Curso: Graduao em Tecnologia da Informao e Cincia da Computao
Disciplina: Segurana de Redes Professor: Jlio Csar Pereira Cardassi !"ulio#cardassi$a%nc#com#%r& A P O S T I L A D E S E G U R A N A D E R E D E S PARTE I Material de Estudo ' (postila de Segurana de Redes ) Parte I ' (postila de Segurana de Redes ) Parte II ' Transparncias tra%al*adas em sala de aula GRADUAO EM REDES DE COMU!ADORES Cap"tulo #$ Conceitos %&sicos de Se'urana de Redes
+#+ ) Introduo a Segurana de Redes +#, ) Pol-tica de Segurana das Informa.es +#/ ) Tecnologia da Informao +#0 ) Pol-tica de Segurana das Informa.es +#0#+ ) 1rgani2ao da Segurana +#0#, ) Comit da Segurana +#0#/ ) Coordenao da Segurana +#3 ) Classificao dos 4ens de Informao +#3#+ ) Identificao dos 4ens de Informao +#3#, ) Classificao dos 4ens de Informao +#5 ) Determinao dos Riscos +#6 ) Identificao dos Recursos +#7 ) Identificao das (meaas +#8 ) 9:posio das Informa.es +#+; ) Parada de Ser<ios +#++ ) =uest.es Pol-ticas +#++#+ ) ( >uem permitido o uso dos recursos +#++#, ) =ual o uso ade>uado dos recursos +#++#/ ) =uem est? autori2ado a permitir acesso e apro<ar o uso dos recursos +#++#0 ) =uem poder? ter pri<ilgios de (dministrador de Sistemas +#++#3 ) =uais os direitos e responsa%ilidades dos usu?rios +#++#5 ) 1 >ue fa2er com as informa.es sigilosas +#+, ) Segurana @-sica dos (m%ientes +#+,#+ ) Area de Segurana +#+,#, ) Segurana de Centro de Processamento de Dados +#+,#/ ) Segurana de 9>uipamento de Instalao de Suporte +#+/ ) (dministrao dos computadores e redes +#+/#+ ) Procedimentos 1peracionais +#+0 ) 4acBups +#+3 ) Registro de 9<entos +#+5 ) Conitorao (m%iental +#+6 ) Canuseio dos meios de arma2enamento +#+7 ) Documentao de Sistemas +#+8 ) Descarte do meio +#,; ) Gerncia de Incidentes +#,+ ) Segregao das @un.es +#,, ) Plane"amento da capacidade e aceite de sistemas +#,/ ) Gerncia de Redes +#,0 ) IntercDm%io de dados e softEare +#,3 ) (utomao de 9scritFrio +#,5 ) Internet +#,6 ) Proteo contra <-rus +#,7 ) Controle de acesso a sistema &' #$ P?gs ;+ e ;, P?gs ;, e ;/ P?g ;/ P?gs ;/ e ;0 P?g ;0 P?gs ;0 e ;3 P?gs ;3 e ;5 P?g ;5 P?gs ;5 e ;6 P?g ;6 P?gs ;6 e ;7 P?g ;7 P?g ;7 e ;8 P?g ;8 P?g ;8 e +; P?g +; P?gs +; e ++ P?g ++ P?g +, P?g +, P?g +/ P?g +/ e +0 P?g +0 P?gs +0 e +3 P?g +3 P?gs +3 e +5 P?g +6 P?g +7 P?gs +7 e +8 , GRADUAO EM REDES DE COMU!ADORES +#,7#+ ) (dministrao do acesso dos usu?rios +#,7#, ) Responsa%ilidade dos usu?rios +#,7#/ ) Controle de acesso G rede +#,7#0 ) (utenticao dos usu?rios +#,7#3 ) Controle de acesso Gs aplica.es +#,7#5 ) Conitorao de uso e acesso a sistemas +#,8 ) Plano de Contingncia +#/; ) =uem Hulner?<el +#/+ ) 1 perfil de um cracBer de sistema t-pico +#/, ) ( estrutura de uma rede +#// ) @orma de cone:o mais adotada +#/0 ) 9ntendendo as <ulnera%ilidades deste sistema de rede +#/3 ) 1 (ta>ue +#/5 ) ( coleta de informa.es +#/6 ) Identificando componentes de rede confi?<eis +#/7 ) Identificando componentes <ulner?<eis de uma rede +#/8 ) Tirando <antagens dos componentes <ulner?<eis de uma rede +#0; ) =uando o acesso a componentes <ulner?<eis da rede o%tido +#0+ ) (%usos e pri<ilgios em um acesso de rede +#0, ) @a2endo a transferncia das informa.es sigilosas +#0/ ) 9:plorando outros *osts e redes confi?<eis +#00 ) Instalando @are"adores +#03 ) Tomando redes Cap"tulo #( Se'urana e) Roteadores
,#+ ) Introduo ,#, ) 1s trs (((s ,#/ ) Componentes %?sicos do *ardEare ,#0 ) 1 processo de iniciali2ao do roteador ,#3 ) 1 flu:o de dados ,#5 ) Controle do tr?fego com (CI ,#6 ) Como funciona a (CI ,#6#+ ) 1 flu:o dos pacotes atra<s das listas de acesso ,#6#, ) Tipos de lista de acesso ,#6#/ ) Identificando as listas de acesso ,#6#0 ) Implementando a (CI ,#7 ) 1 funcionamento do Jilcard em roteadores CISC1 ,#8 ) Criando Iistas de (cesso ,#8#+ ) Padro ,#+; ) 9stendida ,#++ ) Desempen*o ,#+, ) Cantendo %acBup dos ar>ui<os de configurao Cap"tulo #* NA! +Net,or- Address !ranslator.
/#+ ) Introduo P?g +8 P?gs +8 e ,; P?g ,; P?g ,+ P?gs ,+ e ,, P?g ,/ P?gs ,/ e ,0 P?gs ,0 e ,3 P?g ,3 P?g ,3 e ,5 P?g ,5 P?gs ,5 e ,6 P?gs ,6 e ,7 P?gs ,7 e ,8 P?g ,8 P?g ,8 P?g ,8 P?gs ,8 e /; P?g /; &' *$ P?gs /+ e /, P?gs /, e // P?gs // e /0 P?g /0 P?gs /0 e /3 P?g /3 P?g /3 e /5 P?g /5 P?g /6 P?gs /6K /7 e /8 P?g /8 P?gs /8 e 0; P?g /8 P?g 0; P?gs 0+ e 0, &' /0 P?gs 03 e 05 / GRADUAO EM REDES DE COMU!ADORES Cap-tulo ;0 ) Introduo G @ireEalls 0#+ ) Introduo !( necessidade de segurana& 0#, ) @ireEalls 0#/ ) 4enef-cios do uso de um fireEall 0#0 ) ( %arreira de um fireEall 0#3 ) 1utros %enef-cios 0#5 ) Iimita.es no uso de um fireEall 0#6 ) Decis.es %?sicas do pro"eto para fireEalls 0#7 ) Componentes t-picos de ar>uiteturas de fireEalls 0#8 ) Roteadores com filtragem de pacotes 0#8#+ ) Hantagens no uso de roteadores com filtragem de pacotes 0#8#, ) Iimita.es no uso de roteadores com filtragem de pacotes 0#8#/ ) GateEaLs de circuito 0#8#0 ) GateEaLs de aplicao 0#+; ) 9:emplos de ar>uiteturas de fireEall 0#+;#+ ) Roteador com filtragem de pacotes 0#+;#, ) Roteador com filtragem de pacotes e 4astion Most !Screened Most @ireEall& 0#+;#/ ) @ireEall com 2ona desmilitari2ada !Screened Su%net fireEall& Cap"tulo #0 Ser1idores ro23 3#+ ) Introduo 3#, ) Conceituao 3#/ ) Tipos de Cac*e 3#/#+ ) (nsEer cac*e 3#/#, ) Pro:L cac*e 3#/#/ ) Transparent Pro:L Cac*e 3#0 ) Mierar>uia de Ser<idores 3#3 ) 1 uso de filtros 3#3#+ ) Hantagens 3#3#, ) Reduo do tr?fego 3#3#/ ) Reduo de carga dos ser<idores 3#3#0 ) Reduo da Iatncia 3#3#3 ) Possi%ilidade de acesso 3#5 ) Cedidas de desempen*o 3#6 ) Considera.es @inais Cap"tulo #4 IDS +Intrusion Detection S3ste). 5#+ ) Introduo 5#, ) 1 sistema de defesa dos *umanos e as ferramentas de IDS 5#/ ) Intruso: o >ue <em a serN P?g 05 P?g 06 P?g 06 P?g 07 P?gs 07 e 08 P?g 08 P?gs 08 e 3; P?g 3; P?gs 3;K 3+ e 3, P?g 3, P?gs 3/ e 30 P?gs 35 e 36 P?g 36 &' 05 P?g 37 P?gs 37 e 38 P?gs 38 e 5; P?g 38 P?g 38 P?gs 38 e 5; P?g 5; P?g 5; P?gs 5; e 5+ P?g 5+ P?gs 5+ e 5, P?g 5, &' 4* P?g 5/ P?g 5/ P?g 50 0 GRADUAO EM REDES DE COMU!ADORES 5#/#+ ) 1 Intruso 5#/#, ) ( classificao das intrus.es 5#/#/ ) ( deteco de uma intruso 5#0 ) ( anatomia de uma ferramenta de IDS 5#0#+ ) 1 modelo conceitual de uma ferramenta de IDS 5#0#, ) 1 Gerador de 9<entos !9'%o:& 5#0#/ ) 1 (nalisador de 9<entos !('%o:& 5#0#0 ) ( 4ase de Dados de 9<entos !D'%o:& 5#0#3 ) ( Onidade de Resposta !R'%o:& 5#3 ) ( comunicao entre componentes Cap"tulo #6 Se'urana e) Ser1idores DNS 6#+ ) Introduo 6#, ) Por >ue a segurana do DPS importanteN 6#/ ) Destinao errada 6#0 ) @onte errada 6#3 ) 1 funcionamento da resoluo de nomes 6#3#+ ) 1 formato dos datagramas de DPS 6#5 ) Ser<idores e resol<edores 6#6 ) Referrals 6#7 ) 9ncamin*amento e Recurso 6#8 ) 1 DPSS9C 6#8#+ ) Ser<ios no<os do DPSS9C 6#+; ) Distri%uio de c*a<es 6#++ ) Certificao da origem e da integridade dos dados 6#+, ) Concluso Cap"tulo #5 Se'urana e) ser1idores de E)ail SAM 7#+ ) Introduo 7#, ) 1 >ue SP(C 7#/ ) Tipos de SP(C 7#/#+ ) 4oatos e correntes 7#/#, ) Propagandas 7#/#/ ) 1utras ameaas 7#0 ) (lguns artif-cios usados pelos SP(CC9RS 7#0#+ ) 1ne'time'emails 7#3 ) Pre<eno 7#5 ) Recomenda.es ao usu?rio 7#5#+ ) Siga a Peti>ueta 7#5#, ) Po repasse %oatos ou correntes 7#6 ) Como agir diante de um SP(C 7#7 ) Concluso Cap"tulo #7 Se'urana e) Ser1idores de E)ail arte II +Rela3. 8#+ ) Introduo P?gs 50 e 53 P?g 53 P?g 55 P?g 56 P?g 56 P?g 57 &' 6# P?g 6; P?gs 6; e 6+ P?g 6+ P?gs 6+ e 6, P?g 6, P?gs 6, e 6/ P?g 6/ P?g 6/ P?gs 60 e 63 P?g 63 &' 64 P?g 65 P?gs 65 e 66 P?g 66 P?gs 66 e 67 P?g 67 P?g 68 P?gs 68 e 7; P?gs 7; e 7+ P?g 7, &' 5* P?g 7/ 3 GRADUAO EM REDES DE COMU!ADORES 8#, ) Por >ue os SP(CC9RS retransmitemN 8#/ ) Por >ue eu >uero parar a retransmissoN 8#/#+ ) Seu sistema de mail pode parar ou ser danificado 8#/#, ) 1 resultado ser? e:traordinariamente caro 8#/#/ ) Sua reputao ser? manc*ada e a sua credi%ilidade danificada 8#/#0 ) Hoc pode ser inclu-do na lista negra 8#/#3 ) Isso <ai acontecer 8#/#5 ) Isso a coisa certa para se fa2er 8#0 ) Concluso Cap"tulo $# 8N 8irtual ri1ate Net,or- +;#+ ) Introduo +;#, ) (plica.es para redes pri<adas <irtuais +;#,#+ ) (cesso remoto <ia Internet +;#,#, ) Cone:.es de I(PS <ia Internet +;#,#/ ) Cone:o de computadores numa Intranet +;#/ ) Re>uisitos 4?sicos +;#/#+ ) (utenticao de Osu?rios +;#/#, ) Gerenciamento de 9ndereo +;#/#/ ) Criptografia de Dados +;#/#0 ) Gerenciamento de C*a<es +;#/#3 ) Suporte a mltiplos protocolos +;#0 ) Tunelamento +;#3 ) Protocolos de Tunelamento +;#3#+ ) Tunelamento em n-<el , ) 9nlace !PPP so%re IP& +;#3#, ) Tunelamento em n-<el / ) Rede !IP so%re IP& +;#5 ) 1 funcionamento dos tneis +;#6 ) Protocolos Q Re>uisistos de Tunelamento +;#7 ) (utenticao de Osu?rio +;#8 ) Suporte a ToBen Card +;#+; ) 9ndereamento DinDmico +;#++ ) Compresso de dados +;#+, ) Criptografia de dados +;#+/ ) Gerenciamento de C*a<es +;#+0 ) Suporte a Cltiplos Protocolos +;#+3 ) Tipos de Tneis +;#+3#+ ) Tunelamento Holunt?rio +;#+3#, ) Tunelamento CompulsFrio +;#+5 ) Pegociao do n-<el de segurana +;#+6 ) Confidencialidade +;#+7 ) Concluso Cap"tulo $$ Se'urana e) 9indo,s N! /:# ++#+ ) Introduo ++#, ) Itens 4?sicos de Segurana ++#/ ) Considera.es so%re segurana f-sica P?g 70 P?g 70 P?gs 70 e 73 &' 54 P?g 75 P?g 76 P?g 77 P?gs 77 e 78 P?g 78 P?gs 78 e 8; P?g 8; P?gs 8; e 8+ P?g 8, P?g 8/ P?g 8/ &' 7/ 5 GRADUAO EM REDES DE COMU!ADORES ++#0 ) (ltera.es %?sicas pFs'instalao ++#3 ) Considera.es 1peracionais ++#5 ) (tuali2a.es do JindoEs ++#6 ) Itens a<anados de segurana ++#7 ) (ltera.es no registro do JindoEs ++#8 ) (ltera.es nas configura.es do JindoEs ++#8#+ ) Criar uma conta com todos os pri<ilgios da conta do administrador e tra<ar a conta do administrador ++#8#, ) (r>ui<o roll%acB#e:e ++#8#/ ) 4lo>ueio de portas ++#8#0 ) Ser<ios no utili2ados ++#8#3 ) Proteo de ar>ui<os importantes ++#8#5 ) Iimitar o uso do PetEorB Conitor ++#+; ) @erramentas de Segurana ++#++ ) (nti'scanners ++#+, ) (nti'sniffer ++#+/ ) (nti'<-rus ++#+0 ) Config'scanner ++#+3 ) Configuration ++#+5 ) Dialup scanner ++#+6 ) Iog (nalL2er ++#+7 ) PGP ++#+8 ) Port Scanner ++#,; ) PJD'(uditing ++#,+ ) SecuritL scanner ++#,, ) SSM client ++#,/ ) SSM Tunnel P?gs 80 e 83 P?g 83 P?gs 83 e 85 P?g 85 P?g 86 P?g 86 P?g 87 P?g 88 6 GRADUAO EM REDES DE COMU!ADORES CA;!U<O #$ CONCEI!OS %=SICOS DE SEGURANA DE REDES $:$ > IN!RODUO A SEGURANA DE REDES Po momento atual o crescente aumento da competiti<idade de mercado tem re>uerido mais e mais eficincia e >ualidade das institui.es# 9ssa situao fa2 com >ue as aten.es se"am naturalmente des<iadas para os padr.es de >ualidade e produti<idade nos ser<ios prestados nos mais di<ersos tipos de organi2a.es# 9m inmeros casosK portantoK as ati<idades de suporte so relegadas a planos inferiores ou mesmo eliminadas# Inseridos nesse conte:toK os controles de segurana podem aca%ar sendo fragili2adosK tomando as organi2a.es <ulner?<eisK e at colocando em risco a continuidade de suas ati<idades# 1 >ue se de<e ter em mente >ue a eficincia desses controles est? sendo constantemente colocada G pro<a pelos mais di<ersos tipos de ameaaK tanto e:ternos Gs institui.es >uanto gerados pelos prFprios funcion?riosK e >ue podem ser materiali2ados de forma fisica ou lFgica# Da mesma formaK dentro de cada instituio os controles no so implementados com o mesmo grau de segurana em todas as ?reas e so%re todos os ati<os de informao# Pos pontos em >ue os controles erguem %arreiras mais fr?geis Gs ameaas e:istentesK esto as c*amadas 1ulnera?ilidades# 9K por fimK se um ati<o no possuir todos os controles de segurana necess?rios ade>uadamente implementados estar? <ulner?<el eK se atingido por uma ameaaK ocorrer? o >ue se denomina um e<ento de segurana# (ssociados ao e<ento de segurana esto pre"u-2os de pe>uenas propor.esK mas tam%m a>ueles >ue podem le<ar uma instituio G falncia# Inseridos nesse conte:toK as institui.es de ensinoK >ue tra%al*am com informa.es estratgicas eRou importantesK de<em nortear suas a.es de proteo Gs informa.es pelos seguintes princ-pios %?sicos de segurana: Con@idencialidade 'proteo contra acessos no autori2adosS Inte'ridade 'proteo contra manipula.es e altera.es inde<idasS Disponi?ilidade dos ser1ios e das in@or)aAesB em caso de desastre ou fal*as no am%iente computacional# $:( > O<;!ICA DE SEGURANA DAS INCORMADES 1 o%"eti<o da Pol-tica de Segurana de Informa.es K acima de tudoK e:plicitar o posicionamento da 1rgani2ao com relao ao assuntoK alm de ser<ir de %ase para o desen<ol<imento das Diretri2es de Segurana# De<e ser ela%orado um documento formal >ue defina a Pol-tica da instituio com relao G Segurana de 4ens de InformaoK e >ue ser? di<ulgado para todos os funcion?rios# 9m%ora esse documento no de<a se ater a detal*esK tam%m no de<e se restringir a uma Tcarta de inten.esT muito genricaK e sim conterK claramenteK as pr?ticas >ue sero adotadas por toda a 1rgani2ao# 1 processo de manuteno do documento de Pol-tica de Segurana de<e englo%ar re<is.es periFdicasK reali2adas em datas determinadas e tam%m contemplar a atri%uio de responsa%ilidades nessas re<is.es# Como toda Pol-ticaK seu sucesso !cumprimento e e:ecuo& depende de um plane"amento de participaoK di<ulgao e manuteno# Po caso da Pol-tica de Segurana da Informao preciso >ue *a"a a conscienti2aoK entendimento e comprometimento de todos os en<ol<idosK incluindo a alta gernciaK funcion?rios e terceiros# Isso de<e ser formali2ado atra<s da assinatura de um Termo de Compromisso e de Responsa%ilidade so%re o uso dos 4ens de InformaoK >ue de<e fa2er parte do dossi funcional e ser parte integrante do contrato com terceiros# 7 GRADUAO EM REDES DE COMU!ADORES ( Pol-tica de Segurana de<e necessariamente a%ordar !no se restringir a eles&K os seguintes itens: Definir o >ue Segurana da InformaoK >uais so seus o%"eti<os principais e sua importDncia como um mecanismo >ue suporta e permite o compartil*amento da InformaoS Costrar o comprometimento gerencial com a Segurana da InformaoK com seus o%"eti<os e princ-piosS @ornecer su%s-dios para >ue se"am definidas diretri2es e normas referentes a: 1rgani2ao da SeguranaS Classificao dos %ens de informaoS Determinao dos riscosS =uest.es pol-ticasS Segurana f-sica dos am%ientesS (dministrao dos computadores e redesS Controle de acesso a sistemasS Planos de contingncia# ( Pol-tica de Segurana de Informa.es de<e ser a %ase para a ela%orao das normas e procedimentos >ue iro guiar a reali2ao das ati<idades na empresa# 9ssas normas e procedimentos de<em ser disponi%ili2ados para todos os funcion?riosK definindo'se critrios especiais para o tratamento com terceiros# Para a implementao desses princ-piosK fundamental >ue cada instituio possua regras de segurana da informao formalmente definidas e amplamente di<ulgadas# 9ssas regras fortalecem os controles e:istentes e contri%uem de maneira significati<a para a reduo dos impactos decorrentes de algum incidente de segurana# $:* > !ECNO<OGIA DA INCORMAO +!I. (liadas ao dinamismoK as ?reas de Tecnologia da Informao !TI&K >ue suportam e ala<ancam o crescimento institucionalK tam%m sofrem constantes altera.es# @atores e:ternos como glo%ali2aoK transformao dos ser<iosK ino<ao de produtosK reestruturao de mercadoK no<os concorrentesK mudanas na legislaoK afetam tanto as institui.es >uanto suas ?reas de tecnologia# Isso torna a segurana da informao um assunto cada <e2 mais sens-<el e cr-tico para o sucesso das organi2a.es no 4rasil# Com o o%"eti<o de identificar mudanas e estar sempre alin*ado com suas implica.esK o am%iente de Tecnologia da Informao precisa ser ?gil e ter respostas r?pidas Gs necessidadesK porm sempre o%ser<ando os critrios de segurana# 1s riscos da segurana de TI esto por toda parteK em%ora no e:istam dados oficiais so%re os ata>ues internos ou e:ternos aos >uais as institui.es %rasileiras foram ou esto sendo su%metidas# 9sse assunto normalmente tratado com sigiloK e<itando'se ao m?:imo a sua di<ulgao# (o contr?rio do >ue se imag"naK a grande maioria dos pro%lemas de segurana da informao encontra'se dentro da prFpria instituio !fonte: Computer SecuritL Institute '9mpresas instaladas nos 9O( '+885&# 8 GRADUAO EM REDES DE COMU!ADORES 1 somatFrio dos riscos atri%u-dos a T9mpregados InsatisfeitosTK T9mpregados DesonestosT e T9rros MumanosT perfa2 um total de 60U# Ca%e notar >ue esses riscos esto diretamente associados a elementos internos das empresasK so%re os >uais podem ser e:ercidas a.es diretas# (credita'se >ue no e:istam diferenas significati<as nessas propor.es >uando considerada a situao das institui.es %rasileiras# PortantoK nada mais importante e efeti<o do >ue a criao de padr.es e o desen<ol<imento de a.es de segurana a serem implementadas dentro de cada instituio# $:/ > O<;!ICA DE SEGURANA DAS INCORMADES $:/:$ > ORGANIEAO DA SEGURANA 1 o%"eti<o principal da 1rgani2ao da Segurana definir sua estrutura gerencial dentro da empresa# 1s aspectos relati<os G segurana da informao de<em ser coordenados de forma centrali2adaK possi%ilitando a implementao de regras e normas de segurana de maneira uniforme e consistente# 1%ser<ando'se a estrutura organi2acional e a cultura de cada instituio de<e ser definido um Comit de Segurana formado por pessoas com alta representati<idade na direo da empresa# 1 Comit tem car?ter estratgico de definio de pol-ticas e diretri2es e de direcionamento das ati<idades mais importantes para a Segurana da Informao# De<e ser definida tam%m dentro da empresa uma Coordenao de SeguranaK >ue ter? como misso atuar como Frgo gerador de normas e procedimentos relati<os G segurana da informao %em como concentrar e coordenar suas ati<idades operacionais# 9sse grupo de<e manter contatos periFdicos de posicionamento com o Comit de Segurana ou a >ual>uer momento caso ocorra algum fato rele<ante# 1 Comit e a Coordenao de Segurana formam a %ase do modelo de direcionamento e gerenciamento da Segurana da Informao# Seu papel definir e coordenar a implementao de regras de segurana dentro da instituio# So duas unidades organi2acionais segregadas com responsa%ilidades e atri%ui.es distintas# $:/:( > COMI!F DE SEGURANA 1 Comit de<e ser formado por diretores e gerentes das di<ersas ?reas de ati<idade da organi2ao# da (uditoria e de Tecnologia de Informao# Suas principais responsa%ilidades so: (pro<ar e re<er a pol-tica e as diretri2es de segurana a serem adotadas por toda a empresaS Designar e definir as atri%ui.es de Coordenao de SeguranaS Definir um processo periFdico de re<iso da ade>uao da pol-tica e das diretri2es de seguranaS Identificar e a<aliar grandes e:posi.es de segurana e os riscos associados e acompan*ar a implementao das solu.esS Suportar perante toda a 1rgani2ao as a.es e as iniciati<as da Coordenao de Segurana com o o%"eti<o de mel*oria cont-nua de segurana# +; GRADUAO EM REDES DE COMU!ADORES $:/:* > COORDENAO DE SEGURANA De<ido G sua caracter-stica normati<a e reguladoraK essa estrutura de<e ser composta por especialistas de segurana da informao# 9sses profissionais de<em ser capa2es de a<aliar e determinar impactos de segurana e fornecer alternati<as de soluo ou de minimi2ao do potencial de riscoK a%rangendo as di<ersas ?reas de tecnologia# Suas principais responsa%ilidades so: Desen<ol<er e documentar pol-ticas e procedimentos de segurana da organi2aoS Pro<er instrumentos e recursos >ue <ia%ili2em a implantao da pol-tica de seguranaS Coordenar a implementao das medidas de seguranaS Conitorar e a<aliar as e:posi.esK as ameaas e os poss-<eis riscos de seguranaS (nalisar os incidentes de segurana e propor iniciati<as de mel*oriaS Coordenar as re<is.es de segurana de rotinaS Re<isar os impactos na segurana de<idos G a>uisio de e>uipamentosK softEare e ser<ios de tecnologia da informao# Dependendo do taman*o e da comple:idade organi2acional da instituioK poder? ser criado um n-<el mais operacional dentro da estrutura de segurana denominado Pontos @ocais de Segurana !associados Gs di<ersas ?reas ou departamentos da instituio&# 1s Pontos @ocais sero respons?<eis pela maior parte da administrao das ati<idades de segurana e:ecutadas no dia'a'diaK de<endo con*ecer as necessidades e os re>uisitos espec-ficos associados Gs suas ?reas operacionais e aos indi<-duos >ue nelas tra%al*am# Suas ati<idades de<em estar de acordo com as pol-ticas definidas# Pesse casoK algumas das atri%ui.es da Coordenao de Segurana passam a ser tam%m de sua responsa%ilidadeK porm com a%rangncia local# 9m caso de necessidadeK os Pontos @ocais solicitaro G Coordenao de Segurana >ue e:ercer? algumas fun.es para as >uais se"am re>ueridas autori2a.es e con*ecimentos especiais# $:0 > C<ASSICICAO DOS %ENS DE INCORMAO Para >ue o processo de classificao e controle ten*a in-cioK todos os principais %ens de informao de uma organi2ao de<em ser identificadosK conta%ili2ados e ter um propriet?rio formalmente designado# 1 o%"eti<o dessa classificao manter n-<eis de Proteo apropriadosK de forma >ue as %arreiras de segurana se"am proporcionais G importDncia >ue o 4em de Informao tem para a organi2ao# $:0:$ > IDEN!ICICAO DOS %ENS DE INCORMAO Pormalmente so utili2ados in<ent?rios para identificar e conta%ili2ar os %ens de informao da organi2ao# ( empresa de<e fa2er e manter atuali2ado um in<ent?rio dos principais %ens associados com cada sistema de informao# 9ntre as principais categorias de %ens associados com sistemas de informao esto dadosK e>uipamentos e infra'estrutura# ++ GRADUAO EM REDES DE COMU!ADORES $:0:( > C<ASSICICAO DOS %ENS DE INCORMAO Como o grau de sensi%ilidade e criticidade de uma informao muito <ari?<elK algumas informa.es podem necessitar de um n-<el adicional de proteo# Om sistema de Classificao de Segurana de<e definir um con"unto apropriado de n-<eis de segurana e comunicar a necessidade de medidas especiais de proteo para os usu?rios# Classificar uma informao da organi2ao uma forma de esta%elecer seu <alorK o >ual ser<ir? de %ase para determinar >uais mecanismos de controle sero utili2ados para proteger a informao# ( classificao de<e ser feita com %ase em uma a<aliao indi<idual do contedo da informao e de sua importDncia para a operao !negFcio&K alm das conse>Vncias de perda ou de di<ulgao e acesso no autori2ados# W importante >ue a Classificao de Segurana se"a feita de forma %astante criteriosa para e<itar >ue informa.es importantes fi>uem menos protegidas do >ue o necess?rioK e tam%m >ue ocorram despesas !in<estimentos& desnecess?rias para proteger informa.es no to importantes# Como sugesto de classificao de seguranaK os seguintes n-<eis podem ser adotados: Confidencial !informa.es estratgicas eRou de sigilo a%soluto: (lto Risco&S Oso Restrito !grupo de pessoas ou ?reas: Confidencial de Cenor Risco&S Oso Interno !funcion?rios&S Oso P%lico !incluindo clientesK terceiros e fornecedores&# Cuidados especiais de<em ser tomados >uando da interpretao dos n-<eis de Classificao de Segurana dos %ens de informao de outras organi2a.esK pois um n-<el idntico ou similar pode ter significados distintos para institui.es diferentes# ( Classificao de Segurana de<e considerar as necessidades da ati<idade organi2acionalK de disseminar ou restringir o acesso G informao e tam%m os poss-<eis impactos causados por acessos no autori2ados ou danos G informaoK ou se"aK a sensi%ilidade de risco# ( sensi%ilidade de risco de<e ser a<aliada a partir das seguintes perspecti<as: Con@idencialidade ) o grau de sensi%ilidade ser? determinado pela perda ou dano >ue a organi2ao possa sofrer no caso de um acesso no autori2ado ao 4em de Informao ) por e:emploK as informa.es sigilosas como plane"amento estratgico da instituioK cadastros de clientes e de pessoalK etc# Inte'ridade ) o grau de sensi%ilidade ser? determinado pela perda ou dano >ue a organi2ao possa sofrer no caso de o 4em de Informao no estar -ntegro !<er-dico& ) por e:emploK um dado corrompidoK um sistema operando de forma incorreta ou imprFpriaK uma informao desatuali2ada ou incompletaK etc# Disponi?ilidade ) o grau de sensi%ilidade ser? determinado pela perda ou dano >ue a organi2ao possa sofrer no caso de o 4em de Informao no estar dispon-<elK >uando dele se necessitar ) por e:emploK uma paralisao ou atraso na disponi%ili2ao de uma informao# De<e ser atri%u-daK ao propriet?rio da informao a responsa%ilidade por definir a classificao de um %em de informaoK se"a um documentoK um registro ou ar>ui<o de dados ou um dis>uete eK tam%m porK periodicamenteK re<isar essa classificao# $:4 > DE!ERMINAO DOS RISCOS +, GRADUAO EM REDES DE COMU!ADORES Oma das principais ra2.es de se implantar uma pol-tica de segurana de computadores certificar'se de >ue os esforos gastos traro %enef-cios efeti<os# 9m%ora parea F%<ioK poss-<el concentrar esforos onde eles no so necess?rios# Por e:emploK e:iste uma grande propaganda so%re os estragos causados por intrusos de sistemas de computao !*acBers&K porm estudos mostram >ueK na a maioria das organi2a.esK o pre"u-2o causado pelos insiders muito maior# ( an?lise de riscos en<ol<e o estudo das trs >uest.es %?sicas ao se desen<ol<er >ual>uer pol-tica de segurana: o >u precisa ser protegidoK de >uem precisa ser protegido e como proteger# 9sse processo en<ol<e a tomada de decis.es efeti<as em n-<el de custoK pois mais uma <e2 es%arramos na primeira regra %?sica da segurana: no se de<e gastar mais para se proteger alguma coisa do >ue ela realmente <al*a# 9:istem dois elementos da an?lise de fisco >ue sero %re<emente e:plicados nas se.es a%ai:o: identificao dos recursosS identificao das ameaas# 9ntende'se por recursos >ual>uer coisa >ue possa ser rou%ada ou danificada por urna fal*a da segurana do sistema: informa.esK programasK e>uipamentosK <idas !no caso de sistemas de *ospitais ou aeroportosK por e:emplo&K etc# Para cada propriedadeK os o%"eti<os principais so: disponi%ilidadeK confidncia e integridade# Cada ameaa de<e ser analisada tendo'se em mente como a ameaa poderia afetar essas ?reas# $:6 > IDEN!ICICAO DOS RECURSOS 1 primeiro passo na an?lise de riscos listar todas as coisas >ue precisam ser protegidas# (lgumas so F%<iasK como softEare ou *ardEareK mas algumas so es>uecidasK comoK por e:emploK as pessoas >ue realmente usam os sistemas# Para e<itar Tes>uecimentosT perigososK o mel*or listar todas as coisas >ue podem ser afetadas por um pro%lema de segurana# Segue uma lista adaptada das categorias de recursos: Gard,areH CPOXsK tecladosK terminaisK esta.es de tra%al*oK computadores pessoaisK impressorasK dri<esK lin*as de comunicaoK ser<idoresK roteadoresK etcS so@t,areH programas fonteK programas o%"etoK utilit?riosK programas de diagnFsticoK sistemas operacionaisK programas de comunicaoK etcS dadosH durante o processamentoK arma2enados on'RineK ar>ui<adosK %acBupsK em trDnsito atra<s de meios de comunicaoK etcS pessoasH usu?riosK pessoas necess?rias ao funcionamento do sistemaS docu)entaoH programasK *ardEareK sistemasK procedimentos administrati<os locaisK etcS supri)entosH papelK formul?riosK fitas e m-dias magnticas# $:5 > IDEN!ICICAO DAS AMEAAS +/ GRADUAO EM REDES DE COMU!ADORES Orna <e2 >ue os recursos >ue necessitam de proteo "? foram identificadosK a an?lise das ameaas feita com %ase no potencial de perda ou dano >ue possa ocorrer# Isso a"uda na considerao de contra >uais ameaas <oc tenta proteger os seus recursos# Acesso No>autoriIado: ( ameaa mais comum o acesso no'autori2ado Gs instala.es do sistema de computao# 1 uso de >ual>uer recurso sem permisso pr<ia pode ser considerado um acesso no' autori2ado Gs instala.es# 1 risco de um acesso no'autori2ado <aria de organi2ao para organi2aoK <isto >ue a seriedade desse tipo de acesso <aria de acordo com o tipo da instituio ameaada# Para algumas organi2a.esK o simples ato de se garantir o acesso de um usu?rio no'autori2ado pode causar danos irrepar?<eisK en>uanto >ueK para outrosK um acesso no'autori2ado a%re as portas para outras ameaas de segurana# 1 Computer 9mergencL Response Team !C9RT 'TTime de Resposta a 9mergncias de ComputadoresT&K tem o%ser<ado >ue uni<ersidades famosasK institui.es go<ernamentais e militares tm atra-do mais intrusos do >ue outras institui.es# $:7 > EJOSIO DE INCORMADES Orna outra ameaa %astante comum a >ue%ra de sigilo de informa.es e a sua e:posio ao intruso# Por issoK de<e'se determinar o <alor ou sensi%ilidade das informa.es arma2enadas no seu sistema# ( e:posio de um ar>ui<o de sen*as pode permitir futuros acessos no' autori2ados# Orna ol*ada em uma proposta comercial pode dar uma <antagem desonesta ao concorrente# Om documento tcnico pode conter anos <aliosos de pes>uisa# $:$# > ARADA DE SER8IOS Computadores e redes de computadores so usados por oferecerem ser<ios <aliosos aos seus usu?rios# Cuitas pessoas dependem do funcionamento perfeito desses ser<ios para e:ecutarem suas tarefas com eficincia# =uando esses ser<ios dei:am de ser dispon-<eis *? uma >ueda na produti<idade# Paradas nos ser<ios podem ocorrer de <?rias maneiras e podem afetar seus usu?rios de <?rios modos# Cada instituio de<e definir >uais ser<ios so essenciaisK e para cada um desses ser<iosK determinar o efeito para o caso de uma parada# $:$$ > KUES!DES O<;!ICAS 9:istem algumas >uest.es >ue de<em ser tratadas durante o desen<ol<imento de uma pol-tica de segurana: a >uem permitido o uso dos recursosN >ual o uso ade>uado dos recursosN >uem est? autori2ado a permitir acesso e apro<ar o uso dos recursosN >uem poder? ter pri<ilgios de administrador do sistemaN >uais so os direitos e responsa%ilidades dos usu?riosN +0 GRADUAO EM REDES DE COMU!ADORES >uais so os direitos e responsa%ilidades do administrador do sistema <ersus os dos usu?riosN o >ue fa2er com as informa.es sigilosasN A KUEM L ERMI!IDO O USO DOS RECURSOS ( pol-tica de<e determinar e:plicitamente a >uem ser? permitido o uso dos recursos do sistema# 9ssa definio de<e ser claraK de modo a e<itar d<idas ou dupla interpretao # $:$( > KUA< L O USO ADEKUADO DOS RECURSOS Depois de se definir >uem tem acesso aos recursos necess?rio pro<er e:plica.es aos usu?rios so%re o >ue ser? e o >ue no ser? aceit?<el ao se fa2er uso dos recursos# (s e:plica.es podero ser diferentes para grupos de usu?rio diferentes !com direitos de acesso diferentes&# Defina limites ao acesso e G autoridade# Sua pol-tica de uso aceit?<el de<e dei:ar claro >ue usu?rios indi<iduais so respons?<eis pelas suas a.es# De<e estar e<idente >ue in<as.es de contas ou traspassar a segurana terminantemente proi%ido# (lm das >uest.es mais comuns de usoK como in<as.es de contasK >ue%ras de sen*aK parada de ser<iosK etc#K <oc pode >uerer incluir alguns pontos relati<os a direitos autorais de softEare de seu sistemaK tais como proi%ir a duplicao de programas licenciadosK a no ser >ue se"a e:plicitamente autori2ado# 9:istem algumas e:ce.es >uanto ao uso ade>uado dos recursos# Por e:emploK um grupo de usu?rios pode >uerer simular uma in<aso ao seu sistema para fins de pes>uisa e at mesmo de efeti<ao da segurana# Pesses casosK de<e'se isolar as por.es da rede >ue sero usadas no e:perimento a fim de manter a integridade do sistema como um todo# $:$* > KUEM ES!= AU!ORIEADO A ERMI!IR ACESSO E ARO8AR O USO DOS RECURSOS ( pol-tica de<e determinar >uem est? autori2ado a permitir o acesso aos seus ser<ios# Cais tardeK necess?rio se definir >ue tipo de acesso ser? permitido fornecer# Sem >ue se ten*a o controle de >uem garante o acessoK no se pode controlar >uem est? usando 1 sistema# Controlar o fornecimento de acesso significa sa%er >uem esta<a permitindo o acessoK no caso de algum pro%lema aparecer#as fatores >ue de<em ser considerados na escol*a de >uem garantir? o acesso aos recursos so: a distri%uio do acesso ser? dada a partir de uma central ou de <?rios pontosN >uais sero os mtodos usados na criao de contas e cancelamento de acessoN Po primeiro pontoK a escol*a de<e ser feita entre segurana e con<enincia# =uanto mais centrali2adoK mais f?cil de se assegurar a integridade de um sistema# 1 segundo item demonstra a necessidade de procedimentos espec-ficos no ato de criao das contas de usu?rio do sistema# 9ssas tarefas de<em ser %em documentadas para se pre<enir confus.es e diminuir enganos# Oma fal*a na segurana no processo de autori2ao de uma conta no somente poss-<el atra<s de a%usosK mas tam%m se um erro acontecer durante o processo de criao da conta# Om plano claro e %em escrito para esses procedimentos a"uda na diminuio +3 GRADUAO EM REDES DE COMU!ADORES desses erros# De<e'se ter certe2a de >ue todas as pessoas >ue seguiro esses procedimentos os entendem perfeitamente# (o se permitir o acesso do usu?rioK cuidados especiais de<em ser tomados com relao Gs sen*asK pois esse o momento mais <ulner?