Tópicos Essenciais em Segurança de Redes e Informação

Classificado em Computação

Escrito em em português com um tamanho de 23,63 KB

VPNs: Definição, Tunelamento e Vantagens

Rede Privada Virtual (VPN) é uma rede particular construída sobre a infraestrutura de uma rede pública, normalmente a Internet. Em vez de se utilizar links dedicados ou redes de pacotes (como Frame Relay ou X.25) para conectar redes remotas, utiliza-se a infraestrutura da Internet, o que é economicamente vantajoso.

A VPN cria um caminho seguro (túneis ou tunelamento) dentro da rede pública, através da criptografia dos dados em uma conexão (criptografia ponta a ponta).

Vantagens da VPN:

  • Solução Transparente: Os recursos da rede remota são acessados como se estivessem na rede local.
  • Solução Segura: Os dados são transmitidos criptografados.
  • Baixo Custo de Implantação: As soluções de conexões ponto a ponto, como por exemplo, linha privada, fibra óptica ou Frame Relay, apresentam custos mais elevados.
  • Flexibilidade: Permite conectar diversas redes ou mesmo pontos móveis.
  • Integração entre Redes Distantes: Uma solução de VPN possibilita que duas ou mais filiais, escritórios e pontos móveis compartilhem recursos e serviços de forma segura através da Internet.

Áreas Funcionais de Gerenciamento de Redes

  • Gerenciamento de Falhas: Localização de problemas ou falhas.
    • Detecção do problema (manutenção de log de eventos)
    • Isolação do problema
    • Solução do problema (antes que o usuário o detecte)
  • Gerenciamento de Configuração: Parâmetros de configurações de hardware e software.
  • Gerenciamento de Segurança: Controle de acesso físico e lógico aos recursos da rede.
  • Gerenciamento de Desempenho: Quantifica, mede, analisa e controla o desempenho dos diferentes componentes da rede.
  • Gerenciamento de Contas:
    • Controle de acesso aos recursos da rede
    • Controle de armazenamento
    • Gerência de Processos de Segurança

SGSI e o Ciclo PDCA na Segurança da Informação

O Sistema de Gestão de Segurança da Informação (SGSI) é uma parte do sistema global de gestão, baseado em uma abordagem de risco, que permite definir, implantar, operacionalizar, monitorar, manter e melhorar a segurança da informação segundo a norma.

O ciclo PDCA (Plan, Do, Check, Act) planeja, desenvolve, implanta, mantém e melhora continuamente o SGSI.

Ativos de Segurança da Informação (ISO 27000)

Um ativo, no contexto da segurança da informação (conforme ISO 27000), é tudo aquilo que possui valor para uma organização. Os ativos podem ser classificados em:

  • Tangíveis:
    • Servidores e dispositivos de rede
    • Móveis de escritório
    • Informações impressas ou digitais
  • Intangíveis:
    • Marca de um produto
    • Imagem de uma empresa

Redes Wi-Fi, Padrões IEEE 802.11 e Bluetooth

O Wi-Fi é uma tecnologia de rede local sem fio (Wireless LAN ou WLAN) padronizada pelo IEEE 802.11. Wi-Fi (Wireless Fidelity ou fidelidade sem fio) é uma marca registrada pertencente à Wireless Ethernet Compatibility Alliance (WECA).

Especificações do Padrão IEEE 802.11:

  • IEEE 802.11a: 54 Mbps, 5 GHz (1999)
  • IEEE 802.11b: 5.5 e 11 Mbps, 2.4 GHz (1999)
  • IEEE 802.11c: Especificação para MACs IEEE 802.11 (operação com Bridge)
  • IEEE 802.11d: Especificação para telecomunicações e troca de informações entre dois sistemas
  • IEEE 802.11e: Suporte para aplicações que necessitam de QoS (Qualidade de Serviço)
  • IEEE 802.11f: Recomendação para redes ponto a ponto sob protocolo IAP (Inter Access Point Protocol) (2003)
  • IEEE 802.11g: 54 Mbps, 2.4 GHz, compatível com o padrão b (2003)
  • IEEE 802.11h: Gerenciamento do espectro e transmissão para o padrão 802.11a (5 GHz); soluciona problemas como interferências e auxilia na coexistência do IEEE 802.11 com padrões que utilizam a banda de 5 GHz (2004)
  • IEEE 802.11i: Melhorias na segurança (WEP) (2004)
  • IEEE 802.11j: Extensões para o Japão (2004)
  • IEEE 802.11k: Melhorias em medição de recursos de rádio
  • IEEE 802.11m: Manutenção de padronização
  • IEEE 802.11p: WAVE (Wireless Access for Vehicular Environment) (ambulância, carro de passeio e outros)
  • IEEE 802.11v: Gerenciamento de redes wireless
  • IEEE 802.1X: Melhoria na segurança do padrão 802.11, definindo a maneira como os usuários se autenticam em redes wireless (WLAN)

