Segurança de Redes em Ambientes Corporativos: Princípios, Ferramentas e Ataques, Notas de estudo de Comunicação

Baixe Segurança de Redes em Ambientes Corporativos: Princípios, Ferramentas e Ataques e outras Notas de estudo em PDF para Comunicação, somente na Docsity!

Londrina 2018

JOÃO LUCAS OLIVEIRA DE SOUZA

OPEN SOURCE PARA ANÁLISE E SEGURANÇA DE REDES

Londrina 2018

OPEN SOURCE PARA ANÁLISE E SEGURANÇA DE REDES

Trabalho de Conclusão de Curso apresentado à Universidade Pitágoras Unopar, como requisito parcial para a obtenção do título de graduação em Engenharia da Computação. Orientador: Profª. Jessica Lopes

JOÃO LUCAS OLIVEIRA^ EVANDRO JUNIOR NABOR DE SOUZA

SOUZA, João Lucas Oliveira. Open source para análise e segurança de redes.

2018. 35 de folhas. Trabalho de Conclusão de Curso (Graduação em engenharia da computação) – Universidade Pitágoras Unopar, Londrina, 2018.

RESUMO

A internet como uma ferramenta pulverizada entre a população como um todo. Se tornou indispensável na vida das pessoas podendo assumir vários papeis que vão desde uma simples pesquisa até uma transação bancária. Como principio básico, a segurança deve ser levada em consideração em uma rede tão comum e publica para que a ordem exista. A segurança de redes, portanto um fator de extrema importância quando trata-se de integridade nos dados que é ponto de suma importância em organizações que buscam seus lucros por meio de novas oportunidades de negócios utilizando a disponibilidade, flexibilidade e facilidade dos recursos de informática. Como qualquer outro meio de comunicação, alguns paradigmas e problemas a enfrentar com a Internet. No que diz respeito à interoperabilidade e acesso livre a qualquer indivíduo deve-se ter em mente que problemas relacionados à segurança podem aparecer, considerando que várias tarefas efetuadas via internet são procedimentos sérios e muitas vezes sigilosos, esta questão se torna algo que merece um estudo muito apurado a fim de prevenir, mitigar e detectar falhas de segurança que comprometem um sistema. Ela é ainda mais frisada quando a oportunidade de negócios surgindo puramente no mundo digital, ou seja, seu sucesso dependerá muito de uma correta implementação de segurança, pois quando esta perece em alguns casos poder ter um impacto negativo muito grande num setor que trata especificamente destas tecnologias levando a empresa a um desfecho indesejável no que diz respeito à satisfação dos clientes. No entanto, este trabalho de conclusão de curso, irá tratar algumas das principais e mais utilizadas técnicas e métodos que agem como verdadeiras muralhas entre suas informações pessoais e confidenciais, e o grande obscuro mundo da internet.

Palavras-chave: Open Source. Segurança de redes. Segurança de dados. Linux. Redes de computadores.

SOUZA, João Lucas Oliveira. Open source for network analysis and security. 35 of leaves. Course Completion Work (Graduation in Computer Engineering) - Universidade Pitágoras Unopar, Londrina, 2018

ABSTRACT

The internet as a tool pulverized among the population as a whole. It has become indispensable in people's lives and can take on various roles ranging from simple research to a bank transaction. As a basic principle, security must be taken into account in such a common and public network for order to exist. Network security is therefore a very important factor when it comes to data integrity that is of paramount importance in organizations seeking their profits through new business opportunities using the availability, flexibility, and ease of computing resources. Like any other means of communication, we have some paradigms and problems to deal with the Internet. With regard to interoperability and free access to any individual, it should be borne in mind that security-related problems may arise, considering that various tasks carried out via the Internet are serious and often confidential procedures, this issue becomes something that deserves a study in order to prevent, mitigate and detect security breaches that compromise a system. It is even more critical when we have business opportunities arising purely in the digital world, that is, its success will depend a lot on a correct implementation of security, because when it perishes in some cases we can have a very large negative impact in a sector that deals specifically with these technologies leading the company to an undesirable outcome with regard to customer satisfaction. However, this course completion work will address some of the major and most used techniques and methods that act as true walls between your personal and confidential information, and the vast obscure world of the internet

Key-words: Open Source. Network security. Data security. Linux. Computer networks.

