TCC Fabricio Bortoluzzi Estrategias de Seguranca

UNIVERSIDADE DO VALE DO ITAJAI CENTRO DE EDUCAO SUPERIOR DE CINCIAS TECNOLGICAS DA TERRA E DO MAR CURSO DE CINCIA DA COMPUTAO
Estratgias de Segurana
rea de Redes de Computadores
Fabricio Bortoluzzi
Itaja (SC), novembro de 2001.
UNIVERSIDADE DO VALE DO ITAJAI CENTRO DE EDUCAO SUPERIOR DE CINCIAS TECNOLGICAS DA TERRA E DO MAR CURSO DE CINCIA DA COMPUTAO
Estratgias de Segurana
rea de Redes de Computadores
Fabricio Bortoluzzi Relatrio apresentado Banca Examinadora do Trabalho de Concluso do Curso de Cincia da Computao para anlise e aprovao.
Itaja (SC), novembro de 2001.
EQUIPE TCNICA
Acadmico Fabricio Bortoluzzi
Professor Orientador Prof. Gilberto da Silva Luy, M.Eng.
Coordenador dos Trabalhos de Concluso de Curso Prof Anita Maria da Rocha Fernandes, Dr
Coordenador do Curso Prof. Lus Carlos Martins
ii
DEDICATRIA
Dedico este trabalho ao meu irmo Lucas e minha namorada Luciene, ambos acadmicos da Cincia da Computao, bem como aos meus amigos administradores de redes, que criticaram construtivamente as idias discutidas neste documento.
iii
AGRADECIMENTOS
Aos meus pais, que, desde minha infncia, nunca hesitaram em me fazer entender a importncia de um curso de graduao.
Aos meus irmos Chris e Lu, pela boa companhia que me proporcionam :-)
Aos professores, transmissores de conhecimento, em especial, ao meu orientador Gilberto Luy.
minha namorada Luciene, que consegue transformar sentimentos de desespero em confiana.
Aos amigos que me incentivaram e ajudaram na coleta de informaes para compor este, em especial: Ivan, Mrcio, Mateus, Neto e Ronan.
Aos desenvolvedores de sistemas open source, por permitirem que possamos buscar no cdigofonte o entendimento do funcionamento do software que executamos em nossos computadores.
iv
SUMRIO EQUIPE TCNICA....................................................................................ii DEDICATRIA........................................................................................ iii AGRADECIMENTOS ..............................................................................iv SUMRIO ...................................................................................................v LISTA DE ABREVIATURAS E SIGLAS ..............................................ix LISTA DE FIGURAS ................................................................................xi LISTA DE TABELAS ............................................................................. xii RESUMO ................................................................................................. xiii ABSTRACT..............................................................................................xiv I - INTRODUO......................................................................................1
1. APRESENTAO .................................................................................................. 1 2. JUSTIFICATIVA .................................................................................................... 1 3. IMPORTNCIA DO TRABALHO....................................................................... 2 4. OBJETIVOS DO TRABALHO ............................................................................. 2 4.1. Objetivo Geral....................................................................................................... 2 4.2. Objetivos Especficos............................................................................................ 2 5. METODOLOGIA.................................................................................................... 2 5.1. Descrio Das Etapas ........................................................................................... 3 6. CRONOGRAMA..................................................................................................... 3 6.1. Fase 1...................................................................................................................... 3 6.2. Fase 2...................................................................................................................... 3 6.3. Fase 3...................................................................................................................... 3 6.4. Fase 4...................................................................................................................... 4 6.5. Fase 5...................................................................................................................... 4
II - REVISO BIBLIOGRFICA............................................................5
1. RISCOS DA CONEXO COM A INTERNET ................................................... 6 1.1. Dados...................................................................................................................... 6
1.1.1. Confidencialidade...................................................................................................................... 6 1.1.2. Integridade ................................................................................................................................. 7 1.1.3. Disponibilidade.......................................................................................................................... 7
1.2. Recursos................................................................................................................. 7 1.3. Reputao .............................................................................................................. 8 2. MOTIVOS QUE LEVAM OS HACKERS S SUAS PRTICAS ..................... 9 3. ATAQUES ..............................................................................................................12 3.1. Tcnicas De Ataques...........................................................................................12
3.1.1. Ataques de Canal de Comando................................................................................................ 13 3.1.2. Ataques Direcionados a Dados................................................................................................ 13 3.1.3. Ataques de Terceiros ............................................................................................................... 13
3.1.4. Falsa Autenticao de Clientes................................................................................................ 14 3.1.5. Seqestro ............................................................................................................................... 14 3.1.6. Packet Sniffing ........................................................................................................................ 14 3.1.7. Injeo e Modificao de Dados ............................................................................................. 15 3.1.8. Replay ............................................................................................................................... 15 3.1.9. Negao de Servio ................................................................................................................. 15 3.1.10. SYN Flood............................................................................................................................. 17 3.1.11. Ping of Death ......................................................................................................................... 17 3.1.12. IP Spoofing ............................................................................................................................ 18 3.1.13. Ataques Contra o Protocolo NetBIOS................................................................................... 18 3.1.14. Ataques Contra o X-Window ................................................................................................ 18 3.1.15. Ataques Utilizando o RIP ...................................................................................................... 19
3.2. Implementaes de Ataques ..............................................................................19 4. ENGENHARIA SOCIAL .....................................................................................21 4.1. Exemplos de Ataque de Engenharia Social......................................................22 4.2. Aes Contra Ataques De Engenharia Social..................................................22 5. FIREWALLS .........................................................................................................23 5.1. Caractersticas de um Pacote ............................................................................24
5.1.1. Exemplo TCP / IP / Ethernet ................................................................................................... 25 5.1.1.1. A Camada Ethernet............................................................................................................... 26 5.1.1.2. A Camada IP......................................................................................................................... 26
6. SERVIOS DA INTERNET ................................................................................29 6.1. A World Wide Web ............................................................................................30

6.1.1. A Web ............................................................................................................................... 31 6.1.1.1. Consideraes sobre segurana ............................................................................................ 31 6.1.2. O protocolo HTTP ................................................................................................................... 31 6.1.3. A linguagem HTML ................................................................................................................ 31
6.2. Correio eletrnico ...............................................................................................32

6.2.1. Consideraes sobre segurana ............................................................................................... 32
6.3. Transferncia de arquivos .................................................................................33

6.4. Terminais Remotos.............................................................................................33

6.5. Converso de nomes-de-domnio em endereo IP...........................................35

7. POLTICAS DE SEGURANA ..........................................................................36 7.1. Contedo de Um Documento de Polticas de Segurana................................37

7.1.1. Explicaes.............................................................................................................................. 37 7.1.2. Responsabilidade de Todos ..................................................................................................... 37 7.1.3. Linguagem Clara ..................................................................................................................... 37 7.1.4. Autoridade de Execuo .......................................................................................................... 38 7.1.5. Excees e Revises................................................................................................................ 38 7.1.6. Itens Que No Devem Estar Presentes em um Documento de Polticas de Segurana........... 38 7.1.7. Principais Ameaas da Poltica de Segurana da Informao ................................................. 39
III - DESENVOLVIMENTO...................................................................40
1. INTRODUO .....................................................................................................40
vi
2. ESTRATGIAS DE SEGURANA....................................................................42 2.1. Lei do privilgio mnimo ....................................................................................42 2.2. Defesa em profundidade ....................................................................................44 2.3. Ponto de aferio ................................................................................................44 2.4. Elo mais fraco......................................................................................................45 2.5. Segurana em caso de falha ...............................................................................45
2.5.1. Negar conexes no regulamentadas....................................................................................... 46 2.5.2. Poltica de aceitar conexes como padro ............................................................................... 46
2.6. Participao universal........................................................................................47 2.7. Simplicidade ........................................................................................................47 2.8. Segurana atravs de obscuridade....................................................................47 3. AVALIAO DE PROGRAMAS DE SEGURANA DA INFORMAO .49 3.1. Questo 1 .............................................................................................................49
3.1.1. Anlise 3.2.1. Anlise 3.3.1. Anlise 3.4.1. Anlise 3.5.1. Anlise 3.6.1. Anlise ............................................................................................................................... 50 ............................................................................................................................... 51 ............................................................................................................................... 52 ............................................................................................................................... 54 ............................................................................................................................... 56 ............................................................................................................................... 57
3.2. Questo 2 .............................................................................................................50 3.3. Questo 3 .............................................................................................................51 3.4. Questo 4 .............................................................................................................53 3.5. Questo 5 .............................................................................................................55 3.6. Questo 6 .............................................................................................................56 3.7. Questo 7 .............................................................................................................61 4. MODELO PROPOSTO PARA PROTEO DE REDES ...............................63 4.1. Roteador ..............................................................................................................64 4.2. Bridge Host..........................................................................................................64 4.3. NAT Host / Bastion Host ....................................................................................65
4.3.1. Orientao simplicidade ....................................................................................................... 66 4.3.2. Preparao para o comprometimento do sistema .................................................................... 66
4.4. O Log Host ..........................................................................................................67 4.5. As redes de servidores e clientes........................................................................67

4.5.1. Negao de servio.................................................................................................................. 67 4.5.2. Explorao de falhas na implementao do software servidor................................................ 68
5. RECOMENDAES PARA O MODELO DE PROTEO PROPOSTO ..69 5.1. O Sistema Operacional do Bridge Host............................................................69 5.2. Verificador de integridade.................................................................................70 5.3. O detector de intrusos ........................................................................................71 6. POLTICA DE SEGURANA ............................................................................72 6.1. Contedo..............................................................................................................72 6.2. Planejamento.......................................................................................................75 6.3. Usurios e senhas ................................................................................................75 6.4. Contas no sistema ...............................................................................................76
vii
6.5. Configuraes do sistema operacional. ............................................................76 6.6. Logs ......................................................................................................................77 6.7. Ameaas locais ....................................................................................................77 6.8. Ameaas nos servios de rede............................................................................78 6.9. Respondendo a incidentes de segurana ..........................................................78
CONCLUSES E RECOMENDAES ..............................................80 BIBLIOGRAFIA.......................................................................................82 GLOSSRIO.............................................................................................84 ANEXOS ....................................................................................................86

1. QUESTIONRIO..................................................................................................86 2. MANUAL DE CONFIGURAO ......................................................................90 3. ATRIBUIES DO COMIT GESTOR...........................................................92
viii
LISTA DE ABREVIATURAS E SIGLAS
AIDE BSD CIFS DNS FTP ICMP IETF GID HTML HTTP IMAP IDS IP IRC LAN LIDS LDAP NAT
Advanced Intrusion Detection Environment Berkley System Distribution Common Internet File System Domain Name Service File Transfer Protocol Internet Control Message Protocol Internet Engineering Task Force Group ID, Group Identificator Hyper-text Markup Language Hyper-text Transfer Protocol Internet Message Access Protocol Intrusion Detection System Internet Protocol Internet Relay Chat Local Area Network Linux Intrusion Detection System Lightweight Directory Access Protocol Network Adderss Translator
ix
NFS NIDS NIS TCP POP RIP SMB SNMP SSH UDP UID WINS WWW
Network File System Novel Internet Network Information System Transmission Control Protocol Post Office Protocol, Point Of Presence Routing Internet Protocol Server Message Block Simple Network Management Protocol Secure Shell User Datagram Protocol User ID, User Identificator Windows Internet Name Service World Wide Web
LISTA DE FIGURAS
Figura 1 Negociao do bit ACK. ..................................................................................................... 17 Figura 2 Posicionamento do firewall na rede de computadores........................................................ 23 Figura 3 Camadas de um pacote IP. .................................................................................................. 25 Figura 4 Definio do cabealho e corpo de um pacote TCP/IP....................................................... 27 Figura 5 A Camada TCP. .................................................................................................................. 28 Figura 6 Usar proxy para redirecionar pedidos do cliente................................................................. 30 Figura 7 Incidentes - Valores acumulados ........................................................................................ 41 Figura 8 Qual o sistema operacional predominante em seus hosts?.................................................. 50 Figura 9 Como voc define a poltica de segurana na rede que administra?................................... 51 Figura 10 Quais conceitos de segurana voc aplica na rede que administra? ................................. 52 Figura 11 Posicionamento do filtro de pacotes. ................................................................................ 54 Figura 12 Motivos para no manter um filtro de pacotes dedicado. ................................................. 56 Figura 13 Qual(is) sistema(s) de deteco de intrusos esto em atividade na sua rede?................... 57 Figura 14 Quais ataques voc j detectou em sua rede?.................................................................... 61 Figura 15 Viso geral do modelo proposto. ...................................................................................... 64
xi
LISTA DE TABELAS
Tabela 1 Cronograma De Trabalho ..................................................................................................... 4 Tabela 2 Totais Mensais e Anual Classificados por Tipo de Ataque. ............................................... 40 Tabela 3 Resumo da pesquisa............................................................................................................ 49 Tabela 4 Qual o sistema operacional predominante em seus hosts? ................................................. 49 Tabela 5 Como voc define a poltica de segurana na rede que administra? .................................. 50 Tabela 6 Quais dos seguintes conceitos de segurana voc aplica na rede que administra? ............ 51 Tabela 7 Motivos para no manter um filtro de pacotes dedicado.................................................... 55 Tabela 8 Qual(is) sistema(s) de deteco de intrusos esto em atividade na sua rede? .................... 57 Tabela 9 Qual(is) ataque(s) voc j detectou em sua rede?............................................................... 61
xii
RESUMO
Os ataques contra sistemas conectados Internet nos dias de hoje so mais srios e complexos do que costumava ser no passado. Manter dados, recursos computacionais e, principalmente, a reputao de uma organizao protegida se tornou tarefa para profissionais dedicados ao estudo de segurana da informao. O objetivo deste trabalho implementar e documentar tcnicas que auxiliem nos procedimentos para garantir segurana de sistemas computacionais ligados em rede. Para a realizao do trabalho, levantou-se primeiramente as razes que as pessoas mal intencionadas tm para praticar atos de ataque e invaso dos ambientes computacionais alheios, bem como as ferramentas mais utilizadas por estas pessoas. Para o entendimento das falhas de segurana envolvidas com o ambiente da tecnologia da informao, fez-se necessrio um estudo sobre o comportamento dos elementos vitais de comunicao entre redes locais e Internet, o funcionamento dos sistemas operacionais e softwares que servem contedo nos hosts conectados, as vrias topologias de firewall, seus benefcios e suas vulnerabilidades. Tambm so apresentados os resultados de uma pesquisa onde foram analisados os procedimentos de segurana utilizados atualmente por 15 administradores de redes de universidades, provedores de acesso Internet e empresas comerciais. Em funo do comportamento da pesquisa, so estudados mtodos de segurana inditos para o ambiente de trabalho dos entrevistados, mais aprimorados que os atuais, propondo a adio de uma nova camada de segurana nestas redes. Conclui-se que o cumprimento das recomendaes especificadas neste trabalho auxilia efetivamente na proteo das redes de trabalho expostas Internet.
xiii
ABSTRACT
Attacks against Internet-connected systems are more serious and complex than they used to be in the past. Keeping data, computational resources and, above all, the reputation of institutions protected against such attacks has become a task to professionals dedicated to the study of information security. The aim of this work is to document and to implement techniques in order to assist security procedures to assure the safety of computer networks. The first part of this work tries to explain the reasons that would lead people to perform unauthorized actions with the intention of disturbing or harming the normal operation of third-part computer systems. This section also focus in determining the software and hardware tools used by these individuals. A study about the behaviour of important elements in network systems and the Internet provided a way of understanding the security flaws related to such technology environment. Operational systems and firewall topologies benefits and vulnerabilities are important clues to solve security puzzles. Finally, a research has been conducted to assess current network security conditions of local companies, including Internet service providers, academic networks and commercial companies. Based on the results of the research, this work proposes modifications in the current layout of their computer network to improve security.
xiv
I - INTRODUO
1. APRESENTAO
Embora a pilha TCP/IP (Transmission Control Protocol / Internet Protocol) viabilize a Internet e oferea valiosos servios, existem srios problemas relacionados com a questo da segurana. Quando uma organizao conecta sua rede com a Internet, qualquer computador na rede interna que utilize TCP/IP pode (teoricamente) ser acessado por qualquer usurio da Internet, o que representa um risco para a segurana das informaes daquela rede. Muitos dos problemas atuais de segurana na transmisso de dados pela Internet esto relacionados com o fato de que o protocolo TCP/IP no foi projetado para prover segurana, estando sujeito a vrias formas de ataque. Como conseqncia, vrios servios da Internet que so baseados no TCP/IP, como o TELNET, FTP (File Transfer Protocol) e o SMTP (Simple Message Transfer Protocol) tambm so inseguros, pois utilizam mensagens que so transportadas em texto plano e, portanto, so vulnerveis a ataques que podem ser classificados em dois tipos: passivos, (como captura de trfego atravs de sniffers) ou ativos, como o seqestro de sesses.
2. JUSTIFICATIVA
O desenvolvimento deste trabalho justificado pela necessidade de proteo das informaes que se armazenam e se publicam nos servidores ligados Internet. Manter a integridade de tais informaes requer profissionais adequadamente especializados para esta finalidade, j que se trata de um esforo contnuo, para que a aplicao dos conceitos de segurana no fique desatualizada. Em complemento, acrescenta-se a notvel necessidade de estabelecer polticas de acesso e uso dos recursos computacionais concedidos aos usurios das redes de trabalho, tanto no meio acadmico como no comercial, esclarecendo quais servios podem ser acessados e quais no podem (e sob quais penas), bem como as rotinas do administrador de sistemas na distribuio e expirao de senhas, criptografia, gerao de relatrios sobre tentativas de mau uso, sistemas de deteco de intrusos entre outros.
3. IMPORTNCIA DO TRABALHO
Este trabalho apresenta uma introduo ao conhecimento dos riscos envolvidos na conexo de redes de computadores Internet bem como fornece abordagens tericas e prticas sobre topologias de firewalls. O Comportamento tico do administrador de sistemas diante dos choques contra hackers tambm recebe tratamento, visando melhorar o cenrio da segurana para aqueles que se interessam pelo assunto.
4. OBJETIVOS DO TRABALHO 4.1. Objetivo Geral

