Segurança de Redes de Computadores. Ricardo José Cabeça de Souza

Transcrição

1 Segurança de Redes de Computadores Ricardo José Cabeça de Souza

2 O conceito de Hardening caracteriza medidas e ações que visam proteger um determinado sistema de invasores Dentre as ações típicas do processo podemos citar: Remoção de logins, usuários, programas e serviços desnecessários Aplicação de patches nos programas e no kernel do sistema operacional Fechar portas da rede Adoção de sistemas de detecção e prevenção de intrusão (IDS) Firewalls Scripts de hardening

3 Grande maioria de máquinas comprometidas têm o Windows como sistema operacional Criadores de malware tentam infectar o maior número possível de máquinas em um curto prazo de tempo Windows é a plataforma mais usada atualmente Sistema Windows deve estar sempre atualizado, protegido por Firewall e Anti-vírus, e os usuários locais devem ser cautelosos com o conteúdo de arquivos e páginas que acessam

4 Atualizações e Patches Sistema operacional deve ser atualizado com frequência, assim como seus componentes, programas e serviços instalados Windows possui um sistema automático para verificar se os pacotes estão desatualizados e passíveis de falhas - o Windows Update Existem vários gerenciadores de versões de programas comerciais, Freewares e Sharewares Freeware: Totalmente grátis. O software funciona em sua plenitude e sem limite de tempo Shareware: Versão para testes. Trata-se de uma versão do software que é gratuita, mas contém algum tipo de restrição

5 Windows Update Serviço de atualização dos sistemas operacionais da Microsoft (a partir do Windows 98) responsável por atualizar o sistema A cada mês, a Microsoft lança um pacote de atualizações, que pode consistir em correções de bugs, falhas de segurança e outras melhorias Se houver uma falha de segurança muito crítica, a correção é expedida o mais brevemente possível Manter o sistema atualizado com os últimos patches é de extrema importância, já que um usuário mal-intecionado pode usar falhas recentes para comprometer um sistema

6 Windows Update Se houver uma versão mais antiga que a atual, é liberado no site uma atualização Usuário pode atualizar somente os produtos de que necessita Também é possível transferir produtos em fase beta, bastando para isso que o usuário ative esta opção

7 UpdateStar É um gerenciador gratuito que pode ser usado para manter seu sistema atualizado com as últimas versões de programas comerciais, Freewares e Sharewares Tem uma base com mais de softwares cadastrados e foi eleito o melhor programa do gênero em uma comparação realizada pelo site ghacks.net Site oficial:

8 SUMo SUMo (Software Update Monitor) mantém os programas do seu PC atualizados com as versões mais recentes O programa (gratuito) é um dos mais completos do gênero, analisando uma grande quantidade de softwares e informando sobre as atualizações Site Oficial:

9

10 Update Checker Uma alternativa parecida com os gerenciadores de pacotes para Linux é o FileHippo Update Checker O utilitário verifica os programas instalados em seu computador e mostra em uma página se já possuem novas versões disponíveis para download O Update Checker é gratuito, e exige a instalação prévia do Microsoft.NET Framework 2.0 Site oficial:

11 AppGet O AppGet é um controlador de versões dos programas Exibe uma lista de seus aplicativos instalados, notificando sempre que uma atualização estiver disponível Quando AppGet inicia, ele cria uma lista com todos os aplicativos instalados e suas respectivas versões Os dados recolhidos são submetidos (anonimamente) e comparados com a base de dados online do AppGet O utilitário é gratuito (FreeWare) e suporta os seguintes sistemas operacionais: Windows 2000, Windows XP (32 bits) e Windows Vista (32 bits) Site oficial:

12 Secunia Personal Software Inspector O Secunia Personal Software Inspector (PSI) é um utilitário que monitora o nível de segurança do sistema, verificando se existem softwares e componentes inseguros Também informa como proceder para atualizar as aplicações O PSI não substitui outras medidas de segurança como anti-vírus ou firewalls Atua como um complemento, prevenindo exploração de falhas e evitando a exposição do sistema Site oficial:

13

14

15

16 Firewall Uma barreira de proteção, que controla o tráfego de dados entre seu computador e a Internet (ou entre a rede onde seu computador está instalado e a Internet) Pontos de conexão entre duas redes não confiáveis que permitem que a comunicação entre elas seja monitorada e segura Objetivo: permitir somente a transmissão e a recepção de dados autorizados Existem firewalls baseados na combinação de hardware e software e firewalls baseados somente em software

17

18 Firewall São localizados entre uma organização e o mundo externo (Internet) Também podem ser utilizados dentro de uma organização, com a finalidade de isolar diferentes domínios de segurança (também chamados de domínios administrativos) Um domínio de segurança consiste em um conjunto de máquinas sobre um controle administrativo comum, com políticas e níveis de segurança comuns

19 Firewall Podem ser implementados através de um roteador, um PC (personal computer) com software especial, um sistema UNIX com esta capacidade ou um conjunto de hosts, todos configurados especificamente para proteger um site ou uma sub-rede de protocolos e serviços não confiáveis Soluções encontradas podem ser tanto baseadas em hardware quanto em software ou ambas

20 Firewall Tecnologias de projeto de firewall: a tradicional (ou estática) e a dinâmica Firewalls estáticos: o principal propósito (política) é permitir qualquer serviço a menos que ele seja expressamente negado ou negar qualquer serviço a menos que ele seja expressamente permitido Firewall dinâmico: irá permitir ou negar qualquer serviço para quando e por quanto tempo for desejado Firewall apresenta habilidade de se adaptar ao tráfego e projeto da rede

21 Firewall Um firewall consiste, de maneira geral, dos seguintes componentes: filtro: também chamado de screen ou screening router, bloqueia a transmissão de certas classes de tráfego, protegendo a rede interna contra ameaças gateway: máquina ou conjunto de máquinas que oferece serviços através de proxy A rede inabitada por este componente é chamada de Zona Desmilitarizada (DMZ - Demilitarized Zone) ou rede perimetral Muitas vezes, um gateway nesta zona é auxiliado por um gateway interno

22 Firewall

23 Firewall

24 Firewall Uma máquina gateway exposta é frequentemente chamada de bastion host Existem três tipos principais de firewalls packet filtering application-level gateway circuit-level gateway Na prática, mais do que um tipo é usado ao mesmo tempo

25 Packet Filtering Sistemas packet filtering roteiam pacotes entre hosts internos e externos de maneira seletiva Eles permitem ou bloqueiam certos tipos de pacotes, refletindo a política de segurança adotada pelo site Pacotes permitidos são roteados para o destino, ao passo que pacotes não permitidos ou suspeitos são descartados ou manipulados (ferramentas de rastreamento) O tipo de roteador utilizado nestes sistemas é conhecido como screening router

26 Packet Filtering sistemas packet filtering devem apresentar as seguintes características: filtragem baseada nos endereços fonte e destino, nas portas fonte e destino, no protocolo, nos flags e/ou no tipo de mensagem filtragem realizada quando o pacote está chegando, quando o pacote está saindo ou ambos habilidade de desabilitar reprogramação a partir da rede, ou qualquer outra localização que não o console

27 Packet Filtering

28 Packet Filtering

29 Sistemas packet filtering são úteis na definição de regras do tipo: bloqueio todas as conexões oriundas de sistemas localizados fora da rede interna Exceto para conexões SMTP (simple mail transport protocol) que chegam (ou seja, permita apenas o recebimento de mails) Permita serviços FTP (file transfer protocol) e telnet Bloqueio outros serviços tais como TFTP (trivial file transfer protocol) e RPC (remote procedure call) Pelo simples fato de que certos serviços Internet residem em certos números de porta, isto permite que screening routers bloqueiem ou permitam certos tipos de conexão simplesmente especificando-se o número da porta Por exemplo, porta 23 para conexões telnet

30 Configurar um packet filtering consiste em um processo de três passos: Determinar o que deve e o que não deve ser permitido (política de segurança) Especificar formalmente os tipos de pacotes permitidos, em termos de expressões lógicas (regras) Reescrever estas expressões de acordo com o produto utilizado

31 Suponha que a política de segurança de um site determine que todo o tráfego IP entre um host externo conhecido (endereço IP ) e os hosts da rede interna (endereço IP ) seja permitido interno = As seguintes regras são derivadas: between host e net accept; between host any and host any reject;

32 Outra forma de filtragem é a filtragem de pacotes por serviço, na qual serviços geralmente associados a determinados números de porta são permitidos ou negados Estudar fluxos de pacotes nos quais: (1) um cliente local está se comunicando com um servidor remoto (outbound) (2) um cliente remoto está se comunicando com um servidor local (inbound)

33 Para ambos os fluxos, deve-se especificar os endereços fonte e destino, o protocolo (TCP), as portas fonte e destino e as características do pacote (com ou sem ACK, para TCP), tanto para pacotes que chegam (incoming) quanto para pacotes que saem (outgoing)

34 Application-Level Gateway É um host que executa aplicações especiais, chamadas proxy, as quais são responsáveis pela propagação de serviços para dentro da rede protegida O controle do tráfego entre a rede interna e a rede externa não confiável (como exemplo, Internet) é efetuado em nível de aplicação através de código especialmente escrito para cada serviço a ser disponibilizado, segundo requisitos próprios de segurança Somente serviços que possuam proxy conseguem passar pelo gateway

35 A principal funcionalidade de um applicationlevel gateway é a sua capacidade de controlar todo tráfego entre a rede interna e a rede externa Permite um completo monitoramento do sistema, o qual pode gerar informações sobre o uso de serviços e seu posterior armazenamento em um arquivo de log

36 Application-level Gateway

37 Application-level Gateway

38 O servidor proxy é responsável por avaliar pedidos de serviços, podendo permitir ou negar tais pedidos de acordo com a política de segurança vigente o cliente "acredita" que está lidando diretamente com o servidor real e o servidor real "acredita" que está lidando diretamente com um usuário presente no application-level gateway

39 Application-level Gateway

40 Circuit-Level Gateway Circuit-level gateway possui funcionalidade semelhante a sistemas packet filtering, mas via aplicação Responsável pela transmissão de conexões TCP Pode possuir controles adicionais, tais como tempo limite de utilização de uma porta e intervalo de tempo mínimo entre subsequentes usos de uma porta Todo o controle de conexões é efetuado com base no endereço fonte e portas fonte e destino Um cliente requisita um serviço através de uma porta fonte, sendo de responsabilidade do gateway a conexão com o destino e posterior propagação de bytes entre ambos

41 Circuit-Level Gateway

42 Circuit-Level Gateway

43 Arquiteturas de Firewall packet filtering dual-homed host screened host screened subnet Obs: Não existe uma arquitetura dita universal, a qual resolve todos os problemas de segurança

44 Packet Filtering utiliza-se exclusivamente de um roteador inteligente para proteger uma rede interna não requer que aplicações cliente e servidor sejam modificadas, mas é a arquitetura menos desejável como firewall

45 Packet Filtering

46 Packet Filtering desvantagens: uma falha de segurança do roteador compromete toda a rede interna o número de regras geralmente é limitado o desempenho pode ser comprometido em função do número de regras impossibilidade de modificar serviços através do tratamento de operações individuais complexidade de configuração e tratamento de exceções, dentre outras

47 Dual-Homed Host é implementada através de um host que possui duas interfaces de rede, uma para a rede interna e outra para a rede não confiável Este host é a única porta de entrada para a rede interna, sendo acessível tanto por hosts internos quanto externos a função de roteamento é desabilitada e assim pacotes não conseguem ser roteados entre as redes, garantindo o isolamento de tráfego

48 Dual-Homed Host

49 screened host possui dois componentes screening router atua com primeiro nível de defesa contra uma rede não confiável e é responsável por restringir conexões de hosts externos que não sejam direcionadas a um host específico, chamado bastion host (segundo componente) É responsável por restringir certos tipos de conexão independente do host destino, por restringir que hosts internos abram uma conexão direta com a rede externa e por permitir que o bastion host abra alguns tipos de conexão com a rede externa bastion host localizado na rede interna e portanto sem possuir interface com a rede externa é o único host da rede interna acessível por hosts externos todo o tráfego entre a rede interna e externa deve passar primeiro pelo bastion host, o qual utiliza funções em nível de aplicação para selecionar serviços (proxy)

50 Screened Host

51 Screened Subnet adiciona uma camada extra de segurança que isola a rede interna de uma rede externa não confiável Tal camada (DMZ - Demilitarized Zone) abriga três componentes, dois roteadores um bastion host

52 Screened Subnet

53 Stateful Inspection Firewall Combina aspectos da packet-filtering, firewall, circuit-level gateway e do application-level gateway Como o packet-filtering firewall, um stateful inspection firewall opera do nível de REDE até a camada de APLICAÇÃO do modelo OSI Filtra todas as entradas e saídas baseadas no endereço IP de origem e destino e no número de porta de origem e destino

54 Stateful Inspection Firewall

55 Stateful Inspection Firewall

56 Firewall do Windows Anteriormente conhecido como Firewall de Conexão com a Internet ou ICF É uma barreira protetora que monitora e restringe as informações passadas entre o seu computador e uma rede ou a Internet Isso fornece uma defesa contra pessoas que podem tentar acessar seu computador de fora do Firewall do Windows sem a sua permissão

57 Firewall do Windows

58 Como funciona o Firewall do Windows Quando alguém na Internet ou em uma rede tenta se conectar ao seu computador, essa tentativa é chamada pedido não solicitado Quando o computador recebe um pedido não solicitado, o Firewall do Windows bloqueia a conexão Se você executar um programa como o de mensagens instantâneas ou um jogo em rede com vários participantes que precise receber informações da Internet ou da rede, o firewall perguntará se você deseja bloquear ou desbloquear (permitir) a conexão

59 Como funciona o Firewall do Windows Você deverá ver uma janela semelhante a esta:

60

61

62

63

64 Firewall Existe uma quantidade grande de soluções firewall disponível Para usuários domésticos que usam o sistema Windows, um dos mais conhecidos é o ZoneAlarm, que dispõe de uma versão gratuita e outra paga, com mais recursos Em ambos os casos, é possível utilizar configurações pré-definidas, que oferecem bons níveis de segurança O site para fazer o download do software é o

65 Referências FERGO, Fernando Birk Aka. Segurança do Windows: análise sobre as APIs, parte 1. Disponível em RODRIGUES, Bernardo Maia.. Disponível em CIFERRI, Cristina D. A. CIFERRI, Ricardo R. FRANÇA, Sônia V. A. Firewall. Lima, Marcelo. Nakamura, Emílio. Segurança de Redes e Sistemas. Versão Escola Superior de Redes RNP:2007. MEDEIROS, Carlos Diego Russo. SEGURANÇA DA INFORMAÇÃO: Implantação de Medidas e Ferramentas de Segurança da Informação. Universidade da Região de Joinville UNIVILLE, NIC BR Security Office. Cartilha de Segurança para Internet. Parte VII: Incidentes de Segurança e Uso Abusivo da Rede. Versão 2.0, NIC BR Security Office. Cartilha de Segurança para Internet. Parte II: Riscos Envolvidos no Uso da Internet e Métodos de Prevenção. Versão 2.0, FOROUZAN, Behrouz A. Comunicação de dados e redes de computadores. 4. ed. São Paulo: McGraw-Hill, 2008.