Baixe o app para aproveitar ainda mais
Esta é uma pré-visualização de arquivo. Entre para ver o arquivo original
* Segurança em redes e Internet PROF. DR. LUÍS CÉZAR DARIENZO ALVES UNIVERSIDADE FEDERAL DE MATO GROSSO INSTITUTO DE COMPUTAÇÃO * Sumário Introdução Segurança física Segurança lógica Atividades de laboratório * Segurança física Segurança externa e de entrada Segurança da sala de equipamentos Segurança dos equipamentos Redundância Segurança no fornecimento de energia Salvaguarda (backup) Descarte da informação * Segurança externa e de entrada Consiste na proteção da instalação onde os equipamentos estão localizados, contra a entrada de pessoas não autorizadas Atua também na prevenção de catástrofes como: Enchentes Raios Incêndios etc. Mecanismos de controle de acesso físico nas entradas e saídas como: Travas Alarmes Grades Sistemas de vigilância etc. * Segurança externa e de entrada Controle de acesso: gerencia e documenta todos os acessos em ambientes, salas, andares e áreas específicas. Pode ser interligado a vários outros sistemas como: Sistema de alarme Circuito Fechado de Televisão (CFTV) Cartão de identificação (ID cards) Sistemas biométricos de identificação através do reconhecimento de mão, impressão digital, face ou íris * Segurança da sala de equipamentos Sala de equipamentos Local físico onde os servidores e equipamentos de rede estão localizados Acesso com controle físico específico e somente por pessoal autorizado Todo acesso deve ser registrado através de algum mecanismo de entrada O conteúdo da sala não deve ser visível externamente * Segurança da sala de equipamentos Alguns fabricantes fornecem soluções de sala-cofre, como mostra a Figura 1. Essas salas, em geral, possuem revestimentos especiais e controle de acesso para proteção contra os problemas listados anteriormente. Figura 1 – Exemplo de sala-cofre Fonte: Aceco TI – http://www.aceco.com.br * Segurança da sala de equipamentos Em nível físico: formação de perímetros e aplicação de três princípios básicos de segurança: defesa em profundidade, gargalo e diversidade de defesa. * Segurança dos equipamentos Os equipamentos de rede e servidores devem estar em uma sala segura Os equipamentos devem ser protegidos contra acessos indevidos no seu console, através de periféricos como teclado, mouse e monitor Travas DVD são recomendadas Os equipamentos devem ser protegidos contra acessos indevidos ao interior da máquina Figura 2 – Tranca para gabinete de computador Figura 3 – Gabinete de computador com porta e chave * Redundância O problema mais comum de segurança é falha de hardware O mecanismo mais importante para tolerar falhas é a redundância A redundância cria alta disponibilidade, mantendo o funcionamento em caso de falhas de componentes ou sobrecargas: Redundância de interface de rede Redundância de CPUs Redundância de discos (RAID) Redundância de fontes de alimentação interna Redundância de servidores etc * Redundância RAID é a sigla de Redundant Array of Inexpensive (Independent) Disks, conjunto redundante de discos independentes ou de baixo custo Implementado por: Controladora física (hardware) Através do sistema operacional (software) Redundant: Dados redundantes em múltiplos discos fornecem tolerância a falhas Array: Conjunto de múltiplos discos acessados em paralelo dão uma vazão maior (gravação e leitura de dados) * Redundância Raid * Segurança no fornecimento de energia A disponibilidade da informação armazenada depende da operação contínua dos equipamentos. Para garantir o suprimento de energia elétrica é necessário: Eliminar a variação da voltagem (estabilização); Proporcionar ausência de interrupção da energia elétrica (nobreak); Proporcionar aterramento elétrico perfeito. Estabilizadores de voltagem domésticos e institucionais Nobreak de grande porte * Segurança no fornecimento de energia O gerador usa fonte de energia alternativa como óleo diesel ou gasolina. O gerador é usado em conjunto com o nobreak para garantir o fornecimento ininterrupto de energia elétrica por horas ou por dias. Gerador * Salvaguarda (backup) É o último recurso no caso de perda de informação; O Plano de Continuidade de Negócios (PCN) prevê o uso de mídias de backup para a recuperação de desastres; Observar uso de compressão e criptografia no programa; Item importante do PCN: backup off-site; Mídias mais usadas: fitas, HD, CD e DVD. Cofre para armazenamento de mídias * Descarte da informação Documentos com informações confidenciais requerem um descarte seguro, impossibilitando qualquer recuperação das informações; Principais mídias de descarte: papel, fitas e discos rígidos; A instituição deve ter uma política de descarte de papel, de fitas e de discos rígidos; Documentos em papel devem ser fragmentados, sendo no mínimo uma fragmentadora de corte transverso; As mídias magnéticas devem ser destruídas. Cortador de papel * Segurança lógica Firewall Packet filtering Stateful packet filter Application proxy Deep packet inspection Detector de intruso IDS Snort IDS Tripwire Rede virtual privada Autenticação, autorização e auditoria * Firewall Parede corta-fogo que protege a rede interna contra os perigos da internet Exemplo do princípio do choke-point (gargalo) Serve a propósitos específicos: Restringe a entrada a um único ponto controlado; Previne que invasores cheguem perto de suas defesas mais internas; Restringe a saída a um único ponto controlado. * Necessidades em um firewall Capacidade para lidar com os desafios de gerência e controle de tráfego de rede, como: Tratamento de TCP – RFC 793 Construindo regras “Statefull” Tratando pacotes UDP – RFC 768 Tratamento de ICMP – RFC 792 Ataques DOS de “flood” de pacotes Aplicações P2P Jogos na rede Nat 1:1 Nat N:1 Nat N:N * Packet filtering (filtro de pacotes) Filtro de pacotes estático Tecnologia mais simples, que analisa individualmente pacotes que chegam e passam do nível de enlace para o nível de rede; Evita ataques mais sofisticados, como IP Spoofing, pacotes truncados ou flooding de pacotes; Regras de filtragem mais difíceis de configurar; Limitado, não filtra adequadamente protocolos que abrem portas dinamicamente; Permite ataque às vulnerabilidades de protocolos e serviços a nível de aplicação. * Stateless (filtro arrojado de pacotes) Filtro de pacotes Tecnologia mais simples, que analisa individualmente pacotes que chegam e passam do nível de enlace para o nível de rede, mas também verifica algum detalhe, como a interpretação do “flag SYN” de início de conexão; Possui todas as capacidades de um filtro de pacotes; Foi uma tecnologia de transição entre o conceito de “Packet Filter” e a tecnologia “Statefull” No Linux teve sua época de utilização através do Ipchains. * Stateful packet filter (filtro de pacotes com estado) Usa conjunto de regras de filtragem e informações de estado das conexões A primeira filtragem ocorre com o primeiro pacote (SYN), depois o SPF cria uma entrada para essa conexão (sessão) na tabela de estados Fornece maior desempenho Configuração mais simples * Application proxy (proxy de aplicação) Permite análise e filtragem até a camada de aplicação; Controla toda a comunicação de um serviço entre as máquinas internas e externas; Necessita de duas conexões: cliente → proxy, proxy → servidor remoto; Extranet: cliente externo → proxy interno, proxy interno → servidor interno; Não há comunicação entre as máquinas internas e os servidores remotos; Pode agregar outros serviços. * Deep packet inspection (inspeção profunda) Examina cada bit e byte que cruza o firewall, filtrando mais de 95% dos ataques Integra várias tecnologias: Gateway anti-vírus Gateway anti-spyware Gateway anti-spam Gateway anti-phishing Serviço de prevenção de intrusos (IPS) Serviço de detecção de intrusos (IDS) Serviços IPsec VPN * Uma visão a partir do datagrama * Uma visão a partir do datagrama Packet Filter – Trata de 20 a 24 bytes, ou seja, de todo o cabeçalho IP (primeiros 20 bytes), e de parte do cabeçalho de transporte no que diz respeito à porta de origem e destino, lembrando que esse campo tem 4 bytes (16 bits: 2^16 = total de 65536 portas). StateLess – Trata um pouco mais de 24 bytes, variando de acordo com a forma com que a ferramenta foi implementada. Em alguns casos analisa o flag de início de conexão TCP, mas não é capaz de tratar o conceito de estado de conexão. StateFull – Trata no mínimo dos 40 bytes iniciais, ou seja, todo o cabeçalho IP; seja qual for o protocolo de transporte (UDP, TCP) sabe tratar do estado de conexão. * Exemplos de firewalls Linux Kernel 2.0.x: IPF – Packet FilterB IPFWADM – Packet Filter Linux Kernel 2.2.x: IPchains – StateLess SINUS – Packet Filter Linux Kernel 2.4.x / 2.6.x: Iptable – Stateful Packet Outras soluções OpenSource: IPFW (FreeBSD) PF (OpenBSD e FreeBSD 5.x) * Detectores de intrusos IDS é a sigla de Intrusion Detection Systems (Sistemas de Detecção de Intrusão) Analisa o comportamento da rede ou do sistema, em busca de tentativa de invasão Baseado no sistema imunológico do corpo humano Monitora um servidor específico ou host IDS (HIDS) Monitora uma rede específica network IDS (NIDS) Monitora chamadas de sistemas Kernel IDS (KIDS) Utiliza dois métodos distintos Detecção por assinatura Detecção por comportamento Usa sensores espalhados pela rede ou pelo host * IDS Snort Ferramenta de detecção de invasão NIDS open source (Linux); popular, rápida, confiável, exigindo poucos recursos do sistema: Flexível nas configurações de regras Possui grande cadastro de assinaturas Atualizada constantemente frente às novas ferramentas de invasão Monitora tráfego de pacotes em redes IP, realizando análises em tempo real de diversos protocolos (nível de rede e aplicação) e sobre o conteúdo (hexa e ASCII) * Fluxo de funcionamento do Snort * HIDS Ferramenta desenvolvida para monitoramento das modificações ocorridas no sistema de arquivos. Checa a integridade dos arquivos e comandos do sistema operacional, manualmente ou através de programação “via cron”. São muitas e interessantes as soluções disponíveis, como OSIRIS, OSSEC, Samhaim, Tripwire AIDE. Destaque para OSIRIS, que além de ter uma arquitetura cliente servidor, possui clientes para vários sistemas operacionais, possibilitando ter um servidor OSIRIS Linux monitorando servidores Windows e MacOS, por exemplo. * HIDS Veja os benefícios do HIDS OSIRIS: http://osiris.shmoo.com/ Veja os benefícios do HIDS OSSEC: http://www.ossec.net/ Veja os benefícios do HIDS Samhaim: http://la-samhna.de/samhain/ Veja os benefícios do HIDS AIDE: http://www.cs.tut.fi/~rammer/aide.html Veja os benefícios do HIDS Tripwire: http://www.tripwire.com/flash/te/main.html http://www.tripwire.org * KIDS Ferramenta desenvolvida a partir das chamadas de sistemas e do controle das funcionalidades do kernel Um conceito ainda recente de IDS, gradualmente adotado pelos sistemas operacionais Exemplos clássicos: LIDS, GRsecurity e SELinux * Redes virtuais privadas Virtual Private Network (VPN) interliga duas redes privadas usando a internet como meio de interligação Usa normalmente canal de criptografia: Rápida, para não comprometer o desempenho; Segura, para impedir ataques; Substitui linhas dedicadas a um custo reduzido; Sujeita a congestionamento e interrupções na internet. Tipos: Entre redes Discada * Autenticação, autorização e auditoria Autenticação: estabelece a identidade do indivíduo Identificação Via login Via PIN (Personal Identification Number) Método de prova Via algo que você sabe Uma senha (menor nível de segurança) Via algo que você tem Smart card, token Via algo que você é Impressão digital, leitura da íris, voz etc. (maior nível de segurança) Token USB Fonte: http://www.ealaddin.com * Autenticação, autorização e auditoria Autorização A autorização traça o perfil de acesso do indivíduo, e o que ele pode fazer. O perfil contém todas as permissões para cada recurso que o indivíduo acessa. Auditoria A auditoria implica em: quem fez o quê, quando, aonde? Os registros de eventos (logs) são os primeiros objetos a serem consultados em uma auditoria.
Compartilhar