• Nenhum resultado encontrado

Gerenciamento de Segurança

N/A
N/A
Info
Descarregar agora
Protected

Academic year: 2022

Share "Gerenciamento de Segurança"

Copied!
28
0
0

Carregando.... (Ver texto completo agora)

Descarregar agora ( 28 páginas )

Texto

(1)

Gerenciamento de Segurança

Liane Tarouco UFRGS

O cenário

Os ataques atualmente ocorrendo na Internet não mais visam apenas sistemas fim, ou seja, servidores e estações de trabalhos dos usuários.

(2)

3

Situação atual

Ataques que afetam direta ou indiretamente a própria infra-estrutura da rede

– afetando os roteadores ou serviços básicos como servidores de nomes Como isto ocorre e como afeta o gerenciamento da rede?

A Internet não é intrinsecamente segura

Protocolos sem proteção contra monitoração Autenticação fraca

Problemas:

– IP spoofing

– Redirecionamento de tráfego – Obstrução de acesso

– DNS

– Email fraudulento – Monitoração

(3)

5

Evolução das ameaças

“Sasser”

Resposta Humana impossível Resposta automatizada requerido, i.e., conserto e atribuição automática Segundos

Minutos Horas Dias

Semanas ou meses

Resposta Humana impossível Resposta automatizada improvável Bloqueio proativo possível Resposta Humana: difícil/impossível

Resposta automatizada: possível Resposta Humana

possível Virus de arquivos executáveis

Macro Virus

e-mail

Ameaças combinadas

“Warhol”

“Flash”, Sasser

Início 1990 Meados 1990 Final 1990 2000 2003 2004

Tempo

Network Trends

Diversas Topologias

de Redes Diversos

Dispositivos de Comunicação

Aplicaçõese Mobilidade

Wireless

Empresa WAN

Cenário complexo

(4)

7

Trends

Mobilidade é a aplicação mais importante!

Diversidade – Redes – Dispositivos – Aplicações

Securança fica fragmentada – Sistemas operacionais – Aplicações

– Redes locais “confiáveis”

– Empresa

– Backbone Internet

Criptografia apenas não é segura

– Todavia deve ser usada para proteger os dados da aplicação

COMPLEXIDADE ESTÁ AUMENTANDO

Situação atual

Os personagens

Fornecedores

– estão cientes dos erros e vulnerabilidades – tem condições de antecipar consequências

destes problemas Usuários

– sabem que erros de configuração e erros de software podem possibilitar intrusão – sabem que há correções, atualizações e

avisos sobre vulnerabilidades – não tem habilidade para corrigir

(5)

9

Alertas CERT/CC & US-CERT

Tendências e cenário

Taxa de descobertas de vulnerabilidades crescendo desde 2002

Tempo para explorar decrescendo

– 2002 - 14 dias – 2003 7-10 dias

– atualmente menos de uma semana

Estratégias e liberação de soluções anti-virus estão melhorando

Correções melhorando (vendedores e usuários)

(6)

11

CERT-CC estatísticas de incidentes

0 25000 50000 75000 100000 125000 150000

1989 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003

Source: CMU Computer Emergency Response Team

Last updated January 22, 2004

NBSO - NIC BR Security Office

(7)

13

NBSO - Scans reportados

Incidentes Reportados ao NBSO -- Janeiro a Dezembro de 2004

As conseqüências

A maioria dos atacantes realizou intrusões bem sucedidas

Muitas intrusões dão ao atacante privilégios de administrador

A Internet provê grande quantidade de informação sobre como atacar sistemas Muitos atacantes utilizam scripts publicados na Internet

(8)

15

Custos

Custo para encontrar todos os problemas

Custo para encontrar e

explorar uma vulnerabilidade

Os servidores estão protegidos.

Culturalmente a visão de segurança dos

administradores das redes brasileiras têm utilizado filtros de acesso apenas para proteger seus

equipamentos, arcando o usuário ou consumidor final com o ônus de sua especialização para prevenção e proteção.

(9)

17

Ameaças de vírus descobertas por dia

Source: McAfee AVERT

0 10 20 30 40 50 60 70

1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 Est.

0 10,000 20,000 30,000 40,000 50,000 60,000 70,000 80,000 90,000 100,000

Code Red Nimda Goner Slammer

Source: McAfee AVERT

Máquinas infectadas em hora de pico

(10)

19

Ferramentas usadas :

• (win)nuke, ping of death, land, teardrop

– TCP

• SYN flood

• Uso de várias flags

• Ataques com estabelecimento de sessão TCP

– ICMP

• echo & echo_reply

– UDP

Arquitetura de ataque

Ataque SYN flood

Como detectar uma máquina que esteja sendo alvo Como detectar uma máquina que esteja sendo alvo de um ataque do tipo SYN

de um ataque do tipo SYN floodflood??

(11)

21

O ciclo

Uma série de ataques, antes dirigidos aos computadores dos provedores de acesso (servidores), têm sido redirecionados para os computadores dos usuários finais e estes usados como ferramenta de ataque

Ataque distribuído

•Agentes Agentes DDoSDDoS::

•Trinoo Trinoo e outrose outros

•Cavalos de Cavalos de TroiaTroia

(12)

23

Atacante

O zumbi pode estar ao seu lado – Mesma rede local

– conexão banda larga (ADSL)

Vetor de ataque

Filial Internet

Servidores

Vermes autopropagantes continuam a interromper os negócios causando paradas e necessidade de consertos (patch)

Usuário remoto Usuário remoto Wireless LAN LAN

Ataques Ataques

(13)

25

Slammer SQL

Janeiro 2003

Pacote de 384 bytes encapsulado em UDP

Código hostil

Padrão 010101001 usado para criar

buffer overflow

Slammer

Firewalls e IDS abertos Propagação

– 10 minutos - todo o mundo – 31 minutos- 75.000 sistemas

– Alguns sistemas capazes de gerar 30.000 pacotes/segundo

(14)

27

Formas de contaminação

Arquivos anexo a email abertos manualmente ou de forma automatizada

Scripts recebidos via HTTP

Agentes DDoS usando vulnerabilidades

– Compartilhamento de arquivos – P2P, IRC

Endereços parecidos

Atualizações de aplicações bem conhecidas Engodos diversos enviados por SPAM

Quem é o intruso

(15)

29

Detecção

Quais os alvos em termos de serviços ? Portas necessárias

– 80 x Kazaa

Posicionamento de campos dinâmico na camada de aplicação

Custo de resposta a incidentes está aumentando

$0.00

$0.50

$1.00

$1.50

$2.00

$2.50

$3.00

Code Red Nimda Slammer Blaster[1]

Source: NetWorm.org

[1] Blaster cost includes the cost of the near

In billions

(16)

31

Aumentando a vulnerabilidade das aplicações

Source: CMU Computer Emergency Response Team

Last updated August 3, 2004 0

500 1000 1500 2000 2500 3000 3500 4000 4500

1989-1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 (Est.)

Engenharia social e o SPAM

– Hordas de spamers enviam diariamente dezenas de mensagens para os usuários da Internet e dentre as propagandas não solicitadas estão sempre presentes as mensagens armadilha.

(17)

33

Phishing - tendências

0 50 100 150 200 250 300 350 400

11/8/03 11/22/03

12/06/03 12/20/03

1/3/04 1/17/04

1/31/04 2/14/04

2/28/04 3/13/04

3/27/04 4/10/04

4/24/04 5/8/04

5/22/04 6/5/04

6/19/04 6/30/04 [1]

Source: Anti-Phishing Working Group[1] Represents data for four days

Phising

Motivação passou de vandalismo a crime organizado

Estimativas de que 5% tem sucesso Combinação com engenharia social

(18)

35

E-CrimeWatch Survery - 2003

Virus or other malicious attack Denial of service attack

Illegal generation of spam e-mail Unauthorized access by an insider Phishing

Unauthorized access by an outsider Fraud

Theft of intellectual property Theft of other proprietary info Sabotage by an insider Sabotage by an outsider Extortion by an outsider Extortion by an insider

77.2%

43.6%

38.3%

35.7%

31.0%

27.2%

21.9%

20.5%

16.4%

10.8%

10.8%

3.2%

2.6%

Source: CSO E-CrimeWatch Survey Report May 24, 2004

E-Crime Watch Survey 2004

Virus or other malicious code 82%

Spyware . 61%

Phishing . 57%

Illegal generation of spam email . 48%

Unauthorized access to information, systems or networks 43%

Denial of service attacks 32%

Rogue wireless access point 21%

Exposure of private or sensitive information. 19%

Fraud 19%

(2004: Employee) Identity theft . 17%

Password sniffing. 16%

Theft of intellectual property. 14%

Zombie machines on organization’s network 13%

Theft of other (proprietary) info . 12%

Sabotage 11%

Web site defacement . 9%

Extortion . 2%

Other 4%

(19)

37

E-crime survey - Source outsider

Phishing (Base: 316) 92%

Web site defacement (Base: 50). 92%

Spyware (Base: 338) . 89%

Illegal generation of spam email (Base: 266) . 89%

Denial of service attacks (Base: 179) . 88%

Virus or other malicious code (Base: 453) 85%

Identity theft (Base: 95) 81%

Fraud (Base: 105) 80%

Zombie machines on organization’s network (Base: 73) 77%

Password sniffing (Base: 86) 74%

Extortion (Base: 10) . 60%

Sabotage (Base: 61) 59%

Unauthorized access to information, systems or networks (Base: 237). 58%

Theft of other (proprietary) info (Base: 65) 54%

Exposure of private or sensitive info (Base: 106) . 47%

Theft of intellectual property (Base: 75) 33%

Rogue wireless access point (Base: 117). 29%

Hipótese

No gerenciamento de rede de alta velocidade fatores como performance, segurança e usabilidade usualmente são conflitantes

– Medidas complicadas de controle de acesso podem ser necessárias mas afetam

negativamente a usabilidade

– Aspectos de performance podem levar a usar menor nível de segurança

(20)

39

Degradação de performance

0 100 200 300 400 500 600 700 800 900 1000

0 50 100 200 400 800 1600 3200

# of Rules

10^6 bytes 512

1024 2048 4096

Detecção de intrusão e Firewalls

Segurança v performance Escalabilidade futura ?

Aspectos da rede sobre os quais não se tem controle.

(21)

41

Soluções existentes

Firewalls

Sistemas de Detecção de Intrusão (IDS) Sistemas de Proteção de Intrusão

VPN - Virtual Private Network Varreduras anti virus

Firewall

Intranet

A solução mágica ?

(22)

43

Metodologias usadas

Firewall

ACL (Access Control List) Filtragem sensível a estado Proxy de aplicação

– qual aplicação: HTTP, SMTP ?

(23)

45

IDS

Implementados em servidores – antiirus

– antispam

– filtragem de URL Novas arquiteturas

Análise da carga útil do pacote Maior segurança

Requisitos desejáveis

Adaptação autônoma – Controle de acesso

– Filtragem pré-programada de assinaturas – Detecção de anomalia

Identificação de novas ameaças mediante inspeção de comportamento

(24)

47

Integração

Múltiplas soluções de segurança

Cada elemento alimenta e interage com os demais

Tamanho dos Logs

0 200,000,000 400,000,000 600,000,000 800,000,000 1,000,000,000 1,200,000,000

Septe Novem Januar March May July Septe Novem Januar March May July Septe Novem Januar March May July

IDS Firewall

(25)

49

Detecção

Novas metodologias Estratégias de uso Sistemas

Arquiteturas

Perceber quando ocorre pela primeira vez Soluções em tempo real

Sem sobrecarga para a rede

Novas soluções defensivas

Assinatura Anomalia

Comportamento Capacidades

determinadas por políticas que administradores ou máquinas heurísticas podem passar a usar a partir do momento de

(26)

51

Detecção de intrusão

Tráfego total anormal

Tráfego em determinadas portas anormal

Detecção de ataques

Ataques do tipo Denial of Service

(27)

53

Detecção de infestações

Tráfego anormal (http, smtp)

Monitorar para detectar

Distribuição de tráfego não usual por protocolos

– TCP : ~90 % (HTTP, FTP, SMTP e P2P) – UDP : ~10 % (DNS, SNMP, streaming) – ICMP : <1 %

– IGMP : <1 %

RRDtool e Netflow podem ser usados para traçar gráficos e detectar tendências e anomalias

(28)

55

Gerenciamento integrado

Gerência de segurança Gerência de configuração

– regras de filtragem – status

Gerência de performance – normal x anormal

Heurística e Inteligência Artificial

Combinando varredura (SNMP) e eventos gerados por IDS e outros

Referências

Descarregar agora ( PDF - 28 páginas - 1.83 MB )

Documentos relacionados

Professor: Fabiano Vieira

Tautologia – Quando uma proposição sempre é verdadeira, o que acarreta que toda sua coluna na tabela- verdade possui somente valores Verdadeiros. Contradição – Oposto à

Fábio Sampaio Rosas Universidade Estadual Paulista

Definidos os dois eixos do domínio analisado, foram escolhidas três, das onze abordagens mencionadas por Hjørland (2002), a saber: 1) Estudos bibliométricos, no que se

Grupo motor-bomba. Tabela de conteúdo. Características RP 51172/ Tipo ABAPG

Não podem ser deduzidas dos nossos dados quaisquer informações sobre uma dada característica específica, nem sobre a aptidão para um determinado fim. Os dados fornecidos não eximem

PROCESSO DISCIPLINAR N. 433/2020-1ª CD RECURSO VOLUNTÁRIO 014/2021 STJD/PLENO

5.2 Importante, então, salientar que a Egrégia Comissão Disciplinar, por maioria, considerou pela aplicação de penalidade disciplinar em desfavor do supramencionado Chefe

GRÃOS DE SOJA COMO FONTE DE UREASE NA AMONIZAÇÃO DO BAGAÇO DE CANA-DE-AÇÚCAR COM URÉIA

No entanto, quando se eliminou o efeito da soja (TABELA 3), foi possível distinguir os efeitos da urease presentes no grão de soja sobre a conversão da uréia em amônia no bagaço

Nanocápsulas Poliméricas Secas Contendo Indometacina: Estudo de Formulação e de Tolerância Gastrintestinal em Ratos

Através do experimento in vivo, verificou-se que o pó nebulizado de nanocápsulas (Neb-NC) é efetivo na proteção da mucosa gastrintestinal frente à indometacina, enquanto que os

Apontamentos sobre o desenvolvimento do psiquismo humano: desafios e possibilidades para a educação escolar

Diz ele: “a primeira forma de relação entre imaginação e realidade consiste no fato de que toda obra da imaginação constrói-se sempre de elementos tomados da realidade e presentes

Conteúdo.

Como irá trabalhar com JavaServer Faces voltado para um container compatível com a tecnologia Java EE 5, você deverá baixar a versão JSF 1.2, a utilizada nesse tutorial.. Ao baixar