Operao Segura de Redes

Prof. Msc Denival A. dos Santos

INTRODUO
A Internet um ambiente aberto criado com a finalidade de facilitar a troca de informaes. Utilizar esse ambiente de rede e outros servios de comunicao disponveis traz grandes benefcios para as organizaes, no entanto, a ampliao do alcance proporcionado pela Internet tambm torna a segurana das informaes vulnervel a novos tipos de ameaas. Por esse motivo, a conexo de uma empresa a uma rede externa deve ser bem projetada para que alcance todos os seus objetivos e extraia ao mximo todos os recursos disponveis de sua infra-estrutura sem oferecer riscos para as informaes dos seus usurios. A segurana deve ser uma preocupao bsica ao se elaborar o projeto de rede de computadores. Normalmente a segurana inversamente proporcional simplicidade e facilidade de uso/configurao da rede. As ferramentas para segurana de computadores e redes so necessrias para proporcionar transaes seguras. Geralmente, as instituies concentram suas defesas em ferramentas preventivas como firewalls, mas acabam ignorando as ferramentas de deteco de intruso (IDS -Intrusion Detection System).
Pgina 2

FIREWALL
Firewall (muro corta-fogo) um mecanismo que atua como defesa de um computador ou de uma rede, controlando o acesso ao sistema por meio de regras e filtragem de dados. Seu objetivo permitir somente a transmisso e a recepo de dados autorizados. Sua funo consiste em regular o trfego de dados entre redes distintas e impedir a transmisso e/ou recepo de acessos nocivos ou no autorizados de uma rede para outra. Existem firewalls baseados na combinao de hardware e software e firewalls baseados somente em software. Este ltimo o tipo recomendado ao uso domstico e tambm o mais comum.

Pgina 3

FIREWALL
Cheswick define Firewall como uma coleo de componentes colocados entre duas redes que, atuando em conjunto, possui as seguintes propriedades: Todo trfego de dentro para fora e vice-versa deve passar atravs do firewall. Apenas o trfego autorizado, como os definidos pela poltica de segurana local, tero permisso para passar. O firewall dever ser imune a penetrao. Observao

comum observar, principalmente no mundo Linux, afirmaes do tipo meu firewall um iptables. Esta uma afirmativa totalmente equivocada, uma vez que o citado recurso, isoladamente, no tem condies de prover segurana a uma rede. O iptables no um firewall e sim um comando que manipula o verdadeiro filtro de pacotes existente no kernel linux, o NETFILTER. O netfilter um elemento que entende as camadas 3 e 4 do modelo OSI, ou seja manipula somente recursos oferecidos por protocolos como IP, ICMP, TCP, UDP etc. Mas ele no capaz de entender payloads de protocolos existentes na camada 7.
Pgina 4

FIREWALL
Geralmente, um firewall instalado no ponto onde a rede interna segura e a rede externa no-confivel se encontram, ponto que tambm conhecido como ponto de estrangulamento.

Os sistemas de firewall so constitudos por elementos de firewall. Cada elemento um recurso que faz algum tipo de anlise, registro ou bloqueio. So exemplos disso os filtros de pacotes, como o netfilter, e os proxies como o squid.
Os principais sistemas que podero compor sistemas de firewall so: Filtros de pacotes Filtros de pacotes baseados em estados Proxies IDS ou IPS Detectores de Port Scan

Antivrus
Verificadores de integridade de arquivos, etc.
Pgina 5

FILTRO DE PACOTES
Filtro de pacotes um conjunto de regras que analisam e filtram pacotes enviados por redes distintas de comunicao. A filtragem de pacotes consiste no encaminhamento de pacotes (passagem ou descarte), conforme o contedo de certos campos dos cabealhos dos pacotes, principalmente os endereos IP de origem e destino, protocolo e portas de origem e destino. Todo o trfego atravs de uma rede enviado no formato de pacotes. O incio de cada pacote informa para onde ele est indo, de onde veio e o tipo do pacote, entre outros detalhes. A parte inicial deste pacote chamada cabealho. O restante do pacote, contendo a informao propriamente dita, costuma ser chamado de corpo do pacote. O filtro, composto de vrias regras, colocado no ponto de entrada da rede, direcionado para uma ou mais interfaces de rede, fazendo o controle do acesso a servios para toda a rede. Desta maneira, a configurao pode ser feita em um nico local, para proteo de todas as mquinas da rede.

Pgina 6

FILTRO DE PACOTES
Um filtro de pacotes analisa o cabealho dos pacotes que passam pela mquina e decide o que fazer com o pacote inteiro. Possveis aes a serem tomadas:
Aceitar (ACCEPT): o pacote pode seguir at seu destino.

Rejeitar(REJECT): o pacote ser descartado, como se a mquina jamais o tivesse recebido.

Bloquear(DROP): o pacote ser descartado, mas a origem do pacote ser informada de que esta ao foi tomada.

O filtro de pacotes controlado por regras de firewall, as quais podem ser divididas em quatro categorias: a cadeia de entrada (input chain), a cadeia de sada (output chain), a cadeia de reenvio (forward chain) e cadeias definidas pelo usurio (user defined chain). Para cada uma destas cadeias mantida uma tabela de regras separada.

Pgina 7

FILTRO DE PACOTES BASEADO EM ESTADO

Statefull Packet Filter, ou ainda, Filtro de Pacote por Estado um dos mais poderosos tipos de firewall, pois ele segue regras dadas pelo Administrador, e ainda verifica o estado (Ex: V se o pacote foi solicitado).

Os filtros de pacotes, geralmente, representam um recurso incluso nos filtros de estados.

Filtros de estados so elementos que analisam estados das conexes e permitem que o trfego, alm de direo, tenha sentido. Assim, um trfego poder ser iniciado do host A para o host B mas nunca ao contrrio, por exemplo.

Os estados utilizados pelo netfilter do kernel do linux, por exemplo so:

NEW uma nova conexo associada a uma conexo que no possui pacotes transitando previamente em ambas as direes. ESTABLISHED uma conexo que possui pacotes transitando em todas as condies. RELATED relativo a pacotes que est iniciando uma conexo mas est associado com uma outra j existente, como o caso de transferncia via FTP. INVALID referente a pacotes que no podem ser identificados por algum motivo, inclusive os que provocaram vazamento ou violao de memria e erros de ICMP.

Pgina 8

FILTRO DE PACOTES BASEADO EM ESTADO - EXEMPLO

Pgina 9

PROXY
Proxy atua como um cliente e tambm como um servidor, com o propsito de realizar requisies em favor de outros clientes. Requisies so servidas internamente ou por repasse, com uma possvel traduo de endereos (NAT), para outros servidores. Conhecido como firewall de aplicao. Proxy transparente um proxy que no modifica a requisio ou resposta alm do necessrio para haver uma autenticao e identificao. Proxy no transparente um proxy que modifica a requisio ou a resposta com o intuito de prover algum servio adicional para o usurio. importante ressaltar que proxies no aceleram Internet. Os aceleradores de Internet so os caches. H proxies HTTP que possuem cache, como o caso do squid.

Pgina 10

PROXY
Os proxys podem ser classificados quanto ao objetivo de uso em: Proxy de encaminhamento (forward proxy) - a forma mais comum de servidor proxy e, geralmente, usada para enviar requisies a partir de uma rede isolada e privada para a internet. Proxy reverso (reverse proxy) - geralmente utilizado para passar requisies oriundas da Internet, atravs de um firewall, para um rede privada isolada. Ele utilizado para evitar que clientes oriundos da Internet tenham contato direto com os servidores ou acesso no monitorado a dados sensveis em servidores de contedo e redes isoladas (intranet). Assim, caso um seja realizado um ataque, o atacado ser o proxy e no servidor final.

Pgina 11

DMZ - DeMilitarized Zone

Algumas mquinas da rede precisam receber acessos externos, o caso de servidores SMTP e servidores Web, por exemplo. Para permitir que mquinas possam desempenhar suas funes, mas que ao mesmo tempo o restante da rede continue protegida, muitos firewalls oferecem a opo de criar uma zona onde essa vigilncia mais fraca conhecida como DMZ. Nesse caso, o controle de acesso a Internet pode ser feito atravs de um projeto de DMZ, permitindo que todo o trfego entre os servidores da empresa, a rede interna e a Internet passe por um firewall e pelas regras de segurana criadas para a proteo da rede interna.

Uma DMZ ou ainda "Zona Neutra" corresponde ao segmento ou segmentos de rede, parcialmente protegido, que se localiza entre redes protegidas e redes desprotegidas e que contm todos os servios e informaes para clientes ou pblicos.

Pgina 12

IDS - Intrusion Detection Systems

Sistema de deteco de intrusos(IDS) refere-se a meios tcnicos de descobrir em uma rede quando esta est tendo acessos no autorizados que podem indicar a ao de um invasor ou at mesmo funcionrios mal intencionados.
Intruso pode ser definida como qualquer conjunto de aes que procura ficar fora do que permitido pela poltica de segurana da empresa. Enquanto no for definido o que permitido e o que no permitido no sistema, intil tentar entender uma intruso.

Sua idia surgiu na dcada de 80 e seu objetivo era desenvolver um sistema de auditoria que pudesse, alm de registrar a invaso, modificar e preparar o sistema para resistir a ela e, se possvel lanar um contra-ataque. Suas principais caractersticas so:
Anlise e monitorao das atividades de usurios e servios; Auditria e levantamento de vulnerabilidades do sistema; Reconhecimento dos padres de ataque mais comuns;

Reconhecimento dos padres de violao do sistema;

Anlise estatsticas de atividades incomuns ao sistema; Integrao com a auditoria (logs) do sistema; Reativo a ataques e atividades incomuns (opcional).
Pgina 13

IDS - Tipos

Pgina 14

IDS Tipos segundo o mtodo de deteco

Baseado em comportamento Deteco de anomalias (trfego ou padres) Picos em horrios no convencionais; Usurios buscando privilgios; Necessrio definir padres de comportamento; Alto numero de falso-positivos; Descoberta de novos padres de ataques. Baseado em assinaturas Base de assinaturas caractersticas de incidentes (explorao vulnerabilidades ou uso em desacordo com a poltica de utilizao). Comparao de dados capturados com assinaturas da base; Baixo nmero de falso-positivos; Falsa sensao de segurana.
Pgina 15

de

NIDS Network Intrusion Detection Systems

um IDS baseado na anlise de redes. Este sistema tenta detectar atividades maliciosas, como ataques de negao de servios (denial of service attacks), varredura de portas (port scans), ou mesmo tentativas de acesso de racker em computadores atravs do monitoramento de trfego da rede. NIDS l todos os entrantes pacotes e tenta encontrar padres suspeitos conhecidos como assinaturas ou regras. Se por exemplo for observado um grande nmero de requisies de conexes TCP a diferentes portas, pode-se supor que esteja acontecendo uma varredura de portas. Muitas vezes, informaes valiosas sobre uma invaso em curso pode ser aprendida ou local para onde esta sendo redirecionado o trfego de sada. Os NIDS so colocados estrategicamente em segmentos de rede para capturar o trfego com origem/destino especficos interpretados segundo o mtodo implementado. Funciona em modo promscuo ligada a um hub ou porta espelhada de um switch ou ainda implementado em um bridge. Existem vrios IDS, entre eles temos o Snort que um NIDS que permite realizar a analisar em tempo real o trfego em redes IP e criar logs.
Pgina 16

HIDS Host Intrusion Detection Systems

um IDS baseado em anlise de hosts. Este sistema monitora e analisa a parte interna de um sistema de computao, em vez de os pacotes de rede em suas interfaces externas. Um HIDS pode detectar que recursos um programa acessa e descobrir que, por exemplo, um processador de texto, de repente, e inexplicavelmente comeou a modificar o banco de dados de senha do sistema. Da mesma forma um HIDS pode olhar para o estado de um sistema, as informaes armazenadas, tanto na RAM, no sistema de arquivos, arquivos de log ou outro local, e verificar se o contedo desses aparecer como esperado. Pode-se pensar em um HIDS como um agente que monitora se algo ou algum, seja ele interno ou externo, dar evaso do sistema de poltica de segurana. Existem vrios IDS, entre eles temos:
OSSEC um HIDS que permite a deteco de rootkits, alertas e repostas pr-activas e anlise de logs.
Tripwire um HIDS que permite detectar alteraes de ficheiros em sistema Linux.

Pgina 17

IPS - Intrusion Prevention System

O Intrusion Prevention System um elemento similar ao IDS com trs pequenas diferenas:
Bloqueia o trafego malicioso;

No pode gerar falsos positivos;

Tem que ser mais rpido do que um IDS, gerando logs menos detalhados.

O IPS pode tomar medidas como o envio de um alarme, bloquear pacotes maliciosos, redefinir conexo e/ou bloquear trfego a partir de endereos IP incorreto. Em virtude do IPS no poder gerar falsos positivos, o que bloquearia trfego legtimo, a poltica dever ser diferente da utilizada para criar regras no IDS. Em consequncia, depois de todo IPS dever haver um IDS. O objetivo identificar nos logs do IDS todo o trfego malicioso que no foi bloqueado pelo IPS. Isso ser muito til para gerar novas regras. Um exemplo de IPS o HLBR, que pode, inclusive, utilizar expresses regulares nas suas regras.
Pgina 18

SNIFFER
Sniffers (Farejador) so programas que permitem o monitoramento de uma rede interna (LAN) e de todo o seu trfego. Seu propsito legal analisar trfego de rede e identificar reas potenciais de preocupao. Por exemplo, suponha que um segmento de sua rede esteja executando precariamente: a entrega de pacotes parece incrivelmente lenta ou as mquinas inexplicavelmente bloqueiam em uma inicializao de rede. Voc utiliza um sniffer para determinar a causa precisa. Os sniffers capturam pacotes de rede colocando a interface de rede Ethernet por exemplo, em modo promscuo. Sniffers variam muito em funcionalidade e projeto. Alguns analisam somente um protocolo, enquanto outros podem analisar centenas. Quando ligamos computador no HUB, e enviamos informao de um computador para o outro, esses dados vo para todas as portas do HUB, e conseqentemente para todas as mquinas. Se um sniffer estivesse rodando nos outros computadores, mesmo sem esses sistemas enviarem a informao que trafega ali para o sistema operacional, o farejador interceder na camada de rede, capturando os dados e mostrando-os para o usurio.
Pgina 19

SNIFFER - Funcionamento

Pgina 20

SNIFFER
Os sniffers representam um alto nvel de risco, porque: Podem capturar senhas; Podem configurar informaes confidenciais; Podem ser utilizados para abrir brechas na segurana de redes vizinhas ou ganhar acesso de alto nvel. Os sniffers so extremamente difceis de detectar porque so programas passivos. H duas defesas importantes contra sniffers: Topologia segmentada Sesses criptografadas

Observao:

No possvel utilizar um sniffer com modems, apenas com placas de rede (comuns ou wireless).
Tambm no possvel fazer o farejamento de redes remotas, sem algum programa instalado para realizar essa ponte, como um backdoor.

Pgina 21

SANDBOX rea Segura/rea de Teste

Todo usurio est preocupado com a segurana quando acessa a Internet, faz downloads, acessa emails e instala programas. Sempre que algum programa instalado e executado ficam gravados no computador o que chamamos de logs, ou seja, os caminhos e aes tomadas pelo programa durante sua execuo. Isto pode ser perigoso, pois alguns vrus procuram pelos logs para encontrar falhas na execuo dos programas e utilizar-se delas para invadir e danificar seu computador. Sandbox um mecanismo de segurana que cria um espao virtual no qual todas as alteraes em arquivos, configuraes e downloads efetuados so interceptadas e, aps reiniciar o computador, elas so apagadas do disco. Ele consegue controlar os programas instalados, impedindo que danos ocasionados por vrus afetem o desempenho do computador, como se criasse uma camada de segurana. Esse o conceito de segurana do Java centrado na sandbox: Uma aplicao, seja qual for o ambiente, tem um Set de coisas que pode e que no pode fazer. Exemplo de aplicao que faz isso o conhecido Robocode, da IBM, Os antivrus mais modernos como Avast 6 e Kaspersky.
Pgina 22

FERRAMENTAS IMPORTANTES
Sondagem e mapeamento
Pgina 23

Nmap THC-Amap Xprobe2 Unicornscan John the Ripper THC-Hydra Wireshark Tcpdump Ettercap Dsniff

Auditoria de senha

Analise de trfego

FERRAMENTAS IMPORTANTES
Analise de vulnerabilidade
Pgina 24

Nessus OpenVAS SARA Nikto Paros Webscarab Kismet Aircrack-ng Netstumbler Cowpatty

Auditoria de servidores web

Auditoria de redes sem fio

FERRAMENTAS IMPORTANTES
Forense computacional
Pgina 25

AccessData FTK Encase BadCopy Winnhex EspiaMule Metasploit SecurityForest Hping Yersinia Ida Pro Ollydbg

Explorao de vulnerabilidade

Manipulao de pacotes e artefatos

REFERNCIAS BIBLIOGRAFICAS
COMER, Douglas E. Interligao em rede com TCP/IP. Campus, 3 edio, 1998, traduo. ______. Palestra Sistemas de Firewall. Eriberto.pro.br, 2008. Disponvel em <http://www.eriberto.pro.br/palestras>. Acesso em 31 Abril 2011. CHESWICK, William R.; BELLOVIN, Steven M.; RUBIN, Aviel D. Firewalls and Internet security. Addison-Wesley, 2 edio, 2003. CARVALHO, Eric Barbosa Jales de. Ferramentas de resposta a incidentes de segurana. RNP, 2009. Disponvel em <http://www.poppi.rnp.br/artigos/ \ ferramentas_respostas_incidentes%20-%20eric.pdf>. Acesso em 31 Abril 2011 http://en.wikipedia.org/wiki/Network_intrusion_detection_system http://en.wikipedia.org/wiki/Host-based_intrusion_detection_system

http://www.projetoderedes.com.br/artigos/artigo_redes_de_perimetro.php
http://www.invasao.com.br/2008/02/29/sniffers/

Pgina 26