download

Segurança da Informaçãohttp://www.scribd.com/doc/323333/20070914-Seguranca-da-InformacaoCopyright © 2007, ESAB – Escola Superior Aberta do Brasil 101

U 13NIDADEMEDIDAS, MONITORAMENTO E RISCOS NA SEGURANÇAObjetivo: Conhecer as medidas de segurança, de monitoramento e riscos.6.4.2. Medidas de Segurança O que são Medidas de Segurança? São esforços como procedimentos, software, configurações, hardware e técnicas empregadas para atenuar as vulnerabilidades com intuito de reduzir a probabilidade de ocorrência da ação de ameaças e, por conseguinte, os incidentes de segurança. Como tudo envolve custo, antes de decidir pelaestratégia a ser adotada, é importante atentar para o nível de aceitação dos riscos. Este devedefinir os níveis de investimentos das medidas de segurança que serão adotadas pelaempresa.Qual a melhor medida de segurança? Muitos acreditam que possa existir um modelo idealde segurança pronto e que seja encontrado em livrarias, supermercados, ou quem sabe emlojas de conveniência! Seria muito bom se isso fosse verdade!Longe desta realidade, modelos de segurança devem ser preparados por profissionaisespecializados na área, segundo diversos fatores como tipo de negócio, estratégia, ambienteoperacional, cultura da empresa, entre outros. Muitas vezes, a combinação de váriasestratégias pode ser a saída para que a empresa consiga atingir o nível de segurançadesejado e que é requerido em função de seu tipo de negócio.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 102

Existem algumas estratégias que podem ser aplicadas em um ambiente computacional. Aseguir, apresentamos três estratégias de segurança que podem ser utilizadas, como MedidaPreventiva, Detectiva e Corretiva. a) Medida Preventiva: estratégia com foco na prevenção da ocorrência de incidentes de segurança. Todos os esforços estão baseados na precaução e, por esta razão, o conjunto de ferramentas e/ ou treinamentos estão voltados para esta necessidade. As ações preventivas devem estar previamente orçadas, contratadas, acompanhadas e atuantes em pré-ocorrências do risco. Podem se restringir a uma ação puramente técnica controlada internamente ou pode requerer uma ação externa (fornecedores, terceiros, etc.). b) Medida Detectiva: estratégia utilizada quando se tem a necessidade de obter auditabilidade, monitoramento e detecção em tempo real de tentativas de invasão. Exemplos:  Monitoramento.  Monitoração de ataques.  Controle sobre os recursos.  Controle das atividades de usuários.  Auditoria.  Trilhas.  Documentação.  Log. c) Medida Corretiva: são ativadas pós-ocorrência do risco. Pode ser o último estágio antes do acionamento de um Plano de Contingência. Ações corretivas em demasia podem ser o resultado de um planejamento ou operações inadequadas ou mesmo aCopyright © 2007, ESAB – Escola Superior Aberta do Brasil 103

falta deles. Muitas das vezes, ocorrem de forma emergencial, sem planejamento edependendo do procedimento e das ferramentas adotados podem ser mais nocivaspara o ambiente de TI do que benéficas. Podem ser evitadas caso haja açõesPreventivas.6.4.3. Definição de Incidente de SegurançaA questão não é \"se”, mas “quando”, ou seja, em algum momento teremos um incidente desegurança em nossa rede com um maior ou menor nível de gravidade, desta forma, faz-senecessário definirmos claramente o que é um incidente de segurança. Esta definição deveestar contida em nossa política de segurança, mas de forma genérica podemos classificarcomo incidente de segurança: \"Invasões de computador, ataques de negação de serviços,furto de informações por pessoal interno e/ou terceiros, atividades em redes não autorizadasou ilegais”· Desta forma, além de termos claramente definidos o que é um incidente desegurança devemos estabelecer medidas de pré e pós-incidente, ou seja, devemos estarpreparados para a ocorrência de um incidente.Medidas pré-incidentes:  Classificação dos recursos a serem protegidos.  Implementação de mecanismos de segurança.  Definição de equipe multidisciplinar para atuar em caso de incidentes.  Classificação dos incidentes quanto ao nível de gravidade.  Elaboração da estrutura administrativa de escalonamento do incidente (do operador, passando pelos gerentes até o presidente).  Montagem de kit de ferramentas para atuar em incidentes em plataforma diversas.  Definição de procedimentos a serem adotados.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 104

Entre as medidas pós-incidentes podemos incluir:  Procedimentos de coleta e preservação de evidências.  Procedimentos de recuperação dos sistemas afetados.  Procedimentos de rastreamento da origem.  Elaboração de processo legal contra o causador do incidente.6.4.4. Avaliação de RiscosTalvez seja a parte mais complexa da segurança. Nesta fase, sua empresa deve determinara força e vulnerabilidade de sua rede. Você deve priorizar os recursos comerciais e avaliar seestes recursos chaves estão protegidos pelas soluções de segurança atuais.É fundamental a segurança centralizar-se em capacitar um sistema a manter dadosparticulares confidenciais, proteger a integridade da informação quando esta for enviada deum ponto a outro, e assegurar-se da identidade dos usuários.Ainda não há um sistema totalmente seguro. Falhas nos computadores são inevitáveis.Desde que as arquiteturas de rede são complexas e o ambiente da computação está sempremudando, existem sempre novos riscos e exposições para a rede. O assunto a ser enfocadoé se as vulnerabilidades de uma empresa - os riscos que ela corre – são administráveis ounão.Uma dica neste estágio é priorizar os ativos da empresa e destacar os mais cruciais querequerem atenção imediata em caso de evento inesperado.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 105

Passos para seguir nesta fase:PASSO 1: Identificar onde existe a vulnerabilidade: avaliar a arquitetura e a política deacesso da rede, o uso das soluções como Firewalls e codificação, usando sistemas deverificação como um software de detecção de intrusos, filtros de e-mail e antivírus.PASSO 2: Analisar as vulnerabilidades: deve ser incluída uma análise da relação custo-benefício para os riscos nas vulnerabilidades. Para fazer isto, você deve ter um senso clarodas informações das propriedades dos negócios.PASSO 3: Reduzir os Riscos: conforme as redes de computadores vão se tornando maiscomplexas, a avaliação também precisa reduzir os riscos. Classifique este aspectorespondendo a perguntas sobre soluções e políticas de segurança interna, por exemplo,senhas utilizadas, compartilhamento de informações, entre outros.De modo a auxiliar no processo de mapeamento e pontuação do grau de criticidade dosrecursos, devem-se observar alguns pontos:  Identificação dos ativos a serem protegidos: dados (quanto a confidencialidade, integridade e disponibilidade), recursos (quanto à má utilização, indisponibilidade, outros) e reputação (imagem, credibilidade, outros).  Identificação dos possíveis atacantes: concorrentes, funcionários, ex-funcionários, pessoal terceirizado, visitantes, vândalos, espiões.  Identificação dos tipos de ataque: Denial of Service (Negação de Serviço), roubo de informação, erros ou acidentes.  Classificação dos ativos: quanto ao grau de impacto para o negócio, caso seja comprometido.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 106

