Segurança Prática em Sistemas e Redes com Linux by Grupo Lidel

Seguranรงa_Pratica_em_sistemas e REdes com Linux.pdf

CMY

15/02/17

11:23

EDIÇÃO FCA – Editora de Informática, Lda. Av. Praia da Vitória, 14 A – 1000-247 Lisboa Tel: +351 213 511 448 fca@fca.pt www.fca.pt DISTRIBUIÇÃO Lidel – Edições Técnicas, Lda. Rua D. Estefânia, 183, R/C Dto. – 1049-057 Lisboa Tel: +351 213 511 448 lidel@lidel.pt www.lidel.pt LIVRARIA Av. Praia da Vitória, 14 A – 1000-247 Lisboa Tel: +351 213 511 448 * Fax: +351 213 522 684 livraria@lidel.pt Copyright © 2017, FCA – Editora de Informática, Lda. ISBN edição impressa: 978-972-722-865-2 1.ª edição impressa: fevereiro 2017 Paginação: Alice Simões Impressão e acabamento: Cafilesa – Soluções Gráficas, Lda. – Venda do Pinheiro Depósito Legal n.º 421838/17 Capa: José M. Ferrão – Look-Ahead

Marcas Registadas de FCA – Editora de Informática, Lda. –

Todos os nossos livros passam por um rigoroso controlo de qualidade, no entanto aconselhamos a consulta periódica do nosso site (www.fca.pt) para fazer o download de eventuais correções. Não nos responsabilizamos por desatualizações das hiperligações presentes nesta obra, que foram verificadas à data de publicação da mesma. Os nomes comerciais referenciados neste livro têm patente registada. Reservados todos os direitos. Esta publicação não pode ser reproduzida, nem transmitida, no todo ou em parte, por qualquer processo eletrónico, mecânico, fotocópia, digitalização, gravação, sistema de armazenamento e disponibilização de informação, sítio Web, blogue ou outros, sem prévia autorização escrita da Editora, exceto o permitido pelo CDADC, em termos de cópia privada pela AGECOP – Associação para a Gestão da Cópia Privada, através do pagamento das respetivas taxas.

ÍNDICE GERAL 1.

CONCEITOS FUNDAMENTAIS 1.1

INTRODUÇÃO ......................................................................................................................................................................... 1

1.2

PROPRIEDADES FUNDAMENTAIS DA SEGURANÇA............................................................................................ 1

1.3

ATAQUES À SEGURANÇA ..............................................................................................................................................3

1.4

MECANISMOS DE SEGURANÇA .................................................................................................................................. 4 1.4.1

ALGORITMOS DE ENCRIPTAÇÃO SIMÉTRICA ......................................................................................... 4 1.4.1.1

1.5 2.

MODOS DE OPERAÇÃO DAS CIFRAS POR BLOCOS...........................................................6

1.4.2

ALGORITMOS DE ENCRIPTAÇÃO ASSIMÉTRICA.................................................................................... 7

1.4.3

FUNÇÕES DE SÍNTESE ....................................................................................................................................... 9

1.4.4

AUTENTICADORES .............................................................................................................................................. 9

1.4.5

ASSINATURAS DIGITAIS.................................................................................................................................. 10

1.4.6

CIPHER SUITES ....................................................................................................................................................... 11

CONCLUSÃO .........................................................................................................................................................................12

SEGURANÇA EM CORREIO ELETRÓNICO 2.1

INTRODUÇÃO ...................................................................................................................................................................... 13

2.2 CERTIFICAÇÃO DIGITAL ................................................................................................................................................. 14 2.2.1

MODELOS DE CERTIFICAÇÃO ....................................................................................................................... 14

2.2.2 DISTRIBUIÇÃO DE CERTIFICADOS ............................................................................................................... 15 2.3 CONCEITOS FUNDAMENTAIS DO PGP..................................................................................................................... 15 2.3.1

KEYRINGS ............................................................................................................................................................... 16

2.3.2 VALIDAÇÃO DE CHAVES PÚBLICAS.......................................................................................................... 16 2.3.3 OPERAÇÕES........................................................................................................................................................... 17 2.4 UTILIZAÇÃO DO PGP ....................................................................................................................................................... 19 2.4.1

CRIAÇÃO DE CHAVES...................................................................................................................................... 20

2.4.2 IMPORTAÇÃO E EXPORTAÇÃO DE CHAVES ........................................................................................ 22 2.4.3 VALIDAÇÃO E CONFIANÇA ........................................................................................................................... 24 2.4.4 ASSINATURA E ENCRIPTAÇÃO DE MENSAGENS ............................................................................... 26 2.5 PGP COM O MOZILLA THUNDERBIRD..................................................................................................................... 29 2.6 CONCLUSÃO ........................................................................................................................................................................ 31 3.