LISTA DE ABREVIATURAS E SIGLAS

ARPANET Advanced Research and Projects Agency

CGI Common Gateway Interface

CVS Concurrent Versions System

DdoS Distributed denial of service

DoS Denial of Service

FTP File Transfer Protocol

HIDS Host Intrusion Detection System

HIPS Host Intrusion Prevention System

HTTP Hyper Text Transfer Protocol

ICMP Internet Control Message Protocol

IDS Intrusion Detection System

IEC International Electrotechnical Commission

IMAP Internet Message Access Protocol

IP Internet Protocol

IPS Intrusion Prevention System

IRC Internet Relay Chat

ISSO International Organization for Standardization

LAN Local Area Network

LDAP Lightweight Directory Access Protocol

NASL Nessus Atack Scripting Language

NAT Network Address Translation

NBR Normal Brasileira

NFS Network File System

NIDS Network Intrusion Detection System

NIPS Network Intrusion Prevention System

NMAP Network Mapper

POP Post Office Protocol

RDP Remote Desktop Protocol

RST Reset

SAM Security Account Manager

SIP Session Initiation Protocol

SMTP Simple Mail Transfer Protocol

SOHO Small office/home office

SSH Secure Shell

TCP Transmission Control Protocol

TCP/IP Transmission Control Protocol/Internet Protocol

TTL Time to Live

UDP User Datagram Protocol

VLAN Virtual Local Area Network

VNC Virtual Network Computing

VPN Virtual Private Network

XMPP Extensible Messaging and Presence Protocol

1 INTRODUÇÃO

O ser humano sempre teve a necessidade de contato interpessoal, seja profissionalmente através de empresas ou mesmo para socializar. Para isso sempre há recorrência a algum meio de comunicação e estes tem evoluído constantemente com o passar dos anos, o mais procurado é a Internet, acredito que seja devido a sua facilidade de uso e a grande quantidade de informações oferecidas, ou seja, pode-se desde simplesmente navegar a procura de noticias até mesmo efetuar transações bancárias ou até fazer uma ligação telefônica com tanta qualidade quanto à telefonia convencional. Deve levar em conta também que a Internet oferece o nível de inter conectividade e interação mais alto que outros meios possam oferecer, ou seja, é possível uma comunicação extremamente interativa em qualquer lugar a qualquer hora sobre qualquer circunstancia, basta obter acesso a rede que qualquer um pode usá-la. A internet surgiu a nos períodos áureos da Guerra Fria. Na década de 1960, quando dois blocos ideológicos e politicamente antagônicos exerciam enorme controle e influência no mundo, qualquer mecanismo, qualquer inovação, qualquer ferramenta nova poderia contribuir nessa disputa liderada pela União Soviética e pelos Estados Unidos: as duas superpotências compreendiam a eficácia e necessidade absoluta dos meios de comunicação. Nessa época ela se chamava ARPANET que funcionava através de um sistema conhecido como chaveamento de pacotes, que é um sistema de transmissão de dados em rede de computadores no qual as informações são divididas em pequenos pacotes, que por sua vez contém trecho dos dados, o endereço do destinatário e informações que permitiam a remontagem da mensagem original. A seguinte pesquisa se justifica, quando se fala de segurança na Internet ou segurança da Informação deve ter em mente três termos: Confiabilidade, integridade e disponibilidade. Estes termos orientam e garantem os serviços via internet como livres de falhas, ou seja, para que um sistema operado via internet seja viável é preciso que as informações cheguem de forma integra e confiável. Este padrão é vital quando leva-se em consideração que os pacotes viajam por muitos equipamentos e caminhos diferentes e estão sujeitos a situações inesperadas, mas se todos os meios envolvidos foram preparados de acordo com os padrões, os resultados serão bem promissores e as expectativas serão atendidas.

Apesar de ser um assunto relevante não são todas as empresas que tem serviços exclusivos para monitoramento e segurança de seu patrimônio virtual por vários motivos tais como falta de profissionais qualificados a lidar com estes aspectos. Mas com certeza o principal é com relação ao custo de uma solução como essa pode ser extremamente elevada, dependendo dos fatores envolvidos, que muitas vezes podem inviabilizar o projeto. O que muitos não sabem é que ter alternativas excelntes quanto às originais que pertencem a uma filosofia diferente para licenciamento de software chamado open source (código aberto) que consiste basicamente em utilizar os melhores softwares para qualquer objetivo sem nenhum custo por licença. Neste contexto surge a problemática, de como compreender as soluções para segurança de redes em que as mesmas são complexas, ainda mais as de natureza open source devido a falta de qualificação profissional e suporte para tal? O objetivo geral deste trabalho é detalhar os principais métodos, técnicas e ferramentas para solução abrangente e funcional para proteção de um ambiente de rede que tem acesso entrante da internet utilizando ferramentas Open source (Código aberto) tornando uma rede desse tipo mais segura e pró-ativa a ataques. Para isso o trabalho seguirá os seguintes objetivos específicos que serão aprofundados no decorrer dos capítulos:  Conceituar sobre segurança da informação em redes de computadores  Conhecer e avaliar possíveis falhas de segurança em aplicações que são acessadas por usuários da Internet.  Identificar um incidente ocorrido e as ações que foram tomadas. A metodologia desse trabalho tem como principal motivo a revisão da literatura, uma pesquisa quantitativa e descritiva. Uma pesquisa descritiva, utilizada para descrever o impacto das invasões que podem ocorrer nos acessos à internet através dos dispositivos. Foram utilizadas as pesquisas bibliográficas e documentais para o levantamento e análise de dados. Foram utilizados os autores Nakamura para a conceituação sobre segurança em ambientes corporativos; Virgílio Fiorese para conceituação de segurança de redes. Foram utilizados trabalhos publicados nos últimos 15 anos, livros de autores renomados na área acadêmica e sites na área de tecnologia e documentos publicados. Palavras chaves: acesso à internet, rede de computadores, invasores, ataques, segurança da informação.

sistemas conceitualmente seguros, é motivo de muitas controvérsias. Uma delas é que as empresas têm foco exclusivamente nas vendas sendo assim tempo de desenvolvimento é primordial. Outra razão é que as metodologias para desenvolvimento dos softwares ainda não são difundidas o suficiente para sua adoção. (NAKAMURA, et al 2007) Ataques exploram brechas em qualquer dos níveis relacionados à proteção da informação. Para um hacker é suficiente que ele explore apenas uma 'brecha' em um desses níveis, que o acesso a informação possa ser conseguido. Assim, a própria natureza faz com que o trabalho do hacker seja mais simples, pois pra ele basta encontrar uma brecha, já o profissional de segurança precisa encontrar todas as possíveis e fechá-las.

2.1.1 Perfis de invasores

Os script kiddies são atacantes inexperientes com ferramentas e scripts na mão. Esses atacantes realmente não entendem o que estão atacando, mas possuem ferramentas preparadas por indivíduos que entendem. Estas ferramentas, combinadas com o fato de o defensor não fechar aberturas mais comuns, resultam em uma invasão. É realmente preocupante analisar do ponto de vista do alvo, pois se o sistema de segurança foi quebrado por um indivíduo completamente inexperiente, provavelmente serão catastróficas as conseqüências com alguém com reais más intenções. (CIAMPA, 2000) Cyberpunks se dedicam as invasões de sistemas por puro divertimento e desafio. Eles têm muito conhecimento técnico e são paranóicos quanto a privacidade de seus dados, o que faz todos seus procedimentos computacionais serem protegidos por criptografia. Geralmente eles encontram vulnerabilidades nos sistemas e prestam favores as organizações comunicando-as sobre as falhas. (NAKAMURA, et al 2007) Insiders podem ser a causa de catástrofes para organizações. Geralmente são funcionários descontentes com seu trabalho que sentem que suas funções estão subestimadas. Normalmente manipulado por concorrentes estes funcionários podem roubar informações internas das mais variadas maneiras colocando em risco segredos industriais, código-fonte de programas proprietários causando um prejuízo muitas vezes inestimável. (NAKAMURA, et al 2007)

Coders são hackers que preferem compartilhar seus conhecimentos escrevendo livros, ministrando palestras, cursos e seminários sobre suas habilidades. (NAKAMURA, et al 2007)

2.1.2 Tipos de ataques

Na sequência será apresentado uma diversidade de ataques que ocorrem nas redes de acesso à internet e as com consequências de cada.

2.1.2.1 IP Spoofing

IP Spoofing consistem em uma técnica no qual o endereço real do atacante é mascarado, evitando qualquer tipo de rastreamento que leve até ele. É uma técnica muito utilizada nos ataques do tipo DoS, nos quais pacotes de resposta não são necessários. O IP Spoffing não permite que as respostas sejam obtidas, pois esses pacotes são direcionados para o endereço IP fictício e não para o IP real do atacante. Para que o mascaramento funcione perfeitamente é preciso combinar algumas outras técnicas que incluem re-roteamento de pacotes na rede para que eles se percam e nunca levem a origem real. (NAKAMURA, et al 2007)

2.1.2.2 Sniffing

Também conhecido como passive eavesdropping, este tipo de ataque consiste em capturar informações valiosas diretamente pelo fluxo de dados na rede. Diversos softwares podem ser usados para essa finalidade inclusive o tcpdump. Dentre os principais dados que podem ser capturados destacam-se alguns tipos de senha que trafegam abertamente pela rede, como as de serviço FTP, Telnet e POP. E-mails também podem perder sua privacidade utilizando sniffers. Um exemplo de mitigação muito funcional para esse tipo de ataque é a divisão de uma LAN em LANS virtuais (VLANS). Basicamente fechar a rede em segmentos impedindo que os pacotes transitem por toda a rede. A utilização de criptografia também é muito importante para a prevenção da perda de sigilo por sniffing. (NAKAMURA, et al

permitir acesso rápido durante o desenvolvimento e não desativado antes da liberação.  Parte normal da instalação “padrão” dos sistemas operacionais não foi eliminada por “Hardening de Sistema Operacional”, como manter as combinações padrão de usuário e senha para acesso.  Criado pela execução de código malicioso, como um vírus ou cavalo de Tróia que tira vantagem da vulnerabilidade de um sistema operacional ou aplicativo.

Estes são os tipos mais comuns de vulnerabilidades que podem ser encontradas nos sistemas que podem ser possíveis alvos de ataques. A mais efetiva maneira de mitigar essas situações é conhecendo o software e nunca abandonar qualquer tipo de configuração que possa comprometer o sistema. (THOMAS, 2007)

2.1.2.6 Firewalking

É uma técnica implementada em uma ferramenta similar ao traceroute e pode ser utilizada para obter informações de uma rede protegida por um firewall. Ela permite que pacotes passem por portas em um gateway, além de determinar se um pacote com varias informações de controle pode passar pelo gateway. É possível também mapear roteadores encontrados antes do firewall. (NAKAMURA, et al 2007) O firewalking funciona porque os pacotes IP contem um campo que os impede de serem enviados para sempre pela rede. Este campo é conhecido como Time-To- Live(TTL). Quando este campo chega a zero, o pacote é descartado. No firewalking esse campo é definido para um valor que permita ao pacote ficar além do firewall e então ser descartado por um host ou dispositivo depois do firewall. O que faz isso ocorrer é que o valor TTL é uma das primeiras coisas verificadas, se esse valor for zero, um dispositivo envia o pacote de volta reconhecendo que ele foi descartado sem que o pacote original jamais tenha sido processado. (THOMAS, 2007).

3 FUNDAMENTOS SOBRE SEGURANÇA DA INFORMAÇÃO

As premissas de segurança de informação para uma organização passaram por algumas mudanças em anos anteriores. Antes do uso de equipamentos para informatizar a maioria das tarefas, as empresas praticavam segurança de informação por meio físico que consistia basicamente no uso de armários robustos com uma fechadura com segredo para armazenar as informações consideradas confidenciais. Com o ingresso dos microcomputadores, que trouxe muitas facilidades principalmente no que diz respeito ao manuseio das informações, tornou-se eminente a necessidade de outros tipos de ferramentas para segurança mais especificas com objetivo de proteger arquivos e informações armazenadas no computador. A necessidade se torna ainda mais séria e imponente quando utiliza-se sistemas que podem ser compartilhados e acessados por qualquer um com um dispositivo com acesso à rede, seja dentro de um ambiente tratado como local ou sobre a internet. A definição de segurança da informação é dívida em algumas propriedades que devem ser consideradas integralmente para planejamento de um projeto seguro e integro. Estas são confidencialidade, integridade, disponibilidade e autenticidade. Estes termos orientam e garantem os serviços via internet como livres de falhas, ou seja, para que um sistema operado via internet seja viável é preciso que as informações cheguem de forma integra e confiável. Este padrão é vital quando leva- se em consideração que os pacotes viajam por muitos equipamentos e caminhos diferentes e estão sujeitos a situações inesperadas, mas se todos os meios envolvidos foram preparados de acordo com os padrões, os resultados serão bem promissores e as expectativas serão atendidas. Confidencialidade diz respeito à restrição de pessoas autorizadas a acessar determinadas informações, ou seja, as informações consideradas confidenciais só podem ser acessadas por pessoas que estão autorizadas a fazê-lo, como por exemplo as contas bancárias, ninguém pode acessá-las a não ser o dono ou alguém autorizado. Integridade é a garantia de que as informações continuem originais e livres de alterações feitas sem autorização durante o trajeto sobre diferentes sistemas de comunicação.

 Manutenção dos equipamentos  Segurança de equipamentos fora das instalações  Reutilização e alienação segura dos equipamentos  Controles gerais  Política de mesa limpa e tela limpa  Remoção de propriedade

3.2 SEGURANÇA LÓGICA

A respeito de segurança lógica ter algumas diferenças, pois proteger algo que não é material ou palpável. Como tratar um ambiente virtual às ferramentas para segurança consistem em softwares desenvolvidos especialmente para determinadas tarefas que tem como objetivo proteger informações de um sistema computacional e os equipamentos envolvidos. Existem muitas ferramentas para o empenho dessas tarefas, apresentarei alguns dos principais utilizados pelas corporações atualmente.

3.3 FIREWALL

Ultimamente ter a internet como um grande recurso utilizado pelas empresas para comércio eletrônico, marketing e etc. Mas um problema em potencial é que a Internet e a Web são extremamente vulneráveis a riscos de vários tipos. À medida que as empresas percebem essa realidade, a demanda por segurança aumenta. (STALLINGS, 2008) Um firewall é um dispositivo de segurança que se situa no limite da sua conexão com a Internet e funciona análogo a um oficial de segurança de fronteiras. Ele olha constantemente todo o trafego entrando e saindo da sua conexão, esperando por trafego que ele possa bloquear ou rejeitar em resposta a uma regra estabelecida. O firewall é a lei e proteção interna perante a rede global sem lei. Sua principal missão é proteger a rede interna de qualquer invasor que tente uma conexão não permitida. (THOMAS, 2007) Por definição os firewalls são ferramentas que fornecem filtros para pacotes de entrada e saída de uma rede para as outras. Muitos firewalls atuam sobre duas funções de segurança básicas:

 Filtragem de pacotes: Baseado em políticas de aceitar ou negar que são definidas por regras da política de segurança implantada.  Gateways e proxys que fornecem serviços para os usuários internos ao mesmo tempo em que protege cada indivíduo de usuários mal- intencionados de fora da rede. (KIZZA, 2009)  Ao negar um pacote, o firewall tem como padrão descartá-lo. Em dispositivos modernos, os firewalls constroem relatórios com informações interessantes sobre os pacotes descartados que permite uma melhor analise do fluxo de dados da rede. (KIZZA, 2009)

3.4 TIPOS DE FIREWALLS

Firewalls são muito utilizados por oferecer serviços de segurança de redes. Isto resulta em uma utilização em larga escala. Basicamente para entender os diferentes tipos de firewalls, é preciso verificar os tipos de serviços que eles oferecem nas diferentes camadas da pilha TCP/IP.

O primeiro tipo de firewall conhecido é o de stateful packet inspection. Este tipo de firewall usa uma lista de regras para determinar o que encaminhar ou bloquear. Um firewall de inspeção de pacotes pode ser um microcomputador comum com várias interfaces de rede ou um appliance sofisticado com software e hardware preparados para a função. O segundo tipo é o Proxy server. Este consiste em aplicativos específicos e deamons que provem autenticação e encaminhamento dos pacotes. O terceiro é um firewall com autenticação e virtual private networks (VPN). Uma VPN é um link completamente criptografado que utiliza a rede pública (Internet) para transitar. O quarto tipo é o small office ou home office (SOHO) firewall, o quinto é um para tradução de pacotes (NAT). (KIZZA, 2009).

3.5 SISTEMA PARA DETECÇÃO E PREVENÇÃO DE INTRUSOS (IDS E IPS)

Sempre se volta à premissa de que uma rede deve ser protegida, seja por seus documentos sigilosos ou por prudência. É fato de que não importa o quanto de