 Elaboração da documentação da rede e arquitetura atual: sistemas operacionais utilizados, versão do sistema operacional, fornecedor, serviços habilitados, responsáveis pelo sistema, etc. Definição de diretivas: quanto ao monitoramento da rede e sistemas (e-mail, sites acessados, programas utilizados). Definição de diretivas: referentes à propriedade intelectual; Identificar instituições: federais, internacionais e os profissionais especializados, bem como estabelecer acordo de cooperação, como FAPESP, RNP e DPF, EMBRATEL, TELECOM em geral, entre outras. Definir uma estratégia: de proteção dos ativos conforme o grau de criticidade do mesmo para a instituição. Uma regra universal para definição dos investimentos é \"o valor investido na proteção do ativo não deve ser maior que o valor do mesmo\", na definição dos valores deve-se considerar fatores, como tempo de recuperação, impacto ao negócio entre outros.6.4.5. Monitorando Sistemas e BrechasO monitoramento da segurança deve ser classificado de acordo com o quanto ele é sensível,registra e reage ao uso ou mau uso da rede, e como cuida de novos problemas e soluçõesdisponíveis a partir de uma comunidade de peritos. Leve em conta seus parceiros: a sua empresa trabalha com e depende de outras empresas para a execução de algumas funções essenciais aos seus negócios. Certifique-se de que seus principais fornecedores e parceiros comerciais também tenham planos contra desastres implementados. Compromisso ao nível executivo: assim como acontece com qualquer outra iniciativa de segurança que envolva tempo e recursos, os seus planos de contingência e de recuperação de desastre terão de ser financiados pela empresa. Isso poderá requererCopyright © 2007, ESAB – Escola Superior Aberta do Brasil 107

um compromisso por parte dos executivos de sua organização, a fim de demonstrar a necessidade de tal plano, e de testar tais planos regularmente, estando preparado para fornecer à administração análises e documentação demonstrando o risco de possíveis perdas financeiras caso um desastre ocorra e sua empresa não possa se recuperar. Teste o plano: a fim de provar o seu compromisso com o planejamento de recuperação de desastres, é preciso que você teste completamente o seu plano. Não espere até que um incidente ocorra para descobrir se seus planos são efetivos. Encare isso como um treinamento de incêndio – é possível que um incêndio nunca aconteça, porém é importante que todos saibam o que fazer, e que o equipamento seja testado, nesse caso detectores de fumaça e de alarme, caso um incêndio real aconteça. A freqüência com que você testa a integridade de seu sistema deveria ser uma parte abrangente de suas conquistas nessa área. Como parte do monitoramento, um sistema de segurança faz verificações periódicas nos arquivos chaves do sistema, e as gravações dessas verificações podem ser então comparadas detectando assim, invasões ou alterações indesejadas. Este processo ajuda a estabelecer uma visão detalhada dos pontos fracos e fortes das redes. A TI pode criar políticas de segurança e soluções baseadas nesses resultados. Atualize o plano: ao alterar elementos importantes em seu plano de negócios, a eficácia do plano é afetada, portanto é hora de revisá-lo. As alterações em sua estrutura operacional, tais como novos softwares, novos parceiros de negócios ou a adição de redes sem fio podem indicar que é hora de revisar o plano e atualizá-lo para que reflita as mudanças. Mesmo que a empresa classifique a infra-estrutura de segurança como excelente neste momento deve, num curto espaço de tempo, reavaliá-la a fim de prevenir novas ameaças à rede por ataques de hackers e vírus que se tornarão cada vez mais complicados à medida que a Internet for se integrando aos seus negócios. A capacidade crescente do comércio eletrônico aumenta a vulnerabilidade da rede aos vírus e invasores. Uma segurança eficiente irá requererCopyright © 2007, ESAB – Escola Superior Aberta do Brasil 108

reavaliação constante no modo como sua empresa avalia, monitora, planeja, e testa asegurança das redes.Juntamente com os principais executivos das áreas centrais de negócios, os gerentes de TIsão as pessoas mais indicadas para avaliar a qualidade e os métodos do plano desegurança. Eles podem determinar melhor quais recursos da rede são considerados maisvaliosos para os objetivos da empresa, construindo um plano claro e sólido, identificando ospontos com maiores vulnerabilidades e essenciais à empresa. Em intervalos regulares, elestambém são as pessoas mais indicadas para reavaliar e classificar o plano de segurança eseu desempenho. Entretanto, eles não devem ser os únicos preocupados com a segurança,este plano deve ser bem conhecido pelos funcionários e deve deixar bem claro quem deveser o primeiro contatado para que possa responder e tomar decisões.6.4.6. A Organização e os RiscosApós a identificação de um possível incidente devemos:  Confirmar a ocorrência do mesmo, de forma a evitar esforço desnecessário, ou seja, distinguir entre o “falso-positivo” e incidente real.  Registrar todas as ações tomadas.  Definir o nível de criticidade do incidente.  Identificar sistemas atingidos direta ou indiretamente.  Observar se o incidente continua em curso.  Acionar os especialistas necessários para a resposta ao incidente.  Notificar a gerência quanto ao estado do sistema, tempo estimado de recuperação e ações de contra-resposta.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 109

 Isolar os sistemas atingidos até a recuperação do mesmo e coleta das evidências. Devemos notar que ações de contra-resposta não significam bombardear a origem do ataque, caso tenhamos identificado a mesma, mas sim os procedimentos de preservação das evidências, e recuperação do sistema. Esta questão é fundamental, pois realizar uma ação de \"ataque\" contra o agressor não é uma medida muito inteligente visto que: o Seu tempo será gasto com uma ação que poderá complicá-lo. o Você mostra ao agressor que o mesmo foi descoberto. o Estará utilizando os recursos de sua instituição de forma incorreta. o Estará contribuindo para a elevação do nível de lixo na Internet como um todo.Recomenda-se os procedimentos discrição e ações para identificação da técnica utilizadapara comprometer o sistema. Somente as pessoas certas devem ser notificadas, cominformações claras do ocorrido, as ações que devem ser tomadas e o tempo estimado paranormalização do sistema.Montar uma equipe de resposta a incidente não é tarefa fácil, desta forma devemosidentificar dentro da instituição profissionais com diferentes perfis e acioná-los no caso deintrusão. É necessário que passem por treinamento para familiarização dos procedimentosde resposta a incidentes e entendimentos das ações e hierarquias a serem respeitadas, ouseja, podemos ter uma equipe relativamente pequena de profissionais altamenteespecializados em resposta a incidentes, sendo que esta equipe sabe que pode acionaroutros interlocutores internos ou até mesmo externos, no processo de resposta a umincidente de segurança.A equipe deve contar com profissionais multidisciplinares e/ou com especialidade tais como:criptografia, banco de dados, TCP/IP, Firewall, sistema de detecção de intrusão ou IDS,Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 110

elementos de conectividade, plataformas variadas, estenografia, estrutura de arquivos, eoutras especializações.Em conjunto com outros setores a equipe de resposta a incidente deve classificar osmesmos quanto gravidade, prioridade, valor do ativo, técnica utilizada, entre outros quesitos.Salienta-se a todos os envolvidos no processo da hierarquia de escalonamento, que no casoda ocorrência de um incidente de segurança, deve-se ter um interlocutor entre a equipe deresposta e a direção da instituição, em nenhum momento membros da equipe devemcomentar as ações com outras pessoas, sobre o risco de comprometer a continuidade dostrabalhos, pois o incidente pode ter origem interna. É importante lembrar que uma equipe deresposta a incidente deve ter direito de acesso a setores, recursos e dados de forma a poderexecutar seu trabalho.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 111

U 14NIDADEPOLÍTICAS, REGRAS E ESTATÍSTICAS DE INVESTIMENTOS EM CONTINGÊNCIA DEGRANDES EMPRESASObjetivo: Conhecer as Políticas, Regras e Estatísticas de Investimentos.6.4.7. Política de Segurança de SenhasUma senha fácil de deduzir é a causa mais comum dos problemas de segurança.Alguns critérios que devem ser seguidos por todo para a troca de senha:  Nunca criar senhas tomando por base o próprio nome, mesmo que seja o seu nome de trás para frente.  A senha não pode ser fácil de adivinhar, como o nome do marido ou da mulher, do namorado ou namorada, do seu cão, a placa do carro, a rua onde mora, a data do nascimento ou outra informação conhecida. Os hackers costumam usar os programas e dicionários on-line para adivinhar expressões como, por exemplo, “dedicação”.  A dica é ser criativo, utilizando, por exemplo, frases, como: “Até que a morte nos separe querida” e utilizando a primeira letra de cada palavra “aqamnsq”. Dessa forma, a senha não é propriamente uma palavra, mas é fácil de lembrar e difícil de adivinhar. É aconselhável combinar palavras com números.  Nunca crie uma senha somente com números, pois é muito fácil adivinhar.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 112

Regras:Existem algumas regras recomendáveis para a criação de usuários e senhas, que podem serutilizadas para minimização com problemas de senhas.Quanto aos usuários:  Não usar a conta do superusuário ou administrador para outros setores/funcionários.  Criar grupos por setores/áreas afins.  Criar contas dos usuários de acordo com seus nomes, dentro dos grupos..  Como sugestão de senhas, não utilizar: o Mesmo nome de usuário, nome de login. o Senha em branco. o Palavras óbvias, como senha, pass ou password. o A mesma senha para diversos usuários. o Primeiro e último nome do usuário. o Nome da esposa/marido, pais ou filhos. o Informação sobre si mesmo, como placa do carro, data de nascimento, telefone, CPF, etc. o Palavra com menos de seis caracteres.Quanto a senhas, podemos sugerir o uso de: 113  Letras maiúsculas e minúsculas.  Palavras com caracteres não alfabéticos como números ou sinais. Copyright © 2007, ESAB – Escola Superior Aberta do Brasil

 Fácil de lembrar para não ter que escrever.  Fácil de digitar, sem ter que olhar o teclado.6.5. Estatísticas de Investimentos em Contingência de Grandes EmpresasIremos mencionar as medidas de contingência de sete grandesempresas para se ter uma idéia da necessidade e aderência domercado quanto a necessidade de continuidade de seus negócios.Salienta-se que o fato de não utilizar a contingência ou investirainda não garante a continuidade dos negócios para umaorganização. É importante colocar em pauta a quantidade de tempo que é necessária paraque a operacionalidade da empresa retorne e seu status, o quanto pode estar defasada asinformações se comparada ao momento de incidente.6.5.1. Volkswagen Faturamento em 2007: 21,2 bilhões de reais. Investimento em proteção de dados e contingência: não informado. Tipo de contingência: centro de dados de emergência em outro local.Já teve de usar os sistemas de contingência? Sim, por causa de greves em algumasunidades.Os atentados nos Estados Unidos afetaram os planos de contingência? O centro de dadosfoi construído em 1985. Nada mudou nos planos.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 114

6.5.2. Shell Faturamento em 2007: 318,8 bilhões de reais. Investimento em proteção de dados e contingência: 5% do investimento anual com TI.Tipo de contingência: centro de dados de emergência em outro local.Já teve de usar os sistemas de contingência? Não.Os atentados nos Estados Unidos afetaram os planos de contingência? Não. Os planos decontingência existem desde a época dos mainframes. Nada foi alterado.6.5.3. Credicard Faturamento em 2007: Não Disponível. Investimento em proteção de dados e contingência: a contingência aumenta em 20% os custos de T.Tipo de contingência: sistemas distribuídos em três locais no BrasilJá teve de usar os sistemas de contingência? Sim, por causa de um prédio danificado.Os atentados nos Estados Unidos afetaram os planos de contingência? Os procedimentos deproteção de dados são bastante rígidos, mas talvez sejam reforçados.6.5.4. CSN 115 Faturamento em 2007: 2,93 bilhões de reais. Investimento em proteção de dados e contingência: não informado.Tipo de contingência: sistemas redundantes no centro de dados. Copyright © 2007, ESAB – Escola Superior Aberta do Brasil

Já teve de usar os sistemas de contingência? Não informado.Os atentados nos Estados Unidos afetaram os planos de contingência? Os computadoresficam em salas-cofres. Nenhuma medida adicional foi tomada.6.5.5. Bristol-Myers Squibb Faturamento em 2007: Não Disponível. Investimento em proteção de dados e contingência: 4% do investimento anual de TI.Tipo de contingência: contingência terceirizada.Já teve de usar os sistemas de contingência? Não.Os atentados nos Estados Unidos afetaram os planos de contingência? Tem planos decontingência há mais de 20 anos. Não vai fazer mais investimentos.6.5.6. Deutsche Bank Faturamento em 2007: Não Disponível. Investimento em proteção de dados e contingência: 1 milhão de reais por anoTipo de contingência: contingência terceirizada.Já teve de usar os sistemas de contingência? Não.Os atentados nos Estados Unidos afetaram os planos de contingência? Vai investir emproteção, mas afirma que isso já estava planejado antes dos atentados.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 116

6.5.7. GVT Faturamento em 2007: 980,7 milhões de reais. Investimento em proteção de dados e contingência: não informado. Tipo de contingência: sistemas redundantes no centro de dados.Já teve de usar os sistemas de contingência? Sim, por causa de falha em equipamentos.Os atentados nos Estados Unidos afetaram os planos de contingência? Estuda a contrataçãode um serviço terceirizado de recuperação de desastres.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 117

U 15NIDADECOMPONENTES DE SEGURANÇA: FIREWALLObjetivo: Conhecer a funcionalidade, composição e filtros dos componentes de segurança.7. FIREWALLUm dos principais componentes de segurança de uma empresa, como também o maisconhecido e antigo. Significa “barreira de fogo”, que nas organizações é implantado para queos usuários da Internet não acessem dados das Intranets, restringindo a visibilidade dasinformações, conforme as permissões de cada um, ou seja, entre duas redes ele é a barreiraque permite ou não o acesso de dados. Um Firewall é, portanto, um software ou hardwareque verifica informações que entra em PC pela internet ou por uma rede ele bloqueia oupermite que estas informações entre em sua máquina, dependendo de como estaconfigurado seu PC.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 118

Um Firewall pode ajudar a impedir que hackers ou softwares mal-intencionados (comoworms) obtenham acesso ao seu computador através de uma rede ou da Internet. É utilizadopara evitar que o tráfego não autorizado possa fluir de um domínio de rede para o outro.“Firewall é um ponto entre duas ou mais redes no qual circula todo o tráfego. A partir destetráfego é possível controlar e autenticar o tráfego, além de registrar por meio de logs, todo otráfego da rede, facilitando sua auditoria. É um dos maiores destaques para hackers, pois seo mesmo conseguir acessá-lo pode alterar suas permissões e alcançar o bem mais valiosodas empresas – a informação” (Bill Cheswick e Steve Bellovin, em Firewall and InternetSecurity: Reppeling the Wily Hackers).“Firewall é um componente ou conjunto de componentes que restringe o acesso entre umarede protegida e a Internet, ou entre conjuntos de redes” (Chapman).Na Internet, define-se Firewall com o intuito de restringir o acesso que a Internet possibilita,quebrando o paradigma da “conectividade sem limites”. Porém, possuir um Firewall nãoresolve os possíveis problemas de segurança, pois o componente sozinho não é umabarreira, mas suas configurações é que faz esta função ser atingida.Os primeiros Firewalls foram implantados em roteadores, no final da década de 80, porestarem em posição privilegiada – conectando redes distintas. As regras de filtragem erambaseadas na origem, destino e tipo de pacote. Com a chegada da Web, foi necessárioseparar as funcionalidades do Firewall dos roteadores. Assim, Para atender as questões desegurança, houve aumento de complexidade, surgindo as mais diversas tecnologias, comofiltro de pacote ou estado, proxies, híbridos e adaptativos. Outras funcionalidades foramimplementadas, como o Firewall reativo e individual.Atualmente, existe uma tendência a serem adicionados mais serviços aos Firewalls, mesmonão estando diretamente associado à segurança, como por exemplo, gerenciamento debanda, balanceamento de cargas, servidor de e-mail ou Proxy, entre outros.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 119

Este capítulo irá ilustrar o funcionamento dos principais tipos de Firewalls, tecnologias,arquiteturas, principais produtos comerciais e componentes integrantes na arquitetura.7.1. A funcionalidade do Firewall e sua composiçãoUm Firewall é um sistema ou grupo de sistemas que reforça uma política de segurança dedados existente entre uma organização e eventuais usuários situados fora da mesma,especialmente os de origem na Internet, criando uma barreira inteligente através da qual sópassa o tráfego autorizado.A solução certa para a construção de um Firewall é raramente constituída de uma únicatécnica. É, ao contrário, um conjunto balanceado de diferentes técnicas para resolverdiferentes problemas. Os problemas que devem ser resolvidos dependem de quais serviçosa organização pretende tornar disponíveis e de quais riscos esta considera aceitáveis. Astécnicas a serem empregadas para a solução destes problemas dependem do tempo,recursos financeiros e conhecimento técnico disponível na organização.O objetivo de qualquer Firewall é criar um perímetro de defesa projetado para proteger osrecursos internos de uma organização. Para tal, deve atender a alguns requisitos: Deve ser parte integrante da política global de segurança da organização, de modo a evitar contornar facilmente por meios disponíveis a qualquer dos usuários internos.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 120

 Todo o tráfego de dados para dentro ou para fora da rede corporativa deve passar obrigatoriamente pelo Firewall, para poder ser inspecionado.  Deve permitir apenas a passagem do tráfego especificamente autorizado (política conservadora \"o que não for expressamente permitido é proibido\"), bloqueando imediatamente qualquer outro.  Deve ser imune à penetração, uma vez que não pode oferecer nenhuma proteção ao perímetro interno uma vez que um atacante consiga atravessá-lo ou contorná-lo.Um Firewall age como uma barreira que controla o tráfego entre duas redes. O mais segurode todos os tipos seria aquele que bloqueasse todo o tráfego com o mundo exterior, mas istoderrubaria o propósito de fazer conexões com redes externas. O degrau seguinte na escalaseria permitir tráfego com o mundo exterior, mas manter severo controle sobre ele, de modoseguro. Assim, o Firewall pode ser encarado como um par de mecanismos: um existe parabloquear tráfego e o outro existe para permiti-lo. A definição do equilíbrio entre estas duaspolíticas será sempre baseada numa política global de segurança da organização. Firewall típico 121Copyright © 2007, ESAB – Escola Superior Aberta do Brasil

Como o Firewall gerencia todo e qualquer acesso entre a rede interna e a Internet, sem elecada componente do sistema na rede interna estaria exposto a ataques externos e, portanto,deveria possuir capacidades de segurança acentuada. Além disso, o nível de segurançageral da rede interna seria delimitado, por baixo, pelo elemento mais \"fraco\" desta rede.A existência do Firewall permite ao administrador da rede definir um ponto de controle único,através do qual pode impedir acessos não autorizados, proibir que serviços e dadospotencialmente vulneráveis saiam da rede interna e fornecer proteção contra diversos tiposde ataques, pela concentração de esforços e tecnologias de forma consolidada neste únicoponto. Outra vantagem do uso de um Firewall é a possibilidade de monitoração centralizadae geração de alarmes de invasão. De modo geral, pode-se dizer que, para uma organizaçãoque mantém conexões permanentes com a Internet, a questão não é se os ataquesocorrerão, mas sim quando ocorrerão.Os administradores de rede devem dispor de ferramentas adequadas para gerar relatórios desegurança e verificar o estado de suas defesas. Se o administrador de rede não tiver meiosde saber que houve uma tentativa de invasão e se foi ou não bem sucedida, não precisariater um Firewall.Outro benefício do uso de Firewalls é que tornou-se locais ideais para a colocação deTradutores de Endereços de Rede (NAT – Network Address Translators), essenciais paraaliviar a crescente escassez de endereços IP registrados. Assim, a organização necessita terapenas um endereço IP conhecido e fornecido por um ISP (Internet Service Provider), sendoos demais criados internamente e geridos pelo NAT.O Firewall é composto por diversos componentes, que isoladamente são responsáveis por algum tipo de serviço específico, que de acordo com o tipo disponível, vai definir o papel do Firewall e seu nível de segurança. De acordo com a divisão clássica temos quatro tipos deCopyright © 2007, ESAB – Escola Superior Aberta do Brasil 122

funcionalidades de Firewall: 1. Filtros. 2. Proxies. 3. Bastion Hosts. 4. Zonas Desmilitarizadas.Por apresentarem o mesmo papel, porém de forma mais atualizada, atores modernosincluem nesta lista os seguintes itens:  NAT – Network Address Translation.  VPN – Virtual Private Network.As aplicações de Firewall abrangem desde a camada de rede (camada 3 no modelo OSI, oucamada IP, no modelo TCP/IP) até a camada de aplicação (camada 7 no modelo OSI, oucamada 5 no modelo TCP/IP).Os Firewalls que operam no nível da rede geralmente baseiam suas decisões nos endereçosde origem e destino e nas portas contidas em pacotes IP individuais. Um roteador simples éa forma mais típica de um Firewall operando no nível da rede. Um roteador não é capaz dedecisões sofisticadas sobre o conteúdo ou a origem de um pacote. Por outro lado, este tipode Firewall é bastante rápido e transparente para os usuários. No outro extremo, Firewallsque atuam no nível da aplicação, são geralmente computadores executando servidoresproxy, que não permitem fisicamente a existência de tráfego entre redes, e que efetuamelaboradas operações de verificação nos dados que por eles trafegam. Além disso, Firewallsdeste tipo são excelentes também como tradutores de endereços de rede (NAT), já que otráfego \"entra\" por um lado e \"sai\" por outro, depois de passar por uma aplicação queCopyright © 2007, ESAB – Escola Superior Aberta do Brasil 123

efetivamente mascara a origem da conexão inicial. Este tipo de Firewall é certamente menostransparente para os usuários e pode até causar alguma degradação no desempenho.7.1.1. FiltrosSão os responsáveis por rotear pacotes de forma seletiva, aceitando ou descartando, atravésda analise de cabeçalho. Esta seleção é definida a partir da política de segurança adotadapela organização.Existem dois tipos de filtros:1. Filtros de Pacotes: tipo mais antigo e comum é colocado entre uma rede confiável e outra não confiável. Opera na camada de Rede e Transporte, toma suas decisões baseado no endereço IP e nos campos dos pacotes, permite ou proíbe o forward do pacote usando informações contidas nos Headers dos pacotes, como Endereço IPCopyright © 2007, ESAB – Escola Superior Aberta do Brasil 124

fonte ou de destino, portas TCP/UDP de destino ou de origem, por protocolos (ICMP, TCP, UDP, SNMP, etc..), etc. Pode ser dividido em três tipos:2. Filtragem Estática: implementado na maioria dos roteadores. Suas regras devem ser alteradas manualmente. a. Filtragem Dinâmica: modifica suas regras de acordo com o comportamento do tráfego, como por exemplo, só faz o forward de conexões ssh caso ela tenha sido iniciada por um host dentro da rede ou ainda, só permite pacotes ICMP type 8 (echo request) a uma taxa de 3 pacotes por segundo, passando disso ele nega o tráfego desse protocolo. b. Filtragem por Status: muito semelhante a filtragem dinâmica, só que agrega uma profundidade maior na análise do pacote. Um exemplo seria permitir o forward entre hosts dependendo do status da conexão, permitir conexões apenas com status de established e related. c. As filtragens Dinâmicas e por Status, mantêm uma tabela de estados que é atualizada de acordo com eventos. O filtro de pacotes é caracterizado por realizar filtros, baseados no cabeçalho do pacote, quanto à origem, porta de origem, destino, porta de destino e direção de conexões. Para configurar, são relacionados os filtros com IP ou serviço (TCP, UDP, etc) permitindo ou proibindo o tráfego. Estes filtros são estáticos, por isso este tipo de tecnologia também é conhecido por static packet filtering. Para pacotes ICMP, o filtro é realizado a partir de código ou mensagem de erro.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 125

Firewall de filtro de pacotesPrincipais vantagens em utilizar esta tecnologia:  Por exercer sua função na camada de rede e transporte, a tecnologia é mais flexível, barata e fácil de ser implementada.  Os roteadores, que atuam como gateway, podem ser configurados para exercer esta função.  Proporciona baixo overhead/alto throughtput.  É transparente para o usuário.  Melhor desempenho, comparado aos proxies.Algumas desvantagens:  O grau de segurança é menor, pois se pode criar pacotes que passem pela filtragem.  Não consegue distinguir entre pacotes verdadeiros ou falsos.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 126

 É preciso configurar o sentido dos pacotes para que não ocorra IP spoofing, para determinar se o pacote vem da rede interna ou externa. Isto impossibilita o IP spoofing de máquinas internas, mas os endereços externos ficam vulneráveis neste caso.  Também é preciso configurar corretamente para a rede não sofrer port scanning, fingerpriting ou outros ataques.  Existe dificuldade no gerenciamento.  Problemas com protocolos que utilizam portas dinâmicas, como RPC, X11 e H.323, pois somente o cabeçalho não fornece todos os dados necessários.  O primeiro pacote fragmentado é validado e os demais não são totalmente verificados, expondo a rede a uma grave brecha de segurança.ECDSA (Elliptic Digital Signiture Algorith)http://msdn.microsoft.com/pt-br/library/system.security.cryptography.ecdsa.aspxCopyright © 2007, ESAB – Escola Superior Aberta do Brasil 127

U 16NIDADEFILTROS E GATEWAYSObjetivo: Conhecer o funcionamento dos filtros em componentes de Segurança.1. Funcionamento do Filtro de Pacote: realizado de forma seletiva por Firewalls quefuncionam com sistemas de filtragem de pacotes entre computadores internos e externos àrede corporativa.Um roteador é um dispositivo que recebe pacotes de uma rede e os envia a outra rede. Umroteador com filtragem de pacotes é conhecido como screening router (ou roteadorexaminador).Tem como objetivo decidir se aceita/recusa o tráfego de cada pacote que recebe,examinando cada datagrama para determinar se atende a alguma de suas regras defiltragem de pacotes. Estas regras baseiam-se na informação contida nos cabeçalhos dospacotes, que consiste nos seguintes itens: Endereço IP da origem. 128 Copyright © 2007, ESAB – Escola Superior Aberta do Brasil

 Endereço IP do destino. Protocolo encapsulado (TCP, UDP, ICMP ou IP Túnel). A porta de origem TCP/UDP. A porta de destino TCP/UDP. O tipo de mensagem ICMP.Se houver coincidência nas informações e a regra permitir a entrada do pacote, este éencaminhado de acordo com a informação da tabela de roteamento. Se, por outro lado,houver coincidência, mas a regra exigir a rejeição do pacote, este é descartado. Se não, umparâmetro padrão determinará se haverá rejeição ou aceitação do pacote.Algumas regras típicas de filtragem:  Permitir entrada de sessões Telnet somente para determinada lista de computadores internos.  Permitir entrada de sessões FTP somente para determinada lista de computadores internos.  Permitir saída de todas as sessões Telnet.  Permitir saída de todas as sessões FTP.  Rejeitar todas as conexões de sistemas externos à rede corporativa, exceto para conexões SMTP (para a recepção de e-mail).  Rejeitar todo tráfego de entrada e saída oriundo de determinadas redes externas.Para entendermos como funciona a filtragem de pacotes é preciso saber a diferença entreum roteador comum e um screening router. Um roteador comum simplesmente observa oCopyright © 2007, ESAB – Escola Superior Aberta do Brasil 129

endereço de destino de cada pacote e decide qual o melhor caminho para enviar o pacote aoseu destino. Então, a decisão de como tratar o pacote é baseada somente no endereço dedestino. Existem, então, duas possibilidades: ou o roteador sabe como enviar o pacote aoseu destino, e o faz, ou não sabe, e retorna-o à origem, com uma mensagem ICMP para odestino inalcançável.Um screening router, por outro lado, observa as características do pacote mais detidamente.Além de determinar se pode ou não rotear o pacote ao seu destino, também determina sedeve fazê-lo, de acordo com as regras de segurança que o roteador deve fazer cumprir.Observamos a seguir a posição típica de um screening router num sistema.Usando um screening router para a filtragem de pacotesA maioria dos sistemas Firewall existentes em conexões à Internet baseiam-se em umscreening router, uma decisão motivada principalmente pelo baixo custo desta solução, jáque a filtragem de pacotes é uma característica incluída como parte integrante dos softwaresque acompanham qualquer roteador. Além disso, mesmo que o screening router não seja aúnica ferramenta de proteção, certamente estará presente mesmo em arquiteturas maiselaboradas, já que a filtragem de pacotes no nível do roteador fornece um grau de segurançainicial muito bom, numa camada baixa da rede (a camada 3).Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 130

Posição da filtragem de pacotes usando um screening router, como vista pelo modelo de camadas TCP/IPEmbora seja possível ter apenas um screening router como medida de segurança entre arede interna e a Internet, isto coloca grande responsabilidade neste dispositivo, já que é aúnica medida de proteção da rede. Se falhar, toda a rede interna estará exposta. Além disso,não é capaz de modificar serviços ou de proteger operações individuais dentro de umserviço, podendo apenas negá-lo ou permiti-lo, o que exige normalmente o uso dearquiteturas mais complexas.2. Filtros de Pacotes por estado:Buscando suprir as deficiências do filtro de pacotes, foi criado o filtro de pacotes por estadocomo uma evolução, com o desenvolvimento do dynamic packet filter ou stateful packet filter– que filtra os pacotes a partir das informações dos pacotes e sua tabela de estado. UmFirewall que utiliza esta metodologia verifica as informações do primeiro pacote, de acordocom a filtragem – como no filtro de pacotes. É alimentada a tabela de conexões com aentrada deste pacote, juntamente com suas informações e estado da conexão, sendo a únicadiferença entre o filtro de pacotes, mas que corrige o problema da fragmentação de pacotes.É importante ressaltar, que a tabela de conexões gera um log para posteriores pesquisas.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 131

As principais vantagens são:  Bom desempenho, por trabalhar no nível de transporte e rede.  Log de conexões abertas ou não.  Abertura temporária da rede.  Baixo overhead e alto throughtput  Compatibilidade com quase todos os tipos de protocolos.As principais desvantagens são:  Permite conexão direta para máquinas internas da rede externa.  A autenticação é somente realizada via gateway de aplicação (application gateway).  Apesar de divulgarem que o filtro de pacotes por estado atua na camada de aplicação é necessário, na maioria dos Firewalls, outros softwares para realizar esta atividade.7.1.2. ProxiesO Proxy nada mais é do que um tradutor de endereços de aplicações. Trabalha tanto nacamada de sessão, transporte e aplicação.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 132

Seu objetivo é não permitir que estações internas se comuniquem a servidores externos semreendereçamento, promovendo assim, uma maior segurança dentro da rede, já queexternamente o endereço interno está mascarado.Um Proxy funciona como um daemon e não utiliza um mecanismo único para controle dotráfego, sendo necessário um código especial para cada tipo de aplicação. Suaimplementação é simples, minimizando ataque no mesmo. Por possuir um sistema dealarme, é possível registrar todo o tráfego da rede, tanto interno quanto externo.Existem dois tipos de proxys, os gateways de circuito e de aplicação. Sua principal diferençaestá na camada TCP na qual atua. O primeiro atua como relay entre cliente e servidorexterno, não verificando os serviços executados. Este procedimento pode causar problemasde segurança, pois o gateway de pacote não sabe diferenciar os serviços, permitindo suaentrada na rede. Por exemplo, pode-se utilizar a porta 80 (http), para trafegar outro tipo deinformação, sem a percepção do Firewall. O segundo realiza esta verificação, fazendo comque o payload dos pacotes sejam filtrados.Gateway de Circuito:É uma função especializada que pode ser realizada por um gateway de aplicação (umaestação segura – um computador – que permite aos usuários se comunicarem com a Internetatravés de um servidor Proxy, código especial que aceita ou recusa características oucomandos específicos de certas aplicações, ou mesmo aceita ou recusa a própria aplicação).Este tipo de Firewall opera na camada de sessão do modelo OSI (camada 4), ou camada detransporte, no modelo TCP/IP, usa as conexões TCP/IP como Proxy, pois um circuito proxy éinstalado entre o roteador da rede e a Internet. É este Proxy que se comunica com a Internet,em lugar da própria rede local, e só o seu endereço IP é tornado público na Internet.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 133

A posição de um Firewall baseado em um gateway de circuito, como vista pelo modelo de camadas TCP/IPOs gateways de circuito monitoram a troca de informações entre pacotes para determinar seuma determinada sessão que está sendo requerida é legítima ou não. As informaçõespassadas a um computador remoto através de um gateway de circuito parecem seroriginárias do próprio gateway. Com isto, omitem-se informações mais detalhadas sobre arede interna. Entretanto, este tipo de Firewall ainda não realiza qualquer filtragem ouprocessamento de pacotes individualmente. Suas aplicações típicas são as conexões desaída, quando os usuários internos que as utilizam são considerados \"confiáveis\". Destaforma, uma configuração bastante utilizada é um computador (o bastion host, um sistemaespecificamente configurado e protegido para resistir aos ataques externos, como serádetalhado mais adiante) que opera como gateway de aplicação para conexões entrando nosistema e como gateway de circuito, para as que saem. Isto torna o sistema Firewall maistransparente e fácil de usar para os usuários internos que desejam acesso direto à Internet,enquanto provê as funções necessárias à proteção da rede interna contra o tráfego que vemda Internet.A figura a seguir ilustra a operação de uma típica conexão Telnet através de um gateway decircuito. Este simplesmente transmite as informações, sem nenhum exame ou filtragem dospacotes. Todavia, como a conexão parece, aos usuários externos, gerada e gerenciada noCopyright © 2007, ESAB – Escola Superior Aberta do Brasil 134

gateway de circuito, informações sobre a rede interna não estão disponíveis. Só o endereçoIP do gateway é conhecido. Uma conexão Telnet através de um gateway de circuitoCopyright © 2007, ESAB – Escola Superior Aberta do Brasil 135

U 17NIDADECONTINUAÇÃOObjetivo: Conhecer o funcionamento dos filtros em componentes de Segurança.Gateway de Aplicação:Um gateway no nível (ou camada) de aplicação permite ao administrador de redesimplementar uma política de segurança muito mais restritiva do que um roteador. Ao invés decontar com uma ferramenta genérica de filtragem de pacotes para gerenciar o fluxo deserviços da e para a Internet, uma aplicação especial (servidor Proxy) é instalada no gatewaypara cada serviço desejado.Se o servidor Proxy para uma dada aplicação não for instalado, o serviço não estarádisponível e os pacotes correspondentes não atravessarão o Firewall. Além disso, o servidorProxy pode ainda ser configurado para permitir que apenas algumas características daaplicação sejam oferecidas, a critério do administrador.A filtragem de pacotes num servidor Proxy continua, então, sendo efetuada, com a diferençade que, como o servidor examina intensivamente os pacotes recebidos no nível da aplicação(camada 7 do modelo OSI, ou camada 5 do modelo TCP/IP), pode filtrar comandosespecíficos desta, o que seria impossível para um roteador. Assim, por exemplo, um serviçohttp pode estar sendo oferecido, mas determinados comandos, como http:post e http:get,podem ser bloqueados.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 136

A posição da filtragem de pacotes usando um gateway de aplicação, com vista pelo modelo de camadas TCP/IPA figura a seguir esquematiza e esclarece a posição ocupada pelo servidor Proxy nafiltragem de pacotes, no qual não há comunicação direta entre a rede interna e a Internet; arede interna conecta-se ao computador que age como um gateway (ou portão de acesso) eeste conecta-se à Internet, o que reduz as chances de um ataque externo e ainda permite ainspeção dos dados que passam através do Firewall. Este computador é muitas vezesconhecido por bastion host, ou bastião, porque é o sistema especificamente projetado parasuportar ataques externos.Um servidor proxy entre a Internet e a rede interna 137 Copyright © 2007, ESAB – Escola Superior Aberta do Brasil

Um bastion host apresenta características de projeto bem específicas, com a finalidade deprover segurança por restrição de acesso, como:  A plataforma de hardware do bastion host executa uma versão segura do sistema operacional, especialmente projetada para protegê-lo das vulnerabilidades do sistema operacional típico.  Somente os serviços considerados essenciais são instalados no bastion host, pois um serviço não disponível não pode ser alvo de ataques.  Exigência de autenticação de usuário para acesso aos serviços Proxy.  Somente um subconjunto de comandos do conjunto padrão de uma aplicação é disponibilizado aos usuários autenticados.  Somente os computadores que gerenciam determinado serviço estão disponíveis aos usuários autenticados.  Cada servidor Proxy é independente dos demais operando no bastion host, de modo a impedir que vulnerabilidades específicas afetem a segurança como um todo.Os gateways de aplicação oferecem aos administradores de redes completo controle sobrecada serviço individual, porque o servidor Proxy limita os serviços disponíveis, os comandosCopyright © 2007, ESAB – Escola Superior Aberta do Brasil 138

disponíveis dentro de cada serviço e os computadores conectados para atenderem àsrequisições de serviço. Simplificam igualmente a negação de serviço, bastando nãodisponibilizar um servidor Proxy para a aplicação.Outras duas vantagens inerentes a este arranjo são a possibilidade de ocultar os nomes doscomputadores internos e a viabilidade de analisar os conteúdos dos pacotes para verificar sesão \"apropriados\" e seguros, como rejeitar e-mails que contenham certas palavras).A principal limitação de gateways de aplicação é a exigência de modificação nos modos deconexão de usuários aos serviços, ou seja, a falta de transparência para os usuários.7.1.3. Stateful Multi-Layer Inspection FirewallsEsta tecnologia de Inspeção de estado multi-camada, considerada a terceira geração dosFirewalls, permite examinar cada pacote em todas as suas camadas do modelo OSI, desde arede (camada 3) até a aplicação (camada 7), sem a necessidade de processar a mensagem.Posição da Inspeção de Estado Multicamada, como vista pelo modelo de camadas TCP/IPCom a tecnologia SMLI, o Firewall usa algoritmos de verificação de dados da camada deaplicação ao invés de executar servidores Proxy específicos para cada aplicação, otimizadospara altas velocidades de inspeção, enquanto os pacotes são simultaneamente comparadosCopyright © 2007, ESAB – Escola Superior Aberta do Brasil 139

a padrões conhecidos de pacotes amigáveis. Por exemplo, ao ter acesso a algum serviçoexterno, o Firewall armazena informações sobre a requisição de conexão original, tais comoo número da porta, o endereço de destino e o de origem. No retorno da informação, oFirewall compara os pacotes recebidos com as informações armazenadas, para determinarse serão admitidos na rede interna. Desta forma, a SMLI oferece a velocidade e atransparência ao usuário típicas de um filtro de pacotes, aliadas à segurança e à flexibilidadede um gateway de aplicação.A principal limitação desta tecnologia é que ela expõe os endereços IP das máquinasinternas à rede, já que permite que os pacotes internos alcancem a Internet. Esta limitaçãopode ser contornada com a adição de servidores Proxy em conjunto, o que eleva ainda maisa segurança.7.1.4. Bastion HostsSão os equipamentos que prestam serviços à Internet. É a sua presença pública na Internet.Imagine a recepção de um prédio, onde estranhos podem não ter permissão de subir asescadas nem utilizar os elevadores, mas podem vagar livremente pela recepção e seinformarem do que necessitam. Como numa recepção de edifício, os Bastion Hosts sãoexpostos a possíveis elementos hostis, que tendo ou não permissão, precisam inicialmentepassar pelo Bastion Hosts antes de alcançarem a rede interna. Quando mais simples forem,mais simples será mantê-lo seguro. Por estarem em contato direto com conexões externas, devem estar protegidos da melhor forma possível. Isso significa que deve executar somente os serviços e aplicativos essenciais, bem como ter a ultima versão de atualizações epatches de segurança instalados em sua configuração, assim que disponibilizado aomercado.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 140

O bastion host é a ponte de interação com a zona desmilitarizada, pois os serviçosdisponíveis à DMZ devem ser impreterivelmente instalados nestes equipamentos protegidos.7.1.5. DMZ – Zonas DesmilitarizadasÉ uma rede que fica entre a rede interna e externa.Esta segmentação garante que caso algum equipamento bastion host seja atacado na redeDMZ, a rede interna continuará sua operacionalidade de forma intacta e segura.Usualmente encontrada como sendo uma rede entre a Internet e a intranet da empresa.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 141

U 18NIDADENAT, VPN E LIMITAÇÕES NO USO DE FIREWALLObjetivo: Conhecer solução econômica de IP, redes sobre a infra-estrutura de uma redepública e as limitações do Firewall.7.1.6. NAT - Network Address TranslationÉ uma das soluções que existem para a economia de endereços IP. É um tradutor deendereços de rede que visa minimizar a escassez dos endereços IP, pois o crescimento daInternet tem sido grande e, para que uma máquina tenha acesso à rede, é preciso ter umendereço IP válido.Para o tradutor funcionar, é preciso usar endereços IP privados, note que, tais endereços sópodem ser utilizados em redes corporativas, pois, não são propagados pela Internet. Atradução pode ocorrer de forma estática, onde se estabelece uma relação entre endereçoslocais e endereços da Internet ou dinâmica, onde o mapeamento de endereços locais eendereços da Internet é feito conforme a necessidade de uso. As traduções estáticas sãoúteis quando disponibilizamos serviços na rede interna, como um site Web. Nesse quadro,quando o pedido de conexão chega ao roteador, o NAT consulta a tabela de endereços e transcreve para o IP interno correspondente, permitindo assim, que seja possível fazer uma conexão no sentido da Internet para a rede interna. As traduções dinâmicas são úteis quando se pretende dar acesso aos computadores no sentido da rede corporativa para Internet. Funciona da seguinte forma: o computador da rede corporativa faz uma requisição que passa peloCopyright © 2007, ESAB – Escola Superior Aberta do Brasil 142

roteador e ele, aloca em sua tabela, o endereço da máquina interna que requisitou ainformação e o endereço Internet configurado no roteador (esse endereço pode ser único ouuma faixa de endereços), e quando os dados retornam da Internet, o NAT consulta a tabelade traduções e responde a máquina que fez a requisição.Mostraremos agora a tabela de endereços IP reservados,inválidos ou privativos, descritos no RFC 1918:10.0.0.0/8 a 10.255.255.255 (máscara255.255.255.0)172.16.0.0 a 172.31.255.255 /12 (máscara255.240.0.0)192.168.0.0 a 192.168.255.255 /16 (máscara 255.255.255.0)O NAT está definido na RFC 1631.7.1.7. VPN - Virtual Private NetworkRede Privada Virtual é uma rede construída sobre a infra-estrutura de uma rede pública,normalmente a Internet, ou seja, utiliza-se a infra-estrutura da Internet ao invés de se utilizarlinks dedicados ou redes de pacotes (como Frame Relay e X.25) para conectar redesremotas.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 143

Motivada pelo lado financeiro, onde os links dedicados são caros, e do outro lado está aInternet, que por ser uma rede de alcance mundial, tem pontos de presença espalhados pelomundo.As conexões com a Internet podem ter um custo mais baixo que links dedicados,principalmente quando as distâncias são grandes, esse tem sido o motivo pelo qual, asempresas cada vez mais utilizam a infra-estrutura da Internet para conectar a rede privada.A utilização da Internet como infra-estrutura de conexão entre hosts da rede privada é umaótima solução em termos de custos, mas não em termos de privacidade, pois a Internet éuma rede pública, onde os dados em trânsito podem ser lidos por qualquer equipamento.Então como fica a questão da segurança e a confidencialidade das informações daempresa?Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 144

Criptografia é a resposta. Incorporando criptografia à comunicação entre hosts da redeprivada de forma que, se os dados forem capturados durante a transmissão, não possam serdecifrados. Os túneis virtuais habilitam o tráfego de dados criptografados pela Internet eesses dispositivos, são capazes de entender os dados criptografados formando uma redevirtual segura sobre a rede Internet.Os dispositivos responsáveis pelo gerenciamento da VPN devem ser capazes de garantir aprivacidade, integridade, autenticidade dos dados.7.1.8. Limitações no uso de FirewallUm Firewall não pode proteger uma rede interna de ataques que não passem por ele. Se ouso de canais de discagem por parte dos usuários da rede for irrestrito, usuários internospoderão realizar conexões diretas dos tipos PPP (Point-to-Point Protocol) ou SLIP (SerialLine Internet Protocol), que contornam as barreiras de segurança do Firewall e oferecemsignificativo risco de ataques por trás.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 145

Conexão SLIP contornando o FirewallO Firewall não pode prover proteção contra usuários internos agindo de má fé ou porignorância. Usuários podem remover dados confidenciais por meio de disquetes, cartões denotebooks, ou serem vítimas de hackers fazendo-se passar por administradores de sistemase solicitando que revelem uma senha, por exemplo. O mesmo se pode dizer quanto àproliferação de vírus de computador: as organizações devem dispor de softwares anti-vírusem toda a rede interna, para sua proteção.Outra forma de ataque contra a qual os Firewalls não são totalmente eficazes são ataquesacionados por dados. Nestes casos, dados aparentemente inofensivos são introduzidos nointerior da rede interna, seja através de e-mail, seja por cópia de arquivos. Neste caso, aexecução de um programa determinado pode disparar alterações significativas em arquivosrelacionados à segurança do sistema, tornando-o vulnerável.Deficiências do SLIP (Serial Line Internet Protocol):Há vários recursos que muitos usuários gostariam que o SLIP disponibiliza-se.Falhas mais comuns notadas no protocolo SLIP:  Endereçamento: em uma ligação SLIP ambos os computadores necessitam conhecer outros endereços IP para possibilitar o roteamento. Ao usar SLIP para hosts ligados por linha discada a um roteador, o esquema de endereçamento pode ser completamente dinâmico e o roteador pode necessitar informar ao host que discou o seu endereço IP de host. O SLIP atualmente fornece mecanismos para hosts comunicarem informações de endereçamento sobre uma conexão SLIP.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 146

 Identificação de Tipos: o protocolo SLIP não possui um campo de tipo. Assim, somente um protocolo pode percorrer a conexão SLIP, então em uma configuração que ligue dois computadores que usem outro protocolo além do TCP/IP somente este poderá usar a linha, não havendo esperança de compartilhar a linha entre os protocolos.  Detecção/Correção de Erros: linhas telefônicas ruidosas afetarão pacotes em trânsito. Se a linha for muito lenta (2400bps) a retransmissão de pacotes será muito dispendiosa. A detecção de erros em nível de SLIP não é absolutamente necessária, pois as aplicações IP detectarão os danos nos pacotes (checksums de cabeçalho IP, TCP e UDP), embora aplicações como \"NFS\" usualmente ignorem o checksum e dependam do meio da rede para detectar os danos. Por isto, seria melhor que o SLIP fornecesse um método próprio de correção de erros.  Compressão: por serem as linhas discadas muito lentas (2400bps), a compressão de pacotes causará grande melhoria no throughput dos pacotes. Usualmente, o fluxo de pacotes em uma conexão TCP simples possui poucos campos alterados nos cabeçalhos IP e TCP, então um algoritmo de compressão simples poderá enviar apenas as partes diferentes dos cabeçalhos em vez dos cabeçalhos completos.Algum trabalho para solucionar algum ou todos esses problemas vem sendo feito por váriosgrupos de trabalho para projetar e implementar um sucessor para o SLIP.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 147

U 19NIDADEARQUITETURA E PROJETO DE FIREWALLObjetivo: Conhecer a Arquitetura e projeto de Firewall.7.1.9. Decisões básicas de projeto para FirewallsNo projeto de Firewalls para proteção de redes corporativas durante conexões à Internet,algumas questões devem ser abordadas pelo administrador de sistemas:  A orientação do Firewall quanto à passagem de dados.  A política global de segurança da organização.  O custo da solução escolhida.  Os blocos componentes do sistema Firewall.A orientação do Firewall quanto à passagem de recursos pode ser resumida duas a posiçõesdiametralmente opostas: Tudo o que não for especificamente permitido é proibido: posição que determina que o Firewall deva bloquear todo e qualquer tráfego e que cada serviço ou aplicação desejada deve ser implementada caso-a-caso, sendo esta a mais segura e recomendada. Sua desvantagem é dar à questão da segurança maior peso que à questão da facilidade de uso. Tudo o que não for especificamente proibido é permitido: posição que determina que o Firewall deva permitir a passagem de todo e qualquer tráfego, e que serviços ouCopyright © 2007, ESAB – Escola Superior Aberta do Brasil 148

aplicações potencialmente perigosas devem ser desabilitadas caso-a-caso, criando um ambiente mais flexível, oferecendo mais serviços aos usuários, mas sua desvantagem é colocar a facilidade de uso num patamar de importância maior que a segurança.  O Firewall é parte integrante de uma determinada política de segurança da organização, fator que define os parâmetros e os requisitos do que denominamos defesa do perímetro. Por outro lado, o terceiro fator que determinará qual a solução técnica a ser adotada é, sem dúvida, o custo. Este determinará qual a complexidade e a abrangência da proteção a ser oferecida.Levando-se em conta os três fatores acima, uma organização pode definir os itensintegrantes do sistema Firewall. Um sistema típico poderá conter um ou mais dos seguintesblocos componentes:  Roteador com filtragem de pacotes.  Gateway em nível de aplicação (ou servidor Proxy).  Gateway em nível de circuito.Exemplos de arquiteturas de Firewall:O sistema mais comum de Firewall consiste em nada mais que um roteador com filtragem depacotes, colocado entre a rede interna e a Internet, executando as tradicionais funções derotear o tráfego de pacotes entre redes e usar regras de filtragem para aceitar ou recusareste tráfego. Neste arranjo, os computadores da rede interna têm acesso direto à Internet,enquanto os externos só dispõem de acesso limitado à rede interna. A política de segurançamais adotada nesta arquitetura é \"tudo o que não for especificamente permitido é proibido\".Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 149

Roteador com filtragem de pacotesVantagens: Baixo custo. Transparência para os usuáriosDesvantagens:  Exposição a ataques por configuração inadequada dos filtros.  Exposição a ataques perpetrados através de serviços permitidos (já que não há exame do conteúdo dos pacotes).  Necessidade de segurança adicional e autenticação de usuários para cada computador acessível a partir da Internet.  Exposição da estrutura da rede interna (já que a troca de pacotes entre usuários internos e externos é permitida, há a exposição dos endereços IP internos).  Se o roteador for atacado, toda a rede interna fica desprotegida.O segundo exemplo de arquitetura emprega a filtragem de pacotes, que aliada a umcomputador especificadamente projetado e protegido contra ataques externos, o bastionhost. Esta arquitetura provê maior grau de segurança porque implementa tanto a filtragem de Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 150