Firewalls IDS e VPN

Prévia do material em texto

“Segurança da Informação”
Procedimentos e tendências 
no mercado tecnológico atual
Prof. Clayton Soares
Agenda
� Introdução à segurança da informação
� Conhecendo o inimigo
� Tipos de ataques
� O que fazer ?
� Políticas de segurança
� Firewalls
� IDS - Sistemas de detecção de intrusões
� Criptografia / VPN
� Segurança em sistemas operacionais
Prof. Clayton Soares
Devemos nos preocupar com 
segurança ?
Introdução
Prof. Clayton Soares
Devemos nos preocupar com 
segurança ?
Spams Reportados ao CERT.br -- julho a setembro de 2006 
Tabela: Totais Mensais Classificados por Tipo de Reclamação. 
Legenda: 
•SpamCop: 
•Spamvertised (notificações de spamvertised website): reclamações sobre máquinas que hospedam páginas com produtos e serviços sendo 
oferecidos no spam. 
•Proxy aberto: reclamações sobre máquinas com serviço de proxy mal configurado, sendo abusadas. 
•Relay aberto: reclamações sobre máquinas com serviço de email mal configurado, sendo abusadas. 
•Envio de spam: reclamações de máquinas enviando spam. 
•Outras: reclamações enviadas pelo SpamCop, mas que não se enquadram nos tipos anteriores. 
•Outras fontes: reclamações enviadas por fontes diferentes do SpamCop. 
35,07286.8460,453.71122,53184.3140,001935,88293.4726,0649.556817.918total
37,0593.5840,631.58519,3548.8830,00236,9193.2376,0715.327252.618set
30,0579.8850,491.31226,6170.7360,011337,2599.0465,5914.869265.861ago
37,86113.3770,2781421,6164.6950,00433,79101.1896,4719.360299.439jul
Outras (%)Envio de Spam (%)Relay (%)Proxy (%)Spamvertised (%)
Outras Fontes (%)
SpamCop
TotalMês
Introdução
Prof. Clayton Soares
Devemos nos preocupar com 
segurança ?
Introdução
Prof. Clayton Soares
Devemos nos preocupar com 
segurança ?
Incidentes Reportados ao CERT.br -- Julho a Setembro de 2006 
Tabela: Totais Mensais e Trimestral Classificados por Tipo de Ataque. 
Legenda: 
•dos: Denial of Service; 
•aw: Ataque a servidor Web. 
1710526221349001210127019593529359576Total
18424723550703802604571349923321set
1832952951600370440451896117501ago
152984152823046057011681283318754jul
fraude (%)scan (%)aw (%)invasão (%)dos (%)worm (%)TotalMês
Introdução
Prof. Clayton Soares
� Hoje um servidor corporativo ligado a 
Internet não é mais um host e sim um alvo 
em potencial!
� Não adianta assegurar apenas um 
servidor ou sistema, a segurança é como 
vários elos, onde a força da corrente é
medida pela resistência do seu elo mais 
frágil!
Devemos nos preocupar com 
segurança ?
Introdução
Prof. Clayton Soares
� Não existe segurança 100% !!!
Devemos nos preocupar com 
segurança ?
Introdução
Prof. Clayton Soares
� Não está na hora de você rever seus 
conceitos ?
Devemos nos preocupar com 
segurança ?
Introdução
Prof. Clayton Soares
� Se você conhece o inimigo e conhece a si 
mesmo, não precisa temer o resultado de 
cem batalhas.
� Se você se conhece mas não conhece o 
inimigo, para cada vitória ganha sofrerá
também uma derrota.
� Se você não conhece o inimigo nem a si 
mesmo, perderá todas as batalhas...”
Extraído da obra: “A Arte da Guerra” - Sun Tzu
Quebra de Paradigma
Introdução
Prof. Clayton Soares
Script Kiddies / Lammers / Defacers
� Adolescentes que se “divertem” invadindo e 
derubando servidores Internet.
� Perfil: Possuem conhecimento moderado/ limitado de 
informática, e uma necessidade forte de se rebelar 
contra o sistema.
� Práticas: “Pichações de sites”,ataques de denial of
service (e atividades de “hacking pessoal”).
� Modo de operação: Obtém os programas e técnicas 
de invasão via Internet.
Conhecendo o inimigo
Prof. Clayton Soares
Hackers Éticos / Fuçadores
� Responsáveis pelo desenvolvimento dos programas e 
descobertas de vulnerabilidades.
� Perfil: Normalmente são adultos, trabalhando com 
informática, com um bom conhecimento de 
programação e de redes.
� Práticas: Desenvolvimento de programas (exploits) e 
técnicas de invasão / proteção.
� Modo de Operação: Divulgam seus programas na 
Internet, e normalmente não os usam (anônimos).
Conhecendo o inimigo
Prof. Clayton Soares
Crackers
� “Profissionais” que invadem computadores com o 
objetivo de ganho financeiro.
� Perfil: Adulto com conhecimento avançado e 
personalidade criminosa.
� Práticas: Roubo de informações (ex: carders), 
estelionato, espionagem industrial, e sabotagens 
pagas.
