Março de 1998 Ari Frazão Jr. PAL0088
Índice: Parte A: Introdução Parte B: Situação Atual Parte C: Política de Segurança Parte D: Classificação dos Ataques Parte E: Ataques Mais Freqüentes Parte F: Vulnerabilidades Parte G: Como se Proteger Parte H: Reagindo a Invasões Parte I: Referências Importantes
Parte A: Introdução Introdução É fácil ter-se um sistema de computação seguro. Você meramente tem que desconectar o seu sistema de qualquer rede externa, e permitir somente terminai ligados diretamente a ele. Pôr a máquina e seus terminais em uma sala fechada, e um guarda na porta. F.T. Grampp e R.H. Morris
Parte A: Introdução Introdução A Internet não é completamente segura Disponibilidade do conhecimento A segurança como uma tarefa não produtiva Avaliação dos riscos
Parte B: Situação Atual Situação Atual Número cada vez maior de problemas Muita facilidade para hackear Muitos administradores inexperientes ou negligentes Situação não é de pânico, mas de alerta
Parte B: Situação Atual Infinidade de tópicos Grande consumo de tempo Desinformação Dificuldade de receber apoio ou cooperação Falta de legislação específica
Parte B: Situação Atual Ano Incidentes Mails Recebidas Vulnerabilidades 1995 2.412 32.084 171 1996 2.573 31.268 345 1997 2.134 39.626 311 Fonte: CERT/CC (www.cert.org/pub/cert-stats/cert_stats.html)
Parte C: Política de Segurança Política de Segurança Por que a segurança é necessária? Uso de recursos (CPU, disco, impressoras) Valor ou importância da informação Perguntas O que deve ser protegido? Qual o custo da proteção? Qual o custo das perdas em caso de ataque?
Parte C: Política de Segurança Por que usá-la? Por reduzir a surpresa/confusão e o stress conseqüente a uma invasão Pelo fato de definir os limites aceitáveis de comportamento Por ajudar a estabelecer ferramentas e procedimentos O que deve conter: O que é, ou não é, permitido (ex.: informara senha de acesso a terceiros) Distribuição de responsabilidades Limites aceitáveis de comportamento e punições adequadas O que fazer em caso de invasão
Parte C: Política de Segurança O que não deve conter Detalhes técnicos Imitações de política de outra instituição Deve estar sujeita a revisões constantes Política é diferente de procedimentos Política o que vai ser protegido Procedimentos como vai ser protegido A documentação como maior problema
Parte D: Classificação dos Ataques Classificação dos Ataques Ataque de origem externa Praticado por alguém a partir de outra instituição Soluções: Maior atenção com as senhas Configurar a rede segundo a segurança do sistema Usar ferramentas de monitoração Instalar os patches do sistema Bloquear conexões TCP/IP
Parte D: Classificação dos Ataques Ataque de origem interna Realizado por algum usuário da própria rede ou alguém com acesso às instalações Soluções: Bloquear o acesso físico às instalações Criar uma política de segurança Usar criptografia Não deixar os usuários abusar de programas de domínio público
Parte E: Ataques Mais Freqüentes Ataques Mais Freqüentes Engenharia social Explora a ingenuidade das pessoas É difícil de se proteger Roubo de senhas Forma mais comum de ataque Explora falhas no sistema ou tenta por acaso Uso de sniffers
Parte E: Ataques Mais Freqüentes Erros de software Explorando falhas em softwares (sistemas operacionais) Predileção por programas que executam com muitos privilégios Mudança de páginas Abusos (spam, pirataria) Denial of service
Parte E: Ataques Mais Freqüentes Objetivos roubar informações causar dano atacar outro site provar que ele pode por que alguém atacaria seu site??
Parte F: Vulnerabilidades Vulnerabilidades TCP/IP (protocolo e implementações) Sistemas (UNIX, NT, Netware,..) Programas Administração (configuração incorreta de serviços) Autenticação (logins e senhas trafegando como texto puro na rede) Hardware Outros
Parte G: Como se Proteger Como se Proteger Procurar antecipar-se aos problemas Rodar programa que busca por senhas fáceis na própria base de seus usuários - crack (ftp://ftp.cert.org/pub/tools/crack) Conscientizar os usuários da importância de se ter senhas não triviais Instalar programas para fazer a monitoração da rede TCPDUMP - monitora tráfego da rede (ftp://ftp.ee.lbl.gov/tcpdump2.2.1.tar.z) TRACEROUTE - traça caminho para um determinado destino (ftp://ftp.ee.lbl.gov/traceroute.tar.z) SNIFFER - grava os primeiros 128 bytes de uma sessão (muito usado por hackers)
Parte G: Como se Proteger Instalar programas para fazer a monitoração dos servidores TRIPWIRE - monitor de integridade para sistemas UNIX que detecta alterações nos arquivos executáveis, modificação de permissões, etc. (ftp://ftp.cs.purdue.edu/pub/spaf/coast/tripwire) TAMU Tiger - procura por vulnerabilidades em sistemas UNIX, examinando contas e senhas, permissões de arquivos, mudanças em arquivos, etc. (ftp://net.tamu.edu/pub/security/tamu) SWATCH - procura por dados relevantes nos arquivos de log do sistema (ftp://ftp.stanford.edu/general/security-tools/swatch) ISS - testa vulnerabilidades mais comuns nos principais serviços de rede (ftp://ftp.iss.net/pub/iss)
Parte G: Como se Proteger Fazer uso de criptografia Chave secreta de quem envia Chave pública de quem recebe mensagem Chave pública de quem envia Chave secreta de quem recebe PGP: http://www.ifi.uio.no/pgp
Parte G: Como se Proteger Definir um firewall Mecanismo de defesa cuja função básica é a de restringir o fluxo de dados entre duas redes Atua como uma barreira entre duas redes Permite que usuários internos acessem facilmente o mundo externo Permite bloquear a entrada e saída de pacotes Concentra os problemas em um único ponto Possui várias arquiteturas: Filtros de Pacotes Dual Homed Host Screened Host Screened Subnet
Parte G: Como se Proteger O que um firewall pode fazer: Fortalecer a política de segurança - filtrar serviços inseguros, mantendo apenas internamente, se necessário Implantar um sistema de logs eficiente Prover aos usuários internos acesso seguro à Internet O que um firewall não pode fazer: Proteger a rede de usuários internos mal intencionados Proteger contra conexões que não passam por ele Proteger contra novas ameaças Proteger contra vírus
Parte G: Como se Proteger Arquitetura de um firewall (Filtros de Pacotes)
Parte H: Reagindo a Invasões Reagindo a Invasões Sinais de Invasão Processos estranhos na máquina Atividade acima do normal Reboots sem razão aparente Arquivos escondidos (.,..., etc) Entradas novas na base de dados dos usuários Novos servicos no inetd.conf Sua senha circulando no underground
Parte H: Reagindo a Invasões Recuperando de uma Invasão Avalie a invasão Se existe suspeita do invasor ter-se tornado root, reinstale o sistema Recupere backups confiáveis Corrija a falha Reconecte a máquina na rede
Parte H: Reagindo a Invasões Recuperando de uma Invasão Avalie a invasão Se existe suspeita do invasor ter-se tornado root, reinstale o sistema Recupere backups confiáveis Corrija a falha e reconecte a máquina na rede Avise os administradores dos sites envolvidos Avise grupo de segurança da área Faça relatório detalhado para a gerência (especificando o custo do ataque) Tome medidas legais, se for o caso
Parte H: Reagindo a Invasões Entidades de auxílio CAIS (Centro de Atendimento a Incidentes de Segurança) Criado pela RNP para tratar de problemas de segurança no seu backbone - http://www.cais.rnp.br CERT/CC (Computer Emergency Response Team/ Coord. Center) Criado pelo DARPA, monitora a segurança de computadores e atividades de quebras de sistemas, alertando os usuários - http://www.cert.org
Parte I: Referências Importantes Referências Importantes Referências Bibliográficas Practical UNIX Secutity, Grafinkel, Simson and Spafford, Gene - O'Reilly & Associates Building Internet Firewalls, Chapman, D. Brent and Zwicky, E. - O'Reilly & Associates Firewalls and Internet Security, Cheswick, Bill and Bellovin, S. - Addison Wesley The Site Security Procedures Handbook (RFC 1244)
Parte H: Referências Importantes Referências de Sites Página Web do CAIS: http://www.cais.rnp.br Página Web do CERT: http://www.cert.org FAQ de Firewall: http://www.clark.net/pub/mjr/pubs/fwfaq/ Aumentando as seguranças em redes IP: http://www.cisco.com/univercd/data/doc/cintrnet/ics/icssecur.htm Lista de itens de segurança: http://www.pangeia.com.br/seg/checklist.html Vários artigos sobre segurança: http://www.rnp.br/newsgen/ UNIX Security Tools: ftp://info.cert.org/pub/tech_tips/security_tools