118008030 seguranca-de-redes-de-computadores

10/27/2014 1

SEGURANÇA EM

REDES DE COMPUTADORES

Claudio C. [email protected]

Sales Manager

www.nidforensics.com.br

mailto:[email protected]

Agenda

Conceitos de Conectividade

Antologia de um Ataque

Principais Ameaças

Sugestões de Implementações de Redes Seguras

Identificando os Volões

Conceitos Básicos de Segurança

Agenda

SEGURANÇA EM REDES DE COMPUTADORES

Certa vez ao participar de um Seminário um palestrante disse:

Como as empresas vêm a Segurança:

o quando tudo vai bem, ninguém lembra que existe;

o quando tudo vai mal, dizem que não existe;

o quando é para investir, não é preciso que exista;

o Entretanto, quando realmente não existe, todos afirmam que

deveria existir!

SegurançaÉ estar livre de perigos e incertezas.

AtivoÉ tudo aquilo que possui valor para uma organização.

IMPORTANTE:Não existe segurança absoluta!Por mais que medidas sejam tomadas, jamais conseguiremos endereçartodo o arcabouço de situações passiveis de prejuízo.


Tríade de Segurança

Um recurso ou informação pode ser considerado seguro

quando tem preservadas as suas premissas de confidencialidade,

integridade e disponibilidade.


Confidencialidade - propriedade que limita o acesso a informação tãosomente às entidades legítimas, ou seja, àquelas autorizadas peloproprietário da informação.

Integridade - propriedade que garante que a informação manipuladamantenha todas as características originais estabelecidas peloproprietário da informação, incluindo controle de mudanças e garantiado seu ciclo de vida (nascimento,manutenção e destruição).

Disponibilidade - propriedade que garante que a informação estejasempre disponível para o uso legítimo, ou seja, por aqueles usuários

autorizados pelo proprietário da informação.

Princípios Fundamentais


Conceitos Básicos de Conectividade

Conceitos Básicos de Segurança

Autenticação e Identificação: Garantir que a origem de uma informaçãoseja corretamente identificada, mediante autenticação.

Não-repudiação: Garantir que a origem e o destino de uma informaçãonão a repudiem durante os processos de transmissão.

Controle de Acesso: Garantir que o acesso a informação seja controladopelo sistema que a hospeda ou transmite.


Exemplos de quebra do CID que vemos ou ouvimos no dia a dia?

Confidencialidade: alguém obtém acesso não autorizado ao seucomputador e lê todas as informações contidas na sua declaração deImposto de Renda;

Integridade: alguém obtém acesso não autorizado ao seu computador ealtera informações da sua declaração de Imposto de Renda, momentosantes de você enviá-la a Receita Federal;

Disponibilidade: o seu provedor sofre uma grande sobrecarga de dados ouum ataque de negação de serviço e por este motivo você ficaimpossibilitado de enviar sua declaração de Imposto de Renda à ReceitaFederal.

A respeito dos Ativos temos as seguintes Classificações:

Tangíveis

• Informações impressas ou digitais; Impressoras; Móveis e utensílios; Estações de trabalho

Intangíveis

• Imagem de uma empresa; Marca de um

• produto; Confiabilidade de um órgão federal; Confiabilidade de um site


A respeito dos Ativos temos as seguintes Classificações:

Lógicos

• Sistemas Especialistas ou Corporativos); Rede

• VoIP; Dados armazenados em servidores..

Físicos

• Notebook; Ar-Condicionado; Cabos; Access Point...

Humanos

• Empregados; Prestadores de Serviços; Clientes;

• Fornecedores...


Rapidamente a cerca dos ATIVOS temos as seguintes PROTEÇÕES:

Lógicos

• Perfis de usuários; Permissões em sistemas de arquivos;

• Configuração de switchs, routers, firewalls...

Físicos

• Portas; Fechaduras; Chaves; Guardas; Sistemas CFTV...

Humanos

• Procedimentos; Políticas, Normas...


Conceitos básicos de segurança - Termos e definições

• Valor: Importância do ativo para a organização.

• Ameaça: Evento em potencial, que traz danos diretos aos ativos ou prejuízos decorrentes de situações inesperadas.

