CCT0008_14

Prévia do material em texto

REDES DE COMPUTADORES - CCT0008
Semana Aula: 14
Administração e Segurança de Redes
Tema
Administração e Segurança de Redes
Palavras-chave
Objetivos
O aluno deverá ser capaz de:
 Justificar a necessidade da segurança da informação em redes de computadores;
 Descrever opções de criptografia de dados;
 Identificar ameaças e ataques comuns e seus efeitos básicos;
 Entender a arquitetura de segurança da rede usando Firewall e IDS.
 Justificar as funções, ferramentas e protocolos de gerenciamento de rede;
 Descrever rotinas de backup e restauração
Estrutura de Conteúdo
Unidade 10 - Administração e Segurança de Redes
10.1. Fundamentos de Segurança da Informação, 
10.2. Arquitetura e instrumentos de Segurança de rede 
10.2.1. Criptografia, 
10.2.2. Firewall
10.2.3. Filtros de Pacotes, 
10.2.4. Proxy
10.2.5. IDS
10.3. Gerenciamento e administração de Rede
10.3.1. Conceitos de Gerenciamento
10.3.2 Monitoração de pacotes, 
10.3.3 Rotinas de Backup e Restore
 
Neste momento do curso, uma compreensão geral sobre redes de computadores foi alcançada. Foram 
estudados conceitos e tecnologias fundamentais utilizados em redes de computadores. Esse aprendizado 
será a porta de entrada para conhecimentos mais profundos e especializado;
Nos dias atuais, em que a quantidade de vírus e as tentativas de capturar informações de terceiros são 
cada vez maiores, a necessidade de se configurar uma rede segura se torna uma necessidade vital para o 
bom funcionamento de uma rede de computadores;
Assim, nesta aula, serão estudados conceitos de segurança e Administração em redes de computadores.
 
Sobre Gerenciamento de Redes teremos:
De uma forma geral, o gerenciamento proporcionará um acompanhamento detalhado da evolução da rede 
de forma que ações preventivas e corretivas possam ser tomadas a fim de garantir o melhor desempenho e 
evolução da rede com o menor custo;
Para isso, os seguintes tópicos serão estudados:
- Funções do gerenciamento de rede;
- O Protocolo SNMP;
- Agentes de base de informação de gerenciamento (MIBs);
- Gerenciamento de backups.
 
 
Suporte conceitual:
 
Unidade 10 - Administração e Segurança de Redes
 
10.1. Fundamentos de Segurança da Informação, 
 
Ameaças e ataques
Segundo a definição da RFC 2828, Internet security glossary, uma ameaça é um potencial para violação 
da segurança quando há uma circunstância, capacidade, ação ou evento que pode quebrar a segurança e 
causar danos. Ou seja, uma ameaça é um possível perigo que pode explorar uma vulnerabilidade.
 
Ataques
Podemos classificar os ataques como passivos ou ativos. Os ataques passivos possuem a natureza de 
bisbilhotar ou monitora transmissões e os ataques ativos envolvem alguma modificação do fluxo de dados 
ou a criação de um fluxo falso.
Ataques Passivos
O objetivo dos ataques passivos é obter informações que estão sendo transmitidas. Existem dois tipos de 
ataque passivo:
A liberação ou interceptação do conteúdo da mensagem ocorre quando uma conversa telefônica, uma 
mensagem de correio eletrônico ou um arquivo transferido que podem conter informações importantes ou 
confidenciais que desejamos impedir que alguém descubra seu conteúdo, são interceptadas.
E a análise do tráfego. Nesta modalidade o oponente observa o padrão das mensagens enviadas e pode 
determinar o local e a identidade dos envolvidos na comunicação e observar a frequência e o tamanho das 
mensagens trocadas. Estas informações podem ser útil para descobrir a natureza da comunicação que 
estava ocorrendo.
 
