redes -aula_7_-_seguranca
Post on 21-Mar-2017
4 Views
Preview:
TRANSCRIPT
Redes ‐ Aula 7SEGURANÇA DE REDE
Prof. Rodrigo Coutinho
Segurança de redes ‐ Cenári o
• Popularização do uso de redes– Intercâmbio de acesso
– Mobilidade
– Sistemas distribuídos
• Redes se tornam maiores, mais complexas e com maior volume de dados
• Os sistemas operacionais são naturalmente inseguros– Até o Linux começa a ser alvo de mais ataques
Segurança da rede
• A complexidade das redes alimenta as vulnerabilidades
• Todos se importam com a segurança– Mas ela ainda está abaixo de usabilidades e funcionalidades
• Mercado competitivo com pouca penalização a bugs– Ninguém assume responbilidade em sistemas de múltiplas
empresas
– Bugs e vulnerabilidades são comuns, esperadas
– Nova versão (com mais segurança) = Mais lucro
Segurança de redes ‐ Cenári o
• Pesquisa de segurança FBI‐CSI 2008– Pesquisa realizada com diversas empresas americanas dos mais
variados portes
– 517 empresas responderam em 2008
• Resultados– Mais de 50% das empresas destinam menos de 5% do orçamento de
TI em segurança
– Apenas 68% das empresas possuem política de segurança da informação formalizada
– 52% investem menos de 1% do orçamento de segurança em treinamentos dos funcionários
FBI/CSI 2008 – Result.
– 60% das empresas não terceirizam qualquer parte da segurança da informação, e outros 27% terceirizam menos de 20%
– 46% das empresas tiveram incidentes de segurança em 2008
– Maioria dos prejuízos vem de ataques externos (51% disseram que os incidentes não envolviam funcionários)
– Tipos de incidente mais encontrados:
– Vírus (50%); Roubo de laptop (42%); Abuso de funcionário (44%); Denial of Service (21%)
– Tecnologias de prevenção/defesa mais usadas:
– Antivirus (97%); Firewalls (94%); VPN (85%) Anti‐spyware (80%); IDS/IPS (69%); filtro de URL (65%)
Resultados naci onai s
– 10ª Pesquisa Nacional de Segurança da informação – 2007
– Amostra: 600 questionários
– Problemas que geraram perdas financeiras:
– Vírus (15%); Spam (10%); Roubo laptop (8%); Vazamento de informações (7%)
– 22% nunca fizeram e 39% fazem irregularmente análise de riscos na TI
– Em 65% das empresas não há um procedimento formal de análise de riscos
– Apenas 18% dos funcionários são plenamente capacitados
– Apenas 30% das empresas investem mais de 5% do orçamento de TI em segurança
Segurança de rede
• Importância– Proteção do patrimônio (informação)
– Credibilidade
– Vantagem competitiva
• Níveis de segurança– Baseados no custo x benefício
• Análise de risco– Identifica valores, vulnerabilidades, ameaças, contra‐medidas, etc
• Políticas e procedimentos– Políticas: normas formais, geram o quê e porquê
– Procedimentos: modus operandi
Segurança de rede – conceitos base
• Autenticação – validar identidade do usuário
• Controle de acesso – nível de autorizações
• Não‐repúdio – impedir que seja negada a autoria ou ocorrência de um envio ou recepção de informação
• Confidencialidade – descoberta não autorizada
• Integridade – alteração não autorizada na informação
• Disponibilidade – acesso à informação
Ameaças e ataques
• Vulnerabilidade– Ponto fraco inerente à natureza do sistema
– Brecha: ponto fraco ou falho que pode ser explorado
• Ameaça– Algo que afete o funcionamento da rede, comprometendo sua
operação, disponibilidade ou integridade
• Ataque– Modo utilizado para explorar determinada vulnerabilidade
• Contra‐medidas– Métodos de defesa dos ataques
Vulnerabi li dades ‐ Ori gens
• Falha no projeto de hardware ou software– Situações não previstas, bugs, etc
• Implementação incorreta– Má proteção física dos equipamentos
– Equipe despreparada para instalação
• Falta de gerenciamento/monitoramento– Os dados existem, mas ninguém os verifica
Pri ncip ai s ameaças
• 10ª Pesquisa Nacional
• Funcionários (24%)
• Hackers (20%)
• Vírus (15%)
• 21% das empresas não conseguem identificar os responsáveis
Ataques
• Interrupção (disponibilidade)– Informação não chega ao seu destino
• Interceptação (confidencialidade)– Informação chega ao destino e também a um outro destinatário não
autorizado
• Modificação (integridade)– Informação faz pit‐stop e é alterada antes de chegar ao destino
• Fabricação (Autenticidade)– Origem se passa por outra máquina para enviar informação ao
destinatário
Segurança de host• Sistemas são naturalmente inseguros
• Atacantes encontram bugs novos a cada dia– Fabricantes de software aprimoraram a velocidade dos fixes
• Usuários, entretanto, não instalam os patches de segurança com a rapidez necessária.
