Professional Documents
Culture Documents
Estratgias de Segurana
Fabricio Bortoluzzi
UNIVERSIDADE DO VALE DO ITAJAI CENTRO DE EDUCAO SUPERIOR DE CINCIAS TECNOLGICAS DA TERRA E DO MAR CURSO DE CINCIA DA COMPUTAO
Estratgias de Segurana
Fabricio Bortoluzzi Relatrio apresentado Banca Examinadora do Trabalho de Concluso do Curso de Cincia da Computao para anlise e aprovao.
EQUIPE TCNICA
Coordenador dos Trabalhos de Concluso de Curso Prof Anita Maria da Rocha Fernandes, Dr
ii
DEDICATRIA
Dedico este trabalho ao meu irmo Lucas e minha namorada Luciene, ambos acadmicos da Cincia da Computao, bem como aos meus amigos administradores de redes, que criticaram construtivamente as idias discutidas neste documento.
iii
AGRADECIMENTOS
Aos meus pais, que, desde minha infncia, nunca hesitaram em me fazer entender a importncia de um curso de graduao.
Aos meus irmos Chris e Lu, pela boa companhia que me proporcionam :-)
Aos amigos que me incentivaram e ajudaram na coleta de informaes para compor este, em especial: Ivan, Mrcio, Mateus, Neto e Ronan.
Aos desenvolvedores de sistemas open source, por permitirem que possamos buscar no cdigofonte o entendimento do funcionamento do software que executamos em nossos computadores.
iv
SUMRIO EQUIPE TCNICA....................................................................................ii DEDICATRIA........................................................................................ iii AGRADECIMENTOS ..............................................................................iv SUMRIO ...................................................................................................v LISTA DE ABREVIATURAS E SIGLAS ..............................................ix LISTA DE FIGURAS ................................................................................xi LISTA DE TABELAS ............................................................................. xii RESUMO ................................................................................................. xiii ABSTRACT..............................................................................................xiv I - INTRODUO......................................................................................1
1. APRESENTAO .................................................................................................. 1 2. JUSTIFICATIVA .................................................................................................... 1 3. IMPORTNCIA DO TRABALHO....................................................................... 2 4. OBJETIVOS DO TRABALHO ............................................................................. 2 4.1. Objetivo Geral....................................................................................................... 2 4.2. Objetivos Especficos............................................................................................ 2 5. METODOLOGIA.................................................................................................... 2 5.1. Descrio Das Etapas ........................................................................................... 3 6. CRONOGRAMA..................................................................................................... 3 6.1. Fase 1...................................................................................................................... 3 6.2. Fase 2...................................................................................................................... 3 6.3. Fase 3...................................................................................................................... 3 6.4. Fase 4...................................................................................................................... 4 6.5. Fase 5...................................................................................................................... 4
II - REVISO BIBLIOGRFICA............................................................5
1. RISCOS DA CONEXO COM A INTERNET ................................................... 6 1.1. Dados...................................................................................................................... 6
1.1.1. Confidencialidade...................................................................................................................... 6 1.1.2. Integridade ................................................................................................................................. 7 1.1.3. Disponibilidade.......................................................................................................................... 7
1.2. Recursos................................................................................................................. 7 1.3. Reputao .............................................................................................................. 8 2. MOTIVOS QUE LEVAM OS HACKERS S SUAS PRTICAS ..................... 9 3. ATAQUES ..............................................................................................................12 3.1. Tcnicas De Ataques...........................................................................................12
3.1.1. Ataques de Canal de Comando................................................................................................ 13 3.1.2. Ataques Direcionados a Dados................................................................................................ 13 3.1.3. Ataques de Terceiros ............................................................................................................... 13
3.1.4. Falsa Autenticao de Clientes................................................................................................ 14 3.1.5. Seqestro ............................................................................................................................... 14 3.1.6. Packet Sniffing ........................................................................................................................ 14 3.1.7. Injeo e Modificao de Dados ............................................................................................. 15 3.1.8. Replay ............................................................................................................................... 15 3.1.9. Negao de Servio ................................................................................................................. 15 3.1.10. SYN Flood............................................................................................................................. 17 3.1.11. Ping of Death ......................................................................................................................... 17 3.1.12. IP Spoofing ............................................................................................................................ 18 3.1.13. Ataques Contra o Protocolo NetBIOS................................................................................... 18 3.1.14. Ataques Contra o X-Window ................................................................................................ 18 3.1.15. Ataques Utilizando o RIP ...................................................................................................... 19
3.2. Implementaes de Ataques ..............................................................................19 4. ENGENHARIA SOCIAL .....................................................................................21 4.1. Exemplos de Ataque de Engenharia Social......................................................22 4.2. Aes Contra Ataques De Engenharia Social..................................................22 5. FIREWALLS .........................................................................................................23 5.1. Caractersticas de um Pacote ............................................................................24
5.1.1. Exemplo TCP / IP / Ethernet ................................................................................................... 25 5.1.1.1. A Camada Ethernet............................................................................................................... 26 5.1.1.2. A Camada IP......................................................................................................................... 26
III - DESENVOLVIMENTO...................................................................40
1. INTRODUO .....................................................................................................40
vi
2. ESTRATGIAS DE SEGURANA....................................................................42 2.1. Lei do privilgio mnimo ....................................................................................42 2.2. Defesa em profundidade ....................................................................................44 2.3. Ponto de aferio ................................................................................................44 2.4. Elo mais fraco......................................................................................................45 2.5. Segurana em caso de falha ...............................................................................45
2.5.1. Negar conexes no regulamentadas....................................................................................... 46 2.5.2. Poltica de aceitar conexes como padro ............................................................................... 46
2.6. Participao universal........................................................................................47 2.7. Simplicidade ........................................................................................................47 2.8. Segurana atravs de obscuridade....................................................................47 3. AVALIAO DE PROGRAMAS DE SEGURANA DA INFORMAO .49 3.1. Questo 1 .............................................................................................................49
3.1.1. Anlise 3.2.1. Anlise 3.3.1. Anlise 3.4.1. Anlise 3.5.1. Anlise 3.6.1. Anlise ............................................................................................................................... 50 ............................................................................................................................... 51 ............................................................................................................................... 52 ............................................................................................................................... 54 ............................................................................................................................... 56 ............................................................................................................................... 57
3.2. Questo 2 .............................................................................................................50 3.3. Questo 3 .............................................................................................................51 3.4. Questo 4 .............................................................................................................53 3.5. Questo 5 .............................................................................................................55 3.6. Questo 6 .............................................................................................................56 3.7. Questo 7 .............................................................................................................61 4. MODELO PROPOSTO PARA PROTEO DE REDES ...............................63 4.1. Roteador ..............................................................................................................64 4.2. Bridge Host..........................................................................................................64 4.3. NAT Host / Bastion Host ....................................................................................65
4.3.1. Orientao simplicidade ....................................................................................................... 66 4.3.2. Preparao para o comprometimento do sistema .................................................................... 66
5. RECOMENDAES PARA O MODELO DE PROTEO PROPOSTO ..69 5.1. O Sistema Operacional do Bridge Host............................................................69 5.2. Verificador de integridade.................................................................................70 5.3. O detector de intrusos ........................................................................................71 6. POLTICA DE SEGURANA ............................................................................72 6.1. Contedo..............................................................................................................72 6.2. Planejamento.......................................................................................................75 6.3. Usurios e senhas ................................................................................................75 6.4. Contas no sistema ...............................................................................................76
vii
6.5. Configuraes do sistema operacional. ............................................................76 6.6. Logs ......................................................................................................................77 6.7. Ameaas locais ....................................................................................................77 6.8. Ameaas nos servios de rede............................................................................78 6.9. Respondendo a incidentes de segurana ..........................................................78
viii
AIDE BSD CIFS DNS FTP ICMP IETF GID HTML HTTP IMAP IDS IP IRC LAN LIDS LDAP NAT
Advanced Intrusion Detection Environment Berkley System Distribution Common Internet File System Domain Name Service File Transfer Protocol Internet Control Message Protocol Internet Engineering Task Force Group ID, Group Identificator Hyper-text Markup Language Hyper-text Transfer Protocol Internet Message Access Protocol Intrusion Detection System Internet Protocol Internet Relay Chat Local Area Network Linux Intrusion Detection System Lightweight Directory Access Protocol Network Adderss Translator
ix
NFS NIDS NIS TCP POP RIP SMB SNMP SSH UDP UID WINS WWW
Network File System Novel Internet Network Information System Transmission Control Protocol Post Office Protocol, Point Of Presence Routing Internet Protocol Server Message Block Simple Network Management Protocol Secure Shell User Datagram Protocol User ID, User Identificator Windows Internet Name Service World Wide Web
LISTA DE FIGURAS
Figura 1 Negociao do bit ACK. ..................................................................................................... 17 Figura 2 Posicionamento do firewall na rede de computadores........................................................ 23 Figura 3 Camadas de um pacote IP. .................................................................................................. 25 Figura 4 Definio do cabealho e corpo de um pacote TCP/IP....................................................... 27 Figura 5 A Camada TCP. .................................................................................................................. 28 Figura 6 Usar proxy para redirecionar pedidos do cliente................................................................. 30 Figura 7 Incidentes - Valores acumulados ........................................................................................ 41 Figura 8 Qual o sistema operacional predominante em seus hosts?.................................................. 50 Figura 9 Como voc define a poltica de segurana na rede que administra?................................... 51 Figura 10 Quais conceitos de segurana voc aplica na rede que administra? ................................. 52 Figura 11 Posicionamento do filtro de pacotes. ................................................................................ 54 Figura 12 Motivos para no manter um filtro de pacotes dedicado. ................................................. 56 Figura 13 Qual(is) sistema(s) de deteco de intrusos esto em atividade na sua rede?................... 57 Figura 14 Quais ataques voc j detectou em sua rede?.................................................................... 61 Figura 15 Viso geral do modelo proposto. ...................................................................................... 64
xi
LISTA DE TABELAS
Tabela 1 Cronograma De Trabalho ..................................................................................................... 4 Tabela 2 Totais Mensais e Anual Classificados por Tipo de Ataque. ............................................... 40 Tabela 3 Resumo da pesquisa............................................................................................................ 49 Tabela 4 Qual o sistema operacional predominante em seus hosts? ................................................. 49 Tabela 5 Como voc define a poltica de segurana na rede que administra? .................................. 50 Tabela 6 Quais dos seguintes conceitos de segurana voc aplica na rede que administra? ............ 51 Tabela 7 Motivos para no manter um filtro de pacotes dedicado.................................................... 55 Tabela 8 Qual(is) sistema(s) de deteco de intrusos esto em atividade na sua rede? .................... 57 Tabela 9 Qual(is) ataque(s) voc j detectou em sua rede?............................................................... 61
xii
RESUMO
Os ataques contra sistemas conectados Internet nos dias de hoje so mais srios e complexos do que costumava ser no passado. Manter dados, recursos computacionais e, principalmente, a reputao de uma organizao protegida se tornou tarefa para profissionais dedicados ao estudo de segurana da informao. O objetivo deste trabalho implementar e documentar tcnicas que auxiliem nos procedimentos para garantir segurana de sistemas computacionais ligados em rede. Para a realizao do trabalho, levantou-se primeiramente as razes que as pessoas mal intencionadas tm para praticar atos de ataque e invaso dos ambientes computacionais alheios, bem como as ferramentas mais utilizadas por estas pessoas. Para o entendimento das falhas de segurana envolvidas com o ambiente da tecnologia da informao, fez-se necessrio um estudo sobre o comportamento dos elementos vitais de comunicao entre redes locais e Internet, o funcionamento dos sistemas operacionais e softwares que servem contedo nos hosts conectados, as vrias topologias de firewall, seus benefcios e suas vulnerabilidades. Tambm so apresentados os resultados de uma pesquisa onde foram analisados os procedimentos de segurana utilizados atualmente por 15 administradores de redes de universidades, provedores de acesso Internet e empresas comerciais. Em funo do comportamento da pesquisa, so estudados mtodos de segurana inditos para o ambiente de trabalho dos entrevistados, mais aprimorados que os atuais, propondo a adio de uma nova camada de segurana nestas redes. Conclui-se que o cumprimento das recomendaes especificadas neste trabalho auxilia efetivamente na proteo das redes de trabalho expostas Internet.
xiii
ABSTRACT
Attacks against Internet-connected systems are more serious and complex than they used to be in the past. Keeping data, computational resources and, above all, the reputation of institutions protected against such attacks has become a task to professionals dedicated to the study of information security. The aim of this work is to document and to implement techniques in order to assist security procedures to assure the safety of computer networks. The first part of this work tries to explain the reasons that would lead people to perform unauthorized actions with the intention of disturbing or harming the normal operation of third-part computer systems. This section also focus in determining the software and hardware tools used by these individuals. A study about the behaviour of important elements in network systems and the Internet provided a way of understanding the security flaws related to such technology environment. Operational systems and firewall topologies benefits and vulnerabilities are important clues to solve security puzzles. Finally, a research has been conducted to assess current network security conditions of local companies, including Internet service providers, academic networks and commercial companies. Based on the results of the research, this work proposes modifications in the current layout of their computer network to improve security.
xiv
I - INTRODUO
1. APRESENTAO
Embora a pilha TCP/IP (Transmission Control Protocol / Internet Protocol) viabilize a Internet e oferea valiosos servios, existem srios problemas relacionados com a questo da segurana. Quando uma organizao conecta sua rede com a Internet, qualquer computador na rede interna que utilize TCP/IP pode (teoricamente) ser acessado por qualquer usurio da Internet, o que representa um risco para a segurana das informaes daquela rede. Muitos dos problemas atuais de segurana na transmisso de dados pela Internet esto relacionados com o fato de que o protocolo TCP/IP no foi projetado para prover segurana, estando sujeito a vrias formas de ataque. Como conseqncia, vrios servios da Internet que so baseados no TCP/IP, como o TELNET, FTP (File Transfer Protocol) e o SMTP (Simple Message Transfer Protocol) tambm so inseguros, pois utilizam mensagens que so transportadas em texto plano e, portanto, so vulnerveis a ataques que podem ser classificados em dois tipos: passivos, (como captura de trfego atravs de sniffers) ou ativos, como o seqestro de sesses.
2. JUSTIFICATIVA
O desenvolvimento deste trabalho justificado pela necessidade de proteo das informaes que se armazenam e se publicam nos servidores ligados Internet. Manter a integridade de tais informaes requer profissionais adequadamente especializados para esta finalidade, j que se trata de um esforo contnuo, para que a aplicao dos conceitos de segurana no fique desatualizada. Em complemento, acrescenta-se a notvel necessidade de estabelecer polticas de acesso e uso dos recursos computacionais concedidos aos usurios das redes de trabalho, tanto no meio acadmico como no comercial, esclarecendo quais servios podem ser acessados e quais no podem (e sob quais penas), bem como as rotinas do administrador de sistemas na distribuio e expirao de senhas, criptografia, gerao de relatrios sobre tentativas de mau uso, sistemas de deteco de intrusos entre outros.
3. IMPORTNCIA DO TRABALHO
Este trabalho apresenta uma introduo ao conhecimento dos riscos envolvidos na conexo de redes de computadores Internet bem como fornece abordagens tericas e prticas sobre topologias de firewalls. O Comportamento tico do administrador de sistemas diante dos choques contra hackers tambm recebe tratamento, visando melhorar o cenrio da segurana para aqueles que se interessam pelo assunto.
5. METODOLOGIA
Coletar informaes sobre os diversos sistemas operacionais existentes e que possam contribuir para o desenvolvimento do trabalho; Tomar conhecimento sobre quais servios so explicitamente necessrios e quais devem ser proibidos, com base nas redes utilizadas atualmente;
Implementar no sistema operacional escolhido, as teorias estudadas; Estudar, no cdigo-fonte do sistema operacional, o funcionamento do protocolo TCP/IP; Obter conhecimento das tcnicas de deteco de intruso, funcionamento e configurao; Executar testes.
6.2. Fase 2
Efetuar levantamento bibliogrfico sobre os assuntos a serem estudados e entrega da Reviso Bibliogrfica em 17 de novembro.
6.3. Fase 3
Estudar os documentos citados na Reviso Bibliogrfica obtendo informaes de como efetuar os objetivos gerais e especficos.
6.4. Fase 4
Pr em prtica os conhecimentos obtidos nas fases anteriores.
6.5. Fase 5
Avaliao dos resultados, descrevendo os pontos positivos e, eventualmente, negativos da implantao deste projeto. A Tabela 1 apresenta uma descrio visual das fases do cronograma.
Tabela 1 Cronograma De Trabalho
F Ago 1 2 3 4 5
Set
2000 Out
Nov
Dez
Jun
Jul
Ago
2001 Set
Out
Nov
Dez
II - REVISO BIBLIOGRFICA
Com o crescimento exponencial da Internet, empresas do mundo inteiro vislumbram inmeras oportunidades de negcios. Algumas empresas j utilizam a Internet como uma ferramenta para agilizar e criar os processos mercantis. Outras a utilizam como uma forma de oferecer novos servios e de criar novas fontes de renda (BERNSTEIN et al. 1997). Porm, segundo UNISINOS (1998), a utilizao das redes de computadores como meio para realizao de transaes eletrnicas no um fato recente na histria da informtica. Os bancos e outras instituies financeiras mundiais j utilizam, h muito tempo, servios eletrnicos para efetuar negociaes entre si. Com a popularizao deste uso, hoje, atravs da Internet, transaes comerciais eletrnicas podem ser utilizadas pelo usurio para adquirir mercadorias em qualquer ponto do mundo (ibidem). Atualmente, cada vez mais, empresas esto se apressando para usar a Internet por motivos comerciais e as questes relacionadas segurana que esto presentes nessas conexes so consideradas extremamente relevantes, mas nem sempre tratadas de forma adequada. J foi possvel testemunhar centenas de ataques sistemas conectados Internet, sendo que muitos deles foram bem sucedidos nos seus objetivos. A no incluso de controles de segurana adequados para conexes com a Internet pode fazer com que uma empresa se torne vulnervel a ataques que podero deix-la em uma situao embaraosa e causar imensos prejuzos financeiros. A adoo de medidas para a segurana de conexes com a Internet exige investimentos significativos em termos de tempo e esforo. Portanto, necessrio comparar custos e benefcios em relao a todas as medidas de controle de segurana.
1.1. Dados
As propriedades que devem ser satisfeitas para que se tenha segurana dos dados so: Confidencialidade Integridade Disponibilidade
1.1.1. Confidencialidade
Existe uma tendncia em se focar os riscos associados com a confidencialidade da informao, e comprovadamente, este o maior dos riscos. Muitas organizaes tm alguns dos seus maiores segredos - o projeto dos seus produtos ou registros financeiros - em seus computadores. Por outro lado, pode-se achar relativamente fcil separar fisicamente os computadores que tm informaes confidenciais dos que devem estar conectados Internet (ZWICKY et al. 2000). Supondo que se possa separar os computadores desta forma e que nenhuma informao acessvel seja sigilosa. Neste caso, por que se preocupar com a segurana? Porque confidencialidade no a nica coisa que se deve tentar proteger. Ainda h necessidade de proteo com a integridade dos equipamentos e a disponibilidade que eles provem (ibidem).
1.1.2. Integridade
Mesmo que as informaes no sejam particularmente sigilosas, pode-se sofrer conseqncias caso elas sejam destrudas ou alteradas. Geralmente, do ponto de vista do cliente, a perda das informaes confidenciais implica na perda de confiana na empresa (ZWICKY et al. 2000).
1.1.3. Disponibilidade
A disponibilidade das informaes contidas em um sistema diminui medida em que se percebem riscos que possam compromet-las. Freqentemente ocorre a necessidade de acesso a documentos de uso interno por parte de um executivo em viagem. Em casos como este, muitas vezes necessrio reorganizar a poltica de segurana da empresa de forma que ela possa atender aos usurios "temporariamente externos", sem gerar oportunidades para intrusos (ZWICKY et al. 2000).
1.2. Recursos
Os intrusos, ou hackers, freqentemente argumentam que utilizam somente recursos excedentes; como conseqncia, suas invases no custam nada s vtimas. H, para ZWICKY et al. (2000) dois problemas com este argumento: Primeiro: impossvel para um intruso determinar com certeza, que recursos em um sistema so excedentes. Pode-se pensar que o sistema tenha imensas quantidades de espao de armazenamento vazio e horas de tempo de processamento no utilizadas. De fato, em muitas situaes isto ocorre, porm, no momento em que todos os recursos so necessrios, deve-se garantir que todos os recursos estejam ntegros. Segundo: de direito da empresa utilizar os recursos como ela bem quiser, mesmo que isto signifique deixar disponvel uma grande quantidade de recursos sem utilizao.
1.3. Reputao
Quais seriam as conseqncias se um intruso acessasse as informaes de um dos representantes de uma organizao e as utilizasse na Internet? Para ZWICKY et al. (2000), algumas vezes, tais impostores podem tomar mais do que tempo. Um invasor que se empenha em destruir a identidade de uma organizao pode, por exemplo, alterar o contedo do seu web site ou forjar mensagens eletrnicas. Outros exemplos piores podem danificar permanentemente a reputao da organizao. possvel forjar mensagens eletrnicas sem a invaso de um sistema, porm muito mais fcil de comprovar sua falsidade (ibidem).
10
Espionagem Industrial: ocorre quando uma empresa contrata um hacker para que este invada o sistema da concorrncia, e descubra seus planos, roube seus programas ou at mesmo suas polticas de parcerias e de investimento.
Proveito Prprio: o hacker pode invadir um sistema para roubar dinheiro, transferir bens, cancelar dvidas ou at mesmo ganhar concursos, ou seja, qualquer ao em que ele seja diretamente beneficiado.
Inexperincia: h tambm o caso de uma invaso ocorrer por ignorncia. Por exemplo, um funcionrio que acessa sua conta da empresa atravs do seu micro em casa. Dependendo da poltica de segurana da empresa, isto pode ser considerado uma invaso, mesmo que o usurio no tenha conhecimento do problema que pode causar.
