Escolar Documentos
Profissional Documentos
Cultura Documentos
Regional de So Paulo
2007
Segurana em Redes
SENAI-SP, 2007
1a edio, 2007
Trabalho organizado a partir de seleo de textos tcnicos sobre Segurana em Redes extrado da Internet
pela Escola SENAI Suo-Brasileira para o curso Tcnico de Redes de Comunicao.
Equipe responsvel
Coordenao Alexssandro Augusto Reginato
Elaborao Jackson Klarosk
Capa Jackson Klarosk
Todos os nomes prprios de programas e sistemas operacionais mencionados nesta apostila so marcas
registradas de suas respectivas empresas ou organizaes.
2
Segurana em Redes
E-mail senai@sp.senai.br
Home page http://www.sp.senai.br
3
Segurana em Redes
Sumrio
Introduo ................................................................................................................ 12
Segurana................................................................................................................ 13
Garantias.................................................................................................................. 13
Confidencialidade ................................................................................................. 13
Autenticidade ........................................................................................................ 13
Integridade............................................................................................................ 13
Disponibilidade...................................................................................................... 13
Problemas ................................................................................................................ 14
Riscos................................................................................................................... 14
Falhas................................................................................................................... 14
Ameaas............................................................................................................... 14
Ataques................................................................................................................. 15
Aspecto Humano...................................................................................................... 15
Hacker .................................................................................................................. 15
Cracker ................................................................................................................. 15
Defacer ................................................................................................................. 15
Phreaker ............................................................................................................... 15
Carders................................................................................................................. 16
Senhas.................................................................................................................. 16
Criptografia. .......................................................................................................... 16
Permetro de Rede................................................................................................ 16
4
Segurana em Redes
Honeypot .............................................................................................................. 17
Firewall ................................................................................................................. 17
VPN ...................................................................................................................... 18
HIDS / NIDS.......................................................................................................... 18
Controle de Ativos................................................................................................. 19
Normalizao ............................................................................................................... 22
Definio .................................................................................................................. 22
Sarbanes Oxley........................................................................................................ 27
Basilia II.................................................................................................................. 29
Poltica de Segurana............................................................................................... 31
Divulgao da Poltica........................................................................................... 33
Implantao .......................................................................................................... 34
5
Segurana em Redes
Plano de Contingncia.............................................................................................. 40
Backup ..................................................................................................................... 41
AUDITORIA DE SISTEMAS......................................................................................... 43
Planejamento da auditoria..................................................................................... 44
Relatrio de Auditoria............................................................................................ 44
Test-deck .............................................................................................................. 45
6
Segurana em Redes
Footprinting........................................................................................................... 54
Varredura ................................................................................................................. 55
Enumerao ......................................................................................................... 55
Vulnerabilidades....................................................................................................... 60
Malwares .............................................................................................................. 60
Vrus ..................................................................................................................... 61
Worms .................................................................................................................. 65
Spywares .............................................................................................................. 65
Adwares................................................................................................................ 65
Hijackers ............................................................................................................... 66
Acesso no Autorizado............................................................................................. 74
Backdoors............................................................................................................. 74
Cavalo de Tria..................................................................................................... 75
Spoofing................................................................................................................ 76
Hardening .................................................................................................................... 79
Definio .................................................................................................................. 79
Instalando o SO........................................................................................................ 80
7
Segurana em Redes
Senhas.................................................................................................................. 80
Mdia de Instalao............................................................................................... 80
Particionamento .................................................................................................... 80
Atualizaes ......................................................................................................... 83
Gerenciando Usurios.............................................................................................. 87
Contas de Login.................................................................................................... 87
Monitoramento.....................................................................................................104
Definio .................................................................................................................112
Tipos .......................................................................................................................112
AD Hoc ................................................................................................................113
Infraestruturada....................................................................................................113
Bluetooth .................................................................................................................117
Dicas de Segurana.............................................................................................117
Firewall .......................................................................................................................118
Definio .................................................................................................................118
8
Segurana em Redes
Aplicao.................................................................................................................118
Tabelas ...................................................................................................................120
Filter.....................................................................................................................120
NAT .....................................................................................................................120
Mangle.................................................................................................................120
Regras.....................................................................................................................121
Proxy...........................................................................................................................126
Definio .................................................................................................................126
Aplicao.................................................................................................................126
Tipos .......................................................................................................................129
Autenticado..........................................................................................................129
Transparente .......................................................................................................130
Monitoramento ........................................................................................................130
Definio .................................................................................................................133
Caractersticas ........................................................................................................133
Aplicao.................................................................................................................134
Snort........................................................................................................................134
Definio .................................................................................................................137
Aplicao.................................................................................................................137
IPSEC..................................................................................................................137
Criptografia .................................................................................................................140
Definio .................................................................................................................140
Aplicao.................................................................................................................140
9
Segurana em Redes
Criptografia Simtrica...........................................................................................141
Definio. ................................................................................................................144
Aplicao.................................................................................................................144
Assinatura Digital.....................................................................................................145
Autenticao ...............................................................................................................147
Definio .................................................................................................................147
Aplicao.................................................................................................................147
Kerberos ..............................................................................................................148
RADIUS ...............................................................................................................149
TACACS ..............................................................................................................149
10
Segurana em Redes
11
Segurana em Redes
Fundamentos de Segurana
em Redes
Introduo
Cada vez mais pessoas e empresas esto se conectando a Internet, quer seja para
compartilhar informaes ou mesmo para disponibilizar servios.
A Internet imps uma nova forma de existncia, VIRTUAL. Num mundo onde tudo
contitudo de informaes digitalizadas que esto disponveis de qualquer ponto de
acesso.
Viver num mundo digital implica em se ter os mesmos cuidados do mundo REAL, e
neste ponto que muitas pessoas e empresas so prejudicadas.
Voc sabia?
Especialistas calculam que 50 novas vulnerabilidades so descobertas por
semana em programas de computador.
As senhas fceis de adivinhar so as principais culpadas pelas invases em
redes domsticas e corporativas.
H poucos anos, invasores estiveram perto de tomar o controle total dos
computadores da companhia de energia da Califrnia, o que lhes daria o
poder de interromper o fornecimento de eletricidade em toda a cidade. Eles
"pesquisaram" nos micros por pelo menos 17 dias sem que nenhum
funcionrio suspeitasse. A invaso de sites e servidores ainda no crime
no Brasil.
12
Segurana em Redes
Segurana
Garantias
Confidencialidade
Autenticidade
Entende-se por autenticidade a certeza absoluta de que um objeto (em anlise) provm
das fontes anunciadas e que no foi alvo de mutaes ao longo de um processo. Na
telecomunicao, uma mensagem ser autntica se for, de fato, recebida na ntegra,
diretamente do emissor.
Integridade
Disponibilidade
13
Segurana em Redes
Propriedade que garante que a informao esteja sempre disponvel para o uso
legtimo, por aqueles usurios autorizados pelo proprietrio da informao.
Problemas
Riscos
Falhas
Vunerabilidade
Vrus
Normalmente o vrus tem controle total sobre o computador, podendo fazer de tudo, at
alterar ou destruir programas e arquivos do disco.
Para que um computador seja infectado por um vrus, preciso que de alguma maneira
um programa previamente infectado seja executado.
Ameaas
14
Segurana em Redes
Uma ameaa uma pessoa, coisa, evento ou idia que apresenta algum perigo para
um bem (em termos de confidencialidade, integridade, disponibilidade ou uso legtimo).
Ataques
Aspecto Humano
Gesto de pessoas.
No adianta nada ter uma equipe bem treinada tomando conta dos servidores, se o
resto dos funcionrios estiverem suscetveis a ataques como os de engenharia social,
que so comuns nestes casos.
Hacker
A palavra surgiu nos anos 50 dentro do MIT e deriva do termo hack, usada para definir
atividades de alta tecnologia com os quais alguns estudantes se ocupavam. Algum
que, deliberadamente, ganha acesso a outros computadores, freqentemente sem
conhecimento ou permisso do usurio. Hackers maliciosos fazem isso para roubar
informao valiosa, atrapalhar servios ou causar outros danos.
Cracker
Defacer
Pessoas mal intencionadas que passam o tempo tentando desfigurar a pgina inicial de
sites conhecidos.
Phreaker
15
Segurana em Redes
Carders
Senhas
Se voc fornece sua senha para uma outra pessoa, esta poder utiliz-la para se
passar por voc.
Uma boa senha deve ter pelo menos oito caracteres (letras, nmeros e smbolos),
tambm no pode ser criada com informaes relacionadas dirtamente com seu
utilizador, ou com o sistema onde est sendo empregada.
Utilizar senhas diferentes, uma para cada local, extremamente importante, pois pode
atenuar os prejuzos causados, caso algum descubra uma de suas senhas.
Criptografia.
Uma mensagem codificada por um mtodo de criptografia deve ser privada, ou seja,
somente aquele que enviou e aquele que recebeu devem ter acesso ao contedo da
mensagem.
A mensagem deve poder ser assinada, ou seja, a pessoa que a recebeu deve poder
verificar se o remetente mesmo a pessoa que diz ser e ter a capacidade de identificar
se uma mensagem pode ter sido modificada.
Permetro de Rede
16
Segurana em Redes
Bastion Host
Por ser mais suscetvel a sofrer ataques, este servidor precisa ser configurado de forma
a diminuir ao mximo qualquer tipo de vulnerabilidade.
Honeypot
Em redes empresariais serve como elemento de distrao ou disperso, uma vez que
qualquer trafego suspeito redirecionado para ele. As configuraes deste
equipamento so as mais rgidas e os servios so muito limitados.
Firewall
o nome dado ao dispositivo de uma rede de computadores que tem por funo
regular o trfego de rede entre redes distintas e impedir a transmisso e/ou recepo
de dados nocivos ou no autorizados de uma rede a outra.
O termo ingls firewall faz aluso comparativa da funo que desempenha para evitar o
alastramento de dados nocivos dentro de uma rede de computadores parede corta-
fogo (firewall), que evita o alastramento de incndios pelos cmodos de uma edificao.
O termo possui uma origem militar, significando a rea existente entre dois inimigos em
uma guerra.
Tambm conhecida como Rede de Permetro, a DMZ uma pequena rede situada
entre uma rede confivel e uma no confivel.
A funo de uma DMZ de permetro manter todos os servios que possuem acesso
externo (HTTP, FTP, etc) separados da rede local limitando o dano em caso de
comprometimento de algum servio nela presente por algum invasor.
17
Segurana em Redes
Por conter servidores de acesso pblico, o Firewall deve ser configurado com regras
menos restritivas para acesso a DMZ e com regras mais restritivas para acesso a rede
interna.
Esta tcnica pode ser empregada como uma DMZ interna com o intuito de controlar o
acesso aos servidores internos da empresa, neste caso as regras de Firewall so
aplicadas para inibir o acesso externo e restringir o acesso interno somente aos
servios necessrios.
VPN
Uma Rede Privada Virtual (Virtual Private Network - VPN) uma rede de comunicaes
privada normalmente utilizada por uma empresa ou um conjunto de empresas,
construda em cima de uma rede de comunicaes pblica (como por exemplo, a
Internet). O trfego de dados levado pela rede pblica utilizando protocolos padro,
no necessariamente seguros.
HIDS / NIDS
Este tipo de IDS instalado em um host que ser alertado sobre ataques ocorridos
contra a prpria mquina.
O HIDS ir avaliar a segurana deste host como base em arquivos de logs de Sistema
Operacional, logs de acesso e logs de aplicao.
O uso desta tcnica muito importnte, pois fornece segurana a tipos de ataques que
o firewall e um IDS network-based no detectam.
18
Segurana em Redes
Uma lista das ameaas de segurana fsica poderia conter os seguintes itens:
Controle de Ativos
19
Segurana em Redes
O acesso ao CPD deve ser restrito ao pessoal autorizado, para tanto as portas devem
permanecer trancadas, e devem ser implementados controles de acesso, que registrem
quem entrou no CPD, horrio e permanncia.
Biometria
Este mecanismo est sujeito ocorrncia de trs situaes: identificao com sucesso,
o falso-positivo e o falso-negativo.
20
Segurana em Redes
21
Segurana em Redes
Normalizao
Definio
Ao longo da histria, desde a mais remota antigidade, o ser humano vem buscando
controlar as informaes que julga importantes.
22
Segurana em Redes
Outro objetivo do CCSC era a criao de um cdigo de segurana para os usurios das
informaes. Com base nesse segundo objetivo, em 1989 foi publicada a primeira
verso do cdigo se segurana, denominado PD0003 - Cdigo para Gerenciamento da
Segurana da Informao. Em 1995, esse cdigo foi revisado e publicado como uma
norma britnica (BS), a BS7799:1995. Em 1996, essa norma foi proposta ao ISO para
homologao mas foi rejeitada.
Com a homologao, diversos pases, incluindo o Brasil, esto criando suas prprias
normas nacionais de segurana de dados, baseados na norma ISO. Ao mesmo tempo,
est surgindo a Certificao de Segurana ISO 17799 que empresas e organizaes
podem obter ao aplicar a norma, assim como, aps a homologao da norma brasileira,
surgir a respectiva certificao para empresas nacionais.
