Segurana de Redes-

Arquitetura
Cssio Alexandre Ramos
cassioaramos (at) gmail (dot) com
http://www.facebook.com/cassioaramos
http://cassioaramos.blogspot.com

27/12/11 2
Sumrio
Introduo
Requisitos Bsicos e Projeto de Defesa
Segurana de Backbone
Segurana de Desktop e Rede Local
Ameaas e Tipos de Ataques
Segurana de Permetro
Metodologia de Ataque
27/12/11 3
Introduo
Por que Segurana?
Estamos cada vez mais dependentes dos sistemas
de informao
A Internet vulnervel foi concebida utilizando
protocolos inseguros
Segurana no est somente relacionada com
invaso de sistemas
27/12/11 4
Pesquisa Nacional de Segurana
da Informao [Modulo 2004]:

42% das empresas tiveram problemas com a Segurana da
Informao;
35% das empresas reconhecem perdas financeiras. 65% das
empresas no conseguiram quantificar essas perdas;
Vrus, Spam, acessos indevidos e vazamento de informaes
foram apontados como as principais ameaas segurana das
informaes nas empresas;
O percentual de empresas que afirmam ter sofrido ataques e
invases de 77%;
26% das empresas no conseguem sequer identificar os
responsveis pelos ataques; e
58% dos entrevistados sentem-se inseguros para comprar em
sites de comrcio eletrnico.
27/12/11 5
Requisitos Bsicos da Segurana
Integridade
Disponibilidade
Confidencialidade
- Confidencialidade
- Integridade
- Disponibilidade
27/12/11 6
Requisitos Bsicos da Segurana
Confidencialidade: Certeza que somente as pessoas autorizadas a
acessar os dados podem acess-los
Integridade: Certeza que os dados no foram alterados - por
acidente ou intencionalmente
Disponibilidade: Certeza que os dados esto acessveis quando e
onde forem necessrios
27/12/11 7
Requisitos Bsicos da Segurana


Elementos Utilizados para Garantir a Confidencialidade
Criptografia dos dados
Controle de acesso
Elementos para garantir a Integridade
Assinatura digital
MD5- hash
Elementos para garantir a Disponibilidade
Backup
Tolerncia a falhas
Redundncia
27/12/11 8
Projeto de Defesa
Como se Defender?
Preveno mecanismos que devem ser instalados
no sistema para evitar ataques
Deteco como detectar os ataques. Como saber
se esto acontecendo
Resposta como responder aos ataques
Poltica de Segurana formalizao e sistemas
que implementam a poltica
27/12/11 9
Projeto de Defesa
Defesa em Profundidade











Principio do Menor Privilgio
Mltiplas barreiras entre quem ataca e o recurso que
se quer proteger
Quanto mais fundo o atacante quer chegar, mais
difcil ser
Aumentar o custo do ataque
O principal da defesa em camadas que um
componente complemente o outro formando um
sistema mais seguro
27/12/11 10
Ameaas e Tipos de Ataque
Ameaas
Backdoors, bots, exploits,
Trojans, malwares etc
Vi rus, Worms, Spams,
Hoax, fishing scam etc
Hackers, Crackers, Defacers,
spammers, funcionrios, ex-
funcionrios
Falhas (vulnerabilidades) em S.O,
aplicativos e protocolos
27/12/11 11
Ameaas e Tipos de Ataque
Tipos de Ataques
Hijacking, cracking, scanning, sniffing, spoofing, buffer
overflow, defacing etc.
27/12/11 12
Ameaas e Tipos de Ataque
Tipos de Ataques
DOS e DDOS
Engenharia Social- Kevin
Mitnick

27/12/11 13
Segurana de Permetro


Fronteira fortificada da sua rede de dados
Deve incluir alguns elementos de proteo
Permetro
27/12/11 14
Elementos de Segurana de Permetro


Elementos de Segurana de Permetro


Firewall
VPN
Zona Desmilitarizada (DMZ)
Host Hardening
Intrusion Detection System (IDS)
Network Address Translation (NAT)
Analisadores de Contedo
Analisadores de Logs
27/12/11 15
Firewall
Dispositivo (hardware + software) que possui regras especficas que
permitem ou bloqueiam o trfico
Mensagens que entram ou saem da rede devem ser examinadas pelo
firewall, que toma aes de acordo com critrios de segurana
especificados
Barreiras de segurana entre a intranet e a Internet para proteger a
rede interna contra acessos no autorizados
Esttico: Filtro de pacotes
Stateful: memoriza as conexes para uma melhor anlise
Proxy de Aplicao e Proxy Reverso
27/12/11 16
Filtro de Pacotes
Filtro de Pacotes
Determina se o pacote tem permisso para entrar ou
sair da rede de acordo com informaes localizadas
no cabealho do pacote
Cabealho de pacote um pequeno segmento de
informao que colocado no incio do pacote para
indentific-lo
Amplamente usado nos roteadores de borda ou de
permetro
27/12/11 17
Stateful Firewall
Filtro de Pacotes Statefull
Examina o cabealho dos pacotes
Se pacote permitido pelas regras- informaes so
armazenadas em uma tabela de estado
A partir da todas as comunicaes naquela sesso
so permitidas
27/12/11 18
Usando filtros de pacote IP
Servidor Web
HTTP
Outros
Protocolos
Cliente
27/12/11 19
Firewall
LAN
LAN
LAN
Internet
Firewall
Endereo/Servio
Autorizado
Endereo/Servio
no Autorizado
27/12/11 20
Proxy de Aplicao
O que ?
Procurador
Atua no nvel da aplicao- orientado a aplicao
Geralmente, o cliente precisa ser modificado- no transparente
Funciona como acelerador
Proxy
Cache
Web
Server
27/12/11 21
Proxy de Aplicao
Por que usar?
Autenticao de usurio
Inspeo de Contedo
Cache
Registro de Acessos
Esconde detalhes da rede interna
Proxy
Cache
Web
Server
27/12/11 22
Proxy de Aplicao
Proxy
Web
Server
1
3
6
2
5
4
Verifica
User autorizado?
Protocolo permitido?
Destino autorizado?
27/12/11 23
Hierarquia de Proxies
Internet
LAN2
Matriz
LAN1
1
3
5
6
2
4
27/12/11 24
Registro de Acessos
Registra o uso da Internet por usurio
Registro em texto bruto pode ser analizado
Pode ser utilizado para detectar alguns tipos de vrus
e adwares
27/12/11 25
Analisador de Logs
Perfil de
Acesso
27/12/11 26
Proxy Reverso
3
Web
Server
DNS
Server
Proxy R
5
4
2
6
1
Verifica
Request permitido?
Protocolo permitido?
Destino permitido?
27/12/11 27
Intranet
Router B
Parceiro1
Parceiro2 Parceiro3
Firewall
Firewall
Proxy
Internet
INTRANET
LAN1
LAN2
LAN3
LAN4
LAN5
27/12/11 28
VPN Virtual Private Network
A idia utilizar a estrutura pblica, com as mesmas facilidades de
uma rede privativa
Permite que usurios externos acessem a rede interna com
segurana
Canal protegido que cruza um canal desprotegido
Ex. Internet
27/12/11 29
VPN Virtual Private Network
Internet
Usurio
remoto
ISDN
Cable
DSL
Site central
Server
Site
Remoto
Site
Remoto
27/12/11 30
VPN Virtual Private Network
! LAN to LAN
! Extranet VPNs interligam escritrios remotos, clientes,
fornecedores e parceiros utilizando a estrutura pblica
! Acesso Remoto
! Interliga com segurana usurios remotos intranet
corporativa

Tipos de VPN
Site Remoto
27/12/11 31
VPN Virtual Private Network
Servidor
VPN
Servidor
VPN
Internet
27/12/11 32
VPN Virtual Private Network
" Escalvel
" Baixo custo de link
" Transparente para o usurio
Vantagens
" No utilizada quando o
desempenho fundamental
" Configurao complexa
Desvantagens
Servidor VPN
Servidor VPN
Pacote de dados
IPSEC
27/12/11 33
Intranet
Router B
Parceiro1
Parceiro2 Parceiro3
Firewall
Firewall/
Proxy
FILIAL
VPN
Internet
INTRANET
LAN1
LAN2
LAN3
LAN4
LAN5
27/12/11 34
DMZ e Bastion Host
" Utilizada para separar os servidores que precisam ser acessados
pela Internet dos que apenas sero acessados pelo pessoal
interno da organizao
DMZ: Zona Desmilitarizada
" Bastio, Baluarte. Fortaleza inexpugnvel. uma posio bem
fortificada
" Deve ser feito o hardening do host
Bastion Host
27/12/11 35
DMZ e Bastion Host
Hardening
Desabilitar servios que no esto sendo
utilizados
Utilizar sistemas operacionais e softwares sempre
atualizados
Desabilitar usurios e senhas default. Estabelecer
poltica rgida de senhas
Utilizar sistemas de arquivos robusto
Servidor deve estar configurado de acordo com
as boas prticas de segurana
27/12/11 36
DMZ e Rede Protegida
Internet
Servidor Web
Firewall
Cliente
Intranet
27/12/11 37
Intranet
Router B
Parceiro1
Parceiro2 Parceiro3
Internet
INTRANET
LAN1
LAN2
LAN3
LAN4
LAN5
FILIAL
VPN
DMZ
WEB
Server
DNS
Server
Mail
Server
Proxy R.
Hardened
Server
Firewall
Firewall/
Proxy
27/12/11 38
IDS Intrusion Detection System
IDS
Utilizado para detectar e alertar eventos maliciosos
Antecipar possveis invases aos sistemas
O sistema de defesa dever dispor de vrios agentes
IDS pela rede
Tipos: NIDS, HIDS e IPS
Normalmente verifica assinaturas pr-definidas e
eventos maliciosos
27/12/11 39
IDS Intrusion Detection System
Arquitetura Genrica
27/12/11 40
IDS Intrusion Detection System
Host Intrusion Detection System (HIDS)
Pode ser baseado em assinaturas
Esse tipo de IDS reside em um nico host e
monitora atividades especficas do mesmo
Verifica a integridade dos arquivos do SO
Monitora utilizao de recursos do host
27/12/11 41
IDS Intrusion Detection System


HDIS (Cont.)


Exemplos de componentes monitorados
Memria
Arquivos executveis
Espao em disco
Kernel
27/12/11 42
IDS Intrusion Detection System
Network Intrusion Detection System (NDIS)
Monitora todo o trfego da rede e compara este a um
banco de dados com assinaturas de ataque
Quando uma assinatura detectada um evento
disparado pelo IDS
Sistema utilizado para detectar e/ou reagir a uma
assinatura de ataque na rede
Utilizado para analisar o trfego de rede em tempo
real
Equi pamento dedi cado com processamento
compatvel com o tamanho da infra-estrutura
27/12/11 43
IDS Intrusion Detection System


NDIS (Cont.)

Sensor de Rede
Posicionamento em funo do conhecimento da topologia
Em ambientes com switch - Espelhamento de porta
Configurao stealth recomendada - Interface de captura
sem endereamento e capturando trfego de rede em modo
promscuo


27/12/11 44
Intranet
Internet
INTRANET
LAN1
LAN2
LAN3
LAN4
LAN5
FILIAL
VPN
DMZ
WEB
Server
NDIS
Mail
Server
Proxy R.
Hardened
Server
HIDS
Parceiro1
Parceiro2 Parceiro3
NIDS
NIDS
NIDS
NIDS NIDS
27/12/11 45
Network Address Translation
NAT
Tcnica utilizada por um dispositivo para a traduo
de endereos IP
Permite que uma rede use um conjunto de endereos
IP particulares para trfego interno
Converte os endereos IP particulares em endereos
IP pblicos
Permite que uma organizao economize endereos
IP pblicos
Aumenta a segurana ocultando endereos IP
Internos
27/12/11 46
131.107.0.9
NAT
131.107.0.9
10.10.10.7
Tabela NAT
10.10.10.0 mapeia
para 131.107.0.9
10.10.10.6
10.10.10.10
27/12/11 47
Intranet
Internet
INTRANET
LAN1
LAN2
LAN3
LAN4
LAN5
FILIAL
VPN
DMZ
WEB
Server
NDIS
Mail
Server
Proxy R.
Hardened
Server
HIDS
Parceiro1
Parceiro2 Parceiro3
NIDS
NIDS
NIDS
NIDS NIDS
NAT
27/12/11 48
Analisador de Contedo Web
Analisador de Contedo
Analisa as solicitaes de acesso a Internet
autorizando-as ou no
Poltica diferente de acordo com dias da semana e
horrios
Utilizado para evitar a navegao annima
Otimiza o uso do link de Internet, priorizando acesso
relacionado ao servio
27/12/11 49
Solues de Antivrus e Anti-Spam
Solues Antivirus/ Anti-Spam
Distribuidos em Gateways, Proxies, Servidores de
Arquivos, Servidores de Correio e desktops
Administrao Centralizada- firewall pessoal, IDS,
anti-spyware, atualizao de vacinas, assinaturas e
polticas
Filtra contedo de e-mail, por tamanho, n de
destinatrios, tipos de anexos etc
Possibilita anlise grfica e alarmes em tempo real
27/12/11 50
Segurana de Backbone

Segurana de Backbone
S trafegam no backbone
aplicaes autorizadas
Hardening nos equipamentos
de conectividade
Protocolos de roteamento-
seguros e com autenticao
Monitoramento do backbone e
links- criptografia
Se g u r a n a f s i c a d o s
equipamentos
Intranet servers
Campus
backbone
Logstica
Engenharia Finanas
Contabilidade
WAN
Vendas
27/12/11 51
Segurana de Desktop
e Rede Local
Desktop
Usurio recebe mquina pronta- firewall, IDS,
antivrus etc.
S.O atualizado, servios desnecessrios
desabilitados
Utilizar somente software autorizado e no
receber e-mail de procedncia duvidosa
27/12/11 52
Segurana de Desktop
e Rede Local
Desktop
Segurana fsi ca- fogo, cal or, poei ra,
magnetismo, exploso, vandalismo, roubo etc
Implementar rigida poltica de senhas
Utilizar rea de rede para arquivos importantes
27/12/11 53
Segurana de Desktop
e Rede Local
Rede Local
Utilizar switches e monitorar trfego
Administrao de Polticas centralizada
Autenticao nos dispositivos de rede
Segurana fsica dos dispositivos, poltica de backup,
tolerncia a falhas etc.
Implementar segurana de layer 2
27/12/11 54
Metodologia de Ataque


Coletando Informaes

Footprinting
nome de domnio,
endereos IP de servidores
arquitetura de rede e servios
mecanismos de segurana,
protocolos de rede
endereo, telefones de contato, e-mails etc.
www.arin.net, registro.br, www.netcraft.com, whois.com


27/12/11 55
Metodologia de Ataque
Coletando Informaes
Varredura de rede
Verificar sistemas operacionais de servidores
alvo
Verificar que servios esto ativos,
Consultas icmp ou varredura de portas TCP/UDP
Port Service
20? closed
21? FTP
22? closed
23? closed
24? closed
25? SMTP
27/12/11 56
Metodologia de Ataque
Coletando Informaes
Procura de Vulnerabilidades
Procura por servios vulnerveis- Ferramentas: Nessus, Nmap, Languard
Verificar a necessidade de utilizao de exploit- www.securityfocus.com
Utilizao de ferramentas para apagar rastros root kits
27/12/11 57


Dvidas??????