Vingana: Um ex-funcionrio, tendo conhecimento do sistema, pode causar vrios problemas, se o gerente de segurana da empresa no bloquear seu acesso imediatamente aps sua sada da empresa. Ou, um parceiro de pesquisas pode acessar "mais do que deve" aps a quebra de um contrato, trazendo complicaes e prejuzos empresa.
Status ou Necessidade de Aceitao: uma invaso difcil pode fazer com que o invasor ganhe um certo status junto aos seus colegas. Isso pode acarretar uma competio, ou uma verdadeira "gincana" nas empresas. Dentro de grupos, constante a necessidade de mostrar sua superioridade. Este um fato natural, seja entre humanos, animais selvagens ou hackers.
Curiosidade e Aprendizado: muitos hackers alegam invadir sistemas apenas para aprender como eles funcionam. Alguns fazem questo de testar o esquema de segurana, buscando brechas e aprendendo sobre novos mecanismos. Este tipo de ataque raramente causa um dano maior ou compromete os servios atacados.
Busca de Aventuras: o ataque a sistemas importantes, onde o esquema de segurana muito avanado, pode fazer com que o hacker se sinta motivado pelo desafio e pelo perigo de ser pego, assim como alpinistas sobem montanhas, mesmo sabendo do risco de carem.
Maldade: algumas pessoas sentem prazer na destruio. Invadem e destroem, pelo puro prazer de causar o mal. Raramente so pegos e se vangloriam dos seus atos.
11
Seja o hacker quem for e faa ele o que fizer, importante que ele seja neutralizado, pelo menos temporariamente, at que seu esquema de segurana seja revisto e atualizado. Essa atualizao precisa ser constante, pois os hackers esto sempre em busca de falhas de segurana e, muitas vezes, no fazem nada alm de invadir sistemas. extremamente necessrio que haja algum dedicado a este assunto, pelo menos o mesmo tempo gasto por dia pelos hackers nas tentativas de invaso (ibidem).
12
E a segunda, envolve ataques que trabalham a necessidade de se fazer conexes, incluindo: Seqestro. Packet Sniffing. Injeo e modificao de dados. Replay. Negao de servios.
UNISINOS (1998) complementa com as seguintes tcnicas: SYN Flood. Ping of Death. IP Spoofing Ataques contra o protocolo NETBIOS. Ataques contra o X-Windows.
13
14
3.1.5. Seqestro
Ataques de seqestro permitem que um hacker tome conta de uma sesso de terminal em andamento, de um usurio que foi autenticado e autorizado pelo sistema. Ataques de seqestro geralmente ocorrem em um computador remoto. Entretanto, s vezes, possvel seqestrar uma conexo a partir de um computador na rota entre o cliente e o servidor (ZWICKY et al. 2000). A nica forma de proteo neste caso permitir conexes partir de computadores em que o servidor confie. Isto pode ser conseguido atravs de configurao do filtro de pacotes ou por alteraes de configurao no software que executado no servidor (ibidem). Os seqestros de conexes que ocorrem no computador remoto, acontecem quando usurios deixam conexes em aberto e se ausentam do local. A possibilidade de este ataque ocorrer, depende da quantidade de usurios que podem se identificar no sistema e principalmente, da responsabilidade de cada um deles. Seqestros que ocorrem em computadores intermedirios so altamente tcnicos e, geralmente, deve haver muitos motivos que levem um hacker a faz-lo, devido a sua relativa complexidade. (ZWICKY et al. 2000) O risco de seqestro de conexes pode ser diminudo aplicando-se polticas srias de controle de time-outs em caso de inatividade, como tambm por auditorias, na tentativa de se alertar ao administrador de sistema caso um seqestro ocorra (ibidem).
15
Proteger o login e a senha uma tarefa fcil, atravs de senhas no reutilizveis, ou seja, que so alteradas para cada conexo que se faz, inutilizando a senha que serviu para a conexo (ibidem). J a tarefa de se proteger os dados que trafegam em uma conexo mais complicada. Estes dados precisaro ser criptografados antes de serem transmitidos de uma forma que somente o verdadeiro computador de destino possa decodifica-lo (ZWICKY et al. 2000).
3.1.8. Replay
Um invasor, que no possa tomar controle de uma conexo ainda pode ser capaz de danificla salvando uma cpia da informao que passa, e reenviando-a novamente. H dois tipos de ataque por replay: um onde deve ser capaz de identificar certas partes da informao (por exemplo, senhas) e outro onde simplesmente se reenvia o pacote inteiro. A criptografia ajuda a evitar este tipo de ataque (ZWICKY et al. 2000).
16
Outras formas deste ataque so praticamente impossveis de se impedir. Um grupo de pessoas pode escolher o mesmo alvo e caracterizar um ataque distribudo, impedindo novamente que os usurios legtimos faam uso do recurso em questo ibidem). Em geral, esta forma de ataque no causa danos as informaes, nem ao hardware atacado, salvo se, em conseqncia de seu desligamento acontea algum dano lgico (devido ao processo normal de desligamento que muitas vezes no poder ser efetuado, causando perda de alguns arquivos) (UNISINOS, 1998). Mesmo sendo verdadeiro o fato de que os ataques de negao de servios no podem ser totalmente prevenidos (ZWICKY et al. 2000), pode-se dificultar que um atacante (ou um grupo de atacantes) consiga realizar seu intento. Isto acontece em duas etapas: Os hosts no devem ficar indisponveis quando comandos invlidos ocorrerem. Muitas vezes, hosts mal administrados deixam de responder ao usurio se um comando invlido repetir-se vrias vezes. Os hosts devem limitar os recursos alocados para cada entidade que solicita conexo. Isto inclui: o O nmero de conexes abertas por servidor (Web server, SMTP server, etc...); o O tempo mximo de persistncia de uma conexo; o A quantidade de processamento alocada para atender uma requisio de conexo; o A quantidade de memria alocada para atender uma requisio de conexo; o A quantidade de espao em disco rgido alocada para atender uma requisio de conexo.
17
18
3.1.12. IP Spoofing
o nome dado para as falsificaes de endereos IP, fazendo com que um pacote seja emitido com o endereo de origem diferente do computador que o enviou. Com o uso desta tcnica possvel para um atacante assumir a identidade de qualquer outro computador ligado Internet. O maior perigo deste ataque se d nos servios baseados no protocolo UDP (User Datagram Protocol). Atravs do spoofing de IP possvel para um atacante tirar proveito dos hosts confiveis armazenados no arquivo .rhosts existentes nos sistemas operacionais Unix e derivados, possibilitando acessos via rlogin por exemplo, onde a senha no exigida. Alvos: principalmente os sistemas operacionais derivados do BSD (Berkley System Distribution), por serem os que implementam servidos de rlogin e rsh (UNISINOS, 1998).
19
Esta autorizao muitas vezes no difcil de ser obtida pois o X-Windows possui dois mtodos de autenticao, um no nvel de usurio e outro no nvel de mquina. Este ltimo permite que um ataque por IP spoofing d acesso a este recurso (o ambiente grfico) do sistema operacional (UNISINOS, 1998). Os servidores X-Windows utilizam portas com nmeros bem definidos, sendo que o primeiro servidor de cada computador utiliza a porta 6000, o segundo 6001 e assim sucessivamente. Portanto, basta bloquear no host o acesso externo a estas portas (ibidem).
20
Hanson: explora os soquetes criados pelo software cliente de IRC (Internet Relay Chat) fazendo-o travar. Geralmente estes softwares (como o Mirc, para Windows) aceitam um volume de dados maior do que conseguem manipular, ocasionando uma necessidade de armazenamento em buffer maior do que o limite disponvel. O resultado o travamento do sistema operacional. Alvo: Usurios de cliente de IRC.
Beer: o envio de pacotes ICMP (Internet Control Message Protocol) com endereos de origem aleatrios e falsos, causando, no computador de destino, a necessidade de conferir a origem de cada um destes pacotes, elevando o uso do processador nveis que o faam parar de responder para o usurio local. Alvos: Sistemas operacionais Windows.
Teardrop: este algoritmo explora um bug no mdulo de fragmentao de endereos IP. Pode causar indisponibilidade no computador alvo. Alvos: Linux, com kernel inferior verso 2.0.32 e Windows.
Win nuke: causa negao de servio, derrubando a conexo do protocolo IP. Isto feito explorando a porta TCP 139, que atende requisies NetBIOS. Vrios problemas ocorrem. O mais comum a falha geral de proteo do sistema operacional, o GPF (General Protection Fault). Alvos: Sistemas operacionais Windows.
Land: este algoritmo causa a negao de servio atravs do envio de pacotes que tm endereo de origem falso gerado aleatoriamente, causando no alvo a necessidade de conferir a origem de cada um deles. O computador fica sem recursos para atender ao usurio. Alvos: Windows NT 4 e Workgroups.
Coke: dependendo do estado da configurao de logging do host, este algoritmo pode causar aumento da ocupao do espao em disco arbitrariamente. Alvo: Host Windows NT com servio WINS.
Open tear: consiste no envio de uma grande quantidade de pacotes UDP para o alvo. Geralmente isto causa a negao de servio, fazendo com que o host no atenda aos usurios. Alvos: Windows e Linux.
21
4. ENGENHARIA SOCIAL
LIMA (2000) define Engenharia Social da seguinte forma " o mtodo de se obter dados importantes de pessoas incautas atravs da velha e conhecida lbia." J FONTES (2001), profere que o termo Engenharia Social relativamente novo, porm, o assunto no, definindo-o assim: aquela conversa que encanta quem est ouvindo e faz com que esse ouvinte fique com total confiana em quem est falando. Estas duas citaes tm muito a ver com a segurana da informao. Quando dizemos que a proteo da informao deve ser tratada de forma profissional, significa que ela deve ser estruturada, deve ter regras e normas explcitas e ser vlida para todos. E isto deve ser de conhecimento de todos. Tudo isto acaba invlido se um assessor da presidncia da empresa for barrado no acesso fsico de uma rea restrita e no outro dia o vigilante que estava cumprindo a norma for mandado embora por este fato. Esta situao demonstra que a organizao no deseja ter uma segurana efetiva, mas sim, uma segurana faz de conta (FONTES, 2000). Na opinio de ANTIHACKERS (2000), o mtodo mais simples, mais usado e, infelizmente, mais eficiente de se descobrir uma senha perguntando ao detentor dela. Basta que algum convena um funcionrio mal informado que ele acaba contando. Pode no ser a senha, mas ele vai contar o tipo de sistema, o tipo de computador, e o que mais ele souber ou lembrar. Tudo depende de quo eficiente o "Engenheiro Social", e quais conhecimentos sobre a empresa o alvo possui. Prestar ateno no tipo de informao que sai da empresa, nos papis jogados no lixo e na entrada das pessoas estranhas so formas comuns de prtica da engenharia social. Outra estratgia encontrar um organograma da empresa. A partir da, o intruso vai saber com quem estar falando, podendo se fazer passar, inclusive, por uma pessoa de maior hierarquia, como o diretor de informtica, por exemplo (ibidem). O hacker se passa por outras pessoas, enganando os funcionrios da empresa. Para poder fazer um "teatro" convincente, ele utiliza informaes (nomes de usurios ou, do administrador) coletadas previamente. Com isto o invasor consegue obter informaes privilegiadas (p.e. senhas), ou ento induzir funcionrios a executar aes que enfraqueam a segurana (p.e. executar um trojan ou uma reinicializao de senha) (NETSEC INTERNET SECURITY, 2000).
22
23
5. FIREWALLS
Os firewalls, para UNISINOS (1998), protegem a rede interna de trabalho contra os perigos da Internet (Figura 2). Eles servem para mltiplos propsitos: Restringir a entrada de pessoas no sistema. Prevenir contra ataques que possam atingir defesas. Restringir ou limitar acessos dos usurios internos Internet.
Para se compreender a tecnologia utilizada nas implementaes de firewalls, preciso ter conhecimento dos objetos com os quais o firewall lida: pacotes e protocolos. Para transferir informaes atravs de uma rede, estas informaes devem ser quebradas em pequenas partes, transferidas uma a uma separadamente. Quebrar as informaes em pedaos permite a muitos sistemas dividirem a rede, cada um enviando partes de suas informaes na sua vez. Em uma rede IP, estes pedaos de informao so chamados de pacotes. (ZWICKY et al. 2000)
24
Os pacotes so construdos de uma forma que as camadas para cada protocolo usado para uma conexo em particular sejam quebrados em pacotes menores, ficando encapsulados de uma forma concntrica (ZWICKY et al. 2000). Em cada camada, um pacote tem duas partes: o cabealho e o corpo. O cabealho contm informaes relevantes para aquela camada, enquanto o corpo contm os dados daquela camada, que consiste de um pacote completo para a prxima camada superior. Cada camada trata as informaes que recebe da camada acima e aplica seu cabealho ao dado. Este processo de se preservar os dados enquanto se anexa novos cabealhos chamado de encapsulamento (Figura 3) (ibidem).
25
26
5.1.1.2. A Camada IP
ZWICKY et al. (2000) diz que, nesta camada, o pacote IP tambm composto de duas partes: o cabealho IP (Figura 4) e o corpo IP. Do ponto de vista de um filtro de pacotes , o cabealho IP contm informaes teis: O endereo IP de origem. O endereo IP de destino. O tipo de protocolo IP (TCP ou UDP). O campo de opes.
27
Figura 4 Definio do cabealho e corpo de um pacote TCP/IP. Fonte: (ZWICKY et al. 2000)
A maioria das redes especificam um tamanho mximo para o pacote, que muito maior que o limite imposto pelo IP. Para sanar este conflito, o IP divide os pacotes grandes demais para trafegar na rede em sries de pacotes, chamadas fragmentos. A fragmentao (Figura 5) no muda as estruturas da camada IP (os cabealhos IP so duplicados em cada fragmento), mas isto pode significar que o corpo contm apenas uma parte do pacote na prxima camada (ZWICKY et al. 2000).
28
Nesta camada, ZWICKY et al. (2000) relata que o pacote novamente consiste de duas partes: o cabealho TCP e o corpo TCP. Do ponto de vista do firewall, o cabealho TCP contm trs informaes interessantes: A porta TCP de origem. A porta TCP de destino. O campo de flags.
O corpo TCP contm a informao propriamente dita, por exemplo, o caractere transmitido em uma sesso Telnet, ou o arquivo transferido em uma conexo FTP.
29
6. SERVIOS DA INTERNET
Saber quais servios sero prestados pela infra-estrutura da corporao um passo muito importante durante a fase de projeto dos equipamentos computacionais que vo compor uma rede. Portanto todo modelo que difere nos servios a prestar, difere na configurao dos equipamentos de segurana. Entretanto para ZWICKY et al. (2000), a maioria das redes atende sempre a cinco servios bsicos: World Wide Web access (HTTP); Correio eletrnico (SMTP); Transferncia de arquivos (FTP); Acesso de terminal remoto (TELNET e/ou SSH); Converso de nomes de domnio em endereos IP (DNS). Todos estes servios so regulamentados e podem ser providos de forma segura de diversas formas, inclusive estando protegido por filtros de pacotes ou por sistemas proxy (Figura 6).
30
Figura 6 Usar proxy para redirecionar pedidos do cliente. Fonte: (ZWICKY et al. 2000)
31
6.1.1. A Web
Consiste na coleo de servidores na Internet que atendem a requisies no protocolo de comunicao HTTP. baseado em conceitos desenvolvidos na European Particle Physics Laboratory (CERN) em Genebra, na Sua, por Tim Berners-Lee e outros pesquisadores. Hoje, muitas organizaes e indivduos esto desenvolvendo este servio da rede e um nmero muito maior de empresas e pessoas esto fazendo uso desta tecnologia. A Internet Engineering Task Force (IETF) responsvel por manter o HTTP padronizado e o World Wide Web Consortium (W3C) por desenvolver seus futuros sucessores (ZWICKY et al., 2000).
32
33
34
Questes relevantes para ZWICKY et al. (2000) sobre o fornecimento deste tipo de servio so: H controles apropriados para identificar quem pode acessar o computador remotamente? De que forma so autenticados os usurios? possvel algum intruso tomar conta de uma conexo em andamento? possvel alguma ferramenta de anlise de rede capturar informaes sigilosas, particularmente, as credenciais do usurio? Telnet est, cada vez mais, deixando de ser o servio padronizado na Internet para tarefas de administrao remota. Porm, este servio j foi considerado seguro por requerer credenciais do usurio. Comparado com os servios de execuo remota de comandos rsh e rlogin, isto realmente faz sentido. Entretanto, estas credenciais podem ser to facilmente capturadas atravs da Rede que seu uso se torna muito arriscado (ZWICKY et al. 2000). Para solucionar as srias falhas do Telnet, criou-se o to bem aceito Secure Shell (SSH), que prov uma coleo de utilitrios capazes de fornecer servios criptografados de execuo remota de comandos, como tambm, transferncia segura de arquivos. Implementaes deste protocolo esto disponveis atravs de vrios fornecedores e esto se tornando o novo padro no que diz respeito administrao remota (ibidem).
35
Quando financeiramente vivel, exigir identificao atravs de recursos menos burlveis ainda, como autenticao por SmartCards, que so cartes, (parecidos com o de crdito) que armazenam a chave pblica do usurio e so praticamente impossveis de se forjar.
36
7. POLTICAS DE SEGURANA
"A poltica de segurana, do ponto de vista da administrao de sistemas, deve ser vista como a poltica de segurana utilizada por uma nao para receber estrangeiros." (ZWICKY et al. 2000). "A Poltica de Segurana um conjunto de regras, que tm por objetivo disciplinar o uso da rede de trabalho. Na poltica de segurana, deve se especificar quem tem acesso rede, quais os direitos de cada usurio ou grupo, quais servios so disponibilizados e para quais grupos. importante tambm que a Poltica de Segurana tenha definido punies para cada tipo de infrao cometida." (UNISINOS, 1998). A palavra poltica sugere, para muitos, que se trata de documentos inacessveis, formulados por grandes comits e que so impostas a todos e, posteriormente, ignoradas com o passar do tempo. Porm, as polticas discutidas na administrao de sistemas, so tticas, que envolvem a construo de um firewall, os detalhes de que servios so necessrios e quais so proibidos, entre outros. Entretanto, no importa a qualidade do conjunto de tticas, se a estratgia de aplicao destas for mal sucedida (ZWICKY et al. 2000). Para RIBEIRO (1998), o objetivo da poltica de segurana resume-se em manter sob controle o armazenamento da informao, que muitas vezes, o bem mais valioso de uma empresa devendo seguir estes 4 paradigmas bsicos: Integridade: A condio na qual a informao ou os recursos da informao so protegidos contra modificaes no autorizadas. Confidencialidade: Propriedade de certas informaes que no podem ser disponibilizadas ou divulgadas sem autorizao prvia do seu dono. Disponibilidade: Caracterstica da informao que se relaciona diretamente a possibilidade de acesso por parte daqueles que a necessitam para o desempenho de suas atividades. Legalidade: Estado legal da informao, em conformidade com os preceitos da legislao em vigor, no que se refere aplicao de medidas punitivas. De outra forma, ZWICKY et al. (2000) considera 4 questes para a formulao da poltica de segurana:
37
Capacidade financeira: Quanto custa a segurana? Funcionalidade: Pode-se utilizar o sistema de forma plena? Compatibilidade cultural: A poltica de segurana proposta est em conflito com a forma como as pessoas normalmente interagem com os que esto do lado de fora da empresa?
7.1.1. Explicaes
importante que o documento seja explcito e compreensvel sobre todas as decises a serem tomadas. A maioria das pessoas no ir seguir as regras a no ser que compreendam a sua importncia.
38
39
Comparaes Externas Todos os documentos de polticas de segurana so diferentes, pois, empresas diferentes tm conceitos diferentes, usurios diferentes e capacidades diferentes. No se pode portanto, esperar bons resultados utilizando uma poltica j existente e alterando apenas os nomes escritos nela.
III - DESENVOLVIMENTO
1. INTRODUO
Para que se possa entender a importncia e a necessidade de se manter seguros os sistemas que hospedam contedo na Internet, so apresentadas aqui algumas informaes a respeito do uso da Internet para fins maliciosos. A Tabela 2 informa em valores numricos a quantidade de ataques ocorridos no Brasil que foram reportados ao NIC BR Security Office, entidade mantida pelo Comit Gestor da Internet no Brasil, que responde aos ataques com procedimentos legais de investigao.
Tabela 2 Totais Mensais e Anual Classificados por Tipo de Ataque. Ano 2000 Ms Total axfr (%) af (%) dos (%) invaso (%) Jan 424 28 6,60 108 25,47 11 2,59 3 0,71 Fev 509 61 11,98 78 15,32 8 1,57 11 2,16 Mar 541 55 10,17 117 21,63 14 2,59 8 1,48 Abr 351 19 5,41 93 26,50 17 4,84 5 1,42 Mai 480 12 2,50 145 30,21 15 3,12 11 2,29 Jun 641 7 1,09 215 33,54 8 1,25 17 2,65 Jul 585 2 0,34 80 13,68 13 2,22 17 2,91 Ago 432 2 0,46 112 25,93 6 1,39 13 3,01 Set 337 3 0,89 90 26,71 6 1,78 15 4,45 Out 468 0 0,00 139 29,70 4 0,85 7 1,50 Nov 573 2 0,35 167 29,14 34 5,93 13 2,27 Dez 656 9 1,37 196 29,88 23 3,51 7 1,07 Total 5997 200 3,34 1540 25,68 159 2,65 127 2,12 Fonte: NIC BR Security Office
aw (%) scan (%) 57 13,44 217 51,18 80 15,72 270 53,05 38 7,02 309 57,12 22 6,27 194 55,27 28 5,83 267 55,62 20 3,12 374 58,35 22 3,76 450 76,92 16 3,70 280 64,81 12 3,56 209 62,02 17 3,63 301 64,32 57 9,95 295 51,48 46 7,01 372 56,71 415 6,92 3538 59,00
fraude (%) 0 0,00 1 0,20 0 0,00 1 0,28 2 0,42 0 0,00 1 0,17 3 0,69 2 0,59 0 0,00 5 0,87 3 0,46 18 0,30
Legenda: axfr: Tentativas de obter mapas de DNS. af: Ataque ao usurio final. dos: Denial of Service (negao de servio). aw: Ataque ao servidor web.
