SlideShare a Scribd company logo

Inf seg redinf_semana5

Eduardo Santana
Eduardo Santana
1 of 23
Download to read offline
Professor Conteudista: Dailson de Oliveira Fernandes PERNAMBUCO, 2010.
CONTEÚDO PROGRAMÁTICO 5. Ferramentas de Proteção (Continuação) 5.1 Ferramentas de Proteção 5.1.1 Honeypot 5.1.2 Honeynet 5.1.3 VPN 5.1.4 Segurança em Profundidade 5.2 Ferramentas de Análise de Tráfego e Vulnerabilidades 5.3. Políticas de Segurança 5.3.1. Políticas 5.3.2. Instalação e Configuração Segura de Sistemas 5.3.3. Educação dos usuários 5.3.4. Equipes de administradores 5.3.5. Logs 5.3.6. Eliminação de protocolos sem criptografia 5.3.7. Políticas de backup e restauração de sistemas 5.3.8. Como manter-se informado 5.3.9. Precauções contra engenharia social 5.3.10. Uso eficaz de firewalls 5.3.11. Redes wireless 5.4. Segurança Física
INTRODUÇÃO Olá pessoal! Na semana passada, continuamos a abordar ferramentas de se de proteção a sistemas computacionais. O foco maior foi a segurança em perímetros de rede. Foram citadas as seguintes ferramentas: • Proxy • Firewall + Proxy (ProxyWall) • Firewall de Rede • IDS – Intrusion Detection System • IPS – Intrusion Prevent System Vamos continuar a ver alguns métodos mais complexos de proteção de redes e algumas arquiteturas utilizadas em proteção de redes locais. Além disso, discutiremos sobre conexão de redes locais através de túneis virtuais (VPN). Também conheceremos ferramentas que identificam algumas vulnerabilidades, ou seja, você vai conhecer alguns métodos de como achar alguns problemas e sistemas e poder explorá-los. Mas não esqueça que você é será um Hacker na definição da palavra, você poderá achar as vulnerabilidades e deverá corrigi-las e não explorá-las. Mas adiante iremos abordar algumas políticas de segurança, segurança física da rede e um poderoso checklist de segurança. Ao final desta semana você será capaz de: • Conhecer diversas arquiteturas de segurança de rede; • Usar algumas ferramentas de exploração de falhas; • Conhecer as algumas ferramentas utilizadas em ataques a redes de computadores; • Instalar e usar algumas destas ferramentas; • Aplicar alguns dos tipos de políticas de segurança e aplicar no seu ambiente doméstico ou de trabalho. Sempre Alerta, O Inimigo está próximo...! Boa leitura!
5. Ferramentas de Proteção (Continuação) 5.1 Ferramentas de Proteção Finalizamos o capítulo 5 falando sobre os Sistemas de Detecção de Intrusos, os IDS e os IPS. Já sabemos a função de cada um deles e algumas maneiras de como eles podem ser instalados. Agora iremos conhecer mais algumas ferramentas que podem ser utilizadas em perímetros de redes. 5.1.1 Honeypot Honeypot = Pote de Mel Ferramenta de estudos de segurança, onde sua função principal é colher informações do atacante. Elemento atraente para o invasor, ou melhor, uma iguaria para um hacker. “Um honeypot é um recurso de rede cuja função é de ser atacado e comprometido (invadido). Significa dizer que um Honeypot poderá ser testado, atacado e invadido. Os honeypots não fazem nenhum tipo de prevenção, estes dispositivos fornecem informações adicionais de valor inestimável” Lance Spitzner - 2003 É um sistema que possui falhas de segurança reais ou virtuais, colocadas de maneira proposital, a fim de que seja invadido e que o fruto desta invasão possa ser estudado. A rede que é montada com essa intenção é chamada de Honeynet. Como os números de IP dessa rede não são divulgados e nem os serviços utilizados de forma real, os usuários só acham ela se utilizarem técnicas de varredura de IP utilizando softwares chamados de scanners de rede. 5.1.2 Honeynet Definição 1: uma Honeynet é uma ferramenta de pesquisa, que consiste de uma rede projetada especificamente para ser comprometida, e que contém mecanismos de controle para prevenir que seja utilizada como base de ataques contra outras redes. Definição 2: uma Honeynet nada mais é do que um tipo de honeypot. Especificamente, é um honeypot de alta interatividade, projetado para pesquisa e obtenção de informações dos invasores. É conhecido também como "honeypot de pesquisa" Uma vez comprometida, a honeynet é utilizada para observar o comportamento dos invasores, possibilitando análises detalhadas das ferramentas utilizadas, de suas
motivações e das vulnerabilidades exploradas. Uma honeynet normalmente contém um segmento de rede com honeypots de diversos sistemas operacionais e que fornecem diversas aplicações e serviços. Também contém mecanismos de contenção robustos, com múltiplos níveis de controle, além de sistemas para captura e coleta de dados, e para geração de alertas. As principais funções de uma honeynet e honeypots são: • detectar ataques internos; • identificar varreduras e ataques automatizados; • manter atacantes afastados de sistemas importantes; • coletar assinaturas de ataques; • detectar máquinas comprometidas ou com problemas de configuração; • coletar código malicioso (malware). A Honeynet é uma rede que abriga os honeypots. Os honeypot são servidores reais (ou virtuais) que estão ali para capturar informações dos invasores. São servidores que tem IP real e todos os serviços configurados. Porém estes servidores têm “armadilhas” para pegar o invasor, pegar números de IPs, hora de acesso e comportamento. É uma rede completa, porém com a única intenção de atrair invasores e descobrir o que realmente eles querem. Como na verdade a rede mais acima está mais protegida, a honeynet é mais atrativa e com certeza os atacantes procurarão o que é mais fácil. Fonte: Eriberto Mota – http://hlbr.sf.net
5.1.3 VPN Rede Particular Virtual (Virtual Private Network - VPN) é uma rede de comunicações privada normalmente utilizada por uma empresa ou um conjunto de empresas e/ou instituições, construída em cima de uma rede de comunicações pública (como por exemplo, a Internet). VPNs seguras usam protocolos de criptografia por tunelamento que fornecem a confidencialidade, autenticação e integridade necessárias para garantir a privacidade das comunicações requeridas. Quando adequadamente implementados, estes protocolos podem assegurar comunicações seguras através de redes inseguras. Deve ser notado que a escolha, implementação e uso destes protocolos não é algo trivial, e várias soluções de VPN inseguras são distribuídas no mercado. Adverte- se os usuários para que investiguem com cuidado os produtos que fornecem VPNs. Por si só, o rótulo VPN é apenas uma ferramenta de marketing. Imagine que existe uma matriz e duas filias da empresa ABC em Pernambuco. A Matriz fica em Recife e as Filiais em Belo Jardim e Salgueiro. Através de uma VPN é possível ligar estas 3 filiais através da Internet (já que seria inviável puxar cabos de recife para Belo Jardim e Salgueiro). Os dados são protegidos e criptografados e virtualmente se cria um túnel na internet onde só passam dados da referida matriz e suas filiais. Acompanhe na figura abaixo: Note que a internet serve de estrutura para a VPN. Os dois servidores fecham o túnel, e o que passa por dentro desse túnel virtual está criptografado e protegido, sendo uma maneira barata e viável de interligar redes de empresas. Fonte: Conteudista As VPN são feitas utilizando protocolos seguros. Protocolos seguros são aqueles que provê Criptografia e Descriptografia de Dados. Os mais utilizados atualmente são: SSL (Secure Socket Layer) , TLS (Transport Layer Security) e IPSEC.
Fique de Olho: Criptografia é uma maneira de embaralhar os dados para que seja incompreensível caso alguém o intercepte no meio do caminho. Criptografia será estudada na próxima semana. Fim boxe Saiba mais: Protocolo de Segurança IP (IP Security Protocol, mais conhecido pela sua sigla, IPSec) é uma extensão do protocolo IP que visa a ser o método padrão para o fornecimento de privacidade do usuário (aumentando a confiabilidade das informações fornecidas pelo usuário para uma localidade da internet, como bancos), integridade dos dados (garantindo que o mesmo conteúdo que chegou ao seu destino seja a mesma da origem) e autenticidade das informações (garantia de que uma pessoa é quem diz ser), quando se transferem informações através de redes IP pela internet. IPSec é um protocolo que opera sob a camada de rede (ou camada 3) do modelo OSI. Outros protocolos de segurança da internet como SSL e TLS operam desde a camada de transporte (camada 4) até a camada de aplicação (camada 7). Isto torna o IPsec mais flexível, como pode ser usado protegendo os protocolos TCP e UDP. Fim boxe 5.1.4 Segurança em Profundidade Uma boa prática de segurança de rede é de descentralizar serviços e fazer com que seus servidores e ferramentas de segurança fiquem em profundidade, ou seja, uma após a outra, fisicamente falando. A idéia de descentralizar serviços é se caso um servidor seu seja invadido, apenas um serviço seja comprometido. Veja o exemplo abaixo, uma arquitetura que jamais deverá ser feita.
Note que existe apenas uma máquina para todos os serviços. Esta máquina além de sobrecarregada é totalmente vulnerável por ter diversos serviços instalados ao mesmo tempo e ainda mais é um ponto vulnerável crítico da rede, se esta máquina falhar, toda a rede e serviços ficarão fora do ar. Fonte: Conteudista Porém por economia existem diversas empresas fazendo este tipo de arquitetura. Outra idéia errônea é a de pensar em um serviço por máquina, porém são disponibilizados de forma errada, sem um perímetro de proteção em DMZ. Note que todos os servidores estão “de frente” com a internet, sem nenhuma proteção. Mesmo que cada um tenha um firewall individual instalado, essa arquitetura é desaconselhável. Fonte: Conteudista A melhor prática é a de construir perímetros de rede. Servidores na DMZ, sem acesso a rede local. A Rede local em outro perímetro, com acesso a DMZ e um ou mais firewalls controlando acesso e se possível com IPS e IDS monitorando o tráfego.
Notem a defesa em profundidade. A Linha pontilhada delimita o perímetro protegido. A rede começa com o roteador, após o IPS HLBR, após o Snort IDS, após o Firewall, que segmenta a DMZ, logo após um Proxy e mais um IPS para monitorar as atividades do usuário. Fonte: Eriberto Mota – http://hlbr.sf.net Mais um exemplo de proteção em profundidade. Note que após o roteador temos o IPS HLBR, o Iptables (firewall), o Snort, logo após o Proxy Squid e dele parte a DMZ. Veja também que não existe somente proxy de http, veja que nessa arquitetura foi utilizado proxy para todos os serviços (Proxy DNS, Proxy SMTP, Proxy POP3...), criando assim mais uma camada de proteção e fazendo com que os servidores reais não tenham acesso direto dos clientes que vem da internet nem da rede local. Fonte: Eriberto Mota – http://hlbr.sf.net
