118008030 seguranca-de-redes-de-computadores

443 visualizações

Publicada em

0 comentários
2 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
443
No SlideShare
0
A partir de incorporações
0
Número de incorporações
3
Ações
Compartilhamentos
0
Downloads
30
Comentários
0
Gostaram
2
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

118008030 seguranca-de-redes-de-computadores

  1. 1. SEGURANÇA EM REDES DE COMPUTADORES 10/27/2014 1
  2. 2. Claudio C. Junca claudiojunca@nidforensics.com.br Sales Manager www.nidforensics.com.br
  3. 3. Agenda Conceitos de Conectividade Conceitos Básicos de Segurança Identificando os Volões Antologia de um Ataque Principais Ameaças Sugestões de Implementações de Redes Seguras Agenda
  4. 4. SEGURANÇA EM REDES DE COMPUTADORES Certa vez ao participar de um Seminário um palestrante disse: Como as empresas vêm a Segurança: o quando tudo vai bem, ninguém lembra que existe; o quando tudo vai mal, dizem que não existe; o quando é para investir, não é preciso que exista; o Entretanto, quando realmente não existe, todos afirmam que deveria existir!
  5. 5. SEGURANÇA EM REDES DE COMPUTADORES Segurança É estar livre de perigos e incertezas. Ativo É tudo aquilo que possui valor para uma organização. IMPORTANTE: Não existe segurança absoluta! Por mais que medidas sejam tomadas, jamais conseguiremos endereçar todo o arcabouço de situações passiveis de prejuízo.
  6. 6. SEGURANÇA EM REDES DE COMPUTADORES Tríade de Segurança Um recurso ou informação pode ser considerado seguro quando tem preservadas as suas premissas de confidencialidade, integridade e disponibilidade.
  7. 7. SEGURANÇA EM REDES DE COMPUTADORES Princípios Fundamentais Confidencialidade - propriedade que limita o acesso a informação tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação. Integridade - propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento,manutenção e destruição). Disponibilidade - propriedade que garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação.
  8. 8. Conceitos Básicos de Conectividade Conceitos Básicos de Segurança Autenticação e Identificação: Garantir que a origem de uma informação seja corretamente identificada, mediante autenticação. Não-repudiação: Garantir que a origem e o destino de uma informação não a repudiem durante os processos de transmissão. Controle de Acesso: Garantir que o acesso a informação seja controlado pelo sistema que a hospeda ou transmite.
  9. 9. Conceitos Básicos de Conectividade Exemplos de quebra do CID que vemos ou ouvimos no dia a dia? Confidencialidade: alguém obtém acesso não autorizado ao seu computador e lê todas as informações contidas na sua declaração de Imposto de Renda; Integridade: alguém obtém acesso não autorizado ao seu computador e altera informações da sua declaração de Imposto de Renda, momentos antes de você enviá-la a Receita Federal; Disponibilidade: o seu provedor sofre uma grande sobrecarga de dados ou um ataque de negação de serviço e por este motivo você fica impossibilitado de enviar sua declaração de Imposto de Renda à Receita Federal.
  10. 10. SEGURANÇA EM REDES DE COMPUTADORES A respeito dos Ativos temos as seguintes Classificações: Tangíveis • Informações impressas ou digitais; Impressoras; Móveis e utensílios; Estações de trabalho Intangíveis • Imagem de uma empresa; Marca de um • produto; Confiabilidade de um órgão federal; Confiabilidade de um site
  11. 11. SEGURANÇA EM REDES DE COMPUTADORES A respeito dos Ativos temos as seguintes Classificações: Lógicos • Sistemas Especialistas ou Corporativos); Rede • VoIP; Dados armazenados em servidores.. Físicos • Notebook; Ar- Condicionado; Cabos; Access Point... Humanos • Empregados; Prestadores de Serviços; Clientes; • Fornecedores...
  12. 12. SEGURANÇA EM REDES DE COMPUTADORES Rapidamente a cerca dos ATIVOS temos as seguintes PROTEÇÕES: Lógicos • Perfis de usuários; Permissões em sistemas de arquivos; • Configuração de switchs, routers, firewalls... Físicos • Portas; Fechaduras; Chaves; Guardas; Sistemas CFTV... Humanos • Procedimentos; Políticas, Normas...
  13. 13. SEGURANÇA EM REDES DE COMPUTADORES Conceitos básicos de segurança - Termos e definições • Valor: Importância do ativo para a organização. • Ameaça: Evento em potencial, que traz danos diretos aos ativos ou prejuízos decorrentes de situações inesperadas. • Vulnerabilidade: Pode ser definida como uma falha no projeto, implementação ou configuração de um software ou sistema operacional que, quando explorada por um atacante, resulta em prejuízo para organização. • Impacto: Tamanho do prejuízo. • Risco: Medida que indica a probabilidade de uma ameaça se concretizar, combinada com os impactos que ela trará.
  14. 14. SEGURANÇA EM REDES DE COMPUTADORES Identificando os vilões? • Qualquer usuário é passível de causar danos ou negar serviços a redes, seja por meio de seus erros ou devido a fragilidade das instalações. • Existem varias denominações para os vilões, mas a mídia falada e escrita atribui as ações aos hackers ou criminosos cibernéticos. • Podemos dizer que hackers são: aqueles que utilizam seus conhecimentos para invadir sistemas, sem o intuito de causar danos às vítimas, apenas para demonstrar suas habilidades.
  15. 15. SEGURANÇA EM REDES DE COMPUTADORES Identificando os vilões? Existem varias classificações, vamos a uma delas: • Script kiddies: Iniciantes; • Cyberpunks: mais velhos; • Insiders: empregados insatisfeitos, ex-funcionários, prestadores de serviços...; • Coders: os que escrevem sobre suas proezas; • White hat: profissionais contratados; • Black hat: ckackers; • Gray hat: que vivem no limite entre o bem e o mal.
  16. 16. SEGURANÇA EM REDES DE COMPUTADORES Qual o tipo de vilão que nos interessa? •Script kiddies: Geralmente são inexperientes e novatos, usam ferramentas publicadas na Internet, e colocam em risco as organizações que não tem uma política de segurança definida e aplicada. •Insiders: São os responsáveis por causar maiores danos a organização, a eles, são atribuídas a espionagem industrial, alterações cadastrais, acesso a informações sigilosas, alterações em código fonte de sistemas, etc...
  17. 17. Conceitos Básicos de Conectividade Atenção aos Insiders! Deve-se dar importância aos ataques originados a partir da própria rede: • Qual a vantagem deles em relação aos outros? • Tempo; • Relativamente confiáveis. • Quais questões devemos observar? • Insatisfação com a empresa; • Insatisfação com o superior; • Espionagem; • Suborno.
  18. 18. Conceitos Básicos de Conectividade Antologia de um Ataque O que é um Ataque? No jogo de xadrez – é o caminho pelo qual exploramos uma fraqueza ou vulnerabilidade em uma determinada posição. Em informática – é a tentativa, bem ou mal sucedida de acesso ou uso não autorizado a um programa ou computador. A 2500 anos atrás um chinês escreveu: “...um comandante militar deve atacar onde o inimigo está desprevenido e deve utilizar caminhos que, para o inimigo, são inesperados...” “...se você descobrir o ponto fraco do oponente, você tem que afetá-lo com rapidez...” “... Se o inimigo deixa uma porta aberta, precipitemo-nos por ela...”
  19. 19. SEGURANÇA EM REDES DE COMPUTADORES Antologia de um Ataque Como ocorrem a exploração das vulnerabilidades? Através de mecanismos de invasão. Que podem ser: • Engenharia Social – É a técnica que explora as fraquezas humanas e sociais. • Invasão Técnica – As invasões técnicas exploram deficiências na concepção, implementação, configuração ou no gerenciamento dos serviços e sistemas.
