Você está na página 1de 60

VERSÃO PARA IMPRESSÃO

SEGURANÇA DE REDES DE COMPUTADORES


UIA 1 | SEGURANÇA EM REDES TCP/IP
Este material é destinado exclusivamente aos alunos e professores do Centro Universitário IESB,
contém informações e conteúdos protegidos e cuja divulgação é proibida por lei. O uso e/ou
reprodução total ou parcial não autorizado deste conteúdo é proibido e está sujeito às
penalidades cabíveis, civil e criminalmente.
SEGURANÇA DE REDES DE COMPUTADORES | UIA 1 | 3

SUMÁRIO

Aula 1 | Segurança para Aplicações em Redes TCP/IP ...............................................................6  


1.1. Redes TCP/IP ....................................................................................................................................6  
1.1.1. Arquitetura TCP/IP ..................................................................................................................................................... 6  
A Camada Física .................................................................................................................................................................................... 7  
Camada de rede .................................................................................................................................................................................... 9  
Camada de transporte ...................................................................................................................................................................... 13  
Camada de aplicação ........................................................................................................................................................................ 18  

Aula 2 | Vulnerabilidades no TCP/IP......................................................................................... 21  


2.1. Segurança na arquitetura TCP/IP ................................................................................................ 21  
2.1.1. Ameaças no Conjunto TCP/IP a Partir das suas Camadas ......................................................................... 22  
Camada de Enlace e Física .............................................................................................................................................................. 22  
Camada de Inter-rede ....................................................................................................................................................................... 22  
A Camada de Transporte ................................................................................................................................................................. 22  
A camada de Aplicação .................................................................................................................................................................... 23  
2.1.2. Ameaças e Vulnerabilidades Conhecidas ....................................................................................................... 23  
Sniffers (Farejadores) ......................................................................................................................................................................... 23  
Source Routing (Roteando pela Fonte / Roteamento pela Origem) ................................................................................. 24  
DoS (Denial of Service) ..................................................................................................................................................................... 24  
Spoofing ................................................................................................................................................................................................ 27  
Distributed Denial of Service (DDoS) .......................................................................................................................................... 29  
DRDoS .................................................................................................................................................................................................... 30  

Aula 3 | Projeto de Estruturas de Segurança ........................................................................... 31  


3.1. Introdução ..................................................................................................................................... 31  
3.1.1. Estruturas de Segurança ........................................................................................................................................ 31  
Estruturas Necessárias ...................................................................................................................................................................... 31  
3.1.2. Princípios de Segurança ........................................................................................................................................ 31  
3.1.3. Segurança Física ....................................................................................................................................................... 33  
Áreas de Segurança ........................................................................................................................................................................... 33  
Segurança dos Equipamentos ....................................................................................................................................................... 34  
Controles gerais .................................................................................................................................................................................. 34  
3.1.4. Segurança dos Equipamentos de Redes – Recomendações/Boas Práticas ........................................ 35  
3.1.5. Redundância .............................................................................................................................................................. 35  

Aula 4 | Firewall ......................................................................................................................... 36  


4.1. Estruturas de Segurança .............................................................................................................. 37  
4.1.1. Apresentando o Firewall ....................................................................................................................................... 37  
Conceitos............................................................................................................................................................................................... 37  
Aplicação ............................................................................................................................................................................................... 37  
Tipos de Firewall ................................................................................................................................................................................. 38  
Implementação de Firewalls .......................................................................................................................................................... 43  

Aula 5 | Projeto de Sistemas “Firewalls” .................................................................................. 45  


5.1. Redes com Firewall ....................................................................................................................... 45  
5.1.1. Arquiteturas ............................................................................................................................................................... 45  
Dual-Homed ......................................................................................................................................................................................... 46  
Screened Host ..................................................................................................................................................................................... 47  

Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.


SEGURANÇA DE REDES DE COMPUTADORES | UIA 1 | 4

Screened subnet ................................................................................................................................................................................. 50  

Aula 6 | Equipamento na Função de Bastion Host .................................................................. 52  


6.1.1. Bastion Host ............................................................................................................................................................... 52  
6.1.2. Conceito ...................................................................................................................................................................... 52  
6.1.3. Estrutura ...................................................................................................................................................................... 53  
6.1.4. Configuração ............................................................................................................................................................. 54  
6.1.5. Princípios para Planejar a Construção de um Bastion Host ..................................................................... 56  

Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.


SEGURANÇA DE REDES DE COMPUTADORES | UIA 1 | 5

INTRODUÇÃO

É indiscutível hoje a importância da internet e, em consequência, das redes de computadores que lhe
sustentam. Entretanto ao mesmo tempo que cresce a
importância das redes na nossa vida diária, cresce de
forma exponencial a preocupação com a segurança
destas redes. Afinal toda a nossa vida particular e os
nossos negócios, hoje estão nas redes.
Este curso tem por objetivo desenvolver no aluno o
conhecimento dos conceitos básicos da segurança
de redes de computadores. Estes conceitos
permitirão criar os fundamentos, o embasamento,
para o exercício das atividades principais e basicas
de segurança de redes de computadores.
Durante o curso, você a partir da revisão dos conhecimentos da arquitetura TCP/IP irá conhecer o que é
um firewall, como é a sua arquitetura e seu funcionamento. Irá aprender sobre as vulnerabilidades dos
serviços e como trata-las garantindo a melhoria da segurança, tratará dos aspectos de segurança da
internet e as suas formas de autenticação. No último módulo do curso, abordaremos aspectos da
estratégia de segurança permitindo a você conhecer um processo que permitirá reforçar toda a
segurança da sua rede de computadores.
É importante que saiba que este é um primeiro passo na escalada do conhecimento em segurança de
redes de computadores. As referências e os links é importante que sejam vistos e estudados pois irão
reforçar toda a sua bagagem profissional futura.
Mãos à obra! E Caminhemos para o sucesso profissional.

Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.


SEGURANÇA DE REDES DE COMPUTADORES | UIA 1 | 6

Aula 1 |  SEGURANÇA PARA APLICAÇÕES EM REDES TCP/IP

1.1.  REDES TCP/IP


Nesta aula, de introdução ao nosso curso faremos uma revisão dos conceitos já aprendidos sobre a
Arquitetura do Modelo TCP/IP. O objetivo desta aula é relembrar conceitos que serão de extrema
importância nas aulas que se seguirão a respeito de Segurança em Redes.
No mundo hoje não se pode falar de redes sem falar de internet, e não podemos falar de tudo isso sem
falarmos do TCP/IP. Este conjunto de protocolos se tornou o padrão de redes locais e remotas. Mesmo
antes do grande sucesso da internet já era um protocolo de grandes redes formadas por equipamentos
de diversos fabricantes.
Estudar e conhecer estes protocolos é necessário para qualquer profissional que queira ter um
conhecimento sobre segurança de redes. Então, vamos adiante.

1.1.1.  ARQUITETURA TCP/IP


Transmission Control Protocol/Internet Protocol Suite, mais conhecido pelo seu acrônimo TCP/IP, são
dois dos mais importantes protocolos que integram o conjunto de protocolos usados na Internet,
também chamados de pilha de protocolos. Na base da estrutura da Internet, o protocolo IP é um
protocolo baseado em chaveamento de pacotes (packet-switching). Comutação ou chaveamento é a
forma utilizada hoje de vincular um emissor à um receptor.
A grande utilização dos protocolos TCP/IP ocorre pela facilidade dos protocolos da pilha TCP/IP serem
utilizados em qualquer estrutura de rede, desde uma rede ponto-a-ponto até uma rede de pacotes
bastante complexa. Os diversos tipos de redes já vistas em nosso curso podem ser utilizadas com a pilha
TCP/IP.
Por este paragrafo anterior já é possível de entender a necessidade de conhecermos os fundamentos
deste conjunto de protocolos para podermos tratar da segurança em todos os níveis da nossa rede de
dados.
Estruturada em camadas, a arquitetura TCP/IP trabalha dividindo as funções do sistema de comunicação
entre estas camadas. Cada camada presta serviço para a camada superior.

Figura 1. Fonte: Adaptado de http://tinyurl.com/j7ysanr

Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.


SEGURANÇA DE REDES DE COMPUTADORES | UIA 1 | 7

Saiba mais sobre as camadas TCP/IP. Assista ao vídeo e amplie seus


conhecimentos:
http://tinyurl.com/h3d7yph

A CAMADA FÍSICA
A camada de Interface com a rede ou Física, é responsável pela transmissão e recepção do fluxo de bits
não estruturados através do meio físico da rede. A camada Física descreve as interfaces eléctricas/ópticas,
mecânicas e funcionais com o meio físico e encaminha os sinais para todas as camadas superiores, acima.
Esta camada não é padronizada no conjunto de protocolos TCP/IP. A não padronização decorre da
camada poder variar em função da tecnologia de acesso físico que for empregada (por exemplo:
Ethernet, ATM e PPP).
Para a segurança, é extremamente importante que você saiba identificar e conhecer os diversos tipos de
dispositivos de interconexão física utilizados numa determinada rede e as possíveis vulnerabilidades e
implicações dos aspectos de segurança existentes nesses dispositivos.

Hub Ethernet
Esta é a forma mais simples de interconexão em redes LANs. Este equipamento não possui inteligência
(processador) e atua somente na camada física do modelo OSI e pode possuir n portas. O hub é um
equipamento antigo, um dos primeiros a serem usados em redes locais. Basicamente, permite conectar
os computadores de uma rede e assim realizando a troca das informações entre eles. O uso de hubs esta
diminuindo de forma bastante gradativa mas ainda se encontram presente em muitas redes em virtude
dos seus custos.

Figura 2. HUB Ethernet. Fonte: http://tinyurl.com/jej7lle

Entre seus principais problemas destacam-se:

•   Propaga ruído elétrico para todas as portas;

•   Faz broadcast do pacote a nível físico;

•   Facilita escuta na rede;

•   Deixa interface de rede em modo promíscuo;

•   Cria domínio de colisão, e

•   Permite apenas uma comunicação simultânea.

Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.


SEGURANÇA DE REDES DE COMPUTADORES | UIA 1 | 8

Bridge Ethernet
É um equipamento que conecta dois segmentos LAN. Como características, possui inteligência
(processador), atua na camada de enlace do modelo OSI através de duas portas.
Apresenta soluções aos problemas do hub, tais como:
•   Imune a ruído elétrico;

•   Não faz broadcast dos pacotes a nível físico;

•   Evita escuta entre suas portas;

•   Retransmissão seletiva: tabela porta x MAC (Ethernet);

•   Gera confinamento de tráfego entre suas portas, e

•   Divide domínio de colisão.


Porém, como todo equipamento também possui seus problemas:

•   Permite apenas uma comunicação simultânea entre suas portas, e

•   Cria domínio de broadcast nível de enlace.

Switch Ethernet
O switch é uma bridge inteligente que pode possuir n
portas, trazendo algumas soluções tais como:

•   Permite várias conexões simultâneas entre suas


portas.

•   Densidade maior de portas para conexão.

•   Dificulta “escuta” na rede.

•   Recursos avançados (autenticação, filtragem etc.).


Apresenta ainda alguns problemas:

•   Custo mais elevado.


•   Crescimento da rede (escalabilidade).

•   Broadcast nível de enlace.


Em termos de segurança, um switch é sempre preferível para interconexão em rede local no lugar de um
hub, porém o custo de um switch é maior. Nesse caso, a relação entre custo e segurança deve ser posta
na balança. No caso do hub, os problemas de segurança podem ser tratados de outras formas, como, por
exemplo, o uso de criptografia.
O switch suporta varias tecnologias de acesso físico e diversos tipos de cabos e conectores (par trançado
e fibra ótica, por exemplo).
Uma forma de melhorar a prevenção no uso de switches é adotando para sua implementação uma
topologia hierárquica:

•   Nível 1: switch de núcleo (core) chassi: uma unidade, muitos recursos, alta performance, custo
elevado.

Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.


SEGURANÇA DE REDES DE COMPUTADORES | UIA 1 | 9

•   Nível 2: switch de distribuição: algumas unidades.

•   Nível 3: switch de acesso: muitas unidades, menos recursos, menor performance, custo baixo.

Endereçamento físico
Todo ponto integrante de uma rede possui um único endereço, não existindo duas portas com o mesmo
endereço, chamado de endereço físico ou MAC Address, também chamado de endereço MAC (Media
Access Control) que é atribuído pela Camada de Enlace. É chamado físico pois é parte das características
da placa de rede.
O endereço MAC é composto por um conjunto de 6 bytes separados por dois pontos (“:”) ou hífen (“-”).
Cada byte é representado por dois algarismos na forma hexadecimal, por exemplo "00:00:0C:01:7B:C5".

Para conhecer mais sobre a camada física assista ao vídeo a seguir.


http://tinyurl.com/hqe2yh6

CAMADA DE REDE
Com a responsabilidade de interligar as diferentes redes existentes na internet, a camada de rede é
composta, principalmente, pelo protocolo IP (Internet Protocol). A camada de rede tem como objetivo
prover uma mecanismo de transportar informação entre a origem e um destino, independentemente
dessas máquinas estarem na mesma rede.

Protocolo IP (Internet Protocol)


Mais conhecido como Internet Protocol, e normalmente citado pelas suas iniciais IP é protocolo de
datagramas que define o mecanismo de transmissão sem conexão e não-confiável. Quando citado sem
conexão significa que uma sessão de comunicação só é estabelecida após a troca de dados. E não
confiável significa que a entrega não pode ser garantida. O IP faz o melhor para entregar um pacote mas
este pode ser perdido, duplicado, entregue fora da sequência, ou atrasado. O IP não se recupera desses
tipos de erros. A confirmação e a recuperação de pacotes perdidos ou entregues é responsabilidade do
TCP, que é um protocolo da camada superior.

Características do Protocolo IP

•   Serviço de datagrama não confiável.


•   Endereçamento Hierárquico.
•   Facilidade de Fragmentação e Remontagem de pacotes. Pacotes são entregues fora de ordem;
reordenamento na camada superior.
•   Identificação da importância do datagrama e do nível de confiabilidade exigido.
•   Identificação da urgência do datagrama.
•   Roteamento adaptativo. Entrega com menor esforço. Pacotes são roteados
independentemente.
•   Descarte e controle do tempo de vida dos pacotes.

Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.


