Segurança de Rede

Segurança da Informação

Marcelo PiumaAgosto de 2005

Agenda Principais tipos de ataques e os pontos fracos das

organizações Técnicos Humanos Organizacionais

Modelo de segurança Firewall IDS Política de Segurança

Comparação quantitativa e qualitativa de soluções Perguntas e Respostas

Principais tipos de Ataques

Marcelo PiumaAgosto de 2005

Principais tipos de Ataques

Ataque interno é o mais fácil de ser praticado, não existe necessidade de grandes conhecimentos

Cavalo de Tróia I Love You, The Quota Trojan Sniffers Captura de pacotes (modo promíscuo) Spoofing de IP Autenticação por falsificação de

IP DDoS (Denial of Service) Visa travar ou parar

serviços

Principais tipos de Invasores

Brincalhão Em busca do sucesso Espião Vândalos Acidental (P.O. problema do operador)

Qual o objetivo de uma invasão ?

Prejudicar! Obtenção de informações privilegiadas

(principalmente se não for detectado) Destruição de dados Paralisação de serviços ou funcionalidades da

empresa Prejuízo financeiro Vingança

Alguns números

Fonte: site da Módulowww.modulo.com.br

Para 78% dos entrevistados, as ameaças, os riscos e os ataques deverão aumentar em 2004.

42% das empresas tiveram problemas com a Segurança da Informação nos seis meses anteriores à pesquisa.

35% das empresas reconhecem que tiveram perdas financeiras. Já o percentual de empresas que não conseguiram quantificar essas perdas diminuiu de 72%, em 2002, para 65%, em 2003.

Vírus (66%), funcionários insatisfeitos (53%), divulgação de senhas (51%), acessos indevidos (49%) e vazamento de informações (47%) foram apontados como as cinco principais ameaças à segurança das informações nas empresas.

O percentual de empresas que afirmam ter sofrido ataques e invasões subiu de 43%, em 2002, para 77%, em 2003.

32% dos entrevistados apontam os hackers como os principais responsáveis por ataques e invasões de sistemas corporativos.

26% das empresas não conseguem sequer identificar os responsáveis pelos ataques.

Alguns números

Fonte: site da Módulowww.modulo.com.br

48% não possuem nenhum plano de ação formalizado em caso de invasões e ataques.

60% indicam a internet como principal ponto de invasão em seus sistemas.

58% dos entrevistados sentem-se inseguros para comprar em sites de comércio eletrônico por causa da sensação de falta de segurança.

A falta de consciência dos executivos é apontada por 23% dos entrevistados como o principal obstáculo para implementação da segurança.

63,5% dos entrevistados adotam a ISO 17799 como a principal norma que norteia suas empresas.

Política de Segurança formalizada já é realidade em 68% das organizações.

Apenas 21% das empresas afirmaram possuir um Plano de Continuidade de Negócios (PCN) atualizado e testado.

Alguns números

Fonte: site da Módulowww.modulo.com.br

60% das empresas fazem Planejamento de Segurança, sendo que 27% possuem Planejamento para até 1 ano.

A área de Tecnologia (49,5%) continua sendo a principal responsável pelo gerenciamento da Segurança da Informação nas empresas, seguida pela área específica, Security Office, com 25,5%.

Pelo terceiro ano consecutivo, antivírus (90%), sistemas de backup (76,5%) e firewall (75,5%) foram apontados como as três medidas de segurança mais implementadas nas empresas.

60% afirmam que os investimentos de suas empresas em Segurança para 2004 vão aumentar.

Análise da Pesquisa

Podemos facilmente identificar os pontos fracos Técnicos Organizacionais Humanos

Vamos tratar aqui os dois maiores Técnicos Ambiente Seguro (Fw, IDS,

etc.) Organizacionais Analise de Risco e Política de

Segurança

Minimizando os Riscos

Marcelo PiumaAgosto de 2005

Analisando os Riscos

Primeira pergunta Corremos riscos ? Resposta é sempre SIM

Existe: SIM e sim

Muitos fatores influenciam na análise do risco e na modelagem de uma solução de segurança Presença na WEB com servidor próprio Riscos de informações confidenciais (ramo de atividade) Escritórios regionais (necessidade de VPN ou Link Privado) Solução de EXTRANET Política de RH (problema do bom senso) Históricos da empresa e do setor

Uma Solução!nada é 100% seguro

Firewall nível de rede Filtro de Pacotes Facilidade de uso / gerenciamento Menor TCO Menor exigência de hardware

Firewall de Gateway de Aplicativo IDS (intruder detection system) Scanner / TripWire / Nagios Inventário de Hardware e Software Política de Segurança (PDSI)

Montando um projeto de Segurança

Pontos de convergência são fundamentais Maior facilidade para implantação de IDS Diminui o TCO Recovery mais rápido

Fornecer segurança física para os servidores Servidores devem ser, preferencialmente,

BASTIONS Saber exatamente o que está sendo executado Amadorismo em segurança é o mesmo que não

ter segurança, nem gaste dinheiro!

Montando um projeto de Segurança

Lei do previlégio mínimo Defesa em profundidade Ponto de Aferição Elo mais fraco O que fazer em caso de falha Segurança pela obscuridade PARTICIPAÇÃO UNIVERSAL

Firewall Nivel de Rede

Devem trabalhar em conjunto com os roteadores Roteadores previnem contra IP implementados no RFC Roteadores trabalham com access-lists ICMP

Os firewalls devem restringir a passagem das portas/protocolos mais perigosas

Monitoramento por IDS até das portas fechadas Bom senso: certas portas podem ser necessárias

para serviços vitais para a empresa

As Portas mais comuns

Executar o bloqueio de endereços forjados ("spoofed" addresses) Pacotes originários do mundo exterior com origem de

redes privadas (endereços internos previstos na RFC 1918 e rede 127) devem ser bloqueados.

Serviços de Login telnet (23/tcp), SSH (22/tcp), FTP (21/tcp), NetBIOS

(139/tcp), rlogin (512/tcp até 514/tcp)

As Portas mais comuns

X Windows Range de portas de 6000/tcp até 6255/tcp

Serviços de DNS Bloqueio de DNS (53/udp) para todas as máquinas que

não são servidores de DNS, transferência de zona (53/tcp) exceto de servidores de DNS secundários. Bloqueio do serviço de armazenamento de diretórios LDAP (389/tcp e 389/udp)

Mail SMTP (25/tcp) para todas as máquinas que não são

relays externos, POP (109/tcp e 110/tcp) e IMAP (143/tcp)

As Portas mais comuns

Web Bloqueio de HTTP (80/tcp) e SSL (443/tcp) exceto para

servidores que provem serviços web para acesso externo. Outro bloqueio considera as portas altas utilizado por serviços HTTP como Proxy (8000/tcp, 8080/tcp,8888/tcp etc.)

"Small Services“ Portas abaixo da 20/tcp e 20/udp e serviço time (portas

37/tcp e 37/udp) Miscellaneous

TFTP (69/udp), finger (79/tcp), NNTP (119/tcp), NTP (123/tcp), LPD (515/tcp), syslog (514/udp), SNMP (161/tcp e 161/udp, 162/tcp e 162/udp), BGP (179/tcp) e SOCKS (1080/tcp)

As Portas mais comuns

ICMP Bloqueio de requisições de echo request (ping e

Windows traceroute), bloqueio de saída de echo replies, time exceeded, e mensagens do tipo unreachable.

RPC e NFS Portmap/rpcbind (111/tcp e 111/udp), NFS (2049/tcp e

2049/udp), lockd (4045/tcp e 4045/udp)

NetBIOS no Windows NT Portas 135 (tcp e udp), 137 (udp), 138 (udp), 139 (tcp).

No Windows 2000 adicionar porta 445(tcp e udp)

O “Problema” P2P É uma mudança de paradigmas

Acaba a visão de cliente / servidor É sem dúvida uma tendência realidade

• Messenger, Kazaa e etc.

É um tormento para qualquer CSO (chief security officer) Esses sistemas usam portas específicas, porém

buscam portas comuns como 80 (HTTP) Uma boa saída é através da PDSI (Plano

Diretor de Segurança da Informação) Inventário de Hardware e Software

IDS

Tem a função de detectar tentativas de invasão

Funcionam por monitoramento das portas dos servidores vulneráveis

Existem excelentes soluções implantadas com open source (LINUX), como por exemplo o SNORT com auxílio do ACID

SNORT SNARF Gerenciador de Log Usar sempre um banco de dados para

armazenamento do monitoramento, estatística

IDSExistem problemas

Falsos Alarmes Falso Negativo Falso Positivo

Erros de interpretação Muitos logs para serem analisados O dia-a-dia Manter as regras atualizadas

Implantando IDS

Scanner/Tripwire/Nagios

É fundamental saber as nossas vulnerabilidades Scanner (nessus) Tripwire (software que detecta alterações nos

arquivos do sistema) • Soma de verificação criptográfica

Nagios• Monitoramento de Serviços• Monitoramento de espaço em disco, processador, etc.• Paralização de serviços• Etc…

Tripwire Manager

Nagios

Nessus

Inventário

O princípio básico da segurança é conhecer as necessidades e vulnerabilidades

É muito importante ter um inventário de hw e sw

Software não só para licenciamento, mas também para buscar programas “suspeitos” inclusive P2P

Existem soluções para todos os mundos

PDSIPlano Diretor de Segurança da

Informação Tem sido a grande vedete e também a grande vilã Existem problemas legais que precisam ser

resolvidos e não dependem apenas da comunidade tecnológica

Um empresa que “pensa” segurança precisa ter ao menos um “rascunho” Regras: “melhor ter algumas, por pior que sejam, do que

não ter nenhuma”

Simples e objetivo factível A regra para elaboração de um PDSI é bom senso

Auxílio de quem já fez é sempre positivo

Contato

Marcelo PiumaDiretor de Tecnologia

marcelo@duet.com.br

www.duettech.com.brAv. do Batel, 1230 / 501 – BTC

Curitiba - Paraná(41) 3077-1919 Ramal 18