118008030 seguranca-de-redes-de-computadores

SEGURANÇA EM
REDES DE COMPUTADORES
10/27/2014 1

Claudio C. Junca
claudiojunca@nidforensics.com.br
Sales Manager
www.nidforensics.com.br

Agenda
Conceitos de Conectividade
Conceitos Básicos de Segurança
Identificando os Volões
Antologia de um Ataque
Principais Ameaças
Sugestões de Implementações de Redes Seguras
Agenda

SEGURANÇA EM REDES DE COMPUTADORES
Certa vez ao participar de um Seminário um palestrante disse:
Como as empresas vêm a Segurança:
o quando tudo vai bem, ninguém lembra que existe;
o quando tudo vai mal, dizem que não existe;
o quando é para investir, não é preciso que exista;
o Entretanto, quando realmente não existe, todos afirmam que
deveria existir!

Segurança
É estar livre de perigos e incertezas.
Ativo
É tudo aquilo que possui valor para uma organização.
IMPORTANTE:
Não existe segurança absoluta!
Por mais que medidas sejam tomadas, jamais conseguiremos endereçar
todo o arcabouço de situações passiveis de prejuízo.

Tríade de Segurança
Um recurso ou informação
pode ser considerado seguro
quando tem preservadas as
suas premissas de
confidencialidade,
integridade e
disponibilidade.

Princípios Fundamentais
Confidencialidade - propriedade que limita o acesso a informação tão
somente às entidades legítimas, ou seja, àquelas autorizadas pelo
proprietário da informação.
Integridade - propriedade que garante que a informação manipulada
mantenha todas as características originais estabelecidas pelo
proprietário da informação, incluindo controle de mudanças e garantia
do seu ciclo de vida (nascimento,manutenção e destruição).
Disponibilidade - propriedade que garante que a informação esteja
sempre disponível para o uso legítimo, ou seja, por aqueles usuários
autorizados pelo proprietário da informação.

Conceitos Básicos de Conectividade
Conceitos Básicos de Segurança
Autenticação e Identificação: Garantir que a origem de uma informação
seja corretamente identificada, mediante autenticação.
Não-repudiação: Garantir que a origem e o destino de uma informação
não a repudiem durante os processos de transmissão.
Controle de Acesso: Garantir que o acesso a informação seja controlado
pelo sistema que a hospeda ou transmite.

Exemplos de quebra do CID
que vemos ou ouvimos no dia a dia?
Confidencialidade: alguém obtém acesso não autorizado ao seu
computador e lê todas as informações contidas na sua declaração de
Imposto de Renda;
Integridade: alguém obtém acesso não autorizado ao seu computador e
altera informações da sua declaração de Imposto de Renda, momentos
antes de você enviá-la a Receita Federal;
Disponibilidade: o seu provedor sofre uma grande sobrecarga de dados ou
um ataque de negação de serviço e por este motivo você fica
impossibilitado de enviar sua declaração de Imposto de Renda à Receita
Federal.

A respeito dos Ativos temos as seguintes Classificações:
Tangíveis
• Informações impressas ou digitais;
Impressoras; Móveis e utensílios;
Estações de trabalho
Intangíveis
• Imagem de uma empresa; Marca de um
• produto; Confiabilidade de um órgão
federal; Confiabilidade de um site

A respeito dos Ativos temos as seguintes Classificações:
Lógicos
• Sistemas
Especialistas ou
Corporativos);
Rede
• VoIP; Dados
armazenados em
servidores..
Físicos
• Notebook; Ar-
Condicionado;
Cabos; Access
Point...
Humanos
• Empregados;
Prestadores de
Serviços;
Clientes;
• Fornecedores...

Rapidamente a cerca dos ATIVOS temos as seguintes PROTEÇÕES:
Lógicos
• Perfis de
usuários;
Permissões em
sistemas de
arquivos;
• Configuração de
switchs, routers,
firewalls...
Físicos
• Portas;
Fechaduras;
Chaves; Guardas;
Sistemas CFTV...
Humanos
• Procedimentos;
Políticas,
Normas...

