Baixe o app para aproveitar ainda mais
Prévia do material em texto
“Segurança da Informação” Procedimentos e tendências no mercado tecnológico atual Prof. Clayton Soares Agenda � Introdução à segurança da informação � Conhecendo o inimigo � Tipos de ataques � O que fazer ? � Políticas de segurança � Firewalls � IDS - Sistemas de detecção de intrusões � Criptografia / VPN � Segurança em sistemas operacionais Prof. Clayton Soares Devemos nos preocupar com segurança ? Introdução Prof. Clayton Soares Devemos nos preocupar com segurança ? Spams Reportados ao CERT.br -- julho a setembro de 2006 Tabela: Totais Mensais Classificados por Tipo de Reclamação. Legenda: •SpamCop: •Spamvertised (notificações de spamvertised website): reclamações sobre máquinas que hospedam páginas com produtos e serviços sendo oferecidos no spam. •Proxy aberto: reclamações sobre máquinas com serviço de proxy mal configurado, sendo abusadas. •Relay aberto: reclamações sobre máquinas com serviço de email mal configurado, sendo abusadas. •Envio de spam: reclamações de máquinas enviando spam. •Outras: reclamações enviadas pelo SpamCop, mas que não se enquadram nos tipos anteriores. •Outras fontes: reclamações enviadas por fontes diferentes do SpamCop. 35,07286.8460,453.71122,53184.3140,001935,88293.4726,0649.556817.918total 37,0593.5840,631.58519,3548.8830,00236,9193.2376,0715.327252.618set 30,0579.8850,491.31226,6170.7360,011337,2599.0465,5914.869265.861ago 37,86113.3770,2781421,6164.6950,00433,79101.1896,4719.360299.439jul Outras (%)Envio de Spam (%)Relay (%)Proxy (%)Spamvertised (%) Outras Fontes (%) SpamCop TotalMês Introdução Prof. Clayton Soares Devemos nos preocupar com segurança ? Introdução Prof. Clayton Soares Devemos nos preocupar com segurança ? Incidentes Reportados ao CERT.br -- Julho a Setembro de 2006 Tabela: Totais Mensais e Trimestral Classificados por Tipo de Ataque. Legenda: •dos: Denial of Service; •aw: Ataque a servidor Web. 1710526221349001210127019593529359576Total 18424723550703802604571349923321set 1832952951600370440451896117501ago 152984152823046057011681283318754jul fraude (%)scan (%)aw (%)invasão (%)dos (%)worm (%)TotalMês Introdução Prof. Clayton Soares � Hoje um servidor corporativo ligado a Internet não é mais um host e sim um alvo em potencial! � Não adianta assegurar apenas um servidor ou sistema, a segurança é como vários elos, onde a força da corrente é medida pela resistência do seu elo mais frágil! Devemos nos preocupar com segurança ? Introdução Prof. Clayton Soares � Não existe segurança 100% !!! Devemos nos preocupar com segurança ? Introdução Prof. Clayton Soares � Não está na hora de você rever seus conceitos ? Devemos nos preocupar com segurança ? Introdução Prof. Clayton Soares � Se você conhece o inimigo e conhece a si mesmo, não precisa temer o resultado de cem batalhas. � Se você se conhece mas não conhece o inimigo, para cada vitória ganha sofrerá também uma derrota. � Se você não conhece o inimigo nem a si mesmo, perderá todas as batalhas...” Extraído da obra: “A Arte da Guerra” - Sun Tzu Quebra de Paradigma Introdução Prof. Clayton Soares Script Kiddies / Lammers / Defacers � Adolescentes que se “divertem” invadindo e derubando servidores Internet. � Perfil: Possuem conhecimento moderado/ limitado de informática, e uma necessidade forte de se rebelar contra o sistema. � Práticas: “Pichações de sites”,ataques de denial of service (e atividades de “hacking pessoal”). � Modo de operação: Obtém os programas e técnicas de invasão via Internet. Conhecendo o inimigo Prof. Clayton Soares Hackers Éticos / Fuçadores � Responsáveis pelo desenvolvimento dos programas e descobertas de vulnerabilidades. � Perfil: Normalmente são adultos, trabalhando com informática, com um bom conhecimento de programação e de redes. � Práticas: Desenvolvimento de programas (exploits) e técnicas de invasão / proteção. � Modo de Operação: Divulgam seus programas na Internet, e normalmente não os usam (anônimos). Conhecendo o inimigo Prof. Clayton Soares Crackers � “Profissionais” que invadem computadores com o objetivo de ganho financeiro. � Perfil: Adulto com conhecimento avançado e personalidade criminosa. � Práticas: Roubo de informações (ex: carders), estelionato, espionagem industrial, e sabotagens pagas. � Modo de Operação: trabalham por conta própria, ou em quadrilhas que incluem outros tipos de criminosos. Conhecendo o inimigo Prof. Clayton Soares Tipos de ataques Script Kiddie Attack Prof. Clayton Soares Tipos de ataques Script Kiddie Attack Prof. Clayton Soares Scanning - Portas Nmap http://www.insecure.org/nmap Tipos de ataques Script Kiddie Attack Prof. Clayton Soares Scanning -Vulnerabilidades Nessus http://www.nessus.org Tipos de ataques Script Kiddie Attack Prof. Clayton Soares Busca por exploits Packetstorm - http://packetstormsecurity.nl Tipos de ataques Script Kiddie Attack Prof. Clayton Soares Exploração da vulnerabilidade • Execução do exploit • Invasão com sucesso • Acesso indevido com privilégios ao alvo • Alteração (defacing) da Home Page do site alvo e/ou danificação de dados Tipos de ataques Script Kiddie Attack Prof. Clayton Soares Tipos de ataques Cracker Attack Engenharia Social � Um novo nome para um velho golpe: - Falsidade ideológica - Trapaça - “Conto do vigário” � Principais ocorrências: - Indução a instalação de arquivos maléficos - Indução a mudança de senha - “teste123” - Golpes contra Internet Banking no Brasil e no mundo - Engenharia social contra as empresas Prof. Clayton Soares Tipos de ataques Cracker Attack Engenharia Social � Dispensa computadores e softwares. � Normalmente ocorre por telefone ou até pessoalmente. � Utiliza a confiança, a ingenuidade, a surpresa e o respeito à autoridade Alguns métodos - Personificação: Help Desk, Fornecedor, Cliente - Mergulho no lixo (Dumpster diving) - Acesso físico às empresas - Ataques via Internet e Intranet Prof. Clayton Soares Tipos de ataques Cracker Attack Engenharia Social – Prevenção � Conscientização dos responsáveis pela segurança � Treinamento do pessoal de atendimento � Impedir entrada não-autorizada aos prédios � Exigir identificação de funcionários � Lixo: picar papéis e eliminar completamente dados magnéticos � Trocar senhas periodicamente Prof. Clayton Soares Tipos de ataques Cracker Attack Prof. Clayton Soares A necessidade de segurança � Maior evolução, maior preocupação � Segurança como parte dos negócios � Investimento em segurança � Ataques para obtenção de informações � Ataques de negação de serviços � Popularização da internet � Diversidade de serviços na internet � Custo da internet Prof. Clayton Soares O que fazer ? � Políticas de segurança � Anti-virus � Backup � Treinamento dos usuários em segurança � Segurança física � Segurança das aplicações � Segurança dos serviços dos servidores � Melhores práticas para a gestão de serviços de TI (ITIL, COBIT, ISO27001) Prof. Clayton Soares O que mais podemos fazer ? � Firewalls � NAT (Network address translation) � Filtros de pacotes � Proxies � IDS (Intrusion Detection Systems) � Criptografia � VPN’s (Virtual Private Networks) Prof. Clayton Soares Firewalls � Ponto entre duas ou mais redes, no qual circula todo o tráfego. � A partir desse único ponto, é possível controlar e autenticar o tráfego, além de registrar, por meio de logs, todo o tráfego da rede, facilitando sua auditoria. Bill Cheswick e SteveBellovin Prof. Clayton Soares Componentes � Filtragem de pacotes � Rejeita pacotes TCP vindo de hosts não autorizados e conexões com serviços não autorizados. � NAT (Network address translation) � Conversão de endereços de rede. � Mascaramento IP. � Proxy � Faz com que conexões de aplicativos de alto nível sejam monitoradas. Firewalls Prof. Clayton Soares Filtragem de Pacotes � Firewalls originais � Roteador inspecionar cabeçalho dos pacotes e simplesmente rejeitar aqueles não estão de acordo com suas especificações. � Apresenta problemas para ser implementado sozinho. � Deve ser combinado com outras tecnologias de firewall. Firewalls Prof. Clayton Soares Tipos � Filtragem de pacotes sem estados (stateless). � Filtros de pacotes com inspeção de estados (statefull inspection) Firewalls – Filtragem de Pacotes Prof. Clayton Soares Filtragem sem estados � Filtros: � Tipo do protocolo �UDP, TCP, ICMP, IGMP, etc. � Endereço IP � Porta TCP/UDP Firewalls – Filtragem de Pacotes - Tipos Prof. Clayton Soares Filtragem sem estados � Os protocolos mais importantes que devem ser bloqueados: � Telnet � Sessão NetBIOS (para Internet) � NFS � POP (somente via VPN) � X Windows � Portas com alto nível de controle funcional