Você está na página 1de 82

SEGURANÇA EM REDES DE

COMPUTADORES
PROGRAMAÇÃO ORIGINAL
1. Conhecendo a sua rede.
2. Identificação de host.
3. Ferramentas de análise.
4. Monitoramento das atividades do usuário.
5. Utilização de ferramentas de análises.
6. Configurando firewalls.
7. Conceitos SO e firewalls.
8. Problemas comuns.
9. Pontos críticos da rede.
10.Segurança no nível do usuário.
PROGRAMAÇÃO PROPOSTA
1. Nivelamento.
2. Implementar a segurança em dispositivos de rede e outras tecnologias.
3. Utilizar os princípios de segurança na administração de redes.
4. Explicar os elementos e componentes do design de redes.
5. Implementar os serviços e protocolos comuns.
6. Solucionar problemas de segurança relacionados a redes sem fio.
NIVELAMENTO
A segurança da informação é a prática de assegurar que os
recursos que geram, armazenam ou proliferam as informações
sejam protegidos contra:
• Quebra da confidencialidade;
• Comprometimento da integridade;
• Indisponibilidade de acesso a tais recursos.
CONFIDENCIALIDADE
Trata-se da prevenção do vazamento de informação para usuários
ou sistemas que não estão autorizados a ter acesso a tal
informação.
VÍDEO

Julian Assange - Por que o mundo precisa do WikiLeaks TEDGlobal.


https://wikileaks.org/
INTEGRIDADE
Trata-se da preservação/manutenção do dado na sua forma
íntegra, ou seja, sem sofrer modificações através de fontes não
autorizadas.
VÍDEO

Gangue dos Boletos.


DISPONIBILIDADE
Trata-se da manutenção da disponibilidade da informação, ou seja,
a informação precisa estar disponível quando se necessita.
MIRAI ATTACK
• Maior ataque DDoS da história;
• As vítimas foram os servidores do Dyn, uma companhia que
controla uma grande estrutura de serviços DNS;
• Estima-se que o ataque envolveu uma BotNet de 100.000
dispositivos;
• A força do ataque foi de 1200 gigabytes por segundo;
• Foram impactados Twitter, Netflix, Reddit, CNN dentre outros.
Fonte: https://www.theguardian.com/technology/2016/oct/26/ddos-attack-dyn-mirai-botnet
VÍDEO
Mirai attacks explained in 100 seconds.
SEGURANÇA FÍSICA
A segurança da informação vai além da tecnologia. Nada é seguro
se você tiver acesso físico ao componente que está tentando manter
seguro.
O CASO ENEM 2009
1. Prova foi furtada e exame teve de ser remarcado.
2. Erro de impressão na folha de respostas.
3. Vazamento de dados pessoais de inscritos em 2007, 2008 e 2009 no site.
4. Divulgação de gabarito errado.

Fonte: http://g1.globo.com/educacao/noticia/2010/11/historico-de-problemas-do-enem-inclui-vazamento-da-prova-em-2009.html
REPERCUSSÃO SOCIAL
FALHA DA SEGURANÇA
• O Inep havia contratado um consórcio chamado Conasel, formado pelas empresas Funrio,
Cetro e Consultec. O furto das provas ocorreu nas dependências da gráfica contratada, a
Plural;
• Segundo apurou a investigação da Polícia Federal a segurança na gráfica era "coisa de
amador" e até para funcionários do Ministério foi algo "mambembe". Diante disto o governo
procurou reforçar a segurança, na aplicação das novas provas nos dias 4 e 5 de dezembro;
• A investigação mostrou que o furto ocorrera na área reservada da gráfica, onde uma das
empresas do consórcio, a Cetro, havia pedido de última hora para ali organizar as caixas
contendo as provas, cuja distribuição estava atrasada. Ali os funcionários Felipe Pradella,
Felipe Ribeiro e Marcelo Sena furtaram, em dois dias, as duas provas do exame, sem que
ninguém percebesse; Pradella declarou em seu depoimento que a segurança do Enem era
"uma festa".
2011: FURTO DE QUESTÕES DO PRÉ-TESTE
2012: ELIMINAÇÃO POR CAUSA DO INSTAGRAM
2014: VAZAMENTO DA PROVA DE REDAÇÃO
2015: BOATOS MOBILIZAM POLÍCIA FEDERAL
2016: VAZAMENTO DA PROVA DE REDAÇÃO

Segundo a delegada Fernanda Coutinho, o candidato preso em


Fortaleza na operação Embuste já tinha acesso ao gabarito e ao
tema da redação.

Fonte: https://g1.globo.com/educacao/enem/2016/noticia/veja-10-polemicas-envolvendo-o-enem.ghtml
2017: O CADERNO DE PROVAS ANTES DO
HORÁRIO PERMITIDO
ENEM ONLINE É UMA SOLUÇÃO VIÁVEL?
• Reformatar o exame do MEC para que a prova não seja mais realizada em
um único fim de semana por ano, mas "toda hora, todo dia”;
• “Imagina se o Ministério da Educação tiver, e isso sem nenhum cuidado com
sigilo, oito mil quesitos de cada um dos temas, listados, colocados a
julgamento público para que todos possam contestar. Se eu tiver esse banco
de dados, ele pode ficar aberto ao público. Isso é fonte de estudo”;
• “Se a pessoa for capaz de decorar sem aprender oito mil questões de cada
área, 32 mil quesitos no total, a pessoa é um gênio”;
ENEM ONLINE É UMA SOLUÇÃO VIÁVEL?
• "O terminal do computador vai recolher uma pergunta do banco de dados
de cada um dos temas, mas sempre uma pergunta diferente. Um estudante
está aqui fazendo uma prova e o que está do lado estará fazendo uma
prova totalmente diferente. Claro que a gente tem que ter estruturas seguras,
pois a pessoa pode levar um outro”;
• O modelo de aplicação das provas objetivas sugerido pelo ministro se
assemelha ao SAT, o exame de admissão para as universidades dos Estados
Unidos;
O QUE É SEGURANÇA DE REDE?

A segurança da rede é uma estratégia da organização


para garantir a segurança de seus ativos e todo o tráfego
da rede.
A segurança da rede se manifesta em implementações de
hardware e software de segurança.
POLÍTICA
A Política de Segurança de TIC é o principal documento
para segurança de rede. Seu objetivo é descrever as
regras para garantir a segurança dos ativos
organizacionais.
EXECUÇÃO (ENFORCEMENT)
A maioria das definições de segurança de rede se resume
ao mecanismo de execução. A aplicação da política diz
respeito à análise do tráfego da rede e deve visar
preservar a confidencialidade, integridade e
disponibilidade de todos os sistemas e informações.
EXECUÇÃO (ENFORCEMENT)
Tudo começa com a classificação dos fluxos de tráfego de rede por
aplicação, usuário e conteúdo. Como um veículo para o conteúdo,
todas as aplicações precisam ser identificadas pelo firewall (portas,
protocolos e etc...).
A gestão da política é facilitada quando se identifica as aplicações
e se mapeia o seu comportamento.
EXECUÇÃO (ENFORCEMENT)
A defesa em profundidade é a melhor prática da segurança de
redes. Presume-se que a rede deve ser protegida em camadas.
Estas camadas implementam mecanismos de segurança para quem
tenta ingressar na rede protegida.
- Controles de acesso; - Identificação;
- Autenticação; - Detecção de malware;
- Criptografia; - Filtros por tipo de arquivo;
- Filtros por url; - Filtros de conteúdo;
AUDITORIA
O processo de auditoria verifica a execução para determinar o
quão bem elas se alinharam com a política de segurança.
A auditoria incentiva a melhoria contínua, exigindo que as
organizações reflitam sobre a implementação de sua política de
forma consistente.
Isso dá às organizações a oportunidade de ajustar sua política e
estratégia de execução em áreas de necessidade crescente.
COMPONENTES DE REDE
SEGMENTAÇÃO DE REDES
Existem vários motivos para que a rede seja segmentada, os mais
comuns são: desempenho, gerenciamento e segurança.
Redes locais virtuais, zona desmilitarizada, subnetting e NAT são
técnicas de segmentação de rede frequentemente utilizadas.
VLAN
Segmentação por redes locais virtuais (VLAN) é o modo mais
simples de realizar segmentação.
Rotas em uma topologia VLAN fornecem filtro broadcast,
segurança, endereçamento e gerenciamento de fluxo de rede.
Por definição Switches não podem passar tráfego entre duas
VLANs.
VLANs no modelo OSI operam na camada de enlace e
endereçamentos IP operam na camada de rede.
VLAN
Switch com duas VLANs configuradas.
VLANS ESTÁTICAS
Também são conhecidas como VLANs baseadas em portas, ou seja,
são criadas pela associação de portas físicas do Switch para uma
VLAN.
Não há associação automática, o administrador faz o controle
manual das portas pertencentes a uma VLAN.
VLANS DINÂMICAS
Os componentes da rede são dinamicamente assinalados baseados
em alguns critérios como:
• Saúde do componente de rede;
• Autenticação no domínio;
• Instalação de mecanismos de proteção (antivírus);
NAC (NETWORK ACCESS CONTROL)
Além de autenticar os componentes de rede, podem verificar
através de um conjunto de políticas predefinidas se componentes de
rede:
• Possuem as últimas atualizações de segurança;
• Antivírus está instalado e atualizado;
Caso não estejam de acordo com a política, a máquina pode ser
dinamicamente assinalada como membro de uma VLAN restrita.
https://packetfence.org/
DMZ
A zona desmilitarizada (DMZ) é a forma mais clássica de
segmentação com o objetivo de segurança.
Adiciona uma camada extra de segurança para as redes
corporativas, um atacante externo somente terá acesso aos recursos
publicados, segmentados da rede local.
Servidores que fornecem serviços a Internet, em tese, estão mais
vulneráveis. Para reduzir os impactos de um eventual ataque são
colocados em uma rede separada, onde o acesso aos recursos é
controlado.
DMZ
DMZ formada a partir de um firewall com três interfaces de rede.
SUBNETTING
É uma técnica muito comum para quem utiliza o protocolo TCP/IP.
Redes privadas selecionam um intervalo de endereçamento de rede
IP privado(10.0.0.0/24, 172.16.0.0/20, 192.168.0.0/16 – RFC
1918).
NAT
Tradução de endereços de rede ou NAT é o processo de
modificação da informação de endereço de rede do cabeçalho IP
enquanto está sendo trafegado através de um dispositivo de
roteamento com o objetivo de manter um mapeamento entre o
endereço anterior e o posterior após a tradução.
As empresas utilizam redes IP privadas (RFC 1918) e estas não são
roteáveis via internet. É então necessária a tradução para
endereços conhecidos como públicos.
NAT
Acesso Web através de Proxy com NAT.
SEGURANÇA DE REDE
FIREWALL

Na defesa em profundidade é o primeiro componente a fazer face


com a rede externa e com isso merece um cuidado extra na hora do
planejamento de implementação.
FIREWALL: VAMOS RELEMBRAR?

Primeira Geração:
• Firewall baseado em filtro de pacote.
• Basicamente capaz de analisar protocolo e porta, sem fazer
distinção de sessões existentes ou outras informações no nível de
aplicação.
FIREWALL: VAMOS RELEMBRAR?

Segunda Geração:
• Caracterizada por inspecionar até o nível de aplicação.
• Aplicações como FTP, DNS e HTTP foram as primeiras utilizadas.
• Os protocolos do nível de aplicação definidos em RFC conversam
entre si usando um conjunto de comandos conhecidos entre eles.
• Inspeciona se tais comandos são de fato parte da RFC que define
o protocolo ou se são tentativas maliciosas de explorar o
protocolo.
FIREWALL: VAMOS RELEMBRAR?

Terceira Geração:
• Caracterizado por realizar a Inspeção de Estado (Statefull
Inspection Firewall).
• As gerações são acumulativas, todas as implementações
realizadas nas gerações anteriores são herdadas pela geração
posterior.
ONDE POSICIONAR O FIREWALL?

Cenário típico de uso do firewall.


ONDE POSICIONAR O FIREWALL?

Cenário com dois firewalls criando uma zona de perímetro ou DMZ.


ONDE POSICIONAR O FIREWALL?

Cenário com firewall entre as redes.


FIREWALL: O QUE NÃO ESPERAR?

• Implementar um firewall não acaba com todos os problemas de


segurança.
• O firewall é apenas mais um dispositivo para fins de proteger a
rede.
•O firewall, com raras exceções, não protege aplicações contra
falha de desenvolvimento. Se está fazendo isso, é apenas um
remendo, não resolve a causa raiz.
PROXY

•É um sistema intermediário entre a Internet e a rede interna, recebe


requisições de clientes internos e faz o encaminhamento para a Internet.
• Pode realizar cache das páginas web em disco local.
• Salva largura de banda de Internet e agiliza a experiência do usuário final.
• Mascara os endereços locais de uma rede.
• A sua implementação mais comum é o Squid.
http://www.squid-cache.org/
PROXY

Servidor Proxy agilizando o acesso a páginas web.


IDS (INTRUSION DETECTION SYSTEM)

• Sistemaresponsável por detectar a tentativa de exploração de


vulnerabilidades e logar tal tentativa em um sistema de alerta.
•É um sistema de monitoramento, apenas detecta e alerta uma
tentativa de intrusão.
• Uma tentativa de intrusão pode ser considerada qualquer
atividade que comprometa o sistema nos quesitos de
confiabilidade, integridade e disponibilidade dos recursos.
IDS: CONCEITOS

• Alerta:Sinal disparado quando o sistema detecta que houve uma tentativa


de intrusão.
• Evento: Atividade que o IDS interpreta como suspeita, gera um alerta.
• Notificação: O envio de um alerta.
• Falso Positivo: Alarme falso.
• Falso Negativo: Falha na detecção de um ataque legítimo.
• Políticas: Diretrizes usadas pelo sistema de intrusão para controle de regras e
configuração.
IDS BASEADO EM REDE

• É chamado NIDS (Network Intrusion Detection System).


• Dedicado a monitorar as atividades suspeitas que ocorrem na rede de uma
forma geral.
• Capaz de identificar que houve uma tentativa de exploração de uma
vulnerabilidade de rede quando um dispositivo se comunica com outro da
rede.
• A sua implementação mais comum é o Snort.
https://www.snort.org/
IDS BASEADO EM REDE

Exemplo de um NIDS.
IDS BASEADO EM HOST

• É chamado HIDS (Host-Based Intrusion Detection System).


• Protege o host local. Alerta quando acontece uma tentativa de intrusão no
sistema local onde o software está instalado.
• Capaz de identificar que houve uma tentativa de exploração de uma
vulnerabilidade de rede quando um dispositivo se comunica com outro da
rede.
• Um eficiente HIDS é o OSSEC.
https://ossec.github.io/
IDS: FUNCIONAMENTO BASEADO EM COMPORTAMENTO

• Um IDS pode identificar que um tráfego é suspeito baseado em um


determinado padrão de comportamento.
• Exemplo:Se houver uma tentativa sucessiva de envios de SYN em portas
alternadas isso pode ser considerado um ataque do tipo scan de portas.
SYN FLOOD
IDS: FUNCIONAMENTO BASEADO EM ASSINATURA

• O IDS tem uma base de dados local que é usada para analisar o tráfego e
verificar se os padrões de acesso, protocolos, portas e outras informações
pertinentes a camada de aplicação batem com os dados residentes no banco
de dados de assinatura.
• https://www.snort.org/
IPS (INTRUSION PREVENTION SYSTEM)

• O IDS é basicamente um sistema de monitoramento passivo.


• O IDS apenas identifica, alerta e loga informações do ataque.
• Não há uma ação proativa para bloquear a tentativa de ataque.
• Devido a essa necessidade é que surgiu um sistema reativo (IPS)
onde, ao
detectar uma tentativa de ataque, será disparda uma ação com o intuito de
bloquear tal ataque.
• O IPS age automaticamente quando uma tentativa de intrusão é detectada.
• Assim como o IDS, o IPS também pode ser baseado tanto em host (HIPS)
quanto em rede (NIPS).
HONEYPOT
HONEYPOT

• É uma armadilha para hackers que tentam explorar vulnerabilidades de uma


rede.
• É considerado um dispositivo de vigilância de rede servindo de alerta.
• Obtém informações sobre como o ataque está sendo realizado e quais os
métodos utilizados para explorar as vulnerabilidades.
• http://www.honeynet.org/about
HONEYPOT ENTICEMENT

• Método de sedução de uso.


• Neste método você atrai o atacante para explorar possíveis
vulnerabilidades da sua rede através de um método legal.
HONEYPOT ENTRAPMENT

• Método de armadilha.
• Este método é utilizado por agentes governamentais para induzir
um atacante a cometer um crime virtual.
INSPEÇÃO DE CONTEÚDO

• Uma grande parte dos firewalls de mercado vem com a


capacidade de fazer filtragem de conteúdo.
• Os filtros podem ocorrer em diferentes camadas.
• Inspeções mais profundas acontecem na camada de aplicação.
• Um marco foi a inclusão da inspeção do protocolo HTTPS (HTTP +
SSL/TLS).
INSPEÇÃO DE CONTEÚDO
INSPEÇÃO DE CONTEÚDO
ANÁLISE DE PROTOCOLO

• São softwares que permitem a captura de dados na rede e


através de um processo de interpretação destes dados em um
formato legível eles podem permitir com que o administrador
verifique se há alguma anomalia.
• https://www.wireshark.org/
SEGURANÇA DE REDES SEM FIO

• Componentes que formam uma rede sem fio.


• Tipos de ataques mais comuns em rede wireless.
• Como verificar se sua rede está realmente protegida.
SEGURANÇA DE REDES SEM FIO

• Componentes que formam uma rede sem fio.


• Tipos de ataques mais comuns em rede wireless.
• Como verificar se sua rede está realmente protegida.
COMPONENTES DA REDE SEM FIO
SSID

• O comportamento de um sinal de uma rede sem fio pode ser


captado por qualquer computador que esteja dentro do perímetro
de cobertura do sinal e possua captadores de rede sem fio.
• AP (Access Point) são dispositivos provedores do sinal da rede
wireless.
• Equivalentes a hubs e switches na rede cabeada.
COMPONENTES DA REDE SEM FIO
PROTOCOLOS

• As redes sem fio oferecem diferentes protocolos, diferentes


velocidades de tráfego e podem funcionar em diferentes
frequências, que pode ser 2.4 GHz ou 5GHz.
• O padrão IEEE 802.11x disponibiliza os seguintes protocolos:
COMPONENTES DA REDE SEM FIO
PROTOCOLOS
• 802.11: Este padrão define transmissões de 1 Mbps a 2 Mbps que
operam na frequência 2.4 GHz.
• 802.11a: Este padrão define transmissões de até 54 Mbps e opera na
frequência 5 GHz.
• 802.11b: Este padrão permite banda de até 11 Mbps e opera na
frequência de 2.4 GHz.
• 802.11g: Também conhecido como padrão G e permite velocidade de
até 54 Mbps e opera na frequência de 2.4 GHz.
• 802.11n: É um padrão bem recente e que permite bandas de até
300Mbps e opera com frequência de 5GHz.
CONFIGURAÇÃO PADRÃO

• Google Hacking Database (GHDB)

• https://www.exploit-db.com/google-hacking-database/
COMPONENTES DA REDE SEM FIO
MECANISMOS DE SEGURANÇA
• WEP (Wired Equivalent Privacy): primeiro mecanismo de segurança
a ser lançado. É considerado frágil e, por isto, o uso deve ser
evitado.
• WPA (Wi-Fi Protected Access): mecanismo desenvolvido para
resolver algumas das fragilidades do WEP. É o nível mínimo de
segurança que é recomendado.
• WPA-2: similar ao WPA, mas com criptografia considerada mais
forte. É o mecanismo mais recomendado.
COMPONENTES DA REDE SEM FIO
RECOMENDAÇÕES
• Reduzir a propagação do sinal e controlar a abrangência;
• altere as configurações padrão que acompanham o seu AP. Alguns exemplos são:
• altere as senhas originais, tanto de administração do AP como de autenticação de usuários;
• assegure-se de utilizar senhas bem elaboradas e difíceis de serem descobertas (mais detalhes no
Capítulo Contas e senhas);
• altere o SSID (Server Set IDentifier);
• desabilite a difusão (broadcast) do SSID, evitando que o nome da rede seja anunciado para outros
dispositivos;
• desabilite o gerenciamento do AP via rede sem fio;
• não ative WEP, pois ele apresenta vulnerabilidades que, quando exploradas, permitem que o
mecanismo seja facilmente quebrado;
• utilize WPA2 ou, no mínimo, WPA;
• caso seu AP disponibilize WPS (Wi-Fi Protected Setup), desabilite-o a fim de evitar acessos
indevidos;
WARDRIVING

• http://www.netstumbler.com/
REFERÊNCIAS
• Certificação Security+ Da Prática Para o Exame SYO-301 – Yuri Diógenes,
Daniel Mauser, 2011