Académique Documents
Professionnel Documents
Culture Documents
Este material é destinado exclusivamente aos alunos e professores do Centro Universitário IESB,
contém informações e conteúdos protegidos e cuja divulgação é proibida por lei. O uso e/ou
reprodução total ou parcial não autorizado deste conteúdo é proibido e está sujeito às
penalidades cabíveis, civil e criminalmente.
SUMÁRIO
Veremos quais são as ameaças do dia a dia, como elas funcionam e as formas de se proteger contra elas.
Além disso, veremos as estatísticas dos incidentes de segurança, diversas fontes de informação diária
sobre segurança e o perfil das pessoas que ameaçam a segurança da rede.
Com o uso intensivo destes dispositivos mais e mais fazemos uso da internet publica e de redes wifi dos
mais variados locais. A pergunta “qual a senha do wifi daqui?” tem sido uma constante nas nossas idas e
vindas nos mais variados tipos de estabelecimentos visitados.
Esta aparente despreocupação dos usuários no uso da internet pública facilita o surgimento de cada vez
mais ameaças através de hackers, crackers, vírus, worms, entre outros.
Erros simples são cometidos tais como: conectar sistemas na internet sem testá-los; conectar com contas
e senhas padrão; não atualizar erros de segurança, quando estes são encontrados e divulgados; deixar
que pessoas sem o devido treinamento cuidem de segurança; deixar serviços desnecessários nos
computadores (Ftpd, telnetd, fi nger, RPC, mail e RServices); manter no servidor ligado à internet a base
de arquivos da empresa, não diferenciando serviços de LAN e WAN; conhecer a segurança física, mas
desconhecer segurança de informação e lógica; falta de ambiente de laboratório, de teste; manter
somente um firewall protegendo a rede, acreditando que é suficiente; permitir o uso indiscriminado de
protocolos específicos, como o ICMP; implementar firewalls com políticas genéricas; usar protocolos não
seguros para administrar sistemas remotos, firewalls etc; não idealizar perímetros para melhorar a
segurança da rede; não ter servidores com horário sincronizado.; não ter concentradores de logs e
analisadores dos registros de logs; possuir um concentrador e logs, mas com os horários dos servidores
não sincronizados; achar que, se esquecendo dos problemas, eles somem rapidamente; falhar na
implementação de antivírus ou listas de vírus; falhar na capacitação e conscientização dos usuários.
• Worms
• Trojans
• Spywares
13.5.1. VÍRUS
É um software malicioso que é desenvolvido por programadores que infecta o
sistema de computador, faz cópias de si mesmo e tenta se espalhar para outros
computadores, utilizando-se de diversos meios.
Apesar de existirem vírus para outros Sistemas Operacionais (Linux, MacOS e PalmOS), essa quantidade é
infinitamente menor, quando comparamos com a quantidade de vírus do sistema Windows.
Diversos fabricantes de produtos de segurança disponibilizam programas chamados antivírus. Um
antivírus é um programa capaz de detectar e remover os vírus de uma estação. Muitos deles possuem
recursos avançados, como verificação de vírus em correio eletrônico e a verificação em tempo real dos
arquivos que estão sendo executados pelo Sistema Operacional.
F-Secure: http://tinyurl.com/gsm3yt8
Um antivírus detecta os vírus em arquivos através de assinaturas de vírus, que são conjuntos de
informação que identificam unicamente um determinado vírus. Essas assinaturas devem ser
frequentemente atualizadas, de modo que antivírus seja capaz de detectar os vírus mais recentes
TIPOS DE VÍRUS
• Vírus de boot: Fixa-se num setor onde está localizado o código de boot do micro (inicialização).
• Vírus parceiro (companion virus): junta-se ao Sistema Operacional (programa “.com” roda
primeiro que “.exe”).
• Vírus multipartido: Combinação do vírus de boot e do vírus de arquivo. Infecta tanto arquivo
quanto área de boot.
IMPACTOS
Um vírus pode provocar:
• Perda de desempenho do micro; exclusão de arquivos e alteração de dados.
PREVENÇÃO
A forma de manter uma prevenção proativa é:
• Varrer os discos rígidos com o antivírus no mínimo uma vez por semana.
• Kaspersky: http://tinyurl.com/hmgyp3n
• Avira AntiVir: http://tinyurl.com/h7726me
Antivírus on-line:
• Trendmicro: http://tinyurl.com/2xis
• F-Secure: http://tinyurl.com/ps4eznm
13.5.2. WORMS
O worm (verme) é um programa semelhante aos vírus, com a diferença de ser
auto-replicante, ou seja, ele cria cópias funcionais de si mesmo e infecta outros
computadores.
Tal infecção pode ocorrer através de conexões de rede locais, Internet ou anexos de e-mails. Alguns
worms infectaram centenas de computadores por meio das redes sociais MySpace e Facebook. Ele
infecta uma estação em vez de infectar arquivos. É um programa que não precisa da intervenção humana
para se propagar. Difere do vírus porque não precisa se fixar em arquivo ou setor. Rasteja pela rede
tentando infectar outras estações, podendo utilizar múltiplas formas de replicação, tornando-se muito
eficiente.
A contenção da propagação dos worms depende muito das atualizações feitas no Sistema Operacional.
Como essas atualizações não são realizadas pelos administradores e usuários na maioria dos casos,
contaminações são frequentes sempre que um novo worm é lançado na internet. Entretanto, na grande
maioria dos casos, o worm explora vulnerabilidades já conhecidas pelos fabricantes, que disponibilizam
em seus sites as atualizações que as eliminam.
• O worm Code Red infectou em 19 de julho de 2001 mais de 359 mil computadores em menos de
14 horas.
Diferentemente dos vírus e worms de computador, os cavalos de Troia não são capazes de se
autopropagar. Cavalo de troia (trojan horse) é um programa que promete uma ação ou funcionalidade,
executando outra totalmente diferente. Pode parecer ou simular programas legítimos. Tem o objetivo de
enganar as pessoas, permitindo acesso e roubo de informações em seus computadores.
CLASSIFICAÇÃO
Os cavalos de Troia são classificados conforme o tipo de ação executada em seu computador:
Exploits são programas que contêm dados ou códigos que tiram proveito de uma
Exploit vulnerabilidade dentro do aplicativo executado no seu computador.
Estes programas são usados pelos hackers para instalar cavalos de Troia e/ou vírus,
ou então para impedir a detecção dos programas maliciosos. Nem todos os
Trojan-Dropper
programas antivírus são capazes de verificar todos os componentes contidos nesse
tipo de cavalo de Troia.
Trojan-Ransom Este tipo de cavalo de Troia pode modificar dados no seu computador para que ele
Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.
SEGURANÇA DE REDES DE COMPUTADORES | UIA 3 | 12
não funcione corretamente ou para que você não consiga usar certos dados. O
criminoso só irá restaurar o desempenho do seu computador ou desbloquear seus
dados depois que você pagar a quantia exigida por ele.
Um exemplo de trojan bastante conhecido é o NetBus. O NetBus não é o único dentre os programas
deste tipo. Há dezenas deles. São conhecidos genericamente como backdoors (programas para
monitoração remota sem a autorização do usuário). Utilizando o protocolo TCP/IP, o NetBus cria uma
porta de conexões e fica esperando conexões nessa porta para, através dela, dar acesso a quase todos os
controles da máquina a quem o acessar.
A máquina infectada fica com o NetBus Server cujo arquivo, por default, utiliza o nome de Patch.exe. O
invasor, ou seja a pessoa que irá acessar essa máquina remotamente e que provavelmente implantou o
NetBus no sistema, utiliza o NetBus Cliente, denominado NetBus.exe. Um perigo se cair em mãos mal-
intencionadas, porém sendo muito útil em assistência remota.
Alguns cavalos de troia são divididos em duas partes: servidor e cliente: A vítima executa arquivo
hospedeiro; o servidor é instalado e ocultado no computador; O cliente acessa o servidor e executa
operações no computador da vítima; É aberta uma porta de comunicação não monitorada (backdoor).
• NetBus;
• WinCrash.
PREVENÇÃO:
• Não revelar seu endereço de correio eletrônico a desconhecidos.
• Para prevenir-se é preciso usar software de segurança recente e mantê-lo instalado e atualizado:
Antivírus; Firewall; Antispyware.
• Ao instalar programas no micro, escolha um diretório diferente do padrão; por exemplo, ao
instalar Windows, escolha diretório diferente de “C:\windows\”.
• Trocar senhas assim que for invadido ou suspeitar de uma invasão;
• Para verificar as portas que estão abertas na máquina: execute no Windows: C:\netstat –ab); no
Linux execute: # netstat –atunp (Linux).
Assista ao vídeo
http://tinyurl.com/j7ucc3o
13.5.4. SPYWARE
Programa que se instala de maneira furtiva, trazido por outro programa. Difere
do trojan, pois não tem objetivo de deixar que o sistema do usuário seja
dominado externamente por um cracker. Monitora o usuário, capturando
informações confidenciais, hábitos de consumo, senhas bancárias, informações
de cartões de crédito etc.
Os spywares (programas espiões) são associados a adwares. Os adwares são conhecidos por trazerem
para a tela algum tipo de propaganda. Inicialmente os adwares procuravam exibir propagandas em
janelas, chamadas de banners. Passaram a monitorar a atividade do usuário na internet, podendo
mostrar propagandas personalizadas, enviar dados sobre hábitos do usuário a certos sites, tendo então
funções de spyware e adware, de forma simultânea.