Firewalls – Filtragem de Pacotes - Tipos Prof. Clayton Soares Filtragem sem estados Firewalls – Filtragem de Pacotes - Tipos � Problemas � Eles não verificam a parte útil dos pacotes. � Eles não guardam o estado das conexões. Prof. Clayton Soares Filtragem com estados Firewalls – Filtragem de Pacotes - Tipos � Retém na memória os estados de todas as comunicações passando pelo firewall. � Filtra fluxos de comunicação inteiros e não apenas os pacotes. Prof. Clayton Soares NAT Firewalls � Converte endereços privados da rede privada em endereços IP públicos para uso na Internet. � Intenção de ocultar a rede interna. � Todo o tráfego passa a sair por um único ponto central. � Implementada na camada de transporte. Prof. Clayton Soares Problemas Firewalls - NAT � Os canais de retorno não funcionam porque não existe nenhuma rota de retorno separada para hosts internos. � Software que criptografa informações sobre o cabeçalho TCP não funcionará porque a informação deve estar acessível para o firewall. � Sedução do host interno Prof. Clayton Soares Problemas Firewalls - NAT � Sedução do host interno � Os usuários da rede vão até os hackers; � E-mails forjados; � Cavalos de tróia; Prof. Clayton Soares Proxies Firewalls � Colocam em cache as paginas web acessadas frequentemente. � Ocultam a rede interna. � Bloqueio de URL’s, download de certos tipos de arquivos, etc. Prof. Clayton Soares Problemas Firewalls - Proxies � Ponto de falha único. � Os clientes precisam trabalhar com proxies. � Precisa existir um proxy para cada serviço. � Configurações padrão relaxadas. � Criam um gargalo na rede. � Configurações para desempenho. Prof. Clayton Soares Melhores práticas Firewalls - Proxies � Use um firewall real. � Desative o roteamento. � Proteja o sistema operacional base. � Desative o acesso externo. � Desative serviços em excesso. Prof. Clayton Soares Novas implementações � Proxy transparente � Firewalls híbridos � Firewalls reativos � Bridge Firewalls ou Firewalls Transparentes. Prof. Clayton Soares Bridge Firewalls � Conecta dois segmentos de rede. � Invisível. � Filtra todo o tráfego passando pelos segmentos. � Interfaces não recebem IP. � Não podem ser encontradas. � Não podem ser hackeadas. Novas implementações Prof. Clayton Soares Bridge Firewalls Novas implementações Prof. Clayton Soares Arquiteturas de Firewalls � Serviços de filtragem de pacotes. � Único firewall com servidores internos públicos. � Único firewall com servidores externos públicos. � Firewalls com múltiplas bases � Firewalls por desconexão Prof. Clayton Soares Serviços de filtragem de pacotes � Oferecido por provedores. � Sua segurança é a do provedor. � Todas as redes conectadas ao provedor estão desprotegidas. � Firewall do provedor protege contra internet. � Barato. Arquiteturas de Firewalls Prof. Clayton Soares Serviços de filtragem de pacotes Arquiteturas de Firewalls Prof. Clayton Soares Firewall único � Firewall protegendo rede local e servidores públicos fora da rede local. � Servidores públicos dentro da rede local com firewall abrindo portas para acesso externo aos servidores. Arquiteturas de Firewalls Prof. Clayton Soares Firewall único Arquiteturas de Firewalls Prof. Clayton Soares Firewall único Arquiteturas de Firewalls Prof. Clayton Soares Firewalls duais ou de multiplas bases � Dois firewalls agindo em conjunto para proteger totalmente uma rede. � Firewall de base tripla com regras por interface, fornecendo níveis de segurança diferentes para necessidades diferentes. Arquiteturas de Firewalls Prof. Clayton Soares Firewalls duais ou de multiplas bases � Criação de zonas com perfis diferentes, onde as que guardam servidores público são chamadas de DMZ, ou zonas desmilitarizadas. Arquiteturas de Firewalls Prof. Clayton Soares Firewalls duais ou de multiplas bases Arquiteturas de Firewalls Prof. Clayton Soares Firewalls duais ou de multiplas bases Arquiteturas de Firewalls Prof. Clayton Soares Outros exemplos Arquiteturas de Firewalls Prof. Clayton Soares Outros exemplos Arquiteturas de Firewalls Prof. Clayton Soares Outros exemplos Arquiteturas de Firewalls Prof. Clayton Soares Firewalls por desconexão � Criação de uma outra rede com acesso externo, completamente isolada da rede privada. � Barata, pois não necessita de nenhuma segurança, onde os