Resenha Tarefa 4

Prévia do material em texto

FACULDADE UNYLEYA 
PÓS-GRADUAÇÃO EM SEGURANÇA DE REDES DE COMPUTADORES 
 
 
 
 
MECANISMOS DE SEGURANÇA DE REDES 
PROFESSOR: RILDO GONÇALVES 
 
 
 
 
 
 
RESENHA CRÍTICA DA UNIDADE IV 
“NÍVEIS HIERÁRQUICOS DE DEFESA E MODELO DE TEIAS” 
 
 
 
 
THIAGO DE CARVALHO OREM 
 
 
 
 
 
 
 
Brasília 
Mai/2020 
2 
 
Sumário 
 
INTRODUÇÃO ................................................................................................................................ 3 
DESCRIÇÃO DO ASSUNTO ............................................................................................................. 4 
2.1 Níveis Hierárquicos de Defesa......................................................................................... 4 
 2.2 Modelo de Teias.............................................................................................................. 5 
APRESENTAÇÃO CRÍTICA ............................................................................................................ 10 
REFERÊNCIAS BIBLIOGRÁFICAS .................................................................................................. 11 
 
3 
 
1. INTRODUÇÃO 
 
Esta obra tem o objetivo realizar uma resenha crítica da Unidade 4, capítulos 1 
e 2 da apostila sobre “Modelos de Segurança”, apresentada pelo docente Rildo 
Gonçalves através da disciplina Mecanismo de Segurança de Redes. 
Sobre o capitulo 1 da unidade 4, cujo o tema é Níveis Hierárquicos de defesa, 
temos o esclarecimento dos níveis hierárquicos de defesa, que são 5 que traz a 
composição de defesa de uma rede, trazendo uma divisão para facilitar o 
gerenciamento da rede, essa divisão também auxilia na definição das proteções 
necessárias para os três tipos de recursos identificados (públicos, privados, internos). 
Sobre o capítulo 2 da unidade 4, cujo o tema é Modelo de Teias apresenta alguns 
elementos necessários para que a segurança se torne um fator gerenciável na organização 
da rede. Este modelo facilita a compreensão da maioria dos problemas da rede, atuando 
também com a implementação da segurança, contribuindo para o desenvolvimento dos 
assuntos relacionados ao gerenciamento da segurança. 
 
4 
 
2. DESCRIÇÃO DO ASSUNTO 
 
2.1 Níveis Hierárquicos de Defesa 
 
Os níveis hierárquicos de segurança mais inferiores representam as maiores 
barreiras contra os ataques mais genéricos. A Filtragem, além do firewall cooperativo, e do 
modo como o Iptables trabalha com as regras de filtragem, uma abordagem com base em 
diferentes níveis/hierárquicos de defesa também pode facilitar a compreensão do esquema 
de segurança. A divisão em níveis hierárquicos facilita o desenvolvimento, a 
implementação e o gerenciamento de segurança de todas as conexões em um ambiente 
cooperativo. 
O primeiro nível hierárquico de defesa compreendem as regras de filtragem e, 
também, as autenticações que devem ser realizadas para o acesso aos recursos da 
organização, de acordo com o aumento hierárquico do nível de defesa, que vai cada vez 
mais se posicionando em direção à rede interna da organização 
O segundo nível hierárquico de defesa é responsável pela autenticação dos 
usuários que acessam os serviços públicos localizados na zona desmilitarizada. Assim, 
nesse nível, inexistem as regras de filtragem e a utilização da autenticação não é 
obrigatória, como nos casos dos serviços públicos disponibilizados. Tais serviços exigem 
apenas uma autenticação do usuário a fim de que o acesso seja liberado para uso e nesse 
nível as regras de filtragem, que controlam esse acesso entre os servidores e os bancos de 
dados, estarão definidas pelo terceiro nível de defesa. 
O terceiro nível hierárquico de defesa apresenta uma certa complexidade nas 
regras de filtragem uma vez que é por meio desse conjunto de regras que os usuários 
terão acesso às informações e aos serviços definidos que sejam pertinentes a esse nível. 
Assim, a porta de entrada da rede interna está protegida e está dividida em duas partes 
que correspondem à definição das regras para o acesso à rede interna e às formas 
definidas de filtragem para segunda zona desmilitarizada. 
O quarto nível hierárquico de defesa referencia o processo de autenticação dos 
usuários para o acesso aos serviços e às informações internos da organização. É a 
autenticação realizada como se os usuários estivessem fisicamente na organização. A 
partir desse nível hierárquico, portanto, a segurança baseia-se na proteção existente 
internamente na organização, como as senhas para o acesso a sistemas internos. 
Nenhuma filtragem é realizada nesse nível, e toda autenticação pode ser feita em conjunto 
com a entidade certificadora, de modo que os recursos sejam acessados de acordo com 
os certificados digitais de cada usuário. 
5 
 