SEGURANÇA DE REDES DE COMPUTADORES | UIA 1 | 10

Endereçamento IP
Endereço universal que na sua verão 4 possui 32 bits (o IP na versão 6 possui 128 bits) escrito com quatro
números decimais que identifica unicamente uma interface de rede. Exemplo: 200.221.2.45.
O endereçamento IP possui uma estrutura hierárquica, com divisão sempre em duas partes: rede e
estação. Uma parte do endereço é a rede e a outra parte é a estação. Esta divisão é feita de duas formas:
ou pela classe ou pela máscara.
A figura a seguir apresenta a estrutura do endereçamento IP:

Figura 3. Estrutura de endereçamento. Fonte: http://tinyurl.com/jhyh7d9

Saiba mais sobre o Protocolo IP assistindo o vídeo a seguir.


http://tinyurl.com/jyb73rf

Protocolos auxiliares (ARP, RARP e ICMP)


•   Protocolo ARP
O ARP (Address Resolution Protocol ) é um protocolo do padrão TCP/IP. Ele é o responsável por fazer a
resolução (resolver) dos endereços IP para endereços de controle de acesso à mídia (MAC) usados por
hardware de rede local (LAN).
Os endereços MAC são obtidos através de solicitação de difusão de rede de uma pergunta "Qual é o
endereço MAC de um dispositivo configurado com este endereço IP?".
No momento em que solicitação ARP é respondida, tanto quem enviou a resposta ARP quanto quem
solicitou o ARP original, registram seus endereço IP respectivos e o endereço MAC como uma entrada em
uma tabela local denominada cache do ARP para acessos futuros.

Fonte: http://tinyurl.com/j5h66o6
Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.
SEGURANÇA DE REDES DE COMPUTADORES | UIA 1 | 11

•   Protocolo RARP
O RARP(Reverse Address Resolution Protocol) é um protocolo muito semelhante ao ARP mas faz o
exatamente contrário do ARP. Ele permite que uma máquina possa descobrir o endereço IP utilizado por
um determinado endereço MAC.

Fonte: http://tinyurl.com/zzeuha8

•   Protocolo ICMP
ICMP (Internet Control Message Protocol) é um protocolo que administra as informações relativas a erros
em máquinas conectadas. Em virtude do protocolo IP realizar pouco controle, através do ICMP, os hosts e
roteadores que usam a comunicação IP podem comunicar erros e trocar informações de status e controle
limitado. Desta forma o protocolo ICMP é usado por todos os switchs, que o utilizam para assinalar um
erro e fornecer relatórios de erros à fonte original. Todo equipamento que utilize IP precisa aceitar as
mensagens ICMP e adaptar o seu comportamento de acordo com o erro relatado.
Normalmente, as mensagens ICMP são transmitidas automaticamente nas seguintes situações:
o   Um datagrama IP não consegue chegar ao seu destino.
o   Um roteador IP (gateway) não consegue encaminhar datagramas com a taxa de
transmissão atual.
o   Um roteador IP redireciona a origem (host remetente) para usar uma rota melhor para
alcançar o destino.
No ambiente Windows as principais ferramentas comumente empregadas e baseadas nesse protocolo
são o Ping e o Traceroute.

Saiba mais sobre estes protocolos assistindo os vídeos a seguir.


http://tinyurl.com/h9voyv2
http://tinyurl.com/zdewo3b

Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.


SEGURANÇA DE REDES DE COMPUTADORES | UIA 1 | 12

Roteamento
O principal mecanismo que a Internet utiliza para realizar a entrega de pacotes de dados entre
equipamentos de rede de forma geral é o roteamento. Através de saltos (hop-by-hop) em que cada
roteador recebe um pacote, abre-o, faz a leitura do endereço, verifica este endereço de destino no
cabeçalho IP, calcula o próximo salto que irá permitir que o pacote fique mais próximo do destino e envia
o pacote para este próximo salto. E assim através de saltos este processo se repete em cada novo destino
até ser entregue ao seu destinatário. Para que tudo isto funcione corretamente, são necessários dois
elementos essenciais: as tabelas de roteamento e os protocolos de roteamento.

As tabelas de roteamento são os registros dos endereços de destino associados ao


numero de saltos até chegar a ele, podendo ainda conter varias outras informações
de interesse.

Já os protocolos de roteamento são responsáveis por determinar o conteúdo das tabelas de roteamento,
isto é, são os protocolos de roteamento que ditam o modo como a tabela é organizada e que
informações ela contém.

Fonte: http://tinyurl.com/guroo9h

•   Roteamento Interno
Quando os roteadores são empregador para trocar informações dentro dos Sistemas Autônomos (AS) são
chamados de roteadores internos e utilizam-se de uma variedade de protocolos de roteamento interno
(Interior Gateway Protocols – IGPs). Dentre eles estão: RIP (Routing Information Protocol), IGRP (Interior
Gateway Protocol), EIGRP (Enhanced Interior Gateway Protocol), OSPF (Open Shortest Path First) e
Integrated IS-IS (Intermediate System to Intermediate System Routing Exchange Protocol).

Fonte: http://tinyurl.com/hxmyy37

Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.


SEGURANÇA DE REDES DE COMPUTADORES | UIA 1 | 13

Assista ao vídeo a seguir e aprenda um pouco mais sobre roteamento.


http://tinyurl.com/j2r26ut

•   Roteamento Externo
Entre os AS os roteadores que trocam dados entre eles são chamados de roteadores externos (exterior
routers), e empregam o BGP (Border Gateway Protocol). Para este tipo de roteamento são considerados
basicamente coleções de prefixos CIDR (Classless Inter Domain Routing) identificados pelo numero de
um Sistema Autônomo.

Figura 4. Sistema autônomo. Fonte: http://tinyurl.com/gt8fjxs

Para conhecer mais sobre BGP, assista ao vídeo a seguir.


http://tinyurl.com/gneryq8

CAMADA DE TRANSPORTE
A camada de transporte tem a responsabilidade da transferência eficiente, confiável e econômica dos
dados entre a máquina de origem e de destino, independente do tipo, topologia ou configuração das
redes físicas existentes entre elas, e ainda garantir que os dados sejam entregues sem erros e na
sequência correta.
É uma camada fim-a-fim, isto é, uma entidade (hardware/software) desta camada de transporte se
comunica apenas com a sua entidade semelhante na camada de transporte do host destinatário. Ela
provê assim mecanismos que permitem a troca de dados fim-a-fim, ou seja, a camada de transporte não
se comunica com máquinas intermediárias na rede, como pode ocorrer com as camadas inferiores.

Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.


SEGURANÇA DE REDES DE COMPUTADORES | UIA 1 | 14

Fonte: http://tinyurl.com/gt8fjxs

Portanto, a camada de transporte é responsável por criar um canal de comunicação entre duas
aplicações. Esse canal pode ser confiável ou não, dependendo do protocolo usado. A camada de
transporte do TCP/IP possui dois protocolos: TCP e UDP. No momento da programação da aplicação,
deve ser informado o protocolo a ser usado de acordo com a necessidade.

Protocolo TCP
O TCP, que significa Transmission Control Protocol - Protocolo de Controle de Transmissão, é um dos
principais protocolos existentes na camada de transporte do modelo TCP/IP. Com ele é possível, a nível
das aplicações, gerir os dados em com destino a ou oriundos da camada inferior do modelo através do
protocolo IP. No momento em que os dados são fornecidos ao protocolo IP, este encapsula-os em
datagramas IP. O TCP é um protocolo orientado para a conexão, isto é, ele permite a duas máquinas que
se comunicam, controlarem o estado das suas transmissões.

O protocolo TCP possui como características principais: (i) o TCP entrega ordenadamente os datagramas
provenientes do protocolo IP; (ii) o TCP verifica a taxa de transmissão de dados para evitar uma saturação
da rede; (iii) o TCP formata os dados em segmentos de comprimento variável para "entregá-los" ao
protocolo IP; (iv) o TCP permite o juntar dados múltiplos processos (multiplexação), quer dizer, faz
circular, simultaneamente, as informações que proveem de fontes distintas (diversas aplicações, por
exemplo) numa mesma linha.
Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.
SEGURANÇA DE REDES DE COMPUTADORES | UIA 1 | 15

Cabeçalho TCP
No TCP o cabeçalho do segmento tem um formato inicial fixo de 20 bytes, seguidos ou não por opções
de cabeçalho. Após as opções pode haver até 65.495 bytes de dados. Podem haver segmentos sem
quaisquer dados e que são usados apenas para confirmações e mensagens de controle.
Na figura a seguir temos o cabeçalho TCP

Figura 5. Análise de tráfego TCP/IP. Fonte: http://tinyurl.com/gwpdc98

•   Porta de Origem e Porta de Destino à Portas TCP definidas para programas aplicativos. Uma
porta e o endereço IP de seu host formam um único ponto terminal de 48 bits, que vai
identificar a conexão;
o   Portas de 0 a 1023: reservadas para aplicações de domínio público (well known ports =
portas bem conhecidas);
o   Portas de 1024 a 49151: reservadas para aplicações comerciais registradas;
o   Portas de 49152 a 65535: portas dinâmicas ou privadas.
•   Número de sequência à Corresponde à sequência do segmento anteriormente transmitido,
somado ao nº de bytes transmitidos;
•   Número de confirmação à Corresponde à sequência do segmento que está sendo confirmado,
somado ao nº de bytes recebidos;
•   Offset de dados à Tamanho do cabeçalho do TCP (termina onde os dados começam);
•   Reservadoà Sem utilização;
•   URG (Urgent) à Indicativo de envio de dados urgentes;
•   ACK (Acknowledgement) à Confirmação dos dados enviados anteriormente;
•   PSH (Push) à Envia rapidamente os dados depois que lê o segmento;
•   RST (Reset) à Reset de conexão;
•   SYN (Synchronous) à Inicia uma conexão;
•   FIN (Finnal) à Finaliza uma conexão;
•   Janela à Indica os buffers (memória) disponíveis no receptor, para controle de fluxo;
•   Soma de verificação à Inclui o cabeçalho TCP, os dados e um pseudo-cabeçalho para permitir a
máxima confiabilidade;
•   Indicação de urgência à indica, a partir do número de sequência atual, a quantos bytes se
encontram os dados urgentes;
•   Opções à Para recursos não previstos originalmente.
Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.
SEGURANÇA DE REDES DE COMPUTADORES | UIA 1 | 16

Three-way Handshake (aperto de mão em três vias)


Antes de começar a transmitir as informações, o protocolo TCP cria e estabelece uma comunicação entre
os computadores, através de um processo conhecido como three-way-handshake. Ao concluir a
transmissão das informações, a conexão é encerrada pelo mesmo processo.
Para transmissão dos dados, o pacote TCP é dividido em segmentos menores que são numerados e
enviados ao destino. O receptor, recebe e recompõe o pacote original, reordenando os segmentos que
chagaram fora de ordem e/ou solicitando o envio de segmentos que não chegaram.
Cada segmento é verificado por meio de um “checksum” para que não tenha sofrido interferência no
meio do caminho por parte do meio físico.
Mecanismo para estabelecer a conexão TCP:

•   O host que inicia a conexão envia um segmento com o flag SYN ativado (no campo flags do
cabeçalho TCP);

•   O host destino, ao receber o segmento, envio outro segmento com os flags SYN e ACK ativados,
um número de sequência que identifica o próximo segmento que o host enviará e o próximo
número de sequência que este host espera receber;

•   O host que iniciou a conexão, envio um último segmento com o flag ACK ativado, o numero de
sequência que o outro host espera e o próximo número de sequência que espera receber.
As figuras a seguir ilustram este processo:

Fonte: http://tinyurl.com/z9upja4

Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.


SEGURANÇA DE REDES DE COMPUTADORES | UIA 1 | 17

Fonte: http://tinyurl.com/hu44dql

Fonte: http://tinyurl.com/gw3mmz2

Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.


SEGURANÇA DE REDES DE COMPUTADORES | UIA 1 | 18

Protocolo UDP
UDP (User Datagram Protocol) assim como o TCP também se baseia no envio de pacotes de informações,
porém remove toda a parte de verificação de erros existente no protocolo TCP. O objetivo é acelerar o
processo de envio de dados, já que todas as etapas de verificação da integridade de um pacote (e para
retransmitir, se for o caso) acabam por deixá-lo mais lento n09-=90este processo.
Na utilização do protocolo UDP, ele envia informações a um destinatário, sem se preocupar se elas foram
recebidas corretamente — em caso de erros, simplesmente ocorre o envio do próximo pacote
programado pelo sistema, e os anteriores não podem ser recuperados. Embora essa forma de
funcionamento aumente as chances de ocorrência de erros, ele permite garantir uma comunicação
rápida entre dois computadores.
Protocolo UDP, por estas suas característica, é bastante empregado em situações nas quais a correção de
erros não é relevante. Por exemplo, em uma transmissão de um vídeo ao vivo, é mais interessante que se
percam alguns trechos ou tenhamos que lidar com distorções de imagem e áudio do que ficar
aguardando o recebimento de um pacote que se perdeu — o que com certeza acabaria com o fator
“tempo real”.

Aprenda mais sobre TCP e UDP assistindo aos vídeos a seguir.


http://tinyurl.com/zk3lmhe
http://tinyurl.com/hws6wfh

CAMADA DE APLICAÇÃO
É a camada responsável por fornecer serviços para as aplicações separando a existência de comunicação
em rede entre os processos de diferentes computadores. De modo geral o objetivo da camada de
aplicação é fazer a comunicação entre a rede e os aplicativos instalados no computador. Toda e qualquer
comunicação via rede que a máquina necessitar fazer, deve ser primeiramente realizada por esta camada.
As camadas situadas abaixo da camada de aplicação têm a função de oferecer um serviço de transporte
confiável mas, na realidade, para o usuário elas não executam qualquer tarefa. Porém, mesmo na camada
de aplicação existe a necessidade de protocolos de suporte, para que que as aplicações funcionem..
Na camada de aplicação estão presentes os protocolos de nível mais alto (TELNET, FTP, SMTP, DNS, HTTP,
RTP, SSH, POP3, IMAP entre outros.).

Fonte: http://tinyurl.com/jxljot3

Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.


SEGURANÇA DE REDES DE COMPUTADORES | UIA 1 | 19

TELNET
É um protocolo cliente servidor que caiu em desuso por problemas de segurança. Era usado para a
comunicação entre computadores ligados numa rede com a finalidade de efetuar login e acesso
remotos. Foi substituído pelo SSH cujo conteúdo é criptografado antes de ser enviado.

FTP
O FTP, File Transfer Protocol, em português Protocolo de Transferência de Arquivos, é o protocolo que
trabalha com a transferência de arquivos. A partir de uma conexão autenticada com um usuário e um
servidor, a transferência é feita entre um servidor e um cliente.

SMTP
O SMTP (Simple Mail Transfer Protocol ou “Protocolo de transferência de correio simples”) é o protocolo
padrão para o envio de e-mail através da internet, e é instalado como parte dos serviços de e-mail junto o
serviço POP3.
O SMTP controla como o e-mail é transportado e entregue através da Internet ao servidor de destino. O
serviço SMTP envia e recebe e-mails entre os servidores.
O SMTP é um protocolo que faz apenas o envio de e-mails, desta forma o usuário não tem permissão para
baixar as mensagens do servidor, para isto é necessário utilizar um cliente de e-mail que suporte os
protocolos POP3 ou IMAP.

DNS
DNS é a sigla para Domain Name System ou Sistema de Nomes de Domínios. É uma base de dados
hierárquica, distribuída para a resolução de nomes de domínios em endereços IP e vice-versa.
Os servidores DNS são os responsáveis por localizar e traduzir para números IP os endereços dos sites que
são digitados nos navegadores.
O DNS opera principalmente através de duas funções: examinar e atualizar bancos de dados e resolver
nomes de domínios em endereços de rede.

