PAL0088.PPT ©1998 – RNP Segurança na Internet Ari Frazão Jr. Segurança na Internet Março de...
Transcript of PAL0088.PPT ©1998 – RNP Segurança na Internet Ari Frazão Jr. Segurança na Internet Março de...
PAL0088.PPT©1998 – RNP
Segurança na Internet
Ari Frazão Jr.
Segurança na Internet
Março de 1998
PAL0088
PAL0088.PPT©1998 – RNP
Segurança na Internet
Índice:• Parte A: Introdução
• Parte B: Situação Atual
• Parte C: Política de Segurança
• Parte D: Classificação dos Ataques
• Parte E: Ataques Mais Freqüentes
• Parte F: Vulnerabilidades
• Parte G: Como se Proteger
• Parte H: Reagindo a Invasões
• Parte I: Referências Importantes
PAL0088.PPT©1998 – RNP
Segurança na Internet
Parte A: Introdução
Introdução
“ É fácil ter-se um sistema de computação seguro.
Você meramente tem que desconectar o seu
sistema de qualquer rede externa, e permitir
somente terminai ligados diretamente a ele. Pôr
a máquina e seus terminais em uma sala fechada,
e um guarda na porta.“
F.T. Grampp e R.H. Morris
PAL0088.PPT©1998 – RNP
Segurança na Internet
Parte A: Introdução
continuação
Introdução
A Internet não é completamente segura
Disponibilidade do conhecimento
A segurança como uma tarefa não produtiva
Avaliação dos riscos
PAL0088.PPT©1998 – RNP
Segurança na Internet
Parte B: Situação Atual
Situação Atual
Número cada vez maior de problemas
Muita facilidade para “hackear”
Muitos administradores inexperientes ou negligentes
Situação não é de pânico, mas de alerta
PAL0088.PPT©1998 – RNP
Segurança na Internet
Parte B: Situação Atual
continuação
Infinidade de tópicos
Grande consumo de tempo
Desinformação
Dificuldade de receber apoio ou cooperação
Falta de legislação específica
PAL0088.PPT©1998 – RNP
Segurança na Internet
Parte B: Situação Atual
continuação
Fonte: CERT/CC (www.cert.org/pub/cert-stats/cert_stats.html)
Ano Incidentes Mails Recebidas Vulnerabilidades1995 2.412 32.084 1711996 2.573 31.268 3451997 2.134 39.626 311
PAL0088.PPT©1998 – RNP
Segurança na Internet
Parte C: Política de Segurança
Política de Segurança
Por que a segurança é necessária?
Uso de recursos (CPU, disco, impressoras)
Valor ou importância da informação
Perguntas
O que deve ser protegido?
Qual o custo da proteção?
Qual o custo das perdas em caso de ataque?
PAL0088.PPT©1998 – RNP
Segurança na Internet
Parte C: Política de Segurança
continuação
Por que usá-la?
Por reduzir a surpresa/confusão e o stress conseqüente a uma invasão
Pelo fato de definir os limites aceitáveis de comportamento
Por ajudar a estabelecer ferramentas e procedimentos
O que deve conter:
O que é, ou não é, permitido (ex.: informara senha de acesso a terceiros)
Distribuição de responsabilidades
Limites aceitáveis de comportamento e punições adequadas
O que fazer em caso de invasão
PAL0088.PPT©1998 – RNP
Segurança na Internet
Parte C: Política de Segurança
continuação
O que não deve conter
Detalhes técnicos
Imitações de política de outra instituição
Deve estar sujeita a revisões constantes
Política é diferente de procedimentos
Política o que vai ser protegido
Procedimentos como vai ser protegido
A documentação como maior problema
PAL0088.PPT©1998 – RNP
Segurança na Internet
Parte D: Classificação dos Ataques
Ataque de origem externa
Praticado por alguém a partir de outra instituição
Soluções:
Maior atenção com as senhas
Configurar a rede segundo a segurança do sistema
Usar ferramentas de monitoração
Instalar os patches do sistema
Bloquear conexões TCP/IP
Classificação dos Ataques
PAL0088.PPT©1998 – RNP
Segurança na Internet
Parte D: Classificação dos Ataques
continuação
Ataque de origem interna
Realizado por algum usuário da própria rede ou alguém com acesso às instalações
Soluções:
Bloquear o acesso físico às instalações
Criar uma política de segurança
Usar criptografia
Não deixar os usuários abusar de programas de domínio público
PAL0088.PPT©1998 – RNP
Segurança na Internet
Parte E: Ataques Mais Freqüentes
Ataques Mais Freqüentes
Engenharia social
Explora a ingenuidade das pessoas
É difícil de se proteger
Roubo de senhas
Forma mais comum de ataque
Explora falhas no sistema ou tenta por acaso
Uso de sniffers
PAL0088.PPT©1998 – RNP
Segurança na Internet
Parte E: Ataques Mais Freqüentes
continuação
Erros de software
Explorando falhas em softwares (sistemas operacionais)
Predileção por programas que executam com muitos privilégios
Mudança de páginas
Abusos (spam, pirataria)
Denial of service
PAL0088.PPT©1998 – RNP
Segurança na Internet
Parte E: Ataques Mais Freqüentes
continuação
Objetivos
roubar informações
causar dano
atacar outro site
provar que ele pode
por que alguém atacaria seu “site”??
PAL0088.PPT©1998 – RNP
Segurança na Internet
Parte F: Vulnerabilidades
TCP/IP (protocolo e implementações)
Sistemas (UNIX, NT, Netware,..)
Programas
Administração (configuração incorreta de serviços)
Autenticação (logins e senhas trafegando como texto puro na rede)
Hardware
Outros
Vulnerabilidades
PAL0088.PPT©1998 – RNP
Segurança na Internet
Parte G: Como se Proteger
Procurar antecipar-se aos problemas
Rodar programa que busca por senhas fáceis na própria base de seus usuários - crack crack (ftp://ftp.cert.org/pub/tools/crack)
Conscientizar os usuários da importância de se ter senhas não triviais
Instalar programas para fazer a monitoração da rede
TCPDUMPTCPDUMP - monitora tráfego da rede (ftp://ftp.ee.lbl.gov/tcpdump2.2.1.tar.Z)
TRACEROUTETRACEROUTE - traça caminho para um determinado destino (ftp://ftp.ee.lbl.gov/traceroute.tar.Z)
SNIFFERSNIFFER - grava os primeiros 128 bytes de uma sessão (muito usado por hackers)
Como se Proteger
PAL0088.PPT©1998 – RNP
Segurança na Internet
Parte G: Como se Proteger
continuação
Instalar programas para fazer a monitoração dos servidores
TRIPWIRETRIPWIRE - monitor de integridade para sistemas UNIX que detecta alterações nos arquivos executáveis, modificação de permissões, etc. (ftp://ftp.cs.purdue.edu/pub/spaf/COAST/Tripwire)
TAMU TigerTAMU Tiger - procura por vulnerabilidades em sistemas UNIX, examinando contas e senhas, permissões de arquivos, mudanças em arquivos, etc.
(ftp://net.tamu.edu/pub/security/TAMU)
SWATCHSWATCH - procura por dados relevantes nos arquivos de log do sistema (ftp://ftp.stanford.edu/general/security-tools/swatch)
ISSISS - testa vulnerabilidades mais comuns nos principais serviços de rede (ftp://ftp.iss.net/pub/iss)
PAL0088.PPT©1998 – RNP
Segurança na Internet
Parte G: Como se Proteger
continuação
Fazer uso de criptografia
mensagem
Chave secretade quem envia
Chave secretade quem recebe
Chave públicade quem envia
Chave públicade quem recebe
PGP: http://www.ifi.uio.no/pgp
PAL0088.PPT©1998 – RNP
Segurança na Internet
Parte G: Como se Proteger
continuação
Definir um firewall
Mecanismo de defesa cuja função básica é a de restringir o fluxo de dados entre duas redes
Atua como uma barreira entre duas redes
Permite que usuários internos acessem facilmente o mundo externo
Permite bloquear a entrada e saída de pacotes
Concentra os problemas em um único ponto
Possui várias arquiteturas:
Filtros de Pacotes Screened Host
Dual Homed Host Screened Subnet
PAL0088.PPT©1998 – RNP
Segurança na Internet
Parte G: Como se Proteger
continuação
O que um firewall pode fazer:
Fortalecer a política de segurança - filtrar serviços inseguros, mantendo apenas internamente, se necessário
Implantar um sistema de logs eficiente
Prover aos usuários internos acesso seguro à Internet
O que um firewall não pode fazer:
Proteger a rede de usuários internos mal intencionados
Proteger contra conexões que não passam por ele
Proteger contra novas ameaças
Proteger contra vírus
PAL0088.PPT©1998 – RNP
Segurança na Internet
Parte G: Como se Proteger
continuação
Arquitetura de um firewall (Filtros de Pacotes)
PAL0088.PPT©1998 – RNP
Segurança na Internet
Parte H: Reagindo a Invasões
Sinais de Invasão
Processos estranhos na máquina
Atividade acima do normal
Reboots sem razão aparente
Arquivos escondidos (“. “, “...”, etc)
Entradas novas na base de dados dos usuários
Novos servicos no inetd.conf
Sua senha circulando no underground
Reagindo a Invasões
PAL0088.PPT©1998 – RNP
Segurança na Internet
Parte H: Reagindo a Invasões
continuação
Recuperando de uma Invasão
Avalie a invasão
Se existe suspeita do invasor ter-se tornado root, reinstale o sistema
Recupere backups confiáveis
Corrija a falha
Reconecte a máquina na rede
PAL0088.PPT©1998 – RNP
Segurança na Internet
Parte H: Reagindo a Invasões
continuação
Recuperando de uma Invasão
Avalie a invasão
Se existe suspeita do invasor ter-se tornado root, reinstale o sistema
Recupere backups confiáveis
Corrija a falha e reconecte a máquina na rede
Avise os administradores dos sites envolvidos
Avise grupo de segurança da área
Faça relatório detalhado para a gerência (especificando o custo do ataque)
Tome medidas legais, se for o caso
PAL0088.PPT©1998 – RNP
Segurança na Internet
Parte H: Reagindo a Invasões
continuação
Entidades de auxílio
CAISCAIS (Centro de Atendimento a Incidentes de Segurança)
Criado pela RNP para tratar de problemas de segurança no seu backbone -http://www.cais.rnp.br
CERT/CCCERT/CC (Computer Emergency Response Team/ Coord. Center)
Criado pelo DARPA, monitora a segurança de computadores e atividades de quebras de sistemas, alertando os usuários - http://www.cert.org
PAL0088.PPT©1998 – RNP
Segurança na Internet
Parte I: Referências Importantes
Referências Bibliográficas
Practical UNIX Secutity, Grafinkel, Simson and Spafford, Gene - O'Reilly & Associates
Building Internet Firewalls, Chapman, D. Brent and Zwicky, E. - O'Reilly & Associates
Firewalls and Internet Security, Cheswick, Bill and Bellovin, S. - Addison Wesley
The Site Security Procedures Handbook (RFC 1244)
Referências Importantes
PAL0088.PPT©1998 – RNP
Segurança na Internet
Parte H: Referências Importantes
continuação
Referências de Sites
Página Web do CAIS: http://www.cais.rnp.br
Página Web do CERT: http://www.cert.org
FAQ de Firewall: http://www.clark.net/pub/mjr/pubs/fwfaq/
Aumentando as seguranças em redes IP:
http://www.cisco.com/univercd/data/doc/cintrnet/ics/icssecur.htm
Lista de itens de segurança: http://www.pangeia.com.br/seg/CheckList.html
Vários artigos sobre segurança: http://www.rnp.br/newsgen/
UNIX Security Tools: ftp://info.cert.org/pub/tech_tips/security_tools