Serviços de Rede

NAT
• Network Address Translation
• Tradução de endereços de rede

????

O que é uma rede privada?

Redes Privadas
• Redes que não estão conectadas a internet
• Endereços IPs são escolhidos arbitrariamente
• Não são registrados nem únicos na rede
• Usam as seguintes faixas de endereço
• 10.0.0.0 – 10.255.255.255
• 172.16.0.0 – 172.31.255.255
• 192.168.0.0 – 192.168.255.255
Redes Privadas
10.0.1.0 10.0.1.0

128.195.4.119 128.143.71.21
NAT
• É uma função de roteamento que substitui IPs (e portas) de uma rede
privada por IPs válidos
• Permite que hosts de uma rede privada façam parte da internet
• O equipamento responsável é o roteador que conecta as redes
privadas a internet
NAT
Operação NAT
Pooling de Endereços IP
• Cenário
• Empresa tem uma rede privada com muitos hosts, mas poucos IPs públicos
disponíveis
• Solução
• Rede privada com endereços IP privados
• Equipamento NAT na borda da rede privada com a internet, gerencia uma
lista de IPs públicos
• Quando um nó da rede privada envia um pacote para a internet, o
equipamento NAT seleciona um IP da lista e substitui o IP privado por ele
Porque NAT?
• Cenário
• Uma rede corporativa que usa IPs públicos nas máquinas
• O que aconteceria se a empresa mudasse o provedor?
• Os IPs mudariam!

• Com NAT
• Endereços privados nos nós da rede
• Endereços públicos para comunicação externa
• Mesmo que o servidor mudasse, não impactaria nos nós da rede
Porque NAT?
• Balanceamento de Carga (Load Balance) entre servidores
• Cenário
• Servidores idênticos são acessados pelo mesmo IP público

• Solução NAT
• Servidores com IPs privados
• Equipamento NAT age como proxy para as requisições da rede pública para os
servidores e muda para um dos endereços IP privado
Load Balance entre Servidores
Considerações
• Modificar endereços IP e porta requer novo cálculo de ambos IP e
TCP (ou UDP) checksum
• Cuidado para que pacotes fragmentados não vão para destinos
diferentes
• NAT destrói a idéia de alcance fim-a-fim entre qualquer nó da internet
DNS
• Domain Name Server
• O que é
• Como ele opera
• Mensagens DHCP
O que é DNS?
• É um serviço de tradução de um nome de host para o seu IP
correspondente
• É uma base de dados implementada de forma hierárquica
• Um protocolo de aplicação de troca de mensagens entre clientes e
servidores
Porque DNS?
• É mais fácil lembrar o nome de um host :)
• Um nome tem mais significado para nós do que apenas números
• Aplicações como http, FTP necessitam que o usuário especifique o
destino
• A aplicação pega o nome inserido pelo usuário e encaminha para o
servidor DNS que vai traduzir pro IP necessário
Como funciona?
• DNS funciona trocando mensagens entre clientes e servidores

• Uma aplicação no cliente passa o nome do destino para o DNS

processar e devolver o endereço IP correspondente

• A aplicação espera a resposta do DNS

Como funciona

• Cliente quer o IP de www.amazon.com

1. Consulta servidor para encontrar o servidor DNS “.com”
2. Solicita ao servidor DNS “.com” o endereço “amazon.com”
3. Solicita ao servidor DNS “amazon.com” o endereço “www.amazon.com”
Servidores de DNS raiz
• São chamados quando servidor DNS local não conhecem um nome
• Retornam o IP para os servidores locais
• Apenas 13 operam em todo o mundo
TLD e servidores autoritativos
• Top-Level Domain Servers
• Responsáveis por domínios com, org, net, edu, etc
• E de países como uk, fr, jp, br
• Servidores Autoritativos
• Servidores DNS de organizações
• Proveem mapeamento para servidores internos
• Podem ser mantidos pelas organizações ou provedores de serviço
Servidor de Nome Local
• Não pertence necessariamente a hierarquia
• Universidades, empresas, etc..
• Também chamados de “default name server”
• Quando hosts fazem solicitações pro servidor DNS, a solicitação é
enviada para a hierarquia
Operações do DNS
• Quando um servidor DNS aprende o mapeamento de um nome, fica
salvo na memória cache
• Evita que o servidor raiz fique sendo solicitado repetidamente
• Entradas na memória cache são apagadas após algum tempo
DHCP
• Dynamic Host Control Protocol

• Atribuição dinâmica de endereços IP

• Porque?
• Atribuição on-demand, novo host, novo IP
• Evita configurações manuais
Mensagens DHCP
• DHCPDISCOVER
• Broadcast do cliente procurando um servidor DHCP disponível
• DHCPOFFER
• Resposta do servidor disponível oferecendo endereço IP e outros parâmetros
• DHCPREQUEST
• Mensagem do cliente que:
• Solicita alguns parâmetros oferecidos pelo servidor e nega outros
• Verifica um endereço alocado anteriormente depois de uma queda na rede
• Solicita extensão de tempo com o endereço alocado
Mensagens DHCP
• DHCPACK
• Confirmação de parâmetros pelo servidor
• DHCPNACK
• Negação dos parâmetros por parte do servidor
• DHCPDECLINE
• Mensagem do cliente pro servidor que diz que aquele endereço IP já está em
uso na rede
• DHCPRELEASE
• Mensagem do cliente pro servidor renunciando um endereço IP previamento
alocado
Segurança da informação
Informação
• Pode existir e ser transmitida de várias formas
• Impressa ou escrita
• Armazenada eletronicamente
• Falada
• Transmitida por meio eletrônico

• Sempre deve ser protegida adequadamente

Classificação das informações
• Pública
• Informações que podem se tornar públicas sem consequências danosas ao
funcionamento normal da empresa
• Interna
• Acesso deve ser evitado, mas as consequências do acesso não autorizado não traz
consequências sérias
• Confidencial
• Restrita aos limites da empresa. Divulgação ou perda pode levar a problemas
operacionais e/ou financeiras
• Secreta
• Informação crítica para as atividades da empresa, a integridade deve ser protegida e
o acesso deve ser a um número restrito de pessoas
Ciclo de vida da informação
• Manuseio
• Criação ou manipulação da informação,
como digitar um documento
• Armazenamento
• Salvar num HD, pen drive, imprimir, etc
• Transporte
• Enviar por e-mail, fax, correios
• Descarte
• Eliminar a informação
Considerações
Pilares da Segurança
• Integridade
• Garantir que os dados não foram alterados
• Confidencialidade
• Garantir que os dados sejam entendidos apenas pelos usuários permitidos
• Criptografia
• Autenticidade
• Garantir a identidade os envolvidos
• Disponibilidade
• Garantir que os dados/serviços estarão disponíveis
Risco
• Perigo ou a possibilidade de perigo
• Considerações
• Não é possível se proteger do que não se conhece
• Conhecendo os riscos é possível planejar políticas de segurança
• Risco aceitável: quando o custo para impedir esse risco é maior que o custo
do próprio risco
• Contexto que inclui
• Ameaças
• Vulnerabilidade
• Valor a ser protegido
Análise de Risco
• Deve considerar
• Ativos: tudo que tem valor para a
organização
• Vulnerabilidades: portas abertas, falta de
contrato, sistema suscetível
• Ameaças: eventos que exploram a
vulnerabilidade
Ativos
• Tudo que tem valor para a empresa e precisa ser protegido

• Classificados em
• Tangíveis: Aplicações, equipamentos, informações, usuários
• Intangíveis: Imagem, reputação, credibilidade
Vulnerabilidades
• “Uma corrente é tão forte quanto seu elo mais fraco”

• Um invasor não tenta transpor as barreiras encontradas, ele busca

pelo ponto mais vulnerável e, só então, ataca
Ameaças
• Naturais
• Decorrentes de fenômenos da natureza, como incêndios, enchentes,
terremotos, tempestades, etc
• Involuntárias
• Ameaças inconscientes, como erro, falta de energia
• Voluntárias
• Propositais, causadas por agentes invasores, espiões, ladrões, vírus
Tratando um risco
• Ignorar
• Não dar importância, aceitar as consequências do risco
• Transferir
• Passar o risco a um terceiro
• Aceitar
• Justificável quando o prejuízo de prevenir é maior
• Diminuir
• Ações que diminuam a probabilidade do risco acontecer
Matriz GUT
• Risco = (Gravidade X Urgência X Tendência)
• Gravidade
• 5 - Extremamente Grave; 4 – Muito Grave; 3 – Grave; 2 – Pouco Grave; 1 –
Sem Gravidade;
• Urgência
• 5 – Imediata; 4 – Com urgência; 3 – O mais cedo possível; 2 – pode esperar; 1
– não há pressa;
• Tendência
• 5 – Vai piorar rápido; 4 – Vai piorar em pouco tempo; 3 – Vai piorar a médio
prazo; 2 – Vai piorar a longo prazo; 1 – Não vai piorar;
Matriz GUT
Política de segurança
• Uma boa política deve
• Ser clara e concisa
• Ser plausível
• Usar uma linguagem simples
• Fácil compreensão e aplicabilidade
• Ser revisada periodicamente
• Benefícios
• Padronização dos processos
• Definição dos responsáveis
• Definição das penalidades
• Aumento da conscientização
Política de segurança
• Deve conter, no mínimo
• Descrição
• Objetivo
• Deveres para os usuários
• Deveres para os administradores
• Recomendações
• Penalidades

Cada usuário só deve ter conhecimento dos procedimentos de

segurança que referentes a sua função
Filosofias de segurança
• Paranóico
• Tudo proibido
• Proibitivo
• O que não é permitido, é proibido
• Permissivo
• O que não é proibido, é permitido
• Promíscuo
• Tudo permitido

Ex: Acesso a internet

Segurança Física
• Proteger equipamentos de uso inadequado
• Manutenção das condições operacionais
• Integridade dos recursos

• Preserva itens reduzindo custo das empresas

Segurança Física
• Riscos
• Explosão
• Magnetismo
• Fogo/calor
• Radiação
• Poeira
• Umidade/vapor
• Vandalismo
• Roubo
• Acesso indevido
• Impacto de escombros
• Gases corrosivos
Segurança Física
• Considerações
• Localização adequada dos equipamentos para evitar acidentes
• Segurança do cabeamento de rede
• Separar cabos de dados de cabos elétricos
• Proteção física dos cabos com conduítes, canaletas, piso elevado
• Cabeamento protegido contra intercepção não autorizada e danos
• Proteção contra fogo
• Alarme de incêndio
• Dispositivo de desligamento de energia em caso de fogo
• Porta contra fogo
• Iluminação de emergência
• Mecanismos de combate
Segurança Física
• Considerações
• Água
• Condições do telhado e laje
• Localização adequada das tubulações
• Climatização
• Exigências de níveis de temperatura
• Clima em condições ideais e estáveis
• Dimensionamento do equipamento
• Controle do registro de temperatura e umidade
• Ajuste automático
Segurança Física
• Considerações
• Eletricidade
• Qualidade das instalações, cabos, transformadores, estabilizadores
• Qualidade no fornecimento por parte das prestadoras de serviço
• Controle de acesso físico
• Segurança em geral e em locais específicos
• Outros
• Celulares que possuem câmeras e documentos confidenciais
• Computadores devem ser desligados quando não estiverem em uso
• Documentos impressos devem ser recolhidos
• Material confidencial exposto
Segurança Física
• Segurança das informações
• RAID – Redundant Array of Independent Disks
• Cluster
• Balanceamento de carga
• Alta disponibilidade
• Combinação das técnicas
Segurança Lógica
• Regras básicas
• Acesso a dados apenas por pessoas autorizadas
• Se algum intruso conseguir acessar o sistema, não deve ser capaz de usa-lo
• Todas as ocorrências devem ser monitoradas
Segurança Lógica
• Identificação
• Garantir acesso a dados/serviços/servidores apenas a pessoas autorizadas
• Primeiro ponto de controle
• Servidores de acesso
• Obrigar usuários a fornecerem identificação
• Autorização
• Controlar o acesso as informações
• Negando ou permitindo privilégios
• Regida por regras
Segurança Lógica
• Auditoria
• Monitoramento das informações de acesso. Utilização dos recursos, horários
de acesso, etc
• Incluir regras para troca de senha
• Técnicas de backup
• Criptografia dos dados
• Sistemas de detecção de intrusão
• Anti vírus
Engenharia Social
• Através de funcionários da empresa
• Obter acesso as informações
• Formas de ataque
• Telefonemas
• Lixo
• Mensagens com vírus
• Pessoalmente
“Segurança não é um produto, é um processo”
Ataques
O que é ataque?
• Um “assalto” a um sistema de segurança
• Deriva de uma ameaça inteligente
• Tentativa deliberada de invadir serviços
Ataques

• Interrupção
• Ataque contra a disponibilidade do sistema
• Interrupção do fluxo das mensagens
Ataques

• Interceptação
• Ataque contra confidencialidade/privacidade do sistema
• Acesso a informações de forma não autorizada
Ataques

• Modificação
• Ataque contra a integridade dos dados enviados
• Modificação de mensagens por pessoas não autorizadas
Ataques

• Fabricação
• Também conhecido como personificação
• Ataque contra a autenticidade dos usuário
• Pessoa não autorizada se passa por uma entidade autêntica
Vírus

• Infecta o sistema, faz cópias de si mesmo e tenta se espalhar para

outros computadores
• Formas de contaminação:
• Usuários executam arquivos infectados
• Sistemas operacionais desatualizados, sem correções de segurança
Tipos de vírus ou malware
• Vírus de boot
• Infecta a inicialização do sistema operacional
• É ativado quando o sistema operacional é carregado
• Pode até impedir que o usuário acesse o SO
• Worms
• Um vírus infecta um programa, necessita de um hospedeiro pra se propagar,
um worm é independente
• Capaz de se autorreplicar, deletar arquivos, enviar documentos por e-mail, se
propagar pela internet
Tipos de vírus
• Cavalos de Tróia
• Tipos:
• Programas aparentemente inofensivos que carregam um vírus embutido
• Baixados e instalados diretamente por usuários (e-mails fraudulentos)
• Antigamente permitiam que o micro infectado pudesse receber comandos
externos
• Atualmente tentam roubar dados confidenciais dos usuários
• Pode levar usuários a sites falsos para fins criminosos
• Pode transformar o computador num zumbi
• Enviar spams
• Infectar outros computadores e fazer ataques a servidores (DDoS)
Tipos de vírus
• Sequestradores
• “Sequestram” navegadores
• Altera página inicial, impede usuário de alterar as configurações, exibe pop-
ups ou janelas novas, instala barras indesejadas
• Podem impedir acesso a alguns sites específicos
Tipos de Ataques
• Man in the Middle (Homem no meio)
• O hacker fica entre o usuário e o site legítimo que o usuário tenta acessar
• Harcker intercepta a comunicação e pode roubar informações sem que o
usuário perceba
• Caso banco do brasil
• Phishing
• Tipo de fraude que tenta convencer o usuário que ele precisa abrir um link
que é, na verdade, malicioso
• “Troque já sua senha do facebook, envie a nova por email”
• Sniffing
• É um “grampo eletrônico”, capaz de capturar pacotes que estão trafegando
pela rede
• Defesa: criptografia
Tipos de Ataques
• Envenenamento de Cache DNS
• Interfere na tradução de nomes do DNS, hacker se passa por um Name Server e
responde a solicitações de nome, que ficam armazenadas na memória cache
• Redireciona o usuário para uma página clonada
• Caso TAM, caso Bradesco
• Buffer Overflow
• Quando um programa reserva menos que o necessário de espaço de memória
para processar dados. Dados acabam vazando para outras partes da memória e
hackers se aproveitam desses dados.
• Violação de segurança da memória
• Uma das brechas mais graves
• Heartbleed
Tipos de Ataques
• Negação de Serviço
• Denial of Service (DoS)
• O ataque é realizado por apenas um computador
• Distributed Denial of Service (DDoS)
• Uso de vários computadores para atacar
• Objetivo: tornar um serviço indisponível
• Incapacitar servidor de email de responder novas solicitações
• Impedir o uso de um serviço web
• Atacar páginas pessoais
• Vulnerabilidades que não permitem a invasão do sistema, mas que podem
impossibilitar o uso de um recurso ou serviço
Tipos de Ataques
• Negação de Serviço
• Falha clássica: Ping da Morte
• Solicitações de Ping com pacotes muito grandes e com uma frequência muito alta
(milhares de pings por segundo)
• Causa sobrecarga no micro de destino
• Ataque famoso nas primeiras implementações do TCP/IP
• Outros ataques famosos
• Ataques aos sites relacionados a copa do mundo
• Ataques a sites do governo federal nas manifestações de julho de 2013
• Anonymous: Operation Payback
Tipos de Ataques
• Negação de Serviço
• Ataques por inundação
• Enviam um grande volume de tráfego ao sistema vítima de modo a congestionar sua
banda e seu sistema
• Pode deixar o sistema lento, derrubá-lo ou sobrecarregar a banda da rede
• Podem usar pacotes UDP ou ICMP
• Ataques por amplificação
• Envio de requisições com endereço IP de origem falso para uma grande quantidade de
computadores
• As respostas irão pra vítima, dona real do endereço IP usado para o ataque
• Endereços de broadcast são usados para amplificar e refletir o tráfego do ataque
http://www.digitalattackmap.com
Tipos de Ataques
• Negação de Serviço – Defesas
• Blackholing (Buraco Negro)
• Bloquear o acesso a um servidor quando um ataque é percebido
• Consiste em criar um “buraco negro” na rede, um endereço IP sem uso e redirecionar o
tráfego que chega pro servidor atacado pra esse endereço IP
• Desvantagem: o serviço se torna inacessível da mesma forma pois todo o tráfego é
bloqueado, até o legítimo
• Listas de controle de acesso
• Listas que podem filtrar o tráfego que passa pelo roteador
• Filtrar protocolos, por exemplo, para evitar ataque de ping
• Filtrar endereços IPs inválidos, permitindo apenas IPs conhecidos
• Desvantagem: ataques mais refinados usam protocolos essenciais da rede e IPs
mascarados como válidos
Tipos de Ataques
• DoS
• Negação de serviço
• Spam
• Phishing spam
• Ataques de força bruta
• Farejamento de pacotes (packet sniffing)
• Varreduras
• Ataques Ao TCP/IP
• Malware
• outros