Quando você visita um website através do seu navegador ou quando é


enviado um e-mail, a internet precisa saber em qual servidor o site e o
e-mail estão armazenados para poder responder à sua solicitação. Esta
informação sobre a localização destes servidores está em um servidor
chamado DNS (Domain Name Server).
Assista ao vídeo a seguir para saber mais. Confira!
http://tinyurl.com/jcruagy

HTTP
HTTP ( HyperText Transfer Protocol ou Protocolo de Transferência de Hipertexto), é um protocolo da
camada de Aplicação do modelo TCP/IP utilizado para transferência de dados na rede mundial de
Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.
SEGURANÇA DE REDES DE COMPUTADORES | UIA 1 | 20

computadores, a World Wide Web e que também transfere dados de hiper-mídia (imagens, sons e
textos).
O HTTP atua como um protocolo do tipo de requisição-resposta no modelo computacional cliente-servidor. A
partir de um navegador web, por exemplo, como o cliente e uma aplicação em um computador que hospeda
um site da web pode ser o servidor. O cliente submete uma mensagem de requisição HTTP para o servidor e
este, é que fornece os recursos, como arquivos HTML e outros, ou ainda realiza outras funções de interesse do
cliente, retornando uma resposta ao cliente. As respostas podem conter informações completas sobre a
requisição e também o conteúdo solicitado no corpo da mensagem.

RTP
RTP (Real Time Transport Protocol ou Protocolo de Transporte em Tempo Real) é um protocolo utilizado
para o transporte de mídias como áudio, vídeo ou dados de uma simulação, contínuas, de tempo real em
uma conexão ponto a ponto ou utilizando um endereço IP da faixa reservada para grupos multicast
(transmissão multidestinatária). É um formato padrão para o envio de áudio e vídeo pela Internet.

Fonte: http://tinyurl.com/h3p2l4b
SSH
O SSH (Secure SHell) é ao mesmo tempo um protocolo e uma aplicação para acesso remoto através de
um pacote de programas com a finalidade de aumentar a segurança de um sistema de redes.
Basicamente é um substituto mais seguro para os programas "remotos" - rsh, rlogin, rcp. Além de ser uma
alternativa excelente para o TELNET.
O SSH se propõe a solucionar o problema da escuta na rede realizando uma transferência de dados
criptografada e com um protocolo de autenticação muito mais seguro.

Fonte: http://tinyurl.com/jgmacs8

Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.


SEGURANÇA DE REDES DE COMPUTADORES | UIA 1 | 21

POP3
O protocolo POP (Post Office Protocol , que se pode traduzir por "protocolo de posto dos correios") é um
padrão da Internet para e-mail, que permite ao seu programa cliente de e-mail acessar às contas de e-
mail através da internet. O protocolo POP3 controla a conexão entre um cliente de e-mail POP3 e um
servidor onde o e-mail fica armazenado, transferindo as mensagens e removendo-as do servidor. Deste
modo, os e-mails deixam de estar disponíveis através do webmail ou programa de e-mail.

IMAP
O protocolo IMAP (Internet Message Access Protocol) permite o acesso de vários clientes à mesma caixa
de correio, mantendo as mensagens de e-mail disponíveis no servidor para mais tarde serem acessíveis
também através do webmail. É um protocolo alternativo POP3 e que oferece mais possibilidades tais
como: permitir administrar vários acessos simultâneos, permitir administrar várias caixas de correio e
filtrar o correio de acordo com mais critérios.

Fonte: http://tinyurl.com/gthssaj

Saiba mais sobre os protocolos da camada de aplicação assistindo o


vídeo a seguir.
http://tinyurl.com/zv75y5g

Aula 2 |  VULNERABILIDADES NO TCP/IP

2.1.  SEGURANÇA NA ARQUITETURA TCP/IP


Após estudarmos as principais características do conjunto de protocolos
TCP/IP vamos agora descrever alguns dos principais problemas clássicos. Assim a partir do nosso
conhecimento das camadas que integram este conjunto de protocolos vamos conhecer suas principais
vulnerabilidades e problemas tais como SYN floods, IP spoofing, sequestro de conexão TCP, PIng da
morte, entre outros.

Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.


SEGURANÇA DE REDES DE COMPUTADORES | UIA 1 | 22

2.1.1.  AMEAÇAS NO CONJUNTO TCP/IP A PARTIR DAS SUAS CAMADAS


O conjunto de protocolos TCP/IP, mesmo amplamente utilizado, não é perfeito. Existem falhas
conhecidas no projeto do protocolo e também na implementação em alguns sistemas específicos. Essas
falhas são frequentemente exploradas por usuários mal intencionados na exploração das falhas de
projeto, uma vez que não são facilmente resolvidas.
Para relembrar, ameaça é qualquer ação, acontecimento ou entidade que pode atuar/intervir/agir sobre
um ativo, processo ou pessoa, através da exploração de vulnerabilidade/fraqueza e tendo como
consequência um determinado impacto sobre o ativo e a organização. As ameaças sempre existem, mas
só se concretizam se houver uma vulnerabilidade para explora-la, sozinhas pouco fazem.
Assim vamos ver as ameaças que existem em cada uma das quatro camadas do modelo TCP/IP.

CAMADA DE ENLACE E FÍSICA


Esta camada especifica as propriedades da rede, tais como níveis de voltagem, tipos e tamanhos de cabos,
conectores, frequência; Faz acesso ao meio e garante a transferência confiável através do meio físico.
Nesta camada TCP/IP podemos citar algumas ameaças conhecidas:

•   Vandalismo – por meio de acesso aos cabos de redes e de força, aceso aos disjuntores, acesso
aos equipamentos e racks distribuídos no prédio;
•   A manutenção da rede elétrica pode interferir na rede e também os picos de energia podem
afetar os serviços;
•   Nas redes sem fio podem surgir interferências a partir de dispositivos tais como forno de
microondas, podem causar negação de serviço;
•   Possibilidade de captura do sinal e captura de pacotes;

CAMADA DE INTER-REDE
A finalidade desta camada é encaminhar, rotear, os dados através das várias redes até a entrega no seu
destino final. Como ameaças principais temos as seguintes:

•   Nos roteadores: uso de senhas fracas ou padrão dos fabricantes pelos administradores e
também problemas no software permitem estouro de buffer permitindo a um atacante
executar código arbitrário;
•   Firewalls mal configurados
•   Protcolo IP (Internet Protocol): não oferece confidencialidade, pacotes podem ser lidos na rede
pública, ataques de IP falso, ping da morte;
•   Vulnerabilidades nos protocolos de roteamento BGP e OSPF.

A CAMADA DE TRANSPORTE
A função desta camada TCP/IP é prover o controle de fluxo, organizar o sequenciamento de pacotes,
realizar o controle de congestionamento e a retransmissão de pacotes perdidos pela camada de rede (TCP).
Destacamos como ameaças as seguintes:
•   As aplicações que rodam os protocolos TCP e UDP são alvo de ferramentas que varrem as portas
fazendo assim um mapeamento da rede, identificando os serviços que porventura estejam rodando.
•   Negação de serviço, tornando os recursos de um sistema indisponíveis para os seus utilizadores.
Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.
SEGURANÇA DE REDES DE COMPUTADORES | UIA 1 | 23

A CAMADA DE APLICAÇÃO
Esta camada trabalha com os protocolos de alto nível e as aplicações.
Existem nesta camada as seguintes principais ameças:

•   Programas instalados nos navegadores para permitir a utilização de recursos não presentes na
linguagem HTML, na qual são criadas as páginas, conhecidos como plug-ins, tais como ActiveX,
Applets Java, entre outros;
•   As senhas enviadas sem criptografia;
•   Vírus (programas malignos que se replicam), Worms (vírus autoreplicáveis) e Trojans (programa
maligno disfarçado de benigno);
•   Erros de software que permitem a existência de vulnerabilidade
•   Muitos serviços rodam com privilégios não necessários;
•   Vulnerabilidades existentes na implementação de protocolos como SNMP, SSH, FTP, entre
outros;
•   Falha na configuração de serviços (FTP, HTTP, entre outros)

2.1.2.  AMEAÇAS E VULNERABILIDADES CONHECIDAS


A seguir descrevemos as principais ameaças e vulnerabilidades conhecidas e que permitirá o
entendimento sobre os principais problemas de segurança no modelo TCP/IP.

SNIFFERS (FAREJADORES)
Farejadores, sniffers em inglês, são aplicativos que conseguem capturar todo o tráfego que passa em um
segmento de uma rede. Podemos comparar um sniffer a um grampo telefônico; a diferença é que, no
caso do sniffer, existe a possibilidade de “escutar” diversas conversas ao mesmo tempo, monitorando
toda atividade da rede sempre que estes acessam outros computadores da rede.
É claro que as informações capturadas tanto podem ser usadas para o bem como para o mal. Ao
utilizarmos placas de rede Ethernet em modo promíscuo, é possível capturar tráfego com destino a
outras máquinas da rede.
Como uso benigno temos, análise de tráfego, diagnóstico de problemas e base para IDS. Pelo lado do uso
maligno são quebra de confidencialidade e captura de senhas. Um hub é um alvo muito fácil para a ação
de um sniffer.
Identificar e detectar um sniffer em uma rede é tarefa difícil e trabalhosa. O sniffer não necessita ser um
equipamento independente: pode ser um microcomputador (servidor, desktop ou notebook),
configurado para atuar como sniffer. Em sistemas baseados em Unix, somente o administrador (root)
consegue colocar a placa de rede em modo promíscuo. Colocar
uma placa de rede em modo promíscuo muda seu funcionamento, fazendo com que a placa de rede
tenha acesso a todo o tráfego de rede que está passando pelo segmento, e não somente ao tráfego
direcionado a esse equipamento. Nos equipamentos com sistema Linux, o comando ifconfig pode
auxiliar na detecção de placas de rede em modo promíscuo.

Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.


SEGURANÇA DE REDES DE COMPUTADORES | UIA 1 | 24

Fonte: http://tinyurl.com/zw372rq

Saiba mais sobre sniffers assistindo aos vídeos a seguir.


http://tinyurl.com/jp7kukq
http://tinyurl.com/hjuqqo5

SOURCE ROUTING (ROTEANDO PELA FONTE / ROTEAMENTO PELA ORIGEM)


O roteamento de origem, também chamado de caminho de endereçamento, permite que um remetente de
um pacote possa especificar parcial ou completamente a rota que o pacote deverá seguir através da rede.
Esta opção especial do pacote IP, facilita o spoofing, ou seja um ataque que consiste em mascarar (spoof)
pacotes IP utilizando endereços de remetentes falsificados, assim o invasor faz o datagrama passar por
uma rota específica.
Hoje, no ambiente da internet, não existem motivos legítimos que provocariam a necessidade de ditar o
caminho que o pacote deverá percorrer até chegar ao seu destino. Desde que o roteamento seja feito
apenas de ou para uma respectiva rede privada, deve-se atentar para o cuidado de não aceitar pacotes
no roteador de borda que instruam esse roteador a encaminhar pacotes para outra rede.

DOS (DENIAL OF SERVICE)


Os ataques DoS (Denial of Service) ou ataques de negação de serviço, são tentativas de fazer com que os
computadores - servidores Web, por exemplo - tenham dificuldade ou impedidos de realizar suas tarefas.
Ou seja, são feitos não com o objetivo de invadir o sistema, mas sim para torná-lo indisponível. Em vez de
"invadir" o computador ou ainda infectá-lo com arquivos de software malicioso, atacante faz com que a
máquina receba tantas requisições que ela chega ao ponto de não conseguir dar conta delas isto é, não
consegue processa-las. Resumindo, o computador fica tão sobrecarregado que nega serviço.

Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.


SEGURANÇA DE REDES DE COMPUTADORES | UIA 1 | 25

O preocupante neste ataque é que eles podem ser realizados contra qualquer
computador conectado à Internet. Neste tipo de ataque não precisamos que
serviços com vulnerabilidades de segurança estejam ativos.

Para exemplificar, é possível tornar indisponível um servidor web enviando um grande volume de
requisições, aparentemente válidas, para acesso às páginas hospedadas. No caso do servidor não possuir
nenhum tipo de filtro ou regra de firewall limitando o volume de páginas acessíveis a um único endereço,
o servidor tentará simplesmente atender a todas as requisições, o que saturará o canal de comunicação
ou consumirá todos os recursos do servidor, impedindo com que ele responda as requisições dos
usuários realmente válidos.
A negação de serviço (DoS - Denial of Service) é uma tentativa explícita de impedir o uso de serviço por
usuário legítimo. Seguem alguns exemplos: Inundação da rede, impedindo seu tráfego legítimo, quebra
de conexão entre duas máquinas, impedindo acesso ao serviço, indisponibilidade de serviço para uma
rede ou usuário.
Citamos como tipos de ataque que permitem o DoS:
•   SYNflood - O protocolo TCP é orientado a conexão: primeiro cliente e servidor se conectam e
somente após esta etapa é que os dados são trocados. Antes de qualquer envio de dados,
acontece a seguinte troca de pacotes entre cliente e servidor, o cliente envia uma solicitação de
conexão, possuindo o flag de SYN ligado e os demais desligados. Se o servidor quiser e puder
atender, devolve um pacote ao cliente ainda sem dados, com SYN e de ACK setados. Se o
cliente quiser manter a conexão, devolve ao servidor um terceiro pacote sem dados, apenas
com o flag de ACK ligado (SYN desligado). Somente após a terceira etapa é que os dados serão
trocados. Importante para entender a gravidade do ataque é saber que o servidor, ao receber o
primeiro pacote (SYN), se ele quiser atender (por exemplo: serviço HTTP, porta 80), precisa antes
de responder com o SYN/ACK, alocar recursos de hardware para atender esta nova conexão. E o
que acontece se uma máquina fizer o SYN (etapa 1), o servidor alocar recursos e responder com
o SYN/ACK (etapa 2) mas o cliente não completa o handshake e não realiza a última etapa? Os
recursos ficam alocados. O servidor fica esperando o ACK do cliente. Neste momento começa a
inundação de SYN (SYN Flood) com o atacante gerando tantos SYN’s quanto a máquina puder
gerar e não responde nenhum deles. O servidor vai alocando recursos para cada um, como se
fossem requisições legítimas. Estes recursos somente são desalocados quando encerar o tempo.
Os pacotes SYN são gerados muito mais rapidamente do que o servidor tem capacidade de
tratar. Cedo ou tarde estes recursos se esgotarão e a partir dai o servidor não terá condições de
atender as requisições legitimas e de usuários legítimos.

Figura 6. SYNFlood. Fonte: http://tinyurl.com/hbrtfe2

Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.


