Post on 08-Apr-2015
description
ANÁLISE DE RISCO E SUA INFLUÊNCIA NAS TOPOLOGIAS DAS REDES DE COMPUTADORES
Prof. Antônio João de Arruda Cebalho
1- LEVANTAMENTO DOS RISCOS1- LEVANTAMENTO DOS RISCOS
OBJETIVO:
DELIMITAR O ESCOPORELACIONAR TUDO QUE PRECISA SER PROTEGIDO
FAZER O INVENTÁRIO DOS ATIVOS (dentro do escopo delimitado)
IDENTIFICAR VULNERABILIDADES E AMEAÇAS EXISTENTES (dentro do escopo delimitado)
IDENTIFICAR OS RISCOS PARA O NEGÓCIO DA ORGANIZAÇÃO (MATRIZ DE RISCO)
AVALIAR AÇÕES A EXECUTAR PARA PROTEGER OS BENS DA EMPRESA
1- CLASSIFICANDO OS ATIVOS1- CLASSIFICANDO OS ATIVOS1.1- PROCURAR SEMPRE IDENTIFICAR OS TIPOS DE AMEAÇAS AOS
PILARES DE SEGURANÇA QUE NECESSITAM SER PRESERVADOS:
INTEGRIDADEDE QUE FORMA (S) A INFORMAÇÃO PODE SER CORROMPIDA?
CONFIDENCIALIDADE SÓ QUEM DEVE ACESSAR UMA DETERMINADA INFORMAÇÃO ESTA ACESSANDO-A?
DISPONIBILIDADEA INFORMAÇÃO SEMPRE PRECISA ESTAR DISPONÍVEL?ELA ESTA?O QUE PODE IMPEDIR A DISPONIBILIDADE?
4
Adianta proteger só um dos 3 pilares?Adianta proteger só um dos 3 pilares?
ATIVO PARCIALMENTE ROUBADO
55
2- ANÁLISE DE VULNERABILIDADES E RISCOS2- ANÁLISE DE VULNERABILIDADES E RISCOS
2.1- AMBITOS DE ANÁLISE DE RISCOS
OS RISCOS PODEM SER CLASSIFICADOS QUANTO A QUATRO CENÁRIOS OU AMBITOS:
AMBITO TECNOLÓGICO (HARDWARE E SOFTWARE)
AMBITO HUMANO (PERFIL DE ACESSO, FUNÇÕES)
AMBITO PROCESSUAL
AMBITO FÍSICO
2.2- ANÁLISE DE RISCO
2.2.1- AMBITO TECNOLÓGICO:
CONHECER AS CONFIGURAÇÕES, A DISPOSIÇÃO (TOPOLOGICA DOS ATIVOS);
LEVANTAR QUAL É A IMPORTÂNCIA DOS ATIVOS PARA A EMPRESA (CRITICIDADE);
ESCOPO A CONSIDERAR:
APLICAÇÕES (SISTEMAS, PLATAFORMAS, SOs , SOFTWARES INSTALADOS, BANCO DE DADOS, etc…) E SEUS SERVIÇOS E PROTOCOLOS;
EQUIPAMENTOS (COMPUTADORES SERVIDORES, ROTEADORES, SWITCHES, RAS, MODENS-ROUTERS, TELEFONES IPs ETC…);
TOPOLOGIAS DAS REDES (INTRANET , EXTRANET (com outras organizações), INTERNET, DMZs);
TECNOLOGIAS DE FIREWALL, HONEYPOTS, IDS, IPS;
SWITCHS
AP- ACCESS-POINTS ESTAÇÃO
DE TRABALHO
SERVIDORES DE REDE
LINUX EDUCACIONAL
SISTEMAS
QUADRO DE ENERGIADA REDE
SEGURANÇA DAS INFORMAÇÕES
ESTRATÉGIA DE DEFESA EM PROFUNDIDADE ADOTADAESTRATÉGIA DE DEFESA EM PROFUNDIDADE ADOTADA
DEFESA EM PERÍMETRO
DEFESA DE REDE
DEFESA DE HOST
DEFESA DE APLICAÇÕES
DADOS E PESQUISAS
DEFESA EM PERÍMETRO
DEFESA DE REDE
DEFESA DE HOST
DEFESA DE APLICAÇÕES
DADOS E PESQUISASData & Resources
Application Defenses
Host Defenses
Network Defenses
Perimeter Defenses
Assu
me
Prio
r La
yers
Fai
l
SEGURANÇA DAS INFORMAÇÕES
TECNOLOGIAS DE FILTRAGEM DE PACOTESTECNOLOGIAS DE FILTRAGEM DE PACOTES
TIPO 1: Filtragem por Dados:TIPO 1: Filtragem por Dados: IP de origemIP de origem IP de destinoIP de destino ID de protocolo IPID de protocolo IP Numero de portas TCP e UDPNumero de portas TCP e UDP Flags de FragmentaçãoFlags de Fragmentação Configuração das opções do IPConfiguração das opções do IP
FILTRO DE PACOTESFILTRO DE PACOTES
TIPO 2: ICMPTIPO 2: ICMPEcho RequestEcho RequestEcho ReplyEcho ReplyTTL Exceeded and Destination TTL Exceeded and Destination
UnreachableUnreachable
TIPO 3: FILTRO DE PACOTESTIPO 3: FILTRO DE PACOTES
Fragmentos:Fragmentos:
NETWORK ADDRESS TRANSLATION (NAT)NETWORK ADDRESS TRANSLATION (NAT)
IP => 32 bits! Maximo 4 bilhões de IP => 32 bits! Maximo 4 bilhões de números. números.
IP privado IP privado IP publico IP publico
FIREWALLFIREWALL
Características mais comuns:Características mais comuns:1.1. Bloqueia o recebimento de dados baseado em Bloqueia o recebimento de dados baseado em
uma fonte ou destinouma fonte ou destino
2.2. Bloqueia o acesso a dados baseado em uma Bloqueia o acesso a dados baseado em uma fonte ou destinofonte ou destino
3.3. Bloquear dados baseado em conteúdoBloquear dados baseado em conteúdo
4.4. Permite conexões com uma rede internaPermite conexões com uma rede interna
5.5. Reporta o tráfego na rede e as atividades do Reporta o tráfego na rede e as atividades do FirewallFirewall
ENTENDENDO O BÁSICO DE UM FIREWALLENTENDENDO O BÁSICO DE UM FIREWALL
1. Deny network traffic on all IP ports.1. Deny network traffic on all IP ports. 2. Except, allow network traffic on 2. Except, allow network traffic on
port 80 (HTTP).port 80 (HTTP). 3. Except, from all HTTP traffic, deny 3. Except, from all HTTP traffic, deny
HTTP video content.HTTP video content. 4. Except, allow HTTP video content 4. Except, allow HTTP video content
for members of the Trainers group.for members of the Trainers group. 5. Except, deny Trainers to download 5. Except, deny Trainers to download
HTTP video content at night.HTTP video content at night.
PROXY DE APLICAÇÃOPROXY DE APLICAÇÃO
Elaborada versão de Filtragem de Elaborada versão de Filtragem de pacotespacotes
Não inspeciona somente o cabeçalho, e Não inspeciona somente o cabeçalho, e sim uma parte de aplicação inteira de um sim uma parte de aplicação inteira de um pacotepacote
Gera novamente pacotes antes de enviar Gera novamente pacotes antes de enviar ao servidor de internet ou de responder ao servidor de internet ou de responder ao computador remoto.ao computador remoto.
17
IDS DE REDE
Rede NIDS. Fonte: CASWELL et al., 2003, p. 4.
HONEYPOTHONEYPOT
Honeypot significa “pote de mel” é um recurso de segurança criado para ser sondado, atacado e comprometido.
HONEYPOTHONEYPOT
Honeypot é um único sistema conectado a uma rede de produção.
O Honeypot pode ser uma máquina emulada ou uma máquina real na rede.
TIPOS DE HONEYPOTTIPOS DE HONEYPOT
Honeypot de produção: Servem para distrair atividades maliciosas de máquinas da rede ou como mecanismo de alerta na rede de computadores.
Honeypot de pesquisa: Servem para monitorar e estudar os comportamento dos atacantes.
FINALIDADES DOS HONEYPOTSFINALIDADES DOS HONEYPOTS
Coleta de códigos maliciososIdentificar varreduras e ataquesAcompanhamento das vulnerabilidadesDescobrir as motivações dos atacantesAuxílio aos sistemas de detecção de
intrusãoManter atacantes afastados de sistemas
importantes
HONEYNET CLÁSSICAHONEYNET CLÁSSICA
HONEYNET CLÁSSICAHONEYNET CLÁSSICA
Vantagens:– Dispositivos reais; – Mais segurança pela descentralização dos
honeypots
Desvantagens:– Custo elevado; – Dificuldades na instalação e administração;– Complexidade para manutenção;– Espaço alocado muito grande;
TIPOS DE HONEYNETSTIPOS DE HONEYNETS
VirtualVirtual::– Composta por Honeypots virtuais (máquinas
virtuais);
– Uso de emuladores;
– Todo ambiente composto por uma única máquina (sistemas operacionais emulados)
09/06/2004 BSI 350
HONEYNET VIRTUALHONEYNET VIRTUAL
09/06/2004 BSI 350
09/06/2004 BSI 350
SPECTER CONTROLCOMO ELE TRABALHA?
UM SISTEMA SPECTER consiste de um PC dedicado e o software SPECTER.
Ele é conectado a uma rede, onde ataques são esperados. Isto usualmente significa conectá-lo próximo do ponto de acesso à Internet, tipicamente na DMZ, mas ele pode ser conectado diretamente na Internet. SPECTER pode também ser instalado nas redes internas para descobrir atividades maliciosas originárias de dentro da organização, ou para detectar brechas de segurança.
Outra possibilidade interessante é instalar o SPECTER numa máquina de produção tal como o servidor de correio. Neste cenário, o serviço e SMTP é real enquanto todos os outros serviços da rede na máquina são simulados pelo SPECTER. Se um atacante olhar ou entrar na máquina, ele irá se conectar a um dos serviços que estão sendo simulados.
2.2- ANÁLISE DE RISCO
2.2.2- AMBITO HUMANO:
CONSISTE EM LEVANTAR COMO AS PESSOAS SE RELACIONAM COM OS ATIVOS.
ENVOLVE:
TIPOS DE NÍVEL DE ACESSO DAS PESSOAS NA REDE OU NAS APLICAÇÕES (RESTRIÇÕES, PERMISSÕES, PERFIL) OU EM AMBIENTES DA ORGANIZAÇÃO;
TIPOS DE NÍVEL DE FORMAÇÃO/CAPACITAÇÃO QUE AS PESSOAS PRECISAM TER;
FERRAMENTAS/SOFTWARES QUE OS USUÁRIOS UTILIZAM NA REDE;
TIPOS DE VULNERABILIDADES USUÁRIOS/ORGANIZAÇÃO;
MONITORAMENTO DO PADRÃO DE VIDA;
2.2- ANÁLISE DE RISCO
2.2.2- AMBITO HUMANO:
O USO DE LOGS, E SISTEMAS DE CONTROLE DE ACESSO, CONTROLE DE ASSIDUIDADE, SISTEMA DE CFTV, FERRAMENTAS DE GERENCIAMENTO DE PRODUTIVIDADE DO USUÁRIO, FERRAMENTAS DE USO DE SOFTWARE PELOS USUÁRIOS, FILTROS DE CONTEÚDO WEB, AUXILIAM NESSE LEVANTAMENTO.
EXEMPLOS DE ALGUMAS AMEAÇAS HUMANAS:
ACESSOS INDEVIDOS;FURTO DE INFORMAÇÕES;FRAUDE ELETRÔNICA E FALSIFICAÇÃO DE IDENTIDADE ;DANO AOS DADOS E INFORMAÇÕES ARQUIVADAS ;ESPIONAGEM PARA OBTENÇÃO DE SEGREDOS INDUSTRIAIS/COMERCIAIS;CÓPIAS NÃO AUTORIZADAS DE ARQUIVOS E PROGRAMA ;VIOLAÇÃO DO DIREITO AUTORAL ;INTERCEPTAÇÃO INDEVIDA DE INFORMAÇÃO;VIOLAÇÃO DE BASES DE DADOS PESSOAIS;EXPOSIÇÃO DA MARCA ASSOCIADA A CONTEÚDO OFENSIVO OU FALSO EM CHAT, NEWSGROUP, MESSAGING, PEER-TO-PEER NETWORK, STREAMING MIDIA, E-MAIL, WEBSITE, HOTSITE;“SUCKS” SITES – FRUSTRAÇÃO DO CONSUMIDOR – ATUALMENTE TAMBÉM EM COMUNIDADES, BLOGS, FOTOLOGS, FORUMSPIRATARIA – DE MARCA, TEXTO, AUDIO, VIDEO, MUSICA, SOFTWAREPORNOGRAFIA – 300.000 DOMÍNIOS MAIS VISITADOS DA WEB NO MUNDO CONTÉM PORNOGRAFIA (CASE ZIPPO, SEXDISNEY.COM)
PLANEJAMENTO DOS ACESSOSPROTEÇÃO POR ESTRUTURA DE DIRETÓRIOS EM
ÁRVORE
Diretório Raiz
DIREITOS DE ACESSO
Acesso Descrição
Leitura Qualquer tipo de operação em que o arquivo possa ser visualizado, como a exibição de seu conteúdo, edição ou cópia de um novo arquivo
Gravação Alteração no conteúdo do arquivo, como inclusão ou alteração de registros.
Execução Associado a arquivos executáveis ou arquivos de comandos, indicando o direito de execução do arquivo.
Eliminação Permissão para se eliminar um arquivo.
PROTEÇÃO POR GRUPO DE USUÁRIOS
dados.txt
Nível de proteção
Tipo de Acesso
Owner
(dono do grupo)
Leitura
Escrita
Execução
Eliminação
Group Leitura
All --
PROTEÇÃO POR LISTA DE CONTROLE DE ACESSO
Usuário: LaureanoAcesso: leitura + escrita + execução
Usuário: MazieroAcesso: eliminação
Usuário: LaureanoAcesso: leitura + escrita
Usuário: MazieroAcesso: leitura
2.2- ANÁLISE DE RISCO
2.2.3- AMBITO PROCESSUAL:
CONSISTE EM ANALISAR O FLUXO DAS INFORMAÇÕES E COMO ELAS TRAFEGAM DE UMA ÁREA PARA OUTRA DENTRO DA ORGANIZAÇÃO.
O FÓCO É LEVANTAR O TIPO DE USUÁRIO E A INFORMAÇÃO (MAPEAMENTO USUÁRIO X INFORMAÇÃO).
ESTE TIPO DE LEVANTAMENTO É TRABALHOSO E REQUER PESSOAL DEDICADO.
2.2.4- AMBITO FÍSICO:
CONSISTE EM IDENTIFICAR AS VULNERABILIDADES FÍSICAS QUE POSSAM TRAZER ALGUM PREJUÍZO À INFORMAÇÃO E A TODOS OS DEMAIS ATIVOS.
SERVICE CENTER
Sistema anti incendios de gas.(piso elevado, telas, ...)
Sensores de movimento
Vídeo-vigilancia
Monitorização de sistemas
Condições ambientaisReguladas com climatizaçãoredundante
Sistemas de segurança dede entrada e saída
Vigilantes jurados
Racks reforçados
No-breaks e geradoreseléctricos duplicados
Alarmes de intrusão
IMPROVIZAÇÃONÃO RECOMENDADA
TIPOS DE ARQUITETURAS DE ENFRIAMIENTORECOMENDADAS
Por sala
Por rack
Por fila
SOLUÇÕES EM AUTOMAÇÃO
CFTV E ANÁLISE INTELIGENTE DE IMAGENSsistemas digitais de cftv (transmissão através de redes ip, wireless);sistemas especiais para monitoramento de processos industriais e processos de segurança;sistemas inteligentes de análise de imagem (contagem de pessoas, reconhecimento de caracteres, outros); monitoramento de grandes áreas
AUTOMAÇÃO DOS PROCESSOS E UTILIDADES PREDIAL E INDUSTRIAL
integração de soluções através de uma central de supervisão única:
sistemas de ar condicionado; sistemas de iluminação; sistemas hidráulicos; sistemas de energia; elevadores
SOLUÇÕES EM AUTOMAÇÃO
DETECÇÃO E ALARME DE INTRUSÃOmonitoramento e alarme de áreas internas (detectores de movimento, sensores de quebra de vidro, sensores de contato para portas e janelas, teclados, dispositivos sem fio); monitoramento e alarme de áreas externas (radares, sensores de infra vermelho ativo, sensores de microondas, cabos microfônicos, sensores óticos, sistemas de vídeo inteligente, cabos poticos)
SONORIZAÇÃO AMBIENTE E DE EMERGÊNCIA sistemas digitais com transmissão via rede ethernet (ip); integração com sistemas de alarme de incêndio, controle de acessos e ativos e detecção de intrusão (emergência); integração com sistemas de vídeo