Seguranca de Redes em Ambientes Cooperat PDF

Dedicatria
Aos meus queridos pais, Mario e Rosa, pela gran-

de dedicao, educao e formao que concede-
ram a mim e a meus irmos.
EMILIO TISSATO NAKAMURA
A Cris e Lis, por suportarem minha ausncia (sa-

crificando meu tempo, em que poderia estar com
elas). Ao Senhor Jesus, por me capacitar e por
prover todas as necessidades para este trabalho.
PAULO LCIO DE GEUS
Agradecimentos
Muitos merecem nossos agradecimentos por colaborarem direta ou indiretamen- Para esta segunda edio, os agradecimentos vo para todos os leitores que
te, desde a troca de idias at as revises de texto, para a obteno deste livro. contriburam com idias, informaes e feedbacks sobre a primeira edio do livro,
Dentre os atuais membros do LAS esto: Fabrcio Srgio de Paula, Francisco Jos em especial Ana Maria Gomes do Valle e Helen Mary Murphy Peres Teixeira.
Candeias Figueiredo, Alessandro Augusto, Jansen Carlo Sena, Diego de Assis Monteiro Os agradecimentos tambm vo para Joo Porto de Albuquerque Pereira, Pedro
Fernandes, Flvio de Souza Oliveira, Marcelo Abdalla dos Reis, Cleymone Ribeiro dos Paulo Ferreira Bueno, Sergio Lus Ribeiro e Marcelo Barbosa Lima, que contriburam
Santos, Edmar Roberto Santana de Rezende, Benedito Aparecido Cruz, Joo Porto de com materiais, idias e conversas que aprimoraram o contedo do livro.
Albuquerque Pereira, Hugo Kawamorita de Souza, Guilherme Csar Soares Ruppert, Obrigado tambm a Marcos Antonio Denega, que acreditou no nosso trabalho, e
Richard Maciel Costa, Celso Andr Locatelli de Almeida, Arthur Bispo de Castro, a todos aqueles com quem pudemos interagir e aprimorar nossos conhecimentos.
Daniel Pupim Kano, Daniel Cabrini Hauagge, Luciana Aparecida Carrolo, Thiago
Mathias Netto de Oliveira, Giselli Panontini de Souza, Evandro Leme da Silva, Weber
Simes Oliveira. H outros do IC-Unicamp, dos quais no conseguirei me lembrar.
Nossos agradecimentos tambm vo para o pessoal da Open Communications
Security, que trouxeram uma valiosa contribuio tcnica para o aprimoramento do
contedo: Prof. Routo Terada, Pedro Paulo Ferreira Bueno, Marcelo Barbosa Lima,
Paulo Andr SantAnna Perez, Keyne Jorge Paiva, Edson Noboru Honda, Carina Guirau
Hernandes, Luiz Gustavo Martins Arruda. Obrigado tambm a todos os membros do
time da Open pelo apoio.
Agradecimentos especiais vo a Jos Luis Barboza, da Robert Bosch Ltda, por
iniciar a cooperao com o IC-Unicamp, e a Marcelo Fiori da Open Communications
Security, por incentivar a publicao do livro e ceder o tempo de Emilio para a
reviso final.
E o meu (Emilio) agradecimento em particular vai para Grace, pelo amor e paci-
ncia demonstrados no somente durante a escrita do livro, mas sempre.
Sobre este livro Sumrio
Este livro contm fundamentos sobre segurana de redes de computadores, e Apresentao ----------------------------------------------------- 1
seu foco est centrado no tratamento de ambientes cooperativos. Nesse sentido, o
leitor encontrar sees descrevendo um grande nmero de tcnicas, tecnologias e
Prefcio ------------------------------------------------------------- 3
conceitos.
Este no um livro de receitas de segurana, pronto para a aplicao no dia-a-
dia, muito menos um texto sobre hacking, que ensine tcnicas de invaso ou nega- PARTE I CONCEITOS BSICOS DE SEGURANA ----------------------------------------7
o de servio. O leitor interessado encontrar melhores textos para tais objetivos.
1. Introduo --------------------------------------------------------- 9
Entretanto, o leitor que desejar um embasamento sobre segurana de redes en-
contrar cobertura para a maioria dos conceitos envolvidos e poder at mesmo Estrutura bsica ------------------------------------------------ 13
encontrar respostas prontas para muitas de suas dvidas. Parte I Conceitos bsicos de segurana ----------- 14
O texto voltado para o profissional de segurana, onde quer que seja sua Parte II Tcnicas e tecnologias disponveis para
atuao. tambm adequado para um curso de segurana, dada a abrangncia de defesa -------------------------------------------------------------- 15
sua cobertura. Em essncia, contm o material que eu, Paulo, apresento normal- Parte III Modelo de segurana para um
mente no curso de segurana de redes oferecido pelo IC-Unicamp na graduao,
ambiente cooperativo ---------------------------------------- 17
ps-graduao e extenso, mas h bastante material extra, tornando-o til para
cursos em tpicos mais especficos sobre segurana de redes. 2. O ambiente cooperativo ------------------------------------- 19
2.1 A informtica como parte dos negcios ---------- 19
2.2 Ambientes cooperativos ------------------------------- 22
2.3 Problemas nos ambientes cooperativos --------- 23
2.4 Segurana em ambientes cooperativos --------- 25
2.5 Concluso -------------------------------------------------- 27
SEGURANA DE REDES EM AMBIENTES COOPERATIVOS Sumrio
VIII IX
3. A necessidade de segurana ----------------------------- 29 PARTE II TCNICAS E TECNOLOGIAS DISPONVEIS PARA DEFESA -------------------- 171
3.1 A segurana de redes ---------------------------------- 29 6. Poltica de segurana --------------------------------------- 173
3.2 Maior evoluo, maior preocupao
6.1 A importncia -------------------------------------------- 173
com a segurana ---------------------------------------------- 33
6.2 O planejamento ----------------------------------------- 174
3.3 Segurana como parte dos negcios ------------ 35
6.3 Os elementos -------------------------------------------- 177
3.4 Como a segurana vista hoje --------------------- 37
6.4 Consideraes sobre a segurana --------------- 179
3.5 Investimentos em segurana ------------------------ 39
6.5 Os pontos a serem tratados ------------------------ 181
3.6 Mitos sobre segurana--------------------------------- 43
6.6 A implementao --------------------------------------- 183
3.7 Riscos e consideraes quanto segurana -- 44
6.7 Os maiores obstculos para a
3.8 Segurana versus funcionalidades ---------------- 45
implementao ----------------------------------------------- 185
3.9 Segurana versus produtividade ------------------- 47
6.8 Poltica para as senhas ------------------------------- 188
3.10 Uma rede totalmente segura ----------------------- 48
6.9 Poltica para firewall ------------------------------------ 193
3.11 Concluso ------------------------------------------------- 49
6.10 Poltica para acesso remoto ----------------------- 194
6.11 Poltica de segurana em ambientes
4. Os riscos que rondam as organizaes--------------- 51 cooperativos --------------------------------------------------- 195
6.12 Estrutura de uma poltica de segurana ------ 200
4.1 Os potenciais atacantes ------------------------------- 51
6.13 Concluso ----------------------------------------------- 203
4.2 Terminologias do mundo dos hackers------------ 63
4.3 Os pontos explorados ---------------------------------- 64
4.4 O planejamento de um ataque ---------------------- 67 7. Firewall ---------------------------------------------------------- 205
4.5 Ataques para a obteno de informaes ------ 68
7.1 Definio e funo ------------------------------------- 205
4.6 Ataques de negao de servios ------------------- 87
7.2 Funcionalidades ---------------------------------------- 208
4.7 Ataque ativo contra o TCP ---------------------------- 93
7.3 A evoluo tcnica -------------------------------------- 211
4.8 Ataques coordenados --------------------------------- 100
7.4 As arquiteturas ------------------------------------------ 230
4.9 Ataques no nvel da aplicao ---------------------- 106
7.5 O desempenho ----------------------------------------- 238
4.10 Concluso ------------------------------------------------- 119
7.6 O mercado ----------------------------------------------- 240
7.8 Teste do firewall ----------------------------------------- 243
5. Novas funcionalidades e riscos: redes sem fio ---- 121 7.9 Problemas relacionados ----------------------------- 245
7.10 O firewall no a soluo total de segurana247
5.1. Evoluo e mudanas -------------------------------- 121
7.11 Concluso ----------------------------------------------- 250
5.2. Caractersticas de redes sem fio ----------------- 124
5.3. Segurana em redes sem fio ---------------------- 125
5.4. Bluetooth -------------------------------------------------- 127
5.4.6. Autenticao no nvel de enlace ---------------- 138
5.5. WLAN ------------------------------------------------------ 145
5.6. Concluso ------------------------------------------------ 169
SEGURANA DE REDES EM AMBIENTES COOPERATIVOS Sumrio
X XI
8. Sistema de deteco de intruso --------------------- 251 11. Autenticao -------------------------------------------------- 351

8.1 Objetivos -------------------------------------------------- 251 11.1 A identificao e a autorizao ------------------ 351
8.2 Caractersticas ------------------------------------------ 253 11.2 Controle de acesso ---------------------------------- 362
8.3 Tipos ------------------------------------------------------- 256 11.3 Single Sign-On (SSO) ------------------------------- 364
8.4 Metodologias de deteco ------------------------- 267 11.4 Concluso ----------------------------------------------- 367
8.5 Insero e evaso de IDS ---------------------------- 274
8.6 Intrusion Prevention System (IPS) ----------------- 278
8.7 Configurao do IDS --------------------------------- 280
PARTE III MODELO DE SEGURANA PARA UM AMBIENTE COOPERATIVO ------------ 369
8.8. Padres --------------------------------------------------- 281 12. As configuraes de um ambiente cooperativo --- 371
8.9 Localizao do IDS na rede ------------------------ 282 12.1 Os cenrios at o ambiente cooperativo ------ 371
8.10 Desempenho ------------------------------------------- 283 12.2 Configurao VPN/firewall ------------------------- 395
8.11 Forense computacional----------------------------- 284 12.3 Concluso ----------------------------------------------- 400
8.11 Concluso ----------------------------------------------- 286
13. Modelo de segurana para

9. A criptografia e a PKI --------------------------------------- 287 ambientes cooperativos ---------------------------------- 401
9.1 O papel da criptografia ------------------------------- 287 13.1 Os aspectos envolvidos no
9.2 A segurana dos sistemas criptogrficos ----- 294 ambiente cooperativo ------------------------------------- 401
9.3 As maiores falhas nos sistemas criptogrficos298 13.2 As regras de filtragem------------------------------- 404
8.4 Os ataques aos sistemas criptogrficos ------- 299 13.3 Manipulao da complexidade das regras de
9.5 Certificados digitais ----------------------------------- 303 filtragem --------------------------------------------------------- 417
9.6 Infra-estrutura de chave pblica ------------------ 304 13.4 Integrando tecnologias
9.7 Concluso ------------------------------------------------- 315 firewall cooperativo ----------------------------------------- 423
13.5 Nveis hierrquicos de defesa -------------------- 426
13.6 Modelo de teias --------------------------------------- 433
10. Redes privadas virtuais ------------------------------------- 317
13.7 Concluso ----------------------------------------------- 448
10.1 Motivao e objetivos -------------------------------- 317
10.2 Implicaes --------------------------------------------- 320
10.3 Os fundamentos da VPN --------------------------- 320 14 Concluso ----------------------------------------------------- 449
10.4 O tunelamento ----------------------------------------- 321
10.5 As configuraes ------------------------------------- 321
10.6 Os protocolos de tunelamento ------------------ 337 Bibliografia ---------------------------------------------------- 453
10.7 Gerenciamento e controle de trfego ---------- 347
ndice remissivo --------------------------------------------- 469
10.8 Desafios ------------------------------------------------- 348
10.9 Concluso ----------------------------------------------- 350 Sobre os autores --------------------------------------------- 473
Apresentao
Este livro teve origem a partir da dissertao de mestrado de Emilio, durante

seus estudos no Instituto de Computao da Unicamp. Emilio foi o aluno que,
aps minha (Paulo) apresentao de um tema de pesquisa a ser patrocinado por
uma empresa local, procurou-me repetidas e insistentes vezes afirmando que ele
era o aluno certo para o projeto. Sua determinao me impressionou a ponto de
eu decidir escolh-lo para o projeto, e como os leitores podero comprovar, foi
uma tima escolha.
O conhecimento do ambiente computacional da Robert Bosch Ltda, composto na
poca por vrios milhares de mquinas e mais de uma centena de servidores, sob
uma administrao nica, colocou-nos perante um desafio. Como administrar segu-
rana em rede to vasta e com tantas interaes com outras empresas, revendedores
e funcionrios em viagem? As solues tradicionais na literatura de segurana s
contemplavam cenrios cannicos, resumidos praticamente a usurios internos da
Internet e um Web site. Muitas propostas de firewalls e suas topologias so encon-
tradas nos artigos e livros do meio, dentre eles at mesmo o ensino no curso de
Segurana de Redes no IC-Unicamp, mas nenhuma tratava de uma possvel coopera-
o com outra empresa (joint-ventures).
Como vrias outras empresas pioneiras no processo de informatizao de suas
relaes comerciais (B2B, business-to-business), a Bosch tinha que desbravar reas
ainda no estudadas pela academia. Este em particular acabou se constituindo em
um excelente caso para estudar o problema e propor solues adequadas, devido
diversidade de interaes a serem suportadas pela rede e seu aparato de segurana,
especialmente o firewall. Esse processo durou pouco mais de dois anos e exigiu uma
SEGURANA DE REDES EM AMBIENTES COOPERATIVOS
2
quantidade significativa de esforo, especialmente de Emilio, em razo da diversi- Prefcio

dade de tecnologias de segurana a serem dominadas para atingir seu objetivo.
PAULO LCIO DE GEUS
paulo@securitybase.net
Para esta segunda edio, diversas inseres foram feitas, as quais refletem os
temas que esto sendo mais discutidos pela comunidade. Alm da bagagem adqui-
rida pelos trabalhos diretos envolvendo a segurana da informao, a contribuio
dos leitores foi fundamental para a ampliao do livro. O que se pode perceber com
o feedback que a segurana contnua e a percepo sobre o assunto muda de
acordo com a experincia de cada um. a que reside o grande desafio de quem
estuda e trabalha com segurana da informao: no se pode esquecer que a segu-
rana envolve diferentes aspectos (de negcios, de processos, humanos, tecnolgicos,
jurdicos, culturais, sociais) e que o entendimento desse conjunto de aspectos que
Computadores e redes podem mudar nossas vidas para melhor ou para pior. O
estabelece o nvel de segurana de uma organizao.
mundo virtual tem as mesmas caractersticas do mundo real e, e h tempos, os
Assim, entender os riscos envolvidos com cada situao e com cada ambiente
eventos de segurana, ataques e invases a computadores deixaram de ser ativida-
fundamental para que a proteo adequada possa ser estabelecida. Afinal de con-
des solitrias e no destrutivas. H muito mais envolvido nessas aes. Pensando
tas, no possvel reduzir riscos que no se conhece. Esta segunda edio inclui
nisso, imperativa a preocupao em manter a segurana dos computadores e das
novas figuras e novas tabelas que visam facilitar o entendimento dos problemas e
redes que os conectam. Sob esse ponto de vista, e ao contrrio da maneira passional
dos conceitos, tcnicas e tecnologias que podem ser utilizadas para a proteo de
que muitos textos utilizam, este livro trata dos aspectos de um modelo de seguran-
um ambiente. Alm disso, foram includos materiais extras sobre novos ataques, o
a de uma forma ntegra e elegante. A viso da proteo dos computadores feita
funcionamento de novos worms, novas tecnologias de defesa, como os sistemas de
diretamente, analisando o dilema com a devida objetividade. A abordagem extre-
preveno de intruso, e novos casos com incidentes de segurana no Brasil e no
mamente correta, deixando de lado o tratamento da velha batalha do bem contra o
mundo.
mal e apresentando os eventos e as caractersticas de forma tcnica e clara. O
Alm disso, um captulo novo foi includo e trata de uma das tecnologias que
desenvolvimento feito de tal maneira que os profissionais envolvidos com a admi-
mais causam impacto na vida das pessoas: as redes sem fio (wireless). Os aspectos
nistrao dos sistemas, e de sua segurana, podem encontrar neste livro o conheci-
de segurana do padro IEEE 802.11, usado em WLANs, e do Bluetooth, usado em
mento necessrio para suas aes prticas dirias. Assim, esses agentes podero
distncias menores, so discutidos nesse novo captulo.
estar preparados para defender suas instalaes e, principalmente, entender a am-
O desejo foi manter o livro o mais atual possvel, com o tratamento dos assuntos
plitude e as implicaes de seus atos. Em resumo, este livro uma boa opo para
que fazem e que faro parte de qualquer organizao, e que sejam importantes para
quem quer estar preparado.
cursos de segurana de redes. Para isso, procuramos compartilhar ao mximo as
Alm desses aspectos, o texto fornece subsdios importantes para a educao e
experincias adquiridas nesse perodo.
o preparo para a segurana e a convivncia em um mundo interconectado. Um
importante paralelo pode ser traado com o que acontece fora dos computadores e
Boa Leitura !!!
das redes. Prticas e procedimentos de segurana devem fazer parte do dia-a-dia da
EMILIO TISSATO NAKAMURA sociedade digital, da mesma forma que as regras e prticas sociais, implcitas ou
emilio@securitybase.net explcitas, nos remetem ao comportamento aceitvel e correto na sociedade em que
vivemos. Na medida em que as tcnicas e as metodologias de segurana so aborda-
das de maneira objetiva e educativa, esta obra colabora na compreenso dessas
4
aes, principalmente no que diz respeito importncia do estabelecimento de

polticas de segurana dentro das instituies e corporaes.
Este livro fruto do trabalho e da ampla experincia do autor junto a um projeto
de pesquisa no Instituto de Computao da UNICAMP Universidade Estadual de
Campinas, So Paulo. Esse projeto, orientado pelo prof. Dr. Paulo Lcio de Geus
tambm um respeitadssimo pesquisador da rea de segurana computacional ,
definiu um modelo de segurana de redes para ambientes cooperativos. Este livro
transpe para usurios e profissionais, iniciantes ou avanados em segurana, as
concluses e as metodologias desenvolvidas e abordadas naquele trabalho. Todos os
importantes aspectos de segurana atuais so tratados, desde a definio do ambi-
ente a ser protegido, passando pelas ferramentas de proteo e deteco de inva-
so, at, finalmente, o estabelecimento de sistemas cooperativos seguros. Com cer-
teza, esta uma obra esmerada e de fcil assimilao, que preenche a necessidade
de um texto genuinamente nacional na rea de segurana de computadores e redes,
unindo o formalismo tcnico correto com a atividade prtica adequada, ambos do- Este livro chega no momento em que sistemas distribudos ganham em escala,
sados na medida certa. assumindo propores globais; onde a Web e suas aplicaes disponveis na Internet
ADRIANO MAURO CANSIAN assumem importncia e interesse sem precedentes. A Internet est se transforman-
adriano@ieee.org do na grande via para o comrcio, indstria, ensino e para o prprio governo.
Termos como E-Business, E-Contracting, E-Government, E-Learning, E-Voting so for-
jados na literatura internacional e tornam-se presentes no nosso cotidiano, dando
forma a uma sociedade da informao. As organizaes melhoraram em eficincia e
competitividade a partir do uso de novos paradigmas, envolvendo nveis de integrao
que podem ultrapassar suas fronteiras. Organizaes cooperadas, por exemplo, pas-
sam a definir empresas virtuais por meio da ligao de suas redes corporativas.
Somado a tudo isso, temos ainda tecnologias emergentes, como a computao m-
vel, que ajudam a montar um cenrio muito complexo sobre a rede mundial.
Entretanto, medida que essa grande teia de redes locais, nacionais e de escala
global vai sendo desenhada, a informao e os negcios tornam-se suscetveis a
novas ameaas, implicando em que a segurana assuma uma importncia crtica
nesses sistemas. Em anos recentes, um grande nmero de profissionais e organiza-
es de padronizao tem contribudo para o desenvolvimento de novas tcnicas,
padres e programas nacionais de segurana. Apesar de todo esse esforo, sempre
difcil para um administrador de sistemas, um programador de aplicaes ou um
usurio final compreender todos os aspectos do problema da segurana, especial-
mente em sistemas de larga escala.
A segunda edio deste livro incorpora os mais recentes desenvolvimentos em
termos de tecnologia e conhecimento sobre segurana em sistemas computacionais.
Como a edio anterior, este livro dirigido no sentido de fornecer, com muita
6
propriedade, o conhecimento dos princpios e a prtica sobre a segurana em siste-

mas computacionais. As informaes so apresentadas de uma maneira clara, para Parte I
permitir que seus leitores, mesmo que iniciantes, possam avaliar as tcnicas e a
necessidade de segurana nos sistemas atuais. Ao mesmo tempo, o contedo
abrangente o necessrio para que possa ser utilizado como um livro-texto em cursos
Conceitos bsicos de segurana
de graduao e ps-graduao. um instrumento til para profissionais que atuam
na rea.
O livro apresenta um retrato geral das vulnerabilidades e ameaas a que esto
sujeitos os sistemas computacionais nesse contexto de integrao. Descreve os ele-
mentos necessrios para que redes cooperativas possam apresentar propriedades de
segurana. Para tal, uma abordagem metodolgica usada na descrio de seus
contedos. De incio, os autores se concentram nos problemas de segurana. Na
segunda parte, so apresentados conceitos, princpios bsicos, tcnicas e tecnologias
de segurana. As tcnicas apresentadas esto relacionadas com os problemas des-
critos na parte anterior. Por fim, os autores, fazendo uso de suas experincias, Esta seo inicia o leitor quanto aos problemas a serem tratados neste livro. As
propem um modelo de segurana para redes cooperativas. Esse modelo est funda- organizaes de todos os tipos devem fazer parte do mundo virtual, que a Internet:
mentado nas tcnicas e tecnologias descritas na Parte II. elas simplesmente no podem se dar ao luxo de no estar presentes nesse mundo,
O professor Paulo Lcio de Geus, coordenador e principal idealizador do projeto especialmente com as presses da globalizao. Ou ser que justamente a atual
deste livro, possui uma consistente atuao na rea. Foi, por muitos anos, adminis- infra-estrutura de comunicao de dados que est incentivando e alimentando a
trador da rede da Unicamp, onde acumulou uma experincia prtica muito slida. globalizao? Qualquer que seja a resposta, a Internet indispensvel, hoje, para
Atualmente, Paulo Lcio conduz o Laboratrio de Administrao e Segurana de qualquer organizao.
Sistemas (LAS) do Instituto de Computao da Unicamp, sendo responsvel por Neste mundo virtual da Internet, muitos dos paradigmas, problemas e solues
importantes pesquisas e trabalhos acadmicos na rea de segurana em sistemas do mundo real tambm se aplicam. Assim como no mundo real, onde existem pro-
computacionais. As contribuies e atuaes em eventos cientficos fazem do propriedades privadas e organizaes de comrcio com dependncias de acesso pblico
fessor um membro respeitado da emergente comunidade acadmica brasileira da (lojas), no mundo virtual existem mquinas de usurios (estaes) e servidores de
rea de segurana. Suas relevantes contribuies na rea de segurana foram organizaes, respectivamente. Assim como no mundo real, as propriedades e orga-
determinantes em suas participaes, como perito, no episdio da pane do painel nizaes virtuais necessitam de proteo e controle de acesso. Confiamos plena-
da Cmara no Congresso Nacional e na avaliao do sistema de votao eletrnica mente que voc, leitor, no sai de casa sem se certificar de que as portas, janelas e
do Tribunal Superior Eleitoral. o porto estejam trancados. Da mesma forma, uma loja na cidade de acesso pbli-
Por fim, credito o sucesso deste livro ao excelente nvel de seus contedos e ao co, no sentido de qualquer pessoa poder entrar em suas dependncias por ser po-
reconhecimento do trabalho do professor Paulo Lcio. So poucas as publicaes de tencialmente um cliente; porm, dependncias internas da loja so vedadas a esses
livros tcnicos que conseguem os nmeros de venda atingidos pela primeira edio. clientes em potencial.
Portanto, tambm no tenho duvida sobre o xito desta segunda edio. Os mesmos critrios de segurana devem ser observados no mundo virtual, por
JONI DA SILVA FRAGA meio de medidas estritas de segurana. Alguns paralelos interessantes so:
Professor Titular
DAS/UFSC * Firewalls: Equivalentes ao controle de acesso na loja real, por intermdio de
porteiros, vigias, limites fsicos e portas.
8
* Poltica de segurana: Equivalente ao modelo de conduta do cidado visitan-

te na loja e de procedimentos por parte dos funcionrios para garantir o bom
comportamento social dos visitantes e da integridade do patrimnio da loja.
* Separao entre rede pblica (servidores externos) e rede interna: equivalente
separao entre a parte pblica da loja, onde os visitantes circulam, e a
Introduo
parte privada, onde somente os funcionrios transitam.
Entretanto, as pessoas e organizaes no mundo virtual interagem de vrias

maneiras, e o modelo de segurana mencionado anteriormente se mostra insuficien-
te para tratar da complexidade das comunicaes possveis no mundo virtual, fruto
dos avanos tecnolgicos. Esse o ambiente cooperativo a que nos referimos neste
texto, e que ser caracterizado nos prximos captulos, assim como as ameaas a
que tal ambiente est exposto. As redes sem fio (wireless) e seus riscos envolvidos
tambm sero discutidos.
A necessidade de segurana um fato que vem transcendendo o
limite da produtividade e da funcionalidade. Enquanto a velocidade
e a eficincia em todos os processos de negcios significam uma
vantagem competitiva, a falta de segurana nos meios que habili-
tam a velocidade e a eficincia pode resultar em grandes prejuzos e
falta de novas oportunidades de negcios.
O mundo da segurana, seja pensando em violncia urbana ou
em hackers, peculiar. Ele marcado pela evoluo contnua, no
qual novos ataques tm como resposta novas formas de proteo,
que levam ao desenvolvimento de novas tcnicas de ataques, de
maneira que um ciclo formado. No por acaso que no elo mais
fraco da corrente que os ataques acontecem. De tempos em tempos
C os noticirios so compostos por alguns crimes da moda, que vm
e vo. Como resposta, o policiamento incrementado, o que resulta
a na inibio daquele tipo de delito. Os criminosos passam ento a
p praticar um novo tipo de crime, que acaba virando notcia. E o ciclo
assim continua. J foi comprovada uma forte ligao entre seqes-
tradores e ladres de banco, por exemplo, na qual existe uma cons-
t
tante migrao entre as modalidades de crimes, onde o policiamen-
u to geralmente mais falho.
l Esse mesmo comportamento pode ser observado no mundo da
o informao, de modo que tambm se deve ter em mente que a segu-
rana deve ser contnua e evolutiva. Isso ocorre porque o arsenal de
1 defesa usado pela organizao pode funcionar contra determinados
SEGURANA DE REDES EM AMBIENTES COOPERATIVOS Captulo 1: Introduo
10 11
tipos de ataques; porm, pode ser falho contra novas tcnicas desenvolvidas para maior o nvel de esforo dispensado em um ataque a um alvo especfico.
driblar esse arsenal de defesa. interessante notar tambm que a agressividade de um ataque est relacionada
Alguns fatores podem ser considerados para que a preocupao com a segurana com a severidade, ou seja, maiores perdas;
contnua seja justificada: f) A defesa mais complexa do que o ataque: para o hacker, basta que ele con-
siga explorar apenas um ponto de falha da organizao. Caso uma determina-
a) Entender a natureza dos ataques fundamental: preciso entender que mui- da tcnica no funcione, ele pode tentar explorar outras, at que seus objeti-
tos ataques so resultado da explorao de vulnerabilidades, as quais passam vos sejam atingidos. J para as organizaes, a defesa muito mais complexa,
a existir devido a uma falha no projeto ou na implementao de um protocolo, pois exige que todos os pontos sejam defendidos. O esquecimento de um ni-
aplicao, servio ou sistema, ou ainda devido a erros de configurao e admi- co ponto faz com que os esforos dispensados na segurana dos outros pontos
nistrao de recursos computacionais. Isso significa que uma falha pode ser sejam em vo. Isso acaba se relacionando com uma das principais falcias do
corrigida, porm novos bugs sempre existiro; mundo corporativo: a falsa sensao de segurana. interessante notar que,
b) Novas tecnologias trazem consigo novas vulnerabilidades: preciso ter em quando o profissional no conhece os riscos, ele tende a achar que tudo est
mente que novas vulnerabilidades surgem diariamente. Como novas tecnologias seguro com o ambiente. Com isso, a organizao passa, na realidade, a correr
e novos sistemas so sempre criados, razovel considerar que novas riscos ainda maiores, que o resultado da negligncia. Isso acontece com os
vulnerabilidades sempre existiro e, portanto, novos ataques tambm sero firewalls ou com os antivrus, por exemplo, que no podem proteger a organi-
sempre criados. As redes sem fio (wireless), por exemplo, trazem grandes be- zao contra determinados tipos de ataques.
nefcios para as organizaes e os usurios, porm trazem tambm novas g) Aumento dos crimes digitais: o que no pode ser subestimado so os indcios
vulnerabilidades que podem colocar em risco os negcios da organizao; de que os crimes digitais esto se tornando cada vez mais organizados. As
c) Novas formas de ataques so criadas: a prpria histria mostra uma evoluo comunidades criminosas contam, atualmente, com o respaldo da prpria
constante das tcnicas usadas para ataques, que esto cada vez mais sofistica- Internet, que permite que limites geogrficos sejam transpostos, oferecendo
das. A mistura de diferentes tcnicas, o uso de tecnologia para cobrir vestgios possibilidades de novos tipos de ataques. Alm disso, a legislao para crimes
a cooperao entre atacantes e a criatividade so fatores que tornam a defesa digitais ainda est na fase da infncia em muitos pases, o que acaba dificul-
mais difcil do que o habitual; tando uma ao mais severa para a inibio dos crimes.
d) Aumento da conectividade resulta em novas possibilidades de ataques: a faci-
lidade de acesso traz como conseqncia o aumento de novos curiosos e tam- Dentre os fatos que demonstram o aumento da importncia da segurana, pode-
bm da possibilidade de disfarce que podem ser usados nos ataques. Alm se destacar a rpida disseminao de vrus e worms, que so cada vez mais sofisti-
disso, novas tecnologias, principalmente os novos protocolos de comunicao cados. Utilizando tcnicas que incluem a engenharia social, canais seguros de co-
mvel, alteram o paradigma de segurana. Um cenrio onde os usurios de municao, explorao de vulnerabilidades e arquitetura distribuda, os ataques
telefones celulares so alvos de ataques e usados como porta de entrada para visam a contaminao e a disseminao rpida, alm do uso das vtimas como
ataques a uma rede corporativa, por exemplo, completamente plausvel; origem de novos ataques. A evoluo dos ataques aponta para o uso de tcnicas
e) Existncia tanto de ataques direcionados quanto de ataques oportunsticos: ainda mais sofisticadas, como o uso de cdigos polimrficos para a criao de vrus,
apesar de a maioria dos ataques registrados ser oportunstico, os ataques worms, backdoor ou exploits, para dificultar sua deteco. Alm disso, ferramentas
direcionados tambm existem em grande nmero. Esses ataques direcionados que implementam mecanismos que dificultam a adoo da forense computacional
podem ser considerados mais perigosos, pois, existindo a inteno de atacar, a tambm j esto sendo desenvolvidos. Os canais ocultos ou cobertos (covert channels)
estratgia pode ser cuidadosamente pensada e estudada, e executada de modo tendem a ser usados para os ataques, nos quais os controles so enviados por tneis
a explorar o elo mais fraco da organizao. Esses so, geralmente, os ataques criados com o uso de HTTPS ou o SSH, por exemplo. O uso de pontes de ataques e
que resultam em maiores prejuzos, pois no so feitos de maneira aleatria, mecanismos do TCP/IP para dificultar a deteco e investigao igualmente tende a
como ocorre com os ataques oportunsticos. Isso pode ser observado tambm ser cada vez mais utilizado. Ataques a infra-estruturas envolvendo roteamento ou
pelo nvel de agressividade dos ataques. Quanto mais agressivo o ataque, DNS, por exemplo, tambm podem ser realizados.
12 13
Alguns incidentes mostram que os prejuzos com a falta de segurana podem ser vez mais servios e permitir a comunicao entre sistemas de diferentes organiza-
grandes. O roubo de 5,6 milhes de nmeros de cartes de crdito da Visa e da es, de forma segura. A complexidade aumenta, pois agora a proteo deve ocorrer
MasterCard de uma admistradora de cartes americana, em fevereiro de 2003 [JT no somente contra os ataques vindos da rede pblica, mas tambm contra aqueles
03], por exemplo, pode sugerir grandes problemas e inconvenientes para as vtimas. que podem ser considerados internos, originados a partir de qualquer ponto do
No Brasil, o roubo de mais de 152 mil senhas de acesso de grandes provedores de ambiente cooperativo.
acesso, em maro de 2003, resultou em quebra de privacidade e, em muitos casos, interessante observar que o crescimento da importncia e at mesmo da de-
perdas bem maiores [REV 03]. No mbito mundial, variaes de worms como o Klez pendncia do papel da tecnologia nos negcios, somado ao aumento da facilidade
ainda continuam na ativa, mesmo passado mais de um ano desde seu surgimento. A de acesso e ao avano das tcnicas usadas para ataques e fraudes eletrnicos, resul-
primeira verso do Klez surgiu em novembro de 2001 e a verso mais perigosa, em tam no aumento do nmero de incidentes de segurana, o que faz com que as
maio de 2002; em maro de 2003, o Klez era o worm mais ativo do ms [MES 03]. Em organizaes devam ser protegidas da melhor maneira possvel. Afinal de contas,
junho de 2002, um incidente de segurana envolvendo usurios de cinco dos maio- o prprio negcio, em forma de bits e bytes, que est em jogo.
res bancos e administradores de cartes de crdito do Brasil resultou em prejuzos Assim, entender os problemas e as formas de resolv-los torna-se imprescind-
calculados em R$ 100 mil [TER 02], mostrando que incidentes envolvendo institui- vel, principalmente porque no se pode proteger contra riscos que no se conhece.
es financeiras esto se tornando cada vez mais comuns, seja no Brasil ou em Este livro tem como principal objetivo apresentar os conceitos, as tcnicas e as
outros pases. tecnologias de segurana que podem ser usados na proteo dos valores
Outros incidentes notrios podem ser lembrados, como o que envolveu o worm computacionais internos das organizaes. Para isso, a formao de um ambiente
Nimda, em setembro de 2001. Um alto grau de evoluo pde ser observado no cooperativo e as motivaes para a implementao de uma segurana coerente se-
Nimda, que foi capaz de atacar tanto sistemas Web quanto sistemas de e-mail. ro discutidas. Os motivos que levam adoo de determinada tecnologia tambm
Antes do aparecimento do Nimda, um outro worm, o Code Red (e sua variao Code sero discutidos, bem como a integrao das diversas tecnologias existentes, que ,
Red II), vinha, e ainda vem, causando grandes prejuzos, no somente s organiza- de fato, o grande desafio das organizaes.
es que sofreram o ataque, mas Internet como um todo. Causando lentido na
rede, o Code Red resultou em prejuzos estimados em 2,6 bilhes de dlares nos
Estados Unidos, em julho e agosto de 2001. Outro notrio evento foi a explorao ESTRUTURA BSICA
em larga escala de ferramentas para ataques coordenados e distribudos, que afeta- O livro dividido em trs partes: a Parte I, composta pelos captulos 2, 3, 4 e 5,
ram e causaram grandes prejuzos, durante 2000, a sites como Amazon Books, Yahoo, faz a ambientao dos problemas que devem ser enfrentados pelas organizaes; a
CNN, eBay, UOL e ZipMail. Somaram-se ainda ataques a sites de comrcio eletrnico, Parte II, formada pelos captulos de 6 a 11, apresenta as tcnicas, conceitos e
notadamente o roubo de informaes sobre clientes da CDNow, at mesmo dos n- tecnologias que podem ser utilizadas na luta contra os problemas de segurana
meros de cartes de crdito. Casos de pichaes de sites Web tambm so um fato vistos na Parte I. J a Parte III (captulos 12 e 13) apresenta o modelo de segurana
corriqueiro, demonstrando a rpida popularizao dos ataques a sistemas de com- proposto pelos autores, no qual os recursos apresentados na Parte II so aplicados
putadores. no ambiente cooperativo.
Porm, os ataques que vm causando os maiores problemas para as organizaes O Captulo 2 faz a apresentao de um ambiente cooperativo e as necessidades
so aqueles que acontecem a partir da sua prpria rede, ou seja, os ataques inter- de segurana so demonstradas no Captulo 3. Os riscos que rondam as organiza-
nos. Somado a isso, est o fato de as conexes entre as redes das organizaes es, representados pelas tcnicas de ataque mais utilizadas, so discutidos no
alcanarem nveis de integrao cada vez maiores. Os ambientes cooperativos, for- Captulo 4. O Captulo 5 trata das redes sem fio, que possuem uma importncia cada
mados a partir de conexes entre organizaes e filiais, fornecedores, parceiros vez maior na vida das pessoas, porm trazem consigo novos riscos.
comerciais, distribuidores, vendedores ou usurios mveis, resultam na necessidade A poltica de segurana, os firewalls, os sistemas de deteco de intruso, a
de um novo tipo de abordagem quanto segurana. Em oposio idia inicial, criptografia, as redes privadas virtuais e a autenticao dos usurios so discutidos,
quando o objetivo era proteger a rede da organizao isolando-a das redes pblicas, respectivamente, nos captulos 6, 7, 8, 9, 10 e 11. J o Captulo 12 discute as
nos ambientes cooperativos o objetivo justamente o contrrio: disponibilizar cada configuraes que podem fazer parte de um ambiente cooperativo, enquanto o
14 15
Captulo 13 discute os aspectos de segurana envolvidos nesse tipo de ambiente e o tados, mostrando que as preocupaes com a segurana devem ser tratadas com a
modelo de gesto de segurana proposto. Ele composto pela arquitetura do firewall mxima ateno e cuidado, para que a continuidade dos negcios das organizaes
cooperativo, o modo de minimizar a complexidade das regras de filtragem e o mode- no seja afetada. contra esses riscos que as organizaes tm de lutar, principal-
lo hierrquico de defesa. Este ltimo destinado a facilitar a compreenso dos mente atravs das tcnicas, tecnologias e conceitos a serem discutidos na Parte II
problemas de segurana inerentes a esse tipo de ambiente, resultando assim em deste livro. Os riscos envolvem aspectos humanos, explorados pela engenharia soci-
menos erros na definio da estratgia de segurana da organizao. Ainda no al, e aspectos tcnicos. Detalhes de alguns dos ataques mais conhecidos podem ser
Captulo 13, o Modelo de Teias tem como objetivo auxiliar no gerenciamento da encontrados neste captulo, incluindo anlises de ferramentas de DDoS e de worms
complexidade da segurana. O Captulo 14 traz a concluso do livro. como o Nimda, o Code Red, o Klez, o Sapphire e o Deloder. Com o objetivo de ilustrar
A seguir, o leitor encontrar um resumo mais detalhado de cada captulo. os passos utilizados pelos atacantes, os ataques foram agrupados em categorias que
incluem a obteno de informaes sobre os sistemas alvo, passando por tcnicas
que incluem negao de servio (Denial of Service, DoS), ataques ativos, ataques
PARTE I CONCEITOS BSICOS DE SEGURANA coordenados e ataques s aplicaes e aos protocolos.
Captulo 1 Introduo Captulo 5 Novas funcionalidades e riscos: redes

sem fio
Captulo 2 O ambiente cooperativo O uso de redes sem fio (wireless) vem aumentando substancialmente, resultando
em um impacto significante na vida das pessoas. Seja em distncias mais longas
Este captulo mostra a dependncia cada vez maior da informtica e das telecomu-
(telefones celulares), em distncias mdias (Wireless LAN, WLAN) ou em curtas
nicaes para o sucesso das organizaes, o que faz com que um novo ambiente de
distncias (Bluetooth), as redes sem fio facilitam o dia-a-dia das pessoas; no entan-
extrema importncia surja no mbito computacional: o ambiente cooperativo. Como
to, trazem consigo novos riscos. Elas apresentam diferenas essenciais se compara-
conseqncia, diversos novos problemas passam a ocorrer nesse ambiente, principal-
das s redes com fio, de modo que protocolos de segurana foram definidos para a
mente com relao segurana dos seus recursos. As triangulaes, nas quais uma
proteo dos acessos sem fio, principalmente para a autenticao e proteo no
organizao A acessa as informaes de C, por intermdio de sua comunicao com a
nvel de enlace. Este captulo discute os aspectos de segurana existentes nas redes
organizao B, apenas um desses problemas que devem ser tratados. A complexida-
sem fio, em particular no padro IEEE 802.11 e Bluetooth.
de de conexes e a heterogeneidade do ambiente tambm devem ser considerados.
Captulo 3 A necessidade de segurana PARTE II TCNICAS E TECNOLOGIAS DISPONVEIS

Neste captulo, cujo enfoque a natureza da segurana, discute-se questes sobre PARA DEFESA
investimentos em segurana e os seus mitos. Faz-se tambm uma anlise sobre a
influncia das medidas de segurana nas funcionalidades dos sistemas e na produti-
vidade dos usurios. A segurana necessria, porm sua estratgia de implementao Captulo 6 Poltica de segurana
deve ser bem definida, medindo-se custos e benefcios, pois a segurana total no O objetivo deste captulo demonstrar a importncia da poltica de segurana,
possvel. A anlise dos riscos possui um papel fundamental nesse contexto. discutindo pontos como seu planejamento, seus elementos, os pontos a serem tra-
tados e os maiores obstculos a serem vencidos, principalmente em sua
implementao. Alguns pontos especficos que devem ser tratados pela poltica
Captulo 4 Os riscos que rondam as organizaes
tambm so exemplificados, como os casos da poltica de senhas, do firewall e do
Este captulo apresenta os riscos a que as organizaes esto sujeitas. Os poss- acesso remoto. A discusso estende-se at a poltica de segurana em ambientes
veis atacantes e os mtodos, tcnicas e ferramentas utilizados por eles so apresen-
16 17
cooperativos, que possuem suas particularidades. Os bolses de segurana caracte- Captulo 10 Rede privada virtual
rsticos dos ambientes cooperativos so uma dessas particularidades.
As redes privadas virtuais (Virtual Private Network VPN) possuem grande
importncia para as organizaes, principalmente no seu aspecto econmico, ao
Captulo 7 Firewall permitir que as conexes fsicas dedicadas de longa distncia sejam substitudas
Este captulo trata de um dos principais componentes de um sistema de segu- pelas suas correspondentes a redes pblicas, normalmente de curta distncia. As
rana o firewall, e tem como objetivo discutir a definio do termo firewall, que vem VPNs permitem tambm a substituio das estruturas de conexes remotas, que
sofrendo modificaes com o tempo, alm de discutir a evoluo que vem ocorrendo podem ser eliminadas em funo da utilizao dos clientes e provedores VPN. Po-
nesse importante componente de segurana. Os conceitos tcnicos envolvidos, fun- rm, essas vantagens requerem uma srie de consideraes com relao seguran-
damentais para a escolha do melhor tipo de firewall para cada organizao, so a, pois as informaes das organizaes passam a trafegar por meio de uma rede
apresentados detalhadamente. As arquiteturas de um firewall, que influem substan- pblica. A criptografia associada a VPNs no suficiente: este captulo visa discutir
cialmente no nvel de segurana, tambm so discutidas. Por fim, conclui-se que o a VPN e as implicaes de segurana envolvidas, alm dos principais protocolos
firewall no pode ser a nica linha de defesa para garantir a segurana de uma disponveis (L2TP, PPTP, IPSec) para a comunicao entre as organizaes por inter-
organizao. mdio de tneis virtuais.
Captulo 8 Sistema de deteco de intruso Captulo 11 Autenticao

O sistema de deteco de intruso (Intrusion Detection Systems IDS) consti- A autenticao essencial para a segurana dos sistemas, ao validar a identi-
tui um componente de segurana essencial em um ambiente cooperativo. Neste ficao dos usurios, concedendo-lhes a autorizao para o acesso aos recursos. A
captulo sero discutidos os objetivos dos sistemas de deteco de intruso e os autenticao pode ser realizada com base em alguma coisa que o usurio sabe, em
tipos de sistemas que podem ser usadas para a proteo do ambiente. Os tipos de alguma coisa que o usurio tem ou em alguma coisa que o usurio , como ser
IDS e as metodologias de deteco utilizadas sero discutidos, bem como as limita- visto neste captulo. O captulo mostra tambm os pontos importantes a serem
es de cada abordagem. Sua localizao na rede da organizao influi diretamente considerados no controle de acesso, que tem como base a autenticao dos usu-
nos resultados da deteco, de forma que ela discutida no captulo. Os sistemas rios, e discute as vantagens e desvantagens do Single Sign-On (SSO), que tenta
que visam no apenas a deteco, mas tambm a preveno dos ataques siste- resolver um dos maiores problemas relacionados autenticao o mau uso das
mas de preveno de intruso (Intrusion Prevention System IPS) tambm so senhas.
apresentados neste captulo.
PARTE III MODELO DE SEGURANA PARA UM AMBIENTE

