2º PERÍODO TECNOLOGIA EM SEGURANÇA DA INFORMAÇÃO RELATÓRIO LABORATÓRIO DE REDES DE COMPUTADORES

Transcrição

1 FACULDADE DE TECNOLOGIA SENAC 2º PERÍODO TECNOLOGIA EM SEGURANÇA DA INFORMAÇÃO GOIÂNIA 2015 PROJETO INTEGRADOR RELATÓRIO LABORATÓRIO DE REDES DE COMPUTADORES GRUPO: ALLAN BERG CARLOS SILVA JUAN CARLOS JUAREZ JUNIOR

2 SOBRE O PROJETO O termo Prova de Conceito é utilizado para denominar um modelo prático que possa provar o conceito teórico. O projeto integrador utiliza a prova de conceito como forma de demonstrar na prática, os conceitos e as tecnologias envolvidas na elaboração do projeto com tudo que foi discutido em aula. Todas as alterações de um projeto de rede de computadores devem ser testadas antes de serem disponibilizadas para os usuários. A REDE Conforme descrito antes, era necessário reproduzir uma pequena rede, simulando uma situação real, onde ela sofreria um ataque de switch e MITM (Man-In-The-Middle). Para isto, os equipamentos foram configurados da seguinte maneira: - Rede: Máscara: (/24) - Um computador utilizado como roteador. - Um computador utilizado como atacante. - Um computador utilizado para a configuração/monitoramento. - Um computador utilizado como servidor. - Um computador utilizado como cliente. O ATAQUE Com a estrutura física montada, a pequena rede foi configurada para execução dos testes e coleta de dados. A comunicação utilizada como teste foi um acesso de cliente a um servidor de serviço FTP. O objetivo era que a troca de informações fosse interceptada de maneira que os dados de acesso fossem descobertos e de fato foram.

3 HARDENING Servidores Linux Hardening é um processo de mapeamento das ameaças, mitigação dos riscos e execução das atividades corretivas - com foco na infra-estrutura e objetivo principal de torná-la preparada para enfrentar tentativas de ataque. Normalmente, o processo inclui remover ou desabilitar nomes ou logins de usuários que não estejam mais em uso, além de serviços desnecessários. Outras providências que um processo de hardening pode incluir: limitar o software instalado àquele que se destina à função desejada do sistema; aplicar e manter os patches atualizados, tanto de sistema operacional quanto de aplicações; revisar e modificar as permissões dos sistemas de arquivos, em especial no que diz respeito a escrita e execução; reforçar a segurança do login, impondo uma política de senhas fortes. Seguem abaixo algumas boas práticas para hardening de servidores linux: 1 - Remover pacotes desnecessários. Usando os comandos: Via debian: dpkg -l > pacotes.txt Via RedHat: rpm -ql > pacotes.txt Através do arquivo de texto gerado, analise qual a real necessidade dos pacotes. 2 - Segurança do Sistema de Arquivos Além do particionamento do disco, o comando mount possui opções bem interessantes para elevar a segurança das tabelas de partições, tais como: nosuid - Faz com que binários com permissão suid bit não possam utilizar esta propriedade na partição em que está definido. noexec - Impossibilita a execução de binários ou arquivos executáveis dentro da partição na qual essa opção está ativada. noatime - Diz para não atualizar o tempo de acesso dos inodes (melhorando a performance em partições onde há MUITO acesso a disco). Estas opções devem ser utilizadas no arquivo /etc/fstab, exemplo: /dev/hda4 /home ext3 defaults,nosuid noexec 1 2 /dev/hda5 /var/log ext3 defaults,nosuid,nodev,noexec 1 2

4 Vale salientar que existem outras opções do comando mount, consulte o man do comando para ver todas as opções possíveis. 3 - Limitando os Recursos do Kernel Adicione as linhas abaixo no final do arquivo /etc/sysctl.conf : # Ativa proteção contra ataques de IP Spoofing net.ipv4.conf.all.rp_filter=1 # Desabilita pacotes roteados na fonte net.ipv4.conf.all.accept_source_route=0 # Ignora mensagens ICMP de broadcast net.ipv4.icmp_echo_ignore_broadcasts=1 # Registra todos os pacotes de origem suspeita (como pacotes forjados) net.ipv4.conf.all.log_martians = Gerenciando os Serviços do Sistema Muitos administradores, iniciantes ou até mesmo experientes, deixam de utilizar as vantagens de ferramentas clássicas do sistema para checar se o serviço está funcionando corretamente, se está sendo executado na porta certa, se está recebendo requisições inválidas ou até mesmo verificar se um invasor deixou um backdoor no sistema. Lembre-se que todas essas ferramentas estão ali para facilitar sua vida. Aproveite-as! Como exemplo, façamos uma varredura nos serviços em execução do sistema. No arquivo /etc/services encontra-se uma lista de portas padrão dos serviços mais conhecidos (alguns nem tanto :). O comando netstat nos mostra informações sobre os serviços de redes no nosso sistema, exemplo: $ netstat -tupan O comando fuser, que faz parte do pacote psmisc, verifica cada processo(serviço) que está rodando em cada porta. Exemplo: $ fuser -v 22/tcp USER PID ACCESS COMMAND 22/tcp: root 5479 F... sshd

