Professional Documents
Culture Documents
Fundamentos de Sistemas de
Segurana da Informao
Instrutor: Andr Sarmento Barbosa
Coordenador: Lus Felipe M. de Moraes
Ateno: No permitida a reproduo desta apostila, ou qualquer parte da mesma,
sem o consentimento do autor. Esta apostila individual e parte integrante do
Treinamento em Sistemas de Segurana da informao.
Aluno: ______________________________________________________
www.projetoderedes.kit.net 1
Exploits e BufferOveflow;
3a aula:
5. Contramedidas:
5.1
Contramedidas Bsicas;
5.2
Segurana no nvel do cliente;
5.3
Configurao segura de servios;
5.4
Resposta a ataques e problemas de segurana;
6. Ferramentas de Segurana:
6.1
Controle de acesso;
6.2
Criptografia;
6.3
Firewalls e IDS;
6.4
Scanners;
6.5
Sniffers;
6.6
Password Crackers;
6.7
Logs e Auditoria;
4a aula:
7. Firewalls:
7.1
Tipos de Firewall;
7.2
Arquiteturas;
7.3
Fabricantes;
7.4
Testando a segurana de um firewall (penetration test)
8. Sistemas
8.1
8.2
8.3
5a aula:
9. Tecnologias avanadas de segurana:
9.1
Secure Sockets Layer (SSL);
9.2
IP seguro (IPsec) e Redes Virtuais Privadas (VPNs);
9.3
Certificados Digitais;
10.Gerncia
10.1
10.2
10.3
de Segurana
Plano de Segurana;
Anlise de ameaa e Anlise de Risco;
Normas de Segurana;
www.projetoderedes.kit.net 2
para
compartilhar
Jargo de Segurana
www.projetoderedes.kit.net 3
www.projetoderedes.kit.net 4
www.projetoderedes.kit.net 5
www.projetoderedes.kit.net 6
Conceitos Bsicos
Privacidade
Integridade
Autenticao
No-repdio
Disponibilidade
www.projetoderedes.kit.net 7
2. Oportunidades e Riscos:
2.1
Vulnerabilidades
www.projetoderedes.kit.net 8
Comrcio Eletrnico
www.projetoderedes.kit.net 9
2.3
Objetivos
Divertir-se vasculhando emails, roubando
senhas, etc.
Testar a segurana de sistemas, roubar
informaes
Descobrir planos e estratgias de
marketing do concorrente
Vingar-se por ter sido despedido
Conhecer a tecnologia do inimigo
Roubar e utilizar segredos polticos
www.projetoderedes.kit.net10
A distino entre estes dois tipos de segurana muito importante. Temos que ter em
mente que um hacker mal intencionado ir descobrir falhas ou usar de qualquer
artifcio para conseguir quebrar um ou o outro tipo, e
ele quebrar uma das duas, conseqentemente quebrar as duas!
necessrio trancar bem a periferia de sua rede ou sistema, mas para fazer voc
tem que conhece la bem, saber que tipos de dados trafegam e onde voc ter que
apl
2.5
aquele que tem as melhores e mais caras ferramentas de segurana.
As ferramentas esto entre um dos itens importantes, mas esto longe de serem as
nicas necessrias.
Itens importantes para a segurana:
www.projetoderedes.kit.net11
Investimento
Plano de Segurana
Pessoal qualificado
Interao na organizao e entre fornecedor e cliente
Ferramentas de segurana
3. As ameaas:
3.1
www.projetoderedes.kit.net12
RAVEL
Script Kiddies
fcil. Eles no procuram por
maneira mais fcil possvel. Eles fazem isto utilizando um pequeno nmero de
, ento eles procuram pela Internet inteira, at que conseguem
mquina que seja vulnervel (cedo ou tarde isto certamente acontecer).
deixam para trs as
sofisticadas. Alguns, no tem a mnima idia do que
o fazendo. Embora o nvel tcnico deles possa ser diferente, todos eles usam uma
posteriormente eles possam explorar estas falhas.
uma ameaa. Cedo ou tarde
evitar isto.
seu favor. Com milhes de sistema
poderia encontrar voc facilmente. Mas este no o caso. Muitas das ferramentas so
us las. O rpido crescimento do nmero de
ferramentas alarmante. Como a Internet no tem fronteiras geogrficas, esta
nmeros est se voltando contra ns. Com o nmero crescente de usurios
rede, no mais uma questo de "Se" mas sim de "Quando" voc ser testado ou
Este um excelente exemplo de como a "segurana por obscuridade" pode falhar.
.
escane lo?. So estes sistemas que os
Os hackers mais
eles invadem o sistema. As Backdoors permitem acesso fcil e "furtivo" ao sistema,
no apareceria em qualquer
ele constri uma "casa" confortvel e segura, onde ele pode escanear a Internet
Estes ataques no so limitados a uma certa hora do dia. Muitos administradores
os seus logs por testes ou
que possam ter ocorrido tarde da
www.projetoderedes.kit.net13
Engenharia Social
Existe algum mtodo mais rpido e eficiente de se descobrir uma senha? Que tal
simplesmente perguntar? Por mais extraordinrio que possa parecer, o mtodo mais
simples, mais usado e talvez mais eficiente de se recolher informaes
simplesmente chegar e perguntar.
Voc tambm poderia subornar, mas dependendo da situao, isto pode lhe custar
muito caro, ento porqu no tentar enganar e obter tais informaes? De fato, este
mtodo bastante utilizado, e existem hackers que sabem us-lo com grande
destreza, um exemplo o famoso hacker Kevin Mitnick que era um expert em fazer
tais vigarices.
Essa ttica de ataque conhecida como Engenharia Social. Basicamente, esta a
arte de fazer com que outras pessoas concordem com voc e atendam aos seus
pedidos ou desejos, mesmo que voc no tenha autoridade para tal. Popularmente,
pode-se dizer que engenharia social simplesmente a arte de se contar uma mentira
bastante convincente.
Dentro da rea de segurana podemos definir engenharia social como a aquisio de
informaes preciosas ou privilgios de acesso por algum de fora, baseado em uma
relao de confiana estabelecida, inapropriadamente, com algum de dentro.
Profissionais utilizam este tipo de aproximao para adquirir informaes
confidenciais, como organogramas de organizaes, nmeros de cartes de crdito e
telefone, senhas de acesso, diagrama da rede, etc. com o objetivo de avaliar as
vulnerabilidades de uma organizao para futuros ataques.
www.projetoderedes.kit.net14
www.projetoderedes.kit.net15
www.projetoderedes.kit.net16
www.projetoderedes.kit.net17
www.projetoderedes.kit.net18
3.5
cao na internet baseada no fluxo de pacotes de dados. Mas o que
acontece se uma mquina receber mais dados do que ela consegue lidar?
ela possui uma quantidade enorme de informao para manipular e portanto, ficar
-se o nome de DoS (Denial of Service, ou
aps o flood
O DoS tem sido usado por profissionais de segurana como ferramenta para avaliar a
capacidade de sua rede. Por outro lado,
do mundo todo tm trazido muitos
problemas a pequenos e at grandes sites, como Yaho
redes.
O poder de sobrecarga desses ataques aumenta quando eles vm de vrias mquinas
para um alvo, ou seja, o envio de pacotes parte de vrios pontos. Trata se do
Distributed DoS (DDoS).
3.5.1 Como funciona o DDoS:
A idia instalar programas para ataque DoS em diferentes hosts. Estes
computador central, esses Zumbis comeam a enviar o mximo de pacotes ao alvo.
Esta idia pode ser expandida no sentido d
sendo que na primeira est o cracker
na ltima camada as mquinas s quais iro enviar diretamente os pacotes que iro
causar o
na vtima.
Mas antes de existirem ferramentas que automatizassem esse ataque, era necessrio
usar para disparar o ataque. Usando telnet ou SSH, o hacker dispararia o comando
para causar o
na mquina vtima. Para isso, ele poderia usar, por exemplo, o
ping do UNIX nos hosts.
3.5.2 Caractersticas do DDoS:
No satisfeitos apenas com o flood
para apagar os rastros do ataque e tornar o ataque ainda mais poderoso. Para
deficincia no protocolo da internet.
3.4.3
www.projetoderedes.kit.net
www.projetoderedes.kit.net20
Antes da diverso real do Hacker comear, trs passos especiais, e s vezes rduos,
precisam ser executados. Falaremos agora sobre o primeiro: a aquisio de alvos, ou
footprinting, a fina arte de coletar informaes do alvo. Por exemplo, quando um
ladro decide roubar um banco ele no entra simplesmente no banco e comea a
exigir o dinheiro (pelo menos, no os expertos). Em vez disso, eles fazem grandes
esforos para obter informaes sobre o banco as rotas dos carros-fortes e horrios
de entrega de dinheiro, as cmeras de vdeo, o nmero de caixas, etc.
O mesmo se aplica a invasores bem-sucedidos. Eles precisam colher uma grande
quantidade de informaes para executar um ataque cirrgico e bem direcionado (um
que no seja descoberto imediatamente). Como resultado, um atacante ir coletar o
mximo de informaes sobre todos os aspectos de segurana de uma organizao.
Eles acabaro obtendo um footprint (perfil) nico de sua presena na Internet.
Seguindo uma metodologia estruturada, atacantes podem juntar sistematicamente
informaes de uma grande variedade de fontes e compilar esse footprint crtico de
qualquer organizao.
Embora haja diferentes tcnicas de footprinting, seu objetivo primrio descobrir
informaes relacionadas a tecnologias de Internet, intranet, acesso remoto e
extranet. A tabela a seguir mostra essas tecnologias e informaes crticas que um
atacante tentar identificar:
www.projetoderedes.kit.net21
RAVEL
Tecnologia
Internet
Intranet
Acesso Remoto
Extranet
Nome de domnio;
Blocos de rede;
Endereos IP;
Servios TCP e UDP executados em cada sistema
Arquitetura do sistema;
Mecanismos de controle de acesso, Firewalls;
Sistemas de deteco de intruso (IDS);
Enumerao de sistemas (nome de usurios
tabelas de roteamento, informaes de SNMP);
Protocolos de rede em uso;
Nomes de domnio interno;
Blocos de rede;
Endereos IP;
Servios TCP e UDP executados em cada sistema
Arquitetura do sistema;
Sistemas de deteco de intruso (IDS);
Enumerao de sistemas (nome de usurios
tabelas de roteamento, informaes de SNMP);
Nmeros de telefone analgicos e digitais;
Tipo de sistema remoto;
Mecanismos de autenticao;
Origem e destino dos pacotes;
Tipos de conexo;
Mecanismos de controle de acesso;
identificado;
e de grupos,
identificado;
e de grupos,
www.projetoderedes.kit.net22
Mail Transfer
Determinando a topologia da rede
o Usando o traceroute
o Identificando firewalls
o Usando VisualRoute, cheops, scotty
4.2
Varredura
Enumerao
www.projetoderedes.kit.net
4.4
showmount e
rpcinfo -p
finger l @vitima.com.br
rusers, rwho, etc.
Telnet para o servidor de email a fim de identificar logins;
Enumerao de banners, usando telnet para portas especficas;
Use o Netcat
Use o SamSpade
Emails bomba
Ferramentas de DoS/DDoS
List Linking (cadastramento de uma pessoa em milhares de listas de discusso)
Vrus
4.4.2 Trojans
Cdigo no autorizado dentro de um programa legtimo;
Programa (trojan) simplesmente renomeado para o nome de um executvel
conhecido;
www.projetoderedes.kit.net24
4.4.4 Scanners
Ferramentas para varredura de redes:
o Nessus
o Nmap
o NSS
o Strobe
o SATAN
o SAINT
o Internet Security Scanner - SafeSuite (ISS)
o Cybercop (NAI)
o Network ToolBox
o Stealth
4.4.5 Sniffers
Ferramentas de anlise de protocolos e de captura de pacotes na rede:
o
o
o
o
o
o
4.5
Exploits e BufferOveflows
www.projetoderedes.kit.net25
5. Contramedidas:
5.1
Contramedidas Bsicas
www.projetoderedes.kit.net 26
Usar certificados digitais PEM (Privacy Usar o PGP (Pretty Good Privacy)
Usar S/MIME (RSA Data Security)
www.projetoderedes.kit.net 27
5.3
Vamos abordar aqui algumas guidelines para configurao segura de servios. Vamos
tratar separadamente ambientes UNIX e Windows:
5.3.1 Ambientes UNIX
www.projetoderedes.kit.net 28
www.projetoderedes.kit.net 29
www.projetoderedes.kit.net 30
Mesmo com sua rede super protegida os seguintes eventos ainda podem ocorrer:
Ataques e invases (incidentes);
Um problema ou uma vulnerabilidade detectada;
No primeiro caso pode haver ataques rotineiros (com os quais voc no deve perder
muito tempo em se preocupar) ou ataques macios (Ex. DDoS), podem haver
incidentes mais graves, como a deteco de uma invaso, e ataques que so
persistentes. Nos ltimos casos necessrio interveno do administrador.
Ateno: Lembre-se da nossa definio de ataque (Ataque uma tentativa, e pode ter
sucesso ou no).
O segundo caso o melhor pois espera-se que voc foi o primeiro e nico a detectar
tal situao, neste caso voc deveria consertar o problema e informar ao
fabricante/desenvolvedor. Se no for possvel consertar o problema deve-se parar o
servio e informar imediatamente ao fabricante e aguardar a soluo.
5.4.1 Resposta a ataques e incidentes
No caso dos ataques mais graves e invases, temos que estar preparados para tais
situaes e ter um plano de contingncia. Assim como o corpo de bombeiros se
comporta, ns devemos nos comportar.
Como agir em um incidente? Esta a grande questo.
O planejamento comea com a preparao das ferramentas que iro auxiliar na
auditoria e na correta descrio do problema. Podemos citar:
www.projetoderedes.kit.net 31
Data e Hora;
Informaes sobre os contatos no suporte ao incidente;
Detalhes tcnicos;
Contedo da comunicao com outras pessoas;
Manter a gerncia informada;
Manter as informaes sigilosas em carter confidencial;
Escolher com inteligncia os canais de comunicao;
mgin@allaire.com
issues@altn.com
security@apache.org
security@debian.org
problems@bsdi.com
security@calderasystems.com
cpsupport@ts.checkpoint.com
security-alert@cisco.com
security@cobalt.com
security-officer@freebsd.org
support@gordano.com
security-alert@hp.com
security-alert@austin.ibm.com
dkarp@ipswitch.com
bind-bugs@isc.org
submit@bugs.kde.org
security@lotus.com
secure@microsoft.com
www.projetoderedes.kit.net 32
security-officer@netbsd.org
frank@novell.com, ncashell@novell.com
deraadt@openbsd.org
qpopper@qualcomm.com
eudora-bugs@qualcomm.com
bugs@redhat.com
security-alert@sco.com
security@slackware.com
security-alert@sgi.com
security-alert@sun.com
security@suse.de
K8e@turbolinux.com
jgaa@jgaa.com
wuftpd-members@wu-ftpd.org
6.1
Controle de acesso
www.projetoderedes.kit.net 33
Criptografia
A criptografia uma das armas mais poderosas da segurana. Ela , na maioria das
vezes, utilizada indiretamente atravs de ferramentas, protocolos e sistemas
especficos. Ex.:
6.3
IPSec
Assinaturas Digitais
Verificadores de Integridade (Funes de Hash, Ex. MD5)
PGP
Criptografia de Senhas (Crypt3 + DES)
SSH
SSL
Firewalls e IDS
Scanners
Nessus
Nmap
NSS
Strobe
SATAN
SAINT
www.projetoderedes.kit.net 34
Sniffers
Ethernet padro;
TCP/IP;
IPX;
DECNet;
Password Crackers
www.projetoderedes.kit.net 35
7. Firewalls:
7.1
Tipos de Firewall
Endereo de origem
Protocolo
Nmeros de porta
Contedo de pacote
Flags TCP
E outras caractersticas dos protocolos envolvidos
www.projetoderedes.kit.net 36
Arquiteturas
7.3
7.4
www.projetoderedes.kit.net 37
www.projetoderedes.kit.net 38
www.projetoderedes.kit.net 39
www.projetoderedes.kit.net 40
www.projetoderedes.kit.net 41
Tipos de IDS
www.projetoderedes.kit.net 42
8.2
Fabricantes
Intruder Alert
Axent
NetProwler
Axent
Real Secure
ISS
NetRanger
Cisco
NFR
NFR
Session Wall
C.Associates
Snort
Marty Roesh
Abacus
Psionic
Uma tabela comparativa:
www.axent.com
www.axent.com
www.iss.net
www.cisco.com
www.nfr.net
www.ca.com
www.snort.org
www.psionic.com
Host
Rede
Host/Rede
Rede
Rede
Rede
Rede
Host
www.projetoderedes.kit.net 43
8.3
www.projetoderedes.kit.net 44
O SSL foi criado pela Netscape e foi adotado pela comunidade e hoje o padro para
comunicao segura pela Web. O SSL est montado sobre a camada de transporte
(TCP) e possui dois conceitos bsicos:
Conexo SSL;
A conexo para o SSL uma relao ponto a ponto. As conexes so
transientes e esto sempre relacionadas a uma sesso.
Sesso SSL;
uma associao entre o cliente e o servidor, elas so criadas atravs de um
protocolo de handshake especfico do SSL (Handshake Protocol). As sesses
definem um conjunto de parmetros para os algoritmos de criptografia.
Fases da conexo:
Algoritmos utilizados:
9.2
RSA;
DSS;
MD5;
SHA;
IP seguro (IPsec) e Redes Virtuais Privadas (VPNs)
www.projetoderedes.kit.net 45
Arquitetura
ESP Encapsulating Security Payload
AH Autentication Header
Algoritmos de criptografia
Algoritmos de autenticao
Gerenciamento de chaves
DOI - Domnio de interpretao
O conceito bsico de uma conexo IPSec a Security Association (SA). Deve existir
uma SA para cada conexo, e em cada sentido, ento, para uma VPN ponto a ponto
so necessrias duas SAs.
Os servios mais importantes do IPsec esto contidos no AH e no ESP, sendo que, no
estabelecimento de uma SA deve ser escolhido qual dos dois utilizar. A tabela a seguir
nos d uma descrio dos servios providos pelo AH e pelo ESP.
O AH oferece basicamente servios de autenticao, enquanto o ESP oferece servios
de autenticao e criptografia (podem ser usados simultaneamente).
Servio
Controle de Acesso
Integridade
Autenticao
Rejeio de replay
Confidencialidade
Fluxo limitado de
trfego
AH
X
X
X
X
ESP(encryption only)
X
X
X
X
ESP(enc + utent.)
X
X
X
X
X
X
Certificados Digitais
www.projetoderedes.kit.net 46
Uma funo de hash segura includa neste esquema satisfaz estes requerimentos.
Estudo de caso: DSS Digital Signature Standard:
O DSS usa um algoritmo designado para prover apenas a funo de assinatura
digital, o DAS Digital Signature Algorithm, ele baseado no fato de no se
conseguir computar facilmente logaritmos discretos. O DSS no utiliza o RSA.
10. Gerncia de Segurana
10.1 Plano de Segurana
Criar um plano de segurana uma tarefa dinmica que envolve diversas etapas.
Uma vez que voc tenha definido suas metas, elaborando um plano de negcios para
uso na Internet, voc poder criar o programa de segurana a ser usado para cuidar
de eventuais riscos. Voc dever se preocupar com os servios de curto prazo,
destinados a usurios finais, de que a sua empresa precisa, alm de levar em
considerao o uso estratgico, a longo prazo, da Internet.
Estamos falando at agora da Internet, que pode ser a primeira vista o ponto mais
crtico, mas temos que nos preocupar com os fatores internos que podem ser bem
mais graves. Resumindo:
Distribuio de autoridades e privilgios;
Poltica de senhas;
Poltica de backup;
Uso do Antivrus;
Educao em segurana (palestras peridicas);
Anlise de Risco
o Destruio de Dados
www.projetoderedes.kit.net 47
Perda
Perda
Perda
Perda
de
de
da
de
integridade de dados
integridade do sistema ou da Rede
capacidade de acesso ao Sistema ou a Rede
reputao
Anlise de ameaas
Implementar os controles de segurana
Gerenciar e administrar
o
o
o
o
o
Monitorao e Auditoria;
Resposta a Incidentes;
Resposta a problemas de segurana;
Administrao da Segurana;
Alocao de recursos
www.projetoderedes.kit.net 48
~ The End ~
www.projetoderedes.kit.net 49
www.projetoderedes.kit.net 50
www.projetoderedes.kit.net 51
www.projetoderedes.kit.net 52
www.projetoderedes.kit.net 53