Académique Documents
Professionnel Documents
Culture Documents
– Algumas Certificações
●
Certified Information Systems Security Professional (CISSP)
●
Certified Ethical Hacker (C|EH)
●
Offensive Security Certified Professional (OSCP)
●
Auditor Líder ISO 27001
– Alguns Cursos
●
Engenharia Reversa de Código Malicioso ( RNP )
●
Extensão universitária em Perícia Computacional e Software Livre ( Atenas - BSB )
●
Auditoria de Segurança em Aplicações WEB ( Strong Security )
●
Advanced Incident Handling for Technical Staff – AIH ( CERT.br )
●
Uma das formas mais adequadas de se proteger é
utilizando uma estratégia de segurança multicamadas,
que protege com diferentes tecnologias de segurança
os principais pontos de entrada de ameaças.
●
Não é apenas uma série de softwares de segurança e
equipamentos, mas um processo e prática constantes
que se concentram na proteção, detecção e reação.
●
Gerenciamento de Autorização
– Permissões de Acesso
– Política Organizacional
– Registros de Logs
– Auditorias
– Monitoramento de tráfego
32
Firewall
●
4ª Geração - Next Generation Firewalls (NGFW)
– Performance
– Inspeção SSL
– Profunda inspeção de pacotes
– Prevenção de Intrusão
– Reputação de IP e Geo-IP
– External threat intelligence capabilities
– Anti DDOS
– Sandboxing
●
Appliance físico ou máquina virtual
●
Ambiente de execução seguro para testes de arquivos suspeitos
●
Reporta resultados como: Accept or Block
●
O iptables atua sobre as tabelas presentes no Kernel, que
indicam situações de roteamento, de acordo com a situação
em que se encontra o pacote, a qual é referida por uma
cadeia de regras, ou chain
http://ipset.netfilter.org/iptables.man.html
Curso: SEGURANÇA DA INFORMAÇÃO
Disciplina: SECURE DEFENSE
41
Firewall Iptables
●
Quando um pacote coincide com uma regra ele deve ser direcionado a
um alvo (ação):
– ACCEPT significa deixar o pacote passar.
– DROP significa descartar o pacote.
– REJECT envia como resposta um pacote de erro e descarta o pacote.
– QUEUE significa passar o pacote para um programa externo administrar o
fluxo atribuído ao mesmo.
– LOG liga o logging do kernel.
– MASQUERADE altera o endereço de origem automaticamente pelo IP da
interface de saída. Normalmente NAT N:1
– DNAT altera o endereço de destino do pacote para um IP específico e é
executado antes das regras de roteamento. Normalmente NAT 1:1
– SNAT altera o endereço de origem do pacote para um IP específico e é
executado após as regras de roteamento.
IPTABLES
192.168.56.2
192.168.56.10
– Credenciais de Acesso
●
Usuário: root
●
Senha: 12345678
– Agora testem os accessos às máquinas Virtuais
192.168.56.2
192.168.56.10
●
Identificação do IP da interface externa do Firewall
– # ifconfig enp0s3 // Anote o IP até o final dos laboratórios
IP? 192.168.56.2
192.168.56.10
IP? 192.168.56.2
192.168.56.10
TCP 80
TCP 443
192.168.56.10
OBS: Em ambiente real outras conexões devem ser permitidas, por exemplo: atualizações de
segurança e sincronismo de tempo.
Passivo
●
Conexão de Controle
– Cliente → Servidor, destino porta TCP 21
●
Conexão de Dados
– Cliente → Servidor, destino porta alta.
TCP 80
TCP 443
192.168.56.10
OBS: Em ambiente real outras conexões devem ser permitidas, por exemplo: atualizações de
segurança e sincronismo de tempo.
●
Um Sistema de Detecção e Prevenção de Intrusão é
utilizado para monitorar e proteger as redes e sistemas de
atividades maliciosas detectando/prevenindo atividades
suspeitas.
– Enquanto que o objetivo do IDPS é identificar potenciais
atividades maliciosas, o Firewall é configurado para bloquear
tráfego que esteja em desacordo com os padrões e regras
estabelecidos.
– Segundo a arquitetura
●
Baseado em host (Host IDS - HIDS)
●
Baseado em rede (Network IDS - NIDS)
●
Híbrido
●
Suricata
– É também um software livre de detecção e prevenção de intrusão para
rede (IDS/IPS), capaz de realizar análise de tráfego em tempo real.
– Produto mais novo e menos difundido e parece realmente promissor.
Também é baseado em assinaturas, mas integra técnicas
revolucionárias.
– Desde 2009. Open Information Security Foundation (OISF)
SURICATA
– http://<ip_externo>/dvwa/vulnerabilities/sqli/?id=-1%27+union+select+
%271%27%2Cdatabase%28%29++%23&Submit=Submit#
– http://<ip_externo>/dvwa/vulnerabilities/sqli/?id=-1%27+union+select+
%271%27%2C+group_concat%28table_name
%29+from+information_schema.tables+where+table_schema+%3D+%27dvwa
%27+%23&Submit=Submit#
– http://192.168.25.130/xvwa/vulnerabilities/fi/?file=/etc/passwd
●
Utilizando o software sqlmap
sqlmap -u http://<IP_externo>/xvwa/vulnerabilities/sqli/ --data="search=1" --dump
●
O firewall iptables falhou?
– Não! Executou corretamente o papel dele!
●
Adicionemos mais uma camada de segurança para
tentar identificar atividade maliciosa nos serviços
autorizados!
– Download suricata
cd /root/
wget -c http://www.openinfosecfoundation.org/download/suricata-4.0.5.tar.gz
tar -xvzf suricata-4.0.5.tar.gz
cd suricata-4.0.5/
https://suricata-ids.org/
– Diretório de logs
/var/log/suricata
●
Visualizar os logs do IPS em tempo real
tail -f /var/log/suricata/fast.log
– http://<ip_externo>/dvwa/vulnerabilities/sqli/?id=-
1%27+union+select+%271%27%2Cdatabase%28%29++
%23&Submit=Submit#
– http://<ip_externo>/dvwa/vulnerabilities/sqli/?id=-
1%27+union+select+%271%27%2C+group_concat%28table_name
%29+from+information_schema.tables+where+table_schema+
%3D+%27dvwa%27+%23&Submit=Submit#
– http://192.168.25.130/xvwa/vulnerabilities/fi/?file=/etc/passwd
[Service]
# Environment file to pick up $OPTIONS
EnvironmentFile=-/etc/default/suricata
ExecStartPre=/bin/rm -f /var/run/suricata.pid
ExecStart=/usr/bin/suricata -c /etc/suricata/suricata.yaml --pidfile /var/run/suricata.pid $OPTIONS
ExecReload=/bin/kill -USR2 $MAINPID
[Install]
WantedBy=multi-user.target
– Iniciar/Parar/Verificar status
service suricata [ start | stop | status ]
●
Testar acesso ao FTP como usuário autenticado
ftp://usuario:usuario@<IP_externo>
●
Visualizar os logs do suricata
tail -f /var/log/suricata/fast.log
11/07/2018-17:07:19.218367 [Drop] [**] [1:1000001:1] POLICY FTP anonymous login
attempt [**] [Classification: Misc activity] [Priority: 3] {TCP}
192.168.25.145:33360 -> 192.168.56.10:21
– https://<ip_externo>/dvwa/vulnerabilities/sqli/?id=-
1%27+union+select+%271%27%2Cdatabase%28%29++
%23&Submit=Submit#
– https://<ip_externo>/dvwa/vulnerabilities/sqli/?id=-
1%27+union+select+%271%27%2C+group_concat%28table_name
%29+from+information_schema.tables+where+table_schema+%3D+
%27dvwa%27+%23&Submit=Submit#
– https://192.168.25.130/xvwa/vulnerabilities/fi/?file=/etc/passwd
●
Como pode ser resolvido?
OBS: Em ambiente real as configurações do IDPS devem ser exaustivamente testadas para
minimizar os falsos positivos e falsos negativos.
ModSecurity
●
Outra tecnologia utilizada na otimização dos serviços é a
virtualização. O Comando de Armas, por exemplo, afirma
que reduziu a quantidade de servidores de 200 para 90.
( Fonte: https://seginfo.com.br )
●
A ideia de guardar arquivos em uma “entidade tecnológica”
chamada nuvem surge do fato de que não se sabe exatamente
onde os dados estão sendo armazenados ou processados. Eles
podem estar em um servidor aqui mesmo no Brasil, do outro
lado do mundo, no Japão, ou ainda nos dois locais ao mesmo
tempo
●
Na nuvem, você não precisa gerenciar servidores físicos. Em vez disso, você
usa ferramentas de segurança baseadas em software para monitorar e proteger
o fluxo de informações para dentro e para fora dos seus recursos de nuvem.
– Diferentemente dos ambientes físicos, máquinas virtuais podem ser criadas em questão
de minutos. Fica fácil perder o controle do que está online, offline e das possíveis
brechas de segurança resultantes.
●
Análise de Código
– Coverity
– Fortify
– Ounce Labs