Segurança e auditoria de sistemas. Professor Emiliano S. Monteiro

Transcrição

1 Segurança e auditoria de sistemas Professor Emiliano S. Monteiro

2 Administração de redes Administração Pró-Ativa: o administrador de redes deverá manter um cronograma de checagens periódicas de sua rede para saber como andam as coisas e não ter surpresa. Apenas ver o que está acontecendo não é o suficiente, existem hoje no mercado diversas ferramentas que podem monitorar deste hosts, trafego, estações de usuário, etc e fornecer ao administrador relatórios sofisticados sobre o uso da rede. Vale a pena lembrar que estas ferramentas são caras, leva tempo para configurá-las e mais tempo ainda para interpretar a grande quantidade de informação que elas podem coletar dos objetos monitorados. Grandes empresa geralmente por possuírem um orçamento maior podem se dar o luxo de ter um profissional voltado exclusivamente para a monitoração da rede além do uso de agentes. Open source: Agentes podem ler dados em bancos MIB e responder o protocolo SNMP, respondem trap (alarmes). Nagios visuação em 3d! Zabbix -- certificação Cacti OpenNMS

3 Administração de redes Administração reativa: Realiza ações após a ocorrência dos problemas. O administrador de redes esta sempre apagando incêndios. A Empresa geralmente é pequena e este personagem esta sempre carregado de tarefas que não deveria ser de sua competência como: dar suporte ao usuário, tirar dúvidas por telefone ou no local, dar manutenção em máquina do usuário, ajudar o chefe na sua apresentação no powerpoint pois a secretária faltou, etc. Resumindo: não importa o motivo, o administrador de redes nunca tem tempo para ler logs, instalar software de monitoração nem orçamento para isto, estão quando um problema acontece ele tem tentar resolver na hora. Com relação a segurança tem dificuldades em saber se já foi atacado ou se está sendo atacado agora.

4 Administração de redes Com relação a segurança estes dois estilos de administração acarretam o seguinte: a) o hacker tem mais trabalho para entrar em redes com administração pró-ativa, acontece o oposto nas redes com administração reativa; b) as redes com administradores reativos só ficam sabendo que foram atacados muito tarde e depois não condições de se defenderem ou realizar uma investigação pós-ataque; c) as redes com administração pró-ativa, sempre guardam logs de todas as atividades e incluem o uso de agentes, firewalls e IDS. e) É comum a terceirização da análise de segurança da informação por um agente externo ao ambiente da organização.

5 Algumas tarefas do administrador de redes Diariamente o administrador de sistemas deverá realizar pelos menos algumas das seguintes tarefas: 1. - Gerenciamento de contas de usuários: criar contas, deletar contas, desabilitar temporariamente contas de usuários, configurar contas para que os usuários possam realizar o login sob determinadas condições, etc Adicionar/remover hardware de servidores: Manter o servidor atualizado, como por exemplo: instalar novos discos rígidos 3. - Adicionar/remover hardware de rede (roteadores, hubs, switch, etc): manter a rede atualizada, troca de hubs, switchs, etc 4. - Realizar Backups, realizar o backup de dados considerados importantes tanto para os usuários como para o funcionamento do sistema Plano de contingência (Plano B)

6 Algumas tarefas do administrador de redes 5. - Instalar/atualizar novo software no servidor, montar software do sistema atualizado e softwares usados pelos usuários 6. - Monitoramento do sistema (rede e/ou servidor): realizar atividade de monitoramento dos servidores, redes, estações, etc conforme definido em política de segurança 7. - Resolver problemas no servidor/rede: daemons (serviços) que não estão bem configurados, etc Coletar dados para Auditoria: tarefa esta que deverá ser realizada de acordo com o que está escrito na política de segurança da empresa Manter documentação da rede (hosts, topologia, etc): o administrador da rede não será sempre funcionário eterno e presente, um dia ele pode sair da empresa ou ficar doente, alguém deve entender como a rede funciona Ajuda aos usuários, em pequenas empresa, nas grandes empresa existe um grupo de suporte aos usuários.

7 Microsoft Sytem Center

8 O que é controle de permissão? Permissão:... Ato de permitir; consentimento; dar licença.... Permissões podem controlar o que os usuários podem acessar (sejam comandos, processos ou arquivos/diretórios) Portanto permissão pode ser definida como o controle sobre a forma como os objetos do sistema podem ou não se relacionar (quem pode acessar o que? Para fazer o que?).

9 O que é controle de permissão? Sempre que um usuário tentar acionar um processo (por exemplo um editor de texto), este novo processo deverá herdar as características de segurança deste usuário, para isto serve o Security Token (exemplo: crácha), para identificar a origem. Um vez que o processo do usuário foi acionado e devidamente identificado, este poderá acessar outros objetos (por exemplo um arquivo texto), é neste momento que a verificação de permissão deve ocorrer. Uma lista de controle de acesso atrelada ao objeto alvo é usada para verificar as permissões do usuário. Nesta Lista de Controle de Acesso (ACL) estão inseridas as entradas (regras) que controlam o acesso a objeto alvo, primeiro as regras que negam acesso a posteriormente as que permitem, a identificação de usuário e grupo usado pelo processo editor de texto (no nosso exemplo) é verificada nesta lista, caso seja encontrada, por exemplo apenas permissão de leitura, o editor de texto não pode realizar outra operação que não seja leitura.

10 O que é controle de permissão? A ordem como as entradas são apresentadas na lista é de grande importância, similar a regras em um firewall, se uma regra diz que A não tem acesso a B, então mais à frente não poderá haver uma regra dizendo que A tem acesso B, isto invalidaria a primeira regra. As ACL podem ser vistas como listas (mais fácil pensar em tabela), ou melhor... cada linha da relação (lista) é um tipo de restrição ou proteção.

11 Controle de permissão Inicio Usuário inicia um processo Envia cópia de dados do SecurityToken Associa dados do SecurityToken para o processo do usuário Chama objeto desejado Comparação dos dados do Processo com ACL do Objeto Ler ACL do Objeto Nega acesso ao objeto Permite acesso ao objeto Fim

12 Controle de permissão Security Token Processo (processo ativado pelo usuário, ex: editor) Objeto ACL Usuário1 Usuário2 Direitos de Acesso Direitos de Acesso ACE Access Control Entry (entrada de controle de acesso) ( registros ) Usuário 2 Usuário3 Direitos de Acesso FAT não tem ACL! Permissão baseada em ACL ACL é o mais popular, usado em sistemas de arquivos como o Linux e NTFS (Windows)

13 Controle de permissão Descritor de segurança Processo Direitos de Acesso Objeto alvo Permissão baseada em Capacidade

14 Controle de permissão Exemplos de uso de Capability-based security Sistemas baseados em capacidade:

15 REVISÃO DE REDES!! IDS Intrusion Detection System, ou melhor, sistema de detecção de intrusão. Estas são as ferramentas que vão monitorar o tráfego de rede rede analisando tudo o que acontece, que tipo de trafego esta circulando, e que eventos ocorrem dentro da rede. Determinados IDS usam recursos de inteligência artificial para prever e detectar comportamentos que podem ser ataques e notificar os administradores de redes. Os IDS geralmente devem compara eventos que ocorrem na rede com regras (ou melhor condições) que você estabelece e com condições típicas de um ataque para que possam perceber o que esta ocorrendo e alertar o responsável. As formas de alerta e envio de notificação são bastante variadas mudando de fabricante para fabricante, uma forma simples se dá pelo envio de para o administrador de rede informando sobre um ataque ou anomalia no uso da rede. Basicamente existe duas classificações para os sistemas que realizam detecção de intrusão: as baseadas em sensores de redes individuais e os sensores instalados em servidores ou estações. Uma máquina dedicada a ser IDS monitora um dado segmento de rede, já um sensor instalado em um computador (seja ele cliente ou servidor) monitora as portas, arquivos e processos que rodam na máquina.

16 REVISÃO DE REDES!! IDS

17 REVISÃO DE REDES!! Firewalls Uma solução (seja ela de software ou hardware) para realizar a filtragem de pacotes e/ou conteúdo que entra e saí de uma rede, servido como o único ponto (ou melhor, um portão) de entrada e saída de trafego entre a rede privada da empresa e a rede externa (Internet), realizando o controle de tráfego consultando regras internas. Basicamente dois tipos são interessantes: Firewall que realizam filtragem de pacotes e os Gateway Firewall (ou Application Firewall). Os Gateway Firewall também são chamados de Application Firewall por rodar na camada de aplicação (Proxy firewalls). Os firewall tipo filtro de pacotes trabalham na camada de rede. A diferença entre eles está na camada em atuam. Os filtros de pacotes são os mais simples de serem implementados, mais baratos e mais fáceis de serem configurados. Os Firewalls de aplicativos, podem apresentar uma certa dificuldade para serem implementados más são uma das melhores opções quando se trata de filtragem de conteúdo, etc.

18 REVISÃO DE REDES!! Firewalls Um dos maiores problemas dos Firewall é com relação a filtragem de conteúdo ativo, pois toda empresa acaba liberando a porta 80 de sua rede para ter acesso a sites da web com páginas html, más ai começam os problemas os usuários podem acabar caindo em um site com páginas com scripts mal intencionados (ou outro tipo de script) e comprometer a segurança da máquina cliente do usuário. O firewall não é uma solução única e imediata para os problemas de segurança das redes de computadores. As diversas soluções existentes de firewalls no mercado podem ser customizadas e frequentemente podem trabalhar em conjunto. É possível uma empresa adotar um tipo de firewall para proteger um sub-rede interna e adotar outro tipo de firewall de outro fabricante para a rede externa e ainda colocar um ou dois tipos de firewalls em estações de usuários ou deixá-los escolher qual interface de firewall para estação é mais amigável.

19 REVISÃO DE REDES!! Firewalls

20 REVISÃO DE REDES!! Firewalls

21 Servidor antivírus

22 Firewall de banco de dados

23 Camadas da segurança de redes Exemplo: DMZ (zona desmilitarizada)

24 Modus operadis 1. Sondagem de alvo 2. Identificar furos 3. Organização de dados 4. Acesso não autorizado 5. Coleta de dados internos 6. Organização de dados 7. Cópia de dados, deleção, adulteração 8. Instalação de backdoors Pré identificação do que será atacado com coleta de informações em fontes externas Execução de programas que identificam vulnerabilidades Separar dados, listar, categorizar, priorizar Solicitações de acesso não autorizada, tentativas e falhas de acesso ao sistema, via força bruta, estouros de buffers e travamentos de partes do sistema, sniffing Listagem de diretórios, inspecionar página e contas de usuários, Separar dados, listar, categorizar, priorizar Cópia de dados do sistema atacado, deleção de dados/informações, adulteração de dados/informações, inclusive adulteração de arquivos de log Instalação de programas que criem portas de acesso para posterior retorno bem como contas falsas e processos de inicialização e finalização do sistema que permitam que trojans possam ficar rodando coletando dados ou pelo menos avisando os hackers quando a máquina fica online

25 Modus operadis Modus operandis é o jeito habitual ou rotineiro de fazer determinadas coisas. É um maneira característica de realizar algo. É uma frase em latim que significa a forma repetitiva e já esperada que alguém tem de realizar algumas tarefas. A polícia usa o termo Modus Operandis para designar métodos e técnicas que podem ser reconhecidas de um determinado criminoso como se fossem uma assinatura.