Apostila 4 Ameaças e Contramedidas de Segurança no Host 1
Ameaças e Contramedidas de Segurança no Host As ameaças no host são direcionadas ao sistema de software sobre o qual suas aplicações são construídas. Isto inclui o Windows Server, o Internet Information Services (IIS), o.net Framework, e o SQL Server, dependendo da função específica do servidor. As principais ameaças no nível do host são: Vírus, Cavalos de Tróia e Worms Footprinting (rastro) Profiling (elaboração de perfil) Quebra de senha Negação de serviço Execução de códigos arbitrários Acesso não autorizado 2
Vírus, Cavalos de Tróia e Worms Um vírus é um programa criado para executar atos maliciosos e causar interrupções em seu sistema operacional ou aplicações. Um cavalo de tróia lembra um vírus, exceto que o código malicioso fica contido dentro do que parece ser um arquivo de dados inofensivo ou um programa executável. Um worm é similar a um cavalo de tróia exceto que ele se auto-replica de um servidor para o outro. 3
Vírus, Cavalos de Tróia e Worms Os worms são difíceis de serem detectados porque eles não criam arquivos regulares que podem ser vistos. Eles muitas vezes são notados apenas quando começam a consumir recursos do sistema porque o sistema torna-se mais lento ou a execução de outros programas simplesmente para. O worm Code Red é um dos mais notórios e que afligem o IIS; explora a vulnerabilidade de estouro do buffer em um filtro do protocolo Internet Server Application Programming Interface (ISAPI). 4
Vírus, Cavalos de Tróia e Worms Os worms são difíceis de serem detectados porque eles não criam arquivos regulares que podem ser vistos. Eles muitas vezes são notados apenas quando começam a consumir recursos do sistema porque o sistema torna-se mais lento ou a execução de outros programas simplesmente para. O worm Code Red é um dos mais notórios e que afligem o IIS; explora a vulnerabilidade de estouro do buffer em um filtro do protocolo Internet Server Application Programming Interface (ISAPI). 5
Vírus, Cavalos de Tróia e Worms Apesar de estas ameaças tratarem na verdade de ataques, juntas elas representam uma ameaça considerável para as aplicações web, para os hosts destas aplicações, e para a rede usada para distribuir estas aplicações. O sucesso destes ataques em qualquer sistema é possível através de muitas vulnerabilidades como padrões fracos, bugs de software, erros de usuários, e vulnerabilidades inerentes em protocolos da Internet. 6
Vírus, Cavalos de Tróia e Worms Apesar de estas ameaças tratarem na verdade de ataques, juntas elas representam uma ameaça considerável para as aplicações web, para os hosts destas aplicações, e para a rede usada para distribuir estas aplicações. O sucesso destes ataques em qualquer sistema é possível através de muitas vulnerabilidades como padrões fracos, bugs de software, erros de usuários, e vulnerabilidades inerentes em protocolos da Internet. 7
Vírus, Cavalos de Tróia e Worms Contramedidas que podem ser usadas contra vírus, cavalos de tróia e worms incluem: Fique atualizado com os últimos pacotes de serviços e patches (atualizações) de softwares do sistema operacional. Bloqueie todas as portas desnecessárias no firewall e no host. Inabilite funcionalidades não utilizadas, incluindo protocolos e serviços. Endureça configurações padrões fracas. 8
Footprinting Exemplos de footprinting são varreduras de portas, ping sweeps, e enumeração NetBIOS que podem ser usados por invasores para colher informações valiosas no nível do sistema, para ajudar a prepará-los para outros ataques significativos. O tipo de informação potencialmente revelada por footprinting inclui detalhes sobre contas, sistemas operacionais e outras versões de software, nomes de servidores, e detalhes de esquemas de bancos de dados. 9
Footprinting Contramedidas para ajudar a evitar footprinting incluem: Desativar protocolos desnecessários. Fechar portas com a configuração de firewall apropriada. Usar filtros TCP/IP e IPSec para defesa em profundidade. Configurar IIS para evitar a revelação de informações através da obtenção de banners. Usar um IDS que possa ser configurado para detectar padrões de footprinting e rejeitar todo o 10 tráfego Apostila suspeito. 4 - Ameaças e Contramedidas no Host
Quebra de Senha Se um invasor não consegue estabelecer uma conexão anônima com o servidor, ele terá que tentar estabelecer uma conexão autêntica. Para tanto, o invasor deve conhecer um nome de usuário e senha válidos. Se você utilizar nomes de conta padrão, estará facilitando o trabalho do invasor. Então, ele terá apenas que descobrir a senha para a conta. O uso de senhas fracas facilitará ainda mais o trabalho dele. 11
Quebra de Senha Contramedidas para ajudar a evitar a quebra de senha incluem: Use senhas fortes para todos os tipos de contas. Aplique políticas de bloqueio para contas de usuários finais para limitar o número de tentativas que podem ser feitas para adivinhar a senha. Não use nomes de contas padrão, e dê outro nome às contas padrão, como é feito com a conta do administrador e com as contas de usuários anônimos na Internet utilizadas em muitas aplicações web. Faça auditoria dos logins que falharam para buscar padrões de tentativas de quebra de senhas. 12
Negação de Serviço A negação de serviço pode ser obtida através de muitos métodos direcionados para diversos alvos em sua infra-estrutura. No host, um invasor pode interromper o serviço com força bruta contra uma aplicação, ou um invasor pode conhecer uma vulnerabilidade que existe no serviço onde sua aplicação está hospedada ou no sistema operacional que é executado em seu servidor. 13
Negação de Serviço Contramedidas para ajudar a evitar a negação de serviço incluem: Configure suas aplicações, serviços, e sistema operacional tendo em mente a negação de serviço. Mantenha-se atualizado com patches e atualizações de segurança. Fortaleça o stack TCP/IP contra a negação de serviço. 14
Negação de Serviço Certifique-se de que suas políticas de bloqueio de contas não podem ser exploradas para fazer o bloqueio de contas de serviços bem conhecidas. Certifique-se de que sua aplicação é capaz de lidar com grandes volumes de tráfego e que passagens estão posicionadas para lidar com cargas absurdamente altas. Reveja a funcionalidade do failover de sua aplicação. 15
Execução de Código Arbitrário Se um invasor pode executar códigos maliciosos em seu servidor, os recursos do servidor estarão comprometidos ou preparar ataques futuros contra sistemas downstream. Os riscos apresentados pela execução de códigos arbitrários aumentarão caso o processo do servidor sob o qual o código do invasor está em execução for privilegiado. 16
Execução de Código Arbitrário Vulnerabilidades comuns incluem configuração fraca e servidores sem patches que permitem ataques de estouro do buffer e de passagem do caminho, que podem levar à execução de código arbitrário. 17
Execução de Código Arbitrário Contramedidas para ajudar a evitar a execução de código arbitrário incluem: Configure o IIS para rejeitar URLs com "../" para evitar passagens no caminho. Tranque utilidades e comandos do sistema com ACLs restritas. Mantenha-se atualizado com patches e atualizações para garantir que estouros de buffer recém-descobertos sejam rapidamente cobertos. 18
Acesso Não Autorizado Contramedidas para ajudar a evitar o acesso não autorizado incluem: Configure permissões da web seguras. Tranque arquivos e pastas com permissões NTFS restritas. Use os mecanismos de controle de acesso.net Framework em suas aplicações ASP.NET, incluindo demandas para permissão principal e autorização da URL. 19
Acesso Não Autorizado Controles de acesso inadequados podem permitir que um usuário não autorizado tenha acesso a informações restritas ou execute operações restritas. Vulnerabilidades comuns incluem controles fracos de acesso IIS Web, incluindo permissões da web e permissões fracas NTFS. 20
Acesso Não Autorizado Controles de acesso inadequados podem permitir que um usuário não autorizado tenha acesso a informações restritas ou execute operações restritas. Vulnerabilidades comuns incluem controles fracos de acesso IIS Web, incluindo permissões da web e permissões fracas NTFS. 21
Bibliografia http://technet.microsoft.com/pt-br/library/dd569900.aspx 22