Ataques Ativos
Os ataques ativos envolvem alguma modificação do fluxo de dados ou a criação de um fluxo falso e podem 
ser subdivididos em quatro categorias: disfarce, modificação de mensagem, repetição e negação de 
serviço.
- Um ataque ativo da categoria disfarce ou fabricação ocorre quando uma entidade finge ser uma entidade 
diferente. 
- Um ataque da categoria de modificação de mensagem simplesmente significa que alguma parte de uma 
mensagem legítima foi alterada ou que as mensagens foram adiadas ou reordenadas para produzir um 
efeito não autorizado. 
 
Um outro tipo de ataque é a repetição da mensagem, que envolve a captura passiva de uma unidade de 
dados e sua subsequente retransmissão para produzir um efeito não autorizado. 
 
Negação de Serviço (DoS)
É uma atividade maliciosa, em que o atacante utiliza um computador para tirar de operação um serviço ou 
computador conectado à internet. Um amplo grupo de ameaças podem ser classificado como ataques de 
recusa de serviço (DoS). Um ataque DoS torna uma rede, um servidor ou parte da infraestrutura inutilizável 
por usuários verdadeiros. A maioria dos ataques Dos podem ser divididos em três categorias:
 
Ataque de vulnerabilidade
Envolve o envio de mensagens perfeitas a uma aplicação vulnerável ou a um sistema operacional, sendo 
executado em servidor alvo.
 
Inundação na largura de banda
O atacante envia um grande número de pacotes à máquina alvo, tantos pacotes que o enlace de acesso ao 
alvo fica congestionado, impedindo os pacotes legítimos de alcançarem o servidor. 
 
Inundação na conexão
O atacante estabelece um grande número de conexões TCP semi abertas ou abertas na máquina alvo.
 
Uma variação do ataque DoS é o DDoS, ataque DoS distribuído, onde o atacante controla múltiplas fontes 
que sobrecarregam o alvo, ou seja, um conjunto de computadores são utilizados para tirar de operação um 
ou mais serviços ou computadores conectados à internet. Os ataques DDoS são muito mais difíceis de 
detectar e de prevenir do que um ataque DoS. 
 
 
10.2. Arquitetura e instrumentos de Segurança de rede 
 
10.2.1. Criptografia 
Criptografia de dados
Criptografia é a ciência e arte de escrever mensagens em forma cifrada ou em código. É parte de um 
campo de estudos que trata das comunicações secretas, usadas, dentre outras finalidades, para: 
· autenticar a identidade de usuários; 
· autenticar e proteger o sigilo de comunicações pessoais e de transações comerciais e 
bancárias; 
· proteger a integridade de transferências eletrônicas de fundos. 
 
10.2.2. Firewall
Firewall
Um Firewall é um dispositivo de segurança, é uma combinação de hardware e software, que filtra o tráfego 
de entrada e de saída de uma rede de computadores. Ele isola a rede interna da organização da área 
pública da Internet, permitindo que alguns pacotes passem e outros não. Desta forma o administrador de 
rede contrala o acesso o acesso entre o mundo externo e os recursos da rede que administra gerenciando 
o fluxo de tráfego de e para esses recursos. Os firewalls podem ser classificados em duas categorias:
 
A utilização do firewall poderá prevenir ataques do tipo: 
 negação de serviço: através da inundação de pacotes SYN, o atacante estabelece muitas 
conexões TCP falsas, esgotando os recursos para as conexões ?reais?. 
 modificações e acessos ilegais aos dados internos: onde o atacante substitui, por exemplo uma 
página de alguma organização por alguma outra coisa.
 acesso indevido aos recursos da rede interna: Permite apenas acesso autorizado à rede interna 
(conjunto de usuários e hospedeiros autenticados)
 
10.2.3. Filtros de Pacotes, 
Filtros de pacotes 
Normalmente toda organização para acessar a Internet possui um roteador de borda que conecta sua rede 
interna com seu ISP . Todo tráfego que entra e sai na rede interna passa por esse roteador e é nesse 
roteador que ocorre a filtragem de pacotes. 
 
Um filtro de pacotes examina cada datagrama qie está sozinho determinando se o datagrama deve passar 
ou ficar baseado nas regras especificas do administrador. As decisões de filtragem ( de enviar ou descartar 
pacotes) são normalmente baseadas em : 
- EndereçoIP de origem, endereço IP de destino
- Número de portas TCP/UDP de origem e de destino
- Tipo de mensagem ICMP
- Bits TCP SYN e ACK
Um administrador de rede configura o firewall com base na política de segurança da organização. 
 
10.2.4. Proxy
Gateway de Aplicação
Para assegurar um nível mais refinado de segurança, os firewalls têm que combinar filtros de pacotes com 
gateways de aplicação. Os gateways de aplicação tomam decisões com base em dados da aplicação. Um 
gateway de aplicação é um servidor específico de aplicação do qual todos os dados da aplicação (que 
entram e que saem) devem passar. Vários gateways de aplicação podem executar no mesmo servidor, mas 
cada gateway é um servidor separado, com seus próprios processos. 
O filtro do roteador está configurado para bloquear todas as conexões Telnet, exceto aquelas que se 
originam do endereço IP do gateway de aplicação. Essa configuração de filtro força todas as conexões 
Telnet de saída a passarem pelo gateway de aplicação. O gateway de aplicação Telnet, neste exemplo, 
não só autoriza o usuário, mas também atua como um servidor Telnet e um cliente Telnet, passando 
informações entre o usuário e o servidor Telnet remoto.
 
10.2.5. IDS
Sistema de Detecção de Intrusão (IDS)
Para detectar muitos tipos de ataques, precisamos executar uma inspeção profunda de pacote, ou seja, 
precisamos olhar através dos campos de cabeçalho e dentro dos dados da aplicação que o pacote carrega. 
Um IDS (Intrusion Detection System) é um programa ou um conjunto de programas, cuja função é detectar 
atividades maliciosas ou anômalas.
O dispositivo que gera alertas quando observa tráfegos potencialmente mal intencionados é chamado de 
sistema de detcção de intruso (IDS ? intrusion detection system);
O dispositivo que filtra o tráfego suspeito é chamado de sistema de prevenção de intrusão (IPS ? intrusion 
prevention system).
 
Vamos referenciar a ambos sistemas como IDS. Um IDS pode detectar uma série de tipos de ataques:
 Mapeamento de rede,
 Escaneamento de portas,
 Escaneamento da pilha TCP/IP
 Ataques de inundação de banda larga DoS,
 Wormes e vírus
 Ataques de vulnerabilidade de OS,
 Ataques de vulnerabilidade de aplicação 
 
Atualmente milhares de organizações empregam sistemas IDS, que podem ser sistemas patenteados, isto 
é proprietário e comercializados pelas empresas de segurança ou são sistemas de domínio público, isto é, 
podem ser obtidos gratuitamente através de sites na internet. 
Uma organização pode implementar um ou mais sensores de IDS em sua rede organizacional. 
 
IDS baseados em assinatura
Mantém um banco de dados extenso de ataques de assinaturas. Cada assinatura é um conjunto de regras 
relacinadas a uma atividade de intrusos. Uma assinatura pode ser uma lista de características sobre um 
único pacote ou pode estar relacionada a uma série de pacotes. As assinaturas são normalmente criaas por 
engenheiros de segurança de rede, porém o administrador de rede de uma organização pode personalizar 
as assinaturas ou inserir as próprias no banco de dados. 
 
IDS baseado em anomalias
Cria um perfil de tráfego enquanto observa o tráego em operação normal. Ele procura por cadeias de 
pacote que estão estatisticamente incomuns. Eles não recorrem a conhecimentos prévios de outros 
ataques, ou seja, eles podem detectar potencialmente novos ataques, que não forma documentados. 
 
10.3. Gerenciamento e administração de Rede
 
10.3.1. Conceitos de Gerenciamento
Funções do gerenciamento de rede
Segundo Kurose, a International Organization for Standardization (ISO) criou um modelo de gerenciamento 
de rede com cinco áreas de gerenciamento, denominado FCPAS, um acrônimo para:
- Fault (falha);
- Configuration (configuração);
- Accounting (contabilização);
- Performance (Desempenho);
- Security (segurança):
 
Gerência de Falhas: 
Tratamento imediato de falhas transitórias da rede, como por 
exemplo, interrupção do serviço em enlaces, hospedeiros, ou em hardware e software de roteadores.
 
Gerência de Contabilização: 
Corresponde à especificação, registro e controle do 
acesso de usuários e dispositivos aos recursos da rede. Também fazem parte deste 
gerenciamento: quotas de utilização, cobrança por utilização e alocação de acesso 
privilegiado a recursos. 
 
Gerência de Segurança: 
Seu objetivo é o controlar o acesso aos recursos da rede de acordo com alguma política definida. Através 
dela, os elementos são protegidos, 
monitorando-se e detectando-se possíveis violações, da política de segurança estabelecida, podendo, o 
administrador da rede ser alertado através de alarmes. Mantém logs de segurança tanto para a posterior 
análise e geração de relatórios como para detectar violações não óbvias manualmente. 
 
Gerência de Configuração: 
Permite que o administrador da rede saiba quais os dispositivos que fazem parte da rede e quais suas 
configurações de software e hardware. É responsável pela descoberta, manutenção e monitoração de 
mudanças à estrutura física e lógica da rede. 
 
Gerência de Desempenho: 
A única forma de desenvolver ações de proatividade é construindo uma base de dados do comportamento 
da infraestrutura, buscando identificar os critérios de estabilidade do ambiente monitorado, garantindo que a 
rede opere em conformidade e com a qualidade proposta pelo administrador através de quantificar, medir, 
informar, analisar e controlar o desempenho dos diferentes componentes da rede. 
 
 
10.3.2 SNMP e MIB, 
SNMP
O protcolo SNMP (Simple Network Management Protocol) é o protocolo padrão para administrar uma rede. 
Ele define como um gerente se comunica com o agente. Possui três versões 1, 2 e 3. A versão 3, a mais 
atual, difere das demais, por possuir recursos de segurança capazes de criptografar a string da comunidade 
SNMP. 
Apesar disso, a versão mais utilizada do SNMP ainda é a versão 2c. Antes de conhecermos os detalhes do 
funcionamento do protocolo é imprescindível que respondamos a seguinte pergunta:
Como um administrador de rede pode descobrir problemas e isolar suas causas ? 
Através da utilização de software de gerência de rede que permite a um gerente monitorar e controlar 
componentes da rede. Ele permite a um gerente interrogar dispositivos como hosts, roteadores, 
comutadores e bridges para determinar seu status, bem como obter estatísticas sobre as redes as quais se 
ligam. 
Os protocolos que um gerente de rede utiliza para monitor e controlar dispositivos de rede opera na 
camada de aplicação e como os demais protocolos da pilha TCP/IP adota o modelo cliente-servidor: Um 
programa aplicativono computador do gerente atua como um cliente e um programa aplicativo no 
dispositivo de rede atua como um servidor. 
O cliente no computador do gerente usa o protocolo de transporte convencional (TCP ou UDP) para 
estabelecer a comunicação com o servidor, recebendo o nome de gerente e o aplicativo que executa em 
um dispositivo de rede é chamado de agente. 
 
O protocolo SNMP define como um gerente se comunica com o agente, através da:
- Definição do formato das requisições que um gerente envia a um agente
- Definição das respostas que um agente retorna.
 
Na realidade o SNMP especifica que uma mensagem SNMP é codificada usando-se um padrão conhecido 
como 
A cada objeto ao qual o protocolo SNMP tem acesso deve ser definido e determinado um nome único. 
Programas gerentes e agente devem concordar nos nomes e nos significados das operações de carga e 
armazenamento. Coletivamente, o conjunto de todos os objetos que o protocolo SNMP pode acessar é 
conhecido como Management Information Base (MIB).
 
Como o SNMP Funciona?
Seu funcionamento é baseado em polling, ou seja, em períodos de tempos para realização de coleta deinformação. Ele utiliza o protocolo UDP para suas comunicações de atribuições, através das portas 161 e 
162. Os modos de atuação desse protocolo podem ser RO (Read-only) ou RW (Read-Write). 
 
O Gerente SNMP é quem realizada as consultas e manipulações SNMP. Os gerentes mandam mensagens 
de solicitações (requests) e recebem mensagens de respostas (responses). Existem três tipos de ações 
que os gerentes executam: 
- GET, 
- GET Bulk (GETs múltiplos)
- SET (alteração de valor). 
 
O Agente SNMP é quem interage com a MIB. O agente espera a solicitação dos gerentes e ordena 
respostas (responses) de SNMP para eles. Além disso, os agentes podem enviar TRAPS, que são 
mensagens de alertas unidirecionais para os gerentes. Os TRAPS são disparados automaticamente 
quando um evento de mudança de estado for acionado.
 
MIB (Base de Informações de Gerenciamento)
Termo coletivo para todos os objetos de informação de gerenciamento de uma rede.
 
10.3.3 Rotinas de Backup e Restore
 
Devido a grande quantidade de informações armazenadas nas organizações é importante que o 
administrador de rede, utilize algum mecanismo que ajude a proteger os dados de perdas acidentais se 
ocorrerem falhas de hardware ou de alguma mídia de armazenamento no sistema. Algumas organizações 
esperam até que aconteça um desastre para então pensar em alguma forma de proteção contra vírus, 
discos rígidos deteriorados, desastres e erros humanos.
 
O mecanismos utilizado para a evitar a perda dos dados e copiar estes dados para mídias alternativas 
chama-se Backup. Quando vamos implementar uma política de Backup, devemos considerar as seguintes 
questões: 
- Qual é a necessidade de um backup de rede?
- Que arquivos precisam de backup?
- O que é freqüência de backup?
 
Tipos de Backups
Existem diferentes tipos de Backups. Cada um possui características e finalidades diferentes: 
 
Normal ou Completo: 
Neste tipo de Backup todos os arquivos ou pastas são selecionados para a cópia, mesmo os arquivos que 
não sofreram nenhuma modificação. 
 
Diferencial : 
O backup diferencial é similar ao backup incremental. Ele também faz backup somente dos arquivos 
modificados, com a diferença que são acumulativos, ou seja, uma vez que um arquivo foi modificado, este 
continua a ser incluso em todos os backups diferenciais até o próximo backup completo.
 
Incremental: 
Neste tipo de Backup são selecionados os arquivos e pastas selecionados que foram alterados após o 
último backup normal ou incremental
 
Além dos tipos de backup, os backups podem ser agendados através das seguintes opções: 
- Uma vez: Em uma hora especificada de um determinado dia.
- Diariamente: Em uma hora especificada todos os dias.
- Semanalmente: Em uma hora especificada em dias da semana especificados.
- Mensalmente: Em uma hora especificada em um determinado dia todo mês.
- Na inicialização: Na próxima vez que o sistema for iniciado
 
Restauração dos Dados
Restore é o processo de restauração dos dados realizados através de um Bakup. A restauração de dados 
pode regravar:
- Arquivos e pastas
- Dados do Sistema
- Dados de recuperação referentes à configuração do disco
- Restaurar assinaturas, volumes e partições do disco de inicialização
- Instalar uma versão de recuperação do SO.
- Iniciar a restauração a partir do backup
Estratégias de Aprendizagem
Indicação de Leitura Específica
Aplicação: articulação teoria e prática
Refinar as boas práticas com base no conteúdo da aula.
Sites sobre segurança de rede:
http://www.cert.br/
Cartilha de segurança para Internet:
http://cartilha.cert.br/
Práticas de Segurança para Administradores de Redes Internet:
http://www.cert.br/docs/seg-adm-redes/seg-adm-redes.pdf
Aplicativo para criptografia:
http://www.cryptool.org/
Considerações Adicionais