VERSÃO PARA IMPRESSÃO

Transcrição

1 VERSÃO PARA IMPRESSÃO SEGURANÇA DE REDES DE COMPUTADORES UIA 2 SEGURANÇA NOS SERVIÇOS DE REDES

2 Este material é destinado exclusivamente aos alunos e professores do Centro Universitário IESB, contém informações e conteúdos protegidos e cuja divulgação é proibida por lei. O uso e/ou reprodução total ou parcial não autorizado deste conteúdo é proibido e está sujeito às penalidades cabíveis, civil e criminalmente.

3 3 SUMÁRIO Aula 7 Filtragem de Pacotes Introdução Conceitos Visão Geral A filtragem de Pacotes Abordagens para Aplicação de Filtros A Sintaxe das Regras Ação Direção Log Quick Interface AF Protocolo SRC_ADDR, DST_ADDR SRC_PORT, DST_PORT TCP_FLAGS State Negar por Padrão Passando Tráfego Aula 8 Vulnerabilidades nos Serviços de Redes Serviços de Redes Conceitos Serviços de Redes Cliente-Servidor Gateway DHCP Outros Serviços Serviços de Redes na Internet WWW e HTTP FTP DNS IMAP SMTP TELNET SSH IPv4 e IPv Ameaça e Vulnerabilidades dos Serviços de Redes Vulnerabilidades no DNS Regras Básicas Aula 9 Configuração de Segurança de Serviços de Rede Gerenciamento de Logs Syslog-ng Logs do Windows NTP Aula 10 Monitoramento de serviços Monitoramento de serviços Nagios... 21

4 Zabbix Cacti Ntop Avaliação Ferramentas de monitoramento de segurança Wireshark Metasploit OpenVAS Nmap Aircrack-ng KISMET Aula 11 Autenticação Sistema AAA Autenticação Algo que você sabe Algo que você tem Algo que você é Autorização Auditoria Sistemas de Autenticação Única OTP S/Key Smart Card Protocolo Kerberos Acesso a serviços em uma rede Benefícios do Kerberos Biometria Aula 12 Controle de Acesso Controle de acesso Controle de Acesso Centralizado Controle de Acesso Descentralizado Processos do Controle de acesso Mecanismos de Segurança Modelos de segurança Controle de Acesso Discricionário (DAC) Controle de Acesso Mandatório (MAC) Controle de Acesso Baseado em Perfis (RBAC) Controle de Acesso Baseado em Regras... 46

5 5 Aula 7 FILTRAGEM DE PACOTES 7.1. INTRODUÇÃO Já estudamos que existem várias formas de ataques e como ajuda na proteção de servidores internos a criação e implementação de filtros de pacotes pode ser uma boa iniciativa para o bloqueio de acessos indevidos. Esta iniciativa, de uso de filtros é recomendada para utilização em situações simples e complementada por outros mecanismos de segurança, que permitam uma maior flexibilidade e também um controle efetivo. Eles são bastante úteis porém não devem ser empregados como a única forma de defesa da rede CONCEITOS Filtragem de pacotes é o bloqueio ou liberação da passagem de pacotes de dados de maneira seletiva, conforme eles atravessam a interface de rede. O critério usado pelo pf(4) ao inspecionar pacotes são baseados nos cabeçalhos da Camada 3 (IPv4 e IPv6) e Camada 4 (TCP, UDP, ICMP, e ICMPv6). Os critérios mais usados são endereço de origem e destino, porta de origem e destino e protocolo. Regras de filtragem especificam o critério em que o pacote deve se enquadrar e a ação resultante, que pode ser bloqueio ou liberação, tomada quando o pacote casa com a regra. As regras de filtragem são avaliadas em sequência da primeira a última. A não ser que o pacote encontre um regra contendo a palavra-chave quick, o mesmo será avaliado contra todas as regras de filtragem antes da ação final ser tomada. A última regra a casar é a "vencedora" e dita qual ação tomar. Existe um pass all implícito no início das regras de filtragem, que significa que caso o pacote não case com nenhuma regra a ação resultante será pass. Após a aplicação dos filtros é recomendável que o administrador da rede fique atento ao desempenho da mesma que pode sofre um pequeno impacto levando-se em conta alguns fatores como volume do tráfego, número de filtros entre outros; o bom senso deve prevalecer para achar a melhor medida que garanta um certo nível de segurança e bom desempenho da rede VISÃO GERAL São sistemas responsáveis pela filtragem dos pacotes entre hosts internos e externos de um modo seletivo. Para se implementar uma barreira de segurança numa rede de computadores, é fundamental que se conheça os detalhes dos protocolos de comunicação utilizados, os mais usuais são TCP, IP, UDP e ICMP. Estes são os principais protocolos a nível de rede e transporte que são considerados e examinados ao se estabelecer regras de filtragem num filtro de pacotes (Packet Filtering) para a Internet.

6 6 Fonte: Este mecanismo de filtragem no roteador possibilita que se controle o tipo de tráfego, em qualquer parte da rede, e controla o tipo de serviços que possam comprometer a segurança de rede, restringindo-os. O componente que realiza a filtragem de pacotes, geralmente é um roteador, sendo este designado de screening router A FILTRAGEM DE PACOTES Consiste na análise dos pacotes, conforme o conteúdo de determinados campos que fazem parte do cabeçalho do pacote, esta análise permite a passagem ou descarte do pacote conforme os filtros. O filtro é composto de várias regras que levam em conta principalmente: Endereço IP de origem e destino - Todo pacote possui um endereço de origem e um endereço de destino. O endereço de origem é o da máquina (interface) que estabeleceu a comunicação, enquanto o endereço de destino corresponde à máquina de destino final. Quando o pacote trafega pela rede estes endereços não são alterados. A filtragem por endereço pode ser feita pela origem e/ou destino, no endereço completo (host) ou em parte dele (net ou bloco). Protocolo - As regras podem ser montadas para bloquear totalmente um determinado protocolo (UDP, TCP, ICMP ou RCP) ou especificar um serviço, que assume características diferentes dependendo da combinação protocolo/porta. Portas de origem e destino - O acesso a serviços Internet é feito com base nos números de portas. Assim como os endereços IP, as portas podem ser modificadas no caso de um ataque para tentar contornar os filtros. Outros campos dos cabeçalhos TCP/IP como Type-of-service (TOS) e Flags (bit ACK), podem ser utilizados para as regras de filtragem.

7 ABORDAGENS PARA APLICAÇÃO DE FILTROS Bloquear alguns acessos e permitir todos os demais - este tipo de regra é simples de implementar, mas pode dar uma falsa sensação de segurança, já que o mesmo serviço pode ser ativado em uma porta completamente diferente. Permitir alguns acesso e bloquear todos os demais - este tipo de filtro possui uma implementação mais complexa e exige um maior entendimento do funcionamento dos protocolos, mas oferece um maior nível de segurança. Sentido da aplicação do filtro - O sentido da aplicação dos filtros é fundamental para seu funcionamento, e pode ser aplicados na entrada da interface (inbound) ou saída (outbound). Dependendo do sentido, os endereços IP e as portas mudam completamente. Saiba mais sobre o conceito de filtragem de pacotes assistindo ao vídeo A SINTAXE DAS REGRAS A forma geral simplificada da sintaxe para regras de filtragem é: ação [direção] [log] [quick] [on interface] [af] [proto protocolo] \ [from src_addr [port src_port]] [to dst_addr [port dst_port]] \ [flags tcp_flags] [state] AÇÃO A ação executada em pacotes que combinem com a regra, pode ser pass ou block. A ação pass libera a passagem do pacote para processamento posterior pelo kernel, enquanto que a ação block reagirá com base na opção block-policy. A reação padrão pode ser sobrescrita especificando block drop ou block return na regra DIREÇÃO A direção em que o pacote está se movendo na interface, pode ser in ou out LOG Especifica que o pacote deve ser logado. Caso a regra especifique as opções keep state, modulate state ou synproxy state somente o pacote que estabelece a conexão é logado. Para logar todos pacotes, use log-all.

