Capture and Analysis of Malicious Traffic in VoIP Environments Using a Low Interaction Honeypot

Tamanho: px
Começar a partir da página:

Download "Capture and Analysis of Malicious Traffic in VoIP Environments Using a Low Interaction Honeypot"

Transcrição

1 Capture and Analysis of Malicious Traffic in VoIP Environments Using a Low Interaction Honeypot I. R. J. S. Vargas and J. H. Kleinschmidt 1 Abstract The number of users of VoIP services is increasing every year. Consequently, VoIP systems get more attractive for attackers. This paper describes the implementation of a low interaction honeypot for monitoring illegal activities in VoIP environments. The honeypot operated during 92 days and collected 3502 events related to the SIP protocol. The analysis of the results allows understanding the modus operandi of the attacks targeted to VoIP infrastructures. These results may be used to improve defense mechanisms such as firewalls and intrusion detection systems. A Keywords security, honeypot, VoIP, SIP, attacks. I. INTRODUÇÃO TUALMENTE o universo das telecomunicações vem passando por uma transformação, com a migração cada vez mais constante da comunicação de voz via circuitos comutados para a comunicação de voz via rede IP, também conhecida como VoIP [1]. Essa migração proporciona aos usuários uma diversidade de novos serviços e facilidades. No caso das comunicações VoIP uma das principais dificuldades enfrentadas são as relacionadas a segurança, com novos ataques visando o comprometimento de um ambiente de produção. Um sistema que antes sofria, em sua grande maioria, com ataque à infraestrutura física, passa agora a assumir todas as ameaças direcionadas à pilha de protocolo TCP/IP [1], [2], [3]. Surgem também ataques específicos direcionados aos protocolos de voz, como SIP (Session Initiation Protocol), IAX (Intra-Asterisk Exchange) e RTP (Real-time Transport Protocol), entre outros. O SIP é um dos principais protocolos VoIP e tem sua arquitetura composta de quatro elementos básicos: user agent, proxy SIP, servidor de redirecionamento e servidor de registro. O user agent, ou agente usuário (UA) é uma função lógica que corresponde ao cliente da arquitetura. Responsável por iniciar ou responder a transações SIP, pode atuar tanto como cliente (UAC) quanto como servidor (UAS), iniciando requisições SIP e aceitando respostas SIP, ou aceitando requisições SIP e respondendo-as, respectivamente. Responsável pela função de roteamento dentro de uma rede SIP, o proxy SIP tem por finalidade encaminhar as requisições e respostas SIP entre os dispositivos envolvidos, com a finalidade de completar as chamadas dos UAC. O servidor de redirecionamento tem como objetivo redirecionar 1 I. R. J. S. Vargas - Universidade Federal do ABC (UFABC), Santo André, São Paulo, Brasil, J. H. Kleinschmidt - Centro de Engenharia, Modelagem e Ciências Sociais Aplicadas (CECS), Universidade Federal do ABC (UFABC), Santo André, São Paulo, Brasil, requisições e respostas com base em mensagens SIP da classe 300, direcionando o UAC para contato direto com o destino solicitado. Já o servidor de registro é responsável por registrar informações sobre qualquer UA que já tenha efetuado logon no sistema. Assim como no desenvolvimento de outras tecnologias o componente segurança não foi desenvolvido com a mesma eficiência e rapidez dedicada à entrega de aplicativos e a oferta do serviço. Consequentemente uma diversidade de ataques a esses sistemas surgiram (ex. rastreamento de chamada, vazamento de informação, manipulação de chamadas, injeção de códigos de controle). Apesar de se ter algum conhecimento sobre esses ataques, não é possível reunir informações consistentes e confiáveis sobre os métodos, ferramentas e motivações que levam atacantes a executá-los [2], [3]. Existem poucos estudos sobre segurança VoIP e de ataques em sistemas VoIP do mundo real. Alguns trabalhos propõem o uso de honeypots para a captura de tráfego malicioso em um ambiente VoIP [4], [5],[6], [7], [8], [9], [10]. Os honeypots podem ser definidos como um recurso computacional destinado a ser sondado, atacado e/ou comprometido, cujo valor reside justamente no uso não autorizado ou ilícito dos recursos oferecidos [11], [12], [13], [14]. A aplicação de honeypots em ambientes configurados com infraestrutura VoIP pode contribuir para uma melhor identificação e interpretação dos diversos tipos de ataques já existentes e os demais ataques que podem surgir, adquirindo conhecimento sobre os métodos e ferramentas utilizadas. Assim, pode ser possível modelar novas técnicas e metodologias de proteção, evitando utilização indevida e prejuízos a esse ambiente. Alguns trabalhos propõem uma arquitetura honeypot para VoIP, porém não fazem coleta de dados ou fazem apenas simulação de tráfego. A maioria das abordagens apresentadas usa honeypots de alta interatividade, que são mais difíceis de instalar em um ambiente de produção e podem comprometer a rede [4]. Dentre estes trabalhos, poucos fazem coleta de dados usando tráfego real, sempre usando honeypots de alta interatividade [6]. Honeypots de baixa interatividade são mais fáceis de serem instalados por administradores de rede, que podem coletar valiosas informações para a proteção do ambiente VoIP. O objetivo deste artigo é implantar um honeypot de baixa interatividade destinado à monitoração de tráfego ilícito em ambientes VoIP usando o protocolo SIP. O honeypot irá coletar dados reais de tráfego. O restante do artigo está organizado da seguinte maneira: na Seção II são apresentadas algumas questões de segurança em ambientes VoIP e na Seção III é descrita a implantação do honeypot. A

2 Seção IV mostra os resultados obtidos e por fim, a Seção V faz as considerações finais do trabalho. II. SEGURANÇA EM VOIP As ameaças à segurança de ambientes VoIP são constituídas pelo conjunto dos problemas enfrentados pelas redes de dados, mais os problemas específicos dos protocolos e serviços integrados a uma infraestrutura VoIP [7]. No que se refere às ameaças destinadas a ambientes com infraestrutura VoIP, existem diversas maneiras de categorizá-las. Uma possível taxonomia é dada em [2] e classifica os ataques como ameaças contra a disponibilidade, confidencialidade, integridade e contra o contexto social. A. Ameaças contra a disponibilidade Ameaças contra a disponibilidade das comunicações têm como objetivo a interrupção do serviço VoIP. São os ataques do tipo negação de serviço (DoS Denial of Service), que têm como principal objetivo realizar ataques a elementos chave de um sistema de comunicação VoIP, como proxy, gateway ou cliente. O ataque de call flooding, ou inundação de chamadas, acontece quando um atacante tem por objetivo reduzir significativamente o desempenho de um sistema, seja através do consumo de memória, CPU ou largura de banda, ou até mesmo desativá-lo. Esse ataque pode ocorrer de forma unificada, ou seja, partindo de um único atacante, ou de maneira distribuída, através da utilização de botnets ou ataques coordenados. Outro ataque são as mensagens mal formadas. Para esse tipo de ataque existem duas formas de se proceder. A primeira delas consiste em alterar a estrutura de uma mensagem SIP. A outra consiste em manter a estrutura regulamentada e então modificar o conteúdo padrão da mensagem. Os impactos causados à infraestrutura podem ser looping infinito, buffer overflow, queda do sistema, incapacidade de processar mensagens verdadeiras, entre outras [2]. O call hijacking, ou sequestro de chamada, acontece geralmente devido a falhas no processo de autenticação entre as partes envolvidas em uma comunicação VoIP. Isso porque comumente é realizada a autenticação apenas do usuário pelo servidor. O processo inverso não se aplica, permitindo que atacantes, através do ataque homem-no-meio, se passem por servidores legítimos. B. Ameaças contra a confidencialidade As ameaças contra a confidencialidade não causam impacto direto sobre a comunicação entre usuários, mas podem causar danos irreparáveis, considerando que informações sensíveis podem ser interceptadas e utilizadas para fins ilícitos. O eavesdroping tem como objetivo obter acesso às chamadas em trânsito entre usuários de um ambiente VoIP. Diferente das dificuldades encontradas para interceptar uma ligação telefônica na RPTC (Rede Pública de Telefonia Comutada), em ambientes VoIP esse ataque é muito fácil de ser realizado, tornando-se uma ameaça frequente e popular [2], [7]. Ataques que objetivam o roubo de identidade e senhas, geralmente são compostos por um conjunto de outros ataques. Inicialmente, usando um processo de enumeração, o atacante realiza uma varredura no servidor de registro em busca de Call-ID (identificação do usuário) válidas, impressões digitais dos dispositivos e portas utilizadas, entre outros. Através de acesso indevido a informações de controle obtidas facilmente por meio de um ataque de interceptação, um atacante pode obter acesso não autorizado a identificadores que podem oferecer informações sobre destino/origem de ligações, duração, conteúdo, servidores de registro, proxy, gateways, entre outros. C. Ameaças contra a integridade O principal objetivo desse tipo de ameaça é comprometer conexões em andamento. Isto pode ser feito através da adulteração de mensagens de sinalização ou então da injeção, substituição ou exclusão das informações transmitidas. O reencaminhamento de chamadas é um destes ataques; pode ser qualquer método ou tentativa de redirecionamento não autorizado de um IP ou mensagem de controle, com a finalidade de desviar uma chamada. A inserção e degradação dos dados de uma comunicação VoIP podem ser feitas através de ferramentas de sniffers, ataques do tipo homem-no-meio, entre outros. D. Ameaças contra o contexto social Também categorizadas como ameaças sociais essas ameaças apresentam uma abordagem diferente das demais. Isso porque não possuem cunho técnico, mas sim sobre manipular informações com a finalidade de transformar a figura do atacante em uma entidade integra e confiável. A deturpação, ou falsa representação, refere-se ao ato de oferecer informações falsas a terceiros como se fossem verdadeiras para que um usuário ou sistema possa ser ludibriado [3]. O spam sobre telefonia IP (SPIT) é similar ao clássico spam dos s. O spam sobre telefonia IP é definido como o conjunto de tentativas de solicitações em massa buscando estabelecer uma sessão de comunicação de voz ou vídeo [2]. Quando uma vítima atende a ligação ou a ligação é encaminhada para um correio de voz, o spammer começa a transmitir a mensagem em tempo real. O vishing (VoIP phishing) é amparado por outros ataques e ameaças como SPIT, falsas representações de identidade, conteúdo e autoridade. Assim como no phishing, consiste em obter informações pessoais por meio de tentativas ilegais, geralmente confidenciais, de usuários do sistema. A diferença está no fato que o vishing acontece normalmente através de ligações de voz ou mensagens instantâneas. E. Trabalhos relacionados Com o intuito de conhecer melhor as ameaças que rondam esse ambiente, a utilização de honeypots tem sido proposta nos últimos anos. Em [7] os autores apresentam uma abordagem holística para um sistema de detecção e prevenção de intrusão, combinando o uso de um honeypot VoIP de alta interatividade e correlação de eventos da camada de aplicação baseado em serviços SIP. A arquitetura utilizada seria capaz

3 de detectar múltiplos tipos de ataque, como DDoS, SPIT, entre outros. No trabalho desenvolvido em [4] os autores apresentam uma implementação do honeypot VoIP Artemisa. Os autores aplicam o honeypot com a finalidade de mitigar ataques como enumeração e SPIT e executar controles como coleta de assinaturas de dispositivos vulneráveis e controle em tempo real de mecanismos de segurança. Desenvolvido para atuar exclusivamente em ambientes VoIP como um user-agent back-end, Artemisa é um honeypot com a finalidade de detectar atividades maliciosas destinadas à esse tipo de infraestrutura, ainda no estágio inicial. Não são feitas coletas de dados de ataques reais. Em [5] os autores descrevem uma arquitetura da solução implementada para interceptar, analisar e reportar ataques VoIP. A solução apresentada implementa uma honeynet, baseada exclusivamente no uso de softwares livres e sistemas como o PBX Asterisk. A arquitetura proposta oferece serviços emulados aos atacantes, ou seja, são utilizados honeypots de alta interatividade que implementam diversos serviços reais disponíveis em ambientes VoIP, com a finalidade de atrair o maior número de atacantes possíveis. Em [6] os mesmos autores realizam uma avaliação de segurança de sistemas VoIP, com base em análise de informações geradas através da implementação da honeynet do trabalho anterior [5]. Os autores explicam como a infraestrutura da honeynet foi implantada e a análise e avaliações dos ataques sofridos. Em [8] e [9] os autores propõe um honeypot VoIP que modifica o modus operandi de suas implementações sempre que se fizer necessário, visando ludibriar ao máximo a atividade de um infrator. III. IMPLANTAÇÃO DO HONEYPOT A implantação do projeto ocorreu a partir da instalação e configuração do honeypot de baixa interatividade Dionaea [15]. A escolha deste honeypot deu-se devido sua fácil instalação, configuração e manutenção, podendo ser implantado sem grandes dificuldades em uma rede. O servidor no qual o honeypot foi instalado tem as seguintes configurações: Processador: Intel (R) Core (TM) 2 Quad CPU 2.66GHz Memória RAM: 1 GB Sistema Operacional: GNU/Linux Ubuntu LTS Disco Rígido: 80 GB O honeypot foi configurado para que fosse capaz de emular uma rede SIP, oferecendo características como componentes, serviços e usuários SIP. Além disso, o honeypot foi configurado com outros serviços, como, ftp, http, mysql, entre outros, que serviram como chamariz de possíveis atacantes para a infraestrutura montada. O honeypot está conectado à Internet através de uma conexão dedicada de 1 Mbps, através da qual deverão ser capturadas atividades maliciosas transmitidas sobre tráfego real. Quando de sua instalação o software registra dois diretórios importantes. O primeiro deles é o diretório /dionaea/etc/, onde está localizado o arquivo dionaea.conf, arquivo que registra todas as configurações do sistema. O segundo deles é o diretório /dionaea/var/, onde ficam armazenados arquivos de log, outros subdiretórios responsáveis por armazenar os dados registrados pelo honeypot e do arquivo de banco de dados logsql.sqlite, responsáveis pelo registro de todas as ações registradas pelo honeypot. Dos subdiretórios mencionados é importante destacar: /dionaea/var/binaries, onde ficam registrados os binários de artefatos maliciosos que foram capturados pelo sistema; /dionaea/var/bistreams, responsável pelo registro das ações dos atacantes sobre o honeypot e /dionaea/var/rtp, onde são armazenados os arquivos referentes às tentativas de realização de chamadas fraudulentas através do serviço SIP (Fig. 1). Figura 1. Arquitetura do honeypot. O honeypot foi testado em termos de robustez e precisão. O objetivo destes testes foi verificar se o software implantado executa corretamente suas tarefas, como a captura dos ataques e armazenamento das informações no banco de dados. Para isso, foram utilizadas ferramentas de verificação de rede e simulação de tráfego, como o SIPp e SIPScan. Para testar a robustez foram geradas cerca de 50 conexões simultâneas para o honeypot, através das quais foram enviadas 100 mensagens distintas por conexão. Desta maneira foi possível verificar o correto funcionamento do honeypot mesmo quando submetido a uma quantidade elevada de atividade. O honeypot capturou corretamente todo o tráfego gerado e pode então ser colocado em funcionamento para a captura de ataques reais. IV. RESULTADOS OBTIDOS O honeypot coletou dados ao longo de 92 dias, tendo capturado eventos, dos quais estão relacionados ao protocolo SIP. Destas solicitações de conexão na porta 5060 (protocolo SIP), 3483 receberam status de conectada e as demais, 19, receberam status de aceitas. Dos endereços IP relacionados 470 estiveram relacionados a atividades SIP, sendo que desses, 443 atuaram exclusivamente sobre a porta 5060 e 27 endereços IP registraram ações em outro serviço que não o SIP. Os eventos capturados tiveram com fonte de origem 470 endereços IP distintos, alocados em 38 diferentes países de origem. Uma análise mais detalhada foi realizada em todos os 3502 registros de atividades SIP armazenados pelo honeypot. A partir de uma análise diária dos arquivos que

4 registraram as atividades SIP e da manipulação do banco de dados foi possível extrair diversas informações. A partir de uma análise de todos os países aos quais se registrou ocorrência de endereços IP provenientes foi possível notar uma grande concentração em determinados países. Constatou-se que de todos os endereços IP registrados, 74,47% foram originados de 5 países que mais incidiram endereços IP ao honeypot: Estados Unidos, Alemanha, Canadá, Reino Unido e Territórios Palestinos (Tabela I). Apesar da quantidade expressiva de endereços IP concentrado em alguns poucos países, essa informação não reflete a ocorrência de eventos registrados, uma vez que Egito, Espanha e Brasil, países que não estão entre os dez países mais frequentes na ocorrêcia de endereços IP foram responsáveis por mais de 37,09% dos eventos registrados. TABELA I. COUNTRY CODES(CC) MAIS FREQUENTES DE ORIGEM DOS ENDEREÇOS IP E EVENTOS. CC Endereços IP % CC Eventos % US ,34 EG ,13 DE 79 16,81 PS ,50 CA 26 5,53 US ,85 GB 24 5,11 ES ,25 PS 22 4,68 DE 248 7,08 TR 22 4,68 GB 155 4,43 CN 16 3,40 BR 130 3,71 NL 15 3,19 CA 79 2,26 FR 7 1,49 TR 47 1,34 CO 6 1,28 CN 40 1,14 Assim como foi possível observar na distribuição dos eventos em função do país de origem, foi possível observar também uma grande concentração dos eventos registrados apenas em poucos sistemas autônomos (AS). Os 5 ASs que mais originaram eventos foram responsáveis por 61,31% do total de eventos capturados. Outra análise realizada refere-se à distribuição dos endereços IP que originaram eventos distribuidos no espaço de endereçamento IPv4. Para isso os endereços IP foram definidos para seus determinados blocos CIDR/8 (Classless Inter-Domain Routing) (Fig. 2). Figura 2. Distribuição dos eventos registrados no espaço de endereçamento IPv4. Para cada pico registrado é indicado qual bloco CIDR teve maior contribuição no registro de eventos, acompanhado do país onde o bloco está alocado. Observa-se que as informações obtidas através da Fig. 2 são consistentes com o observado na análise dos ASs e países de origem dos eventos. O elevado número de endereços IP comprometidos por ASs pode indicar o uso em potencial de botnets para a realização de ataques ao honeypot. Como não se trata de um sitema VoIP legítimo, com serviços e configurações reais, todos os acessos são considerados suspeitos e representam potenciais ataques à infraestrutura. Figura 3. Distribuição das mensagens SIP registradas no período de produção do honeypot. A Fig. 3 mostra a distribuição das mensagens SIP ao longo dos dias em que o honeypot esteve operando. Para cada linha vertical na área de plotagem do gráfico representa-se o número de mensagens SIP registradas por dia. O eixo-y está representado em escala logarítmica. No dia de início da décima semana não houve registro de mensagens SIP, observando uma interrupção do gráfico. A Tabela II detalha as mensagens recebidas de acordo com o método SIP empregado. TABELA II. MÉTODOS SIP REGISTRADOS. Método Ocorrência % REGISTER ,46 ACK ,02 OPTIONS 888 7,16 INVITE 882 7,11 CANCEL 144 1,16 BYE 26 0,21 Outros 25 0,20 É possível observar que a grande maioria das mensagens recebidas contém o método REGISTER. Isso ocorre porque a maior parte dos ataques registrados agiu diretamente sobre as extensões do servidor e não sequencialmente a um scan da rede com o método OPTIONS. Observou-se este procedimento no comportamento dos atacantes, cuja provável causa pode estar diretamente relacionada a dois fatores. Um pode ser a conivência entre os atacantes, agindo de maneira colaborativa, como se mantivessem um banco de dados compartilhado com as redes e dispositivos SIP conhecidos. Outra hipótese, já citada, é de que os ataques seriam realizados através da utilização de botnets. Independente da razão que estaria acarretando o comportamento observado, ambas as possibilidades justificariam o alto índice de mensagens com o método REGISTER e a baixa ocorrência de mensagens com o método OPTIONS. A Fig. 4 registra, em complementação às informações da Tabela II, a distribuição detalhada dos métodos SIP capturados pelo honeypot. Além da alta incidência do método REGISTER é possível verificar que o método OPTIONS

5 ocorre de maneira constante, sendo observada sua presença ao longo de todo o período de produção do honeypot. Figura 4. Distribuição detalhada das mensagens SIP registradas no período de produção do honeypot. Também é possível observar que o comportamento registrado pelo método ACK acompanha o comportamento verificado pelo método REGISTER. Esse método dificilmente será classificado como um ataque, uma vez que esse comportamento é previsível e estas mensagens são esperadas em um fluxo de mensagens SIP. A Fig. 5 traça uma linha de tendência de média móvel para ambos os métodos a fim de facilitar a observância da similaridade de comportamento entre os métodos. Por ocasião dos eventos registrados observaram-se dois padrões de comportamento distintos. O primeiro deles refere-se à sondagem inicial realizada pelos atacantes na busca de identificar dispositivos SIP na rede. Foram registrados 709 endereços IP que se utilizaram de mensagens contendo o método OPTIONS. Destes endereços, 582 procederam inicialmente com um único scan do endereço IP visando identificar um dispositivo SIP. O segundo padrão observado refere-se a um possível ataque de negação de serviço (DoS). Uma vez que o atacante já obteve as informações buscadas, não haveria a necessidade de uma nova sondagem, a menos que tenha por objetivo gerar tráfego excessivo sobre o dispositivo atacado. Um fato observado que pode fortalecer esse segundo padrão identificado é a verificação de mensagens deturpadas segundo especificações do protocolo SIP, na maioria das vezes devido à falta de campos e utilização de caracteres ilegais. A segunda fase dá-se na busca de extensões (contas de usuários) válidas. Para tal o atacante faz o uso massivo de mensagens REGISTER e busca incessantemente o registro de várias extensões sem o uso de senha. A partir da resposta encaminhada pelo servidor o atacante consegue montar uma lista das extensões válidas para este servidor. A Fig. 7 ilustra a distribuição das mensagens SIP que carregam o método REGISTER. Para melhor visualização do gráfico, excluíram-se as 3750 mensagens registradas no segundo dia de coleta. É possível observar um pico de atividade no terceiro dia de operação, que aliado às mensagens excluídas registra um comportamento esperado para um novo dispositivo SIP na rede. Figura 5. Linha de tendência de média móvel para os métodos REGISTER e ACK. Normalmente quatro fases distintas são necessárias e suficientes para se explorar uma extensão SIP. A primeira fase consiste da identificação de servidores e dispositivos SIP. Esse processo geralmente é realizado através da resposta dada pelo servidor ou dispositivo SIP a uma mensagem OPTIONS recebida por estes. Usando esta resposta o atacante consegue identificar dispositivos existentes em um único endereço IP ou em toda uma sub-rede. A Fig. 6 ilustra a distribuição das mensagens SIP que carregam o método OPTIONS durante o período de coleta do honeypot. É possível observar um pico de atividade no segundo dia de operação. Esse comportamento seria esperado, uma vez que possíveis atacantes poderiam realizar scans no servidor SIP recém implantado. Porém, a atividade que ocasionou esse pico foi registrada por um único endereço IP e pode indicar um ataque de DoS. Figura 7. Distribuição das mensagens SIP que carregam o método REGISTER registradas no período de produção do honeypot. Analisando as mensagens recebidas observou-se que após obterem sucesso na etapa predecessora, os mesmos endereços IP iniciaram o envio de mensagens contendo o método REGISTER para diversas contas de usuário. Novamente foram constatados dois padrões de comportamento. O primeiro e mais frequente deles age baseado em uma sondagem de contas numérica, podendo se desenvolver de maneira aleatória ou incremental. O segundo, por sua vez, age apoiado em uma base de dados de termos típicos, que funciona de maneira similar a um dicionário. A Tabela III mostra as principais extensões sondadas pelos atacantes. Pode-se observar que as extensões numéricas apresentam maior ocorrência frente às extensões baseadas em termos típicos. Figura 6. Distribuição das mensagens SIP que carregam o método OPTIONS registradas no período de produção do honeypot.

6 TABELA III. EXTENSÕES MAIS SONDADAS PELOS ATACANTES. Principais Extensões Numéricas Ocorrência Dicionário Ocorrência smap admin Administrator aaron test 28 Conhecendo as extensões registradas no servidor o atacante pode prosseguir para a terceira fase, que consiste em buscar a senha correta para cada extensão válida. Os eventos registrados seguem um fluxo similar ao da segunda fase, na qual a partir dos resultados alcançados na etapa anterior, através de um ataque de força bruta, busca-se a senha correta para a extensão registrada. A partir do momento em que o atacante obtém acesso a essa informação ele já está apto a prosseguir para a quarta fase, que consiste no comprometimento da extensão. Ao todo foram registradas 33 tentativas de chamadas fraudulentas para destinatários da RPTC. Foram identificados 21 números telefônicos distintos, de diferentes países: Inglaterra, Israel, Barbados, EUA, Grécia e Espanha. Para capturar o número telefônico o sistema simula o recebimento da chamada para o atacante. O honeypot recebe a chamada e redireciona para uma conta interna, registra o número de destino e encerra a conexão. Sendo assim, a chamada não é concluída. As informações obtidas nas fases 1, 2 e 3 geralmente são alcançadas com o auxílio de ferramentas disponíveis gratuitamente na Internet. Muitas dessas ferramentas foram desenvolvidas para uso legítimo, ou seja, para realizar verificações de configuração e segurança do sistema, entre outros. A ferramenta mais comum que registrou atividades foi o SIPVicious Tool Suite, um suite de ferramentas desenvolvido originalmente para auditar sistemas VoIP baseados em SIP. Ele é composto por 4 ferramentas: svmap um scanner SIP responsável por listar dispositivos SIP em uma determinada faixa de endereços IP; svwar enumerador de extensões, identifica as extensões ativas no servidor alvo; svcrack ferramenta utilizada para quebra de senha das extensões identificadas; e svreport gerencia e gera relatórios sobre as sessões SIP realizadas. Quando não modificada, os ataques realizados com essa ferramenta podem ser facilmente identificados através do user-agent friendly-scanner. A ferramenta SipVicious foi utilizada para gerar 86,46% das mensagens, porém não foi a única ferramenta identificada. A Tabela IV mostra os user-agents identificados no corpo das mensagens SIP capturadas. TABELA IV. USER-AGENTS REGISTRADOS PELO SISTEMA. User-agent Ocorrência % friendly-scanner ,43 Desenvolvimento pessoal (8 distintos) 486 3,91 Não Identificado 372 2,99 sipcli/v ,17 eyebeam release 3006o stamp ,97 smap ,07 eyebeam release 3007n stamp ,78 Asterisk 14 0,11 Asterisk ,10 SimpleOPAL/ ,10 Cisco-SIPGateway/IOS-12.x 12 0,10 Trixbox 11 0,09 sundayddr 11 0,09 sipsak ,07 asterisk 2 0,02 No total foram registrados 23 user-agents distintos. Porém, constatou-se através da análise das mensagens registradas que algumas dessas ferramentas são variações da ferramenta SipVicious. É possível observar também useragents nativos de aplicações softphone amplamente distribuídas, como eyebeam, sipcli e também do PBX OpenSource Asterisk em suas diferentes versões e derivados. Outras ferramentas originalmente desenvolvidas para o uso de administradores de rede também foram observadas, como o sipsak e smap. A ocorrência de user-agents não identificados remete a ataques mais elaborados, através do uso de ferramentas mais avançadas. A análise dos resultados obtidos permitiu uma visão mais detalhada do desenvolvimento de ataques destinados a ambientes VoIP. Essas informações podem e devem ser utilizadas para alimentar as regras de ações de outras ferramentas de segurança, como firewalls e sistemas de detecção de intrusão. As informações obtidas podem também ser utilizadas na construção de blacklists e whitelists. V. CONCLUSÃO O número de soluções e usuários de sistemas VoIP têm aumentado nos últimos anos. Essa tendência torna os sistemas VoIP mais atrativos aos olhos dos criminosos digitais. Este artigo mostrou a implantação de um honeypot para o estudo dos ataques relacionado ao protocolo SIP. Foi possível observar uma série de ataques destinados à infraestrutura VoIP, desde ataques iniciais, como a sondagem em busca de dispositivos SIP a ataques que objetivam o comprometimento total da infraestrutura. De modo geral, os resultados obtidos permitiram uma visão holística dos ataques realizados no mundo real e a detecção de diversos ataques e ferramentas utilizadas para cometer os ataques ao sistema permitem concluir que existe um risco potencial para os sistemas VoIP reais. Estas informações podem ser utilizadas para aprimorar mecanismos de defesa e também ajudar na elaboração de uma política de segurança para sistemas VoIP. Como trabalho futuro pode ser feita a implantação de uma honeynet com sensores (honeypots) distribuídos geograficamente. Isso ofereceria a amplitude necessária para

7 obter e analisar os dados em localidades distintas, permitindo conhecer o comportamento dos atacantes de acordo com sua região e traçar comparativos de acordo com os perfis estabelecidos. REFERÊNCIAS [1] J. Matejk, O. Lábaj, J. Londák e P. Podhradsky. VoIP Protection Techniques, 52nd International Symposium ELMAR, Croácia, [2] P. Park. Voice over IP Security Cisco Systems, Inc; Cisco Press; Indianapolis, EUA, [3] VoIP SA. VoIP Security and Privacy Threat Taxonomy VoIPSA Public Release 1.0; [4] R. Carmo, M. Nassar e O. Festor. Artemisa: an Open-Source Honeypot Back-End to Support Security in VoIP Domains, 12th IFIP/IEEE International Symposium on Integrated Network Management, [5] M. Gruber, F. Fankhauser, S. Taber, C. Schanes e T. Grechenig. Trapping and Analyzing Malicious VoIP Traffic Using a Honeynet Approach, 6thInternational Conference on Internet Technology and Secured Transactions, Áustria, [6] M. Gruber, F. Fankhauser, S. Taber, C. Schanes e T. Grechenig. Security Status of VoIP Based on the Observation of Real-World Attacks on a Honeynet, IEEE International Conference on Privacy, Security, Risk, and Trust, Áustria, [7] M. Nassar, S. Niccolini, R. State e T. Ewald. Holistic VoIP Intrusion Detection and Prevention System, 1st International Conference on Principles, Systems and Applications of IP Telecommunications (IPTComm), [8] C. Valli. An Analysis of Malfeasant Activity Directed at a VoIP Honeypot, Proceedings of the 8th Australian Digital Forensics Conference, [9] C. Valli e M. Al-Lawati Developing Robust VoIP Router Honeypots Using Device Fingerprints, 1st International Cyber Resilience Conference, Austrália, [10] D. Hoffstadt, A. Marold e E. Rathgeb, Analysis of SIP-Based Threats Using a VoIP Honeynet System, IEEE 11th International Conference on Trust, Security and Privacy in Computing and Communications, United Kingdom, [11] N. Provos e T. Holz. Virtual honeypots: from botnet tracking to intrusion detection, 1st edition, Upper Saddle River, New Jersey: Addison Wesley, [12] A. Barfar e S. Mohammad. Honeypots: Intrusion Deception, ISSA Journal, EUA; [13] The Honeynet Project & Research Alliance. Know your enemy: Honeynets - What a honeynet is, its value, overview of how it works, and risk/issues involved. Disponível em: [14] A. Mairh, D. Barik, D. Jena e K. Verma. Honeypot in Network Security: A Survey, ACM International Conference on Communication, Computing & Security; Índia, IND, [15] Dionaea Catches Bugs. Disponível em: Ivan Riboldi Jordão da Silva Vargas é tecnólogo em redes de computadores e mestre em engenharia da informação pela Universidade Federal do ABC (2013). As áreas de interesse são redes de computadores e segurança da informação. João Henrique Kleinschmidt é engenheiro de computação e mestre em Informática pela Pontifícia Universidade Católica do Paraná, em 2001 e 2004, respectivamente. Obteve o doutorado em Engenharia Elétrica pela Universidade Estadual de Campinas em Atualmente é professor da Universidade Federal do ABC em Santo André - SP. As áreas de interesse são redes de computadores, comunicações sem fio, sistemas distribuídos, segurança da informação e bioinformática.

EN-3611 Segurança de Redes Sistemas de Detecção de Intrusão e Honeypots Prof. João Henrique Kleinschmidt

EN-3611 Segurança de Redes Sistemas de Detecção de Intrusão e Honeypots Prof. João Henrique Kleinschmidt EN-3611 Segurança de Redes Sistemas de Detecção de Intrusão e Honeypots Prof. João Henrique Kleinschmidt Santo André, novembro de 2015 Sistemas de Detecção de Intrusão IDS Sistemas de Detecção de Intrusão

Leia mais

DESVIO DE TRÁFEGO MALICIOSO DESTINADO A REDES DE PRODUÇÃO PARA UMA HONEYNET

DESVIO DE TRÁFEGO MALICIOSO DESTINADO A REDES DE PRODUÇÃO PARA UMA HONEYNET DESVIO DE TRÁFEGO MALICIOSO DESTINADO A REDES DE PRODUÇÃO PARA UMA HONEYNET lucio@lac.inpe.br Antonio Montes montes@lac.inpe.br Laboratório Associado de Computação e Matemática Aplicada Instituto Nacional

Leia mais

UNIVERSIDADE FEDERAL DO ABC CENTRO DE ENGENHARIA, MODELAGEM E CIÊNCIAS SOCIAIS APLICADAS CECS PÓS-GRADUAÇÃO EM ENGENHARIA DA INFORMAÇÃO

UNIVERSIDADE FEDERAL DO ABC CENTRO DE ENGENHARIA, MODELAGEM E CIÊNCIAS SOCIAIS APLICADAS CECS PÓS-GRADUAÇÃO EM ENGENHARIA DA INFORMAÇÃO UNIVERSIDADE FEDERAL DO ABC CENTRO DE ENGENHARIA, MODELAGEM E CIÊNCIAS SOCIAIS APLICADAS CECS PÓS-GRADUAÇÃO EM ENGENHARIA DA INFORMAÇÃO Dissertação de Mestrado Ivan Riboldi Jordão da Silva Vargas Captura

Leia mais

SIP Session Initiation Protocol

SIP Session Initiation Protocol SIP Session Initiation Protocol Pedro Silveira Pisa Redes de Computadores II 2008.2 Professores: Luís Henrique Maciel Kosmalski Costa Otto Carlos Muniz Bandeira Duarte Outubro de 2008 Índice Introdução

Leia mais

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1 Segurança na Web Capítulo 7: IDS e Honeypots Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW Page 1 Introdução IDS = Intrusion Detection Systems (Sistema de Detecção de Invasão) O IDS funciona sobre

Leia mais

Introdução ao protocolo SIP*

Introdução ao protocolo SIP* Introdução ao protocolo SIP* 1. SIP (Session Initiation Protocol) Pode se dizer que SIP trata se de um protocolo de controle referente à camada de aplicações do Modelo de Referência OSI (Open System Interconnection),

Leia mais

Protegendo o seu negócio com servidores DNS que se protegem

Protegendo o seu negócio com servidores DNS que se protegem Resumo do produto: A Solução de DNS seguro da Infoblox reduz os ataques aos servidores DNS através do reconhecimento inteligente de vários tipos de ataque e atuando no tráfego de ataque enquanto continua

Leia mais

MANUAL DE PREVENÇÃO E SEGURANÇA DO USUÁRIO DO PABX. PROTEJA MELHOR OS PABXS DA SUA EMPRESA CONTRA FRAUDES E EVITE PREJUÍZOS.

MANUAL DE PREVENÇÃO E SEGURANÇA DO USUÁRIO DO PABX. PROTEJA MELHOR OS PABXS DA SUA EMPRESA CONTRA FRAUDES E EVITE PREJUÍZOS. MANUAL DE PREVENÇÃO E SEGURANÇA DO USUÁRIO DO PABX. PROTEJA MELHOR OS PABXS DA SUA EMPRESA CONTRA FRAUDES E EVITE PREJUÍZOS. MANUAL DE PREVENÇÃO E SEGURANÇA DO USUÁRIO DO PABX. Caro cliente, Para reduzir

Leia mais

Informe técnico: Segurança de endpoints Symantec Protection Suite Enterprise Edition Proteção confiável para ambientes de endpoints e mensageria

Informe técnico: Segurança de endpoints Symantec Protection Suite Enterprise Edition Proteção confiável para ambientes de endpoints e mensageria Proteção confiável para ambientes de endpoints e mensageria Visão geral O Symantec Protection Suite Enterprise Edition cria um ambiente de endpoints e mensageria protegido contra as complexas ameaças atuais,

Leia mais

O Paradigma da Alta Disponibilidade e da Alta Confiabilidade do SIP

O Paradigma da Alta Disponibilidade e da Alta Confiabilidade do SIP O Paradigma da Alta Disponibilidade e da Alta Confiabilidade do SIP Visão Geral As redes convergentes trilharam um longo caminho desde a década de 1990. Novas aplicações, como as mensagens instantâneas,

Leia mais

Manual. Honeypots e honeynets

Manual. Honeypots e honeynets Manual Honeypots e honeynets Honeypots No fundo um honeypot é uma ferramenta de estudos de segurança, onde sua função principal é colher informações do atacante. Consiste num elemento atraente para o invasor,

Leia mais

1 Introdução 1.1. Segurança em Redes de Computadores

1 Introdução 1.1. Segurança em Redes de Computadores 1 Introdução 1.1. Segurança em Redes de Computadores A crescente dependência das empresas e organizações modernas a sistemas computacionais interligados em redes e a Internet tornou a proteção adequada

Leia mais

Anatomia de Ataques a Servidores SIP

Anatomia de Ataques a Servidores SIP Anatomia de Ataques a Servidores SIP Klaus Steding-Jessen, João M. Ceron, Cristine Hoepers jessen@cert.br, ceron@cert.br, cristine@cert.br CERT.br Centro de Estudos, Resposta e Tratamento de Incidentes

Leia mais

CÓDIGO DA VAGA: TP08 QUESTÕES DE MÚLTIPLAS ESCOLHAS

CÓDIGO DA VAGA: TP08 QUESTÕES DE MÚLTIPLAS ESCOLHAS QUESTÕES DE MÚLTIPLAS ESCOLHAS 1) Em relação à manutenção corretiva pode- se afirmar que : a) Constitui a forma mais barata de manutenção do ponto de vista total do sistema. b) Aumenta a vida útil dos

Leia mais

Cartilha de Segurança para Internet

Cartilha de Segurança para Internet Comitê Gestor da Internet no Brasil Cartilha de Segurança para Internet Parte VII: Incidentes de Segurança e Uso Abusivo da Rede Versão 3.1 2006 CERT.br Centro de Estudos, Resposta e Tratamento de Incidentes

Leia mais

Construindo a rede da próxima geração: Da rede de hoje para o futuro

Construindo a rede da próxima geração: Da rede de hoje para o futuro Construindo a rede da próxima geração: Da rede de hoje para o futuro Introdução Enquanto as pessoas estão comentando sobre as redes da próxima geração (NGN) e o subsistema IP multimídia (IMS), talvez seja

Leia mais

Protocolo de Sinalização SIP

Protocolo de Sinalização SIP Protocolos de Sinalização Protocolos com processamento distribuído e clientes/terminais inteligentes SIP - Session Initiation Protocol, desenvolvido pelo IETF para comunicação multimídia pela Internet

Leia mais

SpSb: um ambiente seguro para o estudo de spambots

SpSb: um ambiente seguro para o estudo de spambots SpSb: um ambiente seguro para o estudo de spambots Gabriel C. Silva 1, Alison C. Arantes 2, Klaus Steding-Jessen 3, Cristine Hoepers 3, Marcelo H.P. Chaves 3, Wagner Meira Jr. 1, Dorgival Guedes 1 1 Departamento

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Vulnerabilidade do software Softwares comerciais contém falhas que criam vulnerabilidades na segurança Bugs escondidos (defeitos no

Leia mais

PARA EMPRESAS COM MAIS DE 25 EQUIPAMENTOS

PARA EMPRESAS COM MAIS DE 25 EQUIPAMENTOS PARA EMPRESAS COM MAIS DE 25 EQUIPAMENTOS ESET Business Solutions 1/7 Vamos supor que você tenha iniciado uma empresa ou que já tenha uma empresa bem estabelecida, há certas coisas que deveria esperar

Leia mais

e Uso Abusivo da Rede

e Uso Abusivo da Rede SEGURANÇA FRAUDE TECNOLOGIA SPAM INT MALWARE PREVENÇÃO VÍRUS BANDA LARGA TROJAN PRIVACIDADE PHISHING WIRELESS SPYWARE ANTIVÍRUS WORM BLUETOOTH SC CRIPTOGRAFIA BOT SENHA ATAQUE FIREWAL BACKDOOR COOKIES

Leia mais

Dom o ín í i n o i o d e d Con o h n e h cim i ent n o o 3 To T p o o p l o o l g o i g a i s e I D I S Carlos Sampaio

Dom o ín í i n o i o d e d Con o h n e h cim i ent n o o 3 To T p o o p l o o l g o i g a i s e I D I S Carlos Sampaio Domínio de Conhecimento 3 Topologias e IDS Carlos Sampaio Agenda Topologia de Segurança Zonas de Segurança DMZ s Detecção de Intrusão (IDS / IPS) Fundamentos de infra-estrutura de redes Nem todas as redes

Leia mais

Guia do funcionário seguro

Guia do funcionário seguro Guia do funcionário seguro INTRODUÇÃO A Segurança da informação em uma empresa é responsabilidade do departamento de T.I. (tecnologia da informação) ou da própria área de Segurança da Informação (geralmente,

Leia mais

UNIVERSIDADE FEDERAL DA BAHIA

UNIVERSIDADE FEDERAL DA BAHIA UNIVERSIDADE FEDERAL DA BAHIA INSTITUTO DE MATEMÁTICA DEPARTAMENTO DE CIÊNCIA DA COMPUTAÇÃO Thiago Lima Bomfim de Jesus Honeypot de alta-interatividade para detecção e contenção de botnets: caso UFBA Salvador

Leia mais

Monitoramento de rede como componente essencial no conceito da segurança de TI

Monitoramento de rede como componente essencial no conceito da segurança de TI Monitoramento de rede como componente essencial no conceito da segurança de TI White Paper Author: Daniel Zobel, Head of Software Development, Paessler AG Publicado em: dezembro 2013 PÁGINA 1 DE 8 Conteúdo

Leia mais

RELATÓRIO SOBRE AS TENDÊNCIAS DO ATAQUE DISTRIBUÍDO DE NEGAÇÃO DE SERVIÇO DA VERISIGN 1A EDIÇÃO - 1O TRIMESTRE DE 2014

RELATÓRIO SOBRE AS TENDÊNCIAS DO ATAQUE DISTRIBUÍDO DE NEGAÇÃO DE SERVIÇO DA VERISIGN 1A EDIÇÃO - 1O TRIMESTRE DE 2014 RELATÓRIO SOBRE AS TENDÊNCIAS DO ATAQUE DISTRIBUÍDO DE NEGAÇÃO DE SERVIÇO DA VERISIGN 1A EDIÇÃO - 1O TRIMESTRE DE 214 RESUMO EXECUTIVO Este relatório contém as observações e conhecimentos derivados de

Leia mais

Negação de Serviço, Negação de Serviço Distribuída e Botnets

Negação de Serviço, Negação de Serviço Distribuída e Botnets Negação de Serviço, Negação de Serviço Distribuída e Botnets Gabriel Augusto Amim Sab, Rafael Cardoso Ferreira e Rafael Gonsalves Rozendo Engenharia de Computação e Informação - UFRJ EEL878 Redes de Computadores

Leia mais

Segurança de Informações e Comunicação: Uma visão acadêmica

Segurança de Informações e Comunicação: Uma visão acadêmica Segurança de Informações e Comunicação: Uma visão acadêmica Instituto Tecnológico de Aeronáutica Laboratório de Segurança Inteligente de Informações (LABIN) Paulo André L. Castro Prof. Dr. pauloac@ita.br

Leia mais

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação.

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação. 1. Com relação a segurança da informação, assinale a opção correta. a) O princípio da privacidade diz respeito à garantia de que um agente não consiga negar falsamente um ato ou documento de sua autoria.

Leia mais

Segurança. VoIP. Network Professionals Meeting. Voz sobre IP. Ricardo Kléber. www.ricardokleber.com ricardokleber@ricardokleber.

Segurança. VoIP. Network Professionals Meeting. Voz sobre IP. Ricardo Kléber. www.ricardokleber.com ricardokleber@ricardokleber. Network Professionals Meeting Segurança em VoIP Voz sobre IP Ricardo Kléber www.ricardokleber.com ricardokleber@ricardokleber.com @ricardokleber Palestra Disponível para Download www.eha.net.br www.ricardokleber.com/videos

Leia mais

SPIT Spam over Ip Telephony

SPIT Spam over Ip Telephony Centro Federal de Educação Tecnológica do Rio Grande do Norte Unidade de Ensino Descentralizada de Currais Novos Departamento Acadêmico em Gestão Tecnológica SPIT Spam over Ip Telephony (A Nova Praga Virtual)

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação Professor: Cleber Schroeder Fonseca cleberfonseca@charqueadas.ifsul.edu.br 8 1 SEGURANÇA EM REDES DE COMPUTADORES 2 Segurança em redes de computadores Consiste na provisão de políticas

Leia mais

O que temos pra hoje?

O que temos pra hoje? O que temos pra hoje? Temas de Hoje: Firewall Conceito Firewall de Software Firewall de Softwares Pagos Firewall de Softwares Grátis Firewall de Hardware Sistemas para Appliances Grátis UTM: Conceito Mão

Leia mais

VoIPFix: Uma ferramenta para análise e detecção de falhas em sistemas de telefonia IP

VoIPFix: Uma ferramenta para análise e detecção de falhas em sistemas de telefonia IP XXIX Simpósio Brasileiro de Redes de Computadores e Sistemas Distribuídos 915 VoIPFix: Uma ferramenta para análise e detecção de falhas em sistemas de telefonia IP Paulo C. Siécola 1, Fabio Kon 1 1 Departamento

Leia mais

4. (ESAF/CGU 2008) Considerando uma comunicação segura entre os usuários A e B, garantir confidencialidade indica que

4. (ESAF/CGU 2008) Considerando uma comunicação segura entre os usuários A e B, garantir confidencialidade indica que Exercícios da Parte I: Segurança da Informação Walter Cunha A informação 1. (CESPE/SERPRO 2008) O impacto causado por um incidente de segurança é proporcional ao tipo de vulnerabilidade encontrada em um

Leia mais

Proteção no Ciberespaço da Rede UFBA. CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br

Proteção no Ciberespaço da Rede UFBA. CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br Proteção no Ciberespaço da Rede UFBA CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br Agenda Segurança o que é? Informação o que é? E Segurança da Informação? Segurança da Informação na UFBA

Leia mais

RELATÓRIO SOBRE AS TENDÊNCIAS DO ATAQUE DISTRIBUÍDO DE NEGAÇÃO DE SERVIÇO DA VERISIGN 3A EDIÇÃO 3O TRIMESTRE DE 2014

RELATÓRIO SOBRE AS TENDÊNCIAS DO ATAQUE DISTRIBUÍDO DE NEGAÇÃO DE SERVIÇO DA VERISIGN 3A EDIÇÃO 3O TRIMESTRE DE 2014 RELATÓRIO SOBRE AS TENDÊNCIAS DO ATAQUE DISTRIBUÍDO DE NEGAÇÃO DE 3A EDIÇÃO 3O TRIMESTRE DE 2014 CONTEÚDO RESUMO EXECUTIVO 3 TENDÊNCIAS E ATAQUE DDoS OBSERVADAS PELA VERISIGN NO T3 DE 2014 4 Mitigações

Leia mais

Políticas de Segurança de Sistemas

Políticas de Segurança de Sistemas Políticas de Segurança de Sistemas Profs. Hederson Velasco Ramos Henrique Jesus Quintino de Oliveira Estudo de Boletins de Segurança O que é um boletim de segurança? São notificações emitidas pelos fabricantes

Leia mais

Ataques e Intrusões. Invasões Trashing e Engenharia Social. Classificação de Hackers

Ataques e Intrusões. Invasões Trashing e Engenharia Social. Classificação de Hackers Ataques e Intrusões Professor André Cardia andre@andrecardia.pro.br msn: andre.cardia@gmail.com Ataques e Intrusões O termo genérico para quem realiza um ataque é Hacker. Essa generalização, tem, porém,

Leia mais

Segurança na Rede Local Redes de Computadores

Segurança na Rede Local Redes de Computadores Ciência da Computação Segurança na Rede Local Redes de Computadores Disciplina de Desenvolvimento de Sotware para Web Professor: Danilo Vido Leonardo Siqueira 20130474 São Paulo 2011 Sumário 1.Introdução...3

Leia mais

ASTERISK. João Cepêda & Luís Borges SCOM 2013

ASTERISK. João Cepêda & Luís Borges SCOM 2013 ASTERISK João Cepêda & Luís Borges SCOM 2013 VISÃO GERAL O que é Como funciona Principais Funcionalidades Vantagens vs PBX convencional O QUE É Software open-source, que corre sobre a plataforma Linux;

Leia mais

Capítulo 2: Introdução às redes comutadas (configuração switch)

Capítulo 2: Introdução às redes comutadas (configuração switch) Unisul Sistemas de Informação Redes de Computadores Capítulo 2: Introdução às redes comutadas (configuração switch) Roteamento e Switching Academia Local Cisco UNISUL Instrutora Ana Lúcia Rodrigues Wiggers

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação Segurança e Vulnerabilidades em Aplicações Web jobona@terra.com.br Definição: Segurança Segundo o dicionário da Wikipédia, o termo segurança significa: 1. Condição ou estado de

Leia mais

Sistemas de Detecção de Intrusão

Sistemas de Detecção de Intrusão Sistemas de Detecção de Intrusão Características Funciona como um alarme. Detecção com base em algum tipo de conhecimento: Assinaturas de ataques. Aprendizado de uma rede neural. Detecção com base em comportamento

Leia mais

Redes de Computadores. Prof. André Y. Kusumoto andrekusumoto.unip@gmail.com

Redes de Computadores. Prof. André Y. Kusumoto andrekusumoto.unip@gmail.com Redes de Computadores Prof. André Y. Kusumoto andrekusumoto.unip@gmail.com Nível de Aplicação Responsável por interagir com os níveis inferiores de uma arquitetura de protocolos de forma a disponibilizar

Leia mais

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP HTTP (Hypertext Transfer Protocol ) Protocolo usado na Internet para transferir as páginas da WWW (WEB). HTTPS (HyperText Transfer

Leia mais

Segurança da Informação

Segurança da Informação INF-108 Segurança da Informação Firewalls Prof. João Henrique Kleinschmidt Middleboxes RFC 3234: Middleboxes: Taxonomy and Issues Middlebox Dispositivo (box) intermediário que está no meio do caminho dos

Leia mais

Introdução ao Subsistema Multimídia IP (IMS) Conceitos básicos de IMS e terminologia

Introdução ao Subsistema Multimídia IP (IMS) Conceitos básicos de IMS e terminologia Introdução ao Subsistema Multimídia IP (IMS) Conceitos básicos de IMS e terminologia Introdução Formalmente, o IP Multimedia Subsystem (IMS) é definido como:... um novo 'domínio' principal da rede (ou

Leia mais

Luiz Otávio Duarte 1 André Ricardo Abed Grégio 1 Antonio Montes 1,2 Adriano Mauro Cansian 3

Luiz Otávio Duarte 1 André Ricardo Abed Grégio 1 Antonio Montes 1,2 Adriano Mauro Cansian 3 Eficácia de honeypots no combate a worms em instituições Luiz Otávio Duarte 1 André Ricardo Abed Grégio 1 Antonio Montes 1,2 Adriano Mauro Cansian 3 1 LAC - Laboratório Associado de Computação e Matemática

Leia mais

Segurança na Web. André Tavares da Silva. andre.silva@udesc.br

Segurança na Web. André Tavares da Silva. andre.silva@udesc.br Segurança na Web André Tavares da Silva andre.silva@udesc.br Propósito da Segurança A segurança não é usada simplesmente para proteger contra ataques diretos mas é essencial para estabelecer credibilidade/confiança

Leia mais

Projeto SpamPots: Uso de Honeypots na Obtenção de Métricas sobre Abuso de Redes de Banda Larga para o Envio de Spam

Projeto SpamPots: Uso de Honeypots na Obtenção de Métricas sobre Abuso de Redes de Banda Larga para o Envio de Spam Projeto SpamPots: Uso de Honeypots na Obtenção de Métricas sobre Abuso de Redes de Banda Larga para o Envio de Spam Marcelo H. P. C. Chaves mhp@cert.br CERT.br Centro de Estudos, Resposta e Tratamento

Leia mais

ANEXO I TERMO DE REFERÊNCIA

ANEXO I TERMO DE REFERÊNCIA ANEXO I TERMO DE REFERÊNCIA 1. DO OBJETO 1.1 Contratação de empresa para prestação de serviços especializados de Data Center e hospedagem de web sites (hosting) em servidores dedicados e gerenciados, disponibilizada

Leia mais

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU Auditoria e Segurança da Informação GSI536 Prof. Rodrigo Sanches Miani FACOM/UFU Tópicos Motivação; Características; Histórico; Tipos de detecção de intrusão; Detecção de intrusão baseada na rede; Detecção

Leia mais

Controlar Aplicações e Serviços com Monitoramento de Rede

Controlar Aplicações e Serviços com Monitoramento de Rede Controlar Aplicações e Serviços com Monitoramento de Rede White Paper Autor: Daniel Zobel, Chefe de Desenvolvimento de Software Paessler AG Publicado em: março/2014 PÁGINA 1 DE 8 Índice Introdução: Evite

Leia mais

Gerência de Redes e Serviços de Comunicação Multimídia

Gerência de Redes e Serviços de Comunicação Multimídia UNISUL 2013 / 1 Universidade do Sul de Santa Catarina Engenharia Elétrica - Telemática 1 Gerência de Redes e Serviços de Comunicação Multimídia Aula 3 Gerenciamento de Redes Cenário exemplo Detecção de

Leia mais

Hardening de Servidores

Hardening de Servidores Hardening de Servidores O que é Mitm? O man-in-the-middle (pt: Homem no meio, em referência ao atacante que intercepta os dados) é uma forma de ataque em que os dados trocados entre duas partes, por exemplo

Leia mais

Kaspersky DDoS Protection. Proteja a sua empresa contra perdas financeiras e de reputação com o Kaspersky DDoS Protection

Kaspersky DDoS Protection. Proteja a sua empresa contra perdas financeiras e de reputação com o Kaspersky DDoS Protection Kaspersky DDoS Protection Proteja a sua empresa contra perdas financeiras e de reputação Um ataque DDoS (Distributed Denial of Service, Negação de Serviço Distribuído) é uma das mais populares armas no

Leia mais

A recomendação H.323 define um arcabouço (guarda-chuva) para a estruturação dos diversos

A recomendação H.323 define um arcabouço (guarda-chuva) para a estruturação dos diversos Videoconferência: H.323 versus SIP Este tutorial apresenta uma avaliação técnica e as tendências que envolvem os serviços providos pela pilha de protocolos do padrão H.323, especificados pelo ITU-T, e

Leia mais

PROJETO DE REDES www.projetoderedes.com.br

PROJETO DE REDES www.projetoderedes.com.br PROJETO DE REDES www.projetoderedes.com.br Centro Universitário de Volta Redonda - UniFOA Curso Tecnológico de Redes de Computadores 5º período Disciplina: Tecnologia WEB Professor: José Maurício S. Pinheiro

Leia mais

Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com

Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com Segurança da Informação Segurança da Informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor

Leia mais

3 Ataques e Intrusões

3 Ataques e Intrusões 3 Ataques e Intrusões Para se avaliar a eficácia e precisão de um sistema de detecção de intrusões é necessário testá-lo contra uma ampla amostra de ataques e intrusões reais. Parte integrante do projeto

Leia mais

Alessandro Paganuchi Consultor de Segurança da Informação

Alessandro Paganuchi Consultor de Segurança da Informação Segurança em VoIP Alessandro Paganuchi Consultor de Segurança da Informação 28/05/2008 www.cpqd.com.br Agenda 1 VoIP Intro 2 Desafios 3 Fatores Motivadores 4 Tendências 5 Segurança em VoIP Direitos reservado

Leia mais

Via Prática Firewall Box Gateway O acesso à Internet

Via Prática Firewall Box Gateway O acesso à Internet FIREWALL BOX Via Prática Firewall Box Gateway O acesso à Internet Via Prática Firewall Box Gateway pode tornar sua rede mais confiável, otimizar sua largura de banda e ajudar você a controlar o que está

Leia mais

Payment Card Industry (PCI)

Payment Card Industry (PCI) Payment Card Industry (PCI) Indústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados Procedimentos para o Scanning de Segurança Version 1.1 Portuguese Distribuição: Setembro de 2006 Índice

Leia mais

Serviços Prestados Infovia Brasília

Serviços Prestados Infovia Brasília Serviços Prestados Infovia Brasília Vanildo Pereira de Figueiredo Brasília, outubro de 2009 Agenda I. INFOVIA Serviços de Voz Softphone e Asterisk INFOVIA MINISTÉRIO DO PLANEJAMENTO INFOVIA MINISTÉRIO

Leia mais

IDS. Honeypots, honeynets e honeytokens. http://www.las.ic.unicamp.br/edmar

IDS. Honeypots, honeynets e honeytokens. http://www.las.ic.unicamp.br/edmar Honeypots, honeynets e honeytokens Motivação O meu comandante costumava dizer que para se defender do inimigo primeiro é preciso conhecer o inimigo, ou seja, conhecer seus métodos de ataque, suas ferramentas,

Leia mais

MALWARE. Spyware. Seguem algumas funcionalidades implementadas em spywares, que podem ter relação com o uso legítimo ou malicioso:

MALWARE. Spyware. Seguem algumas funcionalidades implementadas em spywares, que podem ter relação com o uso legítimo ou malicioso: MALWARE Spyware É o termo utilizado para se referir a uma grande categoria de software que tem o objetivo de monitorar atividades de um sistema e enviar as informações coletadas para terceiros. Seguem

Leia mais

A solução objetiva conjugar a operação dos mecanismos internos do Padrão IEEE 802.11b com uma autenticação externa, utilizando o Padrão IEEE 802.1x.

A solução objetiva conjugar a operação dos mecanismos internos do Padrão IEEE 802.11b com uma autenticação externa, utilizando o Padrão IEEE 802.1x. 1 Introdução A comunicação de dados por redes sem fio (Wireless Local Area Network - WLAN - Padrão IEEE 802.11b) experimenta uma rápida expansão tecnológica, proporcionando novas soluções para serem implementadas

Leia mais

Sistemas Distribuídos

Sistemas Distribuídos Segurança em Faculdades SENAC Análise e Desenvolvimento de Sistemas 1 de agosto de 2009 Motivação Segurança em A maioria é causada pelo ser humano e intencional Inicialmente os hackers eram adolescentes

Leia mais

PORTARIA N Nº 182 Rio de Janeiro, 27 de dezembro de 2012.

PORTARIA N Nº 182 Rio de Janeiro, 27 de dezembro de 2012. PORTARIA N Nº 182 Rio de Janeiro, 27 de dezembro de 2012. ACRESCENTA A ARQUITETURA DE PADRÕES TECNOLÓGICOS DE INTEROPERABILIDADE - e-pingrio, NO SEGMENTO SEGURANÇA DE TECNOLOGIA INFORMAÇÃO E COMUNICAÇÃO

Leia mais

Segurança de Sistemas

Segurança de Sistemas Segurança de Sistemas SISINFO Profs. Hederson Velasco Ramos Henrique Jesus Quintino de Oliveira quintino@umc.br Spoofing Tampering Repudiation Information Disclosure Denial of Service Elevation of Privilege

Leia mais

Instituto Superior Técnico. Projecto VoIP. Sistema IVVR

Instituto Superior Técnico. Projecto VoIP. Sistema IVVR Instituto Superior Técnico Projecto VoIP Sistema IVVR 68239 Rui Barradas 68477 Helton Miranda 68626 Ludijor Barros 72487 Bruna Gondin Introdução O objectivo deste projecto é desenvolver um sistema de Interactive

Leia mais

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas:

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas: $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR 6(*85$1d$($8',725,$'(6,67(0$6 ³6HJXUDQoDGH,QIRUPDo}HV &\QDUD&DUYDOKR

Leia mais

SOLO NETWORK. Criptografia de Informação. Guia corporativo

SOLO NETWORK. Criptografia de Informação. Guia corporativo (11) 4062-6971 (21) 4062-6971 (31) 4062-6971 (41) 4062-6971 (48) 4062-6971 (51) 4062-6971 (61) 4062-6971 (71) 4062-7479 Criptografia de Informação Guia corporativo (11) 4062-6971 (21) 4062-6971 (31) 4062-6971

Leia mais

8º CONTECSI - International Conference on Information Systems and Technology Management

8º CONTECSI - International Conference on Information Systems and Technology Management SECURITY ISSUES AND SECRECY AT VOIP COMMUNICATIONS USING SIP PROTOCOL Samuel Henrique Bucke Brito (Universidade Estadual de Campinas - UNICAMP, SP, Brasil) - shbbrito@gmail.com This paper is a short tutorial

Leia mais

Tecnologia da Informação UNIDADE 3

Tecnologia da Informação UNIDADE 3 Tecnologia da Informação UNIDADE 3 *Definição * A segurança da informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor que possuem para a organização. *Definição

Leia mais

Tecnologia da Informação UNIDADE 3:Estrutura organizacional de TI

Tecnologia da Informação UNIDADE 3:Estrutura organizacional de TI Tecnologia da Informação UNIDADE 3:Estrutura organizacional de TI * A segurança da informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor que possuem para a organização.

Leia mais

Tecnologias Atuais de Redes

Tecnologias Atuais de Redes Tecnologias Atuais de Redes Aula 5 VoIP Tecnologias Atuais de Redes - VoIP 1 Conteúdo Conceitos e Terminologias Estrutura Softswitch Funcionamento Cenários Simplificados de Comunicação em VoIP Telefonia

Leia mais

CONTROLE DE REDE. Prof. José Augusto Suruagy Monteiro

CONTROLE DE REDE. Prof. José Augusto Suruagy Monteiro CONTROLE DE REDE Prof. José Augusto Suruagy Monteiro 2 Capítulo 3 de William Stallings. SNMP, SNMPv2, SNMPv3, and RMON 1 and 2, 3rd. Edition. Addison-Wesley, 1999. Baseado em slides do Prof. Chu-Sing Yang

Leia mais

reputação da empresa.

reputação da empresa. Segurança premiada da mensageria para proteção no recebimento e controle no envio de mensagens Visão geral O oferece segurança para mensagens enviadas e recebidas em sistemas de e-mail e mensagens instantâneas,

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação Código: PSI_1.0 Versão: 1.0 Data de Publicação: 28/05/2014 Controle de Versão Versão Data Responsável Motivo da Versão 1.0 28/05/2014 Heitor Gouveia Criação da Política

Leia mais

Mestrado em Segurança da Informação e Direito no Ciberespaço

Mestrado em Segurança da Informação e Direito no Ciberespaço Escola Naval Mestrado em Segurança da Informação e Direito no Ciberespaço Segurança da informação nas organizações Supervisão das Politicas de Segurança Computação em nuvem Fernando Correia Capitão-de-fragata

Leia mais

TECNOLOGIA WEB. Segurança na Internet Aula 4. Profa. Rosemary Melo

TECNOLOGIA WEB. Segurança na Internet Aula 4. Profa. Rosemary Melo TECNOLOGIA WEB Segurança na Internet Aula 4 Profa. Rosemary Melo Segurança na Internet A evolução da internet veio acompanhada de problemas de relacionados a segurança. Exemplo de alguns casos de falta

Leia mais

Estado de Santa Catarina Prefeitura de São Cristóvão do Sul

Estado de Santa Catarina Prefeitura de São Cristóvão do Sul 1 ANEXO VII QUADRO DE QUANTITATIVOS E ESPECIFICAÇÕES DOS ITENS Item Produto Quantidade 1 Aparelhos IP, com 2 canais Sip, visor e teclas avançadas, 2 70 portas LAN 10/100 2 Servidor com HD 500G 4 GB memória

Leia mais

Segurança de Sistemas

Segurança de Sistemas Segurança de Sistemas SISINFO Profs. Hederson Velasco Ramos Henrique Jesus Quintino de Oliveira quintino@umc.br Spoofing Tampering Repudiation Information Disclosure Denial of Service Elevation of Privilege

Leia mais

Um cluster de servidores de email pode ser usado para servir os emails de uma empresa.

Um cluster de servidores de email pode ser usado para servir os emails de uma empresa. CLUSTERS Pode-se pegar uma certa quantidade de servidores e juntá-los para formar um cluster. O serviço então é distribuído entre esses servidores como se eles fossem uma máquina só. Um cluster de servidores

Leia mais

Ataque Distribuído de Negação de Serviço por Reflexão Amplificada usando Simple Network Management Protocol

Ataque Distribuído de Negação de Serviço por Reflexão Amplificada usando Simple Network Management Protocol Ataque Distribuído de Negação de Serviço por Reflexão Amplificada usando Simple Network Management Protocol Tiago Fonseca João Gondim Departamento de Ciência da Computação Universidade de Brasília Agenda

Leia mais

KASPERSKY DDOS PROTECTION. Descubra como a Kaspersky Lab defende as empresas contra ataques DDoS

KASPERSKY DDOS PROTECTION. Descubra como a Kaspersky Lab defende as empresas contra ataques DDoS KASPERSKY DDOS PROTECTION Descubra como a Kaspersky Lab defende as empresas contra ataques DDoS OS CIBERCRIMINOSOS ESTÃO A ESCOLHER AS EMPRESAS COMO ALVO Se a sua empresa já tiver sofrido um ataque de

Leia mais

Sistemas para Internet 06 Ataques na Internet

Sistemas para Internet 06 Ataques na Internet Sistemas para Internet 06 Ataques na Internet Uma visão geral dos ataques listados na Cartilha de Segurança para Internet do CGI Comitê Gestor da Internet Componente Curricular: Bases da Internet Professor:

Leia mais

SEGURANÇA EM PROTOCOLO SIP

SEGURANÇA EM PROTOCOLO SIP SEGURANÇA EM PROTOCOLO SIP Jeremias Neves da Silva 1 RESUMO Este artigo traz uma forma simplificada para a compreensão de todos os que desejam conhecer um pouco mais sobre segurança em protocolos SIP,

Leia mais

SISTEMAS OPERACIONAIS. 01) Considere as seguintes assertivas sobre conceitos de sistemas operacionais:

SISTEMAS OPERACIONAIS. 01) Considere as seguintes assertivas sobre conceitos de sistemas operacionais: SISTEMAS OPERACIONAIS 01) Considere as seguintes assertivas sobre conceitos de sistemas operacionais: I. De forma geral, os sistemas operacionais fornecem certos conceitos e abstrações básicos, como processos,

Leia mais

INFORMÁTICA PARA CONCURSOS

INFORMÁTICA PARA CONCURSOS INFORMÁTICA PARA CONCURSOS Prof. BRUNO GUILHEN Vídeo Aula VESTCON MÓDULO I - INTERNET Aula 01 O processo de Navegação na Internet. A CONEXÃO USUÁRIO PROVEDOR EMPRESA DE TELECOM On-Line A conexão pode ser

Leia mais

Peça para um amigo baixar o programa também, e você pode começar a experimentar o VoIP para ver como funciona. Um bom lugar para procurar é

Peça para um amigo baixar o programa também, e você pode começar a experimentar o VoIP para ver como funciona. Um bom lugar para procurar é VOIP Se você nunca ouviu falar do VoIP, prepare-se para mudar sua maneira de pensar sobre ligações de longa distância. VoIP, ou Voz sobre Protocolo de Internet, é um método para pegar sinais de áudio analógico,

Leia mais

Prof. Luiz Fernando Bittencourt MC714. Sistemas Distribuídos 2 semestre, 2013

Prof. Luiz Fernando Bittencourt MC714. Sistemas Distribuídos 2 semestre, 2013 MC714 Sistemas Distribuídos 2 semestre, 2013 Virtualização - motivação Consolidação de servidores. Consolidação de aplicações. Sandboxing. Múltiplos ambientes de execução. Hardware virtual. Executar múltiplos

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO. A FACILIDADE DE DERRUBAR UM SITE UTILIZANDO A NEGAÇÃO DE SERVIÇO (DoS Denial of Service)

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO. A FACILIDADE DE DERRUBAR UM SITE UTILIZANDO A NEGAÇÃO DE SERVIÇO (DoS Denial of Service) POLÍTICA DE SEGURANÇA DA INFORMAÇÃO A FACILIDADE DE DERRUBAR UM SITE UTILIZANDO A NEGAÇÃO DE SERVIÇO (DoS Denial of Service) Segurança em Redes de Computadores FACULDADE LOURENÇO FILHO Setembro/2014 Prof.:

Leia mais

Criptografia de Informação. Guia corporativo

Criptografia de Informação. Guia corporativo Criptografia de Informação Guia corporativo A criptografia de dados em empresas 1. Introdução 3 Guia corporativo de criptografia de dados 1. Introdução A informação é um dos ativos mais importantes de

Leia mais

Hackers. Seus dados podem ser inúteis, mas seu computador em si pode ainda ser um recurso valioso.

Hackers. Seus dados podem ser inúteis, mas seu computador em si pode ainda ser um recurso valioso. Firewalls Hackers Gostam de alvos fáceis. Podem não estar interessados nas suas informações. Podem invadir seu computador apenas por diversão. Para treinar um ataque a uma máquina relativamente segura.

Leia mais

A Camada de Rede. A Camada de Rede

A Camada de Rede. A Camada de Rede Revisão Parte 5 2011 Modelo de Referência TCP/IP Camada de Aplicação Camada de Transporte Camada de Rede Camada de Enlace de Dados Camada de Física Funções Principais 1. Prestar serviços à Camada de Transporte.

Leia mais

Monitoramento de Rede de Nuvens Privadas

Monitoramento de Rede de Nuvens Privadas Monitoramento de Rede de Nuvens Privadas White Paper Autores: Dirk Paessler, CEO da Paessler AG Gerald Schoch, Redator Técnico na Paessler AG Primeira Publicação: Maio de 2011 Edição: Fevereiro de 2015

Leia mais