Objetivos e Abrangncia
23
Segurana em Redes
Objetivo
Termos e definies
Poltica de segurana
Segurana organizacional
Classificao e controle dos ativos de informao
Segurana em pessoas
Segurana ambiental e fsica
8-Gerenciamento das operaes e comunicaes
Controle de acesso
Desenvolvimento de sistemas e manuteno
Gesto de continuidade do negcio
Conformidade
24
Segurana em Redes
Como forma de dar suporte implantao da ISO/IEC 27001:2005, o Comit que trata
da segurana da informao decidiu pela criao de uma famlia de normas sobre
gesto da segurana da informao. Esta famlia foi batizada pela srie 27000.
25
Segurana em Redes
APLICAO: Esta norma um guia prtico que estabelece diretrizes e princpios gerais
para iniciar, implementar, manter e melhorar a gesto de segurana da informao em
uma organizao. Os objetivos de controle e os controles definidos nesta norma tm
como finalidade atender aos requisitos identificados na anlise/avaliao de riscos.
APLICAO: Este projeto de norma tem como objetivo fornecer um guia prtico para
implementao de um Sistema de Gesto da Segurana da Informao, baseado na
ISO IEC 27001.
26
Segurana em Redes
Sarbanes Oxley
O escopo da legislao federal "The U.S. Public Company Accounting Reform and
Investor Protection Act of 2002", mais conhecida como Sarbanes-Oxley Act of 2002, se
insere no mbito da governana corporativa. Rgidos parmetros legais foram impostos
s companhias de capital aberto e suas subsidirias cujas aes so negociadas em
Bolsas (NYSE e Nasdaq), o que inclui algumas corporaes estrangeiras que negociam
ADRs1 naquele pas, alados fora de lei.
A Seo 404 da lei o principal foco de ateno das empresas neste particular, por
trazer os mandamentos sobre os controles de processos internos e sistemas contbeis.
Esta Seo determina uma avaliao anual dos controles e processos internos para a
27
Segurana em Redes
Os tais "processos" e "controles" internos se aplicam em sentido amplo, vale dizer, todo
e qualquer procedimento administrativo que resulte em nmeros passveis de auditoria
(a lei descreve quais so os procedimentos no auditveis).
2 Security Exchange Comission, rgo regulador das empresas de capital aberto dos
EUA.
28
Segurana em Redes
Especial ateno tambm deve ser conferida ao outsourcing6. Nos Estados Unidos, a
chamada cybersecurity liability7 comea a ter evidncia entre os executivos financeiros.
Basilia II
Quando forem publicados os novos parmetros para gesto do risco bancrio - pelo
Banco de Compensaes Internacionais (BIS) e pelo Banco Central do Brasil - ser
configurada a necessidade de um salto significativo na qualidade e no refinamento das
bases de informaes para gesto de riscos, o que implicar mudanas em vrios
nveis da infra-estrutura de TI dos bancos.
O maior desafio de Basilia II aos gestores de risco e aos CIOs dos bancos ser
modelar uma sofisticada base de dados incorporando todas as variveis associadas
aos riscos operacionais, de crdito e de mercado, com uma amplitude temporal superior
a cinco anos, com vistas tomada de decises baseada em informaes de alta
qualidade sobre as probabilidades de perdas futuras.
6 Terceirizao.
29
Segurana em Redes
Depois que o incidente foi contido e os dados preservados para um possvel processo,
voc dever considerar se precisa notificar as entidades externas apropriadas.
As agncias externas podem fornecer assistncia tcnica, oferecer uma resoluo mais
rpida e fornecer informaes obtidas em incidentes semelhantes para ajud-lo a se
recuperar totalmente do incidente e evitar que ele ocorra novamente no futuro.
30
Segurana em Redes
Sistema de Gesto de
Segurana da Informao
Poltica de Segurana
Clara e concisa
De fcil compreenso
Coerente com as aes da empresa
Amplamente divulgada
Revisada periodicamente
A elaborao de uma poltica de segurana deve seguir algumas etapas, que veremos
a seguir:
31
Segurana em Redes
Classificao da Informao
Nesta fase sero definidas, de acordo com as informaes levantadas nas fases
anteriores, as normas e procedimentos que devem ser seguidos pelos funcionrios,
estagirios, tcnicos e colaboradores da organizao.
32
Segurana em Redes
Relacionamos os principais tpicos, que devem ser abordados na definio das normas
e procedimentos: acessos externos; acessos internos; uso da Intranet; uso da Internet;
uso de correio eletrnico; poltica de uso e instalao de softwares; poltica de senhas;
poltica de backup; uso e atualizao de antivrus; acesso fsico; acesso lgico; trilhas
de auditoria; padres de configurao de rede (nome de mquinas, etc.).
Nesta etapa so definidos. Devem ser definidas punies de acordo com a cultura da
organizao, algumas empresas optam por criar nveis de punies relacionados aos
itens da poltica, sendo a punio mxima a demisso ou desligamento do funcionrio
ou colaborador, pode-se tambm definir uma punio generalista que geralmente a
demisso ou desligamento aplicado a casos extremos.
Divulgao da Poltica
33
Segurana em Redes
Implantao
Reviso da Poltica
Ciclo PDCA
Este modelo de gesto est baseado no ciclo com melhoria contnua PDCA (Plan-Do-
Check-Act).
34
Segurana em Redes
O Ciclo PDCA foi criado em 1920 e ainda hoje, o principal mtodo da Administrao
pela Qualidade Total, sendo indicado na BS7799-2 como meio de facilitar o
gerenciamento do projeto de Segurana da Informao. O modelo comea com a
execuo das atividades na fase Plan, passando para as fases Do, Check e Act,
sucessivamente. A idia que este processo seja executado continuamente e que a
cada novo ciclo, o sistema seja melhorado.
Levantamento de Ativos
Anlise de Riscos
35
Segurana em Redes
Recursos Humanos: Deve ser, levantado quantas pessoas so necessrias para operar
os sistemas e o grau de especializao necessrio, quantas pessoas sero necessrias
para operar, administrar e dar suporte para os recursos de hardware e infra-estrutura.
36
Segurana em Redes
37
Segurana em Redes
Aos processos, que passam a ser conduzidos de forma diferente quela que
normalmente so realizados, designam-se os "Planos de Contingncia Operacional",
focados na manuteno das atividades realizadas para operar os negcios da empresa.
Definir equipes que estaro envolvidas no plano muito importante, pois assim
possvel dividir as tarefas, delegando responsabilidades e cobrando resultados.
38
Segurana em Redes
A criao das equipes varia de acordo com a metodologia aplicada pela organizao.
As equipes devem ser formadas pelo pessoal de TI, executivos e usurios, em alguns
casos a definio das equipes s ser possvel aps anlises posteriores, como por
exemplo a equipe que far a operao dos sistemas, abaixo descrevemos alguns
exemplos de equipes que podem ser formadas e suas responsabilidades:
39
Segurana em Redes
Plano de Contingncia
Hoje, com o atual conceito de que informtica uma ferramenta de negcio voltada
para a manuteno dos processos da empresa, a noo de "Contingncia" comeou a
tomar outro rumo.
40
Segurana em Redes
A analise dever cobrir os efeitos das perdas de dados e o corte da comunicao com
os funcionrios, fornecedores e clientes.
Por antecipao temos exemplos dos possveis desastres, isto , fogo, enchentes,
invases etc.., e voc pode iniciar priorizando as causas mais provveis, os riscos e os
impactos associados.
Backup
Backup dos dados essenciais do negcio e de arquivos de programa deve, ser feito
regularmente.
41
Segurana em Redes
Fazer backup dos dados e programas de uma rede uma das ferramentas de
segurana mais fceis e baratas de serem implementadas em uma organizao,
contudo pode ser facilmente negligenciado quando tudo parece estar funcionando bem.
42
Segurana em Redes
AUDITORIA DE SISTEMAS
Uma auditoria pode ser definida como sendo o "exame das operaes, atividades e
sistemas, com vista a verificar se so executados ou funcionam em conformidade com
determinados objetivos, oramentos, regras e normas".
O PROCESSO DE AUDITORIA
PLANEJAMENTO
AVALIAO DOS
CONTROLES INTERNOS
Teste substantivo
Reviso e avaliao
Relatrio
Equipe de Auditoria
43
Segurana em Redes
Planejamento da auditoria
Auditores podem executar dois tipos de teste para atingir os objetivos de auditoria:
Testes de conformidade
Teste substantivo
Relatrio de Auditoria
A elaborao do relatrio constitui a fase final do processo de auditoria. Esta fase inclui
a discusso dos achados entre os membros da equipe e entre esses e a gerncia da
unidade tcnica responsvel pela auditoria, bem como a definio do enfoque a ser
adotado na apresentao do relatrio.
44
Segurana em Redes
Test-deck
45
Segurana em Redes
Simulao paralela
Teste de recuperao
Teste de desempenho
Teste de estresse
Teste de segurana
46
Segurana em Redes
47
Segurana em Redes
Metodologia OSSTMM
Tem por objetivo definir uma metodologia clara para execuo de um pen-test e boas
prticas para realizaes de processos como elaborao de relatrios.
Ela foi criada com intuito de apenas citar normas e metodologias para a comunidade de
segurana, mas, como obteve um grande sucesso, hoje ela j conta com duas
certificaes vlidas: OSSTMP e OSSTMA, e seu reconhecimento atravs do mundo
todo.
Padres do ISECOM
Baseado em anlises, e no em marcas comerciais
Consistente e repetido
Exaustivo
Vlido alm do momento do teste
Concordante com as leis locais
EQUIVALNCIAS
IT Information Libary
Germany: IT Baseline Protection Manual
German IT Systems
ISO 17799-2000
GAO/FISCAM
SET
NIST
MTRE
48
Segurana em Redes
MAPA DA SEGURANA
Segurana da Informao
Avaliao de Postura
Integridade da Informao
Exame de Inteligencia
Reviso da Inteligencia Competitiva
Recursos Humanos
Politicas de Controle
Controles de Informao
49
Segurana em Redes
Processo de Segurana
Reviso de Posturas
Analisando Requisio
Analisando Sugestes
Analisando Pessoas Confiveis
Segurana na Internet
Logstica e controle
Reviso de polticas
Reviso de detectores de intruso
Levantamento da Rede
Identificao dos Servios do Sistema
Busca de Informaes Competitivas
Reviso da privacidade
Coleta de dados
Teste de aplicaes para internet
Busca e verificao de vulnerabilidades
Roteamento
Teste de sistemas seguros
Teste de controle de acesso
Quebra de senhas
Medidas de contingncia
Teste de negao de servio (Dos)
Reviso das polticas de segurana
Reviso de alertas e logs
Segurana da Comunicao
Reviso de posturas
Teste de PBX
Teste de correios de voz
Reviso dos FAX
Teste dos modems
Segurana Wireless
Reviso de posturas
Verificao de radiao eletromagntica
Teste de redes Wireless 802.11
Verificao de redes Bluetooth
50
Segurana em Redes
Segurana Fisica
Verificao de controles de acesso
Reviso do permetro
Reviso de monitoramento
Verificao das respostas dos alarmes
Reviso do local
Reviso do entorno
Segurana perfeita
Computao mvel
Colocar em quarentena todas as entradas de rede e todo o trafego da rede.
No usar acessos remotos descriptografados
No usar acessos remotos sem autenticao
Criptografia de acordo com as necessidades
Instalar somente aplicaes/ servios necessrios
E melhor ser invisvel sem servios rodando
51
Segurana em Redes
Aplicaes
O uso de caractersticas de segurana deve ser obrigatrio
Ajustar as regras de negocio para entradas e sadas da aplicao
Validar todas as entradas
Limitar as confianas (Sistemas e Usurios)
Criptografar dados
Criptografar todos os componentes
Todas as aes ocorrem do lado do servidor
Definir camadas de segurana
Seja invisvel, mostre somente o seu servio.
Acionar alarmes
Pessoas
Autoridade descentralizada
Responsabilidade pessoal
Segurana pessoal e controles de privacidade
Treinamento e definio de leis e ticas para poltica de segurana
Acesso a informaes e infra-estrutura limitadas
Pen-Test no Intrusivo
Levantamento de Dados
Varredura de portas ativas
52
Segurana em Redes
Analise de Vulnerabilidades
Identificao de possveis vulnerabilidades.
Correlao de exploit com bases conhecidas de vulnerabilidades.
No realizado teste de Negao de Servio (DOS)
No utilizado a tcnica de Brute Force.
Pen-Test Intrusivo
Levantamento de Dados
Varredura de portas ativas
Analise de Vulnerabilidades
Identificao de possveis vulnerabilidades.
Correlao de exploit com bases conhecidas de vulnerabilidades.
Identificao de possibilidades de Negao de
Servio (DOS)
Utilizao de tcnicas de brute force
Aquisio de Alvos
Engenharia Social
Uma empresa pode ter os melhores produtos de segurana que o dinheiro pode
proporcionar. Porm fator humano , em geral, o ponto mais fraco da segurana.
A certificao Ethical Hacker, baseada no livro The Science and Practice of Persuasion
- Robert Cialdini, considera a existncia de 6 tipos de ataque baseados em engenharia
social:
53
Segurana em Redes
Importncia do lixo
Todos os dias so jogados no lixo de empresas vrios documentos por terem perdido
sua utilidade. Porm para um atacante esses documentos so informaes teis para
entender o funcionamento, a histria e a maneira de operao da empresa.
Escapando do ataque
Formule uma poltica para procedimentos internos e externos;
Verifique se a pessoa que solicita a informao realmente pode ter acesso
aquela informao;
Possua uma poltica especifica para acesso remoto;
Criei uma boa barreira contra cdigos maliciosos;
Use o correio eletrnico de modo seguro;
Treine seus funcionrios!
