Você está na página 1de 455

Segurança da Informação

Parte 2

Maj Anderson

anderson@ime.eb.br
Ementa do curso

•  Gestão de Segurança da Informação


–  Política de Segurança da Informação (PSI)
–  Sistema de Gestão de Segurança da Informação (SGSI)
–  Normas ABNT

•  Ataques
–  Tipos, exemplos e taxonomias

•  Segurança Física e Lógica


–  Firewall, Proxy, NAT, IDS e IPS
Gestão de de Segurança da Informação
Política de Segurança da Informação
Política de Segurança da Informação

•  É um documento que serve como mecanismo preventivo de proteção


dos dados e processos importantes de uma organização, que define um
padrão de segurança a ser seguido pelo corpo técnico e gerencial e
pelos usuários, internos ou externos.
Política de Segurança da Informação

•  Outra definição
–  A Política de Segurança é um conjunto de diretrizes, normas,
procedimentos e instruções, destinadas respectivamente aos
níveis estratégico, tático e operacional, com o objetivo de
estabelecer, padronizar e normatizar a segurança tanto no
escopo humano como no tecnológico.
Política de Segurança da Informação

•  A Segurança da Informação "inicia" através da


definição de uma política clara e concisa acerca da
proteção das informações.
•  Através de uma Política de Segurança da Informação,
a empresa formaliza suas estratégias e abordagens para
a preservação de seus ativos.
Política de Segurança da Informação

•  A Política de Segurança da Informação deve ser


compreendida como a tradução das expectativas da
empresa em relação a segurança considerando o
alinhamento com os seus objetivos de negócio,
estratégias e cultura
Política de Segurança da Informação

•  A Política de Segurança de Informações deve:


–  Estabelecer as responsabilidades das funções relacionadas com a
segurança
–  Discriminar as principais ameaças, riscos e impactos envolvidos.
Política de Segurança da Informação

–  Integrar-se às políticas institucionais relativas à segurança em geral,


às metas de negócios da organização e ao plano estratégico de
informática.
–  Gera impactos sobre todos os projetos de informática, tais como
planos de desenvolvimento de novos sistemas e plano de
contingências.
–  Não envolve apenas a área de informática, mas todas as
informações da organização.
Relacionamentos da política de segurança de
informações

Estratégia geral da organização

Estabelece
Contribui
para atingir-
Plano estratégico Define Política de
de segurança de
se as metas
informática informações

Especifica Gera impactos sobre

Planos de desenvolvimento de sistemas


Plano de continuidade de serviços
Objetivos e Escopo

•  Prover uma orientação de apoio da direção para a


segurança da informação de acordo com os requisitos
do negócio e com as leis e regulamentações relevantes
[ISO 27002]
Objetivos e Escopo

•  A política de segurança da informação tem como propósito


elaborar critérios para o adequado:
–  Manuseio
–  Armazenamento
–  Transporte e
–  Descarte das informações.
Elaboração da política

•  As atividades básicas do desenvolvimento da Política de


Segurança da Informação são:
–  Estruturar o Comitê de Segurança
–  Definir Objetivos
–  Realizar Entrevistas e Verificar a Documentação Existente
Elaboração da política

–  Elaborar o Glossário da Política de Segurança;


–  Estabelecer Responsabilidades e Penalidades;
–  Preparar o Documento Final da PSI;
–  Oficializar a Política da Segurança da Informação;
–  Sensibilizar os Colaboradores.
Participação na Política de Segurança

•  Devem estar envolvidos:


–  A alta gerência;
–  A gerência de segurança de informações;
–  Os vários gerentes e proprietários dos sistemas informatizados e,
finalmente;
–  Os usuários.
Documentação da Política de Segurança

•  Algumas das Questões que a PSI Deve Responder


–  O que significa Segurança da Informação?
–  Por que os colaboradores devem se preocupar com segurança?
–  Quais são os objetivos estratégicos de SI?
Documentação da Política de Segurança

–  Como é realizada a gestão da segurança da informação?


–  O que pensa a alta administração?
–  Quais são os principais papéis e responsabilidades?
–  Quais as penalidades previstas?
Estrutura

•  Convém que um documento da política de SI seja aprovado


pela direção, publicado e comunicado para todos os
funcionários e partes externas relevantes [ISO 27002].
Estrutura

•  Uma política de segurança deve ser sustentada por:


–  Diretrizes
–  Normas
–  Procedimentos e Instruções
Estrutura
Diretrizes

•  Conjunto de regras gerais de nível estratégico que tem


como base a visão e a missão da empresa
•  Representam às preocupações da empresa sobre a
segurança das informações
Diretrizes

•  Correspondem a todos os valores que devem ser


seguidos para que as informações tenham o nível de
segurança exigido
Normas

•  Conjunto de regras gerais de segurança que se aplicam


a todos os segmentos envolvidos
•  Deve ser elaborada de forma mais genérica possível
Normas

•  Geralmente são elaboradas com foco em assuntos mais


específicos como:
–  controle de acesso, uso da Internet, uso do correio eletrônico,
acesso físico, instruções sobre senhas e realização de backups, etc.
Procedimentos e Instruções

•  Conjunto de orientações para realizar atividades e


instruções operacionais relacionadas a segurança.
•  Comandos operacionais a serem executados no
momento da realização de um procedimento de
segurança.
•  É importante que exista uma estrutura de registro que esses
procedimentos são executados (evidências objetivas)
Produtos (saídas) da Documentação

•  Carta do Presidente;
•  Diretrizes de Segurança da Informação;
•  Normas Gerais de Segurança da Informação;
•  Exemplos de Procedimentos Operacionais e Instruções
Técnicas
Fatores Críticos de Sucesso

•  Convém que a PSI seja analisada criticamente a


intervalos planejados ou quando mudanças significativas
ocorrerem, para assegurar a sua contínua pertinência,
adequação e eficácia [ISO 27002].
•  Bases de Sustentação: Cultura + Recursos + Monitoramento
Fatores Críticos de Sucesso

•  A implantação da política de segurança depende de:


–  Uma boa estratégia de divulgação e treinamento entre os
usuários, clientes e fornecedores
–  Uma forma eficiente de análise de desempenho da política
Barreiras à Implementação

•  Falta de Consciência Sobre e Importância da política de


segurança
•  Orçamento Reduzido
•  Falta de Recursos Humanos Adequados
•  Ausência de Ferramentas adequadas
Sucesso da PSI

•  Para que uma política de segurança da informação seja


utilizada com sucesso ela precisa ser:
–  Clara: escrita com uma linguagem formal e acessível
–  Concisa: não deve conter informações desnecessárias ou
redundantes
Sucesso da PSI

–  Adequada: com a realidade da empresa


–  Atualizada periodicamente: mudanças no negócios, novas
ameaças, etc
Gestão de Segurança da Informação
SGSI
Organizando a Segurança da Informação

•  Para que uma organização tenha sucesso ao


implementar essas ações de gestão é fundamental que
exista um planejamento e uma estrutura adequada
•  Para tal, é necessário gerenciar a Segurança da
Informação dentro da organização.
Organizando a Segurança da Informação

•  Convém que uma estrutura de gerenciamento seja


estabelecida para iniciar e controlar a implementação da
Segurança da Informação
–  Sistema de Gestão da Segurança da Informação (SGSI)
Organizando a Segurança da Informação

•  Convém que a direção aprove a PSI, atribua as


funções da segurança, coordene e analise criticamente
a implementação da Segurança da Informação
Sistema de Gestão de Segurança da
Informação

•  Definição:
–  Um sistema de gestão de segurança da informação é um sistema
para estabelecer política e objetivos, e para atingir estes objetivos
utilizando:
•  A estrutura organizacional;
•  Processos sistemáticos e recursos associados;
Sistema de Gestão de Segurança da
Informação

•  Metodologia de medição e avaliação;


•  Processo de análise crítica para assegurar que os problemas são
corrigidos e as oportunidades de melhoria são identificadas e
implementadas quando necessário.
Elementos de um sistema de Gestão

•  Política
–  demonstração de compromisso
•  Planejamento
–  identificação das necessidades, recursos, estrutura e
responsabilidades
Elementos de um Sistema de Gestão

•  Implementação e operação
–  construção da consciência organizacional e treinamento
•  Avaliação de desempenho
–  monitoramento e medição, auditoria e tratamento de não
conformidades
Elementos de um Sistema de Gestão

•  Melhoria
–  ação preventiva e corretiva, melhoria contínua
•  Análise crítica pela direção
Sistema de Gestão de Segurança da Informação -
SGSI

•  A norma ISO 27001 foi preparada para prover um modelo


para estabelecer, implementar, operar, monitorar, revisar,
manter e melhorar um SGSI.
•  A adoção de um SGSI deve ser estratégico para a
organização
Sistema de Gestão de Segurança da Informação -
SGSI

•  Projeto e implementação:
–  devem ser escalados conforme as necessidades da organização.
–  Uma situação simples requer uma solução simples.
•  Espera-se que o SGSI mude com o tempo.
ISO 27001

•  Referência da implantação de Processos de Gestão de


Segurança da Informação, publicada em Outubro de 2005.
–  Versão atual publicada em novembro de 2013
•  Esta norma veio tornar padrão internacional o que havia
sido desenvolvido e publicado pela entidade normativa
inglesa BSI (British Standard Institution), com o designação
de BS7799-2.
ISO 27001 é

•  Uma metodologia estruturada reconhecida


internacionalmente dedicada a segurança da informação
•  Um processo definido para validar, implementar, manter e
gerenciar a segurança da informação
ISO 27001 é

•  Um grupo detalhado de controles compreendidos das


melhores práticas de segurança da informação
•  Desenvolvido pelas empresas para as empresas
ISO 27001 não é

•  Um padrão técnico
•  Um produto ou tecnologia dirigida
•  Uma metodologia de avaliação do equipamento
•  Mas pode exigir a utilização de Níveis de Garantia dos
Equipamentos
ABNT NBR ISO/IEC 27001:2006

Estabelecimento do
Sistema de Gestão
Partes Partes
Interessadas Interessadas
Plan
Implementação e Manutenção e Melhoria do
P
Operação do Sistema de Gestão Sistema de Gestão
D A
Do C
Act
Expectativas e
requisitos
Monitoramento e Segurança
da informação
de segurança Análise Crítica do gerenciada
da informação
Sistema de Gestão

Check
PLAN (Planejar)

•  Definir Escopo e Limites do SGSI


•  Definir a Política Geral de Segurança da Informação
•  Definir a metodologia para a avaliação e tratamento de
riscos
•  Identificar e classificar os riscos
•  Identificar e classificar as alternativas para tratamento dos
riscos
PLAN (Planejar)

•  Selecionar objetivos de controle e controles específicos a


implementar
•  Identificar riscos residuais não cobertos
•  Preparar uma Declaração de Aplicabilidade (DDA) - Sumário
•  Obter autorização para implantar o SGSI
•  Formular um plano de ação
DO (Executar)

•  Implantar o plano de tratamento de riscos


•  Implantar os controles definidos
•  Implantar os programas de treinamento e conscientização
dos usuários
•  Gerenciar o SGSI
CHECK (Verificar)

•  Monitorar  controles existentes


•  Realizar revisões periódicas (Auditoria Interna)
•  Analisar efetividade dos controles existentes
•  Verificar novos riscos e nível dos riscos residuais
ACT (Agir)

•  Implementar melhorias necessárias


•  Comunicar ações
•  Garantir que as mudanças atingiram resultado esperado
ABNT NBR ISO/IEC 27001:2013

•  “Sistemas de gestão de segurança da informação –


Requisitos”
–  Especifica uma série de processos voltados para garantira revisão e
melhoria do Sistema de Gestão.
ABNT NBR ISO/IEC 27001:2006

•  Principal característica: “DEVE”.


–  Esta Norma adota o modelo conhecido como ‘Plan-Do-Check-Act’,
que é aplicado para estruturar todos os processos do SGSI (Sistema
de Gestão da Segurança da Informação).
ABNT NBR ISO/IEC 27001:2006

•  Organização
–  1. ESCOPO
–  2. REFERÊNCIAS NORMATIVAS
–  3. TERMOS E DEFINIÇÕES
–  4. SISTEMA DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO
ABNT NBR ISO/IEC 27001:2006

–  5. RESPONSABILIDADE DA DIREÇÃO
–  6. AUDITORIAS INTERNAS DO SGSI
–  7. ANÁLISE CRÍTICA PELA DIREÇÃO DO SGSI
–  8. MELHORIAS DO SGSI ANEXOS A, B e C
ABNT NBR ISO/IEC 27001:2006


•  4. SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO

4.1. REQUISITOS GERAIS


4.2. ESTABELECENDO E GERENCIANDO O SGSI
4.2.1. Estabelecer o SGI (P)
4.2.2. Implementar e operar o SGSI (D)
4.2.3. Monitorar e analisar criticamente o SGSI (C)
4.2.4. Manter e melhorar o SGSI (A)

4.2.1
4.2.2 4.2.4

4.2.3
ABNT NBR ISO/IEC 27001:2006

•  4.3. REQUISITOS DE DOCUMENTAÇÃO


–  4.3.1. Geral (P)
–  4.3.2. Controle de documentos (P)
–  4.3.3. Controle de registros (P,D,C e A)

4.2.1
4.2.2 4.2.4

4.2.3
ABNT NBR ISO/IEC 27001:2006

•  5. RESPONSABILIDADE DA DIREÇÃO
–  5.1. COMPROMETIMENTO DA DIREÇÃO (P)
–  5.2. GESTÃO DE RECURSOS (D)
•  5.2.1. Provisão de recursos
•  5.2.2. Treinamento, conscientização e competência
•  6. AUDITORIAS INTERNAS DO SGSI (C)
ABNT NBR ISO/IEC 27001:2006

•  7. ANÁLISE CRÍTICA DO SGSI PELA DIREÇÃO (A)


–  7.1. GERAL
–  7.2. ENTRADAS PARA A ANÁLISE CRÍTICA
–  7.3. SAÍDAS DA ANÁLISE CRÍTICA
ABNT NBR ISO/IEC 27001:2006

•  8. MELHORIA DO SGSI (A)


–  8.1. MELHORIA CONTÍNUA
–  8.2. AÇÃO CORRETIVA
–  8.3. AÇÃO PREVENTIVA
Alguns Benefícios da Certificação ISO 27001

•  Responsabilidade reduzida devido às políticas e aos


procedimentos não implementados ou reforçados
•  Oportunidade de identificar e eliminar fraquezas
•  A Gerência participa da Segurança da Informação
Alguns Benefícios da Certificação ISO 27001

•  Revisão independente do seu SGSI


•  Fornece segurança a todas as partes interessadas
•  Melhor consciência da segurança
•  Une recursos com outros sistemas de gerenciamento
•  Mecanismo para medir o sucesso do sistema
Algumas Razões para adotar o ISO 27001

•  Eficácia melhorada da Segurança da Informação


•  Diferenciação do Mercado
•  Satisfazer exigências dos clientes
•  Único padrão com aceitação global
Algumas Razões para adotar o ISO 27001

•  Responsabilidades focadas na equipe de trabalho


•  A Tecnologia da Informação cobre padrões tão bem quanto
a organização, pessoal e facilidades
•  Mandatos e leis
ABNT NBR ISO/IEC 27002

•  “CÓDIGO DE PRÁTICA PARA A GESTÃO DA SEGURANÇA DA


INFORMAÇÃO”
–  Apresenta “as melhores práticas” a serem utilizadas na gestão da
segurança da informação.
Estrutura da Norma

•  5. Política de Segurança da Informação (1)


Estrutura da Norma

•  5. Política de Segurança da Informação (1)

–  5.1 Política de Segurança da Informação


•  Objetivo: "Prover uma orientação de apoio da direção para a segurança
da informação de acordo com os requisitos do negócio e com as leis e
regulamentações relevantes“
Estrutura da Norma

5.1.1 Documento da Política de Segurança da


Informação
–  "Convém que um documento da política de SI seja aprovado pela
direção ..."
5.1.2 Análise Crítica da Política de Segurança da
Informação
–  "Convém que a política de SI seja analisada criticamente a
intervalos planejados ou quando mudanças ...
Estrutura da Norma

•  Objetivo do controle
•  Controle
•  Diretrizes para implementação
•  Informações adicionais

•  Principal característica: “CONVÉM”.