O quinto nível hierárquico de defesa refere-se ao acesso e ao controle dos usuários 
que estão acessando a rede interna da organização. Esse nível pode ser considerado 
como uma espécie de “firewall interno”, com a adição de sistemas de detecção de 
intrusões (IDS) para o monitoramento das atividades dos usuários. 
 
 
 
2.2 Modelo de Teias 
 
O Modelo de Teias apresenta alguns dos elementos necessários para que a 
segurança se torne um fato gerenciável nas organizações. Para tanto, foi constituído 
com resultado de diversas experiências em que, principalmente em grandes 
ambientes, os aspectos de segurança relevantes não são tratados com sua devida 
importância. 
Dessa forma, o modelo facilita a compreensão da maioria dos problemas 
envolvidos e também da implementação da segurança, além de contribuir para o 
desenvolvimento dos assuntos relacionados ao gerenciamento da complexidade da 
segurança. 
 
6 
 
Elementos 
O modelo é composto de sete fases e de uma figura, e cada uma das fases 
tem um papel fundamental no modo como a segurança deve ser trabalhada. As 
referidas fases ajudam na elaboração da estratégia de segurança, minimizando as 
chances de algum aspecto ser esquecido. A finalização das sete fases gera uma 
relação de medidas de segurança que podem fazer com que um nível de segurança 
seja alcançado. Também, é possível obter uma visualização clara, por meio do 
desenvolvimento da figura do modelo do nível de segurança de diferentes entidades, 
como, por exemplo, a organização, os departamentos, os setores, as áreas e de 
modelos de diferentes recursos (cerca de 127, como, por exemplo, roteadores, 
firewall, servidores). 
Esse nível de segurança tem como base a relação existente entre os diferentes 
elementos de segurança relacionados a cada recurso. Já o nível de segurança de 
cada entidade pode ser estabelecido de acordo com o nível de segurança de cada 
recurso que compõe essa entidade, assegurando assim uma visão hierárquica do 
nível de segurança da organização. Resumindo, uma entidade pode dispor de 
diversos recursos, que têm os seus níveis de segurança medidos de acordo com os 
elementos de segurança relacionados. 
Para que o modelo de teias seja aplicado, as tarefas abaixo precisam ser 
realizadas: 
 
Tarefa 1 - Definir os Elementos de Segurança 
Esta etapa visa definir um conjunto elementos de segurança que serão utilizados pelas 
próximas fases como um framework. Esses elementos são definidos quando houver 
condições de os avaliar, e devem ser analisados quanto à execução de algum tipo de 
influência direta no nível de segurança de um recurso específico. Um exemplo de 
Framework com elementos de segurança seria o composto pelos seguintes 
elementos: Controle de acesso; Senhas; Situação das atualizações de segurança; 
Segurança física; Pontos de acesso abertos ao sistema; Arquitetura de rede; 
Procedimentos de segurança; Resposta a eventuais ataques; Versões dos sistemas 
operacionais e dos serviços; Vulnerabilidades. 
 
Tarefa 2 - Definir os Recursos da Organização 
Esta etapa visa definir os recursos, que devem ser determinados e analisados, 
os quais fazemparte dos ativos da organização. A partir desse conjunto de recursos 
seria possível determinar a visão hierárquica da situação da segurança na 
7 
 
organização. Exemplos de recursos são os servidores de e-mail, os roteadores, os 
bancos de dados e o firewall. 
 
Tarefa 3 – Analisar a Segurança 
Corresponde à fase técnica do Modelo de Teias e ocorre quando a análise de 
segurança é efetivamente realizada sobre cada elemento definidos na fase 1) e que 
estão intimamente ligados com os recursos especificados na fase 2. Desse modo, a 
análise de segurança é realizada sobre o recurso, considerando os elementos ligados 
a esses recursos, as entrevistas com os funcionários responsáveis e as ferramentas 
de segurança. 
A experiência e o conhecimento do profissional são essenciais nessa fase, 
porque sem isso falhas e vulnerabilidades podem ser esquecidas ou superestimadas. 
Uma análise contendo erros compromete seriamente as fases posteriores, por não 
conseguir fornecer uma visão real da situação do recurso. 
 
Tarefa 4 - Classificar os Recursos 
A classificação dos recursos é um reflexo do nível de segurança de cada um de 
seus elementos, sendo essa a fase mais crucial, pois em caso de erro, uma falsa 
sensação de segurança pode ser gerada. Quando a situação é superestimada, como 
resultado de uma análise malfeita na Fase 3, esforços desnecessários serão gastos na 
definição e implementação das medidas de segurança, que devem ser definidas na 
Fase 7. É importante que a classificação da situação atual seja sempre revista, pois 
uma nova vulnerabilidade pode ser descoberta, ou então uma nova técnica de ataque 
pode ser desenvolvida a qualquer momento. 
 
8 
 
Tarefa 5 - Avaliar os Riscos 
A fase de avaliação de riscos consiste em mensurar os riscos envolvidos em 
cada recurso classificado na fase anterior. A experiência e o conhecimento da cultura 
da organização são pontos-chave nesta fase, pois sem isso não é possível avaliar os 
riscos adequadamente. Quando um grande risco é considerado pequeno, e vice e 
versa, o resultado pode ser os riscos e o desperdício de esforços. 
 
Tarefa 6 - Definir o Nível de Segurança 
Essa fase é representada pelo traço em cinza da figura do Modelo de Teias, 
que é traçado de acordo com a avaliação de riscos (fase 5), combinado com a 
importância do recurso para a continuidade dos negócios da organização. Se, por 
exemplo, a indisponibilidade do recurso significa perda de ativos, então, o nível de 
segurança desejado para esse recurso deve ser grande. Mais do que uma segurança 
eficiente, um elevado nível de segurança significa que a grande disponibilidade do 
recurso é fundamental para a organização. 
Para que o recurso fique protegido adequadamente, outro aspecto que deve 
ser analisado antes de se definir o nível de segurança desejado é avaliar os custos 
envolvidos. Se os custos para elevar o nível de segurança do recurso forem muito 
altos, talvez seja melhor manter o atual nível de segurança do recurso. Porém, isso 
deve ser avaliado cuidadosamente, considerando a implicação que poderá acarretar 
no ambiente como um todo. 
 
Tarefa 7 - Definir o Nível de Segurança 
A última fase do modelo de teias é o momento em que são especificadas as 
medidas de segurança que devem ser tomadas para que a distância entre o nível de 
segurança atual e o nível desejado seja eliminada. Conhecimento e entendimento das 
técnicas e das tecnologias de segurança disponíveis são fundamentais para que seja 
possível definir a melhor solução, que contemple a necessidade da organização. 
Serão essas medidas que vão ditar os próximos passos rumo a um ambiente 
mais seguro, mais confiável e com mais disponibilidade. 
 
Dessa forma, os níveis de segurança no Modelo de Teias podem ser definidos 
de acordo com a capacidade e a necessidade da organização. Algumas empresas 
podem estabelecer um modelo com quatro ou cinco níveis de segurança, enquanto 
outras podem utilizar um método mais avançado de definição dos níveis, como, por 
exemplo, tendo como base níveis tridimensionais ou níveis sem um ponto fixo, 
contínuo ou bem determinado. A classificação dos níveis de segurança de cada 
9 
 
recurso não é sempre a mesma, ou seja, ela sofre alterações constantes, à medida 
que a experiência do profissional aumenta e novas vulnerabilidades vão sendo 
encontradas, ou novas técnicas de ataque são desenvolvidas. 
É possível verificar que no Modelo de Teias existem todos os elementos para 
um gerenciamento adequado. Os níveis de segurança atual e de segurança 
adequada estão claramente indicados, e as medidas de segurança para que sejam 
alcançados podem ser facilmente visualizadas em uma única figura. Com isso, as 
chances de falhas ou esquecimentos são minimizadas, o que é essencial quando se 
trabalha com segurança dos recursos da organização. 
Com todas essas informações oferecidas pelo modelo, pode-se perceber que o 
que era difícil de gerenciar se torna, pelo menos, gerenciável. Sem essas informações, 
a falha em reconhecer como a organização está exposta a falhas de segurança em 
seus recursos pode provocar ações criminais e civis, além da divulgação de notícias 
perigosas e embaraçosas para o público e os investidores. Além disso, a visualização 
hierárquica resultante da aplicação do modelo faz com que todos passem a entender e 
trabalhar em prol de uma organização cada vez mais segura. 
 
10 
 
3. APRECIAÇÃO CRÍTICA 
 
Na primeira abordagem trazida pela matéria de estudo, obtemos os 
fundamentos dos níveis de hierárquicos de defesa da rede de segurança e o modelo 
de teias, também utilizado na área de segurança de redes. Um ponto a ser obervado 
com clareza o autor busca exemplificar os principais níveis da hierarquia de defesa, 
explicando o papel e exemplificando cada um dos 5 níveis. O ponto principal em minha 
opinião, é que a divisão em níveis hierárquicos facilita o desenvolvimento, a 
implementação e o gerenciamento de segurança de todas as conexões em um ambiente 
cooperativo, trazendo o do básico para o melhoramento da função, tal abordagem refere-
se à forma de divisão das regras por diversas cadeias em que, cada uma corresponde a 
setores, divisões ou empresas integrantes desse ambiente que coopera para a segurança 
da rede. 
Na segunda abordagem sobre o modelo de teias, em trouxe de como se trata de 
uma ferramenta meio que indispensável no controle de segurança, sendo um modelo que 
facilita a compreensão da maioria dos problemas envolvidos na implementação da 
segurança de redes, além de contribuir e muito para o desenvolvimento dos assuntos 
relacionados ao gerenciamento da complexidade da segurança de redes. 
Trazendo um elemento composto de sete fases, cada uma destas fases, tem 
um papeis fundamentais no modo como a segurança deve ser tratada. estas fases 
ajudam na elaboração da estratégia de segurança, minimizando as chances de algum 
aspecto ser esquecido. A finalização das sete fases gera uma relação de medidas de 
segurança que podem fazer com que um nível de segurança seja alcançado. 
Valido por minha parte mencionar que ambos os modelos são essenciais, mas não 
os únicos, já que a segurança é completa, sendo difícil ter que lidar com diferentes 
aspectos que vão além de dados tecnológicos, incluindo aspectos de negócio corporativo e 
jurídico. Seja maior o entendimento sobre os diferentes aspectos de segurança, melhor 
será a proteção que pode ser fornecida para uma organização empresarial. 
 
 
 
11 
 
4. REFERÊNCIAS BIBLIOGRÁFICAS 
- GODOY, M. B. Apostila Unyleya - Mecanismos de Segurança de Redes. 
Disponível em: 
<https://portalaluno.unyleya.edu.br/774929/curso/118379/modulo/1982135/sala/16181
9> 
 
- Nakamura, Emilio. Segurança de Redes em Ambientes Cooperativos. São Paulo: 
Berkelvey, 2002. 
 
- Nunan,Angleo; Farias Frank; Santiago Marcos. Segurança de Redes. Manaus: EUA 
Edições, 2010. 
Ebook, disponível em: 
< https://www.researchgate.net/publication/229088352_Seguranca_de_Redes>- Adir, F. Alves. Segurança de Redes em Ambientes Cooperativos. São Paulo: IC-
Unicamp, 2012. 
Ebook, disponível em: 
<https://www.academia.edu/9475240/Seguran%C3%A7a_de_Redes_em_Ambientes_
Cooperativos>