SlideShare uma empresa Scribd logo

06-GestaoEquipamentosRedeOlharSeguranca_GTS22

Gustavo Rodrigues Ramos
Gustavo Rodrigues Ramos

O documento discute aspectos de segurança relacionados à gestão de equipamentos de rede, abordando tópicos como administração, configuração, interdomínio, processos, software e hardware. Ele destaca a importância de autenticação segura, controle de acesso, monitoramento, backups de configuração, homologação de atualizações e planejamento de capacidade.

1 de 12
Baixar para ler offline
Gestão  de  equipamentos  de  rede:     Olhar  de  segurança   Autores:   Gustavo  Ramos   Artur  Renato   GTS  -­‐  Grupo  de  Trabalho  em  Segurança  de  Redes  -­‐  22ª  Reunião   São  Paulo,  SP  -­‐  6  de  dezembro  de  2013  
MoHvação   •  A  equipe  de  redes  entende  de  segurança?   •  A  equipe  de  segurança  entende  dos  equipamentos   de  rede?   •  Três  caracterísHcas  básicas  da  Segurança  da   Informação:   –  Confidencialidade;   –  Integridade;   –  Disponibilidade.   •  Aspectos  de  segurança  dos  equipamentos  de  rede.   –  Não  estamos  falando  da  REDE.  
Agenda   •  Administração   •  Configuração   •  Interdomínio   •  Processos   •  SoWware  e  Hardware  
Administração  (1)   •  Métodos  de  Auten4cação   –  Gestão  de  usuários   •  E  quando  o  funcionário  sai  da  empresa?   –  Tacacs?  Radius?  LDAP?  Two-­‐factor?   –  Proxy?   –  Controle  de  acesso  baseado  no  endereço  IP  de  origem.   –  Definir  um  procedimento  para  senha  “default”/root/admin/etc.     –  PolíHca  de  acesso  limitada  por  grupo  de  usuário  (role-­‐based   access  controls).   –  PolíHca  de  qualidade  de  senhas.   –  NoHficação  automáHca  em  caso  de  violação  de  algum  item  da   políHca.  
Administração  (2)   •  Syslog  e  SNMP  Traps   –  Definir  as  regras  através  da  exclusão  de  itens  não   necessários.   –  Importante  para  correlação  de  eventos  e  análise  post-­‐ mortem.   •  Sistema  de  Monitoração   –  Qual  é  o  impacto  de  um  evento?   –  Lembrar-­‐se  de  monitorar  parâmetros  pouco  comuns:  taxa   de  pacotes/segundo  unicast  e  non-­‐unicast,  backplane,  etc.   •  Gerência  Out-­‐of-­‐Band   –  Vulgo  “Hro  no  pé”  
Configuração   •  Controle  dos  protocolos  u4lizados  e  não  u4lizados   –  Desabilitar  protocolos  não  uHlizados.   –  Implementar  métodos  de  autenHcação  e  controle.   •  OSPF,  HSRP,  SNMP,  CDP,  MNDP,  etc.   –  Aplicar  filtros  e  controles  para  protocolos  não-­‐autenHcados,  por   exemplo,  Spanning-­‐tree  .   •  Backup  de  Configuração   –  Definição  do(s)  horário(s)  de  backup  baseado  na  políHca  de  mudança.   –  Controle  de  versões.   –  Auditoria  automáHca  para  detectar  alterações  não  autorizadas.   –  Aplicação  de  rollback  em  caso  de  problema.   •  Auditoria  externa  na  rede   –  Está  realmente  atualizada?   –  Analisa  os  elementos  (configurações,  protocolols,  hardware,  etc)  que   realmente  estão  em  uso?  
Interdomínio  (1)   •  O  firewall  já  controla  todo  o  tráfego  desHnado   a  rede  interna  ou  DMZ.   – E  antes  do  firewall?  
Interdomínio  (2)   Cuidados  ao  conectar-­‐se  a  uma  rede  de  terceiros.     •  Camada  1   –  Problemas  elétricos  ou  ksicos.   •  Camada  2   •  Metro-­‐ethernet:  confiar  nos  BPDU’s  de  equipamentos  de  terceiro?   •  Sempre  uHlizar  filtros  e  controles  para  o  tráfego  L2:   –  Filtros  de  spanning-­‐tree   –  Storm-­‐control   –  Controle  de  recursos  limitados  (por  exemplo,  número  máximo  de  endereços   MAC).     •  Camada  3   –  Escolher  um  protocolo  que  permita  autenHcação  e  filtros.   •  UHlizar  BGP  “privado”  em  caso  de  interconexão  de  redes  com  protocolo  de   roteamento  dinâmico.  
Processos   •  Definir  corretamente  uma   configuração  básica   (baseline)   •  GaranHr  que  os  equipamentos   estejam  configurados  de   acordo  com  a  políHca   (checklist)   •  Implementar  processos  de   Gerência  de  Mudanças   (GMUD)   –  Normalmente  apoiado  por   uma  ferramenta   •  Definir  um  padrão  de   documentação  da  rede,   antes  e  após  a  execução  de   mudanças.  
SoWware  e  Hardware  (1)   •  Homologação  do  Sistema  Operacional  e  patches   –  Controle  de  versões  instaladas  nos  equipamentos  em  produção   –  Plano  de  atualização  alinhado  com  os  fabricantes  de  equipamentos   •  Gestão  de  capacidade  dos  equipamentos   •  Planos  de  Dados  e  Controle   –  Problemas:   •  Capacidade  afetando  gerenciamento   •  (D)DoS   –  Possíveis  soluções:   •  Definir  limites  e  filtros  específicos  para  o  plano  de  controle  (CoPP  ou  control   plane  policing)   •  Especificar  quais  protocolos  são  prioritários  em  enlaces  críHcos  (QoS)  
SoWware  e  Hardware  (2)   •  Monitoração    da   Temperatura   •  Acesso  ksico  ao   Hardware   –  Roubo   –  Danificação   –  Acesso  lógico  facilitado  
Comentários?  Perguntas?     Obrigado!   Contato:     gustavo@pinpoint.com.br   artur@pinpoint.com.br      

