Ferramentas de Segurança. Sumário

Documentos relacionados
Segurança de Redes. Aula 3 Elementos de Segurança de Redes Prof. Fred Sauer, D.Sc. fsauer@gmail.com

SNORT. Sistema de Detecção de Intrusão de Rede. Amanda Argou Vilnei Neves REDES II

CEA463 SEGURANÇA E AUDITORIA DE SISTEMAS

Firewall. Prof. Marciano dos Santos Dionizio

HLBR: Um IPS invisível para a segurança em redes de computadores. João Eriberto Mota Filho (Comando do Exército Brasileiro)

Os três principais tipos de firewall são o filtro de pacotes, o filtro de pacotes com estado e o proxy.

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini /

Criptografia e Certificação Digital Oitava Aula. Prof. Frederico Sauer, D.Sc.

Vigilância Implacável. Aker IPS. A resistência que a sua empresa precisa contra intrusões.

Serviço que permite acesso a documentos multimídia. As chamadas páginas da Web, os sites.

Sistemas de Detecção de Intrusão

Segurança da Informação

Apostila 4. Ameaças e Contramedidas de Segurança no Host

Firewalls. Carlos Gustavo A. da Rocha. ASSR

Segurança de Redes 5º Semestre

Sistemas de Detecção de Intrusão

Professor Jorge Alonso Módulo VIII Armazenamento e Computação nas Nuvens

INTERNET E SEGURANÇA DOS DADOS. Introdução a Computação e Engenharia de Software. Profa. Cynthia Pinheiro

Firewalls Reginaldo Campos 1

Aula 2 Malwares. Prof. Mayk Choji. Técnicas de Segurança em Redes. UniSALESIANO Araçatuba

INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO

Campus Capivari Técnico em Manutenção e Suporte em Informática Prof. André Luís Belini /

IPS HLBR: aprimorando a segurança da sua rede

Segurança da Informação nas Universidades A Experiência da UFRN

CS-MARS: Adicionar o sensor do ips Cisco como um dispositivo de relatório ao exemplo de configuração CS-MARS

MITO OU VERDADE? 11/02/2013 MITO OU VERDADE? MITO OU VERDADE? MITO OU VERDADE? Dois antivírus funcionam melhor que um?

Microcurso: Honeypots e Honeynets

WWW = WORLD WIDE WEB

SOLUÇÃO COMPLETA PARA SEGURANÇA DE PERÍMETRO

DESCRIÇÃO E JUSTIFICATIVAS TECNICAS SOBRE A INFLUÊNCIA DO SISTEMA OPERACIONAL NA SEGURANÇA DOS SERVIÇOS IPS

SISTEMA DE SEGURANÇA DATA: 04/05/2017. CESPE/UnB Prova Objetiva Gabarito Somente em Sala Compilação Cespe/UnB 2017 v.

Ataques e Intrusões. Invasões Trashing e Engenharia Social. Classificação de Hackers

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini /

Segurança de Redes de Computadores

Jessey Bullock Jeff T. Parker

Aspectos de Segurança no IPv6

[Digite texto] XLabs. Web App Firewall. formation Security

Arquitetura de um sistema integrado de defesa cibernética para detecção. de botnets

Segurança na Rede Estácio - II Semana de Informática - Out/05

Firewall - Inspeção com estado. (Stateful Inspection)

Os vírus se espalham através de (MORIMOTO, 2011, p. 403):

Segredos do Hacker Ético

Protótipo de um software de segurança em redes para monitoração de pacotes em uma conexão TCP/IP

PROCESSO DE SELEÇÃO DE ESTAGIÁRIO EDITAL 100/2017

ll a w ire F e ota Filho ai s d a m as, SP, 06 m pin Cam iste S João Eriberto M Eriberto mai. 14

Redes de Computadores

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Detecção de Intrusão. Intrusão. Intruso. É o processo pelo qual algo tenta violar uma sistema.

Códigos Maliciosos. Prof. Paulo Najar

Testes de Penetração: Força Bruta para Login em SSH


Recursos incríveis para Tecnologia

Levantamento de informação (Fingerprint)

Utilização de Números de Porta FTP Não- Padrão com NAT

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1

Ferramentas de Pentest

Solução em AntiSpam em Nuvem. Filtre mais de 99,98% dos s indesejados!