Conceitos básicos de segurança - Termos e definições
• Valor: Importância do ativo para a organização.
• Ameaça: Evento em potencial, que traz danos diretos aos ativos ou
prejuízos decorrentes de situações inesperadas.
• Vulnerabilidade: Pode ser definida como uma falha no projeto,
implementação ou configuração de um software ou sistema operacional
que, quando explorada por um atacante, resulta em prejuízo para
organização.
• Impacto: Tamanho do prejuízo.
• Risco: Medida que indica a probabilidade de uma ameaça se concretizar,
combinada com os impactos que ela trará.

Identificando os vilões?
• Qualquer usuário é passível de causar danos ou negar serviços a redes, seja
por meio de seus erros ou devido a fragilidade das instalações.
• Existem varias denominações para os vilões, mas a mídia falada e escrita
atribui as ações aos hackers ou criminosos cibernéticos.
• Podemos dizer que hackers são: aqueles que utilizam seus
conhecimentos para invadir sistemas, sem o intuito de causar danos às
vítimas, apenas para demonstrar suas habilidades.

Identificando os vilões?
Existem varias classificações, vamos a uma delas:
• Script kiddies: Iniciantes;
• Cyberpunks: mais velhos;
• Insiders: empregados insatisfeitos, ex-funcionários, prestadores de
serviços...;
• Coders: os que escrevem sobre suas proezas;
• White hat: profissionais contratados;
• Black hat: ckackers;
• Gray hat: que vivem no limite entre o bem e o mal.

Qual o tipo de vilão que nos interessa?
•Script kiddies:
Geralmente são inexperientes e novatos, usam ferramentas publicadas na
Internet, e colocam em risco as organizações que não tem uma política de
segurança definida e aplicada.
•Insiders:
São os responsáveis por causar maiores danos a organização, a eles, são
atribuídas a espionagem industrial, alterações cadastrais, acesso a
informações sigilosas, alterações em código fonte de sistemas, etc...

Atenção aos Insiders!
Deve-se dar importância aos ataques originados a partir da própria rede:
• Qual a vantagem deles em relação aos outros?
• Tempo;
• Relativamente confiáveis.
• Quais questões devemos observar?
• Insatisfação com a empresa;
• Insatisfação com o superior;
• Espionagem;
• Suborno.

O que é um Ataque?
No jogo de xadrez – é o caminho pelo qual exploramos uma fraqueza ou
vulnerabilidade em uma determinada posição.
Em informática – é a tentativa, bem ou mal sucedida de acesso ou uso não
autorizado a um programa ou computador.
A 2500 anos atrás um chinês escreveu:
“...um comandante militar deve atacar onde o inimigo está desprevenido e
deve utilizar caminhos que, para o inimigo, são inesperados...”
“...se você descobrir o ponto fraco do oponente, você tem que afetá-lo com
rapidez...”
“... Se o inimigo deixa uma porta aberta, precipitemo-nos por ela...”

Como ocorrem a exploração das vulnerabilidades?
Através de mecanismos de invasão. Que podem ser:
• Engenharia Social – É a técnica que explora as fraquezas humanas e
sociais.
• Invasão Técnica – As invasões técnicas exploram deficiências na
concepção, implementação, configuração ou no gerenciamento dos
serviços e sistemas.

O que é necessário para que se tenha sucesso ao se realizar um ataque?
• Conhecer o Alvo;
• Obter Informações;
• Avaliar qual o objetivo que se pretende, ou seja:
• Causar a indisponibilidade - Disponibilidade;
• Colher informações - Confidencialidade;
• Modificar as informações - Integridade;
• Criar novas informações – Autenticação, Controle de Acesso e Integridade.

Segundo Stallings, William existem 4 (quatro) categorias de ataques, a
saber:
• Interceptação;
• Interrupção;
• Modificação;
• Fabricação.
• Sendo o primeiro chamado de ataque passivo e o restante de ataque
ativo.
• Que software e qual técnica ou categoria você usaria para capturar as
informações em uma rede segmentada por switch?