5.2 Ferramentas de Análise de Tráfego e Vulnerabilidades Para um hacker prosseguir com um ataque ou uma invasão, mesmo que seja para fins de estudo, é necessário que ele levante algumas informações que são super importantes. Essa técnica de começar a levantar dados relevantes de um sistema é chamada de Footprinting ou Probing. Footprinting é a técnica utilizada pelos invasores para levantamento de informações ou perfil do alvo, o footprinting é um dos 03 instrumentos utilizados em um pré-ataque, os outros dois, são: varredura e enumeração. Através do footprinting o atacante poderá levantar desde alguns dados pessoais da vítima até perfil de redes, existem várias ferramentas utilizadas no levantamento de informações, o próprio google é um exemplo, existe ainda ferramentas como o whois, os sites archive.org e netcraft.com. Uma ferramenta bem fácil e a mão é o Nslookup ou o dig, ou seja, a ferramenta é utilizada para consulta de nomes de domínio nos servidores. Exibe informações que podem ser utilizadas para diagnosticar o Domain Name System (DNS), infra-estrutura e ajudar a encontrar endereços IP adicionais, registros de IP do servidor de email, e de outras máquinas. Sistemas Unix e Windows vêm com um cliente nslookup. Dados importantes que um Hacker quer levantar: • Quantas máquinas existem na rede • Qual a versão do Sistema Operacional de Cada uma • Quais os IPs dessas máquinas • Quais serviços estão rodando • Que portas TCP/UDP estão abertas • Se existe honeypots e honeynets 5.2.1 Varredura Esse passo o hacker vai usar programas que procura computadores ativos na rede através de ICMP (ping) e de portas aberta de serviços. É um dos passos mais importantes, pois aparte desse ponto a tentativa de invasão se tomar rumo distinto.
5.2.3 Enumeração Parte do trabalho de relacionar as portas abertas, versão de serviços. Um dos melhores programas para fazer tal tarefa é o nmap. Veja o resultado de um escaneamento simples do nmap apontada para uma máquina: MAC Address: 00:30:48:61:55:5C (Supermicro Computer) Device type: general purpose Running: Microsoft Windows 2003 OS details: Microsoft Windows Server 2003 SP1 or SP2 Network Distance: 1 hop TCP Sequence Prediction: Difficulty=250 (Good luck!) IP ID Sequence Generation: Incremental Service Info: OSs: Windows, Windows XP Host 192.168.10.201 is up (0.00s latency). Interesting ports on 192.168.10.201: Not shown: 967 closed ports PORT STATE SERVICE VERSION 21/tcp open ftp Microsoft ftpd 23/tcp open telnet Microsoft Windows XP telnetd 42/tcp open wins Microsoft Windows Wins 53/tcp open domain? 80/tcp open http Microsoft IIS webserver 6.0 88/tcp open kerberos-sec Microsoft Windows kerberos-sec 135/tcp open msrpc Microsoft Windows RPC 389/tcp open ldap 445/tcp open microsoft-ds Microsoft Windows 2003 microsoft-ds 912/tcp open ssl/vmware-auth VMware Authentication Daemon 1.10 (Uses VNC) 1433/tcp open ms-sql-s Microsoft SQL Server 2000 8.00.2039; SP4 2967/tcp open symantec-av? 3389/tcp open microsoft-rdp Microsoft Terminal Service 8222/tcp open http Microsoft IIS webserver 6.0 8333/tcp open ssl/http Microsoft IIS webserver 6.0 Note que é possível descobrir IPs, Service Pack instalado, Versão do Sistema Operacional, Portas TCP/UDP abertas e serviços disponibilizados. A partir deste ponto, o hacker prossegue com outras técnicas para tentar invadir o sistema. 5.2.4 Procura de falhas Aqui o hacker vai usar as informações da enumeração para identifica possíveis falhas nos serviços que estão rodando, eles usam também scanner de vulnerabilidades para esse tipo de ato. Na figura abaixo veja um diagrama de uma possível exploração e invasão.
Note que há vários passos a serem tomados. Essa figura não é um diagrama definitivo, é apenas uma das idéias que se tem de como se prosseguem as invasões. Fonte Dr. Jack- www.invasao.com.br Saiba mais: Brute Force: uma das técnicas mais antigas de tentativas de invasão de um sistema é o ataque de força bruta. Consiste em “quebrar” (adivinhar) as senhas de um usuário utilizando todas as combinações possíveis. Este tipo de ataque é demorado, e requer um bom recurso computacional. XSS: também conhecido como CSS (Cross Site Scripting, facilmente confundido com Cascading Style Sheets) é uma vulnerabilidade muito comum encontrada em aplicativos web. XSS permite ao atacante inserir códigos maliciosos nessas páginas, para que sejam executados no momento em que tais páginas forem acessadas. Sniffing: é o procedimento realizado por uma ferramenta conhecida como Sniffer (também conhecido como Packet Sniffer, Analisador de Rede, Analisador de Protocolo, Ethernet Sniffer em redes do padrão Ethernet ou ainda Wireless Sniffer em redes wireless). Esta ferramenta, constituída de um software ou hardware, é capaz de interceptar e registrar o tráfego de dados em uma rede de computadores. Conforme o fluxo de dados trafega na rede, o sniffer captura cada pacote e eventualmente decodifica e analisa o seu conteúdo. O sniffing pode ser utilizado com propósitos maliciosos por invasores que
tentam capturar o tráfego da rede com diversos objetivos, dentre os quais podem ser citados, obter cópias de arquivos importantes durante sua transmissão, e obter senhas que permitam estender o seu raio de penetração em um ambiente invadido ou ver as conversações em tempo real. O Termo Sniffer em inglês quer dizer “Farejar” e existem centenas de farejadores na internet. Desde programas específicos como Sniffers MSN, que só capturam todas as conversas de MSN de uma rede como até os mais generalistas como é o caso do WIRESHARK. Exploit: é um programa de computador, uma porção de dados ou uma seqüencia de comandos que se aproveita das vulnerabilidades de um sistema computacional – como o próprio sistema operacional ou serviços de interação de protocolos (ex: servidores Web). São geralmente elaborados por hackers como programas de demonstração das vulnerabilidades, a fim de que as falhas sejam corrigidas, ou por crackers a fim de ganhar acesso não autorizado a sistemas. Por isso muitos crackers não publicam seus exploits, conhecidos como 0days, e o seu uso massificado deve-se aos script kiddies (aqueles que pensam que são hackers). 0day (ZeroDay): é uma gíria do submundo hacker utilizada quando uma vulnerabilidade é descoberta e exploits são escritos mas os donos ou mantenedores do programa comprometido ainda não sabe dessa falha. Como os proprietários dos programas ainda não lançaram nenhum patch de correção e a vulnerabilidade continua disponível, para eles esse é o dia ZERO, o dia do ataque. Patch: “remendo em inglês” é uma correção, um programa (ou parte dele) que corrige uma falha de um sistema. Em sistemas operacionais como Linux e Windows esses patchs são baixados e instalados no sistema através do Windows Update ou o Update do Linux. A Microsoft também usa o termo Service Pack, quando ela lança uma grande quantidade desses programas que corrige falhas. Banner: Geralmente quando se quer saber a versão de um sistema operacional ou de um serviço, procuramos pelo Banner (algo como propaganda) do fabricante do Software. Geralmente um banner traz versão, marca e outras características do sistema. E é esses dados que interessam. Vejam exemplos de banners abaixo: OpenSSH 4.5p1 Debian 4.0 (protocol 2.0) Acima é possível ver a versão do SSH (um servidor de acesso remoto usado em linux), o sistema o qual ele está instalado “Debian” e a versão do protocolo “2.0” 220 <MailServer> Microsoft ESMTP MAIL service ready at <RegionalDay-Date-
24HourTimeFormat> <RegionalTimeZoneOffset> Acima um banner de um servidor de email da Microsoft. Já é possível saber que é Microsoft. Por eliminação é fácil deduzir que é um servidor Microsoft executando um servidor de email da Microsoft. Fim do boxe Fique de Olho: Existem na maioria dos programas recursos para esconder ou trocar o Banner padrão. Por exemplo, poderia colocar no servidor acima que ao invés de Microsoft ESMTP MAIL como Linux Postfix Mail Server, tentando enganar o invasor para que ele se atrapalhe na escolha de ferramentas para explorar vulnerabilidades. Este recurso de trocar ou esconder versões de sistemas é chamada de Segurança por Obscuridade e é totalmente desaconselhável. Não se deve confiar que um hacker não vá achar a versão verdadeira ou não irá achar um número de IP “difícil de ser encontrado”. Os programas que fazem testes em sistemas está em um nível muito mais avançado e técnicas não melhora nem provê segurança. Fim do Boxe 5.2.5 Que ferramentas os Hackers usa para poder descobrir vulnerabilidades? No tópico anterior citamos algumas como Sniffers, Exploits e Programas de Força Bruta. Para quem quer enveredar no mundo da segurança da Informação, é necessário que essas ferramentas sejam utilizadas e entendidas. Mas lembre-se que essas ferramentas podem ser utilizadas para o bem e para o mal. Como diz a campanha: “Use com moderação”. Abaixo, uma lista dividida em categorias de algumas as principais ferramentas:
Fonte: Conteudista Fonte: Conteudista Fonte: Conteudista Fonte: Conteudista
5.3. Políticas de Segurança Além de ferramentas de segurança de computadores e de segurança de perímetros de rede, é necessário que outros itens sejam observados. Vale à pena lembrar que segurança não é igual a firewall ou IDS e IPS instalados. Segurança é todo um conjunto de medidas que devem ser tomadas em conjunto em prol da integridade de coisas que vão além dos dados. Uma segurança completa deve contemplar itens como as procedimentos, máquinas, as pessoas, as informações e a instituição. Vejam alguns itens que devem ser objeto de estudo e implantação em um ambiente seguro. 5.3.1. Políticas • elaboração de uma política de segurança, com apoio da administração da organização; • divulgação da política de segurança entre os usuários da rede; • elaboração e divulgação de uma política de uso aceitável (AUP). 5.3.2. Instalação e Configuração Segura de Sistemas a) Antes da instalação: • planejamento dos propósitos e serviços do sistema; • definição do particionamento do disco; • provisão de mídias e documentação necessárias à instalação. b) Durante a instalação: • escolha de uma senha forte para o administrador; • instalação do mínimo de pacotes, com o sistema fora da rede; • documentação da instalação no logbook (um livro ou arquivo onde você anota dados importantes) c). Após a instalação: • desativação de serviços instalados e não utilizados; • instalação de correções de segurança; • configuração do proxy Web, ajustando os controles de acesso. 5.3.4. Antes de conectar o sistema em rede: • verificação das portas TCP/UDP abertas, usando um comando como o
netstat -a; • ajuste nas regras de firewall apropriadas, para liberar o tráfego para o novo sistema. 5.3.3. Educação dos usuários: • divulgação de documentos de educação do usuário, sobre segurança de redes, como por exemplo a "Cartilha de Segurança para a Internet", disponível em http://www.nbso.nic.br/docs/cartilha/. 5.3.4. Equipes de administradores: • criação de listas de discussão para a comunicação entre os administradores de redes e sistemas da organização; • estabelecimento de procedimentos e/ou instalação de ferramentas para controle de alterações na configuração dos sistemas; • estabelecimento de procedimentos e/ou instalação de ferramentas que permitam um controle sobre a utilização de contas privilegiadas (root e Administrador). 5.3.5. Logs: • habilitação do log em sistemas e serviços; • estabelecimento de um procedimento de armazenamento de logs; • instalação e configuração de um servidor de log centralizado; • estabelecimento de um procedimento de monitoramento de logs; • instalação de ferramentas de monitoramento automatizado e de sumarização de logs. 5.3.6. Eliminação de protocolos sem criptografia: • Usar de preferência protocolos de acesso remoto criptografado como o SSH. • substituição de POP3 e IMAP sem criptografia por soluções de email com criptografia (POP3 ou IMAP sobre SSL, Webmail sobre HTTPS). 5.3.7. Políticas de backup e restauração de sistemas: • definição da periodicidade dos backups; • definição dos dados que devem ser copiados;
• escolha de um local adequado para o armazenamento dos backups; • estabelecimento de um procedimento de verificação de backups; • estabelecimento de um procedimento para a restauração de sistemas a partir do backup. 5.3.8. Como manter-se informado: • inscrição nas listas e fóruns de anúncios de segurança dos fornecedores de software e/ou hardware; • inscrição nas listas de administradores e/ou usuários dos produtos usados na sua rede; • inscrição na lista de alertas de segurança do CERT/CC: http://www.cert.pt/modules.php?name=Your_Account&op=userinfo&uname=CE RT.CC 5.3.9. Precauções contra engenharia social: • treinamento de usuários e administradores contra possíveis tentativas de descoberta de informações sobre a rede da organização; • busca e remoção de documentos que contenham tais informações e que estejam disponíveis nos servidores de rede; • preservação de informações sensíveis ao solicitar auxílio em fóruns públicos na Internet. 5.3.10. Uso eficaz de firewalls: • escolha de um firewall que rode em um ambiente com o qual os administradores estejam acostumados; • instalação de firewalls em pontos estratégicos da rede, incluindo, possivelmente, firewalls internos; • uso de uma DMZ para confinamento dos servidores públicos; 5.3.11. Redes wireless: • definição de uma política de Uso da Rede Wireless; • posicionamento cuidadoso dos APs visando minimizar o vazamento de sinal; • uso de criptografia na rede; • mudança da configuração default dos APs (senhas, SSID, SNMP communities, etc);
• proteção dos clientes wireless (aplicação de patches, uso de firewall pessoal, antivírus, etc.); • monitoração da rede wireless. Fique de olho: Esta listagem foi adaptada de: http://www.cert.br/docs/seg-adm-redes/seg-adm-chklist.html Para ver a versão completa, acesse o site acima. Fim do boxe 5.4. Segurança Física Um dos itens que também deve ser observado é a segurança física da instituição. Se a segurança for apenas lógica como impedir que um invasor em potencial não tenha acesso físico a máquina ou a um firewall? Além de prover segurança lógica para todo o sistema computacional, uma empresa deve se preocupar com acesso físico, níveis de acesso a salas, computadores, setores e informações. Estatísticas do FBI (Serviço Secreto Americano) informam que 72% dos roubos, fraudes, sabotagens e acidentes são causados pelos próprios funcionários de uma organização. Outros 15% ou 20% são causados por terceiros ou consultores que foram formalmente autorizados a acessar as instalações, sistemas e informações. Apenas 5% a 8% são causados por pessoas externas da organização. Devem ser relevados itens como: • Controle de acesso físico com senhas, cartões magnéticos, biometria; • Monitoramento por câmeras; • Avaliação da segurança de grades, muros e portas; • Monitoração por uma empresa de segurança privada; • Guardas no local 24x7 (24 horas por dia nos 7 dias da semana); • Identificação dos funcionários através de crachás; Adotar Controles ambientais que contemplem planos de contingência para: • Fogo; • Explosivos; • Fumaça;
• Água; • Poeira; • Vibração; • Interferência Elétrica; • Falta de Energia. Elaborar um plano de emergência que contemple até catástrofes naturais como inundações e terremotos. O que fazer se todo um prédio onde fica o CPD (Centro de Processamento de Dados) de uma empresa pegar fogo? Ou se uma inundação queimar todos os computadores e ativos de rede? Se todas as fitas, CDs e DVDs de backup forem danificados? Além de cuidados com extintores, sistemas anti-incêndio tem que se pensar em replicar dados em locais fisicamente diferentes. Quem imaginaria que as duas torres do World Trade Center em Nova York iria ser alvo de um ataque terrorista? Muitos profissionais precavidos, mesmo sem imaginar que dois aviões destruiriam aqueles prédios, tinham backups de seus dados em outros locais. Após levantamento, criação de documentos, treinamentos dos funcionários e investimentos na área de segurança física e ambiental, cabe ao Security Officer e a sua equipe, fazer testes constantes de quebra de todos os itens de segurança, criando situações com pessoas contratadas ou com ajuda de alguns funcionários de sua inteira confiança. Estes tipos de testes visa provar os planos de contingência e saber se realmente o plano de segurança está funcionando. Mas não vá tocar fogo no prédio nem inundar salas pra ver se está tudo certo. OK??? RESUMO Um honeypot é uma ferramenta de estudos de segurança, onde sua função principal é colher informações do atacante. Uma Honeynet é uma ferramenta de pesquisa, que consiste de uma rede projetada especificamente para ser comprometida, e que contém mecanismos de controle para prevenir que seja utilizada como base de ataques contra outras redes. Uma VPN é uma rede de comunicações privada normalmente utilizada por uma empresa ou um conjunto de empresas e/ou instituições, construída em cima de uma rede de comunicações pública (como por exemplo, a Internet). Um dos protocolos mais utilizados em uma VPN é o IPSEC. O SSL e o TLS também são utilizados para criptografar dados. Uma das melhores práticas de segurança da informação é a de colocar servidores em profundidade.
Uma das ferramentas iniciais um que um hacker usa para invasão é um sniffer de rede. Com esta ferramenta ele consegue realizar a técnica de Probing ou Footprinting. Footprinting é a técnica utilizada pelos invasores para levantamento de informações ou perfil do alvo, o footprinting é um dos 03 instrumentos utilizados em um pré-ataque, os outros dois, são: varredura e enumeração. Varredura: ação que procura computadores ativos na rede através de ICMP (ping) e de portas aberta de serviços. É um dos passos mais importantes, pois aparte desse ponto a tentativa de invasão se tomar rumo distinto. Enumeração: Parte do trabalho de relacionar as portas abertas, versão de serviços. Uma excelente ferramente para fazer Scaneamento e Probing de uma rede é o nmap. Uma das técnicas conhecidas de “descobrir” senhas é o Brute Force. Um dos ataques mais conhecidos é o XSS. O ataque XSS permite inserir códigos maliciosos em páginas web, para que sejam executados no momento em que estas páginas forem acessadas. 0day (ZeroDay): é uma gíria do submundo hacker utilizada quando uma vulnerabilidade é descoberta e exploits são escritos mas os donos ou mantenedores do programa comprometido ainda não sabe dessa falha. Como os proprietários dos programas ainda não lançaram nenhum patch de correção e a vulnerabilidade continua disponível, para eles esse é o dia ZERO, o dia do ataque. Vale a pena lembrar que segurança não é igual a firewall ou IDS e IPS instalados. Segurança é todo um conjunto de medidas que devem ser tomadas em conjunto em prol da integridade de coisas que vão além dos dados. Uma segurança completa deve contemplar itens como as procedimentos, máquinas, as pessoas, as informações e a instituição. Toda empresa deve investir em Políticas de Segurança e segui-las rigorosamente. Dentre muitos itens de uma políticas de segurança, devemos estar cientes de: • Procedimentos de instalação (Antes, durante e depois da tarefa); • Educação dos usuários; • Regras para uso da internet; • Função da equipe de administradores • Leitura dos Logs; • Eliminação dos protocolos sem criptografia
• Políticas de Backup; • Políticas de Restauração de backups; • Uso de Firewalls; • Uso da rede wireless A Segurança Física é um ítem que deve ser observado e praticado pelas empresas. Faz parte da Segurança Física, cuidados específicos com: • Fogo; • Explosivos; • Fumaça; • Água; • Poeira; • Vibração; • Interferência Elétrica; • Falta de Energia.
Referências bibliográficas: Alguns textos deste capítulo tem a seguinte referência: “Texto extraído da Cartilha de Segurança para Internet, desenvolvida pelo CERT.br, mantido pelo NIC.br, com inteiro teor em http://cartilha.cert.br” Lista de Ferramentas, Compilada originalmente por Luis Vieira – Lista origninal em: http://www.vivaolinux.com.br/artigo/Ferramentas-de-seguranca-uma-pequena- compilacao/ http://www.cert.br/docs/seg-adm-redes/seg-adm-chklist.html http://drkmario.blogspot.com/2005/08/o-que-um-honeypot.html http://www.cert.br/docs/whitepapers/honeypots-honeynets/ http://www.invasao.com.br/2009/07/31/footprinting-seguranca-da-informacao/ http://under-linux.org/b144-footprinting http://imasters.uol.com.br/artigo/9879/seguranca/xss_-_cross_site_scripting/ http://www.ccuec.unicamp.br/revista/infotec/admsis/admsis8-1.html http://epx.com.br/artigos/openvpn_ipsec.php http://www.cert.br/docs/seg-adm-redes/seg-adm-chklist.html Fernandes, Dailson. Análise do sistema de detecção de intruso reativo HLBR - Hogwash Light Brasil como IPS para a Segurança em Redes de Computadores. Monografia – Universidade Católica de Pernambuco - 2007 Santos, Bruno. Detecção de intrusos utilizando o Snort. Monografia de Pós- Graduação. Monografia - Universidade Federal de Lavras, Lavras - MG, 2005. Cartilha de Segurança da Internet, http://nic.br , http://cert.br e http://cartilha.cert.br Araújo, André Bertelli - Filho, João Eriberto Mota “HLBR – O Emprego de uma bridge como IPS para a segurança em redes de computadores” - http://www.eriberto.pro.br , http://bertelli.name Ferreira, Fernando Nicolau Freitas – Segurança da Informação. Editora Ciência Moderna. 1ª Edição.

Recommended

Aula 1 semana
Aula 1 semanaAula 1 semana
Aula 1 semanaJorge Ávila Miranda
 
Aula 2 semana2
Aula 2 semana2Aula 2 semana2
Aula 2 semana2Jorge Ávila Miranda
 
Aula 2 semana
Aula 2 semanaAula 2 semana
Aula 2 semanaJorge Ávila Miranda
 
Aula 4 semana
Aula 4 semanaAula 4 semana
Aula 4 semanaJorge Ávila Miranda
 
Segurança em Sistemas Distribuídos
Segurança em Sistemas DistribuídosSegurança em Sistemas Distribuídos
Segurança em Sistemas DistribuídosCarlos Eduardo Pinheiro
 
Protocolos de Segurança
Protocolos de SegurançaProtocolos de Segurança
Protocolos de SegurançaDaiana de Ávila
 
Aula 2 semana3
Aula 2 semana3Aula 2 semana3
Aula 2 semana3Jorge Ávila Miranda
 
Mecanismos de detecção e prevenção de intrusos
Mecanismos de detecção e prevenção de intrusosMecanismos de detecção e prevenção de intrusos
Mecanismos de detecção e prevenção de intrusosIvani Nascimento
 

Recommended

Aula 1 semana
Aula 1 semanaAula 1 semana
Aula 1 semanaJorge Ávila Miranda
 
Aula 2 semana2
Aula 2 semana2Aula 2 semana2
Aula 2 semana2Jorge Ávila Miranda
 
Aula 2 semana
Aula 2 semanaAula 2 semana
Aula 2 semanaJorge Ávila Miranda
 
Aula 4 semana
Aula 4 semanaAula 4 semana
Aula 4 semanaJorge Ávila Miranda
 
Segurança em Sistemas Distribuídos
Segurança em Sistemas DistribuídosSegurança em Sistemas Distribuídos
Segurança em Sistemas DistribuídosCarlos Eduardo Pinheiro
 
Protocolos de Segurança
Protocolos de SegurançaProtocolos de Segurança
Protocolos de SegurançaDaiana de Ávila
 
Aula 2 semana3
Aula 2 semana3Aula 2 semana3
Aula 2 semana3Jorge Ávila Miranda
 
Mecanismos de detecção e prevenção de intrusos
Mecanismos de detecção e prevenção de intrusosMecanismos de detecção e prevenção de intrusos
Mecanismos de detecção e prevenção de intrusosIvani Nascimento
 
Segurança na Rede
Segurança na RedeSegurança na Rede
Segurança na Redecarbgarcia
 
Sistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAAS
Sistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAASSistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAAS
Sistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAASAdriano Teixeira de Souza
 
Conceito em segurança de redes de computadores
Conceito em segurança de redes de computadoresConceito em segurança de redes de computadores
Conceito em segurança de redes de computadoresRogerio Pereira
 
Segurança em sistemas distribuidos
Segurança em sistemas distribuidosSegurança em sistemas distribuidos
Segurança em sistemas distribuidosJerry Adrianni das Neves
 
Segurança de Rede
Segurança de RedeSegurança de Rede
Segurança de RedeMarcelo Piuma
 
Intrusos e Honeypots
Intrusos e HoneypotsIntrusos e Honeypots
Intrusos e HoneypotsThaís Favore
 
Sistemas de Detecção de Intrusão
Sistemas de Detecção de Intrusão Sistemas de Detecção de Intrusão
Sistemas de Detecção de Intrusão r5f4y7s9f8g5b245
 
Segurança de redes - Conceitos de firewall
Segurança de redes - Conceitos de firewall Segurança de redes - Conceitos de firewall
Segurança de redes - Conceitos de firewall Cleber Ramos
 
Nota de aula seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadoresNota de aula seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadoresfelipetsi
 
Proteção e segurança do Sistema Operacional
Proteção e segurança do Sistema OperacionalProteção e segurança do Sistema Operacional
Proteção e segurança do Sistema OperacionalAmanda Luz
 
Sensor Networks
Sensor NetworksSensor Networks
Sensor NetworksJoel Carvalho
 
Seguranca da Informação -IDS
Seguranca da Informação -IDSSeguranca da Informação -IDS
Seguranca da Informação -IDSLuiz Arthur
 
Sistemas Distribuídos - Aula 08 - Segurança
Sistemas Distribuídos - Aula 08 - SegurançaSistemas Distribuídos - Aula 08 - Segurança
Sistemas Distribuídos - Aula 08 - SegurançaArthur Emanuel
 
Detecção de ameaças internas com Linux Audit
Detecção de ameaças internas com Linux AuditDetecção de ameaças internas com Linux Audit
Detecção de ameaças internas com Linux AuditIvani Nascimento
 
Cartilha de Segurança para Internet - Wireless
Cartilha de Segurança para Internet - WirelessCartilha de Segurança para Internet - Wireless
Cartilha de Segurança para Internet - WirelessCentral Info
 
Palestra Segurança da Informação e Servidores
Palestra Segurança da Informação e ServidoresPalestra Segurança da Informação e Servidores
Palestra Segurança da Informação e ServidoresCesar Augusto Pinheiro Vitor
 
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...Diego BBahia
 
Snort
SnortSnort
SnortJean Pimentel
 
Segurança em sistemas distribuídos
Segurança em sistemas distribuídosSegurança em sistemas distribuídos
Segurança em sistemas distribuídosGeomar Matias Lima
 
192151378 seguranca
192151378 seguranca192151378 seguranca
192151378 segurancaMarco Guimarães
 
Inf sis opeinf_semana6
Inf sis opeinf_semana6Inf sis opeinf_semana6
Inf sis opeinf_semana6Eduardo Santana
 
Apostila - Introdução ao Linux
Apostila - Introdução ao LinuxApostila - Introdução ao Linux
Apostila - Introdução ao LinuxEduardo Santana
 

More Related Content

What's hot

Segurança na Rede
Segurança na RedeSegurança na Rede
Segurança na Redecarbgarcia
 
Sistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAAS
Sistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAASSistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAAS
Sistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAASAdriano Teixeira de Souza
 
Conceito em segurança de redes de computadores
Conceito em segurança de redes de computadoresConceito em segurança de redes de computadores
Conceito em segurança de redes de computadoresRogerio Pereira
 
Intrusos e Honeypots
Intrusos e HoneypotsIntrusos e Honeypots
Intrusos e HoneypotsThaís Favore
 
Sistemas de Detecção de Intrusão
Sistemas de Detecção de Intrusão Sistemas de Detecção de Intrusão
Sistemas de Detecção de Intrusão r5f4y7s9f8g5b245
 
Segurança de redes - Conceitos de firewall
Segurança de redes - Conceitos de firewall Segurança de redes - Conceitos de firewall
Segurança de redes - Conceitos de firewall Cleber Ramos
 
Nota de aula seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadoresNota de aula seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadoresfelipetsi
 
Proteção e segurança do Sistema Operacional
Proteção e segurança do Sistema OperacionalProteção e segurança do Sistema Operacional
Proteção e segurança do Sistema OperacionalAmanda Luz
 
Seguranca da Informação -IDS
Seguranca da Informação -IDSSeguranca da Informação -IDS
Seguranca da Informação -IDSLuiz Arthur
 
Sistemas Distribuídos - Aula 08 - Segurança
Sistemas Distribuídos - Aula 08 - SegurançaSistemas Distribuídos - Aula 08 - Segurança
Sistemas Distribuídos - Aula 08 - SegurançaArthur Emanuel
 
Detecção de ameaças internas com Linux Audit
Detecção de ameaças internas com Linux AuditDetecção de ameaças internas com Linux Audit
Detecção de ameaças internas com Linux AuditIvani Nascimento
 
Cartilha de Segurança para Internet - Wireless
Cartilha de Segurança para Internet - WirelessCartilha de Segurança para Internet - Wireless
Cartilha de Segurança para Internet - WirelessCentral Info
 
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...Diego BBahia
 
Segurança em sistemas distribuídos
Segurança em sistemas distribuídosSegurança em sistemas distribuídos
Segurança em sistemas distribuídosGeomar Matias Lima
 

What's hot (20)

Segurança na Rede
Segurança na RedeSegurança na Rede
Segurança na Rede
 
Sistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAAS
Sistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAASSistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAAS
Sistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAAS
 
Conceito em segurança de redes de computadores
Conceito em segurança de redes de computadoresConceito em segurança de redes de computadores
Conceito em segurança de redes de computadores
 
Segurança em sistemas distribuidos
Segurança em sistemas distribuidosSegurança em sistemas distribuidos
Segurança em sistemas distribuidos
 
Segurança de Rede
Segurança de RedeSegurança de Rede
Segurança de Rede
 
Intrusos e Honeypots
Intrusos e HoneypotsIntrusos e Honeypots
Intrusos e Honeypots
 
Sistemas de Detecção de Intrusão
Sistemas de Detecção de Intrusão Sistemas de Detecção de Intrusão
Sistemas de Detecção de Intrusão
 
Segurança de redes - Conceitos de firewall
Segurança de redes - Conceitos de firewall Segurança de redes - Conceitos de firewall
Segurança de redes - Conceitos de firewall
 
Nota de aula seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadoresNota de aula seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadores
 
Proteção e segurança do Sistema Operacional
Proteção e segurança do Sistema OperacionalProteção e segurança do Sistema Operacional
Proteção e segurança do Sistema Operacional
 
Sensor Networks
Sensor NetworksSensor Networks
Sensor Networks
 
Seguranca da Informação -IDS
Seguranca da Informação -IDSSeguranca da Informação -IDS
Seguranca da Informação -IDS
 
Sistemas Distribuídos - Aula 08 - Segurança
Sistemas Distribuídos - Aula 08 - SegurançaSistemas Distribuídos - Aula 08 - Segurança
Sistemas Distribuídos - Aula 08 - Segurança
 
Detecção de ameaças internas com Linux Audit
Detecção de ameaças internas com Linux AuditDetecção de ameaças internas com Linux Audit
Detecção de ameaças internas com Linux Audit
 
Cartilha de Segurança para Internet - Wireless
Cartilha de Segurança para Internet - WirelessCartilha de Segurança para Internet - Wireless
Cartilha de Segurança para Internet - Wireless
 
Palestra Segurança da Informação e Servidores
Palestra Segurança da Informação e ServidoresPalestra Segurança da Informação e Servidores
Palestra Segurança da Informação e Servidores
 
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
 
Snort
SnortSnort
Snort
 
Segurança em sistemas distribuídos
Segurança em sistemas distribuídosSegurança em sistemas distribuídos
Segurança em sistemas distribuídos
 
192151378 seguranca
192151378 seguranca192151378 seguranca
192151378 seguranca
 

Viewers also liked

Apostila - Introdução ao Linux
Apostila - Introdução ao LinuxApostila - Introdução ao Linux
Apostila - Introdução ao LinuxEduardo Santana
 
Fasciculo inf segredes_unidade_1
Fasciculo inf segredes_unidade_1Fasciculo inf segredes_unidade_1
Fasciculo inf segredes_unidade_1Eduardo Santana
 
Guia prático de redes cabeamento & configuração de carlos e. morimoto por b...
Guia prático de redes cabeamento & configuração de carlos e. morimoto por b...Guia prático de redes cabeamento & configuração de carlos e. morimoto por b...
Guia prático de redes cabeamento & configuração de carlos e. morimoto por b...Eduardo Santana
 
Normas da ABNT NBR 14565 - Procedimento Básico Para Elaboração de projetos de...
Normas da ABNT NBR 14565 - Procedimento Básico Para Elaboração de projetos de...Normas da ABNT NBR 14565 - Procedimento Básico Para Elaboração de projetos de...
Normas da ABNT NBR 14565 - Procedimento Básico Para Elaboração de projetos de...Eduardo Santana
 

Viewers also liked (6)

Inf sis opeinf_semana6
Inf sis opeinf_semana6Inf sis opeinf_semana6
Inf sis opeinf_semana6
 
Apostila - Introdução ao Linux
Apostila - Introdução ao LinuxApostila - Introdução ao Linux
Apostila - Introdução ao Linux
 
Fasciculo inf segredes_unidade_1
Fasciculo inf segredes_unidade_1Fasciculo inf segredes_unidade_1
Fasciculo inf segredes_unidade_1
 
Inf seg redinf_semana6
Inf seg redinf_semana6Inf seg redinf_semana6
Inf seg redinf_semana6
 
Guia prático de redes cabeamento & configuração de carlos e. morimoto por b...
Guia prático de redes cabeamento & configuração de carlos e. morimoto por b...Guia prático de redes cabeamento & configuração de carlos e. morimoto por b...
Guia prático de redes cabeamento & configuração de carlos e. morimoto por b...
 
Normas da ABNT NBR 14565 - Procedimento Básico Para Elaboração de projetos de...
Normas da ABNT NBR 14565 - Procedimento Básico Para Elaboração de projetos de...Normas da ABNT NBR 14565 - Procedimento Básico Para Elaboração de projetos de...
Normas da ABNT NBR 14565 - Procedimento Básico Para Elaboração de projetos de...
 

Similar to Inf seg redinf_semana5

126015847 seguranca-de-redes-criptografia-2
126015847 seguranca-de-redes-criptografia-2126015847 seguranca-de-redes-criptografia-2
126015847 seguranca-de-redes-criptografia-2Marco Guimarães
 
126015847 seguranca-de-redes-criptografia-2 (1)
126015847 seguranca-de-redes-criptografia-2 (1)126015847 seguranca-de-redes-criptografia-2 (1)
126015847 seguranca-de-redes-criptografia-2 (1)Marco Guimarães
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoAndre Takegawa
 
Nota de aula seguranca da informacao - politica de segurança da informação
Nota de aula seguranca da informacao - politica de segurança da informaçãoNota de aula seguranca da informacao - politica de segurança da informação
Nota de aula seguranca da informacao - politica de segurança da informaçãofelipetsi
 
Internet trabalho
Internet trabalhoInternet trabalho
Internet trabalhoLML0101
 
artigo ferramentas de gerenciamento de redes
artigo ferramentas de gerenciamento de redesartigo ferramentas de gerenciamento de redes
artigo ferramentas de gerenciamento de redesmauriciomoda
 
manual_ufcd_1421_segurana_informatica.pdf
manual_ufcd_1421_segurana_informatica.pdfmanual_ufcd_1421_segurana_informatica.pdf
manual_ufcd_1421_segurana_informatica.pdfCarlos Gomes
 
Pdf e5-ss28
Pdf e5-ss28Pdf e5-ss28
Pdf e5-ss28LilianeR
 
Segurança em Sistemas Baseados em Redes de Computadores
Segurança em Sistemas Baseados em Redes de ComputadoresSegurança em Sistemas Baseados em Redes de Computadores
Segurança em Sistemas Baseados em Redes de ComputadoresBruno Dos Anjos Silveira
 
Conceitos BáSicos Sobre SegurançA Parte 2
Conceitos BáSicos Sobre SegurançA Parte 2Conceitos BáSicos Sobre SegurançA Parte 2
Conceitos BáSicos Sobre SegurançA Parte 2Felipe Santos
 
Segurança dos Sistemas Operativos
Segurança dos Sistemas OperativosSegurança dos Sistemas Operativos
Segurança dos Sistemas OperativosPedro Marmelo
 
A seguranca dos sistemas operativos
A seguranca dos sistemas operativosA seguranca dos sistemas operativos
A seguranca dos sistemas operativosRodrigovieira99
 
Sophos Endpoint - Ago/2013
Sophos Endpoint - Ago/2013Sophos Endpoint - Ago/2013
Sophos Endpoint - Ago/2013GVTech
 

Similar to Inf seg redinf_semana5 (20)

126015847 seguranca-de-redes-criptografia-2
126015847 seguranca-de-redes-criptografia-2126015847 seguranca-de-redes-criptografia-2
126015847 seguranca-de-redes-criptografia-2
 
126015847 seguranca-de-redes-criptografia-2 (1)
126015847 seguranca-de-redes-criptografia-2 (1)126015847 seguranca-de-redes-criptografia-2 (1)
126015847 seguranca-de-redes-criptografia-2 (1)
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
 
Nota de aula seguranca da informacao - politica de segurança da informação
Nota de aula seguranca da informacao - politica de segurança da informaçãoNota de aula seguranca da informacao - politica de segurança da informação
Nota de aula seguranca da informacao - politica de segurança da informação
 
Aula 8.0 - Segurança
Aula 8.0 - SegurançaAula 8.0 - Segurança
Aula 8.0 - Segurança
 
Seminário - Segurança da informação
Seminário - Segurança da informaçãoSeminário - Segurança da informação
Seminário - Segurança da informação
 
Seminario Seguranca da Informação
Seminario Seguranca da InformaçãoSeminario Seguranca da Informação
Seminario Seguranca da Informação
 
Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacao
 
Internet trabalho
Internet trabalhoInternet trabalho
Internet trabalho
 
artigo ferramentas de gerenciamento de redes
artigo ferramentas de gerenciamento de redesartigo ferramentas de gerenciamento de redes
artigo ferramentas de gerenciamento de redes
 
manual_ufcd_1421_segurana_informatica.pdf
manual_ufcd_1421_segurana_informatica.pdfmanual_ufcd_1421_segurana_informatica.pdf
manual_ufcd_1421_segurana_informatica.pdf
 
Pdf e5-ss28
Pdf e5-ss28Pdf e5-ss28
Pdf e5-ss28
 
Segurança em Sistemas Baseados em Redes de Computadores
Segurança em Sistemas Baseados em Redes de ComputadoresSegurança em Sistemas Baseados em Redes de Computadores
Segurança em Sistemas Baseados em Redes de Computadores
 
Conceitos BáSicos Sobre SegurançA Parte 2
Conceitos BáSicos Sobre SegurançA Parte 2Conceitos BáSicos Sobre SegurançA Parte 2
Conceitos BáSicos Sobre SegurançA Parte 2
 
Pentest teórico
Pentest teóricoPentest teórico
Pentest teórico
 
Aps informatica
Aps informaticaAps informatica
Aps informatica
 
Segurança dos Sistemas Operativos
Segurança dos Sistemas OperativosSegurança dos Sistemas Operativos
Segurança dos Sistemas Operativos
 
A seguranca dos sistemas operativos
A seguranca dos sistemas operativosA seguranca dos sistemas operativos
A seguranca dos sistemas operativos
 
Como funcionam as ameaças da internet e o cybercrime
Como funcionam as ameaças da internet e o cybercrimeComo funcionam as ameaças da internet e o cybercrime
Como funcionam as ameaças da internet e o cybercrime
 
Sophos Endpoint - Ago/2013
Sophos Endpoint - Ago/2013Sophos Endpoint - Ago/2013
Sophos Endpoint - Ago/2013
 

More from Eduardo Santana

Fasciculo inf seg_redinf_semana4
Fasciculo inf seg_redinf_semana4Fasciculo inf seg_redinf_semana4
Fasciculo inf seg_redinf_semana4Eduardo Santana
 
Fasciculo inf segredes_unidade_3
Fasciculo inf segredes_unidade_3Fasciculo inf segredes_unidade_3
Fasciculo inf segredes_unidade_3Eduardo Santana
 
Fasciculo inf segredes_unidade_2
Fasciculo inf segredes_unidade_2Fasciculo inf segredes_unidade_2
Fasciculo inf segredes_unidade_2Eduardo Santana
 
Fascículo Sistema Operacional Linux
Fascículo Sistema Operacional LinuxFascículo Sistema Operacional Linux
Fascículo Sistema Operacional LinuxEduardo Santana
 

More from Eduardo Santana (11)

Fasciculo inf seg_redinf_semana4
Fasciculo inf seg_redinf_semana4Fasciculo inf seg_redinf_semana4
Fasciculo inf seg_redinf_semana4
 
Fasciculo inf segredes_unidade_3
Fasciculo inf segredes_unidade_3Fasciculo inf segredes_unidade_3
Fasciculo inf segredes_unidade_3
 
Fasciculo inf segredes_unidade_2
Fasciculo inf segredes_unidade_2Fasciculo inf segredes_unidade_2
Fasciculo inf segredes_unidade_2
 
Unidade2
Unidade2Unidade2
Unidade2
 
Unidade1
Unidade1Unidade1
Unidade1
 
Unidade O5
Unidade O5Unidade O5
Unidade O5
 
Unidade O4
Unidade O4Unidade O4
Unidade O4
 
Unidade O3
Unidade O3Unidade O3
Unidade O3
 
Unidade O2
Unidade O2Unidade O2
Unidade O2
 
Unidade O1
Unidade O1Unidade O1
Unidade O1
 
Fascículo Sistema Operacional Linux
Fascículo Sistema Operacional LinuxFascículo Sistema Operacional Linux
Fascículo Sistema Operacional Linux
 

