Segurança de Redes

Segurança de Redes- Arquitetura

Cássio Alexandre Ramos cassioaramos (at) gmail (dot) com http://www.facebook.com/cassioaramos http://cassioaramos.blogspot.com

27/12/11 2

Sumário

Introdução

Requisitos Básicos e Projeto de Defesa

Segurança de Backbone

Segurança de Desktop e Rede Local

Ameaças e Tipos de Ataques

Segurança de Perímetro

Metodologia de Ataque

27/12/11 3

Introdução

Por que Segurança? Estamos cada vez mais dependentes dos sistemas de informação

A Internet é vulnerável – foi concebida utilizando protocolos inseguros

Segurança não está somente relacionada com invasão de sistemas

27/12/11 4

Pesquisa Nacional de Segurança da Informação [Modulo 2004]:

•  42% das empresas tiveram problemas com a Segurança da

Informação; •  35% das empresas reconhecem perdas financeiras. 65% das

empresas não conseguiram quantificar essas perdas; •  Vírus, Spam, acessos indevidos e vazamento de informações

foram apontados como as principais ameaças à segurança das informações nas empresas;

•  O percentual de empresas que afirmam ter sofrido ataques e invasões é de 77%;

•  26% das empresas não conseguem sequer identificar os responsáveis pelos ataques; e

•  58% dos entrevistados sentem-se inseguros para comprar em sites de comércio eletrônico.

27/12/11 5

Requisitos Básicos da Segurança

Integridade

Disponibilidade

Confidencialidade

-  Confidencialidade -  Integridade -  Disponibilidade

27/12/11 6


Confidencialidade: Certeza que somente as pessoas autorizadas a acessar os dados podem acessá-los

Integridade: Certeza que os dados não foram alterados - por acidente ou intencionalmente

Disponibilidade: Certeza que os dados estão acessíveis quando e onde forem necessários

27/12/11 7


"   Elementos Utilizados para Garantir a Confidencialidade "   Criptografia dos dados "   Controle de acesso

"   Elementos para garantir a Integridade "   Assinatura digital "   MD5- hash

"   Elementos para garantir a Disponibilidade "   Backup "   Tolerância a falhas "   Redundância

27/12/11 8

Projeto de Defesa

Como se Defender?

Prevenção – mecanismos que devem ser instalados no sistema para evitar ataques

Detecção – como detectar os ataques. Como saber se estão acontecendo

Resposta – como responder aos ataques

Política de Segurança – formalização e sistemas que implementam a política

27/12/11 9

Projeto de Defesa

Defesa em Profundidade Principio do Menor Privilégio

Múltiplas barreiras entre quem ataca e o recurso que se quer proteger

Quanto mais fundo o atacante quer chegar, mais difícil será

Aumentar o custo do ataque

O principal da defesa em camadas é que um componente complemente o outro formando um sistema mais seguro

27/12/11 10

Ameaças e Tipos de Ataque

Ameaças

Backdoors, bots, exploits, Trojans, malwares etc

Virus, Worms, Spams, Hoax, fishing scam etc

Hackers, Crackers, Defacers, spammers, funcionários, ex-funcionários

Falhas (vulnerabilidades) em S.O, aplicativos e protocolos

27/12/11 11


Tipos de Ataques Hijacking, cracking, scanning, sniffing, spoofing, buffer overflow, defacing etc.

27/12/11 12


Tipos de Ataques

DOS e DDOS

Engenharia Social- Kevin Mitnick

27/12/11 13

Segurança de Perímetro

"   Fronteira fortificada da sua rede de dados "   Deve incluir alguns elementos de proteção

Perímetro

27/12/11 14

Elementos de Segurança de Perímetro

Elementos de Segurança de Perímetro "   Firewall "   VPN "   Zona Desmilitarizada (DMZ) "   Host Hardening "   Intrusion Detection System (IDS) "   Network Address Translation (NAT) "   Analisadores de Conteúdo "   Analisadores de Logs

27/12/11 15

Firewall

•  Dispositivo (hardware + software) que possui regras específicas que permitem ou bloqueiam o tráfico

•  Mensagens que entram ou saem da rede devem ser examinadas pelo firewall, que toma ações de acordo com critérios de segurança especificados

•  Barreiras de segurança entre a intranet e a Internet para proteger a rede interna contra acessos não autorizados

•  Estático: Filtro de pacotes •  Stateful: memoriza as conexões para uma melhor análise •  Proxy de Aplicação e Proxy Reverso

27/12/11 16

Filtro de Pacotes

Filtro de Pacotes Determina se o pacote tem permissão para entrar ou sair da rede de acordo com informações localizadas no cabeçalho do pacote

Cabeçalho de pacote é um pequeno segmento de informação que é colocado no início do pacote para indentificá-lo

Amplamente usado nos roteadores de borda ou de perímetro

27/12/11 17

Stateful Firewall

Filtro de Pacotes Statefull

Examina o cabeçalho dos pacotes

Se pacote é permitido pelas regras- informações são armazenadas em uma tabela de estado

A partir daí todas as comunicações naquela sessão são permitidas

27/12/11 18

Usando filtros de pacote IP

Servidor Web

HTTP

Outros Protocolos

Cliente

27/12/11 19

Firewall

LAN

LAN

LAN

Internet

Firewall

Endereço/Serviço Autorizado

Endereço/Serviço não Autorizado

27/12/11 20

Proxy de Aplicação

O que é?

"   Procurador "   Atua no nível da aplicação- orientado a aplicação "   Geralmente, o cliente precisa ser modificado- não é transparente "   Funciona como acelerador

Proxy Cache

Web Server

27/12/11 21


Por que usar? "   Autenticação de usuário "   Inspeção de Conteúdo "   Cache "   Registro de Acessos "   Esconde detalhes da rede interna

Proxy Cache

Web Server

27/12/11 22


Proxy Web Server

1

3

6

2

5

4

Verifica …

User autorizado?

Protocolo permitido?

Destino autorizado?

27/12/11 23

Hierarquia de Proxies

Internet

LAN2 Matriz

LAN1

1

3 5

6

2 4

27/12/11 24

Registro de Acessos

Registra o uso da Internet por usuário

Registro em texto bruto pode ser analizado

Pode ser utilizado para detectar alguns tipos de vírus e adwares

27/12/11 25

Analisador de Logs

Perfil de Acesso

27/12/11 26

Proxy Reverso

3

Web Server

DNS Server

Proxy R

5

4

2

6

1

Verifica …

Request é permitido?

Protocolo permitido?

Destino permitido?

27/12/11 27

Intranet

Router B

Parceiro1 Parceiro2 Parceiro3

Firewall Firewall Proxy

Internet

INTRANET

LAN1

LAN2

LAN3

LAN4

LAN5

27/12/11 28

VPN – Virtual Private Network

•  A idéia é utilizar a estrutura pública, com as mesmas facilidades de uma rede privativa

•  Permite que usuários externos acessem a rede interna com segurança

•  Canal protegido que cruza um canal desprotegido Ex. Internet

27/12/11 29


Internet

Usuário remoto

ISDN Cable DSL Site central

Server

Site Remoto

Site Remoto

27/12/11 30


n LAN to LAN n  Extranet VPNs – interligam escritórios remotos, clientes, fornecedores e parceiros utilizando a estrutura pública

n Acesso Remoto n  Interliga com segurança usuários remotos à intranet corporativa

Tipos de VPN

Site Remoto

27/12/11 31


Servidor VPN

Servidor VPN

Internet

27/12/11 32


l  Escalável l  Baixo custo de link l  Transparente para o usuário

Vantagens l  Não é utilizada quando o

desempenho é fundamental l  Configuração complexa

Desvantagens

Servidor VPN Servidor VPN

Pacote de dados

IPSEC

27/12/11 33

Intranet

Router B


Firewall Firewall/ Proxy

FILIAL

VPN

Internet

INTRANET

LAN1

LAN2

LAN3

LAN4

LAN5

27/12/11 34

DMZ e Bastion Host

l Utilizada para separar os servidores que precisam ser acessados pela Internet dos que apenas serão acessados pelo pessoal interno da organização

DMZ: Zona Desmilitarizada

l Bastião, Baluarte. Fortaleza inexpugnável. É uma posição bem fortificada

l Deve ser feito o hardening do host

Bastion Host

27/12/11 35

DMZ e Bastion Host

Hardening Desabilitar serviços que não estão sendo utilizados

Utilizar sistemas operacionais e softwares sempre atualizados

Desabilitar usuários e senhas default. Estabelecer política rígida de senhas

Utilizar sistemas de arquivos robusto

Servidor deve estar configurado de acordo com as boas práticas de segurança

27/12/11 36

DMZ e Rede Protegida

Internet

Servidor Web

Firewall

Cliente

Intranet

27/12/11 37

Intranet

Router B


Internet

INTRANET

LAN1

LAN2

LAN3

LAN4

LAN5

FILIAL

VPN

DMZ

WEB Server

DNS Server

Mail Server

Proxy R.

Hardened Server

Firewall Firewall/ Proxy

27/12/11 38

IDS – Intrusion Detection System

IDS

Utilizado para detectar e alertar eventos maliciosos

Antecipar possíveis invasões aos sistemas

O sistema de defesa deverá dispor de vários agentes IDS pela rede

Tipos: NIDS, HIDS e IPS

Normalmente verifica assinaturas pré-definidas e eventos maliciosos

27/12/11 39


Arquitetura Genérica

27/12/11 40


Host Intrusion Detection System (HIDS)

Pode ser baseado em assinaturas

Esse tipo de IDS reside em um único “host” e monitora atividades específicas do mesmo

Verifica a integridade dos arquivos do SO

Monitora utilização de recursos do host

27/12/11 41


HDIS (Cont.) "  Exemplos de componentes monitorados

"   Memória "   Arquivos executáveis "   Espaço em disco "   Kernel

27/12/11 42


Network Intrusion Detection System (NDIS) Monitora todo o tráfego da rede e compara este a um banco de dados com assinaturas de ataque

Quando uma assinatura é detectada um evento é disparado pelo IDS

Sistema utilizado para detectar e/ou reagir a uma assinatura de ataque na rede

Utilizado para analisar o tráfego de rede em tempo real

Equipamento dedicado com processamento compatível com o tamanho da infra-estrutura

27/12/11 43


NDIS (Cont.)

