Segurança de Redes

5,846 views
6,084 views

Published on

Aula de Segurança de Redes da Pós da Estácio

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
5,846
On SlideShare
0
From Embeds
0
Number of Embeds
1,499
Actions
Shares
0
Downloads
228
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Segurança de Redes

  1. 1. Segurança de Redes- Arquitetura Cássio Alexandre Ramos cassioaramos (at) gmail (dot) com http://www.facebook.com/cassioaramos http://cassioaramos.blogspot.com
  2. 2. Sumário Introdução Requisitos Básicos e Projeto de Defesa Ameaças e Tipos de Ataques Segurança de Perímetro Segurança de Backbone Segurança de Desktop e Rede Local Metodologia de Ataque27/12/11 2
  3. 3. Introdução Por que Segurança? Estamos cada vez mais dependentes dos sistemas de informação A Internet é vulnerável – foi concebida utilizando protocolos inseguros Segurança não está somente relacionada com invasão de sistemas27/12/11 3
  4. 4. Pesquisa Nacional de Segurança da Informação [Modulo 2004]:•  42% das empresas tiveram problemas com a Segurança da Informação;•  35% das empresas reconhecem perdas financeiras. 65% das empresas não conseguiram quantificar essas perdas;•  Vírus, Spam, acessos indevidos e vazamento de informações foram apontados como as principais ameaças à segurança das informações nas empresas;•  O percentual de empresas que afirmam ter sofrido ataques e invasões é de 77%;•  26% das empresas não conseguem sequer identificar os responsáveis pelos ataques; e•  58% dos entrevistados sentem-se inseguros para comprar em sites de comércio eletrônico. 27/12/11 4
  5. 5. Requisitos Básicos da Segurança-  Confidencialidade-  Integridade-  Disponibilidade Confidencialidade Integridade Disponibilidade27/12/11 5
  6. 6. Requisitos Básicos da SegurançaConfidencialidade: Certeza que somente as pessoas autorizadas aacessar os dados podem acessá-losIntegridade: Certeza que os dados não foram alterados - poracidente ou intencionalmenteDisponibilidade: Certeza que os dados estão acessíveis quando eonde forem necessários27/12/11 6
  7. 7. Requisitos Básicos da Segurança "   Elementos Utilizados para Garantir a Confidencialidade "   Criptografia dos dados "   Controle de acesso " Elementos para garantir a Integridade   "   Assinatura digital "   MD5- hash "   Elementos para garantir a Disponibilidade "   Backup "   Tolerância a falhas "   Redundância27/12/11 7
  8. 8. Projeto de Defesa Como se Defender? Prevenção – mecanismos que devem ser instalados no sistema para evitar ataques Detecção – como detectar os ataques. Como saber se estão acontecendo Resposta – como responder aos ataques Política de Segurança – formalização e sistemas que implementam a política27/12/11 8
  9. 9. Projeto de Defesa Defesa em Profundidade Múltiplas barreiras entre quem ataca e o recurso que se quer proteger Quanto mais fundo o atacante quer chegar, mais difícil será Aumentar o custo do ataque O principal da defesa em camadas é que um componente complemente o outro formando um sistema mais seguro Principio do Menor Privilégio27/12/11 9
  10. 10. Ameaças e Tipos de Ataque Ameaças Backdoors, bots, exploits, Trojans, malwares etc Virus, Worms, Spams, Hoax, fishing scam etc Hackers, Crackers, Defacers, spammers, funcionários, ex- funcionários Falhas (vulnerabilidades) em S.O, aplicativos e protocolos27/12/11 10
  11. 11. Ameaças e Tipos de Ataque Tipos de Ataques Hijacking, cracking, scanning, sniffing, spoofing, buffer overflow, defacing etc.27/12/11 11
  12. 12. Ameaças e Tipos de Ataque Tipos de Ataques DOS e DDOS Engenharia Social- Kevin Mitnick27/12/11 12
  13. 13. Segurança de Perímetro Perímetro "   Fronteira fortificada da sua rede de dados "   Deve incluir alguns elementos de proteção27/12/11 13
  14. 14. Elementos de Segurança de PerímetroElementos de Segurança de Perímetro "   Firewall "   VPN "   Zona Desmilitarizada (DMZ) "  Host Hardening "  Intrusion Detection System (IDS) "  Network Address Translation (NAT) "  Analisadores de Conteúdo "  Analisadores de Logs27/12/11 14
  15. 15. Firewall •  Dispositivo (hardware + software) que possui regras específicas que permitem ou bloqueiam o tráfico •  Barreiras de segurança entre a intranet e a Internet para proteger a rede interna contra acessos não autorizados •  Mensagens que entram ou saem da rede devem ser examinadas pelo firewall, que toma ações de acordo com critérios de segurança especificados •  Estático: Filtro de pacotes •  Stateful: memoriza as conexões para uma melhor análise •  Proxy de Aplicação e Proxy Reverso27/12/11 15
  16. 16. Filtro de Pacotes Filtro de Pacotes Determina se o pacote tem permissão para entrar ou sair da rede de acordo com informações localizadas no cabeçalho do pacote Cabeçalho de pacote é um pequeno segmento de informação que é colocado no início do pacote para indentificá-lo Amplamente usado nos roteadores de borda ou de perímetro27/12/11 16
  17. 17. Stateful Firewall Filtro de Pacotes Statefull Examina o cabeçalho dos pacotes Se pacote é permitido pelas regras- informações são armazenadas em uma tabela de estado A partir daí todas as comunicações naquela sessão são permitidas27/12/11 17
  18. 18. Usando filtros de pacote IP Cliente Servidor Web HTTP Outros Protocolos27/12/11 18
  19. 19. Firewall LAN Endereço/Serviço Autorizado LAN Internet Firewall Endereço/Serviço não Autorizado LAN27/12/11 19
  20. 20. Proxy de Aplicação Proxy Web Cache Server O que é? "  Procurador "  Atua no nível da aplicação- orientado a aplicação "  Geralmente, o cliente precisa ser modificado- não é transparente "  Funciona como acelerador27/12/11 20
  21. 21. Proxy de Aplicação Proxy Web Cache Server Por que usar? "  Autenticação de usuário "  Inspeção de Conteúdo "  Cache "  Registro de Acessos "  Esconde detalhes da rede interna27/12/11 21
  22. 22. Proxy de Aplicação Verifica … User autorizado? 3 Protocolo permitido? Destino autorizado? 6 1 5 2 4 Web Proxy Server27/12/11 22
  23. 23. Hierarquia de Proxies Internet 4 2 5 3 LAN1 LAN2 Matriz 1 627/12/11 23
  24. 24. Registro de Acessos Registra o uso da Internet por usuário Registro em texto bruto pode ser analizado Pode ser utilizado para detectar alguns tipos de vírus e adwares27/12/11 24
  25. 25. Analisador de Logs Perfil de Acesso27/12/11 25
  26. 26. Proxy Reverso Verifica … Request é permitido? Protocolo permitido? Destino permitido? Web Server 3 DNS Server 4 5 2 1 Proxy R 627/12/11 26
  27. 27. Intranet INTRANET Parceiro1 Parceiro2 Parceiro3 LAN1 LAN2 LAN3 Firewall Firewall Internet Proxy Router B LAN4 LAN527/12/11 27
  28. 28. VPN – Virtual Private Network •  A idéia é utilizar a estrutura pública, com as mesmas facilidades de uma rede privativa •  Canal protegido que cruza um canal desprotegido Ex. Internet •  Permite que usuários externos acessem a rede interna com segurança27/12/11 28
  29. 29. VPN – Virtual Private Network ISDN Cable Site Site central DSL Usuário RemotoServer remoto Internet Site Remoto27/12/11 29
