Professor Conteudista: Dailson de Oliveira Fernandes
PERNAMBUCO, 2010.
CONTEÚDO PROGRAMÁTICO
5. Ferramentas de Proteção (Continuação)
5.1 Ferramentas de Proteção
5.1.1 Honeypot
5.1.2 Honeynet
5.1.3 VPN
5.1.4 Segurança em Profundidade
5.2 Ferramentas de Análise de Tráfego e Vulnerabilidades
5.3. Políticas de Segurança
5.3.1. Políticas
5.3.2. Instalação e Configuração Segura de Sistemas
5.3.3. Educação dos usuários
5.3.4. Equipes de administradores
5.3.5. Logs
5.3.6. Eliminação de protocolos sem criptografia
5.3.7. Políticas de backup e restauração de sistemas
5.3.8. Como manter-se informado
5.3.9. Precauções contra engenharia social
5.3.10. Uso eficaz de firewalls
5.3.11. Redes wireless
5.4. Segurança Física
INTRODUÇÃO
Olá pessoal!
Na semana passada, continuamos a abordar ferramentas de se de proteção a
sistemas computacionais. O foco maior foi a segurança em perímetros de rede. Foram
citadas as seguintes ferramentas:
• Proxy
• Firewall + Proxy (ProxyWall)
• Firewall de Rede
• IDS – Intrusion Detection System
• IPS – Intrusion Prevent System
Vamos continuar a ver alguns métodos mais complexos de proteção de redes e
algumas arquiteturas utilizadas em proteção de redes locais. Além disso, discutiremos
sobre conexão de redes locais através de túneis virtuais (VPN).
Também conheceremos ferramentas que identificam algumas vulnerabilidades,
ou seja, você vai conhecer alguns métodos de como achar alguns problemas e
sistemas e poder explorá-los. Mas não esqueça que você é será um Hacker na
definição da palavra, você poderá achar as vulnerabilidades e deverá corrigi-las e não
explorá-las.
Mas adiante iremos abordar algumas políticas de segurança, segurança física
da rede e um poderoso checklist de segurança.
Ao final desta semana você será capaz de:
• Conhecer diversas arquiteturas de segurança de rede;
• Usar algumas ferramentas de exploração de falhas;
• Conhecer as algumas ferramentas utilizadas em ataques a redes de
computadores;
• Instalar e usar algumas destas ferramentas;
• Aplicar alguns dos tipos de políticas de segurança e aplicar no seu ambiente
doméstico ou de trabalho.
Sempre Alerta, O Inimigo está próximo...! Boa leitura!
5. Ferramentas de Proteção (Continuação) 5.1 Ferramentas de Proteção
Finalizamos o capítulo 5 falando sobre os Sistemas de Detecção de Intrusos,
os IDS e os IPS. Já sabemos a função de cada um deles e algumas maneiras de
como eles podem ser instalados. Agora iremos conhecer mais algumas ferramentas
que podem ser utilizadas em perímetros de redes.
5.1.1 Honeypot
Honeypot = Pote de Mel
Ferramenta de estudos de segurança, onde sua função principal é colher
informações do atacante.
Elemento atraente para o invasor, ou melhor, uma iguaria para um hacker.
“Um honeypot é um recurso de rede cuja função é de ser atacado e comprometido
(invadido). Significa dizer que um Honeypot poderá ser testado, atacado e invadido.
Os honeypots não fazem nenhum tipo de prevenção, estes dispositivos fornecem
informações adicionais de valor inestimável” Lance Spitzner - 2003
É um sistema que possui falhas de segurança reais ou virtuais, colocadas de
maneira proposital, a fim de que seja invadido e que o fruto desta invasão possa ser
estudado.
A rede que é montada com essa intenção é chamada de Honeynet.
Como os números de IP dessa rede não são divulgados e nem os serviços
utilizados de forma real, os usuários só acham ela se utilizarem técnicas de varredura
de IP utilizando softwares chamados de scanners de rede.
5.1.2 Honeynet
Definição 1: uma Honeynet é uma ferramenta de pesquisa, que consiste de uma rede
projetada especificamente para ser comprometida, e que contém mecanismos de
controle para prevenir que seja utilizada como base de ataques contra outras redes.
Definição 2: uma Honeynet nada mais é do que um tipo de honeypot.
