Computing">
6 Segurança de Redes Uninter
6 Segurança de Redes Uninter
6 Segurança de Redes Uninter
COMPUTADORES
AULA 6
2
Para implementar a segurança na rede doméstica, além do firewall que
pode estar sendo executado no roteador, é necessário adotar as medidas de
segurança de senha forte para a rede Wi-Fi, bem como a troca da senha padrão
do roteador, conforme visto anteriormente.
Nas redes corporativas, temos um cenário mais complexo para a
implementação de segurança. Por isso, neste capítulo, veremos a evolução das
soluções de segurança para as redes, bem como suas principais características,
sua operação e os diversos equipamentos utilizados para implementar estas
funcionalidades. Assim veremos os IDS, IPS, firewalls, UTMs e Honeypots,
identificando as principais características dos dispositivos de segurança que são
utilizados nas redes atuais.
3
Figura 2 – O IDS
4
para os quais foram enviados os pings a partir de um mesmo endereço de
destino. Essa contagem também está associada à variável tempo, ou seja,
quantos pacotes foram recebidos em um determinado intervalo de tempo.
Normalmente, como esses ataques são feitos a partir de um software, o intervalo
entre cada pacote pode ser da ordem de milissegundos, o que caracteriza um
ataque, e não um administrador de rede testando a conectividade da rede, pois
o tempo de digitação de comandos é muito maior.
5
Figura 4 – O IDS e o ataque de acesso
6
Outro aspecto do IDS é o nível de sensibilidade da geração de alarmes,
pois o comportamento de uma tentativa de invasão pode ser muito parecido com
um tráfego válido. Assim, o IDS pode gerar os chamados falsos positivos, que
são os alarmes gerados indicando que aquele tráfego é uma tentativa de ataque
ou invasão, mas na realidade é um tráfego válido. Como os alarmes devem ser
analisados por outro sistema ou pessoal especializado, esses falsos positivos
podem ser identificados nessa segunda análise, antes de serem tomadas as
medidas de bloqueio.
Figura 5 – O IPS
7
Um dos efeitos indesejados no uso do IPS é que ele pode bloquear tráfego
válido, quando estiver configurado para um nível maior de segurança, no caso
dos falsos positivos. Já o IDS, no caso dos falsos positivos, apenas geraria um
alarme indevido, não prejudicando a comunicação. Essa é uma vulnerabilidade
dos sistemas de IPS, pois o hacker poderia simular uma tentativa de invasão
apenas para bloquear um tráfego legítimo, falsificando o endereço de origem.
Mesmo assim, atualmente, são utilizados os IPS como dispositivos de
segurança, e não apenas os IDS. Para detectar um ataque, os IDS utilizam dois
mecanismos distintos: padrões de assinatura e estatística de tráfego.
Além disso, como os mecanismos de ataque também têm evoluído, os
IPS necessitam ter seus padrões de assinatura constantemente atualizados.
Isso demanda a contratação de um serviço de suporte do fabricante que
atualizará esses dispositivos à medida que novos padrões de ataque sejam
descobertos. Nesse caso, essse processo assemelha-se as ferramentas de
antivírus, que necessitam manter seu banco de dados constantemente
atualizado à medida que novos vírus sejam descobertos.
TEMA 3 – OS FIREWALLS
8
uma regra de permissão do tráfego de navegação web, era necessário permitir
todo o tráfego que tivesse como origem a porta 80, pois essa é a porta designada
para o protocolo HTTP, como vimos anteriormente.
9
estabelecida por um terminal da rede LAN. Por isso, também é chamado de FW
de camada 3 e 4.
A evolução dos equipamentos de firewall ocorreu também seguindo
modelo OSI, ou seja, os firewalls mais atuais conseguem avaliar o tráfego no
nível da aplicação, tornando-se um FW de camada 7. Esse filtro de aplicações
também é chamado de Appication Control, e pode operar em conjunto com o
IPS, que tem o banco de dados de aplicações que possam representar algum
tipo de tentativa de invasão ou de ataque à rede interna.
7 APLICAÇÃO
6 APRESENTAÇÃO
5 SESSÃO
4 TRANSPORTE
3 REDE
2 ENLACE DE DADOS
1 FÍSICA
10
tem que descriptografar os dados, o que pode acarretar em atraso de
processamento do tráfego. Além disso, com a utilização de certificados digitais,
o usuário pode receber uma mensagem de que o certificado não foi reconhecido,
pois é um certificado do FW, e não de um servidor público na web.
11
necessariamente executa as funções de IDS, IPS ou antivírus, que seriam
executadas por um UTM.
A implementação dos firewalls também sofreu mudanças ao longo da sua
evolução. Inicialmente, surgiu como um dispositivo de hardware dedicado para
esta finalidade. Depois, foi incorporado aos equipamentos de rede, tal como
roteadores, tendo-se atualmente versões apenas em software, que podem ser
instaladas em um servidor, normalmente com sistemas operacionais Linux.
Inclusive, nas últimas versões do sistema operacional Windows, já desde
a sétima versão, foi integrado o firewall como uma aplicação incluída no pacote
de software do próprio sistema operacional. Porém, em alguns casos, essa
ferramenta acaba bloqueando algumas aplicações que necessitam de acesso ao
computador do usuário. Um caso típico é o teste de conectividade com o ping,
que é utilizado pelos administradores de rede para testar a comunicação com os
diversos computadores na rede. Também outras aplicações, cuja sessão é
iniciada por um dispositivo externo ao computador, serão bloqueadas pelo
firewall, pois esta é a regra básica do seu funcionamento: permitir apenas a
entrada do tráfego que foi solicitado pelo seu computador, bloqueando qualquer
acesso externo. Como alguns usuários acabam tendo problemas com o FW do
Windows, eles optam por desabilitá-lo, mas esta prática não é recomendável. A
solução ideal é a alteração das regras do firewall, permitindo o tráfego que
necessita passar por este, mas deixando esta funcionalidade sempre habilitada.
12
inspeção e filtragem dos pacotes. Portanto, para escolher o equipamento
adequado para uma determinada rede, é necessário conhecer o perfil de tráfego
da rede e a topologia das conexões da rede. Nesse cenário, temos diversos
parâmetros envolvidos.
Quanto à topologia, o firewall normalmente é instalado entre a rede interna
e o roteador que faz a conexão com a rede WAN. Para a conexão com rede
interna, normalmente temos dois tipos de conexões distintas: a rede segura,
onde estão os usuários internos, e a rede DMZ, onde estão os servidores que
necessitam ser acessados também da rede WAN. Portanto, a DMZ
(DeMilitarized Zone), chamada também de rede desmilitarizada, tem uma regra
diferente da operação normal do firewall, pois deve permitir o acesso externo aos
equipamentos que estão instalados nesta rede.
Normalmente, na DMZ temos os servidores web e de e-mail, pois estes
servidores necessitam ter acesso aos usuários cujo endereço de origem é
desconhecido, ou seja, o firewall permite que qualquer endereço de origem tenha
acesso a esses servidores. Porém, o que é controlado pelo firewall é a porta de
destino desse tráfego, que deve corresponder apenas ao serviço que
efetivamente está disponibilizado nesses servidores. Assim, por exemplo, para
um servidor web, é permitido o acesso de qualquer origem, mas apenas com
destino à porta 80 desse servidor, que é a porta padrão para o protocolo HTTP.
13
devem ser iguais ou superiores aos serviços contratados. Como o FW examina
todo o tráfego vindo da WAN, deve ter um desempenho, chamado de
Throughput, maior ou igual à soma de todos os links de WAN. Assim, se a
empresa possuir um link de internet do tipo dedicada, com velocidade de 50Mbps
e dois links do tipo banda larga de 100Mbps, o Troughput deve ser maior ou igual
a 250Mbps. Além da largura de banda, outro parâmetro que pode afetar o
desempenho do FW é a quantidade de sessões que estão sendo monitoradas.
Uma das formas de avaliar a quantidade de conexões que poderiam ser abertas
é considerar-se o número total de usuários da rede e o perfil de uso do acesso
à rede WAN desses usuários. Assim, se tivermos 100 usuários na rede LAN,
considerando que cada um deles possa abrir 5 sessões simultâneas, entre
navegação web e aplicações de comunicação multimídia, teríamos um total de
500 sessões, que deve ser o parâmetro mínimo do FW a ser escolhido para esta
rede.
No caso dos UTMs, é necessário também avaliar as demais funções que
estão sendo executadas no equipamento, pois a execução simultânea dos
processos de monitoração de IPS e de antivírus pode afetar o desempenho da
conexão dos usuários à rede WAN.
14
clicar nas palavras (texto) e é direcionado para outras páginas. Porém, se na
página principal não existirem estes indexadores para as páginas seguintes,
você somente pode acessá-las caso conheça exatamente o seu caminho. À
medida que navega em um site, você pode observar a barra de endereço do seu
navegador sendo modificada, mostrando sempre qual é a página que você está
acessando naquele momento.
Muitas vezes, quando você busca por um conteúdo na internet, você não
sabe exatamente qual é o site que contém esse conteúdo. Para isso,
provavelmente vai utilizar um site de busca, digitando as palavras-chave
relacionadas ao conteúdo. Com a ajuda desses buscadores, você pode
encontrar o conteúdo procurado, sendo que eles funcionam baseados nessa
indexação de conteúdo. Porém, essa internet que está acessível e pode ser
pesquisada através dos buscadores é a chamada Surface Web, pois existe uma
outra infinidade de conteúdos que não são indexados e que ficam praticamente
ocultos, que é a chamada Deep Web.
A origem da chamada Deep Web é o projeto Onion Routing, que consistia
em um modelo de navegação na internet através de camadas, de forma que o
tráfego não pudesse ser rastreado, sendo encapsulado a cada salto da rede,
ocultando o endereço IP original. Esse projeto evoluiu para o projeto chamado
de Tor, que é mantido pela contribuição espontânea de diversas pessoas ao
redor do mundo, e cujo objetivo é permitir que os usuários da internet possam
ter acesso privado a uma rede web, sem nenhum tipo de censura.
O projeto TOR foi fundado em 2006, como uma entidade sem fins
lucrativos, e em 2007 começou a desenvolver as pontes (bridges) para a rede
Tor, contornando os firewalls governamentais e permitindo que os seus usuários
fizessem o acesso à rede sem restrições.
Para facilitar o uso das pessoas com menor conhecimento técnico, além
do proxy TOR, desenvolvido em 2005, em 2008 iniciou-se o desenvolvimento do
navegador Tor. As revelações de Snowden em 2013 reforçaram o
posicionamento do projeto Tor da necessidade de ferramentas que protegessem
os usuários da internet de mecanismo de vigilância. Além de ter sido o
mecanismo que viabilizou a disseminação das denúncias de Snowden, foi
reforçado o fato de que o Tor não poderia ser quebrado.
15
Em função da privacidade garantida pelos mecanismos de navegação do
Tor, o seu uso acabou sendo distorcido, passando de um mecanismo de garantia
da liberdade de navegação na internet, sem nenhum mecanismo de censura,
para uma ferramenta de realização de transações obscuras, tais como vendas
de drogas e de armas. O projeto continua sendo mantido por todos os que
defendem a liberdade de uso da rede, sem restrições e sem censura,
principalmente por parte dos órgãos governamentais. Por isso, o termo Deep
Web, utilizado para representar os conteúdos que não estão indexados e
disponíveis para os buscadores convencionais, foi estendido para Dark Web,
para representar os conteúdos obscuros e ilegais dentro dessa rede.
Para fazer o acesso à Deep Web, formada pelas pontes que formam a
rede Tor, é necessária a instalação do navegador Tor, que está disponível no
site do projeto1, com versões para os sistemas operacionais Windows, Linux,
MAcOS e Android, e é baseado no Firefox.
1
Disponível em: <https://www.torproject.org/>. Acesso em: 17 jan. 2020.
16
Deep Web você pode certamente se deparar com muitos sites que contêm as
mais diversas ameaças.
NA PRÁTICA
17
Figura 12 – O ransomware Wannacry
Fonte: Nicescene/Shutterstock.
18
realizadas por hora e a quantidade de horas que o sistema ficou indisponível.
Assim, soluções de segurança que tenham um valor de investimento
aparentemente elevado, podem representar algo em torno de alguns minutos de
perda de faturamento do negócio. Ou seja, a falta de investimento nas soluções
adequadas pode representar um prejuízo muito maior, que podem chegar a
dezenas de vezes o valor do investimento que não foi realizado.
Da mesma forma, ao comparamos soluções de segurança com valores
diferenciados de investimento, também podemos utilizar como critério de
decisão o tempo de recuperação da falha. Por exemplo, uma solução de backup
que apresente um custo muito superior a outra pode apresentar um tempo muito
menor para restabelecer o ambiente. Quando somado o custo deste tempo de
indisponibilidade, o valor total da solução, que tem um custo inicial maior, pode
se tornar o menor custo total.
Outro aspecto que também tem que ser levado em consideração,
principalmente quando se dimensiona uma solução do tipo UTM, é que o
investimento no tamanho adequado do equipamento, que obviamente aumenta
para equipamentos com maior capacidade de processamento, também deve ser
comparado com a possível perda de desempenho da rede. Ou seja, um
equipamento não dimensionado adequadamente pode aumentar o tempo de
execução das tarefas que dependem da conexão com a rede. Esse aumento de
tempo tem um custo, que deve ser contabilizado quando da comparação das
diversas soluções possíveis.
Assim, todos os projetos de segurança devem levar em consideração as
soluções tecnológicas disponíveis, o nível de segurança necessário, o impacto
das soluções escolhidas no desempenho da rede e nas tarefas cotidianas da
empresa, incluindo a análise financeira, comparando o investimento nas
soluções possíveis com o custo do impacto na operação do negócio.
FINALIZANDO
19
nos computadores. Porém, eles ainda estão vulneráveis às ameaças que
exploram os sistemas não atualizados, sendo também um requisito básico para
a segurança dos computadores a utilização de softwares genuínos e a instalação
de todas as atualizações disponibilizadas pelo fabricante dos softwares e
sistemas operacionais. A utilização de IDS, IPS, firewall, UTM e outros
dispositivos implementa a segurança da rede, tanto das ameaças vindas das
redes externas, podendo também proteger as ameaças oriundas da rede interna.
Porém, agora temos uma nova mudança nesse cenário tradicional das
redes, onde tínhamos as aplicações internas instaladas nos servidores na rede
LAN e os servidores de acesso externo na DMZ. Nesse modelo, o firewall pode
aplicar a política diferenciada entre as redes e os serviços. Assim, a rede DMZ é
acessada externamente, mas apenas para os serviços (portas) que efetivamente
estão sendo disponibilizados nestes servidores. A rede interna pode receber o
tráfego que seja a resposta das requisições geradas pelos computadores da rede
interna, ou seja, o retorno do tráfego solicitado pela LAN. O tráfego vindo da rede
WAN, com destino aos servidores que estão instalados na LAN, devem ter
bloqueio total, pois apenas os usuários da rede interna é que podem ter acesso
a esses servidores. A mudança que temos agora é a chamada Computação em
Nuvem (Cloud Computing), em que os servidores que eram instalados na rede
LAN estão migrando para a rede WAN, em ambientes de alta disponibilidade,
impactando na implementação das medidas de segurança.
Figura 13 – A Computação em Nuvem
20
A colocação dos servidores corporativos em ambientes externos, de alta
disponibilidade, já é realizada pelos provedores dos serviços de DataCenter há
algum tempo. Esses servidores podem ser acessados pelos computadores que
estão na rede LAN através de redes WAN privadas, ou ainda, com a utilização
das conexões VPN través da internet.
A mudança efetiva neste novo modelo de nuvem é que os servidores não
estão necessariamente alocados em um único local, pois as aplicações são
virtualizadas e podem ser executas simultaneamente, a partir de diversos pontos
na rede, garantindo uma alta disponibilidade e balanceamento de tráfego dentro
da rede. Como as conexões podem ser feitas a partir da rede pública (internet),
deve ficar muito claro qual é o nível de segurança que está incluso no serviço de
nuvem e qual é a responsabilidade do contratante do serviço. Por esse motivo,
os fornecedores de soluções de firewall também disponibilizam versões em
software, que podem ser instaladas nos servidores virtuais, em nuvem.
Quanto à conectividade, temos também dois modelos básicos de nuvem,
que são a Nuvem Pública e a Nuvem Privada. Eles se assemelham às
tecnologias de redes WAN pública e privada, em que os serviços que estão
sendo executados na Nuvem Privada somente podem ser acessados pelos
computadores da rede do contratante do serviço, e na Nuvem Pública os
serviços podem ser acessados por qualquer usuário da internet. Assim, os
servidores que estavam instalados na DMZ podem ser migrados para a Nuvem
Pública, e os servidores que estavam na rede LAN seriam migrados para uma
Nuvem Privada.
Como atualmente já temos inúmeras soluções para implementação da
segurança nas redes locais e dispositivos, a próxima fase na evolução das
tecnologias de segurança certamente serão as soluções para este novo cenário:
a Computação em Nuvem.
21
REFERÊNCIAS
RFC 2979 Behavior of and Requirements for Internet webs. out. 2000. Disponível
em: <https://www.rfc-editor.org/info/rfc2979>. Acesso em: 17 jan. 2020.
22