1

Hardening

Laboratório de segurança:Ferramentas de ataque e defesa

FUNDAÇÃO CENTRO DE ANÁLISE, PESQUISA E INOVAÇÃO TECNOLÓGICACENTRO DE PÓS-GRADUAÇÃO E EXTENSÃO FUCAPI – CPGE

Hardening• Conceito– Todo computador conectado à internet corre

sérios riscos, e pode ser infectado em apenas alguns minutos, caso não esteja devidamente protegido.

– Várias recomendações visam dificultar e coibir a ação de usuários maliciosos, diminuindo os riscos de comprometimento, educando e conscientizando o usuário final.

2

Hardening• Hardening– É um processo de mapeamento das ameaças,

mitigação dos riscos e execução das atividades corretivas, com foco na infraestrutura.

– O conceito de Hardening caracteriza medidas e ações que visam proteger um determinado sistema de invasores.

3

Hardening• Hardening

– Dentre as ações típicas do processo podemos citar:• Remoção de logins, usuários, programas e serviços

desnecessários;• Aplicação de patches nos programas e no kernel do

sistema operacional;• Desativar serviços não utilizados;• Adoção de sistemas de detecção e prevenção de intrusão;• Firewalls;• Scripts de hardening;

4

Hardening• Hardening– Um sistema operacional deve estar sempre

atualizado, protegido por Firewall e Antivírus, e os usuários locais devem ser cautelosos com o conteúdo de arquivos e páginas que acessam.

– Algumas dicas simples possibilitam aos analistas de segurança da informação a dar os primeiros passos no hardening de seus sistemas operacionais.

5

Conceito• Infraestrutura de rede segura:

Intranet

Servidores de atualizações

Internet

Servidor Antivirus

Servidor DHCP

Servidor DNS

Dispositivos IEEE 802.1X

Serviço de Diretório (LDAP)

Servidores Externos

Rede restrita

Cliente em quarentena

Rede de perímetro

Conceito• Proteção em camadas (ou defense-in-

depth)– Depois de descobrir e documentar os riscos

que sua organização corre, a próxima etapa é examinar e organizar as proteções que você usará para fornecer uma solução de segurança.

– O modelo de segurança de proteção em camadas é um ótimo ponto de partida para essa solução. Esse modelo identifica sete níveis de segurança que devem ser abordados.

Conceito• Proteção em camadas (ou defense-

in-depth)– As camadas de proteção fornecem uma

visão geral do ambiente, área por área, que deve ser levada em conta na criação de uma estratégia de segurança da rede.

Conceito• Proteção em camadas (ou defense-

in-depth)– As camadas do modelo de segurança da

proteção em camadas são:

Documentos de segurança, treinamento do usuário

Diretivas, procedimentos e conhecimento

Segurança física

Proteção do SO, autenticação

Firewalls

Protetores, travas

Segmentos de rede, IPsec

Proteção de aplicativos, antivírus

ACLs, criptografia, EFS

PerímetroRede internaHostAplicativoDados

Dados• Camada de Dados– Essa camada concentra-se no acesso

aos dados organizacionais, como documentos, conteúdo de banco de dados ou informações de cliente.

– As possíveis proteções incluem permissões NTFS, permissões de banco de dados e permissões em aplicativos.

Dados• Serviços de Diretório– São serviços que provém às

organizações controle e segurança à rede de computadores no quesito identidade e acesso, ou seja, a partir da ID de usuário fornecida juntamente com a senha correta o colaborador obtém acesso aos recursos disponíveis ao seu nível de perfil de rede.

Dados• Serviços de Diretório– Linux• Protocolo LDAP (SAMBA)

–Windows• Protocolo LDAP (Active Directory)

Dados• Access control list (ACL)– Contém a lista dos usuários, grupos ou

computadores que possuem acesso à um determinado recurso no domínio.

• Access control entry(ACE)– É cada registro de usuário, grupo ou

computador dentro de uma ACL.

Prática• Laboratório– FUCAPI-DC1

• Instalar uma impressora e compartilhar no diretório• Configurar a ACL com as devidas ACEs

– FUCAPI-CL2• Instalar a impressora compartilhada no diretório• Tentar gerenciar os documentos e a impressora

Dados• Permissões de arquivo– Permitem acesso à um determinado

arquivo, seja local ou via rede, através de uma ACL e ACEs.

• Permissões de compartilhamento– Permitem acesso via rede à uma

determinada pasta compartilhada.

Prática• Laboratório– FUCAPI-DC1

• Instalar a função File Server e de Resource Manager• Configurar o compartilhamento de arquivos

– Quota, Triagem, Permissões de compartilhamento e NTFS.

– FUCAPI-CL2• Mapear a unidade de rede• Observar as configurações de espaço• Criar arquivos e observar os relatórios

Dados• Criptografia– É um recurso utilizado para manter em

segredo as informações de um arquivo ou tráfego de rede.

• EFS– É um sistema que criptografa arquivos.

