Embed Size (px)
Citation preview
Professor Emiliano S.
Monteiro
Segurança e auditoria de sistemas
Administração de redes Administração Pró-Ativa: • o administrador de redes deverá manter um cronograma de checagens periódicas de sua
rede para saber como “andam as coisas” e não ter surpresa. • Apenas ver o que está acontecendo não é o suficiente, existem hoje no mercado
diversas ferramentas que podem monitorar deste hosts, trafego, estações de usuário, etc e fornecer ao administrador relatórios sofisticados sobre o uso da rede.
• Vale a pena lembrar que estas ferramentas são caras, leva tempo para configurá-las e mais tempo ainda para interpretar a grande quantidade de informação que elas podem coletar dos objetos monitorados.
• Grandes empresa geralmente por possuírem um orçamento maior podem se dar o luxo de ter um profissional voltado exclusivamente para a monitoração da rede além do uso de agentes.
Open source: Nagios visuação em 3d! Zabbix -- certificação Cacti OpenNMS
Agentes podem ler dados em bancos MIB e responder o protocolo SNMP, respondem trap (alarmes).
Administração de redes Administração reativa:
• Realiza ações após a ocorrência dos problemas. • O administrador de redes esta sempre apagando incêndios. • A Empresa geralmente é pequena e este personagem esta sempre carregado
de tarefas que não deveria ser de sua competência como: dar suporte ao usuário, tirar dúvidas por telefone ou no local, dar manutenção em máquina do usuário, ajudar o chefe na sua apresentação no powerpoint pois a secretária faltou, etc.
• Resumindo: não importa o motivo, o administrador de redes nunca tem tempo para ler logs, instalar software de monitoração nem orçamento para isto, estão quando um problema acontece ele tem tentar resolver na hora.
• Com relação a segurança tem dificuldades em saber se já foi atacado ou se está sendo atacado agora.
Administração de redes Com relação a segurança estes dois estilos de administração acarretam o seguinte: a) o hacker tem mais trabalho para entrar em redes com administração pró-ativa, acontece o oposto nas redes com administração reativa; b) as redes com administradores reativos só ficam sabendo que foram atacados muito tarde e depois não condições de se defenderem ou realizar uma investigação pós-ataque; c) as redes com administração pró-ativa, sempre guardam logs de todas as atividades e incluem o uso de agentes, firewalls e IDS. e) É comum a terceirização da análise de segurança da informação por um agente externo ao ambiente da organização.
Algumas tarefas do administrador de redes Diariamente o administrador de sistemas deverá realizar pelos menos algumas das
seguintes tarefas: 1. - Gerenciamento de contas de usuários: criar contas, deletar contas, desabilitar
temporariamente contas de usuários, configurar contas para que os usuários possam realizar o login sob determinadas condições, etc...
2. - Adicionar/remover hardware de servidores: Manter o servidor atualizado, como por exemplo: instalar novos discos rígidos
3. - Adicionar/remover hardware de rede (roteadores, hubs, switch, etc): manter a rede atualizada, troca de hubs, switchs, etc
4. - Realizar Backups, realizar o backup de dados considerados importantes tanto para os usuários como para o funcionamento do sistema
Plano de contingência (Plano B)
Algumas tarefas do administrador de redes 5. - Instalar/atualizar novo software no servidor, montar software do sistema
atualizado e softwares usados pelos usuários 6. - Monitoramento do sistema (rede e/ou servidor): realizar atividade de
monitoramento dos servidores, redes, estações, etc conforme definido em política de segurança
7. - Resolver problemas no servidor/rede: daemons (serviços) que não estão bem configurados, etc...
8. - Coletar dados para Auditoria: tarefa esta que deverá ser realizada de acordo com o que está escrito na política de segurança da empresa.
9. - Manter documentação da rede (hosts, topologia, etc): o administrador da rede não será sempre funcionário eterno e presente, um dia ele pode sair da empresa ou ficar doente, alguém deve entender como a rede funciona
10. - Ajuda aos usuários, em pequenas empresa, nas grandes empresa existe um grupo de suporte aos usuários.
Microsoft Sytem Center
http://www.uc-solutions.net/system-center-family/
O que é controle de permissão?
• Permissão: “... Ato de permitir; consentimento; dar licença...“. • Permissões podem controlar o que os usuários podem acessar
(sejam comandos, processos ou arquivos/diretórios) • Portanto permissão pode ser definida como o controle sobre a
forma como os objetos do sistema podem ou não se relacionar (quem pode acessar o que? Para fazer o que?).
• Sempre que um usuário tentar acionar um processo (por exemplo um editor de texto), este novo processo deverá herdar as características de segurança deste usuário, para isto serve o Security Token (exemplo: crácha), para identificar a origem.
• Um vez que o processo do usuário foi acionado e devidamente identificado, este poderá acessar outros objetos (por exemplo um arquivo texto), é neste momento que a verificação de permissão deve ocorrer. Uma lista de controle de acesso atrelada ao objeto alvo é usada para verificar as permissões do usuário.
• Nesta Lista de Controle de Acesso (ACL) estão inseridas as entradas (regras) que controlam o acesso a objeto alvo, primeiro as regras que negam acesso a posteriormente as que permitem, a identificação de usuário e grupo usado pelo processo editor de texto (no nosso exemplo) é verificada nesta lista, caso seja encontrada, por exemplo apenas permissão de leitura, o editor de texto não pode realizar outra operação que não seja leitura.
O que é controle de permissão?
A ordem como as entradas são apresentadas na lista é de grande importância, similar a regras em um firewall, se uma regra diz que A não tem acesso a B, então mais à frente não poderá haver uma regra dizendo que A tem acesso B, isto invalidaria a primeira regra. As ACL podem ser vistas como listas (mais fácil pensar em tabela), ou melhor... cada linha da relação (lista) é um tipo de restrição ou proteção.
O que é controle de permissão?
Controle de permissão Inicio
Usuário inicia
um processo
Associa dados do SecurityToken
para o processo do usuário
Chama objeto
desejado
Comparação dos dados do
Processo com ACL do Objeto
Nega acesso
ao objeto
Permite acesso
ao objeto
Fim
Envia cópia de
dados do
SecurityToken
Ler ACL do
Objeto
Controle de permissão
Permissão baseada em ACL
ACE
Usuário
Processo
(processo
ativado pelo
usuário, ex:
editor)
Security
Token
Usuário1
Usuário2
Usuário3
Direitos de Acesso
Direitos de Acesso
Direitos de Acesso
Objeto
ACL
ACL é o mais popular, usado em sistemas de
arquivos como o Linux e NTFS (Windows)
FAT não tem ACL !
2
Access Control Entry (entrada de controle de acesso) (“registros”)
Controle de permissão
Permissão baseada em Capacidade
Processo
Descritor de
segurança
Direitos de
Acesso
Objeto alvo
Controle de permissão
Exemplos de uso de “Capability-based security” Sistemas baseados em capacidade: https://fuchsia.googlesource.com/fuchsia/ https://www.cs.vu.nl/pub/amoeba/amoeba.html
IDS • Intrusion Detection System, ou melhor, sistema de detecção de intrusão. • Estas são as ferramentas que vão monitorar o tráfego de rede rede analisando tudo o que
acontece, que tipo de trafego esta circulando, e que eventos ocorrem dentro da rede. • Determinados IDS usam recursos de inteligência artificial para prever e detectar
comportamentos que podem ser ataques e notificar os administradores de redes. • Os IDS geralmente devem compara eventos que ocorrem na rede com regras (ou melhor
condições) que você estabelece e com condições típicas de um ataque para que possam perceber o que esta ocorrendo e alertar o responsável.
• As formas de alerta e envio de notificação são bastante variadas mudando de fabricante para fabricante, uma forma simples se dá pelo envio de email para o administrador de rede informando sobre um ataque ou anomalia no uso da rede.
• Basicamente existe duas classificações para os sistemas que realizam detecção de intrusão: as baseadas em sensores de redes individuais e os sensores instalados em servidores ou estações.
• Uma máquina dedicada a ser IDS monitora um dado segmento de rede, já um sensor instalado em um computador (seja ele cliente ou servidor) monitora as portas, arquivos e processos que rodam na máquina.
REV
ISÃ
O D
E R
EDES
!!
IDS R
EVIS
ÃO
DE
RED
ES !
!
Firewalls • Uma solução (seja ela de software ou hardware) para realizar a filtragem de
pacotes e/ou conteúdo que entra e saí de uma rede, servido como o único ponto (ou melhor, um portão) de entrada e saída de trafego entre a rede privada da empresa e a rede externa (Internet), realizando o controle de tráfego consultando regras internas.
• Basicamente dois tipos são interessantes: Firewall que realizam filtragem de pacotes e os Gateway Firewall (ou Application Firewall).
• Os Gateway Firewall também são chamados de Application Firewall por rodar na camada de aplicação (Proxy firewalls).
• Os firewall tipo filtro de pacotes trabalham na camada de rede. • A diferença entre eles está na camada em atuam. • Os filtros de pacotes são os mais simples de serem implementados, mais baratos
e mais fáceis de serem configurados. • Os Firewalls de aplicativos, podem apresentar uma certa dificuldade para serem
implementados más são uma das melhores opções quando se trata de filtragem de conteúdo, etc.
REV
ISÃ
O D
E R
EDES
!!
Firewalls • Um dos maiores problemas dos Firewall é com relação a filtragem de conteúdo
ativo, pois toda empresa acaba liberando a porta 80 de sua rede para ter acesso a sites da web com páginas html, más ai começam os problemas os usuários podem acabar caindo em um site com páginas com scripts mal intencionados (ou outro tipo de script) e comprometer a segurança da máquina cliente do usuário.
• O firewall não é uma solução única e imediata para os problemas de segurança das redes de computadores.
• As diversas soluções existentes de firewalls no mercado podem ser customizadas e frequentemente podem trabalhar em conjunto.
• É possível uma empresa adotar um tipo de firewall para proteger um sub-rede interna e adotar outro tipo de firewall de outro fabricante para a rede externa e ainda colocar um ou dois tipos de firewalls em estações de usuários ou deixá-los escolher qual interface de firewall para estação é mais amigável.
REV
ISÃ
O D
E R
EDES
!!
Firewalls R
EVIS
ÃO
DE
RED
ES !
!
Firewalls R
EVIS
ÃO
DE
RED
ES !
!
Servidor antivírus
Firewall de banco de dados
Cam
adas
da
segu
ran
ça d
e re
des
DMZ (zona desmilitarizada)
Exemplo: www.pontodeensino.com
1. Sondagem de alvo
2. Identificar furos
3. Organização de dados
4. Acesso não autorizado
5. Coleta de dados internos
6. Organização de dados
7. Cópia de dados, deleção, adulteração
8. Instalação de backdoors
Modus operadis
Pré identificação do que será atacado com coleta de informações em fontes externas
Execução de programas que identificam vulnerabilidades
Separar dados, listar, categorizar, priorizar
Solicitações de acesso não autorizada, tentativas e falhas de acesso ao sistema, via força bruta, estouros de buffers e travamentos de partes do sistema, sniffing
Listagem de diretórios, inspecionar página e contas de usuários,
Separar dados, listar, categorizar, priorizar
Cópia de dados do sistema atacado, deleção de dados/informações, adulteração de dados/informações, inclusive adulteração de arquivos de log
Instalação de programas que criem portas de acesso para posterior retorno bem como contas falsas e processos de inicialização e finalização do sistema que permitam que trojans possam ficar rodando coletando dados ou pelo menos avisando os hackers quando a máquina fica online
Modus operadis
• Modus operandis é o jeito habitual ou rotineiro de fazer determinadas coisas.
• É um maneira característica de realizar algo. • É uma frase em latim que significa a forma repetitiva e já
esperada que alguém tem de realizar algumas tarefas. • A polícia usa o termo Modus Operandis para designar
métodos e técnicas que podem ser reconhecidas de um determinado criminoso como se fossem uma assinatura.
