Baixe o app para aproveitar ainda mais
Prévia do material em texto
Configuração de Ferramentas como Antivírus e Firewalls 1/21 Bem-vindo ao nosso estudo de Configuração de ferramentas como Antivírus e Firewalls. Este estudo ajudará você a entender que a importância das ferramentas de segurança como antivírus e firewalls. Perceberá que antivírus e firewalls são ferramentas que contribuem para a segurança de sistemas de informação. Iniciaremos com ferramentas de software. Ferramentas de software Muitos dos ataques são apoiados por ferramentas e serviços altamente avançados. Algumas dessas ferramentas são construídas pelos chamados hackers de “chapéu preto” outros pelos hackers de “chapéu branco”. Os bandidos no mundo digital usam chapéus pretos e montam cavalos de Troia — os hackers bons usam chapéus brancos e codificam brilhantemente. As ferramentas servem como um meio conveniente para testar a segurança de um sistema ou rede de computadores. Por exemplo, a ferramenta nmap ajuda atacantes a determinar os serviços de rede oferecidos por um sistema por meio de uma varredura de portas (port-scan). A varredura oferecida pelo nmap é testar e estabelecer conexões TCP para todos os números de porta possíveis em um sistema. Se uma configuração de conexão para uma porta for bem- sucedida, deve haver um servidor associado aquela porta. Visto que muitos serviços usam números de portas bem conhecidos, isso permite que o testador de segurança (ou atacante) descubra em detalhes quais serviços executam em uma máquina. O nmap é útil tanto para atacantes quanto para defensores; propriedade que é conhecida como uso duplo. Segurança em Sistemas Operacionais 2/21 Outro conjunto de ferramentas, coletivamente chamadas de dsniff, oferece uma série de maneiras para monitorar o tráfego de rede e redirecionar pacotes de rede. O Low Orbit Ion Cannon (LOIC) é uma ferramenta para lançar ataques de recusa de serviços. Com o framework Metasploit que vem pré-carregado com centenas de explorações convenientes contra toda sorte de alvos, lançar ataques nunca foi tão fácil. Todas essas ferramentas têm características de uso duplo. A maioria das atividades criminosas na internet cresceu sobre infraestruturas conhecidas como botnets que consistem em milhares (e às vezes milhões) de computadores comprometidos — muitas vezes computadores normais de usuários inocentes e que não sabem o que ocorre. Quando o computador está sob o controle do atacante é conhecido com um bot ou zumbi. Normalmente, nada disso é visível para o usuário. Botnets consistem em centenas ou milhares de zumbis que trabalham para as atividades criminosas. Milhares de PCs representam um número enorme de máquinas para furtar informações bancárias, ou usá-las para spam, e provocar destruição que pode ocorrer quando um milhão de zumbis apontam suas armas LOIC para um alvo que não espera por isso. No extremo oposto há a guerra cibernética. Uma arma cibernética comumente referida como Stuxnet danificou fisicamente as centrífugas em uma instalação de enriquecimento de urânio em Natanz, Irã, e que causou um atraso significativo no programa nuclear iraniano. Ninguém se apresentou para reivindicar esse ataque, algo tão sofisticado provavelmente originou-se nos serviços secretos de um ou mais países hostis ao Irã. Um aspecto importante do problema de segurança, relacionado com a confidencialidade, é a privacidade: proteger indivíduos do uso indevido de informações a seu respeito. Isso entra em muitas questões legais e morais. O governo deve compilar dossiês sobre todos a fim de pegar sonegadores (previdência social ou taxas), dependendo da sua política? A polícia deve ter acesso a qualquer coisa e a qualquer um a fim de deter o crime organizado? Que dizer da Agência de Segurança Nacional norte-americana que monitora 3/21 milhões de telefones celulares diariamente na esperança de pegar potenciais terroristas? Empregadores e companhias de seguro têm direitos? O que acontece quando esses direitos entram em conflito com os direitos individuais? Todas essas questões são extremamente importantes (TANENBAUM, 2016). Tipos de ferramentas Em segurança, pessoas que entram em lugares que não podem são chamadas de atacantes, intrusas, ou às vezes adversárias. Há tipos diferentes de atacantes com tipos diferentes de motivações: roubo, ativismo cibernético, vandalismo, terrorismo, guerra cibernética, espionagem, spam, extorsão, fraude. As vezes o atacante quer se exibir, ou expor a fragilidade da segurança de uma organização. Atacantes variam de aspirantes a chapéus pretos não muito habilidosos, conhecidos como script-kiddies (crianças que seguem roteiros), a crackers extremamente habilidosos. Podem ser profissionais que trabalham para criminosos, governos (por exemplo, a polícia, o exército, ou os serviços secretos), ou empresas de segurança — ou pessoas que fazem como um passatempo. Evitar que um governo estrangeiro hostil roube segredos militares é algo totalmente diferente de evitar que estudantes insiram uma piada no sistema, por exemplo. O esforço necessário para a segurança e proteção depende de quem seja o inimigo. Violar um computador é explorar as vulnerabilidades no software em execução no sistema para que realize algo diferente do que o programador pensou. Por exemplo, um ataque comum é infectar o navegador do usuário através de um drive-by-download. O criminoso infecta o navegador do usuário ao inserir conteúdos maliciosos em um servidor da web. Ao visitar o site o navegador do usuário é infectado. Os atacantes atraem os usuários para o seu site com spams com promessas de softwares gratuitos ou filmes. Os atacantes colocam também conteúdos maliciosos em um site legítimo. No caso de sistemas operacionais o foco é como subvertê-los (TANENBAUM, 2016). 4/21 Um estudo da Cisco mostra que o cibercrime é mais lucrativo do que todas as operações combinadas de tráfico de drogas no mundo. Uma pesquisa da Netscout descobriu que invadir um dispositivo IoT desprotegido leva apenas 5 min. Na Dark Web pode-se obter ferramentas de hacking profissionais de todos os tipos. Muitas empresas levam pelo menos 6 meses para detectar uma violação de segurança. De acordo com a IBM, apenas 38% das empresas em todo o mundo se declararam equipadas para responder com eficácia a ataques cibernéticos em grande escala. Tipos de ferramentas de segurança digital importantes para as empresas: Firewall de última geração Software antivírus Software de monitoramento remoto Proxy Scanner de vulnerabilidade (GB ADVISORS, 2019) Aplicações das ferramentas Os ataques tornaram-se cada vez mais sofisticados para lidar com medidas de segurança cada vez mais avançadas. Toda exploração envolve um defeito específico em um programa específico. Há várias categorias gerais de defeitos 5/21 que sempre ocorrem de novo e vale a pena estudá-los para ver como os ataques funcionam. A seguir alguns exemplos. Ataques por transbordamento de buffer Uma fonte de ataques deve-se ao fato de que em geral todos os sistemas operacionais e a maioria dos programas são escritos em linguagens de programação C ou C++ porque os programadores gostam e podem ser compiladas em códigos objeto extremamente eficientes. Nenhum compilador C ou C++ faz verificação de limites dos vetores. Exemplo, a função de biblioteca C gets, que lê uma string (de tamanho desconhecido) em um buffer de tamanho fixo, mas sem conferir o transbordamento, e conhecida por estar sujeita a esse tipo de ataque (alguns compiladores chegam a detectar o uso de gets e avisam a respeito). A Figura 1 ilustra o transbordamento de buffer; em (c) quando o usuário fornece uma entrada acima do limite programado do buffer, a função gets copia todos os bytes para o buffer além do limite e sobrescreve o endereço de retorno empilhado anteriormente em (b) (TANENBAUM, 2016). Figura 1 – (a) Situação na qual o programa principal está executando. (b) Após a rotina A ter sido chamada. (c ) Transbordamento do buffer mostrado em cinza (TANENBAUM, 2016) Nmap (Network Mapper) 6/21 É um utilitário gratuito e de código aberto paradescoberta de rede