ANÁLISE DE RISCO E SUA INFLUÊNCIA NAS TOPOLOGIAS

DAS REDES DE COMPUTADORES

Prof. Antônio João de Arruda Cebalho

1- LEVANTAMENTO
OBJETIVO:

DELIMITAR O ESCOPO
RELACIONAR TUDO QUE PRECISA SER PROTEGIDO

FAZER O INVENTÁRIO DOS ATIVOS (dentro do escopo

delimitado)

IDENTIFICAR VULNERABILIDADES E AMEAÇAS

EXISTENTES (dentro do escopo delimitado)

IDENTIFICAR OS RISCOS PARA O NEGÓCIO DA

ORGANIZAÇÃO (MATRIZ DE RISCO)

AVALIAR AÇÕES A EXECUTAR PARA PROTEGER OS BENS

DA EMPRESA
 1- CLASSIFICANDO OS ATIVOS
1.1- PROCURAR SEMPRE IDENTIFICAR OS TIPOS DE AMEAÇAS AOS
PILARES DE SEGURANÇA QUE NECESSITAM SER PRESERVADOS:

INTEGRIDADE
DE QUE FORMA (S) A INFORMAÇÃO PODE SER
CORROMPIDA?

CONFIDENCIALIDADE
SÓ QUEM DEVE ACESSAR UMA DETERMINADA
INFORMAÇÃO ESTA ACESSANDO-A?

DISPONIBILIDADE
A INFORMAÇÃO SEMPRE PRECISA ESTAR DISPONÍVEL?
ELA ESTA?
O QUE PODE IMPEDIR A DISPONIBILIDADE?
Adianta proteger só um dos 3 pilares?

ATIVO PARCIALMENTE ROUBADO

4
5
5
2- ANÁLISE DE VULNERABILIDADES E RISCOS

2.1- AMBITOS DE ANÁLISE DE RISCOS

OS RISCOS PODEM SER CLASSIFICADOS QUANTO
A QUATRO CENÁRIOS OU AMBITOS:
AMBITO TECNOLÓGICO (HARDWARE E SOFTWARE)
AMBITO HUMANO (PERFIL DE ACESSO, FUNÇÕES)
AMBITO PROCESSUAL
AMBITO FÍSICO
2.2- ANÁLISE DE RISCO

2.2.1- AMBITO TECNOLÓGICO:

CONHECER AS CONFIGURAÇÕES, A DISPOSIÇÃO (TOPOLOGICA
DOS ATIVOS);
LEVANTAR QUAL É A IMPORTÂNCIA DOS ATIVOS PARA A
EMPRESA (CRITICIDADE);

ESCOPO A CONSIDERAR:
APLICAÇÕES (SISTEMAS, PLATAFORMAS, SOs , SOFTWARES
INSTALADOS, BANCO DE DADOS, etc…) E SEUS SERVIÇOS E
PROTOCOLOS;
EQUIPAMENTOS (COMPUTADORES SERVIDORES, ROTEADORES,
SWITCHES, RAS, MODENS-ROUTERS, TELEFONES IPs ETC…);
TOPOLOGIAS DAS REDES (INTRANET , EXTRANET (com outras
organizações), INTERNET, DMZs);
TECNOLOGIAS DE FIREWALL, HONEYPOTS, IDS, IPS;
 SEGURANÇA DAS INFORMAÇÕES

ESTAÇÃO
DE AP- ACCESS-POINTS
TRABALHO

QUADRO DE ENERGIA
DA REDE SERVIDORES
LINUX
DE REDE
EDUCACIONAL

SWITCHS
SISTEMAS
 SEGURANÇA DAS INFORMAÇÕES

ESTRATÉGIA DE DEFESA EM PROFUNDIDADE ADOTADA

ESTRATÉGIA

 DEFESA EM PERÍMETRO
Perimeter Defenses
Assume Prior Layers Fail  DEFESA DE REDE
Network Defenses

Host Defenses  DEFESA DE HOST

Application Defenses  DEFESA DE APLICAÇÕES

Data & Resources  DADOS E PESQUISAS

TECNOLOGIAS DE FILTRAGEM DE PACOTES

 TIPO 1: Filtragem por Dados:

 IP de origem
 IP de destino
 ID de protocolo IP
 Numero de portas TCP e UDP
 Flags de Fragmentação
 Configuração das opções do IP
 FILTRO DE PACOTES

 TIPO 2: ICMP
 Echo Request
 Echo Reply

 TTL Exceeded and Destination

Unreachable
 TIPO 3: FILTRO DE PACOTES
 Fragmentos:
NETWORK ADDRESS TRANSLATION (NAT)

 IP => 32 bits! Maximo 4 bilhões de

números.
 IP privado  IP publico
 FIREWALL

 Características mais comuns:

