Você está na página 1de 8

Segurança em Redes de Computadores

1. Segurança da Informação

Um Sistema de segurança da informação baseia-se em três princípios básicos:

Confidencialidade;

Integridade;

Disponibilidade.

Se um ou mais desses princípios forem desrespeitados em algum momento, isto significa uma quebra de segurança, o que pode ser chamado também de incidente de segurança da informação.

1.1. Confidencialidade

O princípio da confidencialidade é garantido quando apenas as pessoas explicitamente

autorizadas podem ter acesso à informação

1.2. Integridade

O princípio da Integridade é garantido quando a informação acessada está completa, sem

alterações e, portanto, confiável

1.3. Disponibilidade

O princípio da disponibilidade é garantido quando a informação está acessível, por pessoas

autorizadas, sempre que necessário.

2. Vulnerabilidade

Os ativos de informação, que suportam os processos de informação, possuem vulnerabilidades. É importante destacar que essas vulnerabilidades estão presentes nos próprios ativos, ou seja, que são inerentes a eles, e não de origem externa.

Os computadores, por exemplo, são vulneráveis por serem construídos para troca e armazenamento de dados, seja por meio de cd, portas USB ou porta de acesso à rede

local, bem como à internet. Isto pode ser explorado por vírus, worms, cavalos de Tróia, negação de serviço, entre outros, conforme abordaremos mais adiante.

3. Incidente de Segurança da Informação

Um incidente de segurança da informação é uma ocorrência em que uma ameaça explora

as vulnerabilidades de um ativo, quebrando a confidencialidade, integridade ou

disponibilidade, e afetando de algum modo o negócio da organização. Esse incidente, portanto, tem um impacto ou grau de dano causado ao negócio.

tem um impacto ou grau de dano causado ao negócio. 4. Probabilidade, Impacto e Controle. Probabilidade

4. Probabilidade, Impacto e Controle.

Probabilidade é a chance de uma determinada falha de segurança ocorrer. Esta guarda uma relação com o grau da ameaça e o grau da vulnerabilidade.

O Impacto de um incidente refere-se aos potenciais prejuízos causados ao negócio por

esse incidente. Os ativos possuem valores diferentes, já que a informação que eles suportam ou utilizam tem relevâncias diferentes para o negócio da organização. Quanto maior for a relevância do ativo, tanto maior será o impacto de um eventual incidente.

Um controle é todo e qualquer mecanismo utilizado para diminuir a fraqueza ou a vulnerabilidade de um ativo.

5.

Política de Segurança

A política de segurança é um mecanismo preventivo de proteção dos dados e processos

importantes de uma organização que defini um padrão de segurança a ser seguido pelo

corpo técnico e gerencial e pelos usuários, internos e externos.

A política de segurança de informações deve estabelecer princípios de como a instituição

irá se proteger, controlar e monitorar seus recursos de informática. É importante que a política defina responsabilidades das funções relacionadas à segurança e discrimine as principais ameaças, riscos e impactos envolvidos. A política de segurança deve-se integrar às metas de negócio da organização.

O principal objetivo da implantação de uma política de segurança é preservar a

informação quanto a sua integridade, disponibilidade e confidencialidade.

Uma boa política de segurança deve abranger os seguintes tópicos:

Propriedade da Informação - Toda informação deve possuir um proprietário (owner), responsável por definir os usuários que terão acesso á informação.

Gerência de Usuários e Senhas - As senhas devem ser únicas e individuais e seguir critérios de qualidade. A responsabilidade da senha é do usuário proprietário da mesma.

Continuidade de Negócios A elaboração de um plano de continuidade de negócios é um tópico dos mais importantes na política de segurança.

A elaboração de um plano de continuidade de negócios é um tópico dos mais importantes na

6.

Ameaças e Ataques

Pode-se dizer que ameaça é uma possível violação da segurança de um sistema. As principais ameaças às redes de computadores são:

• Destruição de informação ou de outros recursos;

• Modificação da informação;

• Roubo, remoção ou perda de informações e de outros recursos;

• Interrupções de serviços

As ameaças poder ser divididas em acidentais e intencionais. Ameaças acidentais são as que não estão ligadas a uma intenção premeditada. Ameaças intencionais vão desde a observação de dados com ferramentas simples de monitoramento de redes a ataques sofisticados baseado no funcionamento do sistema. A formalização de uma ameaça intencional gera um ataque. Alguns dos principais ataques que podem ocorrer em um ambiente de rede são:

6.1. Vírus

São programas desenvolvidos para alterar nociva e clandestinamente softwares instalados em um computador, tem comportamento semelhante ao vírus biológico, multiplicam-se com facilidade e necessitam de um hospedeiro.