Especificamente, é um honeypot de alta interatividade, projetado para pesquisa e
obtenção de informações dos invasores. É conhecido também como "honeypot de
pesquisa"
Uma vez comprometida, a honeynet é utilizada para observar o comportamento
dos invasores, possibilitando análises detalhadas das ferramentas utilizadas, de suas
motivações e das vulnerabilidades exploradas.
Uma honeynet normalmente contém um segmento de rede com honeypots de
diversos sistemas operacionais e que fornecem diversas aplicações e serviços.
Também contém mecanismos de contenção robustos, com múltiplos níveis de
controle, além de sistemas para captura e coleta de dados, e para geração de alertas.
As principais funções de uma honeynet e honeypots são:
• detectar ataques internos;
• identificar varreduras e ataques automatizados;
• manter atacantes afastados de sistemas importantes;
• coletar assinaturas de ataques;
• detectar máquinas comprometidas ou com problemas de configuração;
• coletar código malicioso (malware).
A Honeynet é uma rede que abriga os honeypots. Os honeypot são servidores reais (ou virtuais) que
estão ali para capturar informações dos invasores. São servidores que tem IP real e todos os serviços
configurados. Porém estes servidores têm “armadilhas” para pegar o invasor, pegar números de IPs, hora
de acesso e comportamento. É uma rede completa, porém com a única intenção de atrair invasores e
descobrir o que realmente eles querem. Como na verdade a rede mais acima está mais protegida, a
honeynet é mais atrativa e com certeza os atacantes procurarão o que é mais fácil.
Fonte: Eriberto Mota – http://hlbr.sf.net
5.1.3 VPN
Rede Particular Virtual (Virtual Private Network - VPN) é uma rede de
comunicações privada normalmente utilizada por uma empresa ou um conjunto de
empresas e/ou instituições, construída em cima de uma rede de comunicações pública
(como por exemplo, a Internet).
VPNs seguras usam protocolos de criptografia por tunelamento que fornecem a
confidencialidade, autenticação e integridade necessárias para garantir a privacidade
das comunicações requeridas. Quando adequadamente implementados, estes
protocolos podem assegurar comunicações seguras através de redes inseguras.
Deve ser notado que a escolha, implementação e uso destes protocolos não é
algo trivial, e várias soluções de VPN inseguras são distribuídas no mercado. Adverte-
se os usuários para que investiguem com cuidado os produtos que fornecem VPNs.
Por si só, o rótulo VPN é apenas uma ferramenta de marketing.
Imagine que existe uma matriz e duas filias da empresa ABC em Pernambuco.
A Matriz fica em Recife e as Filiais em Belo Jardim e Salgueiro. Através de uma VPN é
possível ligar estas 3 filiais através da Internet (já que seria inviável puxar cabos de
recife para Belo Jardim e Salgueiro). Os dados são protegidos e criptografados e
virtualmente se cria um túnel na internet onde só passam dados da referida matriz e
suas filiais. Acompanhe na figura abaixo:
Note que a internet serve de estrutura para a VPN. Os dois servidores fecham o túnel, e o que passa por
dentro desse túnel virtual está criptografado e protegido, sendo uma maneira barata e viável de interligar
redes de empresas.
Fonte: Conteudista
As VPN são feitas utilizando protocolos seguros. Protocolos seguros são
aqueles que provê Criptografia e Descriptografia de Dados. Os mais utilizados
atualmente são: SSL (Secure Socket Layer) , TLS (Transport Layer Security) e IPSEC.
Fique de Olho:
Criptografia é uma maneira de embaralhar os dados para que seja
incompreensível caso alguém o intercepte no meio do caminho. Criptografia será
estudada na próxima semana.
Fim boxe
Saiba mais:
Protocolo de Segurança IP (IP Security Protocol, mais conhecido pela sua
sigla, IPSec) é uma extensão do protocolo IP que visa a ser o método padrão para o
fornecimento de privacidade do usuário (aumentando a confiabilidade das informações
fornecidas pelo usuário para uma localidade da internet, como bancos), integridade
dos dados (garantindo que o mesmo conteúdo que chegou ao seu destino seja a
mesma da origem) e autenticidade das informações (garantia de que uma pessoa é
quem diz ser), quando se transferem informações através de redes IP pela internet.