• Vulnerabilidade: Pode ser definida como uma falha no projeto, implementação ou configuração de um software ou sistema operacional que, quando explorada por um atacante, resulta em prejuízo para organização.

• Impacto: Tamanho do prejuízo.

• Risco: Medida que indica a probabilidade de uma ameaça se concretizar, combinada com os impactos que ela trará.


Identificando os vilões?

• Qualquer usuário é passível de causar danos ou negar serviços a redes, seja por meio de seus erros ou devido a fragilidade das instalações.

• Existem varias denominações para os vilões, mas a mídia falada e escrita atribui as ações aos hackers ou criminosos cibernéticos.

• Podemos dizer que hackers são: aqueles que utilizam seus conhecimentos para invadir sistemas, sem o intuito de causar danos às vítimas, apenas para demonstrar suas habilidades.


Identificando os vilões?

Existem varias classificações, vamos a uma delas:

• Script kiddies: Iniciantes; • Cyberpunks: mais velhos; • Insiders: empregados insatisfeitos, ex-funcionários, prestadores de serviços...; • Coders: os que escrevem sobre suas proezas; • White hat: profissionais contratados; • Black hat: ckackers; • Gray hat: que vivem no limite entre o bem e o mal.


Qual o tipo de vilão que nos interessa?

•Script kiddies: Geralmente são inexperientes e novatos, usam ferramentas publicadas na Internet, e colocam em risco as organizações que não tem uma política de segurança definida e aplicada.

•Insiders: São os responsáveis por causar maiores danos a organização, a eles, são atribuídas a espionagem industrial, alterações cadastrais, acesso a informações sigilosas, alterações em código fonte de sistemas, etc...



Atenção aos Insiders!

Deve-se dar importância aos ataques originados a partir da própria rede: • Qual a vantagem deles em relação aos outros? • Tempo; • Relativamente confiáveis. • Quais questões devemos observar? • Insatisfação com a empresa; • Insatisfação com o superior; • Espionagem; • Suborno.


Antologia de um Ataque O que é um Ataque?

No jogo de xadrez – é o caminho pelo qual exploramos uma fraqueza ou vulnerabilidade em uma determinada posição.

Em informática – é a tentativa, bem ou mal sucedida de acesso ou uso não autorizado a um programa ou computador.

A 2500 anos atrás um chinês escreveu: “...um comandante militar deve atacar onde o inimigo está desprevenido e deve utilizar caminhos que, para o inimigo, são inesperados...” “...se você descobrir o ponto fraco do oponente, você tem que afetá-lo com rapidez...” “... Se o inimigo deixa uma porta aberta, precipitemo-nos por ela...”


Como ocorrem a exploração das vulnerabilidades?

Através de mecanismos de invasão. Que podem ser: • Engenharia Social – É a técnica que explora as fraquezas humanas e sociais.

• Invasão Técnica – As invasões técnicas exploram deficiências na concepção, implementação, configuração ou no gerenciamento dos serviços e sistemas.




O que é necessário para que se tenha sucesso ao se realizar um ataque? • Conhecer o Alvo; • Obter Informações; • Avaliar qual o objetivo que se pretende, ou seja: • Causar a indisponibilidade - Disponibilidade; • Colher informações - Confidencialidade; • Modificar as informações - Integridade; • Criar novas informações – Autenticação, Controle de Acesso e Integridade.



Segundo Stallings, William existem 4 (quatro) categorias de ataques, a saber: • Interceptação; • Interrupção; • Modificação; • Fabricação. • Sendo o primeiro chamado de ataque passivo e o restante de ataque ativo. • Que software e qual técnica ou categoria você usaria para capturar as informações em uma rede segmentada por switch?