Os computadores podem se infectar de diversas maneiras, CDs, DVDs, portas USB, portas FireWire, Placas de redes, e-mails e através de páginas da internet.

6.2. Worms

Um Worm é um programa auto-replicante, semelhante a um vírus. Enquanto um vírus infecta um programa e necessita deste programa hospedeiro para se propagar, o Worm é um programa completo e não precisa de outro para se propagar.

Um worm pode ser projetado para tomar ações maliciosas após infestar um sistema, além de se auto-replicar, pode deletar arquivos em um sistema ou enviar documentos por email.

A partir disso, o worm pode tornar o computador infectado vulnerável a outros ataques e provocar danos apenas com o tráfego de rede gerado pela sua reprodução.

6.3.

Trojan

Um trojan é um programa que oculta seu objetivo sob uma camuflagem de outro programa útili ou inofensivo. Funciona como servidor de rede (SERVER) e tem outro programa comparsaque funciona como cliente (CLIENT).

O server fica instado no computador da vítima e o cliente no computador do invasor. Assim, então o invasor pode estabelecer uma conexão direta com a vítima, não monitorada e imperceptível através de um backdoor. Assim estes programas, oferecem grande riscos para uma máquina infectada pois se tem quasen que total controle sobre a máquina podendo acessar todos os arquivos os mesmo apagá-los.

6.4. IP Spoofing

IP spoofing é uma técnica de subversão de sistemas informáticos que consiste em mascarar (spoof) pacotes IP utilizando endereços de remetentes falsificados.

Devido às características do protocolo IP, o reencaminhamento de pacotes é feito com base numa premissa muito simples: o pacote deverá ir para o destinatário (endereço-destino) e não há verificação do remetente não há validação do endereço IP nem relação deste com o router anterior (que encaminhou o pacote). Assim, torna-se trivial falsificar o endereço de origem através de uma manipulação simples do cabeçalho IP. Assim, vários computadores podem enviar pacotes fazendo-se passar por um determinado endereço de origem, o que representa uma séria ameaça para os sistemas baseados em autenticação pelo endereço IP.

Esta técnica, utilizada com outras de mais alto nível, aproveita-se, sobretudo, da noção de confiabilidade que existe dentro das organizações: supostamente não se deveria temer uma máquina de dentro da empresa, se ela é da empresa. Por outro lado, um utilizador torna-se também confiável quando se sabe de antemão que estabeleceu uma ligação com determinado serviço. Esse utilizador torna-se interessante, do ponto de vista do atacante, se ele possuir (e estiver usando) direitos privilegiados no momento do ataque.

Bom, mas resta a interacção com as aplicações, além de que as características do protocolo IP permitem falsificar um remetente, mas não lhe permitem receber as respostas essas irão para o endereço falsificado. Assim, o ataque pode ser considerado cego. Essa técnica é conhecida por desvio de sessão TCP, ou TCP session hijacking em inglês.

Existem métodos para evitar estes ataques, como a aplicação de filtros de pacotes, filtro ingress nos gateways; faz sentido bloquear pacotes provindos da rede externa com endereços da rede local. Idealmente, embora muito negligenciado, usar um filtro egress que iria descartar pacotes provindos da rede interna com endereço de origem não-local que fossem destinados à rede externa pode prevenir que utilizadores de uma rede local iniciem ataques de IP contra máquinas externas.

Existem outros ataques que utilizam esta técnica para o atacante esconder a origem ou para potencializar um determinado ataque: ataques SYN (SYN flooding) ou ataques smurf são exemplos muito citados.

A

maior vantagem do Ip spoofing em relação a outros tipos de farejamento de conexões (como

o

DNS spoofing, por exemplo) é que ele funciona em nível de conexão, permitindo farejar e

interceptar conexões e pacotes em redes de todos os sitemas, seja ele Linux, Unix, Windows,

Solaris ou qualquer outro existente, desde que a conexão parta de um IP confiável com um endereço mac conhecido.

6.5. Exploit

São programas geralmente feitos em linguagem C que exploram a vulnerabilidade de programas e sistemas para ganhar acesso root ou administrador.

6.6. DoS (Ataque de negação de serviço)

Um ataque de negação de serviço (também conhecido como DoS, um acrônimo em inglês para Denial of Service), é uma tentativa em tornar os recursos de um sistema indisponíveis para seus utilizadores. Alvos típicos são servidores web, e o ataque tenta tornar as páginas hospedadas indisponíveis na WWW. Não se trata de uma invasão do sistema, mas sim da sua invalidação por sobrecarga. Os ataques de negação de serviço são feitos geralmente de duas

formas:

Forçar o sistema vítima a reinicializar ou consumir todos os recursos (como memória ou processamento por exemplo) de forma que ele não pode mais fornecer seu serviço.

Obstruir a mídia de comunicação entre os utilizadores e o sistema vítima de forma a não comunicarem-se adequadamente.

7. Formas de Proteção 7.1. Firewalls Firewall é o nome dado ao dispositivo de uma

7. Formas de Proteção

7.1.

Firewalls

Firewall é o nome dado ao dispositivo de uma rede de computadores que tem por objetivo aplicar uma política de segurança a um determinado ponto de controle da rede. Sua função consiste em regular o tráfego de dados entre redes distintas e impedir a transmissão e/ou recepção de acessos nocivos ou não autorizados de uma rede para outra. Este conceito inclui os equipamentos de filtros de pacotes e de proxy de aplicações, comumente associados a redes TCP/IP.

Existe na forma de software e hardware, ou na combinação de ambos (neste caso, normalmente é chamado de "appliance"). A complexidade de instalação depende do tamanho da rede, da política de segurança, da quantidade de regras que autorizam o fluxo de entrada e saída de informações e do grau de segurança desejado.

da quantidade de regras que autorizam o fluxo de entrada e saída de informações e do

7.2.

Antivírus

Os antivírus são programas de computador concebidos para prevenir, detectar e eliminar vírus de computador. Os métodos de identificação dos antivírus são:

Escaneamento de vírus conhecidos - Quando um novo vírus é descoberto seu código é desmontado e é separado um grupo de caracteres (uma string) que não é

encontrada em outros softwares não maliciosos. Tal string passa a identificar esse vírus, e o antivírus a utiliza para ler cada arquivo do sistema (da mesma forma que

o sistema operacional), de forma que quando encontrá-la em algum arquivo, emite uma mensagem ao usuário ou deleta o arquivo automaticamente.

Sensoreamento heurístico - O segundo passo é a análise do código de cada programa em execução quando usuário solicita um escaneamento. Cada programa

é varrido em busca de instruções que não são executadas por programas usuais,

como a modificação de arquivos executáveis. É método complexo e sujeito a erros, pois algumas vezes um executável precisa gravar sobre ele mesmo, ou sobre outro arquivo, dentro de um processo de reconfiguração, ou atualização, por exemplo. Portanto, nem sempre o aviso de detecção é confiável.

Busca Algorítmica - Expressamente, a busca algorítmica é aquela que utiliza algoritmos para selecionar os resultados. Essa classificação em "Busca Algorítmica", do Inglês "algorithmic search", é de caráter publicitário ou vulgo já que qualquer mecanismo de busca utiliza um algoritmo. Esta denominação foi criada para se diferenciar das "Buscas Patrocinadas" em que o pagamento (patrocínio) dos mecanismos de busca faz com que os resultados patrocinados tenham prioridade. Por exemplo: para buscar strings (cadeias de texto) que detectariam um vírus de computador

Checagem de Integridade - Checagem de integridade cria um banco de dados, com

o registro dos dígitos verificadores de cada arquivo existente no disco, para

comparações posteriores. Quando for novamente feita esta checagem, o banco- de-dados é usado para certificar que nenhuma alteração seja encontrada nesses dígitos verificadores. Caso seja encontrado algum desses dígitos diferentes dos

gravados anteriormente, é dado o alarme da possível existência de um arquivo contaminado.

Cabe ao usuário verificar se a alteração foi devido a uma atividade suspeita, ou se foi causada simplesmente por uma nova configuração, efetuada recentemente.

Vale salientar que os antivírus são programas que procuram por outros programas (os vírus) e/ou os barram, por isso, nenhum antivírus é totalmente seguro o tempo todo, e existe a necessidade de sua manutenção (atualizando) e, antes de tudo, fazer sempre uso do backup para proteger-se realmente contra perda de dados importantes.