Segurança em TI
Faculdade Cambury
Os ataques de negação de serviço desferidos de diversos
pontos a importantes websites de e-commerce pelo
Mafiaboy, mostraram que as armas do cibercrime estão se
tornando cada vez mais automatizadas e fáceis de usar
mesmo por hackers inexperientes.
Os ataques também mostraram que a vulnerabilidade e o
número de vítimas potenciais do cibercrime estão se
ampliando à medida que aumenta o número de pessoas e
de organizações conectadas à Internet.
As Ameaças do Cybercrime
A Exodus é um importante provedor de serviços e
instalações de Internet. Seus serviços incluem:
CATT, a equipe Tigre para ciberataques, que oferece às
companhias uma gama de serviços de segurança geridos
por uma equipe de experientes especialistas no assunto.
Resultado: Muitas companhias terceirizaram parte de sua
administração de segurança para a Exodus.
Medidas de Segurança da Exodus
Se você tiver pouca segurança, será atacado por hackers.
Se você tiver o hardware mais atualizado em segurança, mas,
não utilizá-lo corretamente, será atacado por hackers.
Se você for atacado por hackers, e não fizer nada sobre isso,
você será processado.
Exodus: a tese da CATT
Sistema de Autorização
Sistema de pagamento e compensação.
Sistema de descoberta de fraudes.
Data Warehouse:
Um data warehouse (DW), ou armazém de dados é
um banco de dados com dados históricos usados para
análise e decisões das mais exóticas perguntas
realizadas por executivos. Os dados contidos nos data
warehouse são sumarizados, periódicos e descritivos.
Visa: Funções do Centro de Dados
Desafios de segurança e medidas de segurança são vitais
para a proteção de websites corporativos e financeiros.
A instalação física de processamento da Visa é protegida
por diversas camadas de repetição e de cópias.
Os especialistas em TI da Visa criaram software de teste
para seus equipamentos.
Desafios e Medidas de Segurança
A Visa International utiliza medidas de segurança de
grande alcance para assegurar o nível impecável do
processamento de cartões de pagamento e acordos
financeiros gerados por mais de um bilhão de cartões
existentes, 23 milhões de comerciantes e 21.000
instituições financeiras.
A qualidade superior da administração de segurança,
necessária para apoiar integralmente a disponibilidades
deste sistema de pagamento eletrônico mundial é
demonstrada pelas medidas preventivas e defensivas
tradicionais e de alta tecnologia.
Medidas de Segurança da Visa
Identificação biométrica
Detecção de fraude de rede neural
Sofisticada proteção de infraestrutura
As cópias possuem cópias de segurança
Anualmente é realizado um teste completo de tensão
de desempenho nos sistemas de processamento de
pagamentos globais da Visa.
Medidas Preventivas e de Alta Tecnologia
Empregadores podem utilizar dispositivos de
monitoração
eletrônica
para
espionar
seus
funcionários. Por exemplo:
Vasculhando suas mensagens de e-mail.
Vasculhando quais websites você visitou.
Bloqueio de sites a serem visitados.
Política de segurança.
Vasculhando (Sniffing)
Imediata
socialização
de
mensagens,
eBay,
pornografia, resultados esportivos etc.
Segredos de fabricação e propriedade intelectual
podem deixar a empresa.
Companhias tem sofrido processos por assédio,
discriminação, violação de direitos autorais e outros.
Net: Distrações à Produtividade
Registrar todo o tráfico de Internet, gravando e
informando qualquer coisa que possa ser considerada
suspeita.
Encontra muitos usos inadequados das redes das
empresas.
Constatar “cibernegligências”.
Acabar com a cibernegligência:
Monitorar a utilização da Internet.
Bloquear sites vistos como não relacionados ao
serviço.
Monitoração Eletrônica
A companhia possui uma política expressa contra o
uso da Internet para uso pessoal.
Instalou o software Resource Monitor para monitorar
o uso da Internet pelos funcionários.
Resource Monitor é um programa voltado à tarefa de
informar sempre e de modo ininterrupto como anda o consumo de recursos do computador. Um software deste tipo é muito útil para quem acho necessário realizar um constante monitoramento deste tipo de informação.
