Segurança de redes de computadores

Ao se conectar um computador a uma rede, é necessário que tome as providencias para se certificar que esta nova máquina conectada possa não vir a ser um “portão” que servirá de entrada de invasores, ou seja, de pessoas que estão mal intencionadas, procurando prejudicar alguém ou até mesmo paralisar a rede inteira.

Embora haja sistemas que conseguem fornecer um grau de segurança elevado, mesmo sendo bem configurado ainda estará vulnerável.

Ataques

Um ataque, ao ser planejado, segue um plano de estratégia sobre o alvo desejado, e uma pessoa experiente em planejamento de ataque sempre traça um roteiro a ser seguido a fim de alcançar o objetivo. Um exemplo de roteiro organizado para atacar é exemplificado a seguir:

  • Localizar o alvo desejado;
  • Concentrar o máximo de informações possíveis sobre o alvo, geralmente utilizando alguns serviços da própria rede, ou até mesmo, ferramentas utilizadas na administração e gerenciamento da rede alvo;
  • Disparar o ataque sobre o alvo, a fim de invadir o sistema, explorando a vulnerabilidade do sistema operacional, servidores e serviços oferecidos pela rede. O invasor pode até mesmo abusar um pouco da sorte tentando adivinhar uma senha na máquina alvo, fazendo combinações possíveis;
  • Não deixar pistas da invasão, pois geralmente as ações realizadas pelos invasores são registradas no sistema alvo em arquivos de log, possibilitando que o administrador do sistema invadido possa vir a descobrir a invasão, a não ser que o invasor se preocupe em eliminar todos e quaisquer vestígios que o incriminem;
  • O invasor deve conseguir não somente senhas de usuários comuns, pois os privilégios destes usuários são limitados, não dando acesso a recursos mais abrangentes no sistema. Com isso, é de grande importância que o invasor consiga uma senha de administrador, pois terá todos os recursos de gerenciamento do sistema disponíveis, para alterações e até mesmo gerar bug no sistema. Instalar ferramentas que façam a captura de senhas de forma clandestina aos olhos do administrador, para isso existem programas que conseguem rodar em segundo plano sem que a vítima perceba, podendo ser colocados na pasta usada pela vítima;
  • Criar caminhos alternativos de invasão, logo que a administradora do sistema encontrar uma “porta aberta” que permita a invasão esta será fechada, mas se o invasor gerar outras maneiras de invadir o sistema, certamente terá outra chance de invasão, já que teve a preocupação de criar novas rotas alternativas;
  • Utilizar a máquina invadida como “portão de entrada” para invasão de outras máquinas da rede e até mesmo do computador central.

Tipos de Ataques

Acompanhe agora o glossário preparado pelo Baixaki para explicar cada termo designado para os ataques e técnicas realizados por usuários deste gênero. Também não podemos nos esquecer de muitos outros termos relacionados aos aplicativos e arquivos que são apenas um peso para os computadores, aqueles que nem deveriam ter sido lançados, mas incomodam a vida de todos.

Adware: este tipo de arquivo malicioso nem sempre é baixado por acidente para o seu computador. Alguns programas carregados de propagandas que só as eliminam após a aquisição de uma licença também são considerados adwares. Em suma, um adware é um aplicativo que baixa ou exibe, sem exigir autorização, anúncios na tela do computador.

Application-Layer Attack: os “ataques na camada de aplicação” podem ser feitos tanto em servidores remotos quanto em servidores de rede interna. São ataques nas comunicações dos aplicativos, o que pode gerar permissões de acesso aos crackers em computadores infectados. Aplicativos que utilizam base de dados online (como Adobe Reader) também podem ser atingidos.

Backdoor: traduzindo literalmente, “porta dos fundos”. São falhas de segurança no sistema operacional ou em aplicativos, que permitem que usuários acessem as informações dos computadores sem que sejam detectados por firewalls ou antivírus. Muitos crackers aproveitam-se destas falhas para instalar vírus ou aplicativos de controle sobre máquinas remotas.

Black Hat: o mesmo que “Cracker”. São os usuários que utilizam os conhecimentos de programação para causar danos em computadores alheios.

Bloatware: os “softwares bolha” não são considerados aplicativos de invasão. Na verdade, são programas que causam perda de espaço livre nos computadores por serem muito maiores do que deveriam ser. Ou possuem muitas funções, mas poucas que são realmente funcionais. Alguns dos softwares considerados Bloatwares são iTunes, Windows Vista e Nero.

