Ameaças e Contramedidas de Host

Transcrição

1 Prof. Hederson Velasco Ramos Prof. Henrique Jesus Quintino de Oliveira Fonte: Monitoramento (PortScan) Exemplos de monitoramento são varreduras de porta, varredura de ping e enumeração NetBIOS, que podem ser usados por invasores para obter informações valiosas do sistema para ajudar a se preparar para ataques mais significativos. O tipo de informação potencialmente revelado pelo monitoramento inclui, versões do sistema operacional e de outros softwares, nomes e IPs de servidor e banco de dados. 2 1

2 Monitoramento (PortScan) -Desativar serviços desnecessários. - Bloquear portas no Firewall. - Utilizar filtros de protocolos (TCP/UDP). - Configurar os softwares de rede para omitir os dados de versão. - Utilizar um IDS (Sistema de Detecção de Intrusos) para detectar e responder a tráfego suspeito. 3 Quebra de Senha Se o invasor não puder estabelecer uma conexão anônima com o servidor, ele irá tentar estabelecer uma conexão autenticada. Por isso, o invasor deve conhecer uma combinação de nome de usuário e senha válida. Se você utilizar nomes de conta padrão, estará dando ao invasor um ponto de início. Assim, o invasor terá apenas que decifrar a senha da conta. O uso de senhas em branco ou de baixa segurança torna o trabalho do invasor ainda mais fácil. 4 2

3 Quebra de Senha - Utilizar senhas de alta segurança para todos os tipos de conta. -Aplicar diretivas de bloqueio a contas de usuário final para limitar o número de tentativas de repetição que podem ser usadas para adivinhar a senha. - Não utilizar nomes de conta padrão e renomearcontas padrão como a conta do administrador /roote a conta do usuário de Internet anônima usada por muitos aplicativos da Web. - Auditar falhas de logon. 5 Negação de Serviço (DoS) A negação de serviço pode ser obtida por muitos métodos voltados para vários destinos dentro de sua infra estrutura. No host, um invasor pode interromper o serviço com a força bruta contra seu aplicativo ou um invasor pode conhecer uma vulnerabilidade que realmente existe no serviço em que seu aplicativo está armazenado ou no sistema operacional executado no servidor. 6 3

4 Negação de Serviço (DoS) - Manter se atualizado com as correções e atualizações de segurança. -Proteger a pilha TCP/IP contra a negação de serviço. - Certificar se de que suas diretivas de bloqueio de conta não possam ser exploradas para bloquear contas de serviço conhecidas. - Certificar se de que se seu aplicativo seja capaz de lidar com grandes volumes de tráfego e se há limiares para manusear cargas excepcionalmente altas. - Rever a funcionalidade de failover de seu aplicativo. -Utilizar um IDS que possa detectar ataques potenciais de negação de serviço. 7 Execução Arbitrária de Código Se um invasor puder executar um código mal intencionado em seu servidor, ele poderá comprometer os recursos do servidor ou montar outros ataques contra sistemas ramificados. Os riscos causados pela execução arbitrária do código aumentam se o processo do servidor no qual o código do invasor é executado for muito privilegiado. As vulnerabilidades comuns incluem configuração de servidores Web de baixa segurança e servidores sem patch que permitem atravessamento de caminho e ataques de estouro de buffer, ambos os quais podem levar à execução arbitrária do código. 8 4

5 Execução Arbitrária de Código - Configurar o servidor Web para rejeitar URLscom "../" para evitar atravessamento de caminho - Bloquear comandos do sistema e utilitários com ACLs restritas. - Manter se atualizado com correções e atualizações para garantir que estouros de buffer descobertos recentemente sejam corrigidos rapidamente. 9 Acesso não Autorizado Controles de acesso inadequados podem permitir que um usuário não autorizado acesse informações restritas ou realize operações restritas. As vulnerabilidades comuns incluem controles de acesso à Web do IIS, incluindo permissões da Web e permissões NTFS de baixa segurança. 10 5

6 Acesso não Autorizado - Configurar permissões seguras da Web. - Bloquear arquivos e pastas com permissões NTFS restritas. - Utilizar mecanismos de controle de acesso em seus aplicativos Web. 11 Vírus, Cavalos de Tróia e Worms - Um vírus é um programa criado para realizar atos mal intencionados e causar interrupção de seu sistema operacional ou aplicativos. - Um cavalo de Tróia se parece com um vírus, exceto pelo fato de que o código mal intencionado fica dentro do que parece ser um arquivo de dados inofensivo ou um programa executável. - Um worm é parecido com um cavalo de Tróia, exceto pelo fato de que ele se duplica sozinho de um servidor para outro. Os worms são difíceis de detectar porque eles não criam regularmente arquivos que podem ser vistos. Eles geralmente são notados somente quando começam a consumir recursos do sistema porque o sistema fica lento ou a execução de outros programas é paralisada. 12 6

7 Vírus, Cavalos de Tróia e Worms - Manter se atualizado com os últimos Service Packs do sistema operacional e correções de software. - Bloquear todas as portas em firewall e host. - Desativar funcionalidade não utilizada incluindo protocolos e serviços. - Proteger definições de configuração padrão de baixa segurança 13 Dúvidas 14 7

8 Exercícios 1 Considerando a ameaça de Monitoramento, quais dados o atacante consegue obter e quais são as contramedidas que podem ser aplicadas para evitar esse tipo de ataque? 2 - Cite 2 contramedidas que podem ser aplicadas para de evitar a Quebra de Senha. 3 O que significa a ameaça DoS (Negação de serviço). 4 Como podemos evitar a ameaça Acesso não Autorizado 5 Quais as diferenças entre Virus, Cavalo-de-Tróia e um Worm? 15 8