� Modo de Operação: trabalham por conta própria, ou 
em quadrilhas que incluem outros tipos de criminosos.
Conhecendo o inimigo
Prof. Clayton Soares
Tipos de ataques
Script Kiddie Attack
Prof. Clayton Soares
Tipos de ataques
Script Kiddie Attack
Prof. Clayton Soares
Scanning - Portas
Nmap
http://www.insecure.org/nmap
Tipos de ataques
Script Kiddie Attack
Prof. Clayton Soares
Scanning -Vulnerabilidades
Nessus
http://www.nessus.org
Tipos de ataques
Script Kiddie Attack
Prof. Clayton Soares
Busca por exploits
Packetstorm - http://packetstormsecurity.nl
Tipos de ataques
Script Kiddie Attack
Prof. Clayton Soares
Exploração da vulnerabilidade
• Execução do exploit
• Invasão com sucesso
• Acesso indevido com privilégios ao alvo
• Alteração (defacing) da Home Page do site alvo e/ou 
danificação de dados
Tipos de ataques
Script Kiddie Attack
Prof. Clayton Soares
Tipos de ataques
Cracker Attack
Engenharia Social
� Um novo nome para um velho golpe:
- Falsidade ideológica
- Trapaça - “Conto do vigário”
� Principais ocorrências:
- Indução a instalação de arquivos maléficos
- Indução a mudança de senha - “teste123”
- Golpes contra Internet Banking no Brasil e no 
mundo
- Engenharia social contra as empresas
Prof. Clayton Soares
Tipos de ataques
Cracker Attack
Engenharia Social
� Dispensa computadores e softwares.
� Normalmente ocorre por telefone ou até pessoalmente.
� Utiliza a confiança, a ingenuidade, a surpresa e o 
respeito à autoridade
Alguns métodos
- Personificação: Help Desk, Fornecedor, Cliente
- Mergulho no lixo (Dumpster diving)
- Acesso físico às empresas
- Ataques via Internet e Intranet
Prof. Clayton Soares
Tipos de ataques
Cracker Attack
Engenharia Social – Prevenção
� Conscientização dos responsáveis pela segurança
� Treinamento do pessoal de atendimento
� Impedir entrada não-autorizada aos prédios
� Exigir identificação de funcionários
� Lixo: picar papéis e eliminar completamente dados 
magnéticos
� Trocar senhas periodicamente
Prof. Clayton Soares
Tipos de ataques
Cracker Attack
Prof. Clayton Soares
A necessidade de segurança
� Maior evolução, maior preocupação
� Segurança como parte dos negócios
� Investimento em segurança
� Ataques para obtenção de informações
� Ataques de negação de serviços
� Popularização da internet
� Diversidade de serviços na internet
� Custo da internet
Prof. Clayton Soares
O que fazer ?
� Políticas de segurança
� Anti-virus
� Backup
� Treinamento dos usuários em segurança
� Segurança física
� Segurança das aplicações 
� Segurança dos serviços dos servidores
� Melhores práticas para a gestão de 
serviços de TI (ITIL, COBIT, ISO27001)
Prof. Clayton Soares
O que mais podemos fazer ?
� Firewalls
� NAT (Network address translation)
� Filtros de pacotes
� Proxies
� IDS (Intrusion Detection Systems)
� Criptografia
� VPN’s (Virtual Private Networks)
Prof. Clayton Soares
Firewalls 
� Ponto entre duas ou mais redes, no qual 
circula todo o tráfego.
� A partir desse único ponto, é possível 
controlar e autenticar o tráfego, além de 
registrar, por meio de logs, todo o tráfego 
da rede, facilitando sua auditoria.
Bill Cheswick e SteveBellovin
Prof. Clayton Soares
Componentes
� Filtragem de pacotes
� Rejeita pacotes TCP vindo de hosts não 
autorizados e conexões com serviços não 
autorizados.
� NAT (Network address translation)
� Conversão de endereços de rede.
� Mascaramento IP.
� Proxy
� Faz com que conexões de aplicativos de alto 
nível sejam monitoradas.
Firewalls
Prof. Clayton Soares
Filtragem de Pacotes
� Firewalls originais
� Roteador inspecionar cabeçalho dos 
pacotes e simplesmente rejeitar aqueles 
não estão de acordo com suas 
especificações.
� Apresenta problemas para ser 
implementado sozinho.
� Deve ser combinado com outras 
tecnologias de firewall.
Firewalls
Prof. Clayton Soares
Tipos
� Filtragem de pacotes sem estados 
(stateless).
� Filtros de pacotes com inspeção de 
estados (statefull inspection)
Firewalls – Filtragem de Pacotes
Prof. Clayton Soares
Filtragem sem estados
� Filtros:
� Tipo do protocolo
�UDP, TCP, ICMP, IGMP, etc.
� Endereço IP
� Porta TCP/UDP
Firewalls – Filtragem de Pacotes - Tipos
Prof. Clayton Soares
Filtragem sem estados
� Os protocolos mais importantes que 
devem ser bloqueados:
� Telnet
� Sessão NetBIOS (para Internet)
� NFS
� POP (somente via VPN)
� X Windows
� Portas com alto nível de controle 
funcional
Firewalls – Filtragem de Pacotes - Tipos
Prof. Clayton Soares
Filtragem sem estados
Firewalls – Filtragem de Pacotes - Tipos
� Problemas
� Eles não verificam a parte útil dos pacotes.