Estudar e implementar tcnicas que auxiliem nos procedimentos para garantir a segurana dos sistemas computacionais e informaes neles armazenadas e distribudas, preservando, de forma ntegra, os recursos e a reputao dos seus proprietrios, diante das deficincias existentes na Internet.
4.2. Objetivos Especficos

Estudar a elaborao de um documento de poltica de segurana; Estudar a pilha TCP/IP implementada em um sistema operacional entendendo seu funcionamento e suas vulnerabilidades; Conhecer os ambientes de rede de outros administradores e com eles elaborar um modelo inovador de proteo para suas redes; Configurar um sistema de deteco de intrusos.
5. METODOLOGIA
Coletar informaes sobre os diversos sistemas operacionais existentes e que possam contribuir para o desenvolvimento do trabalho; Tomar conhecimento sobre quais servios so explicitamente necessrios e quais devem ser proibidos, com base nas redes utilizadas atualmente;
Implementar no sistema operacional escolhido, as teorias estudadas; Estudar, no cdigo-fonte do sistema operacional, o funcionamento do protocolo TCP/IP; Obter conhecimento das tcnicas de deteco de intruso, funcionamento e configurao; Executar testes.
5.1. Descrio Das Etapas

Efetuar levantamento bibliogrfico sobre os assuntos a serem estudados e entrega da Reviso Bibliogrfica em 12 de novembro. Estudar os documentos citados na Reviso Bibliogrfica a fim de obter informaes de como efetuar os objetivos gerais e especficos citados anteriormente neste documento. Pr em prtica o conhecimento obtido nos estudos anteriores. Avaliao dos resultados, prestando informaes sobre os pontos positivos e, eventualmente, negativos da implantao deste projeto de segurana.
6. CRONOGRAMA 6.1. Fase 1

Definio dos detalhes do projeto, de acordo com as instrues obtidas junto ao orientador.
6.2. Fase 2
Efetuar levantamento bibliogrfico sobre os assuntos a serem estudados e entrega da Reviso Bibliogrfica em 17 de novembro.
6.3. Fase 3
Estudar os documentos citados na Reviso Bibliogrfica obtendo informaes de como efetuar os objetivos gerais e especficos.
6.4. Fase 4
Pr em prtica os conhecimentos obtidos nas fases anteriores.
6.5. Fase 5
Avaliao dos resultados, descrevendo os pontos positivos e, eventualmente, negativos da implantao deste projeto. A Tabela 1 apresenta uma descrio visual das fases do cronograma.
Tabela 1 Cronograma De Trabalho
F Ago 1 2 3 4 5
Set
2000 Out
Nov
Dez
Jun
Jul
Ago
2001 Set
Out
Nov
Dez
II - REVISO BIBLIOGRFICA
Com o crescimento exponencial da Internet, empresas do mundo inteiro vislumbram inmeras oportunidades de negcios. Algumas empresas j utilizam a Internet como uma ferramenta para agilizar e criar os processos mercantis. Outras a utilizam como uma forma de oferecer novos servios e de criar novas fontes de renda (BERNSTEIN et al. 1997). Porm, segundo UNISINOS (1998), a utilizao das redes de computadores como meio para realizao de transaes eletrnicas no um fato recente na histria da informtica. Os bancos e outras instituies financeiras mundiais j utilizam, h muito tempo, servios eletrnicos para efetuar negociaes entre si. Com a popularizao deste uso, hoje, atravs da Internet, transaes comerciais eletrnicas podem ser utilizadas pelo usurio para adquirir mercadorias em qualquer ponto do mundo (ibidem). Atualmente, cada vez mais, empresas esto se apressando para usar a Internet por motivos comerciais e as questes relacionadas segurana que esto presentes nessas conexes so consideradas extremamente relevantes, mas nem sempre tratadas de forma adequada. J foi possvel testemunhar centenas de ataques sistemas conectados Internet, sendo que muitos deles foram bem sucedidos nos seus objetivos. A no incluso de controles de segurana adequados para conexes com a Internet pode fazer com que uma empresa se torne vulnervel a ataques que podero deix-la em uma situao embaraosa e causar imensos prejuzos financeiros. A adoo de medidas para a segurana de conexes com a Internet exige investimentos significativos em termos de tempo e esforo. Portanto, necessrio comparar custos e benefcios em relao a todas as medidas de controle de segurana.
1. RISCOS DA CONEXO COM A INTERNET

Para ZWICKY et al. (2000), quando se est conectado Internet, coloca-se estes trs tens em risco: Dados Recursos Reputao
1.1. Dados
As propriedades que devem ser satisfeitas para que se tenha segurana dos dados so: Confidencialidade Integridade Disponibilidade
1.1.1. Confidencialidade
Existe uma tendncia em se focar os riscos associados com a confidencialidade da informao, e comprovadamente, este o maior dos riscos. Muitas organizaes tm alguns dos seus maiores segredos - o projeto dos seus produtos ou registros financeiros - em seus computadores. Por outro lado, pode-se achar relativamente fcil separar fisicamente os computadores que tm informaes confidenciais dos que devem estar conectados Internet (ZWICKY et al. 2000). Supondo que se possa separar os computadores desta forma e que nenhuma informao acessvel seja sigilosa. Neste caso, por que se preocupar com a segurana? Porque confidencialidade no a nica coisa que se deve tentar proteger. Ainda h necessidade de proteo com a integridade dos equipamentos e a disponibilidade que eles provem (ibidem).
1.1.2. Integridade
Mesmo que as informaes no sejam particularmente sigilosas, pode-se sofrer conseqncias caso elas sejam destrudas ou alteradas. Geralmente, do ponto de vista do cliente, a perda das informaes confidenciais implica na perda de confiana na empresa (ZWICKY et al. 2000).
1.1.3. Disponibilidade
A disponibilidade das informaes contidas em um sistema diminui medida em que se percebem riscos que possam compromet-las. Freqentemente ocorre a necessidade de acesso a documentos de uso interno por parte de um executivo em viagem. Em casos como este, muitas vezes necessrio reorganizar a poltica de segurana da empresa de forma que ela possa atender aos usurios "temporariamente externos", sem gerar oportunidades para intrusos (ZWICKY et al. 2000).
1.2. Recursos
Os intrusos, ou hackers, freqentemente argumentam que utilizam somente recursos excedentes; como conseqncia, suas invases no custam nada s vtimas. H, para ZWICKY et al. (2000) dois problemas com este argumento: Primeiro: impossvel para um intruso determinar com certeza, que recursos em um sistema so excedentes. Pode-se pensar que o sistema tenha imensas quantidades de espao de armazenamento vazio e horas de tempo de processamento no utilizadas. De fato, em muitas situaes isto ocorre, porm, no momento em que todos os recursos so necessrios, deve-se garantir que todos os recursos estejam ntegros. Segundo: de direito da empresa utilizar os recursos como ela bem quiser, mesmo que isto signifique deixar disponvel uma grande quantidade de recursos sem utilizao.
1.3. Reputao
Quais seriam as conseqncias se um intruso acessasse as informaes de um dos representantes de uma organizao e as utilizasse na Internet? Para ZWICKY et al. (2000), algumas vezes, tais impostores podem tomar mais do que tempo. Um invasor que se empenha em destruir a identidade de uma organizao pode, por exemplo, alterar o contedo do seu web site ou forjar mensagens eletrnicas. Outros exemplos piores podem danificar permanentemente a reputao da organizao. possvel forjar mensagens eletrnicas sem a invaso de um sistema, porm muito mais fcil de comprovar sua falsidade (ibidem).
2. MOTIVOS QUE LEVAM OS HACKERS S SUAS PRTICAS

De acordo com ANTIHACKERS (2000), h muito tempo se ouve falar de adolescentes que passam a noite inteira invadindo sistemas de computadores. Entretanto, muito pouco se fala dos mais perigosos hackers. O motivo pelo qual os jovens ganham destaque na mdia a sua captura, pois eles no possuem conhecimento suficiente para que se mantenham ocultos por muito tempo. Por inexperincia, deixam rastros por onde passam, pelo descuido e inconseqncia, ou porque simplesmente no tm motivos para se esconderem. Do outro lado, esto os hackers profissionais, extremamente cuidadosos em suas tentativas sendo muito mais difceis de se detectar e capturar (ibidem). Em geral, se trabalha com a seguinte classificao de atacantes potenciais: (BERNSTEIN, 2000) Curiosos: so estudantes que passam tempos na Internet procurando alguma forma de diverso, e normalmente aprendem com programas e ferramentas prontas que esto na Web e so facilmente capturados; In-house: so funcionrios, ou ex-funcionrios que procuram causar problemas para a empresa onde atuam ou atuaram. Muitas vezes so movidos por vingana, ou mesmo, por dinheiro, no caso de estarem sendo usados por um concorrente ou um terceiro que tenha interesse em prejudicar a empresa em questo. Estes so responsveis por 80% dos ataques. Tcnicos: normalmente so os que criam programas que causam danos, sendo extremamente bons no que fazem e espalham rapidamente suas novas tcnicas atravs da Internet. Podem ser pessoas problemticas com dificuldade de integrao na comunidade e trabalham pelo prazer da destruio. Profissionais: esses so os mais perigosos, muitas vezes criam novas ferramentas ou at utilizam-se das que j existem. O diferencial que recebem pelo que fazem. Trabalham para grupos mafiosos, terroristas ou espionagens industriais, normalmente so mais velhos (25 anos ou mais), muito inteligentes e difceis de serem pegos. ANTIHACEKRS (2000) observou que, independente do tipo de hacker, as motivaes para seus ataques so bastante variadas. possvel categoriz-las nas seguintes definies:
10
Espionagem Industrial: ocorre quando uma empresa contrata um hacker para que este invada o sistema da concorrncia, e descubra seus planos, roube seus programas ou at mesmo suas polticas de parcerias e de investimento.
Proveito Prprio: o hacker pode invadir um sistema para roubar dinheiro, transferir bens, cancelar dvidas ou at mesmo ganhar concursos, ou seja, qualquer ao em que ele seja diretamente beneficiado.
Inexperincia: h tambm o caso de uma invaso ocorrer por ignorncia. Por exemplo, um funcionrio que acessa sua conta da empresa atravs do seu micro em casa. Dependendo da poltica de segurana da empresa, isto pode ser considerado uma invaso, mesmo que o usurio no tenha conhecimento do problema que pode causar.
Vingana: Um ex-funcionrio, tendo conhecimento do sistema, pode causar vrios problemas, se o gerente de segurana da empresa no bloquear seu acesso imediatamente aps sua sada da empresa. Ou, um parceiro de pesquisas pode acessar "mais do que deve" aps a quebra de um contrato, trazendo complicaes e prejuzos empresa.
Status ou Necessidade de Aceitao: uma invaso difcil pode fazer com que o invasor ganhe um certo status junto aos seus colegas. Isso pode acarretar uma competio, ou uma verdadeira "gincana" nas empresas. Dentro de grupos, constante a necessidade de mostrar sua superioridade. Este um fato natural, seja entre humanos, animais selvagens ou hackers.
Curiosidade e Aprendizado: muitos hackers alegam invadir sistemas apenas para aprender como eles funcionam. Alguns fazem questo de testar o esquema de segurana, buscando brechas e aprendendo sobre novos mecanismos. Este tipo de ataque raramente causa um dano maior ou compromete os servios atacados.
Busca de Aventuras: o ataque a sistemas importantes, onde o esquema de segurana muito avanado, pode fazer com que o hacker se sinta motivado pelo desafio e pelo perigo de ser pego, assim como alpinistas sobem montanhas, mesmo sabendo do risco de carem.
Maldade: algumas pessoas sentem prazer na destruio. Invadem e destroem, pelo puro prazer de causar o mal. Raramente so pegos e se vangloriam dos seus atos.
11
Seja o hacker quem for e faa ele o que fizer, importante que ele seja neutralizado, pelo menos temporariamente, at que seu esquema de segurana seja revisto e atualizado. Essa atualizao precisa ser constante, pois os hackers esto sempre em busca de falhas de segurana e, muitas vezes, no fazem nada alm de invadir sistemas. extremamente necessrio que haja algum dedicado a este assunto, pelo menos o mesmo tempo gasto por dia pelos hackers nas tentativas de invaso (ibidem).
12
3. ATAQUES 3.1. Tcnicas De Ataques

Segundo ZWICKY (2000), os riscos que envolvem os procedimentos de ataques podem ser divididos em duas categorias. A primeira envolve conexes permitidas entre um cliente e um servidor, incluindo: Ataques de canal de comando. Ataques direcionados a dados. Ataques de terceiros. Falsa autenticao de clientes.
E a segunda, envolve ataques que trabalham a necessidade de se fazer conexes, incluindo: Seqestro. Packet Sniffing. Injeo e modificao de dados. Replay. Negao de servios.
UNISINOS (1998) complementa com as seguintes tcnicas: SYN Flood. Ping of Death. IP Spoofing Ataques contra o protocolo NETBIOS. Ataques contra o X-Windows.
13
Ataques utilizando o RIP (Routing Information Protocol).
3.1.1. Ataques de Canal de Comando

Esta tcnica ataca diretamente um servio em particular atravs do envio de comandos da mesma forma que o servidor geralmente os recebe. Ocorre de duas formas: Pelo envio de comandos vlidos que acabam por provocar danos, e pelo envio de comandos invlidos que exploram bugs na manipulao de dados de entrada (ZWICKY et al. 2000). culpa do administrador de sistemas permitir a execuo de comandos vlidos que possam causar danos ao sistema. E, culpa do programador que implementou o servio, permitir que comandos invlidos possam provocar acesso no permitido ao sistema (ibidem). Um exemplo desta tcnica trata-se do Worm de Morris, conhecido como o primeiro ataque por parte de um hacker. Neste caso, Morris atacou o servidor de envio de mensagens Sendmail usando um comando vlido de depurao que no foi devidamente bloqueado por vrios hosts e que dava acesso completo ao sistema onde estavam hospedados (ibidem).
3.1.2. Ataques Direcionados a Dados

o que envolve as informaes transmitidas por um protocolo, ao invs daquela implementada por um servio. Exemplos desta forma de ataque so os vrus transmitidos por correio eletrnico, ou ainda, o roubo das informaes que trafegam na rede, como nmeros de carto de crdito (ZWICKY et al. 2000).
3.1.3. Ataques de Terceiros

Caso se permita conexo TCP entrante em qualquer porta acima de 1024, na tentativa de dar suporte a algum protocolo (como o FTP que necessita, alem da porta 21, uma porta para cada comando que o cliente faz) est se abrindo um grande nmero de oportunidades para que terceiros faam conexes de entrada (ZWICKY et al. 2000).
14
3.1.4. Falsa Autenticao de Clientes

Um grande risco para conexes entrantes a falsa autenticao, que a subverso da autenticao que se exige de quem deseja fazer uso do sistema. Por exemplo, criptografar uma senha e envi-la pela rede por si s no funciona, pois, um hacker pode estar coletando as informaes que trafegam com um sniffer e depois usa a senha (em sua forma criptografada mesmo) para obter acesso ao sistema. Tal ato conhecido como playback (ZWICKY et al. 2000).
3.1.5. Seqestro
Ataques de seqestro permitem que um hacker tome conta de uma sesso de terminal em andamento, de um usurio que foi autenticado e autorizado pelo sistema. Ataques de seqestro geralmente ocorrem em um computador remoto. Entretanto, s vezes, possvel seqestrar uma conexo a partir de um computador na rota entre o cliente e o servidor (ZWICKY et al. 2000). A nica forma de proteo neste caso permitir conexes partir de computadores em que o servidor confie. Isto pode ser conseguido atravs de configurao do filtro de pacotes ou por alteraes de configurao no software que executado no servidor (ibidem). Os seqestros de conexes que ocorrem no computador remoto, acontecem quando usurios deixam conexes em aberto e se ausentam do local. A possibilidade de este ataque ocorrer, depende da quantidade de usurios que podem se identificar no sistema e principalmente, da responsabilidade de cada um deles. Seqestros que ocorrem em computadores intermedirios so altamente tcnicos e, geralmente, deve haver muitos motivos que levem um hacker a faz-lo, devido a sua relativa complexidade. (ZWICKY et al. 2000) O risco de seqestro de conexes pode ser diminudo aplicando-se polticas srias de controle de time-outs em caso de inatividade, como tambm por auditorias, na tentativa de se alertar ao administrador de sistema caso um seqestro ocorra (ibidem).
3.1.6. Packet Sniffing

O invasor de sistemas no precisa necessariamente seqestrar uma conexo para obter a informao que se pretende proteger. Pelo simples fato de observar os pacotes passando em qualquer direo entre o servidor e o cliente, o invasor pode capturar informaes importantes (ZWICKY et al. 2000).
15
Proteger o login e a senha uma tarefa fcil, atravs de senhas no reutilizveis, ou seja, que so alteradas para cada conexo que se faz, inutilizando a senha que serviu para a conexo (ibidem). J a tarefa de se proteger os dados que trafegam em uma conexo mais complicada. Estes dados precisaro ser criptografados antes de serem transmitidos de uma forma que somente o verdadeiro computador de destino possa decodifica-lo (ZWICKY et al. 2000).
3.1.7. Injeo e Modificao de Dados