• Razão principal: Confiabilidade;
Hardeni ng
• Protegendo contra incidentes nos hosts– Restringir ferramentas administrativas
– Remover softwares desnecessários
– Remover pastas compartilhadas desnecessariamente
– Desativar portas USB
– Controlar permissões de arquivo
– Usar grupos de usuários para conceder apenas as permissões necessárias (Ex. Admin x Power User)
– Logar informações de segurança
– Remover usuários e contas inativos
– Antivírus, Patches
– Uso de firewall no host (opcional)
Gerenci amento de senhas
• Primeira linha de defesa contra invasores
• Usuários utilizam login e senha para acessar sistemas– Senhas normalmente armazenadas criptografadas
– Arquivos de senha normalmente protegidos
• Estudos indicam que usuários normalmente escolhem senhas de fácil adivinhação
• Para diminuir essas ocorrências, algumas medidas são usadas para incentivar usuários a usar senhas mais fortes
Gerenci amento de senhas
• Guias para senhas seguras– Ter um tamanho mínimo (geralmente 6 ou 8 caracteres)– Usar sempre letras maiúsculas, minúsculas e números– Não usar palavras comuns– Não usar datas de nascimento
• Maneiras de assegurar o uso de senhas seguras– Educação dos usuários – pouco eficaz– Geração por computador – baixa aceitação de usuários; difícil de
decorar– Verificação reativa – rodar ferramentas periodicamente para
verificar se há senhas inseguras na rede. Pouco prático– Verificação proativa – Sistema verifica aceitabilidade; próprio
usuário escolhe a senha.
Patches
• Problemas da auto‐instalação de patches– Problemas com confiabilidade
• Patches não podem ser testados tanto quanto uma nova versão
• Conflitos entre patches
• Instalar automaticamente.... Em uma máquina crítica?
– Ataques podem ser direcionados a um fornecedor
– Muitas vezes, a melhor política é o workaroung• i.e. desabilitar determinada funcionalidade até que o patch esteja estável
Servi ços vulnerávei s
• Muitos ataques exploram serviços vulneráveis
• Soluções– Bloquear requests àquele serviço
• Identificados por protocolo, porta
• Ineficaz para novos serviços ou serviços em portas alternativas
– Permitir apenas serviços essenciais e específicos• Bloqueia serviços novos ou maléficos
• Serviços maléficos inteligentes podem se esconder
Bloquei os
• Descarte– Silencioso
– Interessante para pacotes maliciosos• Não utiliza recursos desnecessariamente
• Não expõe informações internas
• IP de origem normalmente é vítima de Spoof
• Rejeição– Melhor se a conexão for legítima
Bloquei o em TCP/IP
• Bloqueio de incoming requests de TCP– Lembrete: 3‐way handshake é iniciado pelo cliente
• Exceção: servidor FTP é quem inicia a conexão de dados
– Clientes internos iniciam da rede interna
– Atacantes iniciam conexões de fora
– Destino responde ao SYN do cliente com um SYN+ACK• Solução: Bloquear pacotes SYN que não tenham SYN+ACK
– Exceção: Servidores públicos (www, smtp, etc)• Separar em outra subrede, com DMZ
Bloquei o em TCP/IP
• Bloqueio de incoming requests de UDP/ICMP– Lembrete: UDP não é orientado à conexão
– Pode usar endereços IP spoofed
– Aplicações UDP são normalmente request/response• Não há flag request/response no datagrama UDP
– Soluções• Bloquear todo tráfego UDP
• Permitir apenas para algumas aplicações específicas
Softwares Mali ci osos
• Grande volume de ataques é baseada em características de TCP/IP– TCP/IP é praticamente universal em LANs e na Internet
• Vírus– Fragmento de código parasita que precisa de um programa
verdadeiro “hospedeiro” para funcionar
– Ativado pela execução do código infectado
– Propaga pela infecção de outros programas; e‐mail ou cópia do programa infectado
• Worm– Programa independente, feito para se propagar automaticamente
via rede e ativar nos sistemas infectados.