SEGURANÇA DE REDES DE COMPUTADORES | UIA 1 | 26

Entenda mais sobre o SynFlood assistindo ao vídeo a seguir.


http://tinyurl.com/h4t7kdp

•   Ataque de DoS Smurf - Ping é uma ferramenta de software presente nos sistemas operacionais
e usada na verificação se um computador específico está acessível. Quando ele é executado, o
ping envia um pacote de solicitação de eco do ICMP que é enviado ao computador destinatário.
No destino, ao receber o pacote do TCP, o computador responde confirmando a solicitação de
ping. No ataque de negação de serviços Smurf, o endereço IP de retorno do pacote ping é
falsificado, forjado, com o IP do computador de destino e o ping é enviado ao endereço IP de
broadcast. Isto fará com que cada um dos computadores respondam aos falsos pacotes de ping
e enviem uma resposta ao computador de destino, inundando-o, e deixando-o fora de serviço
pois ele não conseguira processar os pacotes. Uma forma possível de reduzir a possibilidade de
ocorrência deste ataque é através da desativação do broadcast dirigido a IP, pois normalmente
não é usado nem necessário. Existem sistemas operacionais já configurados para impedir
respostas aos pacotes de ICMP.
É difícil falar em prevenção desse tipo de ataque, pois a maioria das ocorrências vistas atualmente
exploram o consumo de recursos, como link de internet ou CPU do servidor. Algumas medidas que
podem ser adotadas para a prevenção são: a implementação de filtros em roteadores e firewalls;
monitoramento constante do espaço em disco, consumo de CPU, memória e tráfego de rede, manter
máquinas e configurações de rede redundantes e tolerantes a falhas, Manter agendamento de backup
regularmente, desabilitar qualquer serviço de rede desnecessário ou que não seja usado.

Figura 7. Ataque DoS Smurf. Fonte: http://tinyurl.com/jnbt9z6

Aprenda mais sobre DoS assistindo aos vídeos a seguir.


http://tinyurl.com/gnmk65n
http://tinyurl.com/h5sv6vt

Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.


SEGURANÇA DE REDES DE COMPUTADORES | UIA 1 | 27

SPOOFING
É qualquer procedimento que envolva personificação de usuários ou
máquinas, incluindo endereços IP e consultas em servidores de nomes. São
usados para obter acesso não autorizado ou para esconder tentativas de
ataque. É uma técnica usada por um invasor para ganhar o acesso não
autorizado pela rede a um sistema de computador ou rede, falsificando
credenciais conhecidas da rede. A falsificação de IP é um método comum
usado por invasores para ganhar acesso não autorizado a um sistema de
computador ou à rede.
Existem diversas formas de enganar tais como, com IP burlando mecanismos de autenticação, com o DNS
através se um domínio apontando para endereço falso, na Web com uma página falsa de serviços
legítimos, através de e-mail com uma mensagem falsa, entre muitas outras.
Veremos a seguir alguns tipos de ataques com uso do Spoofing:
•   E-mail spoofing – Segundo o CERT.BR, ‘Falsificação de e-mail, ou e-mail spoofing, é uma técnica
que consiste em alterar campos do cabeçalho de um e-mail, de forma a aparentar que ele foi
enviado de uma determinada origem quando, na verdade, foi enviado de outra’’. Neste caso o
invasor forja o remetente da mensagem de tal forma que para o usuário parece verdadeiro. O
servidor de correio (SMTP) envia mensagem, sem verificar a identidade do remetente. O Spam
que consiste em correio eletrônico não solicitado, associado a correntes e malas diretas de
propaganda, é uma forma usual de “e-mail spoofing”. Outros exemplos de uso são os ataques
de engenharia social para a solicitação ao usuário legítimo de acesso a site suspeito ou ainda de
solicitar ao usuário legítimo o envio da sua senha para um endereço determinado. Como
mecanismos de prevenção podemos ter: evitar usar o servidor para processar um e-mail
quando o remetente não é usuário do servidor em questão (servidor open relay), verificar o
domínio do servidor do remetente, usar autenticação segura para SMTP e POP3, usar servidor
antispam, reforçar a configuração do servidor de correio e, a mais importante, conscientização
dos usuários.

•   IP spoofing - O IP spoofing consiste na troca do IP original por um outro, podendo assim se


passar por um outro computador. Através do uso de IP Spoofing um atacante pode se
aproveitar por exemplo, de hosts confiáveis armazenados no arquivo .rhosts, e entrar em outros
computadores através de um comando em sistemas operacionais UNIX e Linux e que serve para
logins remotos, chamado rlogin e no qual não é exigido senha.

Figura 7. Spoofing. Fonte: http://tinyurl.com/j36nd5e

Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.


SEGURANÇA DE REDES DE COMPUTADORES | UIA 1 | 28

•   DNS Spoofing – tipo de ataque ataque onde o atacante compromete um servidor de nomes
(Domain Name System). O servidor aceita e usa incorretamente a informação de um servidor
que não tem autoridade de fornecer esta informação. Por meio desta técnica, o atacante pode
direcionar o navegador ou e-mail da vítima para o seu próprio servidor para a partir dai capturar
informações, tais como senhas de cartões de crédito em sites de compras.

Fonte: http://tinyurl.com/j59fx2y

•   ARP Spoofing - O ataque ARP-Spoofing (também conhecido como ARP-Poisoning) é a forma


mais eficaz mais de executarmos o ataque conhecido como Man-In-The-Middle, que permite
que o atacante intercepte informações confidenciais colocando-se no meio de uma conexão
entre dois ou mais equipamentos. Esta técnica de ARP-Poisoning é aplicavel apenas em redes
padrão Ethernet. Para que seja possível este ataque é necessário que o ARP-Spoofing seja
realizado primeiro. O ataque ocorre quando o atacante, escutando a rede (Snnifer), intercepta
uma solicitação (broadcast) de um pacote ARP contendo o endereço IP do computador
desejado e espera uma resposta com seu endereço MAC e o atacante responde como seu
próprio endereço MAC. Ele faz o mesmo para o outro lado. A partir dai passamos a ter o
“homem do meio”, que pode capturar todo o tráfego para sua máquina ou até parar a rede.

Fonte: Adaptado de http://tinyurl.com/gwpdtma

Saiba mais sobre DNS Spoofing e Arp Spoofing assistindo aos vídeos a
seguir.
http://tinyurl.com/zzbs58r
http://tinyurl.com/jul48wy

Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.


SEGURANÇA DE REDES DE COMPUTADORES | UIA 1 | 29

Para conhecer mais sobre DoS leia os textos nos links a seguir:
‘’Tudo que você precisa saber sobre os ataques DDoS’’’
http://tinyurl.com/z6d9d6z
‘’Ataques Negação de Serviço: Denial-of-Service’’ -
http://tinyurl.com/jfmhzcc

DISTRIBUTED DENIAL OF SERVICE (DDOS)


O mal possui tem poder para organização – surge o ataque distribuído de negação de serviço. O
Distributed Denial of Service (DDoS) como é conhecido, é um ataque que tem como objetivo tornar
indisponível um servidor, uma aplicação, ou até toda a rede para os usuários, deixando-os fora de serviço
temporariamente ou suspendendo o acesso ao servidor.

Figura 8. Como funciona um Ataque DDoS. Fonte: http://tinyurl.com/zyn43u4

Diferente do ataque de DoS (Denial of Service), que é realizado por apenas um computador e uma
conexão de Internet, os ataques DDoS utilizam muitos computadores e diversas conexões, que
normalmente são distribuídas ao redor do mundo e fazem parte de uma rede de computadores que são
chamados de zumbis, também conhecidas como botnet. Botnet são redes de máquinas infectadas com
algum programa malicioso que faz com que um atacante remoto seja capaz de ter controle total sobre
essas máquinas. Elas se conectam automaticamente
a uma rede de “Redes de conversação on-line” (Internet Relay Chat – IRC) por um servidor IRC
comprometido. Esse servidor normalmente é chamado de Command and Control Server (C&C).
Conectando-se nesse servidor, o atacante pode enviar um comando para todas as máquinas que estão
naquele canal do servidor, comandando um ataque DDoS contra uma vítima.
DDoS é um ataque coordenado com múltiplas origens atacando, difícil de executar. Possui as seguintes
características: IP spoofing difícil de rastrear, faz uso de largura de banda intensiva, combina diversos
tipos de ataques tais como SYN fl ood, UDP fl ood, ICMP fl ood, smurf e fraggle.

Para entender como ocorre o ataque vá até o site da Verisign e leia o


texto através do link a seguir.
http://tinyurl.com/jt7hg6l

Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.


SEGURANÇA DE REDES DE COMPUTADORES | UIA 1 | 30

Como medidas de prevenção para tentarmos evitar o DDoS temos as seguintes: link de internet com
adicional de largura de banda, disponibilizado para operação normal, ou a pedido para o provedor;
tráfego separado: um provedor para acesso da internet aos servidores públicos e outro provedor para
acesso da rede interna à internet; implementar filtros de tráfegos maliciosos; implementar endereços
privados para entrada e saída no firewall (interface externa); considerar que tráfego com endereço de
origem ou de destino, como broadcast, provavelmente é malicioso (quarto octeto igual a 0 ou 255);
evitar que endereços de loopback trafeguem na rede; filtrar tráfego utilizando regras antispoofing;
implementar política rigorosa de antimalware; entre outras.

Assista ao vídeo no link a seguir.


http://tinyurl.com/ja3ezqp

DRDOS

Fonte: http://tinyurl.com/zzcwf8c

O ataque por negação de serviço distribuída e reflectiva necessita um numero menor máquinas para uma
maior capacidade de ação. São enviadas inúmeras requisições maliciosas, onde pacotes malformados
indicam que as requisições partem da própria vitima (spoofing). Os servidores respondem então para a
vítima, SYN/ACK -- e com total coordenação dos floods aos servidores de ataque, o servidor vítima é
inundado por links de grandes capacidades. Este tipo de ataque é muito difícil ser detectado e fazer sua
defesa. É um ataque refletido.
Não existem ainda soluções definitivas e a melhor solução é bloquear qualquer pacote do tipo SYN/ACK nas
portas 1 até 1023, bloqueando, desta forma, os pacotes do tipo reflectido. Esta é porém uma opção
arriscada, pois ao bloquear algumas portas, os visitantes do seu site poderão ter problemas para acessá-lo.
O melhor solução é a prevenção. Tenha um firewall, tanto para proteger o site contra um ataque quanto
para não ter seus servidores capturados como zumbi. Para isso, o firewall deve ser configurada pelo
administrador, para bloquear endereços que enviem muitas requisições ao servidor. Uma boa opção é o
uso de scripts na implementação do firewall.

Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.


SEGURANÇA DE REDES DE COMPUTADORES | UIA 1 | 31

Para entender melhor, assista ao vídeo, em inglês mas de fácil


entendimento, no link a seguir.
http://tinyurl.com/jsm6yep

Saiba um pouco mais lendo a reportagem “DDoS cresce em volume e


frequência” no link a seguir.
http://tinyurl.com/jkddjyu

Aula 3 |  PROJETO DE ESTRUTURAS DE SEGURANÇA

3.1.  INTRODUÇÃO
Conhecidas algumas formas de ataque e vulnerabilidades as quais as redes e seus ativos, equipamentos,
estão sujeitas é importante iniciar o planejamento de como mitigar este risco que nos rondam
diariamente nas nossas atividades nas áreas de tecnologia e redes.

3.1.1.  ESTRUTURAS DE SEGURANÇA


ESTRUTURAS NECESSÁRIAS
Segundo o Dicionário Aurélio, estrutura é o ‘’modo como as diferentes partes de um todo estão dispostas
e o que permite que uma construção se sustente e se mantenha sólida”. Por analogia, quando pensamos
e falamos de estruturas de segurança estamos falando das diferentes partes que entrarão no seu
planejamento para comporem um todo de segurança de redes, que possua sustentação e que mantenha
a nossa rede sólida.

•   Estruturas Necessárias
•   Aaaaa

•   Aaaaaa

3.1.2.  PRINCÍPIOS DE SEGURANÇA


•   Nada e nenhum tipo de informação é mais importante que a vida humana. Este é o princípio
essencial de segurança. E quando falamos de segurança de redes.

•   Menor privilégio (least privilege): Princípio fundamental. Define que cada objeto (usuário,
administrador, programa etc.) deve possuir apenas o mínimo de privilégio.
•   Defesa em profundidade (defense in depth): Não se deve confiar em um único mecanismo de
segurança; deve-se sempre utilizar defesas redundantes.

Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.


SEGURANÇA DE REDES DE COMPUTADORES | UIA 1 | 32

Figura 9. Defesa em profundidade. Fonte: Adaptado de http://tinyurl.com/gnf5gua

Assista ao vídeo a seguir para aprender mais.


http://tinyurl.com/zp3jpoy

•   Gargalo/Estrangulamento (choke point): Obriga intrusos a usar um canal estreito que pode ser
monitorado e controlado.

Fonte: Adaptado de http://tinyurl.com/j5y8792

•   Menor privilégio: por exemplo, ao criar um usuário de correio eletrônico em um sistema


operacional, o administrador deve fazê-lo com os menores privilégios possíveis, não lhe
permitindo, por exemplo, acesso via shell para o servidor.

•   Defesa em profundidade: ao se conectar a rede de uma instituição à internet, por exemplo,


deve-se obrigatoriamente usar um firewall institucional. Ao mesmo tempo, deve-se ativar o
firewall em cada estação de cliente da rede interna.

•   Gargalo: ao se conectar a rede de uma instituição à internet, deve-se obrigatoriamente usar um


firewall, o único canal de conexão, sempre monitorado e controlado.

•   Ponto mais fraco: o ponto mais fraco de uma rede é sempre o ser humano. Cuidado com
ataques de engenharia social.

Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.


SEGURANÇA DE REDES DE COMPUTADORES | UIA 1 | 33

•   Falha Segura (fail-secure): Quando o sistema de segurança falha, deve falhar de tal forma que
bloqueie só acessos. Por exemplo, em uma configuração de Falha Segura, caso ocorra uma falha
elétrica, as portas ficarão bloqueadas por padrão.

•   Falha Protegida (fail-safe): Quando o sistema de segurança falha, deve falhar de tal forma que
libere os acessos. Em uma configuração de Falha Protegida, por exemplo, caso ocorra uma falha
elétrica, as portas ficarão abertas por padrão.

•   Participação universal (universal participation): O sistema de segurança deve envolver todos os


objetos (pessoas). Por exemplo, dentro de uma instituição, quais funcionários estão submetidos
à política de segurança? Todos, pois a participação na política é universal.

•   Diversidade de defesa (diversity of defense): Não é um princípio geral. Afirma que o uso de
sistemas diferentes torna o sistema (como um todo) mais seguro. Esse princípio é polêmico. Por
exemplo: para vários servidores poderíamos usar diversos sistemas operacionais, o que
aumentaria enormemente o custo administrativo. Mas, para os mesmos servidores, é
importante que todos tenham diferentes senhas de root. Outro exemplo seria ter um servidor
de antivírus institucional diferente do programa de antivírus nas estações dos clientes da rede.

•   Simplicidade: a segurança habita em meio à simplicidade. As coisas simples são fáceis de


entender. O entendimento é fundamental para conhecer o nível de segurança. Exemplo: o
programa servidor de correio sendmail é complexo; isso talvez seja a principal razão de ele ter
se tornado tão inseguro. Outros programas fáceis de usar e programar, como o servidor de
correio postfix, são considerados muito mais seguros (vale notar que existem diversos outros
motivos para um programa/software/sistema ser considerado inseguro.)