Recomendados

Segurança no Linux
Segurança no LinuxSegurança no Linux
Segurança no LinuxJuliana Félix
 
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan SeidlTI Safe
 
Snort "O sniffer"
Snort "O sniffer"Snort "O sniffer"
Snort "O sniffer"Leonardo Damasceno
 
Segurança em servidores Linux
Segurança em servidores LinuxSegurança em servidores Linux
Segurança em servidores LinuxImpacta Eventos
 
Firewall
FirewallFirewall
Firewallmauricio souza
 
Segurança em Servidores Linux - Ênfase em RHEL
Segurança em Servidores Linux - Ênfase em RHELSegurança em Servidores Linux - Ênfase em RHEL
Segurança em Servidores Linux - Ênfase em RHELAlessandro Silva
 
Segurança em servidores Linux
Segurança em servidores LinuxSegurança em servidores Linux
Segurança em servidores LinuxSoftD Abreu
 
Firewall
FirewallFirewall
FirewallFernando Chuva
 

Recomendados

Segurança no Linux
Segurança no LinuxSegurança no Linux
Segurança no LinuxJuliana Félix
 
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan SeidlTI Safe
 
Snort "O sniffer"
Snort "O sniffer"Snort "O sniffer"
Snort "O sniffer"Leonardo Damasceno
 
Segurança em servidores Linux
Segurança em servidores LinuxSegurança em servidores Linux
Segurança em servidores LinuxImpacta Eventos
 
Firewall
FirewallFirewall
Firewallmauricio souza
 
Segurança em Servidores Linux - Ênfase em RHEL
Segurança em Servidores Linux - Ênfase em RHELSegurança em Servidores Linux - Ênfase em RHEL
Segurança em Servidores Linux - Ênfase em RHELAlessandro Silva
 
Segurança em servidores Linux
Segurança em servidores LinuxSegurança em servidores Linux
Segurança em servidores LinuxSoftD Abreu
 
Firewall
FirewallFirewall
FirewallFernando Chuva
 
Snort
SnortSnort
SnortJean Pimentel
 
Firewall
FirewallFirewall
FirewallFabricio Figueiredo Leao
 
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapManobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapClavis Segurança da Informação
 
Seguranca em Servidores Linux
Seguranca em Servidores LinuxSeguranca em Servidores Linux
Seguranca em Servidores LinuxAlessandro Silva
 
Webinar # 21 – Análise Forense de Redes
Webinar # 21 – Análise Forense de Redes Webinar # 21 – Análise Forense de Redes
Webinar # 21 – Análise Forense de RedesClavis Segurança da Informação
 
Zabbix, Zenoss ou Padora: quem vai ganhar esta briga?
Zabbix, Zenoss ou Padora: quem vai ganhar esta briga?Zabbix, Zenoss ou Padora: quem vai ganhar esta briga?
Zabbix, Zenoss ou Padora: quem vai ganhar esta briga?Aécio Pires
 
Palestra Auditoria de Segurança em Redes sem Fio
Palestra Auditoria de Segurança em Redes sem FioPalestra Auditoria de Segurança em Redes sem Fio
Palestra Auditoria de Segurança em Redes sem FioClavis Segurança da Informação
 
Uso de ferramentas OpenSource para Análise Forense (pós mortem)
Uso de ferramentas OpenSource para Análise Forense (pós mortem)Uso de ferramentas OpenSource para Análise Forense (pós mortem)
Uso de ferramentas OpenSource para Análise Forense (pós mortem)debian-rs
 
03 estrategia-ddos
03 estrategia-ddos03 estrategia-ddos
03 estrategia-ddosPavel Odintsov
 
Nagios
NagiosNagios
NagiosEvandro Júnior
 
Examinando redes com Nmap
Examinando redes com NmapExaminando redes com Nmap
Examinando redes com NmapDaniel Marques
 
[White paper] detectando problemas em redes industriais através de monitorame...
[White paper] detectando problemas em redes industriais através de monitorame...[White paper] detectando problemas em redes industriais através de monitorame...
[White paper] detectando problemas em redes industriais através de monitorame...TI Safe
 
Firewall
FirewallFirewall
FirewallChellton Almeida
 
Segurança da Informação - Firewall
Segurança da Informação - FirewallSegurança da Informação - Firewall
Segurança da Informação - FirewallLuiz Arthur
 
Ferramentas de ataques
Ferramentas de ataquesFerramentas de ataques
Ferramentas de ataquesCarlos Veiga
 
Apresentação prtg
Apresentação prtgApresentação prtg
Apresentação prtgMarcia Leal Bandeira
 
Monitoramento da rede de A a ZABBIX - Daniel Bauermann
Monitoramento da rede de A a ZABBIX - Daniel BauermannMonitoramento da rede de A a ZABBIX - Daniel Bauermann
Monitoramento da rede de A a ZABBIX - Daniel BauermannTchelinux
 
Pentest Invasão e Defesa - AnonFeh
Pentest Invasão e Defesa - AnonFehPentest Invasão e Defesa - AnonFeh
Pentest Invasão e Defesa - AnonFehPhillipe Martins
 
36552531 seguranca-de-redes-firewall
36552531 seguranca-de-redes-firewall36552531 seguranca-de-redes-firewall
36552531 seguranca-de-redes-firewallMarco Guimarães
 
Aula03 – Códigos Maliciosos e Tipos de Ataques
Aula03 – Códigos Maliciosos e Tipos de AtaquesAula03 – Códigos Maliciosos e Tipos de Ataques
Aula03 – Códigos Maliciosos e Tipos de AtaquesCarlos Veiga
 
Aula 04 qs - sistemas embarcados
Aula 04 qs - sistemas embarcadosAula 04 qs - sistemas embarcados
Aula 04 qs - sistemas embarcadosJunior Gomes
 
Firewall - Introducao.pdf
Firewall - Introducao.pdfFirewall - Introducao.pdf
Firewall - Introducao.pdfssusere0b5a8
 

Mais conteúdo relacionado

Mais procurados

Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapManobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapClavis Segurança da Informação
 
Seguranca em Servidores Linux
Seguranca em Servidores LinuxSeguranca em Servidores Linux
Seguranca em Servidores LinuxAlessandro Silva
 
Zabbix, Zenoss ou Padora: quem vai ganhar esta briga?
Zabbix, Zenoss ou Padora: quem vai ganhar esta briga?Zabbix, Zenoss ou Padora: quem vai ganhar esta briga?
Zabbix, Zenoss ou Padora: quem vai ganhar esta briga?Aécio Pires
 
