Como funciona um Firewall

Toda a facilidade trazida pelo aumento do acesso à Internet também serviu para tornar os computadores menos seguros, transformando o uso de um firewall em uma regra básica de defesa. Embora não seja o produto mágico que deixará a sua rede 100% protegida, ele é essencial na difícil tarefa de evitar problemas de segurança. Porém, antes de utilizar essa ferramenta é preciso entender como ela funciona.

O firewall é o caminho que toda informação de uma rede local precisa passar e ser fiscalizada antes de entrar ou sair. Uma explicação mais clara sobre o funcionamento dele foi dada pelo desenvolvedor Andrew Tanenbaum no livro “Redes de computadores”. Nele, o autor afirma que a ferramenta é apenas uma adaptação moderna de uma antiga forma de segurança medieval: cavar um fosso profundo em torno do castelo. Esse recurso forçava todos aqueles que quisessem ingressar ou partir da fortaleza a percorrer por uma única ponte levadiça, onde poderiam ser revistados por guardas.

Ao forçar a verificação de toda informação que entra ou sai do computador para a rede, o firewall fecha o cerco a qualquer tentativa de invasão. Ele basicamente tranca todas as portas de acesso, que são os canais por onde os serviços conversam entre si, ao PC e a partir daí somente computadores e portas autorizadas podem ter comunicação. Esses movimentos serão registrados para serem analisados posteriormente.

O melhor modo de manter a rede e o computador protegido é configurar o firewall para que ele bloqueie o máximo de portas possíveis e deixar apenas o que estiver realmente sendo usado. Para conseguir essa meta, a pessoa que o administra deve conhecer bem os conceitos de Internet, a própria rede fisíca e a ferramenta utilizada, além de sustentar um constante monitoramento dos registros feitos pelo firewall.

Como um firewall não pode simplesmente fechar todas as portas – pois o computador perderia sua utilidade -, o administrador dele fica responsável por determinar quais poderão ficar abertas. Com isso, ele irá capturar todas as informações que entram ou saem da rede e irá liberar ou bloqueiar os pacotes (conjunto de informações) somente depois de comparar os dados com as diretivas de segurança. Felizmente, essa é uma tarefa que ele faz muito bem e rapidamente.

Atualmente existem firewalls pessoais, que são instalados individualmente em cada computador, mesmo que isso adicione mais segurança. O ideal é que seja colocado um entre a rede local e a externa. É muito importante enfatizar que o uso dele não é nenhuma garantia de proteção, e tampouco deve servir como desculpa para deixar de usar um antivírus ou qualquer outra ferramenta que ajude a melhorar a defesa dos computadores e da rede.

Fonte: TechTudo

 


 

A importância de uma NAT e de uma VPN para a segurança da informação

NAT – Network Address Translation

A funcionalidade de NAT consiste no procedimento de translado de endereços de uma rede para a outra. Essa técnica possibilita esconder os endereços do segmento interno da rede e a conexão de uma grande quantidade de máquinas à internet, fazendo uso de uma quantidade pequena de endereços válidos, ou fazendo uso de endereços administrativos.

O NAT possibilita que uma rede utilize um conjunto de endereços internos e um conjunto diferente de endereços quando negociando com redes externas. Ele por si mesmo não provê segurança, mas ajuda a esconder a topologia lógica da rede interna e força, assim, que todas as conexões sejam realizadas via um único ponto de passagem.

Quando uma máquina da rede interna envia um pacote para fora de sua rede, o NAT modifica o seu endereço de origem, de forma que o pacote pareça ter vindo de um endereço válido para a Internet. Quando uma máquina externa envia um pacote para dentro da rede, o NAT modifica o endereço de destino, visível externamente, em um endereço interno. Existem algumas vantagens em utilizar esse recurso do firewall, o NAT:

1. ajuda a melhorar o controle do firewall sobre as conexões externas; 2. ajuda a restringir o tráfego que chega à rede, proveniente da rede externa; 3. ajuda a ocultar a configuração da rede interna.

Desvantagens de se utilizar o NAT:

1. a alocação dinâmica de portas pode interferir com a filtragem de pacotes;

2. pode interferir com sistemas de criptografia e autenticação.

O sistema NAT pode utilizar esquemas diferentes para realizar o translado entre endereço interno e externo, conforme apresentado na figura 1. Nesta situação é realizado NAT N:1, isto é, toda as máquinas da sub-rede10.42.6.0/24 terão o seu endereço de origem mapeado para 192.123.2.5 e os endereços das máquinas da sub-rede10.42.7.0/24 serão mapeados para 192.123.2.19. Desta forma, as máquinas das sub-redes podem conversar com o servidor.

Firewall fazendo NAT N:1Firewall fazendo NAT N:1

Além do NAT N:1, apresentado na figura 1, essa funcionalidade do firewall pode fazer uso de diferentes formas para mapear os endereços internos em endereços externos e vice-versa. Algumas dessas formas são as seguintes:

1. alocar um endereço externo para cada endereço interno e sempre aplicar a mesma regra (NAT 1:1). Esta é uma medida temporária, utilizada por sites que têm o seu espaço de endereçamento ilegalmente utilizado;

2. alocar de forma dinâmica um endereço externo a cada vez que uma máquina interna inicia uma conexão, sem modificar o número das portas. Limita-se o número de máquinas internas que podem simultaneamente acessar a Internet ao número de endereços externos disponíveis (NAT N:N);

3. criar um mapeamento entre os endereços internos e os endereços externos (NAT N:N);

4. alocar dinamicamente o par de porta e endereço externo a cada conexão iniciada por uma máquina interna.

Segundo Filho (2010), existem vários recursos que utilizam NAT. Dentre eles, pode- se destacar:

  • mascaramento (masquerading) – esse recurso possibilita fazer uma rede privada navegar na Internet com um único endereço IP (NAT N:1). A rede solicita os dados para a máquina que faz o mascaramento. Entretanto um host da Internet, por vontade própria, não consegue ultrapassar o filtro;
  • redirecionamento de portas (port forwarding ou PAT) – ocorre quando se deseja alterar a porta de destino de uma requisição (proxy transparente – todo tráfego para a porta 80 é redirecionado para a porta 3128);
  • redirecionamento de servidores (forwarding) – todos os pacotes destinados a um servidor serão redirecionados para outro servidor;
  • balanceamento de carga (load balance) – o balanceamento de carga (load balance) é uma técnica utilizada para distribuir carga entre servidores sincronizados. O load balance é o ato de distribuir os clientes aos servidores mais desocupados.

VPN (Virtual Private Network)

O conceito de VPN surgiu da necessidade de se utilizarem redes de comunicação não confiáveis para trafegar informações de forma segura. As VPNs são “redes virtuais” que possibilitam a economia de custos quando utilizadas em substituição às tradicionais redes baseadas em linhas privadas, reduzindo, assim, investimento em equipamentos, treinamento e manutenção. Elas também podem ajudar a tornar as redes mais flexíveis (imediata escalabilidade, com mínimo esforço), possibilitando respostas rápidas às constantes mudanças ocorridas no enfoque dos negócios. Elas ainda proporcionam um gerenciamento e controle efetivo, por permitir a utilização das facilidades de um provedor público sem perder o controle total da rede, e por controlar de forma efetiva a autenticação, privilégios de acesso, segurança (garantir a confidencialidade, integridade e autenticidade).

Logo, uma VPN pode ser definida como uma emulação de uma rede privativa de longa distância (WAN), utilizando estruturas de redes IP já existentes, Internet ou redes privadas. Tendo em vista a fragilidade de segurança deste ambiente, a VPN deve possuir dispositivos que proporcionem um tráfego seguro, “túnel”, sem que exista qualquer tipo de vazamento de pacotes IP (GLEESON, 2000; ROSSI e FRANZIN, 2000).

Outra definição interessante é a apresentada por Chin (1998), na qual ele cita que uma VPN consiste em túneis de criptografia entre pontos, criados através de redes, sejam públicas, ou não, para transferência de informações de modo seguro, entre redes corporativas ou usuários remotos. Além da segurança, a VPN tem como vantagem a redução de custos com comunicações corporativas, não fazendo uso de backbones corporativos ou de acessos dedicados, por exemplo. Passa a ser uma solução bem interessante sob o ponto de vista econômico, principalmente para WANs.

Funcionalidades de uma VPN

Transporte de pacotes de forma opaca – isto é, o tráfego dentro da VPN pode não ter relação com o tráfego do backbone IP. Isto se deve ao fato de que o tráfego é multiprotocolar ou porque os usuários da rede IP podem não relacionar o seu endereçamento com o utilizado no backbone da rede IP;

Segurança de dados – os usuários da VPN necessitam de alguma forma de segurança dos seus dados; e

Qualidade de serviço – em adição à segurança, existem redes privadas que garantem largura de banda e garantem um atraso contínuo.

Mecanismo de Tunelamento

Para que a VPN possa ser implantada de forma adequada e atender as funcionalidades acima citadas, são utilizados mecanismos de tunelamento. Esses mecanismos consistem na capacidade de tornar transparente a estrutura física de uma rede na implementação de uma VPN. Ao invés de serem enviados os dados originais, o protocolo de tunelamento encapsula estes dados com um cabeçalho proprietário, provendo as informações necessárias de roteamento para fazer chegar a informação ao seu destino. O caminho lógico utilizado pelos pacotes, desde o ponto inicial até o seu destino, é chamado de túnel.

O mecanismo de tunelamento é implementado via o uso de protocolos, sejam da camada 2, 3 ou 7 do modelo OSI (Open Systems Interconnection). Estes são chamados de protocolos de tunelamento. Alguns protocolos podem ser destacados na execução dessa tarefa. Siga os detalhes.

Camada de Enlace (camada 2)

1. PPTP (Point to Point Tunneling Protocol) – criado por um grupo de empresas (3Com, Microsoft, Us Robotics, ECI Telematics e Ascent Communications), tem como princípio possibilitar que usuários ou empresas façam acesso remoto, via Internet, por exemplo, de forma segura.

2. L2TP – Layer 2 Tunneling Protocol – foi criado para ser o sucessor dos protocolos PPTP e L2F (Layer 2 Forwarding protocol). Ele possibilita, por exemplo, o uso de mecanismos de segurança; transporte multiprotocolar, manutenção do túnel, entre outras características.

Camada de Rede (camada 3)

1. IPSec (Internet Protocol Security) – os datagramas IP são encapsulados em um cabeçalho adicional antes de serem transmitidos pela rede. Neste caso o túnel é criado e encerrado na rede intermediária. Esse protocolo será abordado posteriormente.

Camada de Aplicação (camada 7)

1. SSL (Secure Socket Layer) – trata-se de um protocolo de comunicação que implementa um túnel seguro para comunicação de aplicações na internet.

Funcionamento da VPN

Uma VPN conecta os componentes e recursos de uma rede sobre outra rede, utilizando-se de um túnel via Internet ou outra rede pública, de forma que os usuários deste túnel façam uso dos recursos de segurança e serviços, como se estivessem conectados a uma rede privada.

As figuras 2 e 3 apresentam duas formas de implantar VPNs. Na figura 3, existe uma VPN entre o usuário e a Empresa, normalmente utilizada quando colaboradores necessitam acessar os serviços e/ou informações localizadas na rede de informações da organização. As vantagens de se utilizar essa implementação é a redução de investimentos (Ex.: servidores de acesso); a possibilidade de realizar chamadas locais, ao invés de interurbanos; uma maior escalabilidade no crescimento do número de usuários; e agir diretamente com os negócios da empresa.

A figura 2 apresenta uma VPN entre empresas, por exemplo: quando a sede interliga-se com as suas filiais, isto é, uma INtranet. Essa implementação possibilita uma redução de custo, facilidade de conexão para novos sites e boa disponibilidade para os sistemas, em função da redundância de links que podem ser providos.

Firewall fazendo VPN Rede - RedeFirewall fazendo VPN Rede – Rede

Firewall fazendo VPN Usuário - RedeFirewall fazendo VPN Usuário – Rede

Uma terceira forma interessante de se utilizar VPN é quando se deseja implantar uma Extranet, conforme visualizado na figura 4. Essa implementação tem como objetivo disponibilizar o acesso de parceiros, representantes, clientes e fornecedores à rede da Empresa. Esta comunicação é permitida, com a finalidade de agilizar o processo de troca de informações entre as partes, estreitando o relacionamento e tornando mais dinâmica e efetiva a interação. A conectividade é obtida com a utilização da mesma estrutura e protocolos utilizados na Intranet e sistema de acesso remoto.

Firewall fazendo VPN Usuário – Rede e Rede – RedeFirewall fazendo VPN Usuário – Rede e Rede – Rede

Referências

GLEESON, B.A. Framework for IP Based VPN, IETF RFC, 2764, 2000.

ROSSI, Marco Antonio G. e FRANZIN, Oswaldo. VPN – Virtual Private Network – Rede Privada Virtual, GPr Sistemas/ASP Systems. Agosto/2000.

FILHO, João Eriberto Mota. Firewall com Iptables. Disponível em: <www.eriberto.pro.br/ iptables>. Acesso em: set. 2010.

Autor: Ms. Luiz Otávio Botelho Lento

 


 

Tipos de Firewall

Os três principais tipos de firewall são o filtro de pacotes, o filtro de pacotes com estado e o proxy.

Entretanto os firewalls também exercem as funções adicionais como NAT (Network Address Translation), VPN (Virtual Private Netowork) e autenticação/ certificação de usuários.

Acompanhe na sequência, detalhadamente, cada um desses tipos de firewalls.

Filtro de Pacotes

Este tipo de firewall consiste na ação de controle seletivo do fluxo de dados que chega e sai de um segmento de rede, habilitando, ou não, o bloqueio de pacotes com base em regras especificadas via endereços IP, protocolos (portas) e tratamento do início da conexão (tcp syn).

  • Filtrar = peneirar, separar;
  • Funciona na camada de rede e de transporte;
  • Faz controle do tráfego que entra e sai na rede;
  • É transparente aos usuários;
  • As regras são estáticas – static packet filter;
  • As regras dos filtros contêm:
    • Endereço IP de origem
    • Endereço IP de destino
    • Protocolos TCP, UDP, ICMP
    • Portas TCP ou UDP de origem
    • Portas TCP ou UDP de destino
    • Tipo de mensagem ICMP
Filtro de pacotes no contexto da pilha TCP/IPFiltro de pacotes no contexto da pilha TCP/IP

Os filtros de pacotes simples também são chamados de stateless firewall, conforme se pode observar na figura 1. Cada pacote é tratado de forma isolada: não guarda o estado da conexão e não sabe se o pacote faz parte de uma conexão feita anteriormente.

Segundo Scarfone e Hoffman (2008), os filtros de pacotes sem estado têm como características:

  • alta vazão – examinam os dados sobre a camada de rede;
  • baixo overhead e flexíveis – podem ser implantados em qualquer infraestrutura de redes, onde a sua velocidade e flexibilidade tornam ideal o uso como perímetro de uma rede não confiável, bloqueando o tráfego de entrada, um procedimento conhecido como filtro de entrada;
  • abrem brechas permanentes no perímetro da rede – são vulneráveis a ataques e exploits que tiram vantagens das vulnerabilidades existentes dentro da pilha TCP/IP;
  • não oferecem autenticação.

Filtro de Pacotes com Estado

Estes filtros realizam as mesmas funcionalidades do filtro de pacotes, mas também podem manter o estado das conexões por meio de máquinas de estado. Este tipo de firewall também possibilita o bloqueio de varreduras, controle efetivo de fluxo de dados e tratamento do cabeçalho TCP, além de verificar os campos do datagrama, com o objetivo de identificar possíveis ataques.

A função de inspeção dos pacotes melhora em comparação com as funções do filtro de pacotes, pois ele acompanha o estado das conexões e bloqueia os pacotes que não estão de acordo com o estado esperado. Isto ocorre através da incorporação de uma maior sensibilização da camada de transporte, conforme pode ser constatado na figura 2.

Tal como acontece com a filtragem de pacotes, a inspeção de estado intercepta pacotes na camada de rede e fiscaliza-os para ver se essas conexões são permitidas por uma regra de firewall existentes.

Mas, ao contrário de filtragem de pacotes de inspeção, o stateful firewall acompanha cada conexão em uma tabela de estado, apesar de os detalhes das entradas da tabela de estado variarem de produto de firewall para firewall. As entradas da tabela de estado normalmente incluem o endereço IP de origem, o endereço IP de destino, números de porta e informações sobre o estado de conexão.

O funcionamento do statefull firewall é o seguinte:

  • o firewall verifica somente o primeiro pacote de cada conexão, de acordo com as regras de filtragem;
  • a tabela de conexões ganha uma nova entrada, quando o pacote inicial é aceito;
  • os demais pacotes são filtrados, utilizando-se as informações da tabela de estados.
Filtro de pacotes de estados (Statefull)Filtro de pacotes de estados (Statefull)

A seguir é apresentado um exemplo de uma tabela de estado.

Tabela 1: Exemplo de Tabela de Estados

Tabela de EstadosTabela de Estados

Repare a primeira linha onde um ativo da rede interna (192.168.1.100) tenta acessar a outro ativo (192.0.2.71) além do firewall. A tentativa de conexão é verificada, inicialmente, com o objetivo de verificar se ela é permitida pelas regras de firewall.

Caso seja permitida, uma entrada é adicionada à tabela de estado e indica que

uma nova sessão está sendo iniciada, como apresentado na primeira entrada em “estado de ligação”.

Caso os ativos 192.0.2.71 e 192.168.1.100 completem a conexão TCP, o estado da conexão irá mudar para “estabelecida”, e todo o tráfego posterior correspondente a essa entrada será permitido (SCARFONE e HOFFMAN, 2008).

Arquiteturas de Firewall

O firewall pode ser aplicado de formas diferentes em uma rede, atendendo as necessidades da empresa. Essas arquiteturas são apresentadas na sequência.

Dual-homed host

1. Formada por um equipamento que tem duas interfaces de rede.

2. Funciona como separador entre duas redes.

3. O Firewall torna-se um ponto único de falhas.

Dual-homed HostDual-homed Host

Screened host

1. Sem sub-rede de proteção.

2. Elementos = 1 filtro de pacotes e 1 bastion host.

3. Rede protegida que não possui acesso direto à rede externa.

4. Bastion host realiza o papel de procurador – só ele passa pelo roteador.

5. O filtro deve ter regras que permitam o tráfego para a rede interna somente por meio do Bastion Host.

6. O Bastion Host reside na rede interna.

7. Se ele for comprometido, o atacante tem acesso à rede interna (Ex.: sniffer).

8. O Bastion Host concentra várias funções nesta arquitetura: se ele cair, várias funcionalidades da rede se perdem.

Screened HostScreened Host

Screened Subnet

1. Apresenta múltiplos níveis de redundância.

2. É a mais segura.

3. Componentes:

– Roteador externo;

– Sub-rede intermediária (DMZ);

– Bastion Hosts;

– Roteador Interno.

4. O que é a DMZ (De Militarized Zone):

– Trata-se de sub-rede.

– Sub-rede entre a rede externa e a protegida com os serviços oferecidos aos usuários da rede externa. Proporciona segurança.

5. Somente a sub-rede DMZ é conhecida pela Internet.

6. Um ataque à rede DMZ não deve comprometer a rede Interna.

7. Permite que serviços sejam providos para os usuários externos (por meio de bastion hosts) ao mesmo tempo em que protege a rede interna de acessos externos.

8. A DMZ cria uma zona de confinamento.

Screened SubnetScreened Subnet

Proxy

Um gateway de aplicativo de proxy é um recurso do firewall que combina o controle de acesso com a funcionalidade da camada superior. Os firewalls contêm um agente proxy que atua como um intermediário entre dois hosts que desejam se comunicar uns com os outros, e nunca permite uma conexão direta entre eles. Cada tentativa de conexão bem-sucedida resulta, na verdade, na criação de duas conexões separadas, uma entre o cliente e o servidor proxy e outra entre o servidor proxy e o seu verdadeiro destino, conforme apresentado na figura 6.

Proxy na redeProxy na rede

O proxy, além de tornar a rede mais segura, também pode deixá-la com um maior desempenho. Essa eficiência vem com base na utilização dele como cache de informações solicitadas. Esta vantagem possibilita que, caso múltiplas máquinas solicitem o mesmo dado, este poderá estar disponível no proxy, ocasionando um melhor desempenho, reduzindo o tráfego na rede, em virtude da redução do número de conexões solicitadas.

O proxy é transparente para os dois usuários, de forma que, da sua perspectiva, parece haver uma conexão direta, como pode ser visto na figura 7. Como os hosts externos se comunicam com o agente de proxy, conforme apresentado na figura 6, os endereços IP internos não conhecem o mundo exterior. Cada agente proxy pode exigir a autenticação de cada usuário da rede individualmente (proxy de autenticação). Essa autenticação do usuário pode assumir muitas formas, incluindo a identificação de usuário e senha, token de hardware ou software, endereço de origem e dados biométricos (SCARFONE e HOFFMAN, 2008).

Conexão direta entre cliente e servidor HTTPConexão direta entre cliente e servidor HTTP

Desta forma, Morimoto (2010) resume as vantagens de se usar um proxy nos seguintes itens:

1. impõe restrições com base em horários, login, endereço IP e outras informações, além de bloquear páginas com conteúdos indesejados;

2. funciona como um cache de páginas e arquivos, armazenando informações já acessadas. Ao acessar uma página que já foi apresentada, o proxy envia os dados que armazenou no cache;

3. possibilita registrar todos os acessos (log) realizados através dele.

Apresentadas as características iniciais do proxy, serão descritas algumas de suas funcionalidades e como ele trabalha.

O gateway proxy opera na camada de aplicação e verifica o conteúdo real do tráfego. Ao contrário de análise do filtro de pacotes, que verifica, principalmente, se o tráfego é consistente com as regras de análise de IPs, serviços e protocolos, os gateways de aplicação proxy analisam mais profundamente o conteúdo do pacote, fazendo a distinção entre o tráfego normal de um determinado protocolo e o tráfego que podem conter URLs (Uniform Resource Locator – Localizador – Padrão de Recursos) indesejadas, isto é, páginas com conteúdos indesejados.

Para que a comunicação possa ser realizada, os gateways executam a conexão TCP (3-way handshake) com o sistema de origem e são capazes de proteger a

informação contra explorações em cada etapa de uma comunicação. Além disso, os gateways podem tomar decisões para permitir ou negar o tráfego com base nas informações contidas nos cabeçalhos de aplicação do protocolo ou de dados. Por exemplo: um gateway pode determinar se uma mensagem de e-mail contém um anexo de um determinado tipo que a organização não permite (como um arquivo executável), ou então as mensagens instantâneas utilizando a porta 80 (normalmente usado para HTTP). Outra característica do proxy é que ele pode restringir as ações a serem executadas (por exemplo, os usuários podem ser impedidos de usar o FTP). Também pode ser usado para permitir ou negar as páginas da Web que contêm determinados tipos ativos como Java ou ActiveX.

Como os serviços de proxy trabalham

Os serviços proxy necessitam de dois componentes: o servidor proxy e o cliente. Ele recebe as requisições do cliente e realiza uma avaliação das mesmas. Desta forma, com base nas ACLs (Access Control Lists – Listas de Controle de Acesso), o poxy decide quais requisições serão aprovadas, ou negadas. Caso a requisição seja aceita, o proxy realiza a conexão com o servidor de internet e encaminha

a solicitação do cliente para o servidor, conforme descrito anteriormente e visualizado na figura 9. Assim, o servidor proxy, por sua vez, controla quais usuários podem acessar o quê, quando e como.

Métodos de utilização do proxy:

1. Método da Conexão Direta (usuário se conecta ao proxy) – no browser do cliente é configurado o endereço do servido proxy, a porta em que estará na escuta (Ex.: portas 3128 ou 8080) e quais serviços estarão sob sua análise;

2. Método de proxy de Autenticação – essa forma de utilização do Proxy força a todo usuário ser identificado e autenticado, ao acessar inicialmente algum serviço monitorado pelo Proxy. Essa forma possibilita ao gerente da rede uma visão precisa quanto aos usos dos serviços, URLs, entre outros pontos, por usuário. Isto porque todo e qualquer acesso ficará registrado e relacionado ao usuário;

3. Método do Proxy Transparente – muito utilizado pelas empresas, onde nessa situação os usuários não possuem conhecimento da existência do Proxy, isto é, todo o tráfego do cliente é analisado sem que o cliente tenha conhecimento.

Com a finalidade de comparar uma requisição que passa pelo Proxy e uma requisição que não passa, são apresentadas a seguir essas situações.

Requisição HTTP sem Proxy

Conforme apresentado na figura 8, as seguintes tarefas são executadas:

1. O cliente realiza a requisição http;

2. O servidor HTTP faz uso somente do caminho e da URL requisitada;

3. O tipo do protocolo http e o nome do servidor são claros para o servidor HTTP remoto;

4. O caminho requisitado especifica um documento no sistema de arquivos local do servidor; ou, ainda, algum outro recurso disponível daquele servidor.

Requisição do usuário: http://www.companhia.com.br/depto/setor/pag.html

O browser converte para: GET /depto/setor/pag.html>

Requisição normalRequisição normal

Requisição HTTP com Proxy

Conforme apresentado na figura 9, as seguintes tarefas são executadas quando se encontra o Proxy no sistema de segurança:

1. o cliente realiza a requisição HTTP com proxy;

2. o cliente especifica toda a URL para o proxy; com isto, o proxy possui todas as informações necessárias para realizar a requisição ao servidor remoto especificado na URL.

Requisição do usuário: http://www.companhia.com.br/depto/setor/pag.html

O browser converte para: GET http://www.companhia.com.br/depto/setor/pag.html O browser se conecta ao servidor.

O proxy realiza a conexão com o servidor de internet, convertendo a requisição para: GET /depto/setor/pag.html

Uso do servidor proxy entre cliente e servidor HTTPUso do servidor proxy entre cliente e servidor HTTP

Apesar de o Proxy apresentar vantagens, citadas anteriormente, ele também possui algumas desvantagens como:

1. pode-se necessitar servidores diferentes para cada serviço;

2. os serviços oferecidos por proxy ocasionam certo atraso na realização dos serviços.

Referências

SCARFONE, Karen e HOFFMAN, Paul. Guidelines on firewalls and firewall policy. National Institute of Standards and Technology – NIST, 800-3, 2008.

MORIMOTO, Carlos E. Servidores Linux, guia prático. Porto Alegre: Ed. Sul Editores, 2010.

Autor: Ms. Luiz Otávio Botelho Lento

 


 

Mecanismos de controle de acesso

Os mecanismos de segurança da informação são responsáveis pela concretização das políticas de segurança nos sistemas computacionais. Desta forma, as políticas de segurança – e os comportamentos que recomendam, expressos através de modelos de segurança –, são implantadas por mecanismos de segurança da informação. Tais mecanismos exercem os controles (físicos e/ou lógicos) necessários para garantir que as propriedades de segurança (confidencialidade, integridade e disponibilidade) sejam mantidas em conformidade com as necessidades do negócio. (LENTO, SILVA E LUNG, 2006).

Conceito: Os modelos de segurança da informação correspondem a descrições formais do comportamento de um sistema que atua segundo regras de uma política de segurança. Estes modelos são representados na forma de um conjunto de entidades e relacionamentos. (GOGUEN, 1982).

Os controles usados por esses sistemas podem ser físicos ou lógicos. Acompanhe, a seguir, a descrição de cada um destes.

  • Controles Físicos: São barreiras que limitam o contato ou acesso direto à informação ou à infraestrutura (que garante a existência da informação) que a suporta.
  • Controles Lógicos: São barreiras que impedem ou limitam o acesso à informação, que está em ambiente controlado, geralmente eletrônico, e que, de outro modo, ficaria exposta à alteração não autorizada por elemento mal intencionado.

Antes de discutir os mecanismos de controle de acesso, é necessário entender o que é controle de acesso. Desta forma, este conceito será apresentado a seguir bem como evidenciado seu funcionamento em um sistema computacional.

Controle de Acesso

O controle de acesso é responsável por limitar as ações ou operações que um usuário de um sistema computacional pode executar, restringindo o que ele pode fazer diretamente, como também os programas que podem ser executados em seu nome.

A figura 1 apresenta o esquema básico do controle de acesso exercido através de mecanismos em um sistema computacional.

Controle de AcessoControle de Acesso

Na efetivação do controle de acesso, são usados mecanismos que recebem o nome de Monitor de Referências(ANDERSON, 1972), e que atuam em vários níveis de um sistema. As referências a segmentos de memória são validadas nas camadas inferiores do sistema, através do hardware.

O sistema operacional, por sua vez, através do seu serviço de arquivos, valida os acessos a arquivos no sistema.

Importante
O monitor de referência é o mediador de toda tentativa de acesso de sujeitos aos objetos do sistema, consultando as regras da política para verificar se as solicitações de acesso são permitidas. Essas regras são mantidas pelo administrador de segurança (ou de sistema), tendo como base uma política de segurança.

O monitor de referência, como responsável na intermediação de todas as requisições de acesso a objetos de um sistema, resulta na definição de núcleo de segurança. (LANDWEHR, 1983).

Este núcleo, que envolve um conjunto de mecanismos de hardware e software, permite a concretização da noção de um monitor de referências, e, por isso, deve possuir algumas propriedades, como:

  • ser inviolável;
  • incontornável (sempre ativado nas requisições de acesso); e,
  • pequeno o suficiente para permitir a verificação de sua correção.

Os sistemas de controle de acesso podem ser diferenciados via suas políticas e seus mecanismos de acesso.

As políticas de acesso são direcionamentos de alto nível, baseadas nas necessidades dos proprietários dos recursos ou ainda das organizações. A partir destas definições de alto nível, devem ser geradas permissões que determinam como os acessos à informação serão controlados em todos os níveis do sistema. (LENTO, SILVA e LUNG, 2006).

Firewall

Devido às diversas necessidades de se garantir a segurança do ambiente computacional, foram criados mecanismos de segurança de controle de acesso a ele, dentre outros, o Firewall, compondo assim os diversos perímetros de segurança de um sistema computacional.

O Firewall é um dos principais, mais conhecidos e antigos mecanismos de segurança. Às vezes temos uma falsa expectativa em relação a ele, no que diz respeito à segurança da informação na organização.

Várias definições podem ser encontradas sobre esse mecanismo de segurança. Filho (2009) define-o como um dispositivo de segurança que tem como objetivo filtrar o que é, ou não, permitido ser acessado de dentro da sua rede ou para dentro da sua rede. Funciona, de acordo com essa compreensão, como uma barreira que impõe limites e controla o tráfego de dados entre um ou mais computadores e uma rede externa (Internet, rede vizinha, etc.).

Entretanto, segundo Zwicky, Cooper e Chapman (2000), os firewalls são definidos como barreiras interpostas entre a rede privada e a rede externa, com a finalidade de evitar intrusos (ataques). Isto é, são mecanismos (dispositivos) de segurança que protegem dos perigos (ameaças) a que o sistema está exposto, os recursos de hardware e software da empresa.

Por fim, atualmente pode-se dizer que o firewall é um sistema integrado, utilizado em redes de computadores para a sua proteção; é composto por filtros de pacotes, filtros de estados, IDS, IPS, proxies, etc., e segue a política de segurança estabelecida pela empresa.

A figura 2 apresenta uma arquitetura de firewall que objetiva proteger a rede interna da rede externa. Pode-se notar que todo o tráfego que entra e sai para a Internet passa pelo firewall. Este analisa tal tráfego e libera, ou não, o acesso às informações desse tráfego.

Arquitetura de FirewallArquitetura de Firewall

Outra forma de melhor visualizar um firewall é enxergá-lo como os antigos fossos que eram colocados em volta de castelos, para a proteção dos mesmos. Todo e qualquer tráfego que chega ou sai da rede interna de informações tem que passar por ele. Nele, no firewall, estão implementadas todas as regras que permitem este tráfego (trafego de e-mails, transferência de arquivos, logins remotos, etc.).

Segundo Zwicky, Cooper e Chapman (2000), o firewall apresenta vários propósitos, como:

  • restringir o acesso de usuários externos à rede interna. A verificação é realizada cuidadosamente, via um ponto de controle;
  • prevenir contra ataques; e,
  • restringir que usuários internos da rede tenham acesso à Internet e a sites não autorizados.

Logicamente, um firewall é um separador, um delimitador e um analisador. A sua implementação física varia de empresa para empresa, em conformidade com as necessidades da mesma. Normalmente, ele é composto por um conjunto de dispositivos de hardware (roteadores, computadores, ou a combinação dos dois) com um software adequado. Entretanto alguns produtos comerciais colocam a solução de firewall dentro de uma única caixa chamada de appliance.

Zwicky, Cooper e Chapman (2000) apresentam quatro atividades gerais que o firewall pode realizar, descritas na sequência.

Ser um foco para as decisões de segurança – todo o tráfego que entra na rede e sai dela deve passar pelo firewall, transformando-se em um ponto de estrangulamento, pois verifica todo esse tráfego. Pode-se dizer, então, que:

  • o firewall aumenta sensivelmente o grau de segurança da rede, porque possibilita concentrar as medidas de segurança num ponto;
  • analisando desta forma, é mais eficiente trabalhar assim do que espalhar decisões de segurança e tecnologias em volta da rede; e,
  • apesar de custar, às vezes, algumas dezenas ou centenas de milhares de reais para ser implementada, a maioria das empresas consideram mais barato concentrar esforços de hardware e software em um firewall do que despender recursos em outras medidas de segurança.

Forçar a aplicação da política de segurança – exerce a função da polícia do tráfego da rede, admitindo que somente serviços autorizados passem, e dentro de regras pré-estabelecidas.

Gerenciar eficientemente as atividades na Internet – isto se deve ao fato de que todo o tráfego passa pelo firewall, possibilitando um bom local para a coleta de informação sobre o sistema e sobre o uso da rede.

Limitar a exposição da rede – pode ser utilizado para manter uma seção da rede separada de outra seção, sendo utilizado, inclusive, dentro da empresa, objetivando, por exemplo, controlar o acesso aos serviços oferecidos pelo sistema computacional.

Além de descreverem o que o firewall pode realizar, Zwicky, Cooper e Chapman (2000) também citam o que este mecanismo de controle de segurança não pode realizar.

Veja, a seguir, uma lista de itens que o Firewall não pode realizar.

  • Não pode proteger contra usuários internos mal intencionados – ele nada pode fazer contra danos de hardware, software, cópias de dados, etc. É preciso ter uma política para a proteção das máquinas internas.
  • Não pode proteger a empresa, de conexões que não passam por ele.
  • Não protege contra novas ameaças – ele é projetado para as ameaças conhecidas, não se defendendo de novas ameaças de forma automática.
  • Não protege contra vírus – os firewalls não mantêm os vírus de computadores fora da rede. É uma verdade dizer que os firewalls varrem o tráfego que chega à rede e nem sempre oferecem proteção contra vírus. Isto se deve ao fato de que reconhecer um vírus num pacote aleatório passando via um firewall é muito difícil. É que, para realizar esse reconhecimento, faz-se necessário:
    • reconhecer que o pacote é parte de um programa;
    • determinar a qual programa ele pode pertencer;
    • determinar qual mudança no programa é realizada por causa do vírus;
  • Não pode ser configurado automaticamente – ele necessita de toda uma configuração realizada pelo gerente de segurança. A sua má configuração consiste numa sensação de falsa segurança.

Aplicando as estratégias de segurança com o firewall

Privilégio Mínimo

Este talvez seja o princípio mais fundamental de segurança. Basicamente, significa que qualquer objeto (usuário, administrador, programa, sistema, etc.) deveria ter somente os privilégios necessários para a realização das suas tarefas e nada mais.

O firewall pode, por exemplo, ser utilizado para restringir os acessos aos recursos do sistema computacional somente a usuários que necessitem dos mesmos.

Defesa em profundidade

Segundo Zwicky, Cooper e Chapman (2000), defesa em profundidade é a possibilidade de se estabelecerem vários pontos de defesa durante o acesso ao ambiente interno. Não se deve depender apenas de um mecanismo de segurança, não importando o quão forte ele pareça ser, porque a falha deste mecanismo singelo pode vir a comprometer toda a segurança do sistema.

O firewall de uma empresa poderá ter várias camadas. Esta estratégia permite que o sistema tolere mais falhas na segurança. Analise o exemplo a seguir.

  • Uma arquitetura com múltiplos filtros de pacotes – dois roteadores: um, externo, conectado diretamente à Internet; um, interno, conectado diretamente à rede privada; e, entre eles, um bastion host.
  • Esta arquitetura é configurada de forma a dois filtros realizarem tarefas diferentes.
  • É quase comum que o segundo filtro seja configurado para rejeitar os pacotes que o primeiro, supostamente, deveria ter rejeitado (redundância de regras de filtragem nos roteadores). Caso o primeiro filtro esteja trabalhando de forma adequada, os pacotes nunca alcançarão o segundo filtro. Portanto, se o primeiro filtro não estiver funcionando adequadamente, por sorte o segundo poderá resolver o problema.
  • Caso deseje que pessoas não recebam emails, configure os filtros para que os pacotes não saiam. Retire os programas das máquinas.

Ponto de passagem obrigatória (Choke Point)

Esta estratégia força os atacantes do sistema de informação a passarem por um canal, o qual pode ser monitorado e controlado.

O firewall, posicionado entre a Empresa e a Internet, quando é o único ponto de acesso à rede privada, constitui-se em um ponto de passagem obrigatória, porque os atacantes somente terão este caminho de acesso. Logo, pode-se realizar uma análise cuidadosa destes ataques, com a finalidade de se tomar providências quanto a novas defesas.

Falha Segura

A falha segura consiste na técnica que estabelece a seguinte premissa: se um sistema falhar, ele irá falhar de tal forma que será negado o acesso do atacante ao sistema.

Se um firewall falha devido a um ataque, ele impede que o atacante continue o seu ataque (Type enforcement). Esta é uma técnica utilizada para implementar sistemas fail safe, no qual, se o firewall falhar, tanto os pacotes do intruso como os dos demais usuários não poderão trafegar, sem que o ataque se alastre mais.

Esta técnica evita que, ao tornarem-se inoperantes (seja por hardware ou software), dispositivos os quais estejam realizando filtragem de pacotes liberem- nos para os serviços serem realizados.

Políticas de adoção de regras no firewall

Nega tudo como padrão – especifica somente o que é permitido e proíbe todo o resto.

A figura 3 apresenta uma aplicação desta estratégia no iptables (solução de firewall adotada no Linux ), no qual o pacote é analisado por cada regra descrita pelo firewall. No caso de o pacote não atender a nenhuma das regras, o mesmo é descartado.

Estratégia de negar tudoEstratégia de negar tudo

Permite tudo como padrão – em tal situação, normalmente é especificado somente o que é proibido; e, permitido todo o restante. Torna a vida do administrador de segurança mais complicada, porque, a todo instante, ele deve se preocupar em tapar os possíveis buracos existentes na segurança.

A figura 4 apresenta a aplicação desta estratégia no iptables. Os pacotes que são analisados e aqueles que não se adequarem a nenhuma das regras serão aceitos pelo firewall.

Estratégia de aceita tudoEstratégia de aceita tudo

Diversidade de defesas – ligada diretamente à defesa de profundidade, há a necessidade de várias defesas, mas que estas defesas também sejam de vários tipos.

Uma forma simples de implementar esta tecnologia consiste numa arquitetura que possui dois sistemas de filtro de pacotes, no qual a diversidade de defesa baseia-se na utilização de diferentes fornecedores. Porém esta arquitetura é fácil de ser quebrada, porque o intruso poderá explorar o problema da mesma forma nos dois filtros.

Problemas da utilização da defesa de profundidade

A utilização de sistemas de segurança de diferentes fornecedores pode reduzir as chances de existir um bug ou erro de configuração comum aos diferentes sistemas. No exemplo citado anteriormente, caso os dois packet filters utilizados sejam do mesmo tipo, fica mais fácil para o atacante, pois ele poderá explorar o mesmo problema da mesma forma em ambos.

É importante que se tenha cuidado com diferentes sistemas configurados pela mesma pessoa (ou grupo de pessoas), pois é provável que os mesmos erros cometidos na configuração de um sistema estejam presentes nos outros, devido à compreensão conceitual errada sobre alguns aspectos.

O uso da defesa de profundidade é reconhecido, por alguns sites, como um grande aumento da sua segurança. Porém a diversidade de defesa é mais problemática que benéfica, principalmente pela necessidade do domínio e investimento em mais de uma tecnologia, onde o ganho de potencial e a melhora da segurança não valem o custo do projeto.

Referências

ANDERSON, James P. Computer security technology planning study report ESD-TR-73-51. Electronic Systems Division. Local:?,1972. Disponível em: http://seclab.cs.ucdavis.edu/ projects/history/CD/ande72b.pdf Acesso em Jun. de 2011.

GOGUEN J. A. e MESAJUER J. Security policies and security models, proceedings of IEEE symposium on reseach in security and privacy. Disponível em: <http://publique.rdc.pucrio. br/rdc/cgi/cgilua.exe/sys/start.htm?infoid=266&sid=26>. Acesso em: Maio. 1982.

LENTO B., Silva J. e LUNG, C. A nova geração de modelos de controle de acesso em sistemas computacionais. Simpósio Brasileiro de Segurança – SBSeg, 2006, p. 152-201.

ZWICKY, Elizabeth D.; COOPER, SIMON e CHAPMAN, D. Brent. Building internet firewalls. Local: ?,Ed. O’Reilly, 2000.

FILHO, André Sato. Linux controle de redes. Local?, Ed. Visual Books, 2009.

FILHO, João Eriberto Mota. Firewall com Iptables. Disponível em: <www.eriberto.pro.br/iptables>. Acesso em: set. 2010.

Autor: Luiz Otávio Botelho Lento

 


 

Segurança de redes de computadores

Ao se conectar um computador a uma rede, é necessário que tome as providencias para se certificar que esta nova máquina conectada possa não vir a ser um “portão” que servirá de entrada de invasores, ou seja, de pessoas que estão mal intencionadas, procurando prejudicar alguém ou até mesmo paralisar a rede inteira.

Embora haja sistemas que conseguem fornecer um grau de segurança elevado, mesmo sendo bem configurado ainda estará vulnerável.

Ataques

Um ataque, ao ser planejado, segue um plano de estratégia sobre o alvo desejado, e uma pessoa experiente em planejamento de ataque sempre traça um roteiro a ser seguido a fim de alcançar o objetivo. Um exemplo de roteiro organizado para atacar é exemplificado a seguir:

  • Localizar o alvo desejado;
  • Concentrar o máximo de informações possíveis sobre o alvo, geralmente utilizando alguns serviços da própria rede, ou até mesmo, ferramentas utilizadas na administração e gerenciamento da rede alvo;
  • Disparar o ataque sobre o alvo, a fim de invadir o sistema, explorando a vulnerabilidade do sistema operacional, servidores e serviços oferecidos pela rede. O invasor pode até mesmo abusar um pouco da sorte tentando adivinhar uma senha na máquina alvo, fazendo combinações possíveis;
  • Não deixar pistas da invasão, pois geralmente as ações realizadas pelos invasores são registradas no sistema alvo em arquivos de log, possibilitando que o administrador do sistema invadido possa vir a descobrir a invasão, a não ser que o invasor se preocupe em eliminar todos e quaisquer vestígios que o incriminem;
  • O invasor deve conseguir não somente senhas de usuários comuns, pois os privilégios destes usuários são limitados, não dando acesso a recursos mais abrangentes no sistema. Com isso, é de grande importância que o invasor consiga uma senha de administrador, pois terá todos os recursos de gerenciamento do sistema disponíveis, para alterações e até mesmo gerar bug no sistema. Instalar ferramentas que façam a captura de senhas de forma clandestina aos olhos do administrador, para isso existem programas que conseguem rodar em segundo plano sem que a vítima perceba, podendo ser colocados na pasta usada pela vítima;
  • Criar caminhos alternativos de invasão, logo que a administradora do sistema encontrar uma “porta aberta” que permita a invasão esta será fechada, mas se o invasor gerar outras maneiras de invadir o sistema, certamente terá outra chance de invasão, já que teve a preocupação de criar novas rotas alternativas;
  • Utilizar a máquina invadida como “portão de entrada” para invasão de outras máquinas da rede e até mesmo do computador central.

Tipos de Ataques

Acompanhe agora o glossário preparado pelo Baixaki para explicar cada termo designado para os ataques e técnicas realizados por usuários deste gênero. Também não podemos nos esquecer de muitos outros termos relacionados aos aplicativos e arquivos que são apenas um peso para os computadores, aqueles que nem deveriam ter sido lançados, mas incomodam a vida de todos.

Adware: este tipo de arquivo malicioso nem sempre é baixado por acidente para o seu computador. Alguns programas carregados de propagandas que só as eliminam após a aquisição de uma licença também são considerados adwares. Em suma, um adware é um aplicativo que baixa ou exibe, sem exigir autorização, anúncios na tela do computador.

Application-Layer Attack: os “ataques na camada de aplicação” podem ser feitos tanto em servidores remotos quanto em servidores de rede interna. São ataques nas comunicações dos aplicativos, o que pode gerar permissões de acesso aos crackers em computadores infectados. Aplicativos que utilizam base de dados online (como Adobe Reader) também podem ser atingidos.

Backdoor: traduzindo literalmente, “porta dos fundos”. São falhas de segurança no sistema operacional ou em aplicativos, que permitem que usuários acessem as informações dos computadores sem que sejam detectados por firewalls ou antivírus. Muitos crackers aproveitam-se destas falhas para instalar vírus ou aplicativos de controle sobre máquinas remotas.

Black Hat: o mesmo que “Cracker”. São os usuários que utilizam os conhecimentos de programação para causar danos em computadores alheios.

Bloatware: os “softwares bolha” não são considerados aplicativos de invasão. Na verdade, são programas que causam perda de espaço livre nos computadores por serem muito maiores do que deveriam ser. Ou possuem muitas funções, mas poucas que são realmente funcionais. Alguns dos softwares considerados Bloatwares são iTunes, Windows Vista e Nero.

Bluebugging: é o tipo de invasão que ocorre por meio de falhas de segurança em dispositivos Bluetooth. Com equipamentos de captura de sinal Bluetooth e aplicativos de modificação sem autorização, crackers podem roubar dados e senhas de aparelhos celulares ou notebooks que possuam a tecnologia habilitada.

Botnet: são computadores “zumbis”. Em suma, são computadores invadidos por um determinado cracker, que os transforma em um replicador de informações. Dessa forma torna-se mais difícil o rastreamento de computadores que geram spams e aumentam o alcance das mensagens propagadas ilegalmente.

Crapware: sabe quando você compra um computador pré-montado e ele chega à sua casa com algumas dúzias de aplicativos que você não faz ideia da funcionalidade? Eles são chamados de crapware (em português: software porcaria) e são considerados um “bônus” pelas fabricantes, mas para os usuários são poucos os aplicativos interessantes.

Compromised-Key Attack: são ataques realizados para determinadas chaves de registro do sistema operacional. Quando o cracker consegue ter acesso às chaves escolhidas, pode gerar logs com a decodificação de senhas criptografadas e invadir contas e serviços cadastrados.

Data Modification: alteração de dados. O invasor pode decodificar os pacotes capturados e modificar as informações contidas neles antes de permitir que cheguem até o destinatário pré-definido.

Denial of Service (DoS): “Ataque de negação de serviços” é uma forma de ataque que pretende impedir o acesso dos usuários a determinados serviços. Alvos mais frequentes são servidores web, pois os crackers visam deixar páginas indisponíveis. As consequências mais comuns neste caso são: consumo excessivo de recursos e falhas na comunicação entre sistema e usuário.

Distributed Denial of Service (DDoS): o mesmo que DoS, mas realizado a partir de vários computadores. É um DoS distribuído.

DNS poisoning: “envenenamento do DSN” pode gerar alguns problemas graves para os usuários infectados. Quando ataques deste tipo ocorrem, os usuários atingidos conseguem navegar normalmente pela internet, mas seus dados são todos enviados para um computador invasor que fica como intermediário.

“Drive by Java”: aplicativos maliciosos “Drive-by-download” são arquivos danosos que invadem os computadores quando os usuários clicam sobre alguns anúncios ou acessam sites que direcionam downloads sem autorização. O “Drive-by-Java” funciona da mesma maneira, mas em vez de ser por downloads, ocorre devido à contaminação de aplicativos Java.

Hacker: são usuários mais curiosos do que a maioria. Eles utilizam essa curiosidade para buscar brechas e falhas de segurança em sistemas já criados. Com esse processo, conseguem muito aprendizado e desenvolvem capacidades de programação bastante empíricas. Quando utilizam estes conhecimentos para causar danos passam a ser chamados de crackers.
ICMP Attack: ataques gerados nos protocolos de controle de mensagens de erro na internet. Um computador com o IP alterado para o endereço de outro usuário pode enviar centenas ou milhares de mensagens de erro para servidores remotos, que irão enviar respostas para o endereço com a mesma intensidade. Isso pode causar travamentos e quedas de conexão no computador vitimado.

ICMP Tunneling: podem ser criados túneis de verificação em computadores invadidos, por meio da emissão de mensagens de erro e sobrecarga da conexão. Com isso, arquivos maliciosos podem passar sem interceptações de firewalls do computador invadido, passando por esses “túneis” de maneira invisível.

IP Spoofing: é uma técnica utilizada por crackers para mascarar o IP do computador. Utilizando endereços falsos, os crackers podem atacar servidores ou computadores domésticos sem medo de serem rastreados, pois o endereço que é enviado para os destinatários é falso.

Keylogging: é uma prática muito utilizada por ladrões de contas bancárias. Aplicativos ocultos instalados no computador invadido geram relatórios completos de tudo o que é digitado na máquina. Assim, podem ser capturados senhas e nomes de acesso de contas de email, serviços online e até mesmo Internet Banking.

Lammer: é o termo utilizado por hackers mais experientes para depreciar crackers inexperientes que utilizam o trabalho de outros para realizar suas invasões. Não se limitam a invadir sites, quando o fazem modificam toda a estrutura e até assinam as “obras” em busca de fama na comunidade.

Logic Bomb: este termo pode ser empregado em dois casos. O primeiro refere-se a programas que expiram após alguma data e então deixam de apresentar algumas de suas funcionalidades. O segundo, mais grave, é utilizado em casos de empresas que utilizam aplicativos de terceiros e quando os contratos são rompidos, estes softwares ativam funções danosas nos computadores em que estavam instalados.

Malware: qualquer aplicativo que acessa informações do sistema ou de documentos alocados no disco rígido, sem a autorização do administrador ou usuário, é considerado um malware. Isso inclui vírus, trojans, worms, rootkits e vários outros arquivos maliciosos.

Man-in-the-Middle-Atack: este tipo de ataque ocorre quando um computador intercepta conexões de dois outros. Cliente e servidor trocam informações com o invasor, que se esconde com as máscaras de ambos. Em termos mais simples: pode ser um interceptador de uma conversa de MSN, que passa a falar com os dois usuários como se fosse o outro.

Password-based Attacks: é o tipo de ataque gerado por programas criados no intuito de tentar senhas repetidas vezes em curtos intervalos de tempo. Criando instabilidades na verificação do logon referido, podem ser geradas duplicatas de senhas ou logons válidos.

Ping of Death: um invasor realiza constantes Pings na máquina invadida para causar travamentos na banda e até mesmo para travar o computador. É um tipo de ataque Denial of Service.

Phishing: mensagens de email enviadas por spammers são criadas com interfaces e nomes que fazem referência a empresas famosas e conhecidas, como bancos. Nestas mensagens são colocados links disfarçados, que dizem ser prêmios ou informações sobre a empresa em questão, mas na verdade são arquivos maliciosos.

Phreaker: os hackers de telefonia. São responsáveis pelo roubo de sinal de outros aparelhos e também por desbloquear aparelhos famosos, como é o caso dos especializados em desbloqueio do iPhone.

Pod Slurping: é o nome atribuído às práticas de roubo de informações por meio de dispositivos portáteis pré-configurados para a atividade. Podem ser utilizados pendrives, iPods e muitos outros aparelhos de armazenamento portátil. Há ataques diretos desta maneira e também ataques que apenas abrem portas dos computadores para invasões.

Port Scanning: atividade realizada por Port scanners. É a varredura de servidores em busca de portas vulneráveis para a invasão posterior.

Repudiation Attacks: quando aplicativos ou sistemas não são criados com os comandos corretos de rastreamento de logs, crackers podem utilizar isso para remodelar os envios de comandos. Assim, podem ser modificados os dados de endereçamento das informações, que são enviadas diretamente para servidores maliciosos.

Rootkit: tipo de malware que se esconde nas bases do sistema operacional, em localidades que não podem ser encontradas por antivírus comuns. São utilizados para interceptar solicitações do sistema operacional e alterar os resultados.

Scareware: malwares que são acessados pelos usuários mais desavisados, pois ficam escondidos sobre banners maliciosos. Podem ser percebidos em páginas da web que mostram informações do tipo: “Você está infectado, clique aqui para limpar sua máquina”.

Session hijacking: roubo de sessão. Ocorre quando um usuário malicioso intercepta cookies com dados do início da sessão da vítima em algum serviço online. Assim, o cracker consegue acessar a página do serviço como se fosse a vítima e realizar todos os roubos de informações e modificações que desejar.

Scanners: são softwares que varrem computadores e sites em busca de vulnerabilidades.

Script Kiddy: o mesmo que Lammer.

Server Spoofing: o mesmo que IP Spoofing, mas direcionado a servidores VPN.

Sidejacking: prática relacionada ao Session hijacking, mas geralmente com o invasor e a vítima em uma mesma rede. Muito frequentes os ataques deste tipo em hotspots Wi-Fi sem segurança habilitada.

Shovelware: é o tipo de aplicativo que se destaca mais pela quantidade de funcionalidades do que pela qualidade das mesmas. Muitos conversores multimídia fazem parte deste conceito de shovelware.

SMiShing: similar a phishing, mas destinado a celulares (SMS).

Smurf: o mesmo que ICMP Attack.

Sniffer Attack: tipo de ataque realizado por softwares que capturam pacotes de informações trocados em uma rede. Se os dados não forem criptografados, os ofensores podem ter acesso às conversas e outros logs registrados no computador atacado.

Snooping: invasões sem fins lucrativos, apenas para “bisbilhotar” as informações alheias.

Social Engineering (Engenharia Social): é o ato de manipular pessoas para conseguir informações confidenciais sobre brechas de segurança ou mesmo sobre senhas de acesso a dados importantes.

Spam: mensagens enviadas em massa para listas conseguidas de maneira ilegal. Geralmente carregam propagandas sobre pirataria de medicamentos. Também podem conter atalhos para páginas maliciosas que roubam listas de contatos e aumentam o poder de ataque dos spammers.

Spoof: mascarar informações para evitar rastreamento.

Spyware: são aplicativos (malwares) instalados sem o consentimento dos usuários. Eles são utilizados para capturar informações de utilização e navegação, enviando os logs para os invasores. Keyloggers fazem parte desta denominação.

TCP Syn / TCP ACk Attack: ataques realizados nas comunicações entre servidor e cliente. Sendo enviadas mais requisições do que as máquinas podem aguentar, a vítima é derrubada dos servidores e perde a conexão estabelecida. Podem ocorrer travamentos dos computadores atingidos.

TCP Sequence Number Attack: tentativas de previsão da sequência numérica utilizada para identificar os pacotes de dados enviados e recebidos em uma conexão. Quando é terminada com sucesso, pode emular um servidor falso para receber todas as informações do computador invadido.

TCP Hijacking: roubo de sessão TCP entre duas máquinas para interferir e capturar as informações trocadas entre elas.

Teardrop: uma forma de ataque Denial of Service. Usuários ofensores utilizam IPs inválidos para criar fragmentos e sobrecarregar os computadores vitimados. Computadores mais antigos podiam travar facilmente com estes ataques.

Trojan: tipo de malware que é baixado pelo usuário sem que ele saiba. São geralmente aplicativos simples que escondem funcionalidades maliciosas e alteram o sistema para permitir ataques posteriores.

Vírus: assim como os vírus da biologia, os vírus de computador não podem agir sozinhos. Anexam-se a outros arquivos para que possam ser disseminados e infectar mais computadores. São códigos que forçam a duplicação automática para aumentar o poder de ataque e, assim, criar mais estrago.

White Hat: hackers éticos.

Worm: funcionam de maneira similar aos vírus, mas não precisam de outros arquivos hospedeiros para serem duplicados. São arquivos maliciosos que podem replicar-se automaticamente e criar brechas nos computadores invadidos. Disseminam-se por meio de redes sem segurança.

Proteção

Um Firewall e um conjunto de políticas de segurança que tem como objetivo tentar fazer uma segurança eficiente, mas sabendo que esta segurança nunca será cem porcento. E alem disso existe um Firewall software.

Uma das grandes preocupações na área de segurança de redes é a vulnerabilidade de um computador, que pode comprometer as transmissões pelo meio físico da rede na qual o mesmo está ligado. Muito se tem feito para que o equipamento computacional (host) esteja seguro, impedindo o acesso indevido a seus dados e monitorando qualquer tentativa de invasão. Entretanto, um outro método tem se mostrado bastante eficiente: impedir que informações indesejadas entrem na rede como um todo.

Não é um método substituto à segurança do host, mas complementar, e consiste no seguinte: na ligação da rede interna com Internet, instala-se um equipamento que permitirá, ou não, a entrada e saída de informação, baseada em uma lista de permissões e restrições, devidamente configuradas para suprir as necessidades básicas de comunicação da rede interna com a Internet e vice-versa. Nem mais nem menos. Esta configuração é a chave do sucesso ou fracasso de um firewall.

É importante lembrar que o firewall deve estar presente em todas as conexões da rede com a Internet. Não adianta nada colocar um firewall super sofisticado na ligação do backbone se dentro da rede interna, existe um micro conectado com outra rede.

A utilização de um firewall implica na necessidade de conectar uma Intranet ao mundo externo, a Internet. Para tanto, podemos formular um projeto de firewall específico, implicando em algumas perguntas que se fazem necessárias quando da aquisição destas políticas:

  • Gostaríamos que usuários baseados na Internet fizessem upload ou download de arquivos de ou para o servidor da empresa?
  • Há usuários específicos (como concorrentes) aos quais desejamos negar acesso?
  • A empresa publicará uma página Web?
  • O site proverá suporte Telnet a usuários da Internet?
  • Os usuários da Intranet da empresa deverão ter acesso a Web sem restrições?
  • Serão necessárias estatísticas sobre quem está tentando acessar o sistema através do firewall?
  • Há pessoal empenhado na monitoração da segurança do firewall?
  • Qual o pior cenário possível, caso uma ameaça atinja a Intranet?
  • Os usuários precisam se conectar a Intranets geograficamente dispersas?

Construir um firewall é decidir quais políticas de segurança serão utilizadas, ou seja, que tipo de tráfego irá ou não ser permitido na Intranet. Podemos escolher entre um roteador que irá filtrar pacotes selecionados, ou usar algum tipo de software proxy que será executado no computador, além de outras políticas. No geral, uma arquitetura firewall pode englobar as duas configurações, podendo assim maximizar a segurança da Intranet, combinando um roteador e um servidor proxy no firewall.

As três arquiteturas de firewall mais populares são: Dual-Homed Host Firewall, Screened Host Firewall e Screened Subnet Firewall, sendo que os dois últimos usam uma combinação de roteadores e servidores proxy.

Dual-Homed Host Firewall

É uma configuração simples, porém muito segura, na qual dedicamos um computador host como fronteira entre a Intranet e a Internet. O computador host usa duas placas de rede, separadas, para se conectar a cada rede, conforme mostra a figura abaixo. Usando um firewall deste tipo, é necessário desativar as capacidades de roteamento do computador, para que ele não “conecte” as duas redes. Uma das desvantagens desta configuração é a facilidade de ativar inadvertidamente o roteamento interno.

Dual-Homed Host Firewall
Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s