Você está na página 1de 19

Tudo que Voc Precisa Saber Sobre Segurana de Rede

Introduo
Toda empresa j sentiu os benefcios da rede: processos internos mais rpidos, comunicaes dinmicas, produtividade aumentada para usurios remotos e mveis, e a conquista real de um mercado global. Assim que a empresa compreende o poder do comrcio pela Internet, dos recursos de um escritrio virtual e da resposta imediata de um escritrio remoto, a sua demanda por acesso aumenta. As tendncias-chave que levam ao crescimento espantoso da Internet como ferramenta de negcios inclui:

Fora de Trabalho Crescendo Constantemente

As empresas esto dependendo cada vez mais do seu quadro de pessoal mvel para continuarem competitivas. O pessoal de vendas precisa ter acesso rpido a arquivos corporativos. Muitas vezes o vendedor de sucesso aquele que pode processar uma proposta ou um pedido com rapidez, sem ter que esperar pelo correio. Nossa economia global exige funcionrios capazes de conduzir os negcios de qualquer lugar, a qualquer hora. Outros funcionrios, incluindo funcionrios remotos e contratados, demandam ambiente de trabalho flexvel, no qual possam executar seus trabalhos da comodidade de um home Office (escritrio em casa).

Desenvolvimento das Extranets

preciso haver uma interao on-line cada vez maior entre as empresas, seus fornecedores e parceiros. A tecnologia baseada na Web, como navegadores e servidores, est se tornando um meio comum para organizar e trocar informaes. As indstrias se consolidam e formam alianas, as extranets permitem que duas empresas compartilhem informaes e colaborem em seus projetos. Fazendo uso da Internet e tecnologias baseadas na Web, as empresas podem fornecer servios a clientes autorizados com facilidade, rapidez e sem grandes investimentos.

Necessidade de uma Alternativa para Linhas Arrendadas

Antes, empresas que desejassem estabelecer uma rede privada no tinham outra escolha seno usar uma linha dedicada, que precisava ser arrendada de uma companhia telefnica. Pesquisas recentes estimam que as empresas podem economizar at 70% sobre o custo das linhas arrendadas (Pesquisa Forrester). A tabela seguinte compara as vantagens da VPN (Virtual Private Network) sobre aquela alternativa:

S y m a n t e c d o B r a s i l - Av. Dr. Chucri Zaidan, 920 - 12 andar - Market Place Tower So Paulo SP - CEP: 04583-904 - Tel.: (11) 5189 6200 Fax: (11) 5189 6210 informe@symantec.com

Linha arrendada tradicional Despesas mensais com longa distncia Despesa significativa com equipamento bancos de modem separados, adaptadores de terminais, servidores de acesso remoto, etc. A Interface pode ser de difcil aprendizado e uso

Rede Virtual Privada Pagamento s pelo uso real Reduzido investimento em equipamento clientes/servidores, tokens (opcional) Interface simplificada, familiar ao usurio

Incompatvel com os sistemas de clientes, Compatibilidade instantnea fornecedores e parceiros confiveis

O Risco com a Segurana Tambm Cresce

Quanto mais complexa se torna a rede, maior o desafio para mant-la segura. Com a expanso contnua da infra-estrutura da Internet e computao mvel, multiplicam-se os pontos de acesso a dados corporativos atravs da Internet e linhas de telefone dial-up. Cada ponto de acesso representa uma possvel vulnerabilidade que pode ser aproveitada para conseguir acesso no autorizado sua rede. As ameaas dos hackers so lendrias, mas a realidade ainda mais assustadora. Em um recente estudo feito pela InternetWeek, 60% dos entrevistados declarou que foram acessados de fora mais de 30 vezes. E os riscos so altos: estima-se que a perda de produtividade ou de informao vital resultante dessas quebras de segurana custe aos negcios mais de $5 bilhes por ano. Proteger a propriedade intelectual e ao mesmo tempo permitir acesso transparente ao pessoal autorizado o dilema do CIO (Diretor-Chefe de Informao) e a dor de cabea do administrador da rede. Como se conectar com segurana Internet? Como proteger dos hackers, concorrentes e vndalos eletrnicos suas fontes de informao vital? Como se conectar com segurana a outras organizaes ou mesmo a outras sub-redes? Como ter certeza de que somente pessoas autorizadas estejam acessando sua informao? Por onde comear? O primeiro passo formular uma poltica de segurana, identificando os principais recursos a serem protegidos, e definir quem ter acesso aos mesmos. Este processo ajudar a estabelecer objetivos de segurana e a fazer um plano para administr-los. Este guia tratar de segurana na Internet e do permetro, delineando os pontos-chave de segurana que toda empresa precisa seguir para ter uma conexo segura com a Internet, mas voc precisa conceber uma estratgia bem acabada que rena as quatro categorias de proteo da informao: Avaliar, Proteger, Habilitar e Gerenciar. A V A L I A R vulnerabilidades e assegurar o cumprimento da poltica. P R O T E G E R sistemas de informaes crticas. H A B I L I T A R o uso seguro da Internet. G E R E N C I A R e administrar usurios e recursos.

S y m a n t e c d o B r a s i l - Av. Dr. Chucri Zaidan, 920 - 12 andar - Market Place Tower So Paulo SP - CEP: 04583-904 - Tel.: (11) 5189 6200 Fax: (11) 5189 6210 informe@symantec.com

Todo empreendimento emergente ou multinacional estabelecido, tem necessidades de segurana que vo alm do acesso no autorizado atravs da rede pblica. Conquanto ameaas externas de hackers sejam bem reais, ataques de funcionrios descontentes so na verdade muito mais comuns e tipicamente mais prejudiciais. Desenvolver uma estrutura de segurana significa mais do que implementar um permetro forte e a defesa da Internet. Requer uma abordagem de proteo tanto aos recursos vitais como de apoio s necessidades do negcio em todos os nveis do empreendimento.