Bluetooth

Bluetooth é uma especificação de computação e telecomunicações que descreve como telefones móveis, computadores e PDAs podem se interconectar utilizando conexão sem fio. Bluetooth é uma tecnologia de radiofrequência que utiliza a banda de 2,5 GHz. Dois dispositivos Bluetooth, separados por uma distância de até 10 m, podem compartilhar uma banda de até 720 kbps.

Protocolos de Segurança Wi-Fi: WEP e WPA

WEP (Wired Equivalent Privacy)

  • O WEP é um mecanismo de segurança em redes sem fio que envia os dados criptografados.
  • Dá aos administradores uma “falsa sensação de segurança”, pois usa criptografia com chaves simétricas.
  • As chaves WEP são estáticas, configuradas manualmente e requerem que a mesma chave secreta seja compartilhada com todos os usuários.
  • Mesmo quando o WEP é configurado corretamente e implantado em uma rede sem fio, existem mecanismos utilizados para quebrar a criptografia com chaves simétricas e obter acesso ao Access Point (AP).

WPA (Wi-Fi Protected Access)

  • Tendo em vista os problemas de segurança do WEP, a Wi-Fi Alliance liberou o protocolo WPA.
  • Trabalha de forma combinada com outros protocolos, como o IEEE 802.1X.
  • No WPA não está disponível suporte para conexões Ad-Hoc (o que ocorre para o WEP), portanto, não pode ser utilizado em redes que não utilizam concentrador (AP).
  • Trata da cifragem (criptografia com chave pública) dos dados, objetivando a privacidade das informações.
  • Utiliza autenticação de usuários (área não coberta efetivamente pelo WEP) utilizando os padrões IEEE 802.1X (com troca dinâmica de chaves) e EAP (Extensible Authentication Protocol), que permite vários métodos de autenticação e certificação digital. Permite integrar padrões de autenticação tradicionais como o RADIUS.

Requisitos de Segurança para LANs Sem Fio (WLANs)

Antena e Posicionamento do AP

  • Selecionar corretamente a antena a ser utilizada.
  • Diminuir o sinal o máximo possível, adequando-o à área de cobertura necessária.
  • Isolar os vidros com tratamento metálico (ex: insulfilme espelhado).
  • Posicionar corretamente o Access Point (AP).
  • Utilizar tintas metálicas nas paredes, se necessário, para conter o sinal.

SSID (Service Set Identifier)

  • Desligar o broadcasting do SSID do AP, se possível (nem todos os APs permitem isso).
  • Ter consciência de que ocultar o SSID não é uma medida de segurança robusta por si só.

Filtro de Endereço MAC

  • Não permitir que o filtro de MAC seja a única medida de segurança de acesso ao seu AP.
  • Utilizar Detectores de Intrusão (IDS) para alertar sobre um número excessivo de replicações de ARPs não solicitados detectados na rede.
  • A ferramenta Arpwatch pode enviar e-mails notificando uma modificação em um endereço MAC.

WEP (Wired Equivalent Privacy)

  • O WEP é um mecanismo de segurança em redes sem fio que envia os dados criptografados.
  • Dá aos administradores uma “falsa sensação de segurança”, pois usa criptografia com chaves simétricas.
  • As chaves WEP são estáticas, configuradas manualmente e requerem que a mesma chave secreta seja compartilhada com todos os usuários.
  • Mesmo quando o WEP é configurado corretamente e implantado em uma rede sem fio, existem mecanismos utilizados para quebrar a criptografia com chaves simétricas e obter acesso ao AP.

WPA (Wi-Fi Protected Access)

  • Tendo em vista os problemas de segurança do WEP, a Wi-Fi Alliance liberou o protocolo WPA.
  • Trabalha de forma combinada com outros protocolos, como o IEEE 802.1X.
  • No WPA não está disponível suporte para conexões Ad-Hoc (o que ocorre para o WEP), portanto, não pode ser utilizado em redes que não utilizam concentrador (AP).
  • Trata da cifragem (criptografia com chave pública) dos dados, objetivando a privacidade das informações.
  • Utiliza autenticação de usuários (área não coberta efetivamente pelo WEP) utilizando os padrões IEEE 802.1X (com troca dinâmica de chaves) e EAP (Extensible Authentication Protocol), que permite vários métodos de autenticação e certificação digital. Permite integrar padrões de autenticação tradicionais como o RADIUS.

