Professional Documents
Culture Documents
net
www.projetoderedes.kit.net
OSMAR RIBEIRO LEO
SALVADOR
2001
www.projetoderedes.kit.net
Resumo
O uso de firewalls para defesa de redes de computadores uma prtica bastante comum
entre as instituies que desejam proteger seus dados. O uso isolado desta forma de
defesa no resolve os problemas, pois so vulnerveis a outras formas de ataque.
Nenhuma forma de defesa totalmente segura. O objetivo do trabalho apresentar
solues que permitam prevenir e detectar, quando no for possvel impedir, ataques e
invases em redes de computadores de todas as formas.
www.projetoderedes.kit.net
Abstract
A common procedure among institutions that intend to protect and safeguards its data
is the use of firewalls as a defense system in computer networks. However, the single
use of this kind of defense does not guarantee that the network will be protected against
all outsiders attack. Computer networks are still vulnerable to different types of attacks
and the current defense system used by many organizations is not completely safe.
Therefore, the purpose of this study is to present solutions that may prevent and detect
attacks that constantly inflict operational damage in computer networks.
www.projetoderedes.kit.net
Lista de Tabelas
Tabela 1 Endereos de Rede e Difuso. __________________________________ 13
Tabela 2 Nmero de Protocolos Internet _________________________________ 17
Tabela 3 Cdigos de Tipos ICMP. ______________________________________ 24
www.projetoderedes.kit.net
Lista de Figuras
Figura 1 Datagrama IP. ______________________________________________
Figura 2 Os cinco sub campos que compem o campo Tipo de Servio. _________
Figura 3 Operaes para fragmentao em Roteadores.______________________
Figura 4 Tabela de endereamento do cerne do Sistema Operacional Linux.______
Figura 5 Tabela de roteamento do cerne do Sistema Operacional Linux._________
Figura 6 Formato da mensagem ICMP (n) = Nmero de bits no campo. _______
Figura 7 TCP Envia Variveis da Janela. _________________________________
Figura 8 Resultado de uma atualizao do tamanho da janela._________________
Figura 9 Segmento TCP (PDU).________________________________________
Figura 10 Operaes de abertura de conexo TCP. _________________________
Figura 11 Operao de Transferncia de dados.____________________________
Figura 12 Operao de fechamento de conexo TCP. _______________________
Figura 13 Tabela de Conexes. ________________________________________
Figura 14 Formato do datagrama UDP. __________________________________
Figura 15 Uso de Screening Router para filtro de pacotes.____________________
Figura 16 Exemplo de Regra de Filtragem utilizando IPTABLES. _____________
Figura 17 Tabela de traduo de endereos._______________________________
Figura 18 Traduo de Endereos com mscara. ___________________________
Figura 19 Procuradores: realidades e iluses.______________________________
Figura 20 Arquitetura de firewall Dual Homed Host com comunicao via Proxy._
Figura 21 Arquitetura Screened Host. ___________________________________
Figura 22 Arquitetura Screened Subnet.__________________________________
Figura 23 Incidentes Reportados ao CERT nos ltimos anos. _________________
Figura 24 Exemplo de varredura de portas. _______________________________
Figura 25 Ataque DDoS. _____________________________________________
Figura 26 Rede da Alfa. ______________________________________________
14
15
19
21
21
23
28
29
30
32
33
34
35
36
38
39
40
40
42
45
46
47
58
62
65
69
www.projetoderedes.kit.net
Sumrio
1. INTRODUO____________________________________________________ 7
1.1. CONTEXTO DA PESQUISA ____________________________________________ 7
1.2. FALHAS DE SEGURANA EM REDE ____________________________________ 8
1.3. OBJETIVOS DO TRABALHO __________________________________________ 9
1.4. ORGANIZAO DA DISSERTAO ____________________________________ 10
2. PROTOCOLOS __________________________________________________ 11
2.1. IP _____________________________________________________________
2.1.1. CONCEITOS ____________________________________________________
Endereamento ______________________________________________________
Pacote IP ___________________________________________________________
2.1.2. FRAGMENTAO ________________________________________________
2.1.3. ROTEAMENTO __________________________________________________
2.2. ICMP__________________________________________________________
2.2.1. CONCEITOS ____________________________________________________
2.2.2. TIPOS DE REQUISIES ICMP ______________________________________
2.3. TCP ___________________________________________________________
2.3.1. CONCEITOS ____________________________________________________
Sockets ____________________________________________________________
Portas Reservadas e Conexes __________________________________________
Segmento TCP ______________________________________________________
Gerenciamento de Conexes ____________________________________________
2.4. UDP ___________________________________________________________
2.4.1. CONCEITOS ____________________________________________________
11
11
12
14
18
20
22
22
24
25
25
27
27
30
32
35
35
3. SEGURANA ____________________________________________________ 37
3.1. FIREWALL ______________________________________________________
3.1.1. FILTRO DE PACOTES ______________________________________________
3.1.2. TRADUO DE ENDEREOS DE REDE (NAT) ___________________________
Mascarar (Masquerade) _______________________________________________
Traduo de Portas (PAT)______________________________________________
3.1.3. SERVIO DE PROCURAO (PROXY) __________________________________
Proxy-Aware Application Software_______________________________________
Proxy-Aware Operating System Software __________________________________
Proxy-Aware User Procedures __________________________________________
Proxy-Aware Router __________________________________________________
3.1.4. ARQUITETURAS _________________________________________________
Dual Homed Host ____________________________________________________
Screened Host _______________________________________________________
37
37
39
40
41
42
43
43
43
44
44
44
46
www.projetoderedes.kit.net
Screened Subnet _____________________________________________________
3.1.5. POLTICAS E REGRAS _____________________________________________
Privilgio Mnimo____________________________________________________
Defesa em Profundidade _______________________________________________
Ponto de Estrangulamento (Choke Point) __________________________________
Ponto Mais Fraco ____________________________________________________
Falha Segura ________________________________________________________
Participao Universal ________________________________________________
Diversidade de Defesa ________________________________________________
3.1.6. SEGURANA DAS MQUINAS EM REDE________________________________
3.2. SISTEMA DE DETECO DE INTRUSO (IDS) ____________________________
3.2.1. MTODO DE DETECO ___________________________________________
Baseado em Comportamento ___________________________________________
Baseado em Conhecimento _____________________________________________
3.2.2. ARQUITETURA __________________________________________________
Segundo o Alvo _____________________________________________________
Segundo Localizao _________________________________________________
3.2.3. COMPORTAMENTO PS-DETECO___________________________________
Ativo ______________________________________________________________
Passivo ____________________________________________________________
3.3. ATAQUES E VULNERABILIDADES _____________________________________
3.3.1. ENGENHARIA SOCIAL _____________________________________________
3.3.2. EXPLORAO DE ERROS E VULNERABILIDADES _________________________
3.3.3. BISBILHOTAGEM DE PACOTES (PACKET SNIFFING) _______________________
3.3.4. VARREDORES DE PORTAS (PORT SCANNERS) ____________________________
3.3.5. FALSIFICAO DE ENDEREO IP (SOURCE ADDRESS SPOOFING) _____________
3.3.6. NEGAO DE SERVIO (DENIAL OF SERVICE) ___________________________
3.3.7. ATAQUES DE SEQESTRO DE CONEXES (HIJACKING ATTACKS) _____________
3.3.8. VULNERABILIDADES DOS PROTOCOLOS DE REDE ________________________
3.3.9. FALSOS ATAQUES E ALERTAS ______________________________________
47
48
48
49
49
49
50
50
50
51
52
52
52
53
53
53
55
56
56
57
58
60
60
61
62
63
64
65
66
67
76
80
87
89
90
www.projetoderedes.kit.net
1. Introduo
1.1. Contexto da Pesquisa
Todos os veculos de comunicao quando atingem um patamar global ou de
relevncia dentro da sociedade necessitam de meios para garantir sua integridade e
confiabilidade diante do seu pblico. Redes de computadores integram este cenrio.
O amadurecimento das defesas de rede de computadores contnuo e leva a
erros e equvocos nas solues e tentativas de proteo em algumas delas. Era muito
comum o uso de solues pela obscuridade, onde eram implantados sistemas
proprietrios que no mostravam como era feita a defesa e, por tal razo, pensavam que
os dados estariam seguros. Ainda hoje muito usada a defesa em mquinas isoladas, ou
seja, protegendo todas as mquinas isoladamente da rede, com isto toda a rede estaria
protegida. O pensamento de proteo por mquina isolada cara e invivel em redes
com um nmero considervel de mquinas, no oferecendo proteo aos dados que
trafegam entre as mquinas (no meio fsico da rede). O uso mais comum atualmente o
de um ponto centralizado, obrigando o trfego de rede a passar por ele e tornando este
ponto seguro. Com esta forma de proteo possvel proteger a rede, com todos os seus
componentes, utilizando Firewalls1, que o ponto central da rede. O uso de tais
sistemas de defesa no falho, apenas incompleto, necessitando de melhorias para que a
defesa seja completa.
Defender no apenas evitar; quando no for possvel impedir uma invaso ou
ao imprpria, deve ser possvel detectar e alertar o fato.
A defesa completa de redes de computadores vem da unio entre o impedimento,
preveno e deteco de falhas, sejam elas de qualquer tipo. preciso que sejam criadas
polticas e que decises sejam tomadas com a maior rapidez possvel, mesmo que
meramente informativas.
Criadas as regras de segurana, ento iniciado o processo de deteco a falhas
e pontos crticos que devem ser vigiados para manter a confiabilidade perante os
usurios dos servios dependentes da rede de computadores.
Firewall Parede de Fogo Sistemas de defesa de redes mais utilizadas no mercado atual. Os dados
passam pelo firewall e so submetidos a regras de validao para continuarem a trafegar pela rede.
www.projetoderedes.kit.net
www.projetoderedes.kit.net
Parte integrante de uma informao. Por limitao do meio fsico de uma rede, uma informao
segmentada em pacotes, quadros, etc.
3
www.projetoderedes.kit.net
10
www.projetoderedes.kit.net
11
2. Protocolos
2.1. IP
2.1.1. Conceitos
Internet Protocol, Protocolo da Internet ou Protocolo Internet, o nome de um
dos protocolos de comunicao mais usados no mundo em cerca de 90% do trfego da
rede mundial de computadores Internet atualmente.
O IP est no terceiro nvel da camada de rede do modelo de camadas OSI5 (est
na segunda camada no modelo de camadas Internet), podendo trafegar sobre vrios
protocolos de comunicao da segunda camada deste modelo. Est definido em forma
de RFC6 de nmero 791 e foi criado pelo Departamento de Defesa do Governo dos
Estados Unidos para comunicao entre bases militares no conjunto de protocolos de
interconexo do projeto DARPA7.
um servio de comunicao sem conexo direta dos dois pontos finais
(emissor e receptor), havendo vrias rotas para a ligao. Por causa deste fator,
possvel que haja gargalos de comunicao, gerando engarrafamento e perda de pacotes
pelos motivos do prprio trfego ou erros no envio. Outro fator que pode ocorrer por
no ser orientado a conexo a chegada de pacotes fora de ordem, quando o datagrama8
IP fragmentado. A falta de controle de fluxo tambm constitui uma de suas
deficincias.