8 QUICK Se um pacote casar com uma regra que especifique a palavra quick, esta regra é considerada final e a ação especificada é executada INTERFACE O nome ou grupo da interface de rede onde o pacote passa. Um grupo de interface é especificado com o nome da interface mas sem o número no final. Por exemplo: ppp ou fxp. Fará com que a regra case com qualquer pacote atravessando qualquer interface ppp ou fxp respectivamente AF A família de endereços a que o pacote pertence, inet para IPv4 ou inet6 para IPv6. Geralmente o PF pode determinar essa informação com base no endereço(os) de origem e/ou destino do pacote PROTOCOLO O protocolo de Camada 4 do pacote: tcp udp icmp icmp6 Um nome de protocolo válido em /etc/protocols Um número de protocolo entre 0 e 255 Um grupo de protocolos utilizando uma lista SRC_ADDR, DST_ADDR Os endereços de origem/destino no cabeçalho do IP. Endereços podem ser especificados como: Endereço IPv4 ou IPv6 simples. Um bloco de rede CIDR. Nome de domínio totalmente qualificado, que será resolvido pelo DNS quando as regras forem carregadas. Todos endereços IP resultantes serão substituidos na regra. O nome de uma interface de rede. Quaisquer endereços IP na interface substituirão a regra. O nome de uma interface de rede seguido por uma /máscara (ex., /24). Cada endereço IP na interface é combinado com a máscara para formar um bloco de rede CIDR que será substituido na regra. O nome de uma interface de rede entre parenteses ( ). Isto informa ao PF para atualizar a regra caso o endereço(os) da interface sofra alteração. Útil em interfaces que obtém seu endereço IP via DHCP ou dialup, pois as outras regras não precisarão ser recarregadas toda vez que o endereço mudar.

9 9 O nome de uma interface de rede seguido por algum dos modificadores: :network - substitui o bloco de rede CIDR (ex., /24) :broadcast - substitui o endereço de broadcast (ex., ) :peer - substitui o endereço da outra ponta num link ponto-a-ponto Além disso, o modificador :0 pode ser adicionado a um nome de interface ou qualquer um dos modificadores acima para indicar ao PF para não incluir endereços IP de aliases na substituição. Estes modificadores também podem ser usados quando o nome da interface está entre parênteses. Exemplo: fxp0:network:0 Uma tabela. Qualquer dos apresentados acima, negado usando o modificador! ("not"). Um grupo de endereços usando-se uma lista. A palavra-chave any indicando todos os endereços A palavra-chave all que é um atalho para from any to any SRC_PORT, DST_PORT A porta de origem/destino no cabeçalho da Camada 4 do pacote. Portas podem ser especificadas da seguinte forma: Um número entre 1 e Nome de serviço válido em /etc/services Lista de portas usando uma lista Uma faixa:!= (diferente) < (menor que) > (maior que) <= (menor ou igual a) >= (maior ou igual a) >< (faixa) <> (faixa inversa) Os dois últimos são operadores binários (recebem dois argumentos) e não incluem os argumentos na faixa. : (faixa inclusiva) O operador de faixa inclusiva também é um operador binário e inclui os argumentos na faixa.

10 TCP_FLAGS Especifica os flags que devem estar setados no cabeçalho TCP quando for usado proto tcp. Flags são especificados na forma: flags check/mask. Por exemplo: flags S/SA - instrui o PF a verificar somente os flags S e A (SYN e ACK) e casar, se apenas o flag SYN estiver "setado" STATE Especifica se a informação de estado deve ser mantida em pacotes que casem com a regra. keep state - funciona com TCP, UDP, e ICMP. modulate state - funciona apenas com TCP. PF irá gerar Números de Sequência Inicial (ISNs) seguros para pacotes que combinem com esta regra. synproxy state - faz proxy de pedidos de conexão TCP para ajudar a proteger servidores contra floods de pacotes SYN TCP spoofados. Essa opção inclui a funcionalidade keep state e modulate state NEGAR POR PADRÃO A prática recomendada ao configurar um firewall é usar uma política "negar por padrão". Isto é, bloquear tudo, e depois ir permitindo certos tipos de tráfego através do firewall. Esta é a abordagem recomendada por ser mais cautelosa, além de facilitar a configuração das regras. Para criar uma política de filtragem negar por padrão, as primeiras duas regras de filtragem devem ser: block in all block out all Isto irá bloquear todo o tráfego em todas interfaces em qualquer direção, de qualquer lugar para qualquer lugar PASSANDO TRÁFEGO O tráfego agora deve ser explicitamente permitido ou será barrado pela política padrão do firewall. É aqui que os critérios de filtragem como porta de origem/destino, endereço de origem/destino e protocolo entram em cena. Sempre que o tráfego tiver permissão de cruzar o firewall as regras devem ser escritas da maneira mais restritiva possível. Isso é para nos certificarmos de que o tráfego válido, e, somente tráfego válido terá permissão de passagem. Alguns exemplos: # Autoriza passagem de tráfego chegando em dc0 vindo da rede local /24, # e indo para a máquina OpenBSD com endereço IP Também permite # tráfego de retorno saindo via dc0. pass in on dc0 from /24 to pass out on dc0 from to /24 # Permite tráfego TCP chegando em fxp0 e indo para o servidor web # rodando na máquina OpenBSD. O nome da interface, fxp0, é usado como # endereço de destino, para que apenas pacotes destinados à # máquina OpenBSD casem com a regra. pass in on fxp0 proto tcp from any to fxp0 port www

11 11 Aula 8 VULNERABILIDADES NOS SERVIÇOS DE REDES 8.1. SERVIÇOS DE REDES Como já vimos na unidade anterior, serviços de redes são conjuntos de operações implementadas pelos protocolos através de uma interface, e são oferecidos e entregues à camada imediatamente superior. Os serviços definem o que uma camada é capaz de executar sem se preocupar com a maneira pela qual as operações serão executadas na camada superior. Fonte: Os serviços podem ser orientados a conexão ou não. Serviços relacionados à família TCP são orientados a conexão, enquanto serviços relacionados ao protocolo UDP são sem conexão. Figura 1. Infraestrutura de redes. Fonte: Os serviços são utilizados por diferentes aplicações, podendo uma aplicação utilizar vários serviços, como, por exemplo, um browser como o Mozilla Firefox. Ele utiliza, por exemplo, HTTP, SHTTP, DNS CONCEITOS Serviços orientados a conexão: é o serviço realizado pelo protocolo TCP. Antes da realização do envio de dados, um processo chamado handshaking cria uma conexão entre os hosts. Isto tem por objetivo preparar o receptor para o recebimento de pacotes. Esta prévia conexão verificará se todos os pacotes chegarão corretamente ao destino, e em caso negativo, solicitará o reenvio dos mesmos (quando o receptor recebe um pacote, ele envia uma mensagem confirmando o recebimento ao transmissor. No caso da confirmação não chegar, o pacote será reenviado), gerando uma transferência de dados muito confiável. É possível ainda, realizar um controle de fluxo e congestionamento, para os casos em que o receptor não suporta a velocidade de envio dos pacotes, ou quando algum roteador no caminho da rede está congestionado (é

12 12 enviada uma mensagem ao transmissor, falando para reduzir a velocidade ou interromper o envio de pacotes). Como exemplo de serviços orientados a conexão, TCP, temos: HTTP, FTP, Telnet. Serviços sem conexão: é o serviço do protocolo UDP (Protocolo de Datagrama de Usuário). Neste tipo de serviço, não há o processo de handshaking. Desta forma, a aplicação apenas envia dados para um host, e e assim não há como saber se todos os pacotes chegaram. É um processo bem mais rápido, por não haver a etapa da handshaking, mas é menos confiável, além ainda de não possuir a possibilidade de controlar o fluxo e o congestionamento como no TCP. Algumas aplicações que usam o UDP: conferência de vídeo e telefone por internet SERVIÇOS DE REDES CLIENTE-SERVIDOR GATEWAY Segundo Tanembaum, o nome geral para uma máquina que faz uma conexão entre duas ou mais redes e oferece a conversão necessária, tanto em termos de hardware e software, é um gateway. Em rede de computadores, um gateway ou porta de entrada, é um computador intermediário ou um dispositivo dedicado, que tem cmo responsabilidade fornecer alguns tipos de serviços. Entre as suas funcionalidades principais, destacam-se (a) a interligação de duas redes que possuem protocolos diferentes, (b) o compartilhamento da conexão de internet, roteadores, proxy, firewalls, etc. DHCP O protocolo DHCP (Dynamic Host Configuration Protocol ou Protocolo de configuração dinâmica de endereços de rede) é um serviço extremamente utilizado para realizar a atualização das configurações de rede em dispositivos que usem o protocolo TCP/IP. Sem utilizar o protocolo DHCP, o profissional de TI teria que configurar, manualmente, as propriedades do protocolo TCP/IP em cada dispositivo que esteja conectado a rede, denominado pelo protocolo como host. OUTROS SERVIÇOS Existem diversos outros serviços de rede cliente-servidor tais como proxy e firewall, que já foram vistos em outras sessões do curso SERVIÇOS DE REDES NA INTERNET WWW E HTTP A internet é um conjunto de computadores interconectados por diversas redes, com o objetivo de compartilhar as mais diversas informações. É um conjunto de redes que trabalham com o modelo de referência da arquitetura TCP/IP. Os serviços fornecidos pela web (WWW - World Wide Web) ganharam dimensões maiores nós últimos anos. No início da internet, as páginas trabalhavam somente através de texto. Mas com a identificação das suas possibilidades, novas tecnologias foram desenvolvidas e o protocolo HTTP passou a trabalhar com diversas informações, como imagens, sons e, atualmente, vídeo. Hoje em dia, todos os sites praticamente têm seus conteúdos com estas informações.

