Segurança na Internet
Março de 1998
Ari Frazão Jr.
PAL0088
Segurança na Internet
PAL0088.PPT
©1998 – RNP
Índice:
• Parte A: Introdução
• Parte B: Situação Atual
• Parte C: Política de Segurança
• Parte D: Classificação dos Ataques
• Parte E: Ataques Mais Freqüentes
• Parte F: Vulnerabilidades
• Parte G: Como se Proteger
• Parte H: Reagindo a Invasões
• Parte I: Referências Importantes
Segurança na Internet
PAL0088.PPT
©1998 – RNP
Parte A: Introdução
Introdução
“ É fácil ter-se um sistema de computação seguro.
Você meramente tem que desconectar o seu
sistema de qualquer rede externa, e permitir
somente terminai ligados diretamente a ele. Pôr
a máquina e seus terminais em uma sala fechada,
e um guarda na porta.“
F.T. Grampp e R.H. Morris
Segurança na Internet
PAL0088.PPT
©1998 – RNP
Parte A: Introdução
continuação
Introdução
A Internet não é completamente segura
Disponibilidade do conhecimento
A segurança como uma tarefa não produtiva
Avaliação dos riscos
Segurança na Internet
PAL0088.PPT
©1998 – RNP
Parte B: Situação Atual
Situação Atual
Número cada vez maior de problemas
Muita facilidade para “hackear”
Muitos administradores inexperientes ou negligentes
Situação não é de pânico, mas de alerta
Segurança na Internet
PAL0088.PPT
©1998 – RNP
Parte B: Situação Atual
continuação
Infinidade de tópicos
Grande consumo de tempo
Desinformação
Dificuldade de receber apoio ou cooperação
Falta de legislação específica
Segurança na Internet
PAL0088.PPT
©1998 – RNP
Parte B: Situação Atual
continuação
Ano
1995
1996
1997
Incidentes Mails Recebidas Vulnerabilidades
2.412
32.084
171
2.573
31.268
345
2.134
39.626
311
Fonte: CERT/CC (www.cert.org/pub/cert-stats/cert_stats.html)
Segurança na Internet
PAL0088.PPT
©1998 – RNP
Parte C: Política de
Segurança
Política de Segurança
Por que a segurança é necessária?
Uso de recursos (CPU, disco, impressoras)
Valor ou importância da informação
Perguntas
O que deve ser protegido?
Qual o custo da proteção?
Qual o custo das perdas em caso de ataque?
Segurança na Internet
PAL0088.PPT
©1998 – RNP
Parte C: Política de
Segurança
continuação
Por que usá-la?
Por reduzir a surpresa/confusão e o stress conseqüente a uma invasão
Pelo fato de definir os limites aceitáveis de comportamento
Por ajudar a estabelecer ferramentas e procedimentos
O que deve conter:
O que é, ou não é, permitido (ex.: informara senha de acesso a terceiros)
Distribuição de responsabilidades
Limites aceitáveis de comportamento e punições adequadas
O que fazer em caso de invasão
Segurança na Internet
PAL0088.PPT
©1998 – RNP
Parte C: Política de
Segurança
continuação
O que não deve conter
Detalhes técnicos
Imitações de política de outra instituição
Deve estar sujeita a revisões constantes
Política é diferente de procedimentos
Política  o que vai ser protegido
Procedimentos  como vai ser protegido
A documentação como maior problema
Segurança na Internet
PAL0088.PPT
©1998 – RNP
Parte D: Classificação dos
Ataques
Classificação dos Ataques
Ataque de origem externa
Praticado por alguém a partir de outra instituição
Soluções:
Maior atenção com as senhas
Configurar a rede segundo a segurança do sistema
Usar ferramentas de monitoração
Instalar os patches do sistema
Bloquear conexões TCP/IP
Segurança na Internet
PAL0088.PPT
©1998 – RNP
Parte D: Classificação dos
Ataques
continuação
Ataque de origem interna
Realizado por algum usuário da própria rede ou alguém com acesso às instalações
Soluções:
Bloquear o acesso físico às instalações
Criar uma política de segurança
Usar criptografia
Não deixar os usuários abusar de programas de domínio público
Segurança na Internet
PAL0088.PPT
©1998 – RNP
Parte E: Ataques Mais
Freqüentes
Ataques Mais Freqüentes
Engenharia social
Explora a ingenuidade das pessoas
É difícil de se proteger
Roubo de senhas
Forma mais comum de ataque
Explora falhas no sistema ou tenta por acaso
Uso de sniffers
Segurança na Internet
PAL0088.PPT
©1998 – RNP
Parte E: Ataques Mais
Freqüentes
continuação
Erros de software
Explorando falhas em softwares (sistemas operacionais)
Predileção por programas que executam com muitos privilégios
Mudança de páginas
Abusos (spam, pirataria)
Denial of service
Segurança na Internet
PAL0088.PPT
©1998 – RNP
Parte E: Ataques Mais
Freqüentes
continuação
Objetivos
roubar informações
causar dano
atacar outro site
provar que ele pode
por que alguém atacaria seu “site”??
Segurança na Internet
PAL0088.PPT
©1998 – RNP
Parte F: Vulnerabilidades
Vulnerabilidades
TCP/IP (protocolo e implementações)
Sistemas (UNIX, NT, Netware,..)
Programas
Administração (configuração incorreta de serviços)
Autenticação (logins e senhas trafegando como texto puro na rede)
Hardware
Outros
Segurança na Internet
PAL0088.PPT
©1998 – RNP
Parte G: Como se Proteger
Como se Proteger
Procurar antecipar-se aos problemas
Rodar programa que busca por senhas fáceis na própria base de seus usuários crack (ftp://ftp.cert.org/pub/tools/crack)
Conscientizar os usuários da importância de se ter senhas não triviais
Instalar programas para fazer a monitoração da rede
TCPDUMP - monitora tráfego da rede (ftp://ftp.ee.lbl.gov/tcpdump2.2.1.tar.Z)
TRACEROUTE - traça caminho para um determinado destino
(ftp://ftp.ee.lbl.gov/traceroute.tar.Z)
SNIFFER - grava os primeiros 128 bytes de uma sessão (muito usado por hackers)
Segurança na Internet
PAL0088.PPT
©1998 – RNP
Parte G: Como se Proteger
continuação
Instalar programas para fazer a monitoração dos servidores
TRIPWIRE - monitor de integridade para sistemas UNIX que detecta alterações nos
arquivos executáveis, modificação de permissões, etc.
(ftp://ftp.cs.purdue.edu/pub/spaf/COAST/Tripwire)
TAMU Tiger - procura por vulnerabilidades em sistemas UNIX, examinando contas e
senhas, permissões de arquivos, mudanças em arquivos, etc.
(ftp://net.tamu.edu/pub/security/TAMU)
SWATCH - procura por dados relevantes nos arquivos de log do sistema
(ftp://ftp.stanford.edu/general/security-tools/swatch)
ISS - testa vulnerabilidades mais comuns nos principais serviços de rede
(ftp://ftp.iss.net/pub/iss)
Segurança na Internet
PAL0088.PPT
©1998 – RNP
Parte G: Como se Proteger
continuação
Fazer uso de criptografia
Chave secreta
de quem envia
mensagem
Chave pública
de quem recebe
Chave pública
de quem envia
Chave secreta
de quem recebe
PGP: http://www.ifi.uio.no/pgp
Segurança na Internet
PAL0088.PPT
©1998 – RNP
Parte G: Como se Proteger
continuação
Definir um firewall
Mecanismo de defesa cuja função básica é a de restringir o fluxo de dados entre
duas redes
Atua como uma barreira entre duas redes
Permite que usuários internos acessem facilmente o mundo externo
Permite bloquear a entrada e saída de pacotes
Concentra os problemas em um único ponto
Possui várias arquiteturas:
Filtros de Pacotes
Screened Host
Dual Homed Host
Screened Subnet
Segurança na Internet
PAL0088.PPT
©1998 – RNP
Parte G: Como se Proteger
continuação
O que um firewall pode fazer:
Fortalecer a política de segurança - filtrar serviços inseguros, mantendo apenas
internamente, se necessário
Implantar um sistema de logs eficiente
Prover aos usuários internos acesso seguro à Internet
O que um firewall não pode fazer:
Proteger a rede de usuários internos mal intencionados
Proteger contra conexões que não passam por ele
Proteger contra novas ameaças
Proteger contra vírus
Segurança na Internet
PAL0088.PPT
©1998 – RNP
Parte G: Como se Proteger
continuação
Arquitetura de um firewall (Filtros de Pacotes)
Segurança na Internet
PAL0088.PPT
©1998 – RNP
Parte H: Reagindo a
Invasões
Reagindo a Invasões
Sinais de Invasão
Processos estranhos na máquina
Atividade acima do normal
Reboots sem razão aparente
Arquivos escondidos (“. “, “...”, etc)
Entradas novas na base de dados dos usuários
Novos servicos no inetd.conf
Sua senha circulando no underground
Segurança na Internet
PAL0088.PPT
©1998 – RNP
Parte H: Reagindo a
Invasões
continuação
Recuperando de uma Invasão
Avalie a invasão
Se existe suspeita do invasor ter-se tornado root, reinstale o sistema
Recupere backups confiáveis
Corrija a falha
Reconecte a máquina na rede
Segurança na Internet
PAL0088.PPT
©1998 – RNP
Parte H: Reagindo a
Invasões
continuação
Recuperando de uma Invasão
Avalie a invasão
Se existe suspeita do invasor ter-se tornado root, reinstale o sistema
Recupere backups confiáveis
Corrija a falha e reconecte a máquina na rede
Avise os administradores dos sites envolvidos
Avise grupo de segurança da área
Faça relatório detalhado para a gerência (especificando o custo do ataque)
Tome medidas legais, se for o caso
Segurança na Internet
PAL0088.PPT
©1998 – RNP
Parte H: Reagindo a
Invasões
continuação
Entidades de auxílio
CAIS (Centro de Atendimento a Incidentes de Segurança)
Criado pela RNP para tratar de problemas de segurança no seu backbone http://www.cais.rnp.br
CERT/CC (Computer Emergency Response Team/ Coord. Center)
Criado pelo DARPA, monitora a segurança de computadores e atividades de
quebras de sistemas, alertando os usuários - http://www.cert.org
Segurança na Internet
PAL0088.PPT
©1998 – RNP
Parte I: Referências
Importantes
Referências Importantes
Referências Bibliográficas
Practical UNIX Secutity, Grafinkel, Simson and Spafford, Gene - O'Reilly &
Associates
Building Internet Firewalls, Chapman, D. Brent and Zwicky, E. - O'Reilly & Associates
Firewalls and Internet Security, Cheswick, Bill and Bellovin, S. - Addison Wesley
The Site Security Procedures Handbook (RFC 1244)
Segurança na Internet
PAL0088.PPT
©1998 – RNP
Parte H: Referências
Importantes
continuação
Referências de Sites
Página Web do CAIS: http://www.cais.rnp.br
Página Web do CERT: http://www.cert.org
FAQ de Firewall: http://www.clark.net/pub/mjr/pubs/fwfaq/
Aumentando as seguranças em redes IP:
http://www.cisco.com/univercd/data/doc/cintrnet/ics/icssecur.htm
Lista de itens de segurança: http://www.pangeia.com.br/seg/CheckList.html
Vários artigos sobre segurança: http://www.rnp.br/newsgen/
UNIX Security Tools: ftp://info.cert.org/pub/tech_tips/security_tools
Segurança na Internet
PAL0088.PPT
©1998 – RNP