Segurança em Redes de

Computadores

1. Segurança da Informação

Um Sistema de segurança da informação baseia-se em três princípios básicos:

 Confidencialidade;
 Integridade;
 Disponibilidade.

Se um ou mais desses princípios forem desrespeitados em algum momento, isto significa

uma quebra de segurança, o que pode ser chamado também de incidente de segurança
da informação.

1.1. Confidencialidade

O princípio da confidencialidade é garantido quando apenas as pessoas explicitamente

autorizadas podem ter acesso à informação

1.2. Integridade

O princípio da Integridade é garantido quando a informação acessada está completa, sem

alterações e, portanto, confiável

1.3. Disponibilidade

O princípio da disponibilidade é garantido quando a informação está acessível, por pessoas

autorizadas, sempre que necessário.

2. Vulnerabilidade

Os ativos de informação, que suportam os processos de informação, possuem

vulnerabilidades. É importante destacar que essas vulnerabilidades estão presentes nos
próprios ativos, ou seja, que são inerentes a eles, e não de origem externa.

Os computadores, por exemplo, são vulneráveis por serem construídos para troca e
armazenamento de dados, seja por meio de cd, portas USB ou porta de acesso à rede
local, bem como à internet. Isto pode ser explorado por vírus, worms, cavalos de Tróia,
negação de serviço, entre outros, conforme abordaremos mais adiante.

3. Incidente de Segurança da Informação

Um incidente de segurança da informação é uma ocorrência em que uma ameaça explora

as vulnerabilidades de um ativo, quebrando a confidencialidade, integridade ou
disponibilidade, e afetando de algum modo o negócio da organização. Esse incidente,
portanto, tem um impacto ou grau de dano causado ao negócio.

4. Probabilidade, Impacto e Controle.

Probabilidade é a chance de uma determinada falha de segurança ocorrer. Esta guarda

uma relação com o grau da ameaça e o grau da vulnerabilidade.

O Impacto de um incidente refere-se aos potenciais prejuízos causados ao negócio por

esse incidente. Os ativos possuem valores diferentes, já que a informação que eles
suportam ou utilizam tem relevâncias diferentes para o negócio da organização. Quanto
maior for a relevância do ativo, tanto maior será o impacto de um eventual incidente.

Um controle é todo e qualquer mecanismo utilizado para diminuir a fraqueza ou a

vulnerabilidade de um ativo.
5. Política de Segurança

A política de segurança é um mecanismo preventivo de proteção dos dados e processos

importantes de uma organização que defini um padrão de segurança a ser seguido pelo
corpo técnico e gerencial e pelos usuários, internos e externos.
A política de segurança de informações deve estabelecer princípios de como a instituição
irá se proteger, controlar e monitorar seus recursos de informática. É importante que a
política defina responsabilidades das funções relacionadas à segurança e discrimine as
principais ameaças, riscos e impactos envolvidos. A política de segurança deve-se integrar
às metas de negócio da organização.
O principal objetivo da implantação de uma política de segurança é preservar a
informação quanto a sua integridade, disponibilidade e confidencialidade.
Uma boa política de segurança deve abranger os seguintes tópicos:

 Propriedade da Informação - Toda informação deve possuir um proprietário

(owner), responsável por definir os usuários que terão acesso á informação.
 Gerência de Usuários e Senhas - As senhas devem ser únicas e individuais e seguir
critérios de qualidade. A responsabilidade da senha é do usuário proprietário da
mesma.
 Continuidade de Negócios – A elaboração de um plano de continuidade de
negócios é um tópico dos mais importantes na política de segurança.
 6. Ameaças e Ataques

Pode-se dizer que ameaça é uma possível violação da segurança de um sistema. As principais
ameaças às redes de computadores são:

• Destruição de informação ou de outros recursos;

• Modificação da informação;
• Roubo, remoção ou perda de informações e de outros recursos;
• Interrupções de serviços

As ameaças poder ser divididas em acidentais e intencionais. Ameaças acidentais são as que
não estão ligadas a uma intenção premeditada. Ameaças intencionais vão desde a observação
de dados com ferramentas simples de monitoramento de redes a ataques sofisticados baseado
no funcionamento do sistema. A formalização de uma ameaça intencional gera um ataque.
Alguns dos principais ataques que podem ocorrer em um ambiente de rede são:

6.1. Vírus

São programas desenvolvidos para alterar nociva e clandestinamente softwares instalados em

um computador, tem comportamento semelhante ao vírus biológico, multiplicam-se com
facilidade e necessitam de um hospedeiro.

Os computadores podem se infectar de diversas maneiras, CDs, DVDs, portas USB, portas
FireWire, Placas de redes, e-mails e através de páginas da internet.

6.2. Worms

Um Worm é um programa auto-replicante, semelhante a um vírus. Enquanto um vírus infecta

um programa e necessita deste programa hospedeiro para se propagar, o Worm é um
programa completo e não precisa de outro para se propagar.

Um worm pode ser projetado para tomar ações maliciosas após infestar um sistema, além de
se auto-replicar, pode deletar arquivos em um sistema ou enviar documentos por email.

A partir disso, o worm pode tornar o computador infectado vulnerável a outros ataques e
provocar danos apenas com o tráfego de rede gerado pela sua reprodução.
 6.3. Trojan

Um trojan é um programa que oculta seu objetivo sob uma camuflagem de outro programa
útili ou inofensivo. Funciona como servidor de rede (SERVER) e tem outro programa
“comparsa” que funciona como cliente (CLIENT).

O server fica instado no computador da vítima e o cliente no computador do invasor. Assim,

então o invasor pode estabelecer uma conexão direta com a vítima, não monitorada e
imperceptível através de um backdoor. Assim estes programas, oferecem grande riscos para
uma máquina infectada pois se tem quasen que total controle sobre a máquina podendo
acessar todos os arquivos os mesmo apagá-los.

6.4. IP Spoofing

IP spoofing é uma técnica de subversão de sistemas informáticos que consiste em mascarar

(spoof) pacotes IP utilizando endereços de remetentes falsificados.

Devido às características do protocolo IP, o reencaminhamento de pacotes é feito com base

numa premissa muito simples: o pacote deverá ir para o destinatário (endereço-destino) e não
há verificação do remetente — não há validação do endereço IP nem relação deste com o
router anterior (que encaminhou o pacote). Assim, torna-se trivial falsificar o endereço de
origem através de uma manipulação simples do cabeçalho IP. Assim, vários computadores
podem enviar pacotes fazendo-se passar por um determinado endereço de origem, o que
representa uma séria ameaça para os sistemas baseados em autenticação pelo endereço IP.

Esta técnica, utilizada com outras de mais alto nível, aproveita-se, sobretudo, da noção de
confiabilidade que existe dentro das organizações: supostamente não se deveria temer uma
máquina de dentro da empresa, se ela é da empresa. Por outro lado, um utilizador torna-se
também confiável quando se sabe de antemão que estabeleceu uma ligação com determinado
serviço. Esse utilizador torna-se interessante, do ponto de vista do atacante, se ele possuir (e
estiver usando) direitos privilegiados no momento do ataque.

Bom, mas resta a interacção com as aplicações, além de que as características do protocolo IP
permitem falsificar um remetente, mas não lhe permitem receber as respostas — essas irão
para o endereço falsificado. Assim, o ataque pode ser considerado cego. Essa técnica é
conhecida por desvio de sessão TCP, ou TCP session hijacking em inglês.

Existem métodos para evitar estes ataques, como a aplicação de filtros de pacotes, filtro
ingress nos gateways; faz sentido bloquear pacotes provindos da rede externa com endereços
da rede local. Idealmente, embora muito negligenciado, usar um filtro egress — que iria
descartar pacotes provindos da rede interna com endereço de origem não-local que fossem
destinados à rede externa — pode prevenir que utilizadores de uma rede local iniciem ataques
de IP contra máquinas externas.
Existem outros ataques que utilizam esta técnica para o atacante esconder a origem ou para
potencializar um determinado ataque: ataques SYN (SYN flooding) ou ataques smurf são
exemplos muito citados.

A maior vantagem do Ip spoofing em relação a outros tipos de farejamento de conexões (como

o DNS spoofing, por exemplo) é que ele funciona em nível de conexão, permitindo farejar e
interceptar conexões e pacotes em redes de todos os sitemas, seja ele Linux, Unix, Windows,
Solaris ou qualquer outro existente, desde que a conexão parta de um IP confiável com um
endereço mac conhecido.

6.5. Exploit

São programas geralmente feitos em linguagem C que exploram a vulnerabilidade de

programas e sistemas para ganhar acesso root ou administrador.

6.6. DoS (Ataque de negação de serviço)

Um ataque de negação de serviço (também conhecido como DoS, um acrônimo em inglês para
Denial of Service), é uma tentativa em tornar os recursos de um sistema indisponíveis para
seus utilizadores. Alvos típicos são servidores web, e o ataque tenta tornar as páginas
hospedadas indisponíveis na WWW. Não se trata de uma invasão do sistema, mas sim da sua
invalidação por sobrecarga. Os ataques de negação de serviço são feitos geralmente de duas
formas:

 Forçar o sistema vítima a reinicializar ou consumir todos os recursos (como

memória ou processamento por exemplo) de forma que ele não pode mais
fornecer seu serviço.
 Obstruir a mídia de comunicação entre os utilizadores e o sistema vítima de forma
a não comunicarem-se adequadamente.
7. Formas de Proteção

7.1. Firewalls

Firewall é o nome dado ao dispositivo de uma rede de computadores que tem por objetivo
aplicar uma política de segurança a um determinado ponto de controle da rede. Sua
função consiste em regular o tráfego de dados entre redes distintas e impedir a
transmissão e/ou recepção de acessos nocivos ou não autorizados de uma rede para
outra. Este conceito inclui os equipamentos de filtros de pacotes e de proxy de aplicações,
comumente associados a redes TCP/IP.

Existe na forma de software e hardware, ou na combinação de ambos (neste caso,

normalmente é chamado de "appliance"). A complexidade de instalação depende do
tamanho da rede, da política de segurança, da quantidade de regras que autorizam o fluxo
de entrada e saída de informações e do grau de segurança desejado.
 7.2. Antivírus

Os antivírus são programas de computador concebidos para prevenir, detectar e eliminar vírus
de computador. Os métodos de identificação dos antivírus são:

 Escaneamento de vírus conhecidos - Quando um novo vírus é descoberto seu

código é desmontado e é separado um grupo de caracteres (uma string) que não é
encontrada em outros softwares não maliciosos. Tal string passa a identificar esse
vírus, e o antivírus a utiliza para ler cada arquivo do sistema (da mesma forma que
o sistema operacional), de forma que quando encontrá-la em algum arquivo, emite
uma mensagem ao usuário ou deleta o arquivo automaticamente.
 Sensoreamento heurístico - O segundo passo é a análise do código de cada
programa em execução quando usuário solicita um escaneamento. Cada programa
é varrido em busca de instruções que não são executadas por programas usuais,
como a modificação de arquivos executáveis. É método complexo e sujeito a erros,
pois algumas vezes um executável precisa gravar sobre ele mesmo, ou sobre outro
arquivo, dentro de um processo de reconfiguração, ou atualização, por exemplo.
Portanto, nem sempre o aviso de detecção é confiável.
 Busca Algorítmica - Expressamente, a busca algorítmica é aquela que utiliza
algoritmos para selecionar os resultados. Essa classificação em "Busca
Algorítmica", do Inglês "algorithmic search", é de caráter publicitário ou vulgo já
que qualquer mecanismo de busca utiliza um algoritmo. Esta denominação foi
criada para se diferenciar das "Buscas Patrocinadas" em que o pagamento
(patrocínio) dos mecanismos de busca faz com que os resultados patrocinados
tenham prioridade. Por exemplo: para buscar strings (cadeias de texto) que
detectariam um vírus de computador
 Checagem de Integridade - Checagem de integridade cria um banco de dados, com
o registro dos dígitos verificadores de cada arquivo existente no disco, para
comparações posteriores. Quando for novamente feita esta checagem, o banco-
de-dados é usado para certificar que nenhuma alteração seja encontrada nesses
dígitos verificadores. Caso seja encontrado algum desses dígitos diferentes dos
gravados anteriormente, é dado o alarme da possível existência de um arquivo
contaminado.

Cabe ao usuário verificar se a alteração foi devido a uma atividade suspeita, ou se foi causada
simplesmente por uma nova configuração, efetuada recentemente.

Vale salientar que os antivírus são programas que procuram por outros programas (os vírus)
e/ou os barram, por isso, nenhum antivírus é totalmente seguro o tempo todo, e existe a
necessidade de sua manutenção (atualizando) e, antes de tudo, fazer sempre uso do backup
para proteger-se realmente contra perda de dados importantes.