ORIGEM

FLUXO NORMAL DE TRANSMISSÃO

A DD O S

ORIGEM A DD O SINTERRUPÇÃO

ORIGEM A DD O S ORIGEM


INTERCEPTAÇÃO

D O S

ORIGEM

ORIGEM




ORIGEM A DD O S ORIGEM

MODIFICAÇÃOE



ORIGEM ORIGEMACESSO A DADOS

RETORNO DOS DADOS

INSERE DADOSFABRICAÇÃO

Principais Ameaças 10 Principais Ameaças

Ataques Internos

Falta de Contingência

Configuração Inadequada

Despreocupação com as redes de hotéis e quiosques

Utilização Imprudentes das Redes sem Fio

Dados perdidos armazenados em dispositivos portáteis

Negação de serviços em servidores Web

Uso Indevido da Internet pelos Funcionários

Mensagens Maliciosas

Exploração automatizada de vulnerabilidades conhecidas

Segundo a “Verizon's Intrusion ResponseTeam” as 10 (dez) maiores ameaças de segurança nas organizações de pequeno e médio porte.


Principais Ameaças

• Códigos Maliciosos (Malware) É um termo genérico que abrange todos os tipos de programa especificamente desenvolvidos para executar ações maliciosas em um computador.

Alguns exemplos de malware são: vírus; worms e bots; backdoors; cavalos de tróia; keyloggers e outros programas spyware. • Negação de Serviço (Denial of Service) Consiste no uso de um computador para tirar de operação um serviço ou computador conectado a rede. • DDoS (Distributed Denial of Service) Constitui um ataque de negação de serviço distribuído, ou seja, um conjunto de computadores é utilizado para tirar de operação um ou mais serviços ou computadores conectados a rede.


KingdomSecurity.ppt

KingdomSecurity.ppt

Explorando as vulnerabilidades das camadas do meio




Qual a importância desses conceitos para a implementação segura de switchs na camada 2 e routers na camada 3?

A importância diz respeito ao projeto como um todo, ou seja, énecessário um projeto físico (camada 1 e 2) e lógico (camada 2 e3) adequado, para suportar o estabelecimento de políticas eferramentas de segurança (camadas 1 a 7) que mantêm omonitoramento de todo sistema com o intuito de mitigar asvulnerabilidades e reduzir os riscos de um ataque.



Relembrando das 10 ameaças temos:

• Ataques Internos: São bem sucedidos devido a configurações inadequadas dos equipamentos, política inadequada quanto ao uso de senhas, falta de classificação quanto a informação e auditória de navegação nos sistemas corporativos.

• Falta de Contingência: Inexistência de planos de continuidade do negócio, plano de recuperação e desastre e até mesmo sistemas automatizados de backup.

• Configuração Inadequada dos Equipamentos: Desconhecimento das melhores práticas para implementação dos equipamentos de rede, seja pela contração de funcionários desqualificados, e/ou ausência de conhecimento da solução (Appliances de Segurança na configuração padrão.

• Despreocupação com as redes de hotéis e quiosques: Políticas e ferramentas de seguranças inadequadas, que permitem o funcionários desabilitá-las quando estão fora da organização.


Quais são as principais vulnerabilidades e ataques na camada 1: As vulnerabilidades na camada física ocorrem em virtude das instalações inadequadas e/ou acesso não monitorado as áreas criticas. No nível 1 as formas de acesso usadas numa determinada rede ou ligação dependem significativamente do meio físico.



Quais são as principais vulnerabilidades e ataques na camada 1: • O uso de meios físicos como cabos de cobre, são relativamente fáceis de derivar, desvia, escutar, interromper ou danificar. • As fibras são frágeis e portanto, fáceis de danificar ou interromper. • Os meios ópticos sem fio (laser ou infravermelhos) são sensíveis às condições de propagação. • Nas redes sem fio o próprio meio de transmissão é sensível a ruídos e extremamente vulnerável ao espectro do sinal, que pode ser compartilhado com equipamentos distintos.




Quais são os principais ataques na camada 1 : • Escuta = Interceptação = Probe = Snnifer

Existem vários tipos dos quais os mais comuns são: • Por derivação no meio físico (wire tapping); • Por derivação nos conectores; • Por leitura de radiação eletromagnética emitida pelos cabos; • Por escuta do espectro de onda para equipamentos sem fio (radioelétrico).



Quais são os principais ataques na camada 1: • Bloqueio = Interrupção Normalmente através da ruptura do meio físico de forma intencional, como por exemplo:

• Corte nos cabos de cobre ou fibra; • Emissores de ruídos eletromagnéticos; • Interposição de obstáculos entre o transmissor e o receptor no caso das redes sem fio.