Captulo 9 A criptografia e a PKI
COOPERATIVO
A criptografia uma cincia que possui importncia fundamental para a segu-
rana, ao servir de base para diversas tecnologias e protocolos, tais como a Secure
Socket Layer (SSL) e o IP Security (IPSec). Suas propriedades sigilo, integridade, Captulo 12 As configuraes de um ambiente
autenticao e no-repdio garantem o armazenamento, as comunicaes e as cooperativo
transaes seguras, essenciais no mundo atual. Este captulo discute o papel da
Este captulo apresenta os diversos cenrios que representam as redes das orga-
criptografia e os aspectos relacionados sua segurana. A infra-estrutura de chaves
nizaes, cuja evoluo (aumento dos nmeros de conexes) leva formao de
pblicas (Public Key Infrastructure PKI), baseada na criptografia assimtrica,
ambientes cooperativos. Ser visto que a complexidade aumenta a cada nova cone-
vem ganhando uma importncia cada vez maior, principalmente nos ambientes
xo, o que exige uma anlise profunda das implicaes envolvidas e das tecnologias
cooperativos, e tambm ser discutida neste captulo.
necessrias que sero utilizadas na arquitetura de segurana da organizao. Este
18
captulo analisa as diversas configuraes de componentes importantes para a se-

gurana da organizao, como o firewall, a Virtual Private Network (VPN), o Intrusion
Detection System (IDS) e a Public Key Infrastructure (PKI), de acordo com as neces-
sidades que vo surgindo com a evoluo das conexes. As discusses deste captu-
lo culminam com a arquitetura do firewall cooperativo, que conceituado no prxi-
O ambiente cooperativo
mo captulo.
Captulo 13 O modelo de segurana para

ambientes cooperativos
Este captulo tem como objetivo apresentar um modelo de segurana para o
ambiente cooperativo. Os aspectos envolvidos com o ambiente cooperativo so dis-
cutidos, e em seguida so demonstradas as dificuldades existentes na definio e
implementao das regras de filtragem. A seguir, ser apresentada uma abordagem
para a manipulao da complexidade das regras de filtragem utilizando-se o iptables. Este captulo mostra a importncia cada vez maior da tecnologia
A arquitetura do firewall cooperativo tambm apresentada, culminando na defini-
da informao para organizaes de toda natureza. A dependn-
o de cinco nveis hierrquicos de defesa, que visam minimizar a complexidade e
cia cada vez maior da informtica e da telecomunicao para o
tornar mais simples a administrao da segurana em um ambiente cooperativo. sucesso das organizaes tem como resultado o surgimento de um
Uma discusso sobre o gerenciamento da complexidade da segurana tambm
novo ambiente de extrema importncia: o ambiente cooperativo.
realizada, com a apresentao do Modelo de Teias.
Como conseqncia, novos desafios passam a fazer parte do coti-
diano de todos, principalmente com relao segurana dos seus
Captulo 14 Concluso recursos.
2.1 A INFORMTICA COMO PARTE DOS

NEGCIOS
C O mundo moderno e globalizado faz com que as organizaes
a busquem o mais alto nvel de competitividade, no qual novos mer-
p cados so disputados vorazmente. O concorrente, agora, pode estar
em qualquer parte do mundo e, para super-lo, necessrio, mais
do que nunca, fabricar produtos de qualidade, prestar bons servios
t e manter um bom relacionamento com os clientes, sejam eles inter-
u nos ou externos. Como reflexo, a busca de diferencial competitivo e
de novos mercados faz com que as relaes comerciais internacio-
l
nais sejam cada vez mais necessrias e mais fortes, como pode ser
o visto, por exemplo, no Mercado Comum do Sul (Mercosul).
Nesse cenrio, a competitividade global ditada principalmente
2 pela velocidade, qualidade e eficincia seja das decises, das
SEGURANA DE REDES EM AMBIENTES COOPERATIVOS Captulo 2: O ambiente cooperativo
20 21
implementaes ou das comunicaes. Dessa maneira, a infra-estrutura de teleco- Tabela 2.2 Nmeros brasileiros do B2B de 2001. Fonte: Info100, da Revista Info Exame.
municaes, que permite a comunicao entre pessoas e recursos, deve ser bem Os maiores do B2B no Brasil em 2001
Ordem Empresa Transaes (R$ milhes) Ramo de atividades
projetada e bem dimensionada. Mais do que isso, o uso eficiente da tecnologia como
1 Ford 4610,9 Automotivo
meio de evoluo dos negcios e de desenvolvimento de novas oportunidades 2 Mercado Eletrnico 2000,0 E-marketplace
vital para a sobrevivncia de qualquer organizao. 3 Intel 1652,2 Computao
4 Genexis 1200,0 E-marketplace
O uso da tecnologia possui um sentido muito amplo, e deve-se tirar proveito
5 Cisco 1196,4 Computao
das inovaes tanto para a criao e desenvolvimento de produtos quanto para o 6 Porto Seguro 780,3 Seguros
estabelecimento de novos canais de relacionamento com os clientes. Um recente 7 Grupo VR 600,0 Vale-refeio
8 Ita Seguros 485,0 Seguros
caso de sucesso no Brasil, referente ao uso da tecnologia para a expanso dos 9 Ticket Servios 483,0 Servios
negcios, o da rede Ponto Frio. A operao virtual da loja, que abrange o site na 10 VB Servios 403,6 Vale-transporte
Internet e o telemarketing, vendeu mais do que qualquer uma das 350 lojas da
rede em dezembro de 2002, atingindo somente nesse ms R$ 13 milhes [AGE 03].
Enquanto que a loja virtual Submarino, que surgiu na Internet, faturou R$ 130 Tabela 2.3 Nmeros brasileiros das transaes de bancos e corretores de 2001. Fonte:
Info100, da Revista Info Exame.
milhes em 2002 [EXA 03], demonstrando a fora das oportunidades criadas com
Os maiores bancos e corretores no Brasil em 2001
o uso da tecnologia. Ordem Empresa Transaes (R$ milhes) Ramo de atividade
Vrios outros casos de sucesso do uso da Internet para a realizao de negcios
1 Bradesco 6725,5 Banco
podem ser vistos no Brasil. A Ford, por exemplo, movimentou, em 2001, mais de R$ 4 2 Ita 6000,0 Banco
bilhes em transaes com outras empresas Business-to-Business (B2B). A General 3 Unibanco 2800,0 Banco
4 Banco Real/ABN Amro 2250,4 Banco
Motors atingiu mais de R$ 1 bilho, em 2001, com a venda do veculo Celta no 5 BankBoston 1600,0 Banco
mercado direto com os consumidores Business-to-Consumer (B2C) [EXA 02]. Em 6 Santander 1496,2 Banco
7 Hedging-Griffo 241,0 Corretora
2002, somente a General Motors vendeu 90 mil veculos pela Internet, com o mercado 8 Socopa 104,1 Corretora
automobilstico brasileiro atingindo US$ 1,1 bilho em vendas online [EXA 03]. J os 9 Souza Barros 60,0 Corretora
10 Banco1.net 9,6 Banco
bancos Bradesco e Ita totalizaram, cada um, mais de R$ 6 bilhes em transaes
eletrnicas em 2001 [EXA 02]. Outros nmeros do mercado brasileiro podem ser vistos
nas tabelas 2.1 (B2C), 2.2 (B2B) e 2.3 (Bancos e corretoras) [EXA 02]. Assim, a prpria infra-estrutura de rede e a informtica podem ser consideradas
como duas das responsveis pelo avano da globalizao. Em menor escala, essa
Tabela 2.1 Nmeros brasileiros do B2C de 2001. Fonte: Info100, da Revista Info Exame. infra-estrutura, no mnimo, contribuiu e possibilitou o avano da globalizao,
Os maiores do B2C no Brasil em 2001 andando ambas na mesma direo. Se antes a Revoluo Industrial pde ser vista,
Ordem Empresa Transaes (R$ milhes) Ramo de atividade agora a Revoluo Digital faz parte da vida de todos.
1 General Motors 1044,0 Automotivo O papel da informtica como parte do processo de negcios de qualquer organi-
2 Mercado Livre 188,2 Leilo online
3 Carsale 90,5 Venda de carros
zao pode ser verificado mais claramente pelo aumento dos investimentos realiza-
4 Americanas.com 71,4 Varejo dos na rea de Tecnologia da Informao. A pesquisa da Giga Information Group
5 Submarino 71,1 Varejo
realizada no Brasil, por exemplo, mostrou que os investimentos em tecnologia da
6 Ford 39,5 Automotivo
7 BuscaP 38,3 Comparao de preos informao cresceram 5% em 2002, apesar das eleies e da retrao do mercado
8 Editora Abril 33,7 Comunicaes mundial [ITW 02]. Outra pesquisa, realizada pela International Data Corporation
9 Decolar.com 33,0 Turismo
10 Farmcia em Casa 26,1 Farmacutico (IDC), revelou em 2002 que 88% das 60 empresas da Amrica Latina pesquisadas
consideram a Internet uma importante ferramenta de negcios, tanto hoje como a
curto e mdio prazos [B2B 02].
22 23
Imagine uma falha em algum dos componentes da informtica, que pode afetar
negativamente os negcios da organizao. No caso do comrcio eletrnico, por
exemplo, a indisponibilidade ou problemas em um site faz com que o usurio faa a
compra no concorrente, pois bastam apenas alguns cliques no mouse para a mudan-
a entre diferentes lojas virtuais.
2.2AMBIENTES COOPERATIVOS
No mundo globalizado e de rpidos avanos tecnolgicos, as oportunidades de
negcios vm e vo com a mesma rapidez desses avanos. Todos vivenciam uma
poca de grandes transformaes tecnolgicas, econmicas e mercadolgicas. Gran-
des fuses esto acontecendo, implicando tambm na fuso de infra-estruturas
de telecomunicaes, o que pode resultar em srios problemas relacionados
segurana.
Alm das fuses entre as organizaes, as parcerias estratgicas e as formas de
comunicao avanam de tal modo que a infra-estrutura de rede de vital impor-
tncia para os negcios passa a ser uma pea fundamental para todos. Esse
contexto atual, de grandes transformaes comerciais e mercadolgicas, somado Figura 2.1 O ambiente cooperativo diversidade de conexes.
importncia cada vez maior do papel da Internet, faz com que um novo ambiente
surja, no qual mltiplas organizaes trocam informaes por meio de uma rede
integrada. Informaes tcnicas, comerciais e financeiras, necessrias para o bom
andamento dos negcios, agora trafegam por essa rede que conecta matrizes de 2.3 PROBLEMAS NOS AMBIENTES COOPERATIVOS
empresas com suas filiais, seus clientes, seus parceiros comerciais, seus distribuido- A propriedade determinante dos ambientes cooperativos a complexidade que
res e todos os usurios mveis. envolve a comunicao entre diferentes tecnologias (cada organizao utiliza a
A complexidade dessa rede heterognea atinge nveis considerveis, o que im- sua), diferentes usurios, diferentes culturas e diferentes polticas internas. O con-
plica em uma srie de cuidados e medidas que devem ser tomados, principalmente junto de protocolos da sute TCP/IP e a Internet possibilitaram o avano em direo
com relao proteo das informaes que fazem parte dessa rede. Esse ambiente, aos ambientes cooperativos, ao tornar possveis as conexes entre as diferentes
em que a rpida e eficiente troca de informaes entre matrizes, filiais, clientes, organizaes, de modo mais simples e mais barato que as conexes dedicadas. Po-
fornecedores, parceiros comerciais e usurios mveis um fator determinante de rm, essa interligao teve como conseqncia uma enorme implicao quanto
sucesso, chamado de ambiente cooperativo. proteo dos valores de cada organizao.
O ambiente cooperativo caracterizado pela integrao dos mais diversos siste- Algumas situaes que refletem o grau de complexidade existente nos ambien-
mas de diferentes organizaes, nos quais as partes envolvidas cooperam entre si, tes cooperativos podem ser vistas quando so analisadas, por exemplo, as conexes
na busca de um objetivo comum: velocidade e eficincia nos processos e nas reali- entre trs organizaes (A, B e C). Como proteger os valores da organizao A,
zaes de negcios, que representam os elementos-chave para o sucesso de qual- evitando que um usurio da organizao B acesse informaes que pertencem so-
quer tipo de organizao. A formao de um ambiente cooperativo (Figura 2.1), mente organizao A?
com as evolues que ocorrem nas conexes das organizaes e suas respectivas Pode-se supor uma situao em que os usurios da organizao B no podem
implicaes, pode ser vista com detalhes no Captulo 12. acessar informaes da organizao A, porm os usurios da organizao C podem
faz-lo. Como evitar que os usurios da organizao B acessem informaes da
24 25
organizao A, por meio da organizao C? Como pode ser visto na Figura 2.2, isso Internet podem chegar organizao A, caso a organizao B ou C tenha acesso
constitui um caso tpico de triangulao, na qual uma rede utilizada como ponte Internet (Figura 2.3).
para uma outra rede. Neste exemplo, usurios da organizao B podem acessar as
informaes da organizao A, o que proibido, utilizando a estrutura da organiza-
o C como ponte.
Figura 2.3 Os diferentes nveis de acesso somados ao perigo das triangulaes.

Figura 2.2 O perigo das triangulaes.
Os problemas decorrentes dessa situao so gigantescos, pois a organizao B A diviso entre os diferentes tipos de usurios, os desafios a serem enfrentados
pode ter acesso a informaes confidenciais da organizao A, sem que ela sequer no ambiente cooperativo e a complexidade que envolve a segurana desses ambien-
tome conhecimento desse fato, pois o acesso ocorre por intermdio da organiza- tes so analisados, com detalhes, no Captulo 13.
o C.
Alm das triangulaes, um outro problema que pode ocorrer em um ambiente
cooperativo o aumento da complexidade dos nveis de acesso. Isso pode ser visto
2.4 SEGURANA EM AMBIENTES COOPERATIVOS
em um exemplo no qual os usurios da organizao A podem acessar todos os Os problemas a serem resolvidos nos ambientes cooperativos refletem fielmente
recursos da organizao, enquanto os usurios da organizao cooperada B podem a situao de muitas organizaes atuais que buscam a vantagem competitiva por
acessar somente determinados recursos especficos, como, por exemplo, informa- meio da necessria utilizao da tecnologia. O ambiente cooperativo complexo, e
es sobre produtos e o setor financeiro. Somado a isso, h o fato de que os usurios a segurana necessria a ser implementada igualmente complexa, envolvendo
da Internet no podem acessar nenhum recurso da organizao A, enquanto a orga- aspectos de negcios, humanos, tecnolgicos, processuais e jurdicos.
nizao C tem acesso irrestrito aos recursos da organizao A. Essa situao de- Este livro ir enfocar com maior nfase os aspectos tecnolgicos relacionados
monstra o grande desafio de controlar os acessos em diferentes nveis, que pode se segurana em ambientes cooperativos. Porm, isso no significa que eles tenham maior
tornar mais complexo ainda, se diferentes usurios da organizao B necessitam relevncia com relao aos outros. Todos os aspectos so de extrema importncia e
acessar diferentes recursos da organizao A. Ainda nesse exemplo, pode-se ver devem ser considerados na implantao da segurana nos ambientes cooperativos.
novamente o problema da triangulao, de modo ainda mais crtico: os usurios da De fato, a tecnologia faz parte de um pilar que inclui ainda os processos e as
pessoas, que devem ser considerados para a elaborao de uma estratgia de segu-
26 27
rana coerente, de acordo com os aspectos de negcios da organizao, respeitando * Como integrar as diversas tecnologias disponveis?
sempre os aspectos jurdicos. A segurana em ambientes cooperativos ser o resul- * Enfim, como garantir a segurana nesse ambiente cooperativo?
tado do conjunto de esforos para entender o ambiente e as tecnologias, saber como
utiliz-las e implement-las de modo correto. O livro visa auxili-lo na busca da
segurana, identificando os pontos da infra-estrutura de rede a serem protegidos, 2.5 CONCLUSO
apontando os principais perigos existentes, discutindo tecnologias relacionadas Este captulo discutiu a importncia da informtica para os negcios de todas as
segurana e propondo um modelo de segurana que englobe tcnicas, metodologias organizaes. A necessidade cada vez maior de conexes resulta em uma complexi-
e tecnologias de segurana. dade nas configuraes de redes de todos os envolvidos. Com isso, formado um
Embora haja uma grande variedade de tecnologias e tcnicas de segurana, que ambiente cooperativo que traz consigo uma srie de implicaes de segurana,
sero apresentadas no decorrer do livro, o administrador de segurana passa por principalmente quanto aos limites entre as redes e aos perigos de triangulaes. A
grandes dificuldades no sentido de saber o que fazer para proteger sua rede, fican- formao de um ambiente cooperativo ser mostarda com detalhes no Captulo 12,
do, muitas vezes, completamente perdido quanto s aes a serem tomadas. O na Parte III, que apresenta, ainda, a forma de trabalhar com as diferentes tcnicas,
firewall cooperativo, o modo de definir as regras de filtragem e o modelo hierrqui- tecnologias e conceitos de segurana.
co de defesa visam justamente auxiliar no processo de proteo da rede, por meio
da apresentao das tcnicas, tecnologias e arquiteturas mais adequadas para cada
situao, independentemente do produto a ser utilizado.
Algumas questes que sero discutidas neste livro so:
* Por que a segurana to importante em todas as organizaes?

* Por que a segurana um dos habilitadores de negcios em um ambiente
cooperativo?
* Quais so os maiores riscos que rondam as organizaes?
* Qual a importncia e a necessidade da educao dos usurios?
* Qual a importncia e a necessidade de uma poltica de segurana?
* Quais so as fronteiras entre as organizaes no ambiente cooperativo?
* Como um firewall funciona, e quais as diferenas existentes entre eles?
* Quais so os maiores problemas envolvendo firewalls e o ambiente cooperati-
vo?
* Como resolver os problemas de regras de filtragem, inerentes ao ambiente
cooperativo?
* Como implementar e garantir um nvel de hierarquia entre as comunicaes
das diversas organizaes no ambiente cooperativo?
* Qual tecnologia utilizar para garantir a proteo dos valores da organizao?
Firewall, sistema de deteco de intruso (Intrusion Detection System, IDS),
criptografia, autenticao de dois fatores, biometria, Single Sign-On (SSO),
infra-estrutura de chaves pblicas (Public Key Infrastructure, PKI), IP Security
(IPSec), rede privada virtual (Virtual Private Network, VPN)?
* Quais os aspectos de segurana que devem ser considerados em um ambiente
sem fio (wireless)?
A necessidade de segurana
Neste captulo, no qual a segurana tem todo o enfoque, no qual

sero discutidas questes sobre investimentos em segurana e os
seus mitos, bem como a relao da segurana com os negcios, as
funcionalidades, a produtividade e os riscos envolvidos. Tambm
sero abordados os aspectos da segurana de redes e a impossibili-
dade de se ter uma rede totalmente segura.
3.1 A SEGURANA DE REDES

A informtica um instrumento cada vez mais utilizado pelo ho-
mem, o qual busca incessantemente realizar seus trabalhos de modo
mais fcil, mais rpido, mais eficiente e mais competitivo, produzin-
C do, assim, os melhores resultados. A rede uma das principais tecno-
logias, permitindo conexes entre todos os seus elementos, que vo
a
desde roteadores at servidores que hospedam o site Web da organi-
p zao e o banco de dados dos clientes, passando ainda por sistemas
financeiros e Customer Relationship Management (CRM). Esses recur-
t sos disponibilizados pela rede representam, na Era da Informao,
at mesmo o prprio negcio das organizaes. Isso faz com que sua
u flexibilidade e facilidade de uso resultem em maior produtividade e
l na possibilidade de criao de novos servios e produtos, e conse-
o qentemente em maiores lucros para a organizao.
A confiabilidade, integridade e disponibilidade dessa estrutura
3 de rede passam, assim, a ser essenciais para o bom andamento das
SEGURANA DE REDES EM AMBIENTES COOPERATIVOS Captulo 3: A necessidade de segurana
30 31
organizaes, fazendo com que elas precisem ser protegidas. A proteo visa, sob Assim, a segurana de redes, que pode prover grande parte da manuteno da
esse ponto de vista, a manuteno do acesso s informaes que esto sendo disponibilidade, integridade e sigilo das informaes, significa, na realidade, muito
disponibilizadas para os usurios. Isso significa que toda informao deve chegar mais do que a proteo contra hackers, maus funcionrios ou vrus. A segurana
aos usurios de uma forma ntegra e confivel. Para que isso acontea, todos os significa permitir que as organizaes busquem seus lucros, os quais so conse-
elementos de rede por onde a informao flui at chegar ao seu destino devem estar guidos por meio de novas oportunidades de negcios, que so resultado da flexi-
disponveis, e devem tambm preservar a integridade das informaes. O sigilo bilidade, facilidade e disponibilidade dos recursos de informtica. Portanto, a
tambm pode ser importante; forma junto com a integridade e a disponibilidade segurana deve ser considerada no apenas uma proteo, mas o elemento
formam as propriedades mais importantes para a segurana (Figura 3.1). habilitador dos negcios da organizao. De fato, pesquisas indicam que os con-
sumidores deixam de realizar negcios via Internet quando no confiam na segu-
rana de um site [IDG 01].
A importncia da segurana pode ser reforada ainda mais quando se v as
novas oportunidades de negcios que surgem no mundo digital, condicionando seu
sucesso eficincia da estratgia de segurana. Em alguns casos, a falta de seguran-
a traduzida na negativa de ser usada uma novidade tecnolgica. Algumas dessas
oportunidades que podem ser exploradas so:
Figura 3.1 As propriedades mais importantes da segurana.

* E-marketing: Site Web.
* E-sales: Venda de produtos e servios pela rede.
A segurana de redes, assim, uma parte essencial para a proteo da informa-
* E-service: Como as referncias cruzadas de livros de interesse dos clientes,
o, porm uma boa estratgia que deve ser levada em considerao so os aspectos
pela Amazon Books.
humanos e processuais de uma organizao. Isso importante porque outros mto-
* E-support: Como a Federal Express, que informa a situao atual da carga, em
dos de ataques, alm dos tecnolgicos, afetam os nveis de segurana de uma orga-
tempo real.
nizao. Este livro, porm, manter o enfoque nos aspectos tecnolgicos da segu-
* E-supply: Construo e integrao da cadeia de fornecimento entre seus for-
rana, no significando, que esse seja o aspecto mais importante. A Figura 3.2
necedores e clientes.
mostra os aspectos que devem ser considerados na proteo da informao, os quais
* E-business: Relao de negcios entre parceiros de negcios.
incluem ainda os aspectos jurdicos e negcios de negcios que direcionam efetiva-
* E-marketplace: Pontos de encontro virtuais entre compradores e fornecedores.
mente a estratgia de segurana de cada tipo de organizao.
* E-engineering: Desenvolvimento de produtos de modo colaborativo.
* E-procurement: Relacionamento entre fornecedores e prestadores de servios.
* E-government: Relacionamento entre o governo e os cidados.
* M-commerce: Comrcio eletrnico via terminais mveis.
De fato, os nmeros comprovam o grande crescimento dos negcios realizados

via Internet no Brasil e no mundo. Segundo a pesquisa feita pela e-Consulting
[EXA 03-2], o volume do comrcio eletrnico brasileiro saltou de 2,1 bilhes de
dlares em 2001 para 5,1 bilhes de dlares em 2002. No mbito mundial, o
nmero chegou a 1.167 bilhes de dlares em 2002. No Brasil, o volume de neg-
Figura 3.2 Os aspectos envolvidos na proteo da informao.
cios Business-to-Business (B2B) passou de 1,6 bilho de dlares em 2001 para 3,7
32 33
bilhes de dlares em 2002, enquanto o Business-to-Consumer (B2C) movimentou

1,42 bilho de dlares em 2002, contra 0,5 bilho de dlares em 2001. J o
Business-to-Government (B2G) brasileiro movimentou, em 2002, 1,2 bilho de d-
lares [EXA 03-2]. Esses dados demonstram o crescimento cada vez maior do papel
do comrcio eletrnico para as organizaes. A disponibilidade, o sigilo e a inte-
gridade das informaes tm uma importncia imensurvel nesse cenrio, que
cresce cada vez mais.
Dessa maneira, a segurana deve ser vista como o elemento que permite que
novas oportunidades sejam exploradas de forma concreta, de maneira que, sem
ela, no existem negcios, pelo menos a longo prazo. Diversos tipos de ataques Figura 3.4 Crescimento das vulnerabilidades reportadas pelo CERT/CC, de 1995 a 2002.
que comprometem a existncia de negcios sero descritos no decorrer deste
livro. A maior indicao de perigo est no fato de as pesquisas mostrarem um
aumento no nmero de incidentes de segurana envolvendo a Internet. O CERT 3.2 MAIOR EVOLUO, MAIOR PREOCUPAO COM A
Coordination Center [CER 03], operado pela Carnegie Mellon University, comprova
SEGURANA
esse nmero, mostrando que em 2002 foram reportados 82.094 incidentes de
segurana, que representam um volume 56% maior do que em 2001. O nmero de Nos tempos do mainframe, os aspectos de segurana eram simples, relacio-
vulnerabilidades reportadas pelo CERT em 2002 tambm foi considervel, atingin- nados basicamente com o nome de usurio e sua senha [DID 98]. Atualmente, o
do 4.129 vulnerabilidades em 2002, contra 2.437 em 2001, ou seja, um cresci- alto grau de conectividade e a grande competitividade trouxeram, alm dos seus
mento de quase 70%. A Figura 3.3 mostra a evoluo do nmero de incidentes grandes benefcios, outros tipos de problemas inerentes s novas tecnologias.
reportados ao CERT desde 1988, enquanto que a Figura 3.4 mostra a evoluo das Os avanos tecnolgicos vm resultando em grandes oportunidades de negci-
vulnerabilidades reportadas, desde 1995. No Brasil, o NBSO [NBSO 03], que cons- os, porm, quanto maior essa evoluo, maiores as vulnerabilidades que apare-
titui o Grupo de Resposta a Incidentes para a Internet Brasileira mantido pelo cem e que devem ser tratadas com a sua devida ateno. Alguns culpam a pr-
Comit Gestor da Internet no Brasil, tambm observou um grande aumento do pria indstria pelo aumento das vulnerabilidades, acusando-a de no estar dando
nmero incidentes reportados. Em 2001, foram reportados 12.301 incidentes, en- a ateno necessria aos aspectos de segurana de seus produtos. De fato, mui-
quanto que em 2002 foram 25.092 incidentes reportados, o que representa um tas organizaes esto mais interessadas em finalizar rapidamente os seus pro-
aumento de mais de 100%. dutos para coloc-los no mercado antes de seus concorrentes. Isso acontece at
mesmo na indstria de tecnologias de segurana, onde vrios produtos j apre-
sentaram falhas.
O que pode ser observado, porm, que no um fato isolado, mas sim um
conjunto de fatores, que acaba acarretando o aumento das vulnerabilidades e a
crescente preocupao com a proteo:
* A competitividade e a pressa no lanamento de novos produtos.

* O alto nvel de conectividade.
* O aumento do nmero de potenciais atacantes.
* O avano tecnolgico, que resulta em novas vulnerabilidades intrnsecas.
Figura 3.3 Crescimento dos incidentes reportados pelo CERT/CC, de 1988 a 2002.
34 35
* O aumento da interao entre organizaes, resultando nos ambientes coope- 3.3 SEGURANA COMO PARTE DOS NEGCIOS
rativos.
Nas dcadas de 70 e 80, a informtica fazia parte da retaguarda dos negcios das
* A integrao entre diferentes tecnologias, que multiplica as vulnerabilidades.
organizaes, nas quais o enfoque principal da segurana era o sigilo dos dados. Era
* A Era da Informao, onde o conhecimento o maior valor.
a poca dos mainframes, e a proteo era voltada para os dados. Entre as dcadas de
* A segurana representando a habilitao de negcios.
80 e 90, com o surgimento dos ambientes de rede, a integridade passou a ser de
suma importncia, e a proteo era feita no tendo em mente os dados, mas sim as
A evoluo do mercado, da concorrncia, dos negcios e da tecnologia continua
informaes. A informtica fazia parte da administrao e da estratgia da organi-
comprovando a importncia da segurana. Por exemplo, as redes sem fio (wireless),
zao. A partir da dcada de 90, o crescimento comercial das redes baseados em
mostradas no Captulo 5, trouxeram muitos benefcios para seus usurios, mas tam-
Internet Protocol (IP) fez com que o enfoque fosse mudado para a disponibilidade. A
bm muitas mudanas nos aspectos de segurana. Preocupaes antes no to for-
informtica, agora, tornou-se essencial nos negcios, e o conhecimento que deve
tes, como o acesso fsico rede, passaram a ser muito mais relevantes, motivando a
ser protegido.
criao de novos protocolos de segurana. Porm, no Captulo 5 ser mostrado que,
Pode-se definir os dados como um conjunto de bits armazenados, como nomes,
mesmo esses protocolos, como o Wired Equivalente Protocol (WEP), usado no padro
endereos, datas de nascimento, nmeros de cartes de crdito ou histricos finan-
Institute of Electrical and Electronics Engineers (IEEE) 802.11, possui falhas que
ceiros. Um dado considerado uma informao quando ele passa a ter um sentido,
possibilitam ataques. Outros fatos demonstram a relao entre a evoluo tecnolgica
como as informaes referentes a um cliente especial. O conhecimento o conjunto
e os aspectos de segurana:
de informaes que agrega valor ao ser humano e organizao, valor este que
resulta em uma vantagem competitiva, to importante no mundo atual.
* O surgimento do conjunto de protocolos Transmission Control Protocol/Internet
Neste mundo globalizado, onde as informaes atravessam fronteiras com ve-
Protocol (TCP/IP) e o advento da Internet fizeram com que o alcance das
locidade espantosa, a proteo do conhecimento de vital importncia para a
invases crescesse em propores mundiais, uma vez que qualquer um pode
sobrevivncia das organizaes. As dimenses dessa necessidade passam a influ-
atacar qualquer alvo.
enciar diretamente os negcios. Uma falha, uma comunicao com informaes
* A criao de linguagens macro em aplicativos como o Word ou o Excel fez
falsas ou um roubo ou fraude de informaes podem trazer graves conseqncias
surgir uma nova gerao de vrus, que se espalham com uma velocidade nunca
para a organizao, como a perda de mercado, de negcios e, conseqentemente,
antes vista (tambm por intermdio de e-mails), pois qualquer tipo de arqui-
perdas financeiras. Desse modo, a proteo, no s das informaes e de seu
vo de dados pode estar infectado, e no mais somente os arquivos executveis
capital intelectual, mas tambm de todos os recursos envolvidos na infra-estrutu-
e os discos de inicializao.
ra de rede, deve ser tratada com a devida importncia. E como o conhecimento
* A Web e as linguagens criadas para a Internet, como o JavaScript ou o ActiveX,
o principal capital das organizaes, proteg-lo significa proteger o seu prprio
so de difcil controle e podem causar srios problemas, caso contenham cdi-
negcio. Assim, a segurana passa a fazer parte do processo de negcios das
gos maliciosos e sejam executados em uma rede interna.
organizaes.
* A sofisticao dos e-mails que passaram a interpretar diversos tipos de cdi-
O grande problema que muitos processos de negcios no foram concebidos
gos e a executar diversos tipos de arquivos. Eles so explorados de forma
no contexto de um ambiente distribudo e de redes, e muitos outros foram desen-
bastante intensa pelos vrus, vermes (worms) e cavalos de Tria, causando
volvidos sem o enfoque na segurana, mas com a abordagem se funcionar, est
pnico e prejuzos para um grande nmero de organizaes.
timo.
* O avano nas pesquisas de clonagem pode resultar em mais problemas envol-
O resultado disso uma aplicao de remendos para os problemas de segurana,
vendo a segurana, principalmente relativos biometria (Captulo 11), a qual
sem uma estratgia e uma arquitetura de segurana que protejam de fato a organi-
vem sendo desenvolvida para minimizar problemas existentes nas tecnologias
zao. Essa abordagem de remendos considerada melhor do que a inexistncia de
tradicionais de autenticao.
36 37
qualquer abordagem, porm ela cria um falso senso de segurana, que muito 3.4 COMO A SEGURANA VISTA HOJE
perigoso, e muitas vezes pior do que no ter segurana alguma. De fato, a superfi-
Apesar de a segurana ser, atualmente, essencial para os negcios das organiza-
cialidade e a utilizao de tcnicas parciais e incompletas pode aumentar a
es, a dificuldade em entender sua importncia ainda muito grande. Muitas
vulnerabilidade da organizao. Sem um plano e uma arquitetura de segurana bem
vezes, a nica segurana existente a obscuridade. Criar redes sem proteo, achando
definidos, as tecnologias de segurana podem ser mal interpretadas e mal utilizadas
que ningum ir descobrir as brechas, configurar servidores particulares na organi-
como o firewall, que, se for mal configurado e mal utilizado, no tem funo
zao para acesso domstico ou o uso de chaves de criptografia no prprio cdigo
nenhuma na rede. Alis, achar que o firewall resolve os problemas de segurana
de um software so alguns maus exemplos que devem ser evitados. Essa obscuridade
um dos grandes erros disseminados entre as organizaes. Isso poder ser visto ao
constitui um risco muito grande para a organizao, pois, mais cedo ou mais tarde,
longo da leitura deste livro.
algum poder descobrir que um grande tesouro est sua completa disposio.
A estreita relao entre a segurana e os negcios pode ser vista no seguinte
De fato, apenas uma questo de tempo para que isso acontea, causando
exemplo: na medida em que as organizaes migram para a Web, vendendo seus
grandes prejuzos, sejam eles financeiros, morais ou relacionados reputao. E
produtos diretamente ao consumidor, por meios eletrnicos, a segurana passa
todos sabem que uma boa reputao pode demorar anos para ser construda, mas
a ser o corao dessa venda. A transmisso do nmero do carto de crdito
pode ser destruda em questo de instantes. claro que esse aspecto depende da
deve ser segura, os dados do consumidor devem ser protegidos e os dados do
rea de atuao da organizao. Por exemplo, para um banco, um incidente de
carto de crdito recebidos devem ser muito bem armazenados. Assim, a segu-
segurana, por menor que seja, far com que seus clientes percam a confiana nos
rana passa a ser, em um primeiro momento, o principal responsvel pelo neg-
servios prestados, e eles procuraro outros meios para movimentarem seus recur-
cio, o elemento que permite que a venda realmente acontea. Se, em outros
sos financeiros. A grande questo, portanto, est na confiana. Os bancos traba-
tempos, o setor comercial era o responsvel pelas decises de vendas, hoje, no
lham com isso, de forma que o grande negcio deles tem como base a confiana
mundo eletrnico, o profissional de segurana tem um papel importante, influ-
obtida de seus clientes.
enciando diretamente nos negcios da organizao. ele o responsvel pela
E justamente nela que se baseia ou se basearo os negcios da maioria das
definio e implementao da estratgia de segurana das transaes eletrni-
organizaes. Tudo isso como resultado da globalizao da economia mundial e do
cas e pelo armazenamento de todas as informaes. O profissional de segurana
aumento do nmero de conexes das organizaes. Pode-se ver que a convergncia
passa, assim, de uma posio tcnica obscura para a linha de frente dos negci-
para as redes um processo natural, pois ela permite que os negcios sejam reali-
os da organizao.
zados de modo mais eficiente, dinmico e produtivo, o que faz com que as relaes
Um caso que mostra claramente a forte ligao entre segurana e comrcio
entre as organizaes e seus clientes, fornecedores, parceiros e funcionrios depen-
eletrnico o da loja virtual de CDs CD Universe. Aps a base de dados dos clien-
dam cada vez mais dessa estrutura. Portanto, os ambientes cooperativos so criados
tes, que continha 300 mil nmeros de cartes de crdito, ter sido roubada, sua
e crescem, desenvolvendo um novo modelo de negcios com base nas redes, e eles
reputao ficou seriamente comprometida, de modo que seus antigos clientes
necessitam de um grande grau de confiana, para que funcionem de maneira ade-
passaram a no confiar mais na loja [INT 00]. Um outro exemplo em que fica claro
quada. Do mesmo modo que os bancos dependem da confiana que recebem de seus
que a segurana tem uma forte ligao e grande influncia nos negcios o
clientes, o mesmo ocorre com as demais organizaes.
prprio ambiente cooperativo. O sucesso, muitas vezes, depende da comunicao
A organizao que faz parte de um ambiente cooperativo deve entender que a
segura entre matrizes, filiais, fornecedores, parceiros comerciais, distribuidores e
segurana essencial para o sucesso de seus negcios. Se nos bancos a relao de
clientes.
confiana existia entre a instituio e seus clientes, hoje, essa relao ocupa di-
Assim, a segurana da informao e os negcios esto estritamente ligados.
menses ainda maiores, na qual a confiana no deve existir apenas entre a organi-
Hoje, o profissional de segurana est partindo para um trabalho mais orientado a
zao e seus clientes, mas tambm entre a organizao e seus fornecedores, parcei-
essa nova realidade, na qual ele tem de ouvir as pessoas, de modo a entender e saber
ros, distribuidores e funcionrios. Isso porque um incidente de segurana em um
como aplicar as tecnologias de acordo com a organizao, sua estratgia de negci-
nico ponto dessa rede pode comprometer todo o ambiente cooperativo.
os, suas necessidades e sua estratgia de segurana.
38 39
Por exemplo, se em uma cadeia do processo de negcios, um fornecedor sofrer cionar com segurana ser o grande diferencial entre as organizaes boas e
algum incidente de segurana, esse incidente pode alastrar-se por todos os outros confiveis e as ms, que no recebero a confiana necessria para o seu suces-
pontos do ambiente cooperativo. Isso pode resultar em um rompimento das rela- so e tendero ao fracasso.
es de confiana entre os pontos do ambiente cooperativo, pois a falha de um Seguir a idia de que a segurana e o ambiente cooperativo devem andar juntos
pode trazer prejuzos para todos. trar, alm de bons negcios, grandes benefcios economia global e tambm a
A segurana ainda um campo relativamente novo, e muitos ainda no conse- garantia de sobrevivncia.
guem enxergar sua importncia, imaginando apenas que as solues so caras e no
trazem nenhum retorno financeiro. Apesar dessa viso estar evoluindo com o de-
correr dos anos, ela faz com que os executivos prefiram aplicar seus recursos em 3.5 INVESTIMENTOS EM SEGURANA
novas solues que possam trazer vantagens visveis aos olhos de todos. Um dos principais obstculos para a definio e implementao de mecanismos
Esse o maior desafio da segurana: uma soluo de segurana imensurvel e de segurana o seu oramento, comumente pequeno ou praticamente inexistente.
no resulta em melhorias nas quais todos podem notar que alguma coisa foi feita. Apesar disso estar mudando aos poucos, como poder ser visto a seguir, o principal
Pelo contrrio, a segurana tem justamente o papel de evitar que algum perceba que ponto a ser considerado que, como foi visto no tpico anterior, os executivos
alguma coisa est errada. O fato que ningum percebe a existncia da segurana, geralmente no tm a viso necessria para enxergar a importncia de uma boa
apenas a inexistncia dela, quando um incidente acontece e resulta em prejuzos estratgia de segurana.
gigantescos. Sobre a segurana, ainda hoje se tem esse conceito de que ela um Alguns executivos no se importam nem mesmo com a possvel perda de
artigo caro e dispensvel, necessrio somente quando algum ataque acontece e traz credibilidade. Um caso recente aconteceu em fevereiro de 2003, com o fabricante de
prejuzos organizao. Apesar dessa viso reativa, algumas organizaes j vem a jogos eletrnicos Epic Games, Inc. Um pesquisador de segurana descobriu
segurana com outros olhos, passando a consider-la como parte essencial do neg- vulnerabilidades que atingiam vrios jogos da Epic e enviou o alerta particularmen-
cio. A formao de equipes dedicadas de segurana da informao um indicativo te empresa. Aps 90 dias de tentativas em auxiliar a empresa a corrigir os proble-
desse fato. Nos Estados Unidos, 60% das empresas pesquisadas j possuem, pelo me- mas, e sem obter resposta coerente, o pesquisador divulgou o boletim de segurana.
nos, uma pessoa dedicada ao assunto [WAR 03-2], enquanto no Brasil, 98% das em- Somente aps a divulgao pblica que a Epic finalmente agiu de uma forma
presas possuem, pelo menos, uma pessoa dedicada [MOD 02]. coerente, como deveria ter acontecido desde o incio [BUG 03].
O que realmente necessrio que o ambiente cooperativo seja analisado de Esse fato demonstra que, geralmente, a segurana vista como um elemento
acordo com sua importncia e com os grandes benefcios que ele pode trazer suprfluo dentro das organizaes, criando-se diversos mitos quanto ao assunto, os
organizao. impossvel que um ambiente cooperativo exista sem que as questes quais podem ser vistos na Seo 3.6. Como as prprias organizaes tm oramen-
relacionadas segurana sejam discutidas e solucionadas. tos limitados, a segurana acaba ficando em segundo plano, geralmente vindo
O grande ideal que a segurana passe a ser um processo transparente tona apenas quando extremamente necessria, ou seja, apenas quando a organi-
dentro das organizaes, algo parecido com o que aconteceu com a qualidade. zao sofre algum incidente de segurana, como um ataque ao banco de dados ou a
Todos comearam a buscar a qualidade em seus negcios, de tal forma que, hoje, divulgao pblica de material confidencial.
quando qualquer servio prestado ou nem ao menos qualquer produto ven- Essa viso reativa, com as decises de segurana sendo tomadas apenas aps um
dido, estes devem ter qualidade, sem que isso seja sequer discutido. No mais incidente, traz uma srie de conseqncias negativas para a organizao, principal-
uma questo de avaliar se possvel, mas sim de que necessrio ter qualidade. mente no que se refere perda de credibilidade e resultante perda de mercado.
O mesmo caminho dever ser seguido pela segurana. A questo no deve ser se Isso acaba gerando um grande problema para os administradores de segurana,
existe ou no segurana, mas sim em que nvel se encontra. Assim como a que acabam no tendo os recursos necessrios para uma atuao de forma preven-
qualidade, ela deve ser considerada um pr-requisito do processo de negcios, tiva. preciso fazer com que os executivos passem a considerar a segurana da
pois se no existe a segurana, no existem os negcios. O princpio de que se organizao como um elemento essencial para o seu sucesso neste mundo no qual
funcionar, est bom, todos sabem adotar. Mas o conceito de que preciso fun- as conexes fazem uma grande diferena no mercado. Esses executivos devem en-
40 41
tender que a soluo de segurana no gera gastos, mas um investimento habilitador Esse fato pode ser comprovado pelo crescente aumento dos investimentos com
de seus negcios, o ponto-chave dentro dessa estratgia. segurana. Nos Estados Unidos, uma pesquisa indicou que sero investidos, em
Felizmente, isso comeou a mudar, fruto da evoluo natural do mercado e tam- mdia, 10,3% do oramento de tecnologia da informao em 2003, o que significa
bm dos recentes acontecimentos que fizeram com que o assunto ficasse em evi- um aumento de 9,5% com relao a 2002 [WAR 03]. Segundo a pesquisa, mais de
dncia at mesmo nos noticirios mais tradicionais. Um dos primeiros eventos que 33% das organizaes possuem reservados mais de 1 milho de dlares para 2003,
tiveram exposio na mdia foram os vrus Melissa e ExploreZip, que causaram pro- enquanto 36% possuem oramento entre 101 mil dlares e 1 milho de dlares
blemas diversas organizaes em 1999. Segundo a Computer Economics [COM 03], [WAR 03].
os prejuzos nos Estados Unidos em 1999 foram de 12,1 bilhes de dlares, dos Outra pesquisa, da Meta Group, mostra que, apesar da diminuio do oramento
quais 1,2 bilho de dlares foram referentes ao Melissa. J o vrus I Love You, ou corporativo mundial, a rea de segurana continua aumentando seu oramento. Em
Love Bug, causou, em 2000, um prejuzo de 6,7 bilhes de dlares somente nos seus 2001, 33% das organizaes gastaram mais de 5% de seu oramento com segurana
cinco primeiros dias. Em 2000, os prejuzos chegaram a 17,1 bilhes de dlares, ou e, no final de 2003, cerca de 55% das empresas gastaro mais de 5% do oramento
seja, um crescimento de mais de 40% com relao ao ano anterior. J em 2001, os com segurana [MUL 02]. No Brasil, 77% das organizaes pesquisadas pretendiam
prejuzos estimados foram de 13,2 bilhes de dlares [COM 03]. J o Slammer Worm, aumentar seus investimentos com segurana no decorrer de 2002 e 2003, enquanto
que atingiu um grande nmero de sistemas no incio de 2003, causou prejuzos que 21% pretendiam manter os mesmos valores [MOD 02].
entre 950 milhes de dlares e 1,2 bilho de dlares em perda de produtividade, nos interessante notar que, para as organizaes, os investimentos em segurana
cinco primeiros dias de contaminao [LEM 03][mi2g 03]. Os prejuzos causados so considerados cada vez mais estratgicos, de modo que existe uma tendncia de
pelos principais vrus podem ser vistos na Tabela 3.1: que a segurana possua seu prprio oramento, separado dos recursos destinados
tecnologia da informao. Em 2002, 20% das organizaes americanas possuam
Tabela 3.1 Prejuzos causados pelos principais vrus. Fonte: Computer Economics e oramento prprio, e em 2003 essa porcentagem crescer para 25% [WAR 03]. Atual-
mi2g.
mente, o que pode ser observado tambm que a segurana fsica tende a possuir
Ano Vrus Prejuzos (em milhes de dlares)
seu prprio oramento, o que de fato acontece em 71% das organizaes [WAR 03].
1999 Melissa 1 200
2000 I Love You 8 750
No Brasil, foram apontados que 78% das organizaes possuem oramento especfi-
2001 Nimda 635 co para a rea de segurana, normalmente junto com o oramento da tecnologia;
2001 Code Red (variaes) 2 620 33% das organizaes reservam entre 1 e 5% do oramento de tecnologia para a
2001 Sircam 1 150
2002 Klez 9 mil rea de segurana, enquanto que 24% das organizaes reservam entre 5 a 10% do
oramento de tecnologia [MOD 02].
Um outro acontecimento que despertou o interesse da mdia internacional fo- Nos Estados Unidos, os principais trs assuntos mais importantes que tm rece-
ram os ataques distribudos de negao de servio ocorridos em fevereiro de 2000, bido investimentos so a tecnologia (93%), a poltica (57%) e o pessoal (39%). J a
os quais tornaram inacessveis grandes sites como Amazon, Yahoo, UOL, E-Bay, porcentagem do oramento de segurana alocada para a tecnologia atinge 36%,
Zipmail, entre outros. Segundo a Yankee Group, os prejuzos mundiais baseados em seguidos pelo pessoal (23%), consultoria (11%), poltica (9%), processos (9%),
perda de capitalizao, perda de receita e custos com atualizao de mecanismos de educao (8%) e outros (4%). As empresas americanas ainda necessitam de aumen-
segurana foram de 1,2 bilho de dlares [DAMI 00]. to dos investimentos em tecnologia (61%), educao (51%), pessoal (41%), proces-
Porm, os piores incidentes que influenciaram o mercado de segurana foram os sos (33%), poltica (28%), consultoria e terceirizao (16%) e outros (2%) [WAR 03-
atentados terroristas de 11 de setembro de 2001. Com as imensurveis perdas, mui- 1]. No Brasil, os trs principais assuntos que esto nos planos de investimentos so
tas organizaes perderam tudo, desde seu capital humano e intelectual at suas a capacitao da equipe tcnica (81%), poltica de segurana (76%) e anlise de
informaes. Isso fez com que a preveno passasse a ser vista com mais interesse riscos (75%) [MOD 02].
do que acontecia normalmente. As pesquisas nos Estados Unidos e no Brasil indicam uma tendncia clara do
aumento da importncia dos assuntos relacionados segurana da informao den-
42 43
tro das organizaes, quer sejam em termos de oramento quer em investimentos 3.6 MITOS SOBRE SEGURANA
com capacitao.
Diversos mitos sobre segurana so utilizados pelos executivos para tapar os
Desconsiderando-se os nmeros referentes s pesquisas, os valores relacionados
olhos com relao ao assunto. interessante observar que, conforme o conheci-
segurana so difceis de ser quantificados, pois o que est em jogo so, alm dos
mento sobre o assunto, o qual abrangente, vai aumentando, a preocupao e o
recursos considerados tangveis (horas de trabalho para a recuperao, equipamen-
conjunto de aes a serem tomados tambm aumenta enquanto que para aqueles
tos, software), os recursos intangveis (valor do conhecimento, quebra de sigilo,
que no conhecem os riscos no existe a preocupao com a segurana, pois a viso
imagem da organizao). Alm disso, os clculos sempre so feitos com base em
mais limitada faz com que eles pensem que tudo est bem. Como explicar o fato de
suposies, tais como: Se o sistema for atingido, teremos $$$ de prejuzos, ento,
que 32% das empresas brasileiras no sabem informar se, ao menos, sofreram um
o melhor investir $$$ para a proteo dos recursos da organizao.
incidente de segurana [MOD 02]? Nos Estados Unidos, essa porcentagem de 12%
O enfoque, nesse caso, a identificao dos valores estimados das informaes
[CSI 02].
da organizao e tambm o clculo e a avaliao dos impactos nos negcios em caso
De fato, comprovado que no possvel proteger os recursos de riscos que no
de um incidente. Essa abordagem permite entender exatamente o que ocorre se a
se conhece se no se conhece os riscos, para que a proteo? Alguns dos mitos
organizao sofre danos nessas informaes.
mais comuns so:
Assim, uma anlise de riscos e uma metodologia para quantificar e qualificar os
nveis de segurana de cada recurso da organizao so importantes. Elas auxiliam
* Isso nunca acontecer conosco.
na criao da proposta e das justificativas de investimentos para a implantao de
* Nunca fomos atacados, no precisamos de mais segurana.
um sistema de segurana adequado.
* J estamos seguros com o firewall.
Essa abordagem, porm, baseada no mtodo do medo, incerteza e dvida (Fear,
* Utilizamos os melhores sistemas, ento, eles devem ser seguros.
Uncertainty and Doubt FUD), ou seja, na possibilidade de perda em caso de um
* No d para gastar com segurana agora, deixa assim mesmo.
incidente. Como a anlise feita na base do Se a organizao no investir $$$, os
* Utilizamos as ltimas verses dos sistemas dos melhores fabricantes.
prejuzos sero de $$$, e no com base em fatos concretos, os projetos de seguran-
* Nossos fornecedores iro nos avisar, caso alguma vulnerabilidade seja encon-
a eram vistos com certa reticncia pelos executivos. interessante observar que o
trada.
prprio ser humano tem dificuldade em atuar de forma preventiva. Porm, aps os
* Ningum vai descobrir essa brecha em nossa segurana.
atentados terroristas de 11 de setembro, os executivos passaram a dar mais impor-
* Tomamos todas as precaues, de modo que os testes no so necessrios.
tncia a todos os aspectos de segurana, desde os pessoais at os tecnolgicos. Os
* Vamos deixar funcionando e depois resolveremos os problemas de segurana.
incidentes demonstraram, da pior maneira possvel, os grandes prejuzos que po-
* Os problemas de segurana so de responsabilidade do departamento de TI.
dem ser causados. Foram imensas as perdas de materiais, informaes, equipamen-
* Lus, depois de instalar o Word para a Cludia, voc pode instalar o firewall?
tos, capital intelectual e capital humano.
* A companhia de TI que foi contratada ir cuidar da segurana.
Assim, a maior quantidade possvel de informao ajuda na tomada de decises
* O nosso parceiro confivel, podemos liberar o acesso para ele.
sobre os investimentos com segurana, e a medio do retorno em investimentos de
* No precisamos nos preocupar com a segurana, pois segurana um luxo
segurana (Return on Security Investiment ROSI) possui um papel importante nesse
para quem tem dinheiro.
processo. Os principais benefcios indicados em uma pesquisa feita nos Estados Unidos
foram a diminuio de brechas de segurana (75%), a reduo de perdas financeiras
Possuir bons argumentos para derrubar esses mitos significa conhecer bem os
(47%) e o aumento da satisfao dos clientes (29%) [WAR 03].
riscos que a organizao est correndo, levando em considerao toda a diversidade
de seu ambiente e toda a interao existente com outros ambientes.
Com isso, o profissional de segurana deve ter uma viso peculiar, de certa
forma at mesmo um modo de vida, com foco total na proteo do ambiente. A
44 45
identificao de pontos de vulnerabilidades no ambiente depende muito dessa vi- * A interao entre diferentes ambientes resulta na multiplicao dos pontos
so, que deve ser abrangente, crtica e completa. vulnerveis.
* A segurana envolve aspectos de negcios, tecnolgicos, humanos, processu-
ais e jurdicos.
3.7 RISCOS E CONSIDERAES QUANTO SEGURANA * A segurana complexa.
Diversos aspectos devem ser levados em considerao quando uma rede passa a
constituir uma parte importante da organizao. Alguns dos riscos existentes e Essas consideraes mostram o quanto a segurana abrangente e multidis-
algumas consideraes a serem feitas so: ciplinar. Cuidar de alguns pontos e negligenciar outros pode comprometer total-
mente a organizao, pois os incidentes sempre ocorrem no elo mais fraco da cor-
* A falta de uma classificao das informaes quanto ao seu valor e sua rente, ou seja, no ponto mais vulnervel do ambiente.
confiabilidade, que serve de base para a definio de uma estratgia de segu- Assim, uma estratgia de segurana baseada em um modelo, como o Modelo de
rana adequada. Isso resulta em um fator de risco para a organizao, alm de Teias (Captulo 13), passa a ser essencial para que todos os pontos sejam analisados.
dificultar o dimensionamento das perdas resultantes de um ataque. A Figura 3.5 mostra os pontos a serem analisados e defendidos para que a informa-
* O controle de acesso mal definido faz com que os usurios, que so autentica- o seja protegida adequadamente. possvel observar que todos os nveis devem
dos no incio da conexo, tenham acesso irrestrito a quaisquer partes da rede ser considerados para que a informao, que o maior bem da organizao, seja
interna, at mesmo a partes do sistema que no so necessrias para a realiza- protegida. Partindo do sistema operacional, devem ser avaliados e considerados,
o de suas tarefas. ainda, os servios, os protocolos, as redes, as aplicaes, os usurios e as instala-
* A dificuldade de controle do administrador sobre todos os sistemas da rede es fsicas envolvidas com a informao.
interna faz com que estes no possam ser considerados confiveis. Os bugs
nos sistemas operacionais ou nos softwares utilizados por esses equipamentos
podem abrir brechas na rede interna, como pode ser visto na Seo 4.6.1.
* A Internet deve ser considerada um ambiente hostil e, portanto, no confivel.
Assim, todos os seus usurios devem ser considerados no confiveis e poten-
ciais atacantes.
* As informaes que trafegam pela rede esto sujeitas a serem capturadas.
* As senhas que trafegam pela rede esto sujeitas a serem capturadas.
* Os e-mails podem ser capturados, lidos, modificados e falsificados.
* Qualquer conexo entre a rede interna e qualquer outro ponto pode ser utili-
zada para ataques rede interna.
* Os telefones podem ser grampeados e as informaes que trafegam pela linha,
seja por voz ou dados, gravadas.
* Os firewalls protegem contra acessos explicitamente proibidos, mas e quanto a
ataques contra servios legtimos?
Figura 3.5 A abrangncia da segurana e a complexidade da proteo da informao.
* Quando se adota a segurana pela obscuridade, situao em que a organiza-
o pensa que sua rede nunca ser invadida porque no conhecida, os res-
ponsveis torcem para que o invasor no saiba dos problemas com segurana 3.8 SEGURANA VERSUS FUNCIONALIDADES
e dos valores disponveis na rede interna. At quando?
At pouco tempo atrs, as organizaes implementavam suas redes apenas com
* Novas tecnologias significam novas vulnerabilidades.
o objetivo de prover funcionalidades que permitiam promover a evoluo de seus
46 47
processos organizacionais internos. A preocupao com a segurana praticamente disso, existe ainda a complexidade, que aumenta com as interaes, e o perigo das
no existia, pois o contato com o mundo exterior era limitado. Hoje, porm, o triangulaes, que influem diretamente na segurana do ambiente.
mundo exige que as redes das organizaes sejam voltadas para o seu prprio neg- O objetivo, portanto, equilibrar a segurana com os riscos, minimizando os
cio, com a formao de um ambiente cooperativo, requerendo, assim, a segurana. impactos que uma falha de segurana pode causar organizao. As obrigaes dos
Uma caracterstica que pode ser vista que, em um primeiro momento, a falta de administradores quanto manuteno da segurana devem estar claramente defini-
um planejamento em segurana pode parecer uma boa situao, pois tudo funciona das na poltica de segurana da organizao. Ela especifica as responsabilidades do
adequadamente. No entanto, os problemas de segurana invariavelmente aparecem acompanhamento das novidades e dos boletins sobre os sistemas que esto sendo
depois, o que pode resultar em custos estratosfricos para que sejam resolvidos, utilizados na organizao, principalmente quanto a relatrios de segurana e insta-
principalmente, em grandes ambientes. lao de patches de correo. Estes e outros pontos referentes poltica de seguran-
A importncia da segurana cresce ainda mais rapidamente, quando se leva em a sero discutidos no Captulo 6.
considerao o rpido aumento da complexidade das conexes, caracterstico dos
ambientes cooperativos. Um ponto fundamental, quando se discute o assunto,
que a segurana inversamente proporcional s funcionalidades, ou seja, quanto 3.9 SEGURANA VERSUS PRODUTIVIDADE
maiores as funcionalidades, como servios, aplicativos e demais facilidades, menor A administrao da segurana de uma organizao uma tarefa complexa, na
a segurana desse ambiente. Isso pode ser explicado, porque a segurana pode ser medida em que ela deve ser dimensionada, sem que a produtividade dos usurios
comprometida pelos seguintes fatores: seja afetada.
Geralmente, a segurana antagnica produtividade dos usurios, no sentido
* Explorao da vulnerabilidade em sistemas operacionais, aplicativos, protoco- de que, como foi visto no tpico anterior, quanto maiores as funcionalidades, mai-
los e servios. ores as vulnerabilidades existentes. Isso leva os administradores a restringirem ao
* Explorao dos aspectos humanos das pessoas envolvidas. mximo os servios que os usurios podem acessar, de modo a minimizar os riscos
* Falha no desenvolvimento e implementao da poltica de segurana. existentes.
* Falha na configurao de servios e de sistemas de segurana. O problema que uma poltica de segurana muito restritiva geralmente afeta a
* Desenvolvimento de ataques mais sofisticados. produtividade do usurio. Por exemplo, se o FTP for bloqueado com o objetivo de
prevenir a entrada de cavalos de Tria, e o usurio necessita utilizar esse servio para
Esses tpicos sero vistos com mais detalhes no Captulo 4. Quando as o seu trabalho, ele certamente buscar maneiras de driblar essa restrio do firewall.
vulnerabilidades que podem existir em sistemas operacionais, aplicativos, protocolos O usurio poder instalar um modem em seu equipamento ou tentar achar brechas
e servios so analisadas, pode-se considerar que elas so resultantes de bugs, que no bloqueio do firewall. Quando isso acontece, os objetivos no so alcanados, pois a
so decorrentes de falhas em seu cdigo, em seu projeto ou em sua configurao. segurana comprometida pelas aes dos usurios, e sua produtividade prejudica-
Assim, quanto maior for o nmero de sistemas, maior a responsabilidade dos da, pois eles perdem tempo tentando encontrar maneiras de driblar o firewall.
administradores e maior a probabilidade de existncia de bugs que podem ser Por isso, importante ter uma poltica de segurana bem definida e bem balan-
explorados. Um estudo da IDC props uma frmula para determinar os pontos de ceada, tanto com relao aos servios externos quanto aos servios internos que os
vulnerabilidade de uma rede: o nmero de pontos de vulnerabilidade igual ao usurios, internos e externos, podem acessar. O objetivo criar uma poltica que
nmero de recursos crticos da organizao, multiplicado pelo nmero de usurios defina, de forma ideal, apenas os servios realmente necessrios. Outro ponto a ser
que tm acesso a esses recursos. Assim, se um servidor NT tem dez mil arquivos e considerado na definio desses servios que sero permitidos quanto a servios
cem usurios, existe um milho de possveis pontos de acesso vulnerveis. A previ- como RealAudio, ICQ e sesses de bate-papo, que constituem um problema, pois
so de todas as brechas impraticvel, principalmente porque o fator humano est comprometem o nvel de produtividade da organizao, alm de consumir grande
envolvido, o que significa, por exemplo, que a escolha das senhas por cada um dos largura de banda da rede. Alguns deles, como o ICQ, ainda introduzem novas
usurios influi diretamente no nvel de segurana do ambiente [BRI 99B]. Alm vulnerabilidades rede interna da organizao.
48 49
3.10 UMA REDE TOTALMENTE SEGURA de transmisso localizados no mar. As falhas benignas devem ser toleradas pelos
sistemas. Essas vulnerabilidades devem ser colocadas em um lugar no qual no
A segurana complexa, envolvendo aspectos de negcios, processos humanos,
possam causar problemas. Uma rede nunca ser totalmente segura, mas deve-se
jurdicos, tecnolgicos, e outros. Portanto, afirmar que uma organizao est 100%
procurar meios de torn-la, no mnimo, mais confivel, como est descrito no artigo
segura , na realidade, um grande erro. Simplesmente no existe um modelo de
Trust in Cyberspace [KRO 99].
segurana prova de hackers. Ser visto, no Captulo 4, que os hackers podem atuar
de diversas maneiras, e mesmo os prprios funcionrios maliciosos podem fazer
esse papel de hacker (insiders). Uma vez que a segurana envolve aspectos 3.11 CONCLUSO
tecnolgicos (o melhor sistema de autenticao), aspectos tcnicos (um bom admi-
Com a rpida evoluo que pode ser acompanhada no mundo dos negcios, no
nistrador de segurana), aspectos sociais (funcionrios inescrupulosos que roubam
qual as conexes entre organizaes significam vantagens competitivas, a seguran-
informaes confidenciais da prpria organizao), aspectos humanos (funcionri-
a de redes passa a ser mais do que fundamental; ela passa a ser o habilitador dos
os inocentes que sofrem com a engenharia social) e aspectos educacionais (funcio-
negcios. Porm, captar investimentos para a implementao de uma estratgia de
nrios que devem saber, pelo menos, como escolher senhas seguras), com toda essa
segurana envolve diversos desafios, nos quais os riscos e os mitos de segurana
complexidade, o objetivo das organizaes deve ser tentar proteger ao mximo os
devem ser combatidos. As funcionalidades envolvidas com o andamento dos neg-
recursos da organizao e no tentar proteg-los totalmente.
cios, bem como a produtividade dos usurios, so afetadas com as medidas de
Diversos aspectos contribuem para medir essa mxima proteo. Entre eles,
segurana adotadas, de modo que elas devem ser bem avaliadas e estudadas para
est: definir os recursos que devem ser protegidos, especificar quem ir administrar
que no causem impactos significativos para os envolvidos. A segurana necess-
a segurana e, principalmente, determinar o valor que ser utilizado como investi-
ria, porm sua estratgia de implementao deve ser bem definida, medindo-se
mento em segurana.
custos e benefcios e assumindo-se riscos, pois a segurana total no possvel.
No mnimo, essa segurana inclui uma poltica e procedimentos abrangentes, o
controle dos usurios e a autenticao de todos os meios de acesso ao sistema,
transaes e comunicaes. Inclui tambm a proteo dos dados, alm do constante
monitoramento e a evoluo do nvel de segurana geral. Outro ponto importante
que as novas tcnicas e tecnologias devem ser utilizadas antes que os hackers as
utilizem contra a organizao.
A segurana de permetro e a abordagem em camadas, nas quais vrios mecanis-
mos de segurana so adotados de forma encadeada, tambm so importantes. Des-
sa forma, as camadas de segurana funcionariam como os catafilos da cebola, que
protegem o seu interior. Cada uma dessas camadas tem de ser transposta pelo hacker
para que ele chegue ao seu objetivo, que o acesso informao. Quanto maior o
nmero de camadas, maior a dificuldade de atacar o recurso.
Assim, a tentativa de estabelecer uma segurana total pode levar loucura; a
segurana parcial, por definio, assume os riscos. As organizaes, portanto, de-
vem definir o nvel de segurana, de acordo com suas necessidades, j assumindo
esses riscos. Isso faz com que o plano de contingncia seja um dos pontos essenciais
dentro do esquema de segurana de uma organizao.
O objetivo no construir uma rede totalmente segura, mas sim um sistema
altamente confivel, que seja capaz de anular os ataques mais casuais de hackers e
tambm de tolerar acidentes, como a possibilidade de um tubaro romper os cabos
Os riscos que rondam as
organizaes
Este captulo apresenta os riscos a que as organizaes esto su-