Uso de ferramentas OpenSource para Análise Forense (pós mortem)
Uso de ferramentas OpenSource para Análise Forense (pós mortem)Uso de ferramentas OpenSource para Análise Forense (pós mortem)
Uso de ferramentas OpenSource para Análise Forense (pós mortem)debian-rs
 
Examinando redes com Nmap
Examinando redes com NmapExaminando redes com Nmap
Examinando redes com NmapDaniel Marques
 
[White paper] detectando problemas em redes industriais através de monitorame...
[White paper] detectando problemas em redes industriais através de monitorame...[White paper] detectando problemas em redes industriais através de monitorame...
[White paper] detectando problemas em redes industriais através de monitorame...TI Safe
 
Segurança da Informação - Firewall
Segurança da Informação - FirewallSegurança da Informação - Firewall
Segurança da Informação - FirewallLuiz Arthur
 
Ferramentas de ataques
Ferramentas de ataquesFerramentas de ataques
Ferramentas de ataquesCarlos Veiga
 
Monitoramento da rede de A a ZABBIX - Daniel Bauermann
Monitoramento da rede de A a ZABBIX - Daniel BauermannMonitoramento da rede de A a ZABBIX - Daniel Bauermann
Monitoramento da rede de A a ZABBIX - Daniel BauermannTchelinux
 
Pentest Invasão e Defesa - AnonFeh
Pentest Invasão e Defesa - AnonFehPentest Invasão e Defesa - AnonFeh
Pentest Invasão e Defesa - AnonFehPhillipe Martins
 
36552531 seguranca-de-redes-firewall
36552531 seguranca-de-redes-firewall36552531 seguranca-de-redes-firewall
36552531 seguranca-de-redes-firewallMarco Guimarães
 
Aula03 – Códigos Maliciosos e Tipos de Ataques
Aula03 – Códigos Maliciosos e Tipos de AtaquesAula03 – Códigos Maliciosos e Tipos de Ataques
Aula03 – Códigos Maliciosos e Tipos de AtaquesCarlos Veiga
 

Mais procurados (20)

Snort
SnortSnort
Snort
 
Firewall
FirewallFirewall
Firewall
 
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapManobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
 
Seguranca em Servidores Linux
Seguranca em Servidores LinuxSeguranca em Servidores Linux
Seguranca em Servidores Linux
 
Webinar # 21 – Análise Forense de Redes
Webinar # 21 – Análise Forense de Redes Webinar # 21 – Análise Forense de Redes
Webinar # 21 – Análise Forense de Redes
 
Zabbix, Zenoss ou Padora: quem vai ganhar esta briga?
Zabbix, Zenoss ou Padora: quem vai ganhar esta briga?Zabbix, Zenoss ou Padora: quem vai ganhar esta briga?
Zabbix, Zenoss ou Padora: quem vai ganhar esta briga?
 
Palestra Auditoria de Segurança em Redes sem Fio
Palestra Auditoria de Segurança em Redes sem FioPalestra Auditoria de Segurança em Redes sem Fio
Palestra Auditoria de Segurança em Redes sem Fio
 
Uso de ferramentas OpenSource para Análise Forense (pós mortem)
Uso de ferramentas OpenSource para Análise Forense (pós mortem)Uso de ferramentas OpenSource para Análise Forense (pós mortem)
Uso de ferramentas OpenSource para Análise Forense (pós mortem)
 
03 estrategia-ddos
03 estrategia-ddos03 estrategia-ddos
03 estrategia-ddos
 
Nagios
NagiosNagios
Nagios
 
Examinando redes com Nmap
Examinando redes com NmapExaminando redes com Nmap
Examinando redes com Nmap
 
[White paper] detectando problemas em redes industriais através de monitorame...
[White paper] detectando problemas em redes industriais através de monitorame...[White paper] detectando problemas em redes industriais através de monitorame...
[White paper] detectando problemas em redes industriais através de monitorame...
 
Firewall
FirewallFirewall
Firewall
 
Segurança da Informação - Firewall
Segurança da Informação - FirewallSegurança da Informação - Firewall
Segurança da Informação - Firewall
 
Ferramentas de ataques
Ferramentas de ataquesFerramentas de ataques
Ferramentas de ataques
 
Apresentação prtg
Apresentação prtgApresentação prtg
Apresentação prtg
 
Monitoramento da rede de A a ZABBIX - Daniel Bauermann
Monitoramento da rede de A a ZABBIX - Daniel BauermannMonitoramento da rede de A a ZABBIX - Daniel Bauermann
Monitoramento da rede de A a ZABBIX - Daniel Bauermann
 
Pentest Invasão e Defesa - AnonFeh
Pentest Invasão e Defesa - AnonFehPentest Invasão e Defesa - AnonFeh
Pentest Invasão e Defesa - AnonFeh
 
36552531 seguranca-de-redes-firewall
36552531 seguranca-de-redes-firewall36552531 seguranca-de-redes-firewall
36552531 seguranca-de-redes-firewall
 
Aula03 – Códigos Maliciosos e Tipos de Ataques
Aula03 – Códigos Maliciosos e Tipos de AtaquesAula03 – Códigos Maliciosos e Tipos de Ataques
Aula03 – Códigos Maliciosos e Tipos de Ataques
 

Semelhante a 06-GestaoEquipamentosRedeOlharSeguranca_GTS22

Aula 04 qs - sistemas embarcados
Aula 04 qs - sistemas embarcadosAula 04 qs - sistemas embarcados
Aula 04 qs - sistemas embarcadosJunior Gomes
 
Firewall - Introducao.pdf
Firewall - Introducao.pdfFirewall - Introducao.pdf
Firewall - Introducao.pdfssusere0b5a8
 
05 Dias para a Gestão de Automação
05 Dias para a Gestão de Automação05 Dias para a Gestão de Automação
05 Dias para a Gestão de Automaçãoeduardovieira
 
05 Dicas de Gestão em Automação
05 Dicas de Gestão em Automação05 Dicas de Gestão em Automação
05 Dicas de Gestão em Automaçãoeduardovieira
 
Sist operacionais
Sist operacionaisSist operacionais
Sist operacionaiskanatto
 
ISO17799 2005
ISO17799 2005ISO17799 2005
ISO17799 2005ceife
 
Gerência - Aula 01
Gerência - Aula 01Gerência - Aula 01
Gerência - Aula 01Marcus Lucas
 
Arquitetura control logix
Arquitetura control logixArquitetura control logix
Arquitetura control logixSaddam Lande
 
Projetos Estruturados de Redes - Parte 3
Projetos Estruturados de Redes - Parte 3Projetos Estruturados de Redes - Parte 3
Projetos Estruturados de Redes - Parte 3José Wagner Bungart
 
Aula 7 - Técnicas de Planejamento
Aula 7 - Técnicas de PlanejamentoAula 7 - Técnicas de Planejamento
Aula 7 - Técnicas de PlanejamentoFilipo Mór
 
Sistemas_de_seguranca.ppt
Sistemas_de_seguranca.pptSistemas_de_seguranca.ppt
Sistemas_de_seguranca.pptJorgeSpindola1
 
Sistemas_de_seguranca.ppt
Sistemas_de_seguranca.pptSistemas_de_seguranca.ppt
Sistemas_de_seguranca.pptIvanildoGomes18
 
Katálysis - Webshow - Automação Laboratorial IV
Katálysis - Webshow - Automação Laboratorial IVKatálysis - Webshow - Automação Laboratorial IV
Katálysis - Webshow - Automação Laboratorial IVKatálysis Científica
 
Katálysis - Webshow - Automação Laboratorial IV
Katálysis - Webshow - Automação Laboratorial IVKatálysis - Webshow - Automação Laboratorial IV
Katálysis - Webshow - Automação Laboratorial IVKatálysis Científica
 
Introdução a Gerência de Redes
Introdução a Gerência de RedesIntrodução a Gerência de Redes
Introdução a Gerência de RedesFrederico Madeira
 

Semelhante a 06-GestaoEquipamentosRedeOlharSeguranca_GTS22 (20)

Aula 04 qs - sistemas embarcados
Aula 04 qs - sistemas embarcadosAula 04 qs - sistemas embarcados
Aula 04 qs - sistemas embarcados
 
Firewall - Introducao.pdf
Firewall - Introducao.pdfFirewall - Introducao.pdf
Firewall - Introducao.pdf
 
05 Dias para a Gestão de Automação
05 Dias para a Gestão de Automação05 Dias para a Gestão de Automação
05 Dias para a Gestão de Automação
 
05 Dicas de Gestão em Automação
05 Dicas de Gestão em Automação05 Dicas de Gestão em Automação
05 Dicas de Gestão em Automação
 
estrategia-ddos-gustavo
estrategia-ddos-gustavoestrategia-ddos-gustavo
estrategia-ddos-gustavo
 
Sist operacionais
Sist operacionaisSist operacionais
Sist operacionais
 
ISO17799 2005
ISO17799 2005ISO17799 2005
ISO17799 2005
 
Gerência - Aula 01
Gerência - Aula 01Gerência - Aula 01
Gerência - Aula 01
 
Hardening Unix
Hardening UnixHardening Unix
Hardening Unix
 
Arquitetura control logix
Arquitetura control logixArquitetura control logix
Arquitetura control logix
 
Zabbix
ZabbixZabbix
Zabbix
 
Agr aula2
Agr aula2Agr aula2
Agr aula2
 
Projetos Estruturados de Redes - Parte 3
Projetos Estruturados de Redes - Parte 3Projetos Estruturados de Redes - Parte 3
Projetos Estruturados de Redes - Parte 3
 
Aula 7 - Técnicas de Planejamento
Aula 7 - Técnicas de PlanejamentoAula 7 - Técnicas de Planejamento
Aula 7 - Técnicas de Planejamento
 
Gts flowtools
Gts flowtoolsGts flowtools
Gts flowtools
 
Sistemas_de_seguranca.ppt
Sistemas_de_seguranca.pptSistemas_de_seguranca.ppt
Sistemas_de_seguranca.ppt
 
Sistemas_de_seguranca.ppt
Sistemas_de_seguranca.pptSistemas_de_seguranca.ppt
Sistemas_de_seguranca.ppt
 
Katálysis - Webshow - Automação Laboratorial IV
Katálysis - Webshow - Automação Laboratorial IVKatálysis - Webshow - Automação Laboratorial IV
Katálysis - Webshow - Automação Laboratorial IV
 
Katálysis - Webshow - Automação Laboratorial IV
Katálysis - Webshow - Automação Laboratorial IVKatálysis - Webshow - Automação Laboratorial IV
Katálysis - Webshow - Automação Laboratorial IV
 
Introdução a Gerência de Redes
Introdução a Gerência de RedesIntrodução a Gerência de Redes
Introdução a Gerência de Redes
 

06-GestaoEquipamentosRedeOlharSeguranca_GTS22

  • 1. Gestão  de  equipamentos  de  rede:     Olhar  de  segurança   Autores:   Gustavo  Ramos   Artur  Renato   GTS  -­‐  Grupo  de  Trabalho  em  Segurança  de  Redes  -­‐  22ª  Reunião   São  Paulo,  SP  -­‐  6  de  dezembro  de  2013  
  • 2. MoHvação   •  A  equipe  de  redes  entende  de  segurança?   •  A  equipe  de  segurança  entende  dos  equipamentos   de  rede?   •  Três  caracterísHcas  básicas  da  Segurança  da   Informação:   –  Confidencialidade;   –  Integridade;   –  Disponibilidade.   •  Aspectos  de  segurança  dos  equipamentos  de  rede.   –  Não  estamos  falando  da  REDE.  
  • 3. Agenda   •  Administração   •  Configuração   •  Interdomínio   •  Processos   •  SoWware  e  Hardware  
  • 4. Administração  (1)   •  Métodos  de  Auten4cação   –  Gestão  de  usuários   •  E  quando  o  funcionário  sai  da  empresa?   –  Tacacs?  Radius?  LDAP?  Two-­‐factor?   –  Proxy?   –  Controle  de  acesso  baseado  no  endereço  IP  de  origem.   –  Definir  um  procedimento  para  senha  “default”/root/admin/etc.     –  PolíHca  de  acesso  limitada  por  grupo  de  usuário  (role-­‐based   access  controls).   –  PolíHca  de  qualidade  de  senhas.   –  NoHficação  automáHca  em  caso  de  violação  de  algum  item  da   políHca.  
  • 5. Administração  (2)   •  Syslog  e  SNMP  Traps   –  Definir  as  regras  através  da  exclusão  de  itens  não   necessários.   –  Importante  para  correlação  de  eventos  e  análise  post-­‐ mortem.   •  Sistema  de  Monitoração   –  Qual  é  o  impacto  de  um  evento?   –  Lembrar-­‐se  de  monitorar  parâmetros  pouco  comuns:  taxa   de  pacotes/segundo  unicast  e  non-­‐unicast,  backplane,  etc.   •  Gerência  Out-­‐of-­‐Band   –  Vulgo  “Hro  no  pé”  
  • 6. Configuração   •  Controle  dos  protocolos  u4lizados  e  não  u4lizados   –  Desabilitar  protocolos  não  uHlizados.   –  Implementar  métodos  de  autenHcação  e  controle.   •  OSPF,  HSRP,  SNMP,  CDP,  MNDP,  etc.   –  Aplicar  filtros  e  controles  para  protocolos  não-­‐autenHcados,  por   exemplo,  Spanning-­‐tree  .   •  Backup  de  Configuração   –  Definição  do(s)  horário(s)  de  backup  baseado  na  políHca  de  mudança.   –  Controle  de  versões.   –  Auditoria  automáHca  para  detectar  alterações  não  autorizadas.   –  Aplicação  de  rollback  em  caso  de  problema.   •  Auditoria  externa  na  rede   –  Está  realmente  atualizada?   –  Analisa  os  elementos  (configurações,  protocolols,  hardware,  etc)  que   realmente  estão  em  uso?  
  • 7. Interdomínio  (1)   •  O  firewall  já  controla  todo  o  tráfego  desHnado   a  rede  interna  ou  DMZ.   – E  antes  do  firewall?  
  • 8. Interdomínio  (2)   Cuidados  ao  conectar-­‐se  a  uma  rede  de  terceiros.     •  Camada  1   –  Problemas  elétricos  ou  ksicos.   •  Camada  2   •  Metro-­‐ethernet:  confiar  nos  BPDU’s  de  equipamentos  de  terceiro?   •  Sempre  uHlizar  filtros  e  controles  para  o  tráfego  L2:   –  Filtros  de  spanning-­‐tree   –  Storm-­‐control   –  Controle  de  recursos  limitados  (por  exemplo,  número  máximo  de  endereços   MAC).     •  Camada  3   –  Escolher  um  protocolo  que  permita  autenHcação  e  filtros.   •  UHlizar  BGP  “privado”  em  caso  de  interconexão  de  redes  com  protocolo  de   roteamento  dinâmico.  
  • 9. Processos   •  Definir  corretamente  uma   configuração  básica   (baseline)   •  GaranHr  que  os  equipamentos   estejam  configurados  de   acordo  com  a  políHca   (checklist)   •  Implementar  processos  de   Gerência  de  Mudanças   (GMUD)   –  Normalmente  apoiado  por   uma  ferramenta   •  Definir  um  padrão  de   documentação  da  rede,   antes  e  após  a  execução  de   mudanças.  
  • 10. SoWware  e  Hardware  (1)   •  Homologação  do  Sistema  Operacional  e  patches   –  Controle  de  versões  instaladas  nos  equipamentos  em  produção   –  Plano  de  atualização  alinhado  com  os  fabricantes  de  equipamentos   •  Gestão  de  capacidade  dos  equipamentos   •  Planos  de  Dados  e  Controle   –  Problemas:   •  Capacidade  afetando  gerenciamento   •  (D)DoS   –  Possíveis  soluções:   •  Definir  limites  e  filtros  específicos  para  o  plano  de  controle  (CoPP  ou  control   plane  policing)   •  Especificar  quais  protocolos  são  prioritários  em  enlaces  críHcos  (QoS)  
  • 11. SoWware  e  Hardware  (2)   •  Monitoração    da   Temperatura   •  Acesso  ksico  ao   Hardware   –  Roubo   –  Danificação   –  Acesso  lógico  facilitado  
  • 12. Comentários?  Perguntas?     Obrigado!   Contato:     gustavo@pinpoint.com.br   artur@pinpoint.com.br