Infraestrutura de Segurança – Aula 05professor.ufop.br/sites/default/files/janniele/files/aula05.pdf · esteganografia Arte ou ciência de escrever em cifras ou em códigos, com

Infraestrutura de Segurança – Aula 05

Profa Janniele Aparecida Soares Araujo

CSI463 – Segurança e Auditoria de Sistemas

2

Infraestrutura de Segurança

● Controles de Segurança● Uma vez identificados os impactos e as ameaças e calculado os

riscos, são desenvolvidas estratégias para controlar esse ambiente vulnerável, quatro linhas de ações podem ser estabelecidas● Eliminar risco● Reduzir o risco a um nível aceitável● Limitar o dano, reduzindo o impacto● Compensar o dano, por meio de seguros

3


● Controle em camadas● Ambientes computacionais são complexos● A disposição de várias camadas de segurança entre a ameaça e o recurso

diminui consideravelmente a vulnerabilidade desse recurso, pois mesmo se uma camada for quebrada, existirão ainda outras para proteger o recurso

● Subdivisão dos sistemas de informações em 4 camadas● Programas aplicativos● Serviços● Sistema operacional● Hardware

● É imprescindível levar em consideração os controles de segurança física e os controles administrativos.

4


● Segurança do ambiente físico● É preciso combinar medidas de prevenção, detecção e reação aos

incidentes● ISO 17.799 define barreira de segurança quaisquer medidas

preventivas que impeçam ataques aos ativos da informação● Físicas: muros, cercas, trancas● Lógicas: senhas de logon, token

● Perímetro de segurança ajuda a estabelecer os melhores investimentos e definir tipos de barreiras mais adequados

5


● Segurança do ambiente físico: escritórios, salas e instalações de processamento de dados● ISO 17.799 recomenda escritórios fechados ou com várias salas

dentro de um perímetro seguro que considere as ameças● Fogo, poeira, fumaça, vibração, vazamento de água, explosão, manifestações civis

ou desastres naturais

● A norma sugere mecanismos de bloqueio contra acesso não autorizado e treinamento para os prestadores de serviços de limpeza e manutenção

6


● Segurança do ambiente físico: equipamentos● ISO 17.799 aponta opções para garantir a continuidade do

fornecimento elétrico● Alimentação com múltiplas fontes, nobreaks e geradores reserva

● A norma também sugere medidas preventivas para garantir o perfeito funcionamento dos equipamentos como o planejamento de manutenções periódicas

7


● Segurança do ambiente físico: documentos em papel eletrônicos● Cuidados com cópias, armazenamento, transmissão e descarte● Papel

● Exige mecanismos de proteção compatíveis com o meio em que o documento em papel foi produzido: acidez do papel, umidade do ambiente● Uso de rótulos, políticas de armazenamento em local adequado, procedimentos especiais

para impressão, cópia e transmissão, recepção e envio de correspondências sigilosas

● Eletrônicos● Aparato tecnológico que os torne visíveis e compreensíveis aos seus usuários● Integridade das informações

8


● Segurança do ambiente físico: mídias de computador● ISO 17.799 recomenda segurança dos backups, políticas de segurança

para armazenamento, controle de acesso às mídias, cópia e descarte

9


● Segurança do ambiente físico: cabeamento● ISO 17.799 recomenda os seguintes controles para cabeamento

elétrico e de telecomunicações● Utilização de linhas subterrâneas● Proteção do cabeamento de rede contra interceptações não autorizadas ou danos● Separação de cabos elétricos dos cabos de comunicação● Uso de conduítes blindados e salas trancadas para os sistemas críticos

10


● Segurança do ambiente lógico● Serviços de segurança são uma classe especial de medidas

preventivas relacionadas com o ambiente lógico para combater ameaças identificadas

● ISO 7498-2 aborda aspectos relacionados com segurança no modelo OSI (Open Systems Intterconnection), esse modelo refere-se a serviços de segurança de redes e seus conceitos podem ser usados para qualquer tipo de ambiente computacional● Autenticação: identidade e origem● Controle de acesso● Confidencialidade, integridade, disponibilidade, não repúdio

11


● Segurança do ambiente lógico: segurança em redes● ISO 17.799 menciona mecanismos de proteção das redes

● Gatways e firewalls: controlam o tráfego que entra e sai, estabelece rotas de redes obrigatórias e divide grandes redes em domínios lógicos

● Técnicas de criptografia, tokens, VPNs, antivírus, etc.

12


● Segurança do ambiente lógico: firewalls● Barreira de proteção entre um computador e o ambiente externo● Dimensionamento correto do tráfego para evitar gargalos na rede

13


● Segurança do ambiente lógico: perímetros lógicos● Redes de perímetro ou zonas desmilitarizadas (DMZ – de-militarized

zone) permitem proteger um computador em segmento de rede que ficam entre uma rede interna e a internet

● O uso de Redes Privadas Virtuais (VPNs) criam túneis virtuais criptografados entre pontos autorizados para transferência de informação segura

14


● Segurança do ambiente lógico: antivírus● Um bom sistema antivírus é um elemento essencial para a proteção

de redes conectadas à Internet● Atualização● Periodicidade no rastreio das máquinas

15


● Segurança do ambiente lógico: criptografia e esteganografia● Arte ou ciência de escrever em cifras ou em códigos, com o propósito

de restringir ao destinatário a capacidade de decodificá-la e compreendê-la

● As técnicas de esteganografia possibilitam a ocultação de informações dentro de outra, usando o princípio da camuflagem

16


● Segurança do ambiente lógico: assinatura e certificado digital● Assinatura digital tem como propósito providenciar prova inegável de

que uma mensagem veio do emissor● Uma pessoa ou instituição que queira comprovar a assinatura digital

de um documento deve obter o certificado digital correspondente

17


● Segurança do ambiente lógico: sistemas de detecção de intrusos (IDS)● Serviço que monitora e analisa eventos de uma rede com o propósito

de encontrar e providenciar alertas em tempo real a acessos não autorizados

● Caso venha a detectar uma invasão, aciona rotinas pré-definidas pela organização a fim de inibir tal acesso

18

Aprofundando em Firewalls

Rede 1

Rede 2Firewall

Ponto único de acesso

Formado por um ou mais componentes

● Controle de acesso● Autenticação● Registro de Tráfego

19


● O que é um Firewall?● Logicamente é um separador, analisador e filtro de pacotes● Fisicamente pode ser um roteador, um computador ou uma

combinação de roteadores, computadores com o software apropriado

● Pode trabalhar em conjunto com um Intrusion Detection System (IDS)

20


● O que faz um Firewall?● Serve como foco das decisões de segurança● Reforça a política de segurança● Registra a atividade de Internet com eficiência● Limita a exposição

● O que um Firewall não faz?● Não protege contra atacantes internos● Não protege contra conexões que não passa por ele● Não protege contra novas vulnerabilidades● Não protege completamente contra vírus● Não se autoconfigura corretamente

21

Firewalls: funcionalidades

● Componentes básicos● Filtros● Proxies● Bastion hosts● Zonas desmilitarizadas (DMZ)

● Componentes adicionais● Network Address Translation (NAT)● Rede Privada Virtual (VPN)

22


● Filtros● Realizam o roteamento entre os pacotes de maneira seletiva● Aceitam/descartam pacotes por meio da análise das informações de

seus cabeçalhos● Atua na camada de rede e de transporte

23


● Proxies● Sistemas que atuam como gateways (intermediários) entre duas

redes, permitindo as requisições internas dos usuários e as respostas à essas requisições (de acordo com a política de segurança definida)

● Pode realizar uma filtragem mais apurada dos pacotes por atuar na camada de aplicação

24


● Bastions Hosts● Trata-se de equipamentos em que são instalados os serviços a

serem oferecidos para a Internet● Estão em contato direto com conexões externas● Devem ser muito bem protegidos

25


● Zonas desmilitarizadas - DMZ● É uma rede que fica entre a rede interna, que deve ser protegida, e

a rede externa ● Essa segmentação é feita para que caso um equipamento dessa rede

seja comprometido, a rede interna continue intacta e segura

26


● NATs - (Network Address Translation)● Foi criado com a ideia de tratar escassez de endereços IP em

redes (internas) de grande porte● É uma técnica que consiste em reescrever os endereços IP

(reservados) de origem para IP válido e roteável quando a rede externa é acessada

● Pode esconder os endereços dos equipamentos da rede interna (esconde a topologia da rede)

27


● VPNs - Redes Privadas Virtuais● Foi criada inicialmente para que redes com determinado protocolo

pudessem se comunicar através de outras redes● Atualmente utiliza conceitos de criptografia para manter o sigilo dos

dados (garante também integridade e autenticação)

28

Firewalls: tecnologias

● Filtro de Pacotes● Funciona na camada de rede e de transporte TCP/IP, realizando as

decisões de filtragem com base nas informações do cabeçalho de pacotes

● IP: endereço IP de origem e destino● UDP: porta origem e destino● TCP: porta de origem e destino, flags usadas para observar sentido

das conexões● Exemplo: permissão de usuários internos a websites

29


● Filtro de Pacotes● A sequência de criação de regras podem alterar a o resultado da

política de segurança

30


● Filtro de Pacotes● Vantagens

● Baixo overhead/alto desempenho da rede● Barato, simples e flexível● Transparente para o usuário

● Desvantagens● Permite conexão direta com hosts internos de clientes externos● Dificuldade para filtrar serviços que utilizam portas dinâmicas● Deixa brechas

● Validação apenas do primeiro fragmento● Difícil gerenciar em ambientes complexos

31


● Filtro de pacotes baseados em estados● Filtro de pacotes dinâmicos ou baseado em estados, decisões de

filtragem usando● Informações dos cabeçalhos dos pacotes● Tabela de estados, que guarda os estados de todas as conexões

● O firewall trabalha verificando somente o primeiro pacote de cada conexão

● Se este pacote é aceito, os demais pacotes são filtrados de acordo com as informações desta conexão na tabela de estados

32


● Filtro de pacotes baseados em estados

33



34



35


● Filtro de pacotes baseados em estados● Vantagens

● Baixo overhead/alto desempenho da rede (melhor do que sem estados)● Aceita quase todos os tipos de serviços● A filtragem é transparente● Melhora proteção contra ataques que utilizam portas abertas (backdoor)

● Desvantagens● Permite conexão direta para hosts internos a partir de redes externas● Não oferece autenticação de usuário

36


● Proxy● Usuário se conecta a uma porta TCP no firewall, que então abre outra

conexão no mundo exterior ● Faz com que o tráfego pareça ter origem no proxy, mascarando o

endereço do host interno, garantindo maior segurança da rede interna● Exemplo: Squid (www.squid-cache.org) → proxy HTTP● Na camada de transporte: é apenas um retransmissor, sem realizar a

verificação de serviços● Na camada de aplicação: permite que o payload de pacotes seja

filtrado● Ex: Tags HTML feitas pelo proxy HTTP

37


● Proxy● Vantagens:

● Não permite conexões diretas entre hosts internos e externos● Aceita autenticação de usuário● Analisa comandos da aplicação no payload dos pacotes de dados● Permite criar logs do tráfego

● Desvantagens:● Escalabilidade, pois requer um proxy diferente para cada aplicação● Não aceita todos os serviços● Requer que os clientes internos saibam da sua existência(está mudando com o uso

de proxy transparente)

38


● Proxy transparente● Servidor proxy modificado, que exige mudanças na camada de

aplicação e no núcleo do firewall● Redireciona as sessões que passam pelo filtro de pacotes para um

servidor proxy local● Isso é transparente para o usuário

● Não necessita configurar aplicativos● Squid pode ser usado como proxy transparente

39


● Proxy

Fonte: https://www.diegomacedo.com.br/tipos-de-firewall/

40


● Firewalls híbridos● Misturam elementos de filtros de pacotes, pacotes baseado em

estados e proxies para cada serviço específico● Utiliza estes mecanismos de segurança em paralelo● Atualmente, a maioria dos firewalls comerciais é híbrida

● Ex: telnet é manipulado por filtro de pacotes e HTTP pelo proxy (filtragem no nível da aplicação)

41


● Firewalls individuais● Atua na segurança do host individual e não da rede● A conexão na rede interna cada vez mais é feita através de laptops e

acessos remotos por equipamentos na cada do usuário, usando VPNs, necessitam de uma proteção adequada

42

Firewalls: arquiteturas

● Dual-homed host● Formada por um equipamento que tem duas interfaces de rede e

funciona como um separador entre as duas redes● Vantagens:

● Provê um alto grau de controle, pois além de filtrar os pacotes indesejados, possibilita que o administrador rejeite conexões que pedem algum tipo de serviço especial, mas que não têm a permissão necessária.

● Facilitam o monitoramento das atividades dos usuários e é relativamente fácil de configurar e manter, além de ser relativamente barato

● Desvantagens:● A segurança de toda rede fica dependente de uma única máquina

43


● Dual-homed host


44


● Screened host● Formada por um filtro de pacotes e um bastion host, se o bastion host for

comprometido, o invasor já estará dentro da rede interna● Vantagens:

● Esta configuração é bastante segura, já que oferece dois níveis de proteção (tanto na camada de rede com o screening router quanto na camada de aplicação com o bastion host)

● É relativamente fácil de configurar e de dar manutenção

● Desvantagens:● As regras do screening router devem ser bem configuradas, pois qualquer erro pode

ocasionar o envio de pacotes diretamente para a rede interna, "furando"o esquema de proteção

● Único ponto de falha● Custo deste tipo de firewall é mais alto

45


● Screened host


46


● Screened subnet● Aumenta a segurança ao adicionar uma DMZ (zona desmilitarizada). O

bastion host fica na DMZ, o que evita que um ataque ao bastion host resulte na utilização de um sniffer para a captura de pacotes de usuários internos

● Vantagens:● Nível de segurança muito maior

● Desvantagens:● A complexidade deste sistema é alta e a sua configuração e manutenção da subnet

não é tão simples como a das firewalls anteriores● O acesso a rede é retardado porque o tráfego deve passar pela subrede● Custo deste tipo de firewall é bem elevado

47


● Screened subnet


48


● Firewall Cooperativo● Arquitetura em que são inseridos novos componentes

● Redes privadas virtuais – VPNs● Sistemas de detecção de intrusão (IDS)● Infraestrutura de chave pública (ICP)

● Usuários internos tratados como usuários externos (não tem acesso direto – sem firewall – a servidores e demais recursos críticos)

49


● Firewall Cooperativo● Cria uma divisão em três partes das localizações de recursos:

● Recursos públicos disponibilizados para o acesso via internet: localizado na DMZ 1● Recursos privados disponibilizados para acesso via internet: localizado na DMZ 2● Recursos internos acessados via VPN: localizado na rede interna

50


● Firewall Cooperativo

51

Iptables

● Projeto Netfilter (http://www.netfilter.org/) com iptables no Linux● O filtro de pacotes é o componente mais conhecido do Netfilter● Há outras funções:

● Tradução de endereços (NAT)● Inspeção de estado● Enfileiramento de pacotes

● Iptables é a interface do Netfilter que permite ao administrador do sistema configurar as tabelas, cadeias e regras de filtragem

52

Iptables

● Filtro de pacote● Baseia-se em ACL ́s (Access Control List), que servem para

representar a política de segurança desejada● As ACL ́s do iptables possuem várias peculiaridades, porque vários

elementos sofisticados são utilizados para formar uma regra● O iptables utiliza os conceitos de

● Cadeias (chains)● Tabelas (Tables)● Regras (rules)

53

Iptables

● Regras● As regras são como comandos passados ao iptables para que ele realize

uma determinada ação (como bloquear ou deixar passar um pacote)● As regras são armazenadas dentro dos chains e processadas na ordem que

são inseridas● As regras são armazenadas no kernel, o que significa que quando o

computador for reiniciado tudo o que fez será perdido, por este motivo elas deverão ser gravadas em um arquivo para serem carregadas a cada inicialização

● Sintaxe: iptables [comando] [cadeia] [parâmetro] [ação]

iptables -A INPUT -s 123.123.123.1 -j DROP

54

Iptables

● Cadeias● É onde podemos especificar a situação do tratamento dos pacotes,

seja qual tabela for● Podem ser classificadas como estruturas para comportar regras● Existem dois tipos de cadeias

● Cadeias padrão● Cadeias criadas pelo usuário.

55

Iptables

● Cadeias Padrão

● INPUT● Tráfego que tem como destino a própria máquina

● FORWARD● Tráfego passante pela máquina

● OUTPUT● Tráfego gerado localmente (tanto com destino local, como remoto)

56

Iptables

● Comandos importantes● iptables -h

● Invoca a ajuda dos comandos

● iptables -L● Lista as regras do iptables

● iptables -F● Limpa todas as regras e deixa a regra padrão

● iptables -P (cadeia) (ação)● Define a regra como padrão

● iptables -P INPUT ACCEPT

● iptables -C ● Checa as regras básicas do firewall

● iptables -A● Adiciona uma nova regra a uma cadeia

57

Iptables

● Comandos importantes● iptables -D

● Apaga uma regra em uma posição da cadeia● iptables -D FORWARD 2

● iptables -R● Substitui uma regra em uma posição na cadeia

● iptables -I● Insere uma nova regra no início da lista de regras

● iptables -N● Cria uma nova regra com um nome específico

● iptables -E● Renomeia uma nova cadeia

● iptables -X● Apaga uma cadeia criada

58

Iptables

● Tabelas● Tabelas são os locais usados para armazenar os chains e conjunto de

regras com uma determinada característica em comum. As tabelas podem ser referenciadas com a opção -t tabela

● Existem 3 tabelas disponíveis no iptables● FILTER - responsável pela filtragem de todos os pacotes que passam pelo host, não

importando origem e destino● NAT - responsável pelo controle dos pacotes que passam pelo host, mas cuja origem

ou destino não é o mesmo● MANGLE - permite alterar características específicas do pacote, como por exemplo:

o TOS (Tipo de Serviço) o que permite implementar um sistema simples de QOS (qualidade de serviço)

59

Iptables

● Ações do iptables● São os destinos dados ao pacote quando o pacote coincide com a

regra● Target padrão

● ACCEPT● DROP● REJECT● LOG

● Target personalizada● Implementado com chains personalizadas

60

Iptables

● Parâmetros de ação● -p

● Define qual protocolo TCP/IP deverá ser tratado (TCP,UDP, ICMP...)

● -i● Define o nome da interface de rede de onde trafegarão os pacotes de entrada e saída do

firewall

● -o● Parecida com a regra -i, porém se aplica às cadeias OUTPUT e FORWARD

● -s (origem) / -d (destino)● Define qual o endereço de origem e de destino que a regra atuará

● -j ● Serve para direcionar uma ação desde que as regras sejam similares

61

Iptables

● Política Padrão● As cadeias INPUT, OUTPUT e FORWARD possuem também políticas

● Política ACCEPT● Tudo que não estiver bloqueado será permitido● Regras serão de bloqueio

● Política DROP● Tudo que não estiver liberado será bloqueado● Regras serão de liberação

Sintaxe: iptables -P <chain> <politica>

62

Iptables

● Ordem de aplicação das regras● São avaliadas na ordem em que são inseridas, sequencialmente● Após avaliadas todas as regras, sem ocorrência de ‘match’, a política

padrão será aplicada

63

Exemplos

64

Prática - iptables

● Crie regras usando iptables e teste seu funcionamento. Utilize os slides da aula, a ajuda do Linux e sites da internet como referência

● Faça um relatório e envie para o e-mail [email protected] com o assunto iptables_nomedadupla

1)Listar as regras existentes

2)Crie uma regra para bloquear um host específico

3)Crie regra para bloquear ping originado do seu computador

4)Definir uma regra (aceitar/bloquear) para o acesso a internet (HTTP).

5)Pesquise e crie regras para tentar evitar os seguintes tipos de ataques: SYN Flooding (DoS) e port scanning.

mailto:[email protected]

65

Bibliografia básica

● LYRA, Maurício Rocha. Segurança e auditoria em sistemas de informação. Rio de Janeiro: Ciência Moderna, 2008.

● DIAS, Cláudia. Segurança e auditoria da tecnologia da informação. Rio de Janeiro: Axcel Books, c2000.

● NAKAMURA, Emílio T.; de GEUS, Paulo L. Segurança de redes em ambientes cooperativos. 3a edição. Editora Novatec.

● RAULINO, Filipe. Notas de aula. Segurança de Redes. Instituto Federal de Educação e Tecnologia Rio Grande do Norte

● LIMA, Helen .C.S. Notas de aula. Segurança e auditoria de sistemas. Universidade Federal de Ouro Preto

● LINS, Theo. Notas de aula. Rede de Computadores. Universidade Federal de Ouro Preto

Documents

Infraestrutura de Segurança – Aula 05professor.ufop.br/sites/default/files/janniele/files/aula05.pdf · esteganografia Arte ou ciência de escrever em cifras ou em códigos, com