Por estar numa camada acima da camada de enlace (modelo OSI), o IP oculta as
redes (que podem ter diferentes protocolos e tamanhos de quadro9) pelas quais ele
passa, facilitando sua instalao e tornando-o mais robusto.
OSI Open Systems Interconnection camadas que definem padres para comunicao em uma rede de
computadores.
6
RFC Request for Comments documentos que definem um determinado protocolo de internet ou
experimento relacionado. Os RFCs so mantidos pelo Instituto de Engenharia Eltrica e Eletrnica, IEEE.
7
Defense Advanced Research Projects Agency Agncia de Projetos de Pesquisas Avanados sobre
Defesa. rgo do Exrcito dos Estados Unidos da Amrica.
8
Unidade de medida utilizada na segunda camada do modelo OSI: quadros, frames na lngua inglesa.
www.projetoderedes.kit.net
12
Endereamento
O IP usa endereos para identificar mquinas e redes. Estes endereos so
expressos de forma binria e, para o melhor entendimento pelo homem, existem as
respectivas representaes por quatro nmeros inteiros decimais separados por pontos e
apelidos equivalentes aos endereos binrios.
No IP, cada mquina tem um endereo nico na rede que um nmero inteiro de
32 bits denominado endereo IP. Para todos os tipos de comunicao com esta mquina
necessria a utilizao deste endereo.
Conceitualmente, o endereo IP constitudo por um par (netid, hostid), onde
netid o identificador de rede do endereo, enquanto o hostid o identificador da
mquina nesta rede.
Existem trs classes principais de endereos de redes IP: Classes A, B e C. A
classe do tipo A usada para uma rede que tenha um nmero grande de mquinas, 216
(65.536 mquinas), reservando sete bits para o identificador de rede e 24 bits para
identificador de mquinas. A classe tipo B usada para uma rede que tenha um nmero
mdio de mquinas, entre 28 (256 mquinas) e 216, reservando 14 bits para o
identificador de rede e 16 bits para o identificador de mquinas. A classe tipo C usada
para redes com no mais de 28 mquinas, reservando 21 bits para o identificador de rede
e somente oito bits para o identificador de mquinas. Ainda existem as classes D e E
que so usadas para propsitos especficos.
Para cada rede necessrio um endereo IP vlido dentro daquela rede. Quando
a mquina tem mais de uma conexo fsica necessrio um endereo IP para cada
conexo de rede; assim, uma mquina conectada a 10 redes tem 10 endereos diferentes
de IP.
Existem, ainda, os endereos de redes que servem para identificar a rede de
endereos IP e os endereos de difuso que servem para propagar uma mensagem
para todas as mquinas nesta rede. O endereo da rede aquele no qual o hostid zero.
Ao contrrio disto, no endereo de difuso todos os bits do hostid so iguais a um. Na
Tabela 1 mostrado um exemplo de endereos IP numa rede de classe tipo C.
www.projetoderedes.kit.net
13
Endereo
Tipo
Notao Binria do hostid
192.168.1.0
Endereo de rede
00000000
192.168.1.1
Endereo comum
00000001
192.168.1.2
Endereo comum
00000010
192.168.1.254
Endereo comum
11111110
192.168.1.255 Endereo de difuso
11111111
Tabela 1 Endereos de Rede e Difuso.
www.projetoderedes.kit.net
14
Pacote IP
O datagrama IP como est divido um pacote IP e suas especificaes so
mostrados na Figura 1.
Version (4)
10
Para todas as referncias usadas neste, a verso do protocolo IP sempre ser a nmero 4.
11
www.projetoderedes.kit.net
15
Precedncia
Reservado
www.projetoderedes.kit.net
16
atingido o tempo final (zero), e o pacote ainda no atingiu o destino, o prximo roteador
da rota descarta o datagrama IP. Este processo feito a cada passagem por um roteador,
diminuindo o valor em um. O tempo de Vida utilizado para calcular o nmero de
pulos (hops) do datagrama IP na sua rota entre a mquina emissora e a receptora. Alm
disso, serve para a preveno de voltas interminveis na rota do datagrama (loop).
O campo de Protocol Protocolo usado para indicar o prximo protocolo na
camada de rede OSI. Os grupos responsveis pela padronizao da Internet criaram os
nmeros padres de cada protocolo (Tabela 2). Este campo faz parte do cabealho.
www.projetoderedes.kit.net
Decimal
Sigla
Protocolo
0
1
2
ICMP
IGMP
3
4
5
6
GGP
ST
TCP
7
8
9
10
UCL
EGP
IGP
BBN-MON
11
12
13
14
NVP-II
PUP
ARGUS
EMCON
15
16
17
18
19
XNET
CHAOS
UDP
MUX
DCN-MEAS
20
21
22
23
HMP
PRM
XNS-IDP
TRUNK-1
24
25
26
27
TRUNK-2
LEAF-1
LEAF-2
RDP
28
29
30
31
32
33
IRTP
ISSO-TP4
NETBLT
MFE-NSP
MERIT-INP
SEP
34-60
61
62
63
CFTP
-
64
65
66
SAT-EXPAK
MIT-SUBN
RVD
Sequencial Exchange
Unassigned
Any Host Internal Protocol
CFTP
Any Local Network
SATNET and Backroom EXPAK
MIT Subnet Support
MIT Remote Virtual Disk
67
68
69
70
71
IPPC
SAT-MON
IPCV
72-75
76
77
78
BRSAT-MON
WB-MON
79
80-254
255
WB-EXPAK
-
Unassigned
Backroom SATNET Monitoring
Unassigned
Wideband Monitoring
Wideband EXPAK
Reserved
Internet Control Message Protocol
Internet Group Management Protocol
Gateway-to-Gateway Protocol
Unassigned
Stream
Transmission Control Protocol
UCL
Exterior Gateway Protocol
Interior Gateway Protocol
BBN-RCC Monitoring
Network Voice Protocol
PUP
ARGUS
EMCON
Cross Net Debugger
Chaos
User Datagram Protocol
Multiplexing
DCN Measurment Subsystems
Host Monitoring Protocol
Packet Radio Monitoring
Xerox NS IDP
Trunk-1
Trunk-2
Leaf-1
Leaf-2
Reliable Data Protocol
Internet Reliable TP
ISO Transport Class 4
Bulk Data Transfer
MFE Network Services
MERIT Internodal Protocol
Unassigned
Reserved
17
www.projetoderedes.kit.net
18
2.1.2. Fragmentao
O datagrama IP passa sobre tipos de protocolos diferentes do segundo nvel da
camada OSI, que, na maioria dos casos, tm tamanho de quadros diferentes. Para que o
datagrama IP possa trafegar sem problemas sobre estes protocolos necessria uma
forma de fragmentao e remontagem do datagrama IP.
Todos os protocolos de redes tm um tamanho mximo de PDU13, chamado de
Unidade Mxima de Transmisso (maximum transmission unit: MTU). Quando um
roteador recebe um datagrama que tem tamanho maior que um MTU, ele fragmenta o
datagrama para ajust-lo ao tamanho do MTU. Todos os fragmentos tm cabealho e
parte de dados contendo no cabealho informaes pertinentes fragmentao. Cada
fragmento pode tomar rotas diferentes para chegar ao destino, agindo como datagramas
12
Internet Control Message Protocol Protocolo de Mensagem de Controle utilizado para envio de
cdigos de mensagem padro.
13
19
www.projetoderedes.kit.net
192.168.0.1
1500 PDUs
192.168.1.1
512 PDUs
Roteador
192.168.2.1
256 PDUs
Roteador
ID=12345
M=1
OS=0
TL=512
ID=12345
M=1
OS=0
TL=256
ID=12345
M=1
OS=64
TL=512
ID=12345
M=1
OS=32
TL=256
ID=12345
M=0
OS=128
TL=476
ID=12345
M=0
OS=0
TL=1500
ID=12345
M=1
OS=64
TL=256
ID=12345
M=1
OS=96
TL=256
Legenda:
ID: Campo Identificador
M : Campo de ltimo fragmento
OS: Campo deoffset
TL: Tamanho total do fragmento
ID=12345
M=1
OS=128
TL=256
ID=12345
M=0
OS=160
TL=220
www.projetoderedes.kit.net
20
2.1.3. Roteamento
O roteamento serve para indicar, quando existe um ou mais dispositivos de rede
numa mquina, qual caminho o pacote deve seguir ou por onde ele deve ser despachado.
Existem as tabelas de endereos, que indicam ao Sistema Operacional os roteadores e
endereos IPs que esto ao alcance da mquina, e as tabelas de roteamento, que indicam
como se chegar ao endereo IP desejado (caminho) e por onde deve ser despachado o
pacote (dispositivo).
A tabela de endereo representada da seguinte forma (Figura 4):
www.projetoderedes.kit.net
21
eth0
hdlc0
ppp0
lo
www.projetoderedes.kit.net
22
2.2. ICMP
2.2.1. Conceitos
Para possibilitar que o protocolo IP reportasse os erros no envio, perda de
pacotes, necessidades de repetio de envio, melhorias no roteamento de pacotes, dentre
outras situaes, foi criado o ICMP.
ICMP, do ingls Internet Control Message Protocol Protocolo Internet de
Controle de Mensagens utilizado para as notificaes no nvel IP da camada de
comunicao. Inicialmente criado para ser usado somente por roteadores na correo de
erros de envio, o ICMP, hoje, tambm utilizado por mquinas numa rede.
A notificao de uma eventual anormalidade ou um simples alerta no faz do
ICMP um protocolo de correo de erros. Apesar de suas notificaes serem usadas
para tal finalidade, ele utilizado objetivando informar, dentro das propriedades do IP,
situaes que necessitam de alguma alterao ou re-configurao. Seu escopo limitado
e no possvel sua utilizao para correo do roteamento por roteadores
intermedirios no percurso do pacote, uma vez que sua mensagem sempre destinada
ao emissor.
www.projetoderedes.kit.net
23
Cabealho IP
Tipo (8)
Cdigo (8)
Verificao de Soma (16)
Parmetros
(varivel)
Informao
(varivel)
Figura 6 Formato da mensagem ICMP (n) = Nmero de bits no campo.
www.projetoderedes.kit.net
24
Ainda existem mais detalhes sobre os tipos de mensagens ICMP. O anexo A contm uma lista mais
detalhada sobre as mensagens ICMP e os seus tipos.
www.projetoderedes.kit.net
25
roteadores.
Ainda existem outros tipos de servios que so para sincronia de hora entre
mquinas, solicitao do endereo de mscara de rede para uma resposta, estimativas de
tempo de trnsito de pacotes, informao de tamanho ou parmetro incorreto no pacote
IP, dentre outros, que esto detalhados no Anexo A.
