Material 4

(1)

Segurança em TI

Faculdade Cambury

(2)



Os ataques de negação de serviço desferidos de diversos

pontos a importantes websites de e-commerce pelo

Mafiaboy, mostraram que as armas do cibercrime estão se

tornando cada vez mais automatizadas e fáceis de usar

mesmo por hackers inexperientes.



Os ataques também mostraram que a vulnerabilidade e o

número de vítimas potenciais do cibercrime estão se

ampliando à medida que aumenta o número de pessoas e

de organizações conectadas à Internet.

As Ameaças do Cybercrime

(3)



A Exodus é um importante provedor de serviços e

instalações de Internet. Seus serviços incluem:



CATT, a equipe Tigre para ciberataques, que oferece às

companhias uma gama de serviços de segurança geridos

por uma equipe de experientes especialistas no assunto.



Resultado: Muitas companhias terceirizaram parte de sua

administração de segurança para a Exodus.

Medidas de Segurança da Exodus

(4)



_{Se você tiver pouca segurança, será atacado por hackers.}



Se você tiver o hardware mais atualizado em segurança, mas,

não utilizá-lo corretamente, será atacado por hackers.



Se você for atacado por hackers, e não fizer nada sobre isso,

você será processado.

Exodus: a tese da CATT

(5)



Sistema de Autorização



Sistema de pagamento e compensação.



Sistema de descoberta de fraudes.



Data Warehouse:



Um data warehouse (DW), ou armazém de dados é

um banco de dados com dados históricos usados para

análise e decisões das mais exóticas perguntas

realizadas por executivos. Os dados contidos nos data

warehouse são sumarizados, periódicos e descritivos.

Visa: Funções do Centro de Dados

(6)



Desafios de segurança e medidas de segurança são vitais

para a proteção de websites corporativos e financeiros.



A instalação física de processamento da Visa é protegida

por diversas camadas de repetição e de cópias.



Os especialistas em TI da Visa criaram software de teste

para seus equipamentos.

Desafios e Medidas de Segurança

(7)



A Visa International utiliza medidas de segurança de

grande alcance para assegurar o nível impecável do

processamento de cartões de pagamento e acordos

financeiros gerados por mais de um bilhão de cartões

existentes, 23 milhões de comerciantes e 21.000

instituições financeiras.



A qualidade superior da administração de segurança,

necessária para apoiar integralmente a disponibilidades

deste sistema de pagamento eletrônico mundial é

demonstrada pelas medidas preventivas e defensivas

tradicionais e de alta tecnologia.

Medidas de Segurança da Visa

(8)



Identificação biométrica



Detecção de fraude de rede neural



Sofisticada proteção de infraestrutura



As cópias possuem cópias de segurança



Anualmente é realizado um teste completo de tensão

de desempenho nos sistemas de processamento de

pagamentos globais da Visa.

Medidas Preventivas e de Alta Tecnologia

(9)



Empregadores podem utilizar dispositivos de

monitoração

eletrônica

para

espionar

seus

funcionários. Por exemplo:



Vasculhando suas mensagens de e-mail.



Vasculhando quais websites você visitou.



Bloqueio de sites a serem visitados.



Política de segurança.

Vasculhando (Sniffing)

(10)



Imediata

socialização

de

mensagens,

eBay,

pornografia, resultados esportivos etc.



Segredos de fabricação e propriedade intelectual

podem deixar a empresa.



Companhias tem sofrido processos por assédio,

discriminação, violação de direitos autorais e outros.

Net: Distrações à Produtividade

(11)



Registrar todo o tráfico de Internet, gravando e

informando qualquer coisa que possa ser considerada

suspeita.



Encontra muitos usos inadequados das redes das

empresas.



Constatar “cibernegligências”.



Acabar com a cibernegligência:



Monitorar a utilização da Internet.



Bloquear sites vistos como não relacionados ao

serviço.

Monitoração Eletrônica

(12)



A companhia possui uma política expressa contra o

uso da Internet para uso pessoal.



Instalou o software Resource Monitor para monitorar

o uso da Internet pelos funcionários.

 Resource Monitor é um programa voltado à tarefa de

informar sempre e de modo ininterrupto como anda o consumo de recursos do computador. Um software deste tipo é muito útil para quem acho necessário realizar um constante monitoramento deste tipo de informação.

AGM Container Controls

(13)



86% dos usuários de Internet preocupam-se com a

privacidade online.



50% dizem que distribuirão informação pessoal em

troca da oportunidade de ganhar loterias.



_{58% dos usuários de Internet não negociam online}

.

Privacidade Online

(14)



O P3P (Platform for Privacy Preferences) no Internet

Explorer 6.0 da Microsoft permite que os

consumidores verifiquem e saiam de websites sem

políticas de privacidade que atendam suas

preferências de privacidade.



A iniciativa .Net da Microsoft gerou alguns

sentimentos negativos nos usuários da web. Este

website é capaz de manter grande massa de

informações pessoais num local.

Problemas de Privacidade na Microsoft

(15)



Portas de configuração:



DNS (53), WWW (80), FTP (21), Telnet (23),

SMTP (25)



Servidores mais utilizados:



APACHE - mais popular e seguro



UNIX



IIS – da Microsoft (Internet Information Server)



NT

_(é

_o

_nome

_da

_família

_{de sistemas}

operacionais do Windows voltados ao meio corporativo

– New Technology

).

Problemas de Privacidade na Microsoft

(16)

Web Server

Web Server Software Web Server Host

(17)

CGI – Programas Web

Web Server

Aplicação CGI

Cliente

Protocolo CGI

 _{CGI é um acrônimo para a expressão inglesa Common} Gateway Interface. Consiste numa importante tecnologia que

permite gerar páginas dinâmicas, permitindo a um navegador passar parâmetros para um programa alojado num servidor web.

(18)

Web Chats – Mais Vulnerável

(19)

Web Chats – Mais Vulnerável

 Estatísticas de invasão na Web.

 S.O. com maior incidência de pichações

NT 59% Linux 19% Solaris 10% BSD 7% Outros 5%

(20)

Domínios mais invadidos

Brazil (br)

United States (us) United Kingdom (uk) Korea, Republic of (kr) Mexico (mx) Germany (de) Australia (au) Canada (ca) Russian Federation (ru) Argentina (ar)

(21)

Topologia de Rede

(22)

Topologias de segurança

 Topologia de Segurança:

 Zonas de Segurança

 DMZ’s

(23)

Topologias de segurança

 Fundamentos de infraestrutura de redes

 Nem todas as redes são criadas igualmente, por isso não

devem ser igualmente organizadas;

 Um exemplo de uma aplicação de e-commerce, com

servidores IIS, e servidores customizados de middle-tier

e servidores de Banco SQL.

(24)

Topologias de segurança

 Zonas de Segurança:

 Diz-se de uma zona de segurança, qualquer porção

de uma rede que necessita de requisitos de segurança

especiais. Intranet, extranet, DMZ’s e VLAN’s, são

exemplos de zonas de segurança

 Segmentos de rede distintos

 Agrupamentos lógicos

 Que tipo de informação é manipulada;  Quem utiliza;

(25)

Topologias de segurança

 Firewall, DMZ e IDS

 Firewall

 É um equipamento utilizado para proteger a rede interna de uma organização de ameaças lógicas de redes externas, como a Internet;

 Da mesma forma que uma porta fechada protege seu conteúdo de ameaças físicas externas;

 O Firewall utiliza uma tabela de regras predefinidas, de forma a permitir ou bloquear o trafego através dele, provendo assim segurança aos equipamentos localizados depois dele;

(26)

Topologias de segurança

 Firewall

 No mínimo, um firewall deve ser capaz de:

Bloquear trafego baseado em regras predefinidas;

Mascarar a presença de redes (ou hosts) ao mundo externo;

Reduzir a quantidade de informações apresentada como resposta; Logar e manter uma trilha de auditoria de tráfego que entra e que sai; Prover métodos de autenticação adicionais;

(27)

Topologias de segurança

 Firewall (cont.)

 Firewalls atuais tem a capacidade de reagir a detecção de intrusão com a atualização de regras;

 Sistemas de IDS integrados;

 Redes virtuais privadas integradas (VPN’s)

 Capacidade de executar técnicas de proxy transparente;

 Obs1.: Quanto maior for o número

de serviços disponíveis em um

firewall maior é a probabilidade de um ataque direcionado ter sucesso.

 Obs2.: O firewall por si só não garante segurança

(28)

Topologias de segurança

 Tecnologias de Firewall

 As tecnologias de firewall mais

utilizadas são:

 _{Filtragem de pacotes}

 _{Gateways de camada de aplicação}

 _{Inspeção de estado (statefull inspection)}

 Qualquer uma das tecnologias acima têm

suas

vantagens

e

desvantagens

,

 Cabe ao administrador de segurança

determinar a que deverá ser utilizada em

cada caso

(29)

Topologias de segurança

 Filtragem de Pacotes:

 Opera na camada 3 (rede) do modelo OSI

 Funciona permitindo ou negando tráfego por uma porta

específica

 Opera de maneira mais rápida pois só verifica o conteúdo

do cabeçalho do pacote

 Pode ser configurado para permitir o negar acesso à portas

específicas ou endereços IP

 Possui apenas duas diretivas para política de filtragem

 _{Permite por padrão}

 _{Nega por padrão (melhor prática)}

(30)

Topologias de segurança

 Filtragem de Pacotes:

 Opera em ambas as direções:

 Impede a entrada de elementos nocivos à rede  Restringe o tráfego a rede externa

 Exemplo: Trojan (Cavalo de Tróia)

Portas conhecidas (Well-known)

Total de 65535 portas

Destas, as primeiras 1023 são portas conhecidas

Portas acima de 1023 são consideradas portas registradas ou portas dinâmicas/privadas

Portas registradas: de 1024 a 49.151

Portas Dinâmicas / Privadas 49.151 a 65.535

Muitas destas portas oferecem vulnerabilidades, mesmo as portas conhecidas, melhor manter o desnecessário fechado

(31)

Topologias de segurança



Exemplo de conexão: FTP

 _{Modo Ativo:}

1. O cliente FTP inicia uma conexão de controle a partir de uma porta qualquer, maior que 1024, na porta 21 do servidor

2. O cliente FTP envia um comando PORT instruindo o servidor a estabelecer uma conexão para uma porta uma unidade mais alta que a conexão de controle. Esta será a porta de dados do cliente

3. O servidor irá enviar dados ao cliente, a partir da porta 20 do servidor, para a porta de dados do cliente

(32)

Topologias de segurança



Exemplo de conexão: FTP

 Modo Passivo:

1. O cliente FTP inicia uma conexão a partir de uma porta qualquer maior que 1024 como porta de controle, e inicia uma outra porta, uma unidade mais alta que a de controle, como porta de dados.

2. O cliente então envia um comando PASV, instruindo o servidor a abrir uma porta de dados qualquer

3. O Servidor envia um comando PORT indicando ao cliente a porta que ele iniciou

4. O cliente pode assim enviar e receber dados através da porta de dados que o servido o instruiu a utilizar

(33)

Topologias de segurança

 Filtragem de Pacotes:

 Benefícios:

Velocidade – Apenas o cabeçalho é examinado e uma tabela básica de regras é analisada;

 Facilidade de uso – As regras deste tipo de firewall são fáceis de definir, e portas podem ser abertas ou fechadas rapidamente;

 Transparência – Pacotes podem trafegar por este tipo de firewall sem que remetente ou destinatário saibam de sua existência;

(34)

Topologias de segurança

 Filtragem de Pacotes:

 Desvantagens:

 Rigidez – Uma porta só pode estar aberta ou fechada, abertura/fechamento por demanda não são suportados

 Análise de conteúdo – Este tipo de firewall não enxerga além do cabeçalho, portanto, se um pacote tiver um cabeçalho válido, ele pode ter qualquer conteúdo, inclusive malicioso.

(35)

Topologias de segurança

O tráfego é filtrado baseado em regras específicas, que incluem: IP de origem e destino, tipo de pacote (TCP/UDP), numero da porta, etc...

Todo tráfego desconhecido é permitido apenas até a camada OSI 3

(36)

Topologias de segurança

 Gateway de camada de aplicação

 Também conhecido com filtragem por aplicação

 Benefícios:

_{Mais avançada que a filtragem de pacotes, examina todo o}

pacote para determinar o que deve ser feito com ele.

Permite, por exemplo, bloquear telnet através da porta de

ftp. Ou ainda, verificar que controles de um Trojan estão sendo enviados pela porta 80 de HTTP, e bloqueá-los.

_{Um dos principais benefícios é o conhecimento a nível de}

aplicação.

(37)

Topologias de segurança

 Gateway de camada de aplicação

 Desvantagens:

_{Cada pacote e completamente reconstruído, comparado a}

uma série de regras complexas e novamente desmontado. O que o torna mais lento.

Apenas uma fração das aplicações tem regras

pré-definidas, qualquer outra tem que ser manualmente adicionada.

_{Quebra o conceito de arquitetura cliente-servidor por}

reconstruir o pacote através de todo o modelo OSI até a camada de aplicação.

O cliente estabelece uma conexão com o firewall, onde o

pacote é analisado, em seguida o firewall cria uma conexão com o servidor para o cliente.

(38)

Topologias de segurança

O tráfego é filtrado baseado em regras específicas de aplicação, como aplicações específicas (ex. browsers) ou um protocolo (ex. FTP), ou ainda uma combninação de ambos.

O tráfego desconhecido é

permitido até o topo da camada de transporte

(39)

Topologias de segurança

 Inspeção de estado

 Trata-se da intersecção entre duas tecnologias

 Benefícios:

_{Mais robusto que filtragem de pacotes e mais versátil que}

gateway de camada de aplicação.

_{Possuí conhecimento a nível de aplicação sem quebrar}

efetivamente a arquitetura cliente servidor.

Mais rápido que gateway de camada de aplicação por não

(40)

Topologias de segurança

 Inspeção de estado

_{Utiliza um conjunto de regras mais complexa.}

Mais seguro que a filtragem de pacotes por permitir

conhecimento dos dados na camada de aplicação.

_{Introduz o conceito de conhecimento do estado da}

(41)

Topologias de segurança

 Inspeção de estado

 Mecanismo de funcionamento:



Monitora estados de comunicação e aplicações através

de suas requisições, além de saber qual a resposta

esperada por cada sessão.



Permite abertura dinâmica de portas e fechamento

automático após o final da conexão

(42)

Topologias de segurança

O tráfego é filtrado em três níveis, baseado em uma grande variedade de regras de

aplicação, sessão e/ou filtragem de pacotes.

O tráfego desconhecido é

permitido apenas até a camada 3

(43)

IDS Firewall Auditoria e Controle de Acesso Política de Segurança

Topologias de segurança

 Defesa em camadas

 Define o uso de múltiplas camadas de segurança;  Evita a utilização de uma única linha de defesa  Falso sentimento de segurança.

 Outras tecnologias devem ser utilizadas:

 IDS, auditoria, controle de acesso por biometria, múltiplos níveis de segurança.

(44)

Topologias de segurança

 Zona Desmilitarizada (DMZ)

 Introdução

 Termo militar, se refere a uma zona segura entre faixas em conflito;  Regras severas definem o que pode trafegar em uma DMZ;

 Em segurança de redes: Segmento “neutro” da rede onde o público tem acesso restrito;

(45)

Topologias de segurança

 Zona Desmilitarizada (DMZ)

 Implementações de DMZ normalmente são:

 Implementações de DMZ em camadas (entre firewalls); o Permite a utilização de sockets;

o Também conhecida como “rede protegida”;

 Implementações de Firewalls com múltiplas interfaces (interfaces distintas do mesmo firewall);

o Um único firewall responsável por todos os tráfegos;

o Diminui o custo em hardware e esforço de administração;

(46)

Topologias de segurança

 Zona Desmilitarizada (DMZ)

Em Camadas Múltiplas Interfaces

 Host localizados em uma DMZ podem ser acessados tanto por redes externas (como a Internet) como pela rede interna (Intranet). Exemplos de tais serviços são:

(47)

Topologias de segurança

 Zona Desmilitarizada (DMZ)

 A função do firewall nestes cenário é controlar tráfego entre segmentos;

 Tentativas de acesso entre a DMZ e a rede interna devem ser rejeitadas e logadas para auditoria;

(48)

Topologias de segurança

 Zona Desmilitarizada (DMZ)

 A DMZ deve prover espaço para serviços como:

Sites Internet de acesso WEB: Servidores como o IIS, o Apache, provêm serviços que podem ser utilizados tanto interna como externamente;

Serviços de FTP: Serviço não seguro; informações triviais;

Encaminhamento de E-Mail: Filtro de e-mail que entra; mascara o servidor de e-mail que sai; potencialmente perigoso;

Serviços de DNS: Deve ficar exposto, porém bem monitorado e mantido; excesso de informação deve ser evitada; Zone X-fer;

Detecção de Intrusão: É uma localização de difícil manutenção;

DarkNets: É um segmento de rede que não leva a lugar nenhum. Serve para coletar pacotes mal configurados ou maliciosos.

(49)

Topologias de segurança

 Zona Desmilitarizada (DMZ)

(50)

Topologias de segurança

 Detecção de Intrusão  IDS

Dispositivos dedicados

Componentes baseados em software Monitoram trafego ou atividades

específicas do usuário, com o objetivo de:

o Identificar ações maliciosas o Tentativas de acesso não

autorizado o Ataques

O IDS não substitui a necessidade

do firewall, software de anti-virus, políticas de segurança, e outros controles

(51)

Topologias de segurança

 Detecção de Intrusão  Classes de IDS

 Análise de assinaturas

o Ataques conhecidos, pontos vulneráveis conhecidos o Pattern-matching

o Precisa atualizar a lista de assinaturas o Comparação com anti-vírus

 Análise estatística

o Observação dos desvios na utilização padrão do sistema, rede ou aplicação

o Precisa de uma referência (Utilizaçào de CPU, I/O, horário de logins, ...) – Treino do IDS



Análise de integridade

o Identifica modificação em arquivos ou objetos do sistema o Utiliza criptografia (Hashes criptográficos)

(52)

Topologias de segurança

 Detecção de Intrusão

 Principais Características:

 Pode funcionar com pouca ou nenhuma

supervisão

 É tolerante a falhas

 Não exige muitos recursos do sistema

 É preciso. Apresenta poucos:

o Falso positivo: Quando o IDS classifica uma

ação legitima como maliciosa

o Falso Negativo: Quando uma ação maliciosa

não é identificada

(53)

Topologias de segurança

 Detecção de Intrusão

 Categorias de IDS

 NIDS – Network Intrusion Detection System (mais

comum)

 HIDS – Host Intrusion Detection System

 IDS de Aplicação

 IDS de Integridade

(54)

Topologias de segurança

 Detecção de Intrusão – NIDS

 Equipamentos ou componentes de software

 Funcionam em modo Promíscuo “sniffando” o tráfego da rede e

colocam a placa de rede em modo Full Stealth

 Distribuídos pela rede e integrados a uma console de gerenciamento

 Em sua maior parte são baseados em assinaturas

 Podem ser completamente invisíveis para atacantes por não

precisarem de endereços IP e não responderem a probes como

PINGs

 Desvantagens:

Só alarma se houver uma identificação com uma assinatura Não informa se o ataque teve sucesso

Tem pouca eficiência contra trafego encriptado ou redes muito

(55)

Topologias de segurança

 Detecção de Intrusão – HIDS

 Rede de sensores carregados em diversos equipamentos espalhados pela rede, gerenciados por uma console centralizada

 Os sensores observam os eventos associados ao equipamento que eles estão presentes

 Possibilita verificar o sucesso do ataque (sensor no próprio equipamento)

 Efetivo contra tráfego encriptado (analisa o próprio sistema)  Não necessita de hardware adicional. Menor custo

 Desvantagens

 Atividade na rede não é visível a um sensor do sistema

 Utiliza mecanismos de auditoria que consomem mais recursos  Gerencia e Implantação difícil em grandes redes

(56)

Topologias de segurança

 Detecção de Intrusão – HIDS (cont.)

 Os 5 Tipos Básicos de sensores HIDS

 Analisadores de Logs

 Sensores Baseados em assinaturas

 Analisadores de

System Calls

 Analisadores de Comportamento para aplicações

 Analisadores de integridade de arquivos

(57)

Topologias de segurança

 Detecção de Intrusão (cont.)

 IDS de Aplicação

 Coleta informação no nível da aplicação o SGBD’s, Firewalls, Servidores WEB Não são muito populares atualmente

o Existe a tendência de migração do foco em segurança da rede para o conjunto servidores/aplicações.

 Desvantagens

o Quantidade excessiva de aplicações para suportar o Só monitora um componente por vez

(58)

Topologias de segurança

 Detecção de Intrusão (cont.)

 IPS – Intrusion Prevention System

 Foca na prevenção e não na reação  Mecanismos:

o Host-based com proteção de memória e processos (interrupção de BufferOverflows)

o Interceptação de sessão (Envio de RST)

o Gateway Intrusion Detection (Modificação de ACL’s)

 HoneyPots

Utilizada em Forense Computacional É um IDS disfarçado de servidor na rede

Pode estar disfarçado de serviço, host ou servidor Não resolve um problema, captura informações Quando distribuídas compõem as HoneyNets

(59)