Bluebugging: é o tipo de invasão que ocorre por meio de falhas de segurança em dispositivos Bluetooth. Com equipamentos de captura de sinal Bluetooth e aplicativos de modificação sem autorização, crackers podem roubar dados e senhas de aparelhos celulares ou notebooks que possuam a tecnologia habilitada.

Botnet: são computadores “zumbis”. Em suma, são computadores invadidos por um determinado cracker, que os transforma em um replicador de informações. Dessa forma torna-se mais difícil o rastreamento de computadores que geram spams e aumentam o alcance das mensagens propagadas ilegalmente.

Crapware: sabe quando você compra um computador pré-montado e ele chega à sua casa com algumas dúzias de aplicativos que você não faz ideia da funcionalidade? Eles são chamados de crapware (em português: software porcaria) e são considerados um “bônus” pelas fabricantes, mas para os usuários são poucos os aplicativos interessantes.

Compromised-Key Attack: são ataques realizados para determinadas chaves de registro do sistema operacional. Quando o cracker consegue ter acesso às chaves escolhidas, pode gerar logs com a decodificação de senhas criptografadas e invadir contas e serviços cadastrados.

Data Modification: alteração de dados. O invasor pode decodificar os pacotes capturados e modificar as informações contidas neles antes de permitir que cheguem até o destinatário pré-definido.

Denial of Service (DoS): “Ataque de negação de serviços” é uma forma de ataque que pretende impedir o acesso dos usuários a determinados serviços. Alvos mais frequentes são servidores web, pois os crackers visam deixar páginas indisponíveis. As consequências mais comuns neste caso são: consumo excessivo de recursos e falhas na comunicação entre sistema e usuário.

Distributed Denial of Service (DDoS): o mesmo que DoS, mas realizado a partir de vários computadores. É um DoS distribuído.

DNS poisoning: “envenenamento do DSN” pode gerar alguns problemas graves para os usuários infectados. Quando ataques deste tipo ocorrem, os usuários atingidos conseguem navegar normalmente pela internet, mas seus dados são todos enviados para um computador invasor que fica como intermediário.

“Drive by Java”: aplicativos maliciosos “Drive-by-download” são arquivos danosos que invadem os computadores quando os usuários clicam sobre alguns anúncios ou acessam sites que direcionam downloads sem autorização. O “Drive-by-Java” funciona da mesma maneira, mas em vez de ser por downloads, ocorre devido à contaminação de aplicativos Java.

Hacker: são usuários mais curiosos do que a maioria. Eles utilizam essa curiosidade para buscar brechas e falhas de segurança em sistemas já criados. Com esse processo, conseguem muito aprendizado e desenvolvem capacidades de programação bastante empíricas. Quando utilizam estes conhecimentos para causar danos passam a ser chamados de crackers.
ICMP Attack: ataques gerados nos protocolos de controle de mensagens de erro na internet. Um computador com o IP alterado para o endereço de outro usuário pode enviar centenas ou milhares de mensagens de erro para servidores remotos, que irão enviar respostas para o endereço com a mesma intensidade. Isso pode causar travamentos e quedas de conexão no computador vitimado.

ICMP Tunneling: podem ser criados túneis de verificação em computadores invadidos, por meio da emissão de mensagens de erro e sobrecarga da conexão. Com isso, arquivos maliciosos podem passar sem interceptações de firewalls do computador invadido, passando por esses “túneis” de maneira invisível.

IP Spoofing: é uma técnica utilizada por crackers para mascarar o IP do computador. Utilizando endereços falsos, os crackers podem atacar servidores ou computadores domésticos sem medo de serem rastreados, pois o endereço que é enviado para os destinatários é falso.

Keylogging: é uma prática muito utilizada por ladrões de contas bancárias. Aplicativos ocultos instalados no computador invadido geram relatórios completos de tudo o que é digitado na máquina. Assim, podem ser capturados senhas e nomes de acesso de contas de email, serviços online e até mesmo Internet Banking.

Lammer: é o termo utilizado por hackers mais experientes para depreciar crackers inexperientes que utilizam o trabalho de outros para realizar suas invasões. Não se limitam a invadir sites, quando o fazem modificam toda a estrutura e até assinam as “obras” em busca de fama na comunidade.

Logic Bomb: este termo pode ser empregado em dois casos. O primeiro refere-se a programas que expiram após alguma data e então deixam de apresentar algumas de suas funcionalidades. O segundo, mais grave, é utilizado em casos de empresas que utilizam aplicativos de terceiros e quando os contratos são rompidos, estes softwares ativam funções danosas nos computadores em que estavam instalados.

Malware: qualquer aplicativo que acessa informações do sistema ou de documentos alocados no disco rígido, sem a autorização do administrador ou usuário, é considerado um malware. Isso inclui vírus, trojans, worms, rootkits e vários outros arquivos maliciosos.

Man-in-the-Middle-Atack: este tipo de ataque ocorre quando um computador intercepta conexões de dois outros. Cliente e servidor trocam informações com o invasor, que se esconde com as máscaras de ambos. Em termos mais simples: pode ser um interceptador de uma conversa de MSN, que passa a falar com os dois usuários como se fosse o outro.

Password-based Attacks: é o tipo de ataque gerado por programas criados no intuito de tentar senhas repetidas vezes em curtos intervalos de tempo. Criando instabilidades na verificação do logon referido, podem ser geradas duplicatas de senhas ou logons válidos.

Ping of Death: um invasor realiza constantes Pings na máquina invadida para causar travamentos na banda e até mesmo para travar o computador. É um tipo de ataque Denial of Service.

Phishing: mensagens de email enviadas por spammers são criadas com interfaces e nomes que fazem referência a empresas famosas e conhecidas, como bancos. Nestas mensagens são colocados links disfarçados, que dizem ser prêmios ou informações sobre a empresa em questão, mas na verdade são arquivos maliciosos.

Phreaker: os hackers de telefonia. São responsáveis pelo roubo de sinal de outros aparelhos e também por desbloquear aparelhos famosos, como é o caso dos especializados em desbloqueio do iPhone.

Pod Slurping: é o nome atribuído às práticas de roubo de informações por meio de dispositivos portáteis pré-configurados para a atividade. Podem ser utilizados pendrives, iPods e muitos outros aparelhos de armazenamento portátil. Há ataques diretos desta maneira e também ataques que apenas abrem portas dos computadores para invasões.

Port Scanning: atividade realizada por Port scanners. É a varredura de servidores em busca de portas vulneráveis para a invasão posterior.

Repudiation Attacks: quando aplicativos ou sistemas não são criados com os comandos corretos de rastreamento de logs, crackers podem utilizar isso para remodelar os envios de comandos. Assim, podem ser modificados os dados de endereçamento das informações, que são enviadas diretamente para servidores maliciosos.

Rootkit: tipo de malware que se esconde nas bases do sistema operacional, em localidades que não podem ser encontradas por antivírus comuns. São utilizados para interceptar solicitações do sistema operacional e alterar os resultados.

Scareware: malwares que são acessados pelos usuários mais desavisados, pois ficam escondidos sobre banners maliciosos. Podem ser percebidos em páginas da web que mostram informações do tipo: “Você está infectado, clique aqui para limpar sua máquina”.

Session hijacking: roubo de sessão. Ocorre quando um usuário malicioso intercepta cookies com dados do início da sessão da vítima em algum serviço online. Assim, o cracker consegue acessar a página do serviço como se fosse a vítima e realizar todos os roubos de informações e modificações que desejar.

Scanners: são softwares que varrem computadores e sites em busca de vulnerabilidades.

Script Kiddy: o mesmo que Lammer.

Server Spoofing: o mesmo que IP Spoofing, mas direcionado a servidores VPN.

Sidejacking: prática relacionada ao Session hijacking, mas geralmente com o invasor e a vítima em uma mesma rede. Muito frequentes os ataques deste tipo em hotspots Wi-Fi sem segurança habilitada.

Shovelware: é o tipo de aplicativo que se destaca mais pela quantidade de funcionalidades do que pela qualidade das mesmas. Muitos conversores multimídia fazem parte deste conceito de shovelware.

SMiShing: similar a phishing, mas destinado a celulares (SMS).

Smurf: o mesmo que ICMP Attack.

Sniffer Attack: tipo de ataque realizado por softwares que capturam pacotes de informações trocados em uma rede. Se os dados não forem criptografados, os ofensores podem ter acesso às conversas e outros logs registrados no computador atacado.

Snooping: invasões sem fins lucrativos, apenas para “bisbilhotar” as informações alheias.

Social Engineering (Engenharia Social): é o ato de manipular pessoas para conseguir informações confidenciais sobre brechas de segurança ou mesmo sobre senhas de acesso a dados importantes.

Spam: mensagens enviadas em massa para listas conseguidas de maneira ilegal. Geralmente carregam propagandas sobre pirataria de medicamentos. Também podem conter atalhos para páginas maliciosas que roubam listas de contatos e aumentam o poder de ataque dos spammers.

Spoof: mascarar informações para evitar rastreamento.

Spyware: são aplicativos (malwares) instalados sem o consentimento dos usuários. Eles são utilizados para capturar informações de utilização e navegação, enviando os logs para os invasores. Keyloggers fazem parte desta denominação.

TCP Syn / TCP ACk Attack: ataques realizados nas comunicações entre servidor e cliente. Sendo enviadas mais requisições do que as máquinas podem aguentar, a vítima é derrubada dos servidores e perde a conexão estabelecida. Podem ocorrer travamentos dos computadores atingidos.

TCP Sequence Number Attack: tentativas de previsão da sequência numérica utilizada para identificar os pacotes de dados enviados e recebidos em uma conexão. Quando é terminada com sucesso, pode emular um servidor falso para receber todas as informações do computador invadido.

TCP Hijacking: roubo de sessão TCP entre duas máquinas para interferir e capturar as informações trocadas entre elas.

Teardrop: uma forma de ataque Denial of Service. Usuários ofensores utilizam IPs inválidos para criar fragmentos e sobrecarregar os computadores vitimados. Computadores mais antigos podiam travar facilmente com estes ataques.

Trojan: tipo de malware que é baixado pelo usuário sem que ele saiba. São geralmente aplicativos simples que escondem funcionalidades maliciosas e alteram o sistema para permitir ataques posteriores.

Vírus: assim como os vírus da biologia, os vírus de computador não podem agir sozinhos. Anexam-se a outros arquivos para que possam ser disseminados e infectar mais computadores. São códigos que forçam a duplicação automática para aumentar o poder de ataque e, assim, criar mais estrago.

White Hat: hackers éticos.

Worm: funcionam de maneira similar aos vírus, mas não precisam de outros arquivos hospedeiros para serem duplicados. São arquivos maliciosos que podem replicar-se automaticamente e criar brechas nos computadores invadidos. Disseminam-se por meio de redes sem segurança.

Proteção

Um Firewall e um conjunto de políticas de segurança que tem como objetivo tentar fazer uma segurança eficiente, mas sabendo que esta segurança nunca será cem porcento. E alem disso existe um Firewall software.

Uma das grandes preocupações na área de segurança de redes é a vulnerabilidade de um computador, que pode comprometer as transmissões pelo meio físico da rede na qual o mesmo está ligado. Muito se tem feito para que o equipamento computacional (host) esteja seguro, impedindo o acesso indevido a seus dados e monitorando qualquer tentativa de invasão. Entretanto, um outro método tem se mostrado bastante eficiente: impedir que informações indesejadas entrem na rede como um todo.

Não é um método substituto à segurança do host, mas complementar, e consiste no seguinte: na ligação da rede interna com Internet, instala-se um equipamento que permitirá, ou não, a entrada e saída de informação, baseada em uma lista de permissões e restrições, devidamente configuradas para suprir as necessidades básicas de comunicação da rede interna com a Internet e vice-versa. Nem mais nem menos. Esta configuração é a chave do sucesso ou fracasso de um firewall.

É importante lembrar que o firewall deve estar presente em todas as conexões da rede com a Internet. Não adianta nada colocar um firewall super sofisticado na ligação do backbone se dentro da rede interna, existe um micro conectado com outra rede.

A utilização de um firewall implica na necessidade de conectar uma Intranet ao mundo externo, a Internet. Para tanto, podemos formular um projeto de firewall específico, implicando em algumas perguntas que se fazem necessárias quando da aquisição destas políticas:

  • Gostaríamos que usuários baseados na Internet fizessem upload ou download de arquivos de ou para o servidor da empresa?
  • Há usuários específicos (como concorrentes) aos quais desejamos negar acesso?
  • A empresa publicará uma página Web?
  • O site proverá suporte Telnet a usuários da Internet?
  • Os usuários da Intranet da empresa deverão ter acesso a Web sem restrições?
  • Serão necessárias estatísticas sobre quem está tentando acessar o sistema através do firewall?
  • Há pessoal empenhado na monitoração da segurança do firewall?
  • Qual o pior cenário possível, caso uma ameaça atinja a Intranet?
  • Os usuários precisam se conectar a Intranets geograficamente dispersas?

Construir um firewall é decidir quais políticas de segurança serão utilizadas, ou seja, que tipo de tráfego irá ou não ser permitido na Intranet. Podemos escolher entre um roteador que irá filtrar pacotes selecionados, ou usar algum tipo de software proxy que será executado no computador, além de outras políticas. No geral, uma arquitetura firewall pode englobar as duas configurações, podendo assim maximizar a segurança da Intranet, combinando um roteador e um servidor proxy no firewall.

As três arquiteturas de firewall mais populares são: Dual-Homed Host Firewall, Screened Host Firewall e Screened Subnet Firewall, sendo que os dois últimos usam uma combinação de roteadores e servidores proxy.

Dual-Homed Host Firewall

É uma configuração simples, porém muito segura, na qual dedicamos um computador host como fronteira entre a Intranet e a Internet. O computador host usa duas placas de rede, separadas, para se conectar a cada rede, conforme mostra a figura abaixo. Usando um firewall deste tipo, é necessário desativar as capacidades de roteamento do computador, para que ele não “conecte” as duas redes. Uma das desvantagens desta configuração é a facilidade de ativar inadvertidamente o roteamento interno.

Dual-Homed Host Firewall

Dual-Homed Host Firewall

O Dual-Homed Host Firewall funciona rodando um proxy a nível de circuito ou a nível de aplicativo. Conforme visto anteriormente, o software proxy controla o fluxo de pacotes de uma rede para outra. Como o computador host é dual-homed (conectado às duas redes), o firewall host vê os pacotes de ambas, o que permite rodar o software proxy para controlar o tráfego entre elas.

Screened-Host Firewall

Muitos projetistas de rede consideram os screened-host firewalls mais seguros do que os Dual-Homed Host Firewalls, isto porque, acrescentando um roteador e colocando um computador host fora da Internet, é possível ter um firewall bastante eficaz e fácil de manter. A figura abaixo mostra um Screened-Host Firewall.

Screened-Host Firewall

Screened-Host Firewall

Como podemos ver, um roteador conecta a Internet à Intranet e, ao mesmo tempo, filtra os tipos de pacotes permitidos. Podemos configurar o roteador para que ele veja somente um computador host na rede Intranet. Os usuários da rede que desejarem ter acesso à Internet deverão fazer isso por meio deste computador host, enquanto que o acesso de usuários externos é restringido por este computador host.

Screened-Subnet Firewall

Uma arquitetura Screened-Subnet isola ainda mais a Intranet da Internet, incorporando uma rede de perímetro intermediário. Em um Screened-Subnet Firewall, o computador host é colocado na rede de perímetro, onde os usuários poderão acessá-lo por dois roteadores separados. Um roteador controla o tráfego da Intranet e o outro, o tráfego na Internet.

Screened-Subnet Firewall

Screened-Subnet Firewall

Um Screened-Subnet Firewall proporciona formidável defesa contra ameaças. Como o firewall isola o computador host em uma rede separada, ele reduz o impacto de uma ameaça para este computador, minimizando ainda mais a chance da rede interna ser afetada.

A filtragem de pacotes é a maneira mais simples de se construir um firewall. Geralmente utilizadas em roteadores, as listas de acesso têm uma ótima relação custo X benefício: os roteadores já possuem estas facilidades, basta sentar e aprender a configurá-los; a filtragem é bem eficiente, invisível e rápida (se o roteador for de boa qualidade).

Mas então o que vamos configurar? Os roteadores (que toda rede em conexão com Internet possui) tem um papel muito simples: interligar duas ou mais redes e fazer o transporte de pacotes de informações de uma rede para outra, conforme sua necessidade. Mas muitos destes roteadores, além de identificar o destino do pacote e encaminhá-lo na direção certa, elas checam ainda: a direção dos pacotes; de onde veio e para onde vai (rede interna e Internet); endereço de origem e destino; tipo de pacote; portas de conexão; flags do pacote e etc.

Estes pontos de conexão da Internet com a rede interna podem receber uma série de regras para avaliar a informação corrente. São as listas de acesso que definem o que deve e o que não deve passar por este ponto de conexão.

Baseado nisto podemos definir uma política para segurança da rede. A primeira opção seria liberar tudo e negar serviços perigosos; a segunda seria negar tudo e liberar os serviços necessários. Sem dúvidas a segunda é mais segura, entretanto, os funcionários da rede interna podem precisar acessar livremente a Internet como forma de trabalho, e a manutenção desta lista seria tão trabalhosa, visto que a proliferação de programas na Internet é muito grande que, em pouco tempo estaríamos em um emaranhado de regras sem sentido.

Pensando nas dificuldades de configuração e falta de recursos dos roteadores para a implementação dos filtros de pacotes, muitos fabricantes criaram ferramentas para fazer este tipo de filtragem, desta vez baseada em um host (computador) específico para esta tarefa, localizada nos pontos de conexão da rede interna com a Internet.

Os chamados filtros inteligentes são aplicações executadas em, por exemplo, computadores ligados ao roteador e à rede interna. O tráfego de um lado para outro se dá (ou não) conforme as regras estabelecidas nas aplicações. Apesar de esta solução requerer um equipamento extra, ela nos dá uma série de vantagens sobre os filtros baseados em roteador, principalmente no que diz respeito à monitoração de acesso.

Roteadores que possuem algum tipo de log, não guardam informações muito precisas sobre as tentativas de conexão na (ou da) rede interna, enquanto os filtros inteligentes possuem vários níveis de logs, nos quais é possível (e bastante recomendável) perceber os tipos de tentativa de acesso, e até definir certas ações caso um evento em especial relacionado à segurança aconteça.

Uma outra característica interessante dos filtros inteligentes é a tentativa de implementar um controle de pacotes UDP, guardando informações sobre eles e tentando “improvisar” o flag ACK. Montando-se uma tabela de pacotes UDP que passam, pode-se comparar os pacotes UDP que retornam e verificar se eles são uma resposta ou se são uma tentativa de novo contato.

Mais uma vez vale a pena lembrar que: nem mesmo os filtros inteligentes são substitutos para a segurança dos computadores internos. Fica fácil visualizar a quantidade de problemas se seus computadores da rede interna não apresentarem nenhum nível de segurança e o firewall for comprometido. Lembre-se: “Nenhum colete à prova de bala lhe protegerá se alguém enfiar o dedo no seu olho…”.

O servidor proxy tem duas funções, a primeira e fazer com que a internet enxergue a intranet apenas como um maquina, com isso tornando a rede segura e a outra função é armazenar paginas web para sua rede interna caso precise de atualizações o servidor proxy vai buscar na internet.

Neste sistema, temos um gateway (computador que faz uma ligação) entre o nosso computador e o servidor que desejamos acessar. Esse gateway possui uma ligação com a rede externa e outra com a rede interna. Tudo que passa de uma rede para outra deve, obrigatoriamente, passar pelo gateway. O fato de terem duas ligações lhe confere o nome de “Gateway de Base Dupla”.

O seu funcionamento é simples, mas de funcionalidade trabalhosa: Vamos supor que nós queremos acessar um servidor de FTP em uma rede que possua este gateway de base dupla. Primeiro, nós precisamos nos conectar ao Proxy (gateway), e dele nos conectar ao servidor FTP. Ao baixar o arquivo, este não chegará direto até nós, e sim até o Proxy. Depois de encerrada a transferência do arquivo até o Proxy, nós o transferimos, do Proxy até o nosso computador. O conceito é relativamente simples, mas isto implica em alguns problemas.

Há um outro tipo de Proxy que facilita um pouco as coisas: os proxies de aplicação. Este, ao invés de fazerem com que o usuário se conecte com o destino através do Proxy, permite ao usuário a conexão através do seu próprio computador para que transfira as informações diretamente, desde que passe nas regras estabelecidas no Proxy de aplicação. Ao se conectar no Proxy de aplicação, este oferece as opções que o usuário tem disponível na rede, nada mais, e isto diminui a chance de “livre arbítrio” do usuário, como acontece nos gateways simples ou de base dupla, em que o usuário tem acesso ao sistema para se conectar a máquinas internas da rede.

Entretanto, uma das principais vantagens destes proxies é a capacidade de “esconder” a verdadeira estrutura interna da rede. Vejamos como: ao tentar conectar a uma rede que possui este tipo de Proxy, eu não preciso saber nada além do número IP deste servidor. De acordo com o tipo de serviço pedido pela minha conexão, o servidor de Proxy a encaminha para o servidor que trata deste serviço, que retorna para o Proxy, que me responde o serviço.

Criptografia em Redes de Computadores

Podemos então garantir uma comunicação segura na rede através da implantação de criptografia. Podemos, por exemplo, implantar a criptografia na geração dos pacotes, ou seja, apenas as mensagens enviadas de máquina para máquina serão criptografadas. O único problema disso continua sendo a escolha das chaves. Se implementarmos criptografia com chave simples (uma única para criptografar e descriptografar) temos o problema de fazer com que todas as máquinas conheçam esta chave, e mesmo que isso possa parecer fácil em uma rede pequena, redes maiores que não raramente atravessam ruas e avenidas ou mesmo bairros isto pode ser inviável. Além no mais, talvez queiramos estabelecer conexões confiáveis com máquinas fora de nossa rede e não será possível estabelecer uma chave neste caso e garantir que somente as máquinas envolvidas na comunicação a conhecem.

Se, contudo, criptografarmos as mensagens com chave pública e privada, temos o problema de conhecer todas as chaves públicas de todas as máquinas com quem queremos estabelecer comunicação. Isto pode ser difícil de controlar quando são muitas maquinas.

Questões de Concursos

(Prova: FGV – 2010 – BADESC – Analista de Sistemas – Suporte Técnico e Gerência de Redes de Computadores) Atualmente tem sido observado o aumento de tentativas e violações que comprometem a segurança das redes e da Internet. Uma ferramenta utilizada por hackers para capturar dados digitados pelas vítimas é um software analisador de tráfego, que inspeciona pacotes de dados que circulam pela rede e extrai informações deles. Esse programa é conhecido por:
a) trojan
b) sniffer
c) cookie
d) spoofing
e) phishing
(Prova: FGV – 2010 – BADESC – Analista de Sistemas – Suporte Técnico e Gerência de Redes de Computadores) No que tange à segurança, administração e gerenciamento das redes de computadores, os sistemas operacionais disponibilizam um recurso que bloqueia o usercode de um usuário quando ocorre uma determinada quantidade de tentativas de acesso malsucedidas, em consequência da digitação de senhas incorretas. Exemplificando, se no acesso a um terminal de caixa eletrônico, um usuário errar a digitação de sua senha por três vezes consecutivas, a conta é bloqueada de forma indeterminada ou temporária. Este recurso é conhecido por:
a) intruder bitlocker.
b) intruder blockout.
c) intruder unblock.
d) intruder lockout.
e) intruder unlock.
(Prova: CESGRANRIO – 2008 – BNDES – Profissional Básico – Especialidade – Análise de Sistemas – Suporte) Um administrador de redes instalou um novo servidor Linux e disponibilizou para você um acesso SSH por usuário e senha. Sua estação de trabalho Windows XP (endereço IP 192.168.1.10/26) e o servidor (endereço IP 192.168.1.40/26) se conectam à rede por meio de um switch ethernet nível 2. Um usuário X (endereço IP 192.168.1.34/26), não administrador e mal-intencionado, está conectado no mesmo switch que você.

Considerando que você efetuará uma conexão SSH a esse servidor, observe as afirmativas abaixo. 
I – Como o tráfego SSH é criptografado, ataques do tipo man-in-the-middle jamais podem ser bem sucedidos. 
II – Seria necessário que a rede fosse interligada por um HUB para que, pelo menos, X pudesse observar o tráfego criptografado. 
III – É imprescindível que o fingerprint da chave pública SSH recebida do servidor seja checado, para garantia de autenticidade. 
IV – Uma vez que X consiga invadir o default gateway da sub-rede do servidor, sua senha será exposta.
Está(ão) correta(s), apenas, a(s) afirmativa(s)
a) I.
b) III.
c) I e IV.
d) II e III.
e) II e IV.

(Prova: CESGRANRIO – 2005 – AL-TO – Assistente Legislativo – Especialidade – Manutenção em Informática) Para a segurança em redes de computadores são feitas as afirmativas abaixo. 

I – Os roteadores podem ser utilizados para implementar filtros de pacote de um firewall. 
II – O bluetooth possui um modo de segurança que permite a criptografia dos dados. 
III – O RSA é um algoritmo de criptografia de chave privada. 
Está(ão) correta(s) a(s) afirmativa(s):
a) I, apenas.
b) II, apenas.
c) III, apenas.
d) I e II, apenas.
e) I, II e III.

