Baixe o app para aproveitar ainda mais
Leia os materiais offline, sem usar a internet. Além de vários outros recursos!
Segurança em redes
Compartilhar
Prévia do material em texto
Universidade Paulista - UNIP Universidade Paulista – UNIP Elissandra Machado de Souza – RA: C58BEF-8 Isabela Sousa de Souza – RA: C65865-0 Gabriel Carvalho de Souza – RA: D070BE-3 Jarleson Cavalcante Campos – RA: N105CC-5 Keven Rodrigues de Aguiar – RA: D087JG-8 Nivaldo Ferreira de Souza Junior – RA: N104422 O que é autenticação? O significado da palavra autenticação não é nenhum mistério: é o ato de confirmar que algo ou alguém é autêntico, ou seja, uma garantia de que qualquer alegação de ou sobre um objeto é verdadeira. No contexto da ciência da computação, o conceito de autenticação é extensamente utilizado para atestar que um programa ou uma página na internet tem “pedigree” e é confiável. As maneiras para validar uma identidade em um computador variam. Elas incluem o uso de senhas, certificados, números especiais e outros tipos de dados. Veja nesse artigo diferentes maneiras de autenticação de informação. Redes e Internet Em redes de computadores – privadas ou públicas, incluindo a internet –, a maneira mais comum de autenticação é o uso de senhas para logins. O conhecimento de uma senha é considerado suficiente para garantir que um usuário é autêntico. No entanto, como é bem sabido, o uso de senhas não impede que outras pessoas consigam obter ou adivinhá-las. Justamente por isso, diferentes tipos de transações via internet utilizam processos mais rigorosos de autenticação. Certificados digitais Uma maneira mais segura de estabelecer credenciais ao navegar em transações pela internet é o certificado digital. Este certificado é estabelecido por uma autoridade (Certification Authority). Essa autoridade checa com outra autoridade, a de registro (Registry Authority), para verificar informações fornecidas por quem exige um certificado digital. Um certificado pode conter nome, um número de série, datas de validade, uma cópia da chave pública do certificado (utilizada para criptografar mensagens e assinaturas digitais) e a assinatura digital da autoridade que estabeleceu tal certificado. Criação, gerenciamento, armazenamento, distribuição e o cancelamento de certificados digitais são todos executados pelo Public Key Infrastructure (PKI) - um conjunto de procedimento, políticas, pessoas, softwares e hardwares necessários para esse gerenciamento. Navegadores como Mozilla Firefox e Internet Explorer, por exemplo, têm um gerenciador que lista todos sites que exigiram o uso de um certificado. Esses dois são só exemplos, uma vez que quase todos os navegadores contam com este gerenciador. Assinaturas eletrônicas Uma assinatura eletrônica pode ser qualquer meio reconhecido legalmente que indique a adoção do conteúdo de uma mensagem eletrônica. Pode ser, por exemplo, uma mensagem codificada. Assinaturas digitais são extensamente utilizadas em transações de e-commerce. Em muitos países – como Estados Unidos, Austrália e os membros da União Europeia – uma assinatura digital, quando reconhecida pela legislação de cada jurisdição, tem o mesmo valor de um documento tradicional. CAPTCHA Certamente você já precisou preencher um formulário digitando um código para validar uma solicitação. Este método é conhecido como CAPTCHA e também é uma maneira de autenticação. O ponto-chave do CAPTCHA é que, para um usuário comum, é extremamente fácil identificar as letras em uma imagem e reproduzi-lo, já para um computador, isso é (ainda) impossível. Então, sabe-se que quem está acessando tal página é, no mínimo, um humano! Impressão digital Uma das mais avançadas maneiras de identificação também é aplicada em computadores. São scanners de impressões digitais que agora são utilizados para logon no Windows, por exemplo. Teclados e mouses já estão disponíveis com leitores desse tipo, indicando que a popularidade desta tecnologia pode crescer. Como funciona a assinatura digital? Como vimos, a assinatura digital é um mecanismo criptográfico de autenticar informações digitais. Esse tipo de assinatura eletrônica funciona baseado em funções matemáticas praticamente invioláveis. De acordo com a Infraestrutura de Chaves Públicas Brasileiras – ICP Brasil – ela “utiliza um par de chaves criptográficas associadas a um certificado digital. Uma das chaves – a chave privada – é usada durante o processo de geração de assinatura e a outra – chave pública, contida no certificado digital – é usada durante a verificação da assinatura.” As chaves servem para que apenas as pessoas pré-autorizadas possam emitir e receber certos arquivos. Detém-se uma chave privada, poderá emitir dados em segurança, com sua própria identidade, sem que alguém se passe por você. Se você tem a chave pública, poderá acessar um documento recebido e autenticado pelo emissor. Além das chaves, a assinatura digital funciona com a obtenção de um hash, que é o resultado da criptografia e da identificação única dos dados. Ele serve para repassar a informação de maneira segura. Como a assinatura digital surgiu no Brasil e no mundo? As primeiras ideias sobre assinatura digital no mundo são da década de 70 e 80. No Brasil, ela foi viabilizada pela Medida Provisória nº 2.200-2/2001, que instituiu a Infraestrutura de Chaves Públicas Brasileiras – ICP-Brasil. Em seu artigo primeiro, a norma assim estabeleceu: Art. 1º. Fica instituída a Infra-Estrutura de Chaves Públicas Brasileira – ICP-Brasil, para garantir a autenticidade, a integridade e a validade jurídica de documentos em forma eletrônica, das aplicações de suporte e das aplicações habilitadas que utilizem certificados digitais, bem como a realização de transações eletrônicas seguras. Com o advento dessa norma, qualquer documento digital terá validade jurídica se for certificado pela ICP-Brasil. Entretanto a MP 2.200-2 também prevê a possibilidade de utilizar outros meios de comprovação da autoria e integridade de documentos em forma eletrônica, inclusive aqueles de certificados NÃO emitidos pela ICP-Brasil, desde que as partes os aceitem como válidos. Ou seja, a ICP Brasil é a autoridade oficial que possui fé pública, que concede uma das técnicas disponíveis para gerar documentos digitais com validade legal, mas nada obsta que as partes optem por outros meios de certificação. Em outros locais do mundo, a assinatura digital foi prevista em normas como: – União Europeia: Common Position EC 28/1999 – Community Framework for Electronic Signature; – Estados Unidos: Uniform Electronic Transactions Act (UETA) e Electronic Signatures in Global and National Commerce Act (E-SIGN); – Inglaterra, Gales e Escócia: Electronic Communications Act, 2000; – Portugal: Decreto-Lei n.º 290-D/99, Decreto-Lei n.º 88/2009, e Decreto Regulamentar n.º 25/2004; – Nações Unidas: UNCITRAL Model Law on Electronic Signatures (2001). Qual a diferença entre a assinatura digital e a certificado digital? A assinatura digital é uma tecnologia que utiliza a criptografia e vincula um certificado digitalao documento eletrônico que está sendo assinado. Assim dá garantias de integridade e autenticidade do documento. Logo, a questão não está na diferença entre uma e outra, mas sim no tipo de certificado digital que cada assinatura vincula. O certificado digital é uma chave, um arquivo eletrônico que contém variadas informações de identificação de uma pessoa (chave pública do titular, nome, e-mail, validade do certificado, número de série e outros). É como se fosse a caneta do indivíduo ou da empresa. Ele é emitido por uma autoridade certificadora, que por sua vez é respaldado pelo ITI – Instituto Nacional de Tecnologia da Informação através da Infraestrutura de Chaves Públicas Brasileira – ICP Brasil, que é uma cadeia hierárquica de confiança que viabiliza a emissão de certificados digitais para identificação virtual do cidadão. Ou pode ser emitido pela própria plataforma que viabiliza a assinatura digital. No mundo, já existem muitas empresas especializadas em assinatura digital como é o caso da Juro.io e da DocuSign, entre outras. No Brasil, frente a melhor aceitação da inovação no setor jurídico, começaram a nascer novas empresas, conhecidas como lawtechs, que também disponibilizam métodos alternativos e com validade legal de certificação digital. Entre elas está a Santo Contrato, uma plataforma online para elaboração e assinatura digital de contratos e documentos jurídicos. É muito importante que o usuário utilize serviços confiáveis, que adotam práticas para assegurar as características da assinatura digital. Uma empresa deve, por exemplo, registrar múltiplos pontos de autenticação dos signatários, tais como registro dos documentos de identificação (identidade e CPF), comprovante de residência, endereço de IP, endereço de e-mail e até mesmo “self” com o documento. Dessa forma, é possível aumentar a segurança do documento e conferir autenticidade. O novo Código de Processo Civil (art. 411, II), inclusive, considera autêntico um documento cuja autoria é identificada por qualquer outro meio legal de certificação. Qual a validade jurídica da assinatura digital? A assinatura digital possui três propriedades que conferem a ela validade jurídica. São elas: – Autenticidade: comprovação da autoria do emissor, ou seja, o receptor poderá confirmar que a assinatura foi feita pelo emissor; – Integridade: o documento não pode ser alterado ao ser enviado, sob pena de a assinatura não mais corresponder a ele; – Não-repúdio (irretratabilidade): a autenticidade da mensagem não pode ser negada pelo emissor, uma vez que ele é o único que possui a chave pública para gerar a assinatura. Por conta dessas características, a assinatura digital garante que o documento não seja falsificado ou alterado, o que pode acontecer com a versão manuscrita. Ela é uma prova inegável da originalidade do emissor. Quais as vantagens e as desvantagens da assinatura digital? Uma assinatura digital apresenta inúmeras vantagens para seu usuário, veja: – Otimização dos processos e redução da burocracia; – Aproveitamento do tempo e comodidade, uma vez que colher assinaturas digitais não demanda deslocamento, como acontece com as manuais; – Emissão de documentos e contratos com mais facilidade; – Redução do impacto financeiro nas empresas, uma vez que o espaço físico para armazenamento de documentos diminui consideravelmente; – Maior segurança se comparada às assinaturas manuais; – Melhor gestão da informação, já que os documentos são digitais; – Adoção de práticas sustentáveis, evitando a utilização de papel. Dentre as suas desvantagens, podemos destacar que sua segurança depende da chave privada, em posse do emissor. Se ela for, por algum motivo, usada por indivíduos não autorizados, a segurança da assinatura digital também será comprometida. Em uma situação hipotética, imagine que duas partes estão negociando um contrato de prestação de serviços. Uma delas deixou que um terceiro de má-fé tomasse posse de sua chave privada. Ele negociou termos contratuais diretamente com a outra na tentativa de prejudicar a parte que teve sua chave comprometida. Isso pode levar a uma grande confusão, inclusive judicial, acerca das cláusulas. Apesar dessa possibilidade, as vantagens que uma assinatura digital proporciona são infinitamente maiores do que o risco do comprometimento da chave. Segurança, autenticidade, agilidade, produtividade e otimização dos processos são os principais benefícios que podem ser usufruídos. Firewalls O que é firewall? Firewall é uma solução de segurança baseada em hardware ou software (mais comum) que, a partir de um conjunto de regras ou instruções, analisa o tráfego de rede para determinar quais operações de transmissão ou recepção de dados podem ser executadas. "Parede de fogo", a tradução literal do nome, já deixa claro que o firewall se enquadra em uma espécie de barreira de defesa. A sua missão, por assim dizer, consiste basicamente em bloquear tráfego de dados indesejado e liberar acessos bem-vindos. Firewall em forma de softwares Aplicações com a função de firewall já são parte integrante de qualquer sistema operacional moderno, garantindo a segurança do seu PC desde o momento em que ele é ligado pela primeira vez. Os firewalls trabalham usando regras de segurança, fazendo com que pacotes de dados que estejam dentro das regras sejam aprovados, enquanto todos os outros nunca chegam ao destino final. Firewall como hardware Os firewalls em forma de hardware são equipamentos específicos para este fim e são mais comumente usados em aplicações empresariais. A vantagem de usar equipamentos desse tipo é que o hardware é dedicado em vez de compartilhar recursos com outros aplicativos. Dessa forma, o firewall pode ser capaz de tratar mais requisições e aplicar os filtros de maneira mais ágil. Como um firewall funciona? Esta tarefa só pode ser feita mediante o estabelecimento de políticas, isto é, de regras, como você também já sabe. Em um modo mais restritivo, um firewall pode ser configurado para bloquear todo e qualquer tráfego no computador ou na rede. O problema é que esta condição isola este computador ou esta rede, então pode-se criar uma regra para que, por exemplo, todo aplicativo aguarde autorização do usuário ou administrador para ter seu acesso liberado. Esta autorização poderá inclusive ser permanente: uma vez dada, os acessos seguintes serão automaticamente permitidos. Em um modo mais versátil, um firewall pode ser configurado para permitir automaticamente o tráfego de determinados tipos de dados, como requisições HTTP (sigla para Hypertext Transfer Protocol - protocolo usado para acesso a páginas Web), e bloquear outras, como conexões a serviços de e-mail. As políticas de um firewall são baseadas, inicialmente, em dois princípios: todo tráfego é bloqueado, exceto o que está explicitamente autorizado; todo tráfego é permitido, exceto o que está explicitamente bloqueado. Firewalls mais avançados podem ir além, direcionando determinadotipo de tráfego para sistemas de segurança internos mais específicos ou oferecendo um reforço extra em procedimentos de autenticação de usuários, por exemplo. Tipos de firewall O trabalho de um firewall pode ser realizado de várias formas. O que define uma metodologia ou outra são fatores como critérios do desenvolvedor, necessidades específicas do que será protegido, características do sistema operacional que o mantém, estrutura da rede e assim por diante. É por isso que podemos encontrar mais de um tipo de firewall. A seguir, os mais conhecidos. Filtragem de pacotes (packet filtering) Cada pacote possui um cabeçalho com diversas informações a seu respeito, como endereço IP de origem, endereço IP do destino, tipo de serviço, tamanho, entre outros. O Firewall então analisa estas informações de acordo com as regras estabelecidas para liberar ou não o pacote (seja para sair ou para entrar na máquina/rede), podendo também executar alguma tarefa relacionada, como registrar o acesso (ou tentativa de) em um arquivo de log. É possível encontrar dois tipos de firewall de filtragem de pacotes. O primeiro utiliza o que é conhecido como filtros estáticos, enquanto que o segundo é um pouco mais evoluído, utilizando filtros dinâmicos. Firewall de aplicação ou proxy de serviços (proxy services) O firewall de aplicação, também conhecido como proxy de serviços (proxy services) ou apenas proxy é uma solução de segurança que atua como intermediário entre um computador ou uma rede interna e outra rede, externa - normalmente, a internet. Geralmente instalados em servidores potentes por precisarem lidar com um grande número de solicitações, firewalls deste tipo são opções interessantes de segurança porque não permitem a comunicação direta entre origem e destino. Todo o fluxo de dados necessita passar pelo proxy. Desta forma, é possível, por exemplo, estabelecer regras que impeçam o acesso de determinados endereços externos, assim como que proíbam a comunicação entre computadores internos e determinados serviços remotos. O proxy transparente surge como uma alternativa para estes casos porque as máquinas que fazem parte da rede não precisam saber de sua existência, dispensando qualquer configuração específica. Todo acesso é feito normalmente do cliente para a rede externa e vice-versa, mas o proxy transparente consegue interceptá-lo e responder adequadamente, como se a comunicação, de fato, fosse direta. Um proxy "normal" é capaz de barrar uma atividade maliciosa, como um malware enviando dados de uma máquina para a internet; o proxy transparente, por sua vez, pode não bloquear este tráfego. Inspeção de estados (stateful inspection) Tido por alguns especialistas no assunto como uma evolução dos filtros dinâmicos, os firewalls deinspeção de estado (stateful inspection) trabalham fazendo uma espécie de comparação entre o que está acontecendo e o que é esperado para acontecer. Para tanto, firewalls de inspeção analisam todo o tráfego de dados para encontrar estados, isto é, padrões aceitáveis por suas regras e que, a princípio, serão usados para manter a comunicação. Estas informações são então mantidas pelo firewall e usadas como parâmetro para o tráfego subsequente. Arquitetura dos firewalls Quando falamos de arquitetura, nos referimos à forma como o firewall é projetado e implementado. Há, basicamente, três tipos de arquitetura. - Arquitetura Dual-Homed Host Nesta modalidade, há um computador chamado dual-homed host que fica entre uma rede interna e a rede externa - normalmente, a internet. O nome se deve ao fato de este host possuir ao menos duas interfaces de rede, uma para cada "lado". A desvantagem mais expressiva, por sua vez, é que qualquer problema com o dual-homed - uma invasão, por exemplo - pode pôr em risco a segurança da rede ou mesmo paralisar o tráfego. Por esta razão, o seu uso pode não ser adequado em redes cujo acesso à internet é essencial. Este tipo de arquitetura é bastante utilizado para firewalls do tipo proxy. - Screened Host Na arquitetura Screened Host, em vez de haver uma única máquina servindo de intermediadora entre a rede interna e a rede externa, há duas: uma que faz o papel de roteador (screening router) e outra chamada de bastion host. O bastion host atua entre o roteador e a rede interna, não permitindo comunicação direta entre ambos os lados. Perceba então que se trata de uma camada extra de segurança: a comunicação ocorre no sentido rede interna - bastion host - screening router - rede externa e vice-versa. - Screened Subnet A arquitetura Screened Subnet também conta com a figura do bastion host, mas este fica dentro de uma área isolada de nome interessante: a DMZ, sigla para Demilitarized Zone - Zona Desmilitarizada. A DMZ, por sua vez, fica entre a rede interna e a rede externa. Acontece que, entre a rede interna e a DMZ há um roteador que normalmente trabalha com filtros de pacotes. Além disso, entre a DMZ e a rede externa há outro roteador do tipo. Firewalls pessoais O tópico sobre arquiteturas mostra as opções de configuração de firewalls em redes. Mas, como você provavelmente sabe, há firewalls mais simples destinados a proteger o seu computador, seja ele um desktop, um laptop, um tablet, enfim. São os firewalls pessoais (ou domésticos), que devem ser utilizados por qualquer pessoa. Firewall de hardware O hardware nada mais é do que um equipamento com um software de firewall instalado. É possível encontrar, por exemplo, roteadores ou equipamentos semelhantes a estes que exercem a função em questão função. Neste caso, o objetivo normalmente é o de proteger uma rede com tráfego considerável ou com dados muito importantes. Rede privada virtual (VPN) Rede privada virtual, do inglês Virtual Private Network (VPN), é uma rede de comunicações privada construída sobre uma rede de comunicações pública (como por exemplo, a Internet). O tráfego de dados é levado pela rede pública utilizando protocolos padrões, não necessariamente seguros. Em resumo, cria uma conexão segura e criptografada, que pode ser considerada como um túnel, entre o seu computador e um servidor operado pelo serviço VPN. Uma VPN é uma conexão estabelecida sobre uma infraestrutura pública ou compartilhada, usando tecnologias de tunelamento e criptografia para manter seguros os dados trafegados. VPNs seguras usam protocolos de criptografia por tunelamento que fornecem a confidencialidade, autenticação e integridade necessárias para garantir a privacidade das comunicações requeridas. Alguns desses protocolos que são normalmente aplicados em uma VPN estão: Layer 2 Tunneling Protocol (L2TP), L2F, Point-to-Point Tunneling Protocol (PPTP) e o IP Security Protocol (IPsec). Quando adequadamente implementados, estes protocolos podem assegurar comunicações seguras através de redes inseguras. Deve ser notado que a escolha, implementação e uso destes protocolos não é algo trivial, e várias soluçõesde VPN inseguras podem ser encontradas no mercado. Adverte-se os usuários para que investiguem com cuidado os produtos que fornecem VPNs. Para se configurar uma VPN, é preciso utilizar serviços de acesso remoto, tal como o Remote Access Service (RAS), encontrado no Microsoft Windows 2000 e em versões posteriores, ou o Secure Shell (SSH), encontrado nos sistemas GNU/Linux e outras variantes do Unix. Aplicativos desenvolvidos para operar com o suporte de uma rede privada não utilizam recursos para garantir a privacidade em uma rede pública. A migração de tais aplicações é sempre possível, no entanto, certamente incorreria em atividades dispendiosas e exigiriam muito tempo de desenvolvimento e testes. A implantação de VPN pressupõe que não haja necessidade de modificações nos sistemas utilizados pelas corporações, sendo que todas as necessidades de privacidade que passam a ser exigidas sejam supridas pelos recursos adicionais que sejam disponibilizados nos sistemas de comunicação. Funcionamento Quando uma rede quer enviar dados para a outra rede através da VPN, um protocolo, exemplo IPsec, faz o encapsulamento do quadro normal com o cabeçalho IP da rede local e adiciona o cabeçalho IP da Internet atribuída ao roteador, um cabeçalho AH (cabeçalho de autenticação) e o cabeçalho ESP (cabeçalho que provê integridade, autenticidade e criptografia à área de dados do pacote). Quando esses dados encapsulados chegam à outra extremidade, é feito o desencapsulamento do IPsec e os dados são encaminhados ao referido destino da rede local. Segurança Quando adequadamente implementados, estes protocolos podem assegurar comunicações seguras através de redes inseguras. VPNs são usadas para conectar de forma segura filiais de uma organização separadas geograficamente, criando uma rede coesiva. diversas empresas interligam suas bases operacionais através de um VPN na internet. Usuários individuais de Internet também se beneficiam da VPN para prover segurança em conexões sem fio, para contornar geo-restrições e censura, ou para se conectar a servidores proxy com a finalidade de proteger a identidade e localização pessoal. No entanto, alguns sites da Internet bloqueiam o acesso à conhecidas tecnologias VPN para evitar a evasão de suas geo-restrições. Um sistema de comunicação por VPN tem um custo de implementação e manutenção insignificantes, se comparados aos antigos sistemas de comunicação física, como o frame relay, por exemplo - que tem um custo exorbitante e segurança muito duvidosa. Por este motivo, muitos sistemas de comunicação estão sendo substituídos por uma VPN que, além do baixo custo, oferece também uma alta confiabilidade, integridade e disponibilidade dos dados trafegados. Protocolos para VPN IPSec IPSec é um conjunto de padrões e protocolos para segurança relacionada com VPN sobre uma rede IP, e foi definido pelo grupo de trabalho denominado IP Security (IPSec) do IETF (Internet Engineering Task Force). O IPSec especifica os cabeçalhos AH (Authentication Header) e ESP (Encapsulated Security Payload), que podem se utilizados independentemente ou em conjunto, de forma que um pocote IPSec poderá apresentar somente um dos cabeçalhos (AH ou ESP) ou os dois cabeçalhos. Authentication Header (AH) Utilizado para prover integridade e autenticidade dos dados presentes no pacote, incluindo a parte invariante do cabeçalho, no entanto, não provê confidencialidade. Encapsulated Security Payload (ESP) Provê integridade, autenticidade e criptografia à área de dados do pacote. A implementação do IPSec pode ser feita tanto em Modo Transporte como em Modo Tunel. L2TP e PPTP Estes são protocolos utilizados em VPDNs (Virtual Private Dial Networks), ou seja, proporcionam o acesso de usuários remotos acessando a rede corporativa através do pool de modems de um provedor de acesso. Vale aqui uma discussão preliminar a respeito da diferença entre túneis "iniciados pelo cliente" e túneis "iniciados pelo provedor de acesso" : Túneis "iniciados pelo cliente" são também chamados de "voluntários", onde os túneis são criados por requisições do usuário para ações específicas e túneis "iniciados pelo provedor de acesso" são chamados de "compulsórios", já que são criados pelo provedor não proporcionando ao usuário nenhuma escolha e/ou intromissão. L2TP é um protocolo de túnelamento "compulsório". Essencialmente um mecanismo para repassar o usuário a outro nó da rede. No momento da interligação do usuário remoto com o provedor de acesso, após a devida autenticação e carga de uma configuração, um túnel é estabelecido até um ponto de terminação ( um roteador por exemplo ) pré-determinado, onde a conexão PPP é encerrada. Já o PPTP, um protocolo "voluntário", permite que os próprios sistemas dos usuários finais estabeleçam um túnel a uma localidade arbitrária sem a intermediação do provedor de acesso. Enquanto L2TP e PPTP soam bastante parecido, existem diferenças sútis quanto a sua aplicação. Existem diferenças na determinação de quem possuí o controle sobre o túnel e porque precisa ter. Na situação onde é utilizado o protocolo PPTP, o usuário remoto tem a possibilidade de escolher o destino do túnel. Este fato é importante se os destinos mudam com muita frequência, e nenhuma modificação se torna necessária nos equipamentos por onde o túnel passa. É também siginificativo o fato de que túneis PPTP são transparentes aos provedores de acesso. Nenuma ação se torna necessária além do serviço comum de prover acesso a rede. Usuários com perfis diferenciados com relação a locais de acesso – diferentes cidades, estados e países – se utilizam com mais frequencia do protocolo PPTP pelo fato de se tornar desnecessária a intermediação do provedor no estabelecimento do túnel. É somente necessário saber o número local para acesso que o software no laptop realiza o resto. Onde se utiliza L2TP, temos um comportamento diferente de usuários e de provedores. Agora o controle está nas mãos do provedor e ele está fornecendo um serviço extra ao somente provimento do acesso. Esta é uma certa desvantagem para o usuário e vantagem para o provedor : este serviço extra pode ser cobrado. A escolha de qual protocolo utilizar é um baseado na determinação da posse do controle: se o controle deve ficar nas mãos do provedor ou do usuário final. Nível de Segurança Os habilitadores das tecnologias de segurança são de conhecimento comum e são apresentados os mesmos abaixo : ● CHAP Challenge Handshake Authentication Protocol ● RADIUS Remote Authentication Dial-in User Service ● Certificados digitais ● Encriptação de Dados SEGURANÇA EM REDES SEM FIO A segurança é um ponto fraco das redes sem fio pois o sinal propaga-se pelo ar em todas as direções e pode ser captado a distâncias de centenas de metros utilizando um laptop com antena amplificada o que torna as redes sem fio inerentemente vulneráveis à interceptação. Extensible Authentication Protocol O Extensible Authentication Protocolou EAP é um protocolo que permite vários métodos de autenticação como EAP-MD5, EAP-TLS e diversos outros métodos. As modalidades de autenticação podem ser por certificados de segurança ou por senhas. EAP por certificados de segurança EAP-TLS: requer a instalação de certificados de segurança no servidor e nos clientes. Proporciona autenticação mútua, isto é, o servidor autentica o cliente e vice-versa utilizando o protocolo TLS (Transparent Layer Substrate). EAP-TTLS: similar ao EAP-TLS porém o certificado somente é instalado no servidor o que permite a autenticação do servidor por parte do cliente. A autenticação do cliente por parte do servidor faz-se após estabelecer uma sessão TLS utilizando outro método como PAP, CHAP, MS-CHAP ou MS-CHAP v2. PEAP: similar ao EAP-TTLS pois somente requer certificado de segurança no servidor. Foi desenvolvido por Microsoft, Cisco e RSA Security. EAP por senhas EAP-MD5: utiliza nome de usuário e senha para autenticação. A senha é transmitida de forma cifrada através do algoritmo MD5. não fornece um nível de segurança alto pois pode sofrer ataques de “dicionário” isto é um atacante pode enviar varias senhas cifradas até encontrar uma senha válida. Não há como autenticar o servidor e não gera chaves WEP dinâmicas. LEAP: utiliza node de usuário e senha e suporta chaves WEP dinâmicas. Por ser uma tecnologia proprietária da Cisco exige que os equipamentos sejam da Cisco e que o servidor RADIUS seja compatível com o LEAP. Service Set ID Service Set ID ou SSID é um código alfanumérico que identifica uma rede sem fio. Cada fabricante utiliza um mesmo código para seus componentes que fabrica. Você deve alterar este nome e desabilitar a opção de “broadcast SSID” no ponto de acesso para aumentar a segurança da rede. Quando o “broadcast SSID” está habilitado o ponto de acesso periodicamente envia o SSID da rede permitindo que outros clientes possam conectar-se à rede. Em redes de acesso público é desejável que seja feita a propagação do SSID para que qualquer um possa conectar-se à rede. Como o SSID pode ser extraído do pacote transmitido através da técnica de “sniffing” ele não oferece uma boa segurança para a rede. Mesmo não oferecendo uma segurança à rede deve-se alterar o nome para evitar que outros usem sua rede acidentalmente. Wired Equivalency Privacy Wired Equivalency Privacy ou WEP, como sugere o nome este protocolo tem a intenção de fornecer o mesmo nível de privacidade de uma rede a cabo. É um protocolo de segurança baseado no método de criptografia RC4 que usa criptografia de 64 bits ou 128 bits. Ambas utilizam um vetor de inicialização de 24 bits porém a chave secreta tem um comprimento de 40 bits ou de 104 bits. Todos os produtos Wi-Fi suportam a criptografia de 64 bits porém nem todos suportam a criptografia de 128 bits. Além da criptografia também utiliza um procedimento de checagem de redundância cíclica no padrão CRC-32 utilizado para verificar a integridade do pacote de dados. O WEP não protege a conexão por completo mas somente o pacote de dados. O protocolo WEP não é totalmente seguro pois já existem programas capazes de quebrar as chaves de criptografia no caso da rede ser monitorada durante um tempo longo. Wi-Fi protected Access Wi-Fi Protected Access ou WPA foi elaborado para contornar os problemas de segurança do WEP. O WPA possui um protocolo denominado TKIP (Temporal Key Integrity Protocol) com um vetor de inicialização de 48 bits e uma melhor criptografia de 128 bits. Com a utilização do TKIP a chave é alterada em cada pacote e sincronizada entre o cliente e o Aceess point, também faz uso de autenticação do usuário por um servidor central. WPA2 Uma melhoria do WPA que utiliza o algoritmo de encriptação denominado AES (Advanced Encryption Standard). Remote Authentication Dial–In User Service Remote Authentication Dial-In User Service ou RADIUS é um padrão de encriptação de 128 bits proprietária e mais segura porém disponível em apenas alguns produtos que custam mais caro devido a adição de uma camada extra de criptografia. Media Access Control Media Access Control ou MAC, cada placa de rede tem seu próprio e único número de endereço MAC. Desta forma é possível limitar o acesso a uma rede somente às placas cujos números MAC estejam especificados em uma lista de acesso. Tem a desvantagem de exigir um maior gerenciamento pois necessita atualizar a lista de endereços MAC quando troca-se um computador da rede ou para prover acesso a um visitante ou para redes públicas. Outra desvantagem deve-se ao fato de poder alterar via software o número MAC da placa de rede para um outro número válido para acesso à rede. Permissões de acesso Outra maneira de aumentar a segurança é restringir o acesso a pastas e arquivos compartilhados através da utilização de senhas. Nunca compartilhe pastas ou arquivos sem senha. Posicionamento físico Estabelecer uma rede sem fio segura começa com a disposição física dos pontos de acesso dentro do prédio. Em uma residência, deve-se colocar o ponto de acesso em algum lugar mais central da residência e não colocar em uma parede lateral da casa próxima a rua ou próxima a uma janela.[PG1] Vulnerabilidades Nenhum tipo de rede é totalmente segura, até mesmo redes a cabo sofrem de diversos tipos de vulnerabilidades. As redes sem fio são ainda mais vulneráveis que as redes a cabo devido a propagação do sinal em todas as direções. Neste capítulo veremos os principais tipos de ataque às redes sem fio. Access Point Spoofing Access Point Spoofing ou Associação Maliciosa, neste caso o atacante faz-se passar por um access point e o cliente pensa estar conectando-se a uma rede WLAN verdadeira. Ataque comum em redes ad-hoc. ARP Poisoning ARP Poisoning ou Envenenamento ARP, ataque ao protocolo Arp (Address Resolution Protocol) como o caso de ataque denominado “Man in the Midle” ou homem no meio. Um computador invasor X envia um pacote de ARP reply para Y dizendo que o endereço IP do computador Z aponta para o endereço MAC do computador X e da mesma forma envia um pacote de ARP reply para o computador Z dizendo que o endereço IP do computador Y aponta para o endereço MAC de X. Como o protocolo ARP não guarda os estados, desta forma os computadores Y e Z assumem que enviaram um pacote de ARP request pedindo estas informações e assumem os pacotes como verdadeiros. A partir deste ponto, todos os pacotes trocados entre os computadores Y e Z passam por X (homem no meio). MAC spoofing MAC Spoofing ou mascarar o MAC, ocorre quando um atacante rouba um endereço MAC de uma rede fazendo-se passar por um cliente autorizado. Em geral as placas de redes permitem a troca do numero MAC por outro o que possibilita este tipo de ataque. Denial of service (DDOS) Denial of Service ou Negativa de Serviço, também conhecidopor D.o.S. consiste em negar algum tipo de recurso ou serviço. Pode ser utilizado para “inundar” a rede com pedidos de dissociação impossibilitando o acesso dos usuários pois os componentes da rede teem de ficar associando-se e desassociando-se. A recusa de algum serviço também pode ter origem em interferências por equipamentos de Bluetooth, fornos de microondas e telefone sem fio devido ao fato destes equipamentos trabalharem na mesma faixa de freqüência das redes sem fio. WLAN scanners WLAN Scanners ou Ataque de Vigilância, consiste em percorrer um local que se deseja invadir para descobrir redes WLAN em uso no local bem como equipamentos físicos para posterior ataque ou roubo. Wardriving e warchalking Chama-se de “Wardriving” à atividade de encontrar pontos de acesso a redes sem fio enquanto desloca-se pela cidade em um automóvel e fazendo uso de um laptop com placa de rede wireless e um antena para detectar os sinais. Após localizar um ponto de acesso a uma determinada rede sem fio alguns indivíduos marcam a área com um símbolo feito com giz na calçada ou no muro para identificar o tipo de rede para outros invasores - atividade denominada “warchalking”. MÉTODOS DE ACESSO SEGURO Virtual Private Network Virtual Private Network ou VPN, todo o trafego é criptografado independente do destino e provenientes de usuários autenticados e a integridade dos dados também é verificada. Existem diversos protocolos para VPN como o IPSec, PPTP e L2TP e Socks v5. Uma desvantagem das VPN é a diminuição da velocidade de conexão devido a encriptação dos dados. Remote Authentication Dial–In User Service Remote Authentication Dial-In User Service ou RADIUS, o nome do usuário e a sua senha são enviados para um servidor RADIUS o qual checa as informações. Se aceitas o servidor permite o acesso à rede bem como o número IP do cliente e outras configurações. Apesar do RADIUS não ter sido desenvolvido especificamente para redes sem fio ele aumenta a segurança da rede sendo muito utilizado para serviços de telefonia sobre IP ou VoIP (Voice over IP). Recomendações: -Instale o roteador em um local mais afastado da rua e de janelas. -Muitos roteadores permitem controlar a intensidade do sinal então diminua a intensidade para restringir a propagação para fora do prédio. -Trocar a senha padrão do roteador, em geral o nome de usuário é admim e a senha também é admim. -Trocar o SSID padrão do roteador e desabilitar o broadcast do SSID. -Não permitir gerenciamento através da rede sem fio mas somente através da rede cabeada conectada a uma das portas LAN do roteador. -Usar o WPA, caso não esteja disponível utilize o WEP com uma senha de 128 bits se possível. -Instale atualizações de firmware quando disponibilizadas pelo fabricante. -Desligue o roteador ou desabilite a rede sem fio quando não estiver em uso. -Tenha sempre em mente a segurança de todo o sistema instalando um firewall, atualizando o anti-virus, o sistema operacional e os programas. Sistema de Detecção de Intrusão Normalmente o que encontramos são mecanismos que tentam impedir o acesso indevido ao sistema. Mas quando o sistema se encontra comprometido por algum motivo, seja uma sessão ativa esquecida por um usuário, uma falha de segurança de um software desatualizado instalado no servidor que gerencia toda a rede, ou em um dos computadores da rede participantes da rede local. Neste momento nos deparamos com uma intrusão, e é aí que se faz necessária a utilização de um mecanismo que identifique e alerte ou responda à atividade maliciosa em questão. O Sistema de Detecção de Intrusão (Intrusion Detection System - IDS) pode ser definido como um sistema automatizado de segurança e defesa detectando atividades hostis em uma rede ou em um computador (host ou nó). Além disso, o IDS tenta impedir tais atividades maliciosas ou reporta ao administrador de redes responsável pelo ambiente. Trata-se de um mecanismo de segunda linha de defesa. Isto quer dizer que, somente quando há evidências de uma intrusão/ataque é que seus mecanismos são utilizados. A primeira linha defensiva é aquela que tentará limitar ou impedir o acesso ao ambiente, o que pode ser, por exemplo, um firewall. O IDS pode apresentar uma forma de resposta a algum tipo de ataque, trabalhando em conjunto com a primeira linha de defesa, por exemplo, incluindo regras no firewall ou bloqueando a sessão em questão. Pode ainda reportar as atividades maliciosas constatadas aos outros nós da rede. O que é IDS e como funciona: Conforme os conceitos descritos em um dos artigos-base sobre IDS (ver referências ao final), podemos conceituar a detecção de intrusão como um processo de monitoramento de eventos que ocorrem em um sistema de computação ou em uma rede e tem o intuito de analisar possíveis incidentes, possíveis violações ou iminências de violações às regras de segurança deste ambiente. Incidentes podem ter várias causas, desde a ação de malwares (worms, spywares etc.) até ataques que visam o ganho não autorizado do ambiente em questão. A utilização de IDS como sistema de prevenção pode envolver desde alertas ao administrador da rede e exames preventivos até a obstrução de uma conexão suspeita. Ou seja, o processo de detecção de intrusão é o de identificar e responder de maneira preventiva atividades suspeitas que possam interferir nos princípios da integridade, confiabilidade e disponibilidade. Além disso, as ferramentas de IDS são capazes de distinguir de onde se originaram os ataques, de dentro ou fora da rede em questão. Os IDS geralmente analisam arquivos locais em busca de rastros de tentativas mal-sucedidas de conexão à máquina, ou até mesmo nas camadas do modelo de pilha TCP/IP abaixo da camada de aplicação, como por exemplo, alterações nos campos do cabeçalho do protocolo IP. Considerações sobre IDS: • Não é um software antivírus projetado para detectar softwares maliciosos tais como vírus, trojans, e outros; • Não é usado como um sistema de registro de rede, por exemplo, para detectar total vulnerabilidade gerada por ataques DoS (Denial-of-Service) que venham a congestionar a rede. Para isso são usados sistemas de monitoramento de tráfego de rede; • Não é uma ferramenta de avaliação de vulnerabilidades, verificando erros e falhas de sistema operacional e serviços de rede. Tal atividade é de ordem dos scanners de segurança que varrem a rede em busca destas mesmas falhas. Em um modelo básico de IDS é possível incluir alguns elementos. Primeiramente, as decisões provenientes do IDS são baseadas sob a coleta de dados realizada. As fontes de dados podem incluir desde entradas pelo teclado, registros de comandos básicos a registros de aplicações. As decisões somente são tomadas quando se tem uma quantidade significativade dados em sua base que confirmam a maliciosidade daquele computador. Os dados são armazenados por tempo indefinido (que podem ser apagados posteriormente), para mais tarde servirem de referência, ou então temporariamente, esperando o processamento. Os dados coletados com informações iguais (considerados, portanto, elementos homogêneos), são cruciais para o trabalho do IDS. Um ou mais algoritmos são executados, procurando evidências para que se tomem rapidamente decisões contra as atividades suspeitas. Geralmente os IDS são controlados por configurações que especificam todas suas ações. Estas configurações ditam onde os dados serão coletados para análise, assim como qual resposta será resultado para cada tipo de intrusão. O melhor ajuste de configurações ajuda a definir uma maior proteção ao ambiente, porém, o contrário, provavelmente, será prejudicial. O IDS gera um alarme, é ele o responsável por todo o tipo de saída, desde respostas automáticas, alerta de atividades suspeitas ao administrador e notificação ao usuário. É interessante que se tenha em mente o fato dos alertas não serem conclusivos ou que possa haver existência de erros tanto de análise como de configuração, o que pode gerar os chamados falsos positivos, que são alertas, ou ações, em resposta a evidências encontradas pelo IDS, porém de forma equivocada. A mesma frágil configuração pode gerar falsos negativos, que se conceitua pela falta de alerta ou decisão para um ataque real. Busca-se sempre que o IDS tenha o menor número de falsos positivos e falsos negativos quanto possível. Tipos de IDS: A detecção de intrusão pode ser classificada em três categorias: detecção por assinatura ou mau uso (Misuse Detection), detecção por anomalia (Anomaly Detection) e detecção baseada em especificação (Specification-based Detection). A seguir serão explicadas de forma mais detalhada cada uma destas categorias. Detecção por assinatura Detectores deste tipo analisam as atividades do sistema procurando por eventos ou conjuntos de eventos que correspondam a padrões pré-definidos de ataques e outras atividades maliciosas. Estes padrões são conhecidos como assinaturas. Geralmente cada assinatura corresponde a um ataque ou outra atividade específica. É natural e simples pensar em um exemplo típico deste tipo de evidência, onde o atacante tenta se logar no sistema por meio de um acesso remoto, por exemplo o SSH (Secure Shell), e erra a senha por mais de três vezes. Por meio de uma assinatura encontrada nos logs (registros) do sistema, ou seja, a linha correspondente ao erro de autenticação, é então emitido ao administrador um alerta e bloqueado o acesso do atacante, conforme a configuração do IDS realizada pelo administrador. A seguir listamos as vantagens e desvantagens da utilização deste tipo de detecção. Vantagens da detecção baseada em assinaturas: • São muito eficientes na detecção (comparando-se com a detecção baseada em anomalias) sem gerar grande número de alarmes falsos; • Podem diagnosticar o uso de uma ferramenta ou técnica específica de ataque. Desvantagens da detecção baseada em assinaturas: • Estes tipos de detectores somente podem detectar ataques conhecidos, ou seja, que estão incluídos no conjunto de assinaturas que o IDS possui, necessitando-se assim de constante atualização deste conjunto (assim como os antivírus); • A maioria destes detectores possui assinaturas muito específicas, não detectando dessa forma as variantes de um mesmo ataque. IDS baseado em rede Este tipo de IDS tem por objetivo detectar ataques pela análise dos pacotes que trafegam pela rede através de uma escuta em um segmento de rede (como um sniffer- farejador de pacotes). Com isso, um IDS tem a capacidade de monitorar o tráfego de todos os nós que estão conectados neste segmento, protegendo-os. IDSs baseados em rede (Network Intrusion Detection System - NIDS) geralmente consistem de um conjunto de sensores colocados em vários pontos da rede que monitoram o tráfego, realizando uma análise local do mesmo e relatando ataques a um console central de gerenciamento. Como os sensores são limitados a executarem somente o IDS, eles podem ser mais facilmente protegidos contra ataques. Este tipo de IDS garante que, com poucos IDSs instalados, mas bem posicionados, pode se monitorar uma grande rede. É geralmente simples adicionar esse tipo de IDS a uma rede e são considerados bem seguros a contra ataques. Porém, apresentam algumas desvantagens, como a dificuldade em processar todos os pacotes em uma rede grande e sobrecarregada. Assim, podem falhar no reconhecimento de um ataque lançado durante períodos de tráfego intenso, além de muitas das vantagens dos IDSs baseados em rede não se aplicarem às redes mais modernas baseadas em switches, pois estes segmentam a rede, necessitando assim de ativar portas de monitoramento nesses equipamentos para que o sensor funcione corretamente. Outra grande desvantagem do IDS baseado em rede é o de não poder analisar informações criptografadas, já que essas somente serão visualizadas na máquina de destino. Um exemplo de colocação em uma rede de um IDS baseado em rede pode ser visto na Figura 1. Figura 1. IDS baseado em Rede. IDS baseado em host Este tipo de IDS é instalado em um host que será alertado sobre ataques ocorridos contra a própria máquina. Este IDS avalia a segurança deste host como base em arquivos de log do sistema operacional, log de acesso e log de aplicação, por exemplo. Tem grande importância, pois fornece segurança a tipos de ataques em que o firewall e um IDS baseado em rede não detectam, como os baseados em protocolos criptografados, já que estão localizados no destino da informação. Um exemplo de sua utilização pode ser visto na Figura 2, onde um IDS baseado em host avisa aos demais sistemas de IDSs dos outros nós sobre a presença de um intruso. Figura 2. IDS baseado em Host. Controle de acesso O Controle de acesso de rede, ou NAC (Network Access Control) é uma abordagem à segurança de computadores que tenta unificar a tecnologia de segurança de endpoints (como antivírus, prevenção contra invasões de host e avaliação de vulnerabilidades), autenticação de usuários ou sistemas e aplicação de segurança de rede. É uma solução de rede de computadores que usa um conjunto de protocolos para definir e implementar uma política que descreve como proteger o acesso a nós da rede por dispositivos quando eles inicialmente tentam acessar a rede. o processo de correção automática (corrigindo nós não compatíveis antes de permitir o acesso) nos sistemas de rede, permitindo que a infraestrutura de rede, como roteadores, switches e firewalls, trabalhe em conjunto com servidores de back office e equipamentos de computação de usuário final paragarantir que o sistema de informações esteja funcionando com segurança antes que a interoperabilidade seja permitida. Uma forma básica do NAC é o padrão 802.1X. O NAC visa fazer exatamente o que o nome indica - controlar o acesso a uma rede com políticas, incluindo verificações de políticas de segurança de endpoints pré-admissão e controles pós-admissão sobre onde os usuários e dispositivos podem ir em uma rede e o que eles podem fazer. Exemplo Quando um computador se conecta a uma rede de computadores, ele não tem permissão para acessar nada, a menos que esteja em conformidade com uma política definida de negócios; incluindo nível de proteção antivírus, nível de atualização do sistema e configuração. Enquanto o computador está sendo verificado por um agente de software pré-instalado, ele só pode acessar recursos que possam remediar (resolver ou atualizar) quaisquer problemas. Uma vez cumprida a política, o computador pode acessar os recursos de rede e a Internet, dentro das políticas definidas no sistema NAC. O NAC é usado principalmente para verificações de integridade de endpoints, mas geralmente é vinculado ao Access baseado em função. O acesso à rede será dado de acordo com o perfil da pessoa e os resultados de uma postura / verificação de saúde. Por exemplo, em uma empresa, o departamento de RH pode acessar apenas os arquivos do departamento de RH, se a função e o ponto final atenderem aos requisitos mínimos do antivírus. Objetivos Como o NAC representa uma categoria emergente de produtos de segurança, sua definição é tanto evolutiva quanto controversa. Os objetivos gerais do conceito podem ser destilados como: ● Mitigação de ataques com menos de zero dia ● Autorização, autenticação e contabilidade de conexões de rede. ● Criptografia de tráfego para a rede com e sem fio usando protocolos para 802.1X, como EAP-TLS, EAP-PEAP ou EAP-MSCHAP. ● Controles baseados em função de pós-autenticação de usuário, dispositivo, aplicativo ou postura de segurança. ● Automação com outras ferramentas para definir a função de rede com base em outras informações, como vulnerabilidades conhecidas, status de jailbreak etc. ○ O principal benefício das soluções NAC é evitar que as estações finais que não possuem antivírus, patches ou software de prevenção contra invasões acessem a rede e coloquem outros computadores em risco de contaminação cruzada de worms de computador. ● Execução de políticas ○ As soluções NAC permitem que os operadores de rede definam políticas, como os tipos de computadores ou funções de usuários com permissão para acessar áreas da rede, e os aplicam em switches, roteadores e middleboxes de rede. ● Gerenciamento de identidade e acesso ○ Onde as redes IP convencionais impõem políticas de acesso em termos de endereços IP, os ambientes NAC tentam fazer isso com base em identidades de usuários autenticadas, pelo menos para estações finais de usuários, como laptops e computadores desktop. Pré-admissão e pós-admissão Existem dois projetos predominantes no NAC, com base em se as políticas são aplicadas antes ou depois que as estações finais obtêm acesso à rede. No primeiro caso, chamado NAC de pré-admissão, as estações finais são inspecionadas antes de serem permitidas na rede. Um caso de uso típico de NAC de pré-admissão seria impedir que clientes com assinaturas antivírus desatualizadas conversem com servidores confidenciais. Como alternativa, o NAC pós-admissão toma decisões de execução com base nas ações do usuário, depois que esses usuários tiverem acesso à rede Agente versus sem agente A idéia fundamental por trás do NAC é permitir que a rede tome decisões de controle de acesso baseadas em inteligência sobre os sistemas finais, de modo que a maneira pela qual a rede é informada sobre os sistemas finais é uma decisão-chave do projeto. Uma diferença fundamental entre os sistemas NAC é se eles exigem que o software do agente informe as características do sistema final, ou se eles usam técnicas de varredura e de inventário de rede para discernir essas características remotamente. Com o amadurecimento do NAC, desenvolvedores de software como a Microsoft adotaram essa abordagem, fornecendo seu agente de proteção de acesso à rede (NAP) como parte de suas versões do Windows 7, Vista e XP. Há também agentes compatíveis com NAP para Linux e Mac OS X que fornecem inteligência igual para esses sistemas operacionais. Fora de banda versus em rede Em alguns sistemas fora de banda, os agentes são distribuídos nas estações finais e reportam informações para um console central, que, por sua vez, pode controlar os switches para impor a política. Em contraste, as soluções inline podem ser soluções de caixa única que atuam como firewalls internos para redes de camada de acesso e reforçam a política. As soluções fora de banda têm a vantagem de reutilizar a infraestrutura existente; Os produtos inline podem ser mais fáceis de implantar em novas redes e podem fornecer recursos de execução de rede mais avançados, porque estão diretamente no controle de pacotes individuais na rede. No entanto, existem produtos que são sem agente e têm as vantagens inerentes de implantação fora de banda mais fácil e menos arriscada, mas usam técnicas para fornecer eficácia em linha para dispositivos não compatíveis, em que a imposição é necessária. Remediação, quarentena e portais cativos Os operadores de rede implantam produtos NAC com a expectativa de que alguns clientes legítimos terão acesso negado à rede (se os usuários nunca tivessem níveis de patch desatualizados, o NAC seria desnecessário). Por isso, as soluções NAC exigem um mecanismo para remediar os problemas do usuário final que impedem o acesso. Duas estratégias comuns para remediação são redes de quarentena e portais cativos: Quarentena Uma rede de quarentena é uma rede IP restrita que fornece aos usuários acesso roteado apenas a determinados hosts e aplicativos. A quarentena é frequentemente implementada em termos de atribuição de VLANs; Quando um produto NAC determina que um usuário final está desatualizado, sua porta de switch é atribuída a uma VLAN roteada apenas para corrigir e atualizar servidores, não para o restante da rede. Outras soluções usam técnicas de Gerenciamento de Endereços (como ARP (Address Resolution Protocol) ou NDP) para quarentena, evitando a sobrecarga de gerenciamento de VLANs de quarentena. Portais cativos Um portal cativo intercepta o acesso HTTP a páginas da Web, redirecionando os usuários para um aplicativo da Web que fornece instruções e ferramentas para atualizar seu computador. Até que seu computador passe pela inspeção automatizada, nenhum uso de rede além do portal cativo é permitido. Isso é semelhante ao modo como o acesso sem fio pago funciona em pontos de acesso público. Os Portais Captive externos permitem que as organizações descarreguem controladores e switches sem fio dosportais da Web de hospedagem. Um único portal externo hospedado por um dispositivo NAC para autenticação com e sem fio elimina a necessidade de criar vários portais e consolida os processos de gerenciamento de políticas O que é Criptografia? De origem grega, a palavra “criptografia” pode ser traduzida como escrita escondida. Literalmente, é a técnica em que a informação transmitida pode ser transformada da sua forma original para outra impossível de ser identificada; a intenção é que apenas o destinatário certo e com a chave específica possa ter acesso àquela informação. No passado, egípcios, gregos e romanos usaram a criptografia para evitar que suas mensagens caíssem em mãos erradas. Hoje em dia, o problema é o mesmo, mas a história é outra. A tecnologia usa a criptografia para que a troca de informações online seja cada vez mais segura. O conceito é o mesmo: codificar mensagens para assegurar a integridade da informação. Na computação, o que define o grau de segurança de uma criptografia é a quantidade de bits aplicados à codificação. Começando do básico, uma chave de oito bits é capaz de gerar 256 combinações diferentes. Hoje, a maioria dos algoritmos de criptografia possuem chaves de 128 bits, o que já é bastante seguro. Em 1996, especialistas estimaram que fosse necessário uma chave de 90 bits para proteger as comunicações até 2016. E, uma chave de 128 bits é cerca de 275 milhões de vezes mais difícil de ser quebrada do que uma de 90 bits. Existem dois tipos de criptografia: simétrica e assimétrica. A primeira é quando emissor e receptor possuem a mesma chave, que é capaz de codificar ou traduzir mensagens. Este é o método aplicado no envio de e-mails, por exemplo. Já a criptografia assimétrica utiliza duas chaves diferentes: uma pública e outra privada. A única capaz de traduzir a informação é a chave privada, assim, apenas o receptor pode traduzir o que qualquer um pode codificar. Este é o método aplicado às senhas de cartão de crédito. A criptografia é indispensável para a troca de informações na internet. Mas apesar de tanta segurança, só esta tecnologia não é capaz de garantir segurança absoluta. Sempre vai existir alguém tentando desenvolver técnicas para quebrar essas chaves; é exatamente por isso que novas técnicas são criadas a cada dia. Além da criptografia, é importante o usuário saber usar a internet e suas ferramentas de forma segura. Criptografia de chave Pública Criptografia de chave pública, também conhecida como criptografia assimétrica, é uma classe de protocolos de criptografia baseados em algoritmos que requerem duas chaves, uma delas sendo secreta ou privada e a outra delas sendo pública. Apesar de diferentes, as duas partes desse par de chaves são matematicamente ligadas. A chave pública é usada, por exemplo, para encriptar purotexto ou para verificar uma assinatura digital; já a chave privada é usada para a operação oposta, nesses exemplos para decriptar uma informação previamente criptografada ou para criar uma assinatura digital. O termo assimétrica vem do uso de diferentes chaves para realizar essas funções opostas, cada uma a inversa da outra: como contrapartida da criptografia simétrica convencional, a qual depende da mesma chave para realizar ambos. Algoritmos de chave pública são baseados em problemas matemáticos que atualmente não admitem solução eficiente e são inerentes em determinados relacionamentos de fatoração inteira, logaritmo discreto, e curva elíptica. É computacionalmente fácil para um usuário gerar um par de chaves, uma pública e uma privada, e usá-lo para encriptação e decriptação. A força está na impossibilidade, computacionalmente impraticável para uma chave privada gerada apropriadamente ser determinada pela sua chave pública correspondente. Assim, a chave pública pode ser publicada sem comprometer a segurança. Segurança depende apenas de manter secreta a chave privada, isto é, a chave privada nunca deve ser descoberta. Algoritmos de chave pública, diferente de algoritmos de chave simétrica, não exigem um canal seguro para a troca inicial de uma ou mais chave secreta entre as partes. Por causa da complexidade computacional da encriptação assimétrica, ela é tipicamente usada apenas para transferir uma chave de encriptação simétrica pela qual a mensagem e normalmente a conversa inteira é encriptada. A encriptação decriptação simétrica é baseada em algoritmos mais simples e muito mais rápidos. Autenticação de mensagens envolve aplicar hash à mensagem para produzir um resumo, e encriptar o resumo com a chave privada para produzir uma assinatura digital. Dessa forma qualquer um pode verificar essa assinatura computando o hash da mensagem, decriptando a assinatura com a chave pública do signatário, e comparando o resumo computado com o resumo decriptado. A igualdade entre os resumos confirma que a mensagem não foi modificada já que ela foi assinada, e que o assinante, e ninguém mais, intencionalmente realizou a operação de assinatura presumindo que a chave privada do assinante se manteve secreta para o assinante. A descrição acima depende de um algoritmo de hash de tamanha qualidade tal que ele seja computacionalmente impossível de alterar ou encontrar uma mensagem substituta que produza o mesmo resumo. Porém estudos mostram que até com os algoritmos MD5 e SHA-1, produzir uma mensagem alterada ou substituta não é impossível. O padrão atual de hash para encriptação é SHA-2 . A própria mensagem pode ser usada no lugar do resumo. Algoritmos de chave pública são ingredientes de segurança fundamentais em criptosistemas, aplicações e protocolos. Eles dão sustentação a vários padrões da Internet, tais quais Segurança da Camada de Transporte (SCT), S/MIME, PBB, e GPG. Alguns algoritmos de chave pública fornecem distribuição de chave e sigilo (e.g., Troca de chaves de Diffie–Hellman), outros fornecem assinaturas digitais (e.g., Algoritmo de Assinatura Digital), e alguns fornecem ambos (e.g., RSA). Criptografia de chave pública encontra aplicações na disciplina de segurança de TI segurança da informação, entre outras. Segurança da informação (SI) lida com todos os aspectos de proteção da informação eletrônica ativa contra ameaças de segurança. Criptografia de chave pública é usada como um método de garantir a confidencialidade, autenticidade e o não-repúdio de comunicações eletrônicas e de armazenamento de dados. Segurança Alguns esquemas de encriptação podem ser provados como sendo seguros com base na dificuldade presumida de um problema matemático, como encontrar a fatoração inteira do produto de dois primos muito grandes ou computar logaritmos discretos. Note que segurança aqui tem um significado matematicamente preciso, e existem múltiplas definições significativas diferentes do que significa dizer que um esquema de encriptação é seguro. Adefinição correta depende do contexto no qual o esquema será implantado. A aplicação mais óbvia de um sistema de encriptação de chave pública é confidencialidade – uma mensagem que o emissor quer encriptar usando a chave pública do destinatário pode ser decriptada apenas pela chave privada correspondente do destinatário. Assumindo, claro, que nenhuma falha foi descoberta no algoritmo base usado. Outro tipo de aplicação em criptografia de chave pública é o de esquemas de assinatura digital . Em tal esquema, o usuário que quer enviar uma mensagem computa uma assinatura digital para essa mensagem, e então envia essa assinatura digital junto com a mensagem para o remetente desejado. Esquemas de assinatura digital têm a propriedade de que assinaturas podem ser computadas apenas com o conhecimento da chave privada correta. Para verificar que a mensagem foi assinada pelo usuário e que não foi modificada, o destinatário precisa saber apenas a chave pública correspondente. Em alguns casos (e.g. RSA), um único algoritmo pode ser usado para encriptar e criar assinaturas digitais. Em outros casos (e.g., DAS) cada algoritmo pode ser usado apenas para um propósito específico. Para alcançar tanto autenticação quanto confidencialidade, o emissor deve assinar a mensagem usando sua a chave privada, e então encriptar tanto a mensagem quanto a assinatura usando a chave pública do destinatário. Essas características podem ser usadas para construir muitos outros por vezes surpreendentes protocolos criptográficos e aplicações, tais como moeda digital , acordo de chave de senha autenticada, acordo de chave de múltiplas partes, Serviços de marcação de tempo, protocolos de não-repúdio. Conclusões Firewalls são soluções importantes de segurança, Mas, tal como evidencia o tópico sobre limitações, um firewall não é capaz de proteger totalmente uma rede ou um computador, razão pela qual deve ser utilizado em conjunto com outros recursos, como antivírus, sistemas de detecção de intrusos, VPN (Virtual Private Network) e assim por diante. O pensamento que se deve ter é o de que o firewall é parte da segurança, não a segurança em si, da mesma forma que acontece em um prédio, por exemplo: muros, portões, câmeras de vigilância e alarmes fazem a segurança de maneira conjunta, havendo menos eficiência se apenas um ou outro item for utilizado. A especificação da VPN a ser implantada deve tomar por base o grau de segurança que se necessita, ou seja, avaliando o tipo de dado que deverá trafegar pela rede e se são dados sensíveis ou não. Dessa definição depende a escolha do protocolo de comunicação, dos algoritmos de criptografia e de Integridade, assim como as políticas e técnicas a serem adotadas para o controle de acesso. Tendo em vista que todos esses fatores terão um impacto direto sobre a complexidade e requisitos dos sistemas que serão utilizados, quanto mais seguro for o sistema, mais sofisticados e com capacidades de processamento terão de ser os equipamentos, principalmente, no que se refere a complexidade e requisitos exigidos pelos algoritmos de criptografia e integridade. As comunicações sem fio são utilizadas em larga escala e estão cada vez mais presentes no nosso dia a dia. Essas comunicações sem fio vêm para satisfazer diversas necessidades e desejos, tais como: conforto, comodidade, flexibilidade. Existem diversos aparelhos que usam a comunicação sem fio, Ex.: no controle remoto da televisão, do aparelho de som, do portão eletrônico, em celulares, notebooks, bem como para resolver diversos problemas que ao longo do tempo foram surgindo. Hoje em dia a maioria das pessoas tem em casa uma rede sem fio, antigamente isto era só para pessoas com maior poder aquisitivo, mais estas pessoas não tem tanto conhecimento técnico sobre as redes sem fio e acabam não configurando corretamente os seus dispositivos. REFERÊNCIAS BIBLIOGRÁFICAS https://pt.scribd.com/doc/182280702/Introducao-a-Seguranca-de-Redes https://www.tecmundo.com.br/seguranca/1971-o-que-e-autenticacao-.htm https://olhardigital.com.br/fique_seguro/video/o-que-e-criptografia/32640 ● www.ietf.org/rfc/rfc2979.txt; ● www.cisco.com/univercd/cc/td/doc/product/iaabu/centri4/user/scf4ch3.ht m; ● www.abchost.cz/download/204-4/.../-inspection-firewall.pdf; ● www.vtcif.telstra.com.au/pub/docs/security/800-10/node1.html. ● https://www.oficinadanet.com.br/artigo/1756/seguranca_em_redes_sem_ fio ● https://www.gta.ufrj.br/seminarios/semin2002_1/Ivana/ ● http://repositorio.roca.utfpr.edu.br/jspui/bitstream/1/2412/1/CT_GESER_I V_2014_03.pdf ● http://www.ieee802.org/1/pages/802.1x-rev.html ● http://www.networkcomputing.com/careers-and-certifications/tutorial-net work-access-control-%28nac%29/d/d-id/1222951 ● http://www.netmotionwireless.com/products/nac_module.aspx
Continue navegando
Compartilhar