41
42
2. ESTRATGIAS DE SEGURANA
importante entender algumas das estratgias bsicas empregadas na construo de sistemas de segurana. Os tpicos mais relevantes so: Lei do privilgio mnimo; Defesa em profundidade; Ponto de aferio; Elo mais fraco; Segurana em caso de falha; Poltica de negar conexes como padro; Poltica de aceitar conexes como padro; Participao universal; Simplicidade; Segurana atravs de obscuridade.
43
No contexto da Internet, cada usurio deve obter apenas o acesso que realmente necessita ao sistema. Por exemplo, os usurios no necessitam direitos de leitura a todos binrios do sistema, os operadores de backup no necessitam todos privilgios de um administrador de sistemas. Um administrador de sistemas no necessita credenciais de acesso em sistemas que ele no mantm. Um sistema no necessita de privilgios de escrita em outro sistema. A maioria dos sistemas operacionais no chega at os administradores com a lei do privilgio mnimo totalmente aplicada, forando o administrador de sistemas a constantemente explorar novas formas de prover os mesmos recursos envolvendo sempre os menores privilgios, como por exemplo: No conceder privilgios administrativos a um usurio se tudo que ele necessita poder reiniciar o servio de impresso. Para tal, inclua-o no grupo de operadores de impresso (criando um novo, onde for caso) e para este grupo conceder permisso de execuo do binrio que ativa o servio. No executar programas nem servios com privilgios genricos. Muitas vezes comum haver no sistema um usurio genrico, sob o nome de nobody e a ele atribuir todos servios. Este procedimento expande os privilgios de um atacante que invade o sistema. No aceitar credenciais, incluindo as legtimas, se estas apresentarem como ponto de origem um dos sistemas que age como firewall, porque a segurana deles pode sempre estar comprometida. Muitos dos problemas de segurana na Internet podem ser vistos como falha no cumprimento da lei do privilgio mnimo. Por exemplo, o Sendmail, que o agente de transporte de mensagens eletrnicas mais utilizado na Rede, complexo e tem todas as suas tarefas (coletar mensagens entrantes, escrever na caixa de mensagens do usurio, etc) sob privilgios de um mesmo usurio (at o presente momento, setuid to root). Por necessitar de tanto acesso ao sistema este software continuar a receber muita ateno dos hackers. Isto implica em que programas superprivilegiados devem ser o mais simples possvel e deve sempre haver formas de se separar e isolar partes de software que no precisam estar agrupadas em binrios de execuo complexa.
44
A aplicao da lei do privilgio mnimo relativamente simples de se aplicar quando se quer reduzir privilgios de execuo de softwares mas pode exigir cautela quando se tratar de pessoas. Deve haver cuidado para que os usurios realmente consigam fazer o que desejam e aceitem os limites definidos pelo administrador para realizar suas tarefas. Em suma, a maioria das solues que um administrador de sistemas aplica a uma rede resume-se a aplicao da lei do privilgio mnimo. Como exemplos tem-se o filtro de pacotes, que um conjunto de regras cujo objetivo a minimalizao de privilgios que se concede a conexes entre redes, e o sistema de quotas em disco, que impede um usurio de utilizar mais espao em disco do que o concedido.
45
Na segurana de redes e sistemas o firewall entre a Internet e a intranet o maior ponto de aferio que o administrador tem com o atacante, ento muito importante saber monitorar este canal e principalmente, saber como agir caso um ataque se inicie. Todo cuidado com um canal perde o sentido quando outros so deixados sem ateno. Por exemplo, de que adianta monitorar o firewall se existem inmeras linhas dial-up aguardando conexes que do acesso no filtrado aos servidores de informao? O modelo de segurana orientado a hosts, que aquele quando se colocam vrios servidores atendendo um link, cada um com seu firewall (que na verdade no passa de um filtro pessoal de pacotes) e um caso tpico de falha na implementao de pontos de aferio.
46
O fato mais importante para aplicao deste conceito conhecer a postura geral da rede com relao segurana, podendo ser agrupadas em duas: Postura de negar conexes em situaes no regulamentadas; Postura de permitir conexes em situaes no regulamentadas; Pode parecer bvia qual deve ser a postura geral de uma rede com relao a sua segurana, mas os motivos que fundamentam cada uma delas so os que seguem.
47
Assinatura de documento responsabilizando o usurio por seus atos na World Wide Web e demais servios. Vrios conflitos entre administradores de sistemas e usurios surgem com a implantao
desta poltica, como por exemplo, o compartilhamento de arquivos atravs da Internet, que visto como extremamente inseguro pela maioria dos administradores, porm, a primeira idia que os usurios em geral tm quando necessitam trocar arquivos dentro e fora da rede de trabalho. A utilizao de um servidor de FTP pode neste caso amenizar a situao, j que exige de ambos a necessidade de se autenticar em um sistema operacional designado para atuar como servidor.
2.7. Simplicidade
Simplicidade uma estratgia por dois motivos: 1. Manter os sistemas simples faz deles sistemas mais fceis de se entender. No dominar por completo um sistema, faz do administrador algum incapaz de dizer se ele est seguro ou no; 2. A complexidade fornece um ambiente propcio para ocultar falhas ao administrador. Programas complexos costumam ter mais bugs que podem levar a falhas de implementao de software. Deve ser portanto, uma prtica do administrador de sistemas, manter as tarefas simples de usar, manter e de administrar.
48
Instalar um computador e conecta-lo a Internet sem ningum saber sobre a existncia dele; Desenvolver algoritmos de criptografia prprios, ou fazer uso de outros incomuns; Instalar um servidor em uma porta diferente do padro para fins de utilizao interna; Fornecer informaes diferentes para usurios de origem externa sobre os nomes-demquina da rede;
Omitir verso do software que est atendendo a um servio. Em geral, discute-se muito a eficincia deste mtodo, j que existem formas de detectar a
presena de computadores no anunciados na rede atravs de network scanning (varredura de rede) ou de servidores em portas diferentes do padro atravs de port scanning (varredura de portas de hosts). De fato, este mtodo ineficiente em muitos casos, mas quando usado em conjunto com os demais, certamente contribui para o aumento do nvel de segurana da rede.
49
Convidados
20 administradores de rede da regio do Vale do Itaja, em Santa Catarina, no Brasil. Participantes efetivos 15. Ambientes de trabalho visitados 08 ambientes. pelo autor. Locais de trabalho dos Provedores de acesso Internet, redes acadmicas e empresas entrevistados. comerciais. Quantidade de questes 6 questes objetivas sendo 3 de escolha simples e 3 de mltipla escolha
3.1. Questo 1
A primeira questo Qual o sistema operacional predominante em seus hosts? tem o objetivo de fornecer o cenrio da regio com relao ao uso dos diversos sistemas operacionais existentes.
Tabela 4 Qual o sistema operacional predominante em seus hosts?
50
13%
3.1.1. Anlise
Fica evidente o predomnio de sistemas operacionais que implementam o padro POSIX (Portabe Operating System Interface) sendo eles o GNU/Linux e o FreeBSD. Isto leva a concluir que o modelo de proteo de redes contar tambm com estes sistemas operacionais.
3.2. Questo 2
O segundo questionamento trata da maneira como est definida atualmente a poltica de uso e segurana dos sistemas e recursos computacionais que so fornecidos para os usurios da rede (clientes dial-up e dedicados no caso dos provedores de acesso; usurios da LAN para os demais).
Tabela 5 Como voc define a poltica de segurana na rede que administra?
Existe uma poltica documentada, que estipula limites e penalidades. Fao recomendaes verbais e informais para os usurios da rede. No existe nada nesse sentido.
51
Poltica de Segurana
3.2.1. Anlise
A importncia da execuo formal da poltica de segurana relatada na Parte I deste trabalho. Entretanto, a maioria dos administradores de rede entrevistados desconhece ou no mantm vigente algum conjunto formal de normas sobre as normas de uso dos servios prestados por seu setor ou sua empresa.
3.3. Questo 3
Na terceira questo Quais dos seguintes conceitos de segurana voc aplica na rede que administra? obteve-se estes resultados:
Tabela 6 Quais dos seguintes conceitos de segurana voc aplica na rede que administra?
Criptografia em terminais Filtragem de pacotes Zona desmilitarizada (DMZ) Centralizao de autenticao (NIS, LDAP, Outros) Bridging
52
3.3.1. Anlise
A criptografia de conexes entre terminal e servidor se tornou fundamental. Essas conexes transportam a autenticao dos usurios e proteger-se contra ao de sniffers esforo quase unnime para os participantes da pesquisa. A filtragem de pacotes, em teoria, deve ser o resultado de um estudo profundo sobre a poltica de segurana, porque desse modo fica sendo apenas a aplicao prtica daquilo que j se formalizou. Porm, como grande parte dos entrevistados no exerce documentao formalizada a filtragem fica a cargo do conhecimento tcnico do administrador da rede. Zonas desmilitarizadas fornecem uma camada adicional de segurana atravs da criao de uma terceira rede entre a Internet e a LAN. O uso desta tcnica implica na adio de um roteador e de alteraes na poltica de direcionamento de trfego. Estes motivos, em conjunto com o relativo aumento dos custos de projeto e manuteno da rede, justificam o baixo ndice de utilizao da topologia DMZ. Os sistemas centralizados de autenticao, como LDAP (Lightweight Directory Access Protocol), NIS (Network Information System), NDS (Novell Directory Service) e Active Directory no so muito utilizados. Na pesquisa, isto se deu por dois motivos: O LDAP e o Active Directory so protocolos muito recentes, estando em fase de estudo para alguns administradores e ainda no tendo sido avaliados pelo restante. O NIS, que j existe a mais tempo, inseguro, sendo portanto, deixado de lado.
53
O Bridging um caso especial: no usado por nenhum dos participantes da pesquisa. Os motivos so vrios e esto descritos na questo 5 desta pesquisa. Entre eles: Impossibilidade de conciliar tempo para estudo do bridge host e dos pr-requisitos para seu funcionamento; Documentao sobre o assunto ainda limitada e pouco divulgada; O administrador admite desconhecer ou no saber fazer este mtodo de segurana.
3.4. Questo 4
A quarta pergunta questiona o posicionamento do(s) filtro(s) de pacote(s) com relao topologia de rede existente no local de trabalho do entrevistado. A tabela abaixo apresenta as respostas. Tenho um (ou mais de um) host fazendo somente filtragem de pacotes. Mantenho um filtro de pacotes mas agrego nele outras funes. (Proxy, NAT, FTP etc...) Todos servios que disponibilizo esto em um computador e nele filtro pacotes. Somente configuro a filtragem de pacotes nos servidores que atendem aos usurios. No fao filtragem de pacotes. 22% 34% 22% 11% 11%
54
Filtragem de pacotes
Firewall agregada com NAT e/ou SQUID Firewall dedicado Todos servios em um host
22% 22%
3.4.1. Anlise
O cenrio mais comum que a pesquisa relata no que diz respeito a filtragem de pacotes o do posicionamento do filtro no mesmo computador que faz a traduo de endereos e o proxying. Esta topologia justa, pois o equipamento pode suportar a carga que lhe dada. Mesmo assim existe um comprometimento do firewall porque este precisa receber endereamento IP rotevel sendo visvel por toda a Internet. Esta topologia comum nas redes acadmicas e em algumas LANs comerciais. A anlise do questionrio conclui que 22% dos administradores mantm um filtro dedicado. J que este(s) equipamento(s) recebe(m) endereamento no protocolo IP subentende-se portanto que esto to expostos quanto os firewalls com servios agregados. O motivo para que outros 22% dos participantes concentrassem todos servios em um s equipamento claro: custo. As organizaes que mantm esta topologia optam por no investir em mtodos de segurana alm daqueles que no precisam novos investimentos. Esta situao ocorreu somente em empresas comerciais, no ocorrendo portanto com provedores de acesso nem nas redes acadmicas. Alguns administradores de rede optam por habilitar a filtragem de pacotes diretamente nos servidores. Esta topologia comum em provedores de acesso e os benefcios do Modelo Proposto so muito evidentes neste caso, como ser visto no prximo captulo.
