Baixe o app para aproveitar ainda mais
Prévia do material em texto
� � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 Página 1 DlteC do Brasil® www.dltec.com.br info@dltec.com.br | 41 3045.7810 Apostila/E-Book do Curso Preparatório para o IINS – 640-554 DlteC do Brasil® Todos os direitos reservados© DLTEC DO BRASIL APOSTILA/E-BOOK DO CURSO PREPARATÓRIO PARA O CCNA SECURITY – IINS / 640-554 � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 Página 2 Para maiores informações sobre nossos treinamento visite o site: >>> http://www.dltec.com.br <<< Sobre o E-book/Apostila O conteúdo desse documento é uma adaptação da matéria online de leitura do curso. O presente material traz conteúdo teórico do curso online, porém temos que deixar claro que não é um curso e sim uma adaptação do nosso material online para e-book/apostila. Portanto recursos como exercícios, simulados, tutoria (tira dúvidas com professores) e vídeo aulas não fazem parte desse e-book, pois são exclusivos para alunos devidamente matriculados em nosso site oficial. http://www.dltec.com.br/ � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 Página 3 Direitos Autorais Aviso Importante! Esse material é de propriedade da DlteC do Brasil Ltda e é protegido pela lei de direitos autorais 9610/98. É expressamente proibida cópia física ou em meio digital, reprodução parcial, reprografia, fotocópia ou qualquer forma de extração de informações deste sem prévia autorização da DlteC do Brasil conforme legislação vigente. Seu uso pessoal e intransferível é somente para o cliente que adquiriu o referido e-book/apostila. A cópia e distribuição são expressamente proibidas e seu descumprimento implica em processo cível de danos morais e materiais previstos na legislação contra quem copia e para quem distribui, sejam cópias físicas e/ou digitais. Copyright © 2016. � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 Página 4 Indice Capítulo 1 - Introdução ................................................................................................................ 5 Capítulo 2 - Ameaças a Segurança de Redes ................................................................................ 6 Capítulo 3 - Segurança em Roteadores Cisco .............................................................................. 42 Capítulo 4 - Conceitos e Configurações do AAA .......................................................................... 80 Capítulo 5 - ACL em Roteadores Cisco ...................................................................................... 103 Capítulo 6 -Implementando Firewall em Roteadores Cisco e ASA ............................................. 139 Capítulo 7 - Segurança na Camada 2 ....................................................................................... 202 Capítulo 8 - IPS - Intrusion Prevention System .......................................................................... 235 Capítulo 9 - Sistemas Criptográficos e PKI ................................................................................ 274 Capítulo 10 - Virtual Private Network - VPN ............................................................................. 323 Capítulo 11 - Operação e Gerenciamento de Redes Seguras ..................................................... 374 � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 Página 5 Capítulo 1 – Introdução ao CCNA Security e Metodologia de Estudo Sumário do Capítulo 1 Visão geral do Curso CCNA Security da DlteC _______________________________ 6 � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 Página 6 1 Visão geral do Curso CCNA Security da DlteC O curso de segurança de redes “CCNA Security” da DlteC do Brasil visa qualificar os profissionais de segurança para enfrentar os desafios relacionados à segurança de maneira eficiente, protegendo as empresas e fornecendo serviços de alta qualidade. Além disso, é preparatório para a prova de certificação Cisco 640-554, contendo todo o conteúdo previsto para exame Implementing Cisco IOS Network Security (IINSv2), o qual dá para o candidato, com o CCENT ou CCNA R&S válido, o título de CCNA Security. Durante o curso estudaremos tanto a teoria relacionada à segurança de redes como a prática em equipamentos Cisco. O foco do treinamento é entender as principais ameaças de segurança de redes, reforçar a segurança em roteadores e switches Cisco, configurar ACL’s e Firewall Baseado em Zona (ZPF), configurar IPS e IDS, configurar o ASA Firewall, ativar VPNs site-to- site no Cisco IOS e AnyConnect com ASA, assim como gerenciar uma rede focando na segurança. Portanto, o conteúdo cobre as principais áreas de segurança que um profissional de redes com nível Associate é exigido conhecer no mercado de trabalho. Para os alunos que pretendem fazer a prova de certificação Implementing Cisco IOS Network Security (IINS) ela tem as seguintes características: Duração máxima de 90 minutos com 30 minutos de tempo extra para não nativos na língua Inglesa. Total de 60 a 70 questões. Tipos de questão: Multiple-Choice (uma ou mútiplas escolhas), Drag-and-Drop, Simulador, Simlet e Testlet. Disponível em inglês, russo, japonês e chinês. Valor da prova $ 250.00 (dólares Americanos) Nota para passar no exame é variável com pontuação máxima igual a 1000 � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � �tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 Página 6 Capítulo 2 – Ameaças a Segurança de Redes Objetivos do Capítulo Ao final desse capítulo você terá estudado e deverá compreender: Os Três Princípios Básicos de Segurança Classificação dos Dados Controles de Segurança Classificação de Ataques e Hackers Conceito de Defense in Depth O que são Vírus, Worms e Cavalos de Tróia Conceito de Buffer Overflow Principais técnicas de Spoofing Principais Ataques à Confidencialidade, Integridade e Disponibilidade das Informações Listar as melhores Práticas para manter uma rede segura Nesse capítulo vamos começar a estudar os conceitos de segurança, terminologia, riscos, ameaças e demais itens essenciais para que possamos compreender o porque dos recursos e medidas que serão configurados nos equipamentos a partir do próximo capítulo. Aproveite o capítulo e bons estudos! � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � tel (41) 430457810 ou (41) 4063-7810 - info@dltec.com.br - www.dltec.com.br A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 Página 7 Sumário do Capítulo 1 Posicionamento dos Roteadores na Rede e Topologias de Acesso à Internet ________ 8 1.1 Breve Histórico ___________________ 8 2 Os Três Princípios Básicos de Segurança 9 3 Classificação dos Dados ____________ 10 4 Definições e Conceitos de Segurança _ 12 4.1 Outras Classificações de Riscos de Segurança ___________________________ 12 5 Controles de Segurança ____________ 13 5.1 Resposta a um Incidente de Segurança 14 6 Classificação de Ataques e Hackers __ 15 6.1 Tipos de Atacantes (Hackers) _______ 16 7 Tipos de Ataque às Redes __________ 18 7.1 Anatomia de um Ataque – Hacker Mind- set 19 8 Defense in Depth _________________ 21 9 Network Foundation Protection (NFP) 22 10 Entendendo os Vírus, Worms e Cavalos de Tróia ____________________________ 23 10.1 Anti Vírus _____________________ 25 10.2 Outros Tipos de Malwares _______ 26 11 Entendendo o Buffer Overflow ____ 28 12 Entendendo o Spoofing __________ 30 12.1 Tipos de Spoofing ______________ 31 12.2 IP Spoofing ___________________ 31 12.3 Ataque Man-in-the-middle – MITM 33 13 Entendendo Ataques à Confidencialidade das Informações ______ 34 14 Entendendo Ataques à Integridade das Informações ________________________ 36 15 Entendendo Ataques à Disponibilidade das Informações _____________________ 37 15.1 Ameaças Combinadas ___________ 40 16 Melhores Práticas ou Best-Practices para Manter uma Rede Segura ________ 40 17 Resumo do Capítulo ____________ 41 � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 Página 8 1 Posicionamento dos Roteadores na Rede e Topologias de Acesso à Internet Para qualquer administrador de rede na atualidade o grande desafio é “como fornecer serviços de redes de maneira segura, protegendo informações privadas, pessoais e comerciais estratégicas”. Manter uma rede segura significa garantir