ESTÁGIO CURRICULAR I e II. Segurança da Informação

Transcrição

1 WANDERSON SANTOS SCAGLIA ESTÁGIO CURRICULAR I e II Segurança da Informação EMPRESA: Setrix Processamento de Dados Ltda SETOR: Segurança da Informação SUPERVISOR: Bruno Cardoso ORIENTADOR: Leandro Correa Pykosz CURSO DE TECNÓLOGO EM SISTEMAS DA INFORMAÇÃO CENTRO DE CIÊNCIAS TECNOLÓGIAS - CCT UNIVERSIDADE DO ESTADO DE SANTA CATARINA UDESC JOINVILLE SANTA CATARINA - BRASIL OUT/07

2 ii APROVADO EM.../.../... Professor Leandro Correa Pykosz Mestre em Engenharia Elétrica e Informática Industrial pela Universidade Tecnológica Federal do Paraná. Professor Orientador Professor Harry Moissa Mestre em Ciências da Computação pela Universidade Federal do Rio Grande do Sul Professor Everton Luis Alves Especialista em Gestão Empresarial pela Fundação Getúlio Vargas Supervisor da CONCEDENTE Carimbo da Empresa

3 iii UNIDADE CONCEDENTE Razão Social: Setrix Processamento de Dados LTDA CGC/MF: / Endereço: Rua JK, 410 Bairro: Centro CEP: Cidade: Joinville UF: SC Fone: Supervisor: Bruno Cardoso Cargo: Sócio ESTAGIÁRIO Nome : Wanderson Santos Scaglia Matrícula: Endereço: Rua Guanabara,765 Bairro: Guanabara CEP: Cidade: Joinville UF: SC Fone: Curso de: Tecnólogo em Sistemas de Informação Título do Estágio: Segurança da Informação Período: 13/08/2007 a 14/12/2007 Carga horária: 240 AVALIAÇÃO FINAL DO ESTÁGIO PELO CENTRO DE CIÊNCIAS TECNOLÓGICAS Representada pela avaliação do Processo de Estágio Estes campos serão preenchidos pelo professor da Disciplina, devido a avaliação ser do Processo e não somente do Relatório CONCEITO FINAL (Avaliação do Processo de Estágio) Excelente (9,1 a 10) Muito Bom (8,1 a 9,0) Bom (7,1 a 8,0) Regular (5,0 a 7,0) Reprovado (0,0 a 4,9) Nome do Estagiário : NOTA (Σ Processo) Rubrica do Professor da Disciplina Joinville / / QUADRO I AVALIAÇÃO NOS ASPECTOS PROFISSIONAIS QUALIDADE DO TRABALHO: Considerando o possível. ENGENHOSIDADE: Capacidade de sugerir, projetar, executar modificações ou inovações. CONHECIMENTO: Demonstrado no desenvolvimento das atividades programadas. CUMPRIMENTO DAS TAREFAS: Considerar o volume de atividades dentro do padrão razoável. ESPÍRITO INQUISITIVO: Disposição demonstrada para aprender. INICIATIVA: No desenvolvimento das atividades. SOMA Pontos

4 iv QUADRO II AVALIAÇÃO DOS ASPECTOS HUMANOS ASSIDUIDADE: Cumprimento do horário e ausência de faltas. DISCIPLINA: Observância das normas internas da Empresa. SOCIABILIDADE: Facilidade de se integrar com os outros no ambiente de trabalho. COOPERAÇÃO: Disposição para cooperar com os demais para atender as atividades. SENSO DE RESPONSABILIDADE: Zelo pelo material, equipamentos e bens da empresa. SOMA Pontos PONTUAÇÃO PARA O QUADRO I E II Sofrível - 1 ponto, Regular - 2 pontos, Bom - 3 pontos, Muito Bom - 4 pontos, Excelente - 5 pontos LIMITES PARA CONCEITUAÇÃO AVALIAÇÃO FINAL Pontos De 57 a SOFRÍVEL SOMA do Quadro I multiplicada por 7 De 102 a REGULAR SOMA do Quadro II multiplicada por 3 De 148 a BOM SOMA TOTAL De 195 a MUITO BOM De 241 a EXCELENTE Nome da Empresa: Setrix Processamento de Dados Ltda Representada pelo Supervisor: Bruno Cardoso CONCEITO CONFORME SOMA TOTAL Rubrica do Supervisor da Empresa Local: Joinville Data: Carimbo da Empresa

5 v UDESC UNIVERSIDADE DO ESTADO DE SANTA CATARINA - UDESC CENTRO DE CIÊNCIAS TECNOLÓGICAS - FEJ PLANO DE ESTÁGIO CURRICULAR (I e II) ESTAGIÁRIO Nome: Wanderson Santos Scaglia Matrícula: Endereço (Em Jlle): Rua Guanabara, 765 Bairro: Guanabara CEP: Cidade: Joinville UF: SC Fone: Endereço (Local estágio): Rua JK, 410 Bairro: Centro CEP: Cidade: Joinville UF: SC Fone: Regularmente matriculado no semestre: 5 e 6 Informação Formatura (prevista) Semestre/Ano: 01/2008 Curso: Tecnologia em Sistemas de UNIDADE CONCEDENTE Razão Social: Setrix Processamento de Dados LTDA CNPJ: / Endereço: Rua JK, 410 Bairro: Centro CEP: Cidade: Joinville UF: SC Fone: Atividade Principal: Segurança de Redes Supervisor: Bruno Cardoso Cargo: Sócio DADOS DO ESTÁGIO Área de atuação: Informática Departamento de atuação: Segurança de Redes Fone: Ramal: Horário do estágio: 08:00 às 12:00 e das 13:30 às 18:00 Total de horas: 240 Período: 13/08/2007 à 14/12/2007 Nome do Professor Orientador: Leandro Correa PYKOSZ Disciplina(s) simultânea(s) com o estágio Quantas: 5 Quais: TES-12 - ANALISE E PROJETO DE SISTEMAS AVANCADOS SOR - SOCIOLOGIA DAS ORGANIZACOES REC - REDES DE COMPUTADORES PES-SI PESQUISA OPERACIONAL GPR - GERENCIA DE PROJETOS OBJETIVO GERAL Planejamento, Análise e Implantação de Soluções de Segurança para ativos da rede nos clientes bem como Suporte às soluções.

6 vi ATIVIDADES OBJETIVO ESPECÍFICO HORAS Planejamento e Análise Elaboração do Escopo de Serviços de redes (Identificação da Topologia do Cliente e Fluxo de dados, Por Proxy (Squid), Firewall (Nettion/pfSense/Iptables)), Planejamento das implantações, Análise dos Requisitos e Impactos para o ambiente. Implantação Executar o escopo do projeto, configuração de serviços, testes de funcionalidade, documentação, treinamento ao usuário. Nas tecnologias seguintes: Nettion, pfsense, IMSS, IWSS, VerticalIP, F- secure Policy Manager e Linux Suporte Prestar suporte telefônico, E- mail e remoto das soluções implementadas. Nas tecnologias seguintes: Nettion, pfsense, IMSS, IWSS, VerticalIP, F-secure Policy Manager e Linux Rubrica do Professor Orientador Rubrica do Coordenador de Estágios Rubrica do Supervisor da Empresa Data: Data: Data: Carimbo da Empresa

7 CRONOGRAMA FÍSICO E REAL vii PERÍODO (dias) P ATIVIDADES R P x x x x X x x X 1. Análise de Vulnerabilidade R x x x x x x x x P X 1.2 Levantamento de informações R x P X 1.3 Engenharia social R x P X X 1.4 Fraudes por R x x P x x X 1.5 Varredura de portas R x x x P X 1.6 Detalhamento das portas encontradas R x P x X X 1.7 Aplicações Web R x x x 2. Planejamento Instalação e Configuração do Anti-vírus 3. Planejamento Instalação e Configuração do Anti-spam P X Não X X Não x x X 4. Suporte R x Houveram x x Houveram x x x Suportes Suportes P P x x x x x x R R x x x x x

8 viii PERÍODO (dias) ATIVIDADES 5. Análise de Vulnerabilidade 6. Suporte 7. Implementação Vertical IP 8. Suporte. 9. Implementação e configuração Samba e OpenLdap P R P x x R x X P x X X R x x X P X R X P X R X P x x R x x x

9 ix FUNDAÇÃO UNIVERSIDADE DO ESTADO DE SANTA CATARINA CENTRO DE CIÊNCIAS TECNOLÓGICAS - CCT COORDENADORIA DE ESTÁGIOS TERMO DE COMPROMISSO PARA REALIZAÇÃO DE ESTÁGIOS (1) EMPRESA Setrix Processamento de Dados Ltda Representada por: Bruno Cardoso Cargo: Sócio (2) ESTAGIÁRIO: Wanderson Santos Scaglia Matrícula: (3) Da Fundação Universidade do Estado de Santa Catarina, representada pelo Professor César Malutta. Acertam o seguinte, na forma da Lei nº , de 07/12/77, regulamentada pelo Decreto nº , de 18/08/82, tendo em vista Convênio nº. 229/07, publicado em Diário Oficial nº. 023/07 de 31/08/2007. Art. 1º - O ALUNO desenvolverá Estágio: Obrigatório ( x ) Não obrigatório ( ) Art. 2º - O ESTAGIÁRIO desenvolverá atividades dentro de sua linha de formação. Art. 3º - A EMPRESA elaborará Programa de Atividades a ser cumprido pelo ESTAGIÁRIO, em conformidade com as disciplinas cursadas pelo mesmo, respeitados os horários de obrigações do ESTAGIÁRIO com a UDESC/CENTRO. Art. 4º - O Estágio será desenvolvido na Segurança de Redes no período de 13/08/2007 a 14/12/2007 durante o horário das 8:00 as 18:00 totalizando 240 horas/mês. 1º - Este período poderá ser prorrogado mediante prévio entendimento entre as partes. 2º - Tanto a EMPRESA como o ESTAGIÁRIO poderão a qualquer momento dar por terminado o Estágio, mediante comunicação escrita. Art. 5º - Pelas reais e recíprocas vantagens técnicas e administrativas, a EMPRESA designará como Supervisor Interno de Estágios e avaliador o Senhor Bruno Cardoso. Art. 6º - O ESTAGIÁRIO declara concordar com as normas internas da EMPRESA, conduzir-se dentro da ética profissional e submeter-se a acompanhamento e avaliação de seu desempenho e aproveitamento. Art. 7º - O ESTAGIÁRIO se obriga a cumprir fielmente a programação de estágio. Art. 8º - O ESTAGIÁRIO responderá pelas perdas e danos conseqüentes da inobservância das normas internas da EMPRESA. Art. 9º - O ESTAGIÁRIO se compromete a elaborar Relatório sobre o Estágio realizado apresentando-o à EMPRESA através de seu Supervisor, e à Universidade através do Coordenador de Estágios respectivo. Art. 10º - A EMPRESA se responsabilizará por despesas relativas a atividades extras impostas ao ESTAGIÁRIO. Art. 12º - Fica firmado o presente em 3 (três) vias de igual teor.

10 x Joinville, 13 de Agosto de (1) EMPRESA: Setrix Processamento de Dados Ltda (2) ESTAGIÁRIO: IO: Wanderson Santos Scaglia (3) INSTITUIÇÃO DE ENSINO: Universidade do Estado de Santa Catarina

11 xi AGRADECIMENTOS Muitas pessoas e empresas tornaram-se merecedoras do nosso reconhecimento, pelo muito que colaboraram para a realização deste trabalho, dentre elas destacam-se: Bruno Cardoso Leandro Correa Pykosz

12 xii SUMÁRIO LISTA DE FIGURAS...XIII LISTA DE TABELAS...XIV RESUMO...XV 1. INTRODUÇÃO OBJETIVOS Geral Específicos Justificativa ORGANIZAÇÃO DO ESTUDO A EMPRESA HISTÓRICO PRINCIPAIS PRODUTOS PRINCIPAIS CLIENTES CONSIDERAÇÕES GERAIS ATIVIDADES DESENVOLVIDAS SEMANA 13/08/ SEMANA 20/08/ SEMANA 27/08/ SEMANA 03/09/ SEMANA 17/09/ SEMANA 24/09/ SEMANA 01/10/ SEMANA 08/10/ SEMANA 15/10/ SEMANA 22/10/ SEMANA 29/10/

13 xiii LISTA DE FIGURAS Figura Metodologia de Análise de Vulnerabilidade...6 Figura Níveis identificados na análise de vulnerabilidade no cliente...10 Figura 1.3 Topologia de rede com solução proposta...16 Figura 1.4 Interface inicial do Vertical IP...16 Figura 1.5 Interface do IMSS...18 Figura 1.6 Interface do Softerra...19 Figura Níveis identificados na análise de vulnerabilidade no cliente...23 Figura 1.8 Regras de acesso para DMZ...25 Figura 1.9 Regras de NAT...26 Figura 2.0 Configuração de autenticação...27 Figura 2.1 Estatística de detecção de SPAMs...29 Figura 2.2 Fluxo de funcionamento do Vertical IP no ambiente do cliente...29 Figura 2.3 Console de gerenciamento F-Secure...30 Figura 2.4 Console de gerenciamento Nettion...35 Figura 2.5 Console de gerenciamento openldap...36

14 xiv LISTA DE TABELAS Tabela Níveis de Risco...7 Tabela Utilização do comando host...8 Tabela Detalhamento da vulnerabilidade encontrada...11 Tabela Detalhamento da informação encontrada...11 Tabela Detalhamento da vulnerabilidade encontrada...12 Tabela Detalhamento da vulnerabilidade encontrada...12 Tabela Detalhamento da vulnerabilidade encontrada...13 Tabela Detalhamento da vulnerabilidade encontrada...13 Tabela Instalação do anti-vírus para navegação...15 Tabela Uso do comando netstat para verificar o serviço ativo...15 Tabela Utilização do comando host...20 Tabela Detalhamento da vulnerabilidade encontrada...23 Tabela Detalhamento da vulnerabilidade encontrada...24 Tabela Utilização do comando tail Tabela 2.5 Configuração do squid.conf 28 Tabela 2.6 Reinstalação de pacote...31 Tabela 2.7 Utilização do APT...32 Tabela 2.8 Arquivo de configuração do samba...32 Tabela 2.9 Arquivo de configuração do ldap...33 Tabela 3.0 Arquivos do sistema...33

15 xv RESUMO O estágio visou o trabalho na infra-estrutura de empresas clientes da Setrix, tendo como principal objetivo aplicar conhecimentos obtidos na universidade para realização das atividades na empresa. Para atingir tal meta, torna-se necessário o conhecimento e experiências adquiridas no dia-a-dia na área desenvolvida, bem como as necessidades que o mercado atual apresenta. As tecnologias utilizadas no estágio foram: Nettion, pfsense, IMSS, VerticalIP, F-secure e Linux.

16 xvi

17 1 1. INTRODUÇÃO O presente trabalho visa demonstrar na prática o planejamento, análise e a implantação de soluções de segurança de redes bem como o suporte às soluções. A metodologia de execução do trabalho realizado dá-se através de pesquisa, aplicação prática e revisão bibliográfica, fundamentando teorias e conceitos sobre segurança de redes. Os objetivos do estágio consistem em fazer com que o acadêmico coloque em prática os conhecimentos adquiridos na graduação, avaliando quanto a universidade o preparou para a sua carreira, bem como para a evolução da mesma. O desenvolvimento do estágio teve seu início marcado pela criação do Plano de Estágio, onde estão definidas as atividades desenvolvidas durante o período do mesmo, no setor de suporte da empresa Setrix OBJETIVOS Geral Planejamento, análise e implantação de soluções de segurança para ativos da rede nos clientes bem como suporte às soluções Específicos Elaboração do escopo de serviços de redes (Identificação da topologia do cliente e fluxo de dados, por proxy (Squid), firewall (Nettion/pfSense/Iptables), planejamento das implantações, análise dos requisitos e impactos para o ambiente. Executar o escopo do projeto, configuração das ferramentas listadas abaixo, testes de funcionalidade, documentação, treinamento ao usuário. Nas tecnologias seguintes: Nettion, pfsense, IMSS, VerticalIP, F-secure Policy Manager e Linux. Prestar suporte telefônico, e remoto para as soluções implementadas

18 Justificativa A necessidade de ter experiência em serviços críticos que implicam diretamente na continuidade de negócios do cliente, muitas vezes esquecidas pelos altos executivos das empresas, são variáveis que tornam a empresa mais competitiva e eficiente, usando diretamente a tecnologia em áreas de negócios que precisam de disponibilidade ininterrupta ORGANIZAÇÃO DO ESTUDO Este relatório é composto de três partes. Na primeira delas existe uma introdução ao assunto, onde são apresentados os objetivos gerais e específicos, e um resumo de como o trabalho é apresentado. A segunda parte apresenta a empresa onde foi realizado o estágio, dando um breve histórico da mesma, seus principais produtos e clientes, quantidade de empregados e outras informações pertinentes. Na terceira parte são apresentados os fluxos com metodologias empregadas pela empresa e atividades relacionadas as outras áreas funcionais, estão contidas as descrições das atividades desenvolvidas ao longo das 240 horas de estágio. A cada dia descrito detalhando o que ocorreu nesta data.

19 3 2. A EMPRESA 2.1. HISTÓRICO A Setrix Business Continuity nasceu do desejo de seus sócios em oferecer ao mercado soluções diferenciadas que possibilitassem a proteção da continuidade digital dos negócios não apenas com a implementação de ferramentas de segurança, mas também através do uso de metodologias e práticas recomendadas na implementação de recursos de infra-estrutura de rede, tornando-os mais disponíveis, estáveis, seguros e com melhor desempenho. (SETRIX, 2007). Fundada no ano de 2006, com quatro sócios a empresa vem crescendo desde então PRINCIPAIS PRODUTOS A empresa atua como principal revenda dos produtos de anti-vírus da empresa F-Secure em Santa Catarina, solução de anti-spam da empresa Memphis Network e gerenciador de mensagens instantâneas, o produto IMControl da empresa Octopus PRINCIPAIS CLIENTES Como principais clientes destacam-se: Weg, Datasul, Dudalina, Cia Hering, Breithaupt, Buettner, Cecrisa, Ceusa, Grupo Incoplast, Unimed Lages, Unimed Brusque, Multilog, Krona, Cremer, RHBrasil.e Tuper.

20 CONSIDERAÇÕES GERAIS A Setrix tem atualmente 05 funcionários, dentre eles 04 sócios, divididos por funções da área técnica e comercial. Existem parceiros especiais em vários países da América latina para comercialização dos produtos. Neste caso, a Setrix é o distribuidor oficial para estes parceiros. O Faturamento da empresa ainda não pode ser apurado, no entanto, a meta de faturamento no ano de 2007 é da importância de R$ 480 mil.

21 5 3. ATIVIDADES DESENVOLVIDAS O estágio é durante o período do segundo semestre de 2007 foram realizadas atividades de planejamento, análise, implementação e suporte de soluções comerciais e de código aberto, para clientes da empresa Setrix. Vários dados confidencias, de relatórios, não podem ser compartilhados, bem como informações referentes aos clientes, como no caso da análise de vulnerabilidade. No entanto, a estrutura e a metodologia empregada mostra com clareza como são realizados os trabalhos e de que forma chega a informação com valor agregado diretamente a empresa cliente. As soluções que fazem gerenciamento do serviço crítico da infra-estrutura dos clientes dependem de profissionais com experiência na área e muitas vezes demandam tempo de parada de servidores, como na implantação de anti-spam e anti-vírus. Outra atividade importante que faz parte da estratégia da empresa é a prestação do suporte ao cliente nas soluções comercializadas, que também demanda treinamento, experiência e conhecimento do profissional de suporte SEMANA 13/08/2007 Mensurar riscos ao negócio do cliente é a missão atrelada a continuidade de negócio da Setrix, com isto, a semana se estendeu através de uma Análise de vulnerabilidade em uma empresa cliente. O nome da empresa, bem como alguns dados importantes não podem ser revelados, por restrições contratuais de sigilo a informação. No período foram realizadas diversas atividades a fim de quantificar e qualificar os riscos que a empresa está correndo, em seus ativos tecnológicos disponíveis na Internet. Uma vulnerabilidade é um ponto onde um ativo (tudo aquilo que possui valor para uma empresa e, por conta disso, precisa ser protegido) é suscetível a uma ameaça. (SEMOLA, 2003). Também pode ser entendido como um ponto fraco ou brecha na segurança que um atacante mal-intencionado explora para obter acesso à rede ou aos recursos da rede. O ponto-chave a se entender é que a vulnerabilidade não é o ataque em si, mas o ponto fraco que pode ser explorado. (WHEELER, 2003).

22 6 As vulnerabilidades podem ter origem na tecnologia, nas pessoas ou nos processos. Na maioria das vezes, elas são vistas como falhas tecnológicas na implementação de software ou hardware, ou na forma como um sistema é projetado ou arquitetado. Falhas na definição e comunicação de diretivas e procedimentos organizacionais também são vulnerabilidades. 14/08/2007 Existe um procedimento formal para realizar a análise de vulnerabilidade no cliente, esses passos são seguidos baseados na metodologia aberta OSSTMM (Open Source Security Testing Methodology Manual). (ISECOM, 2007). As atividades nessa metodologia são: o levantamento de informações, engenharia social, varredura de portas, varredura de conteúdo web, análise dos resultados, relatório da análise e conclusão da análise realizada. Estas atividades podem ser melhor visualizadas na figura 1.1 abaixo: Figura Metodologia de Análise de Vulnerabilidade

23 7 São definidos também os níveis das vulnerabilidades encontradas no cliente a partir da seguinte tabela: Informação Informações referentes a configurações dos serviços, Mensagens padrões de serviços, IPs e rotas Baixo Informações referentes a serviços conhecidos sem uso de criptografia, informações pertinentes a empresa e possíveis aquisições de dados. Alto Vulnerabilidades conhecidas, serviços sem permissão de acesso, senhas fracas, possibilidade de exploração e execução de códigos arbitrários. Tabela Níveis de Risco 1. Levantamento de informações Nesta etapa, levantou-se o maior número possível de informações disponíveis publicamente sobre pessoas (como nomes de diretores, por exemplo) e infra-estrutura (endereços IP, por exemplo). Os nomes de usuários e seus s foram encontrados no próprio site da empresa, já os endereços IPs da empresa foram obtidos através da resolução de nomes usando a ferramenta host do sistema operacional linux.

24 8 Exemplo de utilização: debian:~# host -t any empresa_cliente.com.br empresa_cliente.com.br name server apolo.empresa_cliente.com.br. empresa_cliente.com.br name server marte.empresa_cliente.com.br. empresa_cliente.com.br has SOA record apolo.empresa_cliente.com.br. administrator.empresa_cliente.com.br empresa_cliente.com.br mail is handled by 10 zeus.empresa_cliente.com.br. empresa_cliente.com.br mail is handled by 100 correio.empresa_cliente.com.br. empresa_cliente.com.br descriptive text "v=spf1 a:correio.empresa_cliente.com.br a:mail.empresa_cliente.com.br a:webmail.empresa_cliente.com.br ~all" debian:~# debian:~# host -t any 201.x.x.x x.x.x.201.in-addr.arpa is an alias for x.x-x.x.x.201.in-addr.arpa. x.x-x.x.x.201.in-addr.arpa domain name pointer zeus.empresa_cliente.com.br. 16/08/2007 cliente. Tabela Utilização do comando host Neste dia, foi dada continuidade às atividades da análise de vulnerabilidade no 2. Engenharia social Engenharia social, dentro da área de segurança da informação, é um termo utilizado para qualificar os tipos de intrusão que não utilizam ferramentas tecnológicas e que colocam ênfase na interação humana (SÊMOLA, 2003). Em geral, o principal objetivo de um ataque de engenharia social é obter informações que possibilitem a realização de outro ataque, este sim, normalmente com recursos tecnológicos. Na metodologia de análise de vulnerabilidade utilizada pela Setrix, faz-se uso de uma prova de conceito 1 da etapa de coleta de informações, uma vez que o curto espaço de tempo não permitiria a realização das etapas de desenvolvimento de relacionamento e a exploração deste. Adicionalmente, essas etapas já se constituem em ações bastante intrusivas e, também por este motivo, não são realizadas no processo de análise. No processo de coleta de informações realizado no cliente, foram obtidas as seguintes informações: de executivos: Foram obtidos os s dos cinco diretores. * Prova de conceito é um termo utilizado para denominar um modelo prático que possa provar o conceito (teórico) estabelecido por uma pequisa ou artigo técnico. (WIKIPEDIA,2007).

25 9 Informações sobre tecnologias utilizadas: Foram obtidas informações sobre tecnologias de segurança utilizadas pelo cliente, através de ligações telefônicas diretamente para equipe de TI, como o firewall (linux com iptables), o antivírus de estações (Trend Micro), antivírus de (Trend Micro), anti-spam (Trend Micro) e servidor de (Exchange Server). 3. Fraudes por Com o objetivo de verificar a suscetibilidade às fraudes por (como phishing **, por exemplo), coletadas informações no próprio site da empresa ( para envio de um phishing para usuários válidos: sac@cliente.com.br sup.alexandre@cliente.com.br fontenelle@cliente.com.br maturana@cliente.com.br sup.geraldo@cliente.com.br fsales@cliente.com.br sergiok@cliente.com.br andersonp@cliente.com.br sup.antenor@cliente.com.br sup.rezende@cliente.com.br fabianar@cliente.com.br (obtido através de engenharia social) O phishing enviado consta em anexo (anexo A), nesse existia um redirecionamento do link para o IP da Setrix, não foi identificado nenhum acesso proveniente destes s enviados. ** Phishing é um tipo de fraude projetada para roubar sua identidade. Em um phishing scam, uma pessoa mal-intencionada tenta obter informações como números de cartões de crédito, senhas, dados de contas ou outras informações pessoais convencendo você a fornecê-las sob pretextos enganosos.

26 10 4. Varredura de portas Nesta etapa foram obtidas as seguintes informações gerenciais sobre os níveis identificados na análise de vulnerabilidade, já mencionados acima, como pode ser acompanhado na figura 1.2: Níveis Identificados Informação 33% Baixo 0% Alto 67% Figura Níveis identificados na análise de vulnerabilidade no cliente 5. Detalhamento das portas encontradas As seguintes vulnerabilidades externas foram identificadas através da ferramenta NESSUS (TENABLE) e GFI LANGuard (GFI). Abaixo seguem tabelas informando os pontos analisados, sendo que para cada um desses existe uma ficha descrevendo cada uma das vulnerabilidades, seu risco associado estimado, o impacto técnico que a vulnerabilidade poderia causar e a solução recomendada para minimizar esse risco.

27 11 IP externo 201.x.x.x zeus.cliente.com.br 1. Pilha TCP Nível do Risco: Alto Descrição Impacto Identificado possível exploração na pilha TCP do host. É possível executar o ataque teardrop que explora a alocação da pilha TCP na memória do Sistema Operacional, podendo acarretar em congelamento da memória ou reinício do host. Solução recomendad a É recomendado que seja verificada a versão do Sistema Operacional do host, respondendo pelo nome zeus.cliente.com.br. A Microsoft disponibiliza atualização deste problema desde a versão do Service Pack 3 no NT4. Tabela Detalhamento da vulnerabilidade encontrada 2. SMTP / 25-tcp Nível do Risco: Informação Descrição Identificado servidor de SMTP Banner 220 scm01.cliente.com.br smtp ready at Wed, 22 Aug :47: Solução Mitigar problema alterando mensagem padrão do serviço recomendada Tabela Detalhamento da informação encontrada

28 12 IP externo 201.x.x.x apolo.cliente.com.br 1. FTP/ 21-tcp Nível do Risco: Alto Possibilidade de Falso Positivo Descrição Impacto Identificado Possível exploração no servidor FTP do host. É possível executar o ataque Buffer Overflow que pode acarretar em congelamento do host e ou execução de comandos arbitrários. Solução recomendad a É recomendado que seja verificada a versão do Sistema Operacional do host, respondendo pelo nome apolo.cliente.com.br. A Microsoft disponibiliza atualização deste problema. Tabela Detalhamento da vulnerabilidade encontrada IP externo 201.x.x.x webmail.cliente.com.br ou correio.cliente.com.br 2. HTTP/ 80-tcp Nível do Risco: Alto Descrição Impacto Identificado servidor de HTTP É possível executar o ataque Brute force *, ou seja, tentativa e erro de aquisição e validação de usuários através da URL. Solução É recomendado que seja adotado um limite de tentativas de recomendada login, caso isto expire a sessão é temporariamente suspensa. Tabela Detalhamento da vulnerabilidade encontrada * Brute force é o nome do ataque conhecido por força bruta, que é a tentativa de obtenção de conta válida no sistema através de uma lista de nomes e senha predefinida.(wikipedia,2007).

29 13 IP externo 201..x.x.x bi.cliente.com.br 1. HTTP/ 80-tcp Nível do Risco: Alto Descrição Impacto Identificado servidor de HTTP É possível executar o ataque Brute force, ou seja, tentativa e erro de aquisição e validação de usuários através da URL. Solução recomendada É recomendado que seja adotado um limite de tentativas de login, caso isto expire a sessão é temporariamente suspensa. Banner: + Server: Apache-Coyote/1.1 Tabela Detalhamento da vulnerabilidade encontrada IP externo 201.x.x.x 2. HTTP / 80-tcp Nível do Risco: Baixo Descrição Identificado servidor de HTTP Server: Microsoft-IIS/5.0 Solução Mitigar problema alterando mensagem padrão do serviço recomendada Tabela Detalhamento da vulnerabilidade encontrada 6. Aplicações Web Para o teste nas aplicações Web, foram encontradas as URLs: O primeiro endereço faz parte do Exchange, acesso diretamente ao Webaccess. É permitido o acesso de qualquer usuário da internet, e por isso, é possível realizar

30 14 tentativa e erro de autenticação. No segundo endereço é possível a tentativa de Injections, ou seja, adição de caracteres nos campos de login, , ou cadastros a preencher que podem dar acesso a informações importantes, quando validados pela aplicação web. Vulnerabilidades dessa modalidade ganharam bastante foco pelo crescimento da Internet como um todo, e pelo aumento de transações bancárias, compra pela rede e novas tecnologias de CRM. Exemplo: login = x and 1 = 1. (Executadas todas via tentativa e erro, sem nenhuma ferramenta). Em ambos os endereços não foi possível aquisição de informações privilegiadas utilizando as técnicas mais comuns de ataque às aplicações web SEMANA 20/08/2007 Semana de apresentação dos resultados da análise de vulnerabilidade no cliente. Dando seqüência nas atividades da empresa, os projetos de ferramentas de segurança demandam um detalhado planejamento de atividades descrevendo o que será executado e depois encaminhado para o cliente, o próximo passo é a implantação de ferramentas, no caso para gateways de Vertical IP da empresa Memphis Network. 20/08/2007 Neste dia em posse dos resultados e das conclusões da análise de vulnerabilidade executada no cliente, foi apresentado estas informações em uma reunião com o analista de infra-estrutura da empresa. Na reunião foi abordado cada detalhe do processo e sugerido melhorias para o ambiente da empresa. 23/08/2007 Na empresa Setrix, para a comercialização de um determinado produto é realizado um acompanhamento chamado de TRIAL, que é efetivamente testar todas as características do produto ou serviço que o cliente solicitou, antes da aquisição deste software. Nesta data foi realizado a instalação e configuração do anti-vírus para a

31 15 navegação da empresa cliente. O Software utilizado foi o Internet Gatekeepper for Linux da F-Secure. Sua instalação é simples, como mostra a tabela 1.9. # tar xvfz f-secure-internet-gatekeeper tgz # cd f-secure #./install Tabela Instalação do anti-vírus para navegação Feito isto, permite que o cliente possa configurar o seu proxy-cache para conectar no serviço instalado do anti-vírus, que esta na porta 9012/TCP (COMER, 1996). Para visualizar o serviço rodando pode-se usar o comando netstat, como visto na tabela abaixo. fw-:~# netstat -antp grep 9012 tcp : :* OUÇA 1365/(fsgk) fw-:~# Tabela Uso do comando netstat para verificar o serviço ativo. 24/08/2007 Na seqüência de acompanhamento dos TRIALS, já em outro cliente, será implementado uma ferramenta de anti-vírus, anti-spyware e anti-spam. O acompanhamento de serviços críticos como servidor de , ou sistema de B2B *, devem ser planejados e analisados muito antes de executar as atividades no cliente. Para isso foi solicitado a topologia do cliente, depois de analisado, foi então adicionado a solução Vertical IP Secure Mail no ambiente, segue na figura 1.3: Proxy Cache é um tipo de servidor que atua nas requisições dos seus clientes executando os pedidos de conexão a outros servidores, junto do cache ele armazena as informações para serem utilizadas também por outros usuários (SQUID,2007). * B2B é o nome dado ao comércio praticado por fornecedores e clientes empresariais, ou seja de empresa para empresa.(wikipedia,2007).

32 16 Figura 1.3 Topologia de rede com solução proposta Este software segue a tendência mundial de virtualização de servidores, usando o produto VMware Server da VMware Abaixo a figura 1.4 da sua interface inicial. Figura 1.4 Interface inicial do Vertical IP

33 SEMANA 27/08/2007 Nesta semana muitos suportes foram prestados, para clientes os quais as ferramentas já estavam em produção. Uma das atividades principais no dia-a-dia da empresa é a prestação de suporte para clientes, que podem se dividir em duas formas: 1. Suporte avulso (Para clientes sem contrato de suporte); 2. Suporte por contrato; A prioridade do atendimento varia com relação à urgência, disponibilidade e contrato de cliente para cliente. 30/08/2007 Neste dia foi realizado suporte para cliente com contrato. Clientes como contrato de suporte tem direito de atendimento local, uma vez que já foram acertados os valores de deslocamento até a cidade do cliente. A atividade foi o upgrade de versão do software IMSS Internet Messaging Security Suíte da Trend Micro. O horário marcado para a migração é ao meio-dia em ponto. A migração da versão ocorreu sem problemas, ficando apenas detalhes de acerto da sensibilização * do anti-spam em decorrência de melhoras de uma versão para a outra, a interface do produto pode ser visualizado conforme figura 1.5: * A sensibilização do anti-spam é o nível que a ferramenta deve ser configurada para detectar mais ou menos SPAMs no tráfego de . (TREND,2007).

34 18 Figura 1.5 Interface do IMSS 3.4. SEMANA 03/09/2007 Nas atividades desta semana foram realizados suportes para empresas com contrato de suporte, muitas vezes são dúvidas referentes à configuração da solução ou ainda casos específicos de cada ambiente do cliente. 04/09/2007 Neste dia foi realizado ao meio-dia em ponto a configuração do servidor MTA o Microsoft Exchange da Microsoft. (RUSSINOVICH, 2000). O servidor está em produção, serviço realizado por consultor terceiro, no entanto, para integração da ferramenta Vertical IP será necessário adicionar um novo smarthost *, para o Exchange encaminhe mensagens de saída para o IP da solução implementada. * smarthost é um tipo de servidor de que entrega mensagens e permite um outro servidor de rotear o tráfego de para este, assim não enviando a mensagem diretamente e sim para o smarthost (WIKIPEDIA,2007).

35 19 05/09/2007 Nesta data foi realizado suporte a cliente na ferramenta Vertical IP, configurado a importação de usuários via LDAP do cliente que é o Active Directory da Microsoft (HOWES, 2003). Para isso foi utilizado à ferramenta Softerra, que é um browser para serviços de diretório, veja a figura 1.6 abaixo: Figura 1.6 Interface do Softerra 3.5. SEMANA 17/09/2007 Nesta semana foi realizada nova análise de vulnerabilidade em um novo cliente, seguindo a mesma metodologia já apresentada na semana 13/08. Como o ambiente do cliente é menor, foi possível concluir todas as etapas rapidamente no prazo desta mesma semana.

36 20 17/09/ Levantamento de informações Assim como na data 14/08/2007, o primeiro passo para a análise de vulnerabilidade consiste em levantar o maior número possível de informações disponíveis publicamente sobre pessoas (como nomes de diretores, por exemplo) e infra-estrutura (endereços IP, por exemplo). Um exemplo de utilização é visto na tabela 2.1: debian:~# host -t any cliente.com.br cliente.com.br has address 201.x.x.x cliente.com.br name server dns1.cliente.com.br. cliente.com.br name server dns2.cliente.com.br. cliente.com.br has SOA record cliente.com.br. root.cliente.com.br cliente.com.br mail is handled by 10 cliente.com.br. debian:~# debian:~# host -t any 201.x.x.x x.x.x.201.in-addr.arpa is an alias for x.x-x.x.x.201.in-addr.arpa. 2. Engenharia social Tabela Utilização do comando host No processo de coleta de informações realizado no cliente, foram obtidas as seguintes informações: de diretores: Foram obtidos os s do Diretor Presidente Dr. Carlos Germano Ristow (carlosristow@cliente.com.br), Diretor Vice-Presidente Dr. Rogerio Erzinger (conbonpreco@cliente.com.br) e Diretor Superintendente Dr. Paulo Roberto Webster (vitale@cliente.com.br). Informações sobre tecnologias utilizadas: Foram obtidas informações sobre tecnologias de segurança utilizadas pelo cliente, como o firewall (Nettion), o anti-vírus de estações (Trend Micro), anti-vírus de (Trend Micro) e antispam (ASSP).

37 21 3. Fraudes por Foram enviados s falsos para os usuários válidos:

38 O phishing enviado consta em anexo (anexo B), neste existia um redirecionamento do link para o IP da Setrix, não foi identificado nenhum acesso proveniente deste enviado SEMANA 24/09/2007 Nesta semana ainda foram feitos as atividades que faltavam para conclusão da análise de vulnerabilidade no cliente. Foram prestados alguns suportes para clientes diferentes e em cada um deles é mostrado o problema, a identificação do problema e a solução para este. 25/09/2007 Nesta data foi dada continuidade a análise de vulnerabilidade iniciada no dia 17/09/2007. O próximo passo é a varredura de portas que depende da largura de banda do ponto de origem da análise.

39 23 4. Varredura de portas Nesta etapa foram obtidas as seguintes informações gerenciais sobre os níveis identificados na análise de vulnerabilidade, já mencionados acima, como pode ser acompanhado na figura 1.7: Níveis Identificados Alto 0% Baixo 33% Informação 67% 5. Detalhamento das portas encontradas Figura Níveis identificados no cliente As seguintes portas foram identificadas através do uso das ferramentas NESSUS (TENABLE) e GFI LANGuard (GFI), seguindo a mesma metodologia da data 16/08/2007. Abaixo seguem tabelas informando os pontos analisados. IP externo 201.x.x.x cliente.com.br 1. FTP / 21-tcp Nível do Risco: Baixo Descrição Banner Identificado servidor de FTP Server: vsftp É possível executar comandos PORT para outros servidores a partir de uma conexão estabelecida no servidor. Tabela Detalhamento da vulnerabilidade encontrada

40 24 2. HTTPS / 443-tcp Nível do Risco: Baixo Descrição Banner Identificado servidor de HTTPS Server: Apache É possível enumerar diretórios remotos no servidor, Foram descobertos os seguintes /cgi-bin, /data, /error, /icons, /images, /mailman Tabela Detalhamento da vulnerabilidade encontrada 6. Aplicações Web Para o teste nas aplicações Web, foi utilizado a URL: 1. Em ambos os endereços não foi possível aquisição de informações privilegiadas utilizando as técnicas mais comuns de ataque às aplicações web. 27/09/2007 Nesta data foi realizado suporte na solução pfsense, este firewall é baseado no sistema operacional FreeBSD, foi adotado no projeto original do cliente pela robustez e por ter características específicas a necessidade do negócio do cliente, dentre elas altíssima disponibilidade, balanceamento de carga e link de Internet. O Cliente solicitou que fossem duplicadas regras de acesso feitas por um servidor com IP , para o IP Uma vez identificado a regra que faz essa liberação, facilmente pode ser duplicado o conceito apenas alterando para o novo IP, como mostra na figura 1.8.

41 25 Figura 1.8 Regras de acesso para DMZ 3.7. SEMANA 01/10/2007 Nesta semana foram realizados suportes a clientes usando ferramentas já demonstradas nas semanas anteriores como: pfsense e Vertical IP. Já a novidade é a resolução de um problema de liberação de página web, através do proxy Squid. 03/09/2007 Neste dia foi prestado suporte na solução pfsense, como já descrito, esta solução se baseia no sistema operacional FreeBSD. O Cliente solicitou a criação de um acesso para usuários externos através de uma área de FTP na qual serão disponibilizados usuários e senhas para estes clientes. Com relação ao firewall, é necessário a criação de duas regras: Uma para a liberação do