Capítulo 2

•2.1 – Ameaças e Proteções a Redes

Marcelo Santana Jannini - RA: 322102064

•2.2.2 - Sistema de Prevenção de Intrusão

Matheus Teixeira - RA: 922109454

•2.2.1 – Sistema de Detecção de Intrusão

Christian Cuesta Godoy RA:922104619

Ameaças e Proteções a Redes

O componente Proteção contra ameaça à rede verifica no tráfego de entrada atividades típicas de
ataques de rede. Ao detectar uma tentativa de ataque de rede ao computador, o Kaspersky Endpoint
Security bloqueia a atividade de rede do computador em ataque. A sua tela então exibe um aviso que
afirma que um ataque de rede foi tentado, e mostra informações sobre o computador em ataque.

O tráfego de rede do computador de ataque é bloqueado por uma hora. É possível editar as
configurações de bloqueio de um computador em ataque.

As descrições dos tipos de ataques de rede atuais e formas de combatê-los estão disponibilizadas nos
bancos de dados do Kaspersky Endpoint Security. A lista de ataques de rede que o componente
Proteção contra ameaça à rede detecta é atualizada durante atualizações de módulo do aplicativo e do
banco de dados.

As 4 principais ameaças à segurança de rede e os seus impactos no negócio

Malware - Malware é qualquer software intencionalmente feito para causar danos a um computador,
servidor, cliente, ou a uma rede de computadores. Pelo contrário, o software que causa danos não
intencionais devido a alguma deficiência é tipicamente descrito como um erro de software.

Espionagem industrial - Embora na maioria das vezes feita de maneira ilegal, muitas empresas se
utilizam da espionagem industrial para investigar a sua concorrência, com o intuito de descobrir
informações privilegiadas e que tragam alguma vantagem comercial, como os processos de um serviço
ou fórmula de um produto. A ameaça acontece desde pela contratação de funcionários espiões que se
infiltram na empresa até por técnicas de engenharia social, que atraem a atenção dos colaboradores nas
redes e estimulam a divulgação de informações sigilosas. Para se defender, é preciso estabelecer um
código de conduta entre a sua equipe, além restringir o acesso de dados importantes apenas aos
profissionais responsáveis por utilizá-los.

Ransomware - Bastante popular, o ransomware se caracteriza como um subconjunto de malwares que

atuam no bloqueio dos dados que estão armazenados na máquina da vítima, quase sempre a partir da
criptografia. Uma vez que a invasão é bem-sucedida, o invasor solicita um determinado pagamento para
o resgate das informações e para que o acesso seja liberado. Geralmente, a motivação para esta
modalidade de ataque é financeira. Da mesma forma que os malwares, os ransonwares são distribuídos
por e-mails maliciosos e aplicativos infectados. A conscientização da sua equipe, bem como o uso de
antivírus e camadas de segurança é essencial para barrar a ameaça.

Ataques DDoS - Sem dúvidas, o DDoS é um dos ataques digitais mais comuns e perigosos que podem
atingir a sua rede. Também chamado de ataque de negação de serviço distribuído, ele utiliza
computadores infectados dos mais diversos países, tendo como finalidade sobrecarregar a rede da
companhia. Após essa ação, as solicitações lotam a capacidade do sistema, fazendo com que o servidor
não consiga lidar com o alto volume de demandas, fique instável, trave ou caia totalmente. A ameaça é
realizada para pedir resgate financeiro para interromper o DDoS ou para prejudicar a imagem da
empresa. Afinal, quando isso acontece, a companhia sofre prejuízos no relacionamento com o cliente,
que podem levar muito tempo para serem recuperados.

De forma superficial pode-se dizer que a segurança de redes opera por meio de hardware e software
alinhados no gerenciamento ao acesso e no impedimento à instalação de diferentes ameaças na rede.
São diversas camadas de defesa combinadas na borda da rede para permitir acesso somente a usuários
autorizados, e bloquear aqueles que têm potencial para executar ações indevidas.

Para usuários leigos que estejam buscando aprender mais sobre segurança de redes, é importante ter
acesso a situações práticas onde é possível identificar uma invasão ocorrendo para ver como reagem os
componentes da segurança de redes e de que forma isso pode ser evitado ou mitigado.

Vou dar alguns exemplos de como a segurança de redes pode ser colocada em prática para proteger
uma empresa ou organização:

Utilização de senhas seguras e com estratégia, inclusive para a rede wifi;

Realização de backup seguro e periódico;

Investimento em soluções de proteção;

Estabelecimento de uma cultura de segurança na empresa;

Instalação de softwares para bloqueio de conteúdo;

Definição de diferentes níveis de acesso aos diferentes tipos de usuários da rede;

Atualização constante dos sistemas.

A segurança de redes pode ser trabalhada:

A princípio, existem quatro principais camadas em que se deve trabalhar a segurança de redes para
garantir a sua eficácia: rede, endpoint, usuário e serviços.

Rede

A proteção da rede é o primeiro passo a ser feito, pois ela é a responsável pelo gerenciamento da
largura da banda e pelo controle da instalação de aplicativos.

Assim, comece pela configuração dos pontos de acesso à sua rede quando for pensar em segurança.

Endpoint

Também muito importante e que precisa receber atenção, o endpoint é a ponta final onde há contato
do usuário com a rede. Para proteger o endpoint e evitar que os dispositivos conectados pelos usuários
àquela rede causem qualquer dano, é recomendável a criação de políticas de acesso que possuam
diferentes permissões ativas.

Usuário

Elo mais frágil da segurança de redes, o usuário dos sistemas deve ser também um ponto de atenção.
Seja por meio da educação e da apresentação a todos os colaboradores de uma empresa, por exemplo,
das políticas de práticas adotadas pela empresa e que devem ser seguidas por todos, seja pela
implementação de medidas para preservar os dados. Para que a segurança de redes possa ser colocada
em prática o usuário que tem acesso aos dados precisa estar consciente e seguir as boas práticas
recomendadas pelos especialistas.

Serviços

A última das camadas em que a segurança de redes deve ter foco, e que também permeia todas as
demais, é a de serviços. Contar com uma boa política de segurança na camada de serviços permite que a
organização tenha assegurada a eficiência de todas as demais camadas. Na sequência, com todas as
camadas já protegidas e preparadas, tem início a definição de com que tipos de segurança de redes a
sua organização irá trabalhar.

Sistema de Prevenção de Intrusão

Sistema de Prevenção de Intrusão é uma abordagem preventiva da segurança de rede, usada para
identificar ameaças em potencial e responder rapidamente aos ataques. Em tempos de vazamento de
dados, a exemplo de constantes vazamentos via empresas de e-commerce e o impacto ao setor de
varejo, que sofre uma média de 4.000 ameaças à segurança da informação a cada ano.

Detecção de intrusão (IDS) e prevenção de intrusão (IPS)

O IDS e o IPS são projetados para diferentes propósitos, mas suas tecnologias são semelhantes. A
aplicabilidade do IDS se justifica em situações em que é necessário explicar o que aconteceu em um
ataque, enquanto o IPS interrompe os ataques.

A eficiência do Sistema de Prevenção de Intrusão – IPS

Os sistemas de prevenção de intrusão monitoram o tráfego de rede e são capazes de agir

imediatamente em caso de intrusão devido à natureza do ataque e sua velocidade, com base em um
conjunto de regras estabelecidas pelo administrador da rede.

Um uso eficiente de Sistema de Prevenção de Intrusão pode por exemplo, descartar um pacote que ele
considere malicioso e bloquear todo o tráfego desse endereço IP ou porta. O tráfego que é considerado
legítimo ou seguro, será encaminhado ao destinatário sem aparente interrupção ou atraso no serviço.

A maioria das organizações hoje pode se beneficiar de um sistema de prevenção de intrusões porque o
uso de tecnologias dedicadas ao uso de hardware, software e rede faz parte da maioria das
infraestruturas de computação corporativa, independentemente do tipo ou setor.

As tecnologias IPS oferecem vários benefícios para as organizações, vamos verificar três dos benefícios
mais significativos:

Detecta e interrompe ataques que outros controles de segurança não fazem

Suporta a personalização de recursos de detecção para interromper atividades que são de interesse
apenas para uma única organização

Reduz a quantidade de tráfego de rede que atinge outros controles de segurança, o que reduz a carga
de trabalho para esses controles e os protege contra-ataques diretos.
 Sistema de detecção de intrusos

Sistema de detecção de intrusos ou também conhecido como Sistema de detecção de intrusão

( Intrusion detection system – IDS) refere-se aos meios técnicos de descobrir em uma rede

acessos não autorizados que podem indicar a ação de um cracker ou até mesmo de

funcionários mal intencionados.

Com o acentuado crescimento das tecnologias de infraestrutura tanto nos serviços quanto nos

protocolos de rede torna-se cada vez mais difícil a implantação de sistema de detecção de

intrusos. Esse fato está intimamente ligado não somente à velocidade com que as tecnologias

avançam, mas principalmente com a complexidade dos meios que são utilizados para

aumentar a segurança nas transmissões de dados.

Uma solução bastante discutida é a utilização de host-based IDS que analisam o tráfego de

forma individual em uma rede. No host-based o IDS é instalado em um servidor para alertar e

identificar ataques e tentativas de acessos indevidos à própria máquina. Os tipos de IDS variam

no escopo, desde computadores únicos a redes grandes.

• O IDS baseado em rede (NIDS) monitora invasões examinando o tráfego de rede e

monitora vários hosts. O sistema de detecção de intrusão de rede obtém acesso ao

tráfego de rede conectando-se a um hub ou switch configurado para espelhamento de

porta ou um dispositivo TAP de rede. Um exemplo de IDS de rede é o Snort.

• O IDS baseado em protocolo (PIDS) é um sistema (ou agente) que monitora e analisa

protocolos de comunicação com sistemas ou usuários relacionados. Para um servidor

web, esse IDS geralmente monitora os protocolos HTTP e HTTPS. Ao usar HTTPS, o IDS

deve estar localizado em tal interface para que os pacotes HTTPS possam ser
visualizados antes de serem criptografados e enviados para a rede.

• O IDS baseado em protocolo de aplicativo (APIDS) é um sistema (ou agente) que

monitora e analisa dados transmitidos usando protocolos específicos de aplicativo. Por

exemplo, em um servidor web com um banco de dados SQL, o IDS monitorará o

conteúdo dos comandos SQL enviados ao servidor.

• O IDS baseado em host (HIDS) – um sistema (ou agente) localizado em um host que

monitora invasões usando a análise de chamadas do sistema, logs de aplicativos,

modificações de arquivos (executáveis, arquivos de senha, bancos de dados do

sistema), estado do host e outras fontes. . Um exemplo é OSSEC.

• Um IDS híbrido combina duas ou mais abordagens para desenvolver IDS. Os dados dos

agentes nos hosts são combinados com as informações da rede para criar a visão mais

completa da segurança da rede. Um exemplo de um IDS híbrido é o Prelude.