Академический Документы
Профессиональный Документы
Культура Документы
br
Firewall
IDS
Cripto
SEGURANA
NA
INTERNET
freecode.linuxsecurity.com.br
Objetivo da Palestra
Proporcionar uma viso mais realista do assunto Segurana
da Informao, no que diz respeito segurana de empresas
que utilizam a Internet.
freecode.linuxsecurity.com.br
Devemos nos
preocupar com
segurana?
freecode.linuxsecurity.com.br
Fonte: http://www.nbso.nic.br/
freecode.linuxsecurity.com.br
Tipos de Ataques
freecode.linuxsecurity.com.br
Pensando em segurana
freecode.linuxsecurity.com.br
freecode.linuxsecurity.com.br
freecode.linuxsecurity.com.br
Qual a sada?
- Diminuir os riscos
Flexibilidade
do usurio
30%
Risco assumido
pela empresa
15%
40%
Implementao
de Segurana
freecode.linuxsecurity.com.br
Quebra de Paradigma
Se voc conhece o inimigo e conhece a si mesmo, no precisa temer
o resultado de cem batalhas.
Se voc se conhece mas no conhece o inimigo, para cada vitria
ganha sofrer tambm uma derrota.
Se voc no conhece o inimigo nem a si mesmo, perder todas as
batalhas...
Extrado da obra: A Arte da Guerra - Sun Tzu
freecode.linuxsecurity.com.br
Conhecendo o inimigo
Script Kiddies / Lammers / Defacers
Adolescentes que se divertem invadindo e paralisando/derrubando
servidores Internet.
Perfil: Possuem conhecimento moderado/limitado de informtica, e uma
necessidade forte de se rebelar contra o sistema.
Prticas: Pichaes de sites, ataques de denial of service (e atividades de
hacking pessoal).
Modo de operao: Obtm os programa e tcnicas de invaso via Internet.
freecode.linuxsecurity.com.br
Conhecendo o inimigo
Hackers ticos / Fuadores
Responsveis pelo desenvolvimento dos programas e descobertas de
vulnerabilidades.
Perfil: Normalmente so adultos, trabalhando com informtica, com
um bom conhecimento de programao e de redes.
Prticas: Desenvolvimento de programas (exploits) e tcnicas de
invaso / proteo.
Modo de Operao: Divulgam seus programas na Internet, e
normalmente no os usam (annimos).
freecode.linuxsecurity.com.br
Conhecendo o inimigo
Crackers
Profissionais que invadem computadores com o objetivo de
ganho financeiro.
Perfil: Adulto com conhecimento avanado e personalidade criminosa.
Prticas: Roubo de informaes (ex: carders), estelionato, espionagem
industrial, e sabotagens pagas.
Modo de Operao: trabalham por conta prpria, ou em quadrilhas que
incluem outros tipos de criminosos.
freecode.linuxsecurity.com.br
Tipos de Ataques
freecode.linuxsecurity.com.br
Levantamento
de Informaes
do alvo (whois)
freecode.linuxsecurity.com.br
Copyright registro.br
The data below is provided for information purposes
and to assist persons in obtaining information about or
related to domain name and IP number registrations
By submitting a whois query, you agree to use this data
only for lawful purposes.
domain:
owner:
ownerid:
address:
address:
admin-c:
nserver:
nserver:
EMPRESAEXEMPLO.COM.BR
EMPRESA PARA EXEMPLIFICAR LTDA.