Para pensar
A maioria dos termos que utilizados em segurança da informação foi herdada da língua
inglesa. Assim, algumas traduções não ficam muito claras na língua portuguesa. É o
exemplo das palavras “safe” e “secure”. Em uma tradução livre, poderíamos dizer que as
duas palavras significam segurança. Porém, “safe” está relacionada à segurança no intuito
de proteção de pessoas. E “security” refere-se a medidas contra coisas inesperadas ou
perigosas.

3.1.3.  SEGURANÇA FÍSICA


A segurança física abrange todo o ambiente onde os sistemas de informação estão instalados, incluindo
o prédio, portas de acesso, trancas, pisos, salas e os próprios computadores. Incorpora ainda as áreas da
engenharia civil e elétrica.
A norma NBR ISO/IEC 27002:2013 divide a área da segurança física com a seguinte estrutura:

ÁREAS DE SEGURANÇA
Tem como objetivo prevenir o acesso não autorizado, dano e interferência às informações e instalações
físicas da organização. É composta pelos seguintes itens:
•   Perímetro da segurança física.

Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.


SEGURANÇA DE REDES DE COMPUTADORES | UIA 1 | 34

Fonte: Adaptado de http://tinyurl.com/jj2uale


•   Controles de entrada física.
•   Segurança em escritórios, salas e instalações de processamento.
•   Trabalho em áreas de segurança.
•   Isolamento das áreas de expedição e carga.

SEGURANÇA DOS EQUIPAMENTOS


Tem como objetivo a prevenção de perda, dano ou
comprometimento dos ativos, e a interrupção das atividades do
negócio. É composta pelas seguintes atividades:

•   Instalação e proteção de equipamentos.

•   Fornecimento de energia.

•   Segurança do cabeamento.

•   Manutenção de equipamentos.

•   Segurança de equipamentos fora das instalações.

•   Reutilização e alienação segura de equipamentos.

CONTROLES GERAIS
•   Política de mesa limpa e tela limpa.

•   Remoção de propriedade.

Para conhecer mais sobre controles gerais, assista ao vídeo a seguir.


http://tinyurl.com/hgjattr

Todos estes controles fazem parte da norma NBR ISO/IEC 27002:2013 e


já foram vistos em detalhes durante o nosso curso, nos semestres
anteriores. Assista ao vídeo a seguir para relembrar e confira!
http://tinyurl.com/j6pfhlc

Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.


SEGURANÇA DE REDES DE COMPUTADORES | UIA 1 | 35

3.1.4.  SEGURANÇA DOS EQUIPAMENTOS DE REDES – RECOMENDAÇÕES/BOAS PRÁTICAS


•   Os equipamentos de rede e servidores devem estar em uma sala segura.
•   Os equipamentos devem ser protegidos contra acessos indevidos no seu console, através de
periféricos como teclado, mouse e monitor.
•   Os equipamentos devem ser protegidos contra acessos indevidos ao interior da máquina
•   Colocar senha na BIOS para impedir que terceiros tenham acesso e mudem a configuração de
inicialização;
•   Configuração de inicialização apenas pelo disco rígido, para impedir acessos por pen-drives ou
CD-ROMs;
•   Proteger o console com senha;
•   Não dar acesso de superusuário (root ou administrador) via console;
•   Usar trava na traseira do gabinete: cadeado, etiqueta de papel e trava plástica.

3.1.5.  REDUNDÂNCIA
Quando falamos de equipamento, o problema mais comum de segurança é a falha de hardware. E para
isso o mecanismo mais importante para tolerar falhas é a redundância. A redundância cria alta
disponibilidade, mantendo o funcionamento em caso de falhas de componentes ou sobrecargas. Assim
podemos ter como boas praticas:

•   Redundância de interface de rede.


•   Redundância de CPUs.
•   Redundância de discos (Raid).
•   Redundância de fontes de alimentação interna.
•   Redundância de servidores, entre outros.

Figura 9. Redundância de discos (RAID). Fonte: Adaptado de http://tinyurl.com/hmvctdn

Raid é a sigla de Redundant Array of Inexpensive (Independent) Disks, conjunto redundante de discos
independentes ou de baixo custo. É implementado por:

•   Controladora física (hardware).

•   Através do Sistema Operacional (software).

Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.


SEGURANÇA DE REDES DE COMPUTADORES | UIA 1 | 36

Entenda mais sobre RAID nos sites a seguir.


http://tinyurl.com/jyu55h6
http://tinyurl.com/ycmqt8v

Aprenda mais assistindo aos vídeos a seguir.


http://tinyurl.com/jaear8r
http://tinyurl.com/gukuryn

Aula 4 |  FIREWALL

Um firewall pode ser definido como uma combinação de componentes (hardware, software e redes) com o
objetivo de proteger informações entre uma rede privada e a internet ou outras redes. É importante frisar
que um firewall não corresponde a uma “caixa preta”, que ligada a uma rede provê segurança instantânea.
Para ter um firewall eficiente, é preciso que ele seja configurado corretamente, possua bons recursos
implementados e esteja corretamente posicionado na rede em questão. Durante este capítulo e o próximo,
esses conceitos serão aprofundados. Em linhas gerais, um firewall possui os seguintes objetivos: restringir a
entrada de tráfego em um ponto único e controlado; impedir que atacantes consigam chegar em suas
defesas mais internas; restringir a saída de tráfego em um ponto único e controlado.

Figura 10. Firewall. Fonte: Adaptado de http://tinyurl.com/gsurnnw

Um firewall é uma barreira de proteção que possibilita o bloqueio do acesso de conteúdo indevido,
malicioso, mas ao mesmo tempo não impede que os dados que necessitam transitar continuem fluindo.
Um firewall é, em português, uma parede de fogo ou parede corta fogo. No computador, mais do que
isso, o firewall é o caminho que toda informação que trafega em uma rede precisa passar e ser analisada
antes de entrar ou sair na rede.
Na informática, os firewalls são aplicativos ou equipamentos que ficam entre o canal entrante de
comunicação e o computador, verificando e filtrando todo o fluxo de dados que entra e sai. Um firewall é
realmente uma solução de segurança que é baseada em hardware ou software, onde a partir de um
conjunto de regras ou instruções, analisa o tráfego de rede para determinar quais operações de
transmissão ou recepção de dados podem ser realizadas. O seu objetivo consiste em bloquear tráfego de
dados indesejado e liberar acessos desejados os solicitados..
Um firewall atua como defesa para um computador local contra todo tipo de vírus, worms, cavalos de
tróia ou ataques do tipo força bruta. Ele pode trabalhar sob a forma de um software, como um programa
Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.
SEGURANÇA DE REDES DE COMPUTADORES | UIA 1 | 37

de segurança, ou ainda por hardware, em um equipamento como um roteador, mas ambos fazem a
mesma função: verificação do tráfego da rede de entrada para analisar e verificar se ele contém dados
prejudiciais. Os firewalls interceptam e verificam todos os pacotes de dados para garantir que esses
pacotes não contenham nada malicioso.

Aprenda mais sobre Firewall assistindo aos vídeos a seguir.


http://tinyurl.com/gr968c5
http://tinyurl.com/jkdxqqb

4.1.  ESTRUTURAS DE SEGURANÇA


4.1.1.  APRESENTANDO O FIREWALL
CONCEITOS
Um firewall consiste em uma técnica de segurança de redes bastante efetiva. O seu nome vem das portas
corta-fogo (firewalls) utilizadas em edifícios para conter o fogo de um possível incêndio, de modo que ele não
se espalhe para o resto do prédio. Pode ser definido como um componente ou conjunto de componentes
que restringem acesso entre uma rede protegida e a internet, ou entre outros conjuntos de redes.
Podemos pensar num firewall como uma forma de limitar a exposição da sua rede à internet, mantendo
suas funcionalidades para os usuários. O firewall serve a múltiplos propósitos: restringir a entrada de
tráfego em um ponto único e controlado; impedir que os atacantes consigam chegar em suas defesas
mais internas; restringir a saída de tráfego em um ponto único e controlado.
Quando falamos de estratégias de segurança, a respeito de ponto único e defesa em profundidade, não
podemos considerar um firewall simplesmente como uma “caixa preta” ou um “produto de prateleira”,
apesar do que pregam os vendedores de produtos de segurança.
Um firewall deve ser visto como uma combinação de componentes (hardware, software e redes) com o
objetivo de proteger informações entre uma rede privada e a internet ou outras redes. Sendo assim, não
adianta comprar um produto em uma loja e ligá-lo na rede.
Um firewall, para ser efetivo, necessita de planejamento e que seja definida uma topologia, onde ele
esteja no meio das conexões que se deseja proteger. Além da topologia, um firewall consiste em uma
série de tecnologias, como filtros de pacotes, NAT e servidores proxy.

APLICAÇÃO
A aplicação de um firewall é focado exclusivamente, como já falamos, na segurança. É para isto que foi
criado e existe na sua rede.
Para decidir o que é e o que não é seguro, é preciso que sejam criadas regras (ou políticas). São elas que
definirão o nível de acesso do usuário àquela máquina.
É possível, por exemplo, restringir todo o tráfego no computador ou na rede, mas isto não é um cenário
julgado ideal, pois limitaria o acesso à maquina, deixando-a isolada. O ideal é criar, por exemplo, regras
para que todo e qualquer aplicativo aguarde autorização do administrador (ou usuário com nível para
tal) para que seja liberado seu acesso. Caso se necessário, é possível ainda, acordar se essa autorização é
permanente ou única.

Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.


SEGURANÇA DE REDES DE COMPUTADORES | UIA 1 | 38

Fonte: http://tinyurl.com/z72fusf

Igualmente, um firewall pode ser configurado para permitir de forma automática o tráfego de
determinados dados (oriundos de sites seguros – https://) e para bloquear outros (sites pornográficos,
sites impróprios/indevidos ou que não têm ligação com o trabalho). Assim, identifica-se que existem dois
princípios essenciais nas políticas de firewall: todo tráfego é permitido, com exceção daquilo que está
bloqueado e todo tráfego é bloqueado, com exceção daquilo que está autorizado.
Atualmente já existem firewalls muito mais avançados que oferecem melhorias em autenticação de
usuários e no direcionamento de tráfego mais específico, melhorando a performance da rede.

TIPOS DE FIREWALL
Vamos ver agora os tipos de firewall conhecidos e em uso no momento: filtros de pacotes, filtros de
pacote dinâmicos, servidores proxy e NAT.

Filtros de Pacotes
A funcionalidade mais básica que um firewall pode oferecer é conhecida como filtro de pacotes, um
mecanismo de segurança de rede que permite o controle dos dados que entram, saem ou passam pelo
ponto de proteção. Um filtro de pacote é capaz de analisar e decidir sobre a passagem ou não de um
pacote, de acordo com as informações encontradas no cabeçalho IP. Normalmente, os filtros de pacotes
atuam sobre os seguintes campos de um pacote IP: endereço IP de origem (no nível de rede), endereço IP
de destino (no nível de rede) porta de origem (no nível de transporte), porta de destino (no nível de
transporte) e flags do cabeçalho TCP (SYN e ACK).

Fonte: Adaptado de http://tinyurl.com/gutmous

Já existem filtros de pacotes mais avançados que podem agir sobre outros campos do pacote, como
endereços físicos (MAC Address), outras flags (ex.: RST), campos de fragmentação de pacotes, entre outros.
Na realidade, o filtro de pacotes pode usar qualquer campo de qualquer um dos cabeçalhos do pacote.
Normalmente, um filtro de pacotes não toma decisões com base no conteúdo dos pacotes, uma vez que
analisar o conteúdo do pacote pode ser dispendioso e tornar o processo de roteamento muito lento.
O filtro de pacotes é um sofware que identifica e analisa o cabeçalho (header) dos pacotes enquanto eles
passam, e decide o destino do pacote como um todo. O filtro pode decidir entre descartar (DROP) o
pacote (como se nunca o tivesse recebido) ou aceitar (ACCEPT) o pacote (deixando seguir seu caminho. A
Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.
SEGURANÇA DE REDES DE COMPUTADORES | UIA 1 | 39

sintaxe de comandos de um filtro de pacotes depende da ferramenta utilizada; porém, em linhas gerais, a
forma de definir as regras é muito semelhante.

Firewall
Cliente Servidor
Filtro de Pacote

Cabeçalho do Protocolo de Internet: Endereços de IP de


origem e destino.
→ → Pacote passa se
Pacote é Cabeçalho do protocolo de Controle Portas TCPs de for permitido, ou é
enviado. de Transporte: origem e destino. “dropado” se for
Outras informações do cabeçalho: Ignorado. negado.

Dados: Ignorado.
Tabela 1. Esquemática do funcionamento de um filtro de Firewal. Fonte: Adaptado de http://tinyurl.com/zvwz3ol

Como exemplo, vamos imaginar que estamos querendo definir uma regra de filtragem que irá bloquear
todos os pacotes provenientes da estação A que possui o endereço IP 192.168.1.1 para o servidor B no
endereço IP 192.168.1.2, na porta 110, utilizando o protocolo de transporte TCP. Lembremos os conceitos
de TCP/IP, que quando iniciamos uma conexão TCP, o remetente escolhe uma porta de origem que não
esteja em uso, a partir da porta 1024. Desta forma, podemos definir a seguinte regra: Descartar se
IP_ORIGEM=192.168.1.1, IP_DESTINO=192.168.1.2, PORTA_ORIGEM >= 1024 e
PORTA_DESTINO = 143.
Lembre-se estamos usando uma sintaxe fictícia. Todos os pacotes que se enquadrem na regra acima
serão automaticamente descartados. Os filtros de pacotes definem ainda uma ação padrão, no caso de
não haver nenhuma regra indicando o que fazer com o pacote. Essa ação padrão é a estratégia de
segurança chamada de Atitude de Bloqueio Padrão e Permissão Padrão. Se for escolhida a atitude de
bloqueio padrão, todos os pacotes que não estiverem claramente permitidos por alguma regra serão
bloqueados e vice-versa.
Não esqueça que uma regra de boa prática a ser adotada é a de que a atitude de bloqueio padrão é bem
mais segura do que a de permissão padrão.
Filtros de Pacote Dinâmicos

Filtro de Pacote

Porta do IP de origem (no Porta do IP de destino Segundos antes


Estado:
caso, porta 10 033 UDP): (no caso, UDP 53): de expirar:

Não enviada resposta à


192.168.1.1: udp 10033 10.1.1.5 udp 53 17
origem

Fluxo UDP ou conexão TCP


10.1.1.7: tcp 20113 192.168.1.5 tcp 80 66
estabelecidas

Fluxo UDP ou conexão TCP


192.168.1.1: udp 11412 10.1.15: udp 53 29
estabelecidas
Tabela 2. Como funciona um filtro de pacote dinâmico num firewall como da tabela anterior. Fonte: Adaptado de http://tinyurl.com/zzzhuug

Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.