Inf seg redinf_semana5

  • 1. Professor Conteudista: Dailson de Oliveira Fernandes PERNAMBUCO, 2010.
  • 2. CONTEÚDO PROGRAMÁTICO 5. Ferramentas de Proteção (Continuação) 5.1 Ferramentas de Proteção 5.1.1 Honeypot 5.1.2 Honeynet 5.1.3 VPN 5.1.4 Segurança em Profundidade 5.2 Ferramentas de Análise de Tráfego e Vulnerabilidades 5.3. Políticas de Segurança 5.3.1. Políticas 5.3.2. Instalação e Configuração Segura de Sistemas 5.3.3. Educação dos usuários 5.3.4. Equipes de administradores 5.3.5. Logs 5.3.6. Eliminação de protocolos sem criptografia 5.3.7. Políticas de backup e restauração de sistemas 5.3.8. Como manter-se informado 5.3.9. Precauções contra engenharia social 5.3.10. Uso eficaz de firewalls 5.3.11. Redes wireless 5.4. Segurança Física
  • 3. INTRODUÇÃO Olá pessoal! Na semana passada, continuamos a abordar ferramentas de se de proteção a sistemas computacionais. O foco maior foi a segurança em perímetros de rede. Foram citadas as seguintes ferramentas: • Proxy • Firewall + Proxy (ProxyWall) • Firewall de Rede • IDS – Intrusion Detection System • IPS – Intrusion Prevent System Vamos continuar a ver alguns métodos mais complexos de proteção de redes e algumas arquiteturas utilizadas em proteção de redes locais. Além disso, discutiremos sobre conexão de redes locais através de túneis virtuais (VPN). Também conheceremos ferramentas que identificam algumas vulnerabilidades, ou seja, você vai conhecer alguns métodos de como achar alguns problemas e sistemas e poder explorá-los. Mas não esqueça que você é será um Hacker na definição da palavra, você poderá achar as vulnerabilidades e deverá corrigi-las e não explorá-las. Mas adiante iremos abordar algumas políticas de segurança, segurança física da rede e um poderoso checklist de segurança. Ao final desta semana você será capaz de: • Conhecer diversas arquiteturas de segurança de rede; • Usar algumas ferramentas de exploração de falhas; • Conhecer as algumas ferramentas utilizadas em ataques a redes de computadores; • Instalar e usar algumas destas ferramentas; • Aplicar alguns dos tipos de políticas de segurança e aplicar no seu ambiente doméstico ou de trabalho. Sempre Alerta, O Inimigo está próximo...! Boa leitura!
  • 4. 5. Ferramentas de Proteção (Continuação) 5.1 Ferramentas de Proteção Finalizamos o capítulo 5 falando sobre os Sistemas de Detecção de Intrusos, os IDS e os IPS. Já sabemos a função de cada um deles e algumas maneiras de como eles podem ser instalados. Agora iremos conhecer mais algumas ferramentas que podem ser utilizadas em perímetros de redes. 5.1.1 Honeypot Honeypot = Pote de Mel Ferramenta de estudos de segurança, onde sua função principal é colher informações do atacante. Elemento atraente para o invasor, ou melhor, uma iguaria para um hacker. “Um honeypot é um recurso de rede cuja função é de ser atacado e comprometido (invadido). Significa dizer que um Honeypot poderá ser testado, atacado e invadido. Os honeypots não fazem nenhum tipo de prevenção, estes dispositivos fornecem informações adicionais de valor inestimável” Lance Spitzner - 2003 É um sistema que possui falhas de segurança reais ou virtuais, colocadas de maneira proposital, a fim de que seja invadido e que o fruto desta invasão possa ser estudado. A rede que é montada com essa intenção é chamada de Honeynet. Como os números de IP dessa rede não são divulgados e nem os serviços utilizados de forma real, os usuários só acham ela se utilizarem técnicas de varredura de IP utilizando softwares chamados de scanners de rede. 5.1.2 Honeynet Definição 1: uma Honeynet é uma ferramenta de pesquisa, que consiste de uma rede projetada especificamente para ser comprometida, e que contém mecanismos de controle para prevenir que seja utilizada como base de ataques contra outras redes. Definição 2: uma Honeynet nada mais é do que um tipo de honeypot. Especificamente, é um honeypot de alta interatividade, projetado para pesquisa e obtenção de informações dos invasores. É conhecido também como "honeypot de pesquisa" Uma vez comprometida, a honeynet é utilizada para observar o comportamento dos invasores, possibilitando análises detalhadas das ferramentas utilizadas, de suas
  • 5. motivações e das vulnerabilidades exploradas. Uma honeynet normalmente contém um segmento de rede com honeypots de diversos sistemas operacionais e que fornecem diversas aplicações e serviços. Também contém mecanismos de contenção robustos, com múltiplos níveis de controle, além de sistemas para captura e coleta de dados, e para geração de alertas. As principais funções de uma honeynet e honeypots são: • detectar ataques internos; • identificar varreduras e ataques automatizados; • manter atacantes afastados de sistemas importantes; • coletar assinaturas de ataques; • detectar máquinas comprometidas ou com problemas de configuração; • coletar código malicioso (malware). A Honeynet é uma rede que abriga os honeypots. Os honeypot são servidores reais (ou virtuais) que estão ali para capturar informações dos invasores. São servidores que tem IP real e todos os serviços configurados. Porém estes servidores têm “armadilhas” para pegar o invasor, pegar números de IPs, hora de acesso e comportamento. É uma rede completa, porém com a única intenção de atrair invasores e descobrir o que realmente eles querem. Como na verdade a rede mais acima está mais protegida, a honeynet é mais atrativa e com certeza os atacantes procurarão o que é mais fácil. Fonte: Eriberto Mota – http://hlbr.sf.net
  • 6. 5.1.3 VPN Rede Particular Virtual (Virtual Private Network - VPN) é uma rede de comunicações privada normalmente utilizada por uma empresa ou um conjunto de empresas e/ou instituições, construída em cima de uma rede de comunicações pública (como por exemplo, a Internet). VPNs seguras usam protocolos de criptografia por tunelamento que fornecem a confidencialidade, autenticação e integridade necessárias para garantir a privacidade das comunicações requeridas. Quando adequadamente implementados, estes protocolos podem assegurar comunicações seguras através de redes inseguras. Deve ser notado que a escolha, implementação e uso destes protocolos não é algo trivial, e várias soluções de VPN inseguras são distribuídas no mercado. Adverte- se os usuários para que investiguem com cuidado os produtos que fornecem VPNs. Por si só, o rótulo VPN é apenas uma ferramenta de marketing. Imagine que existe uma matriz e duas filias da empresa ABC em Pernambuco. A Matriz fica em Recife e as Filiais em Belo Jardim e Salgueiro. Através de uma VPN é possível ligar estas 3 filiais através da Internet (já que seria inviável puxar cabos de recife para Belo Jardim e Salgueiro). Os dados são protegidos e criptografados e virtualmente se cria um túnel na internet onde só passam dados da referida matriz e suas filiais. Acompanhe na figura abaixo: Note que a internet serve de estrutura para a VPN. Os dois servidores fecham o túnel, e o que passa por dentro desse túnel virtual está criptografado e protegido, sendo uma maneira barata e viável de interligar redes de empresas. Fonte: Conteudista As VPN são feitas utilizando protocolos seguros. Protocolos seguros são aqueles que provê Criptografia e Descriptografia de Dados. Os mais utilizados atualmente são: SSL (Secure Socket Layer) , TLS (Transport Layer Security) e IPSEC.
  • 7. Fique de Olho: Criptografia é uma maneira de embaralhar os dados para que seja incompreensível caso alguém o intercepte no meio do caminho. Criptografia será estudada na próxima semana. Fim boxe Saiba mais: Protocolo de Segurança IP (IP Security Protocol, mais conhecido pela sua sigla, IPSec) é uma extensão do protocolo IP que visa a ser o método padrão para o fornecimento de privacidade do usuário (aumentando a confiabilidade das informações fornecidas pelo usuário para uma localidade da internet, como bancos), integridade dos dados (garantindo que o mesmo conteúdo que chegou ao seu destino seja a mesma da origem) e autenticidade das informações (garantia de que uma pessoa é quem diz ser), quando se transferem informações através de redes IP pela internet. IPSec é um protocolo que opera sob a camada de rede (ou camada 3) do modelo OSI. Outros protocolos de segurança da internet como SSL e TLS operam desde a camada de transporte (camada 4) até a camada de aplicação (camada 7). Isto torna o IPsec mais flexível, como pode ser usado protegendo os protocolos TCP e UDP. Fim boxe 5.1.4 Segurança em Profundidade Uma boa prática de segurança de rede é de descentralizar serviços e fazer com que seus servidores e ferramentas de segurança fiquem em profundidade, ou seja, uma após a outra, fisicamente falando. A idéia de descentralizar serviços é se caso um servidor seu seja invadido, apenas um serviço seja comprometido. Veja o exemplo abaixo, uma arquitetura que jamais deverá ser feita.
  • 8. Note que existe apenas uma máquina para todos os serviços. Esta máquina além de sobrecarregada é totalmente vulnerável por ter diversos serviços instalados ao mesmo tempo e ainda mais é um ponto vulnerável crítico da rede, se esta máquina falhar, toda a rede e serviços ficarão fora do ar. Fonte: Conteudista Porém por economia existem diversas empresas fazendo este tipo de arquitetura. Outra idéia errônea é a de pensar em um serviço por máquina, porém são disponibilizados de forma errada, sem um perímetro de proteção em DMZ. Note que todos os servidores estão “de frente” com a internet, sem nenhuma proteção. Mesmo que cada um tenha um firewall individual instalado, essa arquitetura é desaconselhável. Fonte: Conteudista A melhor prática é a de construir perímetros de rede. Servidores na DMZ, sem acesso a rede local. A Rede local em outro perímetro, com acesso a DMZ e um ou mais firewalls controlando acesso e se possível com IPS e IDS monitorando o tráfego.
  • 9. Notem a defesa em profundidade. A Linha pontilhada delimita o perímetro protegido. A rede começa com o roteador, após o IPS HLBR, após o Snort IDS, após o Firewall, que segmenta a DMZ, logo após um Proxy e mais um IPS para monitorar as atividades do usuário. Fonte: Eriberto Mota – http://hlbr.sf.net Mais um exemplo de proteção em profundidade. Note que após o roteador temos o IPS HLBR, o Iptables (firewall), o Snort, logo após o Proxy Squid e dele parte a DMZ. Veja também que não existe somente proxy de http, veja que nessa arquitetura foi utilizado proxy para todos os serviços (Proxy DNS, Proxy SMTP, Proxy POP3...), criando assim mais uma camada de proteção e fazendo com que os servidores reais não tenham acesso direto dos clientes que vem da internet nem da rede local. Fonte: Eriberto Mota – http://hlbr.sf.net
