Baixe o app para aproveitar ainda mais
Prévia do material em texto
REDES DE COMPUTADORES - CCT0008 Semana Aula: 14 Administração e Segurança de Redes Tema Administração e Segurança de Redes Palavras-chave Objetivos O aluno deverá ser capaz de: Justificar a necessidade da segurança da informação em redes de computadores; Descrever opções de criptografia de dados; Identificar ameaças e ataques comuns e seus efeitos básicos; Entender a arquitetura de segurança da rede usando Firewall e IDS. Justificar as funções, ferramentas e protocolos de gerenciamento de rede; Descrever rotinas de backup e restauração Estrutura de Conteúdo Unidade 10 - Administração e Segurança de Redes 10.1. Fundamentos de Segurança da Informação, 10.2. Arquitetura e instrumentos de Segurança de rede 10.2.1. Criptografia, 10.2.2. Firewall 10.2.3. Filtros de Pacotes, 10.2.4. Proxy 10.2.5. IDS 10.3. Gerenciamento e administração de Rede 10.3.1. Conceitos de Gerenciamento 10.3.2 Monitoração de pacotes, 10.3.3 Rotinas de Backup e Restore Neste momento do curso, uma compreensão geral sobre redes de computadores foi alcançada. Foram estudados conceitos e tecnologias fundamentais utilizados em redes de computadores. Esse aprendizado será a porta de entrada para conhecimentos mais profundos e especializado; Nos dias atuais, em que a quantidade de vírus e as tentativas de capturar informações de terceiros são cada vez maiores, a necessidade de se configurar uma rede segura se torna uma necessidade vital para o bom funcionamento de uma rede de computadores; Assim, nesta aula, serão estudados conceitos de segurança e Administração em redes de computadores. Sobre Gerenciamento de Redes teremos: De uma forma geral, o gerenciamento proporcionará um acompanhamento detalhado da evolução da rede de forma que ações preventivas e corretivas possam ser tomadas a fim de garantir o melhor desempenho e evolução da rede com o menor custo; Para isso, os seguintes tópicos serão estudados: - Funções do gerenciamento de rede; - O Protocolo SNMP; - Agentes de base de informação de gerenciamento (MIBs); - Gerenciamento de backups. Suporte conceitual: Unidade 10 - Administração e Segurança de Redes 10.1. Fundamentos de Segurança da Informação, Ameaças e ataques Segundo a definição da RFC 2828, Internet security glossary, uma ameaça é um potencial para violação da segurança quando há uma circunstância, capacidade, ação ou evento que pode quebrar a segurança e causar danos. Ou seja, uma ameaça é um possível perigo que pode explorar uma vulnerabilidade. Ataques Podemos classificar os ataques como passivos ou ativos. Os ataques passivos possuem a natureza de bisbilhotar ou monitora transmissões e os ataques ativos envolvem alguma modificação do fluxo de dados ou a criação de um fluxo falso. Ataques Passivos O objetivo dos ataques passivos é obter informações que estão sendo transmitidas. Existem dois tipos de ataque passivo: A liberação ou interceptação do conteúdo da mensagem ocorre quando uma conversa telefônica, uma mensagem de correio eletrônico ou um arquivo transferido que podem conter informações importantes ou confidenciais que desejamos impedir que alguém descubra seu conteúdo, são interceptadas. E a análise do tráfego. Nesta modalidade o oponente observa o padrão das mensagens enviadas e pode determinar o local e a identidade dos envolvidos na comunicação e observar a frequência e o tamanho das mensagens trocadas. Estas informações podem ser útil para descobrir a natureza da comunicação que estava ocorrendo. Ataques Ativos Os ataques ativos envolvem alguma modificação do fluxo de dados ou a criação de um fluxo falso e podem ser subdivididos em quatro categorias: disfarce, modificação de mensagem, repetição e negação de serviço. - Um ataque ativo da categoria disfarce ou fabricação ocorre quando uma entidade finge ser uma entidade diferente. - Um ataque da categoria de modificação de mensagem simplesmente significa que alguma parte de uma mensagem legítima foi alterada ou que as mensagens foram adiadas ou reordenadas para produzir um efeito não autorizado. Um outro tipo de ataque é a repetição da mensagem, que envolve a captura passiva de uma unidade de dados e sua subsequente retransmissão para produzir um efeito não autorizado. Negação de Serviço (DoS) É uma atividade maliciosa, em que o atacante utiliza um computador para tirar de operação um serviço ou computador conectado à internet. Um amplo grupo de ameaças podem ser classificado como ataques de recusa de serviço (DoS). Um ataque DoS torna uma rede, um servidor ou parte da infraestrutura inutilizável por usuários verdadeiros. A maioria dos ataques Dos podem ser divididos em três categorias: Ataque de vulnerabilidade Envolve o envio de mensagens perfeitas a uma aplicação vulnerável ou a um sistema operacional, sendo executado em servidor alvo. Inundação na largura de banda O atacante envia um grande número de pacotes à máquina alvo, tantos pacotes que o enlace de acesso ao alvo fica congestionado, impedindo os pacotes legítimos de alcançarem o servidor. Inundação na conexão O atacante estabelece um grande número de conexões TCP semi abertas ou abertas na máquina alvo. Uma variação do ataque DoS é o DDoS, ataque DoS distribuído, onde o atacante controla múltiplas fontes que sobrecarregam o alvo, ou seja, um conjunto de computadores são utilizados para tirar de operação um ou mais serviços ou computadores conectados à internet. Os ataques DDoS são muito mais difíceis de detectar e de prevenir do que um ataque DoS. 10.2. Arquitetura e instrumentos de Segurança de rede 10.2.1. Criptografia Criptografia de dados Criptografia é a ciência e arte de escrever mensagens em forma cifrada ou em código. É parte de um campo de estudos que trata das comunicações secretas, usadas, dentre outras finalidades, para: · autenticar a identidade de usuários; · autenticar e proteger o sigilo de comunicações pessoais e de transações comerciais e bancárias; · proteger a integridade de transferências eletrônicas de fundos. 10.2.2. Firewall Firewall Um Firewall é um dispositivo de segurança, é uma combinação de hardware e software, que filtra o tráfego de entrada e de saída de uma rede de computadores. Ele isola a rede interna da organização da área pública da Internet, permitindo que alguns pacotes passem e outros não. Desta forma o administrador de rede contrala o acesso o acesso entre o mundo externo e os recursos da rede que administra gerenciando o fluxo de tráfego de e para esses recursos. Os firewalls podem ser classificados em duas categorias: A utilização do firewall poderá prevenir ataques do tipo: negação de serviço: através da inundação de pacotes SYN, o atacante estabelece muitas conexões TCP falsas, esgotando os recursos para as conexões ?reais?. modificações e acessos ilegais aos dados internos: onde o atacante substitui, por exemplo uma página de alguma organização por alguma outra coisa. acesso indevido aos recursos da rede interna: Permite apenas acesso autorizado à rede interna (conjunto de usuários e hospedeiros autenticados) 10.2.3. Filtros de Pacotes, Filtros de pacotes Normalmente toda organização para acessar a Internet possui um roteador de borda que conecta sua rede interna com seu ISP . Todo tráfego que entra e sai na rede interna passa por esse roteador e é nesse roteador que ocorre a filtragem de pacotes. Um filtro de pacotes examina cada datagrama qie está sozinho determinando se o datagrama deve passar ou ficar baseado nas regras especificas do administrador. As decisões de filtragem ( de enviar ou descartar pacotes) são normalmente baseadas em : - EndereçoIP de origem, endereço IP de destino - Número de portas TCP/UDP de origem e de destino - Tipo de mensagem ICMP - Bits TCP SYN e ACK Um administrador de rede configura o firewall com base na política de segurança da organização. 10.2.4. Proxy Gateway de Aplicação Para assegurar um nível mais refinado de segurança, os firewalls têm que combinar filtros de pacotes com gateways de aplicação. Os gateways de aplicação tomam decisões com base em dados da aplicação. Um gateway de aplicação é um servidor específico de aplicação do qual todos os dados da aplicação (que entram e que saem) devem passar. Vários gateways de aplicação podem executar no mesmo servidor, mas cada gateway é um servidor separado, com seus próprios processos. O filtro do roteador está configurado para bloquear todas as conexões Telnet, exceto aquelas que se originam do endereço IP do gateway de aplicação. Essa configuração de filtro força todas as conexões Telnet de saída a passarem pelo gateway de aplicação. O gateway de aplicação Telnet, neste exemplo, não só autoriza o usuário, mas também atua como um servidor Telnet e um cliente Telnet, passando informações entre o usuário e o servidor Telnet remoto. 