Escolar Documentos
Profissional Documentos
Cultura Documentos
Durante os
3 primeiros
meses de 2009
1
praticamente
foi atingida
o mesma
quantidade
de ataques do
ano
passado !!!
11 Minutos
8 após
6 o lançamento
2 0
Serviços de Segurança
3 Gerenciada. 4 Serviços de VPN
“Sala de Segurança CCTV”. Segurança
centralizada, monitoramento, resposta a “Transporte Seguro”. Redes
incidentes e gerenciamento de políticas. Virtuais privadas (VPN´s).
Mecanismos de segurança em redes
• Filtro de pacotes
• Gateway de circuito
• Firewall de camada de aplicação
Filtro de pacote
O conceito de filtro de pacote é voltado para atuar sobre a camada de
rede e de transporte, dentro do modelo OSI. Os próprios roteadores podem
realizar essa função entre as suas interfaces de rede por meio de recursos
denominados ACL (listas de controle de acesso), recursos que restringem o
acesso da identificação de endereços IP de origem e destino associados a
outros parâmetros, como o protocolo e as portas da origem e destino (tipo da
aplicação).
O firewall permite melhor resultado comparado aos roteadores, pois é
dedicado à segurança das redes.
Permite utilizar mecanismos de organização das regras entre as interfaces
de modo que aquelas mais genéricas e mais importantes podem ser
executadas em ordem prioritária até chegar-se àquelas mais específicas. É
fundamental, nesse tipo de implementação, o controle de funcionalidade das
regras para que não ocorra inconsistência entre elas de acordo com a
seqüência de execução.
Os pacotes submetidos às regras do firewall são, geralmente, aceitos ou
descartados.
access-list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
Gateway de circuito
O gateway de camada de circuito permite que usuários se comuniquem
com as suas redes internas que são protegidas por um proxy, sendo que
esse proxy esconde os recursos da rede da ação de eventuais invasores.
Firewall Servidor
Cliente
Tráfego de Aplicações
Inspeção Profunda Operação Protocolos Ataques de Aplicações
Pacotes
Filtro de pacotes
Firewall
Fornecedores de Firewalls
• CheckPoint
• Juniper
• NetFilter / Iptables (Linux)
• Ipf (FreeBSD/Linux)
• Microsoft (ISA Server)
• Cisco
• Symantec
• CA
• Astaro
• Aker
IDS
Sistema de detecção de intruso (Intruso Detection System)
são sistemas automáticos que funcionam em tempo real
que são capazes de analisar o tráfego de rede a procura de
padróes suspeitos.
Podem gerar alertas ou tomar ações em caso de ataques.
Permite identificar invasões baseadas em ataques com
assinaturas pré-definidas.
Conceitos sobre os ataques
Falso positivo
• Classificação de uma ação como uma possível intrusão,
quando se trata de uma ação legítima
Falso negativo
• Quando ocorre uma intrusão e a ferramenta permite que
ela passe como se fosse uma ação legítima
Subversão
• Quando o intruso modifica a operação da ferramenta de
IDS para forçar a ocorrência de falso negativo
IPS
• Interrupção;
• Modificação;
• Interceptação;
• Fabricação.
Ameaças na Segurança
F D
Fonte de Destino da
Informação Informação
Fluxo Normal
F D F D
I
Interrupção Interceptação
F D F D
M F
Modificação Fabricação
Ataques de interceptação
• Ameaça a Confidencialidade;
• Ameaça à Integridade;
• Ameaça a Autenticidade;
• Ameaça a Disponibilidade
• Acidentais ou Intencionais;
• Passivos ou Ativos;
• Externos ou Internos.
Principais Ameaças
• Malwares
MALicious softWARES (softwares maliciosos);
Vírus, Worms, Spywares, Adwares e BotNets.
• Linha de ação:
Antivírus (instalação e política de atualização);
Firewall, IPS.
Treinamento e conscientização de pessoal.
Principais Ameaças
Tangíveis Tangíveis
– Lógicos - Ativos
• Dados armazenados – Informações;
• Sistemas – Sistemas;
• Redes – Móveis;
– Físicos – Equipamentos;
• Computadores – Pessoas etc.
• Sistemas de ar-condicionado
• Prédios
– Pessoal
• Empregados
• Prestadores de serviço
Intangíveis
– Imagem;
– Confiabilidade;
– Marca
Principais Ameaças
Qual é a maior ameaça a segurança dos
bens de uma empresa ?
Segurança
Rede de 50 mil PCs ataca sites do governo dos EUA e da Coreia do Sul.
Botnet iniciou ataques de negação de serviço no último final de semana, provocando instabilidades e tirando sites do
ar.Uma rede de computadores zumbis - botnet - formada por cerca de 50 mil computadores iniciou ataques contra
sites dos governos norte-americano e coreano no dia 04/07/2009, causando dores de cabeça para negócios que
atuam nos Estados Unidos e Coreia do Sul.
Especialistas apontaram que o site da Comissão Federal do Comércio dos EUA ficou offline por alguns momentos de
06/07/2009 e 07/07/2009, ainda sem razão identificada. Além disso, Departamento de Transporte também sofreu
instabilidades.
Ataques de negação de serviço atingiram ainda o Departmento de Tesouro dos EUA, e a equipe trabalha para
diminuir o impacto da invasão, informou uma porta-voz.
Outros alvos incluem sites de bancos na Coréia do Sul e nos EUA, o site da Casa Branca e dos departamentos de
Estado e Defesa, entre outros. No caso da Coréia do Sul, páginas da Assembléeia Nacional e do Ministro de Defesa
Nacional foram tirados do ar.
Os ataques, embora poderosos, não são sofisticados e não devem ameaçar a segurança dos sites e dos usuários. A
técnica de negação de serviço tenta sobrecarregar as páginas com solicitações inúteis e torná-las indisponíveis aos
internautas.
Mesmo assim, algumas coisas tornaram o incidente pouco comum. O código do botnet por trás do ataque não usa
técnicas tradicionais. No final de semana, o ataque consumia de 20 GB a 40 GB por segundo de tráfego, número dez
vezes maior que em um ataque comum de negação de serviço.
Spoofing
O spoofing ocorre quando se altera ou oculta o endereço de origem de um
pacote IP, sendo que, para efeito de encaminhamento e roteamento dos pacotes
na rede, basta o endereço de destino. Assim um possível invasor pode enviar
pacotes destrutivos sem ser identificado, o que os caracteriza como uma primeira
etapa de um processo de ataque. Portanto, nesse caso, o spoofing pode ser
promovido tanto por usuários internos como por externos.
A atividade de spoofing não é, na verdade, um ataque, mas sinaliza que
pode ocorrer, por exemplo, um ataque de negação de serviço.
Para combater o spoofing, o firewall desativa o roteamento de origem,
assim são analisados os endereços de origem de cada pacote e, caso os
endereços não estejam presentes nas tabelas de roteamento, então o tráfego é
bloqueado.
Todo tráfego de spoofing é intencional, o que não significa que todo tráfego
seja malicioso, porém por causa desse último podem ocorrer erros de funções ou
falhas de sistemas que gerem o mesmo efeito de spoofing, bem como pode
haver a ocorrência de sistemas de redundância de rede que respondem
automaticamente por spoofing para servidores desligados
SYN flood
Envia Syn
Origem Destino
SYN flood (continuação)
Segurança Física
Segurança Lógica
Controle Administrativo
Patrimônio e
informações da empresa
Administração da Segurança
• Controles Biométricos
- Leitura de Retina
- Leitura de Íris
- Leitura de digitais
- Controle de voz
- Leitura Facial
• Gerenciamento de senhas
- Número de tentativas de erro
- Tamanho
- Histórico
- Complexidade