Um invasor que controle um equipamento roteador entre o cliente e servidor, pode interceptar um pacote e alter-lo, ao invs de apenas l-lo. Proteger-se totalmente contra a injeo ou a modificao dos dados que trafegam por um roteador, requer alguma forma de proteo da mensagem na ntegra, adicionado-se valores de checksum que so computados na origem e no podem ser recalculados pelo atacante (ZWICKY et al. 2000).
3.1.8. Replay
Um invasor, que no possa tomar controle de uma conexo ainda pode ser capaz de danificla salvando uma cpia da informao que passa, e reenviando-a novamente. H dois tipos de ataque por replay: um onde deve ser capaz de identificar certas partes da informao (por exemplo, senhas) e outro onde simplesmente se reenvia o pacote inteiro. A criptografia ajuda a evitar este tipo de ataque (ZWICKY et al. 2000).
3.1.9. Negao de Servio

A Negao de servio ocorre quando um atacante no est tentando ter acesso a nenhuma informao, apenas impede outras pessoas consigam acess-la (ZWICKY et al. 2000). Os ataques chamados de negao de servio (ou denial of service) so aqueles que tem por objetivo deixar um recurso da rede indisponvel (UNISINOS, 1998). Do ponto de vista do atacante, muito eficiente poder efetuar um ataque que no pode ser traado (j que se forja o endereo de origem) e que requer um mnimo de esforo (explorar bugs no sistema alvo). Estes ataques, entretanto, tornam-se previsveis, e os endereos forjados podem ser filtrados atravs do firewall (ZWICKY et al. 2000).
16
Outras formas deste ataque so praticamente impossveis de se impedir. Um grupo de pessoas pode escolher o mesmo alvo e caracterizar um ataque distribudo, impedindo novamente que os usurios legtimos faam uso do recurso em questo ibidem). Em geral, esta forma de ataque no causa danos as informaes, nem ao hardware atacado, salvo se, em conseqncia de seu desligamento acontea algum dano lgico (devido ao processo normal de desligamento que muitas vezes no poder ser efetuado, causando perda de alguns arquivos) (UNISINOS, 1998). Mesmo sendo verdadeiro o fato de que os ataques de negao de servios no podem ser totalmente prevenidos (ZWICKY et al. 2000), pode-se dificultar que um atacante (ou um grupo de atacantes) consiga realizar seu intento. Isto acontece em duas etapas: Os hosts no devem ficar indisponveis quando comandos invlidos ocorrerem. Muitas vezes, hosts mal administrados deixam de responder ao usurio se um comando invlido repetir-se vrias vezes. Os hosts devem limitar os recursos alocados para cada entidade que solicita conexo. Isto inclui: o O nmero de conexes abertas por servidor (Web server, SMTP server, etc...); o O tempo mximo de persistncia de uma conexo; o A quantidade de processamento alocada para atender uma requisio de conexo; o A quantidade de memria alocada para atender uma requisio de conexo; o A quantidade de espao em disco rgido alocada para atender uma requisio de conexo.
17
3.1.10. SYN Flood

Para UNISINOS, (1998) um dos ataques mais populares de negao de servio. Esse ataque visa impedir o funcionamento de um host ou um servio em especfico. O computador cliente (ver Figura 1) envia um pacote para o servidor com um flag especial, chamado de flag de SYN e este indica que o cliente deseja estabelecer uma conexo. Em seguida, o servidor responde um pacote contendo os flags SYN e ACK, indicando que ele aceitou o pedido de conexo e est aguardando uma confirmao do cliente para marcar a conexo como estabelecida. O ataque consiste em se enviar vrias solicitaes de conexo com o endereo de origem forjado. Como resultado, os usurios legtimos ficam impedidos de fazer uso dos servios prestados pelo host alvo do ataque.
Figura 1 Negociao do bit ACK. Fonte: (ZWICKY et al. 2000)
3.1.11. Ping of Death

Consiste em enviar um pacote IP com tamanho maior que o permitido (65535 bytes) para o host que se deseja atacar. O pacote ento enviado na forma de fragmentos ocasionando vrios problemas no servidor, desde mensagens no console at o travamento sistema operacional. Alvos: todos sistemas operacionais que no implementaram correes para o problema de fragmentao de pacotes IP (UNISINOS, 1998).
18
3.1.12. IP Spoofing
o nome dado para as falsificaes de endereos IP, fazendo com que um pacote seja emitido com o endereo de origem diferente do computador que o enviou. Com o uso desta tcnica possvel para um atacante assumir a identidade de qualquer outro computador ligado Internet. O maior perigo deste ataque se d nos servios baseados no protocolo UDP (User Datagram Protocol). Atravs do spoofing de IP possvel para um atacante tirar proveito dos hosts confiveis armazenados no arquivo .rhosts existentes nos sistemas operacionais Unix e derivados, possibilitando acessos via rlogin por exemplo, onde a senha no exigida. Alvos: principalmente os sistemas operacionais derivados do BSD (Berkley System Distribution), por serem os que implementam servidos de rlogin e rsh (UNISINOS, 1998).
3.1.13. Ataques Contra o Protocolo NetBIOS

As plataformas Windows e OS/2 tm a caracterstica de disponibilizar todos os seus servios atravs do protocolo NETBIOS. Em redes onde o NETBIOS disponibilizado sobre TCP/IP, possvel para um atacante verificar quais so os diretrios e as impressoras compartilhadas por cada computador presente nestas redes. Normalmente comum a prtica dos usurios de deixar o acesso compartilhado s pastas sem proteo ou autenticao por senhas. Fica relativamente fcil portanto, para um hacker conseguir acessar arquivos presentes nestas pastas compartilhadas (UNISINOS, 1998).
3.1.14. Ataques Contra o X-Window

O sistema X-Windows o padro de interface grfica utilizada em workstations com sistema operacional derivado do Unix. Este padro foi criado para ser utilizado em redes locais. Desta forma possvel executar um programa em um computador e ver seu resultado em outro, localizado em qualquer ponto da Internet. possvel tambm, executar programas em diversas mquinas e visualizar todos como se fossem aplicaes locais, cada um em sua janela (UNISINOS, 1998). Toda essa flexibilidade, entretanto, tem problemas de segurana: caso disponha de autorizao do servidor X-Windows, possvel para um atacante exercer controle total sobre a tela do cliente, como o movimento do mouse ou as funes do teclado (ibidem).
19
Esta autorizao muitas vezes no difcil de ser obtida pois o X-Windows possui dois mtodos de autenticao, um no nvel de usurio e outro no nvel de mquina. Este ltimo permite que um ataque por IP spoofing d acesso a este recurso (o ambiente grfico) do sistema operacional (UNISINOS, 1998). Os servidores X-Windows utilizam portas com nmeros bem definidos, sendo que o primeiro servidor de cada computador utiliza a porta 6000, o segundo 6001 e assim sucessivamente. Portanto, basta bloquear no host o acesso externo a estas portas (ibidem).
3.1.15. Ataques Utilizando o RIP

O RIP um protocolo de configurao dinmica de rotas. Os roteadores utilizam este protocolo para transmitir informaes para outros roteadores (normalmente em broadcast). Em geral, cada roteador, anuncia de tempos em tempos para os roteadores ao seu redor, que ele capaz de rotear pacotes para determinada rede, de tal forma que em pouco tempo, a partir destas mensagens, todos tenham uma tabela nica e otimizada de roteamento. (UNISINOS, 1998) O problema principal do protocolo RIP o de que as informaes no so checadas. Um atacante pode, portanto, enviar informaes falsas e maliciosas de roteamento para outros roteadores, de tal forma que possa fingir que outra mquina, pretensamente confivel, ou at mesmo para gravar todos pacotes enviados para uma determinada mquina (ibidem). Um ataque tpico o de repassar, para os roteadores da rede, a informao de que os pacotes enviados para uma determinada rede devem ser roteados atravs dele, atacante, que posteriormente os envia para o destino correto. Durante a passagem do pacote, o atacante capaz de examinar seu contedo em busca de senhas ou qualquer outra informao que julgar interessante ou, at mesmo, modificar seu contedo (UNISINOS, 1998). Os pacotes RIP so enviados para a porta 513 UDP. Portanto bloquear o acesso a essas portas pode solucionar este problema.(ibidem)
3.2. Implementaes de Ataques

CURY (2000), descreve como ocorrem os ataques mais comuns:
20
Hanson: explora os soquetes criados pelo software cliente de IRC (Internet Relay Chat) fazendo-o travar. Geralmente estes softwares (como o Mirc, para Windows) aceitam um volume de dados maior do que conseguem manipular, ocasionando uma necessidade de armazenamento em buffer maior do que o limite disponvel. O resultado o travamento do sistema operacional. Alvo: Usurios de cliente de IRC.
Beer: o envio de pacotes ICMP (Internet Control Message Protocol) com endereos de origem aleatrios e falsos, causando, no computador de destino, a necessidade de conferir a origem de cada um destes pacotes, elevando o uso do processador nveis que o faam parar de responder para o usurio local. Alvos: Sistemas operacionais Windows.
Teardrop: este algoritmo explora um bug no mdulo de fragmentao de endereos IP. Pode causar indisponibilidade no computador alvo. Alvos: Linux, com kernel inferior verso 2.0.32 e Windows.
Win nuke: causa negao de servio, derrubando a conexo do protocolo IP. Isto feito explorando a porta TCP 139, que atende requisies NetBIOS. Vrios problemas ocorrem. O mais comum a falha geral de proteo do sistema operacional, o GPF (General Protection Fault). Alvos: Sistemas operacionais Windows.
Land: este algoritmo causa a negao de servio atravs do envio de pacotes que tm endereo de origem falso gerado aleatoriamente, causando no alvo a necessidade de conferir a origem de cada um deles. O computador fica sem recursos para atender ao usurio. Alvos: Windows NT 4 e Workgroups.
Coke: dependendo do estado da configurao de logging do host, este algoritmo pode causar aumento da ocupao do espao em disco arbitrariamente. Alvo: Host Windows NT com servio WINS.
Open tear: consiste no envio de uma grande quantidade de pacotes UDP para o alvo. Geralmente isto causa a negao de servio, fazendo com que o host no atenda aos usurios. Alvos: Windows e Linux.
21
4. ENGENHARIA SOCIAL
LIMA (2000) define Engenharia Social da seguinte forma " o mtodo de se obter dados importantes de pessoas incautas atravs da velha e conhecida lbia." J FONTES (2001), profere que o termo Engenharia Social relativamente novo, porm, o assunto no, definindo-o assim: aquela conversa que encanta quem est ouvindo e faz com que esse ouvinte fique com total confiana em quem est falando. Estas duas citaes tm muito a ver com a segurana da informao. Quando dizemos que a proteo da informao deve ser tratada de forma profissional, significa que ela deve ser estruturada, deve ter regras e normas explcitas e ser vlida para todos. E isto deve ser de conhecimento de todos. Tudo isto acaba invlido se um assessor da presidncia da empresa for barrado no acesso fsico de uma rea restrita e no outro dia o vigilante que estava cumprindo a norma for mandado embora por este fato. Esta situao demonstra que a organizao no deseja ter uma segurana efetiva, mas sim, uma segurana faz de conta (FONTES, 2000). Na opinio de ANTIHACKERS (2000), o mtodo mais simples, mais usado e, infelizmente, mais eficiente de se descobrir uma senha perguntando ao detentor dela. Basta que algum convena um funcionrio mal informado que ele acaba contando. Pode no ser a senha, mas ele vai contar o tipo de sistema, o tipo de computador, e o que mais ele souber ou lembrar. Tudo depende de quo eficiente o "Engenheiro Social", e quais conhecimentos sobre a empresa o alvo possui. Prestar ateno no tipo de informao que sai da empresa, nos papis jogados no lixo e na entrada das pessoas estranhas so formas comuns de prtica da engenharia social. Outra estratgia encontrar um organograma da empresa. A partir da, o intruso vai saber com quem estar falando, podendo se fazer passar, inclusive, por uma pessoa de maior hierarquia, como o diretor de informtica, por exemplo (ibidem). O hacker se passa por outras pessoas, enganando os funcionrios da empresa. Para poder fazer um "teatro" convincente, ele utiliza informaes (nomes de usurios ou, do administrador) coletadas previamente. Com isto o invasor consegue obter informaes privilegiadas (p.e. senhas), ou ento induzir funcionrios a executar aes que enfraqueam a segurana (p.e. executar um trojan ou uma reinicializao de senha) (NETSEC INTERNET SECURITY, 2000).
22
4.1. Exemplos de Ataque de Engenharia Social

Um usurio recebe um e-mail do hacker (se passando pelo administrador) solicitando que a sua senha seja alterada para "x". Se o usurio proceder conforme solicitado, o hacker saber qual sua senha, e poder passar a utilizar as credenciais deste usurio (NETSEC INTERNET SECURITY, 2000). O administrador da rede recebe um e-mail ou telefonema de um hacker (alegando ser um usurio), solicitando a reinicializao da sua senha. Isto permite ao hacker logar com a senha deste usurio (ibidem).
4.2. Aes Contra Ataques De Engenharia Social

LIMA (2000) recomenda que nas organizaes exista uma poltica de segurana centralizada e bem divulgada para que todos saibam a quem recorrer em casos de dvida, alm de orientao e esclarecimentos aos usurios. No h necessidade de desconfiar de todas as solicitaes de informao, basta estar sempre alerta para pedidos de dados sigilosos, e nunca divulgar senha nenhuma em qualquer circunstncia, pois a mesma perde o sentido se no se mantiver secreta.
23
5. FIREWALLS
Os firewalls, para UNISINOS (1998), protegem a rede interna de trabalho contra os perigos da Internet (Figura 2). Eles servem para mltiplos propsitos: Restringir a entrada de pessoas no sistema. Prevenir contra ataques que possam atingir defesas. Restringir ou limitar acessos dos usurios internos Internet.
Figura 2 Posicionamento do firewall na rede de computadores. Fonte: (ZWICKY et al. 2000)
Para se compreender a tecnologia utilizada nas implementaes de firewalls, preciso ter conhecimento dos objetos com os quais o firewall lida: pacotes e protocolos. Para transferir informaes atravs de uma rede, estas informaes devem ser quebradas em pequenas partes, transferidas uma a uma separadamente. Quebrar as informaes em pedaos permite a muitos sistemas dividirem a rede, cada um enviando partes de suas informaes na sua vez. Em uma rede IP, estes pedaos de informao so chamados de pacotes. (ZWICKY et al. 2000)
24
5.1. Caractersticas de um Pacote

Para entender a filtragem de pacotes, deve-ser entender como eles so classificados na pilha TCP/IP, sendo elas: Camada de aplicao (exemplos: FTP, Telnet, HTTP) Camada de transporte (TCP e UDP) Camada Internet (IP) Camada de acesso rede (exemplos: Ethernet, FDDI, ATM)
Os pacotes so construdos de uma forma que as camadas para cada protocolo usado para uma conexo em particular sejam quebrados em pacotes menores, ficando encapsulados de uma forma concntrica (ZWICKY et al. 2000). Em cada camada, um pacote tem duas partes: o cabealho e o corpo. O cabealho contm informaes relevantes para aquela camada, enquanto o corpo contm os dados daquela camada, que consiste de um pacote completo para a prxima camada superior. Cada camada trata as informaes que recebe da camada acima e aplica seu cabealho ao dado. Este processo de se preservar os dados enquanto se anexa novos cabealhos chamado de encapsulamento (Figura 3) (ibidem).
25
Figura 3 Camadas de um pacote IP. Fonte: (ZWICKY et al. 2000)
5.1.1. Exemplo TCP / IP / Ethernet

Considerando um pacote TCP/IP em uma rede Ethernet , (ZWICKY et al. 2000) examina o contedo dos dados e cabealhos em cada camada existente no exemplo em questo, sendo elas: Camada Ethernet. Camada IP. Camada TCP. Camada de dados.
26
5.1.1.1. A Camada Ethernet

Na camada Ethernet, segundo ZWICKY et al. (2000), o pacote consiste de duas partes: o cabealho Ethernet e o corpo Ethernet. Em geral, no possvel filtrar pacotes com base nas informaes contidas neste pacote. Em algumas situaes, pode-se estar interessado entretanto, nas informaes de endereamento deste protocolo, conhecido como MAC. Basicamente este cabealho informa: O tipo do pacote: neste exemplo, o pacote IP, no portanto um pacote AppleTalk, ou um pacote IPX, nem um pacote DECnet. O endereo Ethernet do computador que ps o pacote para transmisso na rede. O endereo Ethernet do computador que deve receber o pacote.
5.1.1.2. A Camada IP
ZWICKY et al. (2000) diz que, nesta camada, o pacote IP tambm composto de duas partes: o cabealho IP (Figura 4) e o corpo IP. Do ponto de vista de um filtro de pacotes , o cabealho IP contm informaes teis: O endereo IP de origem. O endereo IP de destino. O tipo de protocolo IP (TCP ou UDP). O campo de opes.
27
Figura 4 Definio do cabealho e corpo de um pacote TCP/IP. Fonte: (ZWICKY et al. 2000)
A maioria das redes especificam um tamanho mximo para o pacote, que muito maior que o limite imposto pelo IP. Para sanar este conflito, o IP divide os pacotes grandes demais para trafegar na rede em sries de pacotes, chamadas fragmentos. A fragmentao (Figura 5) no muda as estruturas da camada IP (os cabealhos IP so duplicados em cada fragmento), mas isto pode significar que o corpo contm apenas uma parte do pacote na prxima camada (ZWICKY et al. 2000).
28
Figura 5 A Camada TCP. Fonte: (ZWICKY et al. 2000)
Nesta camada, ZWICKY et al. (2000) relata que o pacote novamente consiste de duas partes: o cabealho TCP e o corpo TCP. Do ponto de vista do firewall, o cabealho TCP contm trs informaes interessantes: A porta TCP de origem. A porta TCP de destino. O campo de flags.
O corpo TCP contm a informao propriamente dita, por exemplo, o caractere transmitido em uma sesso Telnet, ou o arquivo transferido em uma conexo FTP.
29
6. SERVIOS DA INTERNET
Saber quais servios sero prestados pela infra-estrutura da corporao um passo muito importante durante a fase de projeto dos equipamentos computacionais que vo compor uma rede. Portanto todo modelo que difere nos servios a prestar, difere na configurao dos equipamentos de segurana. Entretanto para ZWICKY et al. (2000), a maioria das redes atende sempre a cinco servios bsicos: World Wide Web access (HTTP); Correio eletrnico (SMTP); Transferncia de arquivos (FTP); Acesso de terminal remoto (TELNET e/ou SSH); Converso de nomes de domnio em endereos IP (DNS). Todos estes servios so regulamentados e podem ser providos de forma segura de diversas formas, inclusive estando protegido por filtros de pacotes ou por sistemas proxy (Figura 6).
30
Figura 6 Usar proxy para redirecionar pedidos do cliente. Fonte: (ZWICKY et al. 2000)
6.1. A World Wide Web

Atualmente, o servio de world wide web um dos mais populares da Internet. Para que se entenda claramente do que composta esta grande fatia da Rede pode-se dividi-la nas seguintes estruturas: A Web; O protocolo http (hypertext transfer protocol); A linguagem HTML(hypertext markup language); Os navegadores.
31
6.1.1. A Web
Consiste na coleo de servidores na Internet que atendem a requisies no protocolo de comunicao HTTP. baseado em conceitos desenvolvidos na European Particle Physics Laboratory (CERN) em Genebra, na Sua, por Tim Berners-Lee e outros pesquisadores. Hoje, muitas organizaes e indivduos esto desenvolvendo este servio da rede e um nmero muito maior de empresas e pessoas esto fazendo uso desta tecnologia. A Internet Engineering Task Force (IETF) responsvel por manter o HTTP padronizado e o World Wide Web Consortium (W3C) por desenvolver seus futuros sucessores (ZWICKY et al., 2000).
6.1.1.1. Consideraes sobre segurana

Quando se mantm um web server, se permite que qualquer pessoa alcance este computador e envie comandos para ele. Os riscos de segurana se encontram quando o software servidor deixa de somente manipular HTML para chamar acesso a programas ou mdulos externos que ampliam as suas capacidades. Estes programas so relativamente fceis de se escrever porm difceis de se implementar porque no se consegue prever todas as passagens de comandos que poder receber e o comportamento que ter em sua execuo.
6.1.2. O protocolo HTTP

um dos protocolos que fazem parte da camada de aplicao do TCP/IP. Prov aos usurios, acesso a arquivos que fazem a Web. Estes podem ter diferentes formatos (texto, grficos, udio, vdeo etc.) mas primariamente ligados atravs de hyperlinks e programados na notao HyperText Markup Language (ZWICKY et al. 2000).
6.1.3. A linguagem HTML

Descrio padronizada para criao de pginas. Basicamente, prov capacidades de formatao de documentos, incluso de grficos e marcao de referncia outros documentos atravs dos hyperlinks (ZWICKY et al. 2000).
32
6.2. Correio eletrnico

O correio eletrnico prov troca de mensagens eletrnicas umas com as outras sem a necessidade de requerer respostas imediatas ou em tempo real. tambm o servio mais antigo e tambm, um dos mais populares. Relativamente de baixo risco (mas isto no significa que seja risco-zero), trivialmente se forja mensagens (assim como no servio postal) e isto facilita dois tipos de ataque: Ataques contra a reputao; Ataques de manipulao social. SMTP o protocolo padro na Internet para o transporte de mensagens entre computadores. Os servidores de SMTP, como outros programas, diferenciam-se entre orientao a recursos e orientao segurana. Enquanto o SMTP transporta mensagens entre servidores, os clientes que recebem mensagens no usam este protocolo porque a leitura de mensagens diretamente no servidor se tornou no usual. Na Internet, os protocolos mais comuns para o descarregamento das mensagens no software cliente so o Post Office Protocol (POP) e o Internet Message Access Protocol (IMAP) (ZWICKY et al. 2000).
6.2.1. Consideraes sobre segurana

Servir correio eletrnico toma espao em disco e tempo de processamento no host, ficando aberto para ataques de negao de servio e muitas vezes deixa-se um canal aberto para a entrada de cavalos-de-tria. Tambm, comum neste sistema o envio em massa de mensagens no solicitadas e as cartas correntes, bem como a confiana exagerada que as pessoas tm no servio, fazendo seu uso para envio de informaes confidenciais sem o mnimo de preocupao com os intermediadores entre o remetente e o destinatrio (ZWICKY et al. 2000). POP e IMAP tm as mesmas implicaes de segurana, eles comumente transferem as informaes de autenticao do usurio sem nenhum recurso de criptografia, permitindo a hackers lerem tanto suas credenciais quanto as mensagens que esto para ser transmitidas (ibidem).
33
6.3. Transferncia de arquivos

File Transfer Protocol (FTP) o servio padronizado na Internet para transferncia de arquivos. A maioria dos navegadores baseados no protocolo HTTP tambm implementam este protocolo como uma extenso dos seus recursos.

A primeira preocupao em servir o protocolo FTP que ele pode atuar como ponto de entrada para cavalos-de-tria e outros cdigos maliciosos que exploram falhas na implementao deste servio. Outras vezes o motivo da preocupao sobre o licenciamento do contedo que enviado para o servidor. Entre eles softwares comerciais, jogos copiados ilegalmente e contedo pornogrfico. Apesar de no apresentarem um risco tcnico de segurana, este contedo implica em vrios outros problemas relevantes, como distribuio ilegal de software e infraes fiscais. Algumas recomendaes para sistemas que precisam servir este servio so: No permitir upload de usurios no identificados pelo sistema, mais precisamente upload como usurio annimo. Educar os usurios, inclusive com penalidades descritas no documento de polticas de segurana, sobre o contedo que os mesmos disponibilizam. Monitorar periodicamente o contedo dos diretrios dos usurios. Implementar quotas no sistema de arquivos de modo a limitar a quantidade de espao que cada usurio pode ocupar.
6.4. Terminais Remotos

H muitas situaes em que necessrio ou ao menos, desejvel, executar comandos em computadores diferentes daquele que se est fazendo uso. Muitas vezes o motivo que justifica esta necessidade o fato de se estar fisicamente muito distante do computador a controlar. Como soluo, implementou-se servios capazes de prover esta tarefa, tanto em computadores com sistema operacional orientado ao modo texto quanto nos que utilizam interfaces grficas.
34
Questes relevantes para ZWICKY et al. (2000) sobre o fornecimento deste tipo de servio so: H controles apropriados para identificar quem pode acessar o computador remotamente? De que forma so autenticados os usurios? possvel algum intruso tomar conta de uma conexo em andamento? possvel alguma ferramenta de anlise de rede capturar informaes sigilosas, particularmente, as credenciais do usurio? Telnet est, cada vez mais, deixando de ser o servio padronizado na Internet para tarefas de administrao remota. Porm, este servio j foi considerado seguro por requerer credenciais do usurio. Comparado com os servios de execuo remota de comandos rsh e rlogin, isto realmente faz sentido. Entretanto, estas credenciais podem ser to facilmente capturadas atravs da Rede que seu uso se torna muito arriscado (ZWICKY et al. 2000). Para solucionar as srias falhas do Telnet, criou-se o to bem aceito Secure Shell (SSH), que prov uma coleo de utilitrios capazes de fornecer servios criptografados de execuo remota de comandos, como tambm, transferncia segura de arquivos. Implementaes deste protocolo esto disponveis atravs de vrios fornecedores e esto se tornando o novo padro no que diz respeito administrao remota (ibidem).

Na utilizao do Secure Shell de forma a evitar o uso indevido deste servio, recomenda-se o seguinte: Explorar ao mximo as capacidades inovadoras para autenticao do usurio. Isto significa exigir mais que apenas o par login e senha. Como recurso embutido, as implementaes SSH podem ser configuradas para exigir uma chave criptogrfica pblica do usurio que tenha sido gerada por uma chave privada anteriormente instalada no servidor. Este procedimento faz com que o usurio no s fornea algo que s ele tenha conhecimento (senha) mas tambm algo que somente ele possua (o par de chaves criptogrficas).
35
Quando financeiramente vivel, exigir identificao atravs de recursos menos burlveis ainda, como autenticao por SmartCards, que so cartes, (parecidos com o de crdito) que armazenam a chave pblica do usurio e so praticamente impossveis de se forjar.
6.5. Converso de nomes-de-domnio em endereo IP

A traduo de nomes que os usurios usam em endereos numricos que os protocolos necessitam implementada pelo Domain Name System. No incio da Internet era possvel para cada servidor manter uma tabela de hosts presentes naquela rede. Mais tarde, com o nmero de computadores aumentando drasticamente, percebeu-se que esta tabela no poderia mais ser mantida. O DNS uma soluo de base de dados distribuda que atende requisies para traduo nome do domnio -> IP, e quando no sabe responder, consulta uma base presente um nvel acima de sua hierarquia. O resultado prtico que quem precisa servir na Internet, precisa do servio DNS.

Um dos riscos de se servir DNS prover mais informaes do que o necessrio. Por exemplo: este protocolo permite embutir nas respostas informaes sobre o hardware e o sistema operacional onde est sendo executado. O DNS pode ficar mais seguro quando se toma algumas medidas, como: Obrigar a utilizao de nmeros IP (ao invs do hostname) para autenticao em servios que precisam alto nvel de segurana; Autenticar sempre os usurios e no a origem deles. Isto significa exigir autenticao do usurio mesmo quando a origem dele consta como segura na tabela de hosts do sistema operacional, porque esta origem pode estar sendo forjada.
36
7. POLTICAS DE SEGURANA
"A poltica de segurana, do ponto de vista da administrao de sistemas, deve ser vista como a poltica de segurana utilizada por uma nao para receber estrangeiros." (ZWICKY et al. 2000). "A Poltica de Segurana um conjunto de regras, que tm por objetivo disciplinar o uso da rede de trabalho. Na poltica de segurana, deve se especificar quem tem acesso rede, quais os direitos de cada usurio ou grupo, quais servios so disponibilizados e para quais grupos. importante tambm que a Poltica de Segurana tenha definido punies para cada tipo de infrao cometida." (UNISINOS, 1998). A palavra poltica sugere, para muitos, que se trata de documentos inacessveis, formulados por grandes comits e que so impostas a todos e, posteriormente, ignoradas com o passar do tempo. Porm, as polticas discutidas na administrao de sistemas, so tticas, que envolvem a construo de um firewall, os detalhes de que servios so necessrios e quais so proibidos, entre outros. Entretanto, no importa a qualidade do conjunto de tticas, se a estratgia de aplicao destas for mal sucedida (ZWICKY et al. 2000). Para RIBEIRO (1998), o objetivo da poltica de segurana resume-se em manter sob controle o armazenamento da informao, que muitas vezes, o bem mais valioso de uma empresa devendo seguir estes 4 paradigmas bsicos: Integridade: A condio na qual a informao ou os recursos da informao so protegidos contra modificaes no autorizadas. Confidencialidade: Propriedade de certas informaes que no podem ser disponibilizadas ou divulgadas sem autorizao prvia do seu dono. Disponibilidade: Caracterstica da informao que se relaciona diretamente a possibilidade de acesso por parte daqueles que a necessitam para o desempenho de suas atividades. Legalidade: Estado legal da informao, em conformidade com os preceitos da legislao em vigor, no que se refere aplicao de medidas punitivas. De outra forma, ZWICKY et al. (2000) considera 4 questes para a formulao da poltica de segurana:
37
Capacidade financeira: Quanto custa a segurana? Funcionalidade: Pode-se utilizar o sistema de forma plena? Compatibilidade cultural: A poltica de segurana proposta est em conflito com a forma como as pessoas normalmente interagem com os que esto do lado de fora da empresa?
Legalidade: A poltica de segurana est de acordo com os requerimentos legais exigidos?
7.1. Contedo de Um Documento de Polticas de Segurana

Um documento de polticas de segurana uma forma de comunicao entre administradores e usurios. Deve explicar a eles o que precisarem saber quando houver dvidas sobre segurana (ZWICKY et al. 2000).
7.1.1. Explicaes
importante que o documento seja explcito e compreensvel sobre todas as decises a serem tomadas. A maioria das pessoas no ir seguir as regras a no ser que compreendam a sua importncia.
7.1.2. Responsabilidade de Todos

Um documento de polticas de segurana esclarece expectativas e responsabilidades entre usurios e administradores; permite a todos saberem o que esperar de cada um.
7.1.3. Linguagem Clara

A maioria das pessoas esto acostumadas com explicaes casuais. Para o administrador, pode ser desconfortvel elaborar um documento casual, porque pode parecer ao mesmo tempo, muito pessoal. Porm, mais importante fazer este documento amigvel e compreensvel do que faz-lo preciso e com formato oficial.
38
7.1.4. Autoridade de Execuo

Escrever o documento de polticas de segurana no to importante quanto segui-lo. Significa que quando a poltica no seguida, algo deve acontecer para consertar a situao e algum precisa ser responsvel por fazer as correes. Alguns exemplos do que deve especificar a poltica de segurana: Gerentes de certas reas tm autoridade de revogar acesso a um usurio. Gerentes so responsveis por efetuar correes em casos de transgresso. Penalidades que esto reservadas aos transgressores.
7.1.5. Excees e Revises

Nenhuma poltica de segurana perfeita. No se pode cobrir qualquer evento futuro. Entretanto, pode-se especificar as possveis providncias e as possveis penalidades em casos que no constem no documento, sempre sujeito a revises e reavaliaes futuras. Muitas vezes, regras que so impostas a seis funcionrios no se adaptam a sessenta. Tudo na informtica muda muito mais rpido do que em qualquer outra rea, desde o hardware at a rea de atuao de mercado da empresa. E isto implica na necessidade de revises constantes no documento de polticas de segurana.
7.1.6. Itens Que No Devem Estar Presentes em um Documento de Polticas de Segurana

Algumas caractersticas sobre assuntos que no devem constar em um documento de polticas de segurana: Detalhes Tcnicos O documento deve descrever o que se est tentando proteger, e por qu. No deve necessariamente, descrever detalhadamente de qu forma. muito mais til se ter um documento de uma pgina descrevendo o qu e por qu do que ter dez pginas descrevendo como.
39
Comparaes Externas Todos os documentos de polticas de segurana so diferentes, pois, empresas diferentes tm conceitos diferentes, usurios diferentes e capacidades diferentes. No se pode portanto, esperar bons resultados utilizando uma poltica j existente e alterando apenas os nomes escritos nela.
7.1.7. Principais Ameaas da Poltica de Segurana da Informao

Para RIBEIRO (1998), as principais ameaas que devem ser tratadas na Poltica de Segurana da Informao so: Integridade: o Ameaas de Ambiente (fogo, enchente, tempestade...). o Erros humanos. o Fraudes. o Erro de processamento. Indisponibilidade: o Falhas em sistemas ou nos diversos ambientes computacionais. Divulgao da Informao: o Divulgao de informaes premeditada. o Divulgao de informaes acidental. Alteraes no Autorizadas. o Alterao premeditada. o Alterao acidental.
III - DESENVOLVIMENTO
1. INTRODUO
Para que se possa entender a importncia e a necessidade de se manter seguros os sistemas que hospedam contedo na Internet, so apresentadas aqui algumas informaes a respeito do uso da Internet para fins maliciosos. A Tabela 2 informa em valores numricos a quantidade de ataques ocorridos no Brasil que foram reportados ao NIC BR Security Office, entidade mantida pelo Comit Gestor da Internet no Brasil, que responde aos ataques com procedimentos legais de investigao.
Tabela 2 Totais Mensais e Anual Classificados por Tipo de Ataque. Ano 2000 Ms Total axfr (%) af (%) dos (%) invaso (%) Jan 424 28 6,60 108 25,47 11 2,59 3 0,71 Fev 509 61 11,98 78 15,32 8 1,57 11 2,16 Mar 541 55 10,17 117 21,63 14 2,59 8 1,48 Abr 351 19 5,41 93 26,50 17 4,84 5 1,42 Mai 480 12 2,50 145 30,21 15 3,12 11 2,29 Jun 641 7 1,09 215 33,54 8 1,25 17 2,65 Jul 585 2 0,34 80 13,68 13 2,22 17 2,91 Ago 432 2 0,46 112 25,93 6 1,39 13 3,01 Set 337 3 0,89 90 26,71 6 1,78 15 4,45 Out 468 0 0,00 139 29,70 4 0,85 7 1,50 Nov 573 2 0,35 167 29,14 34 5,93 13 2,27 Dez 656 9 1,37 196 29,88 23 3,51 7 1,07 Total 5997 200 3,34 1540 25,68 159 2,65 127 2,12 Fonte: NIC BR Security Office
aw (%) scan (%) 57 13,44 217 51,18 80 15,72 270 53,05 38 7,02 309 57,12 22 6,27 194 55,27 28 5,83 267 55,62 20 3,12 374 58,35 22 3,76 450 76,92 16 3,70 280 64,81 12 3,56 209 62,02 17 3,63 301 64,32 57 9,95 295 51,48 46 7,01 372 56,71 415 6,92 3538 59,00
fraude (%) 0 0,00 1 0,20 0 0,00 1 0,28 2 0,42 0 0,00 1 0,17 3 0,69 2 0,59 0 0,00 5 0,87 3 0,46 18 0,30
Legenda: axfr: Tentativas de obter mapas de DNS. af: Ataque ao usurio final. dos: Denial of Service (negao de servio). aw: Ataque ao servidor web.
Na Figura 7, uma representao grfica dos valores acumulados:
41
Incidentes reportados ao NBSO

700 600 500 400 300 200 100 0 jan fev mar abr mai jun jul ago set out nov dez portscan aw invaso dos af axfr
Figura 7 Incidentes - Valores acumulados Fonte: NBSO (2001)
42
2. ESTRATGIAS DE SEGURANA
importante entender algumas das estratgias bsicas empregadas na construo de sistemas de segurana. Os tpicos mais relevantes so: Lei do privilgio mnimo; Defesa em profundidade; Ponto de aferio; Elo mais fraco; Segurana em caso de falha; Poltica de negar conexes como padro; Poltica de aceitar conexes como padro; Participao universal; Simplicidade; Segurana atravs de obscuridade.
2.1. Lei do privilgio mnimo

Um dos principais princpios de segurana o fornecimento do privilgio mnimo. Neste sentido, qualquer objeto (usurio, administrador, programador, etc.) deve obter apenas privilgios suficientes para execuo de suas tarefas. A lei do privilgio mnimo limita a exposio dos sistemas e reduz a gama de danos que podem ser causadas por ataques contra a falha na implementao dos servios que se prov.
43
No contexto da Internet, cada usurio deve obter apenas o acesso que realmente necessita ao sistema. Por exemplo, os usurios no necessitam direitos de leitura a todos binrios do sistema, os operadores de backup no necessitam todos privilgios de um administrador de sistemas. Um administrador de sistemas no necessita credenciais de acesso em sistemas que ele no mantm. Um sistema no necessita de privilgios de escrita em outro sistema. A maioria dos sistemas operacionais no chega at os administradores com a lei do privilgio mnimo totalmente aplicada, forando o administrador de sistemas a constantemente explorar novas formas de prover os mesmos recursos envolvendo sempre os menores privilgios, como por exemplo: No conceder privilgios administrativos a um usurio se tudo que ele necessita poder reiniciar o servio de impresso. Para tal, inclua-o no grupo de operadores de impresso (criando um novo, onde for caso) e para este grupo conceder permisso de execuo do binrio que ativa o servio. No executar programas nem servios com privilgios genricos. Muitas vezes comum haver no sistema um usurio genrico, sob o nome de nobody e a ele atribuir todos servios. Este procedimento expande os privilgios de um atacante que invade o sistema. No aceitar credenciais, incluindo as legtimas, se estas apresentarem como ponto de origem um dos sistemas que age como firewall, porque a segurana deles pode sempre estar comprometida. Muitos dos problemas de segurana na Internet podem ser vistos como falha no cumprimento da lei do privilgio mnimo. Por exemplo, o Sendmail, que o agente de transporte de mensagens eletrnicas mais utilizado na Rede, complexo e tem todas as suas tarefas (coletar mensagens entrantes, escrever na caixa de mensagens do usurio, etc) sob privilgios de um mesmo usurio (at o presente momento, setuid to root). Por necessitar de tanto acesso ao sistema este software continuar a receber muita ateno dos hackers. Isto implica em que programas superprivilegiados devem ser o mais simples possvel e deve sempre haver formas de se separar e isolar partes de software que no precisam estar agrupadas em binrios de execuo complexa.
44
A aplicao da lei do privilgio mnimo relativamente simples de se aplicar quando se quer reduzir privilgios de execuo de softwares mas pode exigir cautela quando se tratar de pessoas. Deve haver cuidado para que os usurios realmente consigam fazer o que desejam e aceitem os limites definidos pelo administrador para realizar suas tarefas. Em suma, a maioria das solues que um administrador de sistemas aplica a uma rede resume-se a aplicao da lei do privilgio mnimo. Como exemplos tem-se o filtro de pacotes, que um conjunto de regras cujo objetivo a minimalizao de privilgios que se concede a conexes entre redes, e o sistema de quotas em disco, que impede um usurio de utilizar mais espao em disco do que o concedido.
2.2. Defesa em profundidade

Outro princpio de segurana a defesa em profundidade. Um dos significados para este termo : no depender de um mecanismo de segurana em especfico, por mais forte que ele parea . Em vez disso, deve se instalar vrios sistemas que possam suportar uns as necessidades dos outros. O administrador de segurana em redes no deve esperar, nem arquitetar sua rede, com foco em apenas em uma nica estratgia de segurana. Apesar de os firewalls serem o principal instrumento de proteo, no se deve depositar unicamente nele todas as esperanas de proteo da rede interna. O objetivo deve ser: fazer o sistema muito arriscado ou muito custoso para ser invadido. Para tanto, somente um conjunto de tcnicas diferentes pode garantir esta regra.
2.3. Ponto de aferio

Focalizar a ateno para os pontos de aferio do sistema pode tornar a deteco de intrusos uma tarefa mais simples. Exemplos destes pontos de aferio na vida cotidiana so: Pedgios; Caixas dos supermercados; Porto de entrada de uma casa.
45
Na segurana de redes e sistemas o firewall entre a Internet e a intranet o maior ponto de aferio que o administrador tem com o atacante, ento muito importante saber monitorar este canal e principalmente, saber como agir caso um ataque se inicie. Todo cuidado com um canal perde o sentido quando outros so deixados sem ateno. Por exemplo, de que adianta monitorar o firewall se existem inmeras linhas dial-up aguardando conexes que do acesso no filtrado aos servidores de informao? O modelo de segurana orientado a hosts, que aquele quando se colocam vrios servidores atendendo um link, cada um com seu firewall (que na verdade no passa de um filtro pessoal de pacotes) e um caso tpico de falha na implementao de pontos de aferio.
2.4. Elo mais fraco

Uma estratgia para aumentar a segurana dos sistemas ligados Internet a idia de que a fora de uma corrente se mede por seu elo mais fraco. Este pensamento deixa a mensagem de que hackers espertos sabero atacar nos pontos mais fracos e vulnerveis do sistema. necessrio que o administrador esteja atento e seja capaz de classificar os pontos fracos e elimina-los quando possvel, ou monitora-los com cuidado, quando sua existncia imprescindvel. Mais uma vez, a utilizao de modelo de segurana orientado a hosts falha na aplicao deste conceito, porque torna todos elos da corrente pontos susceptveis a ataques.
2.5. Segurana em caso de falha

Outro princpio de segurana o de que os sistemas de informao devem ser a prova de falhas, ou seja, se falharem, a segurana do resto do ambiente no deve ser comprometida, mesmo que isto custe a inacessibilidade do sistema at mesmo por quem possui credenciais para utiliza-lo at que os reparos sejam feitos. Os sistemas eltricos so projetados para se desligar, ou at mesmo queimar, quando falham; Os elevadores de uma construo tm presilhas para fre-los em caso de falha mecnica. Da mesma forma deve ser o comportamento dos sistemas computacionais que compem o firewall de uma rede. A maioria dos sistemas j segura em caso de falhas. Por exemplo, se um filtro de pacotes fica sem energia eltrica automaticamente o trfego deixa de passar por ele, negando fisicamente todo e qualquer acesso rede.
46
O fato mais importante para aplicao deste conceito conhecer a postura geral da rede com relao segurana, podendo ser agrupadas em duas: Postura de negar conexes em situaes no regulamentadas; Postura de permitir conexes em situaes no regulamentadas; Pode parecer bvia qual deve ser a postura geral de uma rede com relao a sua segurana, mas os motivos que fundamentam cada uma delas so os que seguem.
2.5.1. Negar conexes no regulamentadas

A poltica de se negar conexes como sendo a atitude para tudo que no est regulamentado faz sentido quando se usa o ponto de vista da segurana. O administrador da rede fica sabendo tudo que pode coloc-lo em risco e elimina tudo que for desnecessrio, mas esta viso geralmente no cabe para o usurio. Neste ponto de vista, nega-se toda conexo desconhecida como padro e ento se concede acessos de acordo com a necessidade. Isto exige do administrador as seguintes tarefas: Examinar quais servios os usurios querem e necessitam; Fazer consideraes sobre as implicaes de segurana sobre a prestao de tais servios; Permitir apenas os servios que so do entendimento do administrador, e que podem ser providos com segurana, que tm motivo legtimo para serem usados e que esto de acordo com a poltica administrativa imposta pelos diretores da organizao.
2.5.2. Poltica de aceitar conexes como padro

A maioria dos usurios e gerentes no-tcnicos preferem a poltica de aceitar conexes como padro. Ela assume que tudo que no foi proibido ser permitido mas, as prticas inseguras devem ser impedidas, como: Compartilhamento de arquivos SMB/CIFS (Server Message Block / Common Internet File System) e/ou NFS (Network File System) atravs da Internet; Proibio aos usurios de instalar softwares servidores em seus computadores pessoais;
47
Assinatura de documento responsabilizando o usurio por seus atos na World Wide Web e demais servios. Vrios conflitos entre administradores de sistemas e usurios surgem com a implantao
desta poltica, como por exemplo, o compartilhamento de arquivos atravs da Internet, que visto como extremamente inseguro pela maioria dos administradores, porm, a primeira idia que os usurios em geral tm quando necessitam trocar arquivos dentro e fora da rede de trabalho. A utilizao de um servidor de FTP pode neste caso amenizar a situao, j que exige de ambos a necessidade de se autenticar em um sistema operacional designado para atuar como servidor.
2.6. Participao universal

Para ser completamente eficaz, a maioria dos sistemas de segurana necessita do comprometimento de todos, ou ao menos, no deve receber resistncia daqueles que o mantm ou o gerencia. Se uma nica pessoa puder optar por ficar excluda do sistema de segurana, ento toda a eficcia deste sistema estar comprometida.
2.7. Simplicidade
Simplicidade uma estratgia por dois motivos: 1. Manter os sistemas simples faz deles sistemas mais fceis de se entender. No dominar por completo um sistema, faz do administrador algum incapaz de dizer se ele est seguro ou no; 2. A complexidade fornece um ambiente propcio para ocultar falhas ao administrador. Programas complexos costumam ter mais bugs que podem levar a falhas de implementao de software. Deve ser portanto, uma prtica do administrador de sistemas, manter as tarefas simples de usar, manter e de administrar.
2.8. Segurana atravs de obscuridade

Este o princpio de se proteger a rede escondendo-a. No dia a dia este procedimento se compara com o de no deixar objetos vista dentro do automvel mas sim guarda-los no porta luvas. Em termos computacionais os significados so:
48
Instalar um computador e conecta-lo a Internet sem ningum saber sobre a existncia dele; Desenvolver algoritmos de criptografia prprios, ou fazer uso de outros incomuns; Instalar um servidor em uma porta diferente do padro para fins de utilizao interna; Fornecer informaes diferentes para usurios de origem externa sobre os nomes-demquina da rede;
Omitir verso do software que est atendendo a um servio. Em geral, discute-se muito a eficincia deste mtodo, j que existem formas de detectar a
presena de computadores no anunciados na rede atravs de network scanning (varredura de rede) ou de servidores em portas diferentes do padro atravs de port scanning (varredura de portas de hosts). De fato, este mtodo ineficiente em muitos casos, mas quando usado em conjunto com os demais, certamente contribui para o aumento do nvel de segurana da rede.
49
3. AVALIAO DE PROGRAMAS DE SEGURANA DA INFORMAO

Para auxiliar no desenvolvimento de um modelo de proteo de redes inovador, foi realizada uma pesquisa baseada em questionrio (Anexo 1) com administradores de rede que se propuseram a informar quais conceitos e tecnologias so empregados nas redes que administram. A Tabela 3 informa o resumo dos ambientes pesquisados.
Tabela 3 Resumo da pesquisa
Convidados
20 administradores de rede da regio do Vale do Itaja, em Santa Catarina, no Brasil. Participantes efetivos 15. Ambientes de trabalho visitados 08 ambientes. pelo autor. Locais de trabalho dos Provedores de acesso Internet, redes acadmicas e empresas entrevistados. comerciais. Quantidade de questes 6 questes objetivas sendo 3 de escolha simples e 3 de mltipla escolha
3.1. Questo 1
A primeira questo Qual o sistema operacional predominante em seus hosts? tem o objetivo de fornecer o cenrio da regio com relao ao uso dos diversos sistemas operacionais existentes.
Tabela 4 Qual o sistema operacional predominante em seus hosts?
GNU/Linux FreeBSD Netware
62% 25% 13%
50
Sistema operacional servidor predominante
13%
Linux 25% 62% FreeBSD Netware
Figura 8 Qual o sistema operacional predominante em seus hosts?.
3.1.1. Anlise
Fica evidente o predomnio de sistemas operacionais que implementam o padro POSIX (Portabe Operating System Interface) sendo eles o GNU/Linux e o FreeBSD. Isto leva a concluir que o modelo de proteo de redes contar tambm com estes sistemas operacionais.
3.2. Questo 2
O segundo questionamento trata da maneira como est definida atualmente a poltica de uso e segurana dos sistemas e recursos computacionais que so fornecidos para os usurios da rede (clientes dial-up e dedicados no caso dos provedores de acesso; usurios da LAN para os demais).
Tabela 5 Como voc define a poltica de segurana na rede que administra?
Existe uma poltica documentada, que estipula limites e penalidades. Fao recomendaes verbais e informais para os usurios da rede. No existe nada nesse sentido.
13% 74% 13%
51
Poltica de Segurana
13% 13% Recomendaes Informais Poltica Regulamentada Nenhum 74%
Figura 9 Como voc define a poltica de segurana na rede que administra?
3.2.1. Anlise
A importncia da execuo formal da poltica de segurana relatada na Parte I deste trabalho. Entretanto, a maioria dos administradores de rede entrevistados desconhece ou no mantm vigente algum conjunto formal de normas sobre as normas de uso dos servios prestados por seu setor ou sua empresa.
3.3. Questo 3
Na terceira questo Quais dos seguintes conceitos de segurana voc aplica na rede que administra? obteve-se estes resultados:
Tabela 6 Quais dos seguintes conceitos de segurana voc aplica na rede que administra?
Criptografia em terminais Filtragem de pacotes Zona desmilitarizada (DMZ) Centralizao de autenticao (NIS, LDAP, Outros) Bridging
14 administradores. 10 administradores. 03 administradores. 01 administrador. Nenhum administrador.
52
Conceitos de segurana aplicados

14 10
3 1 Criptografia em terminais Filtragem de pacotes DMZ Centralizao de autenticao 0 Bridging
Figura 10 Quais conceitos de segurana voc aplica na rede que administra?
3.3.1. Anlise
A criptografia de conexes entre terminal e servidor se tornou fundamental. Essas conexes transportam a autenticao dos usurios e proteger-se contra ao de sniffers esforo quase unnime para os participantes da pesquisa. A filtragem de pacotes, em teoria, deve ser o resultado de um estudo profundo sobre a poltica de segurana, porque desse modo fica sendo apenas a aplicao prtica daquilo que j se formalizou. Porm, como grande parte dos entrevistados no exerce documentao formalizada a filtragem fica a cargo do conhecimento tcnico do administrador da rede. Zonas desmilitarizadas fornecem uma camada adicional de segurana atravs da criao de uma terceira rede entre a Internet e a LAN. O uso desta tcnica implica na adio de um roteador e de alteraes na poltica de direcionamento de trfego. Estes motivos, em conjunto com o relativo aumento dos custos de projeto e manuteno da rede, justificam o baixo ndice de utilizao da topologia DMZ. Os sistemas centralizados de autenticao, como LDAP (Lightweight Directory Access Protocol), NIS (Network Information System), NDS (Novell Directory Service) e Active Directory no so muito utilizados. Na pesquisa, isto se deu por dois motivos: O LDAP e o Active Directory so protocolos muito recentes, estando em fase de estudo para alguns administradores e ainda no tendo sido avaliados pelo restante. O NIS, que j existe a mais tempo, inseguro, sendo portanto, deixado de lado.
53
O Bridging um caso especial: no usado por nenhum dos participantes da pesquisa. Os motivos so vrios e esto descritos na questo 5 desta pesquisa. Entre eles: Impossibilidade de conciliar tempo para estudo do bridge host e dos pr-requisitos para seu funcionamento; Documentao sobre o assunto ainda limitada e pouco divulgada; O administrador admite desconhecer ou no saber fazer este mtodo de segurana.
3.4. Questo 4
A quarta pergunta questiona o posicionamento do(s) filtro(s) de pacote(s) com relao topologia de rede existente no local de trabalho do entrevistado. A tabela abaixo apresenta as respostas. Tenho um (ou mais de um) host fazendo somente filtragem de pacotes. Mantenho um filtro de pacotes mas agrego nele outras funes. (Proxy, NAT, FTP etc...) Todos servios que disponibilizo esto em um computador e nele filtro pacotes. Somente configuro a filtragem de pacotes nos servidores que atendem aos usurios. No fao filtragem de pacotes. 22% 34% 22% 11% 11%
54
Filtragem de pacotes
11% 11% 34%
Firewall agregada com NAT e/ou SQUID Firewall dedicado Todos servios em um host
22% 22%
Filtragem nos hosts somente Sem filtro de pacotes
Figura 11 Posicionamento do filtro de pacotes.
3.4.1. Anlise
O cenrio mais comum que a pesquisa relata no que diz respeito a filtragem de pacotes o do posicionamento do filtro no mesmo computador que faz a traduo de endereos e o proxying. Esta topologia justa, pois o equipamento pode suportar a carga que lhe dada. Mesmo assim existe um comprometimento do firewall porque este precisa receber endereamento IP rotevel sendo visvel por toda a Internet. Esta topologia comum nas redes acadmicas e em algumas LANs comerciais. A anlise do questionrio conclui que 22% dos administradores mantm um filtro dedicado. J que este(s) equipamento(s) recebe(m) endereamento no protocolo IP subentende-se portanto que esto to expostos quanto os firewalls com servios agregados. O motivo para que outros 22% dos participantes concentrassem todos servios em um s equipamento claro: custo. As organizaes que mantm esta topologia optam por no investir em mtodos de segurana alm daqueles que no precisam novos investimentos. Esta situao ocorreu somente em empresas comerciais, no ocorrendo portanto com provedores de acesso nem nas redes acadmicas. Alguns administradores de rede optam por habilitar a filtragem de pacotes diretamente nos servidores. Esta topologia comum em provedores de acesso e os benefcios do Modelo Proposto so muito evidentes neste caso, como ser visto no prximo captulo.
55
O restante (11%) no filtra pacotes. Nestes casos, geralmente o(s) servidor(es) no recebem ateno de administradores de rede, mas sim de profissionais que exercem outras tarefas no departamento de informtica e que esto apenas comeando a servir contedo na Internet.
3.5. Questo 5
Quinta questo: Se voc no mantm um host dedicado somente a filtrar pacotes, isto acontece por qual (quais) motivo(s)? (Tabela 7)
Tabela 7 Motivos para no manter um filtro de pacotes dedicado.
Complexidade versus Tempo disponvel No sei porque ou como fazer Financeiramente invivel No aumentar a segurana no meu caso
34% 33% 22% 11%
56
Motivos para no manter um filtro dedicado
11% 34% 22%
Conciliar complexidade e tempo No sabe fazer Financeiramente Invivel No aumentar a segurana
33%
Figura 12 Motivos para no manter um filtro de pacotes dedicado.
3.5.1. Anlise
Conciliar tempo para entender o funcionamento de um filtro dedicado , neste caso, o principal motivo para que um administrador no o faa. Mais do que ser capaz de prepar-lo, este equipamento deve receber monitoramento contnuo porque nele so relatadas todas as anomalias detectadas nos pacotes IP pelos NIDSs (Network Intrusion Detection System). Neste ponto, surge a figura do analista de segurana, um profissional que trabalha em conjunto com o administrador de redes, porm focalizado no monitoramento da informao que trafega, na pesquisa por novos sistemas e nas tarefas contnuas de execuo do plano de contingncia e da poltica de segurana. A falta de conhecimento sobre como se prepara e se mantm um firewall dedicado tambm um dos motivos para os entrevistados no o fazer. Na maioria dos casos as redes comeam pequenas, sem necessidades requintadas de segurana e depois a migrao e o downtime necessrio para execuo de testes quase impossibilita esta melhoria. No Modelo Proposto sugere-se um firewall dedicado cujo downtime muito prximo de zero ou, no maior do que o tempo necessrio para uma troca de dois cabos de rede.
3.6. Questo 6
Em relao sexta questo: Qual(is) sistema(s) de deteco de intrusos esto em atividade na sua rede? obteve-se os seguintes resultados:
57
Tabela 8 Qual(is) sistema(s) de deteco de intrusos esto em atividade na sua rede?
Outros Tcpdump Tripwire Portsentry Chkrootkit Netsaint Logcheck Snort Nenhum
10 ocorrncias. 8 ocorrncias. 4 ocorrncias 3 ocorrncias 2 ocorrncias 2 ocorrncias. 1 ocorrncia. Nenhuma ocorrncia. 2 ocorrncias.
Ferramentas de deteco de intrusos utilizadas

10 8
Tr ip w ire Po rts en try C hk ro ot ki t
N en hu m
ck
um
ro
he
sa
pd
et
Tc
Figura 13 Qual(is) sistema(s) de deteco de intrusos esto em atividade na sua rede?
3.6.1. Anlise
O alto ndice de uso de outras ferramentas que no as listadas se d pelo motivo de que existem procedimentos especficos de cada sistema operacional que servem como ferramenta de deteco de intrusos. O GNU/Linux conta com o LIDS (Linux Intrusion Detection System). J o FreeBSD emite relatrios diariamente com alteraes relevantes no sistema. O Novell Netware por sua vez pode ter o border manager configurado para fins similares. Porm, entre as ferramentas multiplataforma, tm se o Tcpdump (TCPDUMP, 2001) como a mais usada. O Tcpdump um utilitrio que monitora o trfego que passa nas interfaces de rede. uma ferramenta genrica.
Lo
gc
Sn
ut
or
in
58
Seus pontos fortes so: Flexibilidade. Por exemplo: tcpdump i rl0 dst host 192.168.1.1 and port 23 or port 110 or
port 21 para
monitorar logins nas portas TELNET, POP ou FTP;
Distribudo junto com a maioria dos sistemas operacionais POSIX; Fcil aprendizado e utilizao. A sada pode ser direcionada para arquivo e analisada posteriormente.
E principais pontos fracos: Precisa ter seu comportamento ajustado pelo administrador da rede; Est limitado a ser um sniffer, a interpretao depende do administrador. O Tripwire (TRIPWIRE, 2001) um analisador de integridade do sistema de arquivos. Este tipo de software utiliza algoritmos criptogrficos para criar fotografias do sistema de arquivos. Qualquer modificao nos arquivos, como por exemplo a instalao de um rootkit facilmente detectada comparando as fotografias de antes e depois do ataque. Para ambientes GNU/Linux est sob licena GNU General Public License. No FreeBSD entretanto, caso no se deseja obter licena comercial para o Tripwire pode-se optar pelo AIDE (Advanced Intrusion Detection Environment) sob GPL para todos sistemas operacionais. Portsentry um Host-based Intrusion Detection System criado pela Psionic (PSIONIC, 2001) capaz de identificar varredura de portas. Manter um software como este faz com que o administrador de redes saiba o momento e a origem dos ataques que o Portsentry pode identificar. Pontos fortes do Portsentry: Detecta stealth scans (GNU/Linux); Baseado em regras pr-definidas de comportamento, sem necessidade de interveno do usurio. Pontos fracos:
59
Por funcionar com regras pr-definidas precisa ser atualizado para se adaptar a novas formas de ataque;
No detecta stealth scans no FreeBSD e demais sistemas operacionais.
Chkrootkit (MURILO, 2001) um conjunto de shell scripts que testa o sistema contra uma variedade de rootkits. Pontos fortes do chkrootkit: Detecta de forma rpida e eficiente os rootkits mais conhecidos; Sua utilizao fcil e pode ser inserida no agendador do sistema (vixie cron, anacron, etc...) Pontos fracos: Assim como os demais softwares, no deve ser o nico sistema de deteco instalado; O programa somente informa a deteco de rootkits. No os remove nem prov procedimentos para remoo deles. O netsaint (NETSAINT, 2001) um IDS hbrido, que monitora host e rede utilizando-se de regras obtidas com o produto e que tambm podem ser programadas para fins especficos do administrador. Pontos fortes: Anlise em tempo real do trfego da rede. Relatrios de fcil leitura e alto teor tcnico so gerados e podem ser acessados por um browser. Ponto fraco: Setup inicial complexo e propenso a falhas at que se entenda o funcionamento dos arquivos de configurao.
60
O Logcheck (PSIONIC, 2001) , assim como o Porsentry, um dos integrantes da sute de ferramentas de segurana Abacus Project. Este programa tem a funo de analisar logs gerados pelos seguintes softwares: Sute Abacus Project; TCP Wrappers; System Logger (SyslogD); Log Dmon; TIS Firewall Toolkit. uma ferramenta de auxlio na deteco de intrusos, j que sua tarefa fazer a anlise e interpretao de arquivos-texto em lugar do administrador. Ponto forte: altamente integrado aos softwares para os quais foi desenhado; Ponto fraco: Por ser altamente integrado, no importante quando a configurao do host no inclui muitos dos aplicativos que ele suporta. Snort (ROESCH, 2001) um kit de deteco de intrusos quase completo. Vem pr configurado e a atualizao das regras de comportamento so atualizadas a cada 30 minutos no website. Funcionando de forma parecida com os anti-vrus para desktops ele pesquisa por assinaturas conhecidas de ataque e toma as seguintes aes: Relata, em arquivo de log todas informaes necessrias do ataque, entre elas: classificao, nvel de risco, endereo de origem, data e referncias para estudo sobre o ocorrido; Opcionalmente, atravs do mdulo Guardian, escreve em tempo real uma regra que alimenta o filtro de pacotes impossibilitando a continuao do ataque.
61
3.7. Questo 7
A stima questo Qual(is) ataque(s) voc j detectou em sua rede? trata dos ataques que j foram detectados nas redes pesquisadas.
Tabela 9 Qual(is) ataque(s) voc j detectou em sua rede?
Port Scan Fora bruta Outros Negao de servio Rootkits Ataque contra o usurio Nenhum Mapas de DNS
13 ocorrncias. 10 ocorrncias. 07 ocorrncias 04 ocorrncias 03 ocorrncias 02 ocorrncias. 02 ocorrncia. 01 ocorrncia.
Incidentes
Port Scan Fora Bruta Outros Negao de Servio Instalao de rootkit Ataque contra usurio Nenhum Mapas de DNS 1 2 2 3 4 7 10 13
Figura 14 Quais ataques voc j detectou em sua rede?
O ndice relativamente alto de varreduras de portas (port scan) justificado pelo fato de que ele serve como base para os demais ataques. Atravs de uma varredura consegue-se obter entre outras, as seguintes informaes do alvo: Nome e verso do sistema operacional; Quais portas TCP e UDP esto em estado de escuta; Nome e verso do software que est atendendo cada porta em estado de escuta.
62
Estas informaes so essenciais quando o atacante, para obter sucesso, depende de falhas na implementao dos softwares que esto em execuo no host. O ataque por fora bruta aquele onde o atacante sabe o nome de login da vtima e tenta seqncias de senhas com base em dicionrios ou geradas seqencialmente contra servidores que as solicitam, como FTP e POP. O resultado que aps horas de execuo, estes programas podem acabar por formular a senha correta informando-a para seu utilizador. A maioria dos servidores destes protocolos, ao detectar a repetio de tentativas de login so capazes de alertar o administrador sobre o ataque em execuo, mas dependem da presena dele no sistema para efetivamente bloquear o endereo de origem do atacante. Os ataques de negao de servio resultam em conseqncias desagradveis para o prestador de acesso a Internet. Geralmente seus clientes (usurios da LAN e dial-up) ficam com a impresso de que no h conexo nem podem medir por quanto tempo a situao persistir.
63
4. MODELO PROPOSTO PARA PROTEO DE REDES

O esboo de rede aqui sugerido (Figura 15) inspirado em um prottipo que tem mostrado resultados eficazes para VEEN (2001) e prope a utilizao de apenas um endereo IP vlido para toda a rede Esta situao muito comum para as empresas que no podem (e no precisam) obter uma classe de endereos ou frao dela. Em adio, possvel adequar este modelo a redes acadmicas e a provedores de acesso, segmentando a rede de acordo com as necessidades. O modelo faz uso dos seguintes recursos computacionais: Roteador. Bridge Host. NAT Host. LOG Host. As redes de servidores e clientes.
64
Figura 15 Viso geral do modelo proposto.
4.1. Roteador
Muitos roteadores tm implementado verdadeiros sistemas operacionais que possibilitam ao administrador de redes filtrar vrios tipos de acesso antes destes entrarem em sua rede. Outros, entretanto, no dispem de tais ferramentas, restringindo-se somente ao roteamento de pacotes sem analisar em nenhum aspecto seu contedo. Aqui, assume-se que o roteador faa apenas seu trabalho principal, ou seja, o roteamento. A filtragem e o tratamento de pacotes se dar no Bridge Host, visto a seguir.
4.2. Bridge Host

Este computador possui 3 interfaces de rede. A primeira (b1) e a segunda (b2) agem como bridge. A funo primria de um bridge conectar dois segmentos de rede criando a impresso de uma nica e grande rede. Porm, neste caso, o bridge tem a funo especial de filtrar todo o trfego que passa por ele atravs de regras que direcionam os pacotes, bloqueando os indesejados. Tipicamente o que se v hoje o computador que age como proxy fazendo este trabalho. A desvantagem nisso que o firewall visvel (acessvel) na Internet. No caso aqui proposto as interfaces b1 e b2 no recebem endereamento IP. Este procedimento assegura que nenhum computador - tanto na rede interna como na externa - saber de sua existncia. Portanto ele no pode ser acessado via Internet nem ser atacado no nvel do protocolo IP.
65
A terceira interface de rede (b3) existe para uma finalidade muito importante: ela a responsvel por enviar relatos (logs) ao LOG Host sobre as atividades suspeitas e as tentativas de invaso para que sejam reportadas (servido como evidncias) para eventual processo jurdico, bem como receber novas regras de filtragem de emergncia sobre acessos indevidos detectados pelo IDS (Sistema de deteco de intrusos) que esto em cada segmento de rede. Esta interface necessita um endereo IP, porm o trabalho de bridging entre b1 e b2 ocorre de tal forma que elas so incapazes de trocar informaes com b3.
4.3. NAT Host / Bastion Host

A tecnologia NAT (Network Address Translator) permite que computadores configurados com endereos no roteveis possam enviar e receber pacotes pela Internet. Os motivos para o uso deste recurso so estes: Escassez de endereos vlidos: Muitas vezes o custo para se alocar um endereo vlido para cada computador em uma rede pode inviabilizar o acesso a Internet. Segurana: Considerando que maioria dos computadores faz uso da Internet para acessar recursos e no para servir contedo mais seguro fornecer a estes computadores um endereo que no pode receber pedidos de conexo originados de fora da rede local. O Modelo ento requer um computador que seja capaz de assumir pedidos originados na rede interna, processa-los e devolver os resultados ao computador que fez a solicitao. Este host necessita de 3 interfaces de rede. A primeira (n1) entrega todo contedo que recebe de n2 e n3 para a interface b2 presente no Bridge Host. A segunda (n2) o gateway para todos os servidores da corporao. A terceira (n3), por fim, o gateway de todos computadores que no servem contedo, ou seja, os clientes. Esta separao entre rede de servidores e rede de clientes fornece o benefcio de que se uma vulnerabilidade for encontrada e explorada por um hacker nos servios (DNS, SMTP, HTTP etc..) de um dos servidores, os computadores da rede de clientes ainda estaro protegidos de tal ataque.
66
O bastion host o primeiro computador (se no o nico) com presena real na Internet. Este pode ser comparado com o hall de um edifcio comercial. As pessoas que vem de fora no devem ter acesso s escadarias nem aos elevadores da construo, mas podem transitar livremente pelo hall e perguntar o que quiserem. Da mesma forma, o bastion host o sistema exposto a estes elementos potencialmente hostis. nele que todos usurios - inclusive os que agem de m f devem se conectar para acessar todos os outros sistemas e servios. O bastion host est altamente exposto porque sua existncia conhecida na Internet. Portanto, o mantenedor do sistema deve concentrar esforos de segurana nele, principalmente durante sua construo e fase inicial de operao. Mesmo em se falando em um nico bastion host, importante saber que pode haver mais de um, dependendo da configurao do firewall. O nmero depende dos requerimentos de cada site em particular, mas o princpio sempre o mesmo. Bastion hosts so usados de vrias formas em vrias topologias. A maioria, entretanto, orientada filtragem de pacotes, ao proxying ou a ambas. Em uma abordagem hbrida seus princpios gerais devem ser: Orientao simplicidade; Preparao para o comprometimento do sistema.
4.3.1. Orientao simplicidade

Quanto mais simples for um bastion host, mais facilmente pode-se mant-lo seguro. Qualquer servio que o bastion host oferea pode conter bugs de software ou erros de configurao que potencialmente acarretam problemas de segurana. Portanto, deve-se ter em mente a importncia em manter a simplicidade e oferecer o menor nmero de servios possvel neste sistema e com os mais baixos privilgios mantendo assim, a rede sem criar nela um gargalo.
4.3.2. Preparao para o comprometimento do sistema

Por mais que se empreenda todos os esforos para garantir a segurana do bastion host, pontos de quebra (ou, pontos de entrada) podem ocorrer. Subestimar o quo seguro este sistema deve ser regra para o administrador de sistemas. Somente preparando-se para o pior, e planejandose para este fato ser possvel revert-lo. Sempre manter a questo E se o bastion host for comprometido?...
67
Caso o comprometimento do bastion host venha a ocorrer, deve-se evitar que esta quebra leve a um desastre do sistema de proteo por completo, instruindo os servidores de contedo no aceitar nenhuma conexo com origem no bastion host exceto aquela que justifica a existncia do servidor em questo. Por exemplo: negar, no filtro do servidor HTTP qualquer conexo originada no bastion host com destino diferente da porta 80/tcp.
4.4. O Log Host

O Log Host se trata de um computador, isolado fisicamente dos demais e, preferencialmente, conectado atravs de uma comunicao serial ou qualquer outra inalcanvel por qualquer intruso. Seu papel receber e registrar eventos que esto ocorrendo pela rede, bem como coletar provas que possam incriminar judicialmente o intruso que atacar o permetro monitorado.
4.5. As redes de servidores e clientes

Estando protegida tanto por um filtro de pacotes invisvel quanto por um gateway desempenhando traduo de endereos, as redes de servidores e clientes esto relativamente protegidas. As medidas tomadas neste modelo elevam ao mximo o nvel de segurana entre os computadores que formam estas redes. Porm, isto no significa que a barreira seja intransponvel. Por mais que se inspecione todos os pacotes, quando o servio parecer legtimo ele deve ser atendido. Deste ponto em diante, possvel ao atacante agir de duas formas: Causar negao de servio; Explorar falhas de implementao dos softwares que realizam servios.
4.5.1. Negao de servio

Sendo os pacotes legtimos, eles devem ser atendidos. Porm se o hacker fizer muitos pedidos de conexo antes de receber confirmao (enviar SYNs antes de receber ACKs), configurase um ataque de negao de servio. Isto no causa propriamente uma invaso mas o servio disponibilizado naquele computador fica inacessvel para todos os outros interessados em us-lo. Geralmente um computador s no consegue causar tal efeito, mas uma rede distribuda de atacantes consegue este intento, principalmente escolhendo como alvos grandes empresas comerciais.
68
No existe soluo que garanta com sucesso a proteo de uma rede contra ataques de negao de servios. O que se pode fazer utilizar um sistema de deteco de intrusos ativo que monitora o sistema e encontrando alguma atividade suspeita, instruindo o filtro de pacotes a no mais aceitar qualquer conexo com o endereo de origem do atacante. Neste caso, para evitar a sobrecarga de informao (flood) deve-se enviar uma nica notificao ao administrador sobre o ocorrido e rejeitar os demais pacotes, evitando assim, entupir o Log Host com mensagens repetidas sobre o estado da filtragem.
4.5.2. Explorao de falhas na implementao do software servidor

Quando todos os componentes de segurana esto ativos e no mximo de sua performance, incluindo o sistema que controla e evita ataques de negao de servio ainda pode haver falhas nos softwares que servem nos computadores desta rede. Estas falhas so brechas deixadas pelos programadores da implementao de um servio (p.e. o Sendmail uma implementao do protocolo SMTP) e descobertas por hackers experientes. A lista de discusso Bugtraq (BUGTRAQ 2001) freqentemente emite boletins informando aos assinantes relatando descobertas de falha na implementao dos vrios softwares utilizados nos servidores espalhados por toda Internet.
69
5. RECOMENDAES PARA O MODELO DE PROTEO PROPOSTO

Para o entendimento sobre a importncia de cada elemento do Modelo Proposto, apresentado aqui um relatrio descrevendo os procedimentos necessrios para se obter as funcionalidades desejadas.
5.1. O Sistema Operacional do Bridge Host

Para aplicao prtica deste estudo, foi escolhido o FreeBSD, que um sistema operacional BSD UNIX profissional, para computadores com processadores baseados no modelo i386, DECAlpha ou PC-98. mantido pela Universidade da Califrnia, Berkley, e seus contribuidores, bem como recebe suporte de grandes empresas como a Daemon News Inc., BSD Central Inc. e Yahoo Inc. (FREEBSD, 2001). Derivado do ltimo release do BSD UNIX (verso 4.4), o FreeBSD herda a implementao do protocolo TCP/IP que deu origem a ArpaNet e posteriormente, Internet. Entre os motivos para esta escolha, esto: Possui filtro-de-pacotes (firewall) incorporado ao kernel do sistema; O acesso a seu cdigo fonte, alm de ser didtico, permite ajustes de performance e segurana; Tem como princpios a estabilidade, segurana e uniformidade de uso; Possui, historicamente, a melhor implementao do protocolo TCP/IP entre todos sistemas operacionais; No h custos financeiros com licenciamento; Possui um dos histricos de menor nmero de falhas que possibilitam acesso indevido ao sistema, ficando geralmente por anos sem nenhum relato neste sentido. (BUGTRAQ, 2001) Como a maioria dos sistemas UNIX, o FreeBSD permite: Compartilhamento de arquivos via NFS;
70
Distribuio de informaes de rede via NIS; Logins remotos via SSH; Monitoramento remoto, incluindo carga do processador, memria, interfaces de rede, estado de processos via SNMP;
Cdigo para configurao de bridge mais estvel do que os outros sistemas operacionais.
5.2. Verificador de integridade

AIDE (Advanced Intrusion Detection Environment) um verificador de integridade de sistemas construdo nos moldes do software comercial Tripwire (LEHTI & VIROLAINEN, 2001). O AIDE constri um banco de dados a partir de expresses regulares existentes em seu arquivo de configurao, armazenando atributos como: permisses, inodes (ns no sistema de arquivos), UID (cdigo de identificao do usurio), GID (cdigo de identificao do grupo), tamanho do arquivo, data de modificao, data de acesso, nmero de links. Cria tambm um checksum ou hash de cada arquivo usando um ou uma combinao dos seguintes algoritmos: sha1, md5, rmd160, tiger (crc32, haval e gost podem ser compilados se o suporte a mhash estiver disponvel). Tipicamente, o administrador de sistemas ir criar um banco de dados AIDE no novo host antes deste ser colocado para funcionamento em rede. Este primeiro banco de dados um retrato do estado normal dos arquivos protegidos e servir como base para todas as alteraes futuras no sistema. Este repositrio deve conter informaes sobre os binrios-chave do sistema, bem como bibliotecas, headers e demais arquivos que devem ser preservados. No se inclui porm, arquivos que sofrem alteraes freqentemente, como os aquivos de log, os diretrios de usurios etc... Aps uma invaso, geralmente o administrador examina o sistema usando ferramentas como o ls, ps, netstat e who. comum entretanto, o invasor alterar estes binrios com verses modificadas para esconder arquivos e processos que esto em execuo na tentativa de ocultar seu rootkit do administrador. Mesmo um administrador que tenha anotado previamente as datas e tamanhos de seus binrios a comparao pode no funcionar porque possvel manipular todos atributos de um arquivo e, alguns rootkits fazem este trabalho sem que o invasor tenha que se preocupar.
71
Apesar de ser possvel manipular os arquivos do sistema, muito difcil manipular um algoritmo de checksum como o md5 e, exponencialmente mais difcil manipular cada um dos algoritmos suportados pelo AIDE. Executando-o aps uma invaso, o administrador pode facilmente identificar as alteraes feitas em seu sistema com alto grau de confiana e preciso.
5.3. O detector de intrusos

Optou-se por utilizar o Snort como detector de intrusos. Alguns motivos que levaram a esta escolha so: Simplicidade de uso; Possibilidade de se manter as assinaturas de ataques em sincronia quase simultnea com as regras atuais do website do autor da ferramenta; Alto ndice de resultado nos testes informais iniciais.
72
6. POLTICA DE SEGURANA
Com base nas informaes fornecidas por ZWICKY et al. (2001) formulou-se linhas mestras para a elaborao de um documento de poltica de segurana. O objetivo encontrar o melhor modelo considerando: Custo da segurana; Em ambientes conectados Internet, no se pode assumir segurana absoluta, mesmo que se tenha a disposio recursos financeiros ilimitados. Funcionalidade; As pessoas no gostam de trabalhar ou estudar em ambientes hostis, ento, por um lado se perde em segurana e por outro se perde em funcionalidade. Sempre. Compatibilidade cultural; Regulamentar o comportamento do usurio de acordo com o que est dentro de seus costumes fator decisivo no sucesso da implantao da poltica de segurana. Aspectos legais. importante que haja conformidade entre as penalidades impostas no documento de poltica de segurana e a lei vigente no Pas.
6.1. Contedo
A poltica de segurana deve ser vista como um canal de comunicao entre usurios e administradores da rede. Precisa explicar a importncia da segurana para motivar o usurio a pratic-la. importante incluir no documento a mensagem de que a responsabilidade por atos prejudiciais de todos. hostil e injusto distribuir um documento que especifica apenas as obrigaes dos usurios.
73
A maioria das pessoas no convive com textos jurdicos nem so especialistas em computao. prefervel portanto, utilizar uma linguagem casual para formular o documento de poltica de segurana mesmo que ele no ganhe toda aparncia oficial que se deseja. Mais do que escrever o documento, necessrio usa-lo como regra todos os dias. Isto significa que se a poltica no seguida, algo deve ser feito para consertar a situao. O profissional de segurana da informao deve ser responsvel por fazer tais correes acontecerem e esta afirmao tambm deve estar contida no documento, assim como outras: Gerentes de certos servios tem autoridade para revogar acesso de usurios subordinados a ele; Gerentes tero como responsabilidade avaliar transgresses ocorridas em seus setores; O administrador da rede, em conjunto com a diretoria pode cessar recursos que no se enquadram nos padres da empresa. A poltica deve especificar quem decide e dar indcios de quais penalidades esto previstas para cada caso descrito. Porm no deve apontar o que acontecer em seguida com muita exatido, j que no se tratam de sentenas de lei, mas sim de polticas. Nenhuma poltica atinge a perfeio. No possvel prever cada caso e documenta-los. Entretanto, preciso especificar as excees que podem ocorrer em cada processo. Prever que a poltica sofrer revises necessrio. Nunca se pode dar por encerrada a formulao do documento. Com o passar do tempo novas necessidades precisam ser documentadas e o lanamento destas, importante para a continuidade efetiva da poltica. No momento em que se precisa aprofundar o detalhamento tcnico que descreve os sistemas do qual a rede formada, algumas questes so relevantes para o processo de formulao do documento de poltica de segurana. Entre elas: A quem permitido ter conta no sistema? Existem contas temporrias para visitantes? Como tratar fornecedores, parceiros e clientes?
74
As contas podem ser compartilhadas entre mais de um usurio? Secretrias e auxiliares podem receber permisso para ler correspondncia eletrnica de seus superiores?
De que forma disponibilizar informaes de projeto para os parceiros da organizao? Membros das famlias dos funcionrios recebem algum privilgio no sistema? Como tratar os emprstimos informais de credenciais de acesso ao sistema? Em que circunstncias um funcionrio perde sua credencial de acesso? E quando a recebe de volta?
Os funcionrios podem servir contedo em seus computadores? Quais procedimentos os usurios devem tomar quando necessitarem ligar um computador pessoal (ou externo) na rede?
Informaes financeiras da corporao precisam tratamento especial? (criptografia, backups extra etc)
Como deve ser a formulao das senhas dos usurios e com que freqncia devem ser renovadas?
Quais so os limites de uso da Internet? Quais as penalidades para os infratores? Que precaues devem ser seguidas em ordem de se evitar infeces por vrus na rede? Quais procedimentos devem os usurios tomar para manter seus computadores domsticos to seguros quanto os da empresa?
Devem existir recursos/privilgios especiais para funcionrios viajantes? Quais pr-requisitos deve-se atender antes de se projetar sites de comrcio eletrnico dentro da empresa?
Quais informaes so confidenciais? Como sero protegidas? Podem ser transmitidas por meios no criptografados?
75
Informaes que no so importantes para o usurio no devem ser inclusas no documento de poltica de segurana. importante enfatizar o que est se tentando proteger e porque estes procedimentos so feitos, entretanto, no se deve detalhar no nvel tcnico estas instrues. Em resumo, de maior utilidade ter a poltica toda documentada em uma pgina de texto descrevendo o qu e o porqu das medidas de segurana a ter um documento formal e altamente tcnico ocupando 10 folhas de papel para detalhar procedimentos que os usurios no conseguem compreender.
6.2. Planejamento
O item planejamento diz respeito s aes que devem ser tomadas antes de colocar os sistemas computacionais em funcionamento. Nem sempre isto possvel, pois na maioria das vezes a preocupao com segurana surge aps os incidentes da rede j em funcionamento. Em todos os casos, deve-se avaliar a segurana como um processo cclico revendo cada ponto crtico de tempos em tempos. Identificar o que necessrio proteger; Definir quais so as prioridades de proteo do ambiente; Especificar normas sobre como proceder diante de cada emergncia; Educar os usurios da rede interna.
6.3. Usurios e senhas

Algumas prticas com relao aos usurios e senhas so muito eficientes na preveno de incidentes. Uma prtica instruir os usurios a usar senhas formadas por combinaes relativamente complexas que inviabilizem o uso de password crackers. Outra estudar o funcionamento dos programas que atacam com fora bruta as contas do sistema. Assim o prprio administrador faz o trabalho de tentar quebrar senhas detectando combinaes fracas antes do atacante. Outro ponto importante o elo de ligao entre os setores de informtica e recursos humanos. O administrador da rede deve ser sempre a primeira pessoa a saber da demisso de qualquer usurio/cliente da rede, para invalidar tentativas de destruio das informaes que ele possa ter acesso.
76
Certificar-se que cada usurio possui uma conta individual no sistema; Certificar-se que todas as contas possuem senha; Certificar-se que o sistema no aceita senhas mal formuladas; Executar password crackers contra o prprio sistema procura de senhas fracas; No transmitir senhas por meios de fcil captura, como telefone e e-mail; Certificar-se que as permisses do arquivo de contas de usurios no possa ser lido por ningum alm do administrador e do sistema de autenticao;
Considerar a possibilidade de expirar as senhas dos usurios em intervalos curtos e regulares.
6.4. Contas no sistema

Em um aspecto mais interno do sistema operacional, importante haver um tratamento especial para as contas do administrador e dos softwares servidores. No se deve atribuir por exemplo a mesma conta para mais de um servio. Inibir a possibilidade de login da conta de administrador a partir de terminais remotos; Remover periodicamente contas que ficaram inativas; Criar contas separadas para cada software servidor existente no host, evitando atribuir servios conta padro nobody:nogroup comum em ambientes que seguem o padro POSIX.
6.5. Configuraes do sistema operacional.

Arquivos do sistema operacional que so vitais para seu funcionamento. So os principais alvos de ataque, pois neles esto todas as regras de comportamento do computador. Deve ser dada ateno mxima a este ambiente. Algumas recomendaes: Efetuar backups dos arquivos de sistema e arquivos de usurio regularmente;
77
Executar testes de restaurao das mdias de armazenamento dos backups. Examinar o sistema de arquivos regularmente procura de arquivos que estejam com o bit de setuid/setgid ligados;
Eliminar possibilidade de gravao nos dispositivos de terminais e pseudoterminais; Remover shells desnecessrias; Remover utilitrios que no sejam necessrios mas so instalados com o sistema operacional.
6.6. Logs
Nos arquivos de log esto todas as atividades que o administrador precisa saber sobre o sistema. Entender o funcionamento e contedo de cada um deles ajuda o administrador a detectar anomalias. Recomendaes Executar os utilitrios de verificao de atividades do sistema operacional, como o last e who /var/log/wtmp, regularmente; Estudar e entender a configurao e a sada gerada pelo servidor de logs, para saber quais atividades ele reporta e onde encontr-las quando necessrio.
6.7. Ameaas locais

A maioria das falhas relatadas por BUGTRAQ (2001) s podem ser exploradas quando se obtm acesso local ao computador alvo. Algumas recomendaes so: No instalar softwares que no forneam cdigo-fonte; No incluir o diretrio atual (.) na varivel de ambiente $PATH; Incluir e examinar a varivel de ambiente $PATH nos scripts de administrao de sistema; Certificar-se que scripts que possuam bit setuid/setgid no provoquem sada para o shell.
78
6.8. Ameaas nos servios de rede

Falhas nos servios de rede so as que do acesso ao sistema sem a necessidade de presena ou conta local no host. Apesar de serem difceis de se explorar so as que mais servem como porta de entrada para intrusos. Recomendaes: Desativar servios rlogin, rsh, rexec, rcp e demais servios r, substituindo-os pelo secure shell; Desabilitar recursos de rede que no so necessrios. Entre eles NFS, UUCP, Finger, TFTP e TELNET; Remover programas de teste que acompanham softwares servidores, como o test-cgi, printenv, phf do servio HTTPD.
6.9. Respondendo a incidentes de segurana

O primeiro passo para responder a um incidente de segurana decidir qual a natureza da resposta, se houver alguma, que deve ser feita imediatamente. Questes como O atacante obteve sucesso em seu ataque? ou O ataque ainda est em progresso? so extremamente relevantes, pois se o atacante obteve sucesso ento o administrador de redes se encontra realmente em uma emergncia porque necessrio antes de tudo, descobrir quais os danos que ocorreram para depois saber qual servio/recurso que deu entrada para o intruso. Se o ataque ainda est em progresso pode-se tomar decises como desligar os equipamentos que fazem conexo com a Internet. Uma vez determinado que se est realmente em situao de emergncia e que necessrio responder, importante iniciar a documentao de tudo que est ocorrendo. Mesmo no sendo um momento apropriado, escrever um relatrio simples em papel, no formato de log ajuda a evitar novos problemas como este e uma oportunidade de se obter uma compreenso sobre o fato. Uma vez de posse do material necessrio para a documentao, hora de decidir pelo desligamento do sistema. Para avaliar esta necessidade, deve-se considerar conseqncias como: Perda de dados que podem ser necessrios para os usurios legtimos da rede; Perda de dados que evidenciem o ataque;
79
Impossibilidade de analisar os equipamentos porque eles estaro desligados/desconectados; A prxima prioridade reparar os danos. Manter a tranqilidade nesta situao pode ser
essencial para resoluo de problemas, pois o administrador ter que se autenticar no sistema com privilgios mximos e novos erros por causa da tenso podem comprometer ainda mais o sistema. A presena de um colega de trabalho ou administrador de rede de outra organizao pode ajudar muito. Dependendo da natureza da organizao pode ser necessrio relatar o incidente ao corpo jurdico, auditores, relaes pblicas e departamento de segurana interno se: for necessrio acusar judicialmente o atacante; houver suspeita que h colaborao de internos no incidente; houver suspeita de que houve acesso fsico por parte do atacante.
O Anexo III descreve as atribuies do Comit Gestor (COMIT GESTOR, 2001) da Internet no Brasil, para respostas legais a incidentes de segurana de redes.
CONCLUSES E RECOMENDAES
Os temas relacionados com infra-estrutura, procedimentos e recursos de segurana devem ser vistos com prioridade e estar em constante reavaliao dentro das corporaes. Como conseqncia do cenrio ao mesmo tempo amigvel e hostil que a Internet oferece, algumas anlises precisam ser focadas na pauta do profissional que atua com a segurana da informao, tais como: A estratgia de segurana adotada est alinhada s necessidades de negcio da instituio? A alta administrao recebe ateno devida no que diz respeito segurana das informaes que armazenam em seus computadores? A cultura de segurana est disseminada entre eles? Estrutura, funcionalidade e oramento dedicados segurana esto compatveis com a estratgia de negcios da organizao? Existe medio sobre o retorno dos investimentos com segurana? Qual a abrangncia e profundidade com que se trata segurana nos ativos eletrnicos da corporao? Toma-se medidas que vo alm da implantao de ferramentas e produtos para proteo? Qual o impacto que as falhas de segurana podem provocar na relao de confiana e fidelizao com os clientes, parceiros e colaboradores? O objetivo de reavaliar segurana nas organizaes, imposta pela nova realidade global, no deve tirar o foco de negcios. Por outro lado, no desejvel que se tome decises a partir de anlises superficiais ou de direcionamentos extremistas e pouco flexveis, fundamentados simplesmente por medo e insegurana. Elaborar a poltica de segurana sem dvida um trabalho longo e maante, exatamente o oposto do tipo de trabalho que a maioria dos tcnicos apreciam. Porm, desenvolve-la e mante-la vital para a segurana da instituio. importante que ela no apresente textos tcnicos e/ou polticos demais, para que o usurio a compreenda e que sumarize de forma simplificada todas as aes que ele precisa tomar, para cumprir sua parcela de comprometimento com a segurana da organizao como um todo.
81
Manter firewalls de forma eficaz e em concordncia com a poltica de segurana tambm um trabalho de excelncia. O conjunto de sistemas computacionais que filtra contedo deve ser um espelho daquilo que a diretoria da corporao espera do cumprimento da poltica de uso da Internet, bem como deve minimizar as possibilidades de ataques, invases e vazamento de informao, mantendo a integridade e reputao da instituio. Acredita-se, que o modelo de proteo apresentado neste trabalho, de grande utilidade para os participantes da pesquisa. A tcnica de relativo baixo custo e downtime (tempo de parada necessrio para ativar o novo sistema) minimizado, adicionando uma nova e importante camada de segurana para estas redes, facilitando tanto a deteco de intrusos como a invalidao de suas aes.
BIBLIOGRAFIA
ANTIHACKERS. Hackers e suas prticas. Disponvel em <http://www.anti-hackers.com.br> Acesso em 20 out. 2000. BERNSTEIN, T.; BHIMANI, A; SHULTZ, E. Segurana na internet. Rio de janeiro: Campus. 1997. BUGTRAQ Discussion list. List mantained by Security Focus. Disponvel em <bugtraq@securityfocus.com> Acesso em 1 set. 2001. COMIT GESTOR. Sobre o comit gestor. Disponvel em <http://www.cg.org.br/sobrecg/apresentacao.htm>. Acesso em 28 out. 2001. FONTES, E. A velha engenharia social. Disponvel em <http://www.jseg.net/segurancadainformacao72.htm>. Acesso em 4 set. 2001. FORQUESATO, M.A. segurana.pdf. segurana de sistemas e internet firewall. 2001. Adobe acrobat reader 5.0. FREEBSD. FreeBSD Website. Disponvel em <http://www.freebsd.org>. Acesso em 28 ago. 2001. LEHTI, R; VIROLAINEN, P. Advanced intrusion detection environment. Disponvel em <http://www.cs.tut.fi/~rammer/aide.html> Acesso em 19 out. 2001. LIMA, A Engenharia social. Disponvel em <http://www.aqui.com.br/virus/20000824/virus.htm>. Acesso em 5 nov. 2000. MEDEIROS, C.D.R. Segurana da informao. 2001. 75 f. Trabalho de concluso de curso (Graduao em informtica) - Departamento de informtica, Universidade da regio de Joinville, Joinville. MURILO, N. apres.ppt. Ferramentas para deteco de ataques em FreeBSD. 2001. Microsoft power point 2000. NBSO. Nic BR Security Office. Disponvel em <http://www.nic.br>. Acesso em 16 dez 2001. NETSAINT. Netsaint documentation. Disponvel em <http://www.netsaint.org/qanda/faq.php> Acesso em 27 out 2001.
83
NETSEC INTERNET SECURITY. Engenharia social. Disponvel em <http://www.netsec.com.br/tecnologia/engenharia_social.htm>. Acesso em 25 ago. 2000. PANGEIA. Lista de itens de segurana. Disponvel em <http://www.pangeia.com.br/listaseg.htm> Acesso em 22 out 2001. PSIONIC. The Abacus Project. Disponvel em <http://www.psionic.com/abacus/> Acesso em 20 out. 2001. RIBEIRO, A.M. Segurana sobrevivncia. Disponvel em <http://www.tba.com.br/pages/alexigor/virtual.htm> Acesso em 5 nov 2000. ROESCH, M. Snort users manual. Disponvel em <http://www.snort.org/docs/writing_rules/> Acesso em 21 out. 2001. TCPDUMP. Tcpdump man page. Disponvel em <http://www.freebsd.org/cgi/man.cgi?query=tcpdump&apropos=0&sektion=0&manpath=FreeBSD +4.4-RELEASE&format=html> Acesso em 28 out. 2001. TRIPWIRE. Tripwire Open Source. Disponvel em <http://www.tripwire.org/qanda/faq.php> Acesso em 26 out. 2001. UNISINOS. firewalls.pdf. Instalao e uso de firewalls. 1998. Adobe acrobat reader 5.0. VEEN, J. S. V. D. A network setup with FreeBSD and OpenBSD. Disponvel em <http://www.daemonnews.org/200109/network.html> Acesso em 10 set. 2001. ZWICKY, E.;COOPER, S.;CHAPMAN, D.B. Building internet firewalls. Sebastpol: OReilly, 2000. 869 p. ISBN 1-56592-871-7
GLOSSRIO
Broadcast Cracking Criptografar Hacker Host Kerberos NFS NIS Password cracker Transmisso simultnea para vrios pontos de uma rede. Ato de invadir um sistema de computadores. Persistncia e repetio de truques conhecidos que exploram fraquezas comuns na segurana do sistema alvo. Cifrar dados de acordo com um algoritmo. Para decifar o texto criptografado necessrio conhecer a chave, gerada no momento da codificao. Pessoa ocupada em invadir computadores ou redes. Computador hospedeiro de um ou mais softwares servidores. Um esquema de autentificao desenvolvido no MIT usado para previnir a monitorao de logins e senhas. Sistema de arquivos em rede utilizado por sistemas operacionais UNIX. Similar ao compartilhamento das redes Microsoft. Sistema de passagem de informaes. Com ele pode-se transferir, por exemplo, o banco de dados de usurios de um host outro. Todos servidores baseados em sistema Unix possuem um arquivo com as senhas dos usurios criptografadas. virtualmente impossvel decriptar estas senhas, mas possvel usar dicionrios (lista de palavras), encript-las e comparar o resultado com as senhas contidas no arquivo. O termo vem de "phone freak". A arte e cincia de usar a rede telefnica para, por exemplo, fazer ligaes sem pagar. Formato de mensagens para a transmisso de informaes entre computadores. Arquitetura de construo lgica de rede onde o proxy server replica os pedidos originados por seus clientes e o faz em nome dele, devolvendo o resultado da conexo para quem o solicitou. Protocolo usado para gerenciamento remoto em substituio ao Telnet. Toda comunicao ocorre de forma criptografada impedido a ao de sniffers. Ao que fornece privilgios mximos para um programa em execuo. A camada mais externa de um programa que fornece uma interface para os usurios lanarem comandos. O Unix possui mltiplos shells inclundo Bash, C Shell e Korn. Tambm conhecido como interpretador de comandos. Protocolo utilizado para que se possa obter informaes de funcionamento de um host ou sistema computacional, como carga do processador, memria e interfaces de rede. Algoritmo que monitora os pacotes de dados que circulam pela rede. Mais claramente, toda informao que circula pela rede, circula atravs de pacotes. Um sniffer checa os pacotes em busca de informaes referentes a logins e senhas. Passar-se por outra pessoa. um ataque contra a autenticao. Dois tipos de ataque por spoofing bastante conhecidos so: IP Spoofing e DNS Spoofing. Kevin Mitnick ficou famoso por utilizar este tipo de ataque. De um modo geral a pessoa que acessa a algum tipo de servio e usufrui
Phreaking Protocolo Proxying Secure Shell Setuid to root Shell
SNMP Sniffer
Spoofing Usurio
85
Web site WINS
dele. Conjunto de documentos da World Wide Web hospedados em um servidor acessado por intermdio de um navegador. Sistema de resoluo de nomes-de-mquina em endereo IP e vice-versa.
ANEXOS
1. QUESTIONRIO Avaliao de programas de segurana da informao.
1)Qual o sistema operacional que predomina em seu(s) hosts? [ ] - AIX [ ] - FreeBSD [ ] - HP-UX [ ] - Linux [ ] - MacOS [ ] - NetBSD [ ] - Netware [ ] - OpenBSD [ ] - Solaris [ ] - Windows NT/2000 [ ] - Outro
2) Sobre segurana da informao na sua rede: (Marcar todas que se aplicam para seu caso) [ ] - Existe uma poltica documentada, que estipula limites e penalidades. [ ] - Voc faz recomendaes verbais e informalmais para os usurios da rede.
87
[ ] - No existe nada nesse sentido.
3) Quais dos conceitos de segurana voc aplica na rede que administra? (Marcar todas que se aplicam para seu caso) [ ] - Bridging (Firewall dedicado sem camada IP configurada) [ ] - Centralizacao de autenticao: [ ]NIS [ ]LDAP [ ]Outro [ ] - Criptografia em terminais remotos (Secure Shell, SSLTelnet...) [ ] - DMZ (Isolamento fisico e lgico da rede de seridores) [ ] - Filtragem de pacotes (Firewalling)
4) Sobre a filtragem de pacotes... (Marcar 1 opo) [ ] - Tenho um (ou mais de um) host fazendo somente filtragem de pacotes. [ ] - Mantenho um filtro de pacotes mas agrego nele outras funes. (proxy, nat, ftp etc...) [ ] - Configuro a filtragem de pacotes em cada servidor que mantenho. [ ] - Todos servios que disponibilizamos esto em um computador e nele filtro pacotes. [ ] - No fao filtragem de pacotes
5) Se voc no mantm um host dedidado somente a filtrar pacotes, isto acontece
88
por que motivo: (Marcar todas que se aplicam para seu caso) [ ] - No aumentar segurana no meu caso. [ ] - No consigo conciliar uma tarefa desta complexidade com meu tempo disponvel. [ ] - No financeiramente invivel. [ ] - No sei como fazer.
6) Quais dos sistemas de deteco de intrusos voc mantm efetivamente em sua rede: (Marcar todas que se aplicam para seu caso) [ ] - AAFID. [ ] - Aide. [ ] - Bro. [ ] - Chkrootkit. [ ] - Logcheck [ ] - Netsaint. [ ] - Ngrep [ ] - Portsentry. [ ] - Snort. [ ] - Tcpdump
89
[ ] - Tripwire. [ ] - Outros. [ ] - Nenhum.
7) Dentre os ataques listados abaixo, quais voc j detectou em sua rede? (Marcar todas que se aplicam para seu caso) [ ] - Alterao do contedo web servido. [ ] - Ataque contra usurios da sua rede. [ ] - Negao de servio. [ ] - Fora bruta contra alguma conta no sistema (POP, FTP etc...) [ ] - Instalao de rootkit. [ ] - Varredura de portas (port scan) [ ] - Tentativas de obter mapas de DNS. [ ] - Outros.
90
2. MANUAL DE CONFIGURAO Bridge Man Page

Os sistemas POSIX documentam as principais caractersticas de seus componentes em um repositrio eletrnico conhecido como man pages. A traduo da seo de bridging, de acordo com o release 4.4 do FreeBSD apresentada a seguir. Nome: Bridge suporte a bridging Sinopse: options BRIDGE Descrio: FreeBSD suporta bridging em interfaces do tipo Ethernet. A operao em tempo real do bridge controlada por variveis sysctl(8). A net.linkether.bridge pode ser ajustada para 1 para habilitar o bridging, ou 0 para desabilita-o. A varivel net.link.ether.bridge_ipfw pode ser ajustada para 1 para ativar filtragem ipfw(8) nos pacotes que passam pelo bridge. Note que as regras do ipfw(8) somente se aplicam a pacotes IP. Pacotes no-IP ficam sujeitos regra padro do filtro (nmero 65535) que precisa ser allow se pacotes ARP e outros no-IP precisam passar pelo bridge. A configurao do bridge controlada pela varivel net.link.ether.bridge_cfg. Ela consiste uma lista separada por vrgulas de pares interface:cluster, onde todas as interfaces com o mesmo cluster sero ligadas no mesmo sistema de bridge. Uma outra varivel reinicializa o bridge; isto necessrio se as configuraes do bridge inclurem interfaces carregveis. Depois de carregar o controlador de uma nova interface, ajustar a varivel net.link.ether.bridge_refresh para 1 ir causar uma reinicializao do bridge. Exemplos: O seguinte comando ir causar o bridging entre as interfaces ep0 e fxp0, e entre as interfaces fxp1 e de0.
sysctl -w net.link.ether.bridge_cfg ep0:0,fxp0:0,fxp1:1,de0:1
Bugs:
91
Cuidados devem ser tomados para no contruir loops na topologia do bridge. O kernel suporta apenas uma forma primitiva de deteco de loops, desabilitando interfaces quando um deles detectado. Nenhum suporte para um dmon executando o algoritmo spanning tree atualmente provido. Com o bridging ativado, as interfaces entram em modo promscuo, causando um aumento de carga no sistema para a tarefa de receber e filtrar trfego indesejado. Funcionalidades estendidas para habilitar bridging seletivo em cluster de interfaces ainda esto sendo trabalhadas. Interfaces que no podem ser colocadas em modo promscuo ou que no suportam o envio de pacotes com endereos Ethernet arbitrrios no so compatveis com o bridging. Ver tambm: ip(4), ng_bridge(4), ipfw(8), sysctl(8) Histrico: Bridge bridging foi introduzida no FreeBSD 2.2.8 por Luigi Rizzo luigi@iet.unipi.pt.
92
3. ATRIBUIES DO COMIT GESTOR

O Comit Gestor da Internet no Brasil foi criado a partir da necessidade de se coordenar e integrar todas as iniciativas de servios Internet no Pas bem como assegurar a qualidade e eficincia dos servios ofertados. Entre suas atribuies principais est a de manter um grupo de segurana de redes, o Nic BR Security Office. Este grupo formado por dois sub-grupos: Backbone, coordenado por Ricardo Maceira (Embratel) que discute segurana nos troncos que formam a espinha dorsal da Internet; Provedores, coordenado por Nelson Murilo (Pangeia) e Rubens Kuhl Jr. (UOL), cujo foco so os aspectos de segurana com os fornecedores de acesso Internet. Este ltimo, est relacionado diretamente com a Polcia Federal e tm com uma de suas incumbncias investigar crimes que envolvem a Internet. Ento, quando o incidente necessitar averiguao criminal recomenda-se relatar o acontecimento para <nbso@nic.br>.

TCC Fabricio Bortoluzzi Estrategias de Seguranca

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

TCC Fabricio Bortoluzzi Estrategias de Seguranca

Uploaded by

Copyright:

Available Formats

UNIVERSIDADE DO VALE DO ITAJAI CENTRO DE EDUCAO SUPERIOR DE CINCIAS TECNOLGICAS DA TERRA E DO MAR CURSO DE CINCIA DA COMPUTAO

rea de Redes de Computadores

Itaja (SC), novembro de 2001.

rea de Redes de Computadores

Itaja (SC), novembro de 2001.

Acadmico Fabricio Bortoluzzi

Professor Orientador Prof. Gilberto da Silva Luy, M.Eng.

Coordenador do Curso Prof. Lus Carlos Martins

Aos professores, transmissores de conhecimento, em especial, ao meu orientador Gilberto Luy.

minha namorada Luciene, que consegue transformar sentimentos de desespero em confiana.

6. SERVIOS DA INTERNET ................................................................................29 6.1. A World Wide Web ............................................................................................30

6.2. Correio eletrnico ...............................................................................................32

6.3. Transferncia de arquivos .................................................................................33

6.4. Terminais Remotos.............................................................................................33

6.5. Converso de nomes-de-domnio em endereo IP...........................................35

7. POLTICAS DE SEGURANA ..........................................................................36 7.1. Contedo de Um Documento de Polticas de Segurana................................37

4.4. O Log Host ..........................................................................................................67 4.5. As redes de servidores e clientes........................................................................67

LISTA DE ABREVIATURAS E SIGLAS

4. OBJETIVOS DO TRABALHO 4.1. Objetivo Geral

4.2. Objetivos Especficos

5.1. Descrio Das Etapas

6. CRONOGRAMA 6.1. Fase 1

1. RISCOS DA CONEXO COM A INTERNET

2. MOTIVOS QUE LEVAM OS HACKERS S SUAS PRTICAS

3. ATAQUES 3.1. Tcnicas De Ataques

Ataques utilizando o RIP (Routing Information Protocol).

3.1.1. Ataques de Canal de Comando

3.1.2. Ataques Direcionados a Dados

3.1.3. Ataques de Terceiros

3.1.4. Falsa Autenticao de Clientes

3.1.6. Packet Sniffing

3.1.7. Injeo e Modificao de Dados

3.1.9. Negao de Servio

3.1.10. SYN Flood

Figura 1 Negociao do bit ACK. Fonte: (ZWICKY et al. 2000)

3.1.11. Ping of Death

3.1.13. Ataques Contra o Protocolo NetBIOS

3.1.14. Ataques Contra o X-Window

3.1.15. Ataques Utilizando o RIP

3.2. Implementaes de Ataques

4.1. Exemplos de Ataque de Engenharia Social

4.2. Aes Contra Ataques De Engenharia Social

Figura 2 Posicionamento do firewall na rede de computadores. Fonte: (ZWICKY et al. 2000)

5.1. Caractersticas de um Pacote

Figura 3 Camadas de um pacote IP. Fonte: (ZWICKY et al. 2000)

5.1.1. Exemplo TCP / IP / Ethernet

5.1.1.1. A Camada Ethernet

Figura 5 A Camada TCP. Fonte: (ZWICKY et al. 2000)

6.1. A World Wide Web

6.1.1.1. Consideraes sobre segurana

6.1.2. O protocolo HTTP

6.1.3. A linguagem HTML

6.2. Correio eletrnico

6.2.1. Consideraes sobre segurana

6.3. Transferncia de arquivos

6.3.1. Consideraes sobre segurana

6.4. Terminais Remotos

6.4.1. Consideraes sobre segurana

6.5. Converso de nomes-de-domnio em endereo IP

6.5.1. Consideraes sobre segurana

Legalidade: A poltica de segurana est de acordo com os requerimentos legais exigidos?

7.1. Contedo de Um Documento de Polticas de Segurana

7.1.2. Responsabilidade de Todos