Hardening de Servidores

Transcrição

1 Hardening de Servidores O que é Mitm? O man-in-the-middle (pt: Homem no meio, em referência ao atacante que intercepta os dados) é uma forma de ataque em que os dados trocados entre duas partes, por exemplo você e o seu banco, são de alguma forma interceptados, registados e possivelmente alterados pelo atacante sem que as vitimas se apercebam. Numa comunicação normal os dois elementos envolvidos comunicam entre si sem interferências através de um meio, aqui para o que nos interessa, uma rede local à Internet ou ambas. Durante o ataque man-in-the-middle, a comunicação é interceptada pelo atacante e retransmitida por este de uma forma discricionária. O atacante pode decidir retransmitir entre os legítimos participantes os dados inalterados, com alterações ou bloquear partes da informação. Como os participantes legítimos da comunicação não se apercebem que os dados estão a ser adulterados tomam-nos como válidos, fornecendo informações e executando instruções por ordem do atacante. Hardening ( Técnica de blindagem de sistema ) é um processo de mapeamento das ameaças, mitigação dos riscos e execução das atividades corretivas em um sistema. Seu foco é a infraestrutura e seu objetivo é tornar um sistema mais seguro para enfrentar tentativas de ataques e invasões. A técnica de Hardening pode ser utilizada em qualquer sistema operacional com o objetivo de fortalecer a segurança e proteger o sistema de possíveis invasores. A implementação das diretivas de segurança devem ser seguidas antes, durante e após a instalação e configuração do sistema operacional em uso. Item Técnicas de Hardening Mais Utilizadas 1 Acesso Remoto 2 Adoção de Sistemas de Detecção e Prevenção de Intrusão 3 Antivírus 4 Ativar a instalação da (DEP) 5 Atualizações e Patches 6 Criptografia

2 7 Fechar Portas da Rede 8 Firewall 9 NetBios 10 Particionamento de Discos 11 Remoção de Logins e Usuários desnecessários 12 Remoção de Programas e Serviços desnecessários 13 Segurança e Auditoria de Senhas 14 SMB (Bloco de Mensagem de Servidor) 15 Zona Desmilitarizada DMZ Existem 03 pontos que devem ser considerados e analisados antes a implantação da técnica de Hardening: 1. A segurança, 2. Os riscos 3. E a flexibilidade do sistema. Assim é possível definir e aplicar as boas práticas para cada item. Acesso Remoto Hardening Técnicas mais utilizadas Conexão remota que permite o acesso total a outro computador que esteja conectado à mesma rede ou à internet. Através da conexão remota é possível acessar os arquivos e usar todos os programas e recursos da rede do computador que permitiu o acesso remoto. Recomendação para melhoria da segurança: o acesso remoto deve se desabilitado dos computadores da rede, evitando que as informações sejam roubadas, eliminadas ou corrompidas por pessoas ou softwares mal intencionados. Adoção de Sistemas de Detecção e Prevenção de Intrusão Um sistema de detecção e prevenção de intrusão permite notificar, rastrear e identificar tentativas de ataques e invasões em um sistema. Baseado na detecção de uma tentativa de ataque ou invasão a ferramenta é acionada e toma um ação baseada na detecção do problema e conforme as configurações da ferramenta que está sendo utilizada.

3 Antivírus Antivírus é um software que detecta, evita, atua, remove e neutraliza programas mal intencionados (vírus). Os Vírus são programas desenvolvidos para interferir no comportamento do computador, gravando, corrompendo ou excluindo dados ou para se espalharem para outros computadores através da internet. Nenhum computador está livre de ataques de vírus, algumas medidas de segurança devem ser tomadas, com o objetivo de diminuir o risco desses ataques, tais como: Treinamento e conscientização dos usuários sobre as normas de segurança da informação, Não baixar arquivos de origem duvidosa na rede externa, Não inserir discos inseguros nos computadores, Não abrir s de pessoas desconhecidas ou que venham com anexos do qual não se sabe a origem, mesmo que venham de pessoas conhecidas, Não fazer downloads de programas de sites da internet, Não usar dispositivos que pertencem a empresa em computadores de segurança duvidosa. Ativar a Prevenção de Execução de Dados (DEP) A DEP é um recurso de segurança que ajuda a proteger, evitar a perda e roubo de dados sigilosos e danos ao computador causados por vírus e outras ameaças de segurança. Monitora automaticamente todos os programas e serviços essenciais que estão sendo executados no Windows para garantir que estão usando a memória do sistema operacional com segurança, caso algum programa tente executar código da memória de maneira incorreta, a DEP fecha o programa. Se houver necessidade é possível aumentar a proteção configurando para que a DEP monitore todos os programas que estão em uso no computador ou selecionar programas e serviços que não se deseja que a DEP monitore. Atualizações e Patches Os componentes, programas e serviços instalados no sistema operacional devem ser atualizados frequentemente. O sistema operacional Windows tem um sistema automático chamado Windows Update que verifica a versão do sistema operacional atual e faz a verificação de pacotes desatualizados, apontando possíveis falhas relacionadas aos pacotes instalados, auxiliando a manter o sistema sempre atualizado, mais seguro e liberando somente atualizações de programas que o usuário tem necessidade.

4 Criptografia A criptografia permite guardar e transmitir mensagens de forma segura, garantindo a privacidade da informação. Benefícios da criptografia para a segurança da informação: Integridade: É possível ao receptor de uma mensagem verificar se esta foi alterada durante o trânsito. Autenticação: É possível ao receptor de uma mensagem, verificar sua origem, um intruso não pode se fazer passar pelo remetente desta mensagem. Disponibilidade: O sistema deve estar sempre pronto a responder as requisições de usuários autenticados como legítimos pelo sistema, através de login e senha. No Windows existe um recurso chamado Sistema de Arquivos com Criptografia (EFS), que é usado para armazenar informações no disco rígido em um formato criptografado. Fechar Portas da Rede Quando um sistema operacional é instalado, alguns aplicativos (serviços) abrem portas introduzindo vulnerabilidades no sistema, facilitando uma invasão através da exploração dessas portas abertas. Existe um aplicativo chamado Nmap (Network Mapper é um aplicativo livre e de código aberto, utilizado para explorar uma rede para efetuar uma auditoria de segurança), que permite que se faça uma varredura por todas as portas abertas no sistema e se possa criar com essa lista de portas abertas, regras no firewall para bloquear as portas que não devem estar disponíveis. Depois que as regras forem configuradas no firewall é importante fazer uma nova varredura e analisar se as portas abertas que poderiam colocar o sistema em risco foram fechadas. Firewall Barreira de proteção que ajuda a controlar o tráfego de dados entre um computador ou rede onde o computador está instalado e a internet. Permite a transmissão e recepção de dados autorizados pelo administrador da rede. É considerado um ponto de conexão entre duas redes não confiáveis e permite que a comunicação entre elas seja segura e monitorada a todo momento. No Windows, quando alguém utiliza a internet ou uma rede e tenta se conectar ao computador, essa tentativa é chamada de pedido não solicitado, quando o firewall recebe um pedido não solicitado ele bloqueia a conexão. Quando houver necessidade do usuário executar programas de mensagens instantâneas ou utilizar a internet ou uma rede para receber informações o firewall sempre perguntará se o usuário deseja bloquear ou desbloquear esses tipos de conexão.

5 NetBios O protocolo NetBios é uma interface que fornece às aplicações de uma rede, um serviço de transmissão orientada à conexão, um serviço de nomes para identificar e localizar os usuários da rede e os computadores, um serviço opcional de transmissão de datagramas não confiável e outros recursos compartilhados necessários para registrar ou resolver nomes para serem utilizados na rede. O Windows disponibiliza todos os seus serviços através do protocolo NetBios. Nas redes onde o Netbios é disponibilizado pelo TCP/IP, um atacante consegue verificar quais os diretórios, impressoras e pastas compartilhadas em cada computador da rede. Quando os usuários disponibilizam pastas no acesso compartilhado é mais fácil para um hacker conseguir acesso aos arquivos das pastas compartilhadas. Nas aplicações onde o protocolo NetBios está ativado, algumas portas das máquinas de uma rede ficam abertas e através delas é possível invadir a rede e comprometer a segurança do sistema, as portas utilizadas pelo protocolo NetBios são as portas UDP/137, UDP/138, UDP/139. É possível desabilitar a interface NetBios porém sem esse protocolo, os serviços de nomes NetBios, O serviço transmissão de datagramas NetBios e o serviço de seção NetBios podem ser prejudicados ou até paralisados. Particionamento de Discos Em segurança da informação o particionamento de discos é muito importante. Quando se particiona um disco o nível de segurança aumenta no sistema, isso porque cada partição tem sua tabela de alocação de arquivos separada. Remoção de Logins e Usuários desnecessários Após a instalação do sistema e no dia a dia é importante que o administrador da rede faça a análise de todas as contas de usuários e remova as contas desnecessárias. Contas que não são mais utilizadas devem ser removidas para evitar que pessoas mal intencionadas utilizem essas contas para realizar atividades suspeitas ou indevidas, que comprometam a segurança da rede. A conta de usuário administrador é a conta mais visada por usuários mal intencionados e cracker, quando se consegue acesso a conta do administrador, se consegue acesso total ao sistema e rede de uma empresa. Essa conta deve conter uma senha considerada forte e só deve ser utilizada pelo administrador quando for necessário fazer configurações no sistema, em outros casos é recomendando que até mesmo o administrador use uma conta de usuário comum no sistema, para que a segurança seja garantida.

6 Remoção de Programas e Serviços desnecessários Desativar serviços desnecessários e inseguros é uma medida de segurança que deve ser tomada pelos administradores do sistema. Todos os serviços instalados devem ser verificados, quanto à necessidade de utilização, se não forem necessários ou considerados inseguros devem ser removidos. Segurança e Auditoria de Senhas A senha deve ser única, intransferível e de propriedade de um único usuário. As medidas de segurança que devem ser tomadas com as senhas, estão definidas na norma ISO nos itens e ( as senhas devem ser controladas por meio de um processo de gerenciamento formal e os usuários devem ser orientados a seguir boas práticas de segurança da informação na escolha, utilização e troca de suas senhas). Para maior segurança nas senhas de usuários o administrador do sistema deve possibilitar a alteração da senha no primeiro login que o usuário fizer no sistema, orientando o usuário a não escolher senha consideradas fracas, tais como: sequências simples (ex: 123), datas de aniversário e nomes próprios, não reaproveitar senhas quando as mesmas forem expiradas e não divulgar suas senhas a terceiros. Bloco de Mensagem de Servidor (SMB) É um protocolo padrão da Internet, usado pelo Windows para compartilhar arquivos, impressoras, portas seriais e para se comunicar entre os computadores. Em uma rede, os servidores tornam os sistemas de arquivos e recursos disponíveis para os clientes. Os clientes fazem solicitações SMB para recursos e os servidores fornecem respostas SMB caracterizando-o como um protocolo de solicitações e respostas cliente servidor. Existe uma falha na maneira como o servidor valida os parâmetros de um pacote SMB: 1) Quando um sistema cliente envia um pacote SMB para o sistema do servidor, ele inclui parâmetros específicos que fornecem o servidor com um conjunto de instruções, o servidor não valida adequadamente o tamanho do buffer estabelecido pelo pacote, se o cliente especifica um tamanho de buffer menor do que o necessário, isso pode fazer com que o buffer seja saturado, enviando uma solicitação de pacote SMB criada para uma finalidade específica, um invasor poderia fazer com que o buffer fosse saturado. Se essa falha for explorada pode levar à corrupção de dados, falha no sistema ou permitir que um invasor execute um código de sua escolha. Um invasor precisa de uma conta de usuário válida e precisa ser autenticado pelo servidor para explorar essa falha.

7 2) O SMB trabalha junto com o NetBios, opera na porta 445, essa porta é onde se localiza o tráfego mais intenso de vírus. Quando desabilitamos o NetBios todo o tráfego que passava por ele é direcionado para o SMB, em vista disso esse serviço deve ser desabilitado para garantir a segurança do sistema. O SMB é desabilitado quando se remove os itens: a. Compartilhamento de Arquivos; b. Impressoras para Rede Microsoft; c. Cliente para Redes Microsoft. Zona Desmilitarizada DMZ Uma rede nomeada DMZ é um segmento de uma rede separado de outras redes, parcialmente protegida; são sub-redes onde se hospedam os servidores / serviços de um provedor, protegendo contra ataques da Internet utilizando um firewall. É uma segunda rede criada no firewall para hospedar apenas os serviços que serão acessíveis pela Internet, evitando que usuários anônimos entrem na rede privativa (LAN), para acessar esses serviços e coloque em risco dados particulares; proporciona uma segurança adicional entre a rede corporativa e a internet pública. É possível criar dois tipos de DMZ s: DMZ Interna: Só pode ser acessada pelos usuários da rede interna. DMZ Externa: Pode ser acessada por qualquer usuário da internet. Métodos e Ferramentas para Proteção do servidor DNS Para usuários Linux existe uma ferramenta chamada Arpwatch que monitora a atividade em uma rede ethernet, mantendo atualizada uma tabela com endereços ethernet (MAC) e seus respectivos IPs. Essa ferramenta tem a capacidade de reportar via certas mudanças. É importante na detecção de ataques Arp poisoning, Man-in-the-Middle e DNS spoofing. A primeira barreira de defesa contra o DNS spoofing é usar sempre a versão mais recente do DNS disponível. Consultas recursivas devem ser limitadas ao servidor DNS Local. Isso irá evitar sistemas externos enviem consultas suspeitas.

8 Algumas observações de segurança sobre o servidor DNS: Servidores DNS local separado fisicamente do servidor externo; Desabilitar serviços desnecessários no servidor DNS; Utilizar um servidor dedicado específico para o DNS; Esconder a versão do BIND utilizada no servidor DNS; Restringir o processo de update dinâmico do DNS, quando possível; Uso do DNSSEG e TSIG(Funções de Segurança); Restringir zonas de transferências para servidores secundários; Configurar o servidor DNS de modo a permitir recursividade somente para as estações de seu domínio; Configurar o servidor DNS de modo a permitir recursividade somente para as estações de seu domínio; Configurar regras anti-spoofing no firewall e/ou no roteador de borda; Implementar uma topologia de redes que permita abrigar o servidor DNS em uma DMZ (Zona Desmilitarizada); Use softwares como Nagios, Zabbix e PRTG para monitorar o seu sistema como um todo, carga de disco, memória, tráfego de rede, internet e etc. Acontecendo algum problema você será avisado por e até SMS; SSH para acesso remoto, de forma segura já que o mesmo utiliza de criptografia; Nmap, Ettercap, wireshark, Tcpdump, são exemplos de softwares que permitem escutar e ver o que está trafegando na rede; Uso de Proxy como, Squid, Clear Os, Dns e outros: Gerenciamento de Acesso a web e rede local para tráfego geral de usuários, permitindo e bloqueando acessos de acordo com a política de sua empresa; Conclusão: Todo serviço tem seus riscos, nunca a segurança será de 100%, o nosso papel com futuros tecnólogos em segurança da informação é saber identificar estas vulnerabilidades e propor mecanismos e ações para mitigar os riscos. A prevenção, conscientização, redundância e o monitoramento são formas de garantir que a segurança seja eficaz e que a rede e/ou a internet funcionem corretamente.