VISÃO GERAL
Uma ameaça consiste em uma
possível violação da segurança de um sistema.
Algumas das principais ameaças às redes de computadores são:
Algumas das principais ameaças às redes de computadores são:
- Destruição de informação
ou de outros recursos.
- Modificação ou deturpação da informação.
- Roubo, remoção ou perda de informação de outros recursos.
- Revelação de informação
- Interrupção de serviços
- Modificação ou deturpação da informação.
- Roubo, remoção ou perda de informação de outros recursos.
- Revelação de informação
- Interrupção de serviços
As ameaças podem ser
classificadas em: acidentais e intencionais ou ativas ou passiva.
- Acidentais -> Não estão
associadas à intenção premeditada.
Ex.: Descuidos operacionais e bugs de software e hardware.
Ex.: Descuidos operacionais e bugs de software e hardware.
- Intencionais -> Variam
desde a observação de dados com ferramentas simples de monitoramento
de redes, a ataques sofisticados baseados no conhecimento do funcionamento do sistema.
A realização de uma ameaça intencional configura um ataque.
de redes, a ataques sofisticados baseados no conhecimento do funcionamento do sistema.
A realização de uma ameaça intencional configura um ataque.
- Passivas -> São as que,
quando realizadas, não resultam em qualquer modificação nas informações contidas
em um sistema,
em sua operação ou em seu estado.
em sua operação ou em seu estado.
Ex.: Uma estação que
processa todos os quadros que recebe em uma rede local (inclusive os que não são
a ela endereçados).
- Ativas -> Alteração da
informação contida no sistema, ou modificações em seu estado ou operação.
Ex.: Uma estação de uma rede em anel que não retransmite mensagens quando deveria fazê-lo (ela não é a responsável pela retirada da mensagem do anel).
Ex.: Uma estação de uma rede em anel que não retransmite mensagens quando deveria fazê-lo (ela não é a responsável pela retirada da mensagem do anel).
Como já foi mencionado, a
materialização de uma ameaça intencional configura um ataque. Veja alguns dos
principais:
· Personificação - Quando
uma entidade faz-se passar por outra.
· Ataques internos - Ocorrem quando usuários legítimos comportam-se de modo não autorizado ou não esperado.
· Cavalos de tróia - Uma entidade executa funções não autorizadas, em adição às que está autorizada a executar.
· Ataques internos - Ocorrem quando usuários legítimos comportam-se de modo não autorizado ou não esperado.
· Cavalos de tróia - Uma entidade executa funções não autorizadas, em adição às que está autorizada a executar.
POR QUÊ Segurança de Rede ?
O termo segurança é usado
com o significado de minimizar a vulnerabilidade de bens
(qualquer coisa de valor) e recursos.
Vulnerabilidade é qualquer fraqueza que pode ser explorada para se violar um sistema
ou informações que ele contém.
A segurança está relacionada à necessidade de proteção contra o acesso ou manipulação,
intencional ou não, de informações confidenciais por elementos não autorizados, e a
utilização não autorizada do computador ou de seus dispositivos periféricos.
A necessidade de proteção deve ser definida em termos das possíveis ameaças e riscos
e dos objetivos de uma organização, formalizados nos termos de uma política de segurança.
(qualquer coisa de valor) e recursos.
Vulnerabilidade é qualquer fraqueza que pode ser explorada para se violar um sistema
ou informações que ele contém.
A segurança está relacionada à necessidade de proteção contra o acesso ou manipulação,
intencional ou não, de informações confidenciais por elementos não autorizados, e a
utilização não autorizada do computador ou de seus dispositivos periféricos.
A necessidade de proteção deve ser definida em termos das possíveis ameaças e riscos
e dos objetivos de uma organização, formalizados nos termos de uma política de segurança.
POLITÍCAS DE SEGURANÇA
Uma política de segurança é
um conjunto de leis, regras e práticas que regulam como uma organização
gerencia,
protege e distribui suas informações e recursos.
um dado sistema é considerado seguro em relação a uma política de segurança, caso garanta o comprimento das leis,
regras e práticas definidas nessa política.
Uma política de segurança deve incluir regras detalhadas definindo como as informações e recursos da organização
deve ser manipulados ao longo do seu ciclo de vida, ou seja, desde o momento que passam a existir
no contexto da organização até quando deixam de existir. A política de segurança define o que é,
e o que não é permitido em termos de segurança, durante a operação de um dado sistema.
Uma política de segurança poderá ser denominada das seguintes formas:
· Política de Segurança baseada em regras -> Apóia-se em informações sobre sensibilidade, ou seja, em um sistema
seguro, os dados ou recursos devem ser marcados com rótulos de segurança
que indicam seu nível de sensibilidade.
· Política de Segurança baseada na identidade -> Representam o tipo de controle de acesso mais encontrado nos computadores atuais.
A base desse tipo de segurança é que um indivíduo, ou processo operando sob seu controle, pode especificar explicitamente os tipos de acesso que outros indivíduos podem Ter
às informações e recursos sob seu controle.
protege e distribui suas informações e recursos.
um dado sistema é considerado seguro em relação a uma política de segurança, caso garanta o comprimento das leis,
regras e práticas definidas nessa política.
Uma política de segurança deve incluir regras detalhadas definindo como as informações e recursos da organização
deve ser manipulados ao longo do seu ciclo de vida, ou seja, desde o momento que passam a existir
no contexto da organização até quando deixam de existir. A política de segurança define o que é,
e o que não é permitido em termos de segurança, durante a operação de um dado sistema.
Uma política de segurança poderá ser denominada das seguintes formas:
· Política de Segurança baseada em regras -> Apóia-se em informações sobre sensibilidade, ou seja, em um sistema
seguro, os dados ou recursos devem ser marcados com rótulos de segurança
que indicam seu nível de sensibilidade.
· Política de Segurança baseada na identidade -> Representam o tipo de controle de acesso mais encontrado nos computadores atuais.
A base desse tipo de segurança é que um indivíduo, ou processo operando sob seu controle, pode especificar explicitamente os tipos de acesso que outros indivíduos podem Ter
às informações e recursos sob seu controle.
FORMAS DE SEGURANÇA
Uma política de segurança
pode ser implementada com a utilização de vários mecanismos.
Nesta seção mostraremos alguns dos principais mecanismos de segurança adequados a ambientes de comunicação de dados.
CRIPTOGRAFIA - Surgiu da necessidade de se enviar informações sensíveis através de meios de comunicação não confiáveis, ou seja, em meios onde não é possível garantir que um intruso não irá interceptar o fluxo de dados para leitura (intruso passivo) ou para modificá-lo (intruso ativo). A forma de contornar esse problema é utilizar um método que modifique o texto original da mensagem a ser transmitida(texto normal), gerando texto criptografado na origem, através de um processo de codificação definido por um método de criptografia. O texto (ou a mensagem) criptografado é então transmitido e, no destino, o processo inverso ocorre, isto é, o método de criptografia é aplicado agora para decodificar o texto criptografado transformando-o no texto normal original, como mostra a figura abaixo:
Da forma como foi apresentado, sempre que um intruso conseguisse descobrir o método utilizado (quebrasse o código de criptografia), seria necessário substituir o método de criptografia. Essa substituição envolve o desenvolvimento e a instalação dos procedimentos que implementam o novo método, treinamento do pessoal envolvido etc. Esse revés levou ao desenvolvimento do modelo apresentado a seguir.
No modelo acima o texto criptografado, gerado a partir do texto normal, varia de acordo com a chave de codificação utilizada para o mesmo método de criptografia. Isto é, para um mesmo texto normal e um mesmo método de criptografia, chaves diferentes produzem textos criptografados diferentes. Assim o fato de um intruso conhecer o método de criptografia não é condição suficiente para que ele possa recuperar o texto original a partir do texto criptografado, pois, para recuperar o texto original corretamente, é necessário fornecer ao procedimento responsável pela decodificação, tanto o texto criptografado quanto a chave de decodificação.
Nesta seção mostraremos alguns dos principais mecanismos de segurança adequados a ambientes de comunicação de dados.
CRIPTOGRAFIA - Surgiu da necessidade de se enviar informações sensíveis através de meios de comunicação não confiáveis, ou seja, em meios onde não é possível garantir que um intruso não irá interceptar o fluxo de dados para leitura (intruso passivo) ou para modificá-lo (intruso ativo). A forma de contornar esse problema é utilizar um método que modifique o texto original da mensagem a ser transmitida(texto normal), gerando texto criptografado na origem, através de um processo de codificação definido por um método de criptografia. O texto (ou a mensagem) criptografado é então transmitido e, no destino, o processo inverso ocorre, isto é, o método de criptografia é aplicado agora para decodificar o texto criptografado transformando-o no texto normal original, como mostra a figura abaixo:
Da forma como foi apresentado, sempre que um intruso conseguisse descobrir o método utilizado (quebrasse o código de criptografia), seria necessário substituir o método de criptografia. Essa substituição envolve o desenvolvimento e a instalação dos procedimentos que implementam o novo método, treinamento do pessoal envolvido etc. Esse revés levou ao desenvolvimento do modelo apresentado a seguir.
No modelo acima o texto criptografado, gerado a partir do texto normal, varia de acordo com a chave de codificação utilizada para o mesmo método de criptografia. Isto é, para um mesmo texto normal e um mesmo método de criptografia, chaves diferentes produzem textos criptografados diferentes. Assim o fato de um intruso conhecer o método de criptografia não é condição suficiente para que ele possa recuperar o texto original a partir do texto criptografado, pois, para recuperar o texto original corretamente, é necessário fornecer ao procedimento responsável pela decodificação, tanto o texto criptografado quanto a chave de decodificação.
Falaremos agora sobre alguns
tipos de criptografia, salientando que existem outros :
· Criptografia com chave secreta -> Consiste em substituir as letras de uma mensagem pela terceira letra após sua posição no alfabeto (considerando o a como sucessor do z).
Uma generalização desse método seria substituir as letras pela n-ésima letra após sua posição no alfabeto. Nesse caso, o texto criptografado produzido para um mesmo texto normal vai variar de acordo com o valor de n, que é a chave utilizada nos procedimentos de codificação e decodificação do método.
· Criptografia com chave secreta -> Consiste em substituir as letras de uma mensagem pela terceira letra após sua posição no alfabeto (considerando o a como sucessor do z).
Uma generalização desse método seria substituir as letras pela n-ésima letra após sua posição no alfabeto. Nesse caso, o texto criptografado produzido para um mesmo texto normal vai variar de acordo com o valor de n, que é a chave utilizada nos procedimentos de codificação e decodificação do método.
· Criptografia com chave pública -> Baseia-se na utilização
de chaves distintas: uma para a codificação (E) e outra para a decodificação
(D), escolhidas de forma que a derivação de D a partir de E seja, em termos
práticos, senão impossível, pelo menos muito difícil de ser realizada.
. Assinatura Digital - > Envolve dos procedimentos:
assinatura de uma unidade de dados e verificação da assinatura em uma unidade de
dados, ou seja, o primeiro procedimento baseia-se em informação privada (única e
secreta) do signatário. O segundo utiliza informação pública para reconhecer a
assinatura.
A característica essencial do mecanismo de assinatura digital é que ele deve garantir que uma mensagem assinada só pode Ter sido gerada com informações privadas do signatário. Portanto, uma vez verificada a assinatura com a chave pública, é possível posteriormente provar para um terceiro (juiz em um tribunal) que só o proprietário da chave privada poderia ter gerado a mensagem.
. Compromisso de Terceiro - > Baseia-se no conceito de um terceiro parceiro de confiança (uma espécie de tabelião ou notário) que atesta certas propriedades da informação intercambiada entre duas entidades, como sua origem, sua integridade, ou mesmo em que ela foi enviada ou recebida.
A característica essencial do mecanismo de assinatura digital é que ele deve garantir que uma mensagem assinada só pode Ter sido gerada com informações privadas do signatário. Portanto, uma vez verificada a assinatura com a chave pública, é possível posteriormente provar para um terceiro (juiz em um tribunal) que só o proprietário da chave privada poderia ter gerado a mensagem.
. Compromisso de Terceiro - > Baseia-se no conceito de um terceiro parceiro de confiança (uma espécie de tabelião ou notário) que atesta certas propriedades da informação intercambiada entre duas entidades, como sua origem, sua integridade, ou mesmo em que ela foi enviada ou recebida.
. Autenticação - > A escolha do mecanismo de autenticação
apropriado depende do ambiente onde se dará a autenticação. Em uma primeira
situação, os parceiros e os meios de comunicação são todos de confiança. Nesse
caso, a identificação de uma entidade par pode ser confirmada por uma senha(password).
Cabe mencionar que as senhas não protegem contra uso mal intencionado. Autenticação mútua pode ser implementada com a utilização de uma senha distinta em cada direção da comunicação. Na Segunda situação, cada entidade confia em seu parceiro, porém não confia no meio de comunicação.
Nesse caso a proteção contra ataques pode ser fornecida com o emprego de métodos de criptografia, como por exemplo, utilização de chave pública. Na terceira situação, as entidades não confiam nos seus parceiros (ou sentem que não poderão confiar no futuro) nem no meio de comunicação. Nesse caso, deves ser usadas técnicas que impeçam que uma entidade negue que enviou ou recebeu uma unidade de dados.
Ou seja, devem ser empregados mecanismos de assinatura digital, ou mecanismos que envolvam o compromisso de um terceiro confiável (notarization).
Cabe mencionar que as senhas não protegem contra uso mal intencionado. Autenticação mútua pode ser implementada com a utilização de uma senha distinta em cada direção da comunicação. Na Segunda situação, cada entidade confia em seu parceiro, porém não confia no meio de comunicação.
Nesse caso a proteção contra ataques pode ser fornecida com o emprego de métodos de criptografia, como por exemplo, utilização de chave pública. Na terceira situação, as entidades não confiam nos seus parceiros (ou sentem que não poderão confiar no futuro) nem no meio de comunicação. Nesse caso, deves ser usadas técnicas que impeçam que uma entidade negue que enviou ou recebeu uma unidade de dados.
Ou seja, devem ser empregados mecanismos de assinatura digital, ou mecanismos que envolvam o compromisso de um terceiro confiável (notarization).
. Controle de acesso - > Os mecanismos de controle de acesso
são usados para garantir que o acesso a um recurso é limitado aos usuários
devidamente autorizados. As técnicas utilizadas incluem a utilização de listas
ou matrizes de controles de acesso, que associam recursos a usuários
autorizados, ou passwords, capabilities e tokens associadas aos recursos, cuja
posse determina os direitos de acesso do usuário que as possui.
Integridade de dados - > Os mecanismos de controle de
integridade atuam em dois níveis: controle da integridade de unidade de dados
isoladas e controle da integridade de uma conexão, isto é, das unidade de dados
e da seqüência de unidades de dados transmitidas no contexto da conexão.
Para garantir a integridade dos dados, podem ser usadas as técnicas de detecção de modificações, normalmente associadas com a detecção de erros em bits, em blocos, ou erros de seqüência introduzidos por enlaces e redes de comunicação. Entretanto, se os cabeçalhos e fechos carregando as informações de controle não forem protegidas contra modificações, um intruso, que conheça as técnicas, pode contornar a verificação.
Portanto, para garantir a integridade é necessário manter confidenciais e íntegras as informações de controle usadas na detecção de modificações.
Para controlar modificações na seqüência de unidades de dados transmitidas em uma conexão, deve-se usar técnicas que garantam a integridade das unidades de dados (garantindo que as informações de controle não sejam corrompidas) em conjunto com informações de controle de seqüência. Esses cuidados, embora não evitem a modificação da cadeia de unidades de dados, garantem a detecção notificação dos ataques.
Para garantir a integridade dos dados, podem ser usadas as técnicas de detecção de modificações, normalmente associadas com a detecção de erros em bits, em blocos, ou erros de seqüência introduzidos por enlaces e redes de comunicação. Entretanto, se os cabeçalhos e fechos carregando as informações de controle não forem protegidas contra modificações, um intruso, que conheça as técnicas, pode contornar a verificação.
Portanto, para garantir a integridade é necessário manter confidenciais e íntegras as informações de controle usadas na detecção de modificações.
Para controlar modificações na seqüência de unidades de dados transmitidas em uma conexão, deve-se usar técnicas que garantam a integridade das unidades de dados (garantindo que as informações de controle não sejam corrompidas) em conjunto com informações de controle de seqüência. Esses cuidados, embora não evitem a modificação da cadeia de unidades de dados, garantem a detecção notificação dos ataques.
Controle de roteamento - > A possibilidade de controlar o
roteamento, especificando rotas preferenciais (ou obrigatórias) para a
transferência de dados, pode ser utilizada para garantir que os dados sejam
transmitidos em rotas fisicamente seguras ou para garantir que informação
sensível seja transportada em rotas cujos canais de comunicação forneçam os
níveis apropriados de proteção.
Segurança física e de pessoal - > Medidas que garantam a
integridade física dos recursos de um sistema são indispensáveis para garantir a
segurança do sistema como um todo. Procedimentos operacionais devem ser
definidos para delinear as responsabilidades do pessoal que interage com um dado
sistema.
A segurança de qualquer sistema depende, em última instância, da segurança física dos seus recursos e do grau de confiança do pessoal que opera o sistema, ou seja, não adianta utilizar mecanismos sofisticados de segurança se os intrusos puderem acessar fisicamente os recursos do sistema. Por exemplo, ] não adianta usar um esquema sofisticado de autenticação para impedir acessos remotos aos arquivos em um disco, se o intruso puder ter acesso físico à máquina e roubar seu disco rígido.
A segurança de qualquer sistema depende, em última instância, da segurança física dos seus recursos e do grau de confiança do pessoal que opera o sistema, ou seja, não adianta utilizar mecanismos sofisticados de segurança se os intrusos puderem acessar fisicamente os recursos do sistema. Por exemplo, ] não adianta usar um esquema sofisticado de autenticação para impedir acessos remotos aos arquivos em um disco, se o intruso puder ter acesso físico à máquina e roubar seu disco rígido.
Detecção e informe de eventos - > A detecção de eventos
relevantes no contexto da segurança inclui a detecção de aparentes violações à
segurança e deve incluir, adicionalmente, a detecção de eventos normais, como um
acesso bem-sucedido ao sistema(login). Esse mecanismo necessita do apoio de uma
função de gerenciamento que determina quais são os eventos que devem ser
detectados. A detecção de um evento relevante do ponto de vista da segurança
pode, por exemplo, provocar uma das seguintes ações: informe local ou remoto do
evento, registro do evento em um arquivo ou a execução de uma ação de
recuperação.
Registro de Eventos - > O registro de eventos que podem
significar ameaças à segurança de um sistema constitui-se em um importante
mecanismo de segurança, pois possibilita a detecção e investigação de possíveis
violações da segurança de um sistema, além de tornar possível a realização de
auditorias de segurança. Uma auditoria de segurança é uma revisão e exame dos
registros de atividades do sistema feita com o objetivo de testar a eficácia dos
mecanismos de controle do sistema para:
garantir a compatibilidade entre a política de segurança e os procedimentos operacionais, auxiliar na avaliação de danos e recomendar modificações nos mecanismos de controle, na política de segurança e nos procedimentos operacionais de um sistema, visando aumentar seu grau de proteção.
A auditoria de segurança envolve duas tarefas: o registro dos eventos relevantes no arquivo de auditoria de segurança (security audit log) e a análise das informações armazenadas nesse arquivo para geração de relatórios. Cabe esclarecer que a Segunda tarefa é uma função de gerenciamento de segurança,e não um mecanismo.O mecanismo de arquivamento de informações para auditoria de segurança deve permitir a definição de qual informação deve ser registrada, sob que condições a informação deve ser registrada, além da definição da sintaxe e semântica que devem ser usadas para representá-las.
garantir a compatibilidade entre a política de segurança e os procedimentos operacionais, auxiliar na avaliação de danos e recomendar modificações nos mecanismos de controle, na política de segurança e nos procedimentos operacionais de um sistema, visando aumentar seu grau de proteção.
A auditoria de segurança envolve duas tarefas: o registro dos eventos relevantes no arquivo de auditoria de segurança (security audit log) e a análise das informações armazenadas nesse arquivo para geração de relatórios. Cabe esclarecer que a Segunda tarefa é uma função de gerenciamento de segurança,e não um mecanismo.O mecanismo de arquivamento de informações para auditoria de segurança deve permitir a definição de qual informação deve ser registrada, sob que condições a informação deve ser registrada, além da definição da sintaxe e semântica que devem ser usadas para representá-las.
SERVIÇOS DE SEGURANÇA OSI
São empregados nas camadas em combinações apropriadas
usualmente junto com serviços e mecanismos que estão fora do escopo OSI, para
satisfazer os requisitos de uma política de segurança. Veja alguns serviços de
segurança OSI básicos.
Autenticação - > Trata autenticação de entidades que são parceiras em uma comunicação ou da autenticação da entidade que originou uma unidade de dados.
Controle de acesso - > O serviço de controle de acesso fornece proteção contra o uso não autorizado dos recursos cujo acesso se dê via sistema de comunicação de dados OSI.
Confidencialidade de dados - > O serviço de confidencialidade fornece proteção aos dados intercambiados no ambiente OSI contra revelação não autorizada da informação neles transportada.
Integridade de dados - > O serviço de integridade de dados, atua no sentido de proteger os dados intercambiados no ambiente OSI contra ataques ativos que implicam na modificação, remoção ou injeção não autorizada de unidade de dados. Esse serviço também é fornecido em diferentes níveis: em uma conexão com ou sem a opção de recuperação da informação original, em unidades de dados isoladas com e sem recuperação e em campos selecionados nas unidades de dados trocadas em serviços com ou sem conexão.
Ipedimento de rejeição - > O serviço de impedimento de rejeição atua impedindo a rejeição de serviços, através da prova da identidade das entidades que solicitam a execução de serviços, ou da prova que uma entidade de destino recebeu corretamente uma solicitação para realização de determinado serviço.
Autenticação - > Trata autenticação de entidades que são parceiras em uma comunicação ou da autenticação da entidade que originou uma unidade de dados.
Controle de acesso - > O serviço de controle de acesso fornece proteção contra o uso não autorizado dos recursos cujo acesso se dê via sistema de comunicação de dados OSI.
Confidencialidade de dados - > O serviço de confidencialidade fornece proteção aos dados intercambiados no ambiente OSI contra revelação não autorizada da informação neles transportada.
Integridade de dados - > O serviço de integridade de dados, atua no sentido de proteger os dados intercambiados no ambiente OSI contra ataques ativos que implicam na modificação, remoção ou injeção não autorizada de unidade de dados. Esse serviço também é fornecido em diferentes níveis: em uma conexão com ou sem a opção de recuperação da informação original, em unidades de dados isoladas com e sem recuperação e em campos selecionados nas unidades de dados trocadas em serviços com ou sem conexão.
Ipedimento de rejeição - > O serviço de impedimento de rejeição atua impedindo a rejeição de serviços, através da prova da identidade das entidades que solicitam a execução de serviços, ou da prova que uma entidade de destino recebeu corretamente uma solicitação para realização de determinado serviço.
SEGURANÇA NA INTERNET TCP/IP
O termo arquitetura de segurança de uma rede pode ser empregado com conotações diferentes. Para a Isso, uma arquitetura de segurança consiste na definição de conceitos e terminologia que formam um esquema básico para o desenvolvimento de protocolos. No caso da Internet, espera-se que a arquitetura de segurança forneça um conjunto de orientações mais concreto, voltado para projetistas de redes e desenvolvedores de produtos, e não apenas para projetistas de protocolos. Isso sugere que a arquitetura de segurança da Internet englobe não apenas definições de conceitos, como faz o padrão ISO, mas inclua adicionalmente orientações mais específicas sobre como e onde implementar os serviços de segurança na pilha de protocolos da Internet. Esta visão alinha-se com a filosofia da Internet que enfatiza a interoperabilidade entre sistemas, produzindo padrões que tendem a ser menos genéricos que os do ISO.
Definição dos serviços, mecanismos e ameaças - > Tudo indica que a segurança da Internet adotará a definição de serviços, mecanismos e ameaças do padrão ISO. Cabe entretanto destacar que a adoção da terminologia usada não implica na adoção dos mapeamentos dos serviços nas camadas e dos mecanismos nos serviços, propostos nesse padrão.
Além dos princípios de segurança OSI, serão considerados adicionalmente princípios orientados para a escolha de mecanismos. Alguns desses princípios são.
· Os mecanismos de segurança devem ser escaláveis, tendo capacidade e potencial para acompanhar o crescimento da comunidade Internet.
· Os mecanismos devem Ter sua segurança apoiada na tecnologia que os suporta, por exemplo, em algoritmos e protocolos que sejam seguros, isto é, que não possuam falhas intrínsecas.
· Os mecanismos de segurança não devem restringir a topologia da rede.
· Mecanismos de segurança que não sejam sujeitos às restrições de controle de exportação ou patentes devem ter preferência.
· É sabido que muitos mecanismos de segurança necessitam de uma infra-estrutura de apoio, o gerenciamento dessa infra-estrutura pode ser tão ou mais complexo que a implementação do mecanismo. Assim, deve-se dar preferência a tecnologias de segurança que possam compartilhar uma infra-estrutura de segurança comum.
· Algoritmos de criptografia selecionados para padronização na Internet devem ser amplamente conhecidos, devendo ser dada preferência aos que tiverem sido exaustivamente testados.
O termo arquitetura de segurança de uma rede pode ser empregado com conotações diferentes. Para a Isso, uma arquitetura de segurança consiste na definição de conceitos e terminologia que formam um esquema básico para o desenvolvimento de protocolos. No caso da Internet, espera-se que a arquitetura de segurança forneça um conjunto de orientações mais concreto, voltado para projetistas de redes e desenvolvedores de produtos, e não apenas para projetistas de protocolos. Isso sugere que a arquitetura de segurança da Internet englobe não apenas definições de conceitos, como faz o padrão ISO, mas inclua adicionalmente orientações mais específicas sobre como e onde implementar os serviços de segurança na pilha de protocolos da Internet. Esta visão alinha-se com a filosofia da Internet que enfatiza a interoperabilidade entre sistemas, produzindo padrões que tendem a ser menos genéricos que os do ISO.
Definição dos serviços, mecanismos e ameaças - > Tudo indica que a segurança da Internet adotará a definição de serviços, mecanismos e ameaças do padrão ISO. Cabe entretanto destacar que a adoção da terminologia usada não implica na adoção dos mapeamentos dos serviços nas camadas e dos mecanismos nos serviços, propostos nesse padrão.
Além dos princípios de segurança OSI, serão considerados adicionalmente princípios orientados para a escolha de mecanismos. Alguns desses princípios são.
· Os mecanismos de segurança devem ser escaláveis, tendo capacidade e potencial para acompanhar o crescimento da comunidade Internet.
· Os mecanismos devem Ter sua segurança apoiada na tecnologia que os suporta, por exemplo, em algoritmos e protocolos que sejam seguros, isto é, que não possuam falhas intrínsecas.
· Os mecanismos de segurança não devem restringir a topologia da rede.
· Mecanismos de segurança que não sejam sujeitos às restrições de controle de exportação ou patentes devem ter preferência.
· É sabido que muitos mecanismos de segurança necessitam de uma infra-estrutura de apoio, o gerenciamento dessa infra-estrutura pode ser tão ou mais complexo que a implementação do mecanismo. Assim, deve-se dar preferência a tecnologias de segurança que possam compartilhar uma infra-estrutura de segurança comum.
· Algoritmos de criptografia selecionados para padronização na Internet devem ser amplamente conhecidos, devendo ser dada preferência aos que tiverem sido exaustivamente testados.
Mapeamento dos mecanismos nos serviçose dos serviços nas
camadas da arquitetura internet - > O mapeamento dos mecanismos nos serviços de
segurança proposto pela ISO também deverá ser usado como ponto de partida para o
mapeamento na arquitetura de segurança da Internet, embora, no ambiente
Internet, a lista de mecanismos deva ser mais específica, fornecendo orientações
mais concretas aos projetistas de protocolos.
Relacionamento das aplicações internet com os serviços e
mecanismos de segurança - > O mapeamento dos serviços nas camadas é o núcleo da
arquitetura de segurança OSI, onde o mapeamento dos mecanismos nos serviços tem
um papel secundário, apresentando, assim, um caráter mais informativo do que
normativo. O Privacy and Security Research Group (PSGR) da Internet Research
Task Force achou por bem incorporar à arquitetura Internet um mapeamento
adicional,
que enfoca aplicações específicas da rede, usualmente definidas como um protocolo ou uma classe de protocolos. Para cada aplicação, são caracterizadas os requisitos de segurança e uma tecnologia de segurança específica. Por exemplo, um conjunto de protocolos e uma infra-estrutura de suporte, são identificados como apropriados para fornecer os serviços de segurança requisitados. Esse mapeamento é um refinamento e uma composição dos mapeamentos
entre camadase serviços e entre mecanismos e serviços OSI, capturando a essência da arquitetura de segurança da Internet.
O mapeamento entre mecanismos de segurança e aplicações, em alguns casos, baseia-se no exame de um protocolo de aplicação específico, porém, na maior parte dos caso, baseia-se nos requisitos percebidos em qualquer protocolo que fornece um determinado serviço de rede. Em alguns casos protocolos específicos podem ser citados como apropriados para fornecer o mecanismo de segurança necessário. Em outros, é identificado um vazio em termos de funcionalidade
que enfoca aplicações específicas da rede, usualmente definidas como um protocolo ou uma classe de protocolos. Para cada aplicação, são caracterizadas os requisitos de segurança e uma tecnologia de segurança específica. Por exemplo, um conjunto de protocolos e uma infra-estrutura de suporte, são identificados como apropriados para fornecer os serviços de segurança requisitados. Esse mapeamento é um refinamento e uma composição dos mapeamentos
entre camadase serviços e entre mecanismos e serviços OSI, capturando a essência da arquitetura de segurança da Internet.
O mapeamento entre mecanismos de segurança e aplicações, em alguns casos, baseia-se no exame de um protocolo de aplicação específico, porém, na maior parte dos caso, baseia-se nos requisitos percebidos em qualquer protocolo que fornece um determinado serviço de rede. Em alguns casos protocolos específicos podem ser citados como apropriados para fornecer o mecanismo de segurança necessário. Em outros, é identificado um vazio em termos de funcionalidade
Correio eletrônico - > Os
serviços de segurança necessários para o correio eletrônico na Internet deverão
incluir confidencialidade e integridade em transmissões sem conexão,
autenticação das mensagens, e impedimento da rejeição pelo destinatário ou
remetente.
Serviço de diretórios - > Existem dois modelos de serviços de
diretórios que podem ser usados na Internet: o Domain Name System - DNS e o
X.500. Os requisitos de Serviços de segurança são bem definidos para o X.500,
que incorpora em seu protocolo mecanismos de segurança para implementar esses
serviços. Por outro lado, não existe uma definição explícita dos serviços de
segurança para o DNS, que, consequentemente, não possui mecanismos de segurança.
Provavelmente, se o DNS for aumentado para incorporar recursos de segurança, seus requisitos de segurança serão muito semelhantes aos do X.500. São esses requisitos: autenticação da origem dos dados,
controle de integridade em transmissões sem conexão para proteger as consultas e respostas ao diretório, controle de acesso para permitir o armazenamento dos dados no diretório com a confiança que esses dados só serão modificados por usuários autorizados, ou administradores, e que dados sensíveis não serão revelados para usuários não autorizados. Espera-se que, no ambiente Internet, as políticas de controle de acesso baseadas na identidade dos usuários sejam mais relevantes que as baseadas em verificação de rótulos. Todos esses serviços são fornecidos pelo X.500 através de mecanismos implementados no protocolo de aplicação. Além desses serviços,
em alguns casos pode ser necessário garantir a confidencialidade dos dados no diretório. Esse último serviço pode ser fornecido nos níveis de rede ou transporte.
Provavelmente, se o DNS for aumentado para incorporar recursos de segurança, seus requisitos de segurança serão muito semelhantes aos do X.500. São esses requisitos: autenticação da origem dos dados,
controle de integridade em transmissões sem conexão para proteger as consultas e respostas ao diretório, controle de acesso para permitir o armazenamento dos dados no diretório com a confiança que esses dados só serão modificados por usuários autorizados, ou administradores, e que dados sensíveis não serão revelados para usuários não autorizados. Espera-se que, no ambiente Internet, as políticas de controle de acesso baseadas na identidade dos usuários sejam mais relevantes que as baseadas em verificação de rótulos. Todos esses serviços são fornecidos pelo X.500 através de mecanismos implementados no protocolo de aplicação. Além desses serviços,
em alguns casos pode ser necessário garantir a confidencialidade dos dados no diretório. Esse último serviço pode ser fornecido nos níveis de rede ou transporte.
Gerenciamento de redes - >,/font> O protocolo de
gerenciamento de redes na Internet é o SNMP. Melhoramentos recentes no SNMP,
SNMP Versão 2, provêem suporte a um conjunto de requisitos de segurança. Os
serviços de segurança que passaram a ser fornecidos foram: confidencialidade e
integridade (com proteção contra reenvio postergado - replay) na transmissão de
datagramas, autenticação da origem de dados e controle de acesso baseado na
identidade. Esses serviços são empregados na proteção contra violações de
intercâmbio de informações de gerenciamento, e para proteger os objetos
gerenciados contra tentativas de manipulação não autorizada.
Servidores de arquivos - > Servidores de arquivos são
implementados por sistemas com o NFS da Sun e o Andrew File System, e
distinguem-se dos protocolos para transferência de arquivos por fornecer um
conjunto de serviços mais rico, que inclui o acesso randônico a partes de um
arquivo. Os requisitos de segurança nesses sistemas incluem : a integridade e a
confidencialidade no intercâmbio de datagramas, a autenticação de parceiros, e o
controle de acesso (baseado em identidade). Alguns desses serviços(confidencialidade
e integridade) podem ser fornecidos por protocolos do nível de rede e de
transporte. Entretanto, a granularidade necessária para o controle de acesso,
por exemplo, a nível de arquivo ou diretório, é obviamente mais fina do que a
que pode ser fornecida nos níveis da rede e de transporte. Como até o momento
não foram definidos padrões para protocolos de segurança que suportam essa
aplicação, ainda não há recomendação para os servidores de arquivos na
arquitetura de segurança da Internet.
Roteamento - > O roteamento na Internet é realizado por
protocolos como o BGP, EGP e OSPF. Todos esses tipos de protocolos possuem
requisitos de segurança semelhantes: autenticação de parceiros e integridade no
intercâmbio de datagramas carregando informações de roteamento. Caso seja
preciso proteger as informações sobre a topologia das redes, é necessário
garantir a confidencialidade dos datagramas.
A maior parte desses serviço pode ser fornecida com a utilização de mecanismos genéricos da camada de rede, ou podem ser construídos especificamente para os protocolos de roteamento. Nesse caso, a granularidade da autenticação e do controle de acesso é claramente atingida pelas informações de identificação fornecidas nessa camada.
A variedade dos protocolos de roteamento torna óbvio os benefícios de se utilizar mecanismos de segurança comuns fornecidos na camada de rede.
O serviço de confidencialidade do fluxo de tráfego ponto a ponto pode ser fornecido aos usuários pelo roteador, utilizando mecanismos do nível físico. Porém, para garantir confidencialidade quando os pacotes atravessam vários roteadores em seu caminho, é necessário usar o serviço de confidencialidade no nível de rede.
A maior parte desses serviço pode ser fornecida com a utilização de mecanismos genéricos da camada de rede, ou podem ser construídos especificamente para os protocolos de roteamento. Nesse caso, a granularidade da autenticação e do controle de acesso é claramente atingida pelas informações de identificação fornecidas nessa camada.
A variedade dos protocolos de roteamento torna óbvio os benefícios de se utilizar mecanismos de segurança comuns fornecidos na camada de rede.
O serviço de confidencialidade do fluxo de tráfego ponto a ponto pode ser fornecido aos usuários pelo roteador, utilizando mecanismos do nível físico. Porém, para garantir confidencialidade quando os pacotes atravessam vários roteadores em seu caminho, é necessário usar o serviço de confidencialidade no nível de rede.
Barreiras de proteção - FireWalls - >
Um mecanismo muito usado na prática para aumentar a segurança de redes ligadas à
Internet é o firewall, que é uma espécie de barreira de proteção.
A utilização de barreiras de proteção fundamenta-se no fato de que normalmente a segurança é inversamente proporcional a complexidade. Assim, proteger máquinas de uso geral onde são executados diferentes aplicações, de variados portes , é uma tarefa complicada,
pois é muito improvável que nenhuma das várias aplicações apresente falhas que possam ser exploradas para violar a segurança do sistema. Assim fica muito mais fácil garantir a segurança isolando as máquinas de uso geral de acessos externos, usando uma barreira de proteção, ou firewalls, que impeça a exploração das possíveis falhas. O princípio da simplicidade tem como conseqüência a seguinte consideração: para diminuir os riscos, a configuração dos firewalls deve ser minimizada, excluindo tudo que não seja estritamente necessário.
Um firewall é definido [Cheswick 94] como uma coleção de componentes, colocada entre duas redes, que coletivamente possua as seguintes propriedades:
A utilização de barreiras de proteção fundamenta-se no fato de que normalmente a segurança é inversamente proporcional a complexidade. Assim, proteger máquinas de uso geral onde são executados diferentes aplicações, de variados portes , é uma tarefa complicada,
pois é muito improvável que nenhuma das várias aplicações apresente falhas que possam ser exploradas para violar a segurança do sistema. Assim fica muito mais fácil garantir a segurança isolando as máquinas de uso geral de acessos externos, usando uma barreira de proteção, ou firewalls, que impeça a exploração das possíveis falhas. O princípio da simplicidade tem como conseqüência a seguinte consideração: para diminuir os riscos, a configuração dos firewalls deve ser minimizada, excluindo tudo que não seja estritamente necessário.
Um firewall é definido [Cheswick 94] como uma coleção de componentes, colocada entre duas redes, que coletivamente possua as seguintes propriedades:
· Todo tráfego de dentro para fora da rede, e vice versa,
passa pelo firewall.
· Só o tráfego autorizado pela política de segurança pode
atravessar o firewall .
· O firewall deve ser à prova de violações.
Um firewall pode ser visto como um monitor de referências
para uma rede, sendo seu objetivo garantir a integridade dos recursos ligados a
ela.
A centralização demanda uma administração mais cuidadosa por parte dos administradores do sistema da(s) máquina(s) que implementa(m) o firewall. Enquanto as máquinas de uso geral são configuradas para otimizar o desempenho e a facilidade de utilização, no firewall tudo isso passa para o segundo plano, cedendo lugar ao seu objetivo principal no sistema: a segurança. Um firewall, em geral, consiste nos componentes mostrados na figura abaixo.
Os filtros (screens) bloqueiam a transmissão de certas classes de tráfego. O componente gateway é uma máquina, ou um conjunto de máquinas conectadas por um segmento de rede, que fornecem serviços de retransmissão . O filtro colocado na saída (entre a rede externa e o gateway) é usado para proteger o gateway de ataques externos, enquanto o filtro interno protege a rede interna das conseqüências de um ataque que tenha conseguido comprometer o funcionamento o funcionamento do gateway. Assim, os dois filtros atuando isoladamente, ou em conjunto, protegem a rede interna de ataques externos. Um gateway do firewall que pode ser acessado a partir da rede externa é chamado de bastion host. Cabe reafirmar que, fisicamente, os filtros e o gateway podem ser implementados em uma única máquina, ou em um conjunto de máquinas ligadas por um segmento de rede.
A centralização demanda uma administração mais cuidadosa por parte dos administradores do sistema da(s) máquina(s) que implementa(m) o firewall. Enquanto as máquinas de uso geral são configuradas para otimizar o desempenho e a facilidade de utilização, no firewall tudo isso passa para o segundo plano, cedendo lugar ao seu objetivo principal no sistema: a segurança. Um firewall, em geral, consiste nos componentes mostrados na figura abaixo.
Os filtros (screens) bloqueiam a transmissão de certas classes de tráfego. O componente gateway é uma máquina, ou um conjunto de máquinas conectadas por um segmento de rede, que fornecem serviços de retransmissão . O filtro colocado na saída (entre a rede externa e o gateway) é usado para proteger o gateway de ataques externos, enquanto o filtro interno protege a rede interna das conseqüências de um ataque que tenha conseguido comprometer o funcionamento o funcionamento do gateway. Assim, os dois filtros atuando isoladamente, ou em conjunto, protegem a rede interna de ataques externos. Um gateway do firewall que pode ser acessado a partir da rede externa é chamado de bastion host. Cabe reafirmar que, fisicamente, os filtros e o gateway podem ser implementados em uma única máquina, ou em um conjunto de máquinas ligadas por um segmento de rede.
Os firewalls são classificados em três categorias principais:
Filtros de pacotes, Gateways de circuitos e Gateways de aplicação.
· Filtros de pacote - > Utilizam endereços IP de origem e de
destino, e portas UDP e TCP para tomar decisões de controle de acesso. O
administrador elabora uma lista de máquinas e serviços que estão autorizados a
transmitir datagramas nos possíveis sentidos de transmissão(entrando na rede
interna, saindo da rede interna ou ambos), que é então usada para filtrar os
datagramas IP que tentam atravessar o firewall. Um exemplo de política de
filtragem de pacotes seria: permitir o tráfego de datagramas carregando
mensagens de SMTP e DNS nas duas direções, tráfego Telnet só para pacotes saindo
da rede interna e impedir todos os outros tipos de tráfego.
· Gateways de circuito ->
Atua como intermediário de conexões TCP, funcionando como um proxy TCP (um TPC
modificado). Para transmitir dados através do firewall, o usuário origem
conecta-se a uma porta TCP no gateway, que por sua vez, conecta-se, usando outra
conexão TCP, ao usuário destino. Um circuito é formado por uma conexão TCP na
rede interna e outra na rede externa, associadas pelo gateway de circuito. O
processo que implementa esse tipo de gateway atua repassando bytes de conexão
para outra, fechando o circuito. Para que seja estabelecido um circuito, o
usuário de origem deve fazer uma solicitação ao gateway no firewall, passando
como parâmetros a máquina e o serviço de destino. O gateway então estabelece o
circuito ou, em caso contrário, retorna um código informando o motivo do não
estabelecimento. Note que é necessário que o usuário de origem utilize um
protocolo simples para comunicar-se com o gateway, esse protocolo é um bom local
para implementar, por exemplo, um mecanismo de autenticação.
· Gateways de
aplicação - > Utilizam implementações especiais das
aplicações, desenvolvidas especificamente para funcionar de forma segura. Devido
a grande flexibilidade dessa abordagem, ela é a que pode fornecer o maior grau
de proteção. Por exemplo, um gateway FTP pode ser programado para restringir as
operações de transferência a arquivos fisicamente localizados no bastion host.
Assim, os usuários externos só podem ter acesso aos arquivos disponibilizados
nessa máquina (um bastion host).
CURIOSIDADE
Quando a Intel (maior fabricante de microprocessadores do mundo) anunciou como ia ser o seu novo chip, muita gente ficou de cabelo em pé. Pentium III viria com um código inviolável que identificaria máquina e dono. A empresa achou que ia abafar. Afinal, se alguém roubasse o micro, daria para saber pela Internet onde ele foi parar - quem vai querer um Pentium III e ficar desplugado ? O chip aumentaria ainda a segurança do comércio eletrônico, funcionando como um RG. Só que logo percebeu-se que isso acabaria com a privacidade na rede, pois todo micro poderia ser devassado pela Intel. Houve uma gritaria e a empresa teve de voltar atrás. Resultado: o tal código será opcional. www.pentiumiii.com
Quando a Intel (maior fabricante de microprocessadores do mundo) anunciou como ia ser o seu novo chip, muita gente ficou de cabelo em pé. Pentium III viria com um código inviolável que identificaria máquina e dono. A empresa achou que ia abafar. Afinal, se alguém roubasse o micro, daria para saber pela Internet onde ele foi parar - quem vai querer um Pentium III e ficar desplugado ? O chip aumentaria ainda a segurança do comércio eletrônico, funcionando como um RG. Só que logo percebeu-se que isso acabaria com a privacidade na rede, pois todo micro poderia ser devassado pela Intel. Houve uma gritaria e a empresa teve de voltar atrás. Resultado: o tal código será opcional. www.pentiumiii.com
0 Comentários
Deixe seu comentário sobre o artigo a cima fique á vontade, seu comentário é muito importante !