Universidade Ferederal de Pernambuco UFPE

Centro de Informtica CIn

Metodologia e Expresso Tcnico-Cientfica F676
Segurana em Redes de Computadores
Prof: Flvia Barros
Aluno: Rilter Tavares do Nascimento
- Recife, fevereiro de 2007 -
Resumo
Esta monografia o resultado de um estudo sobre Segurana em Redes
de Computadores. Veremos inicialmente as caractersticas mais comuns das
redes de computadores. Tambm sero abordados os meios nos quais so
feitos os ataques. Por fim, ser discutido sobre poltica de segurana para
aumento da mesma e proteo das possveis ameaas.
Sumrio
RESUMO......................................................................................................................................................2
SUMRIO....................................................................................................................................................3
1.INTRODUO.........................................................................................................................................1
2.SEGURANA DA INFORMAO.......................................................................................................2
3.POLTICA DE SEGURANA................................................................................................................6
4.CONCLUSO...........................................................................................................................................9
REFERNCIAS BIBLIOGRFICAS.....................................................................................................10
1 Introdu!o
Toda grande empresa possui uma rede de computadores local, por
onde so visualizadas/administradas as informaes de interesse interno. Tal
rede possui acesso a nternet, uma via de acesso para invasores. Catstrofes
naturais tambm podem acabar com os recursos computacionais,
consequentemente acabar com os dados.
Atrs de privacidade e segurana, empresas adotam meios para se
defenderem das principais ameaas sabendo que o vazamento ou a perca de
dados confidenciais podem acabar com as mesmas [3].
Pensando nesses problemas, o presente trabalho procura expor o
conceito de redes de computadores [11] e suas principais ameaas [7] [8] [13].
No captulo 2, abordarei a segurana da informao atravs do conceito
de redes de computadores e suas principais ameaas. No captulo 3, ser
discutido um pouco sobre implantao de uma poltica de segurana, falando
sobre suas caractersticas, princpios e poltica de uso. Por ltimo, no captulo
5, esto apresentadas as concluses retiradas do que foi exibido nos captulos
anteriores.
Pg. 1
" Segurana da Informa!o
Toda empresa deseja que os seus dados permaneam sempre seguros,
pois trazem informaes preciosas sobre negcios. Estratgias de crescimento,
bancos de dados, informaes pessoais de empregados, cdigos e senhas da
companhia precisam estar sob uma proteo constante. E geralmente so
armazenados em formato digital.
A rede de computadores local que tem acesso a esses dados,
normalmente, tambm tem acesso nternet, ou seja, contato com o meio
externo. Esse contato pode ser um meio de algum de fora tentar invadir a
privacidade da empresa.
Neste captulo, abordarei dois assuntos importantes ao se tratar de
segurana da informao. Um deles uma pequena apresentao do conceito
de redes de computadores. O outro assunto tratado ser a abordagem das
conhecidas tcnicas de ameaa a informao.
2.1. Redes de Computadores
Dois ou mais computadores conectados entre si para compartilhar
recursos, informaes e dispositivos, significa existir uma rede de
computadores. Estas podem ser classificadas de vrias formas de acordo com
a extenso geogrfica, o meio de transmisso, a arquitetura e a topologia [11].
O crescimento das redes vem da necessidade do homem em acessar
informao de uma maneira mais simples, tendo como um timo exemplo a
nternet. Ela definida pelo Professor Evandro Cant [11] como a rede mundial
que interliga milhes de computadores. A maioria destes ltimos so
computadores pessoais, estaes de trabalho ou servidores, todos chamados
de hospedeiros (hosts) ou sistemas terminais.
Pg. 2
2.2. Ameaas
Desde os primeiros computadores ligados entre si, j existia uma
preocupao com segurana. As redes foram evoluindo e informaes
passaram a ser transmitidas cada vez mais rpido. Ento, meios para evitar
perdas ou interceptaes vm sendo bastante analisados.
Segundo Danillo Wanderley [3], empresas tm feito da nternet uma
vitrine (algumas s existem no mundo virtual) justamente para realizao de
negcios e manuteno das mesmas no mercado. Essas informaes lhe so
cruciais, portanto preciso investir em segurana.
O dicionrio Michaelis [16] define segurana como sendo estado,
qualidade ou condio de ser livre de perigo ou no exposto a ele. No uma
tecnologia a ser comprada, mas um processo dinmico rduo que exige um
esforo contnuo para alcanar um patamar aceitvel por ser impossvel de
chegar perfeio.
Para manter os dados confiveis, ntegros e disponveis quando
necessrios, preciso se precaver de ameaas como:
- Hackers: pessoas que fazem ataques a sistemas operacionais.
Gostam de mostrar seu domnio sobre computao invadindo
sistemas, podendo, tambm, roubar informaes e causar danos s
vtimas.
- Cdigo Malicioso: programas destinados destruio de dados sem
o conhecimento do usurio.
Um tipo conhecido o vrus que capaz de infectar programas e
arquivos em um computador. Os problemas variam de travamentos a
perda total dos arquivos.
Outro o worm que capaz de se espalhar automaticamente pela
rede enviando suas cpias para os outros computadores.
Pg. 3
E por fim existe o cavalo de tria que capaz de danificar ou apagar
arquivos, roubar senhas, incluso de backdoors e muitas outras
aes maliciosas.
- Backdoors: permite uma invaso facilitada e oculta ao usurio ao
computador comprometido.
- Negao de Servios (DoS): tirar de operao um servio ou
computador conectado nternet.
- Engenharia Social: recursos para obter informaes, atravs do uso
da persuaso, que podem ser utilizadas para ter acesso no
autorizado a computadores ou informaes. De acordo com [7],
existem as diferentes maneiras de se praticar engenharia social.
Uma delas atravs de telefone onde hackers ligam para as vtimas
imitando algum com uma posio de autoridade e gradativamente
vai conseguindo informaes.
Outra o trashing que consiste em vasculhar o lixo de empresas no
qual uma tima fonte de informaes tais quais agendas
telefnicas, lembretes, polticas das empresas, calendrios de
encontros, logins e senhas, entre outros.
Tambm existe a maneira on-line onde pessoas costumam repetir a
mesma senha para todas as suas contas criadas na nternet, ento,
se um hacker descobrir uma senha, ter acesso a mltiplas contas.
Pop-up's, emails falsos e anexos executveis desconhecidos em
emails so algumas maneiras de se conseguir as senhas na rede.
E por fim temos a engenharia social reversa onde hackers se
passam por pessoas de autoridade para serem questionados por
empregados da empresa. Este tipo de engenharia social necessita
de uma grande preparao e tem como etapas fazer sabotagem,
propaganda e dar assistncia sem ser reconhecido. A informao
desejada obtida na ltima etapa.
Pg. 4
Como podemos verificar atravs das ameaas, ao estar com sua rede
de computadores conectada com o mundo exterior, fica-se exposto invaso
de privacidade. No seria agradvel, ter seus dados roubados por algum
estranho. Pensando nisso, preciso sempre implantar uma poltica de
segurana, conceito que ser definido no prximo captulo.
Pg. 5
# Pol$tica de Segurana
Uma poltica de segurana criada com a inteno de estabelecer
regras que devem ser seguidas por todos que tiverem acesso aos recursos
tecnolgicos de tal empresa bem como estipular os requisitos mnimos para
aquisio de hardware e software. Ela est ligada diretamente segurana da
informao.
O famoso provrbio "prevenir melhor do que remediar deve ser
seguido pela poltica de segurana criada, ou seja, todos os envolvidos
precisam estar em alerta quanto s falhas na segurana corrigindo-as o mais
rpido possvel e no aguardar que acontea algum desastre para poder agir.
Na sua implantao, normal que haja problemas com os atrasos nas
atividades porque mudana sempre causa transtorno. Todos, de usurios a
gerncia organizacional, devem estar de acordo aps a compreenso dos
pontos abordados na poltica de segurana. Para isso, buscar simplicidade,
tentar ser o mais abrangente possvel e atender a necessidade dos envolvidos
importante.
3.1. Caracterstica
Alguns aspectos precisam ser seguidos para a elaborao de uma boa
poltica de segurana. So eles:
- Atender a necessidade da companhia e ser aprovada por todos;
- Ser de simples entendimento e utilizao, evitando definies
tcnicas;
- Possuir a responsabilidade de cada cargo envolvido;
Pg. 6
- Possuir planos a serem seguidos caso as regras no sejam
cumpridas;
- Ter sido avaliada quanto aos custos;
- dentificar os servios estritamente necessrios, o que no for
expresso como permitido ser proibido.
Seria importante fornecer treinamentos para conscientizar todos os
funcionrios da importncia do uso da poltica de segurana, pois se as
pessoas no seguirem as regras todo o investimento ser perdido. Por
exemplo, o que adiantaria colocar uma poltica de senha para uso obrigatrio
de nmeros, letras e caracteres especiais se o usurio anota sua senha num
lembrete colado no monitor.
Alm de se preocupar com aspectos pessoais, a segurana fsica
tambm um fator a ser levado em conta. preciso proibir o acesso de
pessoas estranhas aos equipamentos e proteg-los de catstrofes naturais.
3.2. Princpios
Os seguintes princpios so os alicerces de uma forte poltica de
segurana:
- Disponibilidade: dados disponveis sempre que algum usurio
requisitar. A falta de proteo resulta em vrios ataques, assim,
resultando em perda ou reduo de dados;
- ntegridade: evita que informaes sejam alteradas indevidamente.
As imagens resgatadas so idnticas s armazenadas;
- Confidencialidade: garante que as informaes sejam entregues aos
usurios certos. Protegendo a privacidade de ambos;
Pg. 7
- Confiana: garante o backup de informaes e que elas estaro
disponveis sempre que for preciso.
Tambm se devem ter registrado os componentes que iro definir
direitos e privilgios de cada usurio e as caractersticas mnimas dos produtos
a serem comprados/adquiridos.
3.3. Poltica de Uso
A poltica de uso um documento que define claramente as reas de
responsabilidades de todos envolvidos na poltica de segurana, assim como
as penas para o caso do no cumprimento das regras.
Define-se tambm um regulamento de uso dos recursos computacionais
da empresa junto com seus responsveis. Por recursos computacionais,
entendem-se equipamentos, instalaes e banco de dados mantidos pela
empresa.
Com a implantao de uma poltica de segurana seguindo passo a
passo o que deve ser feito, as informaes permanecero muito pouco
vulnerveis. Como j foi citado antes, segurana um processo pr-ativo, ou
seja, seus participantes precisam estar atentos a falhas e consert-las
prontamente.
Pg. 8
% Conclus!o
Esta monografia foi o resultado de um estudo sobre Segurana em
Redes de Computadores. Vimos inicialmente as caractersticas mais comuns
das redes de computadores. Tambm foram abordados os meios nos quais
so feitos os ataques os quais somos vulnerveis apenas por estar em contato
com o mundo exterior. Por fim, foi discutido um pouco sobre poltica de
segurana para aumento da mesma e proteo das possveis ameaas, mas
para isso precisa-se da cooperao de todos os usurios envolvidos no
processo.
Sabe-se que essa rea de segurana ainda tem muito que crescer, pois
toda empresa necessita at mesmo de uma mnima segurana. E por mais que
tenhamos cuidado, sempre existe uma brecha para invases. Nada 100%
seguro quanto a proteo da informao digital. Por conta disso, dia aps dia, o
investimento tem sido cada vez maior.
Pg. 9
Refer&ncias 'ibliogrficas
[1] CENTRO DE ESTUDOS, RESPOSTA E TRATAMENTO DE NCDENTES
DE SEGURANA NO BRASL. Prticas de Segurana para
(dministradores de Redes Internet. 2003. Disponvel em:
<http://www.cert.br/docs/seg-adm-redes/seg-adm-redes.html>. Acesso
em: 03 nov. 2006.
[2] CENTRO DE ESTUDOS, RESPOSTA E TRATAMENTO DE NCDENTES
DE SEGURANA NO BRASL. Cartil)a de Segurana para Internet,
verso 3.1. So Paulo: Comit Gestor da nternet no Brasil, 2006.
Disponvel em: <http://cartilha.cert.br/livro/>. Acesso em: 03 nov. 2006.
[3] WANDERLEY, D. L. Pol$ticas de Segurana. 2005. 48 p. Dissertao
(Especializao em Administrao em Redes Linux) Universidade
Federal de Lavras, Minas Gerais.
[4] VERWOERD, T. (ctive *et+or, Securit-. 1999. 53 p. Disponvel em:
<http://www.cosc.canterbury.ac.nz/research/reports/HonsReps/1999/hons
_9909.pdf>. Acesso em: 03 nov. 2006.
[5] COMPUTER SECURTY RESOURSE CENTER. Computer Securit-
.uidance/ Publications/ 0ibrar-. Disponvel em:
<http://csrc.nist.gov/publications/>. Acesso em: 03 nov. 2006.
[6] W3C. 1)e 2orld 2ide 2eb Securit- F(3. 2002. Disponvel em:
<http://www.w3.org/Security/Faq/www-security-faq.html>. Acesso em: 03
nov. 2006.
[7] SECURTY FOCUS. Social Engineering Fundamentals/ Part I4 5ac,er
1actics. 2001. Disponvel em:
<http://www.securityfocus.com/infocus/1527/>. Acesso em: 03 nov. 2006.
[8] SECURTY FOCUS. Social Engineering Fundamentals/ Part II4 Combat
Strategies. 2002. Disponvel em:
<http://www.securityfocus.com/infocus/1533/>. Acesso em: 03 nov. 2006.
[9] ANTSPAM.BR. Apresenta informaes sobre spam. Disponvel em:
<http://www.antispam.br/>. Acesso em: 03 nov. 2006.
[10] HOULE, K. J.; WEAVER, G. M. 1rends in 6enial of Service (ttac,
1ec)nolog-. 2001. 20 p. Disponvel em:
Pg. 10
<http://www.cert.org/archive/pdf/DoS_trends.pdf>. Acesso em: 03 nov.
2006.
[11] CANT, Evandro. Redes de Computadores e Internet. Santa Catarina:
CEFET-SC So Jos, 2003. 79 p. Apostila.
[12] TANEMBAUM, Andrews. Redes de Computadores. 4a. Edio. Editora
Campus, Ltda. 1997. SBN 8535211853.
[13] MCCLURE, S., SCAMBRAY, J, KURTZ, G. 5ac,ers E7postos4 Segredos
e Solu8es para a Segurana de Redes. 4 edio, Editora Makron
Books, 2003, SBN 8535211497.
[14] KARGL F; MAER J; WEBER M. Protecting +eb servers from
distributed denial of service attac,s. Proceedings of the 10th
international conference on World Wide Web, 2001. 514-524. SBN: 1-
58113-348-0.
[15] SPECHT S. M; LEE R. B. 6istributed 6enial of Service4 1a7onomies of
(ttac,s/ 1ools and Countermeasures. 17th nternational Conference on
Parallel and Distributed Computing Systems PDCS-2004, Setembro 2004.
[16] DCONRO Michaelis. Disponvel em: <www.uol.com.br/michaelis>.
Acesso em: 03 nov. 2006.
Pg. 11