Segurança em Redes de Computadores - Livro-Texto - Unidade III

Prévia do material em texto

96
Unidade III
Unidade III
5 DISPOSITIVOS DE SEGURANÇA PARA REDES
As preocupações com a segurança da rede devem abranger os problemas 
de autenticação de usuários e equipamentos e de restrição de acesso 
dos usuários aos serviços autorizados, contemplando o estabelecimento de 
interfaces seguras entre a rede interna e as redes públicas ou de outras 
organizações (BEAL, 2008, p. 93).
Os elementos básicos para proteção de rede incluem dispositivos como roteadores de borda, firewalls, 
NAT (Network Address Translation), VPN (Redes Virtuais Privadas), bastion host, perímetro lógico, IDS 
(Intrusion Detection System), IPS (Intrusion Prevention System) e políticas de segurança
Internet
Firewall
DMZ - Zona 
desmilitarizada
Bastion
Host
Servidor web
WWW
Roteador 
externo
Roteador 
interno
Rede de perímetro
Rede interna
Figura 19 – Elementos básicos de controle de acesso a redes
5.1 Roteador de borda e NAT (Network Address Translation)
O rotador de borda é o último gateway (interconecta redes diferentes) que conecta a rede interna 
da empresa à internet. Segundo Ramos (2008), é a primeira linha de defesa da empresa contra ameaças 
externas, elemento fundamental para a composição de diversos sistemas firewall. Contudo, é muito 
comum também que não seja utilizado para funções de segurança por dois simples motivos: o primeiro 
é porque, muitas vezes, esse roteador não pertence à organização, e sim a empresas que provêm a 
conexão com a internet; e o segundo motivo diz respeito à dificuldade de configuração, normalmente 
feita via linha de comando, o que faz com que muitos administradores, por questão de praticidade, 
abram mão de utilizar esse recurso essencial.
97
SEGURANÇA EM REDES DE COMPUTADORES
O roteador de borda permite a criação de controle de acesso. Como roteador, desempenha papel de 
filtro, gerando as listas de acesso ou ACLs, muitas vezes classificando a designação do roteador; assim, 
toma a atuação de roteador de perímetro como a primeira camada de firewall.
As listas de acesso de um roteador são proporcionalmente mais simples e normalmente elas são 
classificadas como filtros de pacotes simples. Por serem equipamentos que trabalham em camada 3, os 
roteadores possuem pouca ou nenhuma interferência quanto aos protocolos de camada 7 de aplicação. 
Geralmente, sua lista de acesso é configurada para permitir ou negar determinado tipo de tráfego com 
base nas informações de endereço de origem, destino, portas de passagem e de destino.
Internet
Rede 
interna
FirewallRoteador de borda
Figura 20 – Topologia com um roteador de borda
 Observação
Cabe ressaltar que os roteadores de borda devem trabalhar sempre em 
conjunto com outros sistemas de defesa, como exemplo, firewall, proxy, IDS e IPS.
O NAT (Network Address Translation) é uma solução que foi introduzida pela Cisco Systems, 
que resolve a maior parte dos problemas relacionados ao esgotamento do número de endereços IP 
da internet. O firewall que executa NAT realiza um mapeamento entre endereços válidos na internet 
e endereços inválidos (que são usados pelos computadores da rede interna), sendo desnecessário que 
cada estação possua seu próprio endereço IP válido na internet.
O mapeamento entre os endereços válidos e inválidos pode ocorrer da seguinte forma:
• Único: existe um único endereço inválido mapeado em um endereço válido.
• Um para um: para cada endereço inválido deve existir um endereço válido.
• Muitos para um: a forma mais utilizada, em que muitos endereços inválidos compartilham o 
mesmo endereço válido.
O NAT foi desenvolvido para permitir que máquinas possam acessar a internet sem que necessariamente 
tenham um endereço IP válido, já que os endereços válidos são centralmente distribuídos e controlados. 
Por isso, foram criadas faixas de endereçamento chamadas de inválidas, que podem ser usadas livremente 
sem que seja necessário reportar aos órgãos. No entanto, esses endereços não “existem” na internet real, 
ou seja, é por isso que, quando um pacote sai de uma rede inválida para uma válida, ele precisa ter o 
seu endereço de origem alterado.
98
Unidade III
Do ponto de vista de segurança, o NAT oferece benefícios, pois as máquinas normalmente não 
conseguem acessar da internet, de forma direta, máquinas que estão na rede interna. Essa tecnologia 
permite o afunilamento do acesso à internet em alguns pontos pela rede interna:
Pelo fato de o firewall ser normalmente um gateway, ele pode desempenhar 
essas funções, que também se combinam com as funções de VPN para criar 
soluções de conectividade e segurança conjuntas (RAMOS, 2008, p. 162).
10.2.4.61 10.2.4.61 200.6.1.14 200.6.1.14 Endereço único
10.13.5.X 10.13.5.X 200.2.3.X 200.2.3.X Um para um
10.X.Y.Z 10.X.Y.Z 200.24.5.1 200.24.5.1 Muitos para um
Figura 21 – Mapeamento dos endereços com NAT
O uso do NAT aumenta ainda mais a segurança da rede interna, porque os endereços das estações 
ficam mascarados.
 Saiba mais
Aprofunde seus conhecimentos lendo a obra a seguir:
RAMOS, A. Security Officer 2: guia oficial para formação de gestores em 
segurança da informação. Porto Alegre: Zouk, 2008.
5.2 Firewall e proxy
O firewall (parede de fogo) é um conjunto de hardware e software que permite a criação de 
regras definindo que tipos de serviço e tráfegos sejam permitidos entre as redes que ele conecta. São 
dispositivos de controle de acesso cuja função principal é proteger as estações e a segmentação de 
perímetros. Em geral, é fixado colocado na junção de duas redes com níveis de confiança distintos.
Firewall é qualquer dispositivo projetado para impedir que estranhos acessem a rede. Esse dispositivo 
normalmente é um computador independente (standalone), um roteador ou um firewall em uma caixa 
(dispositivo de hardware proprietário). A unidade serve como o único ponto de entrada para seu site e 
avalia cada solicitação de conexão quando é recebida. Somente solicitações de conexão de equipamentos 
autorizados são processadas; as demais solicitações de conexão são descartadas. A maioria dos firewalls 
realiza isso verificando o endereço de origem.
Os firewalls podem analisar pacotes recebidos de vários protocolos. Com base nessa análise, um 
firewall pode empreender várias ações. Portanto, eles são capazes de realizar avaliações condicionais. 
Exemplo: “se esse tipo de pacote for encontrado, farei isso”.
99
SEGURANÇA EM REDES DE COMPUTADORES
Essas construções condicionais são chamadas regras. Geralmente, quando é configurado, o firewall 
é equipado com as regras que espelham as diretivas de acesso em sua própria organização.
Entretanto, essa verificação de acesso é apenas uma parte do que os firewalls modernos podem 
fazer. A maioria dos firewalls comerciais permite verificar o conteúdo. Pode-se explorar essa capacidade 
para bloquear Java, JavaScript, VBScript e scripts ActiveX e cookies no firewall. De fato, é possível criar 
regras para bloquear determinadas assinaturas de ataque.
No tocante à sua construção, os componentes de um firewall estão baseados na mente das pessoas 
que o desenvolvem. Em essência, é um conceito, e não um produto; é uma ideia de quem terá permissão 
para acessar seu site.
O software de um firewall pode ser proprietário (shareware), e o hardware pode ser qualquer 
hardware que suporta o software.
Os firewalls dividem-se em duas categorias básicas:
• firewalls de nível de rede;
• firewalls de gateway de aplicativo.
Os firewalls de nível de rede são geralmente roteadores com capacidades poderosas de filtragem de 
pacote. Utilizando um firewall de nível de rede, é possível conceder ou negar acesso a um site com base 
em diversas variáveis, incluindo: endereço de origem, protocolo, número de porta e conteúdo.
Os firewalls baseados em roteador são populares porque são facilmente implementados, para 
conectar um, basta fornecer algumas regras e está pronto.
A maioria dos roteadores novos faz um trabalho muito bom de tratamento de interfaces dúbias, em 
que IPs de fora devem ser traduzidos por algum outroprotocolo interno. Adicionalmente, um firewall 
baseado em roteador é uma solução de perímetro, isto é, os roteadores são dispositivos externos, então 
eles eliminam a necessidade de interromper a operação normal da rede.
Quando se utiliza um firewall baseado em roteador, não se pode configurar várias máquinas ou 
serviços para interagir com ele.
Os roteadores podem também oferecer uma solução integrada; se sua rede está permanentemente 
conectada à internet, será necessário um roteador, então é possível unir duas utilidades em uma. Porém, 
firewalls baseados em roteador têm várias deficiências. Primeiro aspecto é que muitos são vulneráveis 
a ataques de personificação, ou spoffing, embora os fornecedores de roteador estejam desenvolvendo 
soluções para evitar esse ataque. Outra questão é puramente prática: o desempenho do roteador cai 
dramaticamente quando você impõe procedimentos de filtragem excessivamente rigorosos.
100
Unidade III
 Observação
Ataque de IP spoffing é uma prática que engloba a falsificação de 
endereços IP que visa tentar fazer com que sua rede direcione você para 
sites fraudulentos.
Vejamos como operam os firewalls de aplicativo proxy. Quando um usuário remoto entra em 
contato com uma rede executando um gateway de aplicativo, o gateway gerencia (proxies) para 
a conexão. Nesse caso, pacotes de IP não são encaminhados à rede interna. Em vez disso, um tipo de 
tradução ocorre, com o gateway agindo como canal e intérprete.
A vantagem de gateways de aplicativo é que eles impedem o tunelamento de pacotes IP em sua rede. 
A desvantagem é que eles exigem overheads altos e envolvendo grande parte da rede. Um aplicativo 
proxy deve ser configurado para cada serviço na rede, incluindo FTP, Telnet, HTTP, correio, notícia etc. 
Além disso, usuários internos devem utilizar clientes cientes de proxy. Se eles utilizarem, você terá de 
adotar novas diretivas e procedimentos.