  20. 20. Conceitos Básicos de Conectividade Antologia de um Ataque O que é necessário para que se tenha sucesso ao se realizar um ataque? • Conhecer o Alvo; • Obter Informações; • Avaliar qual o objetivo que se pretende, ou seja: • Causar a indisponibilidade - Disponibilidade; • Colher informações - Confidencialidade; • Modificar as informações - Integridade; • Criar novas informações – Autenticação, Controle de Acesso e Integridade.
  21. 21. Conceitos Básicos de Conectividade Antologia de um Ataque Segundo Stallings, William existem 4 (quatro) categorias de ataques, a saber: • Interceptação; • Interrupção; • Modificação; • Fabricação. • Sendo o primeiro chamado de ataque passivo e o restante de ataque ativo. • Que software e qual técnica ou categoria você usaria para capturar as informações em uma rede segmentada por switch?
  22. 22. Antologia de um Ataque ORIGEM FLUXO NORMAL DE TRANSMISSÃO D A D O S ORIGEM D A D O INTSERRUPÇÃO ORIGEM ORIGEM D A D O S ORIGEM D O S INTERCEPTAÇÃO ORIGEM SEGURANÇA EM REDES DE COMPUTADORES
  23. 23. Conceitos Básicos de Conectividade Antologia de um Ataque ORIGEM D A D O S ORIGEM MODIFICAÇÃO E
  24. 24. Conceitos Básicos de Conectividade Antologia de um Ataque ORIGEM ORIGEM ACESSO A DADOS RETORNO DOS DADOS FABRICAÇÃO INSERE DADOS
  25. 25. SEGURANÇA EM REDES DE COMPUTADORES Principais Ameaças 10 Principais Ameaças Ataques Internos Falta de Contingência Configuração Inadequada Despreocupação com as redes de hotéis e quiosques Utilização Imprudentes das Redes sem Fio Dados perdidos armazenados em dispositivos portáteis Negação de serviços em servidores Web Uso Indevido da Internet pelos Funcionários Mensagens Maliciosas Exploração automatizada de vulnerabilidades conhecidas Segundo a “Verizon's Intrusion Response Team” as 10 (dez) maiores ameaças de segurança nas organizações de pequeno e médio porte.
  26. 26. SEGURANÇA EM REDES DE COMPUTADORES Principais Ameaças • Códigos Maliciosos (Malware) É um termo genérico que abrange todos os tipos de programa especificamente desenvolvidos para executar ações maliciosas em um computador. Alguns exemplos de malware são: vírus; worms e bots; backdoors; cavalos de tróia; keyloggers e outros programas spyware. • Negação de Serviço (Denial of Service) Consiste no uso de um computador para tirar de operação um serviço ou computador conectado a rede. • DDoS (Distributed Denial of Service) Constitui um ataque de negação de serviço distribuído, ou seja, um conjunto de computadores é utilizado para tirar de operação um ou mais serviços ou computadores conectados a rede.
  27. 27. SEGURANÇA EM REDES DE COMPUTADORES Explorando as vulnerabilidades das camadas do meio
  28. 28. SEGURANÇA EM REDES DE COMPUTADORES Explorando as vulnerabilidades das camadas do meio Qual a importância desses conceitos para a implementação segura de switchs na camada 2 e routers na camada 3? A importância diz respeito ao projeto como um todo, ou seja, é necessário um projeto físico (camada 1 e 2) e lógico (camada 2 e 3) adequado, para suportar o estabelecimento de políticas e ferramentas de segurança (camadas 1 a 7) que mantêm o monitoramento de todo sistema com o intuito de mitigar as vulnerabilidades e reduzir os riscos de um ataque.
  29. 29. SEGURANÇA EM REDES DE COMPUTADORES Explorando as vulnerabilidades das camadas do meio Relembrando das 10 ameaças temos: • Ataques Internos: São bem sucedidos devido a configurações inadequadas dos equipamentos, política inadequada quanto ao uso de senhas, falta de classificação quanto a informação e auditória de navegação nos sistemas corporativos. • Falta de Contingência: Inexistência de planos de continuidade do negócio, plano de recuperação e desastre e até mesmo sistemas automatizados de backup. • Configuração Inadequada dos Equipamentos: Desconhecimento das melhores práticas para implementação dos equipamentos de rede, seja pela contração de funcionários desqualificados, e/ou ausência de conhecimento da solução (Appliances de Segurança na configuração padrão. • Despreocupação com as redes de hotéis e quiosques: Políticas e ferramentas de seguranças inadequadas, que permitem o funcionários desabilitá-las quando estão fora da organização.
  30. 30. SEGURANÇA EM REDES DE COMPUTADORES Explorando as vulnerabilidades das camadas do meio Quais são as principais vulnerabilidades e ataques na camada 1: As vulnerabilidades na camada física ocorrem em virtude das instalações inadequadas e/ou acesso não monitorado as áreas criticas. No nível 1 as formas de acesso usadas numa determinada rede ou ligação dependem significativamente do meio físico.
  31. 31. SEGURANÇA EM REDES DE COMPUTADORES Explorando as vulnerabilidades das camadas do meio Quais são as principais vulnerabilidades e ataques na camada 1: • O uso de meios físicos como cabos de cobre, são relativamente fáceis de derivar, desvia, escutar, interromper ou danificar. • As fibras são frágeis e portanto, fáceis de danificar ou interromper. • Os meios ópticos sem fio (laser ou infravermelhos) são sensíveis às condições de propagação. • Nas redes sem fio o próprio meio de transmissão é sensível a ruídos e extremamente vulnerável ao espectro do sinal, que pode ser compartilhado com equipamentos distintos.
  32. 32. SEGURANÇA EM REDES DE COMPUTADORES Explorando as vulnerabilidades das camadas do meio Quais são os principais ataques na camada 1 : • Escuta = Interceptação = Probe = Snnifer Existem vários tipos dos quais os mais comuns são: • Por derivação no meio físico (wire tapping); • Por derivação nos conectores; • Por leitura de radiação eletromagnética emitida pelos cabos; • Por escuta do espectro de onda para equipamentos sem fio (radioelétrico).
  33. 33. SEGURANÇA EM REDES DE COMPUTADORES Explorando as vulnerabilidades das camadas do meio Quais são os principais ataques na camada 1: • Bloqueio = Interrupção Normalmente através da ruptura do meio físico de forma intencional, como por exemplo: • Corte nos cabos de cobre ou fibra; • Emissores de ruídos eletromagnéticos; • Interposição de obstáculos entre o transmissor e o receptor no caso das redes sem fio. • Desvio = Modificação Alterar o caminho da ligação entre o equipamento emissor e o receptor normalmente com o intuito de acesso aos dados ou a recursos de telecomunicações.
  34. 34. SEGURANÇA EM REDES DE COMPUTADORES Explorando as vulnerabilidades das camadas do meio Quais são as principais vulnerabilidades e ataques na camada 2 e camada 3: Protocolo ARP; Protocolo DHCP; MAC Flooding; MAC Spoofing; DoS no servidor DHCP; Spoofing de identidade do cliente DHCP; Rogue DHCP Server; Ataque de negação no STP; Ataque de manipulação do STP; ARP Spoofing/ ARP Poisoning; Packet Storm; Worm Outbreak; P2P Abusing; Main in the Middle...;
  35. 35. SEGURANÇA EM REDES DE COMPUTADORES Explorando as vulnerabilidades das camadas do meio Quais são os principais ataques nas camada 2 e 3: • Protocolo ARP: Armazena os endereços nas tabelas ARP dos equipamentos do tipo switchs, routers, switch routers com o intuito de reduzir o tráfego de dados rede, no entanto, essa tabelas podem ser alteradas. • Protocolo DHCP: Inexistência de mecanismo confiável na distribuição de seus endereços lógicos (IP, Gateway e DNS), devido a falta de autenticação e confidencialidade no seu processo, dessa forma, qualquer cliente com acesso físico a rede (cabeada ou sem fio) pode fazer solicitações de DHCP. Durante o processo de distribuição os dados podem ser capturados perdendo-se a confidencialidade.
  36. 36. SEGURANÇA EM REDES DE COMPUTADORES Explorando as vulnerabilidades das camada 2 e camada 3 do modelo OSI Quais são os principais ataques nas camada 2 e 3: • MAC Flooding: É um típico ataque de negação de serviço (DoS) decorrente da limitação na tabela CAM (Content Addressable Memory) de alguns switchs. O switch pode ser inundado com falsos e inúmeros endereços MAC provocando sua mudança para o modo de recuperação e falhas, no qual, ele faz um brodcast para todas as portas, como se fosse um hub, tornando o segmento extremamente lento e/ou não repassar os quadros aprendidos para as suas portas e demais segmentos.
  37. 37. SEGURANÇA EM REDES DE COMPUTADORES Explorando as vulnerabilidades das camadas do meio Quais são os principais ataques nas camada 2 e 3: • MAC Spoofing : É um ataque destinado a tabela CAM (Content Addressable Memory) de alguns switchs. Consiste no redirecionamento dos quadros destinados a um host confiável da rede para a porta no qual o atacante esta conectado. O atacante assume o endereço MAC do host confiável, de tal forma, que os quadro são endereçados a ele. • Negação de serviço (DoS) no servidor DHCP É destinados a servidores DHCP configurados para usar faixas de endereçamentos especificas, dessa forma, um atacante pode gerar vários pedidos dentro de uma determinada faixa, esgotando assim a quantidade IPs destinados a faixa.
  38. 38. SEGURANÇA EM REDES DE COMPUTADORES Explorando as vulnerabilidades das camadas do meio Quais são os principais ataques nas camada 2 e 3: • Spoofing de identidade do cliente DHCP É quando o atacante modifica seu MAC para um MAC válido com a finalidade de enganar o servidor DHCP e então recebe um endereço IP, passando dessa forma, a ser um host válido na rede. Esse ataque é realizado nas instalações onde o servidor DHCP tem cadastrado os MAC que podem receber IPs. • Rogue DHCP Server É o ataque que consiste na inserção de um servidor falso para a distribuição de DHCP. Muitas vezes esse ataque ocorre de forma acidental, no entanto, intencional ou não, sua ação é desastrosa e pode ocasionar a indisponibilidade dos usuários se autenticarem a rede. É possível quando intencional, que o atacante controle vários hosts da rede.
  39. 39. SEGURANÇA EM REDES DE COMPUTADORES Explorando as vulnerabilidades das camadas do meio Quais são os principais ataques nas camada 2 e 3: • Ataque de negação no STP Explora a ausência de autenticação no protocolo STP, dessa forma, é feito uma ataque de negação de um nó (switch, bridge ou switch router) via inundação ou difusão forçando o STP a recalcular a o caminho entre os segmentos de rede. • Ataque de manipulação do STP O atacante faz com que o tráfego de um segmento da rede obrigatoriamente passe por sua estação entre o segmento de acesso ao núcleo da rede. A inclusão da estação entre o segmento só é possível devido a funcionalidade do próprio STP.
  40. 40. SEGURANÇA EM REDES DE COMPUTADORES Explorando as vulnerabilidades das camadas do meio Quais são os principais ataques nas camada 2 e 3: • ARP Spoofing (ARP flooding) / ARP Poisoning É o ataque que encaminha informações falsificadas sobre os endereçamentos IPs enganando os hosts com relação ao MAC de um destino. Dessa forma é possível receber o tráfego destinado a um host válido da rede. • Packet Storm São inundações ou broadcast para todas as portas de um switch, seja com o uso de softwares que propagam o ataque, ou pelo simples fato de fecharmos um loop local no switch de acesso a rede.
  41. 41. SEGURANÇA EM REDES DE COMPUTADORES Explorando as vulnerabilidades das camadas do meio Quais são os principais ataques nas camada 2 e 3: • Main in the Middle É uma variante sofisticada do ARP Spoofing / ARP Poisoning, o atacante intercepta os pacotes destinados a outro host de forma silenciosa, tipicamente gateways ou portas de up-link. A finalidade é descobrir senhas, modificar pacotes ou mesmo desviar o fluxo do tráfego da rede. • P2P Abusing Softwares deste tipo geralmente trabalham na porta UDP e podem congestionar a rede local, além de tornar o tráfego no link WAN sobrecarregado.
  42. 42. SEGURANÇA EM REDES DE COMPUTADORES Implementações seguras de Redes O que são implementações seguras? São especificações e configurações que podem ser feitas no intuito de mitigar o risco de ataque as vulnerabilidades. O projeto deve ser pensado como um todo, de forma a atender os requisitos de negócio. É importante lembrar que a Tecnologia da Informação é o mecanismo para garantir o sucesso do negócio.
  43. 43. SEGURANÇA EM REDES DE COMPUTADORES Implementações seguras de Redes Sugestões quanto a especificações e na camada física: Verificar as fragilidades quanto aos requisitos físicos para a escolha correta da tecnologia; • Evitar soluções com meio físico compartilhado, caso use, contemple os requisitos de segurança. Exemplo: soluções em anel, soluções em redes sem fio... • Usar soluções redundantes com tecnologias distintas na camada física. Exemplo: No caso das redes LANs é possível contemplar o acesso por rede cabeada e sem fio; No caso das ligações WAN é possível o uso de conexões por fibra, radio, satélite ou sem fio; • Contemplar caminhos físicos redundantes, ou seja, via rotas distintas; • Assegurar, a quem de direito, o acesso aos recursos físicos, sejam estes: cabos, racks, pontos de acesso fixo ou móvel, acesso aos equipamentos, etc...;
  44. 44. SEGURANÇA EM REDES DE COMPUTADORES Implementações seguras de Redes Sugestões quanto a especificações e na camada física: Em termos de transmissão é possível o uso de scrambling, que consiste na alteração reversível da informação transmitida (mecanismos de codec e decoder); Documentar e atualizar todas as ligações físicas; Manter ligados somente os pontos com equipamentos conectados; Inibir a troca de equipamentos entre pontos distintos; Restringir e monitorar o acesso as salas com equipamentos de comunicação e servidores; Realizar auditorias periódicas que contemplem a inspeção visual a todos os componentes da LAN.
  45. 45. SEGURANÇA EM REDES DE COMPUTADORES Implementações seguras de Redes Sugestões quanto a especificações e nas camadas de enlace e rede: • Manter sempre atualizado o firmware/software dos equipamentos de rede; • Alterar sempre a configuração padrão dos equipamentos de rede; • Manter as portas não usadas desabilitadas; • Desabilitar ou restringir o uso a serviços ou acesso a gerência/configuração dos equipamentos; • Usar criptografia quando possível;
  46. 46. SEGURANÇA EM REDES DE COMPUTADORES Implementações seguras de Redes Sugestões quanto a especificações e nas camadas de enlace e rede: • Prefira topologia em estrela, estrela estendida (arvore) com redundância em núcleo, distribuição e acesso; • Prefira tecnologias comutadas; • Usar ferramentas para detecção e isolamento de “maquinas mal comportadas”; • Usar ferramentas para detecção e isolamento de interfaces em modo promiscuo; • Usar a segmentação de LAN, separando por zonas sensíveis ao negócio ou ao perfil de acesso;
  47. 47. SEGURANÇA EM REDES DE COMPUTADORES Implementações seguras de Redes Sugestões quanto a especificações e nas camadas de enlace e rede: • Usar VLANS, que permitam a flexibilidade na criação e isolamento de grupos de maquinas. Exemplo: usuários, clientes, suporte técnico de fornecedores, servidores, e até por aplicações; • Usar o controle de acesso de forma ampla, mantendo os logs atualizados com informações de acesso físico e lógico aos equipamentos de rede, servidores e backbone; • Usar equipamentos que implementem soluções agregadas de controle de acesso a rede (NAC), detecção de probe e dhcp rogue.
  48. 48. OQburailg aa dsou!a dúvida?

×