5 Já o comando lsof nos mostra diversas informações do sistema, como usuários, arquivos, processos e conexões. Exemplo : $ lsof -p ou lsof -c Serviços desnecessários Os seguintes serviços devem ser desinstalados * rshd * rlogind * rwhod * telnetd - substitua pelo ssh * ftpd - substitua pelo scp * identd Estes serviços podem ser desinstalados usando o gerenciador de pacotes do sistema operacional, ou através do comando chkconfig, desativando todos os níveis (exemplo: 'chkconfig level sendmail off'). Além disso, pode-se remover as entradas específicas dos programas no boot do sistema operacional (/etc/inetd.conf e/etc/xinetd). Versões mais novas do chconfig editam as entradas do xinetd automaticamente. 5 - Desativação de Contas desnecessárias Após a instalação do sistema e em atividades periódicas é interessante analisarmos todos os usuários do sistema. Alguns utilitários que instalamos adicionam usuários padrão no sistema, como ftp, mysql, nobody. Certifique-se de que estes usuários possuam no parâmetro shell caminhos para arquivos inexistentes. Na maior parte das vezes estes serviços não precisam de um interpretador shell válido, mas por serem contas válidas no sistema, podem ser utilizadas em determinados casos. O comando passwd -l trava a conta de um usuário. Exemplo: $ passwd -l # (Trava a conta do usuário) $ passwd -u # (Destrava a conta do usuário) 6 - Gerenciamento das Políticas de Senhas

6 O login.defs é um arquivo de configuração lido pelos programas login, não é parte da configuração do PAM. Porém pode auxiliar no gerenciamento do usuários e na definição de uma política de senha. Você também pode implementar o controle de senhas pelo PAM (Módulo de autenticação plugável) com a biblioteca pam-cracklib. Outro módulo do PAM bastante interessante é o pam-dotfile, que permite que você defina senhas diferentes, para um mesmo usuário, no serviços específicos como IMAP, SSH, FTP, entre outros. 7 - Gerenciamento dos Privilégios A configuração abaixo trata a autenticação do usuário com o módulo pam_wheel.so, utilizando o grupo administradores. Com ele somente os usuários do grupo administradores poderão utilizar o comando /bin/su. Edite o arquivo /etc/pam.d/su e adicione a linha: auth required pam_whell.so group=administradores Os módulos pam_limits.so e pam_time.so também são muito úteis para gerenciar os recursos de uso e o controle de acesso ao servidor. Obs: Tome muito cuidado ao editar esse arquivo. Erros podem impedi-lo de efetuar login no sistema! Mantenha sempre um terminal autenticado pronto para desfazer quaisquer modificações. 8 - Ajustes nas Configurações do OpenSSH O OpenSSH é uma suíte de ferramentas que provê criptografia em sessões de comunicações em uma rede de computadores usando o protocolo SSH. Ele é muito visado em ataques de BruteForce, portanto alguns ajustes são necessários. O SSHTest é um utilitário criado pela empresa Clavis Segurança da Informação em parceria com o GRIS (Grupo de Resposta a Incidentes de Segurança) do Departamento de Ciência da Computação da UFRJ para analisar arquivos de configuração do daemon OpenSSH, presente na maioria dos sistemas *NIX (incluindo Linux e *BSD), em busca não apenas de buracos na segurança de seu servidor como também por maneiras de melhorar a segurança do mesmo, pró-ativamente. Basta descompatar e executá-lo, e uma série de perguntas interativas serão feitas enquanto ele modifica o arquivo de configuração do servidor OpenSSH. SSH Modifique as configurações do SSH para permitir acesso usando o protocolo SSHv2 somente. Editar o arquivo /etc/ssh/sshd_config e trocar a linha:

7 #PROTOCOL 1,2 para: PROTOCOL 2 Vamos criar o grupo sshlogin para usuários que podem acessar o servidor remoto, e desabilitar o login do root no SSH: vi /etc/ssh/sshd_config Adicione as seguintes linhas: #AllowUsers root or PermitRootLogin no AllowGroups sshlogin É possível restringir os hosts/ips que acessam o servidor remotamente. Edite o arquivo /etc/hosts.allow (Substitua x.x.x.x pelos IPs dos usuários) sshd : : allow sshd : : allow sshd : 10. : allow sshd : x.x.x.x : allow sshd : x.x.x.x : allow sshd : ALL :deny A última linha vai restringir o acesso ao SSH, liberando apenas os IPS listados acima. 9 - Gerenciamento de um IDS É uma boa prática implantar softwares de verificação de integridade e detecção de intrusão no sistema antes do ambiente entrar em produção online. Um sistema de detecção de intrusão baseado em redes (NIDS) é um sistema de detecção de intrusão que tenta detectar atividades maliciosas como ataques de negação de serviço e port scans monitorando o tráfego de rede. Um execelente NIDS é o Snort, uma das 5 melhores ferramentas de segurança Open-Source. Já o sistema de detecção de intrusão baseado em Hosts (HIDS) faz analise de logs, checagem de integridade de arquivos e detecção de rootkits. Um excelente HIDS é o OSSEC, com muitas características interessantes e fácil de usar Gerenciamento do Firewall