Certos adwares passaram a exibir janelas do tipo pop-up. Passaram a se instalar no navegador do usuário,
acrescentando certas funcionalidades duvidosas, principalmente no Internet Explorer. Sofisticaram-se,
incluindo propagandas persistentes, com inúmeras variantes. Sua desinstalação
passou a ser uma tarefa bastante penosa ou mesmo impossível, sem ajuda externa. Isso levou os usuários
a classificá-los como pragas ou spywares, e não mais como simples adwares.
MEIOS DE INFECÇÃO
• Download não intencional em programas shareware e freeware (usuário não lê o que esta
baixando).
PREVENÇÃO
• Usar programas antispyware em conjunto com antivírus;
13.5.5. MALWARE
Junção de duas palavras: “malicious” e “software”. Utilizado para designar
qualquer tipo de software que atue contra o usuário. Podem ser vírus, spywares,
trojans ou worms de todos os tipos e categorias..
Existem malwares para todos os tipos de computadores existentes hoje, não importando marcas e
modelos. Já existem provas de conceito sobre malwares em consoles de vídeo games inclusive.
Mesmo existindo diversas categorias de softwares maliciosos, como demonstrado anteriormente, o
termo malware começou a ser vastamente utilizado de forma incorreta. A frase “fui vítima de um
malware” indica que uma pessoa foi vítima de um programa malicioso, não importando se é um vírus,
worm ou trojan. Deixemos as definições corretas para os especialistas.
PREVENÇÃO
• Tenha sempre um software do tipo antivírus instalado;
Com as mudanças da tecnologia e de hábitos, aparelhos portáteis como celulares estão ficando cada vez
mais populares e potentes, além de estarem sempre conectados à internet.
Após a pessoa fazer o download e instalação do aplicativo malicioso, o aparelho já está comprometido.
Saber quais as reais intenções ou ações desses programas é bem
difícil. O atacante pode ter controle total do aparelho celular da
vítima. Assim pode efetuar ligações, ver, apagar e remover
contatos, mensagens e fotos.
Na Europa existem muitas fraudes associadas a serviços do tipo
“premium rate phone”, conhecidos no Brasil como 0900 (serviços
telefônicos de valor adicionado). Após invadido, o telefone da
vítima passa a ligar para esses números. No final do mês, alguém
terá de pagar a conta. O golpe tem maior sucesso quando a vítima
Fonte: http://tinyurl.com/hrftppy
possui um aparelho de celular pago pela empresa, e nem a vítima
nem a empresa controlam essa conta.
A ameaça mais básica para o seu celular são malwares dedicados a roubar informação e se
valer da sua identidade para mandar spams, comprar produtos, serviços e outros
problemas semelhantes. Normalmente eles se disfarçam na forma de aplicativos úteis,
versões gratuitas de softwares pagos com linhas de código alterada. Apesar disso, é muito
raro que eles consigam passar o crivo das lojas oficiais como o Google Play e a App Store.
As empresas responsáveis por estes sistemas dedicam muito tempo e esforço para manter sua oferta de
aplicativos livres deste tipo de esquema, ainda que a Google tenha mais dificuldade neste front graças à
natureza livre do seu OS.
Outros tipos de vírus que afetam celulares, ainda que sejam mais incomuns aqui no Brasil, são aqueles
oriundos de SMS. Eles ocorrem quando você recebe uma mensagem com anexos, uma imagem ou outra
coisa que precise ser aberta, e este arquivo em questão pode ser um tipo de malware. Mesmo quando
você conhece quem enviou a mensagem, isso não torna o arquivo mais seguro, já que, uma vez dentro
do seu aparelho, ele ganha acesso aos seus privilégios e sua lista de contatos, podendo enviar
mensagens para todos os seus conhecidos.
PREVENÇÃO:
• Escolha fontes de distribuição de softwares confiáveis;
DICAS DE COMPORTAMENTO
Dicas de comportamento humano nem sempre são fáceis de atender (sempre há um risco). Por mais que
tomemos cuidado sempre existe risco. O que fazemos em nosso dia a dia é minimizar esse risco.
Independente da plataforma ou Sistema Operacional, a situação fica difícil quando necessitamos utilizar
um software (qualquer). Não temos como saber se existem componentes maliciosos no software ou se
ele irá fazer alguma ação inesperada.
É difícil até de saber onde, durante a instalação desse software, foram colocados seus arquivos, se
desejarmos removê-lo futuramente. Já existiram casos de softwares que saíram das empresas
desenvolvedoras infectados, assim como pendrives que saíram da fábrica com malwares. Nenhum desses
fatos foi intencional. Isso demonstra que existem situações que não podemos evitar, porém, quanto
maior o cuidado que tenhamos, menores serão as chances de termos dores de cabeça.
13.6. VULNERABILIDADES
São falhas presentes em um programa, protocolo ou Sistema Operacional que
muitas vezes decorrem de erros de especificação ou de programação.
Algumas medidas de prevenção para erros de programação são: aplicar patches ou hotfix; aplicar service
pack - (pacote de serviços) é como é chamado um pacote de correções para determinado programa ou
sistema operacional no qual o número de correções (updates e hotfixes) recentes torna-se muito grande
em quantidade.
O atacante envia grandes quantidades de solicitações ao servidor. Servidor fica à espera da conclusão da
negociação para início da comunicação (que nunca ocorre). Quando a solicitação inicial finaliza por time-
out, outras solicitações estão chegando e o clico continua. Esse processo impede que solicitações lícitas
sejam atendidas.
ATAQUES SMURF
Um ataque smurf é um tipo de negação de serviço (DoS) em que um atacante
tenta impedir que usuários legítimos acessem e-mail , sites e outros serviços que
dependem do servidor atacado.
Um ataque de smurf normalmente desabilita completamente a conexão, mas também pode apenas reduzir a
taxa de transferência de dados, ou de banda, de modo que a conexão é fica extremamente lenta.
Fonte: http://tinyurl.com/jljpdxa
Atacante A envia um pacote para a rede B, solicitando resposta de toda a rede. Porém, o pacote de
origem foi modificado indicando que a origem veio de C. Rede B responde para a origem C. Máquina C
recebe em pouco tempo muitos pacotes de resposta da rede B sem saber o motivo e, dependendo da
quantidade de pacotes, para de funcionar ou de atender novas solicitações lícitas.
Não podemos esquecer que o protocolo TCP/IP foi criado por volta de 1970 e suas características
principais foram mantidas até hoje. Assim, muitas das vulnerabilidades existentes no protocolo não
foram previstas durante o desenvolvimento.
Exploit é um programa que explora uma vulnerabilidade. Nasce como a prova de conceito de que uma
vulnerabilidade existe, podendo evoluir para ações maliciosas.
13.7. MOTIVAÇÃO
É importante termos em mente também que precisamos entender as motivações que levam uma pessoa
atacante a invadir um sistema. Estamos aqui pensando que existe a intenção de invadir um sistema.
Assim apresentamos abaixo alguns pontos que servem como motivação para um ataque:
• Impunidade
• Delinquência
• Notoriedade.
• Compensação financeira.
• Espionagem.
Ninguém se torna um hacker, hackers nascem assim. Está certo! Muitos deles nunca
terão acesso a um computador, logo nunca serão hackers de fato, mas o espírito hacker
está presente naquela pessoa e vai acompanhá-la pelo resto da vida. Respondendo a
essa pergunta, me sinto um pouco como The Mentor no manifesto hacker, quando ele
pergunta ‘But did you (...) ever take a look behind the eyes of the hacker? Did you ever
wonder what made him tick, what forces shaped him, what may have molded him?’
(Mas você já olhou por trás dos olhos de um hacker? Você já imaginou o que faz pulsar,
que forças deram-lhe forma, o que pode tê-lo moldado?). A resposta de hoje é a mesma
que a de 1986, quando o manifesto foi escrito: hackers são pessoas inquietas, que não
são facilmente convencidas por argumentos de autoridade sem valor técnico. São
céticos sempre prontos a duvidar de qualquer coisa. A simples menção de que algo é
impossível para um hacker é um poderoso convite para que ele tente fazê-lo. Eles
querem saber mais sobre tudo (mais ainda sobre informática), simplesmente pelo fato
de saber, para obte iluminação pessoal.
(PEIXINHO, 2013)
Entre as mensagens indesejadas e não solicitadas de correio eletrônico (spam) que circulam atualmente
na internet, as fraudes on-line (scam) já chegaram a ultrapassar a ocorrência de anúncios, propagandas e
pornografia, segundo dados da unidade de monitoramento Brightmail, da Symantec, empresa
especializada em segurança digital.
• Carência de legislação, meio de controle e segurança que permita rastrear, identificar, coibir e
punir ação criminosa de forma rápida, eficaz e globalizada;
• Usuário com pouco conhecimento técnico, ingênuo e despreparado para desconfiar de perigo
existente.
PHISHING
Link para programa malicioso. Página falsificada de comércio eletrônico ou internet banking.
• E-mail contendo formulário.
Não é uma tarefa simples atacar e fraudar dados em um servidor de uma instituição bancária ou
comercial. Os invasores têm concentrado seus esforços na exploração de fragilidades dos usuários para
realizar fraudes comerciais e bancárias através da internet.