Vírus
• Código viral se insere no código verdadeiro– Tamanho do executável infectado será maior que o original
– Vírus compactam o original para manter o tamanho
• Tipos de vírus– Parasitas – ligados a executáveis. Replicam com a execução do
programa
– Residentes na memória – parte de um sistema residente. Afeta qualquer programa executado
– Boot sector – infecta área de boot de um disco e se espalha quando o sistema for bootado pelo disco
– Continua...
Vírus
• Tipos de vírus (cont...)– Stealth – Vírus desenhados para burlar a detecção de softwares
antivírus (compressão; interceptação de I/O)
– Polimórficos – Vírus que mutam a cada infecção, fazendo com que a detecção da assinatura se torne muito mais difícil
– Vírus de macro – Infecta documentos e não executáveis.• Normalmente produtos da família Microsoft Office
• Espalha‐se facilmente por e‐mail
• Uma macro auto‐executável é o gatilho do vírus
• Microsoft tem investido na segurança das macros
Anti vi rus
• Defesa primária para vírus e outros maliciosos
• Trabalha com detecção, identificação e remoção
• Gerações de antivírus– Scanners simples (tamanhos de programas)
– Scanners de heurística (checagem de integridade com CRC)
– Traps de atividade (reside na memória e detecta ações suspeitas)
– Proteção total (Várias técnicas utilizadas, proteção para demais malwares, capacidade de controle de acesso)
Anti vi rus – Técni cas avançadas
• Generic Decryption– Detecta facilmente inclusive vírus polimórficos
– Computador pessoal não é afetado
– Usa conceito de emulação de ambiente• Emulador de CPU
• Scanner de assinatura
• Módulo de controle de emulação
• Behavior blocking– Monitora em tempo real o comportamento das aplicações
– Procura por pedidos específicos ao OS: modificações de configuração; formatação de discos; modificações de arquivos; etc
SW Mali ci osos
• Trojan Horse– Código malicioso que se esconde dentro de um programa ou
disfarça de programa legítimo
– Realiza alterações sem conhecimento do usuário
• Back (ou Trap) Door– Forma não documentada de ganhar acesso a um sistema
– Pode ser criada pelo criador ou alterada por terceiros para acesso privilegiado
• Bomba lógica– Fragmento de código malicioso, ativado por determinada condição
– Caso comum: Programador mal intencionado
SW Mali ci osos
• Bots– Programa capaz de se reproduzir através da rede
– O bot “executa” dentro da máquina hospedeira e permite comunicação com o invasor, que orienta diversas medidas
– Botnet – rede de bots que podem ser usadas em spams, fraudes..