"   Sensor de Rede "   Posicionamento em função do conhecimento da topologia "   Em ambientes com switch - Espelhamento de porta "   Configuração stealth recomendada - Interface de captura sem endereçamento e capturando tráfego de rede em modo promíscuo

27/12/11 44

Intranet

Internet

INTRANET

LAN1

LAN2

LAN3

LAN4

LAN5

FILIAL

VPN

DMZ

WEB Server

NDIS

Mail Server

Proxy R.

Hardened Server

HIDS


NIDS NIDS NIDS

NIDS NIDS

27/12/11 45

Network Address Translation

NAT Técnica utilizada por um dispositivo para a tradução de endereços IP

Permite que uma rede use um conjunto de endereços IP particulares para tráfego interno

Converte os endereços IP particulares em endereços IP públicos

Permite que uma organização economize endereços IP públicos

Aumenta a segurança ocultando endereços IP Internos

27/12/11 46

131.107.0.9

NAT

131.107.0.9

10.10.10.7 Tabela NAT "   10.10.10.0 mapeia

para 131.107.0.9

10.10.10.6

10.10.10.10

27/12/11 47

Intranet

Internet

INTRANET

LAN1

LAN2

LAN3

LAN4

LAN5

FILIAL

VPN

DMZ

WEB Server

NDIS

Mail Server

Proxy R.

Hardened Server

HIDS


NIDS NIDS NIDS

NIDS NIDS

NAT

27/12/11 48

Analisador de Conteúdo Web

Analisador de Conteúdo Analisa as solicitações de acesso a Internet autorizando-as ou não

Política diferente de acordo com dias da semana e horários

Utilizado para evitar a navegação anônima

Otimiza o uso do link de Internet, priorizando acesso relacionado ao serviço

27/12/11 49

Soluções de Antivírus e Anti-Spam

Soluções Antivirus/ Anti-Spam Distribuidos em Gateways, Proxies, Servidores de Arquivos, Servidores de Correio e desktops

Administração Centralizada- firewall pessoal, IDS, anti-spyware, atualização de vacinas, assinaturas e políticas

Filtra conteúdo de e-mail, por tamanho, nº de destinatários, tipos de anexos etc

Possibilita análise gráfica e alarmes em tempo real

27/12/11 50



Só trafegam no backbone aplicações autorizadas

Hardening nos equipamentos de conectividade

Protocolos de roteamento- seguros e com autenticação

Monitoramento do backbone e links- criptografia

S e g u r a n ç a f í s i c a d o s equipamentos Intranet servers

Campus backbone

Logística

Engenharia Finanças

Contabilidade

WAN

Vendas

27/12/11 51


Desktop

Usuário recebe máquina pronta- firewall, IDS, antivírus etc.

S.O atualizado, serviços desnecessários desabilitados

Utilizar somente software autorizado e não receber e-mail de procedência duvidosa

27/12/11 52


Desktop Segurança física- fogo, calor, poeira, magnetismo, explosão, vandalismo, roubo etc

Implementar rigida política de senhas

Utilizar área de rede para arquivos importantes

27/12/11 53


Rede Local

Utilizar switches e monitorar tráfego

Administração de Políticas centralizada

Autenticação nos dispositivos de rede

Segurança física dos dispositivos, política de backup, tolerância a falhas etc.

Implementar segurança de layer 2

27/12/11 54


Coletando Informações "   Footprinting

"   nome de domínio, "   endereços IP de servidores "   arquitetura de rede e serviços "   mecanismos de segurança, "   protocolos de rede "   endereço, telefones de contato, e-mails etc. www.arin.net, registro.br, www.netcraft.com, whois.com

27/12/11 55


Coletando Informações

"   Varredura de rede "   Verificar sistemas operacionais de servidores alvo "   Verificar que serviços estão ativos, "   Consultas icmp ou varredura de portas TCP/UDP

Port Service 20?… closed 21?… FTP 22?… closed 23?… closed 24?… closed 25?… SMTP

27/12/11 56


Coletando Informações "   Procura de Vulnerabilidades

"   Procura por serviços vulneráveis- Ferramentas: Nessus, Nmap, Languard "   Verificar a necessidade de utilização de exploit- www.securityfocus.com "   Utilização de ferramentas para apagar rastros – root kits

27/12/11 57

Dúvidas??????

Technology

Segurança de Redes