Vous êtes sur la page 1sur 244

Dedicatria

Aos meus queridos pais, Mario e Rosa, pela grande dedicao, educao e formao que concederam a mim e a meus irmos.
EMILIO TISSATO NAKAMURA

A Cris e Lis, por suportarem minha ausncia (sacrificando meu tempo, em que poderia estar com
elas). Ao Senhor Jesus, por me capacitar e por
prover todas as necessidades para este trabalho.
PAULO LCIO DE GEUS

Agradecimentos

Muitos merecem nossos agradecimentos por colaborarem direta ou indiretamente, desde a troca de idias at as revises de texto, para a obteno deste livro.
Dentre os atuais membros do LAS esto: Fabrcio Srgio de Paula, Francisco Jos
Candeias Figueiredo, Alessandro Augusto, Jansen Carlo Sena, Diego de Assis Monteiro
Fernandes, Flvio de Souza Oliveira, Marcelo Abdalla dos Reis, Cleymone Ribeiro dos
Santos, Edmar Roberto Santana de Rezende, Benedito Aparecido Cruz, Joo Porto de
Albuquerque Pereira, Hugo Kawamorita de Souza, Guilherme Csar Soares Ruppert,
Richard Maciel Costa, Celso Andr Locatelli de Almeida, Arthur Bispo de Castro,
Daniel Pupim Kano, Daniel Cabrini Hauagge, Luciana Aparecida Carrolo, Thiago
Mathias Netto de Oliveira, Giselli Panontini de Souza, Evandro Leme da Silva, Weber
Simes Oliveira. H outros do IC-Unicamp, dos quais no conseguirei me lembrar.
Nossos agradecimentos tambm vo para o pessoal da Open Communications
Security, que trouxeram uma valiosa contribuio tcnica para o aprimoramento do
contedo: Prof. Routo Terada, Pedro Paulo Ferreira Bueno, Marcelo Barbosa Lima,
Paulo Andr SantAnna Perez, Keyne Jorge Paiva, Edson Noboru Honda, Carina Guirau
Hernandes, Luiz Gustavo Martins Arruda. Obrigado tambm a todos os membros do
time da Open pelo apoio.
Agradecimentos especiais vo a Jos Luis Barboza, da Robert Bosch Ltda, por
iniciar a cooperao com o IC-Unicamp, e a Marcelo Fiori da Open Communications
Security, por incentivar a publicao do livro e ceder o tempo de Emilio para a
reviso final.
E o meu (Emilio) agradecimento em particular vai para Grace, pelo amor e pacincia demonstrados no somente durante a escrita do livro, mas sempre.

Para esta segunda edio, os agradecimentos vo para todos os leitores que


contriburam com idias, informaes e feedbacks sobre a primeira edio do livro,
em especial Ana Maria Gomes do Valle e Helen Mary Murphy Peres Teixeira.
Os agradecimentos tambm vo para Joo Porto de Albuquerque Pereira, Pedro
Paulo Ferreira Bueno, Sergio Lus Ribeiro e Marcelo Barbosa Lima, que contriburam
com materiais, idias e conversas que aprimoraram o contedo do livro.
Obrigado tambm a Marcos Antonio Denega, que acreditou no nosso trabalho, e
a todos aqueles com quem pudemos interagir e aprimorar nossos conhecimentos.

Sobre este livro

Este livro contm fundamentos sobre segurana de redes de computadores, e


seu foco est centrado no tratamento de ambientes cooperativos. Nesse sentido, o
leitor encontrar sees descrevendo um grande nmero de tcnicas, tecnologias e
conceitos.
Este no um livro de receitas de segurana, pronto para a aplicao no dia-adia, muito menos um texto sobre hacking, que ensine tcnicas de invaso ou negao de servio. O leitor interessado encontrar melhores textos para tais objetivos.
Entretanto, o leitor que desejar um embasamento sobre segurana de redes encontrar cobertura para a maioria dos conceitos envolvidos e poder at mesmo
encontrar respostas prontas para muitas de suas dvidas.
O texto voltado para o profissional de segurana, onde quer que seja sua
atuao. tambm adequado para um curso de segurana, dada a abrangncia de
sua cobertura. Em essncia, contm o material que eu, Paulo, apresento normalmente no curso de segurana de redes oferecido pelo IC-Unicamp na graduao,
ps-graduao e extenso, mas h bastante material extra, tornando-o til para
cursos em tpicos mais especficos sobre segurana de redes.

Sumrio

Apresentao ----------------------------------------------------- 1
Prefcio ------------------------------------------------------------- 3

PARTE I

CONCEITOS BSICOS DE SEGURANA ----------------------------------------7


1. Introduo --------------------------------------------------------- 9
Estrutura bsica ------------------------------------------------ 13
Parte I Conceitos bsicos de segurana ----------- 14
Parte II Tcnicas e tecnologias disponveis para
defesa -------------------------------------------------------------- 15
Parte III Modelo de segurana para um
ambiente cooperativo ---------------------------------------- 17
2. O ambiente cooperativo ------------------------------------- 19
2.1 A informtica como parte dos negcios ---------- 19
2.2 Ambientes cooperativos ------------------------------- 22
2.3 Problemas nos ambientes cooperativos --------- 23
2.4 Segurana em ambientes cooperativos --------- 25
2.5 Concluso -------------------------------------------------- 27

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS


VIII

Sumrio
IX

3. A necessidade de segurana ----------------------------- 29

PARTE II TCNICAS E TECNOLOGIAS DISPONVEIS PARA DEFESA -------------------- 171

3.1 A segurana de redes ---------------------------------- 29


3.2 Maior evoluo, maior preocupao
com a segurana ---------------------------------------------- 33
3.3 Segurana como parte dos negcios ------------ 35
3.4 Como a segurana vista hoje --------------------- 37
3.5 Investimentos em segurana ------------------------ 39
3.6 Mitos sobre segurana--------------------------------- 43
3.7 Riscos e consideraes quanto segurana -- 44
3.8 Segurana versus funcionalidades ---------------- 45
3.9 Segurana versus produtividade ------------------- 47
3.10 Uma rede totalmente segura ----------------------- 48
3.11 Concluso ------------------------------------------------- 49

6. Poltica de segurana --------------------------------------- 173

4. Os riscos que rondam as organizaes--------------- 51


4.1 Os potenciais atacantes ------------------------------- 51
4.2 Terminologias do mundo dos hackers------------ 63
4.3 Os pontos explorados ---------------------------------- 64
4.4 O planejamento de um ataque ---------------------- 67
4.5 Ataques para a obteno de informaes ------ 68
4.6 Ataques de negao de servios ------------------- 87
4.7 Ataque ativo contra o TCP ---------------------------- 93
4.8 Ataques coordenados --------------------------------- 100
4.9 Ataques no nvel da aplicao ---------------------- 106
4.10 Concluso ------------------------------------------------- 119
5. Novas funcionalidades e riscos: redes sem fio ---- 121
5.1. Evoluo e mudanas -------------------------------- 121
5.2. Caractersticas de redes sem fio ----------------- 124
5.3. Segurana em redes sem fio ---------------------- 125
5.4. Bluetooth -------------------------------------------------- 127
5.4.6. Autenticao no nvel de enlace ---------------- 138
5.5. WLAN ------------------------------------------------------ 145
5.6. Concluso ------------------------------------------------ 169

6.1 A importncia -------------------------------------------- 173


6.2 O planejamento ----------------------------------------- 174
6.3 Os elementos -------------------------------------------- 177
6.4 Consideraes sobre a segurana --------------- 179
6.5 Os pontos a serem tratados ------------------------ 181
6.6 A implementao --------------------------------------- 183
6.7 Os maiores obstculos para a
implementao ----------------------------------------------- 185
6.8 Poltica para as senhas ------------------------------- 188
6.9 Poltica para firewall ------------------------------------ 193
6.10 Poltica para acesso remoto ----------------------- 194
6.11 Poltica de segurana em ambientes
cooperativos --------------------------------------------------- 195
6.12 Estrutura de uma poltica de segurana ------ 200
6.13 Concluso ----------------------------------------------- 203
7. Firewall ---------------------------------------------------------- 205
7.1 Definio e funo ------------------------------------- 205
7.2 Funcionalidades ---------------------------------------- 208
7.3 A evoluo tcnica -------------------------------------- 211
7.4 As arquiteturas ------------------------------------------ 230
7.5 O desempenho ----------------------------------------- 238
7.6 O mercado ----------------------------------------------- 240
7.8 Teste do firewall ----------------------------------------- 243
7.9 Problemas relacionados ----------------------------- 245
7.10 O firewall no a soluo total de segurana247
7.11 Concluso ----------------------------------------------- 250

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Sumrio

XI

11. Autenticao -------------------------------------------------- 351

8. Sistema de deteco de intruso --------------------- 251


8.1 Objetivos -------------------------------------------------- 251
8.2 Caractersticas ------------------------------------------ 253
8.3 Tipos ------------------------------------------------------- 256
8.4 Metodologias de deteco ------------------------- 267
8.5 Insero e evaso de IDS ---------------------------- 274
8.6 Intrusion Prevention System (IPS) ----------------- 278
8.7 Configurao do IDS --------------------------------- 280
8.8. Padres --------------------------------------------------- 281
8.9 Localizao do IDS na rede ------------------------ 282
8.10 Desempenho ------------------------------------------- 283
8.11 Forense computacional----------------------------- 284
8.11 Concluso ----------------------------------------------- 286
9. A criptografia e a PKI --------------------------------------- 287
9.1 O papel da criptografia ------------------------------- 287
9.2 A segurana dos sistemas criptogrficos ----- 294
9.3 As maiores falhas nos sistemas criptogrficos298
8.4 Os ataques aos sistemas criptogrficos ------- 299
9.5 Certificados digitais ----------------------------------- 303
9.6 Infra-estrutura de chave pblica ------------------ 304
9.7 Concluso ------------------------------------------------- 315
10. Redes privadas virtuais ------------------------------------- 317
10.1 Motivao e objetivos -------------------------------- 317
10.2 Implicaes --------------------------------------------- 320
10.3 Os fundamentos da VPN --------------------------- 320
10.4 O tunelamento ----------------------------------------- 321
10.5 As configuraes ------------------------------------- 321
10.6 Os protocolos de tunelamento ------------------ 337
10.7 Gerenciamento e controle de trfego ---------- 347
10.8 Desafios ------------------------------------------------- 348
10.9 Concluso ----------------------------------------------- 350

11.1 A identificao e a autorizao -----------------11.2 Controle de acesso ---------------------------------11.3 Single Sign-On (SSO) ------------------------------11.4 Concluso -----------------------------------------------

PARTE III

351
362
364
367

MODELO DE SEGURANA PARA UM AMBIENTE COOPERATIVO ------------ 369


12. As configuraes de um ambiente cooperativo --- 371
12.1 Os cenrios at o ambiente cooperativo ------ 371
12.2 Configurao VPN/firewall ------------------------- 395
12.3 Concluso ----------------------------------------------- 400
13. Modelo de segurana para
ambientes cooperativos ---------------------------------- 401
13.1 Os aspectos envolvidos no
ambiente cooperativo ------------------------------------- 401
13.2 As regras de filtragem------------------------------- 404
13.3 Manipulao da complexidade das regras de
filtragem --------------------------------------------------------- 417
13.4 Integrando tecnologias
firewall cooperativo ----------------------------------------- 423
13.5 Nveis hierrquicos de defesa -------------------- 426
13.6 Modelo de teias --------------------------------------- 433
13.7 Concluso ----------------------------------------------- 448
14 Concluso ----------------------------------------------------- 449

Bibliografia ---------------------------------------------------- 453


ndice remissivo --------------------------------------------- 469
Sobre os autores --------------------------------------------- 473

Apresentao

Este livro teve origem a partir da dissertao de mestrado de Emilio, durante


seus estudos no Instituto de Computao da Unicamp. Emilio foi o aluno que,
aps minha (Paulo) apresentao de um tema de pesquisa a ser patrocinado por
uma empresa local, procurou-me repetidas e insistentes vezes afirmando que ele
era o aluno certo para o projeto. Sua determinao me impressionou a ponto de
eu decidir escolh-lo para o projeto, e como os leitores podero comprovar, foi
uma tima escolha.
O conhecimento do ambiente computacional da Robert Bosch Ltda, composto na
poca por vrios milhares de mquinas e mais de uma centena de servidores, sob
uma administrao nica, colocou-nos perante um desafio. Como administrar segurana em rede to vasta e com tantas interaes com outras empresas, revendedores
e funcionrios em viagem? As solues tradicionais na literatura de segurana s
contemplavam cenrios cannicos, resumidos praticamente a usurios internos da
Internet e um Web site. Muitas propostas de firewalls e suas topologias so encontradas nos artigos e livros do meio, dentre eles at mesmo o ensino no curso de
Segurana de Redes no IC-Unicamp, mas nenhuma tratava de uma possvel cooperao com outra empresa (joint-ventures).
Como vrias outras empresas pioneiras no processo de informatizao de suas
relaes comerciais (B2B, business-to-business), a Bosch tinha que desbravar reas
ainda no estudadas pela academia. Este em particular acabou se constituindo em
um excelente caso para estudar o problema e propor solues adequadas, devido
diversidade de interaes a serem suportadas pela rede e seu aparato de segurana,
especialmente o firewall. Esse processo durou pouco mais de dois anos e exigiu uma

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS


2
quantidade significativa de esforo, especialmente de Emilio, em razo da diversidade de tecnologias de segurana a serem dominadas para atingir seu objetivo.

Prefcio

PAULO LCIO DE GEUS


paulo@securitybase.net

Para esta segunda edio, diversas inseres foram feitas, as quais refletem os
temas que esto sendo mais discutidos pela comunidade. Alm da bagagem adquirida pelos trabalhos diretos envolvendo a segurana da informao, a contribuio
dos leitores foi fundamental para a ampliao do livro. O que se pode perceber com
o feedback que a segurana contnua e a percepo sobre o assunto muda de
acordo com a experincia de cada um. a que reside o grande desafio de quem
estuda e trabalha com segurana da informao: no se pode esquecer que a segurana envolve diferentes aspectos (de negcios, de processos, humanos, tecnolgicos,
jurdicos, culturais, sociais) e que o entendimento desse conjunto de aspectos que
estabelece o nvel de segurana de uma organizao.
Assim, entender os riscos envolvidos com cada situao e com cada ambiente
fundamental para que a proteo adequada possa ser estabelecida. Afinal de contas, no possvel reduzir riscos que no se conhece. Esta segunda edio inclui
novas figuras e novas tabelas que visam facilitar o entendimento dos problemas e
dos conceitos, tcnicas e tecnologias que podem ser utilizadas para a proteo de
um ambiente. Alm disso, foram includos materiais extras sobre novos ataques, o
funcionamento de novos worms, novas tecnologias de defesa, como os sistemas de
preveno de intruso, e novos casos com incidentes de segurana no Brasil e no
mundo.
Alm disso, um captulo novo foi includo e trata de uma das tecnologias que
mais causam impacto na vida das pessoas: as redes sem fio (wireless). Os aspectos
de segurana do padro IEEE 802.11, usado em WLANs, e do Bluetooth, usado em
distncias menores, so discutidos nesse novo captulo.
O desejo foi manter o livro o mais atual possvel, com o tratamento dos assuntos
que fazem e que faro parte de qualquer organizao, e que sejam importantes para
cursos de segurana de redes. Para isso, procuramos compartilhar ao mximo as
experincias adquiridas nesse perodo.
Boa Leitura !!!
EMILIO TISSATO NAKAMURA
emilio@securitybase.net

Computadores e redes podem mudar nossas vidas para melhor ou para pior. O
mundo virtual tem as mesmas caractersticas do mundo real e, e h tempos, os
eventos de segurana, ataques e invases a computadores deixaram de ser atividades solitrias e no destrutivas. H muito mais envolvido nessas aes. Pensando
nisso, imperativa a preocupao em manter a segurana dos computadores e das
redes que os conectam. Sob esse ponto de vista, e ao contrrio da maneira passional
que muitos textos utilizam, este livro trata dos aspectos de um modelo de segurana de uma forma ntegra e elegante. A viso da proteo dos computadores feita
diretamente, analisando o dilema com a devida objetividade. A abordagem extremamente correta, deixando de lado o tratamento da velha batalha do bem contra o
mal e apresentando os eventos e as caractersticas de forma tcnica e clara. O
desenvolvimento feito de tal maneira que os profissionais envolvidos com a administrao dos sistemas, e de sua segurana, podem encontrar neste livro o conhecimento necessrio para suas aes prticas dirias. Assim, esses agentes podero
estar preparados para defender suas instalaes e, principalmente, entender a amplitude e as implicaes de seus atos. Em resumo, este livro uma boa opo para
quem quer estar preparado.
Alm desses aspectos, o texto fornece subsdios importantes para a educao e
o preparo para a segurana e a convivncia em um mundo interconectado. Um
importante paralelo pode ser traado com o que acontece fora dos computadores e
das redes. Prticas e procedimentos de segurana devem fazer parte do dia-a-dia da
sociedade digital, da mesma forma que as regras e prticas sociais, implcitas ou
explcitas, nos remetem ao comportamento aceitvel e correto na sociedade em que
vivemos. Na medida em que as tcnicas e as metodologias de segurana so abordadas de maneira objetiva e educativa, esta obra colabora na compreenso dessas

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS


4
aes, principalmente no que diz respeito importncia do estabelecimento de
polticas de segurana dentro das instituies e corporaes.
Este livro fruto do trabalho e da ampla experincia do autor junto a um projeto
de pesquisa no Instituto de Computao da UNICAMP Universidade Estadual de
Campinas, So Paulo. Esse projeto, orientado pelo prof. Dr. Paulo Lcio de Geus
tambm um respeitadssimo pesquisador da rea de segurana computacional ,
definiu um modelo de segurana de redes para ambientes cooperativos. Este livro
transpe para usurios e profissionais, iniciantes ou avanados em segurana, as
concluses e as metodologias desenvolvidas e abordadas naquele trabalho. Todos os
importantes aspectos de segurana atuais so tratados, desde a definio do ambiente a ser protegido, passando pelas ferramentas de proteo e deteco de invaso, at, finalmente, o estabelecimento de sistemas cooperativos seguros. Com certeza, esta uma obra esmerada e de fcil assimilao, que preenche a necessidade
de um texto genuinamente nacional na rea de segurana de computadores e redes,
unindo o formalismo tcnico correto com a atividade prtica adequada, ambos dosados na medida certa.
ADRIANO MAURO CANSIAN
adriano@ieee.org

Este livro chega no momento em que sistemas distribudos ganham em escala,


assumindo propores globais; onde a Web e suas aplicaes disponveis na Internet
assumem importncia e interesse sem precedentes. A Internet est se transformando na grande via para o comrcio, indstria, ensino e para o prprio governo.
Termos como E-Business, E-Contracting, E-Government, E-Learning, E-Voting so forjados na literatura internacional e tornam-se presentes no nosso cotidiano, dando
forma a uma sociedade da informao. As organizaes melhoraram em eficincia e
competitividade a partir do uso de novos paradigmas, envolvendo nveis de integrao
que podem ultrapassar suas fronteiras. Organizaes cooperadas, por exemplo, passam a definir empresas virtuais por meio da ligao de suas redes corporativas.
Somado a tudo isso, temos ainda tecnologias emergentes, como a computao mvel, que ajudam a montar um cenrio muito complexo sobre a rede mundial.
Entretanto, medida que essa grande teia de redes locais, nacionais e de escala
global vai sendo desenhada, a informao e os negcios tornam-se suscetveis a
novas ameaas, implicando em que a segurana assuma uma importncia crtica
nesses sistemas. Em anos recentes, um grande nmero de profissionais e organizaes de padronizao tem contribudo para o desenvolvimento de novas tcnicas,
padres e programas nacionais de segurana. Apesar de todo esse esforo, sempre
difcil para um administrador de sistemas, um programador de aplicaes ou um
usurio final compreender todos os aspectos do problema da segurana, especialmente em sistemas de larga escala.
A segunda edio deste livro incorpora os mais recentes desenvolvimentos em
termos de tecnologia e conhecimento sobre segurana em sistemas computacionais.
Como a edio anterior, este livro dirigido no sentido de fornecer, com muita

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS


6
propriedade, o conhecimento dos princpios e a prtica sobre a segurana em sistemas computacionais. As informaes so apresentadas de uma maneira clara, para
permitir que seus leitores, mesmo que iniciantes, possam avaliar as tcnicas e a
necessidade de segurana nos sistemas atuais. Ao mesmo tempo, o contedo
abrangente o necessrio para que possa ser utilizado como um livro-texto em cursos
de graduao e ps-graduao. um instrumento til para profissionais que atuam
na rea.
O livro apresenta um retrato geral das vulnerabilidades e ameaas a que esto
sujeitos os sistemas computacionais nesse contexto de integrao. Descreve os elementos necessrios para que redes cooperativas possam apresentar propriedades de
segurana. Para tal, uma abordagem metodolgica usada na descrio de seus
contedos. De incio, os autores se concentram nos problemas de segurana. Na
segunda parte, so apresentados conceitos, princpios bsicos, tcnicas e tecnologias
de segurana. As tcnicas apresentadas esto relacionadas com os problemas descritos na parte anterior. Por fim, os autores, fazendo uso de suas experincias,
propem um modelo de segurana para redes cooperativas. Esse modelo est fundamentado nas tcnicas e tecnologias descritas na Parte II.
O professor Paulo Lcio de Geus, coordenador e principal idealizador do projeto
deste livro, possui uma consistente atuao na rea. Foi, por muitos anos, administrador da rede da Unicamp, onde acumulou uma experincia prtica muito slida.
Atualmente, Paulo Lcio conduz o Laboratrio de Administrao e Segurana de
Sistemas (LAS) do Instituto de Computao da Unicamp, sendo responsvel por
importantes pesquisas e trabalhos acadmicos na rea de segurana em sistemas
computacionais. As contribuies e atuaes em eventos cientficos fazem do professor um membro respeitado da emergente comunidade acadmica brasileira da
rea de segurana. Suas relevantes contribuies na rea de segurana foram
determinantes em suas participaes, como perito, no episdio da pane do painel
da Cmara no Congresso Nacional e na avaliao do sistema de votao eletrnica
do Tribunal Superior Eleitoral.
Por fim, credito o sucesso deste livro ao excelente nvel de seus contedos e ao
reconhecimento do trabalho do professor Paulo Lcio. So poucas as publicaes de
livros tcnicos que conseguem os nmeros de venda atingidos pela primeira edio.
Portanto, tambm no tenho duvida sobre o xito desta segunda edio.
JONI DA SILVA FRAGA
Professor Titular
DAS/UFSC

Parte I
Conceitos bsicos de segurana

Esta seo inicia o leitor quanto aos problemas a serem tratados neste livro. As
organizaes de todos os tipos devem fazer parte do mundo virtual, que a Internet:
elas simplesmente no podem se dar ao luxo de no estar presentes nesse mundo,
especialmente com as presses da globalizao. Ou ser que justamente a atual
infra-estrutura de comunicao de dados que est incentivando e alimentando a
globalizao? Qualquer que seja a resposta, a Internet indispensvel, hoje, para
qualquer organizao.
Neste mundo virtual da Internet, muitos dos paradigmas, problemas e solues
do mundo real tambm se aplicam. Assim como no mundo real, onde existem propriedades privadas e organizaes de comrcio com dependncias de acesso pblico
(lojas), no mundo virtual existem mquinas de usurios (estaes) e servidores de
organizaes, respectivamente. Assim como no mundo real, as propriedades e organizaes virtuais necessitam de proteo e controle de acesso. Confiamos plenamente que voc, leitor, no sai de casa sem se certificar de que as portas, janelas e
o porto estejam trancados. Da mesma forma, uma loja na cidade de acesso pblico, no sentido de qualquer pessoa poder entrar em suas dependncias por ser potencialmente um cliente; porm, dependncias internas da loja so vedadas a esses
clientes em potencial.
Os mesmos critrios de segurana devem ser observados no mundo virtual, por
meio de medidas estritas de segurana. Alguns paralelos interessantes so:
* Firewalls: Equivalentes ao controle de acesso na loja real, por intermdio de
porteiros, vigias, limites fsicos e portas.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS


8
* Poltica de segurana: Equivalente ao modelo de conduta do cidado visitante na loja e de procedimentos por parte dos funcionrios para garantir o bom
comportamento social dos visitantes e da integridade do patrimnio da loja.
* Separao entre rede pblica (servidores externos) e rede interna: equivalente
separao entre a parte pblica da loja, onde os visitantes circulam, e a
parte privada, onde somente os funcionrios transitam.

Introduo

Entretanto, as pessoas e organizaes no mundo virtual interagem de vrias


maneiras, e o modelo de segurana mencionado anteriormente se mostra insuficiente para tratar da complexidade das comunicaes possveis no mundo virtual, fruto
dos avanos tecnolgicos. Esse o ambiente cooperativo a que nos referimos neste
texto, e que ser caracterizado nos prximos captulos, assim como as ameaas a
que tal ambiente est exposto. As redes sem fio (wireless) e seus riscos envolvidos
tambm sero discutidos.

C
a
p

t
u
l
o
1

A necessidade de segurana um fato que vem transcendendo o


limite da produtividade e da funcionalidade. Enquanto a velocidade
e a eficincia em todos os processos de negcios significam uma
vantagem competitiva, a falta de segurana nos meios que habilitam a velocidade e a eficincia pode resultar em grandes prejuzos e
falta de novas oportunidades de negcios.
O mundo da segurana, seja pensando em violncia urbana ou
em hackers, peculiar. Ele marcado pela evoluo contnua, no
qual novos ataques tm como resposta novas formas de proteo,
que levam ao desenvolvimento de novas tcnicas de ataques, de
maneira que um ciclo formado. No por acaso que no elo mais
fraco da corrente que os ataques acontecem. De tempos em tempos
os noticirios so compostos por alguns crimes da moda, que vm
e vo. Como resposta, o policiamento incrementado, o que resulta
na inibio daquele tipo de delito. Os criminosos passam ento a
praticar um novo tipo de crime, que acaba virando notcia. E o ciclo
assim continua. J foi comprovada uma forte ligao entre seqestradores e ladres de banco, por exemplo, na qual existe uma constante migrao entre as modalidades de crimes, onde o policiamento geralmente mais falho.
Esse mesmo comportamento pode ser observado no mundo da
informao, de modo que tambm se deve ter em mente que a segurana deve ser contnua e evolutiva. Isso ocorre porque o arsenal de
defesa usado pela organizao pode funcionar contra determinados

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS


10
tipos de ataques; porm, pode ser falho contra novas tcnicas desenvolvidas para
driblar esse arsenal de defesa.
Alguns fatores podem ser considerados para que a preocupao com a segurana
contnua seja justificada:
a) Entender a natureza dos ataques fundamental: preciso entender que muitos ataques so resultado da explorao de vulnerabilidades, as quais passam
a existir devido a uma falha no projeto ou na implementao de um protocolo,
aplicao, servio ou sistema, ou ainda devido a erros de configurao e administrao de recursos computacionais. Isso significa que uma falha pode ser
corrigida, porm novos bugs sempre existiro;
b) Novas tecnologias trazem consigo novas vulnerabilidades: preciso ter em
mente que novas vulnerabilidades surgem diariamente. Como novas tecnologias
e novos sistemas so sempre criados, razovel considerar que novas
vulnerabilidades sempre existiro e, portanto, novos ataques tambm sero
sempre criados. As redes sem fio (wireless), por exemplo, trazem grandes benefcios para as organizaes e os usurios, porm trazem tambm novas
vulnerabilidades que podem colocar em risco os negcios da organizao;
c) Novas formas de ataques so criadas: a prpria histria mostra uma evoluo
constante das tcnicas usadas para ataques, que esto cada vez mais sofisticadas. A mistura de diferentes tcnicas, o uso de tecnologia para cobrir vestgios
a cooperao entre atacantes e a criatividade so fatores que tornam a defesa
mais difcil do que o habitual;
d) Aumento da conectividade resulta em novas possibilidades de ataques: a facilidade de acesso traz como conseqncia o aumento de novos curiosos e tambm da possibilidade de disfarce que podem ser usados nos ataques. Alm
disso, novas tecnologias, principalmente os novos protocolos de comunicao
mvel, alteram o paradigma de segurana. Um cenrio onde os usurios de
telefones celulares so alvos de ataques e usados como porta de entrada para
ataques a uma rede corporativa, por exemplo, completamente plausvel;
e) Existncia tanto de ataques direcionados quanto de ataques oportunsticos:
apesar de a maioria dos ataques registrados ser oportunstico, os ataques
direcionados tambm existem em grande nmero. Esses ataques direcionados
podem ser considerados mais perigosos, pois, existindo a inteno de atacar, a
estratgia pode ser cuidadosamente pensada e estudada, e executada de modo
a explorar o elo mais fraco da organizao. Esses so, geralmente, os ataques
que resultam em maiores prejuzos, pois no so feitos de maneira aleatria,
como ocorre com os ataques oportunsticos. Isso pode ser observado tambm
pelo nvel de agressividade dos ataques. Quanto mais agressivo o ataque,

Captulo 1: Introduo
11
maior o nvel de esforo dispensado em um ataque a um alvo especfico.
interessante notar tambm que a agressividade de um ataque est relacionada
com a severidade, ou seja, maiores perdas;
f) A defesa mais complexa do que o ataque: para o hacker, basta que ele consiga explorar apenas um ponto de falha da organizao. Caso uma determinada tcnica no funcione, ele pode tentar explorar outras, at que seus objetivos sejam atingidos. J para as organizaes, a defesa muito mais complexa,
pois exige que todos os pontos sejam defendidos. O esquecimento de um nico ponto faz com que os esforos dispensados na segurana dos outros pontos
sejam em vo. Isso acaba se relacionando com uma das principais falcias do
mundo corporativo: a falsa sensao de segurana. interessante notar que,
quando o profissional no conhece os riscos, ele tende a achar que tudo est
seguro com o ambiente. Com isso, a organizao passa, na realidade, a correr
riscos ainda maiores, que o resultado da negligncia. Isso acontece com os
firewalls ou com os antivrus, por exemplo, que no podem proteger a organizao contra determinados tipos de ataques.
g) Aumento dos crimes digitais: o que no pode ser subestimado so os indcios
de que os crimes digitais esto se tornando cada vez mais organizados. As
comunidades criminosas contam, atualmente, com o respaldo da prpria
Internet, que permite que limites geogrficos sejam transpostos, oferecendo
possibilidades de novos tipos de ataques. Alm disso, a legislao para crimes
digitais ainda est na fase da infncia em muitos pases, o que acaba dificultando uma ao mais severa para a inibio dos crimes.
Dentre os fatos que demonstram o aumento da importncia da segurana, podese destacar a rpida disseminao de vrus e worms, que so cada vez mais sofisticados. Utilizando tcnicas que incluem a engenharia social, canais seguros de comunicao, explorao de vulnerabilidades e arquitetura distribuda, os ataques
visam a contaminao e a disseminao rpida, alm do uso das vtimas como
origem de novos ataques. A evoluo dos ataques aponta para o uso de tcnicas
ainda mais sofisticadas, como o uso de cdigos polimrficos para a criao de vrus,
worms, backdoor ou exploits, para dificultar sua deteco. Alm disso, ferramentas
que implementam mecanismos que dificultam a adoo da forense computacional
tambm j esto sendo desenvolvidos. Os canais ocultos ou cobertos (covert channels)
tendem a ser usados para os ataques, nos quais os controles so enviados por tneis
criados com o uso de HTTPS ou o SSH, por exemplo. O uso de pontes de ataques e
mecanismos do TCP/IP para dificultar a deteco e investigao igualmente tende a
ser cada vez mais utilizado. Ataques a infra-estruturas envolvendo roteamento ou
DNS, por exemplo, tambm podem ser realizados.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 1: Introduo

12
Alguns incidentes mostram que os prejuzos com a falta de segurana podem ser
grandes. O roubo de 5,6 milhes de nmeros de cartes de crdito da Visa e da
MasterCard de uma admistradora de cartes americana, em fevereiro de 2003 [JT
03], por exemplo, pode sugerir grandes problemas e inconvenientes para as vtimas.
No Brasil, o roubo de mais de 152 mil senhas de acesso de grandes provedores de
acesso, em maro de 2003, resultou em quebra de privacidade e, em muitos casos,
perdas bem maiores [REV 03]. No mbito mundial, variaes de worms como o Klez
ainda continuam na ativa, mesmo passado mais de um ano desde seu surgimento. A
primeira verso do Klez surgiu em novembro de 2001 e a verso mais perigosa, em
maio de 2002; em maro de 2003, o Klez era o worm mais ativo do ms [MES 03]. Em
junho de 2002, um incidente de segurana envolvendo usurios de cinco dos maiores bancos e administradores de cartes de crdito do Brasil resultou em prejuzos
calculados em R$ 100 mil [TER 02], mostrando que incidentes envolvendo instituies financeiras esto se tornando cada vez mais comuns, seja no Brasil ou em
outros pases.
Outros incidentes notrios podem ser lembrados, como o que envolveu o worm
Nimda, em setembro de 2001. Um alto grau de evoluo pde ser observado no
Nimda, que foi capaz de atacar tanto sistemas Web quanto sistemas de e-mail.
Antes do aparecimento do Nimda, um outro worm, o Code Red (e sua variao Code
Red II), vinha, e ainda vem, causando grandes prejuzos, no somente s organizaes que sofreram o ataque, mas Internet como um todo. Causando lentido na
rede, o Code Red resultou em prejuzos estimados em 2,6 bilhes de dlares nos
Estados Unidos, em julho e agosto de 2001. Outro notrio evento foi a explorao
em larga escala de ferramentas para ataques coordenados e distribudos, que afetaram e causaram grandes prejuzos, durante 2000, a sites como Amazon Books, Yahoo,
CNN, eBay, UOL e ZipMail. Somaram-se ainda ataques a sites de comrcio eletrnico,
notadamente o roubo de informaes sobre clientes da CDNow, at mesmo dos nmeros de cartes de crdito. Casos de pichaes de sites Web tambm so um fato
corriqueiro, demonstrando a rpida popularizao dos ataques a sistemas de computadores.
Porm, os ataques que vm causando os maiores problemas para as organizaes
so aqueles que acontecem a partir da sua prpria rede, ou seja, os ataques internos. Somado a isso, est o fato de as conexes entre as redes das organizaes
alcanarem nveis de integrao cada vez maiores. Os ambientes cooperativos, formados a partir de conexes entre organizaes e filiais, fornecedores, parceiros
comerciais, distribuidores, vendedores ou usurios mveis, resultam na necessidade
de um novo tipo de abordagem quanto segurana. Em oposio idia inicial,
quando o objetivo era proteger a rede da organizao isolando-a das redes pblicas,
nos ambientes cooperativos o objetivo justamente o contrrio: disponibilizar cada

13
vez mais servios e permitir a comunicao entre sistemas de diferentes organizaes, de forma segura. A complexidade aumenta, pois agora a proteo deve ocorrer
no somente contra os ataques vindos da rede pblica, mas tambm contra aqueles
que podem ser considerados internos, originados a partir de qualquer ponto do
ambiente cooperativo.
interessante observar que o crescimento da importncia e at mesmo da dependncia do papel da tecnologia nos negcios, somado ao aumento da facilidade
de acesso e ao avano das tcnicas usadas para ataques e fraudes eletrnicos, resultam no aumento do nmero de incidentes de segurana, o que faz com que as
organizaes devam ser protegidas da melhor maneira possvel. Afinal de contas,
o prprio negcio, em forma de bits e bytes, que est em jogo.
Assim, entender os problemas e as formas de resolv-los torna-se imprescindvel, principalmente porque no se pode proteger contra riscos que no se conhece.
Este livro tem como principal objetivo apresentar os conceitos, as tcnicas e as
tecnologias de segurana que podem ser usados na proteo dos valores
computacionais internos das organizaes. Para isso, a formao de um ambiente
cooperativo e as motivaes para a implementao de uma segurana coerente sero discutidas. Os motivos que levam adoo de determinada tecnologia tambm
sero discutidos, bem como a integrao das diversas tecnologias existentes, que ,
de fato, o grande desafio das organizaes.

ESTRUTURA BSICA
O livro dividido em trs partes: a Parte I, composta pelos captulos 2, 3, 4 e 5,
faz a ambientao dos problemas que devem ser enfrentados pelas organizaes; a
Parte II, formada pelos captulos de 6 a 11, apresenta as tcnicas, conceitos e
tecnologias que podem ser utilizadas na luta contra os problemas de segurana
vistos na Parte I. J a Parte III (captulos 12 e 13) apresenta o modelo de segurana
proposto pelos autores, no qual os recursos apresentados na Parte II so aplicados
no ambiente cooperativo.
O Captulo 2 faz a apresentao de um ambiente cooperativo e as necessidades
de segurana so demonstradas no Captulo 3. Os riscos que rondam as organizaes, representados pelas tcnicas de ataque mais utilizadas, so discutidos no
Captulo 4. O Captulo 5 trata das redes sem fio, que possuem uma importncia cada
vez maior na vida das pessoas, porm trazem consigo novos riscos.
A poltica de segurana, os firewalls, os sistemas de deteco de intruso, a
criptografia, as redes privadas virtuais e a autenticao dos usurios so discutidos,
respectivamente, nos captulos 6, 7, 8, 9, 10 e 11. J o Captulo 12 discute as
configuraes que podem fazer parte de um ambiente cooperativo, enquanto o

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 1: Introduo

14
Captulo 13 discute os aspectos de segurana envolvidos nesse tipo de ambiente e o
modelo de gesto de segurana proposto. Ele composto pela arquitetura do firewall
cooperativo, o modo de minimizar a complexidade das regras de filtragem e o modelo hierrquico de defesa. Este ltimo destinado a facilitar a compreenso dos
problemas de segurana inerentes a esse tipo de ambiente, resultando assim em
menos erros na definio da estratgia de segurana da organizao. Ainda no
Captulo 13, o Modelo de Teias tem como objetivo auxiliar no gerenciamento da
complexidade da segurana. O Captulo 14 traz a concluso do livro.
A seguir, o leitor encontrar um resumo mais detalhado de cada captulo.

PARTE I CONCEITOS BSICOS DE SEGURANA

15
tados, mostrando que as preocupaes com a segurana devem ser tratadas com a
mxima ateno e cuidado, para que a continuidade dos negcios das organizaes
no seja afetada. contra esses riscos que as organizaes tm de lutar, principalmente atravs das tcnicas, tecnologias e conceitos a serem discutidos na Parte II
deste livro. Os riscos envolvem aspectos humanos, explorados pela engenharia social, e aspectos tcnicos. Detalhes de alguns dos ataques mais conhecidos podem ser
encontrados neste captulo, incluindo anlises de ferramentas de DDoS e de worms
como o Nimda, o Code Red, o Klez, o Sapphire e o Deloder. Com o objetivo de ilustrar
os passos utilizados pelos atacantes, os ataques foram agrupados em categorias que
incluem a obteno de informaes sobre os sistemas alvo, passando por tcnicas
que incluem negao de servio (Denial of Service, DoS), ataques ativos, ataques
coordenados e ataques s aplicaes e aos protocolos.

Captulo 1 Introduo

Captulo 5 Novas funcionalidades e riscos: redes


sem fio

Captulo 2 O ambiente cooperativo

O uso de redes sem fio (wireless) vem aumentando substancialmente, resultando


em um impacto significante na vida das pessoas. Seja em distncias mais longas
(telefones celulares), em distncias mdias (Wireless LAN, WLAN) ou em curtas
distncias (Bluetooth), as redes sem fio facilitam o dia-a-dia das pessoas; no entanto, trazem consigo novos riscos. Elas apresentam diferenas essenciais se comparadas s redes com fio, de modo que protocolos de segurana foram definidos para a
proteo dos acessos sem fio, principalmente para a autenticao e proteo no
nvel de enlace. Este captulo discute os aspectos de segurana existentes nas redes
sem fio, em particular no padro IEEE 802.11 e Bluetooth.

Este captulo mostra a dependncia cada vez maior da informtica e das telecomunicaes para o sucesso das organizaes, o que faz com que um novo ambiente de
extrema importncia surja no mbito computacional: o ambiente cooperativo. Como
conseqncia, diversos novos problemas passam a ocorrer nesse ambiente, principalmente com relao segurana dos seus recursos. As triangulaes, nas quais uma
organizao A acessa as informaes de C, por intermdio de sua comunicao com a
organizao B, apenas um desses problemas que devem ser tratados. A complexidade de conexes e a heterogeneidade do ambiente tambm devem ser considerados.

Captulo 3 A necessidade de segurana

PARTE II TCNICAS E TECNOLOGIAS DISPONVEIS

Neste captulo, cujo enfoque a natureza da segurana, discute-se questes sobre


investimentos em segurana e os seus mitos. Faz-se tambm uma anlise sobre a
influncia das medidas de segurana nas funcionalidades dos sistemas e na produtividade dos usurios. A segurana necessria, porm sua estratgia de implementao
deve ser bem definida, medindo-se custos e benefcios, pois a segurana total no
possvel. A anlise dos riscos possui um papel fundamental nesse contexto.

PARA DEFESA

Captulo 4 Os riscos que rondam as organizaes


Este captulo apresenta os riscos a que as organizaes esto sujeitas. Os possveis atacantes e os mtodos, tcnicas e ferramentas utilizados por eles so apresen-

Captulo 6 Poltica de segurana


O objetivo deste captulo demonstrar a importncia da poltica de segurana,
discutindo pontos como seu planejamento, seus elementos, os pontos a serem tratados e os maiores obstculos a serem vencidos, principalmente em sua
implementao. Alguns pontos especficos que devem ser tratados pela poltica
tambm so exemplificados, como os casos da poltica de senhas, do firewall e do
acesso remoto. A discusso estende-se at a poltica de segurana em ambientes

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 1: Introduo

16
cooperativos, que possuem suas particularidades. Os bolses de segurana caractersticos dos ambientes cooperativos so uma dessas particularidades.

17

Captulo 10 Rede privada virtual

Este captulo trata de um dos principais componentes de um sistema de segurana o firewall, e tem como objetivo discutir a definio do termo firewall, que vem
sofrendo modificaes com o tempo, alm de discutir a evoluo que vem ocorrendo
nesse importante componente de segurana. Os conceitos tcnicos envolvidos, fundamentais para a escolha do melhor tipo de firewall para cada organizao, so
apresentados detalhadamente. As arquiteturas de um firewall, que influem substancialmente no nvel de segurana, tambm so discutidas. Por fim, conclui-se que o
firewall no pode ser a nica linha de defesa para garantir a segurana de uma
organizao.

As redes privadas virtuais (Virtual Private Network VPN) possuem grande


importncia para as organizaes, principalmente no seu aspecto econmico, ao
permitir que as conexes fsicas dedicadas de longa distncia sejam substitudas
pelas suas correspondentes a redes pblicas, normalmente de curta distncia. As
VPNs permitem tambm a substituio das estruturas de conexes remotas, que
podem ser eliminadas em funo da utilizao dos clientes e provedores VPN. Porm, essas vantagens requerem uma srie de consideraes com relao segurana, pois as informaes das organizaes passam a trafegar por meio de uma rede
pblica. A criptografia associada a VPNs no suficiente: este captulo visa discutir
a VPN e as implicaes de segurana envolvidas, alm dos principais protocolos
disponveis (L2TP, PPTP, IPSec) para a comunicao entre as organizaes por intermdio de tneis virtuais.

Captulo 8 Sistema de deteco de intruso

Captulo 11 Autenticao

O sistema de deteco de intruso (Intrusion Detection Systems IDS) constitui um componente de segurana essencial em um ambiente cooperativo. Neste
captulo sero discutidos os objetivos dos sistemas de deteco de intruso e os
tipos de sistemas que podem ser usadas para a proteo do ambiente. Os tipos de
IDS e as metodologias de deteco utilizadas sero discutidos, bem como as limitaes de cada abordagem. Sua localizao na rede da organizao influi diretamente
nos resultados da deteco, de forma que ela discutida no captulo. Os sistemas
que visam no apenas a deteco, mas tambm a preveno dos ataques sistemas de preveno de intruso (Intrusion Prevention System IPS) tambm so
apresentados neste captulo.

A autenticao essencial para a segurana dos sistemas, ao validar a identificao dos usurios, concedendo-lhes a autorizao para o acesso aos recursos. A
autenticao pode ser realizada com base em alguma coisa que o usurio sabe, em
alguma coisa que o usurio tem ou em alguma coisa que o usurio , como ser
visto neste captulo. O captulo mostra tambm os pontos importantes a serem
considerados no controle de acesso, que tem como base a autenticao dos usurios, e discute as vantagens e desvantagens do Single Sign-On (SSO), que tenta
resolver um dos maiores problemas relacionados autenticao o mau uso das
senhas.

Captulo 7 Firewall

Captulo 9 A criptografia e a PKI


A criptografia uma cincia que possui importncia fundamental para a segurana, ao servir de base para diversas tecnologias e protocolos, tais como a Secure
Socket Layer (SSL) e o IP Security (IPSec). Suas propriedades sigilo, integridade,
autenticao e no-repdio garantem o armazenamento, as comunicaes e as
transaes seguras, essenciais no mundo atual. Este captulo discute o papel da
criptografia e os aspectos relacionados sua segurana. A infra-estrutura de chaves
pblicas (Public Key Infrastructure PKI), baseada na criptografia assimtrica,
vem ganhando uma importncia cada vez maior, principalmente nos ambientes
cooperativos, e tambm ser discutida neste captulo.

PARTE III MODELO DE SEGURANA PARA UM AMBIENTE


COOPERATIVO

Captulo 12 As configuraes de um ambiente


cooperativo
Este captulo apresenta os diversos cenrios que representam as redes das organizaes, cuja evoluo (aumento dos nmeros de conexes) leva formao de
ambientes cooperativos. Ser visto que a complexidade aumenta a cada nova conexo, o que exige uma anlise profunda das implicaes envolvidas e das tecnologias
necessrias que sero utilizadas na arquitetura de segurana da organizao. Este

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS


18
captulo analisa as diversas configuraes de componentes importantes para a segurana da organizao, como o firewall, a Virtual Private Network (VPN), o Intrusion
Detection System (IDS) e a Public Key Infrastructure (PKI), de acordo com as necessidades que vo surgindo com a evoluo das conexes. As discusses deste captulo culminam com a arquitetura do firewall cooperativo, que conceituado no prximo captulo.

O ambiente cooperativo

Captulo 13 O modelo de segurana para


ambientes cooperativos
Este captulo tem como objetivo apresentar um modelo de segurana para o
ambiente cooperativo. Os aspectos envolvidos com o ambiente cooperativo so discutidos, e em seguida so demonstradas as dificuldades existentes na definio e
implementao das regras de filtragem. A seguir, ser apresentada uma abordagem
para a manipulao da complexidade das regras de filtragem utilizando-se o iptables.
A arquitetura do firewall cooperativo tambm apresentada, culminando na definio de cinco nveis hierrquicos de defesa, que visam minimizar a complexidade e
tornar mais simples a administrao da segurana em um ambiente cooperativo.
Uma discusso sobre o gerenciamento da complexidade da segurana tambm
realizada, com a apresentao do Modelo de Teias.

Este captulo mostra a importncia cada vez maior da tecnologia


da informao para organizaes de toda natureza. A dependncia cada vez maior da informtica e da telecomunicao para o
sucesso das organizaes tem como resultado o surgimento de um
novo ambiente de extrema importncia: o ambiente cooperativo.
Como conseqncia, novos desafios passam a fazer parte do cotidiano de todos, principalmente com relao segurana dos seus
recursos.

Captulo 14 Concluso

2.1 A INFORMTICA COMO PARTE


C
a
p

t
u
l
o
2

DOS

NEGCIOS
O mundo moderno e globalizado faz com que as organizaes
busquem o mais alto nvel de competitividade, no qual novos mercados so disputados vorazmente. O concorrente, agora, pode estar
em qualquer parte do mundo e, para super-lo, necessrio, mais
do que nunca, fabricar produtos de qualidade, prestar bons servios
e manter um bom relacionamento com os clientes, sejam eles internos ou externos. Como reflexo, a busca de diferencial competitivo e
de novos mercados faz com que as relaes comerciais internacionais sejam cada vez mais necessrias e mais fortes, como pode ser
visto, por exemplo, no Mercado Comum do Sul (Mercosul).
Nesse cenrio, a competitividade global ditada principalmente
pela velocidade, qualidade e eficincia seja das decises, das

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 2: O ambiente cooperativo

20

21

implementaes ou das comunicaes. Dessa maneira, a infra-estrutura de telecomunicaes, que permite a comunicao entre pessoas e recursos, deve ser bem
projetada e bem dimensionada. Mais do que isso, o uso eficiente da tecnologia como
meio de evoluo dos negcios e de desenvolvimento de novas oportunidades
vital para a sobrevivncia de qualquer organizao.
O uso da tecnologia possui um sentido muito amplo, e deve-se tirar proveito
das inovaes tanto para a criao e desenvolvimento de produtos quanto para o
estabelecimento de novos canais de relacionamento com os clientes. Um recente
caso de sucesso no Brasil, referente ao uso da tecnologia para a expanso dos
negcios, o da rede Ponto Frio. A operao virtual da loja, que abrange o site na
Internet e o telemarketing, vendeu mais do que qualquer uma das 350 lojas da
rede em dezembro de 2002, atingindo somente nesse ms R$ 13 milhes [AGE 03].
Enquanto que a loja virtual Submarino, que surgiu na Internet, faturou R$ 130
milhes em 2002 [EXA 03], demonstrando a fora das oportunidades criadas com
o uso da tecnologia.
Vrios outros casos de sucesso do uso da Internet para a realizao de negcios
podem ser vistos no Brasil. A Ford, por exemplo, movimentou, em 2001, mais de R$ 4
bilhes em transaes com outras empresas Business-to-Business (B2B). A General
Motors atingiu mais de R$ 1 bilho, em 2001, com a venda do veculo Celta no
mercado direto com os consumidores Business-to-Consumer (B2C) [EXA 02]. Em
2002, somente a General Motors vendeu 90 mil veculos pela Internet, com o mercado
automobilstico brasileiro atingindo US$ 1,1 bilho em vendas online [EXA 03]. J os
bancos Bradesco e Ita totalizaram, cada um, mais de R$ 6 bilhes em transaes
eletrnicas em 2001 [EXA 02]. Outros nmeros do mercado brasileiro podem ser vistos
nas tabelas 2.1 (B2C), 2.2 (B2B) e 2.3 (Bancos e corretoras) [EXA 02].
Tabela 2.1

Nmeros brasileiros do B2C de 2001. Fonte: Info100, da Revista Info Exame.

Os maiores do B2C no Brasil em 2001


Ordem Empresa
Transaes (R$ milhes)

Ramo de atividade

1
2
3
4
5
6
7
8
9
10

Automotivo
Leilo online
Venda de carros
Varejo
Varejo
Automotivo
Comparao de preos
Comunicaes
Turismo
Farmacutico

General Motors
Mercado Livre
Carsale
Americanas.com
Submarino
Ford
BuscaP
Editora Abril
Decolar.com
Farmcia em Casa

1044,0
188,2
90,5
71,4
71,1
39,5
38,3
33,7
33,0
26,1

Tabela 2.2 Nmeros brasileiros do B2B de 2001. Fonte: Info100, da Revista Info Exame.
Os maiores do B2B no Brasil em 2001
Ordem Empresa
Transaes (R$ milhes)

Ramo de atividades

1
2
3
4
5
6
7
8
9
10

Automotivo
E-marketplace
Computao
E-marketplace
Computao
Seguros
Vale-refeio
Seguros
Servios
Vale-transporte

Ford
Mercado Eletrnico
Intel
Genexis
Cisco
Porto Seguro
Grupo VR
Ita Seguros
Ticket Servios
VB Servios

4610,9
2000,0
1652,2
1200,0
1196,4
780,3
600,0
485,0
483,0
403,6

Tabela 2.3 Nmeros brasileiros das transaes de bancos e corretores de 2001. Fonte:
Info100, da Revista Info Exame.
Os maiores bancos e corretores no Brasil em 2001
Ordem Empresa
Transaes (R$ milhes)

Ramo de atividade

1
2
3
4
5
6
7
8
9
10

Banco
Banco
Banco
Banco
Banco
Banco
Corretora
Corretora
Corretora
Banco

Bradesco
Ita
Unibanco
Banco Real/ABN Amro
BankBoston
Santander
Hedging-Griffo
Socopa
Souza Barros
Banco1.net

6725,5
6000,0
2800,0
2250,4
1600,0
1496,2
241,0
104,1
60,0
9,6

Assim, a prpria infra-estrutura de rede e a informtica podem ser consideradas


como duas das responsveis pelo avano da globalizao. Em menor escala, essa
infra-estrutura, no mnimo, contribuiu e possibilitou o avano da globalizao,
andando ambas na mesma direo. Se antes a Revoluo Industrial pde ser vista,
agora a Revoluo Digital faz parte da vida de todos.
O papel da informtica como parte do processo de negcios de qualquer organizao pode ser verificado mais claramente pelo aumento dos investimentos realizados na rea de Tecnologia da Informao. A pesquisa da Giga Information Group
realizada no Brasil, por exemplo, mostrou que os investimentos em tecnologia da
informao cresceram 5% em 2002, apesar das eleies e da retrao do mercado
mundial [ITW 02]. Outra pesquisa, realizada pela International Data Corporation
(IDC), revelou em 2002 que 88% das 60 empresas da Amrica Latina pesquisadas
consideram a Internet uma importante ferramenta de negcios, tanto hoje como a
curto e mdio prazos [B2B 02].

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 2: O ambiente cooperativo

22

23

Imagine uma falha em algum dos componentes da informtica, que pode afetar
negativamente os negcios da organizao. No caso do comrcio eletrnico, por
exemplo, a indisponibilidade ou problemas em um site faz com que o usurio faa a
compra no concorrente, pois bastam apenas alguns cliques no mouse para a mudana entre diferentes lojas virtuais.

2.2AMBIENTES COOPERATIVOS
No mundo globalizado e de rpidos avanos tecnolgicos, as oportunidades de
negcios vm e vo com a mesma rapidez desses avanos. Todos vivenciam uma
poca de grandes transformaes tecnolgicas, econmicas e mercadolgicas. Grandes fuses esto acontecendo, implicando tambm na fuso de infra-estruturas
de telecomunicaes, o que pode resultar em srios problemas relacionados
segurana.
Alm das fuses entre as organizaes, as parcerias estratgicas e as formas de
comunicao avanam de tal modo que a infra-estrutura de rede de vital importncia para os negcios passa a ser uma pea fundamental para todos. Esse
contexto atual, de grandes transformaes comerciais e mercadolgicas, somado
importncia cada vez maior do papel da Internet, faz com que um novo ambiente
surja, no qual mltiplas organizaes trocam informaes por meio de uma rede
integrada. Informaes tcnicas, comerciais e financeiras, necessrias para o bom
andamento dos negcios, agora trafegam por essa rede que conecta matrizes de
empresas com suas filiais, seus clientes, seus parceiros comerciais, seus distribuidores e todos os usurios mveis.
A complexidade dessa rede heterognea atinge nveis considerveis, o que implica em uma srie de cuidados e medidas que devem ser tomados, principalmente
com relao proteo das informaes que fazem parte dessa rede. Esse ambiente,
em que a rpida e eficiente troca de informaes entre matrizes, filiais, clientes,
fornecedores, parceiros comerciais e usurios mveis um fator determinante de
sucesso, chamado de ambiente cooperativo.
O ambiente cooperativo caracterizado pela integrao dos mais diversos sistemas de diferentes organizaes, nos quais as partes envolvidas cooperam entre si,
na busca de um objetivo comum: velocidade e eficincia nos processos e nas realizaes de negcios, que representam os elementos-chave para o sucesso de qualquer tipo de organizao. A formao de um ambiente cooperativo (Figura 2.1),
com as evolues que ocorrem nas conexes das organizaes e suas respectivas
implicaes, pode ser vista com detalhes no Captulo 12.

Figura 2.1

O ambiente cooperativo diversidade de conexes.

2.3 PROBLEMAS NOS AMBIENTES COOPERATIVOS


A propriedade determinante dos ambientes cooperativos a complexidade que
envolve a comunicao entre diferentes tecnologias (cada organizao utiliza a
sua), diferentes usurios, diferentes culturas e diferentes polticas internas. O conjunto de protocolos da sute TCP/IP e a Internet possibilitaram o avano em direo
aos ambientes cooperativos, ao tornar possveis as conexes entre as diferentes
organizaes, de modo mais simples e mais barato que as conexes dedicadas. Porm, essa interligao teve como conseqncia uma enorme implicao quanto
proteo dos valores de cada organizao.
Algumas situaes que refletem o grau de complexidade existente nos ambientes cooperativos podem ser vistas quando so analisadas, por exemplo, as conexes
entre trs organizaes (A, B e C). Como proteger os valores da organizao A,
evitando que um usurio da organizao B acesse informaes que pertencem somente organizao A?
Pode-se supor uma situao em que os usurios da organizao B no podem
acessar informaes da organizao A, porm os usurios da organizao C podem
faz-lo. Como evitar que os usurios da organizao B acessem informaes da

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 2: O ambiente cooperativo

24
organizao A, por meio da organizao C? Como pode ser visto na Figura 2.2, isso
constitui um caso tpico de triangulao, na qual uma rede utilizada como ponte
para uma outra rede. Neste exemplo, usurios da organizao B podem acessar as
informaes da organizao A, o que proibido, utilizando a estrutura da organizao C como ponte.

Figura 2.2 O perigo das triangulaes.

Os problemas decorrentes dessa situao so gigantescos, pois a organizao B


pode ter acesso a informaes confidenciais da organizao A, sem que ela sequer
tome conhecimento desse fato, pois o acesso ocorre por intermdio da organizao C.
Alm das triangulaes, um outro problema que pode ocorrer em um ambiente
cooperativo o aumento da complexidade dos nveis de acesso. Isso pode ser visto
em um exemplo no qual os usurios da organizao A podem acessar todos os
recursos da organizao, enquanto os usurios da organizao cooperada B podem
acessar somente determinados recursos especficos, como, por exemplo, informaes sobre produtos e o setor financeiro. Somado a isso, h o fato de que os usurios
da Internet no podem acessar nenhum recurso da organizao A, enquanto a organizao C tem acesso irrestrito aos recursos da organizao A. Essa situao demonstra o grande desafio de controlar os acessos em diferentes nveis, que pode se
tornar mais complexo ainda, se diferentes usurios da organizao B necessitam
acessar diferentes recursos da organizao A. Ainda nesse exemplo, pode-se ver
novamente o problema da triangulao, de modo ainda mais crtico: os usurios da

25
Internet podem chegar organizao A, caso a organizao B ou C tenha acesso
Internet (Figura 2.3).

Figura 2.3

Os diferentes nveis de acesso somados ao perigo das triangulaes.

A diviso entre os diferentes tipos de usurios, os desafios a serem enfrentados


no ambiente cooperativo e a complexidade que envolve a segurana desses ambientes so analisados, com detalhes, no Captulo 13.

2.4 SEGURANA EM AMBIENTES COOPERATIVOS


Os problemas a serem resolvidos nos ambientes cooperativos refletem fielmente
a situao de muitas organizaes atuais que buscam a vantagem competitiva por
meio da necessria utilizao da tecnologia. O ambiente cooperativo complexo, e
a segurana necessria a ser implementada igualmente complexa, envolvendo
aspectos de negcios, humanos, tecnolgicos, processuais e jurdicos.
Este livro ir enfocar com maior nfase os aspectos tecnolgicos relacionados
segurana em ambientes cooperativos. Porm, isso no significa que eles tenham maior
relevncia com relao aos outros. Todos os aspectos so de extrema importncia e
devem ser considerados na implantao da segurana nos ambientes cooperativos.
De fato, a tecnologia faz parte de um pilar que inclui ainda os processos e as
pessoas, que devem ser considerados para a elaborao de uma estratgia de segu-

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 2: O ambiente cooperativo

26
rana coerente, de acordo com os aspectos de negcios da organizao, respeitando
sempre os aspectos jurdicos. A segurana em ambientes cooperativos ser o resultado do conjunto de esforos para entender o ambiente e as tecnologias, saber como
utiliz-las e implement-las de modo correto. O livro visa auxili-lo na busca da
segurana, identificando os pontos da infra-estrutura de rede a serem protegidos,
apontando os principais perigos existentes, discutindo tecnologias relacionadas
segurana e propondo um modelo de segurana que englobe tcnicas, metodologias
e tecnologias de segurana.
Embora haja uma grande variedade de tecnologias e tcnicas de segurana, que
sero apresentadas no decorrer do livro, o administrador de segurana passa por
grandes dificuldades no sentido de saber o que fazer para proteger sua rede, ficando, muitas vezes, completamente perdido quanto s aes a serem tomadas. O
firewall cooperativo, o modo de definir as regras de filtragem e o modelo hierrquico de defesa visam justamente auxiliar no processo de proteo da rede, por meio
da apresentao das tcnicas, tecnologias e arquiteturas mais adequadas para cada
situao, independentemente do produto a ser utilizado.
Algumas questes que sero discutidas neste livro so:
* Por que a segurana to importante em todas as organizaes?
* Por que a segurana um dos habilitadores de negcios em um ambiente
cooperativo?
* Quais so os maiores riscos que rondam as organizaes?
* Qual a importncia e a necessidade da educao dos usurios?
* Qual a importncia e a necessidade de uma poltica de segurana?
* Quais so as fronteiras entre as organizaes no ambiente cooperativo?
* Como um firewall funciona, e quais as diferenas existentes entre eles?
* Quais so os maiores problemas envolvendo firewalls e o ambiente cooperativo?
* Como resolver os problemas de regras de filtragem, inerentes ao ambiente
cooperativo?
* Como implementar e garantir um nvel de hierarquia entre as comunicaes
das diversas organizaes no ambiente cooperativo?
* Qual tecnologia utilizar para garantir a proteo dos valores da organizao?
Firewall, sistema de deteco de intruso (Intrusion Detection System, IDS),
criptografia, autenticao de dois fatores, biometria, Single Sign-On (SSO),
infra-estrutura de chaves pblicas (Public Key Infrastructure, PKI), IP Security
(IPSec), rede privada virtual (Virtual Private Network, VPN)?
* Quais os aspectos de segurana que devem ser considerados em um ambiente
sem fio (wireless)?

27
* Como integrar as diversas tecnologias disponveis?
* Enfim, como garantir a segurana nesse ambiente cooperativo?

2.5 CONCLUSO
Este captulo discutiu a importncia da informtica para os negcios de todas as
organizaes. A necessidade cada vez maior de conexes resulta em uma complexidade nas configuraes de redes de todos os envolvidos. Com isso, formado um
ambiente cooperativo que traz consigo uma srie de implicaes de segurana,
principalmente quanto aos limites entre as redes e aos perigos de triangulaes. A
formao de um ambiente cooperativo ser mostarda com detalhes no Captulo 12,
na Parte III, que apresenta, ainda, a forma de trabalhar com as diferentes tcnicas,
tecnologias e conceitos de segurana.

A necessidade de segurana

Neste captulo, no qual a segurana tem todo o enfoque, no qual


sero discutidas questes sobre investimentos em segurana e os
seus mitos, bem como a relao da segurana com os negcios, as
funcionalidades, a produtividade e os riscos envolvidos. Tambm
sero abordados os aspectos da segurana de redes e a impossibilidade de se ter uma rede totalmente segura.

3.1 A SEGURANA DE REDES

C
a
p

t
u
l
o
3

A informtica um instrumento cada vez mais utilizado pelo homem, o qual busca incessantemente realizar seus trabalhos de modo
mais fcil, mais rpido, mais eficiente e mais competitivo, produzindo, assim, os melhores resultados. A rede uma das principais tecnologias, permitindo conexes entre todos os seus elementos, que vo
desde roteadores at servidores que hospedam o site Web da organizao e o banco de dados dos clientes, passando ainda por sistemas
financeiros e Customer Relationship Management (CRM). Esses recursos disponibilizados pela rede representam, na Era da Informao,
at mesmo o prprio negcio das organizaes. Isso faz com que sua
flexibilidade e facilidade de uso resultem em maior produtividade e
na possibilidade de criao de novos servios e produtos, e conseqentemente em maiores lucros para a organizao.
A confiabilidade, integridade e disponibilidade dessa estrutura
de rede passam, assim, a ser essenciais para o bom andamento das

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS


30

31

organizaes, fazendo com que elas precisem ser protegidas. A proteo visa, sob
esse ponto de vista, a manuteno do acesso s informaes que esto sendo
disponibilizadas para os usurios. Isso significa que toda informao deve chegar
aos usurios de uma forma ntegra e confivel. Para que isso acontea, todos os
elementos de rede por onde a informao flui at chegar ao seu destino devem estar
disponveis, e devem tambm preservar a integridade das informaes. O sigilo
tambm pode ser importante; forma junto com a integridade e a disponibilidade
formam as propriedades mais importantes para a segurana (Figura 3.1).

Figura 3.1

Captulo 3: A necessidade de segurana

As propriedades mais importantes da segurana.

A segurana de redes, assim, uma parte essencial para a proteo da informao, porm uma boa estratgia que deve ser levada em considerao so os aspectos
humanos e processuais de uma organizao. Isso importante porque outros mtodos de ataques, alm dos tecnolgicos, afetam os nveis de segurana de uma organizao. Este livro, porm, manter o enfoque nos aspectos tecnolgicos da segurana, no significando, que esse seja o aspecto mais importante. A Figura 3.2
mostra os aspectos que devem ser considerados na proteo da informao, os quais
incluem ainda os aspectos jurdicos e negcios de negcios que direcionam efetivamente a estratgia de segurana de cada tipo de organizao.

Figura 3.2 Os aspectos envolvidos na proteo da informao.

Assim, a segurana de redes, que pode prover grande parte da manuteno da


disponibilidade, integridade e sigilo das informaes, significa, na realidade, muito
mais do que a proteo contra hackers, maus funcionrios ou vrus. A segurana
significa permitir que as organizaes busquem seus lucros, os quais so conseguidos por meio de novas oportunidades de negcios, que so resultado da flexibilidade, facilidade e disponibilidade dos recursos de informtica. Portanto, a
segurana deve ser considerada no apenas uma proteo, mas o elemento
habilitador dos negcios da organizao. De fato, pesquisas indicam que os consumidores deixam de realizar negcios via Internet quando no confiam na segurana de um site [IDG 01].
A importncia da segurana pode ser reforada ainda mais quando se v as
novas oportunidades de negcios que surgem no mundo digital, condicionando seu
sucesso eficincia da estratgia de segurana. Em alguns casos, a falta de segurana traduzida na negativa de ser usada uma novidade tecnolgica. Algumas dessas
oportunidades que podem ser exploradas so:
* E-marketing: Site Web.
* E-sales: Venda de produtos e servios pela rede.
* E-service: Como as referncias cruzadas de livros de interesse dos clientes,
pela Amazon Books.
* E-support: Como a Federal Express, que informa a situao atual da carga, em
tempo real.
* E-supply: Construo e integrao da cadeia de fornecimento entre seus fornecedores e clientes.
* E-business: Relao de negcios entre parceiros de negcios.
* E-marketplace: Pontos de encontro virtuais entre compradores e fornecedores.
* E-engineering: Desenvolvimento de produtos de modo colaborativo.
* E-procurement: Relacionamento entre fornecedores e prestadores de servios.
* E-government: Relacionamento entre o governo e os cidados.
* M-commerce: Comrcio eletrnico via terminais mveis.
De fato, os nmeros comprovam o grande crescimento dos negcios realizados
via Internet no Brasil e no mundo. Segundo a pesquisa feita pela e-Consulting
[EXA 03-2], o volume do comrcio eletrnico brasileiro saltou de 2,1 bilhes de
dlares em 2001 para 5,1 bilhes de dlares em 2002. No mbito mundial, o
nmero chegou a 1.167 bilhes de dlares em 2002. No Brasil, o volume de negcios Business-to-Business (B2B) passou de 1,6 bilho de dlares em 2001 para 3,7

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 3: A necessidade de segurana

32

33

bilhes de dlares em 2002, enquanto o Business-to-Consumer (B2C) movimentou


1,42 bilho de dlares em 2002, contra 0,5 bilho de dlares em 2001. J o
Business-to-Government (B2G) brasileiro movimentou, em 2002, 1,2 bilho de dlares [EXA 03-2]. Esses dados demonstram o crescimento cada vez maior do papel
do comrcio eletrnico para as organizaes. A disponibilidade, o sigilo e a integridade das informaes tm uma importncia imensurvel nesse cenrio, que
cresce cada vez mais.
Dessa maneira, a segurana deve ser vista como o elemento que permite que
novas oportunidades sejam exploradas de forma concreta, de maneira que, sem
ela, no existem negcios, pelo menos a longo prazo. Diversos tipos de ataques
que comprometem a existncia de negcios sero descritos no decorrer deste
livro. A maior indicao de perigo est no fato de as pesquisas mostrarem um
aumento no nmero de incidentes de segurana envolvendo a Internet. O CERT
Coordination Center [CER 03], operado pela Carnegie Mellon University, comprova
esse nmero, mostrando que em 2002 foram reportados 82.094 incidentes de
segurana, que representam um volume 56% maior do que em 2001. O nmero de
vulnerabilidades reportadas pelo CERT em 2002 tambm foi considervel, atingindo 4.129 vulnerabilidades em 2002, contra 2.437 em 2001, ou seja, um crescimento de quase 70%. A Figura 3.3 mostra a evoluo do nmero de incidentes
reportados ao CERT desde 1988, enquanto que a Figura 3.4 mostra a evoluo das
vulnerabilidades reportadas, desde 1995. No Brasil, o NBSO [NBSO 03], que constitui o Grupo de Resposta a Incidentes para a Internet Brasileira mantido pelo
Comit Gestor da Internet no Brasil, tambm observou um grande aumento do
nmero incidentes reportados. Em 2001, foram reportados 12.301 incidentes, enquanto que em 2002 foram 25.092 incidentes reportados, o que representa um
aumento de mais de 100%.

Figura 3.4

3.2 MAIOR EVOLUO, MAIOR PREOCUPAO COM A


SEGURANA
Nos tempos do mainframe, os aspectos de segurana eram simples, relacionados basicamente com o nome de usurio e sua senha [DID 98]. Atualmente, o
alto grau de conectividade e a grande competitividade trouxeram, alm dos seus
grandes benefcios, outros tipos de problemas inerentes s novas tecnologias.
Os avanos tecnolgicos vm resultando em grandes oportunidades de negcios, porm, quanto maior essa evoluo, maiores as vulnerabilidades que aparecem e que devem ser tratadas com a sua devida ateno. Alguns culpam a prpria indstria pelo aumento das vulnerabilidades, acusando-a de no estar dando
a ateno necessria aos aspectos de segurana de seus produtos. De fato, muitas organizaes esto mais interessadas em finalizar rapidamente os seus produtos para coloc-los no mercado antes de seus concorrentes. Isso acontece at
mesmo na indstria de tecnologias de segurana, onde vrios produtos j apresentaram falhas.
O que pode ser observado, porm, que no um fato isolado, mas sim um
conjunto de fatores, que acaba acarretando o aumento das vulnerabilidades e a
crescente preocupao com a proteo:
*
*
*
*

Figura 3.3

Crescimento dos incidentes reportados pelo CERT/CC, de 1988 a 2002.

Crescimento das vulnerabilidades reportadas pelo CERT/CC, de 1995 a 2002.

A competitividade e a pressa no lanamento de novos produtos.


O alto nvel de conectividade.
O aumento do nmero de potenciais atacantes.
O avano tecnolgico, que resulta em novas vulnerabilidades intrnsecas.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 3: A necessidade de segurana

34
* O aumento da interao entre organizaes, resultando nos ambientes cooperativos.
* A integrao entre diferentes tecnologias, que multiplica as vulnerabilidades.
* A Era da Informao, onde o conhecimento o maior valor.
* A segurana representando a habilitao de negcios.
A evoluo do mercado, da concorrncia, dos negcios e da tecnologia continua
comprovando a importncia da segurana. Por exemplo, as redes sem fio (wireless),
mostradas no Captulo 5, trouxeram muitos benefcios para seus usurios, mas tambm muitas mudanas nos aspectos de segurana. Preocupaes antes no to fortes, como o acesso fsico rede, passaram a ser muito mais relevantes, motivando a
criao de novos protocolos de segurana. Porm, no Captulo 5 ser mostrado que,
mesmo esses protocolos, como o Wired Equivalente Protocol (WEP), usado no padro
Institute of Electrical and Electronics Engineers (IEEE) 802.11, possui falhas que
possibilitam ataques. Outros fatos demonstram a relao entre a evoluo tecnolgica
e os aspectos de segurana:
* O surgimento do conjunto de protocolos Transmission Control Protocol/Internet
Protocol (TCP/IP) e o advento da Internet fizeram com que o alcance das
invases crescesse em propores mundiais, uma vez que qualquer um pode
atacar qualquer alvo.
* A criao de linguagens macro em aplicativos como o Word ou o Excel fez
surgir uma nova gerao de vrus, que se espalham com uma velocidade nunca
antes vista (tambm por intermdio de e-mails), pois qualquer tipo de arquivo de dados pode estar infectado, e no mais somente os arquivos executveis
e os discos de inicializao.
* A Web e as linguagens criadas para a Internet, como o JavaScript ou o ActiveX,
so de difcil controle e podem causar srios problemas, caso contenham cdigos maliciosos e sejam executados em uma rede interna.
* A sofisticao dos e-mails que passaram a interpretar diversos tipos de cdigos e a executar diversos tipos de arquivos. Eles so explorados de forma
bastante intensa pelos vrus, vermes (worms) e cavalos de Tria, causando
pnico e prejuzos para um grande nmero de organizaes.
* O avano nas pesquisas de clonagem pode resultar em mais problemas envolvendo a segurana, principalmente relativos biometria (Captulo 11), a qual
vem sendo desenvolvida para minimizar problemas existentes nas tecnologias
tradicionais de autenticao.

35

3.3 SEGURANA COMO PARTE DOS NEGCIOS


Nas dcadas de 70 e 80, a informtica fazia parte da retaguarda dos negcios das
organizaes, nas quais o enfoque principal da segurana era o sigilo dos dados. Era
a poca dos mainframes, e a proteo era voltada para os dados. Entre as dcadas de
80 e 90, com o surgimento dos ambientes de rede, a integridade passou a ser de
suma importncia, e a proteo era feita no tendo em mente os dados, mas sim as
informaes. A informtica fazia parte da administrao e da estratgia da organizao. A partir da dcada de 90, o crescimento comercial das redes baseados em
Internet Protocol (IP) fez com que o enfoque fosse mudado para a disponibilidade. A
informtica, agora, tornou-se essencial nos negcios, e o conhecimento que deve
ser protegido.
Pode-se definir os dados como um conjunto de bits armazenados, como nomes,
endereos, datas de nascimento, nmeros de cartes de crdito ou histricos financeiros. Um dado considerado uma informao quando ele passa a ter um sentido,
como as informaes referentes a um cliente especial. O conhecimento o conjunto
de informaes que agrega valor ao ser humano e organizao, valor este que
resulta em uma vantagem competitiva, to importante no mundo atual.
Neste mundo globalizado, onde as informaes atravessam fronteiras com velocidade espantosa, a proteo do conhecimento de vital importncia para a
sobrevivncia das organizaes. As dimenses dessa necessidade passam a influenciar diretamente os negcios. Uma falha, uma comunicao com informaes
falsas ou um roubo ou fraude de informaes podem trazer graves conseqncias
para a organizao, como a perda de mercado, de negcios e, conseqentemente,
perdas financeiras. Desse modo, a proteo, no s das informaes e de seu
capital intelectual, mas tambm de todos os recursos envolvidos na infra-estrutura de rede, deve ser tratada com a devida importncia. E como o conhecimento
o principal capital das organizaes, proteg-lo significa proteger o seu prprio
negcio. Assim, a segurana passa a fazer parte do processo de negcios das
organizaes.
O grande problema que muitos processos de negcios no foram concebidos
no contexto de um ambiente distribudo e de redes, e muitos outros foram desenvolvidos sem o enfoque na segurana, mas com a abordagem se funcionar, est
timo.
O resultado disso uma aplicao de remendos para os problemas de segurana,
sem uma estratgia e uma arquitetura de segurana que protejam de fato a organizao. Essa abordagem de remendos considerada melhor do que a inexistncia de

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 3: A necessidade de segurana

36
qualquer abordagem, porm ela cria um falso senso de segurana, que muito
perigoso, e muitas vezes pior do que no ter segurana alguma. De fato, a superficialidade e a utilizao de tcnicas parciais e incompletas pode aumentar a
vulnerabilidade da organizao. Sem um plano e uma arquitetura de segurana bem
definidos, as tecnologias de segurana podem ser mal interpretadas e mal utilizadas
como o firewall, que, se for mal configurado e mal utilizado, no tem funo
nenhuma na rede. Alis, achar que o firewall resolve os problemas de segurana
um dos grandes erros disseminados entre as organizaes. Isso poder ser visto ao
longo da leitura deste livro.
A estreita relao entre a segurana e os negcios pode ser vista no seguinte
exemplo: na medida em que as organizaes migram para a Web, vendendo seus
produtos diretamente ao consumidor, por meios eletrnicos, a segurana passa
a ser o corao dessa venda. A transmisso do nmero do carto de crdito
deve ser segura, os dados do consumidor devem ser protegidos e os dados do
carto de crdito recebidos devem ser muito bem armazenados. Assim, a segurana passa a ser, em um primeiro momento, o principal responsvel pelo negcio, o elemento que permite que a venda realmente acontea. Se, em outros
tempos, o setor comercial era o responsvel pelas decises de vendas, hoje, no
mundo eletrnico, o profissional de segurana tem um papel importante, influenciando diretamente nos negcios da organizao. ele o responsvel pela
definio e implementao da estratgia de segurana das transaes eletrnicas e pelo armazenamento de todas as informaes. O profissional de segurana
passa, assim, de uma posio tcnica obscura para a linha de frente dos negcios da organizao.
Um caso que mostra claramente a forte ligao entre segurana e comrcio
eletrnico o da loja virtual de CDs CD Universe. Aps a base de dados dos clientes, que continha 300 mil nmeros de cartes de crdito, ter sido roubada, sua
reputao ficou seriamente comprometida, de modo que seus antigos clientes
passaram a no confiar mais na loja [INT 00]. Um outro exemplo em que fica claro
que a segurana tem uma forte ligao e grande influncia nos negcios o
prprio ambiente cooperativo. O sucesso, muitas vezes, depende da comunicao
segura entre matrizes, filiais, fornecedores, parceiros comerciais, distribuidores e
clientes.
Assim, a segurana da informao e os negcios esto estritamente ligados.
Hoje, o profissional de segurana est partindo para um trabalho mais orientado a
essa nova realidade, na qual ele tem de ouvir as pessoas, de modo a entender e saber
como aplicar as tecnologias de acordo com a organizao, sua estratgia de negcios, suas necessidades e sua estratgia de segurana.

37

3.4 COMO A SEGURANA VISTA HOJE


Apesar de a segurana ser, atualmente, essencial para os negcios das organizaes, a dificuldade em entender sua importncia ainda muito grande. Muitas
vezes, a nica segurana existente a obscuridade. Criar redes sem proteo, achando
que ningum ir descobrir as brechas, configurar servidores particulares na organizao para acesso domstico ou o uso de chaves de criptografia no prprio cdigo
de um software so alguns maus exemplos que devem ser evitados. Essa obscuridade
constitui um risco muito grande para a organizao, pois, mais cedo ou mais tarde,
algum poder descobrir que um grande tesouro est sua completa disposio.
De fato, apenas uma questo de tempo para que isso acontea, causando
grandes prejuzos, sejam eles financeiros, morais ou relacionados reputao. E
todos sabem que uma boa reputao pode demorar anos para ser construda, mas
pode ser destruda em questo de instantes. claro que esse aspecto depende da
rea de atuao da organizao. Por exemplo, para um banco, um incidente de
segurana, por menor que seja, far com que seus clientes percam a confiana nos
servios prestados, e eles procuraro outros meios para movimentarem seus recursos financeiros. A grande questo, portanto, est na confiana. Os bancos trabalham com isso, de forma que o grande negcio deles tem como base a confiana
obtida de seus clientes.
E justamente nela que se baseia ou se basearo os negcios da maioria das
organizaes. Tudo isso como resultado da globalizao da economia mundial e do
aumento do nmero de conexes das organizaes. Pode-se ver que a convergncia
para as redes um processo natural, pois ela permite que os negcios sejam realizados de modo mais eficiente, dinmico e produtivo, o que faz com que as relaes
entre as organizaes e seus clientes, fornecedores, parceiros e funcionrios dependam cada vez mais dessa estrutura. Portanto, os ambientes cooperativos so criados
e crescem, desenvolvendo um novo modelo de negcios com base nas redes, e eles
necessitam de um grande grau de confiana, para que funcionem de maneira adequada. Do mesmo modo que os bancos dependem da confiana que recebem de seus
clientes, o mesmo ocorre com as demais organizaes.
A organizao que faz parte de um ambiente cooperativo deve entender que a
segurana essencial para o sucesso de seus negcios. Se nos bancos a relao de
confiana existia entre a instituio e seus clientes, hoje, essa relao ocupa dimenses ainda maiores, na qual a confiana no deve existir apenas entre a organizao e seus clientes, mas tambm entre a organizao e seus fornecedores, parceiros, distribuidores e funcionrios. Isso porque um incidente de segurana em um
nico ponto dessa rede pode comprometer todo o ambiente cooperativo.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 3: A necessidade de segurana

38
Por exemplo, se em uma cadeia do processo de negcios, um fornecedor sofrer
algum incidente de segurana, esse incidente pode alastrar-se por todos os outros
pontos do ambiente cooperativo. Isso pode resultar em um rompimento das relaes de confiana entre os pontos do ambiente cooperativo, pois a falha de um
pode trazer prejuzos para todos.
A segurana ainda um campo relativamente novo, e muitos ainda no conseguem enxergar sua importncia, imaginando apenas que as solues so caras e no
trazem nenhum retorno financeiro. Apesar dessa viso estar evoluindo com o decorrer dos anos, ela faz com que os executivos prefiram aplicar seus recursos em
novas solues que possam trazer vantagens visveis aos olhos de todos.
Esse o maior desafio da segurana: uma soluo de segurana imensurvel e
no resulta em melhorias nas quais todos podem notar que alguma coisa foi feita.
Pelo contrrio, a segurana tem justamente o papel de evitar que algum perceba que
alguma coisa est errada. O fato que ningum percebe a existncia da segurana,
apenas a inexistncia dela, quando um incidente acontece e resulta em prejuzos
gigantescos. Sobre a segurana, ainda hoje se tem esse conceito de que ela um
artigo caro e dispensvel, necessrio somente quando algum ataque acontece e traz
prejuzos organizao. Apesar dessa viso reativa, algumas organizaes j vem a
segurana com outros olhos, passando a consider-la como parte essencial do negcio. A formao de equipes dedicadas de segurana da informao um indicativo
desse fato. Nos Estados Unidos, 60% das empresas pesquisadas j possuem, pelo menos, uma pessoa dedicada ao assunto [WAR 03-2], enquanto no Brasil, 98% das empresas possuem, pelo menos, uma pessoa dedicada [MOD 02].
O que realmente necessrio que o ambiente cooperativo seja analisado de
acordo com sua importncia e com os grandes benefcios que ele pode trazer
organizao. impossvel que um ambiente cooperativo exista sem que as questes
relacionadas segurana sejam discutidas e solucionadas.
O grande ideal que a segurana passe a ser um processo transparente
dentro das organizaes, algo parecido com o que aconteceu com a qualidade.
Todos comearam a buscar a qualidade em seus negcios, de tal forma que, hoje,
quando qualquer servio prestado ou nem ao menos qualquer produto vendido, estes devem ter qualidade, sem que isso seja sequer discutido. No mais
uma questo de avaliar se possvel, mas sim de que necessrio ter qualidade.
O mesmo caminho dever ser seguido pela segurana. A questo no deve ser se
existe ou no segurana, mas sim em que nvel se encontra. Assim como a
qualidade, ela deve ser considerada um pr-requisito do processo de negcios,
pois se no existe a segurana, no existem os negcios. O princpio de que se
funcionar, est bom, todos sabem adotar. Mas o conceito de que preciso fun-

39
cionar com segurana ser o grande diferencial entre as organizaes boas e
confiveis e as ms, que no recebero a confiana necessria para o seu sucesso e tendero ao fracasso.
Seguir a idia de que a segurana e o ambiente cooperativo devem andar juntos
trar, alm de bons negcios, grandes benefcios economia global e tambm a
garantia de sobrevivncia.

3.5 INVESTIMENTOS EM SEGURANA


Um dos principais obstculos para a definio e implementao de mecanismos
de segurana o seu oramento, comumente pequeno ou praticamente inexistente.
Apesar disso estar mudando aos poucos, como poder ser visto a seguir, o principal
ponto a ser considerado que, como foi visto no tpico anterior, os executivos
geralmente no tm a viso necessria para enxergar a importncia de uma boa
estratgia de segurana.
Alguns executivos no se importam nem mesmo com a possvel perda de
credibilidade. Um caso recente aconteceu em fevereiro de 2003, com o fabricante de
jogos eletrnicos Epic Games, Inc. Um pesquisador de segurana descobriu
vulnerabilidades que atingiam vrios jogos da Epic e enviou o alerta particularmente empresa. Aps 90 dias de tentativas em auxiliar a empresa a corrigir os problemas, e sem obter resposta coerente, o pesquisador divulgou o boletim de segurana.
Somente aps a divulgao pblica que a Epic finalmente agiu de uma forma
coerente, como deveria ter acontecido desde o incio [BUG 03].
Esse fato demonstra que, geralmente, a segurana vista como um elemento
suprfluo dentro das organizaes, criando-se diversos mitos quanto ao assunto, os
quais podem ser vistos na Seo 3.6. Como as prprias organizaes tm oramentos limitados, a segurana acaba ficando em segundo plano, geralmente vindo
tona apenas quando extremamente necessria, ou seja, apenas quando a organizao sofre algum incidente de segurana, como um ataque ao banco de dados ou a
divulgao pblica de material confidencial.
Essa viso reativa, com as decises de segurana sendo tomadas apenas aps um
incidente, traz uma srie de conseqncias negativas para a organizao, principalmente no que se refere perda de credibilidade e resultante perda de mercado.
Isso acaba gerando um grande problema para os administradores de segurana,
que acabam no tendo os recursos necessrios para uma atuao de forma preventiva. preciso fazer com que os executivos passem a considerar a segurana da
organizao como um elemento essencial para o seu sucesso neste mundo no qual
as conexes fazem uma grande diferena no mercado. Esses executivos devem en-

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS


40

41

tender que a soluo de segurana no gera gastos, mas um investimento habilitador


de seus negcios, o ponto-chave dentro dessa estratgia.
Felizmente, isso comeou a mudar, fruto da evoluo natural do mercado e tambm dos recentes acontecimentos que fizeram com que o assunto ficasse em evidncia at mesmo nos noticirios mais tradicionais. Um dos primeiros eventos que
tiveram exposio na mdia foram os vrus Melissa e ExploreZip, que causaram problemas diversas organizaes em 1999. Segundo a Computer Economics [COM 03],
os prejuzos nos Estados Unidos em 1999 foram de 12,1 bilhes de dlares, dos
quais 1,2 bilho de dlares foram referentes ao Melissa. J o vrus I Love You, ou
Love Bug, causou, em 2000, um prejuzo de 6,7 bilhes de dlares somente nos seus
cinco primeiros dias. Em 2000, os prejuzos chegaram a 17,1 bilhes de dlares, ou
seja, um crescimento de mais de 40% com relao ao ano anterior. J em 2001, os
prejuzos estimados foram de 13,2 bilhes de dlares [COM 03]. J o Slammer Worm,
que atingiu um grande nmero de sistemas no incio de 2003, causou prejuzos
entre 950 milhes de dlares e 1,2 bilho de dlares em perda de produtividade, nos
cinco primeiros dias de contaminao [LEM 03][mi2g 03]. Os prejuzos causados
pelos principais vrus podem ser vistos na Tabela 3.1:
Tabela 3.1
mi2g.

Captulo 3: A necessidade de segurana

Prejuzos causados pelos principais vrus. Fonte: Computer Economics e

Ano

Vrus

Prejuzos (em milhes de dlares)

1999
2000
2001
2001
2001
2002

Melissa
I Love You
Nimda
Code Red (variaes)
Sircam
Klez

1 200
8 750
635
2 620
1 150
9 mil

Um outro acontecimento que despertou o interesse da mdia internacional foram os ataques distribudos de negao de servio ocorridos em fevereiro de 2000,
os quais tornaram inacessveis grandes sites como Amazon, Yahoo, UOL, E-Bay,
Zipmail, entre outros. Segundo a Yankee Group, os prejuzos mundiais baseados em
perda de capitalizao, perda de receita e custos com atualizao de mecanismos de
segurana foram de 1,2 bilho de dlares [DAMI 00].
Porm, os piores incidentes que influenciaram o mercado de segurana foram os
atentados terroristas de 11 de setembro de 2001. Com as imensurveis perdas, muitas organizaes perderam tudo, desde seu capital humano e intelectual at suas
informaes. Isso fez com que a preveno passasse a ser vista com mais interesse
do que acontecia normalmente.

Esse fato pode ser comprovado pelo crescente aumento dos investimentos com
segurana. Nos Estados Unidos, uma pesquisa indicou que sero investidos, em
mdia, 10,3% do oramento de tecnologia da informao em 2003, o que significa
um aumento de 9,5% com relao a 2002 [WAR 03]. Segundo a pesquisa, mais de
33% das organizaes possuem reservados mais de 1 milho de dlares para 2003,
enquanto 36% possuem oramento entre 101 mil dlares e 1 milho de dlares
[WAR 03].
Outra pesquisa, da Meta Group, mostra que, apesar da diminuio do oramento
corporativo mundial, a rea de segurana continua aumentando seu oramento. Em
2001, 33% das organizaes gastaram mais de 5% de seu oramento com segurana
e, no final de 2003, cerca de 55% das empresas gastaro mais de 5% do oramento
com segurana [MUL 02]. No Brasil, 77% das organizaes pesquisadas pretendiam
aumentar seus investimentos com segurana no decorrer de 2002 e 2003, enquanto
que 21% pretendiam manter os mesmos valores [MOD 02].
interessante notar que, para as organizaes, os investimentos em segurana
so considerados cada vez mais estratgicos, de modo que existe uma tendncia de
que a segurana possua seu prprio oramento, separado dos recursos destinados
tecnologia da informao. Em 2002, 20% das organizaes americanas possuam
oramento prprio, e em 2003 essa porcentagem crescer para 25% [WAR 03]. Atualmente, o que pode ser observado tambm que a segurana fsica tende a possuir
seu prprio oramento, o que de fato acontece em 71% das organizaes [WAR 03].
No Brasil, foram apontados que 78% das organizaes possuem oramento especfico para a rea de segurana, normalmente junto com o oramento da tecnologia;
33% das organizaes reservam entre 1 e 5% do oramento de tecnologia para a
rea de segurana, enquanto que 24% das organizaes reservam entre 5 a 10% do
oramento de tecnologia [MOD 02].
Nos Estados Unidos, os principais trs assuntos mais importantes que tm recebido investimentos so a tecnologia (93%), a poltica (57%) e o pessoal (39%). J a
porcentagem do oramento de segurana alocada para a tecnologia atinge 36%,
seguidos pelo pessoal (23%), consultoria (11%), poltica (9%), processos (9%),
educao (8%) e outros (4%). As empresas americanas ainda necessitam de aumento dos investimentos em tecnologia (61%), educao (51%), pessoal (41%), processos (33%), poltica (28%), consultoria e terceirizao (16%) e outros (2%) [WAR 031]. No Brasil, os trs principais assuntos que esto nos planos de investimentos so
a capacitao da equipe tcnica (81%), poltica de segurana (76%) e anlise de
riscos (75%) [MOD 02].
As pesquisas nos Estados Unidos e no Brasil indicam uma tendncia clara do
aumento da importncia dos assuntos relacionados segurana da informao den-

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 3: A necessidade de segurana

42
tro das organizaes, quer sejam em termos de oramento quer em investimentos
com capacitao.
Desconsiderando-se os nmeros referentes s pesquisas, os valores relacionados
segurana so difceis de ser quantificados, pois o que est em jogo so, alm dos
recursos considerados tangveis (horas de trabalho para a recuperao, equipamentos, software), os recursos intangveis (valor do conhecimento, quebra de sigilo,
imagem da organizao). Alm disso, os clculos sempre so feitos com base em
suposies, tais como: Se o sistema for atingido, teremos $$$ de prejuzos, ento,
o melhor investir $$$ para a proteo dos recursos da organizao.
O enfoque, nesse caso, a identificao dos valores estimados das informaes
da organizao e tambm o clculo e a avaliao dos impactos nos negcios em caso
de um incidente. Essa abordagem permite entender exatamente o que ocorre se a
organizao sofre danos nessas informaes.
Assim, uma anlise de riscos e uma metodologia para quantificar e qualificar os
nveis de segurana de cada recurso da organizao so importantes. Elas auxiliam
na criao da proposta e das justificativas de investimentos para a implantao de
um sistema de segurana adequado.
Essa abordagem, porm, baseada no mtodo do medo, incerteza e dvida (Fear,
Uncertainty and Doubt FUD), ou seja, na possibilidade de perda em caso de um
incidente. Como a anlise feita na base do Se a organizao no investir $$$, os
prejuzos sero de $$$, e no com base em fatos concretos, os projetos de segurana eram vistos com certa reticncia pelos executivos. interessante observar que o
prprio ser humano tem dificuldade em atuar de forma preventiva. Porm, aps os
atentados terroristas de 11 de setembro, os executivos passaram a dar mais importncia a todos os aspectos de segurana, desde os pessoais at os tecnolgicos. Os
incidentes demonstraram, da pior maneira possvel, os grandes prejuzos que podem ser causados. Foram imensas as perdas de materiais, informaes, equipamentos, capital intelectual e capital humano.
Assim, a maior quantidade possvel de informao ajuda na tomada de decises
sobre os investimentos com segurana, e a medio do retorno em investimentos de
segurana (Return on Security Investiment ROSI) possui um papel importante nesse
processo. Os principais benefcios indicados em uma pesquisa feita nos Estados Unidos
foram a diminuio de brechas de segurana (75%), a reduo de perdas financeiras
(47%) e o aumento da satisfao dos clientes (29%) [WAR 03].

43

3.6 MITOS SOBRE SEGURANA


Diversos mitos sobre segurana so utilizados pelos executivos para tapar os
olhos com relao ao assunto. interessante observar que, conforme o conhecimento sobre o assunto, o qual abrangente, vai aumentando, a preocupao e o
conjunto de aes a serem tomados tambm aumenta enquanto que para aqueles
que no conhecem os riscos no existe a preocupao com a segurana, pois a viso
mais limitada faz com que eles pensem que tudo est bem. Como explicar o fato de
que 32% das empresas brasileiras no sabem informar se, ao menos, sofreram um
incidente de segurana [MOD 02]? Nos Estados Unidos, essa porcentagem de 12%
[CSI 02].
De fato, comprovado que no possvel proteger os recursos de riscos que no
se conhece se no se conhece os riscos, para que a proteo? Alguns dos mitos
mais comuns so:
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*

Isso nunca acontecer conosco.


Nunca fomos atacados, no precisamos de mais segurana.
J estamos seguros com o firewall.
Utilizamos os melhores sistemas, ento, eles devem ser seguros.
No d para gastar com segurana agora, deixa assim mesmo.
Utilizamos as ltimas verses dos sistemas dos melhores fabricantes.
Nossos fornecedores iro nos avisar, caso alguma vulnerabilidade seja encontrada.
Ningum vai descobrir essa brecha em nossa segurana.
Tomamos todas as precaues, de modo que os testes no so necessrios.
Vamos deixar funcionando e depois resolveremos os problemas de segurana.
Os problemas de segurana so de responsabilidade do departamento de TI.
Lus, depois de instalar o Word para a Cludia, voc pode instalar o firewall?
A companhia de TI que foi contratada ir cuidar da segurana.
O nosso parceiro confivel, podemos liberar o acesso para ele.
No precisamos nos preocupar com a segurana, pois segurana um luxo
para quem tem dinheiro.

Possuir bons argumentos para derrubar esses mitos significa conhecer bem os
riscos que a organizao est correndo, levando em considerao toda a diversidade
de seu ambiente e toda a interao existente com outros ambientes.
Com isso, o profissional de segurana deve ter uma viso peculiar, de certa
forma at mesmo um modo de vida, com foco total na proteo do ambiente. A

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 3: A necessidade de segurana

44
identificao de pontos de vulnerabilidades no ambiente depende muito dessa viso, que deve ser abrangente, crtica e completa.

3.7 RISCOS E CONSIDERAES QUANTO SEGURANA


Diversos aspectos devem ser levados em considerao quando uma rede passa a
constituir uma parte importante da organizao. Alguns dos riscos existentes e
algumas consideraes a serem feitas so:
* A falta de uma classificao das informaes quanto ao seu valor e sua
confiabilidade, que serve de base para a definio de uma estratgia de segurana adequada. Isso resulta em um fator de risco para a organizao, alm de
dificultar o dimensionamento das perdas resultantes de um ataque.
* O controle de acesso mal definido faz com que os usurios, que so autenticados no incio da conexo, tenham acesso irrestrito a quaisquer partes da rede
interna, at mesmo a partes do sistema que no so necessrias para a realizao de suas tarefas.
* A dificuldade de controle do administrador sobre todos os sistemas da rede
interna faz com que estes no possam ser considerados confiveis. Os bugs
nos sistemas operacionais ou nos softwares utilizados por esses equipamentos
podem abrir brechas na rede interna, como pode ser visto na Seo 4.6.1.
* A Internet deve ser considerada um ambiente hostil e, portanto, no confivel.
Assim, todos os seus usurios devem ser considerados no confiveis e potenciais atacantes.
* As informaes que trafegam pela rede esto sujeitas a serem capturadas.
* As senhas que trafegam pela rede esto sujeitas a serem capturadas.
* Os e-mails podem ser capturados, lidos, modificados e falsificados.
* Qualquer conexo entre a rede interna e qualquer outro ponto pode ser utilizada para ataques rede interna.
* Os telefones podem ser grampeados e as informaes que trafegam pela linha,
seja por voz ou dados, gravadas.
* Os firewalls protegem contra acessos explicitamente proibidos, mas e quanto a
ataques contra servios legtimos?
* Quando se adota a segurana pela obscuridade, situao em que a organizao pensa que sua rede nunca ser invadida porque no conhecida, os responsveis torcem para que o invasor no saiba dos problemas com segurana
e dos valores disponveis na rede interna. At quando?
* Novas tecnologias significam novas vulnerabilidades.

45
* A interao entre diferentes ambientes resulta na multiplicao dos pontos
vulnerveis.
* A segurana envolve aspectos de negcios, tecnolgicos, humanos, processuais e jurdicos.
* A segurana complexa.
Essas consideraes mostram o quanto a segurana abrangente e multidisciplinar. Cuidar de alguns pontos e negligenciar outros pode comprometer totalmente a organizao, pois os incidentes sempre ocorrem no elo mais fraco da corrente, ou seja, no ponto mais vulnervel do ambiente.
Assim, uma estratgia de segurana baseada em um modelo, como o Modelo de
Teias (Captulo 13), passa a ser essencial para que todos os pontos sejam analisados.
A Figura 3.5 mostra os pontos a serem analisados e defendidos para que a informao seja protegida adequadamente. possvel observar que todos os nveis devem
ser considerados para que a informao, que o maior bem da organizao, seja
protegida. Partindo do sistema operacional, devem ser avaliados e considerados,
ainda, os servios, os protocolos, as redes, as aplicaes, os usurios e as instalaes fsicas envolvidas com a informao.

Figura 3.5

A abrangncia da segurana e a complexidade da proteo da informao.

3.8 SEGURANA VERSUS FUNCIONALIDADES


At pouco tempo atrs, as organizaes implementavam suas redes apenas com
o objetivo de prover funcionalidades que permitiam promover a evoluo de seus

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 3: A necessidade de segurana

46
processos organizacionais internos. A preocupao com a segurana praticamente
no existia, pois o contato com o mundo exterior era limitado. Hoje, porm, o
mundo exige que as redes das organizaes sejam voltadas para o seu prprio negcio, com a formao de um ambiente cooperativo, requerendo, assim, a segurana.
Uma caracterstica que pode ser vista que, em um primeiro momento, a falta de
um planejamento em segurana pode parecer uma boa situao, pois tudo funciona
adequadamente. No entanto, os problemas de segurana invariavelmente aparecem
depois, o que pode resultar em custos estratosfricos para que sejam resolvidos,
principalmente, em grandes ambientes.
A importncia da segurana cresce ainda mais rapidamente, quando se leva em
considerao o rpido aumento da complexidade das conexes, caracterstico dos
ambientes cooperativos. Um ponto fundamental, quando se discute o assunto,
que a segurana inversamente proporcional s funcionalidades, ou seja, quanto
maiores as funcionalidades, como servios, aplicativos e demais facilidades, menor
a segurana desse ambiente. Isso pode ser explicado, porque a segurana pode ser
comprometida pelos seguintes fatores:
* Explorao da vulnerabilidade em sistemas operacionais, aplicativos, protocolos e servios.
* Explorao dos aspectos humanos das pessoas envolvidas.
* Falha no desenvolvimento e implementao da poltica de segurana.
* Falha na configurao de servios e de sistemas de segurana.
* Desenvolvimento de ataques mais sofisticados.
Esses tpicos sero vistos com mais detalhes no Captulo 4. Quando as
vulnerabilidades que podem existir em sistemas operacionais, aplicativos, protocolos
e servios so analisadas, pode-se considerar que elas so resultantes de bugs, que
so decorrentes de falhas em seu cdigo, em seu projeto ou em sua configurao.
Assim, quanto maior for o nmero de sistemas, maior a responsabilidade dos
administradores e maior a probabilidade de existncia de bugs que podem ser
explorados. Um estudo da IDC props uma frmula para determinar os pontos de
vulnerabilidade de uma rede: o nmero de pontos de vulnerabilidade igual ao
nmero de recursos crticos da organizao, multiplicado pelo nmero de usurios
que tm acesso a esses recursos. Assim, se um servidor NT tem dez mil arquivos e
cem usurios, existe um milho de possveis pontos de acesso vulnerveis. A previso de todas as brechas impraticvel, principalmente porque o fator humano est
envolvido, o que significa, por exemplo, que a escolha das senhas por cada um dos
usurios influi diretamente no nvel de segurana do ambiente [BRI 99B]. Alm

47
disso, existe ainda a complexidade, que aumenta com as interaes, e o perigo das
triangulaes, que influem diretamente na segurana do ambiente.
O objetivo, portanto, equilibrar a segurana com os riscos, minimizando os
impactos que uma falha de segurana pode causar organizao. As obrigaes dos
administradores quanto manuteno da segurana devem estar claramente definidas na poltica de segurana da organizao. Ela especifica as responsabilidades do
acompanhamento das novidades e dos boletins sobre os sistemas que esto sendo
utilizados na organizao, principalmente quanto a relatrios de segurana e instalao de patches de correo. Estes e outros pontos referentes poltica de segurana sero discutidos no Captulo 6.