A desvantagem de gateways de aplicativo é que, no caso de protocolos cliente-servidor como 
Telnet, são necessários dois passos para enviar ou receber uma conexão. Alguns gateways de aplicativo 
exigem clientes modificados, que podem ser vistos como uma desvantagem ou uma vantagem, pois vai 
depender de os clientes modificados tornarem ou não mais fácil utilizar o firewall.
Um gateway de aplicativo de Telnet necessariamente não exigiria um cliente de Telnet modificado, mas 
exigiria uma alteração no comportamento dos usuários: estes teriam de se conectar, mas não efetuar logon com 
o firewall em oposição a se conectar diretamente com o host. Contudo, um cliente modificado de Telnet pode 
tornar o firewall transparente, permitindo que um usuário especifique o sistema alvo (em oposição ao firewall) 
no comando Telnet. O firewall serviria como a rota para o sistema de destino, portanto, interceptaria a conexão 
e realizaria os passos adicionais conforme necessário (por exemplo, consultar uma senha de uma única vez). O 
comportamento do usuário permaneceria o mesmo, mas exigiria um cliente modificado em cada sistema.
Para construir um firewall, deve-se seguir seis passos importantes:
Identifique sua 
topologia, o 
aplicativo e suas 
necessidades de 
protocolo
Analise 
relacionamentos 
de confiança em 
sua organização
Desenvolva 
diretivas baseadas 
naquelas 
necessidades e em 
relacionamentos
Identifique o 
firewall correto 
para sua 
configuração 
específica
Empregue 
esse firewall 
corretamente
Teste suas 
diretivas 
rigorosamente
Figura 22 – Seis passos para construir um firewall
101
SEGURANÇA EM REDES DE COMPUTADORES
Dos passos mencionados no esquema anterior, podemos destacar dois: o desenvolvimento de 
diretivas para obter o firewall correto e o teste rigoroso das diretivas. Para desenvolver as diretivas, é 
necessário determinar quem acessa a rede e como o faz. Deve-se incorporar quaisquer informações de 
plataforma ou de protocolo específicos localizados.
Com base nessas informações, é possível fazer uma escolha fundamentada sobre qual firewall é 
necessário. No mínimo, as informações serão suficientes para discutir de modo inteligente essa questão 
com vários fornecedores. Sabendo do que é preciso, não haverá equívocos por parte do pessoal de 
marketing do fornecedor. Antes de conduzir a pesquisa de aquisição, deve-se gerar uma lista de itens 
obrigatórios. Em última instância, baseará a sua decisão de aquisição nessa lista.
Depois de adquirido o firewall, deve-se instalar e testar se as diretivas estão sedo empregadas 
corretamente. Para isso, é recomendado realizar testes extensos, compostos de duas fases:
• teste das diretivas impostas contra estranhos;
• teste das diretivas internas.
A primeira fase pode ser feita a qualquer hora, mesmo quando seus usuários estiverem ausentes. É 
possível aplicá-la em um fim de semana ou fora do horário de expediente.
A segunda fase é mais complicada. Devido ao tempo de inatividade ou paralisação (down time) da 
rede, problemas e custos extras são comuns. Também será preciso lidar com alguns usuários zangados. 
É extremamente improvável que essa fase seja realizada corretamente na primeira vez, a menos que a 
rede seja totalmente homogênea e você tenha um conjunto consistente de aplicativo para todos.
Internet
Firewall
Estação A
Estação B
Estação C
Switch
Figura 23 – Topologia com um firewall
Segundo Ramos (2008), nos primórdios da internet, as primeiras iniciativas para proteger as 
redes conectadas ao mundo externo tentavam implementar mecanismos de controle de acesso nos 
102
Unidade III
roteadores. Essas tecnologias foram gradativamente evoluindo até atingirem um nível muito grande 
de complexidade e sofisticação. No começo, o firewall era atribuído a um conjunto de componentes 
responsável por efetuar o controle de acesso entre duas redes com níveis de confiança distintos, como a 
internet e uma rede interna. Com o tempo, porém, diversos fabricantes começaram a fornecer soluções 
encaixotadas num único software para desempenhar esse papel.
Quadro 22 – Gerações de firewall
Geração Funções
1ª Geração – filtro de pacotes
Restringir tráfego baseado no endereço IP de origem ou destino
Restringir tráfego através da porta (TCP ou UDP) do serviço
2ª Geração – filtros de estado 
de sessão 
As regas da 1ª geração
Restringir o tráfego para início da conexão (NEW)
Restringir o tráfego de pacotes que não tenham sido criados a partir de rede protegida 
(ESTABLISHED)
Restringir o tráfego de pacotes que não tenham número de sequência correto
3ª Geração – gateway 
de aplicação 
As regras das 1ª e 2ª gerações
Restringir acesso FTP a usuários anônimos
Restringir acesso HTTP para portais de entretenimento
Restringir acesso aos protocolos desconhecidos na porta 443 (HTTPs)
4ª Geração – subsequentes
Solução comercial para redes de comunicação TCP-IP
O filtro de pacotes dinâmico (stateful inspection)
O firewall isolado não consegue inibir todos os acessos indevidos, mas unido a outras ferramentas 
de controle de acesso pode evitar a entrada de vírus na rede e até mesmo detectar uma tentativa de 
invasão na rede interna.
Os firewalls possuem uma desvantagem: como são o único ponto de acesso, podem tornar lento 
o acesso à outra rede. Para resolver a questão, poderia se aumentar a capacidade com soluções de 
redundância, mas isso é muito caro.
 Observação
“O tráfego de informações entre os computadores ou redes e o mundo 
exterior é examinado e bloqueado quando uma informação não atende a 
critérios predefinidos de segurança” (BEAL, 2008, p. 94).
Dessa forma, a função do firewall é analisar pacotes que passam por ele e compará-los a um conjunto 
de regras para saber qual decisão tomar. Para isso, existem algumas tecnologias para o emprego do 
firewall em uma rede.
103
SEGURANÇA EM REDES DE COMPUTADORES
A tecnologia de filtro de pacotes funciona com o uso de listas de controle previamente configuradas 
(ACLs), e os roteadores que recebem essas listas são chamados de filtros de pacotes. As ACLs são regras 
que permitema tomada de ação baseada em critérios coletados nos pacotes.
As vantagens do uso dos filtros de pacotes residem na velocidade com que os pacotes são analisados, 
o custo de implantação razoavelmente baixo e a transparência no processo e na manutenção.
Apesar de suas vantagens, os filtros de pacotes possuem sérias limitações de segurança, e os filtros 
apresentam sérios problemas para conseguir barrar efetivamente os chamados ataques de fragmentação.
 Observação
Ataques de fragmentação são meios de fazer com que serviços TCP 
de máquinas protegidas por um filtro de pacotes possam ser acessados, 
mesmo que o filtro não permita seu acesso.
Outra tecnologia muito utilizada é a introdução de proxys criados para resolver os problemas 
dos filtros de pacotes. Trata-se de dispositivos que intercediam a conexão entre clientes e servidores, 
impedindo uma comunicação direta entre eles.
O filtro de pacotes dinâmico (stateful inspection), em vez de trabalhar com um conjunto de critérios 
estáticos, como os utilizados com as ACLs dos roteadores, coletam informações sobre os pacotes 
trafegados, armazenando-as em um componente chamado tabela de estados. Os filtros dinâmicos são 
muito populares e eles são a tecnologia mais usada em soluções comerciais de mercado. Eles também 
utilizam os proxys para auxiliar nesse processo.
Muitos sites que empregavam firewalls foram invadidos por crackers. Os produtos de firewall não são 
inerentemente falhos, mas a implementação humana às vezes é. A causa número um de redes invadidas 
por crackers é o administrador do firewall não tê-lo executado corretamente.
Isso não quer dizer que certos firewalls não tenham fraquezas. Alguns deles têm. Entretanto, essas 
vulnerabilidades tendem a ser menores.
Segundo Moraes (2010), o firewall apenas controla tráfego da rede que por alguma razão passou 
por ele. Assim, em ataques originados de usuários internos à rede, do qual o tráfego não passa pelo 
firewall, ele não pode garantir proteção.
Existem alguns ataques que o firewall isoladamente não consegue evitar, como ataques de Back 
Orifice, alguns tipos de DoS, autenticação fraudulenta, Backdoors e falhas humanas.
A figura a seguir exemplifica um usuário burlando a proteção do firewall realizando um acesso direto 
à internet por um modem conectado à sua máquina, como um 3G.
104
Unidade III
 Observação
Back Orifice (“Orifício Traseiro”, em inglês) é uma ferramenta de 
administração remota, para sistema operacional Microsoft, muito utilizada 
para fraudes bancárias. O nome é uma brincadeira com o Back Office da MS.
InternetFirewall
Rede interna protegida 
por firewall
Modem 3G
Estação A Estação B
Switch
Figura 24 – Usuário da rede interna burlando sistema de firewall
Segundo Moraes:
O proxy é um servidor que literalmente faz a intermediação da comunicação 
de um equipamento na rede segura com um equipamento na rede externa. 
Vamos imaginar que um computador A deseja se comunicar com um 
computador B. Todas as conexões devem ser estabelecidas pelo proxy. 
Assim, o computador realiza uma conexão com o proxy, que estabelece uma 
conexão com o computador externo à rede (B), sendo o proxy responsável 
pela monitoração e controle do tráfego (MORAES, 2010, p. 166).
Quadro 23 – Utilização de proxy
Vantagens Desvantagens
As redes são totalmente isoladas umas das outras São mais lentos e menos flexíveis
Recursos de log/registro Podem exigir configuração dos clientes
Recursos de cache Existe a necessidade de os proxies sofrerem update para cada novo serviço ou aplicação criada e inserida na rede
Balanceamento de carga
Adaptado de: Moraes (2010, p. 166).
105
SEGURANÇA EM REDES DE COMPUTADORES
Com a implantação do proxy, os dados serão analisados e modificados em nível de protocolo de 
aplicação, ou seja, o pacote será todo reescrito e remontado pelo proxy. Os proxies podem ser transparentes 
(nesse caso, não existe nenhum tipo de configuração das máquinas clientes) ou não transparentes, o que 
já exige configuração.