• Desvio = Modificação Alterar o caminho da ligação entre o equipamento emissor e o receptor normalmente com o intuito de acesso aos dados ou a recursos de telecomunicações.



Quais são as principais vulnerabilidades e ataques na camada 2 e camada 3:

Protocolo ARP; Protocolo DHCP; MAC Flooding; MAC Spoofing; DoS no servidor DHCP; Spoofing de identidade do cliente DHCP; Rogue DHCP Server; Ataque de negação no STP; Ataque de manipulação do STP; ARP Spoofing/ ARP Poisoning; Packet Storm; Worm Outbreak; P2P Abusing; Main in the Middle...;



Quais são os principais ataques nas camada 2 e 3:

• Protocolo ARP: Armazena os endereços nas tabelas ARP dos equipamentos do tipo switchs, routers, switch routers com o intuito de reduzir o tráfego de dados rede, no entanto, essa tabelas podem ser alteradas.

• Protocolo DHCP: Inexistência de mecanismo confiável na distribuição de seus endereços lógicos (IP, Gateway e DNS), devido a falta de autenticação e confidencialidade no seu processo, dessa forma, qualquer cliente com acesso físico a rede (cabeada ou sem fio) pode fazer solicitações de DHCP. Durante o processo de distribuição os dados podem ser capturados perdendo-se a confidencialidade.


Explorando as vulnerabilidades das camada 2 e camada 3 do modelo OSI

Quais são os principais ataques nas camada 2 e 3: • MAC Flooding: É um típico ataque de negação de serviço (DoS) decorrente da limitação na tabela CAM (Content Addressable Memory) de alguns switchs.

O switch pode ser inundado com falsos e inúmeros endereços MAC provocando sua mudança para o modo de recuperação e falhas, no qual, ele faz um brodcast para todas as portas, como se fosse um hub, tornando o segmento extremamente lento e/ou não repassar os quadros aprendidos para as suas portas e demais segmentos.


Quais são os principais ataques nas camada 2 e 3: • MAC Spoofing : É um ataque destinado a tabela CAM (Content Addressable Memory) de alguns switchs.

Consiste no redirecionamento dos quadros destinados a um host confiável da rede para a porta no qual o atacante esta conectado. O atacante assume o endereço MAC do host confiável, de tal forma, que os quadro são endereçados a ele.

• Negação de serviço (DoS) no servidor DHCPÉ destinados a servidores DHCP configurados para usar faixas de endereçamentos especificas, dessa forma, um atacante pode gerar vários pedidos dentro de uma determinada faixa, esgotando assim a quantidade IPs destinados a faixa.




Quais são os principais ataques nas camada 2 e 3: • Spoofing de identidade do cliente DHCP

É quando o atacante modifica seu MAC para um MAC válido com a finalidade de enganar o servidor DHCP e então recebe um endereço IP, passando dessa forma, a ser um host válido na rede. Esse ataque é realizado nas instalações onde o servidor DHCP tem cadastrado os MAC que podem receber IPs.

• Rogue DHCP Server É o ataque que consiste na inserção de um servidor falso para a distribuição de DHCP. Muitas vezes esse ataque ocorre de forma acidental, no entanto, intencional ou não, sua ação é desastrosa e pode ocasionar a indisponibilidade dos usuários se autenticarem a rede. É possível quando intencional, que o atacante controle vários hosts da rede.


Quais são os principais ataques nas camada 2 e 3:

• Ataque de negação no STP Explora a ausência de autenticação no protocolo STP, dessa forma, é feito uma ataque de negação de um nó (switch, bridgeou switch router) via inundação ou difusão forçando o STP a recalcular a o caminho entre os segmentos de rede.

• Ataque de manipulação do STP O atacante faz com que o tráfego de um segmento da rede obrigatoriamente passe por sua estação entre o segmento de acesso ao núcleo da rede. A inclusão da estação entre o segmento só é possível devido a funcionalidade do próprio STP.