13 13 As informações que trafegam pela web foram aumentando, consequentemente, com o surgimento de novas tecnologias e com a demanda crescente de novas informações e conteúdos. FTP O FTP (File Transfer Protocol Protocolo de transferência de arquivos) é um protocolo utilizado na internet para acesso de arquivos remotos, e em servidores de arquivos locais nas organizações. O protocolo FTP permite transferir arquivos pela internet. Ao fazermos o download de um arquivo, normalmente utilizamos este protocolo FTP. Ele é também utilizado para que o usuário faça o upload de um arquivo de seu computador para um servidor na rede. Na internet, é possível encontrar vários programas gratuitos que fornecem os serviços de FTP. Através deste protocolo, é possível transferir arquivos, autenticar usuários e gerenciar arquivos e diretórios. DNS O DNS (Domain Name System ou Sistema de Nomes de Domínios) é um dos serviços mais importantes e mais utilizados da internet. É o sistema que realiza o gerenciamento de nomes hierárquico e distribuído e, é ainda responsável pela conversão do nome das páginas web para endereços IP. O modelo de referência TCP/IP possui dois níveis de DNS, o primário e o secundário. DNS primário é o principal; quando digitamos o endereço da página web pelo DNS primário, localizamos a página solicitada através do navegador. O DNS secundário funciona da mesma forma que o primário, porém é utilizado quando este não é encontrado; ele nós oferece mais segurança. O (electronic mail) é um serviços que permite ao usuário enviar e receber informações por meio de uma rede de computadores. Com este serviço, é possível transmitir informações pela internet ou pela rede interna de uma empresa, a intranet. A trocar é algo muito comum no mundo digital. Olhar a caixa de diariamente é uma atividade normal. A ferramenta de comunicação conquistou os usuários ao redor do mundo e se tornou indispensável no dia a dia dos negócios. IMAP No início do correio eletrônico, o protocolo POP (Post Office Protocol), foi bastante utilizado para que as mensagens do fossem transferidas para o computador local do usuário. A versão mais utilizada do protocolo POP é o POP3. Com a alta demanda do correio e com o surgimento de novos dispositivos e mobilidade, surge um protocolo alternativo para correio eletrônico, o IMAP. Hoje o mais utilizado é o IMAP4. Segundo Tanenbaum esse protocolo pressupõe que todas as mensagens de correio eletrônico permaneçam no servidor, em várias caixas de correio. Mesmo baixando as mensagens para o seu computador local, elas ficarão disponíveis no servidor de . Com o IMAP4 é possível trabalhar com os modos de mensagens off-line, on-line e desconectado.

14 14 SMTP Segundo Scrimger, o protocolo SMTP realiza a transferência de s de um sistema de correio eletrônico para outro. Ele assegura um método eficiente e confiável. A mensagem é armazenada no servidor SMTP até que seja transferida para o servidor de destino. Ele é baseado na entrega fim a fim, isto é, conecta ao servidor de destino para transferir a mensagem. TELNET TELNET é um protocolo utilizado pelos usuários e administradores no acesso remoto entre o cliente e o servidor. Já não é tão utilizado e sua grande utilização deveu-se à sua estabilidade. O TELNET opera na camada de aplicação e utiliza o protocolo TCP para transportar as informações. A conexão com um servidor de TELNET é normalmente iniciada por um cliente, quando ele fornece acesso a programas do servidor, login simultâneo, entre outros. Opera tanto graficamente quanto com linhas de comando, em que as instruções são enviadas para serem executadas no servidor. Em geral, os comandos básicos tem nomes curtos. SSH O protocolo SSH oferece uma funcionalidade semelhante ao TELNET tendo porém duas melhorias significantes e importantes: a comunicação segura e a transferência de dados adicionais e independentes pela mesma conexão. Comer diz que, o SSH oferece três mecanismos que formam a base dos serviços que ele fornece: Protocolo de camada de transporte - fornece autenticação de servidor, confidencialidade de dados e integridade de dados com privacidade de encaminhamento perfeita (ou seja, se uma chave for comprometida durante uma sessão, o conhecimento não afeta a segurança das sessões anteriores). Protocolo de autenticação de usuário - autentica o usuário para o servidor. Desta forma o servidor pode entender exatamente que o usuário está tentando formar uma conexão. Protocolo de conexão - multiplexa diversos canais de comunicação lógicos através de uma única conexão SSH subjacente. IPV4 E IPV6 Na internet, cada computador conectado à rede tem um endereço IP. Todos os endereços IPv4 possuem 32 bits. Os endereços IP são atribuídos à interface de rede do computador, normalmente, às placas de rede. Para Tanenbaum, é importante observar que um endereço IP não se refere realmente a um computador. Na verdade, ele se refere a uma interface de rede; desta forma, se um computador estiver em duas redes, ele precisará ter duas interfaces de rede para possuir dois endereços IP. Com o passar do tempo, o IPv4 passou a apresentar algumas limitações com o aumento demasiado do número de computadores na internet nos últimos anos. Os endereços de 32 bits foram se esgotando com o passar dos anos e estima-se que esteja esgotado. Hoje em dia o protocolo IPv6 vem sendo implantado gradativamente na internet.

15 15 Segundo Albuquerque, o protocolo foi desenvolvido para atender não apenas às necessidades atuais, mas também às necessidades das aplicações futuras. As principais características do IPv6 são: (a) protocolos simples; (b) endereços de 128 bits para identificar as máquinas; (c) sem restrições quanto à topologia da rede; (d) recursos para autenticação e criptografia dos datagramas; (e) independe das características do meio de transmissão; (f) modo básico de operação baseado em datagramas; (g) eficiente em redes de alta e baixa velocidade, entre outros AMEAÇA E VULNERABILIDADES DOS SERVIÇOS DE REDES Como vimos os serviços são essenciais para o que temos hoje de internet. Entretanto, não podemos esquecer que os protocolos que permitem o funcionamento dos diversos serviços estão sujeitos a ameaças sempre, bem como possuem vulnerabilidades conhecidas e desconhecidas que podem ser exploradas. Como ameaças podemos citar algumas tais como perda de dados, negação de serviços, vírus, invasões, fraudes e roubo de informações, vazamento de Informações, perda de confidencialidade/integridade/disponibilidade/autenticidade. Com relação as vulnerabilidades, cada serviço e seus protocolos possuem suas vulnerabilidades conhecidas, pontos fracos que podem ser exploradas muitas vezes até com ferramentas para a exploração. Não podemos ainda esquecer que existem as vulnerabilidades desconhecidas, aquelas que ainda não foram descobertas, mas que estão ali, quietas, esperando serem descobertas, exploradas e concretizarem alguma ameaça, vindo a causar um impacto que muitas vezes não era esperado VULNERABILIDADES NO DNS DNS (Domain Name System) é um serviço essencial para o bom funcionamento da Internet. Essa importância, associada à natureza das informações que ele armazena, o tornam um dos alvos mais atraentes para atacantes. Desse modo, uma configuração adequada dos servidores DNS é crucial para aumentar a segurança e colaborar para o bom funcionamento da rede. Servidores DNS expostos à Internet estão sujeitos a uma série de riscos, dentre os quais destacam-se: Vazamento de informações sensíveis sobre a rede da organização através de transferências de zonas DNS. Essas informações podem ajudar um atacante a identificar os pontos fracos da rede e a escolher futuros alvos. Ataques de envenenamento de cache, que levam um servidor a armazenar informações forjadas. Tais informações podem ser usadas para comprometer a segurança de clientes que façam consultas a esse servidor. Comprometimento do servidor através de vulnerabilidades no software de DNS, o que pode facilitar outras quebras de segurança no restante da rede da organização. Aprenda um pouco mais assistindo ao vídeo a seguir.

