Cinco formas de aumentar a proteção da rede corporativa

1 - Digitar IP em vez da URL

Em determinadas ocasiões, inserir o endereço IP na barra dos navegadores pode iludir o firewall, caso este se baseie apenas no nome dos domínios para impedir o acesso. Há vários endereços que providenciam números IP para sites. Um exemplo de serviços desses está disponível em baremetal.com., que informa o IP de qualquer site. Copiar e colar esses códigos na barra de navegação dos browsers leva o internauta diretamente até esse conteúdo.

Solução

A maneira antiga de resolver esse problema seria usar uma relação de IPs e inseri-la em um tipo de blacklist. Há várias empresas que fornecem esse tipo de lista. Mas os especialistas recomendam ignorar a questão de IP/URL. Em vez de barrar, procure examinar o conteúdo de cada site. Isso vai exigir mais tempo para depurar as informações, mas é eficiente.

Determinadas páginas podem “importar” seções de outros sites. Se o endereço que importa essas informações for liberado, todas as requisições feitas ao conteúdo de outra página serão automaticamente “abençoadas”. O conselho é examinar o código fonte de cada site acessado.

2 – Carregar versões do cachê

Muitas páginas podem ser acessadas via cópia armazenada pelo próprio Google ao longo da indexação do conteúdo. Basta o usuário clicar no link “Em cache”, localizado no rodapé dos resultados de cada página exibida depois de uma busca. 

O internauta é levado para dentro da página, sem abandonar o domínio do Google, ou seja, para qualquer bloqueador de URLs, o site de acesso negado não está sendo acessado. Quando um usuário navega no conteúdo armazenado de uma página dentro do Google, ele está em comunicação com o servidor dessa cópia (no caso o Google) e não com a página bloqueada.

Solução

Os especialistas recomendam a mesma solução indicada para o caso anterior, que é submeter o conteúdo a uma análise antes de chegar à máquina do usuário.

3 – Criptografar o conteúdo

Inserir HTTPS no começo de cada URL leva o usuário até uma versão básica do site e elimina boa parte dos seus elementos, mas mesmo assim garante acesso ao endereço “proibido”.

Há o SSH, criptografia de SOCKS e outros canais alternativos que “mascaram” o tráfego em redes menos sofisticadas. Elas se conectam às portas 80 ou à 443 – portas padrão para o protocolo HTTP. Então funcionam sem levantar qualquer suspeita, pois o que passa por elas é considerado tráfego normal de internet. E, quando temos o fator invisibilidade ao nosso lado, qualquer coisa é possível.

Solução

O conteúdo previamente criptografado por uma camada SSL e que flui por um canal que começa na máquina do usuário A e se estende até o ponto B, fora dos limites da rede corporativa, é muito difícil examinar.

É importante implementar proxies e gateways próprios para interromper qualquer encapsulamento e analisar cada pacote IP que chega e que sai da LAN.

As exceções intrínsecas às redes internas ou com proxies HTTPS transparentes impossibilitam o exame do que trafega na rede. A solução é submeter todo o tráfego a um intermediário que vai interromper a sessão iniciada e gerar uma nova ligação.

4 – Usar servidores Proxy e outras ferramentas de privacidade

Usar servidores Proxy particulares é outra artimanha usada. O funcionário pode configurar o navegador de forma a encaminhar todo o tráfego por um canal criptografado até um servidor externo que pode liberar o acesso irrestrito a sites e páginas.

Há uma extensão para o Firefox chamada GhostFox. Esse recurso instala um botão de privacidade logo abaixo do campo da URL e permite ao internauta escolher um servidor Proxy que blinde a navegação.

Especialistas dizem que houve um aumento razoável no uso desses recursos. Um exemplo disso é o Hamachi, uma ferramenta VPN usada para estabelecer um canal direto com um servidor, e há o programa Tor, uma espécie de roteador que envia a conexão com a internet para uma série de replicadores anônimos. Essas ferramentas foram criadas com o intuito de proteger a privacidade, mas são largamente usadas por pessoas que desejam esconder as atividades na internet, do departamento de TI.

É um jogo de gato e rato, afirmam especialistas. Não interessa se usam o Tor ou o Hamachi; as pessoas estão escondendo o tráfego com criptografia. A maioria dos recursos que filtram esse tráfego nas empresas não consegue visualizar o conteúdo circulante.

Solução

Se o servidor Proxy não for criptografado, o exame do tráfego fica facilitado e torna-se possível bloquear o acesso a servidores Proxy externos ou, como mencionado nos casos anteriores, analisar o conteúdo dos pacotes IP.

Com o conteúdo criptografado por ferramentas como o Tor, o bloqueio fica, na melhor das hipóteses, dificultado. O que pode ser feito é rastrear o Tor usando um sistema de detecção de invasores. Mas, lembre-se que essas ferramentas são altamente descentralizadas e operam de acordo com o modelo P2P, o que transforma a tarefa de geração das blacklists algo fenomenal, gigantesco.

5- Uso de smartphones

Usar smartphones para ficar ligado nos acontecimentos do Facebook ou do Twitter é algo absolutamente corriqueiro. Se usar um smartphone não é comparável a mexer de maneira indevida com o computador da empresa, ainda assim é um crime se for usado para acessar endereços da web não permitidos no local de trabalho. Em determinados casos, o Facebook ou o YouTube são bloqueados por razões de desempenho profissional. Visitar esses sites durante o expediente não difere muito de usar a estação de trabalho da companhia; de uma forma ou de outra, há o desperdício de tempo.

Solução

Neste caso, as opções de segurança são restritas, salvo o caso de o aparelho pertencer à corporação. Dispositivos como o BlackBerry podem ser configurados de tal maneira a negar o acesso às redes de relacionamento através das políticas de grupos e de servidores Proxy, igual acontece com notebooks e com PCs. Com dispositivos privados ou desbloqueados, há pouco que se possa fazer, a não ser negar a presença desses aparelhos no ambiente de trabalho.

No caso de organizações extremamente bem equipadas em termos de tecnologia, como acontece com entidades governamentais em que circulam informações ultraconfidenciais, sugere-se o uso de firewalls do tipo RF ou outra solução que barre conexões estranhas. Mas é uma solução de alto custo e considerada extrema. Em suma, os smartphones não são controláveis, restando ao empregador apostar na educação e no bom senso de funcionários e colaboradores.

Informar aos funcionários que o propósito das diretrizes de segurança é ajudar a empresa e, consequentemente, a manutenção do emprego de todos pode ser uma saída.

Como melhorar a segurança da rede corporativa

Os funcionários adotam técnicas para burlar os firewalls e acessar conteúdo indevido no ambiente de trabalho? Veja o que fazer.

Houve uma época, em que bloquear o acesso às redes sociais foi aceitável no ambiente de trabalho. Mas o que antes era considerado uso inapropriado da infraestrutura da companhia tornou-se essencial em várias organizações. Redes e mídias sociais como o Facebook e o YouTube hoje estão integradas às estratégias de marketing. Softwares de mensagens instantâneas tais como o AIM e o G-Chat são amplamente usados na comunicação eficiente entre funcionários.

Na opinião do fundador e CTO da consultoria de TI Atomic Fission, Dave Torre, “a natureza do negócio deve definir a política de acesso a esses sites”. Torre acha que funcionários do Departamento de Defesa dos Estados Unidos, por exemplo, não precisam das redes sociais e não devem usar as máquinas da organização para acessá-las. No caso de um funcionário do departamento de marketing, passar 15 minutos por dia em sites de relacionamento e em mídias sociais não é, de longe, suficiente. Na posição de gerente de TI de uma empresa, é recomendado avaliar qual é a importância desses sites para os funcionários.

Mesmo assim, há determinados tipos de site que não têm qualquer ligação com as atividades da empresa ou a menor justificativa para serem acessados. Caso dos portais de jogos e sites adultos, por exemplo. Torre relata  que volta e meia é procurado por clientes à procura de auxílio para se livrarem de malware inocentemente baixado durante uma sessão de pôquer.

Infelizmente, o simples bloqueio aos sites nem sempre é efetivo. Um funcionário engenhoso vai encontrar um jeito de driblar as restrições no trabalho. Ele vai comprometer a segurança, os dados e até a propriedade intelectual. Quem dá o alerta é o chefe de segurança da companhia de educação digital People Security, Hugh Thompson.

De acordo com Thompson, que também preside o comitê de segurança da RSA, fornecedora de soluções de  criptografia, que foi adquirda pela EMC, alguns atalhos encontrados na web para driblar os bloqueios são extremamente perigosos. "Eles criam canais na rede que fluem informações sem passar por qualquer tipo de monitoramento. Assim, até programas de prevenção de perdas de informações acabam tendo pouca eficiência”.

Confira abaixo cinco técnicas, das elementares às sofisticadas, usadas por funcionários para romper firewalls e medidas que devem ser adotadas para reforçar a proteções da rede corporativa.

Fonte:  Computerworld.

(Joan Goodchild)

SNORT

O que é?

O SNORT é uma ferramenta NIDS desenvolvida por Martin Roesch, bastante popular por sua flexibilidade nas configurações de regras e constante atualização. O Guardian funciona em conjunto com o Snort, ele atualiza automaticamente as regras de vários firewalls ( ipfw, iptables, etc ) com base nos alertas gerados pelo Snort. O trabalho conjunto do Snort e do Guardian torna possível ações reativas em caso de intrusão e prevenção de ataques futuros.

Instalação:

Pacotes básicos:

sudo apt-get install apache2 mysql-server php5 php5-mysql libmysqlclient12-dev php5-gd php-pear php-image-canvas php-image-graph libpcap0.8 libpcap0.8-dev libpcre3 libpcre3-dev

Crie um diretório para temp:

mkdir ~/temp

Baixe o ADODB:

cd ~/temp

wget http://ufpr.dl.sourceforge.net/sourceforge/adodb/adodb493a.tgz

Baixe o Base

wget

http://ufpr.dl.sourceforge.net/sourceforge/secureideas/base-1.2.7.tar.gz

Baixe o Snort:

wget http://www.snort.org/dl/current/snort-2.6.1.2.tar.gz

Baixe o PCRE:

wget http://ufpr.dl.sourceforge.net/sourceforge/pcre/pcre-7.0.tar.gz

Crie um arquivo index.php:

sudo vi /var/www/index.php

phpinfo();

?>

Teste funcionamento do Apache acesso o servidor digitando http://localhost na barra de endereços do navegador.

Compilar e Instalar o PCRE:

sudo tar zxf pcre-7.0.tar.gz

cd pcre-7.0

sudo ./configure

sudo make

sudo make install

Compilar e Instalar o Snort:

Crie um link simbólico para o arquivo cc1plus, necessário para compilar o snort:

sudo ln -s /usr/lib/gcc/i486-linux-gnu/4.1.2/cc1 /usr/bin/cc1plus

Compile o Snort:

sudo tar zxf snort-2.6.1.2.tar.gz

cd snort-2.6.1.2

sudo ./configure –with-mysql=/usr

sudo make

sudo make install

Crie diretório /etc/snort:

sudo mkdir /etc/snort

Copie o arquivo snort.conf para o diretório /etc/snort:

sudo cp ~/temp/snort-2.6.1.2/etc/snort.conf /etc/snort/

Baixe as regras:

OBS: Existem 3 tipos de download de regras do snort

1 – Subscrição – Pago

2 – Registrado – Gratuito

3 – Comunidade – Gratuito

Aconselho você baixar o registrado, porque são regras atualizadas. Para isso clique no link download do pacote nortrules-snapshot-CURRENT.tar.gz e faça seu registro.

Salve o arquivo no diretório /etc/snort e descompacte-o.

Configurando o Snort:

Edite o arquivo /etc/snort/snort.conf alterando as entradas abaixo:

sudo vi /etc/snort/snort.conf

var HOME_NET any #Para capturar todos as redes

var EXTERNAL_NET !$HOME_NET #Tudo o que não for HOME_NET é externo

var RULE_PATH /etc/snort/rules #Caminho para as regras

output database: log, mysql, user=snort password=

dbname=snort host=localhost

}}

= Confiurando o Mysql =

Configure a base de dados do Snort no MySQL:

{{{

sudo mysql

mysql> SET PASSWORD FOR root@localhost=PASSWORD(‘password’);

Query OK, 0 rows affected (0.25 sec)

mysql> create database snort;

Query OK, 1 row affected (0.01 sec)

mysql> grant INSERT,SELECT on root.* to snort@localhost;

Query OK, 0 rows affected (0.02 sec)

mysql> SET PASSWORD FOR snort@localhost=PASSWORD(‘password_do_snort.conf’);

Query OK, 0 rows affected (0.25 sec)

mysql> grant CREATE, INSERT, SELECT, DELETE, UPDATE on snort.* to

snort@localhost;

Query OK, 0 rows affected (0.02 sec)

mysql> grant CREATE, INSERT, SELECT, DELETE, UPDATE on snort.* to snort;

Query OK, 0 rows affected (0.02 sec)

mysql> exit

Bye

Crie as tabelas:

sudo mysql -u root -p < ~/temp/snort-2.6.1.2/schemas/create_mysql snort

Verifique se a base de dados do Snort foi criada corretamente

sudo mysql -p

mysql> SHOW DATABASES;

+——————–+

| Database           |

+——————–+

| information_schema |

| mysql              |

| snort              |

+——————–+

3 rows in set (0.01 sec)

mysql> use snort

Reading table information for completion of table and column names

You can turn off this feature to get a quicker startup with -A

Database changed

mysql> SHOW TABLES;

+——————+

| Tables_in_snort  |

+——————+

| acid_ag          |

| acid_ag_alert    |

| acid_event       |

| acid_ip_cache    |

| base_roles       |

| base_users       |

| data             |

| detail           |

| encoding         |

| event            |

| icmphdr          |

| iphdr            |

| opt              |

| reference        |

| reference_system |

| schema           |

| sensor           |

| sig_class        |

| sig_reference    |

| signature        |

| tcphdr           |

| udphdr           |

+——————+

22 rows in set (0.01 sec)

Instale o ADODB:

{{{

sudo cp ~/temp/adodb493a.tgz /var/www/

cd /var/www/

sudo tar zxf adodb493a.tgz

sudo rm adodb493a.tgz

Instale e configure o BASE:

sudo mkdir -p /var/www/html

sudo cp ~/temp/base-1.2.7.tar.gz /var/www/html

cd /var/www/html

sudo tar zxf base-1.2.7.tar.gz

sudo rm base-1.2.7.tar.gz

sudo mv base-1.2.7 base

cd /var/www/html/base

sudo cp base_conf.php.dist base_conf.php

Edite o ficheiro “/var/www/html/base/base_conf.php” e altere os parâmetros:

$BASE_urlpath = ‘/html/base’;

$DBlib_path = ‘/var/www/adodb/’;

$DBtype = ‘mysql’;

$alert_dbname = ’snort’;

$alert_host = ‘localhost’;

$alert_port = ”;

$alert_user = ’snort’;

$alert_password = ’senha_usuario_snort’;

/* Archive DB connection parameters */

$archive_exists = 0; # Set this to 1 if you have an archive DB

Crie no diretório /etc/snort/rules os seguintes arquivos. Faça isso usando o comando

#touch

local.rules

exploit.rules

bad-traffic.rules

scan.rules

finger.rules

ftp.rules

telnet.rules

rpc.rules

rservices.rules

dos.rules

ddos.rules

dns.rules

tftp.rules

web-cgi.rules

web-coldfusion.rules

web-iis.rules

web-frontpage.rules

web-misc.rules

web-client.rules

web-php.rules

sql.rules

x11.rules

icmp.rules

netbios.rules

misc.rules

attack-responses.rules

oracle.rules

mysql.rules

snmp.rules

smtp.rules

imap.rules

pop2.rules

pop3.rules

nntp.rules

other-ids.rules

experimental.rules

Inicie o snort:

sudo snort -c /etc/snort/snort.conf &

Consulte o BASE, executando no navegador:

http:///html/base

Na página inicial de setup do BASE clicar no link SETUP PAGE e de seguida no botão CREATE AG. Agora você poderá verificar o log do snort via web.

Instalando o Guardian:

Baixe o fonte do Guardian

cd ~/temp

wget http://www.chaotic.org/guardian/guardian-1.7.tar.gz

Copie para o diretório /usr/src e descompacte:

sudo cp guardian-1.7.tar.gz /usr/src

tar xzf guardian-1.7.tar.gz

cd guardian-1.7

cd scripts

Liste o conteúdo do diretório scripts e verifique se ele contem os arquivos abaixo:

freebsd_block.sh    guardian_unblock.sh  ipfwadm_block.sh

iptables_unblock.sh

freebsd_unblock.sh  ipchain_block.sh     ipfwadm_unblock.sh

nullroute_block.sh

guardian_block.sh   ipchain_unblock.sh   iptables_block.sh

nullroute_unblock.sh

O programa Guardian utiliza sempre os scripts denominados “guardian_block.sh” e “guardian_unblock.sh”. Assim, deverão ser copiados para os arquivos com esses nomes correspondentes ao firewall que pretendemos utilizar. No nosso caso usaremos o iptables:

sudo cp iptables_block.sh /usr/bin/guardian_block.sh

sudo cp iptables_unblock.sh /usr/bin/guardian_unblock.sh

sudo chmod 755 /usr/bin/guardian_block.sh /usr/bin/guardian_unblock.sh

Copie o script e o arquivo de configuração do Guardian para os locais correspondentes:

cd ..

sudo cp guardian.pl /usr/bin

sudo chmod 755 /usr/bin/guardian.pl

sudo cp guardian.conf /etc/

Configure os seguintes parâmetros no arquivo /etc/guardian.conf:

Interface eth0 # Interface eth0, a que vai ter os terminais bloqueados

AlertFile /var/adm/secure # Mude para /var/log/snort/alert

TimeLimit 86400 #Mude para um valor em segundos que pretendemos que o

endereço IP fique bloqueado pela firewall. O valor “99999999” remove

esta opção.

Crie o arquivo de log do Guardian:

touch /var/log/guardian.log

Crie o arquivo guardian.ignore com os endereços IP que se pretende ignorar:

touch /etc/guardian.ignore

Inicie o Guardian:

guardian.pl -c /etc/guardian.conf

Usuários do Windows XP SP2 poderão instalar novo patch de segurança

Mesmo sem consentimento da Microsoft, pesquisador ensina como burlar o XP SP2 e instalar as novas atualizações de segurança.

Os usuários que continuam usando o aposentado sistema operacional Windows XP Service Pack 2 (SP2) podem modificar o sistema e instalar as atualizações de segurança necessárias. A afirmação foi feita pelo pesquisador Sean Sullivan, um conselheiro de segurança da empresa de antivirus F-Secure, na última segunda-feira (9/8).

“Para instalar atualizações exclusivas do XP Service Pack 3 (SP3) será necessária uma modificação simples na chave do registro do XP SP2. Assim é possível enganar o sistema operacional. Acesse o registro do computador - HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Windows \ CSDVersion, altere o item "Dados do Valor" de 200 para 300 e reinicie o computador", disse de Sullivan.

De acordo com a Microsoft, o CSDVersion especifica o nome da mais recente versão do software instalada.

Com a modificação, o pesquisador foi capaz de forçar um sistema XP SP2 a instalar a correção de emergência que a fabricante divulgou na semana passada. 

Essa atualização foi negada oficialmente para os equipamentos com XP SP2 já instalados, já que a companhia encerrou o suporte para essa versão após 13 de julho. Por política da companhia, os produtos sem suporte não recebem novas correções de segurança.

Depois de hackear o registro, Sullivan baixou o novo patch de segurança diretamente do site da Microsoft - não através do serviço Windows Update - e o instalou no computador.  Concluída a instalação, fez testes de vulnerabilidade dos atalhos do sistema e o resultado foi positivo para o usuário.

Durante a divulgação da experiência, o pesquisador se preocupou em alertar que hackear o registro é uma prática arriscada.

"Esta atualização não é oficialmente testada ou apoiada pela Microsoft. Hackear o registro e as atualizações é, provavelmente, uma forma rápida para desestabilizar o sistema", disse. "Se possível, o usuário deve atualizar para o Service Pack 3", finalizou o especialista.

(Gregg Keizer)

Fonte: IGDNOW

http://idgnow.uol.com.br/seguranca/2010/08/10/usuarios-do-windows-xp-sp2-poderao-instalar-novo-patch-de-seguranca/