Quais são os principais ataques nas camada 2 e 3: • ARP Spoofing (ARP flooding) / ARP Poisoning

É o ataque que encaminha informações falsificadas sobre os endereçamentos IPs enganando os hosts com relação ao MAC de um destino. Dessa forma é possível receber o tráfego destinado a um host válido da rede.

• Packet StormSão inundações ou broadcast para todas as portas de um switch, seja com o uso de softwares que propagam o ataque, ou pelo simples fato de fecharmos um loop local no switch de acesso a rede.



Quais são os principais ataques nas camada 2 e 3: • Main in the Middle

É uma variante sofisticada do ARP Spoofing / ARP Poisoning, o atacante intercepta os pacotes destinados a outro host de forma silenciosa, tipicamente gateways ou portas de up-link. A finalidade é descobrir senhas, modificar pacotes ou mesmo desviar o fluxo do tráfego da rede.

• P2P AbusingSoftwares deste tipo geralmente trabalham na porta UDP e podem congestionar a rede local, além de tornar o tráfego no link WAN sobrecarregado.


O que são implementações seguras? São especificações e configurações que podem ser feitas no intuito de mitigar o risco de ataque as vulnerabilidades. O projeto deve ser pensado como um todo, de forma a atender os requisitos de negócio. É importante lembrar que a Tecnologia da Informação é o mecanismo para garantir o sucesso do negócio.

Implementações seguras de Redes



Sugestões quanto a especificações e na camada física:Verificar as fragilidades quanto aos requisitos físicos para a escolha

correta da tecnologia; • Evitar soluções com meio físico compartilhado, caso use, contemple os requisitos de segurança. Exemplo: soluções em anel, soluções em redes sem fio... • Usar soluções redundantes com tecnologias distintas na camada física.

Exemplo: No caso das redes LANs é possível contemplar o acesso por rede cabeada e sem fio; No caso das ligações WAN é possível o uso de conexões por fibra, radio, satélite ou sem fio;

• Contemplar caminhos físicos redundantes, ou seja, via rotas distintas;

• Assegurar, a quem de direito, o acesso aos recursos físicos, sejam estes: cabos, racks, pontos de acesso fixo ou móvel, acesso aos equipamentos, etc...;



Sugestões quanto a especificações e na camada física:

Em termos de transmissão é possível o uso de scrambling, que consiste na alteração reversível da informação transmitida (mecanismos de codec e decoder);

Documentar e atualizar todas as ligações físicas; Manter ligados somente os pontos com

equipamentos conectados;

Inibir a troca de equipamentos entre pontos distintos;

Restringir e monitorar o acesso as salas com equipamentos de comunicação e servidores;

Realizar auditorias periódicas que contemplem a inspeção visual a todos os componentes da LAN.



Sugestões quanto a especificações e nas camadas de enlace e rede: • Manter sempre atualizado o firmware/software dos equipamentos de rede; • Alterar sempre a configuração padrão dos equipamentos de rede; • Manter as portas não usadas desabilitadas; • Desabilitar ou restringir o uso a serviços ou acesso a gerência/configuração dos equipamentos; • Usar criptografia quando possível;


Sugestões quanto a especificações e nas camadas de enlace e rede: • Prefira topologia em estrela, estrela estendida (arvore) com redundância em núcleo, distribuição e acesso; • Prefira tecnologias comutadas; • Usar ferramentas para detecção e isolamento de “maquinas mal comportadas”; • Usar ferramentas para detecção e isolamento de interfaces em modo promiscuo; • Usar a segmentação de LAN, separando por zonas sensíveis ao negócio ou ao perfil de acesso;



Sugestões quanto a especificações e nas camadas de enlace e rede:

• Usar VLANS, que permitam a flexibilidade na criação e isolamento de grupos de maquinas. Exemplo: usuários, clientes, suporte técnico de fornecedores, servidores, e até por aplicações;

• Usar o controle de acesso de forma ampla, mantendo os logsatualizados com informações de acesso físico e lógico aos equipamentos de rede, servidores e backbone;

• Usar equipamentos que implementem soluções agregadas de controle de acesso a rede (NAC), detecção de probe e dhcp rogue.


Obrigado!Qual a sua dúvida?

118008030 seguranca-de-redes-de-computadores

Documents