Você está na página 1de 115

SEGURANÇA DE REDES

BOAS PRÁTICAS
OPERACIONAIS

Professores: Lacier Dias e Luis Silva


Público Alvo e Objetivos

➢ Público Alvo
○ Administradores de redes de provedores de serviço de acesso a
internet e Telecomunicações em geral.

➢ Objetivos
○ Apresentar na prática como a infraestrutura pode ser facilmente
abusada, caso não haja a aplicação de boas práticas
operacionais;
○ Demonstrar quais são os protocolos mais utilizados para a
realização de ataques e como devemos nos prevenir;
○ Propor planejamento e definir ações primordiais para a garantia
de uma rede segura.
Apresentação da Turma

➢ Diga seu nome;


➢ Sua função;
➢ Sua empresa é AS?
➢ Quantos assinantes aproximadamente?
➢ Quanto de banda aproximadamente?
➢ Seu conhecimento sobre o Roteamento?
➢ Seu conhecimento com redes?
➢ O que você espera do curso?
O que é segurança de redes?

Segurança de redes é composta naturalmente de múltiplas camadas de


defesa a fim de proteger a usabilidade, e integridade de suas conexões
e dados. A segurança de redes tradicionalmente inclui tecnologias de
hardware e software e uma série de aplicações, buscando impedir que
uma variedade de ameaças se instale em sua rede e comprometa suas
informações.
Quebrando paradigmas
Por que pensar em segurança de redes?
Estrutura de sucesso!
Com o que estamos lidando!
Com o que estamos lidando!

2017 2018
O provedor deve estar preparado para o futuro!
Como a internet funciona?

● A Internet é uma ’rede de redes’;


● São quase 60.000 redes diferentes, sob
gestões técnicas e administrativas diferentes;
● A estrutura de roteamento BGP funciona
com base em cooperação e confiança.
Embora a colaboração exista, temos vários
incidentes...
O que enfrentamos?

● Vírus;
● Crackers;
● Cyberterrorismo;
● Engenharia Social;
● Acesso não autorizado;
● Roubo de Dados;
● Desastres Naturais;
● Indisponibilidade de Dados.
O que enfrentamos?
O que enfrentamos?
Todos os dias temos incidentes de segurança
Teste se suas credenciais estão em alguma lista
pública

https://haveibeenpwned.com/
Quando devemos nos preocupar?

Não basta se preocupar somente quando o problema acontece:


○ Isso é caro!
○ Pode requerer equipamentos e configurações complexas!
○ Não tem dado nenhum resultado positivo.
Prevenção é necessária quando o assunto é segurança:
○ Realizar testes de segurança em equipamentos;
○ Seguir as boas práticas operacionais;
○ Com estas ações evitamos que se originem ataques em nossa rede;
○ É muito mais barato!!
Os quatro princípios de segurança da informação

Confidencialidade

Integridade

Disponibilidade

Autenticidade
Confidencialidade

A confidencialidade é aplicada com o intuito de garantir que a


informação estará acessível apenas para pessoas devidamente
autorizadas, todas as características da segurança da informação
são dependentes entre si, no caso da confidencialidade em
específico a forma natural de mantê-la é através de políticas de
autenticação bem definidas. Sem contar com a
confidencialidade, as empresas ficam vulneráveis a ataques,
roubo de informações e até utilização de dados pessoais de
clientes, o que pode causar diversos prejuízos, inclusive
financeiros e de reputação.
Integridade

A integridade da informação refere-se a manutenção da forma


base na qual esta foi produzida e armazenada sem que hajam
alterações indevidas, somente pessoas devidamente autorizadas
podem realizar alterações nesses dados ou informações em
geral.
Disponibilidade

Como o próprio nome diz, a disponibilidade das informações


deve existir em todo e qualquer momento, sendo assim,
medidas para tornar a rede resistente a falhas são de suma
importância para este aspecto da segurança de informações,
como o velho ditado diz… “quem tem um, não tem nenhum!”
Disponibilidade
Disponibilidade
Autenticidade

O processo de autenticidade tem a tarefa de identificar e


registrar os usuários e informações que estão sendo
encaminhadas ou alteradas dentro de uma organização,
toda ação deve ter uma documentação, assim o processo
de auditoria é possível e eficaz. Naturalmente através de
um processo de autenticidade bem definido, é possível
identificar indivíduos maliciosos tanto externos, quanto
internos na sua empresa.
Como garantir a aplicação de todos esses passos na
minha empresa?

Deve ser impossível...


Vamos agir!!!
Vamos instalar o Emulador:

1. Instalar o VMware Player


2. Instalar o EVE-NG-Win-Client-Pack.exe
3. Copiar os arquivos ”vnc_wrapper.bat” e ”vnc_win_vnc.reg” para o diretório:
C:\Program Files\uvnc bvba\UltraVNC
a. Após copiar de 2 cliques em REG vnc_win_vnc.reg
4. Importar a Imagem: Na pasta de aula de 2 cliques em VM-EVE-1.ova
Vamos Configurar o Emulador:

Passo 5: Caso o IP não apareça, verifique.

**Cada máquina gera um IP diferente.


Vamos Configurar o Emulador:

Passo 6: Abra no navegador


Nossa topologia

SSID: VLSM-2.4
Senha: vlsmaula
Primeiro Laboratório:
Adicionar um router Mikrotik para que
possamos estabelecer a sessão BGP com nosso
Route server.
Primeiro Laboratório:

Estabelecer sessão BGP com o nosso route server, cada um


receberá IP e ASN específico:

1. IP 10.58.1.254/24;
2. ASN: 65000;
3. Anuncie seus blocos IP (ex.ASN 65255 anunciará
200.255.0.0/22);
4. Realizar testes de conectividade para garantir o
funcionamento das demais etapas.
Primeiro Laboratório:
Primeiro Laboratório:

1. Importe as configurações para os equipamentos;


2. Configure o CGNAT para os IPs do seu bloco;
3. teste a comunicação entre os CPE’s e o route server
[8.8.8.8];

TUDO PRONTO!!!
O que são
vulnerabilidades?

Uma vulnerabilidade é definida como uma


condição que, quando explorada por um
atacante, pode resultar em uma violação de
segurança. Geralmente ocorrem por
configurações inconsistentes. Atualmente os
cyber ataques tornaram-se fonte de renda de
muitos criminosos, é possível encontrar sites
que comercializam ataques na rede de forma
transparente e a um preço muito acessível, o
que é preocupante, pois, com apenas $19,99
por mês é possível tirar algumas redes do ar
por um certo tempo.
A sua rede está protegida?

O Brasil atualmente detém um potencial devastador quando avaliamos a


capacidade de ampliação para ataques DDoS, temos potencial de gerar
um tráfego na casa dos 137 Tbit/s.
A sua rede está protegida?

Os gráficos abaixo demonstram a distribuição de scans e tipos de ataques


reportados no ano de 2017, houve um aumento considerável nesta
quantidade nos últimos anos e infelizmente em 2018 não existe uma
perspectiva de melhora quanto a estes problemas.
Quanto tempo e quanto de banda...
Quanto tempo e quanto de banda...
Quanto tempo e quanto de banda...
Simplificando alguns conceitos!

Hardening e Pentesting
O que é Hardening?
● É um procedimento para:
○ Analisar vulnerabilidades;
○ Mapear as ameaças;
○ Minimizar/Mitigar riscos e problemas;
○ Aplicar medidas corretivas.
● Proteger
○ Ataques originados em outras redes;
○ Que seus equipamentos originem ataques.
O processo de Hardening normalmente segue alguns ritos dentre eles
estão:
● Remover/desabilitar usuários que não estão mais em uso;
● Remover/desabilitar ou limitar serviços desnecessários;
● Definir limitações aos equipamentos conforme a função que ele
desempenha na rede.

Criar um checklist de ações facilita a aplicação desta prática, assim


ao comprar um novo roteador, você saberá as políticas mínimas de
segurança que precisam ser aplicadas.
O que é Pentesting?

● É um procedimento para:
○ Avaliar a segurança de determinado sistema, computador ou
rede;
○ Auditar as ações tomadas após a realização de hardening;
○ Simular ataques reais a rede;
○ Aplicar medidas corretivas.

