Buscar

Introdução a Segurança em Redes e Internet

Esta é uma pré-visualização de arquivo. Entre para ver o arquivo original

*
Segurança em redes e Internet
PROF. DR. LUÍS CÉZAR DARIENZO ALVES
UNIVERSIDADE FEDERAL DE MATO GROSSO
INSTITUTO DE COMPUTAÇÃO
*
Sumário
Introdução
Segurança física
Segurança lógica
Atividades de laboratório
*
Segurança física
Segurança externa e de entrada
Segurança da sala de equipamentos
Segurança dos equipamentos
Redundância
Segurança no fornecimento de energia
Salvaguarda (backup)
Descarte da informação
*
Segurança externa e de entrada
Consiste na proteção da instalação onde os equipamentos estão localizados, contra a entrada de pessoas não autorizadas
Atua também na prevenção de catástrofes como:
Enchentes
Raios
Incêndios etc.
Mecanismos de controle de acesso físico nas entradas e saídas como:
Travas 
Alarmes
Grades
Sistemas de vigilância etc.
*
Segurança externa e de entrada
Controle de acesso: gerencia e documenta todos os acessos em ambientes, salas, andares e áreas específicas.
Pode ser interligado a vários outros sistemas como:
Sistema de alarme
Circuito Fechado de Televisão (CFTV)
Cartão de identificação (ID cards)
Sistemas biométricos de identificação através do reconhecimento de mão, impressão digital, face ou íris
*
Segurança da sala de equipamentos
Sala de equipamentos
Local físico onde os servidores e equipamentos de rede estão localizados
Acesso com controle físico específico e somente por pessoal autorizado
Todo acesso deve ser registrado através de algum mecanismo de entrada
O conteúdo da sala não deve ser visível externamente
*
Segurança da sala de equipamentos 
Alguns fabricantes fornecem soluções de sala-cofre, como mostra a Figura 1. Essas salas, em geral, possuem revestimentos especiais e controle de acesso para proteção contra os problemas listados anteriormente.
Figura 1 – Exemplo de sala-cofre Fonte: Aceco TI – http://www.aceco.com.br
*
Segurança da sala de equipamentos 
Em nível físico: formação de perímetros e aplicação de três princípios básicos de segurança: defesa em profundidade, gargalo e diversidade de defesa.
*
Segurança dos equipamentos
Os equipamentos de rede e servidores devem estar em uma sala segura
Os equipamentos devem ser protegidos contra acessos indevidos no seu console, através de periféricos como teclado, mouse e monitor
Travas DVD são recomendadas
Os equipamentos devem ser protegidos contra acessos indevidos ao interior da máquina
Figura 2 – Tranca para gabinete de computador
Figura 3 – Gabinete de computador com porta e chave
*
Redundância
O problema mais comum de segurança é falha de hardware
O mecanismo mais importante para tolerar falhas é a redundância
A redundância cria alta disponibilidade, mantendo o funcionamento em caso de falhas de componentes ou sobrecargas:
Redundância de interface de rede
Redundância de CPUs
Redundância de discos (RAID)
Redundância de fontes de alimentação interna
Redundância de servidores etc
*
Redundância
RAID é a sigla de Redundant Array of Inexpensive (Independent) Disks, conjunto redundante de discos independentes ou de baixo custo
Implementado por:
Controladora física (hardware)
Através do sistema operacional (software)
Redundant: Dados redundantes em múltiplos discos fornecem tolerância a falhas
Array: Conjunto de múltiplos discos acessados em paralelo dão uma vazão maior (gravação e leitura de dados)
*
Redundância
Raid
*
Segurança no fornecimento de energia
A disponibilidade da informação armazenada depende da operação contínua dos equipamentos. Para garantir o suprimento de energia elétrica é necessário:
Eliminar a variação da voltagem (estabilização);
Proporcionar ausência de interrupção da energia elétrica (nobreak);
Proporcionar aterramento elétrico perfeito.
Estabilizadores de voltagem domésticos e institucionais
Nobreak de grande porte
*
Segurança no fornecimento de energia 
O gerador usa fonte de energia alternativa como óleo diesel ou gasolina.
O gerador é usado em conjunto com o nobreak para garantir o fornecimento ininterrupto de energia elétrica por horas ou por dias.
