Escolar Documentos
Profissional Documentos
Cultura Documentos
O editor técnico
Brock Pearson (MCP +I, MCSE Windows NT 4.0, MCP Windows 2000, CISSP,
CRISC, A+, N+) é formado em Sistemas de Informação. Atua na indústria da
tecnologia da informação há mais de 19 anos, desempenhando várias funções.
Esteve envolvido em muitas instalações de SIEMs (Security Information and
Event Management) usando sua experiência para ajudar em implementações de
larga escala e em geração de resultados de sucesso. Em muitos desses esforços,
forneceu treinamento sólido em produtos, em casos de uso personalizados e em
adaptações avançadas de produtos dentro da infraestrutura de segurança.
CDU 004.056.52
No mundo real
Lembre-se, mesmo que você consiga provar que um funcionário não tem
culpa, sua empresa pode acabar sendo responsável por qualquer ativida-
de ilegal que ocorra a partir de uma conexão da Internet de sua proprieda-
de. Há relatos graves de pessoas enfrentando problemas pelo que outros
usuários fizeram usando suas redes sem fio abertas. Um exemplo extremo
envolveu um homem sendo preso porque outra pessoa usou sua rede sem
fio aberta para baixar pornografia infantil. Ele conseguiu provar sua ino-
cência, mas é algo pelo qual ninguém gostaria de passar.
Você tem de saber as implicações de alguém fazer algo que não deveria a
partir de sua conexão com a Internet. Imagine uma situação em que uma pes-
soa usasse sua rede sem fio aberta para atacar outra empresa. A empresa poderia
transferir o problema para você – e, possivelmente, processá-lo.
Se alguém enviar ou receber conteúdo ilegal e esse for rastreado até sua rede,
você pode ser responsabilizado. O conteúdo não precisa ser muito grave. Empresas
como a Motion Picture Association of America (MPAA) e a Recording Industry
Association of America (RIAA) têm sido rigorosas contra o download de filmes e
música. Sua empresa pode não ter culpa de algo ilegal, mas é caro provar isso. Esse
é um exemplo perfeito em que a prevenção é mais barata do que a cura.
Aqui estão algumas dicas para a proteção do acesso de convidados à
Internet:
• Autenticar usuários convidados, onde viável.
• Usar credenciais exclusivas, onde viável.
• Restringir o acesso apenas a usuários convidados (sem usuários internos!).
• Criptografar o tráfego.
• Usar credenciais com expiração automática.
• Senha compartilhada com o uso de recursos sem fio integrados (WPA Pre-
-Shared Key)
• Credenciais de autenticação exclusivas (WPA-Enterprise)
• Sistemas de portal Web cativo
Os benefícios do uso de uma senha compartilhada em vez de credenciais ex-
clusivas para cada usuário em redes de convidados são os mesmos de qualquer ou-
tra rede. A vantagem do uso de credenciais exclusivas é podermos identificar mais
facilmente quem está se autenticando na rede e, portanto, auditar o acesso e o uso.
A principal desvantagem do uso de credenciais exclusivas para cada usuário convi-
dado é um aumento relevante na sobrecarga administrativa. Ela se manifesta no fato
de alguém ter de criar o nome de usuário e senha de cada convidado e distribuir as
credenciais para eles. Isso não é tão difícil quanto parece, porém, dá mais trabalho.
Várias empresas passam essa tarefa para funcionários não técnicos (como
recepcionistas). Graças ao Controle de Acesso Baseado em Função (RBAC, Ro-
le-Based Access Control), muitos sistemas de administração de redes sem fio
permitem que os usuários criem contas de convidado sem ter acesso para alterar
outros aspectos do sistema.
Há empresas que preferem usar uma senha compartilhada entre todos os
convidados. Nem sempre essa é a melhor opção, porque ela não permite o ras-
treamento e a auditoria do uso. Normalmente, a maioria dos usuários não tra-
ta como sigilosas credenciais de convidado compartilhadas, fornecendo-as para
quem quer que peça. Por outro lado, as pessoas não são tão rápidas para compar-
tilhar credenciais que sejam atribuídas especificamente para elas.
Em certas situações, controlar rigorosamente o acesso de convidados criando
um usuário exclusivo para cada um pode ser um exagero. Por exemplo, se um hos-
pital movimentado quisesse fornecer acesso à Internet a convidados e visitantes,
seria irracional pedir a cada convidado que solicitasse uma identificação de usuário
e senha para acessar a rede de convidados. Isso poderia facilmente tornar-se uma
função de tempo integral para a pessoa responsável por criar as contas de convidado.
Em ação
Controle de Acesso Baseado em Função (RBAC) é um termo genérico para a atri-
buição de privilégios com base na função de uma pessoa em um sistema. Quase
sempre os sistemas de gerenciamento de redes sem fio têm uma interface Web
simples que muitos usuários conhecem e com a qual podem interagir. Em nosso
exemplo, poderíamos dar à recepcionista uma conta no sistema de gerenciamento
da rede sem fio apenas para que ela criasse identificações de login de convidado
e nada mais. Essa “função” poderia se chamar “administrador de convidados”.
Em ação
Lembre-se, a própria natureza de “convidados” dos usuários dificulta autenticá-
-los, mas isso não quer dizer que seja impossível. Pense no que está tentando
evitar autenticando os usuários convidados. Em geral, tentamos impedir que
pessoas que não sejam realmente convidadas usem a rede sem fio.
Logo, mesmo que um método de autenticação não seja perfeito, pode ser
suficientemente bom para executar essa tarefa. Solicitando que os usuários fa-
çam algo que alguém que quisesse usar sua rede sem fio para convidados com
fins maliciosos não conseguiria, você pode eliminar a ameaça de um suposto
invasor. Aqui estão algumas soluções possíveis:
• Fornecer uma identidade alternativa (carteira de habilitação, cartão de
estudante e assim por diante)
• Deixar algo em troca pelo acesso de convidado (chaves do carro, cartão
de crédito e assim por diante)
• Chamar um atendente para obter credenciais
• Ir à recepção para obter credenciais
Dessas opções, o método mais fácil e eficiente parece ser os convidados so-
licitarem credenciais em algum local que eles tenham que visitar fisicamente.
É claro que isso não deterá um invasor determinado, mas, se você também
tiver uma câmera de vídeo na área para manter um registro de quem solicitou
credenciais, pode reduzir bastante o risco.
ou por credenciais exclusivas. Muitos portais cativos permitem até mesmo que o
usuário solicite credenciais ou se registre em uma conta.
Os portais cativos funcionam de maneira muito semelhante ao 802.1x, po-
rém, são mais perceptíveis para o usuário final. Como o 802.1x, um portal cativo
não permite que o usuário acesse recursos de rede até ter se autenticado com
sucesso. Diferentemente daquele padrão, os portais cativos não costumam auten-
ticar os usuários de maneira automática quando da associação à rede sem fio. Em
vez disso, o usuário pode se associar integralmente a uma rede sem fio e obter um
endereço IP antes de ser “forçado” a se autenticar.
Também é preciso mencionar que podem surgir problemas de segurança
pelo simples fato de o portal cativo permitir o acesso de protocolos aparente-
mente inofensivos como o DNS e ICMP. Se um usuário malicioso conseguisse
encapsular tráfego dentro de pacotes DNS ou ICMP, poderia burlar a necessidade
de autenticação no portal cativo. Seria preciso que o invasor configurasse um
servidor antecipadamente para receber as mensagens DNS fictícias e retornar o
conteúdo apropriado parecendo uma mensagem DNS como na Figura 10-1. No
entanto, já existem programas que fazem exatamente isso.
Alguns portais cativos usam técnicas um pouco diferentes para redirecionar
o usuário, mas o resultado final é o mesmo. Há um numero impensável de opções
para a escolha de um portal cativo. Várias opções de fonte aberta, gratuitas e co-
merciais estão disponíveis. Além disso, existem muitos serviços de portal cativo
que tratam da autenticação, da criação de contas e, até mesmo, da cobrança.
Vários sistemas de portal cativo existentes foram incluídos em firmware,
como nos projetos OpenWRT e DD-WRT. Muitos pontos de acesso, gerenciado-
res de pontos de acesso e sistemas de pontos de acesso leves mais novos já exi-
bem a funcionalidade de portal cativo no momento da instalação. Na Figura 10-2,
podemos ver o exemplo de um ponto de acesso redirecionando o usuário para um
sistema de portal cativo baseado na Internet. O agente no ponto de acesso é muito
compacto e simplesmente espera a mensagem de autenticação do servidor da
Internet, que indica que o usuário foi autenticado com sucesso.
Em ação
Embora pareça que o portal cativo bloqueie todo o tráfego antes de os usuá-
rios se autenticarem, é preciso entender algumas nuances desse processo. Por
exemplo, a maioria dos portais cativos ainda permite que consultas DNS pas-
sem pela Internet para o usuário pesquisar hosts, tentar acessar o site e ser re-
direcionado para a página de autenticação. Normalmente, os portais cativos
também permitem que o ICMP passe para fins de solução de problemas.
Internet
Servidor WWW
PA
Tráfego DNS
Servidor invasor na
extremidade do
encapsulamento DNS
Tráfego
T áf HTTP
Internet
Página de
autenticação
PA HTTP
Cliente leve
de portal cativo
Figura 10-2 Portal cativo com servidor de autenticação na Internet.
Criptografando o tráfego
Só porque uma rede sem fio deve ser usada por não funcionários, isso não signi-
fica que a criptografia não possa ser usada. Criptografar o tráfego assegura que
pessoas que não deveriam vê-lo não o façam. O fato de possíveis invasores não
poderem injetar tráfego ou manipular tráfego cliente só ajuda a tornar a rede sem
fio para convidados uma rede menos hostil.
Pelas razões já mencionadas, o uso de uma rede WPA2-PSK com chave
compartilhada pode ser uma boa opção para algumas redes sem fio para convida-
dos. Outra boa opção é criar uma rede WPA2-Enterprise e só permitir que usuá-
rios de um “grupo de convidados” se autentiquem. As etapas seriam idênticas às
abordadas no Capítulo 8.
Autenticando consultores
A autenticação de usuários externos que precisem de acesso a algum recurso in-
terno é muito importante. Definitivamente, é aconselhável evitar o uso de creden-
ciais compartilhadas para consultores. A atribuição de credenciais exclusivas para
usuários externos fornece recursos de auditoria muito melhores e um controle de
acesso mais rigoroso.
Lembre-se, normalmente, não podemos garantir que usuários externos tra-
tarão suas contas com o mesmo nível de cuidado dos funcionários. Logo, até
mesmo eventos de login bem-sucedidos de contas de consultor devem ser moni-
torados mais de perto. Infelizmente, a funcionalidade interna de monitoramento
e notificação de eventos específicos do Windows é bastante limitada. É comum
essa tarefa ficar para algum tipo de solução de gerenciamento de log. Você tam-
bém deve configurar as contas de consultor para serem desativadas automatica-
mente após um determinado período. A desativação automática da conta não tem,
necessariamente, que ocorrer quando você souber que o consultor não precisará
mais dela. A criação de todas as contas com um período de desativação automáti-
ca predeterminado (p. ex., três meses) é uma boa prática. O período mais adequa-
do dependerá de sua situação específica.
Você precisa conhecer a função das opções de autenticação da rede sem fio
e como elas podem ajudar ou atrapalhar tanto na autenticação quanto no controle
do acesso de consultores à sua rede interna. Por exemplo, se você usar o WPA-
-PSK para autenticar consultores em sua rede, precisará de um sistema adicional
para autenticá-los individualmente em outros sistemas. Isso pode ou não ser um
problema, mas considere que, se você já estiver criando contas separadas (e in-
dividuais) em outro sistema (o Active Directory, p. ex.), pode ser útil o esforço
extra de configurar o WPA2-Enterprise e também auditar o acesso individual de
cada consultor à rede sem fio.
Esse também pode ser um momento perfeito para o uso de um banco de da-
dos RADIUS autônomo. Se, por exemplo, os consultores não precisarem acessar
servidores de domínio ou serviços do Active Directory, você pode manter todos
os seus sistemas totalmente separados, inclusive o servidor de autenticação.
Internet
PA
WPA2-PSK
Rede
interna
Usuário
U ái
convidado da
rede sem fio
Nota
Não é aconselhável dar a pessoas de fora acesso irrestrito à rede interna a menos
que isso seja absolutamente necessário.
PA
Rede
interna
WPA2-PSK
PA
Rede
interna
DMZ
Servidor
SSH
Figura 10-6 DMZ com uma estação de salto SSH.
te até os sistemas finais aos quais o servidor SSH tem acesso. Logo, é recomen-
dável configurar as ACLs do firewall para restringirem o acesso desse sistema a
outras partes da rede. Não se esqueça de que, no caso dos encapsulamentos SSH,
o IP de origem continua sendo o do servidor SSH, portanto, só temos de criar
uma única ACL para controlar o acesso a recursos internos.
Independentemente do sistema escolhido como estação de salto, certifique-
-se de que ele dê acesso apenas aos serviços e funções que os consultores precisa-
rem acessar. Essa pode ser uma tarefa muito complexa. Por exemplo, o servidor
RDP e muitos servidores SSH permitem que os usuários transfiram arquivos por
padrão. Os dois sistemas permitem a restrição dessa funcionalidade, mas isso é
algo que deve ser considerado no projeto da solução de estação de salto.
Internet
VPN
Host A Host B
Internet
Encapsulamento criptografado
Local A Local B
VPN
N VPN
N
gem do uso do IPSec é que ele requer muito mais configuração e um melhor
conhecimento do protocolo subjacente se comparado com o SSL ou o SSH. O
IPSec pode estar na extremidade de VPNs de host e de rede. Uma abordagem
completa do IPSec e de suas opções de configuração não faz parte do escopo
deste livro.
O Point-to-Point Tunneling Protocol (PPTP) é mais uma ótima opção dis-
ponível para a criação de VPNs. A maioria das versões do Windows dá suporte
nativo ao PPTP; logo, ele tem sido massivamente implantado em ambientes Win-
dows. O PPTP funciona de maneira muito semelhante ao IPSec, mas costuma ser
usado para VPNs de host para rede.
Há um número inacreditável de opções quando se trata de selecionar a tec-
nologia de terminação da VPN. Estão disponíveis muitas soluções na forma de
“appliances” que têm como sua principal função terminar a VPN. Geralmente,
elas se chamam gateways VPN ou concentradores de VPN. A tecnologia das
VPNs se tornou tão comum que a maioria dos fornecedores de firewalls inclui
algum nível de funcionalidade de VPN em seus produtos. Essa é outra ótima
oportunidade para reutilizar a infraestrutura de segurança existente para dar su-
porte à sua rede sem fio.
Internet
PA
Figura 10-10 VPN IPSec até um firewall via rede sem fio aberta.
acesso à Internet. A única coisa necessária para o acesso à Internet é uma conta
de convidado compartilhada do portal cativo. Em seguida, para acessar recursos
internos, o consultor teria de criar um encapsulamento VPN até o firewall. Nesse
caso, estamos usando um encapsulamento VPN IPSec.
Já que estamos usando um firewall para terminar nossa VPN, podemos con-
figurar listas de controle de acesso para restringir o que os usuários da VPN po-
dem acessar. Aqui, estamos permitindo o acesso à sub-rede inteira de nossa DMZ
e bloqueando-o a todos os outros recursos internos. Os usuários da VPN devem
receber um endereço IP em uma sub-rede exclusiva que não apresente sobreposi-
ção com outros segmentos de rede.
O exemplo anterior funciona bem para situações em que os recursos que os
consultores precisam acessar não estão confinados a uma única sub-rede. Você
também pode criar uma ACL que restrinja o acesso dos consultores a serviços
específicos em servidores espalhados pela empresa inteira.
Na Figura 10-11, podemos ver que, em vez do encapsulamento VPN que
termina no firewall, estamos usando um encapsulamento VPN PPTP que termina
em um servidor Windows interno.
Mais uma vez, as razões para se escolher o uso de um sistema interno e não
um dispositivo da infraestrutura depende totalmente da situação. Talvez você não
tenha um firewall que dê suporte à terminação de uma conexão VPN. Ou pode
não conhecer a configuração de uma VPN em dispositivos da infraestrutura e
ficar mais à vontade configurando uma VPN PPTP em um servidor Windows.
Internet
PA
Servidor VPN
Windows
Figura 10-11 VPN PPTP indo até um servidor Windows em uma DMZ.
Caso você opte por usar um dispositivo que não seja o firewall, há algumas
opções para como o usuário verá (e se conectará com) o sistema da VPN. Você
pode optar por manter o sistema atrás do firewall, deixar o tráfego das portas TCP
apropriadas transpô-lo e, assim, a VPN criará um encapsulamento passando pelo
firewall, como mostrado na Figura 10-11.
Alternativamente, pode dar ao sistema uma segunda conexão de rede e usar
a sub-rede sem fio. Em algumas situações, é necessário evitar esse procedimento,
enquanto em outras pode ser muito apropriado. De um modo geral, você deve
evitá-lo se decidir usar um servidor como dispositivo de terminação da VPN.
Expor um sistema inteiro a uma rede potencialmente hostil não é uma boa ideia,
em especial no caso do uso de uma rede sem fio aberta e autenticação de convi-
dados com algo como um portal cativo. É claro que você poderia usar um firewall
no host e desativar serviços desnecessários na interface conectada à rede sem fio
para protegê-lo, mas essa ainda não é uma solução ótima.
Por outro lado, a configuração de um dispositivo concentrador de VPN como
dual-homed é uma solução interessante (consulte a Figura 10-12). Dispositivos da
infraestrutura costumam ser mais apropriados para essa tarefa. É preciso observar
que só porque o gateway VPN tem uma conexão com a rede interna e possivelmente
Concentrador
Internet
Rede
d
interna
VPN
com outros segmentos de rede, isso não quer dizer que alguém que tiver acesso à
VPN pelo gateway terá acesso irrestrito a esses segmentos. É claro que você pode
dar acesso irrestrito ou criar listas de acesso muito restritivas, como em um firewall.
O que vimos
Neste capítulo, abordamos as opções para a criação de redes de convidados e
redes para serem usadas por pessoal externo. Lembre-se, há muitas opções para o
projeto de uma rede de convidados e a solução dependerá em grande parte de suas
necessidades assim como da topologia de rede existente.