Seções (Categorias)

•  Política de Segurança da Informação (1)


•  Organizando a Segurança da Informação (2)
•  Gestão de Ativos (2)
•  Segurança em Recursos Humanos (3)
•  Segurança Física e do Ambiente (2)
Seções (Categorias)

•  Gestão de Operações e Comunicações (10)


•  Controle de Acesso (7)
•  Aquisição, Desenvolvimento e Manutenção de SI (6 )
•  Gestão de Incidentes de SI (2)
•  Gestão da Continuidade do Negócio (1)
•  Conformidade (3)
5.POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

•  5.1. POLÍTICA DE SEGURANÇA DA INFORMAÇÃO


–  Prover uma orientação e apoio da direção para a segurança da
informação, com base nos requisitos do negócio, leis e
regulamentações relevantes.
5.POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

•  Estabelecimento e manutenção de uma política clara e alinhada com os


objetivos do negócio.
•  Demonstrar o comprometimento da direção.
•  Conscientização e treinamento.
•  Análise crítica documentada e realizada em intervalos planejados.
6.ORGANIZANDO A SEGURANÇA DA INFORMAÇÃO

•  6.1. INFRA-ESTRUTURA DA SEGURANÇA DA INFORMAÇÃO


–  Gerenciar a segurança da informação dentro da organização
•  6.2. PARTES EXTERNAS
–  Manter a segurança dos recursos de processamento e da informação
da organização que são acessados, processados, comunicados ou
gerenciados por partes externas.
7. GESTÃO DE ATIVOS

•  7.1. RESPONSABILIDADE PELOS ATIVOS


–  Alcançar e manter a proteção adequada dos ativos da organização.
•  Ativos identificados claramente e inventariados constantemente.
7. GESTÃO DE ATIVOS

•  7.2. CLASSIFICAÇÃO DA INFORMAÇÃO


–  Assegurar que a informação receba um nível adequado de proteção
•  A informação deve ser classificada em termos do seu valor, requisitos
legais, sensibilidade e criticidade para a organização.
8. SEGURANÇA EM RECURSOS HUMANOS

•  8.1. ANTES DA CONTRATAÇÃO


•  8.2. DURANTE A CONTRATAÇÃO
•  8.3. ENCERRAMENTO OU MUDANÇA DA CONTRATAÇÃO
8. SEGURANÇA EM RECURSOS HUMANOS

•  Funcionários, fornecedores e terceiros:


–  Entendam suas responsabilidades e obrigações;
–  Estejam de acordo com os seus papéis;
–  Estejam conscientes das ameaças;
–  Estejam preparados para apoiar a Política; e
–  Deixem a organização (ou mudem de trabalho) de forma ordenada.
9. SEGURANÇA FÍSICA E DO AMBIENTE

•  9.1. ÁREAS SEGURAS


•  9.2. SEGURANÇA DE EQUIPAMENTOS
–  Prevenir o acesso físico não autorizado, danos e interferências com
as instalações e informações da organização.
•  Controles de entrada física; e
•  Proteção contra ameaças externas e do meio ambiente.
9. SEGURANÇA FÍSICA E DO AMBIENTE

–  Impedir perdas, danos, furto ou comprometimento de ativos e


interrupção das atividades da organização.
•  Segurança do cabeamento; e
•  Reutilização e alienação segura de equipamentos.
10. GERENCIAMENTO DAS OPERAÇÕES E COMUNICAÇÕES

•  10.1. DOCUMENTAÇÃO DOS PROCEDIMENTOS DE OPERAÇÃO


–  Garantir a operação segura e correta dos recursos de processamento
de dados.
•  10.2. GERENCIAMENTO DE SERVIÇOS TERCEIRIZADOS
–  Implementar e manter o nível apropriado
10. GERENCIAMENTO DAS OPERAÇÕES E COMUNICAÇÕES

•  10.3. PLANEJAMENTO E ACEITAÇÃO DE SISTEMAS


–  Minimizar o risco de falhas nos sistemas
•  10.4. PROTEÇÃO CONTRA CÓDIGOS MALICIOSOS E CÓDIGOS
MÓVEIS
–  Proteger a integridade do software e da informação.
10. GERENCIAMENTO DAS OPERAÇÕES E COMUNICAÇÕES

•  10.5. CÓPIAS DE SEGURANÇA DAS INFORMAÇÕES


–  Manter a integridade e disponibilidade da informação e dos recursos
de processamento da informação.
•  10.6. GERENCIAMENTO DA SEGURANÇA EM REDES
–  Garantir a segurança das informações em redes e a proteção da
infraestrutura de suporte.
10. GERENCIAMENTO DAS OPERAÇÕES E COMUNICAÇÕES

•  10.7. MANUSEIO DE MÍDIAS


–  Prevenir contra divulgação não autorizada, modificação, remoção
ou destruição aos ativos e interrupções das atividades do negócio.
•  10.8. TROCA DE INFORMAÇÕES
–  Manter a segurança na troca de informações e softwares à
organização e com quaisquer entidades externas.
10. GERENCIAMENTO DAS OPERAÇÕES E COMUNICAÇÕES

•  10.9. SERVIÇO DE COMÉRCIO ELETRÔNICO


–  Garantir a segurança de serviços de comércio eletrônico e sua
utilização segura.
•  10.10. MONITORAMENTO
–  Detectar atividades não autorizadas de processamento da
informação.
11. CONTROLE DE ACESSOS

•  11.1. REQUISITOS DE NEGÓCIO PARA CONTROLE DE ACESSO


–  Controlar o acesso à informação
•  11.2. GERENCIAMENTO DE ACESSO DO USUÁRIO
–  Assegurar o acesso do usuário autorizado e prevenir o acesso não
autorizado a sistemas de informação.
•  11.3. RESPONSABILIDADES DOS USUÁRIOS
–  Prevenir o acesso não autorizado dos usuários e evitar o
comprometimento ou roubo da informação e dos recursos de
processamento da informação.
11. CONTROLE DE ACESSOS

•  11.4. CONTROLE DE ACESSO À REDE


–  Prevenir o acesso não autorizado aos serviços de rede.
•  11.5. CONTROLE DE ACESSO AO SISTEMA OPERACIONAL
–  Prevenir o acesso não autorizado aos sistemas operacionais.
11. CONTROLE DE ACESSOS

•  11.6. CONTROLE DE ACESSO À APLICAÇÃO E À INFORMAÇÃO


–  Prevenir o acesso não autorizadoà informação contida nos sistemas
de aplicação.
•  11.7. COMPUTAÇÃO MÓVEL E TRABALHO REMOTO
–  Garantir a segurança da informação e recursos de trabalho remoto.
12. AQUISIÇÃO, DESENVOLVIMENTO E MANUTENÇÃO DE
SISTEMAS DE INFORMAÇÃO

•  12.1. REQUISITOS DE SEGURANÇA DE SISTEMAS DE


INFORMAÇÃO
–  Garantir que a segurança é parte integrante de sistemas de
informação.
•  12.2. PROCESSAMENTO CORRETO NAS APLICAÇÕES
–  Prevenir a ocorrência de erros, perdas, modificação não autorizada
ou mau uso de informações em aplicações.
12. AQUISIÇÃO, DESENVOLVIMENTO E MANUTENÇÃO DE
SISTEMAS DE INFORMAÇÃO

•  12.3. CONTROLES CRIPTOGRÁFICOS


–  Proteger a confidencialidade, a autenticidade ou a integridade das
informações por meios criptográficos.
•  12.4. SEGURANÇA DOS ARQUIVOS DO SISTEMA
–  Garantir a segurança de arquivos de sistema.
12. AQUISIÇÃO, DESENVOLVIMENTO E MANUTENÇÃO DE
SISTEMAS DE INFORMAÇÃO

•  12.5. SEGURANÇA EM PROCESSOS DE DESENVOLVIMENTO E


DE SUPORTE
–  Manter a segurança de sistemas aplicativos e da informação.
•  12.6. GESTÃO DE VULNERABILIDADES TÉCNICAS
–  Reduzir riscos resultantes da exploração de vulnerabilidades
técnicas conhecidas.
13. GESTÃO DE INCIDENTES DE SEGURANÇA DA
INFORMAÇÃO

•  13.1. NOTIFICAÇÃO DE FRAGILIDADES E EVENTOS DE


SEGURANÇA DA INFORMAÇÃO
–  Assegurar que fragilidades e eventos de segurança da informação
associados com sistemas de informação sejam comunicados,
permitindo a tomada de ação corretiva em tempo hábil.
13. GESTÃO DE INCIDENTES DE SEGURANÇA DA
INFORMAÇÃO

•  13.2. GESTÃO DE INCIDENTES DE SEGURANÇA DA


INFORMAÇÃO E MELHORIAS
–  Assegurar que um enfoque consistente e efetivo seja aplicado à
gestão de incidentes de segurança da informação.
14. GESTÃO DA CONTINUIDADE DO NEGÓCIO

•  14.1. ASPECTOS DA GESTÃO DA CONTINUIDADE DO


NEGÓCIO, RELATIVOS À SEGURANÇA DA INFORMAÇÃO
–  Não permitir a interrupção das atividades do negócio e proteger os
processos críticos contra efeitos de falhas ou desastres significativos
e assegurar a sua retomada em tempo hábil, se for o caso.
15. CONFORMIDADE

•  15.1. CONFORMIDADE COM REQUISITOS LEGAIS


–  Evitar violação de qualquer lei criminal ou civil, estatutos,
regulamentações ou obrigações contratuais e de quaisquer
requisitos de segurança da informação.
15. CONFORMIDADE

•  15.2. CONFORMIDADE COM NORMAS E POLÍTICAS DE


SEGURANÇA DA INFORMAÇÃO E CONFORMIDADE TÉCNICA
–  Garantir conformidade dos sistemas com as políticas e normas
organizacionais de segurança da informação.
15. CONFORMIDADE

•  15.3. CONSIDERAÇÕES QUANTO À AUDITORIA DE SISTEMAS


DE INFORMAÇÃO
–  Maximizar a eficácia e minimizar a interferência no processo de
auditoria dos sistemas de informação.
Organizando a Segurança da Informação

•  Estudamos vários aspectos da Gestão da Segurança da


Informação, porém para que uma organização tenha
sucesso ao implementar essas ações de gestão é
fundamental que exista um planejamento e uma
infraestrutura adequada;
•  Para tal, é necessário gerenciar a Segurança da Informação
dentro da organização.
Organizando a Segurança da Informação

•  O que significa “Gerenciar a Segurança da Informação


dentro da organização?”
–  Convém que uma infraestrutura de gerenciamento seja estabelecida
para iniciar e controlar a implementação da SegInfo.
–  Convém que a direção aprove a PSI, atribua as funções da
segurança, coordene e analise criticamente a implementação da
SegInfo.
Objetivos dos Controles

•  Comprometimento da direção com a SegInfo;


•  Coordenação da SegInfo;
•  Atribuição de responsabilidades;
•  Processo de autorização para os recursos de processamento
da informação
Objetivos dos Controles

•  Acordos de confidencialidade;
•  Contato com autoridades e grupos especiais;
•  Análise independente de SegInfo.
Perfil do Gestor de Segurança

•  Perfil do Gestor de Segurança ( <> Chief Security Officer)


–  Visão Global e foco local;
–  Tomar decisões baseados na análise de riscos;
–  Criar e multiplicar padrões;
–  Capacidades: comunicação, relacionamento e liderança;
–  Profissional orientado a metas ligadas à missão da empresa.
Principais desafios

•  Limitações de orçamento;
•  Conscientizar gestores e colaboradores;
•  Questões políticas;
•  Desenvolver e reter profissionais e suas respectivas
habilidades;
Fatores Críticos de Sucesso (FCS)

•  Autonomia;
•  Entender o Princípio de Pareto como uma ferramenta de
Gestão ;
–  20% das causas representam 80% das consequências;
•  Buscar comprometimento e envolvimento
Comitê de Segurança

•  Conforme já estudamos esse grupo tem como objetivo


tomar decisões estratégicas a respeito da SegInfo, elaborar
diretrizes e apoiar (dar suporte) as iniciativas de segurança;
•  Formado por executivos, diretores e/ou gestores;
Grupo de Trabalho

•  CSO e/ou Gestor de Segurança da Informação;


•  Consultor de Segurança;
•  Analista de Segurança;
•  Auditores;
•  Estrutura Organizacional (define o tipo de autonomia e
interação que a área de SegInfo terá com as outras áreas).
Partes Externas

•  Gerenciar a SegInfo implica ainda em:


–  Manter a segurança dos recursos de processamento da informação e
da informação da organização que são acessados, processados,
comunicados e/ou gerenciados por partes externas (clientes,
fornecedores, terceiros).
Partes Externas – Objetivos de Controle

•  Identificação dos riscos relacionados com a partes externas;


•  Identificando a SegInfo quando tratando com clientes;
•  Identificando a SegInfo em acordos com terceiros
Incidentes
O que é um incidente de segurança?

•  Qualquer evento adverso, confirmado ou sob suspeita,


relacionado à segurança dos sistemas de computação ou das
redes de computadores.
-ou-
•  O ato de violar uma política de segurança, explícita ou
implícita.
Exemplos de incidentes

•  Tentativas (com ou sem sucesso) de ganhar acesso não


autorizado a sistemas ou a seus dados
•  Interrupção indesejada ou negação de serviço;
•  Uso não autorizado de um sistema para processamento ou
armazenamento de dados;
Exemplos de incidentes

•  Modificações nas características de hardware, firmware ou


software de um sistema, sem o conhecimento, instruções
ou consentimento prévio do dono do sistema.
ENISA-https://www.enisa.europa.eu/

CURSO DE ENGENHARIA DA COMPUTAÇÃO (SE/8)


A Gestão de Incidentes de Segurança da
Informação

•  Notificação de fragilidades e eventos


–  Assegurar que fragilidades e eventos de segurança da
informação associados com sistemas de informação sejam
comunicados, permitindo a tomada de ação corretiva em tempo
hábil.
A Gestão de Incidentes de Segurança da
Informação

•  Responsabilidades e Procedimentos;
–  Asseguram respostas rápidas, efetivas e ordenadas.
•  Aprendendo com os incidentes;
–  Quantificar e monitorar.
•  Coleta de Evidências.
–  Coleta, armazenamento e apresentação em conformidade com a
jurisdição .
Tratamento de Incidentes

•  Detecção
–  Reportado ou Identificado
•  Triagem
–  Avaliar, Categorizar e priorizar
•  Análise
–  Entender o incidente
•  Resposta
–  Ações para resolver o incidente

Fonte: Good Practice Guide For Incident Management


Tratamento de Incidentes

Fonte: Good Practice Guide For Incident


Management
Fonte: Good Practice Guide For
Incident Management
Ciclo de Resolução de um Incidente

Fonte: Good Practice


Guide For Incident
Management
Computer Security Incident Response Team
(CSIRT)

•  Computer Security Incident Response Team (CSIRT)", ou


Grupo de Resposta a Incidentes de Segurança, é uma
organização responsável por receber, analisar e responder a
notificações e atividades relacionadas a incidentes de
segurança em computadores.
Computer Security Incident Response Team
(CSIRT)

•  Presta serviços para uma comunidade bem definida, que


pode ser a entidade que o mantém, como uma empresa, um
órgão governamental ou uma organização acadêmica.
–  Um CSIRT também pode prestar serviços para uma comunidade
maior, como um país, uma rede de pesquisa ou clientes que pagam
por seus serviços.
CSTIR - Brasil

•  CERT.br
–  O Centro de Estudos, Resposta e Tratamento de Incidentes de
Segurança no Brasil é mantido pelo NIC.br , do Comitê Gestor da
Internet no Brasil, e atende a qualquer rede brasileira
conectada à Internet.
CERT.br
Incidentes Reportados (CERT.br)
dos (DoS -- Denial ofReportados
Incidentes Service): notificações de ataques de
(CERT.br)
negação de serviço, onde o atacante utiliza um computador ou
um conjunto de computadores para tirar de operação um
serviço, computador ou rede.
Incidentes Reportados (CERT.br)

7.7 DDoS 2009


Incidentes Reportados (CERT.br)

Payback 2010
Incidentes Reportados (CERT.br)

Payback 2010
Incidentes Reportados (CERT.br)

Payback 2010
Incidentes Reportados (CERT.br)

http://sourceforge.net/projects/loic/

Payback 2010
Incidentes Reportados (CERT.br)

Payback 2010
Incidentes Reportados (CERT.br)
Incidentes Reportados (CERT.br)
Incidentes Reportados (CERT.br)

https://www.us-cert.gov/ncas/alerts/TA15-105A
invasão:Incidentes
um ataque bem sucedido que
Reportados resulte no acesso não
(CERT.br)
autorizado a um computador ou rede.
web: umIncidentes
caso particular de ataque visando
Reportados especificamente o
(CERT.br)
comprometimento de servidores Web ou desfigurações de
páginas na Internet.
Incidentes Reportados (CERT.br)
Incidentes Reportados (CERT.br)
Incidentes Reportados (CERT.br)
scan: notificações
Incidentes deReportados
varreduras em(CERT.br)
redes de computadores,
com o intuito de identificar quais computadores estão ativos e
quais serviços estão sendo disponibilizados por eles. É
amplamente utilizado por atacantes para identificar potenciais
alvos, pois permite associar possíveis vulnerabilidades aos
serviços habilitados em um computador.
Incidentes Reportados (CERT.br)
fraude: Incidentes
segundo Houaiss, é "qualquer
Reportados ato ardiloso, enganoso,
(CERT.br)
de má-fé, com intuito de lesar ou ludibriar outrem, ou de não
cumprir determinado dever; logro". Esta categoria engloba as
notificações de tentativas de fraudes, ou seja, de incidentes em
que ocorre uma tentativa de obter vantagem.
outros: Incidentes
notificações de incidentes que
Reportados não se enquadram nas
(CERT.br)
categorias anteriores.
Incidentes Reportados (CERT.br)
Tentativas de fraudes reportadas (CERT.br)
Incidentes Reportados
Incidente [revisão]

•  Qualquer evento adverso, confirmado ou sob suspeita,


relacionado à segurança dos sistemas de computação ou das
redes de computadores.
-ou-
•  O ato de violar uma política de segurança, explícita ou
implícita.
Taxonomia de incidentes

•  Existem diversas taxonomias criadas por vários autores e


grupos de pesquisa, mas pode-se classificar os incidentes de
acordo com:
–  Atacante
•  um indivíduo que tenta um ou mais ataques, a fim de atingir um
objetivo
–  Ferramentas
•  Meios que podem ser usados para explorar uma vulnerabilidade em um
computador ou rede
Taxonomia de incidentes

–  Vulnerabilidade
•  Fragilidade de um ativo ou grupo de ativos que pode ser explorada por
uma ou mais ameaças
–  Ação
•  Representa um espectro de atividades que podem ser feitas em
computadores e redes, sendo uma etapa que um usuário ou um processo
realiza com o objetivo de atingir um resultado final
–  Alvo
•  Um computador, rede ou uma entidade lógica (conta, processo ou
dados) ou entidade física (componente, computador ou rede).
Taxonomia de incidentes

–  Vulnerabilidade
•  Fragilidade de um ativo ou grupo de ativos que pode ser explorada por
uma ou mais ameaças
–  Ação
•  Representa um espectro de atividades que podem ser feitas em
computadores e redes, sendo uma etapa que um usuário ou um processo
realiza com o objetivo de atingir um resultado final
–  Alvo
•  Um computador, rede ou uma entidade lógica (conta, processo ou
dados) ou entidade física (componente, computador ou rede).
Taxonomia de incidentes

–  Vulnerabilidade
•  Fragilidade de um ativo ou grupo de ativos que pode ser explorada por
uma ou mais ameaças
–  Ação
•  Representa um espectro de atividades que podem ser feitas em
computadores e redes, sendo uma etapa que um usuário ou um processo
realiza com o objetivo de atingir um resultado final
–  Alvo
•  Um computador, rede ou uma entidade lógica (conta, processo ou
dados) ou entidade física (componente, computador ou rede).
Taxonomia de incidentes

–  Resultado
•  Resultado de um ataque oriundo de uma ação não aprovada pelo
proprietário ou administrador
–  Objetivo
•  Propósito ou objetivo final de um incidente
Atacantes – definições
Atacantes

•  Hackers
–  Atacante que usa computadores para obter acesso não autorizado
aos dados.
–  Usuários avançados, que possuem um exímio conhecimento em
informática
•  Espiões
–  Atacantes que atacam computadores para obter informações a
serem utilizadas para fins políticos
•  Terroristas
–  Atacantes que tem por objetivo de causar medo para obter ganhos
políticos
Atacantes

•  Atacantes corporativos
–  empregados (atacantes) que atacam computadores de empresas
concorrentes para obter ganhos financeiros ou roubar informações
•  Criminosos profissionais
–  Atacantes que tem por objetivo obter ganhos pessoais
Atacantes

•  Vândalos
–  Atacantes que tem por objetivo causar danos
•  Voyeurs
–  Atacantes que tem por objetivo obter informações sensíveis por
“emoção” ou realização pessoal
Jargões

•  White hat
–  Hacker que estuda sistemas de computação à procura de falhas na
sua segurança, mas respeitando princípios da ética hacker.
–  Ao encontrar uma falha, o white hat normalmente a comunica em
primeiro lugar aos responsáveis pelo sistema para que tomem as
medidas cabíveis.
Jargões

•  Black hat
–  Hacker que não respeita a ética hacker e usa seu conhecimento para
fins criminosos ou maliciosos; ou seja, um cracker.
–  Também chamado darkside hacker;
Jargões

•  Grey hat
–  Hacker intermediário entre white e black: por exemplo, um que
invade sistemas por diversão mas que evita causar dano sério e que
não copia dados confidenciais.
•  Newbie
–  é o termo usado para designar um hacker principiante.
Jargões

•  Lammer ou então script kiddie


–  Alguém que se considera hacker mas que, na verdade, é pouco
competente e usa ferramentas desenvolvidas por outros crackers
para demonstrar sua suposta capacidade ou poder
•  Phreaker
–  é um hacker especializado em telefonia (móvel ou fixa).
Jargões

•  Hacktivist ou "hacktivista"
–  é um hacker que usa suas habilidades com a intenção de ajudar em
causas sociais ou políticas.
Hackers Famosos

•  http://tecnologia.terra.com.br/internet/hackers-famosos/

CURSO DE ENGENHARIA DA COMPUTAÇÃO (SE/8)


Ataques

CURSO DE ENGENHARIA DA COMPUTAÇÃO (SE/8)


Ferramentas de ataque/segurança

•  Várias ferramentas podem ser utilizadas para ataque/


segurança
–  Programas de varredura
–  Crackers de senha
–  Sniffers
–  Ferramentas de log e auditoria
Etapas de um ataque

1.  Reconheciment
(Reconnaissance)
–  Ativo
–  Passivo
2.  Varredura (Scanning)
3.  Obter acesso
–  Ao SO ou aplicação
–  Rede
–  Negação de serviço (DoS)
4.  Manutenção do acesso
–  Enviando, alterando ou
baixando programas ou
dados
5.  Limpando rastros
Fase 1 - Reconhecimento

•  Reconhecimento
–  Coletar informações do local a ser atacado.
•  Fase preparatória onde um atacante procura reunir o máximo de
informações possíveis sobre um alvo antes de lançar um ataque
–  Pode ser
•  Passivo
–  Sem contato direto com a vítima
–  Uso de informações públicas
•  Ativo
–  Interagindo com o alvo
–  Ligações telefônicas para o help desk, engenharia social, etc…
–  É realizado o footprinting do alvo
Fase 1 - Reconhecimento

•  Footprinting é o processo de obter dados a respeito de um determinado


ambiente, normalmente com o objetivo de encontrar meios para
realizar a invasão

•  Resulta em um perfil a respeito das redes (Internet/intranet/extranet/


wireless) e sistemas envolvidos

•  Um atacante gasta maior parte do tempo no levantamento do perfil da


empresa, em relação ao tempo do ataque em si.

•  É necessário para que sistematicamente e metodologicamente garantir


que todas as informações relacionadas ao alvo sejam identificadas
Fase 1 - Reconhecimento

•  Informações a serem obtidas


–  Internet
•  Nomes de domínio
•  Blocos de rede
•  Endereços IP específicos
•  Serviços TCP e UDP
•  Arquitetura de sistemas
•  Mecanismos de controle de acesso
•  IDS
•  Topologia da rede
•  Enumeração de Sistema
–  Acesso Remoto
•  Números de telefone
•  Tipo de sistema remoto
•  Mecanismos de autenticação
–  Extranet
•  Origem e destino das conexões
•  Tipos de conexões
•  Mecanismos de controle de acesso
Fase 1 - Reconhecimento

•  Obter informações onde a empresa a disponibiliza


–  Site da empresa e relacionados
•  Faça uma cópia do site e implemente um programa para coletar
informações que julgar interessante.
–  Linux: wget
–  Windows: Teleport pro
–  Pesquise problemas de segurança que a empresa possa ter tido
•  Google
–  Listas de discussão sobre plataformas, sistemas, hardware, etc.
–  Arquivos de sites antigos
•  www.archive.org
Fase 1 - Reconhecimento

•  Ferramentas
–  Whois
–  Nslookup
–  Nmap
–  Neo Trace
–  VisualRoute Trace
–  SmartWhois
–  eMailTrackerPro
–  Website watcher
–  GEO Spider
–  HTTrack Web Copier
–  E-mail Spider
Fase 1 - Reconhecimento

–  Alchemy Network Tool


–  Big Brother
–  BiLE Suite
–  CountryWhois
–  WhereIsIP
–  Ip2country
–  CallerIP
–  Web Data Extractor Tool
–  What is MyIP.com
–  SpiderFoot
–  Google Hacking
Fase 2 - Varredura

•  Varredura refere-se a fase de pré-


ataque quando o hacker varre a rede para obter
informações específicas com base nas informações
recolhidas durante o reconhecimento
•  Varredura pode incluir o uso de scanners de
portas, mapeamento de rede, scanners
de vulnerabilidade, etc.
•  Risco para o negócio
–  Alto
•  Atacantes obtem uma porta de entrada para poder realizar o ataque
Fase 2 - Varredura

•  Tipos de varredura
–  De Porta
–  De Rede
–  De Vulnerabilidades

•  Objetivos
–  Descobrir detalhes da rede (topologia, equipamentos…)
–  Descobrir serviços em execução
–  Descobrir portas ativas
–  Descobrir sistemas operacionais
–  Descobrir os endereços IP em uso
Fase 2 - Varredura

•  Metodologia
–  Verificar por sistemas ativos
–  Verificar por portas abertas
–  Identificar os serviços
–  Capturar Banner e identificar serviços
–  Procurar por vulnerabilidades
–  Desenhar os diagramas de hosts vulneraveis
–  Preparar proxies
Fase 2 - Varredura

•  Ferramentas utilizadas
–  Programas de varredura
•  Os programas de varredura procuram determinar:
–  Que serviços estão atualmente executando
–  Se acessos anônimos são suportados
–  Se certos serviços requerem autenticação
–  Falhas de segurança conhecidas e não corrigidas
•  Os programas de varredura revelam fraquezas na rede
–  Podem auxiliar tanto administradores quanto possíveis invasores
•  A maioria dos programas de varredura permite varrer vários domínios e
redes
Fase 2 - Varredura

•  Algumas ferramentas comerciais


–  strobe
•  Rápido, confiável, somente faz varreduras TCP
–  udp_scan
•  SATAN, SAINT, somente UDP
–  netcat
•  nc, TCP e UDP
–  nmap
–  netscan
–  superscan
–  NTOScanner
–  WinScan
–  ipEye
–  WUPS
–  GFI Languard
–  SATAN
–  Nessus
–  Retina
Fase 2 - Varredura

•  Preparo de Proxies
–  Proxy é um computador que atua como intermediário na
comunicação entre duas outras máquinas
–  Pode ser utilizado uma cadeia de proxies
•  Existem proxies gratuitos na internet

–  Objetivo
•  Dificultar a identificação do atacante
•  Mascarar os registros

–  Algumas ferramentas
–  Socks Chain
–  Proxy WorkBench
–  Proxy Manager Tool
–  Multiproxy
Fase 2 - Varredura

•  Preparo de Proxies
Ataques para obtenção de informações

•  Técnicas:
–  Dumpster diving ou Trashing
–  Engenharia Social
–  Eavesdropping ou Packet Sniffing
–  Scanning
–  Firewalking
–  Phishing
Ataques para obtenção de informações

•  Dumpster diving ou Trashing


–  Revirar o lixo a procura de informações.
–  Pode revelar informações pessoais e confidenciais.
•  Engenharia Social
–  Tem como objetivo enganar e ludibriar pessoas.
–  Ataca o elo mais fraco da segurança → “o usuário”.
–  Normalmente o atacante se faz passar por um funcionário da
empresa.
Ataques para obtenção de informações

•  Eavesdropping ou Packet Sniffing


–  A interface de rede é colocada em “modo promíscuo”.
–  Captura pacotes no mesmo segmento de rede.
–  Senhas trafegam em claro (Telnet, FTP, POP, HTTP, etc)
•  Wireshark, tcpdump
Ataques para obtenção de informações

•  Scanning
–  Port Scanning
•  Obtém informações a respeito dos serviços acessíveis (portas abertas)
em um sistema.
–  Scanning de vulnerabilidades
•  Obtém informações sobre vulnerabilidades específicas (conhecidas)
para cada serviço em um sistema.
Nmap
Network view
Nessus
Ataques para obtenção de informações

•  Firewalking
–  Obtém informações sobre as regras do firewall que protege uma
rede, a partir de uma rede externa.
–  Funcionamento similar ao traceroute. Usa TCP/UDP Port Scan.
Phishing

•  Problemas com e-mail


–  boatos
–  correntes
–  spam
–  phishing-scam
•  scam – Uma ação ou operação fraudulenta ou enganosa
•  phishing
–  vírus
–  worms
–  Engenharia Social
Phishing-scam
Outros exemplos

•  Orkut fake
•  Abaixo assinados
•  Virus de MSN
194

Prof Fernando Hämmerli - Segurança de Redes de Computadores - Unidade II


195

Prof Fernando Hämmerli - Segurança de Redes de Computadores - Unidade II


Fase 3 – Obter acesso

•  Passo 1: Enumerar usuários


–  Obter nome de usuários utilizando recursos de enumeração para
Windows ou verificação SNMP
•  Passo 2: “quebrar” a senha
–  Descobrir a senha do usuário para ganhar acesso ao sistema
•  Passo 3: Elevar privilégios
–  Elevar para o nível de administrador
•  Passo 4: Executar aplicações
–  Infiltrar keyloggers, spywares, and rootkits na máquina invadida
•  Passo 5: Esconder arquivos
–  Por exemplo, utilizando esteganografia para esconder as
ferramentas ou códigos fonte
•  Passo 6: Apagar registros
–  Apagar registros para evitar de ser descoberto
Enumeração

•  Enumeração é definida como o processo de extração de


nomes de usuário, nomes das máquinas, recursos de rede,
compartilhamentos e serviços
•  Normalmente realizadas em ambientes de intranet
•  Envolve conexões ativas para determinados sistemas e a
realização de consultas diretas
•  Algumas técnicas utilizadas
–  Obter nomes de usuários utilizando
•  Win2k enumeration
•  SNMP
–  Obter informações utilizando senhas padrão
–  Força bruta contra o Active Directory
Netbios Null Sessions

•  “Santo Graal” dos ataques contra Windows


•  Aproveita as falhas no protocolos CIFS/SMB (Common
Internet File System/Server Messaging Block)
•  Podem ser obtidas as seguintes informações
–  Lista de usuários e grupos
–  Lista de máquinas
–  Lista de compartilhamentos
–  Identificadores de usuários e hosts (SID – Security Identifiers)
•  Comandos abaixo servem para conectar ao processo oculto
IPC com usuários anônimo e senha nula (Win2k e XP)
–  Windows: C:\> net use \\192.34.34.2\IPC$ “” /u:””
–  Linux: $ smbclient \\\\target\\ipc\$ "" –U "“
Netbios Null Sessions

•  Ferramentas úteis
–  DumpSec
–  SuperScan
–  PS tools (Microsoft)
–  Windows Active Directory Attack Tool (w2kdad.pl)
•  Comandos “úteis”
–  net view /domain
–  net view \\<some-computer>
–  nbtstat -A <some IP>
•  Lista de senhas default
–  http://cirt.net/passwords
Quebra de senha

•  Quatro tipos de ataque


–  Ataques online passivos
–  Ataques online ativos
–  Ataques offline
–  Ataques não eletrônicos
Ataques online passivos – Wire Sniffing

•  Baseado no monitoramento do tráfego da rede


•  Fases:
1.  Acessar e gravar o tráfego bruto da rede
2.  Aguardar até que trafegue algum quadro de autenticação
3.  As credencias são atacadas dependendo de como elas estão
criptografadas

•  Considerações:
–  Relativamente difícil de ser executado
–  Relativa complexidade computacional
–  Ferramentas largamente disponíveis
Ataques online passivos – Man-in-the-middle (MITM)

•  O atacante intercepta os dados


e responde pelo cliente,
podendo alterar os dados.
•  Session hijacking
–  O atacante derruba o cliente
e mantém a conexão em
andamento.
•  Etapas
1.  Obtém acesso ao canal de
comunicação
2.  Aguarda por uma sequencia
de autenticação
3.  Atua como um proxy para a
autenticação
4.  Sem necessidade de força
bruta
Ataques online passivos – Replay attack

•  Dados interceptados podem ser retransmitidos pelo atacante.


•  É possível utilizar dados cifrados.
•  Considerações para MITM e Replay attack
–  Difícil de realizar
–  Um ou os dois lados devem confiar no atacante
–  Algumas ferramentas disponíveis
–  As vezes pode ser invalidade devido a quebra do tráfego
Ataques online ativos

•  Password Guessing
–  Tenta diferentes senhas até uma funcionar
–  Funciona contra senhas fáceis ou a não existência de senha
–  Dicionários de senha
Ataques Offline

•  Utilizar alguma técnica para quebrar a senha associado a


um cracker de senha
–  Um cracker de senha é qualquer programa que supera a segurança
de senha revelando senhas que anteriormente foram criptografadas
•  Normalmente não é possível decifrar senhas
–  Embora não seja uma verdade matemática
–  Uso de funções Hash
•  Os crackers de senha utilizam o método comparativo para
descobrir senhas
•  A maioria dos crackers de senha utilizam um dicionário de
palavras para utilizar na comparação
–  Se uma senha estiver no dicionário utilizado ela certamente será
descoberta
Ataques Offline

•  Tipos de ataques
–  Ataque de dicionário
•  Tenta diversas palavras de uma lista
•  Efetivo contra senhas fracas
–  Ataque híbrido
•  Inicia com o dicionário
•  Combina outros caracteres
–  Adiciona um número
–  Adiciona um símbolo
•  Efetivo quando mal utilizado os caracteres especiais e números
–  Ataque de força bruta
•  Tenta todas as senhas possíveis
•  Normalmente tenta atacar o Hash primeiro
•  Pre-Computed Hash (Rainbow Attack)
–  Tabela com todos os hashes possíveis pré-existente
–  Compara com a base de dados disponível
–  Problema
»  Necessita um elevado espaço de armazenamento
»  O uso de elemento aleatório (salt) inviabiliza seu uso
Ataques Offline

•  Outras variantes
–  Ataque de sílabas
–  Rule-based
–  Distributed Network Attack
–  Shoulder surfing
–  Keyboard Sniffing
–  Engenharia social
Ferramentas de ataque/segurança

•  Regras para boas senhas:


–  Alternar letras maiúsculas e minúsculas e utilizar
caracteres não-alfanuméricos
–  Senhas grandes (maiores do que 8 caracteres)
–  Procurar uma ordem de formação que lhe ajude a
lembrar e que não seja de conhecimento geral
• ex: as primeiras letras de uma frase
–  Os crackers de senha têm melhorado sensivelmente
com o aumento do tamanho e variedade dos
dicionários
Mitigação dos riscos para senhas

•  Para minimizar os riscos de descoberta das senhas, podem


ser utilizados
–  Smart cards / tokens
•  Difícil de quebrar
•  Custo elevado
–  Biometria
•  Propenso a falhas

•  Associados a senhas
Programas utilizados

•  John the ripper


•  Netbios Auditing Tool (NAT)
•  Smbbf (SMB Brute Force Tool)
•  SmbCrack Tool
•  L0phtCrack
•  PWdump2 e PWdump3
•  Rainbowcrack (rcrack)
•  Kerbcrack
•  ScoopLM
•  LCP
•  SID & USER
•  OPH Crack 2
Fase 4 - Elevar privilégios

•  Se o atacante conseguiu acesso a rede através de um


usuário sem poder administrativo, o próximo passo é obter
privilégios administrativos

•  Após ter acesso a máquina/sistema, o atacante deve obter


uma cópia da base de dados dos usuários e administradores
e utilizar um crack de senha para descobri-las
Executar aplicações

•  Executa aplicações com o objetivo de infiltrar keyloggers (podem ser


baseados em hardware ou software), spywares, and rootkits na
máquina invadida
•  Ferramentas disponíveis
–  Psexec
–  Remoexec
–  Ras N Map
–  Alchemy Remote Executor
–  Emsa FlexInfo
–  SC-Keylog Engine Builder
–  Revealer Keylogger
–  Handy KeyLogger
–  Ardamax Keylogger
–  Powered Keylogger
–  Elite Keylogger
–  E muitos outros.......
Fase 5 - Esconder arquivos

•  Os arquivos adicionados as máquinas atacadas devem ficar ocultos


–  Duas maneiras no Windows
•  Comando attrib
–  Attrib +h [arq/dir]
•  NTFS Alternate Data Streaming
–  Caracterísitica que permite que dados sejam armazenados em um arquivo
oculto e linkados a um arquivo visível
•  Rootkits
–  Programas que tem a habilidade de ficarem ocultos e encobrir suas
atividades
•  Normalmente substituem alguma rotina do SO
–  Algumas ferramentas
•  Fu
•  AFX
•  Nuclear
•  Vanquish

•  Uso de esteganografia
Esteganografia

•  É o processo de esconder uma mensagem secreta em uma outra


mensagem e, no destino, a mensagem original pode ser extraída
•  O método mais popular é o uso de imagens para esconder as mensagens
•  Podem ser escondidas quaisquer tipos de informações:
–  Ferramentas para hackear
–  Lista de servidores comprometidos
–  Planos de futuros ataques
–  Entre outros....
•  Ferramentas
–  Merge Streams
–  Invisible Folders
–  Invisible Secrets
–  Image Hide
–  Stealth Files
–  mp3stego
–  Entre outros....
Limpando rastros

•  Após o invasor conseguir acesso como administrador, ele deve tentar


apagar os rastros para que não possa ser identificado
•  Após realizar todas atividades, aproveita para instalar backdoors que
permitam acesso fácil ao sistema no futuro
•  Por exemplo
–  Desabilitando auditoria no windows
•  Auditpol (disable/remove)
–  Limpando Log de eventos
•  Elsave
•  Ferramentas
–  Winzapper
–  Evidence Eliminator
–  Traceless
–  Tracks Eraser Pro
–  Armor Tools
–  Entre outras....
Limpando os rastros

•  Para monitorar as
alterações nos arquivos do
SO podem ser utilizadas
ferramentas que
monitoram a integridade
do SO
–  Integridade de arquivos
•  Tripwire
•  LanGuard
Consequências de um ataque

•  Monitoramento não autorizado


•  Descoberta e ‘vazamento’ de informações confidenciais
•  Modificação não autorizada de informações
•  Negação ou corrupção de serviços
•  Fraude ou perdas financeiras
•  Imagem prejudicada, perda de confiança e reputação
•  Custo para a recuperação dos serviços e informações
Alguns tipos de ataques

•  Ataques ativos contra o TCP/IP


–  Técnicas:
•  Spoofing
–  ARP Spoofing
–  IP Spoofing
–  DNS Spoofing
•  Man-in-the-middle
–  Session Hijacking
•  Replay attack
•  Fragmentação de pacotes
•  Ataques de negação de serviço
Spoofing

•  Técnica de autenticar uma máquina para outra forjando pacotes de um


endereço de origem confiável
•  Etapas do ataque
–  Incapacitar o host que se pretende personificar
–  Forjar o endereço do host que está personificando
–  Conectar-se ao alvo, disfarçando-se como o host incapacitado
–  Estar “no caminho” para receber os pacotes de resposta
•  “Man in the Middle”
•  Captura (Hijack) de Conexões
–  “Spoofing” após fase de autenticação
Spoofing

•  Enganar a vítima fazendo-se passar por outro host.


•  Tipos:
–  ARP Spoofing
•  Gerar respostas ARP falsas
•  ARP (Address Resolution Protocol)
–  Mapeia: Endereços IP → Endereços MAC
–  IP Spoofing
•  Gerar pacotes com endereço IP falso
–  DNS Spoofing
•  Gerar respostas de DNS falsas
•  DNS (Domain Name Service)
–  Mapeia: Nomes → Endereços IP
ARP Spoofing

•  1º Passo:
ARP Spoofing

•  2º Passo:
ARP Spoofing

•  Resultado
IP Spoofing

•  UDP e ICMP: trivial


•  TCP: maior grau de dificuldade
–  1) É necessário impedir que o host confiável responda.
IP Spoofing

–  2) É necessário prever o número de sequência inicial.


DNS Spoofing

•  Contaminar o cache do servidor com resposta falsa.


•  Dificuldade: Adivinhar o transaction ID.
Fragmentação de pacotes

•  Se: tamanho do pacote > MTU do meio, então ocorre fragmentação.


•  É possível sobrescrever cabeçalhos durante a remontagem dos pacotes
→ driblar as regras de filtragem do firewall.
Ataques por negação de serviço

•  Denial of Service: DoS


•  Distributed DoS: DDoS

•  Interrompe ou nega completamente serviço a usuários


legítimos, redes, sistemas e outros recursos

•  Não é necessária muita perícia para uma pessoa realizá-lo


–  Existem diversas ferramentas gratuitas (exploits) disponíveis
–  É muito mais fácil interromper a operação de uma rede do que
invadi-la.
Ataques por negação de serviço

•  Na maioria das vezes implica em reiniciar a máquina ou


serviço

•  Os protocolos de rede, como o TCP/IP, foram projetados


para serem utilizados por uma comunidade aberta e
confiável

•  Muitos sistemas operacionais e daemons possuem falhas


internas
–  Pacotes mal formados (maliciosos) ou muito grandes (ex: ataques
Ping of Death e Nukes) fazem com que aplicações “travem”,
permitam invasões ou passem a utilizar CPU de modo anormal
Tipos de ataque por negação de serviço

•  Consumo de Largura de Banda


–  ICMP, UDP, TCP Flood
•  Inanição de recursos
•  Falhas de programação
•  Ataques de Roteamento e DNS
•  Smurf
•  TCP SYN Flood
Tipos de ataque DoS

(a) Consumo de Largura de Banda:


–  O atacante procurará utilizar toda a largura de banda de uma rede
–  Este ataque pode acontecer em uma rede local mas geralmente é
realizado remotamente
–  Este ataque possui dois cenários:
•  O atacante possui mais largura de banda do que a disponível na rede
atacada. Exemplo: uma conexão de rede 1,544Mbps contra um enlace
de 56 ou 128kbps.
•  O atacante amplifica seu poder de ataque DoS engajando múltiplas
instalações para inundar a conexão de rede da vítima (DDoS)
Consumo de Largura de Banda

•  Possíveis soluções
–  Limitação por tipo de tráfego
•  Viável no caso de ICMP
•  Difícil de implementar no caso de TCP/UDP
–  Implementação de Filtros de Ingresso na Rede - “Network Ingress
Filtering” - nos roteadores
•  Configurar o roteador para bloquear pacotes IP de fontes ilegítimas (IPs
falsos)
–  desvantagem: overhead
•  Não impede o ataque mas permite rápida localização de sua origem
Tipos de ataque DoS

(b) Inanição de recursos:


–  Este ataque se preocupa em consumir os recursos do sistema ao
invés dos da rede
–  Geralmente isto envolve consumir ciclos de CPU, memória, cotas
dos sistemas de arquivos ou outros processos do sistema
•  Possível Solução
–  Utilizar mecanismos do Sistema Operacional para imposição de
limites de execução
•  Ex.: cotas, limite de uso de CPU, limite de uso de memória, threads,
file handles, etc.
Tipos de ataque DoS

(c) Falhas de programação:


–  São falhas de um programa aplicativo, sistema operacional ou chip
com lógica embutida no manuseio de condições incomuns
–  Isto ocorre quando um usuário manda dados inesperados para o
elemento vulnerável
–  Muitas vezes o atacante envia pacotes estranhos com o objetivo de
determinar se a pilha de rede tratará desta exceção ou se ela
resultará em um pânico do núcleo e uma queda completa do sistema
operacional
Falhas de Programação

•  Possíveis Soluções
–  Manter sistemas sempre atualizados com últimas
versões de correções - “Patches”
–  Serviços
• Habilitar apenas os essenciais
• Restringir acesso aos mesmos
–  Firewall
–  TcpWrapper
–  Filtros no roteador
Tipos de ataque DoS

(d) Ataques de roteamento


–  Este ataque envolve atacantes manipulando
entradas de tabela de roteamento para negar
serviço a sistemas de redes legítimos
–  A maior parte dos protocolos de roteamento possui
uma autenticação fraca ou inexistente abrindo esta
brecha
–  Os atacantes alteram rotas legítimas,
frequentemente falsificando o IP de origem, para
criar uma condição de DoS
–  “Vítimas” terão seu tráfego roteado para a rede do
atacante ou para um buraco negro
Tipos de ataque DoS

(d) Ataques de DNS


–  Ataques a DNS envolvem convencer o servidor da vítima a colocar
em cache informações de endereçamento falsas
•  atacante adivinha ID da consulta DNS
–  ex: ID = ID + 1 (em alguns servidores DNS)
•  atacante envenena o DNS com mapeamentos que não foram
requisitados (alguns servidores DNS aceitam e colocam em cache)
–  Quando um cliente executa uma consulta o atacante pode
redirecioná-la para o site que desejar ou, em alguns casos, para um
buraco negro
Ataques de roteamento e DNS

1 - PC Cliente solicita ir para um site


de e-Commerce
2 – A cache adulterada do servidor de
DNS retorna o endereço de IP da
máquina do hacker
3 – O sistema do atacante agora se
Servidor DNS
faz passar pelo site de e-Commerce de um site de
e-Commerce
1 (loja)

PC Cliente
3
Servidor Web
www.loja.com.br

Servidor Web do atacante


www.hacker.com.br
Ataques de roteamento e DNS

•  Possíveis Soluções
–  DNS seguro
–  Protocolos de Roteamento seguros (RIP v.2, OSPF)
•  autenticação da rota
Tipos de ataque DoS

(e) Smurf:
–  Realizado enviando uma solicitação de ping broadcast para uma
rede que responda a tais solicitações
–  O atacante envia pacotes ICMP ECHO com o endereço IP de origem
falsificado para o endereço de broadcast da rede
–  Isto faz com que os computadores pensem que a solicitação veio da
própria rede causando um tráfego de rede violento e possibilitando
um DoS
–  E o IP de origem recebe os pacotes de ICMP ECHO REPLY
•  Possíveis Soluções
–  Configuração de roteadores
•  >no ip directed-broadcast
Smurf

Atacante

ping
broadcast
rede

Vítima
Tipos de ataque DoS

Usuário solicita uma abertura de conexão


(f) TCP SYN Flood com o servidor enviando um sinal de
SYN só que com o endereço de origem
falsificado de uma rede inalcançável
O servidor responde com um SYN+ACK
3-way handshake do TCP/IP mas como a rede não existe nunca
receberá um ACK ou indício de que a
SYN
rede não existe
O servidor fica aguardando um sinal de ACK durante um tempo
estabelecido
O bombardeio de sinais de SYN faz com
+ ACK que o servidor acabe sem conseguir
SYN responder a mais conexões causando o
? DoS
ACK

Cliente Servidor
Inundação de SYN

•  Possíveis Soluções
–  Uso de SynCookies
–  Bloqueio no Firewall/Roteador
•  recurso que permite interceptar e validar conexões TCP para evitar
ataques SYN Flood
–  ex1: Firewall-1 CheckPoint
»  SYN Defender
–  ex2: Cisco Routers: TCP Intercept
»  Active Intercept Mode x Passive Watch Mode
Distributed Denial of Service (DDoS)

•  Utiliza diversos ataques DoS em conjunto a partir de dezenas/centenas de


sites na Internet
–  Zumbis (ou agents) instalados em sites comprometidos controlados
remotamente por um ou mais mestres (ou handlers)
–  Uso de botnets
Distributed Denial of Service (DDoS)

•  Exemplos de ferramentas
–  FloodNet (Netstrike)
• Aplicação Java que inunda o alvo com solicitações
de páginas não existentes
–  Trinoo
• Utiliza UDP Flood
–  Tribal Flood Network 2k (TFN2k)
• Utiliza vários ataques DoS: Smurf, SYN Flood, UDP
Flood, ICMP Flood
Distributed Denial of Service (DDoS)

•  Um dos piores ataques


•  Possíveis Soluções
–  Executar softwares de varredura de redes
•  Precisa-se contar com que outros façam seu trabalho corretamente
•  Fechar portas usadas pelos programas (ex: 27444/udp e 31335/udp para
o Trinoo)
–  Configurar corretamente roteadores/estações diminuindo a gama de
ataques DoS disponíveis para um ataque DDoS
Distributed Denial of Service (DDoS)

•  Possíveis Soluções
–  Utilização de máquina de detecção de intrusão
–  Aplicação de filtro no roteador do ISP de onde provêm grande parte
do ataque
–  Trocar o IP da máquina alvo e atualizar o DNS (problema é a
propagação do DNS)
–  Evitar pontos únicos de falha (redundância de servidores)
Ataque Físico

•  Ataque realizado com o objetivo de roubar fisicamente ou


danificar um computador, rede, seus componentes, ou os
seus sistemas de apoio (tais como ar condicionado, energia
elétrica, etc).
Roubo de informações

•  Um meio de obter informações de outros atacantes (como


através de um boletim eletrônico), ou de outras pessoas
que estão sendo atacadas (comumente chamado de
engenharia social).
–  Engenharia social
•  É uma técnica que consiste em enganar usuários usando técnicas de
persuasão.
Vulnerabilidades
Vulnerabilidade

•  Fragilidade de um ativo ou grupo de ativos que pode ser


explorada por uma ou mais ameaças
•  Pode ser
–  Projeto
–  Implementação
–  Configuração
Vulnerabilidade do projeto

•  Uma vulnerabilidade inerente ao projeto ou especificação


de hardware ou software em que mesmo uma
implementação perfeita irá resultar em uma
vulnerabilidade.
Vulnerabilidade de implementação

•  Uma vulnerabilidade resultante de um erro cometido no


software ou hardware implementação de um projeto
satisfatório
Vulnerabilidade de configuração

•  Uma vulnerabilidade resultante de um erro na configuração


de um sistema, como ter contas de sistema configuradas
com senhas padrão, tendo permissão de escrita ou ter
serviços vulneráveis habilitado
Ação

•  Representa um espectro de atividades que podem ser feitas


em computadores e redes, sendo uma etapa que um usuário
ou um processo realiza com o objetivo de atingir um
resultado final
•  As ações são iniciadas, ao acessar um alvo, onde o acesso é
definido como uma forma de estabelecer uma comunicação
lógica ou física
Ação

•  Duas ações são realizadas para obter informações sobre o


alvo:
–  Sondagem (probe)
•  Uma ação empregada para determinar as características de um alvo
específico
–  Varredura (scan)
•  Uma ação onde um usuário ou processo acessa uma série de alvos em
sequência, a fim de determinar quais alvos têm uma característica
particular
•  As duas etapas podem ser combinadas para poder obter
mais informações sobre o alvo
Ação

•  Inundação (flood)
–  Ação realizada para sobrecarregar um alvo, acessando
repetidamente, com o objetivo de impedir o acesso legítimo
–  Exemplo:
•  Enviar um número de pacotes acima da capacidade da rede
•  Abrir um número de conexões em uma porta acima da capacidade
configurada
Ação

•  Autenticação
–  Medida tomada por um usuário para assumir uma identidade
•  Inicia com o usuário utilizando um programa para realizar o login
•  Depois é realizada a verificação, quando deve ser informada a senha de
acesso.
Ação

•  Bypass
–  Medida tomada para evitar um processo de autenticação e utilizar
um método alternativo para acessar um alvo
–  Exemplo
•  Sistemas operacionais que têm vulnerabilidades que poderiam ser
exploradas por um atacante para obter privilégios, sem realmente fazer
login em uma conta privilegiada.
Ação

•  Spoofing
–  Ação com o objetivo de personificar uma outra
pessoa, máquina ou entidade
• Pode ser realizada no nível
–  Enlace (mac spoofing)
–  Rede (ip spoofing)
–  Aplicação (dns spoofing)
Ação

•  Ler
–  Obter o conteúdo armazenado em um storage ou em algum tipo de
mídia
•  Copiar
–  Reproduzir o conteúdo do alvo, deixando o original sem
modificações
Ação

•  Roubar
–  Tomar posse do alvo sem deixar uma cópia no local original
•  Modificar
–  Alterar o conteúdo ou características de um determinado alvo
Ação

•  Apagar
–  Remover o alvo, ou deixá-lo irrecuperável
Alvo

•  Um computador, rede ou uma entidade lógica ou entidade


física.
–  Lógica
•  Conta, processo ou dados
–  Física
•  Componente, computador, rede ou rede de interconexão
Resultado

•  Resultado de um ataque oriundo de uma ação não aprovada


pelo proprietário ou administrador
–  Acesso não autorizado
–  Divulgação de informações
–  Corrupção de informações
–  Negação de Serviço
–  Roubo de recursos
Resultado

•  Acesso não autorizado


–  Atacante consegue acessar um computador, uma rede ou um
sistema
–  Inicialmente pode ser realizado acesso com um usuário que possua
baixo privilégio e, posteriormente, escalar privilégios, por exemplo,
acessando uma conta de administrador
Resultado

•  Divulgação de informações
–  Distribuir ou entregar as informações acessadas para pessoas ou
entidades não autorizadas
•  Corrupção de informações
–  Alteração não autorizada dos dados em um computador ou rede
Resultado

•  Negação de serviço
–  Degradação intencional ou bloqueio do acesso aos computadores ou
recursos de uma rede
•  Roubo de recursos
–  Uso não autorizado do computador ou dos recursos da rede
Objetivo

•  Propósito ou objetivo final de um incidente


–  Desafio
–  Status
–  Satisfação pessoal
–  Políticos
–  Econômicos
–  Danos
Classificação por classe e tipo de incidente
Classificação por classe e tipo de incidente
Classificação por classe e tipo de incidente
Segurança Física e Lógica
Segurança Física x Lógica

•  Segurança Física:
–  Realizada para evitar/dificultar as falhas nos equipamentos e
instalações.
•  Ex: problema com equipamentos ativos, furtos, faxineira, etc.
•  Segurança Lógica:
–  Realizada para evitar/dificultar as falhas relacionadas aos softwares
utilizados.
•  Ex: bugs, falhas no desenvolvimento, etc.
Segurança Física

•  A segurança começa pelo ambiente físico

“Não adianta investir dinheiro em esquemas sofisticados e


complexos se não instalarmos uma simples porta para
proteger fisicamente os servidores da rede.”
Segurança Física

•  Abrange todo o ambiente onde os sistemas de informação


estão instalados:
–  prédio
–  portas de acesso
–  trancas
–  piso
–  salas
–  computadores
Segurança Física

•  Requer ajuda da engenharia civil e elétrica


•  A norma NBR ISO/IEC 27001 divide a área de segurança
física da seguinte forma:
–  Áreas de segurança
–  Segurança dos equipamentos
Áreas de segurança

•  Objetivo:
–  Prevenir o acesso físico não autorizado, danos e interferências com
as instalações e informações da organização
•  Perímetro da segurança física
•  Controles de entrada física
•  Segurança em escritórios, salas e instalações
•  Proteção contra ameaças externas e do meio ambiente
•  Trabalhando em áreas seguras
•  Acesso do público, áreas de entrega e de carregamento
Segurança dos equipamentos

•  Objetivo:
–  Impedir perdas, danos, furto ou comprometimento de ativos e
interrupção das atividades da organização.
•  Instalação e proteção de equipamentos
•  Utilidades (fornecimento de energia e/ou outros ativos de serviço)
•  Segurança do cabeamento
Segurança dos equipamentos

•  Manutenção de equipamentos
•  Segurança de equipamentos fora das instalações
•  Reutilização e alienação segura de equipamentos
•  Remoção de propriedade
Segurança Externa e de entrada

•  Proteção da instalação onde os equipamentos estão


localizados, contra:
–  entrada de pessoas não autorizadas
–  catástrofes ambientais
•  O prédio deve ter paredes sólidas e número restrito de
entradas e saídas
Segurança Externa e de entrada

•  Evitar baixadas onde a água possa se acumular →


enchentes
•  Evitar áreas muito abertas → descargas atmosféricas
–  Em qualquer lugar, usar para-raios
•  Usar muros externos e manter a área limpa → queimadas
Segurança Externa e de entrada

•  Controle de acesso físico nas entradas e saídas:


–  travas
–  alarmes
–  grades
–  vigilante humano
–  vigilância eletrônica
–  portas com senha
–  cartão de acesso
–  registros de entrada e saída de pessoas e objetos
Segurança Externa e de entrada

•  Funcionários que trabalham na instituição devem ser


identificados com crachás com foto
•  Visitantes de vem usar crachás diferenciados por setor
visitado
•  Todos funcionários devem ser responsáveis pela fiscalização
Segurança da Sala de Equipamentos

•  Agrega todo o centro da rede e os serviços que nela operam


•  Entrada somente de pessoal que trabalha na sala
•  Registro de todo o pessoal que entra e sai
•  A sala deve ser trancada ao sair
•  Deve fornecer acesso remoto aos equipamentos
•  O conteúdo da sala não deve ser visível externamente
Segurança da Sala de Equipamentos

•  Além do acesso indevido, a sala deve ser protegida contra:


–  vandalismo
–  fogo
–  interferências eletromagnéticas
–  fumaça
–  gases corrosivos
–  poeira
Segurança da Sala de Equipamentos

•  Se possível, uso de salas-cofre


Segurança dos equipamentos

•  Evitar o acesso físico aos equipamentos


–  acesso ao interior da máquina (hardware)
–  acesso utilizando dispositivos de entrada e saída (console)
•  Proteger o setup do BIOS
Segurança dos equipamentos

•  Tornar inativos botões de setup e liga/desliga no gabinete


–  colocar senha no BIOS
–  inicialização apenas pelo disco rígido
Segurança no fornecimento de energia

•  Geralmente o fornecimento de energia é de


responsabilidade da concessionária, e pode apresentar:
–  variação de tensão
–  interrupção do fornecimento
Segurança no fornecimento de energia

•  Para garantir a disponibilidade da informação é preciso


garantir o fornecimento constante de energia e que ela
esteja dentro da tensão recomendada
–  filtro de linha
–  estabilizador de tensão
–  nobreak
–  solução mista
–  gerador
Segurança Lógica

•  Compreende os mecanismos de proteção baseados em


software
–  senhas
–  listas de controle de acesso
–  criptografia
–  firewall
–  sistemas de detecção de intrusão
–  redes virtuais privadas
Firewall

•  Referência às portas corta-fogo responsáveis por evitar que


um incêndio em uma parte do prédio se espalhe facilmente
pelo prédio inteiro
•  Na Informática: previne que os perigos da Internet (ou de
qualquer rede não confiável) se espalhem para dentro de
sua rede interna
Firewall

•  Um firewall deve sempre ser instalado em um ponto de


entrada/saída de sua rede interna
•  Este ponto de entrada/saída deve ser único
•  O firewall é capaz de controlar os acessos de e para a sua
rede
Firewall

•  Objetivos específicos de um firewall: 


–  restringe a entrada a um ponto cuidadosamente controlado
–  previne que atacantes cheguem perto de suas defesas mais internas
–  restringe a saída a um ponto cuidadosamente controlado
Firewall

•  O firewall pode estar em:


–  computadores
–  roteadores
–  configuração de redes
–  software específico
Ponto de Obstrução
•  “Um componente ou um conjunto de componentes que restringem o
acesso entre uma rede protegida e outros conjuntos de redes”
Ponto de Obstrução
•  Um firewall é um ponto de obstrução
•  O tráfego é analisado, e o firewall usa critérios próprios para
determinar se um determinado pacote será:
–  Transmitido (ACEITO)
–  Descartado (RECUSADO)
–  Alterado (um ou mais campos de qualquer dos cabeçalhos)
•  Em geral, um firewall comum não se altera o conteúdo (payload) do pacote,
apesar de ser possível.
Ponto de Obstrução
•  Sujeita o tráfego a usar um canal estreito
–  Apenas o tráfego desejado é retransmitido
–  Diminui a exposição das estações internas à rede externa
•  Facilita a monitoração e controle
–  Todo, ou parte, do tráfego pode ser registrado (log) para consultas,
estatísticas, etc
Ponto de Obstrução
•  Um ponto de obstrução é inútil se há caminhos alternativos de
penetração
–  Outras conexões à internet
–  Acesso discado
–  Rede Wi-Fi desprotegida
Topologias

•  Um firewall pode ter duas ou mais interfaces – não há


limite teórico.

2 interfaces
Topologias

•  Um firewall pode ter duas ou mais interfaces – não há


limite teórico.

4 interfaces
Topologias

•  Redes internas (protegidas)


–  Estações de trabalho
–  Servidores
–  Wi-Fi
•  Controle de tráfego entre as redes

4 interfaces
Topologias

•  Mesmo dentro de uma empresa, convém separar os equipamentos/


serviços em redes distintas, segundo questões de segurança.
•  Mesmo em caso de redes pequenas

4 interfaces
Topologias

•  Estações de trabalho estão mais sujeitas a contaminações


•  Se os servidores estiverem em outra rede, um tráfego malicioso
partindo das estações poderá ser contido pelo firewall
§  Se estiverem na mesma rede, não
haverá proteção contra o ataque
§  Redes Wi-Fi são portas de entrada para
invasores. O tráfego a partir de uma
rede Wi-Fi deve ser estritamente
controlado.

4 interfaces
Topologias

•  Dois níveis de proteção separam a internet da rede interna


•  Na rede de fronteira são colocados os serviços externos
(servidores Web, e-mail, etc) à Maior exposição
•  O acesso à rede interna é fortemente controlado
Bastion Hosts

•  “Um servidor precisa ser muito seguro, pois é vulnerável a ataques por estar
exposto diretamente à Internet”
•  Simplicidade
–  Qualquer serviço pode ter bugs e erros de configuração
–  Instale o mínimo de recursos do SO + atualizações (fixes)
–  Instale apenas as aplicações necessárias + atualizações
–  Reforce (Harden) o SO e aplicações
–  Configure permissões e políticas de segurança e auditoria
•  Esteja preparado para o pior
–  O bastion host é visível na Internet, podendo ser atacado
–  Backup !
•  Não permita usuários nos bastion hosts
–  Vulnerabilidades próprias das contas (senhas)
–  Vulnerabilidades dos serviços necessários para suportar os usuários
–  Aumenta a dificuldade de se detectar ataques
DMZ

•  Os bastion hosts são o principal ponto de contato com conexões de


origem externa
•  Os bastion hosts em uma DMZ executam serviços inseguros que não
podem ser protegidos com filtragem ou com proxies
•  Possuem acesso limitado aos servidores internos
•  Conteúdo “descartável”
•  Devem possuir o mínimo de dados necessários para o exercício de suas
tarefas. Não devem conter:
–  Arquivos pessoais desnecessários
–  Partes de bancos de dados (tabelas, etc) com dados desnecessários
–  Informações confidenciais
DMZ

•  Um novo nível de segurança é acrescentado com a


introdução de uma rede desmilitarizada chamada:
–  DMZ, rede de fronteira, screened subnet ou perímetro de segurança
•  Os bastion hosts ficam vulneráveis nessa DMZ
•  Caso os bastion hosts sejam comprometidos, há ainda mais
um nível de segurança a ser superado
•  Tipicamente baseadas em dois filtros
–  Filtro de acesso conectando a DMZ à Internet
–  Filtro de bloqueio ligando a DMZ à rede interna
DMZ
Bastion hosts
Internet
DMZ
34

Rede de Fronteira
34

filtro
filtro de bloqueio
de acesso

Rede Interna
Estratégias Básicas

•  Default Deny
–  “Tudo o que não for expressamente permitido é proibido”

•  Default Permit
–  “Tudo o que não for expressamente proibido é permitido”
Estratégias Básicas

•  Default Permit
–  “Tudo o que não for expressamente proibido é permitido”

–  A regra é: Tudo pode passar


–  A exceção é: O que não pode passar REGRA #1

REGRA #2
Ø  Ineficiente para garantir proteção à
REGRA #3
Pressupõe o conhecimento profundo do
comportamento de todas as estações, o ...
que é inviável e imprevisível. SE NENHUMA REGRA
FOI ATENDIDA à
PERMITE
Ø  Na prática, esse critério só é usado em
situações específicas, para promover
proteção limitada.
Estratégias Básicas

•  Default Deny
–  “Tudo o que não for expressamente permitido é proibido”

–  A regra é: Nada pode passar


–  A exceção é: O que pode passar REGRA #1

REGRA #2
Ø  Critério para prover segurança a uma
rede. REGRA #3
Ø  Apenas acessos específicos são ...
permitidos, por configuração explícita.
SE NENHUMA REGRA
Ø  Serviços/Portas novas ou desconhecidas FOI ATENDIDA à
permanecem fechadas até determinação RECUSA
contrária.
Ø  Controle estrito sobre o tráfego (ingresso
e egresso) da rede.
Examine o cabeçalho do
pacote (IP, UDP e TCP) Algoritmo de Filtragem
Aplique a próxima Configuração do tipo Default Deny.
regra de filtragem

A regra
sim
bloqueia o
pacote?

não

A regra sim Libere Bloqueie


libera o
o pacote o pacote
pacote?

não

É a última sim
regra ?

não
Firewall não pode proteger

•  Detalhes de acesso à aplicação


–  ex: usuário xyz pode conectar-se via telnet do exterior mas os
outros usuários não
–  ex: somente os arquivos do diretório /public podem ser transferidos
em sessões FTP
•  Ataques internos
•  Vírus
•  Cavalos de tróia
•  Engenharia Social
•  Ameaças físicas
•  Configuração mal feita
Tipos de Firewalls

•  Filtragem de pacotes
•  Filtragem por estado
•  Serviços por procuração
–  Servidores Proxy
•  Projeto de rede
–  Bastion hosts em DMZ
Níveis de Filtragem

•  Firewall por filtragem de pacotes


–  Se dá pela análise de um ou mais campos dos cabeçalhos de um
pacote, em uma ou mais camadas, ou pela análise do conteúdo
(payload).

Ø  Aplicação
Ø  FTP, Telnet, HTTP, HTTPS, SMTP,
DNS
Ø  Transporte
Ø  TCP, UDP, outros
Ø  Rede
Ø  IP
Ø  Enlace
Ø  Endereço MAC
Filtragem de Pacotes

Internet

34

Filtragem
de pacotes

Rede Interna
Níveis de Filtragem

•  Firewall por filtragem de pacotes


–  Primeira geração de firewalls

–  Elevado desempenho, pois se baseia exclusivamente na comparação


de valores do pacote sendo analisado.

–  Não relaciona o pacote “atual” com anteriores. Não faz análise do


tráfego, apenas analisa os pacotes um-a-um.

–  Não protege contra falhas (bugs) em servidores ou serviços.


Filtragem MAC

•  Tarefa típica de switches, mas que pode ser feita por um


firewall.
•  Tipos de filtros
–  endereço MAC origem
–  endereço MAC destino
–  tipo de protocolo de camada superior
Filtragem IP

•  Filtragem baseada nos campos do cabeçalho IP


–  Em tese qualquer campo pode ser consultado, mas nem todas as
implementações permitem.
•  Campos mais usados
–  Endereço IP origem
–  Endereço IP destino
–  Tipo de protocolo de camada superior
Filtragem IP

•  Considerações de segurança
–  Endereço origem
•  pode ser forjado
–  Address Spoofing
–  Man in the Middle
Filtragem IP - ICMP

•  Filtragem baseada nos campos do cabeçalho ICMP

•  O ICMP envolve questões de segurança, e não pode ser


ignorado na configuração de um firewall:
–  Ping (Echo request/reply)
–  Traceroute
–  ICMP Redirect
Filtragem TCP

§  Filtragem baseada nos campos do cabeçalho TCP


Ø  Em tese qualquer campo pode ser consultado, mas nem todas as
implementações permitem.
§  Campos mais usados
Ø  Porta de destino
Ø  Define o serviço
Ø  Flags
Ø  SYN, ACK, RST,...
Flags TCP

Packet Filtering
System
cliente servidor
SYN=1, A
CK=0

,A C K = 1
SYN=1
ACK = 1
Flags TCP

•  Para bloquear uma conexão TCP, basta filtrar o primeiro pacote


enviado.
–  SYN = 1
–  ACK = 0
•  Todos os demais pacotes da conexão TCP possuem flag
–  ACK=1

•  É possível permitir ou impedir o início de conexões, conforme desejado:


–  Origem/Destino
–  Portas
–  Ingresso/Egresso (rede)
•  Problema:
–  Não há como garantir que um pacote com ACK=1 pertence a uma conexão
efetiva (não há controle de estado).
–  Risco de segurança à pode permitir a injeção externa de pacotes, fazendo-
se passar por conexões, do ponto de vista do roteador, iniciadas por
estações internas (Pacotes de resposta).
Filtragem UDP

§  Filtragem baseada nos campos do cabeçalho UDP


Ø  Em tese qualquer campo pode ser consultado, mas nem todas as
implementações permitem.
§  Campos mais usados
Ø  Porta de destino
Ø  Porta de origem
Filtragem UDP

§  Controle de estado
§  Como o UDP não possui controle de estados (sem conexão), um firewall por
filtragem de pacotes não pode determinar se:
§  Um pacote é o primeiro de um fluxo, ou
§  Se faz parte de um fluxo já iniciado.
§  Não é possível impedir o início de um fluxo, se as regras do firewall não o
impedirem por outros critérios.
Filtragem pelo Payload

§  Alguns firewalls permitem realizar filtragem por meio de


análise do conteúdo (payload) de um pacote
§  Exemplo: Linux “String match” para iptables.
§  Uma regra pode indicar um determinado texto (string) a ser
procurado no conteúdo.
§  Permite uma investigação limitada do pacote.
§  Geralmente usado para evitar ocorrências específicas e já
conhecidas.
§  Ex: impedir um pedido de resolução de um determinado
nome ao servidor DNS, recusando-se esse pacote.
§  Transcende as técnicas tradicionais de filtragem, restritas à
pilha TCP/IP.
Ações

•  Ao termino da análise de um pacote, o firewall deve tomar


uma ação.
•  As ações mais comuns:
–  ACCEPT – Pacote aceito e retransmitido
–  DROP – Pacote recusado à descartado
–  REJECT – Pacote recusado, mas é enviado um pacote ICMP a origem
informando.
Exemplo de Regras de Filtragem

•  SE IP_ORIGEM=10.1.10.2 E PORTA_DESTINO=80 à ACEITA


•  SE IP_ORIGEM=10.1.10.2 E IP_DESTINO=10.53.11.9
E PORTA_DESTINO=110 à ACEITA

Exceção contrariando uma regra mais permissiva


•  SE IP_ORIGEM=10.2.30.1 E IP_DESTINO=10.1.10.5 à RECUSA
•  SE IP_DESTINO=10.1.10.5 E PORTA_DESTINO=80 à ACEITA

Regra que condiciona pacotes com início de conexão


•  SE IP_ORIGEM=10.1.10.2 E IP_DESTINO=10.53.11.9
E PORTA_DESTINO=110 E TCP[SYN]==1 à ACEITA

Regra padrão (default)


•  Qualquer outro pacote à RECUSA
Filtragem por estado

•  Filtragem por estado


–  “Stateful packet filtering”, ou
–  “Stateful Inspection”, ou
–  “Dynamic Packet Filtering”
•  criado pela CheckPoint para o Firewall-1
•  mantém informação sobre o estado corrente das sessões ativas em
memória
•  decisões com base no conteúdo e contexto do pacote
–  tráfego FTP PASV (portas >1023 abertas dinamicamente)
–  tráfego UDP de retorno (match de IPs/portas)
Ex: Filtragem TCP

•  Um pacote de resposta (SYN=0, ACK=1) só é liberado se


pertencer a uma conexão previamente estabelecida (e
autorizada)

•  Os dados de cada conexão são armazenados em uma tabela,


constantemente atualizada.
–  Um suposto pacote de resposta só é aceito se estiver
contextualizado nessa tabela.
–  IPs Origem/Destino
–  Portas Origem/Destino
–  Sequence Number
Ex: Filtragem UDP

•  Permite (dinamicamente) que pacotes de resposta a tráfego


UDP iniciado internamente sejam aceitos para o host/porta
que enviou o primeiro pacote.
Ex: Filtragem UDP
Dynamic Packet
Filtering
SP=1111
SA=200.2
00.200.1
DP=5555
cliente DA=200.1
00.100.2 servidor
200.200.200.1
200.100.100.2

SP=5555 0.100.2
10
SA=200.
Match! DP=1111 0.200.1
20
DA=200.

SP=5555 0.100.2
10
SA=200.
No Match! DP=4444 0.200.1
20
DA=200.
Softwares de Firewall em Linux

•  Iptables e o Netfilter
–  nova geração de ferramentas de firewall para o Kernel 2.4 do Linux.
Além de possuir a facilidade do ipchains
–  a idéia do criador Paul Russel foi implementar uma série de
facilidades como NAT e filtragem de pacotes mais flexível que o
ipchains
–  É um um sistema completamente novo de firewall e NAT,
denominado Netfilter.
–  O comando iptables é um front-end para configuração do Netfilter.

http://netfilter.filewatcher.org/
Netfilter

•  Projeto NETFILTER

•  Principais recursos
–  Filtragem sem controle de estado
–  Filtragem com controle de estado
–  Tradução de endereços (NAT/NAPT)
–  Estrutura flexível e extensível
–  Manipulação de pacotes (alteração de cabeçalhos)

Fonte: http://www.netfilter.org/
Netfilter

•  Projeto NETFILTER

•  Solução de segurança embutida no núcleo (kernel) do


Linux, a partir da versão 2.4.

•  Composto por diversos módulos e ferramentas.

•  Módulos – permitem adicionar recursos ao serviço


–  Módulos “oficiais”;
–  Módulos não-oficiais;
–  Padrão aberto: qualquer pessoa pode desenvolver
Netfilter

•  Evolução

•  Kernel 2.0 ipfwadm

•  Kernel 2.2 ipchains

•  Kernel 2.4+ iptables


Netfilter

•  Iptables é apenas uma ferramenta de interface entre o


usuário e o Netfilter.
–  Ferramenta administrativa
Netfilter

•  O serviço de filtragem/firewall é realizada no núcleo do


Linux
Netfilter

•  Netfilter – Estrutura de regras


Netfilter

•  Tabelas
–  FILTER
•  Filtragem (básica e avançada) de pacotes

–  NAT
•  Tradução de endereços/portas (NAPT)

–  MANGLE
•  Regras avançadas
•  Marcação de pacotes
•  Alteração de cabeçalhos de pacotes
Estratégias Básicas

•  Cadeia (Chain)
–  Cada tabela possui cadeias
–  Pode ser vista como um elo de uma corrente
–  Cada cadeia possui
•  Um conjunto de regras
•  Uma política padrão (default)
–  As cadeias atuam em pontos distintos do fluxo percorrido pelos
pacotes
–  Em cada cadeia uma decisão é tomada
•  ACEITAR
•  RECUSAR
•  etc
Fluxo de processamento

Tabela Filter (Considerada por muitos a mais importante)


Cadeias:

•  INPUT Atua nos pacotes destinados ao próprio firewall

•  OUTPUT Atua nos pacotes oriundos do próprio firewall

•  FORWARD Atua nos pacotes que atravessam o firewall


Fluxo de processamento
Netfilter
Breve Revisão

•  PAUSA: BREVE REVISÃO

•  Política padrão
–  Default Deny
•  “Tudo o que não for expressamente permitido é proibido”

–  Default Permit
•  “Tudo o que não for expressamente proibido é permitido”
Breve Revisão

•  Default Permit
–  “Tudo o que não for expressamente proibido é permitido”

–  A regra é: Tudo pode passar REGRA #1

–  A exceção é: O que não pode passar REGRA #2


Ø  Ineficiente para garantir proteção à
REGRA #3
Pressupõe o conhecimento profundo do
comportamento de todas as estações, o ...
que é inviável e imprevisível. SE NENHUMA REGRA
FOI ATENDIDA à
PERMITE
Ø  Na prática, esse critério só é usado em
situações específicas, para promover
proteção limitada.
Breve Revisão

•  Default Deny
–  “Tudo o que não for expressamente permitido é proibido”

–  A regra é: Nada pode passar REGRA #1

–  A exceção é: O que pode passar REGRA #2

Ø  Critério para prover segurança a uma REGRA #3


rede. ...
Ø  Apenas acessos específicos são
SE NENHUMA REGRA
permitidos, por configuração explícita. FOI ATENDIDA à
RECUSA
Ø  Serviços/Portas novas ou desconhecidas
permanecem fechadas até determinação
contrária.
Ø  Controle estrito sobre o tráfego (ingresso
e egresso) da rede.
Examine o cabeçalho do
pacote (IP, UDP e TCP) Breve Revisão
Aplique a próxima Configuração do tipo Default Deny.
regra de filtragem

A regra
sim
bloqueia o
pacote?

não

A regra sim Libere Bloqueie


libera o
pacote? o pacote o pacote

não

É a última sim
regra ?

não
Iptables

Tabela Filter
Ações (targets) – Principais:

•  ACCEPT Aceita o pacote – prossegue para a próxima cadeia

•  DROP Recusa (terminantemente) o pacote

•  REJECT Recusa (terminantemente) o pacote e envia à origem


um pacote ICMP do tipo “port unreachable”

•  LOG Envia um registro (log) para o syslog


Iptables

•  Principais parâmetros de comando:

-A Inclui uma regra no fim da cadeia


-I Inclui uma regra no início da cadeia
-L Lista as regras de uma cadeia
-F Apaga todas as regras de uma cadeia
-P Define a política padrão de uma cadeia
Iptables

•  Definindo a política padrão

iptables –P INPUT ACCEPT

A política padrão na cadeia INPUT é configurada coomo


ACCEPT, ou seja, se um pacote não for atendido por
nenhuma regra, ele será ACEITO.
Iptables

•  Definindo a política padrão

iptables –P INPUT DROP


iptables –P OUTPUT DROP
iptables –P FORWARD DROP

Essa combinação é mais usada para segurança, pois obriga que


todas as permissões sejam explícitas.
Caso contrário, é mais fácil deixar brechas.
Iptables

•  Regras: Principais parâmetros de comparação

-p tcp/udp/icmp Protocolo
--dport porta Porta de destino (precisa especificar o protocolo)

--sport porta Porta de origem (precisa especificar o protocolo)

-d Destino Formato: IP com máscara (opcional)

-s Origem

-i interf Interface de entrada Nome da interface

-o interf Interface de saída (ex: eth0)


Iptables

•  Regras: Parâmetros

-j ação Ação caso o pacote atenda às condições


da regra

-m nome Carregar um módulo


Iptables

•  Exemplo

iptables –P INPUT DROP


Política padrão: Recusar

iptables –A INPUT –s 10.2.10.7 –p tcp –-dport 80 –j ACCEPT


Aceita pacote para porta 80/tcp e origem 10.2.10.7

iptables –A INPUT –s 10.2.10.26 –p tcp –-dport 25 –j ACCEPT


Aceita pacote para porta 25/tcp e origem 10.2.10.26
Iptables

•  Tradicionalmente, é necessário permitir os pacotes de


retorno

iptables –P INPUT DROP


iptables –P OUTPUT DROP

iptables –A INPUT –s 10.2.10.7 –p tcp –-dport 80 –j ACCEPT


iptables –A INPUT –s 10.2.10.26 –p tcp –-dport 25 –j ACCEPT
iptables –A OUTPUT –d 10.2.10.7 –p tcp –-sport 80 –j ACCEPT
iptables –A OUTPUT –d 10.2.10.26 –p tcp –-sport 25 –j ACCEPT
Iptables

•  O módulo ‘state’ promove o conhecimento de conexão


(connection tracking)
•  Permite automaticamente os fluxos de retorno
iptables –A INPUT –s 10.2.10.7 –p tcp –-dport 80 –m state -–state NEW –j
ACCEPT

NEW: Pacotes que estão iniciando uma nova conexão


ESTABLISHED: Pacotes que pertencem a uma conexão/fluxo já existente

iptables –A OUTPUT –m state -–state ESTABLISHED –j ACCEPT


Para pacotes “saindo” do firewall
iptables –A INPUT –m state -–state ESTABLISHED –j ACCEPT
Para pacotes “ingressando” no firewall
Iptables

•  Exemplo: Pacotes atravessando o firewall


iptables –P FORWARD DROP
iptables –A FORWARD –m state –-state ESTABLISHED –j ACCEPT

iptables –A FORWARD –s 10.4.11.3 –d 10.20.21.4 –p tcp –-dport 110 –m state


-–state NEW –j ACCEPT

iptables –A FORWARD –i eth2 –d 10.20.21.4 –p tcp –-dport 110 –m state -–


state NEW –j ACCEPT

iptables –A FORWARD –i eth2 –o eth0 –p tcp –-dport 80 –m state -–state NEW


–j ACCEPT
Iptables

•  State: RELATED
–  Abre o acesso a novas conexões, se relacionadas com conexões
permitidas.
–  Ex: FTP
•  O FTP usa uma conexão de controle (porta 21/TCP por padrão)
•  As transferências são feitas por meio de conexões definidas
dinamicamente entre cliente e servidor.
–  É preciso carregar o módulo no kernel do linux
•  modprobe ipt_conntrack_ftp
Iptables

•  State: RELATED

iptables –A INPUT –s 10.1.0.2 –p tcp –-dport 21 –m state –-state NEW –j


ACCEPT
Permite a conexão de controle do FTP

iptables –A INPUT –m state –-state ESTABLISHED,RELATED –j ACCEPT


iptables –A OUTPUT –m state -–state ESTABLISHED,RELATED –j ACCEPT
•  As regras acima irão permitir:
–  Os pacotes de resposta da conexão de controle
–  Todos os pacotes das conexões de transferência (início de conexão e
demais)
NAT

•  Network Address Translation

•  Consiste na alteração de campos dos cabeçalhos de um


pacote durante o trânsito através do firewall

•  Para permitir uma comunicação, deve ser feita uma troca


inversa e equivalente nos pacotes de resposta

•  O firewall deve possuir controle das conexões/fluxos ativos


NAT

•  Tipos mais comuns (RFC 2663)


–  NAT básico
•  Endereços “externos” usados para “esconder”os endereços de um
domínio privado (ex: rede interna) ao realizar acessos para um domínio
externo (internet).
•  Apenas IP de origem é alterado (assim como checksums correlatos).
•  1 à 1
NAT

•  Tipos mais comuns (RFC 2663)


–  NAPT
•  Network Address Port Translation
•  Traduz também campos de transporte (TCP/UDP)
•  Permite que N estações internas usem o mesmo endereço externo para
acesso
•  Pode usar como IP externo, o próprio IP da interface externa do
roteador
•  Pode ser combinado com o NAT Básico e usar um grupo de endereços
externo para tradução (não necessariamente só 1)
•  Mais usado atualmente.
•  1 à 1 ou N à 1 ou N à M
NAPT

•  Após passar pelo firewall, todo o tráfego usa um mesmo endereço IP,
independente da estação que o originou.
Source NAT (SNAT)

•  SNAT
–  O endereço de origem é traduzido
–  Após a tradução, o IP original não consta mais do pacote
–  O firewall, com base em sua tabela, deve substituir o endereço
novamente ao receber um pacote de resposta
–  Não pode ser considerado como solução de segurança
Destination NAT (DNAT)

•  DNAT
–  O endereço de destino é traduzido
–  Após a tradução, o IP de destino original não consta mais do pacote
–  O firewall, com base em sua tabela, deve substituir o endereço
novamente ao receber um pacote de resposta
NAT - APLICAÇÕES

§  SNAT
Ø  Mascaramento de rede (compartilhamento de IPs)
NAT - APLICAÇÕES

•  SNAT
–  Mascaramento de rede (compartilhamento de IPs)

–  Vantagens:
•  Economia de endereços públicos (reais) à Menos custo
•  Topologia interna da rede não é revelada
•  Varredura direta da rede não é possível por agente externo
–  Desvantagens
•  Maior dificuldade para permitir acesso externo
•  Incompatibilidade com alguns protocolos (em alguns casos pode ser
corrigida com tratamento especial no firewall. Ex: FTP).
•  Para redes muito grandes, exige Firewall com capacidade elevada de
processamento.
NAT - APLICAÇÕES

•  DNAT
–  Direcionamento condicionado de tráfego
–  Dois servidores, idênticos. Um exclusivo para atender a um grupo de
usuários. O outro para os demais.
–  DNAT condicionado ao endereço de origem
NAT - APLICAÇÕES

•  DNAT
–  Balanceamento de carga em servidores
–  O Firewall direciona o tráfego para os servidores de maneira a
equalizar a quantidade de carga sobre cada um.
NAT - APLICAÇÕES

•  DNAT
–  Balanceamento de carga em servidores
–  Diversos servidores menores capazes de suportar uma carga maior
–  Quem está de fora, vê um superservidor sobre um único IP
NAT

•  Fluxo com as cadeias da tabela NAT


NAT

•  Cadeias da tabela NAT


–  PREROUTING
•  Avaliada antes do roteamento
•  O NAT que afeta a decisão de roteamento é o que altera o destino. Por
isso, essa é a cadeia usada para NAT de Destino (DNAT)
–  POSTROUTING
•  Avaliada após o roteamento (e após as cadeias da tabela Filter)
•  Usada para NAT de origem (SNAT)
NAT

•  Exemplos:

iptables –A POSTROUTING –t nat –s 10.0.11.1 -o eth1


–j SNAT –-to-source 10.9.0.1
Todas os pacotes com origem 10.0.11.1, saindo pela interface eth1, terão
o endereço de origem traduzido para 10.9.0.1.

iptables –A PREROUTING –t nat –d 10.0.12.2 –j DNAT


–-to-destination 10.0.20.1
Todos os pacotes destinados ao IP 10.0.12.2 terão o endereço de destino
traduzido para 10.0.20.1
NAT

•  Mascaramento
•  NAT 1:N
•  Todas os pacotes saindo com o IP externo do firewall.

iptables –A POSTROUTING –t nat –s 192.168.0.1/24 -o eth0 –j


MASQUERADE

Todos os pacotes da rede interna (192.168.0.1/24), saindo pela interface


eth0, serão traduzidos para o IP do firewall (origem).

A comparação do IP de origem (rede interna) pode ser opcional, mas


recomendável. Dependendo da situação pode ser necessária.
Módulos

Alguns módulos interessantes

•  Limit – impõe limitação sobre a quantidade de vezes em


que uma regra pode ser acionada (por tempo: hora,
minuto).
–  Muito usada para evitar abusos e diminuir a quantidade de logs
gerados.
•  Connlimit – limita o número de conexões simultâneas
abertas por um determinado endereço IP.
•  Recent – Permite correlacionar a decisão com decisões
anteriores. Muito usado para limitar pacotes/conexões de
um mesmo IP.
Observações

•  Para fins de comparação, um endereço 0/0 significa


“qualquer IP”. Seu uso não é obrigatório.

•  O linux, por padrão, ao iniciar, não permite o


encaminhamento de pacotes entre interfaces de rede. Para
ativar:
–  echo “1” > /proc/sys/net/ipv4/ip_forward

•  Mais informações: http://www.netfilter.org


CISCO ACLs

interface eth0
ip access-group 101 in

access-list 101 deny ip 127.0.0.0 0.0.0.255 any


access-list 101 deny ip 200.20.172.0 0.0.0.255 any
access-list 101 permit tcp any any established
access-list 101 permit tcp any host 200.20.172.34 eq ftp
access-list 101 permit tcp any host 200.20.172.34 eq smtp
access-list 101 permit tcp any host 200.20.172.34 eq www
access-list 101 permit tcp host 200.245.85.42 host 200.20.172.55 eq pop3
access-list 101 permit tcp host 200.245.85.42 host 200.20.172.55 eq telnet
access-list 101 permit tcp 200.246.148.0 0.0.0.255 host 200.20.172.36 eq telnet
access-list 101 permit tcp any any range 1023 1999
access-list 101 permit tcp any any range 2020 5999 Cisco IOS
access-list 101 permit tcp any any range 6020 8079 Extended IP Access List
access-list 101 permit tcp any any gt 8081
access-list 101 permit icmp any any
access-list 100-199
access-list 101 deny tcp any any log permit|deny
access-list 101 deny udp any any log ip|tcp|udp|icmp
source source-mask
[lt|gt|eq|neq src-port]
dest dest-mask
[lt|gt|eq|neq dest-port]
Proxy

•  Servidor Proxy

•  Atua como intermediário entre o cliente e o servidor de


conteúdo.

Servidor
Proxy
Introdução

•  Funcionamento básico
1. O cliente solicita um recurso (Web/FTP) ao proxy.
2. O proxy se conecta ao servidor de conteúdo e busca a
informação solicitada.

Servidor
Proxy
Introdução

•  Funcionamento básico
3. O servidor Proxy recebe o conteúdo solicitado.
4. O conteúdo é transmitido ao cliente.

Servidor
Proxy

•  Não há comunicação DIRETA entre o cliente e o servidor de


conteúdo.
Servidor Proxy

•  Funcionamento básico
O Cliente se conecta ao
servidor Proxy e envia
uma solicitação.
Servidor
Proxy
Servidor Proxy

•  Funcionamento básico

O servidor Proxy se conecta ao


servidor de destino (conteúdo)
e envia uma requisição

Servidor
Proxy
Servidor Proxy

•  Funcionamento básico
O servidor de conteúdo
transmite o recurso solicitado
ao servidor Proxy

Servidor
Proxy
Servidor Proxy

•  Funcionamento básico

O servidor proxy transmite o


recurso ao cliente que o
solicitou.

Servidor
Proxy
Servidor Proxy

•  Como todo o tráfego é, ainda que temporariamente,


armazenado no servidor Proxy, este pode ser usado para:
–  Armazenamento de conteúdo (caching)
–  Imposição de políticas de acesso e filtragem de conteúdo
–  Segurança, por exemplo, com uso de antivirus

Servidor
Proxy
Servidor Proxy

•  Armazenamento de conteúdo
–  Primeira grande aplicação do Proxy.
–  Forte argumento a favor nos primórdios da internet comercial, com
linhas de baixa velocidade.
–  O conteúdo recebido é armazenado e, ao ser solicitado novamente,
não é necessário obtê-lo mais uma vez à menor utilização da
banda.

Servidor
Proxy

Armazenamento
(cache)
Servidor Proxy

•  Armazenamento de conteúdo
–  Nem todo conteúdo deve ser armazenado. Ex: páginas dinâmicas
–  Alterações em páginas não serão visíveis imediatamente
–  O servidor deve possuir uma política para expiração do cache.

Servidor
Proxy

Armazenamento
(cache)
Servidor Proxy

•  Algoritmo de decisão – Usar ou não a informação no cache?

1.  Verificar se a URL solicitada está armazenada no cache

2.  Se não estiver no cache à Obter (“baixar”)

3.  Essa informação está expirada? à Se sim, obter novamente

4.  Verificar no servidor a última alteração do conteúdo


•  Requisição “If-Modified-Since”
•  Se houve alteração, obter novamente.
•  Se não houve alteração, devolver ao cliente o conteúdo no cache
Servidor Proxy

•  O proprietário do conteúdo pode definir como o cache deve tratá-lo


–  Cabeçalho HTTP “Cache-Control”
–  Pode ser armazenado à informação pública
–  Nunca armazenar
–  Armazenar até determinada data/hora (expiração)

•  O que não pode ser armazenado


–  HTTPS
–  Submissão do tipo POST (formulários)
–  Respostas com comando explícito para não armazenar

•  Referências: RFCs 2616 e 3143


Servidor Proxy

•  Imposição de políticas de acesso/conteúdo


–  Controle de acesso a conteúdo
•  Sites com acesso impedido
•  Sites com acesso controlado (auditoria, horário permitido)
•  Categorização de sites
–  O Administrador define categorias Permitidas X Proibidas
–  Base de dados própria ou fornecida por empresas de segurança
–  Lista-negra

Servidor
Proxy
Servidor Proxy

•  Imposição de políticas de acesso/conteúdo


–  Objetivos em uma corporação
•  Blindagem contra agentes maliciosos
•  Políticas internas da empresa
•  Produtividade dos funcionários

Servidor
Proxy
Servidor Proxy

•  Exemplos de categorias:
–  Botnets, sites maliciosos, phishing, distribuição de spywares, anúncios
–  Videos: Educacionais, entretenimento, vigilância
–  P2P: Sites de distribuição ou download de ferramentas
–  Jornais: Por país, por tipo, etc
–  Mensagens instantâneas: MSN, Yahoo, Gtalk
–  Material adulto: Educacional e não-educacional
–  Drogas: Sites informativos, vendas, sites prós ou contrários
–  Educação: Instituições, materiais, teses
–  Jogos: de azar, de computador, para crianças, para maiores de x anos
–  Redes sociais
–  SPAM: Sites cujos endereços são enviados em SPAMs
–  Sites de pesquisa: Normais, conteúdo protegido (pirataria), etc...
–  Racismo, intolerância, extremismo, etc
–  Viagens: hotéis, empresas aéreas, passagens, etc
Servidor Proxy

•  Filtragem de conteúdo obtido


–  Scripts
–  Arquivos com determinada extensão (.exe, .com, .vbs, .mp3)
–  Limite de tamanho de arquivo
–  Assinatura (nome) do agente
•  Ex: Impede agente “Kazaa”
•  Não é uma proteção efetiva
–  Análise do conteúdo
•  Antivirus / Anti-spyware
Servidor
–  Limpeza Proxy
–  Impedimento de acesso
•  Categorização
•  Inspeção de texto
•  Análise de imagens
•  Bloqueio de Cookies
Servidor Proxy

•  Filtragem de conteúdo enviado


–  Conteúdo impróprio
–  DLP (Data Loss Prevention) - Prevenção contra perda de dados
•  Impede o envio de dados de propriedade intelectual da empresa -
Intencional ou acidental
–  Códigos-fonte
–  Documentos da empresa
•  Técnicas de identificação
–  Pesquisa por conteúdo
–  Pesquisa estatística
–  Assinaturas
–  Expressões regulares
•  Email (SMTP ou Web), blogs, redes sociais
•  O DLP deve ser uma solução conjunta, incluindo ferramentas nos
clientes e não deve ser delegada somente ao servidor Proxy.
Servidor Proxy

•  Ao ter o acesso negado, o cliente recebe uma mensagem informativa


Servidor Proxy

•  A imposição da política pode ser:


–  Única, para todos os usuários
–  Personalizada
•  Por endereço IP
•  Por usuário. Identificação por:
–  Página de logon no primeiro acesso
–  Integração com o AD (Windows)
Servidor Proxy

•  O cliente deve ser configurado para usar o servidor Proxy


Servidor Proxy

•  O cliente deve ser configurado para usar o servidor Proxy

•  Configuração automática
–  Arquivo PROXY.PAC
•  Desenvolvido pela Netscape em 1996
•  Necessita que seja indicado o endereço do servidor
–  WPAD (Web Proxy Autodiscovery Protocol)
•  DHCP
•  DNS
•  Técnica transparente ao usuário
Servidor Proxy

•  Para garantir a aplicação das políticas, nenhum acesso


direto deve ser permitindo, sendo obrigatório o uso do
servidor Proxy.
Servidor Proxy

•  Proxy Transparente ou de interceptação


–  Todas as requisições são transferidas para um servidor proxy
–  O usuário não tem conhecimento da intercepção
•  Exceto se houver indicação explícita, aplicação de política, etc
•  Com pouco esforço é possível determinar a existência do elemento
intermediário (usuários avançados)
–  Não requer a reconfiguração dos terminais clientes
–  Ao contrário do Proxy tradicional, o transparente não altera as
requisições e respostas. [RFC 2616 – 1.3]
–  Não funciona com HTTPS – o protocolo se protege contra o que seria
um ataque “Man-in-the-middle”.
Servidor Proxy

•  Proxy Transparente ou de interceptação


–  Técnica mais simples:
•  Serviço de Proxy na mesma máquina do Gateway/Firewall.
•  Redirecionamento dos pacotes para a porta de entrada do serviço.
Servidor Proxy

•  Proxy Transparente ou de interceptação


–  Outra técnica
•  Redirecionamento para o servidor Proxy
•  Não exige o serviço funcionando no próprio Firewall
•  A resposta (do Proxy para o cliente) deve percorrer o mesmo caminho e
não seguir diretamente
Servidor Proxy

•  Proxy Reverso
–  Presta serviço a servidores, intermediando a comunicação com
clientes
–  Oferece vantagens de segurança e desempenho
Servidor Proxy

•  Segurança
–  “Esconde” a infraestrutura dos servidores
–  Pode interceptar tentativas de ataque/invasão
•  URLs mal formatadas
•  Cabeçalhos/requisições inválidas
–  “Isola” o servidor do cliente
Servidor Proxy

•  Desempenho
–  Armazenamento de páginas, diminuindo a carga sobre o servidor
–  Criptografia (HTTPS)
•  A tarefa é transferida do servidor para o Proxy reverso
•  Cliente ßà Proxy Com criptografia
•  Proxy ßà Servidor Sem criptografia
•  Menor carga de processamento sobre o servidor
Servidor Proxy

•  Balanceamento de carga
–  Divide as requisições entre diversos servidores
–  Disponibilidade
–  Capacidade superior
Servidor Proxy

•  Distribuição de carga conforme aplicação


–  O Proxy identifica, pela requisição, qual servidor será acionado.
–  “Esconde” a estrutura do usuário, que “vê” um único servidor.
Detectores de intrusão (IDS)

•  IDS – (Intrusion Detection Systems)


–  São responsáveis por analisar o comportamento de uma rede ou
sistema em busca de tentativas de invasão
–  Pode ser de dois tipos
•  HIDS – (Host IDS):
–  monitora um host específico
•  NIDS – (Network IDS):
–  monitora uma segmento de rede

•   
Detectores de intrusão (IDS)

•  Um IDS utiliza dois métodos distintos:


–  detecção por assinaturas
–  detecção por comportamento
Detectores de intrusão (IDS)

•  Detecção por assinaturas:


–  semelhante às assinaturas de antivírus associam um ataque a um
determinado conjunto de pacotes ou chamadas de sistema
–  não só detecta o ataque como também o identifica
–  exige atualizações frequentes do fabricante
Detectores de intrusão (IDS)

•  Detecção por comportamento:


–  Observa o comportamento da rede em um período normal, e o
compara com o comportamento atual da rede
–  Diferença significativa entre os comportamentos, o IDS assume que
um ataque está em andamento
–  Utiliza métodos estatísticos ou inteligência artificial
–  Detecta ataques desconhecidos
–  Não sabe informar qual ataque está em andamento 
IDS

•  IDS
–  Intrusion Detection System
–  Tipos
•  Network-based à NIDS (Network Intrusion Detection System)
•  Host-based à Atuação limitada ao sistema/estação

•  Muitas situações de risco não podem ser evitadas pelas


ferramentas tradicionais (Ex: Firewall)
Introdução

•  Objetivos:
–  Defesa
–  Identificar situações com perigo de:
•  Invasão
•  Comprometimento de serviços/sistemas
•  Comprometimento da rede
–  Permitir tomada rápida de ação, diminuindo o risco de
estragos
–  Auditoria
•  Análise forense
•  Avaliação de serviços ativos
Introdução

•  IDS
–  Exemplos de situações perigosas:
• Ataques em andamento
• Exploração de vulnerabilidades conhecidas
• Tráfego suspeito
–  Envio de SPAM
• Suspeita de contaminação
• Violação de política
–  Serviços não permitidos (Ex: P2P)
• Tentativas de logon como ‘root’ a um determinado
servidor.
Introdução

•  IDS
–  Atua simultaneamente nas diversas camadas do
TCP/IP
–  A origem de um problema pode ser:
• Externa ou interna
–  Varredura
–  Tentativa de invasão (força bruta)
–  Envio em massa de SPAM
–  ...
Introdução

•  IDS
–  Com base em regras próprias, determina se um tráfego é
suspeito
–  Maiores desafios
•  Falso positivo
Alertas para situações normais (sem risco)
•  Falso negativo
Situações perigosas não notificadas
•  Atualização constante de assinaturas
São as regras que guiam a detecção. A cada vulnerabilidade descoberta,
novas regras são criadas para permitir a identificação daquela situação
específica.
Introdução

•  IDS
–  Os registros (logs) devem ser verificados constantemente
para garantir uma tomada de ação imediata.
–  Se o sistema gera logs demais, é possível que a
verificação seja negligenciada
–  O ajuste fino das regras é fundamental para balancear
qualidade da detecção com quantidade gerenciável de
registros (logs) gerados
–  Esse ajuste deve ser uma rotina constante
Host-Based IDS

•  Host-Based IDS (HIDS)


–  É executado na estação onde deseja-se detectar atividades de
comprometimento da segurança
–  Varredura de logs e registros em busca de atividades suspeitas
–  Verificação constante de arquivos de sistema contra alteração
(assinatura)
–  Oferece registros mais detalhados
–  Detecta atividades iniciadas na própria máquina
–  Maior precisão na detecção
•  Alteração de arquivos de sistema ou configurações
•  Tentativa de acesso privilegiado
–  Detecta eventos que não podem ser detectados por NIDS
•  Ex: Ataque via tráfego criptografado
NIDS

•  Network-Based IDS (NIDS)


–  Defesa de perímetro
–  Análise de pacotes em trânsito, sem realizar qualquer alteração
•  Análise Passiva
–  Critérios:
•  Padrões
–  Eventos determinísticos
–  Vulnerabilidades conhecidas
•  Estatísticos
–  Frequência de pacotes (análise de cabeçalhos e/ou conteúdo)
–  Frequência de determinados eventos (menor importância)
–  Correlação entre detecções anteriores
NIDS

•  Network-Based IDS
–  Criptografia
•  Tráfego/canais criptografados não podem ser analisados
•  Um ataque, por exemplo de varredura, através de uma VPN não pode
ser diferenciado de um tráfego de elevado volume qualquer.
•  Alguns protocolos podem deixar assinaturas estatísticas, que permitem
suspeitas após prolongado monitoramento
–  Resultado de longas observações
–  Não é possível avaliar o conteúdo (payload) do tráfego
–  Não pode-se esperar exatidão
NIDS

•  Network-Based IDS
•  Componentes
–  Sensor (1 ou mais)
•  Responsável pela leitura dos pacotes e aplicação das regras de detecção
–  Base de dados
•  Armazenamento de alertas e registro de tráfego suspeito
–  Console de gerência
•  Acesso aos registros, pesquisa de eventos
•  Administração das regras e assinaturas

Os elementos componentes podem ser distribuídos em um ou mais


equipamentos (hardware)
NIDS

•  Topologia básica
NIDS

•  Topologia física (típica)


–  A interface de monitoramento é ligada a uma porta do switch configurada
como “Espelhamento”
–  Todo o tráfego entre o Firewall e o Switch é copiado para essa porta
–  No sensor, a interface opera em modo “promíscuo”.
NIDS

•  Topologia física (típica)


–  Uma interface de espelhamento apenas envia dados. Não é possível
transmitir nessa porta
–  Para se comunicar com outras estações (banco de dados e console), o
Sensor deve possuir uma outra interface, ligada em uma porta normal do
switch.
NIDS

•  Topologia física (típica)


–  O Sensor pode usar uma outra rede, específica para gerência (mais segura)
para a comunicação com banco de dados e console
–  Todo e qualquer acesso ao sensor (assim como ao banco de dados e console)
deve ser estritamente controlado
NIDS

•  Posicionamento
–  O posicionamento do sensor é de fundamental importância
NIDS

•  Se for posicionado em (1):


–  Monitora o tráfego para a rede interna
–  Não monitora o tráfego para a DMZ – Um ataque não seria detectado
NIDS

•  Se for posicionado em (2):


–  Monitora o tráfego para a rede DMZ
–  Não monitora o tráfego para a rede interna
–  Pode ser uma situação desejada
NIDS

•  Se for posicionado em (3):


–  Monitora o tráfego entre as redes Interna e DMZ com a Internet
–  Não monitora o tráfego entre a Rede Interna e DMZ
–  Pode detectar tentativas que serão bloqueadas pelo firewall
NIDS

•  Deve-se considerar
–  Quais tráfegos deseja-se monitorar
–  Quantos sensores estou disposto (e posso) dedicar a esta tarefa
–  Distribuição de carga (tráfego elevado)
IPS

•  IPS
–  Intrusion Prevention System
–  O IPS é uma ferramenta que acumula às funções do IDS, recursos
para tomada de ação, interrompendo/impedindo a continuidade de
um ataque ou situação de risco
–  O termo IPS não é universalmente adotado por todos os fabricantes
e envolve questões de marketing.
IPS

•  IPS
–  Técnicas de atuação
•  Diretamente sobre a estação afetada
•  Sobre roteadores e firewalls
•  Interceptação de conexão
IPS

•  Diretamente sobre a estação afetada


–  O sensor envia ao atacado um comando para que uma determinada sessão/
conexão/comunicação seja interrompida
–  Vantagens: Maior controle sobre a ação tomada. Permite interromper a
execução de processos no servidor, ou desativação de recursos
comprometidos ou sob suspeita.
IPS

•  Diretamente sobre a estação afetada


–  Desvantagens:
•  Maior complexidade. Exige definição prévia das ações possíveis.
•  Instalação de recursos em cada servidor para permitir a comunicação e
tomada de ações à Questões adicionais de segurança.
IPS

•  Sobre roteadores e firewalls


–  O Sensor envia ao Firewall (ou roteador) um comando para bloquear uma,
ou mais, conexões/fluxos participantes da atividade suspeita.
–  Pode, também, haver o bloqueio, temporário ou definitivo*, do(s)
endereço(s) atacante(s).
* Até desbloqueio manual
IPS

•  Sobre roteadores e firewalls


–  Vantagens:
•  Impede a continuidade do ataque
•  Atuação sobre número limitado de equipamentos
•  Regras de ação mais simples à Maior abrangência sobre situações
suspeitas
IPS

•  Sobre roteadores e firewalls


–  Desvantagem:
•  Não permite interromper processos/serviços comprometidos na estação
atacada
IPS

•  Interceptação de conexão
–  Session Sniping
–  Permite interromper conexões TCP pelo envio de pacotes RST forjados para
ambas as estações (atacante e atacado)
IPS

•  Interceptação de conexão
–  Vantagens:
•  Simples implantação
•  Não requer programas/protocolos específicos para a tomada de ação
•  Ação de efeito curto (mas pode ser repetida indefinidamente)
IPS

•  Interceptação de conexão
–  Desvantagens:
•  Pode expor a existência do IPS (um atacante experiente pode conseguir
informações relevantes sobre a política de defesa)
•  Apenas sobre conexões TCP
IPS

•  Interceptação de conexão
–  Desvantagens:
•  Confia no correto funcionamento da pilha TCP/IP dos participantes
(geralmente a do servidor se comportará como esperado)
•  A atividade pode ser reiniciada novamente (nova conexão) à Problema
sério se há latência entre o início da atividade, detecção e tomada de
ação.
IPS

•  IPS à Atenção
–  Falso Positivo
–  Pode causar:
•  Risco de bloqueio de tráfego legítimo
•  Transtorno aos usuários
•  Interrupções nas comunicações

–  Toda política de IPS deve ser implantada com elevada cautela


para evitar impacto negativo na rede.
Snort

•  Snort
•  Solução aberta de IDS/IPS
•  Detecção por:
–  Assinaturas à Atualização pela internet
–  Inspeção de tráfego anormal

•  Disponível para diversos sistemas operacionais, entre eles:


–  Linux
–  Windows

•  Compatível com bancos de dados


•  MySQL
•  PostgreSQL
•  MSSQL
•  Oracle
http://www.snort.org/
Snort

•  Snort
•  Ferramentas de terceitos

–  Análise de logs
•  BASE

–  Atualização de regras
•  Oinkmaster
A atualização é:
-  Gratuita para regras com mais de 30 dias
-  Paga para regras mais recentes (zero-day)

http://www.snort.org/
VPN (Virtual Private Networks)

•  VPN – (Virtual Private Networks):


–  Forma de interligar duas redes privadas (Intranet) através da
Internet
–  Permite usar uma rede não confiável de forma segura
VPN (Virtual Private Networks)

•  Exemplos e utilização
–  Ligação entre dois
firewalls ou entre dois
servidores de VPN para
interligar duas redes
inteiras
–  Ligação entre uma
estação na Internet e
serviços localizados
dentro da rede interna
(Intranet) 
Propriedades das conexões VPN

•  Encapsulamento
–  Contém informações de roteamento que permitem que os dados
atravessem a rede de tráfego
•  Criptografia de dados
–  Garante a confidencialidade dos dados que atravessam a rede de
tráfego pública ou compartilhada
Propriedades das conexões VPN

•  Autenticação
–  Autenticação no nível do usuário
–  Autenticação no nível do computador
–  Autenticação da origem dos dados e integridade dos dados
VPN (Virtual Private Networks)

•  VPN emprega criptografia em cada pacote trafegado


–  A criptografia deve ser rápida o suficiente para não comprometer o
desempenho entre as redes
–  A criptografia deve ser segura o suficiente para impedir a quebra de
confidencialidade
•  Para cada pacote trafegado é verificado
–  A integridade (CRC ou Hash – será visto posteriormente)
–  A autenticidade
•  pacotes carregam assinaturas/senhas para garantir a veracidade da
fonte emissora
VPN (Virtual Private Networks)

•  Exemplos de protocolos de encapsulamento empregados


–  IPSec (RFC 3193)
–  L2TP (RFC 2661/ RFC 3193)
–  PPTP (RFC 2637)
–  SSTP
VPN (Virtual Private Networks)

•  Vantagens:
–  substituição de linhas dedicadas a custo baixo
–  uso de infraestrutura já existente 
•  Desvantagens:
–  sensível aos congestionamentos e interrupções que ocorrem na
Internet
–  Necessidade de maior taxa de transmissão
–  Aumenta o processamento