16 REGRAS BÁSICAS a. Possuir políticas de segurança; b. Realizar a instalação e configuração de acordo com as necessidades de segurança da organização (Hardening); c. Realizar sistematicamente a educação dos usuários; d. Ter os relógios dos servidores ajustados; e. Monitorar os logs continuamente. Aprenda mais sobre Práticas de Segurança para Administradores de Redes Internet, no site a seguir. Aula 9 CONFIGURAÇÃO DE SEGURANÇA DE SERVIÇOS DE REDE Veremos agora técnicas e tecnologias para o monitoramento de dispositivos e recursos de redes para que possamos compreender as técnicas e realizar a configuração de ferramentas de sincronismo de tempo, centralização de logs e monitoria de serviços GERENCIAMENTO DE LOGS O uso de serviços de log centralizados é importante para o gerenciamento de falhas nos dispositivos e no gerenciamento da segurança com a preservação do registro de eventos em casos de falhas de sistema ou comprometimento de algum dispositivo da rede. Cada organização possui requisitos diferentes de gerenciamento de logs, que determina o detalhamento dos logs coletados, por quanto tempo serão armazenados e como serão analisados. No gerenciamento de logs, o objetivo é concentrar em um sistema todos os eventos dos equipamentos da rede, softwares de segurança, sistemas operacionais e aplicativos. É necessário concentrar esforços para que esses dados não sejam comprometidos por sistemas malintencionados. Eles serão úteis na análise de incidentes de segurança ou falhas computacionais. Para isso é necessário que o servidor de logs esteja protegido por um sistema de controle de perímetro, já mencionado nas sessões anteriores. Também é necessária a realização de uma configuração segura do servidor, que veremos adiante. Aprenda mais com os vídeos Segurança em Linux Gerenciamento de Logs e A Importância dos Logs nos Sistemas de Informação (em espanhol) a seguir. Para definir a estratégia de logs, recomendamos o artigo Guide to

17 17 Computer Security Log Management, de Karen Kent e Murugiah Souppaya, do NIST (National Institute of Standarts and Technology) em SYSLOG-NG O syslog-ng é uma ferramenta distribuída com a licença de software livre, bastante utilizada atualmente. É uma solução que, pela sua qualidade do código, permite a criação de um servidor de logs na rede para vários clientes. O syslog-ng é uma implementação do protocolo Syslog, definido pela RFC 5424 The Syslog Protocol. Essa RFC define o protocolo e uma série de particularidades, incluindo a porta padrão do protocolo (UDP 514) e as facilidades e severidades. As facilidades são categorias que indicam a origem da mensagem. Através delas é possível separar os registros de log em arquivos separados, organizando melhor as informações. A lista a seguir apresenta todas as facilidades definidas na RFC, com seus respectivos códigos e siglas: Código Nome Sigla 0 kernel messages Kern 1 user-level messages user 2 mail system mail 3 system daemons daemon 4 security/authorization messages auth 5 messages generated internally by syslogd syslog 6 line printer subsystem Lpr 7 network news subsystem News 8 UUCP subsystem Uucp 9 clock daemon Cron 10 security/authorization messages Authpriv 11 FTP daemon ftp 12 NTP subsystem Ntp 13 log audit Audit 14 log alert Alert 15 clock daemon Cron 16 local use 0 local0 17 local use 1 Local1 18 local use 2 Local2 19 local use 3 Local3 20 local use 4 Local4 21 local use 5 Local5 22 local use 6 Local6 23 local use 7 Local7

18 18 Além destas facilidades, existem ainda as severidades, indicando o nível de profundidade ou detalhamento do registro de log correspondente. As severidades definidas no padrão estão na tabela abaixo: Código Descrição Sigla 0 Emergency emerg 1 Alert alert 2 Critical crit 3 Error err 4 Warning warning 5 Notice Notice 6 Informational Info 7 Debug debug Quando uma severidade 0 é definida no sistema, significa que apenas as mensagens emergenciais serão registradas. À medida que o código da severidade vai aumentando, temos mais detalhes do sistema e por consequência a quantidade dos registros aumenta até a severidade 7, onde todas as ações são registradas. A severidade 7 é útil no auxílio de resolução de problemas, como quando um determinado sistema não está se comportando como se espera. Fonte: O syslog-ng é suportado por ambientes heterogêneos, podendo ser configurado em máquinas Linux, BSD e Unix como agente e servidor. Quando o syslog-ng é utilizado como agente ou servidor, é possível que as mensagens sejam transmitidas de forma criptografada na rede. É possível também sua configuração em sistemas MS Windows, mas somente como agente. O fluxo do syslog-ng é ter uma origem ou um conjunto delas, um filtro e um destino ou um conjunto deles, conforme é visto na figura.

19 19 Figura 2. Fluo do syslog-ng. Aprenda um pouco mais assistindo ao vídeo a seguir sobre sistema de log do Linux, o rsyslog LOGS DO WINDOWS Importante questão a ser considerada é o registro de logs em sistemas Windows. Infelizmente, o padrão Syslog é um padrão Unix, de modo que os sistemas Windows não o utilizam de forma nativa. Dessa forma, não é possível, utilizando apenas os recursos do sistema operacional, redirecionar os registros de log gerados por um sistema Windows para o syslog-ng, como foi feito antes para sistemas Unix. Apesar disso, existem algumas ferramentas que permitem a compatibilidade entre o sistema de logs do Windows e o syslog-ng. Uma ferramenta simples e gratuita é o Winlogd. WinLogd é um sistema capaz de capturar os logs do Microsoft Windows e enviá-los para o sistema de syslog Unix, como o syslog-ng. Uma vantagem importante da centralização de logs é a possibilidade de analisar a correlação entre eles, de modo a confrontar logs de diferentes origens e chegar a conclusões interessantes sobre o funcionamento da rede. Aprenda mais no site, em inglês, sobre winlogd, um EventLog do Windows para serviço de Syslog NTP NTP (Network Time Protocol ou Protocolo de Tempo para Redes), é o protocolo que permite a sincronização dos relógios dos dispositivos de uma rede como servidores, estações de trabalho, roteadores e outros equipamentos à partir de referências de tempo confiáveis. É um protocolo para sincronização dos relógios dos computadores, baseado em uma fonte confiável: os relógios atômicos do Observatório Nacional, que definem a hora legal brasileira. A primeira vista isto pode parecer algo simples como "consultar o tempo em um servidor" e "ajustar o relógio local" de tempos em tempos. Na verdade, algumas implementações do SNTP, a versão simplificada do protocolo, fazem isso e apenas isso. Mas o NTP em sua forma completa é muito mais complexo.

20 20 Os seus diversos componentes do sistema colaboram para, entre outras,: (a) discernir, dentre um conjunto de servidores, quais fornecem o tempo correto e quais estão mentindo; (b) escolher, dentre os servidores que fornecem o tempo correto, qual é a melhor referência; (c) identificar, à partir de métodos criptográficos, servidores de tempo conhecidos e confiáveis, evitando possíveis ataques; (d) formar, em conjunto com outros servidores NTP, uma topologia simples, confiável, robusta e escalável para a sincronização de tempo. Acesse os sites a seguir para aprender mais e conhecer as configurações. Confira! O site armazena o projeto NTP, que desenvolve uma ferramenta de sincronização de relógios para computadores Linux, Unix, VMS e Windows. O NTP pode ser configurado como servidor, como cliente e/ou as duas funcionalidades ao mesmo tempo. Assim, podemos buscar uma fonte de relógio externa, se assim desejarmos, e redistribuir essa fonte de hora confiável para a configuração dos relógios das máquinas da rede interna. A configuração do NTP ocorre com a edição do arquivo ntp.conf, localizado normalmente em /etc/ntp.conf nos servidores Unix. Segue um exemplo de configuração do NTP utilizando como referência os relógios do Comitê Gestor da Internet do Brasil (CGI.br): ================================================ # memória para o escorregamento de frequência do micro # pode ser necessário criar esse arquivo manualmente com # o comando touch ntp.drift driftfile /etc/ntp.drift # estatísticas do ntp que permitem verificar o histórico # de funcionamento e gerar gráficos statsdir /var/log/ntpstats/ statistics loopstats peerstats clockstats filegen loopstats file loopstats type day enable filegen peerstats file peerstats type day enable filegen clockstats file clockstats type day enable # servidores públicos do projeto ntp.br server a.ntp.br iburst server b.ntp.br iburst server c.ntp.br iburst # outros servidores # server outro-servidor.dominio.br iburst # configurações de restrição de acesso restrict default kod notrap nomodify nopeer ===================================== Aprenda mais assistindo aos vídeos a seguir sobre NTP e.como configurar SNTP para sincronização por data e hora.