AGM Container Controls
86% dos usuários de Internet preocupam-se com a
privacidade online.
50% dizem que distribuirão informação pessoal em
troca da oportunidade de ganhar loterias.
58% dos usuários de Internet não negociam online
.
Privacidade Online
O P3P (Platform for Privacy Preferences) no Internet
Explorer 6.0 da Microsoft permite que os
consumidores verifiquem e saiam de websites sem
políticas de privacidade que atendam suas
preferências de privacidade.
A iniciativa .Net da Microsoft gerou alguns
sentimentos negativos nos usuários da web. Este
website é capaz de manter grande massa de
informações pessoais num local.
Problemas de Privacidade na Microsoft
Portas de configuração:
DNS (53), WWW (80), FTP (21), Telnet (23),
SMTP (25)
Servidores mais utilizados:
APACHE - mais popular e seguro
UNIX
IIS – da Microsoft (Internet Information Server)
NT
(é
o
nome
da
família
de sistemas
operacionais do Windows voltados ao meio corporativo
– New Technology
).
Problemas de Privacidade na Microsoft
Web Server
Web Server
Web Server Software Web Server HostCGI – Programas Web
CGI – Programas Web
Web Server
Aplicação CGI
Cliente
Protocolo CGI
CGI é um acrônimo para a expressão inglesa Common Gateway Interface. Consiste numa importante tecnologia que
permite gerar páginas dinâmicas, permitindo a um navegador passar parâmetros para um programa alojado num servidor web.
Web Chats – Mais Vulnerável
Web Chats – Mais Vulnerável
Web Chats – Mais Vulnerável
Web Chats – Mais Vulnerável
Estatísticas de invasão na Web.
S.O. com maior incidência de pichações
NT 59% Linux 19% Solaris 10% BSD 7% Outros 5%
Domínios mais invadidos
Domínios mais invadidos
Brazil (br)
United States (us) United Kingdom (uk) Korea, Republic of (kr) Mexico (mx) Germany (de) Australia (au) Canada (ca) Russian Federation (ru) Argentina (ar)
Topologia de Rede
Topologias de segurança
Topologia de Segurança:
Zonas de Segurança
DMZ’s
Topologias de segurança
Fundamentos de infraestrutura de redes
Nem todas as redes são criadas igualmente, por isso não
devem ser igualmente organizadas;
Um exemplo de uma aplicação de e-commerce, com
servidores IIS, e servidores customizados de middle-tier
e servidores de Banco SQL.
Topologias de segurança
Zonas de Segurança:
Diz-se de uma zona de segurança, qualquer porção
de uma rede que necessita de requisitos de segurança
especiais. Intranet, extranet, DMZ’s e VLAN’s, são
exemplos de zonas de segurança
Segmentos de rede distintos
Agrupamentos lógicos
Que tipo de informação é manipulada; Quem utiliza;
Topologias de segurança
Firewall, DMZ e IDS
Firewall
É um equipamento utilizado para proteger a rede interna de uma organização de ameaças lógicas de redes externas, como a Internet;
Da mesma forma que uma porta fechada protege seu conteúdo de ameaças físicas externas;
O Firewall utiliza uma tabela de regras predefinidas, de forma a permitir ou bloquear o trafego através dele, provendo assim segurança aos equipamentos localizados depois dele;
Topologias de segurança
Firewall
No mínimo, um firewall deve ser capaz de:
Bloquear trafego baseado em regras predefinidas;
Mascarar a presença de redes (ou hosts) ao mundo externo;
Reduzir a quantidade de informações apresentada como resposta; Logar e manter uma trilha de auditoria de tráfego que entra e que sai; Prover métodos de autenticação adicionais;
Topologias de segurança
Firewall (cont.)
Firewalls atuais tem a capacidade de reagir a detecção de intrusão com a atualização de regras;
Sistemas de IDS integrados;
Redes virtuais privadas integradas (VPN’s)
Capacidade de executar técnicas de proxy transparente;
Obs1.: Quanto maior for o número
de serviços disponíveis em um
firewall maior é a probabilidade de um ataque direcionado ter sucesso.
Obs2.: O firewall por si só não garante segurança
Topologias de segurança
Tecnologias de Firewall
As tecnologias de firewall mais
utilizadas são:
Filtragem de pacotes
Gateways de camada de aplicação
Inspeção de estado (statefull inspection)
Qualquer uma das tecnologias acima têm
suas
vantagens
e
desvantagens
,
Cabe ao administrador de segurança
determinar a que deverá ser utilizada em
cada caso
Topologias de segurança
Filtragem de Pacotes:
Opera na camada 3 (rede) do modelo OSI
Funciona permitindo ou negando tráfego por uma porta
específica
Opera de maneira mais rápida pois só verifica o conteúdo
do cabeçalho do pacote
Pode ser configurado para permitir o negar acesso à portas
específicas ou endereços IP
Possui apenas duas diretivas para política de filtragem
Permite por padrão
Nega por padrão (melhor prática)
Topologias de segurança
Filtragem de Pacotes:
Opera em ambas as direções:
Impede a entrada de elementos nocivos à rede Restringe o tráfego a rede externa
Exemplo: Trojan (Cavalo de Tróia)
Portas conhecidas (Well-known)
Total de 65535 portas
Destas, as primeiras 1023 são portas conhecidas
Portas acima de 1023 são consideradas portas registradas ou portas dinâmicas/privadas
Portas registradas: de 1024 a 49.151
Portas Dinâmicas / Privadas 49.151 a 65.535
Muitas destas portas oferecem vulnerabilidades, mesmo as portas conhecidas, melhor manter o desnecessário fechado
Topologias de segurança
Exemplo de conexão: FTP
Modo Ativo:
1. O cliente FTP inicia uma conexão de controle a partir de uma porta qualquer, maior que 1024, na porta 21 do servidor
2. O cliente FTP envia um comando PORT instruindo o servidor a estabelecer uma conexão para uma porta uma unidade mais alta que a conexão de controle. Esta será a porta de dados do cliente
3. O servidor irá enviar dados ao cliente, a partir da porta 20 do servidor, para a porta de dados do cliente
Topologias de segurança
Exemplo de conexão: FTP
Modo Passivo:
1. O cliente FTP inicia uma conexão a partir de uma porta qualquer maior que 1024 como porta de controle, e inicia uma outra porta, uma unidade mais alta que a de controle, como porta de dados.
2. O cliente então envia um comando PASV, instruindo o servidor a abrir uma porta de dados qualquer
3. O Servidor envia um comando PORT indicando ao cliente a porta que ele iniciou
4. O cliente pode assim enviar e receber dados através da porta de dados que o servido o instruiu a utilizar
Topologias de segurança
Filtragem de Pacotes:
Benefícios:
Velocidade – Apenas o cabeçalho é examinado e uma tabela básica de regras é analisada;
Facilidade de uso – As regras deste tipo de firewall são fáceis de definir, e portas podem ser abertas ou fechadas rapidamente;
Transparência – Pacotes podem trafegar por este tipo de firewall sem que remetente ou destinatário saibam de sua existência;
Topologias de segurança
Filtragem de Pacotes:
Desvantagens:
Rigidez – Uma porta só pode estar aberta ou fechada, abertura/fechamento por demanda não são suportados
Análise de conteúdo – Este tipo de firewall não enxerga além do cabeçalho, portanto, se um pacote tiver um cabeçalho válido, ele pode ter qualquer conteúdo, inclusive malicioso.
Topologias de segurança
O tráfego é filtrado baseado em regras específicas, que incluem: IP de origem e destino, tipo de pacote (TCP/UDP), numero da porta, etc...
Todo tráfego desconhecido é permitido apenas até a camada OSI 3
Topologias de segurança
Gateway de camada de aplicação
Também conhecido com filtragem por aplicação
Benefícios:
Mais avançada que a filtragem de pacotes, examina todo o
pacote para determinar o que deve ser feito com ele.
Permite, por exemplo, bloquear telnet através da porta de
ftp. Ou ainda, verificar que controles de um Trojan estão sendo enviados pela porta 80 de HTTP, e bloqueá-los.
Um dos principais benefícios é o conhecimento a nível de
aplicação.
Topologias de segurança
Gateway de camada de aplicação
Desvantagens:
Cada pacote e completamente reconstruído, comparado a
uma série de regras complexas e novamente desmontado. O que o torna mais lento.
Apenas uma fração das aplicações tem regras
pré-definidas, qualquer outra tem que ser manualmente adicionada.
Quebra o conceito de arquitetura cliente-servidor por
reconstruir o pacote através de todo o modelo OSI até a camada de aplicação.
O cliente estabelece uma conexão com o firewall, onde o
pacote é analisado, em seguida o firewall cria uma conexão com o servidor para o cliente.
Topologias de segurança
O tráfego é filtrado baseado em regras específicas de aplicação, como aplicações específicas (ex. browsers) ou um protocolo (ex. FTP), ou ainda uma combninação de ambos.
O tráfego desconhecido é
permitido até o topo da camada de transporte
Topologias de segurança
Inspeção de estado
Trata-se da intersecção entre duas tecnologias
Benefícios:
Mais robusto que filtragem de pacotes e mais versátil que
gateway de camada de aplicação.
Possuí conhecimento a nível de aplicação sem quebrar
efetivamente a arquitetura cliente servidor.
Mais rápido que gateway de camada de aplicação por não
Topologias de segurança
Inspeção de estado
Utiliza um conjunto de regras mais complexa.
Mais seguro que a filtragem de pacotes por permitir
conhecimento dos dados na camada de aplicação.
Introduz o conceito de conhecimento do estado da
Topologias de segurança
Inspeção de estado
Mecanismo de funcionamento:
Monitora estados de comunicação e aplicações através
de suas requisições, além de saber qual a resposta
esperada por cada sessão.
Permite abertura dinâmica de portas e fechamento
automático após o final da conexão
Topologias de segurança
O tráfego é filtrado em três níveis, baseado em uma grande variedade de regras de
aplicação, sessão e/ou filtragem de pacotes.
O tráfego desconhecido é
permitido apenas até a camada 3
IDS Firewall Auditoria e Controle de Acesso Política de Segurança
Topologias de segurança
Defesa em camadas
Define o uso de múltiplas camadas de segurança; Evita a utilização de uma única linha de defesa Falso sentimento de segurança.
Outras tecnologias devem ser utilizadas:
IDS, auditoria, controle de acesso por biometria, múltiplos níveis de segurança.
Topologias de segurança
Zona Desmilitarizada (DMZ)
Introdução
Termo militar, se refere a uma zona segura entre faixas em conflito; Regras severas definem o que pode trafegar em uma DMZ;
Em segurança de redes: Segmento “neutro” da rede onde o público tem acesso restrito;
Topologias de segurança
Zona Desmilitarizada (DMZ)
Implementações de DMZ normalmente são:
Implementações de DMZ em camadas (entre firewalls); o Permite a utilização de sockets;
o Também conhecida como “rede protegida”;
Implementações de Firewalls com múltiplas interfaces (interfaces distintas do mesmo firewall);
o Um único firewall responsável por todos os tráfegos;
o Diminui o custo em hardware e esforço de administração;
Topologias de segurança
Zona Desmilitarizada (DMZ)
Em Camadas Múltiplas Interfaces
Host localizados em uma DMZ podem ser acessados tanto por redes externas (como a Internet) como pela rede interna (Intranet). Exemplos de tais serviços são:
Topologias de segurança
Zona Desmilitarizada (DMZ)
A função do firewall nestes cenário é controlar tráfego entre segmentos;
Tentativas de acesso entre a DMZ e a rede interna devem ser rejeitadas e logadas para auditoria;
Topologias de segurança
Zona Desmilitarizada (DMZ)
A DMZ deve prover espaço para serviços como:
Sites Internet de acesso WEB: Servidores como o IIS, o Apache, provêm serviços que podem ser utilizados tanto interna como externamente;
Serviços de FTP: Serviço não seguro; informações triviais;
Encaminhamento de E-Mail: Filtro de e-mail que entra; mascara o servidor de e-mail que sai; potencialmente perigoso;
Serviços de DNS: Deve ficar exposto, porém bem monitorado e mantido; excesso de informação deve ser evitada; Zone X-fer;
Detecção de Intrusão: É uma localização de difícil manutenção;
DarkNets: É um segmento de rede que não leva a lugar nenhum. Serve para coletar pacotes mal configurados ou maliciosos.
Topologias de segurança
Zona Desmilitarizada (DMZ)
Topologias de segurança
Detecção de Intrusão IDS
Dispositivos dedicados
Componentes baseados em software Monitoram trafego ou atividades
específicas do usuário, com o objetivo de:
o Identificar ações maliciosas o Tentativas de acesso não
autorizado o Ataques
O IDS não substitui a necessidade
do firewall, software de anti-virus, políticas de segurança, e outros controles
Topologias de segurança
Detecção de Intrusão Classes de IDS
Análise de assinaturas
o Ataques conhecidos, pontos vulneráveis conhecidos o Pattern-matching
o Precisa atualizar a lista de assinaturas o Comparação com anti-vírus
Análise estatística
o Observação dos desvios na utilização padrão do sistema, rede ou aplicação
o Precisa de uma referência (Utilizaçào de CPU, I/O, horário de logins, ...) – Treino do IDS
Análise de integridadeo Identifica modificação em arquivos ou objetos do sistema o Utiliza criptografia (Hashes criptográficos)
Topologias de segurança
Detecção de Intrusão
Principais Características:
Pode funcionar com pouca ou nenhuma
supervisão
É tolerante a falhas
Não exige muitos recursos do sistema
É preciso. Apresenta poucos:
o Falso positivo: Quando o IDS classifica uma
ação legitima como maliciosa
o Falso Negativo: Quando uma ação maliciosa
não é identificada
Topologias de segurança
Detecção de Intrusão
Categorias de IDS
NIDS – Network Intrusion Detection System (mais
comum)
HIDS – Host Intrusion Detection System
IDS de Aplicação
IDS de Integridade
Topologias de segurança
Detecção de Intrusão – NIDS
Equipamentos ou componentes de software
Funcionam em modo Promíscuo “sniffando” o tráfego da rede e
colocam a placa de rede em modo Full Stealth
Distribuídos pela rede e integrados a uma console de gerenciamento
Em sua maior parte são baseados em assinaturas
Podem ser completamente invisíveis para atacantes por não
precisarem de endereços IP e não responderem a probes como
PINGs
Desvantagens:
Só alarma se houver uma identificação com uma assinatura Não informa se o ataque teve sucesso
Tem pouca eficiência contra trafego encriptado ou redes muito
Topologias de segurança
Detecção de Intrusão – HIDS
Rede de sensores carregados em diversos equipamentos espalhados pela rede, gerenciados por uma console centralizada
Os sensores observam os eventos associados ao equipamento que eles estão presentes
Possibilita verificar o sucesso do ataque (sensor no próprio equipamento)
Efetivo contra tráfego encriptado (analisa o próprio sistema) Não necessita de hardware adicional. Menor custo
Desvantagens
Atividade na rede não é visível a um sensor do sistema
Utiliza mecanismos de auditoria que consomem mais recursos Gerencia e Implantação difícil em grandes redes
Topologias de segurança
Detecção de Intrusão – HIDS (cont.)
Os 5 Tipos Básicos de sensores HIDS
Analisadores de Logs
Sensores Baseados em assinaturas
Analisadores de
System Calls
Analisadores de Comportamento para aplicações
Analisadores de integridade de arquivos
Topologias de segurança
Detecção de Intrusão (cont.)
IDS de Aplicação
Coleta informação no nível da aplicação o SGBD’s, Firewalls, Servidores WEB Não são muito populares atualmente
o Existe a tendência de migração do foco em segurança da rede para o conjunto servidores/aplicações.
Desvantagens
o Quantidade excessiva de aplicações para suportar o Só monitora um componente por vez
Topologias de segurança
Detecção de Intrusão (cont.)
IPS – Intrusion Prevention System
Foca na prevenção e não na reação Mecanismos:o Host-based com proteção de memória e processos (interrupção de BufferOverflows)
o Interceptação de sessão (Envio de RST)
o Gateway Intrusion Detection (Modificação de ACL’s)
HoneyPots
Utilizada em Forense Computacional É um IDS disfarçado de servidor na rede
Pode estar disfarçado de serviço, host ou servidor Não resolve um problema, captura informações Quando distribuídas compõem as HoneyNets