� Eles não guardam o estado das conexões.
Prof. Clayton Soares
Filtragem com estados
Firewalls – Filtragem de Pacotes - Tipos
� Retém na memória os estados de todas 
as comunicações passando pelo firewall.
� Filtra fluxos de comunicação inteiros e 
não apenas os pacotes.
Prof. Clayton Soares
NAT
Firewalls
� Converte endereços privados da rede 
privada em endereços IP públicos para 
uso na Internet.
� Intenção de ocultar a rede interna.
� Todo o tráfego passa a sair por um único 
ponto central.
� Implementada na camada de transporte.
Prof. Clayton Soares
Problemas
Firewalls - NAT
� Os canais de retorno não funcionam 
porque não existe nenhuma rota de 
retorno separada para hosts internos.
� Software que criptografa informações 
sobre o cabeçalho TCP não funcionará
porque a informação deve estar 
acessível para o firewall.
� Sedução do host interno
Prof. Clayton Soares
Problemas
Firewalls - NAT
� Sedução do host interno
� Os usuários da rede vão até os 
hackers;
� E-mails forjados;
� Cavalos de tróia;
Prof. Clayton Soares
Proxies
Firewalls
� Colocam em cache as paginas web 
acessadas frequentemente.
� Ocultam a rede interna.
� Bloqueio de URL’s, download de 
certos tipos de arquivos, etc.
Prof. Clayton Soares
Problemas
Firewalls - Proxies
� Ponto de falha único.
� Os clientes precisam trabalhar com 
proxies.
� Precisa existir um proxy para cada 
serviço.
� Configurações padrão relaxadas.
� Criam um gargalo na rede.
� Configurações para desempenho.
Prof. Clayton Soares
Melhores práticas
Firewalls - Proxies
� Use um firewall real.
� Desative o roteamento.
� Proteja o sistema operacional base.
� Desative o acesso externo.
� Desative serviços em excesso.
Prof. Clayton Soares
Novas implementações
� Proxy transparente
� Firewalls híbridos
� Firewalls reativos
� Bridge Firewalls ou Firewalls 
Transparentes.
Prof. Clayton Soares
Bridge Firewalls
� Conecta dois segmentos de rede.
� Invisível.
� Filtra todo o tráfego passando pelos 
segmentos.
� Interfaces não recebem IP.
� Não podem ser encontradas.
� Não podem ser hackeadas.
Novas implementações
Prof. Clayton Soares
Bridge Firewalls
Novas implementações
Prof. Clayton Soares
Arquiteturas de Firewalls
� Serviços de filtragem de pacotes.
� Único firewall com servidores 
internos públicos.
� Único firewall com servidores 
externos públicos.
� Firewalls com múltiplas bases
� Firewalls por desconexão
Prof. Clayton Soares
Serviços de filtragem de pacotes
� Oferecido por provedores.
� Sua segurança é a do provedor.
� Todas as redes conectadas ao 
provedor estão desprotegidas.
� Firewall do provedor protege contra 
internet.
� Barato.
Arquiteturas de Firewalls
Prof. Clayton Soares
Serviços de filtragem de pacotes
Arquiteturas de Firewalls
Prof. Clayton Soares
Firewall único
� Firewall protegendo rede local e 
servidores públicos fora da rede 
local.
� Servidores públicos dentro da rede 
local com firewall abrindo portas 
para acesso externo aos servidores.
Arquiteturas de Firewalls
Prof. Clayton Soares
Firewall único
Arquiteturas de Firewalls
Prof. Clayton Soares
Firewall único
Arquiteturas de Firewalls
Prof. Clayton Soares
Firewalls duais ou de multiplas bases
� Dois firewalls agindo em conjunto 
para proteger totalmente uma rede.
� Firewall de base tripla com regras 
por interface, fornecendo níveis de 
segurança diferentes para 
necessidades diferentes.
Arquiteturas de Firewalls
Prof. Clayton Soares
Firewalls duais ou de multiplas bases
� Criação de zonas com perfis 
diferentes, onde as que guardam 
servidores público são chamadas de 
DMZ, ou zonas desmilitarizadas.
Arquiteturas de Firewalls
Prof. Clayton Soares
Firewalls duais ou de multiplas bases
Arquiteturas de Firewalls
Prof. Clayton Soares
Firewalls duais ou de multiplas bases
Arquiteturas de Firewalls
Prof. Clayton Soares
Outros exemplos
Arquiteturas de Firewalls
Prof. Clayton Soares
Outros exemplos
Arquiteturas de Firewalls
Prof. Clayton Soares
Outros exemplos
Arquiteturas de Firewalls
Prof. Clayton Soares
Firewalls por desconexão
� Criação de uma outra rede com 
acesso externo, completamente 
isolada da rede privada.
� Barata, pois não necessita de 
nenhuma segurança, onde os 
servidores públicos são ligados 
diretamente à Internet e totalmente 
desconectados da rede privada.
Arquiteturas de Firewalls
Prof. Clayton Soares
O Firewall Ideal
� Cada rede é uma rede.
� Deve-se definir o valor que tem as 
informações contidas na rede.
� Grau de inconveniência da 
publicação dessas informações a 
terceiros.
Prof. Clayton Soares
Configuração das regras
� Aplicação das regras em ordem.
� Por interface
� Por tipo de pacote (TCP, UDP, 
ICMP).
� Por endereços de origem e destino
� Por portas de origem e destino.
� Por opções específicas.
O Firewall Ideal
Prof. Clayton Soares
Configuração das regras
� Por tipo de mensagem ICMP.
� Por bit ACK no TCP
� Regras de aplicação de proxy 
específicas para um protocolo.
� Registro de ocorrências (log).
� Interface gráfica de usuário.
O Firewall Ideal
Prof. Clayton Soares
Escritório Doméstico
� Rede conectada à internet mais 
simples.
� Não há orçamento para haver um 
firewall dedicado.
� Depende da segurança do provedor
� Conexões intermitentes.
O Firewall Ideal
Prof. Clayton Soares
Melhores práticas
� Instalar correções do S.O.
� Desligar compartilhamento de 
arquivos em maquinas conectadas à
Internet.
� Desativar serviços desnecessários.
O Firewall Ideal – Escritório Doméatico
Prof. Clayton Soares
Pequenas Empresas
� Computador dedicado para serviços 
de arquivo e impressão.
� Conexão dedicada à Internet.
� Perda de dados começa a ser um 
problema.
� Usuários sem muitas restrições de 
acesso à Internet.
O Firewall Ideal
Prof. Clayton Soares
Melhores práticas
� Instalar correções do S.O.
� Desligar compartilhamento de 
arquivos em maquinasconectadas à
Internet.
� Desativar serviços desnecessários.
� Instalar firewall com permissões 
totais de saída e restrições totais de 
entrada na rede local.
O Firewall Ideal – Pequenas Empresas
Prof. Clayton Soares
Empresas com dados confidenciais
� Computadores com informações que 
podem atrair ataques específicos 
oriundos de hackers da internet.
O Firewall Ideal
Prof. Clayton Soares
Melhores práticas
� Todos os anteriores.
� Recusar pacotes, protocolos e portas 
como padrão, a menos que as regras 
estabelecidas especificamente os 
permitam.
� Não encaminhar pacotes nenhum. 
Somente deixar pacotes saírem.
O Firewall Ideal – Empresas com dados confidenciais
Prof. Clayton Soares
Empresas de Médio/Grande Porte
� Espionagem industrial
� Muita visibilidade pública
� Número grande de usuários e 
conexões à Internet.
� Ambiente heterogêneo.
� Aplicações diversas.
O Firewall Ideal
Prof. Clayton Soares
Melhores práticas
� Políticas de segurança cuidadosas e 
muito específicas devem ser 
implementadas.
� Definir realmente a necessidade de 
acesso externo, e a quem será dado 
esse acesso.
� Acesso controlado e específico de 
acordo com perfil do usuário.
O Firewall Ideal – Empresas de Médio/Grande Porte
Prof. Clayton Soares
S.O. e Firewalls
�Windows NT
�Windows 2000
� Firewalls gratuitos
� Firewalls Comerciais
� Firewalls Dedicados
Prof. Clayton Soares
Windows NT
� Capacidades
� Filtragem de pacotes (sem 
estados)
� Tunelamento (PPTP)
� Autenticação criptografada
�Hash
�Senhas de 14 caracteres de 
96 caracteres possíveis.
S.O. e Firewalls
Prof. Clayton Soares
Windows NT
� Limitações
� Filtragem de pacotes simples.
� Não há NAT nem proxy.
� Protocolo de tunelamento frágil.
� Log limitado.
� Desempenho
S.O. e Firewalls
Prof. Clayton Soares
Windows 2000
� Capacidades
� Infra-estrutura de chave pública 
CryptoAPI
� Autenticação Kerberos
� NAT
� Balanceamento de carga na 
rede.
� Tunelamento L2TP (camada 2)
� IPSec (camada 3)
S.O. e Firewalls
Prof. Clayton Soares
Firewalls Gratuitos
� Iptables para Linux
�www.netfilter.org
�www.fwbuilder.com
S.O. e Firewalls
Prof. Clayton Soares
Problemas comuns
� Alertas limitados ou inexistentes.
� Nenhum recurso de monitoramento 
do FW em tempo real.
� Interface gráfica limitada.
� Configuração difícil em prompt de 
comando.
S.O. e Firewalls – Firewalls gratuitos
Prof. Clayton Soares
Linux e Iptables
�NAT
�Filtragem de pacotes com 
inspeção de estado.
�Rápido
S.O. e Firewalls – Firewalls gratuitos
Prof. Clayton Soares
Linux e Iptables
S.O. e Firewalls – Firewalls gratuitos
Prof. Clayton Soares
Linux e Iptables
S.O. e Firewalls – Firewalls gratuitos
Prof. Clayton Soares
Linux e Iptables
S.O. e Firewalls – Firewalls gratuitos
Prof. Clayton Soares
Linux e Iptables
S.O. e Firewalls – Firewalls gratuitos
Prof. Clayton Soares
Firewalls Comerciais 
�Para Windows NT/2000
� Checkpoint Firewall-1
�Microsoft Proxy Server
�Microsoft ISA Server
S.O. e Firewalls – Firewalls gratuitos
Prof. Clayton Soares
Checkpoint Firewall-1 
�Filtro com inspeção de estados
�NAT
�Mais vendido no mundo
�Componentes para VPN
�Autenticação transparente
�Alto desempenho
�Configuração amigável/gráfica.
S.O. e Firewalls – Firewalls comerciais
Prof. Clayton Soares
Checkpoint Firewall-1 
�Boa documentação
�Alto custo.
�Suporte cobra US$ 400 por 
cada ocorrência de suporte 
técnico (para o qual eles não 
garantem a solução do 
problema)
S.O. e Firewalls – Firewalls comerciais
Prof. Clayton Soares
Microsoft Proxy Server 
� Proxy HTTP e SOCKS com cache.
� Inseguro
� Depende do SO para filtragem
� Não fornece NAT
� Não é um firewall
� Substituído pelo ISA Server, 
completo e seguro.
S.O. e Firewalls – Firewalls comerciais
Prof. Clayton Soares
Firewalls dedicados 
�Firewall Pix (Cisco).
S.O. e Firewalls
Prof. Clayton Soares
Cisco Pix Firewall 
� SO proprietário em tempo real 
personalizado.
� Segundo firewall mais bem vendido.
� O mais rápido.
� Filtragem sem degradação da 
velocidade.
� Alto custo
S.O. e Firewalls – Firewalls dedicados
Prof. Clayton Soares
Cisco Pix Firewall 
� Filtro de inspeção que usa estados.
� NAT
� Autenticação
� VPN (opcional)
� Alta disponibilidade
� Suporte a 4 zonas de segurança
� “É firewall e não proxy”
S.O. e Firewalls – Firewalls dedicados
Prof. Clayton Soares
Recursos On-line 
� Firewalls
� www.nai.com
� www.cisco.com/security
� www.lucent.com/security
� www.sonicwall.com
� www.netscreen.com
� www.watchguard.com
� www.checkpoint.com
� www.netguard.com
Prof. Clayton Soares
Recursos On-line 
� Firewalls
� www.sun.com/security
� www.microsoft.com/proxy
� www.wingate.net
Contra medidas 
específicas para os 
pontos críticos da rede
Prof. Clayton Soares
Contra medidas específicas para os 
pontos críticos da rede
� Hosts – Melhorar a segurança das máquinas (todas), 
isto inclui:
� Utilização de antivírus e a política de atualização 
do mesmo;
� Varredura de toda a rede, utilizando scanners de 
vulnerabilidades;
� Instalar IDS baseados em host nas máquinas mais 
importantes;
� Implementar geração e análise de logs dos 
principais sistemas;
� Implementar uma boa política de senhas;
� Implementar uma política de backup para os 
servidores;
Prof. Clayton Soares
Contra medidas específicas para os 
pontos críticos da rede
� Reforçar o perímetro da rede – Identificar corretamente 
os domínios separados, às vezes chamado “interno” e 
“externo”, verificar a existência de pontos de entrada na 
rede: como pode alguém de fora acessar recursos que 
estão dentro do perímetro? 
� As políticas de segurança de rede deverão incluir 
procedimentos para o controle do tráfego entre todos os 
pontos de entrada. 
� Até mesmo a defesa de perímetro mais rígida pode se 
mostrar inútil diante do ataque de um modem de 
discagem sem controle que está conectado à rede.
Prof. Clayton Soares
Contra medidas específicas para os 
pontos críticos da rede
� Utilização de VPNs (redes privadas virtuais);
� Utilização de Assinaturas Digitais;
� Utilização de mecanismos de autenticação físicos 
(biométicos, etc.);
Prof. Clayton Soares
Segurança no nível do cliente
� Segurança dos serviços de terminal
� Não usar telnet, rlogin, rsh e afins;
� Usar o SSH;
� Atenção especial deve ser tomada no ato da 
conexão, caso o programa informe alteração da 
chave do servidor. Muitas técnicas, usando um 
programa chamado dsniff estão sendo utilizadas 
para interceptar sessões de ssh.
Prof. Clayton Soares
Segurança no nível do cliente
� Segurança no acesso a Web
� Usar conexão segura (SSL) sempre que possível;
� Desabilitar javascripts;
� Nunca executar “cegamente” programas baixados 
de páginas Web.
Prof. Clayton Soares
Objetivos de um ataque
� Causar dolo ou prejuízo
� Procurar vulnerabilidades no sistema para 
divulgá-las
Prof. Clayton Soares
Como descobrir e se proteger
� Análise do que está ocorrendo na rede.
� Uso de sniffers para escutar o tráfego e 
compará-los com um registro de assinaturas de 
possíveis ataques.
� É comum os administradores de sistemas 
disponibilizarem computadores como um 
chamariz para os atacantes – estes 
computadores também são chamados de 
“potes de mel”.
� Os administradores analisam os ataques 
ocorridos e desenvolvem novas ferramentas e 
proteções contra esses ataques.
Prof. Clayton Soares
Características de um IDS
� Deve rodar continuamente sem interação 
humana e deve ser segura o suficientede forma a permitir sua operação em 
background, mas deve ser fácil 
compreensão e operação;
� Deve ter tolerância a falhas, de forma a 
não ser afetada por uma falha do 
sistema, ou seja, sua base de 
conhecimento não deve ser perdida 
quando o sistema for reinicializado;
Prof. Clayton Soares
Características de um IDS
� Deve resistir a tentativas de mudança 
(subversão) de sua base, ou seja, deve 
monitorar a si próprio de forma a garantir 
sua segurança;
� Dever ter o mínimo de impacto no 
funcionamento do sistema;
� Deve detectar mudanças no 
funcionamento normal;
Prof. Clayton Soares
Características de um IDS
� Deve ser de fácil configuração, cada 
sistema possui padrões diferentes e a 
ferramenta de IDS deve ser adaptada de 
forma fácil aos diverso padrões.
� Deve cobrir as mudanças do sistema 
durante o tempo, como no caso de uma 
nova aplicação que comece a fazer parte 
do sistema; 
� E deve ser difícil de ser enganada.
Prof. Clayton Soares
Prováveis erros
� Falso positivo – ocorre quando a 
ferramenta classifica uma ação como 
uma possível intrusão, quando na 
verdade trata-se de uma ação legítima. 
Um bom exemplo de falso positivo é o 
ataque de SYN FLOOD. O simples fato 
de acessar um determinado tipo de 
página pode gerar uma detecção da 
ocorrência de um ataque SYN FLOOD.
Prof. Clayton Soares
Prováveis erros
� Falso negativo – ocorre quando uma 
intrusão real acontece, mas a ferramenta 
permite que ela passe como se fosse 
uma ação legítima; 
� Subversão – ocorre quando o intruso 
modifica a operação da ferramenta de 
IDS para forçar a ocorrência de falso 
negativo.
Prof. Clayton Soares
As dificuldades
� Identificar e classificar o que é realmente 
uma tentativa de acesso não autorizado 
ou simplesmente um erro eventual, ou 
uma distração para ocupar os 
administradores de sistemas enquanto o 
verdadeiro ataque ocorre. 
Prof. Clayton Soares
As dificuldades
� O número de tentativas de invasão seria 
menor, se as ferramentas de IDS que 
são utilizadas fossem devidamente 
configuradas. 
� Também não existe quantidade 
suficiente de pessoas com o 
conhecimento técnico adequado para 
configurar e trabalhar com ferramentas 
de IDS
Prof. Clayton Soares
As dificuldades
� Por exemplo, não é raro encontrar um 
firewall ou um router com a senha padrão 
de fábrica, o que facilita aos atacantes 
ter o acesso a estes equipamentos.
� Os IDS não conseguem detectar um 
ataque nos seus estágios iniciais. Não 
são detectadas sondagens iniciais em 
busca de vulnerabilidades no sistema. 
Prof. Clayton Soares
Ferramentas de ataque
� Ferramentas de Varredura 
� Permite um atacante determinar 
características do sistema atacado. 
� Ex: SATAN e NESSUS
� Ferramentas de Administração Remota
� Utilizado por um administrador de sistemas 
para acessar máquinas remotas. 
� Pode causar danos significantes se utilizados 
como ferramenta de ataque. 
� Ex: Back Orifice.
Prof. Clayton Soares
Ferramentas de ataque
� Sniffers
� Ferramentas que “cheiram” o tráfego de 
rede, permite a visualização dos pacotes que 
passam pela rede. 
� Vulnerabilidades novas surgirão com tempo, 
e conseqüentemente ferramentas que 
exploram estas vulnerabilidades.
Prof. Clayton Soares
Tipos de IDS
� Baseados em Host
� São instalados em servidores para 
alertar e identificar ataques e 
tentativas de acesso indevido à
própria máquina, sendo mais 
empregados nos casos em que a 
segurança está focada em 
informações contidas em um servidor 
e os usuários não precisam ser 
monitorados.
Prof. Clayton Soares
Tipos de IDS
� Baseados em Rede
� São instalados em máquinas 
responsáveis por identificar ataques 
direcionados a toda a rede, 
monitorando o conteúdo dos pacotes 
ou do tráfego e seus detalhes como 
informações de cabeçalhos e 
protocolos.
Prof. Clayton Soares
Alguns IDS
• Intruder Alert Axent www.axent.com
• NetProwler Axent www.axent.com
• Real Secure ISS www.iss.net
•NetRanger Cisco www.cisco.com
•NFR NFR www.nfr.net
•Session Wall C.Associates www.ca.com
•Snort Marty Roesh www.snort.org
•Abacus Psionic www.psionic.com
Prof. Clayton Soares
VPN
� Redes privadas virtuais.
� Túneis criptografados através da 
Internet.
� Economicamente viável para 
interconectar redes remotas.
� Qualquer tráfego pode ser 
encaminhado.
� Cliente conectado à rede local.
Prof. Clayton Soares
Componentes
� Encapsulamento IP.
� Autenticação criptográfica.
� Criptografia dos dados contendo as 
informações.
� SSL – criptografa dados sem 
criptografar autenticação.
� Logon Windows – criptografa
autenticação e não os dados.
VPN
Prof. Clayton Soares
Características
� São mais baratas que redes de 
longa distância.
� São mais fáceis de instalar.
� São mais lentas que redes locais.
� São menos confiáveis que redes 
locais.
� São menos seguras que redes 
locais ou de longa distância.
VPN
Prof. Clayton Soares
Tipos
� Baseadas em servidor
� Windows NT/2000/2003
� Linux
� Baseadas em Firewall
� Vários já implementam este serviço.
� Baseadas em roteador
� Vários já implementam este serviço.
VPN
Prof. Clayton Soares
Melhores práticas
� Use um firewall de verdade.
� Proteja o sistema operacional.
� Usar único provedor de acesso à
Internet.
� Usar filtros de pacotes para rejeitar 
hosts desconhecidos.
� Usar criptografia por chave publica e 
autenticação segura.
VPN
Prof. Clayton Soares
VPN
Prof. Clayton Soares
VPN
Prof. Clayton Soares
VPN
Prof. Clayton Soares
Informações Vulnerabilidades
� www.cert.org
� www.iss.org
� http://www.securityfocus.com
� http://packetstorm.security.com
� http://ciac.llnl.gov
� http://www.lockabit.coppe.ufrj.br
� http://www.securenet.com.br
Prof. Clayton Soares
Alguns sites de grupos de hackers
� http://www.ussrback.org
� http://www.destroy.net
� http://www.insecure.org
� http://www.hackershomepage.com
� http://www.hackerslab.com
� http://packetstorm.security.com
� http://www.rootshell.com
� http://www.securityportal.com
� http://www.technotronic.com
� http://unsekurity.virtualave.net
� http://www.phrack.com
� http://www.bufferoverflow.org
Prof. Clayton Soares
Ferramentas utilizadas por hackers
� Dispositivos Destrutivos
� Emails bomba
� Ferramentas de DoS/DDoS
� List Linking (cadastramento de uma pessoa 
em milhares de listas de discussão)
� Vírus
Prof. Clayton Soares
Ferramentas utilizadas por hackers
� Trojans
� Código não autorizado dentro de um 
programa legítimo;
� Programa (trojan) simplesmente renomeado 
para o nome de um executável conhecido;
� Alguns trojans não são destrutivos, eles de 
alguma forma coletam informações do 
sistema/usuário e transferem para o 
atacante;
Prof. Clayton Soares
Ferramentas utilizadas por hackers
� Password Crackers
� Ferramentas para quebra de senhas. 
� Ex:
� John the Ripper
� Cracker
� L0phtcrack
� NTcrack
� Zipcrack
� Netcrack
� PGPcrack
Prof. Clayton Soares
Ferramentas utilizadas por hackers
� Scanners
� Ferramentas para varredura de redes:
� Nessus / Nmap / NSS / Strobe
� SATAN / SAINT
� Internet Security Scanner - SafeSuite (ISS)
� Cybercop (NAI)
� Network ToolBox
� Stealth
Prof. Clayton Soares
Ferramentas utilizadas por hackers
� Sniffers
� Ferramentas de análise de protocolos e de 
captura de pacotes na rede:
� Sniffer (NAI – para Windows)
� LinSniff (para Linux)
� SunSniff (para Sun)
� Snoop (Sun)
� Tcpdump
� Snort
Prof. Clayton Soares
Ferramentas utilizadas por hackers
� Exploits e BufferOveflows
�Um exploit é um programa utilizado para 
explorar uma vulnerabilidade de outro 
programa. Não existe um programa chamado 
exploit, existem exploits para explorar 
vulnerabilidades específicas de sotwares
específicos, e mais, de versões específicas.
Prof. Clayton Soares
Configuração Segura – Unix/Linux
� Patches: verificar os últimos patches dos 
serviços que estão disponíveis. Ex:
� DNS, E-mail, Web, etc. Manter uma tabela 
atualizada dos serviços em cada host, com 
as versões, datas de atualização e site do 
fabricante.
Prof. Clayton Soares
Configuração Segura – Unix/Linux
� Segurança de rede: 
� Permitir o acesso somente aos serviços 
estritamente necessários. O ideal é bloquear 
o acesso a todos os serviços e dar 
permissão somente aos necessários.
Prof. Clayton Soares
Configuração Segura – Unix/Linux
� Terminais seguros: Não permita que o 
super-usuário se conecte diretamente 
pela rede no sistema. 
� Edite: /etc/ttys, /etc/security ou 
/etc/default/login.
� Muito cuidado deve ser tomado ao 
configurar o arquivo que exporta os 
sistemas de arquivo (geralmente 
/etc/exports) de servidores NFS.
Prof. Clayton Soares
Configuração Segura – Unix/Linux
� Sendmail: Não use. Use o postfix ou o 
qmail.
� Servidor Web: Mantenha sempre a última 
versão do Apache Web Server.
� NIS ou NIS+: Não use se você realmente 
não precisa. Use NIS+ se possível.
Prof. Clayton Soares
Configuração Segura – Unix/Linux
� Senhas: Verifique se está sendo utilizado o 
password shadow. Edite o arquivo 
/etc/passwd, não deve ser possível ver os 
criptogramas referentes às senhas dos 
usuários. 
� Apenas no /etc/shadow ou 
/etc/master.passwd deve ser possível vê-
los. 
� Utilize programas como o Cracker ou o 
John the Ripper para tentar quebrar 
periódicamente as senhas dos usuários.
Prof. Clayton Soares
Configuração Segura – Unix/Linux
� Utilize um Port Scanner para verificar as 
portas que ainda existem abertas no 
sistema. Lembre-se de verificar UDP 
também.
� Utilize um Scanner de vulnerabilidades 
para se certificar de que não esqueceu 
algo. Ou algum detalhe passou 
despercebido.
Prof. Clayton Soares
Configuração Segura – Windows
� Patches: verificar os últimos patches dos 
serviços que estão disponíveis. Ex:
� DNS, E-mail, Web, etc. Manter uma tabela 
atualizada dos serviços em cada host, com 
as versões, datas de atualização e site do 
fabricante.
Prof. Clayton Soares
Configuração Segura – Windows
� Desativar o compartilhamento de 
arquivos e impressoras no Windows9x;
� Utilizar o System Policy Editor, mas 
conhecido como Policy (poledit.exe), e 
podeser encontrado na maioria dos CDs 
do Windows 98 em 
\tools\reskit\netadmin\poledit ou no site 
da Microsoft.
Prof. Clayton Soares
Configuração Segura – Windows
� Não instalar a rede dial-up ou desabilita-
la no Policy.
� Não instalar o serviço de Registro 
Remoto, se utilizar, escolher uma boa 
senha;
� Não habilitar SNMP nos Windows 
NT/2000;
Prof. Clayton Soares
Configuração Segura – Windows
� Extremo cuidado com arquivos 
executáveis de terceiros, problemas em 
potencial: BO e NetBus. No caso de ser 
infectado (ou não) usar o The Cleaner
http://www.moosoft.com/cleaner.php3
� Utilizar senhas na BIOS dos 
computadores;
� Bloquear as portas 135-139 no Roteador 
ou Firewall;
Prof. Clayton Soares
Configuração Segura – Windows
� Utilizar switches nas redes, ao invés de 
Hubs;
� Aplicar os services packs e hotfixes mais 
recentes;
� Visitar perdiodicamente
http://www.microsoft.com/security
Prof. Clayton Soares
Normas de Segurança
� O CERT (http://www.cert.org) possui 
arquivos com várias normas e checklists
de segurança. Podemos citar os 
excelentes checklists para UNIX e 
Windows.
� A BS7799 é um conjunto de normas de 
segurança adotado mundialmente. Ela 
não é gratuita e pode ser adquirida pela 
internet em: www.c-cure.org.
Prof. Clayton Soares
IDS
Prof. Clayton Soares
As 10 leis imutáveis de segurança
(Centro de Resposta de Segurança da Microsoft )
� Primeira: Se um malfeitor consegue te 
persuadir a executar um programa no 
seu computador, este computador 
deixa de ser seu.
� Segunda: Se um malfeitor consegue 
alterar o sistema operacional do seu 
computador, este computador deixa 
de ser seu.
Prof. Clayton Soares
� Terceira: Se um malfeitor tiver acesso 
físico irrestrito ao seu computador, 
este computador deixa de ser seu.
� Quarta: Se você permitir que um 
malfeitor envie programas para seu 
website, este website deixa de ser 
seu.
As 10 leis imutáveis de segurança
(Centro de Resposta de Segurança da Microsoft )
Prof. Clayton Soares
� Quinta: Senhas fracas triunfam sobre 
a mais forte segurança.
� Sexta: Um sistema é tão seguro 
quanto seu administrador é confiável.
As 10 leis imutáveis de segurança
(Centro de Resposta de Segurança da Microsoft )
Prof. Clayton Soares
� Sétima: Dados criptografados são tão 
seguros quanto a senha usada para 
sua decriptação.
� Oitava: Um anti-vírus desatualizado é
apenas ligeiramente melhor do que 
nenhum anti-vírus.
As 10 leis imutáveis de segurança
(Centro de Resposta de Segurança da Microsoft )
Prof. Clayton Soares
� Nona: O anonimato absoluto não 
existe, nem dentro, nem fora da 
Internet.
� Décima: Tecnologia não é uma 
panacéia.
“Não existe, hoje, outra solução além de uma 
educação em segurança da informação.”
As 10 leis imutáveis de segurança
(Centro de Resposta de Segurança da Microsoft )
Prof. Clayton Soares
Perguntas
Prof. Clayton Soares
Obrigado !
Prof. Esp. Clayton Soares
E-mail: clayton@fic.br