SEGURANÇA DE REDES DE COMPUTADORES | UIA 1 | 40

Este surgiu para superar as limitações dos filtros estáticos. Neste tipo os filtros levam em conta o contexto
em que os pacotes estão inseridos para criar regras adaptadas ao cenário, o que permite que
determinados pacotes trafeguem somente quando for necessário e durante um período pré-
determinado. Assim, caem as chances de respostas de serviços serem barradas. A grande desvantagem
deste tipo de firewall é a falta de controle de estado do pacote, o que permite que agentes maliciosos
possam produzir pacotes simulados, com um IP falsificado, por exemplo. A filtragem de pacotes não
realiza nenhum tipo de decodificação do protocolo ou análise na camada de aplicação.
Considerando o exemplo anterior, imagine que agora necessitamos liberar o tráfego com destino à porta
143 TCP do servidor. Nesse caso, não basta apenas trocar a palavra DESCARTAR por ACEITAR. Em uma
conexão TCP, temos uma série de pacotes, indo e voltando do servidor.
Lembrando da estratégia de menor privilégio, temos de verificar se o pacote se refere ao início de uma
conexão, a uma resposta do servidor ou a uma conexão já estabelecida. Assim, podemos mudar nosso
exemplo do item anterior, que conterá as seguintes regras que permitirão todos os três pacotes
referentes ao three way handshake do protocolo TCP:

- Aceitar se IP_ORIGEM=192.168.1.1, IP_DESTINO=192.168.1.2, PORTA_ORIGEM >= 1024,


PORTA_DESTINO = 143 e flag SYN ligada (início da conexão).
- Aceitar se IP_ORIGEM=192.168.1.2, IP_DESTINO=192.168.1.1, PORTA_ORIGEM = 143, PORTA_DESTINO
>= 1024 e flags SYN e ACK ligadas (retorno do servidor).
- Aceitar se IP_ORIGEM=192.168.1.1, IP_DESTINO=192.168.1.2, PORTA_ORIGEM >= 1024,
PORTA_DESTINO = 143 e flag ACK ligada.

Por esse exemplo percebe-se que em um ambiente mais complexo a quantidade de regras aumentará
bastante, tornando o ambiente complicado para gerenciar. Do ponto de vista do administrador de
segurança, em muitos dos casos, ele apenas quer decidir se vai permitir ou bloquear uma determinada
conexão. Por isso foram criados os filtros de pacotes dinâmicos, também chamados de stateful inspection,
stateful firewall ou Stateful Packet Inspection (SPI). Nesse caso, o próprio filtro de pacotes mantém
informações sobre o estado das conexões e permite automaticamente todos os pacotes relacionados, de
modo que o administrador necessita apenas especificar a regra do primeiro pacote e indicar que os
pacotes relacionados serão automaticamente aceitos.
Alguns filtros de pacotes dinâmicos tratam ainda de protocolos de aplicação, cuja conexão é mais
complexa, como, por exemplo, FTP e H.323, cuja liberação utilizando os filtros de pacotes comuns se
tornaria complicada e provavelmente iria aceitar muito mais pacotes do que o necessário, por conta do
comportamento dinâmico desses protocolos.
Recentemente, alguns fabricantes têm anunciado firewalls UTM (Unified Threat Manager), que são
firewalls com diversos recursos integrados, também chamados de firewalls all-in-one
(tudo em um). Esses produtos normalmente integram uma série de recursos, como antivírus, anti-spam,
VPN, filtros de conteúdo e balanceamento de carga, entre outros.

Servidores Proxy
Os servidores proxy são aqueles servidores que acessam algum serviço da internet em nome de uma
estação cliente, que solicita o acesso ao proxy. Fazem o trabalho de intermediários. Um proxy pode atuar
Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.
SEGURANÇA DE REDES DE COMPUTADORES | UIA 1 | 41

no nível de aplicação (mais comum), onde para cada aplicação há um proxy diferente (ex.: proxy HTTP,
proxy FTP, proxy H.323 etc.) ou no nível de transporte, onde há um proxy genérico para conexões TCP e
UDP (ex.: Socks).
Os proxies de aplicação possuem a vantagem de entender o protocolo de aplicação, de modo que eles
são capazes de prover registros detalhados sobre os acessos realizados, além de permitir o controle de
acesso através de parâmetros de aplicação, como bloquear o acesso a arquivos executáveis em conexões
HTTP, controle impossível de ser realizado apenas com filtros de pacotes. Por outro lado, a aplicação em
questão deve estar ciente
da existência do Proxy para realizar o acesso normalmente através de um parâmetro de configuração, o
que pode aumentar a complexidade da configuração. Outro ponto a ser considerada é que o servidor
deve ser dimensionada adequadamente para comportar as requisições dos clientes, de modo a não
causar atrasos nas conexões.
Corretamente configurado, o usuário não percebe a existência do proxy de aplicação, de modo que tem
a sensação de que as requisições são feitas diretamente ao servidor. O servidor proxy, por outro lado,
possui conhecimento detalhado sobre os recursos que estão sendo solicitados pelo cliente.

NAT
NAT - Network Address Translation, é um recurso que possibilita a modificação de um endereço de rede
em um pacote IP durante o seu trânsito através de um dispositivo de roteamento.

Fonte: Adaptado de http://tinyurl.com/jpuoaof

O NAT pode ser utilizado em uma variedade de situações, sendo as mais comuns a “publicação” de um
servidor na internet e o acesso de uma rede privativa à internet.
Existem tipos diferentes de NAT, com utilidades diferentes.
As terminologias variam de acordo com o fabricante que implementa a tecnologia, porém os princípios
são os mesmos.

•   SNAT – Source NAT modifica o endereço IP de origem de um pacote, utilizado normalmente


para permitir que estações em redes privativas possam acessar a internet diretamente, através
da modificação do endereço privativo para um endereço válido na internet.
•   DNAT – Destination NAT modifica o endereço IP de destino de um pacote, utilizado normalmente
para permitir que servidores em redes privativas possam ser acessados através da internet.

•   NAT estático – utiliza um endereço IP diferente para cada endereço que necessita ser traduzido.
Também chamado de NAT um-para-um (1-1).

Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.


SEGURANÇA DE REDES DE COMPUTADORES | UIA 1 | 42

•   NAT dinâmico – traduz diversos endereços IP para um único endereço traduzido. Também
chamado de NAT N-para-1 (N-1). Esse tipo de NAT permite que uma rede inteira acesse a
internet utilizando um único endereço válido e muitas vezes é chamado de masquerading. Ele é
usado por empresas que possuem poucos endereços IP.

Aprenda mais sobre NAT assistindo ao vídeo a seguir.


http://tinyurl.com/gnsfy6q

DEEP PACKET INSPECTION OU Inspeção Profunda de Pacote (DPI)


Os desafios de segurança ao longo do tempo cresceram de tal forma que analisar e filtrar os pacotes com
base nas informações do cabeçalho se tornaram insuficientes para garantir a integridade dos ambientes,
uma vez que os ataques estavam cada vez mais direcionados para a camada de aplicação. Os sistemas de
detecção de intrusão (IDS) e posteriormente a evolução para sistemas de prevenção de intrusão (IPS)
adicionaram o conceito de inspeção profunda de pacote, ou inspeção profunda de conteúdo.
Através deste conceito, os pacotes não passam mais a ser analisados somente baseados nas informações
armazenadas em seus cabeçalhos, mas especialmente em seu conteúdo. Com um modelo baseado em
assinaturas, os dados dos pacotes são analisados e caso seja identificado algum comportamento anômalo ou
ataque, uma ação é tomada, registrando o evento, bloqueando a conexão, entre outras facilidades.
Similarmente aos proxies, a capacidade de analisar aplicações por parte de IDS/IPS não é
necessariamente ampla, pois é mandatório conhecer o comportamento do protocolo para inserir as
análises e comparações com base no conhecimento existente da solução (assinaturas). Como uma
porção muito maior de informações são armazenadas na área de dados de um pacote, é comum que esse
mecanismo ofereça maior consumo de recursos computacionais, especialmente CPU.
Ratificando a importância de vários elementos de segurança em uma arquitetura realmente robusta,
mesmo os proxies atuando em sua grande parte na área de cabeçalho da camada de aplicação, a área de
dados de maneira geral não é visualizada. O conceito de DPI, presente em IDS/IPS permite acrescentar essa
visibilidade e consequentemente ter um ambiente de segurança mais robusto, menos suscetível à ataques.

Firewall de Gerenciamento Unificado de Ameaças (UTM)


Normalmente, um dispositivo de gerenciamento unificado de ameaças combina, de maneira flexível, as
funções de um firewall com inspeção de estado e prevenção contra intrusões e antivírus. Ele também
pode incluir serviços adicionais e, às vezes, gerenciamento em nuvem. O UTM concentra-se em
simplicidade e facilidade de uso.
Trata-se, acima de tudo, de uma classificação comercial para soluções que possuem filtro de pacotes,
proxies, VPN, IDS/IPS, antivírus e outras características, dentro de uma mesma solução ou caixa. Isso
permitiu que os fabricantes criassem materiais publicitários buscando diferenciar as soluções
apresentadas ao mercado.
Dependendo do tamanho da organização, UTMs podem representar um problema para a performance,
ou até mesmo o orçamento, uma vez que exigem hardwares altamente robustos para atender a
demanda gerada pelos usuários.

Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.


SEGURANÇA DE REDES DE COMPUTADORES | UIA 1 | 43

Firewall de Próxima Geração (NGFW)


NGFW ou Firewall de próxima geração pode ser entendido como um sucessor dos UTMs, especialmente no
que diz respeito ao desafio de garantir segurança em profundidade para os ambientes, sem impactar na
utilização dos recursos computacionais. Para isso, a fundamental contribuição do NGFW é a aplicação de
políticas de segurança baseadas no conhecimento das aplicações, bem como ataques associados as mesmas.
As premissas básicas para classificar um firewall como sendo de próxima geração é o recurso de
visibilidade e controle baseado por aplicação, além de inspeção de conteúdo SSL/SSH, controle web
baseado em categorias, integração de antivírus e capacidade de comunicação com serviços de terceiros,
como o Active Directory.

Segundo a Cisco, os firewalls evoluíram para além da simples filtragem


de pacotes e inspeção stateful. A maioria das empresas está
implantando firewall de próxima geração para bloquear ameaças
modernas, como malware avançado e ataques na camada da aplicação.
Acesse o link a seguir e confira!
http://tinyurl.com/zej5j62

De acordo com a definição do Gartner, Inc., um firewall de próxima geração deve incluir: recursos padrão
de firewall, como inspeção stateful; prevenção de invasão integrada; reconhecimento e controle da
aplicação para detectar e bloquear aplicativos nocivos; atualização de caminhos para incluir feeds futuros
de informação; técnicas para lidar com as ameaças à segurança em evolução
Embora esses recursos estejam se tornando cada vez mais a norma para a maioria das empresas, os
NGFWs podem fazer mais”.

IMPLEMENTAÇÃO DE FIREWALLS
Existem diversas soluções desenvolvidas sob o critério de licença de software livre que implementam o
controle de acesso perimetral em redes TCP-IP. Soluções mais comuns: Netfilter (Iptables), para Linux;
Ipfilter (IPF) e IP Firewall (IPFW), para FreeBSD; Packet Filter (PF), para OpenBSD, e FreeBSD.

Netfilter (Iptables)
O Iptables é um framework capaz de realizar filtros de pacotes, tradução de endereços de rede e tradução
de número de portas TCP e UDP, além de outros tipos de manipulação de pacotes TCP/IP.Ele foi
desenvolvido para trabalhar integrado com o Linux kernel 2.4 e 2.6. Surgiu da reescrita e evolução dos
códigos do Ipfwadm para o Linux kernel 2.0 e do Ipchains para o Linux kernel 2.2.
Uma virtude do Netfilter é suportar módulos, permitindo implementações das mais simples às mais sofisticadas.

Implementação do Netfilter
O objetivo da linguagem é permitir implementações robustas. O Netfilter permite a manipulação desde
as regras mais simples
até as mais complexas, onde é possível reduzir o volume do arquivo de configuração e facilitar o
entendimento dos objetivos do(s) filtro(s).
Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.
SEGURANÇA DE REDES DE COMPUTADORES | UIA 1 | 44

Para compreender a sintaxe do Netfilter, precisamos inicialmente conhecer o significado dos termos e
expressões de manipulação de pacotes:

•   Drop/Deny: quando um pacote sofre Drop ou Deny, é descartado e nenhuma outra ação é
realizada; o pacote simplesmente desaparece.
•   Reject: quando um pacote sofre a ação Reject, é descartado e uma mensagem é enviada para o
host origem informando seu descarte.
•   Accept: ação contrária ao Drop ou Reject, indica ao Iptables para aceitar e encaminhar o pacote.
•   State: estado específico de um pacote em uma conexão TCP/IP. Por exemplo: o primeiro pacote
de uma conexão TCP é o pacote com a opção SYN ligada. O estado da conexão é conhecido
através do sistema de rastreamento de conexões, que mantém uma base de dados com o
estado de todas as conexões. Essa base fica em uma área dentro do kernel do Linux, sendo
controlada automaticamente por ele.
•   Chain: cadeia de conjuntos de regras que são aplicadas em momentos distintos no kernel do
Linux. As três principais chains são INPUT, OUTPUT e FORWARD:

Fonte: http://tinyurl.com/j7ypxp6

o   INPUT: utilizada quando os pacotes têm como endereço IP de destino o próprio endereço
do firewall.
o   OUTPUT: utilizada quando o pacote é originado pelo firewall e sai por alguma interface de rede.
o   FORWARD: utilizada quando um pacote atravessa o firewall, não tendo como destino o
próprio firewall. Daqui podemos verificar que as chains INPUT e OUTPUT protegem o
próprio firewall, e a chain FORWARD protege o que estiver atrás dele.

•   Table: o Iptables possui quatro tabelas, cada uma com propósitos específicos:
o   Nat: utilizada para manipulação de tradução de endereços IP. Os pacotes podem ter os
endereços de origem, destino, porta de origem e de destino alterados de acordo com o
especificado na regra. Para a tradução de pacotes é necessário especificar apenas a
tradução do pacote inicial da conexão, de modo que todos os pacotes seguintes
pertencentes à essa conexão serão automaticamente traduzidos.
o   Mangle: utilizada principalmente para manipulação de pacotes IP. É possível manipular o
conteúdo de diferentes pacotes e seus cabeçalhos, como os campos QoS e TTL, entre outros.
o   Filter: utilizada exclusivamente para filtros de pacotes, de forma a realizar DROP, LOG,
ACCEPT e REJECT de pacotes TCP/IP, conforme foi visto.
o   Raw: utilizada quando desejamos filtrar um pacote, mas não queremos monitorar o
estado da conexão. Dessa forma, estamos fazendo um filtro de pacotes simples.

Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.


SEGURANÇA DE REDES DE COMPUTADORES | UIA 1 | 45

•   Match: termo utilizado quando um pacote “encaixa” em uma determinada regra; dizemos que o
pacote “deu match” em uma determinada regra do Iptables.
•   Target: termo utilizado para informar o que será feito com os pacotes que “derem match” em
determinada regra; o target pode ser Accept, Drop, Reject etc.
•   Rule: uma regra é definida como um match ou conjunto de matches de pacotes com um único target.
•   Ruleset: conjunto de regras (rules) de todo o firewall, normalmente agrupado em um arquivo de
configuração, para inicialização do Iptables.
•   Jump: instrução ligada ao target. Se um pacote “der match” em uma instrução de jump, será
analisado por um conjunto de regras extras, definidas no próprio jump. A sintaxe é similar à de
target (jump em vez de target).
•   Connection tracking: característica do firewall de analisar o estado da conexão e manter em
uma base de dados interna. Assim, o firewall é capaz de saber a qual conexão pertence um
pacote, aumentando de forma drástica a segurança do sistema de firewall, já que pacotes que
não fazem parte de conexões legítimas são automaticamente descartados. Essa característica
tem um custo computacional elevado para o firewall, o que também ocorre com o Iptables,
gerando a necessidade de mais recursos de CPU e memória do sistema.
•   Policy: política padrão de funcionamento do firewall (default permit e default deny). Em se
tratando de Iptables, podemos definir a policy como ACCEPT ou DROP, de acordo com a ação
padrão que será dada a um pacote que não “der match” em nenhuma regra específica.

Para entender mais sobre IPTABLES e NETFILTER acesse os links


http://tinyurl.com/gw3xckw
http://tinyurl.com/ha49q2f
http://tinyurl.com/hjk9sg6

E assista aos vídeos da serie sobre Iptables a seguir. Confira!


http://tinyurl.com/haexooq

Aula 5 |  PROJETO DE SISTEMAS “FIREWALLS”

5.1.  REDES COM FIREWALL


Não existe uma fórmula para se planejar um firewall, pois isso vai depender das particularidades de cada
rede e da experiência do profissional encarregado. Porém, existem algumas arquiteturas que podem
servir de base para a construção de uma solução completa. Nos itens a seguir veremos algumas dessas
arquiteturas básicas.

5.1.1.  ARQUITETURAS
A arquitetura de um firewall deve ser definida de acordo com as necessidades da organização, utilizando
os componentes e funcionalidades descritos anteriormente;
Serão apresentadas quatro arquiteturas:
Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.
SEGURANÇA DE REDES DE COMPUTADORES | UIA 1 | 46

•   Dual-homed (Chapman);

•   Dual-homed (Chapman);

•   Screened host (Chapman);

•   Screened subnet (Chapman);

•   Firewall coorporativo (Geus e Nakamura).

DUAL-HOMED
Essa é a topologia mais simples, que consiste em apenas uma máquina conectada tanto à rede pública
quanto à rede protegida, porém com a função de roteamento desabilitada. Dessa forma, para a rede
protegida acessar a rede pública, ela necessitará utilizar algum recurso presente na máquina em questão,
como um Proxy ou NAT.

Fonte: http://tinyurl.com/jdtkkhl

Esse equipamento tem no mínimo duas interfaces de rede, conectadas cada uma a segmentos diferentes
de rede. Um computador que fica entre duas redes pode ser um Dual-Homed Gateway , já que este atua
como um roteador desativado, com a definição de que faça o roteamento de pacotes de uma rede
diretamente para outra, não permitindo a comunicação direta entre a rede interna, que se quer proteger,
e a rede externa. Desta forma, o sistema nas duas redes não podem se comunicar entre si, servindo o
equipamento Dual-Homed como um intermediário para a comunicação, desta forma, podem se
comunicar com o Dual-Homed e este é que vai realizar a comunicação com a outra rede, realizando
assim, um elevado nível de controle.

Fonte: http://tinyurl.com/gu6fhvo

O Firewall Dual-Homed, processa a filtragem e a análise de pacotes, rejeitando o estabelecimento de


conexões com serviços não autorizados.

Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.


SEGURANÇA DE REDES DE COMPUTADORES | UIA 1 | 47

Lembre-se, um computador entre duas redes pode ser um dual-homed gateway, já que este computador
pode atuar como um roteador entre as redes. Contudo, no caso de um firewall nesta situação, esta
função de roteamento é desabilitada. Assim, os pacotes IP oriundos da Internet não são repassados
diretamente para a rede interna, pois primeiramente passam pelo filtro. Assim, caso existam, os sistemas
dentro do ambiente do firewall podem se comunicar com o servidor dual-homed, e sistemas fora do
firewall podem somente se comunicar com o servidor dual-homed.
Um servidor dual-homed apenas fornece serviços através de um intermediário (proxies), uma vez que ele
não realiza qualquer tipo de roteamento, ou ainda fazendo os usuários se conectarem diretamente ao
servidor o que também não é muito aconselhável do ponto de vista da segurança, ou mesmo
inconveniente para os usuários.
O uso de servidor dual-homed pode fornecer um nível alto de controle, porém existe uma desvantagem
clara da arquitetura que é passar ele a ser o único ponto de falha, logo a segurança deste servidor deve
ser absolutamente impecável. A segurança de toda rede fica dependente de uma única máquina, ou seja,
se esta for invadida, toda a rede estará vulnerável. Também é extremamente perigoso deixar que
usuários comuns possam realizar login nesta máquina, pelos mesmo motivo anterior.
Esta arquitetura tem o seu uso indicado e apropriado para algumas das situações a seguir citadas: o
tráfego para a Internet é pequeno ou não é crítico para os negócios; não existem serviços oferecidos aos
usuários baseados na Internet e a rede que está sendo protegida não contém dados extremamente
valiosos ou críticos.

Vantagens
Este tipo de firewall é mais seguro que o filtro de pacotes (packing filtering), pois esse tipo
analisa os dados a serem enviados. Estes firewall permitem um alto grau de controle, por
filtrarem os pacotes indesejados, possibilitando que o administrador rejeite aquelas
conexões que solicitem algum tipo de serviço mas que não possuem a permissão
necessária para o acesso. Além disso facilitam sobremaneira o monitoramento das
atividades dos usuários e ainda é relativamente fácil de realizar sua configuração e
manutenção.

SCREENED HOST
Nesta arquitetura Screened Host, em vez de haver apenas uma máquina servindo de intermediadora
entre a rede interna e a rede externa, há duas maquinas: uma fazendo o papel de roteador (screening
router - roteador com triagem) e outra, uma máquina configurada para desempenhar um papel crítico na
segurança da rede interna chamada de bastion host.

Fonte: Adaptado de http://tinyurl.com/jjn4v5e


Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.
SEGURANÇA DE REDES DE COMPUTADORES | UIA 1 | 48

Um bastion host serve para atuar entre o roteador e a rede interna, não permitindo qualquer
comunicação direta entre ambos os lados. Note então na realidade se trata de uma camada extra, de
reforço, de segurança: fazendo com que a comunicação ocorre no sentido da rede interna para o bastion
host, deste para o screening router e dele para a rede externa e, assim, vice-versa.
O roteador trabalha normalmente efetuando filtragem de pacotes tendo como base o seu endereço IP ,
bem como no seu protocolo. A filtragem que a maioria do screening router podem realizar são baseadas
normalmente nas seguintes informações: endereço IP de origem, endereço IP de destino, protocolos (
TCP, UDP e ICMP), portas TCP ou UDP de origem ou de destino, tipo de mensagem ICMP. Através destas
informações o screening router tem conhecimento: da interface por onde o pacote chegou e a interface
por onde o pacote será transmitido.

Fonte: http://tinyurl.com/z5fqapg

O ataque do tipo IP Spoofing é um ataque que pode ser evitado através da implementação do Screened
Host, com os filtros sendo configurados para redirecionarem todo o tráfego ao bastion host. Cabe a ele
decidir quais as conexões devem ser permitidas ou não, ainda que elas tenham passado e liberadas pelos
filtros do roteador.
Neste tipo de arquitetura as conexões podem ser abertas da rede interna para a rede internet, assim
como as conexões de origem externas também podem ser abertas para acesso a rede interna de forma
controlada exclusivamente para os bastion hosts (exemplificando, poderemos permitir conexões para o
servidor web). Esta filtragem dos pacotes acontece no firewall, que permitirá apenas certos tipos de
conexões, tais como consultas ao servidor DNS.

Fonte: Adaptado de http://tinyurl.com/gtdkuu9


Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.
SEGURANÇA DE REDES DE COMPUTADORES | UIA 1 | 49

Leia mais sobre Screened Hosts (aArquitetura e Firewall) nos sites a


seguir.
http://tinyurl.com/hokgkzx
http://tinyurl.com/hu86y9c

Veja na ilustração abaixo um exemplo desta arquitetura na figura abaixo.

Fonte: http://tinyurl.com/hsdbm9f

Um equipamento atuando como um bastion host deve possuir um alto nível de segurança, por nele estar
justamente o único possível ponto de falha desta arquitetura. No caso de uma invasão no bastion host o
atacante já estará dentro da nossa rede. Outro problema é o ponto único de acesso que aumenta a
probabilidade de parada total da rede.
Apresentaremos algumas observações e análise frente as Estratégias de Segurança mais conhecidas.
Como já falamos ela não é uma arquitetura muito segura, assim eis algumas observações sobre como ela
satisfaz ou não as estratégias de segurança:
Menor privilégio (Least privilegie): como o bastion host esta situado na rede interna e além disso pode
acumular privilégios de vários servidores pode ser um fator que vai contra o princípio do mínimo
privilégio devido a sua posição crítica.
Defesa em profundidade (Defense in depth): estratégia não satisfeita principalmente porque basta que
um dos componentes, roteador ou servidor, seja comprometido para que toda a rede interna esteja ao
alcance do atacante.
Ponto de estrangulamento (Choke point): o roteador é o ponto de estrangulamento neste tipo de arquitetura.
Elo mais fraco (Weakest link): sendo o servidor de diversos tipos de serviços e localizado junto a rede
interna, o bastion host é um alvo bastante visado pelos atacantes.
Falha segura (Fail safe): esta não é uma arquitetura que permita falhas seguras pois basta comprometer o
bastion host para se ter acesso a rede interna. Um certo nível de falha segura é possível configurando o
screening router segundo a filosofia "o que não é expressamente permitido é proibido".
Participação universal (Universal participation): como o roteador como a única via de acesso à Internet,
tem-se participação involuntária dos usuários da rede interna.
Diversidade de defesa (Diversity of defense): pouca ou nenhuma oportunidade de se aplicar esta
estratégia pois há um único roteador e bastion host.

Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.


SEGURANÇA DE REDES DE COMPUTADORES | UIA 1 | 50

SCREENED SUBNET

Fonte: http://tinyurl.com/j8wgull

Esta arquitetura, também conhecida como "triple-homed firewall" (ou ainda arquitetura de sub-rede com
triagem), é considerada a mais segura, por que adiciona uma nova camada de segurança à arquitetura
Screened Host. Ela é fundamentada na criação de uma sub-rede, comumente chamada de Perimiter
Network ou DMZ (Demilitarized Zone – Zona Desmilitarizada), que isola totalmente a rede interna da
externa, ficando responsável por toda a comunicação entre as redes, além da criação do Bastion Host.

Fonte: http://tinyurl.com/j3ztuvh

Uma DMZ, são áreas, física ou lógica, intermediárias entre a rede interna e externa onde os servidores que
recebem tráfego externo estão hospedados de maneira separada da rede interna

Fonte: http://tinyurl.com/h96k78g

Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.


SEGURANÇA DE REDES DE COMPUTADORES | UIA 1 | 51

Portanto, uma Screened Subnet é formada por um Bastion Host isolado pela sub-rede, um roteador num
lado respondendo pela comunicação entre a rede interna e o bastion host e do outro lado mais um
roteador responsável pela comunicação entre o bastion host e a rede externa (internet). Para invadi-lo o
ataque teria que passar por ambos os roteadores. Sendo assim, a zona de risco é reduzida drasticamente.
A estância básica pode variar, porém como na maioria dos casos necessita-se alto nível de segurança
utiliza-se a estância "Aquilo que não é expressamente permitido é proibido".

Fonte: http://tinyurl.com/ja95pjs

Este screened router proporciona um nível de proteção a mais ao screened host ao adicionar uma rede
perimétrica que isola ainda mais a rede interna da rede externa. As funções de cada elemento deste
firewall são:

•   Choke externo: Bloquear os pacotes de serviços que não queremos que passem pelo firewall
ou ainda de pacotes que tenham rotas IP definidas (IP source routing), bloquear os pacotes
endereçados a sua rede interna;
Permitir passar somente os pacotes que tenham como endereço IP fonte ou destino o do seu gate.

•   Gate: Rodar servidores proxies para possibilitar os usuários da sua rede interna usar serviços na
rede externa; Atuar como um servidor de mail ou receber estas mails e enviá-las para algum
host designado dentro da rede interna.

•   Choke interno: Permitir a passagem de pacotes cujo endereço IP de destino ou fonte sejam o do
gate e para os quais os destinos são os de proxies definidos no gate. Bloquear os pacotes: de
serviços que não são desejados que passem pelo firewall; de pacotes que tenham rotas IP definidas
(IP source routing), ou outro conjunto de opções estranhas; endereçados ao seu choke externo.
A principal vantagem deste sistema (arquitetura) é o nível de segurança muito maior do que o obtido
pelos outros tipos de arquitetura de firewalls.

Fonte: http://tinyurl.com/zpsevq5
Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.
SEGURANÇA DE REDES DE COMPUTADORES | UIA 1 | 52

Entretanto, a sua complexidade é alta e a sua configuração e a manutenção da subnet não é tão simples
como a das arquiteturas de firewalls anteriores. Existe ainda o retardo causado no acesso a rede porque o
tráfego deve passar pela subrede. Não podemos esquecer que este tipo de arquitetura é mais custosa.

Fonte: http://tinyurl.com/j8nx8n2

O roteador interno implementa uma segunda camada de segurança ao Firewall permitindo somente a
passagem de pacotes de ou para o Bastion Host e a rede interna.

Saiba mais sobre Screened Subnet (Arquitetura e Firewall) acessando


os links a seguir.
http://tinyurl.com/hswvkxj
http://tinyurl.com/j4dxt5d

É preciso ficar bem atento na definição dos firewalls, pois qualquer falha pode resultar em uma falsa
sensação de segurança. O firewall externo deve permitir que usuários externos tenham acesso apenas
aos serviços disponibilizado na DMZ, e o firewall interno deve permitir requisições e respostas apenas aos
usuários da rede interna.
Existem outras variações possíveis sobre essas arquiteturas, e uma flexibilidade no modo como você
pode configurar e combinar componentes de firewall para melhor atender as necessidades e orçamento
da política de segurança a ser adotada

Aula 6 |  EQUIPAMENTO NA FUNÇÃO DE BASTION HOST

6.1.1.  BASTION HOST


6.1.2.  CONCEITO
De acordo com Marcus J. Ranum, Presidente e CEO da Network
Flight Recorder "Bastions são partes extremamente fortificadas de
um castelo medieval. São áreas de ponto crítico em defesa,
geralmente tendo forte muralhas, espaço extra para tropas e
ocasionalmente possui tubos de óleo quente para desencorajar os
atacantes. Um bastion host é um sistema identificado por
administradores de firewall como um ponto crítico na segurança de
uma rede. Geralmente, bastion hosts necessitam de um cuidado
extra, com auditorias regulares e podem ter software modificado."
Por definição, bastion host é qualquer máquina configurada para desempenhar algum papel crítico na
segurança da rede interna e provendo os serviços permitidos segundo a política de segurança da

Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.


