Upload
alison-ribeiro
View
23
Download
0
Embed Size (px)
DESCRIPTION
8 - Ferramentas de Segurança
Citation preview
PROFESSOR: ANTONYALISON ANTONY RIBEIRO
E-mail: [email protected]
Introdução a Gerência de Rede
SEGURANÇA DA INFORMAÇÃO
SEGURANÇA DA INFORMAÇÃO
“Gerenciamento de rede inclui o oferecimento, a
integração e a coordenação de elementos de
hardware, software e humanos, para monitorar, testar,
consultar, configurar, analisar, avaliar e controlar os
recursos da rede, e de elementos, para satisfazer às
exigências operacionais, de desempenho e de
qualidade de serviço em tempo real a um custo
razoável.”
O que é gerenciamento de rede?
SEGURANÇA DA INFORMAÇÃO
Exemplos
SALA DE CONTROLES DA ITAIPU BINACIONAL
SEGURANÇA DA INFORMAÇÃO
Exemplos
SALA DE CONTROLES DA ITAIPU BINACIONAL
SEGURANÇA DA INFORMAÇÃO
Exemplos
SALA DE CONTROLES DA ITAIPU BINACIONAL
SEGURANÇA DA INFORMAÇÃO
Exemplos
CABINE DE AVIÃO
SEGURANÇA DA INFORMAÇÃO
Exemplos
CABINE DE AVIÃO
SEGURANÇA DA INFORMAÇÃO
➔ O Administrador/piloto pode monitorar os diversos
componentes da usina/aeronave e analisar os dados.
➔ Realizar a gerência reativa
➔ Fazendo ajustes em resposta a modificações
ocorridas no sistema.
➔ Realizar a gerência proativa
➔ Detecção de tendências ou comportamentos
anômalos.
➔ Execução de ações antes que ocorram problemas de
maior proporção.
MOTIVAÇÃO
SEGURANÇA DA INFORMAÇÃO
Nas redes de computadores existe
alguma motivação diferente?
EXEMPLOS DE SISTEMAS DE CONTROLE
SEGURANÇA DA INFORMAÇÃO
➔ Crescimento das redes:
➔ Número de equipamentos
➔ Diversidade de tecnologias
➔ Diversidade de ambientes operacionais
➔ Extensão/Dispersão da rede
➔ Garantir a qualidade no serviço;
➔ Clientes mais exigentes
➔ Competitividade
➔ Novos dispositivos/protocolos/arquiteturas de rede;
➔ Virtualização
➔ Computação na Nuvem
MOTIVAÇÃO
SEGURANÇA DA INFORMAÇÃO
➔ Complexidade das redes modernas
➔ Migração de tecnologias legadas para redes de dados
➔ Telefonia
➔ TV (Streaming / GVT / Netflix / PS3)
➔ Telemetria
➔ Vigilância
➔ Múltiplos fornecedores
➔ Ausência de recursos suficientes para administrar/monitorar
a rede
MOTIVAÇÃO
SEGURANÇA DA INFORMAÇÃO
EXEMPLOS DE SISTEMAS DE
GERENCIAMENTO DE REDE
SEGURANÇA DA INFORMAÇÃO
EXEMPLOS DE SISTEMAS DE
GERENCIAMENTO DE REDE
SEGURANÇA DA INFORMAÇÃO
EXEMPLOS DE SISTEMAS DE
GERENCIAMENTO DE REDE
SEGURANÇA DA INFORMAÇÃO
“O administrador de rede deve monitorar,
gerenciar e controlar ativamente o sistema
do qual está encarregado.”
Kurose e Ross
EXEMPLOS DE SISTEMAS DE
GERENCIAMENTO DE REDE
SEGURANÇA DA INFORMAÇÃO
➔ Detecção de falhas
➔ Falhas em interfaces de rede, Computadores/Servidores,
Roteadores, etc
➔ Através do monitoramento de tráfego ou ainda contadores
de performance
➔ Monitoração de Hospedeiro
➔ Acompanhar a disponibilidade dos hosts da rede
➔ Realizar gerência proativa na ocorrência de uma falha
➔ Monitoração de Tráfego
➔ A rede pode ser otimizada
➔ Gargalos resolvidos
➔ Novas contratações podem ser iniciadas antes da exaustão
do recurso
OBJETIVOS
SEGURANÇA DA INFORMAÇÃO
➔ Detecção de Mudanças rápidas em tablas de roteamento
➔ Quando muito frequentes, podem indicar instabilidade em
um roteador mal configurado ou intermitência em links de
comunicação
➔ Monitoramento de SLA's (Service Level Agreement)
➔ Seja garantido o nível de serviço contratado
➔ Alguns indicadores: Disponibilidade, latência, throughput,
notificação de eventos/atividades planejadas
➔ É necessário que seja especificado no contrato
OBJETIVOS
SEGURANÇA DA INFORMAÇÃO
➔ Detecção de Intrusos
➔ Filtragem de tráfego
➔ Notificação de eventos suspeitos
➔ Aumento de consumo de banda repentino
➔ Aumento de pacotes TCP SYN direcionados a um único
hospedeiro
➔ Conexões a portas de acesso remoto
➔ Autenticações inválidas
OBJETIVOS
SEGURANÇA DA INFORMAÇÃO
A ISO (International Organization for Standarization) criou um
modelo de gereciamento de rede mais estruturado, baseado em
5 áreas de gerenciamento:
➔ Gerenciamento de Desempenho
➔ Gerenciamento de Falhas
➔ Gerenciamento de Configurações
➔ Gerenciamento de Contabilização
➔ Gerenciamento de Segurança
Modelo de Gerenciamento de Redes da ISO
SEGURANÇA DA INFORMAÇÃO
➔ Quantificar, medir, analisar, informar, analisar e controlar o
desempenho de diferentes componentes/recursos de rede
➔ Sejam ativos de rede, links, servidores ou ainda hosts
➔ SNMP desempenha um papel fundamental neste
gerenciamento
➔ Controlar as variáveis da rede para atingir o nível de
desempenho especificado:
➔ Capacidade de Utilização e Quantidade de Tráfego;
➔ Vazão dos Dados e Tempo de Resposta.
➔ Definição de indicadores de rede
Gerenciamento de Desempenho
SEGURANÇA DA INFORMAÇÃO
Gerenciamento de Desempenho
SEGURANÇA DA INFORMAÇÃO
➔ Utilizado no planejamento da rede:
➔ Dimensionamento
➔ Identificação de gargalos
➔ Resolução de problemas de performance
➔ Relocação de recursos
➔ Ampliações programadas
Gerenciamento de Desempenho
SEGURANÇA DA INFORMAÇÃO
Exemplos:
➔ Utilização de CPU dos servidores é considerada OK até
60%, entre 61-85% deve-se iniciar processo de upgrade, acima
de 86% é considerado crítico
➔ Ocupação dos links da rede devem ser observados, ao
chegar a 70%, deve-se solicitar ampliação, se links forem
redundantes/load balance, um link não deve ultrapassar 40% de
sua capacidade, pois em situação de falha, receberá a carga do
outro link.
Gerenciamento de Desempenho
SEGURANÇA DA INFORMAÇÃO
➔ Registrar, detectar e reagir a condições de falha da rede
➔ Gerenciamento de falha é o tratamento imediato, já o
gerenciamento de desempenho é a longo prazo
➔ Requer constante observação do funcionamento dos
dispositivos de forma que se possa identificar rapidamente o
problema e resolvê-lo
➔ Gerência proativa de falhas
➔ Determinar e isolar o ponto de falha;
➔ Reconfigurar a rede para diminuir impacto da falha;
➔ Reparar a falha e voltar à situação normal de funcionamento
Gerenciamento de Falhas
SEGURANÇA DA INFORMAÇÃO
➔ Registrar, detectar e reagir a condições de falha da rede
➔ Gerenciamento de falha é o tratamento imediato, já o
gerenciamento de desempenho é a longo prazo
Gerenciamento de Falhas
SEGURANÇA DA INFORMAÇÃO
Exemplos de eventos a serem monitorados
➔ Interfaces de rede down
➔ Serviços parados em servidores
➔ Links de comunicação fora
➔ Taxa de erro em links de comunicação
➔ Ocupação de disco acima de um dado threshold
Gerenciamento de Falhas
SEGURANÇA DA INFORMAÇÃO
Meios para atingir estes objetivos
➔ Utilizar ferramentas e funções de gerenciamento rápidas e
confiáveis;
➔ Utilizar redundância de rotas e equipamentos para minimizar
o impacto das falhas;
➔ Utilizar uma estratégia de gerenciamento de falhas
redundante.
Gerenciamento de Falhas
SEGURANÇA DA INFORMAÇÃO
➔ Permite ao administrador saber quais dispositivos fazem
parte da rede administrada.
➔ Lidam com a instalação, inicialização, partida, modificação e
registro de parâmetros de configuração ou opções de hardware
e software de rede.
➔ manter um inventário atualizado e produzir relatórios
baseados nesse inventário.
➔ Reconfigurar a rede em função do desempenho, expansão
ou recuperação de falhas;
➔ RFC-3139 oferece uma visão geral de gerenciamento de
requisitos e de configurações
Gerenciamento de Configuração
SEGURANÇA DA INFORMAÇÃO
RFC 3139 - Requirements for Configuration Management of IP-
based Networks
➔ Policy Based Management:define um serviço específico em
todos os devices da rede.
➔ SNMP não é aplicado a este nível de gerência
➔ A rede deve ser especificada de forma abstrata em uma
network-wide configuration
➔ Existência de tradutores da política network-wide
configuration para configurações específicas de cada
vendor/device
Gerenciamento de Configuração
SEGURANÇA DA INFORMAÇÃO
➔ Permite ao administrador da rede que especifique, registre e
controle o acesso de usuários e dispositivos a recursos da rede.
➔ Monitoração de quanto dos recursos estão sendo utilizados
por usuários ou grupos de usuários
➔ Quotas de utilização
➔ Limitação de uso dos recursos por usuários ou grupos de
usuários
➔ Cobrança por utilização
➔ Alocação de acesso privilegiado a recursos
Gerenciamento de Contabilização
SEGURANÇA DA INFORMAÇÃO
➔ Controlar o acesso aos recursos da rede de acordo com
alguma política definida. Controla o acesso aos recursos da
rede através do uso de técnicas de autenticação e políticas de
autorização.
➔ Geração, distribuição e armazenamento de chaves
criptográficas e de senhas;
➔ Registro dos logs de Segurança
➔ Proteção dos recursos da rede e das informações
dos usuários
Gerenciamento de Segurança
SEGURANÇA DA INFORMAÇÃO
Exemplo de Soluções
SEGURANÇA DA INFORMAÇÃO
Detecção de problemas com conectividade:
➔ Traceroute
➔ Ping
➔ Route
➔ Netstat
➔ Ifconfig(linux) / ipconfig(windows)
➔ Iperf (linux)
➔ Iftop (linux)
➔ MTR
Exemplo de Soluções
SEGURANÇA DA INFORMAÇÃO
Principais problemas de redes sem gerência
➔ Congestionamento
➔ Má utilização de recursos
➔ Recursos sobrecarregados
➔ Problemas com segurança
➔ Indisponibilidade
➔ Outros ?
Rede sem Gerência
SEGURANÇA DA INFORMAÇÃO
Gerência Reativa
➔ Administrador da rede limita-se a reagir aos problemas que
surgem
➔ Se utiliza de padrões e ferramentas de gerência para ser
alertado de um problema
Tipos de Gerência
SEGURANÇA DA INFORMAÇÃO
Gerência Pró-ativa
➔ Administrador da Rede procura, rotineiramente, por
informações que possam revelar com antecedência a
possibilidade de um problema na rede
➔ Concentra esforços nos estudos dos avisos (warnings), que
são registros da ocorrência de uma situação anormal, porém
não crítica
➔ Utiliza históricos, estatísticas e o monitoramento frequente
dos eventos relevantes da rede
➔ Mais difícil de ser efetuada que a reativa. Entretanto, resulta
em tempos menores de parada e economia geral de operação
da rede
Tipos de Gerência
SEGURANÇA DA INFORMAÇÃO
➔ Disponibilidade
➔ MTTR
➔ Tempo de Resposta
➔ Taxa de Erros
➔ Latência
➔ Vazão (Throughput)
➔ Utilização
Sistema de Métricas
SEGURANÇA DA INFORMAÇÃO
Disponibilidade
“Um sistema de alta disponibilidade é um sistema informático
resistente a falhas de software e energia, cujo objetivo é manter
os serviços disponibilizados o máximo de tempo possível.”
Métricas
SEGURANÇA DA INFORMAÇÃO
Métricas
SEGURANÇA DA INFORMAÇÃO
Tempo de Resposta
➔ Tempo decorrido entre a requisição de uma ação ao sistema
e a resposta completa à sua requisição
➔ Medição Complexa
➔ Depende de diversas variáveis e suas interações
Métricas
SEGURANÇA DA INFORMAÇÃO
Taxa de Erro
➔ Relaciona a quantidade de pacotes, recebidos ou enviados
por uma interface de rede, cujo conteúdo (em bits) apresenta
erro em relação ao total de pacotes nessa mesma interface.
➔ Normalmente, essa taxa é medida em valores percentuais
dentro do período de monitoramento.
➔ É de difícil detecção e pode ser a causadora de muitos
problemas que serão detectados posteriormente
Métrica
SEGURANÇA DA INFORMAÇÃO
Latência
➔ Tempo que um pacote leva para ir de um ponto a outro da
rede
➔ Normalmente medido em milissegundos
➔ Quanto menor a latência, melhor o tempo de resposta da
rede
Métricas
SEGURANÇA DA INFORMAÇÃO
Utilização
➔ É a quantidade em uso de um determinado recurso
(porcentagem), em relação à sua capacidade total de
atendimento
➔ Auxilia na avaliação e detecção de gargalos, uma vez que
influenciam diretamente no tempo de resposta da rede e das
aplicações envolvidas
➔ Monitorando-se a utilização, ao longo de um determinado
período de tempo, é possível observar os intervalos de pico na
utilização de um serviço ou recurso
➔ Exemplos: memória disponível, leitura/escrita em disco,
processador (CPU), largura de banda da rede.
Métrica
SEGURANÇA DA INFORMAÇÃO
05 melhores ferramentas de
segurança para avaliação de redes
Wireshark
O primeiro passo na avaliação de vulnerabilidades é ter uma imagem clara do que
está acontecendo na rede. O Wireshark (anteriormente chamado de Ethereal)
funciona em modo promíscuo para capturar todo o tráfego de um domínio de
broadcast TCP.
Filtros personalizados pode ser ajustados para interceptar o tráfego específico, por
exemplo, para capturar a comunicação entre dois endereços IP, ou capturar consultas
DNS baseados na rede. Os dados de tráfego podem ser despejado em um arquivo de
captura, que pode ser revisto mais tarde. Os filtros adicionais também podem ser
definidos durante a revisão.
Normalmente, o testador está à procura de endereços IP vadios, pacotes com
endereços forjados, pacotes desnecessários, e geração de pacotes suspeitos a partir
de um único endereço IP. O Wireshark dá uma visão ampla e clara do que está
acontecendo na sua rede.
SEGURANÇA DA INFORMAÇÃO
05 melhores ferramentas de
segurança para avaliação de redes
Nmap
Esta é provavelmente a única ferramenta que continua popular há quase uma
década. Este scanner é capaz de elaborar e executar análises em um nível granular
de TCP. É consagrado na verificação da assinatura de SO e versão, com base nas
respostas de rede.
O Nmap é eficaz o suficiente para detectar dispositivos remotos, e na maioria dos
casos identifica corretamente firewalls e roteadores, além de sua marca e modelo. Os
administradores de rede podem usar o Nmap para verificar quais portas estão
abertas, e também se essas portas podem ser exploradas ainda mais em ataques
simulados. A saída é um texto claro e detalhado.
SEGURANÇA DA INFORMAÇÃO
05 melhores ferramentas de
segurança para avaliação de redes
Metasploit
Depois de “cheirar” as conexões e pacotes de uma rede usando as ferramentas
acima, é hora de ir para o sistema operacional a nível de aplicação. O Metasploit é
uma ferramenta fantástica estruturada em código aberto, que realiza exames
rigorosos contra um conjunto de endereços IP.
Ao contrário de muitos outros enquadramentos, pode também ser usado para
técnicas anti-forenses. Programadores experientes podem escrever uma peça de
código explorando uma vulnerabilidade particular, e testá-lo com o Metasploit para ver
se ele é detectado. Este processo pode ser invertido tecnicamente – quando um vírus
ataca utilizando alguma vulnerabilidade desconhecida, o Metasploit pode ser usado
para testar o “antídoto” para ele.
SEGURANÇA DA INFORMAÇÃO
05 melhores ferramentas de
segurança para avaliação de redes
OpenVAS
O Nessus scanner é um utilitário famoso e comercial, a partir do qual o OpenVas
ramificou-se alguns anos atrás para permanecer aberto. Embora o Metasploit e o
OpenVAS sejam muito semelhantes, ainda existe uma diferença distinta entre eles.
O OpenVAS é dividido em dois componentes principais: um scanner e um gerente. O
scanner pode residir no alvo e se “alimentar” de descobertas de vulnerabilidade para
o gerente. O gerente recolhe os dados obtidos através de vários scanners e
algorítimos, e aplica a sua própria inteligência para criar um relatório detalhado.
No mundo da segurança, o OpenVAS é muito valorizado por ser muito estável e
confiável para detectar as falhas de segurança mais recentes, e para fornecimento de
relatórios e insumos para corrigi-los.
SEGURANÇA DA INFORMAÇÃO
05 melhores ferramentas de
segurança para avaliação de redes
Aircrack
A lista de scanners de rede seria incompleta sem scanners de segurança sem fio. A
Infra-estrutura de hoje contém dispositivos sem fio no centro de dados, bem como
nas instalações das empresas para facilitar os usuários móveis. Apesar da segurança
WPA-2 ser considerada adequada para os padrões 802.11 de uma WLAN,
configurações incorretas e o uso de senhas simples, deixa essas redes vulneráveis a
ataques.
O Aircrack é uma suíte de utilitários que atua como um packet sniffer e decodificador
de pacotes. Uma rede sem fio alvo tem seu tráfego de pacote submetido a captura de
detalhes vitais sobre a criptografia da rede. Um decodificador é então utilizado como
força bruta no arquivo capturado, para a tentativa de descobrir as senhas. O Aircrack
é capaz de trabalhar na maioria das distribuições Linux, mas o do BackTrack Linux é
altamente preferido pelos profissionais de segurança.
SEGURANÇA DA INFORMAÇÃO
05 principais ferramentas de
segurança para avaliação Web
Nikto
Vamos começar com essa ferramenta por causa de seu conjunto de recursos. Esta
ferramenta open source é amplamente usada para escanear sites, principalmente
porque suporta HTTP e HTTPS, e também fornece resultados de um modo interativo.
O Nikto pode rastrear um site do jeito que um ser humano rastrearia (com detalhes), e
no menor espaço de tempo. Ele utiliza uma técnica chamada de mutação, em que ele
cria combinações de vários testes HTTP em conjunto para formar um ataque, com
base na configuração do servidor Web e o código hospedado.
Assim, ele encontra brechas críticas, tais como erros de configuração de upload de
arquivo, manipulação de cookies imprópria, erros de cross-scripting, e etc.
SEGURANÇA DA INFORMAÇÃO
05 principais ferramentas de
segurança para avaliação Web
Samurai Framework
Uma vez que uma seleção inicial é realizada pelo Nikto, o próximo passo é dar um
“mergulho mais profundo”. O Samurai reúne vários utilitários poderosos, cada um
direcionado para um conjunto específico de vulnerabilidades.
Ele vem como uma distribuição Linux, puramente enfocando ferramentas de teste de
penetração, como WebScarab para mapeamento HTTP, plugins W3AF para ataques
baseados em aplicativos, e também tem ferramentas para testar exploits em
browsers. É surpreendentemente notável que a versão mais recente pode encontrar
vulnerabilidades que geralmente não são detectadas até mesmo por alguns produtos
comerciais.
SEGURANÇA DA INFORMAÇÃO
05 principais ferramentas de
segurança para avaliação Web
Safe3 Scanner
Enquanto as duas primeiras ferramentas são boas para sites estáticos, não são
indicadas para para portais que necessitem de ID de usuário e senha e cookies. O
Safe3 Scanner é um projeto de fonte aberta fantástico, que ganhou força e fama
porque ele pode lidar com quase todos os tipos de autenticação, incluindo NTLM.
Ele contém um rastreador Web (uma “aranha” como as dos motores de busca) capaz
de ignorar scans de páginas duplicadas e ainda detectar vulnerabilidades do lado do
cliente JavaScript.
SEGURANÇA DA INFORMAÇÃO
05 principais ferramentas de
segurança para avaliação Web
Websecurify
Apesar de muito semelhante ao Samurai, o Websecurify realiza análises em nível de
aplicação. No caso de um portal Web grande, onde o código é mantido por uma
equipe de desenvolvedores, as normas e códigos compartilhados podem algumas
vezes produzir códigos inseguros, como senhas mencionadas no código, caminhos
de arquivos físicos em bibliotecas, e etc. O Websecurify pode atravessar todo o
código e achar tais falhas rapidamente.
Um recurso interessante é que ele permite que você crie imagens das áreas
problemáticas automaticamente, o que ajuda na preparação dos relatórios de
auditoria.
SEGURANÇA DA INFORMAÇÃO
05 principais ferramentas de
segurança para avaliação Web
SqlMap
Se nós não mencionássemos uma ferramenta para detectar ataques de injeção SQL,
este artigo não estaria completo. Embora este seja um velho tipo de ataque
considerado de “primeira geração”, muitos sites públicos ainda não corrigiram-no. O
SqlMap é capaz de, não apenas explorar as falhas de injeção SQL, mas também
pode avaliar o servidor de banco de dados. Ele suporta quase todos os motores
conhecidos de banco de dados, e também pode realizar ataques de adivinhação de
senha. Esta ferramenta pode ser combinada com as outras quatro ferramentas
mencionadas acima, para analisar um web site de forma agressiva.
Uma auditoria de segurança deve incluir uma análise completa da rede, bem como a
exploração de vulnerabilidades nos sites. O software livre é muito propenso a
ataques, portanto, os administradores de rede devem saber bem sobre os scanners
de renome e usá-los em suas tarefas diárias, tornando a sua infra-estrutura segura e
estável.
SEGURANÇA DA INFORMAÇÃO
3Com Network Supervisor
SEGURANÇA DA INFORMAÇÃO
LANGUARD
SEGURANÇA DA INFORMAÇÃO
WhatsUp Gold
SEGURANÇA DA INFORMAÇÃO
WhatsUp Gold
SEGURANÇA DA INFORMAÇÃO
WhatsUp Gold