3.9 SEGURANA VERSUS PRODUTIVIDADE


A administrao da segurana de uma organizao uma tarefa complexa, na
medida em que ela deve ser dimensionada, sem que a produtividade dos usurios
seja afetada.
Geralmente, a segurana antagnica produtividade dos usurios, no sentido
de que, como foi visto no tpico anterior, quanto maiores as funcionalidades, maiores as vulnerabilidades existentes. Isso leva os administradores a restringirem ao
mximo os servios que os usurios podem acessar, de modo a minimizar os riscos
existentes.
O problema que uma poltica de segurana muito restritiva geralmente afeta a
produtividade do usurio. Por exemplo, se o FTP for bloqueado com o objetivo de
prevenir a entrada de cavalos de Tria, e o usurio necessita utilizar esse servio para
o seu trabalho, ele certamente buscar maneiras de driblar essa restrio do firewall.
O usurio poder instalar um modem em seu equipamento ou tentar achar brechas
no bloqueio do firewall. Quando isso acontece, os objetivos no so alcanados, pois a
segurana comprometida pelas aes dos usurios, e sua produtividade prejudicada, pois eles perdem tempo tentando encontrar maneiras de driblar o firewall.
Por isso, importante ter uma poltica de segurana bem definida e bem balanceada, tanto com relao aos servios externos quanto aos servios internos que os
usurios, internos e externos, podem acessar. O objetivo criar uma poltica que
defina, de forma ideal, apenas os servios realmente necessrios. Outro ponto a ser
considerado na definio desses servios que sero permitidos quanto a servios
como RealAudio, ICQ e sesses de bate-papo, que constituem um problema, pois
comprometem o nvel de produtividade da organizao, alm de consumir grande
largura de banda da rede. Alguns deles, como o ICQ, ainda introduzem novas
vulnerabilidades rede interna da organizao.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 3: A necessidade de segurana

48

3.10 UMA REDE TOTALMENTE SEGURA


A segurana complexa, envolvendo aspectos de negcios, processos humanos,
jurdicos, tecnolgicos, e outros. Portanto, afirmar que uma organizao est 100%
segura , na realidade, um grande erro. Simplesmente no existe um modelo de
segurana prova de hackers. Ser visto, no Captulo 4, que os hackers podem atuar
de diversas maneiras, e mesmo os prprios funcionrios maliciosos podem fazer
esse papel de hacker (insiders). Uma vez que a segurana envolve aspectos
tecnolgicos (o melhor sistema de autenticao), aspectos tcnicos (um bom administrador de segurana), aspectos sociais (funcionrios inescrupulosos que roubam
informaes confidenciais da prpria organizao), aspectos humanos (funcionrios inocentes que sofrem com a engenharia social) e aspectos educacionais (funcionrios que devem saber, pelo menos, como escolher senhas seguras), com toda essa
complexidade, o objetivo das organizaes deve ser tentar proteger ao mximo os
recursos da organizao e no tentar proteg-los totalmente.
Diversos aspectos contribuem para medir essa mxima proteo. Entre eles,
est: definir os recursos que devem ser protegidos, especificar quem ir administrar
a segurana e, principalmente, determinar o valor que ser utilizado como investimento em segurana.
No mnimo, essa segurana inclui uma poltica e procedimentos abrangentes, o
controle dos usurios e a autenticao de todos os meios de acesso ao sistema,
transaes e comunicaes. Inclui tambm a proteo dos dados, alm do constante
monitoramento e a evoluo do nvel de segurana geral. Outro ponto importante
que as novas tcnicas e tecnologias devem ser utilizadas antes que os hackers as
utilizem contra a organizao.
A segurana de permetro e a abordagem em camadas, nas quais vrios mecanismos de segurana so adotados de forma encadeada, tambm so importantes. Dessa forma, as camadas de segurana funcionariam como os catafilos da cebola, que
protegem o seu interior. Cada uma dessas camadas tem de ser transposta pelo hacker
para que ele chegue ao seu objetivo, que o acesso informao. Quanto maior o
nmero de camadas, maior a dificuldade de atacar o recurso.
Assim, a tentativa de estabelecer uma segurana total pode levar loucura; a
segurana parcial, por definio, assume os riscos. As organizaes, portanto, devem definir o nvel de segurana, de acordo com suas necessidades, j assumindo
esses riscos. Isso faz com que o plano de contingncia seja um dos pontos essenciais
dentro do esquema de segurana de uma organizao.
O objetivo no construir uma rede totalmente segura, mas sim um sistema
altamente confivel, que seja capaz de anular os ataques mais casuais de hackers e
tambm de tolerar acidentes, como a possibilidade de um tubaro romper os cabos

49
de transmisso localizados no mar. As falhas benignas devem ser toleradas pelos
sistemas. Essas vulnerabilidades devem ser colocadas em um lugar no qual no
possam causar problemas. Uma rede nunca ser totalmente segura, mas deve-se
procurar meios de torn-la, no mnimo, mais confivel, como est descrito no artigo
Trust in Cyberspace [KRO 99].

3.11 CONCLUSO
Com a rpida evoluo que pode ser acompanhada no mundo dos negcios, no
qual as conexes entre organizaes significam vantagens competitivas, a segurana de redes passa a ser mais do que fundamental; ela passa a ser o habilitador dos
negcios. Porm, captar investimentos para a implementao de uma estratgia de
segurana envolve diversos desafios, nos quais os riscos e os mitos de segurana
devem ser combatidos. As funcionalidades envolvidas com o andamento dos negcios, bem como a produtividade dos usurios, so afetadas com as medidas de
segurana adotadas, de modo que elas devem ser bem avaliadas e estudadas para
que no causem impactos significativos para os envolvidos. A segurana necessria, porm sua estratgia de implementao deve ser bem definida, medindo-se
custos e benefcios e assumindo-se riscos, pois a segurana total no possvel.

Os riscos que rondam as


organizaes

Este captulo apresenta os riscos a que as organizaes esto sujeitas. Aqui, so abordados os possveis atacantes, os mtodos, as
tcnicas e as ferramentas utilizadas por eles, mostrando que as preocupaes com a segurana devem ser tratadas com o mximo de cuidado e ateno, para que a continuidade dos negcios das organizaes no seja afetada. So contra esses riscos, que existem em todos
os nveis, desde o fsico at o de aplicao, que as organizaes tm
de lutar, principalmente por meio das tcnicas, tecnologias e conceitos a serem discutidos na Parte II deste livro.

4.1 OS POTENCIAIS ATACANTES


C
a
p

t
u
l
o
4

O termo genrico para identificar quem realiza o ataque em um


sistema computacional hacker. Essa generalizao, porm, tem
diversas ramificaes, pois os ataques aos sistemas apresentam objetivos diferentes e o seu sucesso depende do grau de segurana dos
alvos e da conseqente capacidade do hacker em atac-los. Isso
significa que os sistemas bem protegidos so mais difceis de serem
atacados, o que faz com que uma maior habilidade seja exigida para
a concretizao dos ataques.
Os hackers, por sua definio original, so aqueles que utilizam
seus conhecimentos para invadir sistemas, no com o intuito de causar danos s vtimas, mas sim como um desafio s suas habilidades.
Eles invadem os sistemas, capturam ou modificam arquivos para pro-

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 4: Os riscos que rondam as organizaes

52
var sua capacidade e depois compartilham suas proezas com seus colegas. Eles no
tm a inteno de prejudicar, mas sim de apenas demonstrar que conhecimento
poder. Exmios programadores e conhecedores dos segredos que envolvem as redes e
os computadores, eles geralmente no gostam de ser confundidos com crackers.
Com o advento da Internet, porm, os diversos ataques pelo mundo foram atribudos a hackers, mas eles refutam essa idia, dizendo que hackers no so crackers.
Os crackers so elementos que invadem sistemas para roubar informaes e causar
danos s vtimas. O termo crackers tambm uma denominao utilizada para aqueles
que decifram cdigos e destroem protees de software.
Atualmente, no entanto, com o crescimento da Internet e a conseqente facilidade em se obter informaes e ferramentas para ataques, a definio de hackers mudou. A prpria imprensa mundial tratou de modificar esse conceito. Agora, qualquer
incidente de segurana atribudo a hackers, em seu sentido genrico. A palavra
cracker no mais vista nas reportagens, a no ser como cracker de senhas, que um
software utilizado para descobrir senhas ou decifrar mensagens cifradas.
Diversos estudos sobre hackers foram realizados e o psiclogo canadense Marc
Rogers chegou ao seguinte perfil do hacker: indivduo obsessivo, de classe mdia,
de cor branca, do sexo masculino, entre 12 e 28 anos, com pouca habilidade social
e possvel histria de abuso fsico e/ou social. Uma classificao dos diversos tipos
de hackers, que sero discutidos a seguir, pode ser igual seguinte [MOD 99]:
*
*
*
*
*
*
*

Script kiddies: iniciantes.


Cyberpunks: mais velhos, mas ainda anti-sociais.
Insiders: empregados insatisfeitos.
Coders: os que escrevem sobre suas proezas.
White hat: profissionais contratados.
Black hat: crackers.
Gray hat: hackers que vivem no limite entre o white hat e o black hat.

importante lembrar, porm, que no so apenas os hackers que causam problemas de segurana nos sistemas. Os usurios, autorizados ou no, mesmo sem intenes malvolas, tambm podem causar danos ou negar servios de redes, por meio
de seus erros e de sua prpria ignorncia.

4.1.1 Script kiddies


Tambm conhecidos como newbies, os script kiddies trazem diversos problemas
s organizaes. Geralmente eles so inexperientes e novatos, que conseguem ferramentas, que podem ser encontradas prontas na Internet, e depois as utilizam sem

53
entender o que esto fazendo. Devido grande facilidade em se obter essas ferramentas, os script kiddies so considerados perigosos para um grande nmero de
organizaes, que so as que no tm uma poltica de segurana bem definida. De
fato, sem uma poltica de segurana adequada, essas organizaes sempre apresentam alguma brecha de segurana pronta para ser explorada, principalmente as que
so geradas pela falta de atualizao de um patch do servidor. Isso o suficiente
para que os script kiddies executem as ferramentas encontradas na Internet contra
seus servidores e causem estragos considerveis.
interessante notar que a prpria disseminao da Internet fez com que os script
kiddies nascessem e se tornassem os principais responsveis pelo incio da
conscientizao das organizaes, que comearam a prestar mais ateno em seus
problemas de segurana. So a imensa maioria dos hackers na Internet, e um grande
nmero de incidentes de segurana causado por eles. Seus limitados conhecimentos
podem ser vistos em relatos nos quais servidores registravam tentativas de ataques
em ambientes Windows, por meio da utilizao de comandos especficos do UNIX.
Outro exemplo quando o ataque Unicode executado, copiando-se uma linha de
texto em um navegador da Internet para atacar um sistema.

4.1.2 Cyberpunks
Os cyberpunks so os hackers dos tempos romnticos, aqueles que se dedicam s
invases de sistemas por puro divertimento e desafio. Eles tm extremo conhecimento e so obcecados pela privacidade de seus dados, o que faz com que todas as
suas comunicaes sejam protegidas pelo uso da criptografia. A preocupao principal contra o governo, que, com o Big Brother (Grande Irmo), pode estar acessando
as informaes privadas dos cidados. Os hackers mais paranicos, que acreditam
em teorias da conspirao, tendem a virar cyberpunks.
Geralmente so eles que encontram novas vulnerabilidades em servios, sistemas ou protocolos, prestando, assim, um favor s organizaes, publicando as
vulnerabilidades encontradas. Isso contribui para que a indstria de software corrija seus produtos e, melhor do que isso, tambm para que a indstria passe a
desenvolv-los com maior enfoque na segurana. Infelizmente, porm, a indstria
ainda prefere corrigir seus produtos a adotar uma metodologia de desenvolvimento
com enfoque na segurana. Isso pode ser verificado pelo grande nmero de
vulnerabilidades que continuam aparecendo nos diversos sistemas.

4.1.3 Insiders
Os insiders so os maiores responsveis pelos incidentes de segurana mais graves nas organizaes. Apesar de as pesquisas mostrarem que o nmero de ataques

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS


54

55

partindo da Internet j maior do que os ataques internos, os maiores prejuzos


ainda so causados por incidentes internos. Segundo pesquisa do Computer Security
Institute [CSI 02], a Internet citada como ponto de ataque por 74% dos entrevistados (70% no ano anterior), enquanto 33% deles citam os sistemas internos (31%
no ano anterior) e 12% mencionam os acessos remotos (18% no ano anterior).
Pela primeira vez, em 2001, a pesquisa mostrou que os hackers so citados como
os maiores atacantes, em vez dos funcionrios internos (81% contra 76%). Em em
2002, o nmero de citaes de hackers aumentou para 82%, enquanto o de funcionrios internos passou para 75%. Outras fontes de ataques citadas foram os concorrentes (38%), governos estrangeiros (26%) e empresas estrangeiras (26%) [CSI 02].
Esses nmeros demonstram o aumento da necessidade de proteo contra ataques
vindos de hackers, porm a mesma pesquisa revela que o tipo de ataque que causa
as maiores perdas financeiras aquele que envolve o roubo de propriedade intelectual, que est relacionado a funcionrios internos, concorrentes ou governos estrangeiros. Os prejuzos das empresas que responderam ao questionrio da pesquisa
foram de 170 milhes de dlares, um valor bem maior que os prejuzos com fraudes
financeiras (115 milhes de dlares) e com abuso da rede interna (50 milhes de
dlares), por exemplo. Como pode ser visto na Figura 4.1, os eventos internos
representam perdas bem maiores que os eventos externos, como a invaso de sistemas (13 milhes de dlares) ou os ataques de negao de servio (Denial-of-Service,
DoS) (18 milhes de dlares) [CSI 01].

Figura 4.1

Captulo 4: Os riscos que rondam as organizaes

As perdas financeiras resultantes de ataques. Fonte: CSI/FBI 2002.

Assim, grande a importncia que deve ser dada aos ataques originados a partir
da prpria rede interna, feitos por funcionrios, ex-funcionrios ou pessoas que
conseguem infiltrar-se nas organizaes. Uma srie de questes est envolvida com
esse tema, desde a engenharia social at a relao do funcionrio com o chefe,
passando pelo suborno e pela espionagem industrial.
De acordo com a pesquisa da American Society for Industrial Security (ASIS),
realizada em 1997, mais de 56% das 172 empresas pesquisadas sofreram tentativas
de apropriao indevida de informaes privadas e em um perodo de 17 meses,
mais de 1.100 incidentes de roubo de propriedade intelectual foram documentados,
resultando em prejuzos da ordem de 44 bilhes de dlares, o que cinco vezes
maior do que os valores da pesquisa do ano anterior [DEN 99].
Essas estimativas cresceram para cem bilhes de dlares em 1998; uma das
razes para o aumento da espionagem industrial que a economia, hoje, tem como
base o conhecimento, de modo que a prpria informao constitui um dos grandes
fatores para a vantagem competitiva. Isso faz com que as conseqncias de um
incidente envolvendo segurana sejam potencialmente desastrosas, influenciando
at mesmo a prpria sobrevivncia da organizao. De fato, o capital intelectual
encabea a economia atual e alguns exemplos de que a espionagem industrial um
fato podem ser vistos nos casos de roubos de projetos e frmulas ocorridos em
empresas como General Electrics, Kodak, Gilette e Schering-Plough [ULS 98].
Uma outra estimativa mostra que, somente nos Estados Unidos, as perdas representaram entre cem e 250 bilhes de dlares em 2000, envolvendo processos, pesquisa e desenvolvimento de manufaturas [NCIX 01].
A espionagem industrial atribuda, geralmente, a insiders, e considerada uma
nova modalidade de crime organizado, assim como as mfias e os cartis de drogas.
Em um nvel mais alto, o que se v o surgimento de organizaes especializadas
em espionagem industrial, pois o prprio governo de alguns pases, como Japo,
Frana e Israel, financiam esses trabalhos, institucionalizando essa prtica. Na Frana,
por exemplo, a agncia de inteligncia Direction Generale de la Securite Extrieure
(DGSE) tem o trabalho facilitado, principalmente em hotis, onde geralmente utilizam grampos telefnicos e cmeras escondidas. Com isso, segredos de executivos de
organizaes concorrentes correm o risco de ser roubados e revelados. As maiores
empresas americanas avisam seus executivos sobre esses perigos [SEC 98-1].
Um caso envolvendo empresas de investimento mostra a importncia da segurana contra a espionagem industrial e contra os ataques a sistemas de computadores, no competitivo mundo atual. A Reuters Holdings PLC e a Bloomberg LP eram
concorrentes no mercado de investimentos, no qual o uso de computadores essencial para a anlise dos investimentos e das tendncias do mercado. O sistema da
Bloomberg era considerado melhor que o da Reuters, razo pela qual aumentava

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS


56
cada vez mais sua fatia de mercado. Isso fez com que a Reuters fundasse a Reuters
Analytics para o desenvolvimento de um software de anlise competitivo. Em janeiro de 1998, a Reuters Analytics decidiu utilizar uma conduta diferente da habitual,
ou seja, contratou consultores para invadir os computadores da Bloomberg, o que
resultou no acesso s informaes que continham os cdigos das operaes e documentos descrevendo as funcionalidades do sistema. A Bloomberg no descobriu
quais mtodos foram utilizados para a invaso, porm, sabe-se que ex-funcionrios
da Bloomberg, que ento trabalhavam na Reuters Analytics, estavam envolvidos
nessa invaso [DEN 99].
No nvel interno das organizaes, os prprios funcionrios so as maiores ameaas, pois tm o tempo e a liberdade necessrios para procurar algo de seu interesse
nas mesas das pessoas, ler memorandos confidenciais, copiar documentos, abusar da
amizade de colegas e copiar facilmente uma grande base de dados, que pode valer
milhes, em um disco de Zip, por exemplo. O fato mais marcante que essas pessoas
conhecem as operaes, a cultura e os detalhes da organizao, o que facilita muito a
espionagem. A conseqncia disso que eles sabem onde esto os segredos, quem so
os concorrentes e, principalmente, como apagar seus rastros. Esses fatos fazem com
que os insiders sejam difceis de ser identificados e punidos.
A identificao dos insiders pode ser difcil, mas geralmente so funcionrios
descontentes com seu trabalho, que sentem que suas funes so subestimadas pelos
seus chefes. Freqentemente, eles so maltratados e querem mostrar seu real valor
realizando alguma coisa para se sentirem importantes. Esse tipo de funcionrio pode
ser facilmente manipulado por concorrentes, que sabem como persuadir as pessoas
que se encontram em uma posio no muito confortvel dentro da organizao.
Um outro tipo de insider aquele que busca alguma atividade excitante para
modificar sua rotina de trabalho. Os insiders so de extrema importncia, pois a
organizao pode estar perdendo espao, mercado e imagem para o concorrente,
sem saber o real motivo disso. Ser que no houve espionagem e roubo de algumas
informaes, que chegaram nas mos dos concorrentes?
Um caso ocorrido em 2001, envolvendo a Lucent Technologies, representa bem a
natureza dos crimes na Era da Informao. Dois chineses funcionrios da Lucent
roubaram o cdigo-fonte do PathStar Access Server para us-lo em produtos de sua
prpria empresa, a ComTriad, que tinha feito uma parceria com a Datang Telecom
Technology Co., que tinha participao do governo chins. Diversos e-mails do planejamento da transferncia do cdigo-fonte e da parceria entre as empresas das
quais eles eram donos foram capturados pela empresa, e utilizados no processo
criminal [DOJ 01].
Um outro caso de roubo de cdigo-fonte envolveu a Cadence Design Systems
Inc. e a Avant! Corp. Em 1991, a Cadence sofreu um roubo de cdigo-fonte para os

Captulo 4: Os riscos que rondam as organizaes


57
fundadores da Avant! A Cadence queria um bilho de dlares em restituio, porm
a indenizao foi acertada em 265 milhes de dlares, pois a Avant! j tinha pago
195,4 milhes de dlares como restituio [ARE 02].
Um cuidado especial deve ser tomado com relao aos ex-funcionrios, que so,
muitas vezes, os elementos mais perigosos. Se um funcionrio for demitido, ele pode
querer vingana. Se ele sair da empresa sob bons termos, pode querer demonstrar
seus conhecimentos e seu valor para o novo chefe, que pode ser um concorrente da
empresa em que ele trabalhava anteriormente. Timothy Allen Lloyd, por exemplo, foi
condenado a 41 meses de priso pelo crime de instalar bomba lgica nos sistemas da
Omega Engineering Corp., aps sua demisso. O incidente causou dez milhes de
dlares em prejuzos, referentes remoo de programas de produo, perda de
vendas e perda de futuros contratos. O crime aconteceu em 1996 e a sentena saiu
em 2002. Lloyd trabalhava h 11 anos na organizao [DOJ 02-1].
Funcionrios terceirizados tambm podem constituir um grande risco, pois se
por um lado podem no possuir acesso a informaes confidenciais, por outro podem passar a estudar e a conhecer os procedimentos, os hbitos e os pontos fracos
da organizao, que podem ento ser explorados posteriormente. Tambm possvel que os funcionrios terceirizados aceitem subornos para efetuar a divulgao de
informaes consideradas confidenciais ou mesmo que subornem os funcionrios
da organizao, com o objetivo de obter segredos industriais.
O controle do pessoal de segurana e de limpeza tambm importante, pois,
geralmente, eles tm acesso irrestrito a todos os locais, inclusive sala de CPU.
Como a sala de CPU deve ser limpa por algum, a engenharia social pode ser utilizada para obter o acesso a reas restritas.
Alguns outros exemplos, mostrados a seguir, comprovam os perigos que as organizaes correm com os insiders [DEN 99]:
* Funcionrios confiveis: em maro de 1999, um cientista nuclear americano,
do Los Alamos National Laboratory, foi acusado de ter vendido segredos da
tecnologia de armas nucleares para a China, desde 1980. Em outro caso, ocorrido em 1994, um funcionrio do Ellery Systems, no Colorado, Estados Unidos,
utilizou a Internet para transferir um software avaliado em um milho de
dlares para um concorrente na China.
* Funcionrios subornados ou enganados: um espio alemo, Karl Hinrich Stohlze,
seduziu uma funcionria de uma empresa de biotecnologia, situada em Boston,
para conseguir informaes confidenciais dessa empresa, o que inclua mtodos de pesquisas de DNA e informaes sobre o status dos projetos da companhia. A funcionria foi demitida, mas no foi processada. Apesar disso, o
espio alemo continua trabalhando, desta vez na Europa.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 4: Os riscos que rondam as organizaes

58
* Funcionrios antigos: em 1993, Jose Ignacio Lopez e mais sete outros funcionrios deixaram a General Motors para se transferirem para a Volkswagen.
Junto com eles foram levados dez mil documentos privativos da GM, o que
inclua segredos sobre novos modelos de carros, futuras estratgias de vendas
e listas de compras. Em 1996, Lopez foi processado e a GM foi indenizada em
cem milhes de dlares.
* Funcionrios insatisfeitos: nos Estados Unidos, um administrador de sistemas
insatisfeito com seu salrio e com seu bnus (ou a falta dele), implantou uma
bomba lgica em mil dos 1 500 equipamentos da organizao em 22 de fevereiro de 2002, e a ativou em 4 de maro de 2002. Alm disso, ele comprou
aes (do tipo put option, nos Estados Unidos, na qual ele ganha quando o
preo das aes cai) para lucrar com a perda do valor da organizao, quando
o incidente se tornasse pblico. Porm, o valor das aes no despencou, e ele
no teve o lucro esperado com a operao. A bomba lgica removia arquivos
dos mil sistemas, o que causou prejuzos de mais de trs milhes de dlares
para a vtima [DOJ 02].
* Por meio desses exemplos, pode-se verificar que a segurana , muitas vezes,
um problema social, e no apenas um problema tecnolgico. Assim, eles demonstram tambm que os aspectos humanos, sociais e pessoais no podem ser
esquecidos na definio da estratgia de segurana.
* Um ponto interessante que, apesar de parecer uma prtica antitica e extremamente ilegal, nem todas as maneiras de conseguir informaes competitivas so contra a lei. A obteno de informaes de outras organizaes constitui o trabalho de diversos profissionais, e existe at mesmo uma organizao
constituda desses profissionais, o Society of Competitive Intelligence
Professionals (SCIP). O antigo CEO da IBM, Louis Gerstner, formou, em abril de
1998, 12 grupos de inteligncia para a obteno de informaes privilegiadas,
que so colocadas em um banco de dados central, o qual pode ser acessado
pelos principais executivos da IBM. O trabalho desse tipo de profissionais est
no limite entre o tico e o antitico e uma de suas regras a de nunca mascarar sua verdadeira identidade [DEN 99].

4.1.4 Coders
Os coders so os hackers que resolveram compartilhar seus conhecimentos escrevendo livros ou proferindo palestras e seminrios sobre suas proezas. Ministrar
cursos tambm faz parte das atividades dos coders, que parecem ter sido influenciados pelo aspecto financeiro.
O caso de Kevin Mitnick muito interessante. Aps cumprir sua pena na priso
por suas atividades notrias envolvendo engenharia social e tcnicas avanadas de

59
apropriao de informaes confidenciais de diversas empresas, ele passou a ser um
dos hackers mais requisitados para proferir palestras sobre segurana das informaes. Isso, porm, depois de conseguir uma aprovao formal para tal, pois ele
estava proibido de utilizar computadores, procurar empregos como consultor tcnico ou mesmo escrever sobre tecnologia, sem a devida aprovao. Apenas em 2001,
ele readquiriu o direito de utilizar um telefone celular e passou a trabalhar em um
seriado de televiso, no qual atua como um especialista em computadores que
membro da CIA [WAZ 01]. Atualmente, aps vencer o perodo de observao, ele
abriu uma empresa de consultoria e lanou um livro sobre engenharia social.

4.1.5 White hat


Os white hats so tambm conhecidos como hackers do bem, hackers ticos,
samurais ou sneakers, que utilizam seus conhecimentos para descobrir vulnerabilidades
nos sistemas e aplicar as correes necessrias, trabalhando de maneira profissional e
legal dentro das organizaes. Eles vem a si prprios como guerreiros que protegem
os sistemas das organizaes que os contratam contra os black hats (Seo 4.1.6).
Eles so os responsveis pelos testes de invases, em que simulam ataques para medir
o nvel de segurana da rede, e tambm pelas diversas anlises de segurana necessrias para a proteo da informao em uma organizao.
Uma srie de consideraes devem ser analisadas antes de serem contratados os
servios de um white hat, como definir os limites de uma simulao de ataque, a fim
de evitar que dados confidenciais sejam expostos. Alm disso, recomendvel deixar claro no contrato que as informaes obtidas permanecero em sigilo e tambm
garantir que todas as correes sejam implementadas.
A utilizao desses profissionais pode ser importante para a segurana de uma
organizao, porm, deve-se tomar muito cuidado com relao aos limites da utilizao de seus servios. Um white hat pode encontrar uma srie de vulnerabilidades
no sistema e querer cobrar para fazer as correes necessrias. Como novas
vulnerabilidades vo sendo descobertas com o tempo, e j que as novas funcionalidades que vo sendo implantadas no ambiente computacional trazem consigo uma
srie de novas brechas, sempre necessria uma nova anlise de segurana, o que
acaba gerando mais custos. A segurana, portanto, um processo constante, de
modo que o mais interessante talvez seja manter um administrador de segurana
dentro da prpria organizao. Essa pode ser a soluo mais plausvel, pois, depois
de uma consultoria, simulaes, anlises e correes, sempre necessria uma adequao da poltica de segurana, fazendo com que os custos com a utilizao de um
white hat sejam sempre maiores que os previstos, como se formassem uma grande
bola de neve.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 4: Os riscos que rondam as organizaes

60
Essa abordagem de utilizar um administrador de segurana interno, porm, pode
representar riscos, caso ele no possua o conhecimento necessrio para avaliar corretamente o nvel de segurana dos sistemas. importante lembrar que a segurana
multidisciplinar, compreende diversos aspectos diferentes, e geralmente as pessoas
acham que esto seguras, caso no tenham o conhecimento necessrio sobre o risco.
Isso significa que no se pode proteger contra riscos que no se conhece, o que faz
com que o conhecimento seja essencial para a proteo adequada.

4.1.6 Black hat


So tambm conhecidos como full fledged ou crackers. Esse grupo utiliza seus
conhecimentos para invadir sistemas e roubar informaes secretas das organizaes. Geralmente, tentam vender as informaes roubadas de novo sua prpria
vtima, ameaando a organizao de divulgao das informaes roubadas, caso o
valor desejado no seja pago. Esse tipo de prtica conhecido como chantagem ou
blackmail e a exposio pblica das informaes roubadas pode trazer conseqncias indesejveis vtima.
O blackmail foi utilizado, por exemplo, no caso da invaso do site de comrcio
eletrnico da CD Universe. Um hacker russo conseguiu invadir a base de dados do
site, onde conseguiu capturar 300 mil nmeros de cartes de crdito de seus clientes. Ele exigiu cem mil dlares para no divulgar esses nmeros; porm, como no
foi atendido, revelou publicamente os nmeros de diversos clientes [INT 00]. Outro
caso aconteceu com a Creditcards.com, quando um hacker roubou 55 mil nmeros
de cartes de crdito e exigiu 20 mil dlares para destruir os dados dos clientes e
fornecer uma consultoria de segurana no site [SAN 00][SUL 00].
Em um caso mais recente envolvendo a loja virtual Webcertificate.com, o hacker
roubou 350 mil nmeros de cartes de crdito e exigiu 45 mil dlares para no
tornar pblica essa base de dados. Porm, a Webcertificate.com se negou a pagar a
extorso, alegando que no havia nmeros de cartes de crdito na base de dados,
somente nmeros seriais referentes a cupons de presentes [SAN 01]. De qualquer
modo, na base de dados constam informaes pessoais de milhares de clientes da
empresa, o que pode ter causado uma srie de problemas a eles.
Alm do blackmail, qualquer ao prejudicial que visa afetar negativamente e
causar prejuzos s suas vtimas pode ser considerada de autoria de black hats.

4.1.7 Gray hat


Os gray hats so black hats que fazem o papel de white hats, a fim de trabalhar
na rea de segurana. Porm, diferentemente dos white hats, cuja formao tem sua

61
base em conhecimentos profundos sobre a segurana, os gray hats tm conhecimento sobre atividades de hacking. Algumas organizaes contratam gray hats para
realizar anlises de segurana, porm diversos incidentes j demonstraram que o
nvel de confiana necessrio para a realizao de trabalhos to crticos e estratgicos no alcanado por meio dessa abordagem. De fato, utilizar um hacker para
cuidar da segurana pode ser perigoso, justamente devido prpria cultura dos
hackers. Um exemplo disso foi a divulgao de resultados de anlises de segurana
realizados em bancos por um gray hat. Eventuais ataques contra uma organizao,
para que eles possam vender seus servios, tambm fazem parte do cardpio dos
gray hats.
Um outro exemplo envolve uma agncia governamental americana que contratou um gray hacker para cuidar da segurana interna. Quando o hacker finalizou o
servio, a agncia descobriu que ele havia divulgado as vulnerabilidades encontradas na agncia em sites de hackers e em bulletin boards. O pior que muitas dessas
vulnerabilidades no haviam sequer sido corrigidas [RAD 99].
Uma pesquisa do Computer Security Institute e do FBI [CSI 02] mostra claramente a preocupao existente quando se pergunta s organizaes se elas consideram a possibilidade de contratar gray hats como consultores de segurana (Figura 4.2).

Figura 4.2

Pesquisa sobre a contratao de gray hats. Fonte: CSI/FBI 2002.

4.1.8 Cyberterroristas
O termo cyberterrorista utilizado para definir os hackers que realizam seus
ataques contra alvos selecionados cuidadosamente, com o objetivo de transmitir
uma mensagem poltica ou religiosa (hacktivism) para derrubar a infra-estrutura de
comunicaes ou para obter informaes que podem comprometer a segurana nacional de alguma nao. Os meios para que isso seja alcanado so: (1) um ataque
semntico [VAL 01], que conseqncia de uma pichao de sites (Web defacement),

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 4: Os riscos que rondam as organizaes

62
quando a modificao de uma pgina do site pode disseminar informaes falsas,
alm de mensagens polticas ou religiosas; (2) ataques sofisticados de negao de
servios distribudos (Distributed Denial-of-Service, DDoS), que sero vistos com
detalhes na Seo 4.8; (3) invases a sistemas com o objetivo de obter informaes
confidenciais.
Esses tipos de ataques cibernticos devem ser considerados com extrema importncia, ainda mais em uma poca de guerras, como a dos Estados Unidos contra o
Afeganisto e o Iraque. interessante notar que as estatsticas mostram que existe
uma relao muito grande entre conflitos poltico-religiosos e ataques de hackers.
Um exemplo o grande aumento de sites modificados na ndia, que estava em
conflito com o Paquisto, no Kashmir: em 1999, foram registrados 45 ataques contra sites indianos, em comparao com 133 ataques ocorridos em 2000 e 275 ataques realizados at agosto de 2001. Os hackers paquistaneses so notrios em casos
de ataques semnticos, alm de realizarem ataques sofisticados, como o que foi
feito contra o Bhabha Atomic Research Center, quando foram roubados cinco
megabytes de informaes possivelmente confidenciais sobre pesquisa nuclear e
outras reas [VAL 01].
Um outro exemplo que mostra a conexo entre ataques fsicos e cibernticos
pode ser visto no conflito entre israelenses e palestinos. Chamada at mesmo de
cyberjihad, a conexo pode ser vista pelo aumento do nmero de incidentes de
segurana em sites israelenses, quando um conflito fsico acontece. J ocorreram
aumentos de at 1000% no nmero de ataques de hackers; por exemplo, quando
bombas mataram quatro e feriram 69 israelenses, ou quando duas semanas de violncia culminaram no ataque de um homem-bomba em um ponto de nibus na
periferia de TelAviv [VAL 01].
J quando a Organizao do Tratado do Atlntico Norte (OTAN) bombardeou
Kosovo e Srvia, aproximadamente cem servidores da OTAN espalhados pelo mundo
sofreram ataques de DDoS (Seo 4.8) e tambm o bombardeio com milhares de emails contendo vrus [VAL 01].
Outro caso interessante foi resultado do conflito que envolveu a coliso entre
um avio americano e um avio de guerra chins, no dia 1o de abril de 2001. Alm
do grande nmero de pichaes em sites e ataques de DDoS (cerca de 1 200 sites),
incluindo vtimas como Casa Branca, Fora Area Americana e Departamento de
Energia, um grande nmero de worms (Seo 4.9.4), como Lion, Adore e Code Red,
suspeito de ter sua origem na China. O Code Red causou prejuzos estimados em
2,4 bilhes de dlares e sua origem parece ser uma universidade em Guangdong,
China [VAL 01].
As invases no autorizadas que resultam no vazamento de informaes confidenciais podem resultar em graves conseqncias, principalmente quando essas

63
informaes envolvem a segurana nacional. No caso conhecido como Moonlight
Maze, a Rssia executou contra sistemas do governo norte-americano uma srie de
invases que tiveram incio em maro de 1998 e duraram alguns anos. Apesar de
autoridades negarem o fato, centenas de redes privadas do Pentgono, do Departamento de Energia, da NASA e de rgos de defesa foram invadidas e h suspeita de
que uma grande quantidade de pesquisas tcnicas e documentos confidenciais foram obtidos pelos hackers [VAL 01].
Com os exemplos vistos nesta seo, pode-se observar que as aes terroristas tm
uma conexo cada vez maior com o cyberterrorismo. Porm, mais do que essa conexo, o que deve ser considerado que a tecnologia e as tcnicas de ataques sofisticados podem ser utilizadas em conjunto com aes fsicas de carter terrorista. Os
terroristas utilizam a criptografia e a estenografia para a troca de mensagens e o
armazenamento de instrues e planos de aes, como foi descoberto no caso de
Ramzi Yousef, que foi o responsvel pelo primeiro atentado ao World Trade Center, em
1993. Ele tinha em seu notebook arquivos cifrados com detalhes sobre planos terroristas futuros, que incluam a derrubada de 12 avies no Oceano Pacfico [VAL 01].
At mesmo a infra-estrutura de um pas pode ser alvo de hackers. Alm dos
ataques de DDoS, que podem ser executados contra a infra-estrutura de comunicao, a simulao realizada pelo Pentgono, conhecida como Elegible Receiver, mostrou as vulnerabilidades da infra-estrutura de distribuio de energia dos Estados
Unidos. O fato crtico que essas vulnerabilidades foram exploradas realmente em
junho de 2001, quando hackers chegaram at a rede do California Independent
Systems Operator por meio de redes operadas pela China Telecom. Os hackers permaneceram nessa rede durante 17 dias [VAL 01].

4.2 TERMINOLOGIAS DO

MUNDO DOS HACKERS

Os diversos tipos de atacantes podem causar desde simples transtornos at grandes prejuzos, pois at mesmo a segurana nacional pode ser colocada em risco,
dependendo da situao. Algumas terminologias interessantes utilizadas no mundo
dos hackers revelam suas atividades e seu modo de agir, e so relacionadas a seguir
[RAD 99]:
* Carding: prtica ilegal envolvendo fraudes com nmeros de cartes de crdito, que so utilizados pelos hackers para fazer compras para si prprios e para
seus amigos. O comrcio eletrnico tornou-se um terreno de grande perigo,
devido aos cardings, o que vem fazendo com que a segurana das transaes
eletrnicas com cartes de crdito tenha uma evoluo natural, como o caso
do protocolo SET.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 4: Os riscos que rondam as organizaes

64
* Easter egg: uma mensagem, imagem ou som que o programador esconde em
um software, como brincadeira. Geralmente deve-se seguir procedimentos para
ativar essa parte do cdigo de software.
* Media whore: na cultura hacker, quem deixa o mundo underground para ganhar a ateno da mdia considerado traidor. Trata-se dos hackers que buscam a glria e a fama pessoal.
* Phreaking: o hacking de sistemas telefnicos, geralmente com o objetivo de
fazer ligaes gratuitas ou para espionar ligaes alheias.
* Suit: conforme a cultura dos hackers, os suit so os outros, ou seja, os funcionrios de organizaes que trabalham sempre bem-vestidos. Oficiais do governo so tambm chamados de suits.
* Tentacles: tambm conhecidos como aliases, so as identidades utilizadas
pelos hackers para executar suas proezas sem serem identificados.
* Trojan horse: os cavalos de Tria so softwares legtimos que tm cdigos
escondidos e executam atividades no previstas. O usurio utiliza o software
normalmente, mas ao mesmo tempo executa outras funes ilegais, como enviar mensagens e arquivos para o hacker ou abrir portas de entrada para futuras invases (Seo 4.9.4).
* Vrus: programa que destri dados ou sistemas de computador. Esses programas se replicam e so transferidos de um computador para outro (Seo 4.9.4).
* Worm: similar ao vrus, porm o worm tem a capacidade de auto-replicao,
espalhando-se de uma rede para outra rapidamente. Diferente do vrus, o worm
pode causar danos, sem a necessidade de ser ativado pelo usurio (Seo 4.9.4).
* War dialer: programa que varre nmeros telefnicos em busca de modems ou
aparelhos de fax, que so posteriormente utilizados como pontos de ataque
(Seo 4.9.5).
* Warez: software pirata distribudo ilegalmente pela Internet.

65
conceitualmente seguros, motivo de muitas controvrsias. Uma das razes disso
que, com o foco exclusivamente nas vendas, as empresas primam pela diminuio
do tempo de desenvolvimento; isso faz com que o produto chegue antes ao mercado, mesmo que tenha falhas. Outra razo que as metodologias de desenvolvimento
de software seguro ainda no so difundidas o suficiente para a sua adoo.
interessante notar que os ataques exploram brechas existentes em qualquer um
dos nveis relacionados proteo da informao. Como pode ser visto na Figura 4.3,
a proteo da informao depende da segurana em todos os nveis, que incluem:
sistema operacional, servios e protocolos, rede e telecomunicaes, aplicao, usurios e organizao, fsico. Para o hacker, basta que ele explore apenas uma brecha em
um desses nveis, que o acesso informao pode ser conseguido. Assim, a prpria
natureza faz com que o trabalho do hacker seja mais fcil, pois, para ele, basta encontrar apenas uma brecha, enquanto o profissional de segurana precisa encontrar e
fechar todas as brechas existentes. Assim, o hacker pode explorar vulnerabilidades
no sistema operacional, por exemplo, bem como falhas na implementao de servios
como a Web. Alm disso, ele pode explorar um funcionrio desavisado ou tentar
acessar fisicamente algum servidor importante.

4.3 OS PONTOS EXPLORADOS


As invases aos sistemas podem ser executadas por meio da explorao de tcnicas que podem ter como base a engenharia social ou invases tcnicas. A engenharia social discutida com mais detalhes na Seo 4.5.1, enquanto as invases tcnicas so discutidas nas prximas sees. Essas invases exploram deficincias na
concepo, implementao, configurao ou no gerenciamento dos servios e sistemas, e continuaro existindo na medida em que o mercado centrado nas caractersticas dos produtos, e no na segurana. Esse comportamento adotado pelos fabricantes, de preferirem consertar falhas de segurana a construir sistemas

Figura 4.3

A abrangncia da segurana e a complexidade da proteo da informao.

Os ataques tcnicos podem explorar uma srie de condies, nas quais esto
includas as mostradas a seguir:
* Explorao de vulnerabilidades, que so resultantes de bugs na implementao
ou no design de sistemas operacionais, servios, aplicativos e protocolos. Pro-

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 4: Os riscos que rondam as organizaes

66

tocolos como o Internet Control Message Protocol (ICMP) podem ser explorados
em ataques como o Smurf e ping-of-death. O UDP pode ser explorado pelo
Fraggle, enquanto o TCP pode sofrer ataques conhecidos como SYN flood, por
exemplo. Esses e outros ataques sero discutidos com mais detalhes nas prximas sees.
Utilizao de senhas ineficientes que podem ser obtidas por meio da captura,
utilizando-se a rede (packet sniffing). Mesmo quando as senhas so protegidas
por criptografia, elas podem ser decifradas por meio de cracking e exploradas
em ataques de fora bruta ou em ataques replay (replay attack).
O mau uso de ferramentas legtimas que, em vez de serem empregadas para
auxiliar no gerenciamento e na administrao, so utilizadas pelos hackers
para a obteno de informaes ilcitas, visando a realizao de ataques. Alguns exemplos so (1) o comando nbtstat do Windows NT, que fornece informaes que podem ser utilizadas para o incio de um ataque contra usurios
do sistema (identidade do controlador do domnio, nome de NetBIOS, nomes
de usurios), (2) o port scanning, que utilizado para identificar as portas
ativas do sistema e, conseqentemente, dos servios providos por cada porta,
e (3) o packet sniffing, utilizado normalmente para diagnosticar problemas de
rede, que pode ser empregado para capturar pacotes que trafegam pela rede,
em busca de informaes como senhas, informaes confidenciais e e-mails.
Configurao, administrao ou manuteno imprpria de sistemas, quando a
complexidade na definio de rotas e regras de filtragem do firewall, por exemplo, pode introduzir novos pontos de ataque aos sistemas. Outros exemplos
so (1) a utilizao da configurao-padro que conhecida por todos, inclusive pelos hackers; (2) a administrao preguiosa, sem a utilizao de senhas ou com o uso de senhas ineficiente; (3) a explorao da relao de
confiana entre equipamentos, quando o hacker pode chegar ao alvo atacando
primeiramente um outro sistema.
Projeto do sistema ou capacidade de deteco ineficiente, como um sistema de
deteco de intruso (IDS Captulo 8) que fornece informaes falsas, erradas
ou exageradas.

As defesas contra todas as possibilidades de ataques tm de ser consideradas


primordiais para o bom andamento dos negcios de todas as organizaes, principalmente porque, como j foi visto, a grande maioria dos hackers de novatos;
eles utilizam ferramentas e informaes que j existem na Internet, sendo possvel at mesmo adquirir CDs com uma interface GUI de fcil utilizao, para a
realizao dos ataques.

67
Com isso, os ataques mais simples e mais comuns podem ser executados facilmente por uma grande gama de script kiddies, e as organizaes devem ser capazes
de se defender, no mnimo, contra essas tentativas bsicas de ataque. Alm disso,
foi visto tambm que a espionagem industrial cresce a cada dia, principalmente
porque o conhecimento o bem que conduz as organizaes ao sucesso. Cresce
tambm o desenvolvimento e a utilizao de tcnicas de ataques mais sofisticadas,
que representam o real perigo para as organizaes.
Estar preparado adequadamente contra as tentativas de ataques fundamental,
principalmente porque o sucesso do hacker depende essencialmente do nmero e da
variedade das tentativas de ataque, de maneira que o nvel de segurana da organizao ser to grande quanto os objetivos do invasor. Ou seja, se um hacker tiver
como objetivo atacar uma rede, ele ter sucesso mais rapidamente se a rede dessa
organizao no tiver um nvel de segurana adequado.
O fato que a maioria dos ataques constitui uma briga de gato e rato, pois as
ferramentas de defesa existentes protegem os sistemas somente contra os ataques
j conhecidos. Isso faz com que, se por um lado os administradores de segurana
procuram eliminar as falhas existentes, por outro lado, os hackers vm atualizando
constantemente seu leque de tcnicas de ataque, que podem no ser detectados
pelos administradores e suas ferramentas de defesa.
Levando-se em considerao essa premissa, a organizao deve estar preparada
para situaes nas quais um ataque pode realmente ser efetivado. O monitoramento
constante, os planos de contingncia, os planos de respostas a incidentes, a forense
computacional e o entendimento da legislao sobre esses tipos de crime devem
fazer parte de todas as organizaes no mundo atual. Assim, o que deve se ter em
mente que a segurana um processo evolutivo, uma constante luta do administrador de segurana contra os hackers e os usurios internos que buscam maneiras
de utilizar recursos proibidos na rede, capazes at mesmo de causar transtornos por
meio de seus erros.

4.4 O PLANEJAMENTO DE UM ATAQUE


As motivaes para um ataque so diversas, variando de acordo com o tipo de
hacker. Os script kiddies, por exemplo, motivados pela curiosidade, por experimento
ou vontade de aprender, pela necessidade de colocar a vtima em maus lenis ou
simplesmente por diverso, podem realizar ataques mais simples, como a pichao
de sites, tambm conhecida como Web defacements. J os ataques mais sofisticados,
que representam os maiores perigos para os negcios das organizaes, so realizados pelos insiders e pelos black hats, que so motivados por dinheiro, fama, neces-

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 4: Os riscos que rondam as organizaes

68
sidades psicolgicas ou emocionais, vingana, espionagem industrial ou curiosidade. Os cyberterroristas tambm representam um grande perigo, pois podem comprometer, como foi visto na Seo 4.1.8, a infra-estrutura de uma nao.
O primeiro passo para um ataque a obteno de informaes sobre o sistema a
ser atacado, o que pode ser feito por meio de diversas tcnicas, que sero detalhadas na Seo 4.5. Aps a obteno das informaes, o hacker pode atacar o sistema,
por meio de uma das quatro maneiras a seguir:
*
*
*
*

Monitorando a rede.
Penetrando no sistema.
Inserindo cdigos prejudiciais ou informaes falsas no sistema.
Enviando uma enxurrada de pacotes desnecessrios ao sistema, comprometendo a disponibilidade do mesmo.

As conseqncias de um ataque bem-sucedido a uma organizao podem ser


variadas, mas so sempre negativas:
*
*
*
*
*
*
*
*

Monitoramento no autorizado.
Descoberta e vazamento de informaes confidenciais.
Modificao no autorizada de servidores e da base de dados da organizao.
Negao ou corrupo de servios.
Fraude ou perdas financeiras.
Imagem prejudicada, perda de confiana e de reputao.
Trabalho extra para a recuperao dos recursos.
Perda de negcios, clientes e oportunidades.

Um ponto importante que, aps a realizao dos ataques, os hackers tentaro


encobrir todos os procedimentos realizados por eles. Para isso, podem ser utilizadas
tcnicas como substituio ou remoo de arquivos de logs, troca de arquivos importantes do sistema para o mascaramento de suas atividades ou a formatao
completa do sistema. Os sistemas de deteco de intruso (IDS), que sero discutidos no Captulo 8, tm, assim, uma grande importncia para a defesa da organizao. A forense computacional (Seo 8.11) tambm de grande importncia na
investigao do ataque e na busca do responsvel por ele.

69
so. pela obteno dessas informaes que o ataque pode ser bem planejado e
executado. As seguintes tcnicas e ferramentas, que sero discutidas nas prximas
sees, podem ser utilizadas para a obteno de informaes relevantes para o
ataque: dumpster diving ou trashing, engenharia social, ataques fsicos, informaes livres, packet sniffing, port scanning, scanning de vulnerabilidades e firewalking.
O IP Spoofing pode ser considerado uma tcnica auxiliar para outros mtodos de
obteno de informaes, como o port scanning ou o scanning de vulnerabilidades.
Apesar de essas tcnicas estarem sendo discutidas do ponto de vista dos hackers,
elas fazem parte tambm do arsenal de defesa usado para anlises de segurana,
que visam identificar os pontos inseguros para as posteriores correes e melhorias
necessrias.

4.5.1 Dumpster diving ou trashing


O dumpster diving ou trashing a atividade na qual o lixo verificado em busca
de informaes sobre a organizao ou a rede da vtima, como nomes de contas e
senhas, informaes pessoais e confidenciais. Essa tcnica eficiente e muito utilizada, inclusive no Brasil. So conhecidos os casos de incidentes em bancos, nos
quais os lixos foram verificados, procura de informaes importantes, que eram,
ento, trabalhadas e cruzadas com outras informaes de clientes, resultando no
acesso s contas desses usurios.
Uma caracterstica importante dessa tcnica que ela legal, pois as informaes so coletadas diretamente do lixo. Alguns tipos de informaes importantes
que podem ser utilizadas no planejamento de um ataque so: lista telefnica
corporativa, organograma, memorandos internos, manuais de poltica, calendrio
de reunies, manuais de sistemas de eventos e de frias, impresso de informaes
confidenciais, impresso de cdigo-fonte, disquetes, fitas, formulrios internos,
inventrios de hardware etc.
Essa foi uma das tcnicas utilizadas pela Proctor & Gamble para descobrir informaes estratgicas de sua concorrente, a Unilever. O caso tornou-se pblico antes
de um acordo entre as empresas, o que normalmente ocorre nesses casos, e os
prejuzos estimados foram de dez milhes de dlares [KNO 03].
Isso faz com que a poltica de segurana seja essencial, e que um fragmentador
de papis, definido na poltica, seja um acessrio importante para que os papis
sejam picotados juntamente com as informaes.

4.5 ATAQUES PARA A OBTENO DE INFORMAES

4.5.2 Engenharia social

Conhecer o terreno e coletar informaes sobre o alvo, se possvel, sem ser


notado ou descoberto, o primeiro passo para a realizao de um ataque de suces-

A engenharia social a tcnica que explora as fraquezas humanas e sociais, em


vez de explorar a tecnologia. Ela tem como objetivo enganar e ludibriar pessoas

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 4: Os riscos que rondam as organizaes

70
assumindo-se uma falsa identidade, a fim de que elas revelem senhas ou outras
informaes que possam comprometer a segurana da organizao. Essa tcnica
explora o fato de os usurios estarem sempre dispostos a ajudar e colaborar com os
servios da organizao.
Ela capaz de convencer a pessoa que est do outro lado da porta a abri-la,
independente do tamanho do cadeado. O engenheiro social manipula as pessoas
para que elas entreguem as chaves ou abram o cadeado, explorando caractersticas
humanas como reciprocidade, consistncia, busca por aprovao social, simpatia,
autoridade e medo.
Um ataque de engenharia social clssico consiste em se fazer passar por um
alto funcionrio que tem problemas urgentes de acesso ao sistema. O hacker,
assim, como um ator, que, no papel que est representando, ataca o elo mais
fraco da segurana de uma organizao, que o ser humano. Esse ataque difcil
de ser identificado, pois o que est em jogo a confiana, a psicologia e a manipulao das pessoas. Kevin Mitnick, um dos hackers mais famosos, que se livrou
da priso em fevereiro de 2000, utilizava a engenharia social em mais de 80% de
seus ataques.
Um caso de um ataque no qual a engenharia social foi explorada ocorreu em
outubro de 1998, envolvendo a America Online (AOL). Um indivduo conseguiu
obter dados da AOL e solicitou mudanas no registro de domnio DNS, de forma que
todo o trfego para a AOL foi desviado para um outro equipamento que no era do
provedor [HTTP 02].
Uma das tcnicas de engenharia social consiste em visitar escritrios e tentar
fazer com que a secretria se distraia, enquanto o hacker analisa documentos que
esto em cima da mesa ou no computador. Utilizar o mtodo de entrar pela porta do
fundo ou pela garagem, para ter acesso a salas restritas, tambm faz parte da engenharia social, bem como se disfarar de entregador de flores ou de pizzas.
Um outro ataque, que exige um prazo mais longo para o seu desfecho, consiste
em criar um software com bugs inseridos de propsito. O hacker poderia entregar
esse software para a organizao, a fim de que fossem realizados testes com ele,
pedindo, gentilmente, que o avisem em caso de falhas, e prontificando-se a resolvlas. A vtima, ento, entraria em contato com o hacker, que conseguiria ter acesso
ao computador da empresa para a correo da falha que ele mesmo implantou, alm
do acesso para a realizao das tarefas referentes ao ataque, tais como a instalao
de backdoors ou bombas lgicas.
O fato mais recente envolvendo a engenharia social sua ampla utilizao em
busca de um maior poder de disseminao de vrus. Procurando ludibriar os usurios
para que abrissem arquivos anexados, vrus como o I Love You, Anna Kournikova e
Sircam espalharam-se rapidamente em todo o mundo.

71

4.5.3 Ataque fsico


O ataque fsico organizao, em que so roubados equipamentos, software ou
fitas magnticas, constitui um mtodo menos comum utilizado em um ataque. O
incidente mais conhecido o de Kevin Poulsen, que roubou vrios equipamentos do
provedor de acesso de diversas organizaes, resultando na quebra do sigilo de
vrias informaes confidenciais dessas empresas.
O ataque fsico permite que o ataque seja realizado diretamente no sistema,
o que facilita as aes, pois no necessrio que tcnicas de ataques remotos
sejam utilizadas. Com o acesso direto ao sistema, alm do roubo do prprio
equipamento, possvel executar-se uma srie de aes maliciosas ou destrutivas,
tais como copiar documentos confidenciais, ler e-mails de terceiros, obter informaes privilegiadas (como os salrios de todos os funcionrios ou estratgia
de novos produtos), modificar arquivos importantes, implantar bombas lgicas,
alterar configuraes ou aumentar os privilgios de alguns usurios. A imaginao e a inteno do atacante que vai limitar as aes no sistema a que ele
obtm acesso fsico, de modo que ele pode simplesmente destruir todas as informaes, se assim desejar.
O acesso direto ao sistema uma das facetas dos ataques fsicos, os quais podem
possuir dimenses ainda maiores. O controle de acesso fsico, por exemplo, uma
delas, e deve ser utilizado para minimizar possibilidades de ataques fsicos diretamente aos sistemas. Assim como a abordagem utilizada pelos firewalls (captulos 7
e 13), o controle de acesso fsico tambm deve ser planejado em diferentes nveis.
O acesso ao prdio, por exemplo, deve ser controlado para que a entrada da grande
maioria dos suspeitos seja controlada. Dentro da organizao, o controle a salas
restritas tambm deve ser controlado, bem como sua locomoo interna. Com isso,
problemas como o acesso a sistemas desbloqueados pode ser evitado, sejam eles
servidores ou workstations. As conseqncias do acesso a uma workstation de um
funcionrio distrado podem ser perigosas, como em um simples caso em que um email falso enviado para clientes ou parceiros de negcios. Documentos falsos
tambm podem ser introduzidos no sistema interno com o uso dessa workstation,
bem como o acesso a projetos pode permitir sua cpia.
O controle aos servidores tem de ser o mais restritivo possvel, com um sistema
de identificao eficiente. O uso de crachs, combinado com um sistema de biometria,
interessante, pois um crach perdido no pode ser reutilizado para acessos indevidos
sala de servidores. Os problemas relacionados com ataques fsicos podem ser
minimizados com esse tipo de controle de acesso, que pode ser melhorado ainda
mais com o uso de cmeras de vdeo, por exemplo. O acesso a sistemas telefnicos
tambm deve ser considerado, pois eles podem dar acesso remoto a sistemas importantes da organizao.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS


72
A poltica de segurana (Captulo 6) possui um papel fundamental para que os
riscos envolvidos com ataques fsicos sejam minimizados. Fazer com que todos os
funcionrios bloqueiem sua workstation quando no a utilizam um dos pontos
importantes, bem como no deixar documentos confidenciais em cima da mesa, pois
pessoas de outras organizaes podem circular pelo ambiente interno e obter informaes simplesmente olhando para eles, os fotografando ou at mesmo os roubando.
Outros problemas relacionados a ataques fsicos so o uso de sniffers ou analisadores
de protocolos para capturar informaes e senhas e a implantao de hardware para
capturar tudo que o funcionrio digita (keystroke logger). A perda de sigilo decorrente do uso dessas tcnicas uma das mais encontradas nas organizaes.
Alm desses aspectos relacionados a ataques fsicos, outros aspectos esto envolvidos com a disponibilidade das informaes. Situaes como terremotos, furaces, incndios ou enchentes devem estar previstas pela poltica de segurana, pois
elas causam interrupo dos negcios e conseqente perda de receita.

4.5.4 Informaes livres


As diversas informaes que podem ser obtidas livremente, principalmente na
prpria Internet, so valiosas para o incio de um ataque. Consideradas como no
intrusivas, pois no podem ser detectadas e alarmadas, as tcnicas incluem consultas a servidores de DNS, anlise de cabealhos de e-mail e busca de informaes em
listas de discusso. Por meio delas, detalhes sobre sistemas, topologia e usurios
podem ser obtidos facilmente. Ultimamente, mecanismos de busca como o Google
so amplamente utilizados para a obteno de informaes importantes, que
facilitada pelo uso de determinados tipos de filtros.
Alguns detalhes interessantes que podem ser encontrados em listas de discusso, por exemplo, so os cargos e as funes de usurios, e os nmeros de telefones
dos superiores. Eles so comuns de ser encontrados, quando uma mensagem de
aviso de ausncia mal estruturada e configurada, o que faz com que e-mails
internos sejam enviados a listas de discusses desnecessariamente.
Outras fontes de informaes so protocolos como o Simple Network Management
Protocol (SNMP) e o NetBIOS, e servios como finger, rusers, systat ou netstat. Banners
de protocolos como Telnet e FTP, que aparecem quando o usurio se conecta ao
servio, tambm mostram informaes como o tipo de sistema operacional e a verso do servio, de modo que recomendvel modific-los.

4.5.5 Packet Sniffing


Tambm conhecida como passive eavesdropping, essa tcnica consiste na captura de informaes valiosas diretamente pelo fluxo de pacotes na rede. Diversos

Captulo 4: Os riscos que rondam as organizaes


73
softwares podem ser encontrados, inclusive o snoop, fornecido com o Solaris, e o
tcpdump, fornecido com o Linux, que so originalmente utilizados para auxiliar na
resoluo de problemas de rede.
As informaes que podem ser capturadas pelos sniffers so referentes aos pacotes que trafegam no mesmo segmento de rede em que o software funciona. Diversos
tipos de filtros podem ser utilizados para a captura de pacotes especficos referentes a determinados endereos de IP, servios ou contedos.
Senhas que trafegam abertamente pela rede, como as de servios como FTP,
Telnet e POP, podem ser facilmente capturadas dessa maneira. E-mails tambm podem perder sua privacidade por meio da utilizao de sniffers. Uma das medidas de
segurana que podem ser tomadas para minimizar as implicaes de segurana a
diviso da rede em mais segmentos, pela utilizao de switches ou roteadores. Porm, alguns problemas permancem com relao aos switches e, como essa medida
no elimina totalmente a possibilidade de captura de pacotes em um mesmo segmento, a soluo o uso de protocolos que utilizam a criptografia, como o SSH no
lugar do Telnet, ou o IPSec. A utilizao da criptografia em informaes confidenciais que trafegam pela rede, como em e-mails, tambm importante para a preveno da perda de sigilo por sniffing.
Existem diversas tcnicas para verificar se um sniffer est sendo executado em
um determinado segmento de rede. Um dos mtodos o administrador acessar cada
equipamento dessa rede e verificar se existe ou no o processo que est sendo
executado. O problema que se um hacker estiver executando um sniffer, ele tomar o cuidado de esconder esse processo da lista de processos, impossibilitando sua
deteco. O mesmo vale para a verificao de interfaces de rede que esto funcionando de modo promscuo. Outro mtodo a criao de trfego de senhas predeterminadas, de modo que o hacker pode ser detectado e identificado por meio da
utilizao dessa senha. Esse mtodo, porm, no muito eficiente, uma vez que o
hacker pode fazer grandes estragos antes de utilizar essa senha predeterminada,
principalmente porque ele ter em seu poder no apenas essa senha, mas tambm
a de usurios legtimos. David Wu apresenta, em [WU 98], outras tcnicas para
realizar a deteco remota de sniffers na rede, sem a necessidade de acessar cada
equipamento do segmento:
* MAC Detection: tira proveito de um erro na implementao do TCP/IP de diversos sistemas operacionais, os quais utilizam apenas o endereo de IP para
entregar os pacotes, no conferindo o endereo MAC quando a interface est
no modo promscuo. Assim, a tcnica utiliza pacotes ICMP echo request com o
endereo de IP de um host, mas com endereo MAC falso. Se algum estiver
utilizando um sniffer, ele estar em modo promscuo, no conferir o endere-

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS


74
o MAC e responder ao pedido de ping, sendo assim detectado. Essa tcnica
no funciona com sistemas operacionais que implementam o protocolo TCP/IP
corretamente.
* DNS detection: tira proveito do fato de alguns sniffers realizarem o DNS reverso. Trfegos com endereo falso so colocados na rede e, caso o sniffer capture
esses pacotes, o pedido de DNS reverso ser enviado ao servidor de DNS, que
detecta a existncia de sniffers na rede. Ela identifica quantos sniffers esto
na rede, mas no pode detectar quais so esses equipamentos. Essa tcnica
pode ainda detectar sniffers entre diferentes segmentos de rede.
* Load detection: a idia dessa tcnica que os equipamentos que esto executando sniffers tm maior grau de processamento, e assim levam mais tempo
para responder s requisies. Essa tcnica faz uma anlise estatstica dos
tempos de resposta a requisies de servios, com base nos tempos de resposta com pouco trfego na rede e com o trfego a ser capturado pelos sniffers.
Esses tempos so, ento, comparados, de modo que, se a diferena for muita,
o equipamento est utilizando maior processamento, o que pode ser resultado
da utilizao de sniffers. O tipo de pacote a ser utilizado nos testes, porm,
deve ser escolhido cuidadosamente. O ICMP echo request, por exemplo, no
serve, pois a resposta enviada pelo equipamento a partir da prpria pilha
TCP/IP, antes de chegar ao nvel do usurio, no sendo possvel, portanto,
medir o grau de processamento do equipamento. A mesma situao ocorre
com os pedidos de conexo SYN. Sendo assim, necessrio utilizar um mtodo
que empregue o nvel de usurio, como o caso dos comandos FTP. Essa
tcnica no funciona de modo eficiente em redes com grande trfego, pois as
medidas so mais difceis de ser apuradas e comparadas, uma vez que os dois
tempos tornam-se muito equivalentes.
Como foi visto, o sniffing pode ser usado para capturar pacotes de um mesmo
segmento de rede. Assim, uma alternativa para minimizar problemas de sniffing o
uso de switches, em vez de hubs. Por atuarem na Camada 2 do modelo de referncia
OSI, os switches podem direcionar o trfego para determinadas portas, o que no
possvel com os hubs, que atuam na Camada 1 do modelo OSI.
Porm, existem algumas tcnicas que buscam driblar as restries impostas pelos switches, tornando o sniffing ainda uma ameaa. Alguns mtodos utilizados so
[SWI 03][McC 00]:
* Acesso administrativo ao equipamento, com explorao de tcnicas como a
adivinhao de senhas (password guessing), ataques do dicionrio, ataques de
fora bruta ou engenharia social.

Captulo 4: Os riscos que rondam as organizaes


75
* Reconfigurao do switch via uso de Simple Network Management Protocol
(SNMP).
* Envio de muitos quadros (notao utilizada para camadas de enlace) rede
(Flooding), usando endereos Media Access Control (MAC) ainda no utilizados. Isso torna a tabela MAC do switch torna cheia, fazendo com que ele passe
a atuar do modo switch para modo hub.
* Envio de quadros com os endereos Address Resolution Protocol (ARP) falsos
(ARP Spoofing), fazendo com que o trfego de outros equipamentos seja enviado para o equipamento do atacante, que captura os quadros e os redireciona
para o equipamento verdadeiro, que nem percebe a diferena.
Esses ataques podem ser restringidos com alguns cuidados administrativos. Por
exemplo, restringir o acesso de administrador do switch apenas pela porta serial
elimina o controle remoto no autorizado. Desabilitar o uso de SNMP ou bloquear os
acessos externos ao dispositivo via uso do protocolo tambm devem ser considerados. O uso de listas de controle de acesso (Access Control List, ACL) baseados em
endereos MAC tambm recomendvel, bem como o uso de tabelas ARP estticas.
Essa medida, porm, depende de uma avaliao quanto escalabilidade e carga
administrativa gerada.
Uma outra funcionalidade de switches muito utilizada sua capacidade de criar
LANs virtuais (Virtual LAN VLAN), que so LANs separadas logicamente em um
mesmo switch. Cada porta do switch representa uma VLAN e a separao feita na
Camada 2 do modelo OSI, sendo necessrio, portanto, um dispositivo de Camada 3,
como um roteador, para que duas VLANs diferentes possam se comunicar [BUG 99].
VLANs podem ser estendidas para outros switches com o uso de trunking entre
eles. O trunking permite que VLANs existam em diferentes switches, e o seu funcionamento baseado em protocolos como o Institute of Electrical and Electronics
Engineers (IEEE) 802.1Q, que adiciona um identificador especificando a VLAN qual
o quadro pertence, no cabealho Ethernet [BUG 99].
O trunking, porm, constitui um risco para as organizaes, pois os trfegos
forjados com identificadores de VLANs especficos podem ser enviados rede, com o
objetivo de atacar sistemas de outras VLANs. Essa possibilidade ocorre quando uma
porta de trunk compartilha a mesma VLAN com uma porta que no trunk, possibilitando, assim, que quadros sejam enviados a outras VLANs existentes em outros
switches [BUG 99].
Testes que comprovam essa possibilidade foram feitos com a gerao de quadros
802.1Q com identificadores de VLANs modificados, na tentativa dos quadros serem
direcionados a essas VLANs. Os resultados mostraram que possvel injetar quadros
em uma VLAN e serem direcionados a outras VLANs [BUG 99].

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 4: Os riscos que rondam as organizaes

76

77

Com isso, VLANs no podem ser consideradas como mecanismos de segurana,


mas apenas como uma segmentao de redes para otimizar o uso de broadcasts e
multicasts, alm de reduzir problemas com colises [BUG 99]. Em um modelo de
segurana baseado em camadas, com diferentes nveis de defesa, o uso de VLANs
recomendvel, porm a separao fsica das redes ainda a melhor opo.

4.5.6 Port scanning


Os port scanners so ferramentas utilizadas para a obteno de informaes
referentes aos servios que so acessveis e definidas por meio do mapeamento das
portas TCP e UDP. Com as informaes obtidas com o port scanning, evita-se o
desperdcio de esforo com ataques a servios inexistentes, de modo que o hacker
pode se concentrar em utilizar tcnicas que exploram servios especficos, que
podem ser de fato explorados.
O nmap um dos port scanners mais utilizados e pode ser empregado para realizar
a auditoria do firewall e do sistema de deteco de intruso (Intrusion Detection
System ou IDS), alm de ser capaz de determinar se o sistema tem falhas de
implementao na pilha TCP/IP, que podem ser exploradas em ataques do tipo DoS.
Alm de mapear as portas abertas dos sistemas, ele pode identificar, pelo mtodo de
stack fingerprinting, que discutido em [FYO 98], o sistema operacional utilizado
pelo alvo. Existem tambm opes para informar sobre o nmero de seqncia dos
pacotes TCP, o usurio que est executando cada servio relativo a uma determinada
porta, o nome DNS e se o endereo pode tornar-se vtima do Smurf (Seo 4.6.4).
Algumas caractersticas que tornam o nmap muito poderoso so o scanning
paralelo, a deteco do estado de hosts pelos pings paralelos, o decoy scanning, a
deteco de filtragem de portas, o scanning de RPC (no portmapper), o scanning
pelo uso de fragmentao de pacotes e a flexibilidade na especificao de portas e
alvos. Alm disso, o nmap informa o estado de cada porta identificada como aberta
(aceita conexes), filtrada (existe um firewall que impede que o nmap determine se
a porta est aberta ou no) ou no filtrada. Alguns dos mtodos de scanning utilizados pelo nmap so [FYO 97][FYO 99]:
* TCP connect(): a forma mais bsica de scanning TCP. A system call connect()
utilizada para abrir uma conexo nas portas do alvo. Como pode ser visto na
Figura 4.4, se a porta estiver aberta, a system call funcionar com sucesso.
Caso contrrio, a porta no est aberta, e o servio no existe no sistema.
Uma vantagem desse mtodo que no necessrio nenhum privilgio especial para sua utilizao. Em contrapartida, ele facilmente detectado, pois
basta verificar as conexes em cada porta:

Figura 4.4 O funcionamento do TCP connect ( ) port scanning.

* TCP SYN (half open): esse mtodo no abre uma conexo TCP completa. Um
pacote SYN enviado, como se ele fosse abrir uma conexo real. Caso um
pacote SYN-ACK seja recebido, a porta est aberta, enquanto um RST como
resposta indica que a porta est fechada, como pode ser visto na Figura 4.5.
Caso o SYN-ACK seja recebido, o nmap envia o RST para fechar o pedido de
conexo, antes que ela seja efetivada. A vantagem dessa abordagem que
poucos iro detectar esse scanning de portas. necessrio ter privilgio de
superusurio no sistema para utilizar esse mtodo:

Figura 4.5

O funcionamento do TCP SYN port scanning.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 4: Os riscos que rondam as organizaes

78

79

* UDP: esse mtodo envia um pacote UDP, de 0 byte, para cada porta do alvo.
Caso ele receba como resposta uma mensagem ICMP port unreachable, ento a
porta est fechada. Caso contrrio, o nmap assume a porta como estando
aberta, como pode ser visto na Figura 4.6:

Figura 4.7
Figura 4.6

O funcionamento do ICMP port scanning.

O funcionamento do UDP port scanning.

* ICMP (ping sweep): esse mtodo envia pacotes ICMP echo request para os
hosts. Porm, como alguns sites bloqueiam esses pacotes, tal mtodo muito
limitado. O nmap envia tambm um pacote TCP ACK para a porta 80. Se ele
obtiver um pacote RST de volta, o alvo est funcionando, como pode ser visto
na Figura 4.7.

* FIN: modo stealth. Alguns firewalls so capazes de registrar a chegada de


pacotes SYN em determinadas portas, detectando, assim, o mtodo TCP SYN. O
modo stealth elimina essa possibilidade de deteco. Portas fechadas enviam
um pacote RST como resposta a pacotes FIN, enquanto portas abertas ignoram
esses pacotes, como pode ser visto na Figura 4.8. Esse mtodo no funciona
com a plataforma Windows, pois a Microsoft no seguiu o Request For Comments
(RFC) 973:

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 4: Os riscos que rondam as organizaes

80

81
* Null scan: modo stealth. Portas fechadas enviam um pacote RST como resposta a pacotes FIN, enquanto portas abertas ignoram esses pacotes, como pode
ser visto na Figura 4.10. Nenhum flag ligado no pacote FIN que enviado ao
alvo. Esse mtodo no funciona com a plataforma Windows, pois a Microsoft
no seguiu o RFC 973:

Figura 4.8 O funcionamento do FIN com port scanning.

* Xmas Tree: modo stealth. Portas fechadas enviam um pacote RST como resposta a pacotes FIN, enquanto portas abertas ignoram esses pacotes. Os flags
FIN, URG e PUSH so utilizados no pacote FIN que enviado ao alvo, como
pode ser visto na Figura 4.9. Esse mtodo no funciona com a plataforma
Windows, pois a Microsoft no seguiu o RFC 973:
Figura 4.10

Figura 4.9

O funcionamento do Xmas Tree port scanning.

O funcionamento do Null Scan.

* RPC scan: combina vrios mtodos de port scanning. Ele considera todas as
portas TCP e UDP abertas encontradas e envia comandos NULL SunRPC, na
tentativa de que eles sejam portas RPC. como se o comando rpcinfo p
estivesse sendo utilizado, mesmo se um firewall estiver sendo utilizado ou se
estiver protegido pelo TCP wrapper. O modo decoy no vai funcionar nesse
mtodo de scanning.
* FTP proxy (bounce attack): o protocolo FTP permite que um servidor seja
utilizado como um proxy entre o cliente e qualquer outro endereo, ou seja, o
servidor pode ser utilizado como ponto de acesso a outros tipos de conexes.
Com isso, caso ele seja utilizado como referncia de ataque, o hacker pode
mascarar sua origem, pois, para a vtima, o ataque se origina do servidor FTP. O
ataque FTP bounce utilizado geralmente para enviar e-mails e mensagens,
driblar firewalls ou congestionar servidores com arquivos inteis ou software
pirata. O nmap utiliza essa caracterstica para realizar o scanning TCP a partir
desse servidor FTP. Caso o servidor FTP tenha permisso de leitura e escrita,
possvel, at mesmo, enviar dados para as portas abertas encontradas pelo nmap.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 4: Os riscos que rondam as organizaes

82
* Reverse-ident: se o host estiver utilizando o ident, possvel identificar o
dono dos servios que esto sendo executados no servidor. Detectar a verso
do sistema operacional tambm importante para que a abrangncia do ataque seja limitada utilizao de tcnicas especficas. Os mtodos empregados
pelo nmap para a deteco do sistema operacional [FYO 99] so relacionados a
seguir, e podem ser vistos com detalhes em [FYO 98]:
* TCP/IP fingerprinting.
* Stealth scanning.
* Dynamic delay.
* Retransmission calculations.
Para que as organizaes detectem a ao desses scanners, os sistemas de deteco
de intruso (Intrusion Detection Systems IDS), discutidos no Captulo 8, podem
ser utilizados. Esse tipo de sistema faz o reconhecimento de padres de scanning,
de forma a alertar o administrador de segurana contra tentativas de mapeamento
da rede da organizao. Porm, diversas tcnicas de scanning podem ser utilizadas
para driblar alguns IDS [ARK 99]:
* Random Port Scan: dificulta o IDS no reconhecimento do scanning, por no
realizar a varredura dos servios seqencialmente, e sim, aleatoriamente.
* Slow scan: dificulta a deteco ao utilizar um detection threshold, que o
nmero menor de pacotes que podem ser identificados por um IDS. Assim, o
atacante pode, por exemplo, enviar apenas dois pacotes por dia para seu alvo,
a fim de que o scanning seja realizado, sem detectar o ataque.
* Fragmentation scanning: a fragmentao de pacotes pode dificultar a deteco
de uma varredura, porm a maioria dos IDS j solucionou esse problema.
* Decoy: utiliza uma srie de endereos falsificados, de modo que, para o IDS, o
scanning se origina desses vrios hosts, sendo praticamente impossvel identificar a verdadeira origem da varredura. Um mtodo comumente utilizado para
a identificao de um endereo decoy era verificar o campo Time to Live (TTL)
dos pacotes. Se eles seguissem um padro j determinado, ento, esse endereo poderia ser considerado decoy. O nmap utiliza um valor de TTL aleatrio,
entre 51 e 65, dificultando, assim, sua deteco.
* Coordinated scans: dificulta a deteco, ao utilizar diversas origens de varreduras, cada uma em determinadas portas. geralmente utilizada por um grupo de atacantes.
Alm de cumprir com o papel a que se destina, um port scanning pode trazer
uma srie de conseqncias para seus alvos, sendo a maioria deles relacionada com

83
a implementao incorreta da pilha TCP/IP [SEC 98-3]. Nesses casos, o simples
scanning pode representar um ataque, como pode ser visto nos seguintes exemplos:
* O IOS, da Cisco, trava quando o UDP Scanning utilizado, quando a porta de
syslog do roteador (UDP 514) testada.
* O Check Point Firewall-1 incapaz de registrar o FIN Scan.
* O inetd desabilitado em alguns sistemas operacionais, entre eles, o Solaris
2.6, Linux, HP-UX, AIX, SCO e FreeBSD, quando o mtodo de scanning TCP SYN
utilizado.
* O TCP SYN scanning faz com que a blue screen of death, que um tipo de
negao de servio, seja mostrada no Windows 98.
* Afeta o RPC portmapper, em alguns sistemas.
Muitas dessas vulnerabilidades, no entanto, j foram corrigidas com o uso de
patches de atualizao.

4.5.7 Scanning de vulnerabilidades


Aps o mapeamento dos sistemas que podem ser atacados e dos servios que so
executados, as vulnerabilidades especficas para cada servio do sistema sero procuradas por meio do scanning de vulnerabilidades. Os scanners de vulnerabilidades
realizam diversos tipos de testes na rede, procura de falhas de segurana, seja em
protocolos, servios, aplicativos ou sistemas operacionais.
O mapeamento pelo port scanning, visto na seo anterior, importante porque,
identificando os alvos e os tipos de sistemas e servios que neles so executados, o
scanning pode ser realizado especificamente para o que foi mapeado. Isso pode
evitar, por exemplo, que vulnerabilidades especficas do Windows sejam testadas
em um UNIX, o que representa um grande desperdcio de trabalho. Alguns riscos
existentes que esses scanners podem analisar, pela checagem de roteadores, servidores, firewalls, sistemas operacionais e outras entidades IP, so:
*
*
*
*
*
*
*
*

Compartilhamento de arquivos que no so protegidos por senhas.


Configurao incorreta.
Software desatualizado.
Pacotes TCP que podem ter seus nmeros de seqncia adivinhados.
Buffer overflows em servios, aplicativos e no sistema operacional.
Falhas no nvel de rede do protocolo.
Configuraes de roteadores potencialmente perigosas.
Evidncias de falta de higiene em servidores Web.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS


84
*
*
*
*
*
*

Captulo 4: Os riscos que rondam as organizaes


85

Checagem de cavalos de Tria, como Back Orifice ou Netbus.


Checagem de senhas fceis de serem adivinhadas (password guessing).
Configuraes de servios.
SNMP.
Possibilidade de negao de servio (DoS).
Configurao da poltica dos navegadores.

Esses riscos sero discutidos nas prximas sees e demonstram que os scanners
de vulnerabilidades so uma ferramenta importante para as anlises de riscos e de
segurana, e tambm para a auditoria da poltica de segurana das organizaes.
Essa importncia pode ser enfatizada principalmente porque a tcnica de scanning
pode ser utilizada para demonstrar os problemas de segurana que existem nas
organizaes, de forma a alertar os executivos para a necessidade de um melhor
planejamento com relao proteo dos valores da organizao. As consultorias de
segurana utilizam constantemente essa ferramenta para justificar a necessidade
de uma melhor proteo e, assim, vender seus servios, aproveitando-se de uma
importante funcionalidade dos scanners, que a sua capacidade de emitir relatrios
gerais e especficos, sendo capazes de realizar a avaliao tcnica dos riscos encontrados pelo scanning.
Um importante ponto a ser considerado, no entanto, que o contedo reportado pelo scanner deve ser conferido individualmente, porque podem ocorrer casos de
falsos positivos e falsos negativos. Uma vulnerabilidade reportada pode no
corresponder situao real do sistema, ou uma vulnerabilidade importante pode
deixar de ser reportada, pois a ferramenta funciona por meio de uma base de dados
de ataques conhecidos, e ela deve estar sempre atualizada com as assinaturas de
novos ataques.
Assim, o trabalho de anlise e consolidao dos dados, realizado pelo profissional de segurana, fundamental para que seja refletido o cenrio mais prximo do
real. De fato, um alarde maior que o necessrio ou uma falsa sensao de segurana,
reflete negativamente na produtividade da organizao. O trabalho de anlise ganha uma importncia ainda maior quando o nmero de novas vulnerabilidades aumenta em grande velocidade. De acordo com o CERT Coordination Center, o nmero
de vulnerabilidades reportadas em 2002 foi de 4.129, um nmero quase 70% maior
do que em 2001, e cerca de 380% maior do que em 2000, quando foram reportadas
1.090 novas vulnerabilidades. Em 1995, haviam sido reportadas 171 vulnerabilidades,
como pode ser visto na Figura 4.11 [CER 03].

Figura 4.11 Crescimento das vulnerabilidades reportadas pelo CERT/CC, de 1995 a 2002.

Uma pesquisa do SANS Institute e do FBI mostra as 20 maiores vulnerabilidades


encontradas em uma anlise de segurana, que inclui tambm o uso do scanner de
vulnerabilidades. A lista dividida em duas partes: Windows (de 1 a 10) e UNIX (de
11 a 20) [SAN 01]:
1. No Windows, vulnerabilidades no servidor Web Internet Information Services
(IIS).
2. No Windows, vulnerabilidades no Microsoft Data Access Components (MDAC),
que oferece servio de dados remoto.
3. No Windows, vulnerabilidades no Microsoft SQL Server.
4. No Windows, configuraes do NETBIOS, usado para compartilhamento de recursos.
5. No Windows, problemas envolvendo o logon annimo, relacionado ao null
sessions.
6. No Windows, fraqueza do mtodo de autenticao LAN Manager (LM) Hashing.
7. No Windows, fraqueza em senhas, usadas em branco ou fceis de serem adivinhadas.
8. No Windows, vulnerabilidade envolvendo o browser Internet Explorer.
9. No Windows, explorao do acesso remoto ao registro do sistema (registry).
10. No Windows, explorao do Windows Scripting Host, que permite a execuo
de cdigos no Internet Explorer e pode ser explorado por vrus e worms.
11. No UNIX, explorao do Remote Procedure Calls (RPC).
12. No UNIX, vulnerabilidades do servidor Web Apache.
13. No UNIX, vulnerabilidades do Secure Shell (SSH).
14. No UNIX, vazamento de informaes por meio do Simple Network Management
Protocol (SNMP).
15. No UNIX, vulnerabilidades no File Transfer Protocol (FTP).
16. No UNIX, explorao de relaes de confiana via uso de comandos remotos
como rcp, rlogin, rsh.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 4: Os riscos que rondam as organizaes

86
17. No UNIX, vulnerabilidades no servidor remoto de impresso Line Printer Daemon
(LPD).
18. No UNIX, vulnerabilidades no servidor remoto de impresso LPD.
19. No UNIX, vulnerabilidades no servidor de e-mail Sendmail.
20. No UNIX, fraqueza em senhas, usadas em branco ou fceis de serem adivinhadas.
Um ponto importante a ser considerado que, assim como os scanners auxiliam
os administradores de segurana na proteo das redes, indicando as vulnerabilidades
a serem corrigidas, eles podem tambm ser utilizados pelos hackers para que as
falhas de segurana sejam detectadas e exploradas. Uma medida preventiva que
pode ser adotada a utilizao de sistemas de deteco de intruso (Intrusion
Detection Systems, IDS), que realizam o reconhecimento de padres de scanning e
alertam o administrador de segurana quanto ao fato. O IDS ser discutido no Captulo 8.

4.5.8 Firewalking
O firewalking uma tcnica implementada em uma ferramenta similar ao
traceroute e pode ser utilizada para a obteno de informaes sobre uma rede
remota protegida por um firewall. Essa tcnica permite que pacotes passem por
portas em um gateway, alm de determinar se um pacote com vrias informaes de
controle pode passar pelo gateway. Pode-se ainda mapear roteadores encontrados
antes do firewall. Isso possvel devido possibilidade de modificar o campo Time
To Live (TTL) do pacote e as portas utilizadas, que permitem que as portas abertas
pelo firewall sejam utilizadas para o mapeamento da rede.
interessante notar que, com algumas opes do prprio traceroute, possvel
obter essas informaes. Por exemplo, se um firewall permite somente o trfego de
pacotes ICMP (o traceroute utiliza o UDP, normalmente), basta utilizar a opo I
para que as informaes passem pelo firewall. O traceroute permite tambm que o
trace seja realizado por meio de uma porta especfica, o que pode ser utilizado em
redes em que o firewall permite somente o trfego de pacotes DNS, por exemplo
[GOL 98].
Com isso, possvel obter informaes sobre as regras de filtragem dos firewalls
e tambm criar um mapa da topologia da rede. Uma medida de proteo contra o
firewalking a proibio de trfego de pacotes ICMP (os usurios da rede tambm
passam a no poder utilizar servios de ICMP, impedindo, assim, o diagnstico de
problemas da rede), a utilizao de servidores proxy ou a utilizao do Network
Address Translation (NAT) [GOL 98].

87

4.5.9 IP spoofing
O IP spoofing uma tcnica na qual o endereo real do atacante mascarado, de
forma a evitar que ele seja encontrado. Essa tcnica muito utilizada em tentativas
de acesso a sistemas nos quais a autenticao tem como base endereos IP, como a
utilizada nas relaes de confiana em uma rede interna.
Essa tcnica tambm muito utilizada em ataques do tipo DoS, nos quais pacotes de resposta no so necessrios. O IP spoofing no permite que as respostas
sejam obtidas, pois esses pacotes so direcionados para o endereo de IP forjado, e
no para o endereo real do atacante. Para que um ataque tenha sua origem mascarada e os pacotes de resposta possam ser obtidos pelo atacante, ser necessrio
aplicar outras tcnicas em conjunto, como ataques de DoS ao endereo IP da vtima
forjada e tambm mudanas nas rotas dos pacotes.
Uma organizao pode proteger sua rede contra o IP spoofing de endereos IP da
rede interna por meio da aplicao de filtros, de acordo com as interfaces de rede.
Por exemplo, se a rede da organizao tem endereos do tipo 100.200.200.0, ento,
o firewall deve bloquear tentativas de conexo originadas externamente, onde a
origem tem endereos da rede do tipo 100.200.200.0.

4.6 ATAQUES DE NEGAO DE SERVIOS


Os ataques de negao de servios (Denial-of-Service Attack DoS) fazem com
que recursos sejam explorados de maneira agressiva, de modo que usurios legtimos ficam impossibilitados de utiliz-los. Uma tcnica tpica o SYN flooding (Seo 4.6.2), que causa o overflow da pilha de memria por meio do envio de um
grande nmero de pedidos de conexo, que no podem ser totalmente completados
e manipulados. Outra tcnica o envio de pacotes especficos que causam a interrupo do servio, que pode ser exemplificada pelo Smurf (Seo 4.6.4). As prximas sees mostram como o DoS pode ser explorado pelos atacantes. Os problemas
encontrados mais recentemente, que resultam em ataques de DoS, envolvem diversas implementaes do Lightweight Directory Access Protocol (LDAP) [CER 01-2] e os
ataques distribudos de DoS (DDoS), que combinam diversas vulnerabilidades em
diferentes tipos de sistemas, podem ser vistos na Seo 4.8.

4.6.1 Bugs em servios, aplicativos e sistemas


operacionais
Alguns dos maiores responsveis pelos ataques de negao de servios so os
prprios desenvolvedores de software. Diversas falhas na implementao e na con-

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 4: Os riscos que rondam as organizaes

88
cepo de servios, aplicativos, protocolos e sistemas operacionais abrem brechas
que podem ser exploradas em ataques contra a organizao. Alguns tipos de falhas
que oferecem condies de buffer overflow (Seo 4.9.1) podem ser utilizados para
que cdigos prejudiciais e arbitrrios sejam executados, o que pode resultar em
acesso no autorizado aos recursos.
Alguns bugs e condies que podem ser encontrados em softwares, ser explorados e tm como resultado a negao de servio ou mesmo o acesso no autorizado
ao sistema so:
* Buffer overflows, que so discutidas na Seo 4.9.1.
* Condies inesperadas: manipulao errada e incompleta de entradas por meio
de diferentes camadas de cdigos, um script Perl que recebe parmetros pela
Web e, se for explorado, pode fazer com que o sistema operacional execute
comandos especficos.
* Entradas no manipuladas: cdigo que no define o que fazer com entradas
invlidas e estranhas.
* Format string attack: tipo de ataque a uma aplicao, em que a semntica dos
dados explorada, fazendo com que certas seqncias de caracteres nos dados
fornecidos sejam processadas de forma a realizar aes no previstas ou permitidas, no mbito do processo do servidor.
* Race conditions: quando mais de um processo tenta acessar os mesmos dados
ao mesmo tempo, podendo causar, assim, confuses e inconsistncias das
informaes.
Um exemplo de bug pode ser visto na descoberta de uma falha conceitual no
UNIX, tornando-o vulnervel [BAR 99]. Essa falha, que atinge todos os tipos de
sistemas UNIX, at mesmo o Linux, com exceo do BSD, ocorre quando diversas
conexes so feitas, porm sem pedidos de requisio. Assim, os diversos servios
(daemons) no podem responder s conexes e a tabela de processos do sistema,
que pode trabalhar com um nmero entre 600 e 1.500 processos simultneos, fica
cheia e causa a parada do servidor.
Um outro exemplo de bug pode ser visto no ataque que explora a cache do
mapeamento dos objetos utilizados nas Dynamic Link Libraries (DLLs) em sistemas
Windows NT [L0P 99]. Esses objetos da cache localizam-se no espao interno de
nomes do sistema e so criados com permisses para que o grupo Everyone possa
control-los totalmente; com isso, possvel substituir esses objetos. Quando um
processo criado, e a DLL est na cache, ela simplesmente mapeada no espao do
processo, em vez de ser carregada. Assim, possvel que um usurio com privilgios
limitados substitua esse objeto da cache e ela seja utilizada por um processo com

89
privilgios de nvel mais alto, que executam o cdigo contido nesse DLL de Tria.
Os passos e os reparos para se evitar essa vulnerabilidade so descritos no artigo
[L0P 99].
O bug envolvendo o Unicode, que discutido com mais detalhes no Captulo 8,
um dos que foram utilizados em larga escala na Internet, at mesmo em worms
como o Nimda (Seo 4.9.4). O perigo das vulnerabilidades-padro dos sistemas
operacionais tambm deve ser considerado, como as que podem ser encontradas no
Solaris (fingerd permite bouncing das consultas), no Windows NT (sistema de hashing
das senhas extremamente ineficiente) e no IRIX (riscos de segurana em abundncia, por meio das configuraes iniciais, como a existncia de contas de usurios
padro) [FIST 99].

4.6.2 SYN Flooding


Esse ataque explora o mecanismo de estabelecimento de conexes TCP, baseado
em handshake em trs vias (three-way handshake). A caracterstica dos ataques de
SYN flooding (Figura 4.12) que um grande nmero de requisies de conexo
(pacotes SYN) enviado, de tal maneira que o servidor no capaz de responder a
todas elas. A pilha de memria sofre um overflow e as requisies de conexes de
usurios legtimos so, ento, desprezadas. Essa tcnica foi utilizada em diversos
ataques e pode ser vista no exemplo da Seo 4.7.

Figura 4.12

Handshake em trs vias do TCP e SYN flooding.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS


90
Os ataques de SYN flooding podem ser evitados, comparando-se as taxas de requisies de novas conexes e o nmero de conexes em aberto. Com isso, mensagens de alerta e aes pr-configuradas podem ser utilizadas quando a taxa chega a
um padro determinado. Um outro modo de evitar o ataque pelo monitoramento
dos nmeros de seqncias dos pacotes que so enviados na rede, que devem estar
dentro de uma faixa esperada, caso eles sejam originrios de um atacante especfico
[CIS 98-2].
Outros mtodos que podem ser utilizados contra os ataques de SYN flooding so:
em conexes de baixa velocidade (at 128 Kbps), utiliza-se um time-out e uma taxa
mxima de conexes semi-abertas. Os pacotes so descartados de acordo com esses
valores determinados; em conexes de maior velocidade, a melhor soluo desabilitar
ou bloquear temporariamente todos os pacotes SYN enviados ao host atacado, aps
uma determinada taxa de conexo. Isso mantm o restante do sistema em funcionamento, ao mesmo tempo em que desabilita novas conexes ao host que est
sendo atacado [CIS 98-2].
Outras solues contra o SYN flooding podem ser adotadas, tais como o aumento
do tamanho da fila de pedidos de conexo, que, na realidade, no elimina o problema, e tambm a diminuio do time-out do three-way handshake, que tambm no
elimina, porm minimiza o problema [CIS 96].

4.6.3 Fragmentao de pacotes de IP


A fragmentao de pacotes est relacionada Maximum Transfer Unit (MTU),
que especifica a quantidade mxima de dados que podem passar em um pacote por
um meio fsico da rede. Por exemplo, a rede Ethernet limita a transferncia a 1 500
octetos de dados, enquanto o FDDI permite 4.470 octetos de dados por pacote. Com
isso, caso um pacote partindo de uma rede FDDI (com 4.470 octetos) passe por uma
rede Ethernet (com 1 500 octetos), ele dividido em quatro fragmentos com 1.500
octetos cada um, que podem ser enviados pela rede Ethernet.
Em um ambiente como a Internet, no qual existe uma grande variedade fsica de
redes, definir uma MTU pequena resulta em ineficincia, pois esses pacotes podem
passar por uma rede que capaz de transferir pacotes maiores. Enquanto isso, definir
uma MTU grande, maior do que a da rede com MTU mnima, tem como resultado a
fragmentao desse pacote, uma vez que seus dados no cabem nos pacotes que
trafegam por essa rede com MTU mnima. Os fragmentos resultantes trafegam pela
rede e, quando chegam ao seu destino final, so reagrupados, com base em off-sets,
reconstituindo, assim, o pacote original. Todo esse processo de fragmentao e
reagrupamento (desfragmentao) feito de modo automtico e transparente para o
usurio, de acordo com a definio do protocolo IP.

Captulo 4: Os riscos que rondam as organizaes


91
O fato de o reagrupamento ocorrer somente no destino final implica em uma
srie de desvantagens, como a ineficincia, pois algumas redes fsicas podem ter
uma MTU maior do que os pacotes fragmentados, passando a transmitir pacotes
menores que o possvel. Outra desvantagem a perda de pacotes, pois, se um fragmento for perdido, todo o pacote tambm ser perdido [COM 95]. Uma desvantagem
ainda maior a possibilidade de tirar proveito dessa caracterstica para a realizao
de ataques.
A possibilidade de ataques por meio da fragmentao de pacotes de IP ocorre
devido ao modo como a fragmentao e o reagrupamento so implementados. Tipicamente, os sistemas no tentam processar o pacote at que todos os fragmentos
sejam recebidos e reagrupados. Isso cria a possibilidade de ocorrer um overflow na
pilha TCP quando h o reagrupamento de pacotes maiores que o permitido. O resultado disso so problemas como o travamento do sistema, caracterizando ataques do
tipo Denial-of-Service. Essa caracterstica foi explorada inicialmente, no fim de 1996
pelo Ping oDeath. Por meio do envio de pacotes ICMP Echo Request, o ping, com
tamanho de 65535 bytes, que maior do que o normal, diversos sistemas travavam
devido sobrecarga do buffer da pilha TCP/IP, pois no era possvel reagrupar um
pacote to grande [KEN 97]. A nica soluo para o Ping oDeath a instalao de
patches, que impedem que o kernel tenha problemas com overflows no momento do
reagrupamento dos fragmentos de IP. O ping foi, inicialmente, empregado devido
sua facilidade de utilizao, porm outros pacotes IP grandes, sejam eles TCP
(Teardrop) ou UDP, podem causar esse tipo de problema. Atualmente, os sistemas j
corrigiram esse problema por meio de atualizaes e instalaes de patches.
A caracterstica de o reagrupamento ser possvel somente no host de destino, de
acordo com a especificao do protocolo IP, faz com que o firewall ou o roteador no
realize a desfragmentao, o que pode causar problemas peculiares. Um atacante
pode, por exemplo, criar um pacote como o primeiro fragmento e especificar uma
porta que permitida pelo firewall, como a porta 80. Dessa maneira, o firewall
permite a passagem desse pacote e dos fragmentos seguintes para o host a ser
atacado. Um desses pacotes subseqentes pode ter o valor de off-set capaz de
sobrescrever a parte inicial do pacote IP que especifica a porta TCP. O atacante,
assim, modifica a porta de IP inicial de 80 para 23, por exemplo, para conseguir
acesso Telnet ao host a ser atacado [COH 99]. Problemas relacionados a sistemas de
deteco de intruso (Intrusion Detection System IDS) tambm so discutidos no
Captulo 8.
Assim, os ataques baseados na fragmentao de pacotes IP no podem ser evitados por meio de filtros de pacotes. Os hosts que utilizam NAT esttico tambm esto
vulnerveis a esses ataques, alm dos hosts que utilizam NAT dinmico e que tm
uma comunicao ativa com a Internet [CIS 98].

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 4: Os riscos que rondam as organizaes

92

93

A fragmentao tambm utilizada como um mtodo de scanning, como o usado pelo nmap, que envia pacotes de scanning fragmentados, de modo que sua deteco
pelo firewall ou pelo IDS torna-se mais difcil.

4.6.4 Smurf e fraggle


O Smurf um ataque no nvel de rede, pelo qual um grande trfego de pacotes
ping (ICMP echo) enviado para o endereo IP de broadcast da rede, tendo como
origem o endereo de IP da vtima (IP spoofing). Assim, com o broadcast, cada host
da rede recebe a requisio de ICMP echo, passando todos eles a responderem para o
endereo de origem, que falsificado. A rede afetada, pois todos os seus hosts
respondem requisio ICMP, passando a atuar como um amplificador. E a vtima,
que teve o seu endereo IP falsificado, recebe os pacotes de todos esses hosts,
ficando desabilitada para executar suas funes normais, sofrendo assim uma negao de servio. O Fraggle primo do Smurf, que utiliza pacotes UDP echo, em vez
de pacotes ICMP echo [HUE 98]. O ataque pode ser visto na Figura 4.13.

a possibilidade de utilizar o ICMP echo para o endereo de broadcast da rede, que


uma ferramenta til para o diagnstico da rede.
Os hosts tambm podem ser configurados de modo a no responderem a pacotes
ICMP echo para o endereo de broadcast. No caso do ataque Fraggle, os pacotes UDP
echo e chargen devem ser descartados. Essas medidas tambm acabam impedindo o
diagnstico da rede, como o que ocorre com a medida anterior.
Alguns equipamentos, como os roteadores da Cisco, possuem mecanismos como
o Committed Access Rate (CAR), que pode limitar o trfego de determinados pacotes
a uma determinada banda. Sua utilizao para limitar o nmero de pacotes ICMP
echo e echo-replay so, assim, interessantes para no comprometer completamente
a rede. O CAR tambm pode impedir o ataque de TCP SYN Flooding [HUE 98].
O egress filtering um mtodo que deve ser utilizado para impedir ataques de
DoS, os quais utilizam endereos IP falsos. O objetivo impedir que provedores de
acesso ou organizaes sejam utilizados como pontes de ataque e tambm que seus
usurios realizem ataques externos. Esse mtodo evita ataques de IP spoofing a
partir de sua origem e, realmente, uma medida importante, pois de responsabilidade do administrador de redes impedir que sua rede seja envolvida em um ataque. O mtodo permite que somente pacotes com endereo de origem da rede interna sejam enviados para a rede externa, impedindo que pacotes com endereos falsos
passem pela rede. A importncia dessa filtragem cada vez maior quando se pode
ver o avano dos ataques coordenados (Seo 4.8), que visam causar grandes transtornos aos envolvidos.

4.6.5 Teardrop e land


O Teardrop uma ferramenta utilizada para explorar os problemas de fragmentao IP nas implementaes do TCP/IP, como foi visto na Seo 4.6.3. O Land uma
ferramenta empregada para explorar vulnerabilidades de TCP/IP, na qual um pacote
construdo de modo que o pacote SYN tenha o endereo de origem e a porta iguais
aos do destino, ou seja, utilizado o IP spoofing. A soluo criar regras de filtragem
para evitar o IP spoofing de endereos internos da rede, como foi visto na seo
anterior.

Figura 4.13

Ataque Smurf e Fraggle.

Para evitar ser o intermedirio do ataque ou seu amplificador, o roteador deve


ser configurado de modo a no receber ou deixar passar pacotes para endereos de
broadcast por meio de suas interfaces de rede. Essa medida, porm, elimina tambm

4.7 ATAQUE ATIVO CONTRA O TCP


Um dos grandes problemas existentes na sute de protocolos TCP/IP quanto
autenticao entre os hosts, que so baseados em endereos IP. Outros problemas
esto relacionados ao mecanismo de controle da rede e protocolos de roteamento
[BEL 89].

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 4: Os riscos que rondam as organizaes

94
Alm dos ataques de negao de servios, ataques mais sofisticados, que permitem o seqestro da conexo ou a injeo de trfego, tambm podem ser utilizados.
No ataque conhecido como man-in-the-middle, o hacker explora os mecanismos de
handshake em trs vias do TCP e tambm o prognstico de nmero de seqncia do
TCP para se infiltrar na conexo, podendo, assim, participar ativamente da conexo entre outros dois sistemas.

4.7.1 Seqestro de conexes


Joncheray mostra, em [JON 95], um ataque ativo que explora o redirecionamento
de conexes de TCP para uma determinada mquina, caracterizando um ataque
man-in-the-middle, conhecido tambm como session hijacking ou seqestro de conexes. Esse tipo de ataque, alm de permitir a injeo de trfego, permite tambm
driblar protees geradas por protocolos de autenticao, como o S/KEY (one-time
password) ou o Kerberos (identificao por tickets). Um ataque ativo pode comprometer a segurana desses protocolos, pois os dados no trafegam de modo cifrado
nem so assinados digitalmente. Ataques ativos so considerados difceis de ser
realizados, porm Joncheray mostra que, com os mesmos recursos de um ataque
passivo (sniffers), possvel realizar um ataque dessa natureza.
Uma conexo de TCP entre dois pontos realizada de modo full duplex, sendo
definida por quatro informaes: endereo IP do cliente, porta de TCP do cliente,
endereo IP do servidor e porta de TCP do servidor. Todo byte enviado por um host
identificado com um nmero de seqncia de 32 bits, que reconhecido
(acknowledgment) pelo receptor utilizando esse nmero de seqncia. O nmero de
seqncia do primeiro byte computado durante a abertura da conexo e diferente para cada uma delas, de acordo com regras designadas para evitar sua reutilizao
em vrias conexes.
O ataque tem como base a explorao do estado de dessincronizao nos dois
lados da conexo de TCP, que assim no podem trocar dados entre si, pois, embora
ambos os hosts mantenham uma conexo estabelecida, os pacotes no so aceitos
devido a nmeros de seqncia invlidos. Desse modo, um terceiro host, do atacante, cria os pacotes com nmeros de seqncia vlidos, colocando-se entre os dois
hosts e enviando os pacotes vlidos para ambos, caracterizando assim um ataque do
tipo man-in-the-middle. O prognstico de nmero de seqncia (sequence number
prediction), discutido a seguir, tambm utilizado no ataque, para que o atacante
estabelea a conexo com as vtimas.
O problema desse ataque a grande quantidade de pacotes de TCP ACK (ACK
Storm) gerados, pois, quando o host recebe um pacote invlido, o nmero de seqncia esperado enviado para o outro host. Para ele, por sua vez, o nmero de

95
seqncia tambm invlido, de modo que ele envia um novo pacote com o nmero
de seqncia esperado, que ser invlido para o host anterior. Isso cria uma espcie
de loop infinito de pacotes ACK, o chamado ACK Storm. Porm, os pacotes que no
carregam dados no so retransmitidos, se o pacote for perdido. Isso significa que,
se um dos pacotes no loop for negado, o loop terminar. A negao de um pacote
feita pelo IP, que tem uma taxa aceitvel de pacotes no-nulos, fazendo com que os
loops sempre terminem. Alm disso, quanto mais congestionada for a rede, maior
ser o nmero de loops encerrados.
Dois mtodos de dessincronizao de conexes TCP so apresentados por
Joncheray: o early desynchronization (interrupo da conexo em um estgio inicial no lado servidor e criao de uma nova conexo, com nmero de seqncia
diferente) e o null data desynchronization (envio de uma grande quantidade de
dados para o servidor e para o cliente, que no devem afetar nem ser visveis pelo
cliente e pelo servidor).

4.7.2 Prognstico de nmero de seqncia do TCP


O prognstico de nmero de seqncia do TCP possibilita a construo de pacotes TCP de uma conexo, de modo a injetar trfego, passando-se por um outro
equipamento [BEL 89]. O ataque foi descrito por Morris [MOR 85] e utilizado por
Kevin Mitnick no ataque no qual ele foi pego por Shimomura [TAK 95]. O problema
est na facilidade em se descobrir o comportamento dos nmeros de seqncia dos
pacotes TCP, que em alguns sistemas possuem comportamento-padro, como o incremento de 128 ou 125 mil a cada segundo em cada pacote. Isso possibilita que o
hacker utilize essa informao para se inserir em uma conexo (man-in-the-middle),
pois o handshake da conexo em trs vias (3-way handshake) do TCP estabelecido
com o equipamento do hacker, e no o original. Atualmente, alguns sistemas
implementam padres de incremento do nmero de seqncia mais eficiente, que
dificulta seu prognstico e, conseqentemente, os ataques.

4.7.3 Ataque de Mitnick


O ataque realizado por Mitnick contra Shimomura pode ser usado como um
exemplo clssico de ataque ativo, alm de envolver o uso de diferentes tcnicas,
como o IP Spoofing, a negao de servio e o prognstico de nmero de seqncia.
Mitnick estava sendo procurado por diversos crimes e foi condenado a 46 meses de
priso em 9 de agosto de 1999. Porm, ele permaneceu preso por cinco anos, sendo
libertado em 21 de janeiro de 2000. Mitnick foi pego em 1995, sob acusao de
fraude eletrnica, fraude de computadores e interceptao ilegal de comunicao

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 4: Os riscos que rondam as organizaes

96

97

eletrnica. A Sun Microsystem, por exemplo, estava processando-o pelo roubo do


cdigo-fonte do sistema operacional Solaris, alegando que os prejuzos foram de 80
milhes de dlares. Alm da Sun, Mitnick invadiu sistemas de empresas como Nokia,
Motorola e NEC, causando prejuzos estimados em 300 milhes de dlares [WIR 99].
O ataque realizado por Mitnick contra Shimomura na noite de natal de 1994
utilizou trs tcnicas diferentes: IP Spoofing, seqestro de conexo TCP e negao
de servio. O ataque de IP Spoofing foi iniciado com a verificao de relaes de
confiana existentes entre os equipamentos da rede de Shimomura (Figura 4.14).

Figura 4.15

Ataque de SYN Flooding na porta 513 do servidor.

Como nesse ataque de negao de servio no foi necessrio obter respostas,


Mitnick usou tambm a tcnica de IP Spoofing, na qual o endereo de origem dos
pedidos de conexo no era de fato dele. Alguns pedidos de conexo realizados no
ataque podem ser vistos a seguir. No exemplo, o endereo forjado foi o 130.92.6.97
e o servidor atacado na porta 513 (login) foi o server [SHI 97]:
Figura 4.14 Verificao de relaes de confiana entre equipamentos.

O primeiro passo do ataque pode ser visto a seguir [SHI 97]:


#
#
#
#
#
#
#

finger -l @target
finger -l @server
finger -l root@server
finger -l @x-terminal
showmount -e x-terminal
rpcinfo -p x-terminal
finger -l root@x-terminal

Descoberta a relao de confiana entre o servidor e o x-terminal, o passo seguinte foi tentar deixar o servidor indisponvel, pois ele iria personific-lo. A tcnica usada por Mitnick foi o SYN Flooding, no qual ele enviou uma enxurrada de
pedidos de incio de conexo para a porta 513 do servidor, que estava rodando o
servio de login (Figura 4.15). Com muitos pedidos de conexo, o servidor atacado
foi capaz de enviar somente alguns pacotes SYN-ACK do handshake TCP (oito respostas no exemplo) e a fila de conexes ficou cheia, no podendo mais responder
nem receber novos pedidos de conexo [SHI 97].

130.92.6.97.600
130.92.6.97.601
130.92.6.97.602
130.92.6.97.603
130.92.6.97.604
130.92.6.97.605

>
>
>
>
>
>

server.login:
server.login:
server.login:
server.login:
server.login:
server.login:

S
S
S
S
S
S

1382726960:1382726960(0)
1382726961:1382726961(0)
1382726962:1382726962(0)
1382726963:1382726963(0)
1382726964:1382726964(0)
1382726965:1382726965(0)

win
win
win
win
win
win

4096
4096
4096
4096
4096
4096

...

O terceiro passo usado por Mitnick foi tentar descobrir o comportamento dos
nmeros de seqncia (prognstico de nmero de seqncia) do x-terminal, pois
ele iria abusar da relao de confiana entre ele e o servidor, que foi descoberta no
primeiro passo do ataque. Mitnick enviou 20 pedidos de conexo, estudou o comportamento dos nmeros de seqncia e terminava a conexo (enviando o pacote
RST) para que a fila de conexes do x-terminal no se tornasse cheia. Alguns desses
pacotes podem ser vistos a seguir, trs conexes diferentes partindo de
apollo.it.luc.edu para o x-terminal e os respectivos nmeros de seqncia gerados
pelo x-terminal [SHI 97]:
* apollo.it.luc.edu > x-terminal: S 1382726990
* x-terminal > apollo.it.luc.edu: S 2021824000 ack 1382726991

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 4: Os riscos que rondam as organizaes

98
*
*
*
*
*

99

apollo.it.luc.edu > x-terminal: R 1382726991


apollo.it.luc.edu > x-terminal: S 1382726991
x-terminal > apollo.it.luc.edu: S 2021952000 ack 1382726992
apollo.it.luc.edu > x-terminal: S 1382726992
x-terminal > apollo.it.luc.edu: S 2022080000 ack 1382726993

A anlise das respostas do x-terminal permite identificar o comportamento do


sistema, o qual incrementa seus nmeros de seqncia em 128000. No exemplo, a
primeira conexo gerou o nmero de seqncia 2021824000, a segunda gerou o
nmero 2021952000 e a terceira gerou o nmero 2022080000, ou seja, uma diferena de 128000 para cada conexo.
No quarto passo, ele usou as informaes adquiridas nos passos anteriores para,
simultaneamente, realizar o ataque. O objetivo foi personificar o servidor para abusar da relao de confiana existente entre ele e o x-terminal. Assim, fingindo ser o
servidor, uma conexo TCP com o x-terminal pode ter sucesso. Essa conexo TCP,
porm, depende do handshake em trs vias, que usa o nmero de seqncia, a qual
foi descoberta com o prognstico feito pelo passo anterior do ataque.
Dessa forma, Mitnick fingiu ser o servidor usando o IP Spoofing e enviou um
pedido de conexo ao x-terminal (pacote SYN). O x-terminal respondeu ao pedido
de conexo (pacote SYN-ACK) ao servidor, que estava sob ataque de SYN Flooding e
no pde responder ao pacote SYN-ACK. Normalmente, o servidor responderia com
o pacote RST, pois ele no reconheceria o pacote SYN-ACK recebido, porque ele no
tinha requisitado nenhuma conexo. Ao mesmo tempo, como Mitnick sabia o nmero de seqncia do pacote SYN-ACK do x-terminal, ele enviou o pacote ACK como
se fosse o servidor e estabeleceu a conexo TCP com o x-terminal, como pode ser
visto na Figura 4.16. Uma vez estabelecida a conexo, ele injetou trfego nela
enviando o comando echo + + >> /.rhosts para o x-terminal [SHI 97]. O ataque
completo pode ser visto na Figura 4.17.

Figura 4.16

Seqestro de conexo usando o prognstico de nmero de seqncia.

Figura 4.17 O ataque realizado por Mitnick.

Aps isso, ele enviou pacotes RST para o servidor, para que voltasse a ser operado normalmente. Uma vez com acesso ao x-terminal, ele pode completar o ataque,
compilando e instalando backdoors [SHI 97].

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 4: Os riscos que rondam as organizaes

100

101

4.7.4 Source routing


O source routing um mecanismo especificado para o IP, que pode ser explorado
definindo-se uma rota reversa para o trfego de resposta [BEL 89], em vez de utilizar algum protocolo de roteamento-padro. Esse mecanismo pode ser utilizado para
a criao de rotas nas quais o hacker pode obter respostas mesmo que o IP Spoofing
seja utilizado, por exemplo. Um outro uso do source routing mapear a topologia de
rede da organizao, estipulando os caminhos a partes especficas da rede a serem
posteriormente atacadas.
O ataque de prognstico do nmero de seqncia do TCP tambm fica facilitado
se o source routing utilizado em conjunto. Nesse caso, no necessrio prognosticar o nmero de seqncia, pois a resposta do servidor a ser atacado utiliza a rota
definida pelo source routing e o nmero de seqncia do servidor enviado para o
hacker e no para o endereo falsificado pelo IP Spoofing [NAI 97].
Isso faz com que seja interessante que o source routing seja bloqueado, pois normalmente ele no utilizado. Porm, bugs j foram identificados, que faziam com
que, mesmo desabilitado, o source routing ainda pudesse ser explorado [MIC 02].

4.8 ATAQUES COORDENADOS


A evoluo mais evidente com relao aos ataques so os ataques coordenados,
tambm conhecidos como ataques de negao de servios distribudos (Distributed
Denial of Service DDoS). Essa modalidade faz com que diversos hosts distribudos
sejam atacados e coordenados pelo hacker, para a realizao de ataques simultneos
aos alvos. Isso resulta em um ataque extremamente eficiente, no qual a vtima fica
praticamente indefesa, sem conseguir ao menos descobrir a origem dos ataques,
pois eles procedem de hosts intermedirios controlados pelo hacker. Os primeiros
ataques de DDoS utilizavam quatro nveis hierrquicos, conforme a Figura 4.18.

Figura 4.18

As partes envolvidas em um ataque coordenado.

O hacker define alguns sistemas master, que se comunicam com os daemons ou


zombies, que realizam os ataques vtima. Pode-se observar que os masters e os
daemons so ambos vtimas do hacker, que, pela explorao de vulnerabilidades
conhecidas, instala os processos que sero utilizados no ataque.
Apesar de serem uma tecnologia nova, as ferramentas de ataques coordenados
tm tanta sofisticao que se aproveitam das melhores tecnologias de ataque existentes, como a utilizao de criptografia para o trfego de controle entre o hacker,
masters e daemons, e tambm para as informaes armazenadas nesses hosts, como
a lista dos daemons. Os scannings para a deteco dos hosts vulnerveis tambm so

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS


102
realizados de modo distribudo e a instalao dos processos feita de maneira
automtica, at mesmo com uma implementao que faz com que esse processo
esteja sempre em execuo, ainda que seja removido ou ainda o sistema seja
reinicializado. Mtodos para esconder as evidncias das instalaes dos daemons
tambm so utilizados.
O primeiro ataque coordenado por um governo foi noticiado pela BBC News [NUT
99]. Aparentemente, o governo da Indonsia atacou o domnio do Timor Leste,
devido a motivos polticos. Isso demonstra um novo estilo de guerra, no qual tticas
envolvendo computadores fazem parte da poltica oficial do governo, sendo utilizadas como uma arma em potencial para a desestabilizao das atividades de outro
governo.
As ferramentas de DDoS mostram que essa nova tecnologia, que est sendo
desenvolvida a partir das j existentes, est atingindo um nvel grande de sofisticao, como pode ser observado na evoluo mostrada a seguir [HOU 01], que inclui
tambm vrus e worms, normalmente utilizados para a instalao de masters ou
daemons:
* Julho de 1999: ferramentas de DDoS como Tribe Flood Network (TFN) e trinoo
(trin00).
* Agosto de 1999: ferramenta de DDoS conhecida como Stacheldraht.
* Dezembro de 1999: ferramenta de DDoS chamada de Tribe Flood Network 2000
(TFK2K).
* Janeiro de 2000: uso intensivo do Stacheldraht.
* Fevereiro de 2000: ataques intensivos de DDoS, incluindo vtimas como CNN,
Amazon, Yahoo!, eBay, UOL, ZipMail, iG e Rede Globo.
* Abril de 2000: amplificao de pacotes por servidores de DNS e mstream.
* Maio de 2000: vrus VBS/LoveLetter (I Love You), mostrando a fora da engenharia social e a ferramenta de DDoS denominada t0rnkit.
* Agosto de 2000: ferramenta de DDoS conhecida como Trinity.
* Novembro de 2000: marco do uso de Windows como agente de ataques de
DDoS.
* Janeiro de 2001: worm denominado Ramen.
* Fevereiro de 2001: VBS/OnTheFly (Anna Kournikova), mostrando o impacto
da engenharia social.
* Abril de 2001: ferramenta de DDoS chamada de Carko.
* Maio de 2001: worms denominados Cheese, que se passavam por um patch de
segurana, w0rmkit e sadmind/IIS, atacando dois tipos diferentes de sistemas
operacionais.

Captulo 4: Os riscos que rondam as organizaes


103
* Julho de 2001: vrus W32/Sircam, utilizando ainda a engenharia social para se
espalhar. Nova gerao de worms, iniciando com o Leaves e o Code Red, alm
de ferramentas de DDoS com base no Internet Relay Chat (IRC).
* Agosto de 2001: worm Code Red II (Seo 4.9.4), alm de ferramentas de DDoS
com base no IRC, como o Knight/Kaiten.
* Setembro de 2001: worm denominado Nimda (Seo 4.9.4), que combina ataques por e-mail, compartilhamento de rede, por navegador de Internet, por
servidor Web e pela instalao de backdoors.
* Novembro de 2001: primeira verso do worm Klez, que explora vulnerabilidade
do Microsoft Outlook e Outlook Express.
* Maio de 2002: worm Klez na verso H (Seo 4.9.4), que uma variao do
worm que surgiu em novembro de 2001.
* Setembro de 2002: worm Apache/mod_ssl, que explorava uma vulnerabilidade
do OpenSSL para instalar ferramentas de DDoS.
* Outubro de 2002: ataque DDoS contra servidores DNS root da Internet.
* Janeiro de 2003: SQL Server Worm, SQLSlammer, W32 Slammer ou Sapphire
(Seo 4.9.4), que atacava servidores SQL Server.
* Maro de 2003: worm Deloder, que instala um servio VNC, que pode ser utilizado para acesso remoto e instalao de ferramentas de DDoS.
O trinoo uma ferramenta utilizada para ataques coordenados de DoS, que utiliza o UDP. Ele consiste de um pequeno nmero de servidores (master) e de um
grande nmero de clientes (daemons). O hacker conecta-se ao master e o instrui
para realizar o ataque nos endereos IP determinados. O master, ento, se comunica
com os daemons, fornecendo-lhes instrues de ataques em determinados IPs, durante perodos especficos. O trinoo no utiliza o IP spoofing e todas as comunicaes com o master requerem uma senha [CER 99-1]. A rede trinoo, com pelo menos
227 sistemas, entre os quais 114 na Internet2, foi utilizada no dia 17 de agosto de
1999 para atacar a Universidade de Minnessota, tornando-a inacessvel por dois
dias. A anlise detalhada do trinoo pode ser vista em [DIT 99-01], que traz informaes sobre os algoritmos utilizados, os pontos falhos e os mtodos de deteco por
meio de assinaturas a serem implementados em IDS.
O TFN realiza ataques coordenados de DoS por meio de pacotes de TCP, tendo a
capacidade de realizar tambm o IP spoofing, TCP SYN Flooding, ICMP echo request
flood e ICMP directed broadcast (smurf). O ataque ocorre quando o hacker instrui o
cliente (master) a enviar instrues de ataque a uma lista de servidores TFN
(daemons). Os daemons, ento, geram o tipo de ataque de DoS contra os alvos. As
origens dos pacotes podem ser alteradas de modo aleatrio (IP spoofing) e os paco-

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS


104
tes tambm podem ser modificados [CER 99-1]. Uma anlise detalhada da ferramenta, de seu funcionamento e da assinatura que permite sua deteco pode ser vista
em [DIT 99-02].
O Stacheldraht outra ferramenta para ataques distribudos que combina caractersticas do trinoo e do TFN, adicionando a comunicao cifrada entre o atacante e
os masters Stacheldraht, alm de acrescentar a atualizao automtica dos agentes.
A ferramenta composta pelo master (handler) e pelo daemon ou bcast (agent).
Uma anlise detalhada da ferramenta pode ser encontrada em [DIT 99-03].
O TFN2K uma evoluo do TFN, que inclui caractersticas como tcnicas que
fazem com que o trfego do TFN2K seja difcil de ser reconhecido ou filtrado, por
meio da utilizao de mltiplos protocolos de transporte (UDP, TCP e ICMP). O
TFN2K tem, ainda, a possibilidade de executar comandos remotos, ocultar a origem
real do trfego e confundir as tentativas de encontrar outros pontos da rede TFN2K,
por meio de pacotes decoy. Alm disso, o TFN2K inclui ataques que causam o
travamento ou a instabilidade dos sistemas, pelo envio de pacotes malformados ou
invlidos, como os utilizados pelo Teardrop e pelo Land [CER 99-2].
Um dos sistemas que sofrem com os ataques coordenados o MacOS 9, que pode
ser utilizado como um amplificador de trfego, ou seja, contm uma caracterstica
que permite que um trfego seja amplificado em um fator de aproximadamente
37,5, sem a necessidade de utilizar o endereo de broadcast, como o caso do
Smurf. Os detalhes do problema com o MacOS 9 so analisados em [COP 99].
A preveno contra os ataques coordenados difcil, pois as ferramentas geralmente so instaladas em redes j comprometidas, resultando em um fator de
escalabilidade muito grande. Os ataques realizados mostram que os problemas so
pertinentes prpria Internet, ou seja, uma rede pode ser vtima da prpria insegurana da Internet. Uma das maneiras de contribuir para a diminuio desses incidentes a preveno contra instalaes no autorizadas das ferramentas de ataques
coordenados, atualizando os sistemas sempre que for necessrio. A preveno dentro das organizaes, para que pacotes com IP spoofing no saiam dos limites da
empresa, tambm importante e simples de ser implementada nos firewalls. O
monitoramento da rede, procura de assinaturas das ferramentas por meio de IDS,
auxilia na deteco e tambm deve ser utilizado.
A onda de ataques distribudos est trazendo uma mudana na concepo de
segurana, ao mostrar claramente que a segurana de uma organizao depende da
segurana de outras, que podem ser atacadas para servirem de base para novos
ataques. Garantir que a rede da organizao no seja utilizada como um ponto de
ataque passa a ser essencial para minimizar esse tipo de ataque coordenado. A CERT
[CER 99-3] apresenta uma srie de medidas que devem ser tomadas de imediato, a

Captulo 4: Os riscos que rondam as organizaes


105
curto e longo prazo, pelos gerentes, administradores de sistemas, provedores de
Internet e centros de resposta a incidentes (incident response teams), a fim de
evitar maiores problemas no futuro.
Porm, esse um grande desafio a ser vencido, pois a evoluo desse tipo de
ataque cada vez maior, explorando a mistura de diferentes tcnicas de disseminao. O worm Code Red, por exemplo, se propaga por meio de servidores de Web
vulnerveis e contm em si um cdigo capaz de executar o ataque de DDoS contra a
Casa Branca, que, no caso, ocorre entre os dias 20 e 27 de cada ms. J o Code Red
II instala um backdoor em suas vtimas, que podem ser atacadas novamente para
propagar novos tipos de ataques (Seo 4.9.4).
J o worm Apache/mod_ssl Worm, que apareceu em setembro de 2002, explora
uma vulnerabilidade baseada em buffer overflow do OpenSSL, que permite a execuo de comandos arbitrrios. O worm abre o Shell do Linux, faz o upload de um
cdigo-fonte codificado e compila esse cdigo-fonte, que tem como objetivo tornar
a vtima parte da rede Apache/mod_ssl para realizar ataques DDoS. Aps a infeco, o sistema passa a receber trfego UDP nas portas 2002, com variaes nas
portas 1978 e 4156, que so usadas para a coordenao dos ataques. Algumas funes que podem ser executadas so: UDP Flooding, TCP Flooding, IPv6 TCP Flooding,
DNS Flooding, execuo de comandos, redirecionamento de portas e troca de informaes sobre novos sistemas contaminados.
O worm Deloder, de maro de 2003, pode tornar-se perigoso, pois sua infeco
instala um servidor VNC (para controle remoto). Funcionando nas portas TCP 5800 e
5900, o hacker pode acessar o servidor VNC instalado pelo worm para controlar o
equipamento infectado. Ao mesmo tempo, ele instala um cliente IRC, que tenta
conectar diversos servidores espalhados pelo mundo, e passa a atuar como zombies
ou daemons, esperando comandos para ataques DDoS. A infeco do Deloder feita
pela explorao de senhas fracas de administrador de compartilhamentos do Windows,
via porta 445 [LAI 03].
Novos perigos em potencial que devem ser considerados so a utilizao de
roteadores nos ataques de DDoS, que tm condies de paralisar backbones inteiros,
e ataques ao Border Gateway Protocol (BGP), utilizados pelos roteadores para a
tomada de decises de roteamento, que podem sofrer com o fornecimento de falsas
informaes de roteamento (poisoning) [VAL 01]. Esses tipos de ataques j comearam a ser realizados, como o que ocorreu em 21 de outubro de 2002. Nesse ataque,
cerca de nove dos 13 servidores DNS root da Internet foram alvo de um ataque DDoS
baseado em ICMP Flooding durante uma hora. Os servidores chegaram a receber 150
mil requisies por segundo durante o ataque e aumentos de trfego de cerca de dez
vezes foram notados [NAR 02].

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS


106

4.9 ATAQUES NO NVEL DA APLICAO


Esse tipo de ataque explora vulnerabilidades em aplicaes, servios e protocolos que funcionam no nvel de aplicao e sero vistos nas sees a seguir. Os tipos
de ataques mais comuns so os que exploram o buffer overflow, freqentes em
aplicativos que realizam a interao do usurio com o sistema. Ataques por meio de
Common Gateway Interface (CGI), utilizados pela Web, tambm so um caso tpico,
como ser mostrado na Seo 4.9.2.
Alm disso, protocolos como o FTP podem ser explorados em ataques como o FTP
Bounce, como acontece tambm com o SMNP (Seo 4.9.3). Os servios tambm
podem ser explorados, como ocorre com o sendmail, que, pela utilizao de comandos no documentados e vulnerabilidades comuns, pode permitir que o hacker obtenha acesso privilegiado ao sistema. Outro tipo de ataque no nvel da aplicao so
os vrus, os worms e os cavalos de Tria, que representam a ameaa mais comum e
mais visvel aos olhos dos executivos, e que, por isso, geralmente recebem a ateno necessria. Eles sero analisados na Seo 4.9.4.

4.9.1 Buffer overflow


Condies de buffer overflow podem geralmente ser usadas para executar cdigos arbitrrios nos sistemas, sendo considerados, portanto, de alto risco. interessante notar que grande parte das vulnerabilidades encontradas nos sistemas referente a buffer overflow, como as que foram reportadas ultimamente em 2003, que
envolvem rotinas da biblioteca do Sun RPC, DLL do Windows, ou o servidor de email Sendmail [CER 03].
De fato, o buffer overflow o mtodo de ataque mais empregado desde 1997,
segundo os boletins do CERT. De acordo com o centro de coordenao, mais da
metade dos boletins so relativos a buffer overflows. Alm da possibilidade de execuo de comandos arbitrrios, que a situao mais grave do problema, o buffer
overflow pode resultar em perda ou modificao dos dados, em perda do controle do
fluxo de execuo do sistema (segmentation violation, no UNIX, ou general
protection fault, no Windows) ou em paralisao do sistema [NEL 02].
Um exemplo da explorao de buffer overflow ocorreu no site de leiles online
eBay, que foi invadido em maro de 1999, por meio da explorao de uma condio
de buffer overflow em um programa com SUID root. O hacker pde instalar, assim,
um backdoor que interceptava a digitao do administrador, possibilitando que

Captulo 4: Os riscos que rondam as organizaes


107
nomes de acesso e senhas fossem facilmente capturados. Com o acesso de
superusurio, o hacker pde realizar qualquer operao no site, como modificar
preos dos produtos em leilo, manipular ofertas e propostas e tudo mais que ele
desejasse [ROT 99-B].
Nesse tipo de ataque, o hacker explora bugs de implementao, nos quais o
controle do buffer (memria temporria para armazenamento dos dados) no feito
adequadamente. Assim, o hacker pode enviar mais dados do que o buffer pode
manipular, preenchendo o espao da pilha de memria. Os dados podem ser perdidos ou excludos e, quando isso acontece, o hacker pode reescrever no espao interno da pilha do programa, para fazer com que comandos arbitrrios sejam executados. Com um cdigo apropriado, possvel obter acesso de superusurio ao sistema
[ROT 99-B].
Por exemplo, um hacker pode enviar uma URL com grande nmero de caracteres
para o servidor Web. Se a aplicao remota no fizer o controle de strings longos, o
programa pode entrar em pane, de modo que o hacker poder colocar cdigos prejudiciais na rea de armazenamento da memria, que podem ser executados como
parte de um argumento [ROT 99-B]. Alm desse exemplo da URL, diversos outros
mtodos de insero de dados em sistemas podem ser explorados pelo buffer overflow,
tais como formulrios, envios de programas, dados em arquivos, dados em linhas de
comando ou dados em variveis de ambientes, pois alguns deles podem ser explorados remotamente [NEL 02].
As implicaes dessas condies so grandes, pois qualquer programa pode estar
sujeito a falhas de buffer overflow, como os sistemas operacionais (Windows NT,
UNIX), protocolos (TCP/IP, FTP) e servios (servidor de e-mail Microsoft Exchange,
servidor Web Internet Information Server (IIS), servidor Telnet do BSD). Mesmo os
firewalls, como o Gauntlet, j sofreram com o buffer overflow, que foi descoberto em
seu proxy de smap [CER 01]. interessante notar que as infestaes do Code Red,
Code Red II e Nimda comearam tambm por meio da explorao de um buffer
overflow no IIS.
Diversos mtodos de buffer overflow podem ser explorados, como stack smashing,
off-by-one ou frame pointer overwrite buffer overflow, return-into-libc buffer overflow
e heap overflow [NEL 02]. A Figura 4.19 mostra o funcionamento bsico do buffer
overflow.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 4: Os riscos que rondam as organizaes

108

109
Outro mtodo o utilizado pelos sistemas de preveno de intruso (Intrusion
Prevention System IPS) baseados em host, discutido na Seo 8.6. Esses tipos de
sistemas fazem o controle do espao de execuo, inspecionando as chamadas ao
sistema de acordo com um conjunto de regras definido que permite sua execuo.
Com isso, diversos problemas, entre eles os relacionados ao buffer overflow, podem
ser minimizados.

4.9.2 Ataques na Web

Figura 4.19 Ataque de buffer overflow.

Na Figura 4.19, o buffer sem controle explorado. No Passo 1, o ataque feito


com a insero de uma string grande em uma rotina que no checa os limites do
buffer. Com isso, a string ultrapassa o tamanho do buffer, sobrescrevendo as demais
reas da memria. No Passo 2 do exemplo, o endereo de retorno sobrescrito por
um outro endereo, que est includo na string e aponta para o cdigo do ataque.
No Passo 3, o cdigo do ataque injetado na posio da memria que j foi sobrescrita no Passo 2. No Passo 4, a funo pula para o cdigo do ataque injetado,
baseado no endereo do retorno que tambm foi inserido. Com isso, o cdigo injetado pode ser executado.
Os buffer overflows so difceis de ser detectados e, portanto, a proteo contra
eles geralmente reativa, ou seja, o administrador que sofre um ataque desse tipo
deve reportar o incidente a um rgo especializado, como o CERT e o CIAC, e tambm ao fabricante da aplicao. Aps isso, ele deve aplicar os patches correspondentes, assim que eles estiverem disponveis. As medidas reativas, em detrimento
da ao pr-ativa, sero necessrias at que uma metodologia de programao com
enfoque em segurana seja utilizada pelas empresas de software, como foi discutido
na Seo 4.3.
Um dos mtodos de programao que permite a atuao de modo pr-ativo a
utilizao de localizaes aleatrias do buffer de memria, de modo que o hacker
no tenha idia da posio em que deve colocar seu cdigo prejudicial. O primeiro
produto a utilizar essa tcnica o SECURED, da Memco [ROT 99-B].

Bugs em servidores Web, navegadores de Internet, scripts Common Gateway


Interface (CGI) e scripts Active Server Pages (ASP) so as vulnerabilidades mais
exploradas, mais simples e mais comuns de serem vistas. por meio delas que os
hackers conseguem modificar arquivos dos servidores Web, resultando em modificaes no contedo das pginas Web (Web defacement) e na conseqente degradao
da imagem das organizaes. Esses so os ataques que ganham destaque nos noticirios, existindo, na prpria Internet, sites especficos que divulgam quais foram
os sites hackeados do dia.
Alm dos ataques mais comuns, que exploram os bugs em implementaes de
scripts CGI, podem ser vistas duas novas tendncias de ataques que exploram
vulnerabilidades em CGI [KIM 99]. O Poison Null [PHR 99] permite que o contedo dos
diretrios possa ser visto, pois em alguns casos possvel ler e modificar arquivos dos
servidores da Web. O mecanismo utilizado mascara comandos de checagem de segurana do CGI, ocultando-os por trs de um null byte um pacote de dados que o
script CGI no detecta, a menos que seja programado especificamente para trat-lo.
O ataque com Upload Bombing afeta sites que oferecem recursos de upload,
como os que recebem currculos ou arquivos com desenhos. Esse ataque tem como
objetivo preencher o disco rgido do servidor com arquivos inteis. Isso acontece
quando os scripts no verificam o tamanho dos arquivos a serem enviados ao site,
impedindo a proteo do espao de armazenamento do mesmo [KIM 99].
Outro tipo de ataque baseado em Web conhecido o Web Spoofing ou o Hyperlink
Spoofing [ODW 97]. O usurio iludido a pensar que est em uma pgina autntica,
que, na verdade, falsificada. Ele acessa uma pgina segura, protegida pelo protocolo SSL, e induzido a fornecer suas informaes pessoais ao falso servidor. Esse
tipo de ataque vem sendo muito utilizado contra usurios de Internet Banking, que
tendem a digitar suas senhas achando que esto na pgina do banco. O usurio
levado aos sites falsos via mensagens de e-mail pedido para atualizao de cadastro,
ou por pginas j comprometidas, que possuem um link para a pgina falsa. Uma
maneira de evitar ser vtima desse tipo de fraude sempre verificar o certificado
digital da pgina.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS


110
Alm da importncia da conscientizao do usurio, uma srie de propostas
contra o Web Spoofing apresentada em [ODW 97], como a definio de um objeto
da pgina Web a ser certificada, que pode ser uma imagem (logo da empresa, por
exemplo), URL ou um texto. Isso possibilitaria que o servidor pudesse facilmente
ser verificado e conferido pelo usurio no momento de sua entrada em uma pgina
protegida pelo SSL. [FEL 97] trata do mesmo assunto, explicando as dificuldades de
identificar pistas de que uma pgina falsa. Essa dificuldade se deve, principalmente, utilizao de linguagens como o JavaScript, que permite controlar diretamente objetos a partir do browser, como as propriedades da pgina. Uma das solues
propostas desabilitar o JavaScript e verificar sempre a barra de endereos (URL),
se possvel, para constatar se o endereo atual o correto.
Alm desses ataques, um grande nmero de vulnerabilidades envolvendo o servidor Web Internet Information Service (IIS), da Microsoft, foram descobertas. Relacionados principalmente ao Unicode e ocorrncia de buffer overflows em componentes do IIS, eles foram amplamente utilizados em worms, como Code Red, Code
Red II e Nimda (Seo 4.9.4). Um dado interessante que mostra o impacto dos
worms que 150 mil sites e 80 mil endereos IP de servidores, que tinham como
base o IIS, desapareceram aps o ataque do Code Red II [NET 01].

4.9.3 Problemas com o SNMP


O Simple Network Management Protocol (SNMP), utilizado para o gerenciamento
de equipamentos de rede, tem diversos problemas de segurana, principalmente
quanto ao vazamento de informaes sobre os sistemas. O SNMP pode prover diversas informaes, tais como sobre sistema, tabelas de rotas, tabelas de Address
Resolution Protocol (ARP) e conexes UDP e TCP, sobrepondo, at mesmo, os esquemas antiportas dos sistemas.
Essas informaes facilitam o planejamento de ataques pelos hackers, de modo
que esses sistemas devem estar muito bem protegidos. Um dos problemas que o
SNMP no tem mecanismos de travamento de senhas, permitindo os ataques de
fora bruta. Com isso, o nome da comunidade dentro de uma organizao constitui
um nico ponto de falha, o que faz com que, caso seja descoberto, coloque disposio dos hackers informaes da rede inteira. Outra questo que a sua configurao-padro pode anular os esforos de segurana pretendidos pelos TCP wrappers,
do UNIX, ou pelo RestrictAnonymous Key, do NT. O SNMP do Windows NT (Management
Information Base ou MIB), por exemplo, pode fornecer informaes que, normalmente, so bloqueadas pela chave RestrictAnonymous, tais como os nomes dos usurios, os servios que esto sendo executados e os compartilhamentos dos sistemas
[MCC 99].

Captulo 4: Os riscos que rondam as organizaes


111
Alm desses problemas relacionados com o prprio protocolo e o seu uso, algumas vulnerabilidades foram descobertas na manipulao (decodificao e
processamento) de traps SNMP pelo gerenciador e tambm na manipulao das
mensagens de requisies geradas pelos gerenciadores recebidas pelos agentes [CER
02]. As vulnerabilidades na decodificao e processamento das mensagens SNMP,
tanto pelo gerenciador quanto pelo agente, fazem com que condies de negao de
servio existam, bem como de format string e de buffer overflow.
Diversas medidas de segurana podem ser adotadas para evitar que o SNMP seja
utilizado nos ataques. Algumas dessas medidas, alm da instalao de patches e
atualizao de verses, so [MCC 99]:
* Desabilitar e remover todos os servios e daemons SNMP desnecessrios.
* Tratar os nomes da comunidade como senhas, tentando evitar que elas sejam
previsveis.
* Restringir as informaes a certos hosts, como, por exemplo, somente para o
administrador do sistema.
Outra medida importante deve ser tomada quanto filtragem e o controle de
acesso: em vez de aceitar pacotes SNMP de qualquer host, recomendvel aceitar
apenas pacotes SNMP de hosts especficos.
O SNMP foi publicado, pela primeira vez, em 1988 e j no incio da dcada de 90,
surgiram vrias deficincias funcionais e de segurana. Em janeiro de 1993, foi
lanada a verso 2 do SNMP, que aumentou o desempenho e o suporte tcnico
descentralizado a arquiteturas de gerenciamento de redes, alm de adicionar funcionalidades para o desenvolvimento de aplicaes. Porm, o que faltou na verso 2
foram as caractersticas de segurana, proporcionadas pela verso 3 do protocolo,
que est sendo proposta desde janeiro de 1998. A verso 3 no uma arquitetura
completa e sim um conjunto de caractersticas de segurana que devem ser utilizadas em conjunto com o SNMPv2, de tal modo que pode ser considerada a verso 2
adicionada da administrao e da segurana [STA 99].
O SNMPv3 prov trs caractersticas de segurana de que a verso 2 no dispunha: autenticao, sigilo e controle de acesso. Os dois primeiros tpicos fazem
parte do User-based Security Model (USM) e o controle de acesso definido no Viewbased Access Control Model (VACM) [STA 99][STA 98-2]:
* Autenticao: faz a autenticao das mensagens e assegura que elas no sejam alteradas ou artificialmente atrasadas ou retransmitidas. A autenticao
garantida pela incluso de um cdigo de autenticao nas mensagens, que

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS


112

113

calculado por uma funo que inclui o contedo da mensagem, a identidade


do emissor e a do receptor, o tempo de transmisso e uma chave secreta
conhecida apenas pelo emissor e pelo receptor. A chave secreta enviada pelo
gerenciador de configurao ou de rede para as bases de dados dos diversos
gerenciadores e agentes SNMP.
* Sigilo: os gerenciadores e agentes podem cifrar suas mensagens por meio de
uma chave secreta compartilhada, com base no DES.
* Controle de acesso: permite que diferentes gerenciadores tenham nveis de
acesso diversificados ao Management Information Base (MIB).

4.9.4 Vrus, worms e cavalos de Tria


A importncia das conseqncias de uma contaminao por vrus e vermes (worms)
muito grande. As perdas econmicas, por exemplo, podem ser gigantescas, como
pode ser visto na Tabela 4.1:
Tabela 4.1

Captulo 4: Os riscos que rondam as organizaes

Prejuzos causados pelos principais vrus. Fonte: Computer Economics e mi2g.

Ano

Vrus

1999
2000
2001
2001
2001
2002

Melissa
I Love You
Nimda
Code Red (variaes)
Sircam
Klez

Prejuzos (em milhes de dlares)


1.200
8.750
635
2.620
1.150
9.000

Outro fato interessante a ser considerado est em uma estatstica da CSI e da FBI
que informa que 90 porc cento usam antivrus, porm 85% sofreram ataques envolvendo worms e vrus [CSI 02]. Essa informao demonstra que novos vrus so
criados constantemente, e esto estreitamente relacionados com novas
vulnerabilidades e novos tipos de ataques. Isso faz com que os aspectos de segurana devam ser tratados de um modo integrado, e no isoladamente. Por exemplo, um
antivrus isolado no resolve os problemas de segurana da organizao, bem como
apenas um firewall no protege a organizao.
Os vrus, worms e cavalos de Tria so uma ameaa constante s empresas,
resultando em diversos tipos de problemas mais srios, devido possibilidade de
serem includos tambm em ataques distribudos, como foi visto na Seo 4.8.
Os worms diferem-se dos vrus por espalharem-se rpida e automaticamente,
sem a necessidade de uma interao com o usurio, como ocorre com os vrus. J
os cavalos de Tria, como Netbus e Back Orifice, so programas de software que

aparentam realizar alguma tarefa til; porm, na verdade, realizam atividades


prejudiciais.
Os tipos de vrus existentes so:
* Vrus de setor de boot: modificam setores de boot dos discos flexveis e espalham-se, quando o computador iniciado por meio desse disco flexvel com o
setor modificado. Como esse tipo de vrus no transmitido pela rede, pode
ser combatido com um antivrus localizado no cliente.
* Vrus de arquivos executveis: contaminam arquivos executveis, espalhandose aps o usurio executar o arquivo.
* Vrus de macro: infectam e espalham-se por meio das linguagens de macro
existentes nos documentos compatveis com MS Office. So armazenados como
parte de qualquer documento desse tipo, podendo, portanto, espalhar-se rapidamente, devido sua enorme quantidade (todo mundo troca documentos) e
possibilidade de serem anexados em e-mails.
* Vrus de scripts: so os vrus que exploram as linguagens de script e que
so executados automaticamente pelos softwares de leitura de e-mails, por
exemplo.
Os vrus e, principalmente, os worms, atuam tambm explorando vulnerabilidades
conhecidas de sistemas, sejam eles de servios (como o Nimda, que explora
vulnerabilidade do servidor Web IIS) ou de aplicativos (como o Klez, que explora
vulnerabilidade do aplicativo Outlook). Essa caracterstica faz com que sua disseminao seja muito grande, principalmente a dos worms, que no necessitam de
interao com o usurio.
Os vrus vm se tornando uma ameaa constante e cada vez maior para as redes
das organizaes, de modo que importante adotar uma estratgia adequada com
relao aos antivrus. Os antivrus atuam na deteco de vrus, worms e cavalos de
Tria, e uma considerao importante que, basicamente, apenas o ambiente Windows
atacado pelos vrus, pois o Linux pode ser atacado por worms, como aconteceu
com o Worm Apache/mod_ssl, que explora uma vulnerabilidade do OpenSSL.
A indstria de antivrus est em uma eterna briga de gato e rato contra os
vrus, de modo que, se por um lado, a indstria de antivrus est cada vez mais gil
na distribuio de atualizaes para a deteco de vrus novos, por outro lado, esses
vrus novos, principalmente os chamados polimrficos, podem ser modificados em
cada equipamento que infectado, dificultando sua deteco. Os antivrus, ento,
tm de realizar a deteco por meio da anlise do cdigo binrio para detectar
peas de cdigos de vrus, em vez de se basearem apenas em assinaturas do tipo

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS


114

Captulo 4: Os riscos que rondam as organizaes


115

checksum. Alm dos vrus polimrficos, outros problemas dificultam a ao dos


antivrus [SEI 00]:

ou a notcia do vrus divulgada pela imprensa e a atualizao dos antivrus


iniciada.

* A compresso dos vrus com algoritmos de compresso pouco utilizados consegue driblar muitos antivrus. Esse problema j foi parcialmente resolvido.
* A compresso dos vrus com operaes XOR dos dados tambm dribla muitos
antivrus.
* O armazenamento de vrus em diretrios que no so verificados pelos antivrus,
como o Recycle Bin (a Lixeira) do Windows. O usurio deve configurar o software
para que esse diretrio seja tambm verificado.
* A explorao de vrios buffer overflows em software, como o do Outlook, faz
com que o vrus infecte o sistema, antes que o usurio possa escolher entre
salvar ou no o arquivo anexado. O problema j foi corrigido.
* Utilizao de system calls e software do Windows, como o Outlook, a fim de
enviar um vrus anexado em e-mails para todos os usurios da lista. Esse
esquema foi utilizado pioneiramente pelo vrus Melissa.
* Adio de algumas caractersticas, para que o arquivo anexado no seja verificado pelo antivrus.

O episdio do vrus Melissa, ocorrido em 1999, pode ser considerado um marco,


pois infectou com uma impressionante velocidade centenas de milhares de usurios, mostrando que os vrus so uma ameaa real, principalmente devido grande
velocidade e facilidade de contaminao, que aumenta muito com os e-mails. J os
vrus I Love You, Anna Kournikova e Sircam, por exemplo, incluem tcnicas de
engenharia social para sua disseminao e tambm representam um marco na histria dos vrus.
As dificuldades de uma rpida atualizao de todos os antivrus de todos os
usurios so muito grandes, de modo que o gateway antivrus hoje uma soluo
imprescindvel dentro de qualquer organizao. Com ele, os vrus so bloqueados
antes de entrarem nas redes, atuando como a primeira linha de defesa contra os
vrus. Porm, outros mtodos de defesa contra os vrus ainda devem ser utilizados,
principalmente devido existncia de drives de discos flexveis.
O desempenho do gateway antivrus pode ser melhorado por meio da utilizao
de uma arquitetura de firewall integrada, na qual um firewall decide se um arquivo
deve ser enviado para outro equipamento; no caso, o gateway antivrus. Um dos
mecanismos para a integrao de firewalls o Content Vectoring Protocol (CVP), da
Check Point Software Technologies, que parte da Open Platform for Secure Enterprise
Connectivy (OPSEC), uma especificao aberta que busca a integrao e a
interoperabilidade. O CVP define uma relao cliente/servidor que permite que
firewalls dividam um servidor de validao de contedo em comum. Assim, caso a
regra do firewall indique que o contedo de um arquivo deve ser verificado, esse
arquivo enviado a um gateway antivrus, que o analisa e determina o que fazer
com ele. O arquivo devolvido ao firewall, que ento permite ou probe o trfego
desse arquivo, de acordo com a resposta do gateway antivrus e com a poltica de
segurana da organizao.
Ironicamente, o avano dos vrus, que esto cada dia mais sofisticados, tem
como um de seus fatores a evoluo dos firewalls. Os firewalls, se bem configurados,
dificultam muito a efetividade e eficincia dos ataques, de modo que os hackers
passaram a buscar outras formas de invadir a rede interna das organizaes, por
meio da utilizao do trfego permitido pelo firewall. Por exemplo, um usurio
recebe por e-mail um arquivo anexado contaminado ou faz a transferncia de um
arquivo contaminado via FTP, que so servios permitidos pelo firewall; o vrus pode
infectar a rede, procurar por informaes valiosas e envi-las para o hacker, por

O ciclo de vida de um vrus pode ser observado a seguir [SEI 00]:


*
*
*
*
*
*
*
*

O vrus escrito e testado em uma rede experimental.


O vrus lanado, possivelmente, em um alvo selecionado.
O vrus se espalha para outras redes, se estiver implementado corretamente.
Algum percebe atividades estranhas, recolhe arquivos modificados e enviaos indstria de antivrus.
O vrus descompilado e analisado, e uma assinatura criada.
O criador do antivrus vai compartilhar as informaes com seus concorrentes,
de modo rpido ou demorado, dependendo da situao.
A indstria de antivrus espalha boletins de segurana, tornando a atualizao disponvel.
Alguns clientes com contrato de suporte tcnico podem atualizar rapidamente seus antivrus, at mesmo de maneira automtica, enquanto outros no
podem faz-lo.
Caso no tenham sido infectados, os administradores de rede e de sistemas, e
tambm os usurios, ficam sabendo dos vrus por intermdio de mensagens de
e-mail. Simultaneamente, surgem os boletins de segurana sobre os antivrus

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS


116
HTTP, que tambm um trfego legtimo para o firewall. Assim, o protocolo HTTP
um problema para as organizaes, pois praticamente qualquer tipo de trfego pode
passar pelo firewall por intermdio do tunelamento de HTTP. O HTTP at mesmo
chamado por algumas pessoas de Universal Firewall Tunneling Protocol. Alm disso, a explorao automtica de vulnerabilidades de diferentes sistemas pelos worms
tambm mostra a sofisticao dos cdigos maliciosos.
Uma tendncia que pode ser observada a de que os worms esto evoluindo
rapidamente, com a utilizao de tcnicas muito sofisticadas, que incluem at mesmo uma fase de dormncia (sleep phase), na qual o worm infesta o maior nmero
possvel de hosts antes de ativar o contedo destrutivo, de uma maneira coordenada, em ataques de DDoS (Seo 4.8). Alguns pesquisadores acreditam que esto
surgindo novas classes de worms (Waarhol worms, flash worms), que podem ser
espalhados em minutos ou mesmo em segundos [VAL 01].
De fato, o SQL Server Worm, tambm conhecido como SQLSlammer, W32.Slammer
ou Sapphire, que contaminou diversos sistemas em janeiro de 2003, teve uma grande velocidade de propagao. A capacidade do worm era tanta que foi capaz de
atingir a varredura de mxima de 55 milhes de hosts por segundo em apenas trs
minutos. O que foi considerado que ele no atingiu velocidade maior apenas
devido falta de largura de banda em algumas pores da rede [MOR 03]. Com o
Sapphire, mais de 90% dos sistemas foram contaminados em apenas dez minutos
aps o aparecimento do worm, que possua a capacidade de dobrar a populao de
contaminados a cada 8,5 segundos. O Code Red, por exemplo, tinha a capacidade de
dobrar a populao de contaminados a cada 37 minutos [MOR 03].
O Sapphire explorou uma vulnerabilidade baseada em buffer overflow do SQL
Server, e o estrago causado s no foi maior porque ele no carregava contedo
malicioso, causando apenas queda de disponibilidade [MOR 03]. Uma das causas do
rpido avano foi o uso de um nico pacote UDP para a porta 1434, contendo o
payload de apenas 404 bytes. Os worms Code Red e o Nimda, por exemplo, usavam
o TCP para a propagao, o que causava problema de latncia devido ao handshake
TCP. Alm disso, o payload deles era maior, com o Code Red tendo 4 KB e o Nimda
tendo 60 KB [MOR 03]. Com o uso de UDP, a propagao foi rpida, sendo limitada
no pela latncia, mas sim pela largura de banda.
O worm Code Red surgiu em 12 de julho de 2001 e utiliza uma semente esttica
para o seu gerador de nmeros aleatrios, que usado para escolher os sistemas a
serem contaminados. Uma variante do Code Red, que utiliza uma semente dinmica, surgiu em 19 de julho, o que fez com que ele se espalhasse mais rapidamente.
Em 4 de agosto, uma nova verso do worm, que explorava a mesma vulnerabilidade

Captulo 4: Os riscos que rondam as organizaes


117
de buffer overflow do Internet Information Service (IIS), iniciou sua infestao: era
o Code Red II [CAI 01].
Quando o Code Red atua sobre a vtima, ele primeiramente checa a data do
sistema infectado (entre os dias 1 e 19) e depois gera uma lista aleatria de endereos de IP de novas vtimas. Porm, como a semente utilizada para gerar a lista de
endereos era esttica, as listas geradas eram iguais para todos, o que limitava a
infeco em larga escala. O worm modifica uma pgina Web do servidor infectado e
sua programao indica que a fase de infestao interrompida no dia 20 de cada
ms, e entre os dias 20 e 28 de cada ms realizado um ataque de DDoS contra a
Casa Branca, nos Estados Unidos,.
Na variao do Code Red que utilizava o mesmo cdigo da verso anterior e a
semente dinmica, as listas de endereos das vtimas foram criadas aleatoriamente, de modo que resultou em um impacto bem maior. Um total de 359 mil hosts
foram infestados em apenas 14 horas [CAI 01].
J o Code Red II utiliza um cdigo diferente, que explora o mesmo buffer overflow
do IIS. Antes da infeco, o worm verifica se o host j estaria infectado ou no. Em
caso negativo, um backdoor instalado, ficando dormente por um dia. O worm,
ento, reinicia o host, fazendo com que a propagao tenha incio. A procura pelas
novas vtimas feita por meio de 300 a 600 threads, tendo como base uma lista de
endereos na qual diferentes mscaras so aplicadas, de modo a aumentar o poder
de propagao. De maneira diferente do Code Red, o Code Red II instala um backdoor
que d privilgios de superusurio, o que permite que qualquer cdigo seja executado, incluindo sua utilizao como zombies em ataques de DDoS [CAI 01].
J o worm Nimda explora trs vulnerabilidades diferentes do IIS, alm de falhas
do Microsoft Outlook, por meio de um arquivo anexado, o readme.exe. Mesmo que
o usurio no abra o arquivo, ele pode ser infectado devido a uma vulnerabilidade
do aplicativo. O worm pode infectar, tambm, usurios que fazem uso do navegador
Internet Explorer desatualizado, bastando simplesmente que o usurio visite um
site infectado. Instaurada a infeco, o Nimda expe o disco rgido local para a
rede, cria uma conta guest e adiciona a conta ao grupo de administradores, espalhando-se para outros compartilhamentos. Por meio de um controle feito pelo registro do Windows, o worm envia uma cpia de si mesmo, em e-mails, a cada dez dias.
O Nimda tambm procura por backdoors deixados pelos worms Code Red II e sadmind/
IIS, alm de buscar novas vulnerabilidades no IIS, enviando cpias do cdigo pela
porta UDP 69. Alm disso, o Nimda infecta programas do sistema, criando cavalos
de Tria em aplicaes legtimas [CER 01-3].
O funcionamento do worm Klez tambm interessante, pois ele continha o seu
prprio servidor SMTP, usado para que se propagasse mais eficientemente. Alm

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 4: Os riscos que rondam as organizaes

118

119

disso, o Klez tambm desabilitava os antivrus mais conhecidos, alm de trazer um


outro vrus em seu payload (Elkern). O Klez explorava uma vulnerabilidade conhecida do Outlook Express; a variao do campo de assunto, da prpria mensagem e a
possibilidade de enviar e-mails como se fosse outra pessoa (e-mail address spoofing),
dificultou sua identificao e facilitou sua disseminao. interessante notar que o
Klez possui diversas variaes, e a verso Klez.H, descoberta em maio de 2002, o
resultado da evoluo da primeira verso descoberta em novembro de 2001. O mais
interessante notar que o ms de maior atividade do Klez foi janeiro de 2003, e em
fevereiro deste ano ele continuava sendo o worm mais ativo [MES 03], como pode
ser visto na Figura 4.20 [SOP 03].

Figura 4.20

Os vrus e worms mais ativos de fevereiro de 2003.

4.9.5 War dialing


O war dialing um ataque importante de ser combatido, pois o modem muitas
vezes utilizado como porta de entrada para a rede corporativa, funcionando como
uma alternativa para no precisar passar pelo firewall. De fato, difcil controlar a
instalao de modems em equipamentos dos funcionrios, que fazem isso para poder trabalhar remotamente e, muitas vezes, para poder ter acesso Internet barata
a partir de sua prpria residncia.
Alm dos modems no autorizados usados pelos funcionrios, a prpria infraestrutura de acesso remoto da organizao pode ser utilizada para dar acesso rede
interna. Estreitamente ligada engenharia social, que utilizada para descobrir os

nmeros de acesso, o war dialing complementa a tcnica, ao tentar descobrir os


nmeros telefnicos em que modems atendem s chamadas.
O war dialer a ferramenta utilizada pelos hackers para fazer a varredura dos
nmeros de modems e tambm utilizada pelos auditores de segurana, a fim de
verificar a existncia de modems na organizao, que na realidade deveriam ser
proibidos. O termo surgiu aps o filme War Games, no qual foi mostrada a tcnica
de varredura de nmeros de telefone. Inspirados no filme, diversos hackers comearam a desenvolver seus prprios War Games Dialers, agora conhecidos apenas como
war dialers [GAR 98].
O war dialer um instrumento importante para a segurana da organizao,
pois o acesso pelos modems um dos principais pontos de ataque que visam driblar
o firewall.
Devido a esses problemas, a poltica de segurana deve deixar claro que a instalao de modems proibida, a no ser com aprovao explcita da gerncia, que pode
ento tomar os devidos cuidados para evitar o seu uso como porta de entrada para a
rede interna. Um dos requisitos, por exemplo, poderia ser o de que somente os equipamentos fora da rede (desconectados) pudessem ser autorizados a usar o modem,
pois assim ele no poderia ser usado como porta de entrada para a rede interna.
Uma outra medida importante uma auditoria peridica para a busca de modems
no autorizados, via uso do prprio war dialing. Um inventrio de todos os modems
encontrados e a sua manuteno tambm so importantes para a continuidade da
segurana.
O uso de banners de aviso a quem acessa o modem tambm uma medida importante para avisar que o sistema de uso restrito e est sendo monitorado. O uso de
autenticao forte tambm necessrio, bem como habilitar as opes de auditoria
dos modems. A opo de call-back tambm importante, pois o modem disca de volta
para o nmero original, de acordo com uma lista de nmeros autorizados.
Algumas ferramentas de war dialing so capazes de detectar fax, identificar
conexes PPP, identificar os sistemas e tentar ataques de fora bruta para descobrir
as senhas de acesso [GUN 02].

4.10 CONCLUSO
Este captulo apresentou os riscos que as organizaes correm quando passam a
manter quaisquer tipos de conexes. Foram apresentados os diversos tipos de atacantes e suas intenes, bem como as tcnicas mais utilizadas por eles. Um ataque
tem incio com a obteno de informaes sobre os sistemas-alvo, passando por

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS


120
tcnicas que incluem negao de servios (Denial of Service DoS), ataques ativos,
ataques coordenados e ataques s aplicaes e aos protocolos. Vrus, worms e cavalos de Tria tambm podem ser utilizados como um ataque ou parte dele. Pode-se
considerar que os maiores perigos esto nas vulnerabilidades resultantes de falhas
na implementao dos produtos (sistemas operacionais, protocolos, aplicativos),
nas configuraes equivocadas dos sistemas e na engenharia social.

Novas funcionalidades e riscos:


redes sem fio

O uso de redes sem fio (wireless) vem aumentando significativamente, resultando em um impacto expressivo na vida das pessoas.
Seja em distncias mais longas (telefones celulares), em distncias
mdias (Wireless LAN WLAN) ou em curtas distncias (Bluetooth),
as redes sem fio facilitam o dia-a-dia das pessoas; no entanto, trazem consigo novos riscos. Elas apresentam diferenas essenciais, se
comparadas com as redes com fio, de modo que protocolos de segurana foram definidos para a proteo dos acessos sem fio, principalmente para a autenticao e proteo no nvel de enlace. Este
captulo discute os aspectos de segurana existentes nas redes sem
fio, em particular no padro IEEE 802.11 e Bluetooth.

C
a
p

t
u
l
o
5

5.1. EVOLUO E MUDANAS


Um aspecto que vem ganhando cada vez mais importncia na
vida das pessoas a evoluo das tecnologias sem fio (wireless).
Mais do que o avano tecnolgico, o impacto resultante de sua
disseminao chega na vida das pessoas, significando uma revoluo no dia-a-dia de cada indivduo. Uma das tecnologias sem fio
mais comuns e conhecidas a da telefonia celular. O impacto causado pelo seu uso foi grande e continua crescendo, de tal modo que
estimado que o nmero de usurios de celulares ultrapasse em pouco tempo o nmero de usurios de telefones fixos no Brasil, como
pode ser visto na Figura 5.1 [EXA 03-3]. No mbito mundial, o

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 5: Novas funcionalidades e riscos: redes sem fio

122

123

nmero de linhas celulares j ultrapassa o nmero de linhas fixas, como pode ser
visto na Figura 5.2.
Ao mesmo tempo em que o avano tecnolgico faz parte da vida das pessoas,
outros aspectos, antes inexistentes, tambm passam a fazer parte da mudana. Um
desses aspectos o da segurana, na qual os problemas mais comuns encontrados
na telefonia celular eram com relao clonagem de aparelhos.

Figura 5.1

Avano do uso de celulares no Brasil.

atingiram 38,3 bilhes de dlares em 2002, segundo a IDC. A previso para 2007
de que sejam investidos 49 bilhes de dlares, o que fortalece a importncia das
tecnologias sem fio [IDC 03]. A gama de tecnologias sem fio que est sendo discutida atualmente faz com que uma diviso torne mais compreensvel suas diferenas
e os aspectos de segurana existentes em cada uma delas.
Como pode ser visto na Figura 5.3, existe uma diviso entre os tipos de tecnologia
sem fio. A diferena entre o Wireless Personal Area Networking (WPAN), Wireless
Local Area Networking (WLAN) e Wireless Wide Area Networking (WWAN) est na
distncia coberta pelos sinais que trafegam pelo ar, sem a necessidade de um fio
para conduzir a informao. Um WPAN, por exemplo, pode ser usado em distncia
de at dez metros, enquanto uma WLAN pode ser caracterizada por redes cobertas a
uma distncia de at cem metros.
A rea de cobertura est relacionada tambm com o consumo de energia. Quanto
maior a distncia a ser coberta, mais energia necessria. Entre as tecnologias
WPAN, para distncias curtas e com pouco consumo de energia, pode-se citar
Bluetooth, HomeRF, IrDA e o padro IEEE 802.15, que baseado no Bluetooth. O
padro IEEE 802.11 a tecnologia WLAN mais conhecida, que possui ainda o HyperLAN
II. J entre tecnologias WWAN, pode-se citar as tecnologias celulares, como GSM,
GPRS, CDPD, TDMA, CDMA, entre outros.

Figura 5.3
Figura 5.2

WPAN, WLAN e WWAN.

Linhas celulares e linhas fixas no mundo.

Atualmente, a abrangncia da tecnologia sem fio aumentou bastante, o que faz


com que uma anlise mais coerente e profunda leve tambm em considerao outras tecnologias, alm da telefonia celular. A evoluo da comunicao sem fio
constitui um campo de grande crescimento, de modo que muitas tecnologias diferentes esto sendo definidas, implementadas e testadas. O crescimento pode ser
visto, por exemplo, nos gastos com infra-estrutura de redes mveis e sem fio, que

As redes sem fio devem ser consideradas seriamente, pois cada vez mais elas
passam a fazer parte da vida das pessoas. As mudanas advindas do WLAN, por
exemplo, so evidentes em uma empresa. Funcionrios passam a ter mais flexibilidade com relao necessidade de cabos de rede e, o mais importante, passam a
usufruir a mobilidade. Para as empresas, o ganho de produtividade pode ser grande,
pois as informaes passam a estar disponveis de uma forma mais fcil, dentro do
limite da distncia coberta pela tecnologia.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 5: Novas funcionalidades e riscos: redes sem fio

124
Como conseqncia negativa dessas mudanas, as pessoas passam a correr novos
riscos com o seu uso. Dependendo do grau, esses riscos podem significar simples
fatos desagradveis ou at perdas de recursos financeiros significativos. Nesse contexto, a importncia do conhecimento com relao aos riscos envolvidos nas comunicaes sem fio aumenta bastante, podendo representar o sucesso ou o fracasso de
negcios, e ainda a perda de privacidade de usurios comuns.
Este captulo apresentar os aspectos de segurana mais importantes de algumas tecnologias sem fio, como o IEEE 802.11, padro mais utilizado para WLANs, e
o Bluetooth, usado em WPANs. As tecnologias de telefonia celular, como GSM, GPRS,
CDMA2000, 1x-EV DV, 1xEV DO ou W-CDMA, no sero consideradas.

5.2. CARACTERSTICAS DE REDES SEM FIO


O mundo wireless difere bastante do modo como a comunicao realizada
atualmente. Alm de eliminar a barreira demogrfica (regies rurais ou com dificuldade de passagem de fios), sua utilizao facilitada se comparada com as comunicaes com fio, pois a infra-estrutura o prprio ar, no sendo necessrio que uma
infra-estrutura de cabeamento seja criada. O uso de uma rede sem fio, por exemplo,
pode ser muito proveitoso em um hotel ou aeroporto. Instalando-se um ponto de
acesso (Access Point AP), que so os equipamentos que oferecem a conectividade
para dispositivos mveis, nesses locais, evita-se a necessidade de cabeamento e,
conseqentemente, de custosos reparos em revestimentos e pisos de recintos pblicos de alta visibilidade. Sob esse aspecto, padres de WLAN, como o IEEE 802.11,
so interessantes, porque o acesso Internet passa a estar onipresente para as
pessoas nesses locais.
O acesso pblico Internet j est sendo oferecido em alguns locais como cafs,
centros de exposio, aeroportos e hotis, formando os hot spots. Um estudo da
Analysys mostrou que 21 milhes de americanos estaro usando WLANs pblicas em
2007 [ANA 03]. Em 2002, existiam nos Estados Unidos 3.700 hot spots, nmero que
a Analysys estima que cresa para 41 000 em 2007 [ANA 03]. Na Gergia, Estados
Unidos, por exemplo, uma cidade est criando uma infra-estrutura pblica de acesso sem fio, na qual todos podem acessar a Internet livremente [WAL 02].
Alguns fatores que devem ser considerados nas redes sem fio, e que refletem sua
evoluo, so [NIC 02]:
* As comunicaes sem fio, devido sua natureza de no dependerem de
conectividade fsica, possuem maiores chances de sobreviver a desastres naturais como furaces, enchentes, terremotos, tornados e erupes vulcnicas.

125
* As transmisses sem fio so mais fceis de ser interceptadas do que as comunicaes via fibra ou conexes com fio.
* Os melhores nveis de disponibilidade podem ser alcanados pelo uso de fibra
ou tecnologia sem fio.
Seja nas empresas ou nos hot spots, basta o usurio ligar seu equipamento sem
fio ou notebook com placa wireless para que passe a ter acesso Internet. Isso,
porm, depende da configurao dos equipamentos; no entanto, do mesmo modo
que o acesso facilitado para usurios legtimos, ele facilitado tambm para
possveis hackers.
Dentro de um escritrio, um outro aspecto interessante. Com o uso de protocolos como o Bluetooth, a comunicao entre diferentes equipamentos passa a ter
condies de ser feita sem a necessidade de fios. O mouse, o teclado e a cmera de
vdeo passam a comunicar-se livremente com o computador, modernizando o ambiente. Em contrapartida, os riscos tambm aumentam, pois esses dispositivos passam a estar sujeitos a controles indevidos. Com o uso de fios, esses riscos praticamente nem existiriam.
As prximas sees trataro das questes de segurana em redes sem fio e, em
seguida, dos aspectos especficos do Bluetooth e dos protocolos de WLAN, padro
IEEE 802.11.

5.3. SEGURANA EM REDES SEM FIO


Sob o ponto de vista da segurana, pode-se dizer que novos riscos foram introduzidos aos usurios. Se anteriormente um hacker tinha de ter pelo menos o acesso
a um ponto de rede para ter acesso aos pacotes que trafegam por ela, com as redes
sem fio isso no necessrio. Basta que esteja dentro da rea de cobertura de cada
tecnologia para que os pacotes cheguem at ele, e este possa ler, modificar ou
inserir novos pacotes.
Assim, as arquiteturas de segurana das novas tecnologias sem fio tratam, principalmente, dos aspectos envolvidos com o nvel fsico (ondas de rdio ou sinais
infravermelhos) e o nvel de enlace, no qual as conexes tm incio. Para as camadas superiores, a mesma abordagem de segurana das redes com fio deve ser usada.
A segurana pode tornar-se o fator mais crucial para o sucesso das comunicaes
sem fio das prximas duas dcadas [NIC 02]. Isso porque a confiana dos consumidores em realizar transaes online ser o resultado da percepo da segurana no meio
sem fio. Os usurios atualmente esto muito preocupados com questes de privacidade, e deixam de usar uma determinada tecnologia devido aos riscos existentes.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 5: Novas funcionalidades e riscos: redes sem fio

126
Alm da segurana, o desenvolvimento de novas aplicaes que tiram proveito
da mobilidade, como as voltadas Internet, ao comrcio eletrnico, diverso e
localizao remota, tambm so fatores de sucesso para as tecnologias sem fio. O
conjunto da percepo de segurana, aliada a uma nova forma de entretenimento,
acesso instantneo informao e facilidade de realizar tarefas do cotidiano, ser
primordial para um avano ainda maior das tecnologias sem fio.
Assim, a natureza das comunicaes sem fio faz com que a segurana seja um
fator significante que deve ser entendido, discutido e solucionado para que as redes
sem fio alcancem seu vasto potencial. Afinal, os sinais so enviados pelo ar e irradiados em todas as direes; portanto, qualquer indivduo portando um receptor
sintonizado na freqncia correta pode interceptar a comunicao [NIC 02]. Alm
disso, outra dificuldade de se prover segurana em redes sem fio est relacionada ao
alcance das transmisses, que exigem a mudana de clulas de acesso, conforme a
mobilidade [NIC 02].
Alm da segurana, outros desafios devem ser considerados para a segurana de
dispositivos mveis, tais como [NIC 02]:
*
*
*
*
*
*
*
*

Pouco poder de processamento, se comparado com computadores pessoais.


Limite no suporte a algoritmos criptogrficos.
Capacidade de armazenamento limitada.
Imposio de conservao de energia.
Restries em largura de banda, taxa de erro, latncia e variabilidade.
Capacidade limitada do visor.
Questes relativas experincia e usabilidade dos usurios.
Overhead e compresso de protocolos que influem no desempenho da rede.

Esses fatores fazem com que a segurana em redes sem fio possua uma natureza
diferente, pois eles esto relacionados. Com isso, as solues e infra-estruturas j
existentes devem ser adaptadas e integradas, para serem usadas em um ambiente
mvel. Alm disso, deve-se considerar a consistncia e a interoperabilidade entre a
grande gama de dispositivos mveis sem fio. Outro ponto importante que a segurana no pode resultar em grande impacto aos usurios, uma vez que isso pode
afetar sua usabilidade e aceitao.
As prximas sees apresentaro os aspectos de segurana envolvidos com o
Bluetooth e os protocolos usados em WLAN, mostrando os modelos de segurana
usados por cada tecnologia. A nfase ser dada s particularidades existentes em
redes sem fio, na qual a autenticao dos dispositivos mveis nos pontos de acesso
e o sigilo das informaes que trafegam no ar so necessrios.

127

5.4. BLUETOOTH
O Bluetooth um protocolo usado nas redes pessoais sem fio Wireless Personal
Area Networking (WPAN), que cobre distncias entre dez e cem metros. Sua importncia e seu impacto tendem a ser maiores no cotidiano das pessoas, porque o
Bluetooth um protocolo que ser utilizado em diversos tipos de dispositivos, e
diretamente por usurios finais comuns. Justamente, devido a isso, podem-se imaginar grandes mudanas na prtica dos usurios, sendo possvel at mesmo vislumbrar novas aplicaes inovadoras que envolvam a computao mvel pessoal.
As aplicaes do Bluetooth so muitas: o comrcio eletrnico pode tirar proveito do pagamento de ingressos de cinemas, ingressos de shows, compras, passagens
de nibus, refrigerantes, entre outros. Empresas podem usar o protocolo para o
controle de acesso fsico ao prdio, com possibilidade de programao para que a
sala tenha a luz acesa e o computador seja ligado com a chegada do usurio, por
exemplo. As indstrias de equipamentos domsticos, de componentes automobilsticos e de entretenimento tambm podem ganhar com o Bluetooth [DAS 02-1], de
maneira que uma nova forma de interao homem-mquina pode estar a caminho.
A relao de produtos de diversos segmentos pode ser vista no site Web da Bluetooth
[BLU 03]. Oficialmente, em janeiro de 2003, existiam 781 produtos compatveis
com o protocolo, os quais incluem produtos como telefones sem fio, produtos domsticos como geladeiras e microondas, equipamentos automotivos, telefones celulares, handhelds, microfones, cmeras digitais e outros.

5.4.1. Histrico
O Bluetooth foi concebido com a incumbncia de unir o mundo da computao
e das telecomunicaes. A origem, em 1994, pela Ericsson Mobile Communications,
surgiu da investigao de uma interface de rdio de baixo custo e consumo entre
telefones mveis e seus acessrios. Em 1998, o Special Interest Group (SIG) foi
criado pela Ericsson, Nokia, IBM, Toshiba e Intel, que compunham um forte grupo
com dois lderes de mercado da telefonia mvel, dois lderes de mercado de equipamentos de computao mvel e um lder de mercado de tecnologia de processamento
de sinais digitais [DAS 02-1].
Em 2003, o SIG era formado por 3Com Corporation, Agere Systems Inc., Ericsson
Technology Licensing AB, IBM Corporation, Intel Corporation, Microsoft Corporation,
Motorola Inc., Nokia Corporation e Toshiba Corporation, alm de centenas de associados e membros [BLU 03]. A aliana entre empresas de comunicao e computao mvel para criar um padro para comunicao sem fio para distncias entre dez
e cem metros conta atualmente com 1 790 outros fabricantes, entre handhelds e

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 5: Novas funcionalidades e riscos: redes sem fio

128

129

terminais mveis [DAS 02-1]. O padro que est sendo especificado pelo Institute of
Electrical and Electronic Engineers (IEEE), o 802.15, derivado da especificao do
Bluetooth.

5.4.2. Arquitetura e protocolos do Bluetooth


O Bluetooth opera na banda de 2.4 GHz e sua cobertura definida pela classe de
gerenciamento de energia. Atualmente, existem trs classes de dispositivos definidas. Dispositivos de Classe 1 possuem nvel de energia alto, o que faz com que
operem a uma distncia de at cem metros, que cobre um espao mdio de uma casa
ou loja. J dispositivos de Classe 3 alcanam at dez metros, que cobre uma rea
pessoal como um quarto ou uma sala. As classes de dispositivos, as potncias e as
distncias cobertas pelo Bluetooth podem ser vistas na Tabela 5.1 [KAR 02][NIC
02].
Tabela 5.1

Figura 5.4

Classes de dispositivos Bluetooth.

Tipo

Potncia

Nvel de potncia

Distncia coberta

Dispositivos de Classe 1
Dispositivos de Classe 2
Dispositivos de Classe 3

Alta
Mdia
Baixa

100 mW (20 dBm)


2.5 mW (4 dBm)
1 mW (0 dBm)

At cem metros
At dez metros
0,1 a dez metros

O protocolo funciona em background, transparentemente para o usurio. O processo de conexo iniciado automaticamente quando um dispositivo Bluetooth
encontrado, de forma que o seu uso pelos usurios fica simplificado [DAS 02-1].
Assim, pode-se considerar que o Bluetooth forma uma rede espontnea e ad-hoc.
A rede formada pelo conjunto de dispositivos Bluetooth, os quais esto fisicamente prximos para comunicao e troca de informaes, chamada de piconet.
Os scatternets so grupos de piconets [NIC 02]. Na Figura 5.4 possvel observar que
um dispositivo pode fazer parte de diferentes piconets, porm pode ser o master de
apenas um. Na figura, possvel ver que o laptop do usurio C, por exemplo, o
master da piconet 3, e participa tambm da piconet 1. O laptop D est atuando como
roteador entre o laptop E e a piconet 1. Os masters so os dispositivos que iniciam a
troca de dados, e os slaves (outros dispositivos de uma piconet) sempre respondem
aos masters.

Scatternet de uma rede Bluetooth.

A definio da especificao do Bluetooth partiu de alguns princpios, destinados a tornar o protocolo um padro fcil de ser implementado e aceito no mercado.
O Bluetooth visa a otimizao do modelo de uso de diversos dispositivos mveis,
seguindo alguns princpios [NIC 02]:
*
*
*
*
*
*
*

Uso global.
Manipulao de voz e dados.
Estabelecimento de conexes e redes ad-hoc.
Evitar interferncias de outras origens em uma banda aberta.
Consumo menor, se comparado com outros dispositivos de uso similar.
Padro de interface aberta.
Custos competitivos, se comparados com similares.

A arquitetura do Bluetooth, que pode ser vista na Figura 5.5, formada por um
conjunto de protocolos que realizam tarefas especficas, desde a obteno de informaes sobre dispositivos para conexo at o estabelecimento e controle de uma
conexo sem fio. Alguns protocolos especficos do Bluetooth esto em destaque na
Figura 5.5, enquanto outros so usados tambm por outras tecnologias e podem
estar implementados nos dispositivos Bluetooth.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 5: Novas funcionalidades e riscos: redes sem fio

130

131
* Radio Frequency Communications (RFCOMM): o protocolo para constituio
de comunicao via rdio, e faz a interface para que todos os protocolos de
sesso e aplicao trabalhem com o Bluetooth.

5.4.3. Perfis do Bluetooth


O Bluetooth possui um conjunto de perfis (profiles) que definem mensagens e
procedimentos especficos para cada tipo de servio definido. Essa diviso em perfis
torna mais claro o uso de protocolos especficos para cada tipo de dispositivo, o que
simplifica e auxilia na implementao. Os aspectos de segurana envolvidos com
cada perfil tambm podem ser associados com cada tipo de dispositivo, o que um
fator importante para minimizar possveis riscos. interessante notar que alguns
perfis possuem uma relao de dependncia, como ser discutido posteriormente.
Os perfis definidos na especificao do Bluetooth so [BLU 01]:

Figura 5.5

A arquitetura do Bluetooth, com os protocolos especficos em destaque.

Os protocolos mais importantes do Bluetooth e suas funes so [ANA 01]:


* Service Discovery Protocol (SDP): o SDP permite que os dispositivos obtenham informaes sobre tipos de dispositivos, servios e especificaes.
Com essas informaes, os dispositivos Bluetooth podem iniciar o processo
de autenticao.
* Baseband: a camada que permite a conexo fsica, via freqncia de rdio,
entre dispositivos Bluetooth.
* Logical Link Control and Adaptation Protocol (L2CAP): o protocolo que faz a
interface entre o baseband e os protocolos de sesso.
* Link Manager Protocol (LMP): funcionando paralelamente ao L2CAP, o LMP o
responsvel pelo estabelecimento de conexo entre dois dispositivos Bluetooth.
Ele controla parmetros como tamanho do pacote, o uso de autenticao e o
uso de criptografia.
* Host Controller Interface (HCI): prov a interface de comando para o controlador
baseband, para o gerenciador de conexo (Link Manager) e outros controladores
de hardware.

* Generic Access Profile: define os procedimentos genricos para a descoberta de


dispositivos Bluetooth e os aspectos de gerenciamento do canal de comunicao entre dispositivos. Define tambm os procedimentos de uso de diferentes
nveis de segurana, alm de definir o formato de requisitos comuns para
parmetros da interface do usurio.
* Service Discovery Application Profile: define as caractersticas e os procedimentos para que as aplicaes descubram servios registrados em outros dispositivos Bluetooth. Esse perfil possibilita tambm a obteno de informaes disponveis pertinentes a esses servios.
* Cordless Telephony Profile: define as caractersticas e os procedimentos para
a interoperabilidade entre diferentes unidades de telefones 3 em 1 (atua
como celular, telefone sem fio e terminal Bluetooth, dependendo das condies).
* Intercom Profile: define os requisitos necessrios para que os dispositivos
Bluetooth funcionem como um telefone 3 em 1. Os requisitos so caractersticas e procedimentos para a interoperabilidade entre dispositivos Bluetooth e
telefones 3 em 1.
* Serial Port Profile: define os requisitos necessrios para a configurao de
conexes de cabo serial emuladas entre dispositivos Bluetooth via RFCOMM.
* Headset Profile: define os requisitos para o suporte ao uso de headsets por
dispositivos Bluetooth.
* Dial-Up Networking Profile: define os requisitos para o suporte Bluetooth a
redes dial-up.
* Fax Profile: define os requisitos para o suporte Bluetooth a fax.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 5: Novas funcionalidades e riscos: redes sem fio

132

133

* LAN Access Profile: define como um dispositivo Bluetooth acessa uma LAN
usando Point-to-Point Protocol (PPP), e tambm define como mecanismos PPP
so usados por dois dispositivos Bluetooth para a formao de uma LAN.
* Generic Object Exchange Profile: define os requisitos para suporte ao protocolo
Object Exchange.
* Object Push Profile: define os requisitos para suporte ao modelo de Object
Push.
* File Transfer Profile: define os requisitos para suporte transferncia de
arquivos.
* Synchronization Profile: define os requisitos para suporte ao modelo de sincronizao do Bluetooth.
Os perfis definem as mensagens e procedimentos que so implementados por
cada tipo especfico de dispositivo Bluetooth, e possuem uma relao de dependncia, que pode ser vista na Figura 5.6. Isso importante porque, alm de facilitar a implementao, auxilia tambm nas questes de segurana. Por exemplo, a
especificao de segurana definida para o Generic Access Profile usada tambm
pelos demais perfis. A relao de dependncia pode ser observada, por exemplo,
no LAN Access Profile, que depende do Serial Port Profile, que por sua vez depende
do Generic Access Profile [BLU 02][BLU 01]. Isso faz com que os mecanismos de
segurana definidos para o Generic Access Profile sejam usados pelos outros perfis
e o LAN Access Profile, por exemplo, utilize mecanismos de segurana prprios de
seu perfil.

5.4.4. Modelo de segurana do Bluetooth


O Bluetooth possui um modelo de segurana baseado na autenticao, tanto
para o estabelecimento de conexes entre dispositivos quanto para o acesso a servios. O uso de criptografia tambm especificado, porm um aspecto que merece
ateno o fato de ele ser usado em diversos tipos de dispositivos, por usurios
comuns. Isso faz com que o nmero de vtimas potenciais aumente na mesma medida da variedade das intenes de ataques contra dispositivos Bluetooth.
Esse cenrio relacionado ao aumento do nmero de usurios e ao crescimento da
variedade de utilizao de dispositivos Bluetooth faz com que problemas de configurao, de escolha de chaves e da forma de armazenamento de chaves tornem-se
problemas comuns e corriqueiros para os usurios. Alguns problemas j foram reportados, como a descoberta de configuraes erradas ou a falta de configurao de
segurana em Personal Digital Assistants (PDAs) e celulares [JUD 02].
Alguns experimentos mostraram que os dispositivos podem estar expostos a
acessos indevidos, permitindo que terceiros tenham acesso a todas as informaes
de um PDA. Foi demonstrado tambm que possvel at mesmo realizar ligaes
celulares usando aparelhos de terceiros, em uma tcnica apelidada de Warphoning
[JUD 02]. Porm, esses so problemas relacionados a usurios e configuraes erradas, ou seja, essas demonstraes no exploraram fraquezas do modelo de segurana do Bluetooth.
Na camada fsica, o Bluetooth usa o Frequency-Hopping no envio de sinais, para
evitar a interferncia com outros dispositivos e tambm para dificultar a interceptao
de um fluxo de dados significativo [NIC 02].
O modelo de segurana do Bluetooth baseado em modos de segurana, em nveis
de confiana dos dispositivos e em nvel de segurana dos servios, como pode ser
visto na Figura 5.7. O conjunto de requisitos de segurana avaliado em diversas
etapas, desde o estabelecimento de uma comunicao at o acesso a servios.

Figura 5.7

Figura 5.6

Os perfis do Bluetooth e suas interdependncias.

O modelo de segurana do Bluetooth.

A especificao do Bluetooth detalha trs modos de segurana, nos quais o


protocolo funciona [NIC 02][KAR 02]:

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 5: Novas funcionalidades e riscos: redes sem fio

134
* Modo 1: sem segurana.
* Modo 2: segurana reforada no nvel de servio segurana aps a configurao do canal, o que possibilita que o gerenciador de segurana (Security
Manager) controle o acesso a servios e dispositivos.
* Modo 3: segurana reforada no nvel de enlace segurana antes da configurao do canal, via processo de pairing (Seo 5.4.6).
Alm dos trs modos de segurana, existem ainda dois nveis de confiana para
os dispositivos [NIC 02]:
* Dispositivos confiveis, que possuem um relacionamento fixo e acesso aos
servios.
* Dispositivos no confiveis, que no possuem relacionamento permanente e
possuem restries de acesso a servios.

135
cas so administradas pelo gerenciador de segurana. Ele atua em todos os nveis,
desde o estabelecimento do canal no nvel de enlace at o nvel de aplicao e
interface dos usurios, realizando funes como [NIC 02]:
* Armazenar informaes sobre a segurana dos servios na base de dados de
servios.
* Armazenar informaes sobre a segurana dos dispositivos na base de dados
de dispositivos.
* Responder a requisies de acesso de protocolos ou aplicaes.
* Forar a autenticao e/ou criptografia antes da conexo na aplicao.
* Estabelecer relaes de confiana entre dispositivos.
* Fazer uso de Personal Identification Number (PIN).
* Responder s requisies de acesso da camada de protocolos.
* Responder s requisies Host Controller Interface (HCI) para uso ou no de
autenticao e/ou criptografia.

Os nveis de segurana de servios so [KAR 02]:


* Nvel 1 de servio: requer autorizao e autenticao. O acesso automtico
oferecido apenas a dispositivos confiveis. Dispositivos no confiveis precisam de autorizao manual.
* Nvel 2 de servio: requer apenas autenticao. O acesso aplicao permitido apenas aps o procedimento de autenticao e a autorizao no necessria;
* Nvel 3 de servio: o acesso permitido automaticamente a todos os dispositivos.
O relacionamento entre os requisitos de uma comunicao Bluetooth gerenciado
pelo gerenciador de segurana (Security Manager), que ser visto na prxima seo.
As informaes sobre os nveis de segurana dos servios e nveis de confiana dos
dispositivos so armazenadas em base de dados especficas, controladas pelo
gerenciador de segurana. A cada acesso, as bases de dados so consultadas, para
verificar se a autenticao e a autorizao so necessrias. O fluxo de mensagens
para o acesso a servios discutido na prxima seo.

5.4.5. Arquitetura de segurana do Bluetooth


Na arquitetura de segurana do Bluetooth, o gerenciador de segurana (Security
Manager) possui uma funo primordial, pois centraliza todas as negociaes para
o estabelecimento das conexes. Como pode ser visto na Figura 5.8, todas as polti-

Figura 5.8

Arquitetura de segurana do Bluetooth.

Uma forma simplificada do estabelecimento de uma conexo Bluetooth e a sua


interao com o gerenciador de segurana podem ser vistas na Figura 5.9. A concesso de acesso, que acontece aps o estabelecimento da conexo no nvel de enlace,
corresponde ao Modo 2 de segurana. Os passos realizados so:
1. Requisio de conexo no Logical Link Control and Adaptation Protocol (L2CAP).
2. L2CAP requisita informao de acesso ao gerenciador de segurana.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 5: Novas funcionalidades e riscos: redes sem fio

136

137

3. O gerenciador de segurana busca servios permitidos na base de dados de


servios.
4. O gerenciador de segurana busca o nvel de confiana na base de dados de
dispositivos.
5. O gerenciador de segurana usa a autenticao e a criptografia no Host Controller
Interface (HCI), caso seja requerido.
6. O gerenciador de segurana concede o acesso.
7. O L2CAP continua a configurar a conexo enviando o pacote ao nvel de aplicao.

Figura 5.9

Estabelecimento de uma conexo Bluetooth.

Os modos de segurana tambm so controlados pelo gerenciador de segurana


do Bluetooth. Na Figura 5.10, possvel verificar o fluxograma de decises do
gerenciador de segurana, considerando o Host Controller Interface (HCI), Logical
Link Control and Adaptation Layer (L2CAP), Radio Frequency Communications
(RFCOMM), aplicaes, interface de usurio e base de dados de servios e dispositivos [NIC 02].

Figura 5.10

Uso dos modos de segurana do Bluetooth.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 5: Novas funcionalidades e riscos: redes sem fio

138
possvel verificar na Figura 5.10 que no Modo 3 de segurana (segurana
reforada no nvel de enlace, antes da configurao do canal) existe um nvel de
segurana antes do estabelecimento do canal, que feito pelo Link Manager Protocol
(LMP). O LMP verifica se o dispositivo est no Modo 3 de segurana e, caso ele
esteja, exige a autenticao e o uso de criptografia antes do estabelecimento do
canal. Isso no existe caso o dispositivo esteja no Modo 1 ou 2 de segurana.
A autenticao feita pelo LMP ser vista com mais detalhes na Seo 5.4.6.
Aps o estabelecimento do canal controlado pelo LMP, o L2CAP faz o gerenciamento
e controle do fluxo de dados. O Nvel 2 de segurana, que realiza o controle de acesso
a servios e dispositivos, controlado tambm pelo L2CAP. Em conjunto com o
gerenciador de segurana, as bases de dados de servios e dispositivos so consultadas, podendo ser necessria a autenticao e o uso de criptografia para o acesso aos
servios, conforme a poltica de acesso definida para o dispositivo e o servio.

5.4.6. AUTENTICAO NO NVEL DE ENLACE


A autenticao no nvel de enlace realizada no Modo 3 de segurana, pelo Link
Manager Protocol (LMP), antes do estabelecimento da conexo. A Figura 5.11 apresenta um fluxograma do processo de autenticao realizado pelo LMP. Caso uma chave
de canal (link key) compartilhada exista, a autenticao baseada nessa chave. Caso
ela no esteja disponvel, deve ser gerada via um processo de emparelhamento (pairing).

139
Na autenticao de dispositivos Bluetooth, uma chave compartilhada utilizada, e chamada de chave de canal (link key). A chave de canal gerada via uma
sesso de comunicao especial denominada emparelhamento (pairing). O processo
de gerao da chave de canal compartilhada feito com base em quatro elementos
[NIC 02]:
*
*
*
*

Endereo do dispositivo (BD_ADDR) de 48 bits.


Chave de autenticao de 128 bits.
Chave de criptografia de 8-128 bits.
Nmero aleatrio (RAND) de 128 bits, gerado pelo dispositivo.

A chave de canal gerada durante uma fase inicial, na qual dois dispositivos
Bluetooth se associam. A associao ocorre quando ambos os dispositivos derivam
chaves de canal iguais a partir de um PIN. A autenticao pode ser feita aps essa
fase inicial. A chave de canal tambm pode ser criada usando-se mtodos de troca
de chaves e importada diretamente por mdulos Bluetooth. A gerao da chave de
canal, a partir de um PIN, pode ser vista na Figura 5.12.

Figura 5.12

Figura 5.11 Procedimento de autenticao para verificao do nvel de confiana.

Gerao da chave de canal do Bluetooth a partir do PIN.

Existem dois tipos de chave de canal: unit key (usa a mesma chave para todas as
conexes) e combination key (especfico para cada par de dispositivos) [XYD 02].
No pairing, o Bluetooth usa uma chave de inicializao (initialization key), que
computada a partir do endereo de cada dispositivo Bluetooth, de um nmero
aleatrio e de um PIN. A chave de inicializao usada somente uma vez, no incio
do emparelhamento [XYD 02].
A master key uma chave temporria que substitui a chave de canal quando o
dispositivo master de uma piconet quer transmitir dados para mais de um dispositivo slave.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 5: Novas funcionalidades e riscos: redes sem fio

140

141

Aps a gerao da chave de canal, de 128 bits, a autenticao do Bluetooth, baseada


em desafio-resposta, feita da seguinte forma, como na Figura 5.13 [KAR 02]:

Figura 5.13

dos dados, como pode ser visto na Figura 5.14. O key stream gerado pelo E0 passa
por um processo de XOR com a informao. O valor ACO usado como entrada para
o Key Generator (KG), juntamente com a chave de canal e um nmero aleatrio.
A chave gerada, a chave de cifragem (Kc), com tamanho entre 8 e 128 bits,
uma das entradas do E0, que usa ainda um nmero aleatrio (EN_RAND), a identidade do master (BD_ADDR) e um slot number [KAR 02].

Autenticao do Bluetooth.

possvel verificar na Figura 5.13 que a autenticao do Bluetooth realizada


seguindo-se os seguintes passos [KAR 02]:
* Um dispositivo (A) transmite seu endereo de 48 bits (BD_ADDR) para o outro
dispositivo (B).
* O dispositivo B transmite um desafio aleatrio de 128 bits (AU_RAND) para o
dispositivo A.
* O dispositivo B usa o algoritmo E1, que baseado no SAFER+, para computar
a resposta, usando o endereo, a chave de canal e o desafio aleatrio como
entradas do algoritmo. O dispositivo A realiza a mesma operao, com o mesmo algoritmo.
* O dispositivo A retorna a resposta (SRES), de 32 bits, j computada pela operao feita pelo E1, para o dispositivo B.
* O dispositivo B compara o SRES do dispositivo A com o SRES que ele computou.
* Se o SRES de 32 bits dos dispositivos A e B forem iguais, a conexo concedida.
O valor ACO de 96 bits gerado pelo algoritmo E1 ser usado no processo de
proteo do sigilo das informaes. O Bluetooth usa o algoritmo E0 para a cifragem

Figura 5.14

Procedimento de cifragem do Bluetooth.

Quanto ao uso da criptografia, existem 3 modos [KAR 02]:


* Modo 1 de criptografia: sem cifragem de nenhum trfego.
* Modo 2 de criptografia: trfego de broadcast no cifrado, apenas o trfego
individual, de acordo com as chaves de canal individuais.
* Modo 3 de criptografia: todo o trfego cifrado de acordo com a chave de
canal do master (master key).
Assim, a autenticao no nvel de enlace realizada pelo LMP, passando o processo de conexo para o L2CAP, no qual atua o gerenciador de segurana. O meca-

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 5: Novas funcionalidades e riscos: redes sem fio

142
nismo de segurana visto at aqui faz parte do perfil mais genrico do Bluetooth, o
Generic Access Profile, que faz parte de todos os outros perfis. Na Seo 5.4.7, novos
mecanismos de segurana, especficos do Headset Profile, so apresentados. Esse
perfil tambm usa os mecanismos de segurana do Generic Access Profile.

5.4.7. Segurana no Headset Profile


A segurana em dispositivos pessoais headset baseada em uma chave (passkey)
que usada para a criao de associaes de segurana, usadas na autenticao e
cifragem das comunicaes [BLU 02].
A arquitetura do perfil pode ser vista na Figura 5.15. O Audio Gateway normalmente um telefone celular, laptop, PC ou qualquer outro dispositivo de udio, como
rdio ou tocador de CD [BLU 02].

143
* O usurio configura o headset para o modo pairing pressionando um boto do
headset.
* O headset indica que est pronto para o pairing.
* O usurio prepara o telefone mvel para descobrir um headset Bluetooth.
* O telefone inicia uma conexo Bluetooth com o headset.
* Na configurao do canal LMP, o headset solicita a autenticao do telefone.
* O telefone detecta a inexistncia de uma chave de canal com o headset e
requisita o pairing.
* O telefone pede a passkey do headset para o usurio.
* O usurio insere a passkey e uma chave de canal derivada e compartilhada
entre o telefone e o headset.
* A nova chave de canal armazenada em uma memria no voltil no telefone
e no headset.
* O headset autentica o telefone.
* O telefone autentica o headset.
* O headset e o telefone executam a troca da chave de criptografia.
* A configurao do LMP completada, de forma que a comunicao entre o
telefone e o headset cifrada.
* O usurio configura o headset para sair do modo pairing, para no aceitar
novos pedidos ou requisies de pairing.
Caso o usurio queira emprestar seu headset a um amigo, recomendado que a
passkey seja alterada e que a chave de canal seja removida do dispositivo [BLU 02].
Alm disso, a troca de chaves do processo de pairing feita via um canal inicial
que no cifrado, o que requer cuidados adicionais para minimizar riscos de
interceptao das chaves [BLU 02].

Figura 5.15 Arquitetura de segurana do Headset Profile.

A interface de porta serial pode ser usada para atualizaes de aplicaes, mudana na poltica de acessos ou outras configuraes [BLU 02].
A passkey usada por cada headset para a autenticao e cifragem do canal de
comunicao pode ser gerenciada de diferentes maneiras: estar fixa no dispositivo,
configurada por um dispositivo externo ou gerada aleatoriamente para cada dispositivo [BLU 02]. A gerao aleatria da passkey, combinada com a configurao via
dispositivo externo, interessante para o caso de perda ou roubo do dispositivo,
pois torna o seu uso indiscriminado mais difcil [BLU 02].
O exemplo a seguir mostra os passos para o uso de um headset juntamente com
um telefone mvel [BLU 02]:

5.4.8. Aspectos de segurana do Bluetooth


Como operam em um espao areo desregulamentado (2.4 GHz), o Bluetooth e o
padro IEEE 802.11 (Seo 5.5.1) podem causar degradao de desempenho, caso
operem prximos um do outro. Testes da Symbol Technologies Inc. e Toshiba
Corporation confirmaram um decrscimo de desempenho, caso os dispositivos estejam entre dois e trs metros perto um do outro [NIC 02][KHA 01]. Em um teste com
notebook, a velocidade de uma rede 802.11b (Seo 5.5) caiu de uma taxa de 11
Mbps para 1 Mbps a uma distncia de menos de um metro. Acima dessa distncia, a
degradao de desempenho no foi to significativa, segundo o teste [MER 01].
O preo das licenas de espectro caro, de forma que muitas dessas redes sero
implementadas em bandas no licenciadas. Isso faz com que a preveno contra

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 5: Novas funcionalidades e riscos: redes sem fio

144
interferncias deva ser robusta, pois telefones sem fio tambm podem causar interferncias. A interferncia em bandas no licenciadas comum, de modo que a
Federal Communications Comission (FCC) requer que todos os dispositivos tenham
um aviso de que podem estar sujeitos a interferncias [KHA 01]. A FCC tem definido
tambm um conjunto de regras para permitir que mltiplos dispositivos compartilhem o espectro, de maneira que permita a inovao na construo de rdios que
minimizem as interferncias [KHA 01].
Assim, o jamming constitui uma ameaa ao Bluetooth. Ele uma interferncia
intencional que probe a transmisso de informao e muito usado militarmente.
Em muitos pases, o uso de jamming ilegal. Um uso muito comum do jamming
para evitar o uso de celulares em lugares pblicos como restaurantes ou cinemas
[NIC 02].
Alm do jamming, a configurao errada ou a falta de configurao de segurana faz com que PDAs e celulares estejam expostos a acessos indevidos, os quais
permitem que terceiros tenham acesso a todas as informaes do PDA, ou mesmo
realizar ligaes celulares usando aparelhos de terceiros [JUD 02].
Alm da falta do uso de criptografia como padro, resultante de erros de configurao, a autenticao tambm constitui um problema, pois so os dispositivos, e
no os usurios, que so autenticados [NIC 02].
Os problemas de segurana do Bluetooth podem ser divididos em [NIC 02]:
*
*
*
*

Ataque ao endereo do dispositivo Bluetooth.


Gerenciamento de chaves.
Ataque ao cdigo PIN.
Falta de suporte autenticao de usurios.

Alguns pontos importantes sobre a segurana do Bluetooth so [NIC 02][KAR


02][SCH 03]:
* A robustez do gerador aleatrio do desafio-resposta no conhecida, o que,
caso seja fraca, pode produzir nmeros estticos ou peridicos que reduzem o
nvel de segurana da autenticao.
* PINs curtos ou facilmente adivinhados so permitidos.
* Tentativas de autenticao podem ser repetidas, abrindo possibilidade de ataques de fora bruta.
* Uma gerao e distribuio mais elegante de PINs no existem, causando problemas de escalabilidade.
* O tamanho da chave de criptografia negocivel, permitindo o uso de chaves
curtas e fracas.

145
* A unit key como chave de canal reutilizvel e torna-se pblica aps o seu
uso.
* O compartilhamento da unit key passvel de captura.
* A master key compartilhada.
* No existe a autenticao do usurio.
* O algoritmo stream cipher E0 considerado fraco.
* A privacidade termina se o endereo do dispositivo Bluetooth (BD_ADDR)
capturado e associado com outro usurio.
* A autenticao do dispositivo um simples desafio-resposta com chave compartilhada, passvel de ataque do tipo man-in-the-middle.
* No existe segurana fim-a-fim, apenas dos canais individuais.
* Os servios de segurana so limitados, sem a existncia de auditoria e no
repdio, por exemplo.
Assim, grande parte dos problemas de segurana do Bluetooth comum no
somente s redes sem fio, mas tambm s redes com fio. Novos riscos so introduzidos com tecnologias sem fio, nas quais os maiores problemas so a possibilidade
de captura da chave e ataques man-in-the-middle. Porm, mtodos mais sofisticados
de gerenciamento de chaves, que podem minimizar esses riscos, possuem um alto
custo para serem implementados em dispositivos to diversificados como os que
usam o Bluetooth.
Como foi visto na Seo 5.3, existem limitaes em pontos fundamentais como
o armazenamento, o poder de processamento e a largura de banda, que podem
inviabilizar o uso de um mtodo mais forte, que inclua, por exemplo, o uso de
criptografia de chaves pblicas.
Alm disso, o fato de os dispositivos Bluetooth serem usados em grande parte
por usurios domsticos faz com que a possibilidade de disseminao de novos
tipos de brincadeiras aumente.
Assim, a melhor forma de combater os riscos decorrentes do uso do Bluetooth
seguir as recomendaes de configuraes mais seguras, tomar cuidado na escolha de
PINs e usar mecanismos de segurana que vo alm do Bluetooth. Afinal de contas, o
Bluetooth funciona nos nveis de enlace e fsico, sendo possvel, em alguns casos, o
uso de mtodos de segurana nos nveis de rede e de aplicao, por exemplo.

5.5. WLAN
As redes Wireless Local Access Network (WLAN) apresentam um grande crescimento, tanto de mercado quanto de tecnologia. A Gartner, por exemplo, estima que
50% dos notebooks corporativos usaro a WLAN em 2003. Em 2000, o nmero era de

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 5: Novas funcionalidades e riscos: redes sem fio

146
nove% dos notebooks e a previso de uso para 2007 de 90%. Os valores envolvidos
no mercado de WLAN sero de 2,8 bilhes de dlares em 2003, pois em 2002 foram
investidos 2,1 bilhes de dlares em equipamentos WLAN, ou seja, um crescimento
de mais de 33% [GAR 03].
As WLANs so usadas principalmente como alternativas s redes fixas em ambientes como empresas, hotis, centros de convenes. Atuando em distncias de at
cem metros, o uso de WLAN representa uma srie de benefcios, tais como:

147
Para os usurios, a convenincia e a flexibilidade foram apontadas como os maiores
benefcios, enquanto a mobilidade e a convenincia foram apontadas pelas empresas.
A pesquisa mostrou tambm que as principais aplicaes para WLANs so o correio
eletrnico e o acesso Internet, como pode ser visto na Figura 5.19 [NOP 01].

* Mobilidade dos usurios.


* Instalao rpida: sem necessidade de infra-estrutura.
* Flexibilidade: possibilidade de criar WLANs temporrias e especficas, como
em eventos, demonstraes de produtos etc.
* Escalabilidade.
* Aumento de produtividade, com conexo permanente em todo o escritrio,
facilitando o andamento de reunies e projetos em equipes distintas.
De fato, uma pesquisa com 404 entrevistados, realizada em 2001, mostrou que a
mobilidade, a desnecessidade de cabos e a acessibilidade so os principais benefcios apontados. Os principais benefcios do uso de WLANs identificados pela pesquisa
podem ser vistos na Figura 5.16 [NOP 01].

Figura 5.17 Benefcios do uso de WLAN para os usurios.

Figura 5.16 Benefcios do uso de WLANs.

A mesma pesquisa, com 160 entrevistados, mostrou tambm os cinco maiores


benefcios identificados pelos usurios (Figura 5.17) e pelas empresas (Figura 5.18).

Figura 5.18

Benefcios do uso de WLAN para as empresas.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 5: Novas funcionalidades e riscos: redes sem fio

148

Figura 5.19 Principais aplicaes usadas para WLANs.

A tecnologia de redes sem fio, alm de ser fascinante sob o ponto de vista
tecnolgico, pode trazer grandes avanos de produtividade. Na FedEx, por exemplo,
o uso de redes sem fio j acontece h cinco anos. Com dez mil pontos de acesso, a
FedEx estima que o ganho de produtividade chega a 30% [NET 03-2]. Essa taxa
medida no processo de rastreamento dos pacotes, no qual os operadores podem
realizar o trabalho tranqilamente, sem que fios atrapalhem o rastreamento, que
chega a ser feito, em mdia, 12 vezes por pacote [NET 03-2].
Uma WLAN usa freqncia de rdio e ondas eletromagnticas em infravermelho
para a transferncia de dados. A Federal Communications Commission (FCC) estabeleceu as bandas como sendo de 900 MHz, 2.4 GHz e 5 GHz. A maioria usa a banda de
2.4 GHz, devido disponibilidade global e interferncia reduzida [NIC 02]. O
padro 802.11, do Institute of Electrical and Electronic Engineers (IEEE), usado
principalmente nos Estados Unidos e no Brasil, enquanto na Europa o HyperLan II
o mais utilizado [NIC 02].
Para que a tecnologia baseada no padro 802.11 seja difundida mais rapidamente, a Wi-Fi Alliance foi criada. Ela uma associao internacional sem fins lucrativos formada, em 1999, para certificar a interoperabilidade de produtos baseados na
especificao IEEE 802.11. Em janeiro de 2003, a Wi-Fi Alliance possua 193 membros e 511 produtos certificados desde maro de 2000 [WIFI 03].

149
O movimento Wireless Fidelity (Wi-Fi), criado pela Wi-Fi Alliance, considerado
sinnimo de liberdade [WIFI 03]. O padro Wi-Fi baseado nos padres IEEE 802.11b
e 802.11a, e operam na banda de 2.4 GHz e 5 GHz, respectivamente, com taxa de 11
Mbps (802.11b) ou 54 Mbps (802.11a) [WIFI 03].
Em sua forma mais simples, uma WLAN formada por um tranceiver, tambm
chamado de ponto de acesso (Access Point, AP), que conectado a uma rede com um
cabo Ethernet. Os dispositivos podem acessar a rede sem fio usando um carto
compatvel com o protocolo.
As figuras 5.20 e 5.21 mostram os principais habilitadores e as principais barreiras para a adoo de WLAN pelas empresas [WIFI 01]. Segundo a pesquisa, os aspectos de segurana representam barreiras para 50% dos entrevistados que usam a
WLAN, e para 72% que ainda no a adotaram [WIFI 01]. Assim, os problemas de
segurana envolvidos devem ser analisados com cuidado, pois os riscos existentes
em um ambiente sem fio so iguais aos riscos existentes em um ambiente com fio,
somados aos novos riscos introduzidos pelos protocolos sem fio, alm dos aspectos
fsicos envolvidos.

Figura 5.20

Principais habilitadores para a adoo de WLAN.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 5: Novas funcionalidades e riscos: redes sem fio

150

Figura 5.21 Principais barreiras para a adoo de WLAN.