<el do sistema# De<e ser tomar muita ateno na sen*a inicial para >ue no possa ser facilmente desco%erta# 9<ite usar uma sen*a inicial >ue se"a funo do nome do usu?rio ou parte dele ou algum algoritmo gerador de sen*as >ue possa ser Tadi<in*adoT com pouca dificuldade# Considerando a possi%ilidade >ue alguns usu?rios possam nunca se logar ao sistemaK no permita >ue a sen*a inicial se"a <?lida por muito tempoK enfra>uecendo a segurana# Se poss-<elK force os usu?rios a trocarem suas sen*as assim >ue acessarem o sistema pela primeira <e2 e considere tam%m a desa%ilitao de contas >ue nunca foram usadas# KUEM ODER= !ER RI8I<LGIOS DE ADMINIS!RADOR DE SIS!EMAS ( deciso da escol*a da pessoa >ue ter? acesso aos pri<ilgios de administradorK sen*as e ser<ios de<e ser tomada com muito cuidado# W F%<io >ue os administradores do sistema necessitaro de acesso especialK masK ine<ita<elmenteK outros usu?rios tam%m re>uisitaro pri<ilgios especiais# Sua pol-tica de segurana de<e le<ar em conta essa situao# ( maneira mais eficiente de pre<enir ameaas locais restringir os pri<ilgios# 1 desafio sa%er restringir os pri<ilgios de usu?rios a fim de proteger o sistema e dar pri<ilgios necess?rios Gs pessoas >ue realmente necessitam deles para e:ecutarem suas tarefas ade>uadamente# Dessa maneiraK uma sugesto dar somente os pri<ilgios suficientes para >ue essas tarefas possam ser feitas# (s pessoas >ue possuam pri<ilgios especiais de<em ser su%metidas a algum tipo de autoridade e isso de<e ser esta%elecido pela pol-tica de segurana# Se nen*uma autoridade for e:ercida so%re esses usu?riosK <oc estar? correndo o risco de perder o controle do seu sistema e colocando em "ogo a sua segurana# KUAIS OS DIREI!OS E RESONSA%I<IDADES DOS USU=RIOS De<e estar %em claro >ue os usu?rios so respons?<eis pela compreenso e respeito Gs regras de segurana dos sistemas >ue este"am usando# Segue a%ai:o uma lista de alguns pontos >ue possam ser co%ertos nessa ?rea da pol-tica de segurana: se os direitos usu?rios de<em ser restritosK >uais so as restri.esS o >u possa ser considerado a%uso em termos de performance do sistemaS se ser? permitido aos usu?rios compartil*arem suas contas ou permitirem >ue outros usem suas contasS o >uo TsecretasT os usu?rios de<em guardar suas sen*asS >ual a fre>Vncia na >ual os usu?rios de<em trocar suas sen*as e outras regras so%re restri.es a sen*asS se o %acBup funo do administrador ou se cada usu?rio respons?<el por manter cFpias de seus prFprios dadosS e:posio de informa.es >ue possam ser pri<adas# definio de pri<acidade de mailS regulamentos so%re acesso a gruposK sites ou listas de maiY >ue possam ser de car?ter contro<ertido !pornografiaK por e:emplo&# +5 GRADUAO EM REDES DE COMU!ADORES Kuais so os direitos e responsa?ilidades do ad)inistrador do siste)a 1ersus os dos usu&riosM 9:iste um compromisso entre o direito de a%soluta pri<acidade do usu?rio e a necessidade do administrador de coletar informa.es suficientes para reali2ar o diagnFstico de um pro%lema# Sua pol-tica de<e especificar >ual o grau de em >ue o administrador pode e:aminar um ar>ui<o de usu?rio a fim de diagnosticar um pro%lema e >uais direitos de<em ser garantidos aos usu?rios# (lgumas perguntas >ue de<em ser respondidas a esse respeito so: podeK um administradorK por >ual>uer moti<oK monitorar ou ler ar>ui<os pessoais dos usu?riosN >uais so as responsa%ilidadesN podeK um administradorK monitorar o tr?fego na rede ou em um ser<idorN O KUE CAEER COM AS INCORMADES SIGI<OSAS (ntes de permitir acesso aos seus ser<iosK de<e'se determinar >ual o n-<el de segurana de dados >ue ser? fornecido no seu sistema# Determinando issoK especifica'se o n-<el de sensi%ilidade de dados >ue os usu?rios podero arma2enar no sistema# Hoc no >uer >ue os usu?rios manten*am informa.es sigilosas em sistemas >ue <oc no se preocupar? em proteger muito %em# W necess?rio especificar Gs pessoas >ue <o manter informa.es sens-<eis >uais so os ser<ios dispon-<eis para mant'Ias: discosK fitas magnticasK ser<idoresK etc# SEGURANA C;SICA DOS AM%IEN!ES (s empresas de<em implementar processos e recursos de segurana para coi%ir acessos f-sicos no autori2ados e e<itar danos aos e>uipamentos de inform?tica e Gs suas instala.es# De<e ser o%ser<ada tam%m a segurana dos e>uipamentos e das instala.es >ue suportam as ati<idades de processamento de dadosK como por e:emplo sala de no'%reaBs e de esta%ili2adores de energia# 1s aspectos de segurana f-sica de<em ser tratados com a mesma intensidade dedicada ao assunto segurana lFgica e de aplicati<osK pois o in-cio do processo de disponi%ilidade e integridade das informa.es# Todo esse esforo <isa dificultar rou%osK danos ou mau uso das informa.es so% a responsa%ilidade da empresa e tam%m minimi2ar poss-<eis interferncias ou interrup.es em seus negFcios# W fundamental assegurar >ue medidas de segurana f-sica se"am consideradas nos pro"etos de e:panso ou realocao de recursosK o%"eti<ando garantir a continuidade dos negFcios da empresaS a no o%ser<ao deste aspecto coloca a organi2ao em risco# 1s principais aspectos a serem a%ordados so%re segurana f-sica so: Areas de SeguranaS Segurana de Centros de Processamento de DadosS Segurana de 9>uipamentos e Instala.es de Suporte# =REA DE SEGURANA +6 GRADUAO EM REDES DE COMU!ADORES Para garantir a segurana f-sica dos recursos e das instala.es >ue suportam o processamento de informa.es de uma empresaK de<e ser definido e adotado o conceito de Areas de SeguranaK >ue so os locais onde esto arma2enados e>uipamentosK Informa.esK infra'estrutura ou insumos cr-ticos para os negFcios da empresa# ( importDncia cr-tica de uma Area de Segurana implica tratamento diferenciado >uanto a: Caracter-sticas da construo f-sicaS Iocali2ao da ?reaS Recursos e controles de acessoS 9>uipamentos de com%ate a incndioS IaLout de circulao# Toda estruturaK instalao ou e>uipamento >ue apoie as ati<idades do negFcio !por e:emploK fotocopiadorasK aparel*os de fa:K etc#& tam%m de<em estar so% a proteo de urna Area de SeguranaK <isando minimi2ar os riscos de acessos no autori2ados e de comprometimento de informa.es sens-<eis# Sempre >ue urna Area de Segurana sofrer alteraoK os pontos listados acima de<em ser no<amente analisados e a<aliados# SEGURANA DE CEN!RO DE ROCESSAMEN!O DE DADOS ( segurana f-sica um dos itens priorit?rios na locali2ao desse tipo de am%iente# Durante a escol*a de um local para sua instalao e da ela%orao de seu pro"eto f-sicoK de<em ser consideradas as facilidades de acesso interno e e:terno e as possi%ilidades de danos por fogoK inundaoK e:plosoK in<aso e outros# ( escol*a da locali2ao desses Centros de Processamento de<eK tam%mK le<ar em considerao outras >uest.esK tais como a e:istncia de poeira ou fuligemK <i%ra.esK efeitos >u-micosK interferncia eltricaK radiao eletromagnticaK etc# Para os Centros de ProcessamentoK as seguintes medidas de<em ser consideradas: Recursos cr-ticos de<em ficar locali2ados distante de ?reas p%licas e do acesso direto de <e-culos p%licosS Sempre >ue poss-<el o local de<e ter indica.es m-nimas de sua utili2aoK sem sinais F%<iosK dentro ou fora do prdioK >ue indi>uem a presena de ati<idades computacionaisS Cateriais perigosos eRou com%ust-<eis de<em ser arma2enados de forma segura e to distante >uanto poss-<el do localS 1s suprimentos de computadorK tais como papel para listagens ou fitas de impressorasK de<em ser mantidos fora da sala do computadorK at >ue se"am efeti<amente necess?riosS 9>uipamentos alternati<os e meios de %acBup de<em ser locali2ados a uma distDncia >ue os li<re de danos na ocorrncia de um desastre no Centro de ProcessamentoS 9>uipamentos de segurana apropriadosK tais como detectores de fumaa e de com%ate a incndioK de<em estar instalados e operantesK e de<em ser c*ecados regularmenteK de acordo com as especifica.es dos fa%ricantesS 1s funcion?rios >ue tra%al*am nesses locais de<em ser treinados no uso de e>uipamentos de seguranaS +7 GRADUAO EM REDES DE COMU!ADORES 1s procedimentos de emergncia de<em ser amplamente documentados e testados regularmenteS Portas e "anelas de<em ser seguras e permanecerem trancadas >uando no esti<erem sendo <igiadasS ' acesso a essas ?reas de<e ser restrito aos funcion?rios >ue ali tra%al*aremK sendo >ue <isitas sF podem ser feitas >uando *ou<er acompan*amentoS ' e>uipamentos e sistemas de controle de acesso de<em ser implantados de maneira a registrar e autori2ar o acesso ao local# SEGURANA DE EKUIAMEN!O E INS!A<ADES DE SUOR!E Tam%m necess?ria a proteo dos e>uipamentos de Tecnologia da Informao >ue no esto instalados dentro de Centros de Processamento# Isso protege a empresa contra perdas decorrentes de danos f-sicos aos e>uipamentosK intencionais ou noK ou de acessos no autori2ados aos seus dados# Sempre >ue poss-<el os e>uipamentos de<em ser colocados em ?reas isoladas e no compartil*adasK com controle e registro de acesso# ( proteo f-sica dos e>uipamentos port?teis !tipo laptops& outro ponto importanteK pois podem arma2enar informa.es cr-ticas e <itais para a empresa# Po podem ficar desassistidosK de<endo ficar trancados >uando no esti<erem sendo usadosS de<emK aindaK possuir sen*as de iniciali2ao !poEer'on& e de proteo de tela !locBup& autom?ticas# ADMINIS!RAO DOS COMU!ADORES E REDES 1 o%"eti<o da administrao dos computadores e redes assegurar >ue esses recursos se"am operados e gerenciados de uma forma segura eK para issoK todas as responsa%ilidades e procedimentos de<em estar formalmente definidos# ROCEDIMEN!OS OERACIONAIS Para >ue se"a feita uma administrao dos computadores e redes correta e seguraK necess?rio o esta%elecimento de procedimentos para a gerncia e operao de todos os computadores e redes da empresaK %em como as responsa%ilidades associadas# 1s procedimentos de<em conter instru.es detal*adas so%re a e:ecuo das di<ersas tarefas en<ol<idas na administrao e operao dos recursos de inform?ticaK tais como: Canuseio de ar>ui<os de dados e documentosS (ti<idades de sc*edulingK contemplando as interdependncias entre os sistemasS Tratamento de erros ou condi.es e:cepcionais >ue possam ocorrer durante a e:ecuo de programasS Restri.es de uso dos utilit?rios dos sistemasS Procedimentos de recuperao# em caso de fal*asS 4acBupsS Registros de e<entosS +8 GRADUAO EM REDES DE COMU!ADORES Conitorao am%ientalS Cone:.es e:ternasS Tais procedimentos operacionais de<em estar definidos e formalmente documentadosK de forma claraK para todas as plataformas ou sistemas operacionais e:istentes na empresa# 1s procedimentos de operao de<em ser tratados como documentos formaisK portantoK >uais>uer altera.es nesses procedimentos sF podem ser reali2adas apFs a apro<ao da gerncia respons?<el# (lguns desses procedimentos operacionais esto detal*ados a seguir# %ACNUS Regularmente de<em ser reali2adas cFpias %acBup de dados e programas# 1 o%"eti<o desse procedimento permitir >ue os sistemas se"am recuperados >uando da ocorrncia de fal*as ou desastres com os computadoresK redes ou meios magnticos# ( periodicidade !anualK mensalK >uin2enalK semanal ou di?ria& de reali2ao das cFpias %acBup de<e ser determinada pela importDncia da informaoK ou pelo grau de alterao a >ue a informao est? su"eita# Para os sistemas >ue manipulam informa.es criticasK as cFpias de<em ser di?rias e pelo menos trs gera.es !tcnica do a<Z# paiK fil*o& de<em ser mantidas# 1s %acBups de<em ser testados regularmente para >ueK >uando for necess?rio utili2?'IosK e:ista certe2a da sua integridade# 1 arma2enamento dos %acBups de<e ser feito localmenteK no site principal e remotamenteK no site %acBup# PortantoK de<e e:istir um m-nimo de duas cFpias# (os %acBups arma2enados remotamente !cFpias de segurana& de<e ser fornecido o mesmo grau de segurana f-sica e am%iental dos %acBups arma2enados localmente# 1s controles aplicados aos %acBups arma2enados no site principal de<em ser estendidos Gs cFpias de segurana arma2enadas no site alternati<o# REGIS!RO DE E8EN!OS 1s operadores dos computadores e redes de<em manter registros preferencialmente automati2adosK de todo o tra%al*o e:ecutadoK incluindo informa.es como *or?rio de in-cio e fim de operao dos sistemasK principais ati<idadesK erros de sistemasK a.es para corrigi'IosK etc# (s informa.es contidas nesses registros de<em ser suficientes para a reali2ao de auditorias e tam%m para facilitar a.es de correo e recuperao# 1s registros de<em ser arma2enados em local seguro e somente pessoas autori2adas de<em ter acesso a eles# Pessoas autori2adas so as >ue fa2em parte das ?reas de (uditoriaK Segurana ou so Propriet?rios da informao# MONI!ORAO AM%IEN!A< 1s am%ientes com recursos computacionais importantes !ser<idoresKmainframesK etc#& de<em ser monitorados com relao G temperatura# umidadeK esta%ilidade de energia eltricaK ,; GRADUAO EM REDES DE COMU!ADORES etc#K com o o%"eti<o de identificar condi.es >ue possam afetar ad<ersamente sua operaoK e permitir >ue se"am tomadas as a.es necess?rias para e<itar pro%lemas# MANUSEIO DOS MEIOS DE ARMAEENAMEN!O 1s procedimentos de manuseio de meios de arma2enamento tem por o%"eti<o proteger a m-dia !cartuc*osK fitasK discosK dis>uetes&K listagensK documenta.esK etc#K contra danosK rou%os e acessos no autori2ados# 1s seguintes controles de segurana so indicados e de<em ser claramente documentados: DADOS 9ti>uetar os meios de entrada e sa-da de dadosS Canter registros formais de usu?rios autori2ados a rece%er dadosS (ssegurar >ue os dados este"am -ntegros na entrada do processamentoS Confirmar a recepo de dados transmitidosK >uando apropriadoS Garantir a autenticidade do en<io e recepo dos dadosS Restringir a distri%uio de dados ao m-nimo necess?rio de usu?riosK ou se"aK restringir ao m?:imo o acesso aos dadosS IdentificarK sempre >ue poss-<elK o destinat?rio de cFpias de dadosS Re<isar regularmente listas de distri%uio e de destinat?rios autori2ados# DOCUMEN!AO DE SIS!EMAS De<e ser arma2enada em arm?rio trancado Canter a lista de distri%uio de documentao de sistemas no m-nimo necess?rio e sempre autori2ada pelo propriet?rio do sistemaS Documentao gerada por sistemas de<e ser arma2enadaK separadamente de outros ar>ui<os do sistemaK com proteo de acesso ade>uada# DESCAR!E DO MEIO Ceios >ue conten*am informa.es confidenciais ou de acesso restrito de<em ser descartados de forma seguraK por e:emploK atra<s de fragmentao ou incineraoK desgra<ao de informa.es magnticasK desmagneti2ao de meios defeituososK etc#S Cuidado especial de<e ser tomado na escol*a de fornecedores de ser<ios de coleta de material descartadoK >uanto G sua e:perincia e aos controles de segurana >ue utili2amS Descarte de meios sens-<eis de<em ser registradosK >uando poss-<elK para referncias futuras e no intuito de manuteno de tril*as de auditoria# GERFNCIA DE INCIDEN!ES (lm dos procedimentos operacionaisK de<em ser esta%elecidos procedimentos para a gerncia de incidentes de seguranaK %em como as responsa%ilidades associadasK para garantir urna resposta r?pida e efeti<a >uando da ocorrncia de urna >ue%ra de segurana# Tais ,+ GRADUAO EM REDES DE COMU!ADORES procedimentos de<em co%rir todos os tipos de incidentes de seguranaK incluindo fal*as de sistemaK erros resultantes de dados incompletos ou incorretosK >ue%ras de confidencialidadeK etc# 1s seguintes itens de<em necessariamente fa2er parte dos procedimentos definidos: (n?lise e identificao das causas do incidenteS Plane"amento e implementao das a.es necess?rias para e<itar repetio do incidenteS Coleta de tril*as de auditoria e outras e<idncias e:istentesS Comunicao com as pessoas afetadas pelo incidente ou en<ol<idas no processo de recuperaoS Controle formal das a.es para corrigir >ue%ras de segurana e fal*as de sistemas# SEGREGAO DAS CUNDES ( Segregao de fun.es tem por o%"eti<o minimi2ar o risco de negligncia ou mau uso intencional dos sistemasK atra<s da separao da administrao ou e:ecuo de certas ati<idades ou ?reas de responsa%ilidade# 9m especialK recomendado >ue as seguintes fun.es no se"am e:ecutadas pelos mesmos funcion?rios: entrada de dadosS confernciaS operao de computadoresS gerncia de redesS administrao de sistemasS desen<ol<imento e manuteno de sistemas gerncia de mudanasS administrao de seguranaS auditoria de sistemas# De<em ser definidos perfis de usu?rios de forma >ue o acesso aos sistemas se"a orientado pela necessidade da ati<idadeK ou se"aK o acesso de<e ser suficiente e necess?rio para >ue o usu?rio e:ecute suas fun.es na organi2ao# Para issoK importante a e:istncia de uma identificao nica do usu?rio atra<s de seu nome de usu?rio !login& e sen*a# Po de<em ser utili2ados nomes de usu?rio compartil*ados eK >uando um funcion?rio dei:a a empresaK seu login de<e ser e:clu-do e no <oltar a ser utili2ado# Po caso de terceirosK importante a utili2ao de um nome de usu?rio >ue identifi>ue claramente >ue o mesmo um prestador de ser<ios eK tam%mK >ue a sen*a associada ten*a um pra2o de e:pirao determinado# <ANEOAMEN!O DA CAACIDADE E ACEI!E DE SIS!EMAS ( capacidade dos sistemas de<e ser constantemente monitorada# De<em ser feitas pro"e.es de necessidades futuras le<ando em conta necessidades de no<os sistemas e tam%m tendncias de uso de computadores e redes# ,, GRADUAO EM REDES DE COMU!ADORES (ntes >ue um sistema recm desen<ol<ido ou modificado possa ser considerado prontoK de<e ser su%metido a testes reali2ados com %ase em critrios de aceite pre<iamente acordados# De<em'se considerar os seguintes itens: Re>uisitos de performance e capacidade do computadorS Preparao de procedimentos de reiniciali2aoK recuperao e dos planos de contingnciaS Preparao e testes dos procedimentos de operao rotineiraK %aseados em padr.es definidosS 9<idncias de >ue o no<o sistema no afetar? negati<amente o am%iente e:istenteS Treinamento na operao e uso de no<os sistemas# Cesmo >ue um sistema no<o se"a considerado pronto para entrar em produoK de<e *a<er um plano e os recursos necess?rios para <oltar G situao anteriorK caso a entrada pro<o>ue algum pro%lema# GERFNCIA DE REDES ( administrao de redes de<e e:ecutar todas as disciplinas de gerncia de redesK tais como Gerncia de CapacidadeK PerformanceK CudanasK Pro%lemasK etc# Todas essas disciplinas so rele<antes >uando se trata de Segurana de 4ens de Informao# De<e ser reali2ado um plane"amento ade>uado de capacidade para e<itar comprometer a disponi%ilidade de uma rede ou sistema# ( an?lise de performance pode fornecer dados importantes no sentido de pre<enir >ue%ras de segurana# Oma degradao de performance inesperada pode re<elar uma tentati<a de ata>ue aos sistemas da empresa# ( implementao de uma Gerncia de Cudanas ter? refle:o direto no controle dos %ens de informaoK o >ue ir? mel*orar a proteo do patrimZnio da organi2ao# Oma Gerncia de Cudanas inade>uada uma causa comum de fal*as em sistemas e na segurana# Toda ocorrncia de pro%lema na rede ou nos sistemasK se"a ela relatada pelos usu?riosK ou perce%ida pelos operadoresK de<e ser registrada# ( Gerncia de Pro%lemas de<e englo%ar a definio das a.es a serem e:ecutadasK >uando da ocorrncia dessas fal*as# H?rios controles de segurana so necess?rios em um am%iente de redes# 1s gerentes so os respons?<eis por garantir a segurana dos dados >ue trafegam pelas redes e pela proteo aos ser<ios conectados de acessos no autori2ados# (s seguintes diretri2es de<em ser o%ser<adas: Sempre >ue poss-<elK a administrao da rede de<e ser separada da responsa%ilidade so%re o seu *ardEareS De<em ser esta%elecidos procedimentos e responsa%ilidades para o gerenciamento de e>uipamentos remotosS De<em ser esta%elecidos controles especiaisK sempre >ue necess?rioK para sal<aguardar a confidencialidade e integridade de dados >ue trafegam por redes p%licas e tam%m para proteger os sistemas conectados a elasS (ti<idades de gerenciamento de computadores e de redes de<em ser coordenadasK tanto para otimi2ar os ser<ios ao negFcioK >uanto para garantir >ue as medidas de segurana este"am sendo consistentemente aplicadas atra<s de toda a infra' estrutura de Tecnologia da Informao# ,/ GRADUAO EM REDES DE COMU!ADORES 1 uso de terceiros na gerncia eRou operao de recursos computacionais e de redes introdu2 uma srie de riscos potenciais G segurana tais como a possi%ilidade de comprometimentoK dano ou perda de dados na localidade do terceiro# Tais riscos precisam ser pre<iamente identificados e as medidas de segurana apropriadas precisam ser acertadas com o terceiro e incorporadas ao contrato# So >uest.es de particular rele<Dncia: ( identificao de aplica.es particularmente sens-<eis e >ue no de<em ser processadas fora da organi2aoS ( necessidade de apro<ao dos Propriet?rios das aplica.esS (s implica.es nos planos de continuidade de negFcioS 1s padr.es de segurana >ue o terceiro de<e seguirS (s responsa%ilidades e procedimentos de reporte e administrao de incidentes# 1 contrato de<e pre<erK tam%mK a possi%ilidade de <istorias periFdicas Gs instala.es da contratadaK por Frgo da segurana da informao da contratante !por e:emploK auditoria de sistemas&K a fim de assegurar as aderncia Gs e:igncias contratuais# IN!ERCPM%IO DE DADOS E SOC!9ARE 1 intercDm%io de dados e softEares entre organi2a.es de<em ser controlados ' acordos formais de<em ser esta%elecidosK refletindo a sensi%ilidade das informa.es en<ol<idas e especificando condi.es apropriadas de segurana# 1s seguintes controles de segurana so indicados e de<em ser o%ser<ados >uando da reali2ao de intercDm%io de dados e softEare: Transporte f-sico de meios de arma2enamento Otili2ar empresas confi?<eis e competentesS Garantir >ue a em%alagem prote"a o contedo contra danos f-sicosS Cedidas especiais de<em ser consideradasK >uando necess?rioK para proteger informao criticaK como por e:emploK uso de container trancadoK entrega pessoalK etc# AU!OMAO DE ESCRI!QRIO Definir uma pol-tica clara e os respecti<os controles para administrar o compartil*amento da informaoS SF utili2ar o sistema para manipular informa.es criticasK se o mesmo oferecer n-<eis de segurana ade>uadosS Restringir o acesso aos recursos de acordo com os perfis de usu?rios e:istentesS DefInir regras especificas so%re reteno e %acBups das informa.esS (<aliar a capacidade do sistema para suportar aplica.es espec-ficasK tais como comprasK etc# IN!ERNE! ,0 GRADUAO EM REDES DE COMU!ADORES 1 pro<edor de ser<ios Internet de<e manter e apresentarK sempre >ue solicitado pela gerncia ou auditoriaK o registro de acesso G InternetK por usu?rio e por funo utili2ada ou site <isitado# Ceios de limitao de acesso interno e e:terno aos ser<idores da InternetK tais como fireEallsK de<em ser definidos em procedimentos >ue o%"eti<em garantir >ue somente ser<ios relacionados aos negFcios estaro dispon-<eis internamenteK e >ue somente usu?rios da InternetK de<idamente autori2ados e autenticados tero acesso a aplica.es autori2adas nos sistemasS Para a cone:o de um usu?rio aos sistemasK atra<s da InternetK sua autenticao de<e sempre preceder o acesso a >uais>uer recursos de sistema# 1s processos de identificaoK autenticao e autori2ao de<em seguir o maior n-<el de segurana contemplado nas pol-ticas e diretri2es de segurana da informaoS Todas as tentati<as de cone:o de<em ser registradaK independentemente de terem tido sucesso ou noS @uncion?rio no pode usar a Internet para gan*o ou lucro pessoalK para se fa2er passar por outra pessoaK >uando seu uso interferir negati<amente em seu tra%al*o ou no tra%al*o de outros funcion?rios ou para en<io ou rece%imento das c*amadas TcorrentesTS Censagens transmitidas por e'mail no de<em conter informa.es cr-ticasK a no ser >ue apropriadamente protegidas por criptografiaK de acordo com os padr.es adotados pela empresaS =uais>uer ar>ui<os rece%idos de<em ser <erificados com relao G e:istncia de <-rusK antes de serem a%ertos ou e:ecutadosS =ual>uer softEare disponi%ili2ado ou e:tra-do da Internet de<e estar em conformidade com os acordos de licena e direitos de propriedade intelectual# RO!EO CON!RA 8;RUS De<em ser implementados procedimentos de conscienti2ao dos usu?riosK em con"unto com medidas de deteco e pre<eno de <-rus# 1s usu?rios de<em ter sempre em mente >ue mel*or pre<enir# 9ssas medidas so especialmente teis num am%iente de redeK especialmente >uando se trata de um ser<idor de ar>ui<osK suportando <?rios clientes# ( proteo contra <-rus est? fundamentada na conscienti2ao dos usu?rios so%re os riscosK num processo ade>uado de controle de acesso aos sistemas e nas seguintes diretri2es: 9sta%elecer urna pol-tica formal >ue permita somente o uso de programas oficiais dentro da empresa# SoftEare TpirataT de<e ser proi%idoS Implementar controles para e<itar cFpia de softEareK assim como controlar o uso de <ers.es de demonstrao e de s*areEareK pois essas pr?ticas tam%m podem caracteri2ar TpiratariaTS Otili2ar softEare anti<-rus desen<ol<ido por fornecedores sFlidos e confi?<eisS (dotar procedimentos para a pronta atuali2ao !preferencialmente autom?tica& das <acinas contra <-rus: C*ecar >ual>uer dis>uete contra a e:istncia de <-rusS (<aliar a possi%ilidade de <erificar regularmente a integridade de programas e dados >ue suportem sistemas cr-ticosS ,3 GRADUAO EM REDES DE COMU!ADORES 9sta%elecer procedimentosK e as responsa%ilidades associadasK >uando da ocorrncia de <-rus# CON!RO<E DE ACESSO A SIS!EMA 1 o%"eti<o principal do controle de acesso a sistemas impedir ou dificultar acessos no autori2ados Gs informa.es# 1s acessos aos ser<ios e dados de<em ser controlados com %ase nos re>uisitos das ati<idadesK de<endo estar claramente definidos e documentadosK para >ue os pro<edores de ser<ios possam ter um direcionamento na implementao e manuteno desses controles# Cada propriet?rio de aplicao de<e definir e manter atuali2ada urna pol-tica de acesso ao seu aplicati<oK o >ual define os direitos de acesso para cada usu?rio ou grupo de usu?rios# 9ssa pol-tica de acesso de<e contemplar os re>uisitos de segurana espec-ficos para cada aplicao e as pol-ticas para disseminao da informao# ADMINIS!RAO DO ACESSO DOS USU=RIOS 1 o%"eti<o da administrao do acesso de usu?rios pre<enir contra acessos no autori2ados# Para issoK de<em e:istir procedimentos formais >ue contemplem todo o ciclo de <ida do acesso do usu?rioK desde seu registro inicialK para um usu?rio no<oK o gerenciamento dos pri<ilgios e sen*asK at a sua e:cluso# 9sses procedimentos formais de<em estar em conformidade com a pol-tica corporati<a de acessos# Oma ateno adicional de<e ser tornada para os acessos pri<ilegiados# RESONSA%I<IDADE DOS USU=RIOS 1s usu?rios de<em estar conscienti2ados so%re suas responsa%ilidades >uanto a manuteno efeti<a dos controles de acessoK particularmente so%re o uso de suas sen*as e proteo de seus e>uipamentos# ( sen*a o principal meio para a <alidao da autenticao dos usu?rios# PortantoK os usu?rios de<em seguir os procedimentos corporati<os para a definio e uso de sen*as e serem respons?<eis por manter suas sen*as protegidasK para e<itar e minimi2ar sua e:posio# 1 usu?rio de<e assegurar'se >ue os e>uipamentos desassistidos !e>uipamentos cu"os propriet?rios esto ausentes& conten*am proteo ade>uada ao am%iente onde est? instalado# 9>uipamentos locali2ados em ?reas de acesso comum necessitam de urna proteo espec-fica contra acessos no autori2ados !por e:emploK uso de proteo de tela com sen*aK uso de time' outK etc#&# Todos os usu?rios e terceiros de<em con*ecer os re>uisitos e procedimentos de segurana e suas responsa%ilidades >uanto G proteo desses e>uipamentos e das informa.es ali contidas# CON!RO<E DE ACESSO R REDE W necess?rio assegurar >ue usu?rios conectados G rede ou aos ser<ios de Tecnologia de Informao no comprometero a segurana de >ual>uer outro componente da rede# Dessa ,5 GRADUAO EM REDES DE COMU!ADORES formaK os usu?rios de<em possuir acesso limitado aos ser<iosK ou se"aK somente de<em acessar os sistemas ou informa.es necess?rios ao e:erc-cio de suas atri%ui.es# (cessos G rede a partir de terminais de<em ser controlados# ( identificao autom?tica de um terminal urna tcnica >ue pode ser utili2ada pelas aplica.esK >uando for importante >ue uma sesso somente possa ser iniciada de uma localidade espec-fica# Terminais ou sess.es ati<as >ue no este"am sendo utili2ados representam um alto risco de segurana# PortantoK de<e ser utili2ado o recurso de desati<ao autom?tica apFs decorrido determinado tempo sem uso !time'out&# Redes modernas so desen*adas para permitir o compartil*amento m?:imo de recursos e fle:i%ilidade de rotas# 9ssas facilidades tam%m podem pro<er uma oportunidade para um acesso no autori2ado Gs aplica.es ou aos recursos computacionais# 9sses riscos podem ser minimi2ados atra<s da restrio de rotasK criando rotas o%rigatFrias# Recursos para cone:o do usu?rio com a rede organi2acionalK atra<s da rede p%licaK aumentam as c*ances de acesso no autori2ado Gs aplica.es# Peste casoK a autenticao recomendadaK se"a para aplicati<os ou para a rede# (lguns e>uipamentos podem ser acessados remotamente para efeito de diagnFstico# Caso esse recurso se"a utili2adoK ele de<e ser muito %em controladoK por e:emploK por uma identificaoK sen*a e procedimentos >ue garantam >ue somente sero acessados por acordo entre o administrador da rede e o suporte tcnico de *ardEareRsoftEare do fornecedor# (s redes de maior taman*o e comple:idade precisamK com fre>VnciaK ser di<ididas em dom-nios# 9ssa segmentao cresce na proporo >ue inclu-mos parceiros e fornecedores >ue re>ueremK com fre>VnciaK a intercone:o de redes ou compartil*amento de recursos# Isso aumenta ainda mais a necessidade de segregao de redes# Pessas circunstDnciasK de<emos considerar a introduo de controles dentro da redeK segregando grupos de usu?riosK aplicati<os e mesmo sistemas# Oma das formas de implementar esse tipo de controle di<idir a rede em segmentos e incorporar um gateEaL !dependendo da ar>uiteturaK tam%m referenciado como fireEall&# 1 acesso entre segmentos passaK entoK a ser controlado e monitorado pelo gateEaL de segurana# @ireEalls tam%m podem ser usados para restringir as capacidades de cone:o de usu?rios entre redesK >ue muitas <e2es cru2am fronteiras da organi2aoK filtrando o tr?fego com %ase em regras pr'definidas# AU!EN!ICAO DOS USU=RIOS 1 acesso a ser<ios computacionais de<e sempre ocorrer atra<s de um procedimento seguro de logon# 9sse o procedimento pelo >ual o usu?rio conecta'se a um determinado sistema ou redeK e de<e ser plane"ado para minimi2ar as oportunidades de acessos no autori2ados# Todo usu?rio de<e ter um login prFprioK >ue garantir? >ue suas ati<idades podero ser <erificadas >uanto G responsa%ilidade indi<idual !e:ce.es de<em ser pre<iamente apro<adas e documentadas&# 9ssas identifica.es no de<em dei:ar transparecer >ual>uer n-<el de pri<ilgio do usu?rio# Cuidados especiais e formais de<em ser dados aos logins durante a sua e:istncia# 1 respons?<el pela manuteno dos logins de<e rece%er informa.es de Recursos Mumanos >uando ocorrerem demiss.esK transfernciasK licenas mdicasK etc#K para >ue as de<idas a.es possam ser tomadas# (lm dissoK de<e *a<er um controle espec-fico para os logins de terceiros# Om sistema efeti<o de controle de sen*as de<e ser utili2ado para autenticar os usu?rios# (s principais caracter-sticas das sen*as de<em estar definidas nos procedimentos corporati<osK dentre os >uais destacamos: ,6 GRADUAO EM REDES DE COMU!ADORES Permisso para >ue os usu?rios selecionem e modifi>uem suas sen*as em >ual>uer am%iente !sistemas operacionais ou aplicati<os&S 1s sistemas de<em ser programados para nunca e:i%ir a sen*a na telaS (s sen*as de<em ser indi<iduaisK no compartil*adasS (s sen*as no de<em ser tri<iais e pre<is-<eis# Sempre >ue poss-<elK o prFprio sistema operacional de<e ser parametri2ado para no permitir o uso de sen*as de f?cil deduoS 1%rigatoriedade de um taman*o m-nimo de sen*a !um m-nimo de seis caracteres recomend?