Você está na página 1de 87

| 

   

i  
Informações digitais centralizadas no CPD

i a  
 



estrita a uma sala com pouco acesso

i 2         

Ôerminais Ơburrosơ mantinham a informação íntegra e confidencial

i a
      
Executada somente no mainframe, garantia para todos os ambientes
| 
   

uodelo de sistema nos anos 70 e início dos anos 80


| 
   

i  
Informações digitais centralizadas no CPD e distribuídas em servidores remotos

i a      

estrita a algumas salas em poucos ambientes

i 2         

Computadores pessoais podiam modificar parte da informação

i a
      
Executada no mainframe e nas redes dos servidores
| 
   

uodelo de sistema nos anos 80 e início dos anos 90


| 
   

i  
Informações digitais totalmente distribuídas

i a      


ecessidade de toda a empresa e todos os ambientes

i 2         

Difícil controle, acesso e modificações possíveis em várias plataformas

i a
      

ecessidade de criação de política para toda a empresa
| 
   
uodelo atual


  
    
u  





 
 
     
  
| 
   

è  
i ede de computadores pública e compartilhada
i Baseada em recursos de navegação
i Uso de ÔCP/IP
i Desempenho não confiável
i
ão adequada para Business-to-business, em
primeiro momento
| 
   

è  
i ede de computadores privada
i estrição de acesso
i Uso de Virtual Private Networks, em alguns casos
i Suporte a todos os aplicativos e soluções já utilizadas
na Internet
i Uso de ÔCP/IP (+ comum)
i Desempenho gerenciado
| 
   

è    
i Por quê?
Ú Facilidade de implementação
Ú Simples utilização
Ú apidez no acesso
Ú Aumento no espírito de colaboração entre usuários
Ú edução dos custos operacionais nos processos
| 
   

è    
i Por quê?
Ú Utilização de padrões abertos
Ú Flexível e escalonável
Ú Portabilidade entre plataformas
Ú ápida inserção e atualização de dados
Ú Utilização de tecnologia já implementada
Ú Fácil padronização
| 
   

è | 
i Comunidades de interesse (múltiplas 2    )
i Arquitetura especializada
i Uso de ÔCP/IP (+ comum)
i Uso de Virtual Private Networks, na maioria dos
casos
i Expansão de aplicações web-based
| 
   

è |   
2    



  
 

   


   2 

—    —  


  
 
  —    
      ^
—    å ^     
2  

    
| 
   

è |   
i Desafios
Ú Interconexão segura das 2   
Ú Pefil comum de acesso
Ú Disponibilidade de horário e local
Ú Administração e gerenciamento de usuários
Ú Ambiente ÔCP/IP
Ú Perfil das aplicações
Ú Escalabilidade
Ú Segurança
| 
   

è    
i ede de pacotes
Ú X25, Frame elay
Ú ede de agências bancárias
Ú Home Banking
Ú Futuro: ua
i Home Banking
i Internet Banking
i Interligação de mainframes
Ú S
A
Ú terminais, emuladores
J


è J




   
 


     

Ë      

i Classificar a informação
i Utilizar criptografia
J


è 2 


!" #


   

      !   

    " !  

i Controlar o acesso à informação


J


è #

"





     


 

i Utilizar equipamentos de redundância


i uanter backup
J


è 2  "



   !$   %  

i Utilizar assinatura digital


i Utilizar mecanismos de biometria
Ë  & 

!  " 
 è 2   
 
      
   


i Ëuem?
i O que?
 
   

 
i Aonde?
i Ëuando?

   
i Como?
i Porque?

 

i Ëuanto?
Ë  & 

è a
  
Acesso Discado

Notebooks

Internet
Aplicações

Extranet
ƒ  
aervidores
Console de
Rede Pública
aegurança
e Privada

CPD

Rede / Intranet

Instalações
Ë  & 

è 2    


Ë  & 

è 2     


i Algo que você sabe:
Ú Senha
Ú PI

i Algo que você tem:


Ú Token
Ú Smart card

i Algo que você é:


Ú Finger print
Ú Voz, íris
Ë  & 

è 2     


i Senhas
Ú fáceis de usar
Ú fáceis de lembrar
Ú poucos requisitos para operação

Ú fácil dedução
Ú fácil interceptação
Ú sobrecarga do help-desk
Ë  & 

è 2  & '" 


i Informações de domínio (   ")
i Serviços válidos
Ú Ping, traceroute
Ú Consulta telnet a outras portas
i Serviços públicos
Ú Fóruns (Usenet, Deja
ews, etc)
Ú Listas de discussão
Ú Listas telefônicas
Ú Páginas pessoais de funcionário
i Voice mail
Ë  & 

è |    

è     

è 2  " 

è #     & 

è | ( 
i Ausência de treinamento
i Desgaste
Ë  & 

è )



è *    





è a"  



   
i Falhas clássicas (ÔCP/IP, Unix,
Ô)
Ú
egação de serviço edirecionamento de rotas
Ú Spoofing Varredura de portas
Ú Sequestro de sessões
i Falhas novas (bugs)
i Serviços desnecessários
Ë  & 

è +
" "

i ƒrande quantidade de mensagens para um
determinado usuário

è *  a 
i Envio de mensagens em progressão geométrica

è au ,-u

i Alvo de divulgação de propagandas e lixos em geral
Ë  & 

è .
 u  / 0  
i Disseminados em attachs
i Auto-replicação

è ˜- +

Ë  & 

è |"    !

è    1     


  &    

è *            

è a     2   


i Usuários de ambos lados deverão assiná-la
i Usuários deverão verificar a assinatura
Ë  & 

è |       (   


       /  

è   a
     

è       

è    ($     (


         
Ë  & 

è 3     


          4
  
i Análise de riscos
i Ôestes de carga
i Ôestes de penetração
i Ôestes de fail-over

è          


$    
Ë  & 

è    !  " 


i Através do firewall Internet
i Atrás do firewall Internet
i Para fornecedores

è *  !  


i Serviços críticos
i Acesso administrativo
i Acesso remoto de usuários
Ë  & 

è        


i Uso do sistema
i Conscientização de segurança

è         


      
i Capacitação técnica
i Conscientização de segurança

è Ô           


  1    "- 
Ë  & 

è   !  


i Ôráfego Falhas
i Desempenho

è            


    
  
      % &

'   (


$      
%  ) *% / $  . 

 +   
,- . 
%   *%
   
ß 5   #
— 
ß 2  
ß Ô*a2a
ß        2 
ß  5 
ß 2  
ß * 
ß a  
ß Ë 
ß Ô     
ß 6 7
ß 2#
ß .a
ß a2
ß  
ß Ô   
ß 5  
˜
 7

è *      


è a

     
è 0    
è *


i Filtro de pacotes sem análise de contexto
i Application Gateways
i Filtro de pacotes com análise de contexto
˜
 

è ˜   

 

i
AÔ (
etwork Address Ô )
i VP
(V  P  e
ew k)
i Bceme de c g
i A  
i Aecçã
Ú  
Ú eg  
Ú ce fcçã g
i Aáe e ceú 
˜
 
Internet

Rede Filial

aervidor E-mail/DNa
200.200.1.1
Firewall
200.200.1.10 200.200.50.50

aervidor Web/FTP
200.200.1.2

aervidor BD Administrador
10.10.0.1 10.10.0.2
 
8 
 9

è * 

 

i Controle de tráfego até nível de aplicação
i Base de assinaturas
i Sniffing + análise
i Hardware ou software
i Classificação
Ú Network-based
Ú Host-based
i Componentes (segundo CIDF)
Ú E-box D-box
Ú A-box C-box
 
8 
 9

è *

i Detecção antecipada de evidências de potenciais
ameaças
i Visão sobre eventos
Ú observáveis
Ú não observáveis
Ú relevantes
i Observação proativa de eventos relevantes à
segurança
i uaior sensibilidade de eventos em ativos de maior
relevância para o ambiente (maior fator de criticidade)
 
8 
 9

è   

 




 .



   0
 *
 
8 
 9

è *

i Falsos positivos
i Falsos negativos
i uanutenção de baseline
i Fase programada de ajustes aos sensores
i Ajustes devem acompanhar a evolução natural do
ambiente, para a não-ocorrência do deslocamento da
linha de fogo do IPS
 
8 
 9

è 8! $


i Conhecimento sobre o funcionamento do sistema em
condições normais
Ú detecção de comportamento não usual
Ú criação de baseline
Ú resposta a incidentes
Ú contingência / continuidade
i Visibilidade sobre exceções relevantes e não
relevantes ao modelo de segurança do negócio, de
acordo com as definições observadas
A POLÍÔICA
DE SEƒUA
A
 
8 
 9

è 8! $


i Ôratamento de exceções para o estabelecimento do
equilíbrio entre falsos positivos e falsos negativos
i Atualização otimizada de base de assinaturas
i Base de assinaturas selecionáveis
i Alertas
i elatórios
i Coletor = sensor = engine = elemento de captura
bem robusto
i Integração CUIDADOSA com firewall
 
8 
 9

è #  
    
  



è 8
       
(



 !
  

 



è  
      
 
è Ô       
è #
  
è #  : 
i auto-aprendizado
i detecção por anomalia
 
8 
 9

è 0 ;" 
i Identificação de anomalias ou desvios no padrão de
normalidade do sistema para geração de alertas e
respostas
i Near real-time
Ú verificação de logs
Ú verificação de integridade
Ú baselining
i OS Sensors = System agents
 
8 
 9

è 0 ;"   


i uonitoração de diversos elementos críticos, com
menor índice de falsos positivos
i Baixo consumo de processamento
i Exemplos de componentes monitorados pelo agente
Ú Registry
Ú Arquivos executáveis
Ú Espaço em disco
Ú DLLs
Ú Probing em portas não utilizadas no servidor
 
8 
 9

è  -;" 
i H w e e ic o com po e e p ocessmento
comptível com o tmnho  inf  est utu 
i F equentemente limit o pel veloci  e o
b mento e e e ou po spectos e inf 
est utu  e e e
i Ve ificção e oco êncis e:
Ú tques e e e
Ú mu uso ou funcionmento
Ú t áfego suspeito
Ú t áfego customiz o (po o igem, estino)
 
8 
 9

è  -;"   
i New k e  = Ee
i Capu a e aále  apa ee d  áfe
i u açã de eve ae da cheada a de
i Idepedêca da plaaf ma
i echecme de aaque u mal u de ac d
cm cfu açõe p é defda
 
8 
 9

è *
 
i Poder de processamento do elemento de captura
i Configurações otimizadas
i Ôopologia
Ú criptografia
Ú presença de switches
i Velocidade do segmento
Ú até 100uBps
 
8 
 9

è *
  
i Os objetivos do negócio e análise de risco x impacto
definem a linha de atuação da(s) ferramenta(s)
i A combinação de mais de um sensor é
frequentemente parte da solução
i Combinação desejável:
Ú Objetivos do negócio
Ú Política de Segurança
Ú Detecção de intrusos
Ú esposta a incidentes
Ú Plano de continuidade
 
8 
 9

è u 

! 
  —! 

" #$ 


%!  u  
&!   
 
8 
 9

è  
i uelhor posicionamento em função do conhecimento
da topologia
i Fronteira entre os diversos compartimentos de risco
no próprio segmento que abriga elementos críticos da
rede
i Configuração stealth recomendada
Ú interface de captura
Ú interface de gerenciamento
 
8 
 9

è    
i uodelo (rede de gerência independente)

I t r t st lth
i t rf c

t rk i I S s l
t r H

ir ll
i t r

st lth
i t rf c

t rk i
 
8 
 9

è *
i Aplicação e gerenciamento de políticas
i Operações de adaptação (tnning e filtros)
i Definição de prioridades de evento
i Configração de respostas
i Acompanhamento e monitoração
i Visalização o reprodção de sessões de ataqe
i ƒerência de logs
i Emissão de relatórios
 
8 
 9

è *  
i Console de gerenciamento em sistema autônomo
Ú Em condições de produção, console e sensor não
devem coexistir
i Volume de tráfego influencia de forma direta no
poder de processamento necessário para o elemento
de captura
i Hierarquia entre consoles
i Uso de criptografia e autenticação na comunicação
console € sensores, com expiração das chaves
 
8 
 9

è  
 
i uonitoramento ativo
i Ações corretivas de acordo com sistema operacional
i Compatível com a Política de Segurança
i De acordo com as necessidades de monitoração do
ativo
Ú Logon / logoff
Ú Acesso a objetos e arquivos
Ú Uso de direitos
Ú uanipulação do sistema
Ú Acesso a Registry (plataforma uS)
Ú Acesso a portas não usadas no sistema
 
8 
 9

è 5  
i Exibição de alerta no console
i Suspensão do usuário (sensor de sistema)
i Envio de banner (sensor de sistema)
i ƒeração de lo
i Envio de e mail
i Interrupção da conexão
i Bloqueio do(s) endereço(s)
i Envio de trap S
uP
i Ação definida pelo administrador
 
8 
 9

è    
i Identificação de
Ú ameaças
Ú p obins
Ú mau uso
i O ientação po p ocedimentos pa a identificação da
natu eza dos eventos
i Definição da quantidade de falsos positivos e falsos
neativos de aco do com o ajuste dos senso es
 
8 
 9

è    
i Comportamento dos sensores
Ú Ëueda de processos
Ú Consumo de CPU
Ú Consumo de memória
i uanutenção e backup dos os
i esposta a incidentes
i Documentação
Ú otinas
Ú Procedimentos de continência
]
 8
  -

è Ô'  
 
  < 
è 3  
  
 

i simétricos
i assimétricos
è * = ; ;   ; ; 
è 2a 
i uodos
Ú transporte
Ú túnel
i Protocolos
Ú ESP (Enhanced Secrty Payload): crptografa
Ú AH (Athentcaton Header): atentcação
J
  
—
! 


$ 
$ 
, 1& 
1  # 
# 
# 

  $   $
 
' ( ' (
 ,  ,
345
367

  *% 7 /8 2  *%
-53
J
  
—
! 

J
  
—
! 

8"
> 9  

è .
"

 
 "  
  
è 6  
  "


è 

i Simétricos
i Assimétricos
è * 
i Autoridade certificadora
i Autoridade de registro
i Diretório
i Sistema gerenciador de certificados
8"
> 9  

è * 




i Confidencialidade

lic K y ( s ) ri t k y( lic K y ( s )) = s

—lic
ri t ri t
K y K y

— 
—lic
lic lic
K y K y
8"
> 9  

è * 



 
i Integridade

!" 9 ' $ !" 9 ' $

  #

' $
8"
> 9  

è * 



 
i Irretratabilidade

—lic ri t K y ( s ) —lic lic k y (—lic ri t K y ( s )) = s

—lic
ri t ri t
K y K y

— 
—lic
lic lic
K y K y
& 

è ?      
i Função dedicada
i Separação de responsabilidades
i Políticas e procedimentos
i Documentação
Ú Arquitetura Procedimentos de
Ú otinas de trabalho contingência
Ú Procedimentos de recuperação
i ƒerenciamento de mudanças
i Alertas a usuários
i Plano de Contingência
i Controle de acesso físico
& 

è ?       


i Política de atualização de serviços
Ú suporte do fornecedor
Ú cadastro em advisories e listas de discussão
Ú testes em ambiente de homologação
Ú documentação das rotinas
i Política de backup
Ú armazenamento off-site
Ú proteção contra ameaças
Ú criptografia
Ú verificação de integridade
Ú documentação das rotinas
& 

è |; 

i Anti relay e anti spam
i Patches
i Limitação de conexões, quantidade e tamanho das
mensagens
i Anti vírus atualizado
i Cuidado com os attachs
i Uso de certificados digitais

è  
i ae
i Conrole de oneúdo ivo
& 

è 2   


i öe be 
i Bimet ia
i Tke
i ma t a 
i Ce tifiaçã igital

i Cmbiaçã e 2 u mai mét 


Ú   PI
para acesso com smart card
contendo padrão de impressão digital
& 

è  $  
i edundância no fornecimento de energia
i Controle de acesso físico
i Controle de temperatura e umidade
i ede de produção
i ede administrativa
Ú uanutenção
Ú uonitoração
Ú Acesso limitado
& 

è  $   


i Utilização de VLA
s
Ú segmentação em função de tráfego
Ú segmentação em função de criticidade
i Acesso remoto protegido
i Acesso Internet protegido
Ú Análise de conteúdo Egress filtering
Ú aroxy
i Balanceamento de carga
i edundância
Ú uinimização de pontos de falha para acessos
corporativos
& 

è 5
i Equipe treinada
i estrição de acesso físico aos elementos de
conectividade
i ede de gerência em separado
Ú Falhas
Ú Desempenho
i Política de senhas
i Logging de eventos
i emoção de backdoors de fornecedores
& 

è 5  
i Ëualidade de serviço (ËoS)
Ú priorização de tráfego
i Uso apenas de protocolos e serviços necessários
i Criptografia
Ú Aplicações
Ú Acesso remoto
i Integração de ferramentas
& 

è 5  
i Auditoria
Ú Periódicas
Ú Verificação de os
Ú Verificação de boetins e sites do fabricante
Ú Verificação de sites de ackers
Ú Ôestes do ambiente
Ú Comparação com baseines
Ú Fai-o er forçado
& 

è 5  
i Sistemas de detecção de intrusos
i Análise de tráfego
Ú Logging
Ú Estatísticas de tráfego
i Ôestes de penetração
Ú Periódicos
Ú Equipes interna e externa
i Ataques planejados
Ú Ôestes de contra resposta
Ú Ambiente real
& 

è 3      


i ƒerenciamento de rede
Ú Prevenção contra Ơuan in the uiddleơ
Ú niffer distribuído
Ú Ferramentas do próprio fabricante
i uporte remoto do fabricante
Ú uanutenção
Ú Acesso discado
/
 

è "
  |; 



 a




a

 
 
a

a

a ݌
a


·   ›
· 
     


· 
   

 
 

    

 
   

 
  

 
   
/
 

è "
  8>


 ›
   

a


 
a



 
 a
  



 


  
·   a ›å
 

· 
    a


· 
   

 
  ›
 

     
 
   

 
 

 
   
/
 
è /
 
  @

è 777 
è 777
è 777
"
è 777


è 777
è 777

è 777 " 
è 777 " 
è 777 " 
è 777"

è 777
 
  @


è 777
    

è 7777

è 777  
 
è 777
 
è 777:

 -
è 777 

è 777 "
è 777
è 777
"
è 777" $
  @


è 777

è 777
è 777  
"
è 777
è   "
è 777 

è 7777
 
è 777  a*:
è 777  
:
  @


è )
 

i VVV cert org
i VVV antispam org
i VVV securityfocus com
i VVV insecure org
i VVV sourceforge net
è x-

i VVV rootshell com
i packetstorm securify com
i VVV pulhas org
i VVV technotronic com
i VVV Viretrip net/rfp