You are on page 1of 48

SEGURANÇA EM REDES DE COMPUTADORES

12/26/2012

1

Claudio C. Junca
claudiojunca@nidforensics.com.br Sales Manager

www.nidforensics.com.br

Agenda
Conceitos de Conectividade

Conceitos Básicos de Segurança Identificando os Volões

Agenda
Antologia de um Ataque Principais Ameaças Sugestões de Implementações de Redes Seguras

SEGURANÇA EM REDES DE COMPUTADORES
Certa vez ao participar de um Seminário um palestrante disse:

Como as empresas vêm a Segurança:
o quando tudo vai bem, ninguém lembra que existe;
o quando tudo vai mal, dizem que não existe; o quando é para investir, não é preciso que exista; o Entretanto, quando realmente não existe, todos afirmam que

deveria existir!

jamais conseguiremos endereçar todo o arcabouço de situações passiveis de prejuízo. IMPORTANTE: Não existe segurança absoluta! Por mais que medidas sejam tomadas.SEGURANÇA EM REDES DE COMPUTADORES Segurança É estar livre de perigos e incertezas. . Ativo É tudo aquilo que possui valor para uma organização.

.SEGURANÇA EM REDES DE COMPUTADORES Tríade de Segurança Um recurso ou informação pode ser considerado seguro quando tem preservadas as suas premissas de confidencialidade. integridade e disponibilidade.

manutenção e destruição).propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação.propriedade que garante que a informação esteja sempre disponível para o uso legítimo. incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento. àquelas autorizadas pelo proprietário da informação.propriedade que limita o acesso a informação tão somente às entidades legítimas. Disponibilidade . Integridade . ou seja.SEGURANÇA EM REDES DE COMPUTADORES Princípios Fundamentais Confidencialidade . ou seja. . por aqueles usuários autorizados pelo proprietário da informação.

mediante autenticação. .Conceitos Básicos de Conectividade Conceitos Básicos de Segurança Autenticação e Identificação: Garantir que a origem de uma informação seja corretamente identificada. Controle de Acesso: Garantir que o acesso a informação seja controlado pelo sistema que a hospeda ou transmite. Não-repudiação: Garantir que a origem e o destino de uma informação não a repudiem durante os processos de transmissão.

Conceitos Básicos de Conectividade Exemplos de quebra do CID que vemos ou ouvimos no dia a dia? Confidencialidade: alguém obtém acesso não autorizado ao seu computador e lê todas as informações contidas na sua declaração de Imposto de Renda. Integridade: alguém obtém acesso não autorizado ao seu computador e altera informações da sua declaração de Imposto de Renda. Disponibilidade: o seu provedor sofre uma grande sobrecarga de dados ou um ataque de negação de serviço e por este motivo você fica impossibilitado de enviar sua declaração de Imposto de Renda à Receita Federal. momentos antes de você enviá-la a Receita Federal. .

Impressoras.SEGURANÇA EM REDES DE COMPUTADORES A respeito dos Ativos temos as seguintes Classificações: Tangíveis • Informações impressas ou digitais. Confiabilidade de um site . Marca de um • produto. Móveis e utensílios. Estações de trabalho Intangíveis • Imagem de uma empresa. Confiabilidade de um órgão federal.

. Access Point... Clientes.. • Fornecedores. Prestadores de Serviços. ArCondicionado. . Cabos. Dados armazenados em servidores.SEGURANÇA EM REDES DE COMPUTADORES A respeito dos Ativos temos as seguintes Classificações: Lógicos • Sistemas Especialistas ou Corporativos).. Rede • VoIP. Físicos • Notebook. Humanos • Empregados.

firewalls. Fechaduras. Políticas.. Guardas. Permissões em sistemas de arquivos. .. Humanos • Procedimentos.. Normas.. Físicos • Portas. • Configuração de switchs... routers. Sistemas CFTV.SEGURANÇA EM REDES DE COMPUTADORES Rapidamente a cerca dos ATIVOS temos as seguintes PROTEÇÕES: Lógicos • Perfis de usuários. Chaves.

