Escolar Documentos
Profissional Documentos
Cultura Documentos
SEGURANÇA DE REDE
IMPLEMENTANDO TÉCNICAS DE SEGURANÇA
Júlio Resende
Renato Barbosa
JUIZ DE FORA
SETEMBRO 2013
SEGURANÇA DE REDE
IMPLEMENTANDO TÉCNICAS DE SEGURANÇA
JÚLIO RESENDE
RENATO BARBOSA
JUIZ DE FORA
SETEMBRO 2013
SEGURANÇA DE REDE
IMPLEMENTANDO TÉCNICAS DE SEGURANÇA
Júlio Resende
Renato Barbosa
Aprovada por:
_______________________________________________
Nome, título
(Presidente)
______________________________________________
Nome, título
___________________________________
Nome, título
2 INTRODUÇÃO
Nos últimos anos foram feitas várias melhorias nos meios de transmissão de
dados, em equipamentos e programas que compõem a internet, o que produziu a
necessidade dos usuários que utilizam esses recursos computacionais de se especializarem.
Para que os mesmos obtenham um nível de conhecimento adequado para prestarem suas
atividades, sem produzirem riscos a segurança dos sistemas que utilizam.
Diariamente novos riscos são gerados na internet, tais como: métodos de ataques,
vírus, ferramentas de invasão, entre outros. Paralelamente, os acessos a esses métodos que
comprometem a segurança podem ser feitos facilmente na internet. Os arquivos mais
comuns disponíveis são: ferramentas de ataques e seus respectivos tutoriais, demonstrações
de rastreamentos de redes e os métodos de invasão.
Em virtude dessa constante evolução tecnológica dos meios que compõem a
comunicação global, e do fácil acesso as informações que proporcionam riscos a segurança
dos sistemas computacionais, se faz presente a constante necessidade do profissional de TI
(Tecnologia da Informação) estar familiarizado e atualizado com as eventuais ameaças.
As gerências de redes devem estar um passo a frente contra qualquer tipo de
tentativa de invasão ou outros riscos, seja no acesso indevido, na confiabilidade, nas
transmissões dos pacotes, acesso físico as suas instalações, bem como procedimentos para
melhor antever qualquer problema, protegendo ao máximo os recursos de informações
disponibilizados aos usuários autorizados. Também é necessário estabelecer regras e
planos de contingências em casos de risco.
Este trabalho tem como objetivo, descrever sobre algumas ferramentas de
segurança e métodos de invasão. Além disso, será utilizado um modelo prático, que tem
como função criar serviços falsos em uma rede para confundir eventuais ladrões de
informações, ao passo que todas as ações desse indivíduo serão monitoradas. O mecanismo
utilizado para gerar os serviços falsos e monitorar as ações, será o Valhala Honeypot,
entretanto, para exibir as vulnerabilidades geradas na rede, faremos uso do programa GFI
Languard. E por fim, para demonstrar esses serviços ativos, seus processos, portas e
protocolos, utilizaremos o TCPView.
É importante frisar que esta é uma área de grande abrangência, deste modo, este
trabalho irá focar de maneira básica os tópicos sobre gerência de segurança e ferramentas
utilizadas nas invasões.
8
Com isso, os requisitos físicos adequados para instalação do Data Center passam a
serem vistos apenas como um detalhe estético, ignorando requisitos mínimos como: pisos
elevados, assoalhos destacáveis entre outros. A não utilização dessas normas de elaboração
do ambiente de Tecnologia da Informação culmina com a falta de recursos para as
eventuais expansões da empresa.
A ISO/IEC 17799:2005 estabelece regras para a criação de ambientes de Data
Centers, como: passagem de cabos de rede, fiação elétrica, aterramento, documentação,
mapeamento de portas utilizadas no Rack, iluminação adequada, placas de sinalização de
tensão das tomadas elétricas e de saída do local.
Os materiais usados na implantação de um Data Center devem ser anti-chamas
para evitar a propagação de incêndios. Também se faz necessário o uso de detectores de
incêndio, extintores na quantidade adequada e bem posicionados dentro do recinto,
devendo-se não utilizar os de água e pó químico.
O ambiente deve oferecer meios para limpeza e organização, cortinas e carpete
devem ser evitados, afim de não se ter o acúmulo de poeira. O edifício ou sala não devem
ser identificados, com intuito de dificultar a sua localização por curiosos. Somente aqueles
que precisarem acessá-lo devem saber a sua localização.
Fonte: Acecoti *
O fornecimento de energia elétrica para um Data Center deve ser limpa (sem
flutuações), evitando interrupções, recomenda-se que toda alimentação de eletricidade seja
oferecida por sistemas de nobreak (redes elétricas estabilizadas), e dependendo do tipo de
*
Disponível em: www.acecoti.com.br Acesso: Set 2013
11
Fonte: Acecoti†
†
Disponível em: www.acecoti.com.br Acesso: Set 2013
12
Fonte: Acecoti‡
Pontos importantes:
‡
Disponível em: www.acecoti.com.br Acesso: Set 2013
13
Figura 4 – Insuflamentos de ar
§
Fonte: Exaustfarma
§
Disponível em: www.exaustfarma.com.br/aplicacoes/insuflamento-de-ar Acesso: Set 2013
14
acesso de pessoas indevidas, ou até mesmo acesso de colaboradores em setores fora do seu
escopo.
O Acesso de pessoal não autorizado é a principal fonte de problemas para os
profissionais de TI. O objetivo do controle de acesso é gerenciar o acesso à informação.
O controle de acesso, basicamente dispõe das seguintes prerrogativas para que o
usuário consiga fazer seu login: quem ira fazer o acesso e quais recursos e arquivos esse
usuário poderá ter acesso.
Com base nessas duas questões, pode ser gerado o inventário e definido os
ambientes em que os funcionários terão disponíveis, dentro dos seus respectivos campos de
trabalho.
É importante um documento formal que tenha a função de outorgar ou revogar os
acessos dos usuários em todos os sistemas de informação.
Antes da contratação;
Durante a execução das funções;
Mudança de função;
Encerramento das atividades profissionais.
Elaborar relação com nomes e contato de todo pessoal que é essencial à execução
do plano de contingência.
Manter acessível toda a documentação e softwares necessários para restauração do
sistema caso necessários;
Redundâncias ou outras saídas para emissão de relatórios;
Backups alternativos;
Manuais e processos de auditoria para controle e cuidados na atualização;
Testes de contingência periódicos;
21
4 ESTRATÉGIAS DE SEGURANÇA
5 ESTRATÉGIAS DE INVASÃO
**
Fonte Figuras 6 e 7: tecmundo.com
Próximo ao dia 15 de novembro de 2007 foi descoberto o vírus Stuxnet que sob o
nome RootkitTmhider foi criado especificamente para acessar o sistema de gestão de
processos de controle e aquisições de dados Simatic S7 fabricado pela Siemens, usado por
**
Disponível em: www.tecmundo.com.br/virus/38564-virus-e-capaz-de-alterar-boletos-gerados-na-web-e-
desviar-os-pagamentos.htm Acesso: Agosto 2013
24
Figura 8: Simatic S7
††
Fonte: wikimedia.org
5.3 INVASÔES
††
Disponível em: http://commons.wikimedia.org/wiki/File:S7300.JPG Acesso: Agosto 2013
25
enfrentados pelos seres humanos. Porém, como toda criação, esses sistemas também
possuem os seus pontos negativos e um dos principais problemas é o fato de não serem
imunes às ações dos hackers, com isso o que foi desenvolvido para produzir um bem
poderia se tornar uma catástrofe se um hacker invadisse tais sistemas.
Já em abril deste ano o analista e consultor de segurança Huso Teso demonstrou
na conferência de segurança em Amsterdã, como atacar e assumir o controle total de um
avião, sem acessar fisicamente o mesmo, apenas utilizando um sistema operacional
Android
Em outra situação, um estudo financiado pelo centro de pesquisa do
Departamento de Defesa dos Estados unidos conectou um laptop a uma unidade de
controle eletrônico, através do sistema de autodiagnostico de dois veículos e conseguiu
alterar os comandos do motorista para uma manete de videogame.
‡‡
Fonte: defesanet.com
‡‡
Disponível em: www.defesanet.com.br/cyberwar/noticia/11614/Com-laptop--especialistas-
%E2%80%98hackeiam%E2%80%99-e-assumem-controle-de-carros/ Acesso: Agosto 2013
26
6 HACKERS
§§
Fonte: CERT.br
§§
Disponível em: www.cert.br/stats/incidentes Acesso: Agosto 2013
29
***
Fonte: Activationcodes.blogspot
***
Disponível em: http://activationcodes.blogspot.com.br/2013/04/removal-of-system-care-antivirus-
3732.html Acesso: Agosto 2013
31
do Exercito Brasileiro, com objetivo de retirar os Backdoors que são instalados de fábrica
em roteadores e switches importados. Os Backdoors permitiam a NSA obter acesso à
informações sigilosas.
Keylogger: é um spyware usado para registrar tudo que é digitado pelo usuário,
ele possui como principal finalidade: capturar números de cartões de créditos e senhas.
Eles são instalados sem o conhecimento da vítima e também podem ser usados por
empresas para monitorar os funcionários. Outra forma de utilização é como uma
ferramenta contra riscos, por exemplo: uma pessoa que tem o hábito de digitar textos
grandes, como livros, teses, dissertações e se por a caso houver uma queda de energia
elétrica, este tem como recuperar todo o texto digitado.
Adware: é um programa de propaganda amplamente usado em sites, porém sem a
autorização prévia do usuário, podendo acarretar em lentidão de acessos. Geralmente estes
Adwares assumem o formato de pop-ups.
Hoax: toda disserminação de falsas mensagens recebe o nome de Hoax, como:
mensagens de apelos dramáticos, difamação de pessoas, supostas campanhas sociais,
pedidos de ajuda, avisos falsos de vírus ou mesmo avisos de prémios ganhos.
Phishing: é uma ameaça que tem por função pescar informações e dados
pessoais, através de e-mails ou sites falsos.
Spam: São e-mails indesejados e em sua grande maioria contém propagandas. No
entanto em outras ocorrências essas mensagens podem conter algo mais agressivo como
vírus ou meios de obterem informações pessoais.
32
8 TIPOS DE ATAQUES
Esse capítulo tem por função descrever sobre as técnicas mais utilizadas para a
realização de invasões. Esses métodos de invasão são considerados como práticas
criminosas e punidos severamente. As técnicas são:
às explorem. Existem vários modelos de Scanners, onde cada um deles executam um scan
específico, alguns modelos desses Scanners são: TCP Connect Scan, UDP Scan, TCP Null
Scan, TCP Fin Scan e muitos outros;
Exploiters: é um modelo desenvolvido para atacar um sistema localmente, ou
remotamente. Ele vária quanto à forma e o poder do ataque, e pode ser constituído por
porções de códigos ou uma sequência de comandos. Os Exploiters são preparados para
explorar falhas muito específicas e falhas em aplicativos;
Buffer overflows: esse é o principal método utilizado para explorar software, ele
injeta códigos maliciosos em um buffer, até ultrapassar os limites do buffer e sobrescreve a
memória adjacente. Neste caso podem ser disparados erros de programas, problemas de
acesso à memória e parar totalmente o sistema. Linguagens com capacidade desatualizada
de gerenciamento de memória como a linguagem C e C++ tornam o buffer overflows mais
comuns do que deveriam ser. Devido ao enorme volume de bits que podem ser
referenciados e movidos livremente pelo programador. Diferentes de linguagens como o
Java, e o C# que são na perspectiva de segurança melhores para desenvolvimento;
Buffer underrun: este ocorre quando o buffer é lido ou esvaziado mais rápido do
que é reescrito, isso pode levar a um esvaziamento completo do buffer causando
interrupção do fluxo de dados;
Stack overflow: e a forma mais comum do buffer overflow, conhecida como
overflow de pilha, ocorre quando um programa tenta usar mais espaço do que está
disponível na pilha de camadas. Em geral há vários dados de segurança crítica sobre uma
pilha de execução, o atacante pode substituir este valor com algum endereço de memória
para que ele também tenha permissão de escrita e inserir um código arbitrário sendo
executado com os privilégios do programa vulnerável;
Heap overflow: esse é um tipo de buffer overflow que ocorre na pilha de área de
dados, essa técnica substitui ligações de alocação dinâmica de memória e utiliza a troca de
ponteiros, sobrescrevendo um ponteiro de função do programa;
Exploração de Bugs: este é um tipo de ataque em que o Hacker explora uma
falha ou também conhecida como um Bug, para realizar o ataque por meio desse erro.
Atualmente um dos grandes problemas enfrentados é a exploração de falhas pelos Hackers.
Devido a isso, muitos programas são atualizados todas as vezes que uma nova falha é
descoberta. Porém, nem sempre as falhas são descobertas, o que ocasiona novas
vulnerabilidades;
34
135. Este tipo de ataque afeta os serviços ISS e DNS, deixando a máquina muito lenta
devido ao alto processamento.
Jolt2: o Jolt2 também é um ataque de Negação de Serviço. Ele faz o envio de um
grande número de pacotes fragmentados a múltiplos sistemas operativos, aumentando o
processamento das máquinas em até 100%, com isso, as máquinas consomem todos os
seus recursos, ocasionando uma negação de serviço.
Microsoft Incomplete TCP/IP packet: este ataque explora uma vulnerabilidade.
Ele envia pacotes malformados à porta 139 da vítima, fazendo com que os serviços e
sistemas dela sejam comprometidos.
HP OpenView Node Manager SNMP: esse ataque é realizado explorando uma
vulnerabilidade de uma ferramenta desenvolvida pela HP. Esta ferramenta tem o seu
funcionamento comprometido devido a um problema que ocorre no buffer, caso um
determinado pedido de GET com tamanho de 136 Bytes for enviado para os serviços web
na porta 80 por meio da interface overview5 CGI. Neste caso o serviço SNMP irá
apresentar erros, permitindo a execução arbitrária de códigos por um invasor;
Hijacking Attacks: o Hijacking Attacks consiste na exploração do mecanismo de
controle de sessão web: o gerenciador de token de sessão. Como a comunicação HTTP usa
muitas conexões TCP, o servidor web precisa de um método para reconhecer as conexões
de cada usuário, um símbolo de sessão ID é usado para esse reconhecimento. O Hijacking
Attacks compromete o Token roubando os dados do identificador de sessão, permitindo o
acesso não autorizado ao servidor web.
SQL Injection: é um tipo de ameaça que aproveita falhas em sistemas que
interagem com bases de dados via SQL. Esta técnica cria ou altera comandos SQL
existentes, para expor dados, sobrescreve-los ou executar comandos.
37
A partir deste capítulo iniciamos a parte prática deste trabalho, que tem por
finalidade criar um ambiente virtual com falsos serviços ativos em uma máquina. Estes
serviços funcionam como atrativos para possíveis invasores, os quais servirão para
confundi-los e monitorá-los.
Para os devidos fins desta proposta se faz necessário o uso de três ferramentas:
Valhala Honeypot, que ira gerar os falsos serviços vulneráveis; O GFI Languard, que fará
um Scan da rede e apresentará as vulnerabilidades de uma determinada máquina; E por fim
o TCPView que servirá para demonstrar os serviços do Honeypot em execução.
38
10 GFI LANGUARD
O GFI Languard Foi desenvolvido no ano 2000 pela companhia GFI Software, a
finalidade dessa ferramenta é proporcionar ao administrador de uma determinada rede a
possibilidade de identificar vulnerabilidades em seu ambiente de dados. Esse software
opera realizando um scan (varredura) na rede, onde deverá ser definida uma faixa de IP
para efetuar a busca na rede. Ele faz a listagem dos serviços, hosts, portas e protocolos
ativos na rede. Através do GFI é possível verificar se há vírus como Trojans ativos na rede.
Assim como todos os softwares, o GFI Languard também está sujeito ao uso
indevido, por indivíduos que pretendem tomar posse de dados restritos de empresas e
companhias, se beneficiando das informações obtidas. Portanto se faz presente a
necessidade de monitorar a rede, para corrigir possíveis meios de invasão. Por intermédio
do programa Valhala Honeypot foram simulados serviços para realizar a amostragem da
funcionalidade da ferramenta GFI Languard.
Conforme abaixo, nesta tela é possível selecionar os serviços que serão procurados
na rede e suas respectivas portas. Esse passo da configuração permite selecionar as portas
de serviços que utilizam o protocolo TCP.
Para o protocolo TCP foram selecionadas apenas as portas mais comuns, como:
FTP, SMTP, HTTP e POP3, pois a seleção de mais portas demandaria mais tempo até que
o Languard realizasse o scan de toda a rede.
Mais abaixo serão demonstrados os testes realizados com o GFI Languard. Agora
iremos abordar outra ferramenta que é fundamental para o correto desenvolvimento deste
trabalho.
43
11 VALHALA HONEYPOT
11.2 CONFIGURAÇÃO
O próximo passo é clicar no botão opções que se encontra logo abaixo dos serviços,
após clicar irá aparecer uma nova caixa como exemplificado na figura abaixo, e o usuário
da ferramenta poderá realizar a configuração que deseja para executar o serviço virtual na
rede.
Para este trabalho foram utilizadas as configurações padrões do programa, como
descritas na Figura 17, referente à configuração do serviço POP3. Para esse experimento
não foi necessário realizar uma configuração que correspondesse totalmente com um
ambiente real. Porém para emprego do Valhala Honeypot em uma situação real é
necessário uma configuração específica, para se garantir a autenticidade dos serviços
gerados pelo programa, pois se não for feito tal configuração um Hacker com maior
experiência perceberá que se trata de um serviço de pote de mel.
Na Figura 18, em cor verde, estão descritos os serviços que serão reproduzidos pelo
Honeypot.
12 TCPVIEW
Essa é a terceira e última ferramenta que será empregada nesse trabalho. Este
software é muito simples de ser utilizado, o mesmo serve para listar os processos, portas e
serviços ativos na máquina. Nesta implementação ele servirá como complemento para
demonstrar os serviços de pote de mel que o Valhala Honeypot reproduz em uma máquina.
Na tela abaixo está uma ilustração do TCPView e o modo como o qual apresenta os
serviços ativos em uma máquina.
13 IMPLEMENTAÇÃO
A figura abaixo exibe o acesso ao serviço FTP do Valhala Honeypot via Prompt de
comando do Windows, e também demonstra o relatório gerado pelo Honeypot referente ao
acesso executado. Esta figura serve para confirmar a execução e demonstrar o acesso ao
falso serviço gerado pelo Honeypot, mas abaixo também esta apresentado o resultado do
monitoramento executado pelo Honeypot. Nesse resultado pode ser percebido que houve a
invasão no serviço FTP, a conexão e desconexão do invasor.
CONCLUSÃO
REFERÊNCIAS BIBLIOGRÁFICAS
10. HOGLUND, Greg; McGRAW Gary. Como Quebrar Códigos (A Arte de Explorar (E
Proteger) Software. São Paulo: Editora Pearson Education do Brasil. 2006
11. MITNICK, Kevin D.; SIMON, William L. A. A arte de Enganar: Ataque de Hackers:
Controlando o Fator Humano na Segurança da Informação. Tradução: Kátia Aparecida
Roque. São Paulo: Pearson Education do Brasil.. 2003.
12. Shipley, Peter. TCP/IP and its Weaknesses and Vulnerabilities. Disponível [Online]
http://www2.dis.org/filez/vun-1s.pdf, 19 Agosto, 2013.
14. Pedro, Augusto. Uma análise introdutória sobre honeypots, não focando em nenhum
software específico. Disponível [Online] https://sites.google.com/site/augustopedro/honeyd
19Agosto, 2013.
54
17. Centro de Ameaças no site da ESET Améria Latina. Tipos de malware. Disponível
[Online] http://www.canalantivirus.com.br/downloads/tipos_de_malware_pt.pdf, 20
Agosto, 2013.
19. Kleinman, Zoe. Com laptop, especialistas ‘hackeiam’ e assumem controle de carros.
Disponível [Online] http://www.defesanet.com.br/cyberwar/noticia/11614/Com-laptop--
especialistas-%E2%80%98hackeiam%E2%80%99-e-assumem-controle-de-carros/, 26
Agosto, 2013.
26. Almeida, Rodrigues, Aléxis de. Como funcionam os Exploits. Disponível [Online]
http://www.invasao.com.br/2008/12/12/como-funcionam-os-exploits/, 02 Setembro, 2013.
28. Almeida, Eduardo.DoS – Denial of Service, entenda como funciona o tipo de ataque
que “derrubou” alguns sites do governo Brasileiro.Disponível [Online]
http://www.web2solutions.com.br/blog/post/54/Seguranca/DoS-%E2%80%93-Denial-of-
Service--entenda-como-funciona-o-tipo-de-ataque-que-
%E2%80%9Cderrubou%E2%80%9D-alguns-sites-do-governo-Brasileiro-, 02 Setembro,
2013.
32. Selvan, Sabari. What is Pharming Attack? - DNS Poisoning. Disponível [Online]
http://www.breakthesecurity.com/2011/08/what-is-pharming-attack-dns-poisoning.html,
02 Setembro, 2013l
39. FERREIRA, Fernando Nicolau Freitas . ARAÚJO, Márcio Tadeu de. “Políticas de
segurança da informação - Guia prático para elaboração e implementação”. Rio de Janeiro:
Ciência Moderna, 2008.
56
GLOSSÁRIO
HELPDESK: Termo da língua inglesa que designa o serviço de apoio a usuários para
suporte e resolução de problemas
DVD: Abreviatura de Digital Versatile Disc, em português, Disco Digital Versátil, Contém
dados no formato digital.
ITIL: IT Infrastructure Lybrary é uma biblioteca composta das melhores práticas para
Gerenciamento de Serviços de TI.