8 Utilização do iptables, firewall statefull nativo de várias distribuições linux, realiza filtragem de pacotes, origem/destino, portas, protocolos, tem a possibilidade de adição de módulos adicionais, o que dá maior flexibilidade e poder para a ferramenta Atualização de Patches Todo sistema operacional deve ser atualizado com frequência, assim como seus componentes e pacotes instalados. De tempos em tempos, grupos de segurança lançam Security Advisories, alertando para possíveis falhas em softwares específicos. Algumas distruibuições possuem um sistema automático para verificar se os pacotes estão desatualizados e passíveis de falhas, corrigindo e/ou emitindo um alerta ao administrador local Apache Esconder a versão dos softwares utilizados dificulta, em parte, a ação do invasor. No Apache, para esconder esta informação, basta alterar a seguinte linha do httpd.conf: ServerTokens ProductOnly ServerSignature Off A diretriz ServerTokens controla a resposta do Servidor para os clientes sobre a versão do apache e do sistema operacional, além de informações sobre os módulos pré-compilados. ServerTokens ProductOnly Banner do Servidor Server: Apache Major Minor Minimal Server: Apache/2 Server: Apache/2.0 Server: Apache/ OS Server: Apache/ (Debian) Full (or not specified) default mod_ssl/ OpenSSL/0.9.8b Server: Apache/ PHP/ b1 Se você quiser restringir o acesso à uma página para um determinado IP ou blocos de IPs, é possível configurar o Apache da seguinte maneira (editando o httpd.conf): Order Deny,Allow

9 Deny from all Allow from /16 Outra dica é nunca deixar que os diretórios listem o conteúdo, caso não haja o arquivo index.html Options +Indexes MultiViews O Apache, na sua instalação padrão, acompanha vários módulos. A documentação do Apache descreve as funcionalidades de cada módulo. Em muitos casos, os módulos são desnecessários e podem ser desativados. Para isto, basta comentar as linhas precedidas por LoadModule no httpd.conf. Alguns módulos que podem ser desabilitados para casos específicos: mod_imap, mod_include, mod_info, mod_userdir, mod_status, mod_cgi, mod_autoindex MySQL O MySQL, no seu modo padrão, deixa o usuário root sem senha. Usuários podem fazer login como root (sem especificar uma senha) e acessar as bases de dados com privilégios administrativos. Para testar se o servidor está sem senha de root, digite: mysqladmin -u root status ou mysql -u root Para configurar uma senha para a conta root do MySQL (trocar 'NOVA SENHA' pela senha desejada): mysql -u root mysql> UPDATE mysql.user SET password=password('nova SENHA') WHERE user='root'; mysql> FLUSH PRIVILEGES; 14 - Sniffer Todo tráfego não criptografado que entra e sai na rede pode ser interceptado por programas que capturam pacotes. Para que uma placa possa capturar tráfego, ela deve estar ativa no modo promíscuo. Para verificar se a sua rede está sujeita a sniffer: sudo infconfig eth0 Localize e compare as seguintes linhas:

10 #Sem Sniffer UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 #Promíscuo - Sujeito a Sniffer UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1 Para desativar o modo promíscuo para uma interface de rede determinada, basta executar o seguinte comando: ifconfig eth0 -promisc 15 - Portas Abertas A verificação esporádica de portas abertas na rede é uma boa prática de segurança. Usando o NMAP, pode-se identificar portas abertas, programas responsáveis e versões de sistemas operacionais. O seguinte comando vai listar todas as portas abertas da máquina: $ nmap -A -p localhost PORT STATE SERVICE VERSION 514/tcp open shell? Em seguida, para identificar o PID responsável pela porta: $ sudo fuser 514/tcp 514/tcp: 6231 Finalmente, para descobrir o aplicativo responsável: $ sudo ps 6231 PID TTY STAT TIME COMMAND 6231? Ss 0:52 /usr/sbin/syslog-ng 16 - Desconectando usuários inativos Rotineiramente, administradores esquecem de fazer logout após terminar seus trabalhos, deixando a conta root aberta na máquina. Uma pessoa com acesso físico pode facilmente comprometer a máquina, instalando scripts maliciosos e adicionando usuários indevidos. A solução para resolver este problema é fazer com que o shell faça o logout automaticamente após um certo período de inatividade. Para fazer isto, você deve configurar a variável especial do Linux chamada TMOUT com o tempo de inatividade em segundos antes do logout.