<el&S De<em possuir um pra2o de e:pirao no sistemaK de<endo ser trocadas apFs n dias !para situa.es no cr-ticasK um pra2o entre trinta e sessenta dias recomend?<el&S Caso a sen*a inicial se"a definida pelo sistema de cadastramento de usu?rioK de<er? ser o%rigatFria a sua troca na efeti<ao do primeiro acesso do usu?rio cadastrado !sen*a Te:piradaT&S 1%rigatoriedade da no reutili2ao das ltimas n sen*as !um m-nimo de de2 ltimas sen*as recomend?<el&S Gra<ao do ar>ui<o de sen*as separadamente dos ar>ui<os do sistemaK em am%iente de acesso restrito e criptografado# (lterao das sen*as'padro institu-das pelos fornecedoresK logo apFs a instalao do softEareS 4lo>ueio de acesso apFs n tentati<as in<?lidas !um m?:imo de trs tentati<as in<?lidas recomend?<el&# CON!RO<E DE ACESSO RS A<ICADES 1 controle de acesso lFgico de<e ser utili2ado para controlar o acesso Gs aplica.es e aos dados# Cada acesso de<e ser autori2ado de acordo com a pol-tica de controle de acesso definida pelo propriet?rio da aplicao# 1s usu?rios de sistemas aplicati<osK incluindo pessoal de suporteK de<em poder acessar dados e fun.es de sistemas aplicati<os de acordo com as pol-ticas de acesso definidas pela organi2aoK %aseadas nos re>uisitos indi<iduais do negFcio# 1 uso de utilit?rios >ue ten*am a capacidade de se so%repor aos controles das aplica.es e sistemas de<e ser restrito e com um r-gido controle# Do mesmo modoK para minimi2ar a corrupo de programas !altera.es no autori2adas&K de<e'se ter um controle r-gido so%re os acessos Gs %i%liotecas ou diretFrios de programas# PreferencialmenteK as aplica.es de<em utili2ar os recursos de controle de acesso nati<o do sistema operacional# Caso isso no se"a poss-<elK de<e'se garantir >ue o controle implementado pela aplicao possua todas as caracter-sticas citadas no item (utenticao dos Osu?rios# MONI!ORAO DE USO E ACESSO A SIS!EMAS ( monitorao de uso e de acesso a sistemas tem o o%"eti<o de detectar ati<idades no autori2adas# Isso se fa2 necess?rio para determinar a eficincia dos procedimentos adotados e garantir a conformidade dos acessos com as pol-ticas esta%elecidas# ,7 GRADUAO EM REDES DE COMU!ADORES ( gra<ao de tril*as de auditoria e de outros e<entos rele<antes de segurana de<e ser feita e arma2enadaK para a monitorao dos acessos ou para uso futuro em in<estiga.es# De<em' se registrar os acessos %em sucedidos e os re"eitados# (s tril*as de auditoria de<em incluir informa.es como loginsK data e %om do logon e logoffK identificao do terminal ou localidade e as ati<idades reali2adas pelo usu?rio# Oma ateno especial de<e ser dada para os logs !registros& dos usu?rios pri<ilegiados# 1s procedimentos para a monitorao do uso dos sistemas so necess?rios para garantir >ue os usu?rios somente e:ecutem processos para os >uais ten*am sido e:plicitamente autori2ados# 1 n-<el de monitorao re>uerido para cada sistema de<e ser determinado pela sua an?lise de risco# Toda ati<idade de monitorao de<e ser e:plicitamente autori2ada pela gerncia# Tam%m de<e ser considerada a gerncia de e:ce.esK a fim de detectar usos anormaisK como por e:emploK num terminal sendo utili2ado em um domingo# 1utro detal*e importante a correta sincroni2ao de clocBs dos computadores para garantir a e:atido dos registros de auditoriaK >ue podem ser re>uisitados para in<estiga.esK como uma e<idncia legal ou casos disciplinares# ( impreciso das tril*as de auditoria pode atrapal*ar as in<estiga.es ou danificar a credi%ilidade da e<idncia# Om cuidado especial >ue de<e ser tomado >uanto G real necessidade do log das aplica.esK pois seu uso inad<ertido pode pre"udicar a performance dos sistemas# PortantoK uma an?lise criteriosa de custo'%eneficio de<e ser reali2ada antes da implementao desses controles# <ANO DE CON!IGFNCIA Om Plano de Contingncia de<e garantir a recuperao dos processos cr-ticos >uando da indisponi%ilidade do am%iente ou de >uais>uer recursos >ue impossi%ilitem o desen<ol<imento ou e:ecuo das opera.es das ?reas da organi2ao# 1s Planos de Contingncia de<em ser capa2es de reagir de maneira eficiente Gs interrup.es das ati<idadesK protegendo dessa forma os processos cr-ticos e garantindo a continuidade das ati<idades# Para issoK os Planos de<em ser de con*ecimento das pessoas pre<iamente escol*idas para coordenar as ati<idades de recuperao >uando em regime de contingncia# 1s Planos de Contingncia de<e ser periodicamente testado e constantemente atuali2adoK pois do contr?rio perde a sua eficincia# Dentro desses planos de<em e:istir no m-nimoK referncias aos seguintes elementos %?sicos: Definio das fun.es cr-ticasS 9stratgia de recuperaoS Prioridade de recuperaoS (ti<idades necess?rias para a recuperaoS Determinao dos recursos *umanos e tcnicos necess?riosS Documentao dos processos cr-ticosS Respons?<eis pela e:ecuo dessas ati<idadesS (.es para resta%elecer a operao normalS Recursos de %acBup !infra'estruturaK *ardEareK softEareK sistemas aplicati<os e telecomunica.es&# Todos os processos identificados como cr-ticosK >ual>uer >ue se"a o critrioK de<em possuir um plano de contingncia a%rangenteK <alidado e apro<ado pela alta direo da instituio# ,8 GRADUAO EM REDES DE COMU!ADORES De<e ser esta%elecido um processo formal de educao do pessoal en<ol<ido na e:ecuo das ati<idades de recuperao dos processos# Isso se toma um fator cr-tico de sucesso do PlanoK uma <e2 >ue a.es precisas e efeti<as podem minimi2ar as propor.es de um desastre# 9sses Planos de Contingncia de<em ser desen<ol<idos e analisados em con"unto entre a ?rea de inform?ticaK as ?reas operacionais e a auditoria de sistemasK de<endo ser periodicamente testados# De<emos ter em mente >ue re<is.es regulares proporcionam uma e:celente oportunidade de a<aliar e corrigir o referido planoK e tam%m de e:ercitar o pessoal respons?<el por sua e:ecuoK manuteno e atuali2ao# (lgumas situa.es de<em ser o%ser<adas com ateno durante as re<is.es:
Troca de fornecedores ou contratadosS (lterao de endereos ou nmeros de telefonesS Cudana nas prioridades de recuperaoS Interdependncia entre sistemas e aplica.esS Cudanas nas fun.es e nos processos cr-ticosS Cudanas no perfil de aplica.es >ue suportam processosS Cudanas nas pr?ticas operacionais# /; GRADUAO EM REDES DE COMU!ADORES KUEM L 8U<NER=8E<M Redes de computadores so usadas todos os dias por corpora.es e <?rias outras organi2a.es# 9las permitem >ue os usu?rios tro>uem uma <asta >uantidade de informa.es ou dados de forma eficiente# OsualmenteK redes corporati<as no so desen<ol<idas e implementadas com os aspectos de segurana em menteK mas sim para terem uma funcionalidade e eficincia m?:imas# 9m%ora isto se"a %om do ponto de <ista empresarialK os pro%lemas de segurana certamente aparecero depoisK e as empresas gastaro din*eiro para resol<'los na direta proporo do taman*o de suas redes# Cuitas redes corporati<as e pri<adas funcionam %aseadas no princ-pio cliente'ser<idorK onde os usu?rios utili2am esta.es de tra%al*o para conectarem'se aos ser<idores e compartil*arem informa.es# 9ste documento ir? concentrar'se na segurana do ser<idorK >ue o al<o primordial dos crackersK pois se eles conseguem acesso ao mesmoK >ue geralmente o mais %em protegido da redeK torna'se muito f?cil conseguir acesso ao restante da rede# (s entidades mais <ulner?<eis a um ata>ue em grande escalaK normalmenteK incluem: Institui.es financeiras e %ancosS ISPs !pro<edores de Internet&S Compan*ias farmacuticasS Go<erno e agncias de defesaS 9mpresas multinacionais# 9m%ora muitos desses ata>ues se"am feitos pelos prFprios funcion?rios da empresaK >ue "? tm sen*as de acesso a determinados setoresK nos concentraremos nas tcnicas utili2adas pelos in<asores de fora da rede# O ERCI< DE UM CRACNER DE SIS!EMAS !;ICO 1s estudos tm mostrado >ue um cracker de sistemas t-pico geralmente do se:o masculinoK com idade entre +5 e ,3 anos# 9lesK comumenteK esto interessados em in<adir as redes para aumentar suas *a%ilidades ou para utili2ar os seus recursos para seus propFsito# Cuitos crackers so %astante persistentes em seus ata>uesK isto d?'se de<ido a >uantidade de tempo li<re >ue eles disp.em !alguns tra%al*am no setorK e muitos dos mais "o<ens se>uer tra%al*amK so%rando muito tempo li<re para a e:ecuo dos ata>ues&# (s tScnicas por eles utili2adas so as mais di<ersas# A ES!RU!URA DE UMA REDE Pesta seoK apresenta'se a principal forma de cone:o G Internet adotada pela maiorias das institui.es e o >ue isto implica em termos de <ulnera%ilidades# CORMA DE CONEJO MAIS ADO!ADA /+ GRADUAO EM REDES DE COMU!ADORES 9m uma corporao t-picaK a presena na Internet ocorre pelos seguintes propFsitos: Mospedagem de ser<idores corporati<osS Ser<io de e-mail e outras facilidades de comunicaoS @ornecimento aos funcion?rios dos ser<ios desta rede# Testes de in<aso e:ecutados por empresas especiali2adas em segurana tm mostrado um am%iente onde a rede corporati<a e a Internet so separadas por firewalls e proxies# 9m tais am%ientesK o ser<idor Web corporati<o e os ser<idores de correio eletrZnico soK Gs <e2esK dei:ados do Tlado de foraT da rede da empresa e as informa.es para a rede interna so transmitidas por canais confi?<eis# Po casoK para estes canais confi?<eis presentes entre ser<idores e:ternos e m?>uinas da rede internaK uma pol-tica %em pensada de TfiltragemT de<e ser posta em aoK comoK por e:emploK configurar os ser<idores de correio eletrZnico para somente conectar G porta ,3 de um nico ser<idor seguro da rede corporati<a# Isto "? ir? diminuir massi<amente a pro%a%ilidade de acessos no autori2ados >uando um ser<idor e:terno for comprometido# Do ponto de <ista de seguranaK hosts >ue operam em redes mltiplas podem ser uma sria ameaa G segurana da rede como um todoK pois os mesmos fa2em simplesmente uma TponteT entre as duas redes# Se algum tem acesso a este hostK pode conseguir acessar a rede da empresa# EN!ENDENDO AS 8U<NERA%I<IDADES DES!ES SIS!EMAS DE REDE Tomando como e:emplo uma instituio >ueK na InternetK possui ser<idores Web e ser<idores de correio eletrZnico e:ternosK onde estes so isolados da rede interna atra<s de um firewall ou algum sistema de filtragem implementado# 1s ser<idores WebK geralmenteK no so atacados por crackers >ue esperam gan*ar acesso G rede corporati<aK a menos >ue o firewall este"a configurado de alguma maneira >ue o permita acessar a rede da empresa atra<s dos mesmos# (ssimK sempre %om ter configurado nestes ser<idores o TCP Wrappers para permitir >ue somente clientes confi?<eis se conectem Gs portas de Telnet e @TP# 1s ser<idores de correio eletrZnicoK por sua <e2K so os al<os prediletos de crackers >ue tentam acessar a rede interna# 9sta predileo se d? por>ue tais m?>uinas necessitam ter acesso G rede corporati<a para trocar e distri%uir as mensagens entre a rede interna e a Internet# Po<amenteK dependendo da TfiltragemT da rede em >uestoK o ata>ue pode ou no surtir efeito# Roteadores com filtro tam%m so al<os comuns de crackers atra<s de ata>ues agressi<os de SNMP-Scanning e password crackers do tipo fora'%ruta# Se tal ata>ue for efeti<oK o roteador pode facilmente tornar'se uma ponteK dando ento acesso no autori2ado G rede# Peste tipo de situaoK o in<asor a<aliar? >uais ser<idores e:ternos ele te<e acessoK e ento tentar? identificar >ual o n-<el de confiana entre estes e a rede corporati<a# Se o TCP Wrappers for instalado em todos os ser<idores e:ternosK pode'se definir >ue somente as partes confi?<eis podero comunicar'se com portas cr-ticas destas m?>uinasK >ue so: /, GRADUAO EM REDES DE COMU!ADORES @tp +($.B ssG +((.B telnet +(*.B s)tp +(0.B na)ed +0*.B pop* +$$#.B i)ap +$/*.B rsG +0$/.B rlo'in +0$*.B lpd +0$0.# 1s protocolos SMTP, named e portmapper precisam ser configurados de acordoK dependendo da sua funo na rede# Tudo isso pode redu2ir %astante o risco de ata>ue a uma rede corporati<a# Pos casos de redes com uma pol-tica de Tcorporao para InternetT no muito claraK certamente e:istiro multiple-homed hosts e roteadores com configurao imprFpria# Tudo issoK aliado a falta de uma segmentao da rede interna tornar? muito f?cil a um cracker %aseado na InternetK ter acesso no autori2ado G rede interna# O A!AKUE Sero <istasK nesta seoK as tcnicas utili2adas pelos in<asores para ocultar a sua aoK as formas de coleta de informaoK %em como os programas de e:plorao >ue eles fa2em uso# TWCPIC(S OS(D(S P9I1S IPH(S1R9S P(R( 1COIT(R ( SO( I1C(II[(\]1 Crackers t-picosK usualmenteK usaro as seguintes tcnicas para esconder seu endereo IP real: Conectar'se atra<s de outras m?>uinas comprometidas <ia Telnet ou rshS Conectar'se atra<s de computadores com JindoEs <ia WingatesS Conectar'se atra<s de hosts utili2ando proxies configurados impropriamente# Se um administrador desco%re >ue um cracker est? mantendo a rotina de rastrear os seus hosts a partir de m?>uinas "? comprometidasK aconsel*?<el >ue este contacte o administrador destas m?>uinas por telefone e notifi>ue'o do pro%lema# Peste casoK no se de<e fa2er uso do correio eletrZnicoK pois o prFprio cracker pode interceptar a mensagem antes >ue ela c*egue ao seu destino# 1s crackers >ue esto aptos a in<adir m?>uinas atra<s de telefoneK podem usar as seguintes tcnicas para ocultar a sua ao: Conectar'seK atra<s de nmeros do tipo T;7;;TK a centrais telefZnicas pri<adas antes de se conectar a um pro<edor Internet utili2ando contas TcracBeadasT ou rou%adasS Conectar'se a um host por telefoneK e conse>VentementeK G Internet# (>ueles >ue adotam estas tcnicas especiais de cone:o !bouncing& atra<s de redes telefZnicas so e:tremamente dif-ceis de rastrearK por>ue eles podem estarK literalmente em >ual>uer lugar do mundo# Se um cracker pode fa2er um dial-up para um nmero ;7;;K ele pode conectar'se a m?>uinas em >ual>uer lugar do glo%o sem se preocupar com custos# A CO<E!A DE INCORMADES // GRADUAO EM REDES DE COMU!ADORES (ntes de iniciar um ata>ue a uma rede corporati<a atra<s da InternetK o cracker t-pico e:ecutar? alguns testes preliminares nos hosts e:ternos da rede >ue esto ligados de alguma forma esta rede# 9le tentar? o%ter os nomes de m?>uinas e:ternas e internasK usando algumas das seguintes tcnicas: Oso do comando nslookup para e:ecutar comandos tipo Tls ^dom-nio ou rede_TS Hisuali2ao do cFdigo MTCI dos ser<idores Web para tentar identificar outros hostsS Coneco com os ser<idores de correio eletrZnico para e:ecutar comandos do tipo Te:pn ^user_TS Hisuali2ao de documentos arma2enados em seus ser<idores de @TPS Otili2ao do comando finger para identificar os usu?rios em hosts e:ternos# CrackersK normalmenteK tentam o%ter informa.es so%re o TlaLoutT da rede em primeiro lugarS ao in<s de tentar identificar as <ulnera%ilidades espec-ficas# 1%ser<andoK entoK os resultados dos TpedidosT acima mencionadosK torna'se mais f?cil para ele construir uma lista de m`>uinas e entender as rela.es e:istentes entre elas# =uando e:ecuta estes testes preliminaresK o cracker pode cometerK sem sa%erK alguns pe>uenos errosK como utili2ar seu prFprio IP para conectar'se a portas de m?>uinas para c*ecar as <ers.es do sistema ou outros pe>uenos detal*es# 9ntoK se o administrador ac*a >ue tal<e2 suas m?>uinas este"am de alguma forma comprometidasK uma %oa idia c*ecar os logs de @TP e MTTPD e <erificar >ual>uer registro anormal# IDEN!ICICANDO COMONEN!ES DE REDE CONCI=8EIS 1s crackers procuram por componentes de rede confi?<eis para atacarK pois estesK geralmenteK so m?>uinas utili2adas pelos administradores ou mesmo um ser<idor >ue considerado seguro# 9les iniciaro conferindo o flu:o de dados P@S para >ual>uer das m?>uinas >ue este"am e:ecutando o nfsd ou o mountd# 1 caso >ue *? diretFrios cr-ticos em alguns *osts !como usrbin, etc, e homeK por e:emplo& podem ser somente acessados e TmontadosT por m?>uinas confi?<eis# 1 finger daemon muito usado para identificar m?>uinas e usu?rios confi?<eis >ue conectam'seK com fre>VnciaK em computadores espec-ficos# 1 cracker ir?K entoK procurar nessas m?>uinas por outras formas de Tconfia%ilidadeT# Por e:emploK ele pode in<adir uma m?>uinaK utili2ando alguma <ulnera%ilidade no CGI e ento ter acesso ao ar>ui<o etchosts!allowK conforma "? foi dito anteriormente# (pFs analisar os dados decorrentes das c*ecagens mencionadas acimaK o in<asor poder? iniciar a identificao das partes confi?<eis entre os hosts da rede# 1 prF:imo passo seriaK entoK identificar >uais>uer hosts confi?<eis >ue podem ser suscet-<eis a algum tipo de <ulnera%ilidade remota# IDEN!ICICANDO COMONEN!ES 8U<NER=8EIS DE UMA REDE /0 GRADUAO EM REDES DE COMU!ADORES Se o cracker ela%orar listas de hosts e:ternos e internos da uma redeK ele poder? fa2er uso de programas para sistemas Iinu: como "#Mhack, mscan, nmap e alguns scanners simples para procurar por <ulnera%ilidades espec-ficas nos mesmos# OsualmenteK tais TrastreadasT tero origem em m?>uinas com cone:.es r?pidas !geralmente cone:.es de fi%ras Fpticas&K o "#Mhack por e:emploK re>uer ser e:ecutado por um usu?rio root em uma m?>uina Iinu:# Por conseguinteK o cracker de<er? procurar utili2ar uma m?>uina com uma cone:o r?pidaK da >ual ele ten*a conseguido algum acesso ilegal e ten*a instalado um rootkit ou algo semel*ante nela# 9sse rootkit usado para instalar backdoors em %in?rios cr-ticos do sistemaK tornanando o acesso do in<asor nesta m?>uina algo dif-cil de ser detectado# 1s administradores dos hosts >ue so usados como %ase de ata>ue a outrosK geralmenteK no fa2em idia >ue esta tarefa este"a sendo e:ecutada atra<s de suas m?>uinasK pois %in?rios como ps e o netstat so alterados para ocultar os processos de ratreamento# =ual o administrador >ue inicialmente desconfiar? >ue e:iste um Tca<alo de TrFiaT no comando psN 9ssa a essncia da coisa# 1utros programasK tais como mscan e nmap no re>uerem ser e:ecutados como root e podem ser lanados de m?>uinas Iinu: !ou outras plataformasK no caso do nmap&K para identificar efeti<amente <ulnera%ilidades remotas# Toda<iaK estes rastreamentos so lentos eK geralmenteK no podem ser muito %em ocultados# Tanto o "#Mhack como mscan e:ecutam os seguintes tipos de teste em hosts remotos: TCP portscanS #ump do ser<io RPC rodando atra<s do portmapper S Iistagem dos dados e:portados <ia nfsdS Iistagem dos compartil*amentos feitos <ia Samba ou NetbiosS Pedidos de finger mltiplos para identificar Tcontas defaultTS Rastreamento de <ulnera%ilidades de CGIS Identificao de <ers.es <ulner?<eis de programas ser<idoresK incluindo Sendmail, $M"P, P%P&, 'PC status e 'PC mountd# Programas como o S"T"N raramente so usados pelos crackers atuais !ou mel*or informados&K pois eles so lentos e procuram por <ulnera%ilidades "? o%soletas# (pFs e:ecutar o "#Mhack ou mscan nos hosts e:ternosK o cracker ter? uma %oa idia de >uais so <ulner?<eis e >uais so seguros# Se e:istirem roteadores e estes possu-rem capacidades para SPCPK ento os crackers mais a<anados adotaro tcnicas do tipo agressi(e-SNMP scanning e tam%m tentaro ata>ues do tipo fora %ruta# !IRANDO 8AN!AGENS DOS COMONEN!ES 8U<NER=8EIS DE UMA REDE Se o cracker identificou >ual>uer host e:terno confi?<elK ento ele tam%m identificou algumas <ulnera%ilidades no mesmo# Se algum componente <ulner?<el de sua rede foi identificadoK ento ele tentar? compromet'la# /3 GRADUAO EM REDES DE COMU!ADORES Om cracker e:periente no tentar? in<adir redes em *or?rio normal de e:pediente# 9le de<er? lanar seu ata>ue entre ,+* e 5* da man*# Isto redu2ir? a pro%a%ilidade de algum desco%rir o ata>ueK e dar? ao mesmo um %om tempo para instalar backdoors e sniffers nas m?>uinas sem se preocupar com a presena de administradores de sistema# Cuitos in<asores tm a maior parte de seu tempo li<re nos finais de semana e muitos dos ata>ues so feitos nos s?%ados e domingos# 1 cracker poder?K portantoK in<adir um host confi?<el e:ternoK >ue de<er? ser usado como ponto de partida para lanar um e:terna e a internaK ele lograr? sucessoK ou no# Se a in<aso acontece em um ser<idor de correio eletrZnico e:ternoK pode ser >ue ele consiga acesso total a um segmento da rede internaK e ento ele poder? iniciar um tra%al*o para tentar entrar em uma camada mais profunda da rede# Para in<adir ou comprometer muitos componentes da redeK os crackers usaro programas para e:plorar remotamente <ers.es <ulner?<eis de programas ser<idores !daemons&K e:ecutando em hosts e:ternos# Tais daemonsK conforme "? foi dito antesK incluem <ers.es <ulner?<eis do Sendmail, $M"P, P%P& e ser<ios RPC como statd, mountd e pcnfsd# Cuitos tentati<as de e:plorao remotas feitas so lanados a partir de m?>uinas pre<iamente comprometidas# (o e:ecutar tal programa remotamente para e:plorar um daemon <ulner?<el rodando em algum host e:terno da redeK o cracker poder? o%ter acesso G conta root deste hostK >ue pode ser usada para o%ter acesso a outros hosts da rede corporati<a# KUANDO O ACESSO A COMONEN!ES 8U<NER=8EIS DA REDE L O%!IDO Depois de conseguir e:plorar um ser<io e in<adir uma m?>uinaK o cracker passa a tratar dos %in?rios >ue contm backdoors eK em seguidaK inicia uma operao de limpe2aK cuidando dos logsK para >ue a sua presena no se"a perce%ida# ( implementao de backdoors acontece para >ue ele possaK mais tardeK continuar a ter acesso ao sistema mesmo >ue sua presena se"a detectada# Cuitas dessas backdoors usadas so pr'compiladasK e so usadas tcnicas para mudar a data e a permisso dos no<os %in?rios >ue contero# Pa maioria dos casosK os %in?rios alterados tero o mesmo taman*o do original# 1s in<asores tm conscincia dos logs de transferncias feitas por @TP# (ssimK eles podem usar o programa rcp para transferir seus backdoors para os hosts em >uesto# W impro<?<el >ue tal crackerK in<adindo uma rede corporati<a iniciar? seu ata>ue instalando patches de <ulnera%ilidades nas m?>uinas# GeralmenteK ele instalar? backdoors e Tca<alos de TrFiaT em %in?rios considerados cr-ticos como o ps e o netstat para ocultar >uais>uer cone:.es >ue eleK por <enturaK <en*a fa2er a esta m?>uina# Por e:emploK podem ser instalados backdoors nos seguintes T%in?rios cr-ticosT em m?>uinas Solaris ,#:: RusrR%inRlogin RusrRs%inRping /5 GRADUAO EM REDES DE COMU!ADORES RusrRs%inRin#telnetd RusrRs%inRin#rs*d RusrRs%inRin#rlogind (lguns crackers podem adotar a estratgia de colocar um ar>ui<o !rhosts no diretFrio usrbin para permitir acesso remoto <ia comandos rlogin e rsh# Pa se>VnciaK ele de<e c*ecar a m?>uina em %usca de sistemas de logging >ue possam ter registrado suas cone:.es# 9ntoK ele proceder? editando os ar>ui<os >ue contm estes registrosK apagando sua passagem pelo sistema# Se e:iste uma uma m?>uina Tmuito <isadaT em sua redeK aconsel*?<el >ue o administrador trate de direcionar os seus logs diretamente para uma impressora ou mesmo para uma outra m?>uina cu"o acesso se"a ainda mais dif-cil# Isto tornaria e:tremamente dif-cil para o cracker eliminar sua presena do sistema# (o certificar'se >ue sua presena no est? mais sendo registradaK o cracker proceder? com a sua in<aso G rede pri<ada corporati<a# Cuitos no iro tentar e:plorar <ulnera%ilidades de outros ser<idores e:ternosK uma <e2 >ue eles "? possuem uma %ase para tentar acessar a rede interna# A%USOS E RI8I<LGIOS EM UM ACESSO UMA REDE Das a.es e procedimentos dos crackers apFs in<adir uma redeK o >ue trata esta seo# CAEENDO A !RANSCERFNCIA DE INCORMADES SIGI<OSAS Se a meta do in<asor fa2er transferncia de informa.es sigilosas ou sens-<eis de ser<idores @TP ou ser<idores Web corporaoK ele pode fa2er isto a partir de um host e:terno >ue este"a atuando como um ponte entre a Internet e a rede interna# PormK se a meta dele fa2er a transferncia de informao sens-<el arma2enada nas m?>uinas da rede internaK ele tentar? o%ter acesso a ele atra<s do a%uso de confiana >ue o host e:terno >ue ele est? utili2ando possui# EJ<ORANDO OU!ROS TOS!S E REDES CONCI=8EIS Cuitos crackersK simplesmenteK repetiro os passos descritos na seo anterior para testar e o%ter acesso aos computadores de uma rede corporati<a internaK dependendo do >ue ele est? tentando o%ter# TCa<alos de TrFiaT e backdoors tal<e2 se>uer se"am instalados nas m?>uinas internas da rede# Po entantoK se ele >uer o%ter acesso total Gs m?>uinas da rede internaK ento ele no sFs os instalar?K como tratar? de remo<er os logs do sistemaK conforme dito na seo anteriorK %em como instalar sniffers nas m?>uinasK conforme ser? e:plicado a%ai:o# INS!A<ANDO CAREOADORES Oma maneira e:tremamente efica2 dos crackers o%terem rapidamente uma grande >uantidade de logins e sen*as das m?>uinas da rede interna usar programas especiais c*amados de )thernet Sniffers# 1s tais sniffers !fare"adores& precisam operar na mesma )thernet usada pelo /6 GRADUAO EM REDES DE COMU!ADORES cmputador ao >ual o cracker dese"a o%ter acesso# 9le no ser? efica2 se for e:ecutado em uma m?>uina e:terna da rede# Para Tfare"arT o flu:o de dados em uma rede internaK o cracker precisa fa2er uma in<aso a algum host da rede interna e o%ter acesso G conta root# 9ste host precisa ter tam%m um nmero IP >ue este"a na mesma rede dos demais internos# (s tcnicas mencionadas na seo anterior so adotadas a>uiK uma <e2 >ue o cracker precisa acessar e instalar backdoors para certificar'se >ue o fare"ador possa ser instalado e usado efeti<amente# Depois de in<adirK instalar as backdoors e os Tca<alos de TrFiaT nos %in?rios ps e netstatK ser? a <e2 de instalar o fare"ador no host# 9leK geralmenteK instalado no diretFrio usrbin ou de( !no Solaris ,#:&K e modificado para >ue se parea com um %in?rio >ual>uer do sistema# Cuitos fare"adores so e:ecutados em modo background e produ2em um ar>ui<o de log na m?>uina local# W importante lem%rar >ue uma backdoor "? de<e ter sido instalada no psK para >ue este processo no se"a perce%ido pelo administrador# 1s fare"adores funcionam mudando a interface de rede para o c*amado Tmodo prom-scuoT# 9sta interfaceK entoK passa a TescutarT todos os pacotes >ue trafegam na rede e manda os dados para o ar>ui<o de log configurado# =uais>uer loginsK sen*as ou outros dados >ue possam ser usados para o%ter acesso a outros hosts da rede passam a ser registrados# Por estes programas estarem instalados em )thernetsK literalmente >uais>uer dados >ue trafegam na rede podem ser Tfare"adosTS tanto o tr?fego de dados >ue passa por este hostK como o tr?fego >ue sai dele pode ser Tfare"adoT# 1 cracker de<er? retornar uma semana depois e far? a transferncia do ar>ui<o de logs >ue o fare"ador produ2iu# Po caso de uma rede corporati<a ter uma %rec*a como estaK est? mais do >ue claro >ue o ele funcionar? muito %emK e dificilmente ser? detectado se uma %oa pol-tica de segurana no for implementada# Om e:celente utilit?rio usado por administradores conscientes o TripWire dispon-<el no site do C1(ST !<e"a Referncias&# 9le fa2 uma espcie de CD3 !checkSum& em seu sistema de ar>ui<o e notificar? >ual>uer mudana feita neles# Para detectar interfaces de redes prom-scuas !um sinal comum de instalao de fare"adores&K a ferramenta cpmK dispon-<el no site da C9RTK muito til# He"a o endereo *ttp:RREEE#cert#orgRftRtoolsRcpmR para maiores informa.es# !OMANDO REDES Se o cracker puder comprometer ser<idores considerados cr-ticos >ue este"am e:ecutando aplica.es como %ases de dadosK opera.es de sistemas de rede ou outras Tfun.es cr-ticasTK ele poder? facilmente TtomarT a rede por um certo per-odo de tempo# Oma tcnica cruelK mas no usual adotadas pelos crackers >ue tentam desa%ilitar as fun.es da redeK a de deletar todos os ar>ui<os dos ser<idores principaisK usando o comando rm -rf * neste ser<idor# Dependendo da pol-tica de backups do sistemaK ele poder? ficar por *oras inutili2?<elS ou at meses# /7 GRADUAO EM REDES DE COMU!ADORES Se ele o%ti<er acesso a rede internaK ele poder? a%usar das <ulnera%ilidades presentes em muitos roteadores como CiscoK 4aL e (scend# 9m alguns casos ele poder? reset?'los ou deslig?' los at >ue o administrador tome pro<idncias e os reati<e# Isto pode causar grandes pro%lemas com a funcionalidade da redeK "? >ue ele pode ter montado uma lista dos roteadores <ulner?<eis >ue e:ecutam papis fundamentais na rede !se eles forem usados em algum backbone corporati<oK por e:emplo&K ele poder?K entoK desa%ilitar a rede da corporao por algum tempo# Por este moti<oK fundamental >ue os roteadores e ser<idores de Tmisso criticaT se"am especialmente <erificadosK instalando patches e cuidando de sua segurana# /8 GRADUAO EM REDES DE COMU!ADORES CA;!U<O #( > SEGURANA EM RO!EADORES (:$ > IN!RODUO 9ste artigo tem por o%"eti<o a%ordar a configurao de listas de controle de acesso !(CI& em roteadores Cisco# InicialmenteK faremos algumas considera.es so%re o *ardEare e softEare destes roteadores# 9m seguidaK a%ordaremos os conceitos das listas de controle de acesso e sua implementao no roteador# ( segurana possui muitas facesK e uma das mais importantes a capacidade de controlar o flu:o de pacotes em uma rede com o o%"eti<o de proteg'la de fal*asK degradao dos ser<iosK rou%o ou comprometimento dos dados resultantes de uma ao intencional ou de um erro pro<ocado por usu?rios# Cas uma soluo efeti<a de segurana no de<e ser %aseada somente em recursos tcnicos# De<e'se ela%orar uma pol-tica de segurana de forma a definirem'se as diretri2es de segurana da instituio# Para tantoK e:istem padr.es internacionais com as mel*ores pr?ticas de seguranaK >ue podem au:iliar no processo de ela%orao da pol-tica# (ntes de prosseguir a leitura deste artigo analise o item 8 ' 9:emplosK mesmo >ue agora <oc no entenda tudoK pois com a <isualisao da (CI o entendimento dos conceitos torna'se mais r?pido# (:( > OS !RFS AAAs 1 controle de acesso a forma pela >ual pode'se controlar >uem tem acesso aos ser<idores da rede e >uais ser<ios pode'se utili2ar uma <e2 possuindo acesso aos mesmos# U AU!EN!ICAR ' ( autenticao o metodo de identificao dos usu?rios >ue podem utili2ar os recursos da redeS U AU!ORIEAR ' ( autori2ao o mtodo de controle de acesso remotoS U AUDI!AR ' ( auditoria o mtodo de coletar as informa.es so%re os acessosK utili2ao dos recursosK tentati<as de acesso fal*asK *or?rio de in-cio de trmino de determinadas transa.esK nmero de pacotes en<iados por protocolo entre outrasS Peste te:toK estaremos focados na (OT1RI[(\]1# Para tantoK iremos tratar dos recursos de controle de acesso >ue podem ser implementados em roteadores CiscoK em%ora os conceitos possam ser aplicados a outros elementos de controle de acesso# De<e'se ter em mente >ue um sistema efeti<o de segurana no de<e ser %aseado somente em regras nos roteadoresK de<e'se utili2ar outros elementos como: firewall+ ferramentas de IDSS 0; GRADUAO EM REDES DE COMU!ADORES hone, pots+ segurana dos e>uipamentosS preser<ao e an?lise dos registros !logs&S a pol-tica de segurana# 1 sistema operacional da Cisco !I1S ' $nternetwork %perational S,stem& fornece <?rias funcionalidades >ue podem ser utili2adas para ele<ar o n-<el de segurana de uma rede# Dentre estas funcionalidadesK est? o filtro de pacotes >ue sero estudados nos prF:imos tFpicos# (:* > COMONEN!E %=SICO DO TARD9ARE ( Cisco produ2 <?rios tipos de roteadores# 9m%ora estes produtos possuam diferenas consider?<eis >uanto ao seu poder de processamento e >uanto ao nmero de interfaces >ue suportamK eles utili2am um con"unto %?sico de *ardEare# ( @igura + mostra um es>uema genrico >ue destaca os componentes %?sicos de um roteador# 9m%ora a CPOK a >uantidade de R(C e R1CK a >uantidade e os tipos de porta de IR1 possam ser diferentes de produto para produtoK cada roteador possui os componentes referenciados na figura# CU ( CPO ou microprocessador respons?<el pela e:ecuo das instru.es >ue ati<am o roteador# 1 poder de processamento da CPO est? relacionado de forma direta com a capacidade de processamento do roteador# ROM ( R1C uma memFria apneas para leitura e contm cFdigos >ue reali2am diagnFsticos de iniciali2ao do roteador semel*ante ao P1STK !power on self-test& reali2ado por muitos PCs# (lm dissoK um progama bootstrap utili2ado para carregar o sistema operacional !1S&# MEMQRIA C<AST Trata'se de um tipo de R1C reprogram?<el# 9sta memFria pode ser utili2ada para arma2enar <?rias imagens de 1S e micro'cFdigos do roteador# 9sta funo til para testar no<as imagens# 9la tam%m pode ser utili2ada para efetuar a transferncia de uma imagem de 1S para outro roteador atra<s do T@TP !tri(al file transfer protocol&# RAM ( R(C utili2ada para arma2enar as ta%elas de roteamentoK buffer de pacotes# Tam%m utili2ada para enfileirar pacotes >uando os mesmos no podem ser en<iados para a sa-da de<ido ao grande <olume de tr?fego roteado para uma interface em comum# (lm distoK pro< espao para arma2enamento de informa.es so%re endereos (RP de forma a redu2ir o tr?fego na rede e mel*orar a capacidade de transmisso para I(Ps conectadas ao roteador# =uando o roteador desligadoK perdem'se todas as informa.es arma2enadas na R(C# N8RAM ( PHR(C !Non(olatile '"M& ao contr?rio da R(CK no perde seu contedo >uando o roteador desligado# ( PHR(C possui um backup da configurao do roteador# Desta formaK o roteador 0+ GRADUAO EM REDES DE COMU!ADORES pode retornar G operao sem a necessidade de ser reconfigurado# 1 uso da PHR(C elemina a necessidade de ter disco r-gido ou unidade de dis>uete em um roteador# OR!AS DE IVO e MSC +MEDIA>SECICIC CON8ER!ES. (s portas de entradaRsa-da ! IR1 & representam as cone:.es pelas >uais os pacotes entram e saem do roteador# Cada porta de entradaRsa-da ! IR1 & conectada a um con<ersor de m-dia espec-fico !media-specific con(erter ' CSC&K >ue fornece a interface f-sica para um tipo espec-fico de meio como uma I(P 9t*ernet ou ToBen Ring ou a uma J(P RS',/, ou H#/3# 1s dados so rece%idos atra<s de uma I(PS os ca%eal*os da camada , so remo<idos e os pacotes so en<iados para a R(C# =uando estas a.es acontecemK a CPO e:amina as ta%elas de rotas para determinar a porta de sa-da dos pacotes e o formato no >ual os mesmos de<em ser encapsulados# 9ste processo c*amado de process switchingK no >ual cada pacote de<e ser processado pela CPO >ue consulta as ta%elas de rota e determina para onde en<iar os pacotes# 1s roteadores Cisco possuem outro processo c*amado de fast switching# Pesta forma de processoK o roteador mantm um cache na memFria com informa.es so%re o destino dos pacotes IP e a prF:ima interface# 1 roteador constrFi este cache sal<ando as informa.es pre<iamente o%tidas da ta%ela de roteamento# 1 primeiro pacote para um destino espec-fico e:ecuta um processamento da CPO para consultar as ta%elas de rota# Oma <e2 >ue esta informao o%tida a mesma inserida no cache do fast switching# Desta formaK as ta%elas de roteamento no so consultadas >uando um no<o pacote en<iado para o mesmo destino# 1 roteador podeK entoK en<iar os pacotes de forma mais r?pida e conse>Ventemente redu2ir a carga de processamento da CPO# Hale resaltar >ue e:istem algumas <aria.es >uanto G forma de processamento em alguns e>uipamentos# 9:iste outra forma de cache c*amada de netflow switchingK ondeK alm de arma2enar o IP de destinoK arma2ena'se o IP de origem e as portas TCP e ODP# 9ste recurso est? dispon-<el somente em roteadorees de maior capacidade como os da fam-lia 6;;;# (:/ > O ROCESSO DE INICIA<IEAO DO RO!EADOR =uando <oc liga o roteadorK algumas rotinas de iniciali2ao so e:ecutadas !<e"a a figura ,&# InicialmenteK o roteador e:ecuta o P1ST !power-on self-test&# Durante este processoK ele e:ecuta diagnFsticos a partir da R1C para <erificar as opera.es %?sicas da CPOK a memFria e as interfaces# (pFs a <erificao das fun.es do *ardEareK no estado seguinteK o roteador reali2a a iniciali2ao do softEare# (pFs o P1STK o roteador procura o registro de configurao para determinar onde est? locali2ado a imagem do I1S# Se o roteador no encontrar uma imagem <?lida do sistema ou se a se>uncia de boot for interrompidaK o sistema entra no modo '%M monitorS caso contr?rioK o mesmo procura na PHR(C o indicador da locali2ao da imagem >ue pode estar: na R1CS em um ser<idor T@TPS 0, GRADUAO EM REDES DE COMU!ADORES na memFria flashS Oma <e2 >ue a imagem do I1S se"a encontrada e carregadaK passa'se para a prF:ima faseK >ue consiste em locali2ar e carregar o ar>ui<o de configurao# 9ste ar>ui<o possui todas as informa.es de configurao especificadas para o roteador em >uesto# 1 ar>ui<o de configurao arma2enado na PHR(CK mas <oc pode configurar o roteador para carreg?'lo a partir de um ser<idor T@TP# Caso no se"a encontrado um ar>ui<o de configurao o roteador entra no modo de setup# (pFs completar o processo de iniciali2aoK o roteador comea a operar# ( partir deste ponto <oc pode construir no<os parDmetros de configurao ou alterar os e:istentes# (pFs a iniciali2aoK tanto a imagem do I1S >uanto o ar>ui<o de configurao so arma2emados na R(CK sendo >ue a imagem do I1S arma2enado nos endereos %ai:os e o ar>ui<o de iniciali2ao no endereo altoK conforme ilustrado na @igura /# (:0 > O C<UJO DE DADOS Oma <e2 >ue o roteador sa%e >uais so os tipos de interfaces !9t*ernetK ToBen RingK @DDIK Q#,3K @rame RelaLK etc& presentesK o mesmo pode <erificar o formato dos frames >ue c*egam e montar de sa-da# (lm dissoK o roteador pode <erificar a integridade dos dados >ue c*egamK pois como o mesmo con*ece o tipo de interfaceK pode calcular o c,clic redundanc, check !CRC&# Da mesma formaK ele pode calcular o CRC dos frames de sa-da# Caso as ta%elas de roteamento possuam apenas rotas est?ticasK estas no sero trocadas com outros roteadores# 1 cache (RP representa uma ?rea da memFria onde so arma2enadas as rela.es entre o endereco IP e seu endereo f-sico !o endereo C(C da camada ,&# 1s dados >ue so rece%idos ou preparados para transmisso podem entrar em filas de prioridadesK onde o tr?fego de %ai:a prioridade atrasado em fa<or do processamento do tr?fego de alta prioridade# Se o modelo do roteador suportar priori2ao de tr?fegoK certos parDmetros de configurao podem ser informados ao roteador para indicar como reali2ar esta priori2ao# (s informa.es so%re o flu:o dos dados como locali2ao e status dos pacotes so arma2enadas na hold -ueue# (s entradas das ta%elas de roteamento informam a interface de destino para o >ual determinados pacotes de<em ser roteados# Se o destino for uma I(P e for necess?ria a resoluo de endereoK o roteador procra o endereo C(C inicialmente no cache (RP# Caso o endereo no se"a encontrado neste localK o roteador monta um pacote (RP para desco%rir o endereo C(C# Oma <e2 >ue o endereo de destino e o mtodo de encapsulamento so determinadosK os pacotes so en<iados para a porta da interface# Dependendo do <olume de tr?fegoK no<amenteK o pacote pode entrar em uma fila de prioridadeK hardware bufferK at >ue possa ser en<iado# ( @igura 0 ilustra o >ue foi dito acima# 0/ GRADUAO EM REDES DE COMU!ADORES (:4 > CON!RO<E DO !R=CEGO COM AC< Oma lista de controle de acesso ! (CI & uma lista de regras ordenadas >ue permitem ou %lo>ueiam o tr?fego de pacotes %aseado em certas informa.es presentes nestes# Hamos analisar esta frase de forma mais detal*ada: U)a lista de controle de acesso + AC< . S u)a lista de re'ras ordenadas ' isso significa >ue a ordem de criao das regras na lista de acesso muito importante# Om dos erros mais comuns durante a criao de listas de acesso a configurao das regras em ordem incorreta# Wue per)ite) ou ?loWueia) o tr&@e'o de pacotes ' antes de mais nada importante sa%ermos >ueK no final da lista de acessoK e:iste uma regra impl-cita >ue %lo>ueia tudo# Om pacote >ue no e:plicitamente permitido ser? %lo>ueado pela regra >ue %lo>ueia tudo# 1utro erro comum durante a criao de uma lista de controle de acesso o es>uecimento deste fato# ?aseado e) certas in@or)aAes presentes Xnos pacotesX ' geralmenteK so informa.es presentes nos ca%eal*os dos pacotes da camada / ou da camada 0# @ora algumas e:ce.esK listas de controle de acesso no podem usar informa.es de camadas superior a 0 com o o%"eti<o de filtragem# Por e:emplo: uma lista de controle de acesso no possui a capacidade de filtrar comandos espec-ficos de @TP# Pa <erdadeK e:iste uma forma de fa2er issoK usando o Context- .ased "ccess Control !C4(C&K >ue possui a capacidade de filtrar pacotes %aseado nas informa.es das aplica.es con*ecidas# CasK este um assunto para ser tratado em um outro artigo# (lm do controle de acessoK as (CIs podem ser utili2adas para outras fun.es como: Disca'e) so? de)anda ' listas de controle de acesso so utili2adas para definir >ue pacotes so permitidos para a ocorrncia de uma cone:o discada !DDR ' #ial-on-#emand 'outing&S En@ileira)ento ' listas de acesso podem controlar >ue tipo de pacotes sero alocados em certos tipos de filasK por e:emploK para o controle de prioridadeS Ciltros de atualiIao de rotea)ento ' (CIs tam podem controlar a troca de informao entre roteadoresS Acesso ao roteador ' lista de acesso pode controlar o acesso telnet ou SPCP ao roteador# Pote >ue estas fun.es so diferentes do controle de flu:o de pacotes atra<s do roteador# Iistas de acesso podem ser configuradas para todos os tipos de protocolos rote?<eis como: IPK (ppleTalB entre outros# Peste te:toK nosso foco o protocolo TCPRIP# (:6 > COMO CUNCIONA A AC< 00 GRADUAO EM REDES DE COMU!ADORES (:6:$ > O C<UJO DOS ACO!ES A!RA8LS DAS <IS!AS DE ACESSO 1 processo tem in-cio >uando uma interface rece%e um pacote# 1 roteador <erifica a ta%ela de roteamento G procura de uma rota para o pacote# Caso no ten*a uma rotaK este pacote ser? descartado e ser? en<iada para a origem uma mensagem de ICCP !unreachable destination&# Caso contr?rioK <erifica'se se e:iste uma lista de controle de acesso aplicada G interface# Po e:istindoK o pacote en<iado para o buffer da porta de sa-da# 9:istindoK o pacote analisado pela lista de controle de acesso da interface em >uesto# Oma <e2 >ue o flu:o de dados atra<s da uma determinada interface %idirecionalK uma (CI pode ser aplicada em uma direo especifica da interface: 9ntrada ! inbound & ' <erifica se o processamento do pacote de<e continuar apFs o seu rece%imento em uma determinada interfaceS Sa-da ! outbound & ' <erifica se o pacote de<e ser en<iado para uma interface de sa-da ou %lo>ueado# Hale notar >ue os pacotes gerados pelo roteador especificamente para troca de ta%elas de roteamento no so afetados pelas regras aplicadas a uma interface no sentido outbound# ( nica forma de controlar os pacotes gerados pelo roteador como atuali2aoo de ta%ela atra<s de (CI de inbound# ( lista de acesso conferida em ordem se>VencialK ou se"aK o pacote testado a partir da primeira regra# (ssimK se o pacote en>uadrar'se em alguma regraK <erificada a condio do mesmo ' se permitido ou %lo>ueado# Caso o pacote no se en>uadre em nen*uma das regrasK o mesmo ser? %lo>ueado pela ltima regraK a >ual impl-cita e %lo>ueia tudo >ue no est? e:plicitamente permitidoK conforme "? dito anteriormente# Isto pode ser <isto atra<s da @igura 6# (:6:( > !IOS DE <IS!A DE ACESSO 1s dois principais tipos de listas de acesso so: adro + standard . ' ( lista de acesso padro <erifica o IP de origem de um pacote >ue pode ser roteado# 4aseado na redeRsu%'redeRendereo do hostsK permitido ou %lo>ueado o en<io do pacoteK ou se"aK >ue o mesmo saia por outra interface# Estendida + extended . ' ( lista de acesso estendida possui maior recursos de <erificao# Com elaK pode'se analisar o IP de origemK o IP de destinoK a porta de origemK a porta de destinoK os protocolos e alguns outros parDmetrosK de forma a permitir ao administrador de segurana uma maior fle:i%ilidade na ela%orao das regras# (:6:* > IDEN!ICICANDO AS <IS!AS DE ACESSO (o se configurar listas de acesso em um roteadorK de<e'se identificar cada lista de forma nica# 9m alguns protocolosK as listas de acesso de<em ser identificadas por nomeS "? em outrosK de<em ser identificadas por nmeroS e alguns protocolos permitem a identificao por nome ou 03 GRADUAO EM REDES DE COMU!ADORES nmero# =uando utili2amos nmeros para identificar as listas de acessoK estes de<em pertencer a um con"unto de nmeros >ue TidentificamT o protocolo# ( partir do I1S ++#,K permitida a identificao da lista de acesso utili2ando'se nomes definidos pelo administrador# Isso para listas de acesso padro ou estendidas# 4aseado no identificadorK o roteador decide >ual softEare de controle de acesso de<e ser utili2ado# (:6:/ > IM<EMEN!ANDO A AC< @inalmente c*egada a *ora da implementao# InicialmenteK ser? a%ordado um tFpico >ue com fre>Vncia causa confuso ao se tratar de listas de controle de acesso: as m?scaras de wildcards# (:5 > O CUNCIONAMEN!O DO 9I<CARD EM RO!EADORES CISCO ( filtragem de endereo ocorre com a utili2ao de m?scaras wildcard para identificar o >ue permitido ou %lo>ueado nos %its do IP# (s m?scaras wildcard para os %its de endereo IP utili2am o nmero + e o nmero ; para a identificao do >ue de<e ser filtrado# 1 <alor ; significa >ue o %it de<e ser c*ecadoS 1 <alor + significa >ue o %it de<e ser ignoradoS L i)portante o?ser1ar Wue estes ?its NO possue) relao co) as )&scaras de I# ( m?scara de su%'rede utili2ada para determinar >uantos %its de um IP representam uma poro da su%'redeK ou se"aK esta m?scara determina >uais %its so importantes para definir uma su%' rede# Om %in?rio setado em + indica >ue o %it do endereo IP parte de uma su%'redeS "? o %in?rio setado com ; indica >ue o %it do endereo IP fa2 parte da poro host# Po e:emplo a seguirK <amos <erificar como as m?scaras de %its !;a+& %lo>ueiam ou permitem o tr?fego de pacotes %aseado no endereo IP# Teste de condio de uma lista de controle de acesso com protocolo IP: um administrador dese"a testar um endereo IP por su%'rede !+6,#/;#+5#; at +6,#/;#/+#;&# 1s dois primeiros octetos correspondem a parte rede !+6,#/;&# 1 terceiro octeto corresponde G su%'rede !+5 at /+&K e o >uarto corresponde ao host# 1 administrador dese"a usar as m?scaras wildcard para <erificar as su%'redes +6,#/;#+5#; at +6,#/;#/+#;# Isso feito da seguinte forma: InicialmenteK a m?scara <erifica os dois primeiros octetos +6,#/;# Para isso usa ;s !2eros& nos %its do wildcardS Como no e:iste interesse em filtar a parte *ost o >uarto octeto ser? ignoradoK para isso os %its de<em ser setados para +S Po terceiro octetoK onde est? locali2ada a su%'redeK a m?scara ir? <erificar a posio correspondente ao %in?rio +5K ou se"a este %it de<e estar com ; %em como os %its superioresK "? 05 GRADUAO EM REDES DE COMU!ADORES os %its a%ai:o do %in?rio +5 de<em ser ignoradosK para >ue isso ocorra de<em ser setados com +s# (ssim temos: 1 resultado final : Para o endereo: +6,#/;#+5#; Com a m?scara: ;#;#+3#,33 Sero <erificadas as su%'redes: +6,#/;#+5#; a +6,#/;#/+#; 9:istem algumas a%re<ia.es >ue facilitam a utili2ao dos wildcard# Hamos considerar uma rede onde o administrador permite a entrada de >ual>uer endereo IPK ou se"aK >ual>uer destino para sua rede permitido# Para indicar >ual>uer endereo IPK o administrador de<e informar ;#;#;#;# (goraK para indicar >ue a lista de controle de acessoK de<e ignorar a <erificao de >ual>uer %it a m?scara de<e ser setada com +sK ignorar a <erificao de >ual>uer %it significa aceitar todosK o resultado final ser?: 9ndereo IP: ;#;#;#; C?scara: ,33#,33#,33#,33 Resultado: permiteRaceita >ual>uer endereo Peste casoK a m?scara ,33#,33#,33#,33 pode ser su%stitu-da pela pala<ra !a%re<iao& an3# 1utra possi%ilidade >uando o administrador dese"a criar uma regra >ue <erifi>ue um endereo IP espec-ficoS dado o IP +6,#/;#+#,8K dese"a'se >ue a regra criada <erifi>ue todo o endereoK para >ue isso ocorra todo os %its de<em ser setados com ;sK desta forma teremos: 9ndereo IP: +6,#/;#+#,8 C?scara: ;#;#;#; Resultado: <erificao do endereo espec-fico# Peste caso a m?scara ;#;#;#; pode ser su%stitu-da pela pala<ra !a%re<iao& Gost# ( utili2ao de m?scara incorreta pode le<ar G implementao de listas de acesso com fal*asK como no e:emplo a seguir: Hamos supor >ue dese"amos permitir todos os pacotes IP originados na su%'rede +;#+;#;#; !m?scara ,33#,33#;#;& com destino ao host +5;#+;#,#+;;# Todos os demais pacotes de<em ser %lo>ueados# Caso no entenda os comandosK eles sero e:plicados no prF:imo tFpico# a%soluta!config&b access'list +;+ permit ip +;#+;#;#; ;#;#;#; +5;#+;#,#+;; ;#;#;#; a%soluta!config&b e:it a%soluta!config&b s*oE access'list +;+ 9:tended IP access list +;+ permit ip *ost +;#+;#;#; *ost +5;#+;#,#+;; Pode'se notar >ue foi criada uma lista de acesso usando a m?scara ;#;#;#;# =uando usamos o comando Ts*oE access listT o roteador e:i%e uma entrada com T*ostT# Isso significa >ue o endereo de origem de<e ser e:atamente +;#+;#;#;K ou se"aK somente ser? permitido o tr?fego de pacotes com endereo IP de origem +;#+;#;#; e destino +5;#+;#,#+;;# Todos os demais endereos sero %lo>ueadosK inclusi<e +;#+;#+#+K +;#+;#+#,K etc# Po isso >ue >ueremos# 1 nosso o%"eti<o permitir o tr?fego de todos as m?>uinas da su%'rede +;#+;#;#;R+5# 06 GRADUAO EM REDES DE COMU!ADORES Tendo por %ase o e:emplo acimaK de<e'se criar uma m?scara >ue <erifi>ue os dois primeiros octetos T+;#+;T e ignore os dois ltimos T;#;T# Iem%re'se >ue %in?rio ; significa <erificar e %in?rio + significa ignorarK %aseado nesta informaoK <amos no<amente criar a lista de controle de acesso: a%soluta!config&b access'list +;+ permit ip +;#+;#;#; ;#;#,33#,33 +5;#+;#,#+;; ;#;#;#; a%soluta!config&b e:it a%soluta!config&b s*oE access'list +;+ 9:tended IP access list +;+ permit ip +;#+;#;#; ;#;#,33#,33 *ost +5;#+;#,#+;; (goraK o comando Ts*oE access'listT mostra a no<a m?scaraK desta <e2 de forma correta# 1s dois ltimos octetos contm todos os %its setados para +K o >ue e>ui<ale ao decimal ,33# 9:isteK contudoK uma forma mais pr?tica de determinar a m?scara a ser utili2ada: tudo >ue <oc tem a fa2er su%trair a m?scara de su%'rede em formato decimal de ,33# Isso para cada um dos octetos# He"amos um e:emplo: m?scara de rede: ,33#,33#,,0#; m?scara wildcard: NNN#NNN#NNN#NNN pimeiro octeto c ,33 ' m?scara de rede c ,33 ' ,33 c ; segundo octeto c ,33 ' m?scara de rede c ,33 ' ,33 c ; terceiro octeto c ,33 ' m?scara de rede c ,33 ' ,,0 c /+ >uarto octeto c ,33 ' m?scara de rede c ,33 ' ; c ,33 m?scara wildcard: ;#;#/+#,33 9sta a forma r?pida e f?cil de determinar as m?scaras wildcard# Cas o importante entender por Wue isso funciona e no simplesmente co)o funciona# (:7 > CRIANDO <IS!AS DE ACESSO Como dito anteriormenteK neste artigoK tratamos das listas padro e estendidas# Desta formaK <amos passar para a sinta:e deste tipo de listas# (:7:$ > ADRO ( sinta:e de uma lista de acesso padro a seguinte: access'list nmero de lista permit a denL origem m?scara de Eilcard Iem%re'se >ueK para listas de controle de acesso padroK a fai:a de numerao utili2ada inicia'se em + e <ai at 88# ( partir do modelo apresentado na @igura 8K <amos montar alguns e:emplos de lista de controle de acesso: E2e)plo $: permitir somente a entrada de pacotes com origem na rede +6,#+5#;#;: access>list $ per)it $6(:$4:#:# #:#:(00 07 GRADUAO EM REDES DE COMU!ADORES E2e)plo (: %lo>uear uma m?>uina espec-fica com origem na rede +6,#+5#;#;: access>list $ den3 $6(:$4:$:*# (00:(00:(00 E2e)plo *: %lo>uear uma determinada su%'rede: access>list $ den3 $6(:$4:$:# #:#:#:(00 (:$# > ES!ENDIDA ( sinta:e de uma lista de acesso estendida a seguinte: access'list nmero da lista !permit a denL& origem dm?scara Eilcarde destino mascara Eilcard doperadorese esta%ilis*er Para as listas de controle de acesso estendidaK a fai:a de numerao utili2ada para referncia inicia'se em +;; e <ai at +88# 1s protocolos pass-<eis de filtragem no caso de TCPRIPK so: IPS TCPS ODPS ICCPS GR9S IGRP# 1s operadores so: lt !less than& ' menor >ue gt !greater than& ' maior >ue e> !e-ual& ' igual ne> !not e-ual& ' diferente (inda tomando como %ase o modelo apresentado na @igura 8K so e:emplos de listas de controle estendidas: E2e)plo $: %lo>uear @TP para a interface 9TM;: access'list +;+ denL tcp +6,#+5#+#; ;#;#;#,33 +8,#+57#;#; ;#;#,33#,33 e> ,+ access'list +;+ denL tcp +6,#+5#+#; ;#;#;#,33 +8,#+57#;#; ;#;#,33#,33 e> ,; E2e)plo (: %lo>uear tentati<as de telnet para fora da rede +8,#+57#+#; e permitir os demais tr?fegos: access'list +;+ denL tcp +8,#+57#+#; ;#;#;#,33 anL e> ,/ access'list +;+ permit ip anL anL (:$$ > DESEMENTO 08 GRADUAO EM REDES DE COMU!ADORES Geralmente o desempen*o do roteador uma das principais preocupa.es dos administradores de rede >uando se fala em implementao de listas de controle de acesso no mesmo# Sa%emos >ue as regras da lista de controle de acesso so analisadas se>Vencialmente at >ue se"a encontrada uma regraK >ue coincida com o pacote analisadoK ou >ue se c*egue G ltima regra >ue %lo>ueia tudo >ue no est? permitido# Desta formaK de<emos o%ser<ar alguns procedimentos >ue de<em ser adotados no sentido de minimi2ar o impacto >ue as listas de controle de acesso possam causar: Censurar os recursos do roteador !memFriaK processadorK outros&S (<aliar os ser<ios *a%ilitados no roteador !criptografiaK outros&S 9ntender o tr?fego da redeS Censurar o <olume de pacotesS Classificar o <olume de tr?fego por ser<idorK protocolo e sentido do tr?fegoS ( an?lise destas informa.es de <ital importDncia para a implementao das regras de forma a minimi2ar os poss-<eis impactos >ue possam <ir a ocorrer no roteador# Oma sugesto de estratgia de implementao com ateno ao impacto : Sempre >ue poss-<elK aplicar as listas de controle de acesso no sentido de entrada !in&K pois desta forma os pacotes sero descartados antes de serem roteados para uma das interfaces de sa-daK conse>VentementeK minimi2ando o processamento de roteamento de pacotesS Implementar inicialmente as regras >ue contemplam o maior <olume de transa.es da sua redeK agrupada por ser<idorRser<iosS Como a pil*a IP inclui ICCPK TCP e ODP# Sempre insira primeiro as regras mais espec-ficasK para depois colocar as mais genricasS (pFs a implementao da lista por grupo de ser<idorRser<io insira uma regra >ue %lo>ueia todos os demais pacotes do grupo# Isso e<ita >ue o pacote passe pelo cri<o de outros grupos ao >ual no pertence# (:$( > MAN!ENDO %ACNU DOS ARKUI8OS DE CONCIGURAO ( manuteno de cFpias de segurana dos ar>ui<os de configurao e do I1S de fundamental importDnciaK poisK e<entualmenteK de<ido a fal*as de corrente eltricaK estes ar>ui<os pode ser danificados ou apagados da memFria flash# (lm dissoK a manuteno de backup dos ar>ui<os facilita a administrao de redes com <?rios roteadores# 1 admistrador de rede possui <?rias possi%ilidades de reali2ao de cFpias de seguranaK uma delas o T@TP# 1 ideal e:istir uma rede segregada dedicada para a funo de gerncia de redeK onde se inclui a gerncia da segurana# 9sta de<e estar isolada da rede de dados e pro<er canais de comunicao out-of-band# Po caso de necessidade de utili2ao dos canais de dados para fun.es de gernciaK recomend?<el a utili2ao de canais seguros# 3; GRADUAO EM REDES DE COMU!ADORES De >ual>uer formaK como o ser<io T@TP no re>uer autenticaoK e:tremamente recomend?<el a implementao de algum mecanismo >ue controle a origem das cone:.es ao ser<idor T@TP# 1s comandos T@TP para reali2ar cFpia de segurana e atuali2ao de ar>ui<os so: cop3 t@tp runnin'>con@i' ' Configura o roteador de forma diretaK copiando os ar>ui<os do ser<idor T@TP para a DR(C do roteador# cop3 startup>con@i' t@tp ' Reali2a o backup dos ar>ui<os de iniciali2ao da PHR(C para o ser<idor T@TP# cop3 t@tp startup>con@i' ' (tuali2a o ar>ui<o de iniciali2aoK copiando do ser<idor T@TP e gra<ando na PHR(C# 3+ GRADUAO EM REDES DE COMU!ADORES 3, GRADUAO EM REDES DE COMU!ADORES 3/ GRADUAO EM REDES DE COMU!ADORES CA;!U<O #* > NA! +NE!9ORN ADDRESS !RANS<A!OR. *:$ > IN!RODUO P(T !Net,or- Address !ranslator& um tradutor de endereos de rede >ue <isa minimi2ar a escasse2 dos endereos IPK pois o crescimento da Internet tem sido grande eK para >ue uma m?>uina ten*a acesso G redeK preciso ter um endereo IP <?lido# 1 P(T uma das solu.es >ue e:istem para a economia de endereos IP#
Para o tradutor funcionarK preciso usar endereos IP pri<adosK note >ueK tais endereos sF podem ser utili2ados em redes corporati<asK poisK no so propagados pela Internet# ( traduo pode ocorrer de forma est?ticaK onde se esta%elece uma relao entre endereos locais e endereos da Internet ou dinDmicaK onde o mapeamento de endereos locais e endereos da Internet feito conforme a necessidade de uso# (s tradu.es est?ticasK so teis >uando disponi%ili2amos ser<ios na rede internaK como e:emploK um site Je%# Pesse >uadroK >uando o pedido de cone:o c*ega ao roteadorK o P(T consulta a ta%ela de endereos e transcre<e para o IP interno correspondenteK permitindo assimK >ue se"a poss-<el fa2er uma cone:o no sentido da Internet para a rede interna# J? as tradu.es dinDmicasK so teis >uandoK se pretende dar acesso aos computadores no sentido da rede corporati<a para InternetK e ela funciona da seguinte maneiraK o computador da rede corporati<a fa2 uma re>uisio >ue passa pelo roteador e eleK aloca em sua ta%elaK o endereo da m?>uina interna >ue re>uisitou a informao e o endereo Internet configurado no roteador !esse endereo pode ser nico ou uma fai:a de endereos&K e >uando os dados retornam da InternetK o P(T consulta a ta%ela de tradu.es e responde a m?>uina >ue fe2 a re>uisio# 30 GRADUAO EM REDES DE COMU!ADORES NotaH 1 P(T a%ordado neste artigoK do tipo >ue utili2ado em roteadoresK masK ele tam%m aplicado nos @ireEalls e nos Pro:ies# (lm de fa2er economia de endereos IPK ele o respons?<el por manter a rede interna transparente# 1s 9ndereos IP reser<ados esto definidos na R@C +8+7 e suas fai:as so: +;#;#;#; at +;#,33#,33#,33K +6,#+5#;#; at +6,#/+#,33#,33 e +8,#+57#;#; at +8,#+57#,33#,33# 1 P(T est? definido na R@C +5/+# 33 GRADUAO EM REDES DE COMU!ADORES CA;!U<O #/ IN!RODUO A CIRE9A<<S /:$ > IN!RODUO A NECESSIDADE DE SEGURANA Segurana tem tornado'se uma das principais preocupa.es de todas as organi2a.es >ue decidem conectar suas redes pri<adas G Internet# Om nmero cada <e2 maior de usu?rios demanda acesso a ser<ios da InternetK como a na<egao pelas p?ginas da World Wide Web !WWW&K correio eletrZnico !e-mail&K Telnet e /TP !/ile Transfer Protocol&# Por outro ladoK mais e mais organi2a.es decidem a%rir parte de suas redes internas ao p%lico e:ternoK oferecendo o acesso a p?ginas corporati<as e a ser<idores de ar>ui<os /TP# 1s administradores de redesK por tudo issoK passam a ter crescentes preocupa.es a respeito da segurana de suas redes corporati<asK >uanto G in<aso por parte de agentes e:ternos !como crackers&# 9stat-sticas apontam pre"u-2os de mais de 3 %il*.es de dFlares no per-odo de +886' +888K de<idos a ata>ues de hackers e gangues ci%ernticas# PaturalmenteK o passo seguinte a definio de uma pol-tica de segurana para a organi2aoK >ue permita e<itar >ue usu?rios no autori2ados ten*am acesso a recursos pri<ati<os das redes internas e permita proteger os dados internos contra uma poss-<el e:portaoK tam%m no autori2ada# /:( > CIRE9A<<S Om firewall um sistema ou grupo de sistemas >ue refora uma pol-tica de segurana de dados e:istente entre uma organi2ao e e<entuais usu?rios situados fora destaK em particular na InternetK criando uma %arreira inteligente atra<s da >ual sF passa o tr?fego autori2ado# ( Tsoluo certaT para a construo de um firewall raramente constitu-da de uma nica tcnica# WK ao contr?rioK um con"unto %alanceado de diferentes tcnicas para resol<er diferentes pro%lemas# 1s pro%lemas >ue de<em ser resol<idos dependem de >uais ser<ios a organi2ao pretende tornar dispon-<eis e de >ue riscos esta considera aceit?<eis# Por outro ladoK as tcnicas a serem empregadas para a soluo destes pro%lemas dependem do tempoK recursos financeiros e con*ecimento tcnico dispon-<eis na organi2ao# 1 o%"eti<o de >ual>uer firewall criar um per-metro de defesa pro"etado para proteger os recursos internos de uma organi2ao# Para talK de<e atender a alguns re>uisitos: De<e ser parte integrante da pol-tica glo%al de segurana da organi2aoK de modo a e<itar ser contornado facilmente por meios dispon-<eis a >ual>uer dos usu?rios internosS Todo o tr?fego de dados para dentro ou para fora da rede corporati<a de<e passar o%rigatoriamente pelo firewallK para poder ser inspecionadoS De<e permitir apenas a passagem do tr?fego especificamento autori2ado !pol-tica conser<adora ' To >ue no for e:pressamente permitido proi%idoT&K %lo>ueando imediatamente >ual>uer outroS De<e ser imune G penetraoK uma <e2 >ue no pode oferecer nen*uma proteo ao per-metro interno uma <e2 >ue um atacante consiga atra<ess?'lo ou contorn?'lo# /:* > %ENEC;CIOS DO USO DE UM CIRE9A<< 35 GRADUAO EM REDES DE COMU!ADORES /:/ > A %ARREIRA DE UM CIRE9A<< Om firewallK como se pode <er na figura + a seguirK age como uma %arreira >ue controla o tr?fego entre duas redes# 1 mais seguro de todos os tipos de firewall seria a>uele >ue %lo>ueasse todo o tr?fego com o mundo e:teriorK mas isto derru%aria o propFsito de fa2er cone:.es com redes e:ternas# ( degrau seguinte na escala seria permitir tr?fego com o mundo e:teriorK mas manter se<ero controle so%re eleK de modo seguro# (ssimK o firewall pode ser encarado como um par de mecanismos: um e:iste para %lo>uear tr?fego e o outro e:iste para permit-'lo# ( definio do e>uil-%rio entre estas duas pol-ticas ser? sempre %aseada numa pol-tica glo%al de segurana da organi2ao# /igura 0 - 1m firewall t2pico Como o firewall gerencia todo e >ual>uer acesso entre a rede interna e a InternetK sem ele cada componente do sistema na rede interna estaria e:posto a ata>ues e:ternos eK portantoK de<eria possuir capacidades de segurana acentuadas# (lm dissoK o n-<el de segurana geral da rede interna seria delimitadoK por %ai:oK pelo elemento mais TfracoT desta rede# ( e:istncia do firewall permite ao administrador da rede definir um ponto de controle nicoK atra<s do >ual pode impedir acessos no autori2adosK proi%ir >ue ser<ios e dados potencialmente <ulner?<eis saiam da rede interna e fornecer proteo contra di<ersos tipos de ata>uesK pela concentrao de esforos e tecnologias de forma consolidada neste nico ponto#
/:0 > OU!ROS %ENEC;CIOS 1utra <antagem do uso de um firewall a possi%ilidade de monitorao centrali2ada e gerao de alarmes de in<aso# De modo geralK pode'se di2er >ueK para uma organi2ao >ue mantm cone:.es permanentes com a InternetK a >uesto no se os ata>ues ocorreroK mas sim >uando ocorrero# (dministradores de rede de<em dispor de ferramentas ade>uadas para gerar relatFrios de segurana e <erificar o estado de suas defesas# Se o administrador de rede no ti<er 36 GRADUAO EM REDES DE COMU!ADORES meios de sa%er >ue *ou<e uma tentati<a de in<aso e se foi ou no %em sucedidaK no precisaria ter um firewall# Om outro %enef-cio do uso de firewalls >ue estes tornam'se os locais ideais para a colocao de Tradutores de 9ndereos de Rede !N"T - Network "ddress Translators&K essenciais para ali<iar a crescente escasse2 de endereos IP registrados# (ssimK a organi2ao necessita ter apenas um endereo IP con*ecido e fornecido por um ISP !$nternet Ser(ice Pro(ider&K sendo os demais criados internamente e geridos pelo N"T# /:4 > <IMI!ADES NO USO DE UM CIRE9A<< Om firewall no pode proteger uma rede interna de ata>ues >ue no passem por ele# Se o uso de canais de discagem por parte dos usu?rios da rede for irrestritoK usu?rios internos podero reali2ar cone:.es diretas dos tipos PPP !Point-toPoint Protocol& ou SIIP !Serial 3ine $nternet Protocol&K >ue contornam as %arreiras de segurana do firewall e oferecem significati<o risco de ata>ues por tr?s# 1utra proteo >ue o firewall no pode pro<er contra usu?rios internos agindo de m? f ou por ignorDncia# Osu?rios podem remo<er dados confidenciais por meio de dis>uetesK cart.es de notebooksK ou serem <-timas de hackers fa2endo'se passar por administradores de sistemas e solicitando >ue re<elem uma sen*aK por e:emplo# 1 mesmo se pode di2er >uanto G proliferao de <-rus de computador: as organi2a.es de<em dispor de softwares anti'<-rus em toda a rede internaK para sua proteo# Oma outra forma de ata>ue contra a >ual os firewalls no so totalmente efica2es so ata>ues acionados por dados# Pestes casosK dados aparentemente inofensi<os so introdu2idos no interior da rede internaK se"a atra<s de e-mailK se"a por cFpia de ar>ui<os# Peste casoK a e:ecuo de um programa determinado pode disparar altera.es significati<as em ar>ui<os relacionados G segurana do sistemaK tornando'o <ulner?<el# /:6 > DECISDES %=SICAS DE ROOE!O ARA CIRE9A<<S Po pro"eto de firewalls para proteo de redes corporati<as durante cone:.es G InternetK algumas >uest.es de<em ser a%ordadas pelo administrador de sistemas: ( orientao do firewall >uanto G passagem de dadosS ( pol-tica glo%al de segurana da organi2aoS 1 custo da soluo escol*idaS 1s %locos componentes do sistema firewall# ( orientao do firewall >uanto G passagem de recursos pode ser resumida a duas posi.es diametralmente opostas: !udo o Wue no @or especi@ica)ente per)itido S proi?ido ' posio >ue determina >ue o firewall de<e %lo>uear todo e >ual>uer tr?fego e >ue cada ser<io ou aplicao dese"ada de<e ser implementada caso'a'caso# 9sta a%ordagem K sem d<idaK a mais segura e recomendada# Sua des<antagem dar G >uesto da segurana maior peso >ue G >uesto da facilidade de uso# 37 GRADUAO EM REDES DE COMU!ADORES !udo o Wue no @or especi@ica)ente proi?ido S per)itido ' posio >ue determina >ue o firewall de<e permitir a passagem de todo e >ual>uer tr?fegoK e >ue ser<ios ou aplica.es potencialmente perigosas de<em ser desa%ilitadas caso'a'caso# 9sta a%ordagem cria um am%iente mais fle:-<elK oferecendo mais ser<ios aos usu?riosK mas sua des<antagem colocar a facilidade de uso num patamar de importDncia maior >ue a segurana# Como "? discutimos antesK o firewall parte integrante de uma determinada pol-tica de segurana da organi2aoK fator >ue define os parDmetros e os re>uisitos do >ue denominamos defesa do per2metro# Por outro ladoK o terceiro fator >ue determinar? >ual a soluo tcnica a ser adotada K sem d<idaK o custo# 9ste determinar? >ual a comple:idade e a a%rangncia da proteo a ser oferecida# Ie<ando'se em conta os trs fatores acimaK uma organi2ao pode definir os itens integrantes do sistema firewall# Om sistema t-pico poder? conter um ou mais dos seguintes %locos componentes: Roteador com filtragem de pacotesS 4atewa, em n-<el de aplicao !ou ser<idor prox,&S 4atewa, em n-<el de circuito# /:5 > COMONEN!ES !;ICOS DE ARKUI!E!URAS DE CIRE9A<<S ConceitualmenteK podemos di<idir os firewalls em >uatro grandes categorias: Roteadores com filtragem de pacotesS 4atewa,s de circuitoS 4atewa,s de aplicaoS /irewalls com inspeo de estado multi'camada# (s aplica.es de firewall a%rangem desde a camada de rede !camada / no modelo 1SIK ou camada IPK no modelo TCPRIP& at a camada de aplicao !camada 6 no modelo 1SIK ou camada 3 no modelo TCPRIP&# /irewalls >ue operam no n-<el da rede geralmente %aseiam suas decis.es nos endereos de origem e destino e nas portas contidas em pacotes IP indi<iduais# Om roteador simples a forma mais t-pica de um firewall operando no n-<el da rede# Om roteador no capa2 de decis.es sofisticadas so%re o contedo ou a origem de um pacote# Por outro ladoK este tipo de firewall %astante r?pido e transparente para os usu?rios# Po outro e:tremoK firewalls >ue atuam no n-<el da aplicaoK so geralmente computadores e:ecutando ser<idores prox,K >ue no permitem fisicamente a e:istncia de tr?fego entre redesK e >ue efetuam ela%oradas opera.es de <erificao nos dados >ue por eles trafegam# (lm dissoK firewalls deste tipo so e:celentes tam%m como tradutores de endereos de rede !N"T&K "? >ue o tr?fego TentraT por um lado e TsaiT por outroK depois de passar por uma aplicao >ue efeti<amente mascara a origem da cone:o inicial# 9ste tipo de firewall certamente menos transparente para os usu?rios e pode at causar alguma degradao no desempen*o#
/:7 > RO!EADORES COM CI<!RAGEM DE ACO!ES 38 GRADUAO EM REDES DE COMU!ADORES 1 roteamento em sistemas com filtragem de pacotes entre computadores internos e e:ternos G rede corporati<a feito de forma seleti<a# Om roteador um dispositi<o >ue rece%e pacotes de uma rede e os en<ia a outra rede# Om roteador com filtragem de pacotesK con*ecido como screening router !ou roteador e:aminador&K por outro ladoK toma uma deciso do tipo aceitaRrecusa para cada pacote >ue rece%e# Para talK e:amina cada datagrama para determinar se atende a alguma de suas regras de filtragem de pacotes# 9stas regras %aseiam'se na informao contida nos ca%eal*os dos pacotesK >ue consiste nos seguintes itens: 9ndereo IP da origemS 9ndereo IP do destinoS Protocolo encapsulado !TCPK ODPK ICCP ou IP Tnel&S ( porta de origem TCPRODPS ( porta de destino TCPRODPS 1 tipo de mensagem ICCP# Se *ou<er coincidncia nas informa.es e a regra permitir a entrada do pacoteK este encamin*ado de acordo com a informao da ta%ela de roteamento# SeK por outro ladoK *ou<er coincidncia mas a regra e:igir a re"eio do pacoteK este descartado# Se no *ou<er coincidnciaK um parDmetro padro determinar? se *a<er? re"eio ou aceitao do pacote# (lgumas regras t-picas de filtragem so: Permitir entrada de sess.es Telnet somente para determinada lista de computadores internosS Permitir entrada de sess.es @TP somente para determinada lista de computadores internosS Permitir sa-da de todas as sess.es TelnetS Permitir sa-da de todas as sess.es @TPS Re"eitar todas as cone:.es de sistemas e:ternos G rede corporati<aK e:ceto para cone:.es SCTP !para a recepo de e-mail&S Re"eitar todo tr?fego de entrada e sa-da oriundo de determinadas redes e:ternas# Para entendermos como funciona a filtragem de pacotesK precisamos atentar para a diferena entre um roteador comum e um screening router# Om roteador comum simplesmente o%ser<a o endereo de destino de cada pacote e decide >ual o mel*or camin*o para en<iar o pacote ao seu destino# 9ntoK a deciso de como tratar o pacote %aseada somente no endereo de destino# 9:istemK entoK duas possi%ilidades: ou o roteador sa%e como en<iar o pacote ao seu destinoK e o fa2K ou no sa%eK e retorna'o G origemK com uma mensagem ICCP de Tdestino inalcan?<elT# Om screening routerK por outro ladoK o%ser<a as caracter-sticas do pacote mais detidamente# (lm de determinar se pode ou no rotear o pacote ao seu destinoK tam%m determina se de<e fa2'loK de acordo com as regras de segurana >ue o roteador de<e fa2er cumprir# Pa figura / a%ai:oK o%ser<amos a posio t-pica de um screening router num sistema# /:7:$ > 8anta'ens no uso de roteadores co) @iltra'e) de pacotes ( maioria dos sistemas firewall e:istentes em cone:.es G Internet %aseiam'se em um screening routerK uma deciso moti<ada principalmente pelo %ai:o custo desta soluoK "? >ue a 5; GRADUAO EM REDES DE COMU!ADORES filtragem de pacotes uma caracter-stica inclu-da como parte integrante dos softwares >ue acompan*am >ual>uer roteador# (lm dissoK mesmo >ue o screening router no se"a a nica ferramenta de proteoK certamente estar? presente mesmo em ar>uiteturas mais ela%oradasK "? >ue a filtragem de pacotes no n-<el do roteador fornece um grau de segurana inicial muito %omK numa camada %ai:a da rede !a camada /K <e"a diagrama na figura 0 seguir&# /igura 5 - " posi67o da filtragem de pacotes usando um screening router, como (ista pelo modelo de camadas TCP$P /:7:( > <i)itaAes no uso de roteadores co) @iltra'e) de pacotes 9m%ora se"a poss-<el ter apenas um screening router como medida de segurana entre a rede interna e a InternetK isto coloca grande responsa%ilidade neste dispositi<oK "? >ue a nica medida de proteo da rede# Se fal*arK toda a rede interna estar? e:posta# (lm dissoK no capa2 de modificar ser<ios ou de proteger opera.es indi<iduais dentro de um ser<ioK podendo apenas neg?'lo ou permit-'loK o >ue e:ige normalmente o uso de ar>uiteturas mais comple:as#
/:7:* > GA!E9AYS DE CIRCUI!O Om gatewa, de circuito uma funo especiali2ada >ue pode ser reali2ada por um gatewa, de aplicao !uma estao segura ' um computador ' >ue permite aos usu?rios comunicarem'se com a Internet atra<s de um ser<idor prox,K cFdigo especial >ue aceita ou recusa caracter-sticas ou comandos espec-ficos de certas aplica.esK ou mesmo aceita ou recusa a prFpria aplicao&# 9ste tipo de firewall opera na camada de sesso do modelo 1SI !camada 0&K ou camada de transporteK no modelo TCPRIP !<ide figura 3 a seguir&# 9ste firewall usa as cone:.es TCPRIP como prox,K pois um circuito prox, instalado entre o roteador da rede e a Internet# W este prox, >ue comunica'se com a InternetK em lugar da prFpria rede localK e sF o seu endereo IP tornado p%lico na Internet# 5+ GRADUAO EM REDES DE COMU!ADORES /igura 8 - " posi67o de um firewall baseado em um gatewa, de circuito, como (ista pelo modelo de camadas TCP$P 1s gatewa,s de circuito monitoram a troca de informa.es entre pacotes para determinar se uma determinada sesso >ue est? sendo re>uerida leg-tima ou no# (s informa.es passadas a um computador remoto atra<s de um gatewa, de circuito parecem ser origin?rias do prFprio gatewa,# Com istoK omitem'se informa.es mais detal*adas so%re a rede interna# 9ntretantoK este tipo de firewall ainda no reali2a >ual>uer filtragem ou processamento de pacotes indi<idualmente# Sua aplicao t-pica so as cone:.es de sa-daK >uando os usu?rios internos >ue as utili2am so considerados Tconfi?<eisT# Desta formaK uma configurao %astante utili2ada um computador !o bastion hostK um sistema especificamente configurado e protegido para resistir aos ata>ues e:ternosK como ser? detal*ado mais adiante& >ue opera como gatewa, de aplicao para cone:.es entrando no sistema e como gatewa, de circuitoK para as >ue saem# Isto torna o sistema firewall mais transparente e f?cil de usar para os usu?rios internos >ue dese"am acesso direto G InternetK en>uanto pro< as fun.es necess?rias G proteo da rede interna contra o tr?fego >ue <em da Internet# ( figura 5 a seguir ilustra a operao de uma t-pica cone:o Telnet atra<s de um gatewa, de circuito# 9ste simplesmente transmite as informa.esK sem nen*um e:ame ou filtragem dos pacotes# Toda<iaK como a cone:o pareceK aos usu?rios e:ternosK gerada e gerenciada no gatewa, de circuitoK informa.es so%re a rede interna no esto dispon-<eis# SF o endereo IP do gatewa, con*ecido# /:7:/ GA!E9AYS DE A<ICAO Om gatewa, no n-<el !ou camada& de aplicao permite ao administrador de redes implementar uma pol-tica de segurana muito mais restriti<a >ue o roteador <isto acima# (o in<s de contar com uma ferramenta genrica de filtragem de pacotes para gerenciar o flu:o de ser<ios da e para a InternetK uma aplicao especial !ser<idor prox,& instalada no gatewa, para cada ser<io dese"ado# Se o ser<idor prox, para uma dada aplicao no for instaladoK o ser<io no estar? dispon-<el e os pacotes correspondentes no atra<essaro o firewall# (lm dissoK o ser<idor prox, pode ainda ser configurado para permitir >ue apenas algumas caracter-sticas da aplicao se"am oferecidasK a critrio do administrador# 5, GRADUAO EM REDES DE COMU!ADORES ( filtragem de pacotes num ser<idor prox, continuaK entoK sendo efetuadaK com a diferena de >ueK como o ser<idor e:amina intensi<amente os pacotes rece%idos no n-<el da aplicao !camada 6 do modelo 1SIK ou camada 3 do modelo TCPRIP ' <e"a figura 6 a seguir&K pode filtrar comandos espec-ficos destaK o >ue seria imposs-<el para um roteador# (ssimK por e:emploK um ser<io *ttp pode estar sendo oferecidoK mas determinados comandosK como *ttp:post e *ttp:getK podem ser %lo>ueados# /igura 9 - " posi67o da filtragem de pacotes usando um gatewa, de aplica67o, como (ista pelo modelo de camadas TCP$P Om es>uema >ue esclarece a posio ocupada pelo ser<idor prox, na filtragem de pacotes pode ser <isto na figura 7# Com a presena do ser<idor prox,K no *? comunicao direta entre a rede interna e a InternetS a rede interna conecta'se ao computador >ue age como um gatewa, !ou porto de acesso& e este conecta'se G InternetK o >ue redu2 as c*ances de um ata>ue e:terno e ainda permite a inspeo dos dados >ue passam atra<s do firewall# 9ste computador muitas <e2es con*ecido por bastion hostK ou %astioK por>ue o sistema especificamente pro"etado para suportar ata>ues e:ternos# Om bastion host apresenta caracter-sticas de pro"eto %em espec-ficasK com a finalidade de pro<er segurana por restrio de acessoK como: ( plataforma de hardware do bastion host e:ecuta uma <erso segura do sistema operacionalK especialmente pro"etada para proteg'lo das <ulnera%ilidades do sistema operacional t-picoS Somente os ser<ios considerados essenciais so instalados no bastion hostK pois um ser<io no dispon-<el no pode ser al<o de ata>uesS 9:igncia de autenticao de usu?rio para acesso aos ser<ios prox,S Somente um su%con"unto de comandos do con"unto padro de uma aplicao disponi%ili2ado aos usu?rios autenticadosS Somente os computadores >ue gerenciam determinado ser<io esto dispon-<eis aos usu?rios autenticadosS Cada ser<idor prox, independente dos demais operando no bastion hostK de modo a impedir >ue <ulnera%ilidades espec-ficas afetem a segurana como um todo# 8anta'ens no uso de 'ate,a3s de aplicao 5/ GRADUAO EM REDES DE COMU!ADORES 1s gatewa,s de aplicao oferecem aos administradores de redes completo controle so%re cada ser<io indi<idualK por>ue o ser<idor prox, limita os ser<ios dispon-<eisK os comandos dispon-<eis dentro de cada ser<io e os computadores conectados para atenderem Gs re>uisi.es de ser<io# Simplificam igualmente a negao de ser<ioK %astando no disponi%ili2ar um ser<idor prox, para a aplicao# 1utras duas <antagens inerentes a este arran"o so a possi%ilidade de ocultar os nomes dos computadores internos e a <ia%ilidade de analisar os contedos dos pacotes para <erificar se so TapropriadosT e seguros !e:emplo: re"eitar e-mails >ue conten*am pala<ras de %ai:o calo&# <i)itaAes no uso de 'ate,a3s de aplicao ( principal limitao de gatewa,s de aplicao a e:igncia de modificao nos modos de cone:o de usu?rios aos ser<iosK ou se"aK a falta de transparncia para os usu?rios#
State@ul Multi><a3er Inspection Cire,alls Considerada a terceira gerao dos firewallsK esta tecnologia de Inspeo de 9stado Culti' Camada permite e:aminar cada pacote em todas as suas camadas do modelo 1SIK desde a rede !camada /& at a aplicao !camada 6&K sem a necessidade de processar a mensagem !<ide figura 8&# Com a tecnologia SCIIK o firewall usa algoritmos de <erificao de dados da camada de aplicao !ao in<s de e:ecutar ser<idores prox, espec-ficos para cada aplicao&K otimi2ados para altas <elocidades de inspeoK en>uanto os pacotes so simultaneamente comparados a padr.es con*ecidos de pacotes amig?<eis# Por e:emploK ao ter acesso a algum ser<io e:ternoK o firewall arma2ena informa.es so%re a re>uisio de cone:o originalK tais como o nmero da portaK o endereo de destino e o de origem# Po retorno da informaoK o firewall compara os pacotes rece%idos com as informa.es arma2enadasK para determinar se sero admitidos na rede interna# Desta maneiraK a SCII oferece a <elocidade e a transparncia ao usu?rio t-picas de um filtro de pacotesK aliadas G segurana e G fle:i%ilidade de um gatewa, de aplicao# /igura : - " posi67o da $nspe67o de )stado Multi-Camada, como (ista pelo modelo de camadas TCP$P <i)itaAes no uso de SM<I 50 GRADUAO EM REDES DE COMU!ADORES ( principal limitao desta tecnologia >ue ela e:p.e os endereos IP das m?>uinas internas G redeK "? >ue permite >ue os pacotes internos alcancem a Internet# 9sta limitao pode ser contornada com a adio de ser<idores prox, em con"untoK o >ue ele<a ainda mais a segurana# /:$# > EJEM<OS DE ARKUI!E!URAS DE CIRE9A<< /:$#:$ > RO!EADOR COM CI<!RAGEM DE ACO!ES 1 sistema mais comum de firewall consiste em nada mais >ue um roteador com filtragem de pacotesK colocado entre a rede interna e a InternetK e:ecutando aa tradicionais fun.es de rotear o tr?fego de pacotes entre redes e usar regras de filtragem para aceitar ou recusar este tr?fego# Peste arran"oK os computadores da rede interna tm acesso direto G InternetK en>uanto os e:ternos sF disp.e de acesso limitado G rede interna# ( pol-tica de segurana mais adotada nesta ar>uitetura Ttudo o >ue no for especificamente permitido proi%idoT# Suas <antagens so: %ai:o custo e transparncia para os usu?rios# Por outro ladoK apresenta as seguintes des<antagens: e:posio a ata>ues por configurao inade>uada dos filtrosS e:posio a ata>ues perpetrados atra<s de ser<ios permitidos !"? >ue no *? e:ame do contedo dos pacotes&S necessidade de segurana adicional e autenticao de usu?rios para cada computador acess-<el a partir da InternetS e:posio da estrutura da rede interna !"? >ue a troca de pacotes entre usu?rios internos e e:ternos permitidaK *? a e:posio dos endereos IP internos&S e se o roteador for penetradoK toda a rede interna fica desprotgida#
/:$#:( > RO!EADOR COM CI<!RAGEM DE ACO!ES E %AS!ION TOS! +SCREENED TOS! CIRE9A<<. 1 segundo e:emplo de ar>uitetura emprega a filtragem de pacotes aliada a um computador especificamente pro"etado e protegido contra ata>ues e:ternosK o bastion host# 9sta ar>uitetura pro< maior grau de segurana por>ue implementa tanto a filtragem de pacotesK em primeira instDnciaK >uanto o fornecimento de ser<ios atra<s de ser<idores prox, !aplica.es com finalidades especiaisK instaladas no bastion hostK >ue intermediam a comunicao entre os meios interno e e:ternoK impedindo a direta troca de pacotes entre eles&# Peste es>uemaK um roteador com filtragem de pacotes colocado entre o bastion host e a Internet# (s regras de filtragem de pacotes sF permitem >ue o tr?fego e:terno ten*a acesso ao bastion hostS o tr?fego dirigido a >ual>uer outro computador da rede interna %lo>ueado# Como os sistemas internos residem na mesma rede >ue o bastion hostK a pol-tica de segurana determina se os sistemas internos tero acesso direto G Internet ou se de<ero utili2ar os ser<ios de prox, concentrados no bastion hostK o >ue pode ser reforado pelo %lo>ueio de todo o tr?fego de sa-da >ue no se origine no bastion host# (s <antagens deste arran"o so: um ser<idor p%lico !>ue fornea ser<ios Je% ou @TPK por e:emplo& pode ser colocado no mesmo segmento da rede situado entre o bastion host e o roteadorK permitindo acesso direto de usu?rios e:ternos sem comprometer a rede interna 53 GRADUAO EM REDES DE COMU!ADORES !protegida pelo bastion host&S ou o mesmo ser<idor pode situar'se apFs o bastion host e estar dispon-<el apenas atra<s de ser<ios prox,K tanto para usu?rios internos >uanto e:ternos# Om arran"o ainda mais seguroK <isto na figura +, a seguirK pode ser constru-do com um bastion host >ue apresenta duas interfaces de rede: uma com a rede interna e outra com a InternetK passando pelo roteador# Peste arran"oK con*ecido por dual-homed bastion hostK no *? mais nen*uma possi%ilidade de acesso direto entre os sistemas da rede interna e a InternetS todo o tr?fego %lo>ueado no bastion host e o uso dos ser<ios de prox, passa a ser compulsFrio mesmo para os usu?rios internos# De<e'seK entretantoK e<itar >ue usu?rios e:ternos ten*am a possi%ilidade de efetuar um login diretamente ao bastion hostK so% pena de comprometer a segurana o%tida com este arran"o# /:$#:* > CIRE9A<< COM EONA DESMI<I!ARIEADA +SCREENED>SU%NE! CIRE9A<<. 9ste arran"o emprega ainda um bastion host e um roteador para acesso G InternetK mas adiciona um segundo roteador interno !na interface bastion host'rede interna&K criando o >ue se con<encionou c*amar de T2ona desmilitari2adaTK ou DC[# 9ste arran"o o >ue de mais seguro se pode conce%er em termos de ar>uiteturas de firewallK pois aplica conceitos de segurana desde a camada de rede at a de aplicaoK alm de restringir o acesso a tudo o >ue p%lico !bastion hostK ser<idores p%licosK C1D9CsK etc#& a uma ?rea restritaK a 2ona desmilitari2ada# 9sta funciona como se fosse uma pe>uena rede isoladaK situada entre a Internet e a rede interna# 1 tr?fego direto atra<s desta proi%ido e os sistemasK tanto os internos >uanto os e:ternosK sF tm acesso limitado G 2ona desmilitari2ada# Para o tr?fego e:ternoK o roteador mais e:terno oferece proteo contra os ata>ues e:ternos mais comunsK %em como gerencia o acesso da Internet G su%rede DC[# Somente o bastion host !ouK Gs <e2esK o ser<idor p%licoK dependendo da rigide2 da pol-tica de segurana deste& est? dispon-<el para acesso# J? o roteador interno pro< uma segunda lin*a de defesaK gerenciando o acesso da su%rede DC[ G rede internaK aceitando somente o tr?fego originado no bastion host# Para o tr?fego de sa-daK as regras so semel*antes# 1s sistemas internos G rede pri<ada somente tm acesso ao bastion hostK atra<s do controle e:ercido pelo roteador interno# 9 as regras de filtragem do roteador e:terno e:igem o uso de ser<ios prox, para o acesso G InternetK ou se"aK sF permitem o tr?fego e:terno >ue se origina do bastion host# 9ste arran"o tra2 di<ersos %enf-cios importantes: trs n-<eis de segurana !roteador e:ternoK bastion host e roteador interno& separam a Internet do meio internoS somente a su%rede DC[ con*ecida na InternetK de modo >ue no *? meio de se con*ecerem rotas de acesso G rede internaS da mesma formaK somente a su%rede DC[ con*ecida para a rede interna e no e:istem rotas diretas para o acesso G Internet# 55 GRADUAO EM REDES DE COMU!ADORES CA;!U<O #0 > SER8IDORES ROJY 0:$ > IN!RODUO ( popularidade da Je% est? causando srios pro%lemas de desempen*o nos acessos G InternetK de forma >ue a reduo da latncia tem se tornado uma >uesto importante# 1 nmero de usu?rios >ue se conectam cresce de forma muito acentuadaK sendo >ue mais de ,R/ do tr?fego Internet atual gerado pela Je%# ( latncia para se recuperar um documento Je% depende de <?rios fatoresK tais como: largura de %andaK tempo de propagaoK <elocidade dos computadores cliente e ser<idorK etc# Po esforo de minimi2ar as conse>Vncias deste crescimentoK alguns mtodos podem ser adotados# Pode'se fa2er uma atuali2ao dos recursos: um ser<idor mais r?pidoK sEitc*K aumento da %anda# 9ntretantoK isto alm de no ser economicamente <i?<elK pode no resol<er o pro%lemaK uma <e2 >ue so numerosos os fatores >ue en<ol<em uma nica transao Je%# (lternati<as como cac*e de JJJK espel*amento de ar>ui<os e outros tm sido adotados para resol<er os gargalos e:istentes na rede# ( iniciati<a de se implantar um sistema de cac*e JJJ >ue arma2ene localmente o%"etos !p?ginas MTCIK imagens e ar>ui<os& da InternetK pode mel*orar a >ualidade do ser<io fornecido aos usu?rios# Ser<idores pro:L a"udam a diminuir significamente o tempo mdio de acesso a p?ginas e a transferncia de ar>ui<osK por>ue muitos deles so re>uisitados mais de uma <e2 eK e:ceto na primeiraK as re>uisi.es so atendidas localmente# 9ste no um conceito no<o# ( maioria dos sistemas de computadores modernos usam este princ-pio para mel*orar o desempen*o de muitos processadoresK <elocidadeK acesso a discoK etc# (lguns componentes da Internet tm sido cac*eados *? um longo tempo ' como o DPS !#omain Name S,stem&# 0:( > CONCEI!UAO PormalmenteK os <isuali2adores de p?ginas Je% !%roEsers& fa2em cone:o direta com os ser<idores remotos# 9ntretantoK eles podem ser configurados para se conectar a um ser<idor pro:L# (ssimK >uando um usu?rio re>uisita uma p?ginaK o browser primeiramente c*eca seu cac*e local# Se a p?gina !ORI& no encontradaK ele a re>uisita para o ser<idor pro:L local# Se este tem a cFpia !cache hit& e ela no e:pirouK ele a retorna imediatamente# Caso esta no este"a no cac*e !cache miss&K ele entrar? em contato com o ser<idor remoto e far? a transfernciaK mantendo uma cFpia !opcional& em seu cac*e e en<iando uma cFpia para a m?>uina do usu?rio# 1 pro:L de<e ser capa2 de agir tanto como um ser<idor como um cliente# 9le age como um ser<idor >uando aceita re>uisi.es MTTP e age como cliente >uando se conecta com ser<idores remotos para conseguir retornar ou atuali2ar os documentos para seus clientes# Oma re>uisio atra<s de um pro:L MTTP um pouco diferente do >ue uma re>uisio MTTP normalK por e:emplo: 56 GRADUAO EM REDES DE COMU!ADORES Sem pro:L !cone:o direta com o ser<idor JJJ&: G9T RCac*eRinde:#*tml MTTPR+#; (ccept: fRf Com pro:L configurado: G9T *ttp:RREEE#ircac*e#netRCac*eRinde:#*tml MTTPR+#; (ccept: fRf Desta formaK o ser<idor pro:L tem todas as informa.es necess?rias para fa2er a re>uisio ao ser<idor remoto especificado na ORI# (s re>uisi.es de outros protocolosK por e:emplo @TPK so um pouco mais complicadas# 1 ser<idor pro:L de<e usar o protocolo @TP para re>uisitar o ar>ui<o do ser<idor# (lm dissoK ele de<e transformar esta re>uisio @TP em uma resposta MTTP para o cliente# Isto significa incluir os ca%eal*os Content-3enght, 3ast-Modified, e Content-T,pe# Om comando listK por e:emploK retornado como um documento MTCI# G9T ftp:RRftp#ircac*e#netRdoEnloadRR9(DC9 MTTPR+#; (ccept: fRf Oma >uesto importante determinar >uando os o%"etos sero atuali2ados ou remo<idosK de forma a garantir a sua consistncia# (lguns podem permanecer est?<eis por um longo tempo e de repente mudarK outros mudam diariamente# Se um o%"eto e:pirouK o ser<idor Je% original ser? consultado para re<alid?'lo# =uando o o%"eto arma2enado no cac*e contm no ca%eal*o o campo 3ast-ModifiedK >ue indica >uando ele sofreu a ltima modificaoK o ser<idor pro:L pode us?'lo para fa2er uma re>uisio $f-Modified- Since ao ser<idor Je% remoto eK a partir da comparao das datasK sa%er se o o%"eto foi alterado# Se o documento no foi modificadoK no ser? retornado# 1 cliente rece%er? como resposta informa.es comoK por e:emploK a no<a data de e:pirao# Se o o%"eto foi modificadoK ele ser? retornado# =uando os diretFrios de cac*e esto c*eiosK alguns o%"etos de<em ser remo<idos para >ue no<os o%"etos se"am arma2enados# ( escol*a feita usando algoritmos de su%stituioK em con"unto com algumas regras configuradas pelo administrador# 0:* > !IOS DE CACTE De acordo com a sua caracter-sticaK um ser<io de cac*e pode ser classificado segundo os seguintes tipos: 0:*:$ > ANS9SER CACTE ( maioria dos <isuali2adores possuem um cac*e prFprioK pois %astante pro<?<el >ue um usu?rio acesse as mesmas p?ginas fre>VentementeK ou muitas <e2es num mesmo dia# .rowser Caches no so compartil*ados entre os usu?rios# 0:*:( > ROJY CACTE Pode ser acessado e compartil*ado por muitos usu?rios# ( aplicao pro:L age como intermedi?rio entre clientes e ser<idores JJJ# 1 ser<idor local procura pela p?ginaK gra<a'a no disco e repassa para o usu?rio# Re>uisi.es su%se>Ventes de outros usu?rios recuperam a p?gina 57 GRADUAO EM REDES DE COMU!ADORES >ue est? gra<ada localmente# 1s ser<idores pro:ies so usados por organi2a.es ou pro<edores >ue >uerem redu2ir a >uantidade de %anda >ue utili2am# 0:*:* > !RANSAREN! ROJY CACTE W assim c*amado por>ue ele tra%al*a interceptando o tr?fego da rede transparentemente para o %roEser# So usados especialmente por ISPK por>ue no necess?rio nen*uma configurao no %roEser do usu?rio# 0:/ > TIERARKUIA DE SER8IDORES Para redu2ir a %anda utili2ada nas J(PsK a carga so%re os ser<idores de informao e o tempo de acesso a p?ginasK os ser<idores pro:ies podem compartil*ar informa.es# 9les podem se comunicar com outros ser<idoresK podendo estar no mesmo n-<el !irmo& ou em n-<eis diferentes !pai'fil*o&# Peste casoK o o%"eto recuperado do site com menor medida de latncia# Po modelo de interligao de ser<idoresK pode'se formar uma *ierar>uia regionalK nacional ou internacional# (ssimK se o ser<idor pro:L no encontra a p?gina no cac*e localK ele pergunta aos outros ser<idores na *ierar>uiaK caso nen*um deles ten*a uma cFpia o ser<idor original da p?gina consultado# 9m n-<el nacionalK a RPPK atra<s dos seus Pontos de Presena !PoPs&K est? implantando uma *ierar>uia de pro:ies <isando a reduo do tr?fego do %acB%one nacionalK mel*orando a >ualidade de ser<io fornecido aos usu?rios# Para a comunicao entre ser<idores pro:iesK e:iste o $nternet Cache Protocol !ICP& dR@C ,+75K R@C ,+76eK suportado por alguns softEares# 9le permite um cac*e consultar outros so%re seu contedo eK %aseado nos tempos de respostasK decide >ual cac*e entregar? um dado o%"eto# 1 pro%lema >ue o ICP aumenta a latncia e o tr?fego da rede# Cache-digest a resposta para os pro%lemas de latncia e congestionamento associados com protocolos como o ICP# Trata'se de um sum?rio do contedo do cac*e de um ser<idor >ue trocado periodicamente com outros ser<idores pertencentes G *ierar>uia# Osando cache-digestsK poss-<el determinarK com alto grau de precisoK se uma dada ORI est? Tcac*eadaT em um ser<idor# 1 cache-digest est? implementado na <erso , do softEare S>uid# 0:0 > O USO DE CI<!ROS @iltros so usados para permitir ou negar o acesso G Internet ou a determinados sites# (dministradores podem criar regras para filtrar re>uisi.es %aseados no endereo IP do clienteK dom-niosK redesK locali2ao !ORI& do o%"eto re>uisitadoK %lo>ueando assim re>uisi.es inapropriadas# So usados principalmente em escolas e em organi2a.es para >ue possam permitir o acesso a p?ginas >ue realmente se"am de seu interesse# 9les podem ser simples !%aseados em um lista de p?ginas Je%K por e:emplo& ou podem conter regras mais comple:as# ( restrio de acesso do pro:L mais e:terno tem precedncia so%re o mais interno# 0:0:$ > 8AN!AGENS 58 GRADUAO EM REDES DE COMU!ADORES Pode'se citar como <antagens do uso de ser<idores cac*e: 0:0:( > REDUO DO !R=CEGO Cenos re>uisi.es e respostas precisam trafegar na rede# 1 o%"eto recuperado do ser<idor somente uma <e2K redu2indo a >uantidade de %anda usada pelo cliente# Pode'se conseguir ta:as de acerto de at 5;U# 0:0:* > REDUO DE CARGA DOS SER8IDORES Cenos re>uisi.es para o ser<idor JJJ atender# 9:emplificandoK alguns sites ficam e:tremamente congestionados >uando do lanamento de no<os produtos# Om ser<idor pro:L pode resol<er o pro%lema# 0:0:/ > REDUO DA <A!FNCIA (s respostas de re>uisi.es aos o%"etos Tcac*eadosT so feitas a partir do cac*e localK no pelo ser<idor JJJ originalK ou se"aK o acesso tende a ser %astante r?pido# 0:0:0> OSSI%I<IDADE DE ACESSO Considerando >ue o ser<idor JJJ do endereo especificado no ORI est? inacess-<el !>ueda de enlaceK ser<idor desligadoK etc& ou est? rece%endo mais solicita.es do >ue ele pode agVentarK se a p?gina esti<er arma2enada no pro:L ser? poss-<el acess?'la !mas no <ai ser poss-<el atuali2?'la&# 0:4 > MEDIDAS DE DESEMENTO (lgumas so usadas para medir a eficincia do cac*e Je%: hit ratio !ta:a de acerto&K b,te hit ratio e tempo# 1 hit ratio a proporo de acertos para todas as re>uisi.es# J? o b,te hit ratio medido a partir do taman*o dos o%"etosK ou se"aK a proporo dos %Ltes dos acertos pelos %Ltes de todas as re>uisi.es# 1 tempo uma importante medida por>ue ele representa o tempo sal<o esperando por re>uisi.es Je%# Cas no tarefa f?cil medi'lo# 1 cac*e prFprio pode medir o tempo transcorrido en>uanto processa uma re>uisio# Cas no *? como sa%er e:atamente >uando o primeiro pacote re>uisitado foi transmitido e >uando o ltimo pacote de resposta foi rece%ido# 1s <alores dependem de muitos fatoresK tais como a <elocidade da cone:o InternetK *ora do diaK dia da semanaK locali2ao geogr?fica e <elocidade entre o cac*e e seus usu?rios# 1 desempen*o do ser<idor pode ser acompan*ado atra<s de ferramentas >ue analisam os logs e permitem identificar endereo IPK data e *oraK ORIK status da re>uisio# W poss-<el monitorar dados como: percentagem de acertos no cac*e !>ue pode c*egar a 5;U&K sites mais acessadosK clientes >ue mais acessamK re>uisi.es satisfeitas diretamenteK re>uisi.es feitas a ser<idores da *ierar>uiaK tipos de documentos arma2enados ' te:toK imagensK ar>ui<os !docK t:tK pptK psK e:eK g2K etc&# Como poss-<el <erificar o endereo IP de onde partiu determinada re>uisioK alguns usu?rios "ulgam >ue podem ter a sua pri<acidade comprometida# H?rios grupos de pes>uisas estudam o desempen*o de softEares e:istentes# PolLteam um grupo de pes>uisadores do $nformation 'esource Cache !IRCac*eK 4oulderK Colo& >ue condu2 testes de desempen*o so%re os principais produtos de cac*e de Je%# Cas o grupo no 6; GRADUAO EM REDES DE COMU!ADORES recomenda produtos nem seleciona <encedores# Testes recentes mostraram >ue o ta:a de rendimento e tempo de resposta mel*oraram e as diferenas no preo e performance aumentaram# ( tendncia o aumento de desempen*o dos softEares sem aumentos na comple:idade da administrao# 0:6 > CONSIDERADES CINAIS Como o cac*e age como intermedi?rio dos seus clientesK os ser<idores Je% no sa%em o endereo real de >uem fe2 a re>uisio# Isso pode tra2er <antagensK mas e:istem casos em >ue o endereo do cliente usado para controle de acesso# Cuitos %roEsers precisam ter o endereo do ser<idor pro:L e o nmero da porta correspondente configurada para cada protocolo !MTTPK @TPK etc&# 9:istem scripts para a configurao autom?ticaK mas ainda e:ige >ue o usu?rio entre com o ORI# Solu.es para cac*e tem um mercado crescente# Mo"e e:istem muitos softEares dispon-<eis# 9is alguns: (pac*eK (<irtK 4roEserGateK Cac*e4acBK Cac*e@loEK Cac*e=u%eK Cac*eRa>K C9RPRJ/CK Cisco Cac*e 9ngineK CSC Pro:LK DeleGateK DLnaCac*eK @astIaneK Mar<estK I4C Je% Traffic 9:pressK InfoStormK InBtomi Traffic Ser<erK JigsaEK JPro:LmaK IagoonK IucentXs IPJorQK Cicrosoft Pro:LK C1JSK PetCac*eK Pet@ilterK PetMaEBK Petscape Pro:L Ser<erK Po<ell 4orderCanager @astCac*eK Po<ell Internet Cac*ing SLstemK PeregrineK Pus*cac*e Cuttlefis*K Ro:enK SoftRouter PlusK Spag*ettiK SpoonPro:LK S>uidK Sun Petra Pro:LK TeraPodeK HenturiK HiBingK JcolK Je%SpeedK JinGateK JinPro:LK JorBfire# (ssim como muitos produtos au:iliaresK como as ferramentas para an?lise dos logs: Cac*e StatsK CalamarisK ProstatK Pro:L'stats#gaEBK PEe%statsK S>mgrlogK S>uee2erK S>uidclientsK S>ui"K Je% IogK Je% Trends# 1 modelo tra%al*a %em para documentos est?ticos# 9ntretantoK e:istem muitas partes da Je% >ue consistem de documentos dinDmicos ou >ue so alterados fre>Ventemente# ( presena deste tipo de situao e:ige um desen<ol<imento de uma pol-tica mais sofisticadaK >ue permita %roEsers e ser<idores pro:L determinar como e por >uanto tempo as cFpias sero guardadas# (lguns destes o%"etos nunca so cac*eadosK como os programas CGI ' >ue so usados para consulta a %ase de dados e processamento para formul?riosK p?ginas >ue registram datas atuais e contadores de acessoK o%"etos protegidos por sen*aK resultados de scripts e:ecutados em ser<idores remotosK etc# Para os contadores de acessoK recomenda'se coloc?'lo em um pe>ueno documento e fa2'lo no Tcac*e?<elT !atra<s do seu ca%eal*o ' header&# 9:iste uma campan*a >ue tem por o%"eti<o difundir e aumentar a utili2ao de ser<idores de cac*e na Je%K a Cac*e PoEYK >ue tam%m tenta conscienti2ar os desen<ol<edores de p?ginas Je% a e<itar o uso dos o%"etos >ue no podem ser arma2enadosK orientando so%re a mel*or utili2ao desse recurso# De acordo com um pes>uisa da Stat CarBetK +6U de toda a Internet glo%al acessa a Je% atra<s de um ser<idor pro:L# W um nmero %astante significati<oK mas o o%"eti<o aument?'lo cada <e2 maisK apro<eitando ao m?:imo o recurso# 6+ GRADUAO EM REDES DE COMU!ADORES CA;!U<O #4 IDS +IN!RUSION DE!EC!ION SYS!EM. 4:$ > IN!RODUO (s ferramentas para segurana de computadores e redes so necess?rias para proporcionar transa.es seguras# GeralmenteK as institui.es concentram suas defesas em ferramentas pre<enti<as como firewalls, mas aca%am ignorando as ferramentas de deteco de intruso !IDS ' $ntrusion #etection S,stem&# Pa primeira parte deste te:toK feita uma analogia entre o sistema de defesa dos seres <i<os e as futuras !ou atuais& ferramentas de IDS# Pa parte seguinteK alguns pontos relacionados a TanatomiaT das ferramentas de IDS so tratados# Pum prF:imo artigoK sero feitas considera.es a respeito de aspectos legais dos dados coletados por tais sistemas# 4:( O SIS!EMA DE DECESA DOS TUMANOS E AS CERRAMEN!AS DE IDS 1s anticorpos constituem o mais espec-fico mecanismo de defesa >ue o ser *umano possui# 9les desempen*am um importante papel na proteo do organismo contra su%stDncias estran*as# =uando uma su%stDncia estran*a in<ade o corpo *umanoK certos glF%ulos %rancos do sangueK os linfFcitos TK produ2em e lanam na corrente sangV-nea um tipo especial de prote-na capa2 de unir'se especificamente Gs molculas >ue comp.em esta su%stDnciaK inati<ando'a# ( prote-na >ue o indi<-duo sinteti2aK em resposta ao material estran*oK denomina'se anticorpoK e as su%stDncias estran*asK >ue indu2em a s-ntese dos anticorposK so denominadas ant-genos# 1s seres *umanos possuem dois tipos de sistemas de imuni2ao: I)uniIao ati1aH a >ue se consegue pela formao de anticorpos ela%orados pelo prFprio indi<-duo# Pos seres *umanosK ela inicia'se a partir do /g ms de <ida do feto# 9ntre o 0g e 5g ms de <ida do fetoK outros Frgos completam o sistema imunolFgico# Como este sF come a se esta%elecer a partir do /g msK durante os trs primeiros meses de <idaK o feto incapa2 de se defender por seus prFprios meios contra e<entuais infec.es >ue atra<essem a placenta# Pesta faseK o feto conta sF com a imuni2ao passi<a !anticorpos >ue e:istem na me&K >ue transferida da me ao fil*o atra<s da placenta# I)uniIao passi1aH este tipo de imuni2ao o%tido atra<s de in"eo concentradas do ant-geno em um animal# 9ste reage ao ant-geno produ2indo >uantidades cada <e2 maiores de anticorpos espec-ficosK >ue <o se acumulando no sangue# (pFs a imuni2aoK e:tra-do sangue do animal imuni2ado e a frao sangV-nea >ue contem as molculas de anticorposK separada# ( esta frao rica em anticorpos c*ama'se soroK e eset >ue in"etado na corrente sangV-nea do indi<-duo >ue se dese"a imuni2ar# 1 sistema de deteco de intruso ou IDSK tem como um dos o%"eti<os principais detectar se algum est? tentando entrar no seu sistema ou se algum usu?rio legitimo est? fa2endo mau uso do mesmo# 9sta ferramenta roda constantemente em background e somente gera uma notificao >uando detecta alguma coisa >ue se"a suspeita ou ilegal# (ssim sendoK podemos di2er >ue a placenta corresponde aos sistemas de firewalls# ( imunidade passi<a est? dentro dos sensores e so os padr.es de ata>uesRassinaturasK ou se"aK os ata>ues con*ecidos pre<iamente# ( imunidade ati<a tam%m esto dentro dos sensores e so caracteri2adas por possu-rem inteligncia para 6, GRADUAO EM REDES DE COMU!ADORES aprender com o comportamento da rede eK com issoK identificar no<os padr.es ou mutao dos padr.es e:istentes# ( identificao dos no<os padr.es reali2ada pelos aprendi2es !linfFcitos T&# 1 ant-geno a doenaK a ameaaK o ata>ueS e os anticorpos so os contra'ata>ues# Om sensor composto por um con"unto de componentesK dentre eles: 1 su%'sensor est?ticoS 1 su%'sensor inteligenteK e 1 aprendi2# 1 su%'sensor est?tico de<eK inicialmenteK ser configurado de acordo com a pol-tica de seguranaK alm de possuir as assinaturas dos ata>ues con*ecidos# Isso caracteri2a a imuni2ao passi<a# J? o su%'sensor inteligenteK inicialmenteK passa por um per-odo de adaptao e aprendi2adoK fase em >ue aprende e recon*ece o padro de funcionamento da rede# 9ste per-odo pode ser <ari?<elK dependendo do <olume de tr?fego# (pFs esta faseK estes su%'sensores inteligentes estariam em condi.es de recon*ecer padr.es >ue fogem da normalidade da rede !linfFcitos T& e tomarem a.es# De acordo com o seu campo de aoK os sensores podem ainda ser classificados de dois tipos: 1s sensores de rede: 9stes de<em locali2ar'se em segmentos estratgicosK o%ser<ando o tr?fego da rederK o formato de pacotesK entre outrosS 1s sensores de hosts; 9stes ficam dentro dos ser<idores cr-ticosK o%ser<ando as a.es reali2adas no sistema operacionalK as a.es dos ser<ios e o comportamento da pil*a TCPRIP# 1s sensores de<em interagir entre si a fim de constru-rem uma matri2 de e<entos >ue tem por o%"eti<o a >ualificao do padro de ata>ueK minimi2andoK desta formaK a ocorrncia de alertas falsos !falso positi<o&# 1utras caracter-sticas fundamentais so: o gerenciamento centrali2adoK a possi%ilidade do sensor interagir com outros elementos de rede como firewallK roteadores e consoles de gernciaS e a possi%ilidade de construir uma %ase de con*ecimento centrali2ada de forma a permitir uma <iso ampla do n-<el de segurana da rede# Desta formaK >uando algum ata>ue !ant-geno& for detectado pelos sensoresK torna'se poss-<el a.es de conta'ata>ue !anticorpos& >ue podem ser: en<io de e-mail para o administradorK en<io de mensagem <ia pager, ati<ao de alertas nas esta.es de gerncia <ia SPCPK reconfigurao de elementos de rede como firewall e roteadoresK e at mesmo o encerramento da cone:o atra<s do en<io de pacotes de reset !flag RST do TCP & para a m?>uina atacante e para a m?>uina atacadaK com o o%"eti<o de descarregar a pil*a TCP# 4:* > IN!RUSOH O KUE 8EM A SERM 4:*:$ > O IN!RUSO De forma simplesK podemos di2er >ue um intruso algum >ue tenta in<adir um sistema ou fa2er mau uso do mesmo# CasK como definir um intrusoN 1 >ue seria tentar in<adir um sistemaN 6/ GRADUAO EM REDES DE COMU!ADORES 1u aindaK o >ue seria fa2er mau uso do mesmoN Om usu?rio >ue tenta acessar um sistema trs <e2es consecuti<as e erra a sen*a todas as <e2es pode ser classificado como um intrusoK e esta como uma tentati<a de intrusoN Para se poder diferenciar as a.es leg-timas das noci<asK fa2'se necess?ria a definio de uma pol-tica de segurana# Cuitos podem pensar >ue uma instituio est? su"eitaK na maior parte do tempoK a tentati<as de in<aso e:ternasK ou se"aK ata>ues originados de fora da instituioK geralmente da Internet# Po entantoK estudos re<elam >ue a maior porcentagem de ata>ues tem origem dentro da prFpria instituio !intrusos internos&K pois afinal >uem poderia mel*or con*ecer a topologia da redeN =uem sa%e onde os dados sens-<eis esto arma2enados e >uais so os recursos de segurana dispon-<eisN Ie<ando'se em considerao o fato de >ue a maioria dos mecanismos de segurana so implementados com o o%"eti<o de proteger a instituio dos ata>ues e:ternosK muitos ata>ues ocorrem e muitas <e2es no so notadosS ouK >uando o soK "? tarde demais# @a2'se necess?rioK entoK um mecanismo >ue detecte os dois tipos de ata>ue ' uma tentati<a e:terna ou interna# Om sistema de IDS eficiente de<e detectar os dois tipos de ata>ues# 4:*:( > A C<ASSICICAO DAS IN!RUSDES (ntes de se falar so%re o sistema de IDSK necess?rio definir o >ue significa uma intruso# Todas as intrus.es esto definidas na pol-tica de segurana# 9n>uanto no for definido o >ue permitido e o >ue no permitido no sistemaK intil tentar entender uma intruso# Oma intruso pode ser definida como dMeadLIuger9t(lK +88;e: T=ual>uer con"unto de a.es >ue tentem comprometer a integridadeK confidencialidade ou disponi%ilidade dos dados eRou do sistema#T Pode'se classificar as intrus.es em duas classes principais: +# Intruso de<ido ao mau uso do sistema ' so os ata>ues reali2ados a pontos fracos do sistemaK pontos este con*ecidos# 9les podem ser detectados a partir da monitorao de certas a.es reali2adas em determinados o%"etosS ,# Intruso de<ido a mudana de padro ' so detectadas com a o%ser<ao de mudanas de uso em relao ao padro normal do sistema# Primeiro monta'se um perfil do sistemaK em seguidaK atra<s de monitoraoK procura'se por di<ergncias significantes em relao ao perfil constru-do# Como a intruso de mau uso segue padr.es %em definidosK ela pode ser desco%erta atra<s da comparao de padr.es em relao a auditoria do sistema# Por e:emploK uma tentati<a de criar um ar>ui<o com set 1$# root pode ser detectada atra<s da an?lise dos logs reali2ados pela c*amadas ao sistema dhumarSpaffordK +880e# Oma intruso de<ido a mudana de padr.es detectada o%ser<ando'se di<ergncias significantes em relao a utili2ao normal do sistema# Pode'se construir um modelo a partir de <alores deri<ados da operao do sistema dDenningK +876e# 60 GRADUAO EM REDES DE COMU!ADORES 9stes <alores so apurados a partir de parDmetros do sistemaK como utili2ao da CPOK nmero de cone:.es por minutoK nmero de processos por usu?rio entre outros# Oma <ariao significati<a nestes padr.es pode ser um ind-cio de intruso# De<ido ao grupo de <alores >ue podem definir a utili2ao normal do sistemaK pode'se assumir o seguinte: ( e:plorao das <ulnera%ilidades de um sistema en<ol<e a utili2ao inde<idaRanormal do sistemaS entoK podem ser desco%ertas <iola.es de segurana a partir de padr.es anormais de uso de sistema# Intrus.es de<ido a mudana de padr.es so dif-ceis de serem detectadas# Po e:iste um padro fi:o >ue possa ser monitoradoK desta forma de<emos tra%al*ar com apro:imao# 1 ideal seria a com%inao de padr.es *umanos com programas# Desta formaK o sistema seria monitorado constantemente a procura de intruso ao mesmo tempo >ue teria a capacidade de ignorar as a.es de usu?rios leg-timos# 4:*:* > A DE!ECO DE UMA IN!RUSO Cuitas ferramentasK de IDS reali2am suas opera.es a partir da an?lise de padr.es do sistema operacional e da rede tais como: utili2ao de CPOK IR1 de discoK uso de memFriaK ati<idades dos usu?riosK nmero de tentati<as de loginK nmero de cone:.esK <olume de dados trafegando no segmento de redeK entre outros# 9stes dados formam uma %ase de informao so%re a utili2ao do sistema em <?rios momentos do tempoK outras "? possuem %ases com padr.es de ata>ue pre<iamente montadas permitindo tam%m a configurao dos <alores das %ases %em como incluso de no<os parDmetros# Com estas informa.es a ferramenta de IDS pode identificar as tentati<as de intruso e at mesmo registrar a tcnica utili2ada# Oma ferramenta de IDS de<e possuir algumas caracter-sticasK entre elas: +# De<e rodar continuamente sem interao *umana e de<e ser segura o suficiente de forma a permitir sua operao em backgroundS mas no de<e ser uma cai:a pretaS ,# Ser tolerante a fal*asK de forma a no ser afetada por uma >ueda do sistemaK ou se"aK sua %ase de con*ecimento no de<e ser perdida >uando o sistema for reiniciali2adoS /# Resistir a tentati<as de mudana !su%<erso& de sua %aseK ou se"aK de<e monitorar a si prFprio de forma a garantir sua seguranaS 0# Ter o m-nimo de impacto no funcionamento do sistemaS 3# Poder detectar mudanas no funcionamento normalS 5# Ser de f?cil configuraoK cada sistema possui padr.es diferentes e a ferramenta de IDS de<e ser adaptada de forma f?cil aos di<ers.es padr.esS 6# Co%rir as mudanas do sistema durante o tempoK como no caso de uma no<a aplicao >ue comece a fa2er parte do sistemaS 7# Ser dif-cil de ser enganada# 1 ltimo ponto fa2 referncias aos pro<?<eis erros >ue podem acontecer ao sistema# 9stes podem ser classificados como falso positi<oK falso negati<o e erros de su%<erso# ( sa%er: 63 GRADUAO EM REDES DE COMU!ADORES @also positi<o ocorre >uando a ferramenta classifica uma ao como uma poss-<el intrusoK >uando na <erdade trata'se de uma ao leg-timaS @also negati<o ocorre >uando uma intruso real acontece mas a ferramenta permite >ue ela passe como se fosse uma ao leg-timaS Su%<erso ocorre >uando o intruso modifica a operao da ferramenta de IDS para forar a ocorrncia de falso negati<o# 4:/ > A ANA!OMIA DE UMA CERRAMEN!A DE IDS 4:/:$ > O MODE<O CONCEI!UA< DE UMA CERRAMEN!A DE IDS De<ido a grande <ariedade de sistemas de IDSK foi proposto um modelo c*amado CID@ !Common $ntrusion #etection /ramework& >ue agrupa um con"unto de componentes >ue define uma ferramenta de IDS: Gerador de 9<entos !)-boxes&S (nali2ador de 9<entos !"-boxes&S 4ase de dados de 9<entos !#-boxes&S Onidade de Resposta !'-boxes&# (lgumas caracter-sticas dese"?<eis destes componentes so: Poderem ser reutili2ados em um conte:to diferente do >ual foram originalmente desen<ol<idosK ou se"aK de<em ser configur?<eis de forma a adaptarem'se a am%ientes distintosS Serem ela%orados em mFdulos com fun.es distintasS Poderem compartil*arRtrocar informa.es entre siK <ia (PI ou atra<s da redeK para uma mel*or preciso na identificao de ata>uesS Componentes no<os de<emK automaticamenteK identificar os demais componentesS 1 grupo de componentes poder atuar mutuamente de forma a dar a impresso de ser um nico elemento# Segundo a padroni2ao do CID@K e:iste um modelo de linguagem para troca de informa.es entre os componentesK o CISI ' Common $ntrusion Specification 3anguage ' este formato referenciado como GID1 ' 4enerali<ed $ntrusion #etection %b=ects# 4:/:( > O Gerador de E1entos > + E-box . ( funo deste componente o%ter os e<entos a partir do meio e:terno ao CID@K ou se"aK ele Tprodu2T os e<entos mas no os processaK isso fica a cargo do componente especiali2ado na funo de processamentoK >ueK por sua <e2K apFs analisar os e<entos !<iolao de pol-ticaK anomaliasK intruso& en<ia os resultados para outros componentes# 4:/:* > O Analisador de E1entos > + A-box . 9ste componenteK %asicamenteK rece%e as informa.es de outros componentesK as analisa e as en<ia de forma resumida para outros componentesK ou se"aK rece%e os dados de forma %rutaK fa2 um refinamento e en<ia para outros# 4:/:/ > A %ase de Dados de E1entos > + D-box . 65 GRADUAO EM REDES DE COMU!ADORES ( funo deste componente arma2enar os e<entos eRou resultados para uma necessidade futura# 4:/:0 > A Unidade de Resposta > + R-box . 9ste componente respons?<el pelas a.esK ou se"aK matar o processoK reiniciali2ar a cone:oK alterar a permisso de ar>ui<osK notificar as esta.es de gernciaK etc# 4:0 > A COMUNICAO EN!RE COMONEN!ES ( comunicao entre os componentes definida por uma ar>uitetura de camadas: P-<el Gido !4ido 3a,er&S P-<el de Censagem !Message 3a,er&S P-<el de Transporte Pegociado !Negotiated Transport 3a,er&# 9sta ar>uitetura garante a comunicao entre os elementosK %em como sistemas de criptografia e autenticao# 9stes mecanismos esto definidos no Comm ' Communication in the Common $ntrusion #etection /ramework# 66 GRADUAO EM REDES DE COMU!ADORES
67 GRADUAO EM REDES DE COMU!ADORES CA;!U<O #6 SEGURANA EM SER8IDORES DNS OR KUE A SEGURANA DO DNS L IMOR!AN!EM 6:$ > IN!RODUO 1 pro%lema da segurana de redes tem preocupado muita gente nos ltimos tempos# Om dos principais ser<ios da InternetK a resoluo de nomes atra<s do DPSK tem sido moti<o de in>uietaoK pois muitos ser<ios so %aseados numa correta traduo entre um nome de rede em um endereo IP# Pum artigo de +883K Paul Hi:ie c*ama<a a ateno para os pro%lemas relacionados com o DPS e o 4IPD# 9ste artigo apresenta alguns dos pro%lemas citados e mostra a soluo encontrada pelo grupo de tra%al*o >ue est? especificando e:tens.es de segurana para o DPSK con*ecidas normalmente pela sigla DPSS9C# 6:( > OR KUE A SEGURANA DO DNS L IMOR!AN!EM Tome'se uma usu?ria consciente dos pro%lemas relacionados com segurana# 9la utili2a um dispositi<o desafioRresposta com codificao triplo'D9S >uando esta%elece cone:.es a partir de m?>uinas remotas para sua rede localK masK >uando fa2 cone:.es locaisK ela ac*a seguro en<iar a sua sen*a em te:to puroK "? >ue sa%e no e:istirem escutas clandestinas na sua rede pri<ada !local&# (ssuma'seK aindaK >ue a instalao dela uma dessas >ue no restringe cone:.es de sa-da de TCPK supondo >ue firewalls sF so necess?rios para manter o pessoal fora# Se o ser<idor de nomes de tal instalao capa2 de rece%er pacotes ODPK na porta 3/K <indos do e:terior da rede localK ento esta usu?ria consciente de pro%lemas de segurana corre riscos potenciais# 6:* > DES!INAO ERRADA Oma pessoa pede a esta usu?ria >ue a%ra uma seo de Telnet com um Gost$# 1 cliente de Telnet por ela utili2ado pede ao ser<idor de nomes o endereo do host pretendidoK rece%e uma resposta corrompida e inicia uma cone:o TCP com o ser<idor de Telnet acessado a partir deste endereo falso# 9m%ora este endereo no corresponda a>uele do Gost$ pretendidoK o ser<idor mostra a mesma mensagem de saudao *a%itual e ela fa2 o login costumeiroK informandoK inclusi<eK a sua sen*a# 9m seguidaK a cone:o caiK ela tenta de no<oK tudo d? certoK ela culpa um TgrimlinT na rede e es>uece o assunto# 9ntretantoK *?K efeti<amenteK um TgrimlinT na rede e este aca%a de col*er a sua sen*a# 6:/ > CON!E ERRADA Se esta mesma usu?ria depende de autenticao %aseada em nomesK ento ela est? pronta para outra descida ao inferno# (utenticao %aseada em nomes K essencialmenteK o >ue fa2em os comandos remotosK rsGB rlo'in e rcpK alm de ferramentas >ue so %aseadas nestes protocolosK tais como: tar da GPOK rdistK rs3nc e outros# Pos <el*os temposK %asta<a controlar um dom-nio re<erso para enganar este tipo de autenticao# Com a desco%erta deste furo de seguranaK estes programas passaram a fa2er a dupla c*ecagem para <erificar se uma m?>uina >uem ela di2 ser !isto K e:iste uma traduo 68 GRADUAO EM REDES DE COMU!ADORES re<ersa para <erificar o nome da m?>uina e uma c*ecagem na resoluo de nomes de dom-nio para <er se este nomeK efeti<amenteK est? ligado ao endereo&# De no<oK este es>uema pode ser furado se for poss-<el poluir o ser<idor de nomes local# Para uma e:plicao de como isto pode acontecerK de<e'se <er o artigo do Hi:ie# Para ter certe2a de >ue isto podeK efeti<amenteK acontecerK %asta lem%rar'se do caso do ata>ue da (lternic aos ser<idores de nomes da rai2 >ue fi2eram o endereo internic#net apontar para uma m?>uina da (lternic durante um certo tempo# (lm do caso em >ue crackers mudaram o endereo de www!microsoft!com para uma p?gina de contra'propaganda# 6:0 > O CUNCIONAMEN!O DA RESO<UO DE NOMES 1s casos dos ata>ues citados acima foram resol<idos com os no<os 4IPDs !0#8#5 ou 7#+#+&# CasK nas pala<ras do atual respons?<el pelo 4IPDK Paul Hi:ieK o prFprio protocolo do DPS inseguro# ( seguirK apresentada uma r?pida e:plicao de como funciona o mecanismo de resoluo de nomesK %em como de alguns de seus pro%lemas# 6:0:$ > O CORMA!O DOS DA!AGRAMAS DE DNS Consultas e respostas de DPS usam um formato comumK em%ora nem todos os elementos do protocolo este"am presentes todo o tempo# 1 caso mais simplesK descrito a>uiK usa ODPRIPK onde cada datagrama contm uma consulta ou resposta de DPS# Seo de ca?ealGoH Descre<e as outras se.esK possui di<ersos flagsK inclusi<e o RD !recursion desired& e o (( !authoritati(e answer&K eK o mais importante neste conte:to de seguranaK os +5 %its identificadores da consultaK o -uer, $## Seo de consultaH Contm o nomeK a classe e o tipo do con"unto de registros de recursos !RRset& %uscados# (lguns podem no estar familiari2ados com o termo RRsetK mas imaginem uma consulta ao nome de um repositFrio muito popular e >ue pode ser atendido por di<ersas m?>uinas com diferentes endereos# 1 con"unto destes endereos de<e formar a resposta G consulta# 1%ser<em >ueK em%ora a maioria dos softEares ainda no ten*am se adaptado a esta no<a realidade da resoluo de nomesK perfeitamente <?lido um endereo ter di<ersas tradu.es re<ersasK isto K um con"unto de RRs do tipo PTR# 1 protocolo do DPS permite mais de uma consulta nesta seoK mas nen*uma das implementa.es atualmente em uso utili2a esta facilidade# Seo de respostaH W sempre <a2ia nas consultas# Contm o RRset >ue casa com a consulta ou est? <a2ia se o nome no e:isteK se foi feita uma consulta no recursi<a ou se a consulta resulta numa referncia !referral&# Seo de certi@io +authority.H W sempre <a2ia nas consultas# Pode estar <a2ia em respostas# Se no esti<er <a2iaK contm os RRsK PS e S1( da 2ona consultada# Isto c*amadoK geralmenteK de referral data# Seo de dados adicionaisH Tam%m sempre <a2ia em consultas e pode estar <a2ia em respostas# Se as se.es de resposta ou certifio possuem RRs cu"os campos de dados possuem outros nomes de RRK os RRsets destes nomes aparecem nesta seo# 6:4 > SER8IDORES E RESO<8EDORES 1 cliente do DPS c*amado de resol1edor de no)es eK normalmenteK constitu-do por uma %i%lioteca de fun.es >ue so compiladas e ligadas Gs aplica.es >ue as utili2am# 1 7; GRADUAO EM REDES DE COMU!ADORES ser<idorK como o prFprio nome di2K o ser1idor de no)es# 1 resol<edor tem uma configurao est?tica >ue l*e fornece uma lista de dom-nios de consulta e uma lista de endereos de ser<idores de nomes# =uando uma aplicao precisa resol<er um nomeK ela usa umas das fun.es da %i%lioteca# ( funo acionada conecta com o primeiro ser<idor da sua lista e inicia a procura ao nomeK completando'o com o primeiro nome da lista de dom-nios de consulta caso no e:ista um ponto no nome inicial# 1 ser<idor de nomesK usado para dar prosseguimento G consultaK dito encamin*?'la# Caso o mesmo no este"a configurado para fa2er recursoK ele somente poder? responder ao resol<edor com os nomes >ue possui na sua %ase de dados# Caso ele este"a configurado para fa2er recursoK a consulta este"a com o flag RD em um e o nome no for localK ele encamin*a a consultaK perguntando para os ser<idores de nome da ra-2K >ue por serem no recursi<osK respondem com um referral para um dos ser<idores de nomes dos dom-nios do topo# ( consulta prossegue para o primeiro ser<idor de nomes referenciado pelo ser<idor rai2 e continua descendo a ?r<ore de nomes do DPS at encontrar o nome da consulta ou uma resposta negati<a# Po camin*o de descida da ?r<oreK os ser<idores de nomes no ra-2es podem ser recursi<os# Se forem recursi<osK eles <o dar prosseguimento G consultaK isto K eles <o encamin*ar a consulta para o prF:imo ser<idor de nomes como se a consulta *ou<esse partido deles# De posse da respostaK o ser<idor de nomes recursi<o responde ao resol<edorRser<idor de nomes >ue l*e passou a consulta e arma2ena a resposta na sua cache# (ssimK se uma no<a consulta for feita para este nomeK o ser<idor poder? responder diretamente com o contedo da sua cache# =uando a resposta <em de um ser<idor de nomes >ue efeti<amente tem o dado procuradoK o flag (( <olta em um# Se a resposta <em da cache de um ser<idor no camin*o da resoluoK este flag aparece 2erado# 6:6 > RECERRA<S Oma c*ance de ata>ue acontece >uando um ser<idor de nomes rece%e uma consulta para a tupla dnomeK classeK tipoe >ue ele sa%e ter sido delegada e ele responde com um referral# Oma resposta deste tipo tem uma seo de resposta <a2iaK mas uma seo de certificao no <a2ia# ( inteno desta mensagem de contar para um outro ser<idor >ue o nome procurado tal<e2 e:ista mas >ue este ser<idor no tem a respostaK tente os outros ser<idores indicados# 'eferrals defeituosos so uma %oa maneira de poluir uma cache indiretamente# Se o atacante puder TescutarT uma consulta encamin*ada e in"etar uma resposta referralK ele pode fa2er o ser<idor de nomes encamin*ador da consulta acreditar >ue o atacante possui o ser<idor delegado para toda a su%'?r<ore consultada# 9sta a maneira mais f?cil de poluir uma cac*e "? >ue nen*uma adi<in*ao est? en<ol<ida no processo: o atacante sa%e o endereo fonteK a porta ODP fonte e o >uerLID por inspeo do pacote TescutadoT# 1%ser<e >ue no foi instalada uma escuta na rede local da usu?ria preocupada com seguranaK mas numa rede e:terna so%re a >ual ela no tem o menor controle# 6:5 > ENCAMINTAMEN!O E RECURSO =uando um ser<idor de nomes rece%e uma consulta por um nome >ue ele no possuiK ele pode mandar de <olta uma resposta de erro !se ele for o certificadorRdono da 2ona do nomeK ele 7+ GRADUAO EM REDES DE COMU!ADORES sa%e se o mesmo e:isteK ou no&K mandar de <olta um referral !se esti<er rodando no modo no recursi<oK como fa2em os ser<idores da rai2K ou se o flag RD esti<er 2erado na consulta ' opo de consulta no recursi<a utili2adaK por e:emploK no aplicati<o nsloo-upK para determinar se um nome e:terno est? na cache de algum ser<idor de nomes& ouK aindaK pode encamin*ar a consulta# 9sta ltima possi%ilidade interessa ao estudo de segurana pelos efeitos do seu resultado final# 1 4IPD le<a a tarefa de encamin*amento um pouco alm de responder G consulta original: como uma tentati<a de otimi2aoK o seu ser<idor de nomes coloca na sua cache todos os RRsets das respostas encamin*adas# 9sta promiscuidade a principal fonte da m? reputao do 4IPDK tanto na ?rea de opera.esK como na de segurana# 1s ser<idores >ue transmitiram a resposta esto li<res para colocarem o >ue %em >uiserem nas respostasK mesmo >ue no ten*a nen*uma relao com a consulta# Paul Hi:ie cita outros pro%lemas >ue podem le<ar G poluio da cache de um ser<idor de nomes# Como foi citado no in-cio do artigoK muitos dos %uracos "? foram tapadosK mas e:istem pro%lemas de %ase >ue so pro<ocados pelo prFprio protocolo do DPS >ue no fornece mecanismos para <erificar a autenticidade das respostas dos ser<idores de nomes# W neste >uadro >ue entra o DPSS9C# 9le pro< uma maneira de certificar o resultado das consultas# 6:7 > O DNSSEC DPSS9C o nome dado Gs e:tens.es de segurana >ue esto sendo propostas para o protocolo do DPS# 9le definido pela R@C ,;53K em%ora se"a ainda considerado por muitos como um tra%al*o em progressoK pois no e:iste nen*uma implementao de uso corrente# Paul Hi:ieK num e-mail recente para a lista de usu?rios do 4IPDK disse >ue o desen<ol<imento de um 4IPD com suporte de DPSS9C de<e ser acelerado agora >ue a ISC !$nternet Software Consortium& conseguiu uma pessoa para tra%al*ar nistoK e um acordo esta<a em andamento para permitir o usoRdistri%uio de %i%liotecas de criptografia "unto com o 4IPD# ( R@C ,;53 trata de detal*es %astante comple:os das altera.es propostasK o te:to a seguir dar? apenas uma %re<e introduo ao uso do DPSS9C para resol<erRatenuar o pro%lema de segurana descrito# 6:7:$ > SER8IOS NO8OS DO DNSSEC (s e:tens.es propostas fornecem / ser<ios distintos: distri%uio de c*a<esK certificao da origem dos dados e certificao da transao e re>uisio# Seguindo a filosofia original do DPSK os dados so de dom-nio p%lico e no e:iste diferenciao dos clientesK isto K todos rece%em a mesma resposta !pelo menos no protocoloK o prFprio 4IPD fornece maneiras de proteger os dados&# (s e:tens.es no pretendem incluir nen*um tipo de lista de acesso ou outros meios de diferenciar os resol<edores de nomes# (s e:tens.es introdu2iro / no<os RRs: NEYK SIG e NJ!# ( R@C ,;53 detal*a o formato destes RRs# Peste artigoK elas sero citadas no seu usoK para maiores detal*es os leitores so con<idados a ler a R@C# 6:$# > DIS!RI%UIO DE CTA8ES 7, GRADUAO EM REDES DE COMU!ADORES Om RR c*amado NEY foi especificado de forma a permitir ao DPS a distri%uio de c*a<es p%licas de criptografia# 9ste RR inclui campos com um identificador de algoritmoK parDmetros necess?rios ao uso da c*a<e p%licaK alm de uma srie de indicadoresK tais como o tipo da entidade associada G c*a<e ou a ausncia de associo da c*a<e com entidades# RRs h9i sero ane:ados G seo de dados adicionaisK automaticamenteK pelos ser<idores de nomes segurosK sempre >ue poss-<el# 6:$$ > CER!ICICAO DA ORIGEM E DA IN!EGRIDADE DOS DADOS ( certificao ser? o%tida por assinatura criptogr?fica associadas aos RRs# Cada RR de uma 2ona ter? associado um RR SIG# GeralmenteK *a<er? uma nica c*a<e pri<ada >ue assinar? por toda uma 2ona# Se um resol<edor seguro aprender de modo confi?<el a c*a<e p%lica da 2onaK ele poder? <erificar se os dados assinados so certificados e ra2oa<elmente atuais# 9sta c*a<e de certificao da origem dos dados pertence G 2ona e no aos ser<idores >ue arma2enam cFpias dos dados# Isto significa >ue o comprometimento de um ser<idorK ou at mesmo de todos os ser<idores de uma 2onaK no necessariamente afeta o grau de garantia >ue um resol<edor tem de >ue ele pode determinar se o dado leg-timo# ( transmisso de RR SIGs assinando os RR das respostas no resol<eK entretantoK o pro%lema das respostas negati<asK isto K a resposta dada por um ser<idor >uando um nome no e:isteK ou o tipo procurado no e:iste# Isto resol<ido com a introduo do RR NJ! !non- existent&# 9ste RR carrega a informao de >ue o nome procurado no e:isteK o nome mais prF:imo imediatamente anterior !tal<e2 o prFprio& e os tipos !(K CQK I1CK ###& a ele associados# Como os outros RRsK o RR PQT ser? assinado e ter? um RR SIG associado# 9stes RRs !PQT e SIG& de<ero ser gerados a partir dos ar>ui<os de 2onas utili2ados no DPS atualK usando uma c*a<e pri<ada guardada no ser<idor de nomes prim?rio !master&# 9les no so gerados dinamicamente# PortantoK no significam um acrscimo significati<o de processamento para o ser<idor de nomes# 9:istem dois casos em >ue um RR SIG no assinado pela c*a<e pri<ada da 2ona# 1 primeiro caso d? suporte G atuali2ao dinDmica >uando algumas esta.es tm permisso para atuali2ar dinamicamente !DPS dinDmico& dados de uma 2ona# ( estao ficaK entoK respons?<el tam%m pela assinatura dos RRs modificados# ( c*a<e p%lica desta estao estar? presente no ar>ui<o da 2ona e ser? assinada como os outros RRs da 2onaK mas os RRs atuali2adosRmodificados de<em ser assinados pela estao# 1 segundo caso suporta a certificao da transao e da re>uisio# ( assinatura dos RRs no protege os ca%eal*os das mensagens do DPS nem suas re>uisi.es# Se os %its do ca%eal*o foram falsificados por um ser<idorK e:iste pouca coisa >ue pode ser feita# 9ntretantoK poss-<el adicionar a certificao da transao# Tal certificao significa >ue um resol<edor pode ao menos ter certe2a >ue ele est? rece%endo a resposta do ser<idor para >uem ele acredita ter passado a consulta e >ue a mensagem no foi manipulada no camin*o# Isto feito adicionandoK opcionalmenteK um RR SIG no final de uma resposta >ue assina a concatenao da resposta do ser<idor com a consulta do resol<edor# 7/ GRADUAO EM REDES DE COMU!ADORES Consultas tam%m podem ser assinadas com um RR SIG# Po DPS atualK tais assinaturas no so usadas masK no futuroK elas podem ser teis para re>uisi.es de atuali2ao dinDmica ou consultas especiais# 1 protocolo detal*a di<ersos aspectos de implementao >ue no sero tratados neste artigo mas >ue o leitor mais interessado de<e <erificar na R@C ,;53# 9m particularK interessante <er o tratamento da assinatura de transferncia de 2ona para ser<idores escra<osK dos pro%lemas >ue en<ol<em os CP(C9sK da e:pirao das assinaturasK os algoritmos de criptografia considerados e o formato das mensagens# CONC<USO Po est?gio atualK a certificao pelo nome usando o DPS altamente insegura# Protocolos implementados pelos comandos rsGB rlo'inB rcp e telnet de<em ser usados com muito cuidado e os administradores de sistema de<em <igi?'los com tcp wrappers ou filtr?'los nos seus roteadores# ( principal causa desta insegurana <em da possi%ilidade de poluirRadulterar o contedo das caches dos ser<idores de nomes do DPS >ue so utili2ados para a certificao por nome# 9m%ora muitos dos pro%lemas no passado com o 4IPD ten*am sido creditados a erros de implementaoK e:istem omiss.es de segurana no prFprio protocolo do DPS atual >ue permitem ata>ues no muito comple:os aos ser<idores de nome# Oma soluo para parte destes pro%lemas de segurana no DPS proposta na R@C ,;53 com algumas e:tens.es ao protocolo atual# 9stas e:tens.es procuram <alidar os dados atra<s de assinaturas criptogr?ficas digitais# Para tantoK foram criados / no<os RRsK h9iK SIG e PQT# Dessa formaK o DPS poder? ser<ir tam%m como uma maneira de distri%uir c*a<es p%licas !RR h9i& para outros usosK alm da <alidao dos seus prFprios dados# Com o uso de ser<idores de nomes segurosK isto K ser<idores >ue assinem os seus RRsK e resol<edores seguros poss-<el garantir >ue os dados foram emitidos por >uem se espera e no por algum tentando in<adir o seu sistema# (lm dissoK o DPSS9C fornece uma estrutura de <alidao poss-<el para o DPS dinDmico >ue pode torn?'lo menos perigoso do ponto de <ista de segurana# 70 GRADUAO EM REDES DE COMU!ADORES CA;!U<O #5 SEGURANA EM SER8IDORES DE EMAI< > SAM 5:$ > IN!RODUO ( Internet surgiu sem grandes pretens.esK <oltada para interesses %em espec-ficos: ensino e pes>uisa# Mo"eK na entrada no no<o milnioK nos deparamos com uma rede >ue conecta computadores no mundo todoK usada para os mais di<ersos fins e por uma comunidade de usu?rios cada <e2 mais *eterognea# 1 comrcio eletrZnico uma realidade e estamos presenciando a c*amada democrati2ao da Internet# Com certe2aK este panorama tem inmeras <antagensK mas algumas regras %?sicas tm se perdido# Pode'se di2er >ue algumas Tnormas de %om comportamentoT ou Tnormas %?sicas de con<i<ncia em sociedadeT tm sido relegadas a segundo plano por parte da comunidade <irtual# 9ntretantoK o mau uso da rede pode tornar a <ida dos mil*.es de usu?rios e profissionais da Internet um <erdadeiro pesadelo# 9ste artigo trata de um dos maiores pesadelos da Internet atualmente: o SP(CK ou se"aK o rece%imento de mensagens no solicitadas# Herifi>ue sua cai:a postal neste momento: praticamente imposs-<el >ue <oc no ten*a rece%ido *o"e nen*um e'mail de propagandaK uma proposta de gan*o de din*eiro f?cilK ou tal<e2 >uem sa%e uma corrente da sorteN 5:( > O KUE L SAM 1 termo SP(CK longe do mundo <irtualK K na <erdadeK a marca de um presunto enlatado americano !*ttp:RREEE#spam#comR&K >ue no tem relao com o en<io de mensagens eletrZnicas no solicitadasK e:ceto pelo fato de >ueK na srie de filmes de comdia do ContL PLt*onK alguns HiBings desa"eitados pediam repetidas <e2es o referido presunto# Po am%iente da InternetK SP(C considerado um a%uso e se refere ao en<io de um grande <olume de mensagens no solicitadasK ou se"aK o en<io de mensagens indiscriminadamente a <?rios usu?riosK sem >ue estes ten*am re>uisitado tal informao# 1 contedo do SP(C pode ser: propaganda de produtos e ser<iosK pedido de doa.es para o%ras assistenciaisK correntes da sorteK propostas de gan*o de din*eiro f?cilK %oatos desacreditando o ser<io prestado por determinada empresaK dentre outros# Discutiremos os tipos mais comuns de SP(C na prF:ima seo# Com certa fre>VnciaK os e'mails de SP(C so c*amados de "unB e'mailsK ou se"aK li:o# Seguindo com a terminologiaK >uem en<ia SP(C c*amado de spammer# ( maneira mais formal de se referir a SP(C O49K Onsolicited 4ulB 9'mail# Pode'se tam%m usar o termo OC9K Onsolicited Comercial 9'mailK >uando se trata de SP(C contendo propaganda de modo geral# 5:* > !IOS DE SAM 1s tipos mais comuns de SP(CK considerando contedo e propFsitoK so: 5:*:$ > %OA!OS E CORREN!ES 1s %oatos e as correntes na Internet tm algo em comum: pedem para serem en<iados a todas as pessoas >ue <oc con*ece# Tais e'mails se apresentam com di<ersos tipos de contedoK 73 GRADUAO EM REDES DE COMU!ADORES sendo na maioria das <e2es *istFrias falsas ou antigas# Para atingir seus o%"eti<os de propagaoK os %oatos e correntes apelam para di<ersos mtodos de engen*aria social# 1s %oatos !*oa:es& so te:tos >ue contam estFrias alarmantes e falsasK >ue instigam o leitor a continuar sua di<ulgao# GeralmenteK o te:to comea com frases apelati<as do tipo: Ten<ie este e'mail a todos os seus amigos###T# (lgumas classes comuns de %oatos so os >ue apelam para a necessidade >ue o ser *umano possui de a"udar o prF:imo# Como e:emplos temos os casos de crianas com doenas gra<esK o caso do rou%o de rinsK etc# 1utros tipos de %oatos so a>ueles >ue difamam empresas ou produtosK prometem %rindes ou gan*o de din*eiro f?cil# Continuando com os e:emplosK temos e'mails so%re a e:istncia de certa su%stDncia cancer-gena em determinado produtoK o caso do e'mail >ue trata<a da distri%uio gratuita de telefones celularesK de <iagens gratuitas a DisneLEorldK etc# (inda dentre os %oatos mais comuns na redeK pode'se citar a>ueles >ue tratam de cFdigo maliciosoK como <-rus ou ca<alos de trFia# Peste casoK a mensagem sempre fala de <-rus poderos-ssimosK capa2es de destruir seu computador e assim por diante# Om dos mais famosos o Good TimesK >ue circulou pela rede durante anos eK de <e2 em >uandoK ainda aparece um remanescente en<iado por internautas desa<isados# Para maiores informa.es so%re %oatos e <-rusK consulte o site Computer Hirus CLt*s: *ttp:RREEE#<mLt*s#comR Po 4rasilK os %oatos mais recentes foram so%re o rou%o da (ma2Znia e a fiscali2ao de softEare em aeroportos# He"a mais detal*es em *ttp:RREEE#spam#orgR# (s correntesK c*ain lettersK so te:tos >ue estimulam o leitor a en<iar <?rias cFpias a outras pessoasK gerando um processo cont-nuo de propagao# So muito semel*antes aos %oatosK mas o mecanismo usado para incenti<ar a propagao um pouco diferenteK pois a maioria das correntes promete sorte e ri>ue2a aos >ue no as interrompem e anos de m? sorte e desgraa aos >ue se recusam a en<iar P cFpias do e'mail para i pessoas nas prF:imas Q *orasY Como e:emplo temos a corrente dos -ndios da sorteK dentre tantas outras# 1 CI(C mantm um site so%re %oatos e correntes em *ttp:RR*oa:%usters#ciac#orgR# 5:*:( ROAGANDAS 1s SP(Cs com o intuito de di<ulgar produtosK ser<iosK no<os sitesK enfimK propaganda em geralK tm gan*o cada <e2 mais espao nas cai:as postais dos internautas# Po o o%"eti<o deste artigo discutir a legitimidade da propaganda por e'mailK mas sim discutir SP(CK e muitas empresas tem usado este recurso para atingir os consumidores# Isto sem contar a propaganda pol-tica >ue inundou as cai:as postais no ltimo ano# Hale ressaltar >ueK seguindo o prFprio conceito de SP(CK se rece%emos um e'mail >ue no solicitamosK estamos sim sendo <-timas de SP(CK mesmo >ue se"a um e'mail de uma super'promoo >ue muito nos interessa# 1 maior pro%lema com a propaganda por SP(C >ue a Internet se mostra como um meio frtil para di<ulgao de produtosK atinge um grande nmero de pessoas e a %ai:o custoK sendo >ue na <erdadeK >uem paga a conta >uem rece%e a propagandaK como discutido anteriormente# 5:*:* > OU!RAS AMEAAS 75 GRADUAO EM REDES DE COMU!ADORES (lguns SP(Cs so en<iados com o intuito de fa2er ameaasK %rincadeiras de mau gosto ou apenas por di<erso# (inda assim so considerados SP(C# Casos de e:'namorados difamando e:'namoradasK e'mails for"ados assumindo identidade al*eia e a>ueles >ue di2em: Tol?K estou testando uma no<a ferramenta spammer e por isto <oc est? rece%endo este e'mailTK constituem alguns e:emplos# Hale lem%rar >ue no *? legislao espec-fica para casos de SP(C# Po entantoK pode'se en>uadrar certos casos nas leis <igentes no atual CFdigo Penal 4rasileiroK tais como: calnia e difamaoK falsidade ideolFgicaK estelionatoK etc# 5:/ > A<GUNS AR!IC;CIOS USADOS E<OS SAMMERS Cuitos so os artif-cios usados pelos spammers para con<enc'lo de ter rece%ido um e'mail <?lido e no um SP(CK alguns dos mais usados so: 5:/:$ > One>ti)e e>)ails Certas mensagens di2em >ue sero en<iados somente uma <e2 e >ue <oc no precisa se preocupar pois no ser? importunado no<amente# Trata'se de SP(C e %em pro<?<el >ue <oc rece%a outras cFpias do mesmo tipo de e'mail# TCaso no ten*a interesse em continuar rece%endo este tipo de mensagemK por fa<or solicite sua retirada de nossa lista de distri%uioK en<iando e'mail para remo<e'me'from' list$###T 9ste um dos artif-cios mais fre>Ventes usados atualmente# So os SP(Cs do tipo Tremo<e meT# Po respondaY Pa <erdadeK ao responder <oc estar? confirmando a legitimidade de seu e'mail e este possi<elmente ser? inserido em malas direta de spammers pelo mundo afora# TSe este assunto no l*e interessaK apenas delete este e'mail !Just *it delete&T 1utra categoria de disfarces usados em SP(C so os >ue pedem para serem remo<idos ou ignoradosK caso no se"am de seu interesse# Peste casoK antes de remo<'loK siga as orienta.es da seo 5 deste artigoK ou se"aK reclame# Simplesmente deletar e no reclamarK ignorando o SP(CK pode torn?'lo coni<enteK pois o spammer continuar? atuando tran>Vilamente# THoc se cadastrou em nosso site eK portantoK est? rece%endo esta mensagem# Caso >ueira sair de nossa lista de di<ulgao###T Oma <ariao do tipo remo<e me# (lguns SP(Cs se utili2am dos recursos <?lidos de cadastro on'line de determinados sites para dar legitimidade ao e'mail# Po<amenteK no responda e reclame# THoc foi indicado por um amigo e por isso estamos contatando'o# Caso >ueira sair de nossa lista de di<ulgao###T 1utra <ariao do tipo remo<e me### De fatoK pode ser >ue <oc ten*a sido indicado por um amigo# Peste casoK um amigo spammer S'&# TDe acordo com a lei ::::K este e'mail no pode ser considerado SP(C###T 76 GRADUAO EM REDES DE COMU!ADORES Oma das perguntas mais fre>Ventes so%re SP(C no ano passado foi com relao a esta suposta lei citada no final de <?rios SP(Cs# Po e:iste lei nem decreto >ue regulamente SP(CY Para maiores detal*esK consulte *ttp:RREEE#spam%r#orgRcongresso#*tml# TConsultamos sua *ome pageK e sua empresa foi selecionada para participar de ### 9speramos no ter importunado com nosso contato###T DecididamenteK isto SP(C# Para todos os e:emplos citados acimaK siga os passos descritos na seo 6 deste artigo para garantir >ue pro<idncias se"am tomadas e >ue o SP(C no caia no es>uecimento: reclame e e:i"a pro<idncias# 5:0 > RE8ENO Po e:iste uma receita milagrosa capa2 de solucionar todos os pro%lemas relacionados a SP(C# Po entantoK alguns cuidados de<em ser tomados pelo administrador da redeK en>uanto outros de<em ser tomados pelo usu?rio# 5:4 > RECOMENDADES AO USU=RIO 1 nmero de usu?rios na Internet cresce assustadoramente a cada minutoK sendo >ue muitos esto aprendendo a <i<er ou so%re<i<er nesta Taldeia glo%alT# (ssimK ca%e ao administrador de rede conscienti2ar seus usu?rios so%re regrasK dicas e cuidados >ue de<em ser seguidos para mel*or con<i<er no mundo <irtual# Como agir diante do rece%imento de SP(CK como no incenti<ar o surgimento de SP(CK ou aindaK cuidados para no se tornar um spammerK de<em fa2er parte deste treinamento dos usu?rios# ( seguirK so listados alguns consel*os %?sicos aos usu?rios: 5:4:$ > Si'a a NetiWueta 9m%ora a filosofia da Internet se"a um tanto >uanto an?r>uicaK e:istem algumas regras %?sicas de %om comportamento na rede# (lgo como as regras de %oa educao para <i<er em sociedade: Tpor fa<orTK To%rigadoTK Tcom licenTK Tno gritarT e assim por diante# 1 R@C +733K >ue trata da Peti>uetaK pode parecer antigo por ser de +883K mas ainda muito ade>uadoK principalmente com relao a comunicao por e'mail e JJJ# (os >ue no con*ecem a Peti>uetaK consulte as referncias d/e e d3eK alm da Peti>uette Mome Page em *ttp:RREise#fau#eduRneti>uetteRneti>uette#*tml# 5:4:( > No repasse ?oatos ou correntes Herifi>ue sempre a <eracidade de uma determinada mensagem antes de repass?'la# Pa d<idaK no repasse# 9:istem casos de funcion?rios demitidos por "usta causa e processados por repassarem %oatos# =uando decidir repassar mensagens deste tipoK mesmo apFs certificar'se da <eracidade da mesmaK restrin"a ao m?:imo os destinat?rios e pense sempre se seus amigos estariam realmente interessados em rece%er tal informao: cuidado para no se transformar num 77 GRADUAO EM REDES DE COMU!ADORES spammer# ( regra %?sica : fu"a das correntes e fi>ue atento aos %oatosY Po caia em Tcontos do <ig?rioT: remo<e me###K "ust delete###K etc# @i>ue atento ao contedo dos SP(Cs rece%idos e no se"a ingnuoK no caia nos artif-cios usados pelos spammersK como e:emplificado na seo 0 deste artigo# Punca responda para um spammerK nem se en<ol<a em discuss.es com o mesmo# Isto gera mais SP(CY (o rece%er um SP(CK entre em contato com os administradores de sua rede ouK se preferir reclamar diretamenteK faa'o endereando a notificao aos administradores da rede origem do SP(CK como mostrado na seo 6# Po responda ou tente reclamar diretamente ao spammerK caso se"a poss-<el identific?'lo no e'mail# (gindo desta maneiraK <oc estar? se en<ol<endo em discuss.es >ue no solucionaro o pro%lemaK podendo inclusi<e aument?'lo# (final um spammer con<icto poder? gerar algum es>uema de retaliao >ue sF far? piorar a situao# Po tente re<idarK atacando o spammer: este tipo de retaliao no funciona# ( idia de Tol*o por ol*oK dente por denteT no se aplica neste conte:to# Po tente re<idar a pertur%ao ou at mesmo o ata>ue rece%ido de um spammer# 9ste tipo de atitude no ticaK no recomend?<el e no <ai resol<er o pro%lema# Se <oc decidir retaliar um SP(CK usando o mesmo mtodoK lem%re'se >ue estar? se tornando um spammer# (lm distoK e:istem <?rias maneiras de se for"ar um e'mail de SP(C eK portantoK <oc est? arriscado a retaliar o dom-nio errado# @inalmenteK a retaliao estar? atraindo mais ateno e pu%licidade para o spammer: tudo o >ue ele mais >ueriaY Cuidados de *igiene com seu!s& e'mail!s& 9<ite se cadastrar em sites >ue prometem no di<ulgar seus dados# 9<ite se cadastrar em <?rios sites e listas de di<ulgao de atuali2a.es de informaoK etc# Caso sua postura pessoal se"a de um internauta ?<ido por informa.es e >ue gosta de rece%er malas diretasK di<ulgao de sitesK etcK entoK uma pr?tica recomendada e muito utili2ada manter contas de e'mail separadas para seus interesses pessoaisK fora do am%iente do tra%al*oK isto pode no solucionar o pro%lemaK mas a"uda a minimi2?'lo# Ten*o amigos >ue di2em: T(*Y Pas min*as na<ega.es pela redeK sF uso a min*a conta ^fulano$pro<edorjQ_: ela para os SP(CsYT @iltros (lguns programas clientes de e'mail apresentam funcionalidades >ue permitem filtrar e' mails de SP(C# Po<amenteK tais funcionalidades no resol<em todos os pro%lemasK mas podem dri%lar um pouco a >uestoK diminuindo o <olume de "unB e'mails em sua cai:a postal# Iem%re' se sempre de relatar ao administrador de sua rede o rece%imento de SP(CsK ele poder? incrementar a pol-tica de defesa contra SP(C da rede como um todo# 5:5 > COMO AGIR DIAN!E DE UM SAM 78 GRADUAO EM REDES DE COMU!ADORES 1 mandamento %?sico reclamar# Po se de<e ignorar o rece%imento de SP(CK pois isto encora"a cada <e2 mais este tipo de pr?tica# 9m se tratando do usu?rio finalK recomenda'se contatar o administrador de sua redeK notificando o SP(CK en<iando o e'mail rece%ido com o *eader completo# Caso o usu?rio final decida reclamar ele prFprioK ento de<e seguir as orienta.es a%ai:o# Com relao ao administrador de redeK responsa%ilidade deste reclamar dos SP(Cs rece%idos pelos usu?riosK assim como tomar pro<idncias em caso de uso de seu ser<idor de e' mail como relaL ou aindaK em casos de SP(Cs en<iados por usu?rios de sua rede# Para reclamar de um SP(C rece%idoK de<e'se: 9n<iar a notificao ao administrador ou contato tcnico pela rede origem do SP(CS nunca diretamente ao spammerY ( notificao de<e ser en<iada tam%m para a%use$dominiojspammer e para os grupos de segurana respons?<eis pelas redes <-tima e spammerS (ne:ar G reclamaoK o *eader completo do e'mail de SP(C# 1 *eader a pea principal a ser in<estigada num SP(CK analise'o cuidadosamenteK identificando a rede origem e e<entuais ser<idores usados como relaL# 9sta a parte mais complicadaK pois o *eader de SP(C no confi?<el e pode ter sido for"ado em <?rios n-<eis# (lgumas dicas so%re an?lise de *eader: Desconfie dos campos @R1C: e T1:# 9les podem conter usu?rios in<?lidosK dom-nios in<?lidos ou TspoofadosTK isto K os dom-nios usados no @R1C: e no T1: podem ser ine:istentesK ou ainda no seremK de fatoK a origem do SP(C# 9ste recurso usado para confundir e distrair a ateno do administrador ao tentar identificar a origem do SP(CK ou em outros casos para difamar o dom-nio TspoofadoTS 9:amine todos os nmeros IP e dom-nios >ue aparecem no *eaderK tente resol<'los pelo DPSS 9studeK detal*adamente# Se con*ecer a sinta:e dos *eaders geradosK maiores sero as c*ances de sucesso no processo de an?lise de *eaders de SP(CS Cuidado com ferramentas de an?lise autom?tica de *eadersK elas podem gerar resultados falsos e originar reclama.es incoerentes# (ne:ar G reclamaoK o contedo da mensagem de SP(CK somente se incluir informa.es rele<antes para uma e<entual in<estigaoS 9m caso de uso de relaLK de<e'se copiar a reclamao para o administrador ou contato tcnico pela rede >ue *ospeda o ser<idor usado como relaLK para a%use$dom-niojrelaL e para o grupo de segurana respons?<el pela rede em >uestoS 1pcionalmenteK pode'se encamin*ar a reclamao com cFpia para o C(PS atra<s do e'mail relaLs$mail'a%use#orgK incluindoK no corpo da mensagemK a direti<a: RelaL:^IP'do' ser<idor'com'relaL_K este procedimento um tipo de denncia autom?tica# 8; GRADUAO EM REDES DE COMU!ADORES Se o administrador rece%er denncias de SP(C partindo de sua redeK as recomenda.es so: Identificar o usu?rio >ue en<iou o SP(CS (d<ertir ou punir o usu?rio spammer de acordo com as (OPsS Responder ao reclamante# Por outro ladoK caso a notificao se"a de uso do ser<idor de e'mail como relaLK o administrador de<e tomar as pro<idncias para corrigir o pro%lema o mais r?pido poss-<elK so% pena de ser coni<ente com o en<io de SP(CK en>uanto no solucionar a >uesto e responder aos reclamantes# Po caso de notificao rece%ida da 1R4sK necess?rio ainda solicitar a remoo do nmero IP do ser<idor da %ase mantida pela entidade# 5:7 > CONC<USO 1 <olume de SP(C na Internet tem aumentado assustadoramenteK e isto tem preocupado usu?rios e administradores# 1 repdio ao SP(C na rede no surge gratuitamenteK mas sim graas a fatores como: a pertur%aoK c*ateao e mau *umor das <-timasS o pre"u-2o causado com o desperd-cio de recursos >ue <oK desde o tempo gasto pelos mil*.es de internautas em limpar suas cai:as postais todos os diasK at o tempo gasto pelos administradoresK grupos de com%ate ao SP(C e grupos de segurana em tentar de alguma maneira coi%ir tal atoK culminando no desperd-cio e at degradao de desempen*o de ser<idores e da rede# (os leitores >ue se interessam pelo temaK recomenda'se consultar os sites de entidades recon*ecidas pelo com%ate ao SP(C: 1R4SK C(PSK C(OC9K C(O49K SpamCopK (%use#net e Co<imento 4rasileiro de Com%ate ao SP(C# W dif-cil encarar com otimismo o panorama apresentado na Internet *o"e com relao ao pro%lema de SP(C# Para diminuir o pro%lema ca%e a cada um cola%orar: no se omitindoK no sendo coni<enteK reclamandoK e:igindo pro<idnciasK se pre<enindo para e<itar >ue os SP(Cs in<adam definiti<amente sua cai:a postal e a Internet de modo geral# 8+ GRADUAO EM REDES DE COMU!ADORES CA;!U<O #7 > SEGURANA EM SER8IDORES DE EMAI< > RE<AY +SER8IDORES DE EMAI<. 7:$ > IN!RODUO Oma retransmiss7o de mail por terceiros acontece >uando um ser<idor de mail processa uma mensagem onde nem o remetenteK nem o recipiente um usu?rio local# Isto ilustrado na figura G direita# Peste e:emploK am%os o remetente e o recipiente esto fora do dom-nio local# 1 ser<idor de mail uma entidade totalmente no relacionada a esta transao# ( mensagem realmente no tem nen*um tipo de relao com este ser<idor# ( retransmisso por terceitos tem alguns usos leg-timos# 1s administradores de redes usaram isto para depurar a conecti<idade de mail# @oi usado para contornar pro%lemas de mail con*ecidos# 9m%ora isto se"a raramente necess?rioK demonstrou ser til nessas ocasi.es# Pos dias de *o"eK entretantoK os usos leg-timos da retransmisso de mail so decrementados pelo nmero de se->estros de mails !Tmail hi=ackingsT&# Om se>Vestro acontece >uando so retransmitidas >uantias <olumosas de mail atra<s de um ser<idor# ( maioria dos se>Vestros so feitos por pessoas >ue en<iam T"unB mailT '' os assim c*amados spammers '' tentando en<iar as suas mensagens no dese"adas por toda a Internet# (ntigamenteK a retransmisso de mail era uma ferramenta til# (tualmenteK graas aos spammersK a retransmisso de mail uma ameaa significati<a a opera.es na Internet# 7:( > OR KUE OS SAMMERS RE!RANSMI!EMM 9:istem <?rias ra2.es pelas >uais os spammers utili2am a retransmisso por terceiros# 9:istem <?rias opera.es de spam dedicadas inundando a rede com mails indese"ados de locais fi:os e con*ecidos# Cuitos administradores de rede comearam a filtrar todas as cone:.es destas opera.es denominadas spamhaus# 1s spammers ti<eram >ue desen<ol<er no<as tcnicas para escapar dos %lo>ueios# Sua tcnica atual fa<orita se>Vestrar um ser<idor de mail por terceiros# 1s spammersK em efeitoK limpam seus T"unB mailsT atra<s da retransmisso de terceiros para passar pelos filtros de spam# 1s Spammers usam a retransmisso para aumentar o nmero de mensagens >ue eles podem en<iar# Om simples PC >ue est? na ponta de uma lin*a telefZnica sF pode en<iar um nmero limitado de mensagens# SeK entretantoK o spammer tomar controle de um *ost de mail poderoso com uma cone:o de rede super r?pidaK ento eles podem en<iar centenas de <e2es mais T"unB mailsT# (lm dissoK se o spammer puder retransmitir atra<s de <?rios ser<idores de mail em paraleloK eles poderam inundar a rede com >uantidades e:traordin?rias de T"unB mailsT# ( crena do spammer K Por que pagar por recursos de redes e computao caras quando ns podemos roubar os seus? 1s Spammers podem esconder'se atr?s da retransmisso de terceiros# Se um spammer en<ia um T"unB mailT diretamenteK os gerentes da rede podem locali2ar a sua cone:o e podem lidar com o pro%lema# SeK ao in<sK o spammer retransmitir o mailK eles podem o%scurecer a sua identidade# Cesmo >ue o spammer no consiga se esconder completamenteK eles des<iaro uma 8, GRADUAO EM REDES DE COMU!ADORES poro significante das reclama.es para longe delesK direcionando'as aos administradores do *ost se>Vestrado# De fatoK muitos spammers for"am falsos ca%eal*os de mail para encora"ar este redirecionamento# 1s Spammers se>Vestram ser<idores de mail por>ue aumenta grandemente a >uantia de spam >ue eles podem entregarK tudo com nen*um custo para eles# Claro >ueK eles esto rou%ando '' e possi<elmente danificando '' seus recursos para fa2er isto# Isso no concerne ao spammer# 1 negFcio inteiro de T"unB mailT um es>uema constru-do no princ-pio de repassar os custos aos outros# 7:* > OR KUE EU KUERO ARAR A RE!RANSMISSOM Se o seu ser<idor de mail <ulner?<el a retransmisso de mail por terceirosK <oc ter? >ue agir a'ora para eliminar este pro%lema# Po espere >ue um spammer se>Vestre seu ser<idor de mail e precipite uma crise# (>ui esto algumas das ra2.es por >ue parar a retransmisso: 7:*:$ > Seu siste)a de )ail pode parar ou ser dani@icado: 1s Spammers esto cometendo roubo de ser(i6o >uando eles retransmitem mail# 9les esto rou%ando a capacidade da rede de algumK espao de disco e poder de processamento# ks <e2es eles rou%am tanto >ue isso gera uma parada '' tal<e2 at mesmo uma destuio# 9ste ata>ue c*amado de nega67o de ser(i6oK por>ue o ser<io >ue <oc depende !seu email& de repente dei:a de funcionar# Hoc pode sofrer uma paradaK ou tal<e2 at mesmo perder dados <aliosos# Se <oc proteger o seu ser<idor contra a retransmissoK <oc se protege contra a perda ou danos# 7:*:( > O resultado ser& e2traordinaria)ente caro: Om ata>ue de retransmisso de mail somente o comeo dos seus transtZrnos# Hoc ter? >ue gastar de2enas ou centenas de pessoaR*oras no plane"adas para se recuperar da crise# 1 tra%al*o incluir? limpar tudo desnecess?rio no mail spoolK locali2ando e resta%elecendo >uais>uer mensagens de mail leg-timas >ue <oc puder recuperar eK finalmenteK implementando as defesas >ue teriam pre<enido isto em primeiro lugar# Hoc ter? >ue e:plicar a todos os seus usu?rios por >ue o mail est? fora do ar e l*es a"udar? a locali2ar as suas mensagens perdidas# 1 pior de tudo >ue <oc ser? perseguido durante semanas apFs issoK lidando com <-timas enfurecidas do spam ao longo da Internet# Tudo isso pode ser seuK simplesmente escol*endo e<itar o tra%al*o necess?rio para proteger seu ser<idor de mail# 7:*:* > Sua reputao ser& )ancGada e a sua credi?ilidade dani@icada: Hoc tra%al*ou duro para construir um %om nome para a sua organi2ao# =uando <oc se torna <-tima de uma retransmisso de mailK <oc pode assistir todo a>uele tra%al*o duro ser destru-do em uma tarde# 9 at piorK se <oc pro< ser<ios de Internet ou uma compan*ia de tecnologiaK um ata>ue de retransmisso pode di2imar a sua credi%ilidade# De2enas de mil*ares de mensagens no dese"adas sero spammed ao longo da InternetK tudo com o seu nome nelas# Isso ser? o mesmo >ue mostrar um anncio nacional >ue di2: Ns no administramos redes ou sistemas de computadores muito bem ("a a'ora para proteger a sua reputao e credi%ilidade# 7:*:/ > 8ocZ pode ser inclu"do na lista ne'ra: Pmeros crescentes de organi2a.es %rigam com o a%uso de email %lo>ueando locais >ue esto en<ol<idos em incidentes de a%usos '' incluindo se>Vestro de ser<idor de mail# Por e:emploK o TC(PS Realtime 4lacB*ole IistT pu%lica uma lista negra >ue usada por muitas organi2a.es na rede# Se o seu *ost de mail for se>VestradoK <oc pode se ac*ar inclu-do na lista 8/ GRADUAO EM REDES DE COMU!ADORES negra e cortado de grandes por.es da Internet# Po importa se as suas inten.es so %oasK ruins ou indiferentes# Tudo o >ue importa >ue os T"unB mailsT esto sendo en<iados do seu ser<idorK e <oc fal*ou em tomar os passos ade>uados para pre<enir isto# 7:*:0 > Isso 1ai acontecer SF por>ue ainda no aconteceu no significa >ue <oc est? seguro# 1s Spammers esto usando agora ferramentas automati2adas para e:aminar minuciosamente a rede por retransmiss.es a%ertas# De fatoK to f?cil fa2er isso >ue e:iste uma p?gina >ue l*e permite sondar seu prFprio ser<idor de mail procurando <ulnera%ilidades de retransmitisso# Isso no totalmente a mesma coisa >ue procurar <-timas para se>Vestros# Toda<iaK nFs podemos assegurar >ue no seria dif-cil escre<er um programa >ue fa2 isso# De fatoK nFs podemos assegurar >ue os spammers "? escre<eram este programa e eles esto usando'o neste e:ato instante# Se o seu ser<idor de mail for <ulner?<elK sF uma >uesto de tempo antes de >ue eles descu%ram isto# 7:*:4 > Isso S a coisa certa para se @aIer: Se <oc >uer ser um mem%ro respons?<el da comunidade da InternetK <oc tem >ue fa2er sua parte para lutar contra a calamidade no dese"ada de T"unB mailsT# PFs estamos doentes de spam e dese"amos >ue ele pare# (ssimK se <oc no fa2 isto para os seus acionistasK ento como ir? fa2er isto para nFsN 7:/ > Concluso Om ser<idor de mail da Internet e:ecuta a retransmisso por terceiros >uando ele processa uma mensagem de um remetente no local para um recipiente no local# Oma <e2K isto era uma caracter-stica de pouco usoK mas til# (tualmenteK as pessoas >ue en<iam T"unB mailsT a%usam desta capacidade a uma ta:a alarmante# 9les usam a capacidade rou%ada para aumentar grandemente a >uantia de spam >ue eles podem entregar# Se o seu ser<idor de mail <ulner?<el a retransmiso por terceirosK <oc precisa agir a'ora para eliminar esta <ulnera%ilidade# Se <oc fal*ar >uando fi2er issoK ser? somente uma >uesto de tempo antes do seu ser<idor ser se>Vestrado# =uando isso aconteceK as conse>Vncias sero %rutais# Pre<enir a retransmisso de mail tornou'se parte do tra%al*o de um gerente de sistemas respons?<el# Se <oc ainda no fe2 issoK <oc tem >ue agir para eliminar esta <ulnera%ilidade# Recursos adicionais nestes locais pro<em consel*os pr?ticos em como proteger seus ser<idores de mail: 80 GRADUAO EM REDES DE COMU!ADORES CA;!U<O $# > 8N 8IR!UA< RI8A!E NE!9ORN $#:$ > IN!RODUO ( idia de utili2ar uma rede p%lica como a Internet em <e2 de lin*as pri<ati<as para implementar redes corporati<as denominada de ?irtual Pri(ate Network !HPP& ou Rede Pri<ada Hirtual# (s HPPs so tneis de criptografia entre pontos autori2adosK criados atra<s da Internet ou outras redes p%licas eRou pri<adas para transferncia de informa.esK de modo seguroK entre redes corporati<as ou usu?rios remotos# ( segurana a primeira e mais importante funo da HPP# Oma <e2 >ue dados pri<ados sero transmitidos pela InternetK >ue um meio de transmisso inseguroK eles de<em ser protegidos de forma a no permitir >ue se"am modificados ou interceptados# 1utro ser<io oferecido pelas HPPs a cone:o entre corpora.es !9:tranets& atra<s da InternetK alm de possi%ilitar cone:.es dial-up criptografadas >ue podem ser muito teis para usu?rios mF<eis ou remotosK %em como filiais distantes de uma empresa# Oma das grandes <antagens decorrentes do uso das HPPs a reduo de custos com comunica.es corporati<asK pois elimina a necessidade de links dedicados de longa distDncia >ue podem ser su%stitu-dos pela Internet# (s I(Ps podemK atra<s de links dedicados ou discadosK conectar'se a algum pro<edor de acesso local e interligar'se a outras I(PsK possi%ilitando o flu:o de dados atra<s da Internet# 9sta soluo pode ser %astante interessante so% o ponto de <ista econZmicoK so%retudo nos casos em >ue enlaces internacionais ou nacionais de longa distDncia esto en<ol<idos# 1utro fator >ue simplifica a operacionali2ao da J(P >ue a cone:o I(P'Internet'I(P fica parcialmente a cargo dos pro<edores de acesso# $#:( > A<ICADES ARA REDES RI8ADAS 8IR!UAIS (%ai:oK so apresentadas as trs aplica.es ditas mais importantes para as HPPs# $#:(:$ > ACESSO REMO!O 8IA IN!ERNE! 1 acesso remoto a redes corporati<as atra<s da Internet pode ser <ia%ili2ado com a HPP atra<s da ligao local a algum pro<edor de acesso !$nternet Ser(ice Pro(ider ' ISP&# ( estao remota disca para o pro<edor de acessoK conectando'se G Internet e o softEare de HPP cria uma rede <irtual pri<ada entre o usu?rio remoto e o ser<idor de HPP corporati<o atra<s da Internet# $#:(:( > CONEJO DE <ANS 8IA IN!ERNE! Oma soluo >ue su%stitui as cone:.es entre I(Ps atra<s de circuitos dedicados de longa distDncia a utili2ao de circuitos dedicados locais interligando'as G Internet# 1 softEare de HPP assegura esta intercone:o formando a J(P corporati<a# ( depender das aplica.es tam%mK pode'se optar pela utili2ao de circuitos discados em uma das pontasK de<endo a I(P corporati<a estarK preferencialmenteK conectada G Internet <ia 83 GRADUAO EM REDES DE COMU!ADORES circuito dedicado local ficando dispon-<el ,0 *oras por dia para e<entuais tr?fegos pro<enientes da HPP# $#:(:* > CONEJO DE COMU!ADORES NUMA IN!RANE! 9m algumas organi2a.esK e:istem dados confidenciais cu"o acesso restrito a um pe>ueno grupo de usu?rios# Pestas situa.esK redes locais departamentais so implementadas fisicamente separadas da I(P corporati<a# 9sta soluoK apesar de garantir a TconfidencialidadeT das informa.esK cria dificuldades de acesso a dados da rede corporati<a por parte dos departamentos isolados# (s HPPs possi%ilitam a cone:o f-sica entre redes locaisK restringindo acessos indese"ados atra<s da insero de um ser<idor HPP entre elas# 1%ser<e >ue o ser<idor HPP no ir? atuar como um roteador entre a rede departamental e o resto da rede corporati<a uma <e2 >ue o roteador possi%ilitaria a cone:o entre as duas redes permitindo o acesso de >ual>uer usu?rio G rede departamental sensiti<a# Com o uso da HPP o administrador da rede pode definir >uais usu?rios estaro credenciados a atra<essar o ser<idor HPP e acessar os recursos da rede departamental restrita# (dicionalmenteK toda comunicao ao longo da HPP pode ser criptografada assegurando a TconfidencialidadeT das informa.es# 1s demais usu?rios no credenciados se>uer en:ergaro a rede departamental# $#:* > REKUISI!OS %=SICOS Po desen<ol<imento de solu.es de redeK %astante dese"?<el >ue se"am implementadas facilidades de controle de acesso a informa.es e a recursos corporati<os# ( HPP de<e dispor de recursos para permitir o acesso de clientes remotos autori2ados aos recursos da I(P corporati<aK <ia%ili2ar a intercone:o de I(Ps de forma a possi%ilitar o acesso de filiaisK compartil*ando recursos e informa.es eK finalmenteK assegurar pri<acidade e integridade de dados ao atra<essar a Internet %em como a prFpria rede corporati<a# ( seguir so enumeradas caracter-sticas m-nimas dese"?<eis numa HPP: $#:*:$ > Autenticao de Usu&rios Herificao da identidade do usu?rioK restringindo o acesso Gs pessoas autori2adas# De<e dispor de mecanismos de auditoriaK pro<endo informa.es referentes aos acessos efetuados ' >uem acessouK o >u e >uando foi acessado# $#:*:( > Gerencia)ento de Endereo 1 endereo do cliente na sua rede pri<ada no de<e ser di<ulgadoK de<endo'se adotar endereos fict-cios para o tr?fego e:terno# $#:*:* > Cripto'ra@ia de Dados 1s dados de<em trafegar na rede p%lica ou pri<ada num formato cifrado eK caso se"am interceptados por usu?rios no autori2adosK no de<ero ser decodificadosK garantindo a pri<acidade da informao# 1 recon*ecimento do contedo das mensagens de<e ser e:clusi<o dos usu?rios autori2ados# 85 GRADUAO EM REDES DE COMU!ADORES $#:*:/ > Gerencia)ento de CGa1es 1 uso de c*a<es >ue garantem a segurana das mensagens criptografadas de<e funcionar como um segredo compartil*ado e:clusi<amente entre as partes en<ol<idas# 1 gerenciamento de c*a<es de<e garantir a troca periFdica das mesmasK <isando manter a comunicao de forma segura# $#:*:0 > Suporte a M[ltiplos rotocolos Com a di<ersidade de protocolos e:istentesK torna'se %astante dese"?<el >ue uma HPP suporte protocolos padro de fato usadas nas redes p%licasK tais como IP !$nternet Protocol&K IPQ !$nternetwork Packet )xchange&K etc# $#:/ > !UNE<AMEN!O (s redes <irtuais pri<adas %aseiam'se na tecnologia de tunelamento cu"a e:istncia anterior Gs HPPs# 9le pode ser definido como processo de encapsular um protocolo dentro de outro# 1 uso do tunelamento nas HPPs incorpora um no<o componente a esta tcnica: antes de encapsular o pacote >ue ser? transportadoK este criptografado de forma a ficar ileg-<el caso se"a interceptado durante o seu transporte# 1 pacote criptografado e encapsulado <ia"a atra<s da Internet at alcanar seu destino onde desencapsulado e decriptografadoK retornando ao seu formato original# Oma caracter-stica importante >ue pacotes de um determinado protocolo podem ser encapsulados em pacotes de protocolos diferentes# Por e:emploK pacotes de protocolo IPQ podem ser encapsulados e transportados dentro de pacotes TCPRIP# 1 protocolo de tunelamento encapsula o pacote com um ca%eal*o adicional >ue contm informa.es de roteamento >ue permitem a tra<essia dos pacotes ao longo da rede intermedi?ria# 1s pacotes encapsulados so roteados entre as e:tremidades do tnel na rede intermedi?ria# Tnel a denominao do camin*o lFgico percorrido pelo pacote ao longo da rede intermedi?ria (pFs alcanar o seu destino na rede intermedi?riaK o pacote desencapsulado e encamin*ado ao seu destino final# ( rede intermedi?ria por onde o pacote trafegar? pode ser >ual>uer rede p%lica ou pri<ada# Pote >ue o processo de tunelamento en<ol<e encapsulamentoK transmisso ao longo da rede intermedi?ria e desencapsulamento do pacote# $#:0 > RO!OCO<OS DE !UNE<AMEN!O Para se esta%elecer um tnel necess?rio >ue as suas e:tremidades utili2em o mesmo protocolo de tunelamento# 1 tunelamento pode ocorrer na camada , ou / !respecti<amente enlace e rede& do modelo de referncia 1SI !%pen S,stems $nterconnection&# $#:0:$ > !UNE<AMEN!O EM N;8E< ( EN<ACE + so?re I. 1 o%"eti<o transportar protocolos de n-<el /K tais como o IP e IPQ na Internet# 1s protocolos utili2am >uadros como unidade de trocaK encapsulando os pacotes da camada / !como IPRIPQ& em >uadros PPP !Point-to-Point Protocol&# Como e:emplos podemos citar: 86 GRADUAO EM REDES DE COMU!ADORES ! + oint>to>oint !unnelin' rotocol . da Cicrosoft permite >ue o tr?fego IPK IPQ e Pet49OI se"am criptografados e encapsulados para serem en<iados atra<s de redes IP pri<adas ou p%licas como a Internet# f <(! + <a3er ( !unnelin' rotocol . da I9T@ !$nternet )ngineering Task /orce& permite >ue o tr?fego IPK IPQ e Pet49OI se"am criptografados e en<iados atra<s de canais de comunicao de datagrama ponto a ponto tais como IPK Q,3K @rame RelaL ou (TC# f <(C + <a3er ( Cor,ardin' . da Cisco utili2ada para HPPs discadas# $#:0:( > !UNE<AMEN!O EM N;8E< * REDE +I so?re I. 9ncapsulam pacotes IP com um ca%eal*o adicional deste mesmo protocolo antes de en<i?' los atra<s da rede# O I Securit3 !unnel Mode +ISec. da I9T@ permite >ue pacotes IP se"am criptografados e encapsulados com ca%eal*o adicional deste mesmo protocolo para serem transportados numa rede IP p%lica ou pri<ada# 1 IPSec um protocolo desen<ol<ido para IP<5K de<endoK no futuroK se constituir como padro para todas as formas de HPP caso o IP<5 <en*a de fato su%stituir o IP<0# 1 IPSec sofreu adapta.es possi%ilitandoK tam%mK a sua utili2ao com o IP<0# $#:4 > O CUNCIONAMEN!O DOS !\NEIS Pas tecnologias orientadas G camada , !enlace&K um tnel similar a uma sessoK onde as duas e:tremidades do tnel negociam a configurao dos parDmetros para esta%elecimento do tnelK tais como endereamentoK criptografia e parDmetros de compresso# Pa maior parte das <e2esK so utili2ado s protocolos >ue implementam o ser<io de datagrama# ( gerncia do tnel reali2ada atra<s protocolos de manuteno# Pestes casosK necess?rio >ue o tnel se"a criadoK mantido e encerrado# Pas tecnologias de camada /K no e:iste a fase de manuteno do tnel# Oma <e2 >ue o tnel esta%elecido os dados podem ser en<iados# 1 cliente ou ser<idor do tnel utili2a um protocolo de tunelamento de transferncia de dados >ue acopla um ca%eal*o preparando o pacote para o transporte# SF ento o cliente en<ia o pacote encapsulado na rede >ue o rotear? at o ser<idor do tnel# 9ste rece%e o pacoteK desencapsula remo<endo o ca%eal*o adicional e encamin*a o pacote original G rede destino# 1 funcionamento entre o ser<idor e o cliente do tnel semel*ante# $#:6 > RO!OCO<OS J REKUISI!OS DE !UNE<AMEN!O 1s protocolos de n-<el ,K tais como PPTP e I,TPK foram %aseados no PPPK eK como conse>VnciaK *erdaram muito de suas caracter-sticas e funcionalidades# 9stas caracter-sticas e suas contrapartes de n-<el / so analisadas "untamente com alguns dos re>uisitos %?sicos das HPPs: 87 GRADUAO EM REDES DE COMU!ADORES $#:5 > AU!EN!ICAO DE USU=RIO 1s protocolos de tunelamento da camada , *erdaram os es>uemas de autenticao do PPP e os mtodos 9(P !)xtensible "uthentication Protocol&# Cuitos es>uemas de tunelamento da camada / assumem >ue as e:tremidades do tnel so con*ecidas e autenticadas antes mesmo >ue ele se"a esta%elecido# Oma e:ceo o IPSec >ue pro< a autenticao mtua entre as e:tremidades do tnel# Pa maioria das implementa.es deste protocoloK a <erificao se d? a n-<el de m?>uina e no de usu?rio# Como resultadoK >ual>uer usu?rio com acesso Gs m?>uinas >ue funcionam como e:tremidades do tnel podem utili2?'lo# 9sta fal*a de segurana pode ser suprida >uando o IPSec usado "unto com um protocolo de camada de enlace como o I,TP# $#: 7 > SUOR!E A !ONEN CARD Com a utili2ao do 9(PK os protocolos de tunelamento de camada de enlace podem suportar uma <ariedade de mtodos de autenticaoK tais como sen*as e cart.es inteligentes !smart cards&# 1s protocolos de camada / tam%m podem usar mtodos similaresK comoK por e:emploK o IPSec >ue define a autenticao de c*a<e p%lica durante a negociao de parDmetros feita pelo IS(hCP !$nternet Securit, "ssociation and @e, Management Protocol&# $#:$# > ENDEREAMEN!O DINPMICO 1 tunelamento na camada , suporta alocao dinDmica de endereos %aseada nos mecanismos de negociao do PCP !Network Control Protocol&# PormalmenteK es>uemas de tunelamento na camada / assumem >ue os endereos foram atri%u-dos antes da iniciali2ao do tnel# $#:$$ > COMRESSO DE DADOS 1s protocolos de tunelamento da camada , suportam es>uemas de compresso %aseados no PPP# 1 I9T@ est? analisando mecanismos semel*antesK tais como a compresso de IPK para o tunelamento na camada /# $#:$( > CRI!OGRACIA DE DADOS Protocolos de tunelamento na camada de enlace suportam mecanismos de criptografia %aseados no PPP# 1s protocolos de n-<el / tam%m podem usar mtodos similares# Po caso do IPSec so definidos <?rios mtodos de criptografia de dados >ue so e:ecutados durante o IS(hCP# (lgumas implementa.es do protocolo I,TP utili2am a criptografia pro<ida pelo IPSec para proteger cadeias de dados durante a sua transferncia entre as e:tremidades do tnel# $#:$* > GERENCIAMEN!O DE CTA8ES 1 CPP9 !Microsoft Point-to-Point )ncr,ption&K protocolo de n-<el de enlaceK utili2a uma c*a<e gerada durante a autenticao do usu?rioK atuali2ando'a periodicamente# 1 IPSec negocia uma c*a<e comum atra<s do IS(hCP eK tam%mK periodicamenteK fa2 sua atuali2ao# 88 GRADUAO EM REDES DE COMU!ADORES $#:$/ > SUOR!E A M\<!I<OS RO!OCO<OS 1 tunelamento na camada de enlace suporta mltiplos protocolos o >ue facilita o tunelamento de clientes para acesso a redes corporati<as utili2ando IPK IPQK Pet49OI e outros# 9m contrasteK os protocolos de tunelamento da camada de redeK tais como o IPSecK suportam apenas redes destino >ue utili2am o protocolo IP# $#:$0 > !IOS DE !\NEIS 1s tneis podem ser criados de , diferentes formas ' <olunt?rias e compulsFrias: ![nel 8olunt&rio ' um cliente emite uma solicitao HPP para configurar e criar um tnel <olunt?rio# Peste casoK o computador do usu?rio funciona como uma das e:tremidades do tnel eK tam%mK como cliente do tnel# ![nel Co)puls]rio ' um ser<idor de acesso discado HPP configura e cria um tnel compulsFrio# Peste casoK o computador do cliente no funciona como e:tremidade do tnel# 1utro dispositi<oK o ser<idor de acesso remotoK locali2ado entre o computador do usu?rio e o ser<idor do tnelK funciona como uma das e:tremidades e atua como o cliente do tnel# $#:$0:$ > !UNE<AMEN!O 8O<UN!=RIO 1corre >uando uma estao ou ser<idor de roteamento utili2a um softEare de tunelamento cliente para criar uma cone:o <irtual para o ser<idor do tnel dese"ado# 1 tunelamento <olunt?rio pode re>uerer cone:.es IP atra<s de I(P ou acesso discado# Po caso de acesso discadoK o mais comum o cliente esta%elecer a cone:o discada antes da criao do tnel# Pas I(PsK o cliente "? se encontra conectado G rede >ue pode pro<er o roteamento de dados encapsulados para o ser<idor de tnel selecionado# 9ste o caso de clientes numa I(P corporati<a >ue iniciali2a tneis para alcanar uma su%rede pri<ada na mesma rede# $#:$0:( > !UNE<AMEN!O COMU<SQRIO 1 computador ou dispositi<o de rede >ue pro< o tnel para o computador cliente con*ecido de di<ersas formas: @9P !/ront )nd Processor& no PPTPK I(C !3ATP "ccess Concentrator& no I,TP ou $P Securit, 4atewa, no caso do IPSec# Dora<anteK adotaremos o termo @9P para denominar esta funcionalidade ' ser capa2 de esta%elecer o tnel >uando o cliente remoto se conecta# Po caso da InternetK o cliente fa2 uma cone:o discada para um tnel *a%ilitado pelo ser<idor de acesso no pro<edor !ISP&# Por e:emploK uma compan*ia pode ter um contrato com uma ou mais pro<edores para disponi%ili2ar um con"unto de @9Ps em Dm%ito nacional# 9stas @9Ps podem esta%elecer tneis so%re a Internet para um ser<idor de tnel conectado G rede corporati<a pri<adaK possi%ilitando a usu?rios remotos o acesso G rede corporati<a atra<s de uma simples ligao local# 9sta configurao con*ecida como tunelamento compulsFrio por>ue o cliente compelido a usar um tnel criado pelo @9P# Oma <e2 >ue a cone:o esta%elecidaK todo o +;; GRADUAO EM REDES DE COMU!ADORES tr?fego TdeRparaT o cliente automaticamente en<iado atra<s do tnel# Po tunelamento compulsFrioK o cliente fa2 uma cone:o PPP# Om @9P pode ser configurado para direcionar todas as cone:.es discadas para um mesmo ser<idor de tnel ouK alternati<amenteK fa2er o tunelamento indi<idual %aseado na identificao do usu?rio ou no destino da cone:o# Diferente dos tneis indi<iduali2ados criados no tunelamento <olunt?rioK um tnel entre o @9P e o ser<idor de tnel pode ser compartil*ado por mltiplos clientes discados# =uando um cliente disca para o ser<idor de acesso !@9P& e "? e:iste um tnel para o destino dese"adoK no se fa2 necess?ria a criao de um no<o tnel redundante# 1 prFprio tnel e:istente pode transportarK tam%mK os dados deste no<o cliente# Po tunelamento compulsFrio com mltiplos clientesK o tnel sF finali2ado no momento em >ue o ltimo usu?rio do tnel se desconecta# ISEC > IN!ERNE! RO!OCO< SECURI!Y 1 IPSec um protocolo padro de camada / pro"etado pelo I9T@ >ue oferece transferncia segura de informa.es fim a fim atra<s de rede IP p%lica ou pri<ada# 9ssencialmenteK ele pega pacotes IP pri<adosK reali2a fun.es de segurana de dados como criptografiaK autenticao e integridadeK e ento encapsula esses pacotes protegidos em outros pacotes IP para serem transmitidos# (s fun.es de gerenciamento de c*a<es tam%m fa2em parte das fun.es do IPSec# Tal como os protocolos de n-<el ,K o IPSec tra%al*a como uma soluo para interligao de redes e cone:.es <ia lin*a discada# 9le foi pro"etado para suportar mltiplos protocolos de criptografia possi%ilitando >ue cada usu?rio escol*a o n-<el de segurana dese"ado# 1s re>uisitos de segurana podem ser di<ididos em , gruposK os >uais so independentes entre siK podendo ser utili2ado de forma con"unta ou separadaK de acordo com a necessidade de cada usu?rio: (utenticao e IntegridadeS Confidencialidade# Para implementar estas caracter-sticasK o IPSec composto de / mecanismos adicionais: (M ' "utentication BeaderS 9SP ' )ncapsulation Securit, Pa,loadS IS(hCP ' $nternet Securit, "ssociation and @e, Management Protocol# $#:$4 > NEGOCIAO DO N;8E< DE SEGURANA 1 IS(hCP com%ina conceitos de autenticaoK gerenciamento de c*a<es e outros re>uisitos de segurana necess?rios Gs transa.es e comunica.es go<ernamentaisK comerciais e pri<adas na Internet# Com o IS(hCPK as duas m?>uinas negociam os mtodos de autenticao e segurana dos dadosK e:ecutam a autenticao mtua e geram a c*a<e para criptografar os dados# Trata'se de um protocolo >ue rege a troca de c*a<es criptografadas utili2adas para decifrar os dados# 9le define procedimentos e formatos de pacotes para esta%elecerK negociarK modificar e deletar as S(s !Securit, "ssociations&# (s S(s contm todas as informa.es necess?rias para e:ecuo de ser<ios <ariados de segurana na redeK tais como ser<ios da camada IP +;+ GRADUAO EM REDES DE COMU!ADORES !autenticao de ca%eal*o e encapsulamento&K ser<ios das camadas de transporteK e aplicao ou auto'proteo durante a negociao do tr?fego# Tam%m define pacotes para gerao de c*a<es e autenticao de dados# 9sses formatos pro<m consistncia para a transferncia de c*a<es e autenticao de dados >ue independem da tcnica usada na gerao da c*a<eK do algoritmo de criptografia e do mecanismo de autenticao# 1 IS(hCP pretende dar suporte para protocolos de segurana em todas as camadas da pil*a da rede# Com a centrali2ao do gerenciamento dos S(sK o IS(hCP minimi2a as redundDncias funcionais dentro de cada protocolo de segurana e tam%m pode redu2ir o tempo gasto durante as cone:.es atra<s da negociao da pil*a completa de ser<ios de uma sF <e2# AU!EN!ICAO E IN!EGRIDADE ( autenticao garante >ue os dados rece%idos correspondem G>ueles originalmente en<iadosK assim como garante a identidade do emissor# Integridade significa >ue os dados transmitidos c*egam ao seu destino -ntegrosK eliminando a possi%ilidade de terem sido modificados no camin*o sem >ue isto pudesse ser detectado# 1 (M um mecanismo >ue pro< integridade e autenticao dos datagramas IP# ( segurana garantida atra<s da incluso de informao para autenticao no pacote a >ual o%tida atra<s de algoritmo aplicado so%re o contedo dos campos do datagrama IPK e:cluindo' se a>ueles >ue sofrem mudanas durante o transporte# 9stes campos a%rangem no sF o ca%eal*o IP como todos os outros ca%eal*os e dados do usu?rio# Po IP<5K o campo hop-count e o time-to-li(e !TTI& do IP<0 no so utili2adosK pois so modificados ao longo da transferncia# Para alguns usu?rios o uso da autenticao pode ser suficiente no sendo necess?ria a TconfidencialidadeT# Po IPH5K o (M normalmente posicionado apFs os ca%eal*os de fragmentao e )nd-to- )nd, e antes do 9SP e dos ca%eal*os da camada de transporte !TCP ou ODPK por e:emplo&# $#:$6 > CONCIDENCIA<IDADE Propriedade da comunicao >ue permite >ue apenas usu?rios autori2ados entendam o contedo transportado# Desta formaK os usu?rios no autori2adosK mesmo tendo capturado o pacoteK no podero ter acesso Gs informa.es nele contidas# 1 mecanismo mais usado para pro<er esta propriedade c*amado de criptografia# 1 ser<io >ue garante a TconfidencialidadeT no IPSec o 9SP ' )ncapsulating Securit, Pa,load# 1 9SP tam%m pro< a autenticao da origem dos dadosK integridade da cone:o e ser<io anti-repl,# ( TconfidencialidadeT independe dos demais ser<ios e pode ser implementada de , modos ' transporte e tnel# Po primeiro modoK o pacote da camada de transporte encapsulado dentro do 9SPK eK no tnelK o datagrama IP encapsulado inteiro dentro da ca%eal*o do 9SP# $#:$5 > CONC<USO +;, GRADUAO EM REDES DE COMU!ADORES (s HPPs podem se constituir numa alternati<a segura para transmisso de dados atra<s de redes p%licas ou pri<adasK uma <e2 >ue "? oferecem recursos de autenticao e criptografia com n-<eis <ariados de seguranaK possi%ilitando eliminar os links dedicados de longa distDnciaK de alto custoK na cone:o de J(Ps# 9ntretantoK em aplica.es onde o tempo de transmisso cr-ticoK o uso de HPPs atra<s de redes e:ternas ainda de<e ser analisado com muito cuidadoK pois podem ocorrer pro%lemas de desempen*o e atrasos na transmisso so%re os >uais a organi2ao no tem nen*um tipo de gerncia ou controleK comprometendo a >ualidade dese"ada nos ser<ios corporati<os# ( deciso de implementar ou no redes pri<adas <irtuais re>uer uma an?lise criteriosa dos re>uisitosK principalmente a>ueles relacionados a seguranaK custosK >ualidade de ser<io e facilidade de uso >ue <ariam de acordo com o negFcio de cada organi2ao# +;/ GRADUAO EM REDES DE COMU!ADORES CA;!U<O $$ > SEGURANA EM 9INDO9S N! /:# $$:$ > IN!RODUO 1 sistema operacional JindoEs possui algumas particularidades >uando comparado a outros sistemas como o OPIQ# Podemos classificar os pro%lemas de segurana do JindoEs como e:clusi<os ou genricos# 1s e:clusi<os no possuem um correspondente no OPIQ e os genricos ocorrem em todos os sistemas# 9ntre os pro%lemas denominados e:clusi<os podemos identificar como mais gra<es os <-rus e ca<alos de trFia# 1 grau de perigo >ue essas ameaas atingem no JindoEs muito ele<ado ao contr?rio do OPIQ# 9ste ltimo tam%m possui pro%lemas relacionados a ca<alos de trFia e a instalao de backdoors e rootkitsK mas esses no so to facilmente difundidos e sua instalao re>uer e:perincia por parte do atacante# 1s pro%lemas mais comunsK ou genricosK de segurana na plataforma JindoEs esto relacionados com a instalao do sistema operacionalK a instalao de complementos ao sistema operacional ! como o IIS & e com a dificuldade de se manter o sistema atuali2ado# Conforme "? dito anteriormenteK esses pro%lemas possuem correspondentes no OPIQ# 1 futuro lanamento do su%stituto da fam-lia JindoEs PT 0#;K denominada de JindoEs ,;;;K de<er? tra2er alguns %enef-cios como a presena de um firewallK mas continuar? a apresentar srios pro%lemas como os causados por <-rus# 1utras considera.es sF podero ser feitas apFs o seu lanamento oficial $$:( > I!ENS %=SICOS DE SEGURANA ( preocupao com segurana em sistemas JindoEs de<e iniciar antes mesmo da instalao do sistema operacional# De<em'se considerar os perigos da locali2ao f-sica do sistemaK >ue de<e estar longe do alcance de curiosos em um local protegido eK mesmo assimK necess?rio utili2ar medidas adicionais como a proteo do e>uipamento com c*a<es e a utili2ao de sen*as na 4I1S# J? e:istem no mercado protetores para unidades de m-dias remo<-<eisK como as unidades de dis>uetes# $$:* > CONSIDERADES SO%RE SEGURANA C;SICA Proteo do *ardEare em local seguroS Proteo do *ardEare contra intempries !danos eltricos&S Proteo contra in<aso do *ardEare atra<s da utili2ao de sen*as e cadeadosK eS Se necess?riaK a ocultao de partes do *ardEareK como teclado e mouse# ( instalao do JindoEs possui uma caracter-stica particularmente rele<ante so%re a segurana >ue a utili2ao de partio ou parti.es de disco em formatao PT@S# 1 pro%lema reside em possuir mais de um sistema operacional no mesmo computador de<ido G facilidade de se acessar a partio do JindoEs e assim alterar ou copiar a configurao padro# Hale o mesmo a>ui para a possi%ilidade de se iniciar o computador usando um disco de boot >ual>uer# Iogo ao trmino da instalaoK de<e'se proceder algumas altera.es %?sicas# +;0 GRADUAO EM REDES DE COMU!ADORES $$:/ > A<!ERADES %=SICAS QS>IN!A<AO Desa%ilitar a conta guest e <erificar as contas defaultS Po permitir >ue >ual>uer usu?rio este"a em grupos pri<ilegiadosS Po *a%ilitar aos usu?rios o uso das unidades de CD'R1C e dis>ueteS Po *a%ilitar aos usu?rios o uso de outras unidades de m-diaK especialmente as remo<-<eisS Po permitir compartil*amento desnecess?rio dos recursos ou m-diasS Instalar banners de ad<ertncia# 9ssas altera.es iniciais podem ser feitas utili2ando ferramentas do resource kit do JindoEs PT# =uanto G recuperao do sistemaK pode'se citar dois itens necess?rios# 1 primeiro a criao do disco de emergncia# 9:iste esta opo durante a instalaoK mas >ual>uer alterao nas parti.es do sistemaK ou mesmo a instalao dos ser(icepacks re>uer a atuali2ao deste disco# 9sta atuali2ao pode ser feita e:ecutando'se o comando rdisk!exe# ( segunda considerao reali2ar sistematicamente o %acBup do sistema# 1 JindoEs possui um utilit?rio de %acBup nati<o# Po entantoK ele no permite >ue se prote"a o %acBup com nen*um sistema de sen*a ou criptografia# Para tantoK recomendada a utili2ao de uma ferramenta alternati<a de %acBup# Por seguranaK as fitas onde foram feitas o %acBup no de<em ser guardadas no mesmo local em >ue se encontra o ser<idor e de<e ter seu acesso restrito a pessoas >ue administram o sistema# $$:0 > CONSIDERADES OERACIONAIS 1s pro%lemas causados por <-rusK backdoors e ca<alos de trFia consomem e geram a maior carga de tra%al*o na administrao de redes JindoEs# 1 fundamental a utili2ao de anti'<-rus e programas >ue monitorem portas# De<e'se sempre manter atuali2ado o anti'<-rusK com as <acinas mais recentes# 1s anti'<-rus mais famosos esto lanando atuali2a.es semanais eK neste casoK de grande a"uda assinar uma lista de discusso >ue a<ise das atuali2a.es ou mesmo de situa.es de emergncia# Hale ressaltar >ue e:istem <-rus >ue no so remo<-<eis e >ue a e<entual contaminao implica na necessidade de reinstalao do sistema# ( administrao de sen*as tem uma grande importDncia operacional pois soluciona pro%lemas como a di<ulgao de sen*asK impondo um limite de <alidade# W e<idente >ue a troca de sen*as fator de reclamao por parte de usu?riosK e >ue nem todas elas tm a necessidade de serem trocadas diariamente# De<e'se ponderar so%re o tipo de conta e:istente e >ual seria o limite de utili2ao da sen*a# De<e'se salientar a todos os usu?rios >ue a sen*a de login no de<e ser utili2ada em nen*um outro aplicati<o no JindoEsK pois tais aplicati<os podem ser mais f?ceis de serem e:plorados para a re<elao das sen*as# Como e:emplo podemos citar a sen*a do protetor de telas e de >ual>uer outro aplicati<o >ue mostre a sen*a no formato de asteriscosK como sendo sen*as inseguras# $$:4 > A!UA<IEADES DO 9INDO9S +;3 GRADUAO EM REDES DE COMU!ADORES Para se manter atuali2ado nos assuntos relacionados ao JindoEs aconsel*?<el acompan*ar as listas de segurana de seus principais aplicati<os e das ferramentas de defesaK como os anti'<-rus# ( atuali2ao do JindoEs acontece somente com a instalao dos ser(icepacks e dos hotfixesK >ue so a nica forma de se reali2ar altera.es no cFdigo fonte# 9ssas instala.es so consideradas relati<amente f?ceis pois se resumem a fa2er o download de um ar>ui<o e e:ecut?' lo# Para se sa%er >uais ar>ui<os so necess?rios %asta ir ao site: *ttp:RREEE#microsoft#comRntser<erRntsRdoEnloadsRdefault#asp ou acompan*ar pelo site: *ttp:RREEE#ntsecuritL#netRscriptsRdisplaL'fi:list#aspNidcall $$:6 > I!ENS A8ANADOS DE SEGURANA Podemos di<idir as altera.es consideradas a<anadas em dois modelos %?sicos: os >ue so reali2ados com altera.es diretas no registro do JindoEs e os >ue so reali2ados com configura.es# $$:5 > A<!ERADES NO REGIS!RO DO 9INDO9S No )ostrar o no)e do [lti)o !ogon H Mi<e: Mh9ijI1C(IjC(CMIP9 heL: SoftEarelCicrosoftlJindoEs PTlCurrentHersionlJinlogon Pame: DontDisplaLIastOsername TLpe: R9GjS[ Halue: + No @aIer o cache das in@or)aAes do !ogon H Mi<e: Mh9ijI1C(IjC(CMIP9 heL: SoftEarelCicrosoftlJindoEs PTlCurrentHersionlJinlogon Pame: Cac*edIogonsCount TLpe: R9GjS[ Halue: ; Mostrar u)a ad1ertZncia na tela do !ogon H Mi<e: Mh9ijI1C(IjC(CMIP9 heL: SoftEarelCicrosoftlJindoEs PTlCurrentHersionlJinlogon Pame: IegalPoticeTe:t TLpe: R9GjS[ Halue: Ocultar a lista de usu&rios e co)partilGa)entos de cone2o anonymous H Mi<e: Mh9ijI1C(IjC(CMIP9 heL: SLstemlCurrentControlSetlControllIS( +;5 GRADUAO EM REDES DE COMU!ADORES Pame: Restrict(nonLmous TLpe: R9GjDJ1RD Halue: + $$:7 > A<!ERADES NAS CONCIGURADES DO 9INDO9S $$:7:$ > Criar u)a conta co) todos os pri1ilS'ios da conta do ad)inistrador e tra1ar a conta do ad)inistrador Otili2ando o utilit?rio passprop!exe >ue se encontra no PT 'esource @itK pode'se tra<ar a conta do administrador para acessos remotos# ( idia de criar uma conta com os pri<ilgios do administrador para enganar >ual>uer usu?rio malicioso# ( conta administrador no ter? mais nen*um poder sendo sF um disfarce# $$:7:( > ArWui1o ro!!bac"exe Procurar pelo ar>ui<o rollback!exe na ?r<ore de diretFrios# Se este ar>ui<o esti<er presenteK recomendado apag?'lo# ( utili2ao deste aplicati<o destrFi todas as informa.es contidas nos logs e registros do JindoEs# Somente uma recuperao <ia %acBup poder? restaurar o sistema# $$:7:* > %loWueio de portas 1 %lo>ueio de portas >ue no esto sendo utili2adas e >ue apresentam <ulnera%ilidades como a porta de RPC# Pode'se indicar as portas +/3K +/6K +/7 e +/8K alm de portas tradicionais de ata>ues como as do netbus e do backoriffice# $$:7:/ > Ser1ios no utiliIados 1 desligamento de ser<ios no utili2ados como o P9T49OIK IPQK R(SK SPCP e >ual>uer outro ser<io >ue no est? sendo utili2ado# $$:7:0 > roteo de arWui1os i)portantes (lguns ar>ui<os no JindoEs merecem considerao adicionalK como: boot!ini, ntldr, ntdetect!com, autoexec!bat, config!s,s, autoexec!nt e config!ntK os ar>ui<os de registro e os ar>ui<os de logs# ( reali2ao de %acBup periFdico destes ar>ui<os de grande importDnciaK alm do %acBup completo do sistema# $$:7:4 > <i)itar o uso do Net#or" $onitor 1 Network Monitor >ue <em com o JindoEs PT Ser<er um sniffer e seu uso de<e ser restrito ou se poss-<el desinstalado das m?>uinas >ue no o necessitam# $$:$#CERRAMEN!AS DE SEGURANA (s ferramentas de segurana para am%iente JindoEs foram agrupadas em um toolkit e di<ididas por funcionalidade# Tipos de ferramentas do toolkit: anti'scanners anti'sniffer anti'<irus config'scanner configuration +;6 GRADUAO EM REDES DE COMU!ADORES dialup'scanner log'analL2er pgp port'scanner pEd'auditing securitL'scanner ss*'client ss*'tunnel (s ferramentas escol*idas soK preferencialmenteK freeware ou shareware de %ai:o custo# SF recomendada uma ferramenta comercial >uando fica demonstrada uma >ualidade muito superior G das concorrentes# 9ste toolkit necessita de constantes atuali2a.es para >ue se"a sempre poss-<el possuir uma ferramenta ade>uada as necessidades da ?rea de segurana# $$:$$ > AN!I>SCANNERS So programas >ue detectam uma tentati<a de scanner em tempo real# *ttp:RRmem%ers#:oom#comRsEiftpRanti'%oR +#+6,#++/ anti'%o#e:e *ttp:RREEE#dLnamsol#comRpuppetR 656#6,6 nn,8%#e:e *ttp:RREEE#Ectc#netRmdrtreeRpm+;;#e:e 0,,#756 pm+;;#e:e $$:$( > AN!I>SNICCER Programa para detectar o uso de um sniffer na rede# Procura pelo modo prom-scuo da placa para identific?'lo# *ttp:RREEE#l;p*t#comRantisniffR +#/,;#+33 as'+;+#e:e $$:$* > AN!I>8;RUS Programa para detectar <-rusK macro'<-rus e ca<alos de trFia# *ttp:RRdoEnload,#a<p#c*Ra<pfilesRa<p/,+/,#2ip 0#87;#760 a<p/,+/,#2ip $$:$/ > CONCIG>SCANNER Programa >ue analisa a configurao do sistema operacional e indica todas as fal*as# W um complemento ao analisador de <ulnera%ilidades# *ttp:RREEE#eeLe#comR*tmlRProductsRRetina#*tml 3#/3,#373 retina#e:e +;7 GRADUAO EM REDES DE COMU!ADORES $$:$0 > CONCIGURA!ION Programa para reali2ar altera.es no sistema operacionalK >ue nem sempre so poss-<eis# *ttp:RREEE#"ermar#comRprod;+#*tm /#0+0#78+ tEeaBi,#e:e $$:$4 > DIA<U>SCANNER Programa >ue reali2a uma %usca por modems piratas instalados em computadores de uma rede interna# *ttp:RR:force#iss#netRprotoEor:Rinde:#p*p/Nproductctelep*onLscanner 0#67/#67, telep*onLscanner#2ip $$:$6 > <OG>ANA<YEER Programa para au:iliar na interpretao e an?lise dos logs# *ttp:RREEE#sLstemtools#comRdoEnloadRdumpacl#2ip ,+8#68+ dumpacl#2ip $$:$5 > G Programas para troca de mensagens e ar>ui<os com segurana utili2ando criptografia# *ttp:RREEE#eudora#comReudoralig*tR 0#5+,#8/7 eul/;5#e:e ftp:RRftp#no#pgpi#orgRpu%RpgpR5#3 6#850#++/ PGPfreeEare53,a#2ip $$:$7 > OR!>SCANNER Programa >ue fa2 uma <arredura nas portas de uma m?>uina para identificar os ser<ios e:istentesK ou mesmo a presena de um ser<io no autori2ado# *ttp:RREEE#EidomaBer#comRmtedRLapsRiaps#*tml +#,88#;30 Laps+,#2ip $$:(# > 9D>AUDI!ING Programa >ue fa2 auditoria nas sen*as dos usu?rios procurando por sen*as fr?geis >ue no foram %arradas pela pol-tica de sen*as# *ttp:RREEE#l;p*t#comRl;p*tcracBR +#;3+#887 lc,3,install#2ip $$:($ > SECURI!Y>SCANNER +;8 GRADUAO EM REDES DE COMU!ADORES Programa >ue procura identificar fal*as e <ulnera%ilidades no sistema operacional# *ttp:RREEE#iss#netRe<alRe<al#p*p /3#,06#+3/ Issnt5;#e:e $$:(( > SST>C<IEN! Programa para se reali2ar cone:.es remotas segurasK utili2ando criptografia# *ttp:RR*p#<ector#co#"pRaut*orsRH(;;,0+5Rteraterm#*tml 80/#/65 ttermp,/#2ip *ttp:RREEE#2ip#com#auRmrocaRttss*#*tml ,60#+,0 ttss*+3+#2ip $$:(* > SST>!UNNE< Programa >ue permite o tunelamento de outros protocolos no seguros atra<s do SSM# *ttp:RREEE#datafelloEs#comRdoEnload'purc*aseRdoEnload'formsRss*clientEin#*tml ,#833#650 ss*,;+,t#e:e ++;