You are on page 1of 451

Segurana da Informao

Parte 2

Maj Anderson
anderson@ime.eb.br

Ementa do curso

Gesto de Segurana da Informao


Poltica de Segurana da Informao (PSI)
Sistema de Gesto de Segurana da Informao (SGSI)
Normas ABNT

Ataques
Tipos, exemplos e taxonomias

Segurana Fsica e Lgica


Firewall, Proxy, NAT, IDS e IPS

Gesto de de Segurana da Informao

Poltica de Segurana da Informao

um documento que serve como mecanismo preventivo de proteo


dos dados e processos importantes de uma organizao, que define um
padro de segurana a ser seguido pelo corpo tcnico e gerencial e
pelos usurios, internos ou externos.

Poltica de Segurana da Informao

Outra definio
A Poltica de Segurana um conjunto de diretrizes, normas,
procedimentos e instrues, destinadas respectivamente aos
nveis estratgico, ttico e operacional, com o objetivo de
estabelecer, padronizar e normatizar a segurana tanto no
escopo humano como no tecnolgico.

Poltica de Segurana da Informao

A Segurana da Informao "inicia" atravs da


definio de uma poltica clara e concisa acerca da
proteo das informaes.
Atravs de uma Poltica de Segurana da Informao,
a empresa formaliza suas estratgias e abordagens para
a preservao de seus ativos.

Poltica de Segurana da Informao

A Poltica de Segurana da Informao deve ser


compreendida como a traduo das expectativas da
empresa em relao a segurana considerando o
alinhamento com os seus objetivos de negcio,
estratgias e cultura

Poltica de Segurana da Informao

A Poltica de Segurana de Informaes deve:


Estabelecer as responsabilidades das funes relacionadas com a
segurana
Discriminar as principais ameaas, riscos e impactos envolvidos.

Poltica de Segurana da Informao

Integrar-se s polticas institucionais relativas segurana em geral,


s metas de negcios da organizao e ao plano estratgico de
informtica.
Gera impactos sobre todos os projetos de informtica, tais como
planos de desenvolvimento de novos sistemas e plano de
contingncias.
No envolve apenas a rea de informtica, mas todas as
informaes da organizao.

Relacionamentos da poltica de segurana de


informaes

Estratgia geral da organizao

Estabelece
Plano estratgico
de
informtica

Especifica

Define

Poltica de
segurana de
informaes

Contribui
para atingirse as metas

Gera impactos sobre

Planos de desenvolvimento de sistemas


Plano de continuidade de servios

Objetivos e Escopo

Prover uma orientao de apoio da direo para a


segurana da informao de acordo com os requisitos
do negcio e com as leis e regulamentaes relevantes
[ISO 27002]

Objetivos e Escopo

A poltica de segurana da informao tem como propsito


elaborar critrios para o adequado:

Manuseio
Armazenamento
Transporte e
Descarte das informaes.

Elaborao da poltica

As atividades bsicas do desenvolvimento da Poltica de


Segurana da Informao so:
Estruturar o Comit de Segurana
Definir Objetivos
Realizar Entrevistas e Verificar a Documentao Existente

Elaborao da poltica

Elaborar o Glossrio da Poltica de Segurana;


Estabelecer Responsabilidades e Penalidades;
Preparar o Documento Final da PSI;
Oficializar a Poltica da Segurana da Informao;
Sensibilizar os Colaboradores.

Participao na Poltica de Segurana

Devem estar envolvidos:


A alta gerncia;
A gerncia de segurana de informaes;
Os vrios gerentes e proprietrios dos sistemas informatizados e,
finalmente;
Os usurios.

Documentao da Poltica de Segurana


Algumas das Questes que a PSI Deve Responder
O que significa Segurana da Informao?
Por que os colaboradores devem se preocupar com segurana?
Quais so os objetivos estratgicos de SI?

Documentao da Poltica de Segurana

Como realizada a gesto da segurana da informao?


O que pensa a alta administrao?
Quais so os principais papis e responsabilidades?
Quais as penalidades previstas?

Estrutura

Convm que um documento da poltica de SI seja aprovado


pela direo, publicado e comunicado para todos os
funcionrios e partes externas relevantes [ISO 27002].

Estrutura

Uma poltica de segurana deve ser sustentada por:


Diretrizes
Normas
Procedimentos e Instrues

Estrutura

Diretrizes

Conjunto de regras gerais de nvel estratgico que tem


como base a viso e a misso da empresa
Representam s preocupaes da empresa sobre a
segurana das informaes

Diretrizes

Correspondem a todos os valores que devem ser


seguidos para que as informaes tenham o nvel de
segurana exigido

Normas

Conjunto de regras gerais de segurana que se aplicam


a todos os segmentos envolvidos
Deve ser elaborada de forma mais genrica possvel

Normas

Geralmente so elaboradas com foco em assuntos mais


especficos como:
controle de acesso, uso da Internet, uso do correio eletrnico,
acesso fsico, instrues sobre senhas e realizao de backups, etc.

Procedimentos e Instrues

Conjunto de orientaes para realizar atividades e


instrues operacionais relacionadas a segurana.
Comandos operacionais a serem executados no
momento da realizao de um procedimento de
segurana.
importante que exista uma estrutura de registro que esses
procedimentos so executados (evidncias objetivas)

Produtos (sadas) da Documentao

Carta do Presidente;
Diretrizes de Segurana da Informao;
Normas Gerais de Segurana da Informao;
Exemplos de Procedimentos Operacionais e Instrues
Tcnicas

Fatores Crticos de Sucesso

Convm que a PSI seja analisada criticamente a


intervalos planejados ou quando mudanas significativas
ocorrerem, para assegurar a sua contnua pertinncia,
adequao e eficcia [ISO 27002].
Bases de Sustentao: Cultura + Recursos + Monitoramento

Fatores Crticos de Sucesso

A implantao da poltica de segurana depende de:


Uma boa estratgia de divulgao e treinamento entre os
usurios, clientes e fornecedores
Uma forma eficiente de anlise de desempenho da poltica

Barreiras Implementao

Falta de Conscincia Sobre e Importncia da poltica de


segurana
Oramento Reduzido
Falta de Recursos Humanos Adequados
Ausncia de Ferramentas adequadas

Sucesso da PSI

Para que uma poltica de segurana da informao seja


utilizada com sucesso ela precisa ser:
Clara: escrita com uma linguagem formal e acessvel
Concisa: no deve conter informaes desnecessrias ou
redundantes

Sucesso da PSI

Adequada: com a realidade da empresa


Atualizada periodicamente: mudanas no negcios, novas
ameaas, etc

Organizando a Segurana da Informao


Para que uma organizao tenha sucesso ao
implementar essas aes de gesto fundamental que
exista um planejamento e uma estrutura adequada
Para tal, necessrio gerenciar a Segurana da
Informao dentro da organizao.

Organizando a Segurana da Informao


Convm que uma estrutura de gerenciamento seja
estabelecida para iniciar e controlar a implementao da
Segurana da Informao
Sistema de Gesto da Segurana da Informao (SGSI)

Organizando a Segurana da Informao


Convm que a direo aprove a PSI, atribua as
funes da segurana, coordene e analise criticamente
a implementao da Segurana da Informao

Sistema de Gesto de Segurana da


Informao
Definio:
Um sistema de gesto de segurana da informao um sistema
para estabelecer poltica e objetivos, e para atingir estes objetivos
utilizando:
A estrutura organizacional;
Processos sistemticos e recursos associados;

Sistema de Gesto de Segurana da


Informao
Metodologia de medio e avaliao;
Processo de anlise crtica para assegurar que os problemas so
corrigidos e as oportunidades de melhoria so identificadas e
implementadas quando necessrio.

Elementos de um sistema de Gesto

Poltica
demonstrao de compromisso

Planejamento
identificao das necessidades, recursos, estrutura e
responsabilidades

Elementos de um Sistema de Gesto

Implementao e operao
construo da conscincia organizacional e treinamento

Avaliao de desempenho
monitoramento e medio, auditoria e tratamento de no
conformidades

Elementos de um Sistema de Gesto

Melhoria
ao preventiva e corretiva, melhoria contnua

Anlise crtica pela direo

Sistema de Gesto de Segurana da Informao SGSI


A norma ISO 27001 foi preparada para prover um modelo
para estabelecer, implementar, operar, monitorar, revisar,
manter e melhorar um SGSI.
A adoo de um SGSI deve ser estratgico para a
organizao

Sistema de Gesto de Segurana da Informao SGSI


Projeto e implementao:
devem ser escalados conforme as necessidades da organizao.
Uma situao simples requer uma soluo simples.

Espera-se que o SGSI mude com o tempo.

ISO 27001

Referncia da implantao de Processos de Gesto de


Segurana da Informao, publicada em Outubro de 2005.
Verso atual publicada em novembro de 2013

Esta norma veio tornar padro internacional o que havia


sido desenvolvido e publicado pela entidade normativa
inglesa BSI (British Standard Institution), com o designao
de BS7799-2.

ISO 27001

Uma metodologia estruturada reconhecida


internacionalmente dedicada a segurana da informao
Um processo definido para validar, implementar, manter e
gerenciar a segurana da informao

ISO 27001

Um grupo detalhado de controles compreendidos das


melhores prticas de segurana da informao
Desenvolvido pelas empresas para as empresas

ISO 27001 no

Um padro tcnico
Um produto ou tecnologia dirigida
Uma metodologia de avaliao do equipamento
Mas pode exigir a utilizao de Nveis de Garantia dos
Equipamentos

ABNT NBR ISO/IEC 27001:2006


Estabelecimento do
Sistema de Gesto

Partes
Interessadas

Partes
Interessadas

Plan

Implementao e
Operao do Sistema de Gesto

Do
Expectativas e
requisitos
de segurana
da informao

P
D

A
C

Monitoramento e
Anlise Crtica do
Sistema de Gesto
Check

Manuteno e Melhoria do
Sistema de Gesto

Act
Segurana
da informao
gerenciada

PLAN (Planejar)

Definir Escopo e Limites do SGSI


Definir a Poltica Geral de Segurana da Informao
Definir a metodologia para a avaliao e tratamento de
riscos
Identificar e classificar os riscos
Identificar e classificar as alternativas para tratamento dos
riscos

PLAN (Planejar)

Selecionar objetivos de controle e controles especficos a


implementar
Identificar riscos residuais no cobertos
Preparar uma Declarao de Aplicabilidade (DDA) - Sumrio
Obter autorizao para implantar o SGSI
Formular um plano de ao

DO (Executar)

Implantar o plano de tratamento de riscos


Implantar os controles definidos
Implantar os programas de treinamento e conscientizao
dos usurios
Gerenciar o SGSI

CHECK (Verificar)

Monitorar controles existentes


Realizar revises peridicas (Auditoria Interna)
Analisar efetividade dos controles existentes
Verificar novos riscos e nvel dos riscos residuais

ACT (Agir)

Implementar melhorias necessrias


Comunicar aes
Garantir que as mudanas atingiram resultado esperado

ABNT NBR ISO/IEC 27001:2013

Sistemas de gesto de segurana da informao


Requisitos
Especifica uma srie de processos voltados para garantira reviso e
melhoria do Sistema de Gesto.

ABNT NBR ISO/IEC 27001:2006

Principal caracterstica: DEVE.


Esta Norma adota o modelo conhecido como Plan-Do-Check-Act,
que aplicado para estruturar todos os processos do SGSI (Sistema
de Gesto da Segurana da Informao).

ABNT NBR ISO/IEC 27001:2006

Organizao

1.
2.
3.
4.

ESCOPO
REFERNCIAS NORMATIVAS
TERMOS E DEFINIES
SISTEMA DE GESTO DA SEGURANA DA INFORMAO

ABNT NBR ISO/IEC 27001:2006

5.
6.
7.
8.

RESPONSABILIDADE DA DIREO
AUDITORIAS INTERNAS DO SGSI
ANLISE CRTICA PELA DIREO DO SGSI
MELHORIAS DO SGSI ANEXOS A, B e C

ABNT NBR ISO/IEC 27001:2006


4. SISTEMA DE GESTO DE SEGURANA DA INFORMAO


4.1. REQUISITOS GERAIS
4.2. ESTABELECENDO E GERENCIANDO O SGSI

4.2.1.
4.2.2.
4.2.3.
4.2.4.

Estabelecer o SGI (P)


Implementar e operar o SGSI (D)
Monitorar e analisar criticamente o SGSI (C)
Manter e melhorar o SGSI (A)

4.2.1
4.2.2

4.2.4

4.2.3

ABNT NBR ISO/IEC 27001:2006

4.3. REQUISITOS DE DOCUMENTAO


4.3.1. Geral (P)
4.3.2. Controle de documentos (P)
4.3.3. Controle de registros (P,D,C e A)

4.2.1
4.2.2

4.2.4

4.2.3

ABNT NBR ISO/IEC 27001:2006

5. RESPONSABILIDADE DA DIREO
5.1. COMPROMETIMENTO DA DIREO (P)
5.2. GESTO DE RECURSOS (D)
5.2.1. Proviso de recursos
5.2.2. Treinamento, conscientizao e competncia

6. AUDITORIAS INTERNAS DO SGSI (C)

ABNT NBR ISO/IEC 27001:2006

7. ANLISE CRTICA DO SGSI PELA DIREO (A)


7.1. GERAL
7.2. ENTRADAS PARA A ANLISE CRTICA
7.3. SADAS DA ANLISE CRTICA

ABNT NBR ISO/IEC 27001:2006

8. MELHORIA DO SGSI (A)


8.1. MELHORIA CONTNUA
8.2. AO CORRETIVA
8.3. AO PREVENTIVA

Alguns Benefcios da Certificao ISO 27001

Responsabilidade reduzida devido s polticas e aos


procedimentos no implementados ou reforados
Oportunidade de identificar e eliminar fraquezas
A Gerncia participa da Segurana da Informao

Alguns Benefcios da Certificao ISO 27001

Reviso independente do seu SGSI


Fornece segurana a todas as partes interessadas
Melhor conscincia da segurana
Une recursos com outros sistemas de gerenciamento
Mecanismo para medir o sucesso do sistema

Algumas Razes para adotar o ISO 27001

Eficcia melhorada da Segurana da Informao


Diferenciao do Mercado
Satisfazer exigncias dos clientes
nico padro com aceitao global

Algumas Razes para adotar o ISO 27001

Responsabilidades focadas na equipe de trabalho


A Tecnologia da Informao cobre padres to bem quanto
a organizao, pessoal e facilidades
Mandatos e leis

ABNT NBR ISO/IEC 27002

CDIGO DE PRTICA PARA A GESTO DA SEGURANA DA


INFORMAO
Apresenta as melhores prticas a serem utilizadas na gesto da
segurana da informao.

Estrutura da Norma

5. Poltica de Segurana da Informao (1)

Estrutura da Norma

5. Poltica de Segurana da Informao (1)

5.1 Poltica de Segurana da Informao


Objetivo: "Prover uma orientao de apoio da direo para a segurana
da informao de acordo com os requisitos do negcio e com as leis e
regulamentaes relevantes

Estrutura da Norma

5.1.1 Documento da Poltica de Segurana da


Informao
"Convm que um documento da poltica de SI seja aprovado pela
direo ..."

5.1.2 Anlise Crtica da Poltica de Segurana da


Informao
"Convm que a poltica de SI seja analisada criticamente a
intervalos planejados ou quando mudanas ...

Estrutura da Norma

Objetivo do controle
Controle
Diretrizes para implementao
Informaes adicionais

Principal caracterstica: CONVM.

Sees (Categorias)

Poltica de Segurana da Informao (1)


Organizando a Segurana da Informao (2)
Gesto de Ativos (2)
Segurana em Recursos Humanos (3)
Segurana Fsica e do Ambiente (2)

Sees (Categorias)

Gesto de Operaes e Comunicaes (10)


Controle de Acesso (7)
Aquisio, Desenvolvimento e Manuteno de SI (6 )
Gesto de Incidentes de SI (2)
Gesto da Continuidade do Negcio (1)
Conformidade (3)

5.POLTICA DE SEGURANA DA INFORMAO

5.1. POLTICA DE SEGURANA DA INFORMAO


Prover uma orientao e apoio da direo para a segurana da
informao, com base nos requisitos do negcio, leis e
regulamentaes relevantes.

5.POLTICA DE SEGURANA DA INFORMAO

Estabelecimento e manuteno de uma poltica clara e alinhada com os


objetivos do negcio.
Demonstrar o comprometimento da direo.
Conscientizao e treinamento.
Anlise crtica documentada e realizada em intervalos planejados.

6.ORGANIZANDO A SEGURANA DA INFORMAO

6.1. INFRA-ESTRUTURA DA SEGURANA DA INFORMAO


Gerenciar a segurana da informao dentro da organizao

6.2. PARTES EXTERNAS


Manter a segurana dos recursos de processamento e da informao
da organizao que so acessados, processados, comunicados ou
gerenciados por partes externas.

7. GESTO DE ATIVOS

7.1. RESPONSABILIDADE PELOS ATIVOS


Alcanar e manter a proteo adequada dos ativos da organizao.
Ativos identificados claramente e inventariados constantemente.

7. GESTO DE ATIVOS

7.2. CLASSIFICAO DA INFORMAO


Assegurar que a informao receba um nvel adequado de proteo
A informao deve ser classificada em termos do seu valor, requisitos
legais, sensibilidade e criticidade para a organizao.

8. SEGURANA EM RECURSOS HUMANOS


8.1. ANTES DA CONTRATAO
8.2. DURANTE A CONTRATAO
8.3. ENCERRAMENTO OU MUDANA DA CONTRATAO

8. SEGURANA EM RECURSOS HUMANOS


Funcionrios, fornecedores e terceiros:

Entendam suas responsabilidades e obrigaes;


Estejam de acordo com os seus papis;
Estejam conscientes das ameaas;
Estejam preparados para apoiar a Poltica; e
Deixem a organizao (ou mudem de trabalho) de forma ordenada.

9. SEGURANA FSICA E DO AMBIENTE


9.1. REAS SEGURAS
9.2. SEGURANA DE EQUIPAMENTOS
Prevenir o acesso fsico no autorizado, danos e interferncias com
as instalaes e informaes da organizao.
Controles de entrada fsica; e
Proteo contra ameaas externas e do meio ambiente.

9. SEGURANA FSICA E DO AMBIENTE


Impedir perdas, danos, furto ou comprometimento de ativos e
interrupo das atividades da organizao.
Segurana do cabeamento; e
Reutilizao e alienao segura de equipamentos.

10. GERENCIAMENTO DAS OPERAES E COMUNICAES

10.1. DOCUMENTAO DOS PROCEDIMENTOS DE OPERAO


Garantir a operao segura e correta dos recursos de processamento
de dados.

10.2. GERENCIAMENTO DE SERVIOS TERCEIRIZADOS


Implementar e manter o nvel apropriado

10. GERENCIAMENTO DAS OPERAES E COMUNICAES

10.3. PLANEJAMENTO E ACEITAO DE SISTEMAS


Minimizar o risco de falhas nos sistemas

10.4. PROTEO CONTRA CDIGOS MALICIOSOS E CDIGOS


MVEIS
Proteger a integridade do software e da informao.

10. GERENCIAMENTO DAS OPERAES E COMUNICAES

10.5. CPIAS DE SEGURANA DAS INFORMAES


Manter a integridade e disponibilidade da informao e dos recursos
de processamento da informao.

10.6. GERENCIAMENTO DA SEGURANA EM REDES


Garantir a segurana das informaes em redes e a proteo da
infraestrutura de suporte.

10. GERENCIAMENTO DAS OPERAES E COMUNICAES

10.7. MANUSEIO DE MDIAS


Prevenir contra divulgao no autorizada, modificao, remoo
ou destruio aos ativos e interrupes das atividades do negcio.

10.8. TROCA DE INFORMAES


Manter a segurana na troca de informaes e softwares
organizao e com quaisquer entidades externas.

10. GERENCIAMENTO DAS OPERAES E COMUNICAES

10.9. SERVIO DE COMRCIO ELETRNICO


Garantir a segurana de servios de comrcio eletrnico e sua
utilizao segura.

10.10. MONITORAMENTO
Detectar atividades no autorizadas de processamento da
informao.

11. CONTROLE DE ACESSOS

11.1. REQUISITOS DE NEGCIO PARA CONTROLE DE ACESSO


Controlar o acesso informao

11.2. GERENCIAMENTO DE ACESSO DO USURIO


Assegurar o acesso do usurio autorizado e prevenir o acesso no
autorizado a sistemas de informao.

11.3. RESPONSABILIDADES DOS USURIOS


Prevenir o acesso no autorizado dos usurios e evitar o
comprometimento ou roubo da informao e dos recursos de
processamento da informao.

11. CONTROLE DE ACESSOS

11.4. CONTROLE DE ACESSO REDE


Prevenir o acesso no autorizado aos servios de rede.

11.5. CONTROLE DE ACESSO AO SISTEMA OPERACIONAL


Prevenir o acesso no autorizado aos sistemas operacionais.

11. CONTROLE DE ACESSOS

11.6. CONTROLE DE ACESSO APLICAO E INFORMAO


Prevenir o acesso no autorizado informao contida nos sistemas
de aplicao.

11.7. COMPUTAO MVEL E TRABALHO REMOTO


Garantir a segurana da informao e recursos de trabalho remoto.

12. AQUISIO, DESENVOLVIMENTO E MANUTENO DE


SISTEMAS DE INFORMAO

12.1. REQUISITOS DE SEGURANA DE SISTEMAS DE


INFORMAO
Garantir que a segurana parte integrante de sistemas de
informao.

12.2. PROCESSAMENTO CORRETO NAS APLICAES


Prevenir a ocorrncia de erros, perdas, modificao no autorizada
ou mau uso de informaes em aplicaes.

12. AQUISIO, DESENVOLVIMENTO E MANUTENO DE


SISTEMAS DE INFORMAO

12.3. CONTROLES CRIPTOGRFICOS


Proteger a confidencialidade, a autenticidade ou a integridade das
informaes por meios criptogrficos.

12.4. SEGURANA DOS ARQUIVOS DO SISTEMA


Garantir a segurana de arquivos de sistema.

12. AQUISIO, DESENVOLVIMENTO E MANUTENO DE


SISTEMAS DE INFORMAO

12.5. SEGURANA EM PROCESSOS DE DESENVOLVIMENTO E


DE SUPORTE
Manter a segurana de sistemas aplicativos e da informao.

12.6. GESTO DE VULNERABILIDADES TCNICAS


Reduzir riscos resultantes da explorao de vulnerabilidades
tcnicas conhecidas.

13. GESTO DE INCIDENTES DE SEGURANA DA


INFORMAO
13.1. NOTIFICAO DE FRAGILIDADES E EVENTOS DE
SEGURANA DA INFORMAO
Assegurar que fragilidades e eventos de segurana da informao
associados com sistemas de informao sejam comunicados,
permitindo a tomada de ao corretiva em tempo hbil.

13. GESTO DE INCIDENTES DE SEGURANA DA


INFORMAO
13.2. GESTO DE INCIDENTES DE SEGURANA DA
INFORMAO E MELHORIAS
Assegurar que um enfoque consistente e efetivo seja aplicado
gesto de incidentes de segurana da informao.

14. GESTO DA CONTINUIDADE DO NEGCIO

14.1. ASPECTOS DA GESTO DA CONTINUIDADE DO


NEGCIO, RELATIVOS SEGURANA DA INFORMAO
No permitir a interrupo das atividades do negcio e proteger os
processos crticos contra efeitos de falhas ou desastres significativos
e assegurar a sua retomada em tempo hbil, se for o caso.

15. CONFORMIDADE

15.1. CONFORMIDADE COM REQUISITOS LEGAIS


Evitar violao de qualquer lei criminal ou civil, estatutos,
regulamentaes ou obrigaes contratuais e de quaisquer
requisitos de segurana da informao.

15. CONFORMIDADE

15.2. CONFORMIDADE COM NORMAS E POLTICAS DE


SEGURANA DA INFORMAO E CONFORMIDADE TCNICA
Garantir conformidade dos sistemas com as polticas e normas
organizacionais de segurana da informao.

15. CONFORMIDADE

15.3. CONSIDERAES QUANTO AUDITORIA DE SISTEMAS


DE INFORMAO
Maximizar a eficcia e minimizar a interferncia no processo de
auditoria dos sistemas de informao.

Organizando a Segurana da Informao


Estudamos vrios aspectos da Gesto da Segurana da
Informao, porm para que uma organizao tenha
sucesso ao implementar essas aes de gesto
fundamental que exista um planejamento e uma
infraestrutura adequada;
Para tal, necessrio gerenciar a Segurana da Informao
dentro da organizao.

Organizando a Segurana da Informao


O que significa Gerenciar a Segurana da Informao
dentro da organizao?
Convm que uma infraestrutura de gerenciamento seja estabelecida
para iniciar e controlar a implementao da SegInfo.
Convm que a direo aprove a PSI, atribua as funes da
segurana, coordene e analise criticamente a implementao da
SegInfo.

Objetivos dos Controles

Comprometimento da direo com a SegInfo;


Coordenao da SegInfo;
Atribuio de responsabilidades;
Processo de autorizao para os recursos de processamento
da informao

Objetivos dos Controles

Acordos de confidencialidade;
Contato com autoridades e grupos especiais;
Anlise independente de SegInfo.

Perfil do Gestor de Segurana

Perfil do Gestor de Segurana ( <> Chief Security Officer)

Viso Global e foco local;


Tomar decises baseados na anlise de riscos;
Criar e multiplicar padres;
Capacidades: comunicao, relacionamento e liderana;
Profissional orientado a metas ligadas misso da empresa.

Principais desafios

Limitaes de oramento;
Conscientizar gestores e colaboradores;
Questes polticas;
Desenvolver e reter profissionais e suas respectivas
habilidades;

Fatores Crticos de Sucesso (FCS)

Autonomia;
Entender o Princpio de Pareto como uma ferramenta de
Gesto ;
20% das causas representam 80% das consequncias;

Buscar comprometimento e envolvimento

Comit de Segurana

Conforme j estudamos esse grupo tem como objetivo


tomar decises estratgicas a respeito da SegInfo, elaborar
diretrizes e apoiar (dar suporte) as iniciativas de segurana;
Formado por executivos, diretores e/ou gestores;

Grupo de Trabalho

CSO e/ou Gestor de Segurana da Informao;


Consultor de Segurana;
Analista de Segurana;
Auditores;
Estrutura Organizacional (define o tipo de autonomia e
interao que a rea de SegInfo ter com as outras reas).

Partes Externas

Gerenciar a SegInfo implica ainda em:


Manter a segurana dos recursos de processamento da informao e
da informao da organizao que so acessados, processados,
comunicados e/ou gerenciados por partes externas (clientes,
fornecedores, terceiros).

Partes Externas Objetivos de Controle

Identificao dos riscos relacionados com a partes externas;


Identificando a SegInfo quando tratando com clientes;
Identificando a SegInfo em acordos com terceiros

O que um incidente de segurana?

Qualquer evento adverso, confirmado ou sob suspeita,


relacionado segurana dos sistemas de computao ou das
redes de computadores.
-ou O ato de violar uma poltica de segurana, explcita ou
implcita.

Exemplos de incidentes

Tentativas (com ou sem sucesso) de ganhar acesso no


autorizado a sistemas ou a seus dados
Interrupo indesejada ou negao de servio;
Uso no autorizado de um sistema para processamento ou
armazenamento de dados;

Exemplos de incidentes

Modificaes nas caractersticas de hardware, firmware ou


software de um sistema, sem o conhecimento, instrues
ou consentimento prvio do dono do sistema.

ENISA-https://www.enisa.europa.eu/

CURSO DE ENGENHARIA DA COMPUTAO (SE/8)

A Gesto de Incidentes de Segurana da


Informao
Notificao de fragilidades e eventos
Assegurar que fragilidades e eventos de segurana da
informao associados com sistemas de informao sejam
comunicados, permitindo a tomada de ao corretiva em tempo
hbil.

A Gesto de Incidentes de Segurana da


Informao
Responsabilidades e Procedimentos;
Asseguram respostas rpidas, efetivas e ordenadas.

Aprendendo com os incidentes;


Quantificar e monitorar.

Coleta de Evidncias.
Coleta, armazenamento e apresentao em conformidade com a
jurisdio .

Tratamento de Incidentes

Deteco
Reportado ou Identificado

Triagem
Avaliar, Categorizar e priorizar

Anlise
Entender o incidente

Resposta
Aes para resolver o incidente

Fonte: Good Practice Guide For Incident Management

Tratamento de Incidentes

Fonte: Good Practice Guide For Incident


Management

Fonte: Good Practice Guide For


Incident Management

Ciclo de Resoluo de um Incidente

Fonte: Good Practice


Guide For Incident
Management

Computer Security Incident Response Team


(CSIRT)
Computer Security Incident Response Team (CSIRT)", ou
Grupo de Resposta a Incidentes de Segurana, uma
organizao responsvel por receber, analisar e responder a
notificaes e atividades relacionadas a incidentes de
segurana em computadores.

Computer Security Incident Response Team


(CSIRT)
Presta servios para uma comunidade bem definida, que
pode ser a entidade que o mantm, como uma empresa, um
rgo governamental ou uma organizao acadmica.
Um CSIRT tambm pode prestar servios para uma comunidade
maior, como um pas, uma rede de pesquisa ou clientes que pagam
por seus servios.

CSTIR - Brasil

CERT.br
O Centro de Estudos, Resposta e Tratamento de Incidentes de
Segurana no Brasil mantido pelo NIC.br , do Comit Gestor da
Internet no Brasil, e atende a qualquer rede brasileira
conectada Internet.

CERT.br

Incidentes Reportados (CERT.br)

dos (DoS
-- Denial ofReportados
Service): notificaes
de ataques de
Incidentes
(CERT.br)
negao de servio, onde o atacante utiliza um computador ou
um conjunto de computadores para tirar de operao um
servio, computador ou rede.

Incidentes Reportados (CERT.br)

7.7 DDoS 2009

Incidentes Reportados (CERT.br)

Payback 2010

Incidentes Reportados (CERT.br)

Payback 2010

Incidentes Reportados (CERT.br)

Payback 2010

Incidentes Reportados (CERT.br)

http://sourceforge.net/projects/loic/
Payback 2010

Incidentes Reportados (CERT.br)

Payback 2010

Incidentes Reportados (CERT.br)

Incidentes Reportados (CERT.br)

Incidentes Reportados (CERT.br)

https://www.us-cert.gov/ncas/alerts/TA15-105A

invaso:Incidentes
um ataque bem
sucedido que
resulte no acesso no
Reportados
(CERT.br)
autorizado a um computador ou rede.

web: umIncidentes
caso particular
de ataque visando
especificamente o
Reportados
(CERT.br)
comprometimento de servidores Web ou desfiguraes de
pginas na Internet.

Incidentes Reportados (CERT.br)

Incidentes Reportados (CERT.br)

Incidentes Reportados (CERT.br)

scan: notificaes
deReportados
varreduras em(CERT.br)
redes de computadores,
Incidentes
com o intuito de identificar quais computadores esto ativos e
quais servios esto sendo disponibilizados por eles.
amplamente utilizado por atacantes para identificar potenciais
alvos, pois permite associar possveis vulnerabilidades aos
servios habilitados em um computador.

Incidentes Reportados (CERT.br)

fraude: Incidentes
segundo Houaiss,
"qualquer
ato ardiloso, enganoso,
Reportados
(CERT.br)
de m-f, com intuito de lesar ou ludibriar outrem, ou de no
cumprir determinado dever; logro". Esta categoria engloba as
notificaes de tentativas de fraudes, ou seja, de incidentes em
que ocorre uma tentativa de obter vantagem.

outros: Incidentes
notificaes de
incidentes que
no se enquadram nas
Reportados
(CERT.br)
categorias anteriores.

Incidentes Reportados (CERT.br)

Tentativas de fraudes reportadas (CERT.br)

Incidentes Reportados

Incidente [reviso]

Qualquer evento adverso, confirmado ou sob suspeita,


relacionado segurana dos sistemas de computao ou das
redes de computadores.
-ou O ato de violar uma poltica de segurana, explcita ou
implcita.

Taxonomia de incidentes

Existem diversas taxonomias criadas por vrios autores e


grupos de pesquisa, mas pode-se classificar os incidentes de
acordo com:
Atacante
um indivduo que tenta um ou mais ataques, a fim de atingir um
objetivo

Ferramentas
Meios que podem ser usados para explorar uma vulnerabilidade em um
computador ou rede

Taxonomia de incidentes

Vulnerabilidade
Fragilidade de um ativo ou grupo de ativos que pode ser explorada por
uma ou mais ameaas

Ao
Representa um espectro de atividades que podem ser feitas em
computadores e redes, sendo uma etapa que um usurio ou um processo
realiza com o objetivo de atingir um resultado final

Alvo
Um computador, rede ou uma entidade lgica (conta, processo ou
dados) ou entidade fsica (componente, computador ou rede).

Taxonomia de incidentes

Vulnerabilidade
Fragilidade de um ativo ou grupo de ativos que pode ser explorada por
uma ou mais ameaas

Ao
Representa um espectro de atividades que podem ser feitas em
computadores e redes, sendo uma etapa que um usurio ou um processo
realiza com o objetivo de atingir um resultado final

Alvo
Um computador, rede ou uma entidade lgica (conta, processo ou
dados) ou entidade fsica (componente, computador ou rede).

Taxonomia de incidentes

Vulnerabilidade
Fragilidade de um ativo ou grupo de ativos que pode ser explorada por
uma ou mais ameaas

Ao
Representa um espectro de atividades que podem ser feitas em
computadores e redes, sendo uma etapa que um usurio ou um processo
realiza com o objetivo de atingir um resultado final

Alvo
Um computador, rede ou uma entidade lgica (conta, processo ou
dados) ou entidade fsica (componente, computador ou rede).

Taxonomia de incidentes

Resultado
Resultado de um ataque oriundo de uma ao no aprovada pelo
proprietrio ou administrador

Objetivo
Propsito ou objetivo final de um incidente

Atacantes

Hackers
Atacante que usa computadores para obter acesso no autorizado
aos dados.
Usurios avanados, que possuem um exmio conhecimento em
informtica

Espies
Atacantes que atacam computadores para obter informaes a
serem utilizadas para fins polticos

Terroristas
Atacantes que tem por objetivo de causar medo para obter ganhos
polticos

Atacantes

Atacantes corporativos
empregados (atacantes) que atacam computadores de empresas
concorrentes para obter ganhos financeiros ou roubar informaes

Criminosos profissionais
Atacantes que tem por objetivo obter ganhos pessoais

Atacantes

Vndalos
Atacantes que tem por objetivo causar danos

Voyeurs
Atacantes que tem por objetivo obter informaes sensveis por
emoo ou realizao pessoal

Jarges

White hat
Hacker que estuda sistemas de computao procura de falhas na
sua segurana, mas respeitando princpios da tica hacker.
Ao encontrar uma falha, o white hat normalmente a comunica em
primeiro lugar aos responsveis pelo sistema para que tomem as
medidas cabveis.

Jarges

Black hat
Hacker que no respeita a tica hacker e usa seu conhecimento para
fins criminosos ou maliciosos; ou seja, um cracker.
Tambm chamado darkside hacker;

Jarges

Grey hat
Hacker intermedirio entre white e black: por exemplo, um que
invade sistemas por diverso mas que evita causar dano srio e que
no copia dados confidenciais.

Newbie
o termo usado para designar um hacker principiante.

Jarges

Lammer ou ento script kiddie


Algum que se considera hacker mas que, na verdade, pouco
competente e usa ferramentas desenvolvidas por outros crackers
para demonstrar sua suposta capacidade ou poder

Phreaker
um hacker especializado em telefonia (mvel ou fixa).

Jarges

Hacktivist ou "hacktivista"
um hacker que usa suas habilidades com a inteno de ajudar em
causas sociais ou polticas.

Hackers Famosos

http://tecnologia.terra.com.br/internet/hackers-famosos/

CURSO DE ENGENHARIA DA COMPUTAO (SE/8)

Ataques

CURSO DE ENGENHARIA DA COMPUTAO (SE/8)

Ferramentas de ataque/segurana

Vrias ferramentas podem ser utilizadas para ataque/


segurana
Programas de varredura
Crackers de senha
Sniffers
Ferramentas de log e auditoria

Etapas de um ataque

1. Reconheciment
(Reconnaissance)
Ativo
Passivo
2. Varredura (Scanning)
3. Obter acesso
Ao SO ou aplicao
Rede
Negao de servio (DoS)
4. Manuteno do acesso
Enviando, alterando ou
baixando programas ou
dados
5. Limpando rastros

Fase 1 - Reconhecimento

Reconhecimento
Coletar informaes do local a ser atacado.
Fasepreparatriaonde umatacanteprocurareuniro mximo de
informaespossveis sobreumalvo antes delanarum ataque

Pode ser
Passivo
Sem contato direto com a vtima
Uso de informaes pblicas

Ativo
Interagindo com o alvo
Ligaes telefnicas para o help desk, engenharia social, etc

realizado o footprinting do alvo

Fase 1 - Reconhecimento

Footprinting o processo de obter dados a respeito de um determinado


ambiente, normalmente com o objetivo de encontrar meios para
realizar a invaso
Resulta em um perfil a respeito das redes (Internet/intranet/extranet/
wireless) e sistemas envolvidos
Um atacante gasta maior parte do tempo no levantamento do perfil da
empresa, em relao ao tempo do ataque em si.
necessrio para que sistematicamente e metodologicamente garantir
que todas as informaes relacionadas ao alvo sejam identificadas

Fase 1 - Reconhecimento
Informaes a serem obtidas
Internet
Nomes de domnio
Blocos de rede
Endereos IP especficos
Servios TCP e UDP
Arquitetura de sistemas
Mecanismos de controle de acesso
IDS
Topologia da rede
Enumerao de Sistema
Acesso Remoto
Nmeros de telefone
Tipo de sistema remoto
Mecanismos de autenticao

Extranet
Origem e destino das conexes
Tipos de conexes
Mecanismos de controle de acesso

Fase 1 - Reconhecimento

Obter informaes onde a empresa a disponibiliza


Site da empresa e relacionados
Faa uma cpia do site e implemente um programa para coletar
informaes que julgar interessante.
Linux: wget
Windows: Teleport pro

Pesquise problemas de segurana que a empresa possa ter tido


Google

Listas de discusso sobre plataformas, sistemas, hardware, etc.


Arquivos de sites antigos
www.archive.org

Fase 1 - Reconhecimento
Ferramentas

Whois
Nslookup
Nmap
Neo Trace
VisualRoute Trace
SmartWhois
eMailTrackerPro
Website watcher
GEO Spider
HTTrack Web Copier
E-mail Spider

Fase 1 - Reconhecimento

Alchemy Network Tool


Big Brother
BiLE Suite
CountryWhois
WhereIsIP
Ip2country
CallerIP
Web Data Extractor Tool
What is MyIP.com
SpiderFoot
Google Hacking

Fase 2 - Varredura

Varredurarefere-sea fasede prataquequandoohackervarrea redepara obter


informaes especficascom basenas informaes
recolhidas duranteo reconhecimento
Varredura podeincluir o usodescanners de
portas,mapeamentode rede,scanners
devulnerabilidade,etc.
Risco para o negcio
Alto
Atacantes obtem uma porta de entrada para poder realizar o ataque

Fase 2 - Varredura

Tipos de varredura
De Porta
De Rede
De Vulnerabilidades

Objetivos

Descobrir
Descobrir
Descobrir
Descobrir
Descobrir

detalhes da rede (topologia, equipamentos)


servios em execuo
portas ativas
sistemas operacionais
os endereos IP em uso

Fase 2 - Varredura

Metodologia

Verificar por sistemas ativos


Verificar por portas abertas
Identificar os servios
Capturar Banner e identificar servios
Procurar por vulnerabilidades
Desenhar os diagramas de hosts vulneraveis
Preparar proxies

Fase 2 - Varredura

Ferramentas utilizadas
Programas de varredura
Os programas de varredura procuram determinar:

Que servios esto atualmente executando


Se acessos annimos so suportados
Se certos servios requerem autenticao
Falhas de segurana conhecidas e no corrigidas

Os programas de varredura revelam fraquezas na rede


Podem auxiliar tanto administradores quanto possveis invasores

A maioria dos programas de varredura permite varrer vrios domnios e


redes

Fase 2 - Varredura
Algumas ferramentas comerciais
strobe

Rpido, confivel, somente faz varreduras TCP

udp_scan

SATAN, SAINT, somente UDP

netcat
nc, TCP e UDP

nmap
netscan
superscan
NTOScanner
WinScan
ipEye
WUPS
GFI Languard
SATAN
Nessus
Retina

Fase 2 - Varredura
Preparo de Proxies
Proxy um computador que atua como intermedirio na
comunicao entre duas outras mquinas
Pode ser utilizado uma cadeia de proxies
Existem proxies gratuitos na internet
Objetivo
Dificultar a identificao do atacante
Mascarar os registros
Algumas ferramentas

Socks Chain
Proxy WorkBench
Proxy Manager Tool
Multiproxy

Fase 2 - Varredura
Preparo de Proxies

Ataques para obteno de informaes

Tcnicas:

Dumpster diving ou Trashing


Engenharia Social
Eavesdropping ou Packet Sniffing
Scanning
Firewalking
Phishing

Ataques para obteno de informaes

Dumpster diving ou Trashing


Revirar o lixo a procura de informaes.
Pode revelar informaes pessoais e confidenciais.

Engenharia Social
Tem como objetivo enganar e ludibriar pessoas.
Ataca o elo mais fraco da segurana o usurio.
Normalmente o atacante se faz passar por um funcionrio da
empresa.

Ataques para obteno de informaes

Eavesdropping ou Packet Sniffing


A interface de rede colocada em modo promscuo.
Captura pacotes no mesmo segmento de rede.
Senhas trafegam em claro (Telnet, FTP, POP, HTTP, etc)
Wireshark, tcpdump

Ataques para obteno de informaes

Scanning
Port Scanning
Obtm informaes a respeito dos servios acessveis (portas abertas)
em um sistema.

Scanning de vulnerabilidades
Obtm informaes sobre vulnerabilidades especficas (conhecidas)
para cada servio em um sistema.

Nmap

Network view

Nessus

Ataques para obteno de informaes


Firewalking
Obtm informaes sobre as regras do firewall que protege uma
rede, a partir de uma rede externa.
Funcionamento similar ao traceroute. Usa TCP/UDP Port Scan.

Phishing

Problemas com e-mail

boatos
correntes
spam
phishing-scam
scam Uma ao ou operao fraudulenta ou enganosa
phishing

vrus
worms
Engenharia Social

Phishing-scam

Outros exemplos
Orkut fake
Abaixo assinados
Virus de MSN

191
Prof Fernando Hmmerli - Segurana de Redes de Computadores - Unidade II

192
Prof Fernando Hmmerli - Segurana de Redes de Computadores - Unidade II

Fase 3 Obter acesso

Passo 1: Enumerar usurios


Obter nome de usurios utilizando recursos de enumerao para
Windows ou verificao SNMP
Passo 2: quebrar a senha
Descobrir a senha do usurio para ganhar acesso ao sistema
Passo 3: Elevar privilgios
Elevar para o nvel de administrador
Passo 4: Executar aplicaes
Infiltrar keyloggers, spywares, and rootkits na mquina invadida
Passo 5: Esconder arquivos
Por exemplo, utilizando esteganografia para esconder as
ferramentas ou cdigos fonte
Passo 6: Apagar registros
Apagar registros para evitar de ser descoberto

Enumerao

Enumerao definida como o processo de extrao de


nomes de usurio,nomes das mquinas, recursos de rede,
compartilhamentos e servios
Normalmente realizadas em ambientes de intranet
Envolveconexes ativaspara determinadossistemase a
realizao de consultas diretas
Algumas tcnicas utilizadas
Obter nomes de usurios utilizando
Win2k enumeration
SNMP

Obter informaes utilizando senhas padro


Fora bruta contra o Active Directory

Netbios Null Sessions

Santo Graal dos ataques contra Windows


Aproveita as falhas no protocolos CIFS/SMB (Common
Internet File System/Server Messaging Block)
Podem ser obtidas as seguintes informaes

Lista de usurios e grupos


Lista de mquinas
Lista de compartilhamentos
Identificadores de usurios e hosts (SID Security Identifiers)

Comandos abaixo servem para conectar ao processo oculto


IPC com usurios annimo e senha nula (Win2k e XP)
Windows: C:\> net use \\192.34.34.2\IPC$ /u:
Linux: $ smbclient \\\\target\\ipc\$ "" U "

Netbios Null Sessions

Ferramentas teis

DumpSec
SuperScan
PS tools (Microsoft)
Windows Active Directory Attack Tool (w2kdad.pl)

Comandos teis
net view /domain
net view \\<some-computer>
nbtstat -A <some IP>

Lista de senhas default


http://cirt.net/passwords

Quebra de senha

Quatro tipos de ataque

Ataques online passivos


Ataques online ativos
Ataques offline
Ataques no eletrnicos

Ataques online passivos Wire Sniffing

Baseado no monitoramento do trfego da rede


Fases:
1. Acessar e gravar o trfego bruto da rede
2. Aguardar at que trafegue algum quadro de autenticao
3. As credencias so atacadas dependendo de como elas esto
criptografadas

Consideraes:

Relativamente difcil de ser executado


Relativa complexidade computacional
Ferramentas largamente disponveis

Ataques online passivos Man-in-the-middle (MITM)


O atacante intercepta os dados
e responde pelo cliente,
podendo alterar os dados.
Session hijacking
O atacante derruba o cliente
e mantm a conexo em
andamento.
Etapas
1. Obtm acesso ao canal de
comunicao
2. Aguarda por uma sequencia
de autenticao
3. Atua como um proxy para a
autenticao
4. Sem necessidade de fora
bruta

Ataques online passivos Replay attack


Dados interceptados podem ser retransmitidos pelo atacante.
possvel utilizar dados cifrados.
Consideraes para MITM e Replay attack
Difcil de realizar
Um ou os dois lados devem confiar no atacante
Algumas ferramentas disponveis
As vezes pode ser invalidade devido a quebra do trfego

Ataques online ativos

Password Guessing
Tenta diferentes senhas at uma funcionar
Funciona contra senhas fceis ou a no existncia de senha
Dicionrios de senha

Ataques Offline
Utilizar alguma tcnica para quebrar a senha associado a
um cracker de senha
Um cracker de senha qualquer programa que supera a segurana
de senha revelando senhas que anteriormente foram criptografadas

Normalmente no possvel decifrar senhas


Embora no seja uma verdade matemtica
Uso de funes Hash

Os crackers de senha utilizam o mtodo comparativo para


descobrir senhas
A maioria dos crackers de senha utilizam um dicionrio de
palavras para utilizar na comparao
Se uma senha estiver no dicionrio utilizado ela certamente ser
descoberta

Ataques Offline
Tipos de ataques
Ataque de dicionrio
Tenta diversas palavras de uma lista
Efetivo contra senhas fracas

Ataque hbrido
Inicia com o dicionrio
Combina outros caracteres
Adiciona um nmero
Adiciona um smbolo

Efetivo quando mal utilizado os caracteres especiais e nmeros

Ataque de fora bruta


Tenta todas as senhas possveis
Normalmente tenta atacar o Hash primeiro
Pre-Computed Hash (Rainbow Attack)
Tabela com todos os hashes possveis pr-existente
Compara com a base de dados disponvel
Problema
Necessita um elevado espao de armazenamento
O uso de elemento aleatrio (salt) inviabiliza seu uso

Ataques Offline

Outras variantes

Ataque de slabas
Rule-based
Distributed Network Attack
Shoulder surfing
Keyboard Sniffing
Engenharia social

Ferramentas de ataque/segurana

Regras para boas senhas:


Alternar letras maisculas e minsculas e utilizar
caracteres no-alfanumricos
Senhas grandes (maiores do que 8 caracteres)
Procurar uma ordem de formao que lhe ajude a
lembrar e que no seja de conhecimento geral
ex: as primeiras letras de uma frase

Os crackers de senha tm melhorado sensivelmente


com o aumento do tamanho e variedade dos
dicionrios

Mitigao dos riscos para senhas

Para minimizar os riscos de descoberta das senhas, podem


ser utilizados
Smart cards / tokens
Difcil de quebrar
Custo elevado

Biometria
Propenso a falhas

Associados a senhas

Programas utilizados

John the ripper


Netbios Auditing Tool (NAT)
Smbbf (SMB Brute Force Tool)
SmbCrack Tool
L0phtCrack
PWdump2 e PWdump3
Rainbowcrack (rcrack)
Kerbcrack
ScoopLM
LCP
SID & USER
OPH Crack 2

Elevar privilgios

Se o atacante conseguiu acesso a rede atravs de um


usurio sem poder administrativo, o prximo passo obter
privilgios administrativos
Aps ter acesso a mquina/sistema, o atacante deve obter
uma cpia da base de dados dos usurios e administradores
e utilizar um crack de senha para descobri-las

Executar aplicaes
Executa aplicaes com o objetivo de infiltrar keyloggers (podem ser
baseados em hardware ou software), spywares, and rootkits na
mquina invadida
Ferramentas disponveis

Psexec
Remoexec
Ras N Map
Alchemy Remote Executor
Emsa FlexInfo
SC-Keylog Engine Builder
Revealer Keylogger
Handy KeyLogger
Ardamax Keylogger
Powered Keylogger
Elite Keylogger
E muitos outros.......

Esconder arquivos
Os arquivos adicionados as mquinas atacadas devem ficar ocultos
Duas maneiras no Windows
Comando attrib
Attrib +h [arq/dir]

NTFS Alternate Data Streaming


Caractersitica que permite que dados sejam armazenados em um arquivo
oculto e linkados a um arquivo visvel

Rootkits
Programas que tem a habilidade de ficarem ocultos e encobrir suas
atividades
Normalmente substituem alguma rotina do SO

Algumas ferramentas

Fu
AFX
Nuclear
Vanquish

Uso de esteganografia

Esteganografia
o processo de esconder uma mensagem secreta em uma outra
mensagem e, no destino, a mensagem original pode ser extrada
O mtodo mais popular o uso de imagens para esconder as mensagens
Podem ser escondidas quaisquer tipos de informaes:
Ferramentas para hackear
Lista de servidores comprometidos
Planos de futuros ataques
Entre outros....
Ferramentas
Merge Streams
Invisible Folders
Invisible Secrets
Image Hide
Stealth Files
mp3stego
Entre outros....

Limpando rastros
Aps o invasor conseguir acesso como administrador, ele deve tentar
apagar os rastros para que no possa ser identificado
Aps realizar todas atividades, aproveita para instalar backdoors que
permitam acesso fcil ao sistema no futuro
Por exemplo
Desabilitando auditoria no windows
Auditpol (disable/remove)

Limpando Log de eventos


Elsave

Ferramentas
Winzapper
Evidence Eliminator
Traceless
Tracks Eraser Pro
Armor Tools
Entre outras....

Limpando os rastros
Para monitorar as
alteraes nos arquivos do
SO podem ser utilizadas
ferramentas que
monitoram a integridade
do SO
Integridade de arquivos
Tripwire
LanGuard

Consequncias de um ataque

Monitoramento no autorizado
Descoberta e vazamento de informaes confidenciais
Modificao no autorizada de informaes
Negao ou corrupo de servios
Fraude ou perdas financeiras
Imagem prejudicada, perda de confiana e reputao
Custo para a recuperao dos servios e informaes

Alguns tipos de ataques

Ataques ativos contra o TCP/IP


Tcnicas:
Spoofing
ARP Spoofing
IP Spoofing
DNS Spoofing

Man-in-the-middle
Session Hijacking

Replay attack
Fragmentao de pacotes

Ataques de negao de servio

Spoofing

Tcnica de autenticar uma mquina para outra forjando pacotes de um


endereo de origem confivel
Etapas do ataque
Incapacitar o host que se pretende personificar
Forjar o endereo do host que est personificando
Conectar-se ao alvo, disfarando-se como o host incapacitado
Estar no caminho para receber os pacotes de resposta
Man in the Middle

Captura (Hijack) de Conexes


Spoofing aps fase de autenticao

Spoofing

Enganar a vtima fazendo-se passar por outro host.


Tipos:
ARP Spoofing
Gerar respostas ARP falsas
ARP (Address Resolution Protocol)
Mapeia: Endereos IP Endereos MAC

IP Spoofing
Gerar pacotes com endereo IP falso

DNS Spoofing
Gerar respostas de DNS falsas
DNS (Domain Name Service)
Mapeia: Nomes Endereos IP

ARP Spoofing
1 Passo:

ARP Spoofing
2 Passo:

ARP Spoofing
Resultado

IP Spoofing
UDP e ICMP: trivial
TCP: maior grau de dificuldade
1) necessrio impedir que o host confivel responda.

IP Spoofing
2) necessrio prever o nmero de sequncia inicial.

DNS Spoofing
Contaminar o cache do servidor com resposta falsa.
Dificuldade: Adivinhar o transaction ID.

Fragmentao de pacotes
Se: tamanho do pacote

> MTU do meio, ento ocorre fragmentao.

possvel sobrescrever cabealhos durante a remontagem dos pacotes


driblar as regras de filtragem do firewall.

Ataques por negao de servio


Denial of Service: DoS
Distributed DoS: DDoS
Interrompe ou nega completamente servio a usurios
legtimos, redes, sistemas e outros recursos
No necessria muita percia para uma pessoa realiz-lo
Existem diversas ferramentas gratuitas (exploits) disponveis
muito mais fcil interromper a operao de uma rede do que
invadi-la.

Ataques por negao de servio

Na maioria das vezes implica em reiniciar a mquina ou

servio
Os protocolos de rede, como o TCP/IP, foram projetados
para serem utilizados por uma comunidade aberta e
confivel
Muitos sistemas operacionais e daemons possuem falhas
internas
Pacotes mal formados (maliciosos) ou muito grandes (ex: ataques
Ping of Death e Nukes) fazem com que aplicaes travem,
permitam invases ou passem a utilizar CPU de modo anormal

Tipos de ataque por negao de servio

Consumo de Largura de Banda


ICMP, UDP, TCP Flood

Inanio de recursos
Falhas de programao
Ataques de Roteamento e DNS
Smurf
TCP SYN Flood

Tipos de ataque DoS

(a) Consumo de Largura de Banda:


O atacante procurar utilizar toda a largura de banda de uma rede
Este ataque pode acontecer em uma rede local mas geralmente
realizado remotamente
Este ataque possui dois cenrios:
O atacante possui mais largura de banda do que a disponvel na rede
atacada. Exemplo: uma conexo de rede 1,544Mbps contra um enlace
de 56 ou 128kbps.
O atacante amplifica seu poder de ataque DoS engajando mltiplas
instalaes para inundar a conexo de rede da vtima (DDoS)

Consumo de Largura de Banda

Possveis solues
Limitao por tipo de trfego
Vivel no caso de ICMP
Difcil de implementar no caso de TCP/UDP

Implementao de Filtros de Ingresso na Rede - Network Ingress


Filtering - nos roteadores
Configurar o roteador para bloquear pacotes IP de fontes ilegtimas (IPs
falsos)
desvantagem: overhead

No impede o ataque mas permite rpida localizao de sua origem

Tipos de ataque DoS


(b) Inanio de recursos:
Este ataque se preocupa em consumir os recursos do sistema ao
invs dos da rede
Geralmente isto envolve consumir ciclos de CPU, memria, cotas
dos sistemas de arquivos ou outros processos do sistema

Possvel Soluo
Utilizar mecanismos do Sistema Operacional para imposio de
limites de execuo
Ex.: cotas, limite de uso de CPU, limite de uso de memria, threads,
file handles, etc.

Tipos de ataque DoS

(c) Falhas de programao:


So falhas de um programa aplicativo, sistema operacional ou chip
com lgica embutida no manuseio de condies incomuns
Isto ocorre quando um usurio manda dados inesperados para o
elemento vulnervel
Muitas vezes o atacante envia pacotes estranhos com o objetivo de
determinar se a pilha de rede tratar desta exceo ou se ela
resultar em um pnico do ncleo e uma queda completa do sistema
operacional

Falhas de Programao

Possveis Solues
Manter sistemas sempre atualizados com ltimas
verses de correes - Patches
Servios
Habilitar apenas os essenciais
Restringir acesso aos mesmos
Firewall
TcpWrapper
Filtros no roteador

Tipos de ataque DoS


(d) Ataques de roteamento
Este ataque envolve atacantes manipulando
entradas de tabela de roteamento para negar
servio a sistemas de redes legtimos
A maior parte dos protocolos de roteamento possui
uma autenticao fraca ou inexistente abrindo esta
brecha
Os atacantes alteram rotas legtimas,
frequentemente falsificando o IP de origem, para
criar uma condio de DoS
Vtimas tero seu trfego roteado para a rede do
atacante ou para um buraco negro

Tipos de ataque DoS

(d) Ataques de DNS


Ataques a DNS envolvem convencer o servidor da vtima a colocar
em cache informaes de endereamento falsas
atacante adivinha ID da consulta DNS
ex: ID = ID + 1 (em alguns servidores DNS)

atacante envenena o DNS com mapeamentos que no foram


requisitados (alguns servidores DNS aceitam e colocam em cache)

Quando um cliente executa uma consulta o atacante pode


redirecion-la para o site que desejar ou, em alguns casos, para um
buraco negro

Ataques de roteamento e DNS


1 - PC Cliente solicita ir para um site
de e-Commerce
2 A cache adulterada do servidor de
DNS retorna o endereo de IP da
mquina do hacker
3 O sistema do atacante agora se
faz passar pelo site de e-Commerce

Servidor DNS
de um site de
e-Commerce
(loja)

1
2

PC Cliente
3

Servidor Web do atacante


www.hacker.com.br

Servidor Web
www.loja.com.br

Ataques de roteamento e DNS

Possveis Solues
DNS seguro
Protocolos de Roteamento seguros (RIP v.2, OSPF)
autenticao da rota

Tipos de ataque DoS

(e) Smurf:
Realizado enviando uma solicitao de ping broadcast para uma
rede que responda a tais solicitaes
O atacante envia pacotes ICMP ECHO com o endereo IP de origem
falsificado para o endereo de broadcast da rede
Isto faz com que os computadores pensem que a solicitao veio da
prpria rede causando um trfego de rede violento e possibilitando
um DoS
E o IP de origem recebe os pacotes de ICMP ECHO REPLY
Possveis Solues
Configurao de roteadores
>no ip directed-broadcast

Smurf

Atacante

rede

ping
broadcast

Vtima

Tipos de ataque DoS


(f) TCP SYN Flood

3-way handshake do TCP/IP


SYN

+A
SYN

O servidor fica aguardando um sinal de ACK durante um tempo


estabelecido

CK

ACK
Cliente

Usurio solicita uma abertura de conexo


com o servidor enviando um sinal de
SYN s que com o endereo de origem
falsificado de uma rede inalcanvel
O servidor responde com um SYN+ACK
mas como a rede no existe nunca
receber um ACK ou indcio de que a
rede no existe

Servidor

O bombardeio de sinais de SYN faz com


que o servidor acabe sem conseguir
responder a mais conexes causando o
DoS

Inundao de SYN

Possveis Solues
Uso de SynCookies
Bloqueio no Firewall/Roteador
recurso que permite interceptar e validar conexes TCP para evitar
ataques SYN Flood
ex1:

ex2:

Firewall-1 CheckPoint
SYN Defender
Cisco Routers: TCP Intercept
Active Intercept Mode x Passive Watch Mode

Distributed Denial of Service (DDoS)


Utiliza diversos ataques DoS em conjunto a partir de dezenas/centenas de
sites na Internet
Zumbis (ou agents) instalados em sites comprometidos controlados
remotamente por um ou mais mestres (ou handlers)
Uso de botnets

Distributed Denial of Service (DDoS)


Exemplos de ferramentas
FloodNet (Netstrike)

Aplicao Java que inunda o alvo com solicitaes


de pginas no existentes
Trinoo

Utiliza UDP Flood


Tribal Flood Network 2k (TFN2k)

Utiliza vrios ataques DoS: Smurf, SYN Flood, UDP


Flood, ICMP Flood

Distributed Denial of Service (DDoS)

Um dos piores ataques


Possveis Solues
Executar softwares de varredura de redes
Precisa-se contar com que outros faam seu trabalho corretamente
Fechar portas usadas pelos programas (ex: 27444/udp e 31335/udp para
o Trinoo)

Configurar corretamente roteadores/estaes diminuindo a gama de


ataques DoS disponveis para um ataque DDoS

Distributed Denial of Service (DDoS)

Possveis Solues
Utilizao de mquina de deteco de intruso
Aplicao de filtro no roteador do ISP de onde provm grande parte
do ataque
Trocar o IP da mquina alvo e atualizar o DNS (problema a
propagao do DNS)
Evitar pontos nicos de falha (redundncia de servidores)

Ataque Fsico

Ataque realizado com o objetivo de roubar fisicamente ou


danificar um computador, rede, seus componentes, ou os
seus sistemas de apoio (tais como ar condicionado, energia
eltrica, etc).

Roubo de informaes

Um meio de obter informaes de outros atacantes (como


atravs de um boletim eletrnico), ou de outras pessoas
que esto sendo atacadas (comumente chamado de
engenharia social).
Engenharia social
uma tcnica que consiste em enganar usurios usando tcnicas de
persuaso.

Vulnerabilidade

Fragilidade de um ativo ou grupo de ativos que pode ser


explorada por uma ou mais ameaas
Pode ser
Projeto
Implementao
Configurao

Vulnerabilidade do projeto

Uma vulnerabilidade inerente ao projeto ou especificao


de hardware ou software em que mesmo uma
implementao perfeita ir resultar em uma
vulnerabilidade.

Vulnerabilidade de implementao

Uma vulnerabilidade resultante de um erro cometido no


software ou hardware implementao de um projeto
satisfatrio

Vulnerabilidade de configurao

Uma vulnerabilidade resultante de um erro na configurao


de um sistema, como ter contas de sistema configuradas
com senhas padro, tendo permisso de escrita ou ter
servios vulnerveis habilitado

Ao

Representa um espectro de atividades que podem ser feitas


em computadores e redes, sendo uma etapa que um usurio
ou um processo realiza com o objetivo de atingir um
resultado final
As aes so iniciadas, ao acessar um alvo, onde o acesso
definido como uma forma de estabelecer uma comunicao
lgica ou fsica

Ao

Duas aes so realizadas para obter informaes sobre o


alvo:
Sondagem (probe)
Uma ao empregada para determinar as caractersticas de um alvo
especfico

Varredura (scan)
Uma ao onde um usurio ou processo acessa uma srie de alvos em
sequncia, a fim de determinar quais alvos tm uma caracterstica
particular

As duas etapas podem ser combinadas para poder obter


mais informaes sobre o alvo

Ao

Inundao (flood)
Ao realizada para sobrecarregar um alvo, acessando
repetidamente, com o objetivo de impedir o acesso legtimo
Exemplo:
Enviar um nmero de pacotes acima da capacidade da rede
Abrir um nmero de conexes em uma porta acima da capacidade
configurada

Ao

Autenticao
Medida tomada por um usurio para assumir uma identidade
Inicia com o usurio utilizando um programa para realizar o login
Depois realizada a verificao, quando deve ser informada a senha de
acesso.

Ao

Bypass
Medida tomada para evitar um processo de autenticao e utilizar
um mtodo alternativo para acessar um alvo
Exemplo
Sistemas operacionais que tm vulnerabilidades que poderiam ser
exploradas por um atacante para obter privilgios, sem realmente fazer
login em uma conta privilegiada.

Ao

Spoofing
Ao com o objetivo de personificar uma outra
pessoa, mquina ou entidade
Pode ser realizada no nvel
Enlace (mac spoofing)
Rede (ip spoofing)
Aplicao (dns spoofing)

Ao

Ler
Obter o contedo armazenado em um storage ou em algum tipo de
mdia

Copiar
Reproduzir o contedo do alvo, deixando o original sem
modificaes

Ao

Roubar
Tomar posse do alvo sem deixar uma cpia no local original

Modificar
Alterar o contedo ou caractersticas de um determinado alvo

Ao

Apagar
Remover o alvo, ou deix-lo irrecupervel

Alvo

Um computador, rede ou uma entidade lgica ou entidade


fsica.
Lgica
Conta, processo ou dados

Fsica
Componente, computador, rede ou rede de interconexo

Resultado

Resultado de um ataque oriundo de uma ao no aprovada


pelo proprietrio ou administrador

Acesso no autorizado
Divulgao de informaes
Corrupo de informaes
Negao de Servio
Roubo de recursos

Resultado

Acesso no autorizado
Atacante consegue acessar um computador, uma rede ou um
sistema
Inicialmente pode ser realizado acesso com um usurio que possua
baixo privilgio e, posteriormente, escalar privilgios, por exemplo,
acessando uma conta de administrador

Resultado

Divulgao de informaes
Distribuir ou entregar as informaes acessadas para pessoas ou
entidades no autorizadas

Corrupo de informaes
Alterao no autorizada dos dados em um computador ou rede

Resultado

Negao de servio
Degradao intencional ou bloqueio do acesso aos computadores ou
recursos de uma rede

Roubo de recursos
Uso no autorizado do computador ou dos recursos da rede

Objetivo

Propsito ou objetivo final de um incidente

Desafio
Status
Satisfao pessoal
Polticos
Econmicos
Danos

Classificao por classe e tipo de incidente

Classificao por classe e tipo de incidente

Classificao por classe e tipo de incidente

Segurana Fsica e Lgica

Segurana Fsica x Lgica

Segurana Fsica:
Realizada para evitar/dificultar as falhas nos equipamentos e
instalaes.
Ex: problema com equipamentos ativos, furtos, faxineira, etc.

Segurana Lgica:
Realizada para evitar/dificultar as falhas relacionadas aos softwares
utilizados.
Ex: bugs, falhas no desenvolvimento, etc.

Segurana Fsica

A segurana comea pelo ambiente fsico


No adianta investir dinheiro em esquemas sofisticados e
complexos se no instalarmos uma simples porta para
proteger fisicamente os servidores da rede.

Segurana Fsica

Abrange todo o ambiente onde os sistemas de informao


esto instalados:

prdio
portas de acesso
trancas
piso
salas
computadores

Segurana Fsica

Requer ajuda da engenharia civil e eltrica


A norma NBR ISO/IEC 27001 divide a rea de segurana
fsica da seguinte forma:
reas de segurana
Segurana dos equipamentos

reas de segurana

Objetivo:
Prevenir o acesso fsico no autorizado, danos e interferncias com
as instalaes e informaes da organizao

Permetro da segurana fsica


Controles de entrada fsica
Segurana em escritrios, salas e instalaes
Proteo contra ameaas externas e do meio ambiente
Trabalhando em reas seguras
Acesso do pblico, reas de entrega e de carregamento

Segurana dos equipamentos

Objetivo:
Impedir perdas, danos, furto ou comprometimento de ativos e
interrupo das atividades da organizao.
Instalao e proteo de equipamentos
Utilidades (fornecimento de energia e/ou outros ativos de servio)
Segurana do cabeamento

Segurana dos equipamentos

Manuteno de equipamentos
Segurana de equipamentos fora das instalaes
Reutilizao e alienao segura de equipamentos
Remoo de propriedade

Segurana Externa e de entrada

Proteo da instalao onde os equipamentos esto


localizados, contra:
entrada de pessoas no autorizadas
catstrofes ambientais

O prdio deve ter paredes slidas e nmero restrito de


entradas e sadas

Segurana Externa e de entrada

Evitar baixadas onde a gua possa se acumular


enchentes
Evitar reas muito abertas descargas atmosfricas
Em qualquer lugar, usar para-raios

Usar muros externos e manter a rea limpa queimadas

Segurana Externa e de entrada

Controle de acesso fsico nas entradas e sadas:

travas
alarmes
grades
vigilante humano
vigilncia eletrnica
portas com senha
carto de acesso
registros de entrada e sada de pessoas e objetos

Segurana Externa e de entrada

Funcionrios que trabalham na instituio devem ser


identificados com crachs com foto
Visitantes de vem usar crachs diferenciados por setor
visitado
Todos funcionrios devem ser responsveis pela fiscalizao

Segurana da Sala de Equipamentos

Agrega todo o centro da rede e os servios que nela operam


Entrada somente de pessoal que trabalha na sala
Registro de todo o pessoal que entra e sai
A sala deve ser trancada ao sair
Deve fornecer acesso remoto aos equipamentos
O contedo da sala no deve ser visvel externamente

Segurana da Sala de Equipamentos

Alm do acesso indevido, a sala deve ser protegida contra:

vandalismo
fogo
interferncias eletromagnticas
fumaa
gases corrosivos
poeira

Segurana da Sala de Equipamentos

Se possvel, uso de salas-cofre

Segurana dos equipamentos

Evitar o acesso fsico aos equipamentos


acesso ao interior da mquina (hardware)
acesso utilizando dispositivos de entrada e sada (console)

Proteger o setup do BIOS

Segurana dos equipamentos

Tornar inativos botes de setup e liga/desliga no gabinete


colocar senha no BIOS
inicializao apenas pelo disco rgido

Segurana no fornecimento de energia


Geralmente o fornecimento de energia de
responsabilidade da concessionria, e pode apresentar:
variao de tenso
interrupo do fornecimento

Segurana no fornecimento de energia


Para garantir a disponibilidade da informao preciso
garantir o fornecimento constante de energia e que ela
esteja dentro da tenso recomendada

filtro de linha
estabilizador de tenso
nobreak
soluo mista
gerador

Segurana Lgica

Compreende os mecanismos de proteo baseados em


software

senhas
listas de controle de acesso
criptografia
firewall
sistemas de deteco de intruso
redes virtuais privadas

Firewall

Referncia s portas corta-fogo responsveis por evitar que


um incndio em uma parte do prdio se espalhe facilmente
pelo prdio inteiro
Na Informtica: previne que os perigos da Internet (ou de
qualquer rede no confivel) se espalhem para dentro de
sua rede interna

Firewall

Um firewall deve sempre ser instalado em um ponto de


entrada/sada de sua rede interna
Este ponto de entrada/sada deve ser nico
O firewall capaz de controlar os acessos de e para a sua
rede

Firewall

Objetivos especficos de um firewall:


restringe a entrada a um ponto cuidadosamente controlado
previne que atacantes cheguem perto de suas defesas mais internas
restringe a sada a um ponto cuidadosamente controlado

Firewall

O firewall pode estar em:

computadores
roteadores
configurao de redes
software especfico

Ponto de Obstruo
Um componente ou um conjunto de componentes que restringem o
acesso entre uma rede protegida e outros conjuntos de redes

Ponto de Obstruo
Um firewall um ponto de obstruo
O trfego analisado, e o firewall usa critrios prprios para
determinar se um determinado pacote ser:
Transmitido (ACEITO)
Descartado (RECUSADO)
Alterado (um ou mais campos de qualquer dos cabealhos)
Em geral, um firewall comum no se altera o contedo (payload) do pacote,
apesar de ser possvel.

Ponto de Obstruo
Sujeita o trfego a usar um canal estreito
Apenas o trfego desejado retransmitido
Diminui a exposio das estaes internas rede externa

Facilita a monitorao e controle


Todo, ou parte, do trfego pode ser registrado (log) para consultas,
estatsticas, etc

Ponto de Obstruo
Um ponto de obstruo intil se h caminhos alternativos de
penetrao
Outras conexes internet
Acesso discado
Rede Wi-Fi desprotegida

Topologias

Um firewall pode ter duas ou mais interfaces no h


limite terico.

2 interfaces

Topologias

Um firewall pode ter duas ou mais interfaces no h


limite terico.

4 interfaces

Topologias

Redes internas (protegidas)


Estaes de trabalho
Servidores
Wi-Fi

Controle de trfego entre as redes

4 interfaces

Topologias

Mesmo dentro de uma empresa, convm separar os equipamentos/


servios em redes distintas, segundo questes de segurana.
Mesmo em caso de redes pequenas

4 interfaces

Topologias
Estaes de trabalho esto mais sujeitas a contaminaes
Se os servidores estiverem em outra rede, um trfego malicioso
partindo das estaes poder ser contido pelo firewall
Se estiverem na mesma rede, no
haver proteo contra o ataque
Redes Wi-Fi so portas de entrada para
invasores. O trfego a partir de uma
rede Wi-Fi deve ser estritamente
controlado.

4 interfaces

Topologias
Dois nveis de proteo separam a internet da rede interna
Na rede de fronteira so colocados os servios externos
(servidores Web, e-mail, etc) Maior exposio
O acesso rede interna fortemente controlado

Bastion Hosts
Um servidor precisa ser muito seguro, pois vulnervel a ataques por estar
exposto diretamente Internet
Simplicidade
Qualquer servio pode ter bugs e erros de configurao
Instale o mnimo de recursos do SO + atualizaes (fixes)
Instale apenas as aplicaes necessrias + atualizaes
Reforce (Harden) o SO e aplicaes
Configure permisses e polticas de segurana e auditoria
Esteja preparado para o pior
O bastion host visvel na Internet, podendo ser atacado
Backup !
No permita usurios nos bastion hosts
Vulnerabilidades prprias das contas (senhas)
Vulnerabilidades dos servios necessrios para suportar os usurios
Aumenta a dificuldade de se detectar ataques

DMZ

Os bastion hosts so o principal ponto de contato com conexes de


origem externa
Os bastion hosts em uma DMZ executam servios inseguros que no
podem ser protegidos com filtragem ou com proxies
Possuem acesso limitado aos servidores internos
Contedo descartvel
Devem possuir o mnimo de dados necessrios para o exerccio de suas
tarefas. No devem conter:
Arquivos pessoais desnecessrios
Partes de bancos de dados (tabelas, etc) com dados desnecessrios
Informaes confidenciais

DMZ

Um novo nvel de segurana acrescentado com a


introduo de uma rede desmilitarizada chamada:
DMZ, rede de fronteira, screened subnet ou permetro de segurana

Os bastion hosts ficam vulnerveis nessa DMZ


Caso os bastion hosts sejam comprometidos, h ainda mais
um nvel de segurana a ser superado
Tipicamente baseadas em dois filtros
Filtro de acesso conectando a DMZ Internet
Filtro de bloqueio ligando a DMZ rede interna

DMZ
Bastion hosts

Internet

DMZ
34

Rede de Fronteira
34

filtro
de acesso

filtro
de bloqueio
Rede Interna

Estratgias Bsicas

Default Deny
Tudo o que no for expressamente permitido proibido

Default Permit
Tudo o que no for expressamente proibido permitido

Estratgias Bsicas
Default Permit
Tudo o que no for expressamente proibido permitido
A regra : Tudo pode passar
A exceo : O que no pode passar

Ineficiente para garantir proteo


Pressupe o conhecimento profundo do
comportamento de todas as estaes, o
que invivel e imprevisvel.
Na prtica, esse critrio s usado em
situaes especficas, para promover
proteo limitada.

REGRA #1
REGRA #2
REGRA #3
...
SE NENHUMA REGRA
FOI ATENDIDA
PERMITE

Estratgias Bsicas
Default Deny
Tudo o que no for expressamente permitido proibido
A regra : Nada pode passar
A exceo : O que pode passar

Critrio para prover segurana a uma


rede.
Apenas acessos especficos so
permitidos, por configurao explcita.
Servios/Portas novas ou desconhecidas
permanecem fechadas at determinao
contrria.
Controle estrito sobre o trfego (ingresso
e egresso) da rede.

REGRA #1
REGRA #2
REGRA #3
...
SE NENHUMA REGRA
FOI ATENDIDA
RECUSA

Examine o cabealho do
pacote (IP, UDP e TCP)

Algoritmo de Filtragem

Aplique a prxima
regra de filtragem
A regra
bloqueia o
pacote?

Configurao do tipo Default Deny.

sim

no
A regra
libera o
pacote?

sim

no
a ltima
regra ?
no

sim

Libere
o pacote

Bloqueie
o pacote

Firewall no pode proteger

Detalhes de acesso aplicao


ex: usurio xyz pode conectar-se via telnet do exterior mas os
outros usurios no
ex: somente os arquivos do diretrio /public podem ser transferidos
em sesses FTP
Ataques internos
Vrus
Cavalos de tria
Engenharia Social
Ameaas fsicas
Configurao mal feita

Tipos de Firewalls

Filtragem de pacotes
Filtragem por estado
Servios por procurao
Servidores Proxy

Projeto de rede
Bastion hosts em DMZ

Nveis de Filtragem
Firewall por filtragem de pacotes
Se d pela anlise de um ou mais campos dos cabealhos de um
pacote, em uma ou mais camadas, ou pela anlise do contedo
(payload).

Aplicao

Transporte

TCP, UDP, outros

Rede

FTP, Telnet, HTTP, HTTPS, SMTP,


DNS

IP

Enlace

Endereo MAC

Filtragem de Pacotes
Internet
34

Filtragem
de pacotes
Rede Interna

Nveis de Filtragem
Firewall por filtragem de pacotes
Primeira gerao de firewalls
Elevado desempenho, pois se baseia exclusivamente na comparao
de valores do pacote sendo analisado.
No relaciona o pacote atual com anteriores. No faz anlise do
trfego, apenas analisa os pacotes um-a-um.
No protege contra falhas (bugs) em servidores ou servios.

Filtragem MAC
Tarefa tpica de switches, mas que pode ser feita por um
firewall.
Tipos de filtros
endereo MAC origem
endereo MAC destino
tipo de protocolo de camada superior

Filtragem IP
Filtragem baseada nos campos do cabealho IP
Em tese qualquer campo pode ser consultado, mas nem todas as
implementaes permitem.

Campos mais usados


Endereo IP origem
Endereo IP destino
Tipo de protocolo de camada superior

Filtragem IP

Consideraes de segurana
Endereo origem
pode ser forjado
Address Spoofing
Man in the Middle

Filtragem IP - ICMP

Filtragem baseada nos campos do cabealho ICMP


O ICMP envolve questes de segurana, e no pode ser
ignorado na configurao de um firewall:
Ping (Echo request/reply)
Traceroute
ICMP Redirect

Filtragem TCP
Filtragem baseada nos campos do cabealho TCP

Em tese qualquer campo pode ser consultado, mas nem todas as


implementaes permitem.

Campos mais usados

Porta de destino
Define o servio
Flags
SYN, ACK, RST,...

Flags TCP

cliente

Packet Filtering
System

servidor

SYN=1, A

CK=0

K
C
A
,
1
=
N
SY
AC K = 1

=1

Flags TCP
Para bloquear uma conexo TCP, basta filtrar o primeiro pacote
enviado.
SYN = 1
ACK = 0

Todos os demais pacotes da conexo TCP possuem flag


ACK=1

possvel permitir ou impedir o incio de conexes, conforme desejado:


Origem/Destino
Portas
Ingresso/Egresso (rede)

Problema:
No h como garantir que um pacote com ACK=1 pertence a uma conexo
efetiva (no h controle de estado).
Risco de segurana pode permitir a injeo externa de pacotes, fazendose passar por conexes, do ponto de vista do roteador, iniciadas por
estaes internas (Pacotes de resposta).

Filtragem UDP
Filtragem baseada nos campos do cabealho UDP

Em tese qualquer campo pode ser consultado, mas nem todas as


implementaes permitem.

Campos mais usados

Porta de destino
Porta de origem

Filtragem UDP
Controle de estado
Como o UDP no possui controle de estados (sem conexo), um firewall por
filtragem de pacotes no pode determinar se:
Um pacote o primeiro de um fluxo, ou
Se faz parte de um fluxo j iniciado.
No possvel impedir o incio de um fluxo, se as regras do firewall no o
impedirem por outros critrios.

Filtragem pelo Payload


Alguns firewalls permitem realizar filtragem por meio de
anlise do contedo (payload) de um pacote
Exemplo: Linux String match para iptables.

Uma regra pode indicar um determinado texto (string) a ser


procurado no contedo.
Permite uma investigao limitada do pacote.
Geralmente usado para evitar ocorrncias especficas e j
conhecidas.
Ex: impedir um pedido de resoluo de um determinado
nome ao servidor DNS, recusando-se esse pacote.
Transcende as tcnicas tradicionais de filtragem, restritas
pilha TCP/IP.

Aes

Ao termino da anlise de um pacote, o firewall deve tomar


uma ao.
As aes mais comuns:
ACCEPT Pacote aceito e retransmitido
DROP Pacote recusado descartado
REJECT Pacote recusado, mas enviado um pacote ICMP a origem
informando.

Exemplo de Regras de Filtragem


SE IP_ORIGEM=10.1.10.2 E PORTA_DESTINO=80 ACEITA
SE IP_ORIGEM=10.1.10.2 E IP_DESTINO=10.53.11.9
E PORTA_DESTINO=110 ACEITA
Exceo contrariando uma regra mais permissiva
SE IP_ORIGEM=10.2.30.1 E IP_DESTINO=10.1.10.5 RECUSA
SE IP_DESTINO=10.1.10.5 E PORTA_DESTINO=80 ACEITA
Regra que condiciona pacotes com incio de conexo
SE IP_ORIGEM=10.1.10.2 E IP_DESTINO=10.53.11.9
E PORTA_DESTINO=110 E TCP[SYN]==1 ACEITA
Regra padro (default)
Qualquer outro pacote RECUSA

Filtragem por estado

Filtragem por estado


Stateful packet filtering, ou
Stateful Inspection, ou
Dynamic Packet Filtering
criado pela CheckPoint para o Firewall-1
mantm informao sobre o estado corrente das sesses ativas em
memria
decises com base no contedo e contexto do pacote
trfego FTP PASV (portas >1023 abertas dinamicamente)
trfego UDP de retorno (match de IPs/portas)

Ex: Filtragem TCP

Um pacote de resposta (SYN=0, ACK=1) s liberado se


pertencer a uma conexo previamente estabelecida (e
autorizada)
Os dados de cada conexo so armazenados em uma tabela,
constantemente atualizada.
Um suposto pacote de resposta s aceito se estiver
contextualizado nessa tabela.
IPs Origem/Destino
Portas Origem/Destino
Sequence Number

Ex: Filtragem UDP

Permite (dinamicamente) que pacotes de resposta a trfego


UDP iniciado internamente sejam aceitos para o host/porta
que enviou o primeiro pacote.

Ex: Filtragem UDP


Dynamic Packet
Filtering
SP=1111
SA=200.2
00.200.1
DP=5555
DA=200.1
00.100.2

cliente
200.200.200.1

Match!

No Match!

SP=5555 0.100.2
10
SA=200.
DP=1111 0.200.1
20
DA=200.
SP=5555 0.100.2
10
SA=200.
DP=4444 0.200.1
20
DA=200.

servidor
200.100.100.2

Softwares de Firewall em Linux

Iptables e o Netfilter
nova gerao de ferramentas de firewall para o Kernel 2.4 do Linux.
Alm de possuir a facilidade do ipchains
a idia do criador Paul Russel foi implementar uma srie de
facilidades como NAT e filtragem de pacotes mais flexvel que o
ipchains
um um sistema completamente novo de firewall e NAT,
denominado Netfilter.
O comando iptables um front-end para configurao do Netfilter.
http://netfilter.filewatcher.org/

Netfilter
Projeto NETFILTER
Principais recursos

Filtragem sem controle de estado


Filtragem com controle de estado
Traduo de endereos (NAT/NAPT)
Estrutura flexvel e extensvel
Manipulao de pacotes (alterao de cabealhos)

Fonte: http://www.netfilter.org/

Netfilter

Projeto NETFILTER
Soluo de segurana embutida no ncleo (kernel) do
Linux, a partir da verso 2.4.
Composto por diversos mdulos e ferramentas.
Mdulos permitem adicionar recursos ao servio
Mdulos oficiais;
Mdulos no-oficiais;
Padro aberto: qualquer pessoa pode desenvolver

Netfilter

Evoluo
Kernel 2.0

ipfwadm

Kernel 2.2

ipchains

Kernel 2.4+

iptables

Netfilter

Iptables apenas uma ferramenta de interface entre o


usurio e o Netfilter.
Ferramenta administrativa

Netfilter

O servio de filtragem/firewall realizada no ncleo do


Linux

Netfilter

Netfilter Estrutura de regras

Netfilter

Tabelas
FILTER
Filtragem (bsica e avanada) de pacotes

NAT
Traduo de endereos/portas (NAPT)

MANGLE
Regras avanadas
Marcao de pacotes
Alterao de cabealhos de pacotes

Estratgias Bsicas

Cadeia (Chain)
Cada tabela possui cadeias
Pode ser vista como um elo de uma corrente
Cada cadeia possui
Um conjunto de regras
Uma poltica padro (default)

As cadeias atuam em pontos distintos do fluxo percorrido pelos


pacotes
Em cada cadeia uma deciso tomada
ACEITAR
RECUSAR
etc

Fluxo de processamento
Tabela Filter (Considerada por muitos a mais importante)
Cadeias:
INPUT

Atua nos pacotes destinados ao prprio firewall

OUTPUT

Atua nos pacotes oriundos do prprio firewall

FORWARD

Atua nos pacotes que atravessam o firewall

Fluxo de processamento

Netfilter

Breve Reviso

PAUSA: BREVE REVISO


Poltica padro
Default Deny
Tudo o que no for expressamente permitido proibido

Default Permit
Tudo o que no for expressamente proibido permitido

Breve Reviso

Default Permit
Tudo o que no for expressamente proibido permitido
A regra : Tudo pode passar
A exceo : O que no pode passar
Ineficiente para garantir proteo
Pressupe o conhecimento profundo do
comportamento de todas as estaes, o
que invivel e imprevisvel.

Na prtica, esse critrio s usado em


situaes especficas, para promover
proteo limitada.

REGRA #1
REGRA #2
REGRA #3
...
SE NENHUMA REGRA
FOI ATENDIDA
PERMITE

Breve Reviso

Default Deny
Tudo o que no for expressamente permitido proibido
A regra : Nada pode passar
A exceo : O que pode passar

Critrio para prover segurana a uma


rede.
Apenas acessos especficos so
permitidos, por configurao explcita.
Servios/Portas novas ou desconhecidas
permanecem fechadas at determinao
contrria.
Controle estrito sobre o trfego (ingresso
e egresso) da rede.

REGRA #1
REGRA #2
REGRA #3
...
SE NENHUMA REGRA
FOI ATENDIDA
RECUSA

Examine o cabealho do
pacote (IP, UDP e TCP)

Breve Reviso

Aplique a prxima
regra de filtragem
A regra
bloqueia o
pacote?

Configurao do tipo Default Deny.

sim

no
A regra
libera o
pacote?

sim

no
a ltima
regra ?
no

sim

Libere
o pacote

Bloqueie
o pacote

Iptables
Tabela Filter
Aes (targets) Principais:
ACCEPT

Aceita o pacote prossegue para a prxima cadeia

DROP

Recusa (terminantemente) o pacote

REJECT
Recusa (terminantemente) o pacote e envia origem
um pacote ICMP do tipo port unreachable
LOG

Envia um registro (log) para o syslog

Iptables

Principais parmetros de comando:


-A
-I
-L
-F
-P

Inclui uma regra no fim da cadeia


Inclui uma regra no incio da cadeia
Lista as regras de uma cadeia
Apaga todas as regras de uma cadeia
Define a poltica padro de uma cadeia

Iptables

Definindo a poltica padro


iptables P INPUT ACCEPT
A poltica padro na cadeia INPUT configurada coomo
ACCEPT, ou seja, se um pacote no for atendido por
nenhuma regra, ele ser ACEITO.

Iptables

Definindo a poltica padro


iptables P INPUT DROP
iptables P OUTPUT DROP
iptables P FORWARD DROP
Essa combinao mais usada para segurana, pois obriga que
todas as permisses sejam explcitas.
Caso contrrio, mais fcil deixar brechas.

Iptables

Regras: Principais parmetros de comparao


-p tcp/udp/icmp
--dport porta
--sport porta

Protocolo
Porta de destino
Porta de origem

-d
-s

Destino
Origem

-i interf
-o interf

Interface de entrada
Interface de sada

(precisa especificar o protocolo)


(precisa especificar o protocolo)

Formato: IP com mscara (opcional)

Nome da interface
(ex: eth0)

Iptables

Regras: Parmetros
-j ao

Ao caso o pacote atenda s condies


da regra

-m nome

Carregar um mdulo

Iptables

Exemplo
iptables P INPUT DROP
Poltica padro: Recusar

iptables A INPUT s 10.2.10.7 p tcp -dport 80 j ACCEPT


Aceita pacote para porta 80/tcp e origem 10.2.10.7

iptables A INPUT s 10.2.10.26 p tcp -dport 25 j ACCEPT


Aceita pacote para porta 25/tcp e origem 10.2.10.26

Iptables

Tradicionalmente, necessrio permitir os pacotes de


retorno
iptables P INPUT DROP
iptables P OUTPUT DROP
iptables
iptables
iptables
iptables

A
A
A
A

INPUT s 10.2.10.7 p tcp -dport 80 j ACCEPT


INPUT s 10.2.10.26 p tcp -dport 25 j ACCEPT
OUTPUT d 10.2.10.7 p tcp -sport 80 j ACCEPT
OUTPUT d 10.2.10.26 p tcp -sport 25 j ACCEPT

Iptables

O mdulo state promove o conhecimento de conexo


(connection tracking)
Permite automaticamente os fluxos de retorno
iptables A INPUT s 10.2.10.7 p tcp -dport 80 m state -state NEW j
ACCEPT
NEW: Pacotes que esto iniciando uma nova conexo
ESTABLISHED: Pacotes que pertencem a uma conexo/fluxo j existente
iptables A OUTPUT m state -state ESTABLISHED j ACCEPT
Para pacotes saindo do firewall
iptables A INPUT m state -state ESTABLISHED j ACCEPT
Para pacotes ingressando no firewall

Iptables

Exemplo: Pacotes atravessando o firewall


iptables P FORWARD DROP
iptables A FORWARD m state -state ESTABLISHED j ACCEPT
iptables A FORWARD s 10.4.11.3 d 10.20.21.4 p tcp -dport 110 m state
-state NEW j ACCEPT
iptables A FORWARD i eth2 d 10.20.21.4 p tcp -dport 110 m state -
state NEW j ACCEPT
iptables A FORWARD i eth2 o eth0 p tcp -dport 80 m state -state NEW
j ACCEPT

Iptables

State: RELATED
Abre o acesso a novas conexes, se relacionadas com conexes
permitidas.
Ex: FTP
O FTP usa uma conexo de controle (porta 21/TCP por padro)
As transferncias so feitas por meio de conexes definidas
dinamicamente entre cliente e servidor.

preciso carregar o mdulo no kernel do linux


modprobe ipt_conntrack_ftp

Iptables

State: RELATED
iptables A INPUT s 10.1.0.2 p tcp -dport 21 m state -state NEW j
ACCEPT
Permite a conexo de controle do FTP
iptables A INPUT m state -state ESTABLISHED,RELATED j ACCEPT
iptables A OUTPUT m state -state ESTABLISHED,RELATED j ACCEPT
As regras acima iro permitir:
Os pacotes de resposta da conexo de controle
Todos os pacotes das conexes de transferncia (incio de conexo e
demais)

NAT

Network Address Translation


Consiste na alterao de campos dos cabealhos de um
pacote durante o trnsito atravs do firewall
Para permitir uma comunicao, deve ser feita uma troca
inversa e equivalente nos pacotes de resposta
O firewall deve possuir controle das conexes/fluxos ativos

NAT

Tipos mais comuns (RFC 2663)


NAT bsico
Endereos externos usados para esconderos endereos de um
domnio privado (ex: rede interna) ao realizar acessos para um domnio
externo (internet).
Apenas IP de origem alterado (assim como checksums correlatos).
1 1

NAT

Tipos mais comuns (RFC 2663)


NAPT
Network Address Port Translation
Traduz tambm campos de transporte (TCP/UDP)
Permite que N estaes internas usem o mesmo endereo externo para
acesso
Pode usar como IP externo, o prprio IP da interface externa do
roteador
Pode ser combinado com o NAT Bsico e usar um grupo de endereos
externo para traduo (no necessariamente s 1)
Mais usado atualmente.
1 1 ou N 1 ou N M

NAPT

Aps passar pelo firewall, todo o trfego usa um mesmo endereo IP,
independente da estao que o originou.

Source NAT (SNAT)

SNAT
O endereo de origem traduzido
Aps a traduo, o IP original no consta mais do pacote
O firewall, com base em sua tabela, deve substituir o endereo
novamente ao receber um pacote de resposta
No pode ser considerado como soluo de segurana

Destination NAT (DNAT)

DNAT
O endereo de destino traduzido
Aps a traduo, o IP de destino original no consta mais do pacote
O firewall, com base em sua tabela, deve substituir o endereo
novamente ao receber um pacote de resposta

NAT - APLICAES

SNAT
Mascaramento de rede (compartilhamento de IPs)

NAT - APLICAES

SNAT
Mascaramento de rede (compartilhamento de IPs)
Vantagens:
Economia de endereos pblicos (reais) Menos custo
Topologia interna da rede no revelada
Varredura direta da rede no possvel por agente externo

Desvantagens
Maior dificuldade para permitir acesso externo
Incompatibilidade com alguns protocolos (em alguns casos pode ser
corrigida com tratamento especial no firewall. Ex: FTP).
Para redes muito grandes, exige Firewall com capacidade elevada de
processamento.

NAT - APLICAES
DNAT
Direcionamento condicionado de trfego
Dois servidores, idnticos. Um exclusivo para atender a um grupo de
usurios. O outro para os demais.
DNAT condicionado ao endereo de origem

NAT - APLICAES
DNAT
Balanceamento de carga em servidores
O Firewall direciona o trfego para os servidores de maneira a
equalizar a quantidade de carga sobre cada um.

NAT - APLICAES
DNAT
Balanceamento de carga em servidores
Diversos servidores menores capazes de suportar uma carga maior
Quem est de fora, v um superservidor sobre um nico IP

NAT

Fluxo com as cadeias da tabela NAT

NAT

Cadeias da tabela NAT


PREROUTING
Avaliada antes do roteamento
O NAT que afeta a deciso de roteamento o que altera o destino. Por
isso, essa a cadeia usada para NAT de Destino (DNAT)

POSTROUTING
Avaliada aps o roteamento (e aps as cadeias da tabela Filter)
Usada para NAT de origem (SNAT)

NAT

Exemplos:
iptables A POSTROUTING t nat s 10.0.11.1 -o eth1
j SNAT -to-source 10.9.0.1
Todas os pacotes com origem 10.0.11.1, saindo pela interface eth1, tero
o endereo de origem traduzido para 10.9.0.1.

iptables A PREROUTING t nat d 10.0.12.2 j DNAT


-to-destination 10.0.20.1
Todos os pacotes destinados ao IP 10.0.12.2 tero o endereo de destino
traduzido para 10.0.20.1

NAT

Mascaramento
NAT 1:N
Todas os pacotes saindo com o IP externo do firewall.
iptables A POSTROUTING t nat s 192.168.0.1/24 -o eth0 j
MASQUERADE

Todos os pacotes da rede interna (192.168.0.1/24), saindo pela interface


eth0, sero traduzidos para o IP do firewall (origem).
A comparao do IP de origem (rede interna) pode ser opcional, mas
recomendvel. Dependendo da situao pode ser necessria.

Mdulos

Alguns mdulos interessantes


Limit impe limitao sobre a quantidade de vezes em
que uma regra pode ser acionada (por tempo: hora,
minuto).
Muito usada para evitar abusos e diminuir a quantidade de logs
gerados.

Connlimit limita o nmero de conexes simultneas


abertas por um determinado endereo IP.
Recent Permite correlacionar a deciso com decises
anteriores. Muito usado para limitar pacotes/conexes de
um mesmo IP.

Observaes

Para fins de comparao, um endereo 0/0 significa


qualquer IP. Seu uso no obrigatrio.
O linux, por padro, ao iniciar, no permite o
encaminhamento de pacotes entre interfaces de rede. Para
ativar:
echo 1 > /proc/sys/net/ipv4/ip_forward

Mais informaes: http://www.netfilter.org

CISCO ACLs
interface eth0
ip access-group 101 in
access-list
access-list
access-list
access-list
access-list
access-list
access-list
access-list
access-list
access-list
access-list
access-list
access-list
access-list
access-list
access-list

101
101
101
101
101
101
101
101
101
101
101
101
101
101
101
101

deny ip 127.0.0.0 0.0.0.255 any


deny ip 200.20.172.0 0.0.0.255 any
permit tcp any any established
permit tcp any host 200.20.172.34 eq ftp
permit tcp any host 200.20.172.34 eq smtp
permit tcp any host 200.20.172.34 eq www
permit tcp host 200.245.85.42 host 200.20.172.55 eq pop3
permit tcp host 200.245.85.42 host 200.20.172.55 eq telnet
permit tcp 200.246.148.0 0.0.0.255 host 200.20.172.36 eq telnet
permit tcp any any range 1023 1999
Cisco IOS
permit tcp any any range 2020 5999
permit tcp any any range 6020 8079
Extended IP Access
permit tcp any any gt 8081
access-list 100-199
permit icmp any any
permit|deny
deny tcp any any log
deny udp any any log
ip|tcp|udp|icmp

List

source source-mask
[lt|gt|eq|neq src-port]
dest dest-mask
[lt|gt|eq|neq dest-port]

Proxy

Servidor Proxy
Atua como intermedirio entre o cliente e o servidor de
contedo.
Servidor
Proxy

Introduo

Funcionamento bsico
1.O cliente solicita um recurso (Web/FTP) ao proxy.
2.O proxy se conecta ao servidor de contedo e busca a
informao solicitada.
Servidor
Proxy

Introduo

Funcionamento bsico
3.O servidor Proxy recebe o contedo solicitado.
4.O contedo transmitido ao cliente.

Servidor
Proxy

No h comunicao DIRETA entre o cliente e o servidor de


contedo.

Servidor Proxy

Funcionamento bsico
O Cliente se conecta ao
servidor Proxy e envia
uma solicitao.
Servidor
Proxy

Servidor Proxy
Funcionamento bsico
O servidor Proxy se conecta ao
servidor de destino (contedo)
e envia uma requisio
Servidor
Proxy

Servidor Proxy
Funcionamento bsico
O servidor de contedo
transmite o recurso solicitado
ao servidor Proxy

Servidor
Proxy

Servidor Proxy
Funcionamento bsico
O servidor proxy transmite o
recurso ao cliente que o
solicitou.
Servidor
Proxy

Servidor Proxy

Como todo o trfego , ainda que temporariamente,


armazenado no servidor Proxy, este pode ser usado para:
Armazenamento de contedo (caching)
Imposio de polticas de acesso e filtragem de contedo
Segurana, por exemplo, com uso de antivirus

Servidor
Proxy

Servidor Proxy
Armazenamento de contedo
Primeira grande aplicao do Proxy.
Forte argumento a favor nos primrdios da internet comercial, com
linhas de baixa velocidade.
O contedo recebido armazenado e, ao ser solicitado novamente,
no necessrio obt-lo mais uma vez menor utilizao da
banda.

Servidor
Proxy
Armazenamento
(cache)

Servidor Proxy
Armazenamento de contedo
Nem todo contedo deve ser armazenado. Ex: pginas dinmicas
Alteraes em pginas no sero visveis imediatamente
O servidor deve possuir uma poltica para expirao do cache.

Servidor
Proxy
Armazenamento
(cache)

Servidor Proxy
Algoritmo de deciso Usar ou no a informao no cache?
1. Verificar se a URL solicitada est armazenada no cache
2. Se no estiver no cache Obter (baixar)
3. Essa informao est expirada? Se sim, obter novamente
4. Verificar no servidor a ltima alterao do contedo

Requisio If-Modified-Since
Se houve alterao, obter novamente.
Se no houve alterao, devolver ao cliente o contedo no cache

Servidor Proxy
O proprietrio do contedo pode definir como o cache deve trat-lo

Cabealho HTTP Cache-Control


Pode ser armazenado informao pblica
Nunca armazenar
Armazenar at determinada data/hora (expirao)

O que no pode ser armazenado


HTTPS
Submisso do tipo POST (formulrios)
Respostas com comando explcito para no armazenar

Referncias: RFCs 2616 e 3143

Servidor Proxy
Imposio de polticas de acesso/contedo
Controle de acesso a contedo
Sites com acesso impedido
Sites com acesso controlado (auditoria, horrio permitido)
Categorizao de sites
O Administrador define categorias Permitidas X Proibidas
Base de dados prpria ou fornecida por empresas de segurana
Lista-negra

Servidor
Proxy

Servidor Proxy
Imposio de polticas de acesso/contedo
Objetivos em uma corporao
Blindagem contra agentes maliciosos
Polticas internas da empresa
Produtividade dos funcionrios

Servidor
Proxy

Servidor Proxy
Exemplos de categorias:

Botnets, sites maliciosos, phishing, distribuio de spywares, anncios


Videos: Educacionais, entretenimento, vigilncia
P2P: Sites de distribuio ou download de ferramentas
Jornais: Por pas, por tipo, etc
Mensagens instantneas: MSN, Yahoo, Gtalk
Material adulto: Educacional e no-educacional
Drogas: Sites informativos, vendas, sites prs ou contrrios
Educao: Instituies, materiais, teses
Jogos: de azar, de computador, para crianas, para maiores de x anos
Redes sociais
SPAM: Sites cujos endereos so enviados em SPAMs
Sites de pesquisa: Normais, contedo protegido (pirataria), etc...
Racismo, intolerncia, extremismo, etc
Viagens: hotis, empresas areas, passagens, etc

Servidor Proxy
Filtragem de contedo obtido

Scripts
Arquivos com determinada extenso (.exe, .com, .vbs, .mp3)
Limite de tamanho de arquivo
Assinatura (nome) do agente
Ex: Impede agente Kazaa
No uma proteo efetiva

Anlise do contedo
Antivirus / Anti-spyware
Limpeza
Impedimento de acesso

Categorizao
Inspeo de texto
Anlise de imagens
Bloqueio de Cookies

Servidor
Proxy

Servidor Proxy
Filtragem de contedo enviado
Contedo imprprio
DLP (Data Loss Prevention) - Preveno contra perda de dados
Impede o envio de dados de propriedade intelectual da empresa Intencional ou acidental
Cdigos-fonte
Documentos da empresa

Tcnicas de identificao

Pesquisa por contedo


Pesquisa estatstica
Assinaturas
Expresses regulares

Email (SMTP ou Web), blogs, redes sociais


O DLP deve ser uma soluo conjunta, incluindo ferramentas nos
clientes e no deve ser delegada somente ao servidor Proxy.

Servidor Proxy
Ao ter o acesso negado, o cliente recebe uma mensagem informativa

Servidor Proxy
A imposio da poltica pode ser:
nica, para todos os usurios
Personalizada
Por endereo IP
Por usurio. Identificao por:

Pgina de logon no primeiro acesso


Integrao com o AD (Windows)

Servidor Proxy
O cliente deve ser configurado para usar o servidor Proxy

Servidor Proxy
O cliente deve ser configurado para usar o servidor Proxy
Configurao automtica
Arquivo PROXY.PAC
Desenvolvido pela Netscape em 1996
Necessita que seja indicado o endereo do servidor

WPAD (Web Proxy Autodiscovery Protocol)


DHCP
DNS
Tcnica transparente ao usurio

Servidor Proxy
Para garantir a aplicao das polticas, nenhum acesso
direto deve ser permitindo, sendo obrigatrio o uso do
servidor Proxy.

Servidor Proxy
Proxy Transparente ou de interceptao
Todas as requisies so transferidas para um servidor proxy
O usurio no tem conhecimento da intercepo
Exceto se houver indicao explcita, aplicao de poltica, etc
Com pouco esforo possvel determinar a existncia do elemento
intermedirio (usurios avanados)

No requer a reconfigurao dos terminais clientes


Ao contrrio do Proxy tradicional, o transparente no altera as
requisies e respostas. [RFC 2616 1.3]
No funciona com HTTPS o protocolo se protege contra o que seria
um ataque Man-in-the-middle.

Servidor Proxy
Proxy Transparente ou de interceptao
Tcnica mais simples:
Servio de Proxy na mesma mquina do Gateway/Firewall.
Redirecionamento dos pacotes para a porta de entrada do servio.

Servidor Proxy
Proxy Transparente ou de interceptao
Outra tcnica
Redirecionamento para o servidor Proxy
No exige o servio funcionando no prprio Firewall
A resposta (do Proxy para o cliente) deve percorrer o mesmo caminho e
no seguir diretamente

Servidor Proxy
Proxy Reverso
Presta servio a servidores, intermediando a comunicao com
clientes
Oferece vantagens de segurana e desempenho

Servidor Proxy
Segurana
Esconde a infraestrutura dos servidores
Pode interceptar tentativas de ataque/invaso
URLs mal formatadas
Cabealhos/requisies invlidas

Isola o servidor do cliente

Servidor Proxy
Desempenho
Armazenamento de pginas, diminuindo a carga sobre o servidor
Criptografia (HTTPS)

A tarefa transferida do servidor para o Proxy reverso


Cliente Proxy
Com criptografia
Proxy Servidor
Sem criptografia
Menor carga de processamento sobre o servidor

Servidor Proxy
Balanceamento de carga
Divide as requisies entre diversos servidores
Disponibilidade
Capacidade superior

Servidor Proxy
Distribuio de carga conforme aplicao
O Proxy identifica, pela requisio, qual servidor ser acionado.
Esconde a estrutura do usurio, que v um nico servidor.

Detectores de intruso (IDS)

IDS (Intrusion Detection Systems)


So responsveis por analisar o comportamento de uma rede ou
sistema em busca de tentativas de invaso
Pode ser de dois tipos
HIDS (Host IDS):
monitora um host especfico

NIDS (Network IDS):


monitora uma segmento de rede

Detectores de intruso (IDS)

Um IDS utiliza dois mtodos distintos:


deteco por assinaturas
deteco por comportamento

Detectores de intruso (IDS)

Deteco por assinaturas:


semelhante s assinaturas de antivrus associam um ataque a um
determinado conjunto de pacotes ou chamadas de sistema
no s detecta o ataque como tambm o identifica
exige atualizaes frequentes do fabricante

Detectores de intruso (IDS)

Deteco por comportamento:


Observa o comportamento da rede em um perodo normal, e o
compara com o comportamento atual da rede
Diferena significativa entre os comportamentos, o IDS assume que
um ataque est em andamento
Utiliza mtodos estatsticos ou inteligncia artificial
Detecta ataques desconhecidos
No sabe informar qual ataque est em andamento

IDS
IDS
Intrusion Detection System
Tipos
Network-based NIDS (Network Intrusion Detection System)
Host-based Atuao limitada ao sistema/estao

Muitas situaes de risco no podem ser evitadas pelas


ferramentas tradicionais (Ex: Firewall)

Introduo
Objetivos:
Defesa
Identificar situaes com perigo de:
Invaso
Comprometimento de servios/sistemas
Comprometimento da rede

Permitir tomada rpida de ao, diminuindo o risco de


estragos
Auditoria
Anlise forense
Avaliao de servios ativos

Introduo
IDS
Exemplos de situaes perigosas:
Ataques em andamento
Explorao de vulnerabilidades conhecidas
Trfego suspeito
Envio de SPAM

Suspeita de contaminao
Violao de poltica
Servios no permitidos (Ex: P2P)

Tentativas de logon como root a um determinado


servidor.

Introduo
IDS
Atua simultaneamente nas diversas camadas do
TCP/IP
A origem de um problema pode ser:
Externa ou interna

Varredura
Tentativa de invaso (fora bruta)
Envio em massa de SPAM
...

Introduo
IDS
Com base em regras prprias, determina se um trfego
suspeito
Maiores desafios
Falso positivo
Alertas para situaes normais (sem risco)
Falso negativo
Situaes perigosas no notificadas
Atualizao constante de assinaturas
So as regras que guiam a deteco. A cada vulnerabilidade descoberta,
novas regras so criadas para permitir a identificao daquela situao
especfica.

Introduo
IDS
Os registros (logs) devem ser verificados constantemente
para garantir uma tomada de ao imediata.
Se o sistema gera logs demais, possvel que a
verificao seja negligenciada
O ajuste fino das regras fundamental para balancear
qualidade da deteco com quantidade gerencivel de
registros (logs) gerados
Esse ajuste deve ser uma rotina constante

Host-Based IDS
Host-Based IDS (HIDS)
executado na estao onde deseja-se detectar atividades de
comprometimento da segurana
Varredura de logs e registros em busca de atividades suspeitas
Verificao constante de arquivos de sistema contra alterao
(assinatura)
Oferece registros mais detalhados
Detecta atividades iniciadas na prpria mquina
Maior preciso na deteco
Alterao de arquivos de sistema ou configuraes
Tentativa de acesso privilegiado

Detecta eventos que no podem ser detectados por NIDS


Ex: Ataque via trfego criptografado

NIDS
Network-Based IDS (NIDS)
Defesa de permetro
Anlise de pacotes em trnsito, sem realizar qualquer alterao
Anlise Passiva

Critrios:
Padres
Eventos determinsticos
Vulnerabilidades conhecidas

Estatsticos
Frequncia de pacotes (anlise de cabealhos e/ou contedo)
Frequncia de determinados eventos (menor importncia)
Correlao entre deteces anteriores

NIDS
Network-Based IDS
Criptografia
Trfego/canais criptografados no podem ser analisados
Um ataque, por exemplo de varredura, atravs de uma VPN no pode
ser diferenciado de um trfego de elevado volume qualquer.
Alguns protocolos podem deixar assinaturas estatsticas, que permitem
suspeitas aps prolongado monitoramento
Resultado de longas observaes
No possvel avaliar o contedo (payload) do trfego
No pode-se esperar exatido

NIDS
Network-Based IDS
Componentes
Sensor (1 ou mais)
Responsvel pela leitura dos pacotes e aplicao das regras de deteco

Base de dados
Armazenamento de alertas e registro de trfego suspeito

Console de gerncia
Acesso aos registros, pesquisa de eventos
Administrao das regras e assinaturas

Os elementos componentes podem ser distribudos em um ou mais


equipamentos (hardware)

NIDS
Topologia bsica

NIDS
Topologia fsica (tpica)
A interface de monitoramento ligada a uma porta do switch configurada
como Espelhamento
Todo o trfego entre o Firewall e o Switch copiado para essa porta
No sensor, a interface opera em modo promscuo.

NIDS
Topologia fsica (tpica)
Uma interface de espelhamento apenas envia dados. No possvel
transmitir nessa porta
Para se comunicar com outras estaes (banco de dados e console), o
Sensor deve possuir uma outra interface, ligada em uma porta normal do
switch.

NIDS
Topologia fsica (tpica)
O Sensor pode usar uma outra rede, especfica para gerncia (mais segura)
para a comunicao com banco de dados e console
Todo e qualquer acesso ao sensor (assim como ao banco de dados e console)
deve ser estritamente controlado

NIDS
Posicionamento
O posicionamento do sensor de fundamental importncia

NIDS
Se for posicionado em (1):
Monitora o trfego para a rede interna
No monitora o trfego para a DMZ Um ataque no seria detectado

NIDS
Se

for posicionado em (2):


Monitora o trfego para a rede DMZ
No monitora o trfego para a rede interna
Pode ser uma situao desejada

NIDS
Se

for posicionado em (3):


Monitora o trfego entre as redes Interna e DMZ com a Internet
No monitora o trfego entre a Rede Interna e DMZ
Pode detectar tentativas que sero bloqueadas pelo firewall

NIDS
Deve-se considerar
Quais trfegos deseja-se monitorar
Quantos sensores estou disposto (e posso) dedicar a esta tarefa
Distribuio de carga (trfego elevado)

IPS
IPS
Intrusion Prevention System
O IPS uma ferramenta que acumula s funes do IDS, recursos
para tomada de ao, interrompendo/impedindo a continuidade de
um ataque ou situao de risco
O termo IPS no universalmente adotado por todos os fabricantes
e envolve questes de marketing.

IPS
IPS
Tcnicas de atuao
Diretamente sobre a estao afetada
Sobre roteadores e firewalls
Interceptao de conexo

IPS
Diretamente sobre a estao afetada
O sensor envia ao atacado um comando para que uma determinada sesso/
conexo/comunicao seja interrompida
Vantagens: Maior controle sobre a ao tomada. Permite interromper a
execuo de processos no servidor, ou desativao de recursos
comprometidos ou sob suspeita.

IPS
Diretamente sobre a estao afetada
Desvantagens:
Maior complexidade. Exige definio prvia das aes possveis.
Instalao de recursos em cada servidor para permitir a comunicao e
tomada de aes Questes adicionais de segurana.

IPS
Sobre roteadores e firewalls
O Sensor envia ao Firewall (ou roteador) um comando para bloquear uma,
ou mais, conexes/fluxos participantes da atividade suspeita.
Pode, tambm, haver o bloqueio, temporrio ou definitivo*, do(s)
endereo(s) atacante(s).
* At desbloqueio manual

IPS
Sobre roteadores e firewalls
Vantagens:
Impede a continuidade do ataque
Atuao sobre nmero limitado de equipamentos
Regras de ao mais simples Maior abrangncia sobre situaes
suspeitas

IPS
Sobre roteadores e firewalls
Desvantagem:
No permite interromper processos/servios comprometidos na estao
atacada

IPS
Interceptao de conexo
Session Sniping
Permite interromper conexes TCP pelo envio de pacotes RST forjados para
ambas as estaes (atacante e atacado)

IPS
Interceptao de conexo
Vantagens:
Simples implantao
No requer programas/protocolos especficos para a tomada de ao
Ao de efeito curto (mas pode ser repetida indefinidamente)

IPS
Interceptao de conexo
Desvantagens:
Pode expor a existncia do IPS (um atacante experiente pode conseguir
informaes relevantes sobre a poltica de defesa)
Apenas sobre conexes TCP

IPS
Interceptao de conexo
Desvantagens:
Confia no correto funcionamento da pilha TCP/IP dos participantes
(geralmente a do servidor se comportar como esperado)
A atividade pode ser reiniciada novamente (nova conexo) Problema
srio se h latncia entre o incio da atividade, deteco e tomada de
ao.

IPS
IPS Ateno
Falso Positivo
Pode causar:
Risco de bloqueio de trfego legtimo
Transtorno aos usurios
Interrupes nas comunicaes

Toda poltica de IPS deve ser implantada com elevada cautela


para evitar impacto negativo na rede.

Snort
Snort
Soluo aberta de IDS/IPS
Deteco por:
Assinaturas Atualizao pela internet
Inspeo de trfego anormal

Disponvel para diversos sistemas operacionais, entre eles:


Linux
Windows

Compatvel com bancos de dados

MySQL
PostgreSQL
MSSQL
Oracle

http://www.snort.org/

Snort
Snort
Ferramentas de terceitos
Anlise de logs
BASE

Atualizao de regras
Oinkmaster
A atualizao :
- Gratuita para regras com mais de 30 dias
- Paga para regras mais recentes (zero-day)

http://www.snort.org/

VPN (Virtual Private Networks)

VPN (Virtual Private Networks):


Forma de interligar duas redes privadas (Intranet) atravs da
Internet
Permite usar uma rede no confivel de forma segura

VPN (Virtual Private Networks)

Exemplos e utilizao
Ligao entre dois
firewalls ou entre dois
servidores de VPN para
interligar duas redes
inteiras
Ligao entre uma
estao na Internet e
servios localizados
dentro da rede interna
(Intranet)

Propriedades das conexes VPN

Encapsulamento
Contm informaes de roteamento que permitem que os dados
atravessem a rede de trfego

Criptografia de dados
Garante a confidencialidade dos dados que atravessam a rede de
trfego pblica ou compartilhada

Propriedades das conexes VPN

Autenticao
Autenticao no nvel do usurio
Autenticao no nvel do computador
Autenticao da origem dos dados e integridade dos dados

VPN (Virtual Private Networks)

VPN emprega criptografia em cada pacote trafegado


A criptografia deve ser rpida o suficiente para no comprometer o
desempenho entre as redes
A criptografia deve ser segura o suficiente para impedir a quebra de
confidencialidade

Para cada pacote trafegado verificado


A integridade (CRC ou Hash ser visto posteriormente)
A autenticidade
pacotes carregam assinaturas/senhas para garantir a veracidade da
fonte emissora

VPN (Virtual Private Networks)

Exemplos de protocolos de encapsulamento empregados

IPSec (RFC 3193)


L2TP (RFC 2661/RFC 3193)
PPTP (RFC 2637)
SSTP

VPN (Virtual Private Networks)

Vantagens:
substituio de linhas dedicadas a custo baixo
uso de infraestrutura j existente

Desvantagens:
sensvel aos congestionamentos e interrupes que ocorrem na
Internet
Necessidade de maior taxa de transmisso
Aumenta o processamento