Footprinting
Uma das ferramentas para se levantar informaes o Google Hacking, que consiste
na atividade de usar os recursos de busca do site, visando atacar ou melhor proteger as
informaes de uma empresa.
54
Segurana em Redes
Word List Com essa opo ser necessrio especificar um arquivo .txt com senhas
possveis, esse mtodo rpido, porm pouco eficaz.
Combo List Aqui teremos que informar um arquivo .txt com logins e senhas possveis
separados por : ou <tab>. S recomendado se voc j desconfia de possveis
senhas/logins. Pouco eficaz.
Brute Force Com essa opo sero feitas diversas combinaes com os caracteres
especificados, esse mtodo apesar de poder demorar muito, muito eficaz.
Programas como o Brutus so comuns na Internet, por isso sempre adequado usar
senhas com no mnimo 6 caracteres e usar caracteres alfanumricos e numricos.
Ainda assim essas prticas no nos tornam imunes a esse tipo de ataque.
Varredura
Enumerao
Antes de testar o nosso ambiente alvo, precisamos saber quais servios testar, que
tipos de ferramentas utilizarem, so informaes como:
Vamos testar nosso sistema na prtica, usando ferramentas especificas para verificar
as vulnerabilidades.
55
Segurana em Redes
Sobre a pilha do TCP/IP existem trs tipos bsicos de varreduras: uma baseada no seu
protocolo de controle (ICMP), outra no protocolo TCP e a terceira no protocolo UDP.
Dentre as varreduras, a mais utilizada a TCP, isto se deve ao elevado nvel de
exatido que esta coleta de dados propicia.
Uma das tcnicas mais simples de varredura a Varredura via ICMP. O protocolo
ICMP normalmente utilizado para o envio e recebimento de informaes sobre o
funcionamento dos ns, como por exemplo, data e hora.
Uma alternativa ao ping o aplicativo fping, que utilitrio de rede disponvel para as
plataformas Unix-Like e que funciona de forma anloga ao ping, mas com o envio de
pacotes de forma paralela que utiliza mesma tcnica, entretanto realiza o envio dos
pacotes ICMP de forma simultnea para vrios endereos, acelerando o processo de
varredura da rede. Outra funcionalidade deste aplicativo a possibilidade de se
configurar o "time-out" da conexo.
Hping2
A primeira vista ele nos retorna respostas normais como um ping faria. Mas ele nos
retorna algumas informaes preciosas: flags.
Varredura de Portas
56
Segurana em Redes
A varredura de portas TCP feita pelo envio de pacotes porta alvo e aguardando-se
pelas respostas. Quando a porta alvo responde, os pacotes recebidos tero alguns de
seus campos analisados e, com base nesta anlise, ser possvel determinar se a porta
est aberta e o n ativo.
Atualmente, existem vrios tipos de varredura TCP, algumas das quais so descritas a
seguir.
Por realizar uma conexo completa, esta varredura pode ser facilmente percebida por
ferramentas de deteco de intruso e por essa razo raramente utilizada com
finalidade furtiva.
Varredura TCP SYN: esta varredura tambm conhecida como varredura semi-aberta,
pois ao receber o pacote "SYN/ACK" vindo da porta alvo, o n, que originou a primeiro
pacote, no responde com o pacote "ACK" . Ao receber o pacote com os bits
"SYN/ACK" setados, o n pode-se afirmar que a porta est aberta. Contudo, se for
recebido um pacote com os bits "RST/ACK", a porta provavelmente no est no estado
de escuta.
Varredura TCP FIN: este tcnica muito utilizada contra sistemas baseados em UNIX,
pois quando estes recebem um pacote "FIN" destinado porta fechada, eles enviam de
volta um pacote "RST", contudo o mesmo no acontece com sistemas Windows que
ignoram o pacote. Este padro documentado na RFC793 .
Varredura TCP Xmas Tree: neste caso ocorre o envio de um pacote com os bits "FIN"
, "URG" e "PUSH" ligados porta alvo e segundo a RFC793, toda porta fechada deve
responder com um pacote "RST"
Varredura TCP NULL: Quando uma porta alvo recebe um pacote com todos os flags
desligados (setados como 0), ela deve responder com um pacote "RST" caso esteja
fechada.
Varredura TCP ACK: Esta tcnica usada para mapear regras de um determinado
firewall, permitindo determinar se o firewall apenas um filtro de pacote ou um firewall
de estados.
57
Segurana em Redes
Esta anlise possvel, pois alguns gateways de segurana alteram o valor deste
campo quando filtram determinadas portas.
Varredura TCP RPC: Esta tcnica permite identificar qual a verso dos aplicativos
RPC \footnote {O servio RPC (Remote Procedure Call) especifico do sistema
operacional UNIX. que esto ativos em um n Unix Like. Alguns dos servios que
fazem uso do RPC so o NFS (Network File System) e o NIS (Network Information
Service).
Apesar de existirem vrios tipos de varreduras TCP, existe somente uma baseada no
protocolo UDP. Esta nica varredura consiste no envio de "datagramas" com zero (0)
bytes de dados porta alvo. A resposta pode ser uma mensagem "ICMP port
unreachable" indicando que a porta est fechada, caso no ocorra nenhuma resposta, a
porta pode estar aberta ou sendo filtrada.
Ferramentas
Nmap
-sP ou Ping scan: Algumas vezes necessrio saber se um determinado host ou rede
est no ar. Nmap pode enviar pacotes ICMP echo request para verificar se
determinado host ou rede est ativa. Hoje em dia, existem muitos filtros que rejeitam os
pacotes ICMP echo request, ento envia um pacote TCP ACK para a porta 80
(default) e caso receba RST o alvo est ativo. A terceira tcnica envia um pacote SYN e
espera um RST ou SYN-ACK.
-sR ou RCP scan: Este mtodo trabalha em conjunto com vrias tcnicas do Nmap.
Ele considera todas as portas TCP e UDP abertas e envia comandos NULL SunRPC,
para determinar se realmente so portas RPC. como se o comando rpcinfo -p
estivesse sendo utilizado, mesmo atravs de um firewall ( ou protegido por TCP
wrappers ).
58
Segurana em Redes
-sS ou TCP SYN scan: Tcnica tambm conhecida como half-open, pois no abre
uma conexo TCP completa. enviado um pacote SYN, como se ele fosse uma
conexo real e aguarda uma resposta. Caso um pacote SYN-ACK seja recebido, a
porta est aberta, enquanto um como resposta indica que a porta est fechada. A
vantagem dessa abordagem que poucos iro detectar esse scanning de portas.
-sT ou TCP connect() scan: a tcnica mais bsica de TCP scanning. utilizada a
chamada de sistema (system call) connect() que envia um sinal as portas ativas. Caso
a porta esteja aberta recebe como resposta connect(). um dos mais rpidos, porm
fcil de ser detectado.
-sU ou UDP scan: Este mtodo utilizado para determinar qual porta UDP est aberta
em um host. A tcnica consiste em enviar um pacote UDP de 0 byte para cada porta do
host. Se for recebido uma mensagem ICMP port unreachable ento a porta est
fechada, seno a porta pode estar aberta. Para variar um pouco, a Microsoft ignorou a
sugesto da RFC e com isso a varredura de mquinas Windows muito rpida.
-sV ou Version detection: Aps as portas TCP e/ou UDP serem descobertas por
algum dos mtodos, o nmap ir determinar qual o servio est rodando atualmente. O
arquivo nmap-service-probes utilizado para determinar tipos de protocolos, nome da
aplicao, nmero da verso e outros detalhes.
-sF, -sX, -sN ou Stealth FIN, Xmas Tree ou Null: Alguns firewalls e filtros de pacotes
detectam pacotes SYN's em portas restritas, ento necessrio utilizar mtodos
avanados para atravessar esses softwares.
FIN: Portas fechadas enviam um pacote RST como resposta a pacotes FIN, enquanto
portas abertas ignoram esses pacotes. (Esse mtodo no funciona com a plataforma
Windows, uma vez que a Microsoft no seguiu RFC 973)
Xmas Tree: Portas fechadas enviam um pacote RST como resposta a pacotes FIN,
enquanto portas abertas ignoram esses pacotes. As flags FIN, URG e PUSH so
utilizados no pacotes FIN que enviado ao alvo. (Esse mtodo no funciona com a
plataforma Windows, uma vez que a Microsoft no seguiu RFC 973)
Null: Portas fechadas enviam um pacote RST como resposta a pacotes FIN, enquanto
portas abertas ignoram esses pacotes. Nenhuma flag ligada no pacote FIN. (Esse
mtodo no funciona com a plataforma Windows, uma vez que a Microsoft no seguiu
RFC 973).
O Angry IP Scanner, uma ferramenta grfica para windows bem interessante, vamos
analisar o seu funcionamento.
Este range pertence a Claria, uma companhia que recentemente se fundiu com a Gator,
a famosa Spyware Company.
59
Segurana em Redes
O sniffing pode ser utilizado com propsitos maliciosos por invasores que tentam
capturar o trfego da rede com diversos objetivos, dentre os quais podem ser citados,
obter cpias de arquivos importantes durante sua transmisso, e obter senhas que
permitam estender o seu raio de penetrao em um ambiente invadido.
Vulnerabilidades
Malwares
Basta abrir o noticirio de tecnologia e pronto, ficamos por dentro da nova peste
eletrnica da moda, a causar milhes em prejuzos. Foi assim com os vrus Ninda,
60
Segurana em Redes
Mais do que conhecer estes agentes nocivos, o usurio tem de ter nas mos
ferramentas e tcnicas que permitam a ele identificar e eliminar estas pragas, na
maioria das vezes disseminadas por pseudohackers em busca de uma glria vazia e
uma auto-afirmao infantil.
Vrus
Conceito de Vrus
61
Segurana em Redes
computador contaminado ao colapso total. Portanto bom deixar claro que estamos
falando apenas de tecnologia, um programa, qualquer que seja ele, atende aos
desgnios do programador, e tanto poder ser direcionado a interagir com o operador
do sistema, como a executar automaticamente as mais variadas tarefas.
Tipos de Vrus
Vrus de arquivos
Esse tipo de vrus agrega-se a arquivos executveis (normalmente com extenso COM
e EXE), embora possam tambm infectar arquivos que sejam requisitados para a
execuo de alguns programas, como os arquivos de extenso: SYS, DLL, PRG.OVL,
BIN, DRV (esta ltima a extenso dos arquivos que controlam o funcionamento do
mouse , CD- ROM, da impressora, do scanner,etc).
Vrus de ao direta
Essa classe de vrus seleciona um ou mais programas para infectar cada vez que o
programa que o contm executado. Ou seja, toda vez que o arquivo infectado for
executado, novos programas so contaminados, mesmo no sendo usados.
Uma vez contaminado um arquivo, o programa (vrus) faz uma procura no winchester
(ou o hard disk) por arquivos executveis. Cada arquivo encontrado colocado em uma
lista, depois, na nova execuo do arquivo contaminado o vrus seleciona
aleatoriamente um ou mais arquivos, e esses tambm sero contaminados.
Vrus Residentes
Essa classe esconde-se em algum lugar na memria na primeira vez que o programa
infectado. Da memria do computador, passa a infectar os demais programas que
forem executados, ampliando progressivamente as frentes de contaminao.
Infectam cdigos executveis localizados nas reas de sistema do disco. Todo drive
fsico, seja disco rgido, disquete ou CD-ROM, contm um setor de boot. Esses setores
de boot contm informaes relacionadas formatao do disco, dos diretrios e dos
arquivos armazenados nele. Alm disso, pode conter um pequeno programa chamado
de programa de boot (responsvel pela inicializao do sistema), que executa a carga
dos arquivos do sistema operacional (o Windows XP, por exemplo). Contudo, como
62
Segurana em Redes
todos os discos possuem rea de boot, o vrus pode esconder-se em qualquer disco ou
disquete, mesmo que ele no seja de inicializao ou de sistema (de boot).
Vrus mltiplos
Vrus de macro
a categoria de vrus mais recente, ocorreu pela primeira vez em 1995, quando
aconteceu o ataque do vrus Concept, que se esconde em macros do processador de
textos Microsoft Word. Esse tipo de vrus se dissemina e age de forma diferente das
citadas. Sua propagao foi rpida especialmente em funo da popularidade do editor
de textos Word (embora tambm encontremos o vrus na planilha eletrnica Excel, da
prpria Microsoft).
Por volta de 1990, surgiu o primeiro vrus furtivo (ou stealth, inspirado no caa Stealth,
invisvel a radares). Esse tipo de vrus utiliza tcnicas de dissimulao para que sua
presena no seja detectada nem pelos antivrus, nem pelos usurios. Por exemplo, se
o vrus detectar a presena de um antivrus na memria, ele no ficara na atividade,
interferira em comandos como dir e o chkdsk, apresentando os tamanhos originais dos
arquivos infectados, fazendo com que tudo parea normal.
63
Segurana em Redes
Vrus criptografados
Um dos mais recentes vrus. Os encriptados, so vrus que por estarem codificados,
dificultam a ao de qualquer antivrus. Felizmente, esses arquivos no so fceis de
criar e nem muito populares.
Vrus de script
Essa peste chegava via e-mail com a frase i love you (eu te amo) no campo do assunto,
visando explorar a afetividade das vtimas para apagar arquivos de imagem e mp3,
alm de encaminhar ao seu criador, nas Filipinas, todas as senhas que encontrasse
nos computadores contaminados.
Vrus de rede
Vrus em Java
Vrus de telefone
Vrus peer-to-peer
64
Segurana em Redes
Worms
Apenas para citar alguns exemplos, os worms (vermes), ainda que parentes prximos
dos vrus, no se encaixam na sua definio tradicional, porque no necessitam de
um hospedeiro, embora tenham capacidade de se auto-replicar.
Spywares
Ele pode ser usado de modo legtimo nas empresas, monitorando os hbitos de seus
funcionrios, desde que esteja previsto em contrato ou na poltica de segurana da
empresa. Maliciosamente ele pode ser instalado por um cavalo de tria para que
quando o usurio acessar determinados sites de bancos ou de comrcio eletrnico, o
keylogger ou screenlogger (instalado tambm pelo cavalo de tria) ativado para a
captura de senhas bancrias ou nmeros de cartes de crdito;
Adwares
65
Segurana em Redes
Hijackers
Programas que alteram o comportamento do seu navegador, fazendo com que ele
acesse pginas e sites especficos sem que voc o tenha configurado para isso.
Keyloggers
RootKits
O termo root kit vem designar uma srie de ferramentas utilizadas por um invasor para
modificar ou ocultar a sua presena em um sistema invadido.
Exploits
Todo hacker possui diversas exploits para realizar testes de intruso em um sistema.
Identificao de vulnerabilidades
66
Segurana em Redes
Assim sendo o exploit construdo para explorar uma falha e provar o conceito, ou
seja, provar que a falha existe na prtica. Porm muitas vezes isso usado de forma
no-tica, como bem sabemos.
Esse conceito faz com que sejam exploradas reas de memria para redirecionar
retornos de funes, variveis, etc, para onde est executando o cdigo malicioso.
Com isso, o atacante ganha poderes de execuo idnticos aos do usurio que roda
aquela funo, muitas vezes o usurio o root.
Tipos de exploits
67
Segurana em Redes
DoS
DDoS
Levantamento de Vulnerabilidades
Nessus
Nessus uma ferramenta para auditoria de segurana. Com ele possvel verificar
varias vulnerabilidades em sua rede. O nessus permite que se faa isso de uma forma
segura, no permitindo que usurios no autorizados possam scanear sua rede com
ele. Ele composto por duas partes, sendo um cliente e um servidor.
O nessus possui uma GUI muito flexvel onde voc configura vrios detalhes de
varredura na sua rede. Nela pode-se configurar quais plugins( ataques ) usar e os
hosts(targets) que sero scanneados. Primeiramente rode o nessus cliente, bastando
para isso digitar nessus na linha de comando. Ele pedir, ento, a senha que voc
configurou inicialmente. Vamos abordar agora quais so as opes de configurao do
cliente nessus.
68
Segurana em Redes
Plugins : Aqui reside todo o poder do nessus, nesta aba se encontram as exploraes
(exploits) das vulnerabilidades conhecidas em forma de plugins. O nessus se vale
destes plugins para avaliar as vulnerabilidades do sistema scanneado.
Prefs. : So especificados valores como usurios e senhas de servios como ftp, pop,
imap e smb. De porte desses dados o nessus pode fazer verificaes muito mais
eficitentes nos seus hosts, j que alguns exploits pressupem que o "explorador" possui
uma conta vlida de algum desses servios. Tambm possvel configurar o tipo de
scan que ser usado pelo nmap ( caso possua ).
Scan Option -> Aqui pode-se especificar as portas que sero scaneadas pelo nessus,
use virgula para portas individuais e hfen para intervalos(80,110,443-1024). No caso de
utilizar o nessus para scanear servidores web bastante interessante especificar o
path, ou caminho, dos CGI's no seu servidor. Por exemplo s se voc especificar o path
/cgi-bin/ para o nessus procurar por CGI's "exploitveis em http://host/cgi-bin/.
Para instalar o Nessus voc precisa ter instalado o pacote nmap tambm, e alm no
pacote nessus, precisamos instalar os pacotes nessus-plugins, nessusd e nessus-dev
Depois de instalar, voc precisa criar um login de usurio para utilizar o Nessus. Este
login vlido apenas para o Nessus, no um login de sistema.
Para criar o login, chame o programa nessus-adduser. Ele pedir o login e senha, o tipo
de autenticao (escolha sempre cipher) e permitir que voc adicione regras para o
usurio. Se voc quiser apenas criar o usurio usando as regras default basta
pressionar Ctrl + D. Ele pedir uma ltima confirmao, basta responder "y":
O Nessus utiliza um sistema cliente-servidor, onde uma vez iniciado o mdulo servidor
passa a ser possvel rodar o cliente em qualquer mquina da rede (para isso criado o
login de usurio). O certificado oferece uma segurana maior ao acessar o servidor
Nessus, pois garante que ele no foi substitudo por outra mquina comprometida.
Aps estar com o servidor do Nessus funcionando, podemos iniciar o scan. H dois
modos de fazer isto: com a GUI, interface grfica do Nessus (caso voc a tenha
instalado ) ou pelo modo console, padro na maioria das instalaes. Primeiramente,
vou falar sobre como usar o modo grfico (GTK).
Modo Grfico
$ nessus
O primeiro passo logar-se no servidor Nessus, fornecendo seu login e senha. Nas
configuraes do programa voc tem acesso a vrias opes, entre elas a faixa de
portas TCP e UDP que devem ser escaneadas:
69
Segurana em Redes
Se voc quiser um teste completo, use a faixa 1-65536. Este teste ideal para PCs da
rede local, mas pode demorar bastante caso seja feito via Internet.
Basicamente, ele envia um pacote TCP e outro pacote UDP para cada porta e para
cada PC a ser testado. Se voc quiser testar uma faixa inteira de endereos IP, com
seus 255 PCs teremos nada menos que 33.423.360 pacotes, que correspondem a mais
de 750 MB de dados.
Alguns testes do Nessus podem travar alguns PCs vulnerveis, como por exemplo
estaes Windows 95 vulnerveis ao "ping da morte". A opo "Safe checks" desativa
testes potencialmente perigoso, evitando prejuzos aos usurios. De qualquer forma, o
ideal fazer o teste noite, ou em algum horrio em que os PCs no estejam sendo
utilizados.
Na seo "Target Selection" voc define o alvo, fornecendo seu IP. Se voc quiser
testar as vulnerabilidades da prpria mquina local, o endereo o "localhost". Se voc
quiser testar de uma vez toda a sua rede local, basta fornecer o endereo da rede,
como em "192.168.0.0" ou "10.0.0.0".
Concludo o teste, ele exibe uma lista com as vulnerabilidades encontradas em cada
PC. Existem trs nveis de alerta, o primeiro e mais grave tem o smbolo de uma luz
vermelha e indica uma brecha de segurana em um servidor ativo na mquina. O
screenshot abaixo por exemplo temos uma mquina Linux rodando uma verso antiga
do Samba, que permite que clientes no autorizados loguem-se no servidor. Alm de
70
Segurana em Redes
71
Segurana em Redes
O terceiro nvel de alerta tem o smbolo de uma luz. Estes so apenas lembretes de
que existe um servidor ativo na porta indicada, mas sem que fosse detectada qualquer
brecha de segurana:
Modo Console
Ou seja:
nessus: nessus o programa nessus, que ir executar alguma coisa de acordo com os
argumentos que voc passar na linha de comando.
servidor: servidor onde o nessusd est rodando. Caso voc tenha colocado no
nessusd rodando na sua mquina local, ele ser 127.0.0.1, ou seja, a interface lo
(loopback). No caso de outro ip, por exemplo, 192.168.1.1, o servidor seria este ip.
porta: o nessus por padro estar na porta 1241, mas voc pode mudar isto. Com o
argumento no nessusd -p ou --p , voc pode colocar o nmero de porta que voc
quiser. Veja s um exemplo, o nessus ser colocado para escutar o loopback e, rodar
na porta 3001 : nessusd --listen=127.0.0.1 --port=3001 . Voc pode executar muitos
mais operaes de configurao do nessus somente lendo o man do programa : man
nessusd.
usurio: lembra do usurio que voc criou mais acima neste tutorial ? bom, com ele
que agora voc vai fazer o scan, nesta argumento voc colocar o nome de usurio
que voc criou para acessar o nessusd.
senha: voc pode omitir este argumento, mas voc ter que us-lo de um jeito ou
outro. Quando voc omite, ele abre um prompt de leitura de senha, para que voc entre
72
Segurana em Redes
Ou seja, cada host deve ser colocado em um linha especfica. Isto quantos hosts voc
quiser escanear. Mas lembre-se, caso voc tenha uma conexo discada, bom lembrar
que quanto mais hosts sendo escaneados, mais tempo isto vai levar. Talvez seja mais
interessante voc dividir em vrios arquivos de hosts.
arquivo_de_resultados: o arquivo onde vai ser gravado o resultado do seu scan. Por
padro (nesta apostila), ele seria arquivo_de_resultados.txt.
Ele encontrou vrios problemas de segurana nos servios que esto rodando nesta
mquina.
Podemos ento comear a pensar em que tipo de falha iremos explorar neste host para
realizarmos um teste de invaso.
Nikto
Nikot uma ferramenta Open Source para anlise de vulnerabilidades em web servers,
incluindo 3200 arquivos/cgi potencialmente perigosos e 230 verses de problemas
especficos.
Ele pode ser usado para procurar problemas em arquivos perigosos, ele pequeno e
pode automatizar a auditoria dos servidores web, analisando as pastas e arquivos que
seriam interessantes ao atacante.
$nikto.pl update
IntelliTamper
Sua utilizao muito simples, podemos mapear toda a estrutura do site alvo, mas
antes, vamos verificar algumas opes:
73
Segurana em Redes
Acesso no Autorizado
Backdoors
74
Segurana em Redes
verses antigas do ICQ possuem defeito que abre um Backdoor que permite ao hacker
derrubar a conexo do programa com o servidor, fazendo que ele pare de funcionar.
Cavalo de Tria
Conta a mitologia grega, que h muito tempo atrs, houve uma guerra entre as cidades
de Atenas e de Tria. Como Tria era extremamente fortificada, os militares gregos a
consideravam inexpugnvel.
Eles so recebidos normalmente como um presente (um software gratuito como Kazaa,
Morpheus, jogo, protetor de tela, etc) que esconde uma ameaa fatal preparada para
atacar os computadores de dentro para fora e, muitas vezes, deix-los vulnerveis a
ameaas externas, como vrus e ataques de hackers.
Instalao de keyloggers;
Furto de senhas e nmeros de cartes de crdito;
Incluso de backdoor (Programa que permite a um invasor retornar a um
computador comprometido. Normalmente este programa colocado de
forma a no ser notado), para permitir que um atacante tenha total controle
sobre o computador e;
Alteraco ou destruio de arquivos.
O cavalo de tria instalar programas, sem que o usurio perceba, para facilitar ao
invasor acesso aos arquivos do usurio, com possibilidade at de formatar o disco
rgido do usurio.
75
Segurana em Redes
Spoofing
Ato de usar uma mquina para personificar e invadir outra. Isso feito forjando o
endereo de origem de um ou mais micros. Para realizar uma sesso bem-sucedida,
crakers temporariamente "silenciam" o computador que eles esto personificando.
Esta tcnica, utilizada com outras de mais alto nvel, aproveita-se, sobretudo, da noo
de confiabilidade que existe dentro das organizaes: supostamente no se deveria
temer uma mquina de dentro da empresa, se ela da empresa. Mas isto no bem
assim, como indica o pargrafo anterior. Por outro lado, um utilizador torna-se tambm
confivel quando se sabe de antemo que estabeleceu uma ligao com determinado
servio. Esse utilizador torna-se interessante, do ponto de vista do atacante, se ele
possuir (e estiver a usar) direitos priveligiados no momento do ataque.
Por outro lado, ao nvel das aplicaes, este protocolo frequentemente acoplado ao
TCP, formando o TCP/IP. Isto quer dizer que existe encapsulamento do TCP dentro do
IP (e os dados dentro do TCP), o que remete ao atacante a necessidade de saber que
dados TCP incluir no pacote falsificado. Essa tcnica conhecida por desvio de sesso
TCP, ou TCP session hijacking em ingls.
Existem mtodos para evitar estes ataques, como a aplicao de filtros de pacotes,
filtro ingress nos gateways; faz sentido bloquear pacotes provindos da rede externa
com endereos da rede local. Idealmente, embora muito negligenciado, usar um filtro
egress que iria descartar pacotes provindos da rede interna com endereo de origem
no-local que fossem destinados rede externa pode prevenir que utilizadores de uma
rede local iniciem ataques de IP contra mquinas externas.
Sql Injection
76
Segurana em Redes
Essa falha permite que o atacante faa login como administrador sem nem saber o
nome do usurio ou sua senha, permite que se insiram dados nas tabelas utilizadas
pelo site ou at que se delete completamente uma tabela ou banco de dados de um site
sem nem mesmo precisar fazer o login.
Como se pode ver, uma falha extremamente sria e bem conhecida pelos atacantes.
Por isso, sempre testar os seus sistemas web para verificar a existncia de tais falhas
o mnimo antes de disponibilizar o servio na Internet.