S y m a n t e c d o B r a s i l - Av. Dr. Chucri Zaidan, 920 - 12 andar - Market Place Tower So Paulo SP - CEP: 04583-904 - Tel.: (11) 5189 6200 Fax: (11) 5189 6210 informe@symantec.com

Segurana do Permetro
Pense na sua rede corporativa como sendo sua fortaleza. Para proteg-la de invasores, voc precisa primeiro construir uma muralha impenetrvel ao seu redor. Voc abaixa e eleva a ponte levadia, permitindo a entrada somente daquelas pessoas que se identificaram corretamente usando uma senha secreta. De tempos em tempos, voc faz uma inspeo na fortaleza para assegurar-se de que no h brechas ou buracos que possam ser utilizados por saqueadores que pretendem ganhar acesso. E, por fim, voc instala uma sentinela no topo da fortaleza para manter uma vigilncia contnua, soar o alarme quando da aproximao de problemas e disparar flechas incendirias para repelir intrusos astutos que se atrevem a escalar as muralhas da fortaleza.

Primeiro Passo: Proteger o Permetro com um Firewall Impenetrvel


Sua primeira linha de defesa dentro do empreendimento proteger o acesso da e para a Internet. Sem essa proteo, a porta aberta para a Internet tambm a porta aberta para a sua rede corporativa. Um Firewall efetivamente coloca uma barreira entre a rede corporativa e o lado externo, protegendo o permetro e repelindo hackers. O firewall age como um nico ponto de entrada, atravs do qual todo o trfego que chega pela rede possa ser auditado, autorizado e autenticado. Qualquer atividade suspeita baseada em normas que voc estabelece dispara um alerta.

Como escolher um Firewall

Na avaliao de um Firewall, importante levantar todas essas questes: Como so criadas as regras? Oculta endereos de rede? Suporta autenticao segura? multi-residente para proteger de ataques Web e os servidores de correio da rede? Filtra Java e ActiveX? Como estabiliza o sistema operacional? Pode lidar com todo o seu trfego de rede sem sacrificar a segurana? Fornece registro e alarme? fcil de usar? Suporta softwares adicionais de relatrio? Fornece bloqueio de contedo? modular para acomodar futuras necessidades? Firewalls de sites remotos e usurios mveis podem ser facilmente acrescentados? interopervel com outros produtos do mercado?

S y m a n t e c d o B r a s i l - Av. Dr. Chucri Zaidan, 920 - 12 andar - Market Place Tower So Paulo SP - CEP: 04583-904 - Tel.: (11) 5189 6200 Fax: (11) 5189 6210 informe@symantec.com

Tipos de Firewalls
Hoje em dia, h trs tipos bsicos de firewalls no mercado, cada um oferecendo diversos graus de segurana e flexibilidade: roteadores, pacotes de sistemas stateful de filtragem, e proxy firewalls em nvel de aplicativo. Um simples roteador, conquanto barato, inaceitvel para a maior parte das necessidades do negcio. Roteadores no podem proteger contra ataques em nvel de rede, tais como instruo enganosa de IP, roteamento de fonte, TCP SYB Flood, Ping of Death ou outros ataques no relacionados com a autorizao das conexes. Roteadores tambm no oferecem o nvel de flexibilidade e caractersticas de um firewall de total segurana para a empresa, como capacidade de rede virtual privada, registro e autenticao. Sistemas stateful examinam pacotes individuais imediatamente antes ou na camada da pilha de protocolo. Isto acelera o processamento de regras e evita que pacotes no associados com conexes j estabelecidas consigam atravessar. Em contrapartida, firewalls em nvel de aplicativo autorizam conexes e examinam o fluxo de dados, forando todo o trfego de rede a passar por um aplicativo inteligente que executado no sistema de firewall especfico para esse servio (FTP, HTTP, SMTP, etc). Esta forma de proxy lhe d controle sobre funes em nvel de aplicativo e fornece proteo contra ataques, prioridades absolutas para quase todas as organizaes. Enquanto muitos dos sistemas stateful incluem uma limitada tecnologia proxy, a maioria no protege contra ataques incorporados no fluxo do aplicativo, como sobrecarga do buffer e comandos de aplicativo inseguros ou ilegais. Firewalls em nvel de aplicativo, por outro lado, so projetados para frustrar os ataques incorporados mais sofisticados, incluindo aqueles que transpe mltiplos pacotes de rede.

Fatores a Considerar:
Interfaces de Rede
A maioria dos firewalls de aplicativos proxy multi-residente, para criar uma separao fsica entre a rede protegida e a rede no confivel. desejvel ter pelo menos trs interfaces de rede para proteger contra ataques a Web pblica e servidores de correio desta rede. Alguns firewalls podem se conectar diretamente Internet atravs ISDN (Integrated Services Digital Network) integrado ou conexes Frame Relay, eliminando a necessidade de um roteador externo separado. Esta proteo confivel, inatacvel, garante que trfego no autorizado no passe pelo Firewall.

Traduo e/ou Ocultamento de Endereos

Seu firewall deve ser capaz de traduzir os endereos IP de origem e/ou destino do seu endereo original para outro diferente. A traduo exigida por duas razes. A primeira ocultar todos os endereos internos da rede. Esconder os endereos assegura que potenciais atacantes tenham pouca ou nenhuma informao sobre seus sistemas internos que pudesse ser usada para atac-los. A segunda que a traduo ajuda a preservar o espao do endereo. muito difcil conseguir uma escala completa de endereos registrados IPv4 da Internic. Atravs do ocultamento/agrupamento de endereos, possvel usar somente alguns endereos registrados para representar todos os sistemas de computao que esto atrs do firewall.

S y m a n t e c d o B r a s i l - Av. Dr. Chucri Zaidan, 920 - 12 andar - Market Place Tower So Paulo SP - CEP: 04583-904 - Tel.: (11) 5189 6200 Fax: (11) 5189 6210 informe@symantec.com

Em funo do uso de proxies, firewalls em nvel de aplicativo traduzem automaticamente todos os endereos internos para um nico endereo externo ou registrado. Firewalls de filtragem de pacote precisam ser explicitamente programados para traduzir e/ou ocultar endereos, tarefa essa montona e tediosa.

