Segurança de Rede, Defesa Cibernética e Operações (9789727229420)
Reservados todos os direitos, incluindo os de reprodução total ou parcial em qualquer formato ou de suporte e base de dados, quaisquer que sejam os seus objetivos, sem prévia autorização expressa por escrito da Editora.
Impressão e acabamento: Tipografia Lousanense, Lda. – Lousã
Depósito Legal n.º 534645/24
Capa: José M. Ferrão – Look-Ahead
Todos os nossos livros passam por um rigoroso controlo de qualidade, no entanto aconselhamos a consulta periódica do nosso site (www.fca.pt) para fazer o download de eventuais correções.
Não nos responsabilizamos por desatualizações das hiperligações presentes nesta obra, que foram verificadas à data de publicação da mesma.
Os nomes comerciais referenciados neste livro têm patente registada.
Reservados todos os direitos. Esta publicação não pode ser reproduzida, nem transmitida, no todo ou em parte, por qualquer processo eletrónico, mecânico, fotocópia, digitalização, gravação, sistema de armazenamento e disponibilização de informação, sítio Web, blogue ou outros, sem prévia autorização escrita da Editora, exceto o permitido pelo CDADC, em termos de cópia privada pela AGECOP –– Associação para a Gestão da Cópia Privada, através do pagamento das respetivas taxas.
8.3.1
PREFÁCIO
É com grande prazer que apresento o livro Segurança de Rede, Defesa Cibernética e Operações, uma grande obra que explica a complexidade da segurança informática. Daniel Ferreira, uma excelente pessoa que tenho o prazer de considerar um amigo, proporciona uma compreensão completa e aprofundada dos problemas e soluções encontrados no vasto mundo dos sistemas e da proteção de dados.
Somos levados numa fascinante viagem técnica pelas páginas deste livro, que aborda os princípios de segurança de rede e as operações complexas necessárias para garantir a integridade dos sistemas. Este livro é uma referência útil para estudantes e profissionais da área de segurança da informação, pois os capítulos cuidadosamente organizados fornecem uma compreensão clara e aplicável dos tópicos importantes.
O leitor aprende sobre segurança de rede no primeiro capítulo, “Introdução à segurança de rede”, e sobre a importância vital deste campo em constante mudança. No capítulo seguinte, Daniel Ferreira apresenta os tipos de ataques, oferecendo uma análise completa das ameaças aos ambientes digitais.
O livro explora tópicos como fundamentos de firewall, sistemas de deteção de intrusões e fundamentos de criptografia, desmistificando conceitos complicados e tornando acessíveis informações importantes sobre defesa cibernética. Os capítulos sobre virtual private networks e o modelo Transmission Control Protocol/ /Internet Protocol fornecem mais informações, bem como uma sólida compreensão das tecnologias fundamentais, proporcionando uma visão end to end. Somos guiados por capítulos específicos à medida que progredimos, como “Operating System Hardenings”, que explora práticas para proteger os sistemas operativos contra ameaças, e “Ataques de vírus e como se defender”, que fornece informações úteis para enfrentar os desafios de ataques maliciosos, numa visão holística do ponto de vista do perfil do leitor, que poderá ser tanto um estudante como um administrador de sistemas.
O livro aborda não só as defesas, mas também a criação de estratégias eficazes, com capítulos sobre políticas de segurança, avaliação de riscos e normas e padrões de segurança. Para desenvolver uma atitude proativa em relação às ameaças digitais em constante mudança, estas temáticas e questões são essenciais, ou melhor, são fundamentais.
Daniel Ferreira aborda temas mais complexos, como técnicas de ataque e gestão de operações de segurança, oferecendo ao leitor uma visão abrangente das
táticas utilizadas pelos atacantes, ao mesmo tempo que ensina os melhores métodos para gerir com sucesso as operações de segurança.
Segurança de Rede, Defesa Cibernética e Operações é um guia vital para todos os que procuram compreender, abordar e dominar os desafios de segurança informática nos dias de hoje.
Este livro é uma referência essencial no vasto e enérgico campo da cibersegurança, porque Daniel Ferreira é excecionalmente criterioso ao relatar e a escrever com base na sua experiência profissional.
Faço votos de boa leitura e sucesso.