e auditoria de segurança. Muitos o consideram útil para tarefas como inventário de rede, gerenciamento de agendas de atualização de serviço e monitoramento de host ou tempo de atividade de serviço. O Nmap usa pacotes IP para determinar quais hosts estão disponíveis na rede, quais serviços (nome do aplicativo e versão) esses hosts estão oferecendo, quais sistemas operacionais (e versões de SO) estão executando, que tipo de filtros de pacotes/firewalls estão em uso e outras características. Foi projetado para fazer a varredura rapidamente em grandes redes, mas funciona bem em hosts únicos. O Nmap é executado em nos principais sistemas operacionais e pacotes binários oficiais estão disponíveis para Linux, Windows e Mac OS X. Além do executável Nmap de linha de comando (CLI) pacote Nmap inclui: uma GUI avançada e visualizador de resultados (Zenmap); uma ferramenta flexível de transferência, redirecionamento e depuração de dados (Ncat); um utilitário para comparar os resultados da varredura (Ndiff); uma ferramenta de geração de pacotes e análise de resposta (Nping) (NMAP, [s.d.]) Metasploit O projeto Metasploit foi criado em 2003 por H. D. Moore e é uma plataforma que permite a verificação do estado da segurança dos computadores existentes numa determinada rede e atacar as falhas de segurança existentes nos mais diversos softwares. É um conjunto de ferramentas atualizadas diariamente com as mais recentes falhas de segurança identificadas por profissionais da área. 7/21 Este framework open source, em constante transformação, é programado em Ruby e está organizado em diversos módulos. Os módulos contêm os programas preparados especificamente para explorarem as vulnerabilidades encontradas nos softwares e sistemas operacionais e permitem assim a execução de código maligno e consequentemente a invasão da máquina (PLLWARE, 2011). Algumas Ferramentas do Metasploit: Msfconsole: em modo console Msfweb: Interface gráfica via browser Msfplayload: É para gerar e customizar payloads Msfcli: É uma interface para automatizar a penetração e exploração Msflogdump: exibirá as sessões de arquivos de log A Figura 2 ilustra o Metsploit. Figura 2 – Metasploit <https://pplware.sapo.pt/internet/metasploit-sabe-o-que-e/> 8/21 Configuração de ferramentas de software Como exemplo de ferramenta antivírus, Microsoft Antimalware para Serviços de Nuvem do Azure e máquinas virtuais. O Microsoft Antimalware para Azure (Figura 3) é uma proteção em tempo real que ajuda a identificar e remover vírus, spyware e outros softwares mal- intencionados. Gera alertas quando um software mal-intencionado ou indesejado conhecido tenta se instalar ou executar nos sistemas do Azure. O administrador pode habilitar Antimalware para o Azure com configuração padrão ou personalizada para as Máquinas Virtuais e Serviços de Nuvem com as opções: Máquinas Virtuais: no portal do Azure, em Extensões de Segurança; Máquinas Virtuais: usando a configuração de máquinas virtuais do Visual Studio no Gerenciador de Servidores; Máquinas Virtuais e Serviços de Nuvem: usando o modelo de implantação clássico do Antimalware; Máquinas Virtuais e Serviços de Nuvem: usando cmdlets Antimalware do PowerShell. 9/21 Figura 3 – Microsoft Antimalware para Azure <https://docs.microsoft.com/pt-br/azure/security/fundamentals/antimalware> Exemplo: Implantação durante a criação de uma VM usando o portal do Azure. Para habilitar e configurar o Microsoft Antimalware para Máquinas Virtuais do Azure usando o portal do Azure ao provisionar uma Máquina Virtual, seguir as etapas: 1. Entrar no Portal do Azure em https://portal.azure.com. 2. Para criar uma nova máquina virtual, navegar até Máquinas virtuais, selecionar Adicionar e escolher Windows Server. 3. Selecionar a versão do Windows Server que deseja usar. 4. Selecionar Criar (Figura 4). Figura 4 – Portal do Azure antimalware> 10/21 5. Fornecer um Nome, Nome de usuário, Senha e criar um novo grupo de recursos ou escolher um grupo de recursos existente. 6. Selecionar OK. 7. Escolher um tamanho de VM. 8. Na próxima seção, fazer as escolhas apropriadas para as necessidades e selecionar a seção Extensões. 9. Selecionar Adicionar extensão. 10. Em Novo recurso, escolher Microsoft Antimalware. 11. Escolher Criar 12. Na seção instalar extensão, arquivos, locais e exclusões de processo podem ser configurados, bem como outras opções de verificação. Escolher Ok. 13. Escolher Ok. 14. Na seção Configurações, escolher Ok. 15. Na tela Criar, escolher Ok (MICROSOFT, 2021). Função do Firewall A capacidade de conectar qualquer computador local a outro computador, em qualquer lugar, é uma vantagem, mas com problemas. Há muito material valioso na web, mas estar conectado à internet expõe um computador a dois tipos de perigos: que entram e que saem. Perigos que entram incluem crackers tentando entrar no computador, assim como vírus, spyware e outro malware. Perigos que 11/21 saem incluem informações confidenciais como números de cartão de crédito, senhas, declarações de imposto de renda e informações corporativas enviadas (TANENBAUM, 2016). Cada pacote de dados consiste em um cabeçalho (informações de controle) e carga útil (os dados reais). O cabeçalho fornece informações sobre o remetente e o destinatário. Antes que o pacote possa entrar na rede interna pela porta definida, deve passar pelo firewall. Esta passagem depende das informações que carrega e como corresponde às regras predefinidas (Figura 5). Figura 5 – Firewall <https://phoenixnap.com/blog/types-of-firewalls> Por exemplo, o firewall pode ter uma regra que exclui o tráfego proveniente de um endereço IP especificado. Se receber pacotes de dados com aquele IP no cabeçalho, o firewall nega o acesso. Da mesma forma, um firewall pode negar acesso a qualquer pessoa, exceto às fontes confiáveis definidas. Existem várias maneiras de configurar este dispositivo de segurança. O grau de proteção do sistema em questão depende do tipo de firewall. 12/21 Tipos de firewall Os métodos de operação e a estrutura geral dos firewalls podem ser bastante diversos. De acordo com sua estrutura, existem três tipos de firewalls: Firewalls de software Firewalls de hardware ou ambos Existem outros tipos de firewalls que são técnicas de firewall que podem ser configurados como software ou hardware. Firewalls de software Está instalado no dispositivo host. Também é conhecido como Host Firewall. Por estar em um dispositivo, precisa utilizar seus recursos para funcionar. Usa a RAM e CPU do sistema. Firewalls de hardware São dispositivos de segurança que representam um equipamento hardware separado colocado entre uma rede interna e a rede externa (a Internet). Esse tipo também é conhecido como Appliance Firewall. Firewalls de filtragem de pacotes 13/21 Conectado a um roteador ou switch. Monitora o tráfego de rede ao filtrar os pacotes de entrada de acordo com as informações do cabeçalho. Inspeciona o protocolo, endereço IP (origem e destino), porta (origem e destino). Dependendo de como os números correspondem à ACL - lista de controle de acesso (regras que definem o tráfego desejado/indesejado), os pacotes são repassados ou descartados (Figura 6) Figura 6 – Firewall de filtragem de pacotes <https://phoenixnap.com/blog/types-of-firewalls> É uma solução rápida que não requer muitos recursos. Não é o mais seguro. Embora inspecione as informações do cabeçalho, não verifica os dados (carga útil) em si. Como o malware também pode ser encontrado nesta parte do pacote, o firewall de filtragem de pacotes não é a melhor opção para uma segurança forte do sistema. 14/21 Gateways em nível de circuito São um tipo de firewall que funciona na camada de sessão do modelo OSI, observando conexões e sessões TCP. Sua função principal é garantir que as conexões estabelecidas sejam seguras. Em geral, os firewalls em nível de circuito são integrados a algum tipo de software ou um firewall já existente. Não inspecionam os dadosreais, mas sim as informações sobre a transação. Os gateways em nível de circuito são práticos, simples de configurar e não exigem um servidor proxy separado. Firewalls de inspeção Stateful Controla o estado de uma conexão ao monitorar o 3-way handshake do TCP. Acompanha toda a conexão - do início ao fim – e permite apenas a entrada de tráfego de retorno esperado. Ao iniciar uma conexão e solicitar dados, a inspeção stateful constrói um banco de dados (tabela de estado) e armazena as informações de conexão. Na tabela de estado, anota o IP e a porta (de origem), o IP e a porta (de destino) para cada conexão. Ao usar o método de inspeção com informações de estado, cria regras de firewall dinamicamente para permitir o tráfego antecipado. Este tipo de firewall é usado como segurança adicional. Impõe mais verificações e é mais seguro em comparação com filtros stateless. Ao contrário da filtragem de pacotes/stateless, os firewalls stateful inspecionam os dados reais transmitidos pelos pacotes em vez de apenas os cabeçalhos. Por isso, requerem mais recursos do sistema. Firewalls proxy Dispositivo intermediário entre os sistemas internos e externos que se comunicam pela Internet. Protege uma rede ao encaminhar solicitações do cliente original e mascarando-a como sua. Proxy significa servir como um substituto. É o papel que desempenha. Substitui o cliente que envia a 15/21 solicitação. Quando um cliente envia uma solicitação de acesso a uma página da web, a mensagem é interceptada pelo servidor proxy. O proxy encaminha a mensagem para o servidor web, fingindo ser o cliente. Isso oculta a identificação e geolocalização do cliente, protegendo-o de quaisquer restrições e ataques potenciais. O servidor web então responde e fornece ao proxy as informações solicitadas, que são repassadas ao cliente. Firewalls de próxima geração (Next-Generation Firewalls - NGFW) É um dispositivo de segurança que combina várias funções de outros firewalls. Incorpora inspeção de pacote, com monitoração de estado (stateful) e aprofundada. O NGFW verifica a carga útil real do pacote em vez de se concentrar apenas nas informações do cabeçalho. Ao contrário dos firewalls tradicionais, o firewall de próxima geração inspeciona toda a transação de dados, incluindo os handshakes TCP, nível de superfície e inspeção aprofundada de pacotes. Usar o NGFW é uma proteção adequada contra ataques de malware, ameaças externas e intrusão. Esses dispositivos são bastante flexíveis e não há uma definição clara das funcionalidades que oferecem. Portanto, é importante verificar o que cada opção específica oferece. Cloud Firewalls Um firewall em nuvem ou firewall como serviço (Faas) é uma solução em nuvem para proteção de rede. É mantido e executado por provedores de serviços de nuvem. Os clientes costumam utilizar firewalls em nuvem como servidores proxy, mas a configuração pode variar de acordo com a demanda. A principal vantagem é a escalabilidade. São independentes de recursos físicos, o que permite dimensionar a capacidade do firewall de acordo com a carga de tráfego. As empresas usam esta solução para proteger uma rede interna ou outras infraestruturas de nuvem - Iaas/Paas – Infrastructure/Platform as a servisse (PHOENIXNAP, 2020). A Figura 7 mostra o Firewall da plataforma Azure. 16/21 Figura 7 – Azure Firewall <https://docs.microsoft.com/pt-br/azure/firewall/overview> Configuração do Firewall Exemplo: Configuração básica do Firewall Cisco ASA (Adaptive Security Appliance) Figura 8 – Cisco ASA 5505 <http://labcisco.blogspot.com/2016/05/configuracao-basica-do-firewall-cisco.html> Por padrão o ASA 5505 vem configurado com 2 VLANs: 17/21 VLAN 1: REDE INTERNA (inside) nas interfaces e0/1 até e0/7 VLAN 2: REDE EXTERNA (outside) na interface e0/0 No ASA, por padrão, todo tráfego entrante na interface outside é negado. A menos que sejam configuradas regras de acesso (ACL) que permitam um determinado perfil de tráfego entrante. Cada interface é associada a uma zona de segurança através do parâmetro nameif. Cada interface possui um nível de segurança (security-level): varia de 0 a 100. 0 o nível menos seguro (padrão na interface outside). 100 o nível mais seguro (padrão nas interfaces inside). A configuração desse parâmetro é importante porque outro comportamento padrão do ASA é que todo tráfego originado por uma interface mais segura pode atravessar em direção a uma interface menos segura. O contrário não é permitido, ou seja, todo tráfego vindo de uma interface menos segura não pode atravessar em direção a uma interface mais segura. interface Ethernet0/0 nameif outside security-level 0 ! interface Ethernet0/1 nameif inside security-level 100 18/21 Figura 9 – Cenário da rede <http://labcisco.blogspot.com/2016/05/configuracao-basica-do-firewall-cisco.html> Cenário simples: Rede interna 192.168.0.0/24 conectada à Internet através de um ASA. A interface e0/1 do ASA que está definida na zona inside (VLAN 1) é o gateway da rede interna (192.168.0.1). A interface e0/0 definida na zona outside (VLAN2) recebe do provedor um IP na Internet (203.0.113.1). As configurações são realizadas nas interfaces do tipo VLAN, pois múltiplas portas físicas em geral são associadas a sua respectiva zona de segurança através de uma VLAN. A interface e0/0 está associada à VLAN 2 pelo comando padrão switchport access vlan 2. A configuração de associação das interfaces pode ser alterada de acordo com o ambiente do usuário a partir do mesmo comando seguido da VLAN correspondente. As configurações básicas realizadas podem ser visualizadas através dos comandos: ASA-FW# show ip (...) Saída Omitida Current IP Addresses: Interface Name IP Address Subnet Mask Method 19/21 Vlan1 inside 192.168.0.1 255.255.255.0 manual Vlan2 outside 203.0.113.1 255.255.255.252 manual ASA-FW# show switch vlan VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 inside up Et0/1, Et0/2, Et0/3, Et0/4, Et0/5, Et0/6, Et0/7 2 outside up Et0/0 ASA-FW# show route (...) Saída Omitida Gateway of last resort is 203.0.113.2 to network 0.0.0.0 C 192.168.0.0 255.255.255.0 is directly connected, inside 203.0.113.0/30 is subnetted, 1 subnets C 203.0.113.0 255.255.255.252 is directly connected, outside S* 0.0.0.0/0 [1/0] via 203.0.113.2 20/21 ASA-FW# show access-list (...) Saída Omitida access-list ENTRADA line 1 extended permit icmp any any(hitcnt=13) 0x3843e9e3 access-list ENTRADA line 2 extended permit tcp any eq www any(hitcnt=3) 0x7b11a3a4 (BRITO, 2016) Atividade Extra Leia o texto e veja o vídeo em: <https://docs.microsoft.com/pt-br/azure/web- application-firewall/overview>. O que é o Firewall do Aplicativo Web do Azure? Referência Bibliográfica BRITO, S.H.B, Configuração Básica do Firewall Cisco ASA no Packet Tracer, 2016. Disponível em <http://labcisco.blogspot.com/2016/05/configuracao-basica- do-firewall-cisco.html>. Acesso em 15 de mai. 2021. https://docs.microsoft.com/pt-br/azure/web-application-firewall/overview http://labcisco.blogspot.com/2016/05/configuracao-basica-do-firewall-cisco.html 21/21 GB ADVISORS. 5 types of digital security tools every company should have, 2019. Disponível em <https://www.gb-advisors.com/5-types-of-digital-security- tools-every-company-should-have/>. Acesso em 16 de mai. 2021. MICROSOFT. Microsoft Antimalware para Serviços de Nuvem do Azure e máquinas virtuais, 2021. Disponível em <https://docs.microsoft.com/pt- br/azure/security/fundamentals/antimalware>. Acesso em 16 de mai. 2021. NMAP Security Scanner, [s.d.]. Disponível em <https://nmap.org/>. Acesso em 16 de mai. 2021. PHOENIXNAP. 8 Types of Firewalls: Guide For IT Security Pros, 2020. Disponível em <https://phoenixnap.com/blog/types-of-firewalls>. Acesso em 15 de mai. 2021. PLLWARE. Metasploit – Sabe o que é?, 2011. Disponível em <https://pplware.sapo.pt/internet/metasploit-sabe-o-que-e/>. Acesso em 15 de mai. 2021. TANENBAUM, A. S.; BOS, H. SistemasOperacionais Modernos, 4ª. ed. – São Paulo: Pearson Education do Brasil, 2016. https://www.gb-advisors.com/5-types-of-digital-security-tools-every-company-should-have/ https://docs.microsoft.com/pt-br/azure/security/fundamentals/antimalware https://nmap.org/ https://phoenixnap.com/blog/types-of-firewalls%3E https://pplware.sapo.pt/internet/metasploit-sabe-o-que-e/
Compartilhar