10.2.5. IDS Sistema de Detecção de Intrusão (IDS) Para detectar muitos tipos de ataques, precisamos executar uma inspeção profunda de pacote, ou seja, precisamos olhar através dos campos de cabeçalho e dentro dos dados da aplicação que o pacote carrega. Um IDS (Intrusion Detection System) é um programa ou um conjunto de programas, cuja função é detectar atividades maliciosas ou anômalas. O dispositivo que gera alertas quando observa tráfegos potencialmente mal intencionados é chamado de sistema de detcção de intruso (IDS ? intrusion detection system); O dispositivo que filtra o tráfego suspeito é chamado de sistema de prevenção de intrusão (IPS ? intrusion prevention system). Vamos referenciar a ambos sistemas como IDS. Um IDS pode detectar uma série de tipos de ataques: Mapeamento de rede, Escaneamento de portas, Escaneamento da pilha TCP/IP Ataques de inundação de banda larga DoS, Wormes e vírus Ataques de vulnerabilidade de OS, Ataques de vulnerabilidade de aplicação Atualmente milhares de organizações empregam sistemas IDS, que podem ser sistemas patenteados, isto é proprietário e comercializados pelas empresas de segurança ou são sistemas de domínio público, isto é, podem ser obtidos gratuitamente através de sites na internet. Uma organização pode implementar um ou mais sensores de IDS em sua rede organizacional. IDS baseados em assinatura Mantém um banco de dados extenso de ataques de assinaturas. Cada assinatura é um conjunto de regras relacinadas a uma atividade de intrusos. Uma assinatura pode ser uma lista de características sobre um único pacote ou pode estar relacionada a uma série de pacotes. As assinaturas são normalmente criaas por engenheiros de segurança de rede, porém o administrador de rede de uma organização pode personalizar as assinaturas ou inserir as próprias no banco de dados. IDS baseado em anomalias Cria um perfil de tráfego enquanto observa o tráego em operação normal. Ele procura por cadeias de pacote que estão estatisticamente incomuns. Eles não recorrem a conhecimentos prévios de outros ataques, ou seja, eles podem detectar potencialmente novos ataques, que não forma documentados. 10.3. Gerenciamento e administração de Rede 10.3.1. Conceitos de Gerenciamento Funções do gerenciamento de rede Segundo Kurose, a International Organization for Standardization (ISO) criou um modelo de gerenciamento de rede com cinco áreas de gerenciamento, denominado FCPAS, um acrônimo para: - Fault (falha); - Configuration (configuração); - Accounting (contabilização); - Performance (Desempenho); - Security (segurança): Gerência de Falhas: Tratamento imediato de falhas transitórias da rede, como por exemplo, interrupção do serviço em enlaces, hospedeiros, ou em hardware e software de roteadores. Gerência de Contabilização: Corresponde à especificação, registro e controle do acesso de usuários e dispositivos aos recursos da rede. Também fazem parte deste gerenciamento: quotas de utilização, cobrança por utilização e alocação de acesso privilegiado a recursos. Gerência de Segurança: Seu objetivo é o controlar o acesso aos recursos da rede de acordo com alguma política definida. Através dela, os elementos são protegidos, monitorando-se e detectando-se possíveis violações, da política de segurança estabelecida, podendo, o administrador da rede ser alertado através de alarmes. Mantém logs de segurança tanto para a posterior análise e geração de relatórios como para detectar violações não óbvias manualmente. Gerência de Configuração: Permite que o administrador da rede saiba quais os dispositivos que fazem parte da rede e quais suas configurações de software e hardware. É responsável pela descoberta, manutenção e monitoração de mudanças à estrutura física e lógica da rede. Gerência de Desempenho: A única forma de desenvolver ações de proatividade é construindo uma base de dados do comportamento da infraestrutura, buscando identificar os critérios de estabilidade do ambiente monitorado, garantindo que a rede opere em conformidade e com a qualidade proposta pelo administrador através de quantificar, medir, informar, analisar e controlar o desempenho dos diferentes componentes da rede. 10.3.2 SNMP e MIB, SNMP O protcolo SNMP (Simple Network Management Protocol) é o protocolo padrão para administrar uma rede. Ele define como um gerente se comunica com o agente. Possui três versões 1, 2 e 3. A versão 3, a mais atual, difere das demais, por possuir recursos de segurança capazes de criptografar a string da comunidade SNMP. Apesar disso, a versão mais utilizada do SNMP ainda é a versão 2c. Antes de conhecermos os detalhes do funcionamento do protocolo é imprescindível que respondamos a seguinte pergunta: Como um administrador de rede pode descobrir problemas e isolar suas causas ? Através da utilização de software de gerência de rede que permite a um gerente monitorar e controlar componentes da rede. Ele permite a um gerente interrogar dispositivos como hosts, roteadores, comutadores e bridges para determinar seu status, bem como obter estatísticas sobre as redes as quais se ligam. Os protocolos que um gerente de rede utiliza para monitor e controlar dispositivos de rede opera na camada de aplicação e como os demais protocolos da pilha TCP/IP adota o modelo cliente-servidor: Um programa aplicativono computador do gerente atua como um cliente e um programa aplicativo no dispositivo de rede atua como um servidor. O cliente no computador do gerente usa o protocolo de transporte convencional (TCP ou UDP) para estabelecer a comunicação com o servidor, recebendo o nome de gerente e o aplicativo que executa em um dispositivo de rede é chamado de agente. O protocolo SNMP define como um gerente se comunica com o agente, através da: - Definição do formato das requisições que um gerente envia a um agente - Definição das respostas que um agente retorna. Na realidade o SNMP especifica que uma mensagem SNMP é codificada usando-se um padrão conhecido como A cada objeto ao qual o protocolo SNMP tem acesso deve ser definido e determinado um nome único. Programas gerentes e agente devem concordar nos nomes e nos significados das operações de carga e armazenamento. Coletivamente, o conjunto de todos os objetos que o protocolo SNMP pode acessar é conhecido como Management Information Base (MIB). Como o SNMP Funciona? Seu funcionamento é baseado em polling, ou seja, em períodos de tempos para realização de coleta deinformação. Ele utiliza o protocolo UDP para suas comunicações de atribuições, através das portas 161 e 162. Os modos de atuação desse protocolo podem ser RO (Read-only) ou RW (Read-Write). O Gerente SNMP é quem realizada as consultas e manipulações SNMP. Os gerentes mandam mensagens de solicitações (requests) e recebem mensagens de respostas (responses). Existem três tipos de ações que os gerentes executam: - GET, - GET Bulk (GETs múltiplos) - SET (alteração de valor). O Agente SNMP é quem interage com a MIB. O agente espera a solicitação dos gerentes e ordena respostas (responses) de SNMP para eles. Além disso, os agentes podem enviar TRAPS, que são mensagens de alertas unidirecionais para os gerentes. Os TRAPS são disparados automaticamente quando um evento de mudança de estado for acionado. MIB (Base de Informações de Gerenciamento) Termo coletivo para todos os objetos de informação de gerenciamento de uma rede. 10.3.3 Rotinas de Backup e Restore Devido a grande quantidade de informações armazenadas nas organizações é importante que o administrador de rede, utilize algum mecanismo que ajude a proteger os dados de perdas acidentais se ocorrerem falhas de hardware ou de alguma mídia de armazenamento no sistema. Algumas organizações esperam até que aconteça um desastre para então pensar em alguma forma de proteção contra vírus, discos rígidos deteriorados, desastres e erros humanos. O mecanismos utilizado para a evitar a perda dos dados e copiar estes dados para mídias alternativas chama-se Backup. Quando vamos implementar uma política de Backup, devemos considerar as seguintes questões: - Qual é a necessidade de um backup de rede? - Que arquivos precisam de backup? - O que é freqüência de backup? Tipos de Backups Existem diferentes tipos de Backups. Cada um possui características e finalidades diferentes: Normal ou Completo: Neste tipo de Backup todos os arquivos ou pastas são selecionados para a cópia, mesmo os arquivos que não sofreram nenhuma modificação. Diferencial : O backup diferencial é similar ao backup incremental. Ele também faz backup somente dos arquivos modificados, com a diferença que são acumulativos, ou seja, uma vez que um arquivo foi modificado, este continua a ser incluso em todos os backups diferenciais até o próximo backup completo. Incremental: Neste tipo de Backup são selecionados os arquivos e pastas selecionados que foram alterados após o último backup normal ou incremental Além dos tipos de backup, os backups podem ser agendados através das seguintes opções: - Uma vez: Em uma hora especificada de um determinado dia. - Diariamente: Em uma hora especificada todos os dias. - Semanalmente: Em uma hora especificada em dias da semana especificados. - Mensalmente: Em uma hora especificada em um determinado dia todo mês. - Na inicialização: Na próxima vez que o sistema for iniciado Restauração dos Dados Restore é o processo de restauração dos dados realizados através de um Bakup. A restauração de dados pode regravar: - Arquivos e pastas - Dados do Sistema - Dados de recuperação referentes à configuração do disco - Restaurar assinaturas, volumes e partições do disco de inicialização - Instalar uma versão de recuperação do SO. - Iniciar a restauração a partir do backup Estratégias de Aprendizagem Indicação de Leitura Específica Aplicação: articulação teoria e prática Refinar as boas práticas com base no conteúdo da aula. Sites sobre segurança de rede: http://www.cert.br/ Cartilha de segurança para Internet: http://cartilha.cert.br/ Práticas de Segurança para Administradores de Redes Internet: http://www.cert.br/docs/seg-adm-redes/seg-adm-redes.pdf Aplicativo para criptografia: http://www.cryptool.org/ Considerações Adicionais
Compartilhar