21 21 Aula 10 MONITORAMENTO DE SERVIÇOS A partir do momento em que os riscos existentes por ameaças tanto externas quanto internas são verificados e analisados, as empresas decidem utilizar sistemas que podem monitorar redes e detectar ataques de qualquer lugar de onde partam. As práticas de monitoramento de segurança não estão abertas a considerações para as empresas que são governadas por restrições normativas; são uma exigência. Por diversas razões o monitoramento de segurança e a detecção de ataques devem ser uma questão importante para empresas. Elas incluem os impactos e consequências que organizações podem enfrentar se um ataque à sua infraestrutura tivesse êxito. Não apenas as operações podem ser afetadas, mas, inclusive, sofrer a perda de sua reputação, uma das piores perdas para uma organização. Veremos nesta sessão algumas ferramentas de monitoramento MONITORAMENTO DE SERVIÇOS As ferramentas de monitoramento são um subconjunto do universo de ferramentas de gerenciamento que estão focadas em obter informações sobre elementos de infraestrutura de TI. Entre as ferramentas de monitoramento, destacamos algumas com o código-fonte aberto e distribuído sob a licença GNU GPL NAGIOS O Nagios é uma ferramenta de gerenciamento que monitora os elementos e serviços de rede. ΩProtocol (FTP); Secure Shell (SSH); Hypertext Transfer Protocol (HTTP); Simple Mail Transfer Protocol (SMTP); Post Office Protocol version 3 (POP3); Network Time Protocol (NTP); Internet Control Message Protocol (ICMP); ou através de plugins adicionais que podem ser desenvolvidos e integrados ao Nagios. Diversos plugins estão disponíveis na internet ( e podem ser utilizados pelo administrador para testes mais completos. A interatividade com o administrador baseia-se no envio de mensagem eletrônica, alerta no console e mensagem SMS para celulares sobre o problema ocorrido. O grande destaque dessa ferramenta é a possibilidade de classificação de grupos de usuários para receber relatórios e alertas do sistema. Por exemplo, o problema de um determinado servidor pode ser comunicado ao responsável pelo serviço, bem como para uma equipe responsável pelos equipamentos ou ativos de rede. Toda a sua configuração é realizada em arquivos de texto e, a interface com o usuário, realizada em um console web. É possível obter relatórios de disponibilidade e planejar ações corretivas para os problemas ocorridos em equipamentos da rede. A figura a seguir apresenta a tela principal do Nagios onde se pode ter uma visão abrangente do estado dos servidores que estão sendo monitorados pela ferramenta.

22 22 Fonte: Existe ainda o projeto Fully Automated Nagios (FAN - ), que tem por objetivo prover uma instalação facilitada do Nagios e ferramentas auxiliares providas pela comunidade. O projeto FAN disponibiliza inclusive uma imagem em CDROM (ISO), que facilita a instalação de um servidor Nagios. Aprenda mais sobre o Nagios assistindo aos vídeos: ZABBIX O Zabbix é uma ferramenta de gerenciamento que monitora os elementos e serviços de rede. Os dados são coletados através de consultas ao SNMP (Simple Network Management Protocol), de ferramentas de testes que simulam o funcionamento das aplicações FTP (File Transfer Protocol), SSH

23 23 (Secure Shell), HTTP (Hypertext Transfer Protocol) ou através de plugins adicionais que podem ser desenvolvidos e integrados ao Zabbix. Todos os dados coletados pelo Zabbix são armazenados em uma base de dados SQL (Structured Query Language), permitindo a geração de relatórios pré-definidos e personalizados, e ainda a utilização de ferramentas especializadas para gerar relatórios. Entre os relatórios padrão gerados pelo Zabbix, temos os relatórios de disponibilidade, de nível de serviços, de tráfego de rede e de utilização de recursos, como CPU (Central Processing Unit) e memória. Toda a configuração do Zabbix é realizada através de uma interface web clara e amigável. Os alarmes são emitidos no console web do usuário, via recursos de áudio, mensagens eletrônicas e/ou envio de SMS (Short Message Service) para aparelhos celulares. O Zabbix permite a geração de gráficos on-line e oferece ao administrador a possibilidade de criar mapas personalizados da rede. A seguir imagem de uma tela de monitoramento do Zabbix. Fonte: Aprenda mais sobre o uso do Zabbix assistindo aos vídeos:

24 CACTI Ferramenta de monitoração criada por Ian Berry ( ). Surgiu como uma opção de front end (interface gráfica com o usuário para interagir com programas) que apresenta os gráficos dos dados obtidos através de consultas SNMP ou de scripts. Esses dados são armazenados pelo Round-Robin Database Tool (RRDTool - Software que armazena e mostra dados em série obtidos em um determinado período de tempo). O Cacti disponibiliza um ambiente de configuração e operação agradável e acessível (interface web escrita em PHP), com controle de acesso por nível de usuário. As informações de configuração são armazenadas em um banco de dados SQL. Sua arquitetura prevê a possibilidade de expansão através de plugins, que adicionam novas funcionalidades, tornando-o ainda mais completo. O Cacti é muito usado em monitoramento de links WAN, por conta da sua facilidade na criação de gráficos para monitorar a banda nos links contratados por operadoras. Apesar dessa funcionalidade importante, o Cacti pode ainda monitorar uma série de parâmetros importantes, como consumo de CPU, memória e espaço em disco, entre outros. A sua capacidade de apresentar os dados de maneira gráfica o torna um excelente complemento para o Nagios na tarefa de monitoramento. Assista ao vídeo para conhecer mais sobre o Cacti: NTOP O Network Traffic Probe (Ntop - ) é uma ferramenta livre para análise de tráfego de rede. Com desenvolvimento iniciado em 1998 por Luca Deri, o Ntop opera nas plataformas Unix (incluindo Linux, BSD, Solaris e MacOSX) e Microsoft Windows. A coleta de informações é feita através da análise do tráfego das informações que passam pelas interfaces da rede local.

25 25 Fonte: Principais características: (a) Suporte ao Cisco NetFlow/sFlow; (b) Identificação de sub-redes e seus usuários; (c) Suporte ao WAP (Wireless Application Protocol); (d) Ordenação de tráfego. Possui um servidor HTTP (Hypertext Transfer Protocol) e HTTPS (Hypertext Transfer Protocol Secure) nativo, que apresenta uma série de gráficos do tráfego e estatísticas da rede. Possui ainda um modo interativo no console de texto. Principais objetivos: (a) Monitoramento e medida do tráfego; (b) Planejamento e personalização da rede; (c) Detecção de violações na segurança. A sua versão mais moderna recebe o nome de ntong a próxima geração.

26 26 Para aprender mais sobre ntong assista aos vídeos: AVALIAÇÃO As ferramentas apresentadas podem ser classificadas em três grupos: (a) Ferramentas de monitoração de serviços, como Nagios e Zabbix. (b) Ferramentas especializadas na geração de gráficos, como Cacti e Zabbix. (c) Ferramentas de classificação de tráfego, como Ntop. O Zabbix é uma ferramenta com algumas características que permitem que ela seja classificada também como ferramenta especializada na geração de gráficos, ainda que estes gráficos possuam menos recursos funcionais que os gráficos do Cacti. Importante, para o profissional que for trabalhar com segurança de redes saber operar com estas ferramentas pois elas colaborarão na identificação do status da sua rede e a partir desta análise identificar possíveis tentativas de ataques FERRAMENTAS DE MONITORAMENTO DE SEGURANÇA Vamos apresentar algumas ferramentas de monitoramento de segurança para que iniciem o conhecimento da existência de ferramentas que auxiliam o trabalho de garantir a segurança das nossas redes. Algumas destas ferramentas serão tratadas mais detalhadamente nas próximas sessões WIRESHARK O Wireshark (anteriormente chamado de Ethereal - ) funciona em modo promíscuo para capturar todo o tráfego de um domínio de broadcast TCP. O primeiro passo na avaliação de vulnerabilidades é ter uma imagem clara do que está acontecendo na rede. Filtros personalizados pode ser ajustados para interceptar o tráfego específico, por exemplo, para capturar a comunicação entre dois endereços IP, ou capturar consultas DNS baseados na rede. Os dados de tráfego podem ser despejado em um arquivo de captura, que pode ser revisto mais tarde. Os filtros adicionais também podem ser definidos durante a revisão. Normalmente, o testador está à procura de endereços IP vadios, pacotes com endereços forjados, pacotes desnecessários, e geração de pacotes suspeitos a partir de um único endereço IP. O Wireshark dá uma visão ampla e clara do que está acontecendo na sua rede. Assista ao vídeo sobre o Wireshark e descubra como instalar.

27 METASPLOIT É um projeto de segurança de informação com a finalidade de analisar de vulnerabilidades de segurança e facilitar testes de penetração (pentests) e no desenvolvimento de assinaturas para sistemas de detecção de intrusos. O Metasploit é uma ferramenta estruturada em código aberto, que realiza exames rigorosos contra um conjunto de endereços IP. Após a identificação das conexões e pacotes da rede usando as ferramentas de monitoramento, vamos para o sistema operacional no nível da aplicação. Ao contrário de muitas outras, pode também ser usado para técnicas anti-forenses. Programadores experientes podem escrever uma peça de código explorando uma vulnerabilidade particular, e testá-la com o Metasploit para ver se é detectado. Este processo pode ser invertido tecnicamente quando um vírus ataca utilizando alguma vulnerabilidade desconhecida, o Metasploit pode ser usado para testar o antídoto para ele. Assista ao vídeo sobre MetaSploit - tutorial for beginners: OPENVAS O Nessus scanner é um utilitário famoso e comercial, a partir do qual o OpenVas (Open Vulnerability Assessment System - Sistema Aberto de Avaliação de Vulnerabilidade - ) ramificou-se alguns anos atrás pa ra permanecer aberto. Embora o Metasploit e o OpenVAS sejam muito semelhantes, existe uma diferença distinta entre eles. Fonte: O OpenVAS é dividido em dois componentes principais: um scanner e um gerente. O scanner pode residir no alvo e se alimentar de descobertas de vulnerabilidade para o gerente. O gerente recolhe os dados obtidos através de vários scanners e algorítimos, e aplica a sua própria inteligência para criar um relatório detalhado.

28 28 Fonte: No mundo da segurança, o OpenVAS é muito valorizado por ser muito estável e confiável para detectar as falhas de segurança mais recentes, e para fornecimento de relatórios e insumos para corrigi-los. Para saber mais assista aos vídeos NMAP Este scanner é capaz de elaborar e executar análises em um nível granular de TCP. É consagrado na verificação da assinatura de SO e versão, com base nas respostas de rede. Fonte: O Nmap é eficaz o suficiente para detectar dispositivos remotos, e na maioria dos casos identifica corretamente firewalls e roteadores, além de sua marca e modelo. Os administradores de rede podem usar o Nmap para verificar quais portas estão abertas, e também se essas portas podem ser exploradas ainda mais em ataques simulados. A saída é um texto claro e detalhado.

29 29 Para saber mais acesse o Guia de Referência do Nmap: e assista aos vídeos: AIRCRACK-NG A Infraestrutura de hoje em dia possui dispositivos wifi no centro de dados, bem como nas instalações das empresas para facilitar a mobilidade dos usuários. Apesar da segurança WPA-2 ser considerada adequada para os padrões de uma WLAN, configurações incorretas e o uso de senhas simples, deixa essas redes vulneráveis a ataques. Aircrack-ng é uma suíte de utilitários que atua como um sniffer e decodificador de pacotes. Uma rede sem fio alvo tem seu tráfego de pacote submetido a captura de detalhes vitais sobre a criptografia da rede. Um decodificador é então utilizado como força bruta no arquivo capturado, para a tentativa de descobrir as senhas. O Aircrack-ng é capaz de trabalhar na maioria das distribuições Linux, mas a do Kali Linux é altamente preferido pelos profissionais de segurança. Fonte:

30 30 Conheça, como descobrir a senha wifi com aircrack: KISMET O Kismet é uma ferramenta de detecção de redes e intrusos, sniffer e analisador de banda para redes Wi- Fi. É uma das ferramentas mais utilizadas que apresentam melhores resultados e gráficos quando você deseja analisar redes Wi-Fi b/a/g/n. Por fim, ela suporta uma grande variedade de placas de rede Wi-Fi além de rodar em praticamente todos os Sistemas Operacionais do mercado. Ele ainda suporta uma série de plugins, abrindo portas para integração com outras ferramentas desenvolvidas pelo mundo. Fonte: Assista aos vídeos abaixo e aumente seu conhecimento sobre KISMET: Aula 11 AUTENTICAÇÃO O processo de identificação de usuários, autenticação, autorização e auditoria é essencial para garantir a segurança de aplicações e serviços, de modo que somente usuários previamente cadastrados, identificados e autenticados podem ter acesso aos recursos computacionais que lhes foram autorizados pelo responsável

31 SISTEMA AAA O processo de controlar o acesso, garantindo que a origem dos dados é a de quem alega ser, é um dos objetivos da autenticação. Garantir o uso autorizado de recursos e o registro de todas as atividades dentro de um sistema são tarefas dos sistemas conhecidos por: Autenticação, Autorização e Auditoria (AAA) AUTENTICAÇÃO A autenticação é um processo que tem por objetivo garantir que um usuário é realmente quem diz ser. Esse é um processo básico e fundamental quanto tratamos de segurança de sistemas e serviços, pois basta um usuário usurpar as credenciais de outro usuário que possui maiores privilégios para ser gerado um grave incidente de segurança. O processo de autenticação em geral se baseia em três princípios básicos para permitir ao usuário provar a sua autenticidade. Estes princípios são: ALGO QUE VOCÊ SABE Nesse princípio, o sistema solicita ao usuário que informe algo que somente aquele usuário sabe. O exemplo mais comum desse princípio são as senhas e suas variações, OTP (Senha descartável, em inglês: One-time password OTP, é uma senha que perde a validade após um processo de autenticação) e passphrases. Apesar de ser o mais barato de implementar, pois pode ser implementado inteiramente via software, em geral é o menos seguro, pois um atacante pode tentar adivinhar a senha de um usuário. Como o cérebro humano é limitado, os usuários tendem a escolher senhas fáceis de lembrar. ALGO QUE VOCÊ TEM Aqui o usuário deve apresentar algo para o sistema que lhe foi dado no momento em que se registrou para obter acesso ao sistema. Dessa forma, ao reapresentar o mesmo objeto, o usuário estaria comprovando que é realmente quem diz ser. Normalmente, são combinados com uma senha (chamada de PIN), de modo que não possa ser usado caso seja roubado. Nessa categoria, são muito comuns os smartcards, chips e tokens. São considerados mais seguros que o primeiro, pois para um usuário se passar por outro, deve obter o objeto que o identifica e a senha correspondente. ALGO QUE VOCÊ É Essas são consideradas as formas mais seguras de autenticação, pois envolvem uma característica intrínseca ao usuário. Em geral são chamadas de biometrias. Alguns exemplos: impressões digitais, formato da íris, voz, face etc. Apesar de consideradas seguras, devem ser utilizadas de forma cuidadosa, pois o seu uso indiscriminado pode criar uma falsa sensação de segurança. Um leitor de impressões digitais pode ser enganado com uma impressão digital falsa, caso não tenha um dispositivo que garanta que o dedo em questão é vivo. Ou o mesmo leitor, caso esteja controlando uma porta, pode ser arrancado do seu lugar e a porta aberta por uma mera junção de dois fios.

32 32 AUTORIZAÇÃO O usuário obtém acesso somente aos recursos previamente definidos pelo gestor do sistema. A autorização corresponde a um processo seguinte à autenticação, onde o usuário obtém acesso aos recursos de acordo com o nível de acesso que lhe foi designado por um administrador ou gestor. Dessa forma, uma vez corretamente identificado, o usuário pode ter acesso a determinados recursos. AUDITORIA A auditoria por fim corresponde ao processo de verificação contínua se os acessos concedidos estão corretos e se não há acessos indevidos. Normalmente temos um auditor que periodicamente verifica as trilhas de auditoria, que são registros feitos pelos sistemas de autenticação e autorização, contendo todos os acessos realizados pelos usuários do ambiente. Através de um processo consistente de AAA, podemos ter um ambiente com um nível de segurança adequado, sem comprometer a integridade, a confidencialidade e a disponibilidade dos sistemas SISTEMAS DE AUTENTICAÇÃO ÚNICA Com o uso cada vez mais intenso de sistemas informatizados para soluções comerciais, novos sistemas vão surgindo em implementações que automatizam os processos do negócio. A implementação de um mecanismo único de autenticação é desejável para simplificar a gerência de usuários e senhas dos clientes dos sistemas, assim como para simplificar e aumentar a eficiência do gerenciamento das contas e suas respectivas senhas pelo administrador. Nesse cenário, é importante que as soluções informatizadas possam integrar uma solução de autenticação única para todos os sistemas. Dessa forma, um usuário, uma vez autenticado, deverá ter acesso a todos os sistemas que tiver autorização para acessar. Existem várias soluções de implementação de SSO, como NTLM, uma solução proprietária da Microsoft que abriu a especificação para parceiros implementarem soluções integradas. Outros sistemas baseado em Kerberos são Smart Card e OTP Token OTP One Time Passwords (OTP) é um mecanismo que utiliza senhas descartáveis. Para cada acesso é gerada uma senha que logo em seguida perde o valor. Assim, se a senha de um usuário for capturada, não servirá para comprometer o sistema. Existem várias maneiras de gerar as senhas, como, por exemplo, o uso de calculadoras Java, que podem estar em sistemas embarcados como um PDA ou um celular. O problema dessas implementações é o fato de o usuário ter a necessidade de estar perto da calculadora para ter acesso ao sistema.

33 S/KEY Sistema de autenticação OTP desenvolvido para sistemas operacionais Unix e derivados, como o caso do Linux. A proposta do S/Key é obter um conjunto de senhas em que cada uma só pode ser utilizada uma vez. O processo de inicialização do S/Key funciona da seguinte forma: O usuário provê um segredo W, a base de todo o processo, que nunca pode ser comprometido. Uma função Hash é aplicada c vezes em cima de W, concatenando com um elemento randômico criado durante a inicialização. O usuário obtém n senhas correspondentes a cada passagem da função Hash. Dessa forma, o usuário utiliza a senha n para a primeira autenticação, a senha n-1 para a segunda e assim sucessivamente, até esgotar as senhas, quando o processo deverá ser reinicializado. Fonte: Considerando que a partir de n é inviável deduzir n-1 (envolve reverter uma função Hash), caso n seja comprometida, ela já não mais poderá ser usada, pois cada senha só é usada uma vez. Para facilitar a digitação por parte do usuário, os bytes de cada Hash são convertidos para palavras, utilizando uma tabela de conversão padronizada. Esta tecnologia consiste em fornecer uma senha de acesso diferente a cada determinado intervalo de tempo (1 minuto, 30 segundos, etc.), permitindo que o usuário se conecte naquele instante. Fonte:

34 34 As tecnologias de one-time password tornam sem efeito a ação de sniffers, já que a cada conexão uma nova senha deve ser informada, permitindo que seja utilizado um canal inseguro. Para a geração das senhas são utilizados tokens no formato de cartões, chaveiros ou aparelhos semelhantes a calculadoras. Assista aos vídeos e conheça mais sobre One Time Password (OTP): SMART CARD O Smart Card, ou Cartão Inteligente, é um cartão de plástico, semelhante a um cartão de crédito, com um microchip embutido na superfície. O conceito de Smart Card foi patenteado pelo Dr. Kunitaka Arimura no Japão, em Embora existam muitos tipos, qualquer Smart Card pode ser classificado quanto à forma de conexão com a leitora: Por contato físico: entende-se a inserção do cartão na leitora, onde os contatos dos terminais do cartão com os da leitura permitem a troca de dados entre ambos. É importante salientar que a maioria dos Smart Cards possuem terminais para esse tipo de conexão. Sem contato físico: se refere aos cartões que não necessitam de Fonte: contato físico com a leitora, o que indica que a conexão é feita através de ondas eletromagnéticas. A ausência do ato de inserção traz benefícios, como economia de tempo e preservação dos terminais do cartão. Um exemplo interessante deste tipo de cartão são os passaportes eletrônicos. Por serem muito mais baratos, os cartões por contato ainda são os mais utilizados, oferecendo um nível razoável de segurança e abrangendo uma ampla gama de aplicações. Os cartões por contato são também chamados de Cartões de Memória (Memory Cards). Os Smart Cards que não fazem uso de contato físico são tipicamente Cartões Microprocessados. Embora não seja do escopo dos cartões de identificação, a modalidade de transmissão sem contato permite que o cartão propriamente dito seja apenas um portador do chip, ou seja, a presença do chip em anéis, relógios, braceletes e tornozeleiras ainda não quebra o conceito de Smart Card. Os cartões inteligentes por contato físico podem ser utilizados com leitores conectados em um computador pessoal, a fim de autenticar um usuário. Softwares de navegação na internet também podem utilizar a tecnologia do Smart Card para complementar SSL (Secure Sockets Layer), utilizado para melhorar a segurança em transações na internet. Como o cartão inteligente possui arquitetura de hardware e software, ele interage com o sistema, permitindo ou negando acesso quando necessário. Ele pode ser programado, por exemplo para que após cinco tentativas de autenticação sem sucesso, o conteúdo da memória seja destruído, inutilizando-o.

35 35 Hoje em dia é muito comum Smart Cards nos nossos cartões de crédito, em chips de celulares GSM ou em cartões emitidos pelo governo, como o e-cpf e o e-cnpj, além Registro de Identificação Civil (RIC). Nesses casos, o cartão contém um certificado digital padrão ICP-Brasil. Em alguns desses cartões, existe um sistema complexo de proteção do material criptográfico contido dentro do cartão, que se apaga caso o cartão seja aberto ou haja erro na senha de acesso em um determinado número de vezes. Normalmente, as chaves privadas nunca saem de dentro do cartão, que possui um chip capaz de realizar operações criptográficas dentro do próprio cartão. Para conhecer mais sobre o que é o Smart Card, assista ao vídeo: PROTOCOLO KERBEROS Protocolo de autenticação de rede desenvolvido em 1983 pelo MIT (Massachusetts Institute of Technology), como parte de um projeto de segurança que visava produzir um ambiente de TI seguro e amplamente distribuído pelo campus da universidade. Na mitologia Grega, Kerberos era um cachorro que possuía três cabeças e era responsável por vigiar os portões de Hades, tendo como sua principal missão evitar a entrada e saída de pessoas ou de coisas indesejáveis. Fazendo uso de criptografia de chave privada, provê autenticação em redes abertas mediante uso de algoritmo de autenticação de três vias (TTP Trusted Third Party), proposto por Needham e Schroeder. Todos os equipamentos envolvidos devem confiar mutualmente no sistema de autenticação central provido pelo Kerberos. Esse conceito é semelhante a um cartório no mundo real, ou seja, a sociedade confiará na assinatura de um tabelião para afirmar que os envolvidos realmente se identificaram (autenticaram) durante a assinatura de um determinado contrato. Como o nome sugere, o Kerberos funciona, basicamente, como três componentes principais, um para cada função específica: Ticket: tipo de certificado/token que informa com segurança, para todos os equipamentos conectados ao sistema de autenticação, a identidade do usuário para quem o ticket foi concedido. Autenticador: uma credencial gerada pelo cliente com informações que são comparadas com as informações do ticket, para garantir que o cliente que está apresentando o ticket é o mesmo para o qual o ticket foi concedido. Centro de distribuição de chaves: para acessar uma aplicação, o usuário obtém temporariamente tickets válidos através do centro de distribuição de chaves que ratificam os tickets com o

36 36 autenticador. A aplicação examina o ticket e o autenticador quanto à validade e concede acesso caso sejam válidos. Explicando de uma forma mais simplificada, imagine um sistema de vendas de ingressos para um filme de cinema com classificação para maiores de 18 anos. Para comprar o ingresso, você deve ir então à bilheteria (centro de distribuição) para realizar o pagamento e provar que você possui mais de 18 anos. Ao realizar essas atividades com sucesso, a bilheteria vai lhe fornecer um ingresso (ticket) que você apresentará ao bilheteiro (autenticador), assim que tentar entrar na sala do filme. O bilheteiro vai verificar se o ticket é verdadeiro antes de lhe permitir entrar na sala de cinema. Fonte: Para o processo de autenticação são utilizados três servidores: Servidor de Autenticação (Authentication Server AS): responsável por receber um pedido de autenticação de um usuário e verificar se a identidade desse usuário é autêntica. Sendo válida essa identidade, o AS fornece um ticket e uma chave de sessão, que vai permitir o contato com outro servidor, o TGS. Servidor de Concessão de Tickets (Ticket Granting Server TGS): responsável por fornecer tickets para serviços específicos requeridos pelo usuário. O contato com o TGS é feito após a autenticação pelo AS. O usuário tem seu ticket avaliado e, uma vez validado pelo TGS, recebe um novo ticket, agora para obter algum serviço disponível. Servidor de Administração (KADM): servidor responsável por controlar as chaves secretas (informações criptografadas). Antes de realizar o processo de autenticação, é preciso que o usuário cadastre seus dados através do KADM, para que possua um login e uma senha. Resumidamente, os seguintes passos são executados quando um usuário tentar acessar um determinado serviço em um Application Server. O usuário realiza uma autenticação em sua estação (utilizando usuário e senha, por exemplo). O Cliente Kerberos então executa uma função hash sobre a senha digitada e isso se torna a Chave Secreta do Cliente/Usuário (K1). O Cliente Kerberos envia uma mensagem em texto claro para o Authentication Server (AS) contendo o Identificador do Usuário (nessa fase, não é enviada a chave K1 e/ou a senha do usuário para o AS).

37 37 O AS gera a chave secreta (K1) utilizando a mesma função hash utilizada pelo usuário a partir da senha do usuário encontrada no servidor de banco de dados (por exemplo, o Active Directory no Windows Server). O AS envia de volta ao cliente duas mensagens: Mensagem A contendo a Chave de Sessão do TGS (K2) cifrada utilizando a chave K1 gerada no passo anterior. Mensagem B contendo o TGT (Ticket-Granting-Ticket), que inclui a identificação do cliente, endereço de rede do cliente, prazo de validade do ticket e a Chave de Sessão do cliente TGS (K2). Todo o conteúdo do ticket TGT é criptografado usando a Chave Secreta TGS, gerada pelo Servidor TGS e enviada de forma cifrada na Mensagem A. O cliente recebe mensagens A e B e tenta decifrá-las utilizando a chave K1 e, após, tenta recuperar a Chave TGS da Sessão (k2), que está cifrada na mensagem A. Caso não consiga, fica claro que o usuário não possui a chave secreta (k1) e, portanto, não deve ser autenticado ACESSO A SERVIÇOS EM UMA REDE Sempre que um usuário tentar acessar um serviço na rede, o cliente Kerberos enviará para o TGS o TGT que foi gerado pelo serviço de autenticação (KDS). O TGS vai gerar um ticket para o serviço em particular que será utilizado pelo cliente. Esse funcionamento é detalhado nos passos abaixo, que explicam o funcionamento do protocolo nessa situação: a. Ao tentar acessar um serviço em um servidor, o cliente Kerberos envia duas mensagens ao TGS. Mensagem C: composta pelo TGT informado na Mensagem B do item anterior e o identificador do serviço que está sendo requisitado. Mensagem D: autenticador, composto pelo identificador do cliente e de um período de validade cifrado com a Chave de Sessão TGS do cliente (K2). b. De posse das mensagens C e D, o servidor TGS tentará recuperar o TGT da Mensagem B a partir da mensagem C. Ele vai decifrar a mensagem B utilizando a Chave de Sessão TGS (K2) que ele gerou nos passos anteriores. Isso vai produzir uma Chave de Sessão TGS (k2), que foi informada pelo cliente a qual ele vai comparar com sua Chave de Sessão TG (K2) que ele possui associada ao cliente. Após isso, ele decifrará a mensagem D e, se tudo tiver acontecido de forma correta, ele enviará ao cliente: Mensagem E: Ticket Client-to-Server, que inclui o Identificador do Cliente, o endereço de rede do cliente, um período de validade para a Session Key entre o cliente e o servidor (K3), tudo cifrado, utilizando a chave secreta gerada para o serviço (k2). Mensagem F: Chave Secreta entre cliente e servidor (k3) cifrada utilizando a chave TGS gerada para o cliente. c. De posse das mensagens E e F geradas pelo TGS, o cliente encaminha essas informações para o servidor responsável pelo serviço em que o usuário está tentando acesso, enviando as mensagens: Mensagem E: gerada no passo anterior, contendo o Ticket Client-to-Server cifrado utilizando a chave Secreta do Serviço (K3).

38 38 Mensagem G: uma nova mensagem de autenticação, incluindo o identificador do cliente e um período de validade. Todas essas informações cifradas, utilizando a chave de sessão K3. d. O servidor do serviço decifra o ticket utilizando sua própria chave secreta e recupera a Chave de Sessão Cliente/Servidor (K3). Usando a chave de sessão K3, ele decifra a mensagem G e confirma a veracidade do processo de autenticação. Se tudo tiver acontecido corretamente, o servidor do serviço envia uma mensagem para o cliente, confirmando sua identidade e o período de validade informado pelo cliente na mensagem G, acrescido de 1. e. O cliente, ao receber essa mensagem do servidor, verifica a autenticidade da mensagem decifrando-a com a Chave de Sessão Cliente/Servidor (K3) e, também, se a hora está atualizada corretamente. Após isso, é iniciado então o acesso ao serviço solicitado BENEFÍCIOS DO KERBEROS Dentre os principais benefícios de se utilizar o Kerberos em redes de computadores, podemos destacar: Padrões baseados em autenticação robusta. Amplo suporte ao sistema operacional. Provê capacidade de Single Sign-On (SSO). Senhas nunca percorrem a rede. Senhas de difícil previsão. Tickets de autenticação roubados não podem ser reutilizados Para aprender mais sobre o Kerberos, assista aos vídeos: BIOMETRIA Este tipo de tecnologia utiliza a análise de características humanas, como impressões digitais, retina, rosto e de padrões de voz e de assinatura. A principal vantagem sobre outras tecnologias de autenticação é que o usuário é identificado por características únicas, pessoais e intransferíveis, dispensando o uso de senhas, cartões ou crachás.

39 39 É utilizada tanto para controle de acesso físico como para controle de acesso lógico. Na autenticação biométrica são realizadas duas fases: registro no sistema (coleta de dados) e reconhecimento da característica biométrica. Para isso é necessário primeiramente que todos os usuários sejam cadastrados através de um dispositivo de entrada de dados, geralmente um scanner, microfone, leitor com óptico ou outro meio eletrônico, para colher a representação digital (a amostra biométrica ou "live scan") que será usada na verificação do indivíduo. O cadastramento envolve o indivíduo que irá fornecer Fonte: /j5756sl uma amostra de sua característica biométrica, sendo que essa característica-chave será usada pelo sistema para gerar um modelo biométrico. A amostra é convertida para um algoritmo matemático que é então criptografado. Cada vez que o usuário requerer um acesso ao sistema, uma verificação / autenticação será realizada e a amostra da característica particular do indivíduo será comparada com o modelo biométrico armazenado no banco de dados. Quando a verificação da informação é positiva, o usuário terá acesso assegurado ao sistema, caso contrario, será bloqueado. Conheça mais assistindo os vídeos: Aula 12 CONTROLE DE ACESSO Em segurança da informação, o controle de acesso é composto dos processos de autenticação, autorização e auditoria (accounting). Dentro deste contexto, o controle de acesso pode ser como a habilidade de permitir ou negar a utilização de um objeto (uma entidade passiva, como um sistema ou arquivo) por um sujeito (uma entidade ativa, como um indivíduo ou um processo). A autenticação identifica quem acessa o sistema, a autorização determina o que um usuário autenticado pode fazer, e a auditoria diz o que o usuário fez CONTROLE DE ACESSO O controle de acesso limita as ações ou operações que o usuário de um sistema computacional pode executar, limitando o que ele pode fazer diretamente, como também os programas que podem ser executados em seu nome ou impedindo de executá-los. A figura abaixo mostra apresenta o esquema básico do controle de acesso:

40 40 Pode ser classificado quanto: à centralização do controle (Centralizado ou Descentralizado); ao controle pelo sistema (Mandatório ou Discricionário); ao mecanismo de controle (baseado em regras ou em perfis) CONTROLE DE ACESSO CENTRALIZADO Nesse tipo de controle, uma entidade central (sistema ou usuário) toma as decisões sobre acesso aos recursos. Como vantagem, ele garante a padronização do acesso às informações, e impede a superposição de direitos. Como desvantagem, a falha no sistema central impede qualquer acesso às informações CONTROLE DE ACESSO DESCENTRALIZADO Nesse tipo, o controle é delegado a entidades mais próximas dos recursos, que podem gerenciar melhor os problemas com os recursos sob sua supervisão. Como vantagem, a falha em um sistema de controle de acesso não interfere no acesso aos demais sistemas, desde que não haja dependência entre eles. Entretanto, temos como desvantagem a perda da padronização do acesso às informações, e a possibilidade de superposição de direitos, que causam furos de segurança PROCESSOS DO CONTROLE DE ACESSO Na segurança da informação, os processos ou serviços que compõem o controle do acesso dos usuários são: Identificação e Autenticação: A identificação e autenticação fazem parte de um processo de dois passos que determina quem pode acessar determinado sistema. Na identificação, o usuário diz ao sistema quem ele é (normalmente por meio do login). Na autenticação, a identidade é verificada através de uma credencial (uma senha) fornecida pelo usuário. Autorização: Após o usuário ser autenticado, o processo de autorização determina o que ele pode fazer no sistema. Auditoria: A auditoria (accounting) faz a coleta da informação relacionada à utilização, pelos usuários, dos recursos de um sistema. Esta informação pode ser utilizada para gerenciamento, planejamento, cobrança, responsabilização do usuário, entre outras.

41 MECANISMOS DE SEGURANÇA Os mecanismos de segurança são responsáveis pela execução das políticas de segurança nos sistemas computacionais. O termo política de segurança pode ter significados diferentes dependendo do nível em que se aplica. Segundo Lendweir, em ambientes computacionais, política de segurança é entendida normalmente como um conjunto de regras que especificam como um sistema provê os seus serviços, mantendo as propriedades de confidencialidade, integridade e de disponibilidade. As políticas, cujos comportamentos são expressos através de modelos de segurança, são implementadas por mecanismos que exercem os controles necessários para manter as propriedades e objetivos de segurança. Os controles executados internamente em sistemas computacionais que gerenciam os acessos a recursos são identificados como Controles de Acesso. Controles usados na proteção das informações que são disponíveis através de dispositivos de entrada e saída (memórias secundárias, suportes de comunicação, etc.), envolvem o que é normalmente identificado como Controles Criptográficos. Outros controles ainda podem ser identificados em sistemas computacionais. Estes controles são chamados de Serviços de Autenticação, importantes na identificação de principais (sujeitos autorizados), e Controles de Inferência, que normalmente envolvem as semânticas das aplicações. Apresentaremos neste curso Controle de Acesso MODELOS DE SEGURANÇA Modelos de segurança correspondem a descrições formais do comportamento de um sistema atuando segundo regras de uma política de segurança. Estes modelos são representados na forma de um conjunto de entidades e relacionamentos. A definição de políticas de segurança é normalmente orientada por modelos de segurança, que fornecem na representação abstrata o funcionamento seguro do uso no sistema alvo de um conjunto de regras de segurança. Os modelos são divididos em três tipos básicos: Controles baseados em identidade ou discricionários (Discretionary Access Control: DAC).

42 42 Fonte: Controles baseados em regras gerais ou obrigatórios (Mandatory Access Control: MAC). Fonte: