oclinoned SEGURANCA PRATICA em SISTEMAS —EREDES com Linux Jorge Granjal @ Abordagem abrangente dos problemas Ce le Mette a) @ Implementac3o pratica de solugdes em Linux @ Inclui auditorias, detec¢do de intrusdes, firewalls e redes sem fiosEnigho FCA Edlitora de Informatica, Lda Av. Praia da Vitoria, 14 A ~ 1000-247 Lisboa Tel: +351 213 511.448 fea@fea pt wowfeapt DistmisuicAo Lidel ~EdigGes Técnicas, Lda Rua D. Estefénia, 183, R/C Dto.- 1049-057 lisboa Tel: +351 213 511.448 lidel@idel pt wwlidel pt Livearin Ay, Praia da Vitéra, 14 A ~ 1000-247 Lisboo Tel: +351.213 511 448 * Fax: +351 213 522 684 livraria@lidel pt Copyright © 2017, FCA Eaitora de Informatica, Lda. ISBN edicio impressa: 878-972-722-B65-2 1L? edicdo impressa:fevereiro 2017 PaginacSo: Alice Simdes, Impressio e acabamento: Cafllesa ~ Solucées Gréficas, Lda. ~ Venda do Pinheiro Depésito Legal n> 421838/17 Capa: José M. Ferro ~Look-Aheod Marcas Registadas de FCA ~ Editora de Informatica, Lda. ~ a fie Depressa § Bem” FCA’ Todos os nosso livros passam por um rigoroso controlo de qualidade, no entanto aconselhamos a consulta periédica do nosso site (www fca.pt) para fazer 0 download de eventuais correcdes. [Nao nos responsabilizamos por desatualizages das hiperigagdes presentes nesta obra, que foram verificadas & data de publica (0 da mesma, (0s nomes comercials referenciados neste livro tém patente registada, SESE) sree ne sets Fan gett pie ene a ae en ri | SET Se ant et eat ene rst os rn IGA UAD | eet oasis cree ee en eae ae ee Aces, | ee eae eee ee eeINDICE GERAL CONCEITOS FUNDAMENTAIS 1 U INTRODUCAO......._. : 12 PROPRIEDADES FUNDAMENTAIS DA SEGURANCA.... 13 ATAQUES A SEGURANTA ves 14 MECANISMOS DE SEGURANCA. 141 _ ALGORITMOS DE ENCRIPTACAO SIMETRICA....... 14.1 MODOS DE OPERAGAO DAS CIFRAS POR BLOCOS.... 142 _ALGORITMOS DE ENCRIPTACAO ASSIMETRICA.... 143 FUNCOES DE SINTESE...... it V4.4 BUTENTICADORES .onnn nnn 145 _ASSINATURAS DIGITALS.... 146 CIPHER SUITES. TS CONCLUSAQ sonnei ‘SEGURANCA EM CORREIO ELETRONICO B 21 INTRODUCAO. 22 CERTIFICACAO DIGITAL 221 MODELOS DE CERTIFICACAO.... 222 DISTRIBUICAO DE CERTIFICADOS. 2.3 CONCEITOS FUNDAMENTAIS DO PGP. BBD KEVRINGS.ovonnnnnnannnnnss 232 VALIDACAO DE CHAVES POBLICAS. 23.3 OPERACOES...... 24 UTIUZAGAQ D0 PGP vennnnnnnnnnnnennnninintinnnnn 2.41 CRIACAO DE CHAVES..... 2.42 IMPORTACAO E EXPORTACAO DE CHAVES.. 2.4.3 VALIDACAO E CONFIANGA cnn 2.4.4 ASSINATURA E ENCRIPTACAO DE MENSAGENS.. 25 PGP COMO MOZILLA THUNDERBIRD... 2.6 CONCLUSAD sennnnnnnnnnnninnnnnn AUTORIDADES DE CERTIFICACAO DIGITAL 33 31 INTRODUCAO. 32 CERTIFICACAO HIERARQUICA X09. 3.3 GESTAO DE CERTIFICADOS 331 CRIACAO DE CERTIFICADOS... 3.32 REVOGACAO DE CERTIFICADOS... 34 GESTAO DE CERTIFICADOS COM 0 OPENSSL onnnnnnnnn 3.41 PREPARACAD E CONFIGURACAO. 3.42 CRIACAO DE UMA AC PRIVADA. 3.443 CRIACAO DE CERTIFICADOSSEGURANCA PRATICA EM SISTEMAS E REDES COM LINUX 3.44 REVOGACAO DE CERTIFICADOS .. 35 CONCLUSAO. 4._UIGACOES REMOTAS COM SSH 41 INTRODUCAO. on 42 UGAGOES SSH AUTENTICADAS POR PASSWORD... 43 LIGACOES SSH COM CHAVES POBLICAS. 44 PORT FORWARDINGNO SSH. BS CONCLUSAD enna 5. SERVIDORES WWW SEGUROS 51 CONFIGURACAO INICIAL DO APACHE. 5.2 CONFIGURACAD DE SSL NO APACHE 521 CRIACAO DE CERTIFICADOS... 522 CONFIGURACAO DO APACHE COM SSI 5.23 AUTENTICACAO DE CLIENTE... 53 VAUIDACAO DE CERTIFICADOS........ 531 REVOGACAO DE CERTIFICADOS.. 532 _ VALIDACAO COM OCSP nnn nn 5.321 CONFIGURACAO DE CLIENTE E SERVIDOR........ 5.3.22 INCLUSAO DE INFORMACAO OCSP NOS CERTIFICADOS. 5.32.3 ATIVACAO DO SERVIDOR OCSP 5.4 CONCLUSAO. 6. _REDES PRIVADAS VIRTUAIS 93 61 INTRODUCAO. CENARIOS DE UTILIZACAD........... TECNOLOGIAS VPI wnnnnnnnnmnn 631 IPSEC... G32 OPENVPN eee 6.4 UTILIZACAO DE IPSEC EM LINUX....... 6.4] AUTENTICAGAD E CONFIGURACAD.. 6.42 INTERLIGACAO DE REDES COM IPSEC. 6421 AUTENTICACAD POR PS! 6422 AUTENTICACAO POR CHAVES RSA. 55 ACESSOS REMOTOS COM OPENVPN. G50 INTRODUCAD.nenmnnemn nen 6.52 INSTALACAO DO OPENVPN NO LINUX. ss 653 CONFIGURACAO DO SERVICO OPENVPN EM LINUX. 6.5.4 CONFIGURACAO DO CLIENTE OPENVPI ..eonnnmnrennnnn 65.41 CONFIGURAGAO DO CLIENTE OPENVPN NO LINUX. 65.42 CONFIGURACAD DO CLIENTE OPENVPN NO WINDOWS. 65.43 CONFIGURACAO DO CUIENTE OPENVPN NO OS X/MACOS.. 66 CONCLUSAD. 62 63 Vil 0 sc4-cortona pe nronAricnINDICE GERAL PROTECAO DE SERVIDORES 3 7 72 73 74 75 PROTECAO DE REDES BI B2 83 84 85 INTRODUCAO....... MECANISMOS DE AREWALL NO LINUX... 7.21 TABELAS E CHAINS. coon 722 AVAUACAO DE REGRAS € POLITICAS. 723 TARGETS... 7.24 FILTRAGEM DE PROTOCOLDS... 725 MECANISMOS DE CONNECTION TRACKING. CONFIGURACOES DE FIREWALL NO LINUX. 7.31 PREPARACAO E GESTAO DE CONFIGURAC OES on nennnnnnnn 732 CONSTRUCAO DE REGRAS 733 CONTROLO DE TRAFEGO UDP. 7.34 CONTROLO DE TRAFEGO TCP... 735 CONTROLO DE TRAFEGO ICMP. 7.38 POLITICAS DE FILTRAGEM. EXEMPLO DE CONFIGURACAQ CONCLUSAO........ INTRODUGAQ .nnnnnennnnnnnnnsnn O LINUX COMO ROUTER..... 821 COMUTACAO DE PACOTES. 822 UTILIZAGAO DA CHAM“FORWARD™ NAY 8.31 CENARIOS DE NA B.32_UTILIZAGAQ DA TABELA “NAT” svnnnsnnnnnnnnnnn 83.3 CONFIGURACAO DE SNAT NO IPTABLES. 8.3.4 CONFIGURACAO DE DNAT NO IPTABLES... 8.3.5 REDIRECIONAMENTO DE LIGAGOES NO IPTABLES .ceccnwnnonnnnn EXEMPLO DE CONFIGURACAO.. cONcLUSAO ee SEGURANCA EM REDES SEM FIOS 163 31 92 93 94 INTRODUCAO... CONCEITOS FUNDAMENTALS... MECANISMOS DE SEGURANCA NO IEEE 802M nnn 931 WEP. 932 FILTRAGEM DE ENDERECOS FISICOS E OCULTACAO DO SSID. 9.3.3) WPA E WPA rwnnrmnnmnnninnnnnnnnnnnannnnnnnn 934 s02ix.. AMEACAS A SEGURANCA DAS REDES SEM FIOS...... 9.41 ESCUTA DAS COMUNICACOE! 342 NEGACAO DE SERVICO 9.43 AP ILEGITIMOS. TOR nc Xk —SEGURANCA PRATICA EM SISTEMAS E REDES COM LINUX 9.44 VULNERABILIDADES NOS CLIENTES. 95 ESTRATEGIAS DE AUDITORIA son 95] ENCRIPTACAO EM REDES WEP. 952 ENCRIPTACAO EM REDES WPA E WPA2 953 OUTRAS ESTRATEGIAS DE AUDITOR) 9.5 CONCLUSAO. 10,_DETEGAO E PREVENCAO DE INTRUSOES: 11 WTRODUCAD. nn 102 CONCEITOS FUNDAMENTAIS.......... 10.21 SISTEMAS IDS DE REDE [NIDS}. 10.22 SISTEMAS IDS DE HOST(HIDS! 1023 TECNICAS DE ACESSO A TRAFEGO DE 103 UTILIZACAD DO SNORT NO LINUX..... 103.1 MODOS DE FUNCIONAMENTO... 10.32 FORMATO DAS REGRAS DE DETECAO. 10.3.3 REACAO A ATAQUES.......... 10.4 EXEMPLO DE CONFIGURAGAQ...n. TOA.) CENARIO DE REDE wrencnnnnnm 10.42 INSTALACAO DO SNORT E ASSINATURAS DE ATAQLE.... TO.4.3 CONFIGURAGAQ .oeecntnnennton 10.44 REACAO A ATAQUES NO MODO MLE. 121 FASE 1 - RECOLHA DE INFORMAGAG.. 122 FASE 2 - DESCOBERTA DE SERVICOS. W221 METWORK SCANNERS. 122.2 SMFFERSDE REDE... 1.23 FASE 3 ~ AUDITORIA REMOTA. 