IPSec é um protocolo que opera sob a camada de rede (ou camada 3) do
modelo OSI. Outros protocolos de segurança da internet como SSL e TLS operam
desde a camada de transporte (camada 4) até a camada de aplicação (camada 7).
Isto torna o IPsec mais flexível, como pode ser usado protegendo os protocolos
TCP e UDP.
Fim boxe
5.1.4 Segurança em Profundidade
Uma boa prática de segurança de rede é de descentralizar serviços e fazer
com que seus servidores e ferramentas de segurança fiquem em profundidade, ou
seja, uma após a outra, fisicamente falando.
A idéia de descentralizar serviços é se caso um servidor seu seja invadido, apenas um
serviço seja comprometido. Veja o exemplo abaixo, uma arquitetura que jamais deverá
ser feita.
Note que existe apenas uma máquina para todos os serviços. Esta máquina além de sobrecarregada é
totalmente vulnerável por ter diversos serviços instalados ao mesmo tempo e ainda mais é um ponto
vulnerável crítico da rede, se esta máquina falhar, toda a rede e serviços ficarão fora do ar.
Fonte: Conteudista
Porém por economia existem diversas empresas fazendo este tipo de
arquitetura.
Outra idéia errônea é a de pensar em um serviço por máquina, porém são
disponibilizados de forma errada, sem um perímetro de proteção em DMZ.
Note que todos os servidores estão “de frente” com a internet, sem nenhuma proteção. Mesmo que cada
um tenha um firewall individual instalado, essa arquitetura é desaconselhável.
Fonte: Conteudista
A melhor prática é a de construir perímetros de rede. Servidores na DMZ, sem
acesso a rede local. A Rede local em outro perímetro, com acesso a DMZ e um ou
mais firewalls controlando acesso e se possível com IPS e IDS monitorando o tráfego.
Notem a defesa em profundidade. A Linha pontilhada delimita o perímetro protegido. A rede começa com
o roteador, após o IPS HLBR, após o Snort IDS, após o Firewall, que segmenta a DMZ, logo após um
Proxy e mais um IPS para monitorar as atividades do usuário.
Fonte: Eriberto Mota – http://hlbr.sf.net
Mais um exemplo de proteção em profundidade. Note que após o roteador temos o IPS HLBR, o Iptables
(firewall), o Snort, logo após o Proxy Squid e dele parte a DMZ. Veja também que não existe somente
proxy de http, veja que nessa arquitetura foi utilizado proxy para todos os serviços (Proxy DNS, Proxy
SMTP, Proxy POP3...), criando assim mais uma camada de proteção e fazendo com que os servidores
reais não tenham acesso direto dos clientes que vem da internet nem da rede local.
Fonte: Eriberto Mota – http://hlbr.sf.net
5.2 Ferramentas de Análise de Tráfego e Vulnerabilidades
Para um hacker prosseguir com um ataque ou uma invasão, mesmo que seja
para fins de estudo, é necessário que ele levante algumas informações que são super
importantes. Essa técnica de começar a levantar dados relevantes de um sistema é
chamada de Footprinting ou Probing.
Footprinting é a técnica utilizada pelos invasores para levantamento de
informações ou perfil do alvo, o footprinting é um dos 03 instrumentos utilizados em
um pré-ataque, os outros dois, são: varredura e enumeração.
Através do footprinting o atacante poderá levantar desde alguns dados
pessoais da vítima até perfil de redes, existem várias ferramentas utilizadas no
levantamento de informações, o próprio google é um exemplo, existe ainda
ferramentas como o whois, os sites archive.org e netcraft.com. Uma ferramenta bem
fácil e a mão é o Nslookup ou o dig, ou seja, a ferramenta é utilizada para consulta de
nomes de domínio nos servidores. Exibe informações que podem ser utilizadas para
diagnosticar o Domain Name System (DNS), infra-estrutura e ajudar a encontrar
endereços IP adicionais, registros de IP do servidor de email, e de outras máquinas.
Sistemas Unix e Windows vêm com um cliente nslookup.
Dados importantes que um Hacker quer levantar:
• Quantas máquinas existem na rede
• Qual a versão do Sistema Operacional de Cada uma
• Quais os IPs dessas máquinas
• Quais serviços estão rodando
• Que portas TCP/UDP estão abertas
• Se existe honeypots e honeynets
5.2.1 Varredura
Esse passo o hacker vai usar programas que procura computadores ativos na
rede através de ICMP (ping) e de portas aberta de serviços. É um dos passos mais
importantes, pois aparte desse ponto a tentativa de invasão se tomar rumo distinto.
5.2.3 Enumeração
Parte do trabalho de relacionar as portas abertas, versão de serviços.
Um dos melhores programas para fazer tal tarefa é o nmap. Veja o resultado de
um escaneamento simples do nmap apontada para uma máquina:
MAC Address: 00:30:48:61:55:5C (Supermicro Computer) Device type: general purpose Running: Microsoft Windows 2003 OS details: Microsoft Windows Server 2003 SP1 or SP2 Network Distance: 1 hop TCP Sequence Prediction: Difficulty=250 (Good luck!) IP ID Sequence Generation: Incremental Service Info: OSs: Windows, Windows XP Host 192.168.10.201 is up (0.00s latency). Interesting ports on 192.168.10.201: Not shown: 967 closed ports PORT STATE SERVICE VERSION 21/tcp open ftp Microsoft ftpd 23/tcp open telnet Microsoft Windows XP telnetd 42/tcp open wins Microsoft Windows Wins 53/tcp open domain? 80/tcp open http Microsoft IIS webserver 6.0 88/tcp open kerberos-sec Microsoft Windows kerberos-sec 135/tcp open msrpc Microsoft Windows RPC 389/tcp open ldap 445/tcp open microsoft-ds Microsoft Windows 2003 microsoft-ds 912/tcp open ssl/vmware-auth VMware Authentication Daemon 1.10 (Uses VNC) 1433/tcp open ms-sql-s Microsoft SQL Server 2000 8.00.2039; SP4 2967/tcp open symantec-av? 3389/tcp open microsoft-rdp Microsoft Terminal Service 8222/tcp open http Microsoft IIS webserver 6.0 8333/tcp open ssl/http Microsoft IIS webserver 6.0
Note que é possível descobrir IPs, Service Pack instalado, Versão do Sistema
Operacional, Portas TCP/UDP abertas e serviços disponibilizados.
A partir deste ponto, o hacker prossegue com outras técnicas para tentar
invadir o sistema.
5.2.4 Procura de falhas
Aqui o hacker vai usar as informações da enumeração para identifica possíveis
falhas nos serviços que estão rodando, eles usam também scanner de
vulnerabilidades para esse tipo de ato.
Na figura abaixo veja um diagrama de uma possível exploração e invasão.
Note que há vários passos a serem tomados. Essa figura não é um diagrama
definitivo, é apenas uma das idéias que se tem de como se prosseguem as invasões.
Fonte Dr. Jack- www.invasao.com.br
Saiba mais:
Brute Force: uma das técnicas mais antigas de tentativas de invasão de um
sistema é o ataque de força bruta. Consiste em “quebrar” (adivinhar) as senhas de um
usuário utilizando todas as combinações possíveis. Este tipo de ataque é demorado, e
requer um bom recurso computacional.
XSS: também conhecido como CSS (Cross Site Scripting, facilmente
confundido com Cascading Style Sheets) é uma vulnerabilidade muito comum
encontrada em aplicativos web. XSS permite ao atacante inserir códigos maliciosos
nessas páginas, para que sejam executados no momento em que tais páginas forem
acessadas.
Sniffing: é o procedimento realizado por uma ferramenta conhecida como
Sniffer (também conhecido como Packet Sniffer, Analisador de Rede, Analisador de
Protocolo, Ethernet Sniffer em redes do padrão Ethernet ou ainda Wireless Sniffer em
redes wireless). Esta ferramenta, constituída de um software ou hardware, é capaz de
interceptar e registrar o tráfego de dados em uma rede de computadores. Conforme o
fluxo de dados trafega na rede, o sniffer captura cada pacote e eventualmente
decodifica e analisa o seu conteúdo.
O sniffing pode ser utilizado com propósitos maliciosos por invasores que
tentam capturar o tráfego da rede com diversos objetivos, dentre os quais podem ser
citados, obter cópias de arquivos importantes durante sua transmissão, e obter senhas
que permitam estender o seu raio de penetração em um ambiente invadido ou ver as
conversações em tempo real.
O Termo Sniffer em inglês quer dizer “Farejar” e existem centenas de
farejadores na internet. Desde programas específicos como Sniffers MSN, que só
capturam todas as conversas de MSN de uma rede como até os mais generalistas
como é o caso do WIRESHARK.
Exploit: é um programa de computador, uma porção de dados ou uma
seqüencia de comandos que se aproveita das vulnerabilidades de um sistema
computacional – como o próprio sistema operacional ou serviços de interação de
protocolos (ex: servidores Web). São geralmente elaborados por hackers como
programas de demonstração das vulnerabilidades, a fim de que as falhas sejam
corrigidas, ou por crackers a fim de ganhar acesso não autorizado a sistemas. Por isso
muitos crackers não publicam seus exploits, conhecidos como 0days, e o seu uso
massificado deve-se aos script kiddies (aqueles que pensam que são hackers).
0day (ZeroDay): é uma gíria do submundo hacker utilizada quando uma
vulnerabilidade é descoberta e exploits são escritos mas os donos ou mantenedores
do programa comprometido ainda não sabe dessa falha. Como os proprietários dos
programas ainda não lançaram nenhum patch de correção e a vulnerabilidade
continua disponível, para eles esse é o dia ZERO, o dia do ataque.
Patch: “remendo em inglês” é uma correção, um programa (ou parte dele) que
corrige uma falha de um sistema. Em sistemas operacionais como Linux e Windows
esses patchs são baixados e instalados no sistema através do Windows Update ou o
Update do Linux. A Microsoft também usa o termo Service Pack, quando ela lança
uma grande quantidade desses programas que corrige falhas.
Banner: Geralmente quando se quer saber a versão de um sistema
operacional ou de um serviço, procuramos pelo Banner (algo como propaganda) do
fabricante do Software. Geralmente um banner traz versão, marca e outras
características do sistema. E é esses dados que interessam. Vejam exemplos de
banners abaixo:
OpenSSH 4.5p1 Debian 4.0 (protocol 2.0)
Acima é possível ver a versão do SSH (um servidor de acesso remoto usado
em linux), o sistema o qual ele está instalado “Debian” e a versão do protocolo “2.0”
220 <MailServer> Microsoft ESMTP MAIL service ready at <RegionalDay-Date-
24HourTimeFormat> <RegionalTimeZoneOffset>
Acima um banner de um servidor de email da Microsoft. Já é possível saber
que é Microsoft. Por eliminação é fácil deduzir que é um servidor Microsoft executando
um servidor de email da Microsoft.
Fim do boxe
Fique de Olho:
Existem na maioria dos programas recursos para esconder ou trocar o Banner
padrão. Por exemplo, poderia colocar no servidor acima que ao invés de Microsoft
ESMTP MAIL como Linux Postfix Mail Server, tentando enganar o invasor para que ele
se atrapalhe na escolha de ferramentas para explorar vulnerabilidades. Este recurso
de trocar ou esconder versões de sistemas é chamada de Segurança por
Obscuridade e é totalmente desaconselhável. Não se deve confiar que um hacker
não vá achar a versão verdadeira ou não irá achar um número de IP “difícil de ser
encontrado”. Os programas que fazem testes em sistemas está em um nível muito
mais avançado e técnicas não melhora nem provê segurança.
Fim do Boxe
5.2.5 Que ferramentas os Hackers usa para poder descobrir vulnerabilidades?
No tópico anterior citamos algumas como Sniffers, Exploits e Programas de
Força Bruta. Para quem quer enveredar no mundo da segurança da Informação, é
necessário que essas ferramentas sejam utilizadas e entendidas. Mas lembre-se que
essas ferramentas podem ser utilizadas para o bem e para o mal. Como diz a
campanha: “Use com moderação”.
Abaixo, uma lista dividida em categorias de algumas as principais ferramentas:
Fonte: Conteudista
Fonte: Conteudista
Fonte: Conteudista
Fonte: Conteudista
5.3. Políticas de Segurança
Além de ferramentas de segurança de computadores e de segurança de
perímetros de rede, é necessário que outros itens sejam observados. Vale à pena
lembrar que segurança não é igual a firewall ou IDS e IPS instalados. Segurança é
todo um conjunto de medidas que devem ser tomadas em conjunto em prol da
integridade de coisas que vão além dos dados. Uma segurança completa deve
contemplar itens como as procedimentos, máquinas, as pessoas, as informações e a
instituição. Vejam alguns itens que devem ser objeto de estudo e implantação em um
ambiente seguro.
5.3.1. Políticas
• elaboração de uma política de segurança, com apoio da administração da
organização;
• divulgação da política de segurança entre os usuários da rede;
• elaboração e divulgação de uma política de uso aceitável (AUP).
5.3.2. Instalação e Configuração Segura de Sistemas
a) Antes da instalação:
• planejamento dos propósitos e serviços do sistema;
• definição do particionamento do disco;
• provisão de mídias e documentação necessárias à instalação.
b) Durante a instalação:
• escolha de uma senha forte para o administrador;
• instalação do mínimo de pacotes, com o sistema fora da rede;
• documentação da instalação no logbook (um livro ou arquivo onde você anota
dados importantes)
c). Após a instalação:
• desativação de serviços instalados e não utilizados;
• instalação de correções de segurança;
• configuração do proxy Web, ajustando os controles de acesso.
5.3.4. Antes de conectar o sistema em rede:
• verificação das portas TCP/UDP abertas, usando um comando como o
netstat -a;
• ajuste nas regras de firewall apropriadas, para liberar o tráfego para o novo
sistema.
5.3.3. Educação dos usuários:
• divulgação de documentos de educação do usuário, sobre segurança de redes,
como por exemplo a "Cartilha de Segurança para a Internet", disponível em
http://www.nbso.nic.br/docs/cartilha/.
5.3.4. Equipes de administradores:
• criação de listas de discussão para a comunicação entre os administradores de
redes e sistemas da organização;
• estabelecimento de procedimentos e/ou instalação de ferramentas para
controle de alterações na configuração dos sistemas;
• estabelecimento de procedimentos e/ou instalação de ferramentas que
permitam um controle sobre a utilização de contas privilegiadas (root e
Administrador).
5.3.5. Logs:
• habilitação do log em sistemas e serviços;
• estabelecimento de um procedimento de armazenamento de logs;
• instalação e configuração de um servidor de log centralizado;
• estabelecimento de um procedimento de monitoramento de logs;
• instalação de ferramentas de monitoramento automatizado e de sumarização
de logs.
5.3.6. Eliminação de protocolos sem criptografia:
• Usar de preferência protocolos de acesso remoto criptografado como o SSH.
• substituição de POP3 e IMAP sem criptografia por soluções de email com
criptografia (POP3 ou IMAP sobre SSL, Webmail sobre HTTPS).
5.3.7. Políticas de backup e restauração de sistemas:
• definição da periodicidade dos backups;
• definição dos dados que devem ser copiados;
• escolha de um local adequado para o armazenamento dos backups;
• estabelecimento de um procedimento de verificação de backups;
• estabelecimento de um procedimento para a restauração de sistemas a partir
do backup.
5.3.8. Como manter-se informado:
• inscrição nas listas e fóruns de anúncios de segurança dos fornecedores de
software e/ou hardware;
• inscrição nas listas de administradores e/ou usuários dos produtos usados na
sua rede;
• inscrição na lista de alertas de segurança do CERT/CC:
http://www.cert.pt/modules.php?name=Your_Account&op=userinfo&uname=CE
RT.CC
5.3.9. Precauções contra engenharia social:
• treinamento de usuários e administradores contra possíveis tentativas de
descoberta de informações sobre a rede da organização;
• busca e remoção de documentos que contenham tais informações e que
estejam disponíveis nos servidores de rede;
• preservação de informações sensíveis ao solicitar auxílio em fóruns públicos na
Internet.
5.3.10. Uso eficaz de firewalls:
• escolha de um firewall que rode em um ambiente com o qual os
administradores estejam acostumados;
• instalação de firewalls em pontos estratégicos da rede, incluindo,
possivelmente, firewalls internos;
• uso de uma DMZ para confinamento dos servidores públicos;
5.3.11. Redes wireless:
• definição de uma política de Uso da Rede Wireless;
• posicionamento cuidadoso dos APs visando minimizar o vazamento de sinal;
• uso de criptografia na rede;
• mudança da configuração default dos APs (senhas, SSID, SNMP communities,
etc);
• proteção dos clientes wireless (aplicação de patches, uso de firewall pessoal,
antivírus, etc.);
• monitoração da rede wireless.
