Você está na página 1de 65

Segurança de Redes de Computadores

Ricardo José Cabeça de Souza


www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening
• O conceito de Hardening caracteriza medidas e ações que
visam proteger um determinado sistema de invasores
• Dentre as ações típicas do processo podemos citar:
– Remoção de logins, usuários, programas e serviços
desnecessários
– Aplicação de patches nos programas e no kernel do sistema
operacional
– Fechar portas da rede
– Adoção de sistemas de detecção e prevenção de intrusão (IDS)
– Firewalls
– Scripts de hardening
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening

• Grande maioria de máquinas comprometidas têm


o Windows como sistema operacional
• Criadores de malware tentam infectar o maior
número possível de máquinas em um curto prazo
de tempo
• Windows é a plataforma mais usada atualmente
• Sistema Windows deve estar sempre atualizado,
protegido por Firewall e Anti-vírus, e os usuários
locais devem ser cautelosos com o conteúdo de
arquivos e páginas que acessam
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening

• Atualizações e Patches
– Sistema operacional deve ser atualizado com
frequência, assim como seus componentes,
programas e serviços instalados
– Windows possui um sistema automático para verificar
se os pacotes estão desatualizados e passíveis de
falhas - o Windows Update
– Existem vários gerenciadores de versões de programas
comerciais, Freewares e Sharewares
• Freeware: Totalmente grátis. O software funciona em sua
plenitude e sem limite de tempo
• Shareware: Versão para testes. Trata-se de uma versão do
software que é gratuita, mas contém algum tipo de restrição
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening
• Windows Update
– Serviço de atualização dos sistemas operacionais da Microsoft (a partir
do Windows 98) responsável por atualizar o sistema
– A cada mês, a Microsoft lança um “pacote” de atualizações, que pode
consistir em correções de bugs, falhas de segurança e outras
melhorias
– Se houver uma falha de segurança muito crítica, a correção é expedida
o mais brevemente possível
– Manter o sistema atualizado com os últimos patches é de extrema
importância, já que um usuário mal-intecionado pode usar falhas
recentes para comprometer um sistema
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening
• Windows Update
– Se houver uma versão mais antiga que a atual, é “liberado” no site
uma atualização
– Usuário pode atualizar somente os produtos de que necessita
– Também é possível transferir produtos em fase beta, bastando para
isso que o usuário ative esta opção
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening

• UpdateStar
– É um gerenciador gratuito que pode ser usado para
manter seu sistema atualizado com as últimas versões
de programas comerciais, Freewares e Sharewares
– Tem uma base com mais de 80.000 softwares
cadastrados e foi eleito o melhor programa do gênero
em uma comparação realizada pelo site ghacks.net
– Site oficial: http://www.updatestar.com
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening

• SUMo
– SUMo (Software Update Monitor) mantém os
programas do seu PC atualizados com as versões
mais recentes
– O programa (gratuito) é um dos mais completos
do gênero, analisando uma grande quantidade de
softwares e informando sobre as atualizações
– Site Oficial:
http://www.kcsoftwares.com/index.php?sumo
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening

• Update Checker
– Uma alternativa parecida com os gerenciadores de
pacotes para Linux é o FileHippo Update Checker
– O utilitário verifica os programas instalados em
seu computador e mostra em uma página se já
possuem novas versões disponíveis para
download
– O Update Checker é gratuito, e exige a instalação
prévia do Microsoft .NET Framework 2.0
– Site oficial: http://filehippo.com/updatechecker
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening
• AppGet
– O AppGet é um controlador de versões dos programas
– Exibe uma lista de seus aplicativos instalados, notificando
sempre que uma atualização estiver disponível
– Quando AppGet inicia, ele cria uma lista com todos os
aplicativos instalados e suas respectivas versões
– Os dados recolhidos são submetidos (anonimamente) e
comparados com a base de dados online do AppGet
– O utilitário é gratuito (FreeWare) e suporta os seguintes
sistemas operacionais: Windows 2000, Windows XP (32
bits) e Windows Vista (32 bits)
– Site oficial: http://www.app-get.com
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening

• Secunia Personal Software Inspector


– O Secunia Personal Software Inspector (PSI) é um
utilitário que monitora o nível de segurança do
sistema, verificando se existem softwares e
componentes inseguros
– Também informa como proceder para atualizar as
aplicações
– O PSI não substitui outras medidas de segurança
como anti-vírus ou firewalls
– Atua como um complemento, prevenindo exploração
de falhas e evitando a exposição do sistema
– Site oficial: https://psi.secunia.com
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening

• Firewall
– Uma barreira de proteção, que controla o tráfego de
dados entre seu computador e a Internet (ou entre a
rede onde seu computador está instalado e a Internet)
– Pontos de conexão entre duas redes não confiáveis
que permitem que a comunicação entre elas seja
monitorada e segura
– Objetivo: permitir somente a transmissão e a
recepção de dados autorizados
– Existem firewalls baseados na combinação de
hardware e software e firewalls baseados somente em
software
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening

• Firewall
– São localizados entre uma organização e o mundo
externo (Internet)
– Também podem ser utilizados dentro de uma
organização, com a finalidade de isolar diferentes
domínios de segurança (também chamados de
domínios administrativos)
• Um domínio de segurança consiste em um conjunto de
máquinas sobre um controle administrativo comum,
com políticas e níveis de segurança comuns
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening

• Firewall
– Podem ser implementados através de um
roteador, um PC (personal computer) com
software especial, um sistema UNIX com esta
capacidade ou um conjunto de hosts, todos
configurados especificamente para proteger um
site ou uma sub-rede de protocolos e serviços não
confiáveis
– Soluções encontradas podem ser tanto baseadas
em hardware quanto em software ou ambas
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening

• Firewall
– Tecnologias de projeto de firewall: a tradicional
(ou estática) e a dinâmica
• Firewalls estáticos: o principal propósito (política) é
permitir qualquer serviço a menos que ele seja
expressamente negado ou negar qualquer serviço a
menos que ele seja expressamente permitido
• Firewall dinâmico: irá permitir ou negar qualquer
serviço para quando e por quanto tempo for desejado
– Firewall apresenta habilidade de se adaptar ao
tráfego e projeto da rede
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening

• Firewall
– Um firewall consiste, de maneira geral, dos seguintes
componentes:
• filtro: também chamado de screen ou screening router,
bloqueia a transmissão de certas classes de tráfego,
protegendo a rede interna contra ameaças
• gateway: máquina ou conjunto de máquinas que oferece
serviços através de proxy
– A rede inabitada por este componente é chamada de
Zona Desmilitarizada (DMZ - Demilitarized Zone) ou
rede perimetral
– Muitas vezes, um gateway nesta zona é auxiliado por
um gateway interno
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening

• Firewall
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening

• Firewall
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening

• Firewall
– Uma máquina gateway exposta é frequentemente
chamada de bastion host
– Existem três tipos principais de firewalls
• packet filtering
• application-level gateway
• circuit-level gateway
– Na prática, mais do que um tipo é usado ao
mesmo tempo
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening

• Packet Filtering
– Sistemas packet filtering roteiam pacotes entre hosts
internos e externos de maneira seletiva
– Eles permitem ou bloqueiam certos tipos de pacotes,
refletindo a política de segurança adotada pelo site
– Pacotes permitidos são roteados para o destino, ao
passo que pacotes não permitidos ou suspeitos são
descartados ou manipulados (ferramentas de
rastreamento)
– O tipo de roteador utilizado nestes sistemas é
conhecido como screening router
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening

• Packet Filtering
– sistemas packet filtering devem apresentar as
seguintes características:
• filtragem baseada nos endereços fonte e destino, nas
portas fonte e destino, no protocolo, nos flags e/ou no
tipo de mensagem
• filtragem realizada quando o pacote está chegando,
quando o pacote está saindo ou ambos
• habilidade de desabilitar reprogramação a partir da
rede, ou qualquer outra localização que não o console
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening

• Packet Filtering
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening

• Packet Filtering
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening
• Sistemas packet filtering são úteis na definição de
regras do tipo:
– bloqueio todas as conexões oriundas de sistemas
localizados fora da rede interna
• Exceto para conexões SMTP (simple mail transport protocol) que
chegam (ou seja, permita apenas o recebimento de mails)
• Permita serviços FTP (file transfer protocol) e telnet
• Bloqueio outros serviços tais como TFTP (trivial file transfer
protocol) e RPC (remote procedure call)
– Pelo simples fato de que certos serviços Internet residem
em certos números de porta, isto permite que screening
routers bloqueiem ou permitam certos tipos de conexão
simplesmente especificando-se o número da porta
• Por exemplo, porta 23 para conexões telnet
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening

• Configurar um packet filtering consiste em um


processo de três passos:
– Determinar o que deve e o que não deve ser
permitido (política de segurança)
– Especificar formalmente os tipos de pacotes
permitidos, em termos de expressões lógicas
(regras)
– Reescrever estas expressões de acordo com o
produto utilizado
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening
• Suponha que a política de segurança de um site determine que
todo o tráfego IP entre um host externo conhecido (endereço IP
172.161.51.50) e os hosts da rede interna (endereço IP 192.168.10)
seja permitido – interno = 192.168.10.0
• As seguintes regras são derivadas:

between host 172.161.51.50 e net 192.168.10 accept;


between host any and host any reject;
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening

• Outra forma de filtragem é a filtragem de


pacotes por serviço, na qual serviços
geralmente associados a determinados
números de porta são permitidos ou negados
• Estudar fluxos de pacotes nos quais:
– (1) um cliente local está se comunicando com um
servidor remoto (outbound)
– (2) um cliente remoto está se comunicando com
um servidor local (inbound)
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening

• Para ambos os fluxos, deve-se especificar os


endereços fonte e destino, o protocolo (TCP), as
portas fonte e destino e as características do pacote
(com ou sem ACK, para TCP), tanto para pacotes que
chegam (incoming) quanto para pacotes que saem
(outgoing)
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening

• Application-Level Gateway
– É um host que executa aplicações especiais, chamadas
proxy, as quais são responsáveis pela propagação de
serviços para dentro da rede protegida
– O controle do tráfego entre a rede interna e a rede
externa não confiável (como exemplo, Internet) é
efetuado em nível de aplicação através de código
especialmente escrito para cada serviço a ser
disponibilizado, segundo requisitos próprios de
segurança
– Somente serviços que possuam proxy conseguem
passar pelo gateway
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening

• A principal funcionalidade de um application-


level gateway é a sua capacidade de controlar
todo tráfego entre a rede interna e a rede
externa
• Permite um completo monitoramento do
sistema, o qual pode gerar informações sobre
o uso de serviços e seu posterior
armazenamento em um arquivo de log
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening

• Application-level Gateway
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening

• Application-level Gateway
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening

• O servidor proxy é responsável por avaliar


pedidos de serviços, podendo permitir ou
negar tais pedidos de acordo com a política de
segurança vigente
• o cliente "acredita" que está lidando
diretamente com o servidor real e o servidor
real "acredita" que está lidando diretamente
com um usuário presente no application-level
gateway
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening
• Application-level Gateway
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening
• Circuit-Level Gateway
– Circuit-level gateway possui funcionalidade semelhante a
sistemas packet filtering, mas via aplicação
– Responsável pela transmissão de conexões TCP
– Pode possuir controles adicionais, tais como tempo limite
de utilização de uma porta e intervalo de tempo mínimo
entre subsequentes usos de uma porta
– Todo o controle de conexões é efetuado com base no
endereço fonte e portas fonte e destino
– Um cliente requisita um serviço através de uma porta
fonte, sendo de responsabilidade do gateway a conexão
com o destino e posterior propagação de bytes entre
ambos
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening

• Circuit-Level Gateway
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening

• Circuit-Level Gateway
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening

• Arquiteturas de Firewall
– packet filtering
– dual-homed host
– screened host
– screened subnet
• Obs: Não existe uma arquitetura dita universal, a qual
resolve todos os problemas de segurança
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening

• Packet Filtering
– utiliza-se exclusivamente de um roteador
inteligente para proteger uma rede interna
– não requer que aplicações cliente e servidor sejam
modificadas, mas é a arquitetura menos desejável
como firewall
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening

• Packet Filtering
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening

• Packet Filtering
– desvantagens:
• uma falha de segurança do roteador compromete toda
a rede interna
• o número de regras geralmente é limitado
• o desempenho pode ser comprometido em função do
número de regras
• impossibilidade de modificar serviços através do
tratamento de operações individuais
• complexidade de configuração e tratamento de
exceções, dentre outras
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening

• Dual-Homed Host
– é implementada através de um host que possui
duas interfaces de rede, uma para a rede interna
e outra para a rede não confiável
– Este host é a única porta de entrada para a rede
interna, sendo acessível tanto por hosts internos
quanto externos
– a função de roteamento é desabilitada e assim
pacotes não conseguem ser roteados entre as
redes, garantindo o isolamento de tráfego
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening

• Dual-Homed Host
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening
• screened host
– possui dois componentes
• screening router
– atua com primeiro nível de defesa contra uma rede não confiável e é
responsável por restringir conexões de hosts externos que não sejam
direcionadas a um host específico, chamado bastion host (segundo
componente)
– É responsável por restringir certos tipos de conexão independente do host
destino, por restringir que hosts internos abram uma conexão direta com a
rede externa e por permitir que o bastion host abra alguns tipos de conexão
com a rede externa
• bastion host
– localizado na rede interna e portanto sem possuir interface com a rede
externa
– é o único host da rede interna acessível por hosts externos
– todo o tráfego entre a rede interna e externa deve passar primeiro pelo
bastion host, o qual utiliza funções em nível de aplicação para selecionar
serviços (proxy)
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening

• Screened Host
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening

• Screened Subnet
– adiciona uma camada extra de segurança que
isola a rede interna de uma rede externa não
confiável
– Tal camada (DMZ - Demilitarized Zone) abriga três
componentes,
• dois roteadores
• um bastion host
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening

• Screened Subnet
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening

• Stateful Inspection Firewall


– Combina aspectos da packet-filtering, firewall,
circuit-level gateway e do application-level
gateway
– Como o packet-filtering firewall, um stateful
inspection firewall opera do nível de REDE até a
camada de APLICAÇÃO do modelo OSI
– Filtra todas as entradas e saídas baseadas no
endereço IP de origem e destino e no número de
porta de origem e destino
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening
• Stateful Inspection Firewall
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening
• Stateful Inspection Firewall
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening

• Firewall do Windows
– Anteriormente conhecido como Firewall de
Conexão com a Internet ou ICF
– É uma barreira protetora que monitora e restringe
as informações passadas entre o seu computador
e uma rede ou a Internet
– Isso fornece uma defesa contra pessoas que
podem tentar acessar seu computador de fora do
Firewall do Windows sem a sua permissão
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening

• Firewall do Windows
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening

• Como funciona o Firewall do Windows


– Quando alguém na Internet ou em uma rede tenta se
conectar ao seu computador, essa tentativa é
chamada “pedido não solicitado”
– Quando o computador recebe um pedido não
solicitado, o Firewall do Windows bloqueia a conexão
– Se você executar um programa como o de mensagens
instantâneas ou um jogo em rede com vários
participantes que precise receber informações da
Internet ou da rede, o firewall perguntará se você
deseja bloquear ou desbloquear (permitir) a conexão
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening

• Como funciona o Firewall do Windows


– Você deverá ver uma janela semelhante a esta:
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Windows Hardening

• Firewall
– Existe uma quantidade grande de soluções firewall
disponível
– Para usuários domésticos que usam o sistema
Windows, um dos mais conhecidos é o ZoneAlarm,
que dispõe de uma versão gratuita e outra paga, com
mais recursos
– Em ambos os casos, é possível utilizar configurações
pré-definidas, que oferecem bons níveis de segurança
– O site para fazer o download do software é o
www.zonealarm.com
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br

Referências
• FERGO, Fernando Birk Aka. Segurança do Windows: análise sobre as APIs,
parte 1. Disponível em http://www.fergonez.net/files/seguranca_win.pdf .
• RODRIGUES, Bernardo Maia. Windows Hardening. Disponível em
http://www.csirt.pop-mg.rnp.br/docs/hardening/windows.html .
• CIFERRI, Cristina D. A. CIFERRI , Ricardo R. FRANÇA, Sônia V. A. Firewall.
• Lima, Marcelo. Nakamura, Emílio. Segurança de Redes e Sistemas. Versão
1.1.0. Escola Superior de Redes RNP:2007.
• MEDEIROS, Carlos Diego Russo. SEGURANÇA DA INFORMAÇÃO:
Implantação de Medidas e Ferramentas de Segurança da Informação.
Universidade da Região de Joinville – UNIVILLE, 2001.
• NIC BR Security Office. Cartilha de Segurança para Internet. Parte VII:
Incidentes de Segurança e Uso Abusivo da Rede. Versão 2.0, 2003.
• NIC BR Security Office. Cartilha de Segurança para Internet. Parte II:
Riscos Envolvidos no Uso da Internet e Métodos de Prevenção. Versão
2.0, 2003.
• FOROUZAN, Behrouz A. Comunicação de dados e redes de computadores.
4. ed. São Paulo: McGraw-Hill, 2008.

Você também pode gostar