combinada com os impactos que ela trará. implementação ou configuração de um software ou sistema operacional que. • Risco: Medida que indica a probabilidade de uma ameaça se concretizar.SEGURANÇA EM REDES DE COMPUTADORES Conceitos básicos de segurança .Termos e definições • Valor: Importância do ativo para a organização. • Ameaça: Evento em potencial. • Impacto: Tamanho do prejuízo. resulta em prejuízo para organização. que traz danos diretos aos ativos ou prejuízos decorrentes de situações inesperadas. . • Vulnerabilidade: Pode ser definida como uma falha no projeto. quando explorada por um atacante.

apenas para demonstrar suas habilidades. seja por meio de seus erros ou devido a fragilidade das instalações. • Podemos dizer que hackers são: aqueles que utilizam seus conhecimentos para invadir sistemas. . sem o intuito de causar danos às vítimas. • Existem varias denominações para os vilões. mas a mídia falada e escrita atribui as ações aos hackers ou criminosos cibernéticos.SEGURANÇA EM REDES DE COMPUTADORES Identificando os vilões? • Qualquer usuário é passível de causar danos ou negar serviços a redes.

• Gray hat: que vivem no limite entre o bem e o mal.. ex-funcionários. • Black hat: ckackers. • Insiders: empregados insatisfeitos.. • Coders: os que escrevem sobre suas proezas.. vamos a uma delas: • Script kiddies: Iniciantes. • White hat: profissionais contratados. • Cyberpunks: mais velhos.SEGURANÇA EM REDES DE COMPUTADORES Identificando os vilões? Existem varias classificações. prestadores de serviços. .

acesso a informações sigilosas. e colocam em risco as organizações que não tem uma política de segurança definida e aplicada. são atribuídas a espionagem industrial. alterações em código fonte de sistemas. a eles... •Insiders: São os responsáveis por causar maiores danos a organização. alterações cadastrais. etc. .SEGURANÇA EM REDES DE COMPUTADORES Qual o tipo de vilão que nos interessa? •Script kiddies: Geralmente são inexperientes e novatos. usam ferramentas publicadas na Internet.

• Quais questões devemos observar? • Insatisfação com a empresa. . • Suborno. • Espionagem. • Relativamente confiáveis. • Insatisfação com o superior.Conceitos Básicos de Conectividade Atenção aos Insiders! Deve-se dar importância aos ataques originados a partir da própria rede: • Qual a vantagem deles em relação aos outros? • Tempo.

” “.” .. Se o inimigo deixa uma porta aberta. para o inimigo... A 2500 anos atrás um chinês escreveu: “..” “...Conceitos Básicos de Conectividade Antologia de um Ataque O que é um Ataque? No jogo de xadrez – é o caminho pelo qual exploramos uma fraqueza ou vulnerabilidade em uma determinada posição.se você descobrir o ponto fraco do oponente.. bem ou mal sucedida de acesso ou uso não autorizado a um programa ou computador.. precipitemo-nos por ela. você tem que afetá-lo com rapidez.. Em informática – é a tentativa... são inesperados..um comandante militar deve atacar onde o inimigo está desprevenido e deve utilizar caminhos que.

. Que podem ser: • Engenharia Social – É a técnica que explora as fraquezas humanas e sociais.SEGURANÇA EM REDES DE COMPUTADORES Antologia de um Ataque Como ocorrem a exploração das vulnerabilidades? Através de mecanismos de invasão. configuração ou no gerenciamento dos serviços e sistemas. implementação. • Invasão Técnica – As invasões técnicas exploram deficiências na concepção.

• Obter Informações.Confidencialidade. • Criar novas informações – Autenticação. .Disponibilidade. • Colher informações .Conceitos Básicos de Conectividade Antologia de um Ataque O que é necessário para que se tenha sucesso ao se realizar um ataque? • Conhecer o Alvo. • Modificar as informações . Controle de Acesso e Integridade. ou seja: • Causar a indisponibilidade . • Avaliar qual o objetivo que se pretende.Integridade.

William existem 4 (quatro) categorias de ataques. • Interrupção.Conceitos Básicos de Conectividade Antologia de um Ataque Segundo Stallings. • Sendo o primeiro chamado de ataque passivo e o restante de ataque ativo. a saber: • Interceptação. • Fabricação. • Que software e qual técnica ou categoria você usaria para capturar as informações em uma rede segmentada por switch? . • Modificação.

SEGURANÇA EM REDES DE COMPUTADORES Antologia de um Ataque FLUXO NORMAL DE TRANSMISSÃO D A D O S ORIGEM ORIGEM ORIGEM D A D O INTERRUPÇÃO S ORIGEM ORIGEM D A D O S ORIGEM D O S INTERCEPTAÇÃO .

Conceitos Básicos de Conectividade Antologia de um Ataque ORIGEM D A D O S ORIGEM MODIFICAÇÃO E .

Conceitos Básicos de Conectividade Antologia de um Ataque RETORNO DOS DADOS ORIGEM ORIGEM ACESSO A DADOS FABRICAÇÃO INSERE DADOS .

SEGURANÇA EM REDES DE COMPUTADORES Principais Ameaças 10 Principais Ameaças Ataques Internos Falta de Contingência Configuração Inadequada Despreocupação com as redes de hotéis e quiosques Utilização Imprudentes das Redes sem Fio Dados perdidos armazenados em dispositivos portáteis Negação de serviços em servidores Web Uso Indevido da Internet pelos Funcionários Mensagens Maliciosas Exploração automatizada de vulnerabilidades conhecidas Segundo a “Verizon's Intrusion Response Team” as 10 (dez) maiores ameaças de segurança nas organizações de pequeno e médio porte. .

SEGURANÇA EM REDES DE COMPUTADORES Principais Ameaças • Códigos Maliciosos (Malware) É um termo genérico que abrange todos os tipos de programa especificamente desenvolvidos para executar ações maliciosas em um computador. • DDoS (Distributed Denial of Service) Constitui um ataque de negação de serviço distribuído. • Negação de Serviço (Denial of Service) Consiste no uso de um computador para tirar de operação um serviço ou computador conectado a rede. cavalos de tróia. Alguns exemplos de malware são: vírus. ou seja. worms e bots. um conjunto de computadores é utilizado para tirar de operação um ou mais serviços ou computadores conectados a rede. . backdoors. keyloggers e outros programas spyware.

SEGURANÇA EM REDES DE COMPUTADORES Explorando as vulnerabilidades das camadas do meio .

SEGURANÇA EM REDES DE COMPUTADORES Explorando as vulnerabilidades das camadas do meio Qual a importância desses conceitos para a implementação segura de switchs na camada 2 e routers na camada 3? A importância diz respeito ao projeto como um todo. é necessário um projeto físico (camada 1 e 2) e lógico (camada 2 e 3) adequado. . ou seja. para suportar o estabelecimento de políticas e ferramentas de segurança (camadas 1 a 7) que mantêm o monitoramento de todo sistema com o intuito de mitigar as vulnerabilidades e reduzir os riscos de um ataque.

política inadequada quanto ao uso de senhas.SEGURANÇA EM REDES DE COMPUTADORES Explorando as vulnerabilidades das camadas do meio Relembrando das 10 ameaças temos: • Ataques Internos: São bem sucedidos devido a configurações inadequadas dos equipamentos. • Despreocupação com as redes de hotéis e quiosques: Políticas e ferramentas de seguranças inadequadas. que permitem o funcionários desabilitá-las quando estão fora da organização. seja pela contração de funcionários desqualificados. . • Falta de Contingência: Inexistência de planos de continuidade do negócio. falta de classificação quanto a informação e auditória de navegação nos sistemas corporativos. e/ou ausência de conhecimento da solução (Appliances de Segurança na configuração padrão. plano de recuperação e desastre e até mesmo sistemas automatizados de backup. • Configuração Inadequada dos Equipamentos: Desconhecimento das melhores práticas para implementação dos equipamentos de rede.

