1. Segurança de Redes-
Arquitetura
Cássio Alexandre Ramos
cassioaramos (at) gmail (dot) com
http://www.facebook.com/cassioaramos
http://cassioaramos.blogspot.com
2. Sumário
Introdução
Requisitos Básicos e Projeto de Defesa
Ameaças e Tipos de Ataques
Segurança de Perímetro
Segurança de Backbone
Segurança de Desktop e Rede Local
Metodologia de Ataque
27/12/11 2
3. Introdução
Por que Segurança?
Estamos cada vez mais dependentes dos sistemas
de informação
A Internet é vulnerável – foi concebida utilizando
protocolos inseguros
Segurança não está somente relacionada com
invasão de sistemas
27/12/11 3
4. Pesquisa Nacional de Segurança
da Informação [Modulo 2004]:
• 42% das empresas tiveram problemas com a Segurança da
Informação;
• 35% das empresas reconhecem perdas financeiras. 65% das
empresas não conseguiram quantificar essas perdas;
• Vírus, Spam, acessos indevidos e vazamento de informações
foram apontados como as principais ameaças à segurança das
informações nas empresas;
• O percentual de empresas que afirmam ter sofrido ataques e
invasões é de 77%;
• 26% das empresas não conseguem sequer identificar os
responsáveis pelos ataques; e
• 58% dos entrevistados sentem-se inseguros para comprar em
sites de comércio eletrônico.
27/12/11 4
6. Requisitos Básicos da Segurança
Confidencialidade: Certeza que somente as pessoas autorizadas a
acessar os dados podem acessá-los
Integridade: Certeza que os dados não foram alterados - por
acidente ou intencionalmente
Disponibilidade: Certeza que os dados estão acessíveis quando e
onde forem necessários
27/12/11 6
7. Requisitos Básicos da Segurança
" Elementos Utilizados para Garantir a Confidencialidade
" Criptografia dos dados
" Controle de acesso
"
Elementos para garantir a Integridade
" Assinatura digital
" MD5- hash
" Elementos para garantir a Disponibilidade
" Backup
" Tolerância a falhas
" Redundância
27/12/11 7
8. Projeto de Defesa
Como se Defender?
Prevenção – mecanismos que devem ser instalados
no sistema para evitar ataques
Detecção – como detectar os ataques. Como saber
se estão acontecendo
Resposta – como responder aos ataques
Política de Segurança – formalização e sistemas
que implementam a política
27/12/11 8
9. Projeto de Defesa
Defesa em Profundidade
Múltiplas barreiras entre quem ataca e o recurso que
se quer proteger
Quanto mais fundo o atacante quer chegar, mais
difícil será
Aumentar o custo do ataque
O principal da defesa em camadas é que um
componente complemente o outro formando um
sistema mais seguro
Principio do Menor Privilégio
27/12/11 9
10. Ameaças e Tipos de Ataque
Ameaças
Backdoors, bots, exploits,
Trojans, malwares etc
Virus, Worms, Spams,
Hoax, fishing scam etc
Hackers, Crackers, Defacers,
spammers, funcionários, ex-
funcionários
Falhas (vulnerabilidades) em S.O,
aplicativos e protocolos
27/12/11 10
11. Ameaças e Tipos de Ataque
Tipos de Ataques
Hijacking, cracking, scanning, sniffing, spoofing, buffer
overflow, defacing etc.
27/12/11 11
12. Ameaças e Tipos de Ataque
Tipos de Ataques
DOS e DDOS
Engenharia Social- Kevin
Mitnick
27/12/11 12
13. Segurança de Perímetro
Perímetro
" Fronteira fortificada da sua rede de dados
" Deve incluir alguns elementos de proteção
27/12/11 13
14. Elementos de Segurança de Perímetro
Elementos de Segurança de Perímetro
" Firewall
"
VPN
"
Zona Desmilitarizada (DMZ)
" Host Hardening
" Intrusion Detection System (IDS)
" Network Address Translation (NAT)
" Analisadores de Conteúdo
" Analisadores de Logs
27/12/11 14
15. Firewall
• Dispositivo (hardware + software) que possui regras específicas que
permitem ou bloqueiam o tráfico
• Barreiras de segurança entre a intranet e a Internet para proteger a
rede interna contra acessos não autorizados
• Mensagens que entram ou saem da rede devem ser examinadas pelo
firewall, que toma ações de acordo com critérios de segurança
especificados
• Estático: Filtro de pacotes
• Stateful: memoriza as conexões para uma melhor análise
• Proxy de Aplicação e Proxy Reverso
27/12/11 15
16. Filtro de Pacotes
Filtro de Pacotes
Determina se o pacote tem permissão para entrar ou
sair da rede de acordo com informações localizadas
no cabeçalho do pacote
Cabeçalho de pacote é um pequeno segmento de
informação que é colocado no início do pacote para
indentificá-lo
Amplamente usado nos roteadores de borda ou de
perímetro
27/12/11 16
17. Stateful Firewall
Filtro de Pacotes Statefull
Examina o cabeçalho dos pacotes
Se pacote é permitido pelas regras- informações são
armazenadas em uma tabela de estado
A partir daí todas as comunicações naquela sessão
são permitidas
27/12/11 17
18. Usando filtros de pacote IP
Cliente Servidor Web
HTTP
Outros
Protocolos
27/12/11 18
19. Firewall
LAN
Endereço/Serviço
Autorizado
LAN Internet
Firewall
Endereço/Serviço
não Autorizado
LAN
27/12/11 19
20. Proxy de Aplicação
Proxy Web
Cache Server
O que é?