1. Bloqueia o recebimento de dados baseado em
uma fonte ou destino
2. Bloqueia o acesso a dados baseado em uma
fonte ou destino
3. Bloquear dados baseado em conteúdo
4. Permite conexões com uma rede interna
5. Reporta o tráfego na rede e as atividades do
Firewall
ENTENDENDO O BÁSICO DE UM FIREWALL

 1. Deny network traffic on all IP ports.

 2. Except, allow network traffic on
port 80 (HTTP).
 3. Except, from all HTTP traffic, deny
HTTP video content.
 4. Except, allow HTTP video content
for members of the Trainers group.
 5. Except, deny Trainers to download
HTTP video content at night.
 PROXY DE APLICAÇÃO

 Elaborada versão de Filtragem de

pacotes
 Não inspeciona somente o cabeçalho, e
sim uma parte de aplicação inteira de um
pacote
 Gera novamente pacotes antes de enviar
ao servidor de internet ou de responder
ao computador remoto.
 IDS DE REDE

Rede NIDS. Fonte: CASWELL et al., 2003, p. 4.

17
 HONEYPOT

 Honeypot significa “pote de mel” é um

recurso de segurança criado para ser
sondado, atacado e comprometido.
 HONEYPOT

 Honeypot é um único sistema conectado

a uma rede de produção.

O Honeypot pode ser uma máquina

emulada ou uma máquina real na rede.
 TIPOS DE HONEYPOT

 Honeypot de produção: Servem para

distrair atividades maliciosas de máquinas
da rede ou como mecanismo de alerta na
rede de computadores.

 Honeypot de pesquisa: Servem para

monitorar e estudar os comportamento dos
atacantes.
 FINALIDADES DOS HONEYPOTS

 Coleta de códigos maliciosos

 Identificar varreduras e ataques
 Acompanhamento das vulnerabilidades
 Descobrir as motivações dos atacantes
 Auxílio aos sistemas de detecção de
intrusão
 Manter atacantes afastados de sistemas
importantes
HONEYNET CLÁSSICA
 HONEYNET CLÁSSICA

 Vantagens:
– Dispositivos reais;
– Mais segurança pela descentralização dos
honeypots

 Desvantagens:
– Custo elevado;
– Dificuldades na instalação e administração;
– Complexidade para manutenção;
– Espaço alocado muito grande;
 TIPOS DE HONEYNETS

 Virtual:
– Composta por Honeypots virtuais (máquinas
virtuais);

– Uso de emuladores;

– Todo ambiente composto por uma única

máquina (sistemas operacionais emulados)
 HONEYNET VIRTUAL

09/06/2004 BSI 350

09/06/2004 BSI 350
09/06/2004 BSI 350
SPECTER CONTROL
COMO ELE TRABALHA?

UM SISTEMA SPECTER consiste de um PC dedicado e o software

SPECTER.
Ele é conectado a uma rede, onde ataques são esperados. Isto
usualmente significa conectá-lo próximo do ponto de acesso à
Internet, tipicamente na DMZ, mas ele pode ser conectado diretamente
na Internet. SPECTER pode também ser instalado nas redes internas
para descobrir atividades maliciosas originárias de dentro da
organização, ou para detectar brechas de segurança.

Outra possibilidade interessante é instalar o SPECTER numa máquina

de produção tal como o servidor de correio. Neste cenário, o serviço e
SMTP é real enquanto todos os outros serviços da rede na máquina
são simulados pelo SPECTER. Se um atacante olhar ou entrar na
máquina, ele irá se conectar a um dos serviços que estão sendo
simulados.
2.2- ANÁLISE DE RISCO
2.2.2- AMBITO HUMANO:
CONSISTE EM LEVANTAR COMO AS PESSOAS SE RELACIONAM
COM OS ATIVOS.

ENVOLVE:
TIPOS DE NÍVEL DE ACESSO DAS PESSOAS NA REDE OU NAS
APLICAÇÕES (RESTRIÇÕES, PERMISSÕES, PERFIL) OU EM
AMBIENTES DA ORGANIZAÇÃO;
TIPOS DE NÍVEL DE FORMAÇÃO/CAPACITAÇÃO QUE AS PESSOAS
PRECISAM TER;
FERRAMENTAS/SOFTWARES QUE OS USUÁRIOS UTILIZAM NA
REDE;
TIPOS DE VULNERABILIDADES USUÁRIOS/ORGANIZAÇÃO;
MONITORAMENTO DO PADRÃO DE VIDA;
2.2- ANÁLISE DE RISCO
2.2.2- AMBITO HUMANO:
O USO DE LOGS, E SISTEMAS DE CONTROLE DE ACESSO,
CONTROLE DE ASSIDUIDADE, SISTEMA DE CFTV, FERRAMENTAS DE
GERENCIAMENTO DE PRODUTIVIDADE DO USUÁRIO,
FERRAMENTAS DE USO DE SOFTWARE PELOS USUÁRIOS, FILTROS
DE CONTEÚDO WEB, AUXILIAM NESSE LEVANTAMENTO.
 EXEMPLOS DE ALGUMAS AMEAÇAS HUMANAS:

ACESSOS INDEVIDOS;
FURTO DE INFORMAÇÕES;
FRAUDE ELETRÔNICA E FALSIFICAÇÃO DE IDENTIDADE ;
DANO AOS DADOS E INFORMAÇÕES ARQUIVADAS ;
ESPIONAGEM PARA OBTENÇÃO DE SEGREDOS INDUSTRIAIS/COMERCIAIS;
CÓPIAS NÃO AUTORIZADAS DE ARQUIVOS E PROGRAMA ;
VIOLAÇÃO DO DIREITO AUTORAL ;
INTERCEPTAÇÃO INDEVIDA DE INFORMAÇÃO;
VIOLAÇÃO DE BASES DE DADOS PESSOAIS;
EXPOSIÇÃO DA MARCA ASSOCIADA A CONTEÚDO OFENSIVO OU FALSO EM
CHAT, NEWSGROUP, MESSAGING, PEER-TO-PEER NETWORK, STREAMING
MIDIA, E-MAIL, WEBSITE, HOTSITE;
“SUCKS” SITES – FRUSTRAÇÃO DO CONSUMIDOR – ATUALMENTE TAMBÉM
EM COMUNIDADES, BLOGS, FOTOLOGS, FORUMS
PIRATARIA – DE MARCA, TEXTO, AUDIO, VIDEO, MUSICA, SOFTWARE
PORNOGRAFIA – 300.000 DOMÍNIOS MAIS VISITADOS DA WEB NO MUNDO
CONTÉM PORNOGRAFIA (CASE ZIPPO, SEXDISNEY.COM)
 PLANEJAMENTO DOS ACESSOS
PROTEÇÃO POR ESTRUTURA DE DIRETÓRIOS EM
ÁRVORE

Diretório Raiz
 DIREITOS DE ACESSO
Acesso Descrição
Leitura Qualquer tipo de operação em que o
arquivo possa ser visualizado, como a
exibição de seu conteúdo, edição ou cópia
de um novo arquivo
Gravação Alteração no conteúdo do arquivo, como
inclusão ou alteração de registros.
Execução Associado a arquivos executáveis ou
arquivos de comandos, indicando o direito
de execução do arquivo.
Eliminação Permissão para se eliminar um arquivo.
PROTEÇÃO POR GRUPO DE
USUÁRIOS
Nível de Tipo de
proteção Acesso

Owner Leitura
(dono do grupo) Escrita
Execução
Eliminação
dados.txt
Group Leitura
All --
PROTEÇÃO POR LISTA DE CONTROLE DE
ACESSO

Usuário: Laureano
Usuário: Laureano
Acesso: leitura +
Acesso: leitura +
escrita
escrita + execução
Usuário: Maziero
Usuário: Maziero
Acesso: leitura
Acesso: eliminação
 TÉCNICAS UTILIZADAS PARA SUBVERTER

ENGENHARIA SOCIAL:
Ataque direto -> solicitação de informação diretamente
ao “usuário alvo”.

Aquisição de Confiança -> o atacante busca “ganhar a

confiança” de alguém que possa oferecer informações
relevantes.

Ausência de Controle de Acesso ->. O atacante tem

acesso à empresa sem que seja percebido ou se
passando por um funcionário do suporte técnico,
Por exemplo
 ALVOS COMUNS DA ENGENHARIA SOCIAL:

Os que desconhecem o valor das informações:

Recepcionistas, telefonistas, assistentes
administrativos, guardas de segurança;

Os que possuem privilégios especiais: Suporte

técnico, administrador de sistema, operadores de
computador, administradores do sistema de
telefone;

Departamentos específicos: Contabilidade,

recursos humanos e outros.
EXEMPLOS:
EXEMPLOS:
EXEMPLOS:
2.2- ANÁLISE DE RISCO

2.2.3- AMBITO PROCESSUAL:

CONSISTE EM ANALISAR O FLUXO DAS INFORMAÇÕES E COMO
ELAS TRAFEGAM DE UMA ÁREA PARA OUTRA DENTRO DA
ORGANIZAÇÃO.
O FÓCO É LEVANTAR O TIPO DE USUÁRIO E A INFORMAÇÃO
(MAPEAMENTO USUÁRIO X INFORMAÇÃO).
ESTE TIPO DE LEVANTAMENTO É TRABALHOSO E REQUER
PESSOAL DEDICADO.

2.2.4- AMBITO FÍSICO:

CONSISTE EM IDENTIFICAR AS VULNERABILIDADES FÍSICAS QUE
POSSAM TRAZER ALGUM PREJUÍZO À INFORMAÇÃO E A TODOS
OS DEMAIS ATIVOS.
SERVICE CENTER
Sistema anti incendios de gas.
(piso elevado, telas, ...)

Sensores de movimento

Vídeo-vigilancia

Monitorização de sistemas
Alarmes de intrusão

Condições ambientais
No-breaks e geradores Reguladas com climatização
eléctricos duplicados redundante

Racks reforçados Sistemas de segurança de

de entrada e saída

Vigilantes jurados
 IMPROVIZAÇÃO
NÃO RECOMENDADA
TIPOS DE ARQUITETURAS DE ENFRIAMIENTO
RECOMENDADAS

Por fila

Por rack
Por sala
SOLUÇÕES EM AUTOMAÇÃO

CFTV E ANÁLISE INTELIGENTE DE IMAGENS

sistemas digitais de cftv (transmissão através de redes ip,
wireless);
sistemas especiais para monitoramento de processos
industriais e processos de segurança;
sistemas inteligentes de análise de imagem (contagem de
pessoas, reconhecimento de caracteres, outros);
monitoramento de grandes áreas

AUTOMAÇÃO DOS PROCESSOS E UTILIDADES PREDIAL E

INDUSTRIAL
integração de soluções através de uma central de
supervisão única:
sistemas de ar condicionado;
sistemas de iluminação;
sistemas hidráulicos;
sistemas de energia;
elevadores
SOLUÇÕES EM AUTOMAÇÃO

DETECÇÃO E ALARME DE INTRUSÃO

monitoramento e alarme de áreas internas (detectores de
movimento, sensores de quebra de vidro, sensores de
contato para portas e janelas, teclados, dispositivos sem
fio);
monitoramento e alarme de áreas externas (radares,
sensores de infra vermelho ativo, sensores de microondas,
cabos microfônicos, sensores óticos, sistemas de vídeo
inteligente, cabos poticos)

SONORIZAÇÃO AMBIENTE E DE EMERGÊNCIA

sistemas digitais com transmissão via rede ethernet (ip);
integração com sistemas de alarme de incêndio, controle
de acessos e ativos e detecção de intrusão (emergência);
integração com sistemas de vídeo
 SEGURANÇA LÓGICA
LAN

Internet WAN, MAN

• Proteger pontos de
rede ACL
• Proteger dispositivos VPN
de rede (switches, routers)
Firewall
• Segmentar rede
VLAN´s
• Regras de controle de
acessos (quem, o que,
IPS/IDS
quando, como) Autenticação
• Auditoria: logs Criptografia
• Premissa: Tudo deve Certificado Digital
ser proibido a menos Sistema Operacional
Informação
que seja expressamente
permitido
SUB-SOLO INUNDADO
ÁREA GRANDE COM MUITAS JANELAS SEM GRADES
 CABEAMENTO ESTRUTURADO DA REDE – INTERNAMENTE MAL PASSADO

CABEAMENTO PASSADO DE FORMA INADEQUADA, CONTRARIANDO AS NORMAS TÉCNICAS ASSOCIADAS

– RUÍDO DE REDE ELÉTRICA/AR CONDICIONADO
 ÁREA EXTERNA DA EMPRESA COM CABEAMENTO ESTRUTURADO SENDO PASSADO

CABEAMENTO IRREGULAR: SEM PROTEÇÃO, EXPOSTO AO AMBIENTE, SUJEITO A RUÍDO E INTERFERÊNCIA

(MOTOR DO AR CONDICIONADO)
 CABEAMENTO
ESTRUTURADO ERRADAMENTE
FIXADO (NO CHÃO)
 RACK

CONVERSORES DE FIBRA/CABO UTP

EXPOSTOS, MAL INSTALADOS

CABEAMENTO PASSADO DE FORMA INADEQUADA E DESORGANIZADA CONTRARIANDO AS NORMAS TÉCNICAS

ASSOCIADAS
 RACK
EXCESSO DE DESORGANIZAÇÃO E NÃO
ATENDIMENTO ÀS NORMAS DE CABEAMENTO

CABEAMENTO PASSADO DE FORMA INADEQUADA E DESORGANIZADA CONTRARIANDO AS NORMAS TÉCNICAS

ASSOCIADAS
 RACK CABEAMENTO DESORGANIZADO DENTRO E FORA DO RACK

CABEAMENTO PASSADO DE FORMA INADEQUADA E DESORGANIZADA CONTRARIANDO AS NORMAS TÉCNICAS

ASSOCIADAS
 RACK SUAIS
CABEAMENTO DESORGANIZADO DENTRO R FORA DO RACK

CABEAMENTO PASSADO DE FORMA INADEQUADA E DESORGANIZADA CONTRARIANDO AS NORMAS TÉCNICAS ASSOCI