Segurança da Informação - Aula 07 - Ferramentas de segurança

[Música] o [Música] é o menos a última aula do curso de segurança da informação eu ia falar de algumas ferramentas de segurança para a proteção de computadores e pra ataque de computadores também por questão de cotas para proteger a entender um pouquinho de como são feitos os ataques então inicialmente é importante entender o conceito de invasão e segurança no modelo de segurança de computadores a ideia que tem alguém tentando acessar indevidamente uma máquina então uma máquina assassina um recurso dentro do sistema isso é feito normalmente explorando algum tipo de vulnerabilidade do sistema pode ser a banda vulnerabilidade do software do sistema operacional seja lá o que for que está instalado na máquina pra fazer alguma coisa indevida por exemplo roubar informações vira e mexe aparece na mídia algum site que teve por exemplo informações de senhas dos cartões de crédito roubados a idéia é tentar evitar isso antes de falar das ferramentas que evitam isso a gente vai falar de algumas ferramentas de invasão em si o que um atacante um invasor pode utilizar para atacar o sistema e também que um profissional de segurança pode utilizar o seu próprio sistema de forma legal para verificar se um sistema dele não está vulnerável a esse tipo de ataque então começando aqui sobre algumas uma sequência que é comumente utilizada por atacantes para tentar invadir o sistema uma primeira ferramenta é algum tipo de ferramenta tem algumas na verdade é essa o cap de ping que é pra tentar achar qual é o ip correspondente a um nome de domínio então aqui tem um exemplo de tentando descobrir os ips correspondente são o ponto com ponto br não tem nada de ilegal nisso né só estou tentando fazer a tradução de nome www. google. com.

br para o ip correspondente e essas ferramentas entregam os hipers isso é útil para você na o atacante ou pra você durante a tentativa de invasão não tem que ficar toda hora passando por um servidor de dns servidor de nome do - para ficar fazendo essa tradução tão o ip é importante para ir diretamente ao servidor ou aos servidores correspondentes naquele domingo sabendo o endereço ip você pode tentar fazer algum tipo de invasão existem algumas ferramentas que fazem a varredura de sistemas que é uma varredura e tenta descobrir quais são os serviços que estão executando ali dentro não tem nada de errado em ter serviços executando mas a ideia é são pontos nos quais o invasor pode tentar se conectar para explorar uma vulnerabilidade para tentar entrar no sistema então os varredores de porta gente chama por scammers por exemplo tem aqui um imac o que eles fazem é razoavelmente simples eles tentam conectar em todas as portas do sistema usando um protocolo do tipo tcp ele vai da porta um até 65 mil e alguma coisa que é o maior poeta possível verificando se tem alguém aí então ele bate na porta de gama do computador se ele receber uma resposta de sabe aquela porta aberta a isso aqui fazer uma varredura de sistema considerado ilegal muitos países então quem não faça isso no seu computador seja seu sem o seu servidor que você tá fazendo a verificação que você tem autorização explícita do dono que ele pode fazer esse tipo de coisa que você pode fazer esse tipo de coisa mas enfim é você consegue descobrir quais são os serviços executando em uma máquina dessa forma sabendo os serviços da para usar a ferramenta chama descanso de vulnerabilidade ou varredura de vulnerabilidades que eles fazem eles testam alguns scripts algumas coisas conhecidas ataques conhecidos contra aquele sistema aquela versão daquele serviço que está executando ali dentro tem bases comuns disso de scripts que podem a explorar algum tipo de vulnerabilidade que tem do sistema então basicamente ele faz a testar se esse script funciona contra o sistema tem algumas ferramentas para isso apresentou o nexus o que faz com que eles fazem é de um relatório e olha essa máquina nessas portas específicas ela tem essas vulnerabilidades e tac as correções sugeridas para você então por um a profissional de segurança extremamente interessante sabe o que ele tem que fazer para proteger a máquina correspondente o atacante bom ele não vai fazer a proteção é aproveitar a existência da vulnerabilidade para tentar atacar o sistema então esse é o tipo de coisa que costuma acontecer durante uma invasão de sistemas computacionais é bom vamos proteger contra isso tem algumas ferramentas só vamos falar de três aqui que é falha o sistema de detecção de intrusão e com a hipóteses a falha o firewall especificamente o que ela faz é fazer um filtro do tráfego que vai passando por ela e ela pega os pacotes que estiverem atravessando ela analisa ele de acordo com algumas regras que são configuradas pelo administrador do sistema e ela permite passar ou ela jogar fora ela pode fazer um registro long é desse evento ou então simplesmente ignorar joguei fora e não vou falar pra ninguém eu joguei foi essa ideia por trás dela tem algumas limitações como ferramenta ensina ela só protege a um sistema com relação ao tráfego que passar por ela vai conseguir filtrar o tráfego vai passando por ela não é conseguir jogar fora algo que não chegue até lá para fazer a filtragem e as regras em cd filtragem tem que ser reconfigurados a gente vai discutir algumas formas de configurar farol sac proteção de sistemas têm basicamente dois tipos de falhas dos grandes famílias de faixas dependendo da área de atuação delas as falhas que são vencidos como filtro de pacotes elas atuam só na camada de transporte e na camada de rede então a zona o cabeçalho só os pacotes não olha o conteúdo dele costuma ser mais leve na época afinal de contas os cabeçalhos são quatro campos e de origem e destino porta de origem para o destino o protocolo também é tcp udp o outro mas enfim são poucos campos que ela tem que analisar enquanto próteses olham também na camada de aplicação também é o conteúdo do pacote e aí vai ter que dividir diferencial travar um vídeo do tráfego que é http webserver. unipar. br desvantagens entre cada uma delas vou falar primeiro dos filtros de pacotes a oferta de pacote faz realmente é simples ele pega a então algumas regras uma lista de regras e nessa lista de regras tem algumas informações básicas que são as informações do cabeçalho não tem aqui um o formato básico de uma lista de controle de acesso de uma firewall o que ela faz é toda vez que chega um pacote nela compara regra regra na sequência em que tiver colocadas as regras aqui nessa lista e aí ela aplicação correspondente é que é permitir ou negar o tráfego correspondente então aqui tem uma um exemplo de fazer o que ela está fazendo é não deixando nenhum tipo de proteção qualquer que seja a origem destino é ip de origem porta de origem e de destino e planta de destino a ação dela permitir que o tráfego passe sem fazer absolutamente nada então a configuração do tipo 100% permissivo não fazendo nenhum tipo de proteção à medida que você vai colocando restrições você vai proteger o seu sistema e tem duas abordagens básicas para fazer isso é assim você vai ter que combinar as duas mães das duas abordagens baixas e canção essas duas aqui ó o que não é expressamente permitido o que não é expressamente proibido é permitido eo que não é espécie expressamente permitido é proibido então a primeira mais permissiva você coloca uma lista negra de coisas que não podem ser feitos ea segunda é mais restritivos como uma lista branca de coisas podem ser feitas do ponto de vista de segurança segunda é mais interessante como eu vou mostrar um exemplo aqui a gente tem um sistema que você quer proteger aqui o sistema consiste basicamente em um servidor web que roda http e https e tem um servidor zinho aqui do lado que ele roda e meio e banco de dados e você quer que esse sistema seja acessível via internet em todos os pontos então uma pessoa pode conectar nesse tipo de via http https 8443 mas você não quer que ele seja capaz de acessar um serviço de banco de dados serviço de sql e quem vai acessar o banco de dados é por exemplo um servidor web que está aqui dentro então pessoas externas da rede não pode acessar o servidor web a o servidor de banco de dados podem só acessar o servidor web ou dentro do servidor do campeonato nessa mesma mp ele pode acessar esse serviço aqui que é de email mas não o serviço de banco de dados como dá pra fazer a proteção desse sistema basicamente quer bloquear é atacantes tentando acessar a porta um 4 3 3 dentro do meu servidor aqui demais bancos de dados que está no endereço ip 200.

000 ponto 2 duas formas de fazer isso a primeira forma é a forma mais permissivo vou colocar uma lista negra de coisas que não podem ser feitas no sistema no caso é uma coisa só só não pode alguém de fora da web alguém via internet acessar o meu servidor 02 aqui na porta um 4 3 3 então toda vez que chega um pacote nessa faixa o que vindo da internet ele vai verificar é um pacote que está indo para o servidor de e mail do servidor de banco de dados mas e meio nessa porta um 4 3 3 que é a porta que está executando o meu serviço de banco de dados se for nega caso contrário deixa passar não tem absolutamente problema nenhum funciona a princípio nem fim está bloqueado exatamente aquilo que você precisa mas tem um problema quando os e no caso a caso possível alguém conseguir instalar dentro do servidor web uma porta dos fundos pode ser por uma invasão de um mal e um administrador fez algo errado ele acabou instalando um serviço extra a fazer uma boquinha porque afinal de contas o que vai acontecer com esse pacote indo por aqui pra mim é porta dos fundos na porta 4 3 2 1 0 é que vai bater quando chega um pacote com esse destino combatendo essa regra aqui enfim não bate com essa regra nem saindo pelo servidor 02 05 2011 então essa regra não bloqueia não faz nada com relação ao pacote e que na segunda regra segundo a regra deixa passar tudo então vai passar o pacote e o sistema vai ser vulnerável a esse tipo de cenário então no final das contas o que você tem aqui é um cenário não tão seguro quanto você gostaria já se você faz com regras um pouco menos permissiva as coloca uma lista branca de regras que podem do tipo de pacote que pode passar na rede ao invés de um tipo de pacote que não pode passar a rede você tem uma a um cenário um pouco mais seguro no final das contas que eu fiz aqui vou colocar todas as regras que eu permito passagens pacotes então pode todo mundo se comunicar com http um servidor web https no servidor web e pode falar também no servidor de banco de dados mais a serviço de e mail na porta 25 mas não pode na porta um 4 3 3 que é do banco de dados que eu gostaria de proteger e não pode mais nada né porque a minha última regra diz que o não caiu nenhuma dessas três não deixe passar o pacote não tem uma lista de regras brancas o que acontece se tivemos exatamente o mesmo cenário anterior em que foi instalada uma backdoor ali no servidor web na porta com a 3 2 1 0 nesse caso toda vez que chega alguma tentativa de acesso a esse baque dor não é bater na primeira nem a segunda nem a terceira regra vai bater na última regra também que bloqueia tudo então nesse caso você está protegido porque você não deixou nada inclusive o backdoor passar na rede você diz só o que pode passar então uma regra mais interessante do ponto de vista de segurança uma abordagem mais interessante do ponto de vista da segurança do que no caso anterior minha última regra passa todo o resto é obviamente vai dar um pouco mais de trabalho porque afinal de contas toda vez que você instalar o novo serviço você é obrigado a ir na fire how e abrir a porta correspondente nos serviços mas é muito mais interessante você ao saber que o novo serviço foi instalado abrir a porta correspondente do que não saber que o novo serviço foi instalado ter que colocar uma regra para a boca é esse serviço inválido é esse a backdoor dentro do sistema afinal de contas não foi você quem está logo então fica mais complicado no primeiro cenário não ser funcionário do trabalho aqui mas fica mais seguro aqui quando você coloca regras brancas nuvens negras brancas além do firewall do tipo de pacote também o proxy a idéia do próprio então já tinha falado o que ele faz é olhar também na camada de aplicação então os extremamente comum ter empresas principalmente o próprio webb que ele faz é olhar pacotes http https que vão trafegar na rede o que ele faz ele sempre aja como intermediário para você quando você faz uma requisição para um servidor web qualquer por exemplo aqui estou fazendo uma requisição para o site da univesp não vai direto para o site em questão passa primeiro pelo proxy o próprio é avaliar que diabos tem essa requisição se você pode acessar a url a se você é um usuário que tenha acesso aos servidores externos na internet e coisas do gênero aí vai depender das regras instaladas o servidor proxy vai fazer a conexão no seu lugar requisito e com conteúdo para o site em questão a resposta vai também ser avaliado próprio verificar se o conteúdo é válido é a uma empresa pode por exemplo bloquear conteúdos de vídeo streaming que vão entrar na rede ele vai verificar esse tipo de coisa e se tiver tudo certo ele te dá uma resposta válida se tiver alguma coisa errada ele vai te dar uma página de erro dizendo que você não pode acessar e bom provavelmente vai fazer um registro desenvolve-se usuário aqui está tentando essa coisas inválidas na internet coisas indevidas de cor de acordo com a nossa política de segurança a última coisa sobre firewall é nada legal entende o funcionamento mas onde eu coloco esse negócio é uma ferramenta de rede em vários lugares possíveis na rede para você colocar um primeiro deles é a configuração mais comum dentro de cenários de a domésticos não corporativos que é colocar o fahel bem na saída da rede aqui na internet entre a internet ea rede interna é interessante para proteger sua rede contra atacante que vem da internet a parte ruim disso não tão boa pelo menos é que se foi instalado alguma coisa nas máquinas centenas as máquinas internas começaram a atacar seus servidores outras marcas internas esse fato não vai fazer nenhum tipo de bloqueio exatamente por isso é comum em instalar s um sistema mais conhecido como dmz que que é a de me dizer em sistemas corporativos pelo menos é o zona desmilitarizada você tem uma falha ou não só externa com relação à internet mas também uma falha interna para proteger separar a regiões da rede por exemplo aqui o que eu fiz foi separar a região das minhas máquinas e usuários da região onde estão os meus servidores que podem ser acessíveis via internet então nesse caso essa falha que pode até ser mais permissiva do que a falha ou externo por exemplo deixar o administrador fazer o que ele bem entender aqui não sei o meu servidor web mas ele não vai deixar qualquer máquina fazer qualquer coisa no servidor web você pode instalar regras diferentes aqui e aqui pensando nos atacantes externos na área externa e nos atacantes internos na falha interna então é um estilo mais comum de se encontrar em redes corporativas e o terceiro em que um adendo no final das contas é extremamente comum também que as máquinas tenham falhas na própria estação então cada máquina do usuário tenha também foi instalado a isso desde o windows xp sp2 ou três já é comum por padrão você tem o fórum instalado para dar uma proteção dessas máquinas inclusive entre duas estações uma estação tanto atacar outra por exemplo ela não vai conseguir fazer nada do gênero então esses são os cenários comuns desse encontro além de firewalls mota ferramenta importante no sistema de detecção de intrusão falar um pouquinho deles aqui a idéia de um sistema de detecção de intrusão é de teté situações que tem um cara de uma intrusão no sistema então o que ele faz é verificar pacotes que estão trafegando na rede aí por exemplo verifica que a tem muitos pacotes saindo de uma máquina para várias portas de outra máquina tem cara de um porsche cayenne ou tem uma seqüência de pacotes que está passando na rede que é muito característica de um ataque de um mal e qualquer então ele vai avisar alguém desse malware que pode estar na rede se ele for passivo ele simplesmente avisa a repórter aí o evento para um administrador de segurança que vai fazer alguma coisa e tem também os há sistemas de detecção de intrusão que são conhecidos condição de prevenção de intrusão ou e desses ativos o que eles fazem é também a agir para mitigar o ataque ele pode por exemplo automaticamente configurar uma firewall para bloquear aquele tipo de pacote inválido que caracteriza o ataque porque o ipi é algo do gênero tipos de estratégias que são utilizadas em basicamente duas pode servir a anomalias então o sistema de detecção de intrusão que verificam anomalias que estão procurando os comportamentos fora do comum coisas estranhas na rede por exemplo pode construir um perfil de usuário vê que ele manda no máximo dez e mails por dia aí de repente um belo dia ele nota que esse mesmo só está mandando 2000 e maylson a cada segundo pode ser o caso de que tem um spammer foi instalada a primeira máquina dele mauro então ele pode agir com relação a isso ele pode bloquear essa máquina deixar a romã e meio por algum tempo quando a pessoa não falar com a administração de segurança ou então ele pode a pelo menos limitar o número de e mail enviado enfim pode fazer alguma coisa a respeito os baseado em assinaturas eles já olham comportamentos que são clássicos de comportamentos suspeitos estão em bases de dados comuns como aqui os scans de vulnerabilidades utilizam vem com essa seqüência de pacotes têm cara de ataque ou que seja mandar um monte de pacotes em sequência da porta zero até a porta 1.