55
O restante (11%) no filtra pacotes. Nestes casos, geralmente o(s) servidor(es) no recebem ateno de administradores de rede, mas sim de profissionais que exercem outras tarefas no departamento de informtica e que esto apenas comeando a servir contedo na Internet.
3.5. Questo 5
Quinta questo: Se voc no mantm um host dedicado somente a filtrar pacotes, isto acontece por qual (quais) motivo(s)? (Tabela 7)
Tabela 7 Motivos para no manter um filtro de pacotes dedicado.
Complexidade versus Tempo disponvel No sei porque ou como fazer Financeiramente invivel No aumentar a segurana no meu caso
56
33%
3.5.1. Anlise
Conciliar tempo para entender o funcionamento de um filtro dedicado , neste caso, o principal motivo para que um administrador no o faa. Mais do que ser capaz de prepar-lo, este equipamento deve receber monitoramento contnuo porque nele so relatadas todas as anomalias detectadas nos pacotes IP pelos NIDSs (Network Intrusion Detection System). Neste ponto, surge a figura do analista de segurana, um profissional que trabalha em conjunto com o administrador de redes, porm focalizado no monitoramento da informao que trafega, na pesquisa por novos sistemas e nas tarefas contnuas de execuo do plano de contingncia e da poltica de segurana. A falta de conhecimento sobre como se prepara e se mantm um firewall dedicado tambm um dos motivos para os entrevistados no o fazer. Na maioria dos casos as redes comeam pequenas, sem necessidades requintadas de segurana e depois a migrao e o downtime necessrio para execuo de testes quase impossibilita esta melhoria. No Modelo Proposto sugere-se um firewall dedicado cujo downtime muito prximo de zero ou, no maior do que o tempo necessrio para uma troca de dois cabos de rede.
3.6. Questo 6
Em relao sexta questo: Qual(is) sistema(s) de deteco de intrusos esto em atividade na sua rede? obteve-se os seguintes resultados:
57
10 ocorrncias. 8 ocorrncias. 4 ocorrncias 3 ocorrncias 2 ocorrncias 2 ocorrncias. 1 ocorrncia. Nenhuma ocorrncia. 2 ocorrncias.
N en hu m
ck
um
ro
he
sa
pd
et
Tc
3.6.1. Anlise
O alto ndice de uso de outras ferramentas que no as listadas se d pelo motivo de que existem procedimentos especficos de cada sistema operacional que servem como ferramenta de deteco de intrusos. O GNU/Linux conta com o LIDS (Linux Intrusion Detection System). J o FreeBSD emite relatrios diariamente com alteraes relevantes no sistema. O Novell Netware por sua vez pode ter o border manager configurado para fins similares. Porm, entre as ferramentas multiplataforma, tm se o Tcpdump (TCPDUMP, 2001) como a mais usada. O Tcpdump um utilitrio que monitora o trfego que passa nas interfaces de rede. uma ferramenta genrica.
Lo
gc
Sn
ut
or
in
58
Seus pontos fortes so: Flexibilidade. Por exemplo: tcpdump i rl0 dst host 192.168.1.1 and port 23 or port 110 or
port 21 para
Distribudo junto com a maioria dos sistemas operacionais POSIX; Fcil aprendizado e utilizao. A sada pode ser direcionada para arquivo e analisada posteriormente.
E principais pontos fracos: Precisa ter seu comportamento ajustado pelo administrador da rede; Est limitado a ser um sniffer, a interpretao depende do administrador. O Tripwire (TRIPWIRE, 2001) um analisador de integridade do sistema de arquivos. Este tipo de software utiliza algoritmos criptogrficos para criar fotografias do sistema de arquivos. Qualquer modificao nos arquivos, como por exemplo a instalao de um rootkit facilmente detectada comparando as fotografias de antes e depois do ataque. Para ambientes GNU/Linux est sob licena GNU General Public License. No FreeBSD entretanto, caso no se deseja obter licena comercial para o Tripwire pode-se optar pelo AIDE (Advanced Intrusion Detection Environment) sob GPL para todos sistemas operacionais. Portsentry um Host-based Intrusion Detection System criado pela Psionic (PSIONIC, 2001) capaz de identificar varredura de portas. Manter um software como este faz com que o administrador de redes saiba o momento e a origem dos ataques que o Portsentry pode identificar. Pontos fortes do Portsentry: Detecta stealth scans (GNU/Linux); Baseado em regras pr-definidas de comportamento, sem necessidade de interveno do usurio. Pontos fracos:
59
Por funcionar com regras pr-definidas precisa ser atualizado para se adaptar a novas formas de ataque;
Chkrootkit (MURILO, 2001) um conjunto de shell scripts que testa o sistema contra uma variedade de rootkits. Pontos fortes do chkrootkit: Detecta de forma rpida e eficiente os rootkits mais conhecidos; Sua utilizao fcil e pode ser inserida no agendador do sistema (vixie cron, anacron, etc...) Pontos fracos: Assim como os demais softwares, no deve ser o nico sistema de deteco instalado; O programa somente informa a deteco de rootkits. No os remove nem prov procedimentos para remoo deles. O netsaint (NETSAINT, 2001) um IDS hbrido, que monitora host e rede utilizando-se de regras obtidas com o produto e que tambm podem ser programadas para fins especficos do administrador. Pontos fortes: Anlise em tempo real do trfego da rede. Relatrios de fcil leitura e alto teor tcnico so gerados e podem ser acessados por um browser. Ponto fraco: Setup inicial complexo e propenso a falhas at que se entenda o funcionamento dos arquivos de configurao.
60
O Logcheck (PSIONIC, 2001) , assim como o Porsentry, um dos integrantes da sute de ferramentas de segurana Abacus Project. Este programa tem a funo de analisar logs gerados pelos seguintes softwares: Sute Abacus Project; TCP Wrappers; System Logger (SyslogD); Log Dmon; TIS Firewall Toolkit. uma ferramenta de auxlio na deteco de intrusos, j que sua tarefa fazer a anlise e interpretao de arquivos-texto em lugar do administrador. Ponto forte: altamente integrado aos softwares para os quais foi desenhado; Ponto fraco: Por ser altamente integrado, no importante quando a configurao do host no inclui muitos dos aplicativos que ele suporta. Snort (ROESCH, 2001) um kit de deteco de intrusos quase completo. Vem pr configurado e a atualizao das regras de comportamento so atualizadas a cada 30 minutos no website. Funcionando de forma parecida com os anti-vrus para desktops ele pesquisa por assinaturas conhecidas de ataque e toma as seguintes aes: Relata, em arquivo de log todas informaes necessrias do ataque, entre elas: classificao, nvel de risco, endereo de origem, data e referncias para estudo sobre o ocorrido; Opcionalmente, atravs do mdulo Guardian, escreve em tempo real uma regra que alimenta o filtro de pacotes impossibilitando a continuao do ataque.
61
3.7. Questo 7
A stima questo Qual(is) ataque(s) voc j detectou em sua rede? trata dos ataques que j foram detectados nas redes pesquisadas.
Tabela 9 Qual(is) ataque(s) voc j detectou em sua rede?
Port Scan Fora bruta Outros Negao de servio Rootkits Ataque contra o usurio Nenhum Mapas de DNS
Incidentes
Port Scan Fora Bruta Outros Negao de Servio Instalao de rootkit Ataque contra usurio Nenhum Mapas de DNS 1 2 2 3 4 7 10 13
O ndice relativamente alto de varreduras de portas (port scan) justificado pelo fato de que ele serve como base para os demais ataques. Atravs de uma varredura consegue-se obter entre outras, as seguintes informaes do alvo: Nome e verso do sistema operacional; Quais portas TCP e UDP esto em estado de escuta; Nome e verso do software que est atendendo cada porta em estado de escuta.
62
Estas informaes so essenciais quando o atacante, para obter sucesso, depende de falhas na implementao dos softwares que esto em execuo no host. O ataque por fora bruta aquele onde o atacante sabe o nome de login da vtima e tenta seqncias de senhas com base em dicionrios ou geradas seqencialmente contra servidores que as solicitam, como FTP e POP. O resultado que aps horas de execuo, estes programas podem acabar por formular a senha correta informando-a para seu utilizador. A maioria dos servidores destes protocolos, ao detectar a repetio de tentativas de login so capazes de alertar o administrador sobre o ataque em execuo, mas dependem da presena dele no sistema para efetivamente bloquear o endereo de origem do atacante. Os ataques de negao de servio resultam em conseqncias desagradveis para o prestador de acesso a Internet. Geralmente seus clientes (usurios da LAN e dial-up) ficam com a impresso de que no h conexo nem podem medir por quanto tempo a situao persistir.
63
64
4.1. Roteador
Muitos roteadores tm implementado verdadeiros sistemas operacionais que possibilitam ao administrador de redes filtrar vrios tipos de acesso antes destes entrarem em sua rede. Outros, entretanto, no dispem de tais ferramentas, restringindo-se somente ao roteamento de pacotes sem analisar em nenhum aspecto seu contedo. Aqui, assume-se que o roteador faa apenas seu trabalho principal, ou seja, o roteamento. A filtragem e o tratamento de pacotes se dar no Bridge Host, visto a seguir.
65
A terceira interface de rede (b3) existe para uma finalidade muito importante: ela a responsvel por enviar relatos (logs) ao LOG Host sobre as atividades suspeitas e as tentativas de invaso para que sejam reportadas (servido como evidncias) para eventual processo jurdico, bem como receber novas regras de filtragem de emergncia sobre acessos indevidos detectados pelo IDS (Sistema de deteco de intrusos) que esto em cada segmento de rede. Esta interface necessita um endereo IP, porm o trabalho de bridging entre b1 e b2 ocorre de tal forma que elas so incapazes de trocar informaes com b3.
66
O bastion host o primeiro computador (se no o nico) com presena real na Internet. Este pode ser comparado com o hall de um edifcio comercial. As pessoas que vem de fora no devem ter acesso s escadarias nem aos elevadores da construo, mas podem transitar livremente pelo hall e perguntar o que quiserem. Da mesma forma, o bastion host o sistema exposto a estes elementos potencialmente hostis. nele que todos usurios - inclusive os que agem de m f devem se conectar para acessar todos os outros sistemas e servios. O bastion host est altamente exposto porque sua existncia conhecida na Internet. Portanto, o mantenedor do sistema deve concentrar esforos de segurana nele, principalmente durante sua construo e fase inicial de operao. Mesmo em se falando em um nico bastion host, importante saber que pode haver mais de um, dependendo da configurao do firewall. O nmero depende dos requerimentos de cada site em particular, mas o princpio sempre o mesmo. Bastion hosts so usados de vrias formas em vrias topologias. A maioria, entretanto, orientada filtragem de pacotes, ao proxying ou a ambas. Em uma abordagem hbrida seus princpios gerais devem ser: Orientao simplicidade; Preparao para o comprometimento do sistema.
67
Caso o comprometimento do bastion host venha a ocorrer, deve-se evitar que esta quebra leve a um desastre do sistema de proteo por completo, instruindo os servidores de contedo no aceitar nenhuma conexo com origem no bastion host exceto aquela que justifica a existncia do servidor em questo. Por exemplo: negar, no filtro do servidor HTTP qualquer conexo originada no bastion host com destino diferente da porta 80/tcp.
68
No existe soluo que garanta com sucesso a proteo de uma rede contra ataques de negao de servios. O que se pode fazer utilizar um sistema de deteco de intrusos ativo que monitora o sistema e encontrando alguma atividade suspeita, instruindo o filtro de pacotes a no mais aceitar qualquer conexo com o endereo de origem do atacante. Neste caso, para evitar a sobrecarga de informao (flood) deve-se enviar uma nica notificao ao administrador sobre o ocorrido e rejeitar os demais pacotes, evitando assim, entupir o Log Host com mensagens repetidas sobre o estado da filtragem.
69
70
Distribuio de informaes de rede via NIS; Logins remotos via SSH; Monitoramento remoto, incluindo carga do processador, memria, interfaces de rede, estado de processos via SNMP;
Cdigo para configurao de bridge mais estvel do que os outros sistemas operacionais.
71
Apesar de ser possvel manipular os arquivos do sistema, muito difcil manipular um algoritmo de checksum como o md5 e, exponencialmente mais difcil manipular cada um dos algoritmos suportados pelo AIDE. Executando-o aps uma invaso, o administrador pode facilmente identificar as alteraes feitas em seu sistema com alto grau de confiana e preciso.
72
6. POLTICA DE SEGURANA
Com base nas informaes fornecidas por ZWICKY et al. (2001) formulou-se linhas mestras para a elaborao de um documento de poltica de segurana. O objetivo encontrar o melhor modelo considerando: Custo da segurana; Em ambientes conectados Internet, no se pode assumir segurana absoluta, mesmo que se tenha a disposio recursos financeiros ilimitados. Funcionalidade; As pessoas no gostam de trabalhar ou estudar em ambientes hostis, ento, por um lado se perde em segurana e por outro se perde em funcionalidade. Sempre. Compatibilidade cultural; Regulamentar o comportamento do usurio de acordo com o que est dentro de seus costumes fator decisivo no sucesso da implantao da poltica de segurana. Aspectos legais. importante que haja conformidade entre as penalidades impostas no documento de poltica de segurana e a lei vigente no Pas.
6.1. Contedo
A poltica de segurana deve ser vista como um canal de comunicao entre usurios e administradores da rede. Precisa explicar a importncia da segurana para motivar o usurio a pratic-la. importante incluir no documento a mensagem de que a responsabilidade por atos prejudiciais de todos. hostil e injusto distribuir um documento que especifica apenas as obrigaes dos usurios.
73
A maioria das pessoas no convive com textos jurdicos nem so especialistas em computao. prefervel portanto, utilizar uma linguagem casual para formular o documento de poltica de segurana mesmo que ele no ganhe toda aparncia oficial que se deseja. Mais do que escrever o documento, necessrio usa-lo como regra todos os dias. Isto significa que se a poltica no seguida, algo deve ser feito para consertar a situao. O profissional de segurana da informao deve ser responsvel por fazer tais correes acontecerem e esta afirmao tambm deve estar contida no documento, assim como outras: Gerentes de certos servios tem autoridade para revogar acesso de usurios subordinados a ele; Gerentes tero como responsabilidade avaliar transgresses ocorridas em seus setores; O administrador da rede, em conjunto com a diretoria pode cessar recursos que no se enquadram nos padres da empresa. A poltica deve especificar quem decide e dar indcios de quais penalidades esto previstas para cada caso descrito. Porm no deve apontar o que acontecer em seguida com muita exatido, j que no se tratam de sentenas de lei, mas sim de polticas. Nenhuma poltica atinge a perfeio. No possvel prever cada caso e documenta-los. Entretanto, preciso especificar as excees que podem ocorrer em cada processo. Prever que a poltica sofrer revises necessrio. Nunca se pode dar por encerrada a formulao do documento. Com o passar do tempo novas necessidades precisam ser documentadas e o lanamento destas, importante para a continuidade efetiva da poltica. No momento em que se precisa aprofundar o detalhamento tcnico que descreve os sistemas do qual a rede formada, algumas questes so relevantes para o processo de formulao do documento de poltica de segurana. Entre elas: A quem permitido ter conta no sistema? Existem contas temporrias para visitantes? Como tratar fornecedores, parceiros e clientes?
74
As contas podem ser compartilhadas entre mais de um usurio? Secretrias e auxiliares podem receber permisso para ler correspondncia eletrnica de seus superiores?
De que forma disponibilizar informaes de projeto para os parceiros da organizao? Membros das famlias dos funcionrios recebem algum privilgio no sistema? Como tratar os emprstimos informais de credenciais de acesso ao sistema? Em que circunstncias um funcionrio perde sua credencial de acesso? E quando a recebe de volta?
Os funcionrios podem servir contedo em seus computadores? Quais procedimentos os usurios devem tomar quando necessitarem ligar um computador pessoal (ou externo) na rede?
Informaes financeiras da corporao precisam tratamento especial? (criptografia, backups extra etc)
Como deve ser a formulao das senhas dos usurios e com que freqncia devem ser renovadas?
Quais so os limites de uso da Internet? Quais as penalidades para os infratores? Que precaues devem ser seguidas em ordem de se evitar infeces por vrus na rede? Quais procedimentos devem os usurios tomar para manter seus computadores domsticos to seguros quanto os da empresa?
Devem existir recursos/privilgios especiais para funcionrios viajantes? Quais pr-requisitos deve-se atender antes de se projetar sites de comrcio eletrnico dentro da empresa?
Quais informaes so confidenciais? Como sero protegidas? Podem ser transmitidas por meios no criptografados?
75
Informaes que no so importantes para o usurio no devem ser inclusas no documento de poltica de segurana. importante enfatizar o que est se tentando proteger e porque estes procedimentos so feitos, entretanto, no se deve detalhar no nvel tcnico estas instrues. Em resumo, de maior utilidade ter a poltica toda documentada em uma pgina de texto descrevendo o qu e o porqu das medidas de segurana a ter um documento formal e altamente tcnico ocupando 10 folhas de papel para detalhar procedimentos que os usurios no conseguem compreender.
6.2. Planejamento
O item planejamento diz respeito s aes que devem ser tomadas antes de colocar os sistemas computacionais em funcionamento. Nem sempre isto possvel, pois na maioria das vezes a preocupao com segurana surge aps os incidentes da rede j em funcionamento. Em todos os casos, deve-se avaliar a segurana como um processo cclico revendo cada ponto crtico de tempos em tempos. Identificar o que necessrio proteger; Definir quais so as prioridades de proteo do ambiente; Especificar normas sobre como proceder diante de cada emergncia; Educar os usurios da rede interna.
76
Certificar-se que cada usurio possui uma conta individual no sistema; Certificar-se que todas as contas possuem senha; Certificar-se que o sistema no aceita senhas mal formuladas; Executar password crackers contra o prprio sistema procura de senhas fracas; No transmitir senhas por meios de fcil captura, como telefone e e-mail; Certificar-se que as permisses do arquivo de contas de usurios no possa ser lido por ningum alm do administrador e do sistema de autenticao;
77
Executar testes de restaurao das mdias de armazenamento dos backups. Examinar o sistema de arquivos regularmente procura de arquivos que estejam com o bit de setuid/setgid ligados;
Eliminar possibilidade de gravao nos dispositivos de terminais e pseudoterminais; Remover shells desnecessrias; Remover utilitrios que no sejam necessrios mas so instalados com o sistema operacional.
6.6. Logs
Nos arquivos de log esto todas as atividades que o administrador precisa saber sobre o sistema. Entender o funcionamento e contedo de cada um deles ajuda o administrador a detectar anomalias. Recomendaes Executar os utilitrios de verificao de atividades do sistema operacional, como o last e who /var/log/wtmp, regularmente; Estudar e entender a configurao e a sada gerada pelo servidor de logs, para saber quais atividades ele reporta e onde encontr-las quando necessrio.
78
79
Impossibilidade de analisar os equipamentos porque eles estaro desligados/desconectados; A prxima prioridade reparar os danos. Manter a tranqilidade nesta situao pode ser
essencial para resoluo de problemas, pois o administrador ter que se autenticar no sistema com privilgios mximos e novos erros por causa da tenso podem comprometer ainda mais o sistema. A presena de um colega de trabalho ou administrador de rede de outra organizao pode ajudar muito. Dependendo da natureza da organizao pode ser necessrio relatar o incidente ao corpo jurdico, auditores, relaes pblicas e departamento de segurana interno se: for necessrio acusar judicialmente o atacante; houver suspeita que h colaborao de internos no incidente; houver suspeita de que houve acesso fsico por parte do atacante.
O Anexo III descreve as atribuies do Comit Gestor (COMIT GESTOR, 2001) da Internet no Brasil, para respostas legais a incidentes de segurana de redes.
CONCLUSES E RECOMENDAES
Os temas relacionados com infra-estrutura, procedimentos e recursos de segurana devem ser vistos com prioridade e estar em constante reavaliao dentro das corporaes. Como conseqncia do cenrio ao mesmo tempo amigvel e hostil que a Internet oferece, algumas anlises precisam ser focadas na pauta do profissional que atua com a segurana da informao, tais como: A estratgia de segurana adotada est alinhada s necessidades de negcio da instituio? A alta administrao recebe ateno devida no que diz respeito segurana das informaes que armazenam em seus computadores? A cultura de segurana est disseminada entre eles? Estrutura, funcionalidade e oramento dedicados segurana esto compatveis com a estratgia de negcios da organizao? Existe medio sobre o retorno dos investimentos com segurana? Qual a abrangncia e profundidade com que se trata segurana nos ativos eletrnicos da corporao? Toma-se medidas que vo alm da implantao de ferramentas e produtos para proteo? Qual o impacto que as falhas de segurana podem provocar na relao de confiana e fidelizao com os clientes, parceiros e colaboradores? O objetivo de reavaliar segurana nas organizaes, imposta pela nova realidade global, no deve tirar o foco de negcios. Por outro lado, no desejvel que se tome decises a partir de anlises superficiais ou de direcionamentos extremistas e pouco flexveis, fundamentados simplesmente por medo e insegurana. Elaborar a poltica de segurana sem dvida um trabalho longo e maante, exatamente o oposto do tipo de trabalho que a maioria dos tcnicos apreciam. Porm, desenvolve-la e mante-la vital para a segurana da instituio. importante que ela no apresente textos tcnicos e/ou polticos demais, para que o usurio a compreenda e que sumarize de forma simplificada todas as aes que ele precisa tomar, para cumprir sua parcela de comprometimento com a segurana da organizao como um todo.
81
Manter firewalls de forma eficaz e em concordncia com a poltica de segurana tambm um trabalho de excelncia. O conjunto de sistemas computacionais que filtra contedo deve ser um espelho daquilo que a diretoria da corporao espera do cumprimento da poltica de uso da Internet, bem como deve minimizar as possibilidades de ataques, invases e vazamento de informao, mantendo a integridade e reputao da instituio. Acredita-se, que o modelo de proteo apresentado neste trabalho, de grande utilidade para os participantes da pesquisa. A tcnica de relativo baixo custo e downtime (tempo de parada necessrio para ativar o novo sistema) minimizado, adicionando uma nova e importante camada de segurana para estas redes, facilitando tanto a deteco de intrusos como a invalidao de suas aes.
BIBLIOGRAFIA
ANTIHACKERS. Hackers e suas prticas. Disponvel em <http://www.anti-hackers.com.br> Acesso em 20 out. 2000. BERNSTEIN, T.; BHIMANI, A; SHULTZ, E. Segurana na internet. Rio de janeiro: Campus. 1997. BUGTRAQ Discussion list. List mantained by Security Focus. Disponvel em <bugtraq@securityfocus.com> Acesso em 1 set. 2001. COMIT GESTOR. Sobre o comit gestor. Disponvel em <http://www.cg.org.br/sobrecg/apresentacao.htm>. Acesso em 28 out. 2001. FONTES, E. A velha engenharia social. Disponvel em <http://www.jseg.net/segurancadainformacao72.htm>. Acesso em 4 set. 2001. FORQUESATO, M.A. segurana.pdf. segurana de sistemas e internet firewall. 2001. Adobe acrobat reader 5.0. FREEBSD. FreeBSD Website. Disponvel em <http://www.freebsd.org>. Acesso em 28 ago. 2001. LEHTI, R; VIROLAINEN, P. Advanced intrusion detection environment. Disponvel em <http://www.cs.tut.fi/~rammer/aide.html> Acesso em 19 out. 2001. LIMA, A Engenharia social. Disponvel em <http://www.aqui.com.br/virus/20000824/virus.htm>. Acesso em 5 nov. 2000. MEDEIROS, C.D.R. Segurana da informao. 2001. 75 f. Trabalho de concluso de curso (Graduao em informtica) - Departamento de informtica, Universidade da regio de Joinville, Joinville. MURILO, N. apres.ppt. Ferramentas para deteco de ataques em FreeBSD. 2001. Microsoft power point 2000. NBSO. Nic BR Security Office. Disponvel em <http://www.nic.br>. Acesso em 16 dez 2001. NETSAINT. Netsaint documentation. Disponvel em <http://www.netsaint.org/qanda/faq.php> Acesso em 27 out 2001.
83
NETSEC INTERNET SECURITY. Engenharia social. Disponvel em <http://www.netsec.com.br/tecnologia/engenharia_social.htm>. Acesso em 25 ago. 2000. PANGEIA. Lista de itens de segurana. Disponvel em <http://www.pangeia.com.br/listaseg.htm> Acesso em 22 out 2001. PSIONIC. The Abacus Project. Disponvel em <http://www.psionic.com/abacus/> Acesso em 20 out. 2001. RIBEIRO, A.M. Segurana sobrevivncia. Disponvel em <http://www.tba.com.br/pages/alexigor/virtual.htm> Acesso em 5 nov 2000. ROESCH, M. Snort users manual. Disponvel em <http://www.snort.org/docs/writing_rules/> Acesso em 21 out. 2001. TCPDUMP. Tcpdump man page. Disponvel em <http://www.freebsd.org/cgi/man.cgi?query=tcpdump&apropos=0&sektion=0&manpath=FreeBSD +4.4-RELEASE&format=html> Acesso em 28 out. 2001. TRIPWIRE. Tripwire Open Source. Disponvel em <http://www.tripwire.org/qanda/faq.php> Acesso em 26 out. 2001. UNISINOS. firewalls.pdf. Instalao e uso de firewalls. 1998. Adobe acrobat reader 5.0. VEEN, J. S. V. D. A network setup with FreeBSD and OpenBSD. Disponvel em <http://www.daemonnews.org/200109/network.html> Acesso em 10 set. 2001. ZWICKY, E.;COOPER, S.;CHAPMAN, D.B. Building internet firewalls. Sebastpol: OReilly, 2000. 869 p. ISBN 1-56592-871-7
GLOSSRIO
Broadcast Cracking Criptografar Hacker Host Kerberos NFS NIS Password cracker Transmisso simultnea para vrios pontos de uma rede. Ato de invadir um sistema de computadores. Persistncia e repetio de truques conhecidos que exploram fraquezas comuns na segurana do sistema alvo. Cifrar dados de acordo com um algoritmo. Para decifar o texto criptografado necessrio conhecer a chave, gerada no momento da codificao. Pessoa ocupada em invadir computadores ou redes. Computador hospedeiro de um ou mais softwares servidores. Um esquema de autentificao desenvolvido no MIT usado para previnir a monitorao de logins e senhas. Sistema de arquivos em rede utilizado por sistemas operacionais UNIX. Similar ao compartilhamento das redes Microsoft. Sistema de passagem de informaes. Com ele pode-se transferir, por exemplo, o banco de dados de usurios de um host outro. Todos servidores baseados em sistema Unix possuem um arquivo com as senhas dos usurios criptografadas. virtualmente impossvel decriptar estas senhas, mas possvel usar dicionrios (lista de palavras), encript-las e comparar o resultado com as senhas contidas no arquivo. O termo vem de "phone freak". A arte e cincia de usar a rede telefnica para, por exemplo, fazer ligaes sem pagar. Formato de mensagens para a transmisso de informaes entre computadores. Arquitetura de construo lgica de rede onde o proxy server replica os pedidos originados por seus clientes e o faz em nome dele, devolvendo o resultado da conexo para quem o solicitou. Protocolo usado para gerenciamento remoto em substituio ao Telnet. Toda comunicao ocorre de forma criptografada impedido a ao de sniffers. Ao que fornece privilgios mximos para um programa em execuo. A camada mais externa de um programa que fornece uma interface para os usurios lanarem comandos. O Unix possui mltiplos shells inclundo Bash, C Shell e Korn. Tambm conhecido como interpretador de comandos. Protocolo utilizado para que se possa obter informaes de funcionamento de um host ou sistema computacional, como carga do processador, memria e interfaces de rede. Algoritmo que monitora os pacotes de dados que circulam pela rede. Mais claramente, toda informao que circula pela rede, circula atravs de pacotes. Um sniffer checa os pacotes em busca de informaes referentes a logins e senhas. Passar-se por outra pessoa. um ataque contra a autenticao. Dois tipos de ataque por spoofing bastante conhecidos so: IP Spoofing e DNS Spoofing. Kevin Mitnick ficou famoso por utilizar este tipo de ataque. De um modo geral a pessoa que acessa a algum tipo de servio e usufrui
SNMP Sniffer
Spoofing Usurio
85
dele. Conjunto de documentos da World Wide Web hospedados em um servidor acessado por intermdio de um navegador. Sistema de resoluo de nomes-de-mquina em endereo IP e vice-versa.
ANEXOS
1. QUESTIONRIO Avaliao de programas de segurana da informao.
1)Qual o sistema operacional que predomina em seu(s) hosts? [ ] - AIX [ ] - FreeBSD [ ] - HP-UX [ ] - Linux [ ] - MacOS [ ] - NetBSD [ ] - Netware [ ] - OpenBSD [ ] - Solaris [ ] - Windows NT/2000 [ ] - Outro
2) Sobre segurana da informao na sua rede: (Marcar todas que se aplicam para seu caso) [ ] - Existe uma poltica documentada, que estipula limites e penalidades. [ ] - Voc faz recomendaes verbais e informalmais para os usurios da rede.
87
3) Quais dos conceitos de segurana voc aplica na rede que administra? (Marcar todas que se aplicam para seu caso) [ ] - Bridging (Firewall dedicado sem camada IP configurada) [ ] - Centralizacao de autenticao: [ ]NIS [ ]LDAP [ ]Outro [ ] - Criptografia em terminais remotos (Secure Shell, SSLTelnet...) [ ] - DMZ (Isolamento fisico e lgico da rede de seridores) [ ] - Filtragem de pacotes (Firewalling)
4) Sobre a filtragem de pacotes... (Marcar 1 opo) [ ] - Tenho um (ou mais de um) host fazendo somente filtragem de pacotes. [ ] - Mantenho um filtro de pacotes mas agrego nele outras funes. (proxy, nat, ftp etc...) [ ] - Configuro a filtragem de pacotes em cada servidor que mantenho. [ ] - Todos servios que disponibilizamos esto em um computador e nele filtro pacotes. [ ] - No fao filtragem de pacotes
88
por que motivo: (Marcar todas que se aplicam para seu caso) [ ] - No aumentar segurana no meu caso. [ ] - No consigo conciliar uma tarefa desta complexidade com meu tempo disponvel. [ ] - No financeiramente invivel. [ ] - No sei como fazer.
6) Quais dos sistemas de deteco de intrusos voc mantm efetivamente em sua rede: (Marcar todas que se aplicam para seu caso) [ ] - AAFID. [ ] - Aide. [ ] - Bro. [ ] - Chkrootkit. [ ] - Logcheck [ ] - Netsaint. [ ] - Ngrep [ ] - Portsentry. [ ] - Snort. [ ] - Tcpdump
89
7) Dentre os ataques listados abaixo, quais voc j detectou em sua rede? (Marcar todas que se aplicam para seu caso) [ ] - Alterao do contedo web servido. [ ] - Ataque contra usurios da sua rede. [ ] - Negao de servio. [ ] - Fora bruta contra alguma conta no sistema (POP, FTP etc...) [ ] - Instalao de rootkit. [ ] - Varredura de portas (port scan) [ ] - Tentativas de obter mapas de DNS. [ ] - Outros.
90
Bugs:
91
Cuidados devem ser tomados para no contruir loops na topologia do bridge. O kernel suporta apenas uma forma primitiva de deteco de loops, desabilitando interfaces quando um deles detectado. Nenhum suporte para um dmon executando o algoritmo spanning tree atualmente provido. Com o bridging ativado, as interfaces entram em modo promscuo, causando um aumento de carga no sistema para a tarefa de receber e filtrar trfego indesejado. Funcionalidades estendidas para habilitar bridging seletivo em cluster de interfaces ainda esto sendo trabalhadas. Interfaces que no podem ser colocadas em modo promscuo ou que no suportam o envio de pacotes com endereos Ethernet arbitrrios no so compatveis com o bridging. Ver tambm: ip(4), ng_bridge(4), ipfw(8), sysctl(8) Histrico: Bridge bridging foi introduzida no FreeBSD 2.2.8 por Luigi Rizzo luigi@iet.unipi.pt.
92