, 2001) da Internet
no Brasil, para respostas legais a incidentes de segurana de redes.


CONCLUSES E RECOMENDAES
Os temas relacionados com infra-estrutura, procedimentos e recursos de segurana devem
ser vistos com prioridade e estar em constante reavaliao dentro das corporaes. Como
conseqncia do cenrio ao mesmo tempo amigvel e hostil que a Internet oferece, algumas
anlises precisam ser focadas na pauta do profissional que atua com a segurana da informao, tais
como:
A estratgia de segurana adotada est alinhada s necessidades de negcio da instituio?
A alta administrao recebe ateno devida no que diz respeito segurana das informaes
que armazenam em seus computadores? A cultura de segurana est disseminada entre eles?
Estrutura, funcionalidade e oramento dedicados segurana esto compatveis com a
estratgia de negcios da organizao? Existe medio sobre o retorno dos investimentos
com segurana?
Qual a abrangncia e profundidade com que se trata segurana nos ativos eletrnicos da
corporao? Toma-se medidas que vo alm da implantao de ferramentas e produtos para
proteo?
Qual o impacto que as falhas de segurana podem provocar na relao de confiana e
fidelizao com os clientes, parceiros e colaboradores?
O objetivo de reavaliar segurana nas organizaes, imposta pela nova realidade global, no
deve tirar o foco de negcios. Por outro lado, no desejvel que se tome decises a partir de
anlises superficiais ou de direcionamentos extremistas e pouco flexveis, fundamentados
simplesmente por medo e insegurana.
Elaborar a poltica de segurana sem dvida um trabalho longo e maante, exatamente o
oposto do tipo de trabalho que a maioria dos tcnicos apreciam. Porm, desenvolve-la e mante-la
vital para a segurana da instituio. importante que ela no apresente textos tcnicos e/ou
polticos demais, para que o usurio a compreenda e que sumarize de forma simplificada todas as
aes que ele precisa tomar, para cumprir sua parcela de comprometimento com a segurana da
organizao como um todo.

81
Manter firewalls de forma eficaz e em concordncia com a poltica de segurana tambm
um trabalho de excelncia. O conjunto de sistemas computacionais que filtra contedo deve ser um
espelho daquilo que a diretoria da corporao espera do cumprimento da poltica de uso da Internet,
bem como deve minimizar as possibilidades de ataques, invases e vazamento de informao,
mantendo a integridade e reputao da instituio.
Acredita-se, que o modelo de proteo apresentado neste trabalho, de grande utilidade para
os participantes da pesquisa. A tcnica de relativo baixo custo e downtime (tempo de parada
necessrio para ativar o novo sistema) minimizado, adicionando uma nova e importante camada de
segurana para estas redes, facilitando tanto a deteco de intrusos como a invalidao de suas
aes.

BIBLIOGRAFIA
ANTIHACKERS. Hackers e suas prticas. Disponvel em <http://www.anti-hackers.com.br>
Acesso em 20 out. 2000.
BERNSTEIN, T.; BHIMANI, A; SHULTZ, E. Segurana na internet. Rio de janeiro: Campus.
1997.
BUGTRAQ Discussion list. List mantained by Security Focus. Disponvel em
<bugtraq@securityfocus.com> Acesso em 1 set. 2001.
COMIT GESTOR. Sobre o comit gestor. Disponvel em <http://www.cg.org.br/sobre-
cg/apresentacao.htm>. Acesso em 28 out. 2001.
FONTES, E. A velha engenharia social. Disponvel em
<http://www.jseg.net/segurancadainformacao72.htm>. Acesso em 4 set. 2001.
FORQUESATO, M.A. segurana.pdf. segurana de sistemas e internet firewall. 2001. Adobe
acrobat reader 5.0.
FREEBSD. FreeBSD Website. Disponvel em <http://www.freebsd.org>. Acesso em 28 ago. 2001.
LEHTI, R; VIROLAINEN, P. Advanced intrusion detection environment. Disponvel em
<http://www.cs.tut.fi/~rammer/aide.html> Acesso em 19 out. 2001.
LIMA, A Engenharia social. Disponvel em <http://www.aqui.com.br/virus/20000824/virus.htm>.
Acesso em 5 nov. 2000.
MEDEIROS, C.D.R. Segurana da informao. 2001. 75 f. Trabalho de concluso de curso
(Graduao em informtica) - Departamento de informtica, Universidade da regio de Joinville,
Joinville.
MURILO, N. apres.ppt. Ferramentas para deteco de ataques em FreeBSD. 2001. Microsoft
power point 2000.
NBSO. Nic BR Security Office. Disponvel em <http://www.nic.br>. Acesso em 16 dez 2001.
NETSAINT. Netsaint documentation. Disponvel em <http://www.netsaint.org/qanda/faq.php>
Acesso em 27 out 2001.

83
NETSEC INTERNET SECURITY. Engenharia social. Disponvel em
<http://www.netsec.com.br/tecnologia/engenharia_social.htm>. Acesso em 25 ago. 2000.
PANGEIA. Lista de itens de segurana. Disponvel em
<http://www.pangeia.com.br/listaseg.htm> Acesso em 22 out 2001.
PSIONIC. The Abacus Project. Disponvel em <http://www.psionic.com/abacus/> Acesso em 20
out. 2001.
RIBEIRO, A.M. Segurana sobrevivncia. Disponvel em
<http://www.tba.com.br/pages/alexigor/virtual.htm> Acesso em 5 nov 2000.
ROESCH, M. Snort users manual. Disponvel em <http://www.snort.org/docs/writing_rules/>
TCPDUMP. Tcpdump man page. Disponvel em
<http://www.freebsd.org/cgi/man.cgi?query=tcpdump&apropos=0&sektion=0&manpath=FreeBSD
+4.4-RELEASE&format=html> Acesso em 28 out. 2001.
TRIPWIRE. Tripwire Open Source. Disponvel em <http://www.tripwire.org/qanda/faq.php>
UNISINOS. firewalls.pdf. Instalao e uso de firewalls. 1998. Adobe acrobat reader 5.0.
VEEN, J. S. V. D. A network setup with FreeBSD and OpenBSD. Disponvel em
<http://www.daemonnews.org/200109/network.html> Acesso em 10 set. 2001.
ZWICKY, E.;COOPER, S.;CHAPMAN, D.B. Building internet firewalls. Sebastpol: OReilly,
2000. 869 p. ISBN 1-56592-871-7


GLOSSRIO
Broadcast Transmisso simultnea para vrios pontos de uma rede.
Cracking Ato de invadir um sistema de computadores. Persistncia e repetio de
truques conhecidos que exploram fraquezas comuns na segurana do
sistema alvo.
Criptografar Cifrar dados de acordo com um algoritmo. Para decifar o texto
criptografado necessrio conhecer a chave, gerada no momento da
codificao.
Hacker Pessoa ocupada em invadir computadores ou redes.
Host Computador hospedeiro de um ou mais softwares servidores.
Kerberos Um esquema de autentificao desenvolvido no MIT usado para previnir a
monitorao de logins e senhas.
NFS Sistema de arquivos em rede utilizado por sistemas operacionais UNIX.
Similar ao compartilhamento das redes Microsoft.
NIS Sistema de passagem de informaes. Com ele pode-se transferir, por
exemplo, o banco de dados de usurios de um host outro.
Password cracker Todos servidores baseados em sistema Unix possuem um arquivo com as
senhas dos usurios criptografadas. virtualmente impossvel decriptar
estas senhas, mas possvel usar dicionrios (lista de palavras),
encript-las e comparar o resultado com as senhas contidas no arquivo.
Phreaking O termo vem de "phone freak". A arte e cincia de usar a rede telefnica
para, por exemplo, fazer ligaes sem pagar.
Protocolo Formato de mensagens para a transmisso de informaes entre
computadores.
Proxying Arquitetura de construo lgica de rede onde o proxy server replica os
pedidos originados por seus clientes e o faz em nome dele, devolvendo o
resultado da conexo para quem o solicitou.
Secure Shell Protocolo usado para gerenciamento remoto em substituio ao Telnet.
Toda comunicao ocorre de forma criptografada impedido a ao de
sniffers.
Setuid to root Ao que fornece privilgios mximos para um programa em execuo.
Shell A camada mais externa de um programa que fornece uma interface para os
usurios lanarem comandos. O Unix possui mltiplos shells inclundo
Bash, C Shell e Korn. Tambm conhecido como interpretador de
comandos.
SNMP Protocolo utilizado para que se possa obter informaes de funcionamento
de um host ou sistema computacional, como carga do processador,
memria e interfaces de rede.
Sniffer Algoritmo que monitora os pacotes de dados que circulam pela rede. Mais
claramente, toda informao que circula pela rede, circula atravs de
pacotes. Um sniffer checa os pacotes em busca de informaes referentes
a logins e senhas.
Spoofing Passar-se por outra pessoa. um ataque contra a autenticao. Dois tipos
de ataque por spoofing bastante conhecidos so: IP Spoofing e DNS
Spoofing. Kevin Mitnick ficou famoso por utilizar este tipo de ataque.
Usurio De um modo geral a pessoa que acessa a algum tipo de servio e usufrui

85
dele.
Web site Conjunto de documentos da World Wide Web hospedados em um
servidor acessado por intermdio de um navegador.
WINS Sistema de resoluo de nomes-de-mquina em endereo IP e vice-versa.

ANEXOS
1. QUESTIONRIO
Avaliao de programas de segurana da informao.
1)Qual o sistema operacional que predomina em seu(s) hosts?
[ ] - AIX
[ ] - FreeBSD
[ ] - HP-UX
[ ] - Linux
[ ] - MacOS
[ ] - NetBSD
[ ] - Netware
[ ] - OpenBSD
[ ] - Solaris
[ ] - Windows NT/2000
[ ] - Outro

2) Sobre segurana da informao na sua rede:
(Marcar todas que se aplicam para seu caso)
[ ] - Existe uma poltica documentada, que estipula limites e penalidades.
[ ] - Voc faz recomendaes verbais e informalmais para os usurios da rede.

87
[ ] - No existe nada nesse sentido.

3) Quais dos conceitos de segurana voc aplica na rede que administra?
[ ] - Bridging (Firewall dedicado sem camada IP configurada)
[ ] - Centralizacao de autenticao: [ ]NIS [ ]LDAP [ ]Outro
[ ] - Criptografia em terminais remotos (Secure Shell, SSLTelnet...)
[ ] - DMZ (Isolamento fisico e lgico da rede de seridores)
[ ] - Filtragem de pacotes (Firewalling)

4) Sobre a filtragem de pacotes...
(Marcar 1 opo)
[ ] - Tenho um (ou mais de um) host fazendo somente filtragem de pacotes.
[ ] - Mantenho um filtro de pacotes mas agrego nele outras funes. (proxy,
nat, ftp etc...)
[ ] - Configuro a filtragem de pacotes em cada servidor que mantenho.
[ ] - Todos servios que disponibilizamos esto em um computador e nele filtro
pacotes.
[ ] - No fao filtragem de pacotes

5) Se voc no mantm um host dedidado somente a filtrar pacotes, isto acontece

88
por que motivo:
[ ] - No aumentar segurana no meu caso.
[ ] - No consigo conciliar uma tarefa desta complexidade com meu tempo
disponvel.
[ ] - No financeiramente invivel.
[ ] - No sei como fazer.

6) Quais dos sistemas de deteco de intrusos voc mantm efetivamente em sua
rede:
[ ] - AAFID.
[ ] - Aide.
[ ] - Bro.
[ ] - Chkrootkit.
[ ] - Logcheck
[ ] - Netsaint.
[ ] - Ngrep
[ ] - Portsentry.
[ ] - Snort.
[ ] - Tcpdump

89
[ ] - Tripwire.
[ ] - Outros.
[ ] - Nenhum.

7) Dentre os ataques listados abaixo, quais voc j detectou em sua rede?
[ ] - Alterao do contedo web servido.
[ ] - Ataque contra usurios da sua rede.
[ ] - Negao de servio.
[ ] - Fora bruta contra alguma conta no sistema (POP, FTP etc...)
[ ] - Instalao de rootkit.
[ ] - Varredura de portas (port scan)
[ ] - Tentativas de obter mapas de DNS.
[ ] - Outros.

90
2. MANUAL DE CONFIGURAO
Bridge Man Page
Os sistemas POSIX documentam as principais caractersticas de seus componentes em um
repositrio eletrnico conhecido como man pages. A traduo da seo de bridging, de acordo com
o release 4.4 do FreeBSD apresentada a seguir.
Nome: Bridge suporte a bridging
Sinopse: options BRIDGE
Descrio: FreeBSD suporta bridging em interfaces do tipo Ethernet.
A operao em tempo real do bridge controlada por variveis sysctl(8). A
net.linkether.bridge pode ser ajustada para 1 para habilitar o bridging, ou 0 para desabilita-o.
A varivel net.link.ether.bridge_ipfw pode ser ajustada para 1 para ativar filtragem ipfw(8)
nos pacotes que passam pelo bridge. Note que as regras do ipfw(8) somente se aplicam a pacotes
IP. Pacotes no-IP ficam sujeitos regra padro do filtro (nmero 65535) que precisa ser allow se
pacotes ARP e outros no-IP precisam passar pelo bridge.
A configurao do bridge controlada pela varivel net.link.ether.bridge_cfg. Ela consiste
uma lista separada por vrgulas de pares interface:cluster, onde todas as interfaces com o mesmo
cluster sero ligadas no mesmo sistema de bridge.
Uma outra varivel reinicializa o bridge; isto necessrio se as configuraes do bridge
inclurem interfaces carregveis. Depois de carregar o controlador de uma nova interface, ajustar a
varivel net.link.ether.bridge_refresh para 1 ir causar uma reinicializao do bridge.
Exemplos:
O seguinte comando ir causar o bridging entre as interfaces ep0 e fxp0, e entre as interfaces
fxp1 e de0.
sysctl -w net.link.ether.bridge_cfg ep0:0,fxp0:0,fxp1:1,de0:1
Bugs:

91
Cuidados devem ser tomados para no contruir loops na topologia do bridge. O kernel
suporta apenas uma forma primitiva de deteco de loops, desabilitando interfaces quando um deles
detectado. Nenhum suporte para um dmon executando o algoritmo spanning tree atualmente
provido.
Com o bridging ativado, as interfaces entram em modo promscuo, causando um aumento de
carga no sistema para a tarefa de receber e filtrar trfego indesejado.
Funcionalidades estendidas para habilitar bridging seletivo em cluster de interfaces ainda
esto sendo trabalhadas.
Interfaces que no podem ser colocadas em modo promscuo ou que no suportam o envio
de pacotes com endereos Ethernet arbitrrios no so compatveis com o bridging.
Ver tambm:
ip(4), ng_bridge(4), ipfw(8), sysctl(8)
Histrico:
Bridge bridging foi introduzida no FreeBSD 2.2.8 por Luigi Rizzo luigi@iet.unipi.pt.

92
3. ATRIBUIES DO COMIT GESTOR
O Comit Gestor da Internet no Brasil foi criado a partir da necessidade de se coordenar e
integrar todas as iniciativas de servios Internet no Pas bem como assegurar a qualidade e
eficincia dos servios ofertados. Entre suas atribuies principais est a de manter um grupo de
segurana de redes, o Nic BR Security Office.
Este grupo formado por dois sub-grupos:
Backbone, coordenado por Ricardo Maceira (Embratel) que discute segurana nos troncos
que formam a espinha dorsal da Internet;
Provedores, coordenado por Nelson Murilo (Pangeia) e Rubens Kuhl Jr. (UOL), cujo foco
so os aspectos de segurana com os fornecedores de acesso Internet. Este ltimo, est
relacionado diretamente com a Polcia Federal e tm com uma de suas incumbncias
investigar crimes que envolvem a Internet. Ento, quando o incidente necessitar
averiguao criminal recomenda-se relatar o acontecimento para <nbso@nic.br>.

Estrategias Seguranca

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Estrategias Seguranca

Enviado por

Direitos autorais:

Formatos disponíveis

UNIVERSIDADE DO VALE DO ITAJAI

CENTRO DE EDUCAO SUPERIOR DE CINCIAS

Você também pode gostar