Utilizadores Potênciais
Aplicações a disponibilizar
Associação entre as aplicações / recursos e os utilizadores
Divisão entre as aplicações consideradas críticas e as não críticas
Site Survey
Avaliação da Infra-estrutura
Desenho da rede
Sistemas complementares (IDS)
O que é Detecção de Intrusos?
Que Sistemas de Detecção de Intrusos estão disponíveis?
Diagrama de um sistema IDS (exemplo)
NIDS
Sniffers e Analisadores
HIDS


Utilizadores potênciais
Quantificação e tipificação de todos os utilizadores que irão utilizar a rede wireless

– O primeiro passo é sem dúvida estimar quantos utilizadores irão utilizar a rede e tipificálos.
Exemplo: x utilizadores, dos quais y professores, z alunos, n externos

Aplicações a disponibilizar
Inventário de todas as aplicações, recursos e serviços a disponibilizar:
Exemplo: aplicação a + aplicação b + ....

Associação entre as aplicações / recursos e os utilizadores
Construção de um diagrama semelhante ao indicado no capitulo 4

Divisão entre as aplicações consideradas críticas e as não críticas
Avaliação do impacto de uma falha em termos de segurança e consequente divisão
entre dois tipos de aplicação / recurso.
Exemplo:
· Http, Smtp = recursos não criticos
· Ftp, Snmp, Telnet, Servidores administrativos = recursos criticos

Nota: Estes primeiros passos são os mais importantes no desenho da rede já que irão determinar quais os serviços que podem ser disponibilizados com um nível de segurança médio (presentes na WDMZ mediante uma autenticação básica ou mesmo ausência de autenticação) e aqueles a disponibilizar com um nível de segurança elevado (através da criação de um túnel)

Site Survey
Identificação de todos os locais fisicos onde será necessária a instalação de um AP. Esta é uma das tarefas mais importantes e delicadas. Aqui será importante verificar dois aspectos:

- Cobertura - colocando todos os APs necessários eventualmente manipulando a
potência e sensibilidade nos locais onde é prevista uma grande quantidade de
utilizadores por forma a garantir células mais pequenas.

- Identificação de interferências – que poderão ser os próprios APs já que no mesmo espaço fisico apenas podem coexistir 3 frequências. Se porventura num espaço estão presentes mais do que três canais será necessário diminuir o tamanho das células manipulando o tamanho das mesmas.

Avaliação da Infra-estrutura
Inventário e qualificação da infra-estrutura de comunicações existente (tendo por base os locais onde é necessário instalar APs), procurando identificar pontos frágeis ou carentes de uma melhoria já que a mesma pode condicionar severamente a rede wireless.

Exemplo – Não é recomendável a ligação de Acess points a hubs já que os
mesmos serão “bombardeados” com tráfego com destino diferente. Por outro lado,
uma solução básica (adequada apenas a redes de muito pequeno porte) utilizando
switches e uma Vlan para os equipamentos wireless (ou várias Vlans por AP) tem
como consequência a travessia do core por fluxos de nível 2 e propagação
generalizada de broadcasts (com as respectivas consequências ao nível do
desempenho). Tudo isto sem ganhos em termos de segurança. A solução ideal
passa pelo suporte dos APs em equipamentos com facilidades de L2, L3 e L4
permitindo a autenticação de utilizadores (complementar) e a implementação de
filtros (ACLs) por fluxo, aplicação e essencialmente a introdução de mecanismos de traffic shaping por fluxo / aplicação já que será este um mecanismo fundamental em termos de gestão de recursos e contenção.

Desenho da rede
Pela primeira vez surge o diagrama da rede wireless identificando a Vlan (ou Vlans)
onde vão ficar ligados os APs representando claramente os pontos de interligação entre a zona insegura (rede wireless / WDMZ) e a zona segura (LAN). Estes pontos de interligação deverão ser garantidos pelos seguintes equipamentos. No caso de serem utilizadas várias Vlans, todas estas deverão ser separadas de eventuais VLANs existentes na zona segura da rede. O objectivo será sempre segregar os utilizadores wireless estabelecendo regras para controlar o acesso às aplicações mais sensiveis:

- Firewall configurado por forma a permitir apenas o acesso às aplicações previamente classificadas como não críticas

- Servidor de VPNs – Configurado como fronteira entre as aplicações consideradas críticas e a zona insegura através de túneis, os quais apenas deverão ser estabelecidos mediante autenticação (802.1x, PEAP/TTLS)
Estes dois equipamentos podem ser reunidos num único que simultaneamente pode
oferecer as funções de routing. Aí será possível assegurar estas funções num único
equipamento que poderá ainda proporcionar conectividade WAN entre os vários polos e terminar túneis oriundos da Internet ou gerados em polos diferentes.
A autenticação deve ser assegurada por um servidor de Radius (Funk, Microsoft,
Radiator, etc... ), o qual deverá ser instalado na zona segura da rede. Cumulativamente, pode ser instalado um segundo servidor Radius na zona insegura o que permitirá dois tipos de autenticação (que podem ser transparentes para o utilizador) apenas com o intuito de gerir a forma como é feito o acesso a ambos os tipos de recursos.

Sistemas complementares (IDS)
Dependendo do tipo de serviços a disponibilizar na rede e da sua dimensão poderá ser interessante ou imprescindivel dispor de um sistema IDS.
Nos casos em que não são disponibilizadas aplicações críticas na rede wireless e a sua dimensão é reduzida poderão ser suficientes as facilidades de detecção de intrusão possiveis num Router que cumulativamente tenha esta capacidade. Para as redes que disponibilizam recursos mais criticos ou têm uma dimensão superior (passíveis de serem utilizadas por milhares de alunos) é recomendável a implementação de um sistema de defesa IDS

O que é Detecção de Intrusos?
É a tentativa de monitorar e prevenir ataques que comprometam os sistemas e/ou
recursos de rede. Tipicamente, um firewall ou sistema de autenticação previne o acesso sem autorização. Porém, às vezes podem ser quebradas as regras do firewall ou dos sistemas de autenticação. A detecção de intrusos consiste num conjunto de mecanismos instalados na rede para gerar alarmes quando ocorrem tentativas de acesso sem autorização aos computadores. Os sistemas de detecção de intrusos também podem tomar algumas ações para negar acesso a pretensos intrusos.

Que Sistemas de Detecção de Intrusos estão disponíveis?
Os Sistemas de detecção de intrusos dividem-se em duas grandes categorias.
Estas são:

- Sistemas baseados em Rede (NIDS) - Estes sistemas são colocados na rede, perto do sistema ou sistemas a serem monitorizados. Examinam o tráfego da rede e determinam se este está dentro de limites aceitáveis.

- Sistemas baseados em Host (HIDS) - Estes sistemas correm no sistema operativo dos servidores procurando determinar se a actividade no sistema é aceitável.

Diagrama de um sistema IDS (exemplo)

NIDS
Sistemas de detecção de intrusos capazes de monitorizar um segmento específico da
rede. Dotados de uma (ou mais) placas de rede (NIC) podendo operar em Modo Normal (onde somente os pacotes que são destinados para o computador) ou em Modo Promíscuo (onde são capturados todos os pacotes que são vistos no segmento Ethernet onde se encontra o computador) sendo este último modo o mais comum e requerido pela maioria dos sistemas IDS.

Sniffers e Analisadores
Os sniffers e Analisadores foram projectados originalmente para ajudar no processo de visualização de tráfego numa rede. Os primeiros foram o Novell LANalyser e Microsoft Network Monitor, que básicamente capturavam todos os pacotes visiveis. Uma vez capturados, podiam ser contados (contemplando overheads) e obtendo indicações sobre a carga da rede eventualmente sob a forma de gráficos.
Existem actualmente sniffers mais sofisticados, programas como Tcpdump, Ethereal e as versões mais recentes da NAI, que podem abrir vários tipos de pacotes. Estas
ferramentas (como todas) podem ser utilizadas de forma negativa, por exemplo para
descobrir a password de alguém que tenha ligado via telnet num sistema Unix
Infelizmente, do ponto de vista da segurança, um sniffer é muito limitado. A tarefa de
capturar o pacote na rede, abri-lo, e analisá-lo manualmente é um processo muito
demorado, até mesmo para uma equipa de especialistas de rede.
Assim o objectivo do NIDS é a automatização desta tarefa.

Exemplos de detecção feitos por NIDS

Examinar os pacotes que atravessam a rede;
- Nos pacotes legítimos, permitir que estes passem

- Num pacote que pareça quebrar a segurança ou integridade de um
sistema, proporcionar uma resposta automática para o fecho da sessão. Detectar reconhecimento da rede (Port Scans), por ser uma das primeiras acções de um cracker que desejando comprometer um sistema, precisa de conhecer as vulnerabilidades do mesmo.

- Detectar ataques bem conhecidos. O acesso a um servidor web através da porta 80 (web - http) poderia ser visto como uma actividade inofensiva, mas muitas tentativas de acesso repetidas são na realidade ataques deliberados, ou tentativa de ataques. Por exemplo, um acesso como "GET /../../../etc/passwd HTTP/1.0", é provávelmente um mau sinal e deve ser bloqueado.

- Identificar “IP spoofing” (utilização de um falso endereço IP) de vários tipos. O
protocolo ARP que é usado para converter endereços de IP em endereços de MAC é freqüentemente um alvo para ataques. Enviando pacotes ARP forjados, um intruso que obteve acesso a um sistema pode fingir estar a operar num sistema diferente.
Quando actividade não desejada é detectada, o sistema de detecção de intrusos
baseado em rede pode entrar em acção, interferindo com o tráfego do possível intruso, ou reconfigurando um firewall para bloquear todo o tráfego do mesmo.

Infra-estrutura existente
Outro ponto para considerar é a utilização de switches (e routers), que por filtrarem o tráfego enviado para as portas, por um lado inviabilizam a utilização de sniffers e
analizadores (excepto quando activadas facilidades de mirroring) mas por outro
colocam algumas dificuldades adicionais à utilização de NIDS sendo então necessário o suporte destas facilidades ou de dispositivos externos (TAPs).

HIDS
Os Host Intrusion Detection (HIDS) constituem um complemento aos NIDS
proporcionando uma terceira linha de defesa para aquelas situações em que o ataque
não foi detectado atempadamente e a segurança foi já comprometida (por exemplo
quando é estabelecida uma sessão Https com o servidor onde pelo facto da
comunicação estar encriptada, caso ocorra uma tentativa de ataque o NIDS não o irá detectar).

Existem dois tipos detecção de intrusão baseados em host:

- Analisadores de rede que verificam as ligações ao host, e tentam determinar quais as que representam uma ameaça, gerando alarmes e eventualmente bloqueando essas mesmas sessões antes de produzirem qualquer dano.

- Analisadores de integridade que verificam arquivos, sistemas de arquivos, directórios, em busca de actividades suspeitas que poderiam representar uma tentativa de intrusão ou comprometimento do sistema.

Exemplos de acções desencadeadas por HIDS:

- Descobrir tentativas de abertura de sessões TCP ou UDP em portas não autorizadas, (frequentemente um indicador de um possível cracker tentando reconhecer as vulnerabilidades do servidor em questão)

- Descobrir o mapeamento de portas abertas (novamente, um indicador de um possível ataque que deverá gerar um alarme e eventualmente reconfigurar um firewall para negar acesso ao intruso).

Monitorização de actividades de Login
Apesar dos melhores esforços dos administradores de rede, e do desenvolvimento de sistemas de detecção de intrusão ocasionalmente um intruso consegue-se ligar
remotamente a um sistema (por exemplo porque teve conhecimento de uma password).
Aqui, torna-se necessário verificar os logs de autenticação. Este tipo de monitores de
login, alertam o administrador de sistema para actividades invulgares ou inesperadas
(por exemplo, um utilizador a tentar receber privilégios de administrador às duas horas da manhã de um domingo).

Monitorização de actividades de administrador ou Root
Sendo o objectivo de todos os intrusos obter acesso de super user (root) no sistema
que invadiram é vulgar detectar um intruso através de algo tão simples como a hora a
que o mesmo se ligou já que um sistema bem mantido e seguro normalmente só é
acedido desta forma para efeitos de manutenção de sistema.

Monitorização de sistemas de arquivos
Inevitávelmente, quando um intruso invade um sistema começará a alterar os arquivos do mesmo, por exemplo instalando um sniffer ou modificando alguns programas para desabilitar métodos de detecção de intrusos. Como a instalação de um software num sistema normalmente envolve a modificação de arquivos ou bibliotecas, agentes como Dragon foram desenhados para detectar qualquer mudança no sistema de arquivos, alertando o administrador para estas mudanças.
Exemplos de acções para prevenir alterações:

- Criar um MD5 ou outro checksum criptografado de todos os arquivos criticos do
sistema, e respectivo armazenamento numa base de dados. Quando um arquivo
mudar, mudará também o seu checksum.

- Armazenamento da data e hora de criação / modificação de todos os arquivos críticos do sistema verificando mudanças (timestamps).

- Manutenção de um registo de qualquer programa no sistema que seja executado
como super user verificando alterações ou novas instalações.