O site Security Hacks publicou uma lista mostrando as principais ferramentas utilizadas
para automatizar os testes de SQL Injection em seus sistemas. Devido criticidade
desse tipo de falha, sempre bom contar com ferramentas que automatizem e alertem
sobre tais falhas para voc no ter mais problemas futuros.
Cross-Site Scripting
Um invasor pode usar o cross site scriting para enviar scripts malicioso para um usurio
inocente. O navegador web do usurio final no tem como saber se aquele script deve
ser ou no confivel e executar o script. Devido ao navegador supor que o script vem
de uma fonte confiavel, o script malicioso pode ter acesso a qualquer cookie, tokens de
sesso ou outra informao sensvel retida em seu navegador web e usada naquele
site. Estes scripts podem at mesmo rescrever o contedo da pgina HTML.
77
Segurana em Redes
78
Segurana em Redes
Hardening
Definio
Blindagem do Sistema;
Fortalecimento do Sistema;
Ajuste Fino;
Procedimentos de segurana PsInstalao;
Tcnicas de segurana PsInstalao.
Segurana
Risco
Flexibilidade
79
Segurana em Redes
Instalando o SO
Senhas
Observao: muitas BIOS vem de fbrica com senhas padro bem conhecidas e
existem programas que recuperam estas senhas, ou seja, alteram a senha atual para a
senha original, para o caso de uma perda da senha pelo administrador. Assim, no
dependa desta medida para proteger o acesso ao sistema.
Mdia de Instalao
Uma vez que a instalao e atualizaes do sistema podem ser feitas pela internet voc
pode pensar que uma boa idia usar este recurso na instalao. Se o sistema est
diretamente conectado (e no est protegido por um firewall ou NAT), melhor instalar
sem conexo com a grande rede usando um mirror local com os pacotes e as
atualizaes de segurana.
Voc pode configurar mirrors de pacotes usando outro sistema conectado com
ferramentas especficas do sistema como apt-move ou apt-proxy, ou outras, para
fornecer os arquivos para o sistema instalado. Se no puder fazer isto, voc pode
configurar regras de firewall para limitar o acesso ao sistema enquanto estiver
atualizando.
Particionamento
Um esquema de partio inteligente depende de como a mquina ser usada. Uma boa
regra ser razoavelmente generoso com suas parties e prestar ateno aos
seguintes fatores:
80
Segurana em Redes
Do ponto de vista da segurana, sensato tentar mover os dados estticos para sua
prpria partio e ento montar esta partio somente para leitura. Melhor ainda ser
colocar os dados numa mdia somenta para leitura. Veja abaixo para mais detalhes.
No caso de um servidor de email importante ter uma partio separada para o spool
de email. Usurios remotos (conhecidos ou no) podem encher o spool de email
(/var/mail e/ou /var/spool/mail). Se o spool est em uma partio separada, esta
situao no tornar o sistema inutilizvel. Porm (se o diretrio de spool est na
mesma partio que /var) o sistema pode ter srios problemas: log no sero criados,
pacotes podem no ser instalados e alguns programas podem ter problemas ao iniciar
(se eles usam /var/run).
Ns podemos fazer com que o sistema trate certos arquivos de forma diferente com
algumas opes, o que mais interessante do ponto de vista de segurana.
No fstab ficaria:
A tabela abaixo ilustra algumas opes existentes para sistemas de arquivos de tipo
ext3 e RaiserFS, que foram o sistema de arquivo que escolhemos para criar as
parties da instalao anterior.
Opo Efeito
Dispositivos especiais de bloco ou caractere do sistema de arquivos no
nodev(*)
sero interpretados se nodev estiver especificado.
Bits SUID e SGID no tero efeito. Se um usurio comum executar um
nosuid(*) programa SUID ou SGID que force a troca para outro usurio, receber o
erro de permisso negada.
No permite a execuo de binrios. Note que scripts ainda podero ser
noexec(*)
executados usando, por exemplo, bash foo.sh em vez de ./foo.sh.
A partio ser montada somente para leitura (read-only) ou para leitura e
ro, rw
escrita (read-write), respectivamente.
user, A partio pode (user) ou no (nouser) ser montada por usurios que no
nouser(*) sejam root.
usrquota Ativa a quota de disco por usurio.
81
Segurana em Redes
Opo Efeito
grpquota Ativa a quota de disco por grupo.
Toda a operao de entrada e sada nesta partio ser sncrona. Isto
[a] tornar a escrita nesta partio mais lenta, mas tambm menos suscetvel a
sync(*)
problemas caso, por exemplo, falte energia eltrica logo aps a operao
de escrita.
[a]
Esta opo no mais to til, devido ao uso de sistemas de arquivos com
journalling, como ext3.
/usr: nodev,ro
/var: noexec,nosuid,nodev
O diretrio /var usado para guardar e-mails, arquivos de log, dados de programas
(banco de dados RPM,MYSQL, por exemplo) e outras coisas. Mas /var/tmp pode ser
utilizado pelo processo de compilao de um pacote RPM para guardar os scripts que
sero usados. Se noexec for usado, esses scripts no funcionaro. Portanto, use
noexec com cuidado, pois alguma aplicao pode ter o funcionamento comprometido.
Uma outra opo colocar /var/tmp em uma outra partio, e permitir a execuo
nesta.
Outra exceo: caso existam pacotes que usem o /var, como ambiente de chroot, e
necessitem de arquivos de dispositivos, como o BIND, a opo nodev deve ser
removida.
/boot: noexec,nosuid,nodev,ro
Esta partio possui bem pouca atividade no sistema. Na verdade, aps o boot (que
nem sabe o sistema de arquivos que roda ali, quanto menos opes de montagem da
partio), ela s usada quando se faz uma atualizao do kernel ou da imagem de
disco inicial (initrd). Nada deve ser executado ali, arquivos de dispositivos no so bem-
vindos e ela deve ser montada read-only. Quando se fizer uma atualizao do kernel,
basta remont-la com a opo read-write.
/home: nosuid,nodev,noexec
Aqui depende do administrador da mquina quais das opes acima sero usadas.
Recomenda-se pelo menos usar nosuid e nodev. Pode-se ainda usar a opo noexec,
mas o usurio sempre poder executar binrios, bastando, por exemplo, copi-los para
o /tmp
82
Segurana em Redes
/tmp: nosuid,nodev,noexec
O diretrio /tmp pode ser usado por qualquer usurio e para qualquer fim basicamente.
Arquivos e scripts temporrios so colocados ali pelo processo de compilao de um
pacote RPM, por exemplo. Ele um diretrio com permisses de escrita para qualquer
usurio, ento basicamente vamos proibir a execuo de binrios SUID/SGID atravs
da opo nosuid. Utilizaremos e opo nodev por que no existe motivo para se usar
dispositivos nesta partio. No podemos esquecer tambm de negar a execuo de
binrios com a opo noexec, mas tome cuidado com esta opo pois alguns pacotes
necessitam que o /tmp possua permisses de execuo.
IMPORTANTE: Atualmente, a maioria das falhas de scripts, como por exemplo, php e
apache, o invasor quando ganhar acesso na mquina, ele no ter privilgios de
usurio root no sistema, sendo assim ele precisar de um lugar onde qualquer usurio
possa executar binrios para poder rodar o seu exploit local e conseguir root no
sistema.
Configurar uma boa senha para o root o requerimento mais bsico para ter um
sistema seguro. Voc tambm pode usar um programa gerador de senhas para fazer
isto para voc.
Muita informao sobre a escolha de boas senhas pode ser encontrada na internet;
dois locais que fornecem um sumrio decente e racional so How to: Pick a Safe
Password do Eric Wolfram e Unix Password Security do Walter Belgers.
Atualizaes
Se estiver instalando um lanamento do Debian, voc dever ter em mente que desde
que o lanamento foi feito devem existir atualizaes de segurana que podem
determinar um pacote como vulnervel. Tambm existem lanamentos menores (foram
sete no lanamento da 2.2 potato) que incluem estas atualizaes de pacotes.
Voc precisa anotar a data em que a mdia removvel foi feita (se estiver usando uma) e
verificar o site de segurana para ter certeza que existem atualizaes de segurana.
Se existem atualizaes e voc no puder baixar os pacotes de um site
83
Segurana em Redes
# apt-get update
# apt-get upgrade
Servios so programas como servidores. Uma vez que eles tem que estar escutando
por conexes que requisitem o servio, computadores externos podem conectar-se a
eles. Servios algumas vezes so vulnerveis (i.e. podem estar comprometidos sobre
um certo ataque) e oferecem risco a segurana.
Como voc j deve saber, quando voc instala um servio o padro ele ser ativado.
Em uma instalao Debian padro, sem nenhum servio a mais instalado, o footprint de
servios rodando baixo mesmo quando falamos de servios oferecidos para a rede.
Quando voc instala um novo servio de rede (daemon) em seu sistema Debian
GNU/Linux ele pode ser habilitado de duas maneiras: atravs do superdaemon inetd
(uma linha ser adicionada ao /etc/inetd.conf) ou atravs de um programa que serve de
interface. Estes programas so controlados pelos arquivos /etc/init.d, que so
chamados no momento da inicializao atravs do mecanismo SysV (ou outro
alternativo) pelo uso de symlinks em /etc/rc?.d/*.
Se voc quer manter algum servio, mas que ser usado raramente, use os comandos
update, isto , update-inetd e update-rc.d para remov-los do processo de inicializao.
84
Segurana em Redes
Voc deve checar se realmente precisa do daemon inetd. Inetd sempre foi uma maneira
de compensar deficincias do kernel, mas estas deficincias foram corrigidas. Existe
possibilidade de ataques DoS (Denial of Service) contra o inetd, ento prefervel usar
daemons individuais do que rodar um servio do inetd. Se voc ainda quer rodar algum
servio do inetd, ento no mnimo alterne para um daemon mais configurvel como
xinetd, rlinetd ou openbsd-inetd.
Voc deve parar todos os servios Inetd desnecessrios, como echo, chargen, discard,
daytime, time, talk, ntalk e r-services (rsh, rlogin e rcp) os quais so considerados
ALTAMENTE inseguros (use ssh no lugar destes).
O Debian vem com uma grande quantidade de software, por exemplo o Debian 4.0 Etch
possui 3 DVDs de software e milhares de pacotes. Apesar da grande quantidade de
software, a instalao do sistema base utiliza poucos pacotes.
Sabendo o que seu sistema realmente precisa, voc deve instalar apenas o que for
realmente necessrio para seu trabalho. Qualquer ferramenta desnecessria pode ser
usada por um usurio malicioso para comprometer o sistema ou por um invasor externo
que tenha acesso ao shell (ou cdigo remoto atravs de servios explorveis).
Permitir a ele fazer escalao de privilgios. Isto facilita, por exemplo, rodar
exploits locais no sistema se existe um depurador e compilador prontos para
compilar e testar.
Fornecer ferramentas que poderiam ajudar um atacante a usar o sistema
comprometido como base de ataque contra outros sistemas.
claro que um invasor com acesso ao shell local pode baixar suas prprias
ferramentas e execut-las, alm disso o prprio shell pode ser usado para fazer
complexos programas. Remover software desnecessrio no impedir o problema mas
dificultar a ao de um possvel atacante. Ento, se voc deixar disponveis
ferramentas em um sistema de produo, estas podem ser usadas remotamente para
um ataque.
85
Segurana em Redes
Qualquer um pode facilmente obter uma linha de comando de root e alterar sua senha
entrando com o parmetro <name-of-your-bootimage> init=/bin/sh no aviso de boot.
Aps alterar a senha e reiniciar o sistema, a pessoa ter acesso ilimitado como usurio
root e poder fazer qualquer coisa que quiser no sistema. Aps este processo, voc
no ter acesso root ao seu sistema, j que no saber mais sua senha.
Para se assegurar que isto no ocorra, voc dever definir uma senha para o
gerenciador de partida. Escolha entre uma senha global ou uma senha para
determinada imagem.
image=/boot/2.2.14-vmlinuz
label=Linux
read-only
password=mude-me
restricted
Quando terminar, re-execute o lilo. Caso omita restricted o lilo sempre perguntar por
uma senha, no importando se foram passados parmetros de inicializao. As
permisses padres do /etc/lilo.conf garantem permisses de leitura e gravao para o
root e permite o acesso somente leitura para o grupo do lilo.conf, geralmente root.
timeout 3
password mude-me
timeout 3
86
Segurana em Redes
Gerenciando Usurios
Contas de Login
Quando utilizar PAM, outras alteraes no processo de login, que podem incluir
restries a usurios e grupos em determinadas horas, podem ser configurados no
/etc/pam.d/login. Uma caracterstica interessante que pode ser desativada a
possibilidade de fazer login sem senhas. Esta caracterstica pode ser limitada
removendo-se nullok da seguinte linha:
Permisses de acesso
Caso contrrio, retornava erro de autenticao. Isto at funciona muito bem para o
programa login, mas, suponha que agora deseja-se usar isso tambm para
autenticao remota, ou seja, a base de usurios no est mais na mesma mquina,
mas sim em alguma outra mquina da rede, o chamado servidor de autenticao. Ser
preciso mudar o programa login para que ele tambm suporte esse tipo de autenticao
remota.