Aula 13 Mecanismos de Proteção. Fernando José Karl, AMBCI, CISSP, CISM, ITIL

Segurança da Informação

Webinário Informática INSS Prof. Paulo França

HoneyPot e HoneyNet. Reginaldo Campos Segurança em Redes de Computadores

Firewall. Andrei Jean Fabio Garzarella William Passig

Segurança da Informação

Prof. Marcelo Cunha Parte 6

Testes de Penetração: Explorador de Portas

Políticas de Segurança de Sistemas

CENTRO FEDERAL DE EDUCAÇÃO TECNOLÓGICA DO RIO GRANDE DO NORTE DEPARTAMENTO ACADÊMICO DE TECNOLOGIA DA INFORMAÇÃO

IDS - Implementando o SNORT Open Source

ANÁLISE DE EXPLOITS PARA APLICAÇÕES LINUX

Taxonomia Comum para a Rede Nacional de CSIRTs

3/9/2011. Segurança da Informação. Segurança da Informação. O que é Segurança e seguro? Prof. Luiz A. Nascimento Auditoria e Segurança de Sistemas

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini /

Netfilter e Iptables


Sistemas Distribuídos

Segurança da Informação

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini /

DESVIO DE TRÁFEGO MALICIOSO DESTINADO A REDES DE PRODUÇÃO PARA UMA HONEYNET

Estratégias de Segurança para Desenvolvimento de Software. Italo Valcy e Kaio Rodrigo CoSIC / STI-UFBA

Guia de Segurança do Oracle Hardware Management Pack para Oracle Solaris 11.3

DoS, DDoS & Botnets. Alunos: Lucas Gomes, Marcos Seefelder, Vinicius Campos Professor: Otto Carlos Muniz Bandeira Duarte

PROJETO LÓGICO DE REDE

Fundamentos da Informática Aula 04 Introdução à Internet Simulado com Questões de Concursos Públicos Professor: Danilo Giacobo - GABARITO

Dom o ín í i n o i o d e d Con o h n e h cim i ent n o o 3 To T p o o p l o o l g o i g a i s e I D I S Carlos Sampaio

Checkhosts Monitoramento e Gerência de Sistemas

Sistema operacional. Linux Debian 8 Windows 7

IX (PTT) Fórum 11 São Paulo, SP 04 de dezembro de 2017

Transcrição:

Ferramentas de Segurança Professores: Fred Sauer, D.Sc. Guilherme Neves, M.Sc. Sumário Ataques Varredura de Vulnerabilidades Sniffing Hacking Artefatos Maliciosos (Malware) Vírus, worms, trojan horses, keyloggers, spywares Defesas Filtro de pacotes (IP Firewall) Proxy (Firewall Proxy) IDS/IPS Honeypots. 1

Varredura de Vulnerabilidades Técnica básica preliminar de identificação de possíveis vulnerabilidades Identifica portas abertas (protocolos/aplicações). Exemplos: TCP 20/21 FTP TCP 22 SSH TCP 80 HTTP (servidor WEB) Mais popular atual NMAP. Sniffing Poderosa ferramenta criada para análise de tráfego de rede Há vários, mas todos fazem a mesma coisa: Colocam a placa de rede em modo promíscuo; Instalam um driver que desabilita o filtro L2; e Levam todos os quadros recebidos na interface de rede para o sniffer O mais popular atual é o Wireshark. 2

Hacking Técnicas usadas para comprometimento da CID Vem sendo substituídas pela Engenharia Social, exceto na área de Guerra Cibernética, onde o elemento humano é teoricamente mais preparado Algumas técnicas ainda eficazes: SQL Injection; Buffer Overflow; e Exploits. SQL Injection Criação de strings que enganam as interfaces de controle de acesso a bancos de dados; Exemplo: Resulta em: SELECT * FROM tabela_usuarios WHERE login = '123' AND senha = ' ' or '1' = '1' 3

Buffer Overflow Técnica que explora falhas de segurança no desenvolvimento de aplicações que possibilitam a interrupção do serviço Como é típico, ao ser abortado, o programa oferece um shell com os direitos do seu executor, que normalmente é administrador do sistema Técnicas como o SDL (Secure Development Lifecycle) e OWASP (Open Web Application Security Project), entre outras ações, evitam essa vulnerabilidade. Buffer Overflow Basicamente é um Estouro da pilha de memória artificialmente provocado por um hacker São desenvolvidos especificamente para um determinado SO e hardware Ocorre onde o controle do buffer (memória temporária para armazenamento de dados) não é feito adequadamente Com isso, pode haver execução de códigos arbitrários Pode resultar em: Sequestro do acesso ao sistema Perda ou modificação de dados Paralisação do sistema. 8 4

Buffer Overflow Técnica de exploração: Descobrir uma variável do tipo buffer que esteja vulnerável Verificar, no código fonte ou por tentativa/erro, os endereços onde as chamadas de função estão, bem como o endereço que marca o início do buffer da variável Implementar um exploit que insira códigos de máquina no buffer, contendo instruções para abrir uma sessão shell, e depois encher a pilha até atingir a posição do ponteiro de retorno, lá colocando o endereço de início do buffer. 9 Buffer Overflow Código de ataque 3 2 Injeta código na posição da memória sobrescrita no 2 Modifica endereço retorno Stack frame Endereço de retorno 4 Função avança para o código injetado 1 Ataque buffer overflow Buffer 10 5

Buffer Overflow 11 Exploits Programa desenvolvido para explorar uma vulnerabilidade conhecida Há inúmeras vulnerabilidades não corrigidas mesmo em sistemas comercialmente regularizados, e ainda há os zero-day... Veja como está o seu sistema: www.securityfocus.com 6

Artefatos Maliciosos Programas criados para: Comprometer a Integridade e/ou a Disponibilidade Em alguns casos, instalar programas para comprometer a confidencialidade Há tipos diferentes, com características distintas: Vírus Worms Trojan Horses Keyloggers Spywares. Vírus Principal característica: DEPENDE da ação humana para se propagar Uma vez executado, vai se replicar uma ou mais vezes, contaminando outros arquivos Pode destruir arquivos, consumir CPU e/ou memória, e instalar outros programas maliciosos Principal dificuldade para detecção: sua característica metamórfica atual 7

Worms Códigos maliciosos que se propagam SEM a ação humana, usando vulnerabilidades existentes nos sistemas Altíssimo potencial de propagação, é hoje a principal ferramenta de criação de redes zombies (botnets) Trojan Horses Assim como os vírus, dependem da ação humana No entanto, não se propagam. Apenas realizam a tarefa para a qual foram designados Instalar backdoors, rootkits, keyloggers, etc. São agregados a programas legítimos, passando a impressão de que não existem 8

Loggers Como o nome diz, prestam-se a capturar informações digitadas ou visualizadas Senhas, credenciais de acesso, informações sigilosas Normalmente instalados por trojans Também podem ser físicos Spywares 9

Spywares Novidades... APT (Advanced Persistent Threats) Spear phishing Phish Pharm 10

Defesas As defesas visam sempre MITIGAR os ataques Como há vulnerabilidades desconhecidas e/ou nãocontroláveis, o monitoramento contínuo é a única adoção indiscutível Além, do monitoramento, podemos agregar à segurança da rede os seguintes elementos: Filtros de Pacotes (IP Firewall) Filtros de Conteúdo (Firewall Proxy) IDS/IPS (Intrusion Detection/Prevention Systems) Antivírus Honeypots Filtros de Pacotes (IP Firewall) Camada de rede e de transporte (sockets) Informações básicas para permitir ou bloquear pacotes, baseados em Listas de controle de acesso (ACL Access Control Lists) Filtragem com base cabeçalho do pacote TCP/IP Endereço IP de origem Endereço IP de destino Porta de origem TCP/UDP Porta de destino TCP/UDP Flags do TCP (sentido das conexões) Mensagens ICMP (tipos e códigos das msg) 11

IP Firewall Filtro de Pacotes: Limitações de segurança Serviços com características complexas (Ex.:FTP) Não conseguem barrar ataques de fragmentação Não verificam payload Não guardam o estado das conexões Vulnerável - IP SPOOFING não oferece autenticação do usuário Difíceis de configurar e administrar quando o conjunto de regras é grande Dica: padrão bloquear todas as portas e deixar passar somente as que são expressamente permitidas 23 Firewall Proxy Servem para intermediar a comunicação entre cliente e servidores Pode trabalhar na camada de: Sessão ou de transporte: circuit level Relay não verifica serviços Problema! outro serviço que utilize porta 80 pode passar pelo proxy... Aplicação: application level Payload filtrado. Ex.: tags HTML filtradas em proxy HTTP Faz que o tráfego pareça ter origem no proxy, o que mascara o endereço host interno maior segurança 24 12

Firewall Proxy de Aplicação Usados para armazenar caches de páginas web Ocultam os clientes privados (NAT) Podem bloquear URLs suspeitas (blacklists) Podem filtrar os payload antes de passá-lo ao cliente Previne contra ataques de fragmentação, roteamento de origem, DoS Mas... Criam um ponto único de falha Um proxy para cada tipo de serviço 25 Proxy de Aplicação Vantagens Não permite conexões diretas entre hosts internos e externos Pode implementar autenticação do usuário Analisa uso de comandos no payload dos pacotes Permite criar logs de tráfego Desvantagens É mais lento que o filtro de pacotes Requer um proxy específico para cada aplicação Não trata pacotes ICMP Não aceita os serviços para os quais não foi projetado Requer que os clientes internos saibam sobre ele Exceto proxies transparentes redirecionam as sessões que passam pelo firewall para um serviço de proxy local de modo transparente 26 13

IDS Intrusion Detection System IDS/SDI - Sistemas de Detecção de Intrusão Ferramenta especializada que pode ler e interpretar o conteúdo de arquivos de log de roteadores, firewalls, servidores e outros dispositivos de redes (passivo) Utilizam banco de dados de assinaturas de ataque conhecidas Pode comparar padrões de atividade, tráfego ou comportamento no tráfego monitorado, comparando com assinaturas, emitindo alertas 27 Gestor: 27CI/ICM SDI (IDS) - Sistemas de Detecção de Intrusão O SDI (IDS) pode ter a capacidade de manter o estado dos pacotes, remontar os fragmentos e depois fazer a análise. De acordo com sua localização: de hosts (SDIH) (inglês: HIDS) de rede (SDIR) (inglês: NIDS) Dois métodos de detecção ou estratégias de análise de evento: Detecção de assinaturas Banco de dados com assinaturas de ataques Detecção de anomalia Regras e conceitos pré-definidos sobre atividades normais e anormais chamadas heurísticas. 28 28 14

SDIH (HIDS) Sistema de Detecção de Intrusão de Hosts Diminui desempenho do host Não detecta ataques de rede Independe da topologia da rede Protege apenas o host Placa opera no modo não-promíscuo Depende do SO (Linux, Win, etc.) 29 SDIR (NIDS) Sistema de Detecção de Intrusão de Rede Monitora um segmento de rede Deve operar em modo promíscuo para captar todas as comunicações no segmento de rede Port scanning, ip spoofing, tear drop, podem ser detectados, pois há a analise do cabeçalho e payload 30 Gestor: 30CI/ICM 15

SDID Sistema de Detecção de Intrusão Distribuídos Possui estação de gerenciamento SIDR ficam em locais distantes e se reportam a estação controladora Na fig. Temos: 4 sensores e 1 estação controladora 31 IPS Intrusion Prevention System SPI (IPS) - Sistema de Prevenção de Intrusão Operação in line Capaz de detectar (supor) os ataques e bloqueá-los Grande problemas são os falsos positivos e falsos negativos 32 16

Honeypot x Honeynet Honeypot é um recurso preparado especificamente para ser sondado, atacado ou comprometido e para registrar essas atividades. Tipos: De produção adiciona segurança para organização; usado para ajudar a mitigar riscos De pesquisa não agrega segurança, usado para aprender como os atacantes estão trabalhando Honeynet é uma rede projetada especificamente para ser comprometida e utilizada para observar os invasores. Essa rede normalmente é composta por sistemas reais e necessita de mecanismos de contenção eficientes e transparentes, para que não seja usada como origem de ataques e também não alertar o invasor do fato dele estar em uma honeynet 33 17

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback