Fundamentos de Segurança em Redes

Prévia do material em texto

SRD | SEGURANÇA EM REDES DE DADOS
ESCOLA SENAI SUIÇO BRASILEIRA
SEGURANÇA EM REDES – SRD
FUNDAMENTOS DE SEGURANÇA
SRD | SEGURANÇA EM REDES DE DADOS
ESCOLA SENAI SUIÇO BRASILEIRA
SEGURANÇA DA INFORMAÇÃO
FUNDAMENTOS DE SEGURANÇA EM REDES
SRD | SEGURANÇA EM REDES DE DADOS
ESCOLA SENAI SUIÇO BRASILEIRA
SEGURANÇA DA INFORMAÇÃO
DEFINIÇÃO:
Conjunto de procedimentos, práticas e tecnologias, sendo a junção de hardware,
software e treinamentos de pessoas, adotados pela organização para integridade e
proteção de si e de seus usuários contra ocorrências ou comportamentos inesperados.
A segurança é a condição de estar protegido de perigo ou perda.
São características básicas da segurança da informação os aspectos de
confidencialidade, integridade e disponibilidade, não estando restritos somente a
sistemas computacionais, informações eletrônicas ou sistemas de armazenamento.
O conceito se aplica a todos os aspectos de proteção de informações e dados.
SRD | SEGURANÇA EM REDES DE DADOS
ESCOLA SENAI SUIÇO BRASILEIRA
GARANTIAS
INTEGRIDADE:
Em segurança da informação integridade significa ter informações confiáveis, ou seja,
certifica-se que as mensagens são recebidas como foram enviadas.
Um serviço de integridade orientado à conexão deve certificar que não existam
duplicatas, inserções, deleções ou modificações.
Um serviço de integridade não orientado a conexão trata somente da
mensagem individual.
SRD | SEGURANÇA EM REDES DE DADOS
ESCOLA SENAI SUIÇO BRASILEIRA
GARANTIAS
AUTENTICIDADE:
Entende-se por autenticidade a certeza absoluta de que um objeto (em análise)
provém das fontes anunciadas e que não foi alvo de mutações ao longo de um
processo.
Na telecomunicação, uma mensagem será autêntica se for, de fato, recebida na
íntegra, diretamente do emissor, não passando por qualquer outro ponto.
A autenticação de entidade provê a checagem da identidade afirmada em
qualquer período de tempo, também é uma forma de garantia da autenticidade.
Ex: Arquivo enviado de um computador a outro, contém mesmo tamanho, data de
criação, data de modificação e cabeçalhos intactos.
SRD | SEGURANÇA EM REDES DE DADOS
ESCOLA SENAI SUIÇO BRASILEIRA
GARANTIAS
CONFIDENCIALIDADE:
É a propriedade de que a informação não estará disponível ou divulgada a indivíduos,
entidades ou processos sem autorização.
Em outras palavras, confidencialidade é a garantia do resguardo das informações
dadas pessoalmente em confiança e proteção contra a sua revelação não autorizada.
Ex: E-mail enviado de um diretor a outro, não tem desvio para terceiros e não é
gerado relatório do mesmo, totalmente confidencial.
SRD | SEGURANÇA EM REDES DE DADOS
ESCOLA SENAI SUIÇO BRASILEIRA
GARANTIAS
DISPONIBILIDADE:
Prover de maneira ininterrupta acesso a informações e recursos.
Propriedade que garante que a informação esteja sempre disponível para o uso
legítimo, por aqueles usuários autorizados pelo proprietário da informação.
Ex: Diretor quer acessar o e-mail via web, e esta sem internet.
ACEITE (NÃO REPÚDIO):
Qualidade de determinada relação através da qual as partes são protegidas de uma
alegação de inexistência, o que representa que a figura está presente para produzir
efeitos legais nos contratos feitos por meio do computador. Ex: transferência de
mensagens entre duas entidades, de forma a que qualquer uma delas fique
protegida contra fraudes cometidas pela outra (Certificado Digital).
SRD | SEGURANÇA EM REDES DE DADOS
ESCOLA SENAI SUIÇO BRASILEIRA
PROBLEMAS
RISCOS:
É o resultado objetivo da combinação entre a probabilidade de ocorrência de
um determinado evento e o impacto resultante. Ex: perca de dados o risco é alto em
um ambiente com um único disco rígido.
FALHAS:
É o erro propriamente dito, existia um risco antes, porém agora se tornou um erro,
assim é caracterizado como falha. Falha de segurança pode ser considerada uma porta
aberta ao mundo indevidamente. Ex: antes existiam os riscos em perder dados, agora
nós perdemos os dados.
SRD | SEGURANÇA EM REDES DE DADOS
ESCOLA SENAI SUIÇO BRASILEIRA
VULNERABILIDADE:
A vulnerabilidade na computação significa ter brecha(possibilidade de acesso) em
um sistema computacional, também conhecida como bug.
Vulnerabilidade é definida como uma falha no projeto ou implementação de um
software ou sistema operacional, que quando explorada por um atacante resulta
na violação da segurança de um computador. Existem casos onde um software ou
sistema operacional instalado em um computador pode conter uma vulnerabilidade
que permite sua exploração remota, ou seja, através da rede . Ex: Firefox libera acesso
a execução de scripts como usuário root em ambientes Ubuntu.
VÍRUS:
Vírus é um programa capaz de infectar outros programas e arquivos de um
computador. Ex: Cavalo de Troia (Back Orifice e NetBUS).
PROBLEMAS
SRD | SEGURANÇA EM REDES DE DADOS
ESCOLA SENAI SUIÇO BRASILEIRA
PROBLEMAS
AMEAÇAS:
Uma ameaça é uma pessoa, coisa, evento ou idéia que apresenta algum perigo para
um bem (em termos de confidencialidade, integridade, disponibilidade ou uso
legítimo). Ex: Tentativa de invasões a dados da uma rede, assim perdemos a
confidencialidade, integridade e disponibilidade.
ATAQUES:
Um ataque é a concretização de uma ameaça de segurança que pode comprometer a
segurança de um sistema de informação. Ex: Invasor desativou firewall do sistema.
SRD | SEGURANÇA EM REDES DE DADOS
ESCOLA SENAI SUIÇO BRASILEIRA
ASPECTO HUMANO
GESTÃO DE PESSOAS:
A gestão de pessoas é um ponto fundamental na segurança da informação,
geralmente constituem o elo mais fraco da segurança da informação em ambiente
corporativo. Ex: Padronização de senha e acessos, informativos de não clique em link
falsos ou abra arquivos de usuários desconhecidos.
HACKER:
Alguém que, deliberadamente, ganha acesso a outros computadores,
freqüentemente sem conhecimento ou permissão do usuário que esta sendo
acessado. Hackers maliciosos fazem isso para roubar informação valiosa, atrapalhar
serviços ou causar outros danos. Ex: Paulinho acessando o Wifi
SRD | SEGURANÇA EM REDES DE DADOS
ESCOLA SENAI SUIÇO BRASILEIRA
ASPECTO HUMANO
CRACKER:
São os hackers mais radicais. Eles pirateiam programas e penetram em sistemas
"quebrando" tudo, a intenção é sabotar ao máximo os grandes servidores.
DEFACER:
Pessoas mal intencionadas que passam o tempo tentando desfigurar a página inicial
de sites conhecidos, deixar suas assinaturas de que acessaram os sites.
SRD | SEGURANÇA EM REDES DE DADOS
ESCOLA SENAI SUIÇO BRASILEIRA
ASPECTO HUMANO
PHREAKER:
É o nome dado as pessoas ou crackers de Telefonia (Phone+Freak ou Phreak).
CARDERS:
São especialistas em roubos de número de cartões de crédito e, é obvio, o uso
destes números fazendo compras pela Internet.
SRD | SEGURANÇA EM REDES DE DADOS
ESCOLA SENAI SUIÇO BRASILEIRA
ASPECTO LÓGICO – EQUIPAMENTO E REDE
SENHAS:
Uma senha (password) na Internet, ou em qualquer sistema computacional, serve
para autenticar o usuário, ou seja, é utilizada no processo de verificação da
identidade do usuário, assegurando que este é realmente quem diz ser.
CRIPTOGRAFIA:
Criptografia é a ciência e arte de escrever mensagens em forma cifrada ou em código.
É parte de um campo de estudos que trata das comunicações secretas.
SRD | SEGURANÇA EM REDES DE DADOS
ESCOLA SENAI SUIÇO BRASILEIRA
ASPECTO LÓGICO – EQUIPAMENTO E REDE
PERÍMETRO DE REDE:
O termo rede de perímetro refere-se a um segmento de rede isolado no ponto em que
uma rede corporativa alcança a Internet. As redes de perímetro destinam-se a criar um
limite que permite a separação do tráfego entre redes internas e externas.
Com este limite, é possível categorizar, redirecionar, restringir e controlar o tráfego
da rede de uma empresa.
SRD | SEGURANÇA EM REDES DE DADOS
ESCOLA SENAI SUIÇO BRASILEIRA
ASPECTO LÓGICO – EQUIPAMENTO E REDE
HONEYPOT:
Ferramenta de estudos de segurança, onde sua função principal é colher informações
do atacante. Em redes empresariais servecomo elemento de distração ou dispersão,
uma vez que qualquer trafego suspeito é redirecionado para ele. As configurações
deste equipamento são as mais rígidas e os serviços são muito limitados.
FIREWALL:
É o nome dado ao dispositivo de uma rede de computadores que tem por
função regular o tráfego de rede entre redes distintas e impedir a transmissão e/ou
recepção de dados nocivos ou não autorizados de uma rede a outra.
SRD | SEGURANÇA EM REDES DE DADOS
ESCOLA SENAI SUIÇO BRASILEIRA
ASPECTO LÓGICO – EQUIPAMENTO E REDE
- BASTION HOST
- SCREENING HOST
- DUAL HOMED-HOST
- SCREENED SUBNET
- FORWARD PROXY E PROXY CACHE
- STATEFUL
SRD | SEGURANÇA EM REDES DE DADOS
ESCOLA SENAI SUIÇO BRASILEIRA
ASPECTO LÓGICO – EQUIPAMENTO E REDE
BASTION HOST:
É o nome que se dá a um servidor dedicado exposto simultaneamente a Internet e a
rede interna. Por ser mais suscetível a sofrer ataques, este servidor precisa ser
configurado de forma a diminuir ao máximo qualquer tipo de vulnerabilidade.
É um host que deve estar altamente seguro, mais vulneráveis
a ataques.
Deve ser configurado para desempenhar papel critico na 
segurança da rede interna. Constituindo-se na internet, 
provendo serviços permitidos
de acordo com a política de segurança adotada. 
Bastion Host
SRD | SEGURANÇA EM REDES DE DADOS
ESCOLA SENAI SUIÇO BRASILEIRA
ASPECTO LÓGICO – EQUIPAMENTO E REDE
SCREENING HOST:
É um roteador configurado para permitir ou bloquear trafego, baseado em regras
definidas pelo administrador.
SRD | SEGURANÇA EM REDES DE DADOS
ESCOLA SENAI SUIÇO BRASILEIRA
ASPECTO LÓGICO – EQUIPAMENTO E REDE
BASTION HOST DENTRO DA ESTRUTURA DO SCREENING HOST :
O Screening Router libera apenas a o Bastion Host para acesso a Internet,
assim as estações solicitam através de proxy a internet para o Bastion Host
SRD | SEGURANÇA EM REDES DE DADOS
ESCOLA SENAI SUIÇO BRASILEIRA
ASPECTO LÓGICO – EQUIPAMENTO E REDE
DUAL HOMED-HOST:
O Dual homed-host esta junto com o Bastion Host e ligado a Internet, 
assim as estações solicitam através de proxy ou NAT a internet para o Bastion Host.
SRD | SEGURANÇA EM REDES DE DADOS
ESCOLA SENAI SUIÇO BRASILEIRA
ASPECTO LÓGICO – EQUIPAMENTO E REDE
SCREENED SUBNET:
Esta estrutura adiciona uma camada extra de segurança através do perímetro da rede, 
que isso a rede interna da internet. Neste meio dos dois screening hosts existe uma 
DMZ (zona desmilitarizada) que normalmente aloca servidores.
SRD | SEGURANÇA EM REDES DE DADOS
ESCOLA SENAI SUIÇO BRASILEIRA
ASPECTO LÓGICO – EQUIPAMENTO E REDE
ZONA DESMILITARIZADA(DMZ – DEMILITARIZED ZONE):
O termo possui uma origem militar, significando a área existente entre dois inimigos
em uma guerra (Coréia do Sul e Coréia do Norte).
Também conhecida como Rede de Perímetro, a DMZ é uma pequena rede
situada entre uma rede confiável e uma não confiável. A função de uma DMZ de
perímetro é manter todos os serviços que possuem acesso externo (HTTP, FTP, etc)
separados da rede local limitando o dano em caso de comprometimento de
algum serviço nela presente por algum invasor.
SRD | SEGURANÇA EM REDES DE DADOS
ESCOLA SENAI SUIÇO BRASILEIRA
ASPECTO LÓGICO – EQUIPAMENTO E REDE
FORWARD PROXY E PROXY CACHE:
Proxy é um software(camada 7) que disponibiliza algum serviço de modo transparente 
para as estações de trabalho, armazenando dados ou não em forma de cache.
SRD | SEGURANÇA EM REDES DE DADOS
ESCOLA SENAI SUIÇO BRASILEIRA
ASPECTO LÓGICO – EQUIPAMENTO E REDE
STATEFUL:
Método seguro para analisar pacotes que contém informações extensivas 
sobre pacote de dados na tabela do Firewall. No geral para uma sessão ser 
estabelecida, a Informação de Liberação ou bloqueio precisa conferir com a 
Informação alocada na tabela (Conhecidas como CHAN).
SRD | SEGURANÇA EM REDES DE DADOS
ESCOLA SENAI SUIÇO BRASILEIRA
ASPECTO LÓGICO – EQUIPAMENTO E REDE
REDE PRIVADA VIRTUAL(VPN – VIRTUAL PRIVATE NETWORK):
Uma Rede Privada Virtual é uma rede de comunicações privada normalmente
utilizada por uma empresa ou um conjunto de empresas, construída em cima de
uma rede de comunicações pública, por exemplo a Internet.
Ex: LAN-to-LAN = Utiliza o protocolo IPSEC (Internet Protocol Security)
Ex: Client-to-LAN = Utiliza o protocolo PPTP (Point-to-Point Tunneling Protocol)
Ex: OpenVPN protocol que cria uma device TUN no servidor outro chamada TAP no
estação que origina a conexão. Pode ser usado como LAN-to-LAN ou Client-to-LAN.
SRD | SEGURANÇA EM REDES DE DADOS
ESCOLA SENAI SUIÇO BRASILEIRA
ASPECTO LÓGICO – EQUIPAMENTO E REDE
REDE PRIVADA VIRTUAL(VPN – VIRTUAL PRIVATE NETWORK):
Ex: LAN-to-LAN = Utiliza o protocolo IPSEC (Internet Protocol Security)
SQL
BRMA BRMA
ABCD
#$@%
ABCD
#$@%
EFGH
EFGH
SRD | SEGURANÇA EM REDES DE DADOS
ESCOLA SENAI SUIÇO BRASILEIRA
ASPECTO LÓGICO – EQUIPAMENTO E REDE
REDE PRIVADA VIRTUAL(VPN – VIRTUAL PRIVATE NETWORK):
Ex: Client-to-LAN = Utiliza o protocolo PPTP (Point-to-Point Tunneling Protocol)
SQL
BRMA
ABCD
EFGH
#$@%
ABCD
EFGH
#$@%
SRD | SEGURANÇA EM REDES DE DADOS
ESCOLA SENAI SUIÇO BRASILEIRA
ASPECTO LÓGICO – EQUIPAMENTO E REDE
NIDS - NETWORK-BASED INTRUSION DETECTION SYSTEM:
São instalados em servidores ou appliances que monitoram o tráfego do segmento de
rede. Estes equipamentos são responsáveis por analisar possíveis ataques contra
qualquer equipamento localizado neste segmento de rede.
HIDS - HOST-BASED INTRUSION DETECTION SYSTEM:
Este tipo de IDS é instalado em um host que será alertado sobre ataques
ocorridos contra a própria máquina. O HIDS irá avaliar a segurança deste host como
base em arquivos de logs de Sistema Operacional, logs de acesso e logs de aplicação.
O uso desta técnica é muito importante, pois fornece segurança a tipos de ataques
que o firewall e um NIDS não detectam.
SRD | SEGURANÇA EM REDES DE DADOS
ESCOLA SENAI SUIÇO BRASILEIRA
ASPECTO LÓGICO – EQUIPAMENTO E REDE
IDS – é uma barreira inteligente que interage entre a
sua rede local (LAN) e a Internet,
através da qual só passa o que for autorizado 
pelo administrador por meio de 
regras que podem ser regras:
estáticas – ficam sempre ativas 
dinâmicas – são atividades 
automaticamente no momento
em que um usuário se autentica.
BRMA
HTTPHTTP
PORTSCAN
xO QUE VOCÊQUER?
QUERO SCANEAR
SUAS PORTAS
NÃO É PERMITIDO E
VOCÊ ESTÁ BLOQUEADO
HTTPO QUE VOCÊ
QUER?
BUSCAR 
A PÁGINA
OK, PODE BUSCAR
A PÁGINA
HTTP
O QUE VOCÊ
QUER?
QUERO EXECUTAR
UM CÓDIGO
MALICIOSO NO SERVIDOR
HTTP
CONSULTANDO A 
BASE DE DADOS DO 
IDS
ACESSO NEGADO E 
VOCÊ SERÁ 
BLOQUEADO!!!x
SRD | SEGURANÇA EM REDES DE DADOS
ESCOLA SENAI SUIÇO BRASILEIRA
ASPECTO FÍSICO – AMBIENTE
VISÃO EXECUTIVA:
"Segurança significa corrigir as falhas no meu ambiente de tecnologia. Precisamos
estar com o antivírus atualizado...".
SEGURANCA FÍSICA - LISTA DE AMEAÇAS:
•Incêndio (fogo e fumaça); 
•Água (vazamentos, corrosão, 
enchentes); 
•Tremores e abalos sísmicos; 
•Tempestades, furacões; 
•Terrorismo; 
•Sabotagem e vandalismo; 
•Explosões; 
•Roubos, furtos; 
•Desmoronamento de construções; 
•Materiais tóxicos; 
•Interrupção de energia (bombas de 
pressão, ar-condicionado, elevadores); 
•Interrupção de comunicação (links, 
voz, dados); 
•Falhas em equipamentos.
SRD | SEGURANÇA EM REDES DE DADOS
ESCOLA SENAI SUIÇO BRASILEIRA
ASPECTO FÍSICO – AMBIENTE
CONTROLE DE ATIVOS:
Segurança de um sistema deve prever a sua integridade física, alocando os
equipamentos em locais apropriados, de acesso restrito e controlados.
ITENS MÍNIMOS PARA CONTROLE DE ATIVOS:
•Adequação do equipamento ao uso;
•Reposição imediata de equipamentos 
e peças;
•Condições do ambiente que onde se 
concentram os equipamentos;
•Manutenção preventiva e periódica;
•Adoção de uma política de backup 
eficiente e eficaz;
•Sistema de abastecimento elétrico 
alternativo;
•Sistema de refrigeração eficiente.
SRD | SEGURANÇA EM REDES DE DADOS
ESCOLA SENAI SUIÇO BRASILEIRA
ASPECTO FÍSICO – AMBIENTE
CONTROLE DE ACESSO E MONITORAMENTO:
O acesso ao CPD deve serrestrito ao pessoal autorizado, para tanto as portas devem
permanecer trancadas, e devem ser implementados controles de acesso, que
registrem quem entrou no CPD, horário e permanência. Algumas opções de controle
de acesso, são: crachás eletrônicos, dispositivos biométricos, trancas manuais
usadas em conjunto com outros controles, como por exemplo lista de
permanência.
O QUE FAZER QUANDO UM VISITANTE PRECISA TER ACESSO AO CPD?
SRD | SEGURANÇA EM REDES DE DADOS
ESCOLA SENAI SUIÇO BRASILEIRA
ASPECTO FÍSICO – AMBIENTE
BIOMETRIA:
A biometria é o estudo das características mensuráveis do ser humano que
possibilitam o reconhecimento de um indivíduo. A impressão digital, íris, retina,
geometria da mão, voz, face e velocidade de digitação são características que
permitem a identificação de usuários. Esta abordagem confirma a unicidade e
estabilidade destas características, o que permite o reconhecimento ao longo da vida.
• Identificação com sucesso;
• Falso-positivo;
• Falso-negativo;
• 1:1;
•1:N.