servidores públicos são ligados diretamente à Internet e totalmente desconectados da rede privada. Arquiteturas de Firewalls Prof. Clayton Soares O Firewall Ideal � Cada rede é uma rede. � Deve-se definir o valor que tem as informações contidas na rede. � Grau de inconveniência da publicação dessas informações a terceiros. Prof. Clayton Soares Configuração das regras � Aplicação das regras em ordem. � Por interface � Por tipo de pacote (TCP, UDP, ICMP). � Por endereços de origem e destino � Por portas de origem e destino. � Por opções específicas. O Firewall Ideal Prof. Clayton Soares Configuração das regras � Por tipo de mensagem ICMP. � Por bit ACK no TCP � Regras de aplicação de proxy específicas para um protocolo. � Registro de ocorrências (log). � Interface gráfica de usuário. O Firewall Ideal Prof. Clayton Soares Escritório Doméstico � Rede conectada à internet mais simples. � Não há orçamento para haver um firewall dedicado. � Depende da segurança do provedor � Conexões intermitentes. O Firewall Ideal Prof. Clayton Soares Melhores práticas � Instalar correções do S.O. � Desligar compartilhamento de arquivos em maquinas conectadas à Internet. � Desativar serviços desnecessários. O Firewall Ideal – Escritório Doméatico Prof. Clayton Soares Pequenas Empresas � Computador dedicado para serviços de arquivo e impressão. � Conexão dedicada à Internet. � Perda de dados começa a ser um problema. � Usuários sem muitas restrições de acesso à Internet. O Firewall Ideal Prof. Clayton Soares Melhores práticas � Instalar correções do S.O. � Desligar compartilhamento de arquivos em maquinasconectadas à Internet. � Desativar serviços desnecessários. � Instalar firewall com permissões totais de saída e restrições totais de entrada na rede local. O Firewall Ideal – Pequenas Empresas Prof. Clayton Soares Empresas com dados confidenciais � Computadores com informações que podem atrair ataques específicos oriundos de hackers da internet. O Firewall Ideal Prof. Clayton Soares Melhores práticas � Todos os anteriores. � Recusar pacotes, protocolos e portas como padrão, a menos que as regras estabelecidas especificamente os permitam. � Não encaminhar pacotes nenhum. Somente deixar pacotes saírem. O Firewall Ideal – Empresas com dados confidenciais Prof. Clayton Soares Empresas de Médio/Grande Porte � Espionagem industrial � Muita visibilidade pública � Número grande de usuários e conexões à Internet. � Ambiente heterogêneo. � Aplicações diversas. O Firewall Ideal Prof. Clayton Soares Melhores práticas � Políticas de segurança cuidadosas e muito específicas devem ser implementadas. � Definir realmente a necessidade de acesso externo, e a quem será dado esse acesso. � Acesso controlado e específico de acordo com perfil do usuário. O Firewall Ideal – Empresas de Médio/Grande Porte Prof. Clayton Soares S.O. e Firewalls �Windows NT �Windows 2000 � Firewalls gratuitos � Firewalls Comerciais � Firewalls Dedicados Prof. Clayton Soares Windows NT � Capacidades � Filtragem de pacotes (sem estados) � Tunelamento (PPTP) � Autenticação criptografada �Hash �Senhas de 14 caracteres de 96 caracteres possíveis. S.O. e Firewalls Prof. Clayton Soares Windows NT � Limitações � Filtragem de pacotes simples. � Não há NAT nem proxy. � Protocolo de tunelamento frágil. � Log limitado. � Desempenho S.O. e Firewalls Prof. Clayton Soares Windows 2000 � Capacidades � Infra-estrutura de chave pública CryptoAPI � Autenticação Kerberos � NAT � Balanceamento de carga na rede. � Tunelamento L2TP (camada 2) � IPSec (camada 3) S.O. e Firewalls Prof. Clayton Soares Firewalls Gratuitos � Iptables para Linux �www.netfilter.org �www.fwbuilder.com S.O. e Firewalls Prof. Clayton Soares Problemas comuns � Alertas limitados ou inexistentes. � Nenhum recurso de monitoramento do FW em tempo real. � Interface gráfica limitada. � Configuração difícil em prompt de comando. S.O. e Firewalls – Firewalls gratuitos Prof. Clayton Soares Linux e Iptables �NAT �Filtragem de pacotes com inspeção de estado. �Rápido S.O. e Firewalls – Firewalls gratuitos Prof. Clayton Soares Linux e Iptables S.O. e Firewalls – Firewalls gratuitos Prof. Clayton Soares Linux e Iptables S.O. e Firewalls – Firewalls gratuitos Prof. Clayton Soares Linux e Iptables S.O. e Firewalls – Firewalls gratuitos Prof. Clayton