Controle de Acesso

  • Utilizar vários APs para acessar diferentes segmentos de redes, cada qual com seu SSID.
  • Utilizar uma solução de VPN para conectar os usuários aos segmentos de redes.
  • Cada usuário será roteado para o servidor de VPN da rede corporativa.

Gerenciamento do Access Point (AP)

  • Proibir a instalação de APs sem aprovação da gerência de redes.
  • Sempre colocar os APs na frente de firewalls.
  • Desabilitar portas não utilizadas dos switches internos para impedir a conexão de APs ou de computadores não permitidos.
  • Monitorar qualquer endereço MAC novo na rede interna que for descoberto (ex: com ArpWatch).

Protocolos de Tunelamento: PPTP, L2TP e IPsec

Tunelamento Nível 2 (Camada de Enlace)

  • PPTP (Point-to-Point Tunneling Protocol): Desenvolvido pela Microsoft, permite que o tráfego IP, IPX e NetBEUI seja criptografado e encapsulado para ser enviado através de redes IP privadas ou públicas, como a Internet.
  • L2TP (Layer 2 Tunneling Protocol): Desenvolvido pelo IETF (Internet Engineering Task Force), permite que o tráfego IP, IPX e NetBEUI seja criptografado e enviado através de canais de comunicação de datagrama ponto a ponto, tais como X.25, Frame Relay ou ATM.

Tunelamento Nível 3 (Camada de Rede)

  • IPSec (Internet Protocol Security): Desenvolvido pelo IETF, permite que pacotes IP sejam criptografados e encapsulados com um cabeçalho adicional deste mesmo protocolo para serem transportados em uma rede IP pública ou privada. O IPSec é um protocolo desenvolvido para IPv6, devendo, no futuro, constituir-se como padrão para todas as formas de VPN, caso o IPv6 venha de fato a substituir o IPv4. O IPSec sofreu adaptações, possibilitando também a sua utilização com o IPv4.

Formas de Implantação de VPNs

A VPN pode ser implementada de três formas principais:

  • Acesso Remoto Via Internet:

    Permite o acesso remoto a redes corporativas pela Internet através da ligação local a algum provedor de acesso (Internet Service Provider - ISP). A estação remota disca para o provedor de acesso, conectando-se à Internet, e o software de VPN cria uma rede virtual privada entre o usuário remoto e o servidor de VPN corporativo através da Internet.

  • Conexão de Redes Corporativas Via Internet (Site-to-Site VPN):

    Uma solução que substitui as conexões entre LANs através de circuitos dedicados de longa distância é a utilização de circuitos dedicados locais interligando-as à Internet. O software de VPN assegura esta interconexão, formando a WAN corporativa. Pode-se optar pela utilização de circuitos discados em uma das pontas, devendo a LAN corporativa estar, preferencialmente, conectada à Internet via circuito local dedicado, disponível 24 horas por dia para eventuais tráfegos provenientes da VPN.

  • Conexão de Computadores Via Intranet (Intranet VPN):

    As VPNs possibilitam a conexão segura entre diferentes segmentos de redes locais dentro de uma mesma organização (Intranet), restringindo acessos indesejados através da inserção de um servidor VPN entre elas. O servidor VPN não atuará como um roteador comum entre a rede departamental e o restante da rede, permitindo o acesso indiscriminado. Com o uso da VPN, o administrador da rede pode definir quais usuários estarão credenciados a atravessar o servidor VPN e acessar os recursos da rede departamental restrita ou sensível. Adicionalmente, toda comunicação ao longo da VPN pode ser criptografada, assegurando a confidencialidade das informações.

Redes WiMAX: Padrões IEEE 802.16d e 802.16e

WiMAX (Worldwide Interoperability for Microwave Access) é um padrão de rede sem fio com foco na melhoria das redes Wi-Fi em relação aos seguintes tópicos:

  • Segurança
  • Alcance
  • QoS (Qualidade de Serviço) para VoIP, Dados e Vídeo (Triple Play)

O WiMAX tem o objetivo de promover e certificar produtos baseados no padrão IEEE 802.16.

Diferenças entre Especificações IEEE 802.16:

  • IEEE 802.16d (WiMAX Fixo ou Nomádico): É o padrão de acesso sem fio de banda larga fixa. Teve os primeiros equipamentos (Aperto Networks, Redline Communications, Wavesat e Sequans) homologados em janeiro de 2006.
  • IEEE 802.16e (WiMAX Móvel): É o padrão de acesso sem fio de banda larga móvel, assegurando conectividade em velocidades de até 100 km/h. Apresenta-se como uma solução para competir com soluções GSM + Wi-Fi e um caminho para redes 4G.

Função dos Smart Cards na Certificação Digital

Os smart cards são um tipo de hardware criptográfico dotado de um microprocessador com memória, capaz de armazenar e processar diversos tipos de informações. Em certificação digital, sua principal função é o armazenamento seguro de chaves criptográficas (como chaves privadas). As chaves são mantidas dentro de um ambiente seguro no chip, e as operações de criptografia (como assinatura digital) podem ser realizadas dentro do próprio dispositivo, impedindo a exposição da chave privada.

Vírus de Computador: Definição e Tipos Principais

Um vírus de computador é um software malicioso que infecta outros programas, modificando-os. Eles são desenvolvidos para alterar a forma como um computador opera, sem a permissão ou o conhecimento do usuário.

Tipos Principais de Vírus:

Os vírus de PC pertencem a três categorias principais:

  • Vírus de Programa (ou Parasitário): Infectam arquivos de programa que normalmente têm extensões como .COM, .EXE, .OVL, .DLL, .DVR, .SYS, .BIN e .BAT. Exemplos: Jerusalem e Cascade.
  • Vírus de Setor de Boot (ou de Inicialização): Infectam a área do sistema de um disco – ou seja, o registro de inicialização em disquetes e discos rígidos. Os vírus anexam-se a esta parte do disco e são ativados quando o usuário tenta iniciar o sistema a partir do disco infectado. Exemplos: Form, Disk Killer, Michelangelo e Stoned.
  • Vírus de Macro: Infectam arquivos de programas como Microsoft Office Word, Excel, PowerPoint e Access. Estes vírus utilizam a linguagem de programação interna desses programas (macros), criada para permitir que os usuários automatizem determinadas tarefas. Devido à facilidade com que podem ser criados, existem milhares deles espalhados.

Protocolo SNMP: Funcionamento e Componentes

O sistema de gerenciamento de redes da arquitetura Internet TCP/IP opera na camada de aplicação e baseia-se no protocolo SNMP (Simple Network Management Protocol). Cada objeto gerenciado é visto como uma coleção de variáveis cujo valor pode ser lido ou alterado.

O funcionamento do SNMP baseia-se na troca de mensagens (operações) que permitem que o gerente (manager) solicite que o agente (agent) lhe informe ou modifique o valor de uma variável de um objeto na MIB (Management Information Base). O SNMP define também uma operação trap, que permite que um agente informe ao gerente a ocorrência de um evento específico de forma assíncrona.

Principais Componentes do Modelo de Gerenciamento SNMP:

  • Entidade Gerenciadora (Manager): É uma aplicação, executada por uma estação central de gerenciamento (NMS - Network Management Station), que controla a coleta, o processamento, a análise e/ou a apresentação de informações de gerenciamento de rede.
  • Dispositivos Gerenciados (Managed Devices): Equipamentos que residem em uma rede gerenciada (ex: roteador, estação de trabalho, switch, hub, impressora ou modem) e que possuem um software agente SNMP. Os objetos gerenciados nesses dispositivos apresentam informações que são coletadas dentro de uma Base de Informações de Gerenciamento (Management Information Base – MIB).
  • Protocolo de Gerenciamento de Rede (SNMP): Este protocolo é executado entre a entidade gerenciadora e o agente de gerenciamento de rede dos dispositivos gerenciados. Permite que a primeira investigue o estado dos dispositivos gerenciados e tome ações sobre eles mediante seus agentes.

Gerenciamento de Redes: MIB e SMI

MIB (Management Information Base)

As informações sobre os objetos gerenciados são armazenadas na MIB (Management Information Base). A MIB contém informações sobre o funcionamento dos hosts, dos gateways e dos processos que executam os protocolos de comunicação (IP, TCP, ARP, etc.).

SMI (Structure of Management Information)

Uma SMI (Structure of Management Information) é uma estrutura de informação de gerenciamento que descreve o cenário no qual a MIB pode ser definida. A SMI, baseada na abordagem orientada a objetos, introduz os conceitos de hierarquia, herança, nomeação e registros usados na caracterização e identificação de objetos gerenciados. A SMI também define o conjunto de operações que pode ser realizado sobre os objetos gerenciados da MIB e o comportamento desses objetos mediante a execução dessas operações.

A SMI define os tipos de dados, um modelo de objeto e as regras para escrever e revisar informações de gerenciamento. Os objetos MIB são especificados nessa linguagem de definição de dados.

Warchalking: Símbolos e Significados

Warchalking é a prática de marcar locais físicos (como muros de edifícios) com giz, indicando a presença de redes sem fio (Wi-Fi) acessíveis e suas características. Os símbolos utilizados possuem legendas específicas:

  • Um símbolo específico (geralmente dois semicírculos opostos: )( ) indica uma rede aberta. Pode incluir informações como o SSID da rede e a largura de banda disponível.
  • Outro símbolo (geralmente um círculo com um "W" dentro: ) indica que existe uma rede sem fio fechada (sem acesso livre) no local.
  • Um terceiro símbolo (geralmente um círculo com "WEP" ou uma chave dentro) indica que existe uma rede sem fio protegida por WEP no local.

(Nota: Os símbolos exatos podem variar, mas seguem convenções estabelecidas pela comunidade warchalking.)

Elementos Essenciais da Segurança de Sistemas

Os elementos e requisitos fundamentais para a segurança de sistemas incluem:

  • Identificação e Autenticação: Distinguir, determinar e validar a identidade do usuário ou entidade (confirmar se é quem alega ser).
  • Controle de Acesso: Limitar e controlar o nível de autorizações de usuários ou entidades a uma rede, sistema ou informação.
  • Não-Repúdio (Irretratabilidade): Impedir que seja negada a autoria ou a ocorrência de um envio ou recepção de informação.
  • Confidencialidade: Proteção da informação contra descoberta ou interceptação não autorizada; garantia de privacidade.
  • Integridade: Impedir que a informação ou transmissão seja alterada ou danificada de forma não autorizada, imprevista ou acidental.
  • Disponibilidade: Garantir a confiabilidade de redes, sistemas e equipamentos para que estejam operacionais e acessíveis quando necessários, evitando interrupções ou permitindo uma rápida recuperação.

Política de Segurança da Informação (PSI): Definição e Estrutura

A Política de Segurança da Informação (PSI) fornece orientação e apoio da direção para a segurança da informação de uma organização. Esta política deve ser clara, alinhada com os objetivos do negócio e demonstrar apoio e comprometimento da alta gestão com a segurança da informação, por meio da sua publicação, divulgação e manutenção para toda a organização.

Estrutura da Política de Segurança da Informação:

A estrutura da PSI é tipicamente formada por:

  • Diretrizes: Metas gerais e princípios básicos que norteiam a segurança da informação na organização.
  • Normas: Controles específicos e regras obrigatórias a serem implantados para atender às diretrizes.
  • Procedimentos: Instruções detalhadas, passo a passo, para a execução de tarefas, configurações técnicas e processos relacionados à segurança.

Série ISO 27000 e Características da ISO 27001

As séries de padronização ISO/IEC 27000 foram reservadas para normas internacionais relacionadas à segurança da informação. Estas normas fornecem um framework para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI).

(O texto original menciona uma tabela com os principais padrões operacionais da ISO 27000, não incluída aqui.)

A norma ISO/IEC 27001 (cuja versão citada no contexto original pode ser a 2005, uma evolução da BS7799-2:2002) define os requisitos para um SGSI. Suas principais características incluem:

  • Define as melhores práticas para o gerenciamento da segurança da informação.
  • Adota uma abordagem baseada em processos para o SGSI.
  • Requer uma avaliação de riscos para identificar ameaças, vulnerabilidades e impactos.
  • Especifica controles de segurança (Anexo A) que podem ser selecionados para mitigar riscos.
  • Um Sistema de Gerenciamento de Segurança da Informação, conforme a ISO 27001, deve balancear a segurança física, técnica, procedimental e de recursos humanos (pessoal).
  • É uma norma certificável, permitindo que organizações demonstrem conformidade.
Karma: 13%
Visitas: 0

Entradas relacionadas:

Etiquetas:
validando identidade wireless sgsi - controle de acesso a rede warchalking e seus componentes de legendas segurança da informação • Principio de funcionamento dos protocolos de tunelamento:. wireless validando identidade ativo de segurança da informação (da ISO 27000 padroes ethernet todos iso 27001 redacao sobre segurança da informaçao através de redes virtuais diferença entre suporte de especificaçao e manutençao do sgsi warchalking e seus componentes 1.Que parâmetros podem ser usados para diferenciar as diversas redes? permissão de vpn em router wireless Existem dois sistemas básicos de criptografia vpn iso 27000 acesso remoto séries de padronização iso 27000 que problemas são causados pelo trafego excessivi de broadcast num segmento de rede o ciclo PDCA é uma excelente ferramenta de gestao tendo em vista wep wi-fi alliance identificar os requisitos de segurança para lans sem fio. gerencia de redes - padrão ieee 802.11