2.3. TCP
2.3.1. Conceitos
Na conexo de rede entre duas mquinas, em algumas situaes,
faz-se
www.projetoderedes.kit.net
26
Tipo de transferncia de dados que utiliza o mesmo meio fsico para transporte de dados nos dois
sentidos simultaneamente: do receptor ao emissor e vice-versa.
www.projetoderedes.kit.net
27
Sockets
O TCP implementa o conceito de portas para orientar uma conexo entre dois
pontos. Porta uma abstrao, dentro do endereo IP, ao servio ou aplicao de
destino ou fonte dos dados. Um exemplo disto o servio de e-mail, que utiliza a porta
25, numa determinada mquina, para envio e recepo de mensagens.
O Socket a concatenao entre o endereo IP e uma porta de comunicao. Um
par de Sockets identifica unicamente cada conexo numa rede. O Socket de envio o
endereo IP fonte mais nmero de porta fonte, enquanto o Socket de recebimento
corresponde ao endereo IP de destino mais nmero de porta de destino.
16
28
www.projetoderedes.kit.net
SEQ = 1
A
0
UNA
NXT
SEQ = 2
10
11
12
W ND
29
www.projetoderedes.kit.net
e NXT, neste caso 5 (UNA = 2 e NXT = 3). Como A transmitiu 1 e 2, s podero ser
transmitidos os bytes 3, 4 e 5. Esta rea est delimitada pelo retngulo menor.
A
0
ACK = 3
Jan ela = 6
NXT
UNA
10
11
12
W ND
30
Segmento TCP
O segmento TCP est dividido conforme mostrado na Figura 9.
Reserved
(6 bits)
U A P R S F
R C S S Y I
G K H T N N
Options (varivel)
Padding
Data (varivel)
Figura 9 Segmento TCP (PDU).
O campo Source Port Porta Fonte indica a aplicao que est disparando a
conexo.
O campo Destination Port Porta de Destino indica a aplicao onde sero
requisitadas informaes no destino.
O campo Sequence Number Nmero de Seqncia contm o nmero de
seqncia do primeiro octeto no campo de dados do usurio. O seu valor especifica a
posio para o envio das prximas informaes ao receptor. Este campo tambm indica
www.projetoderedes.kit.net
31
o nmero inicial da seqncia para o outro lado da conexo, para que os prximos
nmeros estejam baseados neste primeiro nmero enviado.
O campo Acknowledgment Number Nmero de Conhecimento usado para
confirmar o recebimento de dados recebidos. Seu valor o prximo nmero de
seqncia esperado pelo receptor que deve ser enviado pelo emissor. O Nmero de
Conhecimento pode indicar o recebimento de mais de um segmento de dados. Para isto
enviado o nmero de dados recebido mais um.
O campo Data Offset Deslocamento de Dados indica onde comea a parte de
dados (informaes propriamente ditas) no segmento TCP. Separa cabealho e dados.
O campo Reserved Reservado reservado para uso futuro de correes de
eventuais erros do protocolo.
O campo URG indica que o segmento contm uma mensagem de urgncia.
O campo ACK indica que o segmento contm uma mensagem de confirmao
de recebimento.
O campo PSH indica que os dados no buffer de recebimento tm que ser
enviados para a aplicao.
O campo RST indica que o segmento contm uma mensagem de reincio de
conexo.
O campo SYN indica que o nmero de seqncia deve ser sincronizado. usado
na seqncia de conexo (three-way handshaking17).
O campo FIN indica que o segmento contm uma mensagem de finalizao de
conexo. A mquina que envia o pacote FIN no deseja receber mais dados.
O campo Window Janela indica quantos octetos suportado pelo receptor.
complemento do campo de Conhecimento para clculo da janela de envio.
O campo Checksum Soma de Verificao usado para soma de verificao
do segmento, garantindo que as informaes chegaram livres de problemas no receptor.
Verifica tanto cabealho quanto dados.
O campo Urgent Pointer Ponteiro de Urgncia s utilizado e verificado
quando o bit de urgncia est indicado. Serve para apontar onde comea a informao
de urgncia dentro da parte de dados do segmento TCP. O protocolo TCP no
17
Three-way Handshaking Aperto de mo de trs vias o mtodo usado pelo TCP para estabelecer
uma conexo entre dois pontos.
32
www.projetoderedes.kit.net
Gerenciamento de Conexes
O protocolo TCP um protocolo voltado a estados, ou seja, ele faz uso de regras
para troca de informaes entre as mquinas e para definio do estado da conexo.
As operaes de conexo do TCP so abertura, transferncia de dados e
fechamento dos dados.
A operao de abertura de conexo mostrada na Figura 10.
B
FECHADO
SYN ENVIADO
ESTABELECIDO
ESTABELECIDO
ESCUTANDO
SYN RECEBIDO
SYN RECEBIDO
ESTABELECIDO
33
www.projetoderedes.kit.net
B
1: SYN SEQ 101
2: ACK 151
3: DATA SEQ 178
4: ACK 188
34
www.projetoderedes.kit.net
B
ESTABELECIDO
ESTABELECIDO
FIN - ESPERANDO - 1
FECHADO - ESPERANDO
FIN - ESPERANDO - 2
FECHADO - ESPERANDO
TEMPO - ESPERANDO
FECHADO
4: ACK 189
LTIMO ACK
FECHADO
35
Porta Remota
Endereo Remoto
Porta Local
Endereo Local
Estado da Conexo
www.projetoderedes.kit.net
Conexo 1
Conexo 2
Conexo 3
Conexo n
Figura 13 Tabela de Conexes.
2.4. UDP
2.4.1. Conceitos
O conjunto de protocolos da internet tambm abrange um protocolo de
transporte sem conexo. Este protocolo chamado de UDP (User Datagram Protocol),
do ingls, Protocolo de Datagramas de Usurios. Este protocolo serve para pequenas
transferncias, onde no necessria uma conexo ou que o tempo e custo operacional
de conexo e desconexo seria muito alto. Este protocolo por no utilizar controle e
fluxo de conexo utilizado somente para envio de requisies e respostas a pequenos
protocolos das camadas superiores.
www.projetoderedes.kit.net
36
Porta de Destino
Tamanho
Soma de Verificao
Dados
www.projetoderedes.kit.net
37
3. Segurana
3.1. Firewall
O firewall a primeira soluo proposta por profissionais de segurana de redes
e computadores para o incio da implantao das polticas de seguranas definidas numa
empresa ou simplesmente a primeira opo para o incio da prpria poltica. O firewall
o conjunto de componentes (hardware, software) que restringem o acesso entre uma
rede protegida e a internet ou outros conjuntos de rede (Chapman e Zwicky, 1995).
Nestes componentes esto inseridas tambm as regras definidas em reunies com
gerentes para discusso de polticas de segurana, estrutura fsica da rede da instituio
e qualquer outra definio ou deciso que tenha influncia na segurana das mquinas
em rede.
Os componentes principais no paradigma de proteo de redes por firewalls so:
[1] as regras nas quais o trfego de rede submetido, [2] rotas para acesso s redes, [3]
arquitetura fsica das redes e do prprio firewall, [4] as mquinas e [5] os roteadores.
www.projetoderedes.kit.net
38
www.projetoderedes.kit.net
39
19
Programa capaz de fazer filtro de pacotes em um roteador baseado em Linux. Regras so criadas a
partir do IPTABLES para configurar o cerne do Sistema Operacional, permitindo ou no a passagem de
pacotes.
40
www.projetoderedes.kit.net
Endereo
de Origem
Porta
de Origem
Endereo
de Destino
Porta
de Destino
Porta Local
Conexo 1
Conexo 2
...
Conexo n
Figura 17 Tabela de traduo de endereos.
Mascarar (Masquerade)
Quando o servio de traduo de endereos utilizado para prover acesso de
uma rede falsa rede mundial de computadores, onde os endereos IP so endereos
reais e conhecidos pelos roteadores mundiais, necessrio o uso de mscaras de
endereos, ou seja, o masquerade utilizado para solues de problemas onde uma rede
de endereo falso e reservado troque informaes com uma outra mquina externa com
endereo real e vlido.
O servio de mscaras necessrio porque na internet no existem rotas para
endereos reservados de uso em redes internas. A comunicao dos endereos de uma
rede interna com a internet feita atravs do roteador que liga as duas redes, porm o
simples repasse dos pacotes de uma rede a outra causaria o problema no receptor, que
est na rede mundial, pois no saberia a quem responder (o endereo de origem um
endereo reservado). necessrio que o roteador que faz a ligao entre as redes faa a
mudana do endereo de origem para o seu prprio vlido na internet e conhecido.
utilizada a tabela de traduo de endereos para o conhecimento do roteador dos
trfegos entre mquinas e a mudana (traduo) dos endereos de origem e destino. Na
Figura 18 mostrado o processo das mscaras.
200.254.25.6
10.17.1.1
Internet
Rede Interna
Roteador
Servidor
200.254.4.55
Cliente interno
10.17.1.2
www.projetoderedes.kit.net
41
www.projetoderedes.kit.net
42
www.projetoderedes.kit.net
43
20
www.projetoderedes.kit.net
44
Proxy-Aware Router
Neste tipo de procurador, o servio de procurao totalmente transparente ao
usurio, Sistema Operacional e software cliente. As conexes so desviadas ao
procurador pelo roteador entre a estao cliente e o servidor real. O roteador tem que
possuir este tipo de funcionalidade para que seja possvel este tipo de servio, podendo
tambm fazer ele mesmo o servio de procurao.
Este tipo de procurao chamada de hbrida, pois necessrio o uso de filtro
de pacotes ou servios de proxy transparente.
3.1.4. Arquiteturas
A configurao da forma de proteo por um firewall varivel conforme a
necessidade e composio na qual a rede da instituio est implantada. Para cada tipo
de rede necessria a configurao de um tipo de firewall. Existem conceitos padro
para a construo da arquitetura de proteo de rede, porm as regras sempre so
mudadas e institudas conforme a poltica de segurana de instituio. Atualmente,
existem algumas variaes nas arquiteturas principais de firewalls, onde esto se
constituindo novos paradigmas e padres.
As arquiteturas principais dos firewalls so: [1] Dual Homed Host; [2] Screened
Host; [3] Screened Subnet.
www.projetoderedes.kit.net
45
Neste tipo de arquitetura, o firewall pode agir como o roteador entre estas redes,
porm; na arquitetura chamada de Dual Homed Host, a funcionalidade de roteador
desabilitada, assim como a comunicao entre redes (roteamento entre redes). Para a
comunicao das mquinas internas para mquinas externas (internet) so utilizados
servios de Proxy.
Figura 21 Arquitetura de firewall Dual Homed Host com comunicao via Proxy.
www.projetoderedes.kit.net
46
Screened Host
A arquitetura Screened Host, assim como na arquitetura Dual Homed Host,
disponibiliza os servios de proteo com uma mquina ligada a duas redes, porm os
servios de rede so disponibilizados por uma mquina ligada a rede interna. Neste tipo
de arquitetura, a segurana feita atravs de filtro de pacotes no roteador que liga as
duas redes.
A mquina interna responsvel pelos servios de rede chamada de bastion
host21.
Bastion Host qualquer mquina responsvel por um tipo de servio a mquinas numa rede externa.
www.projetoderedes.kit.net
47
algumas mquinas definidas pela poltica de segurana interna, deixando a conexo das
demais mquinas por meio de Servidores Proxy ou no permitindo o acesso a rede
externa.