ORIGEM
FLUXO NORMAL DE TRANSMISSÃO
D A D O S
ORIGEM D A D O INTSERRUPÇÃO
ORIGEM
ORIGEM D A D O S ORIGEM
D O S
INTERCEPTAÇÃO
ORIGEM

ORIGEM D A D O S ORIGEM
MODIFICAÇÃO
E

ORIGEM ORIGEM
ACESSO A DADOS
RETORNO DOS DADOS
FABRICAÇÃO INSERE DADOS

Principais Ameaças
10 Principais Ameaças
Ataques Internos
Falta de Contingência
Configuração Inadequada
Despreocupação com as redes de
hotéis e quiosques
Utilização Imprudentes das Redes
sem Fio
Dados perdidos armazenados em
dispositivos portáteis
Negação de serviços em servidores
Web
Uso Indevido da Internet pelos
Funcionários
Mensagens Maliciosas
Exploração automatizada de
vulnerabilidades conhecidas
Segundo a “Verizon's Intrusion Response
Team” as 10 (dez) maiores ameaças de
segurança nas organizações de pequeno
e médio porte.

Principais Ameaças
• Códigos Maliciosos (Malware)
É um termo genérico que abrange todos os tipos de programa
especificamente desenvolvidos para executar ações maliciosas em um
computador.
Alguns exemplos de malware são: vírus; worms e bots; backdoors;
cavalos de tróia; keyloggers e outros programas spyware.
• Negação de Serviço (Denial of Service)
Consiste no uso de um computador para tirar de operação um serviço
ou computador conectado a rede.
• DDoS (Distributed Denial of Service)
Constitui um ataque de negação de serviço distribuído, ou seja, um
conjunto de computadores é utilizado para tirar de operação um ou
mais serviços ou computadores conectados a rede.

Explorando as vulnerabilidades das camadas do meio

Qual a importância desses conceitos para a implementação segura de
switchs na camada 2 e routers na camada 3?
A importância diz respeito ao projeto como um todo, ou seja, é
necessário um projeto físico (camada 1 e 2) e lógico (camada 2 e
3) adequado, para suportar o estabelecimento de políticas e
ferramentas de segurança (camadas 1 a 7) que mantêm o
monitoramento de todo sistema com o intuito de mitigar as
vulnerabilidades e reduzir os riscos de um ataque.

Relembrando das 10 ameaças temos:
• Ataques Internos: São bem sucedidos devido a configurações inadequadas dos
equipamentos, política inadequada quanto ao uso de senhas, falta de classificação quanto
a informação e auditória de navegação nos sistemas corporativos.
• Falta de Contingência: Inexistência de planos de continuidade do negócio, plano de
recuperação e desastre e até mesmo sistemas automatizados de backup.
• Configuração Inadequada dos Equipamentos: Desconhecimento das melhores práticas
para implementação dos equipamentos de rede, seja pela contração de funcionários
desqualificados, e/ou ausência de conhecimento da solução (Appliances de Segurança na
configuração padrão.
• Despreocupação com as redes de hotéis e quiosques: Políticas e ferramentas de
seguranças inadequadas, que permitem o funcionários desabilitá-las quando estão fora da
organização.

Quais são as principais vulnerabilidades e ataques na camada 1:
As vulnerabilidades na camada física ocorrem em virtude das
instalações inadequadas e/ou acesso não monitorado as áreas criticas.
No nível 1 as formas de acesso usadas numa determinada rede ou
ligação dependem significativamente do meio físico.

Quais são as principais vulnerabilidades e ataques na camada 1:
• O uso de meios físicos como cabos de cobre, são relativamente fáceis de
derivar, desvia, escutar, interromper ou danificar.
• As fibras são frágeis e portanto, fáceis de danificar ou interromper.
• Os meios ópticos sem fio (laser ou infravermelhos) são sensíveis às
condições de propagação.
• Nas redes sem fio o próprio meio de transmissão é sensível a ruídos e
extremamente vulnerável ao espectro do sinal, que pode ser
compartilhado com equipamentos distintos.

Quais são os principais ataques na camada 1 :
• Escuta = Interceptação = Probe = Snnifer
Existem vários tipos dos quais os mais comuns são:
• Por derivação no meio físico (wire tapping);
• Por derivação nos conectores;
• Por leitura de radiação eletromagnética emitida pelos cabos;
• Por escuta do espectro de onda para equipamentos sem fio
(radioelétrico).

Quais são os principais ataques na camada 1:
• Bloqueio = Interrupção
Normalmente através da ruptura do meio físico de forma intencional, como
por exemplo:
• Corte nos cabos de cobre ou fibra;
• Emissores de ruídos eletromagnéticos;
• Interposição de obstáculos entre o transmissor e o receptor no caso das
redes sem fio.
• Desvio = Modificação
Alterar o caminho da ligação entre o equipamento emissor e o receptor
normalmente com o intuito de acesso aos dados ou a recursos de
telecomunicações.

Quais são as principais vulnerabilidades e ataques na camada 2 e camada 3:
Protocolo ARP; Protocolo DHCP; MAC Flooding; MAC Spoofing; DoS no
servidor DHCP; Spoofing de identidade do cliente DHCP; Rogue DHCP
Server; Ataque de negação no STP; Ataque de manipulação do STP; ARP
Spoofing/ ARP Poisoning; Packet Storm; Worm Outbreak; P2P Abusing;
Main in the Middle...;

Quais são os principais ataques nas camada 2 e 3:
• Protocolo ARP: Armazena os endereços nas tabelas ARP dos
equipamentos do tipo switchs, routers, switch routers com o intuito de
reduzir o tráfego de dados rede, no entanto, essa tabelas podem ser
alteradas.
• Protocolo DHCP: Inexistência de mecanismo confiável na distribuição de
seus endereços lógicos (IP, Gateway e DNS), devido a falta de autenticação
e confidencialidade no seu processo, dessa forma, qualquer cliente com
acesso físico a rede (cabeada ou sem fio) pode fazer solicitações de DHCP.
Durante o processo de distribuição os dados podem ser capturados
perdendo-se a confidencialidade.

Explorando as vulnerabilidades das
camada 2 e camada 3 do modelo OSI
• MAC Flooding: É um típico ataque de negação de serviço (DoS)
decorrente da limitação na tabela CAM (Content Addressable Memory) de
alguns switchs.
O switch pode ser inundado com falsos e inúmeros endereços
MAC provocando sua mudança para o modo de recuperação e
falhas, no qual, ele faz um brodcast para todas as portas, como se
fosse um hub, tornando o segmento extremamente lento e/ou
não repassar os quadros aprendidos para as suas portas e demais
segmentos.

• MAC Spoofing :
É um ataque destinado a tabela CAM (Content Addressable Memory) de
alguns switchs.
Consiste no redirecionamento dos quadros destinados a um host
confiável da rede para a porta no qual o atacante esta conectado.
O atacante assume o endereço MAC do host confiável, de tal
forma, que os quadro são endereçados a ele.
• Negação de serviço (DoS) no servidor DHCP
É destinados a servidores DHCP configurados para usar faixas de
endereçamentos especificas, dessa forma, um atacante pode gerar vários
pedidos dentro de uma determinada faixa, esgotando assim a
quantidade IPs destinados a faixa.

• Spoofing de identidade do cliente DHCP
É quando o atacante modifica seu MAC para um MAC válido com
a finalidade de enganar o servidor DHCP e então recebe um
endereço IP, passando dessa forma, a ser um host válido na rede.
Esse ataque é realizado nas instalações onde o servidor DHCP
tem cadastrado os MAC que podem receber IPs.
• Rogue DHCP Server
É o ataque que consiste na inserção de um servidor falso para a
distribuição de DHCP. Muitas vezes esse ataque ocorre de forma
acidental, no entanto, intencional ou não, sua ação é desastrosa
e pode ocasionar a indisponibilidade dos usuários se
autenticarem a rede. É possível quando intencional, que o
atacante controle vários hosts da rede.

• Ataque de negação no STP
Explora a ausência de autenticação no protocolo STP, dessa
forma, é feito uma ataque de negação de um nó (switch, bridge
ou switch router) via inundação ou difusão forçando o STP a
recalcular a o caminho entre os segmentos de rede.
• Ataque de manipulação do STP
O atacante faz com que o tráfego de um segmento da rede
obrigatoriamente passe por sua estação entre o segmento de
acesso ao núcleo da rede. A inclusão da estação entre o
segmento só é possível devido a funcionalidade do próprio STP.

• ARP Spoofing (ARP flooding) / ARP Poisoning
É o ataque que encaminha informações falsificadas sobre os
endereçamentos IPs enganando os hosts com relação ao MAC
de um destino. Dessa forma é possível receber o tráfego
destinado a um host válido da rede.
• Packet Storm
São inundações ou broadcast para todas as portas de um
switch, seja com o uso de softwares que propagam o ataque,
ou pelo simples fato de fecharmos um loop local no switch de
acesso a rede.

• Main in the Middle
É uma variante sofisticada do ARP Spoofing / ARP Poisoning, o
atacante intercepta os pacotes destinados a outro host de forma
silenciosa, tipicamente gateways ou portas de up-link. A
finalidade é descobrir senhas, modificar pacotes ou mesmo
desviar o fluxo do tráfego da rede.
• P2P Abusing
Softwares deste tipo geralmente trabalham na porta UDP e
podem congestionar a rede local, além de tornar o tráfego no link
WAN sobrecarregado.

Implementações seguras de Redes
O que são implementações seguras?
São especificações e configurações que podem ser feitas no intuito de
mitigar o risco de ataque as vulnerabilidades.
O projeto deve ser pensado como um todo, de forma a atender os
requisitos de negócio. É importante lembrar que a Tecnologia da
Informação é o mecanismo para garantir o sucesso do negócio.

Sugestões quanto a especificações e na camada física:
Verificar as fragilidades quanto aos requisitos físicos para a escolha
correta da tecnologia;
• Evitar soluções com meio físico compartilhado, caso use, contemple
os requisitos de segurança. Exemplo: soluções em anel, soluções em
redes sem fio...
• Usar soluções redundantes com tecnologias distintas na camada física.
Exemplo:
No caso das redes LANs é possível contemplar o acesso por rede cabeada e sem fio;
No caso das ligações WAN é possível o uso de conexões por fibra, radio, satélite ou sem fio;
• Contemplar caminhos físicos redundantes, ou seja, via rotas distintas;
• Assegurar, a quem de direito, o acesso aos recursos físicos, sejam
estes: cabos, racks, pontos de acesso fixo ou móvel, acesso aos
equipamentos, etc...;

Sugestões quanto a especificações e na
camada física:
Em termos de transmissão é possível o uso de
scrambling,
que consiste na alteração reversível da informação
transmitida (mecanismos de codec e decoder);
Documentar e atualizar todas as ligações físicas;
Manter ligados somente os pontos com
equipamentos
conectados;
Inibir a troca de equipamentos entre pontos
distintos;
Restringir e monitorar o acesso as salas com
equipamentos de comunicação e servidores;
Realizar auditorias periódicas que contemplem a
inspeção
visual a todos os componentes da LAN.

Sugestões quanto a especificações e nas camadas de enlace e rede:
• Manter sempre atualizado o firmware/software dos equipamentos de
rede;
• Alterar sempre a configuração padrão dos equipamentos de rede;
• Manter as portas não usadas desabilitadas;
• Desabilitar ou restringir o uso a serviços ou acesso a
gerência/configuração dos equipamentos;
• Usar criptografia quando possível;

• Prefira topologia em estrela, estrela estendida (arvore) com
redundância em núcleo, distribuição e acesso;
• Prefira tecnologias comutadas;
• Usar ferramentas para detecção e isolamento de “maquinas mal
comportadas”;
• Usar ferramentas para detecção e isolamento de interfaces em modo
promiscuo;
• Usar a segmentação de LAN, separando por zonas sensíveis ao negócio
ou ao perfil de acesso;

• Usar VLANS, que permitam a flexibilidade na criação e isolamento de
grupos de maquinas. Exemplo: usuários, clientes, suporte técnico de
fornecedores, servidores, e até por aplicações;
• Usar o controle de acesso de forma ampla, mantendo os logs
atualizados com informações de acesso físico e lógico aos equipamentos
de rede, servidores e backbone;
• Usar equipamentos que implementem soluções agregadas de controle
de acesso a rede (NAC), detecção de probe e dhcp rogue.

118008030 seguranca-de-redes-de-computadores

Recomendados

Recomendados

Mais conteúdo relacionado

Destaque

Destaque (20)

Mais de Marco Guimarães

Mais de Marco Guimarães (20)

118008030 seguranca-de-redes-de-computadores