11 Edite o seu arquivo profile (/etc/profile) e adicione a seguinte linha em algum lugar após a linha onde se lê HISTFILESIZE= nesse arquivo: TMOUT=3600 O valor que entramos para a variável está em segundos e representa 1 hora (60 * 60 = 3600 segundos). É importante observar que se você decidir colocar a linha acima em seu arquivo /etc/profile, então o logout automático após uma hora de inatividade entrará em vigor para todos os usuários do sistema. Se ao invés disso você quiser controlar quais usuários receberão o logout automático e quais não o receberão, você pode configurar esta variável no arquivo.bashrc (shell bash) ou.login (shell csh), que ficam situados no diretório pessoal de cada um. Hardening Técnicas mais utilizadas em Ambiente Windows ( Microsoft ) Acesso Remoto Uma conexão remota permite o acesso total a outro computador que esteja conectado à mesma rede ou à internet. Através da conexão remota é possível acessar os arquivos e usar todos os programas e recursos da rede do computador que permitiu o acesso remoto. [Windows, Microsoft 2012]. Quando se utiliza a técnica de hardening o acesso remoto deve se desabilitado dos computadores da rede, evitando que as informações sejam roubadas, eliminadas ou corrompidas por pessoas ou softwares mal intencionados. [Rodrigues 2008], [Noob Saibot]. Adoção de Sistemas de Detecção e Prevenção de Intrusão Um sistema de detecção e prevenção de intrusão permite notificar, rastrear e identificar tentativas de ataques e invasões em um sistema. Baseado na detecção de uma tentativa de ataque ou invasão a ferramenta é acionada e toma um ação baseada na detecção do problema e conforme as configurações da ferramenta que está sendo utilizada. [COPPE/UFRJ]. Antivírus Antivírus é um software que detecta, evita, atua, remove e neutraliza programas mal intencionados (vírus). Os Vírus são programas desenvolvidos para interferir no comportamento do computador, gravando, corrompendo ou excluindo dados ou para se espalharem para outros computadores através da internet. A melhor forma de prevenção é a atualização do antivírus utilizado no computador constantemente; grande parte dos softwares antivírus permitem uma atualização automática, programada pelo administrador do sistema. [Windows, Microsoft 2012].

12 Nenhum computador está livre de ataques de vírus, algumas medidas de segurança devem ser tomadas, com o objetivo de diminuir o risco desses ataques, tais como: Treinamento e conscientização dos usuários sobre as normas de segurança da informação, não baixar arquivos de origem duvidosa na rede externa, não inserir discos inseguros nos computadores, não abrir e- mails de pessoas desconhecidas ou que venham com anexos do qual não se sabe a origem, não abrir arquivos executáveis anexados a s, mesmo que venham de pessoas conhecidas, não fazer downloads de programas de sites da internet, não usar dispositivos que pertencem a empresa em computadores de segurança duvidosa. O administrador do sistema deve se manter sempre atualizado e seguir medidas de segurança com o objetivo de proteger o sistema de possíveis ameaças. Algumas medidas de segurança que o administrador deve tomar: Antivírus sempre atualizado, fazer backups periódicos, configurar os clientes de para não interpretarem HTML ou qualquer Script, configurar o Office para não executar macros sem permissão, atualizar o Office periodicamente, pois a cada dia que se passa novas falhas são descobertas e podem ser exploradas em um sistema desprevenido. [COPPE/UFRJ]. Ativar a Prevenção de Execução de Dados (DEP) A DEP é um recurso de segurança que ajuda a proteger, evitar a perda e roubo de dados sigilosos e danos ao computador causados por vírus e outras ameaças de segurança. Monitora automaticamente todos os programas e serviços essenciais que estão sendo executados no Windows para garantir que estão usando a memória do sistema operacional com segurança, caso algum programa tente executar código da memória de maneira incorreta, a DEP fecha o programa. Se houver necessidade é possível aumentar a proteção configurando para que a DEP monitore todos os programas que estão em uso no computador ou selecionar programas e serviços que não se deseja que a DEP monitore. [Windows, Microsoft 2012]. Atualizações e Patches Os componentes, programas e serviços instalados no sistema operacional devem ser atualizados frequentemente. O sistema operacional Windows tem um sistema automático chamado Windows Update que verifica a versão do sistema operacional atual e faz a verificação de pacotes desatualizados, apontando possíveis falhas relacionadas aos pacotes instalados, auxiliando a manter o sistema sempre atualizado, mais seguro e liberando somente atualizações de programas que o usuário tem necessidade. O Windows update não instala todas as atualizações na mesma hora, vai instalando aos poucos, por esse motivo o computador poderá ficar vulnerável durante o tempo em que as atualizações não forem feitas. Baixar os arquivos no site e monitorar as

13 atualizações de novos patches é uma maneira de manter seu sistema mais seguro. [Rodrigues 2008], [Noob Saibot]. A Microsoft lança a cada mês um pacote de atualizações com o objetivo de corrigir bugs, falhas de segurança e trazer outras melhorias necessárias ao sistema em uso, nos casos de falhas de segurança consideradas muito críticas os pacotes de atualizações para as devidas correções são lançados mais rapidamente. Os sistemas devem ser sempre atualizados com os últimos patches (programas criados com o objetivo de corrigir e interromper erros, problemas, bugs e vulnerabilidades identificadas nos softwares), evitando assim que usuários mal-intencionados se aproveitem das falhas recentes do sistema em uso para invadi-lo, comprometendo a segurança. É uma solução rápida e barata para promover correções, muito utilizada por empresas que não querem lançar novas versões de seus programas. [Hammerschmidt 2012], [Rodrigues 2008]. Criptografia A criptografia permite guardar e transmitir mensagens de forma segura, garantindo a privacidade da informação. Benefícios da criptografia para a segurança da informação: Integridade: É possível ao receptor de uma mensagem verificar se esta foi alterada durante o trânsito. Autenticação: É possível ao receptor de uma mensagem, verificar sua origem, um intruso não pode se fazer passar pelo remetente desta mensagem. Disponibilidade: O sistema deve estar sempre pronto a responder as requisições de usuários autenticados como legítimos pelo sistema, através de login e senha. No Windows existe um recurso chamado Sistema de Arquivos com Criptografia (EFS), que é usado para armazenar informações no disco rígido em um formato criptografado. [COPPE/UFRJ]. Fechar Portas da Rede Quando um sistema operacional é instalado, alguns aplicativos (serviços) abrem portas introduzindo vulnerabilidades no sistema, facilitando uma invasão através da exploração dessas portas abertas. Existe um aplicativo chamado Nmap (Network Mapper é um aplicativo livre e de código aberto, utilizado para explorar uma rede para efetuar uma auditoria de segurança), que permite que se faça uma varredura por todas as portas abertas no sistema e se possa criar com essa lista de portas abertas, regras no firewall para bloquear as portas que não devem estar disponíveis. Depois que as regras forem configuradas no firewall é importante fazer uma nova varredura e analisar se as portas abertas

14 que poderiam colocar o sistema em risco foram fechadas. [Inframagazine 2011]. Firewall Barreira de proteção que ajuda a controlar o tráfego de dados entre um computador ou rede onde o computador está instalado e a internet. Permite a transmissão e recepção de dados autorizados pelo administrador da rede. É considerado um ponto de conexão entre duas redes não confiáveis e permite que a comunicação entre elas seja segura e monitorada a todo momento. Como funciona o Firewall do Windows: Quando alguém utilizando a internet ou uma rede tenta se conectar ao computador, essa tentativa é chamada de pedido não solicitado, quando o firewall recebe um pedido não solicitado ele bloqueia a conexão. Quando houver necessidade do usuário executar programas de mensagens instantâneas ou utilizar a internet ou uma rede para receber informações o firewall sempre perguntará se o usuário deseja bloquear ou desbloquear esses tipos de conexão. [Souza], [Rodrigues 2008]. NetBios O protocolo NetBios é uma interface que fornece às aplicações de uma rede, um serviço de transmissão orientada à conexão, um serviço de nomes para identificar e localizar os usuários da rede e os computadores, um serviço opcional de transmissão de datagramas não confiável e outros recursos compartilhados necessários para registrar ou resolver nomes para serem utilizados na rede. [Rodrigues 2008], [Windows, Microsoft 2012]. O Windows disponibiliza todos os seus serviços através do protocolo NetBios. Nas redes onde o Netbios é disponibilizado pelo TCP/IP, um atacante consegue verificar quais os diretórios, impressoras e pastas compartilhadas em cada computador da rede. Quando os usuários disponibilizam pastas no acesso compartilhado é mais fácil para um hacker conseguir acesso aos arquivos das pastas compartilhadas. [Windows, Microsoft 2012]. Nas aplicações onde o protocolo NetBios está ativado, algumas portas das máquinas de uma rede ficam abertas e através delas é possível invadir a rede e comprometer a segurança do sistema, as portas utilizadas pelo protocolo NetBios são as portas UDP/137, UDP/138, UDP/139. É possível desabilitar a interface NetBios porém sem esse protocolo, os serviços de nomes NetBios, O serviço transmissão de datagramas NetBios e o serviço de seção NetBios podem ser prejudicados ou até paralisados. O serviço de nomes NetBios: Permite a resolução de nomes sem usar um servidor WINS ( Serviço de cadastramento na Internet do Windows é um banco de dados distribuído, que registra e consulta mapeamentos dinâmicos

15 de nomes NetBIOS para computadores e grupos usados em uma rede. O WINS mapeia nomes NetBIOS para endereços IP e foi desenvolvido para solucionar os problemas que aparecem na resolução de nome NetBIOS em ambientes roteados. (Microsoft, TechNet.2012). O serviço transmissão de datagramas NetBios: É usado por aplicações como o serviço Mensageiro e serviço do Browser. O serviço de seção NetBios: É responsável pelas transferências / impressões pela rede, e pelas aplicações remotas (Gerenciador do Servidor e o Gerenciador de Usuários). Antes de desabilitar o NetBios, é necessário configurar o TCP/IP para usar o WINS. [Rodrigues 2008]. Particionamento de Discos Em segurança da informação o particionamento de discos é muito importante. Quando se particiona um disco o nível de segurança aumenta no sistema, isso porque cada partição tem sua tabela de alocação de arquivos separada. [Inframagazine 2011]. Remoção de Logins e Usuários desnecessários Após a instalação do sistema e no dia a dia é importante que o administrador da rede faça a análise de todas as contas de usuários e remova as contas desnecessárias. Contas que não são mais utilizadas devem ser removidas para evitar que pessoas mal intencionadas utilizem essas contas para realizar atividades suspeitas ou indevidas, que comprometam a segurança da rede. A conta de usuário administrador é a conta mais visada por usuários mal intencionados e cracker, quando se consegue acesso a conta do administrador, se consegue acesso total ao sistema e rede de uma empresa. Essa conta deve conter uma senha considerada forte e só deve ser utilizada pelo administrador quando for necessário fazer configurações no sistema, em outros casos é recomendando que até mesmo o administrador use uma conta de usuário comum no sistema, para que a segurança seja garantida. [Inframagazine 2011]. Os principais motivos que levam um atacante a desenvolver e a propagar Malwares (códigos maliciosos): Obtenção de vantagens financeiras, coleta de informações confidenciais, vandalismo. Utilizar contas não administrativas garante uma proteção eficaz contra Malwares (códigos maliciosos que executam ações danosas e atividades maliciosas em um computador, quando instalados, passam a ter acesso aos dados armazenados no computador e podem executar ações em nome dos usuários, de acordo com as permissões de cada usuário. São formas dos Malwares (códigos maliciosos) infectarem ou comprometerem um computador: Exploração de vulnerabilidades existentes

16 nos programas instalados, auto-execução de mídias removíveis infectadas (Ex:pendrives), acesso a páginas web maliciosas (utilizando navegadores vulneráveis), ação direta de atacantes (após a invasão do computador, incluem arquivos contendo códigos maliciosos), execução de arquivos infectados (Ex: anexos de mensagens eletrônicas, mídias removíveis, páginas web ou diretamente de outros computadores (através do compartilhamento de recursos). Os códigos maliciosos possibilitam a prática de golpes, a realização de ataques e a disseminação de Spam ( s não solicitados, que são enviados para um grande número de pessoas). A maioria das atividades diárias (navegar na Internet, ler , mensageiros instantâneos), não necessitam de privilégios administrativos. Desse modo a conta do administrador deve ser usada somente para tarefas de manutenção, instalação e configuração do sistema, reduzindo o risco a segurança do sistema, através Malwares (códigos maliciosos). [CERT.Br. 2006]. Limitando as contas dos usuários do sistema é possível garantir uma proteção maior contra exploits (falhas), que necessitam de privilégios elevados para explorar falhas remotas. Conseguindo acesso a conta de administrador, um intruso pode: - Instalar rootkits (programas e técnicas que permite esconder e manter a presença de um invasor ou de outro código malicioso em um computador comprometido). Os rootkits instalados comprometem a privacidade dos usuários, e podem ser reconfigurados e utilizados para esconder a presença e os arquivos inseridos por atacantes ou por outros códigos maliciosos. O conjunto de programas e técnicas dos rootkits podem: Remover evidências em arquivos de logs, instalar outros códigos maliciosos, comobackdoors (para assegurar o acesso futuro ao computador infectado), esconder atividades e informações (como arquivos, diretórios, processos, chaves de registro, conexões de rede), mapear potenciais vulnerabilidades em outros computadores (por meio de varreduras na rede), capturar informações da rede onde o computador comprometido está localizado, pela interceptação de tráfego. [CERT.Br. 2006] - Instalar keyloggers ( aplicativos ou dispositivos que ficam em execução em um determinado computador para monitorar todas as entradas do teclado, gravando tudo que é digitado. Quem deixou o programa em execução pode conferir tudo o que foi digitado durante um determinado período, como: senhas de acessos e outros dados sigilosos. Grande parte dos computadores hospeda um keylogger, porque em algum momento algum usuário abriu um arquivo que continha o programa disfarçado. Um keylogger é ocultado utilizando ou outros tipos de conteúdos baixados da internet, essa ação é conhecida como a prática de esconder keyloggers. Um keyloggers pode ser utilizado por empresas para monitorar a atividade dos seus funcionários. [CERT.Br. 2006], [ Machado.TecMundo 2012].

17 - Instalar controles do ActiveX (programas usados na Internet para melhorar a navegação, permitindo animação ou ajudando em tarefas como a instalação de atualizações de segurança em Microsoft Update), incluindo softwares maliciosos e infectados comspyware (software que executa determinadas ações, sem o consentimento do usuário, como: exibição de anúncios, coleta de informações pessoais e alteração de configurações do seu computador. Fazem alterações inconvenientes, causam lentidão ou pane no computador, podem alterar a página inicial, a página de busca do navegador ou adicionar componentes desnecessários ou indesejados ao navegador. Também podem dificultar a restauração das configurações originais.) e Adware (software que exibem anúncios, que rastreiam informações pessoais e confidenciais). [Microsoft 2012], [Honeycutt 2004], [CERT.Br. 2006]. - Substituir os arquivos de programas do sistema operacional com Trojans ou cavalo de tróia ( programa malicioso que entra em um computador disfarçado como um programa comum e legítimo, possibilita a abertura de uma porta de forma que usuários mal intencionados possam invadir o computador. A principal forma de propagação é pela internet, geralmente são oferecidos como ferramentas com funções úteis para os computadores. Se passa por um programa que simula alguma funcionalidade útil, mas esconde um programa que pode causar malefícios aos computadores e aos usuários, abrindo portas, possibilitando invasões ou roubando senhas de usuário. Existem dois tipos comuns de Trojans que são: os Keyloggers (utilizados para roubar senhas) e os Backdoors (arquivos que possibilitam aberturas de portas para invasão). Os Trojans não se auto copiam e não necessitam infectar outros programas para executar suas funções, são autônomos necessitando apenas ser executados por algum usuário, se instalam com arquivos que quando apagados podem gerar perda de dados. Em muitos casos os antivírus não conseguem identificar um trojan como ameaça; uma medida de segurança eficaz é tomar cuidado com arquivos executáveis desconhecidos ou de origem duvidosa vindos de terceiros, devendo executá-los somente quando se tem certeza de sua procedência e com um antivírus instalado sempre atualizado. [CERT.Br. 2006], [ Pereira.TecMundo 2008]. - Acessar informações sensíveis das contas dos usuários do sistema. - Desabilitar / Desinstalar antivírus e firewall. - Cobrir os rastros apagando logs do sistema. - Desativar o boot do sistema. - Instalar e executar serviços considerados desnecessários ou inseguros. - Capturar / Registrar as ações de todos os usuários do sistema.

18 - Se a conta de administrador for a mesma nos outros computadores da rede e da sub-rede, o intruso pode ganhar controle total ou parcial sobre a rede e os computadores configurados na mesma. [Inframagazine 2011], [CERT.Br. 2006]. Remoção de Programas e Serviços desnecessários Desativar serviços desnecessários e inseguros é uma medida de segurança que deve ser tomada pelos administradores do sistema. Todos os serviços instalados devem ser verificados, quanto a necessidade de utilização, se não forem necessários ou considerados inseguros devem ser removidos. A desinstalação de serviços considerados desnecessários deve ser executada para evitar que possíveis vulnerabilidades sejam exploradas e o sistema venha a sofrer ameaças que afetem a segurança. Os serviços que permitem acesso remoto ao sistema são considerados inseguros e devem ser desativados, porém conforme a necessidade da rede alguns serviços não podem ser desativados, o administrador deve analisar e procurar deixar habilitados somente serviços considerados necessários ao sistema em uso. [Inframagazine 2011], [Junior 2010], [Noob Saibot]. São serviços considerados desnecessários ou inseguros no sistema operacional Windows: - Auxiliar de netbios e o netbios (devem ser desativado para dificultar um processo de invasão remota). - Gerenciador de conexão de acesso remoto e de acesso remoto automático. - Serviço de área de trabalho remota e registro remoto. [Rodrigues 2008], [Noob Saibot]. Segurança e Auditoria de Senhas A senha deve ser única, intransferível e de propriedade de um único usuário. [Inframagazine 2011]. As medidas de segurança que devem ser tomadas com as senhas, estão definidas na norma ISO nos itens e ( as senhas devem ser controladas por meio de um processo de gerenciamento formal e os usuários devem ser orientados a seguir boas práticas de segurança da informação na escolha, utilização e troca de suas senhas). Para maior segurança nas senhas de usuários o administrador do sistema deve possibilitar a alteração da senha no primeiro login que o usuário fizer no sistema, orientando o usuário a não escolher senha consideradas fracas, tais como: sequências simples (ex: 123), datas de aniversário e nomes próprios, não reaproveitar senhas quando as mesmas forem expiradas e não divulgar suas senhas a terceiros. As regras para a escolha de senhas consideradas fortes

19 devem ser levadas em consideração, tais como: estipular um número mínimo de caracteres (ex: 8 caracteres), utilizar letras minúsculas, maiúsculas, números e caracteres especiais, estabelecer a regra de alteração das senhas em um intervalo de tempo, definido pelo administrador do sistema ou pela empresa. Com essas medidas o administrador do sistema consegue impedir que pessoas mal-intencionadas consigam quebrar a senha utilizando força bruta. A ferramenta John the Ripper é capaz de avaliar se a senha dos usuários de um sistema é fraca ou não é uma ferramenta de Brute Force (força bruta, que testa combinações de senha para encontrar a resposta). Quando o administrador toma conhecimento dos usuários que utilizam senhas fracas no sistema, solicita a substituição da senha por outra que atenda a política de segurança estabelecida pela empresa, garantindo um sistema mais seguro e com menos riscos a exploração de possíveis vulnerabilidades. [Inframagazine 2011], [Rodrigues 2008]. Bloco de Mensagem de Servidor (SMB) É um protocolo padrão da Internet, usado pelo Windows para compartilhar arquivos, impressoras, portas seriais e para se comunicar entre os computadores. Em uma rede, os servidores tornam os sistemas de arquivos e recursos disponíveis para os clientes. Os clientes fazem solicitações SMB para recursos e os servidores fornecem respostas SMB caracterizando-o como um protocolo de solicitações e respostas cliente servidor. Existe uma falha na maneira como o servidor valida os parâmetros de um pacote SMB: Quando um sistema cliente envia um pacote SMB para o sistema do servidor, ele inclui parâmetros específicos que fornecem o servidor com um conjunto de instruções, o servidor não valida adequadamente o tamanho do buffer estabelecido pelo pacote, se o cliente especifica um tamanho de buffer menor do que o necessário, isso pode fazer com que o buffer seja saturado, enviando uma solicitação de pacote SMB criada para uma finalidade específica, um invasor poderia fazer com que o buffer fosse saturado. Se essa falha for explorada pode levar à corrupção de dados, falha no sistema ou permitir que um invasor execute um código de sua escolha. Um invasor precisa de uma conta de usuário válida e precisa ser autenticado pelo servidor para explorar essa falha. [Microsoft, TechNet. 2012]. O SMB trabalha junto com o NetBios, opera na porta 445, essa porta é onde se localiza o tráfego mais intenso de vírus. Quando desabilitamos o NetBios todo o tráfego que passava por ele é direcionado para o SMB, em vista disso esse serviço deve ser desabilitado para garantir a segurança do sistema. O SMB é desabilitado quando se remove os itens: Compartilhamento de Arquivos e Impressoras para Rede Microsoft ( pode ser desabilitado mesmo que exista uma rede local, desde que não seja necessário o compartilhamento de

20 impressora e arquivos na rede) e o Cliente para Redes Microsoft ( deve ser desabilitado quando não existe uma rede local). Com a desabilitação concluída as portas TCP/445 e UDP 445 são fechadas e nenhum sistema poderá se conectar com o servidor via SMB (Bloco de Mensagem de Servidor) e consequentemente os servidores não poderão mais acessar pastas compartilhadas na rede e muitas ferramentas para gerenciamento não se conectarão aos servidores.[rodrigues 2008]. Zona Desmilitarizada DMZ Uma rede nomeada DMZ é um segmento de uma rede separado de outras redes, parcialmente protegida; são sub-redes onde se hospedam os servidores / serviços de um provedor, protegendo contra ataques da Internet utilizando um firewall. É uma segunda rede criada no firewall para hospedar apenas os serviços que serão acessíveis pela Internet, evitando que usuários anônimos entrem na rede privativa (LAN), para acessar esses serviços e coloque em risco dados particulares; proporciona uma segurança adicional entre a rede corporativa e a internet pública. Se localiza entre redes protegidas e redes desprotegidas que contenham todos os serviços e informações para clientes ou públicos. Em uma rede DMZ é possível incluir regras de acesso específico e sistemas de defesa, possibilitando a simulação de uma rede protegida e localizando possíves invasores que caiam na rede, são como armadilhas virtuais que possibilitam localizar a origem do ataque. O propósito de uma Zona Desmilitarizada (DMZ) é separar os serviços externos: HTTP e FTP da rede local, limitando os danos que uma invasão a rede local possa causar. Para atingir este propósito os computadores que fazem parte de uma rede DMZ não devem conter nenhuma forma de acesso à rede local. É necessário especificar uma faixa de endereços IP s, ou informar diretamente os endereços das máquinas que devem ser incluídas em uma rede DMZ. É possível criar dois tipos de DMZ s: DMZ Interna: Só pode ser acessada pelos usuários da rede interna. DMZ Externa: Pode ser acessada por qualquer usuário da internet. Ao adicionar uma rede DMZ é utilizada uma terceira porta de interface no firewall. Com esta configuração é possível que o firewall troque dados tanto com a rede geral quanto com a máquina isolada usando Network Address Translation (NAT). [Clube do Hardware 2012].