SEGURANÇA DE REDES DE

COMPUTADORES
AULA 6

Prof. Luis José Rohling

CONVERSA INICIAL

Como as ameaças de segurança têm evoluído, tanto pela capacidade de

processamento, que tornam os ataques dos hackers mais intensos, quanto pela
evolução das técnicas, tornando os ataques mais eficientes, as medidas de
segurança também seguem a mesma tendência, buscando sempre garantir o
maior nível possível de segurança das redes, dos sistemas e dos dispositivos.
A complexidade dessa tarefa também tem aumentado, o que impacta na
necessidade de utilizarmos diversos mecanismos de segurança. Em um
passado não tão distante, muitos acreditavam que a adoção de um equipamento
de firewall já protegeria toda a rede e a instalação de um antivírus nas máquinas,
protegendo todos os dispositivos dos usuários. Porém, esta é a chamada falsa
sensação de segurança, pois ao acreditar que o ambiente já está todo seguro,
não são tomadas medidas adicionais, permitindo que o hacker explore
facilmente as demais vulnerabilidades existentes.
Atualmente, existem diversas medidas e soluções de segurança que
devem ser adotadas e que dependem da complexidade da rede e dos sistemas.
O modelo firewall mais antivírus ainda atende a um cenário bem específico — e
nada desprezível em termos de números —, que é a rede doméstica com alguns
computadores. Assim, o modem/roteador que a sua operadora instalou para a
conexão com o serviço de internet na sua casa, independentemente da
tecnologia, certamente inclui também a funcionalidade de firewall, e em seu
computador você certamente tem instalado um antivírus.

Figura 1 – A rede doméstica

2
 Para implementar a segurança na rede doméstica, além do firewall que
pode estar sendo executado no roteador, é necessário adotar as medidas de
segurança de senha forte para a rede Wi-Fi, bem como a troca da senha padrão
do roteador, conforme visto anteriormente.
Nas redes corporativas, temos um cenário mais complexo para a
implementação de segurança. Por isso, neste capítulo, veremos a evolução das
soluções de segurança para as redes, bem como suas principais características,
sua operação e os diversos equipamentos utilizados para implementar estas
funcionalidades. Assim veremos os IDS, IPS, firewalls, UTMs e Honeypots,
identificando as principais características dos dispositivos de segurança que são
utilizados nas redes atuais.

TEMA 1 – DETECÇÃO DE INTRUSÃO

Uma das primeiras medidas de segurança foi a detecção de intrusão,

chamada de IDS (Intrusion Detection System), que consistia em identificar se
algum acesso não autorizado estava sendo feito à rede interna ou aos sistemas.
Os mecanismos de IDS funcionam de maneira semelhante ao sistema de alarme
da segurança patrimonial, em que, caso haja uma invasão do perímetro
monitorado, deve ser disparado algum tipo de alarme. Para que isso ocorra, nos
sistemas de segurança patrimonial, são instalados os sensores nos pontos
críticos onde possa ocorrer a invasão do perímetro.
Assim, os IDS em uma rede também devem monitorar os pontos críticos,
sendo que o ponto de maior vulnerabilidade é a conexão com a rede externa.
Ainda em relação à segurança patrimonial, normalmente temos diversos
sensores instalados em diversos pontos dentro da área a ser protegida. No caso
da rede de dados, é muito comum a instalação do IDS apenas no monitoramento
do tráfego que vem da internet. Porém, assim como na segurança patrimonial,
um monitoramento eficiente deve cobrir todos os possíveis pontos de invasão do
perímetro, que no caso da rede de dados poderia ser qualquer computador que
poderia executar um malware que foi recebido em um cavalo de troia, por
exemplo. Desta forma, um sistema de IDS deveria também monitorar os pontos
de conexão de todos os usuários, tornando o sistema bastante complexo.

3
Figura 2 – O IDS

Ao fazer uma pesquisa de soluções comerciais de IDS, você encontra

diversos sistemas que operam integrados com o firewall, pois este equipamento
é que faz a conexão com a rede externa. Porém, é importante estar ciente de
que, neste modelo de implementação, o IDS detecta apenas as ameaças vindas
da rede externa. Fazendo a analogia com a segurança patrimonial, seria
equivalente a termos instalado apenas um sensor de alarme na porta de entrada
principal.
Para identificar as intrusões, o IDS faz a análise de todo o tráfego que
está passando por ele, buscando identificar se o comportamento deste tráfego
apresenta um padrão diferente do que seria o tráfego “normal”. Este é o grande
desafio dos sistemas de IDS: saber identificar o que é ou não um comportamento
normal de rede. Um dos parâmetros utilizados é quantidade de tráfego vindo e
um único endereço de destino, que poderia caracterizar uma tentativa de ataque,
seja de reconhecimento ou de acesso. Portanto, o IDS teria que contabilizar o
número de pacotes recebidos de um único endereço e cujo destino seja um
determinado servidor ou serviço.
Assim, para detectar um ataque de reconhecimento que esteja fazendo a
varredura de ping, o IDS deve contabilizar a quantidade de requisições vindas
de um mesmo endereço IP de origem, mas para destinos diferentes. Dessa
forma, não seria necessário bloquear o protocolo ICMP na entrada da rede, mas
bastaria o IDS fazer esta monitoração, gerando um alarme quando isso ocorrer.
Para o correto funcionamento do IDS, é necessário ajustar a chamada
sensibilidade do IDS, que neste caso seria a quantidade de endereços de destino

4
para os quais foram enviados os pings a partir de um mesmo endereço de
destino. Essa contagem também está associada à variável tempo, ou seja,
quantos pacotes foram recebidos em um determinado intervalo de tempo.
Normalmente, como esses ataques são feitos a partir de um software, o intervalo
entre cada pacote pode ser da ordem de milissegundos, o que caracteriza um
ataque, e não um administrador de rede testando a conectividade da rede, pois
o tempo de digitação de comandos é muito maior.

Figura 3 – O IDS e o ataque de reconhecimento

Já para prevenir um ataque de acesso, o IDS deve contabilizar a

quantidade de pacotes enviados para um mesmo endereço, a partir de uma
mesma origem. O problema é diferenciar esse tráfego do que seria a resposta
de um servidor externo a uma solicitação de um dispositivo interno. Portanto,
esse mecanismo seria eficiente apenas para os servidores internos, pois a
princípio eles não devem solicitar informações externas, mas atender a estas
solicitações. Assim, um tráfego excessivo vindo em direção ao servidor deve
gerar um alarme de tentativa de ataque de acesso, pois o tráfego normal é do
servidor em direção aos clientes, ou seja, no sentido contrário. Portanto, o IDS
também deve ser capaz de diferenciar os dispositivos internos, caso se tratem
de servidores ou de terminais de usuários, para então gerar o alarme de tentativa
de intrusão de acordo com a funcionalidade do dispositivo.

5
Figura 4 – O IDS e o ataque de acesso

Portanto, é necessário que o dispositivo que executa esta tarefa possua

uma alta capacidade de processamento, para que esta análise seja executada
sem afetar significativamente o desempenho da rede. Esse processo também
consome muito recurso de memória, pois o IDS tem que armazenar as
informações das sessões para realizar essa análise estatística dos pacotes
trafegados.
Uma das técnicas utilizadas para evitar que o IDS cause a degradação do
desempenho da rede consiste em copiar o tráfego para uma outra porta, em que
está instalado o IDS. Esse tipo de implementação também permite que o IDS
monitore toda a rede, bastando enviar a cópia dos quadros de todos os switches
para o IDS. Porém, nesse modelo, é importante que a rede LAN esteja
devidamente implementada e dimensionada para comportar esse tráfego
adicional. É necessário também que todos os switches da rede suportem este
tipo de configuração, conhecido por espelhamento de portas, conforme visto
anteriormente sobre as ferramentas de monitoração de tráfego.
A grande limitação do IDS é que ele apenas detecta a tentativa de
intrusão, não tomando nenhuma ação efetiva de bloqueio da tentativa de
invasão. Ou seja, ele apenas gera um alarme, sendo necessário que outro
sistema ou um administrador da rede tome as medidas cabíveis para o bloqueio.

6
 Outro aspecto do IDS é o nível de sensibilidade da geração de alarmes,
pois o comportamento de uma tentativa de invasão pode ser muito parecido com
um tráfego válido. Assim, o IDS pode gerar os chamados falsos positivos, que
são os alarmes gerados indicando que aquele tráfego é uma tentativa de ataque
ou invasão, mas na realidade é um tráfego válido. Como os alarmes devem ser
analisados por outro sistema ou pessoal especializado, esses falsos positivos
podem ser identificados nessa segunda análise, antes de serem tomadas as
medidas de bloqueio.

TEMA 2 – PREVENÇÃO DE INTRUSÃO

Além do IDS, que foi uma das primeiras implementações de segurança

em redes, temos o IPS (Intrusion Prevention System), que é uma evolução do
IDS, pois além de detectar uma intrusão, também age para bloquear esta
intrusão de forma automática. Ou seja, o IDS é um elemento passivo, que
apenas analisa ao tráfego e gera os alarmes. Já o IPS é um elemento ativo, que
além de detectar o acesso indevido, também bloqueia esse tráfego. Dessa
forma, a instalação do IPS deve ser feita na entrada da rede, fazendo com que
o tráfego passe todo através dele, permitindo esta ação de bloqueio. Porém,
nesse caso, temos o impacto na performance da rede, pois ele tem que analisar
o tráfego em tempo real e decidir se permite ou bloqueia o tráfego em questão.
Além de bloquear o tráfego, o IPS também gera os alarmes, como o IDS, para
alertar o administrador da rede de que uma tentativa de invasão foi detectada,
bem como para registrar as ocorrências desses ataques.

Figura 5 – O IPS

7
 Um dos efeitos indesejados no uso do IPS é que ele pode bloquear tráfego
válido, quando estiver configurado para um nível maior de segurança, no caso
dos falsos positivos. Já o IDS, no caso dos falsos positivos, apenas geraria um
alarme indevido, não prejudicando a comunicação. Essa é uma vulnerabilidade
dos sistemas de IPS, pois o hacker poderia simular uma tentativa de invasão
apenas para bloquear um tráfego legítimo, falsificando o endereço de origem.
Mesmo assim, atualmente, são utilizados os IPS como dispositivos de
segurança, e não apenas os IDS. Para detectar um ataque, os IDS utilizam dois
mecanismos distintos: padrões de assinatura e estatística de tráfego.
Além disso, como os mecanismos de ataque também têm evoluído, os
IPS necessitam ter seus padrões de assinatura constantemente atualizados.
Isso demanda a contratação de um serviço de suporte do fabricante que
atualizará esses dispositivos à medida que novos padrões de ataque sejam
descobertos. Nesse caso, essse processo assemelha-se as ferramentas de
antivírus, que necessitam manter seu banco de dados constantemente
atualizado à medida que novos vírus sejam descobertos.

TEMA 3 – OS FIREWALLS

Além dos sistemas de IDS e IPS, outro dispositivo amplamente utilizado

na implementação das medidas de segurança de rede são os firewalls, cuja
função básica é bloquear todo o tipo de tráfego que venha da rede externa
(WAN) em direção à rede interna (LAN) e que não tenha sido solicitado por um
dispositivo que esteja na rede interna. Portanto, o firewall deve estar posicionado
na entrada da rede, entre a rede WAN e a rede LAN, de modo que todo o tráfego
externo passe através dele.
Os firewalls também sofreram diversas mudanças ao longo do tempo, em
função da evolução tecnológica e aumento da complexidade das medidas de
segurança. Inicialmente, o firewalls — abreviados como FWs — eram
constituídos apenas de uma lista de permissões em relação ao tráfego. Assim,
eles inspecionavam cada pacote que vinha da rede externa e comparavam as
informações desses pacotes com uma lista previamente definida. Eram
chamados de FW do tipo Filtro de Pacotes. As regras eram estabelecidas em
relação aos endereços de IP de origem e de destino, bem como dos números de
porta, ou seja, operando nas camadas 3 e 4 do modelo OSI. Então, para criar

8
uma regra de permissão do tráfego de navegação web, era necessário permitir
todo o tráfego que tivesse como origem a porta 80, pois essa é a porta designada
para o protocolo HTTP, como vimos anteriormente.

Figura 6 – FW com permissão da porta 80

Este modelo de FW de pacotes, com a necessidade de criar regras para

cada tipo de aplicação, ou de tráfego, baseado em seu endereço de origem, é
muito trabalhoso e inseguro. Assim, a evolução do FW de pacotes foi o
desenvolvimento do FW do tipo Estado da Conexão. Nesse modelo, o FW faz a
inspeção do tráfego de saída da rede LAN para a WAN, permitindo apenas a
entrada do tráfego que seja o retorno das requisições realizadas pelos
dispositivos que estão na rede LAN. Ou seja, o FW registra todas as solicitações
realizadas para a rede WAN e acompanha as respostas recebidas, bloqueando
todo o tráfego que não pertencer a essas sessões. Esse modelo de FW é muito
mais seguro do que o FW de pacotes, e não requer praticamente nenhuma
configuração, pois o processo é dinâmico e realizado pelo próprio FW de maneira
automática.
Como o posicionamento do FW na rede, entre a rede LAN e WAN, é o
ponto ideal também para o IPS, muitas soluções de mercado incluem essas duas
funcionalidades em um só equipamento.
Apesar de fazer a verificação do retorno do tráfego, o FW convencional
não avalia o conteúdo dos pacotes, mas apenas se pertencem a uma sessão

9
estabelecida por um terminal da rede LAN. Por isso, também é chamado de FW
de camada 3 e 4.
A evolução dos equipamentos de firewall ocorreu também seguindo
modelo OSI, ou seja, os firewalls mais atuais conseguem avaliar o tráfego no
nível da aplicação, tornando-se um FW de camada 7. Esse filtro de aplicações
também é chamado de Appication Control, e pode operar em conjunto com o
IPS, que tem o banco de dados de aplicações que possam representar algum
tipo de tentativa de invasão ou de ataque à rede interna.

Figura 7 – O firewall de camada 7

7 APLICAÇÃO
6 APRESENTAÇÃO
5 SESSÃO
4 TRANSPORTE
3 REDE
2 ENLACE DE DADOS
1 FÍSICA

Além de bloquear o tráfego externo, os FWs atuais também implementam

o controle das requisições da rede LAN, ou seja, avaliam o tráfego de saída e
fazem o seu bloqueio caso a requisição esteja direcionada a um endereço, site
ou serviço de rede que esteja em desacordo com a política de segurança da
empresa. Essa funcionalidade dentro das redes também é conhecida como
Proxy, que é o elemento para o qual todo o tráfego é enviado, para então ser
encaminhado para a rede externa.
Para fazer o controle de acesso, é necessário que o firewall identifique
qual é o solicitante das requisições, podendo implementar uma política de
segurança baseado no perfil de cada usuário, ou baseado em grupos.
Outro desafio dos FWs atuais para inspeção na camada de aplicação é
que muitas das sessões são criptografadas. Assim, para fazer a inspeção, o FW

10
tem que descriptografar os dados, o que pode acarretar em atraso de
processamento do tráfego. Além disso, com a utilização de certificados digitais,
o usuário pode receber uma mensagem de que o certificado não foi reconhecido,
pois é um certificado do FW, e não de um servidor público na web.

Figura 8 – O firewall e a criptografia

TEMA 4 – A EVOLUÇÃO DO FIREWALL

Como o FW em geral está posicionado na entrada da rede, alguns destes

equipamentos também já fazem uma inspeção do tráfego em busca dos códigos
maliciosos já conhecidos, que são os vírus. Ou seja, além da proteção dos
equipamentos dos usuários com o antivírus, podemos ter já uma primeira linha
de defesa feita pelo FW. Neste caso, o FW deve manter atualizada a sua base
de dados dos vírus conhecidos, que também deve ser atualizado
periodicamente. Neste caso, é necessário que seja contratado um serviço de
antivírus junto ao fornecedor do FW para garantir essas atualizações.
Nesse cenário, em que temos diversas funções de segurança
implementadas no mesmo equipamento, normalmente este equipamento é
conhecido como UTM (Unified Threat Management), caracterizando que ele
executa diversas tarefas distintas, não se tratando apenas de um FW que está
filtrando o tráfego.
Outro termo muito utilizado, que busca caracterizar os equipamentos com
maiores recursos e maior capacidade de processamento, é o NGFW (Next
Generation Firewall). Porém, trata-se de uma referência ao equipamento que
consegue fazer uma filtragem de maneira muito mais efetiva, mas que não

11
necessariamente executa as funções de IDS, IPS ou antivírus, que seriam
executadas por um UTM.
A implementação dos firewalls também sofreu mudanças ao longo da sua
evolução. Inicialmente, surgiu como um dispositivo de hardware dedicado para
esta finalidade. Depois, foi incorporado aos equipamentos de rede, tal como
roteadores, tendo-se atualmente versões apenas em software, que podem ser
instaladas em um servidor, normalmente com sistemas operacionais Linux.
Inclusive, nas últimas versões do sistema operacional Windows, já desde
a sétima versão, foi integrado o firewall como uma aplicação incluída no pacote
de software do próprio sistema operacional. Porém, em alguns casos, essa
ferramenta acaba bloqueando algumas aplicações que necessitam de acesso ao
computador do usuário. Um caso típico é o teste de conectividade com o ping,
que é utilizado pelos administradores de rede para testar a comunicação com os
diversos computadores na rede. Também outras aplicações, cuja sessão é
iniciada por um dispositivo externo ao computador, serão bloqueadas pelo
firewall, pois esta é a regra básica do seu funcionamento: permitir apenas a
entrada do tráfego que foi solicitado pelo seu computador, bloqueando qualquer
acesso externo. Como alguns usuários acabam tendo problemas com o FW do
Windows, eles optam por desabilitá-lo, mas esta prática não é recomendável. A
solução ideal é a alteração das regras do firewall, permitindo o tráfego que
necessita passar por este, mas deixando esta funcionalidade sempre habilitada.

Figura 9 – O firewall do Windows

Um aspecto fundamental destas ferramentas é o desempenho do

processo, pois como todo o tráfego passa pelo firewall, ele deve apresentar o
menor atraso possível no encaminhamento do tráfego. Esse fator se torna ainda
mais crítico para os UTMs, pois eles desempenham outras funções além da

12
inspeção e filtragem dos pacotes. Portanto, para escolher o equipamento
adequado para uma determinada rede, é necessário conhecer o perfil de tráfego
da rede e a topologia das conexões da rede. Nesse cenário, temos diversos
parâmetros envolvidos.
Quanto à topologia, o firewall normalmente é instalado entre a rede interna
e o roteador que faz a conexão com a rede WAN. Para a conexão com rede
interna, normalmente temos dois tipos de conexões distintas: a rede segura,
onde estão os usuários internos, e a rede DMZ, onde estão os servidores que
necessitam ser acessados também da rede WAN. Portanto, a DMZ
(DeMilitarized Zone), chamada também de rede desmilitarizada, tem uma regra
diferente da operação normal do firewall, pois deve permitir o acesso externo aos
equipamentos que estão instalados nesta rede.
Normalmente, na DMZ temos os servidores web e de e-mail, pois estes
servidores necessitam ter acesso aos usuários cujo endereço de origem é
desconhecido, ou seja, o firewall permite que qualquer endereço de origem tenha
acesso a esses servidores. Porém, o que é controlado pelo firewall é a porta de
destino desse tráfego, que deve corresponder apenas ao serviço que
efetivamente está disponibilizado nesses servidores. Assim, por exemplo, para
um servidor web, é permitido o acesso de qualquer origem, mas apenas com
destino à porta 80 desse servidor, que é a porta padrão para o protocolo HTTP.

Figura 10 – A DMZ e a rede interna

Outros parâmetros a serem considerados é a largura de banda total e a

quantidade de conexão com a internet, pois o firewall escolhido deve possuir a
quantidade de interfaces necessárias, bem como a velocidade das portas, que

13
devem ser iguais ou superiores aos serviços contratados. Como o FW examina
todo o tráfego vindo da WAN, deve ter um desempenho, chamado de
Throughput, maior ou igual à soma de todos os links de WAN. Assim, se a
empresa possuir um link de internet do tipo dedicada, com velocidade de 50Mbps
e dois links do tipo banda larga de 100Mbps, o Troughput deve ser maior ou igual
a 250Mbps. Além da largura de banda, outro parâmetro que pode afetar o
desempenho do FW é a quantidade de sessões que estão sendo monitoradas.
Uma das formas de avaliar a quantidade de conexões que poderiam ser abertas
é considerar-se o número total de usuários da rede e o perfil de uso do acesso
à rede WAN desses usuários. Assim, se tivermos 100 usuários na rede LAN,
considerando que cada um deles possa abrir 5 sessões simultâneas, entre
navegação web e aplicações de comunicação multimídia, teríamos um total de
500 sessões, que deve ser o parâmetro mínimo do FW a ser escolhido para esta
rede.
No caso dos UTMs, é necessário também avaliar as demais funções que
estão sendo executadas no equipamento, pois a execução simultânea dos
processos de monitoração de IPS e de antivírus pode afetar o desempenho da
conexão dos usuários à rede WAN.

TEMA 5 – A DEEP WEB

Apesar de contarmos com os diversos equipamentos de segurança para

rede, tais como os IPS e os firewalls, e dispormos das ferramentas de segurança
para o terminal do usuário, tal como o antivírus e o firewall do sistema
operacional, ainda é necessário tomarmos as medidas adequadas para a
navegação na internet. Essas medidas são as medidas chamadas de
preventivas, ou seja, por mais que as ferramentas de segurança estejam
monitorando e bloqueando as ameaças, é necessário adotarmos uma postura
segura em relação ao acesso à rede e seus conteúdos.
O mecanismo básico de navegação na internet consiste na digitação do
nome do site que você deseja acessar, que é enviado para um servidor DNS, o
qual informa qual é o endereço IP daquele servidor. Recebida a resposta, ou
seja, conhecido o endereço IP, o browser faz uma requisição, utilizando o
protocolo HTTP (Hypertext Transfer Protocol), para a página principal daquele
servidor. Como a estrutura dos dados está baseada em hipertexto, você pode

14
clicar nas palavras (texto) e é direcionado para outras páginas. Porém, se na
página principal não existirem estes indexadores para as páginas seguintes,
você somente pode acessá-las caso conheça exatamente o seu caminho. À
medida que navega em um site, você pode observar a barra de endereço do seu
navegador sendo modificada, mostrando sempre qual é a página que você está
acessando naquele momento.
Muitas vezes, quando você busca por um conteúdo na internet, você não
sabe exatamente qual é o site que contém esse conteúdo. Para isso,
provavelmente vai utilizar um site de busca, digitando as palavras-chave
relacionadas ao conteúdo. Com a ajuda desses buscadores, você pode
encontrar o conteúdo procurado, sendo que eles funcionam baseados nessa
indexação de conteúdo. Porém, essa internet que está acessível e pode ser
pesquisada através dos buscadores é a chamada Surface Web, pois existe uma
outra infinidade de conteúdos que não são indexados e que ficam praticamente
ocultos, que é a chamada Deep Web.
A origem da chamada Deep Web é o projeto Onion Routing, que consistia
em um modelo de navegação na internet através de camadas, de forma que o
tráfego não pudesse ser rastreado, sendo encapsulado a cada salto da rede,
ocultando o endereço IP original. Esse projeto evoluiu para o projeto chamado
de Tor, que é mantido pela contribuição espontânea de diversas pessoas ao
redor do mundo, e cujo objetivo é permitir que os usuários da internet possam
ter acesso privado a uma rede web, sem nenhum tipo de censura.
O projeto TOR foi fundado em 2006, como uma entidade sem fins
lucrativos, e em 2007 começou a desenvolver as pontes (bridges) para a rede
Tor, contornando os firewalls governamentais e permitindo que os seus usuários
fizessem o acesso à rede sem restrições.
Para facilitar o uso das pessoas com menor conhecimento técnico, além
do proxy TOR, desenvolvido em 2005, em 2008 iniciou-se o desenvolvimento do
navegador Tor. As revelações de Snowden em 2013 reforçaram o
posicionamento do projeto Tor da necessidade de ferramentas que protegessem
os usuários da internet de mecanismo de vigilância. Além de ter sido o
mecanismo que viabilizou a disseminação das denúncias de Snowden, foi
reforçado o fato de que o Tor não poderia ser quebrado.

15
 Em função da privacidade garantida pelos mecanismos de navegação do
Tor, o seu uso acabou sendo distorcido, passando de um mecanismo de garantia
da liberdade de navegação na internet, sem nenhum mecanismo de censura,
para uma ferramenta de realização de transações obscuras, tais como vendas
de drogas e de armas. O projeto continua sendo mantido por todos os que
defendem a liberdade de uso da rede, sem restrições e sem censura,
principalmente por parte dos órgãos governamentais. Por isso, o termo Deep
Web, utilizado para representar os conteúdos que não estão indexados e
disponíveis para os buscadores convencionais, foi estendido para Dark Web,
para representar os conteúdos obscuros e ilegais dentro dessa rede.
Para fazer o acesso à Deep Web, formada pelas pontes que formam a
rede Tor, é necessária a instalação do navegador Tor, que está disponível no
site do projeto1, com versões para os sistemas operacionais Windows, Linux,
MAcOS e Android, e é baseado no Firefox.

Figura 11 – O projeto Tor

Fonte: Tor, 2020.

A navegação pela rede Tor também é diferente da rede convencional

(Surface Web), pois não existem os buscadores de conteúdo. Assim, o modelo
utilizado é o mesmo do início da internet, onde tínhamos as listas de diretórios
dos conteúdos (sites) que estavam disponíveis na internet.
Outro aspecto fundamental para o uso da rede Tor é manter o seu
antivírus atualizado e o firewall do seu sistema operacional habilitado, pois na

1
Disponível em: <https://www.torproject.org/>. Acesso em: 17 jan. 2020.

16
Deep Web você pode certamente se deparar com muitos sites que contêm as
mais diversas ameaças.

NA PRÁTICA

A utilização do firewall nas redes corporativas já é uma prática de

segurança adotada há muito tempo pelas empresas. Porém, a evolução das
ameaças também leva à obsolescência desses equipamentos, principalmente a
disseminação dos malwares que são propagados através da camada de
aplicação, sendo necessária a substituição dos firewalls de camada 3 e 4 pelos
equipamentos mais atuais, que conseguem examinar o tráfego na camada de
aplicação.
Uma das ameaças mais recentes, que causou prejuízo para milhares de
empresas ao redor do mundo, foi o ransomware Wannacry. Esse crypto-
ransomware faz a criptografia dos dados do usuário e exige o pagamento de um
valor monetário para o fornecimento da chave de criptografia. Caso não seja
pago o resgate, os dados do usuário ficam inutilizados, pois sem a chave de
criptografia não é possível recuperá-los. Para que não seja possível o rastreio, o
pagamento é exigido com a utilização de bitcoins, para que o hacker não seja
identificado. Assim, a única solução após o ransomware ter feito a criptografia
dos dados é o pagamento do resgate ou a recuperação dos dados a partir de um
sistema de backup que também não tenha sido atacado pelo ransomware. Ou
seja, um sistema de backup, preferencialmente em um ambiente externo à rede
local, também faz parte das medidas de segurança dos dados, pois um ataque
de um hacker ou um ransomware podem inutilizar todos os dados do sistema,
causando um DoS.

17
Figura 12 – O ransomware Wannacry

Fonte: Nicescene/Shutterstock.

O Wannacry explorou uma vulnerabilidade do protocolo SMB, utilizado

para comunicação dos computadores com impressoras e outros dispositivos.
Essa vulnerabilidade foi corrigida pela Microsoft, que lançou uma atualização
para o Windows com a correção. Porém, como essas atualizações estão
disponíveis apenas para as instalações originais do sistema operacional, todos
os computadores que estejam utilizando cópias não autênticas continuarão
vulneráveis. Essa é uma das causas da falta de segurança dos computadores e
servidores: a instalação de cópias não autênticas de sistemas operacionais, que
não recebem as atualizações de segurança e ficam vulneráveis a novos ataques.
Como a implementação dos equipamentos e das tecnologias tem um
custo significativo, existe sempre uma limitação financeira associada ao sistema
de segurança, pois a adoção de todas as soluções disponíveis não seria
financeiramente viável. Assim, a escolha do sistema de segurança mais
adequado para cada uma das redes tem que considerar também o investimento
necessário para implementar essas soluções. Existem métodos para quantificar
o valor dos dados e sistemas a serem protegidos, para avaliar qual é o valor do
investimento em segurança que seja justificável. Por exemplo, podemos
quantificar o prejuízo causado por um ataque de DoS a um sistema de vendas
pela internet, o chamado e-commerce, multiplicando-se o valor de vendas

18
realizadas por hora e a quantidade de horas que o sistema ficou indisponível.
Assim, soluções de segurança que tenham um valor de investimento
aparentemente elevado, podem representar algo em torno de alguns minutos de
perda de faturamento do negócio. Ou seja, a falta de investimento nas soluções
adequadas pode representar um prejuízo muito maior, que podem chegar a
dezenas de vezes o valor do investimento que não foi realizado.
Da mesma forma, ao comparamos soluções de segurança com valores
diferenciados de investimento, também podemos utilizar como critério de
decisão o tempo de recuperação da falha. Por exemplo, uma solução de backup
que apresente um custo muito superior a outra pode apresentar um tempo muito
menor para restabelecer o ambiente. Quando somado o custo deste tempo de
indisponibilidade, o valor total da solução, que tem um custo inicial maior, pode
se tornar o menor custo total.
Outro aspecto que também tem que ser levado em consideração,
principalmente quando se dimensiona uma solução do tipo UTM, é que o
investimento no tamanho adequado do equipamento, que obviamente aumenta
para equipamentos com maior capacidade de processamento, também deve ser
comparado com a possível perda de desempenho da rede. Ou seja, um
equipamento não dimensionado adequadamente pode aumentar o tempo de
execução das tarefas que dependem da conexão com a rede. Esse aumento de
tempo tem um custo, que deve ser contabilizado quando da comparação das
diversas soluções possíveis.
Assim, todos os projetos de segurança devem levar em consideração as
soluções tecnológicas disponíveis, o nível de segurança necessário, o impacto
das soluções escolhidas no desempenho da rede e nas tarefas cotidianas da
empresa, incluindo a análise financeira, comparando o investimento nas
soluções possíveis com o custo do impacto na operação do negócio.

FINALIZANDO

Com a evolução das tecnologias, cada vez temos mais pessoas

conectadas e uma maior diversidade de serviços e aplicações sendo
disponibilizados através da rede, o que tem levado ao aumento da complexidade
da segurança. A utilização de antivírus nos terminais dos usuários, além do
firewall do sistema operacional, já implementa um nível mínimo de segurança

19
nos computadores. Porém, eles ainda estão vulneráveis às ameaças que
exploram os sistemas não atualizados, sendo também um requisito básico para
a segurança dos computadores a utilização de softwares genuínos e a instalação
de todas as atualizações disponibilizadas pelo fabricante dos softwares e
sistemas operacionais. A utilização de IDS, IPS, firewall, UTM e outros
dispositivos implementa a segurança da rede, tanto das ameaças vindas das
redes externas, podendo também proteger as ameaças oriundas da rede interna.
Porém, agora temos uma nova mudança nesse cenário tradicional das
redes, onde tínhamos as aplicações internas instaladas nos servidores na rede
LAN e os servidores de acesso externo na DMZ. Nesse modelo, o firewall pode
aplicar a política diferenciada entre as redes e os serviços. Assim, a rede DMZ é
acessada externamente, mas apenas para os serviços (portas) que efetivamente
estão sendo disponibilizados nestes servidores. A rede interna pode receber o
tráfego que seja a resposta das requisições geradas pelos computadores da rede
interna, ou seja, o retorno do tráfego solicitado pela LAN. O tráfego vindo da rede
WAN, com destino aos servidores que estão instalados na LAN, devem ter
bloqueio total, pois apenas os usuários da rede interna é que podem ter acesso
a esses servidores. A mudança que temos agora é a chamada Computação em
Nuvem (Cloud Computing), em que os servidores que eram instalados na rede
LAN estão migrando para a rede WAN, em ambientes de alta disponibilidade,
impactando na implementação das medidas de segurança.
Figura 13 – A Computação em Nuvem

20
 A colocação dos servidores corporativos em ambientes externos, de alta
disponibilidade, já é realizada pelos provedores dos serviços de DataCenter há
algum tempo. Esses servidores podem ser acessados pelos computadores que
estão na rede LAN através de redes WAN privadas, ou ainda, com a utilização
das conexões VPN través da internet.
A mudança efetiva neste novo modelo de nuvem é que os servidores não
estão necessariamente alocados em um único local, pois as aplicações são
virtualizadas e podem ser executas simultaneamente, a partir de diversos pontos
na rede, garantindo uma alta disponibilidade e balanceamento de tráfego dentro
da rede. Como as conexões podem ser feitas a partir da rede pública (internet),
deve ficar muito claro qual é o nível de segurança que está incluso no serviço de
nuvem e qual é a responsabilidade do contratante do serviço. Por esse motivo,
os fornecedores de soluções de firewall também disponibilizam versões em
software, que podem ser instaladas nos servidores virtuais, em nuvem.
Quanto à conectividade, temos também dois modelos básicos de nuvem,
que são a Nuvem Pública e a Nuvem Privada. Eles se assemelham às
tecnologias de redes WAN pública e privada, em que os serviços que estão
sendo executados na Nuvem Privada somente podem ser acessados pelos
computadores da rede do contratante do serviço, e na Nuvem Pública os
serviços podem ser acessados por qualquer usuário da internet. Assim, os
servidores que estavam instalados na DMZ podem ser migrados para a Nuvem
Pública, e os servidores que estavam na rede LAN seriam migrados para uma
Nuvem Privada.
Como atualmente já temos inúmeras soluções para implementação da
segurança nas redes locais e dispositivos, a próxima fase na evolução das
tecnologias de segurança certamente serão as soluções para este novo cenário:
a Computação em Nuvem.

21
REFERÊNCIAS

FOROUZAN, B. A.; MOSHARRAF, F. Redes de computadores: uma

abordagem top-down. Recife: AMGH, 2013.

RFC 2979 Behavior of and Requirements for Internet webs. out. 2000. Disponível
em: <https://www.rfc-editor.org/info/rfc2979>. Acesso em: 17 jan. 2020.

SANTOS, O.; STUPPI, J. CCNA Security 210-260 Official Cert Guide.

Indianápolis: Cisco Press, 2015.

TOR. Disponível em: <https://www.torproject.org/>. Acesso em: 17 jan. 2020.

22