Prof. Doutor Nuno Mateus-Coelho
Professor Associado da Universidade Lusófona e Diretor do LAPI2S –Laboratório de Privacidade e Segurança Informática
INTRODUÇÃO À SEGURANÇA DE REDE
1.1 FUNDAMENTOS DA REDE
Antes de mergulharmos em como proteger uma rede, começar por explorar o que são redes será, provavelmente, uma boa ideia. Vamos daí, então!
Para muitos leitores, esta secção será uma revisão, mas para alguns poderá ser algo novo. Se para si, que está a ler este livro, este tema é uma revisão, continue com a leitura, pois todos os passos estão encadeados. Se, no seu caso, estes temas contêm informações novas, está no caminho certo, este é o primeiro passo. Em ambos os casos, é essencial ter um entendimento completo de um sistema de rede, mesmo que seja de forma básica, antes de se tentar estudar e perceber a segurança da rede. Além disso, esteja ciente de que esta é apenas uma breve introdução aos conceitos básicos de rede.
Uma rede é simplesmente uma maneira de máquinas/computadores, ou seja, ativos de rede, comunicarem entre si (Figura 1.1).
No nível físico, consiste em todas as máquinas que se desejam conectar e os dispositivos que serão usados para conseguir essa conexão. Os dispositivos (personal computers [PC], tablets, smartphones, impressoras, entre outros) são ligados a uma conexão física (um cabo de categoria 5 ou 6, através de uma placa de interface de rede ou network interface controller [NIC] ou através de uma ligação sem fio [wi-fi]). Para conseguir ligar vários dispositivos, deve conectar cada um deles a um hub, switch, que, em seguida, se conectam entre si, formando, assim, uma rede de conectividade. No caso de redes maiores (wide area network [WAN] ou local area network [LAN]), cada sub-rede é conectada às outras através de um router
1.1.1 ESTRUTURA BÁSICA DA REDE
Para existir uma estrutura básica de rede, alguns pontos de conexão devem existir entre uma rede empresarial e o mundo externo. Por regra, existe uma barreira que é estabelecida entre essa rede e a Internet ou o mundo externo, geralmente na forma de uma firewall. Não podemos esquecer que a verdadeira essência das redes é a comunicação, permitindo que uma máquina ou um ativo se comunique com outro ativo.
No entanto, todo o caminho da comunicação também é uma possibilidade de ataque.
O primeiro passo para entender como defender uma rede é ter um entendimento detalhado de como estes ativos comunicam entre si através da rede. Placas, comutadores, routers, hubs e firewalls de interface de rede são as partes físicas fundamentais de uma rede. A maneira como estão conectados e o formato que usam para comunicação é designado por “arquitetura da rede” (Figura 1.2).
FIGURA
Firewall
1.1.2 PACOTES DE DADOS
Depois de se estabelecer uma conexão com a rede (física ou sem fio), o próximo passo é o envio de dados. A primeira parte é identificar para onde se desejam enviar esses dados. Todos os computadores (assim como routers e comutadores) têm um endereço Internet Protocol (IP), que é uma série de quatro números entre 0 e 255 separados por pontos, por exemplo, 192.168.0.1.
A segunda parte é formatar os dados para transmissão. Todos os dados estão em formato binário (1s e 0s). Esses dados binários são colocados em pacotes, todos com menos de 65 000 bytes. Os primeiros bytes são o cabeçalho. Este indica qual o destinatário, ou seja, qual o endereço IP que vai receber esse pacote, de onde veio e quantos pacotes estão a chegar como parte dessa transmissão. Na verdade, há mais do que um cabeçalho, mas, por enquanto, analisamos apenas o cabeçalho como uma única entidade. Alguns ataques (falsificação de IP, por exemplo) tentam alterar o cabeçalho dos pacotes para fornecer informações falsas. Outros métodos de ataque simplesmente tentam intercetar pacotes e ler o conteúdo (comprometendo os dados).
Um pacote pode ter vários cabeçalhos. De facto, a maioria dos pacotes terá pelo menos três cabeçalhos: o cabeçalho IP, que possui informações como endereços IP para a origem e o destino, além do protocolo que é utilizado pelo pacote; o cabeçalho Transmission Control Protocol (TCP), que possui informações como o número da porta; e o cabeçalho Ethernet, que possui informações como o endereço Media Access Control (MAC) da origem e do destino. Se um pacote for criptografado com Transport Layer Security (TLS), irá conter também um cabeçalho TLS.
1.1.3 ENDEREÇOS INTERNET PROTOCOL
A primeira questão importante a entender é como levar os pacotes ao seu destino de forma apropriada e sem que se percam. Mesmo as pequenas redes têm, ou podem ter, muitos computadores que conseguem ser o destino final de qualquer pacote enviado. A Internet possui milhões de computadores espalhados pelo mundo. Como se garante, então, que um pacote chega ao seu destino apropriado? O desafio não é diferente de endereçar uma carta (via correios) e garantir que ela chegue ao destino correto. Comecemos por examinar o endereçamento IP versão 4 (IPv4), porque é o mais usado atualmente. Esta secção também discute brevemente a versão 6 (IPv6).
Um endereço IPv4 é uma série de quatro números de três dígitos separados por pontos (um exemplo é 192.168.1.1.) (Tabela 1.1). Cada um dos números de três dígitos deve estar entre 0 e 255. Um endereço por exemplo com o seguinte IP 192.168.0.257 não seria válido, e o motivo para esta regra assenta no facto de
estes endereços serem, na verdade, quatro números binários: o computador simplesmente interpreta-os e exibe-os em formato decimal.
TABELA 1.1 – ENDEREÇOS IPV4
Neste caso, convém lembrar que 1 byte são 8 bits (1s e 0s) e um número binário de 8 bits convertido para o formato decimal estará entre 0 e 255 (Tabela 1.2). O total de 32 bits significa que existem aproximadamente 4,2 mil milhões de endereços IPv4 possíveis.
TABELA 1.2 –
Na verdade, o endereço IP de um computador informa muito sobre esse mesmo computador. O primeiro byte (ou o primeiro número decimal) contido num endereço revela qual a classe de rede a que esse computador pertence – o que, muitas vezes, nos permite identificar se é um endereço interno ou externo de uma organização. A Tabela 1.3 resume as cinco classes de rede.
TABELA 1.3
– AS CINCO CLASSES DE REDE
B 128-191
C
D
E
192-223
224-247
248-257
■ Usado para redes grandes
■ Todos eles foram usados
■ Grandes redes corporativas e governamentais
■ Todos eles foram usados
Grupo mais comum de endereços IP
Reservado para multicasting
Reservado para uso experimental
Como devem ter reparado, na tabela anterior o intervalo com endereçamento IP 127 não está presente. O endereço IP 127.0.0.1 designa a máquina/PC em que nos encontramos, independentemente do endereço IP que nos é atribuído pela rede em que estamos. Este endereço é referido como o “endereço de loopback”.
Essas classes específicas são importantes, pois informam que parte do endereço representa a rede e que parte representa o nó. Por exemplo, num endereço de classe A, o primeiro octeto representa a rede e os três restantes representam o nó. Num endereço de classe B, os dois primeiros octetos representam a rede e os dois segundos representam o nó. E, finalmente, num endereço de classe C, os
FUNDAMENTOS DE CRIPTOGRAFIA
5.1 HISTÓRIA DA CRIPTOGRAFIA
Criptografar comunicações é uma ideia muito antiga. As pessoas descobriram a necessidade de enviar comunicações privadas no decurso da História da civilização. A necessidade de privacidade partiu originalmente de necessidades políticas e militares, mas expandiu-se além disso. As empresas, atualmente, precisam de manter os seus dados privados para preservar e garantir uma vantagem competitiva; por outro lado, as pessoas querem manter determinadas informações, como os registos médicos e financeiros, também privadas.
Durante grande parte da História humana, as comunicações privadas significavam criptografar comunicações escritas. No século passado, isso expandiu-se para a transmissão de rádio, comunicações telefónicas e comunicações por computador/ /Internet. Nas últimas décadas, a criptografia de transmissões computadorizadas tornou-se num hábito comum. De facto, é possível encontrar comunicações de computador/Internet criptografadas com mais frequência do que por telefone ou rádio. O ambiente digital facilita muito a implementação de um tipo específico de criptografia.
Qualquer que seja a natureza dos dados que estamos a criptografar ou o modo de transmissão de dados, o conceito básico é realmente bastante simples: as mensagens devem ser alteradas para que não possam ser lidas facilmente por qualquer pessoa que as intercete, mas possam ser descodificadas facilmente pelo destinatário pretendido. Nesta secção, alguns métodos históricos de criptografia serão explicados. Alguns desses métodos são bastante antigos e não podem, atualmente, ser utilizados para uma comunicação segura. Um amador pode facilmente quebrar os métodos que iremos aqui apresentar. No entanto, são exemplos maravilhosos para transmitir o conceito de “criptografia” sem a necessidade de incorporar muita matemática, o que é exigido pelos métodos de criptografia mais complexos.
5.1.1 CIFRA DE CÉSAR
Um dos métodos de criptografia mais antigos registados é a cifra de César. Este nome é baseado na alegação de que os antigos imperadores romanos usavam este método para codificar as suas mensagens. É um método simples de implementar, sem necessidade de assistência tecnológica.
Escolhe-se um número pelo qual se muda cada letra de um texto. Por exemplo, se o texto for “Um gato” e optarmos por mudar duas letras, a mensagem tornar-se-á: “Xo icvq”.
Neste exemplo, simples, como se pode ver, é possível escolher qualquer padrão de mudança que se desejar. Podemos mudar para a direita ou para a esquerda em qualquer número de espaços que desejarmos. Como este é um método simples de entender, é um bom ponto de partida para o estudo da criptografia. É, no entanto, extremamente fácil de quebrar. Vejamos, qualquer idioma tem uma certa frequência de letras e palavras, o que significa que algumas letras são usadas com mais frequência do que outras. No idioma inglês, por exemplo, a palavra de letra única mais comum é “a” e a palavra de três letras mais comum é “the”.
Conhecer essas duas características pode, por si só, ajudar a descriptografar uma cifra de César. Por exemplo, se vimos uma série de letras aparentemente sem sentido e percebemos que uma palavra com três letras era repetida com frequência na mensagem, então podemos facilmente adivinhar que essa palavra era “a” – e as probabilidades são grandes de que isso esteja correto.
Além disso, se notamos frequentemente uma palavra com uma letra no texto, provavelmente é a letra “a”. Agora que encontramos o esquema de substituição para “a”, “t”, “h” e “e”, podemos tentar traduzir todas essas letras na mensagem e tentar supor o restante, ou simplesmente analisar as letras substitutas usadas para “a”, “t”, “h” e “e”, e derivar a cifra de substituição usada para esta mensagem. Descriptografar uma mensagem desse tipo nem requer um computador. Alguém sem experiência em criptografia poderia fazê-lo em menos de 10 minutos usando papel e caneta.
As cifras de César pertencem a uma classe de algoritmos de criptografia conhecidos como “cifras de substituição”. O nome deriva do facto de que cada carácter na mensagem não criptografada ser substituído por um carácter no texto criptografado.
O esquema de substituição específico usado (por exemplo, 12 ou 11) numa cifra de César é chamado “alfabeto de substituição” (ou seja, “b” substitui “a”, “u” substitui “t”, etc.). Como uma letra substitui sempre uma outra, a cifra de César é, por vezes, designada por “método de substituição de monoalfabeto”, o que significa que usa uma única substituição para a criptografia.
SEGURANÇA FÍSICA E RECUPERAÇÃO
13.1 SEGURANÇA FÍSICA
A segurança física é realmente um tópico multifacetado. A questão mais óbvia é proteger máquinas fisicamente, mas além disso, devemos considerar questões como controlar o acesso ao prédio e saber como responder a incêndios. Sistemas de monitorização, como alarmes e câmaras, também fazem parte da segurança física.
13.1.1 SEGURANÇA DO EQUIPAMENTO
A segurança física começa com o controlo do acesso ao prédio e às principais salas do prédio. No nível mais básico, inclui ter uma porta trancada na sala do servidor. Além disso, deve haver alguma maneira de controlar quem tem acesso a essa sala.
Uma abordagem altamente recomendada é um cartão de furto ou sistema de entrada de chave de senha que regista quem entra na sala e quando. Também se deve considerar o espaço em si. Não deve ter uma janela ou, se houver, deve ser reforçada, de modo que alguém de fora não seja capaz de ver facilmente para o interior da sala. Também deve ser à prova de fogo, porque um incêndio na sala do servidor seria um desastre significativo.
A sala do servidor é, obviamente, um item-chave a ser protegido, mas não é o único. Se routers ou comutadores estiverem distribuídos no edifício, eles deverão estar em locais que não sejam facilmente acessíveis por pessoal não autorizado. Armários trancados são uma boa localização para esses itens. Bloquear estações de trabalho para que fiquem presas à mesa também é uma prática comum. Isso dificulta significativamente o roubo desses computadores.
Essencialmente, qualquer dispositivo que seja valioso ou contenha dados valiosos deve ser protegido fisicamente. Equipar os telemóveis comerciais com a capacidade de os limpar remotamente também está a tornar-se uma prática comum. Dessa forma, se forem roubados ou perdidos, o administrador poderá limpar remotamente todos os dados no telemóvel.
13.1.2 PROTEÇÃO DO ACESSO AO EDIFÍCIO
Depois de garantir o equipamento, também deve controlar o acesso ao próprio edifício. Um método comum é ter uma porta ou barreira trancada que exija a identificação de um funcionário. Uma folha de entrada também é uma boa maneira de rastrear quem entra e sai do escritório. O nível de esforço para garantir o acesso físico ao edifício irá variar, dependendo das necessidades de segurança da organização.
Um mantrap é um mecanismo de segurança frequentemente usado em ambientes de alta segurança. Uma armadilha consiste em duas portas com um pequeno corredor entre elas. A segunda porta não pode abrir até que a primeira seja fechada. Isso evita a utilização não autorizada, que é o processo de uma pessoa não autorizada que segue uma pessoa autorizada por uma porta segura. Isso pode ser aprimorado ainda mais, fazendo com que cada porta use um método de autenticação diferente. Talvez a primeira porta exija uma chave e a segunda uma senha. Esse sistema de autenticação de dois fatores seria difícil para um invasor contornar.
Outros métodos para garantir o acesso ao edifício incluem as áreas externas. Por exemplo, um estacionamento pode ser projetado para que uma pessoa faça curvas a cada 15 metros ou mais para sair. Isso evita que um ladrão ou intruso “acelere” e aumenta a probabilidade de alguém anotar a matrícula, ou a polícia pode até chegar antes de eles escaparem.
Cercas também são importantes. Os ambientes de alta segurança podem usar uma cerca alta, mesmo coberta com fio de sanfona. Isso pode não ser apropriado para muitas organizações, mas mesmo uma sebe decorativa fornece algum nível de barreira para desacelerar os invasores.
A iluminação também é importante. Os invasores, geralmente, preferem entrar no escuro para reduzir a possibilidade de serem notados ou até apanhados. Um edifício externo bem iluminado impede as intenções dos invasores de entrar de forma clandestina. Além disso, a iluminação interna pode ser útil. Muitas lojas deixam as luzes acesas após o encerramento, pois isso permite que os polícias que passam sejam capazes de ver facilmente se há alguém no prédio.
ÍNDICE REMISSIVO
AAbordagem de segurança de perímetro, 23 em camadas, 23 híbrida, 24 passiva, 23
Acesso anónimo, 114 remoto, 114
Acordo de nível de serviço, 210
Advanced Encryption Standard (AES), 79, 97
Adware, 143
Algoritmo(s) de criptografia, 76 de hash seguro, 86
Aplicação(ões) de hash, 85 de patches, 123 Área de trabalho, 151
Assinatura digital, 81
Ataque(s), 198, 199 de man-in-the-middle, 35 de pharming, 39 de redefinição TCP, 29 distribuído de negação de serviço (DDoS), 28
Ativos
baseados na nuvem, 213 físicos, 211 virtuais, 211
Atualização, 126 binária, 126 da fonte, 126 Auditoria, 21 de segurança, 169
Autenticação, 21 Authentication Header (AH), 96
Autoridade de certificação, 82 de registo, 82
Avaliação da segurança de uma rede, 157 de risco, 157 de vulnerabilidade, 221
BBitLocker To Go, 84
Black hat hackers, 22 Bloqueio, 16 através de ataques, 20 preventivo, 60
Blowfish, 78
Brute force, 88
Buffer Overflow Attack, 32
CCavalo de Troia, 17, 18, 142, 143 Centro de Coordenação Computer Emergency Response Team (CERT), 20
Certificados de assinatura de código, 83 de e-mail, 83 de máquina/computador, 83 de utilizador, 83 de validação de domínio, 82 digitais, 82 raiz, 83 wild-card, 83
