8 - Ferramentas de Segurança

PROFESSOR: ANTONYALISON ANTONY RIBEIRO

E-mail: [email protected]

Introdução a Gerência de Rede

SEGURANÇA DA INFORMAÇÃO


“Gerenciamento de rede inclui o oferecimento, a

integração e a coordenação de elementos de

hardware, software e humanos, para monitorar, testar,

consultar, configurar, analisar, avaliar e controlar os

recursos da rede, e de elementos, para satisfazer às

exigências operacionais, de desempenho e de

qualidade de serviço em tempo real a um custo

razoável.”

O que é gerenciamento de rede?


Exemplos

SALA DE CONTROLES DA ITAIPU BINACIONAL


Exemplos



Exemplos



Exemplos

CABINE DE AVIÃO


Exemplos

CABINE DE AVIÃO


➔ O Administrador/piloto pode monitorar os diversos

componentes da usina/aeronave e analisar os dados.

➔ Realizar a gerência reativa

➔ Fazendo ajustes em resposta a modificações

ocorridas no sistema.

➔ Realizar a gerência proativa

➔ Detecção de tendências ou comportamentos

anômalos.

➔ Execução de ações antes que ocorram problemas de

maior proporção.

MOTIVAÇÃO


Nas redes de computadores existe

alguma motivação diferente?

EXEMPLOS DE SISTEMAS DE CONTROLE


➔ Crescimento das redes:

➔ Número de equipamentos

➔ Diversidade de tecnologias

➔ Diversidade de ambientes operacionais

➔ Extensão/Dispersão da rede

➔ Garantir a qualidade no serviço;

➔ Clientes mais exigentes

➔ Competitividade

➔ Novos dispositivos/protocolos/arquiteturas de rede;

➔ Virtualização

➔ Computação na Nuvem

MOTIVAÇÃO


➔ Complexidade das redes modernas

➔ Migração de tecnologias legadas para redes de dados

➔ Telefonia

➔ TV (Streaming / GVT / Netflix / PS3)

➔ Telemetria

➔ Vigilância

➔ Múltiplos fornecedores

➔ Ausência de recursos suficientes para administrar/monitorar

a rede

MOTIVAÇÃO


EXEMPLOS DE SISTEMAS DE

GERENCIAMENTO DE REDE








“O administrador de rede deve monitorar,

gerenciar e controlar ativamente o sistema

do qual está encarregado.”

Kurose e Ross




➔ Detecção de falhas

➔ Falhas em interfaces de rede, Computadores/Servidores,

Roteadores, etc

➔ Através do monitoramento de tráfego ou ainda contadores

de performance

➔ Monitoração de Hospedeiro

➔ Acompanhar a disponibilidade dos hosts da rede

➔ Realizar gerência proativa na ocorrência de uma falha

➔ Monitoração de Tráfego

➔ A rede pode ser otimizada

➔ Gargalos resolvidos

➔ Novas contratações podem ser iniciadas antes da exaustão

do recurso

OBJETIVOS


➔ Detecção de Mudanças rápidas em tablas de roteamento

➔ Quando muito frequentes, podem indicar instabilidade em

um roteador mal configurado ou intermitência em links de

comunicação

➔ Monitoramento de SLA's (Service Level Agreement)

➔ Seja garantido o nível de serviço contratado

➔ Alguns indicadores: Disponibilidade, latência, throughput,

notificação de eventos/atividades planejadas

➔ É necessário que seja especificado no contrato

OBJETIVOS


➔ Detecção de Intrusos

➔ Filtragem de tráfego

➔ Notificação de eventos suspeitos

➔ Aumento de consumo de banda repentino

➔ Aumento de pacotes TCP SYN direcionados a um único

hospedeiro

➔ Conexões a portas de acesso remoto

➔ Autenticações inválidas

OBJETIVOS


A ISO (International Organization for Standarization) criou um

modelo de gereciamento de rede mais estruturado, baseado em

5 áreas de gerenciamento:

➔ Gerenciamento de Desempenho

➔ Gerenciamento de Falhas

➔ Gerenciamento de Configurações

➔ Gerenciamento de Contabilização

➔ Gerenciamento de Segurança

Modelo de Gerenciamento de Redes da ISO


➔ Quantificar, medir, analisar, informar, analisar e controlar o

desempenho de diferentes componentes/recursos de rede

➔ Sejam ativos de rede, links, servidores ou ainda hosts

➔ SNMP desempenha um papel fundamental neste

gerenciamento

➔ Controlar as variáveis da rede para atingir o nível de

desempenho especificado:

➔ Capacidade de Utilização e Quantidade de Tráfego;

➔ Vazão dos Dados e Tempo de Resposta.

➔ Definição de indicadores de rede

Gerenciamento de Desempenho




➔ Utilizado no planejamento da rede:

➔ Dimensionamento

➔ Identificação de gargalos

➔ Resolução de problemas de performance

➔ Relocação de recursos

➔ Ampliações programadas



Exemplos:

➔ Utilização de CPU dos servidores é considerada OK até

60%, entre 61-85% deve-se iniciar processo de upgrade, acima

de 86% é considerado crítico

➔ Ocupação dos links da rede devem ser observados, ao

chegar a 70%, deve-se solicitar ampliação, se links forem

redundantes/load balance, um link não deve ultrapassar 40% de

sua capacidade, pois em situação de falha, receberá a carga do

outro link.



➔ Registrar, detectar e reagir a condições de falha da rede

➔ Gerenciamento de falha é o tratamento imediato, já o

gerenciamento de desempenho é a longo prazo

➔ Requer constante observação do funcionamento dos

dispositivos de forma que se possa identificar rapidamente o

problema e resolvê-lo

➔ Gerência proativa de falhas

➔ Determinar e isolar o ponto de falha;

➔ Reconfigurar a rede para diminuir impacto da falha;

➔ Reparar a falha e voltar à situação normal de funcionamento

Gerenciamento de Falhas


➔ Registrar, detectar e reagir a condições de falha da rede

➔ Gerenciamento de falha é o tratamento imediato, já o

gerenciamento de desempenho é a longo prazo



Exemplos de eventos a serem monitorados

➔ Interfaces de rede down

➔ Serviços parados em servidores

➔ Links de comunicação fora

➔ Taxa de erro em links de comunicação

➔ Ocupação de disco acima de um dado threshold



Meios para atingir estes objetivos

➔ Utilizar ferramentas e funções de gerenciamento rápidas e

confiáveis;

➔ Utilizar redundância de rotas e equipamentos para minimizar

o impacto das falhas;

➔ Utilizar uma estratégia de gerenciamento de falhas

redundante.



➔ Permite ao administrador saber quais dispositivos fazem

parte da rede administrada.

➔ Lidam com a instalação, inicialização, partida, modificação e

registro de parâmetros de configuração ou opções de hardware

e software de rede.

➔ manter um inventário atualizado e produzir relatórios

baseados nesse inventário.

➔ Reconfigurar a rede em função do desempenho, expansão

ou recuperação de falhas;

➔ RFC-3139 oferece uma visão geral de gerenciamento de

requisitos e de configurações

Gerenciamento de Configuração


RFC 3139 - Requirements for Configuration Management of IP-

based Networks

➔ Policy Based Management:define um serviço específico em

todos os devices da rede.

➔ SNMP não é aplicado a este nível de gerência

➔ A rede deve ser especificada de forma abstrata em uma

network-wide configuration

➔ Existência de tradutores da política network-wide

configuration para configurações específicas de cada

vendor/device

Gerenciamento de Configuração


➔ Permite ao administrador da rede que especifique, registre e

controle o acesso de usuários e dispositivos a recursos da rede.

➔ Monitoração de quanto dos recursos estão sendo utilizados

por usuários ou grupos de usuários

➔ Quotas de utilização

➔ Limitação de uso dos recursos por usuários ou grupos de

usuários

➔ Cobrança por utilização

➔ Alocação de acesso privilegiado a recursos

Gerenciamento de Contabilização


➔ Controlar o acesso aos recursos da rede de acordo com

alguma política definida. Controla o acesso aos recursos da

rede através do uso de técnicas de autenticação e políticas de

autorização.

➔ Geração, distribuição e armazenamento de chaves

criptográficas e de senhas;

➔ Registro dos logs de Segurança

➔ Proteção dos recursos da rede e das informações

dos usuários

Gerenciamento de Segurança


Exemplo de Soluções


Detecção de problemas com conectividade:

➔ Traceroute

➔ Ping

➔ Route

➔ Netstat

➔ Ifconfig(linux) / ipconfig(windows)

➔ Iperf (linux)

➔ Iftop (linux)

➔ MTR

Exemplo de Soluções


Principais problemas de redes sem gerência

➔ Congestionamento

➔ Má utilização de recursos

➔ Recursos sobrecarregados

➔ Problemas com segurança

➔ Indisponibilidade

➔ Outros ?

Rede sem Gerência


Gerência Reativa

➔ Administrador da rede limita-se a reagir aos problemas que

surgem

➔ Se utiliza de padrões e ferramentas de gerência para ser

alertado de um problema

Tipos de Gerência


Gerência Pró-ativa

➔ Administrador da Rede procura, rotineiramente, por

informações que possam revelar com antecedência a

possibilidade de um problema na rede

➔ Concentra esforços nos estudos dos avisos (warnings), que

são registros da ocorrência de uma situação anormal, porém

não crítica

➔ Utiliza históricos, estatísticas e o monitoramento frequente

dos eventos relevantes da rede

➔ Mais difícil de ser efetuada que a reativa. Entretanto, resulta

em tempos menores de parada e economia geral de operação

da rede

Tipos de Gerência


➔ Disponibilidade

➔ MTTR

➔ Tempo de Resposta

➔ Taxa de Erros

➔ Latência

➔ Vazão (Throughput)

➔ Utilização

Sistema de Métricas


Disponibilidade

“Um sistema de alta disponibilidade é um sistema informático

resistente a falhas de software e energia, cujo objetivo é manter

os serviços disponibilizados o máximo de tempo possível.”

Métricas


Métricas


Tempo de Resposta

➔ Tempo decorrido entre a requisição de uma ação ao sistema

e a resposta completa à sua requisição

➔ Medição Complexa

➔ Depende de diversas variáveis e suas interações

Métricas


Taxa de Erro

➔ Relaciona a quantidade de pacotes, recebidos ou enviados

por uma interface de rede, cujo conteúdo (em bits) apresenta

erro em relação ao total de pacotes nessa mesma interface.

➔ Normalmente, essa taxa é medida em valores percentuais

dentro do período de monitoramento.

➔ É de difícil detecção e pode ser a causadora de muitos

problemas que serão detectados posteriormente

Métrica


Latência

➔ Tempo que um pacote leva para ir de um ponto a outro da

rede

➔ Normalmente medido em milissegundos

➔ Quanto menor a latência, melhor o tempo de resposta da

rede

Métricas


Utilização

➔ É a quantidade em uso de um determinado recurso

(porcentagem), em relação à sua capacidade total de

atendimento

➔ Auxilia na avaliação e detecção de gargalos, uma vez que

influenciam diretamente no tempo de resposta da rede e das

aplicações envolvidas

➔ Monitorando-se a utilização, ao longo de um determinado

período de tempo, é possível observar os intervalos de pico na

utilização de um serviço ou recurso

➔ Exemplos: memória disponível, leitura/escrita em disco,

processador (CPU), largura de banda da rede.

Métrica


05 melhores ferramentas de

segurança para avaliação de redes

Wireshark

O primeiro passo na avaliação de vulnerabilidades é ter uma imagem clara do que

está acontecendo na rede. O Wireshark (anteriormente chamado de Ethereal)

funciona em modo promíscuo para capturar todo o tráfego de um domínio de

broadcast TCP.

Filtros personalizados pode ser ajustados para interceptar o tráfego específico, por

exemplo, para capturar a comunicação entre dois endereços IP, ou capturar consultas

DNS baseados na rede. Os dados de tráfego podem ser despejado em um arquivo de

captura, que pode ser revisto mais tarde. Os filtros adicionais também podem ser

definidos durante a revisão.

Normalmente, o testador está à procura de endereços IP vadios, pacotes com

endereços forjados, pacotes desnecessários, e geração de pacotes suspeitos a partir

de um único endereço IP. O Wireshark dá uma visão ampla e clara do que está

acontecendo na sua rede.




Nmap

Esta é provavelmente a única ferramenta que continua popular há quase uma

década. Este scanner é capaz de elaborar e executar análises em um nível granular

de TCP. É consagrado na verificação da assinatura de SO e versão, com base nas

respostas de rede.

O Nmap é eficaz o suficiente para detectar dispositivos remotos, e na maioria dos

casos identifica corretamente firewalls e roteadores, além de sua marca e modelo. Os

administradores de rede podem usar o Nmap para verificar quais portas estão

abertas, e também se essas portas podem ser exploradas ainda mais em ataques

simulados. A saída é um texto claro e detalhado.




Metasploit

Depois de “cheirar” as conexões e pacotes de uma rede usando as ferramentas

acima, é hora de ir para o sistema operacional a nível de aplicação. O Metasploit é

uma ferramenta fantástica estruturada em código aberto, que realiza exames

rigorosos contra um conjunto de endereços IP.

Ao contrário de muitos outros enquadramentos, pode também ser usado para

técnicas anti-forenses. Programadores experientes podem escrever uma peça de

código explorando uma vulnerabilidade particular, e testá-lo com o Metasploit para ver

se ele é detectado. Este processo pode ser invertido tecnicamente – quando um vírus

ataca utilizando alguma vulnerabilidade desconhecida, o Metasploit pode ser usado

para testar o “antídoto” para ele.




OpenVAS

O Nessus scanner é um utilitário famoso e comercial, a partir do qual o OpenVas

ramificou-se alguns anos atrás para permanecer aberto. Embora o Metasploit e o

OpenVAS sejam muito semelhantes, ainda existe uma diferença distinta entre eles.

O OpenVAS é dividido em dois componentes principais: um scanner e um gerente. O

scanner pode residir no alvo e se “alimentar” de descobertas de vulnerabilidade para

o gerente. O gerente recolhe os dados obtidos através de vários scanners e

algorítimos, e aplica a sua própria inteligência para criar um relatório detalhado.

No mundo da segurança, o OpenVAS é muito valorizado por ser muito estável e

confiável para detectar as falhas de segurança mais recentes, e para fornecimento de

relatórios e insumos para corrigi-los.




Aircrack

A lista de scanners de rede seria incompleta sem scanners de segurança sem fio. A

Infra-estrutura de hoje contém dispositivos sem fio no centro de dados, bem como

nas instalações das empresas para facilitar os usuários móveis. Apesar da segurança

WPA-2 ser considerada adequada para os padrões 802.11 de uma WLAN,

configurações incorretas e o uso de senhas simples, deixa essas redes vulneráveis a

ataques.

O Aircrack é uma suíte de utilitários que atua como um packet sniffer e decodificador

de pacotes. Uma rede sem fio alvo tem seu tráfego de pacote submetido a captura de

detalhes vitais sobre a criptografia da rede. Um decodificador é então utilizado como

força bruta no arquivo capturado, para a tentativa de descobrir as senhas. O Aircrack

é capaz de trabalhar na maioria das distribuições Linux, mas o do BackTrack Linux é

altamente preferido pelos profissionais de segurança.


05 principais ferramentas de

segurança para avaliação Web

Nikto

Vamos começar com essa ferramenta por causa de seu conjunto de recursos. Esta

ferramenta open source é amplamente usada para escanear sites, principalmente

porque suporta HTTP e HTTPS, e também fornece resultados de um modo interativo.

O Nikto pode rastrear um site do jeito que um ser humano rastrearia (com detalhes), e

no menor espaço de tempo. Ele utiliza uma técnica chamada de mutação, em que ele

cria combinações de vários testes HTTP em conjunto para formar um ataque, com

base na configuração do servidor Web e o código hospedado.

Assim, ele encontra brechas críticas, tais como erros de configuração de upload de

arquivo, manipulação de cookies imprópria, erros de cross-scripting, e etc.




Samurai Framework

Uma vez que uma seleção inicial é realizada pelo Nikto, o próximo passo é dar um

“mergulho mais profundo”. O Samurai reúne vários utilitários poderosos, cada um

direcionado para um conjunto específico de vulnerabilidades.

Ele vem como uma distribuição Linux, puramente enfocando ferramentas de teste de

penetração, como WebScarab para mapeamento HTTP, plugins W3AF para ataques

baseados em aplicativos, e também tem ferramentas para testar exploits em

browsers. É surpreendentemente notável que a versão mais recente pode encontrar

vulnerabilidades que geralmente não são detectadas até mesmo por alguns produtos

comerciais.




Safe3 Scanner

Enquanto as duas primeiras ferramentas são boas para sites estáticos, não são

indicadas para para portais que necessitem de ID de usuário e senha e cookies. O

Safe3 Scanner é um projeto de fonte aberta fantástico, que ganhou força e fama

porque ele pode lidar com quase todos os tipos de autenticação, incluindo NTLM.

Ele contém um rastreador Web (uma “aranha” como as dos motores de busca) capaz

de ignorar scans de páginas duplicadas e ainda detectar vulnerabilidades do lado do

cliente JavaScript.




Websecurify

Apesar de muito semelhante ao Samurai, o Websecurify realiza análises em nível de

aplicação. No caso de um portal Web grande, onde o código é mantido por uma

equipe de desenvolvedores, as normas e códigos compartilhados podem algumas

vezes produzir códigos inseguros, como senhas mencionadas no código, caminhos

de arquivos físicos em bibliotecas, e etc. O Websecurify pode atravessar todo o

código e achar tais falhas rapidamente.

Um recurso interessante é que ele permite que você crie imagens das áreas

problemáticas automaticamente, o que ajuda na preparação dos relatórios de

auditoria.




SqlMap

Se nós não mencionássemos uma ferramenta para detectar ataques de injeção SQL,

este artigo não estaria completo. Embora este seja um velho tipo de ataque

considerado de “primeira geração”, muitos sites públicos ainda não corrigiram-no. O

SqlMap é capaz de, não apenas explorar as falhas de injeção SQL, mas também

pode avaliar o servidor de banco de dados. Ele suporta quase todos os motores

conhecidos de banco de dados, e também pode realizar ataques de adivinhação de

senha. Esta ferramenta pode ser combinada com as outras quatro ferramentas

mencionadas acima, para analisar um web site de forma agressiva.

Uma auditoria de segurança deve incluir uma análise completa da rede, bem como a

exploração de vulnerabilidades nos sites. O software livre é muito propenso a

ataques, portanto, os administradores de rede devem saber bem sobre os scanners

de renome e usá-los em suas tarefas diárias, tornando a sua infra-estrutura segura e

estável.


3Com Network Supervisor


LANGUARD


WhatsUp Gold


WhatsUp Gold


WhatsUp Gold

Documents

8 - Ferramentas de Segurança