Segurança Da Informação - Slides Teoria Basica

Segurana da Informao
Parte 2
Maj Anderson
anderson@ime.eb.br
Ementa do curso
Gesto de Segurana da Informao

Poltica de Segurana da Informao (PSI)
Sistema de Gesto de Segurana da Informao (SGSI)
Normas ABNT
Ataques
Tipos, exemplos e taxonomias
Segurana Fsica e Lgica

Firewall, Proxy, NAT, IDS e IPS
Gesto de de Segurana da Informao
Poltica de Segurana da Informao
um documento que serve como mecanismo preventivo de proteo

dos dados e processos importantes de uma organizao, que define um
padro de segurana a ser seguido pelo corpo tcnico e gerencial e
pelos usurios, internos ou externos.
Outra definio
A Poltica de Segurana um conjunto de diretrizes, normas,
procedimentos e instrues, destinadas respectivamente aos
nveis estratgico, ttico e operacional, com o objetivo de
estabelecer, padronizar e normatizar a segurana tanto no
escopo humano como no tecnolgico.
A Segurana da Informao "inicia" atravs da

definio de uma poltica clara e concisa acerca da
proteo das informaes.
Atravs de uma Poltica de Segurana da Informao,
a empresa formaliza suas estratgias e abordagens para
a preservao de seus ativos.
A Poltica de Segurana da Informao deve ser

compreendida como a traduo das expectativas da
empresa em relao a segurana considerando o
alinhamento com os seus objetivos de negcio,
estratgias e cultura
A Poltica de Segurana de Informaes deve:

Estabelecer as responsabilidades das funes relacionadas com a
segurana
Discriminar as principais ameaas, riscos e impactos envolvidos.
Integrar-se s polticas institucionais relativas segurana em geral,

s metas de negcios da organizao e ao plano estratgico de
informtica.
Gera impactos sobre todos os projetos de informtica, tais como
planos de desenvolvimento de novos sistemas e plano de
contingncias.
No envolve apenas a rea de informtica, mas todas as
informaes da organizao.
Relacionamentos da poltica de segurana de

informaes
Estratgia geral da organizao
Estabelece
Plano estratgico
de
informtica
Especifica
Define
Poltica de
segurana de
informaes
Contribui
para atingirse as metas
Gera impactos sobre
Planos de desenvolvimento de sistemas

Plano de continuidade de servios
Objetivos e Escopo
Prover uma orientao de apoio da direo para a

segurana da informao de acordo com os requisitos
do negcio e com as leis e regulamentaes relevantes
[ISO 27002]
Objetivos e Escopo
A poltica de segurana da informao tem como propsito

elaborar critrios para o adequado:
Manuseio
Armazenamento
Transporte e
Descarte das informaes.
Elaborao da poltica
As atividades bsicas do desenvolvimento da Poltica de

Segurana da Informao so:
Estruturar o Comit de Segurana
Definir Objetivos
Realizar Entrevistas e Verificar a Documentao Existente
Elaborao da poltica
Elaborar o Glossrio da Poltica de Segurana;

Estabelecer Responsabilidades e Penalidades;
Preparar o Documento Final da PSI;
Oficializar a Poltica da Segurana da Informao;
Sensibilizar os Colaboradores.
Participao na Poltica de Segurana
Devem estar envolvidos:

A alta gerncia;
A gerncia de segurana de informaes;
Os vrios gerentes e proprietrios dos sistemas informatizados e,
finalmente;
Os usurios.
Documentao da Poltica de Segurana

Algumas das Questes que a PSI Deve Responder
O que significa Segurana da Informao?
Por que os colaboradores devem se preocupar com segurana?
Quais so os objetivos estratgicos de SI?
Documentao da Poltica de Segurana
Como realizada a gesto da segurana da informao?

O que pensa a alta administrao?
Quais so os principais papis e responsabilidades?
Quais as penalidades previstas?
Estrutura
Convm que um documento da poltica de SI seja aprovado

pela direo, publicado e comunicado para todos os
funcionrios e partes externas relevantes [ISO 27002].
Estrutura
Uma poltica de segurana deve ser sustentada por:

Diretrizes
Normas
Procedimentos e Instrues
Estrutura
Diretrizes
Conjunto de regras gerais de nvel estratgico que tem

como base a viso e a misso da empresa
Representam s preocupaes da empresa sobre a
segurana das informaes
Diretrizes
Correspondem a todos os valores que devem ser

seguidos para que as informaes tenham o nvel de
segurana exigido
Normas
Conjunto de regras gerais de segurana que se aplicam

a todos os segmentos envolvidos
Deve ser elaborada de forma mais genrica possvel
Normas
Geralmente so elaboradas com foco em assuntos mais

especficos como:
controle de acesso, uso da Internet, uso do correio eletrnico,
acesso fsico, instrues sobre senhas e realizao de backups, etc.
Procedimentos e Instrues
Conjunto de orientaes para realizar atividades e

instrues operacionais relacionadas a segurana.
Comandos operacionais a serem executados no
momento da realizao de um procedimento de
segurana.
importante que exista uma estrutura de registro que esses
procedimentos so executados (evidncias objetivas)
Produtos (sadas) da Documentao
Carta do Presidente;
Diretrizes de Segurana da Informao;
Normas Gerais de Segurana da Informao;
Exemplos de Procedimentos Operacionais e Instrues
Tcnicas
Fatores Crticos de Sucesso
Convm que a PSI seja analisada criticamente a

intervalos planejados ou quando mudanas significativas
ocorrerem, para assegurar a sua contnua pertinncia,
adequao e eficcia [ISO 27002].
Bases de Sustentao: Cultura + Recursos + Monitoramento
Fatores Crticos de Sucesso
A implantao da poltica de segurana depende de:

Uma boa estratgia de divulgao e treinamento entre os
usurios, clientes e fornecedores
Uma forma eficiente de anlise de desempenho da poltica
Barreiras Implementao
Falta de Conscincia Sobre e Importncia da poltica de

segurana
Oramento Reduzido
Falta de Recursos Humanos Adequados
Ausncia de Ferramentas adequadas
Sucesso da PSI
Para que uma poltica de segurana da informao seja

utilizada com sucesso ela precisa ser:
Clara: escrita com uma linguagem formal e acessvel
Concisa: no deve conter informaes desnecessrias ou
redundantes
Sucesso da PSI
Adequada: com a realidade da empresa

Atualizada periodicamente: mudanas no negcios, novas
ameaas, etc
Organizando a Segurana da Informao

Para que uma organizao tenha sucesso ao
implementar essas aes de gesto fundamental que
exista um planejamento e uma estrutura adequada
Para tal, necessrio gerenciar a Segurana da
Informao dentro da organizao.

Convm que uma estrutura de gerenciamento seja
estabelecida para iniciar e controlar a implementao da
Segurana da Informao
Sistema de Gesto da Segurana da Informao (SGSI)

Convm que a direo aprove a PSI, atribua as
funes da segurana, coordene e analise criticamente
a implementao da Segurana da Informao
Sistema de Gesto de Segurana da

Informao
Definio:
Um sistema de gesto de segurana da informao um sistema
para estabelecer poltica e objetivos, e para atingir estes objetivos
utilizando:
A estrutura organizacional;
Processos sistemticos e recursos associados;
Sistema de Gesto de Segurana da

Informao
Metodologia de medio e avaliao;
Processo de anlise crtica para assegurar que os problemas so
corrigidos e as oportunidades de melhoria so identificadas e
implementadas quando necessrio.
Elementos de um sistema de Gesto
Poltica
demonstrao de compromisso
Planejamento
identificao das necessidades, recursos, estrutura e
responsabilidades
Elementos de um Sistema de Gesto
Implementao e operao
construo da conscincia organizacional e treinamento
Avaliao de desempenho
monitoramento e medio, auditoria e tratamento de no
conformidades
Elementos de um Sistema de Gesto
Melhoria
ao preventiva e corretiva, melhoria contnua
Anlise crtica pela direo
Sistema de Gesto de Segurana da Informao SGSI

A norma ISO 27001 foi preparada para prover um modelo
para estabelecer, implementar, operar, monitorar, revisar,
manter e melhorar um SGSI.
A adoo de um SGSI deve ser estratgico para a
organizao
Sistema de Gesto de Segurana da Informao SGSI

Projeto e implementao:
devem ser escalados conforme as necessidades da organizao.
Uma situao simples requer uma soluo simples.
Espera-se que o SGSI mude com o tempo.
ISO 27001
Referncia da implantao de Processos de Gesto de

Segurana da Informao, publicada em Outubro de 2005.
Verso atual publicada em novembro de 2013
Esta norma veio tornar padro internacional o que havia

sido desenvolvido e publicado pela entidade normativa
inglesa BSI (British Standard Institution), com o designao
de BS7799-2.
ISO 27001
Uma metodologia estruturada reconhecida

internacionalmente dedicada a segurana da informao
Um processo definido para validar, implementar, manter e
gerenciar a segurana da informao
ISO 27001
Um grupo detalhado de controles compreendidos das

melhores prticas de segurana da informao
Desenvolvido pelas empresas para as empresas
ISO 27001 no
Um padro tcnico
Um produto ou tecnologia dirigida
Uma metodologia de avaliao do equipamento
Mas pode exigir a utilizao de Nveis de Garantia dos
Equipamentos
ABNT NBR ISO/IEC 27001:2006

Estabelecimento do
Sistema de Gesto
Partes
Interessadas
Partes
Interessadas
Plan
Implementao e
Operao do Sistema de Gesto
Do
Expectativas e
requisitos
de segurana
da informao
P
D
A
C
Monitoramento e
Anlise Crtica do
Sistema de Gesto
Check
Manuteno e Melhoria do
Sistema de Gesto
Act
Segurana
da informao
gerenciada
PLAN (Planejar)
Definir Escopo e Limites do SGSI

Definir a Poltica Geral de Segurana da Informao
Definir a metodologia para a avaliao e tratamento de
riscos
Identificar e classificar os riscos
Identificar e classificar as alternativas para tratamento dos
riscos
PLAN (Planejar)
Selecionar objetivos de controle e controles especficos a

implementar
Identificar riscos residuais no cobertos
Preparar uma Declarao de Aplicabilidade (DDA) - Sumrio
Obter autorizao para implantar o SGSI
Formular um plano de ao
DO (Executar)
Implantar o plano de tratamento de riscos

Implantar os controles definidos
Implantar os programas de treinamento e conscientizao
dos usurios
Gerenciar o SGSI
CHECK (Verificar)
Monitorar controles existentes

Realizar revises peridicas (Auditoria Interna)
Analisar efetividade dos controles existentes
Verificar novos riscos e nvel dos riscos residuais
ACT (Agir)
Implementar melhorias necessrias

Comunicar aes
Garantir que as mudanas atingiram resultado esperado
Sistemas de gesto de segurana da informao

Requisitos
Especifica uma srie de processos voltados para garantira reviso e
melhoria do Sistema de Gesto.
Principal caracterstica: DEVE.

Esta Norma adota o modelo conhecido como Plan-Do-Check-Act,
que aplicado para estruturar todos os processos do SGSI (Sistema
de Gesto da Segurana da Informao).
Organizao
1.
2.
3.
4.
ESCOPO
REFERNCIAS NORMATIVAS
TERMOS E DEFINIES
SISTEMA DE GESTO DA SEGURANA DA INFORMAO
5.
6.
7.
8.
RESPONSABILIDADE DA DIREO
AUDITORIAS INTERNAS DO SGSI
ANLISE CRTICA PELA DIREO DO SGSI
MELHORIAS DO SGSI ANEXOS A, B e C

4. SISTEMA DE GESTO DE SEGURANA DA INFORMAO

4.1. REQUISITOS GERAIS
4.2. ESTABELECENDO E GERENCIANDO O SGSI

4.2.1.
4.2.2.
4.2.3.
4.2.4.
Estabelecer o SGI (P)

Implementar e operar o SGSI (D)
Monitorar e analisar criticamente o SGSI (C)
Manter e melhorar o SGSI (A)
4.2.1
4.2.2
4.2.4
4.2.3
4.3. REQUISITOS DE DOCUMENTAO

4.3.1. Geral (P)
4.3.2. Controle de documentos (P)
4.3.3. Controle de registros (P,D,C e A)
4.2.1
4.2.2
4.2.4
4.2.3
5. RESPONSABILIDADE DA DIREO
5.1. COMPROMETIMENTO DA DIREO (P)
5.2. GESTO DE RECURSOS (D)
5.2.1. Proviso de recursos
5.2.2. Treinamento, conscientizao e competncia
6. AUDITORIAS INTERNAS DO SGSI (C)
7. ANLISE CRTICA DO SGSI PELA DIREO (A)

7.1. GERAL
7.2. ENTRADAS PARA A ANLISE CRTICA
7.3. SADAS DA ANLISE CRTICA
8. MELHORIA DO SGSI (A)

8.1. MELHORIA CONTNUA
8.2. AO CORRETIVA
8.3. AO PREVENTIVA
Alguns Benefcios da Certificao ISO 27001
Responsabilidade reduzida devido s polticas e aos

procedimentos no implementados ou reforados
Oportunidade de identificar e eliminar fraquezas
A Gerncia participa da Segurana da Informao
Alguns Benefcios da Certificao ISO 27001
Reviso independente do seu SGSI

Fornece segurana a todas as partes interessadas
Melhor conscincia da segurana
Une recursos com outros sistemas de gerenciamento
Mecanismo para medir o sucesso do sistema
Algumas Razes para adotar o ISO 27001
Eficcia melhorada da Segurana da Informao

Diferenciao do Mercado
Satisfazer exigncias dos clientes
nico padro com aceitao global
Algumas Razes para adotar o ISO 27001
Responsabilidades focadas na equipe de trabalho

A Tecnologia da Informao cobre padres to bem quanto
a organizao, pessoal e facilidades
Mandatos e leis
ABNT NBR ISO/IEC 27002
CDIGO DE PRTICA PARA A GESTO DA SEGURANA DA

INFORMAO
Apresenta as melhores prticas a serem utilizadas na gesto da
segurana da informao.
Estrutura da Norma
5. Poltica de Segurana da Informao (1)
Estrutura da Norma
5. Poltica de Segurana da Informao (1)
5.1 Poltica de Segurana da Informao

Objetivo: "Prover uma orientao de apoio da direo para a segurana
da informao de acordo com os requisitos do negcio e com as leis e
regulamentaes relevantes
Estrutura da Norma
5.1.1 Documento da Poltica de Segurana da

Informao
"Convm que um documento da poltica de SI seja aprovado pela
direo ..."
5.1.2 Anlise Crtica da Poltica de Segurana da

Informao
"Convm que a poltica de SI seja analisada criticamente a
intervalos planejados ou quando mudanas ...
Estrutura da Norma
Objetivo do controle
Controle
Diretrizes para implementao
Informaes adicionais
Principal caracterstica: CONVM.
Sees (Categorias)
Poltica de Segurana da Informao (1)

Organizando a Segurana da Informao (2)
Gesto de Ativos (2)
Segurana em Recursos Humanos (3)
Segurana Fsica e do Ambiente (2)
Sees (Categorias)
Gesto de Operaes e Comunicaes (10)

Controle de Acesso (7)
Aquisio, Desenvolvimento e Manuteno de SI (6 )
Gesto de Incidentes de SI (2)
Gesto da Continuidade do Negcio (1)
Conformidade (3)
5.POLTICA DE SEGURANA DA INFORMAO
5.1. POLTICA DE SEGURANA DA INFORMAO

Prover uma orientao e apoio da direo para a segurana da
informao, com base nos requisitos do negcio, leis e
regulamentaes relevantes.
5.POLTICA DE SEGURANA DA INFORMAO
Estabelecimento e manuteno de uma poltica clara e alinhada com os

objetivos do negcio.
Demonstrar o comprometimento da direo.
Conscientizao e treinamento.
Anlise crtica documentada e realizada em intervalos planejados.
6.ORGANIZANDO A SEGURANA DA INFORMAO
6.1. INFRA-ESTRUTURA DA SEGURANA DA INFORMAO

Gerenciar a segurana da informao dentro da organizao
6.2. PARTES EXTERNAS

Manter a segurana dos recursos de processamento e da informao
da organizao que so acessados, processados, comunicados ou
gerenciados por partes externas.
7. GESTO DE ATIVOS
7.1. RESPONSABILIDADE PELOS ATIVOS

Alcanar e manter a proteo adequada dos ativos da organizao.
Ativos identificados claramente e inventariados constantemente.
7. GESTO DE ATIVOS
7.2. CLASSIFICAO DA INFORMAO

Assegurar que a informao receba um nvel adequado de proteo
A informao deve ser classificada em termos do seu valor, requisitos
legais, sensibilidade e criticidade para a organizao.
8. SEGURANA EM RECURSOS HUMANOS

8.1. ANTES DA CONTRATAO
8.2. DURANTE A CONTRATAO
8.3. ENCERRAMENTO OU MUDANA DA CONTRATAO
8. SEGURANA EM RECURSOS HUMANOS

Funcionrios, fornecedores e terceiros:
Entendam suas responsabilidades e obrigaes;

Estejam de acordo com os seus papis;
Estejam conscientes das ameaas;
Estejam preparados para apoiar a Poltica; e
Deixem a organizao (ou mudem de trabalho) de forma ordenada.
9. SEGURANA FSICA E DO AMBIENTE

9.1. REAS SEGURAS
9.2. SEGURANA DE EQUIPAMENTOS
Prevenir o acesso fsico no autorizado, danos e interferncias com
as instalaes e informaes da organizao.
Controles de entrada fsica; e
Proteo contra ameaas externas e do meio ambiente.
9. SEGURANA FSICA E DO AMBIENTE

Impedir perdas, danos, furto ou comprometimento de ativos e
interrupo das atividades da organizao.
Segurana do cabeamento; e
Reutilizao e alienao segura de equipamentos.
10. GERENCIAMENTO DAS OPERAES E COMUNICAES
10.1. DOCUMENTAO DOS PROCEDIMENTOS DE OPERAO

Garantir a operao segura e correta dos recursos de processamento
de dados.
10.2. GERENCIAMENTO DE SERVIOS TERCEIRIZADOS

Implementar e manter o nvel apropriado
10.3. PLANEJAMENTO E ACEITAO DE SISTEMAS

Minimizar o risco de falhas nos sistemas
10.4. PROTEO CONTRA CDIGOS MALICIOSOS E CDIGOS

MVEIS
Proteger a integridade do software e da informao.
10.5. CPIAS DE SEGURANA DAS INFORMAES

Manter a integridade e disponibilidade da informao e dos recursos
de processamento da informao.
10.6. GERENCIAMENTO DA SEGURANA EM REDES

Garantir a segurana das informaes em redes e a proteo da
infraestrutura de suporte.
10.7. MANUSEIO DE MDIAS

Prevenir contra divulgao no autorizada, modificao, remoo
ou destruio aos ativos e interrupes das atividades do negcio.
10.8. TROCA DE INFORMAES

Manter a segurana na troca de informaes e softwares
organizao e com quaisquer entidades externas.
10.9. SERVIO DE COMRCIO ELETRNICO

Garantir a segurana de servios de comrcio eletrnico e sua
utilizao segura.
10.10. MONITORAMENTO
Detectar atividades no autorizadas de processamento da
informao.
11. CONTROLE DE ACESSOS
11.1. REQUISITOS DE NEGCIO PARA CONTROLE DE ACESSO

Controlar o acesso informao
11.2. GERENCIAMENTO DE ACESSO DO USURIO

Assegurar o acesso do usurio autorizado e prevenir o acesso no
autorizado a sistemas de informao.
11.3. RESPONSABILIDADES DOS USURIOS

Prevenir o acesso no autorizado dos usurios e evitar o
comprometimento ou roubo da informao e dos recursos de
processamento da informao.
11.4. CONTROLE DE ACESSO REDE

Prevenir o acesso no autorizado aos servios de rede.
11.5. CONTROLE DE ACESSO AO SISTEMA OPERACIONAL

Prevenir o acesso no autorizado aos sistemas operacionais.
11.6. CONTROLE DE ACESSO APLICAO E INFORMAO

Prevenir o acesso no autorizado informao contida nos sistemas
de aplicao.
11.7. COMPUTAO MVEL E TRABALHO REMOTO

Garantir a segurana da informao e recursos de trabalho remoto.
12. AQUISIO, DESENVOLVIMENTO E MANUTENO DE

SISTEMAS DE INFORMAO
12.1. REQUISITOS DE SEGURANA DE SISTEMAS DE

INFORMAO
Garantir que a segurana parte integrante de sistemas de
informao.
12.2. PROCESSAMENTO CORRETO NAS APLICAES

Prevenir a ocorrncia de erros, perdas, modificao no autorizada
ou mau uso de informaes em aplicaes.

12.3. CONTROLES CRIPTOGRFICOS

Proteger a confidencialidade, a autenticidade ou a integridade das
informaes por meios criptogrficos.
12.4. SEGURANA DOS ARQUIVOS DO SISTEMA

Garantir a segurana de arquivos de sistema.

12.5. SEGURANA EM PROCESSOS DE DESENVOLVIMENTO E

DE SUPORTE
Manter a segurana de sistemas aplicativos e da informao.
12.6. GESTO DE VULNERABILIDADES TCNICAS

Reduzir riscos resultantes da explorao de vulnerabilidades
tcnicas conhecidas.
13. GESTO DE INCIDENTES DE SEGURANA DA

INFORMAO
13.1. NOTIFICAO DE FRAGILIDADES E EVENTOS DE
SEGURANA DA INFORMAO
Assegurar que fragilidades e eventos de segurana da informao
associados com sistemas de informao sejam comunicados,
permitindo a tomada de ao corretiva em tempo hbil.
13. GESTO DE INCIDENTES DE SEGURANA DA

INFORMAO
13.2. GESTO DE INCIDENTES DE SEGURANA DA
INFORMAO E MELHORIAS
Assegurar que um enfoque consistente e efetivo seja aplicado
gesto de incidentes de segurana da informao.
14. GESTO DA CONTINUIDADE DO NEGCIO
14.1. ASPECTOS DA GESTO DA CONTINUIDADE DO

NEGCIO, RELATIVOS SEGURANA DA INFORMAO
No permitir a interrupo das atividades do negcio e proteger os
processos crticos contra efeitos de falhas ou desastres significativos
e assegurar a sua retomada em tempo hbil, se for o caso.
15. CONFORMIDADE
15.1. CONFORMIDADE COM REQUISITOS LEGAIS

Evitar violao de qualquer lei criminal ou civil, estatutos,
regulamentaes ou obrigaes contratuais e de quaisquer
requisitos de segurana da informao.
15. CONFORMIDADE
15.2. CONFORMIDADE COM NORMAS E POLTICAS DE

SEGURANA DA INFORMAO E CONFORMIDADE TCNICA
Garantir conformidade dos sistemas com as polticas e normas
organizacionais de segurana da informao.
15. CONFORMIDADE
15.3. CONSIDERAES QUANTO AUDITORIA DE SISTEMAS

DE INFORMAO
Maximizar a eficcia e minimizar a interferncia no processo de
auditoria dos sistemas de informao.

Estudamos vrios aspectos da Gesto da Segurana da
Informao, porm para que uma organizao tenha
sucesso ao implementar essas aes de gesto
fundamental que exista um planejamento e uma
infraestrutura adequada;
Para tal, necessrio gerenciar a Segurana da Informao
dentro da organizao.

O que significa Gerenciar a Segurana da Informao
dentro da organizao?
Convm que uma infraestrutura de gerenciamento seja estabelecida
para iniciar e controlar a implementao da SegInfo.
Convm que a direo aprove a PSI, atribua as funes da
segurana, coordene e analise criticamente a implementao da
SegInfo.
Objetivos dos Controles
Comprometimento da direo com a SegInfo;

Coordenao da SegInfo;
Atribuio de responsabilidades;
Processo de autorizao para os recursos de processamento
da informao
Objetivos dos Controles
Acordos de confidencialidade;
Contato com autoridades e grupos especiais;
Anlise independente de SegInfo.
Perfil do Gestor de Segurana
Perfil do Gestor de Segurana ( <> Chief Security Officer)
Viso Global e foco local;

Tomar decises baseados na anlise de riscos;
Criar e multiplicar padres;
Capacidades: comunicao, relacionamento e liderana;
Profissional orientado a metas ligadas misso da empresa.
Principais desafios
Limitaes de oramento;
Conscientizar gestores e colaboradores;
Questes polticas;
Desenvolver e reter profissionais e suas respectivas
habilidades;
Fatores Crticos de Sucesso (FCS)
Autonomia;
Entender o Princpio de Pareto como uma ferramenta de
Gesto ;
20% das causas representam 80% das consequncias;
Buscar comprometimento e envolvimento
Comit de Segurana
Conforme j estudamos esse grupo tem como objetivo

tomar decises estratgicas a respeito da SegInfo, elaborar
diretrizes e apoiar (dar suporte) as iniciativas de segurana;
Formado por executivos, diretores e/ou gestores;
Grupo de Trabalho
CSO e/ou Gestor de Segurana da Informao;

Consultor de Segurana;
Analista de Segurana;
Auditores;
Estrutura Organizacional (define o tipo de autonomia e
interao que a rea de SegInfo ter com as outras reas).
Partes Externas
Gerenciar a SegInfo implica ainda em:

Manter a segurana dos recursos de processamento da informao e
da informao da organizao que so acessados, processados,
comunicados e/ou gerenciados por partes externas (clientes,
fornecedores, terceiros).
Partes Externas Objetivos de Controle
Identificao dos riscos relacionados com a partes externas;

Identificando a SegInfo quando tratando com clientes;
Identificando a SegInfo em acordos com terceiros
O que um incidente de segurana?
Qualquer evento adverso, confirmado ou sob suspeita,

relacionado segurana dos sistemas de computao ou das
redes de computadores.
-ou O ato de violar uma poltica de segurana, explcita ou
implcita.
Exemplos de incidentes
Tentativas (com ou sem sucesso) de ganhar acesso no

autorizado a sistemas ou a seus dados
Interrupo indesejada ou negao de servio;
Uso no autorizado de um sistema para processamento ou
armazenamento de dados;
Exemplos de incidentes
Modificaes nas caractersticas de hardware, firmware ou

software de um sistema, sem o conhecimento, instrues
ou consentimento prvio do dono do sistema.
ENISA-https://www.enisa.europa.eu/
CURSO DE ENGENHARIA DA COMPUTAO (SE/8)
A Gesto de Incidentes de Segurana da

Informao
Notificao de fragilidades e eventos
Assegurar que fragilidades e eventos de segurana da
informao associados com sistemas de informao sejam
comunicados, permitindo a tomada de ao corretiva em tempo
hbil.
A Gesto de Incidentes de Segurana da

Informao
Responsabilidades e Procedimentos;
Asseguram respostas rpidas, efetivas e ordenadas.
Aprendendo com os incidentes;

Quantificar e monitorar.
Coleta de Evidncias.
Coleta, armazenamento e apresentao em conformidade com a
jurisdio .
Tratamento de Incidentes
Deteco
Reportado ou Identificado
Triagem
Avaliar, Categorizar e priorizar
Anlise
Entender o incidente
Resposta
Aes para resolver o incidente
Fonte: Good Practice Guide For Incident Management
Tratamento de Incidentes
Fonte: Good Practice Guide For Incident

Management
Fonte: Good Practice Guide For

Incident Management
Ciclo de Resoluo de um Incidente
Fonte: Good Practice

Guide For Incident
Management
Computer Security Incident Response Team

(CSIRT)
Computer Security Incident Response Team (CSIRT)", ou
Grupo de Resposta a Incidentes de Segurana, uma
organizao responsvel por receber, analisar e responder a
notificaes e atividades relacionadas a incidentes de
segurana em computadores.
Computer Security Incident Response Team

(CSIRT)
Presta servios para uma comunidade bem definida, que
pode ser a entidade que o mantm, como uma empresa, um
rgo governamental ou uma organizao acadmica.
Um CSIRT tambm pode prestar servios para uma comunidade
maior, como um pas, uma rede de pesquisa ou clientes que pagam
por seus servios.
CSTIR - Brasil
CERT.br
O Centro de Estudos, Resposta e Tratamento de Incidentes de
Segurana no Brasil mantido pelo NIC.br , do Comit Gestor da
Internet no Brasil, e atende a qualquer rede brasileira
conectada Internet.
CERT.br
Incidentes Reportados (CERT.br)
dos (DoS
-- Denial ofReportados
Service): notificaes
de ataques de
Incidentes
(CERT.br)
negao de servio, onde o atacante utiliza um computador ou
um conjunto de computadores para tirar de operao um
servio, computador ou rede.
7.7 DDoS 2009
Payback 2010
Payback 2010
Payback 2010
http://sourceforge.net/projects/loic/
Payback 2010
Payback 2010
https://www.us-cert.gov/ncas/alerts/TA15-105A
invaso:Incidentes
um ataque bem
sucedido que
resulte no acesso no
Reportados
(CERT.br)
autorizado a um computador ou rede.
web: umIncidentes
caso particular
de ataque visando
especificamente o
Reportados
(CERT.br)
comprometimento de servidores Web ou desfiguraes de
pginas na Internet.
scan: notificaes
deReportados
varreduras em(CERT.br)
redes de computadores,
Incidentes
com o intuito de identificar quais computadores esto ativos e
quais servios esto sendo disponibilizados por eles.
amplamente utilizado por atacantes para identificar potenciais
alvos, pois permite associar possveis vulnerabilidades aos
servios habilitados em um computador.
fraude: Incidentes
segundo Houaiss,
"qualquer
ato ardiloso, enganoso,
Reportados
(CERT.br)
de m-f, com intuito de lesar ou ludibriar outrem, ou de no
cumprir determinado dever; logro". Esta categoria engloba as
notificaes de tentativas de fraudes, ou seja, de incidentes em
que ocorre uma tentativa de obter vantagem.
outros: Incidentes
notificaes de
incidentes que
no se enquadram nas
Reportados
(CERT.br)
categorias anteriores.
Tentativas de fraudes reportadas (CERT.br)
Incidentes Reportados
Incidente [reviso]
Qualquer evento adverso, confirmado ou sob suspeita,

relacionado segurana dos sistemas de computao ou das
redes de computadores.
-ou O ato de violar uma poltica de segurana, explcita ou
implcita.
Taxonomia de incidentes
Existem diversas taxonomias criadas por vrios autores e

grupos de pesquisa, mas pode-se classificar os incidentes de
acordo com:
Atacante
um indivduo que tenta um ou mais ataques, a fim de atingir um
objetivo
Ferramentas
Meios que podem ser usados para explorar uma vulnerabilidade em um
computador ou rede
Vulnerabilidade
Fragilidade de um ativo ou grupo de ativos que pode ser explorada por
uma ou mais ameaas
Ao
Representa um espectro de atividades que podem ser feitas em
computadores e redes, sendo uma etapa que um usurio ou um processo
realiza com o objetivo de atingir um resultado final
Alvo
Um computador, rede ou uma entidade lgica (conta, processo ou
dados) ou entidade fsica (componente, computador ou rede).
Vulnerabilidade
uma ou mais ameaas
Ao
Alvo
Vulnerabilidade
uma ou mais ameaas
Ao
Alvo
Resultado
Resultado de um ataque oriundo de uma ao no aprovada pelo
proprietrio ou administrador
Objetivo
Propsito ou objetivo final de um incidente
Atacantes
Hackers
Atacante que usa computadores para obter acesso no autorizado
aos dados.
Usurios avanados, que possuem um exmio conhecimento em
informtica
Espies
Atacantes que atacam computadores para obter informaes a
serem utilizadas para fins polticos
Terroristas
Atacantes que tem por objetivo de causar medo para obter ganhos
polticos
Atacantes
Atacantes corporativos
empregados (atacantes) que atacam computadores de empresas
concorrentes para obter ganhos financeiros ou roubar informaes
Criminosos profissionais
Atacantes que tem por objetivo obter ganhos pessoais
Atacantes
Vndalos
Atacantes que tem por objetivo causar danos
Voyeurs
Atacantes que tem por objetivo obter informaes sensveis por
emoo ou realizao pessoal
Jarges
White hat
Hacker que estuda sistemas de computao procura de falhas na
sua segurana, mas respeitando princpios da tica hacker.
Ao encontrar uma falha, o white hat normalmente a comunica em
primeiro lugar aos responsveis pelo sistema para que tomem as
medidas cabveis.
Jarges
Black hat
Hacker que no respeita a tica hacker e usa seu conhecimento para
fins criminosos ou maliciosos; ou seja, um cracker.
Tambm chamado darkside hacker;
Jarges
Grey hat
Hacker intermedirio entre white e black: por exemplo, um que
invade sistemas por diverso mas que evita causar dano srio e que
no copia dados confidenciais.
Newbie
o termo usado para designar um hacker principiante.
Jarges
Lammer ou ento script kiddie

Algum que se considera hacker mas que, na verdade, pouco
competente e usa ferramentas desenvolvidas por outros crackers
para demonstrar sua suposta capacidade ou poder
Phreaker
um hacker especializado em telefonia (mvel ou fixa).
Jarges
Hacktivist ou "hacktivista"
um hacker que usa suas habilidades com a inteno de ajudar em
causas sociais ou polticas.
Hackers Famosos
http://tecnologia.terra.com.br/internet/hackers-famosos/
Ataques
Ferramentas de ataque/segurana
Vrias ferramentas podem ser utilizadas para ataque/

segurana
Programas de varredura
Crackers de senha
Sniffers
Ferramentas de log e auditoria
Etapas de um ataque
1. Reconheciment
(Reconnaissance)
Ativo
Passivo
2. Varredura (Scanning)
3. Obter acesso
Ao SO ou aplicao
Rede
Negao de servio (DoS)
4. Manuteno do acesso
Enviando, alterando ou
baixando programas ou
dados
5. Limpando rastros
Fase 1 - Reconhecimento
Reconhecimento
Coletar informaes do local a ser atacado.
Fasepreparatriaonde umatacanteprocurareuniro mximo de
informaespossveis sobreumalvo antes delanarum ataque
Pode ser
Passivo
Sem contato direto com a vtima
Uso de informaes pblicas
Ativo
Interagindo com o alvo
Ligaes telefnicas para o help desk, engenharia social, etc
realizado o footprinting do alvo
Footprinting o processo de obter dados a respeito de um determinado

ambiente, normalmente com o objetivo de encontrar meios para
realizar a invaso
Resulta em um perfil a respeito das redes (Internet/intranet/extranet/
wireless) e sistemas envolvidos
Um atacante gasta maior parte do tempo no levantamento do perfil da
empresa, em relao ao tempo do ataque em si.
necessrio para que sistematicamente e metodologicamente garantir
que todas as informaes relacionadas ao alvo sejam identificadas
Informaes a serem obtidas
Internet
Nomes de domnio
Blocos de rede
Endereos IP especficos
Servios TCP e UDP
Arquitetura de sistemas
Mecanismos de controle de acesso
IDS
Topologia da rede
Enumerao de Sistema
Acesso Remoto
Nmeros de telefone
Tipo de sistema remoto
Mecanismos de autenticao
Extranet
Origem e destino das conexes
Tipos de conexes
Mecanismos de controle de acesso
Obter informaes onde a empresa a disponibiliza

Site da empresa e relacionados
Faa uma cpia do site e implemente um programa para coletar
informaes que julgar interessante.
Linux: wget
Windows: Teleport pro
Pesquise problemas de segurana que a empresa possa ter tido

Google
Listas de discusso sobre plataformas, sistemas, hardware, etc.

Arquivos de sites antigos
www.archive.org
Ferramentas
Whois
Nslookup
Nmap
Neo Trace
VisualRoute Trace
SmartWhois
eMailTrackerPro
Website watcher
GEO Spider
HTTrack Web Copier
E-mail Spider
Alchemy Network Tool

Big Brother
BiLE Suite
CountryWhois
WhereIsIP
Ip2country
CallerIP
Web Data Extractor Tool
What is MyIP.com
SpiderFoot
Google Hacking
Fase 2 - Varredura
Varredurarefere-sea fasede prataquequandoohackervarrea redepara obter

informaes especficascom basenas informaes
recolhidas duranteo reconhecimento
Varredura podeincluir o usodescanners de
portas,mapeamentode rede,scanners
devulnerabilidade,etc.
Risco para o negcio
Alto
Atacantes obtem uma porta de entrada para poder realizar o ataque
Fase 2 - Varredura
Tipos de varredura
De Porta
De Rede
De Vulnerabilidades
Objetivos
Descobrir
Descobrir
Descobrir
Descobrir
Descobrir
detalhes da rede (topologia, equipamentos)

servios em execuo
portas ativas
sistemas operacionais
os endereos IP em uso
Fase 2 - Varredura
Metodologia
Verificar por sistemas ativos

Verificar por portas abertas
Identificar os servios
Capturar Banner e identificar servios
Procurar por vulnerabilidades
Desenhar os diagramas de hosts vulneraveis
Preparar proxies
Fase 2 - Varredura
Ferramentas utilizadas
Programas de varredura
Os programas de varredura procuram determinar:
Que servios esto atualmente executando

Se acessos annimos so suportados
Se certos servios requerem autenticao
Falhas de segurana conhecidas e no corrigidas
Os programas de varredura revelam fraquezas na rede

Podem auxiliar tanto administradores quanto possveis invasores
A maioria dos programas de varredura permite varrer vrios domnios e

redes
Fase 2 - Varredura
Algumas ferramentas comerciais
strobe
Rpido, confivel, somente faz varreduras TCP
udp_scan
SATAN, SAINT, somente UDP
netcat
nc, TCP e UDP
nmap
netscan
superscan
NTOScanner
WinScan
ipEye
WUPS
GFI Languard
SATAN
Nessus
Retina
Fase 2 - Varredura
Preparo de Proxies
Proxy um computador que atua como intermedirio na
comunicao entre duas outras mquinas
Pode ser utilizado uma cadeia de proxies
Existem proxies gratuitos na internet
Objetivo
Dificultar a identificao do atacante
Mascarar os registros
Algumas ferramentas
Socks Chain
Proxy WorkBench
Proxy Manager Tool
Multiproxy
Fase 2 - Varredura
Preparo de Proxies
Ataques para obteno de informaes
Tcnicas:
Dumpster diving ou Trashing

Engenharia Social
Eavesdropping ou Packet Sniffing
Scanning
Firewalking
Phishing
Dumpster diving ou Trashing

Revirar o lixo a procura de informaes.
Pode revelar informaes pessoais e confidenciais.
Engenharia Social
Tem como objetivo enganar e ludibriar pessoas.
Ataca o elo mais fraco da segurana o usurio.
Normalmente o atacante se faz passar por um funcionrio da
empresa.
Eavesdropping ou Packet Sniffing

A interface de rede colocada em modo promscuo.
Captura pacotes no mesmo segmento de rede.
Senhas trafegam em claro (Telnet, FTP, POP, HTTP, etc)
Wireshark, tcpdump
Scanning
Port Scanning
Obtm informaes a respeito dos servios acessveis (portas abertas)
em um sistema.
Scanning de vulnerabilidades
Obtm informaes sobre vulnerabilidades especficas (conhecidas)
para cada servio em um sistema.
Nmap
Network view
Nessus

Firewalking
Obtm informaes sobre as regras do firewall que protege uma
rede, a partir de uma rede externa.
Funcionamento similar ao traceroute. Usa TCP/UDP Port Scan.
Phishing
Problemas com e-mail
boatos
correntes
spam
phishing-scam
scam Uma ao ou operao fraudulenta ou enganosa
phishing
vrus
worms
Engenharia Social
Phishing-scam
Outros exemplos
Orkut fake
Abaixo assinados
Virus de MSN
191
Prof Fernando Hmmerli - Segurana de Redes de Computadores - Unidade II
192
Prof Fernando Hmmerli - Segurana de Redes de Computadores - Unidade II
Fase 3 Obter acesso
Passo 1: Enumerar usurios

Obter nome de usurios utilizando recursos de enumerao para
Windows ou verificao SNMP
Passo 2: quebrar a senha
Descobrir a senha do usurio para ganhar acesso ao sistema
Passo 3: Elevar privilgios
Elevar para o nvel de administrador
Passo 4: Executar aplicaes
Infiltrar keyloggers, spywares, and rootkits na mquina invadida
Passo 5: Esconder arquivos
Por exemplo, utilizando esteganografia para esconder as
ferramentas ou cdigos fonte
Passo 6: Apagar registros
Apagar registros para evitar de ser descoberto
Enumerao
Enumerao definida como o processo de extrao de

nomes de usurio,nomes das mquinas, recursos de rede,
compartilhamentos e servios
Normalmente realizadas em ambientes de intranet
Envolveconexes ativaspara determinadossistemase a
realizao de consultas diretas
Algumas tcnicas utilizadas
Obter nomes de usurios utilizando
Win2k enumeration
SNMP
Obter informaes utilizando senhas padro

Fora bruta contra o Active Directory
Netbios Null Sessions
Santo Graal dos ataques contra Windows

Aproveita as falhas no protocolos CIFS/SMB (Common
Internet File System/Server Messaging Block)
Podem ser obtidas as seguintes informaes
Lista de usurios e grupos

Lista de mquinas
Lista de compartilhamentos
Identificadores de usurios e hosts (SID Security Identifiers)
Comandos abaixo servem para conectar ao processo oculto

IPC com usurios annimo e senha nula (Win2k e XP)
Windows: C:\> net use \\192.34.34.2\IPC$ /u:
Linux: $ smbclient \\\\target\\ipc\$ "" U "
Netbios Null Sessions
Ferramentas teis
DumpSec
SuperScan
PS tools (Microsoft)
Windows Active Directory Attack Tool (w2kdad.pl)
Comandos teis
net view /domain
net view \\<some-computer>
nbtstat -A <some IP>
Lista de senhas default

http://cirt.net/passwords
Quebra de senha
Quatro tipos de ataque
Ataques online passivos

Ataques online ativos
Ataques offline
Ataques no eletrnicos
Ataques online passivos Wire Sniffing
Baseado no monitoramento do trfego da rede

Fases:
1. Acessar e gravar o trfego bruto da rede
2. Aguardar at que trafegue algum quadro de autenticao
3. As credencias so atacadas dependendo de como elas esto
criptografadas
Consideraes:
Relativamente difcil de ser executado

Relativa complexidade computacional
Ferramentas largamente disponveis
Ataques online passivos Man-in-the-middle (MITM)

O atacante intercepta os dados
e responde pelo cliente,
podendo alterar os dados.
Session hijacking
O atacante derruba o cliente
e mantm a conexo em
andamento.
Etapas
1. Obtm acesso ao canal de
comunicao
2. Aguarda por uma sequencia
de autenticao
3. Atua como um proxy para a
autenticao
4. Sem necessidade de fora
bruta
Ataques online passivos Replay attack

Dados interceptados podem ser retransmitidos pelo atacante.
possvel utilizar dados cifrados.
Consideraes para MITM e Replay attack
Difcil de realizar
Um ou os dois lados devem confiar no atacante
Algumas ferramentas disponveis
As vezes pode ser invalidade devido a quebra do trfego
Ataques online ativos
Password Guessing
Tenta diferentes senhas at uma funcionar
Funciona contra senhas fceis ou a no existncia de senha
Dicionrios de senha
Ataques Offline
Utilizar alguma tcnica para quebrar a senha associado a
um cracker de senha
Um cracker de senha qualquer programa que supera a segurana
de senha revelando senhas que anteriormente foram criptografadas
Normalmente no possvel decifrar senhas

Embora no seja uma verdade matemtica
Uso de funes Hash
Os crackers de senha utilizam o mtodo comparativo para

descobrir senhas
A maioria dos crackers de senha utilizam um dicionrio de
palavras para utilizar na comparao
Se uma senha estiver no dicionrio utilizado ela certamente ser
descoberta
Ataques Offline
Tipos de ataques
Ataque de dicionrio
Tenta diversas palavras de uma lista
Efetivo contra senhas fracas
Ataque hbrido
Inicia com o dicionrio
Combina outros caracteres
Adiciona um nmero
Adiciona um smbolo
Efetivo quando mal utilizado os caracteres especiais e nmeros
Ataque de fora bruta

Tenta todas as senhas possveis
Normalmente tenta atacar o Hash primeiro
Pre-Computed Hash (Rainbow Attack)
Tabela com todos os hashes possveis pr-existente
Compara com a base de dados disponvel
Problema
Necessita um elevado espao de armazenamento
O uso de elemento aleatrio (salt) inviabiliza seu uso
Ataques Offline
Outras variantes
Ataque de slabas
Rule-based
Distributed Network Attack
Shoulder surfing
Keyboard Sniffing
Engenharia social
Ferramentas de ataque/segurana
Regras para boas senhas:

Alternar letras maisculas e minsculas e utilizar
caracteres no-alfanumricos
Senhas grandes (maiores do que 8 caracteres)
Procurar uma ordem de formao que lhe ajude a
lembrar e que no seja de conhecimento geral
ex: as primeiras letras de uma frase
Os crackers de senha tm melhorado sensivelmente

com o aumento do tamanho e variedade dos
dicionrios
Mitigao dos riscos para senhas
Para minimizar os riscos de descoberta das senhas, podem

ser utilizados
Smart cards / tokens
Difcil de quebrar
Custo elevado
Biometria
Propenso a falhas
Associados a senhas
Programas utilizados
John the ripper

Netbios Auditing Tool (NAT)
Smbbf (SMB Brute Force Tool)
SmbCrack Tool
L0phtCrack
PWdump2 e PWdump3
Rainbowcrack (rcrack)
Kerbcrack
ScoopLM
LCP
SID & USER
OPH Crack 2
Elevar privilgios
Se o atacante conseguiu acesso a rede atravs de um

usurio sem poder administrativo, o prximo passo obter
privilgios administrativos
Aps ter acesso a mquina/sistema, o atacante deve obter
uma cpia da base de dados dos usurios e administradores
e utilizar um crack de senha para descobri-las
Executar aplicaes
Executa aplicaes com o objetivo de infiltrar keyloggers (podem ser
baseados em hardware ou software), spywares, and rootkits na
mquina invadida
Ferramentas disponveis
Psexec
Remoexec
Ras N Map
Alchemy Remote Executor
Emsa FlexInfo
SC-Keylog Engine Builder
Revealer Keylogger
Handy KeyLogger
Ardamax Keylogger
Powered Keylogger
Elite Keylogger
E muitos outros.......
Esconder arquivos
Os arquivos adicionados as mquinas atacadas devem ficar ocultos
Duas maneiras no Windows
Comando attrib
Attrib +h [arq/dir]
NTFS Alternate Data Streaming

Caractersitica que permite que dados sejam armazenados em um arquivo
oculto e linkados a um arquivo visvel
Rootkits
Programas que tem a habilidade de ficarem ocultos e encobrir suas
atividades
Normalmente substituem alguma rotina do SO
Algumas ferramentas
Fu
AFX
Nuclear
Vanquish
Uso de esteganografia
Esteganografia
o processo de esconder uma mensagem secreta em uma outra
mensagem e, no destino, a mensagem original pode ser extrada
O mtodo mais popular o uso de imagens para esconder as mensagens
Podem ser escondidas quaisquer tipos de informaes:
Ferramentas para hackear
Lista de servidores comprometidos
Planos de futuros ataques
Entre outros....
Ferramentas
Merge Streams
Invisible Folders
Invisible Secrets
Image Hide
Stealth Files
mp3stego
Entre outros....
Limpando rastros
Aps o invasor conseguir acesso como administrador, ele deve tentar
apagar os rastros para que no possa ser identificado
Aps realizar todas atividades, aproveita para instalar backdoors que
permitam acesso fcil ao sistema no futuro
Por exemplo
Desabilitando auditoria no windows
Auditpol (disable/remove)
Limpando Log de eventos

Elsave
Ferramentas
Winzapper
Evidence Eliminator
Traceless
Tracks Eraser Pro
Armor Tools
Entre outras....
Limpando os rastros
Para monitorar as
alteraes nos arquivos do
SO podem ser utilizadas
ferramentas que
monitoram a integridade
do SO
Integridade de arquivos
Tripwire
LanGuard
Consequncias de um ataque
Monitoramento no autorizado
Descoberta e vazamento de informaes confidenciais
Modificao no autorizada de informaes
Negao ou corrupo de servios
Fraude ou perdas financeiras
Imagem prejudicada, perda de confiana e reputao
Custo para a recuperao dos servios e informaes
Alguns tipos de ataques
Ataques ativos contra o TCP/IP

Tcnicas:
Spoofing
ARP Spoofing
IP Spoofing
DNS Spoofing
Man-in-the-middle
Session Hijacking
Replay attack
Fragmentao de pacotes
Ataques de negao de servio
Spoofing
Tcnica de autenticar uma mquina para outra forjando pacotes de um

endereo de origem confivel
Etapas do ataque
Incapacitar o host que se pretende personificar
Forjar o endereo do host que est personificando
Conectar-se ao alvo, disfarando-se como o host incapacitado
Estar no caminho para receber os pacotes de resposta
Man in the Middle
Captura (Hijack) de Conexes

Spoofing aps fase de autenticao
Spoofing
Enganar a vtima fazendo-se passar por outro host.

Tipos:
ARP Spoofing
Gerar respostas ARP falsas
ARP (Address Resolution Protocol)
Mapeia: Endereos IP Endereos MAC
IP Spoofing
Gerar pacotes com endereo IP falso
DNS Spoofing
Gerar respostas de DNS falsas
DNS (Domain Name Service)
Mapeia: Nomes Endereos IP
ARP Spoofing
1 Passo:
ARP Spoofing
2 Passo:
ARP Spoofing
Resultado
IP Spoofing
UDP e ICMP: trivial
TCP: maior grau de dificuldade
1) necessrio impedir que o host confivel responda.
IP Spoofing
2) necessrio prever o nmero de sequncia inicial.
DNS Spoofing
Contaminar o cache do servidor com resposta falsa.
Dificuldade: Adivinhar o transaction ID.
Fragmentao de pacotes
Se: tamanho do pacote
> MTU do meio, ento ocorre fragmentao.
possvel sobrescrever cabealhos durante a remontagem dos pacotes

driblar as regras de filtragem do firewall.
Ataques por negao de servio

Denial of Service: DoS
Distributed DoS: DDoS
Interrompe ou nega completamente servio a usurios
legtimos, redes, sistemas e outros recursos
No necessria muita percia para uma pessoa realiz-lo
Existem diversas ferramentas gratuitas (exploits) disponveis
muito mais fcil interromper a operao de uma rede do que
invadi-la.
Ataques por negao de servio
Na maioria das vezes implica em reiniciar a mquina ou
servio
Os protocolos de rede, como o TCP/IP, foram projetados
para serem utilizados por uma comunidade aberta e
confivel
Muitos sistemas operacionais e daemons possuem falhas
internas
Pacotes mal formados (maliciosos) ou muito grandes (ex: ataques
Ping of Death e Nukes) fazem com que aplicaes travem,
permitam invases ou passem a utilizar CPU de modo anormal
Tipos de ataque por negao de servio
Consumo de Largura de Banda

ICMP, UDP, TCP Flood
Inanio de recursos
Falhas de programao
Ataques de Roteamento e DNS
Smurf
TCP SYN Flood
Tipos de ataque DoS
(a) Consumo de Largura de Banda:

O atacante procurar utilizar toda a largura de banda de uma rede
Este ataque pode acontecer em uma rede local mas geralmente
realizado remotamente
Este ataque possui dois cenrios:
O atacante possui mais largura de banda do que a disponvel na rede
atacada. Exemplo: uma conexo de rede 1,544Mbps contra um enlace
de 56 ou 128kbps.
O atacante amplifica seu poder de ataque DoS engajando mltiplas
instalaes para inundar a conexo de rede da vtima (DDoS)
Consumo de Largura de Banda
Possveis solues
Limitao por tipo de trfego
Vivel no caso de ICMP
Difcil de implementar no caso de TCP/UDP
Implementao de Filtros de Ingresso na Rede - Network Ingress

Filtering - nos roteadores
Configurar o roteador para bloquear pacotes IP de fontes ilegtimas (IPs
falsos)
desvantagem: overhead
No impede o ataque mas permite rpida localizao de sua origem
Tipos de ataque DoS

(b) Inanio de recursos:
Este ataque se preocupa em consumir os recursos do sistema ao
invs dos da rede
Geralmente isto envolve consumir ciclos de CPU, memria, cotas
dos sistemas de arquivos ou outros processos do sistema
Possvel Soluo
Utilizar mecanismos do Sistema Operacional para imposio de
limites de execuo
Ex.: cotas, limite de uso de CPU, limite de uso de memria, threads,
file handles, etc.
Tipos de ataque DoS
(c) Falhas de programao:

So falhas de um programa aplicativo, sistema operacional ou chip
com lgica embutida no manuseio de condies incomuns
Isto ocorre quando um usurio manda dados inesperados para o
elemento vulnervel
Muitas vezes o atacante envia pacotes estranhos com o objetivo de
determinar se a pilha de rede tratar desta exceo ou se ela
resultar em um pnico do ncleo e uma queda completa do sistema
operacional
Falhas de Programao
Possveis Solues
Manter sistemas sempre atualizados com ltimas
verses de correes - Patches
Servios
Habilitar apenas os essenciais
Restringir acesso aos mesmos
Firewall
TcpWrapper
Filtros no roteador
Tipos de ataque DoS

(d) Ataques de roteamento
Este ataque envolve atacantes manipulando
entradas de tabela de roteamento para negar
servio a sistemas de redes legtimos
A maior parte dos protocolos de roteamento possui
uma autenticao fraca ou inexistente abrindo esta
brecha
Os atacantes alteram rotas legtimas,
frequentemente falsificando o IP de origem, para
criar uma condio de DoS
Vtimas tero seu trfego roteado para a rede do
atacante ou para um buraco negro
Tipos de ataque DoS
(d) Ataques de DNS

Ataques a DNS envolvem convencer o servidor da vtima a colocar
em cache informaes de endereamento falsas
atacante adivinha ID da consulta DNS
ex: ID = ID + 1 (em alguns servidores DNS)
atacante envenena o DNS com mapeamentos que no foram

requisitados (alguns servidores DNS aceitam e colocam em cache)
Quando um cliente executa uma consulta o atacante pode

redirecion-la para o site que desejar ou, em alguns casos, para um
buraco negro
Ataques de roteamento e DNS

1 - PC Cliente solicita ir para um site
de e-Commerce
2 A cache adulterada do servidor de
DNS retorna o endereo de IP da
mquina do hacker
3 O sistema do atacante agora se
faz passar pelo site de e-Commerce
Servidor DNS
de um site de
e-Commerce
(loja)
1
2
PC Cliente
3
Servidor Web do atacante

www.hacker.com.br
Servidor Web
www.loja.com.br
Ataques de roteamento e DNS
Possveis Solues
DNS seguro
Protocolos de Roteamento seguros (RIP v.2, OSPF)
autenticao da rota
Tipos de ataque DoS
(e) Smurf:
Realizado enviando uma solicitao de ping broadcast para uma
rede que responda a tais solicitaes
O atacante envia pacotes ICMP ECHO com o endereo IP de origem
falsificado para o endereo de broadcast da rede
Isto faz com que os computadores pensem que a solicitao veio da
prpria rede causando um trfego de rede violento e possibilitando
um DoS
E o IP de origem recebe os pacotes de ICMP ECHO REPLY
Possveis Solues
Configurao de roteadores
>no ip directed-broadcast
Smurf
Atacante
rede
ping
broadcast
Vtima
Tipos de ataque DoS

(f) TCP SYN Flood
3-way handshake do TCP/IP

SYN
+A
SYN
O servidor fica aguardando um sinal de ACK durante um tempo

estabelecido
CK
ACK
Cliente
Usurio solicita uma abertura de conexo

com o servidor enviando um sinal de
SYN s que com o endereo de origem
falsificado de uma rede inalcanvel
O servidor responde com um SYN+ACK
mas como a rede no existe nunca
receber um ACK ou indcio de que a
rede no existe
Servidor
O bombardeio de sinais de SYN faz com

que o servidor acabe sem conseguir
responder a mais conexes causando o
DoS
Inundao de SYN
Possveis Solues
Uso de SynCookies
Bloqueio no Firewall/Roteador
recurso que permite interceptar e validar conexes TCP para evitar
ataques SYN Flood
ex1:
ex2:
Firewall-1 CheckPoint
SYN Defender
Cisco Routers: TCP Intercept
Active Intercept Mode x Passive Watch Mode
Distributed Denial of Service (DDoS)

Utiliza diversos ataques DoS em conjunto a partir de dezenas/centenas de
sites na Internet
Zumbis (ou agents) instalados em sites comprometidos controlados
remotamente por um ou mais mestres (ou handlers)
Uso de botnets

Exemplos de ferramentas
FloodNet (Netstrike)
Aplicao Java que inunda o alvo com solicitaes

de pginas no existentes
Trinoo
Utiliza UDP Flood

Tribal Flood Network 2k (TFN2k)
Utiliza vrios ataques DoS: Smurf, SYN Flood, UDP

Flood, ICMP Flood
Um dos piores ataques

Possveis Solues
Executar softwares de varredura de redes
Precisa-se contar com que outros faam seu trabalho corretamente
Fechar portas usadas pelos programas (ex: 27444/udp e 31335/udp para
o Trinoo)
Configurar corretamente roteadores/estaes diminuindo a gama de

ataques DoS disponveis para um ataque DDoS
Possveis Solues
Utilizao de mquina de deteco de intruso
Aplicao de filtro no roteador do ISP de onde provm grande parte
do ataque
Trocar o IP da mquina alvo e atualizar o DNS (problema a
propagao do DNS)
Evitar pontos nicos de falha (redundncia de servidores)
Ataque Fsico
Ataque realizado com o objetivo de roubar fisicamente ou

danificar um computador, rede, seus componentes, ou os
seus sistemas de apoio (tais como ar condicionado, energia
eltrica, etc).
Roubo de informaes
Um meio de obter informaes de outros atacantes (como

atravs de um boletim eletrnico), ou de outras pessoas
que esto sendo atacadas (comumente chamado de
engenharia social).
Engenharia social
uma tcnica que consiste em enganar usurios usando tcnicas de
persuaso.
Vulnerabilidade
Fragilidade de um ativo ou grupo de ativos que pode ser

explorada por uma ou mais ameaas
Pode ser
Projeto
Implementao
Configurao
Vulnerabilidade do projeto
Uma vulnerabilidade inerente ao projeto ou especificao

de hardware ou software em que mesmo uma
implementao perfeita ir resultar em uma
vulnerabilidade.
Vulnerabilidade de implementao
Uma vulnerabilidade resultante de um erro cometido no

software ou hardware implementao de um projeto
satisfatrio
Vulnerabilidade de configurao
Uma vulnerabilidade resultante de um erro na configurao

de um sistema, como ter contas de sistema configuradas
com senhas padro, tendo permisso de escrita ou ter
servios vulnerveis habilitado
Ao
Representa um espectro de atividades que podem ser feitas

em computadores e redes, sendo uma etapa que um usurio
ou um processo realiza com o objetivo de atingir um
resultado final
As aes so iniciadas, ao acessar um alvo, onde o acesso
definido como uma forma de estabelecer uma comunicao
lgica ou fsica
Ao
Duas aes so realizadas para obter informaes sobre o

alvo:
Sondagem (probe)
Uma ao empregada para determinar as caractersticas de um alvo
especfico
Varredura (scan)
Uma ao onde um usurio ou processo acessa uma srie de alvos em
sequncia, a fim de determinar quais alvos tm uma caracterstica
particular
As duas etapas podem ser combinadas para poder obter

mais informaes sobre o alvo
Ao
Inundao (flood)
Ao realizada para sobrecarregar um alvo, acessando
repetidamente, com o objetivo de impedir o acesso legtimo
Exemplo:
Enviar um nmero de pacotes acima da capacidade da rede
Abrir um nmero de conexes em uma porta acima da capacidade
configurada
Ao
Autenticao
Medida tomada por um usurio para assumir uma identidade
Inicia com o usurio utilizando um programa para realizar o login
Depois realizada a verificao, quando deve ser informada a senha de
acesso.
Ao
Bypass
Medida tomada para evitar um processo de autenticao e utilizar
um mtodo alternativo para acessar um alvo
Exemplo
Sistemas operacionais que tm vulnerabilidades que poderiam ser
exploradas por um atacante para obter privilgios, sem realmente fazer
login em uma conta privilegiada.
Ao
Spoofing
Ao com o objetivo de personificar uma outra
pessoa, mquina ou entidade
Pode ser realizada no nvel
Enlace (mac spoofing)
Rede (ip spoofing)
Aplicao (dns spoofing)
Ao
Ler
Obter o contedo armazenado em um storage ou em algum tipo de
mdia
Copiar
Reproduzir o contedo do alvo, deixando o original sem
modificaes
Ao
Roubar
Tomar posse do alvo sem deixar uma cpia no local original
Modificar
Alterar o contedo ou caractersticas de um determinado alvo
Ao
Apagar
Remover o alvo, ou deix-lo irrecupervel
Alvo
Um computador, rede ou uma entidade lgica ou entidade

fsica.
Lgica
Conta, processo ou dados
Fsica
Componente, computador, rede ou rede de interconexo
Resultado
Resultado de um ataque oriundo de uma ao no aprovada

pelo proprietrio ou administrador
Acesso no autorizado
Divulgao de informaes
Corrupo de informaes
Negao de Servio
Roubo de recursos
Resultado
Acesso no autorizado
Atacante consegue acessar um computador, uma rede ou um
sistema
Inicialmente pode ser realizado acesso com um usurio que possua
baixo privilgio e, posteriormente, escalar privilgios, por exemplo,
acessando uma conta de administrador
Resultado
Divulgao de informaes
Distribuir ou entregar as informaes acessadas para pessoas ou
entidades no autorizadas
Corrupo de informaes
Alterao no autorizada dos dados em um computador ou rede
Resultado
Negao de servio
Degradao intencional ou bloqueio do acesso aos computadores ou
recursos de uma rede
Roubo de recursos
Uso no autorizado do computador ou dos recursos da rede
Objetivo
Propsito ou objetivo final de um incidente
Desafio
Status
Satisfao pessoal
Polticos
Econmicos
Danos
Classificao por classe e tipo de incidente
Segurana Fsica e Lgica
Segurana Fsica x Lgica
Segurana Fsica:
Realizada para evitar/dificultar as falhas nos equipamentos e
instalaes.
Ex: problema com equipamentos ativos, furtos, faxineira, etc.
Segurana Lgica:
Realizada para evitar/dificultar as falhas relacionadas aos softwares
utilizados.
Ex: bugs, falhas no desenvolvimento, etc.
Segurana Fsica
A segurana comea pelo ambiente fsico

No adianta investir dinheiro em esquemas sofisticados e
complexos se no instalarmos uma simples porta para
proteger fisicamente os servidores da rede.
Segurana Fsica
Abrange todo o ambiente onde os sistemas de informao

esto instalados:
prdio
portas de acesso
trancas
piso
salas
computadores
Segurana Fsica
Requer ajuda da engenharia civil e eltrica

A norma NBR ISO/IEC 27001 divide a rea de segurana
fsica da seguinte forma:
reas de segurana
Segurana dos equipamentos
reas de segurana
Objetivo:
Prevenir o acesso fsico no autorizado, danos e interferncias com
as instalaes e informaes da organizao
Permetro da segurana fsica

Controles de entrada fsica
Segurana em escritrios, salas e instalaes
Proteo contra ameaas externas e do meio ambiente
Trabalhando em reas seguras
Acesso do pblico, reas de entrega e de carregamento
Objetivo:
Impedir perdas, danos, furto ou comprometimento de ativos e
interrupo das atividades da organizao.
Instalao e proteo de equipamentos
Utilidades (fornecimento de energia e/ou outros ativos de servio)
Segurana do cabeamento
Manuteno de equipamentos
Segurana de equipamentos fora das instalaes
Reutilizao e alienao segura de equipamentos
Remoo de propriedade
Segurana Externa e de entrada
Proteo da instalao onde os equipamentos esto

localizados, contra:
entrada de pessoas no autorizadas
catstrofes ambientais
O prdio deve ter paredes slidas e nmero restrito de

entradas e sadas
Evitar baixadas onde a gua possa se acumular

enchentes
Evitar reas muito abertas descargas atmosfricas
Em qualquer lugar, usar para-raios
Usar muros externos e manter a rea limpa queimadas
Controle de acesso fsico nas entradas e sadas:
travas
alarmes
grades
vigilante humano
vigilncia eletrnica
portas com senha
carto de acesso
registros de entrada e sada de pessoas e objetos
Funcionrios que trabalham na instituio devem ser

identificados com crachs com foto
Visitantes de vem usar crachs diferenciados por setor
visitado
Todos funcionrios devem ser responsveis pela fiscalizao
Segurana da Sala de Equipamentos
Agrega todo o centro da rede e os servios que nela operam

Entrada somente de pessoal que trabalha na sala
Registro de todo o pessoal que entra e sai
A sala deve ser trancada ao sair
Deve fornecer acesso remoto aos equipamentos
O contedo da sala no deve ser visvel externamente
Alm do acesso indevido, a sala deve ser protegida contra:
vandalismo
fogo
interferncias eletromagnticas
fumaa
gases corrosivos
poeira
Se possvel, uso de salas-cofre
Evitar o acesso fsico aos equipamentos

acesso ao interior da mquina (hardware)
acesso utilizando dispositivos de entrada e sada (console)
Proteger o setup do BIOS
Tornar inativos botes de setup e liga/desliga no gabinete

colocar senha no BIOS
inicializao apenas pelo disco rgido
Segurana no fornecimento de energia

Geralmente o fornecimento de energia de
responsabilidade da concessionria, e pode apresentar:
variao de tenso
interrupo do fornecimento
Segurana no fornecimento de energia

Para garantir a disponibilidade da informao preciso
garantir o fornecimento constante de energia e que ela
esteja dentro da tenso recomendada
filtro de linha
estabilizador de tenso
nobreak
soluo mista
gerador
Segurana Lgica
Compreende os mecanismos de proteo baseados em

software
senhas
listas de controle de acesso
criptografia
firewall
sistemas de deteco de intruso
redes virtuais privadas
Firewall
Referncia s portas corta-fogo responsveis por evitar que

um incndio em uma parte do prdio se espalhe facilmente
pelo prdio inteiro
Na Informtica: previne que os perigos da Internet (ou de
qualquer rede no confivel) se espalhem para dentro de
sua rede interna
Firewall
Um firewall deve sempre ser instalado em um ponto de

entrada/sada de sua rede interna
Este ponto de entrada/sada deve ser nico
O firewall capaz de controlar os acessos de e para a sua
rede
Firewall
Objetivos especficos de um firewall:

restringe a entrada a um ponto cuidadosamente controlado
previne que atacantes cheguem perto de suas defesas mais internas
restringe a sada a um ponto cuidadosamente controlado
Firewall
O firewall pode estar em:
computadores
roteadores
configurao de redes
software especfico
Ponto de Obstruo
Um componente ou um conjunto de componentes que restringem o
acesso entre uma rede protegida e outros conjuntos de redes
Ponto de Obstruo
Um firewall um ponto de obstruo
O trfego analisado, e o firewall usa critrios prprios para
determinar se um determinado pacote ser:
Transmitido (ACEITO)
Descartado (RECUSADO)
Alterado (um ou mais campos de qualquer dos cabealhos)
Em geral, um firewall comum no se altera o contedo (payload) do pacote,
apesar de ser possvel.
Ponto de Obstruo
Sujeita o trfego a usar um canal estreito
Apenas o trfego desejado retransmitido
Diminui a exposio das estaes internas rede externa
Facilita a monitorao e controle

Todo, ou parte, do trfego pode ser registrado (log) para consultas,
estatsticas, etc
Ponto de Obstruo
Um ponto de obstruo intil se h caminhos alternativos de
penetrao
Outras conexes internet
Acesso discado
Rede Wi-Fi desprotegida
Topologias
Um firewall pode ter duas ou mais interfaces no h

limite terico.
2 interfaces
Topologias
Um firewall pode ter duas ou mais interfaces no h

limite terico.
4 interfaces
Topologias
Redes internas (protegidas)

Estaes de trabalho
Servidores
Wi-Fi
Controle de trfego entre as redes
4 interfaces
Topologias
Mesmo dentro de uma empresa, convm separar os equipamentos/

servios em redes distintas, segundo questes de segurana.
Mesmo em caso de redes pequenas
4 interfaces
Topologias
Estaes de trabalho esto mais sujeitas a contaminaes
Se os servidores estiverem em outra rede, um trfego malicioso
partindo das estaes poder ser contido pelo firewall
Se estiverem na mesma rede, no
haver proteo contra o ataque
Redes Wi-Fi so portas de entrada para
invasores. O trfego a partir de uma
rede Wi-Fi deve ser estritamente
controlado.
4 interfaces
Topologias
Dois nveis de proteo separam a internet da rede interna
Na rede de fronteira so colocados os servios externos
(servidores Web, e-mail, etc) Maior exposio
O acesso rede interna fortemente controlado
Bastion Hosts
Um servidor precisa ser muito seguro, pois vulnervel a ataques por estar
exposto diretamente Internet
Simplicidade
Qualquer servio pode ter bugs e erros de configurao
Instale o mnimo de recursos do SO + atualizaes (fixes)
Instale apenas as aplicaes necessrias + atualizaes
Reforce (Harden) o SO e aplicaes
Configure permisses e polticas de segurana e auditoria
Esteja preparado para o pior
O bastion host visvel na Internet, podendo ser atacado
Backup !
No permita usurios nos bastion hosts
Vulnerabilidades prprias das contas (senhas)
Vulnerabilidades dos servios necessrios para suportar os usurios
Aumenta a dificuldade de se detectar ataques
DMZ
Os bastion hosts so o principal ponto de contato com conexes de

origem externa
Os bastion hosts em uma DMZ executam servios inseguros que no
podem ser protegidos com filtragem ou com proxies
Possuem acesso limitado aos servidores internos
Contedo descartvel
Devem possuir o mnimo de dados necessrios para o exerccio de suas
tarefas. No devem conter:
Arquivos pessoais desnecessrios
Partes de bancos de dados (tabelas, etc) com dados desnecessrios
Informaes confidenciais
DMZ
Um novo nvel de segurana acrescentado com a

introduo de uma rede desmilitarizada chamada:
DMZ, rede de fronteira, screened subnet ou permetro de segurana
Os bastion hosts ficam vulnerveis nessa DMZ

Caso os bastion hosts sejam comprometidos, h ainda mais
um nvel de segurana a ser superado
Tipicamente baseadas em dois filtros
Filtro de acesso conectando a DMZ Internet
Filtro de bloqueio ligando a DMZ rede interna
DMZ
Bastion hosts
Internet
DMZ
34
Rede de Fronteira
34
filtro
de acesso
filtro
de bloqueio
Rede Interna
Estratgias Bsicas
Default Deny
Tudo o que no for expressamente permitido proibido
Default Permit
Tudo o que no for expressamente proibido permitido
Estratgias Bsicas
Default Permit
A regra : Tudo pode passar
A exceo : O que no pode passar
Ineficiente para garantir proteo

Pressupe o conhecimento profundo do
comportamento de todas as estaes, o
que invivel e imprevisvel.
Na prtica, esse critrio s usado em
situaes especficas, para promover
proteo limitada.
REGRA #1
REGRA #2
REGRA #3
...
SE NENHUMA REGRA
FOI ATENDIDA
PERMITE
Estratgias Bsicas
Default Deny
A regra : Nada pode passar
A exceo : O que pode passar
Critrio para prover segurana a uma

rede.
Apenas acessos especficos so
permitidos, por configurao explcita.
Servios/Portas novas ou desconhecidas
permanecem fechadas at determinao
contrria.
Controle estrito sobre o trfego (ingresso
e egresso) da rede.
REGRA #1
REGRA #2
REGRA #3
...
SE NENHUMA REGRA
FOI ATENDIDA
RECUSA
Examine o cabealho do
pacote (IP, UDP e TCP)
Algoritmo de Filtragem
Aplique a prxima
regra de filtragem
A regra
bloqueia o
pacote?
Configurao do tipo Default Deny.
sim
no
A regra
libera o
pacote?
sim
no
a ltima
regra ?
no
sim
Libere
o pacote
Bloqueie
o pacote
Firewall no pode proteger
Detalhes de acesso aplicao

ex: usurio xyz pode conectar-se via telnet do exterior mas os
outros usurios no
ex: somente os arquivos do diretrio /public podem ser transferidos
em sesses FTP
Ataques internos
Vrus
Cavalos de tria
Engenharia Social
Ameaas fsicas
Configurao mal feita
Tipos de Firewalls
Filtragem de pacotes
Filtragem por estado
Servios por procurao
Servidores Proxy
Projeto de rede
Bastion hosts em DMZ
Nveis de Filtragem
Firewall por filtragem de pacotes
Se d pela anlise de um ou mais campos dos cabealhos de um
pacote, em uma ou mais camadas, ou pela anlise do contedo
(payload).
Aplicao
Transporte
TCP, UDP, outros
Rede
FTP, Telnet, HTTP, HTTPS, SMTP,

DNS
IP
Enlace
Endereo MAC
Filtragem de Pacotes
Internet
34
Filtragem
de pacotes
Rede Interna
Nveis de Filtragem
Firewall por filtragem de pacotes
Primeira gerao de firewalls
Elevado desempenho, pois se baseia exclusivamente na comparao
de valores do pacote sendo analisado.
No relaciona o pacote atual com anteriores. No faz anlise do
trfego, apenas analisa os pacotes um-a-um.
No protege contra falhas (bugs) em servidores ou servios.
Filtragem MAC
Tarefa tpica de switches, mas que pode ser feita por um
firewall.
Tipos de filtros
endereo MAC origem
endereo MAC destino
tipo de protocolo de camada superior
Filtragem IP
Filtragem baseada nos campos do cabealho IP
Em tese qualquer campo pode ser consultado, mas nem todas as
implementaes permitem.
Campos mais usados

Endereo IP origem
Endereo IP destino
Tipo de protocolo de camada superior
Filtragem IP
Consideraes de segurana
Endereo origem
pode ser forjado
Address Spoofing
Man in the Middle
Filtragem IP - ICMP
Filtragem baseada nos campos do cabealho ICMP

O ICMP envolve questes de segurana, e no pode ser
ignorado na configurao de um firewall:
Ping (Echo request/reply)
Traceroute
ICMP Redirect
Filtragem TCP
Filtragem baseada nos campos do cabealho TCP

Campos mais usados
Porta de destino
Define o servio
Flags
SYN, ACK, RST,...
Flags TCP
cliente
Packet Filtering
System
servidor
SYN=1, A
CK=0
K
C
A
,
1
=
N
SY
AC K = 1
=1
Flags TCP
Para bloquear uma conexo TCP, basta filtrar o primeiro pacote
enviado.
SYN = 1
ACK = 0
Todos os demais pacotes da conexo TCP possuem flag

ACK=1
possvel permitir ou impedir o incio de conexes, conforme desejado:

Origem/Destino
Portas
Ingresso/Egresso (rede)
Problema:
No h como garantir que um pacote com ACK=1 pertence a uma conexo
efetiva (no h controle de estado).
Risco de segurana pode permitir a injeo externa de pacotes, fazendose passar por conexes, do ponto de vista do roteador, iniciadas por
estaes internas (Pacotes de resposta).
Filtragem UDP
Filtragem baseada nos campos do cabealho UDP

Campos mais usados
Porta de destino
Porta de origem
Filtragem UDP
Controle de estado
Como o UDP no possui controle de estados (sem conexo), um firewall por
filtragem de pacotes no pode determinar se:
Um pacote o primeiro de um fluxo, ou
Se faz parte de um fluxo j iniciado.
No possvel impedir o incio de um fluxo, se as regras do firewall no o
impedirem por outros critrios.
Filtragem pelo Payload

Alguns firewalls permitem realizar filtragem por meio de
anlise do contedo (payload) de um pacote
Exemplo: Linux String match para iptables.
Uma regra pode indicar um determinado texto (string) a ser

procurado no contedo.
Permite uma investigao limitada do pacote.
Geralmente usado para evitar ocorrncias especficas e j
conhecidas.
Ex: impedir um pedido de resoluo de um determinado
nome ao servidor DNS, recusando-se esse pacote.
Transcende as tcnicas tradicionais de filtragem, restritas
pilha TCP/IP.
Aes
Ao termino da anlise de um pacote, o firewall deve tomar

uma ao.
As aes mais comuns:
ACCEPT Pacote aceito e retransmitido
DROP Pacote recusado descartado
REJECT Pacote recusado, mas enviado um pacote ICMP a origem
informando.
Exemplo de Regras de Filtragem

SE IP_ORIGEM=10.1.10.2 E PORTA_DESTINO=80 ACEITA
SE IP_ORIGEM=10.1.10.2 E IP_DESTINO=10.53.11.9
E PORTA_DESTINO=110 ACEITA
Exceo contrariando uma regra mais permissiva
SE IP_ORIGEM=10.2.30.1 E IP_DESTINO=10.1.10.5 RECUSA
SE IP_DESTINO=10.1.10.5 E PORTA_DESTINO=80 ACEITA
Regra que condiciona pacotes com incio de conexo
SE IP_ORIGEM=10.1.10.2 E IP_DESTINO=10.53.11.9
E PORTA_DESTINO=110 E TCP[SYN]==1 ACEITA
Regra padro (default)
Qualquer outro pacote RECUSA

Stateful packet filtering, ou
Stateful Inspection, ou
Dynamic Packet Filtering
criado pela CheckPoint para o Firewall-1
mantm informao sobre o estado corrente das sesses ativas em
memria
decises com base no contedo e contexto do pacote
trfego FTP PASV (portas >1023 abertas dinamicamente)
trfego UDP de retorno (match de IPs/portas)
Ex: Filtragem TCP
Um pacote de resposta (SYN=0, ACK=1) s liberado se

pertencer a uma conexo previamente estabelecida (e
autorizada)
Os dados de cada conexo so armazenados em uma tabela,
constantemente atualizada.
Um suposto pacote de resposta s aceito se estiver
contextualizado nessa tabela.
IPs Origem/Destino
Portas Origem/Destino
Sequence Number
Ex: Filtragem UDP
Permite (dinamicamente) que pacotes de resposta a trfego

UDP iniciado internamente sejam aceitos para o host/porta
que enviou o primeiro pacote.
Ex: Filtragem UDP

Dynamic Packet
Filtering
SP=1111
SA=200.2
00.200.1
DP=5555
DA=200.1
00.100.2
cliente
200.200.200.1
Match!
No Match!
SP=5555 0.100.2
10
SA=200.
DP=1111 0.200.1
20
DA=200.
SP=5555 0.100.2
10
SA=200.
DP=4444 0.200.1
20
DA=200.
servidor
200.100.100.2
Softwares de Firewall em Linux
Iptables e o Netfilter
nova gerao de ferramentas de firewall para o Kernel 2.4 do Linux.
Alm de possuir a facilidade do ipchains
a idia do criador Paul Russel foi implementar uma srie de
facilidades como NAT e filtragem de pacotes mais flexvel que o
ipchains
um um sistema completamente novo de firewall e NAT,
denominado Netfilter.
O comando iptables um front-end para configurao do Netfilter.
http://netfilter.filewatcher.org/
Netfilter
Projeto NETFILTER
Principais recursos
Filtragem sem controle de estado

Filtragem com controle de estado
Traduo de endereos (NAT/NAPT)
Estrutura flexvel e extensvel
Manipulao de pacotes (alterao de cabealhos)
Fonte: http://www.netfilter.org/
Netfilter
Projeto NETFILTER
Soluo de segurana embutida no ncleo (kernel) do
Linux, a partir da verso 2.4.
Composto por diversos mdulos e ferramentas.
Mdulos permitem adicionar recursos ao servio
Mdulos oficiais;
Mdulos no-oficiais;
Padro aberto: qualquer pessoa pode desenvolver
Netfilter
Evoluo
Kernel 2.0
ipfwadm
Kernel 2.2
ipchains
Kernel 2.4+
iptables
Netfilter
Iptables apenas uma ferramenta de interface entre o

usurio e o Netfilter.
Ferramenta administrativa
Netfilter
O servio de filtragem/firewall realizada no ncleo do

Linux
Netfilter
Netfilter Estrutura de regras
Netfilter
Tabelas
FILTER
Filtragem (bsica e avanada) de pacotes
NAT
Traduo de endereos/portas (NAPT)
MANGLE
Regras avanadas
Marcao de pacotes
Alterao de cabealhos de pacotes
Estratgias Bsicas
Cadeia (Chain)
Cada tabela possui cadeias
Pode ser vista como um elo de uma corrente
Cada cadeia possui
Um conjunto de regras
Uma poltica padro (default)
As cadeias atuam em pontos distintos do fluxo percorrido pelos

pacotes
Em cada cadeia uma deciso tomada
ACEITAR
RECUSAR
etc
Fluxo de processamento
Tabela Filter (Considerada por muitos a mais importante)
Cadeias:
INPUT
Atua nos pacotes destinados ao prprio firewall
OUTPUT
Atua nos pacotes oriundos do prprio firewall
FORWARD
Atua nos pacotes que atravessam o firewall
Fluxo de processamento
Netfilter
Breve Reviso
PAUSA: BREVE REVISO

Poltica padro
Default Deny
Default Permit
Breve Reviso
Default Permit
A regra : Tudo pode passar
A exceo : O que no pode passar
Ineficiente para garantir proteo
Pressupe o conhecimento profundo do
comportamento de todas as estaes, o
que invivel e imprevisvel.
Na prtica, esse critrio s usado em

situaes especficas, para promover
proteo limitada.
REGRA #1
REGRA #2
REGRA #3
...
SE NENHUMA REGRA
FOI ATENDIDA
PERMITE
Breve Reviso
Default Deny
A regra : Nada pode passar
A exceo : O que pode passar
Critrio para prover segurana a uma

rede.
Apenas acessos especficos so
permitidos, por configurao explcita.
Servios/Portas novas ou desconhecidas
permanecem fechadas at determinao
contrria.
Controle estrito sobre o trfego (ingresso
e egresso) da rede.
REGRA #1
REGRA #2
REGRA #3
...
SE NENHUMA REGRA
FOI ATENDIDA
RECUSA
Examine o cabealho do
pacote (IP, UDP e TCP)
Breve Reviso
Aplique a prxima
regra de filtragem
A regra
bloqueia o
pacote?
Configurao do tipo Default Deny.
sim
no
A regra
libera o
pacote?
sim
no
a ltima
regra ?
no
sim
Libere
o pacote
Bloqueie
o pacote
Iptables
Tabela Filter
Aes (targets) Principais:
ACCEPT
Aceita o pacote prossegue para a prxima cadeia
DROP
Recusa (terminantemente) o pacote
REJECT
Recusa (terminantemente) o pacote e envia origem
um pacote ICMP do tipo port unreachable
LOG
Envia um registro (log) para o syslog
Iptables
Principais parmetros de comando:

-A
-I
-L
-F
-P
Inclui uma regra no fim da cadeia

Inclui uma regra no incio da cadeia
Lista as regras de uma cadeia
Apaga todas as regras de uma cadeia
Define a poltica padro de uma cadeia
Iptables
Definindo a poltica padro

iptables P INPUT ACCEPT
A poltica padro na cadeia INPUT configurada coomo
ACCEPT, ou seja, se um pacote no for atendido por
nenhuma regra, ele ser ACEITO.
Iptables
Definindo a poltica padro

iptables P INPUT DROP
iptables P OUTPUT DROP
iptables P FORWARD DROP
Essa combinao mais usada para segurana, pois obriga que
todas as permisses sejam explcitas.
Caso contrrio, mais fcil deixar brechas.
Iptables
Regras: Principais parmetros de comparao

-p tcp/udp/icmp
--dport porta
--sport porta
Protocolo
Porta de destino
Porta de origem
-d
-s
Destino
Origem
-i interf
-o interf
Interface de entrada
Interface de sada
(precisa especificar o protocolo)

(precisa especificar o protocolo)
Formato: IP com mscara (opcional)
Nome da interface
(ex: eth0)
Iptables
Regras: Parmetros
-j ao
Ao caso o pacote atenda s condies

da regra
-m nome
Carregar um mdulo
Iptables
Exemplo
Poltica padro: Recusar
iptables A INPUT s 10.2.10.7 p tcp -dport 80 j ACCEPT

Aceita pacote para porta 80/tcp e origem 10.2.10.7
iptables A INPUT s 10.2.10.26 p tcp -dport 25 j ACCEPT

Aceita pacote para porta 25/tcp e origem 10.2.10.26
Iptables
Tradicionalmente, necessrio permitir os pacotes de

retorno
iptables P OUTPUT DROP
iptables
iptables
iptables
iptables
A
A
A
A
INPUT s 10.2.10.7 p tcp -dport 80 j ACCEPT

INPUT s 10.2.10.26 p tcp -dport 25 j ACCEPT
OUTPUT d 10.2.10.7 p tcp -sport 80 j ACCEPT
OUTPUT d 10.2.10.26 p tcp -sport 25 j ACCEPT
Iptables
O mdulo state promove o conhecimento de conexo

(connection tracking)
Permite automaticamente os fluxos de retorno
iptables A INPUT s 10.2.10.7 p tcp -dport 80 m state -state NEW j
ACCEPT
NEW: Pacotes que esto iniciando uma nova conexo
ESTABLISHED: Pacotes que pertencem a uma conexo/fluxo j existente
iptables A OUTPUT m state -state ESTABLISHED j ACCEPT
Para pacotes saindo do firewall
iptables A INPUT m state -state ESTABLISHED j ACCEPT
Para pacotes ingressando no firewall
Iptables
Exemplo: Pacotes atravessando o firewall

iptables P FORWARD DROP
iptables A FORWARD m state -state ESTABLISHED j ACCEPT
iptables A FORWARD s 10.4.11.3 d 10.20.21.4 p tcp -dport 110 m state
-state NEW j ACCEPT
iptables A FORWARD i eth2 d 10.20.21.4 p tcp -dport 110 m state -
state NEW j ACCEPT
iptables A FORWARD i eth2 o eth0 p tcp -dport 80 m state -state NEW
j ACCEPT
Iptables
State: RELATED
Abre o acesso a novas conexes, se relacionadas com conexes
permitidas.
Ex: FTP
O FTP usa uma conexo de controle (porta 21/TCP por padro)
As transferncias so feitas por meio de conexes definidas
dinamicamente entre cliente e servidor.
preciso carregar o mdulo no kernel do linux

modprobe ipt_conntrack_ftp
Iptables
State: RELATED
iptables A INPUT s 10.1.0.2 p tcp -dport 21 m state -state NEW j
ACCEPT
Permite a conexo de controle do FTP
iptables A INPUT m state -state ESTABLISHED,RELATED j ACCEPT
iptables A OUTPUT m state -state ESTABLISHED,RELATED j ACCEPT
As regras acima iro permitir:
Os pacotes de resposta da conexo de controle
Todos os pacotes das conexes de transferncia (incio de conexo e
demais)
NAT
Network Address Translation

Consiste na alterao de campos dos cabealhos de um
pacote durante o trnsito atravs do firewall
Para permitir uma comunicao, deve ser feita uma troca
inversa e equivalente nos pacotes de resposta
O firewall deve possuir controle das conexes/fluxos ativos
NAT
Tipos mais comuns (RFC 2663)

NAT bsico
Endereos externos usados para esconderos endereos de um
domnio privado (ex: rede interna) ao realizar acessos para um domnio
externo (internet).
Apenas IP de origem alterado (assim como checksums correlatos).
1 1
NAT
Tipos mais comuns (RFC 2663)

NAPT
Network Address Port Translation
Traduz tambm campos de transporte (TCP/UDP)
Permite que N estaes internas usem o mesmo endereo externo para
acesso
Pode usar como IP externo, o prprio IP da interface externa do
roteador
Pode ser combinado com o NAT Bsico e usar um grupo de endereos
externo para traduo (no necessariamente s 1)
Mais usado atualmente.
1 1 ou N 1 ou N M
NAPT
Aps passar pelo firewall, todo o trfego usa um mesmo endereo IP,
independente da estao que o originou.
Source NAT (SNAT)
SNAT
O endereo de origem traduzido
Aps a traduo, o IP original no consta mais do pacote
O firewall, com base em sua tabela, deve substituir o endereo
novamente ao receber um pacote de resposta
No pode ser considerado como soluo de segurana
Destination NAT (DNAT)
DNAT
O endereo de destino traduzido
Aps a traduo, o IP de destino original no consta mais do pacote
O firewall, com base em sua tabela, deve substituir o endereo
novamente ao receber um pacote de resposta
NAT - APLICAES
SNAT
Mascaramento de rede (compartilhamento de IPs)
NAT - APLICAES
SNAT
Mascaramento de rede (compartilhamento de IPs)
Vantagens:
Economia de endereos pblicos (reais) Menos custo
Topologia interna da rede no revelada
Varredura direta da rede no possvel por agente externo
Desvantagens
Maior dificuldade para permitir acesso externo
Incompatibilidade com alguns protocolos (em alguns casos pode ser
corrigida com tratamento especial no firewall. Ex: FTP).
Para redes muito grandes, exige Firewall com capacidade elevada de
processamento.
NAT - APLICAES
DNAT
Direcionamento condicionado de trfego
Dois servidores, idnticos. Um exclusivo para atender a um grupo de
usurios. O outro para os demais.
DNAT condicionado ao endereo de origem
NAT - APLICAES
DNAT
Balanceamento de carga em servidores
O Firewall direciona o trfego para os servidores de maneira a
equalizar a quantidade de carga sobre cada um.
NAT - APLICAES
DNAT
Balanceamento de carga em servidores
Diversos servidores menores capazes de suportar uma carga maior
Quem est de fora, v um superservidor sobre um nico IP
NAT
Fluxo com as cadeias da tabela NAT
NAT
Cadeias da tabela NAT

PREROUTING
Avaliada antes do roteamento
O NAT que afeta a deciso de roteamento o que altera o destino. Por
isso, essa a cadeia usada para NAT de Destino (DNAT)
POSTROUTING
Avaliada aps o roteamento (e aps as cadeias da tabela Filter)
Usada para NAT de origem (SNAT)
NAT
Exemplos:
iptables A POSTROUTING t nat s 10.0.11.1 -o eth1
j SNAT -to-source 10.9.0.1
Todas os pacotes com origem 10.0.11.1, saindo pela interface eth1, tero
o endereo de origem traduzido para 10.9.0.1.
iptables A PREROUTING t nat d 10.0.12.2 j DNAT

-to-destination 10.0.20.1
Todos os pacotes destinados ao IP 10.0.12.2 tero o endereo de destino
traduzido para 10.0.20.1
NAT
Mascaramento
NAT 1:N
Todas os pacotes saindo com o IP externo do firewall.
iptables A POSTROUTING t nat s 192.168.0.1/24 -o eth0 j
MASQUERADE
Todos os pacotes da rede interna (192.168.0.1/24), saindo pela interface

eth0, sero traduzidos para o IP do firewall (origem).
A comparao do IP de origem (rede interna) pode ser opcional, mas
recomendvel. Dependendo da situao pode ser necessria.
Mdulos
Alguns mdulos interessantes

Limit impe limitao sobre a quantidade de vezes em
que uma regra pode ser acionada (por tempo: hora,
minuto).
Muito usada para evitar abusos e diminuir a quantidade de logs
gerados.
Connlimit limita o nmero de conexes simultneas

abertas por um determinado endereo IP.
Recent Permite correlacionar a deciso com decises
anteriores. Muito usado para limitar pacotes/conexes de
um mesmo IP.
Observaes
Para fins de comparao, um endereo 0/0 significa

qualquer IP. Seu uso no obrigatrio.
O linux, por padro, ao iniciar, no permite o
encaminhamento de pacotes entre interfaces de rede. Para
ativar:
echo 1 > /proc/sys/net/ipv4/ip_forward
Mais informaes: http://www.netfilter.org
CISCO ACLs
interface eth0
ip access-group 101 in
access-list
access-list
access-list
access-list
access-list
access-list
access-list
access-list
access-list
access-list
access-list
access-list
access-list
access-list
access-list
access-list
101
101
101
101
101
101
101
101
101
101
101
101
101
101
101
101
deny ip 127.0.0.0 0.0.0.255 any

deny ip 200.20.172.0 0.0.0.255 any
permit tcp any any established
permit tcp any host 200.20.172.34 eq ftp
permit tcp any host 200.20.172.34 eq smtp
permit tcp any host 200.20.172.34 eq www
permit tcp host 200.245.85.42 host 200.20.172.55 eq pop3
permit tcp host 200.245.85.42 host 200.20.172.55 eq telnet
permit tcp 200.246.148.0 0.0.0.255 host 200.20.172.36 eq telnet
permit tcp any any range 1023 1999
Cisco IOS
Extended IP Access
permit tcp any any gt 8081
access-list 100-199
permit icmp any any
permit|deny
deny tcp any any log
deny udp any any log
ip|tcp|udp|icmp
List
source source-mask
[lt|gt|eq|neq src-port]
dest dest-mask
[lt|gt|eq|neq dest-port]
Proxy
Servidor Proxy
Atua como intermedirio entre o cliente e o servidor de
contedo.
Servidor
Proxy
Introduo
Funcionamento bsico
1.O cliente solicita um recurso (Web/FTP) ao proxy.
2.O proxy se conecta ao servidor de contedo e busca a
informao solicitada.
Servidor
Proxy
Introduo
Funcionamento bsico
3.O servidor Proxy recebe o contedo solicitado.
4.O contedo transmitido ao cliente.
Servidor
Proxy
No h comunicao DIRETA entre o cliente e o servidor de

contedo.
Servidor Proxy
Funcionamento bsico
O Cliente se conecta ao
servidor Proxy e envia
uma solicitao.
Servidor
Proxy
Servidor Proxy
Funcionamento bsico
O servidor Proxy se conecta ao
servidor de destino (contedo)
e envia uma requisio
Servidor
Proxy
Servidor Proxy
Funcionamento bsico
O servidor de contedo
transmite o recurso solicitado
ao servidor Proxy
Servidor
Proxy
Servidor Proxy
Funcionamento bsico
O servidor proxy transmite o
recurso ao cliente que o
solicitou.
Servidor
Proxy
Servidor Proxy
Como todo o trfego , ainda que temporariamente,

armazenado no servidor Proxy, este pode ser usado para:
Armazenamento de contedo (caching)
Imposio de polticas de acesso e filtragem de contedo
Segurana, por exemplo, com uso de antivirus
Servidor
Proxy
Servidor Proxy
Armazenamento de contedo
Primeira grande aplicao do Proxy.
Forte argumento a favor nos primrdios da internet comercial, com
linhas de baixa velocidade.
O contedo recebido armazenado e, ao ser solicitado novamente,
no necessrio obt-lo mais uma vez menor utilizao da
banda.
Servidor
Proxy
Armazenamento
(cache)
Servidor Proxy
Armazenamento de contedo
Nem todo contedo deve ser armazenado. Ex: pginas dinmicas
Alteraes em pginas no sero visveis imediatamente
O servidor deve possuir uma poltica para expirao do cache.
Servidor
Proxy
Armazenamento
(cache)
Servidor Proxy
Algoritmo de deciso Usar ou no a informao no cache?
1. Verificar se a URL solicitada est armazenada no cache
2. Se no estiver no cache Obter (baixar)
3. Essa informao est expirada? Se sim, obter novamente
4. Verificar no servidor a ltima alterao do contedo
Requisio If-Modified-Since
Se houve alterao, obter novamente.
Se no houve alterao, devolver ao cliente o contedo no cache
Servidor Proxy
O proprietrio do contedo pode definir como o cache deve trat-lo
Cabealho HTTP Cache-Control

Pode ser armazenado informao pblica
Nunca armazenar
Armazenar at determinada data/hora (expirao)
O que no pode ser armazenado

HTTPS
Submisso do tipo POST (formulrios)
Respostas com comando explcito para no armazenar
Referncias: RFCs 2616 e 3143
Servidor Proxy
Imposio de polticas de acesso/contedo
Controle de acesso a contedo
Sites com acesso impedido
Sites com acesso controlado (auditoria, horrio permitido)
Categorizao de sites
O Administrador define categorias Permitidas X Proibidas
Base de dados prpria ou fornecida por empresas de segurana
Lista-negra
Servidor
Proxy
Servidor Proxy
Imposio de polticas de acesso/contedo
Objetivos em uma corporao
Blindagem contra agentes maliciosos
Polticas internas da empresa
Produtividade dos funcionrios
Servidor
Proxy
Servidor Proxy
Exemplos de categorias:
Botnets, sites maliciosos, phishing, distribuio de spywares, anncios

Videos: Educacionais, entretenimento, vigilncia
P2P: Sites de distribuio ou download de ferramentas
Jornais: Por pas, por tipo, etc
Mensagens instantneas: MSN, Yahoo, Gtalk
Material adulto: Educacional e no-educacional
Drogas: Sites informativos, vendas, sites prs ou contrrios
Educao: Instituies, materiais, teses
Jogos: de azar, de computador, para crianas, para maiores de x anos
Redes sociais
SPAM: Sites cujos endereos so enviados em SPAMs
Sites de pesquisa: Normais, contedo protegido (pirataria), etc...
Racismo, intolerncia, extremismo, etc
Viagens: hotis, empresas areas, passagens, etc
Servidor Proxy
Filtragem de contedo obtido
Scripts
Arquivos com determinada extenso (.exe, .com, .vbs, .mp3)
Limite de tamanho de arquivo
Assinatura (nome) do agente
Ex: Impede agente Kazaa
No uma proteo efetiva
Anlise do contedo
Antivirus / Anti-spyware
Limpeza
Impedimento de acesso
Categorizao
Inspeo de texto
Anlise de imagens
Bloqueio de Cookies
Servidor
Proxy
Servidor Proxy
Filtragem de contedo enviado
Contedo imprprio
DLP (Data Loss Prevention) - Preveno contra perda de dados
Impede o envio de dados de propriedade intelectual da empresa Intencional ou acidental
Cdigos-fonte
Documentos da empresa
Tcnicas de identificao
Pesquisa por contedo

Pesquisa estatstica
Assinaturas
Expresses regulares
Email (SMTP ou Web), blogs, redes sociais

O DLP deve ser uma soluo conjunta, incluindo ferramentas nos
clientes e no deve ser delegada somente ao servidor Proxy.
Servidor Proxy
Ao ter o acesso negado, o cliente recebe uma mensagem informativa
Servidor Proxy
A imposio da poltica pode ser:
nica, para todos os usurios
Personalizada
Por endereo IP
Por usurio. Identificao por:
Pgina de logon no primeiro acesso

Integrao com o AD (Windows)
Servidor Proxy
O cliente deve ser configurado para usar o servidor Proxy
Servidor Proxy
O cliente deve ser configurado para usar o servidor Proxy
Configurao automtica
Arquivo PROXY.PAC
Desenvolvido pela Netscape em 1996
Necessita que seja indicado o endereo do servidor
WPAD (Web Proxy Autodiscovery Protocol)

DHCP
DNS
Tcnica transparente ao usurio
Servidor Proxy
Para garantir a aplicao das polticas, nenhum acesso
direto deve ser permitindo, sendo obrigatrio o uso do
servidor Proxy.
Servidor Proxy
Proxy Transparente ou de interceptao
Todas as requisies so transferidas para um servidor proxy
O usurio no tem conhecimento da intercepo
Exceto se houver indicao explcita, aplicao de poltica, etc
Com pouco esforo possvel determinar a existncia do elemento
intermedirio (usurios avanados)
No requer a reconfigurao dos terminais clientes

Ao contrrio do Proxy tradicional, o transparente no altera as
requisies e respostas. [RFC 2616 1.3]
No funciona com HTTPS o protocolo se protege contra o que seria
um ataque Man-in-the-middle.
Servidor Proxy
Tcnica mais simples:
Servio de Proxy na mesma mquina do Gateway/Firewall.
Redirecionamento dos pacotes para a porta de entrada do servio.
Servidor Proxy
Outra tcnica
Redirecionamento para o servidor Proxy
No exige o servio funcionando no prprio Firewall
A resposta (do Proxy para o cliente) deve percorrer o mesmo caminho e
no seguir diretamente
Servidor Proxy
Proxy Reverso
Presta servio a servidores, intermediando a comunicao com
clientes
Oferece vantagens de segurana e desempenho
Servidor Proxy
Segurana
Esconde a infraestrutura dos servidores
Pode interceptar tentativas de ataque/invaso
URLs mal formatadas
Cabealhos/requisies invlidas
Isola o servidor do cliente
Servidor Proxy
Desempenho
Armazenamento de pginas, diminuindo a carga sobre o servidor
Criptografia (HTTPS)
A tarefa transferida do servidor para o Proxy reverso

Cliente Proxy
Com criptografia
Proxy Servidor
Sem criptografia
Menor carga de processamento sobre o servidor
Servidor Proxy
Balanceamento de carga
Divide as requisies entre diversos servidores
Disponibilidade
Capacidade superior
Servidor Proxy
Distribuio de carga conforme aplicao
O Proxy identifica, pela requisio, qual servidor ser acionado.
Esconde a estrutura do usurio, que v um nico servidor.
Detectores de intruso (IDS)
IDS (Intrusion Detection Systems)

So responsveis por analisar o comportamento de uma rede ou
sistema em busca de tentativas de invaso
Pode ser de dois tipos
HIDS (Host IDS):
monitora um host especfico
NIDS (Network IDS):

monitora uma segmento de rede
Um IDS utiliza dois mtodos distintos:

deteco por assinaturas
deteco por comportamento
Deteco por assinaturas:

semelhante s assinaturas de antivrus associam um ataque a um
determinado conjunto de pacotes ou chamadas de sistema
no s detecta o ataque como tambm o identifica
exige atualizaes frequentes do fabricante
Deteco por comportamento:

Observa o comportamento da rede em um perodo normal, e o
compara com o comportamento atual da rede
Diferena significativa entre os comportamentos, o IDS assume que
um ataque est em andamento
Utiliza mtodos estatsticos ou inteligncia artificial
Detecta ataques desconhecidos
No sabe informar qual ataque est em andamento
IDS
IDS
Intrusion Detection System
Tipos
Network-based NIDS (Network Intrusion Detection System)
Host-based Atuao limitada ao sistema/estao
Muitas situaes de risco no podem ser evitadas pelas

ferramentas tradicionais (Ex: Firewall)
Introduo
Objetivos:
Defesa
Identificar situaes com perigo de:
Invaso
Comprometimento de servios/sistemas
Comprometimento da rede
Permitir tomada rpida de ao, diminuindo o risco de

estragos
Auditoria
Anlise forense
Avaliao de servios ativos
Introduo
IDS
Exemplos de situaes perigosas:
Ataques em andamento
Explorao de vulnerabilidades conhecidas
Trfego suspeito
Envio de SPAM
Suspeita de contaminao
Violao de poltica
Servios no permitidos (Ex: P2P)
Tentativas de logon como root a um determinado

servidor.
Introduo
IDS
Atua simultaneamente nas diversas camadas do
TCP/IP
A origem de um problema pode ser:
Externa ou interna
Varredura
Tentativa de invaso (fora bruta)
Envio em massa de SPAM
...
Introduo
IDS
Com base em regras prprias, determina se um trfego
suspeito
Maiores desafios
Falso positivo
Alertas para situaes normais (sem risco)
Falso negativo
Situaes perigosas no notificadas
Atualizao constante de assinaturas
So as regras que guiam a deteco. A cada vulnerabilidade descoberta,
novas regras so criadas para permitir a identificao daquela situao
especfica.
Introduo
IDS
Os registros (logs) devem ser verificados constantemente
para garantir uma tomada de ao imediata.
Se o sistema gera logs demais, possvel que a
verificao seja negligenciada
O ajuste fino das regras fundamental para balancear
qualidade da deteco com quantidade gerencivel de
registros (logs) gerados
Esse ajuste deve ser uma rotina constante
Host-Based IDS
Host-Based IDS (HIDS)
executado na estao onde deseja-se detectar atividades de
comprometimento da segurana
Varredura de logs e registros em busca de atividades suspeitas
Verificao constante de arquivos de sistema contra alterao
(assinatura)
Oferece registros mais detalhados
Detecta atividades iniciadas na prpria mquina
Maior preciso na deteco
Alterao de arquivos de sistema ou configuraes
Tentativa de acesso privilegiado
Detecta eventos que no podem ser detectados por NIDS

Ex: Ataque via trfego criptografado
NIDS
Network-Based IDS (NIDS)
Defesa de permetro
Anlise de pacotes em trnsito, sem realizar qualquer alterao
Anlise Passiva
Critrios:
Padres
Eventos determinsticos
Vulnerabilidades conhecidas
Estatsticos
Frequncia de pacotes (anlise de cabealhos e/ou contedo)
Frequncia de determinados eventos (menor importncia)
Correlao entre deteces anteriores
NIDS
Network-Based IDS
Criptografia
Trfego/canais criptografados no podem ser analisados
Um ataque, por exemplo de varredura, atravs de uma VPN no pode
ser diferenciado de um trfego de elevado volume qualquer.
Alguns protocolos podem deixar assinaturas estatsticas, que permitem
suspeitas aps prolongado monitoramento
Resultado de longas observaes
No possvel avaliar o contedo (payload) do trfego
No pode-se esperar exatido
NIDS
Network-Based IDS
Componentes
Sensor (1 ou mais)
Responsvel pela leitura dos pacotes e aplicao das regras de deteco
Base de dados
Armazenamento de alertas e registro de trfego suspeito
Console de gerncia
Acesso aos registros, pesquisa de eventos
Administrao das regras e assinaturas
Os elementos componentes podem ser distribudos em um ou mais

equipamentos (hardware)
NIDS
Topologia bsica
NIDS
Topologia fsica (tpica)
A interface de monitoramento ligada a uma porta do switch configurada
como Espelhamento
Todo o trfego entre o Firewall e o Switch copiado para essa porta
No sensor, a interface opera em modo promscuo.
NIDS
Uma interface de espelhamento apenas envia dados. No possvel
transmitir nessa porta
Para se comunicar com outras estaes (banco de dados e console), o
Sensor deve possuir uma outra interface, ligada em uma porta normal do
switch.
NIDS
O Sensor pode usar uma outra rede, especfica para gerncia (mais segura)
para a comunicao com banco de dados e console
Todo e qualquer acesso ao sensor (assim como ao banco de dados e console)
deve ser estritamente controlado
NIDS
Posicionamento
O posicionamento do sensor de fundamental importncia
NIDS
Se for posicionado em (1):
Monitora o trfego para a rede interna
No monitora o trfego para a DMZ Um ataque no seria detectado
NIDS
Se
for posicionado em (2):

Monitora o trfego para a rede DMZ
No monitora o trfego para a rede interna
Pode ser uma situao desejada
NIDS
Se
for posicionado em (3):

Monitora o trfego entre as redes Interna e DMZ com a Internet
No monitora o trfego entre a Rede Interna e DMZ
Pode detectar tentativas que sero bloqueadas pelo firewall
NIDS
Deve-se considerar
Quais trfegos deseja-se monitorar
Quantos sensores estou disposto (e posso) dedicar a esta tarefa
Distribuio de carga (trfego elevado)
IPS
IPS
Intrusion Prevention System
O IPS uma ferramenta que acumula s funes do IDS, recursos
para tomada de ao, interrompendo/impedindo a continuidade de
um ataque ou situao de risco
O termo IPS no universalmente adotado por todos os fabricantes
e envolve questes de marketing.
IPS
IPS
Tcnicas de atuao
Diretamente sobre a estao afetada
Sobre roteadores e firewalls
Interceptao de conexo
IPS
O sensor envia ao atacado um comando para que uma determinada sesso/
conexo/comunicao seja interrompida
Vantagens: Maior controle sobre a ao tomada. Permite interromper a
execuo de processos no servidor, ou desativao de recursos
comprometidos ou sob suspeita.
IPS
Desvantagens:
Maior complexidade. Exige definio prvia das aes possveis.
Instalao de recursos em cada servidor para permitir a comunicao e
tomada de aes Questes adicionais de segurana.
IPS
O Sensor envia ao Firewall (ou roteador) um comando para bloquear uma,
ou mais, conexes/fluxos participantes da atividade suspeita.
Pode, tambm, haver o bloqueio, temporrio ou definitivo*, do(s)
endereo(s) atacante(s).
* At desbloqueio manual
IPS
Vantagens:
Impede a continuidade do ataque
Atuao sobre nmero limitado de equipamentos
Regras de ao mais simples Maior abrangncia sobre situaes
suspeitas
IPS
Desvantagem:
No permite interromper processos/servios comprometidos na estao
atacada
IPS
Session Sniping
Permite interromper conexes TCP pelo envio de pacotes RST forjados para
ambas as estaes (atacante e atacado)
IPS
Vantagens:
Simples implantao
No requer programas/protocolos especficos para a tomada de ao
Ao de efeito curto (mas pode ser repetida indefinidamente)
IPS
Desvantagens:
Pode expor a existncia do IPS (um atacante experiente pode conseguir
informaes relevantes sobre a poltica de defesa)
Apenas sobre conexes TCP
IPS
Desvantagens:
Confia no correto funcionamento da pilha TCP/IP dos participantes
(geralmente a do servidor se comportar como esperado)
A atividade pode ser reiniciada novamente (nova conexo) Problema
srio se h latncia entre o incio da atividade, deteco e tomada de
ao.
IPS
IPS Ateno
Falso Positivo
Pode causar:
Risco de bloqueio de trfego legtimo
Transtorno aos usurios
Interrupes nas comunicaes
Toda poltica de IPS deve ser implantada com elevada cautela

para evitar impacto negativo na rede.
Snort
Snort
Soluo aberta de IDS/IPS
Deteco por:
Assinaturas Atualizao pela internet
Inspeo de trfego anormal
Disponvel para diversos sistemas operacionais, entre eles:

Linux
Windows
Compatvel com bancos de dados
MySQL
PostgreSQL
MSSQL
Oracle
http://www.snort.org/
Snort
Snort
Ferramentas de terceitos
Anlise de logs
BASE
Atualizao de regras
Oinkmaster
A atualizao :
- Gratuita para regras com mais de 30 dias
- Paga para regras mais recentes (zero-day)
http://www.snort.org/
VPN (Virtual Private Networks)
VPN (Virtual Private Networks):

Forma de interligar duas redes privadas (Intranet) atravs da
Internet
Permite usar uma rede no confivel de forma segura
Exemplos e utilizao
Ligao entre dois
firewalls ou entre dois
servidores de VPN para
interligar duas redes
inteiras
Ligao entre uma
estao na Internet e
servios localizados
dentro da rede interna
(Intranet)
Propriedades das conexes VPN
Encapsulamento
Contm informaes de roteamento que permitem que os dados
atravessem a rede de trfego
Criptografia de dados
Garante a confidencialidade dos dados que atravessam a rede de
trfego pblica ou compartilhada
Propriedades das conexes VPN
Autenticao
Autenticao no nvel do usurio
Autenticao no nvel do computador
Autenticao da origem dos dados e integridade dos dados
VPN emprega criptografia em cada pacote trafegado

A criptografia deve ser rpida o suficiente para no comprometer o
desempenho entre as redes
A criptografia deve ser segura o suficiente para impedir a quebra de
confidencialidade
Para cada pacote trafegado verificado

A integridade (CRC ou Hash ser visto posteriormente)
A autenticidade
pacotes carregam assinaturas/senhas para garantir a veracidade da
fonte emissora
Exemplos de protocolos de encapsulamento empregados
IPSec (RFC 3193)

L2TP (RFC 2661/RFC 3193)
PPTP (RFC 2637)
SSTP
Vantagens:
substituio de linhas dedicadas a custo baixo
uso de infraestrutura j existente
Desvantagens:
sensvel aos congestionamentos e interrupes que ocorrem na
Internet
Necessidade de maior taxa de transmisso
Aumenta o processamento

Segurança Da Informação - Slides Teoria Basica

Caricato da

Informazioni sul documento

Descrizione originale:

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Segurança Da Informação - Slides Teoria Basica

Caricato da

Copyright:

Formati disponibili

Segurana da Informao

Gesto de Segurana da Informao

Segurana Fsica e Lgica

Gesto de de Segurana da Informao

Poltica de Segurana da Informao

um documento que serve como mecanismo preventivo de proteo

Poltica de Segurana da Informao

Poltica de Segurana da Informao

A Segurana da Informao "inicia" atravs da

Poltica de Segurana da Informao

A Poltica de Segurana da Informao deve ser

Poltica de Segurana da Informao

A Poltica de Segurana de Informaes deve:

Poltica de Segurana da Informao

Integrar-se s polticas institucionais relativas segurana em geral,

Relacionamentos da poltica de segurana de

Estratgia geral da organizao

Gera impactos sobre

Planos de desenvolvimento de sistemas

Prover uma orientao de apoio da direo para a

A poltica de segurana da informao tem como propsito

As atividades bsicas do desenvolvimento da Poltica de

Elaborar o Glossrio da Poltica de Segurana;

Participao na Poltica de Segurana

Devem estar envolvidos:

Documentao da Poltica de Segurana

Documentao da Poltica de Segurana

Como realizada a gesto da segurana da informao?

Convm que um documento da poltica de SI seja aprovado

Uma poltica de segurana deve ser sustentada por:

Conjunto de regras gerais de nvel estratgico que tem

Correspondem a todos os valores que devem ser

Conjunto de regras gerais de segurana que se aplicam

Geralmente so elaboradas com foco em assuntos mais

Conjunto de orientaes para realizar atividades e

Produtos (sadas) da Documentao

Fatores Crticos de Sucesso

Convm que a PSI seja analisada criticamente a

Fatores Crticos de Sucesso

A implantao da poltica de segurana depende de:

Falta de Conscincia Sobre e Importncia da poltica de

Para que uma poltica de segurana da informao seja

Adequada: com a realidade da empresa

Organizando a Segurana da Informao

Organizando a Segurana da Informao

Organizando a Segurana da Informao

Sistema de Gesto de Segurana da

Sistema de Gesto de Segurana da

Elementos de um sistema de Gesto

Elementos de um Sistema de Gesto

Elementos de um Sistema de Gesto

Anlise crtica pela direo

Sistema de Gesto de Segurana da Informao SGSI

Sistema de Gesto de Segurana da Informao SGSI

Espera-se que o SGSI mude com o tempo.

Referncia da implantao de Processos de Gesto de

Esta norma veio tornar padro internacional o que havia

Uma metodologia estruturada reconhecida

Um grupo detalhado de controles compreendidos das

ABNT NBR ISO/IEC 27001:2006

Definir Escopo e Limites do SGSI

Selecionar objetivos de controle e controles especficos a