Gerador
*
Salvaguarda (backup)
É o último recurso no caso de perda de informação;
O Plano de Continuidade de Negócios (PCN) prevê o uso de mídias de backup para a recuperação de desastres;
Observar uso de compressão e criptografia no programa;
Item importante do PCN: backup off-site;
Mídias mais usadas: fitas, HD, CD e DVD.
Cofre para armazenamento de mídias
*
Descarte da informação
Documentos com informações confidenciais requerem um descarte seguro, impossibilitando qualquer recuperação das informações;
Principais mídias de descarte: papel, fitas e discos rígidos;
A instituição deve ter uma política de descarte de papel, de fitas e de discos rígidos;
Documentos em papel devem ser fragmentados, sendo no mínimo uma fragmentadora de corte transverso;
As mídias magnéticas devem ser destruídas.
Cortador de papel
*
Segurança lógica
Firewall
Packet filtering
Stateful packet filter
Application proxy
Deep packet inspection
Detector de intruso
IDS Snort
IDS Tripwire
Rede virtual privada
Autenticação, autorização e auditoria
*
Firewall
Parede corta-fogo que protege a rede interna contra os perigos da internet
Exemplo do princípio do choke-point (gargalo)
Serve a propósitos específicos:
Restringe a entrada a um único ponto controlado;
Previne que invasores cheguem perto de suas defesas mais internas;
Restringe a saída a um único ponto controlado. 
*
Necessidades em um firewall
Capacidade para lidar com os desafios de gerência e controle de tráfego de rede, como:
Tratamento de TCP – RFC 793
Construindo regras “Statefull”
Tratando pacotes UDP – RFC 768 
Tratamento de ICMP – RFC 792
Ataques DOS de “flood” de pacotes 
Aplicações P2P
Jogos na rede
Nat 1:1
Nat N:1
Nat N:N
*
Packet filtering (filtro de pacotes)
Filtro de pacotes estático
Tecnologia mais simples, que analisa individualmente pacotes que chegam e passam do nível de enlace para o nível de rede;
Evita ataques mais sofisticados, como IP Spoofing, pacotes truncados ou flooding de pacotes;
Regras de filtragem mais difíceis de configurar;
Limitado, não filtra adequadamente protocolos que abrem portas dinamicamente;
Permite ataque às vulnerabilidades de protocolos e serviços a nível de aplicação.
*
Stateless (filtro arrojado de pacotes)
Filtro de pacotes 
Tecnologia mais simples, que analisa individualmente pacotes que chegam e passam do nível de enlace para o nível de rede, mas também verifica algum detalhe, como a interpretação do “flag SYN” de início de conexão;
Possui todas as capacidades de um filtro de pacotes;
Foi uma tecnologia de transição entre o conceito de “Packet Filter” e a tecnologia “Statefull”
No Linux teve sua época de utilização através do Ipchains.
*
Stateful packet filter (filtro de pacotes com estado)
Usa conjunto de regras de filtragem e informações de estado das conexões
A primeira filtragem ocorre com o primeiro pacote (SYN), depois o SPF cria uma entrada para essa conexão (sessão) na tabela de estados
Fornece maior desempenho
Configuração mais simples
*
Application proxy (proxy de aplicação)
Permite análise e filtragem até a camada de aplicação;
Controla toda a comunicação de um serviço entre as máquinas internas e externas;
Necessita de duas conexões: cliente → proxy, proxy → servidor remoto;
Extranet: cliente externo → proxy interno, proxy interno → servidor interno;
Não há comunicação entre as máquinas internas e os servidores remotos;
Pode agregar outros serviços.
*
Deep packet inspection (inspeção profunda)
Examina cada bit e byte que cruza o firewall, filtrando mais de 95% dos ataques
Integra várias tecnologias:
Gateway anti-vírus
Gateway anti-spyware
Gateway anti-spam
Gateway anti-phishing
Serviço de prevenção de intrusos (IPS)
Serviço de detecção de intrusos (IDS)
Serviços IPsec VPN
*
Uma visão
a partir do datagrama
*
Uma visão a partir do datagrama
Packet Filter – Trata de 20 a 24 bytes, ou seja, de todo o cabeçalho IP (primeiros 20 bytes), e de parte do cabeçalho de transporte no que diz respeito à porta de origem e destino, lembrando que esse campo tem 4 bytes (16 bits: 2^16 = total de 65536 portas).
