Segurança E Mecanismos

Consultas Rápidas

Entre com palavras-chave em PROCURAR (evite preposições), ou selecione um item em CATEGORIAS, na coluna da direita.

Segurança e Mobilidade

Quais são os problemas  de segurança móvel mais frequentes?

  1. Perda do dispositivo. Perder um tablet ou smartphone, pode colocar em risco dados confidenciais, como informações de clientes ou propriedade intelectual.
  2.  Segurança da aplicação. Muitos aplicativos móveis, especialmente gratuitos, são construídos com vínculos com redes publicitárias, interessadas em contatos, histórico de navegação e geolocalização – dados extremamente valiosos para os desenvolvedores de aplicativos. Contatos corporativos vazados, agenda corporativa e até mesmo a localização de certos executivos podem colocar a empresa em desvantagem competitiva. Outra preocupação é aplicações infectadas por Trojan, que secretamente transferem dados confidenciais para um servidor remoto.
  3. Vazamento de dados. O aumento de dados corporativos em dispositivos aumenta o risco de cibercriminosos que podem segmentar o dispositivo e os sistemas back-end com que eles utilizam malware móvel, Disse Phifer. “Se você vai colocar aplicativos de negócios sensíveis nesses dispositivos, então você gostaria de começar a levar essa ameaça a sério”.
  4. Ataques de malware.  São principalmente identificados em tecnologias de pagamento móvel, arquivos maliciosos com Trojans, ferramentas de monitoramento e aplicações maliciosas.  Ex: Trojans de SMS, projetados para transferir mensagens de texto dos proprietários de dispositivos.
  5. Roubo de dispositivo. O perigo do roubo de dados corporativos, como credenciais de contas e acesso ao e-mail, é uma grande ameaça.

Diante disso, as soluções de segurança para dispositivos móveis apresentam em geral, as seguintes funcionalidades de segurança:

  • Verificação automática de aplicativos antes de fazer o download, para detectar comportamento malicioso ou de risco.
  • Proteção contra sites fraudulentos que possam roubar informações confidenciais.
  • Proteção contra chamadas indesejadas e spam para dispositivos móveis.
  • Localização ou bloqueio de dispositivos perdidos ou roubados.
  • Limpeza remota das informações num dispositivo móvel perdido.
  • Backup, restauração e compartilhamento de contatos entre vários dispositivos.

 

Até logo!

Mecanismos de Segurança

Quais são os principais mecanismos de segurança utilizados atualmente?

Uma tabela resumo com descrição, vantagens e desvantagens:

Mecanismos de Segurança Descrição Vantagens Desvantagens
Firewall Segurança de Rede via controle de tráfego. Como um guardião, num único ponto de acesso à rede, grupa funcionalidades de controle, tais como roteamento por filtro de pacotes/porta, Proxy, SOCKS e VPN. Garante a política de segurança da rede segura frente outra insegura. Registra o tráfego e incidentes de segurança para tracking. Provê um nível básico de segurança. Controla o acesso entre redes e registra eventos e comportamentos suspeitos em tempo real. Fornece proteção para vários tipos de spoofing (fareja e alterar o remetente do pacote) e ataques de roteamento. Protege o seu computador ou rede de usuários não autorizados e protege os dados contra-ataques. Reduz perda de tempo e dinheiro Exige manutenção continuada e especializada. É um método passivo para determinar o estado de segurança da rede. Exige avaliação de logs para identificar intrusões. Não tem anti malware. Se firewall via software, o desempenho da rede será afetado pelo exame de todos os pacotes (via hardware isso é bem melhorado).
Firewall por Filtros de Pacotes (stateless) Segurança de Rede via filtragem do cabeçalho do protocolo IP. Filtro na camada de rede do modelo OSI.Simples e apropriado para redes pequenas. Trabalha com regras definidas via ACL (Acces Control List) Simplicidade. Baixo custo. Velocidade, independência da aplicação e escalabilidade. Não provê proteção total. Vulnerável à técnica de invasão conhecida como IP spoofing, onde o endereços IP são falsificados. Outra vulnerabilidade é analisar o pacote isoladamente e não em grupos de pacotes (stateless). Os filtros podem se tornar muito complexos.
Firewall Gateway Nível de Circuito Segurança de Rede. Gerencia a conexão entre clientes e servidores baseados nos endereços IP e número de portas para identificar se é legítima ou não. Só interfere durante o estabelecimento da conexão. Relativamente baratos e provê anonimato da rede privativa. Atua no nível de transporte e  não interpreta comandos – Permite ou não conexões para um servidor. No entanto, não previne especificamente que um usuário rode um programa particular ou use um comando particular. Não filtra pacotes individuais. Após  a conexão um invasor pode tomar proveito disso.
Firewall Statefull Packet Inspection Segurança de Rede. Agrega inteligência à filtragem de pacotes. Avalia o pacote num grupo de pacotes. Identifica padrões de acessos legítimos e não autorizados. Analisa o estado das conexões, aplicativo e protocolo. Armazena os estados de conexões legítimas em uma tabela de estados. Realiza filtragem no nível de aplicação. Mais seguro que ao filtragem de pacotes. Mais rápido que firewall proxy. Menos seguro do que o firewall proxy – a inspeção no nível de aplicação é abreviada e não completa. Mais lento que o firewall por filtragem de pacotes.
Firewall PROXY Segurança de Rede, via gateway no nível de aplicação (servidor intermediário) onde o conteúdo de determinado serviço pode ser monitorado e filtrado de acordo com a política de segurança. Privacidade por translação de endereço IP. Log completo da conexão, no nível de aplicação. Autenticação forte de usuário. Memória cash para aumentar desempenho da navegação. Compactação de tráfego para economizar largura de banda. Pode eliminar adwares e bloquear sites maliciosos. Exige modificação do software cliente para suportar a conexão proxy (não transparente). É mais caros. Reduz o desempenho (velocidade) da aplicação.
NAT Segurança de Rede por translação de endereço e porta IP. Pode ser usado em diferentes cenários – segurança, economia de endereço e compartilhar uma única conexão IP roteável. Função tipicamente implantada no firewall. Melhoria na Gerência de Endereços IP – administração, controle e economia de endereço. Escalabilidade — vários computadores podem compartilhar o mesmo endereço IP. Segurança – não exposição do endereço IP privado. Transparência – mudanças operacionais atingem poucos roteadores. Maior complexidade para operar a rede. Dificulta o troubleshooting, devido as permutas de endereço. Avalia apenas o nível IP. Não enxerga translações de endereços no nível de aplicação e pode gerar erros em check de integridade em protocolos que manipulam o endereço IP, como o IPSec. Elimina o rastreabilidade fim a fim do protocolo IP.
IPSec Segurança de Rede via arquitetura de protocolo IPSec, especialmente projetado para suportar a implementação de VPNs. Consiste de 2 sub protocolos: ESP – Encapsuleted Security Payload (criptografia no nível de pacote) e o AH – Authentication Header (proteção do cabeçalho IP e check sum). Trabalha em dois modos – transporte (entre 2 hosts) e túnel (entre 2 sub redes). Utiliza o protocolo IKE (chaves públicas) Padrão aberto com várias funcionalidades no nível de pacotes – autenticação, criptografia, integridade e proteção contra réplicas, certificações digitais e suporte a evoluções. Não exige mudanças nas aplicações. Pode ser implementado pelo usuário ou por um provedor sobre a Internet. Depende da segurança cuidadosa de chaves públicas. Reduz o desempenho da aplicação pelo acréscimo do overhead da arquitetura IPSec. Difícil escalar numa topologia fullmesh, já que depende de configurações nos gateways IPSec.
IDS Segurança de Rede adicional dentro de uma rede protegida, via monitoramento do tráfego com sensores e alarmes, para a identificação de atividades suspeitas, correções de erros de configuração e instalação de armadilhas para intrusos. Pode ser baseado em rede ou em hosts. Precisa ser rápido, simples, preciso e completo. São altamente personalizáveis para acomodar políticas de segurança e a identificação de padrões suspeitos. Proteção 24 h com atualização ativa de informações de usuários, acessos, indicadores de firewall. Dificuldade na calibragem da sensibilidade do IDS. Não distinguir o amigo do inimigo e poder gerar bloqueio da rede por períodos longos e prejuízo nos negócios. Exige a ação do administrador, com avaliação de logs e resposta à alarmes.
SSL Segurança de Transação para qualquer aplicação TCP / IP via protocolo de segurança HTTPS. Garante que os visitantes de um website uma conexão criptografada Não altera a aplicação. Provê criptografia, autenticação de mensagens de cliente e servidor. Confiança dos usuários no website. Simplicidade para instalação e operação gerando economia no longo prazo. Custo para a compra de certificado. Exige que cada mensagem seja criptografada e descriptografada, logo introduz latência e reduz o desempenho e sobrecarrega recursos.
Filtro de Conteúdo Segurança de dados via gateway de propósito especial. Autentica o uso de uma aplicação e rastreia todo o conteúdo. Bloqueia certos aspectos de navegação. Permite o envio de notificações ao administrador de segurança. Vigiar o tipo de conteúdo da rede. Direcionar o uso eficaz e eficiente da Internet. Otimizar o tráfego da rede empresarial. Realimentar a política de segurança. Aumentar a produtividade dos empregados. Proteger a empresa de ataques de malware. Aumentar a velocidade da rede. Abuso de regras de filtragem. Filtrar mais do que o necessário e bloquear sites e conteúdos que não deveriam ser bloqueados. Aumentar o conflito entre empregado e empregador. Atualização do filtro
Anti Virus Segurança de Dados via a identificação de assinaturas de vírus (padrões) em banco de dados, tratamento de quarentena e remoção do vírus dos arquivos e sistemas infectados. Reduz  infecções por vírus, trojans, worms, spyware, adware e outros. Protege contra spam, destruição de dados, navegação na Internet e hackers.   Não protege totalmente o computador. É necessário instalar um firewall ou um pacote de segurança completo. Retarda o PC ou rede. Usa recursos do computador. Necessita de atualização para registro de novas assinaturas.
Criptografia Segurança de dados via chaves públicas e ou privadas, que transformam o conteúdo em ilegível para usuários desautorizados. Confidencialidade, integridade dos dados, autenticidade e não-repúdio são suportados pela criptografia. Privacidade via diferentes níveis de criptografia. Perda ou roubo da chave.
Assinatura Digital Segurança de Dados para garantir a autenticidade dos dados via criptografia com chaves públicas e privadas, na transmissão e recepção. Velocidade da transação digitalizada. Economia da “Postagem e Segurança Eletrônica. Autenticidade equivalente ao “papel assinado”. Rastreamento rápido digital. Não-repudio. Prazo de validade. Custos de certificados digitais, softwares, legalização, compatibilidade entre certificados de diferentes fornecedores.
Certificação Digital Segurança de Autenticidade por entidades certificadoras – via criptografia, chaves públicas ou privadas, e emissão de arquivos por entidades certificadoras, para garantir que o emissor de uma mensagem ou documento, seja realmente quem ele diz ser. Privacidade ao criptografar as comunicações – e-mails, logins ou transações bancárias on-line. Fácil uso. São os principais alvos de hackers. O software requer vigilância constante para proteger os usuários contra o cibercrime.
VPN Segurança de Rede via uma rede privada virtual através da Internet. Autenticação de ados de origem e não-repúdio. Integridade (não alteração de conteúdo durante o percurso), confidencialidade via criptografia, proteção de repetição de pacotes, pouca ou nenhuma configuração manual de chaves. Garante desempenho, disponibilidade e segurança. Redução de Custos. Vários mecanismos de segurança integrados. Flexíveis em termos de escalabilidade e comunicação com parceiros de negócios e usuários remotos. Altamente dependente da Internet. Exige conhecimento especializado. O projeto pode ser complexo para definir o melhor tipo de configuração de VPN e mecanismos de segurança. Existem questões de compatibilidade de equipamentos entre fornecedores. Dificuldades no suporte a protocolos legados. Custos “ocultos”.

Até logo!

Firewall

Como o firewall separa o tráfego entre redes? Quais os tipos de firewall?

Um firewall é um sistema, ou grupo de sistemas que implementa uma política de controle de acesso entre duas ou mais redes. Possui diversas funcionalidades, mas em princípio exerce dois tipos básicos de mecanismos: bloqueio e permissão de tráfego. Um dos mitos criados é que o firewall instalado na rede, garante proteção plena. Veja o que um firewall  NÃO pode proteger:

  • Tráfego que não passe por ele
  • Roteamento interno
  • Tráfego interno
  • Ataques a conteúdo, Vírus etc.

A metodologia utilizada pelo firewall define os mecanismos de tratamentos de tráfego feitos por ele.  Através do entendimento das metodologias pode-se classificar e comparar os firewalls e suas aplicações:

  1. Filtro de pacotes – Static Packet Filter – Simples. Atua na camada de rede, baixo preço, transparente às aplicações, geralmente embutidos em roteadores e switches, mas com baixo nível de segurança por não checar além do nível 3 (rede).
  2. Proxy – Application Level Gateway – é o tipo mais seguro de firewall porque tem conhecimento do tráfego até a camada de aplicação. Contudo, o desempenho, pode ser um problema.
  3. Filtro de pacotes com base em estados – Dynamic Packet Filter ou Stateful Inspection –  são filtros de pacotes poderosos e considerados uma ótima tecnologia de firewall. Mantêm uma tabela que armazena a informação de “estado” de toda conexão e isto permite monitorar uma conexão iniciada, estabelecida e terminada. Isto permite prever a troca de pacotes  e aumentar a efetividade do filtro.

Um firewall bloqueia o “pacote mal atingir  um lugar onde ele pode fazer mal”. Diante disso, a questão fundamental não é bloquear pacotes prejudiciais, mas onde  bloqueá-los. Existem firewall baseados em host ou em rede (em roteadores e switches). Geralmente, firewalls examinam todos os pacotes de dados que passam através deles para ver se cumprem as regras definidas pela ACL (Access Control List) feita pelo administrador da rede.

A maioria dos firewalls modernos são stateful –  capazes de configurar a conexão entre a estação de trabalho interna e um recurso da Internet. Eles podem acompanhar os detalhes da ligação, como as portas, pacotes e os endereços IP envolvidos. Isso é chamado de manter o controle do estado da conexão. Desta forma, eles são capazes de manter um registo da sessão de comunicação entre a estação de trabalho e o firewall, e entre o firewall e a Internet. Quando a sessão termina, o firewall descarta todas as informações sobre a conexão.

Até logo!

Filtros de pacotes

Como funciona a filtragem de pacotes para a proteção entre redes?

Filtros de pacotes é o mecanismo mais simples de firewall: avaliam as informações no cabeçalho de um pacote toda vez que ele chega ao firewall, para permitir ou bloquear a sua passagem. As seguintes regras de filtragem podem ser definidas com os campos do cabeçalho do protocolo IP:

  • IP de origem:É o endereço de IP que o pacote lista como seu emissor.  Esse campo não é necessariamente o IP original do emissor. Esse Ip pode ser modificado pelo NAT ou algum hacker pode ter mudado o campo (isso é chamado de IP spoofing).
  • IP de destino:É o endereço de IP para onde o pacote está sendo encaminhado. Tem-se que ter certeza que foi listado o IP real nas regras de filtragem e não o nome do DNS ( Domain Name System).
  • ID de protocolo IP:Um cabeçalho IP pode ser seguido por vários cabeçalhos de protocolos. Cada um desses protocolos tem seu próprio ID de protocolo IP. Os exemplos mais conhecidos são TCP (ID 6) e UDP (ID 17).
  • Numero de portas TCP ou UDP :O numero da porta indica que tipo de serviço o pacote é destinado. Como a maioria dos serviços usam números de porta TCP / UDP bem conhecidas, é possível permitir ou negar serviços usando informações da porta relacionada no filtro. Por exemplo, um servidor FTP monitora conexões em portas TCP 20 e 21. Portanto, para permitir conexões FTP para passar através de uma rede segura, o roteador deve ser configurado para permitir pacotes que contêm 20 e 21 como a porta TCP em seu cabeçalho . Por outro lado, existem alguns aplicativos que usam  portas diferentes para cada conexão e causam problemas de segurança.
  • ICMP –Alguns tipos de ICMP são mensagens muito úteis, porém outros são muito perigosas e não pode ser permitido a sua passagem pelo firewall.
  • Flag de fragmentação: Pacotes podem ser quebrados em pacotes ainda menores para serem acomodados em redes que suportam somente pacotes pequenos.
  • Ajuste de opções do IP:Funções opcionais no TCP/IP podem ser especificadas nesse campo. Essas opções são apenas usadas para diagnóstico, de forma que o firewall pode descartar pacotes com opções de IP determinadas.

