Escolar Documentos
Profissional Documentos
Cultura Documentos
INTRODUO
A Internet um ambiente aberto criado com a finalidade de facilitar a troca de informaes. Utilizar esse ambiente de rede e outros servios de comunicao disponveis traz grandes benefcios para as organizaes, no entanto, a ampliao do alcance proporcionado pela Internet tambm torna a segurana das informaes vulnervel a novos tipos de ameaas. Por esse motivo, a conexo de uma empresa a uma rede externa deve ser bem projetada para que alcance todos os seus objetivos e extraia ao mximo todos os recursos disponveis de sua infra-estrutura sem oferecer riscos para as informaes dos seus usurios. A segurana deve ser uma preocupao bsica ao se elaborar o projeto de rede de computadores. Normalmente a segurana inversamente proporcional simplicidade e facilidade de uso/configurao da rede. As ferramentas para segurana de computadores e redes so necessrias para proporcionar transaes seguras. Geralmente, as instituies concentram suas defesas em ferramentas preventivas como firewalls, mas acabam ignorando as ferramentas de deteco de intruso (IDS -Intrusion Detection System).
Pgina 2
FIREWALL
Firewall (muro corta-fogo) um mecanismo que atua como defesa de um computador ou de uma rede, controlando o acesso ao sistema por meio de regras e filtragem de dados. Seu objetivo permitir somente a transmisso e a recepo de dados autorizados. Sua funo consiste em regular o trfego de dados entre redes distintas e impedir a transmisso e/ou recepo de acessos nocivos ou no autorizados de uma rede para outra. Existem firewalls baseados na combinao de hardware e software e firewalls baseados somente em software. Este ltimo o tipo recomendado ao uso domstico e tambm o mais comum.
Pgina 3
FIREWALL
Cheswick define Firewall como uma coleo de componentes colocados entre duas redes que, atuando em conjunto, possui as seguintes propriedades: Todo trfego de dentro para fora e vice-versa deve passar atravs do firewall. Apenas o trfego autorizado, como os definidos pela poltica de segurana local, tero permisso para passar. O firewall dever ser imune a penetrao. Observao
comum observar, principalmente no mundo Linux, afirmaes do tipo meu firewall um iptables. Esta uma afirmativa totalmente equivocada, uma vez que o citado recurso, isoladamente, no tem condies de prover segurana a uma rede. O iptables no um firewall e sim um comando que manipula o verdadeiro filtro de pacotes existente no kernel linux, o NETFILTER. O netfilter um elemento que entende as camadas 3 e 4 do modelo OSI, ou seja manipula somente recursos oferecidos por protocolos como IP, ICMP, TCP, UDP etc. Mas ele no capaz de entender payloads de protocolos existentes na camada 7.
Pgina 4
FIREWALL
Geralmente, um firewall instalado no ponto onde a rede interna segura e a rede externa no-confivel se encontram, ponto que tambm conhecido como ponto de estrangulamento.
Os sistemas de firewall so constitudos por elementos de firewall. Cada elemento um recurso que faz algum tipo de anlise, registro ou bloqueio. So exemplos disso os filtros de pacotes, como o netfilter, e os proxies como o squid.
Os principais sistemas que podero compor sistemas de firewall so: Filtros de pacotes Filtros de pacotes baseados em estados Proxies IDS ou IPS Detectores de Port Scan
Antivrus
Verificadores de integridade de arquivos, etc.
Pgina 5
FILTRO DE PACOTES
Filtro de pacotes um conjunto de regras que analisam e filtram pacotes enviados por redes distintas de comunicao. A filtragem de pacotes consiste no encaminhamento de pacotes (passagem ou descarte), conforme o contedo de certos campos dos cabealhos dos pacotes, principalmente os endereos IP de origem e destino, protocolo e portas de origem e destino. Todo o trfego atravs de uma rede enviado no formato de pacotes. O incio de cada pacote informa para onde ele est indo, de onde veio e o tipo do pacote, entre outros detalhes. A parte inicial deste pacote chamada cabealho. O restante do pacote, contendo a informao propriamente dita, costuma ser chamado de corpo do pacote. O filtro, composto de vrias regras, colocado no ponto de entrada da rede, direcionado para uma ou mais interfaces de rede, fazendo o controle do acesso a servios para toda a rede. Desta maneira, a configurao pode ser feita em um nico local, para proteo de todas as mquinas da rede.
Pgina 6
FILTRO DE PACOTES
Um filtro de pacotes analisa o cabealho dos pacotes que passam pela mquina e decide o que fazer com o pacote inteiro. Possveis aes a serem tomadas:
Aceitar (ACCEPT): o pacote pode seguir at seu destino.
O filtro de pacotes controlado por regras de firewall, as quais podem ser divididas em quatro categorias: a cadeia de entrada (input chain), a cadeia de sada (output chain), a cadeia de reenvio (forward chain) e cadeias definidas pelo usurio (user defined chain). Para cada uma destas cadeias mantida uma tabela de regras separada.
Pgina 7
Pgina 8
Pgina 9
PROXY
Proxy atua como um cliente e tambm como um servidor, com o propsito de realizar requisies em favor de outros clientes. Requisies so servidas internamente ou por repasse, com uma possvel traduo de endereos (NAT), para outros servidores. Conhecido como firewall de aplicao. Proxy transparente um proxy que no modifica a requisio ou resposta alm do necessrio para haver uma autenticao e identificao. Proxy no transparente um proxy que modifica a requisio ou a resposta com o intuito de prover algum servio adicional para o usurio. importante ressaltar que proxies no aceleram Internet. Os aceleradores de Internet so os caches. H proxies HTTP que possuem cache, como o caso do squid.
Pgina 10
PROXY
Os proxys podem ser classificados quanto ao objetivo de uso em: Proxy de encaminhamento (forward proxy) - a forma mais comum de servidor proxy e, geralmente, usada para enviar requisies a partir de uma rede isolada e privada para a internet. Proxy reverso (reverse proxy) - geralmente utilizado para passar requisies oriundas da Internet, atravs de um firewall, para um rede privada isolada. Ele utilizado para evitar que clientes oriundos da Internet tenham contato direto com os servidores ou acesso no monitorado a dados sensveis em servidores de contedo e redes isoladas (intranet). Assim, caso um seja realizado um ataque, o atacado ser o proxy e no servidor final.
Pgina 11
Uma DMZ ou ainda "Zona Neutra" corresponde ao segmento ou segmentos de rede, parcialmente protegido, que se localiza entre redes protegidas e redes desprotegidas e que contm todos os servios e informaes para clientes ou pblicos.
Pgina 12
Sua idia surgiu na dcada de 80 e seu objetivo era desenvolver um sistema de auditoria que pudesse, alm de registrar a invaso, modificar e preparar o sistema para resistir a ela e, se possvel lanar um contra-ataque. Suas principais caractersticas so:
Anlise e monitorao das atividades de usurios e servios; Auditria e levantamento de vulnerabilidades do sistema; Reconhecimento dos padres de ataque mais comuns;
IDS - Tipos
Pgina 14
de
Pgina 17
O IPS pode tomar medidas como o envio de um alarme, bloquear pacotes maliciosos, redefinir conexo e/ou bloquear trfego a partir de endereos IP incorreto. Em virtude do IPS no poder gerar falsos positivos, o que bloquearia trfego legtimo, a poltica dever ser diferente da utilizada para criar regras no IDS. Em consequncia, depois de todo IPS dever haver um IDS. O objetivo identificar nos logs do IDS todo o trfego malicioso que no foi bloqueado pelo IPS. Isso ser muito til para gerar novas regras. Um exemplo de IPS o HLBR, que pode, inclusive, utilizar expresses regulares nas suas regras.
Pgina 18
SNIFFER
Sniffers (Farejador) so programas que permitem o monitoramento de uma rede interna (LAN) e de todo o seu trfego. Seu propsito legal analisar trfego de rede e identificar reas potenciais de preocupao. Por exemplo, suponha que um segmento de sua rede esteja executando precariamente: a entrega de pacotes parece incrivelmente lenta ou as mquinas inexplicavelmente bloqueiam em uma inicializao de rede. Voc utiliza um sniffer para determinar a causa precisa. Os sniffers capturam pacotes de rede colocando a interface de rede Ethernet por exemplo, em modo promscuo. Sniffers variam muito em funcionalidade e projeto. Alguns analisam somente um protocolo, enquanto outros podem analisar centenas. Quando ligamos computador no HUB, e enviamos informao de um computador para o outro, esses dados vo para todas as portas do HUB, e conseqentemente para todas as mquinas. Se um sniffer estivesse rodando nos outros computadores, mesmo sem esses sistemas enviarem a informao que trafega ali para o sistema operacional, o farejador interceder na camada de rede, capturando os dados e mostrando-os para o usurio.
Pgina 19
SNIFFER - Funcionamento
Pgina 20
SNIFFER
Os sniffers representam um alto nvel de risco, porque: Podem capturar senhas; Podem configurar informaes confidenciais; Podem ser utilizados para abrir brechas na segurana de redes vizinhas ou ganhar acesso de alto nvel. Os sniffers so extremamente difceis de detectar porque so programas passivos. H duas defesas importantes contra sniffers: Topologia segmentada Sesses criptografadas
Observao:
No possvel utilizar um sniffer com modems, apenas com placas de rede (comuns ou wireless).
Tambm no possvel fazer o farejamento de redes remotas, sem algum programa instalado para realizar essa ponte, como um backdoor.
Pgina 21
FERRAMENTAS IMPORTANTES
Sondagem e mapeamento
Pgina 23
Nmap THC-Amap Xprobe2 Unicornscan John the Ripper THC-Hydra Wireshark Tcpdump Ettercap Dsniff
Auditoria de senha
Analise de trfego
FERRAMENTAS IMPORTANTES
Analise de vulnerabilidade
Pgina 24
Nessus OpenVAS SARA Nikto Paros Webscarab Kismet Aircrack-ng Netstumbler Cowpatty
FERRAMENTAS IMPORTANTES
Forense computacional
Pgina 25
AccessData FTK Encase BadCopy Winnhex EspiaMule Metasploit SecurityForest Hping Yersinia Ida Pro Ollydbg
Explorao de vulnerabilidade
REFERNCIAS BIBLIOGRAFICAS
COMER, Douglas E. Interligao em rede com TCP/IP. Campus, 3 edio, 1998, traduo. ______. Palestra Sistemas de Firewall. Eriberto.pro.br, 2008. Disponvel em <http://www.eriberto.pro.br/palestras>. Acesso em 31 Abril 2011. CHESWICK, William R.; BELLOVIN, Steven M.; RUBIN, Aviel D. Firewalls and Internet security. Addison-Wesley, 2 edio, 2003. CARVALHO, Eric Barbosa Jales de. Ferramentas de resposta a incidentes de segurana. RNP, 2009. Disponvel em <http://www.poppi.rnp.br/artigos/ \ ferramentas_respostas_incidentes%20-%20eric.pdf>. Acesso em 31 Abril 2011 http://en.wikipedia.org/wiki/Network_intrusion_detection_system http://en.wikipedia.org/wiki/Host-based_intrusion_detection_system
http://www.projetoderedes.com.br/artigos/artigo_redes_de_perimetro.php
http://www.invasao.com.br/2008/02/29/sniffers/
Pgina 26