SEGURANÇA DE REDES DE COMPUTADORES EM UM AMBIENTE CORPORATIVO

Transcrição

1 UNIVERSIDADE CATÓLICA DE GOIÁS DEPARTAMENTO DE COMPUTAÇÃO GRADUAÇÃO EM CIÊNCIA DA COMPUTAÇÃO SEGURANÇA DE REDES DE COMPUTADORES EM UM AMBIENTE CORPORATIVO DALTRO MARANHÃO JUNHO 2008

2 UNIVERSIDADE CATÓLICA DE GOIÁS DEPARTAMENTO DE COMPUTAÇÃO GRADUAÇÃO EM CIÊNCIA DA COMPUTAÇÃO SEGURANÇA DE REDES DE COMPUTADORES EM UM AMBIENTE CORPORATIVO Trabalho de Conclusão de Curso apresentado à Universidade Católica de Goiás, como requisito parcial para obtenção do título de Bacharel em Ciências da Computação por Daltro Maranhão aprovado em 27/06/2008 pela Banca Examinadora: Professora Solange da Silva, Dra. UCG Orientadora Professor Wilmar Oliveira de Queiroz, Msc. UCG Professor Aníbal Santos Jukemura, Msc. UCG Iguimar Antônio Fernandes EMBRAPA JUNHO 2008

3 SEGURANÇA DE REDES DE COMPUTADORES EM UM AMBIENTE CORPORATIVO DALTRO MARANHÃO Trabalho de Conclusão de Curso apresentado à Universidade Católica de Goiás, como parte dos requisitos para obtenção do título de Bacharel em Ciências da Computação por Daltro Maranhão. Professora Solange da Silva, Dra. Orientadora Professor Jeová Martins Ribeiro. Coordenador de Trabalho de Conclusão de Curso

4 Dedico aos meus familiares que tornaram tudo isto possível. Aos meus avós que aguardaram ansiosamente por esse momento. iii

5 "O verdadeiro significado das coisas se encontra na capacidade de dizer as mesmas coisas com outras palavras." Charles Chaplin iv

6 AGRADECIMENTOS Agradeço a orientação da Dra. Solange da Silva, compreensão e apoio de meus colegas de trabalho, aos meus familiares por me proporcionarem estudar em uma Universidade de qualidade, aos professores pela sabedoria e aos meus amigos por dividirem comigo minha felicidade. v

7 RESUMO Atualmente a segurança em redes de computadores é um item muito importante e imprescindível para proteger as informações digitais de uma empresa. Esta monografia, através de um estudo teórico e a aplicação prática em um estudo de caso, apresenta uma introdução aos conceitos básicos de segurança de redes, enfatizando a verificação de vulnerabilidades em uma empresa corporativa real, buscando as falhas de segurança em sua rede utilizando-se uma ferramenta gratuita. Após o estudo teórico e prático das ferramentas de segurança gratuitas, optou-se pela ferramenta Nessus Security Scanner por ser a mais adequada para atender aos requisitos desta empresa. Após sua implantação, foram efetuados testes de intrusão e analisados os resultados obtidos, o que permitiu sugerir algumas soluções para aumentar a segurança desta empresa. Palavras chave: Segurança de redes, verificação de vulnerabilidades, serviços de rede, Nessus Security Scanner. vi

8 ABSTRACT Currently the security in networks of computers is an item very important and essential to protect digital information from one company. This monograph, through a theoretical study and practical application in a case study, presents an introduction to basic concepts of security of networks, emphasizing the finding of vulnerabilities in a corporate real company, seeking the security holes in the network using up a free tool. After the study of theoretical and practical tools to free safety, opted for the tool Nessus Security Scanner to be the most appropriate to meet the requirements of this company. After its deployment, tests were made of intrusion and analyzed the results, which suggest some possible solutions to increase the security of this company. Security Scanner. Key Words: Network security, free tool, vulnerability assessment, intrusion Nessus vii

9 SEGURANÇA DE REDES DE COMPUTADORES EM UM AMBIENTE CORPORATIVO SUMÁRIO RESUMO vi ABSTRACT vii LISTA DE FIGURAS xi LISTA DE TABELAS xii LISTA DE ABREVIATURAS xiii 1. INTRODUÇÃO Objetivos Problema Estrutura SEGURANÇA DE REDES DE COMPUTADORES Introdução Visão geral sobre segurança de redes Ameaças e tipos de ataques Atacantes Ataques Sistemas de Firewall Tipos de Firewall Arquiteturas de Firewall Criptografia Criptossistemas Simétricos Criptossistemas Assimétricos Croptossistemas Híbridos A importância da Criptografia Redes Privadas Virtuais Fundamentos da VPN Configurações de VPN Autenticação 39 viii

10 2.7.1 Autenticação baseada no conhecimento do usuário Autenticação baseada nas informações que estão de posse do usuário Autenticação com base nas características do usuário Políticas de Segurança Elaboração de uma política de segurança Definição do Escopo Identificação da Ameaça Implantação de políticas de segurança Manutenção das políticas de segurança Análise de Vulnerabilidades VERIFICAÇÃO DE VULNERABILIDADES Introdução O que é a verificação de Vulnerabilidades Porque Verificar Vulnerabilidades Tipos de Verificação Verificações Automatizadas O processo de Verificação Ferramentas para verificação de vulnerabilidades Retina Network Security Scanner Shadow Security Scanner Nessus Security Scanner Comparação entre as ferramentas analisadas A FERRAMENTA NESSUS Introdução Características do NESSUS Componentes Básicos Funcionamento Instalação INSTALAÇÃO DA FERRAMENTA E TESTES Introdução Instalação da Ferramenta Configurações do Servidor NESSUS 74 ix

11 5.4 Descrição do Ambiente de Testes Análise dos resultados obtidos na verificação Host x.y.z.a Host x.y.z.d Host x.y.z.e Host x.y.z.f Host x.y.z.g Host x.y.z.i Host x.y.z.j Conclusão da análise dos testes e sugestões de melhorias CONCLUSÃO REFERÊNCIAS BIBLIOGRÁFICAS BIBLIOGRAFIA SUGERIDA 83 x

12 LISTA DE FIGURAS Figura 2.1 Total anual de incidentes reportados ao CERT.br Figura 2.2 Origem dos ataques reportados ao CERT.br de Janeiro a Março de 2008 Figura 2.3 Tipos de ataques reportados ao CERT.br de Janeiro a Março de 2008 Figura 2.4 Scans reportados, por porta ao CERT.br de Janeiro a Março de 2008 Figura 2.5 Arquitetura Dual-homed Host Figura 2.6 Arquitetura Screened Host Figura 2.7 Arquitetura Bastion Host Figura 3.1 Relatório de exemplo do NESSUS Figura 3.2 Arquitetura do IP 360 Figura 3.3 Opções de Scan do NESSUS Figura 3.4 Verificação de portas pelo NESSUS Figura Tela de configuração para escaneamento Figura Relatório gerado pelo Retina Figura 3.7 Applience da eeye Secutiry Figura 3.8 Tela para seleção do tipo de scanner a ser executado Figura 3.9 Resultado de um scanner realizado pelo SSS Figura 4.1 Servidores Nessus em diferentes segmentos de rede Figura 4.2 Tela de seleção de plug-ins para execução da verificação Figura 5.1 Instalação do Nessus via Ports Figura 5.2 Criação do certificado digital para execução do NESSUS Figura 5.3 Criação do Usuário Figura 5.4 Inicialização do Serviço Figura 5.5 Cliente NESSUS para ambiente Windows Figura 5.6 Arquivo de configuração do NESSUS xi

13 LISTA DE TABELAS Tabela 3.1 Comparação entre as ferramentas analisadas Tabela 5.1 Tabela de Hosts para verificação de vulnerabilidades Tabela 5.2 Resultados quantitativos das verificações xii

14 LISTA DE ABREVIATURAS E SIGLAS B2B - Business to Business B2C - Business to Comsumer CERT-BR - Centro de Estudos, Resposta e Tratamento de incidentes de Segurança no Brasil CGI - Common Gateway Interface DDoS - Distributed Denial of Service DES - Data Encryption Standard DMZ Delimitarized Zone DNS - Domain Name Server DoS - Denial of Service FTP - File Transfer Protocol GUI - Graphical User Interface ICMP - Internet Control Message Protocol IDEA -International Data Encryption Algorithm IDS - Intrusion Detection System IP - Internet Protocol IPSec - Internet Protocol Security IPSEC - Internet Protocol Security L2TP - Layer 2 Tunneling Protocol NASL - NESSUS Attack Scripting Language NAT - Network Address Translator NMAP - Network Mapping PHP - Hypertext Preprocessor PIN - Personal Identification Number PPTP - Point-to-Point Tunneling Protocol PSU - Política de Segurança do Usuário RADIUS - Remote Authentication Dial In User Service RPC - Remote Procedure Call S/MIME - Secure Multipurpose Internet Mail Extensions xiii

15 SNMP - Simple Network Management Protocol SSL Secure Sockets Layer SSS - Shadow Security Scanner TCP - Transmission Control Protocol TLS - Transport Layer Security UDP - User Datagram Protocol VPN Virtual Private Network xiv

16 SEGURANÇA DE REDES DE COMPUTADORES EM UM AMBIENTE CORPORATIVO CAPÍTULO I INTRODUÇÃO Durante as primeiras décadas de sua existência, as redes de computadores foram usadas principalmente por pesquisadores universitários, com a finalidade de enviar mensagens de correio eletrônico, e também por funcionários de empresas, para compartilhar impressoras. Sob essas condições, a segurança nunca precisou de maiores cuidados. Porém, como milhões de cidadãos comuns atualmente estão usando as redes para executar operações bancárias e fazer compras on-line, a segurança das redes está despontando no horizonte como um problema potencial [Tanenbaum 2003]. O assunto tornou-se um dos principais focos de atenção das empresas (e de todo o mercado) à medida que a integração de Redes e a Internet é mais que uma realidade, é uma necessidade. Sistemas de Intranet, Extranet, B2B (Business to Business), B2C (Business to Comsumer) tornam o tráfego de dados inter redes uma atividade vital para a existência das empresas. Junto com esse tráfego vem os dados desejados e os visitantes indesejados. Atualmente, é constante ouvir notícias de dados perdidos, violados ou extraviados de empresas privadas, bancos, empresas ligadas ao governo público e usuários comuns. Vivemos continuamente ameaçados por pragas virtuais e pessoas mal intencionadas, cujo objetivo é extraviar, alterar, ou enriquecer seus conhecimentos. Assim, surgiu a necessidade de utilizar métodos e sistemas capazes de auxiliar na segurança da rede, de forma que os dados e serviços disponíveis não sejam violados por pessoas mal intencionadas. 15

17 1.1 Objetivos O principal objetivo deste projeto é implementar recursos que proporcionem maior segurança para a rede de computadores de uma empresa corporativa, cujo nome fictício usado será FOXTROT, por motivos óbvios de segurança. Estas implementações envolvem a configuração de ferramentas para a realização de intrusão buscando analisar a existência de possíveis falhas. Para isso se faz necessário: Compreender as técnicas e metodologias utilizadas na realização de Pen Tests (Teste de intrusão), possibilitando a execução de experimentos eficazes; Estudar o funcionamento da ferramenta escolhida, através configuração e implementação de protótipos em um laboratório de experimentações, com a realização de exaustivos testes até a validação da solução; Implantar o protótipo na empresa e verificar a eficiência da solução; Aplicar os conceitos teóricos vistos durante o Curso de graduação em Ciência da Computação em um projeto prático; Conforme as pesquisas efetuadas, no mercado atual, são encontrados diversas ferramentas capazes de fornecer esse tipo de monitoramento, tais como: soluções proprietárias: o Software SSS (Shadow Security Scanner) da Safety Lab, o Software Retina Security Scanner e o AW Security; solução de Software Livre: NESSUS. Como a empresa solicitou que a ferramenta que atenda suas necessidades de segurança seja de custo gratuito, o foco desse trabalho será o de realizar um estudo de um produto com esta característica e que atenda aos requisitos que compreende a realidade do ambiente de rede de computadores desta empresa. Com isso, pretende-se implantar, testar e analisar as possíveis vulnerabilidades que sejam encontradas, propondo soluções e possíveis prevenções de falhas. 16

18 1.2 Problema Todas as redes conectadas a Internet estão suscetíveis a ataques. A rede de computadores da empresa analisada não é diferente e contém diversos serviços e dados importantes e sigilosos. 1.3 Estrutura Este trabalho está estruturado da seguinte forma: No Capítulo 2 apresenta-se uma visão geral sobre os conceitos básicos de segurança de rede de computadores, abrangendo ameaças e origem de ataques, sistemas de firewall, criptografia, VPN (Virtual Private Network), autenticação, políticas de segurança e introduz o conceito de verificação de vulnerabilidades. No Capítulo 3 explica-se o que é verificação de vulnerabilidades, traz um levantamento de ferramentas existentes tal atividade, realizando uma comparação entre elas e com a conseqüente escolha da ferramenta mais adequada para o ambiente de redes da empresa FOXTROT. No Capítulo 4 apresenta-se a ferramenta NESSUS, que foi considerada a mais adequada para o objetivo deste trabalho, se tratando de software livre de auditoria para a realização de teste de intrusão em rede de computadores. No Capítulo 5 descreve-se a instalação da ferramenta e os testes de intrusão efetuados na rede da empresa, apresentando os resultados obtidos e sugestões para melhorar e garantir a segurança da rede de computadores desta empresa. Finalmente, o capítulo 6 traz as conclusões gerais do trabalho. 17

19 CAPÍTULO II SEGURANÇA DE REDE DE COMPUTADORES 2.1 INTRODUÇÃO Este capítulo traz uma visão geral sobre segurança de redes de computadores. A seção 2.2 faz uma breve introdução ao tema. A seção 2.3 apresenta as principais ameaças e tipos de ataques a uma rede de computadores. A seção 2.4 apresenta o conceito de Firewall, abordando os tipos, arquitetura e uma breve introdução ao Firewall do Linux (IPTABLES). A seção 2.5 mostra uma visão geral de criptografia e seus tipos. A seção 2.6 apresenta o conceito de VPN. A seção 2.7 dá ênfase ao conceito de Autenticação. A seção 2.8 apresenta o padrão de uma Política de segurança e os passos para elaboração da mesma. Finalmente, a seção 2.9 apresenta conceitos de verificações de segurança. 2.2 VISÃO GERAL SOBRE SEGURANÇA DE REDES Os crimes virtuais (crimes efetuados através da utilização de computadores) já são uma realidade, podendo atingir desde pessoas simples que tem uma conta bancária até grandes empresas que possuem informações confidenciais com algum valor comercial (informações que, tornadas públicas, poderiam comprometer a continuidade do negócio). Podemos citar como exemplo desses crimes os roubos de senhas de cartões de crédito, roubo de segredos industriais e comprometimento de sistemas e serviços de empresas. Sendo assim, surge a necessidade de se identificar, mensurar e registrar esses tipos de atividades, que em geral são chamadas de incidentes de segurança, para que se possa tomar medidas de forma a evitar ou reduzir os seus efeitos. 18

20 Nas Figuras 2.1 e 2.2 é mostrada a evolução dos incidentes de segurança que foram registrados e reportados ao Centro de Estudos, Resposta e Tratamento de incidentes de Segurança no Brasil (Cert.br) [CERT.BR 2008]. Figura 2.1 Total anual de incidentes reportados ao CERT.br [CERT.br, 2008]. Figura 2.2 Origem dos ataques reportados ao CERT.br de Janeiro a Março de 2008 [CERT.br, 2008]. Os incidentes de segurança podem ocorrer, e ocorrem, nas mais diversas empresas, podendo comprometer os negócios de várias formas, além disso, os ataques (ações que causam os incidentes de segurança) podem ter origem diversa, como exibido na Figura 2.2. Analisando os gráficos exibidos, pode-se perceber um alto número de incidentes de 19

21 segurança, evidenciando a necessidade de estudos de mecanismos que possam garantir a segurança dos sistemas computacionais (computadores interconectados fornecendo serviços e abrigando aplicações) atualmente em funcionamento. Percebemos também que durante o ano de 2006 ocorreram o maior numero de notificações ao CERT.br sobre incidentes de segurança. No ano de 2007 esse número diminuiu consideravelmente, nos levando a concluir que o investimento em segurança de redes no país, neste ano, foi decisivo no combate aos ataques. Quando se usa o termo segurança de redes, geralmente a principal preocupação ou enfoque está nos aspectos técnicos, os quais devem ser considerados para garantir a segurança de um sistema computacional, isto é, o estudo da segurança esta voltado aos dispositivos (hardware e software) inseridos num ambiente de rede, que são capazes de proporcionar a segurança do mesmo (evitando a ocorrência de incidentes de segurança e corrigindo falhas) e ao uso destes em conjunto, garantindo um maior nível de segurança. Para que mecanismos de segurança sejam implantados eficientemente para uma necessidade específica, isto é, para a solução de um problema de segurança em particular (falha de segurança), é necessário conhecer quais as ameaças cujos sistemas a serem protegidos estão sujeitos, bem como as definições utilizadas para classificar algumas situações de comprometimento da segurança. 2.3 AMEAÇAS E TIPOS DE ATAQUES Para que seja possível proteger os sistemas computacionais de ataques e invasões, precisa-se conhecer quem são as pessoas que possuem conhecimentos para comprometer a segurança dos mesmos e quais as tecnologias disponíveis que podem ser utilizadas por elas para atingir seus objetivos. Por isso, surge a necessidade de se classificar essas pessoas (atacantes) e as tecnologias (ataques) usadas por elas Atacantes Dá-se o nome de atacante à pessoa que realiza um ataque (tentativa de comprometimento ou invasão) a um sistema computacional, obtendo êxito ou não. Esta terminologia é utilizada mais didaticamente, pois o termo conhecido popularmente é Hacker, 20

22 amplamente usado pela mídia (jornais, revistas, etc.). O termo Hacker possui algumas ramificações, tais como: Script Kiddies, Crackers, Carders, Cyberpunks, Insiders, Coders, White hats, Black hats e Preacker. Originalmente atribuía-se o nome Hacker àqueles que utilizavam seus conhecimentos para invadir sistemas, sem o intuito de causar danos, mas como um desafio às suas habilidades [Spy 2001]. Script Kiddies Conhecidos pelo baixo conhecimento técnico e por usarem ferramentas disponíveis na internet para invadir sistemas, os Script Kiddies ou Newbies são as ameaças mais comumente enfrentada pelas empresas, sendo a maioria dos atacantes atualmente. Não possuem um alvo em específico, podendo atacar qualquer tipo de organização que possua comunicação com a internet [Spy 2001]. Crackers Diferentemente dos Script Kiddies, os Crackers possuem conhecimento avançado em informática, são capazes de quebrar proteções de sistemas e softwares, além de roubar informações importantes e destruir os sistemas invadidos. Os Crackers são responsáveis pela maioria dos crimes virtuais de destaque nos jornais e revistas, os quais envolvem grandes perdas financeiras para a empresa invadida [Spy 2001]. Carders Os Carders são responsáveis por efetuar compras através da internet usando cartões de credito roubados ou simplesmente gerados. Quando se refere aos cartões de crédito para compras na internet, esta se fazendo referencia ao numero e validade dos mesmos e não fisicamente, portanto são apenas os números que são roubados ou gerados por softwares específicos para esse fim [Spy 2001]. 21

23 Cyberpunks O alto grau de conhecimento e a preocupação excessiva com privacidade caracterizam esses Hackers. Devido a esta ultima preocupação, os Cyberpunks fazem uso da criptografia para garantir a privacidade dos dados [Spy 2001]. Aparentemente, surgiram na década de 80, referenciados por Hackers dos tempos românticos, nos quais as invasões de sistemas eram feitas por puro divertimento e desafio. É prática comum dos Cyberpunks encontrar e publicar novas vulnerabilidades encontradas em serviços, sistemas e protocolos, ajudando as empresas que desenvolvem software a corrigir seus produtos [NG 2002]. Insiders Atribui-se, geralmente, aos Insiders a execução de espionagem industrial. Eles são funcionários e ex-funcionários da própria empresa que tem por objetivo roubar informações confidenciais ou comprometer os sistemas da mesma. Normalmente, os maiores prejuízos das empresas são atribuídos a eles, pois tem conhecimento dos processos da empresa, acesso a documentos importantes (relatórios e memorandos), possuem acesso válido (usuário cadastrado) aos sistemas computacionais e conseqüentemente possibilidade de efetuar cópias de dados e softwares, além de contarem com amizades de outros funcionários, que não desconfiam do que esta acontecendo. Práticas como engenharia social (método de ataque onde uma pessoa faz uso da persuasão, muitas das vezes abusando da ingenuidade ou confiança do usuário) e suborno são características dos Insiders [Spy 2001]. Coders Hackers que compartilham seus conhecimentos, os Coders constroem programas, escrevem livros e ministram palestras sobre o que já fizeram. Geralmente foram Hackers famosos, e que hoje trabalham legalmente. 22

24 O caso mais notório é o de Kevin Mitnick [MS 2003], Hacker que cumpriu pena por atos criminosos através da utilização de computadores. Hoje, está impedido pela justiça de utilizar computadores e trabalhar como consultor técnico porém ele é muito requisitado para proferir palestras sobre segurança [Spy 2001]. White Hats Possuem como lema o conhecimento aberto e utilizam-no para encontrar vulnerabilidades em aplicações e sites para divulgá-los e corrigi-los, seja para toda a comunidade ou para contratantes de seus serviços. São responsáveis por efetuar testes de invasão e análises de segurança, sendo de vital importância para que as organizações mantenham a segurança de seus sistemas [Spy 2001]. Black Hats Também conhecidos como Full Fledged, os Black Hats, diferentemente dos White Hats, utilizam seus conhecimentos para invadir os sistemas de organizações para roubar informações, de forma a obter retorno financeiro vendendo-as ou chantageando a organização invadida. A prática de chantagem utilizada por esse tipo de Hacker é conhecida como blackmail [Spy 2001]. Phreackers Muitas vezes referenciados pelo termo phreacking, eles são os Hackers da telefonia, responsáveis por fraudes telefônicas, tais como alteração de contas, ataques às centrais telefônicas e realização de ligações gratuitas [Spy 2001]. Atualmente o maior alvo desses Hackers é a telefonia celular e digital (VOIP) Ataques Antes de discorrer sobre os tipos de ataques mais comuns nos dias de hoje, são apresentadas algumas estatísticas que justificam a necessidade de monitorar e estudar esses ataques. 23

25 Pode-se observar nas Figuras 2.3 e 2.4 [CERT.br, 2008] os tipos mais comuns de ataques notificados, bem como a comparação em relação à quantidade dos mesmos dentre todos os considerados até março de Figura 2.3 Tipos de ataques reportados ao CERT.br de Janeiro a Março de 2008 [CERT.br, 2008]. Figura 2.4 Scans reportados, por porta ao CERT.br de Janeiro a Março de 2008 [CERT.br, 2008]. 24

26 Ataque Físico Roubo de equipamentos, fitas magnéticas, CDs e disquetes são características deste tipo de ataque. Os dispositivos são retirados da empresa ou roubados de executivos para posterior análise, onde informações importantes são recuperadas dos mesmos e utilizadas ou de forma a prejudicar a empresa em questão ou para obter vantagens comerciais. Os problemas referentes à segurança física são resolvidos utilizando-se dispositivos de autenticação e criptografia (comentaremos logo à frente). Packet Sniffing Este tipo de ataque consiste na captura de pacotes que circulam na rede, que podem conter informações importantes e, portanto, confidenciais para a empresa, tais como segredos de negocio e senhas de sistemas de software. Os serviços de FTP (File Transfer Protocol) e Telnet são vulneráveis a esse tipo de ataque, pois é possível obter facilmente as senhas dos usuários que utilizam desses serviços. De fácil execução, o ataque de packet sniffing pode ser usado por qualquer pessoa que possua conhecimentos mínimos em computação, pois existem softwares, que são de utilização simples e produzem bons resultados, específicos para esse fim, como é o caso do Iris para a plataforma Windows e o Ethercap para Linux. Port Scanning Um ataque de port scanning consiste na análise de um sistema com o intuito de descobrir os serviços que estão disponíveis no mesmo, através da análise das portas de serviços TCP e UDP. De posse das informações obtidas através desse tipo de ataque, pode-se concentrar esforços para comprometer recursos específicos. Os softwares responsáveis por efetuar um ataque de port scanning são conhecidos como port scanners e dentre os mais famosos estão o Nmap, disponível para sistemas Linux, e o Retina, disponível para sistemas Windows. Esses softwares fornecem informações valiosas dos alvos e são de fácil utilização, tornando-se responsáveis pela maioria dos ataques reportados ao CERT.br, já evidenciados nas estatísticas de ataques apresentadas 25

27 anteriormente. Além disso, pode-se observar na Figura 2.4 as estatísticas das portas que sofreram maior número de scans, também reportados ao CERT.br. Scanning de Vulnerabilidades Como visto anteriormente, um port scanner é capaz de identificar as portas e serviços disponíveis em um sistema computacional, mas essas informações ainda não são suficientes para comprometer a segurança de um sistema. Para isso, precisa-se encontrar alguma vulnerabilidade nessas portas e serviços, tarefa do scanning de vulnerabilidades. Esses softwares executam uma série de testes na rede de computadores a ser atacada, procurando por falhas de segurança em serviços, protocolos, aplicativos e sistemas operacionais. O software mais famoso e utilizado para scanner de vulnerabilidades é o NESSUS, da Tenable Security, foco principal deste trabalho. Outra opção seria o Retina Network Security Scanner da eeye Digital Security, porém sem uma versão de colaboração. Estes softwares serão detalhados nos capítulos posteriores. Os tipos mais comuns de vulnerabilidades encontradas pelos scanners de vulnerabilidade são em compartilhamento de arquivos, configurações incorretas dos sistemas e softwares desatualizados. Denial of Service Os ataques de DoS (Denial of Service) ou negação de serviço consistem na obtenção de perda de desempenho proposital de serviços ou sistemas, de forma a impossibilitar o seu uso pelas pessoas que possuem permissão para acessá-los. Existem diversas técnicas para se fazer um ataque de negação de serviço, das quais se pode citar o SYN Flooding e o Smurf que são descritos em [NG 2002]. Além dos ataques de DoS, também existem os ataques de DDoS (Distributed Denial of Service), que são os ataques coordenados, onde diversos hosts são controlados e configurados por um atacante de forma a efetuarem ataques simultâneos contra um determinado alvo. 26

28 Ataques no Nível da Aplicação Os ataques no nível da aplicação envolvem basicamente a exploração de vulnerabilidades em aplicativos e protocolos na camada de aplicação da pilha de protocolos TCP/IP, isto é, a camada mais próxima do usuário. Fazem parte desse tipo de ataque: Buffer overflow: método de ataque no qual o Hacker explora falhas de implementação envolvendo o controle de buffer; Navegadores web: falhas de segurança nos navegadores são exploradas de forma que o atacante possa invadir o sistema; Vírus: programa capaz de infectar (fazer cópia de si mesmo) outros programas e arquivos; Worm: programa capaz de se propagar automaticamente através de redes de computadores (enviando cópias de si mesmo para outros computadores), que diferentemente dos vírus, não precisa ser explicitamente executado para funcionar. Cavalo de tróia (trojan horse): programa que executa funções normalmente maliciosas sem que o usuário tome conhecimento. 2.4 SISTEMAS DE FIREWALL Um sistema de firewall pode ser definido como dispositivo que combina software e hardware para segmentar e controlar o acesso entre redes de computadores distintas. Os sistemas de firewall são a primeira barreira contra os possíveis atacantes de um sistema computacional ou rede de computadores (como é freqüentemente referenciado), devido a seu histórico de utilização e eficácia no cumprimento de sua função. Temos dois aspectos relevantes ao se estudar firewall: Tipos de firewall (tecnologia de firewall) Arquiteturas de firewall 27

29 2.4.1 Tipos de Firewall Os tipos de firewall disponíveis no mercado estão baseados nos requisitos de segurança que os mesmos atendem, funcionalidades e avanços tecnológicos agregados. Embora os referidos dispositivos já estejam no mercado há muito tempo, eles sofrem melhorias constantes, dando origem a novos tipos de firewall. Alguns deles são descritos nas seções seguintes. Filtro de Pacotes Conhecidos também por static packet filtering, devido à utilização de regras estáticas para filtragem de pacotes, são o tipo de firewall mais simples existente, sendo fácil, barato e flexível de serem implementados [NG 2002]. A análise feita está baseada nas camadas de rede e de transporte da pilha TCP/IP, portanto as informações verificadas são o endereço de origem, o endereço de destino e o serviço requerido (porta de origem e porta de destino), que constam dos cabeçalhos dos pacotes que transitam pelo firewall. Normalmente este tipo de firewall possui um maior desempenho em relação aos outros tipos existentes, justamente pela análise simples, fácil e rápida, fato que contribuiu para que estes testes fossem incorporados a alguns roteadores. As vantagens desse tipo de firewall são: Simples e flexível; Baixo custo; Desempenho melhor se comparado a outros tipos de firewall; É transparente ao usuário; As regras utilizadas são simples de serem criadas; Neste tipo de firewall, temos também desvantagens: Muito vulnerável aos ataques que exploram as deficiências do protocolo TCP/IP; Não possui autenticação de usuários; Impossibilidade de bloqueio de ataques que exploram serviços das camadas superiores (acima da camada de transporte) da pilha TCP/IP; Permite conexão direta entre hosts internos e externos; 28

30 É difícil gerenciar em ambientes complexos; Dificuldade em filtrar serviços que utilizam portas dinâmicas, como a RPC (Remote Procedure Call). Filtros de Pacotes Baseados em Estados Os filtros de pacotes baseados em estados (stateful packet filter) são uma evolução dos filtros de pacotes, pois, associados à tabela de regras, eles possuem uma tabela de estados, auxiliando na tomada de decisões de filtragem (que são baseadas em informações dos pacotes de dados e da tabela de estados). Devido a essa característica, estes tipos de firewalls também são conhecidos como dynamic packet filter. A grande diferença entre o filtro de pacotes e o filtro de pacotes baseado em estados está no fato de que agora as conexões são monitoradas a todo instante, significando que os pacotes só podem passar pelo firewall se fizerem parte de uma sessão registrada na tabela de estados, caso contrario o pacote é descartado. Proxy Os proxies funcionam como uma ponte entre um servidor externo e o host cliente, solicitante da conexão, onde o cliente se conecta a uma porta TCP (Transmission Control Protocol) no firewall e este abre uma conexão com o servidor externo. Vantagens dos proxies: Não permissão de conexões diretas entre servidores externos e hosts internos; Capacidade de manter logs detalhados sobre o tráfego e atividades específicas; Possibilidade de autenticação de usuários; Possibilidade de análise de comandos da aplicação. Desvantagens: Não tratamento de pacotes ICMP (Internet Control Message Protocol); Maior lentidão em relação aos firewalls de filtro de pacotes. 29