StateLess – Trata um pouco mais de 24 bytes, variando de acordo com a forma com que a ferramenta foi implementada. Em alguns casos analisa o flag de início de conexão TCP, mas não é capaz de tratar o conceito de estado de conexão.
StateFull – Trata no mínimo dos 40 bytes iniciais, ou seja, todo o cabeçalho IP; seja qual for o protocolo de transporte (UDP, TCP) sabe tratar do estado de conexão.
*
Exemplos de firewalls
Linux Kernel 2.0.x:
IPF – Packet FilterB
IPFWADM – Packet Filter
Linux Kernel 2.2.x:
IPchains – StateLess
SINUS – Packet Filter
Linux Kernel 2.4.x / 2.6.x:
Iptable – Stateful Packet
Outras soluções OpenSource:
IPFW (FreeBSD)‏
PF (OpenBSD e FreeBSD 5.x)
*
Detectores de intrusos
IDS é a sigla de Intrusion Detection Systems (Sistemas de Detecção de Intrusão)
Analisa o comportamento da rede ou do sistema, em busca de tentativa de invasão 
Baseado no sistema imunológico do corpo humano
Monitora um servidor específico ou host IDS (HIDS)
Monitora uma rede específica network IDS (NIDS)
Monitora chamadas de sistemas Kernel IDS (KIDS)
Utiliza dois métodos distintos
Detecção por assinatura
Detecção por comportamento
Usa sensores espalhados pela rede ou pelo host
*
IDS Snort
Ferramenta de detecção de invasão NIDS open source (Linux); popular, rápida, confiável, exigindo poucos recursos do sistema:
Flexível nas configurações de regras
Possui grande cadastro de assinaturas
Atualizada constantemente frente às novas ferramentas de invasão
Monitora tráfego de pacotes em redes IP, realizando análises em tempo real de diversos protocolos (nível de rede e aplicação) e sobre o conteúdo (hexa e ASCII)
*
Fluxo de funcionamento do Snort
*
HIDS
Ferramenta desenvolvida para monitoramento das modificações ocorridas no sistema de arquivos.
Checa a integridade dos arquivos e comandos do sistema operacional, manualmente ou através de programação “via cron”.
São muitas e interessantes as soluções disponíveis, como OSIRIS, OSSEC, Samhaim, Tripwire AIDE.
Destaque para OSIRIS, que além de ter uma arquitetura cliente servidor, possui clientes para vários sistemas operacionais, possibilitando ter um servidor OSIRIS Linux monitorando servidores Windows e MacOS, por exemplo.
*
HIDS
Veja os benefícios do HIDS OSIRIS:
http://osiris.shmoo.com/
Veja os benefícios do HIDS OSSEC:
http://www.ossec.net/ 
Veja os benefícios do HIDS Samhaim:
http://la-samhna.de/samhain/ 
Veja os benefícios do HIDS AIDE:
http://www.cs.tut.fi/~rammer/aide.html
Veja os benefícios do HIDS Tripwire:
http://www.tripwire.com/flash/te/main.html
http://www.tripwire.org
*
KIDS
Ferramenta desenvolvida a partir das chamadas de sistemas e do controle das funcionalidades do kernel
Um conceito ainda recente de IDS, gradualmente adotado pelos sistemas operacionais
Exemplos clássicos: LIDS, GRsecurity e SELinux
*
Redes virtuais privadas
Virtual Private Network (VPN) interliga duas redes privadas usando a internet como meio de interligação
Usa normalmente canal de criptografia:
Rápida, para não comprometer o desempenho;
Segura, para impedir ataques;
Substitui linhas dedicadas a um custo reduzido;
Sujeita a congestionamento e interrupções na internet.
Tipos: 
Entre redes
Discada
*
Autenticação, autorização e auditoria
Autenticação: estabelece a identidade do indivíduo
Identificação
Via login
Via PIN (Personal Identification Number)
Método de prova 
Via algo que você sabe
Uma senha (menor nível de segurança)
Via algo que você tem
Smart card, token
Via algo que você é
Impressão digital, leitura da íris, voz etc. (maior nível de segurança)
Token USB
Fonte: http://www.ealaddin.com
*
Autenticação, autorização e auditoria
Autorização
A autorização traça o perfil de acesso do indivíduo, e o que ele pode fazer.
O perfil contém todas as permissões para cada recurso que o indivíduo acessa.
Auditoria
A auditoria implica em: quem fez o quê, quando, aonde?
Os registros de eventos (logs) são os primeiros objetos a serem consultados em uma auditoria.

Teste o Premium para desbloquear

Aproveite todos os benefícios por 3 dias sem pagar! 😉
Já tem cadastro?

Outros materiais