3) AUDITORIA LOCAL eee tc 13.1 DETEGAO LOCAL DE VULNERABILIDADES ..cnnonsennnnoms 132 NIVEL DE SEGURANCA DAS PASSWORDS NO SISTEMA....... GLOSSARIO DE TERMOS - PORTUGUES EUROPEU/PORTUGUES DO BRASIL. nnn INDICE REMISSIVO.... me XO eA-EDTORADENFORMATCASEGURANCA EM REDES SEM FIOS No presente capitulo abordamos a seguranca nas redes sem fios, um tema cada vez mais relevante, dada a proliferacao deste tipo de redes. A popularidade das redes sem fios vem reveler, igualmente, as suas fragilidades, entre as quais se encontra a seguranga. Julgamos, assim, fundamental abordar as varias técnicas e mecanismos ao dispor do analista, no sentido de poder verificar e garantir a seguranga das comunicagdes neste tipo de redes, bem como a privacidade dos dados dos seus utilizadores. A andlise do nivel de seguranca garantido por uma determinada configuragdo de rede ¢, de facto, essencial para a seguranca de toda a organizagao, jé que as redes sem fios podem servir de porta de entrada para outros sistemas e servigos disponiveis na infraestrutura cablada. Comegamos por analisar as principais normas de seguranga desenvolvidas para redes sem fios, no contexto do standard 802.11, e, de um ponto de vista mais pratico, algumas das principais técnicas e ferramentas de auditoria ao dispor do analista EE intropucAo As redes sem fios funcionam com base nas comunicagdes por radiofrequéncia, dis- ponibilizando, pare o efeito, um meio de comunicacdo partilhado por varios dispositivos. A partilna do meio de comunicagao abre a possibilidade de um dispositive, integrado na rede, obter, de forma relativamente simples, acesso 8s comunicagées de outros disposi- tivos. Assim, podemos perceber facilmente a importancia da utilizacdo, neste tipo de redes, de mecanismos para garantir propriedades fundamentais de seguranca nas comunicagées e interacdes dos utilizadores. Tal como veremos no presente capitulo, as normas de comunicaco desenvolvidas para redes locais sem fios, em particular no contexto do standard 802.11 do IEEE (Institute of Electrical and Electronics Engineers), viseram também a seguranca, tendo sido desenha- das varias solug6es, que foram revelando as suas limitagdes, devido a falhas na sua concegao e a capacidade computacional crescente dos computadores, que passaram a permitir realizar ataques para obtencao das chaves de encriptaco utilizadas na rede. ‘Ao longo deste capitulo, 0 objetivo passa por oferecer ao leitor uma visdo geral sobre as soluges de seguranca desenvolvidas no contexto das varias versées da norma IEEE Sonurics 163802.11. Complementarmente, iremos analisar algumas ferramentas essenciais de auditoria a seguranga de redes sem fios. Tal como iremos verificar, a diversidade de técnicas e ferramentas neste contexto é elevada. Tais ferramentas sao, na realidade, frequentemente utilizadas por atacantes, ja que permitem detetar vulnerabilidades ou falhas na configuracao das redes. O conhecimento de tais aplicagdes por parte do administrador ou analista de seguranca 6, portanto, fundamental. Tal como ao longo do livro, a implementacao pratica dos conceitos abordados no capitulo fard uso do sistema operativo Linux. EX CONCEITOsS FUNDAMENTAIS A nossa abordagem as redes sem fics comega por centrar-se nalguns conceitos fundamentais relativos ao seu funcionamento, que acreditamos serem importantes para abordarmos melhor a problematica da seguranca nestas redes. Comecamos por definir, de forma simples, em que consiste uma rede local sem fios. Uma rede deste tipo pode ser definida como de aleance local, oferecendo um meio de comunicacao partilhado, através de ondas eletromagnéticas. Estas caracteristicas oferecem algumas vantagens, por exemplo, a comodidade de utilizagao e o facto de suportarem utilizadores com mobi- lidade. Por outro lado, a seguranca aparece, tipicamente, como uma potencial limitacdo, bem como as taxas de erro nas comunicacoes, superiores as das redes cabladas. Os protocolos ou normas que ditam a forma como os sistemas comunicam nas redes sem fios tém sido desenvolvidos, ac longo dos anos, pelo IEEE, em particular pelo grupo 802.11. A Tabela 9.1 resume as principais caracteristicas destas normas, onde notamos a utilizago das bandas ISM (Industrial, Scientific and Medical) de 2.4 GHz e SGHz, bem como 0 suporte de comunicacées a diferentes velocidades. TABELA 81 - CARACTERISTICAS DAS NORMAS DE COMUNICACAD SEM FIOS fe a Velocidade suportada 802.11 5.725 a 5.875 GHz 54 Mbps 802.11b 24025GH: 11 Mbps 802.119 24025 GHz 54 Mbps 802.11n 2.4925 GH, 5.725 @ 5.875 GHz |300 a 600 Mbps ‘As comunicagées nas redes sem fios ocorrem na gama de frequéncias identificadas na Tabela 9.1, centradas num canal especifico dentro da gama correspondente. Os canais disponiveis variam, por sua vez, consoante o pais. No total, estao disponiveis 15 canais, sendo que os canais 1 2 11 sao utilizados nos EUA, do 1 ao 13 na Europa e do 1 ao 14 no Japao. Um aspeto importante a notar 6 que a largura de banda necesséria para que seja possivel atingir as velocidades de cada norma faz com que as transmissées num determinado canal interfiram nos canais adjacentes, tal como a Figura 9.1 ilustra. Desta forma, nao é possivel utilizar, com desempenho aceitavel, todos os canais disponiveis numa determinada rede local. Considera-se habitualmente que as transmissées e rece- 164 @xc4-cortonaeSEGURANCA EM REDES SEM FIOS des podem ter lugar em canais afastados, no minimo, por outros quatro canais. Desta forma utilizam-se por norma os canais 1, 6 € 11, se considerarmos os 13 canais dispo- niveis para utilizacdo no espago europeu. Um administrador responsavel pela instalagao de varios pontos de acesso (AP, do inglés Access Point) a rede, num determinado espaco fisico, deve ter em atencdo esta restricéo, bem como utilizar canais diferentes nos varios AP utilizados no mesmo espaco fisico, com o objetivo de minimizar as coli- s0es nas comunicacdes. 10203 4 5 6 7 8 8 DH DE u Rana 2417 2.622 2427 2432 2437 2482 2487 2.452 2457 2.4862 2.467 2472 nase 22MHz FIGURA 91 ~ CANAIS DISPONIVEIS NA BANDA ISM [24 GH21 Quanto aos equipamentos utilizados nas redes locais sem fics, recorre-se, normalmente, aos pontos de acesso ou AP, as antenas com diferentes configuragées, e aos controladores, switches e routers, entre outros equipamentos. Os AP servem a ligagao dos equipamentos méveis (computadores pessoais, smartphones e outros dispositivos) 8 rede sem fios. As antenas, para além de utilizadas nos AP, so utilizadas em cenérios de comunicacéo com diferentes caracteristicas, por exemplo, as antenas Yagi para ligages ponto a ponto. Os controladores permitem, em cenarios de rede mais avancados, introduzir funcionalidades @ nivel da configuracao dinamica do espaco de radiofrequéncia, da gestao de utilizadores e da garantia de niveis de qualidade de servico. Outro conceito importante relativo as comunicagées em redes IEEE 802.11 é 0 das frames. Uma frame encapsula os dados das aplicagdes, a0 mesmo tempo que permite gerir as associagoes de clientes a rede. A norma 802.11 define os formatos de frames de gestao, controlo e transmissao de dados. As frames de gestao suportam a descoberta de redes, bem como a associag3o e autenticac3o de clientes (dispositivos) & rede. As frames de controlo permitem controlar o