Baixe o app para aproveitar ainda mais
Prévia do material em texto
FACULDADE UNYLEYA PÓS-GRADUAÇÃO EM SEGURANÇA DE REDES DE COMPUTADORES MECANISMOS DE SEGURANÇA DE REDES PROFESSOR: RILDO GONÇALVES RESENHA CRÍTICA DA UNIDADE IV “NÍVEIS HIERÁRQUICOS DE DEFESA E MODELO DE TEIAS” THIAGO DE CARVALHO OREM Brasília Mai/2020 2 Sumário INTRODUÇÃO ................................................................................................................................ 3 DESCRIÇÃO DO ASSUNTO ............................................................................................................. 4 2.1 Níveis Hierárquicos de Defesa......................................................................................... 4 2.2 Modelo de Teias.............................................................................................................. 5 APRESENTAÇÃO CRÍTICA ............................................................................................................ 10 REFERÊNCIAS BIBLIOGRÁFICAS .................................................................................................. 11 3 1. INTRODUÇÃO Esta obra tem o objetivo realizar uma resenha crítica da Unidade 4, capítulos 1 e 2 da apostila sobre “Modelos de Segurança”, apresentada pelo docente Rildo Gonçalves através da disciplina Mecanismo de Segurança de Redes. Sobre o capitulo 1 da unidade 4, cujo o tema é Níveis Hierárquicos de defesa, temos o esclarecimento dos níveis hierárquicos de defesa, que são 5 que traz a composição de defesa de uma rede, trazendo uma divisão para facilitar o gerenciamento da rede, essa divisão também auxilia na definição das proteções necessárias para os três tipos de recursos identificados (públicos, privados, internos). Sobre o capítulo 2 da unidade 4, cujo o tema é Modelo de Teias apresenta alguns elementos necessários para que a segurança se torne um fator gerenciável na organização da rede. Este modelo facilita a compreensão da maioria dos problemas da rede, atuando também com a implementação da segurança, contribuindo para o desenvolvimento dos assuntos relacionados ao gerenciamento da segurança. 4 2. DESCRIÇÃO DO ASSUNTO 2.1 Níveis Hierárquicos de Defesa Os níveis hierárquicos de segurança mais inferiores representam as maiores barreiras contra os ataques mais genéricos. A Filtragem, além do firewall cooperativo, e do modo como o Iptables trabalha com as regras de filtragem, uma abordagem com base em diferentes níveis/hierárquicos de defesa também pode facilitar a compreensão do esquema de segurança. A divisão em níveis hierárquicos facilita o desenvolvimento, a implementação e o gerenciamento de segurança de todas as conexões em um ambiente cooperativo. O primeiro nível hierárquico de defesa compreendem as regras de filtragem e, também, as autenticações que devem ser realizadas para o acesso aos recursos da organização, de acordo com o aumento hierárquico do nível de defesa, que vai cada vez mais se posicionando em direção à rede interna da organização O segundo nível hierárquico de defesa é responsável pela autenticação dos usuários que acessam os serviços públicos localizados na zona desmilitarizada. Assim, nesse nível, inexistem as regras de filtragem e a utilização da autenticação não é obrigatória, como nos casos dos serviços públicos disponibilizados. Tais serviços exigem apenas uma autenticação do usuário a fim de que o acesso seja liberado para uso e nesse nível as regras de filtragem, que controlam esse acesso entre os servidores e os bancos de dados, estarão definidas pelo terceiro nível de defesa. O terceiro nível hierárquico de defesa apresenta uma certa complexidade nas regras de filtragem uma vez que é por meio desse conjunto de regras que os usuários terão acesso às informações e aos serviços definidos que sejam pertinentes a esse nível. Assim, a porta de entrada da rede interna está protegida e está dividida em duas partes que correspondem à definição das regras para o acesso à rede interna e às formas definidas de filtragem para segunda zona desmilitarizada. O quarto nível hierárquico de defesa referencia o processo de autenticação dos usuários para o acesso aos serviços e às informações internos da organização. É a autenticação realizada como se os usuários estivessem fisicamente na organização. A partir desse nível hierárquico, portanto, a segurança baseia-se na proteção existente internamente na organização, como as senhas para o acesso a sistemas internos. Nenhuma filtragem é realizada nesse nível, e toda autenticação pode ser feita em conjunto com a entidade certificadora, de modo que os recursos sejam acessados de acordo com os certificados digitais de cada usuário. 5 O quinto nível hierárquico de defesa refere-se ao acesso e ao controle dos usuários que estão acessando a rede interna da organização. Esse nível pode ser considerado como uma espécie de “firewall interno”, com a adição de sistemas de detecção de intrusões (IDS) para o monitoramento das atividades dos usuários. 2.2 Modelo de Teias O Modelo de Teias apresenta alguns dos elementos necessários para que a segurança se torne um fato gerenciável nas organizações. Para tanto, foi constituído com resultado de diversas experiências em que, principalmente em grandes ambientes, os aspectos de segurança relevantes não são tratados com sua devida importância. Dessa forma, o modelo facilita a compreensão da maioria dos problemas envolvidos e também da implementação da segurança, além de contribuir para o desenvolvimento dos assuntos relacionados ao gerenciamento da complexidade da segurança. 6 Elementos O modelo é composto de sete fases e de uma figura, e cada uma das fases tem um papel fundamental no modo como a segurança deve ser trabalhada. As referidas fases ajudam na elaboração da estratégia de segurança, minimizando as chances de algum aspecto ser esquecido. A finalização das sete fases gera uma relação de medidas de segurança que podem fazer com que um nível de segurança seja alcançado. Também, é possível obter uma visualização clara, por meio do desenvolvimento da figura do modelo do nível de segurança de diferentes entidades, como, por exemplo, a organização, os departamentos, os setores, as áreas e de modelos de diferentes recursos (cerca de 127, como, por exemplo, roteadores, firewall, servidores). Esse nível de segurança tem como base a relação existente entre os diferentes elementos de segurança relacionados a cada recurso. Já o nível de segurança de cada entidade pode ser estabelecido de acordo com o nível de segurança de cada recurso que compõe essa entidade, assegurando assim uma visão hierárquica do nível de segurança da organização. Resumindo, uma entidade pode dispor de diversos recursos, que têm os seus níveis de segurança medidos de acordo com os elementos de segurança relacionados. Para que o modelo de teias seja aplicado, as tarefas abaixo precisam ser realizadas: Tarefa 1 - Definir os Elementos de Segurança Esta etapa visa definir um conjunto elementos de segurança que serão utilizados pelas próximas fases como um framework. Esses elementos são definidos quando houver condições de os avaliar, e devem ser analisados quanto à execução de algum tipo de influência direta no nível de segurança de um recurso específico. Um exemplo de Framework com elementos de segurança seria o composto pelos seguintes elementos: Controle de acesso; Senhas; Situação das atualizações de segurança; Segurança física; Pontos de acesso abertos ao sistema; Arquitetura de rede; Procedimentos de segurança; Resposta a eventuais ataques; Versões dos sistemas operacionais e dos serviços; Vulnerabilidades. Tarefa 2 - Definir os Recursos da Organização Esta etapa visa definir os recursos, que devem ser determinados e analisados, os quais fazemparte dos ativos da organização. A partir desse conjunto de recursos seria possível determinar a visão hierárquica da situação da segurança na 7 organização. Exemplos de recursos são os servidores de e-mail, os roteadores, os bancos de dados e o firewall. Tarefa 3 – Analisar a Segurança Corresponde à fase técnica do Modelo de Teias e ocorre quando a análise de segurança é efetivamente realizada sobre cada elemento definidos na fase 1) e que estão intimamente ligados com os recursos especificados na fase 2. Desse modo, a análise de segurança é realizada sobre o recurso, considerando os elementos ligados a esses recursos, as entrevistas com os funcionários responsáveis e as ferramentas de segurança. A experiência e o conhecimento do profissional são essenciais nessa fase, porque sem isso falhas e vulnerabilidades podem ser esquecidas ou superestimadas. Uma análise contendo erros compromete seriamente as fases posteriores, por não conseguir fornecer uma visão real da situação do recurso. Tarefa 4 - Classificar os Recursos A classificação dos recursos é um reflexo do nível de segurança de cada um de seus elementos, sendo essa a fase mais crucial, pois em caso de erro, uma falsa sensação de segurança pode ser gerada. Quando a situação é superestimada, como resultado de uma análise malfeita na Fase 3, esforços desnecessários serão gastos na definição e implementação das medidas de segurança, que devem ser definidas na Fase 7. É importante que a classificação da situação atual seja sempre revista, pois uma nova vulnerabilidade pode ser descoberta, ou então uma nova técnica de ataque pode ser desenvolvida a qualquer momento. 8 Tarefa 5 - Avaliar os Riscos A fase de avaliação de riscos consiste em mensurar os riscos envolvidos em cada recurso classificado na fase anterior. A experiência e o conhecimento da cultura da organização são pontos-chave nesta fase, pois sem isso não é possível avaliar os riscos adequadamente. Quando um grande risco é considerado pequeno, e vice e versa, o resultado pode ser os riscos e o desperdício de esforços. Tarefa 6 - Definir o Nível de Segurança Essa fase é representada pelo traço em cinza da figura do Modelo de Teias, que é traçado de acordo com a avaliação de riscos (fase 5), combinado com a importância do recurso para a continuidade dos negócios da organização. Se, por exemplo, a indisponibilidade do recurso significa perda de ativos, então, o nível de segurança desejado para esse recurso deve ser grande. Mais do que uma segurança eficiente, um elevado nível de segurança significa que a grande disponibilidade do recurso é fundamental para a organização. Para que o recurso fique protegido adequadamente, outro aspecto que deve ser analisado antes de se definir o nível de segurança desejado é avaliar os custos envolvidos. Se os custos para elevar o nível de segurança do recurso forem muito altos, talvez seja melhor manter o atual nível de segurança do recurso. Porém, isso deve ser avaliado cuidadosamente, considerando a implicação que poderá acarretar no ambiente como um todo. Tarefa 7 - Definir o Nível de Segurança A última fase do modelo de teias é o momento em que são especificadas as medidas de segurança que devem ser tomadas para que a distância entre o nível de segurança atual e o nível desejado seja eliminada. Conhecimento e entendimento das técnicas e das tecnologias de segurança disponíveis são fundamentais para que seja possível definir a melhor solução, que contemple a necessidade da organização. Serão essas medidas que vão ditar os próximos passos rumo a um ambiente mais seguro, mais confiável e com mais disponibilidade. Dessa forma, os níveis de segurança no Modelo de Teias podem ser definidos de acordo com a capacidade e a necessidade da organização. Algumas empresas podem estabelecer um modelo com quatro ou cinco níveis de segurança, enquanto outras podem utilizar um método mais avançado de definição dos níveis, como, por exemplo, tendo como base níveis tridimensionais ou níveis sem um ponto fixo, contínuo ou bem determinado. A classificação dos níveis de segurança de cada 9 recurso não é sempre a mesma, ou seja, ela sofre alterações constantes, à medida que a experiência do profissional aumenta e novas vulnerabilidades vão sendo encontradas, ou novas técnicas de ataque são desenvolvidas. É possível verificar que no Modelo de Teias existem todos os elementos para um gerenciamento adequado. Os níveis de segurança atual e de segurança adequada estão claramente indicados, e as medidas de segurança para que sejam alcançados podem ser facilmente visualizadas em uma única figura. Com isso, as chances de falhas ou esquecimentos são minimizadas, o que é essencial quando se trabalha com segurança dos recursos da organização. Com todas essas informações oferecidas pelo modelo, pode-se perceber que o que era difícil de gerenciar se torna, pelo menos, gerenciável. Sem essas informações, a falha em reconhecer como a organização está exposta a falhas de segurança em seus recursos pode provocar ações criminais e civis, além da divulgação de notícias perigosas e embaraçosas para o público e os investidores. Além disso, a visualização hierárquica resultante da aplicação do modelo faz com que todos passem a entender e trabalhar em prol de uma organização cada vez mais segura. 10 3. APRECIAÇÃO CRÍTICA Na primeira abordagem trazida pela matéria de estudo, obtemos os fundamentos dos níveis de hierárquicos de defesa da rede de segurança e o modelo de teias, também utilizado na área de segurança de redes. Um ponto a ser obervado com clareza o autor busca exemplificar os principais níveis da hierarquia de defesa, explicando o papel e exemplificando cada um dos 5 níveis. O ponto principal em minha opinião, é que a divisão em níveis hierárquicos facilita o desenvolvimento, a implementação e o gerenciamento de segurança de todas as conexões em um ambiente cooperativo, trazendo o do básico para o melhoramento da função, tal abordagem refere- se à forma de divisão das regras por diversas cadeias em que, cada uma corresponde a setores, divisões ou empresas integrantes desse ambiente que coopera para a segurança da rede. Na segunda abordagem sobre o modelo de teias, em trouxe de como se trata de uma ferramenta meio que indispensável no controle de segurança, sendo um modelo que facilita a compreensão da maioria dos problemas envolvidos na implementação da segurança de redes, além de contribuir e muito para o desenvolvimento dos assuntos relacionados ao gerenciamento da complexidade da segurança de redes. Trazendo um elemento composto de sete fases, cada uma destas fases, tem um papeis fundamentais no modo como a segurança deve ser tratada. estas fases ajudam na elaboração da estratégia de segurança, minimizando as chances de algum aspecto ser esquecido. A finalização das sete fases gera uma relação de medidas de segurança que podem fazer com que um nível de segurança seja alcançado. Valido por minha parte mencionar que ambos os modelos são essenciais, mas não os únicos, já que a segurança é completa, sendo difícil ter que lidar com diferentes aspectos que vão além de dados tecnológicos, incluindo aspectos de negócio corporativo e jurídico. Seja maior o entendimento sobre os diferentes aspectos de segurança, melhor será a proteção que pode ser fornecida para uma organização empresarial. 11 4. REFERÊNCIAS BIBLIOGRÁFICAS - GODOY, M. B. Apostila Unyleya - Mecanismos de Segurança de Redes. Disponível em: <https://portalaluno.unyleya.edu.br/774929/curso/118379/modulo/1982135/sala/16181 9> - Nakamura, Emilio. Segurança de Redes em Ambientes Cooperativos. São Paulo: Berkelvey, 2002. - Nunan,Angleo; Farias Frank; Santiago Marcos. Segurança de Redes. Manaus: EUA Edições, 2010. Ebook, disponível em: < https://www.researchgate.net/publication/229088352_Seguranca_de_Redes>- Adir, F. Alves. Segurança de Redes em Ambientes Cooperativos. São Paulo: IC- Unicamp, 2012. Ebook, disponível em: <https://www.academia.edu/9475240/Seguran%C3%A7a_de_Redes_em_Ambientes_ Cooperativos>
Compartilhar