• Keylogger ou Screenlogger– Programa que “grava” as ações do usuário em determinado computador
(digitação ou tela, por exemplo)
SW Mali ci osos
• Spyware– Software instalado sem o consentimento do usuário
– Monitora as atividades de um sistema e as envia para terceiros
– Pode coletar vários tipos de informação: hábitos de navegação no internet; sites acessados; instalar outros malwares
• Rootkit– Conjunto de ferramentas que ocultam a presença de um invasor
Proteção a SW mali ci osos
• Scanners– Identifica códigos maliciosos conhecidos (assinaturas)
• Integrity Checker– Determina se o código foi alterado – baseado em checksum
• Monitores de vulnerabilidade– Previne modificação ou acesso a partes sensíveis do Sistema
– Ex. Windows DEP
• Behavior blocking
Ataques
• Port Scanning– Varredura de portas para reconhecimento
– Detecta informações e serviços ativos em determinada máquina
• Spoofing (Falsificação ou disfarce de identidade)– Spoofing de IP: Uso de máquina com IP aceito pelos sistemas de
validação (roteador, firewall)
– Sequence Number Spoofing: Uso dos SEQs TCP para inserção no meio da conexão
– Replay: Interceptar e capturar transmissão legítima, inserindo dados. Pode ser evitada por timestamp
DNS Sp oofi ng
• DNS pode sofrer uma série de ataques via spoofing:
• Man in the Middle (Homem no meio)– Interposto no meio da comunicação entre estação e servidor
– Registro de domínio parecido (ex. www.terrs.com.br)
• Redirecionamento– Inserção de links para destinos falsos
• DNS Poisoning (envenenamento)– Dados de DNS não confiáveis, pois não são originários dos DNS raiz
– Responde antes do DNS verdadeiro
Ataques
• Buffer Overflow – Um processo excede o buffer alocado para determinada informação
• O dado extra sobrepõe o dado original
– Pode explorar o heap (variáveis dinâmicas) ou as stacks• Stack: Sobrepõe dados para mudar a execução de função
• Heap: Altera os dados dinâmicos. Pode corromper dados, estruturas internas, causar travamentos, etc
– Formas de se defender• Escolha correta da linguagem de programação
• Usar libraries mais seguras
• Proteção das pilhas (verificação de alteração)
• Proteção dos executáveis (causa exceção ao tentar executar)
Ataques
• Password Cracking (quebra de senha)– Uso de tentativa/erro para encontrar senha de usuário
– Usa o mesmo algoritmo do algoritmo de proteção original
– Pode usar dicionário ou brute force
• Engenharia social– Métodos não técnicos para obter acesso
Ataques
• Sniffing (“Grampo”)– Monitoramento de pacotes na rede
– Coleta informações não criptografadas na rede: endereços IP; senhas em plain text (telnet; smtp; etc)
• Web Site defacement– Uso de mensagens de protesto/aviso em home‐pages verdadeiras
– Exploração de configuração frágil
Ataques
• DoS – Denial of Service– Interrupção da disponibilidade de determinado serviço para seus
usuários legítimos
– A simples interrupção do serviço já causa prejuízo ao funcionamento, inclusive financeiro
• Tipos básicos de ataques de DoS:– Sobrecarga no consumo de recursos do sistema (memória,
processador, etc)
– Alterações nas configurações do dispositivo
– Obstrução do canal de comunicação
DoS
Tip os de DoS
• SYN Flooding– “Inunda” o receptor de SYNs
– Ataque ao 3‐way handshake do TCP/IP
– Atacante envia SYNs mas não responde ao SYN‐ACK do receptor, estourando os buffers de conexão no servidor
– Aplicação não consegue responder às requisições verdadeiras
• Ping of Death ( Ping da morte)– Envia pacotes PING com tamanho de pacotes ICMP maior do que o
normal, para derrubar a conexão do receptor
• Smurf– Atacante envia um ICMP ECHO a todas as máquinas da rede, com IP
de origem spoof da máquina alvo ‐ Sobrecarga
Tip os de DoS
• Application Level floods– Mais comum: IRC
• Nuke– Um dos tipos mais antigos de DoS
– Envia fragmentos ICMP inválidos (causava tela azul no W95)
• Distribuído (DDoS)– Vários computadores infectados atacam um sistema ao mesmo
tempo
– Muitos malwares trabalham com esse conceito (MyDoom)
Ataques em correi o eletrôni co
• Spam– Envio de e‐mails não solicitados em larga escala
– Usados para propaganda, marketing, etc
– Quantidades grandes podem ser usados para causar DoS em servidores smtp
– Falsos e‐mails de descadastramento podem ser usados para descobrir endereços válidos