acesso, por parte de varios clientes, ao meio de comunicacao partilhado, para transmiss4o ou rececao de informacao. Finalmente, as frames de dados transportam a informacao das aplicagées residentes em sistemas que utilizam @ rede sem fios para comunicar. No que se refere a sua topologia, as redes locais podem ser criadas no modo ad hoc, ponto a ponto ou infraestrutura. Referiremos brevemente as duas primeiras, uma vez que 0 modo infraestrutura é, sem duivida, o mais interessante e desafiante do ponto de vista da seguranca. Nas redes no modo ad hoe, os sistemas podem comunicar livre- mente entre si, sem necessidade de um AP ou de uma infraestrutura de comunicagoes. ‘As comunicagées nas redes ponto a ponto permitem interligar, através de ume ligacdo por radiofrequéncia, duas redes locais. Finalmente, no modo com infraestrutura os 165utilizadores (clientes) ligam-se 4 rede sem fios através de ume associacdo com um dos AP disponiveis, para, dessa forma, comunicarem com servidores na infraestrutura ou coma Intemet. A Figura 9.2 ilustra o modelo geral de comunicagées numa rede sem fios no modo infraestrutura. Infraestrutura (DS) FIGURA 92 ~ TOPOLOGIA TIPICA DE UMA REDE LOCAL SEM FIOS, Tal como a Figura 9.2 ilustra, o IEEE 802.11 introduz os conceitos de BSS (Basic Service Set) e ESS (Extended Service Set). O BSS refere-se a uma zona da rede abrangida por um ponto de acesso, através do qual varios clientes conseguem comunicar com a infraestrutura (Distribution System) e com a Internet. A utilizagéo de varios AP e, por conseguinte, de varios BSS com o mesmo SSID (Service Set Identifien, permite que um cliente se mova entre diferentes zonas da rede, mantendo a sua autenticagao e sessdes de comunicacao existentes, no contexto do mesmo ESS. [EE] MEcANISMOS DE SEGURANGA NO IEEE 802.11 © IEEE 802.11 define mecanismos de comunicacao em redes locais sem fios, nas camadas fisica e MAC (Media Access Contro). Tal como na generalidade das solugées de seguranga na Internet, as solugées de seguranca definidas no contexto desta norma tém vindo a evoluir ao longo dos anos, em fungao da descoberta de vulnerabilidades e do aumento da capacidade computacional dos sistemas ao dispor dos atacantes. O nosso objetivo seguinte consiste em analisar as caracteristicas e as vulnerabilidades das varias solugdes de seguranga desenhadas pelo IEEE para redes locais sem fios. Neste contexto, iremos comegar por analisar a solugo de seguranca na versdo original da norma, na forma do protocolo WEP (Wired Equivalent Privacy), na Seccao 9.3.1 ———= 166DETECGAO E PREVENCAO DE INTRUSOES Os sistemas de detegdo de intrusdes (IDS, do inglés Intrusion Detection Systems) sao uma ferramenta valiosa no tocante & seguranca de redes e sistemas, j4 que permitem proteger recursos computacionais de ameacas ou ataques @ sua intagridade. Este tipo de sistemas normalmente integrado com as firewalls, que tivemos a oportunidade de analisar nos Capitulos 7 € 8, com 0 objetivo de bloquear, de forma ativa, os atacantes. A combinacéo destes sistemas permite dotar um IDS da capacidade de prevenir ou reagir a ataques, formando a base do que se designa por sistemas IPS (intrusion Prevention Systems). No presente capitulo analisamos as principais caracteristicas dos IDS e IPS, bern como as estratégias para a recolha de tréfego de rede, no contexto desses sistemas. Do ponto de vista da aplicagao pratica dos mesmos, utilizamos 0 Snort, de forma conjugada com o IPTables, com 0 objetivo de ativarmos um sistema IDS/IPS no Linux. [2] intropucAo No presente capitulo focamos a nossa atencéo nos chamados sistemas IDS/IPS, enquanto ferramenta essencial para @ deteg3o e reacao atempadas @ ataques a seguranca informética de redes e sistemas. A configuracdo deste tipo de sistemas envolve, normalmente, a configuracdo conjugada com os sistemas de firewall. Em geral, © sistema de firewall pode passar ao IDS/IPS as comunicagées a analisar e este Ultimo decidir autorizar ou negar @ comunicacdo, com base nas suas regras de detecdo de ataques Dado o carécter inerentemente pratico do livro, um objetivo importante deste capitulo é igualmente 0 de aplicar os conceitos abordados no Linux, pelo que iremos instalar 0 Snort (https www. snort.ora) no Linux como sistema IDS/IPS. O Snort é, atualmente, a implementaco de referncia de um IDS de cédigo aberto. A sua configuracéo como IPS envolve também a integragao com o IPTables, como teremos a oportunidade de analisar na Secgao 10.4.3. Comegamos por abordar alguns conceitos fundamentais que interessa conhecer em relacdo a este tipo de sistemas, apés 0 que faremos uso do Snort ¢ do IPTables, com os objetivos jé referidos.[Eq CONCEITOS FUNDAMENTAIS Os sistemas IDS podem basear-se, em geral, em varias estratégias de detecdo de ataques e comunicagées suspeitas. Alguns destes sistemas dispdem igualmente da capacidade para combinar varias estratégias de detegao, com 0 objetivo de detetar ameagas, quer conhecidas quer desconhecidas. As ameacas conhecidas s4o normal- mente detetadas com recurso a regras, também designadas por assinaturas de ataques. Por outro lado, a detegao de novos ataques depende da capacidade do sistema de imple- mentar técnicas computacionais de aprendizagem. Tais técnicas dependem, frequente- mente, de uma fase inicial de treino, durante @ qual o sistema caracteriza o perfil de utilizago normal das comunicagées na rede local. Com base nesta informagao, 0 sisterna dispée da capacidade para detetar desvios a essa base de atividade normal, desvios esses que podem indiciar anomalias ou ataques. Como exemplo de técnicas com esta capacidade podemos apontar as técnicas de classificacéo, bem como diversas estra- tégias estatisticas. 10.2.1 SISTEMAS IDS DE REDE [NIDS) Os sistemas IDS de rede (NIDS, do inglés Network Intrusion Detection System) analisam todas as comunicagées numa infraestrutura de comunicagées, com o objetivo de detetar ataques conhecidos, com recurso a um conjunto normalmente vasto de assinaturas de ataques. A Figura 10.1 ilustra a arquitetura de alto nivel de um sistema IDS deste tipo. Filtrager | Detesdo joo FIGURA 101 ~ AROUITETURA DE ALTO MVEL DE UM IDS DE REDE Tal como a Figura 10.1 ilustra, estes sistemas utilizam um primeiro nivel de filtragem, responsavel por determinar se 0 trafego deve ser ignorado ou, pelo contrario, consi- derado para andlise. A analise 6, por sua vez, da responsabilidade de um médulo de reconhecimento de anomalias, que procura no trafego de rede as assinaturas de ataques. O médulo de detecSo de ataques pode implementar varios métodos de detecdo em simulténeo, ndo estando restrito andlise com base em assinaturas. A titulo de exemplo, esses métodos podem consistir, para além da detecdo de assinaturas, na andlise da frequéncia de determinados tipos de pacotes ou sequéncias de pacotes. me 185 0 eA-EDTORADEbo) fe Colas Aer (ope) eve) =} A detecao de um ataque