Redes  ‐ Aula 7SEGURANÇA DE REDE

Prof. Rodrigo Coutinho

Segurança de redes ‐ Cenári o

• Popularização do uso de redes– Intercâmbio de acesso

– Mobilidade

– Sistemas distribuídos

• Redes se tornam maiores, mais complexas e com maior volume de dados

• Os sistemas operacionais são naturalmente inseguros– Até o Linux começa a ser alvo de mais ataques

Segurança da rede

• A complexidade das redes alimenta as vulnerabilidades

• Todos se importam com a segurança– Mas ela ainda está abaixo de usabilidades e funcionalidades

• Mercado competitivo com pouca penalização a bugs– Ninguém assume responbilidade em sistemas de múltiplas 

empresas

– Bugs e vulnerabilidades são comuns, esperadas

– Nova versão (com mais segurança) = Mais lucro

Segurança de redes ‐ Cenári o

• Pesquisa de segurança FBI‐CSI 2008– Pesquisa realizada com diversas empresas americanas dos mais 

variados portes

– 517 empresas responderam em 2008

• Resultados– Mais de 50% das empresas destinam menos de 5% do orçamento de 

TI em segurança

– Apenas 68% das empresas possuem política de segurança da informação formalizada

– 52% investem menos de 1% do orçamento de segurança em treinamentos dos funcionários

FBI/CSI 2008 – Result.

– 60% das empresas não terceirizam qualquer parte da segurança da informação, e outros 27% terceirizam menos de 20%

– 46% das empresas tiveram incidentes de segurança em 2008

– Maioria dos prejuízos vem de ataques externos (51% disseram que os incidentes não envolviam funcionários)

– Tipos de incidente mais encontrados:

– Vírus (50%); Roubo de laptop (42%); Abuso de funcionário (44%); Denial of Service (21%)

– Tecnologias de prevenção/defesa mais usadas:

– Antivirus (97%); Firewalls (94%); VPN (85%) Anti‐spyware (80%); IDS/IPS (69%); filtro de URL (65%)

Resultados naci onai s

– 10ª Pesquisa Nacional de Segurança da informação – 2007

– Amostra: 600 questionários

– Problemas que geraram perdas financeiras:

– Vírus (15%); Spam (10%); Roubo laptop (8%); Vazamento de informações (7%)

– 22% nunca fizeram e 39% fazem irregularmente análise de riscos na TI

– Em 65% das empresas não há um procedimento formal de análise de riscos

– Apenas 18% dos funcionários são plenamente capacitados

– Apenas 30% das empresas investem mais de 5% do orçamento de TI em segurança

Segurança de rede

• Importância– Proteção do patrimônio (informação)

– Credibilidade

– Vantagem competitiva

• Níveis de segurança– Baseados no custo x benefício

• Análise de risco– Identifica valores, vulnerabilidades, ameaças, contra‐medidas, etc

• Políticas e procedimentos– Políticas: normas formais, geram o quê e porquê

– Procedimentos: modus operandi

Segurança de rede – conceitos base

• Autenticação – validar identidade do usuário

• Controle de acesso – nível de autorizações

• Não‐repúdio – impedir que seja negada a autoria ou ocorrência de um envio ou recepção de informação

• Confidencialidade – descoberta não autorizada

• Integridade – alteração não autorizada na informação

• Disponibilidade – acesso à informação

Ameaças e ataques

• Vulnerabilidade– Ponto fraco inerente à natureza do sistema

– Brecha: ponto fraco ou falho que pode ser explorado

• Ameaça– Algo que afete o funcionamento da rede, comprometendo sua 

operação, disponibilidade ou integridade

• Ataque– Modo utilizado para explorar determinada vulnerabilidade

• Contra‐medidas– Métodos de defesa dos ataques

Vulnerabi li dades ‐ Ori gens

• Falha no projeto de hardware ou software– Situações não previstas, bugs, etc

• Implementação incorreta– Má proteção física dos equipamentos

– Equipe despreparada para instalação

• Falta de gerenciamento/monitoramento– Os dados existem, mas ninguém os verifica

Pri ncip ai s ameaças

• 10ª Pesquisa Nacional

• Funcionários (24%)

• Hackers (20%)

• Vírus (15%)

• 21% das empresas não conseguem identificar os responsáveis

Ataques

• Interrupção (disponibilidade)– Informação não chega ao seu destino

• Interceptação (confidencialidade)– Informação chega ao destino e também a um outro destinatário não 

autorizado

• Modificação (integridade)– Informação faz pit‐stop e é alterada antes de chegar ao destino

• Fabricação (Autenticidade)– Origem se passa por outra máquina para enviar informação ao 

destinatário

Segurança de host• Sistemas são naturalmente inseguros

• Atacantes encontram bugs novos a cada dia– Fabricantes de software aprimoraram a velocidade dos fixes

• Usuários, entretanto, não instalam os patches de segurança com a rapidez necessária.

• Razão principal: Confiabilidade;

Hardeni ng

• Protegendo contra incidentes nos hosts– Restringir ferramentas administrativas

– Remover softwares desnecessários

– Remover pastas compartilhadas desnecessariamente

– Desativar portas USB

– Controlar permissões de arquivo

– Usar grupos de usuários para conceder apenas as permissões necessárias (Ex. Admin x Power User)

– Logar informações de segurança

– Remover usuários e contas inativos

– Antivírus, Patches

– Uso de firewall no host (opcional)

Gerenci amento de senhas

• Primeira linha de defesa contra invasores

• Usuários utilizam login e senha para acessar sistemas– Senhas normalmente armazenadas criptografadas

– Arquivos de senha normalmente protegidos

• Estudos indicam que usuários normalmente escolhem senhas de fácil adivinhação

• Para diminuir essas ocorrências, algumas medidas são usadas para incentivar usuários a usar senhas mais fortes

Gerenci amento de senhas

• Guias para senhas seguras– Ter um tamanho mínimo (geralmente 6 ou 8 caracteres)– Usar sempre letras maiúsculas, minúsculas e números– Não usar palavras comuns– Não usar datas de nascimento

• Maneiras de assegurar o uso de senhas seguras– Educação dos usuários – pouco eficaz– Geração por computador – baixa aceitação de usuários; difícil de 

decorar– Verificação reativa – rodar ferramentas periodicamente para 

verificar se há senhas inseguras na rede. Pouco prático– Verificação proativa – Sistema verifica aceitabilidade; próprio 

usuário escolhe a senha.

Patches

• Problemas da auto‐instalação de patches– Problemas com confiabilidade

• Patches não podem ser testados tanto quanto uma nova versão

• Conflitos entre patches

• Instalar automaticamente.... Em uma máquina crítica?

– Ataques podem ser direcionados a um fornecedor

– Muitas vezes, a melhor política é o workaroung• i.e. desabilitar determinada funcionalidade até que o patch esteja estável

Servi ços vulnerávei s

• Muitos ataques exploram serviços vulneráveis

• Soluções– Bloquear requests àquele serviço

• Identificados por protocolo, porta

• Ineficaz para novos serviços ou serviços em portas alternativas

– Permitir apenas serviços essenciais e específicos• Bloqueia serviços novos ou maléficos

• Serviços maléficos inteligentes podem se esconder

Bloquei os

• Descarte– Silencioso

– Interessante para pacotes maliciosos• Não utiliza recursos desnecessariamente

• Não expõe informações internas

• IP de origem normalmente é vítima de Spoof

• Rejeição– Melhor se a conexão for legítima

Bloquei o em TCP/IP

• Bloqueio de incoming requests de TCP– Lembrete: 3‐way handshake é iniciado pelo cliente

• Exceção: servidor FTP é quem inicia a conexão de dados

– Clientes internos iniciam da rede interna

– Atacantes iniciam conexões de fora

– Destino responde ao SYN do cliente com um SYN+ACK• Solução: Bloquear pacotes SYN que não tenham SYN+ACK

– Exceção: Servidores públicos (www, smtp, etc)• Separar em outra subrede, com DMZ

Bloquei o em TCP/IP

• Bloqueio de incoming requests de UDP/ICMP– Lembrete: UDP não é orientado à conexão

– Pode usar endereços IP spoofed

– Aplicações UDP são normalmente request/response• Não há flag request/response no datagrama UDP

– Soluções• Bloquear todo tráfego UDP

• Permitir apenas para algumas aplicações específicas

Softwares Mali ci osos

• Grande volume de ataques é baseada em características de TCP/IP– TCP/IP é praticamente universal em LANs e na Internet

• Vírus– Fragmento de código parasita que precisa de um programa 

verdadeiro “hospedeiro” para funcionar

– Ativado pela execução do código infectado

– Propaga pela infecção de outros programas; e‐mail ou cópia do programa infectado

• Worm– Programa independente, feito para se propagar automaticamente 

via rede e ativar nos sistemas infectados.

Vírus

• Código viral se insere no código verdadeiro– Tamanho do executável infectado será maior que o original

– Vírus compactam o original para manter o tamanho

• Tipos de vírus– Parasitas – ligados a executáveis. Replicam com a execução do 

programa

– Residentes na memória – parte de um sistema residente. Afeta qualquer programa executado

– Boot sector – infecta área de boot de um disco e se espalha quando o sistema for bootado pelo disco

– Continua...

Vírus

• Tipos de vírus (cont...)– Stealth – Vírus desenhados para burlar a detecção de softwares 

antivírus (compressão; interceptação de I/O)

– Polimórficos – Vírus que mutam a cada infecção, fazendo com que a detecção da assinatura se torne muito mais difícil

– Vírus de macro – Infecta documentos e não executáveis.• Normalmente produtos da família Microsoft Office

• Espalha‐se facilmente por e‐mail

• Uma macro auto‐executável é o gatilho do vírus

• Microsoft tem investido na segurança das macros

Anti vi rus

• Defesa primária para vírus e outros maliciosos

• Trabalha com detecção, identificação e remoção

• Gerações de antivírus– Scanners simples (tamanhos de programas)

– Scanners de heurística (checagem de integridade com CRC)

– Traps de atividade (reside na memória e detecta ações suspeitas)

– Proteção total (Várias técnicas utilizadas, proteção para demais malwares, capacidade de controle de acesso)

Anti vi rus – Técni cas avançadas

• Generic Decryption– Detecta facilmente inclusive vírus polimórficos

– Computador pessoal não é afetado

– Usa conceito de emulação de ambiente• Emulador de CPU

• Scanner de assinatura

• Módulo de controle de emulação

• Behavior blocking– Monitora em tempo real o comportamento das aplicações

– Procura por pedidos específicos ao OS: modificações de configuração; formatação de discos; modificações de arquivos; etc

SW Mali ci osos

• Trojan Horse– Código malicioso que se esconde dentro de um programa ou 

disfarça de programa legítimo

– Realiza alterações sem conhecimento do usuário

• Back (ou Trap) Door– Forma não documentada de ganhar acesso a um sistema

– Pode ser criada pelo criador ou alterada por terceiros para acesso privilegiado

• Bomba lógica– Fragmento de código malicioso, ativado por determinada condição

– Caso comum: Programador mal intencionado

SW Mali ci osos

• Bots– Programa capaz de se reproduzir através da rede

– O bot “executa” dentro da máquina hospedeira e permite comunicação com o invasor, que orienta diversas medidas

– Botnet – rede de bots que podem ser usadas em spams, fraudes..

• Keylogger ou Screenlogger– Programa que “grava” as ações do usuário em determinado computador 

(digitação ou tela, por exemplo)

SW Mali ci osos

• Spyware– Software instalado sem o consentimento do usuário

– Monitora as atividades de um sistema e as envia para terceiros

– Pode coletar vários tipos de informação: hábitos de navegação no internet; sites acessados; instalar outros malwares

• Rootkit– Conjunto de ferramentas que ocultam a presença de um invasor

Proteção a SW mali ci osos

• Scanners– Identifica códigos maliciosos conhecidos (assinaturas)

• Integrity Checker– Determina se o código foi alterado – baseado em checksum

• Monitores de vulnerabilidade– Previne modificação ou acesso a partes sensíveis do Sistema

– Ex. Windows DEP

• Behavior blocking

Ataques

• Port Scanning– Varredura de portas para reconhecimento

– Detecta informações e serviços ativos em determinada máquina

• Spoofing (Falsificação ou disfarce de identidade)– Spoofing de IP: Uso de máquina com IP aceito pelos sistemas de 

validação (roteador, firewall)

– Sequence Number Spoofing: Uso dos SEQs TCP para inserção no meio da conexão

– Replay: Interceptar e capturar transmissão legítima, inserindo dados. Pode ser evitada por timestamp

DNS Sp oofi ng

• DNS pode sofrer uma série de ataques via spoofing:

• Man in the Middle (Homem no meio)– Interposto no meio da comunicação entre estação e servidor

– Registro de domínio parecido (ex. www.terrs.com.br)

• Redirecionamento– Inserção de links para destinos falsos

• DNS Poisoning (envenenamento)– Dados de DNS não confiáveis, pois não são originários dos DNS raiz

– Responde antes do DNS verdadeiro

Ataques

• Buffer Overflow – Um processo excede o buffer alocado para determinada informação

• O dado extra sobrepõe o dado original

– Pode explorar o heap (variáveis dinâmicas) ou as stacks• Stack: Sobrepõe dados para mudar a execução de função

• Heap: Altera os dados dinâmicos. Pode corromper dados, estruturas internas, causar travamentos, etc

– Formas de se defender• Escolha correta da linguagem de programação

• Usar libraries mais seguras

• Proteção das pilhas (verificação de alteração)

• Proteção dos executáveis (causa exceção ao tentar executar)

Ataques

• Password Cracking (quebra de senha)– Uso de tentativa/erro para encontrar senha de usuário

– Usa o mesmo algoritmo do algoritmo de proteção original

– Pode usar dicionário ou brute force

• Engenharia social– Métodos não técnicos para obter acesso 

Ataques

• Sniffing (“Grampo”)– Monitoramento de pacotes na rede

– Coleta informações não criptografadas na rede: endereços IP; senhas em plain text (telnet; smtp; etc)

• Web Site defacement– Uso de mensagens de protesto/aviso em home‐pages verdadeiras

– Exploração de configuração frágil

Ataques

• DoS – Denial of Service– Interrupção da disponibilidade de determinado serviço para seus 

usuários legítimos

– A simples interrupção do serviço já causa prejuízo ao funcionamento, inclusive financeiro

• Tipos básicos de ataques de DoS:– Sobrecarga no consumo de recursos do sistema (memória, 

processador, etc)

– Alterações nas configurações do dispositivo

– Obstrução do canal de comunicação

DoS

Tip os de DoS

• SYN Flooding– “Inunda” o receptor de SYNs

– Ataque ao 3‐way handshake do TCP/IP

– Atacante envia SYNs mas não responde ao SYN‐ACK do receptor, estourando os buffers de conexão no servidor

– Aplicação não consegue responder às requisições verdadeiras

• Ping of Death ( Ping da morte)– Envia pacotes PING com tamanho de pacotes ICMP maior do que o 

normal, para derrubar a conexão do receptor

• Smurf– Atacante envia um ICMP ECHO a todas as máquinas da rede, com IP 

de origem spoof da máquina alvo ‐ Sobrecarga

Tip os de DoS

• Application Level floods– Mais comum: IRC

• Nuke– Um dos tipos mais antigos de DoS

– Envia fragmentos ICMP inválidos (causava tela azul no W95)

• Distribuído (DDoS)– Vários computadores infectados atacam um sistema ao mesmo 

tempo

– Muitos malwares trabalham com esse conceito (MyDoom)

Ataques em correi o eletrôni co

• Spam– Envio de e‐mails não solicitados em larga escala

– Usados para propaganda, marketing, etc

– Quantidades grandes podem ser usados para causar DoS em servidores smtp

– Falsos e‐mails de descadastramento podem ser usados para descobrir endereços válidos

• Phishing– Mensagens falsas que se passam por instituições (bancos, 

empresas), com o objetivo de obter dados pessoais e financeiros de usuários

– Geralmente conduz a um site falso e instala “Malwares”

Fi rewall 

• Dispositivo usado para restringir acesso a recursos da rede– Conecta duas redes e filtra os pacotes entre elas

• Instalação comum entre uma rede inteira corporativa e a internet

• Controla o tipo de dados que pode trafegar, em qual direção e para quais destinatários

Fi rewall 

Fi rewall – fi ltro de p acotes

• Foco principal: analisa os cabeçalhos dos pacotes para aceitar/negá‐los

• Regras podem definir comportamentos em ambas as direções

• Tipo mais básico e comum de firewall

• Vantagens– Velocidade e flexibilidade

• Desvantagens– Dificuldade em gerenciar muitas listas

– Inadequado para redes complexas

– Não analisa dados das camadas superiores

Fi rewall – Stateful

• Combinação de filtro por pacotes e gateway

• Adiciona conhecimento da camada 4 ao fw comum

• Guarda as informações de sessão

• Suporte maior a protocolos de camada 7

• Vantagens– Entende TCP SYN, ACK, etc

– Suporta mais protocolos que o packet‐filter

• Desvantagens– Não há exame das informações de aplicação

– Alto custo – monitoramento da sessão realtime

Fi rewall – Ap li cati on p roxy

• Todos os dados do pacote são examinados, incluindo a camada de aplicação

• Também funciona com base em regras estabelecidas

• Tipo mais seguro de firewall

• Vantagens– Capacidade de logging mais apurada

– Menos vulnerável a spoofing de endereço

• Desvantagens– Uso de proxy para cada serviço da rede é essencial

– Menos throughput 

Fi rewall – Regras

• As políticas de filtros de pacotes são chamadas de ACL– É geralmente uma lista de regras

• As regras são pares (Seleção, Ação)– Regras normalmente processadas em determinada ordem

– Seleção identifica se a regra se aplica àquele pacote• Ex. protocol=UDP, SrcPort=7 (Echo)

– Ação define o que fazer com os pacotes• Ex. silently discard (block echo requests)

Fi rewall – Regras

• Selectors– Possuem campos e valores atribuíveis

– Campos: SrcIP; DestIP; SrcPort; DestPort; Protocol; Flags...

– Valor: IpAddr; Port #; Protocol; Tipos; Hops...

– Exemplo• Protocol=UDP [And DstIP = *.*.*.FF]

• Bloqueia todo o tráfego UDP para endereço broadcast

• Ações– Allow

– Discard

– Reject

– Log/Alert

Fi rewalls – Op ções ACL

• Permita todos e negue alguns;

• Negue todos e permita alguns– Mais seguro, porém com custo administrativo maior

• Permitir determinados serviços em uma direção– Rede > Internet: http; ftp; dns

– Todos > Rede: smtp

– Servidor MX > internet: smtp

Fi rewalls – Arqui teturas

• Screened‐host– Combina um roteador com filtro de pacotes e um firewall dedicado

• Dual‐homed host– Host contém 2 placas de rede; Uma ligada à rede interna e outra à 

rede externa

• Screened‐Subnet (com DMZ)– Provê uma área intermediária entre a rede confiável (interna) e a 

desconhecida. A área é conhecida por demilitarized zone (DMZ)

Fi rewalls – DMZ

• Bloquear requests é uma boa prática, mas é necessário prover alguns serviços públicos– www; smtp; ftp, etc

• DMZ é a solução– DMZ é protegido por firewall

– É menos segura, mas é separada da rede interna

– Contém os servidores que devem ter acesso público

• Outras características– Pode ter configurações com 2 FW ou 1 FW 

– Pode permitir conexões para servidores específicos dentro da rede (correio)

DMZ

Fi rewalls – Regras de acesso

• Bloqueie o tráfego para o firewall– Descarte quando o IP destino for o FW

• Interno e externo

– Previne ataques ao FW

– Exceção: Máquina do administrador• Permitir acesso apenas ao console de administração (shell ou http)

• Apenas com protocolos seguros (SSH; HTTPS; IPSec)

– Assegurar segurança física de acesso ao FW

Fi rewalls – Li mi tações

• Apenas provê proteção do perímetro

• Tráfego criptografado não pode ser analisado

• Até os firewalls de aplicação podem não ser capazes de verificar todo o conteúdo

• Não há checagem contra malwares nos downloads

• Volume de tráfego pode esconder muitos ataques

• Não protege a rede interna se um malware já está dentro da rede

Exercíci os

• (Serpro/08 – Cespe) Firewalls por inspeção de estado permitem mais granularidade e especificidade na filtragem de tráfego que filtros de pacotes sem estado.

• Geralmente, firewalls restringem‐se a inspecionar cabeçalhos, sendo ineficazes para filtrar ataques focalizados em vulnerabilidades específicas de aplicações.

• (STJ/08 – Cespe) Ataques denominados buffer overflows, tanto na heap quanto a stack, levam à execução arbitrária de código, podendo ser evitados pela retirada de privilégios de execução e pela checagem de integridade das estruturas citadas.

• Em geral, firewalls com inspeção de estado evitam ataques do tipo buffer overflow.

• Em redes IP que utilizam switches, pode‐se realizar a escuta do tráfego com o ARP spoofing.

Exercíci os

• (CGU/08 – Esaf) Assinale a opção que não compreende uma informaçãorelevante a decisões em fi ltragem de pacotes.

• a) Porta UDP (User Datagram Protocol) destino.

• b) Tipo de mensagem ICMP (Internet Control Message Protocol).

• c) Endereço IP do gateway de aplicação.

• d) Datagramas de inicialização de conexão usando bits TCP SYN.

• e) Linha de requisição de uma mensagem de pedido HTTP (HyperText Transfer Protocol).

Exercíci os

Exercíci os

• (TST/08 – Cespe) O firewall, que tem por objetivo implementar mecanismos básicos de segurança para rede corporativa, não protege a rede denominada EXT de ataques provenientes da Internet.

• As redes INT e DMZ estão interligadas pelo equipamento comutador 2. Desse modo, mesmo que do ponto de vista da interconexão IP essas sejam redes separadas, elas necessariamente têm conectividade em nível de enlace, o que fragiliza a segurança implementada pelo firewall.

• O sistema firewall utiliza NAT para prover conectividade aos sistemas computacionais ligados à rede IP, denominada INT.

• O servidor de e‐mail implementa os protocolos SMTP, POP3 e IMAP.

• O equipamento roteador executa funções das camadas 1, 2 e 3 do modelo OSI.

• O sistema firewall deve ter três endereços IP, cada um deles atribuído a cada uma de suas interfaces. O endereço IP da interface conectada à rede denominada DMZ é 200.120.12.17.

Exercíci os

• (TCU/07 – Cespe) Uma técnica comumente usada na segurança de redes é o estabelecimento de um perímetro de segurança cuja finalidade é controlar o tráfego ingresso na rede e o egresso da rede.

• Roteadores de borda, firewalls, IDSs, IPSs e VPNs são alguns dos principais elementos do perímetro de segurança da rede.

• Em geral, os firewalls inspecionam todo o pacote, enquanto os IDSs inspecionam apenas os cabeçalhos.

• Algumas providências que um processo de hardening deve incluir são: limitar o software instalado àquele que se destina à função desejada do sistema; aplicar e manter os patches atualizados, tanto de sistema operacional quanto de aplicações; revisar e modificar as permissões dos sistemas de arquivos, em especial no que diz respeito a escrita e execução; reforçar a segurança do login, impondo uma política de senhas fortes; habilitar apenas os serviços necessários.

Exercíci os

• (BASA/06 – Cespe) A realização de cadastro de endereços IP e(ou) MAC dosterminais autorizados a realizar o acesso não é uma medida necessariamente eficaz para evitar ataques relacionados ao uso de sítios web falsos que imitam os sítios legítimos.

• Manter um sistema de antivírus e anti‐spyware atualizado e ativado é uma boa medida para prevenir ataques que se utilizam de programas maliciosos, ainda que essa medida não seja suficiente, uma vez que esse tipo de sistema não é capaz de detectar a presença de programas do tipo trojan.

• Ataques do tipo man‐in‐the‐middle não são possíveis em serviços de Internet banking de instituições brasileiras.

Exercíci os

• (Pref. Vitória /07 – Cespe) Há ataques que resultam na negação de serviços (denial of service). Esse tipo de ataque se caracteriza pelo consumo excessivo de recursos, tornando os recursos escassos ou mesmo indisponíveis.

• Um programa do tipo vírus é, tipicamente, capaz de se duplicar e se inserir em programas ou em arquivos. Alguns vírus são escritos nas linguagens de comando de programas como editores de texto.