Suponha tambm que surgiu um novo algoritmo de criptografia, muito mais avanado,
mais rpido, com criptografa melhor, etc., sendo que o desejo usar esse novo
algoritmo. Deve-se, ento, mudar novamente o programa login para que ele suporte
este novo algoritmo tambm. No Linux, muitos programas utilizam algum tipo de
87
Segurana em Redes
autenticao de usurios. Imagine se todos eles tivessem que ser reescritos cada vez
que se mudasse algum dos critrios de autenticao.
Para resolver este tipo de problema, a Sun criou o PAM h alguns anos e liberou as
especificaes em forma de RFC. O Linux derivou sua implementao do PAM a partir
deste documento. Com PAM, o aplicativo login deste exemplo teria que ser reescrito
apenas uma vez, justamente para suportar PAM. A partir de ento, o aplicativo delega a
responsabilidade da autenticao para o PAM e no se envolve mais com isso.
pam_nologin
88
Segurana em Redes
mquina. Quando o arquivo for removido, a operao voltar ao normal, com usurios
comuns podendo se logar novamente.
Isto pode ser til quando se quer fazer alguma manuteno no sistema, por exemplo,
situao em que logins de usurios so indesejveis. Alguns aplicativos do prprio
Linux tambm podem criar este arquivo e depois remov-lo quando alguma operao
crtica for concluda.
cd /etc
touch nologin
Ento vamos tentar logar no sistema com qualquer usurio que no seja root:
Para remover esta proteo, delete o arquivo /etc/nologin, e os usurios voltaro a logar
normalmente.
pam_cracklib
similar: a nova senha muito similar antiga? Esta verificao pode ser
controlada por um parmetro que indica o nmero mnimo de caracteres
diferentes que a senha nova deve ter em relao senha antiga. O valor padro
10 ou metade do tamanho da senha atual, o que for menor.
retry=N
89
Segurana em Redes
"N" o nmero de tentativas que o usurio poder fazer para fornecer uma
senha considerada boa.
difok=N
"N" o nmero de letras diferentes que a senha nova deve ter em relao
senha antiga. Este parmetro controla o comportamento da verificao do tipo
similar, visto h pouco. O valor padro 10 (e este o valor alterado por "N" ou
metade do tamanho da senha atual), aquele que for o menor.
minlen=N
Ele no vem instalador por padro na mquina, ento precisaremos instalar o programa
Agora adicionamos
Vamos utilizar este modulo na pratica, tentando mudar a senha do usurio admin para
123.
90
Segurana em Redes
Isto evita que senhas fracas sejam quebradas por programas de bruteforce.
Gerenciando Servios
Mudar o nmero da porta do ssh uma tima opo, pois poderamos escapar de
scanners que varrem a internet buscando verses de ssh vulnerveis, mas felizmente,
a maioria deles somente procura na porta padro 22 do ssh, ento vamos enganar
estas tentativas, mudando a porta do ssh de 22 para 33000.
91
Segurana em Redes
No esquea de liberar a porta 33000 no firewall quando ativar esta opo, pois se ela
estiver bloqueada o nenhuma usurio ir conseguir conectar via ssh.
Quando ativar esta opo, coloque a opo P 33000 no comando ssh para ele
reconhecer que precisa conectar na porta 33000 e no na porta padro 22.
Vamos aprender como deix-lo mais seguro ainda, com alguns ajustes, para evitar
ataques de bruteforce ou de scanners.
O ssh vem instalado por padro, ento vamos analisar o seu arquivo de configurao
/etc/ssh/sshd_config para evitar que o ssh aceite conexo root por padro, ou seja,
92
Segurana em Redes
para conectar na mquina, precisaremos entrar com um usurio normal, e depois virar
super usurio.
Com isto, evitamos caso, se o invasor tentar atacar o nosso ssh com bruteforce de
senha, ela consiga entrar no sistema diretamente como root.
93
Segurana em Redes
Para as chaves privadas criadas, criada uma chave pblica de mesmo nome mais
sufixo .pub, que fica guardada na mesma pasta da chave privada.
Criamos ento uma chave RSA para o usurio admin, com a senha senai123
Clique no boto Generate, e fique movendo o mouse ao redor do programa para ele
gerar uma estrutura randmica.
94
Segurana em Redes
Escolha uma senha, vamos usar a senha senai123 , e clique em Save Public Key,
normalmente o nome ser id_rsa.pub, agora faa o mesmo com a Private key, clique no
boto SAVE Private Key,e salve com o nome de id_rsa.ppk
95
Segurana em Redes
Agora envie a chave publica, para o servidor Linux, atravs do winscp e jogue a chave
para o diretrio /home/admin/.ssh/
Precisamos mudar as opes para o host remoto no putty tambem para no aceitar a
opo keyboard-interactive e para ele utilizar a nossa chame privada que acabamos
de criar.
Aps ter gerado as chaves, copiar a chave para o /home/admin via scp e mudar para
que o Putty utilize esta chave para conectar no servidor, vamos adicionar a chave
publica que geramos no windows, e que enviamos via winscp, no arquivo
.ssh/authorized_keys do servidor ssh do Linux.
O DenyHosts funciona atravs dos logs do SSH. Ele processa esses logs gerados e
verifica todas as tentativas de accesso, sendo ela as com usurios existentes mas com
senha errada ou usurios inexistentes.
Por exemplo, se alguem tenta logar o usurio senai@servidor por mais de 5 vezes
erroneamente, o DenyHosts bloquear seu IP e voc no conseguir mais acessar.
(Voc pode configurar esse nmero de tentativas para quando o login existe e quando
no existe em /etc/passwd)
96
Segurana em Redes
# cd DenyHosts-2.6
Temos agora que criar nosso arquivo de configurao. Vamos utilizar o exemplo
contido na instalao:
# cd /usr/share/denyhosts/
# cp denyhosts.cfg-dist /etc/denyhosts.cfg
Agora configure o /etc/denyhosts.cfg da forma que preferir. Segue abaixo o meu arquivo
de configurao:
97
Segurana em Redes
SECURE_LOG = /var/log/auth.log
HOSTS_DENY = /etc/hosts.deny
PURGE_DENY = 4d
PURGE_THRESHOLD = 2
BLOCK_SERVICE = sshd
DENY_THRESHOLD_INVALID = 3
DENY_THRESHOLD_VALID = 6
DENY_THRESHOLD_ROOT = 1
DENY_THRESHOLD_RESTRICTED = 1
WORK_DIR = /usr/share/denyhosts/data
SUSPICIOUS_LOGIN_REPORT_ALLOWED_HOSTS=YES
HOSTNAME_LOOKUP=YES
LOCK_FILE = /var/run/denyhosts.pid
ADMIN_EMAIL = linuxar@linuxar.com.br
SMTP_HOST = localhost
SMTP_PORT = 25
SMTP_FROM = DenyHosts <nobody@localhost>
SMTP_SUBJECT = DenyHosts Report
SYSLOG_REPORT=YES
AGE_RESET_VALID=5d
AGE_RESET_ROOT=30d
AGE_RESET_RESTRICTED=30d
AGE_RESET_INVALID=12d
DAEMON_LOG = /var/log/denyhosts
DAEMON_SLEEP = 30s
DAEMON_PURGE = 1h
# cd /usr/share/denyhosts/
# cp daemon-control-dist /etc/init.d/denyhosts
(a pasta init.d varia de distribuies, mas no obrigatrio ficar nessa pasta, desde q
voc saiba o caminho)
Edite-o com seu editor de texto preferido. Segue abaixo o meu exemplo ( somente o
cabealho de configurao, no esquea do resto do script que fica abaixo ):
#!/usr/bin/env python
DENYHOSTS_BIN = "/usr/bin/denyhosts.py"
DENYHOSTS_LOCK = "/var/run/denyhosts.pid"
DENYHOSTS_CFG = "/etc/denyhosts.cfg"
PYTHON_BIN = "/usr/bin/env python"
Vamos agora dar atributo de execuo a esse arquivo e que o usurio root seja dono:
# chmod +x /etc/init.d/denyhosts
98
Segurana em Redes
S que falta agora configurarmos para que ele inicie automaticamente com o sistema.
Isso varia de distribuio para distribuio.
O root um usurio que possui muito poder e esse poder muitas vezes pode levar ao
comprometimento do sistema, como por exemplo, em uma invaso bem sucedida.
O que iremos mostrar aqui, um utilitrio chamado Jail, ele pode ser entendido como
uma priso, pois um ambiente criado cm chroot que restringe processos a aquele
ambiente.
Por exemplo, um processo que esta rodando dentro do jail no pode afetar outros
processos que esto fora do jail.
Um ambiente chroot restringe algumas coisas. Se um usurio est dentro do jail, ele
no conseguir killar processos de fora do ambiente, no poder tambm montar
sistemas de arquivos ou deletar parties com o fdisk.
Alm disto, tambm no podem fazer as famosas chamadas de sistema (system calls)
para tentar sair do jail.
Por exemplo, se algum invadir a mquina, rode um exploit local e consiga previlgios
de root, e execute um rm rf /, ele somente ir apagar o ambiente criado pelo jail, e no
todo o sistema Linux do seu servidor.
Gerenciando Sistema
Gerenciando arquivos
Mesmo no permitindo que arquivos com permisso de Suid bit ativados no sejam
aceitos nas parties, fica a seguinte pergunta:
Ser que todos os arquivos que tem permisso de Suid bit por padro so necessrios
no meu servidor?
99
Segurana em Redes
chattr e lsattr
O comando chattr modifica atributos de arquivos e diretrios. Os atributos definem
caractersticas especiais para os arquivos para o sistema de arquivos ext2.
Onde:
+ - Adiciona o atributo
- - Remove o atributo
= - Define o atributo exatamente como especificado
Os atributos so os seguintes:
100
Segurana em Redes
Para o nosso exemplo utilizamos o Debian 3.1 sob o kernel 2.6.8-2, que vem por
padro na instalao, mas voc pode utilizar qualquer Kernel da srie 2.6.
O problema que o chattr funciona por padro somente em ext2 e ext3, para funcionar
em RaiserFS como o nosso caso, precisaremos recompilar o kernel.
Para os usurio da srie 2.4 ser necessrio aplicar um patch para que possamos
habilitar o suporte no kernel, embora eu julgue melhor utilizar a srie 2.6, pois
aparentemente os patches esto desatualizados. Mas caso queira tentar, basta
acessar:
http://acl.bestbits.at
Onde:
Opes:
101
Segurana em Redes
No caso de uma invaso, muitos binrios sero afetados, com o comando lsattr
podemos verificar quais binrios sofreram modificaes.
Por exemplo, suponhamos que o arquivo /sbin/teste foi modificado por alguma rootkit,
poderamos descobrir facilmente como abaixo:
Quando verificamos o diretrio /bin, verificamos que o binrio teste, possui atributos que
no so padro, sendo assim, se uma invaso bem sucedia acontecesse,
provavelmente muitos binrios teriam os seus atributos modificados como aconteceu
com o binrio em nosso exemplo.
Controlando processos
Levantamento de Processos
Esta rootkit ir modificar os binrios, ps , netstat , ls etc. Tudo para que quando o
Administrador verificar quem esta na mquina, e executar por exemplo um who ou um
ps, ele no ir saber que tem algum no autorizado conectado na mquina, pois os
102
Segurana em Redes
binrios foram modificados pela rootkit especialmente para no mostrar que o invasor
esta l.
Existem outros softwares que podem ajudar nesta tarefa, ferramentas como o losf,
lsattr,rkhunter, trojan-scan etc.
Vamos mostrar as melhores e mais eficientes para cada tipo de problema enfrentado
em uma invaso.
O comando lsof utilizado para mostrar os arquivos que esto abertos no sistema. Um
arquivo aberto pode ser um arquivo comum, um diretrio, uma biblioteca, um stream, ou
um soquete de rede.
Quando o invasor entrar em um servidor, quase certo que o binrio netstat ser
infectado e modificado para tornar a ao do hacker invisvel. ai que entra o lsof, pois
ele nos ajudar a identificar estes problemas.
Rodando o LSOF sem opes ir exibir todos os arquivos abertos pertencentes a todos
os processos ativos na mquina. Isto geralmente exibe uma quantidade enorme de
dados, ento sugiro que voc filtre sua busca usando as opes disponveis.
$ lsof -u usurio
Mostra os arquivos abertos identificado pelo nome de usurio, representado aqui pelo
identificador usurio.
$ lsof -g n
$ lsof -p n
$ ls -u usurio -g n
lsof i [protocolo][@nomehost|endereohost][:servio|porta]
Por padro, esta opo lista informaes detalhadas sobre cada conexo, como o
comando ou programa envolvido, o PID, o usurio que est rodando o comando, o FD
103
Segurana em Redes
Vamos listar todas as informaes da conexo do host 192.168.1.3 que esta conectado
via ssh na porta 22 do nosso servidor.
O LSOF possui uma sintaxe que mostra todas as conexes ativas, e no somente o de
um determinado host, como pode analisar na figura abaixo.
Monitoramento
Organizando os Logs
Sistemas Unix-like j possuem por padro um sistema excelente para registro de logs,
comumente representado pelo syslogd e klogd, que so os daemons responsveis por
oferecer este suporte, registrando mensagens de diferentes aplicativos e servios, alm
do kernel em diferentes locais de acordo com suas configuraes.
Syslog-ng
Configurao
Deve se considerar que o responsvel por organizar e conectar fonte (source), filtros
(filter) e destino (destination) a diretiva log.
104
Segurana em Redes
Iremos ento dar um exemplo prtico de arquivo syslog-ng.conf genrico para Linux
explicativo para entendermos da melhor forma possvel como criar nosso prprio
arquivo de configuraes:
options { sync (0); time_reopen (10); use_dns (no); use_fqdn (no); create_dirs (yes);
# Configurao de destinos
# Configurao de filtros
105
Segurana em Redes
# Diretivas Log
time_reopen: tempo em segundos que nosso daemon deve aguardar antes que uma
conexo perdida seja restabelecida.
create_dirs: Permite que diretrios dos arquivos de destino dos registros possam ser
criados caso nao existam.
106
Segurana em Redes
Poderamos tambm utilizar um outro identificador para a fonte chrooted caso queira
aplicar outras opes, por exemplo:
Utilizamos nesse arquivo tambm o destination com a opo para enviarmos logs para
um ou mais servidores remotos
rkhunter
O rkhunter uma ferramenta muito til para verificar se o sistema esta infectado com
Trojans,rootkits e outros problemas de segurana Instale a ferramenta pelo mirror da
rootkit.nl
wget http://downloads.rootkit.nl/rkhunter-1.2.9.tar.gz
107
Segurana em Redes
Agora vamos rodar e verificar os tipos de rootkits ou falhas de segurana que ele
encontrar.
108
Segurana em Redes
Verifica se o sistema possui alguma aplicao antiga que precisa ser atualizada
109
Segurana em Redes
E finalmente o relatrio.
Em nosso caso, ele somente apresentou 1 aplicao que pode estar vulnervel, que a
GnuPG, que possui uma verso mais nova, ento por este motivo, ele avisou como
aplicao vulnervel.
110
Segurana em Redes
111
Segurana em Redes
Definio
A rede sem fios (wifi / Wireless network) uma tecnologia que permite dois ou mais
computadores comunicarem entre si usando protocolos de rede standard sem o recurso
dos cabos.
WLAN
As redes locais sem fio (WLANs) constituem-se como uma alternativa, ou mesmo
extenso, s redes convencionais com fio, fornecendo as mesmas funcionalidades,
mas de forma flexvel devido diferena do meio de transmisso, conforme mostrado
na figura abaixo.
Tipos
112
Segurana em Redes
AD Hoc
Um tipo importante de rede mvel a rede ad hoc, tambm conhecida como MANET
(Mobile Ad hoc NETwork), ou tambm IBSS, onde os dispositivos so capazes de
trocar informaes diretamente entre si.
Uma topologia ad-hoc aquela em que uma LAN criada apenas pelos prprios
dispositivos sem fio, sem controlador central ou ponto de acesso. Ao contrrio do que
ocorre em redes convencionais, no h pontos de acesso, ou seja, no existem
epontos de concentrao e os ns dependem uns dos outros para manter a rede
conectada, como demonstra a figura abaixo
Infraestruturada
Uma topologia infra-estruturada aquela que estende uma LAN cabeada existente a
dispositivos sem fio por meio de um ponto de acesso.
O ponto de acesso liga a LAN sem fio e a cabeada, e atua como um controlador central
para a LAN sem fio. O ponto de acesso coordena transmisso e recepo de vrios
dispositivos sem fio em um intervalo especfico; o intervalo e nmero de dispositivos
depende do padro mvel usado e do produto do fornecedor.
No modo infraestruturado, pode haver um ponto de acesso (BSS) para uma rea
pequena, como uma nica casa ou um edifcio pequeno ou, vrios pontos de acesso
(ESS) para cobrir uma rea grande, conforme mostrado na figura abaixo.
113
Segurana em Redes
Ameaas e Vulnerabilidades
Riscos Internos
Riscos Externos
114
Segurana em Redes
115
Segurana em Redes
Medidas de segurana
Access Control List, esta uma prtica herdada das redes cabeadas e dos
administradores de redes que gostam de manter controle sobre que equipamentos
acessam sua rede.
O controle consiste em uma lista de endereos MAC dos adaptadores de rede que se
deseja permitir a entrada na rede sem fio. Seu uso bem simples e apesar de tcnicas
de MAC Spoofing serem hoje bastante conhecidas uma prtica de segurana
razovel e pode ser usado em conjunto com qualquer outro padro, como WEP, WPA
etc.
Esta prtica, embora no provenha muita segurana, usada para dificultar o uso de
endereos MAC repetidos que ocorre em ataques como o MAC Spoofing e o ARP
Poisoning.
116
Segurana em Redes
Bluetooth
usado para comunicao entre pequenos dispositivos de uso pessoal, como PDAs,
telefones celulares (telemveis) de nova gerao, computadores portteis, mas tambm
utilizado para a comunicao de perifricos, como impressoras, scanners, e qualquer
dispositivo dotado de um chip Bluetooth.
Dicas de Segurana
117
Segurana em Redes
Firewall
Definio
Aplicao
Ele tambm pode ser usado para modificar e monitorar o trfego da rede, fazer NAT
(masquerading, source nat, destination nat), redirecionamento de pacotes, marcao de
pacotes, modificar a prioridade de pacotes que chegam/saem do seu sistema,
contagem de bytes, dividir trfego entre mquinas, criar protees anti-spoofing, contra
syn flood, DoS, etc. O trfego vindo de mquinas desconhecidas da rede pode tambm
ser bloqueado/registrado atravs do uso de simples regras.
118
Segurana em Redes
Tipos de firewalls
Os dois tipos de firewalls podem ser usados em conjunto para fornecer uma camada
dupla de segurana no acesso as suas mquinas/mquinas clientes.
119
Segurana em Redes
Tabelas
Filter
NAT
Mangle
Filter
INPUT entrada.
OUTPUT - sada.
FORWARD - repasse.
NAT
Usada para concentrar o fluxo de varias conexes, saindo para uma nica. Possui 3
chains padres:
Mangle
Utilizada para alteraes especiais de pacotes (como modificar o tipo de servio (TOS)
ou outros detalhes que sero explicados no decorrer do captulo. Possui 2 chains
padres:
INPUT entrada.
FORWARD - repasse.
PREROUTING - Consultado quando os pacotes precisam ser modificados
logo que chegam.
OUTPUT - Consultado quando pacotes gerados localmente precisam ser
modificados antes de serem roteados.
120
Segurana em Redes
Regras
Especificando um alvo
ACCEPT (Aceita o pacote processado pela CHAIN)
DROP (Barra o pacote processado pela CHAIN)
REJECT (Rejeita, com a mensagem "icmp-port-unreachable")
REDIRECT (Redireciona o pacote processado pela CHAIN)
MASQUERADE (Mascaramento do ip de origem do pacote)
LOG (Registra a atividade de um pacote).
Estado da conexo
NEW (Confere pacotes que criam novas conexes)
ESTABLISHED (Confere pacotes de conexes j estabelecidas)
RELATED (Confere pacotes relacionados indiretamente a uma
conexo)
INVALID (Confere pacotes que no puderam ser identificados)
121
Segurana em Redes
Esta seo possui um exemplo mais elaborado de firewall que servir para mquinas
conectadas via ppp com uma rede interna conectada via Masquerading. Este exemplo
no to complexo e cobre as expectativas mais comuns de pessoas que gostam de
explorar os potenciais de rede no Linux ou satisfazer sua curiosidade. Ele poder ser
facilmente adaptado para atender outro tipo de necessidade. A configurao assumida
a seguinte:
#!/bin/sh
# Modelo de configurao de firewall
# assumido um sistema usando kmod para carga automtica dos mdulos
usados por esta configurao do firewall:
# ipt_filter
# ipt_nat
# ipt_conntrack
# ipt_mangle
# ipt_TOS
# ipt_MASQUERADE
# ipt_LOG
# Se voc tem um kernel modularizado que no utiliza o kmod, ser necessrio
# carregar estes mdulos via modprobe, insmod ou iptables --modprobe=modulo
122
Segurana em Redes
for i in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 1 >$i
done
###############################################################
# Tabela filter #
###############################################################
123
Segurana em Redes
# Primeiro aceitamos o trfego vindo da Internet para o servio www (porta 80)
iptables -A ppp-input -p tcp --dport 80 -j ACCEPT
#######################################################
# Tabela nat #
#######################################################
124
Segurana em Redes
###############################################
# Tabela mangle #
###############################################
125
Segurana em Redes
Proxy
Definio
Proxy uma palavra em ingls que, segundo o Michaelis, significa: Proxy - procurao,
procurador, substituto, representante.
O Proxy permite executar a conexo, ou no, a servios em uma rede de modo indireto.
Normalmente os proxies so utilizados como cahes de conexo para servios Web.
Aplicao
Primeiramente temos que escolher a maquina que o squid ira ficar. Uma maquina para
comportar o squid no precisa de um processador rapidssimo, o mais importante para
ele e a memria RAM, o squid adora memria, quanto mais puder dar a ele melhor. A
utilizao de discos SCSI para a partio que ficar o cache tambm e muito bem
vinda.
Partiremos do pressuposto que a maquina em que o squid ser instalado j tem a rede
TCP/IP funcionando, Se o squid for ser usado para conectar uma rede privada (IP's
invlidos na Internet como da classe 192.168.0.0/24) Internet, a maquina precisara de
2 placas de rede ou no mnimo 2 IP's. (melhor o primeiro caso para entrar numa
configurao de rede isolada) um kernel configurado com ipforward e masquerading e
muito bem vindo para a construo de um Proxy transparente.
Configurao:
O squid trabalha "Escutando" uma porta TCP determinada, os clientes que querem
acessar uma pagina Web, ftp, ssl fazem requisies nesta porta informando o servidor
e o protocolo que querem utilizar e o squid faz a requisio na porta certa. A porta
126
Segurana em Redes
padro do squid e a porta 3128 isto pode ser alterado com uma diretiva do squid.conf
http_port, vamos usar a porta 8080 inserindo a seguinte linha no squid.conf:
http_port 8080
Temos que decidir tambm onde ser o diretrio de cache e o tamanho do mesmo. Por
padro o squid est configurado para o diretrio de cache ficar em /var/spool/squid, por
questes de performance, segurana e gerenciabilidade melhor que ele fique
instalado em uma partio separada. Montaremos ento a partio de cache no
diretrio /cache e configuraremos para que o cache fique l. Para mudar o diretrio do
cache procure a linha cache_dir no squid.conf, provavelmente ela estar assim:
E possvel inserir vrias entradas cache_dir no squid.conf, ele ira anexar a nova rea
sem perder o cache anterior.
Agora que j esta configurada a rea de cache, primeiro e preciso assegurar que o
squid ter direito de escrita no diretrio de cache, o squid no roda como o root, ele usa
um usurio definido no parmetro do squid.conf, cache_effective_user, a distribuio da
conectiva vem com o squid rodando com o usurio nobody, para fazer o squid rodar
com outro usurio (o usurio squid por exemplo), troque o valor do parmetro no
arquivo de configurao. lembre-se que o usurio ter de ter acesso de leitura e escrita
nos diretrios de cache e log.
Isto cria uma ACL de nome minharede do tipo src (IP de origem) sendo seu domnio
192.168.0.0/255.255.255.0 uma rede classe C.
127
Segurana em Redes
Agora temos que dar permisso a esta ACL a diretiva que faz isso e o http_access
Ento temos que inserir no squid.conf
Mas isso no pode ser feito em qualquer lugar, o squid e meio chato com a ordem dos
parmetros. vamos ver como esta o arquivo padro e quais alteraes devem ser feitas
para entendermos melhor.
Como podemos ver existem vrios tipos de ACL, vamos nos ater a primeira, foi criada
uma ACL do tipo src, isto significa maquina de origem, com nome "all" que corresponde
a qualquer maquina existente. A ultima diretiva diz que a conexes correspondentes a
diretiva all esto proibidas de continuar. A diretiva ACL tem de ser criada antes de ser
conferido algum direito. Ento agora a ordem das linhas dever ser a seguinte:
#ACL's Do usurio
#Regras do Usurio
128
Segurana em Redes
Podemos ver que temos varias linhas para a ACL Safe_ports, isso merece duas
consideraes, primeiro e possvel especificar vrios parmetros para uma ACL, seja
dando um espao entre os parmetros ou colocando duas entradas para a mesma ACL
assim se tivssemos que permitir tambm a rede 192.168.1.0/255.255.255.0
poderamos criar a ACL de duas formas:
#Com espao:
A segunda considerao e que por padro as diretivas ACL so do tipo "OU", ou seja
uma conexo pertencera a uma ACL se qualquer um dos parmetros coincidir. No
nosso exemplo, a rede 192.168.0.0 OU rede 192.168.1.1 coincidiram com a ACL. A
ordem entre as diretivas ACL no e importante.
Para as diretivas http_access a coisa funciona diferente, como podemos ver a diretiva
de permisso da rede interna foi inserida antes do deny all. O squid l as diretivas de
CIMA para BAIXO, parando a comparao na primeira que coincidir. Alm disso as
diretivas http_access so do tipo "E", para que a diretiva entre em ao, a conexo tem
de estar coincidindo com TODAS as ACL's especificadas.
EX:
Tipos
Autenticado
129
Segurana em Redes
Definir as ACLs:
Cadastrar os usurios:
Transparente
Isso vai redirecionar tudo o que vier para a porta 80 (http) para a porta local 8080 do
squid.
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
Bom, os clientes no passam to liso assim de configurao, eles devem ver o squid
como seu gateway primrio, ou pelo menos o gateway primrio deles deve ver o squid
como o gateway para porta 80, essa configurao depende de cada rede.
Monitoramento
130
Segurana em Redes
A partir da voc pode acompanhar as pginas que esto sendo acessadas, mesmo
que no exista nenhum filtro de contedo e tomar as medidas cabveis em casos de
abuso. Todos sabemos que os filtros de contedo nunca so completamente eficazes,
eles sempre bloqueiam algumas pginas teis e deixam passar muitas pginas
imprprias. Se voc tiver algum tempo para ir acompanhando os logs, a inspeo
manual sempre o mtodo mais eficiente.
Aqui est um exemplo do relatrio gerado pelo Sarg, mostrando os sites acessados
pelo host 192.168.0.3 da rede interna. Veja que ente os dados fornecidos esto a
quantidade de banda usada pelo usurio e o tempo que ele ficou em cada pgina:
O Sarg includo na maioria das distribuies atuais, em alguns casos instalado por
padro junto com o Squid.
No Debian e derivados ele pode ser instalado com um: "apt-get install sarg". Depois de
instalado, basta chamar o comando "sarg" (como root) para que os relatrios sejam
geradas automaticamente a partir do log do squid.
O Sarg no um daemon que fica residente, voc precisa apenas chama-lo quando
quiser atualizar os relatrio, se voc quiser automatizar esta tarefa, pode usar o cron
para que ele seja executado automaticamente todos os dias ou uma vez por hora por
exemplo.
Esta padro, junto com outras configuraes podem ser alteradas no arquivo de
configurao do Sarg, que o /etc/sarg/sarg.conf (no Mandrake) ou /etc/squid/sarg.conf
(no Debian). O arquivo auto explicativo, nele voc pode alterar os diretrios padro,
alterar o layout da pgina de relatrios e ativar recursos como o envio de uma cpia do
relatrio por e-mail sempre que o sarg for executado.
131
Segurana em Redes
132
Segurana em Redes
Sistemas de Deteco de
Intruso (IDS)
Definio
O IDS atua como um sniffer (Analisador de Rede), olhando todo o tipo de dados
trafegados em seu segmento, desta forma, ajuda a evitar quebras ou invases de
segurana na rede corporativa, fornecendo a execuo automtica de polticas e
resposta a incidentes para servidores, aplicativos e dados.
Caractersticas
133
Segurana em Redes
Aplicao
Para que um componente de software possa resistir a ataques, ele precisa ser
projetado e implementado com um entendimento claro sobre os meios especficos
pelos quais ele pode ser atacado.
Snort
Servidor MySQL,
Snort compilado com suporte a MySQL,
134
Segurana em Redes
Acidlab.
Instalando o MySQL:
# mysql -u root -p
> CREATE DATABASE snort;
> GRANT insert, select, update ON snort.* TO snort@localhost IDENTIFIED BY
'senhasnort';
> GRANT insert, select, delete, update, create ON snort.* TO acid@localhost
IDENTIFIED BY 'senhaacid';
QUIT
# mysql u root p
> show databases;
> use snort;
> show tables;
> status;
> quit;
# cd /etc/snort
# vi snort.conf
// mudar:
// var HOME_NET p/ o ip da rede/24
// var EXTERNAL_NET p/ any
135
Segurana em Redes
# cd /etc/apache2/sites-avaliable
# vi acidlab
// No vi, em modo comando (sem dar insert) digite ":r /etc/acidlab/apache.conf".
# a2ensite acidlab
Restartamos o Apache:
# /etc/init.d/./apache2 restart
# vi /etc/acidlab/acid_conf.php
// no VI, digite :32 voc vai direto para a linha 32 onde comeamos a alterar o
seguinte trecho:
# /etc/init.d/./snort restart
136
Segurana em Redes
Definio
Virtual Private Network (Rede Privada Virtual), uma rede privada construda sobre a
infra-estrutura de uma Intranet ou na Internet. Ou seja, ao invs de se utilizar links
dedicados ou redes de pacotes para conectar redes remotas, utilizam-se as mesmas,
com circuitos e memrias virtuais.
A idia do termo VPN engloba qualquer tecnologia que garanta comunicao segura
enquanto os dados esto trafegando por redes no confiveis.
Aplicao
IPSEC
Controle de acesso;
Integridade de pacotes;
Autenticao de origem;
Privacidade de pacotes;
Privacidade do fluxo de pacotes;
137
Segurana em Redes
Proteo de replays;
Desenvolvido pelo IETF, o IPSec possui o intuito de assegurar o trfego dos dados sem
a necessidade de ferramentas feitas para a camada de aplicativos ou servios, isto ,
sem mudanas em softwares j utilizados.
O IPsec pode ser usado para codificar diretamente o trfego entre dois hosts
(conhecido como Modo de transporte) ou ser agregado a uma VPN, o que permite
enviar dados independentemente da infra-estrutura utilizada (Modo de tnel).
138
Segurana em Redes
139
Segurana em Redes
Criptografia
1. Definio
Aplicao
Algoritmos Criptogrficos
Existem dois tipos bsicos de algoritmos criptogrficos que podem ser utilizados tanto
sozinhos como em combinao. Estes algoritmos, chave nica e chave pblica e
privada, so usados para diferentes aplicaes e deve-se analisar qual o melhor para
cada caso.
Para que uma mensagem seja cifrada utilizam-se uma ou mais chaves (seqncia de
caracteres) que sero embaralhadas com a mensagem original. Estas chaves devem
ser mantidas em segredo, pois somente com o conhecimento delas que se poder
decifrar a mensagem.
O primeiro tipo de algoritmo que surgiu foi o de chave nica, tambm chamado de
algoritmo de chave simtrica. Neste, o sistema usa a mesma chave tanto para a
cifragem como para a decifragem dos dados, e esta deve ser mantida em segredo.
140
Segurana em Redes
Criptografia Simtrica
DES (Data Encryption Standard) - Uma cifra de bloco criada pela IBM e endossada pelo
governo dos Estados Unidos em 1977. O DES utiliza uma chave de 56 bits e opera em
blocos de 64 bits. Projetado para ser implementado em componentes de hardware, ele
relativamente rpido e usado com freqncia para criptografar grandes volumes de
dados de uma s vez. O DES usado em muitas aplicaes mais seguras da Internet,
incluindo a SSL (Secure Sockets Layer) e a maioria das alternativas mais seguras do
IP.
DES Triplo (Triple DES) - O DES triplo uma evoluo do DES, no qual um bloco de
dados criptografado trs vezes com diferentes chaves.
Vistos os anncios da possibilidade do clculo da chave secreta do DES por fora bruta
estarem sendo cada vez mais viveis economicamente em funo inclusive do tamanho
desta chave (56 bits), a NIST (National Institute of Standards in Technology antiga NBS
- National Bureau of Standards) lanou em 1997 uma competio aberta para o
sucessor do DES, chamado AES Advanced Encryption Standard. Nesta competio
foram apresentadas 18 propostas, sendo que das cinco finalistas foi escolhido, entre
duzentos, o algoritmo de criptografia Rijndael, produzido por dois Belgas.
Algumas das vantagens do AES so: poder usar chaves de 128, 192 e 256 bits ou
maiores e ser executado eficazmente em um grande nmero de ambientes, cartes
inteligentes, softwares de computador e browsers, enquanto o DES foi projetado
principalmente para hardware. Outro problema do DES foram as mudanas propostas
pela NSA nas S-Boxes do algoritmo original, visto que alguns observadores temiam que
essa mudana poderia introduzir uma armadilha e poderia permitir que um atacante
decifrasse mensagens criptografadas pelo DES sem testar todas possveis chaves.
RC2 e RC4 - Ron Rivest da RSA DSI (Data Security Inc.) projetou essas cifras com
tamanho de chave varivel para proporcionar uma criptografia em alto volume que
fosse muito rpida. Pode ser usado como substituto do DES, pois ambos so cifras de
bloco. Em softwares, o RC2 aproximadamente 2 vezes mais rpido do que o DES, ao
passo que o RC4 10 vezes mais rpido que o DES.
O IDEA (International Data Encryption Algorithm) foi criado em 1991, sendo projetado
para ser facilmente calculado em softwares. bastante forte e resistente a vrias
141
Segurana em Redes
Criptografia Assimtrica
Como soluo para tal situao temos o algoritmo de chaves assimtricas. Esta
soluo composta basicamente de um algoritmo de criptografia e de decriptografia (o
qual pode ser ou no de conhecimento pblico, mas deve ser conhecido pelas partes
de uma comunicao) e um par de chaves (conhecidas como chave privada e chave
pblica) e que tem, basicamente, as seguintes premissas:
Dessa forma a comunicao entre duas partes, como por exemplo A e B, feita como
se segue:
142
Segurana em Redes
RSA - um algoritmo criado e patenteado pela RSA Data Security Inc., porm com uso
liberado para quaisquer aplicaes. Baseado na dificuldade computacional de se fatorar
um nmero inteiro muito longo (por exemplo 512 bytes de tamanho) em dois nmeros
primos.
Miller e Rabin Outro algoritmo de criptografia assimtrica muito usado. Similar ao RSA
mas um algoritmo probabilstico, no sentido de que se pode concluir falsamente que o
nmero inteiro primo mas com baixa probabilidade.
143
Segurana em Redes
Certificao Digital
Definio
usado para validar uma assinatura digital que pode ser anexada a um e-mail ou
formatos eletrnicos.
Aplicao.
Uma PKI (Public Key Infrastructure) utilizada para prover a identificao de uma
entidade eletrnica (usurio, computador, etc.) na Internet.
144
Segurana em Redes
O maior problema das CRLs o fato de que muitos certificados so revogados por dia.
Uma empresa pode correr risco, pelo fato de possuir uma CRL desatualizada, de estar
confiando em um certificado que acabou de ser revogado.
Assinatura Digital
Para criar uma assinatura digital para uma mensagem de e-mail, por exemplo, uma
cpia da mensagem criptografada (algoritmo Hash) usando a chave privada
(assinatura digital), a qual enviada, junto com a mensagem de e-mail e o certificado
digital do remetente para o destinatrio, que cria a assinatura digital utilizando a chave
pblica do remetente e compara com a assinatura recebida.
145
Segurana em Redes
Consiste de algoritmos que utilizam chaves privada e pblica para, a partir de um texto
legvel de tamanho m, gerar uma informao criptografada de tamanho n onde n
muito menor que m.
O RSA um algoritmo que gera assinaturas digitais de 160 bits para mensagens de
qualquer tamanho. considerado mais seguro que o MD5, porm tem uma
performance em mdia 50% inferior, mas considerado um algoritmo bastante rpido
alm de seguro.
Um dos fatores que determinam a popularidade do RSA o fato de ele tambm poder
ser usado para assinatura digital.
146
Segurana em Redes
Autenticao
Definio
Aplicao
Autenticao
147
Segurana em Redes
Autorizao
Accounting
Kerberos
A verso 5 foi projetada por John Kohl e Clifford Neuman e publicada em 1993 no RFC
1510 (Ficou obsoleto ao RFC 4120 de 2005), e teve como inteno melhorar a
segurana e as limitaes relativas a verso 4.
148
Segurana em Redes
RADIUS
Por ser um recurso disponvel apenas em alguns produtos e possuir uma camada extra
de codificao, torna o custo da instalao um pouco mais caro em relao aos outros.
TACACS
149
Segurana em Redes
TACACS definido pela RFC 1492, usando tanto TCP como UDP e por padro a porta
49.
150
Segurana em Redes
Termo Significado
ABCP so as iniciais de Associated Business Continuity
Professional, que vem a ser o mais elementar dos trs
ABCP nveis de reconhecimento de profissionais do DRI
(Disaster Recovery Institute International). Vide "CBCP" e
"MBCP".
Alerta a notcia da ocorrncia ou da iminncia de um desastre.
um fator externo que pode vir a atacar um ativo
Ameaa
causando um desastre ou perda significativa.
Anlise de impacto
Vide "Business impact analysis".
de desastres
Anlise de impacto
Vide "Business impact analysis".
nos negcios
Conjunto de procedimentos cuja finalidade a
Anlise de risco identificao dos potenciais desastres, as potenciais
ameaas e as respectivas consequncias.
So os conjuntos de dados e informaes necessrios
para a consecuo dos processos crticos de trabalho ou
Arquivos crticos
que devam ser submetidos a uma especial guarda em
funo de exigncias legais.
Diz-se da ativao dos procedimentos de contingncia de
Ativao forma a se restabelecer as funes crticas numa situao
excepcional.
Todo item que uma organizao possua e que tenha
Ativo
algum valor tangvel ou intangvel.
So as informaes na forma de documentos,
microformas, dados, arquivos, e bancos de dados, dentre
outras de uma organizao, bem como os recursos e
Ativos de informao
equipamentos, incluindo hardware e software, existentes
para garantir o acesso, guarda, transporte e proteo das
informaes.
Avaliao de danos Qualificao ou quantificao do impacto de um desastre.
Termo genrico para designar item substituto, reserva ou
"Back-up"
cpia.
Processo de gerao de cpias dos dados originais (vide
"Back-up" de dados
"processo de back -up").
BIA Vide "Business Impact Analysis".
Diz-se do mtodo de Anlise e Gesto de Risco desenvolvido
Bow Tie (Mtodo)
pela Shell, nos anos 90. (Bow tie = Gravata borboleta)
BS 7799 Norma britnica relativa a Segurana da Informao
151
Segurana em Redes
152
Segurana em Redes
153
Segurana em Redes
154