Na figura a seguir, a máquina interna inicia uma conexão usando o endereço IP remoto, a porta 
remota e o protocolo de transporte. O proxy fica posicionado no meio, interceptando a requisição, 
avaliando e iniciando a conexão com a máquina externa de destino. O proxy usa o endereço IP externo 
próprio como origem e cria seu próprio número de sequência.
Associação A Associação B
208.124.65.33 
Port. 23
Proxy
10.2.3.4 
Port. 2346
208.124.65.33 
Port. 23
161.69.65.99 
Port. 4332
Figura 25 – Funcionamento do proxy
O reply da máquina remota é enviado de volta para o proxy, que, por sua vez, combina a resposta 
com a requisição inicial da máquina interna; então, remonta o pacote enviado com o endereço da 
máquina interna como destino, o endereço de origem da máquina remota e a porta remota.
Se o recurso de transparência não é usado, significa que a máquina interna deve estar configurada para 
trabalhar com o proxy. Em vez de os pacotes serem direcionados para a máquina remota, eles inicialmente 
serão enviados ao proxy que efetiva a comunicação e envia a resposta à máquina de origem.
Existem proxies que trabalham apenas em circuito, criando associações completas entre o cliente e 
o servidor, sem a necessidade de interpretação do protocolo de aplicação.
Os pacotes são tratados pelo proxy segundo um critério de avaliação que inclui regras de autorização, 
tabelas de associação e avaliação do cabeçalho.
Quando utilizamos um proxy, as conexões podem apenas ser executadas pelo proxy, que tem a 
função de separar a rede interna da externa.
O proxy na camada de aplicação, além das configurações do proxy em nível de circuito, executa 
processamento de protocolos na camada de aplicação. Os critérios de avaliação usados para o pacote ser 
permitido ou negado são: autenticação do usuário; tabelas de associação; regras de autorização; regras 
de aplicação; avaliação do cabeçalho e auditoria.
106
Unidade III
Os proxies de aplicação manipulam dados complexos das camadas de aplicação, detectando 
tentativas de quebra de segurança. Justamente devido a essas funcionalidades eles são mais lentos que 
firewalls baseados em filtro de pacotes. Em razão da interatividade com as aplicações, esses proxies não 
estão disponíveis para alguns tipos de serviços de aplicações específicas.
A configuração da política de segurança em um firewall baseado em proxy deve seguir alguns passos 
lógicos para sua efetiva atuação:
• Determinar os tipos de proxy usados no firewall.
• Listar as máquinas internas que podem usar o proxy.
• Ajustar os requerimentos de permissão ou negação a determinados destinos e os requisitos de 
autenticação.
Para definir o padrão, são necessárias as seguintes permissões:
• Da rede interna: permitir FTP, TELNET, NNTP, NetShow, Real Áudio, HTTP.
• Da rede externa: permitir POP3 e eventualmente FTP e TELNET.
• O endereço de origem ou o nome do host deve ser usado para determinar a política aplicável.
• Algumas regras podem ser aplicadas a grupos de máquinas, criando políticas de segurança gerais.
Os principais tipos de proxy são:
• Proxies de aplicação: WWW, FTP, TELNET, MAIL, NNTP, SQL etc.
• Proxies de circuito: que estejam em nível de rede (endereços IP e portas TCP/ UDP).
• Proxies reversos: trabalham na forma reversa, permitindo o acesso a recursos internos.
• Proxies de cache: retêm os sites mais usados para reúso, sem a necessidade do acesso direto à internet.
Quadro 24 – Comparativo entre os tipos de proxy
Autenticação Autorização Auditoria
Filtro de pacotes simples Não Sim, apenas para endereços IP Não 
Filtro de pacotes stateful Não Sim Limitado 
Proxy de circuito Não Sim Limitado
Proxy de aplicação Sim Sim, endereços IP e ID de usuários Sim
Adaptado de: (Moraes, 2010, p. 169).
107
SEGURANÇA EM REDES DE COMPUTADORES
O firewall proxy de filtro tem uma arquitetura de firewall que trabalha tanto no modo proxy como 
no modo filtro. O modo filtro é usado para bloquear e filtrar o tráfego de serviços considerados seguros,enquanto o modo proxy é aplicado em um serviço inseguro que necessite do nível de segurança de 
um proxy.
A figura a seguir ilustra um firewall baseado em proxy. É importante observar que as estações 
da rede devem possuir a configuração do browser para apontar para o proxy. Nesse caso, é preciso 
configurar o endereço da interface de rede local do proxy, 192.168.1.254, e a porta em que o serviço 
de proxy estará ativo.
Internet
Firewall 
proxy
192.168.1.254:3128
Roteador
Perímetro de segurança
Estação A
Estação B
Estação C
Switch
Figura 26 – Arquitetura de firewall proxy
Além de monitorar o tráfego entre redes, um firewall pode desempenhar as seguintes funções:
• análise de conteúdo (Content Screening);
• gateway de VPN (Virtual Private Network);
• tradução de endereços de rede NAT (Network Address Translation);
• autenticação de usuários;
• balanceamento de carga (Load Balancing).
108
Unidade III
 Lembrete
Atenção ao configurar o sistema de firewall, 90% das falhas de 
segurança nos firewalls da rede estão associadas à má configuração.
Um firewall pode ser usado para bloquear determinadas URLs, como de sites pornográficos, piadas, jogos 
e cujo conteúdo não faça parte da política de segurança da empresa. Essa lista de sites proibidos pode ser 
inserida manualmente no firewall a partir de regras ou dinamicamente, utilizando um software que se agrega 
à solução de firewall e recebe diariamente a lista de distribuição de sites não permitidos pela internet.
Além de executar as funções de controle de acesso e do tráfego, o firewall funciona como um 
gateway de VPN (Virtual Private Network), realizando conexões criptografadas e tuneladas usando 
um protocolo como o IPSec, que implementa algoritmos criptográficos como AES e 3DES.
5.3 Bastion host
Trata-se de estações de trabalho que são captadas fora da rede interna e adicionadas à rede 
perimetral. O objetivo é fortalecer a segurança da máquina que é acessada pela internet, pois, se ela 
não for comprometida e o firewall estiver configurado corretamente para bloquear os acessos através 
dela, não haverá muitas opções para o intruso. É necessário que os equipamentos colocados nessa 
posição não possuam vulnerabilidades.
Disponibilizar serviços para usuários externos sem que isso comprometesse outros hosts na rede 
interna sempre foi uma preocupação desde que a internet surgiu. Uma das principais formas de fazer 
isso é focar bastante os aspectos de proteção da máquina que é acessada. A estratégia mais comum é 
tentar usar a máquina que pode ser acessada externamente como uma plataforma de ataque para as 
outras máquinas na rede interna.
Por essas razões, essas máquinas costumam ter a sua segurança fortificada, em um processo chamado 
de hardening, o qual envolve tarefas como garantir que a máquina não possua vulnerabilidades e que 
serviços desnecessários sejam desabilitados, sendo executados para controlar o acesso às suas portas. Essas 
máquinas recebem o nome de bastion hosts. Porém, não se pode confiar unicamente no processo de 
hardening, pois mesmo com ele ainda existe a possibilidade de a máquina ter sua segurança comprometida.
Assim, essas máquinas costumam ser isoladas em segmentos de rede específicos, numa tentativa de 
dificultar a propagação de ataques que as utilizem como plataformas.
5.4 Perímetro de segurança
O perímetro de segurança significa uma faixa de delimitação territorial, como a utilização de 
uma DMZ (DeMilitarized Zone). Em um prédio, costuma-se ter um perímetro físico entre a calçada e o 
começo da construção, que o separa da rua.
109
SEGURANÇA EM REDES DE COMPUTADORES
Internamente, ainda poderá haver diversos outros perímetros, sempre representando um espaço 
físico que se interpõe entre zonas com níveis de proteção diferentes.
Os perímetros são um conceito extremamente importante para a segurança física e podem, de 
maneira muito semelhante, ser transpostos para a segurança em redes. Frequentemente, eles são usados 
para separar redes internas da internet ou de redes que se conectem a fornecedores, com o objetivo 
de proteger a primeira. A maioria das estratégias de proteção baseia-se na criação e na construção dos 
perímetros, de acordo com o nível de confiança das conexões e considerando a importância dos ativos 
que são protegidos.
O uso do conceito de perímetros em estratégias de segurança em rede leva 
a desenhos em que uma rede intermediária é criada interposta entre outras 
duas que possuam níveis de confiança diferentes. A divisão entre internet 
e rede interna [...] seria o melhor exemplo. Esses segmentos intermediários 
recebem o nome de rede perimetral (RAMOS, 2008, p. 164).
Uma aplicação específica de redes perimetrais é conhecida por DMZ e consiste em uma rede 
perimetral que concentra máquinas que são acessadas externamente. Ela é colocada entre a rede de 
onde esses acessos externos são originados, frequentemente a internet, e a rede que gostaríamos 
de proteger contra esses acessos, comumente a rede interna.
O desenho é completado por firewall conectando a rede externa da DMZ e outro ligando esta última 
à rede interna. Sempre que máquinas são acessadas por clientes externos vindo de um ambiente não 
confiável, deve-se considerar a hipótese de invasão ou comprometimento da segurança. Se uma máquina 
nessas condições for invadida e estiver situada na rede interna em vez da DMZ, automaticamente o 
invasor será capaz de, a partir dessa máquina, disparar ataques para outros recursos. Dessa forma, a 
ideia de colocar tais máquinas em um segmento isolado e intermediário faz com que, mesmo em caso 
de invasão, o invasor tenha um mecanismo de segurança entre ele e a rede mais crítica em termos de 
proteção. Esse mecanismo, como já mencionado, é um firewall de equipamento semelhante, filtrando 
os pacotes e executando regras rígidas de controle de acesso. Além disso, essas máquinas costumam ser 
bastion hosts, ou seja, passaram por um processo de hardening.
 Observação
O processo de hardening consiste em configurar o equipamento 
instalando todas as ferramentas de segurança, mapeando as ameaças, 
fazendo a mitigação dos riscos e a execução as atividades corretivas a fim 
de preparar o equipamento para enfrentar um ataque.
110
Unidade III
Internet
Roteador
DMZ – 200.100.10.0/24
Estação A
Estação B
LAN – 10.1.1.0/24
Switch Switch
Servidor A Servidor B
Figura 27 – Topologia de uma rede DMZ
As DMZs, em seu significado original de uso militar, são faixas territoriais que são monitoradas 
de perto e que proíbem o uso de equipamentos militares. O exemplo atual de DMZ é a faixa que 
existe entre a Índia e o Paquistão. Caso a Índia tentar invadir o país, o exército do Paquistão terá 
que necessariamente cruzar essa extensão territorial, permitindo com antecedência a detecção da ação, 
o que daria ao Paquistão um tempo precioso para responder ao ataque.
As DMZs criadas para as redes têm a mesma finalidade. Caso uma máquina nessa rede perimetral 
tiver a sua segurança comprometida, a equipe de segurança terá tempo para detectar o incidente e 
responder de forma apropriada antes que o ataque atinja os ativos internos, o maior esforço em termos 
de proteção. Por isso, é muito comum que as máquinas da DMZ sejam monitoradas de perto, seja de 
maneira automática, com sistemas de IDS (Intrusion Detection Sistems), seja de forma manual.
Para aumentar ainda mais a segurança e garantir a defesa em profundidade, costuma-se combinar 
a segurança fornecida pelo firewall ou IPS (Intrusion Prevention System) com a chamada segurança em 
host, transformando essas máquinas, que recebem acesso externo, em bastion hosts.
Por fim, toda vez que uma rede tiver a sua frente um dispositivo de controle de acesso como firewall 
ou um IPS, ela será chamada de screened subnet (rede filtrada). Existem variações de conceito de DMZ em 
que, em vez de utilizar dois firewalls e criar uma rede perimetral no meio deles, apenas um dispositivo é 
usado, conectando diversas redes, todas filtradas. Éuma tentativa de simular a mesma proteção, porém 
consumindo menos recursos.
111
SEGURANÇA EM REDES DE COMPUTADORES
5.5 Sistemas de detecção e prevenção de invasão e políticas
Segundo Moraes (2010), para garantir a segurança de uma rede, é necessário pensar em três 
elementos: sistemas de prevenção como IPS, firewalls, encriptação, autorização; sistemas de detecção, 
como IDS, scanning por antivírus, auditoria; e sistemas de reação, como política, procedimentos e 
resposta automática.
Os sistemas de detecção de intrusão suplementam a proteção quando existe necessidade de deixar 
alguma porta em aberto nos firewalls, por exemplo, quando existe troca de informação entre uma 
aplicação externa e uma interna.
Muitas empresas se preocupam muito em fechar as portas com um firewall, pois assim se sentem 
seguras, mas acabam não investindo em sistemas de detecção de intrusão. Como vimos, os firewalls não 
possuem mecanismos de controle de ataques que ocorrem de dentro da rede, ou seja, em que o tráfego 
não passa por ele. Para esses casos, a detecção de intrusão é extremamente eficiente. Deve-se informar 
ao administrador da rede a existência de tentativa de ataques nos servidores e então derrubar a conexão 
do invasor.
Os sistemas de detecção de intrusão ou IDS (Intrusion Detection Systems) automatizam essas tarefas 
por meio da coleta de informações na rede ou dentro de hosts, analisando-as através de uma série de 
métodos em busca de padrões que caracterizem ataques.
O modo de operação dos sistemas de detecção de intrusão utiliza os seguintes métodos para 
identificação:
• Análise de assinatura de ataques: esses sistemas já possuem armazenados os principais 
ataques realizados por hackers. Eles simplesmente monitoram o comportamento dos servidores 
para verificar a ocorrência do ataque. Se o cracker se utiliza de um ataque novo ao qual o sistema 
de intrusão não possui a assinatura, ele não será reconhecido.
• Análise de protocolos: está sempre verificando os protocolos de aplicação para determinar se 
existe algo de errado. Por exemplo, um ataque de DNS do tipo overflow do buffer do BIND pode 
ser detectado pela análise de protocolo, pois esse tipo de ataque inclui alguns bytes no pacote que 
são identificáveis.
• Detecção de anomalias: é o método mais complexo de detecção de intrusão. Ele envolve o 
monitoramento de CPU, logs do sistema operacional, memória e discos dos servidores para 
verificar se alguma anomalia, que pode ou não ser um ataque, está ocorrendo no servidor. Existem 
anomalias que podem ser detectadas de aplicações, como a realização de uma query DNS em um 
servidor web que a princípio não deveria ter o DNS rodando.
Muitas pessoas acreditam que os sistemas de detecção de intrusão identificam o mau uso da rede 
ou ataques. O fato é que esses sistemas detectam problemas ou anomalias. A função do administrador 
de redes é determinar se esses problemas ou anomalias correspondem ou não a ataques. Na verdade, as 
112
Unidade III
detecções falso positivas são o grande problema dos sistemas de detecção de intrusão. Para resolver a 
questão, foram criados sistemas de prevenção de intrusão de última geração, que eliminam drasticamente 
o número de falsos positivos.
O software é apenas capaz de identificar padrões maliciosos ou atividades anormais.
Quando um processo é identificado, devem ser definidas prioridades. Esses sistemas trabalham 
24 horas por dia, portanto, devem existir administradores de rede de plantão que podem ser acionados 
quando os sistemas de detecção identificarem ataques. A constatação de anomalias é a metodologia 
mais complexa dos sistemas de IDS. Ela necessita de intervenção manual para verificar se a anomalia 
é verdadeira.
Quadro 25 – Tipos de sistemas de detecção de intrusão
Tipo Função
 Sistemas baseados na rede Trabalham com a análise de pacotes da rede
 Sistemas baseados nas estações Coletam logs e eventos do sistema operacional das estações
 Sistemas baseados na integridade de 
arquivos 
Verificam a integridade dos arquivos 
utilizando sistemas antivírus e auditoria
Adaptado de: (Moraes, 2010, p. 194).
Existem ainda sistemas híbridos, os quais permitem a coleta de informações baseadas na rede e 
nas estações. Já os sistemas baseados na integridade de arquivos criam um hashing criptografado dos 
arquivos mais importantes do sistema e alarmam quando ocorre alguma mudança neles.
As principais características de um sistema de detecção de intrusão são:
• Execução contínua: independentemente do horário comercial das empresas, os sistemas de 
detecção precisam funcionar 24 horas, como os servidores.
• Tolerância a falhas: imperfeições nesse sistema podem facilitar a ocorrência de ataque.
• Mínimo overhead na rede: devido a suas características de scanning contínuo da rede, deve-se 
trabalhar com baixo overhead, de modo a não prejudicar o tráfego normal de dados.
• Dificuldade de ser atacado: um ataque a um sistema de detecção de intrusão é uma grande 
vulnerabilidade na rede.
Qualquer ação a ser tomada por um IDS deve ser dirigida a um dispositivo externo, como um 
firewall. O IDS pode enviar TCP Resets, um ICMP unreachable ou mesmo configurar uma ACL de 
bloqueio no firewall.
113
SEGURANÇA EM REDES DE COMPUTADORES
Quadro 26 – Componentes e características da implantação do IPS
Componentes Características 
Agente
Peça de software responsável pela coleta dos dados. No caso de sistemas 
network-based, esse componente roda normalmente em um equipamento 
separado conectado ao segmento de rede monitorado
Coletor de eventos Componente que recebe os dados dos diferentes agentes que fazem parte do sistema IDS, centralizando o seu recebimento
Base de dados Um banco de dados de alta performance cujas informações são enviadas pelos agentes e recebidas pelo coletor de eventos
Gerenciador central
É o componente principal de controle do sistema IDS. Muitas vezes, é 
dentro dele que se encontra o mecanismo de análise de informações, 
responsável por interpretar os dados e detectar ou não a incidência de 
incidentes
Sistemas de alerta
Podem gerar alertas de diversos tipos. O componente responsável por 
servir de interface com aqueles que necessitem enviar avisos a respeito de 
ataques é o sistema de alerta
Interface gráfica
Alguns sistemas, em especial as soluções comerciais, fornecem interfaces 
gráficas que podem ser utilizadas para gerenciamento e monitoramento 
dos sistemas. Essas interfaces podem ser componentes isolados, que se 
conectam ao gerenciador central, ou então fazer parte deste último
Uma vez conhecidas todas as tecnologias disponíveis na construção de sistemas de IDS, todos os 
fatores externos que influenciarão o projeto devem ser levantados para uma correta implementação.
Primeiro, é preciso realizar o levantamento dos requisitos, o que envolve, basicamente, o mapeamento 
de todas as necessidades do sistema, permitindo que as opções e decisões mais adequadas sejam 
escolhidas. Existem dois tipos de requisitos que devem ser analisados: técnicos e organizacionais. Além 
disso, algumas limitações podem afetar as decisões sobre o projeto da solução, e cada uma delas deverá 
ser analisada de forma isolada.
Nos requisitos técnicos, deve-se iniciar com o monitoramento do ambiente, que precisa ser estudado 
e compreendido para que o projeto do IDS seja feito. Esse processo compreende um conhecimento sobre 
a topologia, sobre os serviços fornecidos por essa rede e sobre os usuários que os acessam. Inclui-se 
também o desenho das proteções existentes como firewaIIs.
Além disso, é necessário traçar de forma clara os principais objetivos a serem atingidos com o uso 
do IDS: os ataques que mais preocupam vêm de dentro ou de fora? As informações produzidas pelo IDS 
serão utilizadas de que forma? O monitoramento será feito pela equipe de segurança ou por uma equipe 
de monitoramento de rede?
Os requisitos técnicos podem ser afetados pela política de segurança da organização. O documento 
elaborado pode, entre outras coisas,possuir especificações sobre tecnologias, responsabilidades, 
procedimentos de respostas a incidentes e práticas de investigação.
Quanto aos requisitos organizacionais para os quais a solução está sendo projetada, ainda poderá 
haver uma série de requisitos, seja por necessidades próprias, seja por demandas externas, como 
114
Unidade III
obrigações em termos de conformidade e legislação. Todos esses pontos devem ser avaliados, garantido 
o projeto de uma solução em conformidade com os objetivos da organização.
Uma série de limitações pode impactar as decisões a respeito do projeto do IDS, contudo, as duas 
mais importantes são orçamento e pessoal. Soluções comerciais tendem a ser mais caras, porém mais 
fáceis de gerenciar, além de servirem bem para ambientes com disponibilidade de recurso financeiro e 
falta de pessoal. Ambientes sem orçamento, mas com pessoal capacitado disponível, podem se valer 
dessa vantagem e reunir a equipe para montar excelentes soluções usando software livre. Entretanto, 
a situação mais comum é que, em maior ou menor grau, ambas as restrições existam, forçando, assim, a 
busca de soluções de software livre ou soluções comerciais mais econômicas que sejam simples de 
administrar. Diversas opções podem ser utilizadas, mas deve-se ter em mente que o trabalho associado 
à sua continuidade costuma sempre ser um pouco maior do que o de soluções comerciais.
Os Sistemas de Prevenção de lntrusão (IPS) permitem, além de alertar 
uma tentativa de ataque, realizar o seu bloqueio. Esses equipamentos 
normalmente estão conectados nos segmentos críticos da rede, em linha, ou 
seja, todo o tráfego a ser inspecionado precisa passar por ele. Eles permitem 
a detecção e o bloqueio automático de ataques (MORAES, 2010, p. 195).
Esse tipo de equipamento normalmente trabalha na camada de enlace do modelo OSI, camada 2, e 
não necessita de nenhum tipo de reconfiguração da rede para ser instalado.
Os IPS realizam um nível de inspeção no pacote muito profundo, que vai até a camada de aplicação 
do modelo OS1 (camada 7). Um IPS permite detectar as seguintes ameaças na rede, incluindo a rede sem 
fio: propagação de vírus; propagação de worms; ataques direcionados a sistemas operacionais; ataques 
direcionados à aplicação web, como cross site script, PHP Injection e SQL Injection; exploração de 
vulnerabilidades das principais aplicações, spams e phishing, spyware e utilização da rede por aplicações 
não permitidas como P2P, incluindo BitTorrent.
Esses equipamentos podem ser usados para proteger a rede corporativa dos acessos à rede sem 
fio. Em geral, eles têm alta capacidade de processamento, trabalham com interfaces Gigabit Ethernet 
ou 10 Gigabit Ethernet e realizam a inspeção em arquitetura de processamento distribuído com 
microprocessadores de uso dedicado ASICs e FPGAs.
Os IPS possuem baixas taxas de falso positivo e também permitem detectar ataques de negação 
de serviço.
A seguir, serão destacados alguns benefícios da adoção de uma solução de IPS.
Redução das chamadas de help desk
Uma vez que o IPS realiza o bloqueio das ameaças para proteger os dispositivos, em especial os 
computadores dos usuários, não há necessidade de uma ação do suporte para recuperar a máquina.
115
SEGURANÇA EM REDES DE COMPUTADORES
Aumento do conhecimento e da visibilidade do tráfego da rede
O IPS permite monitorar tráfegos e fluxos e identificar comportamentos anômalos e que 
correspondam a alguma atividade maliciosa. Ele acaba atuando como um espião que consegue detectar 
tráfegos não esperados e não autorizados, como ataques internos, uso de aplicações não autorizadas 
como P2P (Emule, BitTorrent), ataques DoS e mesmo perda de dados, por meio de filtros de DLP (Data 
Loss Prevention).
Controle de banda
Um dos principais recursos do IPS é monitorar o uso de banda pelas aplicações e fixar limitadores de 
banda (Rate Limit). Esse recurso é essencial para o controle da rede, evitando seu mau uso. Vários clientes 
o utilizam para evitar congestionamento da rede causado por streamings de vídeo e acesso a redes P2P. 
Como exemplo, em um cliente o IPS comprovou o uso de mais de 40% do link de comunicação com 
tráfego não permitido (P2P), aumentando os custos associados e, consequentemente, gerando lentidão 
nas aplicações válidas e essenciais à rede. Com o recurso de Rate Limit, será possível definir um limite 
de banda aos tráfegos.
Serviço de reputação
Permite bloquear uma ameaça sem mesmo ser necessário inspecionar os pacotes. Isso é possível 
porque já existem hoje na internet serviços que monitoram as ações e identificam origens de ataques, 
propagação de worms, servidores de Botnets, servidores que hospedam sites de phishing, origens de 
ataques DoS, redes P2P e sites que hospedam tráfego malicioso. Esses endereços são listados e então é 
realizado um ranking da ameaça na base de dados de reputação. Isso permite que o usuário, por política, 
faça o bloqueio dessas ameaças de acordo com o nível de criticidade (0-10), o tipo de ameaça (spyware, 
worm, phising, botnet etc.) ou mesmo o país de origem. Essa base de dados de reputação é atualizada 
a cada duas horas.
Redução de custos com a recuperação de máquinas
De fato, é mais barato prevenir do que remediar. Ataques bem-sucedidos em uma rede trazem 
prejuízos imensos às organizações, além de causarem a indisponibilidade das máquinas, uma vez que 
elas ficam fora de operação até serem reinstaladas. O grande problema é a perda ou o roubo dos dados da 
máquina comprometida. Esses dados valem muitas vezes o preço da máquina, e sua perda corresponde a 
um prejuízo incalculável. O rebuild de máquinas pode levar mais de duas horas por computador.
Aumento da produtividade
Computadores comprometidos geram tempo de parada e recuperação, que pode ser muito grande e 
representar uma diminuição na produtividade. Trabalhos salvos, mas que não possuam backup, podem 
ser simplesmente perdidos quando a máquina for comprometida, gerando mais prejuízo. O IPS como 
elemento de proteção a esse tipo de ação é fundamental no aumento da produtividade, reduzindo em 
99% a quantidade de incidentes de segurança na rede.
116
Unidade III
Outbreaks
A cada ano surge uma ameaça crítica que acaba gerando grandes problemas e indisponibilidades 
nas redes corporativas, sendo conhecida como outbreak. O último grande outbreak presenciado foi o 
Conficker, um worm que se propagava rapidamente na rede, derrubando o serviço de DNS interno e 
congestionando o serviço de autenticação do Windows (Active Directory). Usuários que acreditavam 
que os sistemas de antivírus e o firewall fossem capazes de bloquear essa ameaça foram surpreendidos 
pela parada total da rede. Alguns worms críticos são capazes de infectar toda a rede em poucos minutos.
Patch virtual
Normalmente, perde-se muito tempo para atualizar todo o parque de máquinas quando uma nova ameaça 
é conhecida, por isso a gerência de TI acaba realizando essas atualizações nos fins de semana, quando já é tarde 
demais. O IPS instalado na rede atua como um patch virtual. Mesmo que as máquinas estejam vulneráveis, 
qualquer tentativa de explorar a vulnerabilidade será bloqueada pelo IPS, protegendo assim as estações.
Web Application Firewall
É notória a dificuldade em alterar uma aplicação para que ela se torne menos vulnerável. É muito 
mais barato bloquear as ameaças pela rede do que realizar as correções na aplicação. Nesse ponto, o IPS 
acaba sendo um instrumento essencial para proteger as aplicações, especialmente a web.
Proteção de infraestrutura de voz sobre IP (VoIP)
As reduções de custo atreladas ao uso de VoIP são uma realidade no ambiente de TI de uma organização 
moderna. Entretanto, esse ambiente é vulnerável a uma série de ataques que têm como objetivo 
indisponibilizar o serviço, ou mesmo permitir a realização de chamadas não autorizadas. Nessa linha, o IPS 
tem uma completa cobertura de vacinas que o protegem contra ataques à infraestrutura VolP.
Proteção aos firewalls
Os IPS complementam a açãodos firewalls no estabelecimento da política de segurança, entretanto, 
vale ressaltar que o próprio firewall pode estar susceptível a um ataque, especialmente de negação de 
serviço. Nesse cenário, pode-se fazer uso de um IPS para proteger, além de toda a infraestrutura 
de máquinas e servidores, os serviços de firewall.
Quarentena
Caso seja identificada uma fonte de ataques proveniente da rede interna, o IPS permite que uma 
ação de quarentena seja tomada. Ela consiste em isolar a máquina comprometida para que ela não 
infecte ou mesmo dissemine a ameaça pela rede.
Com base no que foi apresentado, nota-se que a conscientização dos usuários também é essencial 
para a segurança. As políticas de segurança são um conjunto de regras que visa definir quais 
117
SEGURANÇA EM REDES DE COMPUTADORES
serviços são permitidos e quem pode usá-los. Destaca-se que regras devem ser pensadas antes do seu 
uso, e não o contrário.
Quando se trata de ameaças à segurança da informação física, a questão é simples, mas quando o 
assunto são as ameaças ao ambiente lógico, as possibilidades de ataques são bem maiores. Segundo Beal:
os softwares maliciosos existem em forma de vírus, que, em sentido escrito, 
corresponde a uma sequência de código inserida em outro código executável 
que faz com que, quando o programa é executado num computador, se 
instala e passa a controlar as suas ações (BEAL, 2008, p. 96).
Como vimos, há diversos softwares maliciosos, os vírus, as bombas lógicas (códigos maliciosos que 
permanecem inativos por um período de tempo até o seu acionamento remoto), os cavalos de Troia 
(códigos maliciosos que são embutidos em aplicativos inofensivos e que, caso sejam instalados pelo 
usuário, podem furtar as informações ou dominar o equipamento), os worms (programas que podem 
rodar de forma independente, transmitir-se de equipamento a equipamento e causar danos a outros).
As preocupações com software malicioso vão além dos relacionados a downloads de anexos 
infectados ou uso do correio eletrônico, mas a introdução de um dispositivo infectado em uma estação 
na rede ou a instalação de softwares não confiáveis pode colocar em risco a segurança da informação.
Medidas de proteção são necessárias, contra essas ameaças, como: uso de programas de 
conscientização dos usuários; procedimentos controlados para importação de arquivos e softwares; 
instalação e atualização regular de softwares antivírus e exame periódico de computadores e mídias.
A instalação de um bom software antivírus é primordial para proteger os ativos de informação contra 
ataques de códigos maliciosos, pois vasculham arquivos periodicamente em busca de mudanças não 
esperadas nos arquivos e compara tudo com uma lista de vírus existentes. Todas as medidas tecnológicas 
adotadas são importantes, mas é vital conscientizar os usuários dos riscos e criar mecanismos de controle 
de instalação de novos softwares.
A segurança de software diz respeito ao uso de controles embutidos 
nos próprios programas, que operam independentemente das medidas 
de proteção a que estão submetidas às redes, complementando-as (no caso 
do comércio eletrônico, por exemplo, as complexidades dos requisitos de 
segurança acabam levando à necessidade de implantação de controles nos 
próprios aplicativos [...] (BEAL, 2008, p. 98).
A segurança de sistemas aplicativos deve demandar alguns controles de acordo com os requisitos 
de segurança existentes: a validação de dados de entrada, o controle do processamento interno, a 
validação da saída e o controle da transmissão de mensagens.
Proteger as informações no ambiente do usuário final também é necessário, por isso a implantação 
de medidas para controle dos usuários dentro do ambiente lógico de software é fundamental. Observe 
o quadro a seguir:
118
Unidade III
Quadro 27 – Proteções aplicáveis aos usuários finais
Controle Descrição 
Proteção das 
informações críticas 
Criar mecanismos para proteger as informações críticas que precisam ser compartilhadas, 
por esse motivo o uso de criptografia é recomendado
Atualização dos 
softwares antivírus É necessária a atualização constante da lista de vírus conhecidas 
Uso de firewall Não apenas na rede, mas também nas estações de trabalho individualmente 
Procedimentos de 
logon 
A entrada no sistema deve limitar o tempo máximo para sua conclusão e o tempo máximo 
de tentativas de entrada 
Políticas e controles Relacionadas ao uso de equipamentos portáteis, como notebooks e celulares
6 VPN, VLANS, IPSEC E SEGURANÇA EM REDES SEM FIO
Os administradores de redes devem estar atentos para utilizar as tecnologias, tendo um olhar crítico na 
segurança da informação. Há ferramentas que foram desenvolvidas para facilitar o tráfego de informações, 
as quais podem trazer benefícios à segurança da informação caso sejam configuradas eficientemente.
6.1 VPN (Virtual Private Network)
Para Moraes (2010), podemos definir as VPNs (Redes Virtuais Privadas) de diversas maneiras, por 
exemplo: como uma rede de circuitos virtuais que transporta tráfego privado ou como uma conexão 
segura baseada em criptografia.
O objetivo das VPNs é transportar informação sensível através de uma rede insegura (internet). Elas 
combinam tecnologias de criptografia, autenticação e tunelamento, sendo um dispositivo interessante 
para interligar pontos distantes de uma organização através da internet. Elas também podem ser definidas 
como uma rede na qual a conectividade entre múltiplos usuários e/ou sites é estabelecida sobre uma 
infraestrutura compartilhada, porém com as mesmas políticas de acesso e segurança de uma rede privada.
As VPNs referem-se ao acesso entre redes por meio seguro através de uma rede insegura. A figura a 
seguir demostra uma visão simplificada de uma VPN.
Criptografia Criptografia
Roteador 
externo
Roteador 
externo
Rede interna Rede internaInternet
Figura 28 – Conexão segura entre redes internas via rede externa (VPN)
119
SEGURANÇA EM REDES DE COMPUTADORES
Para Ramos (2008), as redes públicas de comunicação sempre estiveram disponíveis e já faz muitos 
anos que existem tecnologias que permitem o estabelecimento de conexões ponto a ponto sob elas. 
Um exemplo bastante comum é o protocolo PPP, que no começo da internet foi bastante utilizado para 
criar conexão entre computadores que se comunicavam pela rede de telefonia. Essas tecnologias que 
permitem a constituição de um túnel privado em cima de uma rede pública são chamadas de redes 
virtuais privadas ou VPNs.
Com a popularização da internet, porém, um novo nicho de possibilidades se abriu para o uso de 
tais tecnologias, pois ela permitia que empresas em locais diferentes do globo pudessem se comunicar 
sem gastar fortunas com links diretos internacionais. Porém, por conta dos problemas de segurança, 
começaram a se popularizar tecnologias seguras de VPN, que utilizam criptografia.
Apesar de tecnicamente o termo não implicar o uso de segurança, hoje a palavra VPN é quase 
sinônimo de VPN segura, ou seja, que usa mecanismos de criptografia e proteção.
A figura a seguir destaca a substituição de links de comunicação privativos entre os escritórios de 
diversas cidades, por meio de uma VPN.
Escritório de Toronto
Escritório de Singapura
Escritório de TóquioEscritório de Salvador
Internet
Figura 29 – Interligação entre redes através da VPN
Nessa solução, foram substituídos circuitos de acesso dedicados por conexões lógicas sobre a 
internet. Essas conexões podem ser realizadas entre nós, roteadores, firewalls e outros dispositivos.
Dentro desse conceito, a internet tornou-se um backbone virtual, gerando uma redução potencial 
de custos com a substituição de linhas privativas. Essa solução permite a conexão em alta banda com 
matriz, além de usuários de home office com conexão via xDSL ou cable modem.
120
Unidade III
Outras aplicações para VPN incluem acesso para pessoal que trabalha em campo e conexões entre 
empresas parceiras.
A figura a seguir ilustra alguns cenários de uso de VPN, destacandousuários de acesso remoto, 
conexão de filiais e extranet com empresas parceiras.
Embora já houvesse a demanda por telecommuting e home office mesmo antes da disponibilidade 
dos serviços xDSL, os meios existentes, isto é, conexões discadas, não tinham performance suficiente 
(dial-up assíncrono) ou não possuíam a disponibilidade (RDSI) necessária.
Internet
Usuário de acesso remoto
Figura 30 – VPN para conexão home office
Os serviços xDSL oferecem banda passante mais do que suficiente para atender à demanda de 
escritórios remotos individuais (home office) e mesmo de escritórios remotos de maior porte. Observe a 
seguir a conexão de usuários móveis e remotos à rede corporativa via VPN.
Intranet
Extranet
Escritório filial
Parceiro/Fornecedor
Escritório matriz
Escritório
Usuário de acesso remoto
Figura 31 – VPN para conexão de intranet e extranet
121
SEGURANÇA EM REDES DE COMPUTADORES
As conexões LAN to LAN através da internet permitem que as organizações não necessitem mais de 
Frame Relay ou linhas privadas para conexões privadas. Além disso, garantem conexões seguras com 
empresas parceiras (extranet). Assim, é possível listar algumas vantagens do uso da VPN:
• menor custo (relativo à linha privada), mais de 50% de redução;
• solução escalável;
• menor chance de falha;
• facilidade de gerenciamento;
• em algumas modalidades, paga-se apenas o uso;
• utiliza menos equipamentos.
As VPNs podem ser usadas, portanto, para substituir ou ampliar redes privadas, incluir novas 
aplicações sem interromper as atuais e inserir novas unidades. Quanto mais geograficamente espalhada 
estiver a empresa, maiores serão os ganhos.
De qualquer forma, as VPNs não são recomendadas quando a performance não é tão vital ao negócio, 
para tráfego de voz, vídeo ou outro tráfego isócrono e quando existem aplicações não IP na rede que 
não podem ser tuneladas.
O problema com as aplicações isócronas é que não existe controle de congestão e acesso. Além disso, 
a latência, o jitter (variância da latência), a perda de pacotes e vazão (especialmente em uma rede IP/Frame 
Relay) são muito grandes, o que afeta diretamente a qualidade do serviço. Outro ponto essencial que 
deve ser observado é a segurança.
Algumas características presentes na VPN são:
• Autenticação: identificar com quem se está comunicando.
• Tunelamento: encapsular dados roteados através da rede pública.
• Criptografia: garantir segurança.
As VPNs podem ser implementadas por hardware ou software. Todas as soluções de VPN envolvem 
a aplicação de diversos algoritmos, e nenhum desses é interoperável.
As vantagens da implementação por hardware incluem a velocidade e o uso de hardware criptográfico 
com chips dedicados, o que torna a VPN muito rápida e não sobrecarrega a CPU de roteadores, firewalls 
ou gateways.
122
Unidade III
Essas soluções são do tipo black box, ou seja, um hardware dedicado. Existem vários appliances com 
essa finalidade e vários fabricantes que fornecem esses tipos de soluções, como Cisco, Nortel Networks 
e Lucent, Sonicwall.
As vantagens da implementação por software residem em sua facilidade. Pode ser feita massificada 
e por updates; os patches são de fácil distribuição por e-mail e web, e o gerenciamento é centralizado, 
com menor possibilidade de erros.
A execução por software depende muito do sistema operacional no qual vai estar instalado. Existem 
soluções de instalação de VPN usando sistema operacional Linux, com o FreeSwan e com o Windows.
A implementação da VPN usando a internet obriga que se pense em segurança. Os mecanismos de 
autenticação (que permitem saber com quem estamos nos comunicando), de integridade (os dados 
não são alterados no trânsito) e de acesso (confiar que pessoas não desejadas não consigam acessar 
sistemas, softwares e dados) devem ser efetivados.
Existem algumas maneiras de realizar uma VPN. Cada uma delas faz uso de diferentes protocolos em 
diferentes camadas do modelo OSI. Existem os seguintes tipos de configuração por protocolos:
• Camada 2 ou enlace: fazem parte desse grupo os protocolos L2TP (Layer 2 Tunneling Protocol), 
PPTP (Point-to-Point Tunneling Protocol), L2F, além das VPNs criadas com o Frame Relay e o ATM.
• Camada 3 ou rede: fazem parte desse grupo os protocolos IPSec (Internet Protocol Security) 
e MPLS.
• Camada 4 a 7 – transporte e aplicação: são as VPNs formadas por protocolos que trabalham 
nas camadas de transporte e a aplicação, a saber: o SSL (Secure Socket Layer), TLS (Transport Layer 
Security), SNIME, SSH (Secure Shell).
Segundo Moraes (2010), mesmo que pouco utilizadas, ainda vemos as VPNs discadas, também 
conhecidas como VPDNs (Virtual Private Dial Network).
Por sua vez, PPTP (Point-to-Point Tunneling Protocol) foi o primeiro protocolo para tunelamento. Ele 
é usado em máquinas NT e faz VPN ponto a ponto. O PPTP permite que seja executada criptografia na 
camada de enlace com o protocolo RC4 e o RSA. O PPTP é basicamente uma extensão do PPP.
A integridade do PPTP é baseada no algoritmo MD4 (Message Digest 4), portanto, é fraca. Há 
programas de crackers que conseguem descobrir o tráfego de uma VPN PPTP.
Apesar de tudo, é um dos tipos mais difundidos, porque foi um dos primeiros protocolos disponíveis. 
Além de VPN ponto a ponto, faz fim a fim. Necessita de servidores Microsoft para executar os túneis e 
encapsula NetBEUI, IPX e AppleTalk.
123
SEGURANÇA EM REDES DE COMPUTADORES
O protocolo PPTP possui algumas restrições, como: especificar as técnicas de gerenciamento de 
chaves, proprietário, ou seja, tem que ser adquirido; não existir criptografia quando usado em acesso 
remoto; permitir uma única conexão no túnel – solução para acesso remoto.
O protocolo L2F (Layer 2 Forwarding) é um protocolo proprietário Cisco. Sua instituição baseou-se 
no uso do PPP como o PPTP para a autenticação do usuário. Assim, o L2F trabalha com RADIUS e 
TACACS+. Não suporta criptografia, mas é mais poderoso que o PPTP, pois permite várias conexões no 
mesmo túnel.
Por sua vez, o L2TP (Layer 2 Tunneling Protocol) combina o protocolo Cisco Layer-Two Forwarding 
L2F com PPTP, também é uma extensão do PPP. Só pode ser usado em VPN nó a nó devido à aplicação na 
camada de enlace. Para funcionar fim a fim, todos os nós da rede (roteadores) precisariam suportar L2TP.
O L2TP funciona com redes baseadas em quadros como Frame Relay e X.25, e ainda encapsula 
protocolos como NETBEUI, IPX e AppleTalk. A autenticação é garantida pelo PPP – PAP CHAP e suporta 
RADIUS e TACACS+.
Destaca-se que o L2TP trabalha e interopera com IPSec, garantindo confidencialidade, com a 
criptografia, e tornando-se a melhor solução para acesso remoto.
A solução VPN Frame Relay faz a separação de tráfego por circuitos virtuais, os DLCls. Em uma VPN 
Frame Relay, não existe encriptação e, na verdade, não é necessário, pois o protocolo atua apenas na 
camada 2 do modelo OSI, sendo uma solução segura para o acesso. O Frame Relay é suportado para 
velocidades baixas.
VPN MPLS (Multi Protocol Label Switching) são uma novidade no mercado e 
prometem, além de uma infraestrutura de VPN segura, a garantia da qualidade 
de serviço, assegurando resolver os problemas como congestionamentos, 
atrasos e jitters encontrados nas VPNs tradicionais. Uma rede MPLS comuta 
pacotes baseados no Label, e não no endereço IP. É flexível, pois não exige 
provisionamento complexo de PVC ou gestão dos túneis. Os problemas 
encontrados nas VPNs MPLS estão relacionados à não padronização e à 
baixa interoperabilidade entre diferentes fabricantes (MORAES, 2010, p. 111).
A utilização de VPN com IPsec também é uma tendência. O IPSec, segundo a RFC 2401 (IETF, 1998), 
foi constituído para operar tanto em um ambiente de estação do usuário como em gateway (roteador, 
concentrador etc.), garantindo a proteção para o tráfego IP. A proteção oferecida é baseada nas 
necessidades da política de segurança estabelecida e mantida pelo usuário ou administrador do sistema.
O IPSec é um protocolo de tunelamento desenhadotanto para IPv4 como IPv6, e disponibiliza 
mecanismos de segurança fim a fim e criptografia na camada IP.
Observe as características descritas a seguir:
124
Unidade III
• Integridade: os pacotes são protegidos contra modificação acidental ou deliberada.
• Autenticação: a origem de um pacote IP é autenticada criptograficamente.
• Confidencialidade: a parte útil de um pacote IP ou o próprio pacote IP pode ser criptografado.
• Antirreplay: o tráfego IP é protegido por um número de sequência que pode ser usado pelo 
destino para prevenir ataques do tipo replay (repetir mesma sequência antes enviada).
O IPSec permite a interoperabilidade de implementações de diferentes fabricantes e é uma solução 
de segurança fim a fim entre roteadores, firewalls, estações de trabalho e servidores. Ele se integra com 
a pilha TCPIIP existente, sendo transparente para todas as aplicações, ou seja, não há necessidade de 
executar nenhuma alteração nos sistemas existentes para aplicação do IPSec.
O IPSec utiliza criptografia simétrica devido à rapidez do mecanismo para encriptar os dados, 
e criptografia assimétrica para prover mecanismos de troca de chaves criptográficas. Conforme 
acentuamos, os algoritmos de hashing no IPSec geram hashings de tamanho de 128 ou 160 bits.
Os algoritmos suportados pelo IPSec para criptografia são: AES, DES, 3DES, RC5, IDEA, CAST e 
Blowfish; para hashing: MD5, SHA-1 e Tiger; para autenticação: assinaturas digitais RSA e assinaturas 
digitais DSS.
A associação de segurança é um acordo estabelecido entre os dois pontos da comunicação para 
negociação de parâmetros do túnel IPSec. Esse acordo deve ser fixado antes da criação do túnel IPSec. 
Entre os mesmos dois pontos podem existir múltiplas associações de segurança.
As associações de segurança ficam armazenadas na SPD (Security Policy Database) ou base de dados 
da política de segurança e SAD (Security Association Database). Cada associação de segurança possui 
seu identificador único, que é classificado pelo SPI (Security Parameter Index).
Na associação de segurança são negociados os seguintes mecanismos de segurança:
• modo do túnel IPSec: ESP ou AH;
• algoritmo de criptografia;
• método de autenticação;
• função de hashing;
• método de autenticação do usuário: RADIUS, SecurlD;
• escolha das chaves criptográficas e chaves de autenticação.
125
SEGURANÇA EM REDES DE COMPUTADORES
6.2 VLANs (Virtual LANs)
Um mecanismo básico de segregação de tráfego disponível na maioria dos switches é o uso de 
VLANs (Virtual LANs ou redes virtuais), que é extensivamente utilizado com o propósito de diminuir o 
impacto do tráfego de broadcast em redes de grande porte. Do ponto de vista de segurança, é possível 
usar essa mesma funcionalidade em duas situações bem comuns que serão analisadas a seguir.
A VLAN para uso externo destina-se a usuários que fazem acesso a serviços internos através de 
meios externos. A técnica é muito utilizada em data centers que costumam alugar equipamentos 
de grande porte para diversos clientes pequenos, normalmente com o objetivo de compartilhar recursos 
e otimizar o custo. Para impedir e segregar o tráfego que os clientes são capazes de “ver”, é possível 
inserir um servidor virtual para cada cliente em VLANs separadas, garantindo que externamente eles 
tenham conectividade apenas com sua rede respectiva e o oculto não se misture com o de outros 
clientes. Fisicamente, apenas um servidor e um segmento de rede existem.
Internet LAN
DMZ1 – 200.100.10.0/24
DMZ2 – 200.100.11.0/24
Switch
SMTP
Servidor B
FTP
Figura 32 – Topologia para duas VLANs externas, usadas como DMZ
Já as VLANs para uso interno, como o próprio nome diz, é destinada a ambientes internos, e o seu 
uso é mais frequente e tem aplicações mais comuns. A principal delas, do ponto de vista de segurança, é 
evitar que, dentro de um mesmo segmento de rede, o tráfego cuja interceptação pode trazer problemas 
de segurança seja segmentado daquele que normalmente é produzido pelos usuários. Exemplos de 
126
Unidade III
tráfego com essas características incluem a comunicação de DMZ, que pode conter informações críticas, 
como endereçamento de interfaces, ou mesmo permitir a alteração de certas configurações e parâmetros.
Estações – 10.1.2.0/24
Servidores – 10.1.1.0/24
Rede administrativa – 10.1.3.0/24
Switch Switch
SMTP FTP
DMZ
Estação A Estação B
Figura 33 – Topologia para três VLANs internas
Para um exemplo ainda mais simples, imagine uma impressora que possui uma interface para 
administração remota: todos os usuários desse recurso precisam conhecer o seu endereço de rede 
para despachar trabalhos de impressão. Porém, no que diz respeito à administração, ela deve ficar 
confinada apenas ao grupo de administradores. Nem sempre a interface de administração remota 
trabalha com protocolos seguros e, por conta disso, é necessário impedir que os usuários comuns possam 
interceptar o tráfego de administração dessa impressora, já que eles poderiam, assim, ver parâmetros 
críticos ou mesmo interceptar senhas.
Uma solução possível nesse caso seria criar duas VLANs, uma para a impressão e outra para administração, 
garantindo que apenas os administradores façam parte da segunda. Já a impressora deverá possuir dois 
endereços, participando de ambas as redes. Todavia, as funções de impressão deverão estar confinadas à 
rede apropriada, bem como às funções de administração, pois assim usuários comuns não teriam sequer 
conectividade com a interface de administração, evitando muitos problemas de segurança.
127
SEGURANÇA EM REDES DE COMPUTADORES
Segundo Forouzan (2008), as principais vantagens da implantação das VLANs são:
• Aumento de performance: com a diminuição significativa de broadcast no tempo de resposta 
na rede, auxilia a disponibilidade das informações.
• Facilidade de gerenciamento: com o uso das VLANs, o processo de rede é simplificado, além 
de ser mais rápido, prático e eficiente no processo de configuração através das plataformas de 
gerenciamento, o que auxilia no aumento da confidencialidade das informações.
• Topologia de rede independente: a disposição lógica da rede fica independente e segregada da 
topologia física, o que adiciona maior flexibilidade nas modificações dessa rede.
• Aumento da segurança: as VLANs proporcionam muita segurança entre as redes e os usuários, 
elevando a confidencialidade e a integridade das informações.
Nas configurações dos switchs modernos (multicamadas), existe a possibilidade de desenvolver 
projetos de VLANs das mais variadas formas:
Quadro 28 
Tipo Características
 VLANs por porta Critério tradicional também suportado por switches camada 2 comuns
 VLANs por endereço MAC 
Critério que apenas alguns switches tradicionais suportam. Esse sistema é 
baseado na configuração do endereço MAC da estação como política da VLAN. 
Assim que a estação é conectada na rede, independentemente do local físico em 
que ela estiver, automaticamente se conecta à VLAN que participa. Essa solução é 
muito utilizada por usuários de notebooks 
 VLANs por endereço IP Nesse caso, o switch verifica o endereço de origem da máquina conectada a ele e realiza a ligação dessa máquina à sua VLAN correspondente
 VLAN por autenticação Quando o usuário se conecta à rede, é solicitada uma autenticação e, de acordo com a autenticação, o switch conecta o usuário à sua determinada VLAN
 Lembrete
A utilização de switchs multicamadas dispensa a utilização de 
roteadores nas VLANs, uma vez que também têm a capacidade de realizar 
a função de roteamento.
6.3 Segurança em redes sem fio (wireless)
De acordo com Ramos:
no atual cenário das tecnologias de rede, a questão de mobilidade e 
conectividade em qualquer ponto do planeta, a qualquer momento, vem se 
tornando uma verdadeira tendência de mercado. Todos desejam de maneira 
geral estar sempre conectados à internet através de notebooks, celulares, 
PDAs etc. (RAMOS, 2008, p. 237).
128
Unidade III
Para que isso seja possível, a tecnologia wirelesstornou-se indispensável nesse processo, já que a 
quantidade crescente de aplicações e a facilidade de conexão à rede concorrem para que essa tecnologia 
seja vista com grande interesse pelos executivos e gestores de negócios e de TI.
De modo geral, todas as redes estão sujeitas à captura de informações por terceiros, caso estes estejam 
conectados à mesma rede cabeada por onde trafegam essas informações. Contudo, num ambiente de rede 
cabeada, os acessos são mais controlados e torna-se mais fácil detectar um intruso no ambiente interno da 
empresa. Quando nos referimos às redes sem fio, devemos nos preocupar com a enorme facilidade do furto 
de informações, pois o intruso pode estar em qualquer local da área de abrangência coberta pelo sinal dos 
APs (Access Points). Tudo o que passar pelo ar, dentro dessa área, é passível de ser capturado e decodificado, 
quebrando, portanto, a confidencialidade e a integridade da informação.
Um protocolo de comunicação desenvolvido com o objetivo de criar redes wireless de alta velocidade 
não faz nada mais do que transferir dados por ondas de rádio em frequências não licenciadas.
A não obrigatoriedade de qualquer tipo de licença ou autorização do órgão regulador das 
comunicações para operar foi um dos fatores que levou as empresas a adotarem as redes sem fio em 
alta escala, além, é claro, da grande vantagem da mobilidade dentro da área de cobertura do sinal.
Estudaremos as principais características das redes wireless, também chamadas de WLANs (Wireless Local 
Area Networks), e de que maneira elas podem ser utilizadas mantendo seus riscos em patamares aceitáveis.
O controle de acesso nas redes cabeadas é mais simples, pois elas possuem uma limitação em relação 
aos ataques, que devem compartilhar o mesmo meio físico. No caso de comunicações em redes wireless, 
esse controle não existe.
O padrão 802.1X fornece autenticação em nível de link de estações móveis Wireless com os APs 
através de dois tipos: sistemas abertos, onde qualquer estação wireless pode se conectar livremente, ou 
seja, não há a autenticação do usuário da ponta; sistemas de chave compartilhada, também conhecidos 
como Shared Key.
APs são dispositivos que podem conectar uma rede cabeada, por exemplo, uma rede Ethernet e 
a rede sem fio. Nada impede, entretanto, que seja usado um AP para conectar várias máquinas, sem 
conexão com a rede cabeada, formando uma WLAN.
Um AP pode estender a distância da rede cabeada para além de 100 metros, dependendo da potência 
de seu sinal e das interferências eletromagnéticas no raio de cobertura do sinal. Pode-se utilizar diversos 
APs para expandir ainda mais a área de cobertura do sinal, e esses novos equipamentos funcionarão 
como repetidores de sinal. Porém, a cada vez que se aumenta a área de cobertura, cresce também a 
possibilidade de um intruso capturar as informações que trafegam pelo ar de forma indevida.
Os APs devem ser configurados para permitirem apenas estações autorizadas a acessarem a WLAN, 
ou seja, apenas estações com o mesmo SSID (Service Set IDentifier) ou endereços MAC autorizados e 
com chaves WEP (Wired Equivalent Privancy) compartilhadas poderão acessá-la.
129
SEGURANÇA EM REDES DE COMPUTADORES
Qualquer tipo de tráfego sem criptografia deve ser descartado pelo AP, para que estações wireless ou 
outros dispositivos não se conectem a ele, a menos que conheçam a chave WEP correta. O esquema de 
segurança para redes sem fio deve sempre levar em conta a utilização de algum tipo de proteção através 
da criptografia das informações, portanto, apesar de o protocolo WEP não ser o ideal, pois existem 
falhas em sua implementação, é melhor usar WEP a manter o texto em claro.
Enquanto a codificação WEP torna mais difícil para o atacante decifrar o tráfego, o desenho do 
WEP, independentemente se o tamanho de chaves é 64 ou 128 bits, torna o protocolo mais suscetível 
a ataques. O WEP é usado para criar uma string de caracteres binários pseudorrandômicos, sendo 
que o tamanho total da chave consiste num vetor de inicialização (IV, de Intialization Vector) e a 
chave WEP. O tamanho do IV é de 24 bits e forma parte da chave, o que significa que, numa chave de 
tamanho de 64 bits, somente 40 bits serão fornecidos pelo usuário, pois existe o vetor de inicialização 
de 24 bits. Assim somados totalizam os 64 bits do tamanho da chave. O mesmo ocorre para a chave 
de 128 bits, em que 24 bits são utilizados pelo IV e 104 bits fornecidos pelo usuário. Dessa forma, uma 
chave WEP de 128 bits não representa 128 bits de tamanho de chave.
O algoritmo RC4 empregado pelo WEP determina modificações periódicas nos 24 bits adicionais das 
chaves, dificultando a quebra destas por sniffers. Entretanto, essa modificação tem duração limitada 
e, após algumas horas, a chave se repete, isto é, como o IV é de apenas 24 bits, ele será repetido 
periodicamente, o que poderá fazer com que um atacante capture dois ou mais IV idênticos e consiga 
realizar uma análise de frequência nos dados capturados, podendo chegar à quebra da confidencialidade 
da chave WEP.
Quando se usa o MAC filtering, adota-se a filtragem pelo endereço físico da placa de rede wireless 
(também conhecido como MAC Address filtering). Assim, é possível inserir no AP uma lista de controle 
de acesso (ACL) que garanta o acesso ao XP apenas de clientes que tiverem seus respectivos endereços 
MAC previamente cadastrados.
Caso o AP não reconheça o endereço MAC, ele não irá repassar os pacotes, e endereços MAC 
desconhecidos serão imediatamente descartados, não tendo acesso ao AP e à rede wireless. Devido 
ao mecanismo de proteção desse sistema ser delicado, pois o MAC address da placa wireless pode ser 
forjado ou roubado, cuidados adicionais devem ser tomados para que esse AP esteja acessível apenas 
por endereços MAC conhecidos, o que pode ser feito através de autenticação 802.1X utilizando-se um 
servidor RADIUS, TACACS+ ou Kerberos.
O SSID Broadcast serve para identificar a rede sem fio, atribuindo a ela um nome, ou seja, somente 
estações que conheçam o nome correto da rede sem fio poderão fazer parte dela. Em geral, todas as redes 
sem fio utilizam a característica de divulgação continuada (broadcast) de seu SSID. Tal característica, 
apesar de não ser recomendada em boas práticas de segurança de redes sem fio, facilita a conectividade 
de usuários móveis, que podem detectar o SSID da rede e tentar a conexão, caso o AP esteja utilizando 
um sistema aberto de autenticação (sem autenticação). O SSID das redes sem fio é normalmente 
transmitido sem proteção criptográfica e pode ser capturado por qualquer estação que esteja no raio 
de cobertura do AP.
130
Unidade III
Referente ao padrão de funcionamento da comunicação 802.1X, deve-se pensar em um portão 
aberto ou fechado. Dentro de switches Ethernet e APs, começa na posição fechada, tratando 
somente de requisições 802.1X, até que uma decisão de permissão de entrada seja liberada para a 
estação requisitante. Nesse ponto, o portão se abre e deixa passar todo o tráfego entre a estação 
autenticada e a rede. Eventualmente, a estação pode perder a conexão por time-out e o portão se 
fechar novamente para ela.
O 802.1X define um protocolo de gerenciamento que as estações usam para solicitar o acesso à 
rede. Ele utiliza o EAP (Extensible Authentication Protocol), originalmente definido para dial-up, mas, 
nesse caso, enviado através da rede Ethernet (LAN – EAPOL) ou através de redes sem fio (EAP over 
Wireless EAPOW). A estação deve se conectar primeiramente no meio físico através da placa de rede e, 
então, enviar uma mensagem EAP Start. Essa mensagem vai desencadear um fluxo de mensagens de 
gerenciamento, que deverá terminar com EAP Success ou EAP Failure.
O EAP é um protocolo que pode ter diferentes tipos de autenticação, como desafio/resposta, OTP 
(One Time Password), SecureID tokens, certificados digitais etc. O processo que ocorre entre EAP Start 
EAP Success dependerá do tipo de autenticação utilizada.
Como qualquer usuário