Criao de Regras de Acesso

O firewall segue um conjunto de regras que voc configura de acordo com a sua poltica de segurana. Estas regras autorizam o reconhecimento e o fluxo de trfego baseado no host e nos endereos de rede, e outros parmetros tais como uma escala de data e hora. A segurana do seu firewall depende muito da sua habilidade de configurar apropriadamente estas regras. Se voc configur-las incorretamente, pode inadvertidamente criar um buraco na segurana. A maioria dos firewalls utilizam regras prprias, dependentes de ordens. notoriamente fcil configurar de maneira errada estes sistemas dependentes de ordens. Se o administrador no for extremamente cuidadoso no estabelecimento da poltica, ou se posteriormente adicionar dados, o ordenamento incorreto das regras pode abrir uma brecha sria na segurana. Alguns firewalls empregam regras no dependentes de ordens, mais ajustadas, para simplificar enormemente a criao de polticas e eliminar o risco de erro do operador. Regras de acesso mais ajustadas eliminam a possibilidade de uma regra substituir e anular outra inadvertidamente, criando um buraco na segurana. medida que suas necessidades de segurana crescem e se tornam mais complexas, este tipo de firewall apresenta flexibilidade para adicionar regras de maneira simples e sem risco de desconfigurao. Sistemas abrangentes mais ajustados so mais intuitivos e mais fceis de gerenciar, resultando em um sistema firewall mais seguro.

Estabilizao do Sistema Operacional


Para dizer o mnimo, o seu firewall deveria oferecer alguma forma de estabilizao do sistema operacional quando o firewall for instalado. Idealmente, esta estabilizao deve ser totalmente automtica, e no exigir grandes configuraes manuais, o que aumenta o risco de erro do operador. Alguns firewalls oferecem estabilizao automtica do sistema operacional na instalao e durante o funcionamento. Estes firewalls monitoram o sistema operacional continuamente para garantir o seu correto funcionamento.

Velocidade/Desempenho

O seu firewall age como um gateway para todas as comunicaes de entrada e sada de sua rede corporativa, autenticando usurios, codificando e decodificando mensagens e roteando-as dentro da sua rede. O firewall precisa controlar rigidamente a segurana, ao mesmo tempo em que controla o trfego de centenas de usurios, sem desacelerar o trfego de rede. Uma vez que os firewalls de filtragem de pacotes no reconhecem toda e qualquer conexo, historicamente eles apresentam desempenho um pouco melhor, sem sacrifcio da segurana.

S y m a n t e c d o B r a s i l - Av. Dr. Chucri Zaidan, 920 - 12 andar - Market Place Tower So Paulo SP - CEP: 04583-904 - Tel.: (11) 5189 6200 Fax: (11) 5189 6210 informe@symantec.com

Autenticao

O seu firewall deve ser capaz de autenticar usurios que esto tentando se conectar com a sua rede. A maneira mais simples atravs de uma senha. Em alguns casos, no possvel autorizar baseado somente no endereo IP (devido ao DHCP Dynamic Host Configuration Protocol) ou no suficientemente seguro (devido a endereos IP externos facilmente enganveis). Um firewall pode fornecer autenticao para servios tais como FTP, HTTP e Telnet de maneira que somente usurios especficos ou grupos de usurios tenham permisso de acesso de uma rede para outra. Tokens de autenticao verificam a identidade e autorizam acesso aos usurios da rede de acordo com a sua poltica. Estes esquemas geram uma nova senha a cada login para eliminar a ameaa de ataques repetitivos de senha.

Registro

Um registro de cada tentativa de conexo ao ou atravs do firewall. Inclui as tentativas bem e mal sucedidas. O registro d ao administrador um relatrio no confivel do que ocorreu. Tambm pode ser usado para rastrear de que forma uma empresa est usando a Internet. Um relatrio adequado inclui itens tais como data/hora, endereos IP de origem e destino, nomes de usurios, tipo de servio (FTP, HTTP, etc.) e arquivos ou URLs transferidos. Alguns firewalls tm capacidade para desabilitar o registro, o que enfaticamente desencorajado, uma vez que seria impossvel reconstruir ou rastrear uma atividade de ataque quando esta ocorrer.

Alerta

O alerta um mecanismo que notifica o administrador sempre que o firewall exige ateno. Isto feito tipicamente atravs de e-mail, pager, armadilhas no SNMP (Simple Network Mangement Protocol) e/ou mudana de estado do sistema firewall, tocando arquivos de som ou mudando as cores da tela. Qualquer firewall, na melhor das hipteses, s pode suspeitar da ocorrncia de um ataque (se soubesse quando ocorreu a penetrao, em primeiro lugar teria impedido o ataque). O alerta uma maneira de informar o administrador sobre atividade incomum ou suspeita.

Servios de Rede Virtual Privada

Os servios de rede virtual privada permitem que empresas com vrias fbricas/escritrios estendam sua rede alm dos limites fsicos e forneam comunicaes seguras para o quadro de venda mvel ou para escritrios remotos de filiais. Servios VPN (Virtual Private Network) integrados ao firewall facilitam o gerenciamento da poltica de segurana a partir de um local e uma interface de usurio.

Adaptabilidade
Procure um firewall que se adapte totalmente s suas necessidades futuras, seja para uma atualizao do hardware, gerenciamento da segurana em um site remoto, adicionar um quadro de vendedores mveis, ou interoperar com os sistemas de seus parceiros comerciais. Sistemas no-patenteados que utilizam hardware e sistemas operacionais padro, geralmente constituem a melhor abordagem, permitindo reutilizao quando o firewall precisar ser substitudo. Procure caractersticas de interoperabilidade, cruciais para a integrao do seu sistema de firewall a ambientes mistos. O cumprimento de padres industriais assegura interoperabilidade com seus fornecedores, clientes e scios estratgicos aos quais voc pode querer estender o acesso rede.
S y m a n t e c d o B r a s i l - Av. Dr. Chucri Zaidan, 920 - 12 andar - Market Place Tower So Paulo SP - CEP: 04583-904 - Tel.: (11) 5189 6200 Fax: (11) 5189 6210 informe@symantec.com

Bloqueadores de Contedo
A Internet fornece muita informao til, que tambm favorece o mau uso. Alguns firewalls oferecem mecanismos de bloqueio integrados, que permitem restringir a navegao de material no produtivo ou questionvel da Web ou grupos de notcias. Estes filtros permitem que voc d aos seus funcionrios o acesso Internet de que necessitam, e ao mesmo tempo refora as polticas corporativas.