  • 10. 5.2 Ferramentas de Análise de Tráfego e Vulnerabilidades Para um hacker prosseguir com um ataque ou uma invasão, mesmo que seja para fins de estudo, é necessário que ele levante algumas informações que são super importantes. Essa técnica de começar a levantar dados relevantes de um sistema é chamada de Footprinting ou Probing. Footprinting é a técnica utilizada pelos invasores para levantamento de informações ou perfil do alvo, o footprinting é um dos 03 instrumentos utilizados em um pré-ataque, os outros dois, são: varredura e enumeração. Através do footprinting o atacante poderá levantar desde alguns dados pessoais da vítima até perfil de redes, existem várias ferramentas utilizadas no levantamento de informações, o próprio google é um exemplo, existe ainda ferramentas como o whois, os sites archive.org e netcraft.com. Uma ferramenta bem fácil e a mão é o Nslookup ou o dig, ou seja, a ferramenta é utilizada para consulta de nomes de domínio nos servidores. Exibe informações que podem ser utilizadas para diagnosticar o Domain Name System (DNS), infra-estrutura e ajudar a encontrar endereços IP adicionais, registros de IP do servidor de email, e de outras máquinas. Sistemas Unix e Windows vêm com um cliente nslookup. Dados importantes que um Hacker quer levantar: • Quantas máquinas existem na rede • Qual a versão do Sistema Operacional de Cada uma • Quais os IPs dessas máquinas • Quais serviços estão rodando • Que portas TCP/UDP estão abertas • Se existe honeypots e honeynets 5.2.1 Varredura Esse passo o hacker vai usar programas que procura computadores ativos na rede através de ICMP (ping) e de portas aberta de serviços. É um dos passos mais importantes, pois aparte desse ponto a tentativa de invasão se tomar rumo distinto.
  • 11. 5.2.3 Enumeração Parte do trabalho de relacionar as portas abertas, versão de serviços. Um dos melhores programas para fazer tal tarefa é o nmap. Veja o resultado de um escaneamento simples do nmap apontada para uma máquina: MAC Address: 00:30:48:61:55:5C (Supermicro Computer) Device type: general purpose Running: Microsoft Windows 2003 OS details: Microsoft Windows Server 2003 SP1 or SP2 Network Distance: 1 hop TCP Sequence Prediction: Difficulty=250 (Good luck!) IP ID Sequence Generation: Incremental Service Info: OSs: Windows, Windows XP Host 192.168.10.201 is up (0.00s latency). Interesting ports on 192.168.10.201: Not shown: 967 closed ports PORT STATE SERVICE VERSION 21/tcp open ftp Microsoft ftpd 23/tcp open telnet Microsoft Windows XP telnetd 42/tcp open wins Microsoft Windows Wins 53/tcp open domain? 80/tcp open http Microsoft IIS webserver 6.0 88/tcp open kerberos-sec Microsoft Windows kerberos-sec 135/tcp open msrpc Microsoft Windows RPC 389/tcp open ldap 445/tcp open microsoft-ds Microsoft Windows 2003 microsoft-ds 912/tcp open ssl/vmware-auth VMware Authentication Daemon 1.10 (Uses VNC) 1433/tcp open ms-sql-s Microsoft SQL Server 2000 8.00.2039; SP4 2967/tcp open symantec-av? 3389/tcp open microsoft-rdp Microsoft Terminal Service 8222/tcp open http Microsoft IIS webserver 6.0 8333/tcp open ssl/http Microsoft IIS webserver 6.0 Note que é possível descobrir IPs, Service Pack instalado, Versão do Sistema Operacional, Portas TCP/UDP abertas e serviços disponibilizados. A partir deste ponto, o hacker prossegue com outras técnicas para tentar invadir o sistema. 5.2.4 Procura de falhas Aqui o hacker vai usar as informações da enumeração para identifica possíveis falhas nos serviços que estão rodando, eles usam também scanner de vulnerabilidades para esse tipo de ato. Na figura abaixo veja um diagrama de uma possível exploração e invasão.
  • 12. Note que há vários passos a serem tomados. Essa figura não é um diagrama definitivo, é apenas uma das idéias que se tem de como se prosseguem as invasões. Fonte Dr. Jack- www.invasao.com.br Saiba mais: Brute Force: uma das técnicas mais antigas de tentativas de invasão de um sistema é o ataque de força bruta. Consiste em “quebrar” (adivinhar) as senhas de um usuário utilizando todas as combinações possíveis. Este tipo de ataque é demorado, e requer um bom recurso computacional. XSS: também conhecido como CSS (Cross Site Scripting, facilmente confundido com Cascading Style Sheets) é uma vulnerabilidade muito comum encontrada em aplicativos web. XSS permite ao atacante inserir códigos maliciosos nessas páginas, para que sejam executados no momento em que tais páginas forem acessadas. Sniffing: é o procedimento realizado por uma ferramenta conhecida como Sniffer (também conhecido como Packet Sniffer, Analisador de Rede, Analisador de Protocolo, Ethernet Sniffer em redes do padrão Ethernet ou ainda Wireless Sniffer em redes wireless). Esta ferramenta, constituída de um software ou hardware, é capaz de interceptar e registrar o tráfego de dados em uma rede de computadores. Conforme o fluxo de dados trafega na rede, o sniffer captura cada pacote e eventualmente decodifica e analisa o seu conteúdo. O sniffing pode ser utilizado com propósitos maliciosos por invasores que
  • 13. tentam capturar o tráfego da rede com diversos objetivos, dentre os quais podem ser citados, obter cópias de arquivos importantes durante sua transmissão, e obter senhas que permitam estender o seu raio de penetração em um ambiente invadido ou ver as conversações em tempo real. O Termo Sniffer em inglês quer dizer “Farejar” e existem centenas de farejadores na internet. Desde programas específicos como Sniffers MSN, que só capturam todas as conversas de MSN de uma rede como até os mais generalistas como é o caso do WIRESHARK. Exploit: é um programa de computador, uma porção de dados ou uma seqüencia de comandos que se aproveita das vulnerabilidades de um sistema computacional – como o próprio sistema operacional ou serviços de interação de protocolos (ex: servidores Web). São geralmente elaborados por hackers como programas de demonstração das vulnerabilidades, a fim de que as falhas sejam corrigidas, ou por crackers a fim de ganhar acesso não autorizado a sistemas. Por isso muitos crackers não publicam seus exploits, conhecidos como 0days, e o seu uso massificado deve-se aos script kiddies (aqueles que pensam que são hackers). 0day (ZeroDay): é uma gíria do submundo hacker utilizada quando uma vulnerabilidade é descoberta e exploits são escritos mas os donos ou mantenedores do programa comprometido ainda não sabe dessa falha. Como os proprietários dos programas ainda não lançaram nenhum patch de correção e a vulnerabilidade continua disponível, para eles esse é o dia ZERO, o dia do ataque. Patch: “remendo em inglês” é uma correção, um programa (ou parte dele) que corrige uma falha de um sistema. Em sistemas operacionais como Linux e Windows esses patchs são baixados e instalados no sistema através do Windows Update ou o Update do Linux. A Microsoft também usa o termo Service Pack, quando ela lança uma grande quantidade desses programas que corrige falhas. Banner: Geralmente quando se quer saber a versão de um sistema operacional ou de um serviço, procuramos pelo Banner (algo como propaganda) do fabricante do Software. Geralmente um banner traz versão, marca e outras características do sistema. E é esses dados que interessam. Vejam exemplos de banners abaixo: OpenSSH 4.5p1 Debian 4.0 (protocol 2.0) Acima é possível ver a versão do SSH (um servidor de acesso remoto usado em linux), o sistema o qual ele está instalado “Debian” e a versão do protocolo “2.0” 220 <MailServer> Microsoft ESMTP MAIL service ready at <RegionalDay-Date-
  • 14. 24HourTimeFormat> <RegionalTimeZoneOffset> Acima um banner de um servidor de email da Microsoft. Já é possível saber que é Microsoft. Por eliminação é fácil deduzir que é um servidor Microsoft executando um servidor de email da Microsoft. Fim do boxe Fique de Olho: Existem na maioria dos programas recursos para esconder ou trocar o Banner padrão. Por exemplo, poderia colocar no servidor acima que ao invés de Microsoft ESMTP MAIL como Linux Postfix Mail Server, tentando enganar o invasor para que ele se atrapalhe na escolha de ferramentas para explorar vulnerabilidades. Este recurso de trocar ou esconder versões de sistemas é chamada de Segurança por Obscuridade e é totalmente desaconselhável. Não se deve confiar que um hacker não vá achar a versão verdadeira ou não irá achar um número de IP “difícil de ser encontrado”. Os programas que fazem testes em sistemas está em um nível muito mais avançado e técnicas não melhora nem provê segurança. Fim do Boxe 5.2.5 Que ferramentas os Hackers usa para poder descobrir vulnerabilidades? No tópico anterior citamos algumas como Sniffers, Exploits e Programas de Força Bruta. Para quem quer enveredar no mundo da segurança da Informação, é necessário que essas ferramentas sejam utilizadas e entendidas. Mas lembre-se que essas ferramentas podem ser utilizadas para o bem e para o mal. Como diz a campanha: “Use com moderação”. Abaixo, uma lista dividida em categorias de algumas as principais ferramentas:
  • 15. Fonte: Conteudista Fonte: Conteudista Fonte: Conteudista Fonte: Conteudista
  • 16. 5.3. Políticas de Segurança Além de ferramentas de segurança de computadores e de segurança de perímetros de rede, é necessário que outros itens sejam observados. Vale à pena lembrar que segurança não é igual a firewall ou IDS e IPS instalados. Segurança é todo um conjunto de medidas que devem ser tomadas em conjunto em prol da integridade de coisas que vão além dos dados. Uma segurança completa deve contemplar itens como as procedimentos, máquinas, as pessoas, as informações e a instituição. Vejam alguns itens que devem ser objeto de estudo e implantação em um ambiente seguro. 5.3.1. Políticas • elaboração de uma política de segurança, com apoio da administração da organização; • divulgação da política de segurança entre os usuários da rede; • elaboração e divulgação de uma política de uso aceitável (AUP). 5.3.2. Instalação e Configuração Segura de Sistemas a) Antes da instalação: • planejamento dos propósitos e serviços do sistema; • definição do particionamento do disco; • provisão de mídias e documentação necessárias à instalação. b) Durante a instalação: • escolha de uma senha forte para o administrador; • instalação do mínimo de pacotes, com o sistema fora da rede; • documentação da instalação no logbook (um livro ou arquivo onde você anota dados importantes) c). Após a instalação: • desativação de serviços instalados e não utilizados; • instalação de correções de segurança; • configuração do proxy Web, ajustando os controles de acesso. 5.3.4. Antes de conectar o sistema em rede: • verificação das portas TCP/UDP abertas, usando um comando como o
