ANÁLISE DE RISCO E SUA INFLUÊNCIA NAS TOPOLOGIAS DAS REDES DE COMPUTADORES

Prof. Antônio João de Arruda Cebalho

1- LEVANTAMENTO DOS RISCOS1- LEVANTAMENTO DOS RISCOS

OBJETIVO:

DELIMITAR O ESCOPORELACIONAR TUDO QUE PRECISA SER PROTEGIDO

FAZER O INVENTÁRIO DOS ATIVOS (dentro do escopo delimitado)

IDENTIFICAR VULNERABILIDADES E AMEAÇAS EXISTENTES (dentro do escopo delimitado)

IDENTIFICAR OS RISCOS PARA O NEGÓCIO DA ORGANIZAÇÃO (MATRIZ DE RISCO)

AVALIAR AÇÕES A EXECUTAR PARA PROTEGER OS BENS DA EMPRESA

1- CLASSIFICANDO OS ATIVOS1- CLASSIFICANDO OS ATIVOS1.1- PROCURAR SEMPRE IDENTIFICAR OS TIPOS DE AMEAÇAS AOS

PILARES DE SEGURANÇA QUE NECESSITAM SER PRESERVADOS:

INTEGRIDADEDE QUE FORMA (S) A INFORMAÇÃO PODE SER CORROMPIDA?

CONFIDENCIALIDADE SÓ QUEM DEVE ACESSAR UMA DETERMINADA INFORMAÇÃO ESTA ACESSANDO-A?

DISPONIBILIDADEA INFORMAÇÃO SEMPRE PRECISA ESTAR DISPONÍVEL?ELA ESTA?O QUE PODE IMPEDIR A DISPONIBILIDADE?

4

Adianta proteger só um dos 3 pilares?Adianta proteger só um dos 3 pilares?

ATIVO PARCIALMENTE ROUBADO

55

2- ANÁLISE DE VULNERABILIDADES E RISCOS2- ANÁLISE DE VULNERABILIDADES E RISCOS

2.1- AMBITOS DE ANÁLISE DE RISCOS

OS RISCOS PODEM SER CLASSIFICADOS QUANTO A QUATRO CENÁRIOS OU AMBITOS:

AMBITO TECNOLÓGICO (HARDWARE E SOFTWARE)

AMBITO HUMANO (PERFIL DE ACESSO, FUNÇÕES)

AMBITO PROCESSUAL

AMBITO FÍSICO

2.2- ANÁLISE DE RISCO

2.2.1- AMBITO TECNOLÓGICO:

CONHECER AS CONFIGURAÇÕES, A DISPOSIÇÃO (TOPOLOGICA DOS ATIVOS);

LEVANTAR QUAL É A IMPORTÂNCIA DOS ATIVOS PARA A EMPRESA (CRITICIDADE);

ESCOPO A CONSIDERAR:

APLICAÇÕES (SISTEMAS, PLATAFORMAS, SOs , SOFTWARES INSTALADOS, BANCO DE DADOS, etc…) E SEUS SERVIÇOS E PROTOCOLOS;

EQUIPAMENTOS (COMPUTADORES SERVIDORES, ROTEADORES, SWITCHES, RAS, MODENS-ROUTERS, TELEFONES IPs ETC…);

TOPOLOGIAS DAS REDES (INTRANET , EXTRANET (com outras organizações), INTERNET, DMZs);

TECNOLOGIAS DE FIREWALL, HONEYPOTS, IDS, IPS;

SWITCHS

AP- ACCESS-POINTS ESTAÇÃO

DE TRABALHO

SERVIDORES DE REDE

LINUX EDUCACIONAL

SISTEMAS

QUADRO DE ENERGIADA REDE

SEGURANÇA DAS INFORMAÇÕES

ESTRATÉGIA DE DEFESA EM PROFUNDIDADE ADOTADAESTRATÉGIA DE DEFESA EM PROFUNDIDADE ADOTADA

DEFESA EM PERÍMETRO

DEFESA DE REDE

DEFESA DE HOST

DEFESA DE APLICAÇÕES

DADOS E PESQUISAS

DEFESA EM PERÍMETRO

DEFESA DE REDE

DEFESA DE HOST

DEFESA DE APLICAÇÕES

DADOS E PESQUISASData & Resources

Application Defenses

Host Defenses

Network Defenses

Perimeter Defenses

Assu

me

Prio

r La

yers

Fai

l

SEGURANÇA DAS INFORMAÇÕES

TECNOLOGIAS DE FILTRAGEM DE PACOTESTECNOLOGIAS DE FILTRAGEM DE PACOTES

TIPO 1: Filtragem por Dados:TIPO 1: Filtragem por Dados: IP de origemIP de origem IP de destinoIP de destino ID de protocolo IPID de protocolo IP Numero de portas TCP e UDPNumero de portas TCP e UDP Flags de FragmentaçãoFlags de Fragmentação Configuração das opções do IPConfiguração das opções do IP

FILTRO DE PACOTESFILTRO DE PACOTES

TIPO 2: ICMPTIPO 2: ICMPEcho RequestEcho RequestEcho ReplyEcho ReplyTTL Exceeded and Destination TTL Exceeded and Destination

UnreachableUnreachable

TIPO 3: FILTRO DE PACOTESTIPO 3: FILTRO DE PACOTES

Fragmentos:Fragmentos:

NETWORK ADDRESS TRANSLATION (NAT)NETWORK ADDRESS TRANSLATION (NAT)

IP => 32 bits! Maximo 4 bilhões de IP => 32 bits! Maximo 4 bilhões de números. números.

IP privado IP privado IP publico IP publico

FIREWALLFIREWALL

Características mais comuns:Características mais comuns:1.1. Bloqueia o recebimento de dados baseado em Bloqueia o recebimento de dados baseado em

uma fonte ou destinouma fonte ou destino

2.2. Bloqueia o acesso a dados baseado em uma Bloqueia o acesso a dados baseado em uma fonte ou destinofonte ou destino

3.3. Bloquear dados baseado em conteúdoBloquear dados baseado em conteúdo

4.4. Permite conexões com uma rede internaPermite conexões com uma rede interna

5.5. Reporta o tráfego na rede e as atividades do Reporta o tráfego na rede e as atividades do FirewallFirewall

ENTENDENDO O BÁSICO DE UM FIREWALLENTENDENDO O BÁSICO DE UM FIREWALL

1. Deny network traffic on all IP ports.1. Deny network traffic on all IP ports. 2. Except, allow network traffic on 2. Except, allow network traffic on

port 80 (HTTP).port 80 (HTTP). 3. Except, from all HTTP traffic, deny 3. Except, from all HTTP traffic, deny

HTTP video content.HTTP video content. 4. Except, allow HTTP video content 4. Except, allow HTTP video content

for members of the Trainers group.for members of the Trainers group. 5. Except, deny Trainers to download 5. Except, deny Trainers to download

HTTP video content at night.HTTP video content at night.

PROXY DE APLICAÇÃOPROXY DE APLICAÇÃO

Elaborada versão de Filtragem de Elaborada versão de Filtragem de pacotespacotes

Não inspeciona somente o cabeçalho, e Não inspeciona somente o cabeçalho, e sim uma parte de aplicação inteira de um sim uma parte de aplicação inteira de um pacotepacote

Gera novamente pacotes antes de enviar Gera novamente pacotes antes de enviar ao servidor de internet ou de responder ao servidor de internet ou de responder ao computador remoto.ao computador remoto.

17

IDS DE REDE

Rede NIDS. Fonte: CASWELL et al., 2003, p. 4.

HONEYPOTHONEYPOT

Honeypot significa “pote de mel” é um recurso de segurança criado para ser sondado, atacado e comprometido.

HONEYPOTHONEYPOT

Honeypot é um único sistema conectado a uma rede de produção.

O Honeypot pode ser uma máquina emulada ou uma máquina real na rede.

TIPOS DE HONEYPOTTIPOS DE HONEYPOT

Honeypot de produção: Servem para distrair atividades maliciosas de máquinas da rede ou como mecanismo de alerta na rede de computadores.

Honeypot de pesquisa: Servem para monitorar e estudar os comportamento dos atacantes.

FINALIDADES DOS HONEYPOTSFINALIDADES DOS HONEYPOTS

Coleta de códigos maliciososIdentificar varreduras e ataquesAcompanhamento das vulnerabilidadesDescobrir as motivações dos atacantesAuxílio aos sistemas de detecção de

intrusãoManter atacantes afastados de sistemas

importantes

HONEYNET CLÁSSICAHONEYNET CLÁSSICA

HONEYNET CLÁSSICAHONEYNET CLÁSSICA

Vantagens:– Dispositivos reais; – Mais segurança pela descentralização dos

honeypots

Desvantagens:– Custo elevado; – Dificuldades na instalação e administração;– Complexidade para manutenção;– Espaço alocado muito grande;

TIPOS DE HONEYNETSTIPOS DE HONEYNETS

VirtualVirtual::– Composta por Honeypots virtuais (máquinas

virtuais);

– Uso de emuladores;

– Todo ambiente composto por uma única máquina (sistemas operacionais emulados)

09/06/2004 BSI 350

HONEYNET VIRTUALHONEYNET VIRTUAL

09/06/2004 BSI 350

09/06/2004 BSI 350

SPECTER CONTROLCOMO ELE TRABALHA?

UM SISTEMA SPECTER consiste de um PC dedicado e o software SPECTER.

Ele é conectado a uma rede, onde ataques são esperados. Isto usualmente significa conectá-lo próximo do ponto de acesso à Internet, tipicamente na DMZ, mas ele pode ser conectado diretamente na Internet. SPECTER pode também ser instalado nas redes internas para descobrir atividades maliciosas originárias de dentro da organização, ou para detectar brechas de segurança.

Outra possibilidade interessante é instalar o SPECTER numa máquina de produção tal como o servidor de correio. Neste cenário, o serviço e SMTP é real enquanto todos os outros serviços da rede na máquina são simulados pelo SPECTER. Se um atacante olhar ou entrar na máquina, ele irá se conectar a um dos serviços que estão sendo simulados.

2.2- ANÁLISE DE RISCO

2.2.2- AMBITO HUMANO:

CONSISTE EM LEVANTAR COMO AS PESSOAS SE RELACIONAM COM OS ATIVOS.

ENVOLVE:

TIPOS DE NÍVEL DE ACESSO DAS PESSOAS NA REDE OU NAS APLICAÇÕES (RESTRIÇÕES, PERMISSÕES, PERFIL) OU EM AMBIENTES DA ORGANIZAÇÃO;

TIPOS DE NÍVEL DE FORMAÇÃO/CAPACITAÇÃO QUE AS PESSOAS PRECISAM TER;

FERRAMENTAS/SOFTWARES QUE OS USUÁRIOS UTILIZAM NA REDE;

TIPOS DE VULNERABILIDADES USUÁRIOS/ORGANIZAÇÃO;

MONITORAMENTO DO PADRÃO DE VIDA;

2.2- ANÁLISE DE RISCO

2.2.2- AMBITO HUMANO:

O USO DE LOGS, E SISTEMAS DE CONTROLE DE ACESSO, CONTROLE DE ASSIDUIDADE, SISTEMA DE CFTV, FERRAMENTAS DE GERENCIAMENTO DE PRODUTIVIDADE DO USUÁRIO, FERRAMENTAS DE USO DE SOFTWARE PELOS USUÁRIOS, FILTROS DE CONTEÚDO WEB, AUXILIAM NESSE LEVANTAMENTO.

EXEMPLOS DE ALGUMAS AMEAÇAS HUMANAS:

ACESSOS INDEVIDOS;FURTO DE INFORMAÇÕES;FRAUDE ELETRÔNICA E FALSIFICAÇÃO DE IDENTIDADE ;DANO AOS DADOS E INFORMAÇÕES ARQUIVADAS ;ESPIONAGEM PARA OBTENÇÃO DE SEGREDOS INDUSTRIAIS/COMERCIAIS;CÓPIAS NÃO AUTORIZADAS DE ARQUIVOS E PROGRAMA ;VIOLAÇÃO DO DIREITO AUTORAL ;INTERCEPTAÇÃO INDEVIDA DE INFORMAÇÃO;VIOLAÇÃO DE BASES DE DADOS PESSOAIS;EXPOSIÇÃO DA MARCA ASSOCIADA A CONTEÚDO OFENSIVO OU FALSO EM CHAT, NEWSGROUP, MESSAGING, PEER-TO-PEER NETWORK, STREAMING MIDIA, E-MAIL, WEBSITE, HOTSITE;“SUCKS” SITES – FRUSTRAÇÃO DO CONSUMIDOR – ATUALMENTE TAMBÉM EM COMUNIDADES, BLOGS, FOTOLOGS, FORUMSPIRATARIA – DE MARCA, TEXTO, AUDIO, VIDEO, MUSICA, SOFTWAREPORNOGRAFIA – 300.000 DOMÍNIOS MAIS VISITADOS DA WEB NO MUNDO CONTÉM PORNOGRAFIA (CASE ZIPPO, SEXDISNEY.COM)

PLANEJAMENTO DOS ACESSOSPROTEÇÃO POR ESTRUTURA DE DIRETÓRIOS EM

ÁRVORE

Diretório Raiz

DIREITOS DE ACESSO

Acesso Descrição

Leitura Qualquer tipo de operação em que o arquivo possa ser visualizado, como a exibição de seu conteúdo, edição ou cópia de um novo arquivo

Gravação Alteração no conteúdo do arquivo, como inclusão ou alteração de registros.

Execução Associado a arquivos executáveis ou arquivos de comandos, indicando o direito de execução do arquivo.

Eliminação Permissão para se eliminar um arquivo.

PROTEÇÃO POR GRUPO DE USUÁRIOS

dados.txt

Nível de proteção

Tipo de Acesso

Owner

(dono do grupo)

Leitura

Escrita

Execução

Eliminação

Group Leitura

All --

PROTEÇÃO POR LISTA DE CONTROLE DE ACESSO

Usuário: LaureanoAcesso: leitura + escrita + execução

Usuário: MazieroAcesso: eliminação

Usuário: LaureanoAcesso: leitura + escrita

Usuário: MazieroAcesso: leitura

2.2- ANÁLISE DE RISCO

2.2.3- AMBITO PROCESSUAL:

CONSISTE EM ANALISAR O FLUXO DAS INFORMAÇÕES E COMO ELAS TRAFEGAM DE UMA ÁREA PARA OUTRA DENTRO DA ORGANIZAÇÃO.

O FÓCO É LEVANTAR O TIPO DE USUÁRIO E A INFORMAÇÃO (MAPEAMENTO USUÁRIO X INFORMAÇÃO).

ESTE TIPO DE LEVANTAMENTO É TRABALHOSO E REQUER PESSOAL DEDICADO.

2.2.4- AMBITO FÍSICO:

CONSISTE EM IDENTIFICAR AS VULNERABILIDADES FÍSICAS QUE POSSAM TRAZER ALGUM PREJUÍZO À INFORMAÇÃO E A TODOS OS DEMAIS ATIVOS.

SERVICE CENTER

Sistema anti incendios de gas.(piso elevado, telas, ...)

Sensores de movimento

Vídeo-vigilancia

Monitorização de sistemas

Condições ambientaisReguladas com climatizaçãoredundante

Sistemas de segurança dede entrada e saída

Vigilantes jurados

Racks reforçados

No-breaks e geradoreseléctricos duplicados

Alarmes de intrusão

IMPROVIZAÇÃONÃO RECOMENDADA

TIPOS DE ARQUITETURAS DE ENFRIAMIENTORECOMENDADAS

Por sala

Por rack

Por fila

SOLUÇÕES EM AUTOMAÇÃO

CFTV E ANÁLISE INTELIGENTE DE IMAGENSsistemas digitais de cftv (transmissão através de redes ip, wireless);sistemas especiais para monitoramento de processos industriais e processos de segurança;sistemas inteligentes de análise de imagem (contagem de pessoas, reconhecimento de caracteres, outros); monitoramento de grandes áreas

AUTOMAÇÃO DOS PROCESSOS E UTILIDADES PREDIAL E INDUSTRIAL

integração de soluções através de uma central de supervisão única:

sistemas de ar condicionado; sistemas de iluminação; sistemas hidráulicos; sistemas de energia; elevadores

SOLUÇÕES EM AUTOMAÇÃO

DETECÇÃO E ALARME DE INTRUSÃOmonitoramento e alarme de áreas internas (detectores de movimento, sensores de quebra de vidro, sensores de contato para portas e janelas, teclados, dispositivos sem fio); monitoramento e alarme de áreas externas (radares, sensores de infra vermelho ativo, sensores de microondas, cabos microfônicos, sensores óticos, sistemas de vídeo inteligente, cabos poticos)

SONORIZAÇÃO AMBIENTE E DE EMERGÊNCIA sistemas digitais com transmissão via rede ethernet (ip); integração com sistemas de alarme de incêndio, controle de acessos e ativos e detecção de intrusão (emergência); integração com sistemas de vídeo