Escolar Documentos
Profissional Documentos
Cultura Documentos
segurança digital
Segurança em Infraestrutura
antonio.gomes@prof.unibh.br
flabasouza@yahoo.com.br
Definição do Escopo de Trabalho
INFRA-ESTRUTURA
Rede / Ativos
Estações
Banco de Dados
Servidores
Sist. Operacionais
Papel da Infraestrutura
Novos Desafios
Auditabilidade;
Conhecimento de Técnicas de Ataques e Vulnerabilidades;
Implementação Ágil de Soluções.
Compatibilidade com o Negócio
Desenvolvimento de uma Infra-Estrutura Segura e não deve ir contra o negócio
principal da empresa!
29/01/2018
Técnicas e Metodologias
Definição de Camadas de Proteção
A norma define os requisitos necessários ao ambiente, porém não determina qual técnica
deverá ser aplicada.
Papel da Segurança
Eliminar Vulnerabilidades;
Mitigar Riscos;
Reduzir impactos no Negócio;
A segurança não deve ser abordada apenas de forma tecnológica, ela depende de
pessoas e processos bem definidos;
29/01/2018
Fundamentos
Projeto de Arquitetura de Infra-Estrutura Segura
• Fundamentos de uma Infra-Estrutura Segura
• Servidores
• Estações
• As estações de trabalho fazem a ponte entre a infra-estrutura e as pessoas
que respondem pelo negócio da empresa. Não importa o quanto você
implemente a segurança de perímetro, mas algumas estações deverão ter
acesso a Internet e outros recursos que dependem dela.
• Ativos de Rede
• Performance:
• Quando os requisitos do negócio são analisados, é necessário avaliar o nível
de performance e disponibilidade para o serviço protegido em sua
infra-estrutura. Quanto mais camadas de segurança são adicionadas, maior
pode ser o impacto em aplicações, por exemplo, que necessitam uma
resposta em tempo real.
• Se a performance for um ponto chave no seu negócio, pode ser que você
tenha uma maior disponibilidade de orçamento para adquirir as melhores
soluções de segurança. Entretanto, algumas vezes o nível de segurança
poderá ser diminuído para evitar outros impactos.
Requisitos
Projeto de Arquitetura de Infra-Estrutura Segura
• Determinar as Necessidades de
Negócio
• Performance:
• Exemplos que podem impactar a
performance:
• Tolerância a Falhas:
• A quantidade de dispositivos de tolerância a falha implementados no
ambiente dependem da natureza e objetivos do negócio. Muitas vezes,
eliminar pontos de falha é complexo e soluções de tolerância a falhas são
mais aceitáveis para a continuidade de negócios.
• Exemplos:
• Cluster de Servidores;
• Links;
Requisitos
Projeto de Arquitetura de Infra-Estrutura Segura
• Exemplos:
• Sistemas;
• Sites;
• Firewall;
• Ativos de Rede;
• Redundância Geográfica.
Introdução a Segurança nos
Sistemas Operacionais
29/01/2018
Proteger de quem ou o que?
Segurança nos Sistemas Operacionais
Atacantes externos;
Funcionários Internos:
Mal Intencionados;
Mal preparados.
Pragas Digitais:
Virus, trojans, spywares, malwares...
Proteger de quem ou o que?
Segurança nos Sistemas Operacionais
Exposição:
Vulnerabilidades de Sistemas Operacionais;
Vulnerabilidades de Aplicações;
Exploits;
E-mails em massa;
Malwares.
Técnicas
Segurança nos Sistemas Operacionais
Hardening:
Consiste em reforçar a segurança dos servidores e estações através de práticas que visam
diminuir a exposição à vulnerabilidades e ameaças.
Exemplos:
Desativar serviços desnecessários;
Alterar a identificação do usuário administrador;
Efetuar todas as atualizações e correções até a presente data.
Técnicas - Hardening
Desenvolvimento de um ‘Baseline’;
Técnicas – Hardening
Vantagens:
Baixo custo e alto benefício;
Após documentado, pode ser executado pelas áreas de suporte à estações e servidores.
Considerações:
Necessita de um processo de revisão constante / periódica;
Unix - Arquitetura
Kernel
Hardware (discos,
interfaces de rede, etc)
Firewalls
29/01/2018
Firewalls
Equipamentos Dedicados à Segurança
Tópicos
Tipos de Firewall:
Filtros de Pacotes (Static);
Filtros de Pacotes Baseados em Estados (Stateful / Dynamic);
Network Address Translator (NAT);
Proxies;
Híbridos e Reativos;
Pessoais.
Arquiteturas de Firewall:
Dual-homed host;
Screened Host;
Screened Subnet (DMZ).
Firewalls
Autorização:
Necessidade de definir “quem pode fazer o que”. Ex: As estações podem surfar na internet, mas
não podem pegar arquivos por FTP.
Auditoria:
Possibilidade de rastrear o acesso de usuários à recursos internos da corporação.
Integridade:
Preservação dos ativos e dados de possíveis invasões, perdas ou danos.
Firewalls - Tipos
Equipamentos Dedicados à Segurança
Hardware
Firewall - sua evolução
Firewall - sua evolução
Firewall - sua evolução
Firewall - sua evolução
Firewall - sua evolução
Firewall - sua evolução
Firewall - sua evolução
• Conceitos:
Conhecidos como static packet filter por possuírem regras estáticas de filtragem de
pacotes. São os modelos mais simples existentes.
IPs:
Origem;
Destino.
Portas:
Origem;
Destino.
Protocolo:
TCP;
UDP.
ICMP.
Firewalls - Tipos
Equipamentos Dedicados à Segurança
• Filtros de Pacotes
• Exemplos de Regras:
Endereço de Origem Porta de Endereço de Porta de Protocolo Ação
Origem Destino Destino
• A regra 2 poderia ser escrita de forma a liberar o tráfego em qualquer porta alta (>=1024), porém
isso criaria uma falha de segurança já que o servidor estaria apto à acessar qualquer serviço em
computador fora da rede disponibilizado em uma porta fora das portas padrões.
Firewalls - Tipos
Filtros de Pacotes
Vantagens
Dificuldade em filtrar serviços que utilizam portas dinâmicas, como RPC, FTP;
Necessidade de criar regras para validar o tráfego em ambos os sentidos em uma conexão.
Firewalls - Tipos
Também conhecidos como stateful packet filter ou dynamic packet filter são uma
evolução do filtro de pacotes, pois estão associados à tabelas de regras.
Desvantagens
Por ter que armazenar o contexto das conexões ativas, consome mais recursos de
processamento e memória;
Muito impactado em ataques de DDoS com pacotes SYN, já que o firewall manterá o contexto
de todas as aberturas de conexões do ataque.
Firewalls - Tipos
O cliente abre uma conexão TCP no firewall e este abre uma conexão com o servidor
externo.
Esse tipo de firewall trabalha as camadas de sessão e transporte (circuit level gateway) ou
na camada de aplicação (application level gateway).
Firewalls - Tipos
Para isso será mantida em memória uma tabela indicando a qual estação aquela
conexão pertence. Geralmente cada computador interno é associado a uma porta para
o tratamento das conexões.
Firewalls - Tipos
Network Address Translator (NAT)
Firewalls - Tipos
Níveis de Atuação
Firewalls - Tipos
Integrados com outras tecnologias, como detecção de intrusão, são capazes de tomar
decisões de resposta à ataques como:
Alterar uma saída ou entrada de dados em caso de falha em algum serviço (failover).
Firewalls - Tipos
Provém uma proteção individual ao computador que pode ser atribuída como um packet
filter, ou seja, bloqueando e autorizando conexões de entrada e saída por IP, Portas e
Protocolos.
Firewalls pessoais também servem de alerta para verificar as aplicações que buscam
acesso à internet dentro de um host.
Firewalls - Arquiteturas
Equipamentos Dedicados à Segurança
Arquiteturas de Firewall
Conceitos:
Bastion Hosts:
Máquinas que oferecem serviços e que estão fora da rede interna da instituição;
Geralmente são os primeiros pontos de ataque externo;
Podem ser configuradas de forma a criar outros níveis de proteção.
Firewalls - Arquiteturas
Arquitetura dual-homed host
Consiste na separação entre a rede interna e a rede externa da organização por meio de
uma máquina ou equipamento com duas interfaces de rede.
Firewalls - Arquiteturas
Utiliza dois níveis de proteção, sendo um firewall do tipo filtro de pacotes e um bastion host
que pode atuar como proxy exigindo que os computadores internos acessem a internet
apenas através dele.
A comunicação entre o firewall e a rede interna fica impedida devendo passar sempre
pelo segundo servidor.
Firewalls - Arquiteturas
Arquitetura Screened Host
Equipamentos Dedicados à Segurança
Tipos de Respostas
Automáticas:
Estrangulamento;
Interrupção da conexão;
Desvio;
Isolamento;
SYN/ACK;
Honey Pots.
IDS - NIDS
Um IDS bem posicionado e configurado em sua Infra-Estrutura pode ser um excelente ponto de
controle contra tentativas de invasão. O IDS tem que estar configurado para um ambiente
específico!
Um IDS mal configurado para o ambiente no qual ele esteja atuando pode ser um pesadelo
para seus administradores;
Existe uma impressão negativa no mercado sobre os IDS em função do excesso de falso-positivos
que eram gerados no início da tecnologia;
IPS
Em linhas gerais, é uma integração de um Firewall com um IDS provendo uma tecnologia
mais eficiente em ambos os aspectos.
IPS
Características:
Efetua o controle e tomada de decisões baseados em contexto ao invés de utilizar apenas IPs,
portas e tipos de pacotes;
VPN
Virtual Private Network
Conceitos
Descrição
As REDES PRIVADAS VIRTUAIS surgiram como alternativa à utilização de links dedicados
para a interconexão de redes geograficamente separadas e ao acesso remoto de
usuários às redes internas de uma organização.
Conceitos
Redes Privadas Virtuais
Descrição
• Sem o uso das VPNs a ligação é feita através de links dedicados. Esses,
por sua vez, são caros e para cada novo parceiro ou filial é necessário
adquirir um novo link.
Principais Conceitos
A CRIPTOGRAFIA e o TUNELAMENTO são os conceitos que fundamentam a VPN.
29/01/2018
Principais ataques
Principais ataques em Redes WLAN
Low-hanging fruit (exploração de configuração default)
Access point spoofing
WEP attack (exploração na implementação do algoritmo RC4)
Interceptação e monitoração
Client-to-Client Attack
Ataques de força bruta
Negação de Serviço (interferência nos canais)
Roubo e/ou perda de placas
Principais ataques
Implicações
Acesso indevido a informações
Obtenção de senhas
Acesso a redes privadas
Utilização indevida dos recursos da rede
Indisponibilidade dos serviços
Invasão de privacidade
Alterações de informações confidenciais
Padrões de segurança existentes
WEP – Wireless Equivalent Privacy
A especificação do IEEE 802.11b e 802.11g aborda vários serviços para levar segurança
ao ambiente operacional. A maior parte da segurança é colocada no protocolo WEP
para proteger a camada de enlace de dados durante a transmissão de um cliente com os
APs. Ou seja, o WEP só controla a parte sem fio da rede, logo a parte cabeada terá sua
segurança feita por outros meios
Padrões de segurança existentes
WEP e suas vulnerabilidades
O WEP usa o algoritmo de criptografia simétrica RC4. O RC4, a partir da junção da sua
chave fixa de 40 bits, com uma seqüência de 24 bits variável conhecida como vetor de
inicialização (IV), cria uma seqüência de bits pseudoaleatórios que é, através de
ou-exclusivo (XOR), operados aos dados que serão criptografados. O IV também é
transmitido junto com cada pacote criptografado. E a norma do padrão sugere que esse
IV seja variado a cada pacote enviado
O receptor, que também conhece a chave fixa, recebe o pacote, retira o IV dalí e
aplica o processo inverso usando a mesma operação de XOR, para descriptografar o
pacote e revelar a mensagem.
O RC4 é um algoritmo de fluxo, isto é, o algoritmo criptografa os dados à medida que
eles são transmitidos, o que faz com que o RC4 seja um algoritmo de alto desempenho. O
RC4 pouco foi criticado, e aqueles que o criticaram tiveram que, posteriormente, remover
as suas críticas. Talvez porque o RC4 seja um algoritmo realmente bom e muito simples, ou
talvez pela força do seu autor, o respeitado Ron Rivest, um dos sócios da RSA Security e
professor do MIT.
Padrões de segurança existentes
WEPeesuas
WEP suasvulnerabilidades
vulnerabilidades
IV (initialization vector)
O IV WEP tem o campo com 24 bits na parte vazia da mensagem enviada. Esse campo
de 24 bits, utilizado para iniciar a geração da chave pelo algoritmo RC4 é considerado
pequeno para a criptografia.
A reutilização do mesmo IV produz uma chave idêntica para a proteção dos dados e o
tamanho pequeno, garante que ele repetirá com uma freqüência relativamente alta em
uma rede ocupada.
Mais ainda, o padrão 802.11 não especifica como os IVs são ajustados ou trocados,
então dispositivos wireless de mesma marca podem gerar todos a mesma seqüência do IV
e outros podem ter um IV constante. Como resultado, invasores podem gravar o tráfego
da rede, determinar a chave e usá-la para decodificar os dados.
Padrões de segurança existentes
WEP e suas vulnerabilidades
O Conhecimento Prévio
O fato de um curioso saber que o IV de cada chave possui 24 bits, combinada com a
fraqueza da chave RC4,leva a um ataque que recupera a chave após interceptar e
analisar uma pequena quantidade de pacotes do tráfego.
Padrões de segurança existentes
O que aconteceu depois do WEP?
Wi-Fi Alliance
A Wi-Fi Alliance é uma associação sem fins lucrativos, formada em 1999, para certificar
os produtos baseados no padrão IEEE 802.11 quanto a sua interoperabilidade. Hoje, há
mais de 180 empresas afiliadas, e já certificaram mais de 600 produtos.
A Wi-Fi Alliance, junto com o IEEE, foram os responsáveis pelo desenvolvimento do Wi-Fi
Protected Access (WPA), na tentativa de resolver as vulnerabilidades do WEP e atender o
mercado enquanto o TGi não lança o novo padrão.
WPA
O WPA copia do WEP os dispositivos que trazem um bom desempenho e a baixa
consumo de recursos computacionais, e do IEEE 802.11i, ele copia os mecanismos que
corrigem as falhas de segurança. O WPA foi desenvolvido para se executado nos mesmos
hardwares que rodavam o WEP, desta forma, toda a base de interfaces de rede já
instalada, que permite o upgrade de firmware, será aproveitada.
Padrões de segurança existentes WPA e o 802.1x
WPA usa o 802.1X para resolver os problemas do WEP no que tange à autenticação. O
802.1X foi desenhado para redes cabeadas, mas pode ser aplicado à redes sem fio. O
padrão provê controle de acesso baseado em porta e autenticação mútua entre os
clientes e os pontos de acesso, através de um servidor de autenticação.
O suplicante - Um usuário ou um cliente que quer ser autenticado. Ele pode ser qualquer
dispositivo sem fio.
O servidor de autenticação - Um sistema de autenticação, tipo RADIUS, que faz a
autenticação dos clientes autorizados.
O autenticador - O dispositivo que age como um intermediário na transação, entre o
suplicante e o servidor de autenticação. O ponto de acesso, na maioria dos casos.
WPA e o 802.1x
WPA e o 802.1x
Como a identidade é definida é definido no Extensible Authentication Protocol (EAP).
O EAP é o protocolo que o 802.1X usa para gerenciar a autenticação mútua. O
protocolo provê um framework generalizado para o sistema de redes sem fio escolher um
método específico de autenticação.
O método de autenticação pode ser a senha, certificado PKI ou outro token de
autenticação. Com um EAP padrão, um autenticador não precisa entender em detalhes o
método de autenticação.
O autenticador simplesmente age como um intermediário que recebe e repassa
pacotes EAP ente o suplicante e o servidor de autenticação, que nesse caso fará a
autenticação.
WPA e o 802.1x
WPA e o 802.1x
Há vários tipos de EAP que são usados hoje em dia:
1. EAP-LEAP - Esse padrão foi desenvolvido pela CISCO. EAP-LEAP usa um par login/senha
para transmitir a identidade do suplicante para o servidor RADIUS para autenticação.
2. EAP-TLS - Esse padrão foi descrito na RFC 2716. EAP-TLS usa um certificado X.509 para
autenticar.
3. EAP-TTLS - Esse é um padrão desenvolvido pela Funk Software. EAP-TTLS é uma opção
alternativa ao EAP-TLS. Enquanto o servidor de autenticação identifica a si mesmo ao
cliente com um certificado de servidor, o suplicante usa um par login/senha para se
indentificar.
4. EAP-PEAP (Protect EAP) - Outro padrão desenvolvido para prover autenticação mútua
segura. O padrão foi desenhado para superar algumas vulnerabilidades existentes em
outros métodos EAP.
Temporal Key Intergrity Protocol
(TKIP)
É de responsabilidade do TGi a viabilização do padrão no aspecto de segurança. E muitos
passos importantes vêm sendo dados na direção de se dar credibilidade ao protocolo WEP
e na direção de se criar um outro protocolo mais robusto que substituirá o WEP.
O grupo encontra alguns problemas na hora de dar melhores soluções para o padrão:
Baixo poder computacional dos chips: Os algoritmos devem ser leves o suficiente para que
possam ser executados nos cartões existentes hoje.
Manter compatibilidade: Deve-se manter a compatibilidade com o padrão que a Wi-Fi
Alliance chamou de Wi-Fi.
Temporal Key Intergrity Protocol
(TKIP)
O TKIP faz com que cada estação da mesma rede utilize uma chave diferente para se
comunicar com o ponto de acesso. O problema da colisão de chaves do RC4 é resolvido
com a substituição da TK antes que o IV assuma novamente um valor que já assumiu, ou
seja a cada vez que o IV assuma o seu valor inicial, o TK deve assumir um valor distinto. A
forma como é gerenciada essa troca de TKs não foi padronizada. Cabe ao próprio TGi o
processo de validação dos novos protocolos, o que, acredita-se, não ser o sistema mais
confiável.
Diferentes tipos de criptografia no
wireless
Filtro SSID
Filtro do SSID é um método rudimentar de filtragem, e que somente deverá ser utilizado
como método básico de controle de acesso. O SSID é apenas um termo que caracteriza o
nome da rede. Logo, um dispositivo que deseja se comnicar com uma determinada rede
deverá conhecer o nome da rede para ter acesso.
Porém, com a utilização de um sniffer é muito fácil descobrir o SSID de uma rede, visto
que os APs enviam de tempos em tempos este SSID para que seus clientes possam se
comunicar. Por isso, este método é considerado fraco quando se deseja manter usuários
não-autorizados fora da rede.
Em determinados casos, é possível fazer com que os APs não enviem o SSID, contudo os
clientes deverão ter os SSIDs configurados manualmente.
Wardriving - Introdução
O que é ? É legal ?
Este termo curioso originou-se com o filme Jogos de Guerra, de 1983, no qual um
especialista em computadores discava números de telefones aleatoriamente com a
intenção de invadir outros computadores com seu próprio computador. Hoje, wardriving
significa andar pelas ruas com um computador sem fio ou com outro dispositivo ativado
por rádio e tentar localizar, identificar e invadir redes sem fio.
Antena direcional caseira
Wardriving - continuação
Equipamentos necessários
Como aplicar praticamente uma sanção legal em casos de invasão de redes wireless mediante
wardriving e warchalking?