• Phishing– Mensagens falsas que se passam por instituições (bancos,
empresas), com o objetivo de obter dados pessoais e financeiros de usuários
– Geralmente conduz a um site falso e instala “Malwares”
Fi rewall
• Dispositivo usado para restringir acesso a recursos da rede– Conecta duas redes e filtra os pacotes entre elas
• Instalação comum entre uma rede inteira corporativa e a internet
• Controla o tipo de dados que pode trafegar, em qual direção e para quais destinatários
Fi rewall
Fi rewall – fi ltro de p acotes
• Foco principal: analisa os cabeçalhos dos pacotes para aceitar/negá‐los
• Regras podem definir comportamentos em ambas as direções
• Tipo mais básico e comum de firewall
• Vantagens– Velocidade e flexibilidade
• Desvantagens– Dificuldade em gerenciar muitas listas
– Inadequado para redes complexas
– Não analisa dados das camadas superiores
Fi rewall – Stateful
• Combinação de filtro por pacotes e gateway
• Adiciona conhecimento da camada 4 ao fw comum
• Guarda as informações de sessão
• Suporte maior a protocolos de camada 7
• Vantagens– Entende TCP SYN, ACK, etc
– Suporta mais protocolos que o packet‐filter
• Desvantagens– Não há exame das informações de aplicação
– Alto custo – monitoramento da sessão realtime
Fi rewall – Ap li cati on p roxy
• Todos os dados do pacote são examinados, incluindo a camada de aplicação
• Também funciona com base em regras estabelecidas
• Tipo mais seguro de firewall
• Vantagens– Capacidade de logging mais apurada
– Menos vulnerável a spoofing de endereço
• Desvantagens– Uso de proxy para cada serviço da rede é essencial
– Menos throughput
Fi rewall – Regras
• As políticas de filtros de pacotes são chamadas de ACL– É geralmente uma lista de regras
• As regras são pares (Seleção, Ação)– Regras normalmente processadas em determinada ordem
– Seleção identifica se a regra se aplica àquele pacote• Ex. protocol=UDP, SrcPort=7 (Echo)
– Ação define o que fazer com os pacotes• Ex. silently discard (block echo requests)
Fi rewall – Regras
• Selectors– Possuem campos e valores atribuíveis
– Campos: SrcIP; DestIP; SrcPort; DestPort; Protocol; Flags...
– Valor: IpAddr; Port #; Protocol; Tipos; Hops...
– Exemplo• Protocol=UDP [And DstIP = *.*.*.FF]
• Bloqueia todo o tráfego UDP para endereço broadcast
• Ações– Allow
– Discard
– Reject
– Log/Alert
Fi rewalls – Op ções ACL
• Permita todos e negue alguns;
• Negue todos e permita alguns– Mais seguro, porém com custo administrativo maior
• Permitir determinados serviços em uma direção– Rede > Internet: http; ftp; dns
– Todos > Rede: smtp
– Servidor MX > internet: smtp
Fi rewalls – Arqui teturas
• Screened‐host– Combina um roteador com filtro de pacotes e um firewall dedicado
• Dual‐homed host– Host contém 2 placas de rede; Uma ligada à rede interna e outra à
rede externa
• Screened‐Subnet (com DMZ)– Provê uma área intermediária entre a rede confiável (interna) e a
desconhecida. A área é conhecida por demilitarized zone (DMZ)
Fi rewalls – DMZ
• Bloquear requests é uma boa prática, mas é necessário prover alguns serviços públicos– www; smtp; ftp, etc
• DMZ é a solução– DMZ é protegido por firewall
– É menos segura, mas é separada da rede interna
– Contém os servidores que devem ter acesso público
• Outras características– Pode ter configurações com 2 FW ou 1 FW
– Pode permitir conexões para servidores específicos dentro da rede (correio)
DMZ
Fi rewalls – Regras de acesso
• Bloqueie o tráfego para o firewall– Descarte quando o IP destino for o FW
• Interno e externo
– Previne ataques ao FW
– Exceção: Máquina do administrador• Permitir acesso apenas ao console de administração (shell ou http)
• Apenas com protocolos seguros (SSH; HTTPS; IPSec)
– Assegurar segurança física de acesso ao FW
Fi rewalls – Li mi tações
• Apenas provê proteção do perímetro
• Tráfego criptografado não pode ser analisado
• Até os firewalls de aplicação podem não ser capazes de verificar todo o conteúdo
• Não há checagem contra malwares nos downloads
• Volume de tráfego pode esconder muitos ataques
• Não protege a rede interna se um malware já está dentro da rede
Exercíci os
• (Serpro/08 – Cespe) Firewalls por inspeção de estado permitem mais granularidade e especificidade na filtragem de tráfego que filtros de pacotes sem estado.
• Geralmente, firewalls restringem‐se a inspecionar cabeçalhos, sendo ineficazes para filtrar ataques focalizados em vulnerabilidades específicas de aplicações.
• (STJ/08 – Cespe) Ataques denominados buffer overflows, tanto na heap quanto a stack, levam à execução arbitrária de código, podendo ser evitados pela retirada de privilégios de execução e pela checagem de integridade das estruturas citadas.
• Em geral, firewalls com inspeção de estado evitam ataques do tipo buffer overflow.
• Em redes IP que utilizam switches, pode‐se realizar a escuta do tráfego com o ARP spoofing.
Exercíci os
• (CGU/08 – Esaf) Assinale a opção que não compreende uma informaçãorelevante a decisões em fi ltragem de pacotes.
• a) Porta UDP (User Datagram Protocol) destino.
• b) Tipo de mensagem ICMP (Internet Control Message Protocol).
• c) Endereço IP do gateway de aplicação.
• d) Datagramas de inicialização de conexão usando bits TCP SYN.
• e) Linha de requisição de uma mensagem de pedido HTTP (HyperText Transfer Protocol).
Exercíci os
Exercíci os
• (TST/08 – Cespe) O firewall, que tem por objetivo implementar mecanismos básicos de segurança para rede corporativa, não protege a rede denominada EXT de ataques provenientes da Internet.
• As redes INT e DMZ estão interligadas pelo equipamento comutador 2. Desse modo, mesmo que do ponto de vista da interconexão IP essas sejam redes separadas, elas necessariamente têm conectividade em nível de enlace, o que fragiliza a segurança implementada pelo firewall.
• O sistema firewall utiliza NAT para prover conectividade aos sistemas computacionais ligados à rede IP, denominada INT.
• O servidor de e‐mail implementa os protocolos SMTP, POP3 e IMAP.
• O equipamento roteador executa funções das camadas 1, 2 e 3 do modelo OSI.
• O sistema firewall deve ter três endereços IP, cada um deles atribuído a cada uma de suas interfaces. O endereço IP da interface conectada à rede denominada DMZ é 200.120.12.17.
Exercíci os
• (TCU/07 – Cespe) Uma técnica comumente usada na segurança de redes é o estabelecimento de um perímetro de segurança cuja finalidade é controlar o tráfego ingresso na rede e o egresso da rede.
• Roteadores de borda, firewalls, IDSs, IPSs e VPNs são alguns dos principais elementos do perímetro de segurança da rede.
• Em geral, os firewalls inspecionam todo o pacote, enquanto os IDSs inspecionam apenas os cabeçalhos.
• Algumas providências que um processo de hardening deve incluir são: limitar o software instalado àquele que se destina à função desejada do sistema; aplicar e manter os patches atualizados, tanto de sistema operacional quanto de aplicações; revisar e modificar as permissões dos sistemas de arquivos, em especial no que diz respeito a escrita e execução; reforçar a segurança do login, impondo uma política de senhas fortes; habilitar apenas os serviços necessários.
Exercíci os
• (BASA/06 – Cespe) A realização de cadastro de endereços IP e(ou) MAC dosterminais autorizados a realizar o acesso não é uma medida necessariamente eficaz para evitar ataques relacionados ao uso de sítios web falsos que imitam os sítios legítimos.
• Manter um sistema de antivírus e anti‐spyware atualizado e ativado é uma boa medida para prevenir ataques que se utilizam de programas maliciosos, ainda que essa medida não seja suficiente, uma vez que esse tipo de sistema não é capaz de detectar a presença de programas do tipo trojan.
• Ataques do tipo man‐in‐the‐middle não são possíveis em serviços de Internet banking de instituições brasileiras.
Exercíci os
• (Pref. Vitória /07 – Cespe) Há ataques que resultam na negação de serviços (denial of service). Esse tipo de ataque se caracteriza pelo consumo excessivo de recursos, tornando os recursos escassos ou mesmo indisponíveis.
• Um programa do tipo vírus é, tipicamente, capaz de se duplicar e se inserir em programas ou em arquivos. Alguns vírus são escritos nas linguagens de comando de programas como editores de texto.
top related