pelo médulo de andlise desencadeia, por sua vez, uma notifi- cago ao médulo de resposta. Este médulo ¢ responsdvel por efetuar determinadas agées de acordo com os ataques detetados. Essas agées poderao envolver notificagées, © envio de pacotes de terminacao de ligagdes para o sistema de origem ou a interacao com a firewall, no sentido de ativar regras de filtragem que bloqueiam as comunicacdes com origem nesse sistema. Tal como jé referido, a capacidade de bloquear ativamente um ataque € uma caracteristica fundamental de um IPS. 10.2.2 SISTEMAS IDS DE HOST(HIDS) Os sistemas IDS de host (HIDS, do inglés Host Intrusion Detection System) analisam o estado de um ou mais servidores, com o objetivo de detetar atividades suspeitas inter- namente ao proprio sistema operativo. Estes sistemas implementam varias estratégias com 0 objetivo de detetar, por exemplo, aplicagdes com comportamentos inesperados, informacao relevante nos /ogs do sistema ou o resultado de verificagdes de integridade em programas e ficheiros criticos do sistema. As verificagées anteriores so também combinadas com a anélise do trafego de rede que entra ou sai do host, por qualquer uma das suas interfaces A anélise do tréfego a entrada ou sada do sistema exige a configuragdo da interface de rede respetiva no chamado modo promiscuo, no qual o IDS tem acesso a todas as comunicacgées que circulam na rede, uma condicao essencial para detetar ataques. Alguns sistemas dispdem, no entanto, da capacidade de analisar tais comunicagoes & medida que percorrem a pilha TCP/IP, com a vantagem de os pacotes com o ataque poderem ser retirados antes de serem processados pela aplicacéo a que se destinam (ou pelo sistema operativo). A Figura 10.2 ilustra a arquitetura de alto nivel dos HIDS. | apicagoes ! I Logs Y ' i | gs ' ' araisee | |g) 0s central f reagso | T —— | | tetegrsacse 7 ' | | gos ficheiros 1 t ' | Montonzacae e | Trafego de t configura go FIGURA 102 ~ ARQUTETURA DE ALTO NIVEL DE UM HIDS RADENOMATCA 187 —ce) SEGURANGA PRATICA em SISTEMAS« REDES com Linux A seguranca em sistemas e redes assume cada vez mais um papel preponderante no Pek cus Lo gece Cece case oet tel ecmsrcnta t para que se trate de uma area muito exigente do ponto de vista técnico, no contexto Crea te et earn eiee ect erraRCasaten be ole Weg al Roo pole Meg Ree UL Rel a fee Ut mestrado. A par com uma abordagem muito pratica, apresenta, igualmente, os principais Cane eect ee et enters aa eee eaten ee eect Rees een nate te reat ei ies Mec Sesto wer ncreey Pete eet tee ecu cue eta meee eca clara eemce a ere Mtl etl sistema operativo Linux na area da seguranga informatica. Entre outros, sao abordados os seguintes temas: Reese the ure eet nea Curtis See carhikontves *Certificacao digital; Sa Sheeran aA MANNA *Sistemas VPN; *Configuragées de firewall com |PTables; *Seguranca em redes sem fios; Spee ence Matec SP NU elo a CMe aor Cer Este livro constitui, igualmente, um auxiliar valioso no apoio a preparacao para aie Rue rata CC Rance ery Certification Program) e LPI (Linux Professional Institute). Esta obra disponibiliza ainda a correspondéncia dos principais termos técnicos para o portugués do Brasil. Bode M Cle ed aro MPa ee eae Me eke ee Re Oe TY Tecnologia da Universidade de Coimbra (FCTUC), onde é também coordenador da equipa de Gestéo da Infraestrutura Informatica e de Comunicacoes. Desenvolve atividade de investigacdo no Grupo de ee Ue RCRA ee RNR Reo