Prática• Laboratório– FUCAPI-DC1

• Instalar a função de autoridade certificadora• Disponibilizar um certificado de criptografia de

arquivos

– FUCAPI-CL2• Criptografar um arquivo• Disponibilizar esse arquivo em rede• Compartilhar a permissão de acesso via certificado

Aplicativo• Camada de Aplicativo– Essa camada concentra-se nos riscos a um

aplicativo em execução. Em geral, trata-se de algum tipo de malware que aproveita uma vulnerabilidade em um aplicativo.

– As possíveis proteções incluem garantir que as atualizações mais recentes sejam aplicadas aos aplicativos e reduzir o número de aplicativos, se possível.

Aplicativo• Antivirus, Antimalware, Antispyware– São ferramentas que mantém o computador

livre de malwares, cavalos de tróia, vírus e spywares.

– Devem ter a instalação automatizada e o gerenciamento centralizado.

– Devem gerar relatório para análise diária.

Host• Camada de Host

– Essa camada concentra-se nos riscos ao sistema operacional e aos serviços do sistema operacional.

– Em geral, trata-se de algum tipo de malware que aproveita uma vulnerabilidade no sistema operacional.

– As melhores proteções limitarão os serviços somente a aqueles que são exigidos e aplicarão atualizações de segurança rapidamente.

– O Firewall do Windows também pode ser usado para impedir o acesso à rede de executar serviços que não são autorizados.

Host• Firewall– É um mecanismo de proteção que controla a

passagem de pacotes entre redes, tanto locais como externas.

– É um dispositivo que possui um conjunto de regras especificando que tráfego ele permitirá ou negará.

– É um dispositivo que permite a comunicação entre redes, de acordo com a política de segurança definida e que são utilizados quando há uma necessidade de que redes com níveis de confiança variados se comuniquem entre si.

Prática• Laboratório– FUCAPI-DC1

• Demonstrar todas as funcionalidades do Firewall• Criar uma GPO para configurar o Services do

cliente• Criar uma GPO para configurar o Firewall do cliente

– FUCAPI-CL2• Verificar a eficácia da configuração de Firewall e do

Services

Rede Interna• Camada de Rede Interna– Essa camada concentra-se nos riscos aos dados na

rede interna.– A principal preocupação é o acesso não autorizado

aos dados enquanto estes estiverem na rede.– Vários métodos podem ser usados para garantir

que os clientes sejam autenticados adequadamente antes de receberem acesso à rede.

– Os dados de rede também podem ser criptografados usando o IPSec.

Rede Interna• IPSec– O IPSec fornece diversas opções para executar

a encriptação e autenticação na camada de rede.

– Quando dois nós desejam se comunicar com segurança, eles devem determinar quais algoritmos serão usados (se DES ou IDEA, MD5 ou SHA).

– Após escolher os algoritmos, as chaves de sessão devem ser trocadas.

Prática• Laboratório– FUCAPI-DC1

• Criar uma regra de segurança de conexão para permitir o PING somente via IPSec

– FUCAPI-CL2• Criar uma regra de firewall liberando o PING de

qualquer computador.• Criar uma de segurança de conexão IPSec para

o PING.

Rede de Perímetro• Camada de Rede de perímetro– Essa camada concentra-se nos riscos

que surgem quando se acessa recursos na rede de perímetro pela Internet.

– A configuração do firewall é o principal método de proteção dessa camada, mas outros métodos, como sistema de detecção de invasão, também podem ser usados

Prática• Laboratório– FUCAPI-RTR• Criar regras de Firewall para o FUCAPI-CL2• Criar redirecionamento de portas (RDP) para

o CL2.– FUCAPI-CL2• Testar o acesso à Internet.

– FUCAPI-CL1• Testar o acesso remoto ao CL2 via Internet.

Prática• Laboratório– FUCAPI-RTR• Configurar a DMZ

– FUCAPI-SRV1• Configurar a DMZ

– FUCAPI-CL1• Testar o acesso à VPN via Internet através

daDMZ.

Prática• Laboratório– FUCAPI-SNORT• Configurar o snort.conf e iniciar o serviço

– FUCAPI-HCK1• Utilizar o nmap e o hping2 para análise

Segurança Física• Camada de Segurança Física– Essa camada concentra-se no acesso

físico a dispositivos e nos riscos associados a esse acesso.

– Alguns riscos físicos incluem dispositivos USB com malware e inicialização de sistemas em um sistema operacional alternativo para acesso a dados.

Prática• Laboratório– FUCAPI-DC1

• Demonstrar políticas de GPO para bloqueio de:–USB.–CD/DVD.–Drive 31/2.

–FUCAPI-CL2• Criar disquete virtual• Verificar a eficácia do bloqueio

Diretivas, procedimentos e reconhecimento

• Camada de Diretivas, procedimentos e reconhecimento– Essa camada cerca todas as outras camadas,

pois afeta todas elas.– As políticas e os procedimentos que sua

organização implementa são essenciais para prevenir riscos à segurança em cada camada.

– Além disso, o reconhecimento desses procedimentos e políticas é necessário para garantir que eles sejam seguidos.

Discussão• Segurança

– O que falta para implantar a Segurança da Informação na sua organização?