UNIVERSIDADE DE FRANCA

Curso de Cincia da Computao

Marcelo P. Scavazza

A SEGURANA DE REDES BASEADA EM PERMETROS, POSSVEL OBTER SEGURANA SEM FIREWALL?

Referncia: MIRANDA, Andr Fucs de: A Segurana de redes baseada em permetros, possvel obter segurana sem firewall?. Disponvel em <http://one-expat-is-

missing.fucs.org/artigos/ysp_0001.pdf>. Acesso em 03 de maio 2012.

POSSIVEL OBTER SEGURANA DE REDE SEM FIREWALL Introduo Apesar do uso especfico e da ausncia de teleprocessamento, o rigor imposto pelo modelo centralizado iria marcar as duas geraes seguintes de computadores. O modelo distribudo s viria a tomar o mercado anos aps o lanamento dos primeiros computadores pessoais. A facilidade oferecida pelos microcomputadores fora

fundamental para o crescimento do modelo distribudo. Tendo mercado forte. em sido drasticamente o modelo orientado distribudo e Com pelo nunca mercado teve na corporativo segurana seriam da e o no seu pelo ponto

militar,

Confidencialidade, redes locais at os

integridade anos foi 90.

disponibilidade a e exploso o

pouco

aplicadas o a

Internet pode

comercial, conhecer

modelo

cliente-servidor

consolidado

mercado

capacidade de interligao do at ento desconhecido TCP/IP.

O mercado passou a ser dividido em 3 tipos de firewalls, so eles: Packet-filter - o tipo mais simples de firewall, capaz de julgar apenas pacotes de rede com base em regras pr-estabelecidas pelo administrador sem preocupao com a

aplicao ou detalhes dos pacotes que passam por ele tais como, sesso, contedo, etc. Circuit-level - ao contrrio do tipo anterior, um firewall capaz de analisar e julgar de forma automtica o estabelecimento de sesses de trfego feitos por algumas aplicaes e protocolos. Application-level - tambm denominados Proxy firewalls, estes dispositivos controlam a conexo entre duas redes dentro da camada de aplicao e por consequncia disso, capaz de controles mais rgidos. A popularizao dos circuit level firewalls reforou no mercado corporativo, o uso de permetros de segurana. O modelo de segmentao tradicional O modelo mais popular de segregao de redes divide-as em dois nveis de segurana atravs do uso de algum tipo de firewall. Externo ou vermelho - aquilo que no confivel;

DMZ ou laranja - aquilo que confivel, mas est exposto a um maior risco;

Interno ou verde - aquilo que confivel. O ambiente externo representa aquele onde a ausncia de controle sobre o ambiente

leva a um menor nvel de confiabilidade. Nesse modelo tradicionalmente utilizado, o ponto de ligao entre os trs nveis de segurana alguma espcie de firewall. Apesar de ser amplamente utilizado em conexes com a Internet de ambientes corporativos, este modelo demonstrou-se dispendioso quando utilizado na proteo de grandes redes corporativas. Uma rede normal de Internet no possui mais do que dois roteadores, enquanto que uma rede corporativa apresenta um emaranhado de roteadores, switches e protocolos de roteamento, exigindo paralelamente dos sistemas um maior patamar de capilaridade e desempenho.

O modelo tradicional, baseado na segregao da rede corporativa em trs nveis de acesso, pouco prtico e extremamente caro. Um modelo de segurana diferente Ao elaborar este documento, a equipe da CFSEC tomou como base, experincias anteriores com segurana da informao e operao de ambientes seguros e procurou elaborar um modelo de segurana com capacidade de atender as necessidades de disponibilidade, confidencialidade e integridade, tidos em todo o meio como as trs bases da segurana. Visando atender no somente as necessidades econmicas de uma empresa, mas s suas necessidades de segurana, o modelo encontrado baseou-se na modificao do modelo de thincomputing, Nesse modelo computacional, o processamento deslocado do computador pessoal, para um servidor de terminais, capaz de oferecer de forma quase transparente uma experincia operacional idntica a de um computador pessoal. Apesar de pouco popular, este modelo computacional apresenta naturalmente

diversas caractersticas diretamente ligadas a segurana e a forma com que a CFSEC Security Architects, v a segurana corporativa. Ao centralizar a execuo de aplicaes e o armazenamento de dados em servidores, torna-se economicamente vivel oferecer de forma transparente recursos que garantam a segurana da informao a todos os usurios de informtica de uma empresa. O modelo desenvolvido pela CFSEC vai alm dessa arquitetura tradicional de ambientes centralizados ao agregar a segmentao de rede o conceito de permetros concntricos de

segurana implementados na camada de aplicao atravs de sistemas de uso geral. Ou seja, utilizar servidores web, servidores de terminal e servidores de bancos de dados como dispositivos de controle. O conceito muito prximo ao atualmente utilizado por servidores de Proxy, onde a conexo entre redes feita a partir da camada de sesso1 ou ao invs da camada de rede. Do ponto de vista da segurana, o acesso s informaes pode ser oriundo de navegadores Internet ou demais formas de interface sendo estes princpios amplamente utilizados em sistemas de Internet banking. CSA - Camada de Servidores de Aplicao Conjunto de servidores de aplicao tais como, correio eletrnico, Intranet, bancos de dados, etc. Procedimentos de configurao segura, criptografia de dados, Network based IDS e outras tecnologias, assegurariam que um atacante que

conseguir acesso s camadas externas, no seria capaz de obter acesso a esta e s camadas internas da rede. Um exemplo disso seria oferecer a um usurio acesso a um servidor de Intranet com acesso a uma base de dados, mas no oferecer acesso ao banco de dados em si. Segmentando uma rede local Um fator interessante da arquitetura proposta nesse documento a grande flexibilidade que ela apresenta. Visto que dentro de uma corporao, diferentes departamentos possuem

necessidades individuais de acesso s informaes da empresa, diferentes mecanismos de acesso podero ser configurados. Um novo paradigma para a segurana da informao Visto em seu conjunto, o modelo supera o tradicional ao agregar segurana de redes, a capacidade de gerenciamento centralizado e alta-disponibilidade tpicas dos ambientes de computao centralizada. Na arquitetura proposta neste documento, a segurana d um passo diante, ao oferecer ao usurio, capacidades de redundncia, como multiprocessamento, fontes redundantes e arrays de discos, antes disponveis apenas para servidores de rede. Mais diferencia dos do demais que modelos isso, de o segmentao modelo ao tratar apresentado a segurana se como

um todo ao invs de restringir-se ao controle de acessos.