Soares Linux e Iptables S.O. e Firewalls – Firewalls gratuitos Prof. Clayton Soares Firewalls Comerciais �Para Windows NT/2000 � Checkpoint Firewall-1 �Microsoft Proxy Server �Microsoft ISA Server S.O. e Firewalls – Firewalls gratuitos Prof. Clayton Soares Checkpoint Firewall-1 �Filtro com inspeção de estados �NAT �Mais vendido no mundo �Componentes para VPN �Autenticação transparente �Alto desempenho �Configuração amigável/gráfica. S.O. e Firewalls – Firewalls comerciais Prof. Clayton Soares Checkpoint Firewall-1 �Boa documentação �Alto custo. �Suporte cobra US$ 400 por cada ocorrência de suporte técnico (para o qual eles não garantem a solução do problema) S.O. e Firewalls – Firewalls comerciais Prof. Clayton Soares Microsoft Proxy Server � Proxy HTTP e SOCKS com cache. � Inseguro � Depende do SO para filtragem � Não fornece NAT � Não é um firewall � Substituído pelo ISA Server, completo e seguro. S.O. e Firewalls – Firewalls comerciais Prof. Clayton Soares Firewalls dedicados �Firewall Pix (Cisco). S.O. e Firewalls Prof. Clayton Soares Cisco Pix Firewall � SO proprietário em tempo real personalizado. � Segundo firewall mais bem vendido. � O mais rápido. � Filtragem sem degradação da velocidade. � Alto custo S.O. e Firewalls – Firewalls dedicados Prof. Clayton Soares Cisco Pix Firewall � Filtro de inspeção que usa estados. � NAT � Autenticação � VPN (opcional) � Alta disponibilidade � Suporte a 4 zonas de segurança � “É firewall e não proxy” S.O. e Firewalls – Firewalls dedicados Prof. Clayton Soares Recursos On-line � Firewalls � www.nai.com � www.cisco.com/security � www.lucent.com/security � www.sonicwall.com � www.netscreen.com � www.watchguard.com � www.checkpoint.com � www.netguard.com Prof. Clayton Soares Recursos On-line � Firewalls � www.sun.com/security � www.microsoft.com/proxy � www.wingate.net Contra medidas específicas para os pontos críticos da rede Prof. Clayton Soares Contra medidas específicas para os pontos críticos da rede � Hosts – Melhorar a segurança das máquinas (todas), isto inclui: � Utilização de antivírus e a política de atualização do mesmo; � Varredura de toda a rede, utilizando scanners de vulnerabilidades; � Instalar IDS baseados em host nas máquinas mais importantes; � Implementar geração e análise de logs dos principais sistemas; � Implementar uma boa política de senhas; � Implementar uma política de backup para os servidores; Prof. Clayton Soares Contra medidas específicas para os pontos críticos da rede � Reforçar o perímetro da rede – Identificar corretamente os domínios separados, às vezes chamado “interno” e “externo”, verificar a existência de pontos de entrada na rede: como pode alguém de fora acessar recursos que estão dentro do perímetro? � As políticas de segurança de rede deverão incluir procedimentos para o controle do tráfego entre todos os pontos de entrada. � Até mesmo a defesa de perímetro mais rígida pode se mostrar inútil diante do ataque de um modem de discagem sem controle que está conectado à rede. Prof. Clayton Soares Contra medidas específicas para os pontos críticos da rede � Utilização de VPNs (redes privadas virtuais); � Utilização de Assinaturas Digitais; � Utilização de mecanismos de autenticação físicos (biométicos, etc.); Prof. Clayton Soares Segurança no nível do cliente � Segurança dos serviços de terminal � Não usar telnet, rlogin, rsh e afins; � Usar o SSH; � Atenção especial deve ser tomada no ato da conexão, caso o programa informe alteração da chave do servidor. Muitas técnicas, usando um programa chamado dsniff estão sendo utilizadas para interceptar sessões de ssh. Prof. Clayton Soares Segurança no nível do cliente � Segurança no acesso a Web � Usar conexão segura (SSL) sempre que possível; � Desabilitar javascripts; � Nunca executar “cegamente” programas baixados de páginas Web. Prof. Clayton Soares Objetivos de um ataque � Causar dolo ou prejuízo � Procurar vulnerabilidades no sistema para divulgá-las Prof. Clayton Soares Como descobrir e se proteger � Análise do que está ocorrendo na rede. � Uso de sniffers para escutar o tráfego e compará-los com um registro de assinaturas de possíveis ataques. � É comum os administradores de sistemas disponibilizarem computadores como um chamariz para os atacantes – estes computadores também são chamados de “potes de mel”. � Os administradores analisam os ataques ocorridos e desenvolvem novas ferramentas e proteções contra esses ataques. Prof. Clayton Soares Características de um IDS � Deve rodar continuamente sem interação humana e deve ser segura o suficientede forma a permitir sua operação em background, mas deve ser fácil compreensão e operação; � Deve ter tolerância a falhas, de forma a não ser afetada por uma falha do sistema, ou seja, sua base de conhecimento não deve ser perdida quando o sistema for reinicializado; Prof. Clayton Soares Características de um IDS � Deve resistir a tentativas de mudança (subversão) de sua base, ou seja, deve monitorar a si próprio de forma a garantir sua segurança; � Dever ter o mínimo de impacto no funcionamento do sistema; � Deve detectar mudanças no funcionamento normal; Prof. Clayton Soares Características de um IDS � Deve ser de fácil configuração, cada sistema possui padrões diferentes e a ferramenta de IDS deve ser adaptada de forma fácil aos diverso padrões. � Deve cobrir as mudanças do sistema durante o tempo, como no caso de uma nova aplicação que comece a fazer parte do sistema; � E deve ser difícil de ser enganada. Prof. Clayton Soares Prováveis erros � Falso positivo – ocorre quando a ferramenta classifica uma ação como uma possível intrusão, quando na verdade trata-se de uma ação legítima. Um bom exemplo de falso positivo é o ataque de SYN FLOOD. O simples fato de acessar um determinado tipo de página pode gerar uma detecção da ocorrência de um ataque SYN FLOOD. Prof. Clayton Soares Prováveis erros � Falso negativo – ocorre quando uma intrusão real acontece, mas a ferramenta permite que ela passe como se fosse uma ação legítima; � Subversão – ocorre quando o intruso modifica a operação da ferramenta de IDS para forçar a ocorrência de falso negativo. Prof. Clayton Soares As dificuldades � Identificar e classificar o que é realmente uma tentativa de acesso não autorizado ou simplesmente um erro eventual, ou uma distração para ocupar os administradores de sistemas enquanto o verdadeiro ataque ocorre. Prof. Clayton Soares As dificuldades � O número de tentativas de invasão seria menor, se as ferramentas de IDS que são utilizadas fossem devidamente configuradas. � Também não existe quantidade suficiente de pessoas com o conhecimento técnico adequado para configurar e trabalhar com ferramentas de IDS Prof. Clayton Soares As dificuldades � Por exemplo, não é raro encontrar um firewall ou um router com a senha padrão de fábrica, o que facilita aos atacantes ter o acesso a estes equipamentos. � Os IDS não conseguem detectar um ataque nos seus estágios iniciais. Não são detectadas sondagens iniciais em busca de vulnerabilidades no sistema. Prof. Clayton Soares Ferramentas de ataque � Ferramentas de Varredura � Permite um atacante determinar características do sistema atacado. � Ex: SATAN e NESSUS � Ferramentas de Administração Remota � Utilizado por um administrador de sistemas para acessar máquinas remotas. � Pode causar danos significantes se utilizados como ferramenta de ataque. � Ex: Back Orifice. Prof. Clayton Soares Ferramentas de ataque � Sniffers � Ferramentas que “cheiram” o tráfego de rede, permite a visualização dos pacotes que passam pela rede. � Vulnerabilidades novas surgirão com tempo, e conseqüentemente ferramentas que exploram estas vulnerabilidades. Prof. Clayton Soares Tipos de IDS � Baseados em Host � São instalados em servidores para alertar e identificar ataques e tentativas de acesso indevido à própria máquina, sendo mais empregados nos casos em que a segurança está focada em informações contidas em um servidor e os usuários não precisam ser monitorados. Prof. Clayton Soares Tipos de IDS � Baseados em Rede � São instalados em máquinas responsáveis por identificar ataques direcionados a toda a rede, monitorando o conteúdo dos pacotes ou do tráfego e seus detalhes como informações de cabeçalhos e protocolos. Prof. Clayton Soares Alguns IDS • Intruder Alert Axent www.axent.com • NetProwler Axent www.axent.com • Real Secure ISS www.iss.net •NetRanger Cisco www.cisco.com •NFR NFR www.nfr.net •Session Wall C.Associates www.ca.com •Snort Marty Roesh www.snort.org •Abacus Psionic www.psionic.com Prof. Clayton Soares VPN � Redes privadas virtuais. � Túneis criptografados através da Internet. � Economicamente viável para interconectar redes remotas. � Qualquer tráfego pode ser encaminhado. � Cliente conectado à rede local. Prof. Clayton Soares Componentes � Encapsulamento IP. � Autenticação criptográfica. � Criptografia dos dados contendo as informações. � SSL – criptografa dados sem criptografar autenticação. � Logon Windows – criptografa autenticação e não os dados. VPN Prof. Clayton Soares Características � São mais baratas que redes de longa distância. � São mais fáceis de instalar. � São mais lentas que redes locais. � São menos confiáveis que redes locais. � São menos seguras que redes locais ou de longa distância. VPN Prof. Clayton Soares Tipos � Baseadas em servidor � Windows NT/2000/2003 � Linux � Baseadas em Firewall � Vários já implementam este serviço. � Baseadas em roteador � Vários já implementam este serviço. VPN Prof. Clayton Soares Melhores práticas � Use um firewall de verdade. � Proteja o sistema operacional. � Usar único provedor de acesso à Internet. � Usar filtros de pacotes para rejeitar hosts desconhecidos. � Usar criptografia por chave publica e autenticação segura. VPN Prof. Clayton Soares VPN Prof. Clayton Soares VPN Prof. Clayton Soares VPN Prof. Clayton Soares Informações Vulnerabilidades � www.cert.org � www.iss.org � http://www.securityfocus.com � http://packetstorm.security.com � http://ciac.llnl.gov � http://www.lockabit.coppe.ufrj.br � http://www.securenet.com.br Prof. Clayton Soares Alguns sites de grupos de hackers � http://www.ussrback.org � http://www.destroy.net � http://www.insecure.org � http://www.hackershomepage.com � http://www.hackerslab.com � http://packetstorm.security.com � http://www.rootshell.com � http://www.securityportal.com � http://www.technotronic.com � http://unsekurity.virtualave.net � http://www.phrack.com � http://www.bufferoverflow.org Prof. Clayton Soares Ferramentas utilizadas por hackers � Dispositivos Destrutivos � Emails bomba � Ferramentas de DoS/DDoS � List Linking (cadastramento de uma pessoa em milhares de listas de discussão) � Vírus Prof. Clayton Soares Ferramentas utilizadas por hackers � Trojans � Código não autorizado dentro de um programa legítimo; � Programa (trojan) simplesmente renomeado para o nome de um executável conhecido; � Alguns trojans não são destrutivos, eles de alguma forma coletam informações do sistema/usuário e transferem para o atacante; Prof. Clayton Soares Ferramentas utilizadas por hackers � Password Crackers � Ferramentas para quebra de senhas. � Ex: � John the Ripper � Cracker � L0phtcrack � NTcrack � Zipcrack � Netcrack � PGPcrack Prof. Clayton Soares Ferramentas utilizadas por hackers � Scanners � Ferramentas para varredura de redes: � Nessus / Nmap / NSS / Strobe � SATAN / SAINT � Internet Security Scanner - SafeSuite (ISS) � Cybercop (NAI) � Network ToolBox � Stealth Prof. Clayton Soares Ferramentas utilizadas por hackers � Sniffers � Ferramentas de análise de protocolos e de captura de pacotes na rede: � Sniffer (NAI – para Windows) � LinSniff (para Linux) � SunSniff (para Sun) � Snoop (Sun) � Tcpdump � Snort Prof. Clayton Soares Ferramentas utilizadas por hackers � Exploits e BufferOveflows �Um exploit é um programa utilizado para explorar uma vulnerabilidade de outro programa. Não existe um programa chamado exploit, existem exploits para explorar vulnerabilidades específicas de sotwares específicos, e mais, de versões específicas. Prof. Clayton Soares Configuração Segura – Unix/Linux � Patches: verificar os últimos patches dos serviços que estão disponíveis. Ex: � DNS, E-mail, Web, etc. Manter uma tabela atualizada dos serviços em cada host, com as versões, datas de atualização e site do fabricante. Prof. Clayton Soares Configuração Segura – Unix/Linux � Segurança de rede: � Permitir o acesso somente aos serviços estritamente necessários. O ideal é bloquear o acesso a todos os serviços e dar permissão somente aos necessários. Prof. Clayton Soares Configuração Segura – Unix/Linux � Terminais seguros: Não permita que o super-usuário se conecte diretamente pela rede no sistema. � Edite: /etc/ttys, /etc/security ou /etc/default/login. � Muito cuidado deve ser tomado ao configurar o arquivo que exporta os sistemas de arquivo (geralmente /etc/exports) de servidores NFS. Prof. Clayton Soares Configuração Segura – Unix/Linux � Sendmail: Não use. Use o postfix ou o qmail. � Servidor Web: Mantenha sempre a última versão do Apache Web Server. � NIS ou NIS+: Não use se você realmente não precisa. Use NIS+ se possível. Prof. Clayton Soares Configuração Segura – Unix/Linux � Senhas: Verifique se está sendo utilizado o password shadow. Edite o arquivo /etc/passwd, não deve ser possível ver os criptogramas referentes às senhas dos usuários. � Apenas no /etc/shadow ou /etc/master.passwd deve ser possível vê- los. � Utilize programas como o Cracker ou o John the Ripper para tentar quebrar periódicamente as senhas dos usuários. Prof. Clayton Soares Configuração Segura – Unix/Linux � Utilize um Port Scanner para verificar as portas que ainda existem abertas no sistema. Lembre-se de verificar UDP também. � Utilize um Scanner de vulnerabilidades para se certificar de que não esqueceu algo. Ou algum detalhe passou despercebido. Prof. Clayton Soares Configuração Segura – Windows � Patches: verificar os últimos patches dos serviços que estão disponíveis. Ex: � DNS, E-mail, Web, etc. Manter uma tabela atualizada dos serviços em cada host, com as versões, datas de atualização e site do fabricante. Prof. Clayton Soares Configuração Segura – Windows � Desativar o compartilhamento de arquivos e impressoras no Windows9x; � Utilizar o System Policy Editor, mas conhecido como Policy (poledit.exe), e podeser encontrado na maioria dos CDs do Windows 98 em \tools\reskit\netadmin\poledit ou no site da Microsoft. Prof. Clayton Soares Configuração Segura – Windows � Não instalar a rede dial-up ou desabilita- la no Policy. � Não instalar o serviço de Registro Remoto, se utilizar, escolher uma boa senha; � Não habilitar SNMP nos Windows NT/2000; Prof. Clayton Soares Configuração Segura – Windows � Extremo cuidado com arquivos executáveis de terceiros, problemas em potencial: BO e NetBus. No caso de ser infectado (ou não) usar o The Cleaner http://www.moosoft.com/cleaner.php3 � Utilizar senhas na BIOS dos computadores; � Bloquear as portas 135-139 no Roteador ou Firewall; Prof. Clayton Soares Configuração Segura – Windows � Utilizar switches nas redes, ao invés de Hubs; � Aplicar os services packs e hotfixes mais recentes; � Visitar perdiodicamente http://www.microsoft.com/security Prof. Clayton Soares Normas de Segurança � O CERT (http://www.cert.org) possui arquivos com várias normas e checklists de segurança. Podemos citar os excelentes checklists para UNIX e Windows. � A BS7799 é um conjunto de normas de segurança adotado mundialmente. Ela não é gratuita e pode ser adquirida pela internet em: www.c-cure.org. Prof. Clayton Soares IDS Prof. Clayton Soares As 10 leis imutáveis de segurança (Centro de Resposta de Segurança da Microsoft ) � Primeira: Se um malfeitor consegue te persuadir a executar um programa no seu computador, este computador deixa de ser seu. � Segunda: Se um malfeitor consegue alterar o sistema operacional do seu computador, este computador deixa de ser seu. Prof. Clayton Soares � Terceira: Se um malfeitor tiver acesso físico irrestrito ao seu computador, este computador deixa de ser seu. � Quarta: Se você permitir que um malfeitor envie programas para seu website, este website deixa de ser seu. As 10 leis imutáveis de segurança (Centro de Resposta de Segurança da Microsoft ) Prof. Clayton Soares � Quinta: Senhas fracas triunfam sobre a mais forte segurança. � Sexta: Um sistema é tão seguro quanto seu administrador é confiável. As 10 leis imutáveis de segurança (Centro de Resposta de Segurança da Microsoft ) Prof. Clayton Soares � Sétima: Dados criptografados são tão seguros quanto a senha usada para sua decriptação. � Oitava: Um anti-vírus desatualizado é apenas ligeiramente melhor do que nenhum anti-vírus. As 10 leis imutáveis de segurança (Centro de Resposta de Segurança da Microsoft ) Prof. Clayton Soares � Nona: O anonimato absoluto não existe, nem dentro, nem fora da Internet. � Décima: Tecnologia não é uma panacéia. “Não existe, hoje, outra solução além de uma educação em segurança da informação.” As 10 leis imutáveis de segurança (Centro de Resposta de Segurança da Microsoft ) Prof. Clayton Soares Perguntas Prof. Clayton Soares Obrigado ! Prof. Esp. Clayton Soares E-mail: clayton@fic.br
Compartilhar