Hardening de Servidores

O que é Mitm?

O man-in-the-middle (pt: Homem no meio, em referência ao atacante que

intercepta os dados) é uma forma de ataque em que os dados trocados entre duas
partes, por exemplo você e o seu banco, são de alguma forma interceptados,
registados e possivelmente alterados pelo atacante sem que as vitimas se
apercebam. Numa comunicação normal os dois elementos envolvidos
comunicam entre si sem interferências através de um meio, aqui para o que nos
interessa, uma rede local à Internet ou ambas.

Durante o ataque man-in-the-middle, a comunicação é interceptada pelo atacante

e retransmitida por este de uma forma discricionária. O atacante pode decidir
retransmitir entre os legítimos participantes os dados inalterados, com alterações
ou bloquear partes da informação.

Como os participantes legítimos da comunicação não se apercebem que os

dados estão a ser adulterados tomam-nos como válidos, fornecendo informações
e executando instruções por ordem do atacante.

Hardening ( Técnica de blindagem de sistema ) é um processo de mapeamento

das ameaças, mitigação dos riscos e execução das atividades corretivas em um
sistema. Seu foco é a infraestrutura e seu objetivo é tornar um sistema mais
seguro para enfrentar tentativas de ataques e invasões.

A técnica de Hardening pode ser utilizada em qualquer sistema operacional com

o objetivo de fortalecer a segurança e proteger o sistema de possíveis invasores.
A implementação das diretivas de segurança devem ser seguidas antes, durante e
após a instalação e configuração do sistema operacional em uso.

Item Técnicas de Hardening Mais Utilizadas

1 Acesso Remoto
2 Adoção de Sistemas de Detecção e Prevenção de Intrusão
3 Antivírus
4 Ativar a instalação da (DEP)
5 Atualizações e Patches
6 Criptografia
 7 Fechar Portas da Rede
8 Firewall
9 NetBios
10 Particionamento de Discos
11 Remoção de Logins e Usuários desnecessários
12 Remoção de Programas e Serviços desnecessários
13 Segurança e Auditoria de Senhas
14 SMB (Bloco de Mensagem de Servidor)
15 Zona Desmilitarizada – DMZ

Existem 03 pontos que devem ser considerados e analisados antes a implantação

da técnica de Hardening:
1. A segurança,
2. Os riscos
3. E a flexibilidade do sistema.

Assim é possível definir e aplicar as boas práticas para cada item.

Hardening Técnicas mais utilizadas

Acesso Remoto

Conexão remota que permite o acesso total a outro computador que esteja
conectado à mesma rede ou à internet. Através da conexão remota é possível
acessar os arquivos e usar todos os programas e recursos da rede do computador
que permitiu o acesso remoto. Recomendação para melhoria da segurança: o
acesso remoto deve se desabilitado dos computadores da rede, evitando que as
informações sejam roubadas, eliminadas ou corrompidas por pessoas ou
softwares mal intencionados.

Adoção de Sistemas de Detecção e Prevenção de Intrusão

Um sistema de detecção e prevenção de intrusão permite notificar, rastrear e

identificar tentativas de ataques e invasões em um sistema. Baseado na detecção
de uma tentativa de ataque ou invasão a ferramenta é acionada e toma um ação
baseada na detecção do problema e conforme as configurações da ferramenta
que está sendo utilizada.
Antivírus

Antivírus é um software que detecta, evita, atua, remove e neutraliza programas

mal – intencionados (vírus). Os Vírus são programas desenvolvidos para
interferir no comportamento do computador, gravando, corrompendo ou
excluindo dados ou para se espalharem para outros computadores através da
internet. Nenhum computador está livre de ataques de vírus, algumas medidas
de segurança devem ser tomadas, com o objetivo de diminuir o risco desses
ataques, tais como:
 Treinamento e conscientização dos usuários sobre as normas de segurança
da informação,
 Não baixar arquivos de origem duvidosa na rede externa,
 Não inserir discos inseguros nos computadores,
 Não abrir e-mails de pessoas desconhecidas ou que venham com anexos
do qual não se sabe a origem, mesmo que venham de pessoas conhecidas,
 Não fazer downloads de programas de sites da internet,
 Não usar dispositivos que pertencem a empresa em computadores de
segurança duvidosa.

Ativar a Prevenção de Execução de Dados (DEP)

A DEP é um recurso de segurança que ajuda a proteger, evitar a perda e roubo

de dados sigilosos e danos ao computador causados por vírus e outras ameaças
de segurança. Monitora automaticamente todos os programas e serviços
essenciais que estão sendo executados no Windows para garantir que estão
usando a memória do sistema operacional com segurança, caso algum programa
tente executar código da memória de maneira incorreta, a DEP fecha o
programa. Se houver necessidade é possível aumentar a proteção configurando
para que a DEP monitore todos os programas que estão em uso no computador
ou selecionar programas e serviços que não se deseja que a DEP monitore.

Atualizações e Patches

Os componentes, programas e serviços instalados no sistema operacional devem

ser atualizados frequentemente. O sistema operacional Windows tem um sistema
automático chamado Windows Update que verifica a versão do sistema
operacional atual e faz a verificação de pacotes desatualizados, apontando
possíveis falhas relacionadas aos pacotes instalados, auxiliando a manter o
sistema sempre atualizado, mais seguro e liberando somente atualizações de
programas que o usuário tem necessidade.
Criptografia

A criptografia permite guardar e transmitir mensagens de forma segura,

garantindo a privacidade da informação. Benefícios da criptografia para a
segurança da informação:
 Integridade: É possível ao receptor de uma mensagem verificar se esta foi
alterada durante o trânsito.
 Autenticação: É possível ao receptor de uma mensagem, verificar sua
origem, um intruso não pode se fazer passar pelo remetente desta
mensagem.
 Disponibilidade: O sistema deve estar sempre pronto a responder as
requisições de usuários autenticados como legítimos pelo sistema, através
de login e senha.
No Windows existe um recurso chamado Sistema de Arquivos com Criptografia
(EFS), que é usado para armazenar informações no disco rígido em um formato
criptografado.

Fechar Portas da Rede

Quando um sistema operacional é instalado, alguns aplicativos (serviços) abrem

portas introduzindo vulnerabilidades no sistema, facilitando uma invasão através
da exploração dessas portas abertas. Existe um aplicativo chamado Nmap
(Network Mapper é um aplicativo livre e de código aberto, utilizado para
explorar uma rede para efetuar uma auditoria de segurança), que permite que se
faça uma varredura por todas as portas abertas no sistema e se possa criar com
essa lista de portas abertas, regras no firewall para bloquear as portas que não
devem estar disponíveis. Depois que as regras forem configuradas no firewall é
importante fazer uma nova varredura e analisar se as portas abertas que
poderiam colocar o sistema em risco foram fechadas.

Firewall

Barreira de proteção que ajuda a controlar o tráfego de dados entre um

computador ou rede onde o computador está instalado e a internet. Permite a
transmissão e recepção de dados autorizados pelo administrador da rede. É
considerado um ponto de conexão entre duas redes não confiáveis e permite que
a comunicação entre elas seja segura e monitorada a todo momento. No
Windows, quando alguém utiliza a internet ou uma rede e tenta se conectar ao
computador, essa tentativa é chamada de pedido não solicitado, quando o
firewall recebe um pedido não solicitado ele bloqueia a conexão. Quando houver
necessidade do usuário executar programas de mensagens instantâneas ou
utilizar a internet ou uma rede para receber informações o firewall sempre
perguntará se o usuário deseja bloquear ou desbloquear esses tipos de conexão.
NetBios

O protocolo NetBios é uma interface que fornece às aplicações de uma rede, um

serviço de transmissão orientada à conexão, um serviço de nomes para
identificar e localizar os usuários da rede e os computadores, um serviço
opcional de transmissão de datagramas não confiável e outros recursos
compartilhados necessários para registrar ou resolver nomes para serem
utilizados na rede. O Windows disponibiliza todos os seus serviços através do
protocolo NetBios. Nas redes onde o Netbios é disponibilizado pelo TCP/IP, um
atacante consegue verificar quais os diretórios, impressoras e pastas
compartilhadas em cada computador da rede. Quando os usuários
disponibilizam pastas no acesso compartilhado é mais fácil para um hacker
conseguir acesso aos arquivos das pastas compartilhadas. Nas aplicações onde o
protocolo NetBios está ativado, algumas portas das máquinas de uma rede ficam
abertas e através delas é possível invadir a rede e comprometer a segurança do
sistema, as portas utilizadas pelo protocolo NetBios são as portas UDP/137,
UDP/138, UDP/139. É possível desabilitar a interface NetBios porém sem esse
protocolo, os serviços de nomes NetBios, O serviço transmissão de datagramas
NetBios e o serviço de seção NetBios podem ser prejudicados ou até
paralisados.

Particionamento de Discos

Em segurança da informação o particionamento de discos é muito importante.

Quando se particiona um disco o nível de segurança aumenta no sistema, isso
porque cada partição tem sua tabela de alocação de arquivos separada.

Remoção de Logins e Usuários desnecessários

Após a instalação do sistema e no dia a dia é importante que o administrador da

rede faça a análise de todas as contas de usuários e remova as contas
desnecessárias. Contas que não são mais utilizadas devem ser removidas para
evitar que pessoas mal intencionadas utilizem essas contas para realizar
atividades suspeitas ou indevidas, que comprometam a segurança da rede. A
conta de usuário administrador é a conta mais visada por usuários mal
intencionados e cracker, quando se consegue acesso a conta do administrador, se
consegue acesso total ao sistema e rede de uma empresa. Essa conta deve conter
uma senha considerada forte e só deve ser utilizada pelo administrador quando
for necessário fazer configurações no sistema, em outros casos é recomendando
que até mesmo o administrador use uma conta de usuário comum no sistema,
para que a segurança seja garantida.
Remoção de Programas e Serviços desnecessários

Desativar serviços desnecessários e inseguros é uma medida de segurança que

deve ser tomada pelos administradores do sistema. Todos os serviços instalados
devem ser verificados, quanto à necessidade de utilização, se não forem
necessários ou considerados inseguros devem ser removidos.

Segurança e Auditoria de Senhas

A senha deve ser única, intransferível e de propriedade de um único usuário. As

medidas de segurança que devem ser tomadas com as senhas, estão definidas na
norma ISO 27002 nos itens 11.2.3 e 11.3.1 ( as senhas devem ser controladas
por meio de um processo de gerenciamento formal e os usuários devem ser
orientados a seguir boas práticas de segurança da informação na escolha,
utilização e troca de suas senhas). Para maior segurança nas senhas de usuários o
administrador do sistema deve possibilitar a alteração da senha no primeiro
login que o usuário fizer no sistema, orientando o usuário a não escolher senha
consideradas fracas, tais como: sequências simples (ex: 123), datas de
aniversário e nomes próprios, não reaproveitar senhas quando as mesmas forem
expiradas e não divulgar suas senhas a terceiros.

Bloco de Mensagem de Servidor (SMB)

É um protocolo padrão da Internet, usado pelo Windows para compartilhar

arquivos, impressoras, portas seriais e para se comunicar entre os computadores.
Em uma rede, os servidores tornam os sistemas de arquivos e recursos
disponíveis para os clientes. Os clientes fazem solicitações SMB para recursos e
os servidores fornecem respostas SMB caracterizando-o como um protocolo de
solicitações e respostas cliente servidor. Existe uma falha na maneira como o
servidor valida os parâmetros de um pacote SMB:
1) Quando um sistema cliente envia um pacote SMB para o sistema do
servidor, ele inclui parâmetros específicos que fornecem o servidor com
um conjunto de “instruções”, o servidor não valida adequadamente o
tamanho do buffer estabelecido pelo pacote, se o cliente especifica um
tamanho de buffer menor do que o necessário, isso pode fazer com que o
buffer seja saturado, enviando uma solicitação de pacote SMB criada para
uma finalidade específica, um invasor poderia fazer com que o buffer
fosse saturado. Se essa falha for explorada pode levar à corrupção de
dados, falha no sistema ou permitir que um invasor execute um código de
sua escolha. Um invasor precisa de uma conta de usuário válida e precisa
ser autenticado pelo servidor para explorar essa falha.
 2) O SMB trabalha junto com o NetBios, opera na porta 445, essa porta é
onde se localiza o tráfego mais intenso de vírus. Quando desabilitamos
o NetBios todo o tráfego que passava por ele é direcionado para o SMB,
em vista disso esse serviço deve ser desabilitado para garantir a segurança
do sistema. O SMB é desabilitado quando se remove os itens:

a. Compartilhamento de Arquivos;
b. Impressoras para Rede Microsoft;
c. Cliente para Redes Microsoft.

Zona Desmilitarizada – DMZ

Uma rede nomeada DMZ é um segmento de uma rede separado de outras redes,
parcialmente protegida; são sub-redes onde se hospedam os servidores / serviços
de um provedor, protegendo contra ataques da Internet utilizando um firewall. É
uma segunda rede criada no firewall para hospedar apenas os serviços que serão
acessíveis pela Internet, evitando que usuários anônimos entrem na rede
privativa (LAN), para acessar esses serviços e coloque em risco dados
particulares; proporciona uma segurança adicional entre a rede corporativa e a
internet pública.

É possível criar dois tipos de DMZ’s:

 DMZ Interna: Só pode ser acessada pelos usuários da rede interna.

 DMZ Externa: Pode ser acessada por qualquer usuário da internet.

Métodos e Ferramentas para Proteção do servidor DNS

Para usuários Linux existe uma ferramenta chamada Arpwatch que monitora a
atividade em uma rede ethernet, mantendo atualizada uma tabela com endereços
ethernet (MAC) e seus respectivos IPs. Essa ferramenta tem a capacidade de
reportar via e-mail certas mudanças. É importante na detecção de ataques Arp
poisoning, Man-in-the-Middle e DNS spoofing.

A primeira barreira de defesa contra o DNS spoofing é usar sempre a versão

mais recente do DNS disponível. Consultas recursivas devem ser limitadas ao
servidor DNS Local. Isso irá evitar sistemas externos enviem consultas
suspeitas.
Algumas observações de segurança sobre o servidor DNS:

 Servidores DNS local separado fisicamente do servidor externo;

 Desabilitar serviços desnecessários no servidor DNS;
 Utilizar um servidor dedicado específico para o DNS;
 Esconder a versão do BIND utilizada no servidor DNS;
 Restringir o processo de update dinâmico do DNS, quando possível;
 Uso do DNSSEG e TSIG(Funções de Segurança);
 Restringir zonas de transferências para servidores secundários;
 Configurar o servidor DNS de modo a permitir recursividade somente
para as estações de seu domínio;
 Configurar o servidor DNS de modo a permitir recursividade somente
para as estações de seu domínio;
 Configurar regras anti-spoofing no firewall e/ou no roteador de borda;
 Implementar uma topologia de redes que permita abrigar o servidor DNS
em uma DMZ (Zona Desmilitarizada);
 Use softwares como Nagios, Zabbix e PRTG para monitorar o seu sistema
como um todo, carga de disco, memória, tráfego de rede, internet e etc.
Acontecendo algum problema você será avisado por e-mail e até SMS;
 SSH para acesso remoto, de forma segura já que o mesmo utiliza de
criptografia;
 Nmap, Ettercap, wireShark, Tcpdump, são exemplos de softwares que
permitem escutar e ver o que está trafegando na rede;
 Uso de Proxy como, Squid, Clear Os, Dns e outros: Gerenciamento de
Acesso a web e rede local para tráfego geral de usuários, permitindo e
bloqueando acessos de acordo com a política de sua empresa;

Conclusão:

Todo serviço tem seus riscos, nunca a segurança será de 100%, o nosso papel
com futuros tecnólogos em segurança da informação é saber identificar estas
vulnerabilidades e propor mecanismos e ações para mitigar os riscos. A
prevenção, conscientização, redundância e o monitoramento são formas de
garantir que a segurança seja eficaz e que a rede e/ou a internet funcionem
corretamente.