SEGURANÇA DE REDES DE COMPUTADORES | UIA 1 | 53

organização. Trata-se de uma máquina segura que está localizada no lado público da rede de perímetro
(acessível publicamente), mas que não se encontra protegida por um firewall ou um roteador de
filtragem, expondo-se totalmente a ataques.
Um servidor como Bastion host é um computador que está totalmente exposto a um ataque. O sistema
está no lado público da zona desmilitarizada (DMZ), sem a proteção de um firewall ou filtragem de um
roteador. Frequentemente o papel destes sistemas são fundamentais para o sistema de segurança de
rede. Na verdade, os firewalls e roteadores podem ser considerados servidores hosts bastiões. Devido à
sua total exposição, devemos ter um grande esforço em projetar e configurar Bastion hosts para
minimizar as chances de uma invasão ou penetração.

Fonte: http://tinyurl.com/zvu8jv2

6.1.3.  ESTRUTURA
Um bastion host deve ter uma estrutura simples, de forma que seja fácil de garantir a segurança. Outros
tipos de hosts bastiões incluem usar servidores com aplicações web, correio, DNS e servidores FTP.
Alguns administradores de rede também poderão usar algumas aplicações como chamarizes atuando
como bastion hosts. Estes sistemas são deliberadamente expostos a potenciais atacantes para retarda-los
com alvos sem importância e desta forma facilitar o rastreamento de tentativas de invasão, permitindo
com isso conhecer o seu modo de atuação. Sendo assim, são normalmente usados como servidores Web,
servidores DNS, FTP, SMTP e NNTP. Como é muito mais simples e fácil proteger um único serviço em um
único bastion host, o ideal é que eles sejam dedicados a executar apenas uma destas funções.

Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.


SEGURANÇA DE REDES DE COMPUTADORES | UIA 1 | 54

Fonte: http://tinyurl.com/znoj8kr

Nesses equipamentos são instalados os sistemas e informações disponibilizados para acesso de usuários
pela internet. Ou seja, os dados da organização disponíveis na internet ficam em um equipamento
afastado, isolado, da rede interna da organização. Assim, se houver alguma invasão e sejam feitas
alterações das bases de dados desses equipamentos, elas não irão afetar os dados da rede interna da
organização que estarão em outros servidores internamente na organização e fora do acesso externo.
Um computador, como bastion host, em princípio deve hospedar uma única aplicação, como exemplo
um servidor proxy, e todos os demais serviços deverão ser removidos ou serem limitados (não é o ideal)
para reduzir a ameaça de ataque ao bastion host. Desta forma seu funcionamento é de forma contrária
ao servidor central, devido, principalmente, à sua localização na arquitetura da rede e finalidade. O
bastion host trabalha na parte externa do firewall e geralmente envolve o acesso de redes ou
equipamentos não confiáveis.

6.1.4.  CONFIGURAÇÃO
Bastion hosts eficazes são configurados de forma muito diferente dos servidores comuns. Cada bastion
host atende a uma função específica, e todos os serviços, protocolos, programas e portas de rede
desnecessários são desativados ou removidos. É um sistema configurado para desempenhar um papel
critico na segurança da rede interna. Os servidores disponíveis no bastion host são designados de proxy
servers. Eles não compartilham quaisquer serviços de autenticação com servidores confiáveis dentro da
rede. Tudo isto para garantir que se um bastião é comprometido o invasor ainda assim não tem “as
chaves do castelo” ou seja não invadiu o sistema como um todo. Um bastion host é fortalecido para
limitar potenciais métodos de ataque, através de mecanismos de hardening. Hardening é todo processo
de levantamento e mapeamento de ameaças, mitigação dos riscos, planejamento e execução de
atividades corretivas proativas, com foco na infraestrutura, tendo como objetivo principal tornar a
infraestrutura preparada para enfrentar, com resiliência, tentativas de ataque. As etapas específicas para
fortalecer um servidor bastion host particular, dependerá basicamente da função a que se destina, assim
como o sistema operacional e software que será executado.

Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.


SEGURANÇA DE REDES DE COMPUTADORES | UIA 1 | 55

Fonte: Adaptado de http://tinyurl.com/gktkqk8

As Listas de Controle de Acesso (Access Control Lists – ACLs - é uma lista que define as permissões de
acesso de um usuário à um determinado componente ou serviço de um sistema, como um arquivo ou
diretório) serão modificadas no sistema de arquivos; todas as portas TCP e UDP desnecessárias serão
desativadas; todos os serviços desnecessários e não críticos e todos os processos que rodam
indefinidamente em segundo plano no sistema (chamados daemons) serão removidos; também deverão
ser removidas as ferramentas de configuração do sistema. Desativar os serviços um a um, um de cada vez
e testar a funcionalidade. Se o sistema continuar a funcionar adequadamente, documente a mudança e
passe para o próximo serviço ou funcionalidade. Se o sistema falhar, restaure o serviço novamente e
avalie o que aconteceu e o impacto na segurança. Preste atenção toda especial aos serviços que não
podem ser desativados.
Todos os pacotes apropriados de serviços, hot fixes e patches devem ser instalados. Registro de todos os
eventos relacionados à segurança precisam ser ativados e medidas precisam ser tomadas para garantir a
integridade dos registros de modo que um atacante bem sucedido não seja capaz de apagar os vestígios
do seu acesso indevido. Além disso tudo, deverão ser criptografados qualquer banco de dados de conta
de usuário e senhas locais.

Por fim, o último passo para garantir a segurança de um bastion host pode ser exatamente o mais difícil:
garantir que qualquer aplicativo de rede esteja sendo executado normalmente. Na maioria das vezes, o
fornecedor ou o desenvolvedor de um serviço web ou de um serviço de multimídia (streaming media )
não consideram os riscos de segurança durante o desenvolvimento de seu produto. Isto é até o
administrador de rede determinar por meio de testes que ACLs eles precisam modificar ou não para
bloquear a aplicação de rede tanto quanto possível sem desativar as características que a tornam uma
ferramenta útil para o usuário. Também é necessário que acompanhemos atentamente todo e qualquer
anúncio do fornecedor sobre problemas de segurança, soluções e atualizações. As aplicações de rede
mais populares tendem também a inspirar a criação de listas independentes de discussão, grupos de
notícias e sites que podem ser rastreados para explicações adicionais. Faz parte do nosso papel como
administradores de redes realizar este acompanhamento

Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.


SEGURANÇA DE REDES DE COMPUTADORES | UIA 1 | 56

A decisão de colocar ou não um servidor como Bastion Host depende de quais serviços serão
requisitados ao Firewall e da confiança existente entre as organizações que estarão acessando sua rede.
Devem ser usados se o grau de confiança for baixo, podendo então colocar-se um Bastion Host em cada
lado da rede com controle e gerência próprios, assim o tráfego de dados iria de uma rede até ao Bastion
Host, depois para outro Bastion Host e finalmente para a rede interna.

Fonte: Adaptado de http://tinyurl.com/z24qpn9

Documente cada passo. É importante documentar exaustivamente todo o trabalho. É igualmente


importante manter atualizada a documentação registrando todas as mudanças que ocorrem. Quantas
vezes você já ouviu falar sobre uma falha no sistema e o administrador ao recuperar o backup este era
ruim ou não estava funcionando? Isso não o ajuda para reconstruir todo o sistema caso o seu sistema
falhe, porém permite que você examine as medidas tomadas para assegurar que nada é esquecido.

Saiba mais acessando o site a seguir.


http://tinyurl.com/hta454e

Conheça mais sobre ACLs assistindo ao vídeo, em inglês, no link a


seguir.
http://tinyurl.com/h34uvr3

6.1.5.  PRINCÍPIOS PARA PLANEJAR A CONSTRUÇÃO DE UM BASTION HOST

É muito importante e necessário que a organização realize um planejamento rigoroso antes de iniciar a
construção de um Bastion Host. Os responsáveis pela segurança da organização devem pensar nos
seguintes principios:

Principio da Segurança Social - É inevitável que as pessoas que por necessidade do serviço tenham
acesso à aos equipamentos bastion host, sejam de extrema confiança e que o local em si seja restrito a
elas somente.

E tudo que seja feito neste ambiente deve ser registrado e auditado.

Principio da Configuração Simples – Manter um bastion host rodando diversas aplicações em segundo
plano aumenta a probabilidade de erros a serem explorados. Neste tipo de equipamento não mais que
dois serviços devem rodar em um bastion host. Por mais que o firewall externo da DMZ seja completo e
esteja bem configurado (na nossa visão) ainda existem diversos erros que frequentemente aparecem nas
aplicações dos serviços e que possivelmente serão exploradas pelo atacante.
Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.
SEGURANÇA DE REDES DE COMPUTADORES | UIA 1 | 57

Principio “Aquilo que Podemos Controlar, Podemos Confiar” ("What We Control, We Can Trust") –
Este principio é importante no caso de um bastion host. Todas as configurações devem ser conhecidas,
sejam elas dos sistemas, serviços, e como estes devem funcionar com estas configurações. E tudo isto
deve ser controlado e monitorado. Se alguma coisa estranha ocorrer é bem mais fácil identificar se é um
ataque e o bastion host foi invadido, ou foi simplesmente um erro.

Principio Bastion Host Invadido – E agora? Primeiramente mantenha a calma. Se a invasão foi
descoberta é bem possível que já tenha passado tempo suficiente para que o atacante tenha feito o que
pretendia. Pense cuidadosamente em uma estratégia para suas ações a partir deste ponto e, muito
importante, não alertar o atacante sobre ter sido descoberto até que todas ações de limpeza tenham sido
realizadas. É agora que os logs e backups farão a diferença e serão essenciais. Lembre-se que boa parte
dos ataques são realizados por integrantes da própria organização. Além disso, seja cuidadoso com
quem você irá comunicar sobre o incidente.
A seguir apontamos alguns passos que podem auxiliar neste momento:

•   Não entre em pânico. Mantenha atitudes racionais e a calma.

•   Saiba quem deve saber do incidente. Tenha um grupo seleto de especialistas para auxiliar na tarefa.

•   Verifique logs e backups e busque definir aonde o problema ocorreu. Tenha backup de todos
bastions hosts existentes na rede.

•   Levante, identifique e determine o dano e o impacto causado pelo ataque e como repara-lo e
limita-lo. (se possível)

•   Somente se necessário e apropriado, desconecte a máquina.

•   Tenha um plano, previamente criado, para restaurar o sistema.

•   Comunique as pessoas envolvidas sobre o incidente, quais foram os danos causados e o que se
pretende fazer para sanar o problema e não deixa-lo acontecer novamente. Seja honesto com o grupo.

•   Se o atacante for realmente alguém de fora da organização, comunique as autoridades. Envie


um email para CERT.br cert@cert.br. Visite o site http://www.cert.br/

Para saber mais sobre o assunto visite os sites a seguir:


http://tinyurl.com/z2kko6p
http://tinyurl.com/qew4bv
http://tinyurl.com/hp5blme
http://tinyurl.com/j74yjbm
http://tinyurl.com/jgnxh6k

Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.


SEGURANÇA DE REDES DE COMPUTADORES | UIA 1 | 58

Você terminou o estudo desta unidade. Chegou o momento de verificar sua aprendizagem.
Ficou com alguma dúvida? Retome a leitura.
Quando se sentir preparado, acesse a Verificação de Aprendizagem da unidade no menu
lateral das aulas ou na sala de aula da disciplina. Fique atento, essas questões valem nota!
Você terá uma única tentativa antes de receber o feedback das suas respostas, com
comentários das questões que você acertou e errou.
Vamos lá?!

Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.


SEGURANÇA DE REDES DE COMPUTADORES | UIA 1 | 59

REFERÊNCIAS

ARAUJO, Gabriel Armbrust. Bastion Host com Linux. Disponível em <http://br-


linux.org/artigos/dicas_bastion.htm >. Acessado em 29 de julho de 2016.

BASTILLE-LINUX. The Bastille Hardening Program. Disponível em < http://bastille-


linux.sourceforge.net/ >. Acessado em 29 de julho de 2016.

GITE, VIVEK. Configure Linux As Bastion Host. Disponível em <http://www.cyberciti.biz/faq/linux-


bastion-host/>. Acessado em 29 de julho de 2016.

CHAPMAN, Brent. Building Internet Firewalls - "O'Reilly Media, Inc." – 2000

COMER, Douglas E. Interligação em rede com TCP/IP: princípios, protocolos e arquitetura. Rio de
Janeiro: Campus, 2006.

JENKINS, Todd. Hardening Bastion Hosts. Disponível em: < https://www.sans.org/reading-


room/whitepapers/basics/hardening-bastion-hosts-420>. Acessado em 29 de julho de 2016.

LOWE, Scott. Using an SSH Bastion Host. Disponível em <http://blog.scottlowe.org/2015/11/21/using-


ssh-bastion-host/>. Acessado em 29 de julho de 2016.

MELO, Sandro. Exploração de Vulnerabilidade em Redes TCP/IP. Editora Alta Books.

MORAES, Alexandre Fernandes de. Segurança em redes: fundamentos. São Paulo: Érica, 2010.

NAKAMURA, Emilio Tissato; GEUS, Paulo Licio de. Segurança de redes em ambientes cooperativos. São
Paulo: Novatec, 2010.

OLIVEIRA, Wilson. Técnicas para hackers e soluções para segurança: versão 2 – Editora
Centroatlantico.pt – Portugal – 2003

PINA, Cláudia; CUNHA, Giorgina. Firewall. Disponível em


<http://www.ipg.pt/user/~sduarte/rc/trabalhos/Firewalls/Introdu%C3%A7%C3%A3o/Corpo.htm>.
Acessado em 29 de julho de 2016.

RANUM, Marcus J. Thinking About Firewalls. Disponível em:


<http://www.vtcif.telstra.com.au/pub/docs/security/ThinkingFirewalls/ThinkingFirewalls.html>.
Acessado em 29 de julho de 2016.

SCARFONE, Karen. Guidelines on Firewalls and Firewall Policy: Revision 1 – NIST

VIVA O LINUX. Entendendo um pouco sobre os daemons. Disponível em


<https://www.vivaolinux.com.br/artigo/Entendendo-um-pouco-sobre-os-daemons>. Acessado em 29 de
julho de 2016.

Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.


SEGURANÇA DE REDES DE COMPUTADORES | UIA 1 | 60

GLOSSÁRIO

ACL: Sigla em inglês para Access Control Lists, ou seja, Lista de Controle de Acessos.
RAID: Sigla em inglês para Redundant Array of Inexpensive, que se traduz em Redundância de Disco.
DMZ: Sigla em inglês para Demilitarized Zone, que se traduz em Zona Desmilitarizada

Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.