Mecanismos de controle de acesso

Os mecanismos de segurança da informação são responsáveis pela concretização das políticas de segurança nos sistemas computacionais. Desta forma, as políticas de segurança – e os comportamentos que recomendam, expressos através de modelos de segurança –, são implantadas por mecanismos de segurança da informação. Tais mecanismos exercem os controles (físicos e/ou lógicos) necessários para garantir que as propriedades de segurança (confidencialidade, integridade e disponibilidade) sejam mantidas em conformidade com as necessidades do negócio. (LENTO, SILVA E LUNG, 2006).

Conceito: Os modelos de segurança da informação correspondem a descrições formais do comportamento de um sistema que atua segundo regras de uma política de segurança. Estes modelos são representados na forma de um conjunto de entidades e relacionamentos. (GOGUEN, 1982).

Os controles usados por esses sistemas podem ser físicos ou lógicos. Acompanhe, a seguir, a descrição de cada um destes.

  • Controles Físicos: São barreiras que limitam o contato ou acesso direto à informação ou à infraestrutura (que garante a existência da informação) que a suporta.
  • Controles Lógicos: São barreiras que impedem ou limitam o acesso à informação, que está em ambiente controlado, geralmente eletrônico, e que, de outro modo, ficaria exposta à alteração não autorizada por elemento mal intencionado.

Antes de discutir os mecanismos de controle de acesso, é necessário entender o que é controle de acesso. Desta forma, este conceito será apresentado a seguir bem como evidenciado seu funcionamento em um sistema computacional.

Controle de Acesso

O controle de acesso é responsável por limitar as ações ou operações que um usuário de um sistema computacional pode executar, restringindo o que ele pode fazer diretamente, como também os programas que podem ser executados em seu nome.

A figura 1 apresenta o esquema básico do controle de acesso exercido através de mecanismos em um sistema computacional.

Controle de Acesso

Controle de Acesso

Na efetivação do controle de acesso, são usados mecanismos que recebem o nome de Monitor de Referências (ANDERSON, 1972), e que atuam em vários níveis de um sistema. As referências a segmentos de memória são validadas nas camadas inferiores do sistema, através do hardware.

O sistema operacional, por sua vez, através do seu serviço de arquivos, valida os acessos a arquivos no sistema.

Importante
O monitor de referência é o mediador de toda tentativa de acesso de sujeitos aos objetos do sistema, consultando as regras da política para verificar se as solicitações de acesso são permitidas. Essas regras são mantidas pelo administrador de segurança (ou de sistema), tendo como base uma política de segurança.

O monitor de referência, como responsável na intermediação de todas as requisições de acesso a objetos de um sistema, resulta na definição de núcleo de segurança. (LANDWEHR, 1983).

Este núcleo, que envolve um conjunto de mecanismos de hardware e software, permite a concretização da noção de um monitor de referências, e, por isso, deve possuir algumas propriedades, como:

  • ser inviolável;
  • incontornável (sempre ativado nas requisições de acesso); e,
  • pequeno o suficiente para permitir a verificação de sua correção.

Os sistemas de controle de acesso podem ser diferenciados via suas políticas e seus mecanismos de acesso.

As políticas de acesso são direcionamentos de alto nível, baseadas nas necessidades dos proprietários dos recursos ou ainda das organizações. A partir destas definições de alto nível, devem ser geradas permissões que determinam como os acessos à informação serão controlados em todos os níveis do sistema. (LENTO, SILVA e LUNG, 2006).

Firewall

Devido às diversas necessidades de se garantir a segurança do ambiente computacional, foram criados mecanismos de segurança de controle de acesso a ele, dentre outros, o Firewall, compondo assim os diversos perímetros de segurança de um sistema computacional.

O Firewall é um dos principais, mais conhecidos e antigos mecanismos de segurança. Às vezes temos uma falsa expectativa em relação a ele, no que diz respeito à segurança da informação na organização.

Várias definições podem ser encontradas sobre esse mecanismo de segurança. Filho (2009) define-o como um dispositivo de segurança que tem como objetivo filtrar o que é, ou não, permitido ser acessado de dentro da sua rede ou para dentro da sua rede. Funciona, de acordo com essa compreensão, como uma barreira que impõe limites e controla o tráfego de dados entre um ou mais computadores e uma rede externa (Internet, rede vizinha, etc.).

Entretanto, segundo Zwicky, Cooper e Chapman (2000), os firewalls são definidos como barreiras interpostas entre a rede privada e a rede externa, com a finalidade de evitar intrusos (ataques). Isto é, são mecanismos (dispositivos) de segurança que protegem dos perigos (ameaças) a que o sistema está exposto, os recursos de hardware e software da empresa.

Por fim, atualmente pode-se dizer que o firewall é um sistema integrado, utilizado em redes de computadores para a sua proteção; é composto por filtros de pacotes, filtros de estados, IDS, IPS, proxies, etc., e segue a política de segurança estabelecida pela empresa.

A figura 2 apresenta uma arquitetura de firewall que objetiva proteger a rede interna da rede externa. Pode-se notar que todo o tráfego que entra e sai para a Internet passa pelo firewall. Este analisa tal tráfego e libera, ou não, o acesso às informações desse tráfego.

Arquitetura de Firewall

Arquitetura de Firewall

Outra forma de melhor visualizar um firewall é enxergá-lo como os antigos fossos que eram colocados em volta de castelos, para a proteção dos mesmos. Todo e qualquer tráfego que chega ou sai da rede interna de informações tem que passar por ele. Nele, no firewall, estão implementadas todas as regras que permitem este tráfego (trafego de e-mails, transferência de arquivos, logins remotos, etc.).

Segundo Zwicky, Cooper e Chapman (2000), o firewall apresenta vários propósitos, como:

  • restringir o acesso de usuários externos à rede interna. A verificação é realizada cuidadosamente, via um ponto de controle;
  • prevenir contra ataques; e,
  • restringir que usuários internos da rede tenham acesso à Internet e a sites não autorizados.

Logicamente, um firewall é um separador, um delimitador e um analisador. A sua implementação física varia de empresa para empresa, em conformidade com as necessidades da mesma. Normalmente, ele é composto por um conjunto de dispositivos de hardware (roteadores, computadores, ou a combinação dos dois) com um software adequado. Entretanto alguns produtos comerciais colocam a solução de firewall dentro de uma única caixa chamada de appliance.

Zwicky, Cooper e Chapman (2000) apresentam quatro atividades gerais que o firewall pode realizar, descritas na sequência.

Ser um foco para as decisões de segurança – todo o tráfego que entra na rede e sai dela deve passar pelo firewall, transformando-se em um ponto de estrangulamento, pois verifica todo esse tráfego. Pode-se dizer, então, que:

  • o firewall aumenta sensivelmente o grau de segurança da rede, porque possibilita concentrar as medidas de segurança num ponto;
  • analisando desta forma, é mais eficiente trabalhar assim do que espalhar decisões de segurança e tecnologias em volta da rede; e,
  • apesar de custar, às vezes, algumas dezenas ou centenas de milhares de reais para ser implementada, a maioria das empresas consideram mais barato concentrar esforços de hardware e software em um firewall do que despender recursos em outras medidas de segurança.

Forçar a aplicação da política de segurança – exerce a função da polícia do tráfego da rede, admitindo que somente serviços autorizados passem, e dentro de regras pré-estabelecidas.

Gerenciar eficientemente as atividades na Internet – isto se deve ao fato de que todo o tráfego passa pelo firewall, possibilitando um bom local para a coleta de informação sobre o sistema e sobre o uso da rede.

Limitar a exposição da rede – pode ser utilizado para manter uma seção da rede separada de outra seção, sendo utilizado, inclusive, dentro da empresa, objetivando, por exemplo, controlar o acesso aos serviços oferecidos pelo sistema computacional.

Além de descreverem o que o firewall pode realizar, Zwicky, Cooper e Chapman (2000) também citam o que este mecanismo de controle de segurança não pode realizar.

Veja, a seguir, uma lista de itens que o Firewall não pode realizar.

  • Não pode proteger contra usuários internos mal intencionados – ele nada pode fazer contra danos de hardware, software, cópias de dados, etc. É preciso ter uma política para a proteção das máquinas internas.
  • Não pode proteger a empresa, de conexões que não passam por ele.
  • Não protege contra novas ameaças – ele é projetado para as ameaças conhecidas, não se defendendo de novas ameaças de forma automática.
  • Não protege contra vírus – os firewalls não mantêm os vírus de computadores fora da rede. É uma verdade dizer que os firewalls varrem o tráfego que chega à rede e nem sempre oferecem proteção contra vírus. Isto se deve ao fato de que reconhecer um vírus num pacote aleatório passando via um firewall é muito difícil. É que, para realizar esse reconhecimento, faz-se necessário:
    • reconhecer que o pacote é parte de um programa;
    • determinar a qual programa ele pode pertencer;
    • determinar qual mudança no programa é realizada por causa do vírus;
  • Não pode ser configurado automaticamente – ele necessita de toda uma configuração realizada pelo gerente de segurança. A sua má configuração consiste numa sensação de falsa segurança.

Aplicando as estratégias de segurança com o firewall

Privilégio Mínimo

Este talvez seja o princípio mais fundamental de segurança. Basicamente, significa que qualquer objeto (usuário, administrador, programa, sistema, etc.) deveria ter somente os privilégios necessários para a realização das suas tarefas e nada mais.

O firewall pode, por exemplo, ser utilizado para restringir os acessos aos recursos do sistema computacional somente a usuários que necessitem dos mesmos.

Defesa em profundidade

Segundo Zwicky, Cooper e Chapman (2000), defesa em profundidade é a possibilidade de se estabelecerem vários pontos de defesa durante o acesso ao ambiente interno. Não se deve depender apenas de um mecanismo de segurança, não importando o quão forte ele pareça ser, porque a falha deste mecanismo singelo pode vir a comprometer toda a segurança do sistema.

O firewall de uma empresa poderá ter várias camadas. Esta estratégia permite que o sistema tolere mais falhas na segurança. Analise o exemplo a seguir.

  • Uma arquitetura com múltiplos filtros de pacotes – dois roteadores: um, externo, conectado diretamente à Internet; um, interno, conectado diretamente à rede privada; e, entre eles, um bastion host.
  • Esta arquitetura é configurada de forma a dois filtros realizarem tarefas diferentes.
  • É quase comum que o segundo filtro seja configurado para rejeitar os pacotes que o primeiro, supostamente, deveria ter rejeitado (redundância de regras de filtragem nos roteadores). Caso o primeiro filtro esteja trabalhando de forma adequada, os pacotes nunca alcançarão o segundo filtro. Portanto, se o primeiro filtro não estiver funcionando adequadamente, por sorte o segundo poderá resolver o problema.
  • Caso deseje que pessoas não recebam emails, configure os filtros para que os pacotes não saiam. Retire os programas das máquinas.

Ponto de passagem obrigatória (Choke Point)

Esta estratégia força os atacantes do sistema de informação a passarem por um canal, o qual pode ser monitorado e controlado.

O firewall, posicionado entre a Empresa e a Internet, quando é o único ponto de acesso à rede privada, constitui-se em um ponto de passagem obrigatória, porque os atacantes somente terão este caminho de acesso. Logo, pode-se realizar uma análise cuidadosa destes ataques, com a finalidade de se tomar providências quanto a novas defesas.

Falha Segura

A falha segura consiste na técnica que estabelece a seguinte premissa: se um sistema falhar, ele irá falhar de tal forma que será negado o acesso do atacante ao sistema.

Se um firewall falha devido a um ataque, ele impede que o atacante continue o seu ataque (Type enforcement). Esta é uma técnica utilizada para implementar sistemas fail safe, no qual, se o firewall falhar, tanto os pacotes do intruso como os dos demais usuários não poderão trafegar, sem que o ataque se alastre mais.

Esta técnica evita que, ao tornarem-se inoperantes (seja por hardware ou software), dispositivos os quais estejam realizando filtragem de pacotes liberem- nos para os serviços serem realizados.

Políticas de adoção de regras no firewall

Nega tudo como padrão – especifica somente o que é permitido e proíbe todo o resto.

A figura 3 apresenta uma aplicação desta estratégia no iptables (solução de firewall adotada no Linux ), no qual o pacote é analisado por cada regra descrita pelo firewall. No caso de o pacote não atender a nenhuma das regras, o mesmo é descartado.

Estratégia de negar tudo

Estratégia de negar tudo

Permite tudo como padrão – em tal situação, normalmente é especificado somente o que é proibido; e, permitido todo o restante. Torna a vida do administrador de segurança mais complicada, porque, a todo instante, ele deve se preocupar em tapar os possíveis buracos existentes na segurança.

A figura 4 apresenta a aplicação desta estratégia no iptables. Os pacotes que são analisados e aqueles que não se adequarem a nenhuma das regras serão aceitos pelo firewall.

Estratégia de aceita tudo

Estratégia de aceita tudo

Diversidade de defesas – ligada diretamente à defesa de profundidade, há a necessidade de várias defesas, mas que estas defesas também sejam de vários tipos.

Uma forma simples de implementar esta tecnologia consiste numa arquitetura que possui dois sistemas de filtro de pacotes, no qual a diversidade de defesa baseia-se na utilização de diferentes fornecedores. Porém esta arquitetura é fácil de ser quebrada, porque o intruso poderá explorar o problema da mesma forma nos dois filtros.

Problemas da utilização da defesa de profundidade

A utilização de sistemas de segurança de diferentes fornecedores pode reduzir as chances de existir um bug ou erro de configuração comum aos diferentes sistemas. No exemplo citado anteriormente, caso os dois packet filters utilizados sejam do mesmo tipo, fica mais fácil para o atacante, pois ele poderá explorar o mesmo problema da mesma forma em ambos.

É importante que se tenha cuidado com diferentes sistemas configurados pela mesma pessoa (ou grupo de pessoas), pois é provável que os mesmos erros cometidos na configuração de um sistema estejam presentes nos outros, devido à compreensão conceitual errada sobre alguns aspectos.

O uso da defesa de profundidade é reconhecido, por alguns sites, como um grande aumento da sua segurança. Porém a diversidade de defesa é mais problemática que benéfica, principalmente pela necessidade do domínio e investimento em mais de uma tecnologia, onde o ganho de potencial e a melhora da segurança não valem o custo do projeto.

Referências

ANDERSON, James P. Computer security technology planning study report ESD-TR-73-51. Electronic Systems Division. Local:?,1972. Disponível em: http://seclab.cs.ucdavis.edu/ projects/history/CD/ande72b.pdf Acesso em Jun. de 2011.

GOGUEN J. A. e MESAJUER J. Security policies and security models, proceedings of IEEE symposium on reseach in security and privacy. Disponível em: <http://publique.rdc.pucrio. br/rdc/cgi/cgilua.exe/sys/start.htm?infoid=266&sid=26>. Acesso em: Maio. 1982.

LENTO B., Silva J. e LUNG, C. A nova geração de modelos de controle de acesso em sistemas computacionais. Simpósio Brasileiro de Segurança – SBSeg, 2006, p. 152-201.

ZWICKY, Elizabeth D.; COOPER, SIMON e CHAPMAN, D. Brent. Building internet firewalls. Local: ?,Ed. O’Reilly, 2000.

FILHO, André Sato. Linux controle de redes. Local?, Ed. Visual Books, 2009.

FILHO, João Eriberto Mota. Firewall com Iptables. Disponível em: <www.eriberto.pro.br/iptables>. Acesso em: set. 2010.

Autor: Luiz Otávio Botelho Lento

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: EC-Council CEH, CompTIA (Security+, CySA+ e Pentest+), EXIN (EHF e ISO 27001), MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação e Ethical Hacking.

2 Responses to “Mecanismos de controle de acesso”

  1. Vejo que seus conhecimentos são profundos quanto o assunto abordado .estou fazendo um curso básico sobre Informatica , gostaria de suas idéias para me ajudar no meu TCC.
    Entre em contato no meu gmail.
    Dayane Vanderléia

Deixe um comentário para Diego Macêdo Cancelar resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *