OSTENSIVO GUIA DE ESTUDO

Segurança de Perímetro

Nesta unidade falaremos sobre os diversos elementos de defesa

de perímetros, comumente encontrados em redes, e entender onde aplicá-los
para melhorar a defesa de nossas redes.

OSTENSIVO 3-1
OSTENSIVO GUIA DE ESTUDO

Defendendo nosso Perímetro

Quando falamos em Segurança da Informação, a maioria das

pessoas pensa logo em “defender a rede contra ataques”, o que normalmente é
feito no ponto de conexão da rede com a internet, que é a borda onde termina
nosso território e começa a terra-sem-dono (Internet) . Daí porque é
tecnicamente chamado de “Defesa de Perímetro”. O perímetro de segurança de
nossa rede é um dos princípios mais importantes quando falamos em defesa de
nossas redes.
Se no passado eram usados muros, fossos (secos ou repletos de
água), cercas de arame farpados, dentre outros, nós hoje utilizamos tecnologias
específicas como firewalls, IDS/IPS e anti-vírus.
Neste módulo o aluno se familiarizará com as principais tecnologias
utilizadas para defender um perímetro, assim como, onde elas se posicionam em
um plano de defesa e como fazê-las trabalhar em conjunto.

OSTENSIVO 3-2
OSTENSIVO GUIA DE ESTUDO

Projeto de Defesa

Em segurança da informação defender um perímetro consiste

basicamente em:
Prevenir – Adotar as medidas necessárias para evitar que um
ataque seja bem sucedido, fazendo uso de tecnologias que permitam um
perímetro resistir aos ataques.
Detectar – Não basta apenas saber que existem
defesas, mas é importante saber que está ocorrendo um ataque. A maioria dos
ataques cibernéticos são silenciosos, justamente para serem mais eficazes. Ter
a capacidade em detectar ataques traz uma vantagem tática importante a
defesa.
Responder – Em se detectando um ataque, como responder? Isso
dependerá basicamente em como o incidente de segurança será tratado pelo
Centro de Tratamento de Incidentes e Respostas (CTIR) que apoia a OM
(comumente o CLTI que dá apoio a OM afetada). Algumas respostas possíveis
podem variar de, aplicar uma correção de software para cessar o ataque, a
monitorar a rede e entender o que o atacante conseguiu realizar e sua real
identidade.
Política de segurança – Conjunto de todos os procedimentos que
permitem integrar as 3 ações anteriores e definem as responsabilidades de
todos na proteção cibernética.

OSTENSIVO 3-3
OSTENSIVO GUIA DE ESTUDO

Segurança de Perímetro

Buscando o apoio em uma analogia, o perímetro pode ser definido

como a porção que separa a área interna de uma casa da área externa. Na
proteção de residências, é comum a utilização de portas, janelas e muros, em
pontos de entrada e saída de pessoas, além das paredes e do teto contornando
todo o perímetro restante. Em alguns casos, há diversas portas antes de chegar
no interior de uma casa. Algumas podem ser protegidas com cadeados e
similares, além da fechadura tradicional.
Isto poderia exemplificar o conceito de "segurança em profundidade", ou
seja, vários níveis de proteção são utilizados entre o interior da residência e a
parte externa. Neste caso, para que um intruso tenha acesso a parte interna de
uma casa, ele teria que sobrepujar todas as proteções usadas em cada nível.
Todavia, as pessoas autorizadas e os moradores da residência poderiam
trafegar livremente desde que tivessem todas as chaves adequadas. Por outro
lado, quanto mais proteção for usada, mais difícil será o acesso também para as
pessoas autorizadas: mais portas, mais chaves etc.

OSTENSIVO 3-4
OSTENSIVO GUIA DE ESTUDO

Segurança de Perímetro

Vale notar que todo o perímetro é protegido por muros, portas, paredes
e tetos, separando a parte confiável, o interior da residência, da parte não
confiável, a porção externa da casa, onde as ameaças estão localizadas.
Apenas alguns pontos, as portas, permitem a passagem controlada de pessoas.
Neste cenário, fica claro que todos os mecanismos de proteção têm o objetivo
de proteger a casa das ameaças externas. Conclui-se, portanto, que a
segurança perimetral não consegue tratar os perigos internos.
Todas estas ideias podem ser transferidas para o mundo virtual, nas
redes de computadores. O tráfego de pacotes entrando e saindo de uma rede
deve ser controlado de forma similar, e, para tal finalidade, todo o perímetro de
rede deve ser identificado, localizando os poucos pontos por onde deve passar
todo o tráfego entre redes.

OSTENSIVO 3-5
OSTENSIVO GUIA DE ESTUDO

Projeto de Defesa

Defesa em Profundidade
A medida que níveis de segurança são adicionados, mais protegida fica
a rede. A tarefa de subverter mecanismos diferentes é muito mais complexa,
além de retardar o avanço de um atacante em direção à rede interna.
A defesa em profundidade é bastante utilizada em casos práticos. É
muito comum encontrarmos vários níveis de firewall com tecnologias diferentes e
configurações cada vez mais restritivas. Isso dificulta a realização de ataques e
facilita a detecção de qualquer evento malicioso. Mais níveis de firewall e vários
sistemas de identificação de intrusos significam mais alertas de segurança para
o administrador, portanto, maior a chance de um invasor ser percebido.

Privilégio mínimo
O conceito de privilégio mínimo significa que não devemos nos expor a
situações de risco desnecessárias. Ao se configurar as permissões que um
usuário tem em um sistema, devemos fazê-lo de forma que ele nunca tenha
permissões além daquelas necessárias ao desempenho de suas funções. Um
conceito similar seria o de remover serviços não utilizados de um sistema
operacional. Um serviço funcionando em um servidor é uma entrada em
potencial para um invasor, além de consumir recursos de hardware.

OSTENSIVO 3-6
OSTENSIVO GUIA DE ESTUDO

Elementos de Segurança de Perímetro

Serão apresentados alguns dos principais equipamentos e

sistemas utilizados para proteger um perímetro de segurança.

OSTENSIVO 3-7
OSTENSIVO GUIA DE ESTUDO

Firewall

Um firewall é um sistema ou um conjunto de sistemas que

implementam uma política de controle de acesso entre duas redes. Para tal
finalidade, o firewall deve interceptar todo o tráfego de pacotes entre as duas
redes e, com base na política de segurança interna, permitir ou bloquear a sua
passagem. Desta forma, o firewall pode reduzir os riscos de ataques às
máquinas localizadas internamente, controlando quais máquinas na rede externa
podem estabelecer sessões com quais servidores internos e, por outro lado,
quais máquinas internas podem determinar sessões com quais computadores
remotos.
Como será visto nas próximas seções, dependendo da tecnologia
empregada, o firewall pode também inspecionar e efetuar filtragem no fluxo de
dados trocado durante a comunicação, aumentando consideravelmente o grau
de segurança. Firewalls podem ser implementados em software ou em
hardware.

OSTENSIVO 3-8
OSTENSIVO GUIA DE ESTUDO

Filtro de Pacotes

A filtragem de pacotes é o processo de seletivamente permitir ou

bloquear o tráfego de pacotes entre duas redes, fazendo uso de um
conjunto de regras de filtragem. Essas regras são baseadas em
informações existentes nos cabeçalhos de cada pacote e, logo, o filtro é
feito em cada pacote de uma seção individualmente.
No caso de datagramas IP, a filtragem pode ser feita usando-se
informações como endereços IP de origem e destino, portas de origem e
destino, protocolo de transporte usado, tipo e código de pacotes ICMP,
opções IP, dentre outras. Pode-se concluir que filtros de pacotes fazem
todo seu trabalho principalmente nos níveis de rede e de transporte e,
desta forma, são comumente implementados junto com o processo de
roteamento em roteadores ou no kernel dos sistemas operacionais.
Por serem implementados nas camadas mais baixas do sistema
operacional ou em hardware, filtros de pacotes apresentam sempre um
bom desempenho.
O baixo custo computacional dos filtros de pacotes permite ainda
que eles sejam facilmente adequados ao crescimento do número de
máquinas na rede interna (escalabilidade). Uma outra vantagem
importante é a transparência, pois filtros não exigem nenhuma
configuração especial nos softwares clientes e/ou servidores dentro da
rede interna. Os usuários só percebem que há alguma filtragem de
pacotes quando tentam fazer algo não permitido pela política de
segurança implementada.

OSTENSIVO 3-9
OSTENSIVO GUIA DE ESTUDO

Filtro de Pacotes

A filtragem de pacotes evita uma série de ataques. De uma forma geral,

evitam-se todas as invasões aos serviços não permitidos pelas regras
configuradas no filtro. Vale destacar aqui que todos os ataques mais sofisticados
que se utilizam de IP Spoofing também podem ser evitados com esta tecnologia
de firewall. Se a filtragem é realizada por interface de rede em ambos os
sentidos e o atacante estiver tentando utilizar o endereço de alguma máquina
dentro da rede interna (IP Spoofing), este ataque não funcionaria porque, em
condições normais, jamais um pacote pode chegar da rede externa tendo como
endereço de origem o de uma máquina interna.
Com a correta configuração da filtragem, pacotes em tal situação
poderão facilmente ser bloqueados. Além desses, muitos ataques utilizando
pacotes truncados ou flooding de pacotes não serão bem sucedidos, pois o
processo de filtragem pode proibir que tais pacotes atinjam máquinas dentro da
rede a ser protegida.
No entanto, por não entender o fluxo de dados dos pacotes de cada
sessão (o leitor deve lembrar que um filtro de pacotes baseia todo o seu trabalho
em cabeçalhos dos pacotes), os filtros de pacotes permitem ataques às
vulnerabilidades particulares dos diversos protocolos e serviços do nível de
aplicação e, por este mesmo motivo, são incapazes de desempenhar
autenticação do usuário e criar logs mais sofisticados de cada comunicação.
Filtros de pacotes carecem, principalmente em roteadores, de boas ferramentas
de administração.
As regras de filtragem podem ser muito difíceis de configurar e exigem
o conhecimento de uma intricada sintaxe específica para o roteador. Além disso,
a ordem em que as regras são definidas pode acarretar mudanças significativas
no resultado do filtro de pacotes e, em muitos sistemas, a falta de ferramentas
de edição torna ainda mais complicada a tarefa do administrador de segurança
de editar as regras de filtragem a serem implementadas.
Outra desvantagem de filtros de pacotes é que eles não mantêm
estados das conexões TCP ou UDP e podem, com isso, permitir a passagem de
pacotes que não pertençam a qualquer conexão ou sessão válida existente
através do firewall, desde que eles satisfaçam as regras de filtragem. Observa-
se que esta vulnerabilidade diz respeito a pacotes ICMP também. Alguns
pacotes ICMP podem ser transmitidos para controlar o funcionamento de certas
conexões ou sessões.
Filtros de pacotes tradicionais não possuem as informações necessárias
para relacionar os pacotes ICMP que chegam ao firewall às suas respectivas
conexões ou sessões. Em alguns casos, bloquear estes pacotes ICMP pode ser
um grande problema.

OSTENSIVO 3-10
OSTENSIVO GUIA DE ESTUDO

Stateful Firewall

Um filtro de pacotes com estados (stateful) usa, no seu processo

de filtragem, um conjunto de regras de filtragem, como no caso dos filtros
tradicionais, e as informações de estados obtidas das conexões e
sessões. A filtragem tradicional somente ocorre com o primeiro pacote da
conexão ou sessão, ou seja, somente o primeiro pacote pertencendo a
uma sessão ou conexão é verificado contra o conjunto de regras. Se esse
pacote é permitido, o firewall cria uma entrada para essa conexão ou
sessão em sua tabela de estados. Desse momento em diante, os demais
pacotes de uma conexão ou sessão somente serão permitidos se existir
alguma entrada na tabela de estados para essa conexão ou sessão.
Além disso, por manterem estados das conexões ou sessões,
filtros de pacotes com estados são capazes de associar pacotes ICMP de
controle às suas respectivas conexões. Isso garante também que
somente pacotes ICMP válidos (associados à comunicações existentes)
passem pelo firewall, eliminando a necessidade de criação de regras
específicas para esses pacotes, que podem propiciar espaços perigosos
no firewall. Dessa forma, evita-se que pacotes (TCP, UDP ou ICMP)
quaisquer, permitidos segundo as regras no filtro, entrem na rede interna,
como acontecia nos filtros de pacotes tradicionais.

OSTENSIVO 3-11
OSTENSIVO GUIA DE ESTUDO

Stateful Firewall

Portanto, há tabelas de estados que acompanham o andamento de

cada conexão ou sessão atravessando o filtro em um dado momento. O fato de
não utilizar o conjunto de regras de filtragem para todos os pacotes oferece
outras vantagens interessantes. Em um filtro tradicional, o administrador precisa
se preocupar com o fluxo de pacotes em todas direções. É necessário criar
regras para pacotes entrando e outras para pacotes saindo da rede interna. Em
filtros de pacotes com estados, apenas uma regra para tratar o início da conexão
é necessária, portanto o conjunto de regras é menor. Além disto, a busca em
tabelas de estados é otimizada, usando estrutura de dados e algoritmos de
busca mais apropriados.
Uma outra característica de filtros de pacotes com estados é que,
ao contrário dos filtros tradicionais, geralmente fazem um trabalho muito maior
no nível de aplicação. Aliás, muitas das informações de estados mantidas pelo
filtro são extraídas da parte de dados dos pacotes. Firewalls mais sofisticados
entendem certos protocolos e serviços de aplicação e chegam a fazer filtragem
na parte de dados dos pacotes, eliminando alguns dos problemas de segurança
existentes também no nível de aplicação. Alguns, inclusive, oferecem linguagens
de script poderosas para a escrita de regras de filtragem usando informações do
nível de aplicação.

OSTENSIVO 3-12
OSTENSIVO GUIA DE ESTUDO

Firewall

Neste exemplo, o firewall está protegendo uma rede onde existe

um servidor WEB com os protocolos HTTP (TCP/80) e HTTPS(TCP/443)
habilitados. Estes serviços estão permitidos no firewall, com as regras descritas
como “permit any any tcp 80” e “permit any any tcp 443”. Estas regras
permitem o tráfego de pacotes pelo firewall, de qualquer endereço para qualquer
endereço, nas portas 80 e 443 TCP.
Caso uma tentativa de conexão de serviço não autorizado seja
tentada (exemplo: SMTP, que usa a porta TCP/25) esta não será autorizada,
pois não consta na relação de regras do firewall.

OSTENSIVO 3-13
OSTENSIVO GUIA DE ESTUDO

Proxy

Proxy é uma outra tecnologia de firewall que tem como objetivo

principal controlar todas as comunicações, para algum determinado
serviço ou conjunto de serviços, entre as máquinas internas e externas.
Com essa tecnologia, quando um cliente na rede interna, por exemplo,
deseja estabelecer uma conexão com algum servidor remoto, a
comunicação deve ser feita sempre via um servidor proxy apropriado.
Portanto, esse esquema envolve pelo menos duas conexões: uma entre o
cliente interno e o servidor proxy e outra entre o servidor proxy e o
servidor remoto. Os dados de uma conexão são repassados para a outra
e vice- versa, pelo agente proxy. Nota-se que cabeçalhos das camadas
de rede e transporte não atravessam a máquina proxy, visto que se
referem a duas conexões diferentes.
Para servidores remotos é como se todos os clientes estivessem
na máquina proxy. Os clientes internos, por sua vez, se comunicam com o
servidor proxy como se esse fosse o próprio servidor remoto. Obviamente,
como primeira desvantagem dessa tecnologia, temos uma perda de
desempenho quando comparada com as tecnologias de firewall anteriores
apresentadas neste capítulo.

OSTENSIVO 3-14
OSTENSIVO GUIA DE ESTUDO

Proxy

Na implementação de firewalls usando agentes proxy, algumas das

tecnologias de filtragem de pacotes discutidas podem ser adicionadas para
garantir que todo tráfego de pacotes proveniente das máquinas internas sempre
passe pelo servidor proxy. Em outras palavras, nenhuma máquina interna deve
comunicar-se diretamente com a rede externa. Por outro lado, o filtro de pacotes
deve evitar também que máquinas remotas possam se comunicar diretamente
com as máquinas internas. Dessa forma, assegura-se que em nenhuma
circunstância pacotes provenientes da rede externa entrarão na rede interna sem
passar pelo proxy e vice-versa, protegendo completamente as máquinas internas
de ataques originados externamente.
Servidores proxy são implementados como processos do sistema
operacional como qualquer outro serviço, porém são normalmente mais simples
(código fonte menor e construído com maiores preocupações com a segurança).
Isso diminui em muito a possibilidade da existência de "furos" de segurança,
além disso, os privilégios de tais processos sobre o sistema são geralmente
limitados.
Por serem tratados como processos normais, dividirem o
processador com os demais processos do sistema operacional e consumirem
recursos da máquina, os servidores proxy podem tornar-se um gargalo de
comunicação, limitando também o crescimento do número de máquinas da rede
(perda de escalabilidade). Além disso, uma máquina proxy pode ter sua
segurança comprometida também por ataques a falhas de segurança no sistema
operacional. Então, alguma tecnologia de filtragem de pacotes é necessária para
proteger o sistema operacional da máquina proxy.
Outra limitação de servidores proxy é a dificuldade para lidar com
protocolos baseados em UDP. O protocolo UDP não trata de problemas típicos
em redes sem conexão como a rede IP: falta de ordenação dos pacotes, atrasos
na rede e perda de pacotes.
Portanto, todas essas funções ficam para o protocolo da camada
superior. Para tais serviços, o proxy deve tratar de todos estes problemas.
Portanto, a complexidade do software aumenta consideravelmente, trazendo
ainda mais problemas para desempenho e escalabilidade.
Para “o que” um proxy é utilizado?
• Autenticação de usuário;
• Inspeção de Conteúdo;
• Cache;
• Registro de Acessos;e
• Esconde detalhes da rede interna.

OSTENSIVO 3-15
OSTENSIVO GUIA DE ESTUDO

Proxy

Quando um proxy está envolvido em uma comunicação

normalmente o fluxo é realizado na seguinte ordem:
1 – O usuário pede aceso a uma página;
2 – O computador inicia uma conexão ao proxy, pedindo a página solicitada pelo
usuário;
3 – O Proxy analisa se:
• o usuário é autorizado?
• o protocolo é permitido?
• o destino solicitado é autorizado?
4 – Caso a requisição seja autorizada pelo Proxy este inicia outra conexão, desta
vez ao destino solicitado pelo usuário;
5 – O servidor que hospeda a página solicitada pelo usuário responde ao proxy
com o conteúdo solicitado;e
6 – O Proxy retorna ao usuário o conteúdo solicitado.

OSTENSIVO 3-16
OSTENSIVO GUIA DE ESTUDO

Hierarquia de Proxies

Em alguns cenários temos servidores proxy encadeados. Neste

caso, o tráfego ocorre da seguinte forma:
1 – O usuário pede aceso a uma página e o computador solicita a página ao
Proxy;
2 – O proxy analisa se o tráfego é autorizado. Se for encaminha a requisição ao
proxy superior na hierarquia;
3 – Se este proxy autorizar o tráfego o mesmo será encaminhado ao servidor de
destino;
4 – O Servidor de destino responde ao proxy no topo da hierarquia;
5 – O tráfego é redirecionado ao proxy mais baixo na hierarquia que solicitou o
acesso;e
6 – O Proxy retorna ao usuário o conteúdo solicitado.

OSTENSIVO 3-17
OSTENSIVO GUIA DE ESTUDO

Registro de Acessos

Servidores proxy são capazes em gerar diversas estatísticas, tais

como:
• Páginas mais acessadas;
• Usuários que fazem mais uso de internet;
• Tráfego gerado pelo acesso das páginas;
• Quais páginas foram acessadas por qual usuário e quando;
• Quais Browsers fizeram o acesso;e
• etc
Estes relatórios são importantes para avaliar se há algum worm na
rede, para atender a solicitações de autoridades para eventuais investigações,
dentre outras necessidades.

OSTENSIVO 3-18
OSTENSIVO GUIA DE ESTUDO

Proxy

Neste exemplo temos duas camadas de firewalls, sendo dois tipos

de firewalls diferentes. Este tipo de desenho é recomendado pois, comumente, a
vulnerabilidade que afeta um sistema não afetaria o outro e vice-versa.
Neste desenho o proxy na rede interna cuida das solicitações de
acesso a internet. O Firewall, logo após, apenas permite que o proxy saia para a
internet, assim clientes não podem fazer um acesso direto, garantindo que o
proxy tem o registro de todos os acesso a internet feitos pelos usuários.

OSTENSIVO 3-19
OSTENSIVO GUIA DE ESTUDO

VPN – Virtual Private Network

Nos primórdios da Internet, a rede era formada por poucas

máquinas confiáveis, que procuravam honrar perfeitamente todas as
especificações dos protocolos de rede. Nesta época, serviços como Telnet e
FTP podiam ser utilizados sem grandes problemas.
Contudo, esta realidade mudou completamente com a
popularização da Internet e, principalmente, quando a rede começou a ser
explorada comercialmente. Surgiram os crimes digitais, tornando o ambiente
suficientemente hostil. Senhas, números de cartões de crédito e outras
informações confidenciais passaram a ser enviadas pela rede pública. Todas
estas informações sensíveis/secretas de usuários, instituições financeiras,
governo e indústria em geral precisam ser protegidas quando em trânsito pela
rede. Caso sejam transmitidas em texto “ claro ” simples, qualquer usuário
malicioso será capaz de recuperá-las e fazer mau uso das mesmas. Neste
contexto, a utilização de tecnologias de VPN é imprescindível para preservar a
confidencialidade, a autenticidade e a integridade das informações.
Uma VPN cria um canal/túnel lógico seguro através da rede não
confiável. Como? Usando recursos de criptografia. A ideia é enviar informações
confidenciais através de túneis seguros cifrados, ou seja, elas devem ser
cifradas na origem e decifradas apenas no destino (início e fim do túnel,
respectivamente). Desta forma, qualquer elemento no meio do caminho não será
capaz de recuperar ou manipular as informações protegidas.

OSTENSIVO 3-20
OSTENSIVO GUIA DE ESTUDO

VPN – Virtual Private Network

Neste cenário usuários remotos podem acessar a rede interna de

sua empresa através de uma VPN, implementada no roteador. A VPN garante a
confidencialidade dos dados que tramitam entre o cliente remoto e o roteador na
empresa pois estes estão criptografados.
O roteador (comumente referido como “gateway de VPN” quando
este também acumula esta função) pode fazer o controle de acesso a esta VPN,
garantindo apenas usuários autorizados. Também pode filtrar os protocolos
permitidos, fazendo que apenas aqueles permitidos pela política de segurança
da empresa sejam autorizados.
VPNs costumam ser implementadas na parte mais externa do
perímetro, atuando como um grande portal de acesso a esta rede. Firewalls e
roteadores, além de hosts especificamente configurados para ser gateway de
VPN são os exemplos mais frequentes de equipamentos que assumem esta
função.

OSTENSIVO 3-21
OSTENSIVO GUIA DE ESTUDO

VPN – Virtual Private Network

Divide-se as VPN em dois tipos básicos:

• LAN to LAN – É uma VPN estabelecida entre duas redes locais, comumente
implementada nos roteadores/firewalls presentes na saída de cada uma destas.
Neste modelo, todo tráfego de uma rede para outra passa cifrado por um meio
considerado menos seguro (ex: internet); e
• Acesso remoto – É a VPN que se estabelece entre um computador individual
(ex: o computador na residência de um funcionário) para a rede da empresa.
Todo o tráfego entre eles é cifrado, mas apenas aquele computador que
estabeleceu a VPN pode se conectar através do túnel criado.

OSTENSIVO 3-22
OSTENSIVO GUIA DE ESTUDO

VPN – Virtual Private Network

No gráfico temos a representação dos dois tipos de VPN.

A – Duas redes se interligando através de um túnel na internet, no qual apenas

os participantes da comunicação têm acesso as informações trafegadas.

B – Um cliente remoto, fora das duas redes que participam da VPN, fazendo o
acesso a rede.

OSTENSIVO 3-23
OSTENSIVO GUIA DE ESTUDO

VPN – Virtual Private Network

Vantagens:
• Escaláveis – Pode-se criar múltiplos gateways de VPN, permitindo dividir a
carga de múltiplos clientes, colaborando com a performance do sistema;
• Baixo custo de link – Com uma VPN empresas que precisam aumentar a
segurança de comunicações não dependem mais exclusivamente de links
dedicados.;e
• Transparente para o usuário – Como é implementada no gateway os clientes
não precisam receber configurações especiais. Mesmo quando é do tipo acesso
remoto, onde um cliente normalmente é instalado no cliente, após a autenticação
do usuário as aplicações fazem uso normal da VPN, sem necessidade de outras
configurações.

Desvantagens:
• Algumas VPN podem ter configurações complexas de implementar;e
• Pelo processo de cifrar e decifrar pacotes em tempo real, introduz um impacto
na performance da rede. Este impacto pode ter efeitos indesejáveis em algumas
aplicações.

OSTENSIVO 3-24
OSTENSIVO GUIA DE ESTUDO

VPN – Virtual Private Network

Nesta nova versão do nosso desenho de rede temos uma VPN

LAN to LAN implementada no mesmo servidor que provê o serviço de Proxy
para a rede interna.

OSTENSIVO 3-25
OSTENSIVO GUIA DE ESTUDO

DMZ e Bastion Host

Uma DMZ (zona desmilitarizada) é uma área que definimos

quando temos servidores que precisam ser acessados de fora de nossa
empresa. Deste modo, os clientes e servidores internos permanecem
inacessíveis para usuários de fora da rede. Os serviços que precisam estar
disponíveis ficam na DMZ.
Este tipo de projeto permite que, em caso de sucesso do atacante,
o mesmo tenha acesso apenas uma pequena porção da rede (a DMZ),
acrescentando uma camada de dificuldade para acessar a rede interna.
Pelo menor nível de proteção oferecido em uma Zona
Desmilitarizada, máquinas, localizadas nesta rede, devem ser
configuradas/customizadas cuidadosamente. Em outras palavras, os serviços
devem ser oferecidos em bastion hosts.
O bastion host é uma máquina configurada de maneira especial,
considerando importantes aspectos de segurança. Esta configuração inclui,
como exemplos, a tarefa de aplicar todas as correções de software, desabilitar
todos os serviços desnecessários, eliminar contas de usuários, remover
ferramentas de compilação do sistema etc.

OSTENSIVO 3-26
OSTENSIVO GUIA DE ESTUDO

DMZ e Bastion Host

O Processo de hardening consiste em tornar os sistemas mas

resistentes a ataques , reuduzindo o que se chama ”Superfície de Ataque”, que
consiste em todas as opções, disponíveis ao atacante, para realizar algum tipo
de exploração contra os alvos por ele escolhido. Um exemplo disso, pode ser
encontrado em um servidor Web, se ele contiver apenas páginas estáticas
(apenas HTML), a única possibilidade de exploração seria é contra o sistema
operacional e servidor HTTP em si. Caso neste servidor estejam hospedadas
páginas dinâmicas (PHP, ASP, etc) as possibilidades aumentam, pois ele poderá
encontrar falhas na aplicação, consequentemente havendo uma superfífice de
ataque maior. Neste sentido, realizar o hardening é reduzir, ao máximo viável, a
superfície de ataque em um host.

OSTENSIVO 3-27
OSTENSIVO GUIA DE ESTUDO

DMZ e Bastion Host

Para este objetivos seguimos os seguintes passos:

• Desabilitar serviços não utilizados. Se necessário aplcar regras de firewall para
permitir apenas as portas realmente usadas;
• Manter os sistemas operacionais e aplicações com todas as atualizações
instaladas;
• Jamais usar equipamentos com suas configurações default. Alterar as senhas
padrão dos usuários de administração e configurar o dispositivo utilizando os
recursos de segurança que ele permitir;
• Aplicar em servidores as configurações de permissões seguindo o princípio do
menor privilégio, ou seja, dando acesso aos aplicativos apenas aquilo que eles
precisam ter;e
• Seguir as boas práticas de segurança recomendadas pelo fabricante do
dispositivo, servidor ou aplicação.

OSTENSIVO 3-28
OSTENSIVO GUIA DE ESTUDO

DMZ e Bastion Host

Nesta representação temos o servidor WEB em uma rede a parte

(DMZ), específica para ele. Se o cliente tentar um ataque contra o servidor WEB
e for bem sucedido ele não terá, em um primeiro momento, acesso a rede
interna (intranet).

OSTENSIVO 3-29
OSTENSIVO GUIA DE ESTUDO

DMZ e Bastion Host

Em nosso diagrama mais amplo adicionamos uma nova camada, a

DMZ. Os diversos serviços da empresa, acessíveis por seus clientes, estão
hospedados na DMZ.
Caso algum funcionário precise acessar a rede interna ele o fará
pela VPN. Deste modo, clientes não terão acesso a rede interna, apenas aos
serviços que eles precisam acessar.

OSTENSIVO 3-30
OSTENSIVO GUIA DE ESTUDO

IDS – Intrusion Detection System

De acordo com o conceito de defesa em profundidade, diversos

níveis devem ser utilizados para a proteção de um ambiente. O firewall, por
exemplo, pode funcionar como a primeira linha de defesa, realizando o controle
de acesso no nível de rede. A autenticação pode ser usada como segunda linha
de defesa, bem como um sistema de detecção de intrusão (IDS).
Nesta seção, o aluno conhecerá as características e funções do
IDS, bem como os principais tipos de IDS e metodologias de detecção
existentes. Será possível observar, que para cada tipo de ataque existe um
método de detecção mais eficiente, variando também de acordo com a
estratégia de defesa da empresa. O IDS é essencial para o monitoramento de
segurança da empresa, e atua analisando as informações em busca de
indicativos de ataques, tomando as ações pré-definidas. Por exemplo, caso um
ataque esteja em andamento em um determinado segmento de rede, o IDS pode
identificar um padrão de invasão de acordo com o tráfego da rede, e emitir um
alarme para o administrador. Um outro exemplo pode ser a detecção de um
ataque caracterizado pela modificação de arquivos do sistema, que somente é
possível caso uma invasão tenha ocorrido.

OSTENSIVO 3-31
OSTENSIVO GUIA DE ESTUDO

IDS – Intrusion Detection System

Assim, o IDS funciona como um monitoramento do ambiente, com

o sistema buscando indícios de ataques para enviar diferentes alertas aos
responsáveis. Para realizar tal tarefa, diferentes tipos de IDS, com diferentes
metodologias de detecção, podem ser utilizados.
Os dois tipos primários de IDS são o baseado em host, Host-Based
Intrusion Detection System (HIDS) e o em rede, Network-Based Intrusion
Detection System (NIDS).
A combinação de diferentes tipos de IDS é importante para que a
organização fique protegida adequadamente contra todos os tipos de ameaças,
principalmente dos ataques realizados internamente e daqueles vindos da
Internet. Por exemplo, as invasões vindas da Internet podem ser detectadas pelo
uso de IDS baseado em rede (NIDS), enquanto os servidores da DMZ e da rede
interna podem ser monitorados também com o uso de IDS baseado em host
(HIDS).

OSTENSIVO 3-32
OSTENSIVO GUIA DE ESTUDO

IDS – Intrusion Detection System

Um sistema de detecção de intrusão é um elemento importante

para a segurança das empresas, que tem como objetivo perceber atividades
suspeitas, impróprias, incorretas ou anômalas. Um IDS trabalha como uma
câmera ou um alarme contra as intrusões, podendo realizar a detecção com
base em algum tipo de conhecimento, como assinaturas de ataques, ou em
desvios de comportamento. Desta forma, o IDS é capaz de descobrir e alertar os
administradores quanto a possíveis ataques ou comportamentos anormais na
organização.
Além de ser crucial para a segurança interna, o IDS pode detectar
invasões que são realizadas por meio de portas legítimas permitidas e que,
portanto, não podem ser protegidas pelo firewall.
Assim, o IDS deve ser capaz de perceber ataques realizados
contra serviços legítimos da Zona Desmilitarizada, onde normalmente estão os
serviços disponíveis para a Internet, que passam por ele. A relação entre o IDS e
o firewall pode ser vista na figura 1. Nela, o IDS está localizado após o firewall, e
realiza o monitoramento dos tráfegos legítimos, que passam por ele. Com o
monitoramento, é possível detectar um tráfego suspeito através de sua análise,
e também responder a um eventual ataque, como reconfigurar um firewall ou
finalizar uma conexão suspeita.

OSTENSIVO 3-33
OSTENSIVO GUIA DE ESTUDO

IDS – Intrusion Detection System

HIDS faz o monitoramento do sistema, com base em informações

de arquivos de logs ou de agentes de auditoria. O HIDS pode ser capaz de
monitorar acessos e alterações em importantes arquivos do sistema,
modificações nos privilégios dos usuários, processos do sistema, programas que
estão sendo executados, uso da CPU, entre outros aspectos, como a detecção
de port scanning. O HIDS pode também realizar, por meio de checksums, a
checagem da integridade dos arquivos do sistema. Essa é uma característica
importante, porque arquivos corrompidos, que podem ser backdoors, são
detectados antes que causem problemas mais sérios. O Tripwire é um exemplo
de ferramenta que faz a checagem da integridade dos arquivos do sistema.
Um caso que demonstra a importância do HIDS aconteceu em
dezembro de 1998, em um banco da Califórnia. Com a intenção de melhorar sua
segurança interna, eles instalaram HIDS em dez servidores e em algumas
estações de trabalho. Após a definição dos tipos de informações relevantes, eles
configuraram o sistema para a detecção de atividades anômalas. Depois de 24
horas, foram encontrados dois usos irregulares de contas de administrador para
a leitura de e-mails e edição de documentos, o que estava fora do estabelecido
pela política de segurança. Erros de privilégios para a execução de backup
também foram encontrados.

OSTENSIVO 3-34
OSTENSIVO GUIA DE ESTUDO

IDS – Intrusion Detection System

Os pontos fortes do HIDS são:

• O HIDS pode verificar o sucesso ou a falha de um ataque, com base nos
registros (logs) do sistema;
• Atividades específicas do sistema podem ser monitoradas detalhadamente,
como o acesso a arquivos, modificação em permissões de arquivos, logon e
logoff do usuário ou funções do administrador;
• Ataques que ocorrem fisicamente no servidor podem ser detectados pelo HIDS;
• Invasões que utilizam criptografia podem não ser notadas pela rede, mas
podem ser descobertas pelo HIDS, pois o sistema operacional primeiramente
decifra os pacotes que chegam ao equipamento;
• É independente da topologia da rede, podendo ser utilizado em redes
separadas por switches;
• Gera poucos falsos positivos,ou seja, os administradores recebem poucos
alarmes falsos de ataques, se comparados com NIDS;e
• Não necessita de hardware adicional.

Os pontos fracos que devem ser considerados no HIDS são:

• É difícil de gerenciar e configurar em todos os hosts que devem ser
monitorados, causando problemas de escalabilidade;
• É dependente do sistema operacional, ou seja, um HIDS que funciona no Linux
é totalmente diferente de um HIDS que opera no Windows;
• Não é capaz de detectar ataques de rede, como o scanning de rede , por
exemplo;
• Caso o HIDS seja invadido, as informações podem ser perdidas;
• Necessita de espaço de armazenamento adicional para os registros do
sistema;
• Por terem como base os registros do sistema, podem não ser tão eficientes em
sistemas como o Windows 98, que gera poucas informações de auditoria;e
• Apresenta diminuição de desempenho no host monitorado.

OSTENSIVO 3-35
OSTENSIVO GUIA DE ESTUDO

IDS – Intrusion Detection System

HIDS podem, além de acompanhar os pacotes que são recebidos

pela interface de rede:
• Acompanhar os programas rodando em memória;
• Verificar os arquivos executáveis;
• Acopanhar o disco para eventuais arquivos escondidos por worms;
• Analisar as funções de kernel buscando rootkits;e
• Fazer checagem de integridade de arquivos críticos do sistema.

OSTENSIVO 3-36
OSTENSIVO GUIA DE ESTUDO

IDS – Intrusion Detection System

O sistema de detecção de intrusão baseado em rede (NIDS)

monitora o tráfego do segmento da rede, geralmente com a interface de
rede atuando em modo promíscuo.
NIDS é eficiente principalmente contra ataques à suíte de
protocolos TCP/IP, como port scanning, IP spoofing ou SYN flooding,
sendo também capaz de detectar invasões de buffer overflow e contra um
servidor web, por exemplo. A detecção é realizada com a captura e
análise dos cabeçalhos e conteúdos dos pacotes, que são comparados
com padrões ou assinaturas conhecidos. Exemplos de NIDS são o
RealSecure, o NFR e o Snort.
Os NIDS podem ser divididos em duas partes que atuam em
conjunto, que são os sensores e o gerenciador ou console. Os sensores
devem ser espalhados pelos segmentos de rede e são os responsáveis
pela captura, formatação de dados e análise do tráfego da rede. Já o
gerenciador ou console faz com que os sensores sejam administrados de
modo integrado, com a definição dos tipos de resposta a serem utilizados
para cada tipo de comportamento suspeito percebido. Uma característica
importante do NIDS é sua capacidade de detectar ataques na rede em
"tempo real".

OSTENSIVO 3-37
OSTENSIVO GUIA DE ESTUDO

IDS – Intrusion Detection System

Como o sensor funciona com uma interface de rede atuando em

modo promíscuo no mesmo segmento de rede de um servidor atacado, por
exemplo, ele pode capturar os pacotes referentes ao ataque, analisar e
responder à invasão praticamente ao mesmo tempo em que o servidor é
atacado. A resposta poderia ser, por exemplo, o envio de alertas ou o término da
conexão.
Para o profissional de segurança, um dos principais problemas
encontrados no uso de IDS são os falsos positivos, que representam alarmes
falsos. Por exemplo, um alarme indicando ataque a um serviço inexistente no
ambiente. Outro exemplo é a utilização do Traceroute, que usa as portas UDP
33434-33523. O seu uso pode ser legítimo, porém o IDS emite um alarme de
ataque. Isso demonstra a necessidade de um trabalho de refinamento das
regras do IDS, para diminuir a incidência de alarmes falsos. O conhecimento do
ambiente a ser monitorado, portanto, é fundamental.

Os pontos positivos do NIDS são:

• O monitoramento pode ser realizado em um ambiente com múltiplas

plataformas;.
• Com a análise de cabeçalhos e do payload de pacotes, ataques de rede como
o port scanning e IP Spoofing podem ser detectados;
• O NIDS pode monitorar atividades suspeitas em portas conhecidas, como a
porta TCP 80, que é utilizada pelo servidor web (HTTP);
• Os ataques podem ser detectados e identificados em tempo real e o usuário
pode determinar rapidamente o tipo de resposta apropriada;
• O NIDS é capaz de perceber não só as invasões, mas também as tentativas de
ataque que não tiveram resultado positivo;
• Com o NIDS funcionando, é difícil que um atacante possa apagar seus rastros,
caso consiga invadir um equipamento;
• O atacante terá dificuldades em saber se existe ou não um NIDS monitorando
suas atividades;e
• Não causa impacto no desempenho da rede.

OSTENSIVO 3-38
OSTENSIVO GUIA DE ESTUDO

IDS – Intrusion Detection System

Os aspectos negativos que podem ser encontrados em NIDS são:

• Perda de pacotes em redes saturadas;

• Dependência de base de assinaturas de ataques atualizada;
• Dificuldade de compreensão de protocolos de aplicação específicos, como o
SMB;
• Não é capaz de monitorar tráfego cifrado;
• Dificuldade de utilização em redes segmentadas;e
• Dificuldade de implementação em redes rápidas.
A dificuldade de implementação em redes rápidas é observável em
redes como as baseadas em Gigabit, que geram grande quantidade de
informação a ser analisada (1 Gbps no caso de uma rede Gigabit). Existem no
mercado os chamados Gigabit IDS, que são capazes de realizar essa análise.
Entretanto, há também sistemas que funcionam com uma interface de rede
Gigabit, o que pode significar perda de pacotes analisados, já que o poder de
processamento pode ser menor do que a demanda de pacotes existentes na
rede. Uma conseqüência do uso de IDS em redes rápidas é o aumento
proporcional de alertas a serem analisados pelos profissionais de segurança. A
organização, portanto, passa a ser imprescindível em redes dessa natureza.

OSTENSIVO 3-39
OSTENSIVO GUIA DE ESTUDO

IDS – Intrusion Detection System

A eficiência de um IDS está ligada diretamente ao posicionamento dos

sensores na rede. Eles somente poderão alertar sobre ataques se eles
receberem os pacotes de ataque para análise, logo, devem estar no segmento
de rede dos servidores mais críticos.
Em ambientes com switches faz-se necessário habilitar porta de
monitoramento no switch (porta SPAN em switches Cisco) para que seja
possível o uso do IDS.
Recomendado usar a interface de coleta de dados da rede sem
endereço IP, para aumentar a segurança do IDS em si.
Apesar de não ser possível ter conhecimento, com certeza, da
existência de sistemas de detecção de intrusão em uma rede, os hackers
utilizam diversas técnicas para evitar que sejam monitorados pelo NIDS.
Algumas dessas técnicas para driblar um NIDS são:
• Fragmentação: alguns sistemas de detecção de intrusões não são capazes
de tratar a fragmentação de pacotes;
• Ataques por meio de portas não convencionais: por exemplo, a instalação de
backdoors, que trabalham na porta 53, que é a porta-padrão utilizada pelo
DNS e não representa um padrão de invasão para o IDS (a menos que o IDS
seja configurado de uma forma correta);

OSTENSIVO 3-40
OSTENSIVO GUIA DE ESTUDO

IDS – Intrusion Detection System

• Slow scans: através da varredura pausada, com a verificação de portas de

uma forma espaçada no tempo, o IDS não será capaz de detectar o scanning.
Isso depende da configuração do IDS, que influi diretamente no desempenho
do sistema;
• Ataques coordenados: a coordenação de um scanning entre diferentes fontes
faz com que a correlação entre os pacotes capturados seja difícil de ser
realizada. Assim, a caracterização de um ataque fica mais difícil de acontecer;
• Identificação negativa: por meio da utilização de IP Spoofing ou de um proxy
mal configurado de uma vítima, por exemplo, o atacante pode executar seu
ataque e não ser identificado;e
• Mudança de padrão de ataque: os ataques são detectados pela comparação
dos pacotes com os padrões ou assinaturas de ataque conhecidos. A
mudança desse padrão em um ataque, quando possível, pode fazer com que
o ataque não seja identificado pelo IDS.

OSTENSIVO 3-41
OSTENSIVO GUIA DE ESTUDO

IPS – Intrusion Prevention System

Uma das grandes críticas ao uso do IDS é quanto à sua

capacidade de prevenir incidentes de segurança, já que eles funcionam de modo
reativo, quando um ataque é identificado. Como consequência, uma tendência
percebida no mercado é o surgimento de uma nova classe de sistemas capazes
de prevenir ataques com uma atuação pró-ativa, os chamados sistemas de
prevenção de intrusão ou Intrusion Prevention Systems (IPS).
Os sistemas de prevenção de intrusão podem ser tanto baseados
em hosts quanto em redes, e eles usam diferentes técnicas, muitas já
conhecidas. Alguns exemplos são a prevenção de buffer overflow e o uso in-line
de IDS (um IDS tradicional funciona de modo "silencioso" na rede).
A maioria dos IPS são produtos comerciais de diversos fabricantes,
como McAfee, Cisco, Check Point, dentre outros. O Snort, por padrão um IDS,
pode ser convertido em IPS, quando ele trabalha em conjunto com o firewall
padrão do Linux (IPTABLES) para fazer os bloqueios.

OSTENSIVO 3-42
OSTENSIVO GUIA DE ESTUDO

IPS – Intrusion Prevention System

Nesta nova versão do nosso diagrama de rede percebemos

diversos sensores nos segmentos mais críticos da rede e um HIDS no servidor
mais crítico, o Web Server.
Com este desenho, independente de onde seja originado o ataque,
será possível determinar o inicio de uma ação maliciosa e, reagir a isso com
rapidez.

OSTENSIVO 3-43
OSTENSIVO GUIA DE ESTUDO

Network Address Translation (NAT)

Não é comum tratar o processo de tradução de endereços de rede

como uma tecnologia de firewall. Todavia, não se pode deixar de discutir NAT,
quando se fala em tecnologias de firewall, uma vez que algumas de suas
implementações têm facilitado também a criação de firewalls bastante seguros.
O objetivo principal do NAT é a tradução de endereços, permitindo
que endereços de rede privada sejam utilizados em uma rede interna. A grande
motivação para o NAT tem sido a escassez de endereços IP disponíveis.
Quando implementado com cuidados adequados, pode ser usado para isolar
completamente as máquinas de uma rede local dos perigos externos, ou seja,
ele pode evitar que máquinas na rede externa iniciem diretamente sessões com
computadores dentro da rede interna.
Uma boa alternativa para alcançar esse resultado é fazer com que
essas máquinas internas utilizem endereços IP não oficiais e todas as
comunicações delas, com hosts em redes remotas, sejam feitas via NAT. Nesse
texto chamaremos de "gateway" a máquina responsável pela tradução de
endereços e pelo roteamento dos pacotes resultantes.

OSTENSIVO 3-44
OSTENSIVO GUIA DE ESTUDO

Network Address Translation (NAT)

O gateway se encarrega de fazer a reescrita dos cabeçalhos dos

pacotes passando por ele, modificando o endereço IP não oficial para algum
endereço IP válido de um conjunto de endereços IP oficiais mantidos nessa
máquina. Além disso, esse processo de reescrita dos cabeçalhos dos pacotes,
em certos casos (mais seguros), também pode envolver os campos referentes
às portas usadas.
Para que o processo de tradução funcione corretamente, essa
máquina deve manter uma tabela com o mapeamento dos endereços internos
para os respectivos endereços usados na comunicação. Algumas
implementações mais seguras de NAT (por isso mais indicadas para a
implementação de firewalls) ainda mantêm outras informações de estados das
conexões ou sessões, como, por exemplo, números de sequencia do TCP e
números de portas, fazendo tradução diferenciada para cada comunicação e
eliminando possíveis espaços que possam ser explorados por atacantes.
Graças a essas informações, o gateway faz a tradução inversa
com os pacotes que chegam da rede externa destinados às máquinas internas e
que pertençam somente a conexões ou sessões válidas iniciadas internamente.
É válido afirmar que todo esse processo ocorre transparentemente; isso significa
que nem servidores remotos nem clientes internos percebem que ocorre o
processo de tradução de endereços.
Pacotes partindo de máquinas na Internet, com endereços IP de
destino não oficiais, são descartados em trânsito e, consequentemente,
nenhuma comunicação pode ser estabelecida com computadores da rede local
protegida. Somente máquinas na rede local serão capazes de iniciar sessões
com máquinas remotas, usando algum endereço válido atribuído pelo gateway.
Existem 02 tipos de NAT:
• Estático (ou 1 para 1) – Neste NAT cada endereço interno é traduzido para um
único endereço externo, e vice-versa. Este tipo de NAT permite publicar
aplicações em redes externas (internet) e uso de praticamente todas as
aplicações disponíveis;e
• Dinâmico (ou 1 para muitos) – Neste NAT um conjunto de endereços internos
são traduzidos para um único endereço externo. Essa técnica não permite uma
publicação direta de serviços na rede, dependendo de outras técnicas para fazê-
lo, por este motivo é comumente usado para dar acesso a uma rede inteira a
outra rede externa. Pode trazer problemas com algumas aplicações, como
video-conferência.

OSTENSIVO 3-45
OSTENSIVO GUIA DE ESTUDO

Network Address Translation (NAT)

Neste diagrama o servidor (endereço 10.10.10.10) implementa

NAT, utilizando a tabela descrita na figura. O tráfego de rede funcionará da
seguinte forma:
• Quando os computadores na rede 10.10.10.0 precisarem ir para a rede
131.107.0.0 o endereço será traduzido para 131.107.0.9 (NAT dinâmico);e
• Quando um computador na rede externa tentar se conectar ao endereço
131.107.0.10 traduzir para 10.10.10.6, na rede interna (NAT estático).

OSTENSIVO 3-46
OSTENSIVO GUIA DE ESTUDO

Network Address Translation (NAT)

Nesta nova versão do diagrama adicionamos a função de NAT ao

nosso firewall. Neste cenário o firewall traduz endereços de/para a rede interna e
de/para a DMZ. Deste modo nunca se sabe o endereço verdadeiro dos clientes
e servidores.

OSTENSIVO 3-47
OSTENSIVO GUIA DE ESTUDO

Analisador de Conteúdo Web

Este tipo de ferramenta trabalha em conjunto aos servidores proxy

e firewalls, fazendo análise do que é acessado na internet e permitindo, por
exemplo, bloquear o conteúdo acessado por categorias. Importante para fazer
valer a política da empresa no que se refere ao acesso de conteúdo WEB. Ele
também ajuda a evitar o uso de ferramentas de navegação anônima.
Por evitar acesso de aplicações não autorizadas, que comumente
consomem banda de rede, ele ajuda a otimizar o tráfego da rede, melhorando a
performance para os acessos relevantes.

OSTENSIVO 3-48
OSTENSIVO GUIA DE ESTUDO

Analisador de Conteúdo Web

No exemplo da figura o conteúdo “Adult content” é proibido, então

sites que se enquadram nesta categoria são bloqueados. Esta categorização é
feita pelo fabricante. O analisador de conteúdo recebe atualizações constantes
do fabricante, mantendo-as atualizadas.

OSTENSIVO 3-49
OSTENSIVO GUIA DE ESTUDO

Monitoramento de Redes

Monitorar a rede também é uma atividade ligada a segurança, pois

saber rapidamente se um host ficou indisponível, se o uso do processador de um
servidor subiu de forma súbita, ou mesmo se há um tráfego acima do normal na
rede, podem ser os primeiros indícios de um ataque.
Ferramentas como Nagios, Zabbix, MRTG, PRTG e What’s Up
podem auxiliar nos seguintes acompanhamentos:
• Tráfego de rede anormal;
• Uso de protocolos de redes;
• Uso de recursos dos servidores e ativos de rede;e
• Disponibilidade de servidores e aplicações.

OSTENSIVO 3-50
OSTENSIVO GUIA DE ESTUDO

Soluções de Antivírus e Anti-Spam

Antivírus são outra camada de segurança que aplicamos em nossa

defesa. Comumente encontrados em estações de trabalho e servidores, podem
ainda ser encontrados em servidores proxy, servidores de correio, firewalls,
dentre outros.
Soluções corporativas de antivírus possuem gerenciamento
centralizado, permitindo manter todos os clientes atualizados e ver os incidentes
de um único ponto. Na Marinha este gerenciamento centralizado é feito pelo
software McAfee ePolicy Orchestrator (ePO).
Em servidores de correio, por exemplo, ele permite filtrar e-mails
por tamanho de anexos, tipos de arquivos (ex: não permitir tramitar arquivos
executáveis), além de checar anexos em procura de vírus. Ferramentas como o
ePO permitem análise gráfica dos eventos, facilitando o trabalho das equipes de
administração de rede.

OSTENSIVO 3-51
OSTENSIVO GUIA DE ESTUDO

Web Application Firewall

Os Web Application Firewall (WAF) são softwares instalados em

servidores WEB que implementam o controle sobre as requisições HTTP e
HTTPS que chegam ao servidor WEB.
Pode ser comparável a um IPS, mas focado apenas para as
aplicações WEB. Diferentemente de um IDS ou IPS, ele poderá ver as
requisições que chegam através de HTTPS, pois as mesmas passam pelo WAF
depois de serem decifradas pelo módulo de SSL no servidor WEB, permitindo
ver eventuais ataques contra as aplicações via HTTPS.
Um exemplo simples de WAF é o ModSecurity no servidor web
Apache. Se configurado corretamente pode bloquear muitos ataques comuns a
aplicações Web.

OSTENSIVO 3-52
OSTENSIVO GUIA DE ESTUDO

Segurança de Backbone

Por se tratar do ponto mais crítico da rede, no backbone deve se

ter um controle rígido das aplicações que podem circular. Todos os
equipamentos do backbone, devido a sua criticidade, precisam ter passado pelo
processo de hardening.
É importante utilizar protocolos de roteamento seguros e com
suporte a autenticação entre os roteadores (tais como OSPF e EIGRP).
O monitoramento em tempo real do que acontece no Backbone é
fundamental, pois ajuda a indentificar qualquer anomalia que pode ser um
prenuncio de ataque.
A segurança física dos equipamentos de backbone é tão
importante quanto a segurança lógica, pois um roteador que seja desligado (por
acidente ou intencionalmente) pode paralizar a rede inteira.

OSTENSIVO 3-53
OSTENSIVO GUIA DE ESTUDO

Segurança de Desktop e Rede Local

Desktops são os equipamentos utilizados pelo elo mais fraco na

segurança da informação (as pessoas), logo precisam de cuidados.
Os desktops precisam estar com S.O e antivírus atualizado, HIDS
instalado e estes sendo monitorados por uma equipe de administração de redes.
Serviços não desejados ou utilizados precisam ser desabilitados.
Uso de softwares homologados diminui as chances de instalação
de backdoors na rede, assim como, facilita a tarefa da administração de redes
em manter as aplicações nos desktops sempre atualizadas. Garante, ainda, que
apenas soluções em que a segurança foi avaliada pela equipe de administração
de rede serão utilizadas.

OSTENSIVO 3-54
OSTENSIVO GUIA DE ESTUDO

Segurança de Desktop e Rede Local

Ao utilizar a rede para armazenamento de arquivos importantes

reduzimos as chances de perdemos os mesmos, pois normalmente não se faz
backup dos clientes, mas sim da rede. Em caso de falha de algum disco rígido
local não perdemos informações.
Implementar políticas de senhas fortes nas estações de trabalho é
mandatório em qualquer corporação, mas é importante que os usuários a sigam
de maneira séria. Pouco adianta uma senha forte digitada em um papel colado
ao monitor.
Os usuários não podem ter acesso de administrador nas suas
máquinas, pois em caso de um ataque de Phishing Scam, por exemplo, o
atacante terá automaticamente acesso de administrador no computador afetado.
Segurança física também é um fator importante, pois se um
atacante tiver acesso físico a um computador/servidor, a tarefa de roubar
informações será muito simplificada.

OSTENSIVO 3-53
OSTENSIVO GUIA DE ESTUDO

Segurança de Desktop e Rede Local

O uso de switches gerenciáveis na rede , além de dificultar a

chance de um usuário utilizar um sniffer na rede, permite monitorar a rede e o
consumo de banda, facilitando a descoberta de ameaças pelo comportamento
anômalo do tráfego.
O uso de um sistema de diretórios, permitindo gerenciamento
centralizado das senhas e usuários, é um fator que aumenta a eficácia das
políticas de senhas. Todos os dispositivos de rede precisam ter senhas fortes
para sua autenticação. Deixar a senha de um roteador como padrão de fábrica
(admin/admin) é um convite para os hackers.
Os dispositivos de rede precisam estar fisicamente seguros, em
racks trancados e lacrados, conforme está previsto na DGMM-0540. Ter uma
política de backup evita problemas com configurações erradas. Ademais, é
necessário ter um plano de contingência para todos os dispositivos críticos da
rede.
Switches gerenciáveis permitem implementar segurança nas portas
de rede. Com este recurso (chamado de Port Security) é possível que uma porta
reconheça o mac address do computador que está se conectando a ela,
impedindo que computadores desconhecidos se loguem na rede. Com este
recurso também é possível impedir que usuários acrescentem switches não
autorizados na rede.

OSTENSIVO 3-56