Segundo Passo: Verificar a Segurana do Permetro


Quando o firewall estiver instalado e configurado, o prximo passo test-lo a fundo para ter certeza que no foram inadvertidamente criados ou deixados buracos comprometedores ou pontos fracos que poderiam ser explorados. Uma vez que redes so complexas e mudam com freqncia, tais testes de penetrao devero ser executados rotineiramente. Voc poderia contratar um tiger team dispendioso para fazer os testes de penetrao; voc pode fazer isto uma vez, mas certamente no poder arcar com essa despesa todos os meses. Uma ferramenta de sondagem (probe) uma escolha mais eficiente e de custo mais baixo. Ferramentas de sondagem verificam as formas comuns de penetrao em redes e analisam o risco de cada vulnerabilidade detectada. Algumas ferramentas de sondagem fazem verificao automtica de vulnerabilidade tanto do permetro como da rede interna, avaliam riscos e at fornecem conselhos abalizados com respeito aos problemas de segurana encontrados. Como resultado, possvel localizar rapidamente buracos na rede e fech-los, antes que os dados sejam furtados ou danificados.

Como Escolher uma Ferramenta de Sondagem

Certifique-se que a sonda escolhida verifica vulnerabilidades no s de dentro do firewall, mas tambm de fora, o que espelhar o ponto de vista do hacker acerca da vulnerabilidade da sua rede. Escolha um verificador que empregue mltiplos protocolos no somente IP para detectar recursos de rede vulnerveis, tais como NetWare, que pode ser acessado sem ser via IP. Anteriormente, estes verificadores s eram capazes de sondar uma nica caixa por vez. Hoje em dia, j existem produtos sofisticados para testar mltiplos sistemas ao mesmo tempo, revelando como vulnerabilidades pequenas podem ser exploradas em conjunto, criando um importante risco de segurana.

S y m a n t e c d o B r a s i l - Av. Dr. Chucri Zaidan, 920 - 12 andar - Market Place Tower So Paulo SP - CEP: 04583-904 - Tel.: (11) 5189 6200 Fax: (11) 5189 6210 informe@symantec.com

Terceiro passo: Instalar uma Sentinela


Enquanto um firewall alerta sobre atividade suspeita, mas nada faz para interromp-la. Tentar revisar manualmente todos os arquivos de registro leva um tempo enorme e uma batalha. A instalao de um detector de invaso lhe concede uma medida de proteo adicional. Um detector de invaso age como sentinela para guardar o permetro e imediatamente detectar e responder a ataques na rede. A principal funo da deteco de intruso no impedir a invaso, mas capturar a invaso e interromp-la antes que algo possa acontecer. Algumas das reaes automticas peculiares incluem notificao ao administrador de segurana, interrupo da seo ofensiva, fechamento do sistema, desligamento de links da Internet, desativao de usurios; ou a execuo de um procedimento de comandos pr-estabelecidos. Detectores de invaso oferecem proteo 24 horas por dia, 7 dias por semana.

Como Escolher uma Soluo para Deteco de Invaso


Um mtodo efetivo para deteco de invaso em tempo real monitorar a atividade relacionada segurana que ocorre nos diversos sistemas e dispositivos que formam a rede. Enquanto a maioria dos monitores de atividade vigiam as trilhas de auditoria do sistema operacional, as ferramentas mais sofisticadas tambm: Companham trilhas de auditoria de aplicativos, base de dados, servidores Web, roteadores, firewalls, etc. Monitoram arquivos crticos em busca de Trojans, modificaes no autorizadas, etc. Vigiam atividade da porta UDP (User Datagram Protocol) e TCP (Transfer Control Protocol) Aceitam armadilhas SNMP e gatilhos Monitores de atividade em tempo real podem detectar ataques, tais como tentativas de acesso no autorizado a arquivos, ou substituir um programa de login por uma nova verso. Diferentemente dos farejadores (sniffers) de pacotes, podem detectar quando um usurio obtm ilegalmente acesso de administrador ou de raiz. Quando uma atividade suspeita detectada, os monitores de atividade em tempo real podem tomar providncias imediatas antes que ocorram danos. A vantagem do monitoramento de atividade em tempo real est na sua implementao perto dos dados e aplicativos crticos da misso. Monitoramento contra ataques de dentro e de fora da rede se torna mais fcil, pois todos os dispositivos esto sendo vigiados. Adicionalmente, muitos ataques no nvel dos aplicativos e dos sistemas operacionais no so discernveis no nvel do pacote e para sua deteco exigem monitoramento no nvel de sistema. Ao escolher um detector de invaso, procure um que possa ser gerenciado a partir de um console central, e que ao mesmo tempo monitore as atividades de toda a rede. Eventos que conseguem atravessar pelo dispositivo so ento avaliados por um detector de invaso. Atividades suspeitas de mltiplas posies na rede devem estar correlacionadas medida que ocorrem. Por exemplo, um invasor pode usar um programa de hacker para tentar adivinhar a senha raiz em cem sistemas UNIX ao mesmo tempo.

S y m a n t e c d o B r a s i l - Av. Dr. Chucri Zaidan, 920 - 12 andar - Market Place Tower So Paulo SP - CEP: 04583-904 - Tel.: (11) 5189 6200 Fax: (11) 5189 6210 informe@symantec.com

O software precisa ter capacidade para detectar invaso, mesmo que as conexes de rede estejam codificadas ou que os atacantes utilizem conexes dial-up diretas. O detector dever registrar atividades de segurana crticas em sistemas gerenciadores. Este procedimento dificulta aos hackers encobrirem suas pistas, uma vez que a atividade est registrada em outro sistema na rede e no somente em uma trilha de auditoria local. Tambm centraliza e facilita o gerenciamento de trilhas de auditoria. Por fim, como novos ataques esto sendo criados diariamente, o detector de invaso dever ser de fcil atualizao para controlar novos cenrios regularmente. O fornecedor dever publicar estes cenrios na Web de maneira que voc possa copi-lo e implement-lo rapidamente por toda empresa.

Quarto Passo: Impedir Acesso No Autorizado via Dial-Up


A ltima pea na segurana de permetro impedir acesso no autorizado sua rede. Sem autenticao, um hacker pode facilmente simular usurios legtimos para conseguir acesso rede corporativa. Como possvel garantir acesso dos usurios remotos aos recursos de que necessitam para fazer o seu trabalho sem sacrificar a segurana da rede corporativa? Voc determina se o usurio quem ele diz ser, solicitando alguma forma de autenticao. Hoje em dia h dois tipos bsicos de esquemas de autenticao em uso nos sistemas de operao, servidores de comunicao, e firewalls: Senha esttica (hard-coded) Autenticao de dois fatores (forte) IDs e senhas estticas tradicionais provaram ser inadequadas para autenticar usurios de modo nico. Senhas estticas so facilmente conhecidas por terceiros, compartilhadas, adivinhadas e quebradas. A obrigao do usurio de trocar regularmente suas senhas faz com que eles escolham senhas de fcil conhecimento e risco. Em virtude do grande nmero de senhas a serem lembradas, elas tambm podem ser anotadas e deixadas vista. As senhas tambm podem ficar comprometidas por ferramentas de hackers, tais como farejadores de senhas, ataques de dicionrio, etc. Com as senhas roubadas, fica fcil simular os usurios legtimos e acessar os arquivos.

Autenticao de Dois Fatores (Two- Factor)


Sistemas de autenticao de dois fatores somente autenticam usurios, sem for-los a lembrar uma nova senha. A autenticao de dois fatores baseada na informao de algo de posse exclusiva do usurio um token e algo de conhecimento exclusivo do usurio um nmero PIN para ativar o token. Este processo cria uma senha exclusiva para ser usada uma nica vez, que no pode ser adivinhada, compartilhada ou quebrada. Por essa razo, a autenticao de dois fatores altamente prefervel a outros esquemas menos seguros.

S y m a n t e c d o B r a s i l - Av. Dr. Chucri Zaidan, 920 - 12 andar - Market Place Tower So Paulo SP - CEP: 04583-904 - Tel.: (11) 5189 6200 Fax: (11) 5189 6210 informe@symantec.com

Tokens de Software vs Tokens Portteis

Tokens de software e tokens portteis so igualmente seguros e cada um tem suas vantagens. Tokens de software so ideais para usurios que empregam um nico dispositivo para se conectar na rede, enquanto que tokens portteis so mais teis a usurios que se conectam com freqncia de diferentes posies e plataformas. Tokens portteis podem ser facilmente perdidos ou furtados e custam o dobro dos tokens de software. Por outro lado, os tokens de software so mais fceis de usar por serem transparentes para o usurio. Alm disso, eliminam a necessidade de carregar um token porttil separado. O laptop ou PC do usurio se transforma em um token quando o token de software ativado.

Segurana Internet

&

Extranet

Ao mesmo tempo em que o baixo custo e a disponibilidade da Internet a tornam uma atraente ferramenta de negcios, ela uma rede pblica que no oferece segurana. As comunicaes pela Internet so extremamente arriscadas sem a tecnologia adequada. E-mail, arquivos e senhas so facilmente interceptados por uma variedade de farejadores e ferramentas de hackers. Na verdade, muitas ferramentas de hackers esto disponveis na Internet gratuitamente. Como voc protege dados sensveis de bisbilhoteiros enquanto eles viajam pela Internet? Uma vez que a Internet pode ser usada como um meio para estender a sua rede corporativa literalmente qualquer lugar, com uma boa relao custo/benefcio. Como voc pode estabelecer uma rede privada segura para seus mltiplos sites, usurios remotos, e guerreiros da estrada distribudos pelo mundo? Navegadores e servidores baseados na Web permitem centralizar informaes e servios como voc pode estender um acesso seletivo a seus parceiros comerciais, fornecedores e clientes, sem comprometer a segurana?

Primeiro Passo: Implementar uma Rede Virtual Privada


O que uma Rede Virtual Privada?
A rede virtual privada combina autenticao com codificao de dados e autorizao para proteger a informao ao longo do seu trajeto pela Internet pblica. A tecnologia VPN: 1. Estabelece um tnel seguro entre o usurio remoto e a rede corporativa 2. Encapsula e codifica pacotes de dados 3. Autentica o usurio e autoriza acesso dos usurios aos recursos corporativos na rede.

Codificao

Antes da transmisso, os dados so codificados e encapsulados para proteg-los de bisbilhoteiros. As informaes destes pacotes codificados no podem ser visualizadas, modificadas ou interceptadas de forma utilizvel. Alm disso, as informaes interceptadas no fornecem qualquer informao til sobre o host protegido de uma rede corporativa. Ela utiliza poderosos algoritmos de codificao, de padro industrial, para garantir que os dados que viajam pela Internet, WANs, redes de clientes ou Intranet no sejam interceptados. O produto escolhido deve suportar um algoritmo de codificao forte, forte em relao sensibilidade dos seus dados. A maioria dos fornecedores oferece como opo uma chave de codificao de 40-bits. O comprimento da chave de 40-bits foi escolhido porque o governo dos Estados Unidos
S y m a n t e c d o B r a s i l - Av. Dr. Chucri Zaidan, 920 - 12 andar - Market Place Tower So Paulo SP - CEP: 04583-904 - Tel.: (11) 5189 6200 Fax: (11) 5189 6210 informe@symantec.com

permite exportar esta codificao sem controle de exportao. A codificao de 40 bits interromper crackers acidentais, mas no deve ser considerada forte. Na codificao que utiliza o padro Data Encryption Standard de 56 bits, ou DES, os algoritmos so aproximadamente 65.000 vezes mais fortes do que os algoritmos de 40 bits. Apesar da recente publicidade envolvendo o esforo coroado de xito para invadir uma mensagem curta DES, para a maioria dos propsitos o DES considerado muito forte. Para uso nos Estados Unidos e Canad, podem ser utilizados algoritmos ainda mais fortes. De maneira geral, estes algoritmos, tais como Triple-DES, utilizam comprimentos mais longos de chave para dar maior proteo.

Segundo Passo: Identificar Quem Acessa a Informao


Produtos de rede virtual privada precisam fornecer um meio de garantir, ou autenticar, a identidade do usurio. A autenticao tradicional depende de senhas estticas ou reutilizveis. Estas senhas so facilmente obtidas pelos hackers e so, muitas vezes, deixadas vista anotadas em Post-Its, na agenda ou na carteira do usurio. A autenticao forte, ou de dois fatores, apresenta o mais alto nvel de segurana a acesso remoto, sem sobrecarregar os usurios com senhas adicionais ou procedimentos de login. Alm disso, fornece mecanismos de alta confiabilidade para responsabilizao do usurio. Quando entra a linha de comando, o usurio digita seu PIN para abrir uma caixa de dilogo de autenticao forte, transparente entre o usurio e a rede. Os dados trocados durante uma interao pedido de senha/resposta so vlidos apenas uma vez, e o PIN do usurio nunca transmitido pela rede pblica. Mesmo que a troca seja interceptada por qualquer nmero de tcnicas de hacking, no mais vlida para acesso. A autenticao intil se o seu usurio tentar tomar um atalho. Quanto mais fcil de usar, maiores as chances de no ser contornado, comprometendo a segurana. Os melhores esquemas de autenticao consolidam o nmero de passos sign-on, permitindo ao usurio simplesmente entrar um ID e senha aps o login em um laptop ou PC. O PIN do usurio a nica exigncia necessria para ativar um acesso remoto seguro. A autenticao forte, de dois fatores, executada de maneira transparente para o usurio final. A autenticao no usada somente para verificar a identidade de um indivduo, mas para determinar a que recursos ele ter acesso. Por exemplo, seus funcionrios remotos e mveis podem ter acesso mesma quantidade de informaes disponveis para seus funcionrios internos: informaes financeiras, sobre a concorrncia e sobre produtos. Seus parceiros comerciais, por outro lado, podem ter acesso somente a informaes especficas relacionadas a um projeto conjunto, mas precisam mont-las a partir de informaes financeiras ou da concorrncia. E voc pode dar aos seus clientes acesso exclusivo a servios especficos baseados na Web, mas no a detalhes confidenciais do seu negcio. Cada um desses usurios exige uma estratgia de segurana diferente: remota, mvel e extranet.

S y m a n t e c d o B r a s i l - Av. Dr. Chucri Zaidan, 920 - 12 andar - Market Place Tower So Paulo SP - CEP: 04583-904 - Tel.: (11) 5189 6200 Fax: (11) 5189 6210 informe@symantec.com

Terceiro Passo: Controle de Acesso Remoto


Usurios remotos em vrias filiais exigem o mesmo nvel de segurana utilizado na sede corporativa. Isto significa fortificar os seus permetros com um firewall, fazendo verificaes rotineiras com uma ferramenta de sondagem, e instalando um detector de invaso de resposta preventiva a invasores. Cada firewall pode ser ligado (linked) atravs da rede virtual privada. Procure um firewall que oferea solues VPN integradas e suporte a mltiplos firewalls remotos. Gerenciamento centralizado atravs do firewall corporativo oferece flexibilidade e proteo mximas, alm de economia. Os firewalls remotos oferecem, em princpio, um produto com a mesma funcionalidade, menos a interface de gerenciamento.

Quarto Passo: Controle de Acesso Mvel


O software cliente da VPN executado no laptop ou PC do usurio. O servidor pode estar integrado a um firewall ou residir em um gateway que fica atrs do firewall. H vantagens e desvantagens em ambos. Software dependente de firewall garante compatibilidade do firewall com o cliente VPN. VPNs mltiplos so gerenciados a partir de um console de firewall central. Em contrapartida, software VPN independente de firewall vantajoso para os gerentes de rede com muitos tipos de firewalls incompatveis e, por ser independente do firewall, no tem impacto sobre o seu desempenho. VPNs mltiplos so gerenciados de maneira centralizada atravs da interface de servidor VPN. O crescente nmero de laptops furtados preocupa muito. De acordo com a Safeware Insurance, uma das maiores seguradoras de computadores, foram comunicados os furtos de mais de 250.000 laptops em 1996, representando um aumento de 27% sobre 1995, e uma perda de mais de $800 milhes em bens de hardware e software. Cada notebook de negcios contm informao proprietria, que varia de dados sobre contatos com clientes a informaes financeiras. Como possvel proteger as informaes nos laptops de usurios remotos? Os produtos VPN tm codificao de arquivos local para assegurar que os dados do PC no possam ser vistos por usurios no autorizados. Arquivos sensveis so codificados e decodificados. Muitas solues de codificao em desktop exigem codificao ou decodificao dos dados a cada vez que determinado arquivo acessado. Quase todos os usurios, muitas vezes por pressa, no lembram de executar esse passo, deixando os dados desprotegidos, apesar do software estar em seu laptop. Alguns produtos fazem isso automaticamente, protegendo sem esforo os dados armazenados nos laptops dos atarefados usurios finais. Arquivos recm-criados so automaticamente protegidos, no importando onde os arquivos so criados e guardados (localmente, em servidores de arquivos, disquetes ou at mesmo transmitidos por rede). A proteo de estaes de trabalho inativas controla PCs desacompanhados que so deixados ligados ou conectados rede, exibindo o protetor de tela do Windows aps determinado perodo de tempo, requerendo do usurio um novo logon para ganhar acesso ao sistema.

S y m a n t e c d o B r a s i l - Av. Dr. Chucri Zaidan, 920 - 12 andar - Market Place Tower So Paulo SP - CEP: 04583-904 - Tel.: (11) 5189 6200 Fax: (11) 5189 6210 informe@symantec.com

Quinto Passo: Acesso Remoto Seguro Web


As empresas esto rapidamente implementando aplicativos baseados na Web como um meio conveniente de publicar informaes e acessar servios corporativos, tornando-os disponveis em uma posio central. Os seus aplicativos Web fornecem acesso a informaes empresariais valiosas e so visitados com freqncia. Infelizmente, servidores Web so recursos crticos que se tornam bons alvos para hackers internos. Como possvel estender o acesso aos seus clientes, fornecedores e parceiros sem comprometer a segurana? Com uma audincia to diversificada acessando informaes baseadas na Web, como possvel controlar e gerenciar quem visita e que informaes tem permisso para acessar? Conseguir controle de acesso seguro e centralizado a informaes baseadas na Web particularmente desafiador, dadas as limitaes da atual tecnologia Web. Embora a combinao de um navegador e um servidor Web constitui um veculo de comunicao poderoso, grande parte da atual tecnologia desenvolvida para a Web, como por exemplo cookies, no foram projetados para segurana e escalabilidade. Servidores mltiplos requerem autenticao e administrao individuais, e mltiplos servios mantm seus prprios meios de rastreamento e precisam ser gerenciados separadamente. J est disponvel uma nova tecnologia de segurana de Web para fornecer administrao baseada na Web logo que a embalagem aberta. As caractersticas que devem ser procuradas na avaliao de tecnologia de segurana na Web incluem:

Escalabilidade

O sistema de controle de acesso a implementar deve ser independente da arquitetura do aplicativo Web e possuir uma interface de administrao centralizada fcil de usar. Isto permite aos projetistas da Web reutilizar os aplicativos Web para fazer frente a exigncias de expanso sem ter que refazer a engenharia do sistema de controle de acesso. E tambm elimina a necessidade de ter que se fazer um novo treinamento dos administradores do site.

Sign-on nico para controle de acesso seguro


Para ser um controle de acesso seguro, a arquitetura de uma ferramenta deve incluir um servidor central para solicitar credenciais aos usurios e ratificar mtodos de autenticao existentes ou diretrios de usurios por eles utilizados. Dever fornecer um mecanismo para administrar tickets (bilhetes de entrada) para transportar a informao de autorizao do usurio e no requerer autenticao posterior. O usurio precisa de um navegador padro Web e, uma vez que as comunicaes ocorrem na Internet, o administrador de segurana precisa ter a flexibilidade de codificar toda troca de informao durante a autenticao. Aps a autenticao e do bilhete de entrada inicial, o usurio pode se movimentar dentro do site da Web e acessar o contedo permitido pelo administrador de contedo, sem necessidade de autenticao adicional para aquela sesso. Todavia, se os tickets forem usados para armazenar informao de acesso do usurio no navegador da Web, o sistema de controle de acesso precisa lidar com dois problemas de segurana. Primeiro, ele precisa impedir que algum hacker, que pode ter conseguido um ticket farejando a rede, modifique este ticket para conseguir acesso. Segundo, ele precisa garantir que o administrador possa especificar um dado perodo de tempo para a validade deste ticket. A exposio da proteo da autenticao do nome/senha do usurio pode ser evitada com o uso de ferramentas que requerem apenas um
S y m a n t e c d o B r a s i l - Av. Dr. Chucri Zaidan, 920 - 12 andar - Market Place Tower So Paulo SP - CEP: 04583-904 - Tel.: (11) 5189 6200 Fax: (11) 5189 6210 informe@symantec.com

sign-on para acessar aplicativos Web. O risco do usurio armazenar mltiplas senhas difceis de lembrar em posies no seguras fica assim eliminado (por exemplo em blocos de notas prximos aos seus computadores ou em suas agendas), onde podem ser facilmente localizados e furtados. Ademais, utilizar ferramentas que requerem validao da senha apenas no incio e uma nica vez, reduz o risco de hackers farejarem nomes e senhas de usurios quando estes so transmitidos pela rede.

Gerenciamento de Segurana Centralizado


Solues que fazem controle centralizado podem suavizar estas frustraes para os gerentes e usurios finais. Os administradores de segurana precisam de aplicativos de controle de acesso que ofeream uma interface grfica de usurio (GUI) para selecionar mtodos de autenticao, configurar e gerenciar o acesso de usurios em um ou mais servidores Web. Ademais, como a maioria das corporaes tambm tem Webmasters e administradores de contedo separados para cada servidor mais importante, o aplicativo de controle de acesso deve fornecer no somente uma interface de administrao de segurana centralizada, mas tambm permitir aos administradores de contedo separados aplicar os diretrios especficos de proteo de acesso e contedo que eles gerenciam. Isto particularmente importante, uma vez que o contedo da Web , em geral, extremamente dinmico e os privilgios consignados aos usurios no so estticos.

Interoperabilidade

Ao selecionar ferramentas de proteo de acesso Web, devem ser consideradas aquelas que oferecem suporte multi-plataforma. Uma ferramenta deve oferecer controle de acesso centralizado para servidores Web NT e UNIX, protegendo desta forma contedo baseado em UNIX com credenciais de domnio NT. medida que o seu site na Web se tornar ainda mais bem sucedido, sero adicionados novos servios e o trfego ir aumentar. Voc precisa de uma soluo que se adapte s suas crescentes necessidades. Abordagens tradicionais falham em um ambiente de plataforma cruzada. Dependem de servidores Web, Secure Socket Layer (SSL), codificao e programao de aplicativos que muitas vezes degradam e restringem a utilizao de aplicativos Web e podem abrir em vez de fechar a porta para acesso no autorizado. Escolha uma tecnologia de segurana da Web que se instale e se integre totalmente com as plataformas e infraestruturas de segurana existentes, utilizando padres de segurana e protocolos Web para comunicao entre componentes.

Suporte de Sistema de Mltipla Autenticao

Usurios devem ter flexibilidade para exigir senhas tradicionais reutilizveis para autenticao ou requerer autenticao forte de token antes de acessar os servios da Web.

S y m a n t e c d o B r a s i l - Av. Dr. Chucri Zaidan, 920 - 12 andar - Market Place Tower So Paulo SP - CEP: 04583-904 - Tel.: (11) 5189 6200 Fax: (11) 5189 6210 informe@symantec.com

Solues de Segurana Symantec


As organizaes esto modificando suas maneiras de fazer negcios. Com o advento da Internet, elas esto mudando das tradicionais paredes fsicas de uma corporao, para uma corporao virtual. E conforme as organizaes modificam seus modelos para alavancar os benefcios de e-business e e-commerce, a segurana da rede se torna um facilitador de negcios. As solues de e-security da SYMANTEC so a resposta para ajudar os clientes a fazerem frente s novas necessidades de adaptao a novos modelos de negcios. E-security a capacidade de gerenciar riscos de bens de informao e facilitar processos de negociao com segurana, ajudando os clientes a maximizarem vantagens de negcio. Como parceiro de segurana confivel a SYMANTEC fornece e-security para avaliar, proteger, habilitar e gerenciar processos de negcio e bens de informao atravs da nossa abordagem exclusiva Lifecycle Security. Para ajudar a identificar necessidades de segurana e implementar solues de segurana prticas, a SYMANTEC desenvolveu o modelo Lifecycle Security Model. Este modelo elimina hipteses, oferecendo uma abordagem estruturada para projetar, implementar e gerenciar a segurana em todo o seu empreendimento. Como chave do Lifecycle Security Model, a SYMANTEC oferece solues Lifecycle Security para: - A V A L I A R vulnerabilidades e assegurar o cumprimento da poltica - P R O T E G E R sistemas de informaes crticas - H A B I L I T A R o uso seguro da Internet. - G E R E N C I A R e administrar usurios e recursos.

Avaliar

O primeiro passo para reduzir ativamente riscos corporativos medir eficazmente o cumprimento de uma poltica de segurana da empresa e avaliar vulnerabilidades inerentes a informaes crticas. importante entender a eficcia de uma poltica de segurana, agora e medida que muda com as necessidades da empresa, de maneira a poder definir, gerenciar e impor polticas de negcio e avaliar possveis ameaas.

Enterprise Security Manager


O ESM uma soluo de gerenciamento de segurana em nvel empresarial que define, gerencia e impe sua poltica de segurana da informao. O Enterprise Security Manager verifica ativamente vulnerabilidades de segurana em todo o empreendimento, avalia riscos de segurana, e controla de forma centralizada os parmetros de segurana de mais de 55 plataformas.

NetRecon

O NetRecon uma ferramenta de terceira gerao para anlise de risco e vulnerabilidade de rede que descobre relatrios e explora buracos na segurana da rede. Diferentemente de scanners de segunda gerao mais velhos, o NetRecon aplica uma tecnologia exclusiva, de patente pendente, que opera com uma abordagem de colaborao de um tiger team.

S y m a n t e c d o B r a s i l - Av. Dr. Chucri Zaidan, 920 - 12 andar - Market Place Tower So Paulo SP - CEP: 04583-904 - Tel.: (11) 5189 6200 Fax: (11) 5189 6210 informe@symantec.com

Proteger

As organizaes precisam proteger as informaes contra usurios indesejados e hackers e controlar o acesso s informaes para manter a integridade do negcio. Equilibrar essas necessidades requer um conjunto de solues que protejam os dados de dentro do permetro, verifiquem e detectem ataques ao permetro e controlem o acesso informao, para assegurar aos clientes que os dados proprietrios esto seguros.

Intruder Alert
O Intruder Alert detecta e reage a quebras na segurana e atividades suspeitas de fora do permetro, assim como de dentro. O Intruder Alert monitora sistemas e redes em tempo real para detectar quebras na segurana e atividades suspeitas e reage automaticamente, de acordo com a poltica de segurana estabelecida. Funciona por todo o empreendimento, incluindo LANS, WANs, intranets e a Internet.

NetProwler

O NetProwler oferece deteco dinmica de invaso rede que examina de forma transparente o trfego da rede para instantaneamente identificar, se conectar e finalizar o uso no autorizado, mal uso ou abuso de sistemas de computadores por sabotadores internos ou hackers externos. O seu processador virtual SDSI, de patente pendente, possibilita o desenvolvimento imediato de assinaturas de ataque personalizadas para terminar at mesmo as mais sofisticadas violaes de segurana.

Symantec Enterprise Firewall

O Symantec Entreprise Firewall combina o mais alto nvel de segurana de permetro disponvel com o desempenho, interoperabilidade, escalabilidade e facilidade de uso para ir de encontro aos objetivos do seu negcio. Este premiado firewall oferece segurana empresarial centralizada e em tempo real por toda Internet, intranets, computao mvel e sites remotos, para dar aos usurios autorizados acesso total e seguro rede. Symantec Entreprise Firewall inclui o primeiro e nico servidor VPN certificado IPSec para Windows NT.

Habilitar
A Internet um recurso fundamental que faculta s organizaes uma comunicao mais eficiente, uma reduo nos custos com telecomunicaes e prov informaes em tempo oportuno. crtico entregar informaes a funcionrios, parceiros e clientes pela Internet sem comprometer a segurana desta informao. A Internet pode ajudar a viabilizar novas oportunidades de negcio e reduzir custos operacionais.

Defender

O Defender ajuda a reduzir o risco de invases indesejadas atravs da Internet com seu sistema de autenticao de dois fatores, que cria senhas de uso nico que autenticam exclusivamente usurios e concedem acesso por dial-up, ISDN, Internet e conexes Rede Local.

PassGo InSync

O InSync fornece sincronizao de senha empresarial de maneira rpida e segura. O PassGo InSync pode ser facilmente implementado, produzindo como benefcio imediato o aumento da
S y m a n t e c d o B r a s i l - Av. Dr. Chucri Zaidan, 920 - 12 andar - Market Place Tower So Paulo SP - CEP: 04583-904 - Tel.: (11) 5189 6200 Fax: (11) 5189 6210 informe@symantec.com

produtividade por meio da sincronizao de senha de um nico uso que pode se estender mltiplos sistemas, servidores, redes e aplicativos.

PassGo SSO
O PassGo SSO d ao usurio um nico ponto de acesso s informaes crticas da empresa. PassGo SSO uma soluo de administrao flexvel, totalmente personalizvel, que confirma as credenciais do usurio com o Authentication Service (Servio de Autenticao), que usado por todas as plataformas para controlar acesso rede e aos aplicativos.

WebDefender

O WebDefender fornece controle de acesso sign-on nico e seguro atravs de um nmero crescente de aplicativos Web e servidores Web da empresa. O WebDefender centraliza o gerenciamento da autenticao e autorizao do usurio final, para reduzir o custo de implementao dos seus aplicativos Web.

Solues VPN

As Solues VPN da Symantec conectam com segurana usurios remotos, escritrios de filiais e terceiros aos aplicativos e dados da sua rede corporativa. Ao contrrio dos produtos VPN tradicionais, que oferecem somente sesses codificadas, as solues VPN da SYMANTEC permitem ao gerente da rede controlar, colocar na tela e definir minuciosamente quando e qual informao uma pessoa tem permisso para acessar.

S y m a n t e c d o B r a s i l - Av. Dr. Chucri Zaidan, 920 - 12 andar - Market Place Tower So Paulo SP - CEP: 04583-904 - Tel.: (11) 5189 6200 Fax: (11) 5189 6210 informe@symantec.com

Você também pode gostar