Embed Size (px)
Citation preview
Segurança de Redes de Computadores
Ricardo José Cabeça de Souza
www.ricardojcsouza.com.br
Windows Hardening
• O conceito de Hardening caracteriza medidas e ações que visam proteger um determinado sistema de invasores
• Dentre as ações típicas do processo podemos citar: – Remoção de logins, usuários, programas e serviços
desnecessários – Aplicação de patches nos programas e no kernel do sistema
operacional – Fechar portas da rede – Adoção de sistemas de detecção e prevenção de intrusão (IDS) – Firewalls – Scripts de hardening
www.ricardojcsouza.com.br [email protected]
Windows Hardening
• Grande maioria de máquinas comprometidas têm o Windows como sistema operacional
• Criadores de malware tentam infectar o maior número possível de máquinas em um curto prazo de tempo
• Windows é a plataforma mais usada atualmente
• Sistema Windows deve estar sempre atualizado, protegido por Firewall e Anti-vírus, e os usuários locais devem ser cautelosos com o conteúdo de arquivos e páginas que acessam
www.ricardojcsouza.com.br [email protected]
Windows Hardening
• Atualizações e Patches – Sistema operacional deve ser atualizado com
frequência, assim como seus componentes, programas e serviços instalados
– Windows possui um sistema automático para verificar se os pacotes estão desatualizados e passíveis de falhas - o Windows Update
– Existem vários gerenciadores de versões de programas comerciais, Freewares e Sharewares • Freeware: Totalmente grátis. O software funciona em sua
plenitude e sem limite de tempo • Shareware: Versão para testes. Trata-se de uma versão do
software que é gratuita, mas contém algum tipo de restrição
www.ricardojcsouza.com.br [email protected]
Windows Hardening
• Windows Update – Serviço de atualização dos sistemas operacionais da Microsoft (a partir
do Windows 98) responsável por atualizar o sistema
– A cada mês, a Microsoft lança um “pacote” de atualizações, que pode consistir em correções de bugs, falhas de segurança e outras melhorias
– Se houver uma falha de segurança muito crítica, a correção é expedida o mais brevemente possível
– Manter o sistema atualizado com os últimos patches é de extrema importância, já que um usuário mal-intecionado pode usar falhas recentes para comprometer um sistema
www.ricardojcsouza.com.br [email protected]
Windows Hardening
• Windows Update – Se houver uma versão mais antiga que a atual, é “liberado” no site
uma atualização
– Usuário pode atualizar somente os produtos de que necessita
– Também é possível transferir produtos em fase beta, bastando para isso que o usuário ative esta opção
www.ricardojcsouza.com.br [email protected]
Windows Hardening
• UpdateStar
– É um gerenciador gratuito que pode ser usado para manter seu sistema atualizado com as últimas versões de programas comerciais, Freewares e Sharewares
– Tem uma base com mais de 80.000 softwares cadastrados e foi eleito o melhor programa do gênero em uma comparação realizada pelo site ghacks.net
– Site oficial: http://www.updatestar.com
www.ricardojcsouza.com.br [email protected]
Windows Hardening
• SUMo
– SUMo (Software Update Monitor) mantém os programas do seu PC atualizados com as versões mais recentes
– O programa (gratuito) é um dos mais completos do gênero, analisando uma grande quantidade de softwares e informando sobre as atualizações
– Site Oficial: http://www.kcsoftwares.com/index.php?sumo
www.ricardojcsouza.com.br [email protected]
Windows Hardening
• Update Checker – Uma alternativa parecida com os gerenciadores de
pacotes para Linux é o FileHippo Update Checker
– O utilitário verifica os programas instalados em seu computador e mostra em uma página se já possuem novas versões disponíveis para download
– O Update Checker é gratuito, e exige a instalação prévia do Microsoft .NET Framework 2.0
– Site oficial: http://filehippo.com/updatechecker
www.ricardojcsouza.com.br [email protected]
Windows Hardening
• AppGet – O AppGet é um controlador de versões dos programas – Exibe uma lista de seus aplicativos instalados, notificando
sempre que uma atualização estiver disponível – Quando AppGet inicia, ele cria uma lista com todos os
aplicativos instalados e suas respectivas versões – Os dados recolhidos são submetidos (anonimamente) e
comparados com a base de dados online do AppGet – O utilitário é gratuito (FreeWare) e suporta os seguintes
sistemas operacionais: Windows 2000, Windows XP (32 bits) e Windows Vista (32 bits)
– Site oficial: http://www.app-get.com
www.ricardojcsouza.com.br [email protected]
Windows Hardening
• Secunia Personal Software Inspector – O Secunia Personal Software Inspector (PSI) é um
utilitário que monitora o nível de segurança do sistema, verificando se existem softwares e componentes inseguros
– Também informa como proceder para atualizar as aplicações
– O PSI não substitui outras medidas de segurança como anti-vírus ou firewalls
– Atua como um complemento, prevenindo exploração de falhas e evitando a exposição do sistema
– Site oficial: https://psi.secunia.com
www.ricardojcsouza.com.br [email protected]
Windows Hardening
• Firewall – Uma barreira de proteção, que controla o tráfego de
dados entre seu computador e a Internet (ou entre a rede onde seu computador está instalado e a Internet)
– Pontos de conexão entre duas redes não confiáveis que permitem que a comunicação entre elas seja monitorada e segura
– Objetivo: permitir somente a transmissão e a recepção de dados autorizados
– Existem firewalls baseados na combinação de hardware e software e firewalls baseados somente em software
www.ricardojcsouza.com.br [email protected]
Windows Hardening
• Firewall
– São localizados entre uma organização e o mundo externo (Internet)
– Também podem ser utilizados dentro de uma organização, com a finalidade de isolar diferentes domínios de segurança (também chamados de domínios administrativos)
• Um domínio de segurança consiste em um conjunto de máquinas sobre um controle administrativo comum, com políticas e níveis de segurança comuns
www.ricardojcsouza.com.br [email protected]
Windows Hardening
• Firewall – Podem ser implementados através de um
roteador, um PC (personal computer) com software especial, um sistema UNIX com esta capacidade ou um conjunto de hosts, todos configurados especificamente para proteger um site ou uma sub-rede de protocolos e serviços não confiáveis
– Soluções encontradas podem ser tanto baseadas em hardware quanto em software ou ambas
www.ricardojcsouza.com.br [email protected]
Windows Hardening
• Firewall – Tecnologias de projeto de firewall: a tradicional
(ou estática) e a dinâmica • Firewalls estáticos: o principal propósito (política) é
permitir qualquer serviço a menos que ele seja expressamente negado ou negar qualquer serviço a menos que ele seja expressamente permitido
• Firewall dinâmico: irá permitir ou negar qualquer serviço para quando e por quanto tempo for desejado
– Firewall apresenta habilidade de se adaptar ao tráfego e projeto da rede
www.ricardojcsouza.com.br [email protected]
Windows Hardening
• Firewall – Um firewall consiste, de maneira geral, dos seguintes
componentes: • filtro: também chamado de screen ou screening router,
bloqueia a transmissão de certas classes de tráfego, protegendo a rede interna contra ameaças
• gateway: máquina ou conjunto de máquinas que oferece serviços através de proxy
– A rede inabitada por este componente é chamada de Zona Desmilitarizada (DMZ - Demilitarized Zone) ou rede perimetral
– Muitas vezes, um gateway nesta zona é auxiliado por um gateway interno
www.ricardojcsouza.com.br [email protected]
Windows Hardening
• Firewall
– Uma máquina gateway exposta é frequentemente chamada de bastion host
– Existem três tipos principais de firewalls
• packet filtering
• application-level gateway
• circuit-level gateway
– Na prática, mais do que um tipo é usado ao mesmo tempo
www.ricardojcsouza.com.br [email protected]
Windows Hardening
• Packet Filtering – Sistemas packet filtering roteiam pacotes entre hosts
internos e externos de maneira seletiva
– Eles permitem ou bloqueiam certos tipos de pacotes, refletindo a política de segurança adotada pelo site
– Pacotes permitidos são roteados para o destino, ao passo que pacotes não permitidos ou suspeitos são descartados ou manipulados (ferramentas de rastreamento)
– O tipo de roteador utilizado nestes sistemas é conhecido como screening router
www.ricardojcsouza.com.br [email protected]
Windows Hardening
• Packet Filtering
– sistemas packet filtering devem apresentar as seguintes características:
• filtragem baseada nos endereços fonte e destino, nas portas fonte e destino, no protocolo, nos flags e/ou no tipo de mensagem
• filtragem realizada quando o pacote está chegando, quando o pacote está saindo ou ambos
• habilidade de desabilitar reprogramação a partir da rede, ou qualquer outra localização que não o console
www.ricardojcsouza.com.br [email protected]
Windows Hardening
• Sistemas packet filtering são úteis na definição de regras do tipo: – bloqueio todas as conexões oriundas de sistemas
localizados fora da rede interna • Exceto para conexões SMTP (simple mail transport protocol) que
chegam (ou seja, permita apenas o recebimento de mails) • Permita serviços FTP (file transfer protocol) e telnet • Bloqueio outros serviços tais como TFTP (trivial file transfer
protocol) e RPC (remote procedure call)
– Pelo simples fato de que certos serviços Internet residem em certos números de porta, isto permite que screening routers bloqueiem ou permitam certos tipos de conexão simplesmente especificando-se o número da porta • Por exemplo, porta 23 para conexões telnet
www.ricardojcsouza.com.br [email protected]
Windows Hardening
• Configurar um packet filtering consiste em um processo de três passos:
– Determinar o que deve e o que não deve ser permitido (política de segurança)
– Especificar formalmente os tipos de pacotes permitidos, em termos de expressões lógicas (regras)
– Reescrever estas expressões de acordo com o produto utilizado
www.ricardojcsouza.com.br [email protected]
Windows Hardening
• Suponha que a política de segurança de um site determine que todo o tráfego IP entre um host externo conhecido (endereço IP 172.161.51.50) e os hosts da rede interna (endereço IP 192.168.10) seja permitido – interno = 192.168.10.0
• As seguintes regras são derivadas:
between host 172.161.51.50 e net 192.168.10 accept; between host any and host any reject;
www.ricardojcsouza.com.br [email protected]
Windows Hardening
• Outra forma de filtragem é a filtragem de pacotes por serviço, na qual serviços geralmente associados a determinados números de porta são permitidos ou negados
• Estudar fluxos de pacotes nos quais:
– (1) um cliente local está se comunicando com um servidor remoto (outbound)
– (2) um cliente remoto está se comunicando com um servidor local (inbound)
www.ricardojcsouza.com.br [email protected]
Windows Hardening
• Para ambos os fluxos, deve-se especificar os endereços fonte e destino, o protocolo (TCP), as portas fonte e destino e as características do pacote (com ou sem ACK, para TCP), tanto para pacotes que chegam (incoming) quanto para pacotes que saem (outgoing)
www.ricardojcsouza.com.br [email protected]
Windows Hardening
• Application-Level Gateway – É um host que executa aplicações especiais, chamadas
proxy, as quais são responsáveis pela propagação de serviços para dentro da rede protegida
– O controle do tráfego entre a rede interna e a rede externa não confiável (como exemplo, Internet) é efetuado em nível de aplicação através de código especialmente escrito para cada serviço a ser disponibilizado, segundo requisitos próprios de segurança
– Somente serviços que possuam proxy conseguem passar pelo gateway
www.ricardojcsouza.com.br [email protected]
Windows Hardening
• A principal funcionalidade de um application-level gateway é a sua capacidade de controlar todo tráfego entre a rede interna e a rede externa
• Permite um completo monitoramento do sistema, o qual pode gerar informações sobre o uso de serviços e seu posterior armazenamento em um arquivo de log
www.ricardojcsouza.com.br [email protected]
Windows Hardening
• O servidor proxy é responsável por avaliar pedidos de serviços, podendo permitir ou negar tais pedidos de acordo com a política de segurança vigente
• o cliente "acredita" que está lidando diretamente com o servidor real e o servidor real "acredita" que está lidando diretamente com um usuário presente no application-level gateway
www.ricardojcsouza.com.br [email protected]
Windows Hardening
• Circuit-Level Gateway – Circuit-level gateway possui funcionalidade semelhante a
sistemas packet filtering, mas via aplicação – Responsável pela transmissão de conexões TCP – Pode possuir controles adicionais, tais como tempo limite
de utilização de uma porta e intervalo de tempo mínimo entre subsequentes usos de uma porta
– Todo o controle de conexões é efetuado com base no endereço fonte e portas fonte e destino
– Um cliente requisita um serviço através de uma porta fonte, sendo de responsabilidade do gateway a conexão com o destino e posterior propagação de bytes entre ambos
www.ricardojcsouza.com.br [email protected]
Windows Hardening
• Arquiteturas de Firewall
– packet filtering
– dual-homed host
– screened host
– screened subnet
• Obs: Não existe uma arquitetura dita universal, a qual resolve todos os problemas de segurança
www.ricardojcsouza.com.br [email protected]
Windows Hardening
• Packet Filtering
– utiliza-se exclusivamente de um roteador inteligente para proteger uma rede interna
– não requer que aplicações cliente e servidor sejam modificadas, mas é a arquitetura menos desejável como firewall
www.ricardojcsouza.com.br [email protected]
Windows Hardening
• Packet Filtering – desvantagens:
• uma falha de segurança do roteador compromete toda a rede interna
• o número de regras geralmente é limitado
• o desempenho pode ser comprometido em função do número de regras
• impossibilidade de modificar serviços através do tratamento de operações individuais
• complexidade de configuração e tratamento de exceções, dentre outras
www.ricardojcsouza.com.br [email protected]
Windows Hardening
• Dual-Homed Host – é implementada através de um host que possui
duas interfaces de rede, uma para a rede interna e outra para a rede não confiável
– Este host é a única porta de entrada para a rede interna, sendo acessível tanto por hosts internos quanto externos
– a função de roteamento é desabilitada e assim pacotes não conseguem ser roteados entre as redes, garantindo o isolamento de tráfego
www.ricardojcsouza.com.br [email protected]
Windows Hardening
• screened host – possui dois componentes
• screening router – atua com primeiro nível de defesa contra uma rede não confiável e é
responsável por restringir conexões de hosts externos que não sejam direcionadas a um host específico, chamado bastion host (segundo componente)
– É responsável por restringir certos tipos de conexão independente do host destino, por restringir que hosts internos abram uma conexão direta com a rede externa e por permitir que o bastion host abra alguns tipos de conexão com a rede externa
• bastion host – localizado na rede interna e portanto sem possuir interface com a rede
externa – é o único host da rede interna acessível por hosts externos – todo o tráfego entre a rede interna e externa deve passar primeiro pelo
bastion host, o qual utiliza funções em nível de aplicação para selecionar serviços (proxy)
www.ricardojcsouza.com.br [email protected]
Windows Hardening
• Screened Subnet
– adiciona uma camada extra de segurança que isola a rede interna de uma rede externa não confiável
– Tal camada (DMZ - Demilitarized Zone) abriga três componentes,
• dois roteadores
• um bastion host
www.ricardojcsouza.com.br [email protected]
Windows Hardening
• Stateful Inspection Firewall – Combina aspectos da packet-filtering, firewall,
circuit-level gateway e do application-level gateway
– Como o packet-filtering firewall, um stateful inspection firewall opera do nível de REDE até a camada de APLICAÇÃO do modelo OSI
– Filtra todas as entradas e saídas baseadas no endereço IP de origem e destino e no número de porta de origem e destino
www.ricardojcsouza.com.br [email protected]
Windows Hardening
• Firewall do Windows
– Anteriormente conhecido como Firewall de Conexão com a Internet ou ICF
– É uma barreira protetora que monitora e restringe as informações passadas entre o seu computador e uma rede ou a Internet
– Isso fornece uma defesa contra pessoas que podem tentar acessar seu computador de fora do Firewall do Windows sem a sua permissão
www.ricardojcsouza.com.br [email protected]
Windows Hardening
• Como funciona o Firewall do Windows – Quando alguém na Internet ou em uma rede tenta se
conectar ao seu computador, essa tentativa é chamada “pedido não solicitado”
– Quando o computador recebe um pedido não solicitado, o Firewall do Windows bloqueia a conexão
– Se você executar um programa como o de mensagens instantâneas ou um jogo em rede com vários participantes que precise receber informações da Internet ou da rede, o firewall perguntará se você deseja bloquear ou desbloquear (permitir) a conexão
www.ricardojcsouza.com.br [email protected]
Windows Hardening
• Como funciona o Firewall do Windows
– Você deverá ver uma janela semelhante a esta:
www.ricardojcsouza.com.br [email protected]
Windows Hardening
• Firewall – Existe uma quantidade grande de soluções firewall
disponível
– Para usuários domésticos que usam o sistema Windows, um dos mais conhecidos é o ZoneAlarm, que dispõe de uma versão gratuita e outra paga, com mais recursos
– Em ambos os casos, é possível utilizar configurações pré-definidas, que oferecem bons níveis de segurança
– O site para fazer o download do software é o www.zonealarm.com
www.ricardojcsouza.com.br [email protected]
Referências • FERGO, Fernando Birk Aka. Segurança do Windows: análise sobre as APIs,
parte 1. Disponível em http://www.fergonez.net/files/seguranca_win.pdf .
• RODRIGUES, Bernardo Maia. Windows Hardening. Disponível em http://www.csirt.pop-mg.rnp.br/docs/hardening/windows.html .
• CIFERRI, Cristina D. A. CIFERRI , Ricardo R. FRANÇA, Sônia V. A. Firewall.
• Lima, Marcelo. Nakamura, Emílio. Segurança de Redes e Sistemas. Versão 1.1.0. Escola Superior de Redes RNP:2007.
• MEDEIROS, Carlos Diego Russo. SEGURANÇA DA INFORMAÇÃO: Implantação de Medidas e Ferramentas de Segurança da Informação. Universidade da Região de Joinville – UNIVILLE, 2001.
• NIC BR Security Office. Cartilha de Segurança para Internet. Parte VII: Incidentes de Segurança e Uso Abusivo da Rede. Versão 2.0, 2003.
• NIC BR Security Office. Cartilha de Segurança para Internet. Parte II: Riscos Envolvidos no Uso da Internet e Métodos de Prevenção. Versão 2.0, 2003.
• FOROUZAN, Behrouz A. Comunicação de dados e redes de computadores. 4. ed. São Paulo: McGraw-Hill, 2008.
www.ricardojcsouza.com.br [email protected]