No nível 1 as formas de acesso usadas numa determinada rede ou ligação dependem significativamente do meio físico.SEGURANÇA EM REDES DE COMPUTADORES Explorando as vulnerabilidades das camadas do meio Quais são as principais vulnerabilidades e ataques na camada 1: As vulnerabilidades na camada física ocorrem em virtude das instalações inadequadas e/ou acesso não monitorado as áreas criticas. .

fáceis de danificar ou interromper.SEGURANÇA EM REDES DE COMPUTADORES Explorando as vulnerabilidades das camadas do meio Quais são as principais vulnerabilidades e ataques na camada 1: • O uso de meios físicos como cabos de cobre. desvia. que pode ser compartilhado com equipamentos distintos. • Os meios ópticos sem fio (laser ou infravermelhos) são sensíveis às condições de propagação. interromper ou danificar. • As fibras são frágeis e portanto. escutar. são relativamente fáceis de derivar. . • Nas redes sem fio o próprio meio de transmissão é sensível a ruídos e extremamente vulnerável ao espectro do sinal.

• Por escuta do espectro de onda para equipamentos sem fio (radioelétrico). • Por derivação nos conectores. • Por leitura de radiação eletromagnética emitida pelos cabos.SEGURANÇA EM REDES DE COMPUTADORES Explorando as vulnerabilidades das camadas do meio Quais são os principais ataques na camada 1 : • Escuta = Interceptação = Probe = Snnifer Existem vários tipos dos quais os mais comuns são: • Por derivação no meio físico (wire tapping). .

SEGURANÇA EM REDES DE COMPUTADORES Explorando as vulnerabilidades das camadas do meio Quais são os principais ataques na camada 1: • Bloqueio = Interrupção Normalmente através da ruptura do meio físico de forma intencional. como por exemplo: • Corte nos cabos de cobre ou fibra. • Interposição de obstáculos entre o transmissor e o receptor no caso das redes sem fio. • Desvio = Modificação Alterar o caminho da ligação entre o equipamento emissor e o receptor normalmente com o intuito de acesso aos dados ou a recursos de telecomunicações. • Emissores de ruídos eletromagnéticos. .

P2P Abusing. Packet Storm. Rogue DHCP Server. Protocolo DHCP. Ataque de manipulação do STP. MAC Flooding. Worm Outbreak. ARP Spoofing/ ARP Poisoning. Ataque de negação no STP.. DoS no servidor DHCP. Spoofing de identidade do cliente DHCP.. MAC Spoofing.SEGURANÇA EM REDES DE COMPUTADORES Explorando as vulnerabilidades das camadas do meio Quais são as principais vulnerabilidades e ataques na camada 2 e camada 3: Protocolo ARP.. Main in the Middle. .

Durante o processo de distribuição os dados podem ser capturados perdendo-se a confidencialidade.SEGURANÇA EM REDES DE COMPUTADORES Explorando as vulnerabilidades das camadas do meio Quais são os principais ataques nas camada 2 e 3: • Protocolo ARP: Armazena os endereços nas tabelas ARP dos equipamentos do tipo switchs. no entanto. qualquer cliente com acesso físico a rede (cabeada ou sem fio) pode fazer solicitações de DHCP. dessa forma. • Protocolo DHCP: Inexistência de mecanismo confiável na distribuição de seus endereços lógicos (IP. Gateway e DNS). switch routers com o intuito de reduzir o tráfego de dados rede. . essa tabelas podem ser alteradas. devido a falta de autenticação e confidencialidade no seu processo. routers.

SEGURANÇA EM REDES DE COMPUTADORES Explorando as vulnerabilidades das camada 2 e camada 3 do modelo OSI Quais são os principais ataques nas camada 2 e 3: • MAC Flooding: É um típico ataque de negação de serviço (DoS) decorrente da limitação na tabela CAM (Content Addressable Memory) de alguns switchs. ele faz um brodcast para todas as portas. como se fosse um hub. no qual. . O switch pode ser inundado com falsos e inúmeros endereços MAC provocando sua mudança para o modo de recuperação e falhas. tornando o segmento extremamente lento e/ou não repassar os quadros aprendidos para as suas portas e demais segmentos.

Consiste no redirecionamento dos quadros destinados a um host confiável da rede para a porta no qual o atacante esta conectado. de tal forma. esgotando assim a quantidade IPs destinados a faixa. • Negação de serviço (DoS) no servidor DHCP É destinados a servidores DHCP configurados para usar faixas de endereçamentos especificas. um atacante pode gerar vários pedidos dentro de uma determinada faixa. O atacante assume o endereço MAC do host confiável. dessa forma.SEGURANÇA EM REDES DE COMPUTADORES Explorando as vulnerabilidades das camadas do meio Quais são os principais ataques nas camada 2 e 3: • MAC Spoofing : É um ataque destinado a tabela CAM (Content Addressable Memory) de alguns switchs. que os quadro são endereçados a ele. .

passando dessa forma. Esse ataque é realizado nas instalações onde o servidor DHCP tem cadastrado os MAC que podem receber IPs. É possível quando intencional. . no entanto. Muitas vezes esse ataque ocorre de forma acidental. sua ação é desastrosa e pode ocasionar a indisponibilidade dos usuários se autenticarem a rede. intencional ou não.SEGURANÇA EM REDES DE COMPUTADORES Explorando as vulnerabilidades das camadas do meio Quais são os principais ataques nas camada 2 e 3: • Spoofing de identidade do cliente DHCP É quando o atacante modifica seu MAC para um MAC válido com a finalidade de enganar o servidor DHCP e então recebe um endereço IP. que o atacante controle vários hosts da rede. a ser um host válido na rede. • Rogue DHCP Server É o ataque que consiste na inserção de um servidor falso para a distribuição de DHCP.

bridge ou switch router) via inundação ou difusão forçando o STP a recalcular a o caminho entre os segmentos de rede. A inclusão da estação entre o segmento só é possível devido a funcionalidade do próprio STP. dessa forma. .SEGURANÇA EM REDES DE COMPUTADORES Explorando as vulnerabilidades das camadas do meio Quais são os principais ataques nas camada 2 e 3: • Ataque de negação no STP Explora a ausência de autenticação no protocolo STP. é feito uma ataque de negação de um nó (switch. • Ataque de manipulação do STP O atacante faz com que o tráfego de um segmento da rede obrigatoriamente passe por sua estação entre o segmento de acesso ao núcleo da rede.

seja com o uso de softwares que propagam o ataque. Dessa forma é possível receber o tráfego destinado a um host válido da rede. ou pelo simples fato de fecharmos um loop local no switch de acesso a rede. • Packet Storm São inundações ou broadcast para todas as portas de um switch.SEGURANÇA EM REDES DE COMPUTADORES Explorando as vulnerabilidades das camadas do meio Quais são os principais ataques nas camada 2 e 3: • ARP Spoofing (ARP flooding) / ARP Poisoning É o ataque que encaminha informações falsificadas sobre os endereçamentos IPs enganando os hosts com relação ao MAC de um destino. .

• P2P Abusing Softwares deste tipo geralmente trabalham na porta UDP e podem congestionar a rede local. tipicamente gateways ou portas de up-link.SEGURANÇA EM REDES DE COMPUTADORES Explorando as vulnerabilidades das camadas do meio Quais são os principais ataques nas camada 2 e 3: • Main in the Middle É uma variante sofisticada do ARP Spoofing / ARP Poisoning. modificar pacotes ou mesmo desviar o fluxo do tráfego da rede. o atacante intercepta os pacotes destinados a outro host de forma silenciosa. . além de tornar o tráfego no link WAN sobrecarregado. A finalidade é descobrir senhas.

SEGURANÇA EM REDES DE COMPUTADORES Implementações seguras de Redes O que são implementações seguras? São especificações e configurações que podem ser feitas no intuito de mitigar o risco de ataque as vulnerabilidades. É importante lembrar que a Tecnologia da Informação é o mecanismo para garantir o sucesso do negócio. de forma a atender os requisitos de negócio. O projeto deve ser pensado como um todo. .

radio... via rotas distintas.. • Assegurar. . a quem de direito. etc. • Evitar soluções com meio físico compartilhado. caso use... acesso aos equipamentos. No caso das ligações WAN é possível o uso de conexões por fibra. Exemplo: No caso das redes LANs é possível contemplar o acesso por rede cabeada e sem fio. pontos de acesso fixo ou móvel. soluções em redes sem fio. Exemplo: soluções em anel. satélite ou sem fio. racks. • Usar soluções redundantes com tecnologias distintas na camada física. • Contemplar caminhos físicos redundantes.SEGURANÇA EM REDES DE COMPUTADORES Implementações seguras de Redes Sugestões quanto a especificações e na camada física: Verificar as fragilidades quanto aos requisitos físicos para a escolha correta da tecnologia. o acesso aos recursos físicos. sejam estes: cabos. ou seja. contemple os requisitos de segurança.

Inibir a troca de equipamentos entre pontos distintos. Realizar auditorias periódicas que contemplem a inspeção visual a todos os componentes da LAN. Restringir e monitorar o acesso as salas com equipamentos de comunicação e servidores. que consiste na alteração reversível da informação transmitida (mecanismos de codec e decoder). Manter ligados somente os pontos com equipamentos conectados.SEGURANÇA EM REDES DE COMPUTADORES Implementações seguras de Redes Sugestões quanto a especificações e na camada física: Em termos de transmissão é possível o uso de scrambling. Documentar e atualizar todas as ligações físicas. .

• Desabilitar ou restringir o uso a serviços ou acesso a gerência/configuração dos equipamentos. . • Manter as portas não usadas desabilitadas. • Usar criptografia quando possível.SEGURANÇA EM REDES DE COMPUTADORES Implementações seguras de Redes Sugestões quanto a especificações e nas camadas de enlace e rede: • Manter sempre atualizado o firmware/software dos equipamentos de rede. • Alterar sempre a configuração padrão dos equipamentos de rede.

distribuição e acesso. • Prefira tecnologias comutadas. • Usar a segmentação de LAN. separando por zonas sensíveis ao negócio ou ao perfil de acesso.SEGURANÇA EM REDES DE COMPUTADORES Implementações seguras de Redes Sugestões quanto a especificações e nas camadas de enlace e rede: • Prefira topologia em estrela. . • Usar ferramentas para detecção e isolamento de interfaces em modo promiscuo. • Usar ferramentas para detecção e isolamento de “maquinas mal comportadas”. estrela estendida (arvore) com redundância em núcleo.

mantendo os logs atualizados com informações de acesso físico e lógico aos equipamentos de rede. • Usar equipamentos que implementem soluções agregadas de controle de acesso a rede (NAC). suporte técnico de fornecedores. que permitam a flexibilidade na criação e isolamento de grupos de maquinas. servidores. • Usar o controle de acesso de forma ampla. servidores e backbone. detecção de probe e dhcp rogue. . e até por aplicações.SEGURANÇA EM REDES DE COMPUTADORES Implementações seguras de Redes Sugestões quanto a especificações e nas camadas de enlace e rede: • Usar VLANS. Exemplo: usuários. clientes.

Obrigado! dúvida? Qual a sua .