Princípios de Segurança em Redes de Computadores

Classificado em Computação

Escrito em em português com um tamanho de 23,24 KB

1. Roteadores e Gateways: Filtragem, Circuito, Aplicação

Principais diferenças entre roteador de filtragem de pacotes, gateway de circuito e gateway de aplicação.

Roteadores de Filtragem de Pacotes

Utilizam as seguintes regras:

  • Operam na camada de Rede do modelo OSI (camada de Internet no TCP/IP).
  • Analisam o endereço IP de origem.
  • Analisam o endereço IP de destino.
  • Verificam o protocolo encapsulado (TCP, UDP, ICMP ou IP Tunnel).
  • Analisam a porta de origem (TCP/UDP).
  • Analisam a porta de destino (TCP/UDP).
  • Verificam o tipo de mensagem ICMP.
  • Geralmente possuem baixo custo.
  • Oferecem um nível de segurança inicial.

Gateway de Circuito

  • Opera na camada de Sessão do modelo OSI (mapeada para a camada de Transporte no modelo TCP/IP).
  • Frequentemente implementado como um servidor proxy.
  • Omite informações detalhadas da rede interna para o exterior.
  • O tráfego é filtrado com base em regras específicas de sessões, como quando uma sessão é iniciada por um determinado computador.

Gateway de Aplicação

  • Opera na camada de Aplicação do modelo OSI.
  • O tráfego é filtrado com base em regras específicas da aplicação, como um navegador (browser) ou protocolo de aplicação (FTP, HTTP, SMTP, etc.).
  • Permite uma política de segurança mais restritiva e granular.
  • Requer um proxy de aplicação para cada serviço.

2. IDS e Ataques: Ping of Death, Trojans, Sniffers

Sistema de Detecção de Intrusão (IDS)

  • Um Sistema de Detecção de Intrusão (IDS) é um conjunto de mecanismos instalados na rede ou em hosts para alertar sobre tentativas de acesso não autorizado e auxiliar na resposta a possíveis ataques.
  • Os IDS geralmente se enquadram em categorias como: baseados em rede (NIDS), que analisam o tráfego da rede (ex: monitores de tráfego), e baseados em host (HIDS), que monitoram atividades em sistemas individuais. Eles complementam outras ferramentas de segurança, como firewalls.

Tipos de Ataques

  • Ping of Death: É um ataque de negação de serviço (DoS) causado por um invasor que envia um pacote IP maior que o tamanho máximo permitido pelo protocolo IP (65.535 bytes). Muitos sistemas operacionais podem não saber como lidar com esses pacotes malformados, resultando em falhas (crash), paralisação súbita ou reinicialização (reboot).
  • Trojans (Cavalos de Troia): São programas maliciosos disfarçados de software legítimo. Executam funções ocultas e indesejadas pelo usuário, representando um alto risco devido à dificuldade de detecção. Frequentemente, são encontrados em formato binário não legível e podem afetar muitas máquinas.
  • Sniffer: É um software ou hardware que captura informações (pacotes de dados) que trafegam em uma rede. Seu objetivo é colocar a interface de rede em modo promíscuo para capturar todo o tráfego, não apenas o destinado à máquina onde está instalado. Sniffers também são projetados para capturar e arquivar dados para inspeção posterior. Exemplos: Wireshark, tcpdump. (Exemplos originais: LanExplorer, Analyser, Ethload, Netman).
  • Scanner de Vulnerabilidades: É um programa que descobre automaticamente fraquezas de segurança em um host remoto ou local. Seus atributos primários são: capacidade de encontrar máquinas ativas em uma rede; descobrir os serviços em execução nessas máquinas (hosts); e testar esses serviços em busca de vulnerabilidades conhecidas. Exemplos: Nmap, Nessus. (Exemplos originais: Strobe, SATAN, NSS - Network Security Scanner).
  • Password Cracker: É um programa capaz de decifrar senhas ou desabilitar suas proteções. Utiliza diversas técnicas, como ataques de dicionário ou força bruta, empregando o mesmo algoritmo de hash ou criptografia usado pelo sistema original para verificar as senhas.

4. DMZ: Definição, Função e Importância na Segurança

  • DMZ (DeMilitarized Zone ou Zona Desmilitarizada), também conhecida como Rede de Perímetro, é uma sub-rede física ou lógica situada entre uma rede interna confiável (como a rede local de uma empresa) e uma rede não confiável (geralmente a Internet).
  • A função de uma DMZ é hospedar serviços que precisam de acesso externo (ex: servidores web HTTP, servidores de email SMTP, servidores FTP) de forma isolada da rede local. Isso visa limitar o dano potencial caso um invasor consiga comprometer algum serviço presente na DMZ, impedindo ou dificultando o acesso à rede interna.
  • Para atingir este objetivo, os computadores e servidores presentes em uma DMZ, idealmente, não devem ter permissão para iniciar conexões diretas para a rede local. O tráfego entre a DMZ e a rede interna deve ser estritamente controlado por um firewall.

5. Autenticação: Protocolos CHAP, PAP, LDAP, Kerberos, RADIUS

O serviço de autenticação é responsável por garantir que a comunicação é autêntica. A autenticação confirma a identidade de um usuário, dispositivo ou entidade que tenta fazer login ou acessar recursos de uma determinada rede. É o processo de verificar e validar a identidade declarada.

Principais Protocolos de Autenticação:

  • CHAP (Challenge-Handshake Authentication Protocol): Protocolo de autenticação de desafio-resposta que usa um mecanismo de handshake de três vias. Para criptografar a resposta ao desafio, comumente utiliza o algoritmo de hash MD5. É mais seguro que o PAP.
  • PAP (Password Authentication Protocol): Protocolo simples utilizado para autenticação de usuários em servidores de acesso remoto ou provedores de Internet. O PAP transmite senhas em texto plano (ASCII não criptografado) pela rede, sendo, portanto, considerado inseguro e vulnerável a interceptação.
  • Kerberos: Protocolo de autenticação de rede que utiliza um sistema de tickets para permitir que nós se comuniquem de forma segura sobre uma rede não segura. Atribui um "ticket" (bilhete de sessão) único, criptografado com chaves simétricas, para cada usuário que faz login. Este ticket permite que um cliente se autentique em um servidor dentro de um domínio (realm). O Kerberos é robusto, mas sua configuração pode ser complexa e, por padrão, não oferece proteção inerente contra todos os tipos de malware, como trojans que possam roubar tickets.
  • RADIUS (Remote Authentication Dial-In User Service): É um protocolo cliente-servidor de rede que fornece gerenciamento centralizado de Autenticação, Autorização e Contabilização (AAA) para usuários que se conectam e usam um serviço de rede. O servidor RADIUS utiliza esquemas de autenticação como PAP, CHAP ou EAP para autorizar (ou não) o acesso a recursos da rede (ex: acesso a um ISP, redes Wi-Fi) e pode configurar parâmetros como endereço IP, L2TP, etc.
  • LDAP (Lightweight Directory Access Protocol): É um protocolo aberto, padrão de mercado, para acessar e manter serviços de informação de diretório distribuídos sobre uma rede IP. Embora seja um protocolo de acesso a diretórios, é amplamente utilizado para autenticação, permitindo que aplicações verifiquem credenciais de usuários contra um repositório central. Foi criado como uma interface mais leve para o X.500. O LDAP utiliza TCP/IP, comumente na porta 389 (LDAP) e 636 (LDAPS - LDAP sobre SSL/TLS).

    Aplicações LDAP podem ser agrupadas em três categorias:

    • Aplicações para localizar usuários e recursos na rede.
    • Aplicações que gerenciam esses usuários e recursos.
    • Aplicações de autenticação e autorização.

    Exemplos de operações básicas do LDAP:

    • Bind: Autentica o cliente no servidor e especifica a versão do protocolo LDAP.
    • Search: Procura por e/ou recupera entradas dos diretórios.
    • Compare: Testa se uma entrada específica possui um determinado valor de atributo.
    • Add: Adiciona uma nova entrada ao diretório.
    • Delete: Apaga uma entrada do diretório.
    • Modify: Modifica uma entrada existente no diretório.
    • Modify DN (Distinguished Name): Move ou renomeia uma entrada dentro da árvore do diretório.
    • StartTLS: Inicia uma comunicação segura usando Transport Layer Security (TLS) sobre uma conexão LDAP existente.
    • Abandon: Aborta uma requisição LDAP prévia.
    • Extended Operation: Operação genérica para definir outras operações não padrão.
    • Unbind: Fecha a conexão com o servidor LDAP (não é o inverso de Bind, apenas encerra a sessão).

6. Firewall: Benefícios, Limitações e Firewall ICF

Benefícios do Firewall:

  • Eleva o nível de segurança da rede, atuando como uma barreira entre redes confiáveis e não confiáveis.
  • Centraliza o controle do tráfego de entrada e saída da rede.
  • Permite monitoramento centralizado do tráfego e geração de logs e alarmes.
  • Atua como uma barreira proativa contra muitas ameaças e acessos não autorizados.
  • Pode realizar Tradução de Endereços de Rede (NAT), mapeando endereços IP internos para externos e vice-versa.

Limitações do Firewall:

  • Não protege contra tráfego que não passa por ele (ex: ameaças internas em redes não segmentadas, conexões diretas à internet via modems não protegidos).
  • Não protege contra ameaças internas de usuários mal-intencionados ou negligentes com credenciais válidas.
  • Não substitui um software antivírus ou antimalware, pois geralmente não inspeciona o conteúdo dos arquivos em busca de malware (exceto alguns tipos de firewalls mais avançados como NGFW/UTM).
  • Pode ser ineficaz contra ataques que exploram vulnerabilidades em aplicações permitidas ou malware transportado por dados permitidos (ex: phishing, malware em anexos de email).

Firewall de Conexão com a Internet (ICF)

O Firewall de Conexão com a Internet (ICF) é tipicamente um software de firewall, como o Firewall do Windows, usado para definir restrições ao tráfego de informações entre uma rede doméstica ou de pequena empresa e a Internet, e vice-versa.

O ICF monitora as comunicações que passam por ele, inspecionando o endereço de origem e de destino de cada mensagem. Para evitar que tráfego não solicitado da parte pública da conexão (Internet) entre na parte privada da rede, o ICF geralmente mantém uma tabela de estado das conexões (stateful inspection) que se originaram do computador ou da rede interna protegida por ele.

7. Criptografia: Chaves Simétricas, Públicas, DES e RSA

  • Na criptografia de chave simétrica, a mesma chave secreta é utilizada tanto para o processo de criptografar (codificar) quanto para descriptografar (decodificar) os dados. A segurança depende da manutenção do sigilo dessa chave compartilhada.
  • A criptografia de chave pública (ou assimétrica), proposta em 1976, utiliza um par de chaves matematicamente relacionadas: uma chave pública (que pode ser amplamente divulgada) para criptografar os dados ou verificar uma assinatura digital, e uma chave privada (que deve ser mantida em segredo pelo proprietário) para descriptografar os dados ou criar uma assinatura digital. A derivação da chave privada a partir da chave pública é computacionalmente inviável.

Padrões de Criptografia:

DES (Data Encryption Standard)

DES é um algoritmo de criptografia de chave simétrica. Embora tenha sido muito utilizado, atualmente é considerado inseguro para a maioria das aplicações devido ao seu pequeno tamanho de chave (56 bits), o que o torna vulnerável a ataques de força bruta com hardware moderno. Variações como o 3DES (Triple DES) aumentam sua segurança aplicando o algoritmo DES três vezes com chaves diferentes, mas é mais lento.

  • Utiliza chave simétrica de 56 bits.
  • Opera em blocos de dados de 64 bits.
  • Sua estrutura envolve uma permutação inicial, 16 rodadas de uma função complexa (que inclui substituição e permutação) e uma permutação final.

RSA (Rivest-Shamir-Adleman)

RSA é um algoritmo de criptografia de chave pública, nomeado em homenagem aos seus inventores (Ron Rivest, Adi Shamir e Len Adleman). É uma das implementações mais bem-sucedidas e amplamente utilizadas de criptografia assimétrica. Sua segurança baseia-se na dificuldade matemática da fatoração de números inteiros grandes (o produto de dois números primos grandes).

  • É utilizado tanto para criptografia de dados quanto para assinaturas digitais.
  • A segurança do RSA depende do tamanho da chave (ex: 2048 bits, 3072 bits, 4096 bits são comuns atualmente).
  • Foi um dos primeiros algoritmos a possibilitar tanto a criptografia quanto a assinatura digital usando chaves públicas.

8. Segurança de Sistemas: Elementos e Requisitos Chave

Os elementos e requisitos necessários para a segurança de sistemas incluem:

  • Identificação e Autenticação: Processos para determinar (identificação) e validar (autenticação) a identidade de um usuário, processo ou dispositivo, confirmando que ele é quem ou o que alega ser.
  • Controle de Acesso (Autorização): Limitar e controlar o nível de permissões (autorizações) de usuários ou entidades a redes, sistemas, dados ou recursos, após a autenticação bem-sucedida. Garante que os usuários acessem apenas o que lhes é permitido.
  • Não Repúdio (Irretratabilidade): Impedir que o autor de uma ação (envio ou recebimento de informação, transação) possa negar sua autoria ou ocorrência. Fornece prova da origem e entrega da informação.
  • Confidencialidade: Proteção da informação contra divulgação, descoberta ou interceptação não autorizada, garantindo a privacidade dos dados. Apenas entidades autorizadas podem acessar a informação.
  • Integridade: Garantir que a informação não seja alterada, corrompida ou destruída de forma não autorizada, imprevista ou acidental, mantendo sua exatidão e completude durante o armazenamento, processamento ou transmissão.
  • Disponibilidade: Garantir que redes, sistemas, equipamentos e informações estejam acessíveis e operacionais para usuários autorizados quando necessário. Inclui a capacidade de se recuperar de interrupções e falhas.

9. Backup: Tipos Diferencial e Incremental Explicados

  • Backup Incremental: Copia apenas os arquivos que foram criados ou modificados desde o último backup realizado (seja ele completo ou outro incremental). Após a cópia, os arquivos são marcados como"backup realizad" (geralmente limpando o bit de arquivamento). Para restaurar, é necessário o último backup completo e todos os backups incrementais subsequentes, na ordem correta. Exemplo: Se um backup completo foi feito no domingo, o backup incremental de segunda-feira copia os arquivos alterados desde domingo. O de terça-feira copia apenas os arquivos alterados desde o backup incremental de segunda-feira.
  • Backup Diferencial: Copia todos os arquivos que foram criados ou modificados desde o último backup completo, independentemente de outros backups diferenciais terem sido feitos nesse ínterim. Não marca os arquivos como"backup realizad" (não limpa o bit de arquivamento em relação ao backup completo). Para restaurar, é necessário apenas o último backup completo e o último backup diferencial. Exemplo: Se um backup completo foi feito no domingo, o backup diferencial de segunda-feira copia os arquivos alterados desde domingo. O de terça-feira também copia todos os arquivos alterados desde o backup completo de domingo.

Principal diferença: O backup incremental é mais rápido para executar e ocupa menos espaço, pois copia menos dados a cada execução. No entanto, a restauração pode ser mais demorada e complexa. O backup diferencial leva mais tempo para ser executado à medida que mais dados mudam desde o último completo, mas a restauração é mais simples e rápida, necessitando de menos mídias.

10. Vírus de Computador: Principais Tipos Identificados

Os vírus de computador podem ser classificados em diversas categorias, incluindo:

  • Vírus de Programa (ou Parasitário): Infectam arquivos executáveis (programas), como aqueles com extensões .COM, .EXE, .OVL, .DLL, .SYS, .BIN e .BAT. O vírus anexa seu código ao programa hospedeiro e é ativado quando o programa infectado é executado. Exemplos históricos: Jerusalem, Cascade.
  • Vírus de Setor de Boot (Boot Sector Virus): Infectam a área de inicialização de um disco – ou seja, o registro mestre de inicialização (MBR) em discos rígidos ou o setor de boot em disquetes. Os vírus anexam-se a esta parte do disco e são ativados quando o usuário tenta iniciar o sistema a partir do disco infectado. Exemplos históricos: Form, Disk Killer, Michelangelo, Stoned.
  • Vírus de Macro: Infectam arquivos de aplicativos que utilizam linguagens de macro, como os do pacote Microsoft Office (Word, Excel, PowerPoint, Access). Estes vírus são escritos na linguagem de macro do aplicativo e se propagam quando o arquivo infectado é aberto e as macros são habilitadas. Devido à facilidade com que podem ser criados, foram muito comuns. Exemplo conhecido: Melissa.

11. Vulnerabilidades em Redes: Definição e Origens

Vulnerabilidade, em segurança de redes e sistemas, é uma fraqueza ou falha em um sistema, projeto, implementação, configuração ou controle interno que pode ser explorada por uma ameaça para causar dano, comprometer a segurança ou obter acesso não autorizado.

As origens das vulnerabilidades podem incluir, mas não se limitam a:

  • Falhas de projeto (design flaws): Erros na concepção da arquitetura do sistema ou protocolo.
  • Erros de implementação (bugs de software): Falhas na codificação do software.
  • Configurações inadequadas ou padrão inseguras: Sistemas mal configurados ou com senhas padrão.
  • Fator humano: Ações de usuários, como uso de senhas fracas, suscetibilidade à engenharia social, ou erros operacionais.
  • Hardware desatualizado ou com falhas: Componentes físicos que podem apresentar defeitos ou não receber mais atualizações de segurança.
  • Software desatualizado: Ausência de patches de segurança para corrigir vulnerabilidades conhecidas.
  • Políticas de segurança fracas ou inexistentes.

12. ACLs: Listas de Controle de Acesso e Aplicações

Listas de Controle de Acesso (ACLs) são conjuntos sequenciais de regras (instruções de permissão ou negação) que são aplicadas a endereços IP, protocolos da camada superior (como TCP, UDP) e números de porta. Roteadores e firewalls utilizam ACLs para filtrar pacotes e controlar o tráfego de rede.

Aplicações das ACLs:

  • Limitar o tráfego na rede e aumentar o desempenho: As ACLs podem ser usadas para classificar pacotes e aplicar políticas de Qualidade de Serviço (QoS), como enfileiramento prioritário, ajudando a reduzir o congestionamento na rede.
  • Fornecer controle de fluxo de tráfego: Podem restringir ou reduzir o conteúdo das atualizações de roteamento entre partes da rede.
  • Fornecer um nível básico de segurança para acesso à rede: As ACLs podem permitir que um host ou rede acesse uma parte específica da sua rede e impedir que outro host ou rede acesse a mesma área.
  • Escolher que tipos de tráfego serão permitidos ou bloqueados nas interfaces do roteador: Pode-se, por exemplo, permitir que o tráfego de correio eletrônico (SMTP) seja roteado, mas, ao mesmo tempo, bloquear todo o tráfego de Telnet.

Tipos de ACLs (Exemplos):

ACL Padrão

Filtram o tráfego com base apenas no endereço IP de origem dos pacotes. São mais simples de configurar, mas oferecem menos granularidade no controle.

Exemplo (sintaxe Cisco IOS): access-list 10 deny host 192.168.1.100
(Esta regra nega todo o tráfego originado do host com IP 192.168.1.100).

ACL Estendida

Proporcionam um controle muito mais granular que as ACLs padrão. Podem filtrar pacotes com base em múltiplos critérios:

  • Endereço IP de origem
  • Endereço IP de destino
  • Protocolo específico (TCP, UDP, ICMP, etc.)
  • Números de porta de origem e destino (para TCP e UDP)
  • Outros parâmetros e flags de protocolo

Podem ser utilizadas, por exemplo, para permitir tráfego da Web (HTTP/HTTPS) de qualquer origem para um servidor específico, mas negar tráfego FTP ou Telnet para o mesmo servidor.

Exemplo (sintaxe Cisco IOS): access-list 101 permit tcp any host 172.16.1.5 eq 80
(Esta regra permite tráfego TCP de qualquer origem - any - para o host com IP 172.16.1.5 na porta de destino 80 - HTTP).

13. Análise de Risco em Segurança da Informação

A Análise de Risco é o processo sistemático de identificar ativos de informação, as ameaças a esses ativos e as vulnerabilidades existentes que poderiam ser exploradas por essas ameaças. O objetivo é avaliar a probabilidade de ocorrência de um evento adverso e o impacto potencial (dano ou perda) que tal evento causaria à organização.

O resultado da análise de risco, fruto da avaliação de ameaças, vulnerabilidades e dos mecanismos de proteção e prevenção existentes, apresenta os pontos críticos onde a exposição a perdas financeiras, danos à reputação, interrupção de negócios ou perda de ativos críticos é considerada elevada.

A Análise de Riscos, quando voltada especificamente à Segurança da Informação, concentra-se na identificação, avaliação e, eventualmente, tratamento (mitigação, transferência, aceitação ou evitação) dos possíveis riscos aos quais os dados, informações, sistemas e infraestrutura de TI de uma organização estão sujeitos. Este processo é fundamental para determinar quais ativos devem ser protegidos prioritariamente e como eles serão protegidos, auxiliando na tomada de decisões sobre investimentos em segurança e na definição de políticas e controles de segurança adequados.

Karma: 12%
Visitas: 0

Entradas relacionadas:

Etiquetas:
vulnerabilidades kerberos protocolos de aplicação : chap sniffers exemplos o radius trabalha em qual camada de rede sniffer de rede" +"modo promiscuo segurança da informação access control list defina autenticação ldap radius kerberos tipos de operações do LDAP podem ser agrupadas objetivos de um sniffer de rede Explique as diferenças entre Authentication, Authorization e Accounting qual a diferença entre backup diferencial e incremental aplicacoes ldap restringem as apps para localizar usuarios? O que é vulnerabilidade em segurança de redes? Identificar as origens das vulnerabilidades exemplos sniffer kerberos é um protocolo do tipo aaa Qual o nível de riscoa atual dos roteadores? - Segurança -Tecnologia da Informação Vulnerabilidade radius exemplos de sniffers Quais são as fraquezas de um roteador de filtragem de pacotes gateway de circuito explique o problema da porta mais fraca em relação a segurança de informação