99.999.999/9999-99
Rua Joao da Silva, 100 , Centro
Ribeiro Preto - SP
EX01
NS1.EMPRESAEXEMPLO.COM.BR
200.200.200.200
NS2.EMPRESAEXEMPLO.COM.BR
150.150.150.150
nic-hdl-br:
person:
e-mail:
address:
address:
phone:
EX01
Jos da Silva
jsilva@EMPRESAEXEMPLO.COM.BR
Rua Joao da Silva, 100 , Centro
Ribeiro Preto - SP
(99)9999-9999
freecode.linuxsecurity.com.br
Levantamento
de Informaes
do alvo (whois)
Utilizao de Scanners
de Portas ou de
vulnerabilidades para
varredura de hosts com
vulnerabilidades
conhecidas e/ou
configuraes padres
freecode.linuxsecurity.com.br
freecode.linuxsecurity.com.br
freecode.linuxsecurity.com.br
freecode.linuxsecurity.com.br
Levantamento
de Informaes
do alvo (whois)
Utilizao de Scanners
de Portas ou de
vulnerabilidades para
varredura de hosts com
vulnerabilidades
conhecidas e/ou
configuraes padres
Enumerao de
ferramentas para um
ataque (busca exploit
em sites Crackers) ou
tcnica especfica
freecode.linuxsecurity.com.br
freecode.linuxsecurity.com.br
Alterao
(defacing) da
Home Page do
site alvo e/ou
danificao de
dados
Levantamento
de Informaes
do alvo (whois)
Utilizao de Scanners
de Portas ou de
vulnerabilidades para
varredura de hosts com
vulnerabilidades
conhecidas e/ou
configuraes padres
Enumerao de
ferramentas para um
ataque (busca exploit
em sites Crackers) ou
tcnica especfica
freecode.linuxsecurity.com.br
Site da empresa
freecode.linuxsecurity.com.br
Cracker Attack
Anatomia de
um ataque
CRACKER
Engenharia
Social
freecode.linuxsecurity.com.br
Engenharia Social
Um novo nome para um velho golpe:
- Falsidade ideolgica
- Trapaa - Conto do vigrio
Principais ocorrncias:
- Induo a instalao de arquivos malficos
- Induo a mudana de senha - teste123
- Golpes contra Internet Banking no Brasil e no mundo
freecode.linuxsecurity.com.br
freecode.linuxsecurity.com.br
Engenharia Social
Caractersticas
Dispensa computadores e softwares.
- Normalmente ocorre por telefone ou at pessoalmente. Online, as
pessoas ficam mais desconfiadas de crackers.
- Utiliza a confiana, a ingenuidade, a surpresa e o respeito
autoridade (fazer-se passar por outra pessoa).
Alguns mtodos
- Personificao: Help Desk, Fornecedor, Cliente
- Mergulho no lixo (Dumpster diving)
- Acesso fsico s empresas
- Ataques via Internet e Intranet
freecode.linuxsecurity.com.br
Engenharia Social
Preveno
- Conscientizao dos responsveis pela segurana
- Treinamento do pessoal de atendimento
- Impedir entrada no-autorizada aos prdios
- Exigir identificao de funcionrios
- Lixo: picar papis e eliminar completamente dados magnticos
- Trocar senhas periodicamente
freecode.linuxsecurity.com.br
Cracker Attack
Anatomia de
um ataque
CRACKER
Alterao
Engenharia Endereos
Origem
Social
(Spoofing)
freecode.linuxsecurity.com.br
Spoofing - IP
Alterao e falsificao de cabealhos TCP/IP
- Identidade do atacante pode ser ocultada.
- Firewall pode ser enganado.
- Roteadores/Servidores podem ser confundidos, gerando sobrecarga de rede e
possivelmente Denial of Service.
Cabealho IP
Version IHL
Type of Service
Total Length
Identification
Flags
Hearder Checksum
Time to Live
Protocol
Header Checksum
Source Address
Destination Address
Options
Padding
freecode.linuxsecurity.com.br
Spoofing - TCP
- Firewall pode ser enganado
- possvel assumir o controle de uma conexo (hijacking)
Cabealho TCP
Source Port
Destination Port
Sequence Number
Acknowledgment Number
U A P R S F
Data
Reserved R C S S Y I Window
Offset
G K H T N N
Checksum
Urgent Pointer
Options
Padding
Data
freecode.linuxsecurity.com.br
Spoofing - TCP
Exemplo:
GSpoof
http://gspoof.sourceforge.net
freecode.linuxsecurity.com.br
Cracker Attack
Anatomia de
um ataque
CRACKER
Alterao
Varredura de Portas
Engenharia Endereos Levantamento
do alvo
Origem
Social
FingerPrint
(whois)
(Spoofing)
Enumerao das
falhas e configuraes
padres e exploits
para os respectivos
servios levantados
Enumerao
dos tipos de
servios
disponveis e
verses
Varredura de
Vulnerabilidades
Footprint
freecode.linuxsecurity.com.br
Cracker Attack
Anatomia de
um ataque
CRACKER
Alterao
Varredura de Portas
Engenharia Endereos Levantamento
do alvo
Origem
Social
FingerPrint
(whois)
(Spoofing)
Enumerao das
falhas e configuraes
padres e exploits
para os respectivos
servios levantados
Enumerao
dos tipos de
servios
disponveis e
verses
Varredura de
Vulnerabilidades
Footprint
freecode.linuxsecurity.com.br
Cracker Attack
Anatomia de
um ataque
CRACKER
Alterao
Varredura de Portas
Engenharia Endereos Levantamento
do alvo
Origem
Social
FingerPrint
(whois)
(Spoofing)
Instalar Backdoor
Instalar Trojans
Instalar Logclean
Instalar Sniffer
Rootkit
Enumerao das
falhas e configuraes
padres e exploits
para os respectivos
servios levantados
Enumerao
dos tipos de
servios
disponveis e
verses
Varredura de
Vulnerabilidades
Footprint
freecode.linuxsecurity.com.br
freecode.linuxsecurity.com.br
Conseqncias:
- Comunicaes no criptografadas podem ser facilmente compreendidas
- Captura de senhas e outras informaes confidenciais
- Problemas com servios sem criptografia: http, smtp, telnet, ftp.
- Informaes capturadas podem facilitar invases
freecode.linuxsecurity.com.br
freecode.linuxsecurity.com.br
Cracker Attack
Anatomia de
um ataque
CRACKER
Alterao
Varredura de Portas
Engenharia Endereos Levantamento
do alvo
Origem
Social
FingerPrint
(whois)
(Spoofing)
Instalar Backdoor
Instalar Trojans
Instalar Logclean
Instalar Sniffer
Rootkit
Enumerao das
falhas e configuraes
padres e exploits
para os respectivos
servios levantados
Alterao (defacing) da
Home Page do site alvo
e/ou danificao de
dados, e/ou
transformao da
mquina no QG para
futuros ataques
Enumerao
dos tipos de
servios
disponveis e
verses
Varredura de
Vulnerabilidades
Footprint
freecode.linuxsecurity.com.br
Vulnerabilidades
freecode.linuxsecurity.com.br
Vulnerabilidades
- Conectar sistemas na Internet, sem test-los.
- Fraca poltica de senhas
- Conectar com contas e senhas padres.
- No atualizam erros de segurana, quando esses erros so
encontrados.
- Deixar que pessoas sem o devido treinamento cuidem da
segurana.
- Falhas nos testes de backup.
- Deixar servios desnecessrios em execuo: ftp, web, pop3,smtp.
- Manter a base de dados da empresa no mesmo servidor que est
disponvel web.
freecode.linuxsecurity.com.br
Vulnerabilidades
- Conhecer o que segurana fsica, mas no saber da segurana
da informao.
- Falta de um ambiente de laboratrio, de testes.
- Manter-se somente por um Firewall, acreditando que ele o
suficiente.
- Implementar Firewalls com regras genricas apenas.
- Usar protocolos descriptografados para administrao remota.
- Usar a regra FNM (Funcionou? No mexe).
- Falhar na implementao de anti-vrus.
- Falhar na capacitao e conscientizao dos usurios.
freecode.linuxsecurity.com.br
Vulnerabilidades
Softwares
- Buffer Overflow
Falha de programao que faz com que haja um transbordamento da
rea de uma determinada varivel sobre outras variveis, ou rea de
cdigo executvel.
- Conseqncias: Softwares podem ser derrubados ou forados a
executar outras funes.
- Abrangncia: Atinge todos os tipos de software, sistemas operacionais,
Servios (ex: W eb Servers), aplicativos (scripts CGI).
freecode.linuxsecurity.com.br
Vulnerabilidades
Softwares
- Buffer Overflow
freecode.linuxsecurity.com.br
Vulnerabilidades
Softwares
- Buffer Overflow
freecode.linuxsecurity.com.br
Vulnerabilidades
Softwares
- Buffer Overflow
freecode.linuxsecurity.com.br
Defesas
freecode.linuxsecurity.com.br
freecode.linuxsecurity.com.br
Firewalls
freecode.linuxsecurity.com.br
Firewalls
freecode.linuxsecurity.com.br
Firewalls
freecode.linuxsecurity.com.br
Firewalls - Polticas
freecode.linuxsecurity.com.br
Firewalls - Topologias
freecode.linuxsecurity.com.br
Firewalls - Topologias
Roteador com Triagem (Screening Router)
FTP
REDE INTERNA
Router configurado
com ACL para filtrar pacotes
INTERNET
freecode.linuxsecurity.com.br
Firewalls - Topologias
Gateway de Base Dupla (Dual Homed Gateway)
FTP
REDE INTERNA
INTERNET
Firewall
nica mquina (Bastion Host) com duas interfaces de rede entre as duas
redes (a Internet e a rede da empresa)
- Como na arquitetura anterior, se o Firewall for quebrado, a rede da
empresa ficar totalmente vulnervel.
freecode.linuxsecurity.com.br
Firewalls - Topologias
Gateway Host com Triagem (Screened Host Gateway)
FTP
REDE INTERNA
Router + ACLs
INTERNET
Firewall
freecode.linuxsecurity.com.br
Firewalls - Topologias
Sub-rede com Triagem (Screened Subnet)
REDE INTERNA
Router + ACLs
Firewall
INTERNET
freecode.linuxsecurity.com.br
Firewalls - Topologias
Sub-rede com Triagem (Screened Subnet)
DMZ
Router ACLs
WEB / SMTP/ POP / FTP
FIREWALL
INTERNET
ADSL
FIREWALL
FIREWALL
FIREWALL
REDE INTERNA
FRAME RELAY
freecode.linuxsecurity.com.br
Firewalls - Arquiteturas
Packet Filter
Camada OSI
7 - APLICAO
6 - APRESENTAO
5 - SESSO
4 - TRANSPORTE
IP
3 - REDE
2 - ENLACE
1 - FSICA
ICMP / IGMP/ARP
freecode.linuxsecurity.com.br
Firewalls - Arquiteturas
Stateless Packet
Camada OSI
7 - APLICAO
6 - APRESENTAO
5 - SESSO
TCP/UDP
IP
4 - TRANSPORTE
3 - REDE
2 - ENLACE
1 - FSICA
freecode.linuxsecurity.com.br
Firewalls - Arquiteturas
Statefull Packet
Camada OSI
7 - APLICAO
SMTP/POP3/
TELNET/FTP...
6 - APRESENTAO
5 - SESSO
TCP/UDP
IP
4 - TRANSPORTE
3 - REDE
2 - ENLACE
1 - FSICA
Exemplos: Iptables (Linux kernel 2.4.x e 2.6), Firewall-1 Checkpoint, MS Isa Server
freecode.linuxsecurity.com.br
Firewalls
Solues em Software Livre:
IPTABLES / NETFILTER: Firewall nativo do kernel 2.4 e 2.6 do Linux.
http://www.netfilter.org
- Statefull
- Rpido, estvel e seguro
- Permite um valor ilimitado de regras
- Possui recursos para rejeitar pacotes spoofados ou invlidos.
- Suporte completo a roteamento
- Redirecionamento de portas
- NAT
- Proteo contra DoS
- Suporte ao ipv6
FirewallBuilder: Interface grfica para configurao avanada do iptables
http://www.fwbuilder.com
freecode.linuxsecurity.com.br
Firewalls
Solues em Software Livre: IPTABLES + FirewallBuilder
freecode.linuxsecurity.com.br
Firewalls
Solues em Software Livre: IPTABLES + FirewallBuilder
freecode.linuxsecurity.com.br
Firewalls
Solues em Software Livre: IPTABLES + FirewallBuilder
freecode.linuxsecurity.com.br
Firewalls
Solues em Software Livre: IPTABLES + FirewallBuilder
freecode.linuxsecurity.com.br
Firewalls
Solues em Software Livre: IPTABLES + FirewallBuilder
freecode.linuxsecurity.com.br
Firewalls
Concluso
Um bom firewall, construdo por um conjunto de programas e tcnicas que tem
por finalidade liberar ou bloquear servios dentro de uma rede interligada
Internet de forma controlada.
importante tambm saber qual ao a ser tomada quando uma violao ou um
servio importante parar. Tudo isso tem que estar somando a METODOLOGIA e
casado com o NEGCIO da empresa.
Embora o Firewall seja a parte mais importante em um programa de segurana
ele no corrige as vulnerabilidades de segurana.
Avalia somente o trfego de seu permetro.
No inibe conexes externas (dial-up).
Conhece o pacote mas no conhece o sua inteno
freecode.linuxsecurity.com.br
IDS
(Intrusion Detection System)
freecode.linuxsecurity.com.br
IDS - Definio
freecode.linuxsecurity.com.br
IDS - Arquiteturas
HIDS (Host Intrusion Detection System)
Baseados em servidor que contm aplicativos que analisam arquivos
especiais e conexes abertas de rede, ou que analisam o disco rgido e
depois emitem alertas caso ocorra algum evento.
Principais tipos:
- Ferramentas de anlise de arquivos de registros (logs).
- Ferramentas de anlise de integridade de arquivos.
- Ferramentas de verificao de backdoors e rootkits.
freecode.linuxsecurity.com.br
IDS
HIDS - Topologias
Banco de
dados
criado
Mudanas
ocorridas
Comparao
SERV IDORES
WEB / SMTP/ POP / FTP
SERVIDOR INTEGRIDADE
ALERTA
freecode.linuxsecurity.com.br
IDS - Arquiteturas
NIDS (Network Intrusion Detection System)
Baseados em rede, ouvem o trfego (permitido pelo firewall) medida
que atravessa a rede.
Principais caractersticas:
- Identifica a natureza do ataque ou do trfego suspeito (incluindo
as portas e os endereos de origem e destino).
- Permite reconfigurao do firewall no caso de ataque.
- Na maioria das vezes possui recurso de envio de alertas
- Permite a gerao de relatrios de estatsticas de ataques.
freecode.linuxsecurity.com.br
IDS
NIDS - Topologias
DMZ
Router ACLs
INTERNET
FIREWALL
IDS
ADSL
IDS
Sensor
FIREWALL
IDS
FIREWALL
IDS
FIREWALL
REDE INTERNA
FRAME RELAY
Monitorao
Armazenagem
Anlise e
controle
freecode.linuxsecurity.com.br
IDS
Solues em Software Livre:
AIDE (ftp://ftp.cs.tut.fi/pub/src/gnu/)
Verifica integridade de arquivos e executa ao pr-determinada.
SNORT (http://www.snort.org)
Captura todo o trfego do seu segmento de rede:
- Registo em arquivos de logs (texto puro)
- Registro em banco de dados (MySQL, PostreSQL)
- Capaz de resetar a conexo suspeita
GUARDIAN (http://www.snort.org/dl/contrib/other_tools/guardian/)
Analisa os registro do Snort e efetua ao pr-configurada:
- Bloqueia endereo IP do atacante
- Envia alerta ao administrador (email, SMS)
freecode.linuxsecurity.com.br
IDS
Solues em Software Livre: SNORT + ACID
http://www.andrew.cmu.edu/~rdanyliw/snort/snortacid.html
freecode.linuxsecurity.com.br
IDS
Solues em Software Livre: SNORT + ACID
freecode.linuxsecurity.com.br
IDS
Solues em Software Livre: SNORT + ACID
freecode.linuxsecurity.com.br
IDS
Concluso
+ Capaz de fazer palpites moderados sobre a natureza do trfego,
sugerindo fontes de referncia para mais detalhes sobre a
vulnerabilidade, alm de sugerir correes para a mesma.
+ Possibilidade de criao de Honeypots (Potes de Mel).
+ Possibilidade de administrao remota.
freecode.linuxsecurity.com.br
VPN
(Virtual Private Network)
freecode.linuxsecurity.com.br
VPN
Caractersticas
- Proporciona rede de dados privada atravs de infra-estruturas
pblicas de telecomunicaes, tais como a Internet.
- Uso comum nas empresas para interligao de filiais, vendedores
e parceiros corporativos.
- Cliente recebe os mesmos direitos e privilgios de usurio da rede
da empresa, como se estivesse conectado fisicamente.
- Conexo transparente
- Oferece autenticao segura e criptografia.
freecode.linuxsecurity.com.br
VPN
Topologias
Telecommuter (Cliente -> Servidor VPN)
192.168.1.x
FTP
192.168.1.1
192.168.2.1
200.200.200.200
150.150.150.150
REDE INTERNA
TNEL
SERVIDOR VPN
INTERNET
CLIENTE VPN
Matriz - Brasilia
freecode.linuxsecurity.com.br
VPN
Topologias
Roteador-a-roteador
Principais fornecedores: empresas de telecomunicaes
192.168.1.x
192.168.1.1
REDE INTERNA
192.168.2.1
200.200.200.200
ROTEADOR
VPN Ativada
150.150.150.150
TNEL
INTERNET
FTP
192.168.2.x
ROTEADOR
VPN Ativada
REDE INTERNA - FILIAL
Matriz - Brasilia
Filial - So Paulo
freecode.linuxsecurity.com.br
VPN
Topologias
Servidor-a-servidor
192.168.1.x
192.168.1.1
200.200.200.200
REDE INTERNA
192.168.2.1
192.168.2.x
150.150.150.150
TNEL
SERVIDOR VPN
FTP
SERVIDOR VPN
INTERNET
Matriz - Brasilia
Filial - So Paulo
freecode.linuxsecurity.com.br
VPN
Protocolos
- PPTP (Point-to-Point Tunneling Protocol): Extenso do PPP, desenvolvido
pela Microsoft embutido no W indows. Usa criptografia MPPE.
- L2F (Layer 2 Forwarding) - Desenvolvido pela Cisco, parecido com o
PPTP.
- L2TP (Layer 2 Tunneling Protocol) - Combina os melhores recursos do
PPTP e L2F. Embutido no W indows 2000 e nos softwares da CISCO
(IOS).
- IPSEC - projetado para oferecer autenticao ao protocolo IP,
encapsulando o TCP e outros protocolos envolvidos.
freecode.linuxsecurity.com.br
VPN
IPSEC - Caractersticas
- Utiliza padro de criptografia mundial estipulado por rgos mundiais
IETF (Internet Engineering Task Force)
- criado um envelope com um protocolo de criptografia no inicio da
conexo. Os dados trafegam criptografados e o servidor de destino
processa usando a chave assimtrica (padro RSA).
- Compatvel com: Linux, CISCO, MS-Windows, Firewall Checkpoint,
PGP, BSDs.
- Oferece 2 servios, podendo estes trabalhar junto ou separadamente:
- Autenticao e Encriptao (IKE)
- Autenticao sem criptografia possivel
freecode.linuxsecurity.com.br
VPN
Soluo em Software Livre:
FREESWAN - (http://www.freeswan.org)
- Executado a nvel de kernel (mais veloz)
- Suporta qualquer VPN com IPSec
- Pode ser implementado em qualquer sistema de rede IP: roteadores, PCs,
Laptops e Firewalls
- Evita restries de exportao
freecode.linuxsecurity.com.br
Consideraes Finais
freecode.linuxsecurity.com.br
Perguntas???
Andr Luiz Rodrigues Ferreira
(16)9106-0156
andrelrf@linuxmail.org