O processo de Pentesting utiliza ferramentas de várias vertentes para


realizar os “ataques” a rede, uma grande variedade dessas
ferramentas foram compiladas e centralizadas no sistema kali linux, o
qual utilizaremos no decorrer do treinamento, sempre é bom
lembrar, os ensinamentos adquiridos aqui devem ser utilizados para
se proteger de forma ativa, nunca para danificar ou gerar ataques em
redes de terceiros, façamos valer o título de ethical hacker!!
Antes de tudo, a lei...

Lei Nº 12.737/2012 (Lei Carolina Dieckman):


● Art. 3º: “Interrupção ou perturbação de serviço telegráfico,
telefônico, informático, telemático ou de informação de
utilidade pública” - “Pena - detenção, de um a três anos, e
multa.”

● Art. 154-A. Invadir dispositivo informático alheio, conectado


ou não à rede de computadores, mediante violação indevida de
mecanismo de segurança e com o fim de obter, adulterar ou
destruir dados ou informações sem autorização expressa ou
tácita do titular do dispositivo ou instalar vulnerabilidades para
obter vantagem ilícita - “Pena - detenção, de um a três
anos, e multa.”
Fases de um Pentest

ff 1 Reconhecimento

ff 2 Varredura

ff 3 Ganhando o acesso

ff 4 Mantendo o acesso

ff 5 Cobrindo Rastros
Reconhecimento (FootPrinting)

● Pesquisa geral;
● Ping e traceroute;
● Sites de emprego;
● Whois;
● Transferência de zona DNS;
● Google;
● Archive.Org;
● Mail Tracking.
Reconhecimento (FootPrinting)
Reconhecimento (FootPrinting)
Varredura

● Varredura de Hosts (endereços IP na rede);


● Varredura de portas (Serviços ativos).
Realizando a enumeração

A Captura de Banners, permite identificar quais recursos estão ativos


atrás de uma determinada porta ou endereço IP, é possível selecionar
vulnerabilidades conhecidas de acordo com o sistema operacional ou
vendor para se obter acesso aos equipamentos por exemplo.
Ganhando o acesso

Utiliza-se geralmente portas bem


conhecidas como ftp, ssh, telnet, winbox
e etc;
Existem diversas técnicas de invasão
para sequestro de senhas e abusos a
serviços vulneráveis;
● Potencializado utilizando algumas
vulnerabilidades de equipamentos.
Mantendo o acesso

● Após a obtenção das credenciais


de acesso, temos a etapa de
manutenção deste, que pode ser
feita com a utilização de root-kits,
malwares específicos ou criação
de backdoors, que em muitos
casos passam totalmente
despercebidos.
Cobrindo rastros

● Log dampening - Remoção dos logs do sistema;


● Eraser - grava em cima do diretório de onde ele está apagando
o arquivo, em muitos casos impossibilita a recuperação de
informações;
● Killav e Clearev.
Perguntas?
Vamos a nossa topologia novamente
Primeiro Laboratório:

E SOFREMOS O PRIMEIRO ATAQUE EM NOSSA


REDE...
Perguntas?
BGP Hijacking
BGP Hijacking
BGP Hijacking
BGP Hijacking
BGP Hijacking
BGP Hijacking
BGP Hijacking
BGP Hijacking
BGP Hijacking

Tempo para convergência total do tráfego ao ASN verdadeiro: 03 horas e 09 minutos


Como se “defender” de um BGP hijacking?

● Anunciar bloco mais específico possível (/24) para igualar ao


anúncio do atacante;
● Contatar operadora que originou o ataque;
● Contatar provedores de trânsito envolvidos no anúncio.

As etapas de mitigação deste tipo de ataque requer a aplicação das


boas práticas relacionadas a validação global de prefixos, dentre
elas:
● Whois (RFC 1786);
● IRR - TC-IRR, RADb, etc.;
● RPKI;
● BGPsec.
Como se “defender” de um BGP hijacking?
Perguntas?
Revisando...