Fique de olho:
Esta listagem foi adaptada de:
http://www.cert.br/docs/seg-adm-redes/seg-adm-chklist.html
Para ver a versão completa, acesse o site acima.
Fim do boxe
5.4. Segurança Física
Um dos itens que também deve ser observado é a segurança física da instituição.
Se a segurança for apenas lógica como impedir que um invasor em potencial não
tenha acesso físico a máquina ou a um firewall? Além de prover segurança lógica para
todo o sistema computacional, uma empresa deve se preocupar com acesso físico,
níveis de acesso a salas, computadores, setores e informações.
Estatísticas do FBI (Serviço Secreto Americano) informam que 72% dos roubos,
fraudes, sabotagens e acidentes são causados pelos próprios funcionários de uma
organização. Outros 15% ou 20% são causados por terceiros ou consultores que
foram formalmente autorizados a acessar as instalações, sistemas e informações.
Apenas 5% a 8% são causados por pessoas externas da organização. Devem ser
relevados itens como:
• Controle de acesso físico com senhas, cartões magnéticos, biometria;
• Monitoramento por câmeras;
• Avaliação da segurança de grades, muros e portas;
• Monitoração por uma empresa de segurança privada;
• Guardas no local 24x7 (24 horas por dia nos 7 dias da semana);
• Identificação dos funcionários através de crachás;
Adotar Controles ambientais que contemplem planos de contingência para:
• Fogo;
• Explosivos;
• Fumaça;
• Água;
• Poeira;
• Vibração;
• Interferência Elétrica;
• Falta de Energia.
Elaborar um plano de emergência que contemple até catástrofes naturais como
inundações e terremotos. O que fazer se todo um prédio onde fica o CPD (Centro de
Processamento de Dados) de uma empresa pegar fogo? Ou se uma inundação
queimar todos os computadores e ativos de rede? Se todas as fitas, CDs e DVDs de
backup forem danificados? Além de cuidados com extintores, sistemas anti-incêndio
tem que se pensar em replicar dados em locais fisicamente diferentes. Quem
imaginaria que as duas torres do World Trade Center em Nova York iria ser alvo de um
ataque terrorista? Muitos profissionais precavidos, mesmo sem imaginar que dois
aviões destruiriam aqueles prédios, tinham backups de seus dados em outros locais.
Após levantamento, criação de documentos, treinamentos dos funcionários e
investimentos na área de segurança física e ambiental, cabe ao Security Officer e a
sua equipe, fazer testes constantes de quebra de todos os itens de segurança, criando
situações com pessoas contratadas ou com ajuda de alguns funcionários de sua
inteira confiança. Estes tipos de testes visa provar os planos de contingência e saber
se realmente o plano de segurança está funcionando. Mas não vá tocar fogo no prédio
nem inundar salas pra ver se está tudo certo. OK???
RESUMO
Um honeypot é uma ferramenta de estudos de segurança, onde sua função
principal é colher informações do atacante.
Uma Honeynet é uma ferramenta de pesquisa, que consiste de uma rede
projetada especificamente para ser comprometida, e que contém mecanismos de
controle para prevenir que seja utilizada como base de ataques contra outras redes.
Uma VPN é uma rede de comunicações privada normalmente utilizada por uma
empresa ou um conjunto de empresas e/ou instituições, construída em cima de uma
rede de comunicações pública (como por exemplo, a Internet).
Um dos protocolos mais utilizados em uma VPN é o IPSEC.
O SSL e o TLS também são utilizados para criptografar dados.
Uma das melhores práticas de segurança da informação é a de colocar
servidores em profundidade.
Uma das ferramentas iniciais um que um hacker usa para invasão é um sniffer
de rede. Com esta ferramenta ele consegue realizar a técnica de Probing ou
Footprinting.
Footprinting é a técnica utilizada pelos invasores para levantamento de
informações ou perfil do alvo, o footprinting é um dos 03 instrumentos utilizados em
um pré-ataque, os outros dois, são: varredura e enumeração.
Varredura: ação que procura computadores ativos na rede através de ICMP
(ping) e de portas aberta de serviços. É um dos passos mais importantes, pois aparte
desse ponto a tentativa de invasão se tomar rumo distinto.
Enumeração: Parte do trabalho de relacionar as portas abertas, versão de
serviços.
Uma excelente ferramente para fazer Scaneamento e Probing de uma rede é o
nmap.
Uma das técnicas conhecidas de “descobrir” senhas é o Brute Force.
Um dos ataques mais conhecidos é o XSS. O ataque XSS permite inserir
códigos maliciosos em páginas web, para que sejam executados no momento em que
estas páginas forem acessadas.
0day (ZeroDay): é uma gíria do submundo hacker utilizada quando uma
vulnerabilidade é descoberta e exploits são escritos mas os donos ou mantenedores
do programa comprometido ainda não sabe dessa falha. Como os proprietários dos
programas ainda não lançaram nenhum patch de correção e a vulnerabilidade
continua disponível, para eles esse é o dia ZERO, o dia do ataque.
Vale a pena lembrar que segurança não é igual a firewall ou IDS e IPS
instalados. Segurança é todo um conjunto de medidas que devem ser tomadas em
conjunto em prol da integridade de coisas que vão além dos dados. Uma segurança
completa deve contemplar itens como as procedimentos, máquinas, as pessoas, as
informações e a instituição.
Toda empresa deve investir em Políticas de Segurança e segui-las
rigorosamente.
Dentre muitos itens de uma políticas de segurança, devemos estar cientes de:
• Procedimentos de instalação (Antes, durante e depois da tarefa);
• Educação dos usuários;
• Regras para uso da internet;
• Função da equipe de administradores
• Leitura dos Logs;
• Eliminação dos protocolos sem criptografia
• Políticas de Backup;
• Políticas de Restauração de backups;
• Uso de Firewalls;
• Uso da rede wireless
A Segurança Física é um ítem que deve ser observado e praticado pelas
empresas.
Faz parte da Segurança Física, cuidados específicos com:
• Fogo;
• Explosivos;
• Fumaça;
• Água;
• Poeira;
• Vibração;
• Interferência Elétrica;
• Falta de Energia.
Referências bibliográficas:
Alguns textos deste capítulo tem a seguinte referência: “Texto extraído da Cartilha de Segurança para Internet, desenvolvida pelo CERT.br, mantido pelo NIC.br, com inteiro teor em http://cartilha.cert.br” Lista de Ferramentas, Compilada originalmente por Luis Vieira – Lista origninal em: http://www.vivaolinux.com.br/artigo/Ferramentas-de-seguranca-uma-pequena-compilacao/ http://www.cert.br/docs/seg-adm-redes/seg-adm-chklist.html http://drkmario.blogspot.com/2005/08/o-que-um-honeypot.html http://www.cert.br/docs/whitepapers/honeypots-honeynets/ http://www.invasao.com.br/2009/07/31/footprinting-seguranca-da-informacao/ http://under-linux.org/b144-footprinting
http://imasters.uol.com.br/artigo/9879/seguranca/xss_-_cross_site_scripting/ http://www.ccuec.unicamp.br/revista/infotec/admsis/admsis8-1.html http://epx.com.br/artigos/openvpn_ipsec.php
http://www.cert.br/docs/seg-adm-redes/seg-adm-chklist.html
Fernandes, Dailson. Análise do sistema de detecção de intruso reativo HLBR - Hogwash Light Brasil como IPS para a Segurança em Redes de Computadores. Monografia – Universidade Católica de Pernambuco - 2007
Santos, Bruno. Detecção de intrusos utilizando o Snort. Monografia de Pós-Graduação. Monografia - Universidade Federal de Lavras, Lavras - MG, 2005.
Cartilha de Segurança da Internet, http://nic.br , http://cert.br e http://cartilha.cert.br Araújo, André Bertelli - Filho, João Eriberto Mota “HLBR – O Emprego de uma bridge como IPS para a segurança em redes de computadores” - http://www.eriberto.pro.br , http://bertelli.name Ferreira, Fernando Nicolau Freitas – Segurança da Informação. Editora Ciência Moderna. 1ª Edição.
Recommended