Para obter vantagens, os fraudadores têm utilizado amplamente e-mails com discursos que, na maioria
dos casos, envolvem engenharia social e tentam persuadir o usuário a fornecer seus dados pessoais e
financeiros. Em muitos casos, o usuário é induzido a instalar algum código malicioso ou acessar uma
página fraudulenta, para que dados pessoais e sensíveis, como senhas bancárias e números de cartões de
crédito possam ser furtados.
Dessa forma, é muito importante que usuários da internet tenham certos cuidados com os e-mails que
recebem e ao utilizarem serviços de comércio eletrônico ou internet banking.
Como pegar (o que seria a isca)? Envio de mensagem eletrônica não solicitada, falsamente oriunda de
instituição conhecida, como banco, empresa ou site popular. Procurando induzir acesso a páginas
fraudulentas (falsificadas), projetadas para furtar os usuários.
O que pegar (o que seria o peixe)? Senhas; Dados financeiros; Número de cartão de crédito; Dados de
contas. Informações pessoais.
Aula 14 | CRIPTOGRAFIA
Ocultar seus segredos sempre foi um dos grandes desafios da humanidade. São inúmeros os relatos de
criptografia entre os egípcios, gregos e romanos em técnicas tanto inteligentes quanto criativas que
preveniam que a informação caísse em mãos erradas. Os antigos generais precisavam transmitir
informações para seus exércitos sem o perigo de ter suas mensagens interceptadas e traduzidas pelo
inimigo. O uso da criptografia apareceu, possivelmente, nas primeiras guerras da antiguidade e seu
primeiro relato de uso na história é atribuído a Cesar, imperador de Roma.
14.1. CRIPTOGRAFIA
O termo Criptografia surgiu da fusão das palavras gregas "Kryptós" e "gráphein",
que significam "oculto" e "escrever", respectivamente. Trata-se de um conjunto
de regras que visa codificar a informação de forma que só o emissor e o receptor
consigam decifrá-la.
Para isso varias técnicas são usadas, e ao passar do tempo modificada, aperfeiçoada
e o surgimento de novas outras de maneira que fiquem mais seguras.
A definição prévia do algoritmo pelas partes envolvidas (transmissor e receptor) é um dos fatores
fundamentais no processo de comunicação seguro.
Os algoritmos criptográficos podem ser divididos em dois grandes grupos: algoritmos simétricos ou de
chave secreta e algoritmos assimétricos ou de chave pública.
Fonte: http://tinyurl.com/j2fplur
Por estas desvantagens, seu uso não é recomendado para guardar informações muito importantes.
Vejamos alguns exemplos de algoritmos criptográficos que fazem uso de chaves simétricas:
• DES (Data Encryption Standard) - criado pela IBM em 1977, usa criptografia de 56 bits e por isso é
considerado inseguro, o que corresponde a cerca de 72 quadrilhões de chaves diferentes. Apesar
de ser um valor bastante alto, foi quebrado por em 1997 por força bruta (tentativa e erro), em um
desafio feito na Internet.
• IDEA (International Data Encryption Algorithm) - criado em 1991 por Massey e Xuejia Lai, utiliza
chaves de 128 bits com uma estrutura semelhante ao anteriormente citado DES, porém, possui
uma implementação mais simples.
• RC (Ron’s Code ou Rivest Cipher) - desenvolvido por Ron Rivest, na empresa RSA Data Security. É
largamente utilizado em e-mails. Possui diversas versões (RC2, RC4, RC5 e RC6), com chaves que
vão de 8 à 1024 bits.
• Blowfish: Desenvolvido em 1993 por Bruce Schneier, utiliza chaves de 32 a 448-bits. O algoritmo
não é patenteado, tem sua licença grátis e está à disposição de todos.
A Chave Simétrica apresenta alguns problemas graves, tais como a necessidade da troca constante
dessas chaves e a impossibilidade de serem usados com fins de autenticação (já que a transmissão da
chave privada de um para o outro pode não ser segura e acabar caindo em outras mãos), apesar de seus
algoritmos serem mais rápidos do que os algoritmos assimétricos.
Alguém deve criar uma chave de codificação e enviá-la a quem for lhe mandar informações. Essa é a
chave pública. Outra chave deve ser criada para a decodificação. Esta, a chave privada, é secreta.
A criptografia assimétrica transforma o texto claro em texto cifrado usando uma de duas chaves e um
algoritmo de criptografia. Usando a outra chave associada e um algoritmo de descriptografia, o texto
claro é recuperado a partir do texto cifrado.
Fonte: http://tinyurl.com/hps8gyc
• El Gamal: Criado pelo estudioso de criptografia egípcio Taher Elgamal em 1984. Utiliza o
problema “logaritmo discreto” para segurança.
• RSA (Rivest, Shamir and Adleman): Criado por três professores do MIT, é um dos algoritmos mais
usados e bem-sucedidos. Utiliza dois números primos multiplicados para se obter um terceiro
valor. Para quebrar essa criptografia, é necessário a fatoração desse número para encontrar os 2
números primos que o geraram, porém, para isso é necessário um poder muito alto de
processamento, o que acaba inviabilizando a tarefa. A chave privada são os números
multiplicados e a chave pública é o valor obtido. Utilizada em sites de compra e em mensagens
de e-mail.
Dessa forma, a criptografia assimétrica pode ser utilizada para garantir a confidencialidade, a
autenticidade ou ambos. O criptossistema mais utilizado atualmente é o RSA, sendo envolvido o conceito
de números primos, de modo que é difícil de explorar, pela complexidade de se encontrar números
primos de um número composto.
A criptografia assimétrica tem como desvantagem o desempenho, pois é muito mais lenta que a
criptografia simétrica. Se usássemos criptografia assimétrica em todas as transações criptográficas,
teríamos perda de desempenho bastante significativa. Dessa forma, o mais comum é utilizar de uma
forma combinada as duas técnicas:
Fonte: http://tinyurl.com/haftmkq
a. Uma chave simétrica, inteiramente randômica, é criada e os dados são cifrados com essa chave.
b. A chave simétrica em si é cifrada com a chave pública do destinatário.
c. O conjunto chave e mensagem é enviado ao destinatário.
d. O destinatário decifra a chave simétrica (chamada de chave de sessão) utilizando sua chave privada.
e. Com a chave simétrica em mão, o destinatário decifra o resto da mensagem.
processamento da época e do custo médio para se quebrar uma chave. Atualmente o algoritmo
simétrico recomendado é o AES-256, que utiliza chaves de 256 bits.
O algoritmo hash é utilizado para: (a) verificar a integridade de um arquivo armazenado em seu
computador ou em seus backups; (b) verificar a integridade de um arquivo obtido da Internet (alguns
sites, além do arquivo em si, também disponibilizam o hash correspondente, para que você possa
verificar se o arquivo foi corretamente transmitido e gravado); (c) gerar assinaturas digitais.
Para verificar a integridade de um arquivo, por exemplo, calculamos o hash dele e, quando julgar
necessário, geraremos novamente este valor. Se os dois valores hashes forem iguais então você pode
concluir que o arquivo não foi alterado. Caso sejam diferentes, este pode ser um forte indício de que o
arquivo esteja corrompido ou que foi modificado.
O principal propósito da função Hash é criar uma “impressão digital” de um arquivo, mensagem ou bloco
de dados.
Um algoritmo Hash pode ser considerado forte quando:
• One way - A partir do resultado da função Hash, não é possível descobrir a mensagem de
entrada, de tamanho arbitrário. Também conhecido como algoritmo de uma só via.
• Fraca resistência à colisão - Quando computacionalmente for impossível encontrar uma segunda
entrada diferente de uma primeira entrada conhecida e as duas saídas forem iguais.
14.7.1. MD5
Função de Hash de uma só via, inventada por Ron Rivest, do MIT, que também trabalha para a Indústria
RSA de Segurança de Dados. O algoritmo MD (Message Digest) produz um valor de Hash de 128-bit para
um tamanho arbitrário da mensagem inserida. Foi primeiramente proposto em 1991, depois de alguns
ataques de criptoanálise descobertos contra a função de Hash de uma só via, utilizada no MD4 de Rivest.
O algoritmo foi projetado para velocidade, simplicidade e segurança. É claro que os detalhes do
algoritmo são públicos e foram analisados por diversos criptógrafos.
Uma fraqueza foi descoberta em alguma parte do MD5, mas não afetou a segurança global do algoritmo.
Porém, o fato de ele só produzir um valor de Hash de 128-bit é inquietante; é preferível uma função de
Hash de uma só via, que produza um valor mais longo.
14.7.2. SHA
Função de Hash de uma só via, desenvolvida pelo NIST (National Institute of Standards and Technology).
Produz um valor de Hash de 160-bit de um tamanho arbitrário da mensagem.
O SHA é uma função Hash baseada na função Hash MD4. Porém, a fraqueza na parte do algoritmo MD5
mencionada ainda não foi possível de aplicar contra o SHA. Acredita-se que o SHA não possui essa
vulnerabilidade. Atualmente, não existe forma conhecida de ataque criptoanalítico contra o SHA, com
exceção do ataque de força bruta. Seu valor de 160-bits torna o ataque de força bruta ineficiente. É claro
que não existe prova de que alguém não possa quebrar o SHA no futuro próximo ou mesmo quando
esse material estiver sendo lido.
Atualmente, a família SHA-2 inclui mudanças significativas de seu antecessor, SHA-1. A família SHA-2 é
composta por seis funções hash com resumos (valores de hash) que são de 224, 256, 384 ou 512 bits:
SHA-224, SHA-256, SHA-384, SHA-512, SHA-512/224, SHA-512/256.
Veja o vídeo " Diffie Hellman Key Exchange part 1" da Khan Academy, disponível
no link a seguir, para ver uma outra forma de explicar o assunto.
http://tinyurl.com/zomjdsf
Ela se baseia no fato de que apenas o proprietário da informação conhece a chave privada e que, sendo
ela usada para cifrar uma informação, então apenas seu proprietário poderia ter feito isto. A forma de
Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.
SEGURANÇA DE REDES DE COMPUTADORES | UIA 3 | 29
verificação da assinatura é com o uso da chave pública, pois se o texto foi codificado com a chave
privada, somente a chave pública correspondente pode decodificá-lo.
A fim de buscarmos agilidade sobre a baixa eficiência da criptografia de chaves assimétricas, a
codificação é feita sobre o hash e não sobre o conteúdo em si, pois é mais rápido codificar o hash (que
possui tamanho fixo e reduzido) do que toda a informação.
Fonte: http://tinyurl.com/zacp75u
O certificado de usuário é gerado por sistema de Autoridade Certificadora, que emite a chave pública e
privada do certificado. A chave pública pode ser armazenada em um repositório de diretórios e a chave
privada fica sob a guarda do usuário.
Existem várias implementações de PKI (Public Key Infrastructure), ou Infraestrutura de Chaves Públicas,
comerciais e de software livre:
• Microsoft Windows 2008 Server – Certificate Autority.
Já falamos da necessidade de estabelecermos um perímetro para proteger uma rede interna dos perigos
da internet e de outras redes públicas, incluindo a criação de uma DMZ (zona desmilitarizada) para
prover serviços públicos. Apesar de ser uma técnica bastante eficiente, existe a possibilidade de as nossas
defesas serem atacadas e eventualmente vencidas.
Lembre-se: não existe sistema 100% seguro e isso sempre vai existir. Por isso, a
detecção e a prevenção de intrusos que consiste no monitoramento constante de
diversos elementos, como segmentos de rede, sistemas operacionais e aplicações.
Através desse monitoramento constante, podemos tomar uma ação caso alguma atividade suspeita seja
detectada, que pode ser desde um alerta para o administrador de segurança até o bloqueio temporário
ou permanente do atacante.
Consideramos o IDS (Intrusion Detection System – Sistema de Detecção de Intrusão), em conjunto com
um firewall, como uma aplicação do princípio de defesa em profundidade.
Um IDS consiste em uma ferramenta capaz de detectar atividade maliciosa através do monitoramento
constante de um segmento de rede ou de chamadas de sistema em um sistema operacional. Existem
diversos IDS no mercado com componentes e funcionamento distintos, porém normalmente
encontramos os seguintes componentes em um IDS:
• Sensor: responsável por coletar informações sobre a rede, sistema operacional ou aplicação, para
ser utilizado como parâmetro de entrada para o sistema de detecção.
A análise de anomalias visa detectar comportamentos que fujam do padrão, para tal o sistema
possuirá um histórico das atividades “comuns” do sistema, desta forma, são construídos os
perfis de todas das entidades ligadas ao sistema, a partir destas o sistema é monitorado.
A utilização fora dos parâmetros normais, definidos estatisticamente, é sinalizada como uma intrusão.
Uma questão chave para maximizar a precisão deste tipo de sistema é o conjunto de dados presentes no
histórico, desta forma, uma coleta bem feita, com uma quantidade de dados que permita uma boa
análise estatística é fundamental.
Por apenas comparar com comportamentos, este sistema pode detectar intrusões com assinaturas ainda
não previstas, fornecendo, além de segurança, conhecimento para ser aplicado futuramente na detecção
por assinaturas, entretanto, este tipo de sistema pode gerar um grande número de alarmes falsos, já que
nem todas as anomalias são ocorridas durante intrusões.
ANALISE DE ASSINATURAS
É o modo mais utilizado atualmente. Possui funcionamento parecido com o de um antivírus. Através de
um conjunto de assinaturas previamente configuradas, o IDS monitora o ambiente em busca de eventos
que coincidam com alguma assinatura. Possui baixo índice de falsos positivos caso as assinaturas sejam
de boa qualidade.
Não detectam ataques desconhecidos e dependem de atualização das assinaturas por parte do
fabricante ou da comunidade.
Este tipo de análise consiste em buscar no tráfego padrões de bytes ou pacotes comuns a
ataques, estes padrões são conhecidos como assinaturas. De certa forma, o
funcionamento deste método é análogo ao de um antivírus. Varre-se o espaço e compara-
se os pacotes com o banco de dados de assinaturas de ataques.
Por comparar com padrões predeterminados, este tipo de análise apresentará grande eficiência, e um
número pequeno de alarmes falsos, isto também tornará este método mais rápido na detecção, por
outro lado, ele só detectará ataques que sejam feitos de acordo com os padrões previstos na base de
dados deste sistema, por esta razão este sistema requererá uma atualização constante, a fim de poder
detectar ataques baseados em novos padrões.
Entretanto, HIDS são mais caros. HIDS são, ainda, dependentes do sistema operacional e do hardware da
máquina onde se encontram. São vulneráveis a ataques de varredura e a ataques ao próprio HIDS.
Destaca-se, ainda, a dependência de um sistema operacional que gere os logs de casos de uso.
BASEADOS EM REDES
Agem em cima de um segmento de rede. São instalados em uma máquina que faz parte do segmento de
rede. Monitoram o tráfego no segmento de rede do qual a interface de monitoramento faz parte. Os IDSs
de rede são chamados de NIDS.
Normalmente posicionados numa máquina em modo promíscuo, o NIDS "fareja" todo o tráfego do
segmento de rede onde está posicionado. Possui dois tipos de componentes: os Sensores, que captam as
informações e a interface com o administrador da rede, que faz o processamento dos dados e dá os
alertas de ataque.
Um NIDS é capaz de detectar atividade suspeita em uma rede inteira que se encontra atrás dele, porém,
como age no nível do sistema operacional, um HIDS é capaz de obter informações mesmo que elas não
trafeguem pela rede.
Fonte:http://tinyurl.com/hmaq367
Os NIDS são vantajosos por serem praticamente independente dos sistemas das máquinas
contidas na rede além de não influenciarem diretamente no tráfego da rede. NIDS
também são eficazes contra varreduras de portas além de serem mais dificilmente
identificáveis pelo atacante.
Por outro lado, são incapazes de detectar ataques criptografados (que são muito utilizados)
além de perder muito desempenho em redes congestionadas ou muito complexas.
Em arquiteturas reais, é muito comum a combinação de NIDS e HIDS de modo a obter uma proteção mais
completa. O ideal é que uma rede corporativa tenha um HID e um NID. O primeiro protege máquinas
locais e opera como uma última linha de defesa, enquanto o NID mantém a segurança da rede de
momento. Ambos são capazes de proporcionar maior segurança que qualquer firewall ou programa
antivírus simples, mas falta a cada um determinadas capacidades que o outro detém. Assim, a união dos
dois é a única maneira de criar uma rede de defesa verdadeiramente sólida.
PASSIVOS
Não causam nenhuma alteração no ambiente. Fazem apenas registros dos eventos e notificações para os
administradores. Uma vantagem de um IDS passivo é que ele não causa nenhuma interrupção na rede
caso falhe, porém o tráfego malicioso deixará de ser detectado. Aqui temos uma aplicação inversa do
princípio de fail safe.
SISTEMAS HÍBRIDOS
Sistemas híbridos utilizam como fonte de informações de análise e avaliação tanto características
relativas aquele computador específico, quanto pacotes transmitidos e recebidos em rede.
São Sistemas de Detecção de Intrusão que possuem características tanto de NIDS quanto de HIDS. Um
SDI híbrido identifica o tráfego de rede e analisa os logs de casos de uso do sistema, tornando a detecção
mais eficaz. Um IDS híbrido deve ser instalado em uma máquina.
Um SDI híbrido capta os pacotes como um NIDS e os processa como um HIDS, o que o torna menos
vulnerável ao tráfego na rede. Porém, por ficar, instalado em uma máquina, ele depende do
processamento da mesma além de ser mais vulnerável a ataques contra o mesmo assim como os HIDS's.
• Ser tolerante a falhas de forma a não ser afetada por uma queda no sistema, ou seja, sua base de
conhecimento não deve ser perdida quando o sistema for inicializado;
• Resistir a tentativas de mudança (subversão) de sua base, ou seja, deve monitorar a si próprio de
forma a garantir sua segurança;
• Ser fácil de configurar. Cada sistema possui padrões diferentes e a ferramenta deve adaptar-se de
forma fácil a cada um;
• Cobrir as mudanças do sistema durante o tempo, como no caso de uma nova aplicação que seja
integrada ao sistema.
15.1.5. A TERMINOLOGIA
• Alertas/Eventos: É um aviso gerado pelo IDS quando este detecta determinada invasão. Este
alerta pode ser dado tanto local quanto remotamente.
• Evasão: É um ataque ao IDS sem que este detecte o mesmo, é uma maneira que se encontra de
ludibriar o sistema.
• Fragmentação: é uma maneira de dividir os pacotes de tal forma que não ultrapasse o limite da
rede. A fragmentação é utilizada para a evasão ou também em ataques de negação de serviço.
• Assinaturas: são ataques conhecidos. Através das assinaturas ou regras pode-se gerar os
alertas para atividades suspeitas. É feita comparação dos dados com as assinaturas e aí são
gerados os alertas.
• Falso positivo: quando a ferramenta classifica uma ação como possível intrusão, tratando-se na
verdade de uma ação legítima.
• Falso negativo: ocorre quando uma intrusão real acontece, mas a ferramenta permite que ela
passe como se fosse uma ação legítima.
• Subversão: ocorre quando o intruso modifica a operação da ferramenta IDS para forçar a
ocorrência de falso negativo.
• OSSEC: ferramenta bastante completa de HIDS, capaz de realizar análise de logs, verificação de
integridade de arquivos, monitoramento de políticas, detecção de rootkits e alertas em tempo real,
entre outros. Disponível para plataformas como Linux, MacOS, Solaris, HP-UX, AIX e Windows.
Fonte: http://tinyurl.com/zpx8ayt
Fonte: http://tinyurl.com/zyvjl5s
Como complemento aos NIDS, existem sistemas de detecção que agem em uma máquina específica,
monitorando elementos como chamadas ao sistema (system calls), logs de aplicação, modificação em
arquivos ou registros, criação de processos, entre outros. São chamados de HIDS (Host Intrusion Detection
Systems). Um HIDS protege apenas a máquina onde esteja instalado, porém é capaz de obter
informações que não trafegam na rede.
É comum a combinação de NIDS e HIDS em uma rede, de modo a monitorar tanto a rede, quanto as
aplicações e sistemas operacionais.
As tecnologias de IDS atualmente estão bastante sedimentadas, de modo que existem diversas
ferramentas, livres e comerciais. Vamos falar um pouco sobre o Snort, considerado um dos melhores IDS
open source do mercado.
15.3.1. SNORT
O Snort (https://www.snort.org/) é um NIDS open source, bastante
conhecido. Ele é baseado em assinaturas, de modo que é necessário
que ele seja constantemente atualizado para continuar sendo
eficiente. Existe um plugin estatístico para o Snort, chamado SPADE,
pouco usado.
O Snort possui uma estrutura modular altamente customizável, de
Fonte:http://tinyurl.com/zfqz5mj
modo que diversos plugins e programas acessórios podem ser
usados para expandir suas funcionalidades, como a possibilidade de
reagir a um alerta, a atualização automática das suas assinaturas e o gerenciamento de diversos sensores
espalhados em uma ou mais redes. Por ter o código-fonte aberto, o Snort
foi portado para plataformas como Linux e Windows. A figura a seguir apresenta os diferentes
componentes do Snort, desde a captura do pacote na rede até o registro de um alerta ou log.
ARQUITETURA DO SNORT
Segundo Caswell, a arquitetura do Snort é composta por quatro componentes básicos:
• farejador
• pré-processador;
• mecanismo de detecção;
Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.
SEGURANÇA DE REDES DE COMPUTADORES | UIA 3 | 39
• Alerta/registro.
O pré-processador e o mecanismo de alerta são todos compostos por plug-ins que foram separados do
código base para tornarem as modificações ao código fonte mais fáceis e confiáveis. A figura abaixo
mostra uma visão da arquitetura do Snort.
O decodificador de pacote é responsável pela obtenção dos pacotes no segmento de rede monitorado.
Os preprocessadores realizam diversos tipos de processamento em cima dos pacotes, com o objetivo de
obter tráfego normalizado. Questões como fragmentação, uso de codificações diferentes e ofuscação de
pacotes são tratadas nessa etapa. A seguir, o
detection engine é responsável por compilar as regras (assinaturas) e testar os pacotes contra essas
regras. O registro e sistema de alerta gera os registros do Snort e envia os alertas.
Por fim, os módulos de saída exportam os alertas e registros para um arquivo ou banco de dados. A figura
a seguir apresenta um exemplo de alerta gerado pelo Snort.
Através da arquitetura modular do Snort, é possível a geração de alertas em arquivos texto, bases de
dados, entre outros. Em conjunto com os alertas, é possível ainda o armazenamento dos pacotes que
causaram um determinado alerta, o que é importante para se determinar se um determinado alerta é
legítimo, ou se é um falso-positivo.
Fonte: http://tinyurl.com/ho73btx
Há programas auxiliares ao Snort, que geram alertas em formatos mais úteis para um administrador,
como BASE (Basic Analysis and Security Engine), Sguil (The Analyst Console for Network Security
Monitoring) e OSSIM, considerado um SIEM (Security Information and Event Management ). Um SIEM é
uma ferramenta centralizada de segurança, com o objetivo de concentrar as informações de segurança
em uma única ferramenta. O OSSIM é um conjunto de ferramentas integradas, com um console gráfico
completo. Muitas das ferramentas presentes no OSSIM foram ou serão apresentadas neste curso, como
Snort, Nessus, Ntop e Nagios. O interessante do OSSIM é que ele é disponibilizado como uma imagem
ISO, com todos os componentes instalados automaticamente, bastando apenas a sua inicialização
através dessa ISO.
Hoje em dia, as soluções necessitam de inteligência e pró-atividade, os eventos de uma rede tradicional
podem tranquilamente ultrapassar a barreira de algo compreensível por uma equipe.
É necessário que cada vez mais as ferramentas façam uma pré-análise de impacto e
filtro de possíveis falsos positivos e negativos.
Identificar um possível intruso é uma atividade considerada essencial para qualquer administrador
de segurança.
Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.
SEGURANÇA DE REDES DE COMPUTADORES | UIA 3 | 41
16.1. INTRUSO
Consideramos Intrusos os invasores de um sistema e se classificam de três maneiras:
Mascarado (invasor de fora Invasor que não está autorizado a entrar no sistema e o invade para obter
da rede ou sistema) privilégios de um usuário legítimo;
Infrator (invasor de dentro É um usuário real ou legítimo que não está autorizado a usar
da rede) determinados recursos, mas os utiliza, ou então, que está autorizado, mas
não os utiliza de forma lícita;
• Função unidirecional ou não reversível: A partir da entrada de uma senha o sistema a transforma
em um valor de tamanho fixo que não pode ser revertido. Assim, o sistema não necessita de
armazenar as senhas, mas somente os valores gerados a partir das mesmas.
Fonte: http://tinyurl.com/hlkmunm
Um sistema de prevenção de intrusão (IPS) é uma tecnologia de segurança e prevenção de ameaças que
examina os fluxos de tráfego de rede para detectar e prevenir exploits de vulnerabilidade. Os exploits de
vulnerabilidade geralmente vêm na forma de entradas maliciosas em um aplicativo ou serviço alvo que
os invasores usam para interromper e obter o controle sobre um aplicativo ou máquina.
Depois de um exploit bem-sucedido, o invasor pode desabilitar o aplicativo alvo (resultando em um
estado de negação de serviço) ou pode acessar todos os direitos e autorizações disponíveis para o
aplicativo comprometido.
Um IPS pode realizar análise de protocolo, pesquisa por conteúdo e pode ser utilizado
para detectar uma variedade de ataques e testes, tais como: estouros de buffer, varreduras
de portas no modo furtivo, ataques CGI, testes SMB, tentativas de identificação de sistema
operacional e muito mais.
O IPS foi originalmente construído e lançado como um dispositivo independente em meados da década
de 2000. Isso, no entanto, foi antes do advento das implementações de hoje, que agora são normalmente
integradas nas soluções de gerenciamento de ameaças unificado (UTM) - para pequenas e médias
empresas - e nos firewalls de última geração ( para grandes corporações).
A principal diferença entre um IDS (rede) e um IPS (rede) reside principalmente em duas
características: a) posicionamento em corte na rede do IPS e não apenas à escuta na rede
para o IDS (tradicionalmente posicionado como um sniffer na rede); b) possibilidade de
bloquear imediatamente as intrusões e independentemente do tipo de protocolo de
Um IPS baseado em rede, por exemplo, vai operar em linha para monitorar todo o tráfego em busca de
códigos maliciosos ou ataques. Quando um ataque é detectado, é possível bloquear os pacotes danosos
enquanto o tráfego normal continua seu caminho. A qualidade de um sistema de prevenção de intrusos
consiste em ser um excelente detector de tráfego malicioso com uma média de falso positivo e falso
negativo baixa. IPS é uma solução de segurança ativa.
16.2.2. FUNCIONAMENTO
A maioria dos IPS pode ser configurado com duas placas de rede, uma para gerenciamento e outra para
detecção. O IPS é uma ferramenta interessante na maneira de trabalhar, pois reúne componentes que
fazem com que ele se torne um repositório de logs e técnicas avançadas de alertas e respostas, voltadas
exclusivamente a tornar o ambiente computacional cada vez mais seguro sem perder o grau de
disponibilidade que uma rede deve ter.
IPS tem como finalidade reforçar a segurança de uma rede ou segmento no qual
será implementado.
Fonte: http://tinyurl.com/jet9otv
Mas para isso é necessário fazer uma ótima escolha do tipo de IPS a se utilizar, levando-se em
consideração o tipo de tráfego de rede ao qual o mesmo será destinado a proteger.
Assim o mesmo torna suas inspeções e tomadas de decisões mais fáceis ou também pode ser feito com
que o mesmo monitore mais de perto uma aplicação específica, exemplo editor de 30 textos,
protegendo-o contra um possível ataque. E ainda pode ser feito com que o HIPS monitore as partes
principais do sistema, ou seja, o mesmo faz a análise de todo o fluxo de dados e procura por ataques em
potencial. Além disto, o HIPS não tem problemas com conteúdo criptografado já que a criptografia e
descriptografia ocorrem no host que o mesmo monitora, ou seja, ele já tem acesso às informações
descriptografadas.
Um exemplo de dispositivos inline: os roteadores e switches que são responsáveis por repassar pacotes
IP’s entre redes.
O seu principal objetivo é verificar os pacotes que transitam pelo mesmo dentro do
segmento de rede por ele monitorado.
O mesmo inspeciona cada pacote que passa através dele e verifica por qualquer indicação de exploração
de vulnerabilidade. Quando identificado um ataque, ele toma as devidas decisões baseadas em suas
regras existentes, sendo assim o mesmo pode bloquear o tráfego suspeito.
Faz-se necessário tomar alguns cuidados quanto à implantação de um IPS, pois assim como os IDS os IPS
também podem ter problemas no caso de sua implantação em uma rede de alta velocidade, o IPS no
caso por trabalhar inline na rede caso não consiga fazer o gerenciamento dos dados que trafegam na
mesma pode causar um gargalo na rede e como consequência perca no quesito velocidade da rede.
O sistema realiza uma espécie de auditoria das informações que são coletadas dos tráfegos de rede e logs
do sistema, e com base nos mesmos faz suas análises e detecções.
A detecção de anomalias estatísticas toma amostras aleatórias do tráfego de rede e as compara com um
patamar de desempenho pré-calculado. Quando a amostra da atividade do tráfego de rede está fora dos
parâmetros de um patamar de desempenho, o IPS realiza uma ação para resolver a situação.
Em muitos softwares existem falhas, e são estas falhas que são visadas pelos atacantes que por sua vez
desenvolvem diferentes tipos de invasões, exemplos: scripts e vírus. Assim quando é feito a criação
desses vírus, os mesmos contêm características próprias que também são conhecidas como assinaturas.
Após tomar conhecimento da existência destas assinaturas é que são baseadas e criadas estas detecções.
É feito a análise do tráfego e quando detectado uma assinatura correspondente ao do tráfego analisado,
gera-se uma alerta ou é registrado o evento em forma de log.
Essas assinaturas permitem que as redes se protejam de variantes de um exploit que podem ainda não
ter sido diretamente observadas, mas também levanta o risco de falsos positivos.
16.2.5. PREVENÇÃO
O IPS normalmente localiza-se diretamente atrás do firewall, proporcionando uma camada
complementar de análise que seleciona negativamente o conteúdo perigoso.
Fonte: http://tinyurl.com/gnhb7gy
Diferentemente de seu predecessor, o Sistema de Detecção de Intrusão (IDS) - que é um sistema passivo
que examina o tráfego e informa sobre ameaças - o IPS é colocado em linha (no caminho de
comunicação direto entre origem e destino), analisando ativamente e realizando ações automaticamente
em relação a todo o fluxo de tráfego que entra na rede. Essas ações incluem:
• Redefinir a conexão
Como um componente de segurança em linha, o IPS deve funcionar de forma eficiente para evitar a
degradação do desempenho de rede. Ele também deve trabalhar rápido, porque os exploits podem
ocorrer quase em tempo real. O IPS também deve detectar e responder de forma precisa, de modo a
eliminar ameaças e falsos positivos.
Administradores tem a opção de desativar as funções de IPS, fazendo com que o sistema passe a
funcionar apenas como IDS.
Com o simples dever de detectar, manter um log e tentar bloquear atividades maliciosas da rede, o IPS
veio preencher uma lacuna que o firewall por si só não preenche.
Baseado em redes sem fio monitora o tráfego de rede sem fio e o analisa para identificar atividade
maliciosa e suspeita que envolva o próprio protocolo de rede sem fio.
Os sistemas de detecção de intrusão são utilizados como fonte de conhecimento sobre novos ataques,
além de sua função principal, que é a de detecção, porém os honeypots podem nos ensinar muito mais.
Um honeypot não deve conter dados ou aplicações muito importantes para a organização,
e tem único objetivo passar-se por um verdadeiro equipamento da organização que é
configurado para interagir com um atacante em potencial.
Desta forma, as características da técnica utilizada e do ataque em si podem ser capturados e estudados.
17.1. HONEYPOT
De acordo com Lance Spitzner, membro-fundador do Projeto Honeynet, um honeypot é um recurso de
segurança, cujo valor reside em serem sondados, atacados ou comprometidos.
Segundo Assunção um honeypot é uma ferramenta ou sistema criado com objetivo de enganar um
atacante e fazê-lo pensar que conseguiu invadir o sistema, quando na realidade, ele está em um
ambiente simulado, tendo todos os seus passos vigiados e registrados.
Fonte: http://tinyurl.com/gp2gxyv
Com afirma Montes os honeypots podem ser classificados em dois níveis de serviços: o de baixa interação
e o de alta interação.
Desta forma, o sistema operacional real deste tipo de honeypot deve ser instalado e configurado de
modo seguro, para minimizar o risco de comprometimento. Simula apenas serviços que não podem ser
explorados de forma a obter acesso total ao honeypot, dessa maneira, o atacante fica limitado a interagir
apenas com serviços previamente designados. De modo geral, este tipo de honeypot:
• Baixo risco
Assim, este tipo, oferece oportunidades de aprendizado superiores, onde é possível identificar novas
ferramentas, identificar novas vulnerabilidades em sistemas operacionais ou aplicativos, aprender como
os invasores, e saber como funciona a comunicação entre eles.
A criação desse tipo de ambiente faz com que exista poucas diferenças de sistemas reais. Na maioria das
vezes, esses não diferem dos sistemas em produção, a diferença está no propósito cujo objetivo está em
serem sondados, atacados ou comprometidos.
Em virtude do nível de interação, existe um nível maior de risco, uma vez que o atacante
tendo controle de um destes honeypot, podem ter liberdade total de fazer o que quiser,
como por exemplo, atacar outros sistemas ou capturar a atividade de produção. Portanto,
deve haver certo trabalho de analisar todos os riscos e controla-los de forma segura.
Normalmente, são colocados dentro de um ambiente controlado, atrás de um firewall, sendo o único
controle realizado, trazendo certa complexidade em fazer com que o atacante não perceba que está
sendo monitorado. De modo geral, este tipo de honeypot:
• Faz uso de serviços legítimos – Cuidados especiais para evitar que sejam usados para lançamento
de ataques;
• Coleta de inteligência, análise de tendências;
• Aplicabilidade:
§ Análise detalhada de ferramentas e vulnerabilidades exploradas;
§ Coletar material para análise forense e;
§ treinamento de pessoal.
Exemplos de honeypots de alta interatividade são as honeynets e as honeynets virtuais. Baixa x Alta
Interatividade (Segundo Jessen e Chaves).
HONEYPOTS DE PESQUISA
São ferramentas de pesquisa programadas para observar as ações de atacantes e invasores, facilitando as
análises detalhadas de suas motivações, das ferramentas utilizadas e vulnerabilidades exploradas.
Eles são mais utilizados para estudos ou por empresas de proteção contra ataques.
Os honeypots de pesquisa têm despertado muita atenção, pois são usados para obter informações sobre
as ações de atacantes. O Honeynet Project, por exemplo, é uma organização voluntária de pesquisa de
segurança que utiliza os honeypots para coletar informações sobre ataques cibernéticos.
Esse tipo de honeypot trabalha fora da rede local da empresa, sendo que, uma configuração mal feita
pode acarretar em novos ataques.
HONEYPOTS DE PRODUÇÃO
São aqueles utilizados em redes de produção como complemento ou no lugar de sistemas de detecção
de intrusão. Tem como objetivo analisar e detectar atacantes na rede, consequentemente tomando as
devidas providencias o mais rápido possível.
Os honeypots de produção têm despertado menos atenção, apesar de serem utilizados para proteger as
empresas. Porém, cada vez mais os honeypots vêm sendo reconhecidos pela capacidade de detecção que
podem proporcionar e pelas maneiras com que suplementam a proteção contra intrusões baseadas na
rede e no host.
Os honeypots de produção são utilizados por empresas e instituições que visam proteger suas redes.
Fonte: http://tinyurl.com/huayaqt
Um Honeypot pode ser colocado tanto para Internet ou para a intranet, conforme o
serviço a ser oferecido.
Ele pode ser posicionado em três lugares diferentes, conforme descreve Marcelo e Pitanga:
• Por trás do Firewall - Nesta localização as políticas de segurança devem ser modificadas, para que
o nível de segurança seja maior, devem ser feitas também alterações nas assinaturas do sistema
de detecção de intrusos, para não ter alertas desnecessários. Esta localização tem uma grande
• Na zona desmilitarizada (DMZ) - Nesta localização tem como finalidade evitar que o hacker fuja
pela Internet, ao gateway de acesso ou para rede interna, porém deve se levar em consideração
que as regras e assinaturas do sistema de detecção de intrusão devem estar bem definidas nesta
área de defesa, como vemos na figura abaixo:
Lembre-se, honeypots não são substitutos para as melhores práticas de segurança, nem para as políticas
de segurança, nem para a implementação firewalls, IPS e IDS e nem para o gerenciamento de patches.
17.2. HONEYNET
Honeynet é uma ferramenta de pesquisa, que consiste de uma rede projetada
especificamente para ser comprometida, e que contém mecanismos de controle
para prevenir que seja utilizada como base de ataques contra outras redes.
Segundo Assunção uma honeynet é formada por um conjunto de honeypots que simulam uma rede de
produção, que é configurada para que as suas atividades possam ser monitoradas, gravadas e, em certo
grau, controladas. É uma rede configurada para ser invadida, no qual todo tráfego que entra ou sai do
gateway/roteador é considerada uma invasão.
Uma vez comprometida, a honeynet é utilizada para observar o comportamento dos invasores, possibilitando
análises detalhadas das ferramentas utilizadas, de suas motivações e das vulnerabilidades exploradas.
Fonte: http://tinyurl.com/hphf7jn
Uma honeynet normalmente contém um segmento de rede com honeypots de diversos sistemas
operacionais e que fornecem diversas aplicações e serviços. Também contém mecanismos de contenção
robustos, com múltiplos níveis de controle, além de sistemas para captura e coleta de dados, e para
geração de alertas.
real poderia ser composta por diversos computadores, sendo que cada um poderia conter um honeypot,
firewall, IDS e IPS, entre outros.
Fonte: http://tinyurl.com/jf58djc
Exemplificando, uma honeynet real pode ser composta pelos seguintes dispositivos:
• diversos computadores, um para cada honeypot. Cada honeypot com um sistema operacional,
aplicações e serviços reais instalados;
Antes, era preciso adquirir, por exemplo, oito computadores diferentes para construir uma Honeynet
completa, agora, precisa-se apenas de um equipamento. Todavia, esta simplicidade possui seu custo.
Primeiro, o software de virtualização limita o hardware e o tipo de sistema operacional que você pode simular.
Segundo, um atacante pode vir a comprometer o software de virtualização, e assim, comprometer a
totalidade da Honeynet. Por fim, se os invasores quebrarem os sistemas contidos na Honeynet virtual, eles
estarão aptos a determinar todos os sistemas que estão rodando no ambiente virtual.
Uma honeynet virtual baseia-se na ideia de ter todos os componentes de um honeypot implementados
em um número reduzido de dispositivos físicos.
Fonte: http://tinyurl.com/hn5jox3
Para concretizar tal ideia, normalmente é utilizado um único computador com um sistema operacional
instalado, que serve de base para a execução de um software de virtualização como o VMware, VirtualBox
entre outros. Uma desvantagens que devemos estar atentos são o alto custo por dispositivo, pois são
necessários equipamentos mais robustos para um bom desempenho da honeynet, e o atacante pode ter
acesso a outras partes do sistema, pois tudo é compartilhado de um mesmo computador e o mesmo
pode perceber que esta interagindo com um ambiente falso, uma rede virtual.
De acordo com Honeynet Projetc o conceito do funcionamento de uma honeynet é criar uma
rede altamente controlada. Spitzner diz que a ideia da honeynet é a de ter uma arquitetura que
cria uma rede altamente controlada, onde colocamos dentro desta rede sistemas de produção
e assim toda atividade realizada dentro dela será capturada, armazenada e analisada para
criação de possíveis métodos de proteção contra ataques cibernéticos.
Honeynet Project ainda afirma que a captura de dados e o controle de dados são os grandes
responsáveis para que uma honeynet seja bem elaborada.
Aula 18 | VPN
As redes privadas virtuais (VPN — Virtual Private Network) têm uma importância fundamental para as
organizações, ao permitirem que as conexões dedicadas sejam substituídas pelas conexões públicas.
Além do que ocorre com as conexões privadas, também é possível obter economia com a substituição
das estruturas de conexões remotas, que podem ser eliminadas em função da utilização dos clientes e
provedores VPN. Porém, essas vantagens requerem uma série de considerações com relação à segurança,
em especial com os clientes VPN.
18.1. VPN
Virtual Private Network é um termo bastante utilizado atualmente.
Dessa forma, gestores de empresas vêm buscando mecanismos para manter as equipes sempre em
comunicação, visando diminuir os investimentos em infraestrutura de TI ou até mesmo buscando melhor
uso do parque tecnológico já instalado.
Uma solução efetiva de VPN visa transportar os dados de modo seguro e sigiloso, usando um canal
compartilhado para interligar duas redes privadas protegidas. Para que isso ocorra, precisamos alcançar
alguns objetivos importantes:
• Confidencialidade dos dados: garantia de que a mensagem não poderá ser interpretada por
origens não autorizadas.
• Integridade dos dados: garantia de que o conteúdo da mensagem não foi alterada durante a
transmissão entre o emissor e o receptor.
• Não repúdio do emissor: o emissor não poderá repudiar o envio da mensagem, ou seja, dizer que
ele não enviou a mensagem questionada, com embasamento legal.
• Autenticação da mensagem: garantia de que a mensagem foi enviada por uma fonte autêntica e
será entregue a um destino autêntico.
Na tabela abaixo, podem ser observadas as camadas do modelo OSI e as respectivas aplicações de
tecnologias de VPN.
Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.
SEGURANÇA DE REDES DE COMPUTADORES | UIA 3 | 57
• Autenticação da mensagem.
Fonte: http://tinyurl.com/jxcbkbz
Ele utiliza a autenticação do PPP com um recurso de túnel que pode ser criptografado utilizando
criptografia de 40 ou 128 bits.
Fonte: http://tinyurl.com/zsl9m2n
Será necessário NAT de um-para-um ou algum protocolo especial para permitir o uso de PPTP. Foram
desenvolvidas várias formas de autenticação do PPP, sendo as mais usuais:
Podemos verificar, assim, que o CHAP e o MS-CHAP são preferíveis ao PAP, pois não trafegam a senha em
texto claro.
18.3.2. L2TP
O L2TP é um protocolo aberto, especificado na RFC 2661. Foi desenvolvido por um grupo de empresas
incluindo Cisco e Microsoft.
Assim como o PPTP, o L2TP utiliza a estrutura cliente servidor, mas é orientado
a pacotes.
Dessa forma, alguns problemas de desempenho do PPTP foram contornados, por utilizar UDP como
protocolo de transporte.
Para implementar o túnel L2TP em redes com firewall por padrão, é necessário liberar a porta UDP 1701.
Como é um protocolo orientado a pacotes, o NAT pode ser implementado no modelo um-para-muitos
ou um-para-um. Por ser mais leve e prover melhor desempenho, recomenda-se usar o L2TP no lugar do
PPTP, sempre que possível. Deve-se ainda evitar o PPTP, especialmente as versões com chaves de 40 bits,
pois diversas vulnerabilidades já foram descobertas nesse protocolo.
18.3.3. IPSEC
A segurança de IP (IPSec) é uma capacidade que pode ser acrescentada a qualquer versão atual do
protocolo Internet: IPv4 e IPv6, por meio de cabeçalhos adicionais. O IPSec atua na camada de rede do
modelo OSI, por criptografar o conteúdo (payload) do pacote IP.
Como o IPSec não é um protocolo único, mas sim um conjunto de protocolos, cada qual com um objetivo
específico, podemos chamar o IPSec de suíte de segurança IP.
A especificação do IPSec consiste em várias RFCs, sendo as mais importantes delas emitidas em 1998. São elas:
• RFC 2402: descrição de uma extensão de autenticação de pacotes para IPv4 e IPv6.
• RFC 2406: descrição de uma extensão de criptografia de pacote para IPv4 e IPv6.
Fonte: http://tinyurl.com/j8elnmg
ARQUITETURA
Abrange os conceitos gerais, os requisitos de segurança, definições e mecanismos, definindo a
tecnologia IPSec.
ALGORITMO DE CRIPTOGRAFIA
Um conjunto de documentos que descrevem como diversos algoritmos de criptografia são usados para ESP.
ALGORITMO DE AUTENTICAÇÃO
Um conjunto de documentos que descrevem como vários algoritmos de autenticação são usados para
AH e para a opção de autenticação do ESP.
GERENCIAMENTO DE CHAVES
Documentos que descrevem esquemas de gerenciamento de chaves. Exemplo: ISAKMP.
Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.
SEGURANÇA DE REDES DE COMPUTADORES | UIA 3 | 61
DOMÍNIO DE INTERPRETAÇÃO
São valores para os outros documentos se relacionarem entre si. Incluem identificadores para algoritmos
aprovados de criptografia e autenticação, além de parâmetros operacionais, como tempo de vida da chave.
PROTOCOLOS IPSEC
Fonte: http://tinyurl.com/jt6f7xf
O IPSec oferece serviços de segurança na camada de IP, permitindo que um sistema selecione protocolos
de segurança exigidos, e determine os algoritmos necessários para os serviços, colocando no lugar
quaisquer chaves criptográficas exigidas para oferecer os serviços solicitados.
Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.
SEGURANÇA DE REDES DE COMPUTADORES | UIA 3 | 62
Dois protocolos podem ser usados para oferecer segurança: autenticação do cabeçalho (AH) e um
protocolo combinado de criptografia e autenticação, designado pelo formato de pacote para esse
protocolo, denominado Encapsulamento de Segurança do Payload (ESP). Os serviços e suporte de cada
protocolo IPSec seguem listados na tabela a seguir:
AH ESP ESP + AH
O IPSec pode ser utilizado tanto para comunicação segura entre computadores (geralmente no modo
transporte), quanto para o estabelecimento de VPN (geralmente no modo túnel).
Fonte: http://tinyurl.com/zp4kqcz
Fonte: http://tinyurl.com/jnq65cw
Copyright © 2016 Centro Universitário IESB. Todos os direitos reservados.
SEGURANÇA DE REDES DE COMPUTADORES | UIA 3 | 63
Alguns sistemas operacionais atuais, já possuem suporte nativo a IPSec, de modo que é possível que todo
o tráfego entre servidores seja criptografado. Normalmente para utilizar IPSec, os roteadores presentes na
rede devem suportar e entender o protocolo, para poderem encaminhar corretamente os dados.
Na criptografia, normalmente são utilizados algoritmos DES, 3DES ou AES. Para o código Hash são
utilizada funções MD5 ou SHA-1.
• Navegador web
Layer). Embora os dois protocolos tenham a mesma finalidade, existem diferenças sutis
entre eles.
Ambos os protocolos suportam uma variedade de algoritmos de criptografia ou cifras para realizar
algumas funções, como a autenticação do servidor e do cliente, transmissão de certificados e
estabelecimento das chaves de sessão.
Para a criptografia em massa dos dados, algoritmos simétricos são utilizados. Algoritmos
assimétricos são utilizados para autenticação e troca de chaves. O Hash é utilizado como
parte do processo de autenticação.
Com o uso de VPNs baseadas em SSL, é possível ter acesso a aplicações ou redes remotas, tendo
como acesso qualquer tipo de conectividade à internet, sendo necessário apenas um navegador da
internet ou um software cliente instalado na máquina do usuário. Essa flexibilidade permite às VPNs
baseadas em SSL prover acesso de qualquer lugar a recursos computacionais de uma empresa. Dessa
forma, colaboradores de uma empresa podem utilizar VPNs baseadas em SSL para ter acesso remoto
a aplicações de uma empresa.
Existem algumas etapas no estabelecimento da sessão VPN SSL que podem ser descritas em fases,
conforme ilustra a figura a seguir:
a) Nesta fase, o equipamento do usuário estabelece uma conexão TCP na porta 443 do servidor.
b) O servidor SSL apresenta um certificado digital que contém a chave pública digitalmente
assinada por uma Autoridade Certificadora confiável.
c) O computador do usuário gera uma chave simétrica compartilhada entre as duas partes,
cliente e servidor.
d) A chave pública do servidor é utilizada para criptografar a chave compartilhada e transmitir para
o cliente. O software do servidor utiliza a chave privada para descriptografar a chave
compartilhada enviada pelo cliente. Assim que o servidor realizar esse
processo, ambos terão acesso à chave compartilhada.
e) A chave compartilhada então é utilizada para criptografar o dados
transmitidos na sessão SSL.
O OpenVPN (https://openvpn.net/ ) é um exemplo de software livre, que utiliza
SSL para criar túneis VPN. Uma vantagem das VPN SSL em relação ao IPSec é que
Fonte:
a liberação do acesso através de um firewall é bem mais simples, pois envolve http://tinyurl.com/hqu2nw
p
apenas uma porta (443 TCP), que normalmente já é liberada pra acessos www
seguros (HTTPS).
Fonte: http://tinyurl.com/jkqmhjx
Você terminou o estudo desta unidade. Chegou o momento de verificar sua aprendizagem.
Ficou com alguma dúvida? Retome a leitura.
Quando se sentir preparado, acesse a Verificação de Aprendizagem da unidade no menu
lateral das aulas ou na sala de aula da disciplina. Fique atento, essas questões valem nota!
Você terá uma única tentativa antes de receber o feedback das suas respostas, com
comentários das questões que você acertou e errou.
Vamos lá?!
REFERÊNCIAS
Assunção, Marcos Flávio Araújo. Honeypots e Honeynets:Aprenda a Detectar e Enganar Invasores:
Visual Books. Rio , 2009.
BACE, Rebeca e MELL, Peter. Intrusion detection systems: NIST Special Publication on IDS, 2000.
BRANCO, Rodrigo Rubira. SHA – Descrição e Resumo. Programa de Pós Graduação Latu-Sensu
ITA/Stefanini. Disponível em < http://www.kernelhacking.com/rodrigo/docs/trabalhoSHA.pdf>. Acesso
em 28 set 2016.
CASWELL, Brian et al. Snort 2: Sistema de detecção de intrusão. Rio de Janeiro: Alta Books, 2003.
COMER, Douglas E. Interligação em rede com TCP/IP: princípios, protocolos e arquitetura. Rio de
Janeiro: Campus, 2006.
INFOLINK. 10 “coisinhas” que um IPS efetivo deve fazer. 2013. Disponível em <
http://blog.infolink.com.br/10-coisinhas-que-um-ips-efetivo-deve-fazer/>. Acesso em 5 out 2016.
INPE. Técnicas de monitoração de atividades em honeypots de alta interatividade. Disponível em <
http://mtc-m16.sid.inpe.br/col/sid.inpe.br/marciana/2004/01.19.09.42/doc/tmh-ssi2003.pdf>. Acesso em
5 out 2016.
MELO, Sandro. Exploração de Vulnerabilidade em Redes TCP/IP. Rio de Janeiro: Alta Books, 2004.
MONTEIRO, Emiliano S. Certificados Digitais - Conceitos e Práticas. Rio de Janeiro: Brasport, 2007
MORAES, Alexandre Fernandes de. Segurança em redes: fundamentos. São Paulo: Érica, 2010.
MORAES, Alexandre Fernandes de. Segurança em redes: fundamentos. São Paulo: Érica, 2010.
MUNDOTECNOLOGICO. Ferramenta IDPS (IDS/IPS): Prontinha pra usar e Open Source. 2011. Disponível
em < https://mundotecnologico.net/2011/09/13/ferramenta-idps-idsips-prontinha-pra-usar-e-open-
source/>. Acesso em 5 out 2016.
NAKAMURA, Emilio Tissato; GEUS, Paulo Licio de. Segurança de redes em ambientes cooperativos. São
Paulo: Novatec, 2010.
NAKAMURA, Emilio Tissato; GEUS, Paulo Licio de. Segurança de redes em ambientes cooperativos. São
Paulo: Novatec, 2010.
NED, Frank. Ferramentas de IDS: Boletim bimestral sobre tecnologia de redes produzido e publicado
pela RNP. Rede Nacional de Ensino e Pesquisa, n. 5, v.3, 1999.
NIST. Guide to Intrusion Detection and Prevention Systems (IDPS). Disponível em <
http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-94.pdf>. Acesso em 5 out 2016.
OLIVEIRA, Wilson. Técnicas para hackers e soluções para segurança: versão 2. Porto:
Centroatlantico.pt, 2003.
R. C. Joshi,Anjali Sardana. Honeypots: A New Paradigm to Information Security. CRC Press. 2013.
RICCI, Bruno. Rede Segura. VPN Linux. Ciência Moderna. Rio, 2007.
SNORT. Snort 2.9.8.3 is now available. Disponível em < https://www.snort.org/>. Acesso em 5 out 2016.
SOFTWARELIVRE. Snort: Ferramenta livre garante segurança na Rede Serpro. Disponível em <
http://www.softwarelivre.gov.br/>. Acesso em 5 out 2016.
TECHTUDO. Vírus de celular é igual a vírus de computador? Entenda as diferenças. 2013. Disponível
em <http://www.techtudo.com.br/artigos/noticia/2013/05/virus-de-celular-e-igual-virus-de-
computador-entenda-diferencas.html>. Acesso em 28 set 2016.
TECMUNDO. 10 mitos e verdades que você precisa saber sobre vírus para celulares. 2014. Disponível
em <http://www.tecmundo.com.br/celular/54897-10-mitos-verdades-voce-precisa-saber-virus-
celulares.htm>. Acesso em 28 set 2016.
TRINTA, Fernando Antonio Mota; MACÊDO, Rodrigo Cavalcanti de. Um Estudo sobre Criptografia e
Assinatura Digital. 1998. Disponível em <http://www.di.ufpe.br/~flash/ais98/cripto/criptografia.htm>.
Acesso em 28 set 2016.
UNB. Estudo e implementação do algoritmo de resumo criptográfico SHA-3. 2013. Disponível em <
http://bdm.unb.br/bitstream/10483/6608/1/2013_GracielleForechiOlivier.pdf>. Acesso em 5 out 2016.
UNISC. Sistema de detecção de intrusão reativo para redes gerenciadas com mikrotik routeros.
2015. Disponível em <
http://online.unisc.br/acadnet/anais/index.php/salao_ensino_extensao/article/view/14161>. Acesso em
5 out 2016.
WEBARTIGOS. Segurança de redes com IPS, sua relação com IDS e sua importância no trabalho
conjunto com o Firewall. Disponível em < http://www.webartigos.com/artigos/seguranca-de-redes-
com-ips-sua-relacao-com-ids-e-sua-importancia-no-trabalho-conjunto-com-o-firewall/128465/>. Acesso
em 5 out 2016.