Checando os campos do cabeçalho IP, os filtros podem diferenciar pacotes que vão da rede interna para a Internet ou da Internet para rede interna. Regras de filtragem de pacotes são por vezes muito complexas. Os filtros de pacotes não oferecem proteção absoluta de uma rede.  Não é possível controlar os dados com os filtros de pacotes porque eles não são capazes de compreender o conteúdo de um serviço especial. Para este efeito é necessário um controle no nível de aplicação.

Até logo!

Controle de Acesso

Quais são as funções do controle de acesso – AAA?

Controle de acesso é um mecanismo para verificar a identidade do usuário, restringir o acesso a recursos de rede e auditar o uso. Três processos de segurança independentes — autenticação, autorização e contabilidade — são usados para essa finalidade:

  • Autenticar – Identificar os usuários, verificar a sua identidade e conceder/negar acesso a recursos da rede através de mecanismos como login e senha.
  • Autorizar – Controlar o acesso aos recursos de rede para usuários autenticados através de mecanismos tais como grupos de usuários, vários níveis de acesso, privilégios ou atribuição explícita de recursos para usuário/grupo (e vice-versa).
  • Account (Contabilidade) – Auditoria da rede para garantir a conformidade com políticas de segurança ou para monitorar as tentativas de uso não autorizado.

Autenticação. Existem diversos mecanismos para executar a autenticação, autorização e contabilidade, ou de forma independente ou integrada, que consistentemente aplica as políticas de segurança em toda a rede. Quando o mecanismo de AAA é ativado, o dispositivo de rede, no qual ele está sendo executado, verifica as informações de segurança e relatórios de atividades do usuário no servidor RADIUS ou TACACS+. Os clientes RADIUS ou TACAC+ são executados em roteadores e switches que enviam solicitações de autenticação para um servidor central, que contém todas as informações para o serviço de controle de acesso à rede.

Autorização. Em termos simples, a autorização define os recursos de rede acessíveis para um usuário autenticado, num servidor central. Existem dois métodos ortogonais para implementar a autorização. O usuário é associado com todos os recursos acessíveis para o usuário, ou um recurso está associado a todos os usuários que têm acesso a esse recurso. Um usuário pode ter níveis diferentes de privilégio para um recurso (por exemplo, listar, ler, escrever, executar). Para simplificar o gerenciamento e acelerar o processo de autorização, os usuários são atribuídos a grupos (por exemplo, administrador). A associação de grupo define quais recursos podem ser acessados pelo usuário.

Accouting. Como o nome indica, esta função monitora o acesso dos usuários aos vários recursos. Contabilidade é usada para auditar a rede para garantir a total conformidade com as diretivas de segurança ou para identificar violações de segurança.

Até logo!

RADIUS – Servidor de Controle de Acesso

O RADIUS – Remote Authentication Dial In User Service (RFC 2865) – é um servidor de acesso que usa protocolo AAA. É um sistema de segurança distribuído que protege o acesso remoto a redes e serviços de rede contra acessos não autorizados. O RADIUS é composto por três componentes:

  • Um protocolo com um formato de quadro que utiliza User Datagram Protocol (UDP).
  • Um servidor.
  • Um cliente.

O servidor é executado em um computador central tipicamente no local do cliente, enquanto os clientes residem nos servidores de acesso dial-up e podem ser distribuídos em toda a rede.

Modelo Cliente / Servidor. Um servidor de acesso à rede (NAS – Network Access Server) funciona como um “cliente” do RADIUS. O “cliente” é responsável por passar informações do usuário para servidores RADIUS designados, e, em seguida, agir sobre a resposta retornada. Servidores RADIUS são responsáveis por receber solicitações de conexão do usuário, autenticar o usuário, e devolver todas as informações de configuração necessárias para o cliente, para oferecer um serviço para o usuário. Os servidores RADIUS podem agir como clientes de proxy para outros tipos de servidores de autenticação.

Segurança de rede. Transações entre o cliente e o servidor RADIUS são autenticadas através do uso de um segredo compartilhado, que nunca é enviado através da rede. Além disso, todas as senhas do usuário são enviadas criptografadas entre o cliente e o servidor RADIUS. Isso elimina a possibilidade de que alguém, de olho em uma rede desprotegida, possa determinar uma senha de usuário.

Adicionalmente, o servidor RADIUS suporta uma variedade de métodos para autenticar um usuário e existem muitas soluções disponíveis.

Autenticação x Certificação

Qual a diferença entre autenticação e certificação?

Exemplo de notícia: “Empresa lançou uma linha nova de drives flash USB com capacidades, com leitor biométrico de impressões digitais. Quando o drive é usado pela primeira vez, um software específico requisita o registro da impressão digital do proprietário. Além disso, o dispositivo vem com um sistema de desligamento seguro, para impedir a perda de dados”. Que aspecto da Segurança da Informação este leitor biométrico otimiza diretamente ?

a) A filtragem de conteúdo.

b) A autenticação.

c) A criptografia.

d) A Certificação Digital.

Resposta: O caso trata de apenas um sistema de autenticação. A autenticação pode ser através de senhas, token cards ou de sistemas de biometria que é o caso.

Certificados Digitais não são utilizados como sistemas de autenticação (login) e sim como sistemas de verificação de autenticidade da informação. Os sistemas de Certificados Digitais são sistemas que garantem a confiabilidade da informação, isto é, que ela não foi alterada por outro usuário não autorizado. Por exemplo, você pode emitir um documento do word e assinar com seu certificado digital (assinatura digital). Este documento pode inclusive ser público, não envolver senhas. Caso alguém altere o documento a assinatura digital fica invalidada.

Até logo!

DMZ

Como  implementar uma DMZ para segmentar a segurança de rede?

Em redes de computadores, uma DMZ (zona desmilitarizada) é uma sub-rede física ou lógica que separa uma rede local interna de outras redes não confiáveis, normalmente a Internet.

Servidores externos, recursos e serviços estão localizados na DMZ para que sejam acessíveis a partir da Internet, mas o resto da LAN interna permanece inacessível. Isso fornece uma camada adicional de segurança para a LAN e restringe a capacidade dos hackers acessarem diretamente os servidores internos e dados através da Internet.

Quaisquer serviços prestados aos usuários na Internet devem ser colocados na DMZ. O mais comum desses serviços são: Web, Mail, DNS, FTP e VoIP. Os sistemas que executam esses serviços na DMZ são acessíveis por hackers e criminosos cibernéticos em todo o mundo e precisam ser reforçados para resistir a ataques constantes.

O termo DMZ vem da zona geográfica tampão que foi configurada entre a Coreia do Norte e Coreia do Sul no final da Guerra da Coréia.

Uma DMZ é frequentemente referida como uma rede de perímetro. Existem várias maneiras de projetar uma rede com uma DMZ. Os dois métodos mais comuns são com 1 ou 2 firewalls. Essa arquitetura pode ser expandida para criar arquiteturas mais complexas, dependendo dos requisitos de rede.

Um firewall único com, pelo menos, três interfaces de rede pode ser utilizado para criar uma arquitetura de rede contendo uma DMZ. A rede externa é formada a partir do ISP (Internet Service Provider) para o firewall na primeira interface de rede, a rede interna é formada a partir da segunda interface de rede, e a DMZ é formado a partir da terceira interface de rede. Diferentes conjuntos de regras de firewall para o tráfego entre a Internet e a DMZ, a LAN e a DMZ e a LAN e a Internet controlam quais portas e tipos de tráfego são permitidos na DMZ oriundos da Internet, limitam a  conectividade à hosts específicos na rede interna e impedem conexões não solicitadas, quer para a Internet ou rede interna, oriundos da DMZ.

A abordagem mais segura é usar dois firewalls para criar uma DMZ.

O primeiro firewall também chamado de “firewall de perímetro” é configurado para permitir o “tráfego destinado somente ao DMZ”. O segundo firewall ou “firewall interno” permite apenas o “tráfego da DMZ para a rede interna”. Este método é considerado mais seguro uma vez que teria de serem comprometidos dois dispositivos, antes de um invasor acessar a rede interna.

Uma rede segmentada em DMZs, os controles de segurança podem ser ajustados especificamente para cada segmento. Por exemplo, um sistema de detecção e prevenção de intrusões de rede localizado em uma zona desmilitarizada que contém somente um servidor Web pode bloquear todo o tráfego HTTP e solicitações, exceto nas portas  HTTPS 80 e 443.

Até logo!

NAT e Segurança

Como o NAT é empregado como mecanismo de segurança entre redes?

O NAT é também um mecanismo de segurança.Como uma ferramenta que troca os números de IP, o NAT esconde os endereços originais da rede interna. Isto é uma grande vantagem do ponto de vista de segurança. Essa é uma das razões que quase todos os firewalls usem NAT. A rede externa sempre ira ver o IP público, e nunca será capaz de ver o IP privado. Na área do firewall, as pessoas enxergam o NAT mais como um método de segurança do que de economia de endereço IP. O termo mascaramento de IP é normalmente usado para o NAT, o que enfatiza o aspecto de esconder o IP.

Vale ressaltar que o NAT não faz nada para proteger o computador na rede interna. Se o computador é enganado a fazer uma conexão a um computador não confiável na internet, o NAT joga os pacotes intrusos para frente e para trás. Um Firewall deve sempre combinar NAT com Filtragem por Estado de Pacotes. Diferentemente da filtragem de pacotes, que define todos os protocolos que devem ser permitidos, o NAT é uma função automática do firewall.

Quais são as desvantagens do NAT?

O uso do NAT apresenta alguns inconvenientes, tais como:

  • O NAT está efetivamente falsificando um IP, apesar de normalmente não falarmos que o Firewall faz essa falsificação (ao contrário de um hacker malicioso). Um invasor em uma rede protegida por NAT tem mais dificuldade em invadir pelo lado de fora. Parece que todo o tráfego está sendo feito pelo Firewall e NAT. Os registros criados pelo Firewall podem ajudar a determinar quem estava usando e em que porta e quando.
  • Alguns protocolos criam uma lista com os IPs do emissor original ou a porta de origem do pacote em mais de um lugar, não somente no pacote – se o firewall for trocar os números automaticamente ele deve saber onde esse protocolo guardou os números e os trocar apropriadamente. O NAT normalmente já possui a função de trocar esses números em alguns protocolos conhecidos, tais como o FTP e o ICMP. Porém não possui suporte para outros protocolos desconhecidos, logo será necessário a instalação manual de um adereço para isso.
  • Se o computador emissor encripta o cabeçalho de um pacote, ou os dados do pacote são encriptados e contem o endereço de IP, o firewall talvez não seja capaz de fazer as mudanças necessárias. A encriptação é usada para proteger os pacotes de possíveis modificações feitas por espiões na rede. Logo, faz sentido que o firewall também não consiga fazer as suas alterações.

Até logo!

Servidor Proxy

Como funciona o “servidor proxy” como mecanismo de segurança no nível de transação?

Além da filtragem de pacotes e do NAT, outra função tipicamente encontrada num firewall é o “serviço de proxy de aplicação” (ou application gateway).

Enquanto a filtragem de pacotes é capaz de inspecionar dados no cabeçalho de controle do protocolo IP, um proxy de aplicação é capaz de inspecionar o pacote inteiro, campos de controle e dados. Proporciona maior controle sobre o tráfego entre duas redes, onde o conteúdo de um determinado serviço pode ser monitorado e filtrado de acordo com a política de segurança da rede. Para isso, para qualquer aplicativo desejado, um código de proxy correspondente deve ser instalado no gateway, a fim de gerenciar esse serviço específico.

Como funciona?  Por exemplo, um computador da rede interna manda um pedido particular para a Internet via Firewall. O Proxy de aplicação no Firewall intercepta esse pedido, inspeciona o pacote inteiro com regras configuradas pelo administrador do firewall, e então gera novamente um pedido para internet para o servidor de destino. Quando a resposta chegar, o firewall novamente intercepta o pacote, inspecionar e, caso passe nas regras pré-estabelecidas, ele vai construir um pacote de resposta e enviar para o computador da rede interna.

Logo, o servidor proxy é um servidor intermediário. Atua como um servidor para o cliente e como um cliente para o servidor de destino. Uma ligação virtual é estabelecida entre o cliente e o servidor de destino.Notar que, para o cliente acessar o servidor proxy, o software cliente deve ser especificamente modificado. Em outras palavras, o software cliente e servidor devem suportar a conexão proxy.

A maioria das implementações de servidor proxy usa métodos de autenticação sofisticados, tais como cartões de identificação de segurança. Este mecanismo gera uma chave única que não é reutilizável por outra conexão. Outra característica é que ele usa autenticação forte de usuário. Por exemplo, ao usar os serviços FTP e TELNET da rede não segura os usuários têm de se autenticar para o proxy.

Até logo!

Vantagen do Proxy

Qual a principal vantagem de usar um servidor proxy?

A vantagem básica de usá-lo é que ele faz você anônimo. Imagine o cenário onde você está diretamente conectado ao servidor, como abaixo:

Agora todo o seu tráfego de rede que passa através do proxy e e ele pode alterá-lo:

  • É o proxy que está se conectando ao servidor, e não você, assim o seu IP não é divulgado.
  • O Proxy pode substituir a “user agente string” ou retirar as referência.
  • O Proxy pode aceitar todos os cookies, mas não passá-los para você, ou pode bloqueá-los completamente.
  • Um proxy pode ser configurado para trabalhar em todo o sistema, para que os programas não sejam capazes de contorná-lo.

Há também alguns recursos extras que um proxy pode fornecer:

  • Compactar seu tráfego para economizar largura de banda.
  • Armazenar em cache arquivos para reduzir  tempos de carregamento de página.
  • Retirar os anúncios de sites antes que eles atinjam o seu computador.
  • Bloquear sites maliciosos.

Até logo!

IPSec

Qual a principal vantagem do protocolo IPSec?

A arquitetura de segurança IP (IPSec) fornece uma estrutura para a segurança na camada IP para IPv4 e IPv6. Ao fornecer segurança nesta camada, protocolos de transporte e mais elevados, na camada de aplicações podem usar a proteção IPSec, sem a necessidade de serem alterados. Esta acabou por ser uma grande vantagem na concepção de redes modernas e fez do IPSec uma das mais, se não a tecnologias mais atraente, para fornecer segurança de rede IP.

O IPSec é uma arquitetura aberta baseada em padrões de segurança (RFC 2401-2412, 2451), que oferece os seguintes recursos:

  • Fornece autenticação, criptografia, integridade de dados e proteção contra ataque de repetição
  • Fornece criação e atualização automática de chaves criptográficas
  • Usa algoritmos de criptografia fortes para fornecer segurança
  • Fornece autenticação baseada em certificados
  • Acomoda futuros algoritmos criptográficos e protocolos de troca de chaves
  • Fornece segurança para acesso remoto protocolos de túnel L2TP e PPTP

O IPSec foi projetado para interoperabilidade. Quando implementado corretamente, ele não afeta redes e hosts que não o suportam. O IPSec usa o estado da arte de algoritmos criptográficos. A implementação específica de um algoritmo para uso por um protocolo IPSec é frequentemente chamado de uma transformação. As transformações,tal como os protocolos, são publicadas em RFCs e drafts (rascunhos) na Internet.

Até logo!

SSL (Secure Socket Layer)

Como o protocolo SSL funciona para proteger a transmissão de documentos privados via Internet?

O SSL é o protocolo para transmissão de documentos privados pela Internet. Seu principal objetivo é fornecer um canal privado entre aplicativos de comunicação, o que garante privacidade de dados, autenticação dos parceiros e integridade. Trabalha usando uma chave pública para “encriptar” os dados que são transferidos sobre a conexão SSL. Vários browsers suportam SSL e muitos Web sites usam o protocolo para obter informações confidenciais do usuário, como os números de cartão de crédito. O protocolo SSL é indicado, primeiro para prover privacidade entre duas aplicações comunicantes (um cliente e um servidor), segundo, para autenticar o servidor e, de forma opcional também o cliente. O SSL requer um protocolo de transporte confiável (TCP) para transmissão e recepção dos dados. O protocolo SSL trata as seguintes questões de segurança:

  • Privacidade. Após estabelecida a chave simétrica no reconhecimento inicial, as mensagens são criptografadas usando essa chave.
  • Integridade. As mensagens contêm um código de autenticação de mensagem (MAC) garantindo a integridade da mensagem.
  • Autenticação. Durante o aperto de mão, o cliente autentica o servidor usando uma chave assimétrica ou pública. Pode ser baseada em certificados.

Razões para o sucesso do SSL:

  • Qualquer PC com um browser pode ser usado para fazer uma conexão segura, desde que o usuário possa se autenticar a um servidor central.
  • As portas usadas para tráfego SSL estão geralmente abertas no firewall, portanto não há necessidade de reconfigurações.
  • A simplicidade do SSL se traduz em uma instalação mais fácil e economia no longo prazo devido à simplificação no suporte.

Até logo!

Desvantagens do SSL

Quais são as desvantagens do SSL?

Embora o protocolo SSL apresente várias vantagens em termos de criptografia, autenticação e integridade, existem situações de desvantagens.

Custo é uma desvantagem óbvia. Prestadores de SSL precisam configurar uma infraestrutura confiável e validar as identidades, com custos envolvidos. Para alguns provedores conhecidos, os seus preços podem ser elevados.

Desempenho pode ser outra desvantagem do SSL. Já que a informação é criptografada pelo servidor, é preciso mais recursos do servidor para fazer isso. Ambas as partes da comunicação precisam fazer o trabalho extra para trocar apertos de mão e criptografar e descriptografar as mensagens. Testes de desempenho revelaram que o uso de SSL aumenta o tráfego da rede de três vezes, e pode reduzir a velocidade de resposta do servidor de duas até dez vezes, dependendo, em grande parte da plataforma de agentes. Esse trabalho extra é realmente feito pelo servidor Web, mas o uso de recursos do computador decorrentes,  pode gerar um impacto perceptível sobre outras atividades que o servidor esteja realizando em tempo de execução.

Conclusão. É necessário examinar o tipo de dados e comunicação, olhar para as medidas de segurança alternativas, como servidores proxy, firewalls corporativos, por exemplo, e avaliar se é necessário este nível de segurança.

Até logo!

VPNs Seguras

Como é implementada a segurança nas VPNs ?

A segurança é tratada de forma integrada nas VPNs …

Uma rede privada virtual (VPN) é uma extensão da intranet de uma empresa, através de uma rede pública, como a Internet, criando uma conexão privada segura, essencialmente através de um túnel privado. O objetivo das VPNs é transmitir com segurança informações através da Internet e conectar usuários remotos, filiais e parceiros de negócios em uma rede corporativa estendida. Veja abaixo, os requisitos que devem ser cumpridos por implementações de VPN para fornecer uma infraestrutura de rede corporativa segura, através de uma rede pública:

  • Dados origem autenticação e não repúdio. Verifica se cada pacote é originado pelo remetente alegado.
  • Integridade de dados. Verifica se o conteúdo do pacote não foi alterado durante o transporte.
  • Confidencialidade de Dados. Esconde o texto puro de uma mensagem, normalmente, usando criptografia.
  • Repetição de Proteção. Garante que um atacante não pode interceptar um pacote e reproduzi-lo em algum outro momento.
  • Gerenciamento de Chaves. Garante que a política de VPN pode ser implementada com pouca ou nenhuma configuração manual.
  • Desempenho, disponibilidade e escalabilidade. Garante que a própria VPN não é um obstáculo para o negócio, permite acesso ininterrupto aos ativos, que pode crescer com o seu negócio, e que pode acomodar futuras tecnologias à medida que evoluem.

Quando falamos em VPNs estamos pensando em 3 cenários mais prováveis: 1) Intranet – conexão de matriz e filiais, 2) Extranets – conexão com fornecedores e parceiros e 3) Acesso remoto – conexão de usuários em movimento fora da empresa à Intranet empresarial.

Até logo!

Tipos de Malware

Quais são os tipos mais comuns de malware?

Malware (do ingles, malicious software) são códigos maliciosos que podem ser formados por vírus, worms, cavalos de tróia (Trojans) e uma combinação de todos esses:

  • Vírus digital – é um mini código executável – que tem a capacidade de se replicar e infectar um sistema de computadores, quase sempre por uma ação do usuário. Age geralmente em arquivos de hosts através de executáveis.  Vírus são típicos em arquivos anexos de e-mails. A contaminação também pode ocorrer por meio de arquivos infectados em pen drives ou CDs e através de sistemas operacionais desatualizados, que sem correções de vulnerabilidades identificadas nos sistemas operacionais ou aplicativos, podem receber e executar o vírus inadvertidamente. O vírus de computador se instala com o objetivo de prejudicar o desempenho de uma máquina, destruir arquivos ou mesmo se espalhar para outros computadores. Adicionalmente, um computador que tem um vírus instalado pode ficar vulnerável para pessoas mal intencionadas, que podem vasculhar arquivos do sistema, roubar dados, como senhas e números de cartões de crédito. Na Internet há um grande comércio de vírus, principalmente aqueles para roubo de senha de banco e cartões. Até alguns anos atrás, a maioria dos vírus somente se espalhava através do compartilhamento de arquivos em disquete, porém, com a popularização da Internet, novas formas de contaminação e de vírus surgiram, como por  e-mail, através de comunicadores instantâneos e por páginas html infectadas. A proteção do usuário consiste basicamente em não acessar arquivos enviados por desconhecidos, ou que sejam suspeitos e manter sempre um bom antivírus atualizado.
  • Worms – significa “verme” em inglês. É um subtipo de vírus. Um programa auto replicante,  sem a interferência de nenhum  outro programa ou ação do usuário – principal diferença entre o virus e o worm. Os worms são perigosos pois podem ser disparados, aplicados e espalhados em um processo totalmente automático e não precisar se anexar a nenhum arquivo para isso. Enquanto vírus buscam modificar e corromper arquivos, os worms, costumam consumir banda de uma rede. Esta estratégia utilizada pelo worm facilita para que ele consiga se espalhar através de drives USB e até mesmo redes de computadores. Outra técnica utilizada pelos worms – e que é muito eficiente – é a distribuição de si mesmo através de e-mails, nos quais são criados anexos infectados. Estes e-mails são enviados para toda a lista de contatos da pessoa que teve o seu computador infectado – e a vítima nem sabe que isso está acontecendo.
  • Trojan (ou Trojan Worse = Cavalo de Tróia) – é um malware que realiza ações inesperadas ou não autorizadas, geralmente maliciosas. Abre um backdoor (porta dos fundos) – local por onde alguém mal-intencionado pode invadir o sistema, comprometer os sistemas e segurança, mas não se replicam. Ou seja, nem todo trojan prejudica um computador, pois, em alguns casos, ele apenas instala componentes dos quais não temos conhecimento. Você recebe um conteúdo que acha ser uma coisa, mas ele se desenrola em outras coisas que você não esperava ou não foi alertado.
  • Rootkits. Um conjunto de ferramenta utilizado por um hacker  para gera códigos maliciosos para controlar um sistema operacional sem o consentimento do usuário e sem serem detectados. Têm a capacidade de se esconder de quase todos os programas antivírus através de um avançado código de programação. Mesmo que um arquivo rootkit seja encontrado, em alguns casos ele consegue impedir que seja deletado. São eficientes para invadir um sistema sem ser pego.
  • Spyware – Spy, em inglês, significa espião. Foi como os spywares surgiram – para monitorar páginas visitadas e outros hábitos de navegação para informar aos autores e possibilitar atingir os usuários com mais eficiência em propagandas. Com o tempo, também foram utilizados para roubo de informações pessoais (como logins e senhas) e também para a modificação de configurações do computador (ex: mudar a página home do seu navegador). Diferem dos cavalos de Tróia por não teremP
  • Phishing. É uma forma de fraude eletrônica, caracterizada por tentativas de adquirir informações sigilosas, tais como senhas e números de cartão de crédito, ao se fazer passar por uma pessoa confiável ou uma empresa enviando uma comunicação eletrônica oficial, como um correio ou uma mensagem instantânea. Na prática do Phishing surgem artimanhas cada vez mais sofisticadas para “pescar” (do inglês fish) as informações sigilosas dos usuários.
  • AdwareÉ qualquer programa executado automaticamente que exibe uma grande quantidade de anúncios (ad= anúncio, software = programa) sem a permissão do usuário. Geralmente não prejudica o computador, mas prejudicam a navegabilidade e eficiência da atividade computacional.
  • Spam – Abreviação em inglês de “spiced ham” (presunto condimentado), é uma mensagem eletrônica não-solicitada enviada em massa. Na sua forma mais popular, um spam consiste numa mensagem de correio eletrônico com fins publicitários. O termo spam, no entanto, pode ser aplicado a mensagens enviadas por outros meios. Geralmente os spams têm caráter apelativo e na grande maioria das vezes são incômodos e inconvenientes. No geral, esses e-mails indesejados contam apenas propagandas, porém, em alguns casos há também a presença de vírus, por isso, mesmo que pareça inofensivo é necessário ter cuidado.
  • Código Malicioso Móvel – qualquer código ativo, maliciosamente colocado numa página web ou e-mail HTML.
  • Blended Threat – Combina a funcionalidade dos worms, vírus, trojans, códigos maliciosos móveis e mais.

 

Até logo!

Efeitos do Malware

Como os códigos maliciosos (malware) afetam os sistemas de informação?

Os software maliciosos, mais comumente conhecidos como malware, consistem de vírus, worms, spyware, adware e outros programas que são capazes de coletar informações sem o seu consentimento e alterar o funcionamento normal das funções do dispositivo digital. Os efeitos do malware podem ser divididos em quatro categorias gerais.

  • Exposição de anúncios – Um Adware (Advertisement Software) pode exibir automaticamente anúncios pop-up quando um usuário está online ou offline. Uma vez que seu computador esteja infectado, alguns adware simplesmente renderizam (transformam arquivos gráficos para exposição visual) em anúncios, enquanto outros programas monitoram visitas de um usuário e podem rastrear informações. Se os anúncios pop-up frequentemente aparecem quando você não está acessando a Internet, este é provavelmente o resultado de um malware.
  • Instabilidade no computador – Se infectado por um vírus ou worm, seu computador pode se tornar instável – trava inexplicavelmente, reinicia espontaneamente, não desliga, não  reinicia  ou está experimentando outras avarias repetidas – o malware pode ser a causa de tanta agitação.
  • Perda de privacidade – Alguns malwares são projetados para criar um log de texto com base em seus traços essenciais, o que pode revelar endereços de email e senhas de contas. Esses logs de texto podem  ser usados por hackers e usados ??para enviar e-mail para seus contatos. Se você tem uma conta online que tenha sido comprometido, você pode ter malware que permitiu o processo em seu computador.
  • Tentativa de roubo – Infecções de spyware pode levar ao acesso de informações pessoais e detalhes de contas financeiras, que podem então ser usadas para cometer roubo de identidade e crimes fraudulentos. Você pode desconhecer que informações tenham sido divulgada até você monitorar suas contas financeiras e identificar o comportamento não autorizado.

Até logo!