AUTORIDADES DE CERTIFICAÇÃO DIGITAL 3.1

INTRODUÇÃO ..................................................................................................................................................................... 33

3.2 CERTIFICAÇÃO HIERÁRQUICA X.509...................................................................................................................... 33 3.3 GESTÃO DE CERTIFICADOS ........................................................................................................................................35 3.3.1

CRIAÇÃO DE CERTIFICADOS ........................................................................................................................35

3.3.2 REVOGAÇÃO DE CERTIFICADOS ................................................................................................................38 3.4 GESTÃO DE CERTIFICADOS COM O OPENSSL ...................................................................................................39 3.4.1

PREPARAÇÃO E CONFIGURAÇÃO .............................................................................................................39

3.4.2 CRIAÇÃO DE UMA AC PRIVADA .................................................................................................................. 41 3.4.3 CRIAÇÃO DE CERTIFICADOS ........................................................................................................................43

VII

SEGURANÇA PRÁTICA EM SISTEMAS E REDES COM LINUX

3.4.4 REVOGAÇÃO DE CERTIFICADOS ............................................................................................................... 47 3.5 CONCLUSÃO ....................................................................................................................................................................... 49 4.

LIGAÇÕES REMOTAS COM SSH 4.1

INTRODUÇÃO .......................................................................................................................................................................51

4.2 LIGAÇÕES SSH AUTENTICADAS POR PASSWORD ...........................................................................................51 4.3 LIGAÇÕES SSH COM CHAVES PÚBLICAS............................................................................................................. 53 4.4 PORT FORWARDING NO SSH ..................................................................................................................................... 56 4.5 CONCLUSÃO ....................................................................................................................................................................... 59 5.

SERVIDORES WWW SEGUROS 5.1

CONFIGURAÇÃO INICIAL DO APACHE ......................................................................................................................61

5.2 CONFIGURAÇÃO DE SSL NO APACHE ................................................................................................................... 63 5.2.1

CRIAÇÃO DE CERTIFICADOS ........................................................................................................................ 64

5.2.2 CONFIGURAÇÃO DO APACHE COM SSL ................................................................................................. 66 5.2.3 AUTENTICAÇÃO DE CLIENTE........................................................................................................................ 73 5.3 VALIDAÇÃO DE CERTIFICADOS ................................................................................................................................ 76 5.3.1

REVOGAÇÃO DE CERTIFICADOS ............................................................................................................... 76

5.3.2 VALIDAÇÃO COM OCSP ................................................................................................................................. 79 5.3.2.1 CONFIGURAÇÃO DE CLIENTE E SERVIDOR .......................................................................... 79 5.3.2.2 INCLUSÃO DE INFORMAÇÃO OCSP NOS CERTIFICADOS .............................................. 82 5.3.2.3 ATIVAÇÃO DO SERVIDOR OCSP .............................................................................................. 86 5.4 CONCLUSÃO ....................................................................................................................................................................... 90 6.

REDES PRIVADAS VIRTUAIS 6.1

INTRODUÇÃO ..................................................................................................................................................................... 93

6.2 CENÁRIOS DE UTILIZAÇÃO ......................................................................................................................................... 94 6.3 TECNOLOGIAS VPN ........................................................................................................................................................ 95 6.3.1

IPSEC ....................................................................................................................................................................... 95

6.3.2 OPENVPN .............................................................................................................................................................. 97 6.4 UTILIZAÇÃO DE IPSEC EM LINUX.............................................................................................................................. 98 6.4.1

AUTENTICAÇÃO E CONFIGURAÇÃO.......................................................................................................... 98

6.4.2 INTERLIGAÇÃO DE REDES COM IPSEC ...................................................................................................100 6.4.2.1 AUTENTICAÇÃO POR PSK ...........................................................................................................100 6.4.2.2 AUTENTICAÇÃO POR CHAVES RSA ....................................................................................... 103 6.5 ACESSOS REMOTOS COM OPENVPN ...................................................................................................................108 6.5.1

INTRODUÇÃO ......................................................................................................................................................108

6.5.2 INSTALAÇÃO DO OPENVPN NO LINUX................................................................................................... 109 6.5.3 CONFIGURAÇÃO DO SERVIÇO OPENVPN EM LINUX ........................................................................ 110 6.5.4 CONFIGURAÇÃO DO CLIENTE OPENVPN ................................................................................................ 114 6.5.4.1 CONFIGURAÇÃO DO CLIENTE OPENVPN NO LINUX ......................................................... 115 6.5.4.2 CONFIGURAÇÃO DO CLIENTE OPENVPN NO WINDOWS ................................................ 118 6.5.4.3 CONFIGURAÇÃO DO CLIENTE OPENVPN NO OS X/MACOS ......................................... 120 6.6 CONCLUSÃO ........................................................................................................................................................................121

VIII

ÍNDICE GERAL 7.

PROTEÇÃO DE SERVIDORES

123

7.1

INTRODUÇÃO .................................................................................................................................................................... 123

7.2

MECANISMOS DE FIREWALL NO LINUX ............................................................................................................... 123 7.2.1

TABELAS E CHAINS .........................................................................................................................................124

7.2.2 AVALIAÇÃO DE REGRAS E POLÍTICAS ..................................................................................................125 7.2.3 TARGETS .............................................................................................................................................................. 126 7.2.4 FILTRAGEM DE PROTOCOLOS.................................................................................................................... 127 7.2.5 MECANISMOS DE CONNECTION TRACKING..........................................................................................129 7.3 CONFIGURAÇÕES DE FIREWALL NO LINUX ......................................................................................................... 131 7.3.1

PREPARAÇÃO E GESTÃO DE CONFIGURAÇÕES................................................................................. 131

7.3.2 CONSTRUÇÃO DE REGRAS .......................................................................................................................... 132 7.3.3 CONTROLO DE TRÁFEGO UDP................................................................................................................... 135 7.3.4 CONTROLO DE TRÁFEGO TCP .................................................................................................................... 137 7.3.5 CONTROLO DE TRÁFEGO ICMP ................................................................................................................. 139 7.3.6 POLÍTICAS DE FILTRAGEM .......................................................................................................................... 140 7.4 EXEMPLO DE CONFIGURAÇÃO ................................................................................................................................ 140 7.5 CONCLUSÃO ..................................................................................................................................................................... 144 8.

PROTEÇÃO DE REDES 8.1

145

INTRODUÇÃO ................................................................................................................................................................... 145

8.2 O LINUX COMO ROUTER ............................................................................................................................................. 145 8.2.1

COMUTAÇÃO DE PACOTES......................................................................................................................... 146

8.2.2 UTILIZAÇÃO DA CHAIN “FORWARD” ....................................................................................................... 147 8.3 NAT....................................................................................................................................................................................... 148 8.3.1

CENÁRIOS DE NAT .......................................................................................................................................... 148

8.3.2 UTILIZAÇÃO DA TABELA “NAT” ................................................................................................................. 151 8.3.3 CONFIGURAÇÃO DE SNAT NO IPTABLES ............................................................................................. 153 8.3.4 CONFIGURAÇÃO DE DNAT NO IPTABLES............................................................................................. 153 8.3.5 REDIRECIONAMENTO DE LIGAÇÕES NO IPTABLES ......................................................................... 154 8.4 EXEMPLO DE CONFIGURAÇÃO ................................................................................................................................ 155 8.5 CONCLUSÃO ..................................................................................................................................................................... 160 9.

SEGURANÇA EM REDES SEM FIOS 9.1

163

INTRODUÇÃO ....................................................................................................................................................................163

9.2 CONCEITOS FUNDAMENTAIS ................................................................................................................................... 164 9.3 MECANISMOS DE SEGURANÇA NO IEEE 802.11................................................................................................166 9.3.1

WEP ......................................................................................................................................................................... 167

9.3.2 FILTRAGEM DE ENDEREÇOS FÍSICOS E OCULTAÇÃO DO SSID ................................................. 169 9.3.3 WPA E WPA2 ..................................................................................................................................................... 169 9.3.4 802.1X .......................................................................................................................................................................171 9.4 AMEAÇAS À SEGURANÇA DAS REDES SEM FIOS ......................................................................................... 172 9.4.1

ESCUTA DAS COMUNICAÇÕES................................................................................................................... 172

9.4.2 NEGAÇÃO DE SERVIÇO ................................................................................................................................. 173 9.4.3 AP ILEGÍTIMOS ................................................................................................................................................... 173

SEGURANÇA PRÁTICA EM SISTEMAS E REDES COM LINUX

9.4.4 VULNERABILIDADES NOS CLIENTES....................................................................................................... 174 9.5 ESTRATÉGIAS DE AUDITORIA .................................................................................................................................. 174 9.5.1

ENCRIPTAÇÃO EM REDES WEP ................................................................................................................. 175

9.5.2 ENCRIPTAÇÃO EM REDES WPA E WPA2 .............................................................................................. 179 9.5.3 OUTRAS ESTRATÉGIAS DE AUDITORIA ................................................................................................ 182 9.6 CONCLUSÃO ...................................................................................................................................................................... 182 10. DETEÇÃO E PREVENÇÃO DE INTRUSÕES 10.1

185

INTRODUÇÃO ....................................................................................................................................................................185

10.2 CONCEITOS FUNDAMENTAIS .................................................................................................................................... 186 10.2.1 SISTEMAS IDS DE REDE (NIDS).................................................................................................................. 186 10.2.2 SISTEMAS IDS DE HOST (HIDS) ................................................................................................................. 187 10.2.3 TÉCNICAS DE ACESSO A TRÁFEGO DE REDE .................................................................................... 188 10.3 UTILIZAÇÃO DO SNORT NO LINUX .........................................................................................................................189 10.3.1 MODOS DE FUNCIONAMENTO ...................................................................................................................190 10.3.2 FORMATO DAS REGRAS DE DETEÇÃO .................................................................................................. 191 10.3.3 REAÇÃO A ATAQUES .................................................................................................................................... 193 10.4 EXEMPLO DE CONFIGURAÇÃO .................................................................................................................................194 10.4.1 CENÁRIO DE REDE ...........................................................................................................................................194 10.4.2 INSTALAÇÃO DO SNORT E ASSINATURAS DE ATAQUE ..............................................................195 10.4.3 CONFIGURAÇÃO ................................................................................................................................................198 10.4.4 REAÇÃO A ATAQUES NO MODO INLINE ............................................................................................. 200 10.5 CONCLUSÃO .................................................................................................................................................................... 203 11.

AUDITORIAS DE SEGURANÇA

205

11.1

INTRODUÇÃO .................................................................................................................................................................. 205

11.2

AUDITORIA REMOTA .................................................................................................................................................. 206 11.2.1

FASE 1 – RECOLHA DE INFORMAÇÃO .................................................................................................. 206

11.2.2 FASE 2 – DESCOBERTA DE SERVIÇOS ................................................................................................. 213

NETWORK SCANNERS .................................................................................................................. 213 11.2.2.2 SNIFFERS DE REDE ........................................................................................................................ 217

11.2.2.1

11.2.3 FASE 3 – AUDITORIA REMOTA ................................................................................................................. 219 11.3

AUDITORIA LOCAL ........................................................................................................................................................222 11.3.1

DETEÇÃO LOCAL DE VULNERABILIDADES .........................................................................................222

11.3.2 NÍVEL DE SEGURANÇA DAS PASSWORDS NO SISTEMA ........................................................... 225 11.4

CONCLUSÃO .................................................................................................................................................................... 230

SIGLAS E ACRÓNIMOS ..................................................................................................................................................................... 231 GLOSSÁRIO DE TERMOS – PORTUGUÊS EUROPEU/PORTUGUÊS DO BRASIL .................................................... 233 ÍNDICE REMISSIVO ........................................................................................................................................................................... 235

9 SEGURANÇA EM REDES SEM FIOS No presente capítulo abordamos a segurança nas redes sem fios, um tema cada vez mais relevante, dada a proliferação deste tipo de redes. A popularidade das redes sem fios vem revelar, igualmente, as suas fragilidades, entre as quais se encontra a segurança. Julgamos, assim, fundamental abordar as várias técnicas e mecanismos ao dispor do analista, no sentido de poder verificar e garantir a segurança das comunicações neste tipo de redes, bem como a privacidade dos dados dos seus utilizadores. A análise do nível de segurança garantido por uma determinada configuração de rede é, de facto, essencial para a segurança de toda a organização, já que as redes sem fios podem servir de porta de entrada para outros sistemas e serviços disponíveis na infraestrutura cablada. Começamos por analisar as principais normas de segurança desenvolvidas para redes sem fios, no contexto do standard 802.11, e, de um ponto de vista mais prático, algumas das principais técnicas e ferramentas de auditoria ao dispor do analista.

9.1 INTRODUÇÃO As redes sem fios funcionam com base nas comunicações por radiofrequência, disponibilizando, para o efeito, um meio de comunicação partilhado por vários dispositivos. A partilha do meio de comunicação abre a possibilidade de um dispositivo, integrado na rede, obter, de forma relativamente simples, acesso às comunicações de outros dispositivos. Assim, podemos perceber facilmente a importância da utilização, neste tipo de redes, de mecanismos para garantir propriedades fundamentais de segurança nas comunicações e interações dos utilizadores. Tal como veremos no presente capítulo, as normas de comunicação desenvolvidas para redes locais sem fios, em particular no contexto do standard 802.11 do IEEE (Institute of Electrical and Electronics Engineers), visaram também a segurança, tendo sido desenhadas várias soluções, que foram revelando as suas limitações, devido a falhas na sua conceção e à capacidade computacional crescente dos computadores, que passaram a permitir realizar ataques para obtenção das chaves de encriptação utilizadas na rede. Ao longo deste capítulo, o objetivo passa por oferecer ao leitor uma visão geral sobre as soluções de segurança desenvolvidas no contexto das várias versões da norma IEEE

163

SEGURANÇA PRÁTICA EM SISTEMAS E REDES COM LINUX

802.11. Complementarmente, iremos analisar algumas ferramentas essenciais de auditoria à segurança de redes sem fios. Tal como iremos verificar, a diversidade de técnicas e ferramentas neste contexto é elevada. Tais ferramentas são, na realidade, frequentemente utilizadas por atacantes, já que permitem detetar vulnerabilidades ou falhas na configuração das redes. O conhecimento de tais aplicações por parte do administrador ou analista de segurança é, portanto, fundamental. Tal como ao longo do livro, a implementação prática dos conceitos abordados no capítulo fará uso do sistema operativo Linux.

9.2 CONCEITOS FUNDAMENTAIS A nossa abordagem às redes sem fios começa por centrar-se nalguns conceitos fundamentais relativos ao seu funcionamento, que acreditamos serem importantes para abordarmos melhor a problemática da segurança nestas redes. Começamos por definir, de forma simples, em que consiste uma rede local sem fios. Uma rede deste tipo pode ser definida como de alcance local, oferecendo um meio de comunicação partilhado, através de ondas eletromagnéticas. Estas características oferecem algumas vantagens, por exemplo, a comodidade de utilização e o facto de suportarem utilizadores com mobilidade. Por outro lado, a segurança aparece, tipicamente, como uma potencial limitação, bem como as taxas de erro nas comunicações, superiores às das redes cabladas. Os protocolos ou normas que ditam a forma como os sistemas comunicam nas redes sem fios têm sido desenvolvidos, ao longo dos anos, pelo IEEE, em particular pelo grupo 802.11. A Tabela 9.1 resume as principais características destas normas, onde notamos a utilização das bandas ISM (Industrial, Scientific and Medical) de 2.4 GHz e 5GHz, bem como o suporte de comunicações a diferentes velocidades. TABELA 9.1 – CARACTERÍSTICAS DAS NORMAS DE COMUNICAÇÃO SEM FIOS

Norma

Gama de frequências

Velocidade suportada

802.11a

5.725 a 5.875 GHz

54 Mbps

802.11b

2.4 a 2.5 GHz

11 Mbps

802.11g

2.4 a 2.5 GHz

54 Mbps

802.11n

2.4 a 2.5 GHz, 5.725 a 5.875 GHz 300 a 600 Mbps

As comunicações nas redes sem fios ocorrem na gama de frequências identificadas na Tabela 9.1, centradas num canal específico dentro da gama correspondente. Os canais disponíveis variam, por sua vez, consoante o país. No total, estão disponíveis 15 canais, sendo que os canais 1 a 11 são utilizados nos EUA, do 1 ao 13 na Europa e do 1 ao 14 no Japão. Um aspeto importante a notar é que a largura de banda necessária para que seja possível atingir as velocidades de cada norma faz com que as transmissões num determinado canal interfiram nos canais adjacentes, tal como a Figura 9.1 ilustra. Desta forma, não é possível utilizar, com desempenho aceitável, todos os canais disponíveis numa determinada rede local. Considera-se habitualmente que as transmissões e rece164

SEGURANÇA EM REDES SEM FIOS

ções podem ter lugar em canais afastados, no mínimo, por outros quatro canais. Desta forma utilizam-se por norma os canais 1, 6 e 11, se considerarmos os 13 canais disponíveis para utilização no espaço europeu. Um administrador responsável pela instalação de vários pontos de acesso (AP, do inglês Access Point) à rede, num determinado espaço físico, deve ter em atenção esta restrição, bem como utilizar canais diferentes nos vários AP utilizados no mesmo espaço físico, com o objetivo de minimizar as colisões nas comunicações. 1 2 3 4 5 6 7 8 9 10 11 12 13 2.412 2.417 2.422 2.427 2.432 2.437 2.442 2.447 2.452 2.457 2.462 2.467 2.472

14 2.454

22 MHz FIGURA 9.1 – CANAIS DISPONÍVEIS NA BANDA ISM (2.4 GHZ)

Quanto aos equipamentos utilizados nas redes locais sem fios, recorre-se, normalmente, aos pontos de acesso ou AP, às antenas com diferentes configurações, e aos controladores, switches e routers, entre outros equipamentos. Os AP servem a ligação dos equipamentos móveis (computadores pessoais, smartphones e outros dispositivos) à rede sem fios. As antenas, para além de utilizadas nos AP, são utilizadas em cenários de comunicação com diferentes características, por exemplo, as antenas Yagi para ligações ponto a ponto. Os controladores permitem, em cenários de rede mais avançados, introduzir funcionalidades a nível da configuração dinâmica do espaço de radiofrequência, da gestão de utilizadores e da garantia de níveis de qualidade de serviço. Outro conceito importante relativo às comunicações em redes IEEE 802.11 é o das frames. Uma frame encapsula os dados das aplicações, ao mesmo tempo que permite gerir as associações de clientes à rede. A norma 802.11 define os formatos de frames de gestão, controlo e transmissão de dados. As frames de gestão suportam a descoberta de redes, bem como a associação e autenticação de clientes (dispositivos) à rede. As frames de controlo permitem controlar o acesso, por parte de vários clientes, ao meio de comunicação partilhado, para transmissão ou receção de informação. Finalmente, as frames de dados transportam a informação das aplicações residentes em sistemas que utilizam a rede sem fios para comunicar. No que se refere à sua topologia, as redes locais podem ser criadas no modo ad hoc, ponto a ponto ou infraestrutura. Referiremos brevemente as duas primeiras, uma vez que o modo infraestrutura é, sem dúvida, o mais interessante e desafiante do ponto de vista da segurança. Nas redes no modo ad hoc, os sistemas podem comunicar livremente entre si, sem necessidade de um AP ou de uma infraestrutura de comunicações. As comunicações nas redes ponto a ponto permitem interligar, através de uma ligação por radiofrequência, duas redes locais. Finalmente, no modo com infraestrutura os

165

SEGURANÇA PRÁTICA EM SISTEMAS E REDES COM LINUX

utilizadores (clientes) ligam-se à rede sem fios através de uma associação com um dos AP disponíveis, para, dessa forma, comunicarem com servidores na infraestrutura ou com a Internet. A Figura 9.2 ilustra o modelo geral de comunicações numa rede sem fios no modo infraestrutura. Infraestrutura (DS)

BSS

ESS

FIGURA 9.2 – TOPOLOGIA TÍPICA DE UMA REDE LOCAL SEM FIOS

Tal como a Figura 9.2 ilustra, o IEEE 802.11 introduz os conceitos de BSS (Basic Service Set) e ESS (Extended Service Set). O BSS refere-se a uma zona da rede abrangida por um ponto de acesso, através do qual vários clientes conseguem comunicar com a infraestrutura (Distribution System) e com a Internet. A utilização de vários AP e, por conseguinte, de vários BSS com o mesmo SSID (Service Set Identifier), permite que um cliente se mova entre diferentes zonas da rede, mantendo a sua autenticação e sessões de comunicação existentes, no contexto do mesmo ESS.

9.3 MECANISMOS DE SEGURANÇA NO IEEE 802.11 O IEEE 802.11 define mecanismos de comunicação em redes locais sem fios, nas camadas física e MAC (Media Access Control). Tal como na generalidade das soluções de segurança na Internet, as soluções de segurança definidas no contexto desta norma têm vindo a evoluir ao longo dos anos, em função da descoberta de vulnerabilidades e do aumento da capacidade computacional dos sistemas ao dispor dos atacantes. O nosso objetivo seguinte consiste em analisar as características e as vulnerabilidades das várias soluções de segurança desenhadas pelo IEEE para redes locais sem fios. Neste contexto, iremos começar por analisar a solução de segurança na versão original da norma, na forma do protocolo WEP (Wired Equivalent Privacy), na Secção 9.3.1.

166

10 DETEÇÃO E PREVENÇÃO DE INTRUSÕES Os sistemas de deteção de intrusões (IDS, do inglês Intrusion Detection Systems) são uma ferramenta valiosa no tocante à segurança de redes e sistemas, já que permitem proteger recursos computacionais de ameaças ou ataques à sua integridade. Este tipo de sistemas é normalmente integrado com as firewalls, que tivemos a oportunidade de analisar nos Capítulos 7 e 8, com o objetivo de bloquear, de forma ativa, os atacantes. A combinação destes sistemas permite dotar um IDS da capacidade de prevenir ou reagir a ataques, formando a base do que se designa por sistemas IPS (Intrusion Prevention Systems). No presente capítulo analisamos as principais características dos IDS e IPS, bem como as estratégias para a recolha de tráfego de rede, no contexto desses sistemas. Do ponto de vista da aplicação prática dos mesmos, utilizamos o Snort, de forma conjugada com o IPTables, com o objetivo de ativarmos um sistema IDS/IPS no Linux.

10.1 INTRODUÇÃO No presente capítulo focamos a nossa atenção nos chamados sistemas IDS/IPS, enquanto ferramenta essencial para a deteção e reação atempadas a ataques à segurança informática de redes e sistemas. A configuração deste tipo de sistemas envolve, normalmente, a configuração conjugada com os sistemas de firewall. Em geral, o sistema de firewall pode passar ao IDS/IPS as comunicações a analisar e este último decidir autorizar ou negar a comunicação, com base nas suas regras de deteção de ataques. Dado o carácter inerentemente prático do livro, um objetivo importante deste capítulo é igualmente o de aplicar os conceitos abordados no Linux, pelo que iremos instalar o Snort (https://www.snort.org) no Linux como sistema IDS/IPS. O Snort é, atualmente, a implementação de referência de um IDS de código aberto. A sua configuração como IPS envolve também a integração com o IPTables, como teremos a oportunidade de analisar na Secção 10.4.3. Começamos por abordar alguns conceitos fundamentais que interessa conhecer em relação a este tipo de sistemas, após o que faremos uso do Snort e do IPTables, com os objetivos já referidos.

185

SEGURANÇA PRÁTICA EM SISTEMAS E REDES COM LINUX

10.2 CONCEITOS FUNDAMENTAIS Os sistemas IDS podem basear-se, em geral, em várias estratégias de deteção de ataques e comunicações suspeitas. Alguns destes sistemas dispõem igualmente da capacidade para combinar várias estratégias de deteção, com o objetivo de detetar ameaças, quer conhecidas quer desconhecidas. As ameaças conhecidas são normalmente detetadas com recurso a regras, também designadas por assinaturas de ataques. Por outro lado, a deteção de novos ataques depende da capacidade do sistema de implementar técnicas computacionais de aprendizagem. Tais técnicas dependem, frequentemente, de uma fase inicial de treino, durante a qual o sistema caracteriza o perfil de utilização normal das comunicações na rede local. Com base nesta informação, o sistema dispõe da capacidade para detetar desvios a essa base de atividade normal, desvios esses que podem indiciar anomalias ou ataques. Como exemplo de técnicas com esta capacidade podemos apontar as técnicas de classificação, bem como diversas estratégias estatísticas.

10.2.1 SISTEMAS IDS DE REDE (NIDS) Os sistemas IDS de rede (NIDS, do inglês Network Intrusion Detection System) analisam todas as comunicações numa infraestrutura de comunicações, com o objetivo de detetar ataques conhecidos, com recurso a um conjunto normalmente vasto de assinaturas de ataques. A Figura 10.1 ilustra a arquitetura de alto nível de um sistema IDS deste tipo.

Filtragem

Rede

Deteção

Reação

Firewall

FIGURA 10.1 – ARQUITETURA DE ALTO NÍVEL DE UM IDS DE REDE

Tal como a Figura 10.1 ilustra, estes sistemas utilizam um primeiro nível de filtragem, responsável por determinar se o tráfego deve ser ignorado ou, pelo contrário, considerado para análise. A análise é, por sua vez, da responsabilidade de um módulo de reconhecimento de anomalias, que procura no tráfego de rede as assinaturas de ataques. O módulo de deteção de ataques pode implementar vários métodos de deteção em simultâneo, não estando restrito à análise com base em assinaturas. A título de exemplo, esses métodos podem consistir, para além da deteção de assinaturas, na análise da frequência de determinados tipos de pacotes ou sequências de pacotes.

186

DETEÇÃO E PREVENÇÃO DE INTRUSÕES

A deteção de um ataque pelo módulo de análise desencadeia, por sua vez, uma notificação ao módulo de resposta. Este módulo é responsável por efetuar determinadas ações de acordo com os ataques detetados. Essas ações poderão envolver notificações, o envio de pacotes de terminação de ligações para o sistema de origem ou a interação com a firewall, no sentido de ativar regras de filtragem que bloqueiam as comunicações com origem nesse sistema. Tal como já referido, a capacidade de bloquear ativamente um ataque é uma característica fundamental de um IPS.

10.2.2 SISTEMAS IDS DE HOST (HIDS) Os sistemas IDS de host (HIDS, do inglês Host Intrusion Detection System) analisam o estado de um ou mais servidores, com o objetivo de detetar atividades suspeitas internamente ao próprio sistema operativo. Estes sistemas implementam várias estratégias com o objetivo de detetar, por exemplo, aplicações com comportamentos inesperados, informação relevante nos logs do sistema ou o resultado de verificações de integridade em programas e ficheiros críticos do sistema. As verificações anteriores são também combinadas com a análise do tráfego de rede que entra ou sai do host, por qualquer uma das suas interfaces. A análise do tráfego à entrada ou saída do sistema exige a configuração da interface de rede respetiva no chamado modo promíscuo, no qual o IDS tem acesso a todas as comunicações que circulam na rede, uma condição essencial para detetar ataques. Alguns sistemas dispõem, no entanto, da capacidade de analisar tais comunicações à medida que percorrem a pilha TCP/IP, com a vantagem de os pacotes com o ataque poderem ser retirados antes de serem processados pela aplicação a que se destinam (ou pelo sistema operativo). A Figura 10.2 ilustra a arquitetura de alto nível dos HIDS.

Aplicações

Logs Análise e reação

HIDS central

Integridade dos ficheiros

Tráfego de rede

Monitorização e configuração

FIGURA 10.2 – ARQUITETURA DE ALTO NÍVEL DE UM HIDS

187

Seguranรงa_Pratica_em_sistemas e REdes com Linux.pdf

CMY

15/02/17

11:23