Screened Subnet
A arquitetura de firewall Screened Subnet adiciona mais segurana arquitetura
Screened Host retirando o bastion host da rede interna, colocando-o numa rede
perifrica e isolando esta rede perifrica da rede interna.
A Screened Subnet considerada como o ltimo nvel de arquitetura em
firewalls, isolando totalmente os bastion hosts, pontos que podem ser atacados
diretamente. O impacto na segurana significativo, apesar do aumento na
complexidade de rotas e configurao de filtros e regras, pois so necessrios dois
roteadores com filtragem de pacotes (um roteador externo e outro interno) e uma nova
rede separada da rede corporativa interna.
www.projetoderedes.kit.net
48
Privilgio Mnimo
O princpio fundamental da segurana o principio do privilgio mnimo.
Quanto menos privilgios e direitos tiverem os funcionrios, softwares ou qualquer
coisa relacionada, mais seguro estar o ambiente.
O princpio do privilgio mnimo significa dar ao objeto (mquinas, usurios,
etc) os direitos apenas necessrios para o seu funcionamento ou trabalho. No
22
Back-door Porta de Trs Servios que funcionam numa mquina permitindo a conexo de pessoas
externas sem qualquer tipo de verificao e com super privilgios.
www.projetoderedes.kit.net
49
necessrio que os usurios tenham acesso de gravao (ou at mesmo leitura) aos
arquivos de configurao de um sistema. preciso definir meios para que sejam
delegadas capacidades de acesso restritas ao objeto; se um funcionrio encarregado
pelo backup da empresa, delegado acesso de somente leitura aos arquivos que devem
ser guardados e gravao no dispositivo de gravao do backup, se possvel, somente
por meio de um programa e em horrios definidos.
Defesa em Profundidade
Para que as defesas sejam efetivamente asseguradas so necessrias algumas
precaues sobre nveis de segurana, redundncia e educao de pessoal.
Num ambiente seguro necessrio que sejam tomadas medidas como backups
peridicos, redundncia de firewalls, firewalls em nveis internos, educao dos
funcionrios sobre segurana, segurana individual das mquinas, etc.
muito importante a profundidade das defesas, pois em momentos de falhas ou
quebras de segurana, as dificuldades de ataque para pessoas mal intencionadas ainda
continuam altas.
www.projetoderedes.kit.net
50
Num ambiente de defesa com firewalls, depois dos bastion hosts, os pontos
fracos do choke point so os mais atacados.
Falha Segura
necessrio que sejam previstos os casos de falhas, em quaisquer nveis, para
que as falhas sejam tratadas de forma segura.
As falhas devem ser tratadas de forma que cortem todo o acesso aos sistemas,
recursos e tudo mais que seja importante para o ambiente de rede. importante que seja
entendido que, em caso de falhas e corte de acesso aos recursos aos usurios externos,
tambm cortado o acesso para os usurios internos; o sistema est em estado de falha!
Definindo as regras padro a serem tomadas quando em estado de falhas, ficam
duas possibilidades:
Participao Universal
importante que todos os participantes da rede (funcionrios numa instituio,
por exemplo) estejam de acordo com as polticas e participem das responsabilidades
necessrias ao funcionamento.
Em nada adianta as polticas de segurana com firewalls bem configurados e
ambientes seguros, se um funcionrio tem acesso a redes externas por meio de conexes
discadas ou formas semelhantes.
A participao deve ser voluntria e em casos de no participao, necessrio
que sejam tomadas medidas para a participao. A melhor dela deve ser a que leve
participao voluntria.
Diversidade de Defesa
Para que um ambiente esteja realmente seguro necessrio que haja, em pontos
estratgicos, o uso de defesas com redundncia ou programas diferentes.
A diversidade na defesa importante, pois nenhum programa ou dispositivo
infalvel e, o uso de mais de uma soluo, acaba minimizando os problemas em casos de
tentativas de ataques e invases.
51
Todo acesso a qualquer servio deve ser registrado nos arquivos de registro
do sistema.
23
Source Routing Rota pela Fonte Servio de definio de rotas baseadas na origem do pacote. Fazem
parte do pacote Rotas Avanadas ao contrrio dos servios de rotas comuns que indicam apenas rotas
de destino sem verificar a origem do pacote.
www.projetoderedes.kit.net
52
As contas de usurios devem ser limitadas aos servios para qual foram
configuradas. Se o usurio tem uma conta de e-mail num servidor, sua conta
deve apenas ter acesso aos servios de SMTP e POP (IMAP em alguns
casos). Se possvel, limitar o tempo de ociosidade do usurio (tempo parado
e conectado no servio) e quando o usurio pode efetuar conexo (horrios
para conexo).
Baseado em Comportamento
No tipo de deteco baseado no comportamento, o IDS faz um estudo sobre o
comportamento da utilizao de recursos, horrio da utilizao, tipo de aplicaes
usadas, etc, gerando um padro de comportamento considerado normal. Os estudos vo
www.projetoderedes.kit.net
53
desde o uso de CPU, carga de rede e mdia de uso da memria a horrios de conexo,
tipo de aplicao para cada usurio e comportamento de utilizao dos sistemas.
Quando definido um comportamento padro para o ambiente testado, o IDS
passa a comparar todo o uso dos recursos ao estudo prvio, decidindo o que um mau
uso ou ataque. Por exemplo, para um determinado usurio que possui o hbito de
utilizar o sistema somente em horrio comercial e executar aplicativos simples como
leitores de e-mail e navegadores, entrar no sistema s quatro horas da manh e compilar
uma dezena de programas um forte indcio de uma invaso.
O uso da deteco baseada no comportamento pode gerar falsos alertas ou no
detectar certos movimentos. A atualizao anual de um servidor pode ser alertada como
ataque pelo grande fluxo de arquivos em um determinado horrio, quando no comum
o uso da mquina (horrio adequado para a tarefa de atualizao); ou um invasor que,
conhecendo as configuraes do IDS, faz o uso de ferramentas para que seu
comportamento destrutivo seja visto como normal.
Baseado em Conhecimento
No tipo de deteco baseado no conhecimento, o IDS procura por assinaturas de
ataques previamente configuradas, tal como programas de antivrus. O IDS procura por
seqncia de aes no aceitveis ou por seqncia de bits que caracterizam uma
assinatura de ataque. As assinaturas de ataques necessitam ser constantemente
atualizadas e um novo tipo de ataque pode passar pelo IDS pela falta de uma regra para
a sua captura.
3.2.2. Arquitetura
A arquitetura de um IDS est ligada forma como seus componentes funcionais
encontram-se arranjados em relao uns aos outros. Os fatores que mais influenciam na
arquitetura de um IDS so a localizao e o alvo.
Segundo o Alvo
Na diviso da arquitetura do IDS segundo o alvo, o fator analisado a fonte de
dados que ser trabalhada. Existem trs tipos de IDS:
54
www.projetoderedes.kit.net
ataque,
os
estragos
feitos,
usurios
envolvidos
processos
www.projetoderedes.kit.net
55
Segundo Localizao
O segundo aspecto que tambm muito importante para a arquitetura do IDS
onde e como estaro distribudos os componentes de um IDS. O mdulo de captura,
anlise e alerta de um IDS podem estar todos separados em vrias mquinas na rede ou
todos reunidos somente em uma mquina. Para Bace e Mell (2001, p.10), Estratgia de
Controle descrevem como os elementos de um IDS so controlados e, ainda, como as
entradas e sadas de um IDS so gerenciadas (traduo nossa).
As estruturas centralizadas tm a vantagem de facilidade de instalao
configurao, operao e ganho de desempenho. A simplicidade de manuteno e
desenvolvimento garante vantagens em relao s demais arquiteturas, porm a
complexidade dos sistemas atuais aliada diversidade e dimenses da maioria das
instalaes computacionais, requer que sejam utilizadas solues descentralizadas.
Os sistemas de proteo de redes de computadores requerem redundncias para a
tolerncia falhas ocasionando em maior segurana. Este fator leva a instalao de uma
arquitetura descentralizada com mdulos separados e independentes trocando
informaes entre si e garantindo esta redundncia. O uso de tal arquitetura, no entanto,
leva complexidade na troca de informaes entre os mdulos, problemas como
24
www.projetoderedes.kit.net
56
Ativo
As respostas ativas a uma informao de uma ao so aes automatizadas
exercidas pelo IDS na busca de coleta de informaes adicionais sobre o ataque,
mudana do ambiente de rede na qual o atacante tenta invadir, aes contra o invasor,
dentre outras.
Os Sistemas de Deteco de Intruso mais inteligentes tomam uma srie de
aes no momento da invaso, onde so guardadas todas as informaes sobre os passos
tomados pelo atacante, estados dos sistemas e da rede; re-configurao de firewalls e
roteadores para preveno de novos ataques; envio de pacotes TCP para reincio de
conexo (Captulo 2, Seo 3) e aes contra o atacante, como varredura de portas e
outras medidas hostis (este ltimo bastante perigoso e desaconselhado por motivos de
falhas na deteco, ilegalidade da ao e ataques a redes e usurios inocentes).
www.projetoderedes.kit.net
57
Passivo
As respostas passivas so mais comuns em IDS e finaliza o processo de captura,
anlise e alerta de intruso. Utilizadas apenas para informao de intruso, para aes
posteriores de outros sistemas ou interveno humana, as respostas passivas podem ser
alarmes e notificaes, em arquivos de sistema, e-mail, pager, snmp traps25, etc.
25
Eventos gerados para um servidor de gerncia de rede utilizando o protocolo SNMP, protocolo
desenvolvido para monitoramento e gerncia de redes.
58
www.projetoderedes.kit.net
3.3. Ataques e Vulnerabilidades
Nmero de Incidentes
34754
21756
9859
132
252
406
1989
1990
1991
773
1334
2340
2412
2573
2134
1992
1993
1994
1995
1996
1997
3734
1998
1999
2000
2001
Ano
A grande maioria dos ataques registrados tem como causa a falta de cuidado dos
administradores de rede, problemas de erros em aplicativos e nos Sistemas Operacionais
e a m configurao dos servios. Apenas alguns poucos ataques so resultados de uma
explorao da fragilidade dos protocolos de rede ou um esforo mais inteligente de um
26
www.projetoderedes.kit.net
59
27
Cracker Pessoa com conhecimentos profundos em sistemas que usa estes conhecimentos com
finalidade negativa como crimes eletrnicos.
www.projetoderedes.kit.net
60
www.projetoderedes.kit.net
61
www.projetoderedes.kit.net
62
www.projetoderedes.kit.net
63
Existem outras formas mais modernas para varredura de portas, uma delas
denominada TCP SYN ou half connect, onde o atacante reinicia a conexo logo aps o
recebimento do pacote de confirmao de conexo da vtima. Outro meio de varredura
de portas o FIN scan, na qual o atacante envia pacotes de finalizao de conexo sem
ter tido nenhum tipo de conexo prvia entre ambos.
Quando a rede est protegida por filtros de pacotes (Captulo 3, Seo 1.1), uma
forma eficiente para que a varredura de pacotes no seja barrada pelo firewall
(screening router) utilizar a varredura de portas invisvel (stealth scan). Esse tipo de
varredura consiste no envio de pacotes como se a conexo j estivesse sido efetuada (os
filtros geralmente negam pacotes de abertura de conexo). Conforme a resposta da
vtima, o atacante saber se existe ou no servio ativo na porta.
www.projetoderedes.kit.net
64
65
www.projetoderedes.kit.net
Cicilini e Piccolini (2000), o ataque DDoS tem quatro personagens: [1] atacante, que
coordena o ataque; [2] master, mquina que recebe os parmetros de ataque e repassa
aos agentes; [3] agente, mquina que realmente concretiza o ataque e [4] a vtima.
Ainda sobre o ataque, so comentados os trs passos sobre o ataque: [1] intruso em
massa, onde o atacante coleta e invade mquinas atravs das mais variadas formas de
invaso, elegendo o master e os agentes; [2] instalao do software DDoS no master
(cliente) e nos agentes (daemon) e [3] o ataque propriamente dito que coordenado pelo
atacante, enviado ao master e repassado aos agentes que atacam a vtima. A Figura 25
exemplifica a estrutura do ataque DDoS.
Agente #1
Internet
Atacante
Master
Vtima
Agente #2
Agente #3
www.projetoderedes.kit.net
66
www.projetoderedes.kit.net
67
Estes foram alguns exemplos de como o protocolo pode ser usado de forma
destrutiva num ambiente de rede, re-afirmando sua fragilidade de projeto.
Outros protocolos bastante frgeis so os protocolos para redes de Sistemas
Operacionais Windows. Como so protocolos para redes internas necessrio o cuidado
para que nenhuma mquina ou pessoa tenha acesso a servios baseados nestes
protocolos via rede externa. Geralmente encapsulados no protocolo IP, estes protocolos
funcionam como servios nas portas de comunicao 137, 138 e 139 (Anexo B).
www.projetoderedes.kit.net
68
4. Estudo de Caso
O estudo sobre a defesa de redes de computadores comprovou que as solues de
defesa so moldadas s situaes, s condies financeiras e importncia das
instituies. No seria possvel a criao de uma corrente de regras padro para
certificar que a rede de computadores est segura; a segurana advm do uso do bom
senso e cuidados padro. A padronizao sobre segurana est nos mtodos de proteo,
que incluem as ferramentas e procedimentos que devem ser adotados, no podendo ser
aplicadas no modo da implantao.
A defesa de rede privada e construda diante das circunstncias de necessidades;
portanto, o estudo de cdigos para aplicao destas regras depende de um contexto que
criem as condies para essa aplicao.
O exemplo do uso de cdigos para defesa de redes de computadores deste trabalho
ser baseado num estudo de um caso fictcio de uma empresa registrada como Alfa.
69
www.projetoderedes.kit.net
Internet
Rede ADSL
Backbone Interno
Rede Pblica
Frame Relay
Banco de Dados
de Gama
Rede da Operadora
Telefnica
Rede Desmilitarizada
Screening Router Externo
Servidor de Correio
Servidor de Beta
Banco de Dados
de Alfa
Servidor Interno #1
Estao de Trabalho
29
Protocolo de enlace utilizado em redes chaveadas que utilizam mltiplos circuitos virtuais.
www.projetoderedes.kit.net
70
Qualquer outro tipo de trfego da rede interna ou da rede Frame Relay ao roteador
externo negado.
Para filtro de pacotes nos Screening Routers utilizado a ferramenta IP Tables
(Anexo C) e para deteco de intrusos a ferramenta Snort (Anexo D). Os cdigos das
regras de filtragem e para deteco de intrusos esto no anexo E.
www.projetoderedes.kit.net
71
5. Concluso
A conscincia da necessidade de proteo dos dados um fator crescente entre
as instituies. O Projeto de Segurana Eletrnica deixa de ser um gasto adicional e
torna-se um dos maiores investimentos para instituies, consolidando a importncia
deste tpico na construo de empresas que utilizam servios digitais.
Esta preocupao o reflexo nos servios eletrnicos, digitais e informatizados
do crescimento de investimentos em segurana no mundo, gerando o aparecimento de
normas para implantao da segurana eletrnica em diversos pases. Atualmente, h
uma infinidade de regulamentaes que determinam os procedimentos para a
implantao da segurana da tecnologia da informao. Dentre elas destacam-se as
pioneiras normas do comit britnico Commercial Computer Security Centre (CCSC)
denominadas BS 7799:1995 e as suas revises nos anos de 1998, 1999 e 2000 e as
normas tcnicas baseadas na norma da comunidade britnica e editadas no Brasil pela
Associao Brasileira de Normas Tcnicas (ABNT) determinadas pelo comit ISO
(International Standardization Organization) da srie ISO 17799:2000.
A maioria dos procedimentos adotados nas diversas normas tcnicas mundiais
tem como base o estudo das principais ameaas e vulnerabilidades dos sistemas de
comunicao eletrnica. Ao longo destes estudos, foi constatado que a modificao ou
criao de simples procedimentos de segurana aumentam consideravelmente as defesas
dos sistemas das redes institucionais. Estes procedimentos vo desde a discusso de
medidas simples do uso de ferramentas dentro das instituies (polticas de segurana
institucional e manual do usurio) at a instalao de mecanismos de obstruo da
entrada de dados no autorizados ou desconhecidos (firewalls), com a utilizao de
sistemas para monitorao destas medidas (Sistemas de Deteco de Intrusos).
A implantao e administrao destes procedimentos, no entanto, so
trabalhosos e requerem conhecimento e tempo, sendo suscetvel a falhas humanas, uma
vez que o administrador faz a verificao e anlise de uma quantidade grande de
informaes sobre possveis invases, ataques e alarmes. A complexidade da anlise
aliada falta de experincia do administrador, portanto, pode ter conseqncias
catastrficas, gerando uma necessidade eminente de criao de ferramentas para auxlio
de avaliao dos arquivos de registros que so bastante simples para garantir a
www.projetoderedes.kit.net
72
www.projetoderedes.kit.net
73
www.projetoderedes.kit.net
74
6. Referncias
BERNSTEIN, Terry, BLUMANI, Anish B., SCHULTZ, Eugene, SIEGEL, Carol A.
Internet Security for Business. Nova Iorque: Wiley Computer Publishing, 1996.
BLACK, Uyless. TCP/IP and Related Protocols. 2 ed. Nova Iorque: McGraw-Hill,
1994.
SIYAN, Karanjit, HARE, Christopher. Internet Firewalls and Network Security.
Indianapolis: New Riders Publishing, 1995.
GARFINKEL, Simson, SPAFFORD, Gene. Practical UNIX & Internet Security. 2 ed.
OReilly & Associates, 1996.
HUNT, Craig. TCP/IP Network Administration. 2 ed. OReilly & Associates, 1997.
NAUGLE, Matthew G. Illustrated TCP/IP. Wiley Computer Publishing, 1998.
CHAPMAN, D. Brent, ZWICKY, Elizabeth D. Building Internet Firewalls. 1 ed.
OReilly & Associates, 1995.
____ 2 ed. OReilly & Associates, 2000.
NATIONAL SECURITY AGENCY (USA). Systems and Network Attack Center. The
60 Minutes Network Security Guide (First Steps Towards a Secure Network
Environment). Version 1.0. Ft. Meade. 2001.
BEJTLICH, Richard. Interpreting Network Traffic: A Network Intrusion Detectors
Look at Suspicious Events. Version 2.8. http://home.satx.rr.com/bejtlich. 2000.
GREEN, John, MARCHETTE, David, NORTHCUTT, Stephen. Analysis Techniques
for Detecting Coordinated Attacks and Probes. 2000.
SOLHA, Liliana Esther Velsquez Alegre, CICILINI, Renata, PICCOLINI, Jacomo
Dimmit Boca. Centro de Atendimento a Incidentes de Segurana da RNP. Tudo
que Voc Precisa Saber Sobre os Ataques DDoS. NewsGeneration. Volume 4,
Nmero 2. http://www.rnp.br/newsgen. 2000.
GRAHAM, Robert. FAQ: Network Intrusion Detection Systems. Version 0.8.3.
http://www.robertgraham.com/pubs/network-intrusion-detection.html. 2000.
www.projetoderedes.kit.net
75
www.projetoderedes.kit.net
7. Anexos
Anexo A. Tipos de Requisies ICMP e suas Opes.
Kurt Seifried, kurt@seifried.org
September 25, 2001 - 53 entries
http://www.seifried.org/security/ports/
ICMP Code
0
Code Type
0
ICMP Code
3
Code Type
0
1
2
3
4
5
6
7
8
Type Description
RFC 792 - for echo reply message
Type Description
RFC 792 - net unreachable
RFC 792 - host unreachable
RFC 792 - protocol unreachable
RFC 792 - port unreachable
RFC 792 - fragmentation needed and DF set
RFC 792 - source route failed
RFC 792 - Destination Network Unknown
RFC 792 - Destination Host Unknown
RFC 792 - Source Host Isolated
RFC 792 - Communication with Destination Network is
Administratively Prohibited
Communication with Destination Network is
Administratively Prohibited
network-admin
10
host-admin
11
network-service
12
host-service
13
com-admin-prohibited
host-precedence-violation
precedence-cuttof-in-effect
14
15
76
www.projetoderedes.kit.net
Code Type
0
ICMP Code
5
Code Type
Type Name
source-quench
ICMP Code Name
redirect
Type Name
redirect-network
redirect-host
redirect-service-network
redirect-service-host
ICMP Code
6
Code Type
0
ICMP Code
8
Code Type
0
ICMP Code
9
Code Type
0
ICMP Code
10
Code Type
0
ICMP Code
11
Code Type
0
1
ICMP Code
12
Code Type
0
1
2
ICMP Code
13
Code Type
0
ICMP Code
14
Code Type
0
ICMP Code
Type Description
RFC 792 - source quench (slow down!)
Type Description
RFC 792 - Redirect datagrams for the Network (or
subnet)
RFC 792 - Redirect datagrams for the Host
RFC 792 - Redirect datagrams for the Type of Service
and Network
RFC 792 - Redirect datagrams for the Type of Service
and Host
77
www.projetoderedes.kit.net
15
Code Type
0
ICMP Code
16
Code Type
0
ICMP Code
17
Code Type
0
ICMP Code
18
Code Type
0
ICMP Code
30
Code Type
information
Type Name
info-request
ICMP Code Name
information
Type Name
info-reply
ICMP Code Name
mask
Type Name
mask-request
ICMP Code Name
mask
Type Name
mask-reply
ICMP Code Name
traceroute
Type Name
traceroute-forwarded
packet-discarded
ICMP Code
31
Code Type
0
ICMP Code
32
Code Type
0
ICMP Code
33
Code Type
0
ICMP Code
34
Code Type
0
ICMP Code
35
Code Type
0
ICMP Code
36
Code Type
0
ICMP Code
37
Type Description
RFC 792 - for information request message
Type Description
RFC 792 - for information reply message
Type Description
RFC 950 - Address Mask Request
Type Description
RFC 950 - Address Mask Reply
Type Description
RFC 1393 - Traceroute - Outbound Packet successfully
forwarded
RFC 1393 - traceroute - No route for Outbound
Packet; packet discarded
Type Description
RFC 1475 - Datagram Conversion Error
Type Description
David Johnson - Mobile Host Redirect
Type Description
Bill Simpson -IPv6 Where-Are-You
Type Description
Bill Simpson - IPv6 I-Am-Here
Type Description
Bill Simpson - Mobile Registration Request
Type Description
Bill Simpson - Mobile Registration Reply
78
79
Code Type
0
ICMP Code
38
Code Type
0
ICMP Code
40
Code Type
0
1
2
3
4
5
Type Name
domain-name-request
ICMP Code Name
domain-name
Type Name
domain-name-reply
ICMP Code Name
security
Type Name
bad-spi
authentication-failed
decompression-failed
decryption-failed
need-authentication
need-authorization
Type Description
RFC 1788 - icmp domain name request
Type Description
RFC 1788 - icmp domain name reply
Type Description
RFC 2521 - Bad SPI
RFC 2521 - Authentication Failed
RFC 2521 - Decompression Failed
RFC 2521 - Decryption Failed
RFC 2521 - Need Authentication
RFC 2521 - Need Authorization
www.projetoderedes.kit.net
Anexo B. Servios de Rede, TCP e UDP (Resumo com os Principais Servios).
Kurt Seifried, kurt@seifried.org
September 23, 2001 - 6983 entries
http://www.seifried.org/security/ports/
Service-name
daytime
daytime
netstat
ftpdata
ftpdata
ftp
ftp
ssh
ssh
telnet
telnet
smtp
smtp
time
time
whois
whois
domain
domain
dhcp-bootps
dhcp-bootps
bootpc
bootpc
tftp
tftp
gopher
gopher
finger
finger
www-http
www-http
rtelnet
Port/Protocol
13/tcp
13/udp
15/tcp
20/tcp
20/udp
21/udp
21/tcp
22/tcp
22/udp
23/tcp
23/udp
25/tcp
25/udp
37/tcp
37/udp
43/tcp
43/udp
53/tcp
53/udp
67/udp
67/tcp
68/tcp
68/udp
69/tcp
69/udp
70/tcp
70/udp
79/tcp
79/udp
80/tcp
80/udp
107/udp
Comment
Daytime (RFC 867)
Daytime (RFC 867)
Network status
File Transfer Protocol [Default Data]
File Transfer Protocol [Default Data]
File Transfer Protocol [Control]
File Transfer Protocol [Control]
SSH Remote Login Protocol
SSH Remote Login Protocol | pcanywhere
Telnet
Telnet
Simple Mail Transfer Protocol
Simple Mail Transfer Protocol
timserver Time
timserver Time
whois Who Is
whois Who Is
Domain Name Server
Domain Name Server
DHCP|Bootstrap Protocol Server
DHCP|Bootstrap Protocol Server
Bootstrap Protocol Client
Bootstrap Protocol Client
Trivial File Transfer
Trivial File Transfer
Gopher
Gopher
Finger
Finger
World Wide Web HTTP
World Wide Web HTTP
Remote Telnet Service
80
www.projetoderedes.kit.net
rtelnet
107/tcp
pop-3
110/udp
pop-3
110/tcp
rpc
rpc
sqlserv
sqlserv
nntp
nntp
ntp
ntp
password
password
netbios-ns
netbios-ns
netbios-dgm
netbios-dgm
netbios-ssn
netbios-ssn
111/tcp
111/udp
118/tcp
118/udp
119/tcp
119/udp
123/udp
123/tcp
129/udp
129/tcp
137/udp
137/tcp
138/udp
138/tcp
139/tcp
139/udp
imap
143/udp
imap
143/tcp
sql-net
sql-net
sqlsrv
sqlsrv
snmp
snmp
snmp-trap
snmp-trap
xdmcp
xdmcp
bgp
bgp
irc
irc
smux
smux
150/udp
150/tcp
156/tcp
156/udp
161/udp
161/tcp
162/udp
162/tcp
177/udp
177/tcp
179/tcp
179/udp
194/tcp
194/udp
199/udp
199/tcp
81
82
dbase
dbase
217/tcp
217/udp
dBASE Unix
dBASE Unix
LDAP - Lightweight Directory Access
Protocol
ldap
389/udp
ldap
389/tcp
netware-ip
netware-ip
appleqtc
appleqtc
kpasswd
kpasswd
smtps
smtps
396/tcp
396/udp
458/tcp
458/udp
464/tcp
464/udp
465/udp
465/tcp
isakmp
500/tcp
isakmp
500/udp
exec
512/tcp
login
513/tcp
who
513/udp
syslog
shell
printer
talk
talk
ntalk
ntalk
utime
utime
514/udp
514/tcp
515/tcp
517/tcp
517/udp
518/tcp
518/udp
519/udp
519/tcp
route
520/udp
timed
timed
irc-serv
irc-serv
uucp
uucp
uucp-rlogin
525/udp
525/tcp
529/udp
529/tcp
540/tcp
540/udp
541/tcp
BSD rlogind(8)
maintains data bases showing who's whod rwhod(8)
BSD syslogd(8)
BSD rshd(8) - remote command shell cmd
spooler BSD lpd(8) - line printer spooler
BSD talkd(8)
BSD talkd(8)
(talkd)
SunOS talkd(8)
unixtime
unixtime
local routing process (on site) | router
routed
timeserver
timeserver
IRC-SERV
IRC-SERV
uucpd BSD uucpd(8) UUCP service
uucpd BSD uucpd(8) UUCP service
uucp-rlogin | rdist daemon
www.projetoderedes.kit.net
uucp-rlogin
klogin
klogin
kshell
kshell
dhcpv6-client
dhcpv6-client
whoami
whoami
imap4-ssl
imap4-ssl
password-chg
password-chg
ldaps
ldaps
kerberos-adm
kerberos-adm
kerberos-iv
541/udp
543/tcp
543/udp
544/udp
544/tcp
546/tcp
547/udp
565/tcp
565/udp
585/tcp
585/udp
586/tcp
586/udp
636/tcp
636/udp
749/udp
749/tcp
750/udp
kerberos-iv
750/tcp
kerberos-master
kerberos-master
icq
icq
trojan
socks
kazaa
kazaa
lotusnote
lotusnote
ms-sql-s
ms-sql-s
ms-sql-m
ms-sql-m
sybase-sqlany
sybase-sqlany
utcd
utcd
751/udp
751/tcp
1027/tcp
1029/tcp
1080/tcp
1080/udp
1214/tcp
1214/udp
1352/udp
1352/tcp
1433/tcp
1433/udp
1434/udp
1434/tcp
1498/tcp
1498/udp
1506/udp
1506/tcp
wins
1512/udp
uucp-rlogin
Kerberized `rlogin' (v5)
Kerberized `rlogin' (v5)
krcmd Kerberized rshell (v5)krcmd
krcmd Kerberized rshell (v5)krcmd
DHCPv6 Client
DHCPv6 Server
whoami
whoami
IMAP4+SSL (use 993 instead)
IMAP4+SSL (use 993 instead)
Password Change
Password Change
ldap protocol over TLS|SSL (was sldap)
ldap protocol over TLS|SSL (was sldap)
Kerberos 5 kadmin|changepw
Kerberos 5 kadmin|changepw
kdc kerberos4 Kerberos auth (server) udp
kdc kerberos Kerberos authentication-tcp
Kerberos admin server tcp
Kerberos admin server tcp
ICQ
ICQ
Socks | wingate proxy
Socks
KAZAA
KAZAA
Lotus Note
Lotus Note
Microsoft-SQL-Server
Microsoft-SQL-Server
Microsoft-SQL-Monitor
Microsoft-SQL-Monitor
Sybase SQL Any
Sybase SQL Any
Universal Time daemon (utcd)
Universal Time daemon (utcd)
Microsoft's Windows Internet Name
Service
83
www.projetoderedes.kit.net
wins
1512/tcp
orasrv
1525/udp
orasrv
1525/tcp
tlisrv
tlisrv
coauthor
coauthor
rdb-dbs-disp
rdb-dbs-disp
oraclenames
oraclenames
oraclenet8cman
oraclenet8cman
1527/tcp
1527/udp
1529/tcp
1529/udp
1571/tcp
1571/udp
1575/tcp
1575/udp
1630/udp
1630/tcp
pptp
1723/tcp
pptp
1723/udp
radius
1812/udp
radius
radacct
radius-acct
net8-cman
net8-cman
sybasedbsynch
sybasedbsynch
postgres
pcanywheredata
pcanywheredata
pcanywherestat
pcanywhere
x11
x11
x11
x11
x11
x11
x11
1812/tcp
1813/udp
1813/tcp
1830/tcp
1830/udp
2439/udp
2439/tcp
5432/tcp
5631/tcp
5631/udp
5632/udp
5632/tcp
6000/tcp
6000/udp
6001/tcp
6001/udp
6002/tcp
6002/udp
6003/tcp
84
www.projetoderedes.kit.net
x11
x11
x11
x11
x11
x11
x11
x11
x11
x11
x11
x11
x11
x11
x11
x11
x11
x11
x11
x11
x11
x11
x11
x11
x11
x11
x11
6003/udp
6004/udp
6004/tcp
6005/tcp
6005/udp
6006/tcp
6006/udp
6007/udp
6007/tcp
6008/udp
6008/tcp
6009/tcp
6009/udp
6010/tcp
6010/udp
6011/udp
6011/tcp
6012/tcp
6012/udp
6013/udp
6013/tcp
6014/tcp
6014/udp
6015/tcp
6015/udp
6063/tcp
6063/udp
irc
6667/tcp
irc
6668/tcp
portmap
10000/udp
rstatd
rstatd
rusersd
rusersd
nfsprog
nfsprog
10001/udp
10001/tcp
10002/tcp
10002/udp
10003/tcp
10003/udp
mountd
10005/tcp
X Window System
X Window System
X Window System
X Window System
X Window System
X Window System | Bad Blood Trojan
X Window System
X Window System
X Window System
X Window System
X Window System
X Window System
X Window System
X Window System
X Window System
X Window System
X Window System
X Window System
X Window System
X Window System
X Window System
X Window System
X Window System
X Window System
X Window System
X Window System
X Window System
Internet Relay Chat | SubSeven Trojan |
NetBus Trojan
Internet Relay Chat
portmap portmappper sunrpc rpcbind |
Network Data Management Protocol
rpc rstatd
rpc rstatd
rpc rusersd
rpc rusersd
rpc nfsprog
rpc nfsprog
mountd mount showmount | OpWin
Trojan | Secure telnet
85
www.projetoderedes.kit.net
ypbind
ypbind
yppasswdd
yppasswdd
nlockmgr
nlockmgr
rpc_statd
rpc_statd
bootparam
bootparam
pgpkeyserv
pgpkeyserv
h323callsigalt
h323callsigalt
trojan
trojan
trojan
trojan
trojan
10007/udp
10007/tcp
10009/tcp
10009/udp
10021/tcp
10021/udp
10024/udp
10024/tcp
10026/tcp
10026/udp
11371/tcp
11371/udp
11720/udp
11720/tcp
16660/tcp
27665/tcp
31335/udp
34555/udp
35555/udp
86
www.projetoderedes.kit.net
87
www.projetoderedes.kit.net
88
www.projetoderedes.kit.net
89
alert tcp any any -> 200.223.45.2 80 (msg: Ataque Code Red II; flags: A+;
uricontent:scripts/root.exe?; nocase; classtype: web-application-attack;
sid: 1256; rev:2;)
A primeira parte de uma regra define a ao a ser tomada. As opes so [1] alert,
gera um alerta conforme o mtodo de alerta (manda mensagem em rede Windows,
mensagem em formato XML para uma outra mquina, envia e-mail para administrador,
etc.) e depois escreve em arquivo de registro do sistema; [2] log, registra o pacote; [3]
pass, ignora o pacote; [4] activate, alerta e ativa outra regra dinmica; e [5] dynamic,
regra especfica que s realiza o servio quando ativada, funciona como uma funo de
log.
A segunda parte da regra define o padro a ser procurado, que pode ser apenas
informaes no cabealho IP, como tambm informaes especficas dentro do pacote,
como uma seqncia hexadecimal, mensagem de chamada de comando (ex:
scrips/root.exe), bandeiras (flags) de protocolos, etc.
A partir da verso 1.5, foi acrescentado ao Snort a funcionalidade do uso de prprocessadores, que so uma espcie de plugins para anlise de aspectos especficos
como varredores de portas, re-organizadores de fragmentos IP, etc. Os prprocessadores so utilizados antes do pacote ser analisado, logo aps ser capturado na
rede.
www.projetoderedes.kit.net
Anexo E. Cdigo fonte das regras dos Screening Routers e do IDS
Cdigo do Screening Router interno:
#!/bin/sh
90
www.projetoderedes.kit.net
91
IPTABLES="/usr/sbin/iptables"
## Caminho do iptables
LOOPBACK="lo"
FR_RELAY="eth0"
INTERNA="eth1"
BACKBONE="eth2"
##
##
##
##
REDE_LOOPBACK="127.0.0/8"
REDE_FR_RELAY="10.100.1.0/30"
REDE_INTERNA="10.20.1.0/24"
REDE_BACKBONE="10.1.1.0/30"
IP_LOOPBACK="127.0.0.1"
IP_FR_RELAY="10.100.1.1"
IP_INTERNA="10.20.1.1"
IP_BACKBONE="10.1.1.2"
## Endereo IP de loopback
## Endereo IP da placa com o
## roteador FR_RELAY
## Endereo IP da placa de rede interna
## Endereo IP da placa com o Backbone
SERVIDOR_MAIL="200.254.130.10"
SERVIDOR_HTTP_1="200.254.130.2"
SERVIDOR_HTTP_2="200.254.130.10"
SERVIDOR_DNS_1="200.254.130.10"
SERVIDOR_DNS_2="200.254.130.2"
SERVIDOR_BETA="200.254.130.25"
SERVIDOR_BD="10.20.1.4"
FIREWALL_INTERNET="10.1.1.1"
ROTEADOR_FR_RELAY="10.100.1.2"
SERVIDOR_BD_GAMA="172.30.0.6"
## Flush/Destroi regras ##
$IPTABLES
$IPTABLES
$IPTABLES
$IPTABLES
$IPTABLES
$IPTABLES
-F
-F
-F
-F
-F
-F
INPUT
OUTPUT
FORWARD
-t nat
-t mangle
ICMP_AMIGA
de Loopback
da ligao com o roteador FR_RELAY
da rede interna
com o Backbone Interno
## Endereo de loopback
## Endereo da rede com o roteador FR_RELAY
## Endereo da rede interna
## Endereo da rede com o Backbone
REDE_INTERNET="200.254.130.0/26"
Interface
Interface
Interface
Interface
www.projetoderedes.kit.net
$IPTABLES -F ICMP_SUSPEITA
$IPTABLES -F FINALIZA_FLOOD
## Destroi regras definidas pelo usurio ##
$IPTABLES -X
## Criando polticas padro ##
# O Screening Router Interno tem a negao como poltica padro
# Captulo 3, Seo 1.5
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
#
#
#
#
92
www.projetoderedes.kit.net
93
#### Regras para ajustes no TOS (Tipo de Servio) (Captulo 2, Seo 1.1) ####
## Diminiu atraso para acesso SSH (bit de atraso) ##
$IPTABLES -A PREROUTING -t mangle -p tcp --dport ssh -j TOS --set-tos Minimize-Delay
#
#
#
#
#
www.projetoderedes.kit.net
94
www.projetoderedes.kit.net
95
www.projetoderedes.kit.net
96
www.projetoderedes.kit.net
97
www.projetoderedes.kit.net
$IPTABLES -A FORWARD -i $INTERNA -o $BACKBONE -s $REDE_INTERNA -m state --state !
INVALID -d $SERVIDOR_HTTP_2 -p udp --dport 80 -j ACCEPT
$IPTABLES -A FORWARD -i $INTERNA -o $BACKBONE -s $REDE_INTERNA -m state --state !
INVALID -d $SERVIDOR_BETA -p tcp --dport 80 -j ACCEPT
$IPTABLES -A FORWARD -i $INTERNA -o $BACKBONE -s $REDE_INTERNA -m state --state !
INVALID -d $SERVIDOR_BETA -p udp --dport 80 -j ACCEPT
98
www.projetoderedes.kit.net
99
www.projetoderedes.kit.net
# TCP SYN cookies : proteo contra IP com origem falsas (Captulo 3,
# Seo 3.5).
if [ -e /proc/sys/net/ipv4/tcp_syncookies ]; then
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
fi
# Habilita repasse de pacotes IP
if [ -e /proc/sys/net/ipv4/ip_forward ]; then
echo "1" > /proc/sys/net/ipv4/ip_forward
fi
## Caminho do iptables
## Interface de Loopback
## Interface da ligao com o roteador internet
## Interface da rede de servidores internet
## Interface com o Backbone Interno
## Interface com o modem ADSL
REDE_LOOPBACK="127.0.0/8"
## Endereo de loopback
REDE_LINK="200.254.130.252/30"
## Endereo da rede com o roteador internet
REDE_SERVIDORES="200.254.130.0/26" ## Endereo da rede com servidores internet
REDE_BACKBONE="10.1.1.0/30"
## Endereo da rede com o Backbone
IP_LOOPBACK="127.0.0.1"
## Endereo IP de loopback
IP_LINK="200.254.130.253"
## Endereo IP da placa com o roteador internet
IP_SERVIDORES="200.254.130.1" ## Endereo IP da placa com os servidores internet
IP_BACKBONE="10.1.1.1"
## Endereo IP da placa com o Backbone
SERVIDOR_MAIL="200.254.130.10"
SERVIDOR_HTTP_1="200.254.130.2"
SERVIDOR_HTTP_2="200.254.130.10"
SERVIDOR_DNS_1="200.254.130.10"
SERVIDOR_DNS_2="200.254.130.2"
SERVIDOR_BETA="200.254.130.25"
SERVIDOR_BD="10.20.1.4"
REDE_INTERNA="10.20.1.0/24"
100
www.projetoderedes.kit.net
222.0.0.0/8
243.0.0.0/8
248.0.0.0/8
253.0.0.0/8
223.0.0.0/8
244.0.0.0/8
249.0.0.0/8
254.0.0.0/8
## Flush/Destroi regras ##
$IPTABLES
$IPTABLES
$IPTABLES
$IPTABLES
$IPTABLES
$IPTABLES
$IPTABLES
$IPTABLES
$IPTABLES
-F
-F
-F
-F
-F
-F
-F
-F
-F
INPUT
OUTPUT
FORWARD
-t nat
-t mangle
ICMP_AMIGA
ICMP_SUSPEITA
FINALIZA_SPOOF
FINALIZA_FLOOD
#
#
#
#
## Diminuio no trfego ##
$IPTABLES -A ICMP_AMIGA -p icmp --icmp-type source-quench -j ACCEPT
## Tempo Excedido (traceroutes) ##
$IPTABLES -A ICMP_AMIGA -p icmp --icmp-type time-exceeded -j ACCEPT
101
www.projetoderedes.kit.net
102
## Problemas de parmetros ##
$IPTABLES -A ICMP_AMIGA -p icmp --icmp-type parameter-problem -j ACCEPT
#### Regras para ajustes no TOS (Tipo de Servio) (Captulo 2, Seo 1.1) ####
## Diminiu atraso para acesso SSH (bit de atraso) ##
$IPTABLES -A PREROUTING -t mangle -p tcp --dport ssh -j TOS --set-tos Minimize-Delay
## Melhoria na performance de acesso
$IPTABLES -A PREROUTING -t mangle -p
tos Maximize-throughput
$IPTABLES -A PREROUTING -t mangle -p
set-tos Maximize-throughput
$IPTABLES -A PREROUTING -t mangle -p
tos Maximize-throughput
$IPTABLES -A PREROUTING -t mangle -p
tos Maximize-throughput
#
#
#
#
#
www.projetoderedes.kit.net
103
www.projetoderedes.kit.net
104
## Trfego Normal ##
$IPTABLES -A INPUT -i $LINK -m state --state RELATED,ESTABLISHED -j ACCEPT
www.projetoderedes.kit.net
105
www.projetoderedes.kit.net
106
## Trfego Normal ##
# Servidores Internet #
$IPTABLES -A FORWARD -i $SERVIDORES -o $LINK -s $SERVIDOR_MAIL -m state --state !
INVALID -p tcp --dport 25 -j ACCEPT
$IPTABLES -A FORWARD -i $SERVIDORES -o $LINK -s $SERVIDOR_DNS_1 -m state --state !
INVALID -p udp --dport 53 -j ACCEPT
$IPTABLES -A FORWARD -i $SERVIDORES -o $LINK -s $SERVIDOR_DNS_2 -m state --state !
INVALID -p udp --dport 53 -j ACCEPT
$IPTABLES -A FORWARD -i $SERVIDORES -o $LINK -s $SERVIDOR_BETA -m state --state !
INVALID -p tcp --dport 25 -j ACCEPT
www.projetoderedes.kit.net
Cdigo de configurao e das assinaturas do IDS:
###################################################
# Regras do IDS para rede Internet de Alfa
#
###################################################
107
www.projetoderedes.kit.net
108
www.projetoderedes.kit.net
109
alert tcp $REDE_EXTERNA any <> $REDE_PROTEGIDA 0 (msg:"BAD TRAFFIC tcp port 0
traffic"; sid:524; classtype:misc-activity; rev:3;)
alert udp $REDE_EXTERNA any <> $REDE_PROTEGIDA 0 (msg:"BAD TRAFFIC udp port 0
traffic"; sid:525; classtype:misc-activity; rev:4;)
www.projetoderedes.kit.net
110
alert tcp $REDE_EXTERNA any -> $REDE_PROTEGIDA any (msg:"BAD TRAFFIC data in TCP SYN
packet"; flags:S; dsize:>6; sid:526; classtype:misc-activity; rev:3;)
alert ip any any <> 127.0.0.0/8 any (msg:"BAD TRAFFIC loopback traffic";
classtype:bad-unknown; sid:528; rev:2;)
alert ip any any -> any any (msg:"BAD TRAFFIC same SRC/DST"; sameip; classtype:badunknown; sid:527; rev:2;)
alert tcp $REDE_EXTERNA any -> $REDE_PROTEGIDA 22 (msg:"EXPLOIT ssh CRC32 overflow
/bin/sh"; flags:A+; content:"/bin/sh"; reference:bugtraq,2347; reference:cve,CVE2001-0144; classtype:shellcode-detect; sid:1324; rev:1;)
alert tcp $REDE_EXTERNA any -> $REDE_PROTEGIDA 22 (msg:"EXPLOIT ssh CRC32 overflow
NOOP"; flags:A+; content:"|90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90|";
reference:bugtraq,2347; reference:cve,CVE-2001-0144; classtype:shellcode-detect;
sid:1326; rev:1;)
alert tcp $REDE_EXTERNA any -> $REDE_PROTEGIDA 110 (msg:"EXPLOIT pop3 x86 linux
overflow";flags: A+; content:"|d840 cd80 e8d9 ffff ff|/bin/sh"; classtype:attemptedadmin; sid:288; rev:1;)
alert tcp $REDE_EXTERNA any -> $REDE_PROTEGIDA 143 (msg:"EXPLOIT imap
overflow";flags: A+; content:"|E8 C0FF FFFF|/bin/sh"; classtype:attempted-admin;
sid:293; rev:1;)
alert udp $REDE_EXTERNA any -> $REDE_PROTEGIDA 53 (msg:"EXPLOIT BIND Tsig Overflow
Attempt"; content:"|80 00 07 00 00 00 00 00 01 3F 00 01 02|/bin/sh";
classtype:attempted-admin; sid:314; rev:3; reference:cve,CAN-2000-0010;
reference:bugtraq,2302;)
alert tcp $REDE_EXTERNA 10101 -> $REDE_PROTEGIDA any (msg:"SCAN myscan"; ttl: >220;
ack: 0; flags: S;reference:arachnids,439; classtype:attempted-recon; sid:613; rev:1;)
alert tcp $REDE_EXTERNA 31790 -> $REDE_PROTEGIDA 31789 (msg:"SCAN trojan hack-a-tack
probe"; content: "A"; depth: 1; reference:arachnids,314; flags:A+;
classtype:attempted-recon; sid:614; rev:1;)
alert tcp $REDE_EXTERNA any -> $REDE_PROTEGIDA any (msg:"SCAN FIN"; flags: F;
reference:arachnids,27; classtype:attempted-recon; sid:621; rev:1;)
alert tcp $REDE_EXTERNA any -> $REDE_PROTEGIDA any (msg:"SCAN NULL";flags:0; seq:0;
ack:0; reference:arachnids,4; classtype:attempted-recon; sid:623; rev:1;)
alert tcp $REDE_EXTERNA any -> $REDE_PROTEGIDA any (msg:"SCAN SYN FIN";flags:SF;
reference:arachnids,198; classtype:attempted-recon; sid:624; rev:1;)
alert tcp $REDE_EXTERNA any -> $REDE_PROTEGIDA any (msg:"SCAN XMAS";flags:SRAFPU;
reference:arachnids,144; classtype:attempted-recon; sid:625; rev:1;)
www.projetoderedes.kit.net
111
alert tcp $REDE_EXTERNA any -> $REDE_PROTEGIDA any (msg:"SCAN nmap fingerprint
attempt";flags:SFPU; reference:arachnids,05; classtype:attempted-recon; sid:629;
rev:1;)
alert tcp $REDE_EXTERNA any -> $REDE_PROTEGIDA any (msg:"SCAN NMAP XMAS";flags:FPU;
reference:arachnids,30; classtype:attempted-recon; sid:1228; rev:1;)
alert tcp $REDE_EXTERNA any -> $REDE_PROTEGIDA any (msg:"DOS Land attack"; id:3868;
seq: 3868; flags:S; classtype:attempted-dos; sid:269; rev:1;)
alert udp $REDE_EXTERNA any -> $REDE_PROTEGIDA any (msg:"DOS Teardrop attack";
id:242; fragbits:M; reference:bugtraq,124; classtype:attempted-dos; sid:270; rev:1;)
alert tcp $REDE_EXTERNA any -> $REDE_PROTEGIDA 7070 (msg:"DOS Real Audio Server";
flags: A+; content: "|fff4 fffd 06|"; reference:bugtraq,1288; reference:cve,CVE-20000474; reference:arachnids,411; classtype:attempted-dos; sid:276; rev:1;)
www.projetoderedes.kit.net
112
alert udp $REDE_EXTERNA any -> $REDE_PROTEGIDA 161 (msg:"DOS Bay/Nortel Nautica
Marlin"; dsize:0; reference:bugtraq,1009; reference:cve,CVE-2000-0221;
classtype:attempted-dos; sid:279; rev:2;)
alert udp $REDE_EXTERNA any -> $REDE_PROTEGIDA 9 (msg:"DOS Ascend Route"; content:
"|4e 41 4d 45 4e 41 4d 45|"; offset: 25; depth: 50; reference:bugtraq,714;
reference:cve,CVE-1999-0060; reference:arachnids,262; classtype:attempted-dos;
sid:281; rev:2;)
alert tcp $REDE_EXTERNA any -> $REDE_PROTEGIDA 139 (msg: "DOS Winnuke attack"; flags:
U+; reference: bugtraq,2010; reference:cve,CVE-1999-0153; classtype: attempted-dos;
sid: 1257; rev:2;)
alert icmp $REDE_EXTERNA any -> $REDE_PROTEGIDA any (msg:"DDOS TFN Probe"; id: 678;
itype: 8; content: "1234";reference:arachnids,443; classtype:attempted-recon;
sid:221; rev:1;)
alert icmp $REDE_EXTERNA any -> $REDE_PROTEGIDA any (msg:"DDOS tfn2k icmp possible
communication"; itype: 0; icmp_id: 0; content: "AAAAAAAAAA"; reference:arachnids,425;
classtype:attempted-dos; sid:222; rev:1;)
alert udp $REDE_EXTERNA any -> $REDE_PROTEGIDA 31335 (msg:"DDOS
Trin00\:DaemontoMaster(PONGdetected)"; content:"PONG";reference:arachnids,187;
classtype:attempted-recon; sid:223; rev:1;)
alert icmp $REDE_PROTEGIDA any -> $REDE_EXTERNA any (msg:"DDOS Stacheldraht serverresponse"; content: "|66 69 63 6B 65 6E|"; itype: 0; icmp_id: 667;
reference:arachnids,191; classtype:attempted-dos; sid:226; rev:1;)
alert tcp $REDE_EXTERNA any -> $REDE_PROTEGIDA 20432 (msg:"DDOS shaft client to
handler"; flags: A+; reference:arachnids,254; classtype:attempted-dos; sid:230;
rev:1;)
alert udp $REDE_EXTERNA any -> $REDE_PROTEGIDA 10498 (msg:"DDOS mstream handler to
agent"; content: "stream/"; reference:cve,CAN-2000-0138; classtype:attempted-dos;
sid:244; rev:1;)
alert udp $REDE_EXTERNA 53 -> $REDE_PROTEGIDA any (msg:"DNS SPOOF query response PTR
with TTL\: 1 min. and no authority"; content:"|85800001000100000000|";
content:"|c00c000c00010000003c000f|"; classtype:bad-unknown; sid:253; rev:2;)
alert tcp $REDE_EXTERNA any -> $REDE_PROTEGIDA 53 (msg:"DNS zone transfer"; content:
"|00 00 FC|"; flags: A+; offset: 13; reference:arachnids,212; classtype:attemptedrecon; sid:255; rev:2;)
alert udp $REDE_EXTERNA any -> $REDE_PROTEGIDA 53 (msg:"DNS named authors attempt";
content:"|07|authors"; offset:12; content:"|04|bind"; nocase; offset: 12;
reference:arachnids,480; classtype:attempted-recon; sid:256; rev:1;)
www.projetoderedes.kit.net
113
alert udp $REDE_EXTERNA any -> $REDE_PROTEGIDA 53 (msg:"DNS named version attempt";
content:"|07|version"; offset:12; content:"|04|bind"; nocase; offset: 12;
reference:arachnids,278; classtype:attempted-recon; sid:257; rev:1;)
alert tcp $REDE_EXTERNA any -> $REDE_PROTEGIDA 53 (msg:"DNS EXPLOIT named 8.2>8.2.1";flags: A+; content:"../../../../../../../../../"; reference:cve,CVE-19990833; classtype:attempted-admin; sid:258; rev:1;)
www.projetoderedes.kit.net
114
www.projetoderedes.kit.net
115
www.projetoderedes.kit.net
116
alert icmp $REDE_EXTERNA any -> $REDE_PROTEGIDA any (msg:"ICMP ISS Pinger";
content:"|495353504e475251|";itype:8;depth:32; reference:arachnids,158;
classtype:attempted-recon; sid:465; rev:1;)
alert icmp $REDE_EXTERNA any -> $REDE_PROTEGIDA any (msg:"ICMP PING NMAP"; dsize: 0;
itype: 8; reference:arachnids,162; classtype:attempted-recon; sid:469; rev:1;)
alert icmp $REDE_EXTERNA any -> $REDE_PROTEGIDA any (msg:"ICMP redirect
host";itype:5;icode:1; reference:arachnids,135; reference:cve,CVE-1999-0265;
classtype:bad-unknown; sid:472; rev:1;)
alert icmp $REDE_EXTERNA any -> $REDE_PROTEGIDA any (msg:"ICMP superscan echo";
content:"|0000000000000000|"; itype: 8; dsize:8; classtype:attempted-recon; sid:474;
rev:1;)
alert icmp $REDE_EXTERNA any -> $REDE_PROTEGIDA any (msg:"ICMP traceroute ipopts";
ipopts: rr; itype: 0; reference:arachnids,238; classtype:attempted-recon; sid:475;
rev:1;)
alert icmp $REDE_EXTERNA any -> $REDE_PROTEGIDA any (msg:"ICMP Source Quench"; itype:
4; icode: 0; classtype:bad-unknown; sid:477; rev:1;)
alert icmp $REDE_EXTERNA any -> $REDE_PROTEGIDA any (msg:"ICMP Broadscan Smurf
Scanner"; itype: 8; icmp_id: 0; icmp_seq: 0; dsize:4; classtype:attempted-recon;
sid:478; rev:1;)
alert icmp $REDE_EXTERNA any -> $REDE_PROTEGIDA any (msg:"ICMP PING Sniffer
Pro/NetXRay network scan"; itype:8;
content:"|43696e636f204e6574776f726b2c20496e632e|"; depth:32; sid:484;
classtype:misc-activity; rev:2;)