a segurança dos usuários da rede e proteger os interesses comerciais. Para manter uma rede segura é necessário vigilância por parte dos profissionais de segurança, os quais devem estar sempre cientes das novas ameaças e ataques a redes, e as vulnerabilidades dos dispositivos e aplicações. Esta informação é usada para se adaptar, desenvolver e implementar técnicas de mitigação. No entanto, a segurança da rede é, em última análise, responsabilidade de todos que a utilizam. Por esta razão, é trabalho do profissional de segurança de rede garantir que todos os usuários recebam treinamento de conscientização de segurança, assim como manter a rede segura e protegida, proporcionando um ambiente mais estável e funcional para todos. Vamos utilizar muito a palavra mitigar durante o curso e na área de segurança. Veja a seguir o sentido da palavra no dicionário da língua portuguesa. Mitigar: vtd 1 Amansar, tornar brando: Mitigar a indignação, a ira, o furor. vtd 2 Adoçar, aliviar, suavizar: Mitigar a dor. Com boas palavras procurei mitigar-lhe o desgosto. vtd 3 Acalmar, atenuar, diminuir: Mitigar a saudade. "...paramos à beira daquele olho-d'água, que nos mitigara a sede" (Gastão Cruls). vpr 4 Acalmar-se, tornar-se mais brando. "...nossa dor se mitigou para cuidarmos em brincar outra vez" (Joaquim Manuel de Macedo). Antôn: exasperar, aumentar. Nos próximos capítulos você aprenderá sobre os três principais objetivos de segurança: confidencialidade, integridade e disponibilidade. 1.1 Breve Histórico Para termos uma visão da linha do tempo podemos colocar alguns acontecimentos como os principais incidentes de segurança divulgados pela mídia: 1978 - Primeiro Spam na ARPAnet 1988 – Vírus Morris infectou diversos computadores na Internet 1999 – Vírus Melissa propagado por e-mail 2000 – Mafiaboy, Love Bug Worm, L0phtCrack 2001 – Ataque Code Red invadiu mais de 350,000 hosts no mundo todo 2004 - Botnet ataca sistemas militares dos Estados Unidos 2007 - Storm botnet – ataque a instituição de cartão de crédito 2008 – Fraude na Société Générale Stock 2011 - Vírus Stuxnet atacou usinas nucleares no Irã. Ataques aos sites do governo Brasileiro realizados pelo grupo de hackers denominado LulzSecBrazil. Atualmente estamos passando pela fase das redes sociais, onde Presidentes e CEO’s das empresas utilizam Facebook, ferramentas de mensagem instantânea e outras ferramentas para comunicação, networking e negócios. Faz parte da missão do profissional de redes implementar uma infra-estrutura física e lógica segura, que comporte as necessidades da empresa e limitem ao máximo os riscos de segurança. � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � tel (41) 430457810 ou (41) 4063-7810 - info@dltec.com.br - www.dltec.com.br A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 Página 9 Existem atualmente diversas organizações que regulamentam e trocam informações de segurança entre profissionais da área, onde as três principais são: SysAdmin, Audit, Network, Security (SANS) Institute Computer Emergency Response Team (CERT) International Information Systems Security Certification Consortium 2 Os Três Princípios Básicos de Segurança Os três principais objetivos da segurança de rede são: Confidencialidade Integridade Disponibilidade Entende-se por Confidencialidade a proteção da informação compartilhada contra acessos não autorizados. Podemos garantir a confidencialidade pelo controle de acesso (senhas) e controle das operações individuais de cada usuário (log). Abaixo seguem mais alguns exemplos: Uso de mecanismos de segurança de rede (por exemplo, firewalls e listas de controle de acesso) para impedir o acesso não autorizado aos recursos da rede. Exigir credenciais adequadas (por exemplo, nomes de usuário e senhas) paraacesso a recursos específicos da rede. Criptografar o tráfego para que um atacante não consiga decifrar todo o tráfego que ele capturar a partir da rede. A Integridade é a garantia da veracidade da informação, que não pode ser corrompida, seja por alterações acidentais ou não autorizadas. Segue abaixo exemplos de violações de integridade: Modificar a aparência de um site corporativo Interceptar e alterar uma transação de comércio eletrônico Modificar os registros financeiros que são armazenados eletronicamente A Disponibilidade é a prevenção de interrupções na operação de todo o sistema, seja ele hardware e/ou software. Por exemplo, uma quebra do sistema não deve impedir o acesso aos dados. Abaixo seguem mais alguns exemplos de como um invasor pode comprometer a disponibilidade de uma rede: Ele poderia enviar indevidamente dados formatados para um dispositivo de rede, resultando em um erro de exceção que o dispositivo não saberia tratar, interrompendo o serviço. Ele pode inundar um sistema de rede com uma quantidade excessiva de tráfego ou requisições. Esta sobrecarga iria consumir recursos de processamento do sistema e impedir que o sistema responda às muitas solicitações legítimas, fazendo com que o serviço seja negado aos usuários que realmente necessitam desse serviço. Este tipo de ataque é chamado de negação de serviço (DoS – Denial of service). � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 Página 10 Conheça a si próprio, conheça seu inimigo. Mil batalhas, mil vitórias. Sun Tzu 3 Classificação dos Dados O processo de Classificação da Informação consiste em identificar quais são os níveis de proteção que as informações demandam e estabelecer classes e formas de identificá-las, além de determinar os controles de proteção necessários a cada uma delas. A fim de criar uma política de segurança adequada, você precisa primeiro classificar seus dados, o que pode até ser exigido por lei. Os benefícios da classificação de dados incluem o seguinte: Mostra o compromisso por parte da empresa para proteger a rede e seus recursos. Identifica os dados que são mais sensíveis da empresa. Facilita a criação de medidas de segurança que devem ser utilizadas para proteger os dados. Fornece uma melhor relação custo-benefício, possibilitando que a empresa foque em dados que tem a maior importância e, portanto, precisam de mais proteção. Normalmente as informações são classificadas mediante sua necessidade de sigilo, porém uma organização também pode elaborar procedimentos para classificá-la perante suas necessidades de integridade e disponibilidade. Cada nível de classificação é criado visando um tipo de informação e costuma-se utilizar um número reduzido de classificações (de 3 a 5). Podemos ter basicamente um tipo de classificação utilizada por órgãos governamentais ou em empresas privadas, conforme exemplo abaixo: Governo Brasileiro Empresas Privadas Ultra-Secreto Interna Secreto Pública Confidencial Restrita Reservado Privada � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 Página 11 Os governos e instituições militares utilizam normalmente a classificação abaixo: Dados não classificados - que tem poucos ou nenhum requisito de privacidade Sensível mas não classificados (SBU) - os dados que poderiam causar constrangimento, mas não constituem uma ameaça à segurança se revelado Dados confidenciais - tem uma probabilidade razoável de causar danos se forem divulgados para uma pessoa não autorizada Dados secretos - tem uma razoável probabilidade de causar sérios danos se divulgados para pessoas não autorizadas Dados ultra-secretos - tem uma probabilidade razoável de causar dano excepcionalmente grave se divulgados para pessoas não autorizadas O governo dos EUA classifica informações confidenciais em três níveis: Confidencial Secreto Top-Secret (ultra secreto) Além de classificar os dados é necessário determinar quais são as características do dado, por exemplo: Valor: é o critério mais importante e indica como os dados são importantes para a organização. Associação Pessoal: dados associados com uma pessoa, como um arquivo de empregado em Recursos Humanos (RH). Idade: o período de tempo que o valor dos dados diminui à medida que os eventos ocorrem, tais como mudanças nas tecnologias sendo usadas. Vida Útil: por quanto tempo a informação é útil? Depois de decidir sobre um esquema de classificação, será necessário fazer algumas tarefas para finalizar o modelo de classificação de dados. Geralmente você precisa identificar quem detém os dados, como classificá-lo e a melhor forma de protegê-lo. Aqui segue uma lista para ajudar a determinar como proceder: 1. Identificar o custodiante dos dados (owner ou dono). 2. Determinar como os dados são classificados e rotulados. 3. Identificar o proprietário dos dados e classificar adequadamente. 4. Identificar eventuais exceções. 5. Identificar os controles específicos para ser usado com cada classificação, se necessário. 6. Definir as regras para a desclassificação de dados e eliminação dos mesmos, se necessário. 7. Criar um programa de conscientização de segurança que aborda a classificação da informação. � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 Página 12 4 Definições e Conceitos de Segurança Em geral, analisando e simplificando o tópico segurança de rede, podemos elencar três fatores que fazem parte do assunto. Vulnerabilidade (Vulnerability) Ameaças (Threat) Ataques (Attack) Podemos dizer que Vulnerabilidade são os protocolos e “furos” de segurança em sistemas e equipamentos que serão explorados pelos atacantes, por exemplo, vulnerabilidades do sistema operacional (windows, linux, etc). Isso inclui roteadores, switches, desktops, servidores e até mesmo dispositivos de segurança. Além disso, as vulnerabilidades podem ser geradas pela própria tecnologia (furos de segurança nos sistemas e aplicativos), por falhas na configuração dos sistemas ou por problemas na política de segurança da corporação. As Ameaças são os perigos em potencial contra a segurança da informação, por exemplo, indivíduos que tem interesse em realizar ataques e sempre estão procurando novas proezas e vulnerabilidades para o acesso não autorizado a redes e sistemas, ou então desejam informações privilegiadas para realizar delitos. Essas ameaças podem ser tanto internas como externas à rede, as quais serão mais bem estudadas posteriormente. O Ataque é a realização do que foi analisado como vulnerabilidade e colocado em prática por um atacante. Normalmente, os dispositivos de rede sob ataque são as extremidades, como servidores e desktops. Outros termos que podemos encontrar em estudossobre o assunto segurança são: Assets: são os ativos, ou seja, quaisquer elementos que tenham valor para a empresa ou organização, por isso mesmo eles precisam ser classificados, pois nem todo asset tem o mesmo valor para diferentes organizações. Na prática é o que queremos proteger. Countermeasure: uma ação ou contramedida para mitigar um risco potencial, são as medidas técnicas, administrativas e controles físicos implementados para mitigar riscos. Information security risk: o risco à segurança da informação é a medida do impacto de vulnerabilidades e ameaças aos assets que a corporação deseja proteger. 4.1 Outras Classificações de Riscos de Segurança Além disso, podemos classificar os riscos de segurança entre físico, lógico (das redes, por exemplo) e humano (engenharia social). Conforme mencionado anteriormente, quando se fala de segurança vem à mente um Firewall, ou seja, um dispositivo de redes, mas e o restante? E se o atacante conseguir acesso ao seu Datacenter ou ao CPD da empresa? Com certeza ele está atrás do Firewall e terá uma gama de ações possíveis para realizar de dentro da rede, normalmente muito mais vulnerável quando atacada internamente. Portanto, temos que abrir os horizontes e pensar que é importante sim a segurança de redes com Firewall, IDS e IPS, porém não podemos nos esquecer da Infraestrutura física e das pessoas, pois o fator humano conta muito para uma rede segura. � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 Página 13 As ameaças à infra-estrutura física podem ser resumidas em: Ameaças ao hardware – danos físicos à infra-estrutura e equipamentos que fazem parte da rede. Ameaças ao ambiente – temperatura, umidade, sujeira, e outros motivos ambientais. Ameaças elétricas – sobretensão, picos de energia, descargas atmosféricas (raios), sistemas de proteção elétrica mal dimensionada, etc. Ameaças à manutenção – problemas de nomenclatura, ocasionando desligamento de equipamentos errados, janelas de manutenção mal dimensionadas, falta de manutenção preventiva, etc. Sobre o fator humano temos que falar da Engenharia Social, que são meios de levar membros de uma corporação ou até mesmo uma pessoa física a fornecerem informações importantes, como o local de arquivos ou senhas, facilitando o processo de invasão. Ela pode incluir sensibilizações ao ego de um funcionário ou pode ser uma pessoa disfarçada, ou com documento falsificado, que leva uma pessoa a fornecer informações confidenciais. Atualmente se fala bastante do risco das redes sociais, pois podem ser fonte de pesquisa para a Engenharia Social, permitindo que o atacante mal intencionado colete informações das pessoas da corporação para iniciar uma abordagem mais elaborada. O risco da engenharia social se estende para a vida pessoal, não somente para o corporativo, assim como os ataques buscando informações para crimes virtuais, como roubo de senha para acesso indevido à conta bancária via Internet, clonagem de cartões de crédito e compras indevidas com os dados pessoais e de cartão de crédito de outras pessoas. 5 Controles de Segurança Os controles de segurança são as medidas aplicadas para controlar e reduzir riscos para seus dados. Os controles de segurança são geralmente agrupados em três categorias: administrativas, técnicas e físico. Controles administrativos são tipicamente associados com as políticas e procedimentos de segurança. Seguem alguns exemplos abaixo: Políticas e procedimentos de segurança Conscientização dos usuários Auditorias Alterar os procedimentos de controle Checar antecedentes dos funcionários Práticas de contratação bem estabelecidas Job rotation (rotação de cargos) Separação de funções entre os funcionários bem estabelecidas Os controles administrativos constituem a camada de gerenciamento da estrutura de controle, formando a base para montar uma estrutura de segurança. Já os controles técnicos são geralmente baseados em ferramentas de hardware e software. Abaixo seguem alguns exemplos: Firewalls Sistemas de detecção e prevenção de intrusão (IPS e IDS) Listas de controle de Acesso (ACL) Rede virtual privada (VPN) Sistemas de gerenciamento de identidade, como TACACS+ e RADIUS Sistemas de controle de admissão (CAC) Tokens e smartcards � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 Página 14 Tal como acontece com os controles administrativos, todos os controles técnicos do mundo são inúteis se eles são a única linha de defesa da empresa, pois as três categorias são interdependentes. Os controles físicos são normalmente de natureza mecânica. Os exemplos seguintes são de controles físicos: Fechaduras e travas Fontes de alimentação redundantes Geradores a Diesel Equipe de seguranças Sensores de movimento Sistemas de Alarme Cofres Sistemas de supressão de fogo Os controles são classificados também como preventivos, impeditivos ou visam à detecção de um ataque, em inglês preventative, deterrent ou detective respectivamente. Deve ser lembrado que, embora haja a necessidade de controles físicos, a segurança humana deve vir acima de tudo, implantando portas e fechaduras que garantam a saída no caso de uma emergência, mas previnam a entrada de pessoas não autorizadas. Mesmo com todos os controles implementados a empresa pode ainda sofrer ataques e deve ter uma metodologia para responder a esse problema ou incidente, no próximo capítulo veremos melhor esse assunto. 5.1 Resposta a um Incidente de Segurança Responder a um incidente de segurança é fundamental e parte da rotina operacional da área de segurança nas empresas. E o modo como você responde a um incidente é ainda mais importante. Manter uma linha estabelecida e seguir um conjunto específico de procedimentos levará ao sucesso nessa tarefa. Há tipicamente seis fases para resposta a incidentes listadas nas boas práticas, as quais você pode memorizar usando a palavra PICERL mnemônico, como ilustrado aqui: P – Preparação I – Identificação C – Contenção E – Erradicação R – Restauração L - Lições aprendidas Além disso, a resposta a um incidente de segurança tem seus aspectos legais, pois a quebra de sigilo e roubo de informações constituem crimes previstos em lei, porém as penas e interpretações podem variar de país para país. Uma dica importante é que se aconselha a não reinicializar os sistemas até que a investigação seja finalizada, pois pistas podem ser apagadas em alguns casos de ataque, por exemplo, se você não mantém o envio das mensagens de log (registros) dos roteadores em um servidor externo de syslog, ao reinicializá-lo essas mensagens serão apagadas, pois o buffer do roteador utiliza a memória RAM para armazenamento por padrão. � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br A p o s t i l a / E - B o o k d o C u r s o I IN S 6 4 0 - 5 5 4 Página 15 6 Classificação de Ataques e Hackers Os ataques às redes, em linhas gerais, podem ser realizados das seguintes maneiras: Estruturado: por um indivíduo ou grupo estruturado e preparado técnica e tecnologicamente para realizar o ataque. É um ataque profissional e com um objetivo claro. Não Estruturado: normalmente iniciantes que utilizam ferramentas disponibilizadas para hackers, com a finalidade de testar os conhecimentos do atacante ou até mesmo com fins ilícitos. Externos: realizado por pessoas de fora da organização, normalmente via Internet, e pode ser realizado de maneira estruturada ou não estruturada. A gravidade do ataque depende da motivação e grau de experiência do atacante. Internos: realizado por pessoas que têm acesso à rede, ou seja, por um funcionário ou terceiro autorizado da corporação. São ataques normalmente mais difíceis de detectar e as redes precisam ter uma estrutura razoável para minimizar esse tipo de ataque. Especificamente, de acordo com o Computer Security Institute (CSI), em San Francisco - Califórnia, cerca de 60% a 80% dos incidentes de segurança são originados de dentro da rede, ou seja, por atacantes internos da empresa. Portanto, embora o isolamento de rede seja possível hoje em ambientes de rede, ele não assegura 100% às informações, pois mesmo que isolemos uma rede do mundo externo um atacante interno pode representar uma ameaça à segurança. O maior exemplo do que foi citado anteriormente são os filmes, onde muitas vezes são copiados e distribuídos mesmo antes de seu lançamento oficial nos cinemas. Os potenciais adversários dos analistas e recursos de segurança de uma empresa podem ser: Nações ou estados Terroristas Criminosos Hackers Competidores de mercado Empregados descontentes com a empresa Agências governamentais � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 Página 16 À medida que os tipos de ameaças, ataques e meios de explorar vulnerabilidades em redes evoluíram, vários termos foram criados para descrever os “atacantes”, os quais nem sempre são “do mal”. Hacker geralmente é o termo geral historicamente utilizado para descrever um especialista em programação de computador. Mais recentemente, esse termo passou a ser utilizado de modo negativo para descrever um indivíduo que tenta obter acesso não autorizado a recursos de rede com má intenção, porém existe uma gama de tipos de hackers na atualidade. A seguir vamos estudar alguns termos e classificações para os tipos de atacantes. 6.1 Tipos de Atacantes (Hackers) Veja abaixo os tipos de Hackers e Atacantes com uma nomenclatura tradicional utilizada na área de segurança: White hat – um “atacante do bem”, normalmente procura falhas nos sistemas e protocolos para informar e corrigir o risco de segurança. Traduzindo para o português chama-se hacker “chapéu branco”. Gray hat – Tem as habilidades e intenções de um hacker de chapéu branco na maioria dos casos, mas por vezes utiliza seu conhecimento para propósitos menos nobres. Um hacker de chapéu cinza pode ser descrito como um hacker de chapéu branco que às vezes veste um chapéu preto para cumprir sua própria agenda. Hackers de chapéu cinza tipicamente se enquadram em outro tipo de ética, que diz ser aceitável penetrar em sistemas desde que o hacker não cometa roubo, vandalismo ou infrinja a confidencialidade. Alguns argumentam, no entanto, que o ato de penetrar em um sistema por si só já é antiético (ética hacker). Black hat – esse é o “atacante do mal”, procura invadir sistemas e redes para fins pessoais (satisfação do seu ego) ou financeiros. Cracker é um exemplo de black hat. Traduzindo para o português chama-se hacker “chapéu preto”. Cracker – termo mais preciso para descrever alguém que tenta obter acesso não autorizado a recursos de rede com má intenção. Phreaker – o precursor do black hat, porém utilizando normalmente telefones públicos para realizar chamadas gratuitas. Spammer – esse conhecemos bem, pois recebemos uma pilha de e-mails indesejados diariamente dos spammers, os quais enviam os famosos “spams”, as propagandas, vírus e outros “lixos” eletrônicos por e-mail. Phisher – utiliza email ou outros meios para levar outras pessoas a fornecer informações confidenciais, como números de cartão de crédito ou senhas. Um phisher se mascara como uma parte confiável que teria uma necessidade legítima pelas informações confidenciais. Script Kiddies – subcategoria de crackers que não têm um alvo certo, vão tentando invadir tudo que vêm pela frente. Utilizam ferramentas encontradas na Internet, nem programar sabem, mas possuem um conhecimento digital bem acima dos usuários comuns. Hacktivistas – são hackers não mais preocupados em quebrar sistemas pela diversão, mas focados em questões políticas e sociais. São pessoas que dominam bits e bytes, assim como Mahatma Gandhi dominava as palavras, porém com um cunho político. � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 Página 17 Computer Security Hacker – um hacker de que tem conhecimento sobre as técnicas e aspectos da informática e sistemas de segurança de rede. Por exemplo, este pessoa pode tentar atacar um sistema protegido por um IPS fragmentando o tráfego malicioso de uma maneira que não são detectados pelo IPS. Hacker Acadêmico (Academic hacker) – é tipicamente um trabalhador ou um estudante em uma instituição de ensino superior que utiliza os recursos de computação da instituição para escrever programas “inteligentes”. Normalmente esses hackers usam seus nomes reais (ao contrário dos pseudônimos frequentemente utilizado dos Computer security hacker), e tendem a se concentrar em sistemas operacionais baseados em software livre (por exemplo, Linux). Hacker por Hobby – tendem a focar em computação doméstica. Eles podem modificar hardware ou software existentes para uso dos mesmos sem licença legal. Por exemplo, gerar um código que "destrava" o iPhone da Apple pode ser obra de um hacker por hobby. Olhando essa quantidade de tipos de hackers é importante tentarmos responder algumas questões: “O que os motiva?”, “Como eles podem chegar a ter sucesso em seus ataques?”. Existem diversos tipos de formas de se fazer ataques, mas vamos agora descrevê-los de uma maneira mais abrangente e classificá-los conforme a lista abaixo. Passivo (passive): Um ataque passivo é difícil de detectar, porque o atacante não está ativamente enviando o tráfego (malicioso ou não). Um exemplo de ataque passivo é um atacante capturando pacotes da rede e tentando decifrá-los (se o tráfego estava criptografado originalmente), normalmente utilizando um sniffer. Ativo (active): Um ataque ativo é mais fácil de detectar, pois o atacante está ativamente enviando tráfego que pode ser detectado. Um invasor poderia lançar um ataque ativo na tentativa de acesso a informações confidenciais ou para modificar dados em um sistema. Esse é um ataque mais tradicional. Close-in ou Proximidade: Um ataque close-in, como o nome sugere, ocorre quando o atacante está em estreita proximidade física com o sistema de destino. Porexemplo, um invasor pode facilmente evitar a proteção de senha de console em alguns roteadores, switches e servidores se ele ganha acesso físico nesses dispositivos. Insider ou Interno: um ataque interno ocorre quando usuários legítimos da rede utilizam suas credenciais e conhecimento da rede para realizar o ataque. Distribuição (distribution): são ataques onde "back doors" são introduzidos intencionalmente ao hardware ou sistemas de software no momento da fabricação para facilitar ataques posteriores. Após esses sistemas terem