Apostila 4

Ameaças e Contramedidas
de Segurança no Host

1
Apostila 4 - Ameaças e Contramedidas no Host
Ir ao início
Ameaças e Contramedidas de Segurança
no Host
 As ameaças no host são direcionadas ao sistema
de software sobre o qual suas aplicações são
construídas.
 Isto inclui o Windows Server, o Internet
Information Services (IIS), o .NET Framework, e o
SQL Server, dependendo da função específica do
servidor.
 As principais ameaças no nível do host são:
•Vírus, Cavalos de Tróia e Worms •Negação de serviço
•Footprinting (rastro) •Execução de códigos
•Profiling (elaboração de perfil) arbitrários
•Quebra de senha •Acesso não autorizado
2
Apostila 4 - Ameaças e Contramedidas no Host
Ir ao início
Vírus, Cavalos de Tróia e Worms
 Um vírus é um programa criado para executar atos
maliciosos e causar interrupções em seu sistema
operacional ou aplicações.
 Um cavalo de tróia lembra um vírus, exceto que o
código malicioso fica contido dentro do que
parece ser um arquivo de dados inofensivo ou um
programa executável.
 Um worm é similar a um cavalo de tróia exceto
que ele se auto-replica de um servidor para o
outro.

3
Apostila 4 - Ameaças e Contramedidas no Host
Ir ao início
Vírus, Cavalos de Tróia e Worms
 Os worms são difíceis de serem detectados
porque eles não criam arquivos regulares que
podem ser vistos.
 Eles muitas vezes são notados apenas quando
começam a consumir recursos do sistema porque
o sistema torna-se mais lento ou a execução de
outros programas simplesmente para.
 O worm Code Red é um dos mais notórios e que
afligem o IIS; explora a vulnerabilidade de estouro
do buffer em um filtro do protocolo Internet Server
Application Programming Interface (ISAPI).
4
Apostila 4 - Ameaças e Contramedidas no Host
Ir ao início
Vírus, Cavalos de Tróia e Worms
 Os worms são difíceis de serem detectados
porque eles não criam arquivos regulares que
podem ser vistos.
 Eles muitas vezes são notados apenas quando
começam a consumir recursos do sistema porque
o sistema torna-se mais lento ou a execução de
outros programas simplesmente para.
 O worm Code Red é um dos mais notórios e que
afligem o IIS; explora a vulnerabilidade de estouro
do buffer em um filtro do protocolo Internet Server
Application Programming Interface (ISAPI).
5
Apostila 4 - Ameaças e Contramedidas no Host
Ir ao início
Vírus, Cavalos de Tróia e Worms
 Apesar de estas ameaças tratarem na verdade de
ataques, juntas elas representam uma ameaça
considerável para as aplicações web, para os
hosts destas aplicações, e para a rede usada para
distribuir estas aplicações.
 O sucesso destes ataques em qualquer sistema é
possível através de muitas vulnerabilidades como
padrões fracos, bugs de software, erros de
usuários, e vulnerabilidades inerentes em
protocolos da Internet.

6
Apostila 4 - Ameaças e Contramedidas no Host
Ir ao início
Vírus, Cavalos de Tróia e Worms
 Apesar de estas ameaças tratarem na verdade de
ataques, juntas elas representam uma ameaça
considerável para as aplicações web, para os
hosts destas aplicações, e para a rede usada para
distribuir estas aplicações.
 O sucesso destes ataques em qualquer sistema é
possível através de muitas vulnerabilidades como
padrões fracos, bugs de software, erros de
usuários, e vulnerabilidades inerentes em
protocolos da Internet.

7
Apostila 4 - Ameaças e Contramedidas no Host
Ir ao início
Vírus, Cavalos de Tróia e Worms
 Contramedidas que podem ser usadas contra
vírus, cavalos de tróia e worms incluem:
 Fique atualizado com os últimos pacotes de
serviços e patches (atualizações) de softwares do
sistema operacional.
 Bloqueie todas as portas desnecessárias no
firewall e no host.
 Inabilite funcionalidades não utilizadas, incluindo
protocolos e serviços.
 Endureça configurações padrões fracas.

8
Apostila 4 - Ameaças e Contramedidas no Host
Ir ao início
Footprinting
 Exemplos de footprinting são varreduras de
portas, ping sweeps, e enumeração NetBIOS que
podem ser usados por invasores para colher
informações valiosas no nível do sistema, para
ajudar a prepará-los para outros ataques
significativos.
 O tipo de informação potencialmente revelada por
footprinting inclui detalhes sobre contas, sistemas
operacionais e outras versões de software, nomes
de servidores, e detalhes de esquemas de bancos
de dados.
9
Apostila 4 - Ameaças e Contramedidas no Host
Ir ao início
Footprinting
 Contramedidas para ajudar a evitar footprinting
incluem:
 Desativar protocolos desnecessários.
 Fechar portas com a configuração de firewall
apropriada.
 Usar filtros TCP/IP e IPSec para defesa em
profundidade.
 Configurar IIS para evitar a revelação de
informações através da obtenção de banners.
 Usar um IDS que possa ser configurado para
detectar padrões de footprinting e rejeitar todo o
10
tráfego
Apostilasuspeito.
4 - Ameaças e Contramedidas no Host
Ir ao início
Quebra de Senha
 Se um invasor não consegue estabelecer uma
conexão anônima com o servidor, ele terá que
tentar estabelecer uma conexão autêntica. Para
tanto, o invasor deve conhecer um nome de
usuário e senha válidos.
 Se você utilizar nomes de conta padrão, estará
facilitando o trabalho do invasor.
 Então, ele terá apenas que descobrir a senha para
a conta. O uso de senhas fracas facilitará ainda
mais o trabalho dele.

11
Apostila 4 - Ameaças e Contramedidas no Host
Ir ao início
Quebra de Senha
 Contramedidas para ajudar a evitar a quebra de senha
incluem:
 Use senhas fortes para todos os tipos de contas.
 Aplique políticas de bloqueio para contas de usuários
finais para limitar o número de tentativas que podem ser
feitas para adivinhar a senha.
 Não use nomes de contas padrão, e dê outro nome às
contas padrão, como é feito com a conta do
administrador e com as contas de usuários anônimos na
Internet utilizadas em muitas aplicações web.
 Faça auditoria dos logins que falharam para buscar
padrões de tentativas de quebra de senhas.
12
Apostila 4 - Ameaças e Contramedidas no Host
Ir ao início
Negação de Serviço
 A negação de serviço pode ser obtida através de
muitos métodos direcionados para diversos alvos
em sua infra-estrutura.
 No host, um invasor pode interromper o serviço
com força bruta contra uma aplicação, ou um
invasor pode conhecer uma vulnerabilidade que
existe no serviço onde sua aplicação está
hospedada ou no sistema operacional que é
executado em seu servidor.

13
Apostila 4 - Ameaças e Contramedidas no Host
Ir ao início
Negação de Serviço
 Contramedidas para ajudar a evitar a negação de
serviço incluem:
 Configure suas aplicações, serviços, e sistema
operacional tendo em mente a negação de
serviço.
 Mantenha-se atualizado com patches e
atualizações de segurança.
 Fortaleça o stack TCP/IP contra a negação de
serviço.

14
Apostila 4 - Ameaças e Contramedidas no Host
Ir ao início
Negação de Serviço
 Certifique-se de que suas políticas de bloqueio de
contas não podem ser exploradas para fazer o
bloqueio de contas de serviços bem conhecidas.
 Certifique-se de que sua aplicação é capaz de lidar
com grandes volumes de tráfego e que passagens
estão posicionadas para lidar com cargas
absurdamente altas.
 Reveja a funcionalidade do failover de sua
aplicação.

15
Apostila 4 - Ameaças e Contramedidas no Host
Ir ao início
Execução de Código Arbitrário

 Se um invasor pode executar códigos

maliciosos em seu servidor, os recursos do
servidor estarão comprometidos ou
preparar ataques futuros contra sistemas
downstream.
 Os riscos apresentados pela execução de
códigos arbitrários aumentarão caso o
processo do servidor sob o qual o código
do invasor está em execução for
privilegiado.
16
Apostila 4 - Ameaças e Contramedidas no Host
Ir ao início
Execução de Código Arbitrário

 Vulnerabilidades comuns incluem

configuração fraca e servidores sem
patches que permitem ataques de estouro
do buffer e de passagem do caminho, que
podem levar à execução de código
arbitrário.

17
Apostila 4 - Ameaças e Contramedidas no Host
Ir ao início
Execução de Código Arbitrário
 Contramedidas para ajudar a evitar a execução de
código arbitrário incluem:
 Configure o IIS para rejeitar URLs com "../" para
evitar passagens no caminho.
 Tranque utilidades e comandos do sistema com
ACLs restritas.
 Mantenha-se atualizado com patches e
atualizações para garantir que estouros de buffer
recém-descobertos sejam rapidamente cobertos.

18
Apostila 4 - Ameaças e Contramedidas no Host
Ir ao início
Acesso Não Autorizado

 Contramedidas para ajudar a evitar o

acesso não autorizado incluem:
 Configure permissões da web seguras.
 Tranque arquivos e pastas com permissões
NTFS restritas.
 Use os mecanismos de controle de acesso
.NET Framework em suas aplicações
ASP.NET, incluindo demandas para
permissão principal e autorização da URL.
19
Apostila 4 - Ameaças e Contramedidas no Host
Ir ao início
Acesso Não Autorizado

 Controles de acesso inadequados podem

permitir que um usuário não autorizado
tenha acesso a informações restritas ou
execute operações restritas.
 Vulnerabilidades comuns incluem controles
fracos de acesso IIS Web, incluindo
permissões da web e permissões fracas
NTFS.

20
Apostila 4 - Ameaças e Contramedidas no Host
Ir ao início
Acesso Não Autorizado

 Controles de acesso inadequados podem

permitir que um usuário não autorizado
tenha acesso a informações restritas ou
execute operações restritas.
 Vulnerabilidades comuns incluem controles
fracos de acesso IIS Web, incluindo
permissões da web e permissões fracas
NTFS.

21
Apostila 4 - Ameaças e Contramedidas no Host
Ir ao início
Bibliografia
 http://technet.microsoft.com/pt-br/library/dd569900.aspx

22
Apostila 4 - Ameaças e Contramedidas no Host
Ir ao início