Comentários e Gabarito

(Prova: FGV – 2010 – BADESC – Analista de Sistemas – Suporte Técnico e Gerência de Redes de Computadores) Atualmente tem sido observado o aumento de tentativas e violações que comprometem a segurança das redes e da Internet. Uma ferramenta utilizada por hackers para capturar dados digitados pelas vítimas é um software analisador de tráfego, que inspeciona pacotes de dados que circulam pela rede e extrai informações deles. Esse programa é conhecido por:
Letra “B”. O sniffer é a ferramenta que faz a captura dos dados na rede para roubar informações que estão sendo trafegadas por ela.
(Prova: FGV – 2010 – BADESC – Analista de Sistemas – Suporte Técnico e Gerência de Redes de Computadores) No que tange à segurança, administração e gerenciamento das redes de computadores, os sistemas operacionais disponibilizam um recurso que bloqueia o usercode de um usuário quando ocorre uma determinada quantidade de tentativas de acesso malsucedidas, em consequência da digitação de senhas incorretas. Exemplificando, se no acesso a um terminal de caixa eletrônico, um usuário errar a digitação de sua senha por três vezes consecutivas, a conta é bloqueada de forma indeterminada ou temporária. Este recurso é conhecido por:
Letra “D”. O “intruder lockout” significa que a autenticação na conta afetada é impossível de ser realizada, mas ela não foi desativada por um administrador, mas por um gatilho de segurança devido os erros consecutivos na tentativa de acesso.
(Prova: CESGRANRIO – 2008 – BNDES – Profissional Básico – Especialidade – Análise de Sistemas – Suporte) Um administrador de redes instalou um novo servidor Linux e disponibilizou para você um acesso SSH por usuário e senha. Sua estação de trabalho Windows XP (endereço IP 192.168.1.10/26) e o servidor (endereço IP 192.168.1.40/26) se conectam à rede por meio de um switch ethernet nível 2. Um usuário X (endereço IP 192.168.1.34/26), não administrador e mal-intencionado, está conectado no mesmo switch que você.

Considerando que você efetuará uma conexão SSH a esse servidor, observe as afirmativas abaixo. 
I – Como o tráfego SSH é criptografado, ataques do tipo man-in-the-middle jamais podem ser bem sucedidos. 
II – Seria necessário que a rede fosse interligada por um HUB para que, pelo menos, X pudesse observar o tráfego criptografado. 
III – É imprescindível que o fingerprint da chave pública SSH recebida do servidor seja checado, para garantia de autenticidade. 
IV – Uma vez que X consiga invadir o default gateway da sub-rede do servidor, sua senha será exposta. 
Está(ão) correta(s), apenas, a(s) afirmativa(s)
Letra “B”. I – É possível sim fazer o ataque do tipo man-in-the-middle, se por padrão aceitar o Host Key na hora da conexão.
II – É possível a captura sim do tráfego pelo Hub quando se tem uma placa no modo promíscuo. No caso do switch, pode-se utilizar um ataque do tipo MAC Flooding para bombardear a memória da tabela de endereços físicos (MAC), deixando-o em um estado de falha aberta (failopen mode), e transformando assim cada pacote que entra em broadcast de saída, assim como um Hub.
III – Verdadeira
IV – As senhas não seriam expostas, apenas as chaves públicas. Além disto, ele teria que fazer um sniffer na rede para capturá-las.

(Prova: CESGRANRIO – 2005 – AL-TO – Assistente Legislativo – Especialidade – Manutenção em Informática) Para a segurança em redes de computadores são feitas as afirmativas abaixo. 

I – Os roteadores podem ser utilizados para implementar filtros de pacote de um firewall. 
II – O bluetooth possui um modo de segurança que permite a criptografia dos dados. 
III – O RSA é um algoritmo de criptografia de chave privada. 
Está(ão) correta(s) a(s) afirmativa(s):
Letra “D”. I – Verdade. Vimos um pouco sobre este assunto aqui neste artigo, assim como no de Firewall e Filtragem de Pacotes.
II – Verdade. O Bluetooth utiliza a criptografia SAFER+.
III – Errado. Apesar da afirmativa causar uma certa dúvida quanto a “chave secreta” (simétrica) com “chave privada” (assimétrica), elas são diferentes em si. O RSA é uma criptografia de chave assimétrica. A confusão mesmo aqui é ter usado o termo “privado”, que para a banca o correto seria “chave pública”, mas no final das contas seriam a mesma coisa.

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: EC-Council CEH, CompTIA (Security+, CySA+ e Pentest+), EXIN (EHF e ISO 27001), MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação e Ethical Hacking.

4 Responses to “Segurança de redes de computadores”

  1. erik disse:

    Dei uma breve lida no seu conteúdo de segurança e pelo pouco que vi ainda não vi nada sobre segurança da informação. Conteúdo vasto agradeço pela postagem.

  2. Magno Jacomel da Silva disse:

    Muito boa essa matéria. Existe curso de graduação em SEGURANÇA DE REDE à distância ?

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *