Unidade IV - Segurança em Redes de
Computadores
1. Introdução
- "Falha de segurança na rede - você ainda vai
ter uma..."
- Popularização da Internet - "Rede das redes".
- As previsões são de que, antes do final de 2.001, a
Internet deve ultrapassar 200 milhões de usuários em
todo o mundo.
- Dados estatísticos indicam que cerca de 2% da população
pode enveredar para atividades ilegais, logo estima-se
que haverá cerca de 4 milhões de possíveis atacantes
dentro da Internet (...e também dentro de sua própria
organização).
2. Histórico
- Redes de computação remontam ao final dos anos 60 (primeiros
embriões - grandes empresas e militares);
- Inicialmente: redes internas não abertas ao grande público
(ataques principalmente de funcionários da própria
organização que conheciam o valor das informações da
mesma);
- Meados dos anos 60: a ARPA (Advanced Research Project
Agency) do Departamento de Defesa dos E.U.A. começou a
implementar uma rede de comunicações via computadores
capaz de continuar a operar, mesmo em caso de um ataque
nuclear pela União Soviética (época da Guerra Fria) -
rede ARPANET;
- Os requisitos de resiliência da rede Arpanet deram
origem ao protocolo IP (Internet Protocol), onde os dados
seriam divididos em pacotes e cada um desses pacotes
deveria chegar ao destino percorrendo a rota mais
eficiente dentro da rede. Mesmo com parte da rede
inoperante, os pacotes deveriam chegar ao destino e serem
reconstruídos.
- Nesse tipo de rede não há um "servidor central",
todos os computadores componentes da rede podem ser
clientes e servidores ao mesmo tempo.
- Década de 70: A Arpanet continua a crescer. Surgem a
Usenet e a Bitnet. O correio eletrônico passa a fazer
parte do meio acadêmico e empresarial.
- 1986: a Arpanet é substituída pela NSFNet (subordinada
à "National Science Foundation"),
experimentando nova expansão.
- A Internet passa a funcionar sem um "dono", nem
estrutura hierárquica convencional. Funciona muito bem,
dirigida por um grupode voluntários reunidos na Internet
Society (Isoc); um conselho indicado pelo Isoc, o
Internet Architecture Board (IAB), com poder de decisão
nas questões técnicas. Os problemas do dia-a-dia são
resolvidos por outro grupo de voluntários, o Internet
Engineering Task Force (IETF).
- Composição básica da Internet: computadores de alta
velocidade, ligados entre si através de linhas de
comunicação de alta velocidade, que fazem as vezes de
roteadores de comunicações. Os demais computadores
individuais e redes internas das organizações são, por
sua vez, interligados ao backbone central através de
linhas de comunicação menos velozes.
- Tendo iniciado como uma espécie de telex sofisticado,
permitindo somente comunicação via texto, hoje a
Internet é utilizado para todo tipo de mídia, inclusive
rádio e TV, e o seu número de usuários cresce
exponencialmente ("é aí que mora o perigo...").
- Fevereiro de 1.999: começou a funcionar a Internet 2,
novamente restrita aos meios militares e acadêmicos,
como era a Internet em seu início. A Internet 2 foi
projetada para velocidades mil vezes maiores que a da
Internet convencional.
3. Riscos Presentes nos Serviços Internet
- Cada serviço oferecido na Internet tem seus próprios
riscos associados. Uma política de segurança deve
definir quais os serviços a serem disponibilizados na
rede interna. Com base nos serviços atendidos é que serão
escolhidos os dispositivos de proteção (procedimentos e
ferramentas de proteção). Como existe uma grande gama
de diferentes serviços disponíveis no ambiente
Internet, é mais produtivo comentar os serviços mais
difundidos.
3.1 Correio Eletrônico - "e-mail"
- Mensagens eletrônicas podem ter seu autor forjado. É
preciso alguma forma de autenticação para minimizar
este problema (assinatura eletrônica).
- O excesso de mensagens pode sobrecarregar o usuário e
ocupar sua largura de banda de seu acesso à Internet,
seu espaço em disco e tempo dos computadores de uma
organização.
- O "e-mail" é a maior porta de entrada para vírus
na sua rede interna, especialmente, cavalos-de-Tróia.
3.2 Transferência de Arquivos
- A importação descontrolada de arquivos pode facilitar,
em sua rede interna, a entrada de softwares "piratas",
joguinhos, músicas, vídeos, pornografia e toda sorte de
arquivos indesejáveis para os propósitos da organização.
Isso pode implicar sua organização em crime e também
prejudicar a disponibilidade de seu(s) acesso(s) à
Internet, desperdiçando muita largura de banda e espaço
em disco de seus servidores e estações.
- A exportação de arquivos é um problema de segurança
ainda maior, pois alguns softwares de transferência de
arquivos não garantem que quem está recebendo o arquivo
seja uma pessoa autorizada. Além disso, é muito difícil
controlar o conteúdo dos arquivos que deixam sua rede
rumo a outros computadores da Internet (dados vitais ou
críticos podem ser roubados dessa forma).
- Alguns softwares de transferência de arquivos ("ftp",
por exemplo) transitam dados sigilosos (código do usuário
e sua respectiva senha) sem encriptação, possibilitando
a captura dessas informações por pessoal não
autorizado.
3.3 Acesso Remoto por Terminais e Execução de Comandos
- Alguns softwares que permitem o acesso remoto à rede
através de um terminal ("telnet", por exemplo),
transitam as informações sem nenhum tipo de encriptação,
de forma completamente aberta. Se esse serviço for
disponibilizado em sua rede interna, mesmo que seja através
de uma conexão privada, é conveniente utilizar algum
esquema de autenticação e criptografia.
3.4 "Newsgroup"
- Esse serviço corresponde a uma versão de correio eletrônico
coletivo (grupos de notícias, fórum de discussões).
- Os riscos são muito semelhantes aos do serviço de
correio eletrônico, porém os maiores riscos são o
excesso de mensagens sem valor, a propagação de víruss
e a revelação de informações confidenciais de sua
organização.
3.5 WWW
- Os principais riscos estão ligados à sua incrível
flexibilidade, o que torna qualquer controle de acesso
bastante ineficaz e, às vezes, impossível de ser
efetuado.
- Facilita igualmente a vida do usuário como do possível
atacante.
- Outro problema: o fato de se poder chamar programas
externos de dentro de arquivos que transitam pela Web,
sem ao menos podermos saber do que se trata.
- Não podemos desprezar o provável grande desperdício de
tempo útil dos funcionários e outros usuários das
organizações, em função de acesso a sites com conteúdo
sem qualquer relação com as atividades relacionadas às
tarefas dessas pessoas (pornografia, jogos, coleta de músicas,
vídeo, terrorismo, atividades ilegais, etc.). Isso também
resulta em um provável desperdício de largura de banda.
- O fato de haver sérios riscos envolvidos no acesso ao
serviço WWW e outros da Internet não implica
necessariamente que as organizações, especialmente as
empresas, devam adotar uma postura extremamente
conservadora em sua política de controle de acesso a
tais serviços. É preciso lembrar que o acesso rápido a
informação e conhecimento hoje disponível na Internet
pode ser um dos maiores diferenciais competitivos de uma
empresa.
3.6 Nome de Domínio (DNS)
- Serviço responsável pela conversão de nomes de domímios
e hots em endereços numéricos usados pelo protocolo IP.
- Principal risco: se divulgado externamente, abre as
portas para eventuais atacantes ao seu ambiente, pois
permite ampliar o conhecimento sobre a topologia de sua
rede externa.
3.7 Serviços de Gerenciamento de Rede
- Serviços básicos de suporte à rede, não usados
diretamente pelos usuários, mas pelo software da rede
para testar sua funcionalidade (ex.: SNMP).
- Principal risco: podem ser usado para obter informações
acerca de sua rede em uma preparação para um ataque
posterior.
3.8 Sistemas de Arquivos na Rede
- Os softwares de rede têm à sua disposição diversas
ferramentas que permitem que os computadores ligados à
ela possam compartilhar arquivos, ou seja, trabalhar com
arquivos que estão fisicamente em outros computadores.
- Principal risco: esses sistemas não foram inicialmente
projetados para funcionar num ambiente ligado à
Internet; eles foram concebidos para funcionar em redes
sem comunicação com o mundo exterior. Isso torna tais
sistemas extremamente vulneráveis ao acesso não
autorizado a arquivos críticos.
4. Segurança nas Redes
- Só há uma rede imune a ataques externos:
a que não tem conexão com o mundo exterior. Ex.:
redes que controlam os sistemas de armas nucleares das
grandes potências militares. As histórias de ataques de
hackers que entraram nos computadores do
Departamento de Defesa americano ou da Nasa tratam-se de
acesso tão somente às redes públicas; nenhuma delas
era realmente de segurança máxima.
- Não há como garantir segurança absoluta em qualquer
tipo de rede com acesso ao público, principalmente se
estiver conectada à Internet. Nem mesmo em redes
fechadas, pois sempre poderá haver um percentual de usuários
mal intencionados, querendo obter vantagens com os
recursos de sua rede.
- A filosofia básica sugerida por CARUSO & STEFFEN (1999,
p. 183) em relação à segurança de redes é a do
"menor privilégio possível", ou seja, o
que não é explicitamente permitido, é proibido.
Essa abordagem não tornará o admiinistrador de segurança
muito popular na comunicade de usuários, mas é a mais
sensata em termos de segurança.
4.1 A Segurança Nas Redes Internas
- Nas redes internas baseadas principalmente nas
plataformas de mainframes, o acesso costuma ser
rigidamente controlado por meio de softwares de segurança,
como, por exemplo, o RACF e o Top Secret, em
ambientes IBM; esses softwares têm recursos para
configurar praticamente qualquer tipo de acesso ao
ambiente interno, desde transações e queries on-line
a bancos de dados, passando por acessos a unidades de
meios magnéticos, volumes e arquivos individuais dentro
dos meios magnéticos, acesso remoto via terminal e
outros sistemas. Esses softwares possuem um alto grau de
integração com o núcleo do sistema operacional,
tornando praticamente impossível contorná-los.
- A expansão da integração da plataforma PC, mais
aberta, com a plataforma mainframe, e também a
popularização do uso da pilha de protocolos TCP/IP e de
serviços Internet na redes internas (Intranet), fez com
que os riscos à segurança das redes internas aumentasse
muito. Procedimentos de segurança semelhantes aos
adotados às redes conectadas às redes públicas
eventualmente presisam ser adotados, dependendo do porte
da rede e da criticidade dos dados armazenados nos
computadores da mesma.
- Se a rede não tiver conexão com ambiente externo, o
software de rede deve atender a pelo menos os seguintes
requisitos básicos:
- Identificação e autenticação de usuários;
- Administração da rede;
- Controle sobre recursos;
- Controle das atividades de usuários;
- Controle das interações entre usuários e
recursos.
4.2 A Segurança Nas Redes Conectadas a Redes Públicas
- Atualmente, quando se fala da questão da segurança em
redes conectadas a redes públicas, a discussão está
praticamente restrita à Internet. Por enquanto, a
Internet 2 ainda está mais restrita aos meios militares
e acadêmicos.
- Chapman e Zwicky, em seu livro Building Internet
Firewalls, afirmam que, basicamente, quando você se
interliga com a Internet, está pondo em risco três
coisas:
- seu acervo de dados;
- seu equipamento;
- sua reputação.
4.2.1 Tipos de Ataques
- Chapman e Zwicky classificam os inúmeros tipos de
ataques em três grandes categorias:
4.2.1.1 Acesso Não Autorizado
- Este é o tipo mais comum de ataque a um ambiente de
informações. Neste tipo, os atacantes conseguem usar
seus equipamentos.
- As formas de acesso não autorizado são inúmeras, mas a
maioria pode ser contida por um esquema de identificação
e senhas de autenticação de usuários.
4.2.1.2 Impedimento de Uso do Equipamento ("Denial of
Service" - DoS)
- Neste tipo de ataque, o intruso faz com que seu
equipamento fique tão ocupado que você não consiga ter
acesso ao mesmo ou que seus principais serviços
oferecidos ao públicos se tornem, para todos efeitos práticos,
indisponíveis.
- Esse tipo de ataque normalmente vem de pessoas que não
gostam da organização ou das pessoas responsáveis pela
mesma.
- Embora o padrão de ataque seja inundar seu equipamento
com serviço de modo que você não consiga usá-lo, pode
haver casos em que a sabotagem envolva danos reais ou
desativação do equipamento.
- É muito difícil impedir esse tipo de ataque, mesmo
porque há diversas variações do mesmo.
- Normalmente é aplicado como último recurso para causar
danos à sua organização, quando o atacante não
conseguiu acesso à sua rede. É importante observar que
o atacante não consegue nenhum benefício direto com
esse tipo de ataque.
4.2.1.3 Roubo de Informações
- É o tipo de ataque mais lucrativo para os atacantes.
Normalmente, é a seqüência lógica de um acesso não
autorizado.
- Em grande parte das vezes, a vítima nem mesmo percebe o
roubo, pois o atacante pode usar táticas para apagar os
rastros de sua ação.
- É possível proteger-se contra o roubo de informações
através de diversas ferramentas, principalmente de
barreiras tipo firewall. Entretanto, firewalls
não oferecem proteção contra atacantes que têm
direito de acesso à sua rede, nem impedem o roubo de
informações que estão transitando pela rede (sniffing).
4.2.2 Tipos de Atacantes
- Basicamente, os atacantes podem ser classificados em
quatro grandes categorias: divertimento, vandalismo,
competição e espionagem.
4.2.2.1 Divertimento
- Grupo formado normalmente por adolescentes que procuram
penetrar em sistemas à procura de dados interessantes,
motivados pelo prazer de usar equipamentos alheios ou até
por falta do que fazer.
- Sentem mais atração por sites conhecidos ou
por equipamentos pouco comuns.
- Apesar de normalmente não serem mal-intencionados, podem
provocar danos por ignorância, na tentativa de apagar
seus rastros.
4.2.2.2 Vandalismo
- Seus alvos preferenciais são: o governo, polícia, sites
de grandes empresas ou qualquer site que
comercialmente faz sucesso na Internet.
- A destruição pura e simples, como a pichação de uma home
page na Internet, é facilmente se detectar e
corrigir, porém outras alterações mais sutis em suas
informações são mais difíceis de se detectar e podem
causar sérios prejuízos financeiros.
4.2.2.3 Competição
- Grande parte dos atacantes age por espírito de competição;
eles sobem na "escala social" deles com base na
quantidade o no tipo de sistemas que conseguem penetrar.
- Este tipo de atacante tem um interesse particular por
ambientes dem defendidos, famosos ou que tenham algum
tipo atração.
- Problema: este tipo de atacante costuma capturar qualquer
tipo de informação que consiga para uso posterior e
normalmente deixa passagens abertas para voltar ao
sistema atacado.
- Os ataques podem passar desapercebidos, só sendo
descobertos quando se nota algum tipo de lentidão no seu
sistema, ou quando algum conhecido envia de volta dados
secretos seus que estavam circulando fora de sua organização
ou quando o atacante é pego pelas autoridades e confessa
ter invadido seu sitema, dentre outros.
4.2.2.4 Espionagem
- A espionagem usando computadores é um pouco rara, ou
muito pouco detectada.
- Este tipo de atacante visa lucros, imediatos ou futuros,
convertendo segredos descobertos, tão logo descobertos,
em dinheiro.
- O que fazer para impedir esse tipo de ataque tão difícil
de detectar? Sugestão: usar as medidas abordadas no item
5 e outras adicionais se possível.
4.2.3 Incidentes com Causas Acidentais e por Falta de Cuidado
- Apesar de toda a ênfase que se dá aos ataques causados
por hackers, estudos recentes demonstram que
mais da metade dos incidentes envolvendo quebra de
segurança em ambientes de informações têm como
causadores usuários devidamente autorizados, porém
ignorantes ou mal treinados.
- É também comum que, acidentalmente, funcionários de
organizações destruam seus próprios dados ou os
distribuam pelo mundo inteiro (via Internet). Esse tipo
de incidente não pode ser evitado por qualquer medida de
segurança, pois está além da previsão.
- A melhor forma de minimizar tais incidentes é dar um bom
treinamento a seus usuários e ter uma política de
segurança, que só permita o acesso a dados críticos a
quem realmente os usa para desempenhar suas funções.
5. Medidas de Proteção
- Ter políticas e procedimentos formais de segurança:
nunca é demais repetir a importância da política e das
normas de segurança para o sucesso da proteção dos
ativos de informação de qualquer organização;
- Instalar e manter atualizado um bom sistema antivírus:
isso eliminará os riscos de vírus, inclusive "cavalos-de-tróia"
(trojan horses) e "alçapões" (backdoors);
- Usar criptografia para: armazenamento e transporte de
arquivos críticos, autenticação de usuários,
assinatura digital, estabelecer sessões seguras (SSL,
SSH, VPN, por exemplo);
- Instalar e manter sistemas de firewall;
- Instalar e manter Sistemas de Detecção de Intrusão (IDS
- Intrusion Detection Systems);
- Centralizar e controlar acesso à Internet (usar sistemas
de proxy).
5.1 Firewalls
- O conceito de firewall está ligado às paredes
internas de uma construção que impedem que o fogo se
propague de uma sala para outra da construção.
- Fundamentalmente, um sistema de firewall tem três
objetivos principais:
- Restringir o acesso lógico de pessoas a
ambientes controlados;
- Impedir que eventuais atacantes cheguem muito
perto das defesas internas;
- Impedir que as pessoas passem por um ponto
controlado sem que tenham autorização para
tanto.
- Normalmente, um sistema de firewall é instalado
no ponto de interligação de uma rede interna com a
Internet (ou de outra rede externa da qual se queira se
estabelecer proteção). Todo o tráfego, nos dois
sentidos, tem que passar por esse ponto e, dessa forma,
deve atender aos requisitos da política de segurança da
instalação, fisicamente implementada no sistema de firewall.
5.1.1 O Que Esperar de Um Sistema de Firewall
Um firewall foi projetado para um certo número de funções.
Entre diversas funções, um firewall pode:
- Ser um foco de decisões sobre segurança - pode-se
centralizar todas as decisões de segurança sobre tráfego
de pacotes em cima de um sistema de firewall, que passa a
funcionar como uma guarita no ponto em que a rede se
interliga com a Internet;
- Impor uma política de segurança - pode-se forçar uma
política de segurança, fazendo com que somente
atividades "aprovadas" sejam autorizadas pelo
firewall. Pode-se: filtar pacotes por regras; proibir o
tráfego de fora, permitindo algum tráfego de dentro
para fora da rede protegida; estabelecer "gateways"
de aplicações.
- Registrar atividades - tudo o passa através do firewall,
que na verdade representa todo o tráfego de e para a
Internet, pode ser registrado pelo firewall.
- Limitar a exposição de problemas - devido ao fato de um
firewall permitir a separação de ambientes, pode-se
impedir que problemas afetos a um ambiente se propaguem
para o ambiente vizinho.
5.1.2 O Que Não Esperar de Um Sistema de Firewall
Apesar das vantagens e capacidades de um sistema de firewall,
mas não é uma panacéia que resolve todos os problemas de
segurança de uma rede. Dentre diversas limitações, podemos
citar:
- Usuários mal-intencionados - um firewall não pode
proteger sua rede de usuários devidamente autorizados
que queiram copiar dados sensíveis e levar para fora de
sua organização. Além disso, se o atacante estiver
dentro do perímetro de proteção do firewall, ou seja,
dentro de sua rede interna, o firewall nada pode fazer.
- Conexões alternativas - um firewall nada pode fazer se
houver outras conexões à Internet ou para redes de
terceiros fora de seu perímetro de proteção. Essas
conexões caracterizam o que podemos chamar de "portas
dos fundos".
- Ameaças novas - se a configuração de seu firewall foi
efetuada de forma a enfrentar todas as ameaças
conhecidas em determinada época, ameaças novas,
surgidas depois de sua configuração não serão
barradas (exceto, é claro, se formos capazes de
reconfigurar o firewall em tempo hábil).
- Vírus - o firewall não tem essa função, embora possa
se associar ferramentas de antírus com ferramentas de
firewall para serem instaladas no mesmo ambiente. O ideal
é ter proteção antivírus principalmente por
equipamento, ou seja, em cada host de sua rede.
- Invasões que exploram as próprias vulnerabilidades do
firewall - um firewall, como qualquer outra ferramenta de
segurança, pode ter falhas ainda desconhecidas de seu
fabricante, mas já descobertas por algum invasor que
pretenda penetrar na rede de sua organização. Daí a
importância de manter o sistema de firewall sempre
atualizado.
5.2 Sistemas de Detecção de Intrusão
Sistemas de detecção de intrusão (em inglês: IDS -
Intrusion Detection Systems) são ferramentas de segurança
que se propõem a detectar uma série de ataques efetuados através
de redes de computadores. São ferramentas complementares aos
sistemas de firewall, pois possibilitam detectar ataques
originados na rede interna. Podem ser divididos em quatro
principais categorias:
- NIDS (Network Intrusion Detection System) - sistemas que
monitoram os pacotes (sniffing) que passam por um
segmento de rede, procurando por assinatura de ataques (ex.:
port scanning, denial of service, etc.). Em casos
extremos, algumas ferramentas dessa natureza são capazes
de reconfigurar o firewall dinamicamente, na
eventualidade de um ataque. Ex.: Snort.
- SIV (System Integrity Verifiers) - monitoram tentativas
de acesso não autorizado aos arquivos críticos do
sistema (ex.: registro de configuração do Windows), ou
percebem quando um usuário comum assume privilégios de
administrador (root). Em caso de ataque, essas
ferramentas são capazes de: gerar alertas para os
adminstradores, recuperar a configuração original dos
arquivos críticos, e registrar as ocorrências. Ex.:
CyberCop Monitor (NAI).
- LFM (Log File Monitors) - monitoram os registros de ocorrências
(logs) dos serviços de rede, a procura de
assinaturas de ataques. Ex. Swatch.
- Deception Systems (também conhecidos como honeypots,
decoys, fly-traps) - essas ferramentas implementam pseudo-serviços,
cujo objetivo principal é emular serviços e hardwares
bem conhecidos, servindo de armadilha para eventuais
atacantes. Enquanto o intruso ataca o ambiente falso, sua
rede ainda está protegida e os administradores podem ser
alertados do problema para tomarem providências. Ex.:
CyberCop Sting (NAI).
6. Referências Bibliográficas