" Procurador
" Atua no nível da aplicação- orientado a aplicação
" Geralmente, o cliente precisa ser modificado- não é transparente
" Funciona como acelerador
27/12/11 20
21. Proxy de Aplicação
Proxy Web
Cache Server
Por que usar?
" Autenticação de usuário
" Inspeção de Conteúdo
" Cache
" Registro de Acessos
" Esconde detalhes da rede interna
27/12/11 21
22. Proxy de Aplicação
Verifica …
User autorizado?
3 Protocolo permitido?
Destino autorizado?
6
1 5
2
4
Web
Proxy
Server
27/12/11 22
24. Registro de Acessos
Registra o uso da Internet por usuário
Registro em texto bruto pode ser analizado
Pode ser utilizado para detectar alguns tipos de vírus
e adwares
27/12/11 24
26. Proxy Reverso
Verifica …
Request é permitido?
Protocolo permitido?
Destino permitido?
Web
Server
3 DNS
Server
4
5 2 1
Proxy R 6
27/12/11 26
27. Intranet
INTRANET
Parceiro1 Parceiro2 Parceiro3
LAN1
LAN2
LAN3
Firewall Firewall Internet
Proxy Router B
LAN4
LAN5
27/12/11 27
28. VPN – Virtual Private Network
• A idéia é utilizar a estrutura pública, com as mesmas facilidades de
uma rede privativa
• Canal protegido que cruza um canal desprotegido
Ex. Internet
• Permite que usuários externos acessem a rede interna com
segurança
27/12/11 28
29. VPN – Virtual Private Network
ISDN
Cable Site
Site central DSL
Usuário Remoto
Server remoto
Internet Site
Remoto
27/12/11 29
30. VPN – Virtual Private Network
Tipos de VPN
n LAN to LAN
n Extranet VPNs – interligam escritórios remotos, clientes,
fornecedores e parceiros utilizando a estrutura pública
n Acesso Remoto
n Interliga com segurança usuários remotos à intranet
corporativa
Site Remoto
27/12/11 30
32. VPN – Virtual Private Network
Vantagens Desvantagens
l Escalável l Não é utilizada quando o
l Baixo custo de link desempenho é fundamental
l Transparente para o usuário l Configuração complexa
IPSEC
Pacote de dados
Servidor VPN
Servidor VPN
27/12/11 32
34. DMZ e Bastion Host
DMZ: Zona Desmilitarizada
l Utilizada para separar os servidores que precisam ser acessados
pela Internet dos que apenas serão acessados pelo pessoal
interno da organização
Bastion Host
l Bastião, Baluarte. Fortaleza inexpugnável. É uma posição bem
fortificada
l Deve ser feito o hardening do host
27/12/11 34
35. DMZ e Bastion Host
Hardening
Desabilitar serviços que não estão sendo
utilizados
Utilizar sistemas operacionais e softwares sempre
atualizados
Desabilitar usuários e senhas default. Estabelecer
política rígida de senhas
Utilizar sistemas de arquivos robusto
Servidor deve estar configurado de acordo com
as boas práticas de segurança
27/12/11 35
36. DMZ e Rede Protegida
Servidor Web Cliente
Intranet Internet
Firewall
27/12/11 36
37. Intranet
INTRANET
Parceiro1 Parceiro2 Parceiro3
LAN1
LAN2 VPN
LAN3
Firewall/ Firewall Internet
Router B
Proxy
LAN4 DMZ FILIAL
Hardened
Server WEB
LAN5 Server
DNS
Server
Proxy R.
Mail
Server
27/12/11 37
38. IDS – Intrusion Detection System
IDS
Utilizado para detectar e alertar eventos maliciosos
Antecipar possíveis invasões aos sistemas
O sistema de defesa deverá dispor de vários agentes
IDS pela rede
Tipos: NIDS, HIDS e IPS
Normalmente verifica assinaturas pré-definidas e
eventos maliciosos
27/12/11 38
39. IDS – Intrusion Detection System
Arquitetura Genérica
27/12/11 39
40. IDS – Intrusion Detection System
Host Intrusion Detection System (HIDS)
Esse tipo de IDS reside em um único “host” e
monitora atividades específicas do mesmo
Pode ser baseado em assinaturas
Verifica a integridade dos arquivos do SO
Monitora utilização de recursos do host
27/12/11 40
41. IDS – Intrusion Detection System
HDIS (Cont.)
" Exemplos de componentes monitorados
" Memória
" Arquivos executáveis
" Espaço em disco
" Kernel
27/12/11 41
42. IDS – Intrusion Detection System
Network Intrusion Detection System (NDIS)
Monitora todo o tráfego da rede e compara este a um
banco de dados com assinaturas de ataque
Quando uma assinatura é detectada um evento é
disparado pelo IDS
Sistema utilizado para detectar e/ou reagir a uma
assinatura de ataque na rede
Utilizado para analisar o tráfego de rede em tempo
real
Equipamento dedicado com processamento
compatível com o tamanho da infra-estrutura
27/12/11 42
43. IDS – Intrusion Detection System
NDIS (Cont.)
" Sensor de Rede
" Posicionamento em função do conhecimento da topologia
" Em ambientes com switch - Espelhamento de porta
" Configuração stealth recomendada - Interface de captura
sem endereçamento e capturando tráfego de rede em modo
promíscuo
27/12/11 43
44. Intranet
INTRANET
Parceiro1 Parceiro2 Parceiro3
LAN1
NIDS
NIDS NIDS
LAN2 VPN
NIDS NIDS
LAN3
Internet
LAN4 DMZ FILIAL
Hardened HIDS
Server WEB
LAN5 Server
NDIS
Proxy R.
Mail
Server
27/12/11 44
45. Network Address Translation
NAT
Técnica utilizada por um dispositivo para a tradução
de endereços IP
Permite que uma rede use um conjunto de endereços
IP particulares para tráfego interno
Converte os endereços IP particulares em endereços
IP públicos
Aumenta a segurança ocultando endereços IP
Internos
Permite que uma organização economize endereços
IP públicos
27/12/11 45
47. Intranet
INTRANET
Parceiro1 Parceiro2 Parceiro3
LAN1
NIDS
NIDS NIDS
LAN2 VPN
NIDS NIDS
LAN3 NAT
Internet
LAN4 DMZ FILIAL
Hardened HIDS
Server WEB
LAN5 Server
NDIS
Proxy R.
Mail
Server
27/12/11 47
48. Analisador de Conteúdo Web
Analisador de Conteúdo
Analisa as solicitações de acesso a Internet
autorizando-as ou não
Política diferente de acordo com dias da semana e
horários
Utilizado para evitar a navegação anônima
Otimiza o uso do link de Internet, priorizando acesso
relacionado ao serviço
27/12/11 48
49. Soluções de Antivírus e Anti-Spam
Soluções Antivirus/ Anti-Spam
Distribuidos em Gateways, Proxies, Servidores de
Arquivos, Servidores de Correio e desktops
Administração Centralizada- firewall pessoal, IDS,
anti-spyware, atualização de vacinas, assinaturas e
políticas
Filtra conteúdo de e-mail, por tamanho, nº de
destinatários, tipos de anexos etc
Possibilita análise gráfica e alarmes em tempo real
27/12/11 49
50. Segurança de Backbone
Segurança de Backbone
Vendas
Só trafegam no backbone Engenharia Finanças
aplicações autorizadas
Hardening nos equipamentos
de conectividade WAN
Protocolos de roteamento- Campus Logística
seguros e com autenticação backbone
Monitoramento do backbone e
links- criptografia Contabilidade
Segurança física dos
Intranet servers
equipamentos
27/12/11 50
51. Segurança de Desktop
e Rede Local
Desktop
Usuário recebe máquina pronta- firewall, IDS,
antivírus etc.
S.O atualizado, serviços desnecessários
desabilitados
Utilizar somente software autorizado e não
receber e-mail de procedência duvidosa
27/12/11 51
52. Segurança de Desktop
e Rede Local
Desktop
Segurança física- fogo, calor, poeira,
magnetismo, explosão, vandalismo, roubo etc
Implementar rigida política de senhas
Utilizar área de rede para arquivos importantes
27/12/11 52
53. Segurança de Desktop
e Rede Local
Rede Local
Utilizar switches e monitorar tráfego
Administração de Políticas centralizada
Autenticação nos dispositivos de rede
Segurança física dos dispositivos, política de backup,
tolerância a falhas etc.
Implementar segurança de layer 2
27/12/11 53
54. Metodologia de Ataque
Coletando Informações
" Footprinting
" nome de domínio,
" endereços IP de servidores
" arquitetura de rede e serviços
" mecanismos de segurança,
" protocolos de rede
" endereço, telefones de contato, e-mails etc.
www.arin.net, registro.br, www.netcraft.com, whois.com
27/12/11 54
55. Metodologia de Ataque
Coletando Informações
" Varredura de rede
" Verificar sistemas operacionais de servidores Port Service
alvo 20?… closed
21?… FTP
" Verificar que serviços estão ativos, 22?… closed
23?… closed
" Consultas icmp ou varredura de portas TCP/UDP 24?… closed
25?… SMTP
27/12/11 55
56. Metodologia de Ataque
Coletando Informações
" Procura de Vulnerabilidades
" Procura por serviços vulneráveis- Ferramentas: Nessus, Nmap, Languard
" Verificar a necessidade de utilização de exploit- www.securityfocus.com
" Utilização de ferramentas para apagar rastros – root kits
27/12/11 56