PAL0088.PPT ©1998 – RNP Segurança na Internet Ari Frazão Jr. Segurança na Internet Março de...

PAL0088.PPT©1998 – RNP

Segurança na Internet

Ari Frazão Jr.


Março de 1998

PAL0088



Índice:• Parte A: Introdução

• Parte B: Situação Atual

• Parte C: Política de Segurança

• Parte D: Classificação dos Ataques

• Parte E: Ataques Mais Freqüentes

• Parte F: Vulnerabilidades

• Parte G: Como se Proteger

• Parte H: Reagindo a Invasões

• Parte I: Referências Importantes



Parte A: Introdução

Introdução

“ É fácil ter-se um sistema de computação seguro.

Você meramente tem que desconectar o seu

sistema de qualquer rede externa, e permitir

somente terminai ligados diretamente a ele. Pôr

a máquina e seus terminais em uma sala fechada,

e um guarda na porta.“

F.T. Grampp e R.H. Morris



Parte A: Introdução

continuação

Introdução

A Internet não é completamente segura

Disponibilidade do conhecimento

A segurança como uma tarefa não produtiva

Avaliação dos riscos



Parte B: Situação Atual

Situação Atual

Número cada vez maior de problemas

Muita facilidade para “hackear”

Muitos administradores inexperientes ou negligentes

Situação não é de pânico, mas de alerta




continuação

Infinidade de tópicos

Grande consumo de tempo

Desinformação

Dificuldade de receber apoio ou cooperação

Falta de legislação específica




continuação

Fonte: CERT/CC (www.cert.org/pub/cert-stats/cert_stats.html)

Ano Incidentes Mails Recebidas Vulnerabilidades1995 2.412 32.084 1711996 2.573 31.268 3451997 2.134 39.626 311



Parte C: Política de Segurança

Política de Segurança

Por que a segurança é necessária?

Uso de recursos (CPU, disco, impressoras)

Valor ou importância da informação

Perguntas

O que deve ser protegido?

Qual o custo da proteção?

Qual o custo das perdas em caso de ataque?




continuação

Por que usá-la?

Por reduzir a surpresa/confusão e o stress conseqüente a uma invasão

Pelo fato de definir os limites aceitáveis de comportamento

Por ajudar a estabelecer ferramentas e procedimentos

O que deve conter:

O que é, ou não é, permitido (ex.: informara senha de acesso a terceiros)

Distribuição de responsabilidades

Limites aceitáveis de comportamento e punições adequadas

O que fazer em caso de invasão




continuação

O que não deve conter

Detalhes técnicos

Imitações de política de outra instituição

Deve estar sujeita a revisões constantes

Política é diferente de procedimentos

Política o que vai ser protegido

Procedimentos como vai ser protegido

A documentação como maior problema



Parte D: Classificação dos Ataques

Ataque de origem externa

Praticado por alguém a partir de outra instituição

Soluções:

Maior atenção com as senhas

Configurar a rede segundo a segurança do sistema

Usar ferramentas de monitoração

Instalar os patches do sistema

Bloquear conexões TCP/IP

Classificação dos Ataques



Parte D: Classificação dos Ataques

continuação

Ataque de origem interna

Realizado por algum usuário da própria rede ou alguém com acesso às instalações

Soluções:

Bloquear o acesso físico às instalações

Criar uma política de segurança

Usar criptografia

Não deixar os usuários abusar de programas de domínio público



Parte E: Ataques Mais Freqüentes

Ataques Mais Freqüentes

Engenharia social

Explora a ingenuidade das pessoas

É difícil de se proteger

Roubo de senhas

Forma mais comum de ataque

Explora falhas no sistema ou tenta por acaso

Uso de sniffers




continuação

Erros de software

Explorando falhas em softwares (sistemas operacionais)

Predileção por programas que executam com muitos privilégios

Mudança de páginas

Abusos (spam, pirataria)

Denial of service




continuação

Objetivos

roubar informações

causar dano

atacar outro site

provar que ele pode

por que alguém atacaria seu “site”??



Parte F: Vulnerabilidades

TCP/IP (protocolo e implementações)

Sistemas (UNIX, NT, Netware,..)

Programas

Administração (configuração incorreta de serviços)

Autenticação (logins e senhas trafegando como texto puro na rede)

Hardware

Outros

Vulnerabilidades



Parte G: Como se Proteger

Procurar antecipar-se aos problemas

Rodar programa que busca por senhas fáceis na própria base de seus usuários - crack crack (ftp://ftp.cert.org/pub/tools/crack)

Conscientizar os usuários da importância de se ter senhas não triviais

Instalar programas para fazer a monitoração da rede

TCPDUMPTCPDUMP - monitora tráfego da rede (ftp://ftp.ee.lbl.gov/tcpdump2.2.1.tar.Z)

TRACEROUTETRACEROUTE - traça caminho para um determinado destino (ftp://ftp.ee.lbl.gov/traceroute.tar.Z)

SNIFFERSNIFFER - grava os primeiros 128 bytes de uma sessão (muito usado por hackers)

Como se Proteger




continuação

Instalar programas para fazer a monitoração dos servidores

TRIPWIRETRIPWIRE - monitor de integridade para sistemas UNIX que detecta alterações nos arquivos executáveis, modificação de permissões, etc. (ftp://ftp.cs.purdue.edu/pub/spaf/COAST/Tripwire)

TAMU TigerTAMU Tiger - procura por vulnerabilidades em sistemas UNIX, examinando contas e senhas, permissões de arquivos, mudanças em arquivos, etc.

(ftp://net.tamu.edu/pub/security/TAMU)

SWATCHSWATCH - procura por dados relevantes nos arquivos de log do sistema (ftp://ftp.stanford.edu/general/security-tools/swatch)

ISSISS - testa vulnerabilidades mais comuns nos principais serviços de rede (ftp://ftp.iss.net/pub/iss)




continuação

Fazer uso de criptografia

mensagem

Chave secretade quem envia

Chave secretade quem recebe

Chave públicade quem envia

Chave públicade quem recebe

PGP: http://www.ifi.uio.no/pgp




continuação

Definir um firewall

Mecanismo de defesa cuja função básica é a de restringir o fluxo de dados entre duas redes

Atua como uma barreira entre duas redes

Permite que usuários internos acessem facilmente o mundo externo

Permite bloquear a entrada e saída de pacotes

Concentra os problemas em um único ponto

Possui várias arquiteturas:

Filtros de Pacotes Screened Host

Dual Homed Host Screened Subnet




continuação

O que um firewall pode fazer:

Fortalecer a política de segurança - filtrar serviços inseguros, mantendo apenas internamente, se necessário

Implantar um sistema de logs eficiente

Prover aos usuários internos acesso seguro à Internet

O que um firewall não pode fazer:

Proteger a rede de usuários internos mal intencionados

Proteger contra conexões que não passam por ele

Proteger contra novas ameaças

Proteger contra vírus




continuação

Arquitetura de um firewall (Filtros de Pacotes)



Parte H: Reagindo a Invasões

Sinais de Invasão

Processos estranhos na máquina

Atividade acima do normal

Reboots sem razão aparente

Arquivos escondidos (“. “, “...”, etc)

Entradas novas na base de dados dos usuários

Novos servicos no inetd.conf

Sua senha circulando no underground

Reagindo a Invasões




continuação

Recuperando de uma Invasão

Avalie a invasão

Se existe suspeita do invasor ter-se tornado root, reinstale o sistema

Recupere backups confiáveis

Corrija a falha

Reconecte a máquina na rede




continuação

Recuperando de uma Invasão

Avalie a invasão

Se existe suspeita do invasor ter-se tornado root, reinstale o sistema

Recupere backups confiáveis

Corrija a falha e reconecte a máquina na rede

Avise os administradores dos sites envolvidos

Avise grupo de segurança da área

Faça relatório detalhado para a gerência (especificando o custo do ataque)

Tome medidas legais, se for o caso




continuação

Entidades de auxílio

CAISCAIS (Centro de Atendimento a Incidentes de Segurança)

Criado pela RNP para tratar de problemas de segurança no seu backbone -http://www.cais.rnp.br

CERT/CCCERT/CC (Computer Emergency Response Team/ Coord. Center)

Criado pelo DARPA, monitora a segurança de computadores e atividades de quebras de sistemas, alertando os usuários - http://www.cert.org



Parte I: Referências Importantes

Referências Bibliográficas

Practical UNIX Secutity, Grafinkel, Simson and Spafford, Gene - O'Reilly & Associates

Building Internet Firewalls, Chapman, D. Brent and Zwicky, E. - O'Reilly & Associates

Firewalls and Internet Security, Cheswick, Bill and Bellovin, S. - Addison Wesley

The Site Security Procedures Handbook (RFC 1244)

Referências Importantes



Parte H: Referências Importantes

continuação

Referências de Sites

Página Web do CAIS: http://www.cais.rnp.br

Página Web do CERT: http://www.cert.org

FAQ de Firewall: http://www.clark.net/pub/mjr/pubs/fwfaq/

Aumentando as seguranças em redes IP:

http://www.cisco.com/univercd/data/doc/cintrnet/ics/icssecur.htm

Lista de itens de segurança: http://www.pangeia.com.br/seg/CheckList.html

Vários artigos sobre segurança: http://www.rnp.br/newsgen/

UNIX Security Tools: ftp://info.cert.org/pub/tech_tips/security_tools

PAL0088.PPT ©1998 – RNP Segurança na Internet Ari Frazão Jr. Segurança na Internet Março de...

Documents

Transcript of PAL0088.PPT ©1998 – RNP Segurança na Internet Ari Frazão Jr. Segurança na Internet Março de...