5.5.1. Padro IEEE 802.11


O padro do IEEE, 802.11, o mais difundido para WLAN, de modo que o foco da
anlise ser dado ao protocolo. O IEEE possui uma srie de especificaes para
WLAN, que tratam de desempenho, interoperabilidade, qualidade de servio, segurana e compatibilidade. Os produtos com padro 802.11b chegaram ao mercado
primeiro, de modo que esto mais difundidos. A tendncia, porm, que novos
padres, como 802.11a e 802.11g, passem a ser mais utilizados devido sua capacidade. J os padres 802.11i e 802.1X sero usados devido aos novos mecanismos
de segurana especificados. Os padres de segurana sero discutidos nas sees
5.5.7 e 5.5.8. Um resumo dos padres 802.11, que tratam de redes sem fio, pode ser
visto a seguir [IEEE 03][KAER 02]:
* 802.11a: destinado ao alto desempenho, com taxa mxima de 54 Mbps por
canal, usa banda de rdio de 5 GHz. Oito canais esto disponveis e, em alguns
pases, 12 canais so permitidos. Os produtos comearam a ser comercializados
em 2002.
* 802.11b: atinge 11 Mbps por canal, atuando na banda de 2.4 GHz. O padro
ficou pronto em 1999, com produtos sendo comercializados a partir de 2001.
* 802.11c: destinado a definir procedimentos de operaes de ponte entre pontos de acesso.
* 802.11d: destinado ao uso geral, para promover o uso do padro 802.11 em
pases onde os requisitos para uso da banda so diferentes dos Estados Unidos.
O padro est em discusso.

151
* 802.11e: destinado qualidade de servio, com caractersticas de diferenciao de trfego, para uso futuro em udio e vdeo, por exemplo. aplicvel aos
padres 802.11a, 802.11b e 802.11g.
* 802.11f : trata da interoperabilidade entre produtos de diferentes fabricantes.
* 802.11g: trata do desempenho e da compatibilidade com padro 802.11b e
possui velocidade similar ao padro 802.11a, de 54 Mbps. Usa as bandas de 2.4
GHz e 5 GHz, com trs canais de rdio disponveis. Os produtos comearam a
ser comercializados no final de 2002.
* 802.11h: trata da operabilidade na Europa, atuando na banda de 5 GHz. O
802.11h trata tambm de gerenciamento de espectro e controle de energia.
* 802.11i: trata de mecanismos de segurana e autenticao.
* 802.11j: trata da operao nas novas bandas 4.9 GHz e 5 GHz disponveis no
Japo.
* 802.1X: um padro que define um framework para autenticao baseada em
portas e distribuio de chaves para LANs sem fio e com fio [NET 03-2].
Algumas placas WLAN podem suportar tanto o 802.11b quanto o 802.11a e o
802.11g, selecionando automaticamente o melhor sistema. Placas que combinam
WLAN com celulares 2.5 G tambm esto previstas, com capacidade de roaming
entre WLANs e General Packet Radio Service (GPRS) e Code-Division Multiple Access
(CDMA) 2000 1xRTT [MOL 02].
As prximas sees trataro dos aspectos de segurana do padro IEEE 802.11.
Novos mecanismos de segurana e de autenticao que esto sendo definidos para
suprir necessidades existentes atualmente sero discutidos na sees 5.5.7 (802.11i)
e 5.5.8 (802.1X).

5.5.2. Segurana do padro IEEE 802.11


O padro 802.11 prov segurana para WLAN com autenticao e cifragem da
comunicao. O protocolo especificado pelo IEEE para a segurana em redes sem fio
o Wired Equivalent Privacy (WEP), que alvo de muitas crticas e ataques. O WEP
possui uma srie de vulnerabilidades, que tornam as redes 802.11 alvos freqentes
de diferentes mtodos de ataques que tiram proveito da fraqueza do protocolo.
Um caso interessante que demonstra a fraqueza do WEP aconteceu nos Estados
Unidos: anlises de segurana em redes sem fio foram conduzidas por empresas
especializadas nos aeroportos internacionais de Denver e de San Jose. A anlise em
Denver revelou que a American Airlines operava uma rede sem fio totalmente em
claro (sem o uso de criptografia) no aeroporto. Um fato agravante foi o testemunho
de um ataque em tempo real durante a anlise [BRE 02-2]. Em San Jose, a anlise

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 5: Novas funcionalidades e riscos: redes sem fio

152
revelou resultados semelhantes aos de Denver: pouca ou nenhuma proteo contra
ataques. Os especialistas puderam monitorar o trfego de informaes confidenciais
como operaes de check-in da American Airlines e Southwest Airlines. Da Southwest,
os especialistas obtiveram informaes de sistemas back-end, incluindo trs servidores UNIX rodando Solaris [BRE 02-2].
As implicaes dessas vulnerabilidades podem ser srias: no caso do aeroporto,
dependendo das comunicaes existentes, um hacker pode, a partir de uma rede
sem fio no protegida, obter acesso rede operacional, que pode incluir operaes
de vo, controle de bagagem ou reserva de passageiros [BRE 02-2]. A preocupao
com os riscos de ataques terroristas que explorem essas redes de aeroportos fez com
que o governo norte-americano colocasse em pauta oficial o assunto, inclusive com
a criao do Critical Infrastructure Protection Board. O mesmo deve acontecer com
as reas de transportes, energia, comunicao e gua [BRE 02-2].
O WEP foi concebido com o objetivo de tornar a comunicao sem fio equivalente comunicao realizada via redes com fio. Um dos principais problemas a serem
resolvidos em redes sem fio o ataque passivo, como a escuta clandestina. Em redes
WLAN, os sinais de rdio emitidos podem propagar-se alm da rea delimitada,
alm de passar por muros e outros obstculos fsicos, dependendo da tecnologia
utilizada e da fora do sinal. Isso o torna diferente de uma rede com fio, onde o
acesso ao cabo deve estar disponvel para que seja possvel a captura de sinais
eletromagnticos. Sem o acesso ao fio, as ondas emitidas so muito fracas, tornando invivel a captura produtiva.
Porm, o papel do WEP no cumprido com a necessria eficincia, de modo que
novos protocolos esto sendo discutidos e definidos, como os que fazem parte dos
padres 802.11i e 802.1X, que sero mostrados nas sees 5.5.7 e 5.5.8, respectivamente.
A prxima sesso apresenta o mtodo de autenticao usado pelo 802.11, e o
WEP apresentado a seguir. A Seo 5.5.5 discutir os problemas de segurana
existentes no WEP, enquanto as sees 5.5.7 e 5.5.8 apresentam as novas
especificaes que esto sendo desenvolvidas. A Seo 5.5.6 apresentar as recomendaes de segurana para a proteo de WLAN.

5.5.3. Autenticao no 802.11


A autenticao essencial em uma WLAN, para que os participantes de uma
comunicao possam ser identificados e a comunicao entre os pontos de acesso e
os clientes seja somente entre participantes conhecidos. Porm, ser visto que existem limitaes quanto a esses requisitos.

153
O padro 802.11 prov dois tipos de autenticao:
* Open system: todos os usurios podem acessar a WLAN; o mtodo padro.
* Chave compartilhada: existe o controle de acesso ao WLAN para preveno de
acessos no autorizados.
Na autenticao open system, a autenticao baseada no conhecimento dos
clientes do Extended Service Set Identification (ESSID), que identifica cada ponto de
acesso (Access Point). Tambm conhecido simplesmente como SSID, o ESSID um
valor programado em cada ponto de acesso para identificar sua sub-rede. Esse valor
pode ser usado para a autenticao, de modo que, para as estaes que queiram
acessar a rede e no sabem o SSID, no so concedidos os acessos [NIC 02]. Esse
mtodo, porm, pouco eficiente em termos de segurana, pois o SSID transmitido pelo prprio ponto de acesso em intervalos predefinidos de tempo, e pode ser
facilmente capturado e utilizado para o acesso rede.
essa caracterstica que vem sendo alvo de muitos ataques divulgados na
imprensa. O Wardriving uma prtica na qual redes WLAN so identificadas
usando-se apenas um notebook, um amplificador de sinais (que pode ser uma
lata de Pringles), um software apropriado e um carro. O mapeamento feito
passeando-se de carro, enquanto o notebook captura informaes sobre as redes
identificadas por ele. O mapeamento das redes identificadas, com a devida posio GPS de cada rede, pode ser compartilhado via Internet, em sites como o da
Netstumbler [NET 03].
O Wardriving tem se expandido de tal forma que a prtica chegou aos cus.
Apelidado de Warflying, um grupo usou um avio privado em San Diego em agosto
de 2002 para mapear as WLANs da regio. Eles identificaram 437 pontos de acesso
e detectaram que apenas 23% das redes possuam o WEP habilitado. Mais do que
isso, eles foram capazes de identificar o comportamento dos administradores de
WLANs, que dificilmente modificam os SSIDs padres, como pode ser visto na
Tabela 5.2 [BRE 02][DEL 02]. Sobrevoando a uma altura de 750 metros, eles foram
capazes de detectar pontos de acesso a uma distncia entre cinco a oito vezes
maior que o especificado no padro, provavelmente devido ausncia de obstrues [DEL 02]. interessante notar que em um Warflying no Vale do Silcio, onde
se podia supor que existisse maior conscientizao, os resultados foram somente
um pouco melhores: 33,7% dos 699 APs identificados no usavam nem ao menos
o WEP. Porm, o uso de SSIDs padres foi bem menor, se comparado com San
Diego [DEL 02-2].

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 5: Novas funcionalidades e riscos: redes sem fio

154
Tabela 5.2

155
SSIDs e fabricantes encontrados no Warflying em San Diego.

SSIDs
Linksys
Default
Wireless
Carroll
Tsunami
UCS001
WLAN
Zoom033551

Fabricantes
189
38
14
4
4
3
3
3

Linksys
Agere
Apple
Cisco
D-Link
Delta (Netgear)
Acer
Zoom033551

257
33
33
33
28
18
12
3

O Warchalking uma outra prtica muito comum no mundo wireless, no qual as


redes sem fio so identificadas e marcadas com smbolos no cho ou em paredes.
Isso faz com que outros usurios no tenham o trabalho de procurar por acessos
livres, bastando identificar tais smbolos. Os smbolos, que podem ser vistos na
Figura 5.22, indicam se a rede est aberta, o SSID para o acesso, se usa o WEP, a
largura de banda utilizada e o contato para detalhes sobre acessos [WAR 03-3].

Na autenticao com chave compartilhada, a chave compartilhada entre todas


as estaes e pontos de acesso em uma WLAN. O mtodo de autenticao de
acordo com a Figura 5.23. Quando uma estao tenta se associar a um ponto de
acesso, ele responde com um texto aleatrio, que o desafio da autenticao. A
estao deve ento usar a chave compartilhada para cifrar o texto-desafio (usando
o algoritmo criptogrfico RC4) e enviar o texto cifrado de volta ao ponto de acesso.
O ponto de acesso, ento, decifra a resposta usando a mesma chave compartilhada
e compara o resultado com o texto enviado anteriormente. Se o texto idntico, o
ponto de acesso envia uma mensagem de confirmao estao e passa a aceit-lo
na rede [NIC 02].

Figura 5.23

Autenticao baseada em chave compartilhada.

A falta de um mtodo de autenticao mtua, onde tanto os clientes quanto os


pontos de acessos so autenticados, faz com que ataques do tipo man-in-the-middle
se tornem fceis de ser implementados. Os problemas de segurana existentes sero
discutidos na Seo 5.5.5.

5.5.4. Wired Equivalent Privacy (WEP)


Figura 5.22

Smbolos utilizados no Warchalking.

Alm do ESSID, alguns fabricantes usam uma tabela de endereos MAC (Media
Access Control) na lista de controle de acesso (Access Control List, ACL) do ponto de
acesso. Com essa ACL baseada em endereos MAC, apenas os endereos cadastrados
podem acessar a rede, aumentando assim o nvel de segurana. Porm, existem
tcnicas para driblar esse controle de acesso. Os mtodos de ataque nesse caso
envolvem o ataque ao cache ARP (ARP Poisoning) e o MAC Address Spoofing, que so
fceis de ser implementados [FLE 01][WRI 03].

O WEP usa uma chave secreta que compartilhada entre a estao wireless e o
ponto de acesso. Todos os dados enviados e recebidos pela estao podem ser cifrados com essa chave compartilhada. O padro 802.11 no especifica o modo como a
chave estabelecida [NIC 02], pois normalmente os administradores devem configurar os clientes e o ponto de acesso com a chave escolhida. Isso representa um dos
riscos envolvidos com o uso do WEP, que ser discutido nas sees posteriores.
O algoritmo criptogrfico usado pelo WEP o RC4, com chaves que variam entre
40 e 128 bits [NIC 02]. O pacote gerado pelo protocolo, que pode ser visto na Figura
5.24, formado por quatro componentes:

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 5: Novas funcionalidades e riscos: redes sem fio

156
*
*
*
*

Vetor de inicializao (Initialization Vector, v).


Byte de identificao da chave (Key ID Byte), para controle.
Algoritmo de integridade CRC-32 aplicado na payload.
Algoritmo criptogrfico RC4 aplicado na payload e no resultado do CRC-32.

Figura 5.24 Pacote padro IEEE 802.11.

possvel verificar na Figura 5.24 que o vetor de inicializao (v) transmitido


em claro juntamente com a payload protegido pelo RC4. Caso o pacote seja alterado
durante a transmisso, o CRC-32 faz a verificao da integridade do pacote. Porm,
o fato de o vetor ser transmitido em claro e ser curto, somado ao uso do algoritmo
CRC-32, que no considerado um algoritmo criptogrfico, e forma como o RC4
usado pelo WEP constituem pontos de vulnerabilidades, que sero mostrados na
Seo 5.5.5.
A construo do pacote feita de acordo com a Figura 5.25. A chave secreta (k)
concatenada a um vetor de inicializao (v) aleatrio, que adiciona 24 bits
chave resultante. O resultado fornecido ao RC4, que gera um key stream pseudoaleatrio. Para garantir a integridade da mensagem, um algoritmo de verificao
como o CRC-32 usado. Um valor de checagem de integridade (Integrity Check Value
ICV) gerado e concatenado com o texto em claro. O texto cifrado o resultado
de uma operao XOR do texto em claro concatenado com o ICV, com o key stream
produzido pelo RC4. A mensagem criada , assim, formada pelo vetor de inicializao
gerado mais o texto cifrado (texto original mais o ICV) [NIC 02].

157
Algebricamente, a cifragem do WEP realizada da seguinte maneira:
C = P RC4(v, k)

Durante o processo de cifragem, o key stream resultante do RC4, que baseado


no vetor de inicializao (v) e na chave secreta WEP (k), passa por um XOR ()
com o texto em claro original (P). O resultado o texto cifrado (C), que transmitido juntamente com o prprio vetor de inicializao. O texto original (P) o
resultado da concatenao entre a mensagem e o resultado do algoritmo de
checksum (CRC-32).
A decifragem da mensagem recebida pode ser vista na Figura 5.26. O receptor
usa o vetor de inicializao recebido para concaten-lo com a chave secreta compartilhada. O resultado serve como entrada do RC4, no qual o resultado da operao
passa por uma operao XOR com o texto cifrado, para gerar o texto original. A
checagem da integridade tambm realizada no texto decifrado, no qual o resultado da operao, o ICV, comparado com o ICV recebido e que estava concatenado
com o texto original. Se o ICV e o ICV forem equivalentes, o texto pode ser considerado ntegro [NIC 02].

Figura 5.26

Decifragem do WEP.

Algebricamente, a decifragem do WEP realizada da seguinte maneira:


P = C RC4(v, k)

O key stream o resultado do RC4, que baseado no vetor de inicializao (v)


recebido na mensagem e na chave secreta WEP (k), comum ao cliente e ao ponto de
acesso. Ele passa por um XOR () com o texto cifrado que foi recebido (C), resultando no texto original em claro (P).

5.5.5. Ataques ao WEP


Figura 5.25 Cifragem do WEP.

Alguns tipos de ataques que podem tirar proveito das fraquezas do WEP so
[BOR 02][KAR 02]:

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 5: Novas funcionalidades e riscos: redes sem fio

158
* Ataque passivo para decifrar o trfego, baseado em anlise estatstica.
* Ataque ativo para injeo de novo trfego a partir de uma estao no autorizada, baseado em texto claro conhecido. O ataque feito inserindo uma nova
mensagem no lugar da mensagem original, alterando-se o resultado do CRC32.
* Ataque ativo para decifrar o trfego, baseado em ataque ao ponto de acesso.
* Ataque do dicionrio no trfego, que permite posterior decifragem automtica de todo o trfego.
Um problema que pode ser visto no WEP com relao ao vetor de inicializao
[BOR 01][FLU 01][STU 01]. Alm de ser enviado em claro, juntamente com o pacote
802.11, seu espao de 24 bits relativamente curto. Isso faz com que um mesmo
vetor seja reutilizado freqentemente (coliso de vetores), tornando os ataques
para descoberta das mensagens mais fceis.
O uso de um mesmo vetor de inicializao torna mais fcil a descoberta da
mensagem original, como pode ser visto nas equaes algbricas a seguir [BOR
01][WAL 00][CRA 02]:
C1 = P1 RC4(v, k)
C2 = P2 RC4(v, k)
C1 C2 = (P1 RC4(v, k)) (P2 RC4(v, k))

159
todos os vetores capturados e armazenando o key stream (RC4(v, k)) indexado com
seu respectivo v, pode-se chegar ao texto em claro de qualquer pacote, aplicando-se
o respectivo key stream referente a cada pacote com o seu correspondente vetor de
inicializao. Na equao a seguir, pode-se verificar o ataque realizado:
C = P RC4(v, k)

O texto cifrado (C) e o key stream (RC4(v, k)) so conhecidos, bastando, assim,
uma operao de XOR para se chegar ao texto original (P).
interessante notar que esse ataque no necessita nem resulta no conhecimento da chave secreta WEP, pouco importando se a chave de 40 ou 128 bits. Porm,
um ataque para a descoberta da chave WEP tambm conhecido. O ataque tira
proveito da fraqueza do algoritmo de escolha das chaves do RC4 (key scheduling
algorithm), que permite que algumas chaves (em grande nmero) possam ser descobertas com base no conhecimento de alguns bits [FLU 01][STU 01].
Com relao ao CRC-32, a integridade sugerida pelo seu uso no pode ser considerada suficientemente segura, pois relativamente fcil gerar checksums iguais,
que fazem com que mensagens possam ser falsificadas ou modificadas [BOR 01]. De
fato, o CRC-32 no considerado um algoritmo criptogrfico, capaz de garantir a
integridade de mensagens sob o ponto de vista da segurana, mas sim sob o ponto
de vista do rudo de comunicao [KAR 02].
Um resumo dos principais problemas de segurana do WEP pode ser visto a
seguir:

C1 C2 = P1 P2

possvel verificar que, quando dois key streams (RC4(v,k)) iguais so usados, o
que resultado da coliso de v, o key stream cancelado, restando um texto cifrado
resultante de XOR de dois textos cifrados (C1 e C2) e um texto em claro resultante
de XOR de dois textos em claro (P1 e P2). Com isso, aplicando-se ataques criptogrficos
com texto em claro conhecido (known plaintext attack) ou com texto cifrado escolhido (chosen ciphertext attack), pode-se chegar ao texto original em claro. E, com
o texto em claro original, pode-se chegar ao key stream.
A coliso do vetor de inicializao mais grave devido ao paradoxo do aniversrio (Birthday Paradox). O paradoxo do aniversrio diz que a chance de duas pessoas
de um grupo de 23 pessoas terem a mesma data de aniversrio de 50%. Aplicado
ao caso do WEP, o paradoxo faz com que a chance da existncia de colises seja
maior que o lgico. Alm disso, existe o fato de os vetores voltarem aos seus valores
iniciais quando uma placa reinicializada, o que aumenta as possibilidades de
colises [CRA 02].
Com isso, a captura dos vetores de inicializao que trafegam em claro pelo ar
pode tornar possvel um ataque em tempo real. Aplicando-se esse mtodo para

* Uso de chaves WEP estticas: a falta de um mecanismo de gerenciamento de


chaves faz com que muitos usurios utilizem a mesma chave WEP durante um
perodo de tempo relativamente longo.
* O vetor de inicializao do WEP, de 24 bits, curto: descobrir o key stream
fcil, principalmente em redes com trfego alto, pois pode existir a repetio
constante de key streams (coliso de vetores de inicializao).
* O vetor de inicializao faz parte da chave de criptografia do RC4: ataques
analticos podem recuperar a chave.
* No existe proteo de integridade: o Cyclic Redundancy Check (CRC) no
considerado um algoritmo criptogrfico e, combinado com um algoritmo de stream
cipher como o RC4, novas vulnerabilidades so introduzidas. Por exemplo, fcil
pegar um texto conhecido, intencional do atacante, e gerar um CRC vlido,
independentemente do conhecimento da chave WEP. Esse texto ser aceito pelo
ponto de acesso e retransmitido para a estao vtima; contudo a mensagem
recebida pela estao vtima no tem nenhuma semelhana com o texto
construdo pelo atacante, o qual ele deseja que seja recebido pela estao vti-

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 5: Novas funcionalidades e riscos: redes sem fio

160
ma, pois resultado de uma decifragem com chave desconhecida pelo atacante.
O texto resultante recebido pela estao ser tipicamente lixo, sendo praticamente impossvel ao atacante realizar um ataque aplicao, exceto negao de
servio (DoS), por exerccio de seqncias de dados invlidos.

5.5.6. Recomendaes de segurana para uso do


padro 802.11
Como foi discutido nas sees anteriores, o uso de WLAN requer uma srie de
medidas de segurana para que os riscos existentes sejam minimizados. Alguns dos
problemas existentes foram vistos na seo anterior, como o uso de chaves estticas, o tamanho curto do vetor de inicializao e da chave de criptografia, a interao
entre o RC4 e o vetor de inicializao e a falta de uma proteo mais eficiente da
integridade dos pacotes. Alm desses problemas, outros pontos fazem com que as
redes sem fio sirvam de ponto de ataque para a rede interna, o que permite que,
quem tenha acesso WLAN, tenha acesso tambm rede interna da organizao:
* Funes de segurana dos equipamentos internos desabilitados como padro.
* Chave de criptografia compartilhada: os riscos aumentam exponencialmente
quando diferentes usurios compartilham uma mesma chave.
* Chaves de criptografia no so atualizadas com freqncia e de modo automtico: as possibilidades de perda com ataques de fora bruta no so minimizadas.
* No existe autenticao do usurio: somente os dispositivos so autenticados,
o que faz com que, caso roubado, ele possa acessar a rede.
* Uso somente de identificao baseada em SSID, com a autenticao desabilitada:
o acesso indevido rede torna-se mais provvel, pois SSIDs so fceis de
capturar e usar.
* Autenticao do dispositivo um desafio-resposta com chave compartilhada:
em via nica (somente o dispositivo autenticado), sujeito a ataques de
man-in-the-middle, o que pode ser evitado com autenticao mtua.
* O cliente no autentica o ponto de acesso: o cliente pode ser autenticado em
um ponto de acesso falso.
Assim, a segurana em redes sem fio deve ser planejada de uma forma estratgica, em que a abordagem em camadas pode ser a mais apropriada aumentar nveis
de segurana aplicando medidas de segurana em cada camada. Algumas medidas
essenciais para no abrir novas portas de ataques e colocar os negcios em risco so
citadas a seguir:

161
*
*
*
*
*
*
*
*
*
*
*
*

Habilitar o WEP.
Mudar a chave WEP freqentemente.
Alterar o SSID padro para outro que no identifique facilmente a organizao.
Usar chave dinmica de sesso, caso exista no produto.
Usar autenticao baseada em chave compartilhada ao invs da autenticao
aberta (open system).
Considerar o uso do padro IEEE 802.1X (prxima seo).
Usar a filtragem baseada em endereos MAC, se existente.
Usar uma soluo de rede privada virtual (Virtual Private Network VPN).
Manter o inventrio de todos os equipamentos sem fio.
Prevenir acessos no autorizados ao ponto de acesso (Access Point, AP).
Reforar a poltica de segurana para os clientes, principalmente com relao
ao uso de antivrus e firewall pessoal.
Tratar a rede sem fio como sendo uma rede no confivel, considerando assim
a segmentao de rede e proteo com firewall e sistema de deteco de intruso
(Intrusion Detection System IDS), por exemplo.
Realizar anlises de segurana e auditorias freqentes na rede sem fio.

5.5.7. Wi-Fi Protected Access (WPA) e padro IEEE


802.11i
Como foi visto na seo anterior, o WEP possui falhas de projetos que envolvem
o uso de chaves estticas, a falta de autenticao mtua e o uso de criptografia
fraca, entre outros. Diversos esforos esto sendo desenvolvidos para suprir as necessidades remanescentes, como a especificao de novos padres de segurana,
como o Wi-Fi Protected Access (WPA), o IEEE 802.11i, tambm conhecido como Task
Group I (TGi), e o 802.1X.
O subgrupo IEEE 802.11i ou TGi tem como objetivo eliminar dois dos principais
problemas do WEP, que so o uso de chave esttica e a criptografia fraca [NET 03-2].
O TGi desenvolve melhoramentos no Media Access Control Layer do 802.11 para ser
incorporado aos mecanismos especificados no padro IEEE 802.1X (Seo 5.5.8). O
IEEE 802.11i tem previso de chegar ao mercado somente em 2004.
Alm do padro 802.11i, a Wi-Fi Alliance est especificando, em conjunto com o
IEEE, o Wi-Fi Protected Access (WPA), que ir certificar produtos a partir de 2003
[MOL 02][WIFI 02]. O WPA derivado e ser direcionado para o mesmo caminho do
padro 802.11i, tratando de problemas existentes no WEP, como a proteo de
dados e o controle de acesso [WIFI 02]. O WPA tem previso de chegar ao mercado
no primeiro semestre de 2003 [WIFI 02].

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 5: Novas funcionalidades e riscos: redes sem fio

162
A melhoria da criptografia de dados, que fraca no WEP, feita no WPA pelo
Temporal Key Integrity Protocol (TKIP). O TKIP usa um conjunto de tcnicas para
incrementar a segurana [WIFI 02]:
* Funo de mistura de chave por pacote.
* Checagem de integridade das mensagens Message Integrity Code (MIC), chamado Michael.
* Nova funo de derivao de chave para cada pacote, com um vetor de
inicializao maior, de 48 bits.
* Vetor de inicializao estendido com regras de seqncia.
* Seqenciao de vetores de inicializao, com maior nmero de vetores.
* Mecanismo de renovao de chaves.
J o mecanismo de autenticao dos usurios, inexistente no WEP, feito no
WPA pelo 802.1X e pelo Extensible Authentication Protocol (EAP), que formam o
framework de autenticao do WPA. Um servidor central de autenticao, como o
RADIUS, usado e a autenticao mtua dos usurios e dos pontos de acesso
pode ser realizada [WIFI 02].
interessante notar que o WPA um subconjunto de funcionalidades do 802.11i
que j est no mercado, como o 802.1X e o TKIP. Outras funcionalidades do 802.11i,
como o hand-off seguro, re-autenticao, dissociao e algoritmos criptogrficos
fortes como o Advanced Encryption Standard (AES), ainda no fazem parte do WPA,
pois ainda esto em fase de especificao [WIFI 02].

5.5.8. Padro IEEE 802.1X


O IEEE 802.1X um padro que define um framework para autenticao baseada
em portas e distribuio de chaves para LANs sem fio e com fio [NET 03-2]. O padro
802.1X forma uma pea chave da especificao IEEE 802.11i (Seo 5.5.7) e procura
melhorar a segurana com o uso do Temporal Key Integrity Protocol (TKIP).
A autenticao baseada em portas de rede do padro 802.11 referente associao entre uma estao e uma AP [MIS 02]. O padro 802.1X prov um framework
de arquitetura onde diferentes mtodos de autenticao podem ser usados em diferentes redes, via uso do Extensible Authentication Protocol (EAP) [MIS 02].
O EAP possui alguns mtodos, como o Lighweight Extensible Authentication Protocol
(LEAP) ou o EAP Transport Layer Security (EAP-TLS), que incluem a gerao dinmica de chaves e a autenticao mtua entre clientes e pontos de acesso, na qual at
mesmo certificados digitais podem ser usados [NET 03-2][WIFI 02].

163
Alguns mtodos EAP conhecidos so [DIS 02]:
* EAP-MD5: usa o algoritmo de hash MD5 sobre o nome de usurio e a senha
para passar as credenciais para o servidor RADIUS. O EAP-MD5 no oferece
gerenciamento de chaves ou gerao dinmica de chaves, sendo necessrio o
uso de chaves WEP estticas. O uso de MD5 previne que usurios no autorizados acessem as redes sem fio diretamente, porm no protegem a chave WEP,
que ainda pode ser descoberta. O EAP-MD5 no prev a autenticao mtua,
deixando a autenticao do ponto de acesso de lado, o que possibilita a insero de pontos de acesso no autorizados na rede.
* Lighweight Extensible Authentication Protocol (LEAP): esse padro desenvolvido pela Cisco, em conjunto com o padro 802.1X e, assim como o EAP-MD5,
permite o uso de usurio e senha para a autenticao no servidor RADIUS. O
LEAP implementa a gerao dinmica de chaves WEP para cada sesso, sendo
possvel sua renovao de acordo com um intervalo de tempo. Isso faz com
que ataques conhecidos contra o WEP no sejam efetivos quando o LEAP
usado. O LEAP especifica ainda a autenticao mtua, tanto do dispositivo
sem fio quanto do ponto de acesso. O risco existente no LEAP est no mecanismo de passagem de credenciais usado, que baseado no MS-CHAPv1, o qual
possui vulnerabilidades conhecidas.
* EAP Transport Layer Security (EAP-TLS): desenvolvido pela Microsoft, o EAPTLS usa certificados digitais X.509 para a autenticao. O Transport Layer
Security (TLS) usado para transmitir as informaes de autenticao, e existe a gerao dinmica de chaves WEP e a autenticao mtua. Como certificados digitais so usados, uma infra-estrutura de chaves pblicas, com autoridade certificadora, e um servio de diretrio so necessrios.
* EAP Tunneled TLS (EAP-TTLS): o ponto de acesso identifica-se usando certificados digitais; porm, os usurios usam senhas para a autenticao.
* Protected EAP (PEAP): est sendo desenvolvido pela Microsoft e Cisco, e funciona de maneira similar ao EAP-TTLS [DIS 02].
A arquitetura segura para o padro 802.11, o Robust Security Network (RSN), usa
o padro 802.1X como base para o controle de acesso, autenticao e gerenciamento
de chaves. Apesar de melhorar o nvel de segurana, se comparada com a soluo
adotada no padro 802.11b, alguns problemas ainda persistem, como a possibilidade de seqestro de conexes e ataques man-in-the-middle, devido ao mtodo-padro no permitir a autenticao mtua. Porm, o problema pode ser solucionado

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 5: Novas funcionalidades e riscos: redes sem fio

164

165

com o uso de mtodos de autenticao como EAP-TLS, Internet Key Exchange (IKE)
ou Kerberos, que possibilitam a autenticao mtua [MIS 02].
Os problemas aparecem devido falta de autenticidade das mensagens, e tambm da falta de sincronizao da mquina de estados [MIS 02].
A mquina de estados clssica do padro 802.11 pode ser vista na Figura 5.27,
onde os dispositivos passam de um estado para outro de acordo com a autenticao
e sua associao com a rede WLAN [MIS 02].

Figura 5.28

Mquina de estados do Robust Security Network (RSN).

Apesar de melhorar o nvel de segurana das redes sem fio, se comparada com a
especificao WEP, o padro 802.1X ainda admite a possibilidade de seqestro de
conexes. Os passos do ataque podem ser vistos na Figura 5.29, e so [MIS 02]:

Figura 5.27

Mquina de estados clssica do padro 802.11.

A Figura 5.28 mostra a mquina de estados do RSN, que define um estado a mais
que o padro clssico do 802.11, que representa o estado de associao rede
robusta segura.

* Mensagens 1, 2 e 3: o dispositivo autentica-se no ponto de acesso normalmente. No exemplo, algumas mensagens referentes autenticao foram omitidas
para melhor compreenso.
* Mensagem 4: o atacante envia uma mensagem de dissociao ao dispositivo,
usando o endereo MAC do ponto de acesso, fazendo com que o estado do
dispositivo mude para no associado, enquanto que no ponto de acesso o
estado permanece como associado.
* Mensagem 5: o atacante acessa a rede usando o endereo MAC do dispositivo
desassociado. Isso possvel porque no ponto de acesso esse endereo continua como associado.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 5: Novas funcionalidades e riscos: redes sem fio

166

167
Algumas recomendaes com relao a redes sem fio:
*
*
*
*
*
*
*

Figura 5.29 Seqestro de conexo em uma rede padro IEEE 802.1X.

5.5.9. Recomendaes para a proteo de WLANs


Foi visto nas sees anteriores que redes sem fio trazem, ao mesmo tempo,
evoluo, facilidade de uso, mobilidade e tambm novos riscos associados ao meio
fsico e aos novos protocolos. De fato, protocolos como o WEP e especificaes como
o IEEE 802.11i e IEEE 802.1X foram desenvolvidos para que os riscos inerentes a
uma comunicao sem fio fossem minimizados. Porm, foi visto que muitos problemas ainda persistem, de modo que somente o uso da tecnologia no suficiente
para uma proteo adequada.
As redes sem fio, bem como as outras redes, ilustram bem a necessidade de uma
estratgia de segurana bem definida, na qual devem ser considerados os aspectos
humanos e processuais do ambiente, alm dos aspectos tecnolgicos. Isso faz com
que no s os protocolos e padres de segurana sejam usados corretamente, mas
tambm os usurios, administradores e executivos saibam dos riscos existentes, e
tentem com isso minimizar as perdas potenciais.
O primeiro passo para o uso de redes sem fio nas organizaes deve ser o estabelecimento de uma poltica de uso. Sem essa poltica, a instalao e o uso
indiscriminado de pontos de acesso dentro da organizao representam um grande
e inadmissvel risco, que pode tornar a existncia de outros aparatos de segurana,
como firewalls e sistemas de deteco de intruses, totalmente inteis.
De fato, uma nova porta de entrada se abre com a expanso do permetro da
rede, que pode ser usada para acessos indevidos. A agravante que essa porta
muito maior se comparada com uma rede com fio, pois a limitao fsica torna-se
menor para a execuo de ataques.

Considerar a segurana como um processo contnuo.


Entender os riscos envolvidos antes de comear o uso de sistemas sem fio.
Entender as implicaes tcnicas e de segurana.
Planejar cuidadosamente o uso de novas tecnologias.
Prticas e controles de gerenciamento de segurana bem estabelecidos.
Usar controles fsicos.
Habilitar, usar e testar as funes de segurana.

Assim, a poltica de uso de WLAN importante e deve considerar pontos como


[KAR 02]:
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*

Identificar quem pode usar WLAN na organizao.


Identificar se o acesso Internet necessrio.
Descrever quem pode instalar pontos de acesso e outros equipamentos sem fio.
Prover limitao no local e segurana fsica para pontos de acesso.
Descrever o tipo de informao que pode ser enviado via rede sem fio.
Descrever condies na qual dispositivos sem fio so permitidos.
Descrever a configurao-padro de segurana para pontos de acesso.
Descrever limitaes de como os dispositivos sem fio podem ser usados, como
a sua localizao, por exemplo.
Descrever as configuraes de hardware e software dos dispositivos sem fio.
Manter o inventrio de todos os pontos de acesso e dispositivos sem fio.
Desligar o ponto de acesso quando ele no estiver em uso, como em finais de
semana.
Prover guias de como proceder em caso de perdas de dispositivos sem fio e
incidentes de segurana.
Prover guias para proteo dos clientes sem fio para minimizar roubos.
Prover guias para uso de criptografia.
Treinamentos e programas de conscientizao para reforar a importncia da
segurana.
Definir a freqncia e o escopo de avaliaes de segurana, como a descoberta
de novos pontos de acesso.

A localizao do ponto de acesso importante, e deve ser bem avaliada para


minimizar o Wardriving. O controle de acesso fsico ao ponto de acesso tambm deve
ser considerado, como o uso de cmeras de vdeo e biometria.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 5: Novas funcionalidades e riscos: redes sem fio

168
A configurao do ponto de acesso deve ser feita com todo o cuidado possvel,
levando-se em considerao os seguintes pontos [KAR 02]:
* Mudar a senha-padro de administrador do equipamento: seguir a poltica de
senhas da organizao essencial, para evitar que senhas-padres conhecidas, como xxxx, sejam usadas para ataques. A senha em branco tambm
deve ser evitada a qualquer custo.
* Usar configurao de criptografia apropriada: os equipamentos podem ser configurados para no usar nenhuma criptografia, ou o RC4 com chaves de 40 bits
ou 104 bits. Alguns equipamentos suportam 128 bits, porm no so compatveis com produtos que usam 104 bits. importante lembrar que existem
ataques contra o WEP que independem do tamanho da chave utilizada.
* Controlar a funo de reset: o reset de um ponto de acesso faz com que a
configurao padro do fabricante volte, anulando as configuraes do administrador. Com isso, senhas em branco para administrao e a falta de uso de
criptografia, passam a representar grandes riscos. Negao de servio tambm
pode acontecer, pois toda a configurao perdida nessa situao. Alm do
controle fsico, o uso de criptografia para a administrao do ponto de acesso
e o uso de senha forte evitam o uso do reset pela interface de gerenciamento.
* Uso de controle de acesso via MAC: o uso de Access Control List (ACL) baseada
no endereo MAC incrementa o nvel de segurana, ao permitir que somente
os equipamentos com a placa cadastrada possam acessar a WLAN. Porm,
preciso saber que com um simples ataque de ARP Spoofing possvel driblar
essa lista de acesso, alterando o endereo da placa por um que est cadastrado
na AP. Alm disso, em redes grandes, a administrao dessa funcionalidade
pode tornar-se extremamente dispendiosa.
* Alterao do SSID: alterar o SSID padro faz com que tentativas menos sofisticadas no tenham sucesso em acessar sua rede. Apesar disso, possvel
capturar o SSID normalmente, via Beacon Frames ou broadcast do SSID;
* Aumentar o intervalo dos Beacon Frames: os Beacon Frames so usados para
anunciar a existncia de uma rede wireless. Aumentar o intervalo faz com que
o SSID seja transmitido com menos freqncia, diminuindo as chances de ele
ser capturado. Os Beacon Frames fazem com que os clientes localizem um
ponto de acesso e iniciem a negociao de parmetros para o acesso. Alguns
equipamentos, como o da Lucent, permitem que os Beacon Frames sejam
desabilitados.
* Desabilitar o broadcast do SSID: uma requisio para o broadcast do SSID pode
ser feita enviando-se AP um SSID de zero byte, que o broadcast SSID. Essa
caracterstica deve ser desabilitada.

169
* Mudar a chave criptogrfica padro: a chave compartilhada de autenticaopadro do fabricante conhecida e pode ser usada para o acesso indevido sua
rede; portanto, deve ser modificada. A poltica de segurana da organizao
deve levar em considerao essa mudana, e tambm a mudana da chave compartilhada de tempos em tempos, principalmente quando algum funcionrio
deixa a organizao. Esse um problema do uso de chaves compartilhadas.
* Usar o SNMP corretamente: o uso do SNMP para o gerenciamento dos dispositivos deve levar em considerao o uso de verso mais segura do protocolo
(SNMPv3), a mudana das strings de comunidade do SNMP e tambm os privilgios de acesso.
* Mudar o canal padro: a mudana faz com que interferncias de rdio sejam
minimizadas e, conseqentemente, as chances de negao de servio.
* Usar o DHCP: o Dynamic Host Control Protocol (DHCP) atribui endereos IP
dinamicamente aos dispositivos que se comunicam com APs. Os riscos existentes de acesso indevido podem ser minimizados usando-se endereos IP
fixos, conhecidos por usurios autnticos. A carga administrativa pode ser
grande, como a que existe no uso de ACL de endereos MAC.
A poltica de segurana deve tambm contemplar especificamente no somente
as redes sem fio, mas outras tecnologias, antes da sua implantao e tambm para
sua manuteno. Apesar de serem obrigao dos administradores de rede, os seguintes pontos so importantes para a manuteno do ambiente sem fio e a organizao como um todo [KAR 02]:
*
*
*
*
*

Manuteno do entendimento da topologia da rede sem fio.


Manuteno do inventrio dos dispositivos sem fio.
Uso de backups freqentes.
Execuo de testes peridicos de segurana e avaliao da rede sem fio.
Auditoria de segurana freqente para monitorar e identificar dispositivos
sem fio.
* Acompanhar patches de segurana dos equipamentos do inventrio.
* Acompanhar mudanas de padres e caractersticas novas de segurana em
novos produtos.
* Monitorar a tecnologia com relao a novas ameaas e vulnerabilidades.

5.6. CONCLUSO
As redes sem fio representam uma nova forma de acesso aos usurios e trazem
grandes benefcios. Porm, elas trazem consigo alguns riscos inerentes s novas

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS


170
tecnologias, que podem tornar o seu uso limitado a algumas situaes que no
envolvam informaes crticas. Dessa forma, a segurana em redes sem fio deve
tratar de aspectos particulares existentes no modo de transmisso, estabelecimento
de conexo no nvel de enlace e dos dispositivos. Para camadas superiores, como
nas aplicaes e na camada de rede, que normalmente o IP, solues existentes
para a rede tradicional com fio podem ser usadas para reforar a proteo. A diversidade do conjunto de mecanismos de defesa refora a necessidade de uma estratgia de proteo adequada, em que diferentes tcnicas em diferentes nveis devem
ser usadas para que os riscos sejam minimizados.
Uma srie de questes ainda precisa ser desenvolvida, principalmente com relao mobilidade, que envolve segurana em diferentes aspectos, introduzindo novos riscos aos usurios e, conseqentemente, s organizaes.

Parte II
Tcnicas e tecnologias disponveis para defesa

Nos prximos captulos, o leitor encontrar informaes sobre os recursos disponveis para a defesa da organizao, dentro do mundo virtual em que est inserida,
atravs da Internet.
Tudo comea com a definio de uma poltica de segurana, documento que
nortear todas as aes relacionadas segurana. Sua concepo necessariamente
realizada em uma abordagem a partir do topo, com o assunto sendo detalhado
progressivamente. Tal processo, eventualmente, nos leva ao momento de especificar
desde o tipo de trfego de dados permitido atravs do firewall da organizao at os
procedimentos de emergncia a serem tomados em caso de um incidente de segurana.
Firewalls so a primeira linha de defesa, delimitando a organizao virtual e
impedindo uma exposio direta aos ataques de origem externa. A tecnologia de
firewalls evoluiu e hoje h diversas funcionalidades sob a alada dos mesmos, tais
como filtragem, proxying, NAT e at VPN, que sero vistas posteriormente. Firewalls
no podem impedir todos os tipos de ataque, especialmente contra mquinas na
rede de permetro (DMZ). O monitoramento necessrio para detectar eventuais
sobreposies das barreiras, o que pode ser automatizado por meio dos sistemas de
deteco de intruses (IDSs).
A criptografia, em suas diversas facetas, tem muito a contribuir para a segurana de redes, auxiliando at mesmo os sistemas de autenticao. Neste sentido,
sero apresentados algoritmos bsicos, alguns ataques aos mesmos e comparaes
de grau de segurana provido. Uma infra-estrutura de chaves pblicas permite resolver uma srie de problemas de autenticao e, portanto, o conhecimento de seu
funcionamento importante para a obteno de sistemas mais seguros. A criptografia

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS


172
tambm fundamental para a montagem de VPNs, cada vez mais usadas nos ambientes de rede modernos.
Esse conjunto de ferramentas, se bem empregado, pode contribuir para a obteno de ambientes cooperativos seguros.

Poltica de segurana

Este captulo tem como objetivo demonstrar a importncia da


poltica de segurana, discutindo pontos como seu planejamento,
seus elementos, as questes a serem tratadas e os maiores obstculos a serem vencidos, principalmente em sua implementao. Alguns aspectos especficos que devem ser considerados pela poltica
tambm so exemplificados, como a poltica de senhas, o firewall e
o acesso remoto, chegando at discusso da poltica de segurana
em ambientes cooperativos, os quais tm suas particularidades.

6.1 A IMPORTNCIA
C
a
p

t
u
l
o
6

A poltica de segurana a base para todas as questes relacionadas proteo da informao, desempenhando um papel importante em todas as organizaes. A necessidade de estabelecer uma
poltica de segurana um fato realado unanimemente em recomendaes provenientes tanto do meio militar (como o Orange Book
do Departamento de Defesa dos Estados Unidos) como do meio tcnico (como o Site Security Handbook [Request for Comments RFC]
2196 do Institute Engineering Task Force, IETF) e, mais recentemente, do meio empresarial (norma International Standardization
Organization/International Electricaltechnical Commission (ISO/IEC)
17799).
Seu desenvolvimento o primeiro e o principal passo da estratgia de segurana das organizaes. por meio dessa poltica que

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 6: Poltica de segurana

174
todos os aspectos envolvidos na proteo dos recursos existentes so definidos e,
portanto, grande parte do trabalho dedicado sua elaborao e ao seu planejamento. No entanto, veremos que as maiores dificuldades esto mais na sua
implementao do que em seu planejamento e elaborao.
A poltica de segurana importante para evitar problemas, como os que foram
enfrentados pela Omega Engineering Corp. A organizao demitiu Timothy A. Lloyd,
responsvel pela segurana de sua rede e funcionrio da companhia durante 11
anos. Essa demisso causou srias e caras conseqncias para a Omega. A falta de
uma poltica de segurana quanto ao acesso de funcionrios demitidos fez com que
Lloyd implantasse uma bomba lgica na rede, que explodiu trs semanas aps ele
ter deixado a organizao. Os prejuzos decorrentes dessa ao foram calculados em
dez milhes de dlares [ULS 98].
Assim, a poltica de segurana trata dos aspectos humanos, culturais e
tecnolgicos de uma organizao, levando tambm em considerao os processos e
os negcios, alm da legislao local. com base nessa poltica de segurana que as
diversas normas e os vrios procedimentos devem ser criados.
Alm de seu papel primordial nas questes relacionadas com a segurana, a
poltica de segurana, uma vez fazendo parte da cultura da empresa, tem uma
importante funo como facilitadora e simplificadora do gerenciamento de todos os
seus recursos. De fato, o gerenciamento de segurana a arte de criar e administrar
a poltica de segurana, pois no possvel gerenciar o que no pode ser definido.

175
O apoio dos executivos importante para que isso acontea, o que faz com que
os recursos financeiros para as solues necessrias sejam garantidos. Quando uma
poltica de segurana planejada e definida, os executivos demonstram claramente
o seu comprometimento e apoio segurana da informao de toda a organizao.
Um ponto importante para que a poltica tenha o seu devido peso dentro da organizao que ela seja aprovada pelos executivos, publicada e comunicada para
todos os funcionrios, de forma relevante e acessvel.
O planejamento da poltica de segurana deve ser feito tendo como diretriz o
carter geral e abrangente de todos os pontos, incluindo as regras que devem ser
obedecidas por todos. Essas regras devem especificar quem pode acessar quais recursos, quais so os tipos de usos permitidos no sistema, bem como os procedimentos e controles necessrios para proteger as informaes.
Uma viso geral do planejamento pode ser observada na Figura 6.1, na qual a
pirmide mostra que a poltica fica no topo, acima das normas e procedimentos. A
poltica o elemento que orienta as aes e as implementaes futuras, de uma
maneira global, enquanto as normas abordam os detalhes, como os passos da
implementao, os conceitos e os projetos de sistemas e controles. Os procedimentos so utilizados para que os usurios possam cumprir aquilo que foi definido na
poltica e os administradores de sistemas possam configurar os sistemas de acordo
com a necessidade da organizao.

6.2 O PLANEJAMENTO
O incio do planejamento da poltica de segurana exige uma viso abrangente,
de modo que os riscos sejam entendidos para que possam ser enfrentados. Normalmente, a abordagem com relao segurana reativa, o que pode, invariavelmente, trazer futuros problemas para a organizao. A abordagem pr-ativa , portanto,
essencial e depende de uma poltica de segurana bem definida, na qual a definio
das responsabilidades individuais deve estar bem clara, de modo a facilitar o
gerenciamento da segurana em toda a organizao.
Ter uma poltica pr-ativa tambm fundamental, pois, sem essa abordagem, a
questo da segurana das informaes no se, mas sim quando o sistema ser
atacado por um hacker. De fato, de acordo com uma pesquisa da Computer Security
Institute, 12% das organizaes no sabem ao menos se sua organizao j sofreu
um incidente de segurana na pesquisa de 2002, pois em 2001 foram apontados
11% [CSI 01]. No Brasil, a porcentagem cresce para 32%, bem maior do que acontece nos Estados Unidos [MOD 02].

Figura 6.1

O planejamento da poltica de segurana.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 6: Poltica de segurana

176
As trs partes da pirmide podem ser desenvolvidas com base em padres que
servem de referncia para a implantao das melhores prticas, como os padres
British Standard (BS) 7799 e ISO 17799. O BS 7799 um padro internacionalmente
reconhecido para a implementao de controles de segurana e foi publicado pela
British Standard, pela primeira vez, em 1995. Ele foi atualizado em 1999, com o
objetivo de incorporar prticas de segurana em comrcio eletrnico. A poltica de
segurana pode ser definida com base nessa referncia, levando-se em considerao
os pontos especficos relevantes para o contexto e a realidade de cada organizao.
O padro da British Standard foi desenvolvido por um comit composto por
rgos governamentais e empresas privadas, como HSBC, Lloyds, KPMG, Shell e
Unilever, e dividido em duas partes:
* BS 7799 Parte 1, de 1995: conjunto de prticas para o gerenciamento da segurana da informao.
* BS 7799 Parte 2, de 1998: especificao para sistemas de gesto de segurana
da informao.
O ISO/IEC 17799 uma verso internacional do BS 7799, adotada pela
International Standardization Organization (ISO) e pelo International
Electricaltechnical Commission (IEC), resultante de diversas sugestes e alteraes,
e existe desde 10 de dezembro de 2000. No Brasil, a Associao Brasileira de Normas
Tcnicas (ABNT) traduziu a norma da ISO e conferiu-lhe a denominao de NBR
ISO/IEC 17799, em 2001.
Assim, a poltica de segurana pode ser definida com base em padres de referncia, como o NBR ISO/IEC 17799. Assim como as certificaes em qualidade, como
o ISO 9000, certificaes em segurana da informao, como o ISO/IEC 17799,
possuiro um valor cada vez mais crescente como diferenciais competitivos na Era
da Informao. Isso demonstra a importncia da poltica de segurana, que no
Brasil realidade em 39% das organizaes. Segundo a pesquisa, 16% das organizaes possuem uma poltica desatualizada, 30% possuem uma poltica em desenvolvimento e 15% no possuem uma poltica formalizada [MOD 02].
A poltica de segurana pode tambm ser dividida em vrios nveis, partindo de
um nvel mais genrico (para que os executivos possam entender o que est sendo
definido), passando pelo nvel dos usurios (para que eles tenham conscincia de
seus papis para a manuteno da segurana na organizao) chegando ao nvel
tcnico (que se refere aos procedimentos especficos, como a definio e a
implementao das regras de filtragem do firewall).

177

6.3 OS ELEMENTOS
Os elementos que uma poltica de segurana adequada deve possuir dizem respeito a tudo aquilo que essencial para o combate s adversidades. O que deve ser
mantido no apenas a proteo contra os ataques de hackers, mas tambm a
disponibilidade da infra-estrutura da organizao. Esses elementos essenciais para
a definio da poltica de segurana e para sua implantao so [HUR 99]:
* Vigilncia: significa que todos os membros da organizao devem entender a
importncia da segurana para a mesma, fazendo com que atuem como
guardies da rede, evitando-se, assim, abusos sistmicos e acidentais. Quanto
ao aspecto tcnico, a vigilncia significa um processo regular e consistente,
que inclui o monitoramento dos sistemas e da rede. Alguns desses aspectos
so a definio de como responder a alarmes e alertas, como e quando checar
a implementao e as mudanas nos dispositivos de segurana e como ser
vigilante com relao s senhas dos usurios (Seo 6.8).
* Atitude: significa a postura e a conduta quanto segurana. Sem a atitude
necessria, a segurana proposta no ter nenhum valor. Como a atitude no
apenas reflexo da capacidade, e sim um reflexo inspirado pelo treinamento e
pelas habilidades, essencial que a poltica definida seja de fcil acesso e que
seu contedo seja de conhecimento de todos os funcionrios da organizao.
Alm disso, tambm crucial que esses usurios tenham compreenso e cumplicidade quanto poltica definida, o que pode ser conseguido por meio da
educao, da conscientizao e do treinamento. Atitude significa tambm o
correto planejamento, pois a segurana deve fazer parte de um longo e gradual processo dentro da organizao.
* Estratgia: diz respeito a ser criativo quanto s definies da poltica e do
plano de defesa contra intruses, alm de possuir a habilidade de ser adaptativo
a mudanas no ambiente, to comuns no meio cooperativo. A estratgia leva
tambm em considerao a produtividade dos usurios, de forma que as medidas de segurana a serem adotadas no influenciem negativamente no andamento dos negcios da organizao.
* Tecnologia: a soluo tecnolgica deve ser adaptativa e flexvel, a fim de
suprir as necessidades estratgicas da organizao, pois qualquer tecnologia
um pouco inferior resulta em um falso e perigoso senso de segurana, colocando em risco toda a organizao. Portanto, a soluo ideal que uma organizao pode adotar no um produto, e sim uma poltica de segurana dinmica, segundo a qual mltiplas tecnologias e prticas de segurana so adotadas.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 6: Poltica de segurana

178

179

Esse o ponto que leva ao conceito de firewall cooperativo, que ser visto no
Captulo 13.
* Assim, vigilncia, atitude, estratgia e tecnologia (Figura 6.2) podem ser considerados os fatores de sucesso da poltica de segurana.

no sofra alteraes freqentes. Alm disso, ela pode ser abrangente o bastante
para abarcar possveis excees.
Uma caracterstica importante de uma poltica que ela deve ser curta o suficiente para que seja lida e conhecida por todos os funcionrios da empresa. A essa
poltica de alto nvel devem ser acrescentados polticas, normas e procedimentos
especficos para setores e reas particulares, como por exemplo, para a rea de
informtica.
A Seo 6.12 apresenta um exemplo de uma estrutura de poltica de segurana.

6.4 CONSIDERAES SOBRE A SEGURANA


Figura 6.2

Fatores de sucesso da poltica de segurana.

Levando-se isso em considerao e segundo a norma ISO/IEC 17799, a poltica


de segurana deve seguir pelo menos as seguintes orientaes:
* Definio de segurana da informao, resumo das metas, do escopo e a importncia da segurana para a organizao, enfatizando seu papel estratgico
como mecanismo para possibilitar o compartilhamento da informao e o andamento dos negcios.
* Declarao do comprometimento do corpo executivo, apoiando as metas e os
princpios da segurana da informao.
* Breve explanao das polticas, princpios, padres e requisitos de conformidade de segurana no contexto especfico da organizao, por exemplo:
* Conformidade com a legislao e eventuais clusulas contratuais;
* Requisitos na educao e treinamento em segurana;
* Preveno e deteco de vrus e programas maliciosos;
* Gerenciamento da continuidade dos negcios;
* Conseqncias das violaes na poltica de segurana;
* Definio de responsabilidades gerais e especficas na gesto da segurana
de informaes, incluindo o registro dos incidentes de segurana;
* Referncias que possam apoiar a poltica, por exemplo, polticas, normas e
procedimentos de segurana mais detalhados de sistemas ou reas especficas, ou regras de segurana que os usurios devem seguir.
Assim, a poltica de segurana no deve conter detalhes tcnicos especficos de
mecanismos a serem utilizados ou procedimentos que devem ser adotados por indivduos particulares, mas, sim, regras gerais e estruturais que se aplicam ao contexto
de toda a organizao. Com isso, a poltica pode ser flexvel o suficiente para que

Antes de desenvolver a poltica de segurana, necessrio que os responsveis


pela sua criao tenham o conhecimento dos diversos aspectos de segurana (Figura 6.3), alm da familiarizao com as questes culturais, sociais e pessoais que
envolvem o bom funcionamento da organizao.

Figura 6.3

Os aspectos envolvidos na proteo da informao.

Algumas das consideraes sobre a segurana, importantes para a definio de


uma boa poltica de segurana, so:
* Conhea seus possveis inimigos: identifique o que eles desejam fazer e os
perigos que eles representam sua organizao.
* Contabilize os valores: a implementao e o gerenciamento da poltica de
segurana geram um aumento no trabalho administrativo e educacional, o
que pode significar, alm da necessidade de mais recursos pessoais, a necessidade de significativos recursos computacionais e de hardwares dedicados. Os
custos das medidas de segurana devem, portanto, ser compatveis e proporcionais s necessidades da organizao e s probabilidades de ocorrerem incidentes de segurana.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 6: Poltica de segurana

180
* Identifique, examine e justifique suas hipteses: qualquer hiptese esquecida ou no divulgada pode causar srios problemas de segurana. Uma nica
varivel pode mudar completamente a estratgia de segurana de uma organizao.
* Controle seus segredos: muitos aspectos da segurana tm como base os segredos, que devem, portanto, ser guardados a sete chaves.
* Avalie os servios estritamente necessrios para o andamento dos negcios da
organizao: foi mostrado nas sees 3.8 e 3.9 que a segurana inversamente proporcional s funcionalidades e que ela pode influir na produtividade dos
usurios. Determinar e justificar cada servio permitido essencial para se
evitar conflitos futuros com os usurios.
* Considere os fatores humanos: muitos procedimentos de segurana falham,
porque as reaes dos usurios a esses procedimentos no so consideradas.
Senhas difceis que, para serem utilizadas, so guardadas sob o teclado, por
exemplo, podem comprometer a segurana tanto quanto uma senha fcil de
ser decifrada. As boas medidas de segurana garantem que o trabalho dos
usurios no seja afetado, e cada usurio deve ser convencido da necessidade
de cada medida a ser adotada. Eles devem entender e aceitar essas exigncias
de segurana. Uma boa estratgia a formalizao de um treinamento de
segurana para todos os funcionrios da organizao, antes de liberar seu
acesso rede. Isso faz com que as idias gerais de proteo dos recursos da
organizao sejam divulgadas e transmitidas, como o compromisso de nunca
fornecer senhas por e-mail ou telefone, ou a maneira mais segura de se navegar pela Internet. Considerar os fatores humanos minimiza a chance de sucesso dos ataques que usam a engenharia social (Seo 4.5.2).
* Conhea seus pontos fracos: todo sistema tem suas vulnerabilidades. Conhecer e entender esses pontos fracos permite que o primeiro passo para proteger
o sistema de maneira eficiente seja definido.
* Limite a abrangncia do acesso: barreiras como uma zona desmilitarizada (DMZ),
que ser abordada no Captulo 6, fazem com que, caso um sistema seja atacado, o restante da rede no seja comprometido. A parte segura de uma rede
to forte quanto sua parte menos protegida.
* Entenda o ambiente: entender o funcionamento normal da rede importante
para detectar possveis comportamentos estranhos, antes que um invasor cause prejuzos. Os eventos incomuns na rede podem ser detectados com a ajuda
de ferramentas especficas, como o sistema de deteco de intruso (Intrusion
Detection System, IDS), que ser discutido no Captulo 7.

181
* Limite a confiana: essencial estar atento e vigilante, principalmente quanto a programas de software que tenham muitos bugs e que podem comprometer a segurana do ambiente. No se pode confiar totalmente em todos os
sistemas e usurios da organizao, e preciso estar sempre atento a comportamentos anormais.
* Nunca se esquea da segurana fsica: o acesso fsico indevido a equipamentos ou roteadores pode destruir todas as medidas de segurana adotadas.
Incidentes naturais, como incndios ou terremotos, tambm resultam na
indisponibilidade e perda de recursos. O controle de acesso fsico e o plano
de contingncia deve, portanto, fazer parte da poltica de segurana da
organizao.
* A segurana complexa: qualquer modificao em qualquer pea do ambiente
pode causar efeitos inesperados no nvel de segurana, principalmente, por
exemplo, quando novos servios so adicionados. Entender as implicaes de
segurana em cada aspecto envolvido importante para a manipulao e o
gerenciamento correto de todas as variveis envolvidas.
* A segurana deve ser aplicada de acordo com os negcios da organizao:
entender os objetivos de negcios da organizao importante para a definio de sua estratgia de segurana. Uma organizao que resolveu se dedicar
ao e-Commerce, por exemplo, vendendo seus produtos pela Internet, deve dar
ateno especial s estratgias de proteo da infra-estrutura de vendas online
e privacidade de seus clientes.
* As atividades de segurana formam um processo constante, como carpir a
grama do jardim. Se isso no for feito regularmente, a grama (ou os hackers)
cobrir o jardim. Gembricki da Warrom [DID 98].
Essas consideraes demonstram a importncia de uma viso abrangente da
segurana, o que torna o desafio da proteo dos negcios ainda maior.

6.5 OS PONTOS A SEREM TRATADOS


A poltica de segurana, definida de acordo com os objetivos de negcios da
organizao, deve existir de maneira formal, pois somente assim possvel
implementar efetivamente a segurana. Caso isso no ocorra, os administradores de
segurana devem documentar todos os aspectos a serem tratados, sendo imprescindvel que a aprovao do executivo seja formalizada. Tal formalidade evitar que, no
futuro, as responsabilidades recaiam totalmente sobre os administradores, alm de
impedir situaes em que ocorram eventos que no so do conhecimento dos execu-

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 6: Poltica de segurana

182
tivos e tragam conseqncias inesperadas e tenses desnecessrias organizao.
Alm do mais, a poltica de segurana formal essencial, porque as responsabilidades quanto s questes de segurana, caso no estejam definidas na respectiva
poltica, devem ser dos executivos, e no dos administradores de segurana.
De qualquer forma, de responsabilidade dos administradores alertar sobre as
questes de segurana e implementar as medidas definidas na poltica. Participar
da definio dessa poltica, que envolve os aspectos de toda a organizao, tambm
essencial, assim como determinar as normas e os procedimentos.
Sob a perspectiva do usurio, essencial que exista sua participao no trabalho
de desenvolvimento da poltica e tambm na definio das normas e procedimentos
a serem adotados. Esse envolvimento importante, porque medidas de segurana
que atrapalham o usurio, invariavelmente, falham, como foi mostrado na Seo
3.9. As medidas devem ter a mxima transparncia possvel para o usurio, de modo
que as necessidades de segurana da organizao estejam em conformidade com
suas prprias necessidades.
Assim, uma poltica de segurana adequada deve tratar no s dos aspectos
tcnicos, mas principalmente daqueles relacionados ao trabalho, s pessoas e ao
gerenciamento, como pode ser visto no exemplo da Seo 6.12. Ela deve abordar,
especialmente, os aspectos do cotidiano, como, por exemplo, a definio dos cuidados necessrios com documentos em mesas de trabalho e at mesmo com o lixo,
pois esse um dos locais mais explorados procura de informaes confidenciais
(Seo 4.5.1).
Os aspectos culturais e locais tambm devem ser considerados na elaborao da
poltica de segurana, pois eles influenciam diretamente na sua efetividade. A poltica de demisso de funcionrios por falha na escolha de senhas, por exemplo,
poderia ser aplicada nos Estados Unidos, mas na Europa o funcionrio demitido
poderia ganhar um processo na justia. Essas peculiaridades existentes em diferentes culturas fazem com que a ajuda de um profissional local, para o desenvolvimento ou a adequao da poltica da organizao, seja um ponto importante a ser
considerado.
A poltica de segurana deve definir tambm, do modo mais claro possvel, as
punies e os procedimentos a serem adotados, no caso do no-cumprimento da
poltica definida. Esse um aspecto importante que precisa ser definido, para que
os abusos sejam evitados e os usurios tenham conscincia de que a poltica de
segurana importante para o sucesso da organizao.
Alguns detalhes relevantes em uma poltica de segurana podem ser inseridos
nas normas e procedimentos especficos. Por exemplo, alguns detalhes que podem
ser definidos com base na anlise do ambiente da rede e de seus riscos, so:

183
* A segurana mais importante do que os servios. Caso no haja conciliao,
a segurana deve prevalecer, a no ser que os executivos assumam formalmente os eventuais riscos existentes.
* A poltica de segurana deve evoluir constantemente, de acordo com os riscos
e as mudanas na estrutura da organizao.
* Aquilo que no for expressamente permitido ser proibido. O ideal restringir
tudo, e os servios s podero ser liberados caso a caso, de acordo com sua
anlise e a dos riscos relacionados.
* Nenhuma conexo direta com a rede interna, originria externamente, dever
ser permitida sem que um rgido controle de acesso seja definido e
implementado.
* Os servios devem ser implementados com a maior simplicidade possvel, evitando-se a complexidade e a possibilidade de configuraes erradas.
* Devem ser realizados testes, a fim de garantir que todos os objetivos sejam
alcanados.
* O acesso remoto discado, quando necessrio, deve ser protegido com a utilizao de um mtodo de autenticao eficiente e com a criptografia dos dados.
* Nenhuma senha deve ser fornecida em claro, ou seja, sem a utilizao de
criptografia. Caso isso no seja possvel, o ideal utilizar o one-time password
(Captulo 10).
* As informaes utilizadas na computao mvel, principalmente em notebooks,
devem ser cifradas via uso de redes privadas virtuais Virtual Private Network
VPN (Captulo 9).

6.6 A IMPLEMENTAO
A implementao pode ser considerada a parte mais difcil da poltica de segurana. Sua criao e definio envolvem conhecimentos abrangentes de segurana, ambiente de rede, organizao, cultura, pessoas e tecnologias, sendo uma tarefa complexa e trabalhosa. Porm, a dificuldade maior reside na implementao dessa poltica
criada, quando todos os usurios da organizao devem ter o conhecimento da referida poltica, todas as mudanas sugeridas devem ser implementadas e aceitas por
todos e todos os controles definidos devem ser implantados com sucesso. Isso faz com
que um ponto importante para a aceitao e conformidade com a poltica definida
seja a educao, pois a falta de conscientizao dos funcionrios acerca da importncia e relevncia da poltica torn-la inoperante ou reduzir sua eficcia.
Com uma divulgao efetiva, a poltica de segurana dever tornar-se parte da
cultura da organizao, disseminando as regras estruturais e os controles bsicos da

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 6: Poltica de segurana

184
segurana da informao no contexto da organizao e conscientizando a todos.
Alguns exemplos de formas de divulgao que podem ser utilizadas so:
*
*
*
*
*
*

Comunicao interna (e-mails, painis, pginas na intranet).


Reunies de divulgao e conscientizao.
Treinamento especfico ou incluso em programas vigentes.
Dramatizao de exemplos prticos em curtas peas teatrais.
Incorporao ao programa de recepo a novos funcionrios.
Psteres, protetores de tela e mouse pads podem ser utilizados para oferecer
dicas de segurana, lembrando a todos da importncia da segurana de informaes.

Alm dos programas de divulgao e conscientizao, os executivos devem seguir fielmente a poltica e valoriz-la, servindo de exemplo para todos os demais.
Os esforos necessrios para a implantao da segurana podem levar anos at
que se consiga o resultado esperado, o que faz com que um planejamento a longo
prazo seja essencial, bem como a aprovao formal de todos os seus passos.
Assim, o ideal que a segurana tenha seu espao determinado no oramento
das organizaes, com seus devidos planejamentos, equipes e dependncias. Alm
disso, interessante que ela seja considerada como uma rea funcional da organizao, como a rea financeira ou a rea de marketing, afinal, a segurana cada vez
mais estratgica para todas as organizaes, principalmente em ambientes cooperativos, como pde ser visto no Captulo 3.
Um ponto importante quanto poltica de segurana que, ao contrrio da
percepo inicial, seu desenvolvimento ajuda a diminuir, e no a aumentar, os
custos operacionais. Isso ocorre porque a especificao dos recursos a serem protegidos, dos controles e das tecnologias necessrias, e de seus respectivos valores,
resulta em um melhor controle. Alm disso, ela tambm possibilita o gerenciamento
da segurana em nvel organizacional, em oposio dificuldade de gerenciamento
de solues isoladas de fornecedores aleatrios.
Uma vez que todos os funcionrios da organizao conheam a sua poltica de
segurana e passem a aplic-la, necessrio que as aes de todos passem a ser
verificadas quanto conformidade com a poltica definida. Isso pode ser feito com
auditorias peridicas, que devem ser independentes das pessoas que a estaro
implementando.
A poltica de segurana deve ser aplicada de maneira rigorosa e a no-conformidade deve ser punida, de acordo com as aes disciplinares previstas na poltica.
Alm da auditoria, o monitoramento e a reviso da poltica importante para a
melhoria contnua dos procedimentos de segurana da organizao, como neces-

185
srio em caso de qualquer mudana que venha a afetar a anlise de risco original,
tal como um incidente de segurana significativo, surgimento de novas
vulnerabilidades, mudanas organizacionais ou na infra-estrutura tcnica utilizada, que so comuns em ambientes cooperativos.
Segundo a norma ISO/IEC 17799, as seguintes anlises crticas peridicas tambm devem ser agendadas:
* Verificao da efetividade da poltica, demonstrada pelo tipo, volume e impacto dos incidentes de segurana registrados.
* Anlise do custo e impacto dos controles na eficincia do negcio.
* Verificao dos efeitos de mudanas na tecnologia utilizada.
Com o passar do tempo, crucial a manuteno da relevncia dos pontos da
poltica de segurana: novos pontos podem ser adicionados, quando necessrio,
como tambm devem ser removidos os pontos que se tornarem obsoletos.

6.7 OS MAIORES OBSTCULOS PARA A IMPLEMENTAO


Alm da dificuldade natural pertinente implementao da segurana, diversos
outros obstculos podem surgir durante o projeto da poltica de segurana. Muitos
deles esto relacionados aos pontos discutidos no Captulo 3, e alguns deles so
[WOO 99]:
* Desculpe, no existem recursos financeiros suficientes e as prioridades so
outras.
A falta de verbas o obstculo mais comum, porm, o fato que, muitas vezes,
isso apenas uma desculpa, utilizada para que as razes verdadeiras no sejam
reveladas. O fato de no conseguir os recursos necessrios reflete, fundamentalmente, a falha em convencer os executivos da importncia das informaes e dos
sistemas de informaes da organizao, que devem, portanto, ser protegidos. Uma
maneira prtica e comum, porm questionvel, de conscientizar os executivos sobre esse problema uma simulao de ataque, que deve, necessariamente, ser realizado somente aps uma aprovao prvia por escrito. Alm disso, a indisponibilidade
de recursos significa prejuzos, pois os negcios podem ser interrompidos como
decorrncia de um ataque.
* Por que voc continua falando sobre a implementao da poltica?

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 6: Poltica de segurana

186
Outro obstculo a dificuldade dos executivos em compreender os reais benefcios da poltica de segurana para a organizao. Essa poltica um meio de assegurar que os objetivos de gerenciamento sejam seguidos consistentemente dentro da
organizao, de tal modo que esses executivos devem ter conscincia de que, se a
poltica for adotada, seu prprio trabalho ficar consideravelmente mais fcil. Ao
fazer com que a implementao da poltica seja, explicitamente, parte do projeto,
existe a possibilidade de descrever os benefcios trazidos com a poltica de segurana. Por isso, necessrio tratar essa implementao como um assunto especfico,
que precisa, tambm, da aprovao dos executivos.
* Foram feitos todos os esforos para o desenvolvimento da poltica, isso
tudo?
preciso que os executivos tenham total compreenso de que somente aprovar
e publicar os documentos referentes poltica desenvolvida no suficiente. Essa
compreenso importante para evitar que os demais funcionrios da organizao
tenham uma m impresso de descaso por parte dos executivos. A implementao
da poltica desenvolvida requer recursos para o suporte tcnico, para os programas
de conscientizao e treinamentos dos usurios, para a substituio e compra de
tecnologia e para o estabelecimento de procedimentos adicionais. Por isso, importante que a implementao faa parte do projeto global de segurana.
* Temos realmente que fazer tudo isso?
Os executivos podem aprovar uma poltica de segurana apenas para satisfazer
os auditores, e isso acaba comprometendo a prpria organizao, que pode obter
uma poltica incoerente e sem os detalhes essenciais para o seu sucesso. Esse tipo
de comportamento faz com que os executivos devam ser convencidos de que o
melhor a fazer atuar de modo pr-ativo, em oposio ao comportamento reativo.
Sendo reativos, em caso de algum incidente de segurana, os executivos sero obrigados a agir em circunstncias negativas e de extrema urgncia e presso, trazendo,
como principal conseqncia, problemas quanto confiana de clientes e de parceiros de negcios, e tambm com a opinio pblica. O ideal mostrar os estudos que
provam que mais barato considerar a perspectiva de prevenir, deter e detectar do
que a de corrigir e recuperar.
* O que voc quer dizer com existem dependncias?

187
As dependncias existentes nos diversos tpicos da poltica, das normas e dos
procedimentos devem ser consideradas para que no sejam feitos esforos em vo.
Por exemplo, uma poltica que torna obrigatrio o uso de uma autenticao eficiente para todo acesso remoto deve tratar tambm dos aspectos que dela dependem,
como a arquitetura da soluo e dos produtos-padro a serem utilizados. Sem isso,
sua implementao fica comprometida; os usurios iro reclamar que no conseguem trabalhar remotamente (comprometendo sua produtividade) e os executivos,
por sua vez, iro reclamar que os usurios no podem trabalhar remotamente, porque no existe a tecnologia que possibilita o acesso remoto seguro.
* O que voc quer dizer com ningum sabe o que fazer depois?
Uma viso abrangente dos problemas relacionados segurana, juntamente com
o conhecimento dos processos de negcios da organizao, fundamental para o
desenvolvimento da poltica. imprescindvel que exista um lder tcnico, que seja
profundo conhecedor dos aspectos de segurana e tenha uma viso sobre as tendncias e tecnologias nessa rea, a fim de possibilitar a implementao das normas
e dos procedimentos definidos na poltica.
* Desculpe, isso muito complexo.
necessrio conhecer a complexidade que envolve a rede e os sistemas de informao, para que os recursos adequados sejam alocados no desenvolvimento da poltica de segurana. O fato de algum desses aspectos ser complexo no significa que deva
ser ignorado. Para tanto, preciso recorrer ao auxlio de ferramentas para a realizao
dessa tarefa, tais como um software de planejamento de contingncia. Essa mesma
complexidade exige que a organizao aloque recursos para sistemas de gerenciamento
de redes, sistemas de deteco de intruses, sistemas de automao de distribuio de
software, sistemas de checagem de licenas de software e outros mecanismos de
automao, os quais as pessoas no podem realizar sozinhas. importante demonstrar para os executivos as novas ferramentas existentes e o porqu de sua popularidade, a fim de comprovar que essa complexidade especfica pode ser gerenciada.
* A poltica de segurana vai fazer com que eu perca meu poder?
Alguns executivos podem resistir implementao da poltica, por acharem que
isso trar ameaas ao seu poder e prestgio. Mostrar a esses executivos a importn-

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS


188
cia da centralizao e coordenao da poltica essencial, para que eles dem o
apoio necessrio para o sucesso da implementao. Um caso tpico da importncia
da centralizao e padronizao refere-se ao controle de acesso, quando uma coordenao adequada evita o caos, os aborrecimentos e o desperdcio de esforos para
todos os envolvidos.
* Por que eu tenho que me preocupar com isso? Esse no o meu trabalho.
Geralmente, os executivos no gostam de compartilhar e discutir os detalhes
tcnicos sobre segurana. Porm, importante que todos estejam engajados nesse
processo, porque os executivos precisam entender que a segurana da organizao
no ter sucesso se no houver o apoio necessrio. Alm disso, a participao ativa
dos executivos no desenvolvimento e na implementao da poltica fundamental
para o seu sucesso, principalmente porque diversas decises de negcios includas
na poltica no podem ser tomadas pelo pessoal tcnico, mas somente pelos executivos. Um exemplo a poltica de privacidade de um site de comrcio eletrnico,
que demonstra que a segurana multidisciplinar, requerendo a participao de
todos dentro da organizao.
* No podemos lidar com isso, pois no temos um processo disciplinar.
Um processo disciplinar especfico para os casos de no-cumprimento da poltica definida importante para a organizao. Por exemplo, se um usurio cometer
um erro, a primeira medida avis-lo de sua falta. Se o erro se repetir, o chefe do
usurio deve receber um comunicado. Se houver um terceiro erro, o usurio ser
suspenso por duas semanas e se esse erro persistir, o usurio ser demitido. Essa
abordagem crucial para evitar situaes em que o usurio seja sumariamente
demitido, logo no seu primeiro erro, somente para mostrar aos outros funcionrios
quem detm o poder na organizao.

6.8 POLTICA PARA AS SENHAS


A proviso de senhas pelos administradores de sistemas e a utilizao de senhas
pelos usurios uma parte especfica da poltica de segurana, de grande importncia para as organizaes. As senhas so utilizadas pela grande maioria dos sistemas
de autenticao (Captulo 10) e so consideradas necessrias como um meio de
proteo. Porm, elas so consideradas tambm perigosas, principalmente porque
dependem do elo mais fraco da corrente da segurana, que so os usurios. Eles

Captulo 6: Poltica de segurana


189
podem, por exemplo, escolher senhas bvias e fceis de serem descobertas ou
compartilh-las com seus amigos.
Por isso, a existncia de uma poltica que auxilie na escolha de uma senha
segura para a organizao, que seja tambm boa para o usurio, de extrema
importncia, o que pode aumentar o nvel de segurana de toda a organizao. Uma
senha boa para o usurio pode ser considerada a senha que ele seja capaz de memorizar, sem recorrer a recursos como o papelzinho debaixo do teclado, ou o adesivo
no monitor.
De fato, o ser humano consegue memorizar apenas senhas com tamanho curto
[KES 96], o que compromete sua eficincia, se comparado com uma senha aleatria
escolhida pelo administrador do sistema ou pelo prprio sistema. Por outro lado,
uma senha aleatria at mais difcil de ser memorizada pelo usurio, o que tambm pode causar problemas, pois geralmente preciso anotar a senha em um pedao de papel, por exemplo. Assim, a conscientizao dos usurios quanto aos perigos
de uma senha mal escolhida, orientando-os a definir uma senha adequada, tambm
deve fazer parte da poltica de segurana.
A poltica de senhas importante tambm porque diversos problemas de segurana das empresas esto relacionados a elas, o que faz com que um dos grandes
desafios seja a fortificao das senhas, ao mesmo tempo em que os custos relacionados sejam reduzidos. Os custos esto relacionados perda de produtividade
dos usurios quando eles esquecem as senhas e tambm aos custos com help-desk.
O esquecimento das senhas um fato comum, e representa cerca de 30% dos
chamados ao help-desk, segundo a Gartner [MAC 02]. Em algumas organizaes,
mais de 40% dos chamados so referentes a problemas com senhas e os custos
estimados nos Estados Unidos so de 51 a 147 dlares por chamado, segundo a
Gartner [MAC 02].
Uma boa poltica de senhas que auxilie os usurios na escolha das mesmas e
balanceie os requisitos de segurana mnimos para reduzir os problemas de esquecimentos, portanto, significa tambm uma melhor produtividade dos usurios e menores custos com o help-desk. O processo de solicitao das senhas, o seu tamanho
mnimo, o seu tempo de expirao, a mistura exigida entre letras, nmeros e caracteres
especiais, entre outros, influem diretamente nos aspectos de segurana da organizao, de produtividade dos usurios e dos custos com suporte tcnico.
Diversos problemas relacionados com as senhas tambm devem ser considerados
na poltica de senhas, o que exige o entendimento de todos os riscos envolvidos.
Um desses riscos com relao ao uso de sniffers (Seo 4.5.5), que permitem que
as senhas utilizadas em claro pelos sistemas, sem o uso de criptografia, sejam
capturadas e usadas indiscriminadamente.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 6: Poltica de segurana

190
Um outro modo de comprometer as senhas por meio do crack, um software que
realiza a codificao de palavras do dicionrio (ataque do dicionrio) e as compara
com as senhas do arquivo de senhas, at que elas sejam equivalentes. Como so
usadas palavras do dicionrio, o uso de composies entre letras, nmeros e caracteres
especiais minimiza a efetividade do ataque do dicionrio.
Outro ataque que tem como objetivo descobrir senhas de usurios a adivinhao de senhas (password guessing). Assim como o ataque do dicionrio, esse ataque
pode ser facilmente utilizado contra senhas consideradas fracas, que incluem, nesse
caso, exemplos como o nome do cnjuge, o nome da empresa, o nome do animal de
estimao, o nome do time preferido ou datas de aniversrio.
O ataque de fora bruta busca tambm a descoberta de senhas, porm com a
combinao de todas as combinaes possveis de todos os caracteres possveis, at
que a senha seja encontrada. Normalmente, essa tcnica utilizada aps os ataques
do dicionrio e a adivinhao de senhas, pois o universo de combinaes necessrias muito grande e requer um tempo considervel para ser efetuado.
Uma ferramenta de crack de senhas do Windows o LC4 [LC4 03], derivado do
L0phtCrack. Esses tipos de ferramentas possuem um valor muito grande tambm
para os administradores de sistemas, que podem realizar auditorias peridicas das
senhas, com o objetivo de identificar as senhas consideradas fracas e solicitar ao
usurio que ele cumpra o que estiver estabelecido na poltica de segurana da
organizao. Existem trs modos de obter senhas de plataformas Windows, antes de
utiliz-las no LC4:
* Por meio do sniffing efetuado na rede.
* Diretamente do arquivo Security Account Manager (SAM), que pode ser obtido
diretamente do disco do servidor, do Emergency Repair Disk ou de um backup
qualquer.
* Por meio do registro do Windows, o que pode ser evitado com a proibio do
acesso remoto e por meio do utilitrio SYSKEY, que codifica o hash de senhas.
interessante notar que, em um ambiente tpico, 18% das senhas podem ser
descobertas em dez minutos, e 98% das senhas podem ser descobertas em 48 horas,
incluindo a senha de administrador [LC4 03].
O comportamento dos usurios na escolha das senhas pode ser observado por
meio de uma pesquisa realizada pela Compaq, em 1997 [JOH 98], que revelou que as
senhas so escolhidas da seguinte maneira:
* Posies sexuais ou nomes alusivos a chefes (82%).
* Nomes ou apelidos de parceiros (16%).

191
* Nome do local de frias preferido (15%).
* Nome de time ou jogador (13%).
* O que se v primeiramente na mesa (8%).
Uma srie de medidas pode ser tomada para configurar, de modo seguro e eficiente, um sistema com base em senhas. Algumas dessas idias que podem constar
em uma poltica de senhas so [SHA 98][DoD 85]:
* Caso no exista um procedimento que auxilie o usurio a escolher uma senha
adequada, melhor que o administrador escolha a senha, pois o usurio,
geralmente, opta por palavras comuns, como as que existem em dicionrios,
nomes de filmes, nomes de animais de estimao ou datas de aniversrio, que
so facilmente descobertos por programas de crack.
* A senha deve ser redefinida pelo menos a cada dois meses, para os usurios
comuns, e a cada ms, para usurios com acesso mais restrito.
* As informaes sobre o ltimo acesso, como o tempo de durao, a data e a
origem, so importantes, para que o usurio tenha certeza de que sua conta
no foi acessada por pessoas no autorizadas.
* As senhas devem ser bloqueadas a cada trs ou cinco tentativas sem sucesso,
e o administrador do sistema e o usurio devem ser notificados sobre essas
tentativas.
* A transmisso da senha deve ser feita de modo cifrado, sempre que possvel.
* As atividades de autenticao devem ser registradas e verificadas, tais como
as tentativas com e sem sucesso e as tentativas de mudana de senha.
* As senhas e as informaes relativas conta devem ser armazenadas de modo
extremamente seguro; de preferncia, em um sistema no conectado rede da
organizao.
* As responsabilidades do administrador do sistema incluem o cuidado na criao e alterao das senhas dos usurios, alm da necessidade de manter
atualizados os dados dos mesmos, como nmeros de telefone e endereos,
para a sua rpida localizao, caso isso seja necessrio.
* As responsabilidades dos usurios incluem, principalmente, os cuidados para
a manuteno da segurana dos recursos, tais como o sigilo da senha e o
monitoramento de sua conta, evitando sua utilizao indevida. Um treinamento sobre segurana deve ser conduzido pela organizao, para que cada
usurio tenha conscincia da importncia de atitudes bsicas, como nunca
informar sua senha, por telefone, para algum que diz ser o administrador
do sistema.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 6: Poltica de segurana

192

193

A Request for Comments (RFC) 2196, que substituiu a RFC 1244 [RFC 97], oferece
um guia sobre como selecionar e manter senhas. Alguns desses aspectos [KES 96] e
outras recomendaes [SHA 98][DoD 85] so:
* No utilize palavras que esto em dicionrios (nacionais ou estrangeiros).
* No utilize informaes pessoais fceis de serem obtidas, como o nmero da
rua, nomes de bairros, cidades, datas de nascimento, nome do time preferido,
etc.
* No utilize senhas somente com dgitos ou com letras.
* Utilize senhas com, pelo menos, oito caracteres.
* Misture caracteres maisculos e minsculos.
* Misture nmeros, letras e caracteres especiais.
* Inclua, pelo menos, um caractere especial ou smbolo.
* Utilize um mtodo prprio para se lembrar da senha, de modo que ela no
precise ser escrita em nenhum local, em hiptese alguma.
* No utilize o nome do usurio.
* No utilize o primeiro nome, o nome do meio ou o sobrenome.
* No utilize nomes de pessoas prximas, como da esposa, dos filhos, de amigos
nem de animais de estimao.
* No utilize senhas com a repetio do mesmo dgito ou da mesma letra.
* No fornea sua senha para ningum, por razo alguma.
* Utilize senhas que podem ser digitadas rapidamente, sem a necessidade de
olhar para o teclado.
Uma boa recomendao pegar a primeira letra de uma expresso, frase, letra de
msica ou dilogo, que faa parte da vida do usurio, de modo que seja fcil de
memorizar, como pode ser visto na Figura 6.4. Outra sugesto alternar entre uma
consoante e uma ou duas vogais, ou concatenar duas palavras curtas com um ponto
ou outro caractere especial entre elas [KES 96].

Figura 6.4

Escolha uma senha forte e fcil de ser lembrada.

interessante observar que tudo est relacionado autenticao, que prov o


acesso aos servios e s informaes. Sem as senhas, os usurios no podem trabalhar. Devido a isso, a proviso das senhas deve ser bem planejada no momento da
contratao do funcionrio, bem como as situaes que envolvem transferncias de
reas, promoes ou projetos especficos, que requerem mudanas nos acessos e
permisses. A excluso das senhas tambm de extrema importncia, para evitar
acessos indevidos e riscos desnecessrios.

6.9 POLTICA PARA FIREWALL


Um dos principais elementos da poltica de segurana para o firewall a definio das regras de filtragem, que, por sua vez, tm como base a definio dos servios a serem fornecidos para os usurios externos e a dos servios que os usurios
internos podem acessar.
Um dos aspectos da poltica de segurana para o firewall a definio de sua
arquitetura (Seo 6.4). com base nessa arquitetura e nos servios definidos que
as regras de filtragem so desenvolvidas. A abordagem a ser utilizada pode ser a de
proibir tudo e liberar somente aqueles servios que forem explicitamente permitidos ou a de liberar tudo e proibir somente os servios que forem explicitamente
proibidos.
Sendo um componente importante para a proteo da organizao, atuando em
todo o permetro do ambiente, o firewall geralmente resulta em diversos
questionamentos para as organizaes. Por exemplo, no Brasil, os cidados costu-

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 6: Poltica de segurana

194
mam entregar suas declaraes de imposto de renda via Internet. Como o software
para a entrega da declarao utiliza um protocolo proprietrio, ele no funciona
normalmente em um ambiente comum, necessitando, assim , de uma regra especfica no firewall para que ele possa funcionar adequadamente. Esse tipo de situao,
onde um novo servio depende de alteraes na poltica do firewall, precisa estar
contemplada pela poltica de segurana. A poltica poderia, por exemplo, simplesmente proibir a adio de novas regras, ou exigir uma anlise de segurana antes da
liberao do acesso. Uma poltica clara com relao aos novos servios importante
porque elimina estresses desnecessrios para todos, como os que ocorrem quando
um funcionrio exige a liberao do acesso e o administrador do firewall no possui
foras para argumentar que essa liberao pode colocar em risco a organizao. Com
a poltica, o administrador pode mostrar ao solicitante que a segurana da organizao uma diretriz que deve ser seguida risca, por estar explicitamente formalizada.
Alm desses aspectos, a poltica de segurana para firewalls pode especificar
pontos de auditoria, definindo as responsabilidades de atuao no monitoramento
dos acessos e de aprovao da criao de novas regras, por exemplo.
Assim, a poltica de segurana torna mais claros todos os papis para a liberao
de acessos de novos servios, bem como o processo para a aprovao dessa liberao. A exigncia de um parecer tcnico com a anlise de segurana dos novos
servios, por exemplo, pode ser exigido pela poltica. Esse um exemplo claro de
que a poltica de segurana, quando bem definida, atua como um grande facilitador
do dia-a-dia das organizaes, eliminando grande parte da desorganizao e conflitos internos.
As regras de filtragem e a complexidade de sua definio, principalmente em um
ambiente cooperativo, sero discutidas tambm no Captulo 13.

6.10 POLTICA PARA ACESSO REMOTO


Um outro aspecto importante que deve ser considerado na poltica de segurana
o acesso remoto. O crescimento da necessidade de acesso remoto, advindos do
trabalho remoto e da computao mvel, transforma esse aspecto em uma das principais prioridades das organizaes atuais.
Seja o acesso remoto baseado em conexo direta para a rede da organizao via
modem ou baseado em redes privadas virtuais (Virtual Private Network VPN), os
desafios a serem enfrentados so muito grandes. O controle do uso indiscriminado
de modems, a necessidade de uso de antivrus e de firewalls pessoais, a conscientizao
quanto ao uso correto do correio eletrnico e a poltica de uso de notebooks fazem
parte dos pontos a serem considerados na poltica de segurana para acesso remoto.

195
A grande dificuldade, porm, est na verificao e acompanhamento do cumprimento do que est definido na poltica. Isso acontece porque inerentemente difcil controlar o que no est dentro da organizao, pois os acessos so feitos remotamente. Portanto, mecanismos de auditoria eficientes tambm devem ser
considerados na poltica.
Diversos casos de incidentes relacionados a modems podem ser analisados [GAR
98]. Em um deles, ocorrido em maro de 1997, um adolescente executou uma varredura em nmeros telefnicos de sua rea, utilizando uma ferramenta (war dialer,
Seo 4.9.5) disponvel na Internet. Por meio dos nmeros obtidos, ele conseguiu o
controle total de um sistema de comunicao de fibra ptica, tendo causado srios
problemas ao desligar as comunicaes da torre de controle do aeroporto local e dos
servios de emergncia, por diversas horas.
Em outro incidente, a Caterpillar Inc., que dispunha de um sofisticado firewall,
teve sua rede interna atacada por meio de um modem. Esse incidente mostrou a
importncia da segurana no acesso remoto, porque, nesses casos, um firewall sofisticado no faz diferena alguma, uma vez que o ataque no tem origem na Internet,
mas feito por meio da linha telefnica.
Outros riscos envolvidos com o acesso remoto, e que devem ser considerados no
estabelecimento da poltica de segurana, incluem os prprios funcionrios. Eles
podem instalar um modem e configurar um software em seu equipamento para
permitir o acesso irrestrito dentro da rede interna, a fim de facilitar seu trabalho ou
mesmo para desfrutar do acesso gratuito Internet, por meio da rede da empresa.
O problema que esse mesmo modem pode ser utilizado por um hacker para invadir
a organizao ou, ento, um hacker da Internet pode chegar organizao invadindo o equipamento do usurio e utilizando sua conexo.
Por isso, os modems instalados na organizao devem ser estritamente controlados. A utilizao de war dialers para a deteco desses modems clandestinos deve
fazer parte da poltica de segurana. Para os casos em que os modems so necessrios, essencial que exista um documento por escrito, que esclarea aos usurios
sobre os aspectos relacionados segurana e sobre suas responsabilidades.
Um exemplo de uma poltica de segurana para o acesso remoto por VPNs pode
ser visto na Seo 9.5.1.3.1.

6.11 POLTICA DE SEGURANA EM AMBIENTES


COOPERATIVOS
At agora, foram discutidos o significado e os aspectos que devem ser tratados pela
poltica de segurana de uma empresa. Mas, e quanto aos ambientes cooperativos?

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 6: Poltica de segurana

196

197

Assim como o prprio ambiente vai se tornando cada vez mais complexo, a
poltica de segurana em um ambiente cooperativo tambm se torna cada vez mais
completa, medida que o nmero de conexes vai aumentando.
Como cada organizao tem sua prpria poltica de segurana, cada uma idealizada de acordo com a respectiva cultura organizacional, em um ambiente cooperativo, a mesclagem de diversas polticas diferentes pode ser fatal para a segurana de
todos dentro desse ambiente. As questes que precisam ser resolvidas so: em que
ponto comea e termina a poltica de segurana de cada usurio em um ambiente
cooperativo? O ambiente cooperativo deve ter sua prpria poltica de segurana?
O exemplo clssico de problemas envolvendo diferentes conexes o caso da
triangulao (Figura 6.5), discutido na Seo 2.3, em que trs organizaes diferentes A, B e C, tm, cada uma delas, sua prpria poltica de segurana. A poltica
da organizao A permite que usurios da organizao C acessem seu banco de
dados; porm, os usurios da organizao B so proibidos de acessar esses dados. A
poltica de C permite que usurios de B acessem sua rede. Como usurios de C
podem acessar os dados de A e C permite que usurios de B acessem sua rede, ento,
B pode acessar A por intermdio de C. Isso demonstra que a poltica de segurana de
A contrariada, em um caso tpico de triangulao, que dribla a poltica de segurana da organizao A.

Figura 6.5

partir da, o usurio de B pode acessar A, o que proibido, por meio de C. Talvez
seja possvel convencer A de no permitir mais a utilizao do Telnet, porm isso
parece ser improvvel.
Essa grande dificuldade, que surge nos ambientes cooperativos, poderia ser
minimizada pela criao de uma poltica de segurana conjunta, que seria adotada
pelos integrantes do ambiente cooperativo. Porm, de acordo com o que foi mostrado, grandes dificuldades surgiro, incluindo desde a complexidade no desenvolvimento dessa poltica at a enorme complicao em sua implementao. Esses contratempos previstos fazem com que essa idia seja praticamente descartada. E tambm
no seria possvel garantir que todos os integrantes do ambiente cooperativo cumpram o que determinado na poltica criada conjuntamente.
Dessa forma, a idia que se deve seguir, dentro do ambiente cooperativo, de
que, assim como em um ambiente convencional, os usurios de outras organizaes
devem ser considerados como usurios no confiveis. Uma vez que os usurios
externos acessam a rede da organizao, devem ter todos os seus passos controlados, para que sejam evitados os abusos. Esse usurio deve ser controlado, como
acontece com outro usurio qualquer, ou seja, ele pode ter acesso somente aos
recursos permitidos a ele.
Um modelo proposto neste livro, que visa sintetizar o que acontece em um
ambiente cooperativo, o modelo de bolses de segurana. O modelo de segurana
convencional tinha como objetivo criar uma parede (representado pelo firewall)
entre a rede interna da organizao e a rede pblica. Os usurios externos praticamente no tinham acesso aos recursos internos da organizao (Figura 6.6).

A triangulao que dribla a poltica de segurana de uma organizao.

Em ambientes cooperativos, esse tipo de confuso passa a ser um fato corriqueiro, a menos que haja uma concordncia mtua, previamente definida, entre as
polticas das organizaes do ambiente. Por exemplo, no caso em que a organizao
C funcionou como ponte, usurios de B podem acessar C por meio do Telnet. A

Figura 6.6

Modelo de segurana convencional representado pelo firewall.

Algumas organizaes passaram ento a disponibilizar servios para a rede pblica, como o caso tpico dos protocolos HTTP e FTP. Nesse modelo, porm, o

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 6: Poltica de segurana

198

199

controle era ainda realizado pelo firewall, que liberava o acesso externo a uma rede
especfica, a rede DMZ. Assim, o acesso externo era somente a uma rea claramente
delimitada (DMZ), com a rede da organizao permanecendo isolada contra os ataques externos (Figura 6.7).

Figura 6.7 Modelo de segurana convencional representado pelo firewall com DMZ.

No ambiente cooperativo, porm, tudo muda, pois os nveis de acesso variam


entre os servios da rede DMZ e os servios internos da organizao (banco de dados
ou por VPN), de modo que os usurios j no ficam restritos apenas rea delimitada pela DMZ. Com o modelo proposto, os usurios podem, de acordo com seu nvel
de acesso, acessar bolses de segurana cada vez maiores. Se antes as organizaes
tinham de proteger a DMZ, agora elas precisam proteger esses bolses de segurana,
como pode ser visto na Figura 6.8.

Figura 6.8

Modelo de bolses de segurana representado pelo firewall cooperativo.

Esse modelo pode ser utilizado tambm para a segurana interna da organizao, fazendo com que os prprios usurios internos sejam tratados como usurios
externos, tendo de passar pelo controle de acesso para utilizar os recursos desses
bolses. De fato, isso est se tornando cada vez mais necessrio, como pode ser
visto na Seo 13.1.
Assim, cada integrante do ambiente cooperativo deve ser responsvel pela sua
prpria segurana, reforando, dessa maneira, a importncia de uma poltica de
segurana bem definida. Um integrante de um ambiente cooperativo, que no te-

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 6: Poltica de segurana

200
nha essa poltica bem definida, ir tornar-se um alvo fcil de ataques, no s pelos
usurios desse ambiente cooperativo, mas tambm por qualquer outro tipo de usurio externo.
Como resultado, cada organizao tem como objetivo criar sua prpria poltica
de segurana para cada bolso de segurana com que ela ter de trabalhar. Para
aumentar ainda mais a complexidade envolvida, determinados tipos de usurios
acessam diferentes bolses de segurana, que so maiores proporcionalmente aos
seus direitos de acesso. Representantes comerciais, por exemplo, acessariam um
bolso de segurana menor, constitudo pelo banco de dados de estoques e pela lista
de preos dos produtos; os usurios mveis do setor financeiro teriam acesso a um
bolso de segurana maior, constitudo pelo acesso ao banco de dados financeiro, a
documentos confidenciais e a e-mails, praticamente como se ele estivesse trabalhando na prpria organizao.
Assim, os desafios a serem enfrentados em um ambiente cooperativo so muitos
e o estabelecimento de uma poltica de segurana, que leve complexidade do
ambiente e de todos os seus usurios em considerao, apenas um deles.

6.12 ESTRUTURA DE UMA POLTICA DE SEGURANA


Foi discutido durante este captulo que a poltica de segurana deve refletir a
prpria organizao, seguindo sua estrutura, sua estratgia de negcios, sua cultura organizacional e seus objetivos. Assim, a poltica de uma organizao no pode
ser aplicada diretamente em uma outra organizao, apesar de existirem diversos
pontos em comum em uma poltica. Mesmo em uma multinacional, onde normalmente a matriz define a poltica e a expande para suas filiais, um processo de
tropicalizao importante, pois cada pas possui alguns aspectos caractersticos,
como o caso da legislao.
Esta seo apresenta um exemplo de estrutura para uma poltica de segurana,
que muda de acordo com cada organizao. Essa poltica, como deve ser muito
abrangente e flexvel o suficiente para que no sofra alteraes freqentes, no
deve conter detalhes tcnicos especficos de mecanismos a serem utilizados ou
procedimentos que devem ser adotados por indivduos particulares, mas, sim, regras gerais e estruturais que se aplicam ao contexto de toda a organizao. Alm
disso, ela deve ser curta o suficiente para que seja lida e conhecida por todos os
funcionrios da empresa. Assim, os detalhes necessrios so inseridos em normas,
procedimentos e polticas especficas para cada caso, como tambm demonstrado
no exemplo.

201
Exemplo de Estrutura de Poltica de Segurana.
1. Introduo
1.1 Poltica de segurana
1.1.1 Informaes gerais
1.1.2 Objetivos
1.2 Estrutura de responsabilidade organizacional
1.2.1.1.1 Servios de informao corporativos
1.2.1.1.2 Servios de informao de unidades de negcio
1.2.1.1.3 Organizaes internacionais
1.2.1.1.4 Encarregados
1.2.2 Padres de segurana
1.2.2.1.1 Confidencialidade
1.2.2.1.2 Integridade
1.2.2.1.3 Autorizao
1.2.2.1.4 Acesso
1.2.2.1.5 Uso apropriado
1.2.2.1.6 Privacidade dos funcionrios
2. Descrio do sistema
2.1 Papel do sistema
2.1.1 Tipo de informao manipulada pelo sistema
2.1.2 Tipos de usurio (administrao, usurio normal, controlador de impresso etc.)
2.1.3 Nmero de usurios
2.1.4 Classificao dos dados (dados acessveis apenas para o departamento de Finanas, se
necessrio)
2.1.5 Quantidade de dados (nmero de bytes)
2.1.6 Configurao do sistema
2.1.6.1 Nmero de terminais
2.1.6.2 Nmero de consoles de controle
2.1.6.3 Nmero e tipos de terminais (inteligente, burro, de impresso etc.)
2.1.6.4 Arranjos para carregamento de mdia
2.1.6.5 Software (sistema operacional e verso)
2.1.6.6 Interconexes (LAN e WAN)
3. Requisitos de segurana e medidas
3.1 Ameaas confidencialidade, integridade e disponibilidade dos dados
3.2 Natureza e recursos de possveis atacantes e atratividade do sistema e dos dados como alvo
3.3 Impactos do comprometimento acidental dos dados
4. Plano de resposta a incidentes de segurana
4.1 Preparao e planejamento da resposta a incidentes
4.2 Notificao e pontos de contato
4.3 Identificao de um incidente
4.4 Resposta a um incidente
4.5 Conseqncias de um incidente
4.6 Forense computacional e implicaes legais
4.7 Contatos de relaes pblicas
4.8 Passos-chave
4.8.1 Conteno
4.8.2 Erradicao
4.8.3 Recuperao
4.8.4 Acompanhamento
4.8.5 Conseqncias/Lies aprendidas
4.9 Responsabilidades
5. Contatos e outros recursos
6. Referncias

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 6: Poltica de segurana

202
As normas, procedimentos e polticas especficas podem, por exemplo, cobrir as
seguintes reas:
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*

Segurana do hardware, perifricos e outros equipamentos


Compra e instalao do hardware
Cabeamento, impressoras e modems
Material de consumo
Utilizao de armazenamento seguro
Documentao do hardware
Outras questes relativas a hardware
Controle do acesso informao e sistemas
Processamento de informaes e documentos
Redes
Operao e administrao do sistema
E-mail e Web
Telefones e fax
Gerenciamento de dados
Backup, recuperao e arquivamento
Manipulao de documentos
Proteo de dados
Outras manipulaes e processamento de informaes
Compra e manuteno de softwares comerciais
Compra e instalao de software
Manuteno e atualizao de software
Outras questes relativas a software
Combate ao crime virtual
Obteno de conformidade com requisitos legais e de polticas
Obteno de conformidade com requisitos legais
Obteno de conformidade com polticas
Impedimento de litgios
Outras questes legais
Planejamento da continuidade do negcio
Gerenciamento da continuidade dos negcios
Tratamento de questes de pessoal ligadas segurana
Documentao contrafactual
Dados confidenciais
Responsabilidades do pessoal pela segurana de informao
Funcionrios que deixam o emprego

203
*
*
*
*
*
*
*

Controle da segurana do comrcio eletrnico


Questes relativas a comrcio eletrnico
Educao, treinamento e conscientizao do pessoal
Conscientizao
Treinamento
Classificao de informaes e dados
Padres de classificao

6.13 CONCLUSO
A poltica de segurana o principal elemento para a segurana de qualquer
empresa. Seu planejamento e a definio dos aspectos a serem tratados incluem
uma avaliao de todos os detalhes envolvidos, o que requer o esforo de todos na
organizao. Diversos obstculos para a sua implementao so resultantes da viso
errada de que a segurana no um elemento importante para a organizao, o que,
invariavelmente, traz srias conseqncias com a invaso dos hackers. Alguns pontos especficos requerem uma poltica especfica, como no caso do acesso remoto,
do uso das senhas e do firewall, que foram mostrados neste captulo. A poltica de
segurana tem uma importncia ainda maior em um ambiente cooperativo, no qual
os bolses de segurana definidos neste captulo variam de tamanho, de
acordo com as necessidades de conexo.

Firewall

Este captulo trata de um dos principais componentes de segurana de qualquer organizao: o firewall. Tem como objetivo discutir a definio do termo firewall, que vem sofrendo modificaes
com o tempo, alm de abordar a evoluo que vem ocorrendo neste
importante componente. As arquiteturas de um firewall, que tm
como evoluo natural o firewall cooperativo, tambm so apresentadas, passando pelas questes de desempenho, mercado, avaliao, testes e problemas encontrados, at a concluso de que o firewall
por si s no garante a segurana de uma organizao.

7.1 DEFINIO E FUNO


C
a
p

t
u
l
o
7

A necessidade de utilizao cada vez maior da Internet pelas


organizaes e a constituio de ambientes cooperativos levam a
uma crescente preocupao quanto segurana. Como conseqncia, pode-se ver uma rpida evoluo nessa rea, principalmente
com relao ao firewall, que um dos principais, mais conhecidos e
antigos componentes de um sistema de segurana. Sua fama, de
certa forma, acaba contribuindo para a criao de uma falsa expectativa quanto segurana total da organizao, como ser discutido na Seo 7.10, alm de causar uma mudana ou mesmo uma
banalizao quanto sua definio. Alguns dos diversos conceitos
relacionados ao termo firewall so:

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 7: Firewall

206
* Tecnologia do firewall, que pode ser filtro de pacotes (static packet filter),
proxy (application-level gateway e circuit-level gateway) ou filtro de pacotes
baseados em estados (dynamic packet filter, stateful packet filter). Essas e
outras tecnologias sero discutidas na Seo 7.3, durante a anlise da evoluo tcnica dos firewalls.
* Arquitetura do firewall, que utiliza componentes como roteadores
escrutinadores, proxies, zonas desmilitarizadas (DeMilitarized Zone DMZ ou
perimeter network) e bastion hosts. Eles formam as arquiteturas conhecidas
como Dual-Homed Host Architecture, Screened Host Architecture e Screened
Subnet Architecture, que so as arquiteturas clssicas, cuja abordagem ser
discutida na Seo 7.4. Os componentes que formam uma arquitetura sero
discutidos na Seo 7.2. Ser visto tambm que novos componentes e funcionalidades foram introduzidos ao firewall, mas no foram includos nas arquiteturas clssicas. Assim, uma nova arquitetura, que contempla o que surgiu
de novo, tambm ser apresentada na Seo 7.4.
* Produtos comerciais, como Check Point Firewall-1, Network Associates Incs
Gauntlet, Cisco Pix Firewall, Watchguard e outros.
* Produtos integrantes da arquitetura do firewall, como roteadores (Cisco IOS)
ou proxies (Microsoft Proxy).
* Tecnologia responsvel pela segurana total da organizao (Seo 7.10).
A mais antiga definio para firewalls foi dada por Bill Cheswick e Steve Bellovin,
em Firewalls and Internet Security: Repelling the Wily Hacker [CHE 94]. Segundo
eles, o firewall um ponto entre duas ou mais redes, no qual circula todo o trfego.
A partir desse nico ponto, possvel controlar e autenticar o trfego, alm de
registrar, por meio de logs, todo o trfego da rede, facilitando sua auditoria [AVO
99].
J Chapman [CHA 95] define firewall como sendo um componente ou conjunto
de componentes que restringe o acesso entre uma rede protegida e a Internet, ou
entre outros conjuntos de redes.
Partindo-se dessas duas definies clssicas, pode-se dizer que o firewall um
ponto entre duas ou mais redes, que pode ser um componente ou um conjunto de
componentes, por onde passa todo o trfego, permitindo que o controle, a autenticao e os registros de todo o trfego sejam realizados, como pode ser visto na
Figura 7.1.

207

Figura 7.1 Definio de firewall.

Assim, esse ponto nico constitui um mecanismo utilizado para proteger, geralmente, uma rede confivel de uma rede pblica no-confivel. O firewall pode ser
utilizado tambm para separar diferentes sub-redes, grupos de trabalho ou LANs
dentro de uma organizao.
Os mecanismos utilizados pelo firewall para controlar o trfego sero vistos na
Seo 7.3 e o modo de criar a poltica de segurana para as regras de filtragem, para
ento implement-la, ser visto no Captulo 13.
O firewall tambm pode ser definido como um sistema ou um grupo de sistemas
que refora a poltica de controle de acesso entre duas redes e, portanto, pode ser
visto como uma implementao da poltica de segurana. Ele to seguro quanto a
poltica de segurana com que ele trabalha e no se deve esquecer que um firewall
muito restritivo e, portanto, mais seguro, no sempre transparente ao usurio.
Caso isso acontea, alguns usurios podem tentar driblar a poltica de segurana da
organizao para poder realizar algumas tarefas a que estavam acostumados antes
de sofrerem uma restrio, como foi visto na Seo 3.9.
Assim, o firewall um conjunto de componentes e funcionalidades que definem
a arquitetura de segurana, utilizando uma ou mais tecnologias de filtragem, como
pode ser visto na Figura 7.2. Os produtos comerciais implementam em parte os
componentes, as funcionalidades e as tcnicas de filtragem, sendo eles prprios
uma parte do firewall. Isso ocorre porque o produto comercial no pode ser considerado isoladamente, sendo necessrio o uso de outros componentes, como o roteador
escrutinador. Tcnicas de segurana que envolvem a arquitetura, como o e-mail
relay, tambm fazem parte de uma rede segura, possuindo uma relao direta com
o firewall.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 7: Firewall

208

209
do um conjunto de regras de filtragem estticas com as informaes dos cabealhos
dos mesmos, tomar decises com base nos estados das conexes, como ser visto,
respectivamente, nas sees 7.3.1 e 7.3.2.

Figura 7.2 O firewall um conjunto de componentes, funcionalidades, arquitetura e


tecnologias.

7.2 FUNCIONALIDADES
O firewall composto por uma srie de componentes, sendo que cada um deles
tem uma funcionalidade diferente e desempenha um papel que influi diretamente
no nvel de segurana do sistema. Algumas dessas funcionalidades formam os chamados componentes clssicos de um firewall, definidos por Chapman [CHA 95]. As
quatro primeiras funcionalidades (filtros, proxies, bastion hosts, zonas
desmilitarizadas) fazem parte desse grupo e as trs funcionalidades restantes (Network
Address Translation NAT, Rede Privada Virtual [Virtual Private Network VPN],
autenticao/certificao) foram inseridas no contexto, devido evoluo natural
das necessidades de segurana. O balanceamento de cargas e a alta disponibilidade
tambm possuem uma grande importncia, principalmente porque todo o trfego
entre as redes deve passar pelo firewall. Essas funcionalidades, que podem ser vistas
na Figura 7.3, so discutidas nas sees a seguir. Algumas delas sero discutidas
com mais detalhes na Seo 7.3, dentro do contexto da evoluo dos firewalls.

7.2.2 Proxies
Os proxies so sistemas que atuam como um gateway entre duas redes, permitindo as requisies dos usurios internos e as respostas dessas requisies, de acordo
com a poltica de segurana definida. Eles podem atuar simplesmente como um
relay, podendo tambm realizar uma filtragem mais apurada dos pacotes, por atuar
na camada de aplicao do modelo International Organization for Standadization/
Open Systems Interconnection (ISO/OSI). Os proxies sero vistos com mais detalhes
na Seo 7.3.3.

7.2.3 Bastion hosts


Os bastion hosts so os equipamentos em que so instalados os servios a serem
oferecidos para a Internet. Como esto em contato direto com as conexes externas, os bastion hosts devem ser protegidos da melhor maneira possvel. Essa mxima proteo possvel significa que o bastion host deve executar apenas os servios
e aplicaes essenciais, bem como executar sempre a ltima verso desses servios
e aplicaes, sempre com os patches de segurana instalados imediatamente aps
sua criao. Assim, os bastion hosts podem ser chamados tambm de servidores
fortificados, com a minimizao dos possveis pontos de ataque. Uma grande interao
ocorre entre os bastion hosts e a zona desmilitarizada (DMZ), pois os servios que
sero oferecidos pela DMZ devem ser inequivocamente instalados em bastion hosts.

7.2.4 Zona desmilitarizada

Figura 7.3 Funcionalidades do firewall.

7.2.1 Filtros
Os filtros realizam o roteamento de pacotes de maneira seletiva, ou seja, aceitam ou descartam pacotes por meio da anlise das informaes de seus cabealhos.
Essa deciso tomada de acordo com as regras de filtragem definidas na poltica de
segurana da organizao. Os filtros podem, alm de analisar os pacotes comparan-

A zona desmilitarizada (DeMilitarized Zone DMZ), ou perimeter network,


uma rede que fica entre a rede interna, que deve ser protegida, e a rede externa.
Essa segmentao faz com que, caso algum equipamento dessa rede desmilitarizada
(um bastion host) seja comprometido, a rede interna continue intacta e segura. A
DMZ ser melhor discutida no Captulo 12, quando ser possvel entender sua importncia e necessidade.

7.2.5 Network address translation (NAT)


O NAT no foi criado com a inteno de ser usado como um componente de
segurana, mas sim para tratar de problemas em redes de grande porte, nas quais a

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 7: Firewall

210
escassez de endereos IP representa um problema. Dessa maneira, a rede interna
pode utilizar endereos IP reservados (Request For Comments, RFC 1918), sendo o
NAT o responsvel pela converso desses endereos invlidos e reservados para endereos vlidos e roteveis, quando a rede externa acessada. Sob o ponto de vista
da segurana, o NAT pode, assim, esconder os endereos dos equipamentos da rede
interna e, conseqentemente, sua topologia de rede, dificultando os eventuais ataques externos.

7.2.6 Rede privada virtual (VPN)


A Virtual Private Network (VPN) foi criada, inicialmente, para que redes baseadas
em determinados protocolos pudessem se comunicar com redes diferentes, como o
trfego de uma rede X.25 passando por uma rede baseada em Internet Protocol (IP).
Como no aceitvel que as informaes, normalmente de negcios, trafeguem sem
segurana pela Internet, a VPN passou a utilizar conceitos de criptografia para manter
o sigilo dos dados. Mais do que isso, o IP Security (IPSec), protocolo-padro de fato
das VPNs, garante, alm do sigilo, a integridade e a autenticao desses dados. As
redes privadas virtuais sero discutidas com mais detalhes no Captulo 10.

7.2.7 Autenticao/certificao
A autenticao e a certificao dos usurios podem ser baseadas em endereos
IP, senhas, certificados digitais, tokens, smartcards ou biometria. Tecnologias auxiliares so a infra-estrutura de chaves pblicas (Public Key Infrastructure PKI) e o
Single Sign-On (SSO). Os aspectos da autenticao dos usurios e o SSO sero comentados no Captulo 11 e a infra-estrutura de chaves pblicas ser abordada na
Seo 9.6.

7.2.8 Balanceamento de cargas e alta disponibilidade


Como pode ser visto pela sua prpria definio, o firewall deve ser o nico ponto
de acesso a uma determinada rede, de modo que todo o trfego deve passar por ele.
Assim, ele pode representar tambm o gargalo dessa rede, sendo recomendvel que
mecanismos de contingncia sejam utilizados.
O balanceamento de cargas de firewalls um desses mecanismos, que visa
diviso do trfego entre dois firewalls que trabalham paralelamente. Um mtodo de
balanceamento pode ser, por exemplo, o round robin, no qual cada firewall da lista
recebe uma conexo de cada vez. Outros mtodos de balanceamento de carga podem
ser baseados em pesos, na conexo menos utilizada ou na prioridade. Os firewalls
com a carga balanceada devem operar exatamente com a mesma poltica de segu-

211
rana, para que a consistncia entre os dois sistemas esteja sempre em ordem.
Mecanismos de sincronizao das regras de filtragem podem ser usados para a manuteno da consistncia.
J a alta disponibilidade tem como objetivo o estabelecimento de mecanismos
para a manuteno dos servios, de modo que eles estejam sempre acessveis para
os usurios. A disponibilidade pode ser mantida, por exemplo, em um cenrio no
qual o firewall tem problemas e fica indisponvel, sendo, assim, necessrio que o
backup do firewall passe a funcionar no lugar do original. A verificao da disponibilidade ou no do firewall pode ser feita com mecanismos conhecidos como heartbeat,
por exemplo.

7.3 A EVOLUO TCNICA


O firewall considerado uma tecnologia antiga na indstria de segurana, mas
ainda no pode ser definido como estvel, pois ele continua em um constante
processo de evoluo. Isso acontece, principalmente, devido ao aumento da complexidade das redes das organizaes, que adicionam cada vez mais caractersticas e
funcionalidades que precisam ser protegidas. Algumas das funcionalidades adicionadas ao firewall so importantes para a produtividade, como nos casos do NAT ou
da VPN. Outras funcionalidades so respostas demanda do mercado, como a insero de servios- por exemplo, o servidor Web- destinados a organizaes pequenas,
que podem, no entanto, acabar tendo um resultado inverso, ou seja, podem ser
perigosos para a segurana da rede da organizao (Seo 3.8).
A crescente utilizao da Internet para os negcios, combinada com incidentes,
como o de Morris Worm [SCH 00], mostrou que este um mundo de novas oportunidades, porm um terreno pantanoso para a realizao desses negcios. Assim, a
necessidade de um nvel de segurana melhor e mais granular fez com que empresas
como DEC e AT&T desenvolvessem solues para o acesso seguro Internet. Algumas dessas solues e tornaram-se produtos comerciais (DEC, Raptor, ANS e TIS),
que se concentraram na segurana de servios bsicos como Telnet, File Transfer
Protocol (FTP), e-mail e news Usenet [AVO 99].
Os primeiros firewalls foram implementados em roteadores, no final da dcada de
80, por serem os pontos de ligao natural entre duas redes. As regras de filtragem
dos roteadores, conhecidas tambm como lista de controle de acesso (Access Control
List CRL), tinham como base decises do tipo permitir ou descartar os pacotes,
que eram tomadas de acordo com a origem, o destino e o tipo das conexes [AVO 99].
Os filtros de pacotes tornam possvel o controle das conexes que podiam ser
feitas para o acesso aos recursos da organizao, separando, assim, a rede externa,
no confivel, da rede interna da organizao.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 7: Firewall

212
A partir disso, tudo mudou rapidamente, de modo que a prpria definio de
que o firewall deve separar ns deles foi modificada. O mundo tornou-se mais
integrado, e os servios bsicos, hoje, so o acesso Web, acesso a bancos de dados
via Internet, acesso a servios internos da organizao pela Internet, servios de
udio, vdeo, videoconferncia, voz sobre IP (Voice Over IP VoIP), entre tantos
outros. Com isso, as organizaes tm cada vez mais usurios utilizando uma maior
variedade de servios. Os usurios muitas vezes acessam servios fundamentais,
como se estivessem fisicamente dentro da organizao, como acontece nos ambientes cooperativos.
Dessa maneira, os novos requisitos de segurana fizeram com que os firewalls se
tornassem mais complexos, resultando nos avanos verificados nas tecnologias de
filtro de pacotes, proxies, filtragem de pacotes baseado em estados, hbridos e
adaptativos. Os dois ltimos surgiram em 1999, mas estes so, na realidade, uma
mistura das tecnologias j existentes, como ser mostrado a seguir. Alm disso,
diferentes nomes surgiram para tecnologias de firewalls supostamente novas, tais
como o firewall reativo e o firewall individual ou pessoal, mas que, como ser visto
a seguir, so, na realidade, apenas firewalls com novas funcionalidades ou fins
especficos.
Alm dos avanos da tecnologia e das funcionalidades inseridas nos firewalls,
outros servios da rede e de segurana passaram a ser incorporados. Alguns desses
servios so:
*
*
*
*
*
*
*
*

Autenticao.
Criptografia (VPN).
Qualidade de servio.
Filtragem de contedo.
Antivrus.
Filtragem de URL.
Filtragem de palavras-chave para e-mails.
Filtragem de spam.

Pode-se considerar, assim, que, atualmente, existe uma tendncia de adicionar


cada vez mais funcionalidades aos firewalls, que podem no estar relacionadas necessariamente segurana. Alguns exemplos so o gerenciamento de banda, o
balanceamento de cargas para servios, o servidor Web, o servidor FTP, o servidor
DNS, o servidor de e-mail ou o servidor proxy (no relacionados segurana, como
proxy de stream de udio e vdeo), que podem ser integrados. Essas integraes so,

213
geralmente, colocadas em equipamentos especficos ou caixas pretas, tambm conhecidas como firewall appliances, como ser abordado na Seo 7.6.
Essa integrao entre firewalls e novas funcionalidades, porm, deve ser feita
com cuidado, pois vai ao encontro do dogma da segurana, que diz que a segurana e a complexidade so inversamente proporcionais (Seo 3.8) e, portanto, podem
comprometer a segurana em vez de aument-la. Uma boa prtica separar as
funes (gerenciamento na Web e gerenciamento de segurana), a no ser que a
organizao seja pequena e que o administrador do firewall seja tambm o Webmaster
e o administrador de todos os sistemas da organizao, no existindo outra soluo.
Mas a organizao que adotar essa postura deve estar ciente de que, quanto mais
funes o firewall possuir, maiores so as chances de alguma coisa sair errado. Alm
disso, quanto maior for o nmero de servios, maiores sero os registros (logs)
gerados, que aumentam a carga de trabalho com a vigilncia e monitoramento dos
acessos. E, quanto maior for o nmero de usurios, maior ser o trabalho com a
administrao, o que leva a uma maior possibilidade de erros, representando novos
riscos organizao.
As principais tecnologias de firewalls e suas variaes sero discutidas nas prximas sees e podem ser vistas na Figura 7.4.

Figura 7.4 As principais tecnologias de firewall.

7.3.1 Filtro de pacotes


A tecnologia de filtro de pacotes funciona na camada de rede e de transporte da
pilha TCP/IP, de modo que realiza as decises de filtragem com base nas informaes do cabealho dos pacotes, tais como o endereo de origem, o endereo de
destino, a porta de origem, a porta de destino e a direo das conexes. Os campos
dos cabealhos IP e TCP que podem ser usados pelo firewall esto destacados nas
figuras 7.5 e 7.6. possvel observar que o sentido das conexes verificado com
base nos flags SYN, SYN-ACK e ACK do handshake do protocolo TCP.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 7: Firewall

214

215

Figura 7.8 Campos do cabealho UDP usados pelo firewall.

Figura 7.5

Campos do cabealho IP usados pelo firewall.

Figura 7.6

Campos do cabealho TCP usados pelo firewall.

A filtragem das conexes UDP e ICMP feita pelo firewall so um pouco diferentes
da realizada nas conexes TCP. Com relao ao UDP, no possvel filtrar os pacotes
com base no sentido das conexes, pois o UDP no orientado a conexes, no
existindo assim os flags (Figura 7.7). J com relao ao ICMP, a filtragem feita com
base nos tipos e cdigos das mensagens (Figura 7.8).

Figura 7.7

Campos do cabealho UDP usados pelo firewall.

Assim, as regras dos filtros de pacotes so definidas de acordo com endereos IP


ou com os servios (portas TCP/UDP relacionadas) permitidos ou proibidos, e so
estticas, de modo que esse tipo de firewall conhecido tambm como static packet
filtering. Para pacotes Internet Control Message Protocol (ICMP), a filtragem feita
por cdigo e por tipo de mensagem de controle ou erro.
O fato de trabalhar na camada de rede e de transporte faz com que ele seja
simples, fcil, barato e flexvel de ser implementado. Assim, a maioria dos roteadores,
que j atuam como gateways, tem tambm essa capacidade. Isso torna o filtro de
pacotes transparente ao usurio, garantindo tambm um maior desempenho, em
comparao aos proxies. Em contrapartida, o filtro de pacotes garante um menor
grau de segurana, pois os pacotes podem facilmente ser falsificados ou criados
especificamente para que passem pelas regras de filtragem definidas. Alm disso,
um filtro de pacotes no capaz de distinguir entre pacotes verdadeiros e falsificados. A capacidade de verificao do sentido dos pacotes para determinar se um
pacote vem da rede externa ou interna e sua apropriada configurao so essenciais
para evitar ataques como o IP spoofing (Seo 4.5.9). Na realidade, o que pode ser
evitado a explorao de endereos de equipamentos internos por um host externo,
sendo impossvel um filtro de pacotes impedir o IP spoofing de endereos pblicos,
verdadeiros ou falsificados.
Outro problema que pode acontecer com os filtros de pacotes est relacionado
ao tipo de resposta que enviado a um pedido de conexo que bloqueado. Dependendo da configurao, a organizao pode ser alvo de port scanning (Seo 4.5.7),
fingerprinting (Seo 4.5.7) e de outras tcnicas de mapeamento.
Outra conseqncia da simplicidade dos filtros de pacotes sua limitao com
relao a logs e aos alarmes. Alm disso, a compatibilidade com servios como FTP,
X11, RPC e H.323 no simples de ser implementada apenas com base no cabealho
desses pacotes, porque esses servios utilizam dois ou mais canais de comunicao ou
portas dinmicas. Existe outro problema com esse tipo de filtro, que com relao
fragmentao de pacotes (Seo 4.6.3), que podem passar pelo firewall por meio da
validao apenas do primeiro pacote fragmentado, com os pacotes posteriores passando pelo filtro sem a devida verificao, resultando em possveis vazamentos de
informaes e em ataques que tiram proveito dessa fragmentao (Seo 4.6.5).

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 7: Firewall

216

217

As vantagens do filtro de pacotes so:


*
*
*
*

Baixo overhead/alto desempenho da rede.


barato, simples e flexvel.
bom para o gerenciamento de trfego.
transparente para o usurio.

As desvantagens do filtro de pacotes so:


* Permite a conexo direta para hosts internos de clientes externos.
* difcil de gerenciar em ambientes complexos.
* vulnervel a ataques como o IP spoofing, a menos que seja configurado para
que isso seja evitado (apenas falsificao de endereos internos).
* No oferece a autenticao do usurio.
* Dificuldade de filtrar servios que utilizam portas dinmicas, como o RPC.
* Deixa brechas permanentes abertas no permetro da rede.
As brechas permanentes nos filtros de pacotes ocorrem porque as conexes que
possuem regras especficas de permisso passam livremente pelo firewall e so estticas. Isso abre possibilidades de ataques, que podem ser minimizadas pelo filtro de
pacotes baseado em estados.
Um cenrio de um possvel ataque pode ser exemplificado pelo uso de um cavalo
de Tria com um backdoor que o usurio instala em seu equipamento, o qual permite o acesso remoto para a captura de senhas digitadas e de telas da vtima.
Neste exemplo, caso seja suposto que o firewall do tipo filtro de pacotes tenha
como nica regra de filtragem a permisso dos usurios internos a sites Web, as
regras seriam de acordo com a Tabela 7.1.
Tabela 7.1

Regras de filtragem do filtro de pacotes.

Regra

End. de Origem:Porta de origem

End. de Destino:Porta de Destino

Ao

1
2
3

IP da rede interna:porta alta


Qualquer endereo:80 (HTTP)
Qualquer endereo:qualquer porta

Qualquer endereo:80 (HTTP)


IP da rede interna:porta alta
Qualquer endereo:qualquer porta

Permitir
Permitir
Negar

Nesse exemplo, a Regra 1 permite que os usurios da rede interna iniciem a


requisio de uma pgina Web. Uma porta alta, com nmero maior do que 1023,
usada pelo cliente de uma forma aleatria, para iniciar a requisio na porta 80 do
servidor Web. Uma vez que a conexo estabelecida, a resposta da requisio (a
prpria pgina Web) recebida pelo cliente, passando pela Regra 2 do filtro de

pacotes. A Regra 3 nega qualquer outra tentativa de conexo e recomendado que


seja usada explicitamente, mesmo que o firewall implemente a regra de uma maneira padro.
No exemplo do cavalo de Tria, o canal aberto pela Regra 2 pode ser explorado
para que o backdoor seja utilizado no ataque. Nesse caso, o atacante inicia uma
conexo usando a porta 80, tendo como destino a porta alta aberta no usurio pelo
backdoor.
Assim, as regras do filtro de pacotes nem sempre so capazes de proteger adequadamente todos os sistemas. possvel proteger a rede interna contra esse tipo
de ataque usando regras que usem tambm flags TCP como o SYN (Tabela 7.2). Nela,
possvel observar que a Regra 2 permite somente a passagem de pacotes de conexes j estabelecidas, as quais so as respostas s requisies HTTP dos clientes.
Porm, os filtros de pacotes baseados em estados constituem uma soluo mais
elegante, e sero discutidos na prxima seo.
Tabela 7.2 Regras de filtragem do filtro de pacotes, usando flags TCP.
Regra

End. de Origem:Porta de origem:Flag

End. de Destino:Porta de Destino

Ao

1
2
3

IP da rede interna:porta alta:SYN


Qualquer endereo:80 (HTTP)
Qualquer endereo:Qualquer porta

Qualquer endereo:80 (HTTP)


IP da rede interna:porta alta
Qualquer endereo:Qualquer porta

Permitir
Permitir
Negar

7.3.2 Filtro de pacotes baseado em estados


Os filtros de pacotes dinmicos (dynamic packet filter), tambm conhecidos como
filtros de pacotes baseados em estados (stateful packet filter), tomam as decises de
filtragem tendo como referncia dois elementos:
* As informaes dos cabealhos dos pacotes de dados, como no filtro de pacotes.
* Uma tabela de estados, que guarda os estados de todas as conexes.
O firewall trabalha verificando somente o primeiro pacote de cada conexo, de
acordo com as regras de filtragem. A tabela de conexes que contm informaes
sobre os estados das mesmas ganha uma entrada quando o pacote inicial aceito, e
os demais pacotes so filtrados utilizando-se as informaes da tabela de estados.
Assim como o filtro de pacotes, o filtro de pacotes baseado em estados tambm trabalha na camada de rede da pilha TCP, tendo, portanto, um bom desempenho. A diferena quanto ao filtro de pacotes que o estado das conexes
monitorado a todo instante, permitindo que a ao do firewall seja definida de
acordo com o estado de conexes anteriores mantidas em sua tabela de estados.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 7: Firewall

218

219

Isso permite tambm a segurana das sesses UDP, enquanto o bom desempenho
permanece.
Um firewall baseado em estados funciona da seguinte maneira [SPI 99]: quando
um cliente inicia uma conexo TCP usando um pacote SYN, ele comparado com as
regras do firewall, na ordem seqencial da tabela de regras, como em um filtro de
pacotes. Se o pacote passar por todas as regras existentes sem ser aceito, ele ser
descartado. Dessa forma, a conexo rejeitada, por exemplo, com um pacote RST
sendo enviado novamente ao cliente para que a conexo seja abortada ou com a
conexo podendo ser simplesmente ignorada, dependendo da configurao do firewall.
Caso o pacote seja aceito, a sesso inserida na tabela de estados do firewall, que
est na memria do kernel. Isso pode ser verificado na Figura 7.9.
Figura 7.10
pacotes.

Figura 7.9

Filtro de pacotes baseado em estados trabalhando na chegada de pacotes SYN.

Para os demais pacotes, se a sesso estiver na tabela e o pacote fizer parte dessa
sesso, ele ser aceito. No entanto, se os pacotes no fizerem parte de nenhuma
sesso presente na tabela de estados, eles sero descartados. Isso pode ser verificado na Figura 7.10.

Filtro de pacotes baseado em estados trabalhando na chegada dos demais

O desempenho do sistema melhora, pois apenas os pacotes SYN so comparados


com a tabela de regras do filtro de pacotes, e os pacotes restantes so comparados
com a tabela de estados, que fica no kernel, o que torna o processo mais rpido. Na
realidade, a tabela de regras do filtro de pacotes tambm permanece no kernel. O
melhor desempenho explicado pelo fato de o conjunto de regras na tabela de
estados ser menor e tambm porque a verificao nessa tabela de estados no
feita seqencialmente, como ocorre no filtro de pacotes, mas, sim, por meio de
tabelas hash.
justamente essa caracterstica que faz com que o filtro de pacotes baseado em
estados seja uma soluo mais elegante na proteo de ataques, como o do uso de
backdoor, visto na seo anterior. Com esse tipo de firewall, o conjunto de regras
pode levar em conta apenas os incios das conexes, que usam o flag SYN. Como
pode ser visto na Tabela 7.3, o conjunto de regras fica mais enxuto e, conseqentemente, mais fcil de administrar, minimizando as possibilidades de erros na sua
criao. No exemplo, a Regra 1 usada para verificar se uma conexo pode ser
iniciada, e a resposta requisio permitida com a verificao dos pacotes de
acordo com a tabela de estados do firewall. Caso um atacante tente acessar a porta
alta aberta pelo backdoor, ele no ter sucesso, pois a regra que permite essa conexo no existe.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 7: Firewall

220
Tabela 7.3

221
Regras de filtragem do filtro de pacotes baseado em estados.

Regra End. de Origem:Porta de origem

End. de Destino:Porta de Destino

Ao

1
2

Qualquer endereo:80 (HTTP)


Qualquer endereo:qualquer porta

Permitir
Negar

IP da rede interna:porta alta


Qualquer endereo:qualquer porta

Um processo de verificao diferente ocorre com pacotes ACK, como pode ser visto
na Figura 7.11. Quando um desses pacotes chega ao firewall, ele primeiramente
comparado com a tabela de estados. Caso no exista nenhuma sesso aberta para esse
pacote, ele passa a ser analisado de acordo com a tabela de regras do firewall. Se o
pacote for aceito de acordo com a tabela de regras, ele passa pelo firewall e passa
assim a ter uma sesso aberta na tabela de estados. Com isso, os demais pacotes so
verificados de acordo com essa entrada na tabela de estados e passam pelo firewall,
sem a necessidade de comparao com a tabela de regras [SPI 99].

negao de servios (DoS), que podem ser executados com o objetivo de encher a
tabela de estados com o envio de muitos pacotes ACK, so prevenidos por meio da
mudana do time-out de 3. 600 para 50 segundos, quando o mdulo de filtragem de
estados recebe um pacote FIN ou RST [SPI 99].
Uma outra abordagem para os pacotes ACK pode ser utilizada por outros firewalls.
Como pode ser visto na Figura 7.12, apenas pacotes SYN podem iniciar uma conexo, e sua sesso inserida na tabela de estados. Diferentemente do que foi mostrado na Figura 7.11, os pacotes ACK so filtrados apenas de acordo com a tabela de
estados.

Figura 7.12

Figura 7.11 Filtro de pacotes baseado em estados trabalhando na chegada de pacotes ACK.

O tempo de permanncia das sesses na tabela de estados determinado por um


perodo especfico. Um time-out de 60 segundos, por exemplo, utilizado quando o
pacote SYN aceito pelo firewall. Aps a primeira resposta, o time-out passa para 3.
600 segundos, por exemplo, que um tempo maior usado para dificultar ataques de
SYN flooding (Seo 4.6.2). Porm, o firewall no se preocupa com o tipo de pacote
da resposta, principalmente com relao ao nmero de seqncia dos pacotes. Alguns firewalls, como IPFilter, acompanham os nmeros de seqncia do TCP, diminuindo assim a amplitude de oportunidades de ataque. O Firewall-1, por outro lado,
preocupa-se apenas com o endereo IP e com a porta. Pacotes FIN, RST no iniciam
conexes, portanto no so inseridos na tabela de estados. Pacotes Xmas nunca so
inseridos na tabela de estados, porm so aceitos e registrados em logs. Ataques de

Filtro de pacotes baseado em estados tratando os pacotes ACK.

Quanto filtragem de pacotes UDP, que no utilizam o conceito de conexo e,


portanto, no fazem distino entre requisio e resposta, ou filtragem de pacotes RPC, que utilizam alocao dinmica de portas, o filtro de pacotes baseado em
estados armazena dados de contexto. Assim, ele pode manter uma conexo virtual
das comunicaes UDP ou RPC e, quando um pacote tenta entrar na rede, ele
verificado de acordo com a tabela de estados. Caso haja uma entrada na tabela
dizendo que a sesso est pendente, o pacote autorizado.
Teoricamente, o filtro de pacotes baseado em estados capaz de examinar por
meio da camada de aplicao, mas, na prtica, muito difcil executar essa funo,
pois o mdulo de verificao dos pacotes geralmente inserido entre as camadas 2
e 3 da pilha TCP. Para controlar comandos FTP, por exemplo, seria necessrio saber
a quantidade de pacotes, guardar esses pacotes e saber por quanto tempo guardlos, at que o ltimo pacote do comando seja recebido. Seria preciso tambm se
preocupar com a seqncia de pacotes, a fragmentao e os fragmentos overlapping,
o que no uma tarefa simples nem trivial.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 7: Firewall

222

223

Porm, algumas implementaes acrescentam essa funcionalidade. Exemplos de


filtros de pacotes baseado em estados so o Context-Based Access Control (CBAC), da
Cisco IOS Firewall [CIS 98-2], e o Inspect Engine da Checkpoint (Firewall-1) [CHE 98].
As vantagens do filtro de pacotes baseado em estado so:
* Aberturas apenas temporrias no permetro da rede.
* Baixo overhead/alto desempenho da rede.
* Aceita quase todos os tipos de servios.
As desvantagens do filtro de pacotes baseado em estados so:
* Permite a conexo direta para hosts internos a partir de redes externas.
* No oferece autenticao do usurio, a no ser via gateway de aplicao
(application gateway).

7.3.3 Proxy
O proxy funciona por meio de relays de conexes TCP, ou seja, o usurio se
conecta a uma porta TCP no firewall, que ento abre outra conexo com o mundo
exterior. O proxy pode trabalhar tanto na camada de sesso ou de transporte (circuit
level gateway) quanto na camada de aplicao (application level gateway) (Figura
7.13), o que lhe d mais controle sobre a interao entre o cliente e o servidor
externo.

Figura 7.13

Os tipos de proxies.

A conexo direta entre um usurio interno e o servidor externo no permitida


por meio dessa tecnologia e o reendereamento do trfego, ao fazer com que o
trfego parea ter origem no proxy, mascara o endereo do host interno, garantindo
assim uma maior segurana da rede interna da organizao.
O servidor proxy funciona como um daemon e no utiliza um mecanismo geral
de controle de trfego, mas sim um cdigo especial para cada servio a ser aceito. O
cdigo de um proxy no considerado complexo o suficiente para conter erros que
possam ser explorados em ataques [RAE 97]. Uma das grandes vantagens dos proxies
a possibilidade de registrar todo o trfego, seja ele com origem interna ou exter-

na, podendo assim ativar um sistema de alarme quando um trfego no apropriado


estiver em andamento. Alguns proxies podem realizar tambm a cache, comuns em
proxies HTTP, enquanto outros podem realizar filtragem de e-mails.
As diferenas entre o circuit-level gateway e o application-level gateway esto,
alm da camada TCP em que atuam, tambm no mecanismo de segurana utilizado.
O primeiro funciona apenas como relay entre o cliente e o servidor externo, porm
sem realizar a verificao dos servios. Isso pode causar um problema de segurana:
se outro servio utilizar a porta 80, que o padro HTTP, o circuit-level gateway no
saber diferenciar esses pacotes, permitindo que eles passem pelo proxy. J o
application-level gateway, ao trabalhar na camada de aplicao, permite que o payload
dos pacotes seja filtrado, como o caso das filtragens que ocorrem em tags HTML
feitas pelo proxy HTTP.
O esquema de funcionamento tpico dos proxies que o cliente deve, primeiramente, se conectar ao servidor proxy, que libera o acesso aps a autenticao. Uma
vez autenticado, o cliente envia sua requisio ao proxy, que a retransmite ao servidor. A resposta do servidor externo passa tambm pelo proxy, com este funcionando
como um gateway entre o cliente e o servidor. Duas conexes so iniciadas em cada
requisio: uma do cliente para o proxy, e outra do proxy para o servidor. Isso
protege o cliente e o servidor por meio do controle de requisio de servios, proibindo certos eventos no nvel de aplicao (no application-level gateway), tais como
o FTP PUT ou o FTP GET.
A necessidade de modificar as aplicaes-cliente para a interao com o proxy
vem diminuindo com o avano da tecnologia [SKO 98], como pode ser observado no
proxy transparente (Seo 7.3.3.1). Porm, a escalabilidade ainda constitui um problema, devido necessidade de um proxy diferente para cada aplicao.
As vantagens do proxy so:
* No permite conexes diretas entre hosts internos e hosts externos.
* Aceita autenticao do usurio.
* Analisa comandos da aplicao no payload dos pacotes de dados, ao contrrio
do filtro de pacotes.
* Permite criar logs do trfego e de atividades especficas.
As desvantagens do proxy so:
* mais lento do que os filtros de pacotes (somente o application-level gateway).
* Requer um proxy especfico para cada aplicao.
* No trata pacotes ICMP.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 7: Firewall

224
* No aceita todos os servios.
* Requer que os clientes internos saibam sobre ele (isso vem mudando com o
proxy transparente, veja a Seo 7.3.3.1).

7.3.3.1 Proxy transparente


O proxy transparente um servidor proxy modificado, que exige mudanas na
camada de aplicao e no kernel do firewall. Esse tipo de proxy redireciona as sesses que passam pelo firewall para um servidor proxy local de modo transparente,
eliminando, assim, a necessidade de modificaes no lado cliente ou na interface
com o usurio [TRA 98]. Os clientes (software e usurio) no precisam saber que
suas sesses so manipuladas por um proxy, de modo que suas conexes so transparentes, como se elas fossem diretas para o servidor.
Um exemplo pode ser visto no Linux, quando o redirecionamento transparente
dos pacotes para o proxy (squid, no exemplo) manipulado pelo IPtables:
iptables -t nat -A PREROUTING -i eth0 -s ! endereo-squid -p tcp dport 80
-j DNAT to endereo-squid:8080
iptables -t nat -A POSTROUTING -o eth0 -s rede-local -d endereo-squid -j
SNAT to endereo-iptables
iptables -A FORWARD -s rede-local -d endereo-squid -i eth0 -o eth0 -p tcp
dport 8080 -j ACCEPT
A primeira regra envia os pacotes que no tm como origem eles prprios para o
proxy Squid, que est funcionando na porta 8080 no exemplo. A segunda regra
importante para que a resposta seja enviada de volta ao IPtables, em vez de ser
enviada diretamente ao cliente. J a terceira regra a responsvel pelo direcionamento
dos pacotes do IPtables para o Squid.
Os detalhes do modo de funcionamento, com a especificao de chamadas a
sistemas, para sesses TCP e UDP, que so tratadas de maneiras diferentes, podem
ser observados em [TRA 98]. Por meio desses detalhes, possvel verificar que
relativamente simples modificar um servidor proxy existente para que ele seja transparente, com o servidor local atuando como um simples redirecionador de pacotes.

7.3.4 Firewalls hbridos


Os firewalls hbridos misturam os elementos das trs tecnologias apresentadas
anteriormente, de modo a garantir a proteo dos proxies para os servios que
exigem alto grau de segurana e a segurana do filtro de pacotes, ou do filtro de

225
pacotes com base em estados, para os servios em que o desempenho o mais
importante. Assim, os servios mais bem manipulados pelos filtros de pacotes, como
o Telnet, utilizam o filtro de pacotes, enquanto os servios que necessitam de
filtragem no nvel de aplicao, como o FTP, utilizam o proxy. Atualmente, a maioria
dos firewalls comerciais hbrida, aproveitando as melhores caractersticas dos filtros de pacotes, filtros de pacotes baseados em estados e proxies para cada um dos
servios especficos.

7.3.5 Proxies adaptativos


A evoluo tcnica dos firewalls fez com que um outro conceito, parecido, mas
diferente dos firewalls hbridos, fosse desenvolvido. A diferena entre o firewall
hbrido e o proxy adaptativo est na forma de usar diferentes tecnologias simultaneamente. O firewall hbrido utiliza os mecanismos de segurana paralelamente, o
que no representa aumento no nvel de segurana, apenas uma maior flexibilidade
na utilizao de filtros de pacotes, filtros de pacotes baseado em estados e proxies
para servios especficos. J o proxy adaptativo (adaptative proxy) utiliza mecanismos de segurana em srie, o que traz benefcios para o nvel de segurana da rede
da organizao [AVO 99]. Como pode ser observado no exemplo do protocolo FTP, a
seguir, o proxy adaptativo capaz de utilizar dois mecanismos de segurana diferentes para a filtragem de um mesmo protocolo.
A arquitetura de proxy adaptativo tem duas caractersticas que no so encontradas em outros tipos de firewalls [WES 98]:
* Monitoramento bidirecional e mecanismo de controle entre o proxy adaptativo
e o filtro de pacotes baseado em estados (Seo 7.3.2).
* Controle dos pacotes que passam pelo proxy adaptativo, com a habilidade de
dividir o processamento do controle e dos dados entre a camada de aplicao
(application-level gateway) e a camada de rede (filtro de pacotes e filtro de
pacotes baseado em estados).
Com o uso dessas duas caractersticas, o proxy adaptativo direciona o controle
dos pacotes de acordo com as regras por ele definidas. Caso seja determinado que os
pacotes necessitam de maior segurana, esse fluxo de pacotes direcionado para o
proxy de aplicao (application-level gateway), que realiza um controle no nvel de
aplicao. Caso determinados pacotes precisem de maior desempenho, o proxy
adaptativo direciona esse fluxo para os filtros de pacotes e de estados, que so bem
mais rpidos que os proxies. Um exemplo dos benefcios trazidos pelo proxy adaptativo
pode ser visto no FTP.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 7: Firewall

226
O FTP emprega duas conexes, uma para o trfego de controle e outra para a
transferncia dos dados. A conexo de controle, que envia os comandos FTP, pode ser
processada na camada de aplicao pelo proxy adaptativo, de modo que ele pode
decidir quais comandos so permitidos ou proibidos. Quando o proxy adaptativo recebe pacotes da conexo de dados, as regras de filtragem do filtro de pacotes entram em
ao na camada de rede, para decidir se a transferncia ou no permitida.
Assim, a arquitetura do proxy adaptativo combina eficientemente o alto grau de
segurana do controle na camada de aplicao (proxies) e o desempenho do
processamento na camada de rede (filtro de pacotes e filtro de pacotes baseado em
estados) para realizar a filtragem em um mesmo protocolo, como o FTP.
O mecanismo de controle bidirecional permite que o proxy adaptativo gerencie
as duas conexes, de modo que, caso a conexo de controle seja encerrada, a conexo de dados tambm finalizada. Se a conexo de dados terminar antes, o proxy
adaptativo ser notificado pelo mecanismo de controle, para que o trfego da conexo de controle seja reiniciado [WES 98]. Um exemplo de firewall adaptativo o
Gauntlet, da Network Associates Inc.

227
maior de tecnologias como o Peer-to-Peer (P2P) e a rede privada virtual (VPN),
combinadas com o crescimento do acesso de banda larga, mostram essa necessidade
de maior segurana nos hosts. Um problema que pode ser verificado na discusso
dos aspectos de segurana do cliente VPN (Seo 10.5.1) que, com os usurios se
tornando remotos, um firewall atuando no limite da rede no ser mais suficiente
para garantir a segurana da empresa. Um hacker poderia, por exemplo, atacar um
host cliente e utiliz-lo como ponte entre a Internet e a rede interna da organizao, como pode ser visto na Figura 7.14.

7.3.6 Firewalls reativos


O passo seguinte da evoluo dos firewalls envolve o seu papel dentro da estratgia de segurana. Os firewalls so, primariamente, designados para o controle de
conexes, porm alguns fabricantes j chamam seus firewalls, que apresentam
integrao com sistemas de deteco de intruso (Intrusion Detection System, ou IDS,
que sero vistos no prximo captulo) e sistemas de respostas, de firewalls reativos.
Os firewalls reativos incluem funes de deteco de intruso e alarmes, de
modo que a segurana mais ativa que passiva. Com a adio dessas funes, o
firewall pode policiar acessos e servios, alm de ser capaz de mudar a configurao
de suas regras de filtragem de modo dinmico, enviar mensagens aos usurios e
ativar alarmes [AVO 99]. O lado negativo dessa caracterstica que o firewall pode
ser alvo de ataques de negao de servios (Denial-of-Service DoS), caso o hacker
passe a enviar pacotes que acionem alarmes ou redefina as regras de filtragem de
um modo especfico. De fato, um sistema de deteco de intruso um componente
importante do arsenal de defesa de qualquer organizao e ser discutido no prximo captulo.

7.3.7 Firewalls individuais


Uma tendncia que pode ser observada que, cada vez mais, as organizaes
precisaro, alm do controle da rede, tambm do controle dos hosts. O uso cada vez

Figura 7.14

Um hacker pode acessar a rede da organizao por meio do cliente VPN.

De fato, essa uma possibilidade que no deve ser desprezada, principalmente


quando o crescimento desse tipo de acesso grande. O advento da computao
mvel e remota, somado computao sem fio, resultou na possibilidade de conexo rede interna da organizao a partir de qualquer lugar, a qualquer momento,
por meio da VPN. Isso, porm, trouxe implicaes de segurana tambm para o host
do cliente, que, portanto, deve ser protegido de maneira adequada. Com isso, criouse um contexto no qual uma poltica de segurana pode no ser suficiente ou
praticamente impossvel de ser implementada. De fato, um equipamento que est
dentro da organizao pode ser controlado, mas controlar um notebook ou um
equipamento na casa de um funcionrio mais complicado. Dessa maneira, esses
prprios equipamentos agora necessitam de uma proteo adequada para que a rede
da organizao no seja comprometida.
Um firewall individual, ou firewall pessoal, uma das alternativas para a proteo das conexes de hosts individuais e a caracterstica desse tipo de firewall que
ele atua no na borda da rede da organizao, mas no prprio equipamento do
usurio. Os diversos produtos atuam na camada de enlace de dados e filtram pacotes IP (TCP, UDP, ICMP), NetBEUI, IPX, ARP etc. [SIG 99].

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS


228
Um firewall individual capaz de controlar o acesso aos recursos, bloquear determinadas conexes, monitorar todo o trfego gerado ou que chega ao sistema,
gerar regras de acordo com uma aplicao especfica que est funcionando e criar
logs de todos os acessos do sistema.
Dependendo de cada produto, que tem suas especificidades, possvel criar
regras de acordo com caractersticas como:
*
*
*
*
*
*
*
*

Quando um aplicativo especfico est funcionando.


De acordo com determinado dispositivo Ethernet ou serial.
Quando um nmero de telefone especfico utilizado.
Para servios, arquivos ou compartilhamentos especficos.
Para endereos IP especficos.
Para a direo de fluxo dos pacotes.
Para um usurio especfico.
Para conexes de VPN ou conexes discadas.

Assim, por meio de um firewall individual, possvel obter uma proteo das
conexes do cliente, de modo que uma poltica que poderia ser seguida em um
ambiente cooperativo seria a de permitir somente as conexes remotas de clientes
que j estejam protegidos por um firewall individual.
Porm, no se deve esquecer de que um vrus sempre pode reescrever essas
regras, mesmo que isso exija um trabalho extra para o atacante. Alm disso, basta
que a soluo fique conhecida, para que ele passe a se tornar alvo dos atacantes.
importante, portanto, considerar o firewall individual apenas como um aumento no
nvel de segurana de uma organizao, no sendo suficiente para a garantia da
segurana da rede. Uma eficiente poltica de atualizao e utilizao de antivrus,
por exemplo, deve ser adotada, impreterivelmente.
Para os usurios domsticos, a proteo de seu sistema tornou-se uma necessidade to grande quanto a dos servidores das organizaes. A rpida e crescente
disseminao de worms e vrus fez com que os usurios domsticos, principalmente
os de banda larga, fossem usados como intermedirios de outros ataques, como no
ataque distribudo de negao de servios (Distributed Denial-of-Service DDoS).
Assim, o firewall pessoal deve ser usado para a proteo individual de cada usurio.

7.3.8 A melhor tecnologia de firewall


A evoluo natural dos firewalls pde ser observada por meio das sees
anteriores. Atualmente, j no possvel que uma organizao utilize somente

Captulo 7: Firewall
229
uma tecnologia especfica de firewall, tais como proxies ou filtros baseados em
estados.
Foi visto que os filtros baseados em estados tm desempenho semelhante ao do
filtro de pacotes, com o aumento do nvel de segurana, de modo que um filtro de
pacotes, puro e simples, praticamente j no mais utilizado, a no ser nos roteadores.
O proxy importante para garantir a segurana em servios na camada de aplicao, como o caso do HTTP, em que a filtragem de algumas tags HTML importante para a implementao da segurana exigida pela organizao. Esse mesmo
proxy HTTP pode realizar a filtragem de URLs, controlando o acesso a sites imprprios, enquanto um proxy FTP pode realizar a filtragem de comandos do protocolo,
como o PORT.
Assim, ainda existe a necessidade de utilizar filtros de estado para as conexes
que exigem mais desempenho, enquanto os proxies so necessrios para as conexes mais complexas e que exigem maior grau de segurana e controle. Isso explica
o fato de a grande maioria dos firewalls, atualmente, se encaixarem no perfil de
firewalls hbridos.
Os proxies adaptativos possibilitam um controle ainda maior, ao separar o tipo
de filtragem dentro de um mesmo protocolo, como o caso do FTP, que utiliza o
proxy para o seu canal de controle e o filtro de pacotes baseado em estados para o
seu canal de dados.
J os firewalls reativos fazem parte de uma evoluo natural, na qual um sistema de deteco e resposta a eventos de segurana importante, tendo a possibilidade de os mesmos resultados serem obtidos por meio de um sistema de deteco de
intruso (IDS).
Assim, a questo da melhor tecnologia a ser utilizada por uma organizao
relativa, pois tudo deve ser analisado de acordo com o ambiente onde o firewall
dever funcionar. Caso uma organizao tenha como objetivo apenas liberar o acesso Web para seus usurios internos, um proxy seria mais do que suficiente. O proxy
HTTP pode ser usado para autenticar os usurios, realizar a filtragem de contedo
para minimizar a entrada de cdigos maliciosos e realizar o bloqueio de sites imprprios. Ele ainda pode ser usado para prover estatsticas de uso, como a lista dos sites
mais acessados e dos usurios mais ativos.
Alm do proxy, um filtro de pacotes no roteador, por exemplo, pode ser
usado para bloquear os pacotes que no forem relativos ao protocolo HTTP (porta 80). Nesse caso, de nada adiantaria, por exemplo, a instalao de um proxy
adaptativo. Tudo deve ser analisado e definido conforme as necessidades da
organizao.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 7: Firewall

230
Assim, a melhor tecnologia , sem dvida, aquela que melhor se adapta s
necessidades da empresa, levando-se em considerao o grau de segurana requerido e a disponibilidade de recursos (tcnicos e financeiros) para sua implantao.

231
banco de dados e infra-estrutura de chaves pblicas (PKI). As quatro arquiteturas
do firewall podem ser vistas na Figura 7.15.

7.4 AS ARQUITETURAS
A arquitetura de um firewall tambm deve ser definida de acordo com as necessidades da organizao, utilizando os componentes e as funcionalidades descritos
na Seo 7.2 e as tecnologias discutidas na Seo 7.3.
A rede desmilitarizada (DMZ) possui um papel essencial na arquitetura, pois
permite que servios sejam providos para os usurios externos (por meio de bastion
hosts) ao mesmo tempo em que protegem a rede interna dos acessos externos. Essa
proteo da rede interna feita pelo confinamento dos acessos externos nessa rede
desmilitarizada, de modo que, se um servidor da DMZ for atacado, o atacante no
tem condies de chegar aos recursos internos.
Como os servidores localizados na DMZ podem ser acessados diretamente pelo
mundo externo, eles devem ser configurados de modo a funcionar com o mnimo
suficiente de recursos possveis para que o servio determinado seja disponibilizado.
Esse servidor, com todas as funcionalidades desnecessrias eliminadas, conhecido
como bastion host, ou servidor fortificado, e normalmente o alvo dos ataques
externos, pois os usurios tm acesso somente aos recursos localizados na DMZ.
Caso um desses servidores seja comprometido em um ataque, a rede interna da
organizao ainda estar protegida pela DMZ. Porm, para que isso seja verdade, a
poltica de segurana e sua implementao devem estar totalmente de acordo com
o estabelecido, principalmente porque, em um ambiente cooperativo, essa poltica
complexa o suficiente para possibilitar que sejam cometidos erros.
Para facilitar o entendimento, desenvolvimento, gerenciamento, implementao
e atualizao dessa poltica, sugerido um modelo no qual a segurana da rede da
organizao dividida em cinco nveis hierrquicos de defesa, que ser mostrado
no Captulo 13.
As arquiteturas clssicas do firewall, apresentadas por Chapman [CHA 95], so
as trs descritas a seguir; a quarta arquitetura a do firewall cooperativo, que
estende as arquiteturas clssicas ao ambiente cooperativo, tratando de componentes como redes privadas virtuais (VPN), sistemas de deteco de intruso (IDS),

Figura 7.15

As arquiteturas de firewall.

7.4.1 Dual-homed host architecture


a arquitetura formada por um equipamento que tem duas interfaces de rede
(Figura 7.16) e funciona como um separador entre as duas redes. Os sistemas internos tm de ser conectados ao firewall para que possam se comunicar com os servidores externos e vice-versa, mas nunca diretamente. Assim, as comunicaes so
realizadas por meio de proxies ou conexes em duas etapas, nas quais o usurio se
conecta primeiramente ao host dual-homed, para depois se conectar ao servidor
externo. Essa ltima abordagem causa problemas, principalmente para o usurio,
pois o processo de acesso externo no transparente, o que acaba influindo na
produtividade dos usurios.
O nico ponto de falha constitudo pelo firewall tambm deve ser considerado,
pois o risco da rede tornar-se indisponvel aumenta.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 7: Firewall

232

Figura 7.16

233

A arquitetura dual-homed host.

7.4.2 Screened host architecture


Essa arquitetura (Figura 7.17) formada por um filtro de pacotes e um bastion
host. O filtro deve ter regras que permitam o trfego para a rede interna somente
por meio do bastion host, de modo que os usurios externos que queiram acessar
um sistema da rede interna devem, primeiramente, se conectar ao bastion host. O
bastion host pode funcionar tambm como um proxy, exigindo, assim, que os
usurios internos acessem a Internet por meio dele. Outra possibilidade a de
usurios internos acessarem servios externos por meio de regras no filtro de
pacotes do bastion host. Essas duas possibilidades tambm podem ser mescladas,
resultando no firewall hbrido.

Figura 7.17 A arquitetura screened host.

Caso o bastion host oferea servios para a Internet, como um servidor Web, o
filtro de pacotes deve permitir o acesso a ele somente na porta TCP correspondente,
que a porta 80, no caso do HTTP.
Um problema que podem ocorrer nessa arquitetura que, se o bastion host for
comprometido, o invasor j estar dentro da rede interna da organizao. Outro
problema que o filtro de pacotes e o bastion host formam um nico ponto de
falha, de modo que, se ele for atacado, a comunicao da organizao com a Internet
ficar comprometida e a rede interna ficar merc do invasor.

7.4.3 Screened subnet architecture


Essa arquitetura (Figura 7.18) aumenta o nvel de segurana com relao arquitetura screened host ao adicionar a rede DMZ. Se, antes, um ataque ao bastion
host significava que o invasor j estaria com a rede interna disponvel para ele, isso
no ocorre na arquitetura screened subnet. O bastion host fica na DMZ, que uma
zona de confinamento entre a rede externa e a rede interna, que fica entre dois

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 7: Firewall

234

235

filtros. A DMZ evita que um ataque ao bastion host resulte, por exemplo, na utilizao de um sniffer para a captura de pacotes de usurios internos.

Figura 7.18

Uma variao muito comum dessa arquitetura a utilizao de um equipamento


com trs interfaces de rede, uma para a rede externa, outra para a rede interna e a
terceira para a rede DMZ (Figura 7.19). Os filtros funcionariam em cada interface,
sendo, portanto, conceitualmente, uma arquitetura screened subnet.

A arquitetura screened subnet.

Um ponto importante da arquitetura a definio dos filtros internos e externos. Qualquer falha em sua definio ou implementao pode resultar em uma falsa
sensao de segurana.
O filtro externo deve permitir o trfego dos servios disponveis na DMZ, bem
como o trfego das requisies dos usurios internos. J o filtro interno deve permitir somente a passagem das requisies e respostas dos servios permitidos para os
usurios internos. Permitir o trfego do bastion host para a rede interna poderia
comprometer a segurana da rede interna, caso ele seja atacado, alm de ser desnecessrio.

Figura 7.19

Uma variao da arquitetura screened subnet.

7.4.4 Firewall cooperativo


O firewall cooperativo uma arquitetura em que so inseridos novos componentes, como a VPN, o IDS e a PKI. As trs arquiteturas clssicas, abordadas anteriormente, tratam de questes importantes, e na arquitetura do firewall cooperativo,
elas sero estendidas s situaes encontradas em ambientes cooperativos. A utilizao de proxies na arquitetura, por exemplo, vem sendo bem empregada nas organizaes e merece uma discusso mais aprofundada.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 7: Firewall

236

237

Os firewalls internos tambm tm uma importncia cada vez maior dentro das
organizaes, ao separar e filtrar as comunicaes entre departamentos internos
diferentes. No contexto dos ambientes cooperativos, essa importncia maior ainda, pois trabalhos colaborativos entre duas organizaes diferentes, por exemplo,
podem requerer uma arquitetura mais bem elaborada, caracterizada pelo muro
cada vez mais complexo que deve proteger a organizao (Figura 7.20). Os bolses
de segurana (Figura 7.21), vistos no Captulo 6, mostram de forma clara a situao
encontrada no exemplo dos trabalhos colaborativos. A arquitetura do firewall cooperativo (Figura 7.22) ser descrita e discutida no Captulo 13, quando ser possvel
analisar a formao e a evoluo de um ambiente cooperativo.

Figura 7.21

Figura 7.20

O muro em um ambiente cooperativo.

Modelo de bolses de segurana representado pelo firewall cooperativo.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 7: Firewall

238

239
O desempenho de um firewall pode ser analisado, de acordo com alguns fatores:

Figura 7.22

A arquitetura do ambiente cooperativo.

7.5 O DESEMPENHO
Como o firewall o responsvel pela anlise de todos os pacotes que passam
pelas conexes da rede, imprescindvel que ele tenha um desempenho satisfatrio,
para que no se torne um gargalo na rede. Testes realizados [NEW 99] mostraram
que, em 1999, os firewalls melhoraram seu desempenho em 30%, em comparao
com os testes de 1998, e 300% em comparao com os testes de 1997, mostrando
uma evoluo natural. Atualmente, os firewalls podem ser usados praticamente em
qualquer tipo de rede, pois sua capacidade melhorou substancialmente, existindo
verses para Gigabit Ethernet, que so capazes de operar a 1 Gbps, suportando 500
mil conexes concorrentes e 25 mil tneis VPN [CON 01].
O desempenho essencial em um ambiente cooperativo, pois a complexidade
das conexes, com o grande conjunto de regras e o grande nmero de conexes
concorrentes, exige um grande poder de processamento para a anlise rpida de
todos os pacotes das conexes.

*
*
*
*
*

Hardware:
Velocidade da placa de rede.
Nmero de placas de rede.
Tipo de barramento (PCI, EISA, SCSI etc.).
Velocidade da CPU.
Quantidade de memria.

*
*
*
*
*
*

Sofware:
Cdigo do firewall.
Sistema operacional.
Pilha TCP/IP.
Quantidade de processos sendo executados na mquina.
Configurao, como a complexidade das regras de filtragem.
Tipo de firewall: proxy ou filtro de pacotes baseado em estados?

No proxy, a CPU o fator mais importante, pois cada pacote deve ser desmontado, analisado e remontado. No filtro de pacotes baseado em estados, a memria
RAM a mais importante, pois as informaes sobre os estados precisam estar
disponveis na memria, para uma maior rapidez nas respostas.
Um ponto importante a ser considerado que os firewalls evoluram no requisito
desempenho, de modo que hoje existem firewalls que operam em Gigabit Ethernet,
podendo, assim, ser usados como firewalls internos e tambm em provedores de
servios.
De acordo com testes realizados, a capacidade varia entre 10 Mbps e 1 Gbps,
dependendo do tipo de firewall e do mercado a que ele destinado (Seo 7.6).
Quanto ao nmero de conexes simultneas, os firewalls testados conseguiram lidar
com uma variao entre mil e 500 mil conexes simultneas, que foi o caso de um
firewall na verso Gigabit Ethernet [CON 01].
importante tambm considerar que o desempenho est relacionado com as
regras de filtragem. Como foi visto na Seo 7.3.3, os filtros de pacotes baseados em
estados tm um desempenho melhor em comparao com os filtros de pacotes, pois
a filtragem tem como base, na maioria das vezes, a tabela de estados que reside no
kernel. A tabela de estados pode possuir um nmero de regras menor, e inspecionada por meio de tabelas hash, que so consideravelmente mais rpidas do que as
buscas seqenciais, comuns em filtros de pacotes.
De fato, um teste mostrou que o aumento em cem regras do conjunto de regras
de filtragem no resultou em impacto no desempenho de um filtro de pacotes

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 7: Firewall

240
baseado em estados. Quando um filtro de pacotes foi testado, o firewall foi capaz de
filtrar dez mil conexes por segundo; porm, quando o mesmo firewall foi configurado como proxy, conseguiu filtrar apenas cem conexes por segundo, demonstrando que, realmente, o proxy mais lento que o filtro de pacotes, em um fator de cem
vezes [SNY 01].
Porm, como foi discutido, diversos fatores devem ser considerados, que vo do
software ao hardware. A crescente necessidade de poder de processamento e capacidade cada vez maiores nos firewalls fez surgir uma tendncia de utilizao de equipamentos dedicados, conhecidos como firewall appliances, que sero discutidos na
prxima seo.

7.6 O MERCADO
Quando o amadurecimento do mercado de firewalls analisado, pode-se verificar
que, no incio, o mercado era formado por simples filtros nos gateways. Como em
todo mercado emergente, diversas pequenas e novas empresas passaram a oferecer
seus produtos. A demanda crescente fez com que os grandes fabricantes tambm
entrassem no mercado, resultando em maiores opes de compra e na diminuio
dos preos. Ao mesmo tempo, alguns dos novos fabricantes conseguiram sua consolidao no mercado, fruto do pioneirismo e dos produtos eficientes.
Uma tendncia de mercado, que segue a necessidade de maior desempenho e
facilidade de gerenciamento, a utilizao de firewall appliances, que so produtos
fornecidos pr-instalados com o hardware.
O mercado de firewalls pode ser dividido nos seguintes segmentos:
* Provedor de servios (Internet Service Provider ISP): os firewalls com maior
capacidade de filtragem, que suportam at 1 Gbps.
* Corporativo (mais de mil usurios): so os firewalls clssicos, que se tornaram
fceis de gerenciar, mas necessitam de um profissional de segurana dedicado
sua manuteno. A capacidade de 100 Mbps.
* Small and Midsize Business SMB (entre 50 e mil usurios): sendo considerados tipicamente plugn play, esses produtos tm poucas opes de configurao e no permitem que o sistema operacional seja modificado. A filosofia
de que poucas escolhas resultam em melhor segurana para aqueles com pouco conhecimento. As caractersticas dos produtos podem variar bastante, como
a adio de Web caching, filtragem de contedo, gerenciamento de trfego,
scanning de vrus e at mesmo de uma funo em que os patches e os avisos
sobre segurana so enviados automaticamente para o administrador de segu-

241
rana. Essa categoria de firewall appliances indicada para aqueles que tm
pouco conhecimento tcnico, devido sua facilidade de gerenciamento. A
capacidade de 10 Mbps.
* Small Office Home Office SOHO (entre cinco e 50 usurios): mltiplos servios integrados, como firewall, servidor Web e servidor de e-mail, facilitam o
gerenciamento e so destinados s organizaes com poucos recursos tcnicos
para a administrao da segurana. Como esses produtos combinam diversas
funcionalidades, importante saber qual a definio de firewall dos fabricantes, assim como qual tecnologia empregada pelo firewall. Essa integrao
entre diversos servios pode trazer problemas de segurana, devido ao aumento das funcionalidades, como foi visto na Seo 3.8. Alm disso, podem existir
problemas com a robustez dos logs de segurana e com os relatrios. A capacidade de 1 Mbps.
preciso tomar cuidado com relao aos diversos produtos que esto no mercado, pois a impresso que se tem de que os fabricantes esto aproveitando a fora
do termo firewall e vendendo produtos como se fossem a soluo para todos os
problemas de segurana das organizaes.
A grande afirmao que fica de que essa complexidade que vem sendo adicionada aos firewalls traz consigo uma dificuldade com relao confiana na verdadeira segurana desses produtos. Utilizar um novo servio por meio do prprio
firewall fcil, pois o difcil implement-lo mantendo o mesmo nvel de segurana. Como foi visto na Seo 3.8, a segurana inversamente proporcional s suas
funcionalidades e, portanto, essas adies devem ser evitadas ao mximo, pois
aumentam a probabilidade de vulnerabilidades, causando a diminuio do nvel de
segurana da rede. O mais recomendado que o firewall seja o responsvel apenas
pela segurana de borda ou de permetro da organizao, com os demais servios
sendo oferecidos na rede DMZ.

7.7 A avaliao do firewall


A complexidade e variedade de conexes, caractersticas de um ambiente cooperativo, resultam na necessidade de uma estratgia de segurana bem definida, que
comea pelo uso do firewall para a proteo do permetro.
O que o profissional de segurana deve ter em mente que no o produto
que vai garantir a segurana necessria, mas, sim, a poltica de segurana definida e sua correta implementao. Assim, o melhor produto para uma organizao
aquele que melhor permite a implementao da poltica de segurana definida e
que melhor se ajusta experincia e capacidade do profissional. Dessa forma, a

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 7: Firewall

242
escolha do produto deve ser uma parte efetiva da estratgia de segurana da
organizao.
Diversos aspectos devem ser analisados e discutidos na escolha do firewall mais
adequado para a organizao. Alguns desses aspectos so:
* Fabricante/fornecedor: alguns programas de certificaes de firewalls podem
ser consultados para a escolha do produto. Porm, essas certificaes ainda
so novas e de difcil avaliao e confiabilidade. A estabilidade financeira e o
relacionamento do fornecedor com outros clientes so importantes para evitar
problemas futuros de encerramento das atividades e, conseqentemente, do
encerramento do suporte tcnico e operacional. O pessoal responsvel pela
instalao do firewall deve possuir experincia comprovada, com certificaes
e testes do que foi implementado.
* Suporte tcnico: servios que podem auxiliar na utilizao e nas atualizaes
do produto. O suporte 24 x 7, por exemplo, vital em um ambiente crtico. O
tempo de distribuio de patches de segurana tambm importante.
* Tempo: o prazo para o firewall estar funcionando essencial para a escolha do
sistema. Por exemplo, um sistema plugn play pode ser facilmente implementado,
porm um sistema baseado em software requer trabalhos e capacidade adicionais.
* Projeto: importante levar em considerao aspectos de implementao do
firewall, como a defesa contra ataques clssicos ao TCP/IP, como o Smurf
(Seo 4.6.4), o Teadrop (Seo 4.6.5) ou o SYN Flooding (Seo 4.6.2). Os
firewalls com cdigo aberto permitem uma melhor anlise e discusso sobre
problemas de implementao. As interaes do firewall com o sistema
operacional e com o hardware tambm merecem ser considerados.
* Logs: por meio da sua anlise, possvel detectar erros e problemas no sistema, alm de tornar possvel a deteco de tentativas de ataques. A capacidade
dos logs deve, portanto, ser suficiente para que investigaes sobre conexes
suspeitas sejam possveis. Mas o fato de o firewall registrar os eventos mais
importantes no assegura sua efetividade, sendo imprescindvel uma ferramenta eficiente de anlise dos logs. Outro problema que pode acontecer que,
quando um ataque descoberto por meio da anlise dos logs, este geralmente
j foi realizado, no sendo mais possvel impedi-lo. Um sistema de deteco
de intruso, que ser visto no prximo captulo, uma tecnologia essencial
para a proteo de uma rede.
* Desempenho: como foi visto na Seo 7.5, o desempenho importante em um
ambiente cooperativo, mas no tem nenhum significado, se a segurana do
firewall no for garantida. A segurana sempre deve vir em primeiro lugar.

243
* Gerenciamento: a configurao remota, o uso de criptografia, os avisos em
caso de incidentes de segurana, a capacidade de anlise de logs, a localizao
de logs em outras mquinas e as medidas tomadas pelo firewall quando o
espao para o log acaba so alguns dos pontos que devem ser observados.
* Teste do firewall: os testes no firewall so essenciais para determinar a
efetividade do que foi implementado na organizao. Os aspectos que devem
ser analisados e a maneira e por quem devem ser realizados sero discutidos
na prxima seo.
* Capacitao do pessoal: a instalao, o teste e a implementao da soluo
podem envolver participao ativa do pessoal da prpria organizao, que deve
estar adequadamente capacitado. A operao e a manuteno do firewall tambm requerem profissionais com viso em segurana e capacidade comprovada.

7.8 TESTE DO FIREWALL


Testar o firewall significa verificar se uma poltica de segurana foi bem desenvolvida, se foi implementada de modo correto e se o firewall realiza aquilo que
declara realizar. Tentar passar pelo firewall ou dribl-lo um meio valioso de analisa-lo, alm de ser importante para a prpria poltica de segurana, pois o conjunto
de regras implementado pode ser validado, falhas eventuais podem ser encontradas
e evolues podem ser realizadas.
Essa anlise importante, principalmente, no contexto do ambiente cooperativo,
onde a diversidade e a complexidade das conexes torna a ocorrncia de erros mais
comuns. O desafio de definir as regras de filtragem e de implementar corretamente o
que foi definido grande, de modo que um modelo de segurana importante para
auxiliar o profissional de segurana. A Parte III deste livro aborda esses aspectos que
auxiliam o profissional de segurana na sua tarefa de proteger a organizao.
Os testes do firewall muitas vezes se confundem com as anlises de segurana do
ambiente. A amplitude das anlises pode ser limitada s regras de filtragem, para
verificar se foram implementadas corretamente, ou pode chegar anlise dos servidores, que devem estar como bastion hosts. Essa anlise, porm, pode englobar
aspectos adicionais, pois as aplicaes e os servios tambm podem ser analisados.
Alm disso, como discutido na Seo 7.10, o firewall no faz a proteo contra
ataques a servios legtimos, que possuem as conexes permitidas. Assim, os prprios servios e aplicaes necessitam de uma anlise em particular.
Um teste de firewall pode ser estruturado em quatro etapas [RAE 97]:
* Coleta de informaes indiretas: informaes que podem ser obtidas sem que
o firewall faa registros ou bloqueie os acessos. So as informaes pblicas,

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 7: Firewall

244
como de servidores Web, FTP, whois ou nslookup. A busca por mensagens em
newsgroups, enviadas por funcionrios da organizao, por exemplo, pode
revelar endereos de e-mail especficos, como o caso de
j o a o . t e i x e i r a @ c a m p i n a s . s a o p a u l o . b r a s i l . c o m , em vez de
joao.teixeira@brasil.com. Ultimamente, o mecanismo de busca da Google
tem sido muito utilizado para a obteno de informaes que auxiliam os
ataques.
* Coleta de informaes diretas: so as informaes protegidas e que, portanto,
podem ter seu acesso detectado e registrado. Um exemplo disso a procura
por informaes adicionais em servidores de nomes. Outro exemplo o envio
de e-mail para um usurio inexistente de uma rede, o que pode revelar sua
topologia, que pode ser obtida por meio da anlise do cabealho da mensagem
de resposta. Pelo firewalking (Seo 4.5.8), possvel visualizar a topologia da
rede da organizao. Um port scanning no firewall revela as portas dos servios abertos e os respectivos pontos de ataque. Modos seguros de port scanning
(stealth) tambm podem ser utilizados, como foram discutidos na Seo 4.5.6.
* Ataques externos: esses testes podem ser realizados utilizando-se ferramentas
como o scanning de vulnerabilidades, a partir de hosts confiveis, ou por meio
do uso de IP Spoofing, que mascara a origem dos ataques. Qualquer outro
mtodo descrito no Captulo 4 tambm pode ser utilizado. Realizando a anlise como se fosse um hacker, a organizao tem a oportunidade de obter informaes sobre possveis pontos de ataque, antes que eles sejam usados com m
inteno. Esses testes so tambm conhecidos como Ethical Hacking ou
Penetration Test (Pen-Test).
* Ataques internos: estes testes tm como objetivo verificar se os usurios internos podem realizar ataques a hosts externos. Eles so importantes, porque
podem evitar que, no caso de o usurio ser vtima de ataques ou vrus, seja
usado como ponto de ataque ou de escoamento de informaes confidenciais
da organizao. Alm disso, esses testes tambm evitam que usurios maliciosos tirem proveito de possveis situaes para atacar hosts externos propositadamente.
Assim, importante observar que testes ou anlises de segurana devem ser
realizados freqentemente, no apenas no firewall, mas tambm em todos os recursos e no ambiente da organizao. Servios como o servidor Web, por exemplo, so
alvos de constantes ataques e a anlise constante necessria para a diminuio
dos riscos envolvidos.
Outro ponto importante definir quem ir realizar as anlises de segurana: o
revendedor, os hackers, os prprios funcionrios ou uma empresa especializada.

245
Cada um deles tem suas vantagens e desvantagens. Os revendedores tm conhecimento sobre o seu prprio produto e detalhes do funcionamento podem ser esclarecidos; porm, os testes realizados podem ser imparciais. Um hacker pode analisar de
forma produtiva as vulnerabilidades da poltica de segurana implementada, porm
o risco que, se no houver tica, ele pode esconder algumas vulnerabilidades
encontradas e compartilh-las com seus colegas hackers. Os prprios funcionrios
parecem ser a melhor opo, mas o que falta o know-how de como realizar algumas
anlises, o que pode acabar comprometendo os resultados, com o fornecimento de
informaes limitadas. A empresa especializada pode ter o know-how necessrio,
mas pode sair cara para a organizao, pois a segurana um processo constante e
dinmico, e diversas anlises sero necessrias.
Casos de falta de tica e vazamento de informaes tambm so conhecidos, de
forma que a empresa especializada, se for o caso, deve ser escolhida cuidadosamente.

7.9 PROBLEMAS RELACIONADOS


Os firewalls so essenciais para a segurana de qualquer organizao, mas a falta
de alguns cuidados pode tornar todos os esforos invlidos e instaurar um perigoso
falso senso de segurana. Os problemas que mais resultam em perigo so:
*
*
*
*

Instalaes de firewalls mal configurados.


Implementao incorreta da poltica de segurana.
Gerenciamento falho.
Falta de atualizaes.

Mesmo tomando-se medidas contra os problemas relacionados acima, a vigilncia deve ser uma constante, pois um firewall geralmente leva falsa de sensao de
segurana. Diversos problemas podem ocorrer, como falhas no desenvolvimento da
poltica de segurana ou at mesmo falhas na prpria implementao dos firewalls.
Essas falhas na implementao de firewalls j estiveram presentes em diversos
firewalls comerciais, como o caso do Cisco PIX Firewall. Alguns scanners de segurana eram capazes de derrubar o PIX, segundo a lista de discusso Firewall Wizards.
Isso um srio problema, pois essas ferramentas podem ser utilizadas em ataques
de negao de servios e, assim, isolar a rede da organizao do acesso externo,
comprometendo os negcios.
Outro caso mostra que possveis vulnerabilidades podem ser encontradas no
Firewall-1 da Check Point, que usa permisses-padro para TCP Source Porting e
trfego de certos pacotes UDP, o que pode causar problemas em organizaes em

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 7: Firewall

246
que o firewall mal administrado e funciona com essas configuraes-padro [NEW
99][CER 01-4].
Casos de buffer overflow tambm j foram encontrados no Gauntlet, os quais
podem resultar em execuo de cdigos arbitrrios e privilgios de administrador
no servidor [CER 01].
Com relao configurao e ao gerenciamento do firewall, diversos equvocos
podem ser cometidos, o que pode comprometer a segurana da organizao, tais
como [AVO 99]:
* Liberar novos servios porque os usurios dizem que precisam deles: importante separar o que os usurios precisam do que eles querem. Os novos
servios devem ser claramente justificados para os negcios da organizao e
includos na respectiva poltica de segurana. Mesmo um servio aparentemente til aumenta o trabalho de administrao do firewall, alm de adicionar
potenciais possibilidades de ataque.
* Separar a rede privada virtual (VPN) do firewall: a arquitetura da VPN com o
firewall deve ser bem definida, para que os usurios da VPN no driblem a
poltica de segurana implementada no firewall. Mais detalhes sobre essa arquitetura podem ser vistos no Captulo 12.
* Concentrar os esforos no firewall, enquanto outras medidas de segurana so
ignoradas: os firewalls no so suficientes, so apenas uma parte do arsenal
de segurana necessrio.
* Ignorar os arquivos de logs: se os arquivos de logs nunca so avaliados, estes
no tm nenhum valor e no possvel verificar a situao do firewall nem
comprovar sua real eficincia.
* Desligar as mensagens de alerta: ao desligar os alarmes e alertas, eventuais
tentativas de ataque e erros nas configuraes no podem ser detectados,
colocando em risco os recursos da organizao.
* Adicionar contas de usurios no firewall: os firewalls devem ser to simples
quanto for possvel. Como os usurios acrescentam complexidade, suas contas
so potenciais pontos de ataque. Alm disso, os prprios usurios podem ser
considerados potenciais atacantes. Qualquer usurio pode abrir brechas de
segurana no firewall, mesmo que no intencionalmente, por meio de seus
prprios erros.
* Permitir que diversas pessoas administrem o firewall: todo administrador um
atacante em potencial, e pode causar danos mais srios do que qualquer outro
usurio, devido aos seus direitos no sistema.

247
* Presena de modems: qualquer modem atrs do firewall pode driblar o permetro de segurana, formando uma entrada direta em potencial para a rede interna da organizao.
* Driblar a segurana do firewall e utilizar uma poltica prpria: o firewall deve
ser configurado de acordo com a poltica de segurana da organizao. Fugir
disso, como criar um backdoor para facilitar sua administrao, certamente
trar muitos problemas futuros.
* No ter uma poltica de segurana: sem um conjunto de regras, no h como
tomar decises relativas segurana. O melhor que uma poltica seja criada,
mesmo que gradativamente. Essa abordagem deve ser utilizada em oposio
idia de criar a poltica apenas quando ela for efetivamente necessria, depois
de a organizao sofrer um ataque. A poltica deve ser criada antes da implantao do firewall, caso contrrio, ele ser mal configurado e um ataque ser
inevitvel e certo. Mais detalhes sobre a poltica de segurana podem ser
vistos no Captulo 6.

7.10 O FIREWALL NO

A SOLUO TOTAL DE SEGURANA

importante ter em mente que o firewall apenas uma parte de um conjunto de


componentes de um sistema de segurana necessrio para a proteo das organizaes. Assim, a idia de que um firewall a soluo para todos os problemas de
segurana, disseminada por alguns fabricantes e que, infelizmente, ainda convence
muitos profissionais, um conceito equivocado, que acaba colocando em risco toda
a organizao.
Os firewalls podem ser uma faca de dois gumes: representam uma primeira
linha de defesa e so, essencialmente, necessrios em uma infra-estrutura que envolve a segurana. Porm, tendem a tranqilizar as organizaes com uma falsa e
perigosa sensao de segurana. Como uma primeira linha de defesa, o firewall tem
como objetivo bloquear todos os tipos de acesso indevidos, que no esto de acordo
com a poltica de segurana da organizao.
O acesso a servios legtimos deve ser permitido pelo firewall. A partir desse
momento, a segurana no depende mais do firewall, mas sim dos prprios servios
legtimos. Uma autenticao eficiente de um banco de dados, por exemplo, passa a
ser fundamental. Anlises de segurana para evitar ataques contra o servidor Web
tambm se tornam essenciais, da mesma forma que um sistema de deteco de
intruso deve ser utilizado.
Assim, o maior problema relacionado ao firewall pode ser considerado justamente
como a falsa idia de que ele a soluo dos problemas de segurana. Mesmo a prpria

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 7: Firewall

248

249

definio de firewall, vista na Seo 7.1, parece no estar mais de acordo com os dias
de hoje. H pouco tempo atrs, era fcil definir um firewall e suas funes. Ele atuava
na borda de uma rede como um muro, evitando que os intrusos entrassem na rede da
organizao. Esse permetro era facilmente definido e o firewall cuidava desse permetro, como pode ser visto na Figura 7.23, que mostra o bolso de segurana tradicional,
com o firewall e os servidores na zona desmilitarizada DMZ.

Figura 7.23

Modelo de segurana convencional representado pelo firewall com DMZ.

Atualmente, com os ambientes cooperativos, esse permetro intangvel, com


as extranets e VPNs estendendo as redes para a comunicao com os parceiros, a
Web e os bancos de dados sendo acessados pelo pblico em geral, e a computao
mvel e a utilizao indiscriminada de modems criando pontos de acesso rede da
organizao que podem no passar efetivamente pelo firewall. O permetro nos
ambientes cooperativos est mudando, fluindo e ativo, como pode ser observado no
modelo de bolses de segurana, definido na Seo 7.11 (Figura 7.24).

Figura 7.24

Modelo de bolses de segurana representado pelo firewall cooperativo.

Nesse contexto, o firewall no pode mais ser considerado apenas um muro, mas
sim uma parte da defesa ativa de qualquer organizao, que a idia principal do
firewall cooperativo.
Mesmo a definio desse muro criado pelo firewall torna-se mais complicado,
pois grande parte dos ataques vm da prpria rede interna; portanto, com a computao mvel e o ambiente cooperativo, o enfoque da segurana acaba mudando de
muros altos para controle dos usurios.
Assim, o firewall fundamental, mas no tudo. O enfoque da segurana, agora,
est em selecionar os usurios que podem acessar a rede e definir os direitos que
tm na rede. Alm de determinar os recursos que cada usurio em particular pode
acessar e os nveis de acesso de cada usurio na rede, tambm essencial que se
tenha a certeza de que eles esto fazendo aquilo que lhes foi explicitamente permitido. Desse modo, a autenticao e a autorizao so tambm importantes aspectos

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS


250
de segurana que devem ser implementados. Basicamente, no basta apenas controlar o acesso, necessrio tambm monitorar o que o usurio est realizando
dentro da rede. Alm disso, a rede no deve ser protegida apenas contra invases
intencionais, mas tambm contra inmeros erros comuns de usurios autorizados,
que podem trazer prejuzos organizao.
Levando-se isso em considerao, pode-se observar que a definio original do
firewall j no mais suficiente no contexto atual. Os conceitos, as tcnicas e as
tecnologias contidos na Parte II deste livro tm, assim, uma importncia muito
grande para a estratgia de segurana de qualquer organizao. Sua utilizao e um
modelo de segurana proposto para auxiliar o profissional de segurana na misso
de proteger a organizao podero ser vistos na Parte III.

Sistema de deteco de intruso

7.11 CONCLUSO
Este captulo discutiu diversos aspectos do firewall, entre eles sua definio,
que parece estar sendo modificada com o passar do tempo, em grande parte devido ao mercado e errada percepo de que ele a soluo de todos os problemas
de segurana de uma organizao. As funcionalidades do firewall foram apresentadas e foi discutida a evoluo que vem ocorrendo nesse importante componente
de segurana. A arquitetura influi diretamente no nvel de segurana e as diferentes possibilidades foram analisadas, culminando no firewall cooperativo, que
ser apresentado no Captulo 13. Foram analisados ainda outros aspectos, tais
como seu desempenho, seu mercado, seus testes e os problemas relacionados.
Apesar de no ser a soluo de todos os problemas de segurana, o firewall um
componente essencial em uma organizao, ao atuar na borda de sua rede, protegendo-a contra ataques e o acesso indevido.

C
a
p

t
u
l
o
8

O sistema de deteco de intruso (Intrusion Detections System


IDS) um componente essencial em um ambiente cooperativo.
Sua capacidade de detectar diversos ataques e intruses auxilia na
proteo do ambiente, e sua localizao um dos pontos a serem
definidos com cuidado. Este captulo apresentar esse importante
elemento do arsenal de defesa, discutindo suas caractersticas, os
diferentes tipos de IDS existentes e tambm as metodologias de
deteco utilizadas pelos sistemas. Novos tipos de sistemas, que
procuram no apenas detectar, mas tambm prevenir os ataques,
tambm sero discutidos. Esses novos sistemas so conhecidos como
sistemas de preveno de intruso (Intrusion Prevention System
IPS). A forense computacional importante para anlise de incidentes de segurana j ocorridos, e discutida brevemente neste
captulo.

8.1 OBJETIVOS
No captulo anterior, foi visto que o firewall apenas um dos
componentes da estratgia de segurana de uma organizao. Isso
o resultado da mudana do enfoque na segurana, que passa de
uma abordagem nica baseada na segurana de borda para a necessidade de maior acompanhamento e monitoramento das atividades internas, o que representa novas camadas de segurana. O ambiente cooperativo e o grande nvel de interconectividade entre as

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 8: Sistema de deteco de intruso

252

253

organizaes intensificam essa necessidade de diferentes mecanismos de segurana, pois bolses de segurana so criados, e precisam ser protegidos (Captulo 6).
Os bolses de segurana so caracterizados pelo acesso a recursos internos que
devem ser concedidos a parceiros de negcios ou a clientes, por exemplo. Uma vez
permitidos os acessos, as atividades desses usurios devem ser controladas e monitoradas
cuidadosamente. O firewall pode funcionar como a primeira linha de defesa para esses
acessos, realizando o controle de acesso no nvel de rede. A autenticao aos servios
tambm importante para controlar o acesso aos recursos e o IDS essencial para o
monitoramento do ambiente, tanto da rede quanto dos servidores.
Uma das caractersticas dos bolses de segurana dos ambientes cooperativos
que os recursos so normalmente acessados tanto pelos usurios externos quanto
pelos usurios internos. Isso faz com que o monitoramento seja estendido aos prprios usurios internos, resultando em inmeros benefcios para a organizao. Isso
ocorre porque os recursos passam a dispor de uma defesa tanto contra possveis
ataques externos quanto contra possveis ataques internos, o que essencial. Essa
necessidade de proteo pode ser comprovada por uma pesquisa da Computer Security
Institute, que mostra que as grandes perdas financeiras acontecem por meio de ataques internos, como acesso no autorizado a sistemas, roubo de informaes confidenciais, abuso da rede por usurios internos ou sabotagem (Figura 8.1) [CSI 01].

Figura 8.1

As perdas financeiras resultantes de ataques internos. Fonte: FBI/CSI 2002.

Assim, um sistema de deteco de intruso (Intrusion Detection System IDS),


que tem como objetivo detectar atividades suspeitas, imprprias, incorretas ou
anmalas, um elemento importante dentro do arsenal de defesa da organizao.
Alm de ser crucial para a segurana interna, o IDS pode detectar ataques que so

realizados por meio de portas legtimas permitidas e que, portanto, no podem ser
protegidos pelo firewall. O mesmo ocorre quando um modem utilizado sem autorizao por um usurio interno. Tentativas de ataques contra qualquer recurso da
organizao tambm podem ser detectadas, mesmo que elas sejam normalmente
barradas pelo firewall.
Todos os tipos de deteco realizados pelo IDS dependem de alguns fatores:
*
*
*
*

Tipo de IDS, que ser visto na Seo 8.3.


Metodologia de deteco, que ser visto na Seo 8.4.
Posicionamento dos sensores, que ser visto na Seo 8.3.2.1.
Localizao do IDS na rede, que ser visto na Seo 8.9.

8.2 CARACTERSTICAS
Um sistema de deteco de intruso trabalha como uma cmera ou um alarme
contra as intruses, podendo realizar a deteco com base em algum tipo de conhecimento, como assinaturas de ataques, ou em desvios de comportamento, como ser
mostrado na Seo 8.4. Ao reconhecer os primeiros sinais de um ataque, e por meio
de uma resposta coerente, os perigos de um ataque real podem ser minimizados.
Alm disso, quando um dispositivo do ambiente computacional falha, devido a um
erro de configurao ou um erro do usurio, o IDS pode reconhecer os problemas e
notificar o responsvel [BEC 99]. Alguns sistemas, conhecidos como sistema de
preveno de intruso (Intrusion Prevention System IPS), tm como objetivo
diminuir a quantidade de alarmes falsos e prevenir os ataques. O IPS ser discutido
na Seo 8.6.
O IDS capaz de detectar e alertar os administradores quanto a possveis ataques ou comportamentos anormais na organizao. Informaes importantes sobre
tentativas de ataques, que no se pode obter normalmente, podem ser conseguidas
por meio desses sistemas. Eles podem oferecer subsdios suficientes para que a
organizao melhore sua proteo contra quaisquer tipos de ataque, principalmente os considerados internos. Esses ataques internos podem ser classificados como
os ataques executados por usurios internos ou por usurios do ambiente cooperativo que acessam recursos internos dos bolses de segurana.
Outro tipo de ataque que o IDS deve ser capaz de detectar diz respeito aos
ataques realizados contra servios legtimos da DMZ e dos bolses de segurana, por
exemplo, que passam pelo firewall. A relao entre o IDS e o firewall pode ser vista
na Figura 8.2.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 8: Sistema de deteco de intruso

254

255
*
*
*
*
*
*
*
*
*

Figura 8.2
suspeitos.

O firewall libera conexes e o IDS detecta, notifica e responde a trfegos

Um sistema de deteco de intruso funciona de acordo com uma srie de funes que, trabalhando de modo integrado, capaz de detectar, analisar e responder
a atividades suspeitas. A Figura 8.3 apresenta as funes de um IDS.

*
*
*
*

Anlise baseada em assinaturas de ataque conhecidas.


Anlise de atividades anormais.
Anlise de protocolos.
Deteco de erros de configurao no sistema.
Deteco em tempo real.
Fornecimento de informaes valiosas sobre atividades suspeitas na rede.
Anlise com base em cada caso, com resposta apropriada para cada um deles.
Identificao do destino do ataque.
Gerenciamento central, garantindo que todos os casos sejam analisados e respondidos de maneira consistente.
Transparncia, de modo que o sistema no indique quais pontos ou segmentos
da rede esto sendo monitorados.
Capacidade de registro do ataque, de modo a aprender com os ataques realizados e preparar uma defesa mais forte.
Flexibilidade de resposta, com a capacidade de reao, para a preveno de
possveis danos.
Necessidade de configurao, tomando cuidado com as respostas falso positivo, caso em que um alarme falso enviado quando a tentativa de ataque no
existe, o que pode ser to perigoso quanto um ataque real.
Capacidade de prevenir ataques, atuando no kernel dos sistemas.

Aps a deteco de uma tentativa de ataque, vrios tipos de aes podem ser
tomados como resposta. Alguns deles podem ser vistos a seguir [GRA 99][BEC 99]:

Figura 8.3

Funes integradas do IDS.

Nas prximas sees, sero analisados os diversos tipos e metodologias empregadas pelos sistemas de deteco, que tm caractersticas importantes como [HAL
98][SAN 99-2][BEC 99][SEQ 02]:
* Monitoramento e anlise das atividades dos usurios e sistemas.
* Avaliao da integridade de arquivos importantes do sistema e arquivos de
dados.
* Anlise estatstica do padro de atividade.

* Reconfigurao do firewall.
* Alarme (som).
* Aviso de SNMP para sistemas de gerenciamento de redes, como o OpenView ou
o Spectrum.
* Evento do Windows.
* Gerao de logs por meio do Syslog.
* Envio de e-mail.
* Envio de mensagem para o pager.
* Gravao das informaes sobre o ataque.
* Gravao das evidncias do ataque para anlise posterior (forense
computacional).
* Execuo de um programa capaz de manipular o evento.
* Finalizao da conexo.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 8: Sistema de deteco de intruso

256

257

Um ponto importante que a poltica de segurana tem um papel fundamental


quando a organizao trabalha com um IDS. A documentao dos procedimentos a
serem adotados, quando um ataque acontece, essencial e deve conter detalhes
como a quem reportar o incidente e o que fazer com as informaes obtidas pelo
IDS. Esse plano de resposta a incidentes visa o restabelecimento imediato dos negcios da organizao, de forma ordenada e eficiente.

em rede (NIDS), enquanto os servidores da DMZ, dos bolses de segurana e da rede


interna podem ser monitorados com o uso de IDS baseado em host (HIDS) ou os IDS
hbridos. Outros tipos de sistemas ainda podem ser usados, como o sistema de
preveno de intruso (IPS) e o honeypot, que possui seus tipos especficos, e ser
mostrado na Seo 8.3.4. O IPS ser mostrado na Seo 8.6.

8.3.1 Host-Based Intrusion Detection System

8.3 TIPOS
Os dois tipos primrios de IDS so os seguintes: o baseado em host (Host-Based
Intrusion Detection System HIDS) e o baseado em rede (Network-Based Intrusion
Detection System NIDS). O processo evolutivo que acontece com toda tecnologia
levou ao desenvolvimento do IDS hbrido (Hybrid IDS), que aproveita as melhores
caractersticas do HIDS e do NIDS. O honeypot no necessariamente um tipo de IDS,
porm ele pode ser utilizado para que o administrador de segurana aprenda sobre os
ataques realizados contra sua organizao, detectando e armazenando todos os tipos
de ataques. Mais recentemente, a identificao de pontos fracos relacionados a determinados tipos de IDS levou ao desenvolvimento de sistemas de preveno de intruso
(Intrusion Prevention System IPS), que buscam no apenas detectar, mas tambm
prevenir os ataques. Os tipos de IDS podem ser vistos na Figura 8.4.

O sistema de deteco de intruso baseado em host (HIDS) faz o monitoramento


do sistema, com base em informaes de arquivos de logs ou de agentes de auditoria. O HIDS pode ser capaz de monitorar acessos e alteraes em importantes arquivos do sistema, modificaes nos privilgios dos usurios, processos do sistema,
programas que esto sendo executados, uso da CPU, entre outros aspectos, como a
deteco de port scanning [RAN 01-1].
O HIDS pode tambm realizar, por meio de checksums, a checagem da integridade dos arquivos do sistema. Essa uma caracterstica importante, porque arquivos
corrompidos, que podem ser backdoors, so detectados antes que causem problemas
mais srios. Na maioria das vezes, os HIDS so considerados ferramentas, ao invs
de sistemas, pois muitas vezes no so capazes de emitir alertas em tempo real. Isso
acontece porque algumas deteces so realizadas com base em informaes de logs
e registros do sistema. O Tripwire um exemplo de ferramenta que faz a checagem
da integridade dos arquivos do sistema. A Figura 8.5 apresenta alguns tipos de
deteco que podem ser feitos pelo HIDS.

Figura 8.5
Figura 8.4

Alguns tipos possveis de deteco com o HIDS.

Tipos de IDS e IPS.

A combinao de diferentes tipos de IDS importante para que a organizao


fique protegida adequadamente contra todos os tipos de ameaas, principalmente
dos ataques realizados internamente e dos ataques vindos da Internet. Por exemplo, os ataques vindos da Internet podem ser detectados pelo uso de IDS baseado

A anlise dos logs, realizada pelo HIDS, faz com que ataques de fora bruta, por
exemplo, possam ser detectados; porm, ataques mais sofisticados podem no ser
detectados. Um exemplo de HIDS, que faz a anlise de logs, o Swatch, o qual
capaz de enviar uma mensagem de alerta assim que acontece um evento de ao
suspeita, com base em um padro definido.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 8: Sistema de deteco de intruso

258
O Portsentry, do Abacus Project, um tipo de HIDS capaz de monitorar as portas
do sistema, detectando tentativas de port scanning (Seo 4.5.6). Com base no tipo
de deteco, ele pode tomar decises como, por exemplo, utilizar o TCP Wrapper,
alertar o administrador de sistemas por meio de bipes, interagir com o firewall na
criao de regras de filtragem ou ativar alguma estratgia de retaliao, se for
preciso.
Um caso que demonstra a importncia do HIDS aconteceu em dezembro de 1998,
em um banco da Califrnia. Com a inteno de melhorar sua segurana interna, eles
instalaram um HIDS em dez servidores e em algumas workstations. Aps a definio
dos tipos de informaes relevantes, eles configuraram o sistema para a deteco de
atividades anmalas. Depois de 24 horas, foram encontrados dois usos irregulares
de contas de administrador para a leitura de e-mails e edio de documentos, o que
estava fora do estabelecido pela poltica de segurana. Erros de privilgios para a
execuo de backup tambm foram encontrados [BEC 99].
As caractersticas do HIDS fazem com que eles tenham um papel importante nos
servidores, principalmente os da DMZ e dos bolses de segurana, que precisam ter
todos seus elementos monitorados.
Os pontos fortes do HIDS so [BUO 01][SHA 01][BEC 99]:
* O HIDS pode verificar o sucesso ou a falha de um ataque, com base nos registros (logs) do sistema.
* Atividades especficas do sistema podem ser monitoradas detalhadamente,
como acesso a arquivos, modificao em permisses de arquivos, logon e logoff
do usurio e funes do administrador.
* Ataques que ocorrem fisicamente no servidor (keyboard attack) podem ser
detectados pelo HIDS.
* Ataques que utilizam criptografia podem no ser notados pela rede, mas podem ser descobertos pelo HIDS, pois o sistema operacional primeiramente
decifra os pacotes que chegam ao equipamento.
* independente da topologia da rede, podendo ser utilizado em redes separadas por switches.
* Gera poucos falsos positivos, ou seja, os administradores recebem poucos
alarmes falsos de ataques.
* No necessita de hardware adicional.
Os pontos fracos que devem ser considerados no HIDS so [SHA 01][BEC 99]:
* difcil de gerenciar e configurar em todos os hosts que devem ser monitorados,
causando problemas de escalabilidade.

259
* dependente do sistema operacional, ou seja, um HIDS que funciona no Linux
totalmente diferente de um HIDS que opera no Windows.
* No capaz de detectar ataques de rede, como o scanning de rede ou o Smurf,
por exemplo.
* Caso o HIDS seja invadido, as informaes podem ser perdidas.
* Necessita de espao de armazenamento adicional para os registros do sistema.
* Por terem como base, tambm, os registros do sistema, podem no ser to
eficientes em sistemas como o Windows 98, que gera poucas informaes de
auditoria.
* Apresenta diminuio de desempenho no host monitorado.

8.3.2 Network-Based Intrusion Detection System


O sistema de deteco de intruso baseado em rede (NIDS) monitora o trfego do
segmento da rede, geralmente com a interface de rede atuando em modo promscuo. A deteco realizada com a captura e anlise dos cabealhos e contedos dos
pacotes, que so comparados com padres ou assinaturas conhecidos. Exemplos de
NIDS so o RealSecure, o NFR e o Snort. O NIDS eficiente principalmente contra
ataques como port scanning, IP spoofing ou SYN flooding (Captulo 4) e tambm
capaz de detectar ataques de buffer overflow e ataques contra um servidor Web, por
exemplo, por meio da utilizao da base de conhecimento com padres e assinaturas de ataques.
Os NIDS podem ser divididos em duas partes que atuam em conjunto; os sensores,
espalhados pelos segmentos de rede, so os responsveis pela captura, formatao
de dados e anlise do trfego da rede; e o gerenciador ou console faz com que os
sensores sejam administrados de modo integrado, com a definio dos tipos de
resposta a serem utilizados para cada tipo de comportamento suspeito detectado. A
comunicao entre os sensores e o console deve utilizar a criptografia, e alguns
IDSs utilizam o algoritmo assimtrico RSA para a formao do canal seguro [TUR
00]. Os sensores podem ser utilizados de diversas maneiras e o entendimento de sua
utilizao importante para uma deteco efetiva. Eles sero discutidos na Seo
8.3.2.1.
Uma caracterstica importante do NIDS sua capacidade de detectar ataques na
rede em tempo real. Como o sensor atua em modo promscuo no mesmo segmento
de rede de um servidor atacado, por exemplo, ele pode capturar os pacotes referentes ao ataque, analisar e responder ao ataque praticamente ao mesmo tempo em
que o servidor atacado. A resposta poderia ser, por exemplo, o trmino da conexo. Porm, essa abordagem pode no ser completamente confivel, pois a resposta
do NIDS pode ser enviada aps a efetivao do ataque, ou seja, os pacotes referen-

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 8: Sistema de deteco de intruso

260
tes ao ataque podem ser enviados ao servidor antes que as conexes sejam encerradas pelo NIDS. Esse problema ser discutido com mais detalhes na Seo 8.5.
Os pontos positivos do NIDS so [SHA 01][BUO 01][BEC 99]:
* O monitoramento pode ser fornecido para mltiplas plataformas.
* Com a anlise de cabealhos e do payload de pacotes, ataques de rede como o
port scanning, IP Spoofing ou Teardrop podem ser detectados.
* O NIDS pode monitorar atividades suspeitas em portas conhecidas, como a
porta TCP 80, que utilizada pelo HTTP.
* Os ataques podem ser detectados e identificados em tempo real e o usurio
pode determinar rapidamente o tipo de resposta apropriado.
* O NIDS capaz de detectar no s os ataques, mas tambm as tentativas de
ataque que no tiveram resultado.
* Com o NIDS funcionando, difcil que um hacker possa apagar seus rastros,
caso consiga invadir um equipamento.
* O hacker ter dificuldades em saber se existe ou no um NIDS monitorando
suas atividades.
* No causa impacto no desempenho da rede.
Os pontos negativos que podem ser encontrados em NIDS so [SHA 01][BEC 99]:
*
*
*
*

Perda de pacotes em redes saturadas.


Dificuldade de compreenso de protocolos de aplicao especficos, como o SMB.
No capaz de monitorar trfego cifrado.
Dificuldade de utilizao em redes segmentadas, principalmente com switches
(Seo 8.3.2.1).

interessante notar a questo da limitao de recursos que ocorre no NIDS. Ele


deve capturar, armazenar e analisar grandes volumes de dados que passam pelo
segmento da rede, para detectar os ataques por meio de assinaturas ou padres
conhecidos. Diversos eventos mostram a importncia do fator recurso computacional,
nesse tipo de IDS [SCH 00-1]:
* Conexes TCP: para detectar uma gama de ataques, o NIDS deve manter os
estados de um grande nmero de conexes TCP. Isso requer uma boa quantidade de memria do equipamento.
* Outras informaes de estado: a memria utilizada tambm para o tratamento da fragmentao de pacotes de IP e de pacotes ARP, por exemplo.

261
* Estados permanentes: para detectar a tcnica de scanning, na qual a varredura
realizada aos poucos, s vezes, em perodos de dias (slow scans, Seo 4.5.6),
o IDS deve manter as informaes sobre os estados durante um longo perodo
de tempo. Isso tambm requer uma grande quantidade de memria e depende
da configurao do sistema.
Apesar de no ser possvel ter conhecimento, com certeza, da existncia de sistemas de deteco de intruso em uma rede, os hackers podem utilizar diversas tcnicas
para evitar que sejam monitorados pelo NIDS. Os problemas identificados so resultados de vrios fatores, que incluem o funcionamento em modo promscuo e tambm o
uso da metodologia de ataque baseado em assinaturas ou padres de ataque, que
podem ser driblados. As tcnicas de evaso e insero sero discutidas com detalhes
na Seo 8.5, e algumas delas podem ser observadas a seguir [SCH 00-1]:
* Fragmentao: alguns sistemas de deteco de intruses no so capazes de
tratar a fragmentao de pacotes.
* Ataques por meio de portas no convencionais: por exemplo, a instalao de
backdoors, que trabalham na porta 53, que a porta-padro utilizada pelo
DNS e no representa um padro de ataque para o IDS.
* Slow scans (Seo 4.5.6): atravs da varredura pausada, o IDS no ser capaz
de detectar o scanning. Isso depende da configurao do IDS, que influi diretamente no desempenho do sistema.
* Ataques coordenados: a coordenao de um scanning entre diferentes fontes
faz com que a correlao entre os pacotes capturados seja difcil de ser realizada. Assim, a caracterizao de um ataque fica mais difcil de acontecer.
* Identificao negativa: por meio da utilizao de IP Spoofing ou de um proxy
mal configurado de uma vtima, por exemplo, o hacker pode executar seu
ataque e no ser identificado.
* Mudana de padro de ataque: os ataques so detectados pela comparao dos
pacotes com os padres ou assinaturas de ataque conhecidos. A mudana
desse padro em um ataque, quando possvel, pode fazer com que o ataque
no seja identificado pelo IDS.

8.3.2.1. Posicionamento dos sensores


Um dos principais problemas encontrados atualmente com relao utilizao
do NIDS que as redes esto se tornando cada vez mais segmentadas, com a utilizao de switches, o que faz com que o NIDS perca parte de sua efetividade. A dificuldade est no fato de o NIDS funcionar em grande parte no modo promscuo, anali-

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 8: Sistema de deteco de intruso

262
sando todos os pacotes que passam no segmento de rede, como se fosse um sniffer.
possvel utilizar o NIDS em redes separadas por switches, porm algumas limitaes quanto ao desempenho podem ser cruciais, o que faz com que sensores HIDS
sejam usados em conjunto com o NIDS, nos IDS hbridos (Seo 8.3.3), por exemplo
[SCH 00-1].
Os sensores podem ser usados de diferentes maneiras, as quais refletem o grau
de monitoramento do ambiente [GON 02]:
* Switched Port Analyzer (SPAN) e hubs: portas SPAN de switches ou portas de
hubs podem ser usadas para que os sensores sejam habilitados.
* Modo Tap: onde os sensores so inseridos em segmentos de rede via um Tap,
ou seja, como uma extenso da rede.
* Modo Inline: o IDS posiciona-se fisicamente no caminho do fluxo da informao, com o trfego passando ativamente pelo sistema, como em um firewall.
Mais detalhes podem ser vistos na Seo 8.6.
* Port Clustering: permite a monitorao de diversos segmentos de rede, com
todos os trfegos sendo agregados em um nico stream de dados.
* Mltiplas interfaces: um sensor atuando em diferentes segmentos de rede.

8.3.3 Hybrid Intrusion Detection System


Nas sees anteriores, foram abordadas as vantagens e as desvantagens do HIDS
e do NIDS. No mundo real, pode-se verificar que a melhor estratgia utilizar
ambos os tipos para a proteo dos recursos da organizao. Por exemplo, em um
cenrio, no qual a organizao tem servidores Web importantes podem acontecer
ataques como SYN Flooding, Smurf, Teardrop, port scanning e a pichao do site
(Web defacement). O NIDS ser capaz de detectar o SYN Flooding, Smurf, Teadrop e o
port scanning, porm somente o Host-Based Intrusion Detector System ser capaz de
detectar o Web defacement [SHA 01].
Assim, como nesse exemplo, a utilizao dos dois tipos de IDS ao mesmo tempo
traz grandes benefcios. O IDS hbrido (Hybrid IDS) tem como objetivo combinar os
pontos fortes do HIDS e do NIDS, a fim de oferecer uma melhor capacidade de
deteco de intruses [HO 01][RAN 01-1].
O IDS hbrido opera como o NIDS, coletando o trfego da rede, processando os
pacotes e detectando e respondendo a ataques. A diferena que ele faz isso como
um HIDS, ou seja, processa os pacotes endereados ao prprio sistema. Com isso,
desaparece o problema de desempenho, comum no NIDS. Por outro lado, ainda
existe o problema de escalabilidade, pois um IDS hbrido deve ser instalado em cada
equipamento [RAN 01-1].

263
Uma outra viso para o IDS hbrido existe com relao ao gerenciamento. Alguns
sistemas podem ter um gerenciamento centralizado dos IDS, pois alguns sensores,
baseados em rede, so localizados em diversos segmentos de rede e outros IDS,
baseados em host, so usados em servidores. O gerenciador pode controlar as regras
de ambos os tipos de IDS, formando assim um IDS hbrido.
O uso do IDS hbrido em servidores da DMZ ou dos bolses de segurana passa a
representar grandes benefcios, pois ataques especficos a cada servidor podem ser
identificados com maior preciso. Possveis perdas de pacotes, por exemplo, que
podem acontecer em um NIDS, so minimizadas, pois os pacotes so direcionados
ao prprio equipamento, que faz a anlise do trfego.

8.3.4 Honeypot
Se os sistemas de deteco de intruso podem ser utilizados como fonte de
aprendizado sobre novos ataques, alm de sua funo principal, que a de deteco,
os honeypots podem ensinar muito mais. Um honeypot no contm dados ou aplicaes muito importantes para a organizao, e seu nico propsito de passar-se
por um legtimo equipamento da organizao que configurado para interagir com
um hacker em potencial. Assim, os detalhes da tcnica utilizada e do ataque em si
podem ser capturados e estudados. Eles so tambm conhecidos como sacrificial
lamb, decoy, booby trap, lures ou fly-traps e funcionam como armadilhas para os
hackers [GRA 99][SAN 99-2][SIN 01].
Alm dos benefcios alcanados pelo aprendizado, um outro fato importante
justifica o uso de honeypots. Atualmente, a organizao de grupos de hackers faz
com que as ferramentas, principalmente as novas, no sejam to facilmente encontradas. Ao mesmo tempo, novas classes de ataques encontram-se em constante
evoluo, o que faz com que o aprendizado dessas tcnicas inovadoras seja cada vez
mais importante para uma defesa adequada.
A natureza dos ataques interessante, pois, para o hacker, basta encontrar um
nico ponto de ataque, enquanto os profissionais de segurana devem defender o
ambiente contra todos os riscos conhecidos, e tambm contra os futuros.
A evoluo dos ataques acontece naturalmente, na medida em que mecanismos
de defesa so cada vez mais usados pelas organizaes. Esse contexto, em que a
defesa melhora e novas tcnicas de ataque aparecem para vencer a defesa, faz com
que o cenrio seja parecido com o de uma guerra, onde tticas de guerra passam a
ser usadas cada vez mais pelas organizaes. Enganar o adversrio uma dessas
tcnicas, que o principal objetivo dos honeypots. Eles so baseados em mecanismos do tipo deception, ou seja, eles buscam ludibriar o adversrio, que no sabe
que seus passos esto sendo totalmente monitorados.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 8: Sistema de deteco de intruso

264
Distrair o adversrio, lev-lo a uma armadilha, armar uma emboscada ou enviar
informaes falsas a ele so algumas aes que fazem parte do arsenal de tcnicas
usadas em guerras, e tambm nas redes, usando-se os honeypots.
Assim, os honeypots possuem uma grande importncia em um ambiente onde
tcnicas inovadoras precisam ser detectadas e aprendidas, e tambm para adquirir
informaes primordiais para o aprimoramento da defesa, como a freqncia de
ataques, as tcnicas mais utilizadas e as tendncias de ataques.
Alm de prover informaes sobre o ataque, um honeypot pode mostrar as intenes do ataque e tambm fazer com que o hacker perca tempo em ataques no
efetivos, enquanto a organizao obtm informaes sobre ele e sobre formas de
melhorar a preveno. Isso conseguido porque o honeypot faz com que o hacker
tenha uma percepo errada das medidas de segurana adotadas pela organizao.
Uma caracterstica dos honeypots que no existem falsos positivos como em
IDS tradicionais, pois todo o trfego direcionado ao sistema real. Ataques que
levam muito tempo para serem concretizados tambm podem ser detectados, pois
todas as informaes e aes contra o sistema so registradas. Alm disso, uma
outra vantagem do uso de honeypots que os perigos da organizao escolhida
aleatoriamente para ataques oportunsticos diminuem.
Um projeto interessante que utiliza no apenas um, mas vrios honeypots, o
Honeynet Project [HON 01]. O projeto emprega uma rede com diferentes sistemas,
tais como servidores Solaris e Windows NT, roteadores Cisco, switch Alteon, servidor
DNS Linux, servidor Web Microsoft Internet Information Service (IIS) e banco de
dados Solaris. O projeto visa coletar informaes sobre todas as tentativas de ataques, para aprender com eles. As estatsticas das tentativas so compartilhadas na
Internet e um dos objetivos o de correlacionar informaes de diferentes honeynets,
que so dez em maro de 2003, incluindo uma no Brasil.
Um ponto importante a ser considerado que preciso tomar cuidado para que
o honeypot no seja utilizado como ponto para outros ataques [SIN 01].
Os honeypots podem ser de diferentes tipos,uns mais sofisticados que outros,
que podem exigir maior trabalho para a administrao. A classificao [REC 02]:
* Sacrificial Lambs: so sistemas disponibilizados praticamente com a sua configurao-padro, para serem atacados. O perigo est no fato de ele poder ser
usado como ponto de origem para novos ataques.
* Facades: emulam servios ao invs de disponibilizarem servidores reais para
serem atacados. No podem ser usados como ponto de origem para novos
ataques e tambm provem pouca informao sobre o ataque, pois no existem vulnerabilidades nos servios emulados.

265
* Instrumented Systems: previne que o sistema seja usado para novos ataques e
prov muitas informaes sobre eles, mantendo os atacantes interessados no
sistema.
O posicionamento do honeypot tambm pode influir diretamente no tipo de
anlise pretendido e nos resultados. Algumas estratgias de posicionamento utilizadas so [REC 02]:
* Minefield: como em um campo minado, o honeypot inserido juntamente com
os servidores reais de uma DMZ ou de um bolso de segurana. A deteco
feita partindo-se do princpio que, quando um sistema atacado, ele usado
para descobrir outros sistemas da rede e atac-los tambm. Assim, caso o
honeypot seja atacado, as informaes sobre o ataque j passam a estar disponveis. Quando um sistema real atacado, o honeypot identifica o ataque
assim que o sistema atacado inicie o scanning da rede, para descobrir outros
pontos de ataque. O minefield pode ser visto na Figura 8.6.

Figura 8.6

A estratgia minefield para uso do honeypot.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 8: Sistema de deteco de intruso

266

267

* Shield: o honeypot recebe os trfegos considerados suspeitos, baseado nos


servios. O firewall ou o roteador direciona todo o trfego no condizente com
cada sistema para o honeypot, que passa a receber as informaes do atacante.
Por exemplo, um servidor Web recebe todo o trfego HTTP, porm outros trfegos para o mesmo servidor so redirecionados para o honeypot. O ponto
negativo que no possvel obter informaes sobre ataques HTTP nesse
exemplo, pois o trfego enviado ao servidor real, no ao honeypot. Caso
existam outros sistemas na DMZ, possvel obter as informaes. O shield
pode ser visto na Figura 8.7.

Figura 8.8

A estratgia honeynet para uso do honeypot.

8.4 METODOLOGIAS DE DETECO


As metodologias utilizadas pelos IDS para a deteco de um ataque so o
Knowledge-Based Intrusion Detection, tambm conhecido como Misuse Detection
System, e o Behavior-Based Intrusion Detection, tambm conhecido como Anomaly
Detection System, que sero apresentadas nas prximas sees.
Aps a anlise feita pelo sistema de deteco, os resultados possveis em um
IDS, por exemplo, so:
Figura 8.7

A estratgia shield para uso do honeypot.

Honeynet: tambm conhecido como zoo, o honeynet uma rede de honeypots,


com diferentes sistemas. Essa rede pode misturar facades, sacrifical lambs e
instrumented systems, de acordo com a convenincia, como pode ser visto na
Figura 8.8.

*
*
*
*

Trfego suspeito detectado (comportamento normal).


Trfego suspeito no detectado (falso negativo).
Trfego legtimo que o IDS analisa como sendo suspeito (falso positivo).
Trfego legtimo que o IDS analisa como sendo legtimo (comportamento normal).

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 8: Sistema de deteco de intruso

268
Alguns IDS realizam a anlise baseada em estados, na qual permite-se que o
contexto da deteco do ataque seja verificado, provendo, assim, maior acerto nas
deteces. Isso permite uma anlise com a desfragmentao e o reagrupamento de
pacotes, que so tcnicas muito utilizadas para a evaso de IDS, que ser discutida
na Seo 8.5 [GON 02].

8.4.1 Knowledge-Based Intrusion Detection


A abordagem baseada em algum tipo de conhecimento a mais empregada pelos
IDS, na qual as deteces so realizadas com fundamentos em uma base de dados
com informaes sobre ataques conhecidos. O funcionamento desse tipo de IDS
semelhante ao de um antivrus, no qual o IDS procura por um padro ou uma
assinatura de ataque que esteja nessa base de dados. Um conjunto de assinaturas
representa tipos de conexes e trfegos, que podem indicar um ataque particular
em progresso. Todas as aes que no so reconhecidas pelo conjunto de assinaturas so consideradas aceitveis. A taxa de acertos desse tipo de IDS considerada
boa, porm depende da atualizao constante dessa base de conhecimentos, que,
por sua vez, depende do sistema operacional, da verso, da plataforma e da aplicao [SAN 99-2][TAN 03].
O burglar alarm um modelo que utiliza o Knowledge-Based Intrusion Detection
e faz uma analogia com o uso de um alarme residencial, caso em que o alarme
dispara, de acordo com alguns eventos definidos. Assim como o alarme residencial
pode ser programado de acordo com uma poltica (por exemplo, de que ele ir
disparar se algum entrar pela porta dos fundos ou pela janela), o burglar alarm
tambm funciona de acordo com uma poltica definida, na qual a deteco se baseia
no conhecimento da rede e no que no pode ocorrer nessa rede. A idia de que o
administrador tem o conhecimento da rede e o hacker no, de modo que assim ele
pode definir o momento em que um alarme deve ser disparado [RAN 99].
Esse tipo de metodologia mais rpido e no gera tantos falsos positivos, em
comparao com o Behavior-Based Intrusion Detection (Seo 8.4.2), pois ele entende o ataque que est em andamento. Seu ponto fraco que, assim como os
antivrus com relao aos vrus, ele no consegue detectar ataques no conhecidos,
novos ou que no foram atualizados pelo fabricante do sistema. Alm disso, ele
pode ser enganado por meio de tcnicas como a insero de espaos em branco no
stream de dados do ataque [RAN 99][TAN 03].
Outro ponto negativo o alto recurso de computao exigido, que dificultado
quando se realiza um ataque distribudo coordenado, no qual a anlise em tempo
real de todos os pacotes (em grande nmero) pode ficar comprometida. Solues
como realizar anlises em dados j capturados previamente, como pacotes da rede

269
ou logs, reduz a necessidade de recursos computacionais; porm, a deteco no
feita em tempo real [BRE 98].
O desempenho desse tipo de IDS pode ser considerado um ponto forte, porm ele
decai conforme o conjunto de regras vai crescendo [TAN 03]. A facilidade de entender as regras e a capacidade de customizao tambm so pontos positivos do IDS
baseado em conhecimento.
As assinaturas, como as que detectam um grande nmero de falhas em conexes
TCP em diversas portas, indicando que algum est realizando um scanning na rede,
so divididas em trs tipos [SAN 99-2]:
* Strings: verificam strings que indicam um possvel ataque. Um exemplo de
assinatura de string para UNIX pode ser cat + + > /.rhosts. Para minimizar
o nmero de falsos positivos, necessrio refinar as assinaturas de strings,
utilizando assinaturas compostas, como, por exemplo, as de ataques na Web,
que misturam cgi-bin, aglimpse e IFS.
* Portas: monitoram tentativas de conexes nas portas.
* Cabealho: procuram por combinaes perigosas ou sem lgica, nos cabealhos dos pacotes. Um exemplo o WinNuke, que envia um pacote para a porta
NetBIOS (139) e liga os bits Urgent e Out of Band, o que resulta no blue screen
of death, em sistemas Windows. Outro exemplo a assinatura que identifica
pacotes de TCP que tm os flags SYN e FIN ligados, o que significa que o
cliente deseja iniciar e finalizar a conexo ao mesmo tempo, o que no pode
existir em uma situao normal, sendo, portanto, um claro indcio de tentativa de ataque.
Um exemplo de assinatura utilizada por um IDS a do Code Red. O IDS verifica
se as informaes que esto sendo verificadas fazem parte dessa assinatura, e, em
caso positivo, a resposta definida ser enviada ao administrador:
/
default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%
u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531
b%u53ff%u0078%u0000%u00=a

Um outro exemplo de assinatura interessante a do NIMDA, que pode ser visto


a seguir:
GET /scripts/root.exe?/c+dir
GET /MSADC/root.exe?/c+dir

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 8: Sistema de deteco de intruso

270
GET /c/winnt/system32/cmd.exe?/c+dir
GET /d/winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /msadc/..%5c../..%5c../..%5c/..\xc1\x1c../..\xc1\x1c../
..\xc1\x1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc1\x1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0/../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0\xaf../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc1\x9c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%2f../winnt/system32/cmd.exe?/c+dir

Uma considerao importante a ser feita quanto s assinaturas de ataques que


devem ser atualizados, como o que acontece com os antivrus, que, em um IDS,
existe a possibilidade de o administrador criar sua prpria assinatura. Com isso, ele
pode manter um conjunto de regras personalizadas e refinadas para o seu ambiente,
o que pode diminuir tambm o nmero de falsos positivos. Um exemplo da criao
de uma assinatura pode ser visto a seguir, no qual o filtro para o Nimda foi criado
para o IDS Snort:
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS
80 \
(msg:WEB-IIS multiple decode attempt; \
flags:A+; uricontent:%5c; uricontent:..;
\
reference:cve,CAN-2001-0333; \
classtype:attempted-user; sid:970; rev:2;)
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS
80 \
(msg:WEB-IIS msdac access; \
flags:A+; uricontent:/msdac/; nocase; \
classtype:bad-unknown; sid:1285; rev:1;)
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS
80 \
(msg:WEB-IIS _mem_bin access; \
flags:A+; uricontent:/_mem_bin/; nocase; \
classtype:bad-unknown; sid:1286; rev:1;)
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS
80 \
(msg:WEB-IIS scripts access; \
flags:A+; uricontent:/scripts/; nocase; \
classtype:bad-unknown; sid:1287; rev:1;)
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS
80 \
(msg:WEB-IIS cmd.exe access; \
flags: A+; content:cmd.exe; nocase; \
classtype:attempted-user; sid:1002; rev:1;)
alert udp any any -> any 69 \
(msg:TFTP GET Admin.dll; \
content: |41 64 6D 69 6E 2E 64 6C 6C 00 6F

271
63 74 65 74|; \
classtype:successful-admin; sid:1289; rev:1;
\
reference:url,www.cert.org/advisories/CA-2001-26.html;)
alert tcp $EXTERNAL_NET 80 -> $HOME_NET any \
(msg:WEB-MISC readme.eml autoload attempt;
\
flags:A+;
content:window.open(\readme.eml\; nocase; \
classtype:attempted-user; sid:1290; rev:2; \
reference:url,www.cert.org/advisories/CA-2001-26.html;)
alert tcp $EXTERNAL_NET 80 -> $HOME_NET any \
(msg:WEB-MISC readme.eml attempt; \
flags:A+; uricontent:readme.eml; nocase; \
classtype:attempted-user; sid:1284; rev:3; \
reference:url,www.cert.org/advisories/CA-2001-26.html;)
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS
80 \
(msg:WEB-FRONTPAGE /_vti_bin/ access;flags:
A+; \
uricontent:/_vti_bin/; nocase;
classtype:bad-unknown; \
sid:1288; rev:1;)

Um outro exemplo que pode ser visto o do MS-SQL Worm, tambm conhecido
como Saphire, SQL-Hell ou MS-SQL Slammer, que explorou vulnerabilidades j conhecidas do SQL Server, que funciona na porta TCP 1434. O ataque tinha caractersticas que podem ser vistas a seguir:
0: 0003 ba0b e48d 0050 7343 a257 0800 4500 .......PsC.W..E.
16: 0194 00f2 0000 6d11 d101 da39 813a c331 ......m....9.:.1
32: 42d1 10c8 059a 0180 aa1d 0401 0101 0101 B...............
48: 0101 0101 0101 0101 0101 0101 0101 0101 ................
64: 0101 0101 0101 0101 0101 0101 0101 0101 ................
80: 0101 0101 0101 0101 0101 0101 0101 0101 ................
96: 0101 0101 0101 0101 0101 0101 0101 0101 ................
112: 0101 0101 0101 0101 0101 0101 0101 0101 ................
128: 0101 0101 0101 0101 0101 01dc c9b0 42eb ..............B.
144: 0e01 0101 0101 0101 70ae 4201 70ae 4290 ........p.B.p.B.
160: 9090 9090 9090 9068 dcc9 b042 b801 0101 .......h...B....
176: 0131 c9b1 1850 e2fd 3501 0101 0550 89e5 .1...P.5....P..
192: 5168 2e64 6c6c 6865 6c33 3268 6b65 726e Qh.dllhel32hkern
208: 5168 6f75 6e74 6869 636b 4368 4765 7454 QhounthickChGetT
224: 66b9 6c6c 5168 3332 2e64 6877 7332 5f66 f.llQh32.dhws2_f
240: b965 7451 6873 6f63 6b66 b974 6f51 6873 .etQhsockf.toQhs
256: 656e 64be 1810 ae42 8d45 d450 ff16 508d end....B.E.P..P.
272: 45e0 508d 45f0 50ff 1650 be10 10ae 428b E.P.E.P..P....B.
288: 1e8b 033d 558b ec51 7405 be1c 10ae 42ff ...=U..Qt.....B.
304: 16ff d031 c951 5150 81f1 0301 049b 81f1 ...1.QQP........
320: 0101 0101 518d 45cc 508b 45c0 50ff 166a ....Q.E.P.E.P..j
336: 116a 026a 02ff d050 8d45 c450 8b45 c050 .j.j...P.E.P.E.P
352: ff16 89c6 09db 81f3 3c61 d9ff 8b45 b48d ........<a...E..
368: 0c40 8d14 88c1 e204 01c2 c1e2 0829 c28d .@...........)..
384: 0490 01d8 8945 b46a 108d 45b0 5031 c951 .....E.j..E.P1.Q
400: 6681 f178 0151 8d45 0350 8b45 ac50 ffd6 f..x.Q.E.P.E.P..

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 8: Sistema de deteco de intruso

272

273

416: ebca ..

J o filtro do Snort, desenvolvido com base nas caractersticas anteriores, pode


ser desenvolvido de diversas formas, tais como:
# Regra SNORT por Chris Brenton, apenas para exploit especfico:
alert udp $EXTERNAL_NET any -> $HOME_NET 1434 (msg:SQL Sapphire
Worm;
dsize:>300; content: |726e 5168 6f75 6e74 6869 636b 4368 4765|;
offset: 150; depth: 75;)
# Regra SNORT

de Snort ML:

alert udp $EXTERNAL_NET any -> $HOME_NET 1434 (msg: SQLSLAMMER sig
1; content: dllhel32hkernQhounthickChGetTf; classtype:badunknown;)
# Regra SNORT de Stephane Nasdrovisky, SANS ISC:
alert udp $EXTERNAL_NET any -> $HOME_NET
2; content:dllhel32hkern; offset:150;
unknown;)
alert udp $EXTERNAL_NET any -> $HOME_NET
3; content:|01 01 01 01 01 01 01 01 01
depth:10; classtype:bad-unknow
n;)

1434 (msg: SQLSLAMMER sig


depth:100; classtype:bad1434 (msg: SQLSLAMMER sig
01 01 01 01|; offset:44;

# Regra SNORT de Pedro Bueno, SANS ISC:


alert udp $EXTERNAL_NET any -> $HOME_NET 1434 (msg:SQLSLAMMER sig
4"; content:|04 01 01 01 01 01 01 01|; classtype:bad-unknown;)

Um dos grandes problemas que existem com esse tipo de IDS com relao
evaso. Um exemplo a dificuldade em identificar ataques no nvel de aplicao que
usam o Unicode. As tcnicas de evaso de IDS so discutidas na Seo 8.5 [TAN 03].

8.4.2 Behavior-Based Intrusion Detection


O Behavior-Based Intrusion Detection assume que as intruses podem ser detectadas por meio de desvios de comportamento dos usurios ou dos sistemas. O modelo de normalidade definido de diversas maneiras (devendo-se tomar cuidado para
que o padro de normalidade no seja definido quando o recurso est sendo atacado) e comparado com a atividade em andamento. Qualquer comportamento suspeito, diferente do padro, considerado intrusivo [SAN 99-2][HO 01].
A deciso tomada por meio de uma anlise estatstica ou heurstica, a fim de
encontrar possveis mudanas de comportamento, tais como o sbito aumento de
trfego, utilizao da CPU, atividade de disco, logon de usurios, acesso a discos
etc. [SHA 01][GON 02].

A abordagem utilizada de que tudo o que no foi visto anteriormente perigoso e, portanto, deve ser evitado. Assim, todos os ataques podem ser capturados,
mesmo os que no tiverem assinaturas definidas, incluindo os ataques novos. Alm
disso, essa metodologia independente de sistema operacional ou plataforma.
O lado negativo dessa abordagem que o IDS pode gerar falsos negativos (quando o ataque no causa mudanas significativas na medio do trfego) e um grande
nmero de falsos positivos (bug no sistema de monitoramento, erro no modo de
anlise da medio ou falta de certeza da verificao de todo o trfego normal)
[BRE 98]. Para minimizar esses problemas, diversas pesquisas esto em andamento,
principalmente com a utilizao de redes neurais, lgica fuzzy e inteligncia artificial [GRA 99].
Alguns dos projetos que utilizam essa abordagem so Next-Generation Intrusion
Detection Expert System (IDES) [HTTP 03] e Event Monitoring Enabling Responses to
Anomalous Live (Emerald) [HTTP 04].
Um tipo de IDS com base em comportamento o baseado em anomalia de protocolo (Protocol Anomaly Detection-Based) ou anlise de protocolo. Esse tipo de IDS,
faz a anlise do fluxo de pacotes para identificar irregularidades e inconsistncias
com relao aos padres especficos de cada protocolo. Com o objetivo de identificar
trfego que viola especificaes-padro, como as Request for Comments (RFC), atividades suspeitas, como um ataque de buffer overflow, um ataque FTP Bounce Attack
ou um ataque novo, podem ser identificadas com a anlise do protocolo. Caso a
especificao do protocolo seja violada, o IDS emite o alerta. Os sistemas baseados
em anomalia nos protocolos, porm, no so capazes de identificar ataques que no
violam protocolos [NET 02][TAN 03][DAS 02].
Um exemplo de uso de IDS baseado em anomalia de protocolo pode ser visto na
deteco do ataque do Nimda [DAS 02]. O vrus usou uma srie de variaes que
tentavam driblar as assinaturas dos IDS, tirando proveito do Extended Unicode
Directory Traversal Vulnerability [CER 00], que abusava da converso de caracteres
UTF-8. Duas das 16 variaes do Nimda eram [DAS 02]:
GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir

No caso do Nimda, a deteco por anomalia do protocolo feita baseada no


protocolo HTTP em vez de assinaturas, o que facilita a deteco, pois o HTTP deve
implementar corretamente o padro Unicode, que no permite mltiplas representaes possveis dos code points usando o UTF-8 (Seo 8.5). Assim, um IDS baseado
em anomalia de protocolo poderia detectar o Nimda antes mesmo de sua disseminao, cobrindo todas as suas variaes.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 8: Sistema de deteco de intruso

274
As principais vantagens do IDS baseado na anlise de protocolos so [TAN
03][DAS 02]:
* No necessrio atualizar assinaturas.
* Possibilidade de identificar ataques novos.
* Emitem poucos falsos positivos.

275
A tcnica de insero pode ser usada para driblar os sistemas baseados em assinaturas, que normalmente usam um conjunto de caracteres para detectar um ataque. Enviando um pacote que ser recebido somente pelo IDS, uma assinatura baseada no conjunto de caracteres ATTACK, por exemplo, no detectar um ataque que
use a tcnica, pois o IDS interpretar ATXTACK e o sistema receber ATTACK corretamente. Isso pode ser visto na Figura 8.9 [PTA 98].

As principais desvantagens do IDS baseado na anlise de protocolos so [TAN 03]:


* Desempenho.
* Dificuldade em escrever, entender e adicionar as regras.
* No identifica ataques que so feitos de acordo com o protocolo, sem violar o
protocolo.
* Emite alertas, porm no prov muitas informaes sobre o ataque.

8.5 INSERO E EVASO DE IDS


Os NIDS que funcionam no modo passivo, baseados na anlise de todo o trfego
do segmento de rede e na procura por padres de atividades suspeitas, possuem
alguns problemas, como a falta de informaes suficientes para uma concluso do
que est acontecendo nos sistemas que esto sendo atacados [PTA 98]. Um outro
problema existente que, pelo fato de funcionar de modo passivo, a indisponibilidade
do IDS no significa a indisponibilidade dos sistemas da rede, o que possibilita a
execuo de ataques sem que sejam detectados [PTA 98].
Algumas classes de ataques que exploram o problema de atuao em modo passivo foram definidas [PTA 98]:

Figura 8.9

Tcnica de insero, na qual o IDS aceita trfego que o sistema rejeita.

Na tcnica de evaso, o sistema destinatrio aceita os pacotes que o IDS rejeita, fazendo com que o IDS analise um trfego diferente do sistema. Por exemplo,
uma assinatura que detecta o conjunto de caracteres ATTACK no detectar o
ataque, pois o IDS estar analisando o conjunto ATTACK, como pode ser visto na
Figura 8.10.

* Insero: envio de pacotes invlidos rede, que o IDS aceita, mas o sistema
destinatrio no.
* Evaso: explora inconsistncias entre o IDS e o sistema destinatrio, com o
IDS no analisando pacotes que chegam ao destinatrio.
* Negao de servio (Denial-of-Service DoS).
Essas tcnicas tm como objetivo fazer com que o IDS no cumpra o seu papel,
que o de prover informaes de segurana acuradas sobre eventos suspeitos na
rede e detectar atividades suspeitas. Fazer o IDS responder com falsos negativos
(no detectar ataques reais) ou falsos positivos (achar que comportamentos normais so ataques) faz parte dos objetivos dessas tcnicas, bem como tornar o IDS
indisponvel.

Figura 8.10

Tcnica de evaso, na qual o IDS rejeita trfego que o sistema aceita.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 8: Sistema de deteco de intruso

276
As tcnicas de insero e evaso exploram vrias condies, em diferentes nveis, que so caractersticos de determinados sistemas. Por exemplo, um determinado sistema operacional pode rejeitar alguns pacotes que outros sistemas operacionais
normalmente aceitariam. Esse comportamento pode ser usado para o uso de insero no IDS. Por exemplo, podem-se usar campos do cabealho IP com erros, como os
campos version e checksum, que no so analisados normalmente pelos IDS, porm, normalmente so rejeitados pelos sistemas destinatrios [PTA 98]. O campo
Time to Live (TTL) tambm pode ser explorado, caso o IDS esteja em um segmento
de rede diferente do sistema destinatrio. Nesse caso, o IDS recebe o pacote, mas,
com o TTL curto, o pacote descartado antes de chegar ao destinatrio no outro
segmento de rede. Outro problema semelhante ocorre com o campo dont fragment.
Caso a rede do IDS aceite pacotes maiores do que a rede do sistema, e o bit dont
frament estiver ligado, um pacote maior recebido pelo IDS; porm, no pelo
sistema destinatrio, que descarta o pacote [PTA 98].
Outro mtodo de insero direcionar o trfego para o endereo MAC do IDS,
caso ele seja conhecido e esteja na mesma rede [PTA 98].
Uma tcnica muito usada tambm a explorao da fragmentao de pacotes IP.
O problema est no reagrupamento dos fragmentos, no qual alguns IDS no conseguem reagrupar fragmentos que chegam fora de ordem. Essa caracterstica pode ser
explorada para resultar na negao de servio, quando o IDS vai armazenando todos
os fragmentos para o reagrupamento, mas no existe o fragmento que completa o
pacote. Com isso, a memria fica cheia, podendo travar o sistema [PTA 98].
Outro problema que explorado o overlapping dos fragmentos, no qual eles
possuem pores de dados que j foram inseridas em outros fragmentos. Normalmente, caso isso ocorra, os dados antigos so sobrescritos pelos dados do novo
fragmento, mas o comportamento do IDS pode ser diferente, causando inconsistncias entre ele e o sistema que recebe os fragmentos [PTA 98].
Problemas equivalentes podem existir tambm no TCP, quando o sistema trata
os pacotes TCP recebidos de uma forma e o IDS de outra [PTA 98]. Isso envolve
campos de cabealho malformados, como o CODE, nos quais certas combinaes de
bits podem ser invlidas, rejeitadas por alguns sistemas e aceitas pelo IDS ou viceversa. Outros problemas envolvem a anlise de dados em pacotes SYN, o checksum,
e as opes do TCP [PTA 98]. Muitos problemas envolvem o controle das conexes
TCP, baseadas no handshake em trs vias (SYN, SYN-ACK, ACK), que envolve tambm o trmino do monitoramento das conexes, que podem ser baseadas em pacotes FYN, RST ou timeouts. Outros problemas esto relacionados ao reagrupamento
de pacotes TCP e ao overlapping de segmentos TCP [PTA 98].
A reconstruo (reassembly) de pacotes com os segmentos que, dependendo das
condies da rede, fazem com que alguns segmentos sejam retransmitidos, tambm

277
constitui oportunidade de evaso de IDS. Caso o IDS, que funciona em modo passivo, utilize um segmento que a vtima no ir usar ou no utilize um segmento que
a vtima ir usar, a evaso pode ocorrer. Assim, uma tcnica de evaso criar
segmentos TCP que fazem com que o IDS no seja capaz de saber se a vtima ir ou
no receber esses segmentos. Caso a vtima receba o segmento, o IDS no tem
condies de determinar qual poro dele ser usada efetivamente. Esses segmentos TCP so chamados de segmentos TCP ambguos (ambiguous TCP segments) [NET
02]. A criao dos segmentos TCP ambguos envolve o uso de checksums TCP invlidos ou dados fora do tamanho da janela [NET 02].
Ataques de negao de servio ao IDS envolvem a exausto de recursos, como do
processador, da memria, do espao em disco ou da largura de banda. Outros ataques envolvem a explorao de recursos reativos dos sistemas de deteco de intruso.
Existem tambm as tcnicas de evaso de IDS que exploram fraquezas nos mecanismos de verificao de assinaturas de ataques. Por exemplo, a string /etc/passwd,
usada como padro de assinatura, pode ter diversas outras strings equivalentes que
usam a codificao, tais como [TIM 02][PUP 99]:
GET /etc/passwd
GET /etc//\//passwd
/etc/rc.d/.././\passwd
badguy@host$ perl e
$foo=pack(C11,47,101,116,99,47,112,97,115,115,119,100);
@bam=`/bin/cat/ $foo`; print@bam\n;
GET %65%74%63/%70%61%73%73%77%64
GET %65%74%63/%70a%73%73%77d

Outros problemas de evaso esto relacionados com o Unicode, que gerenciado


pelo Unicode Consortium [HAK 01]. O Unicode prov uma nica identificao para
cada caractere em todas as linguagens, para facilitar uma representao uniforme
em computadores. Os caracteres Unicode so chamados de code points e possuem a
representao U+xxxw, onde xxxx o nmero hexadecimal [HAC 01].
O UTF-8 o formato de transformao do Unicode, que faz a codificao para
code points e compatvel com o formato ASCII. Se tem a essa compatibilidade por
meio da representao dos sete bits padro do ASCII (U+000 a U+007F) como sendo
um nico byte, com outros caracteres sendo representados por seqncias de mais
bytes [HAC 01].
Com o conjunto de caracteres Unicode, possvel que um nico caractere tenha
mltiplas representaes, podendo-se ainda modificar o code point anterior, sendo,

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS


278
assim, muito complexo. O problema que o conjunto de code points muda sempre
que a representao UTF-8 aumenta em um byte. Assim, quando o UTF-8 possui
representaes de dois bytes, ele repete os code points com um byte de representao. J quando o UTF-8 possui representao de trs bytes, ele repete os code points
para as representaes de um e dois bytes [HAC 01].
Alm disso, algumas aplicaes que suportam o UTF-8 podem aceitar todos os
valores e realizar as transformaes para cada code point. Por exemplo, o caractere
A pode ser representado por U+0041, U+0100, U+0102, U+0104, U+01CD, U+01DE
e U+8721, e no Internet Information Service (IIS) existem 30 representaes diferentes para o caractere. O grande nmero de variaes pode ser visto pelas 34
representaes diferentes existentes para o caractere E, 36 para I, 39 para O e
58 para U, de forma que a string AEIOU pode ter 83. 060. 640 diferentes representaes [HAC 01].
O problema do Unicode foi explorado primeiramente no IIS, usando-se a mudana de diretrios. Utilisando-se uma URL como http://vitima/../../winnt/system32/
cmd.exe, o IIS, corretamente, no aceita os caracteres ../... Porm, com a representao UTF-8, ..%C1%9C.., o ataque torna-se possvel, pois o IIS no realizava a
verificao nesses cdigos [HAK 01].
O Unicode Consortium modificou a especificao do Unicode para eliminar as
mltiplas representaes possveis dos code points usando o UTF-8 [HAC 01][UNI 03].

8.6 INTRUSION PREVENTION SYSTEM (IPS)


Foi visto na seo anterior que sistemas de deteco de intruso que funcionam
como um sniffer, capturando e analisando a comunicao do segmento de rede,
possuem alguns problemas, como o fluxo de pacotes fragmentados, no confiveis e
que chegam fora de ordem. Algumas tcnicas que podem ser utilizadas para resolver
esses problemas so [NET 02]:
* IP de-fragmentation: combinar os fragmentos em pacotes.
* TCP reassembly: recolocar os segmentos TCP na ordem inicial, eliminando dados duplicados e em overlapping.
* Flow tracking: identificar os fluxos e associ-los com uma sesso nica de
comunicao.
* Normalizao: interpretao e manipulao de representaes codificadas e
caracteres especiais na reconstruo das mensagens.
Assim, os sistemas que utilizam essas tcnicas so baseados em estados, pois
tomam decises levando em considerao o estado dos pacotes a serem analisados.

Captulo 8: Sistema de deteco de intruso


279
O funcionamento do NIDS em modo passivo, apenas escutando o trfego, resulta
tambm em outros inconvenientes, pois, atuando de modo passivo, o sistema no
pode controlar o trfego, ignorando, modificando, atrasando ou injetando novos
pacotes na rede capazes de defender o ambiente. Isso faz com que a operao inline
seja importante para eliminar a maioria dos problemas de evaso existentes em IDS
baseado em rede [NET 02].
A operao inline difere da operao passiva na forma de captura do trfego. O
IDS que opera em modo passivo captura o trfego do segmento de rede, enquanto o
IDS que opera em modo inline possui um posicionamento como a de um firewall,
onde todo o trfego da rede passa pelo sistema. Essa caracterstica torna o IDS
inline capaz no apenas de detectar os ataques, mas tambm de preveni-los, pois os
pacotes do ataque no chegam aos servidores. Esses sistemas que operam em modo
inline so chamados de sistemas de preveno de intruso (Intrusion Prevention
System IPS). O IDS que opera em modo inline pode ser caracterizado como um IPS
baseado em rede, pois existem os IPS baseados em host, que sero vistos em seguida.
A diferena entre os dois modos de operao (passivo e inline) torna-se clara,
pois a operao em modo passivo faz com que o IDS seja capaz de detectar ataques,
porm no capaz de prevenir os ataques. Os IDS passivos, na realidade, possuem
alguma forma de reao, normalmente com o envio de mensagens TCP reset ou
enviando mensagens de reconfigurao de regras de firewall ou de roteadores [NET
02].
Os IDS inline possuem a capacidade de enviar mensagens de drop das conexes,
o que faz com que as conexes no cheguem ao seu destino, pois elas so silenciosamente perdidas, como acontece com os firewalls. O uso de reset permite que os
atacantes obtenham informaes na mensagem que podem ser relevantes para os
ataques, como o nmero de hosts entre ele e o servidor, via anlise do campo Time
to Live (TTL) do pacote TCP.
Alm disso, o pacote reset recebido pode fazer com que o atacante perceba a
existncia de um IDS na rede da organizao, pois a conexo encerrada, com o
atacante recebendo essa mensagem, e no perdida. Como o atacante recebe essa
mensagem de reset, existe ainda a possibilidade de que ele altere sua pilha de
protocolos para que esses pacotes no sejam recebidos, de modo que a conexo
continua ativa.
Outro problema da utilizao de pacotes reset que alguns ataques baseados
em um nico pacote no so afetados. Nesse caso, quando o pacote de trmino da
conexo enviado, o ataque j aconteceu. Mesmo em ataques que usam mais de um
pacote, pode existir o atraso no envio do reset, o que pode fazer com que esse
pacote chegue aps a realizao do ataque. Alm disso, problemas referentes ao

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 8: Sistema de deteco de intruso

280
nmero de seqncia fazem com que uma condio de corrida possa existir, resultando em uma grande quantidade de pacotes reset, que pode degradar o desempenho da rede [NET 02].
Assim, os IDS que operam em modo inline, no qual todos os pacotes passam pelo
sistema, so tambm conhecidos como IPS baseado em rede. Outro tipo de IPS,
baseado em host, pode operar de acordo com as seguintes abordagens [SEQ 02]:
* Abordagem heurstica, com deteco via redes neurais.
* Abordagem baseada em sandbox, no qual uma rea do sistema tem o acesso
restringido, alarmando quando uma ao viola os limites dessa rea.
* Abordagem baseada no kernel, onde o acesso ao kernel controlado pelo IDS,
prevenindo a execuo de chamadas maliciosas ao sistema.
Um IPS com abordagem baseada no kernel pode controlar os acessos ao sistema
de arquivo, aos arquivos de configurao e aos registros do sistema. Alm disso, ele
pode controlar os pacotes de rede e tambm o espao de execuo, minimizando os
problemas de ataques de buffer overflow [SEQ 02].
Os sistemas de preveno de intruso baseados em host funcionam integrados ao
kernel do host, inspecionando as chamadas ao sistema de acordo com um conjunto de
regras definidas, rejeitando problemas de buffer overflow, system calls ilegtimos,
mudanas em registros e vrus, worms, cavalos de Tria, rootkits e backdoors. Em vez
de assinaturas, eles identificam comportamentos suspeitos [BOB 02].
As premissas dos sistemas de preveno de intruso so [BOB 02]:
* Todos os comandos devem passar do kernel para o sistema de preveno, antes
de serem executados.
* Todos os comandos possuem objetivos similares: privilgios de administrador,
modificao de registros ou de arquivos do sistema, execuo de buffer overflow
etc.
Dessa maneira, as aplicaes so redirecionadas para o sistema de preveno,
que faz a verificao de todas as chamadas. Elas chegam ao kernel do sistema apenas aps passar pelas checagens feitas pelo sistema [BOB 02].

8.7 CONFIGURAO DO IDS


Com relao ao IDS baseado em rede, os falsos positivos so os maiores problemas. A falta de um refinamento de regras resulta em um grande nmero de alertas

281
falsos, o que acaba tornando o IDS mais um problema do que uma soluo. Por
exemplo, muitas organizaes recebem alertas de ataques ao servidor Web Apache,
pois o servidor Internet Information Services (IIS) o usado. O nmero de alarmes
falsos faz com que os administradores de segurana muitas vezes passem a achar
que os demais alertas tambm so falsos, e deixam passar um ataque verdadeiro.
Isso faz com que algumas configuraes do IDS sejam analisadas com mais cuidado. Por exemplo, uma configurao que termina as conexes, caso uma assinatura seja vlida, pode causar interrupes indesejveis no ambiente, caso a interpretao seja incorreta. Por exemplo, um sistema de backup que tem suas conexes
finalizadas pelo IDS, por serem interpretadas como ataques, pode ser muito comum
e dispendioso.
J o uso de bloqueio automtico de firewall pode resultar em ataques de negao de servio, caso o atacante use o IP Spoofing para a realizao dos ataques.
Assim, sistemas desse tipo devem ser usados como parte da estratgia de segurana das organizaes e como mais um nvel de segurana, no como uma soluo
isolada.

8.8. PADRES
A padronizao do IDS um processo que ainda est em andamento e tem como
objetivo criar formatos e procedimentos para o compartilhamento de informaes
entre os sistemas. Um importante trabalho est sendo desenvolvido pela Internet
Engineering Task Force (IETF), que est especificando o Intrusion Detection Exchange
Format (IDWG) [IET 01] e tem como objetivos:
* Definir formatos de dados e procedimentos para a troca de formatos de respostas.
* Definir formatos de dados e procedimentos para o compartilhamento de informaes de interesse para diversos sistemas de deteco de intruses.
* Definir mtodos de gerenciamento dos sistemas que necessitam interagir entre si.
Os resultados esperados so:
* Criao de um documento que descreva as exigncias funcionais de alto nvel
para a comunicao entre IDS e as exigncias para a comunicao entre IDS e
sistemas de gerenciamento.
* Especificao de uma linguagem comum, que descreva os formatos de dados
que satisfazem s exigncias.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 8: Sistema de deteco de intruso

282
* Uma framework (estrutura) que identifique os melhores protocolos utilizados
para a comunicao entre IDS, descrevendo como os formatos de dados se
relacionam com eles.
Alguns Internet drafts j criados so:
* Intrusion Detection Exchange Protocol (IDXP): protocolo para a troca de mensagens entre os sistemas de deteco de intruses.
* Formato XML para a troca de mensagens de deteco de intruses.
* Tnel que passa pelo firewall, utilizado para o gerenciamento do IDS.

8.9 LOCALIZAO DO IDS NA REDE


O IDS pode ser utilizado em diversas localidades da rede da empresa, pois cada
posio significa um tipo de proteo especfico. Algumas das posies em que o
Network-Based Intrusion Detection System (NIDS) pode ser utilizado so observadas
na Figura 8.11. Para aumentar o nvel de segurana, um Host-Based Intrusion Detection
System (HIDS) pode ser utilizado em cada um dos servidores ou at mesmo em um
IDS hbrido (Hybrid IDS).

283
* IDS 1: detecta todas as tentativas de ataque contra a rede da organizao, at
mesmo as tentativas que no teriam nenhum efeito, como os ataques a servidores Web inexistentes. Essa localizao oferece uma rica fonte de informaes sobre os tipos de tentativas de ataques que a organizao estaria sofrendo.
* IDS 2: funcionando no prprio firewall, o IDS pode detectar tentativas de
ataque contra o firewall.
* IDS 3: detecta tentativas de ataque contra servidores localizados na DMZ, que
so capazes de passar pelo firewall. Assim, ataques contra servios legtimos
situados na DMZ podem ser detectados por esse IDS.
* IDS 4: detecta tentativas de ataque contra recursos internos que passaram
pelo firewall e que podem acontecer via VPN.
* IDS 5: detecta tentativas de ataque contra servidores localizados na DMZ 2,
que passaram pelo firewall, pela VPN ou por algum outro servio da DMZ 1,
como o servidor Web. Isso ocorre porque os recursos da DMZ 2 no podem ser
acessados diretamente pelo usurio, a no ser via algum servidor da DMZ 1 ou
via VPN. Discusses sobre a DMZ 1 e a DMZ 2 so mostardas no Captulo 12.
* IDS 6: detecta tentativas de ataques internos na organizao. Esse
posicionamento passa a ser importante em ambientes cooperativos, devido ao
aumento dos bolses de segurana caractersticos. O provimento de acesso
cada vez maior a recursos internos faz com que a vigilncia interna seja um
fator de sucesso para o ambiente cooperativo.
Uma considerao importante com relao ao posicionamento do IDS que,
quando este fica antes do firewall, como o IDS 1, a deteco considerada simultnea aos ataques (deteco de ataques). J quando o IDS fica depois do firewall,
como os IDSs 3, 4, 5 e 6, a deteco passa a ser de intruses, uma vez que o hacker
j passou pelo firewall (deteco de intruses) [NOR 01], ou de erros cometidos por
usurios internos (misuse) [BEC 99].

8.10 DESEMPENHO
As questes de desempenho de IDS esto sendo resolvidas aos poucos, porm
alguns problemas ainda persistem, como foi reportado pela Network World [NEW
02]. Em um teste com oito produtos, os resultados demonstraram travamentos,
deixaram de analisar alguns pacotes (causando falsos negativos) e mostraram a
dificuldade de refinamento das regras para minimizar alarmes falsos [NEW 02].
Figura 8.11 O posicionamento do IDS na arquitetura de segurana.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS


284

8.11 FORENSE

Captulo 8: Sistema de deteco de intruso


285

COMPUTACIONAL

A importncia da forense computacional na investigao de crimes na Internet


vem aumentando conforme o nmero e o grau de sofisticao dos ataques tambm
aumenta. A forense computacional uma cincia multidisciplinar que tem como
objetivo o estudo de tcnicas para aquisio, preservao, recuperao e anlise de
dados em formato eletrnico e armazenados em algum tipo de mdia.
Ela importante principalmente em casos nos quais um sistema sofre algum
incidente de segurana, aps passar pelas defesas implementadas, por exemplo,
pelo firewall, IDS e autenticao. Casos de fraudes financeiras, suspeitas de
pedofilia, roubo de informaes confidenciais ou acessos no autorizados a sistemas crticos podem ser analisados sob a tica da forense computacional, na busca
de vestgios sobre o ataque que indiquem culpados para um possvel processo
judicial.
Outro fator importante que refora o desenvolvimento acentuado dessa cincia
a necessidade das instituies legais de atuarem no combate aos crimes eletrnicos.
Sabe-se que a eliminao de fronteiras oferecida pela Internet gerou um grande
problema para as instituies de combate ao crime, uma vez que facilitou em muito
a ocorrncia de atos ilcitos na Web.
Contudo, por se tratar de uma necessidade muito recente, ainda no se pode
contar com padres internacionais para o tratamento desse tipo de evidncia. Dessa
maneira, o valor jurdico de uma prova eletrnica manipulada sem padres devidamente preestabelecidos pode ser contestvel. Mundialmente, h esforos no sentido
de padronizar a anlise forense computacional, bem como resolver algumas implicaes legais ligadas sua prtica. Assim como no caso da cincia forense tradicional, a
manipulao de evidncias deve seguir mtodos e padres rigorosos para evitar ao
mximo sua alterao e, portanto, uma possvel contestao na justia.
No mbito computacional, as evidncias referem-se sempre presena de informao relevante, que pode estar armazenada de forma organizada, como arquivos,
ou espalhada em meio no voltil, tipicamente magntico. A informao tambm
pode ser trocada entre duas pessoas e, neste caso, as evidncias so consideradas de
interesse legal.
Quase todas as aes realizadas no cenrio virtual resultam em modificaes em
arquivos, programas, documentos ou registros histricos de eventos nos computadores. Para este ltimo caso, necessrio que os registros de eventos (logs) de
interesse tenham sido configurados para operar nas plataformas computacionais
envolvidas. A dificuldade est no fato de que tais registros so normalmente limitados, e muitas vezes no so nem mesmo habilitados. Os sistemas de deteco de
intruso, tanto os baseados em host quanto os baseados em rede, so componentes

importantes nesse contexto, ao prover registros relevantes que podem ser teis em
uma investigao.
Os exames periciais a serem realizados referem-se recuperao de dados de
computadores envolvidos em atividades criminosas, cujos danos se refletem diretamente no mbito computacional, tais como invaso de propriedade, obteno ilcita
de dados privados, danos propriedade ou servios computacionais e at o uso
ilegal de software. Esses exames tambm esto relacionados a crimes do mundo real
que se utilizam dos meios virtuais para atingir seus objetivos, tais como pedofilia,
fraudes diversas, trfico de drogas, trfego de informaes camuflado ou opaco
entre agentes criminais etc.
Um fato importante a ser considerado que, com a evoluo da tecnologia e de
seu uso, cada vez mais os crimes usam algum componente computacional, que pode
servir como um valioso provedor de informaes para as percias criminais.
Alm disso, o atrativo que os recursos computacionais oferecem s prticas
criminais facilmente explicado pela facilidade, rapidez e economia com que certas
aes podem ser executadas, quando comparadas com suas equivalentes no mundo
real. Por isso, os procedimentos periciais devem ser vlidos e confiveis, devendo
ser aceitos pela comunidade cientfica relevante. Tambm tm de conter robustez
tecnolgica: toda informao probante deve ser descoberta. Por ltimo, devem ser
legalmente defensveis, ou seja, garantir que nada na evidncia criminal possa ser
alterado e que nenhum dado possa ser adicionado ou removido do original.
Hoje, a cincia forense tem produzido dados vlidos e confiveis, mas a legislao processual brasileira ainda no prev sua prtica. Mesmo assim, provas periciais
tm prevalecido no conjunto probante. Certamente, um fator determinante para
isso a fundamentao cientfica que deve ser demonstrada nestes casos, implicando na no dependncia de interpretaes subjetivas dos peritos envolvidos.
Na busca de informao em sistemas computacionais, o perito tem de realizar
uma varredura minuciosa nos elementos capazes de armazenar informao, sejam
eles dispositivos de armazenagem ou elementos de hardware de baixo nvel. Dentre
estes, destaca-se o sistema de arquivos (arquivos comuns ou removidos), os espaos
no utilizados em dispositivos de armazenagem (volteis ou no) e perifricos, que
muitas vezes dispem de espaos prprios de armazenamento.
interessante observar que um certo subconjunto das possveis evidncias
computacionais pode estar somente disponvel ou acessvel enquanto os computadores envolvidos estiverem exatamente no estado em que se encontravam por ocasio da ao criminal. Nesses casos, a percia deve dispor de mtodos para coleta de
evidncias com as mquinas ainda vivas, como se diz na rea, antes de providenciar
seu desligamento para posterior transporte e anlise em laboratrio.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS


286
Felizmente, uma certa cultura na rea j comea a existir quando o assunto a
investigao de crimes eletrnicos. Pesquisadores j conseguem utilizar ferramentas de uso geral, focando-se no interesse forense. Em outros casos, nota-se a utilizao de algumas poucas ferramentas especficas, que comeam a ser disponibilizadas
pela prpria comunidade.

A criptografia e a PKI

8.11 CONCLUSO
Este captulo apresentou os objetivos, as caractersticas e os tipos de sistemas
de deteco de intruses (IDS). O Network-Based Intrusion Detection (NIDS) trabalha capturando pacotes da rede e realizando a anlise de acordo com padres ou
assinaturas conhecidos. J o Host-Based Intrusion Detection (HIDS) funciona em
cada sistema e capaz de detectar intruses com base em registros e eventos do
sistema. O IDS hbrido (Hybrid IDS) incorpora caractersticas do NIDS e do HIDS, de
modo a oferecer uma capacidade maior de deteco. Os IDS, ao detectar tentativas
de ataques externos e internos, dependendo de sua localizao, permitem que o
administrador de segurana tenha conhecimento sobre o que est acontecendo e
sobre qual medida tomar com relao ao ataque, sempre de acordo com a poltica de
segurana da empresa. Sistemas que visam no apenas a deteco e a resposta, mas
tambm a preveno de intruso, so chamados de Intrusion Prevention System
(IPS) e tambm podem ser baseados em host ou em rede. A forense computacional,
que uma cincia importante para anlises dos incidentes de segurana, tambm
foi brevemente mostrada.

A criptografia uma cincia que tem importncia fundamental


para a segurana da informao, ao servir de base para diversas
tecnologias e protocolos, tais como a infra-estrutura de chaves pblicas (Public Key Infrastructure PKI), o IP Security (IPSec) e o
Wired Equivalent Privacy (WEP). Suas propriedades sigilo, integridade, autenticao e no-repdio garantem o armazenamento,
as comunicaes e as transaes seguras, essenciais no mundo atual. Este captulo discute o papel da criptografia e os aspectos relacionados sua segurana, e tambm a infra-estrutura de chaves
pblicas, componente importante em um ambiente baseado em certificados digitais.

C
a
p

t
u
l
o
9

9.1 O PAPEL DA CRIPTOGRAFIA


A criptografia tem funo e importncia cada vez mais fundamentais para a segurana das organizaes; a cincia de manter
as mensagens seguras. A cifragem (encryption) o processo de disfarar a mensagem original, o texto claro (plaintext ou cleartext),
de tal modo que sua substncia escondida em uma mensagem com
texto cifrado (ciphertext), enquanto a decifragem (decryption) o
processo de transformar o texto cifrado de volta em texto claro
original [SCH 96].
Os processos de cifragem e decifragem so realizados via uso
de algoritmos com funes matemticas que transformam os tex-

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 9: A criptografia e a PKI

288
tos claros, que podem ser lidos, em textos cifrados, que so inteligveis.
A criptografia possibilita que as propriedades importantes para a proteo da
informao sejam alcanadas, dentre elas:
*
*
*
*

289
meio da utilizao de uma chave secreta para a codificao e decodificao dos
dados (Figura 9.1).

Integridade
Autenticidade
No-repdio
Sigilo

Alm dessas propriedades, a assinatura digital e a certificao digital so importantes para a proteo da informao. De fato, no mundo atual, onde a comunicao est cada vez mais onipresente na vida das pessoas, a proteo de toda essa
comunicao deve ser garantida, bem como a privacidade dos usurios. Dessa maneira, a criptografia j usada em muitas solues do dia-a-dia dos usurios de
todos os nveis. Alguns exemplos de uso de criptografia para a proteo do sigilo e
integridade da informao e da integridade e autenticao da comunicao que
podem ser vistos so os seguintes:
* A comunicao das ligaes celulares da tecnologia Global System for Mobile
Communication (GSM) protegida pelo algoritmo COMP128-2.
* As compras via Internet so protegidas pelo protocolo de segurana Secure
Socket Layer (SSL).
* Os bancos protegem as transaes eletrnicas do Internet Banking com SSL e
tambm com algum protocolo criptogrfico adicional.
* Os administradores de sistemas acessam os servidores remotamente usando
protocolos como o Secure Shell (SSH).
* As redes sem fio usam criptografia para proteo dos acessos, definidos no
protocolo Wired Equivalent Privacy (WEP Captulo 5).
* Redes privadas virtuais (Virtual Private Network VPN) usam protocolos como
o IP Security (IPSec) para proteger as comunicaes entre as organizaes
(Captulo 10).
* O uso de certificados digitais (Seo 9.5) como credenciais tambm importante para a segurana, principalmente para acesso a servios crticos e que
requerem o no-repdio.
A criptografia de chave privada ou simtrica, como o Data Encryption Standard
(DES), 3DES, IDEA, RC6 e outros, responsvel pelo sigilo das informaes, por

Figura 9.1

Criptografia de chave privada ou simtrica.

Os algoritmos de chave simtrica tm como caracterstica a rapidez na execuo, porm eles no permitem a assinatura e a certificao digitais. Alm disso,
existe o problema da necessidade de distribuio das chaves secretas a serem
utilizadas pelos usurios, que deve ser feita de maneira segura. O problema est
na dificuldade de enviar a chave gerada para o usurio, pois o canal de comunicao ainda no seguro. Outro problema o uso de chaves secretas diferentes para
cada tipo de comunicao e tambm para cada mensagem, o que faz com que seu
gerenciamento se torne muito complexo. Um exemplo dessa complexidade pode
ser visto em um ambiente no qual trs usurios se comunicam entre si, onde cada
um deles deve armazenar e gerenciar trs chaves diferentes. A Figura 9.2 mostra
que Maria precisa de trs chaves secretas diferentes para se comunicar com Joo,
Pedro e Lus.

Figura 9.2

As chaves secretas necessrias na criptografia simtrica.

Os algoritmos de chave pblica ou assimtrica, como RSA, Rabin e outros, podem possibilitar, alm do sigilo, integridade, no-repdio e autenticidade. poss-

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 9: A criptografia e a PKI

290

291

vel ainda que a assinatura e a certificao digital possam ser utilizadas. As comunicaes so realizadas por meio de dois pares de chaves diferentes, uma privada e
uma pblica para cada entidade. Uma mensagem, por exemplo, pode ser cifrada
utilizando-se uma chave pblica e decifrada utilizando-se somente a chave privada
correspondente ou vice-versa (Figura 9.3).

Figura 9.3

Criptografia de chave pblica ou assimtrica.

O algoritmo assimtrico minimiza o problema de troca de chaves, pois no


necessrio um canal seguro para tal. Porm, ele cerca de 60 a 70 vezes mais
lento que os algoritmos simtricos. A Figura 9.4 mostra as vantagens na distribuio de chaves, onde Maria mantm somente o seu par de chaves (privada e pblica), enquanto Joo, Pedro e Lus obtm a chave pblica de Maria para enviar a
mensagem cifrada para ela. Como somente a chave privada equivalente capaz de
decifrar a mensagem, e somente Maria a possui, o sigilo da mensagem para Maria
garantida.

Figura 9.4

algoritmos (simtrico e assimtrico) sejam normalmente utilizados em conjunto,


aproveitando-se as melhores caractersticas de cada um.
Com isso, a aplicao mais comum para a criptografia a utilizao dos algoritmos
de chave pblica para autenticao, certificao e estabelecimento da comunicao
segura. Uma vez que o canal seguro esteja estabelecido, uma chave secreta pode ser
gerada e trocada para a utilizao da criptografia de chave simtrica, que mais
rpida e usada para o sigilo das mensagens. Assim, os pontos fracos de ambos os
tipos de criptografia podem ser reduzidos, com a criptografia de chave pblica
formando o canal seguro para a distribuio de chaves simtricas, que por sua vez
mais rpida que o uso do par de chaves da criptografia assimtrica. O SSL funciona
exatamente dessa maneira, com algoritmos como o RSA formando o canal seguro e
o RC4 sendo usado para o sigilo das informaes.
A assinatura digital pode ser obtida com o uso de algoritmos de chave pblica,
no qual o usurio que deseja assinar digitalmente uma mensagem utiliza sua chave
privada. Como somente ele possui acesso chave privada e como somente a chave
pblica correspondente pode fazer com que a mensagem volte ao seu estado original, utilizar a chave privada significa que o usurio assina digitalmente uma mensagem. O processo, que pode ser visto na Figura 9.5, feito tambm com o uso de
um algoritmo de hash, que um resumo da mensagem. O algoritmo de assinatura
digital aplicado sobre o resumo gerado, com o usurio usando sua chave privada.
O resultado, a assinatura digital, adicionado mensagem original, que enviada
ao destinatrio. importante notar que o uso da assinatura digital no garante o
sigilo da mensagem, somente prova a origem de determinada mensagem, pois somente o dono da chave privada pode assinar a mensagem.

As chaves privadas e pblicas necessrias na criptografia assimtrica.

Assim, a criptografia simtrica possui o problema da distribuio e gerenciamento


de chaves, enquanto a criptografia assimtrica possui o problema de desempenho,
pois ele exige maior poder de processamento. Isso faz com que os dois tipos de

Figura 9.5

Processo de assinatura digital.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS


292

293

O processo de verificao da assinatura digital pode ser visto na Figura 9.6. O


destinatrio recebe a mensagem assinada e usa a chave pblica correspondente do
remetente para verificar a assinatura digital. O algoritmo de assinatura digital
aplicado sobre a assinatura digital, o que resulta no resumo da mensagem, que
exatamente o processo inverso realizado na assinatura. O algoritmo de hash
aplicado na mensagem original, que tambm resulta no resumo da mensagem. No
caso de os dois resumos da mensagem gerados serem iguais, isso significa que a
assinatura digital vlida, pois a chave pblica do remetente foi utilizada e ela
correspondente chave privada utilizada. Caso os dois resumos sejam diferentes,
significa que a assinatura invlida, pois as chaves pblica e privada no so
equivalentes.

Figura 9.6

Captulo 9: A criptografia e a PKI

Processo de verificao da assinatura digital.

Apesar de fundamental, principalmente devido necessidade crescente de sua


utilizao na Internet, Bellovin mostra que as solues existentes so poucas, alm
de no serem completas. Alguns exemplos citados so [BEL 98]:
* O Pretty Good Privacy (PGP) e o Secure Multi-Purpose Internet Mail Extensions
(S/MIME), utilizados para a segurana de e-mails, no tm uma certificao
mais geral.
* O SSL, utilizado na Web, oferece a autenticao em apenas uma via, ou seja,
somente o servidor certificado, com o usurio permanecendo sem nenhuma
certificao.
* O IPSec, protocolo-padro de redes privadas virtuais, entra em conflito com os
firewalls, pois os pacotes de IPSec tm cabealhos e contedos cifrados, que os
firewalls no podem processar e, portanto, filtrar. Isso ser discutido com mais
detalhes na Seo 12.2.

* O Secure Electronic Transaction (SET), utilizado no comrcio eletrnico, faz


com que as lojas virtuais no tenham acesso ao nmero do carto de crdito,
o que poderia ser aproveitado para uma base de dados de seus clientes. Essa,
na realidade, uma caracterstica importante para a segurana, pois o maior
perigo dos incidentes envolvendo cartes de crdito est relacionado ao seu
armazenamento.
Tudo isso, aliado ao fato de o poder de processamento estar seguindo a Lei de
Moore, facilitando a quebra de chaves de alguns algoritmos criptogrficos, mostra
que a criptografia uma rea em que grandes evolues acontecem. Um dos
principais fatos est na escolha do Advanced Encryption Standard (AES) pelo
National Institute for Standards and Technology (NIST), que teve como objetivo
substituir o DES, que era o algoritmo simtrico padro. O rigoroso processo de
avaliao e testes teve incio em 12 de setembro de 1997. Em 20 de agosto de
1998, 15 candidatos foram selecionados, nmero que caiu para cinco, em agosto
de 1999. No dia 2 de outubro de 2000, o algoritmo criptogrfico Rijndael, desenvolvido por dois pesquisadores belgas, foi escolhido pela comunidade ligada
criptografia, aps uma srie de testes que avaliaram trs aspectos principais dos
cinco finalistas: segurana, custo e caractersticas do algoritmo e implementao
[NEC 01].
O AES foi aprovado em 25 de maio de 2002, quando se tornou o padro atual,
com o NIST especificando o algoritmo Rijndael no Federal Information Processing
Standard (FIPS) 197 para uso oficial pelo governo americano [AES 03]. O Rijndael,
alm de combinar segurana, desempenho, eficincia, facilidade de implementao
e flexibilidade, oferece outras vantagens como o bom desempenho tanto em software
quanto em hardware, a velocidade na manipulao das chaves e a necessidade de
pouca memria para o funcionamento [AES 03].
Quanto ao padro americano, o Triple DES tambm um algoritmo aprovado
pelo governo americano e nele, o DES permitido somente para sistemas legados. O
DES e o Triple DES so especificados no DIPS 46-3 [AES 03].
O Rijndael utiliza chaves de 128, 192 e 256 bits e a previso de que o AES
permanea seguro por 20 anos, segundo o NIST [AES 03]. Uma informao interessante sobre a possibilidade de quebrar a chave do algoritmo, por meio de um
ataque de fora bruta. Caso uma mquina destinada a ataques de fora bruta,
como o Deep Crack (Seo 9.4), fosse utilizada para tentar decifrar uma senha do
Rijndael, e supondo que o Deep Crack pudesse recuperar uma senha do DES de 56
bits em um segundo (o Deep Crack decodificou a chave do DES em 56 horas),

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS


294
seriam necessrios 149 trilhes de anos para que uma chave do Rijndael fosse
quebrada [AES 01].
Um outro fato importante que mostra a evoluo da criptografia o avano da
criptografia de curvas elpticas, cada vez mais utilizado em componentes como
smart cards e na computao mvel, devido ao seu maior desempenho.

9.2 A SEGURANA DOS SISTEMAS CRIPTOGRFICOS


A segurana de sistemas criptogrficos depende de uma srie de fatores, como
uma falha na gerao de chaves, por exemplo, que pode comprometer totalmente o
sigilo de uma comunicao. Diversos fatores devem ser analisados para que a proteo adequada da informao no seja apenas uma falsa impresso:
* Gerao das chaves: com a utilizao de um nmero aleatrio real como ponto
inicial para a criao das chaves, impossvel saber ou adivinhar a estrutura
das chaves futuras, o que garante uma maior segurana. Sem a gerao aleatria, o algoritmo utilizado pode revelar padres que diminuem o espao de
escolha das chaves, o que facilita sua descoberta. Assim, importante utilizar
sistemas que sejam capazes de gerar nmeros aleatrios reais, tais como os
utilizados por alguns tipos de hardware, conhecidos tambm como Hardware
Security Module (HSM). Eles tm a vantagem de utilizar componentes dedicados na gerao aleatria desses nmeros, alm de no utilizarem os algoritmos
conhecidos utilizados pelos softwares, que podem revelar padres de gerao
de chaves mais facilmente.
* Mecanismo de troca das chaves Por exemplo, Diffie-Hellman para criptografia
e RSA para assinaturas [SCH 96]. O mtodo preferido hoje o Internet Key
Exchange (IKE), em comparao com o Simple Key Management for Internet
Protocol (SKIP). A principal vantagem do IKE sobre o SKIP sua habilidade de
negociar com um nmero diferente de chaves criptogrficas.
* Taxa de troca das chaves: como regra, quanto maior for a freqncia da troca
automtica das chaves, maior ser o sigilo dos dados. Isso acontece porque a
janela de oportunidade de ataques diminui, pois, caso uma chave seja quebrada, ela j no mais til para a comunicao. A troca de chaves manual
considerada insegura, alm de ser trabalhoso realizar todo o processo manualmente, o que pode influir na produtividade do usurio.
* Tamanhos da chave: so diferentes para a criptografia simtrica e para a
criptografia de chave pblica. O assunto pode ser observado com mais detalhes na Seo 9.2.1.

Captulo 9: A criptografia e a PKI


295
Alm dos fatores verificados, deve-se tambm levar em considerao a qualidade do algoritmo criptogrfico e sua correta implementao, seja em software ou
hardware.
Um princpio fundamental o de Dutchman A. Kerckhoffs, que, no sculo XIX,
enunciou que a segurana deve residir na chave, pois sempre se deve assumir que
o atacante tem os detalhes completos do algoritmo criptogrfico e de sua
implementao. Isso reforado pelo fato de que esses detalhes do algoritmo e de
sua implementao podem ser descobertos, e, se o atacante no capaz de descobrir esses detalhes, ento ele no capaz de quebrar uma chave criptogrfica
[SCH 96].
Assim, confiar na segurana da criptografia somente porque o algoritmo
criptogrfico no conhecido , na realidade, uma grande falcia. O melhor algoritmo
aquele que pblico e vem sendo testado por todos, permanecendo intacto. Esse
um dos principais fatores de segurana de sistemas criptogrficos, o que faz com
que a segurana resida na chave, e no no algoritmo.
Em termos matemticos, o algoritmo criptogrfico, que tem origem a partir de
um problema matemtico difcil, considerado seguro se 50 mil computadores no
puderem resolver esse problema em um milho de anos. Existem diversos tipos de
problemas matemticos difceis, tais como [SCH 96][ROT 98-2][ROT 98-3]:
* Logaritmo discreto ou Discrete Logarithm Problem (DLP), como o Diffie-Hellman
e o Digital Signature Algorithm (DSA).
* Fatorao de nmeros primos grandes ou Integer Factorization Problem (IFP),
como o RSA.
* Curvas elpticas ou Elliptic Curve Discrete Logarithm Problem (ECDLP).
As funes one-way hash so consideradas fceis de serem executadas em uma
direo, mas so extremamente difceis de serem executadas na direo contrria.
Fazendo-se uma analogia, esse tipo de funo seria como um ovo, que pode ser
facilmente quebrado, mexido e frito, porm quase impossvel de ser recuperado
sua forma original.
Funes trap-door one-way hash utilizam uma parte da informao (o trap-door)
para realizar a funo nas duas direes. O tamanho da chave determina o grau de
dificuldade do problema matemtico. Uma discusso terica que envolve as funes
one-way hash est relacionada com sua prpria existncia, pois, matematicamente,
no existe um modo de comprovar essa afirmao [ROT 98-3].
Quanto ao RSA e a outros algoritmos de chaves pblicas, sua segurana tem
como base a dificuldade envolvendo a fatorao de nmeros primos grandes. Ao

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 9: A criptografia e a PKI

296

297

passo que fcil multiplicar dois nmeros primos grandes, fatorar o produto desses
dois nmeros muito mais difcil. As chaves pblica e privada do RSA so funes
de pares de nmeros primos muito grandes, com centenas de dgitos. Uma caracterstica do RSA e de outros algoritmos de chave pblica que eles podem ser utilizados para a cifragem de dados e tambm para a autenticao por meio de assinaturas
digitais [ROT 98-3].

9.2.1 A segurana pelo tamanho das chaves


A segurana de um algoritmo e de um sistema criptogrfico no pode ser medida
apenas pelo tamanho da chave utilizada. preciso conhecer o algoritmo e a matemtica envolvida no processo de codificao dos dados para saber se ele ou no
seguro. Por exemplo, criar um algoritmo criptogrfico proprietrio, que utilize uma
chave de 256 bits, no significa que ele ser mais seguro que outros algoritmos,
como o DES, que utiliza 128 bits, se existirem falhas nesse algoritmo e tambm em
sua implementao.
Alm disso, no se pode esquecer de que a criptografia de chave secreta (simtrica) e de chave pblica (assimtrica) tm segurana equivalente para chaves de
tamanhos diferentes. Por exemplo, o fato de um algoritmo de chave pblica utilizar
chaves de 512 bits no significa que ele seja mais seguro que um algoritmo de chave
privada que utiliza 128 bits. A Tabela 9.1 apresenta as resistncias comparativas
quanto ao custo de processamento entre os algoritmos de chave simtrica e assimtrica
[SCH 96].
Tabela 9.1

Resistncias comparativas entre os algoritmos de chave simtrica e assimtrica.

Chave simtrica

Chave assimtrica

56 bits
64 bits
80 bits
112 bits
128 bits

384 bits
512 bits
768 bits
1792 bits
2304 bits

A questo do tamanho das chaves em algoritmos simtricos avaliada em [BLA


96]. Um algoritmo criptogrfico considerado eficiente se no existirem facilidades
que permitam que se recuperem as informaes sem a utilizao de ataques de
fora bruta (teste de todas as combinaes de chaves) e tambm se o nmero de
chaves possveis for suficientemente grande para fazer com que os ataques de fora
bruta se tornem impraticveis. A Tabela 9.2 mostra o nmero de possveis chaves
no espao de chaves e o tempo de processamento (um milho de tentativas/seg.)
[SCH 96].

Tabela 9.2

O espao de chaves e o tempo de processamento necessrio.

Combinaes permitidas (Byte)

7 bBytes

7bBytes

8 bBytes

8 bBytes

Letras minsculas (26)


Minsculas e dgitos (36)
Alfanumricos (62)
Caracteres imprimveis (95)
Caracteres ASCII (128)
Caracteres ASCII de 8 bits (256)

8,0 x 109
7,8 x 1010
3,5 x 1012
7,0 x 1013
5,6 x 1014
7,2 x 1016

2,2 horas
22 horas
41 dias
2,2 anos
18 anos
2.300 anos

2,1 x 1011
2,8 x 1012
2,2 x 1014
6,6 x 1015
7,2 x 1016
1,8 x 1019

2,4 dias
33 dias
6,9 anos
210 anos
2.300 anos
580.000 anos

As chaves desses algoritmos podem ser descobertas por meio de ataques de fora
bruta que testam cada possvel combinao de chaves at que se descubra a combinao correta. Esse tipo de ataque pode ser realizado usando-se desde equipamentos
convencionais (PCs), passando pela tecnologia Field Programmable Gate Array (FPGA)
um chip especial para a realizao de clculos, at o Application-Specific Integrated
Circuits (ASICs), que cerca de sete vezes mais rpido que um chip FPGA, mas necessita de um grande investimento em engenharia, o que aumenta os seus custos. A
Tabela 9.3 mostra que basta ter o recurso financeiro necessrio para que as chaves
sejam decifradas por meio de fora bruta. A Tabela 9.4 mostra o tempo de fatorao
para a descoberta de chaves de algoritmos assimtricos [SCH 96].
Tabela 9.3 Estimativas para ataques de fora bruta em algoritmos simtricos.
Custo

56 bits

64 bits

112 bits

128 bits

$100 K
$1 M
$10 M
$100 M
$1 G
$10 G
$100 G
$1 T

3,5 horas
21 minutos
2 minutos
13 segundos
1 segundo
0,1 segundos
0,01 segundos
1 milissegundo

37 dias
4 dias
9 horas
1 hora
5,4 minutos
32 segundos
3 segundos
0,3 segundos

10 anos
1012 anos
1011 anos
1010 anos
109 anos
108 anos
107 anos
106 anos

1018 anos
1017 anos
1016 anos
1015 anos
1014 anos
1013 anos
1012 anos
1011 anos

Tabela 9.4

13

Fatorao de chaves do algoritmo assimtrico.

N de bits

MIPS/Ano necessrios

Tempo /p Pentium II 300 MHz

512
768
1024
1280
1536
2048

200
100.000
3 x 107
3 x 109
2 x 1011
4 x 1014

8 meses
300 anos
1 x 105 anos
1 x 107 anos
7 x 108 anos
1,3 x 1012 anos

Um ponto interessante com relao ao uso de fora bruta para descobrir chaves
de criptografia que esses ataques reforam a Lei de Moore, pois os resultados
parecem estar de acordo com a realidade. Isso ocorre porque, quando o DES foi

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 9: A criptografia e a PKI

298

299

proposto, em 1975, a chave de 56 bits era considerada segura. Aplicando-se a Lei de


Moore, o tamanho da chave considerada segura, para 20 anos depois (1995, poca
do artigo), seria de 70 bits. O artigo recomenda a utilizao de 75 bits, correspondentes a 61 bits em 1975. Seguindo a mesma linha de raciocnio, para garantir a
segurana de uma chave em um prazo de 20 anos, a partir de 1995, o tamanho ideal
seria de 90 bits [BLA 96].
Porm, esse tamanho j no garante a segurana nos dias de hoje, pois, alm da
Lei de Moore, o avano da computao distribuda, principalmente pela Internet,
contribuiu para o aumento exponencial da capacidade de processamento, que
essencial para ataques de fora bruta. Com um grande nmero de equipamentos
trabalhando paralelamente, o objetivo de descobrir a chave pode ser alcanado mais
rapidamente. Alm disso, diversos equipamentos dedicados ao ataque de fora bruta, como o Deep Crack e o Twinkle, que sero vistos na Seo 9.4, contribuem para
a evoluo da criptografia.
Assim, essencial considerar o tempo durante o qual a informao dever ficar
protegida pela criptografia, para que seja utilizado o tamanho ideal da chave. Os
diversos tipos de informaes necessitam de diferentes perodos de proteo e,
portanto, de diferentes tamanhos de chaves:
* Transferncias eletrnicas de fundos, sejam de milhes ou bilhes de dlares,
necessitam de segurana, mas o tempo de exposio extremamente curto.
* Planos estratgicos corporativos necessitam do sigilo durante alguns anos.
* Informaes proprietrias de produtos, como a frmula da Coca-Cola, precisam ser protegidas por um longo perodo, talvez dcadas ou sculos.
* Informaes privadas pessoais, como condies mdicas ou avaliaes profissionais, devem ser protegidas durante a vida do indivduo.

9.3 AS MAIORES FALHAS

NOS SISTEMAS CRIPTOGRFICOS

A utilizao de sistemas criptogrficos cresce medida que aumenta o uso da


Internet e a troca eletrnica de informaes. Devido sua extrema importncia,
que pode resultar em uma perigosa falsa sensao de segurana, os fatores que
podem causar falhas em sistemas criptogrficos devem ser considerados, tais como
[SCH 98]:
* Falha na checagem do tamanho dos valores.
* Reutilizao de parmetros aleatrios, que nunca deveriam ser reutilizados.
* Alguns sistemas no destroem a mensagem em texto simples, depois de ser
feita a cifragem.

* Alguns sistemas utilizam arquivos temporrios para proteger os dados que


podem ser perdidos durante uma pane no sistema. Eles podem tambm utilizar a memria virtual para aumentar a disponibilidade da memria.
* Em casos extremos, o sistema operacional pode deixar as chaves no disco
rgido. Existem sistemas que permitem que a senha fique armazenada na
memria de vdeo.
* H falhas tambm na utilizao da base de dados de recuperao de chaves,
em casos de emergncia.
* Em um sistema que utiliza a gerao de nmeros aleatrios, se forem gerados
nmeros ineficientes e que no so devidamente aleatrios, o sistema ser
totalmente comprometido, no importando a efetividade do algoritmo de
criptografia.
Essas falhas podem ser exploradas por meio de ataques feitos por hardware, que
podem introduzir, deliberadamente, falhas no processamento da criptografia, para
tentar determinar as chaves secretas [SCH 98].
Alm dessas falhas, os algoritmos podem ter problemas em sua implementao.
Isso ocorre devido complexidade existente, que faz com que os erros em seu
desenvolvimento sejam comuns. Alm disso, os revendedores ainda comercializam
produtos com algoritmos j considerados inseguros e at proprietrios (apostando
na segurana pela obscuridade), alm de as interfaces com o usurio ainda serem
difceis de ser utilizadas [BEL 98].

8.4 OS ATAQUES AOS SISTEMAS CRIPTOGRFICOS


A criptanlise (cryptanalysis) a cincia de recuperar uma informao cifrada
sem o acesso direto chave de criptografia, de forma que ela pode recuperar a
mensagem original ou a chave de criptografia.
Alguns ataques baseados na criptanlise so [SCH 96]:
* Ataque do texto cifrado conhecido (Ciphertext-only attack): o atacante possui
diversas mensagens, todas cifradas com o mesmo algoritmo criptogrfico. O
objetivo recuperar a mensagem original ou deduzir a chave, que pode ser
usada para decifrar as mensagens.
* Ataque do texto em claro conhecido (Known-plaintext attack): o atacante possui o conhecimento das mensagens cifradas e tambm do seu equivalente em
claro. O objetivo deduzir as chaves utilizadas ou um algoritmo para decifrar
qualquer mensagem cifrada com a mesma chave.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS


300
* Ataque do texto em claro escolhido (Chosen-plaintext attack): o atacante escolhe um texto em claro e faz a anlise de acordo com o texto cifrado obtido.
O objetivo deduzir as chaves ou um algoritmo para decifrar as mensagens.
* Ataque do texto em claro escolhido com adaptao (Adaptive-chosen-plaintext
attack): este um caso especial do ataque de texto em claro escolhido, no
qual o atacante escolhe e modifica o texto em claro escolhido de acordo com
os resultados que vem obtendo. O objetivo deduzir as chaves ou um algoritmo
para decifrar as mensagens.
* Ataque do texto cifrado escolhido (Chosen-ciphertext attack): o atacante escolhe diferentes textos cifrados para serem decifrados e tem o acesso aos textos
decifrados. Esse ataque usado mais contra algoritmos de chave pblica. Com
isso, ele pode deduzir a chave utilizada.
* Ataque do texto escolhido (Chosen-text attack): composio dos ataques de
texto em claro escolhido e de texto cifrado escolhido.
* Ataque da chave escolhida: o atacante usa o conhecimento sobre relaes
entre diferentes chaves.
* Rubber-hose cryptanalysis: ataque baseado em ameaa, chantagem ou tortura,
para que o usurio entregue a chave criptogrfica.
* Ataque da compra da chave (Purchase-key attack): ataque baseado em suborno.
* Ataque de fora bruta (Brute-force attack): ataque em que todas as combinaes de chaves possveis so testadas.
Alm desses ataques tradicionais, outros tipos de ataques podem ser utilizados
contra os prprios sistemas criptogrficos. interessante notar que o prprio Schneier
diz, em [SCH 98], que os ataques aos sistemas no ocorrem pela tentativa de testar
todas as chaves possveis (fora bruta) ou por explorar falhas nos algoritmos, mas,
sim, pela explorao de erros no projeto, na implementao e na instalao dos
sistemas.
Em [SCH 99-1], Schneier fala da evoluo dos mtodos de ataque contra os
sistemas de criptografia (crypto-hacking) e de seu futuro, que no est destinado
grande massa, como vem ocorrendo com a segurana em redes. De fato, a criptografia
exige conhecimentos profundos de matemtica avanada, o que no est ao alcance
de todos [SCH 99-2]. Segundo ele, os mtodos de ataque vm evoluindo, o que pode
ser visto nos ataques do tipo side-channel attack, no qual a segurana dos smart
cards e dos tokens testada por meio de informaes sobre tempo, consumo de
energia e radiao do dispositivo.

Captulo 9: A criptografia e a PKI


301
Outro tipo de ataque o failure analysis, no qual diversos tipos de falhas so
forados durante a operao, de modo a derrubar a segurana de smart cards.
Outro ataque realizado por meio da anlise, no do algoritmo de criptografia
em si, mas do gerador de nmeros aleatrios. O algoritmo pode ser seguro, mas
se o mtodo de produo dos nmeros aleatrios para o algoritmo for ineficiente,
o espao do nmero de chaves diferentes no ser suficiente, como deveria ser
[SCH 99-1].
Os sistemas criptogrficos podem ser atacados tambm por meio da anlise
dos modos como as diferentes chaves se relacionam entre si. Cada chave pode
ser segura; porm, a combinao de diversas chaves relacionadas pode ser suficiente para a anlise criptogrfica do sistema. Alm disso, possvel quebrar a
segurana do RSA, por exemplo, por meio da anlise dos padres de
processamento, sem que seja necessrio decifrar o algoritmo [SCH 99-1]. O timing
attack um ataque que faz a anlise e a mistura dos tempos relativos das
operaes de criptografia. Esse tipo de ataque utilizado na recuperao de
chaves privadas do RSA, e tambm contra smart cards, tokens de segurana e
servidores de comrcio eletrnico [SCH 98].
Alguns tipos de ataques so realizados contra chaves que so armazenadas no
prprio equipamento do usurio, escondidas no meio de strings ou no prprio
sistema. Shamir descreve, em [SHA 98-4], ataques algbricos e estatsticos utilizados para localizar chaves escondidas em uma grande string ou em grandes programas. Segundo Shamir, essas tcnicas podem ser utilizadas para aplicar lunchtime
attacks em chaves de assinatura utilizadas por instituies financeiras ou para
driblar o mecanismo de authenticode, existente em alguns pacotes de software. O
lunchtime attack realizado por algum que se aproveita da hora do almoo de
algum funcionrio de alguma instituio financeira, por exemplo, para procurar
por chaves de assinatura, que podem estar em um arquivo dentro do seu equipamento ou incorporada prpria aplicao. Uma importante considerao que as
chaves podem ser armazenadas no equipamento, sem o conhecimento do usurio,
como, por exemplo, em arquivos swap do Windows (que contm o estado intermedirio da sesso de assinatura anterior) ou em arquivos de backup criados automaticamente pelo sistema operacional, em intervalos fixos. Elas ainda podem
estar em setores danificados, que no so considerados como parte do sistema de
arquivos [SHA 98-4].
Com relao aos ataques de fora bruta, alguns desafios criptogrficos foram
realizados pela RSA Laboratories para quantificar a segurana oferecida pelo DES,
que era o padro definido pelo governo americano (hoje o AES). O primeiro desa-

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 9: A criptografia e a PKI

302
fio, o DES Challenge I, foi realizado em fevereiro 1997 e a rede construda por
Rocke Verser, com 70 mil sistemas da Internet, levou 96 dias para quebrar o DES,
aps testar 25% de todas as chaves possveis [WIL 01].
O DES Challenge II-1 foi realizado em fevereiro de 1998, e a Distributed.Net
quebrou a chave em 41 dias. O DES Challenge II-2 foi realizado em julho de 1998,
e a Electronic Frontier Foundation (EFF) levou apenas 56 horas para encontrar a
chave [WIL 01].
Em 1999, a Distributed.Net e a EFF se uniram no DES Challenge III e criaram o
Deep Crack, um computador com processamento paralelo avaliado em 200 mil dlares [MOS 99] ; juntamente com uma rede de aproximadamente cem mil sistemas da
Internet, quebraram a chave em 22 horas e 15 minutos. Os equipamentos estavam
testando 245 bilhes de chaves por segundo no momento da quebra [WIL 01].
Aps essa demonstrao, o DES j no mais recomendado para proteger informaes por mais de 20 horas, sendo algumas das opes o 3DES, o Carlisle Adams
and Stafford Tavares (CAST), o International Data Encryption Algorithm (IDEA) e o
Rivest Cipher #5 (RC5), que utilizam conceitos parecidos com os do 3DES, ou seja,
utilizam chaves de 128 bits, com cipher blocks de 256 bits [SCH 96]. Suas fraquezas,
assim, so as mesmas do 3DES, porm o CAST, o IDEA e o RC5 tm vantagens com
relao ao 3DES, quanto ao seu desempenho [SCH 99-2].
O CAST, da Entrust, no necessita de pagamento de royalties. O CAST com 64 bits
leva 235 dias para ser decifrado pelo Deep Crack, enquanto o CAST com 80 bits leva
43 mil dias. O CAST com 128 bits leva trs milhes de vezes mais de tempo que o
CAST de 80 bits. O DES-X o DES com uma chave extra de 56 bits, que faz operaes
XOR, aumentando significativamente a segurana do algoritmo; porm, o 3DES ainda mais seguro [SCH 99-2].
Um outro equipamento, utilizado para decifrar chaves pblicas o que Adi
Shamir descreveu, o Twinkle [TWI 99], um computador eltrico-ptico destinado a
fatorar nmeros com velocidade mil vezes maior. O computador ainda no foi
construdo, porm Shamir mostra que isso possvel, demonstrando ainda que as
chaves pblicas de 512 bits no so mais seguras para a utilizao operacional.
Apesar de o Twinkle ainda no ser construdo, um grupo de holandeses fatorou
um nmero de 512 bits utilizando 300 workstations da Silicon Graphics Inc. e
processadores Pentium, durante mais de sete meses. O algoritmo utilizado foi o
General Number Field Sieve, que pode ser visto em [TER 00]. Schneider analisa que,
se os esforos cooperativos por meio da Internet fossem utilizados, como aconteceu
com o DES, a chave pblica poderia ser decifrada em uma semana. A chave mnima
recomendada para o RSA, atualmente, de 768 bits.

303
Ao mesmo tempo em que so desenvolvidos equipamentos especficos para
decifrar chaves, outros equipamentos dedicados para a criptografia tambm esto
sendo produzidos. O Department of Energys (DOE) Sandia National Laboratories,
por exemplo, desenvolveu um codificador cerca de dez vezes mais rpido que os
similares, que pode codificar mais de 6,7 bilhes de bits por segundo. Isso pode
ser til para a proteo de diversos tipos de dados digitais, como vozes, udio,
vdeo, telefone celular, rdio e televiso. O chip utilizado o SNL Data Encryption
Standard (DES) Application Specific Integrated Circuit (ASIC), que consiste em16
conjuntos de 16 mil transistores integrados em um chip do tamanho de uma
moeda. Alm de aceitar o DES, o DES ASIC ser compatvel tambm com novos
algoritmos, como o Advanced Encryption Standard (AES), novo padro para a
criptografia simtrica [SAN 99].

9.5 CERTIFICADOS DIGITAIS


Diversos protocolos de segurana, como o Secure Multipurpose Internet Mail
Extensions (S/MIME), o Transport Layer Security (TLS) e o Internet Protocol Security
(IPSec), utilizam a criptografia de chaves pblicas para prover o sigilo, a integridade, a autenticao e o no-repdio das comunicaes e dos usurios. Os certificados
digitais so um dos elementos que tm como base a criptografia de chave pblica,
utilizado por esses protocolos, e so essenciais em um modelo de segurana como o
do ambiente cooperativo, no qual diversos nveis de acesso devem ser controlados e
protegidos.
A problemtica caracterstica de ambientes cooperativos, onde diversas organizaes interagem entre si para a realizao dos negcios, refora a importncia de
mecanismos de defesa como a criptografia, tanto simtrica quanto assimtrica. A
criptografia de chave pblica importante porque possibilita a privacidade e a
integridade das informaes, alm da autenticao das partes envolvidas.
Quando a criptografia de chave pblica utilizada, as chaves pblicas de usurios ou sistemas podem estar assinadas digitalmente por uma autoridade
certificadora (Certification Authority CA) confivel, de modo que a utilizao
ou publicao falsa dessas chaves pode ser evitada. As chaves pblicas assinadas
digitalmente por uma autoridade certificadora confivel constituem, assim, os
certificados digitais. A autoridade certificadora, os usurios, os sistemas e seus
certificados digitais fazem parte de um modelo de confiana essencial em um
ambiente cooperativo, necessrio para a identificao, autenticao e acesso seguro aos sistemas crticos.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 9: A criptografia e a PKI

304
Alm de estar digitalmente assinada por uma autoridade certificadora, um certificado digital pode conter diversas outras informaes que determinam o nvel de
confiabilidade do certificado:
*
*
*
*
*

Nome, endereo e empresa do solicitante.


Chave pblica do solicitante.
Validade do certificado.
Nome e endereo da autoridade certificadora.
Poltica de utilizao (limites de transao, especificao de produtos etc.).

A complexidade da estrutura e de determinados tipos de informaes culminou


na definio do Attribute Certificate (AC), que foi incorporado na definio do X.509,
pelo PKIX Working Group. O formato do AC permite que informaes adicionais
sejam associadas ao certificado digital, por meio de estruturas de dados assinadas
digitalmente e podem ter referncias a mltiplos certificados [ARS 99].
Os certificados digitais so, normalmente, criados pelas autoridades certificadoras
(CA), que tm a funo de criar, manter e controlar todos os certificados por elas
emitidos, incluindo a invalidao de certificados comprometidos ou expirados. A
manuteno da CA envolve a segurana de sua prpria chave privada que, caso seja
descoberta ou roubada, comprometer todo o sistema. Se isso acontecer, ser necessrio invalidar os certificados anteriormente emitidos e substitu-los com a nova
chave da CA.
Diversos aspectos esto relacionados com os certificados digitais, tais como
emisso, revogao, certificao cruzada, renovao dos certificados, recuperao
de certificados e todo o gerenciamento dos certificados digitais. Toda a complexidade envolvida com todas as funes de gerenciamento dos certificados digitais levou
definio de uma infra-estrutura de chave pblica (Public Key Infrastructure
PKI) que tem componentes responsveis por funes especficas, como poder ser
visto nas prximas sees [ROT 98].

9.6 INFRA-ESTRUTURA DE CHAVE PBLICA


Em um ambiente heterogneo como o ambiente cooperativo, o gerenciamento
dos certificados digitais e de todas as suas funes torna-se extremamente complexo, fazendo com que uma infra-estrutura de chave pblica (Public-Key Infrastructure
PKI) seja importante dentro de uma arquitetura de segurana. De fato, ela
essencial em um ambiente caracterizado pela complexidade das conexes e pelos
diferentes nveis de usurios que tm de ser autenticados e controlados. Em um

305
ambiente com base em transaes financeiras, por exemplo, a PKI pode oferecer o
no-repdio e a integridade das transaes.
Alm disso, a PKI importante especialmente para a segurana interna, ao
tornar possvel uma autenticao nica, com base nos certificados digitais. Com
isso, elimina-se a necessidade de armazenamento de um grande nmero de senhas
e tambm de mltiplos processos de autenticao. Nesse ponto, pode-se considerar
que a PKI pode funcionar como um Single Sign-On (Seo 11.3), ao prover uma
plataforma de autenticao nica. Mais do que isso, uma PKI pode ser considerada
uma plataforma mais segura, devido utilizao da criptografia, o que nem sempre
ocorre com o Single Sign-On.
A assinatura digital que pode ser provida pela PKI tambm essencial, de modo
que ela cada vez mais usada na garantia de identificao em transaes eletrnicas e em e-mails.
A PKI vem sendo tratada com muita importncia em vrios segmentos de mercado, principalmente na rea de sade (pronturios mdicos de pacientes), na rea
pblica (emisso de documentos digitais) e na rea financeira (transaes eletrnicas). No Brasil, a PKI vem ganhando espao nas discusses, principalmente devido
as iniciativas do prprio governo, como so os casos do Sistema Brasileiro de Pagamentos (SPB) e do ICP-Brasil, instituda pela Medida Provisria n 2200-2, de 24 de
agosto de 2001.
Alguns exemplos de implementao de uma PKI podem ser vistos na Itlia, onde
o respectivo Ministrio do Interior tem planos de gerar certificados digitais para
todos os cidados italianos em um prazo de cinco anos. O servio postal americano,
NetPost.Certified, iniciou, em 2001, a utilizao da PKI para a autenticao de
informaes digitais trocadas entre as agncias governamentais [ARM 01-3].

9.6.1 Definio e consideraes


Devido sua ampla gama de possibilidades de uso, a definio da PKI pode
mudar, de acordo com as necessidades, alcanando-se sempre o objetivo a que
ela se destina. Por exemplo, a definio mais geral, que usa a idia inicial da
PKI, que ela uma infra-estrutura de segurana na qual os servios so
implementados e utilizados, atravs de conceitos e tcnicas de chaves pblicas
[ADA 99].
Justamente devido essa definio, de que a PKI uma infra-estrutura, que
ela se torna um elemento que deve ser incorporado aos poucos dentro da organizao. Assim como estradas fazem parte de uma infra-estrutura, com os benefcios
surgindo enquanto a malha de estradas vai aumentando cada vez mais, o mesmo

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS


306
ocorre com a PKI. Por meio de sua infra-estrutura, a PKI aceita a distribuio, o
gerenciamento, a expirao, a reemisso de certificados expirados, o backup e a
revogao das chaves pblicas e privadas das entidades, que podem ser usurios,
equipamentos ou servios.
Uma outra definio diz que a PKI o conjunto de hardware, software, pessoas,
polticas e procedimentos necessrios para criar, gerenciar, armazenar, distribuir e
revogar certificados digitais, com base na criptografia de chave pblica [ARS 99].
Outras definies consideram a PKI como um backbone de uma corporao segura [MCC 98], enquanto ela ainda pode ser definida como uma combinao de software,
criptografia e servios, que permite que as organizaes realizem transaes pela
Internet, de maneira segura [NET 99].
Do ponto de vista organizacional, a PKI pode ser considerada uma coleo de
polticas, regras, responsabilidades, decises, servios e controles para a utilizao
da criptografia entre as aplicaes da organizao, alm de ser um conjunto de
idias, entendimentos, convenes, concordncias, contratos, leis, regulamentos,
instituies, pessoas e confiana, que permite que os certificados e as assinaturas
digitais sejam usados do mesmo modo que os documentos so utilizados e que
documentos em papel so assinados [MUR 99].
interessante observar, por meio dessas definies, que a tecnologia apenas
um dos componentes de uma PKI, que inclui ainda a poltica de segurana, a poltica e os procedimentos para gerar e revogar certificados, o processo de negcios
para o gerenciamento dos certificados e as atividades administrativas relacionadas
ao gerenciamento de chaves [PEC 01].
Os aspectos jurdicos tambm constituem um ponto interessante, pois as leis
so importantes para que os certificados digitais tenham validade legal. O apoio da
legislao para o assunto influencia diretamente o sucesso e a disseminao do uso
de certificados digitais. Leis especficas sobre assinaturas digitais esto mais difundidas na Europa que nos Estados Unidos. Isso faz com que o uso de assinaturas
digitais seja mais difundido na Europa elas tm ainda a vantagem de possuir
mais disseminao do uso de smart cards.
Com isso, a segurana da PKI requer uma coordenao efetiva entre as reas de
negcios, tecnologia, administrao e legislao, envolvendo praticamente toda a
organizao, para que os verdadeiros benefcios possam ser alcanados.

9.6.2 Funes da PKI


A PKI tem uma srie de funes executadas por componentes especficos da
infra-estrutura, como poder ser visto na prxima seo. possvel notar que a

Captulo 9: A criptografia e a PKI


307
complexidade das funes da PKI, que devem funcionar de modo sincronizado,
aumentam a probabilidade de aparecimento de dificuldades que podem surgir na
sua implementao ou na sua utilizao. De fato, o Gartner Group indica que 80%
dos projetos de PKI esto em sua fase piloto, enquanto 20% esto em produo.
Desses 20, 40% iro falhar em dois anos de implantao [KEN 01]. As funes
especificadas em uma PKI so [RSA 99][PEC 01][ADA 99]:
* Registro: processo no qual uma entidade se registra a uma autoridade
certificadora (Certificate Authority CA), geralmente por meio de um
Registration Authority (RA). A CA, que pode contar com a ajuda do RA, verifica se o nome e outros atributos esto corretos, de acordo com a poltica da
organizao definida no Certification Practice Statement (CPS) [BHI 98].
* Inicializao: o processo no qual a entidade obtm os valores necessrios
para o incio das comunicaes com a PKI. Por exemplo, a inicializao pode
envolver o fornecimento da chave pblica e do certificado digital da CA para o
usurio ou a gerao do par de chaves privada/pblica da prpria entidade
(usurio).
* Certificao: o processo em que a CA envia um certificado digital para a
entidade que a solicitou e o coloca em um repositrio, que pode ter como
base, por exemplo, o Lightweight Directory Access Protocol (LDAP) ou diretrios
padro X.500.
* Recuperao do par de chaves: tambm chamada algumas vezes de key escrow.
Em algumas situaes, uma organizao quer ter acesso a informaes que
esto protegidas, como e-mails ou projetos, quando um funcionrio no est
disponvel, seja porque ele est doente, seja porque no trabalha mais para a
organizao ou at mesmo para uma investigao sobre sua conduta. Nesses
casos, o backup da chave privada do usurio pode ser feito por uma CA ou um
sistema de backup separado. A PKI deve fornecer um sistema que permita a
recuperao, sem apresentar riscos inaceitveis de comprometimento da chave privada.
* Gerao de chaves: dependendo da poltica da CA, o par de chaves pode ser
gerado pelo prprio usurio em seu ambiente local ou pela CA. Nesse ltimo
caso, a chave pode ser distribuda para o usurio em um arquivo cifrado ou em
um token, smart card ou carto PCMCIA.
* Atualizao das chaves: todo par de chaves precisa ser atualizado regularmente, isto , ser substitudo por um novo par de chaves. Isso deve acontecer em
dois casos: normalmente, quando a chave ultrapassa o seu tempo de validade
e, excepcionalmente, quando a chave comprometida.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 9: A criptografia e a PKI

308
* Certificao cruzada: a certificao cruzada necessria quando um certificado de uma CA enviado a outra CA, de modo que uma entidade de um domnio
administrativo pode se comunicar de modo seguro com uma entidade de outro
domnio administrativo. Essa interoperabilidade entre certificados importante em um ambiente cooperativo, no qual os usurios acessam recursos de
diferentes organizaes.
* Revogao: vrias circunstncias podem fazer com que um certificado tenha
sua validade revogada, antes da expirao. Essas circunstncias incluem mudanas no nome, na associao entre a entidade e a CA (funcionrio que sai da
organizao) e a quebra do sigilo da chave privada correspondente. O padro
X.509 define um mtodo de revogao de certificados que inclui uma estrutura de dados assinada digitalmente, chamada Certificate Revocation List (CRL)
uma lista com time-stamp, a qual identifica os certificados revogados (por
meio do seu nmero serial). Ela deve permanecer disponvel livremente em
um repositrio pblico, para permitir que sejam feitas consultas. Algumas
consideraes com relao ao CRL incluem a freqncia de sua atualizao e a
remoo do certificado da lista, por exemplo, quando o prazo de validade do
certificado expira.
* Distribuio e publicao dos certificados e da notificao de revogao: a
distribuio dos certificados inclui sua transmisso a seu proprietrio e sua
publicao em um repositrio, que podem ter como base, por exemplo, LDAP
ou diretrios-padro X.500. A distribuio da notificao de revogao envolve o envio de CRLs para um repositrio especfico.

309
* Servio de diretrio, como o Lightweight Directory Access Protocol (LDAP), que
funciona como repositrio para chaves, certificados e Certificate Revocation
Lists (CRLs), que so as listas com certificados invlidos.
* Certificate Holders, que podem assinar digitalmente e codificar documentos.
* Clientes, que validam as assinaturas digitais e os caminhos de certificao a
partir de uma chave pblica conhecida de uma CA confivel.
No exemplo da Figura 9.7, possvel verificar o processo de solicitao de certificado digital de um usurio. Os componentes, neste exemplo, so a autoridade de
registro (RA), a autoridade certificadora (CA), o usurio e o servio de diretrio ou
repositrio.

9.6.3 Componentes da PKI


Os componentes da PKI mais importantes para a execuo das funes vistas na
Seo 9.6.2 so [RSA 99][SEC 99-6][KEN 01-2]:
Figura 9.7

* Autoridade certificadora (Certificate Authority CA), que a entidade criadora dos certificados digitais. Pode ser interna a uma organizao ou a um
terceiro confivel, como pode ser visto na Seo 9.6.3.1.
* Organizational Registration Authorities (ORAs), ou simplesmente RA, que uma
entidade dedicada a realizar o registro dos usurios (processo de coleta de informaes do usurio e verificao de sua identidade) e aceitar as requisies de
certificados. Por exemplo, o departamento de recursos humanos pode gerenciar
a RA, enquanto o departamento de informtica pode gerenciar a CA. A autoridade de registro pode ser tambm considerada uma funo da CA [RSA 99].

Um usurio solicitando seu certificado digital dentro da PKI.

No primeiro passo, o usurio solicita seu certificado digital enviando autoridade


de registro informaes predefinidas necessrias para o registro. No segundo passo, a
autoridade de registro analisa essas informaes e verifica se esto de acordo com o
Certification Practice Statement (CPS), que contm os procedimentos a serem seguidos
para que um usurio seja identificado positivamente. O CPS pode exigir, por exemplo,
que o usurio faa a requisio de seu certificado pessoalmente, apresentando seu
documento de identidade, alm do CPF. Como foi visto na Seo 9.6.2, a autoridade de
registro no um componente obrigatrio em uma PKI.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 9: A criptografia e a PKI

310
No terceiro passo, caso a identificao seja vlida, a requisio ser enviada
autoridade certificadora, que vai gerar o certificado digital do usurio. Se a identificao falhar, o usurio receber uma mensagem de que a identificao no foi
concluda.
No quarto passo, a autoridade certificadora assina o certificado digital do usurio com sua chave privada, e a envia a ele. O CA tambm publica o novo certificado
em um servio de diretrio, como o LDAP.
Outras funes, como o backup para a recuperao de chaves (key escrow),
certificaes cruzadas e a revogao de certificados por meio da Certificate Revocation
List (CRL), tambm podem ser exercidas pela PKI; porm, essas funes no foram
includas no exemplo.
A Figura 9.8 mostra como o usurio pode utilizar seu certificado digital para
acessar um recurso. No primeiro passo, ele faz a requisio de acesso para a aplicao. A aplicao, ento, solicita a apresentao do certificado digital no segundo passo.
No terceiro passo, o usurio deve buscar seu certificado, que pode estar
armazenado em um dispositivo como um token ou no prprio equipamento,
protegido por senha. A seguir, no quarto passo, o certificado apresentado
aplicao. O quinto passo consiste na autenticao do certificado digital, com a
aplicao buscando a validao no repositrio. Nesse momento, a autenticao
pode falhar, caso o certificado do usurio esteja revogado ou com o perodo de
validade expirado.
A autoridade certificadora a responsvel pela constante atualizao da
lista de revogao de certificados (CRL) e pela atualizao no repositrio. No
sexto passo, a aplicao decide pela validao do certificado. Caso ela seja vlida, o acesso ser concedido ao usurio no prximo passo. Caso o certificado
esteja revogado, expirado ou invlido, o acesso ser negado e o usurio ser
avisado.

311

Figura 9.8

O usurio solicita o acesso a um recurso utilizando uma PKI.

9.6.3.1 A autoridade certificadora


O modelo de confiana das autoridades certificadoras (CAs) pode ser considerado como de trs tipos [ROT 98][RSA 99][ADA 99]:
* Modelo de autoridade central, pelo qual a autoridade certificadora nica e
absoluta.
* Modelo de autoridade hierrquica, pelo qual uma cadeia de autoridades emite
os certificados para outras autoridades que esto no nvel inferior da cadeia e
assim por diante. A autoridade certificadora principal (root) certifica autoridades primrias (Primary Certification Authorities (PCAs), que podem criar,
suspender e revogar certificados dentro da hierarquia. Os PCAs, por sua vez,
podem certificar CAs. Exemplificando, o S/MIME utiliza uma hierarquia de
confiana (chain of trust), na qual o certificado de uma CA deve ser aceito por
uma CA confivel. Isso utilizado, por exemplo, quando um certificado
validado por uma CA na qual a organizao no confia. Como a organizao
no confia nessa CA, o usurio no tem acesso aos seus recursos. Ento, a CA

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 9: A criptografia e a PKI

312

deve ter seu certificado validado por outra CA, na qual a organizao confie
plenamente. Se a organizao confiar na segunda CA, e ela tiver certificado o
primeiro CA, ento esse CA tambm passa a ser confivel. Uma das CAs mais
conhecidas a Verisign [ZDN 98].
Web of Trust, em que a responsabilidade da confiana est no prprio usurio,
ou seja, se Antonio confia em Ana, e Ana confia em Beth, ento Antonio
confia em Beth. Esse o modo como funciona o Pretty Good Privacy (PGP).
Um conceito interessante para autoridades certificadoras o Trust Path. Ele
envolve a gerao segura da chave privada root utilizada para assinaturas
digitais, backup seguro da chave criada e o seu armazenamento seguro em um
mdulo de criptografia confivel. A chave root deve ser armazenada em um
local alternativo para propsitos de disaster recovery e para a insero segura
da chave no mecanismo de assinaturas da autoridade certificadora. Isso prov
uma preservao completa do nvel de confiana da chave da autoridade
certificadora, tanto interna quanto externamente, ao ambiente de
processamento da criptografia.
O armazenamento da chave da autoridade certificadora deve ser feito em um
Hardware Security Module (HSM), que oferece um ambiente seguro prova de
falhas (tamper proof), ou seja, proteo contra tentativas de grampo no equipamento, proteo fsica de todos os circuitos e proteo contra tentativas de
abertura do equipamento.
O padro a ser considerado na escolha do HSM o Federal Information Processing
Standard (FIPS) PUB 140-1, que foi desenvolvido pelo National Institute of
Standards and Technology (NIST) do United States Department of Commerce e
pelo Canadian Communication Security Establishment (CSE).
O FIPS PUB 140-1 define 11 categorias de requisitos de segurana, de modo
que o nvel mais alto possui maior segurana. O nvel 3 de proteo, mais
comum nos produtos comerciais, estabelece, por exemplo:
* Impossibilidade de reutilizar objetos de segurana no dispositivo.
* Deteco e resposta de tentativas de escutas no dispositivo.
* Portas separadas fisicamente para parmetros de segurana crticos e outros itens.
* Utilizao de algoritmos de criptografia aprovados pelo NIST.
* Identificao e autenticao positiva de administradores.
* Proteo fsica de todos os circuitos, de modo a destruir os dados em caso
de abertura do dispositivo ou conexo indevida.

313

9.6.4 Desafios da PKI


Foi visto at aqui que a especificao da PKI define uma srie de funes, componentes e protocolos, mas que ela tem alguns aspectos a serem discutidos mais
detalhadamente, principalmente quando sua utilizao analisada em um ambiente produtivo. Alguns desses desafios incluem a certificao cruzada, as listas de
revogao (CRLs) e as convenes de nomes.
A certificao cruzada um ponto importante, pois, se as CAs de duas empresas,
A e B, so diferentes, como a companhia A pode confiar em um usurio que tem um
certificado da companhia B? A tecnologia atual no permite essa interoperabilidade
sem que exista uma combinao prvia, porm diversos padres esto sendo propostos atualmente (Seo 9.6.5). Uma soluo, adotada pelo Automotive Network
eXchange (ANX), o uso de uma CA terceirizada (modelo hierrquico de autoridades), que certifica todos os certificados digitais dos diversos outros CAs (por exemplo, a Verisign ou a Entrust) [SEC 99-4].
A interoperabilidade , de fato, um dos principais aspectos a serem resolvidos
pelas PKIs, seja com relao s operaes (gerao, distribuio e gerenciamento
dos certificados), seja com relao aos formatos dos componentes da PKI. O que se
pode verificar que os padres esto sendo definidos, mas eles no so sempre
implementados ou demoram para serem desenvolvidos. Isso faz com que as organizaes tenham de escolher um nico fabricante para sua soluo PKI, o que traz
uma limitao quanto escalabilidade, alm de fazer com que a organizao fique
dependente da evoluo desse fabricante.
Os problemas relacionados lista de revogao de certificados (CRL), como sua
atualizao constante, o tempo entre a revogao e a atualizao da lista e sua
escalabilidade, fundamental no ambiente cooperativo, tambm so pontos que precisam de desenvolvimento. Algumas organizaes utilizam subconjuntos das listas
e um novo protocolo, o Online Certificate Status Protocol (OCSP), com base na Web,
est sendo desenvolvido [ARM 01-3].
Tornar as aplicaes compatveis com os certificados digitais tambm um ponto a ser considerado. A falta de uma padronizao faz com que algumas aplicaes
tenham de ser completamente reimplementadas, para que passem a aceitar os certificados digitais.
Alm desses aspectos, a implementao da PKI traz uma srie de pontos que
ainda precisam ser analisados e amadurecidos, como a aceitao dos usurios, a
legislao, o planejamento e a escalabilidade.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 9: A criptografia e a PKI

314

315

9.6.5 Padres da PKI

9.6.5.2 ISO/ITU-T X.509

Como foi visto na seo anterior, a interoperabilidade entre as PKIs constitui um


grande obstculo para sua implementao em um ambiente produtivo, e ainda mais
em um ambiente cooperativo. Os padres de PKI, que sero discutidos nessa seo,
tm como objetivo permitir a interoperabilidade entre diferentes PKIs, por meio das
definies de aspectos como:

O X.509 o framework designado para trabalhar com o servio de diretrios


X.500, e ambos fazem parte da padronizao internacional proposta pelo International
Standards Organization (ISO) e pelo International Telecommunications Union (ITU).
A primeira verso do X.509 surgiu em 1988 e foi a primeira proposta de padronizao para a PKI. O padro X.509 define o framework para o fornecimento de servios de autenticao e tambm o formato dos certificados digitais. O gerenciamento
das chaves e dos certificados e a revogao dos certificados tambm esto includos
no framework.

*
*
*
*

Procedimentos de registros.
Formatos de certificados.
Formatos de CRLs.
Formatos para as mensagens de registro (requisio, certificados, certificados
do servidor).
* Formatos para as assinaturas digitais.
* Protocolos de desafio/resposta.
Os principais padres so o Public Key Cryptography Standards (PKCS) e o X.509,
como podem ser vistos nas prximas sees.

9.6.5.1 Public Key Cryptography Standards (PKCS)


O PKCS um conjunto de padres definido pelo RSA desde 1991, que inclui os
padres para o uso da criptografia de chave pblica. O conjunto de padres pode ser
visto na Tabela 9.5.
Tabela 9.5
PKCS
PKCS
PKCS
PKCS
PKCS
PKCS
PKCS
PKCS
PKCS
PKCS
PKCS
PKCS
PKCS
PKCS
PKCS
PKCS

O IPKI uma especificao da International Engineering Task Force (IETF) e tem


como objetivo detalhar a aplicao do padro X.509. Para isso, os padres da IPKI
foram divididos em quatro partes:
* Certificados X.509 e profile da lista de revogao de certificados (Certificate
Revocation List CRL), para facilitar a adoo dos certificados X.509.
* Protocolos operacionais, para a recuperao de certificados e de listas de revogao, via LDAP ou FTP. O Online Certificate Status Protocol (OCSP) tambm
especificado nesta parte.
* Protocolos de gerenciamento dos certificados, como certificao cruzada, requisio de revogao de certificados, recuperao de chaves etc.
* Poltica para a certificao.

Conjunto de padres PKCS.


Descrio

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

9.6.5.3 Internet Public Key Infrastructure (IPKI)

Cifragem e assinaturas utilizando o algoritmo RSA.


Incorporado no PKCS 1.
Protocolo de negociao de chaves Diffie-Hellman.
Incorporado no PKCS 1.
Cifragem utilizando uma chave secreta derivada de senha.
Sintaxe de certificados estendidos.
Sintaxe de mensagens de criptografia.
Formato para informaes da chave privada.
Tipos de atributos para outros padres PKCS.
Requisies de certificao.
API de criptografia para dispositivos criptogrficos.
Sintaxe da troca de informaes privadas.
Criptografia de curvas elpticas.
Gerao de nmeros pseudo-randmicos.
Formato das credenciais em dispositivos criptogrficos.

9.6.5.4 Simple Public Key Infrastructure (SPKI)


O SPKI uma especificao da International Engineering Task Force (IETF) e tem
como principal caracterstica a utilizao de uma estrutura de dados com base em
texto. Com isso, o SPKI procura aceitar um diretrio global, buscando eficincia na
implementao, alm da liberdade e flexibilidade no desenvolvimento de estruturas
para um grande nmero de usurios.

9.7 CONCLUSO
Vimos que a criptografia tem uma importncia fundamental para as organizaes,
ao fornecer segurana por meio do sigilo, integridade, autenticao e no-repdio.
Diversos aspectos devem ser considerados para que um sistema criptogrfico seja
seguro, como o tamanho das chaves, o algoritmo critptogrfico, o armazenamento

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS


316
das chaves ou a implementao dos prprios sistemas. Os certificados digitais, provenientes da criptografia de chaves pblicas, tm um papel importante em um ambiente cooperativo, ao facilitar, principalmente, a autenticao entre usurios de organizaes diferentes, de modo mais seguro que o tradicional. Isso faz com que uma
infra-estrutura de chave pblica (Public Key Infrastructure PKI) seja importante de
ser considerada. Outro benefcio de uma PKI que ela oferece, por meio dos certificados digitais, uma plataforma nica de autenticao e assinatura digital.

Redes privadas virtuais

As redes privadas virtuais (Virtual Private Network VPN) tm


uma importncia fundamental para as organizaes, principalmente no seu aspecto econmico, ao permitirem que as conexes
dedicadas sejam substitudas pelas conexes pblicas. Alm do que
ocorre com as conexes privadas, tambm possvel obter economia com a substituio das estruturas de conexes remotas, que
podem ser eliminadas em funo da utilizao dos clientes e provedores VPN. Porm, essas vantagens requerem uma srie de consideraes com relao segurana, em especial com os clientes VPN.
Este captulo mostrar a VPN e as implicaes de segurana envolvidas, alm dos principais protocolos disponveis para a comunicao
entre as empresas, por meio de tneis virtuais.

C
a
p

t
u
l
o
10

10.1 MOTIVAO E OBJETIVOS


As comunicaes entre matriz, filiais, fornecedores, distribuidores, parceiros de negcios, clientes e usurios mveis formam o pilar
de um ambiente cooperativo. por meio dessa malha de comunicao que os negcios so realizados, formando, assim, uma infra-estrutura importante para qualquer organizao. Essa malha de comunicao caracterizada por dois aspectos principais: o aumento do
nmero de conexes, a cada novo integrante do ambiente cooperativo, e a conseqente elevao dos custos envolvidos com as novas
conexes dedicadas. Nesse contexto, a malha de comunicaes (Figura 10.1) traz algumas implicaes para todos os envolvidos:

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 10: Redes privadas virtuais

318

319

* Aumento da complexidade das conexes.


* Aumento do nmero de conexes que devem ser gerenciadas.
* Aumento dos custos conforme o aumento do nmero de integrantes do ambiente.

Figura 10.2

Figura 10.1 A malha de comunicao entre matriz, filial, distribuidor, fornecedor e Internet.

Com relao aos usurios mveis e remotos, as implicaes envolvidas so semelhantes s da malha de comunicaes, porm so direcionadas estrutura de acesso
remoto, que inclui o pool de modems e os servidores de autenticao.
Ao mesmo tempo em que aumenta o nmero de conexes entre as organizaes,
pode-se ver, tambm, o aumento da utilizao de redes pblicas, em particular da
Internet. Com custos relativamente mais baixos, comparados s conexes dedicadas,
as redes pblicas formam o meio fsico utilizado pelas redes privadas virtuais.
As redes privadas virtuais constituem um componente importante dentro do ambiente cooperativo e tm como objetivo utilizar uma rede pblica para a comunicao, em substituio s conexes privadas e s estruturas de acesso remoto, que tm
custos mais elevados. Com as VPNs, possvel criar conexes privadas, de modo que as
comunicaes podem passar a ser realizadas por meio de uma nica ligao com a
rede pblica. O resultado dessa abordagem pode ser observado na simplicidade das
conexes (Figura 10.2), nas quais apenas uma conexo pblica precisa ser gerenciada,
em oposio s mltiplas conexes mostradas na Figura 10.1.

Simplicidade das conexes pelo uso de VPNs.

Assim, quando a VPN utilizada, o servio aparece para o usurio como se


estivesse conectado diretamente rede privada, quando na realidade utiliza uma
infra-estrutura pblica. A utilizao da rede pblica para a comunicao entre matriz, filiais e parceiros comerciais significa custos mais baixos e maior flexibilidade
e escalabilidade com relao a usurios mveis e mudanas e aumento das conexes. De fato, a Forrester Research estima que a reduo dos custos, quando uma
VPN utilizada, maior que 60%, dependendo do caso.
O gerenciamento das conexes privadas mais complexo devido ao grande nmero
de componentes envolvidos e ainda tem, alm dos custos altos, problemas com a
flexibilidade e escalabilidade. De fato, a utilizao de uma conexo com a Internet
facilita o gerenciamento das conexes, pois no mais necessrio criar um ponto de
conexo privado para cada uma das conexes, e sim apenas uma: para a Internet. Com
isso, pode-se tirar vantagem da conectividade global, que mais difcil e mais cara de
ser alcanada por meio de conexes dedicadas. Esse conjunto de fatores facilita a
conexo entre as organizaes, oferecendo alternativas que podem ser exploradas
para a busca da evoluo natural em seus processos de negcios.
As prximas sees mostram as implicaes envolvidas com a utilizao de VPNs,
seus fundamentos, as diferentes configuraes de VPNs e os diferentes protocolos
de tunelamento que formam a base das redes privadas virtuais.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 10: Redes privadas virtuais

320

10.2 IMPLICAES
A proposta da VPN, de substituir as conexes dedicadas caras e as estruturas de
acesso remoto pela rede pblica, trouxe uma srie de implicaes, principalmente
quanto segurana da informao, que passa a correr riscos com relao ao seu
sigilo e sua integridade.
De fato, trafegar informaes confidenciais sobre negcios estratgicos e novos
projetos em redes pblicas, sem a devida segurana, pode resultar em prejuzos
imensurveis. O primeiro problema que pode ocorrer com a utilizao da rede pblica a possibilidade de abuso do packet sniffing (Seo 4.5.5), situao em que
qualquer indivduo tem a possibilidade de capturar pacotes contendo informaes
das organizaes, comprometendo, assim, seu sigilo, podendo ainda ser estendido
perda de integridade. Outro problema a possibilidade de um ataque ativo conexo por TCP (Seo 4.7), de modo que sua integridade possa ser comprometida.
Problemas de IP Spoofing (Seo 4.5.9) tambm podem ocorrer, com um usurio
podendo se passar por outro, causando problemas de autenticao e autorizao.
Essas possibilidades de ataque foram discutidas e tratadas na definio da VPN,
como poder ser visto nas prximas sees.

10.3 OS FUNDAMENTOS DA VPN


Os conceitos que fundamentam a VPN so a criptografia e o tunelamento. A
criptografia utilizada para garantir a autenticidade, o sigilo e a integridade das
conexes, e a base da segurana dos tneis VPN. Isso poder ser observado na
Seo 10.5.2, que discute o IPSec, um dos protocolos mais difundidos em VPNs.
Trabalhando na Camada 3 do modelo ISO/OSI, a criptografia independente da rede
e da aplicao, podendo ser aplicada em qualquer forma de comunicao possvel de
ser roteada, como voz, vdeo e dados [HER 98].
O tnel VPN formado pelo tunelamento que permite a utilizao de uma rede
pblica para o trfego das informaes, at mesmo de protocolos diferentes do IP,
por meio da criao de um tnel virtual formado entre as duas partes da conexo.
Pode-se considerar, portanto, que uma VPN formada pelo conjunto do
tunelamento, o qual permite o trfego em uma rede pblica, e da criptografia, que
visa garantir a segurana dessa conexo. Porm, os diversos protocolos existentes
diferem entre si na camada do modelo ISO/OSI no qual atuam e tambm no modo
como a criptografia utilizada. Por exemplo, o Layer 2 Tunneling Protocol (L2TP) e
o Point-to-Point Tunneling Protocol (PPTP) fazem uso apenas da autenticao, en-

321
quanto o IP Security (IPSec) pode fazer uso da autenticao, da integridade e do
sigilo dos pacotes.
Alm do tunelamento e da criptografia, outras caractersticas fundamentais que
devem ser consideradas na implementao de uma VPN so o gerenciamento e o
controle de trfego, que sero analisados na Seo 10.7.

10.4 O TUNELAMENTO
O conceito de tunelamento foi utilizado, inicialmente, com o objetivo de possibilitar a comunicao entre organizaes que utilizam um determinado protocolo,
empregando um meio que tem como base um outro protocolo diferente. Por exemplo, pacotes Internet Packet Exchange (IPX) podem, pelo encapsulamento e pelo
tunelamento, ser transmitidos por uma rede IP, usando-se o tunelamento. Alguns
protocolos de tunelamento, como o Generic Routing Encapsulation (GRE), tambm
so utilizados para o encapsulamento de cabealhos de roteamento.
Os protocolos de tunelamento utilizados nas VPNs, que so vistos na Seo 10.6,
tratam do encapsulamento dos dados do usurio (payload) em pacotes IP. O tunelamento
importante, porque um tnel IP pode acomodar qualquer tipo de payload, e o
usurio mvel pode utilizar a VPN para acessar, de modo transparente, a rede da
organizao, seja ela com base em IP, IPX, AppleTalk ou em outros protocolos.

10.5 AS CONFIGURAES
Diversos tipos de VPNs podem ser utilizados para o acesso s informaes. Os
tneis VPN podem ser criados tanto na prpria rede da organizao (via um gateway),
o que ocorre comumente em ambientes cooperativos, quanto no prprio equipamento do usurio, o que uma situao comum em acesso remoto. Para os usurios
que se comunicam por meio de suas organizaes, como se essas duas redes
diferentes fossem, na realidade, uma nica rede, constituindo, assim, uma rede
virtual privada, que passa fisicamente por uma rede pblica.
Esse tipo de VPN, que transparente ao usurio, pode ser chamado de gatewayto-gateway VPN (Figura 10.3), e o tnel VPN (Seo 10.3) iniciado e finalizado nos
gateways das organizaes. O gateway-to-gateway VPN pode ser visto tambm no
caso de acesso remoto, quando o usurio se conecta ao provedor VPN, onde o tnel
VPN iniciado (Figura 10.4). Outro tipo de VPN o client-to-gateway VPN, no qual
o tnel iniciado no prprio equipamento do usurio, por meio de um software
cliente (figuras 10.5 e 10.6).

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 10: Redes privadas virtuais

322

323

Figura 10.3 Gateway-to-gateway VPN, no qual o tnel VPN criado entre duas redes.

Figura 10.5

Client-to-gateway VPN com provedor de acesso e software VPN.

Figura 10.6

Client-to-gateway VPN, no qual os usurios utilizam um software VPN.

Figura 10.4 Gateway-to-gateway VPN, no qual o usurio utiliza um provedor VPN.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 10: Redes privadas virtuais

324
Esses dois tipos de VPNs (gateway-to-gateway VPN e client-to-gateway VPN) podem ser utilizados para caracterizar uma intranet VPN, que conecta a matriz a
departamentos e filiais de uma mesma organizao, ou uma extranet VPN, que conecta
a organizao a parceiros estratgicos, clientes ou fornecedores. A intranet VPN
exige uma tecnologia de ponta para as conexes de grande velocidade, que so
caractersticas das LANs, alm de uma confiabilidade que seja suficiente para assegurar a prioridade em aplicaes de misso crtica. A facilidade de gerenciamento,
necessria para acomodar mudanas decorrentes de novos usurios, novas filiais e
novas aplicaes, tambm importante.
J a extranet VPN pode requerer a utilizao de um protocolo de tunelamento
para assegurar a interoperabilidade entre as vrias solues dos parceiros, pois o
controle de trfego importante para que os gargalos sejam evitados e para que a
rpida resposta s requisies de informaes crticas seja garantida.
Alm da economia com as linhas dedicadas, possibilitada pela intranet VPN e
pela extranet VPN, as redes privadas virtuais podem ser configuradas tambm como
um meio substituto ao acesso remoto tradicional. Os custos de manuteno dos
componentes de acesso remoto, que incluem o pool de modems e as linhas telefnicas, podem ser considerados bem maiores que em uma soluo VPN. Alm da economia com a estrutura, a VPN permite uma economia significativa, tambm, com a
administrao do acesso remoto, que estaria a cargo do provedor de acesso Internet
ou de acesso por VPN. Essa soluo, na qual o tnel VPN iniciado no equipamento
do usurio, que se conecta a um provedor de acesso Internet, substituindo o
acesso remoto direto, uma das formas de remote-access VPN e pode ser vista na
Figura 10.7. O remote-access VPN tem grande utilidade em um ambiente cooperativo, pois os usurios remotos no precisam mais realizar ligaes interurbanas e
passam a acessar os recursos da organizao por meio de um tnel virtual criado
pela Internet.
Uma autenticao eficiente um requisito importante para o remote access VPN,
pois os recursos da organizao so acessados diretamente pelos usurios e a segurana fsica difcil de ser implementada em solues remotas. Apesar dos grandes
benefcios, a utilizao de um software de VPN para acessar a rede interna da organizao apresenta uma srie de implicaes de segurana que precisam ser consideradas, as quais sero discutidas na Seo 10.5.1.

325

Figura 10.7

Remote-access VPN, por meio de provedor Internet e software VPN.

Outra forma de remote-access VPN quando o tnel VPN iniciado no provedor


de acesso, que faz o papel de provedor VPN. O usurio, assim, pode utilizar uma
conexo discada via PPP para o provedor VPN, de onde o tnel iniciado para a rede
da organizao (Figura 10.8).

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 10: Redes privadas virtuais

326

327
A configurao desse software feita por meio de um arquivo que contm todos
os parmetros de tunelamento necessrios e deve ser importado para o software
mediante a utilizao de uma chave secreta. Essa chave e o arquivo de configurao, que pode incluir certificado digital, so gerados pela autoridade certificadora,
e a chave secreta utilizada no processo de importao aumenta o nvel de segurana
do processo, ao evitar que o arquivo de configurao seja capturado e utilizado
indiscriminadamente. A segurana desse processo ser analisada na Seo 10.5.1.2.2.
Resumidamente, os passos do funcionamento do acesso remoto por VPN so:

Figura 10.8 Remote-access VPN, por meio de provedor VPN, no qual o tnel criado.

10.5.1 Aspectos de segurana do acesso remoto


por VPN
O acesso remoto por VPN (remote-access VPN) tem uma importncia cada vez
maior, na medida em que cresce a utilizao da computao mvel. Vendedores,
consultores, clientes, telecommuters, home users e parceiros de negcios, alm da
prpria organizao, so os principais usurios que aproveitam os benefcios oferecidos pelo acesso remoto por VPN. Os grandes benefcios, porm, podem ser perdidos, caso exista uma falha na segurana e a rede da organizao seja atacada. Esta
seo trata da segurana do acesso remoto via cliente VPN, que tem suas diversas
particularidades que precisam ser consideradas [NAK 00].

10.5.1.1 O modo de funcionamento do cliente VPN


O software-cliente, que foi utilizado como base para a anlise, funciona da maneira mostrada a seguir, pois outras solues de acesso remoto por VPN operam de
modo similar: o usurio precisa instalar em seu equipamento um software, o cliente
VPN, responsvel pela inicializao do tunelamento, que tem como base o IP Security
(IPSec), que ser visto na Seo 10.6.2.

1. O usurio instala o software-cliente VPN.


2. A autoridade certificadora gera um arquivo contendo os parmetros necessrios para a conexo IPSec; entre eles esto o certificado digital, a chave
assimtrica e os algoritmos criptogrficos a serem utilizados.
3. A autoridade certificadora gera uma chave secreta, que deve ser utilizada pelo
usurio na importao do arquivo de parmetros no software-cliente.
4. O usurio recebe o arquivo de parmetros e a chave secreta.
5. O usurio utiliza a chave secreta para importar o arquivo de parmetros.
6. O usurio configura o software-cliente por meio da importao do arquivo de
parmetros e, assim, est apto a iniciar um tunelamento IPSec para a rede da
organizao.
7. A conexo IPSec negociada entre o usurio e a rede da organizao, de
acordo com os parmetros do usurio e do servidor, que tem uma lista dos
recursos acessados por cada usurio.
Um aspecto importante que, uma vez que o software-cliente VPN configurado, pela importao dos parmetros do tnel IPSec, a autenticao feita tendo
como base o equipamento, e no necessariamente o usurio. Isso cria algumas
aberturas na segurana da rede da organizao, como ser visto na prxima seo.

10.5.1.2 A segurana do acesso remoto por VPN


Ataques do tipo Denial of Service (DoS) certamente so um grande problema,
que pode resultar em grandes prejuzos. Porm, nesta anlise, o enfoque est em
garantir a segurana da rede interna da organizao, ou seja, garantir que o uso do
acesso remoto por VPN no resulte em uma falha de segurana e nas conseqentes
quebras de sigilo ou de integridade dos recursos da organizao. O enfoque da
anlise ser mostrado com base nessa possibilidade, verificando aspectos que incluem o protocolo IPSec, as configuraes do software-cliente, a possibilidade de o
cliente ser utilizado como ponte para a rede da organizao, o compartilhamento

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS


328
de arquivos do Windows e a utilizao de modems. Sabe-se, contudo, que ataques de
DoS so muitas vezes criados como parte de um ataque ativo a um recurso.
Um fato interessante que o ataque contra a rede da Microsoft, em outubro de
2000, foi conduzido a partir de So Petersburgo, na Rssia, por meio de uma conexo de VPN de um funcionrio da Microsoft [ARM 01].

10.5.1.2.1 IPSec
A segurana da conexo tem como base, fundamentalmente, o IPSec (Seo 10.6.2),
que , reconhecidamente, um protocolo seguro e padro de facto das VPNs. A autenticao do cliente, a autenticao do servidor e o sigilo e integridade dos dados so
fornecidos por esse protocolo e pelos algoritmos criptogrficos negociados pelo mesmo. Porm, no se deve esquecer de que o fato de um protocolo ser seguro no
garante a segurana do sistema, pois ela depende da correta implementao do protocolo. J foram descobertos diversos casos de erros de implementao que comprometiam a segurana, principalmente em algoritmos criptogrficos. Portanto, uma falha
na implementao do IPSec pode comprometer o sistema, e esse aspecto deve ser
verificado por meio de insistentes testes e anlises de todas as possibilidades de
conexes. Mesmo a implementao e o projeto do cliente VPN podem ter problemas
que venham a comprometer totalmente a segurana.
Ataques tericos contra o IPSec foram demonstrados em [BEL 97], porm a
implementao dessas tcnicas seria bastante improvvel, devido complexidade
dos cenrios necessrios que exigem anlise constante e rpida de todos os pacotes
da conexo.

10.5.1.2.2 Segurana do certificado digital e da chave assimtrica


Foi visto que o certificado digital e a chave assimtrica, alm dos parmetros
necessrios para a criao do tnel IPSec, so armazenados em um arquivo que deve
ser importado pelo cliente.
Os riscos existentes com relao apropriao indevida do certificado digital
e da chave assimtrica esto relacionados com a captura desse arquivo de configurao da VPN e tambm com o uso no autorizado ou com o roubo do equipamento do usurio.
Um ataque visando a captura do arquivo de configurao no surtiria efeito
direto, pois, para que este possa ser utilizado, necessrio empregar uma chave
secreta para import-lo no software-cliente do usurio. Assim, o ataque teria sucesso apenas se o hacker capturasse tambm a chave de importao do arquivo. Essa
abordagem, de tornar imprescindvel a utilizao de dois elementos (arquivo de

Captulo 10: Redes privadas virtuais


329
configurao e chave de importao), aumenta o nvel de segurana do esquema,
pois fica mais difcil para o hacker obter esses dois elementos distintos, que se
relacionam entre si.
A grande questo est no modo como esses elementos so enviados ao cliente.
essencial que um canal seguro seja utilizado para a transferncia do arquivo de
configurao e da chave de importao. Caso no seja possvel utilizar um canal
seguro, o nvel de segurana do processo de transferncia pode ser aumentado,
utilizando-se dois canais diferentes, como o telefone e o e-mail, um para a transferncia do arquivo de configurao e o outro para a transferncia da chave de
importao.
Outra possibilidade de ataque o roubo do equipamento do usurio. Para quem
roubar o equipamento, o acesso rede interna torna-se praticamente automtico,
pois o software-cliente j est apropriadamente configurado para uso. Essa uma
possibilidade que deve ser analisada com cuidado, pois tem sido observado um
aumento significativo na criminalidade envolvendo roubos de notebooks.
Alm disso, ainda possvel roubar o disco rgido de desktops, de maneira
relativamente simples. Alguns equipamentos tm, at mesmo, uma gaveta removvel para o posicionamento do disco rgido, tornando mais fcil a ao de quem tem
a inteno de roub-lo.
Outra oportunidade perigosa ocorre quando um equipamento contendo o
software-cliente VPN enviado assistncia tcnica. possvel recuperar e copiar
diversos tipos de informaes desse equipamento, o que pode comprometer a
segurana do sistema. O que tambm pode ocorrer com o cliente VPN algum
utilizar o equipamento emprestado, em momentos de ausncia do dono, para
fazer a conexo por VPN.
Esses problemas podem ser minimizados de uma maneira simples, com a utilizao de uma senha de acesso no software-cliente VPN. Seu nvel de segurana, no
entanto, depende do mtodo de armazenamento da senha e do algoritmo criptogrfico
que so utilizados pelo software. Uma anlise desses fatores importante, pois j
foram relatadas diversas ocorrncias de senhas fceis que foram descobertas, como
os casos das senhas utilizadas em documentos do Word ou do Excel, e at mesmo
das senhas de login da rede Microsoft e dos protetores de tela. Alm dos problemas
com os algoritmos, so conhecidos diversos mtodos de recuperao de senhas.
Alguns desses mtodos envolvem sofisticados ataques com recursos algbricos e
estatsticos, utilizados para localizar chaves de criptografia escondidas em uma
grande string ou em grandes arquivos [SHA 98]. Ataques de fora bruta contra a
senha tambm podem ser utilizados para que o software-cliente passe a funcionar
normalmente.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS


330

331

10.5.1.2.3 Uma possibilidade perigosa cliente VPN como gateway


Uma caracterstica que abre um grande leque de possibilidades de ataque a
utilizao do cliente VPN como um gateway entre a Internet e a rede interna, ou
seja, como uma ponte. Isso pode ocorrer porque o equipamento do usurio passa a
ter duas conexes, uma com a nternet e outra, via tunelamento IPSec, com a rede
da organizao. Dessa maneira, o hacker pode utilizar uma conexo (com a Internet)
para passar para a outra (o tnel IPSec), podendo alcanar, assim, a rede da organizao, como pode ser visto na Figura 10.9. As consideraes de segurana envolvidas aqui so, portanto, muito preocupantes, pois o cliente est disponvel (porm,
no est aberto) a todo o universo da Internet.
Essa ponte pode ser caracterizada, porque o cliente VPN age sobre a pilha TCP/
IP do cliente, de modo que todo pacote endereado rede da organizao transformado em um pacote IPSec, que so pacotes vlidos e autenticados.

Figura 10.9

Captulo 10: Redes privadas virtuais

O cliente VPN sendo utilizado como ponte para um ataque.

Um dos mtodos para fazer com que o cliente VPN atue como um gateway entre
a Internet e a rede da organizao por meio do roteamento de pacotes por esse
cliente. Se esse cliente tiver a capacidade de roteamento, um hacker pode enviar
pacotes a ele, que, por sua vez, rotearia esses pacotes para a rede da organizao. A
capacidade de roteamento depende do sistema operacional em uso pelo cliente.
Pode-se afirmar que os usurios que utilizam o Windows 9x ou o Windows NT
Workstation esto imunes a esse tipo de ataque, pois esses sistemas operacionais
no tm essa capacidade. O mesmo no se pode dizer daqueles que utilizam o
Windows 2000 Server, o Linux ou as variaes de UNIX em geral, que so capazes de
rotear pacotes.
Porm, pela lgica, esses clientes no devem rotear pacotes para a rede interna
da organizao, ou seja, as rotas-padro para a rede interna devem ser evitadas a
todo custo. Portanto, primeiramente, uma rota com destino rede interna da organizao deve ser includa, o que pode ser considerado difcil, mas possvel mediante um ataque a esse equipamento.
Uma possibilidade de forar o roteamento a utilizao de uma funcionalidade
do TCP/IP, o source routing. Por meio dele, possvel criar pacotes com informaes
de roteamento, ou seja, pode-se enviar um pacote ao equipamento do cliente VPN
com informaes sobre qual rota esse pacote deve seguir, que, nesse caso, seria para
a rede da organizao. Essa uma funcionalidade com enormes implicaes de
segurana, pois permite que um hacker envie pacotes com informaes de roteamento
para qualquer destino desejado, pois essa rota normalmente seria proibida. Alm
disso, o source routing utilizado para que firewalls sejam driblados e uma rota de
retorno dos pacotes seja definida. Ele pode ser utilizado em ataques mais sofisticados, que dependem de uma resposta da vtima; so, geralmente, empregados em
conjunto com o IP Spoofing.
Um aspecto importante com relao ao source routing que essa funcionalidade
pode ser utilizada por hosts roteadores e por hosts que no atuam como roteadores.
Por esse motivo, existe a preocupao tambm com o Windows NT Workstation e
com o Windows 9x [MIC 99-4]. No Windows NT, essa opo no podia ser desabilitada,
o que possvel somente por meio da aplicao do Service Pack 5 [MIC 99-1].
Contudo, foi descoberta uma outra vulnerabilidade no Windows que permitia a utilizao do source routing, mesmo ela estando desabilitada [NAI 99]. O patch de
correo da vulnerabilidade est disponvel, menos para o Windows 9x e o Windows
NT 4.0 Server, Terminal Server Edition [MIC 99-2].
Outra possibilidade de invadir a rede interna por meio do controle da mquina
do usurio. Existem diversos ataques conhecidos que tiram proveito de falhas nos
sistemas operacionais, nos aplicativos ou nos servios. Uma dessas inmeras falhas
poderia ser utilizada para que o hacker assumisse o controle da mquina ou roubas-

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 10: Redes privadas virtuais

332
se arquivos que seriam utilizados no ataque rede interna. Esse mesmo tipo de
ataque poderia, ainda, ser utilizado para a alterao de tabelas de roteamento,
como foi discutido anteriormente.
Geralmente, o Windows 9x e o Windows NT Workstation no disponibilizam
muitos servios e, portanto, so menos suscetveis a ataques. Um port scanning
revelou as seguintes portas abertas nos sistemas operacionais da Microsoft, em uma
instalao-padro:
* Windows 9x porta 139.
* Windows NT Workstation portas 135 e 139.
* Windows NT Server (funcionando como servidor proxy) portas 7, 9, 13, 17,
19, 135, 139, 1080.
As portas 135 e 139 podem ser exploradas para ataques de DoS, que o nico
mtodo de ataque conhecido para elas (alm da explorao do compartilhamento).
Com isso, pode-se considerar que mquinas com o Windows 9x ou Windows NT
Workstation, em sua instalao tpica, sem nenhum servio adicional e, principalmente, sem estarem contaminadas com um vrus ou um cavalo de Tria, tm
menores chances de serem exploradas em um ataque que o Linux, UNIX ou Windows
NT Server.
Assim, os vrus e os cavalos de Tria so as maiores ameaas ao esquema de
segurana da VPN. Esse pode ser considerado o ponto mais crtico no sistema de
segurana de acesso remoto por VPN, pois os usurios (o elo mais fraco da segurana de uma organizao) podem contaminar seus prprios equipamentos por meio da
execuo de programas maliciosos, que, geralmente, adotam a engenharia social,
como foi visto na Seo 4.5.2.
Um cavalo de Tria instalado, combinado com a possibilidade de existncia de
conexo com a Internet e com o tnel VPN, torna possvel o mais perigoso dos
ataques contra a rede interna da organizao. Isso acontece porque o hacker pode
ter acesso a todas as informaes da rede interna da organizao, acessveis pela
VPN. Mesmo a necessidade de uma chave para a inicializao do tnel perde sua
efetividade, pois um cavalo de Tria, como o Back Orifice, pode capturar tudo o que
o usurio digita e at mesmo a sua tela.
Outro ponto a ser considerado so os compartilhamentos de arquivos do Windows.
Uma configurao errada do sistema operacional pode permitir que seus arquivos
sejam acessveis pelos demais equipamentos da sua rede e tambm pela Internet
(pela opo NetBEUI over TCP/IP). Com isso, as informaes residentes na mquina
do cliente podem ficar disponveis por meio desse compartilhamento. Essas infor-

333
maes podem ser confidenciais, tendo sido armazenadas no equipamento do cliente depois de uma conexo segura por IPSec.
O equipamento com o software de VPN pode ser explorado tambm com uma
conexo via modem, o que pode ser facilitado pelo uso de war dialers (Seo 4.9.5).

10.5.1.3 Solues
Todas essas possibilidades de ataque vistas na seo anterior podem ser
minimizadas por meio de uma boa poltica de segurana. Alm da poltica de segurana bem definida, uma defesa mais ativa deve ser utilizada, como port scannings
ou firewalls individuais (Seo 7.3.7) nos clientes. O posicionamento da VPN com
relao ao firewall da organizao tambm deve ser considerado seriamente, para
que os usurios no driblem a poltica de segurana. A Seo 12.2 trata desse
posicionamento da VPN.

10.5.1.3.1 Poltica de segurana


Alguns dos aspectos que devem ser tratados pela poltica de segurana, com
relao ao acesso remoto por VPN, levando-se em considerao os aspectos vistos na
Seo 6.10, so:
* Segurana fsica. Como o estabelecimento de regras para o acesso aos equipamentos, que evitam que eles sejam roubados ou acessados temporariamente,
de modo indevido.
* Procedimentos em caso de roubo ou perda. Se um notebook for roubado, por
exemplo, esse roubo deve ser notificado imediatamente, para que o seu certificado digital seja revogado no mesmo instante.
* Definio de senha para o protetor de tela. A fim de evitar que terceiros
utilizem o equipamento em horrios oportunos, como na hora do almoo, para
ter acesso rede da organizao, via tnel IPSec.
* Os procedimentos a serem realizados. No caso de envio do equipamento
assistncia tcnica, tambm devem ser bem descritos, para que a cpia dos
dados do disco rgido seja evitada.
* Definio de quais servios podem ser executados nesses equipamentos. Foi
visto que cada servio funciona como uma porta de entrada, e o hacker pode
explor-la para a realizao de um ataque. Quanto menos portas abertas existirem, menores so as possibilidades de ataque. Servios que no so essenciais devem ser, portanto, desabilitados.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 10: Redes privadas virtuais

334
* essencial uma poltica de atualizao dos sistemas operacionais, aplicativos
e servios, pois so essas atualizaes que trazem solues para os bugs e as
vulnerabilidades que podem ser explorados pelos hackers.
* Procedimento para as conexes de VPN. Uma das regras necessrias desconectar
o cabo de rede no momento da conexo VPN, caso esse equipamento faa parte
de outra rede. Na realidade, essa prtica deve ser empregada sempre que um
modem for utilizado, para evitar que algum, pela Internet, tenha acesso aos
outros pontos dessa rede. No esquema do acesso remoto por VPN, a desconexo
do cabo de rede evita tambm que outros usurios da mesma rede desse cliente consigam entrar na rede interna da organizao via VPN.
* Uma poltica de preveno contra vrus e cavalos de Tria essencial, tanto
com relao educao dos usurios, que precisam saber quais tipos de arquivos podem ser abertos e executados em seu equipamento, quanto para a utilizao e atualizao dos antivrus.
* Definir normas para a utilizao de modems. Principalmente, no deixar o
modem em espera, pois uma conexo externa pode comprometer no apenas a
segurana da VPN, mas tambm da prpria rede da organizao.
* Norma que trata do roteamento, determinando quais mquinas trabalham como
roteadores ou se existe mesmo a necessidade de deixar habilitada a opo de
source routing, o que uma situao extremamente rara.
A poltica de segurana , portanto, imprescindvel para a organizao. Porm,
no caso do acesso remoto por VPN, uma srie de complicaes vem tona, como por
exemplo:
* Como implantar uma poltica de segurana em equipamentos de terceiros,
que, geralmente, so utilizados tambm para outros fins?
* Como controlar, por exemplo, o equipamento de um revendedor que utilizado para controle das vendas, acesso Internet e leitura de e-mails, alm da
conexo por VPN?
* Como exigir que uma poltica de segurana seja seguida por esse usurio?
* Como garantir que essa poltica seja seguida?
Essa poltica poderia ser mais facilmente implementada caso os equipamentos pertencessem prpria organizao que disponibiliza o servio, pois permitiria um melhor controle do equipamento, podendo-se controlar o que o usurio
pode instalar, acessar, apagar etc. Porm, essa no uma situao normal, sendo necessrios grandes esforos adicionais, tais como um acompanhamento eficiente e uma auditoria constante. Alm disso, medidas mais pr-ativas tambm

335
devem ser adotadas. Elas auxiliam na segurana da soluo e sero apresentadas
a seguir.

10.5.1.3.2 Sem acesso simultneo Internet e VPN


Vimos que as possibilidades de ataque mais concretas se devem ao fato de o
cliente VPN ter uma conexo direta com a Internet e uma outra com a organizao,
via tnel VPN.
A utilizao do cliente VPN como gateway de ataque depende do source routing,
de modo que essa opo deve ser imediatamente desabilitada. Essa medida, porm,
no elimina os riscos com os vrus e cavalos de Tria, que devem ser combatidos de
outra forma, principalmente por meio de uma poltica de segurana eficiente.
Os riscos podem ser eliminados se o cliente aceitar somente conexes IPSec.
Isso eliminaria os riscos de ataque ao sistema operacional, aos aplicativos ou aos
servios do cliente, alm de tornar a conexo VPN segura, mesmo se o cliente VPN
estiver contaminado com um vrus ou cavalo de Tria, pois os comandos enviados
ao equipamento contaminado seriam todos descartados. Mesmo se algum conseguir enviar pacotes IPSec ao equipamento, os certificados digitais sero sempre
verificados, e como o cliente VPN no troca certificados com o hacker, essa conexo no ser permitida. Portanto, caso o cliente VPN tenha essa opo de aceitar
somente conexes IPSec, ela deve ser habilitada. Porm, o que se tem observado
que essa possibilidade no implementada em um grande nmero de clientes
VPN, principalmente devido complexidade envolvida quando utilizada uma
conexo PPP discada.
Uma alternativa poderia ser configurar o cliente VPN para que ele enviasse
todos os seus pacotes somente por meio desse tnel IPSec, ou seja, todos os
pacotes enviados pelo seu modem devem ser transformados em pacotes IPSec para
a rede da organizao. Isso permitiria a um hacker da Internet enviar pacotes ou
comandos ao cliente VPN; porm, ele no receberia de volta os pacotes de resposta, que seriam enviados rede da organizao. Essa soluo pode ser eficiente,
existindo, porm, o custo de maior trfego na rede da organizao e a possibilidade de ataques de DoS. Do ponto de vista do usurio, sua largura de banda com o
provedor seria esgotada; do ponto de vista da rede da organizao, seu canal com
a Internet poderia ser comprometido, caso haja um ataque coordenado, em que
diversos clientes VPN enviam, ao mesmo tempo, uma quantidade muito grande de
pacotes rede da organizao. Assim, a rede da organizao ficaria inacessvel,
resultando em prejuzos.
Essa situao pode ainda provocar uma possibilidade mais sria, na qual o hacker
teria condies de criar pacotes com comandos maliciosos, que seriam enviados

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 10: Redes privadas virtuais

336
automaticamente rede da organizao pelo cliente VPN. O hacker seria impossibilitado de obter respostas, porm a rede da organizao poderia passar a negar
servios legtimos (ataque de DoS).

10.5.1.3.3 Port scannings


Por meio da utilizao de port scannings (Seo 4.5.6) nos clientes VPN, possvel verificar quais servios esto sendo executados nos respectivos equipamentos,
alm de ser possvel determinar se ele est ou no contaminado com determinados
vrus ou cavalos de Tria. Assim, caso seja detectada uma contaminao ou servios
indevidos ou desnecessrios, as devidas providncias podem ser tomadas, como a
descontaminao ou a desabilitao de servios.
O port scanning pode ser um requisito para o estabelecimento de uma conexo
por VPN entre o cliente e a rede da organizao. Uma regra til define que a conexo s seja efetivada depois de uma varredura. Outra regra til diz que a varredura
deve ser executada periodicamente, dependendo da poltica de segurana da organizao.
Alm do port scanning, que verifica as portas abertas, o scanning de
vulnerabilidades (Seo 4.5.7) tambm pode ser utilizado, de acordo com a necessidade. Isso minimiza as possibilidades de ataque, pois as vulnerabilidades de sistemas operacionais, aplicativos e servios podem ser detectadas e corrigidas, teoricamente, antes que os hackers mais comuns tirem proveito delas. A dificuldade em
adotar essa prtica est no processo de execuo das varreduras, pois os endereos
IP dos clientes so dinmicos. Alm disso, varreduras em sistemas no autorizados
podem resultar em diversos problemas ticos e legais, e por isso elas devem ser
feitas com extremo cuidado, e apenas em equipamentos dos quais se tenha certeza
que esto conectados rede da organizao.

10.5.1.3.4 Firewall individual


A utilizao de firewall individual ou pessoal, discutido na Seo 7.3.7, pode
minimizar grande parte dos problemas de segurana. Por seu intermdio, possvel
obter um controle das conexes do cliente, de modo que uma poltica pode definir
a exigncia de sua utilizao. Isso eliminaria os problemas com cavalos de Tria,
que ainda poderiam infectar o cliente. Mas o cliente no poderia ser controlado
pelos comandos, que no chegariam at ele, pois seriam bloqueados pelo firewall
individual. Os problemas envolvendo o roteamento por meio do cliente tambm
poderiam ser contornados.

337
Porm, no se deve esquecer de que um vrus sempre pode reescrever essas
regras do firewall individual, mesmo que isso exija um trabalho extra para o atacante. Alm disso, basta que a soluo fique conhecida, para que passe a se tornar
tambm alvo dos atacantes. Isso refora novamente a importncia de uma poltica
de segurana bem definida.

10.6 OS PROTOCOLOS DE TUNELAMENTO


O tunelamento constitui um dos pilares das redes privadas virtuais e pode ser
realizado nas camadas 2 e 3, pois as duas possuem suas vantagens e desvantagens.
Alguns dos protocolos propostos para a Camada 2 so: Point-to-Point Tunneling Protocol
(PPTP), Layer 2 Forwarding (L2F), Layer 2 Tunneling Protocol (L2TP), Virtual Tunneling
Protocol (VTP) e MultiProtocol Label Switching (MPLS). O Mobile IP e o Internet
Security (IPSec) so alguns protocolos utilizados na Camada 3 [BAT 98]. Nem todos
esses protocolos so referentes segurana, pois eles so responsveis pelo
tunelamento, que pode ser utilizado para o trfego de diferentes protocolos em
redes diferentes, para a engenharia de trfego ou para a cifragem da comunicao.
O tunelamento no Nvel 2, por atuar em um nvel inferior do modelo ISO/OSI,
tem algumas vantagens com relao ao tunelamento no Nvel 3, tais como a simplicidade, a compresso e a codificao completa e a inicializao bidirecional do
tnel.
Suas caractersticas fazem com que ele seja indicado, principalmente, para o
acesso discado ou para os tipos de acesso que tm seus custos relacionados sua
utilizao, ou seja, quando os custos so definidos de acordo com a quantidade de
bytes que trafegam por essa VPN. J suas desvantagens so a padronizao ainda
em desenvolvimento e as questes relativas escalabilidade, confiabilidade e
segurana [BAY 98].
Um exemplo de problema de escalabilidade pode ser visto quando a segurana
fornecida no L2TP, geralmente pelo IPSec. O cabealho sofre um overhead considervel, como pode ser observado na Figura 10.10. Esse overhead influi diretamente
na fragmentao e na perda de pacotes, prejudicando assim o desempenho do acesso por VPN.

Figura 10.10

Overhead que pode ocorrer no cabealho de um pacote L2TP.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 10: Redes privadas virtuais

338
Por sua vez, o tunelamento no Nvel 3 tem as vantagens da escalabilidade, da
segurana e da confiabilidade, enquanto suas principais desvantagens so a limitao do nmero de fabricantes e a maior complexidade em seu desenvolvimento [BAT
98]. Porm, essas desvantagens esto sendo minimizadas rapidamente, como pode
ser observado pelo grande nmero de fabricantes que implementam o IPSec em seus
produtos, tornando-o o padro de facto das VPNs.

339
Quando o PPTP utilizado, a abordagem diferente e o tunelamento sempre
iniciado no prprio equipamento do usurio (Figura 10.12). Com isso, o PPTP mais
indicado para a utilizao em laptops, por exemplo, quando o usurio poder se
conectar rede da organizao via VPN, por meio do PPTP, a partir de qualquer
lugar. Apesar disso, um cliente L2TP tambm pode ser instalado no equipamento do
usurio, dispensando, assim, o provedor VPN para o protocolo, como pode ser visto
na Figura 10.13.

10.6.1 PPTP e L2TP


O Layer 2 Tunneling Protocol (L2TP) definido pela Internet Engineering Task
Force (IETF) e tem como base o Layer 2 Forwarding (L2F), da Cisco Systems, e o
Point-to-Point Tunneling Protocol (PPTP), da Microsoft. Ele aceita o tunelamento e a
autenticao do usurio (por exemplo, pelo CHAP ou pelo PAP), sendo muito utilizado para o encapsulamento de pacotes PPP, empregado em conexes discadas.
Um ponto a ser considerado nos dois protocolos que o sigilo, a integridade e a
autenticidade dos pontos que se comunicam devem ser fornecidos por um outro protocolo, o que feito normalmente pelo IPSec. Uma diferena entre o L2TP e o PPTP
que o L2TP pode ser transparente para o usurio, no sentido de que esse tipo de
tunelamento pode ser iniciado no gateway de VPN de um provedor VPN (Figura 10.11).

Figura 10.12

Figura 10.11 O protocolo L2TP sendo utilizado por meio de um provedor VPN.

O protocolo PPTP sendo utilizado por meio de um software-cliente.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 10: Redes privadas virtuais

340

341
* Protocolo de negociao e troca de chaves (Internet Key Exchange IKE), que
permite a negociao das chaves de comunicao entre as organizaes de
modo seguro.
A autenticao pode ser fornecida pelo AH e pelo ESP, pois a diferena entre eles
que a autenticao fornecida pelo ESP no protege os cabealhos IP que antecedem o encapsulamento ESP.
J o AH faz a autenticao desse cabealho IP e tambm do encapsulamento
ESP. Essa diferena ser explicada na prxima seo, na qual o ESP utilizado no
modo de transporte do IPSec, enquanto o AH utilizado no modo tnel do IPSec.
O cabealho ESP pode ser visto na Figura 10.14, enquanto o cabealho AH pode
ser visto na Figura 10.15.

Figura 10.13 O protocolo L2TP sendo utilizado por meio de um software-cliente.

O L2TP utilizado, principalmente, para o trfego de protocolos diferentes de


IP, sobre uma rede pblica com base em IP.

10.6.2 IPSec
O Internet Protocol Security (IPSec) surgiu em 1995, como uma resposta necessidade de segurana contra o monitoramento e o controle do trfego no autorizados da rede [STA 98]; um padro da Internet Engineering Task Force (IETF). A
autenticao e a codificao definidas pelo IPSec so independentes das verses do
IP (verses 4 ou 6), e o protocolo vem se tornando o verdadeiro padro utilizado
pelos tneis VPN. Sua utilizao muito simples, na qual necessrio que os equipamentos (cliente ou gateway) tenham implementado o protocolo na pilha TCP/IP.
Alguns ataques tericos foram discutidos por Bellovin, em [BEL 97], principalmente quanto possibilidade de adquirir informaes dos cabealhos de IPSec.
Esses ataques, porm, dificilmente so utilizados na prtica.
O IPSec composto por trs funcionalidades principais:
* Cabealho de autenticao (Authentication Header AH), que fornece a integridade dos pacotes e a garantia de sua origem.
* Cabealho de encapsulamento do payload (Encapsulation Security Payload
ESP), que fornece o sigilo dos dados que trafegam pela rede pblica.

Figura 10.14

Cabealho ESP do IPSec.

Figura 10.15

Cabealho AH do IPSec.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 10: Redes privadas virtuais

342

343

10.6.2.1 Os dois modos do IPSec


O IPSec pode ser usado para a segurana da comunicao entre dois pontos,
sendo possvel garantir o sigilo e a integridade da comunicao, alm de possibilitar
a autenticao das conexes. O IPSec trabalha de duas maneiras:
* Transport Mode: modo nativo, no qual h a transmisso direta dos dados protegidos pelo IPSec entre os hosts. A codificao e a autenticao so realizadas no payload do pacote IP, e no no cabealho IP (Figura 10.16). utilizado
em dispositivos que incorporam o IPSec na implementao do TCP/IP (Figura
10.17), como no caso de software-cliente IPSec. Algumas modalidades que
utilizam o modo de transporte so o gateway-to-gateway VPN (Figura 10.4),
client-to-gateway VPN (Figura 10.5 e 10.6) e o remote-access VPN (Figura 10.7).

Figura 10.16

* Tunnel Mode: geralmente utilizado pelos gateways IPSec, que manipulam o


trfego IP gerado por hosts que no aceitam o IPSec, como nas modalidades que
podem ser observadas nas figuras 10.3 e 10.8. O gateway encapsula o pacote IP
com a criptografia do IPSec, incluindo o cabealho de IP original. Ele, ento,
adiciona um novo cabealho IP no pacote de dados (Figura 10.18) e o envia por
meio da rede pblica para o segundo gateway, no qual a informao decifrada
e enviada ao host do destinatrio, em sua forma original (Figura 10.19).

Figura 10.18

A codificao e a autenticao no modo tnel do IPSec.

Figura 10.19

No modo tnel, o IPSec implementado no gateway.

A codificao e a autenticao no modo de transporte do IPSec.

Figura 10.17 No modo transporte, o IPsec incorporado na pilha TCP/IP.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 10: Redes privadas virtuais

344

345

10.6.2.2 A negociao dos parmetros do IPSec


O incio de uma conexo segura se d por meio do Security Association (SA). Ele
permite que os usurios negociem, de um modo seguro, um conjunto comum de
atributos de segurana e contm uma srie de informaes que devem ser compartilhadas e aceitas por ambas as partes, como se fosse um contrato. O SA define como
os sistemas que esto se comunicando utilizam os servios de segurana, incluindo
informaes sobre o protocolo de segurana, o algoritmo de autenticao e o algoritmo
de codificao, somando-se ainda informaes sobre fluxo de dados, tempo de durao e nmero de seqncia, que visa inibir o replay-attack.
O SA unidirecional, ou seja, para cada par de sistemas que se comunicam,
existem pelo menos duas conexes seguras. Um SA pode utilizar o ESP ou o AH, mas
no os dois. Caso seja necessrio utilizar ambos, sero necessrios dois SAs para
cada um, somando no total quatro SAs para as conexes bidirecionais. O SA identificado pela combinao de:
* Security Parameter Index (SPI), um nmero nico aleatrio.
* O endereo IP de destino do pacote.
* O protocolo de segurana a ser utilizado (AH ou ESP).

10.6.2.3 O gerenciamento de chaves


O gerenciamento de chaves um dos processos mais importantes do IPSec e
grande parte da segurana da comunicao reside nele, principalmente nas trocas
iniciais das chaves. Um esquema bem definido de trocas deve ser adotado para
evitar ataques do tipo man-in-the-middle, nos quais o hacker pode capturar as trocas de informaes dos dois lados da comunicao, alterando-as de acordo com seus
objetivos.
O gerenciamento de chaves definido pelo IPSec realizado pelo Internet Key Exchange
(IKE), que tem como base o Internet Security Association and Key Management Protocol
(ISAKMP) e o Oakley, que o responsvel pela troca de chaves.
O IKE est relacionado diretamente com a negociao dos Security Associations
(SAs) e com a troca de chaves. Seu funcionamento dividido em duas fases: na
primeira fase, o par estabelece um canal seguro para a criao do IKE SA, que um
SA utilizado para a negociao dos SAs (segunda fase), conforme a Figura 10.20. A
idia de dividir o processo em duas fases consiste na eliminao da redundncia em
alguns pontos da negociao do SA e no conseqente ganho de tempo de
processamento, pois um canal seguro j est estabelecido pela primeira fase da
negociao.

Figura 10.20

As fases at a negociao do SA.

O IKE fornece trs modos de troca de informaes e estabelecimento de SAs


[TIM 98]:
* Main Mode: corresponde fase 1 do IKE e estabelece o canal seguro para a fase
seguinte, gerando o IKE SA.
* Aggressive Mode: corresponde tambm fase 1 do IKE, porm mais simples e
mais rpido do que o main mode, pois no fornece a proteo das identidades
das entidades que esto se comunicando. Isso ocorre porque as identidades
so transmitidas juntamente com as solicitaes de negociao, sem que um
canal seguro seja criado antes, estando, assim, susceptveis a ataques do tipo
man-in-the-middle.
* Quick Mode: corresponde fase 2 do IKE e a comunicao estabelecida para
a negociao do SA.
O main mode composto por trs fases, cada uma delas com duas mensagens. Na
primeira fase, as duas partes envolvidas trocam informaes sobre os algoritmos e
hashes bsicos a serem utilizados. Na segunda fase, elas trocam as chaves pblicas
para uma negociao Diffie-Helman [SCH 96] e fornecem os nmeros aleatrios que
a outra parte deve assinar e devolver para provar sua identidade. Na terceira fase,
elas verificam as identidades.
O aggressive mode oferece os mesmos servios do main mode, com a diferena de
ser bem mais rpido, com apenas duas fases, contendo uma mensagem cada uma.
Assim, so trs trocas de mensagens, em vez das seis requeridas pelo main mode.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 10: Redes privadas virtuais

346

347

Isso ocorre porque esse modo no fornece a proteo da identidade das entidades
participantes.
O quick mode utiliza o canal seguro estabelecido pela utilizao do IKE SA,
gerado pelo main mode ou pelo aggressive mode, para negociar os parmetros da
comunicao IPSec e trocar as chaves a serem utilizadas nessa comunicao. Como
esse modo j trabalha em um canal seguro previamente estabelecido, todo o processo de negociao fica mais flexvel e rpido, sendo composto por trs trocas de
mensagens, como no aggressive mode.
Aps o SA ser negociado, as entidades esto aptas a trocar informaes por uma
rede pblica, de modo seguro, formando assim o tnel VPN. A Figura 10.21 mostra
os passos simplificados no estabelecimento de uma conexo por VPN com base em
IPSec. Na primeira parte, o gateway verifica, por meio da poltica de segurana
implementada, se o host pode criar um tnel virtual. Caso essa verificao seja
positiva, o gateway inicia a negociao do Security Association da sesso, o que
pode ser visto na segunda parte da mesma figura. Finalmente, na terceira parte, o
host se comunica por meio do canal seguro que foi criado.

Figura 10.21

O estabelecimento de uma conexo por VPN com base em IPSec.

10.7 GERENCIAMENTO E CONTROLE DE TRFEGO


Alm da segurana, que tem a funo de realizar o controle de acesso e utiliza a
criptografia para garantir a autenticidade dos usurios e das conexes e a privacidade e a integridade da comunicao, outros elementos so essenciais em uma VPN,
tais como o controle de trfego, a qualidade de servio e o gerenciamento.
O controle de trfego essencial para que um dos principais problemas relacionados com a VPN, ligado qualidade de servio, seja resolvido. Esse controle
realizado, fundamentalmente, pelo gerenciamento de banda, que determina a largura de banda que cada protocolo pode utilizar, visando o bom desempenho. Reservar uma determinada largura de banda para o IPSec, por exemplo, pode evitar que
o link de Internet fique cheio apenas com conexes de FTP e HTTP, garantindo,
assim, uma maior qualidade e menores tempos de resposta para aplicaes de misso crtica que utilizam a VPN. Outros protocolos destinados qualidade de servio,
como o MPLS e o DiffServ, tambm podem ser utilizados para que a qualidade dos
servios possa ser garantida.
J o gerenciamento tem como objetivo facilitar a integrao da VPN com a poltica
de segurana da organizao, por meio do gerenciamento centralizado local ou remoto, alm de facilitar a escalabilidade da soluo. Algumas ferramentas auxiliam nesse
processo, como as que so utilizadas para o fornecimento dos servios, para o
monitoramento, para a deteco e soluo dos problemas, para a contabilidade e para
a cobrana pela utilizao da VPN. A contabilidade pela utilizao passa a ser importante, a partir do momento em que os servios VPN comeam a ser fornecidos por
empresas especializadas (provedores por VPN), pois a cobrana pode ter como base a
alta confiabilidade, o alto desempenho ou os nveis de servios especiais.
A garantia de qualidade de servio tambm deve ter o seu custo. A contabilidade
tambm poder ter como base a importncia dos pacotes, pois pacotes com maior
garantia e desempenho podem ter valor maior do que pacotes considerados normais [BAY 98]. Alguns aspectos a serem considerados na contratao de servios de
VPN so: rea de cobertura, acesso, desempenho, segurana, gerenciamento, largura de banda e garantia de qualidade de servio [HIF 98].

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 10: Redes privadas virtuais

348

349

10.8 DESAFIOS
Alm das consideraes relacionadas com a segurana, a VPN tem alguns obstculos que devem ser considerados, antes de sua implantao. Algumas dessas barreiras, que podem impedir a VPN de oferecer o mesmo nvel de disponibilidade,
desempenho e segurana que as redes privadas, so [KIN 99]:
* Autenticao/gerenciamento de chaves: as diversas solues utilizam variados mecanismos de autenticao, como os segredos compartilhados, os tokens,
o Radius ou os certificados digitais, de modo que a compatibilidade fica comprometida. A Public Key Infrastructure (PKI) (Seo 9.6) est ainda em fase de
aperfeioamento, na qual o Public Key Infrastructure Working Group (PKIX),
da IETF, vem trabalhando na busca da padronizao das requisies, validaes e dos formatos dos certificados digitais.
* Tolerncia a falhas: a necessidade de disponibilidade faz com que mecanismos
de tolerncia a falhas precisem ser desenvolvidos. O IPSec, por exemplo, no
tem compatibilidade com esse tipo de mecanismo.
* Desempenho: os algoritmos de chave pblica utilizam recursos de processamento
considerveis. Os computadores convencionais no tm capacidade de entrada
e sada suficiente para realizar essa tarefa como um gateway em conexes com
grande capacidade. Com isso, a nica soluo vivel a combinao de equipamento de rede com a funo de criptografia, que forma o equivalente
caixa-preta. A desfragmentao de pacotes tambm influi no desempenho da
VPN, devido s sucessivas adies de cabealhos nos pacotes originais [SAL
99]. Por exemplo, um pacote IPX de uma LAN pode ser inserido em um pacote
IP para trafegar pela Internet. Esse pacote IP, por sua vez, pode receber um
cabealho PPP, que, ento, pode receber um cabealho PPTP para o tunelamento
e outro cabealho IPSec para a codificao desse pacote. Todo esse processo
pode fazer com que o limite do tamanho do pacote seja ultrapassado; quando
isso ocorre, o pacote dividido em dois novos pacotes. Como resultado, a
fragmentao ocorre e a quantidade de pacotes que trafegam entre as localidades, quando a VPN utilizada, maior do que quando o tunelamento no
empregado, causando, assim, o aumento do trfego. Alguns testes indicam
que o aumento dos pacotes, devido fragmentao, de cerca de 30% [SAL99].
* Transporte confivel: empresas como Bay Networks e Internet Devices esto
tentando fornecer servios de transporte confiveis por meio do protocolo
ReSerVation Protocol (RSVP), que oferece qualidade de servio e reserva de
banda pela alocao de recursos da rede. Outro protocolo o MultiProtocol

Label Switching (MPLS), que envolve o uso de diferentes labels ou tags, que
permitem mltiplos caminhos.
Posicionamento na rede: envolve a anlise do posicionamento do gateway de
VPN na arquitetura da organizao. Esse aspecto est relacionado com uma
srie de fatores, como a filtragem de pacotes cifrados e a capacidade de driblar
a poltica de segurana, e discutido com mais detalhes na Seo 12.2. De
fato, seu posicionamento dentro da arquitetura de segurana influi diretamente no nvel de segurana da organizao, de forma que as vrias alternativas devem ser analisadas, o que pode ser verificado no firewall cooperativo.
Endereamento/roteamento: os endereamentos, que podem ser endereos IP
reservados ou no, precisam ser considerados. Alteraes nas tabelas de
roteamento tambm so essenciais, como no caso do gateway-to-gateway VPN,
em que um gateway deve se comunicar apenas com o outro gateway correspondente. O Network Address Translation (NAT) tambm deve ser avaliado,
pois ele influi diretamente no roteamento da soluo. De fato, o NAT incompatvel com o Authentication Header (AH) do IPSec. Isso ocorre porque o AH
realiza a autenticao do cabealho de IP, que assinado digitalmente para a
verificao de sua integridade. O problema que ele modificado pelo NAT e,
com isso, a verificao de integridade do pacote acaba sendo perdida. Isso no
ocorre quando o Encapsulation Security Payload (ESP) utilizado, pois o cabealho IP no autenticado, no ocasionando, assim, problemas relacionados
integridade.
Administrao/gerenciamento: alguns produtos utilizam interfaces GUI cliente/servidor e outros, uma interface com base na Web. Um canal seguro
essencial para a administrao e o gerenciamento da VPN. Um problema comum e que aumenta a complexidade que no possvel administrar diversas
VPNs a partir de uma mesma interface, a no ser que elas sejam do mesmo
fabricante. O gerenciamento do cliente VPN tambm complicado, desde sua
instalao at sua distribuio, configurao e administrao (Seo 10.5.1).
Interoperabilidade: o IPSec est cumprindo um de seus papis, que o de
fornecer a interoperabilidade que est faltando nos produtos de VPN. Porm, o
que pode ser observado que nem mesmo os produtos com base no IPSec tm
uma comunicao compatvel entre si, pois essa compatibilidade apenas
parcial.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS


350

10.9 CONCLUSO
Este captulo teve como objetivo apresentar as redes privadas virtuais (Virtual
Private Network VPN), mostrando seus objetivos e suas configuraes. A utilizao da rede pblica traz consigo uma srie de consideraes sobre segurana, que
so tratadas principalmente pelo protocolo IPSec, padro de facto das VPNs. Clientes VPN requerem consideraes especiais de segurana, como a utilizao de firewalls
individuais e de uma poltica de segurana especfica. Os protocolos L2TP, PPTP e
IPSec foram rapidamente discutidos e o captulo mostrou, ainda, a importncia do
gerenciamento e da qualidade de servio, alm de discutir os desafios a serem
vencidos na implementao de uma VPN.

Autenticao

A autenticao tem um papel fundamental para a segurana de


um ambiente cooperativo, ao validar a identificao dos usurios.
Aps a autenticao, o sistema pode conceder a autorizao para o
acesso aos recursos. A autenticao pode ser realizada com base em
alguma coisa que o usurio sabe, em algo que o usurio possui ou
em determinada caracterstica do usurio. O controle de acesso, que
tem como base a autenticao dos usurios, tambm possui um
papel essencial em qualquer ambiente, e pode ser usado em diferentes nveis ou camadas. O Single Sign-On (SSO) tenta resolver um
dos maiores problemas relacionados autenticao, que o uso de
senhas, e possui suas vantagens e desvantagens, assim como a sincronizao de senhas.

C
a
p

t
u
l
o
11

11.1 A IDENTIFICAO E A AUTORIZAO


O acesso aos sistemas e aos recursos das organizaes depende,
fundamentalmente, de um processo de verificao do usurio, que
deve ser realizado de uma maneira que apenas o usurio legtimo
tenha acesso a esses sistemas e recursos. As funes responsveis
por essa verificao so a identificao e a autenticao, que formam, juntamente com o firewall, a primeira linha de defesa em
muitos sistemas. interessante notar, nesse aspecto, que quando o
firewall utilizado um filtro de pacotes ou um filtro de pacotes
baseado em estados (Captulo 7), no qual o usurio no precisa de

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 11: Autenticao

352
autenticao para a liberao do acesso (diferentemente de alguns proxies), a identificao e a autenticao podem ser consideradas uma segunda linha de defesa.
Nesses casos, o firewall exerce a funo de primeira linha de defesa, ao filtrar e
controlar o acesso, deixando passar a comunicao somente para servios legtimos.
Passando pelos firewalls, a segurana depende essencialmente desses servios legtimos, nos quais a identificao e a autenticao exercem um papel importante.
A identificao a funo em que o usurio declara uma determinada identidade para um sistema, enquanto a autenticao a funo responsvel pela validao
dessa declarao de identidade do usurio. A segurana desse processo de validao
depende de uma srie de consideraes, tais como a forma da coleta dos dados de
autenticao, o mtodo de transmisso desses dados e a garantia de que o usurio,
que j obteve a autorizao, o verdadeiro usurio [NIS 00]. Juntamente com a
auditoria, na qual possvel verificar todas as tentativas de acesso vlidas e invlidas, a autenticao e a autorizao formam o pilar de segurana conhecido como
AAA (Authentication, Authorization and Auditing).
A autenticao ou a validao da identificao do usurio, que oferece a autorizao, pode ser realizada utilizando-se trs mtodos:
* Com base no que o usurio sabe: senha, chave criptogrfica ou Personal
Identification Number (PIN).
* Com base no que o usurio possui: token, carto ou smart card.
* Com base nas caractersticas do usurio: biometria (Seo 11.1.3), ou seja,
reconhecimento de voz, impresso digital, geometria das mos, reconhecimento da retina, reconhecimento da ris, reconhecimento digital de assinaturas etc.
Todos esses mtodos tm seus pontos positivos e negativos, de forma que uma
autenticao com base em dois deles recomendada para determinados tipos de
acesso que exigem maior grau de segurana. Esse tipo de autenticao conhecido
como autenticao em dois fatores e, quando os trs mtodos so utilizados, so
conhecidos como autenticao em trs fatores. Por exemplo, o usurio pode utilizar o
reconhecimento de retina, juntamente com o uso de um smart card e uma senha para
o acesso s informaes confidenciais da organizao, usando, assim, alguma coisa
que ele sabe, alguma coisa que ele possui e alguma coisa que caracterstica dele.
Os aspectos positivos e negativos de cada um dos mtodos de autenticao sero
vistos nas prximas sees. Deve-se considerar, no entanto, que cada um deles
possui seus custos particulares e suas complexidades especficas de implantao, de
forma que o mtodo ideal sempre aquele que cumpre com os objetivos de segurana definidos pela estratgia da organizao. Por exemplo, a biometria indicada

353
para a autenticao em sistemas que exigem extrema segurana, como os que so
utilizados pelo Departamento de Defesa dos Estados Unidos; esse mtodo no seria
eficaz nem justificvel para o acesso caixa de e-mails de um usurio, por exemplo.
Uma autenticao eficiente um elemento essencial para a proteo de bens e
valores. Um incidente que demonstra sua importncia o caso de um hacker russo,
que fez transferncias de dez milhes de dlares no Citibank, em 1994. O hacker
conseguiu encontrar ou adivinhar diversas senhas, demonstrando que elas proporcionavam um certo controle de acesso s transferncias de fundos, mas a soluo do
banco no dispunha da autenticao eficiente por parte do usurio [LOB 97].

11.1.1 Autenticao baseada no que o usurio sabe


a autenticao fundamentada em algum conhecimento do usurio, no qual os
recursos mais utilizados so as senhas. As chaves criptogrficas tambm podem ser
inseridas nessa categoria. Um segredo compartilhado que tem a finalidade, por
exemplo, de abrir um determinado documento, uma chave secreta gerada por uma
funo criptogrfica simtrica. Uma chave privada utilizada para assinar digitalmente documentos tambm pode ser inserida nessa categoria; porm ,devido ao seu
tamanho, ela normalmente armazenada em um arquivo ou em um dispositivo, e
acessada por meio de uma senha.
No Brasil, um outro tipo de autenticao vem sendo usado pelos bancos, seja nos
caixas eletrnicos ou na Internet. Conhecido como identificao positiva, as transaes so permitidas somente aps o usurio fornecer dados pessoais alm de sua
senha pessoal. Esses dados pessoais podem ser referentes a informaes de seu cadastro ou um conjunto de letras previamente combinado entre o banco e o usurio.

11.1.1.1 Senhas
As senhas constituem o mtodo de autenticao mais utilizado atualmente,
porm, elas apresentam alguns problemas, que sero vistos a seguir. As senhas so
consideradas, at mesmo, o segundo elo mais fraco da cadeia de segurana, vindo
depois dos prprios seres humanos. Isso est fazendo com que elas sejam, cada vez
mais, substitudas por mtodos mais eficientes, como a biometria (Seo 11.1.3) ou
os certificados digitais (Seo 9.5).
Um ponto a favor da utilizao das senhas que os usurios e administradores
j esto familiarizados com sua utilizao e a simplicidade de integrao com os
diversos tipos de sistemas faz com que ela seja fcil de ser implementada.
A deficincia desse mtodo est no fato de que a segurana depende da manuteno do sigilo da senha, que pode ser quebrada de diversas maneiras [LOB 97][KES 96]:

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 11: Autenticao

354
* Adivinhao de senhas (password guessing), quando palavras ligadas ao usurio so tentadas como senhas, como o nome do cnjuge, o nome do time de
futebol, o nome do animal de estimao, datas de nascimento etc.
* Pesca de senhas, ao observar o que o usurio est digitando ou procurando
pedaos de papis que podem conter senhas.
* Quebra do sigilo, seja por inteno do prprio usurio, que pode compartilhar sua senha com um colega, ou por meio de tcnicas de engenharia social
(Seo 4.5.2).
* Monitoramento e captura de senhas, pelo uso de sniffers de rede (Seo 4.5.5).
Mesmo quando as senhas no trafegam pela rede sem estarem cifradas, alguns
softwares, como os crackers de senhas, podem ser utilizados em ataques de
fora bruta para tentar descobri-las.
* Acesso ao arquivo de senhas do usurio, que, mesmo estando cifrado, pode ser
descoberto com relativa facilidade, caso o algoritmo criptogrfico esteja mal
implementado (Captulo 9).
* Ataques do tipo replay, nos quais, mesmo quando as senhas esto protegidas
por criptografia, podem ser reutilizadas, bastando enviar a mesma senha cifrada capturada para uma nova autenticao. Esse problema pode ser resolvido com a utilizao de timestamps.
* Ataques de fora bruta contra o sistema, seja pelo uso de combinaes de
cdigos ou pelo ataque do dicionrio.
* Utilizao de tcnicas mais avanadas, como o armazenamento, em um arquivo, de tudo o que o usurio digita no teclado (key logger), que depois ser
enviado ao hacker. Essa tcnica pode ser facilmente utilizada, caso o equipamento do usurio esteja contaminado com cavalos de Tria, como o Netbus.
Essa tcnica est muito difundida, de modo que muitos casos envolvendo
captura de senhas de acesso s contas bancrias via Internet so conhecidos.
* Controle das emisses eletromagnticas do monitor (efeito tempest), que no
requer a presena fsica do hacker. Com o efeito tempest, possvel ver tudo o
que aparece no monitor do usurio.
As senhas representam uma questo de extrema relevncia dentro das organizaes, sendo tambm um dos principais causadores de problemas relacionados ao
suporte tcnico. O esquecimento das senhas um fato comum e representa cerca de
30% dos chamados ao help-desk, segundo a Gartner [MAC 02]. Em algumas organizaes, mais de 40% dos chamados so referentes a problemas com senhas e os
custos estimados nos Estados Unidos so de 51 a 147 dlares por chamado, segundo
a Gartner [MAC 02].

355
Assim, uma poltica de senhas bem definida e eficiente pode minimizar profundamente as implicaes de segurana envolvidas e diminuir as solicitaes de suporte tcnico decorrentes de problemas com senhas. Alguns dos aspectos a serem
considerados nessa poltica e outros aspectos de segurana envolvidos com senhas
podem ser vistos na Seo 6.8, que sugere tambm uma forma de escolher uma
senha que dificulta os ataques mais comuns.
Os diversos problemas relacionados com as senhas podem ser minimizados pelo
uso de sistemas one-time password, nos quais as senhas so vlidas apenas por uma
nica vez, sendo trocadas a cada novo acesso. Esses sistemas podem ser considerados mais seguros do que os que utilizam senhas comuns, porm ainda podem ser
explorados em alguns ataques [LOB 97]:
* Man-in-the-middle: o hacker se coloca entre o usurio e o servidor, de modo
que pode capturar os pacotes, modific-los e reenvi-los para ambos os lados
da conexo.
* Race: ataque que requer sorte, tempo e conhecimento. O atacante controla o
nmero de bytes que passam pela rede e, antes que o usurio envie o ltimo
byte, o atacante remete uma srie de combinaes para tentar se conectar no
lugar do usurio. Esse mtodo funciona somente em protocolos que transmitem os dados byte a byte e difcil de ser utilizado na prtica.

11.1.2 Autenticao com base no que o usurio tem


O segundo mtodo de autenticao fundamentado em alguns dispositivos que
pertencem ao usurio, os quais podem ser divididos em dispositivos de memria
(memory token) e dispositivos inteligentes (smart tokens), como ser visto a seguir
[NIS 00]. Esse tipo de mtodo minimiza diversos problemas envolvidos com senhas,
porm traz outros tipos de desvantagens.

11.1.2.1 Dispositivos de memria


Tambm conhecidos como memory tokens, os dispositivos de memria apenas
armazenam as informaes e no as processam. So quase sempre utilizados em
conjunto com as senhas (combinao de algo que o usurio sabe e de algo que o
usurio tem, formando, portanto, uma autenticao em dois fatores). Um exemplo
desse tipo de dispositivo, que utilizado com as senhas, so os cartes bancrios.
Eles contm informaes importantes para a autenticao e so usados em conjunto
com uma senha que apenas o dono do carto pode ter.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 11: Autenticao

356
Um exemplo de dispositivo que tem como base apenas o que o usurio possui
so os cartes que possibilitam o acesso fsico a locais como salas e edifcios. As
desvantagens desse tipo de dispositivo esto relacionadas com:
* Seu custo relativamente alto, devido necessidade de um hardware especfico
para leitura.
* A dificuldade de administrao.
* A possibilidade de perda, roubo ou decodificao.
* As provveis insatisfaes dos usurios com sua manipulao.

11.1.2.2 Dispositivos inteligentes


Os smart tokens so similares aos memory tokens, porm possuem circuitos integrados que atuam no processamento de algumas informaes. Eles podem ser divididos em categorias que levam em considerao as caractersticas fsicas, a interface
e o protocolo. Quanto s caractersticas fsicas, os dispositivos inteligentes podem
ser divididos entre os smart cards e os outros tipos de dispositivos, que podem ser
semelhantes a chaves, chaveiros, calculadoras ou outros objetos portteis.
Quanto interface, os dispositivos inteligentes podem funcionar tanto com
interfaces manuais quanto eletrnicas:
* Interfaces manuais: Existe um dispositivo, como teclas ou visores, para a
interao entre o usurio e o token.
* Interfaces eletrnicas: Requerem um dispositivo de leitura, como o caso dos
smart cards.
Os protocolos que podem ser utilizados pelos smart tokens para a autenticao
podem ser divididos em:
* Troca de senhas estticas: O usurio se autentica no token e o token autentica
o usurio no sistema.
* Gerao dinmica de senhas: As senhas so alteradas temporariamente, de
modo que, em smart tokens com interface esttica, os usurios devem ler as
informaes do dispositivo e digit-las no sistema para a autenticao. Em
smart tokens com interface eletrnica, esse processo feito automaticamente.
* Desafio-resposta: Com esse tipo de protocolo, baseado na criptografia, o sistema envia um desafio ao usurio. A resposta enviada ao sistema, que a avalia
de acordo com o desafio corrente.

357
A grande vantagem dos dispositivos inteligentes que eles resolvem os problemas presentes nas senhas comuns, seja pelo uso da criptografia (que evita o
monitoramento das senhas que passam pela rede) ou pela gerao dinmica das
senhas (quem capturar a senha no poder reutiliz-la).
Quanto aos seus pontos negativos, tanto os dispositivos de memria quanto os
dispositivos inteligentes so equivalentes:
*
*
*
*

Seu alto custo, devido necessidade de um hardware especfico para leitura.


A dificuldade de administrao.
A possibilidade de perda, roubo ou decodificao.
As provveis insatisfaes dos usurios com sua manipulao.

Porm, os dispositivos inteligentes tm um custo relativamente superior aos


dispositivos de memria.

11.1.2.2 Autenticao com base nas caractersticas do usurio


Foi visto que os problemas com os mtodos de autenticao baseados em algo
que o usurio sabe ou em algo que o usurio possui variam entre o esquecimento ou
a adivinhao das senhas e a perda do dispositivo responsvel pela identificao. A
proteo de informaes importantes requer um mtodo de autenticao em que as
possibilidades de acesso indevido sejam mnimas, de forma que a autenticao garanta a identificao do usurio em seu nvel mximo. Esse mtodo de autenticao, que pode ser considerado mais seguro do que os anteriores, baseado em
alguma caracterstica fsica ou comportamental prpria do usurio e conhecido
como biometria. A autenticao baseada na biometria pode ser considerada mais
segura porque a identificao do usurio torna-se mais eficiente, apesar de ainda
existirem alguns problemas.
A biometria um mtodo de autenticao que analisa as caractersticas fsicas
ou comportamentais de um indivduo, comparando-as com os dados armazenados
no sistema de autenticao. Algumas dessas caractersticas fsicas e comportamentais
utilizadas na biometria podem ser vistas a seguir, pois algumas delas ainda se
encontram em fase de pesquisa e desenvolvimento:
*
*
*
*
*

Impresso digital
Caractersticas faciais
Reconhecimento de voz
Retina
ris do olho

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS


358
*
*
*
*
*
*
*
*
*
*
*

Geometria das mos


Padro de escrita
Padro de digitao
Poros da pele
DNA
Formato da orelha
Composio qumica do odor corporal
Emisses trmicas
Geometria dos dedos
Identificao de unha
Maneira de andar

Dessas caractersticas, apenas duas podem ser consideradas nicas, ou seja, no


existem dois indivduos com essas caractersticas exatamente iguais: a ris do olho
e a impresso digital.
A grande vantagem da biometria que o reconhecimento feito unicamente por
aspectos humanos intrnsecos. Chaves, tokens ou cartes podem ser perdidos, falsificados, duplicados, roubados ou esquecidos. Senhas, cdigos secretos e nmeros de
identificao pessoal (Personal Identification Numbers PINs) podem ser esquecidos, divididos, comprometidos ou observados. J a biometria no apresenta esses
problemas, ao tratar de caractersticas individuais dos humanos.
Com relao segurana do processo de autenticao, os dados necessrios so
obtidos pelos dispositivos biomtricos, codificados e enviados pela rede, de modo
seguro, at o servidor, onde os dados da autenticao so comparados. A autorizao ser concedida se os dados obtidos forem idnticos aos dados armazenados no
servidor.
A questo de privacidade envolvendo o uso da biometria possui grande importncia, pois os usurios tm receio quanto ao armazenamento, manipulao e segurana de informaes pessoais. De fato, a preocupao pode ser compreendida facilmente, uma vez que incomoda saber o que est sendo feito com informaes pessoais
sobre o prprio usurio. Porm, os sistemas existentes tratam dessas questes de
forma a minimizar possveis problemas. Por exemplo, o armazenamento das caractersticas dos usurios feito via templates, que so funes matemticas que
representam a imagem propriamente dita. Com isso, no possvel obter a imagem
da impresso digital a partir do template.
Outras questes relevantes ao uso da biometria envolvem, por exemplo, questes sobre o processo de remoo dos dados individuais de usurios em caso de
desligamento da organizao e sobre outras possibilidades de driblar o mtodo de
autenticao baseado em biometria. Sobre os dados individuais, a importncia

Captulo 11: Autenticao


359
reforada, pois, diferentemente de senhas, que podem ser alteradas, caractersticas
individuais so nicas e permanecem por toda a vida da pessoa.
Com isso, uma poltica para a remoo dos dados e a proteo dessas informaes deve estar bem definida. Isso importante tambm porque os sistemas de
autenticao baseados em biometria usam a rede, e o sistema pode ser burlado no
na biometria, mas em falhas no processo de autenticao. Por exemplo, a representao matemtica que indica os dados do indivduo pode ser capturada e usada
posteriormente, com o hacker se fazendo passar por uma pessoa que ele no . A
base de dados dos templates tambm pode ser atacada e possveis ataques de fora
bruta envolvendo injeo de trfego tambm podem acontecer.
Dessa maneira, medidas como o uso de criptografia e o uso de protocolos de
segurana em todo o sistema devem ser considerados. Alguns sistemas funcionam
com os dados do indivduo sendo armazenados em um token, sem que eles precisem
estar em algum servidor da organizao. Com o uso desse recurso, conhecido como
Match On Card (MOC), o usurio mantm a posse de seus dados, resultando em uma
vantagem psicolgica para ele [ARN 01-2].
Apesar dos grandes benefcios proporcionados, outros problemas envolvendo os
usurios podem ocorrer com a biometria. Certas organizaes relataram que um dos
principais problemas est relacionado higiene e ao medo de os dispositivos
biomtricos causarem problemas de sade. Por exemplo, o dispositivo de impresso
digital deve ser limpo constantemente, pois, alm da questo da higiene, o acmulo
de sujeira influi diretamente no nvel de exatido da autenticao, que pode diminuir consideravelmente.
O problema relacionado ao medo dos usurios pode ser observado em dispositivos de leitura da retina ou da ris do olho, uma vez que alguns usurios acreditam
que o laser ou a luz pode fazer mal sade.
Assim, o nvel de intruso sentido pelos usurios um dos critrios a serem
avaliados para a escolha da melhor tecnologia biomtrica para a organizao. Esses
diversos critrios podem ser avaliados de acordo com a cultura da organizao, ou
com os objetivos de seu uso, pois cada tecnologia possui uma melhor aplicao para
cada tipo especfico de sistema a ser acessado. O International Biometric Group, por
meio do Zephyr Chart (Figura 11.1), mostra os quatro fatores que podem ser avaliados nas tecnologias comerciais disponveis atualmente:
* Nvel de intruso: alguns usurios podem no se sentir vontade com o processo de autenticao e consider-lo uma invaso de privacidade.
* Nvel de esforo: esse fator considera o tempo e o esforo requeridos pelo
usurio para efetuar a autenticao.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 11: Autenticao

360

361

* Nvel de preciso: o nvel de rejeies e de falsos positivos deve ser considerado, para que o grau de segurana requerido esteja de acordo com as necessidades da organizao.
* Custo: fator que deve ser considerado para cada tipo de situao.

* False Match Rate (FMR) ou False Acceptance Rate (FAR): o sistema biomtrico
aceita um indivduo errado.
* False Non-Match Rate (FNMR) ou False Rejection Rate (FRR): o sistema biomtrico
no identifica o atributo fsico correto do indivduo, mesmo ele sendo vlido.
* Failure to Enroll (FTE) Rate: falha no registro dos atributos fsicos do indivduo.
A Equal Error Rate (EER) ou crossover a taxa na qual a FAR balanceada com a
FRR. A EER demonstra o balano entre a segurana (FRR) e a convenincia (FAR),
pois, quanto maior o crossover, maior a preciso do mtodo. A Tabela 11.1 mostra
que a biometria baseada na retina a mais precisa, enquanto as baseadas na voz e
na assinatura possuem menos preciso.
Tabela 11.1

Figura 11.1

Os fatores a serem considerados na tecnologia biomtrica.

As tecnologias de biometria mais comuns que podem ser vistas no mercado so o


reconhecimento facial e o reconhecimento de impresses digitais, como pode ser
demonstrado no grfico da Figura 11.2. Elas so facilmente integradas aos sistemas e
uma de suas vantagens que para o usurio elas so higinicas, no so intrusivas e
no justificam nenhuma resistncia sua utilizao. De fato, no necessrio que o
usurio fique em uma determinada posio nem que faa alguma coisa em particular.
O processo de autenticao realizado de um modo natural para ele.

Biometria

Preciso do crossover

Retina
ris
Impresso digital
Geometria das mos
Assinaturas
Voz
Reconhecimento de face
Padro vascular

1:10,000,000
1:131,000
1:500
1:500
1:50
1:50
Sem dados
Sem dados

A Tabela 11.2 mostra uma comparao entre diferentes tecnologias usadas na


biometria, com relao facilidade de uso, causas de incidncia de erro, preciso,
aceitao do usurio, nvel de segurana requerido e estabilizao das caractersticas fsicas a longo prazo [ADMS 02]:
Tabela 11.2

Figura 11.2

As vendas das principais tecnologias de biometria, em milhes de dlares.

A escolha da tecnologia a ser adotada pode tambm levar em considerao a


taxa de erros a que os sistemas esto sujeitos. Esses erros podem comprometer o
processo de autenticao em alguns casos e esto divididos em trs tipos:

Preciso do crossover de diferentes mtodos de biometria.

Comparao entre diferentes tecnologias de biometria.

Caracterstica Facilidade Incidncia


de uso
de erro

Preciso

Aceitao Nvel
Estabilizao
do usurio de segurana a longo
requerido
prazo

Impresso
digital

Alta

Alta

Mdia

Alto

Alta

Geometria
da mo
Retina
ris
Face

Alta

Alta

Mdia

Mdio

Mdia

Baixa
Mdia
Mdia

Muito alta Mdia


Muito Alta Mdia
Alta
Mdia

Alto
Muito alto
Mdio

Alta
Alta
Mdia

Assinatura

Alta

Alta

Mdia

Mdio

Mdia

Voz

Alta

Alta

Alta

Mdio

Mdia

Aspereza,
sujeira,
idade
Ferimento,
idade
culos
Falta de luz
Falta de
luz, idade,
culos,
cabelo
Mudana
de assinatura
Rudo, gripe

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS


362
Apesar da evoluo tecnolgica, diversos mtodos de driblar a biometria podem
ser utilizados. Por exemplo, no mtodo baseado em reconhecimento de face, possvel enviar imagens diretamente de um notebook para a cmera que faz o reconhecimento, ou mesmo apresentar a imagem gravada do notebook para a cmera. Essa
situao altamente plausvel, pois possvel capturar fotos de vtimas facilmente
diretamente de notebooks, sem que ele ao menos perceba [ZIE 02]. A biometria
baseada no reconhecimento de ris tambm pde ser driblada, com o uso de impresso de um olho, onde o espao da pupila foi retirado do papel, e substitudo pela
pupila real [ZIE 02].
Quanto padronizao das tecnologias biomtricas adotadas pelo mercado, duas
iniciativas podem ser consideradas. O padro BioAPI est em desenvolvimento e
conta com o apoio macio da indstria. A Microsoft tambm tem mostrado a grande
importncia da biomtrica e est trabalhando em uma especificao proprietria
com base na I/O Software, a qual ela adquiriu [ARM 01-2].

11.2 CONTROLE DE ACESSO


Dentro de uma organizao, as informaes tm vrios nveis de acesso, ou seja,
uma informao relevante para o trabalho de um funcionrio pode no ser importante
para o trabalho de outro. J uma informao confidencial, que pode ser acessada
somente pelos gerentes, por exemplo, no pode chegar aos demais funcionrios.
O acesso a recursos como servios e programas, e o acesso por modem, tambm
tm que ser controlados. Pode-se considerar que o acesso a habilidade de realizar
algo com recursos computacionais e a autorizao a permisso dada direta ou
indiretamente pelo sistema ou pelo dono do recurso para a utilizao do mesmo. A
autenticao a responsvel pela garantia de que o usurio realmente quem ele
declara ser. O controle de acesso lgico, designado ao controle realizado sobre as
informaes referentes aos recursos computacionais, cuida do acesso aos diversos
nveis existentes.
O controle do acesso lgico o responsvel pela:
* Proteo contra modificaes ou manipulaes no autorizadas de sistemas
operacionais e outros sistemas (software), garantindo sua integridade e disponibilidade.
* Garantia da integridade e disponibilidade das informaes, ao restringir o nmero de usurios e processos que acessam determinados tipos de informaes.
* Sigilo das informaes, que no podem chegar a usurios que no so autorizados.

Captulo 11: Autenticao


363
Alguns elementos que podem ser considerados no controle, seja individualmente ou em conjunto, so: identificao, funo, localizao, tempo, transao, servios (controle de licenas de software, limites para transaes em caixas eletrnicos,
tipo de acesso em computadores como a permisso para enviar e-mails, apesar da
proibio da conexo com outras mquinas), direitos (leitura, gravao, criao,
remoo, busca, execuo).
Alm dos mtodos de controle de acesso com base na autenticao, mostrados
nas sees anteriores, outros podem ser utilizados:
* Listas de controle de acesso (Access Control Lists ACLs), muito utilizadas
em firewalls baseados em pacotes (Captulo 7).
* Interfaces com usurios: Comandos somente por meio de menus ou de um
shell restritivo, que aceita apenas comandos especficos. Um exemplo pode ser
visto no uso pelo banco de dados, nos quais os usurios podem unicamente
acessar determinadas parties de dados. Outro exemplo usa alguma restrio
fsica, como a que utilizada pelos caixas eletrnicos, que restringem a entrada de dados por meio de um teclado numrico nico.
* Labels que indicam, por exemplo, quais dados de propriedade da organizao
no podem ser acessados por terceiros e quais dados pblicos podem ser
acessados por todos.
O controle de acesso externo, que visa proteger os recursos internos contra
tentativas de acesso indesejadas, vindas do exterior (nesse caso, uma rede pblica),
realizado entre os recursos a serem protegidos e as pessoas, os sistemas ou os
servios externos. Um dos principais mtodos a utilizao de um dispositivo fsico, como um computador, para separar os recursos internos dos externos. Alguns
exemplos so o dial-back modem, que realiza a checagem do nmero de telefone de
quem discou e disca de volta para esse nmero, evitando assim a utilizao do
acesso remoto por usurios no autorizados. Outro exemplo clssico e um dos mais
utilizados so os firewalls, vistos no Captulo 7.
Diversos aspectos devem ser levados em considerao na definio do controle
de acesso, para reduzir as chances de ele ser driblado. Um simples modem em um
dos workstations da organizao, por exemplo, compromete completamente o controle de acesso remoto feito pelo dial-back modem e tambm o controle feito pelo
firewall, o que pode comprometer totalmente a segurana da organizao.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS


364

11.3 SINGLE SIGN-ON (SSO)


Uma das principais caractersticas de um ambiente cooperativo que a complexidade das conexes aumenta a cada novo integrante. Com isso, os usurios passam
a acessar diversas aplicaes e recursos de mltiplas plataformas, aumentando ainda mais a complexidade envolvida. Tudo isso, aliado ao aumento da utilizao da
Internet/intranet, resulta em um grande nmero de senhas, que cada usurio deve
utilizar para o acesso a esses recursos. O nmero de senhas utilizadas pelos administradores tambm cresce, medida que novos servios so fornecidos. Para evitar
toda essa complexidade e esse processo trabalhoso, que influi diretamente na segurana e na produtividade dos usurios e dos administradores de sistemas, uma
alternativa o Single Sign-On (SSO).
Nesse contexto, passa a ser maior a necessidade de um mtodo seguro e eficiente para a autenticao e autorizao de servios, principalmente para o permetro
externo da rede. Uma conseqncia do fato de os usurios e dos administradores de
sistemas precisarem lembrar de vrios nomes de acesso e senhas o aumento da
possibilidade de que eles guardem senhas em locais aparentemente seguros em
seu ambiente de trabalho, mas que na realidade apresentam grandes riscos de serem
descobertos e explorados. Alm disso, eles podem confundir ou esquecer as senhas,
necessitando depois da ajuda do help-desk, causando perda de produtividade e desperdcio de recursos. Alm dos problemas de segurana, o grande nmero de senhas
faz com que a administrao de todas as senhas de cada usurio se torne um processo complicado e custoso. Isso pode ser verificado, quando uma modificao nos
dados de um usurio pode resultar na necessidade de atualizao de mltiplas bases
de dados dos diversos aplicativos.
O SSO surgiu como um mtodo de identificao e autorizao que permite uma
administrao consistente, de maneira que os usurios podem acessar vrios sistemas diferentes, de um modo transparente e unificado, por meio de uma nica autenticao. A definio do SSO, por sua vez, traz suas prprias implicaes de segurana, pois com uma nica senha o usurio pode acessar diversos sistemas,
significando que, se essa senha for comprometida, todos os sistemas podero sofrer
com isso [TRI 98]. Uma soluo de SSO pode utilizar diversas outras formas de
autenticao, como certificados digitais, smart cards, tokens e biometria. Algumas
solues de SSO podem tratar somente da autenticao, ficando a autorizao a
cargo dos prprios servios ou aplicaes [CAR 99].
As principais caractersticas de um SSO so [TRI 98]:
* Combinao de nome de usurio e senha nicos.
* nico mtodo de administrao, centralizado ou descentralizado, no qual as
mudanas so propagadas por meio dos diversos sistemas da organizao.

Captulo 11: Autenticao


365
* Slida segurana nas sesses de logon e no armazenamento das informaes
do usurio e de sua senha.
* Integrao das regras de autorizao nas mltiplas aplicaes.
As primeiras solues que utilizaram as caractersticas de um SSO foram o Kerberos,
e mesmo os scripts escritos para os workstations. O Kerberos tem como base tickets
e credenciais, nos quais a conexo inicial feita em um servidor central de autenticao.
A senha nunca trafega pela rede, eliminando, assim, as chances de ataque do
tipo replay attack e man-in-the-middle. A desvantagem do Kerberos que os clientes
tm de ser kerberizados, ou seja, devem ter a implementao do protocolo, para
que ele possa iniciar uma requisio de autenticao. Alm disso, todos os sistemas
e aplicaes devem estar habilitados a aceitar tickets, em vez do sistema tradicional
com base em senhas [TRI 98].
A outra soluo, que so os scripts nos workstations, tem como base a
implementao da poltica de acesso no prprio equipamento do usurio. A vantagem dessa soluo com relao ao Kerberos que no necessria a alterao das
aplicaes existentes. As desvantagens incluem a necessidade de o usurio utilizar
somente aquele workstation, o fato de a segurana ter como base o prprio equipamento (segurana fsica) e a vulnerabilidade dos scripts, que podem ser modificados
pelos prprios usurios. Com isso, a poltica de segurana pode ser driblada, e
possvel a obteno do acesso a recursos inicialmente proibidos. Alm disso, outra
desvantagem com relao administrao desses scripts, que fica evidente quando o protocolo de autenticao sofre uma alterao. Os custos com a administrao
so altos, pois todos os workstations so afetados e necessitam de atualizao [TRI
98].
Algumas solues utilizam servios de autenticao com base na rede, nos quais
o usurio inicialmente se conecta a um servidor de autenticao, passando a requisitar o acesso a sistemas individuais ou aplicaes, a partir desse servidor.
Porm, isso resolve somente os problemas do usurio, aumentando a importncia de uma administrao eficiente, pois o administrador continua com a tarefa de
cuidar de mltiplas tabelas e bases de dados dos diferentes sistemas e servios,
alm do prprio servidor de autenticao central [TRI 98].
Algumas consideraes sobre segurana, relacionadas ao SSO, so [TRI 98]:
* A identificao e a senha nica fazem com que, caso uma senha seja descoberta, seja permitido o acesso a todos os servios.
* O repositrio central dos dados do usurio, no qual esto armazenados o nome
de acesso e a senha, passou a constituir um nico ponto de invaso. Caso o

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 11: Autenticao

366
hacker tenha acesso a esse repositrio central, todo acesso, de todos os usurios, ficar comprometido.
* O servio de autenticao forma um nico ponto de falha, de modo que um
ataque ou uma falha faz com que todos os servios sejam comprometidos ou
tornem-se indisponveis. A replicao do servio central de autenticao ,
portanto, importante para a manuteno da disponibilidade dos servios. O
uso da criptografia essencial para a manuteno do sigilo dos dados dos
usurios.
Uma srie de questes deve ser analisada na implementao de um SSO. Devido
sua complexidade e ao grande impacto de implementao, que exige esforos
conjuntos e modificaes em diferentes sistemas, deve ser realizado um planejamento efetivo. Alguns dos aspectos que devem ser tratados so [TRI 98]:
* Existe uma poltica para garantir senhas eficientes e que sejam regularmente
modificadas?
* A confirmao da autenticao necessria em certas funes, como nas
transaes que ultrapassam um certo valor?
* Existe o controle de time-out, que pede a confirmao da autenticao, em
caso de um determinado tempo de inatividade?
* Existem logs, alarmes e travas?
* Como as tentativas de conexo invlidas so detectadas, reportadas e manipuladas?
* A poltica consistente entre as plataformas e as aplicaes?
Os benefcios do sucesso na implementao do SSO so o aumento na produtividade dos usurios e dos administradores de sistemas. Os usurios ganham acesso
mais fcil aos recursos e os problemas com senhas, que resultam em utilizao do
help-desk (cerca de 60 a 30% das chamadas, segundo a Gartner [MAC 02]), so
minimizados. Os administradores tambm ganham em produtividade, com a possibilidade de padronizao da poltica de nomes de acesso/senhas e a aplicao consistente da poltica de segurana [TRI 98].
Uma alternativa importante para o SSO a sincronizao de senhas, que pode
ser utilizada principalmente quando o grande problema da organizao refere-se
aos custos elevados envolvidos com o suporte tcnico decorrentes de problemas dos
usurios com suas senhas. Essa soluo menos complexa do que o SSO, e a principal diferena que o usurio precisa se autenticar em cada servio por meio de uma
nica senha. Quando uma senha alterada, essa mudana propagada para todos
os servidores, por meio de um agente de servidor [CAR 99]. Outra diferena que o

367
SSO requer que um software seja instalado em cada workstation, enquanto a sincronizao de senhas no precisa de modificaes [PSY 99].
As vantagens do uso da sincronizao de senhas, alm do benefcio para o usurio, que precisa memorizar apenas um nico nome de acesso e uma nica senha,
que o sistema de sincronizao no constitui um nico ponto de falha. Se comparado com o SSO, a desvantagem que o usurio necessita autenticar-se individualmente em cada sistema, de forma diferente do SSO, que precisa de uma nica autenticao.
Uma alternativa que auxilia a organizao com relao aos custos envolvidos
com o help desk so os sistemas de reset de senhas, nos quais os usurios destravam
ou renovam suas prprias senhas, via resposta a perguntas especficas, que somente o prprio usurio tem condies de responder.
A Public Key Infrastructure (PKI), vista na Seo 9.6, tambm pode ser considerada como um SSO, pois a autenticao dos usurios pode ser feita pelo certificado
digital. O usurio poderia acessar os recursos por meio desse certificado digital,
porm, para que isso seja possvel, necessrio que esses recursos sejam compatveis com a PKI. Com os certificados, os sistemas de autenticao podem ser integrados em uma infra-estrutura nica. De fato, devido ao alto nvel de segurana proporcionado pela criptografia de chaves pblicas, a PKI tem uma grande importncia
dentro da estratgia de segurana de qualquer organizao, e pode ser considerada
uma soluo ideal dentro de um ambiente cooperativo, principalmente por oferecer
a autenticao e o no-repdio, alm de ser capaz de proporcionar o sigilo das
informaes.

10.4 CONCLUSO
O controle de acesso, com base na autenticao e na autorizao dos usurios,
constitui um componente essencial para a segurana das organizaes. Diversos
aspectos envolvidos devem ser avaliados, como os mtodos utilizados no controle
de acesso e melhor mtodo de autenticao necessrio para a organizao. A autenticao pode ter como base alguma coisa que o usurio sabe, algo que o usurio tem
ou alguma caracterstica do usurio. A autenticao de dois fatores, que utiliza dois
desses mtodos, aumenta o nvel de segurana e recomendada para o acesso a
informaes crticas. As senhas, que so o mtodo de autenticao mais utilizado
atualmente, trazem uma srie de problemas, seja de segurana ou de produtividade,
tanto para o usurio quanto para os administradores de sistemas. O Single Sign-On
(SSO) um sistema que visa a reduo desses problemas, no s de senhas, mas de
qualquer outro mtodo de autenticao, ao eliminar a necessidade de mltiplas

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS


368
autenticaes. A sincronizao de senhas tambm pode ser utilizada e a Public Key
Infrastructure (PKI), ao utilizar a criptografia assimtrica, que garante um alto grau
de segurana (se for corretamente implementado), tambm resolve muitos dos problemas que envolvem a autenticao dos usurios, constituindo um importante
elemento dentro da estratgia de segurana de uma organizao.

Parte III
Modelo de segurana para um
ambiente cooperativo

Esta ltima parte apresentar nosso modelo de como obter segurana em um


ambiente cooperativo, como definido anteriormente.
VPNs so peas fundamentais para vrias caractersticas de ambientes cooperativos, mas a disponibilizao da infra-estrutura necessria no imediata. Em particular, a localizao do servidor VPN no firewall necessita de diversas consideraes.
Uma funcionalidade indispensvel em qualquer aparato de segurana a filtragem,
que, com certeza, deve ser empregada para proteger as mquinas chamadas pblicas da organizao (DMZ) e quase sempre tambm utilizada em outros pontos da
barreira que separa a organizao do resto do mundo. Entretanto, as regras de
filtragem podem tornar-se extremamente complexas em um ambiente cooperativo,
devido multiplicidade de outras redes que devem ter privilgios extras.
O estabelecimento de segurana em um ambiente cooperativo tende a ser muito
mais complexo que essas regras de filtragem e, para dar conta de todo o processo,
propomos um modelo em cinco nveis hierrquicos. Para gerenciar todo o processo
de segurana, tendo a possibilidade de visualizar facilmente a situao da segurana em todos os seus aspectos, propomos um Modelo de Teias. O leitor envolvido com
a segurana de redes de organizaes de maior porte ter a oportunidade de testar
tal modelo e avaliar sua eficcia para retratar o estado corrente da segurana da sua
organizao. Esse modelo especialmente til ao passar essa informao direo
da organizao ou a outros fruns nos quais isso seja necessrio, pois muito difcil
leigos entenderem o discurso do tcnico em segurana.

As configuraes de um
ambiente cooperativo

C
a
p

t
u
l
o
12

Este captulo tem como objetivo apresentar os diversos cenrios


que representam as redes das organizaes, os quais, em razo de sua
evoluo (aumento do nmero de conexes), chegam at formao
do ambiente cooperativo. Ser visto que a complexidade do ambiente
aumenta a cada nova conexo, o que exige uma anlise profunda da
arquitetura e das tecnologias necessrias para a proteo do ambiente. Este captulo analisa as diversas configuraes de componentes
importantes para a segurana de uma empresa, como o firewall, a
rede privada virtual (Virtual Private Network VPN), o sistema de
deteco de intruso (Intrusion Detection System IDS) e a infraestrutura de chaves pblicas (Public Key Infrastructure PKI), de
acordo com as necessidades que vo surgindo com a evoluo das
conexes. As discusses deste captulo culminam com a arquitetura
do firewall cooperativo, que ser conceituada no prximo captulo.

12.1 OS CENRIOS AT O AMBIENTE


COOPERATIVO
A arquitetura do firewall cooperativo ser apresentada de acordo
com um exemplo de ambiente cooperativo, pela anlise das necessidades, dos problemas e das respectivas solues propostas. Essa
apresentao ser realizada de modo gradual, ou seja, discutindo
diversos cenrios evolutivos de uma rede e das necessidades de proteo, chegando at formao do ambiente cooperativo.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 12: As configuraes de um ambiente cooperativo

372
O cenrio evolutivo possibilitar que as diversas etapas do crescimento das conexes de uma organizao possam ser analisadas, de forma que os problemas de
segurana sejam discutidos e as solues sejam sugeridas. A complexidade das conexes pode atingir um nvel elevado, de forma que podem ocorrer variaes do que
ser apresentado nas prximas sees.

373
feitos ou insiders (Seo 4.1.3), que podem roubar informaes confidenciais ou
implantar bombas lgicas em sistemas da organizao (Seo 6.1). Funcionrios
terceirizados tambm devem ser tratados com a devida vigilncia, pois podem acessar
recursos indevidamente estando fisicamente dentro da organizao.

12.1.1 A rede interna


Uma organizao tpica tem, no incio, uma rede com o objetivo de conectar
seus recursos no nvel interno (Figura 12.1), a fim de facilitar as tarefas bsicas da
organizao. Nesse primeiro passo evolutivo da rede, a organizao ainda no est
conectada a uma rede pblica, ou seja, ainda no existe nenhum acesso externo,
apenas o acesso interno.
Nesse cenrio, a possibilidade de ataques vindos do exterior no existe, pois,
fisicamente, a rede nica e isolada. Assumindo que ningum da organizao usa um
modem, os ataques aos recursos da organizao podem ser efetuados apenas por meio
da engenharia social e com o invasor estando fisicamente dentro da organizao.

Figura 12.2

A comunicao entre organizaes por meio de conexo dedicada.

12.1.3 Acesso remoto por modem


Figura 12.1 A rede interna de uma organizao.

12.1.2 Conexo com a filial


A necessidade de comunicao entre a organizao e suas filiais uma constante no
mundo atual. Nesse segundo passo evolutivo do ambiente cooperativo, uma conexo
dedicada como o Frame Relay foi utilizada para ligar a filial matriz (Figura 12.2).
Ao considerar que a comunicao privada e dedicada e que a matriz e a filial
fazem parte de uma mesma organizao, no tendo outros tipos de comunicaes,
a preocupao com a segurana ainda se restringe ao mesmo caso da seo anterior,
ou seja, segurana interna.
O uso de modems pode introduzir riscos e ainda no existe nesse cenrio. Alm
da engenharia social, outros cuidados devem ser tomados com funcionrios insatis-

O acesso remoto rede da organizao por meio de linha discada difundiu-se


rapidamente, principalmente no caso do acesso s informaes quando o usurio
est em um cliente ou quando o usurio trabalha remotamente de um hotel ou de
sua residncia, por exemplo. Uma outra situao na qual o modem muito utilizado
no fornecimento de suporte tcnico remoto e administrao remota de sistemas.
A produtividade pode aumentar com o acesso remoto; no entanto, preciso
considerar que a existncia de uma estrutura de acesso remoto via modem pode
passar a constituir pontos de ataque, como o que resultou no ataque realizado por
Kevin Mitnick. Por intermdio da engenharia social, Mitnick conseguiu nmeros de
telefones de sistemas internos e passou a utiliz-los para a realizao de seus ataques. Os modems ainda constituem pontos ativos de ataque, que podem comprometer a organizao, principalmente por meio da formao de um atalho que pode
driblar o firewall, se ele for mal implementado.
Assim, o acesso remoto fornecido pela organizao deve contar com um mtodo
de autenticao eficiente, como o uso de smartcards ou de tokens de autenticao.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 12: As configuraes de um ambiente cooperativo

374
A utilizao de dial-back, no qual a organizao liga de volta para o usurio, a fim
de possibilitar a efetivao da conexo, de acordo com a poltica de segurana,
tambm aumenta o nvel de segurana do acesso remoto. Os registros de tentativas
de conexes e todas as aes realizadas durante as conexes tambm devem ser
eficazes para que uma possvel auditoria seja realizada com sucesso.
importante notar que a poltica de segurana (Captulo 6) representa um papel
fundamental quando o assunto so modems. Alm do pool de modems, eventuais
modems em equipamentos de alguns usurios devem ser controlados com muito
mais ateno. Esses usurios podem configurar seus modems para receberem chamadas, a fim de que tenham acesso gratuito Internet ou para que possam trabalhar em suas casas. Os riscos de invaso, nesses casos, so muito grandes; primeiro,
porque o mtodo de autenticao ineficiente; segundo, porque a poltica de segurana no est implementada no firewall, que ainda no existe.
Assim, o uso de modems deve ser restringido ao mximo dentro das organizaes. Caso algum usurio precise utiliz-lo, a poltica deve definir pelo menos que o
cabo de rede seja desconectado enquanto o modem utilizado. Isso far com que,
caso algum invada o equipamento do usurio via modem, a rede interna da organizao no seja tambm comprometida.

12.1.4 Conexo com a Internet


Os problemas de segurana passaram a ser maiores e mais evidentes aps o advento da Internet. possvel observar, por exemplo, que o crescimento dos incidentes de
segurana aumentou exponencialmente, junto com o crescimento da Internet. Isso
pode ser verificado porque, a partir do momento em que o acesso Internet passa a
integrar a rede da organizao, o inverso tambm se torna verdadeiro, ou seja, qualquer pessoa pela Internet tambm pode acessar a rede da organizao. Nesse ponto,
o firewall (Captulo 7) torna-se, assim, um componente essencial para as organizaes
que possuem qualquer tipo de acesso Internet (Figura 12.3).

Figura 12.3 A necessidade do firewall nas conexes com a Internet.

375
Nesse primeiro momento, quando o acesso Internet utilizado somente para
que os usurios da organizao acessem informaes da grande rede, o firewall deve
isolar a rede da organizao contra todas as tentativas de acesso externo, vindas da
Internet, que, de fato, no so necessrias nesse cenrio. necessrio apenas permitir o acesso dos usurios internos Internet, e no o inverso. As regras de filtragem
do firewall, assim, so bem simples, bastando bloquear tudo o que vem da rede
pblica, permitindo apenas as conexes com origem na rede interna e os servios
permitidos pela poltica de segurana.
A segurana do ambiente pode ser aumentada se o firewall for constitudo por
proxies para servios como HTTP e FTP, por exemplo. Eles so importantes porque
podem mascarar o endereo de IP de todos os usurios (o proxy utiliza seu prprio
endereo), realizar a filtragem no nvel de aplicao (bloqueando o acesso a pginas
Web imprprias, por exemplo) e exigir que o usurio realize a autenticao para que
possa ter acesso aos servios. Outra vantagem que os registros para a auditoria
passam a ser mais completos, quando comparados com os registros criados pelos
filtros de pacotes ou de estados.
Nesse cenrio, o Network Address Translation (NAT) tambm pode ser utilizado
juntamente com a utilizao de endereos reservados do RFC 1918 na rede interna.
A vantagem da utilizao do NAT que, alm de possibilitar maiores espaos de
endereamento, por usar endereos de IP reservados, o roteamento para essa rede
no existe. Assim, o mapeamento da rede interna e os ataques a hosts internos
passam a ser mais difceis de serem executados.

12.1.5 Proviso de servios para a Internet


As regras de filtragem simples dos firewalls passam a tornar-se mais complexas a
partir do momento em que a organizao comea a fornecer servios para toda a comunidade da Internet. Neste cenrio, os usurios externos acessam recursos da organizao, como os servidores Web, servidores FTP e servidores de e-mail (Figura 12.4).

Figura 12.4

A organizao provendo servios para usurios externos.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 12: As configuraes de um ambiente cooperativo

376
A primeira definio que deve ser feita quanto localizao dos servidores,
que deve levar em considerao tanto a proteo do ambiente quanto a acessibilidade. A questo de onde se devem localizar os servidores culminou no conceito de
zona desmilitarizada (Dismilitarized Zone DMZ, Captulo 7), que forma uma zona
de proteo em que o sucesso de um ataque contra os servidores no implica no
comprometimento da rede interna da organizao.
Na Figura 12.4, pode-se observar que o comprometimento de um dos servios
fornecidos pela Internet resulta no acesso automtico do hacker aos recursos internos da organizao. Isso significa que, sem a DMZ, o sucesso de um ataque a um dos
servidores faz com que o hacker tenha o acesso a toda rede da organizao. A DMZ
evita esse tipo de risco, ao criar uma sub-rede formada por duas barreiras, como
pode ser visto na Figura 12.5. Com a DMZ, caso o hacker passe pela primeira barreira
e ataque um dos servios fornecidos, ainda existe a segunda barreira a ser vencida
para que ele tenha acesso aos recursos internos da organizao. Esse firewall (Figura 12.5) poderia ser composto, como foi visto no Captulo 7, por um filtro de estados na Barreira 1 e de proxies na Barreira 2. Essa foi a arquitetura utilizada na
configurao do LAS-IC-Unicamp, que ser apresentada no Captulo 13. Como nesse
cenrio no existem acessos rede interna da organizao vindos da Internet (a
no ser as respostas das requisies feitas pelos usurios internos), o proxy da
Barreira 2 cumpre bem esse papel, autenticando os usurios internos e controlando
todos os tipos de acesso. As regras de filtragem da Barreira 1 tambm devem refletir
o cenrio, permitindo os acessos somente da Internet para os servidores (Web, FTP
e e-mail), e as requisies dos usurios internos, que so representados pelo proxy.

Figura 12.5 As duas barreiras que formam a DMZ do firewall.

As duas barreiras que formam a DMZ podem ser colocadas nas interfaces de um
firewall, ou seja, o firewall pode ser composto por um nico equipamento, que, por

377
sua vez, pode incorporar os proxies e o filtro de pacotes. Isso pode ser observado na
Figura 12.6. Nessa configurao, as regras de filtragem devem ser definidas para cada
interface especfica. A questo que se tem aqui com relao melhor configurao:
o ideal utilizar a arquitetura da Figura 12.5 ou a arquitetura da Figura 12.6?

Figura 12.6

O firewall composto por trs interfaces de rede.

Pode-se verificar que, nas duas arquiteturas, os servios so fornecidos por meio
da DMZ. A diferena que, na Figura 12.5, o firewall composto por dois componentes (Barreira 1 e Barreira 2), alm da DMZ. J na Figura 12.6, o firewall formado por um nico componente com trs interfaces de rede.
Mas ser que existem diferenas quanto ao nvel de segurana entre as duas
arquiteturas? possvel observar, no Captulo 4, que os bugs podem resultar em
acesso no autorizado por meio da explorao de buffer overflow, de condies
inesperadas, de entradas no manipuladas ou de race conditions. No Captulo 3, foi
discutido que a complexidade inversamente proporcional ao nvel de segurana
dos sistemas. No Captulo 7, foi mostrado que a complexidade dos firewalls vem
aumentando pela combinao de diversas funcionalidades em um nico equipamento. Essa observao coerente, uma vez que a complexidade traz maiores possibilidades de erro em sua implementao, que resultam em bugs que podem ser
explorados, diminuindo, assim, o nvel de segurana do sistema. E o que vem aumentando a complexidade dos firewalls a adio de novas funcionalidades.
Assim, a melhor condio para um firewall que ele seja o mais simples possvel.
Essa condio satisfeita pelas duas arquiteturas, se forem consideradas as tecnologias
bsicas que funcionam como barreira na rede da organizao (filtros de pacotes, filtros
de pacotes baseados em estados e proxies). Os filtros de pacotes e os baseados em

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 12: As configuraes de um ambiente cooperativo

378
estados atuam no kernel do sistema operacional, sendo extremamente simples, com a
mnima possibilidade de bugs que podem ser explorados. As race conditions, que podem
resultar na inconsistncia de informaes, no aparecem nos filtros. Alm disso, o
buffer overflow no pode ser explorado, pois os pacotes IP so regidos pelo Maximum
Transfer Unit (MTU), ou seja, pacotes com tamanho grande no podem ser utilizados
sem que antes sejam divididos em unidades menores. E tambm os proxies, que atuam
na camada de aplicao, dificilmente contm erros, pois a maioria deles realiza apenas
a funo de relay, no nvel de circuitos, entre o cliente e o servidor. Os proxies de
aplicao podem realizar algumas filtragens no contedo dos pacotes. Porm, como
esses pacotes no ultrapassam o tamanho determinado pela MTU, no podem sofrer
com o buffer overflow, alm da situao de race condition tambm no existir.
Dessa maneira, pode-se afirmar que a arquitetura 2 (Figura 12.6) to segura
quanto a arquitetura 1 (Figura 12.5), apresentando a vantagem de facilitar a administrao, devido ao menor nmero de equipamentos a serem gerenciados. O que
deve ser lembrado que nenhum outro servio deve estar sendo executado no
equipamento, pois esse novo servio traz consigo as prprias vulnerabilidades e
novas condies que podem ser exploradas.
O desempenho da arquitetura 2 pode sofrer algumas alteraes, sobretudo em um
ambiente complexo, como o ambiente cooperativo, que tem como caracterstica o grande nmero de conexes. Porm, deve ser dada a devida importncia segurana, sendo
o desempenho um fator secundrio. Caso o desempenho tambm seja necessrio, mais
equipamentos podem ser utilizados, para que a carga seja distribuda entre eles.
Assim, implementando-se uma das configuraes vistas nesta seo, a organizao estar apta a acessar servios pela Internet e tambm a fornecer servios para
os usurios externos de uma forma segura.

12.1.6 Proviso de acesso do banco de dados


Seguindo os passos da evoluo, a organizao passa a ter a necessidade de
fornecer informaes mais especficas para seus usurios, como sobre o estado de
um pedido, por exemplo. Esse tipo de informao que normalmente especfica
e confidencial, e, portanto, deve ser protegida contra o acesso indevido faz com
que maiores cuidados sejam tomados com relao localizao do banco de dados.
Alm da localizao, um outro ponto importante a escolha do mtodo de autenticao utilizado para que o acesso seja autorizado (Captulo 11). Alm disso, os
registros das tentativas de acesso e das transaes realizadas em cada acesso tambm devem ser completos e seguros, principalmente para facilitar as investigaes
futuras, via forense computacional.

379
A localizao do banco de dados na DMZ, como um bastion host, pode ser uma
opo (Figura 12.7). Porm, sabe-se que os recursos residentes na DMZ possuem o
acesso pblico externo permanente, sendo, portanto, alvo de tentativas de ataque.
Normalmente, o banco de dados acessado por meio do servidor Web; porm, caso
a Barreira 1 permita o acesso direto ao recurso, ele pode ser alvo de ataques de
fora bruta. Caso no haja alternativa e o banco de dados tiver de ser localizado na
DMZ, a Barreira 1 dever estar implementada corretamente. O ideal que a configurao do firewall no permita que nenhum trfego passe diretamente pela Internet
para o banco de dados, pois ele dever ser acessado somente pelo servidor Web, que
contm a aplicao que acessa o banco de dados.

Figura 12.7

O servidor de banco de dados na DMZ.

Nessa arquitetura, em que o banco de dados est na DMZ, as informaes correm


risco, no caso de qualquer um dos servios da DMZ ser atacado. Ataques de fora
bruta, sniffing de pacotes, seqestro de conexes e ataques diretos ao servidor
podem ser executados nesse contexto.
Outro ponto que deve ser considerado na definio da arquitetura quanto ao modo
como as informaes do banco de dados sero atualizadas ou recuperadas pela organizao. Caso seja realizada a replicao para um banco de dados interno ou mesmo um
backup, um canal de comunicao entre a DMZ e a rede interna deve ser estabelecido
por meio da Barreira 2. Se esse canal for iniciado pelo servidor da DMZ, ele poder ser,
eventualmente utilizado tambm pelo hacker para a realizao de ataques rede interna. Se o canal for iniciado pelo servidor interno, a soluo no ser online, pois as
atualizaes devem ser realizadas em batch, de tempos em tempos.
A segunda opo para a localizao do banco de dados na rede interna da
organizao, como pode ser visto na Figura 12.8.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 12: As configuraes de um ambiente cooperativo

380

381
Essa arquitetura tem o mesmo grau de segurana da arquitetura da Figura 12.8,
com relao base de dados da organizao. A vantagem que essa nova arquitetura, com uma nova DMZ, evita o problema do comprometimento da rede interna da
organizao, caso um ataque ao servidor de dados tenha sucesso. A mesma arquitetura, utilizando um nico componente de firewall, com quatro interfaces de rede,
pode ser vista na Figura 12.10. Quanto replicao da base de dados, ela pode no
ser necessria, pois poder ser acessada diretamente a partir da rede interna, por
meio de um canal de comunicao configurado pela Barreira 2.

Figura 12.8 O servidor de banco de dados na rede interna da organizao.

Essa configurao, porm, d a impresso de que um ataque ao servidor de


banco de dados resulta no acesso rede interna da organizao, o que, de fato,
verdade. Porm, o risco pode ser minimizado mediante o correto desenvolvimento e
a correta implementao da poltica de segurana no firewall. A idia, nesse caso,
fazer com que a segunda barreira permita passar apenas o trfego referente conexo entre o servidor Web e o servidor de banco de dados, no permitindo o acesso
direto ao banco de dados. Assim, para que o hacker tenha acesso no autorizado
base de dados, ser necessrio, primeiramente, comprometer o servidor Web e depois o servidor de banco de dados. importante, ainda, lembrar que a autenticao
deve fazer parte desse esquema de acesso aos dados (Captulo 11). A replicao da
base de dados no necessria nessa arquitetura, pois ela se encontra na rede
interna da organizao.
Uma terceira configurao que pode trazer maior nvel de segurana organizao a utilizao de uma segunda rede DMZ, como pode ser visto na Figura 12.9.

Figura 12.10

Duas DMZs em um nico componente de firewall.

Um ponto importante a ser considerado quando informaes crticas so acessadas


via Internet, como o caso desse exemplo, que devem ser transportadas por meio
de um canal seguro. A utilizao do SSL, portanto, fundamental para esses casos.

12.1.7 Implicaes da conexo com uma filial


Neste ponto da evoluo de um ambiente, a organizao tem o acesso Internet
e fornece servios para os usurios, sendo um deles o acesso s informaes consideradas confidenciais. Nesta seo, sero analisadas as implicaes de segurana
envolvidas com uma conexo dedicada estabelecida com a filial (Figura 12.11).

Figura 12.9 A utilizao de uma segunda DMZ para o servidor de banco de dados.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 12: As configuraes de um ambiente cooperativo

382

383

Figura 12.11 A arquitetura da organizao, com o acesso Internet e filial.

O que influi diretamente no nvel de segurana dessa arquitetura so as conexes existentes na filial. Na arquitetura da Figura 12.11, pode-se ver que a filial no
possui nenhum outro tipo de conexo, de modo que tudo est de acordo, ou seja, os
ataques originrios externamente so improvveis. Assim, pode-se considerar a segurana como estando no nvel interno, assumindo-se que as regras de filtragem do
firewall esto definidas de modo a proteger a rede interna da organizao (Seo
12.1.6). Porm, a existncia de outras conexes na filial pode colocar em risco a
rede interna da organizao, como pode ser visto na Figura 12.12.

Figura 12.12

Os riscos envolvidos com as mltiplas conexes.

Na arquitetura da Figura 12.12, a rede interna da organizao corre o risco de


sofrer o acesso no autorizado dos usurios da Rede A, que podem chegar rede
interna por meio da rede da filial. Esse tipo de risco conhecido como triangulao,
onde a rede da filial utilizada para o ataque rede da organizao. Essa situao
pode tornar-se ainda mais grave caso a Rede A tenha acesso Internet sem a
proteo necessria (Figura 12.13). Os riscos aumentam de uma forma explosiva,
pois, dependendo da proteo existente na Rede A, qualquer um da Internet pode
ter acesso direto rede da organizao, passando pela rede da filial.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 12: As configuraes de um ambiente cooperativo

384

385

Figura 12.14
Figura 12.13 Mltiplas conexes envolvendo a Internet.

Nessa arquitetura (Figura 12.13), qualquer usurio da Internet pode chegar


rede interna da organizao passando antes pela Rede A, depois pela filial, at
chegar rede interna. Pode-se observar que o firewall, implementado para proteger
a rede interna contra o acesso no autorizado, passa a no ter funo nenhuma. O
hacker pode driblar o firewall, acessando a rede interna por meio da passagem pela
Rede A e pela rede da filial, em um exemplo clssico de triangulao.
Na realidade, essas duas etapas (passagem pela Rede A e pela rede da filial) no
so necessrias, caso a prpria filial tenha acesso Internet. Como pode ser visto
na Figura 12.14, essa uma configurao reconhecidamente perigosa, pois a filial
no tem, neste exemplo, os mesmos mecanismos de segurana da rede interna da
organizao, ou seja, a filial no dispe do firewall.

Mecanismos de segurana que no so equivalentes, entre matriz e filial.

Neste ponto, j se pode visualizar o incio de um ambiente cooperativo, no qual


o que foi discutido no Captulo 6, a poltica de segurana em ambientes cooperativos, passa a ser aplicvel.
Se for levado em considerao que cada organizao deve cuidar da sua prpria
segurana, o que de fato foi a concluso obtida no Captulo 6, ento a abordagem a
ser seguida a implementao de um firewall entre a filial e a rede interna da
organizao. Assim, mesmo que a filial sofra um ataque, os riscos quanto rede
interna podem ser minimizados. De fato, essa uma abordagem que deve ser seguida (firewall interno). Porm, em se tratando de uma mesma organizao, geralmente uma outra abordagem adotada. A opo mais empregada a utilizao da
mesma configurao da borda de rede da matriz na borda de rede da filial, com a
conexo entre a matriz e a filial permanecendo aberta.
Porm, a duplicao de esforos para que a rede da filial tenha o mesmo nvel de
segurana da rede interna da organizao (com firewall na matriz e tambm na
filial) significa altos custos de implementao e gerenciamento. Assim, ela difcil
de ser justificada em casos nos quais os usurios da filial precisam ter acesso somente aos servios bsicos da Internet, como Web, FTP e e-mail.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 12: As configuraes de um ambiente cooperativo

386

387

Desse modo, a configurao mais utilizada, a princpio, a que pode ser vista na
Figura 12.15, na qual o acesso Internet dos usurios da filial realizado usandose a estrutura da matriz. Esse acesso feito por meio da conexo dedicada rede
interna da organizao, onde, a partir da, o acesso Internet permitido, passando-se pelo firewall.
Essa arquitetura no resulta em nenhuma implicao de segurana, pois a filial
no possui outros tipos de conexes, uma vez que todas as comunicaes so realizadas por meio da rede interna da organizao, que est protegida contra acessos externos indevidos pelo firewall. A desvantagem dessa arquitetura que uma conexo
dedicada (mais cara do que uma conexo Internet) utilizada tanto para o trfego de
informaes de negcios quanto para o trfego de servios bsicos da Internet.

do no gateway da rede da matriz. Esse tipo de conexo, que feito entre duas redes
organizacionais, conhecido como gateway-to-gateway VPN (Captulo 10).

Figura 12.16

Figura 12.15

Acesso Internet, pela filial, por meio de linha dedicada.

12.1.8 Utilizao da VPN


A utilizao de uma conexo dedicada para o trfego na Internet resulta em
custos muito altos, sobretudo em uma organizao em que a filial tem um grande
nmero de usurios. Assim, a organizao deve considerar a idia de utilizar uma
conexo direta com a Internet na filial, para que a conexo dedicada possa ser
economizada. Uma idia a utilizao da VPN para realizar essa funo (Figura
12.16). Utilizando-se a VPN, o tnel criado no gateway da rede da filial e finaliza-

Acesso Internet, pela filial, por meio de VPN.

Porm, pode-se verificar que essa alternativa totalmente desnecessria, no


caso do acesso apenas aos servios da Internet. Isso ocorre porque o primeiro passo
para a utilizao da VPN a necessidade de uma conexo com a Internet, por onde
o tnel virtual criado.
Na arquitetura da Figura 12.16 surgem duas questes essenciais para a segurana da organizao:
1. Em que consiste a VPN que funciona no gateway da filial?
2. Como deve ser a configurao da VPN no firewall?

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 12: As configuraes de um ambiente cooperativo

388
Pode-se observar que o trfego da Internet nessa conexo gerado de modo a
desperdiar recursos, pois a requisio do usurio da filial passa pelo tnel virtual,
vai at a Internet, chega ao firewall da matriz e vai at o dispositivo de VPN. No
dispositivo VPN da matriz, o tnel desfeito e a requisio chega novamente
Internet, dessa vez at o seu destino.
O caminho inverso da resposta feito da mesma maneira, ou seja, a resposta
retorna ao firewall, no qual o encapsulamento da resposta feito pela VPN, e a
resposta enviada pelo tnel para a Internet. Na filial, o dispositivo VPN abre o
tnel e direciona o trfego para o seu destino (origem da requisio), ou seja, o
usurio da filial. Pode-se observar que o mesmo pacote de requisio e resposta
passa trs vezes pela Internet. Em circunstncias normais, existe uma nica passagem pela Internet, bidirecional, que a requisio e a resposta direta ao cliente.
A utilizao da VPN somente para o trfego de servios bsicos da Internet
passa, assim, a ser injustificvel, a no ser que o sigilo desses dados seja uma
exigncia essencial, o que pode ocorrer no caso da transferncia de e-mails entre a
matriz e a filial pela Internet. Nesse caso, a segurana do trfego de e-mail passa a
ser equivalente utilizao da conexo dedicada.
Porm, independentemente da justificativa com relao sua utilizao, o ponto primordial a ser considerado nessa arquitetura surge a partir da primeira questo, referida anteriormente: em que consiste a VPN que funciona no gateway da
filial? Essa questo surge porque o ponto fundamental a ser tratado quando uma
organizao passa a se comunicar diretamente com a Internet a seguinte: se
existe o acesso Internet, ento, o controle de borda, realizado pelo firewall, deve
existir, para que qualquer acesso indevido seja evitado.
Levando-se isso em considerao, ser que, na arquitetura vista anteriormente
(Figura 12.16), as funcionalidades da VPN so acompanhadas pela proteo de borda, ou seja, ser que o dispositivo de VPN est fazendo tambm o papel de firewall?
No o que est representado na Figura 12.16, e essa questo relevante, uma
vez que, como foi mostrado no Captulo 7, o firewall, muitas vezes, considerado
erroneamente como a soluo de todos os problemas de segurana. E a arquitetura
demonstrada parece aproveitar-se dessa afirmao, ao fazer com que o trfego passe obrigatoriamente pelo firewall da matriz, como se assim o nvel de segurana
fosse assegurado.
Mas, considerando que quando a conexo com a Internet existe, o firewall tambm deve existir, utilizar a VPN para que o firewall da matriz seja utilizado no faz
sentido. De fato, o firewall precisa existir na rede da filial de qualquer modo, devido
necessidade de proteo contra os ataques vindos a partir dessa conexo com a
Internet. Esse firewall necessrio na rede da filial pode ser implementado de uma
maneira extremamente simples, pois nenhum servio fornecido pela filial, mas
sim apenas pela matriz.

389
Assim, o firewall apresentado na Figura 12.3 pode resolver o problema do acesso
Internet feito pela filial, sem comprometer a segurana da matriz. As regras de
filtragem desse firewall devem possibilitar somente que os pacotes dos servios
bsicos permitidos para os usurios internos passem pelo filtro.
J a VPN pode ser utilizada para o trfego de e-mails entre a matriz e a filial, por
exemplo, alm de ser possvel tambm utiliz-la como canal de troca de documentos com informaes confidenciais. A Figura 12.17 mostra a configurao ideal para
esse cenrio.

Figura 12.17 Acesso Internet em conjunto com VPN.

O que foi abordado responde primeira questo, faltando ainda resolver a segunda questo que surge com a utilizao da VPN: como deve ser a configurao da
VPN no firewall? As possibilidades de configuraes do VPN com relao ao firewall
sero discutidas na Seo 12.2.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 12: As configuraes de um ambiente cooperativo

390

12.1.9 Conexo com um fornecedor


Foi mostrado, claramente, que a complexidade da arquitetura de segurana aumenta medida que novas necessidades de conexes vo aparecendo. Essa complexidade passa a ser maior e mais sria quando se deve proporcionar o acesso a algum
recurso da rede interna. Um caso tpico quando um fornecedor deseja acessar
informaes internas da organizao referentes a estoques, por exemplo. Esse tipo
de acesso pode ser realizado por meio de uma aplicao especfica e a exigncia
bsica que as informaes no podem trafegar sem o uso de criptografia pela rede.
Alm disso, tambm necessrio garantir a integridade dessas informaes, para
que uma eventual alterao no meio do caminho entre o servidor e o cliente no
resulte em maiores impactos. Tambm se deve combater as possibilidades de ocorrer
um ataque do tipo man-in-the-middle. Outra necessidade bsica garantir que apenas os usurios legtimos tenham acesso ao servio.
A primeira alternativa de configurao que permite ao fornecedor acessar o
banco de dados de estoques, que est localizado na rede interna, por meio de um
tnel de VPN, como pode ser visto na Figura 12.18.

391
O tnel IPSec protege toda a comunicao que passa pela Internet, e o controle de
acesso realizado em conjunto pela VPN e pelo firewall permite que somente os fornecedores acessem apenas o banco de dados de estoques. interessante notar, nesse
caso, o aumento do bolso de segurana da organizao. Antes restrito DMZ 1 e
DMZ 2, agora o bolso inclui o banco de dados de estoques, que est na rede interna.
Uma alternativa de arquitetura para essa situao o acesso do fornecedor pelo
servidor Web, com o banco de dados de estoques sendo localizado na DMZ 2, como
foi discutido na Seo 12.1.6. Porm, essa arquitetura tem suas limitaes de segurana. Elas esto relacionadas ao canal seguro baseado em SSL que estabelecido
entre o fornecedor e o servidor Web. Como o SSL funciona na camada de aplicao,
ou seja, acima da camada TCP e, conseqentemente, acima da camada IP, qualquer
usurio da Internet pode estabelecer uma conexo com o servidor Web. Com isso, a
segurana da soluo passa a depender, essencialmente, do mtodo de autenticao
escolhido. Essa abordagem diferente da arquitetura em que o IPSec utilizado na
VPN. Como foi visto no Captulo 10, utilizando-se o IPSec, a segurana passa a
existir na prpria conexo, e apenas o fornecedor consegue estabelecer a conexo
com o banco de dados de estoques, por meio do controle de acesso implementado.
Pode-se observar na Figura 12.18 que a complexidade das conexes muito
grande em um ambiente cooperativo, e ela aumenta ainda mais devido existncia
de um nmero ainda maior de nveis de conexes diferentes (telecommuters, revendas, clientes, parceiros comerciais etc.). Quando existem, por exemplo, dez nveis
de conexes diferentes, a poltica de segurana torna-se difcil de ser desenvolvida
e, principalmente, de ser implementada. Uma discusso sobre a complexidade relacionada aos ambientes cooperativos ser feita no Captulo 13, que inclui tambm
discusses sobre as dificuldades na definio das regras de filtragem e sobre uma
maneira de simplific-las.

12.1.10 Proviso de autenticao via autoridade


certificadora
Ao mesmo tempo em que o nmero de diferentes conexes aumenta, a autenticao dos usurios torna-se mais complicada, sendo essencial que um mtodo eficiente de autenticao seja utilizado. Como foi visto no Captulo 11, a autenticao
com base em certificados digitais pode ser considerada uma soluo ideal para o
ambiente cooperativo. De fato, uma soluo baseada apenas no SSL e em um outro
mtodo de autenticao, como a senha de acesso, garante apenas que o servidor
Web seja certificado digitalmente, no garantindo a certificao do usurio e, conseqentemente, o no-repdio tambm no assegurado.
Essas so propriedades importantes para a segurana no acesso a informaes
crticas, comuns em ambientes cooperativos, que podem ser endereadas pelos cerFigura 12.18 Aumento da complexidade das conexes.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 12: As configuraes de um ambiente cooperativo

392

393

tificados digitais emitidos por uma autoridade certificadora (CA). Em uma arquitetura em que a autenticao tem como base os certificados digitais, a autoridade
certificadora de uma infra-estrutura de chaves pblicas (PKI, Seo 9.6) pode atuar
em conjunto com a VPN. As regras de filtragem do firewall devem ser definidas de
modo que a VPN, e apenas ela, se comunique com a CA para que as autenticaes
tenham validade. Em uma variao da arquitetura, na qual a VPN no utilizada, o
servidor Web, e apenas ele, deve comunicar-se com a CA.
A posio da CA dentro da arquitetura de segurana um ponto a ser discutido.
A localizao da CA na DMZ, demonstrada na Figura 12.19, pode ser vlida, mas essa
localizao faz com que ela esteja diretamente exposta ao acesso externo, o que
inviabiliza sua posio. Isso ocorre porque o sucesso de um ataque CA pode resultar no comprometimento dos certificados digitais dos usurios, culminando na falha total da estratgia de segurana da organizao.

Assim, a localizao da autoridade certificadora deve ser na segunda DMZ (DMZ 2),
do mesmo modo que o banco de dados foi posicionado (somente o servidor Web se
comunica com o banco de dados). Nesse posicionamento, somente a VPN ou o servidor
Web pode comunicar-se com a CA. Essa arquitetura pode ser observada na Figura 12.20,
a qual elimina a possibilidade de a CA sofrer o acesso externo direto, pois o usurio deve
usar a VPN ou a aplicao no servidor Web para que ele possa utilizar seu certificado
digital para a autenticao. Dessa maneira, o usurio somente teria a permisso de
acessar os recursos da rede interna da organizao aps a CA confirmar sua identidade.

Figura 12.20

Localizao da CA na segunda DMZ.

Apesar de ainda estar em processo de padronizao, como foi verificado na Seo


9.6, a funcionalidade da certificao cruzada fundamental em um ambiente cooperativo. Ela permite que, por exemplo, os usurios de uma fornecedora acessem os
recursos da matriz e das filiais, sem a necessidade de que certificados especficos para
cada um deles sejam criados em cada uma das partes envolvidas nessa comunicao.

12.1.11 Deteco de ataques com IDS


Figura 12.19

Localizao da CA na DMZ.

Outro importante componente de segurana, principalmente no nvel interno


das organizaes, so os sistemas de deteco de intruso (IDS), que foram discuti-

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 12: As configuraes de um ambiente cooperativo

394

395

dos no Captulo 8. Esses sistemas monitoram todas as atividades dos usurios, tanto
externa como internamente, sendo possvel detectar anormalidades que podem ser
prenncios de ataques. A arquitetura de segurana contendo o IDS pode ser
implementada de acordo com o posicionamento que pode ser visto na Figura 12.21:

* IDS 6: detecta tentativas de ataques internos na organizao. Esse


posicionamento passa a ser importante em ambientes cooperativos, devido ao
aumento dos bolses de segurana caractersticos. O provimento de acesso
cada vez maior a recursos internos faz com que a vigilncia interna seja um
fator de sucesso para o ambiente cooperativo.
Uma considerao importante com relao ao posicionamento do IDS que,
quando este aparece antes do firewall, como o IDS 1, a deteco considerada
simultnea aos ataques (deteco de ataques). J quando o IDS aparece aps o
firewall, como os IDSs 3, 4, 5 e 6, a deteco passa a ser de intruses, uma vez que
o hacker j passou pelo firewall (deteco de intruses) [NOR 01], ou de erros
cometidos por usurios internos (misuse) [BEC 99].

12.1.12 Firewall cooperativo


As arquiteturas discutidas at aqui possuem algumas diferenas se comparadas
com as arquiteturas clssicas definidas para o firewall, que foram discutidas no
Captulo 7. Usando tcnicas como as zonas desmilitarizadas (DMZ) e bastion hosts,
e acrescentando novas funcionalidades como banco de dados, VPN, PKI e IDS, por
exemplo, o firewall cooperativo caracterstico de um ambiente cooperativo e ser
discutido com mais detalhes no prximo captulo.

Figura 12.21

A arquitetura de segurana com o IDS.

* IDS 1: detecta todas as tentativas de ataque contra a rede da organizao, at


mesmo as tentativas que no teriam efeito nenhum, como os ataques a servidores Web inexistentes. Essa localizao oferece uma rica fonte de informaes
sobre os tipos de tentativas de ataques que a organizao estaria sofrendo.
* IDS 2: funcionando no prprio firewall, o IDS pode detectar tentativas de
ataque contra o firewall.
* IDS 3: detecta tentativas de ataque contra servidores localizados na DMZ, que
so capazes de passar pelo firewall. Assim, ataques contra servios legtimos
situados na DMZ podem ser detectados por esse IDS.
* IDS 4: detecta tentativas de ataque contra recursos internos que passaram
pelo firewall, e que podem acontecer via VPN.
* IDS 5: detecta tentativas de ataque contra servidores localizados na DMZ 2, que
passaram pelo firewall, pela VPN ou por algum outro servio da DMZ 1, como o
servidor Web. Isso ocorre porque os recursos da DMZ 2 no podem ser acessados
diretamente pelo usurio, a no ser via algum servidor da DMZ 1 ou via VPN.

12.2 CONFIGURAO VPN/FIREWALL


A localizao da VPN na arquitetura de segurana um ponto que deixa margem
a diversas interpretaes. Nesta seo sero analisadas e discutidas as diferentes
possibilidades dessas localizaes. As cinco possveis localizaes da VPN, com relao ao firewall, so [KIN 99]:
*
*
*
*
*

Em frente ao firewall.
Atrs do firewall.
No firewall.
Paralelamente ao firewall.
Na interface dedicada do firewall.

12.2.1 Em frente ao firewall


A configurao em que a VPN colocada em frente ao firewall, como pode ser
observado na Figura 12.22, pode funcionar corretamente, porm ela representa um
nico ponto de falha que pode ser explorado pelos hackers. Em uma poca na qual

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 12: As configuraes de um ambiente cooperativo

396

397

a disponibilidade representa uma grande importncia para o andamento dos negcios, esse ponto nico de falha deve ser considerado seriamente. A implementao
da VPN pode conter erros passveis de serem explorados, especialmente em ataques
do tipo negao de servio (Denial-of-Service DoS).
Alm disso, no se pode esquecer de que um dos pontos a serem considerados,
em termos de segurana, que o que no conhecido deve ser considerado como
um risco. De fato, a implementao da VPN pode ser considerada complexa o suficiente para que seja passvel de erros. E, com erros, ataques podem ser realizados para
explor-los.
Outro problema que surge com esse posicionamento que no possvel verificar se um gateway VPN foi ou no comprometido. O firewall aceita os pacotes vindos
do dispositivo, e eles so direcionados para o controle de acesso aplicado pela
implementao das regras de filtragem.

12.2.2 Atrs do firewall


A configurao em que a VPN posicionada atrs do firewall, como pode ser
visto na Figura 12.23, apresenta os mesmos problemas identificados quando colocada na frente do firewall, como foi demonstrado na seo anterior.

Figura 12.23

Figura 12.22

A VPN na frente do firewall.

Outra caracterstica importante desse posicionamento que ele requer que a


VPN seja capaz de aceitar todo tipo de trfego, seja ele cifrado ou no, pois todos os
pacotes devem passar por esse ponto. Isso significa que o dispositivo deve, alm de
atuar como ponto terminal de um tnel de VPN, agir tambm como um gateway,
repassando todos os pacotes para o firewall.

A VPN atrs do firewall.

O maior agravante que pode ser encontrado nessa configurao que o firewall
deve deixar passar todo tipo de trfego cifrado para a VPN, de forma que a poltica
de segurana implementada no firewall no , de fato, executada nesses pacotes
cifrados. Assim, um hacker pode enviar pacotes maliciosos cifrados, que poderiam
passar sem problemas pelas regras de filtragem do firewall, chegando ao dispositivo
de VPN. A partir desse dispositivo, os pacotes seriam decifrados e enviados diretamente ao seu destino, que geralmente um host na rede interna da organizao.
Para que essa configurao funcione, o firewall deve ser configurado de modo a
deixar passar os pacotes IP com opes dos tipos 50 e 51 (AH e ESP), alm de deixar
aberta a porta 500 para o IKE (Internet Key Exchange).

12.2.3 No firewall
A localizao da VPN no firewall (Figura 12.24) faz com que a administrao e o
gerenciamento sejam simplificados, porm ainda traz o risco de ele se tornar um

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 12: As configuraes de um ambiente cooperativo

398

399

nico ponto de falha na rede. Alm disso, essa configurao no a mais eficiente
em um ambiente cooperativo, por exigir que todo o processo de cifragem/decifragem
das informaes, alm do gerenciamento de todas as sesses de IPSec, seja realizado
nesse nico ponto. Essa ineficincia torna-se presente, porque esse mesmo ponto
deve ainda executar a funo do firewall, que a de controlar o acesso e registrar
todos as tentativas de conexes.
Outro problema que a existncia de falhas na implementao da VPN possibilita
ataques que podem dar o controle do equipamento ao hacker, que pode, assim, alterar
as regras do firewall ou ter o controle de todas as conexes, sem muitas dificuldades.

Assim, o mais importante a ser considerado nessa configurao que a poltica


de segurana implementada no firewall no ser aplicada s conexes de VPN. Isso
cria a possibilidade de que pacotes que normalmente seriam barrados pelo firewall
cheguem at a rede interna, por meio do tnel de VPN, podendo causar, assim,
srios danos organizao.

Figura 12.25
Figura 12.24

A VPN no firewall.

12.2.4 Paralelamente ao firewall


Essa configurao em que a VPN posicionada em paralelo com o firewall (Figura
12.25) elimina o problema de a VPN constituir um nico ponto de falha, porm faz
com que ela esteja merc de possveis ataques vindos da Internet. Alm disso,
essa arquitetura oferece ao hacker um caminho alternativo at a rede interna, que
pode ser explorado, sem que, para isso, ele tenha de passar necessariamente pelo
firewall. O hacker, ento, no precisaria comprometer o firewall para chegar rede
interna da organizao, mas apenas explorar a VPN, driblando, assim, a poltica de
segurana implementada no firewall.

A VPN paralela ao firewall.

12.2.5 Na interface dedicada do firewall


A utilizao da VPN em uma interface dedicada do firewall (Figura 12.26) a configurao mais indicada, pois o dispositivo VPN protegido pelo firewall contra possveis
ataques vindos da rede pblica. O nico ponto de falha desaparece e, o mais importante,
todos os pacotes so filtrados de acordo com a poltica de segurana implementada no
firewall. O funcionamento dessa arquitetura seria da seguinte maneira:
* Os pacotes IPSec so enviados ao dispositivo de VPN, que realiza a decifragem
dos pacotes e os entrega de volta ao firewall. No firewall, os pacotes so filtrados de acordo com a poltica de segurana implementada.
* Os pacotes diferentes de IPSec so filtrados diretamente de acordo com a
poltica de segurana implementada no firewall.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS


400

Modelo de segurana para


ambientes cooperativos

Figura 12.26

Este captulo tem como objetivo apresentar um modelo de segurana para o ambiente cooperativo. Os aspectos envolvidos com o
ambiente cooperativo so discutidos e, em seguida, so demonstradas as dificuldades existentes na definio e implementao das
regras de filtragem. A seguir, ser apresentada uma abordagem para
a manipulao da complexidade das regras de filtragem, utilizandose o iptables. A arquitetura do firewall cooperativo tambm apresentada, culminando na definio de cinco nveis hierrquicos de
defesa, que visam minimizar a complexidade e tornar mais simples
a administrao da segurana em um ambiente cooperativo. Uma
discusso sobre o gerenciamento da complexidade da segurana tambm realizada, com a apresentao do Modelo de Teias.

A VPN na interface dedicada do firewall.

12.3 CONCLUSO
Este captulo teve como objetivo demonstrar a formao de um ambiente cooperativo e toda a complexidade envolvida, discutindo e analisando as possveis configuraes quanto aos diversos sistemas de segurana disponveis, tais como firewall, redes
privadas virtuais (Virtual Private Networks VPNs), sistemas de deteco de intruso
(Intrusion Detection System IDS) e infra-estrutura de chave pblica (Public Key
Infrastructure PKI). O que pode ser observado pela anlise da evoluo que pode
ocorrer na rede de uma organizao (formao do ambiente cooperativo) um aumento da complexidade dos nveis de conexes. Isso pode ser explicado pelo fato de
os usurios terem uma necessidade cada vez maior de acessar os recursos internos da
organizao, aumentando, assim, os bolses de segurana, que devem ser protegidos.
A prpria diferenciao entre usurios internos, usurios externos e usurios remotos
parece estar desaparecendo, como pode ser visto no Captulo 13.
Isso faz com que a proteo da rede interna torne-se mais difcil de ser definida
e implementada. Uma diviso em nveis de defesa torna a compreenso das necessidades de segurana mais objetiva e mais simplificada, como ser discutido no
prximo captulo, que tambm discutir com mais detalhes o firewall cooperativo,
que j ficou caracterizado neste captulo. Este captulo discutiu tambm o melhor
posicionamento da VPN dentro da rede da organizao.

C
a
p

t
u
l
o
13

13.1 OS ASPECTOS ENVOLVIDOS NO AMBIENTE


COOPERATIVO
Um ambiente cooperativo apresenta uma enorme complexidade,
de tal modo que a administrao de sua segurana se torna difcil e
passvel de erros, que acabam por comprometer a segurana da organizao como um todo. Alguns dos aspectos que influem nessa
complexidade so: diferenciao entre os diversos usurios existentes, desafios a serem enfrentados em um ambiente cooperativo e
heterogeneidade das conexes desse ambiente, que sero analisados a seguir.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 13: Modelo de segurana para ambientes cooperativos

402

13.1.1 Usurios internos versus usurios externos


versus usurios remotos
No ambiente cooperativo resultante da globalizao e dos novos negcios, das
fuses, das aquisies, das parcerias e das reestruturaes, ser que faz sentido
pensar em diferenciar os usurios internos dos usurios externos? Em caso positivo,
como diferenciar esses usurios? Por meio do nome de acesso e de uma senha?
Utilizando-se uma identificao baseada em endereos IP? E os usurios mveis,
como control-los? Diversos profissionais sustentam que no existe mais a distino entre usurios internos e usurios externos, o que de fato pode ser considerado
uma realidade.
Foi mostrado que, em um ambiente cooperativo, diferentes tipos de usurios
acessam diferentes bolses de segurana e, por meio da rede privada virtual (VPN),
os funcionrios acessam os recursos da organizao, como se estivessem, de fato,
fisicamente no local. Com os bolses de segurana e o acesso externo aos recursos
internos, a diferenciao entre usurios internos, usurios externos e usurios remotos (via cliente VPN ou pelo acesso dial-up) passa a sofrer alguns questionamentos.
De fato, uma vez que esses diferentes tipos de usurios acessam cada vez mais
recursos internos da organizao, o mais prudente no fazer essa diferenciao,
mas, sim, tratar a segurana em seu nvel interno. Isso deve ser feito tambm
porque os bolses de segurana esto cada vez maiores, atingindo cada vez mais
recursos antes considerados internos, exigindo, assim, maior controle e proteo
contra os ataques e acessos indevidos.
A segurana interna passa, dessa forma, a ser essencial nos ambientes cooperativos, para garantir que os recursos sejam acessados somente por usurios autorizados. De fato, essa abordagem est de acordo com o que foi discutido na Seo 6.11,
na qual foi verificado que, em um ambiente cooperativo, cada organizao deve
tomar as devidas medidas de segurana, de acordo com sua prpria poltica de
segurana. E, como os bolses de segurana so formados, em parte, pela rede
interna da organizao, ento, a rede interna deve ser protegida adequadamente,
usando-se mecanismos de proteo condizentes com cada situao. Alm disso, no
se pode esquecer que os incidentes de segurana que envolvem os insiders tambm
justificam o fortalecimento da segurana interna (Seo 4.1.3) .
Assim, a evoluo mostra claramente que a segurana interna da organizao
passa a ser imprescindvel em ambientes cooperativos, principalmente porque cada
vez mais recursos so acessados tanto interna como externamente. Com essa necessidade de maior proteo, o controle do universo de usurios e a definio dos recursos
que cada um deles pode acessar devem ser realizados com extremo cuidado, e para
isso foi visto que a infra-estrutura de chaves pblicas (PKI) e os sistemas de deteco

403
de intruso (IDS) so importantes. As prximas sees discutem os desafios e a complexidade envolvidos com o ambiente cooperativo. Alm disso, as propostas para
facilitar o gerenciamento dessa complexidade tambm so tratadas neste captulo.

13.1.2 O desafio do ambiente cooperativo


Pde-se observar, com os cenrios apresentados no Captulo 12, a formao de
um ambiente cooperativo. O maior desafio a ser enfrentado em um ambiente cooperativo o modo de lidar com a complexidade resultante dos diferentes nveis de
acesso existentes, sem comprometer a prpria segurana e tambm a de seus integrantes. O desafio grande porque, quando diversas conexes passam a se misturar, o risco de interferncias e da possibilidade de acesso a conexes de outros
usurios torna-se maior, se no existirem regras e protees especficas. Esse tipo
de risco pode ser observado, por exemplo, em provedores de acesso, principalmente
nos provedores de acesso via cabo, nos quais um usurio pode acessar sem restries o computador de outro usurio do mesmo provedor. Se for considerado que
uma organizao o provedor de servios e do acesso em um ambiente cooperativo,
deve-se tomar cuidado com relao a esse risco.
Alm dos riscos de acesso no autorizado entre os usurios da rede, preciso
lidar com uma idia que, em princpio, paradoxal: a necessidade de abrir a rede
para o acesso externo, pois antes o objetivo era no permitir que nenhum acesso
externo atingisse essa rede. Isso significa que, se antes o objetivo era isolar a rede
interna da rede pblica, agora o ambiente cooperativo requer que o acesso aos
recursos via rede pblica torne-se mais constante, sendo, portanto, essencial o
controle sobre todas essas conexes.
Assim, o enfoque, agora, muda de impedir o acesso para controlar os usurios
que acessam a rede. Dessa maneira, ter o controle dos recursos que cada usurio
pode acessar passa a ser essencial, e ter a certeza de que eles esto fazendo exatamente aquilo para o qual tm permisso explcita uma questo vital para o sucesso do sistema de segurana. Para isso, no basta apenas controlar, sendo necessrio
tambm monitorar as atividades dos usurios. Assim, o prprio conceito de diferenciar usurios internos de usurios externos, e tambm de usurios remotos, sofre
algumas modificaes e questionamentos, como foi visto na seo anterior, pois
anteriormente apenas os usurios externos eram controlados e monitorados.

13.1.3 A complexidade das conexes


Os nveis de acesso e, conseqentemente, seus mtodos de controle, atingem
rapidamente um grau de complexidade muito elevado em um ambiente cooperativo,

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS


404
tornando seu gerenciamento muito trabalhoso e passvel de erros. Isso pode ser
observado, por exemplo, em um ambiente no qual a organizao precisa controlar o
acesso de 30 conexes diferentes, as quais utilizam servios diferentes entre si.
Tomando-se como exemplo um ambiente cooperativo, a filial A tem acesso a servios como intranet, banco de dados financeiros, sistema de logstica de peas e o
servidor de e-mails. O fornecedor A tem acesso a servios como sistema de logstica
de peas, bem como servidor FTP. J o fornecedor B tem acesso somente ao sistema
de controle de estoques, para poder agilizar o processo de reposio de peas. Um
representante comercial tem acesso ao sistema de estoques, ao sistema de logstica
e ao sistema de preos. Os clientes da organizao tm acesso aos sistemas de
estoques e de preos, para poder verificar a disponibilidade e os preos dos produtos.
Nesse exemplo, foram vistos somente cinco tipos diferentes de conexes, que j
mostram a necessidade de ser criado um modelo de segurana eficiente para o
melhor gerenciamento das conexes. Se for levado em considerao que em cada
elemento do ambiente cooperativo ainda existem diferentes nveis de usurios, a
complexidade do ambiente passa a ser ainda maior.
Assim, pode-se verificar que a conjuntura dentro de um ambiente cooperativo,
com sua enorme complexidade, faz com que o modelo de segurana desse ambiente
deva ser bem planejado. Dois tpicos principais merecem destaque dentro desse
modelo de segurana: as regras de filtragem e a arquitetura de segurana, que
resulta no firewall cooperativo. As prximas sees abordam esses dois elementos e,
por meio dessa anlise, ser apresentado um modelo de segurana dividido em
nveis hierrquicos de defesa. O Modelo de Teias, importante para visualizar os
diferentes nveis de segurana de uma organizao, tambm ser apresentado, na
Seo 13.6.

13.2 AS REGRAS DE FILTRAGEM


Diferentemente da abordagem recente, na qual os firewalls eram utilizados para
isolar a rede interna do mundo externo, no ambiente cooperativo essa idia modificada. A abordagem recente permitia que as regras de filtragem fossem extremamente simples e a organizao geralmente utilizava uma das duas opes seguintes: o padro liberar todos os servios e negar acesso aos servios explicitamente
proibidos ou o padro proibir todos os servios e liberar somente aqueles que so
explicitamente permitidos. A segunda opo possibilita um maior grau de segurana, pois servios novos e desconhecidos sempre trazem dvidas quanto sua importncia e sua segurana, sendo recomendvel evitar sua utilizao ou analis-lo
cuidadosamente antes de liberar o seu acesso. Alguns exemplos das implicaes que

Captulo 13: Modelo de segurana para ambientes cooperativos


405
a liberao impensada de qualquer servio pode trazer podem ser vistos, principalmente, em servios de Internet como ICQ (diversas vulnerabilidades) e Real Audio
(torna o ambiente improdutivo, alm de consumir demasiada largura de banda).
Essa abordagem recente tem uma caracterstica, que a simplicidade de suas
regras de filtragem, resultantes justamente da simplicidade das conexes, como
pde ser visto no Captulo 12. Como poucos servios eram oferecidos, eram necessrias poucas regras, e estas praticamente se resumiam em liberar os servios oferecidos para os usurios externos, tais como HTTP, FTP e SMTP, e criar as regras para os
servios que os usurios internos poderiam acessar.
J a complexidade em um ambiente cooperativo pode trazer grandes problemas
de segurana e de desempenho para a organizao. Os problemas de segurana
podem surgir devido a dois fatores: erro na definio e criao dessas regras ou erro
na implementao dessas regras. De fato, em um ambiente com 30 diferentes nveis
de conexes, erros humanos tornam-se provveis, alm de serem praticamente impossveis de gerenciar.
Os problemas de desempenho tambm tornam-se evidentes, quando as regras de
filtragem atingem um nmero estratosfrico. Em geral, o firewall analisa e toma
decises de acordo com uma anlise contnua e seqencial das regras de filtragem.
A Cisco (filtro de pacotes), por exemplo, faz a anlise de todos os pacotes, um por
um, em busca de uma regra de filtragem compatvel. Essa anlise das regras feita
seqencialmente, ou seja, a Cisco capta as informaes do pacote a ser analisado e
passa a compar-las com a primeira regra de filtragem. Caso elas no estejam de
acordo, as informaes do pacote so analisadas de acordo com a segunda regra de
filtragem, e assim por diante, at que seja encontrada uma regra compatvel com o
pacote. Quando isso ocorre, a deciso de liberar, descartar ou bloquear o pacote
tomada de acordo com a poltica de segurana definida. Se for considerado que cada
pacote precisa passar por essa anlise por meio de um imenso conjunto de regras,
fcil deduzir que uma perda de desempenho poder ocorrer no firewall, que conseqentemente, poder rapidamente se tornar o gargalo de toda a comunicao da
organizao.
O poder de processamento dos equipamentos tecnolgicos vem acompanhando a
Lei de Moore, dobrando sua capacidade de processamento a cada 18 meses. Porm, a
demanda por velocidade na anlise das regras de um ambiente cooperativo mostrase ainda maior, de modo que uma nova abordagem deve ser tomada. Depender do
aumento do poder de processamento tornou-se inadequado, e uma nova maneira de
criar e analisar filtros traz grandes benefcios organizao. Uma das abordagens
teis existentes pode ser vista no modo de funcionamento do netfilter, que ser
discutido na Seo 13.3. Um exemplo de criao de regras de filtragem demonstra-

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 13: Modelo de segurana para ambientes cooperativos

406
do na seo a seguir, em que o Laboratrio de Administrao e Segurana (LAS) da
Unicamp serviu de cenrio para seu desenvolvimento.

13.2.1 Exemplos de filtragem Laboratrio de


Administrao e Segurana (LAS)
Um exemplo do trabalho envolvido na criao das regras de filtragem pde ser
observado na implementao das regras do Laboratrio de Administrao e Segurana do Instituto de Computao da Unicamp (LAS-IC-Unicamp). Apesar de no
constituir um ambiente cooperativo, o exemplo ilustra as diferentes variveis envolvidas na definio e implementao da poltica de segurana no firewall. A arquitetura definida para o firewall do LAS-IC-Unicamp muito simples, e pode ser
vista na Figura 13.1.

407
* Os servios utilizados pelos usurios do LAS: HTTP, FTP, SSL, DNS, SSH, SMTP.
Os servios externos so acessados pelos usurios do LAS por meio de proxies,
sendo um diferente para cada servio. A rede DMZ, que aloca os servios oferecidos
pelo LAS, ficou posicionada entre o filtro de pacotes (Barreira 1) e os proxies (Barreira 2).
A poltica de segurana geral definida para as regras de filtragem foi liberar o
acesso somente aos servios explicitamente permitidos e negar todos os outros
servios.
Essa abordagem o que garante o maior nvel de segurana, ainda mais atualmente, pois, com a complexidade dos servios e o seu nmero cada vez maior, torna-se
extremamente difcil e invivel negar todos os servios que no so permitidos. De
fato, essa a abordagem-padro da maioria dos firewalls para a filtragem dos pacotes,
que tambm foram empregados para realizar a filtragem de pacotes do LAS.
Diversas complicaes surgiram durante o desenvolvimento das regras de
filtragem, que sero relatadas a seguir. Algumas delas foram com relao criao
das regras de filtragem que permitiriam o acesso de equipamentos especficos a
servios especficos, principalmente com relao a um equipamento para a simulao de ataques que seriam utilizados para a auditoria de segurana na Internet.
Outra dificuldade foi encontrar uma maneira de criar as regras de modo que, caso
um novo equipamento fosse adicionado na rede, no fosse necessrio modificar as
regras ou criar regras especficas para esse equipamento em especial.
Como a tecnologia utilizada foi o filtro de pacotes, tornou-se necessrio definir
regras para quatro canais de conexes, que podem ser vistas nas figuras 13.2 e 13.3.
As duas figuras foram divididas em duas para melhor visualizao, mas poderiam
ser mescladas em uma s:

Figura 13.1 A arquitetura utilizada pelo LAS.

Optou-se pela utilizao de dois componentes, em que a Barreira 1 funciona


como filtro de pacotes, enquanto a Barreira 2 trabalha como proxy dos servios a
serem acessados pelos usurios da rede interna. O proxy protege a rede interna
contra as tentativas de conexes indevidas e as regras de filtragem definidas foram
aplicadas na Barreira 1.
O primeiro passo foi a definio dos servios da rede, levando-se em considerao dois aspectos:
* Os servios oferecidos pelo LAS-IC-Unicamp para usurios externos da Internet:
HTTP, FTP, SSL, DNS, SSH, SMTP.

*
*
*
*

Canal de requisio a partir dos usurios internos.


Canal de resposta das requisies dos usurios internos.
Canal de requisio de servios providos pelo LAS a partir da Internet.
Canal de resposta dos servios requisitados pelos usurios da Internet.

Caso um filtro de estados fosse utilizado, no seria necessrio definir esses


quatro canais, pois as respostas seriam aceitas de acordo com as conexes j abertas, comparando-as com as conexes existentes na tabela de estados. As conexes
da tabela de estados seriam correspondentes quelas estabelecidas de acordo com
as regras definidas nas regras de filtragem (Seo 7.3.2).

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 13: Modelo de segurana para ambientes cooperativos

408

Figura 13.2 Os canais utilizados pelos usurios internos.

409

Figura 13.3

Os canais utilizados pelos usurios vindos da Internet.

Pode-se verificar que os canais de comunicao so bem definidos, ou seja, o


caminho que cada canal tem que tomar, bem como sua direo e os servios que
passam por eles, esto bem determinados. As regras, assim, devem ser estabelecidas
de acordo com esses canais.
Foi visto, na Seo 13.2, que a ordem das regras de filtragem importante, pois
sua verificao se d em uma ordem seqencial. Assim, deve-se lembrar que as
regras mais especficas devem sempre ser criadas antes das regras mais generalizadas, pois, se uma das regras estiver no contexto do pacote, essa ser a regra utilizada. As regras mais especficas so as que eliminam as possibilidades de ataque
comuns ao protocolo TCP/IP, tais como IP Spoofing ou Smurf. As regras a seguir
evitam o IP Spoofing e a utilizao de endereos de broadcast e multicast, que, de
fato, no devem entrar na rede da organizao se tiverem origem na Internet. O
canal que tem a direo da Internet para a rede da organizao chamado de 112.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 13: Modelo de segurana para ambientes cooperativos

410
!! Descarta os endereos do rfc 1918 (10.0.0.0-10.255.255.255;
172.16.0.0-172.31.255.255); 192.168.0.0-192.168.255.255)
access-list
112
deny
ip
10.0.0.0
0.255.255.255
any
access-list
112
deny
ip
172.16.0.0
0.15.255.255
any
access-list
112
deny
ip
192.168.0
0.0.255.255
any
!
!! Impede IP Spoofing de endereos da rede DMZ (143.106.60.0143.106.60.255)
access-list
112
deny
ip
143.106.60.0
0.0.0.255
any
!
!! Impede IP Spoofing de endereos loopback (127.0.0.0127.255.255.255)
access-list
112
deny
ip
127.0.0.0
0.255.255.255
any
!
!! Impede Smurf, Teardrop, que utilizam endereo de broadcast
(255.0.0.0-255.255.255.255)
access-list
112
deny
ip
255.0.0.0
0.255.255.255
any
!
!! Impede endereo de multicast (224.0.0.0-231.255.255.255)
access-list
112
deny
ip
224.0.0.0
7.255.255.255
any

Essas regras devem estar no incio do conjunto de regras, para que, caso alguma
das regras esteja sendo utilizada, o que provavelmente um indicativo de um
ataque, o pacote seja prontamente descartado. As regras a seguir dizem respeito aos
servios fornecidos pela Internet pelo LAS. O canal 112 utilizado para as requisies vindas da Internet e o canal 111 utilizado para as respostas dessas requisies, ou seja, tem a direo da rede da organizao para a Internet.
Foram definidos quatro canais para a arquitetura, mas o canal 112 utilizado
tambm para as respostas das requisies dos usurios internos e o canal 111
utilizado tambm para as requisies dos usurios internos.
Assim, a estratgia utilizada foi a de definir, primeiramente, os servios que os
usurios externos podem acessar (canal 112 para as requisies e canal 111 para as
respostas), e depois os servios que os usurios internos podem acessar (canal 111
para as requisies e canal 112 para as respostas).
Desse modo, as regras para os usurios externos acessarem os servios fornecidos na DMZ foram definidas, primeiramente, estabelecendo-se as regras para o canal
de requisio, da seguinte maneira:
!! Permite trfego HTTP (porta 80) para o Bastion (143.106.60.15)
access-list
112
permit
tcp any gt 1023 host
143.106.60.15 eq 80
!

411
!! Permite o trfego FTP (porta 21) para o Bastion (143.106.60.15)
access-list
112
permit tcp any gt 1023
host 143.106.60.15 eq 21
access-list
112
permit tcp any eq 20
host 143.106.60.15 gt 1023
access-list
112
permit tcp any gt 1023
host 143.106.60.15 gt 1023
!
!! Permite o trfego SSL (porta TCP 443) para o Bastion
(143.106.60.15)
access-list
112
permit tcp any gt 1023
host 143.106.60.15 eq 443
!
!! Permite o trfego SMTP (porta 25) para o proxy (143.106.60.2)
access-list
112
permit tcp any gt 1023
host 143.106.60.2 eq 25
!
!! Permite o trfego SSH (porta 22) para mquinas da DMZ
(143.106.60.2-60.254)
access-list
112
permit tcp any gt 1023
143.106.60.2 0.0.0.252 eq 22
!
!! Permite o trfego DNS (porta UDP 53) para o proxy (143.106.60.2)
access-list
112
permit udp any gt 1023
host 143.106.60.2 eq 53
!
!! Bastion (143.106.60.15) nega o restante
access-list
112
deny ip any
host 143.106.60.15
!

Assim, as regras de filtragem para que os usurios da Internet iniciassem as


requisies de conexes para os servios oferecidos pelo LAS foram criados, utilizando-se o canal 112. O canal de resposta para as requisies vindas da Internet foi
definido de acordo com as seguintes regras, que usam o canal 111:
!! Permite o trfego
access-list
80
!
!! Permite o trfego
access-list
21
access-list
1023
access-list
1023
!
!! Permite o trfego
(143.106.60.15)
access-list
443
!
!! Permite o trfego
access-list

HTTP (porta 80) para o Bastion (143.106.60.15)


111
permit tcp host 143.106.60.15 eq
any gt 1023
FTP (porta 21) para o Bastion
111
permit tcp host
any gt 1023
111
permit tcp host
any eq 20
111
permit tcp host
any gt 1023

(143.106.60.15)
143.106.60.15 eq
143.106.60.15 gt
143.106.60.15 gt

SSL (porta TCP 443) para o Bastion


111

permit tcp host 143.106.60.15 eq


any gt 1023

SMTP (porta 25) para o proxy (143.106.60.2)


111
permit tcp host 143.106.60.2 eq

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS


412
25
any gt 1023
!
!! Permite o trfego SSH (porta 22) para mquinas da DMZ
(143.106.60.2-60.254)
access-list
111
permit tcp 143.106.60.2
0.0.0.252 eq 22
any gt 1023
!
!! Permite o trfego DNS (porta UDP 53) para o proxy (143.106.60.2)
access-list
111
permit udp host 143.106.60.2 eq
53
any gt 1023
!

Uma vez definidas as regras de filtragem dos dois canais utilizados pelos usurios
da Internet para acessarem servios oferecidos pelo LAS (canal 112 para requisio e
canal 111 para a resposta), a segunda parte da estratgia consistiu em definir os
canais dos servios a serem acessados pelos usurios internos. Primeiramente, foi
definido o canal de requisio (canal 111), lembrando que as regras mais especficas
tm de vir antes das regras mais generalizadas. Neste caso, as regras mais especficas
significam que as regras para determinados equipamentos devem vir antes:
!! BlackHole (143.106.60.14) (portas 6000-6010) pode requisitar
servios X
access-list
111
permit tcp host 143.106.60.14 gt
1022
any
access-list
111
permit tcp host 143.106.60.14
range 6000 6010
any gt 1022
!
! Permite a requisio de servios HTTP (porta 80)
access-list
111
permit tcp 143.106.60.2 0.0.0.29
gt 1023
any eq 80
!
!! Permite a requisio de servios SMTP (porta 25)
access-list
111
permit tcp 143.106.60.2 0.0.0.29
gt 1023
any eq 25
!
!! Permite a requisio de servios SSH (porta 22)
access-list
111
permit tcp 143.106.60.2 0.0.0.29
gt 1023
any eq 22
!
!! Permite a requisio de servios FTP (porta 21)
!! SOMENTE MODO PASSIVO - Canal de requisies
access-list
111
permit tcp 143.106.60.2 0.0.0.29
gt 1023
any eq 21
!
!! Permite a requisio de servios FTP (porta > 1023)
!! SOMENTE MODO PASSIVO
!! Canal de dados
access-list
111
permit tcp 143.106.60.2 0.0.0.29
gt 1023
any gt 1023
!
!! Liberando FTP no modo ativo somente para o proxy (143.106.60.2)
access-list
111
permit tcp host 143.106.60.2 gt
1023
any eq 20
!

Captulo 13: Modelo de segurana para ambientes cooperativos


413
!! Permite a requisio de servios DNS (porta UDP 53)
access-list
111
permit udp 143.106.60.2 0.0.0.29
gt 1023
any eq 53
!
!! Permite a requisio de servios SSL (porta TCP 443)
access-list
111
permit tcp 143.106.60.2 0.0.0.29
gt 1023
any eq 443
!

Assim, o canal de requisio de servios da Internet utilizados pelos usurios


internos do LAS foi definido de acordo com as regras do canal 111. O canal de
resposta das requisies dos usurios da rede interna foi assim definido, utilizandose o canal 112:
!! Canal de resposta X para o BlackHole (143.106.60.14) (portas
6000-6010)
access-list
112
permit tcp any host
143.106.60.14 gt 1022
access-list
112
permit tcp any gt 1022 host
143.106.60.14 range 6000 6010
!
!! Permite aos clientes utilizarem o HTTP (porta 80)
access-list
112
permit tcp any eq 80
143.106.60.2 0.0.0.29 gt 1023
!
!! Permite aos clientes utilizarem o SMTP (porta 25)
access-list
112
permit tcp any eq 25
143.106.60.2 0.0.0.29 gt 1023
!
!! Permite aos clientes utilizarem o SSH (porta 22)
access-list
112
permit tcp any eq 22
143.106.60.2 0.0.0.29 gt 1023
!
!! Permite aos clientes utilizarem o FTP (porta 21)
!! SOMENTE MODO PASSIVO - Canal de requisio
access-list
112
permit tcp any eq 21
143.106.60.2 0.0.0.29 gt 1023
!
!! Permite aos clientes utilizarem o FTP (porta 21)
!! SOMENTE MODO PASSIVO - Canal de dados
access-list
112
permit tcp any gt 1023
143.106.60.2 0.0.0.29 gt 1023
!
!! Liberando FTP no modo ativo somente para o proxy (143.106.60.2)
access-list
112
permit tcp any eq 20
host 143.106.60.2 gt 1023
!
!! Permite aos clientes utilizarem o DNS (porta UDP 53)
access-list
112
permit udp any eq 53
143.106.60.2 0.0.0.29 gt 1023
!
!! Permite aos clientes utilizarem o SSL (porta TCP 443)
access-list
112
permit tcp any eq 443
143.106.60.2 0.0.0.29 gt 1023
!

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 13: Modelo de segurana para ambientes cooperativos

414

415

Assim, as regras de filtragem para as requisies dos usurios internos foram


definidas no canal 111, enquanto as respostas para essas requisies foram definidas no canal 112. Para finalizar a implementao das regras de filtragem, todo o
restante negado. Apesar dessa abordagem ser um padro, definir explicitamente
essas regras no deixa margem a dvidas sobre o que acontecer com os pacotes
que passam pelo processo de filtragem.
!! *****************************************
!! NEGA TODO O RESTO
!! **********************************************
access-list
111
deny ip any
access-list
112
deny ip any
!

any
any

Uma das dificuldades encontradas foi para estabelecer as regras de filtragem


para o equipamento de auditoria, localizado na rede DMZ. Esse equipamento o
responsvel pela realizao de simulaes de ataque em redes que devem ter sua
segurana avaliada.
Embora no esteja diretamente mapeada para o caso de um ambiente cooperativo, essa situao oferece um bom estudo de caso. Como poder ser observado, esse
caso demonstra o antagonismo existente entre trfegos diferentes e a dificuldade
em definir regras de filtragem que satisfaam tais disparidades.
Pelo motivo de que todos os tipos de pacotes devem ser permitidos, esse equipamento deve ter um conjunto especfico de regras, como por exemplo:
access-list
access-list
host 143.106.60.30

111
112

permit ip host 143.106.60.30 any


permit ip any

Essas regras permitem que qualquer tipo de pacote trafegue entre a Internet e o
host de ataque. Mas isso limita a abrangncia das simulaes de ataque, pois a maioria
deles utiliza o IP Spoofing para mascarar sua origem. Essas regras no permitem que
essa tcnica seja empregada, resultando na necessidade de mudana nas regras de
filtragem. Porm, outra questo surge com a possibilidade de utilizao do IP Spoofing,
no que se refere ao fato de que, geralmente, os pacotes de resposta no so requeridos
quando se recorre a essa tcnica de ataque. De fato, receber respostas quando o IP
Spoofing utilizado uma tarefa complicada, pois a rota para o endereo falsificado
no aponta para o equipamento que realizou o ataque, mas sim para o equipamento
real, que teve seu endereo utilizado indevidamente. Ento, para que as respostas
sejam recebidas, necessrio empregar outras tcnicas, como ataques a roteadores
para a alterao da tabela de rotas, ou ento, o source routing. Assim, existem duas
possibilidades quando se trata do IP Spoofing:

* Existe a necessidade de receber os pacotes de resposta da vtima.


* No existe a necessidade de receber as respostas da vtima.
Caso a resposta no seja necessria, a regra de filtragem, nica, poderia ser:
access-list

111

permit ip any

any

As regras para o canal de respostas vindas da Internet no seriam necessrias,


pois no existiriam respostas. Valeriam, portanto, as regras j determinadas anteriormente, de acordo com a poltica de segurana da organizao. A conseqncia
prtica dessa nova regra que qualquer pacote saindo da rede da organizao
permitido, tornando possvel que qualquer host da organizao seja a base para a
realizao de ataques.
Alm disso, os usurios podem, agora, fazer as requisies que desejarem, de
quaisquer servios. Porm, a segurana da rede da organizao ainda est no mesmo nvel anterior, pois somente os pacotes dos servios permitidos passam pelo
filtro. Em outras palavras, so bloqueados os pacotes estranhos e as respostas de
requisies invlidas, vindos da Internet.
O novo perigo seria com relao a algum backdoor, que poderia contaminar um
usurio interno e iniciar uma conexo com um host externo para enviar informaes confidenciais. Porm, mesmo essa possibilidade j existia com as regras anteriores, pois o backdoor poderia enviar as informaes utilizando portas vlidas,
como o HTTP ou o FTP, por exemplo.
Quanto outra possibilidade de uso do IP spoofing, na qual as respostas so
necessrias, as nicas regras que possibilitam a comunicao so:
access-list
access-list

111
112

permit ip any
permit ip any

any
any

Com essas regras, o host especfico pode utilizar a tcnica de IP Spoofing para
realizar um ataque, e tem condies de receber uma resposta (usando outras tcnicas para redirecionamento de pacotes). Como conseqncia dessas regras, a rede da
organizao tambm pode fazer requisies e receber respostas e requisies de
qualquer tipo, ou seja, a situao criada a mesma em que o acesso totalmente
transparente, ou seja, sem nenhum filtro.
A concluso obtida com essa experincia que um ambiente de produo no
combina com um ambiente de testes de segurana, ou seja, ambos so opostos. Se for
possvel, o uso de outra interface de rede para a criao de uma sub-rede somente
para o host de segurana (Figura 13.4) passa a ser imprescindvel. Caso contrrio, os
ataques mais sofisticados, que exigem respostas, ficam comprometidos. O ponto mais
importante que a segurana da organizao deve receber a mxima prioridade.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 13: Modelo de segurana para ambientes cooperativos

416

417

13.3 MANIPULAO DA COMPLEXIDADE DAS REGRAS DE


FILTRAGEM

Figura 13.4 A arquitetura e os equipamentos utilizados pelo LAS.

O ambiente do LAS um caso tpico de uma rede simples, como foi visto no
Captulo 12, e mesmo assim algumas variveis fazem com que as regras de filtragem
atinjam um alto nvel de complexidade. O exemplo do LAS ilustra a dificuldade que
pode surgir no desenvolvimento da poltica de segurana para ambientes cooperativos, que envolve inmeras conexes diferentes. Foram vistos que as dificuldades na
definio do conjunto de regras so grandes, principalmente quando os objetivos
so antagnicos.
muito provvel que uma situao semelhante seja encontrada em um ambiente cooperativo. Provavelmente, a dificuldade surge da estrutura plana dos mecanismos comuns de filtragem, ou seja, da ausncia de mecanismos hierrquicos de
filtragem ou de blocos, como os utilizados em linguagens de programao estruturada.
Uma caracterstica do netfilter pode ser utilizada para facilitar o desenvolvimento
das regras de filtragem, como ser visto na seo a seguir. Alm disso, a arquitetura
do firewall cooperativo e a diviso em nveis hierrquicos de defesa tambm auxiliam na definio de um conjunto de regras complexo, como o que encontrado em
um ambiente cooperativo.
A arquitetura do firewall cooperativo ser vista na Seo 13.4 e os nveis hierrquicos, na Seo 13.5. O Modelo de Teias, que auxilia na viso de segurana da
organizao, ser visto na Seo 13.6.

Como foi mostrado nas sees anteriores, a complexidade das regras de filtragem
cresce cada vez mais em ambientes cooperativos, de forma que o seu gerenciamento
se torna um fator importante para que erros na criao e na implementao dessas
regras sejam minimizados. Alm do fator complexidade, existe ainda o fator desempenho, que tambm prejudicado quando o nmero de regras de filtragem que deve
ser verificado por cada pacote muito grande, o que uma caracterstica dos ambientes cooperativos. Um dos sistemas de filtragem que tenta resolver os problemas
levantados at agora o iptables, que faz parte do Linux. O kernel do Linux tem um
firewall do tipo filtro de pacotes desde a verso 1.1. A primeira gerao teve como
base o ipfw do BSD, e foi implementado por Alan Cox, em 1994. Ele foi aperfeioado
por Jos Vos, no Linux 2.0, quando passou a se chamar ipfwadm. Em meados de 1998,
o ipchains foi desenvolvido no Linux 2.2. A quarta gerao o iptables, que comeou a ser desenvolvido em meados de 1999 e faz parte do kernel 2.4 do Linux. O
netfilter um framework para a manipulao de pacotes, no qual diversos ganchos
(hooks) so criados na pilha do protocolo IPv4. O iptables utiliza os hooks definidos
no netfilter para a realizao da filtragem de pacotes. As prximas sees mostram
o funcionamento do iptables e do netfilter.

13.3.1 Iptables
Em sistemas que utilizam o iptables, o kernel inicializado com trs listas de
regras-padro, que so tambm chamadas de firewall chains ou apenas chains (cadeias), que so:
* INPUT
* OUTPUT
* FORWARD
Cada cadeia possui seu prprio conjunto de regras de filtragem e o funcionamento do iptables acontece de acordo com o diagrama da Figura 13.5.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 13: Modelo de segurana para ambientes cooperativos

418

Figura 13.5

419

O funcionamento do iptables.

Quando o pacote atinge uma das cadeias (INPUT, OUTPUT ou FORWARD) examinado pelas regras dessa cadeia. Se a cadeia tiver uma regra que define que o pacote
deve ser descartado, ele ser descartado nesse ponto. Caso a cadeia tenha uma regra
que aceite o pacote, ele continua percorrendo o diagrama da Figura 13.5 at chegar
prxima cadeia ou ao destino final.
Cada uma dessas cadeias constituda de um conjunto de regras que so examinadas uma a uma, seqencialmente. Caso nenhuma regra da cadeia seja utilizada, a
prxima cadeia ser verificada. Se no houver regras em nenhuma cadeia, ento a
poltica-padro ser utilizada, o que geralmente significa descartar o pacote.
O modo de funcionamento do iptables pode ser resumido da seguinte maneira:
* Quando um pacote recebido pela placa de rede, o kernel primeiramente verifica qual o seu destino (deciso de roteamento).
* Se o destino for o prprio equipamento, o pacote passado para a cadeia
INPUT. Se ele passar pelas regras dessa cadeia, ele ser repassado para o processo de destino local, que est esperando pelo pacote.
* Se o kernel no tiver o forwarding habilitado ou se no souber como encaminhar esse pacote, este ser descartado. Se o forwarding estiver habilitado para
outra interface de rede, o pacote ir para a cadeia FORWARD. Se o pacote
passar pelas regras dessa cadeia, ele ser aceito e repassado adiante. Normalmente, essa a cadeia utilizada quando o Linux funciona como um firewall.
* Um programa sendo executado no equipamento pode enviar pacotes rede,
que so enviados cadeia OUTPUT. Se esses pacotes forem aceitos pelas regras
existentes nessa cadeia, sero enviados por meio da interface.

Essas trs cadeias no podem ser removidas do kernel, pois so padres e o


iptables tem as seguintes opes: criar uma nova cadeia, remover uma cadeia vazia,
alterar a poltica da cadeia, relacionar as regras da cadeia, eliminar as regras de uma
cadeia, zerar o contador de pacotes e bytes das regras da cadeia, adicionar uma
nova regra na cadeia, inserir uma nova regra em alguma posio na cadeia, remover
uma regra de alguma posio na cadeia e remover a primeira regra encontrada na
cadeia.
As filtragens do iptables podem ser baseadas em endereos IP de origem e destino, protocolos e interfaces. O iptables pode ser expandido, pois novas caractersticas podem ser adicionadas s regras. Algumas das extenses so as do TCP, quando
o protocolo TCP est selecionado. Por meio delas, possvel criar regras utilizandose flags TCP como syn, ack, fin, rst, urg, psh, portas de origem ou portas de destino.
Extenses UDP incluem as portas de origem ou de destino e as extenses ICMP
permitem criar regras com tipos especficos de ICMP. Outras extenses so referentes aos endereos MAC e aos limites de pacotes a serem registrados.
Um mdulo que pode ser utilizado pelo iptables o de filtro de pacotes baseado
em estados, que permite o controle das conexes novas, estabelecidas, relacionadas
ou invlidas. A fragmentao tambm pode ser controlada, para que a filtragem seja
realizada no apenas no primeiro pacote da conexo, mas tambm nos pacotes
subseqentes.
At mesmo quando o NAT utilizado, os fragmentos so desfragmentados antes
de chegarem ao cdigo de filtragem do kernel. Uma caracterstica importante que
o iptables insere e exclui regras na tabela de filtragem de pacotes no prprio kernel,
de modo que esse conjunto de regras perdido quando o sistema operacional
reinicializado. Assim, necessrio armazenar o conjunto de regras em um local
seguro e carreg-lo na memria sempre que for necessrio.
Uma das principais diferenas entre o ipchains e o iptables que as referncias
ao redirect e ao masquerade, existentes no ipchains, foram removidas do iptables.
Com isso, o iptables no pode alterar pacotes, apenas filtr-los, simplificando assim
seu funcionamento. Como conseqncia dessa simplificao, pode-se obter melhor
desempenho e segurana.

13.3.2 Netfilter
O netfilter um framework para a manipulao de pacotes, no qual diversos
ganchos (hooks) so criados na pilha do protocolo IPv4, e pode ser visto na Figura
13.6. O iptables se baseia no netfilter, como foi visto na seo anterior.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 13: Modelo de segurana para ambientes cooperativos

420

421
ativado, primeiramente para descobrir o endereo de IP origem e algumas opes IP,
sendo chamado novamente, caso o pacote seja alterado.
Novos mdulos do kernel podem ser registrados para atuar nos hooks, de maneira
que, quando os hooks so chamados, os mdulos registrados esto prontos para
manipular os pacotes. O mdulo pode, ento, fazer com que o netfilter realize uma
das seguintes funes:
*
*
*
*

NF_ACCEPT: continua normalmente.


NF_DROP: descarta o pacote.
NF_STOLEN: no continua a manipulao do pacote.
NF_QUEUE: coloca o pacote na fila.

O iptables (Seo 13.3.2) utiliza os hooks do netfilter NF_IP_LOCAL_IN,


NF_IP_FORWARD e o NF_IP_LOCAL_OUT, de modo que qualquer pacote passa por um
nico hook para a filtragem.

13.3.3 O iptables no ambiente cooperativo

Figura 13.6

O funcionamento do netfilter.

Antes de os pacotes entrarem no netfilter, eles passam por algumas checagens


simples, como as que so feitas para descartar pacotes truncados ou com o checksum
do IP errado, alm de evitarem tambm recebimentos promscuos. Os pacotes que
passam por essa checagem entram no netfilter (Figura 13.6), vo para o hook
NF_IP_PRE_ROUTING (1) e depois para o cdigo de roteamento, no qual decidido
se o pacote ser destinado a outra interface de rede ou para um processo local. O
cdigo de roteamento pode descartar pacotes que no tm rotas. Se o destino for o
prprio equipamento, o netfilter envia os pacotes para o hook NF_IP_LOCAL_IN (2),
antes de eles chegarem ao processo local. Se o pacote tiver como destino outra
interface de rede, o netfilter o envia ao hook NF_IP_FORWARD (3) e depois ao hook
NF_IP_POST_ROUTING (4), antes de ele chegar ao cabo novamente. O hook
NF_IP_LOCAL_OUT (5) utilizado para os pacotes criados localmente. O roteamento
realizado aps a chamada do hook (5), de modo que o cdigo de roteamento

Foi visto na seo anterior que o netfilter oferece o framework utilizado pelo
iptables, que, por meio da sua abordagem com base em cadeias, faz com que a
filtragem dos pacotes seja realizada de maneira mais controlada e mais fcil de ser
gerenciada (porm, no mais fcil de ser desenvolvida), resultando tambm em
maior desempenho. Isso alcanado porque no necessrio que todas as regras
sejam examinadas seqencialmente, mas, sim, apenas as regras de cada cadeia.
Essa abordagem, baseada em cadeias, pode ser aproveitada em ambientes cooperativos, nos quais uma nova cadeia especfica pode ser criada para cada elemento do
ambiente. Assim, as regras de filtragem podem ser desenvolvidas separadamente
para cada elemento, em vez de criar um nico conjunto imenso de regras para o
ambiente em sua totalidade.
Essa abordagem resulta em um melhor gerenciamento e maior desempenho do
firewall, diminuindo as chances de que erros sejam cometidos no desenvolvimento
e na implementao das regras. A Figura 13.7 mostra o iptables sendo utilizado no
ambiente cooperativo, com as diferentes cadeias criadas para cada organizao que
faz parte do ambiente.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 13: Modelo de segurana para ambientes cooperativos

422

423

13.4 INTEGRANDO TECNOLOGIAS FIREWALL


COOPERATIVO

Figura 13.7

O iptables no ambiente cooperativo.

No ambiente cooperativo, a cadeia FORWARD trabalha para realizar as filtragens


mais genricas (como a proteo contra o IP Spoofing ou o Smurf), aplicveis a todos
os elementos do ambiente cooperativo, e principalmente para direcionar a filtragem
para a cadeia correspondente a cada organizao. A cadeia INPUT deve conter regras
para a defesa do prprio firewall. O grande problema aqui a definio do critrio que
servir de base para o direcionamento cadeia correspondente.
Supe-se que utilizar o endereo IP do usurio como base de deciso pode ser
perigoso, possvel de ser, facilmente, falsificado, de modo a driblar um conjunto
de regras mais restritivo. Porm, essa suposio pode ser considerada incorreta,
pois as regras existentes no firewall so as mesmas que existiriam no conjunto
nico de regras (tambm com base em endereos IP). A diferena entre as duas
abordagens que, com o uso de cadeias especficas criadas para cada organizao,
no mais necessrio que todas as regras de todas as organizaes sejam verificadas
seqencialmente. Como o objetivo facilitar o gerenciamento e maximizar o desempenho do firewall, o iptables pode atender plenamente s necessidades.
Um ponto importante a ser lembrado que, em um ambiente cooperativo, as
regras de filtragem so apenas um dos elementos do firewall cooperativo, ou seja, a
segurana da organizao no pode depender apenas dessas regras de filtragem.
Sistemas de deteco de intruso (Captulo 8) e um bom mecanismo de autenticao (Captulo 11), preferencialmente com base em certificados digitais (Seo 9.5),
tambm so essenciais em ambientes complexos. O firewall cooperativo, que ser
visto na prxima seo, e o modo como o iptables trata as regras de filtragem (Seo
13.3), servem de base para o modelo hierrquico a ser apresentado na Seo 13.5.

Como foi visto no decorrer deste livro, a evoluo das necessidades de segurana
indica que diversos outros elementos, alm do firewall, so cada vez mais imprescindveis para a proteo dos recursos da organizao. Foi verificado tambm que
diversas arquiteturas clssicas de firewall j foram propostas, mas que ainda no
contemplam tecnologias de segurana como, por exemplo, a VPN, o IDS e a PKI. O
firewall cooperativo tem como objetivo apresentar uma arquitetura que inclui essas
tecnologias de segurana, que so to importantes em um ambiente cooperativo.
Partindo dessa premissa, como seria constitudo e como seria o muro das organizaes em um ambiente cooperativo (Figura 13.8)?

Figura 13.8

O muro em um ambiente cooperativo.

Integrar conceitos e tecnologias como firewall, DMZ, VPN, PKI, SSO, IPSec, IDS,
NAT e criptografia de dados, cada um com sua funo especfica, uma tarefa que

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS


424

425

requer um intenso planejamento, que depende diretamente das necessidades e dos


recursos financeiros da organizao. Entender os conceitos, as tcnicas e as
tecnologias de segurana essencial para o sucesso na estratgia de segurana
definida, pois a funo de cada um desses componentes e o seu posicionamento
dentro da arquitetura influem diretamente no resultado final esperado.
J vimos no Captulo 12 que a evoluo pode ocorrer em uma rede, a qual, por
meio da necessidade de fornecer recursos para os diversos tipos de usurios, integra
conceitos, tcnicas e tecnologias, at chegar arquitetura do firewall cooperativo
(Figura 13.9).

Figura 13.9

Captulo 13: Modelo de segurana para ambientes cooperativos

A arquitetura do firewall cooperativo.

O firewall cooperativo tem como objetivo tornar mais simples a administrao da


segurana do ambiente cooperativo, ao integrar e posicionar tecnologias especficas para a proteo do ambiente. A grande dificuldade existente a de inserir cada
um dos conceitos e tecnologias dentro do contexto da organizao, e o firewall
cooperativo ajuda nessa tarefa. Porm, se, por um lado, a arquitetura do firewall
cooperativo auxilia na definio da estratgia de defesa da organizao, os admi-

nistradores no devem deixar de lado a importncia de compreender as funes de


cada um desses elementos.
Em um firewall cooperativo, a VPN deve atuar em conjunto com a CA, para que
trabalhem juntos na autenticao dos usurios que podem acessar recursos da rede
interna, bem como para garantir o sigilo das informaes que so trocadas com
outros elementos do ambiente cooperativo. Em um paralelo com os bolses de segurana definidos no Captulo 6, o firewall cooperativo sugere que a VPN e a PKI sejam
utilizadas para a autenticao dos usurios que acessam bolses maiores da organizao (mais recursos internos). O firewall cooperativo mostra tambm que recursos
disponibilizados para o acesso realizado exclusivamente por meio da Internet devem ser disponibilizados na DMZ.
Uma segunda DMZ deve ser utilizada para os recursos que necessitam de um
maior grau de segurana, e que no tm o acesso direto por parte dos usurios da
Internet. Esse o caso dos bancos de dados, que so acessados pelos usurios por
meio do servidor Web, que est localizado na primeira DMZ, ou seja, o usurio
acessa o servidor Web que geralmente contm uma aplicao que acessa o banco de
dados. A autenticao entre essa aplicao e o servidor Web tambm pode ser utilizada, bem como uma nova autenticao do usurio, que pode ser mais forte pelo
uso da biometria, por exemplo.
O firewall cooperativo trata tambm dos recursos localizados na rede interna da
organizao, que devem estar sob monitorao constante, o que realizado pelo
IDS. Essa monitorao deve coibir aes maliciosas, tanto dos usurios que acessam
os recursos via VPN, quanto dos usurios que esto fisicamente dentro da rede
interna da organizao.
Assim, o firewall cooperativo realiza a integrao de diversos conceitos e
tecnologias de segurana e acaba criando uma diviso em trs partes das localizaes dos recursos:
* Recursos pblicos disponibilizados para o acesso via Internet: localizao na
DMZ.
* Recursos privados disponibilizados para o acesso via Internet: localizao na
DMZ 2.
* Recursos internos acessados via VPN: localizao na rede interna.
As protees referentes a cada um dos tipos de recursos so mais bem compreendidas quando uma diviso em diversos nveis de defesa realizada, como ser
visto na prxima seo.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 13: Modelo de segurana para ambientes cooperativos

426

427

13.5 NVEIS HIERRQUICOS DE DEFESA


Alm do firewall cooperativo e do modo como o iptables trabalha com as regras
de filtragem, uma abordagem com base em diferentes nveis hierrquicos de defesa
tambm pode facilitar a compreenso do esquema de segurana. A diviso em nveis hierrquicos facilita o desenvolvimento, a implementao e o gerenciamento
de segurana de todas as conexes em um ambiente cooperativo. Essa diviso auxilia tambm na definio das protees necessrias para os trs tipos de recursos
identificados na seo anterior (pblicos, privados e internos).
A segmentao da defesa pode ser feita em cinco nveis hierrquicos, de acordo
com os conceitos e as tecnologias apresentados durante o livro, e que devem fazer
parte de um ambiente cooperativo. O firewall cooperativo, apresentado na seo
anterior, uma arquitetura de segurana que, em conjunto com os cinco nveis
hierrquicos propostos, ajuda a facilitar a definio e a implementao das medidas
de segurana necessrias.
Os nveis hierrquicos de defesa definidos compreendem as regras de filtragem e
tambm as autenticaes que devem ser realizadas para o acesso aos recursos da
organizao. Os cinco nveis formam uma barreira gradual, na qual o nvel inferior
representa uma barreira contra ataques mais genricos. A filtragem atinge uma
maior granularidade de acordo com o aumento hierrquico do nvel de defesa, que
vai cada vez mais se posicionando em direo rede interna da organizao. Isso
pode ser observado na Figura 13.10.

Figura 13.11 As aes em cada nvel hierrquico de defesa.

Figura 13.10

A granularidade dos nveis hierrquicos de defesa.

Na Figura 13.11, pode-se observar as aes que so tomadas em cada um desses


nveis hierrquicos. As filtragens so realizadas nos nveis 1, 3 e 5 e os nveis 2 e 4
so referentes s autenticaes dos usurios.

Pode-se notar, neste exemplo, que o 2o nvel hierrquico o ponto em que os


recursos externos considerados pblicos so acessados, ou seja, o acesso pblico
passa por esse nvel hierrquico, alm de passar tambm pelo primeiro nvel hierrquico de defesa, que inerente a todos os tipos de conexes. O acesso aos recursos
internos precisam passar, necessariamente, pelos nveis hierrquicos 1, 3, 4 e 5.
Essa diferenciao faz com que as confuses sejam minimizadas, como a dvida
sobre onde e em que ordem devem ser definidas e implementadas as regras de
filtragem. Nas sees a seguir, esto descritas as aes realizadas em cada um dos
nveis de defesa.

SEGURANA DE REDES EM AMBIENTES COOPERATIVOS

Captulo 13: Modelo de segurana para ambientes cooperativos

428

429

13.5.1 Primeiro nvel hierrquico de defesa

13.5.2 Segundo nvel hierrquico de defesa

Essa primeira linha de defesa a responsvel pela filtragem dos pacotes TCP/IP,
antes de serem encaminhados aos nveis hierrquicos 2 ou 3. Todos os tipos de
conexes passam, necessariamente, por essa linha de defesa, sendo permitidos somente os pacotes referentes a servios pblicos disponveis na DMZ e a canais de
respostas dos servios disponveis para os usurios internos, bem como pacotes
IPSec dos tneis de VPN. Um ponto a ser considerado que o muro das figuras que
sero vistas a seguir pode ser constitudo por filtros de pacotes, filtro de pacotes
baseado em estados ou tambm pelos proxies.
Esse primeiro nvel hierrquico (Figura 13.12) destinado a descartar pacotes
de servios que no so permitidos e no so fornecidos. Com isso, as implicaes
de segurana so minimizadas e a utilizao da largura de banda da rede da organizao otimizada. Esse tambm o nvel responsvel pela proteo contra ataques
ao protocolo TCP/IP, tais como IP Spoofing e SYN Flooding. A proteo contra o
Smurf tambm realizada neste nvel.

O segundo nvel hierrquico de defesa o responsvel pela autenticao dos


usurios que acessam os servios pblicos localizados na DMZ, como pode ser visto
na Figura 13.13. No existem regras de filtragem nesse nvel. A utilizao da autenticao no sempre obrigatria, como acont