sido vendidos a vários clientes o invasor pode usar seu conhecimento do back door (brecha de segurança traduzida literalmente por “porta dos fundos”), por exemplo, tendo acesso a dados protegidos, manipulando dados ou tornando o sistema indisponível para os usuários finais. Por isso, lembre que segurança vai muito além de implementar um Firewall, o dispositivo mais conhecido pelo público em geral quando se fala do assunto, pois ela vai desde a parte física (aspectos de acessibilidade, energia...), disponibilidade da informação (backups, links reservas...), regras de uso ou política de segurança até os equipamentos e aplicativos de segurança de informação e redes que tradicionalmente conhecemos. � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 Página 18 7 Tipos de Ataque às Redes Podemos dividir esses ataques em três classes: reconhecimento, acesso e negação de serviços. Ataques de Reconhecimento servem para a detecção não autorizada e o mapeamento de sistemas, serviços ou vulnerabilidade. Ele também é conhecido como footprint ou coleta de informações e, é a fase inicial de uma invasão, onde o invasor está reconhecendo a rede e suas vulnerabilidades. O invasor tenta com esses ataques descobrir uma forma mais fácil de invadir a rede, sejam equipamentos ou sistemas. Exemplos de ataques de reconhecimento: Consultas de informações de Internet: utilizando ferramentas como whois e nslookup para descobrir endereços de IP de entrada para a rede. Varreduras de ping: com os endereços IP’s os atacantes podem enviar pings para determinar outros IP’s de outras máquinas como opções de acesso para invasão. Verificações de porta (port scan): o port scan tem o objetivo de verificar quais portas TCP e UDP estão abertas na rede, ou seja, que o firewall permite acesso para identificação das vulnerabilidades a serem exploradas (exploits). Sniffers de pacote: permitem que o atacante analise a comunicação em busca de troca de pacotes TCP e UDP não seguras para capturar usuários, senhas e outras informações úteis ao ataque, utilizando um analisador de protocolos. Uma rede privativa ou um método de criptografia pode ajudar a evitar Após o reconhecimento o Ataque de Acesso é a tentativa de entrada ou acesso utilizando normalmente um script ou uma ferramenta que explore uma fraqueza conhecida do sistema, aplicativo ou dispositivo que está sendo atacado para descobrir um usuário e senha válidos, por exemplo. Exemplo de ataque de acesso: Ataque de senhas: utilização de scripts e programas para descobrir usuários e senhas para acesso a um sistema ou dispositivo. Normalmente são tentativas repetidas de login em um recurso compartilhado, como um servidor ou roteador, para identificar uma conta de usuário, senha ou ambos, também conhecido como ataque de força bruta. Um exemplo é a ferramenta L0phtCrack. Exploração de confiança (Trust Exploitation): o objetivo desse ataque é invadir um host confiável, utilizando-o para preparar ataques em outros hosts de uma rede. Redirecionamento de Porta (Port Redirection): Um ataque de redirecionamento de porta é outro tipo de ataque baseado na exploração de confiança. O atacante usa um host comprometido para o acesso através de um firewall que seriam normalmente bloqueados para um micro não confiável. Man-in-the-Middle ou Ataque de Interceptação: O ataque “man in the middle” (literalmente “ataque do homem no meio” ou “ataques do interceptor”), às vezes chamado MITM, é um cenário de ataque no qual um invasor “ouve” uma comunicação (utilizando um sniffer) entre dois interlocutores e falsifica as trocas a fim de fazer se passar por uma das partes. Spoofing de IP (Falsificação): A principal característica do Spoofing é convencer alguém de que ele é algo que ele não é, conseguindo assim, autenticação para acessar alguma parte restrita à qual ele não tem permissão, através da falsificação do seu endereço de origem. A Negação de Serviços ou ataques DoS são os mais temidos, é uma tentativa em tornar os recursos de um sistema indisponíveis para seus utilizadores ou clientes. Alvos típicos são servidores web, e o ataque tenta tornar as páginas hospedadas indisponíveis na WWW. Não se trata de uma invasão do sistema, mas sim da sua invalidação por sobrecarga. Exemplos de ataques de DoS: � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 Página 19 DoS Distrubuído (DDoS): Em um ataque distribuído de negação de serviço (também conhecido como DDoS, um acrônimo em inglês para Distributed Denial of Service), um computador mestre (denominado "Master") pode ter sob seu comando até milhares de computadores ("Zombies" - zumbis), sendo que as tarefas de ataque de negação de serviço serão distribuídas a um "exército" de máquinas escravizadas. TCP SYN Flood: o atacante envia uma sequência de requisições SYN para um sistema- alvo visando uma sobrecarga direta na camada de transporte e indireta na camada de aplicação do modelo OSI. Ataque de Smurf: o invasor envia uma rápida sequência de solicitações de Ping (um teste para verificar se um servidor da Internet está acessível) para um endereço de broadcast. Usando spoofing (fazer passar por outro computador da rede para conseguir acesso a um sistema), o invasor faz com que o servidor de broadcast encaminhe as respostas não para o seu endereço, mas para o da vítima. Assim, o computador alvo é inundado pelo Ping. Portanto, com um passo a passo bem estruturado e planejado, assim como lançando mão do uso de uma ou um conjunto de ferramentas conforme as citadas acima um hacker traça seu plano e pode executar ataques tanto a redes domésticas ou corporativas. Vamos aprender durante o curso como tratar e proteger a rede contra diversas ameaças. 7.1 Anatomia de um Ataque – Hacker Mind-set Vamos analisar um pouco sobre como um hacker pode planejar e executar um ataque, chamado “mind-set” do hacker, que em português poderíamos traduzir para “forma de pensar”. Veja um exemplo abaixo baseado nas principais publicações sobre o assunto: Passo 1 – Aprender mais sobre o sistema com ataques de reconhecimento (reconnaissance). Nesta etapa, também conhecido como "footprinting" (pegadas), o hacker descobre tudo o que puder sobre o sistema. Por exemplo, ele pode aprender os nomes de domínio da empresa-alvo e a faixa de endereços IP utilizada. Ele pode realizar uma varredura de portas (port-scan) para ver quais portas estão abertas. Passo 2 - Identificar as aplicações no sistema, assim como o sistema operacional dos servidores, também chamado de processo de enumeração. Os hackers podem utilizar várias ferramentas para tentar se conectara um sistema e dependendo do prompt que eles recebem (por exemplo, um prompt de login do FTP ou uma página da Web padrão) é possível ter uma idéia do sistema operacional utilizado. Além disso, o port-scan, já mencionado, pode ajudar a identificar as aplicações/sistemas que estão rodando nos servidores. Passo 3 – Obter acesso ao sistema (realizar a invasão). A engenharia social é uma das maneiras mais populares para obter usuários/senhas de login a um sistema. Por exemplo, os registros públicos de DNS fornecem informações de contato da empresa, normalmente do administrado do domínio. Um hacker pode ser capaz de usar essas informações para convencer o administrador para revelar informações sobre o sistema, por exemplo, fingindo ser um prestador de serviços ou um funcionário público autorizado a receber essas informações genéricas sobre o sistema operacional e aplicações utilizadas. Esta abordagem é chamada de pretexto ou “pretexting”, ou seja, fingir que é outra pessoa para obter informações e tirar vantagem delas. Outra forma de invasão é utilizar as falhas do sistema ou exploits, problemas de configuração e outros tipos de brechas para penetrar no sistema. Passo 4 - Fazer o login com as credenciais do usuário obtidas e escalar privilégios de acesso (entrar como usuário normal de rede e tentar subir o nível para root). Por exemplo, um hacker poderia introduzir um cavalo de Tróia (um pedaço de software que parece ser uma aplicação legítima, mas tem uma função de ataque invisível na máquina de destino) para subir seus privilégios na máquina ou sistema. � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 Página 20 Passo 5 - Reunir nomes de usuário e senhas adicionais. Com os privilégios apropriados, os hackers podem executar utilitários para criar relatórios de nomes de usuário e/ou senhas, o que é muito comum na Internet em sites pagos, onde sofrem invasão e tem usuários e senhas divulgados em listas de sites de crackers. Passo 6 - Configurar uma "porta dos fundos” ou “backdoor”. Acessando um sistema através de um nome de usuário/senha pode não ser como um hacker quer repetidamente ter acesso ao sistema. As senhas podem expirar e logins podem ser registrados para auditorias futuras, deixando “rastros”. Portanto, os hackers preferem instalar uma backdoor, que é um método de ganhar acesso a um sistema burlando medidas de segurança normais. Passo 7 - Utilizar o sistema. Depois que o hacker ganha o controle do sistema ele pode reunir informações protegidas a partir desse acesso. Alternativamente, ele pode manipular os dados do sistema ou utilizar esse dispositivo/sistema invadido para lançar ataques contra outros sistemas, com os quais ele pode ter uma relação de confiança estabelecida. Veja a figura a seguir um modelo do passo a passo da anatomia de um ataque. � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 Página 21 Conforme mencionado, o exemplo acima é hipotético e genérico. Agora vamos analisar os tipos de ataques que podem ser realizados para invadir mais especificamente uma rede. 8 Defense in Depth “Defense in Depth” ou “Defesa em Profundidade” é uma filosofia de design que realiza uma abordagem de segurança em camadas. De acordo com este princípio, não se deve depender de apenas um mecanismo de segurança não importando quão forte ele pareça ser. Ao invés disso, recomenda-se que sejam utilizados múltiplos mecanismos de segurança e que estes estejam configurados no nível mais alto possível de segurança e redundância. A estratégia principal é fazer com que o ataque seja significativamente arriscado e caro ao atacante Um exemplo prático ocorre quando se utiliza dois roteadores, um externo conectado diretamente a Internet e um interno conectado diretamente a rede privada e entre eles um bastion host. Neste caso, esta estratégia poderia ser empregada utilizando redundância em ambos roteadores, aplicando-se ao roteador interno também as regras de filtragem adotadas no roteador externo. Desta forma, caso um pacote que deveria ser barrado no primeiro roteador chegasse ao segundo, isso indicaria que o primeiro roteador foi atacado com sucesso e, consequentemente, um alarme poderia ser acionado a fim de que medidas sejam tomadas para solucionar o problema. Esta estratégia permite que o sistema tolere mais falhas na segurança. Veja na tabela como pode ser realizada a proteção com duas camadas de segurança para as classes de ataques de hackers discutidas anteriormente. � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 Página 22 A estratégia de defesa em profundidade recomenda vários princípios, vamos resumir os pontos chave abaixo: Defender em vários lugares Defender os limites (fronteiras) Defender o ambiente de computação Construir defesas em camadas Utilizar componentes robustos Utilizar gerenciamento de chaves seguro e robusto Implantar IDS e/ou IPS na rede 9 Network Foundation Protection (NFP) Outra maneira de proteger a rede é utilizando o conceito do NFP, ou seja, dividindo a rede em planos (planes) ou camadas: Control plane: protocolos de roteamento e controle. Data plane: encaminhamento dos quadros e pacotes. Management plane: utilizado em sessões de gerenciamento. A Cisco possui uma caixa de ferramentas para NFP (Toolkit) que visa a proteção em cada um dos planos da rede conforme abaixo: Control Plane: Control Plane Policing (CoPP), Control Plane Protection (CPPr), Routing protocol authentication (autenricação para o RIP, EIGRP e OSPF) e AutoSecure. Management Plane: Authentication, Authorization, and Accounting (AAA), Network Time protocol (NTP), Syslog, Simple Network Management Protocol (SNMP), Secure Shell (SSH), Transport Layer Security (TLS) e CLI views. Data Plane: Access control lists (ACLs), Layer 2 controls (controles de camada-2), Zone-Based Firewall e IOS Intrusion Prevention System (IPS) Muitas dessas proteções serão estudadas durante os próximos capítulos. � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 Página 23 10 Entendendo os Vírus, Worms e Cavalos de Tróia Keylogging, Virus, Trojan, Malware e Spyware são várias palavras para denominar uma série de “vilões” dos usuários, aqueles programas mal-intencionados cujo uso vai desde roubo de senhas e informações até o mais puro caos e destruição. Mesmo assim, muitos não sabem a diferença entre uma coisa e outra, chamando tudo de “vírus”, o que pode trazer algumas confusões na hora de se defender.Os MALWARES são programas especificamente desenvolvidos para executar ações danosas em um computador. Exemplos: worm, bots, virus, trojans... Um vírus é uma sequência de código inserida em outro código executável, o qual tem as seguintes características: Replicação: os vírus se replicam para diversos arquivos da máquina a fim de garantir a sua sobrevivência dentro daquele sistema. É ativado por uma ação externa: por exemplo, um arquivo anexo de e-mail que está localizado na caixa de entrada do programa gerenciador de e-mails. Se este arquivo não for executado não há como a máquina ser infectada por esse vírus. A infecção ocorre no momento que se executa o programa com código malicioso. A partir daí esse se espalha, ou seja, ele se multiplica danificando diversos arquivos e sistemas da máquina onde ele se encontra. Pode-se citar também outro tipo de programa malicioso que é intitulado como trojan. Sua principal função é inserir um trecho de código em um programa aparentemente inofensivo, mas na verdade a intenção é colocar um hospedeiro na máquina invadida, deixando assim o invasor com o controle total da máquina. Os trojans são um tipo de ferramenta que se popularizaram na Internet a partir de 1997, quando foi lançado o famoso Back Orifice (uma brincadeira com o nome Back Office da Microsoft). Um cavalo de tróia, ou trojan, é um programa que, quando instalado no sistema de alguém, geralmente abre uma porta TCP ou UDP para receber conexões externas, fornecendo normalmente o shell (prompt de comandos) daquele sistema para um possível invasor. Isso não é regra geral, já que alguns backdoors podem fazer também conexão reversa e outros � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 Página 24 tipos de técnicas. Um cavalo de tróia nada mais é do que um backdoor disfarçado de um programa comum, como um jogo. O termo “cavalo de tróia” faz analogia ao cavalo de madeira que os gregos deram aos troianos, no famoso episódio da guerra de Tróia. Um worm, assim como um vírus, cria cópias de si mesmo de um computador para outro, mas faz isso automaticamente. Primeiro, ele controla recursos no computador que permitem o transporte de arquivos ou informações. Depois que o worm contamina o sistema, ele se desloca sozinho. O grande perigo dos worms é a sua capacidade de se replicar em grande volume. Por exemplo, um worm pode enviar cópias de si mesmo a todas as pessoas que constam no seu catálogo de endereços de email, e os computadores dessas pessoas passam a fazer o mesmo, causando um efeito dominó de alto tráfego de rede que pode tornar mais lentas as redes corporativas e a Internet como um todo. Quando novos worms são lançados, eles se alastram � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 Página 25 muito rapidamente. Eles obstruem redes e provavelmente fazem com que você (e todos os outros) tenha de esperar um tempo maior para abrir páginas na Internet. Na prática, todos os vírus e vários worms não podem se espalhar sem que você abra um arquivo ou execute um programa infectado. Muitos dos vírus mais perigosos foram espalhados principalmente via anexos de email, os arquivos que são enviados com as mensagens de email. Geralmente você tem como saber que um email contém um anexo, pois este é exibido como um ícone de clipe de papel que representa o anexo e contém o seu nome. Fotos, cartas escritas no Microsoft Word e até mesmo planilhas eletrônicas do Excel são apenas alguns dos tipos de arquivo que você pode receber através de email a cada dia. Um vírus é ativado quando você abre um arquivo anexo infectado. 10.1 Anti Vírus O anti-vírus é a ferramenta mais recomendada contra vírus, worms e trojans nos hosts, além disso os IPSs (sistema de prevenção de intrusos) e os IDSs (sistema de detecção de intrusos), em conjunto com os firewalls podem ser de grande ajuda para evitar que esses programas e códigos maliciosos entrem na rede, infectando os micros e servidores. Nada pode garantir que um computador está 100% protegido. Entretanto, para continuar a melhorar a segurança do computador recomenda-se manter os programas atualizados e atualizar sempre a assinatura do software antivírus. Outras ferramentas que podem ser implementadas são os HIPSs ou Host IPS e anti-spyware ou programa anti-espionagem que protegem contra diversos tipos de infecções e cavalos de tróia. Também não devemos abrir arquivos suspeitos, e-mails que não sejam de origem confiável, nem utilizar o computador em redes suspeitas sem estar com seu micro atualizado e com o anti-vírus atualizado. Tratando do problema com uma abordagem mais corporativa, ou seja, em como tratar um infecção de vários computadores em uma empresa, o administrador deve se preocupar com a política de segurança nos hosts, sejam micros ou servidores, garantindo que não saia uma máquina para um usuário final sem um anti-vírus instalado. Existem várias opções de anti-vírus corporativas que facilitam a administração, como por exemplo, os mostrados ao lado. Outra medida é que os anti-vírus e sistemas devem estar sempre atualizados. O NAC (Network Admission Control) da Cisco pode ajudar nessa tarefa, ele tem a função de avaliar se a política de segurança nos hosts está sendo cumprida e colocar micros fora da política em uma espécie � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 Página 26 de quarentena até que a situação seja resolvida, como por exemplo, o anti-vírus seja atualizado. Já uma infecção por um worm exigirá mais do administrador de rede por sua característica de propagação utilizando a rede. A resposta a uma infecção do worm pode ser dividida em quatro fases: contenção, inoculação, quarentena e tratamento. Veja na figura ao lado como mitigar ataques de worms. A contenção visa limitar a infestação que pode se espalhar na rede, o que pode ser realizado através de ACLs ou até mesmo desligando certos segmentos de redes infestados, isolando-os. A inoculação é onde o problema é resolvido, aplicando patches de segurança ou removedores de worms especificamente lançados para determinadas infestações. A quarentena e o tratamento serve para isolar os micros infectados e inoculá-los resolvendo o problema. Muitas vezes pode chegar ao ponto de ser necessária a reinstalação do sistema operacional para resolver o problema. 10.2 Outros Tipos de Malwares Existem além dos três vilões citados acima outros riscos, tais como: Adware: Tradicionalmente, o Adware é uma forma legítima de distribuição de software. Alguns desenvolvedores, principalmente aqueles independentes de grandes corporações, na hora de lucrar com suas criações, optam por um modelo de negócios alternativo: em vez de cobrar pelo programa em questão, cria-se um modelo de publicidade em programas. Ou seja, o desenvolvedor ganha uma comissão de anunciantes,que pagam para terem seus banners ou links nos programas utilizados pelos usuários. A prática é legal, porém existe o lado oposto, com Adwares que corrompem arquivos de usuários ou instalam Spyware. Um caso famoso era o software BonziBUDDY, um macaco roxo animado que era disponibilizado como um “companheiro” ao usuário, além de prometer aprimorar a experiência de navegação. Intrusões em excesso, mudança de configurações, exibição de pop-ups sem permissão, entre outras acusações, incluindo de instalação de Trojan e uso de Backdoor, levaram o macaco a ser um dos programas mais odiados da internet. � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 Página 27 Spyware: É o “software espião”. Geralmente, é um arquivo que é executado de maneira oculta, coletando dados de uso do computador e da internet do computador infectado. Alguns chegam a roubar dados, agir como keyloggers, alterar configurações e arquivos e até instalar programas. Botnet: No caso, não é uma ameaça direta, mas sim uma consequência de outros males. Uma Botnet, ou Rede de Robôs (Bots), acontece quando um hacker infecta uma série de computadores (por meio de Trojan ou Worm, geralmente), fazendo-os integrar uma rede, sem que seus donos saibam. Com esses computadores como seus “soldados”, o Hacker pode disponibilizar seus serviços por dinheiro, e utilizá-los para mandar mensagens de Spam em massa, assim como derrubar conexões e servidores por ataques de Denial of Service. Keyloggers: Software que realiza o Keylogging ou Keystroke Logging, é um programa oculto que registra tudo que é digitado em um computador. Geralmente instalado por meio de um Trojan, facilita a obtenção de informações e senhas. É por isso que vários sistemas de sites, como o exemplo de bancos, pedem o uso de teclados virtuais, que não necessitam que o usuário tecle suas senhas. Rootkit: Software de uso ativo, ele permite privilégios de acesso continuados a um computador, ao mesmo tempo que disfarça sua presença. Um Hacker geralmente instala um rootkit depois de passar das barreiras mais simples de um sistema, possibilitando acesso administrativo e, eventualmente, acesso total aos dados do sistema invadido. � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 Página 28 11 Entendendo o Buffer Overflow Os Buffers são áreas de memória criadas pelos programas para armazenar dados que estão sendo processados. Cada buffer tem um certo tamanho, dependendo do tipo e quantidade de dados que ele irá armazenar. O chamado “estouro de buffer”, falha muito comum hoje, ocorre quando o programa recebe mais dados do que está preparado para armazenar no buffer. Se o programa não foi adequadamente escrito, este excesso de dados pode acabar sendo armazenado em áreas de memória próximas, corrompendo dados ou travando o programa, ou mesmo ser executado, que é a possibilidade mais perigosa. Se um programa qualquer tivesse uma vulnerabilidade no sistema de login por exemplo, você poderia criar um programa que fornecesse caracteres de texto até completar o buffer e depois enviasse um executável, que acabaria rodando graças à vulnerabilidade. Tanto o stack overflow (overflow da pilha) quanto o heap overflow (overflow da memória heap) podem ser encontrados em diversos programas existentes no mercado. O conceito é simples e vamos pegar o stack overflow como exemplo. Suponhamos que eu esteja fazendo um programa em linguagem C (poderia ser qualquer uma) e nele crio um buffer, um espaço na memória destinado a receber entrada de dados. Veja o exemplo a seguir: #include <stdio.h> #include <stdlib.h> int main(int argc, char **argv){ char buffer[10]; strcpy(buffer, “testandostackoverflow”)); return 0; } Nesse pequeno programa, definimos o tamanho do buffer como 10 caracteres e copiamos para ele (através da função strcpy) um texto (string) contendo 21 caracteres. Como a função strcpy, ao contrário de strncpy, não faz a checagem do tamanho do espaço disponível, esse programa causará um estouro de buffer, fazendo com que você possa incluir um código personalizado para ser executado pelo programa. Veremos as implicações disso depois. Portanto, a ideia é estourar o buffer e sobrescrever parte da pilha, mudando o valor das variáveis locais, valores dos parâmetros e/ou o endereço de retorno. Altera-se o endereço de retorno da função para que ele aponte para a área do código que se deseja executar, onde encontra-se armazenado o código malicioso. Pode-se assim executar código arbitrário com os privilégios do usuário que executa o programa vulnerável. Veja figura a seguir. � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 Página 29 Um caso famoso foi descoberto no passado (ano 2000) no Outlook Express. Graças à uma vulnerabilidade, era possível fazer com que um e-mail executasse arquivos apenas por ser aberto! Bastava anexar um arquivo com um certo número de caracteres no nome, que ele seria executado ao ser aberta a mensagem. Naturalmente, a Microsoft se apressou em lançar um patch e alertar os usuários para o problema. Para corrigir este tipo de vulnerabilidade de over flow basta tratar as entradas e não permitir entradas maiores do que o tamanho do buffer. � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 Página 30 12 Entendendo o Spoofing Spoofing é a arte de criar informações de rede falsas e utilizá-las para diversos propósitos: Evitar ser capturado nos logs do sistema fazendo o que não devia Realizar scanneamentos estando totalmente oculto (varreduras) Ganhar acesso a máquinas que são protegidas por configurações de firewall O IP Spoofing é uma das técnicas mais usadas para personificar quem você não é, ou seja, assumir uma identidade falsa, no caso do IP um endereço de rede falso conforme figura a seguir. Os atacantes podem lançar uma variedade de ataques iniciando com um ataque de spoofing IP. Um ataque de spoofing de IP faz com que o endereço IP de um atacante pareça ser um endereço IP confiável. Por exemplo, se um invasor convence um host que ele é um cliente confiável, ele pode ganhar acesso privilegiado a um host ou capturar o tráfego de uma sessão, o qual pode incluir credenciais como nomes de usuários e senhas. Outro exemplo é utilizar a falsificação para fazer um ataque de negação de serviço (DoS) e negação de serviço distribuída (DDoS), onde o atacante pode usar falsificação de IP para ajudar a esconder sua identidade. Para simplificar, é como você chegar a algumlocal que te peçam um documento e você mostrar uma identidade falsa. Essa identidade não tem foto, somente um nome. A pessoa que está fazendo a segurança checa o nome, vê que está na sua lista e deixa entrar. Apesar de ser tecnicamente um pouco complexo, o conceito de spoofing é bem simples. � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 Página 31 12.1 Tipos de Spoofing Temos vários outros tipos: ARP Spoofing, spoofing de endereços MAC, DNS Spoofing e, claro, IP Spoofing. Existem dois tipos de IP spoofing: cego e não-cego. IP Spoofing Não-cego (Nonblind spoofing): geralmente, quando o IP spoofing é realizado, o pacote a ser enviado deve ser modificado, colocando outro endereço que não seja o do atacante. Esse pacote irá até o seu destino e será processado por ele de alguma maneira, seja enviando uma resposta ou simplesmente recusando-o. Agora como o atacante vai receber essa resposta, já que o endereço que está na informação enviada não é o verdadeiro da sua máquina original? A resposta é simples: se ele está em uma rede local, pode sniffar (farejar a rede) e analisar o tráfego dos pacotes IP e suas características internas. Isso seria o spoofing não-cego, pois o atacante pode ver a resposta do alvo, mesmo que ela seja endereçada a um endereço falso e inexistente que o atacante forjou. IP Spoofing Cego (Blind spoofing): nesse caso o atacante está fora da sub-rede do atacado, de uma rede local e, consequentemente, não pode capturar o tráfego de resposta. Esse spoofing só é útil em casos em que o atacante não precisa receber um pacote de retorno. Exemplos: enviar e-mails, realizar Denial of Service etc. Também podem ser utilizados para tentar acesso aos antigos serviços R baseados em autenticação por IP (rlogin, rsh etc.). Sabendo o endereço IP certo e enviando os comandos necessários, o atacante poderia realizar alguma configuração de firewall ou execução de backdoor e, assim, obter acesso posterior à máquina ou mesmo conexão reversa utilizando o Netcat, por exemplo. 12.2 IP Spoofing Para entender melhor como um ataque de falsificação de IP (spoofing) pode ser realizado vamos relembrar como uma sessão TCP é iniciada, pois na camada 3 é mais fácil do atacante falsificar o pacote IP. Veja a animação a seguir. Analisando a figura lembre como o TCP é inicializado através do handshake de três vias: � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 Página 32 O host (A) inicia uma conexão enviando um pacote SYN para o host (B) indicando que o seu ISN = X: A —> B SYN, seq de A = X. No exemplo o número de sequência enviado é 100. “B” recebe o pacote, grava que a seq de A = X, responde com um ACK de X + 1, e indica que seu ISN = Y (Initial Sequence Number ou número inicial de sequência). O ACK de X + 1 significa que o host B já recebeu todos os bytes até ao byte X e que o próximo byte esperado é o X + 1: B —> A ACK, seq de A = X, SYN seq de B = Y, ACK = X + 1. No exemplo da figura 1, o micro B recebeu o SYN de A 100 e responde com um ACK igual a 101, enviando o valor de 200 como sequência para o micro A. “A” recebe o pacote de B, fica sabendo que a sequência de B = Y, e responde com um ACK de Y + 1, que finaliza o processo de estabelecimento da conexão: A —> B ACK, seq de B = Y, ACK = Y + 1. No exemplo da figura 2 A responde com o valor de 201. Portanto, para entrar no meio de uma conexão, realizando um sequestro ou hijacking da sessão, será necessário que o atacante saiba, descubra ou “chute” os números de sequência para poder entrar nessa sessão TCP. Como vimos anteriormente, em um ataque não cego (nonblind spoofing) o atacante pode descobrir os números de sequência através de um snnifer, por exemplo, pois ele está na mesma sub-rede. No caso de um ataque cego (blind spoofing) já não é possível, sendo bem mais difícil prever os números de sequência. Uma das formas de prever os números de sequência do TCP em um ataque cego é através do “IP source routing” do ICMP. Veja a figura a seguir. Com o "IP source routing" é possível previamente estabelecer o caminho que um pacote irá seguir (path) para chegar ao seu destino, fazendo também com que o destino desse pacote envie suas respostas (replies) utilizando o MESMO caminho. Dessa forma, um cracker sabendo do caminho desses pacotes pode interceptá-los fazendo com que o destino acredite ser ele o source (origem) correto desses pacotes. Nesse tipo de ataque o hacker pode escolher dois tipos de rotas de origem que são permitidas pelo source routing: Strict source routing: Mostra o caminho completo, da origem até o destino, a ser seguido. O datagrama é obrigado a seguir exatamente a rota especificada. Loose source routing: Apresenta uma lista de roteadores que não devem ser esquecidos. Esta opção exige que o datagrama passe por uma lista de roteadores especificados. � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 Página 33 Em roteadores com Cisco IOS você pode evitar esse problema com o comando “no ip source route” em modo de configuração global. Em equipamentos de segurança como o Cisco PIX 500 e Cisco ASA 5500 (Adaptive Security Appliances) esses tipos de pacote são descartados (drop – dropados) por padrão. 12.3 Ataque Man-in-the-middle – MITM Outra forma de spoofing de IP é através de um ataque de man-in-the-middle. Este ataque normalmente é realizado através da escuta do tráfego entre os dois pontos finais através de uma técnica de sniffing. Com a análise desse comunicação o atacante pode “fingir” ser uma extremidade da conexão e pode realizar seu ataque. Um exemplo desse tipo de ataque é realizado através do envio de uma série de pacotes de ARP gratuito (gratuitous ARP ou GARP). Esses pacotes de GARP tem o objetivo de fazer com que a máquina de destino acredite que o endereço MAC da camada atacante é o MAC do roteador do próximo salto ou gateway default. Dessa maneira o invasor pode capturar o tráfego e encaminhá-lo ao gateway sem o usuário final notar qualquer coisa suspeita. O ataque descrito anteriormente, onde o atacante coloca um HUB ou faz um SPAN de porta em um switch para espiar (sniffer) os pacotes de rede também é um tipo de ataque man-in-the- middle. Veja a figura a seguir. Para proteger a rede contra ataques de falsificação de IP várias técnicas podem ser implementadas e serão estudadas em detalhe, porém abaixo seguem algumas recomendações gerais: Utilizar ACL’s nas interfaces dos roteadores. Recomenda-se filtrar tentativas de acesso direta à rede LAN e também a saída de tráfego sainte com IP’s diferentes da rede interna. Criptografar o tráfego entre as duas pontas, evitando que o tráfego capturado possa ser lido. Um exemplo é a utilização de VPNs IPSec para trafegar dados sensíveis pela Internet. Criptografar a autenticação, evitando que um atacante descubra usuários
Compartilhar