  30. 30. VPN – Virtual Private Network Tipos de VPN n LAN to LAN n  Extranet VPNs – interligam escritórios remotos, clientes, fornecedores e parceiros utilizando a estrutura pública n Acesso Remoto n  Interliga com segurança usuários remotos à intranet corporativa Site Remoto27/12/11 30
  31. 31. VPN – Virtual Private Network Servidor VPN Internet Servidor VPN27/12/11 31
  32. 32. VPN – Virtual Private Network Vantagens Desvantagens l  Escalável l  Não é utilizada quando o l  Baixo custo de link desempenho é fundamental l  Transparente para o usuário l  Configuração complexa IPSEC Pacote de dados Servidor VPN Servidor VPN27/12/11 32
  33. 33. Intranet INTRANET Parceiro1 Parceiro2 Parceiro3 LAN1 LAN2 VPN LAN3 Firewall/ Firewall Internet Router B Proxy LAN4 FILIAL LAN527/12/11 33
  34. 34. DMZ e Bastion Host DMZ: Zona Desmilitarizada l  Utilizada para separar os servidores que precisam ser acessados pela Internet dos que apenas serão acessados pelo pessoal interno da organização Bastion Host l Bastião, Baluarte. Fortaleza inexpugnável. É uma posição bem fortificada l Deve ser feito o hardening do host27/12/11 34
  35. 35. DMZ e Bastion Host Hardening Desabilitar serviços que não estão sendo utilizados Utilizar sistemas operacionais e softwares sempre atualizados Desabilitar usuários e senhas default. Estabelecer política rígida de senhas Utilizar sistemas de arquivos robusto Servidor deve estar configurado de acordo com as boas práticas de segurança27/12/11 35
  36. 36. DMZ e Rede Protegida Servidor Web Cliente Intranet Internet Firewall27/12/11 36
  37. 37. Intranet INTRANET Parceiro1 Parceiro2 Parceiro3 LAN1 LAN2 VPN LAN3 Firewall/ Firewall Internet Router B Proxy LAN4 DMZ FILIAL Hardened Server WEB LAN5 Server DNS Server Proxy R. Mail Server27/12/11 37
  38. 38. IDS – Intrusion Detection System IDS Utilizado para detectar e alertar eventos maliciosos Antecipar possíveis invasões aos sistemas O sistema de defesa deverá dispor de vários agentes IDS pela rede Tipos: NIDS, HIDS e IPS Normalmente verifica assinaturas pré-definidas e eventos maliciosos27/12/11 38
  39. 39. IDS – Intrusion Detection System Arquitetura Genérica27/12/11 39
  40. 40. IDS – Intrusion Detection System Host Intrusion Detection System (HIDS) Esse tipo de IDS reside em um único “host” e monitora atividades específicas do mesmo Pode ser baseado em assinaturas Verifica a integridade dos arquivos do SO Monitora utilização de recursos do host27/12/11 40
  41. 41. IDS – Intrusion Detection SystemHDIS (Cont.) "   Exemplos de componentes monitorados "   Memória "   Arquivos executáveis "   Espaço em disco "   Kernel27/12/11 41
  42. 42. IDS – Intrusion Detection System Network Intrusion Detection System (NDIS) Monitora todo o tráfego da rede e compara este a um banco de dados com assinaturas de ataque Quando uma assinatura é detectada um evento é disparado pelo IDS Sistema utilizado para detectar e/ou reagir a uma assinatura de ataque na rede Utilizado para analisar o tráfego de rede em tempo real Equipamento dedicado com processamento compatível com o tamanho da infra-estrutura27/12/11 42
  43. 43. IDS – Intrusion Detection SystemNDIS (Cont.) "  Sensor de Rede "   Posicionamento em função do conhecimento da topologia "  Em ambientes com switch - Espelhamento de porta "  Configuração stealth recomendada - Interface de captura sem endereçamento e capturando tráfego de rede em modo promíscuo27/12/11 43
  44. 44. Intranet INTRANET Parceiro1 Parceiro2 Parceiro3 LAN1 NIDS NIDS NIDS LAN2 VPN NIDS NIDS LAN3 Internet LAN4 DMZ FILIAL Hardened HIDS Server WEB LAN5 Server NDIS Proxy R. Mail Server27/12/11 44
  45. 45. Network Address Translation NAT Técnica utilizada por um dispositivo para a tradução de endereços IP Permite que uma rede use um conjunto de endereços IP particulares para tráfego interno Converte os endereços IP particulares em endereços IP públicos Aumenta a segurança ocultando endereços IP Internos Permite que uma organização economize endereços IP públicos27/12/11 45
  46. 46. NAT 131.107.0.9 131.107.0.9 10.10.10.6 10.10.10.10 10.10.10.7 Tabela NAT "  10.10.10.0 mapeia para 131.107.0.927/12/11 46
  47. 47. Intranet INTRANET Parceiro1 Parceiro2 Parceiro3 LAN1 NIDS NIDS NIDS LAN2 VPN NIDS NIDS LAN3 NAT Internet LAN4 DMZ FILIAL Hardened HIDS Server WEB LAN5 Server NDIS Proxy R. Mail Server27/12/11 47
  48. 48. Analisador de Conteúdo Web Analisador de Conteúdo Analisa as solicitações de acesso a Internet autorizando-as ou não Política diferente de acordo com dias da semana e horários Utilizado para evitar a navegação anônima Otimiza o uso do link de Internet, priorizando acesso relacionado ao serviço27/12/11 48
  49. 49. Soluções de Antivírus e Anti-Spam Soluções Antivirus/ Anti-Spam Distribuidos em Gateways, Proxies, Servidores de Arquivos, Servidores de Correio e desktops Administração Centralizada- firewall pessoal, IDS, anti-spyware, atualização de vacinas, assinaturas e políticas Filtra conteúdo de e-mail, por tamanho, nº de destinatários, tipos de anexos etc Possibilita análise gráfica e alarmes em tempo real27/12/11 49
  50. 50. Segurança de Backbone Segurança de Backbone Vendas Só trafegam no backbone Engenharia Finanças aplicações autorizadas Hardening nos equipamentos de conectividade WAN Protocolos de roteamento- Campus Logística seguros e com autenticação backbone Monitoramento do backbone e links- criptografia Contabilidade Segurança física dos Intranet servers equipamentos27/12/11 50
  51. 51. Segurança de Desktop e Rede Local Desktop Usuário recebe máquina pronta- firewall, IDS, antivírus etc. S.O atualizado, serviços desnecessários desabilitados Utilizar somente software autorizado e não receber e-mail de procedência duvidosa27/12/11 51
  52. 52. Segurança de Desktop e Rede Local Desktop Segurança física- fogo, calor, poeira, magnetismo, explosão, vandalismo, roubo etc Implementar rigida política de senhas Utilizar área de rede para arquivos importantes27/12/11 52
  53. 53. Segurança de Desktop e Rede Local Rede Local Utilizar switches e monitorar tráfego Administração de Políticas centralizada Autenticação nos dispositivos de rede Segurança física dos dispositivos, política de backup, tolerância a falhas etc. Implementar segurança de layer 227/12/11 53
  54. 54. Metodologia de AtaqueColetando Informações "   Footprinting "   nome de domínio, "   endereços IP de servidores "   arquitetura de rede e serviços "   mecanismos de segurança, "   protocolos de rede "   endereço, telefones de contato, e-mails etc. www.arin.net, registro.br, www.netcraft.com, whois.com27/12/11 54
  55. 55. Metodologia de AtaqueColetando Informações "   Varredura de rede "  Verificar sistemas operacionais de servidores Port Service alvo 20?… closed 21?… FTP "   Verificar que serviços estão ativos, 22?… closed 23?… closed "   Consultas icmp ou varredura de portas TCP/UDP 24?… closed 25?… SMTP 27/12/11 55
  56. 56. Metodologia de AtaqueColetando Informações "   Procura de Vulnerabilidades "   Procura por serviços vulneráveis- Ferramentas: Nessus, Nmap, Languard "   Verificar a necessidade de utilização de exploit- www.securityfocus.com "   Utilização de ferramentas para apagar rastros – root kits 27/12/11 56
  57. 57. Dúvidas??????27/12/11 57

×