Segurança de Rede: Firewall, Proxy, VPN e Criptografia

Firewall: Ferramenta de Defesa Essencial

Um Firewall é um conjunto de componentes projetados para controlar acessos a máquinas e redes, também conhecido como protetor de perímetro.

Operações e Funções do Firewall

• Operação de Caching: Armazena dados por certos períodos para distribuição, diminuindo o consumo de banda.
• Network Address Translation (NAT): Permite escolher um IP diferente para a rede interna. Oferece proteção interna ao mapear para endereços internos (semelhante a um PABX que direciona para ramais).
• Address Vectoring: Redireciona serviços para diversas máquinas.
• Content Restriction: Restringe o tipo de dado que pode ser acessado pela rede.
• Filtro de Pacotes: Com base em regras definidas, pode proibir a entrada de pacotes através da verificação de seus cabeçalhos (headers – camada de transporte). Pode ser implementado via software de firewall.

Vulnerabilidades Mitigadas pelo Firewall

Busca prevenir contra vulnerabilidades como:

• Insegurança do sistema de senhas;
• Ataques ao DNS (Domain Name Service);
• Sessão de TELNET rastreada por um sniffer;
• Segurança insuficiente no envio de mensagens;
• Possibilidade de roubo de dados;
• Invasão por diferentes meios;
• Danos aos sistemas;
• Alteração dos dados;
• Afetar a reputação do negócio.

Funcionamento Básico do Firewall

• É uma barreira inteligente colocada entre sua rede e o ambiente externo para prevenir invasões.
• Instalado no ponto em que a rede local é conectada à Internet.
• Isola a rede interna, restringindo o acesso externo.
• Todo o tráfego que entra ou sai pela Internet passa pelo Firewall.
• A permissão ou negação de acesso à rede é baseada nas configurações estabelecidas.
• Seleciona o tráfego, serviços da internet, endereços IP e estações para os quais o tráfego será permitido ou negado.
• Possui funcionalidade de avisar sobre acessos suspeitos.
• Um firewall é um ponto focal para decisões e limitação de riscos.

Servidor Proxy: Intermediário de Rede

Proxy é uma técnica utilizada para interceptar o tráfego de pacotes de determinado tipo de aplicação.

• Atua como intermediário entre o usuário e o servidor.
• Pode atuar como um componente do firewall.
• Atua até a camada de aplicação, permitindo restrições de conteúdo do pacote.
• Registra (log) todos os dados enviados e recebidos.
• Pode atuar como um autenticador de usuários.
• Armazena em cache páginas Web mais utilizadas (Ex: Squid, o mais utilizado).

Sistema de Deteção de Intrusão (IDS)

IDS (Intrusion Detection System) é um hardware ou software que automatiza o processo de monitoramento, fazendo uma análise dos dados para detectar tentativas de invasão. Ele somente avisa o que está ocorrendo com o sistema.

• IDS de Rede (NIDS): Analisa pacotes em um segmento de rede.
• IDS de Host (HIDS): Analisa comportamento do sistema operacional ou de alguma aplicação.
• IDS Passivo: Envia informações de ataques para posterior análise.
• IDS Ativo: Automatiza ações através de firewall com respostas para certos tipos de ataques (Ex: Muitos acessos simultâneos podem indicar varredura da rede).

Honeypot: Desviando Ataques

Honeypot é um software que simula redes ou servidores, criando ambientes falsos.

• Funciona como uma forma de ganhar tempo, desviando a atenção do invasor (hacker) até que as providências necessárias sejam tomadas.
• Criado através de toolkits.
• Registra todos os passos executados pelo invasor.

Rede Privada Virtual (VPN)

VPN (Virtual Private Network) permite a transmissão de dados criptografados em meio público (como a Internet).

• Reduz custo de transmissão, pois o preço pela internet é muito mais barato que um link dedicado.
• Tipos de VPN:
  • Convencional: Conexões com IPs fixos.
  • Road Warrior: Uma das pontas tem IP dinâmico.
  • Oportunista: As duas pontas são desconhecidas inicialmente.

Criptografia: Protegendo Informações

Criptografia é a técnica para esconder informações, transformando dados legíveis em ilegíveis.

• Funções Principais:
  • Privacidade: Tornar os dados secretos.
  • Autenticidade: Identificar o responsável pelos dados.
  • Integridade: Garantir que a mensagem chegou sem alterações.
  • Não repudiação: Evitar negação de autenticidade.
• Falhas e Ataques:
  • Ataques que destroem os dados.
  • Vazamento de informações.
  • Sucesso na criptoanálise.
• Criptoanálise: Método para realizar a decriptografia sem a chave.
• Esteganografia: Técnica para esconder texto dentro de uma imagem ou outro arquivo.

Criptografia Assimétrica (Chave Pública/Privada)

Utiliza chaves diferentes (pública e privada).

• Atributos:
  • Inviável derivar a chave de decifragem sabendo a chave de cifragem e o algoritmo utilizado.
  • Cada utilizador tem duas chaves: a chave privada (secreta) e a chave pública (conhecida por todos).
  • Qualquer uma das chaves pode ser usada para cifrar e a outra para decifrar (dependendo do objetivo: confidencialidade ou assinatura).
• Exemplo de Transmissão (A para B):
  1. Antes de enviar a mensagem a B, A busca a chave pública de B no repositório público.
  2. A usa a chave pública de B para criptografar a mensagem e envia para B.
  3. B recebe a mensagem e, com sua chave privada, pode decriptografar e ler seu conteúdo.
• Não há necessidade de envio prévio de chaves secretas, proporcionando maior segurança na transmissão.
• Este sistema permite a assinatura digital, garantindo quem enviou a mensagem (autenticidade) e não repudiação. Para assinar, A criptografa um resumo (hash) da mensagem com sua chave privada. B verifica usando a chave pública de A. Para confidencialidade e assinatura, combina-se o processo.

Assinatura Digital: Autenticidade Certificada

Baseia-se na existência de uma autoridade central (Certificadora - AC) em quem todos confiam.

• Cada entidade gera um par de chaves (pública/privada) e registra a chave pública na AC.
• A mensagem (ou seu hash) é assinada usando a chave privada do remetente.
• A AC pode validar a chave pública do remetente.
• O receptor usa a chave pública do remetente (obtida de forma confiável, ex: da AC) para verificar a assinatura.
• Garante autenticidade, integridade e não repudiação.

Assinatura Eletrônica: Verificação de Integridade

Geralmente refere-se a um processo mais amplo, mas no contexto apresentado:

• O texto da mensagem é processado por uma função de hash, gerando um número (resumo).
• Esse número é cifrado com a chave privada do remetente (formando a assinatura).
• O número cifrado (assinatura) é enviado junto com a mensagem.
• Quem recebe a mensagem:

1. Verifica o texto da mensagem original usando a mesma função de hash, gerando um número.
2. Decifra a assinatura recebida usando a chave pública do remetente, obtendo o número original.
3. Se os dois números coincidirem, confirma-se que a mensagem não foi alterada e que foi enviada por quem possui a chave privada correspondente.

Para ser mais seguro, a chave (assimétrica) deve ter um tamanho adequado (ex: 2048 bits ou mais, o texto menciona 512 bits, que é considerado inseguro hoje).

Criptografia Simétrica (Chave Secreta Única)

Utiliza a mesma chave secreta para criptografar e decriptografar.

• É um processo matemático que embaralha as informações.
• A chave é o elemento secreto compartilhado entre as partes.
• Somente quem possui a chave secreta pode executar as tarefas de criptografia e decriptografia.
• A chave deve ser informada/trocada de forma segura entre os comunicantes.
• Para comunicação entre múltiplos usuários, podem ser necessárias chaves diferentes para cada par ou grupo.
• Requer um método seguro para gerenciamento e distribuição das chaves (depositário das chaves).
• Operações matemáticas podem envolver substituições, permutações, operações lógicas (XOR), etc. (A menção a números primos e restos de divisão é mais característica de algoritmos assimétricos como RSA).