  • 17. netstat -a; • ajuste nas regras de firewall apropriadas, para liberar o tráfego para o novo sistema. 5.3.3. Educação dos usuários: • divulgação de documentos de educação do usuário, sobre segurança de redes, como por exemplo a "Cartilha de Segurança para a Internet", disponível em http://www.nbso.nic.br/docs/cartilha/. 5.3.4. Equipes de administradores: • criação de listas de discussão para a comunicação entre os administradores de redes e sistemas da organização; • estabelecimento de procedimentos e/ou instalação de ferramentas para controle de alterações na configuração dos sistemas; • estabelecimento de procedimentos e/ou instalação de ferramentas que permitam um controle sobre a utilização de contas privilegiadas (root e Administrador). 5.3.5. Logs: • habilitação do log em sistemas e serviços; • estabelecimento de um procedimento de armazenamento de logs; • instalação e configuração de um servidor de log centralizado; • estabelecimento de um procedimento de monitoramento de logs; • instalação de ferramentas de monitoramento automatizado e de sumarização de logs. 5.3.6. Eliminação de protocolos sem criptografia: • Usar de preferência protocolos de acesso remoto criptografado como o SSH. • substituição de POP3 e IMAP sem criptografia por soluções de email com criptografia (POP3 ou IMAP sobre SSL, Webmail sobre HTTPS). 5.3.7. Políticas de backup e restauração de sistemas: • definição da periodicidade dos backups; • definição dos dados que devem ser copiados;
  • 18. escolha de um local adequado para o armazenamento dos backups; • estabelecimento de um procedimento de verificação de backups; • estabelecimento de um procedimento para a restauração de sistemas a partir do backup. 5.3.8. Como manter-se informado: • inscrição nas listas e fóruns de anúncios de segurança dos fornecedores de software e/ou hardware; • inscrição nas listas de administradores e/ou usuários dos produtos usados na sua rede; • inscrição na lista de alertas de segurança do CERT/CC: http://www.cert.pt/modules.php?name=Your_Account&op=userinfo&uname=CE RT.CC 5.3.9. Precauções contra engenharia social: • treinamento de usuários e administradores contra possíveis tentativas de descoberta de informações sobre a rede da organização; • busca e remoção de documentos que contenham tais informações e que estejam disponíveis nos servidores de rede; • preservação de informações sensíveis ao solicitar auxílio em fóruns públicos na Internet. 5.3.10. Uso eficaz de firewalls: • escolha de um firewall que rode em um ambiente com o qual os administradores estejam acostumados; • instalação de firewalls em pontos estratégicos da rede, incluindo, possivelmente, firewalls internos; • uso de uma DMZ para confinamento dos servidores públicos; 5.3.11. Redes wireless: • definição de uma política de Uso da Rede Wireless; • posicionamento cuidadoso dos APs visando minimizar o vazamento de sinal; • uso de criptografia na rede; • mudança da configuração default dos APs (senhas, SSID, SNMP communities, etc);
  • 19. proteção dos clientes wireless (aplicação de patches, uso de firewall pessoal, antivírus, etc.); • monitoração da rede wireless. Fique de olho: Esta listagem foi adaptada de: http://www.cert.br/docs/seg-adm-redes/seg-adm-chklist.html Para ver a versão completa, acesse o site acima. Fim do boxe 5.4. Segurança Física Um dos itens que também deve ser observado é a segurança física da instituição. Se a segurança for apenas lógica como impedir que um invasor em potencial não tenha acesso físico a máquina ou a um firewall? Além de prover segurança lógica para todo o sistema computacional, uma empresa deve se preocupar com acesso físico, níveis de acesso a salas, computadores, setores e informações. Estatísticas do FBI (Serviço Secreto Americano) informam que 72% dos roubos, fraudes, sabotagens e acidentes são causados pelos próprios funcionários de uma organização. Outros 15% ou 20% são causados por terceiros ou consultores que foram formalmente autorizados a acessar as instalações, sistemas e informações. Apenas 5% a 8% são causados por pessoas externas da organização. Devem ser relevados itens como: • Controle de acesso físico com senhas, cartões magnéticos, biometria; • Monitoramento por câmeras; • Avaliação da segurança de grades, muros e portas; • Monitoração por uma empresa de segurança privada; • Guardas no local 24x7 (24 horas por dia nos 7 dias da semana); • Identificação dos funcionários através de crachás; Adotar Controles ambientais que contemplem planos de contingência para: • Fogo; • Explosivos; • Fumaça;
  • 20. Água; • Poeira; • Vibração; • Interferência Elétrica; • Falta de Energia. Elaborar um plano de emergência que contemple até catástrofes naturais como inundações e terremotos. O que fazer se todo um prédio onde fica o CPD (Centro de Processamento de Dados) de uma empresa pegar fogo? Ou se uma inundação queimar todos os computadores e ativos de rede? Se todas as fitas, CDs e DVDs de backup forem danificados? Além de cuidados com extintores, sistemas anti-incêndio tem que se pensar em replicar dados em locais fisicamente diferentes. Quem imaginaria que as duas torres do World Trade Center em Nova York iria ser alvo de um ataque terrorista? Muitos profissionais precavidos, mesmo sem imaginar que dois aviões destruiriam aqueles prédios, tinham backups de seus dados em outros locais. Após levantamento, criação de documentos, treinamentos dos funcionários e investimentos na área de segurança física e ambiental, cabe ao Security Officer e a sua equipe, fazer testes constantes de quebra de todos os itens de segurança, criando situações com pessoas contratadas ou com ajuda de alguns funcionários de sua inteira confiança. Estes tipos de testes visa provar os planos de contingência e saber se realmente o plano de segurança está funcionando. Mas não vá tocar fogo no prédio nem inundar salas pra ver se está tudo certo. OK??? RESUMO Um honeypot é uma ferramenta de estudos de segurança, onde sua função principal é colher informações do atacante. Uma Honeynet é uma ferramenta de pesquisa, que consiste de uma rede projetada especificamente para ser comprometida, e que contém mecanismos de controle para prevenir que seja utilizada como base de ataques contra outras redes. Uma VPN é uma rede de comunicações privada normalmente utilizada por uma empresa ou um conjunto de empresas e/ou instituições, construída em cima de uma rede de comunicações pública (como por exemplo, a Internet). Um dos protocolos mais utilizados em uma VPN é o IPSEC. O SSL e o TLS também são utilizados para criptografar dados. Uma das melhores práticas de segurança da informação é a de colocar servidores em profundidade.
  • 21. Uma das ferramentas iniciais um que um hacker usa para invasão é um sniffer de rede. Com esta ferramenta ele consegue realizar a técnica de Probing ou Footprinting. Footprinting é a técnica utilizada pelos invasores para levantamento de informações ou perfil do alvo, o footprinting é um dos 03 instrumentos utilizados em um pré-ataque, os outros dois, são: varredura e enumeração. Varredura: ação que procura computadores ativos na rede através de ICMP (ping) e de portas aberta de serviços. É um dos passos mais importantes, pois aparte desse ponto a tentativa de invasão se tomar rumo distinto. Enumeração: Parte do trabalho de relacionar as portas abertas, versão de serviços. Uma excelente ferramente para fazer Scaneamento e Probing de uma rede é o nmap. Uma das técnicas conhecidas de “descobrir” senhas é o Brute Force. Um dos ataques mais conhecidos é o XSS. O ataque XSS permite inserir códigos maliciosos em páginas web, para que sejam executados no momento em que estas páginas forem acessadas. 0day (ZeroDay): é uma gíria do submundo hacker utilizada quando uma vulnerabilidade é descoberta e exploits são escritos mas os donos ou mantenedores do programa comprometido ainda não sabe dessa falha. Como os proprietários dos programas ainda não lançaram nenhum patch de correção e a vulnerabilidade continua disponível, para eles esse é o dia ZERO, o dia do ataque. Vale a pena lembrar que segurança não é igual a firewall ou IDS e IPS instalados. Segurança é todo um conjunto de medidas que devem ser tomadas em conjunto em prol da integridade de coisas que vão além dos dados. Uma segurança completa deve contemplar itens como as procedimentos, máquinas, as pessoas, as informações e a instituição. Toda empresa deve investir em Políticas de Segurança e segui-las rigorosamente. Dentre muitos itens de uma políticas de segurança, devemos estar cientes de: • Procedimentos de instalação (Antes, durante e depois da tarefa); • Educação dos usuários; • Regras para uso da internet; • Função da equipe de administradores • Leitura dos Logs; • Eliminação dos protocolos sem criptografia
  • 22. Políticas de Backup; • Políticas de Restauração de backups; • Uso de Firewalls; • Uso da rede wireless A Segurança Física é um ítem que deve ser observado e praticado pelas empresas. Faz parte da Segurança Física, cuidados específicos com: • Fogo; • Explosivos; • Fumaça; • Água; • Poeira; • Vibração; • Interferência Elétrica; • Falta de Energia.
  • 23. Referências bibliográficas: Alguns textos deste capítulo tem a seguinte referência: “Texto extraído da Cartilha de Segurança para Internet, desenvolvida pelo CERT.br, mantido pelo NIC.br, com inteiro teor em http://cartilha.cert.br” Lista de Ferramentas, Compilada originalmente por Luis Vieira – Lista origninal em: http://www.vivaolinux.com.br/artigo/Ferramentas-de-seguranca-uma-pequena- compilacao/ http://www.cert.br/docs/seg-adm-redes/seg-adm-chklist.html http://drkmario.blogspot.com/2005/08/o-que-um-honeypot.html http://www.cert.br/docs/whitepapers/honeypots-honeynets/ http://www.invasao.com.br/2009/07/31/footprinting-seguranca-da-informacao/ http://under-linux.org/b144-footprinting http://imasters.uol.com.br/artigo/9879/seguranca/xss_-_cross_site_scripting/ http://www.ccuec.unicamp.br/revista/infotec/admsis/admsis8-1.html http://epx.com.br/artigos/openvpn_ipsec.php http://www.cert.br/docs/seg-adm-redes/seg-adm-chklist.html Fernandes, Dailson. Análise do sistema de detecção de intruso reativo HLBR - Hogwash Light Brasil como IPS para a Segurança em Redes de Computadores. Monografia – Universidade Católica de Pernambuco - 2007 Santos, Bruno. Detecção de intrusos utilizando o Snort. Monografia de Pós- Graduação. Monografia - Universidade Federal de Lavras, Lavras - MG, 2005. Cartilha de Segurança da Internet, http://nic.br , http://cert.br e http://cartilha.cert.br Araújo, André Bertelli - Filho, João Eriberto Mota “HLBR – O Emprego de uma bridge como IPS para a segurança em redes de computadores” - http://www.eriberto.pro.br , http://bertelli.name Ferreira, Fernando Nicolau Freitas – Segurança da Informação. Editora Ciência Moderna. 1ª Edição.