IP – Internet Protocol: Responsável pelo endereçamento e


roteamento, exemplos IPv4 e IPv6; 7 Camada de Aplicação

TCP – Transmission Control Protocol: serviço de comunicação


orientado a conexão, que é estabelecida via 3-way
handshake, exemplos: SMTP, HTTP, SSH, VNC, SOCKS, etc; 6 Camada de Apresentação

UDP – User Datagram Protocol: Não possui o conceito de


conexão, exemplos: DNS, NTP, SNMP, NFS, etc;
5 Camada de Sessão
ICMP – Internet Control Protocol: Informações de controle e
diagnóstico, exemplos: Echo request, Echo reply, Destination
unreachable;
4 Camada de Transporte
ICMPv6 – Internet Control Protocol for IPv6: Exemplos: Echo
request, Echo reply, Router Solicitation
3 Camada de rede

2 Camada de Enlace

1 Camada Física
Perguntas?
Recomendações para Autenticação

● Criar um usuário para cada funcionário;


● Desative contas antigas e inutilizadas;
● Não crie um padrão para geração de contas dos funcionários;
● Não permita senhas fracas de acesso, “admin” nunca mais!
● Não armazene sua senhas em texto puro:
○ Use uma função hash (PBKDF2, Bcrypt, Scrypt e Argon2),
sempre guarde essas informações em uma máquina segura,
hashes podem ser quebrados!
Recomendações para Autorização

● Cada usuário deve ter permissão para acessar o roteador de acordo


com o seu trabalho;
○ Não forneça acesso de nível administrador para todos os
usuários;
○ Crie processos bem definidos quanto à autorização, evite
desconfortos após realizar uma demissão!
○ Pense no que seu estagiário/agente malicioso poderia fazer na
sua rede;
○ Em alguns sistemas é possível criar grupos de privilégios.
Recomendações para Acesso

Opte sempre que possível pela utilização de protocolos seguros para


acesso aos equipamentos.
● Desative os protocolos inseguros se eles estiverem operando;
● Restrinja o alcance dos acessos para que sejam realizados
somente através de uma rede de gerencia (uma rede separada
das demais e altamente protegida);
● Exemplos de protocolos inseguros:
○ Telnet;
○ FTP;
○ HTTP;
○ MAC-telnet.
Recomendações para Acesso

Configure logs com diferentes níveis de criticidade.

Evite gerenciar logs dentro dos roteadores:


○ Quanto mais funções o roteador tiver que fazer, menos
processamento será utilizado para rotear pacotes.

Envie de maneira segura os logs para uma outra máquina (SCP, SFTP,
E-mail criptografado);
○ Algum agente malicioso pode interceptar;

Guarde de maneira segura seus logs:


○ Eles podem te ajudar num processo judicial.

Mantenha a hora correta com NTP.


Recomendações para Auditoria

● É necessário manter um controle de cada usuário com suas


respectivas permissões.
○ Acompanhar as ações de cada usuário nos equipamentos;
○ Operar com níveis de criticidade nos registros:
■ Informativo;
■ Aviso;
■ Crítico.
● Tipos de registros
○ Documentação atualizada;
○ Realizar a guarda de Logs;
○ Backups das configurações.

● É importante guardar a informação com a data e hora certa!


Perguntas?
Vamos a nossa topologia novamente
Procedimentos para teste e defesa

1° Abrir torch do mikrotik de borda;

2° Verifique a origem das requisições e quais protocolos estão


envolvidos;

3° Caso ainda não tenha feito, realize a alteração de login e senha nos
seus equipamentos;

4° Desabilite serviços que não estão em uso.


Aplicando as boas práticas

Segundo os diversos centros de segurança distribuídos pelo mundo, a


arquitetura e funcionamento de alguns protocolos permitem que estes
sejam utilizados para gerar danos a redes devido a capacidade de
amplificação de tráfego, abaixo alguns protocolos listados e
monitorados pelo Cert.br:

● DNS (53/UDP): fator de amplificação de 28 até 54 vezes;


● NTP (123/UDP): fator de amplificação de 556.9 vezes;
● SNMPv2 (161/UDP): fator de amplificação de 6.3 vezes;
● NetBIOS (137–139/UDP): fator de amplificação de 3.8 vezes;
● SSDP (1900/UDP): fator de amplificação de 30.8 vezes;
● CHARGEN (19/UDP): fator de amplificação de 358.8 vezes.

Para o artigo completo acesse: https://www.cert.br/docs/whitepapers/ddos/


Aplicando as boas práticas

Um conjunto de regras de firewall simples resolve o problema de


geração de tráfego baseado em protocolos vulneráveis;
Aplicando as boas práticas

Desabilitando serviços que não estão sendo utilizados e limitando a


origem dos acessos:
Aplicando as boas práticas
Desabilitando serviços que não estão sendo utilizados e limitando a
origem dos acessos:
Aplicando as boas práticas
Aplicando a política de senhas de acordo com as permissões de cada
usuário:
Aplicando as boas práticas
Aplicando o reverse path filter, política descrita na BCP 84,
anti-spoofing:
Aplicando as boas práticas
Podemos ser bastante restritivos nos nossos firewalls, levando em
consideração as legislações vigentes, mas protegendo de fato nossa
rede, não existe receita de bolo para implementação desse nível, o
firewall deve ser dimensionado para cada cenário em específico para
que não haja impacto negativo

x
Agora vamos aplicar cada coisa em seu lugar.

BGP: Aplicação de uRPF, geralmente como “loose”, desabilite todos os recursos


que não estão em utilização, acompanhe ativamente os fóruns do fabricante e os
patches de atualização, não utiliza regras de firewall, pois este pode impactar
negativamente na performance de encaminhamento de pacotes devido a
inspeção, além de estar mais suscetível a travamentos em caso de ataques no
qual ele é relay, a defesa com firewall no BGP só é utilizada em último caso, o
ideal são os serviços de proteção que utilizam o BGP para mitigar problemas;

P’s e PE’s: Aplicação de uRPF também como “loose”, desabilitar os recursos que
não estão em utilização, não utilizar IPs públicos nestes equipamentos, sempre
que possível utilizar VRF para gerar uma “blindagem” de sua rede interna,
acompanhar e aplicar as atualizações conforme recomendação do fabricante, não
se utiliza firewall nos P’s e PE’s, seria como adicionar um quebra-molas em uma
rodovia!;

CE’s em geral: aplicação de uRPF “strict”, desabilitar recursos que não estão
em uso e a implementação mínima é o firewall bloqueando requisições nas
portas conhecidamente vulneráveis, acompanhe e aplique as atualizações
conforme recomendação do fabricante, estude seu cenário e dimensione o
firewall ideal!
Vamos verificar cada coisa?
Perguntas?
Qual foi o resultado? Foi difícil bloquear o
ataque?
Como foi se prevenir?
Pensando em que, dá para tirar a maioria dos
ips publicos da rede?
Pensando na arquitetura
Pensando na arquitetura
Pensando na arquitetura
Pensando na arquitetura
Fixando o conhecimento!
Recursos que ajudam!
Recursos que ajudam!

Coletado dia 30/04/2019


Recursos que ajudam!
Recursos que ajudam!
Recursos que ajudam!
Recursos que ajudam!
Ferramentas que ajudam a melhorar nosso
cenário!

SPOOFER
Perguntas?
Conclusão

Passamos por diversos desafios atualmente, no que tange aos ataques


DDoS anti-competitivos, roubo de informações e demais tipos de
ataques, porém se cada um de nós agir ativamente em nossas redes,
estaremos pouco a pouco fechando o cerco contra os agentes maliciosos
presentes na internet, precisamos agir de forma colaborativa sempre,
pois é algo que os atacantes já fazem a muito tempo.

#VamosJuntos
Obrigado
Prof. Lacier Dias e Prof. Luis Silva

lacier@vlsm.com.br / Luis.silva@vlsm.com.br
lacier.dias

(43) 99168-4052 / (43) 99185-5550

https://www.linkedin.com/in/lacierdias
https://www.linkedin.com/in/prof-luis-silva/

https://www.facebook.com/lacier.dias
https://www.linkedin.com/in/Luis.5ilv4