jeitas. Aqui, so abordados os possveis atacantes, os mtodos, as
tcnicas e as ferramentas utilizadas por eles, mostrando que as preo-
cupaes com a segurana devem ser tratadas com o mximo de cui-
dado e ateno, para que a continuidade dos negcios das organiza-
es no seja afetada. So contra esses riscos, que existem em todos
os nveis, desde o fsico at o de aplicao, que as organizaes tm
de lutar, principalmente por meio das tcnicas, tecnologias e concei-
tos a serem discutidos na Parte II deste livro.
4.1 OS POTENCIAIS ATACANTES

C O termo genrico para identificar quem realiza o ataque em um
sistema computacional hacker. Essa generalizao, porm, tem
a
diversas ramificaes, pois os ataques aos sistemas apresentam ob-
p jetivos diferentes e o seu sucesso depende do grau de segurana dos
alvos e da conseqente capacidade do hacker em atac-los. Isso
t significa que os sistemas bem protegidos so mais difceis de serem
atacados, o que faz com que uma maior habilidade seja exigida para
u a concretizao dos ataques.
l Os hackers, por sua definio original, so aqueles que utilizam
o seus conhecimentos para invadir sistemas, no com o intuito de cau-
sar danos s vtimas, mas sim como um desafio s suas habilidades.
4 Eles invadem os sistemas, capturam ou modificam arquivos para pro-
SEGURANA DE REDES EM AMBIENTES COOPERATIVOS Captulo 4: Os riscos que rondam as organizaes
52 53
var sua capacidade e depois compartilham suas proezas com seus colegas. Eles no entender o que esto fazendo. Devido grande facilidade em se obter essas ferra-
tm a inteno de prejudicar, mas sim de apenas demonstrar que conhecimento mentas, os script kiddies so considerados perigosos para um grande nmero de
poder. Exmios programadores e conhecedores dos segredos que envolvem as redes e organizaes, que so as que no tm uma poltica de segurana bem definida. De
os computadores, eles geralmente no gostam de ser confundidos com crackers. fato, sem uma poltica de segurana adequada, essas organizaes sempre apresen-
Com o advento da Internet, porm, os diversos ataques pelo mundo foram atri- tam alguma brecha de segurana pronta para ser explorada, principalmente as que
budos a hackers, mas eles refutam essa idia, dizendo que hackers no so crackers. so geradas pela falta de atualizao de um patch do servidor. Isso o suficiente
Os crackers so elementos que invadem sistemas para roubar informaes e causar para que os script kiddies executem as ferramentas encontradas na Internet contra
danos s vtimas. O termo crackers tambm uma denominao utilizada para aqueles seus servidores e causem estragos considerveis.
que decifram cdigos e destroem protees de software. interessante notar que a prpria disseminao da Internet fez com que os script
Atualmente, no entanto, com o crescimento da Internet e a conseqente facilida- kiddies nascessem e se tornassem os principais responsveis pelo incio da
de em se obter informaes e ferramentas para ataques, a definio de hackers mu- conscientizao das organizaes, que comearam a prestar mais ateno em seus
dou. A prpria imprensa mundial tratou de modificar esse conceito. Agora, qualquer problemas de segurana. So a imensa maioria dos hackers na Internet, e um grande
incidente de segurana atribudo a hackers, em seu sentido genrico. A palavra nmero de incidentes de segurana causado por eles. Seus limitados conhecimentos
cracker no mais vista nas reportagens, a no ser como cracker de senhas, que um podem ser vistos em relatos nos quais servidores registravam tentativas de ataques
software utilizado para descobrir senhas ou decifrar mensagens cifradas. em ambientes Windows, por meio da utilizao de comandos especficos do UNIX.
Diversos estudos sobre hackers foram realizados e o psiclogo canadense Marc Outro exemplo quando o ataque Unicode executado, copiando-se uma linha de
Rogers chegou ao seguinte perfil do hacker: indivduo obsessivo, de classe mdia, texto em um navegador da Internet para atacar um sistema.
de cor branca, do sexo masculino, entre 12 e 28 anos, com pouca habilidade social
e possvel histria de abuso fsico e/ou social. Uma classificao dos diversos tipos 4.1.2 Cyberpunks
de hackers, que sero discutidos a seguir, pode ser igual seguinte [MOD 99]:
Os cyberpunks so os hackers dos tempos romnticos, aqueles que se dedicam s
invases de sistemas por puro divertimento e desafio. Eles tm extremo conheci-
* Script kiddies: iniciantes.
mento e so obcecados pela privacidade de seus dados, o que faz com que todas as
* Cyberpunks: mais velhos, mas ainda anti-sociais.
suas comunicaes sejam protegidas pelo uso da criptografia. A preocupao prin-
* Insiders: empregados insatisfeitos.
cipal contra o governo, que, com o Big Brother (Grande Irmo), pode estar acessando
* Coders: os que escrevem sobre suas proezas.
as informaes privadas dos cidados. Os hackers mais paranicos, que acreditam
* White hat: profissionais contratados.
em teorias da conspirao, tendem a virar cyberpunks.
* Black hat: crackers.
Geralmente so eles que encontram novas vulnerabilidades em servios, siste-
* Gray hat: hackers que vivem no limite entre o white hat e o black hat.
mas ou protocolos, prestando, assim, um favor s organizaes, publicando as
vulnerabilidades encontradas. Isso contribui para que a indstria de software corri-
importante lembrar, porm, que no so apenas os hackers que causam proble-
ja seus produtos e, melhor do que isso, tambm para que a indstria passe a
mas de segurana nos sistemas. Os usurios, autorizados ou no, mesmo sem inten-
desenvolv-los com maior enfoque na segurana. Infelizmente, porm, a indstria
es malvolas, tambm podem causar danos ou negar servios de redes, por meio
ainda prefere corrigir seus produtos a adotar uma metodologia de desenvolvimento
de seus erros e de sua prpria ignorncia.
com enfoque na segurana. Isso pode ser verificado pelo grande nmero de
vulnerabilidades que continuam aparecendo nos diversos sistemas.
4.1.1 Script kiddies
Tambm conhecidos como newbies, os script kiddies trazem diversos problemas 4.1.3 Insiders
s organizaes. Geralmente eles so inexperientes e novatos, que conseguem fer-
Os insiders so os maiores responsveis pelos incidentes de segurana mais gra-
ramentas, que podem ser encontradas prontas na Internet, e depois as utilizam sem
ves nas organizaes. Apesar de as pesquisas mostrarem que o nmero de ataques
54 55
partindo da Internet j maior do que os ataques internos, os maiores prejuzos Assim, grande a importncia que deve ser dada aos ataques originados a partir
ainda so causados por incidentes internos. Segundo pesquisa do Computer Security da prpria rede interna, feitos por funcionrios, ex-funcionrios ou pessoas que
Institute [CSI 02], a Internet citada como ponto de ataque por 74% dos entrevis- conseguem infiltrar-se nas organizaes. Uma srie de questes est envolvida com
tados (70% no ano anterior), enquanto 33% deles citam os sistemas internos (31% esse tema, desde a engenharia social at a relao do funcionrio com o chefe,
no ano anterior) e 12% mencionam os acessos remotos (18% no ano anterior). passando pelo suborno e pela espionagem industrial.
Pela primeira vez, em 2001, a pesquisa mostrou que os hackers so citados como De acordo com a pesquisa da American Society for Industrial Security (ASIS),
os maiores atacantes, em vez dos funcionrios internos (81% contra 76%). Em em realizada em 1997, mais de 56% das 172 empresas pesquisadas sofreram tentativas
2002, o nmero de citaes de hackers aumentou para 82%, enquanto o de funcio- de apropriao indevida de informaes privadas e em um perodo de 17 meses,
nrios internos passou para 75%. Outras fontes de ataques citadas foram os concor- mais de 1.100 incidentes de roubo de propriedade intelectual foram documentados,
rentes (38%), governos estrangeiros (26%) e empresas estrangeiras (26%) [CSI 02]. resultando em prejuzos da ordem de 44 bilhes de dlares, o que cinco vezes
Esses nmeros demonstram o aumento da necessidade de proteo contra ataques maior do que os valores da pesquisa do ano anterior [DEN 99].
vindos de hackers, porm a mesma pesquisa revela que o tipo de ataque que causa Essas estimativas cresceram para cem bilhes de dlares em 1998; uma das
as maiores perdas financeiras aquele que envolve o roubo de propriedade intelec- razes para o aumento da espionagem industrial que a economia, hoje, tem como
tual, que est relacionado a funcionrios internos, concorrentes ou governos es- base o conhecimento, de modo que a prpria informao constitui um dos grandes
trangeiros. Os prejuzos das empresas que responderam ao questionrio da pesquisa fatores para a vantagem competitiva. Isso faz com que as conseqncias de um
foram de 170 milhes de dlares, um valor bem maior que os prejuzos com fraudes incidente envolvendo segurana sejam potencialmente desastrosas, influenciando
financeiras (115 milhes de dlares) e com abuso da rede interna (50 milhes de at mesmo a prpria sobrevivncia da organizao. De fato, o capital intelectual
dlares), por exemplo. Como pode ser visto na Figura 4.1, os eventos internos encabea a economia atual e alguns exemplos de que a espionagem industrial um
representam perdas bem maiores que os eventos externos, como a invaso de siste- fato podem ser vistos nos casos de roubos de projetos e frmulas ocorridos em
mas (13 milhes de dlares) ou os ataques de negao de servio (Denial-of-Service, empresas como General Electrics, Kodak, Gilette e Schering-Plough [ULS 98].
DoS) (18 milhes de dlares) [CSI 01]. Uma outra estimativa mostra que, somente nos Estados Unidos, as perdas repre-
sentaram entre cem e 250 bilhes de dlares em 2000, envolvendo processos, pes-
quisa e desenvolvimento de manufaturas [NCIX 01].
A espionagem industrial atribuda, geralmente, a insiders, e considerada uma
nova modalidade de crime organizado, assim como as mfias e os cartis de drogas.
Em um nvel mais alto, o que se v o surgimento de organizaes especializadas
em espionagem industrial, pois o prprio governo de alguns pases, como Japo,
Frana e Israel, financiam esses trabalhos, institucionalizando essa prtica. Na Frana,
por exemplo, a agncia de inteligncia Direction Generale de la Securite Extrieure
(DGSE) tem o trabalho facilitado, principalmente em hotis, onde geralmente utili-
zam grampos telefnicos e cmeras escondidas. Com isso, segredos de executivos de
organizaes concorrentes correm o risco de ser roubados e revelados. As maiores
empresas americanas avisam seus executivos sobre esses perigos [SEC 98-1].
Um caso envolvendo empresas de investimento mostra a importncia da segu-
rana contra a espionagem industrial e contra os ataques a sistemas de computado-
Figura 4.1 As perdas financeiras resultantes de ataques. Fonte: CSI/FBI 2002. res, no competitivo mundo atual. A Reuters Holdings PLC e a Bloomberg LP eram
concorrentes no mercado de investimentos, no qual o uso de computadores essen-
cial para a anlise dos investimentos e das tendncias do mercado. O sistema da
Bloomberg era considerado melhor que o da Reuters, razo pela qual aumentava
56 57
cada vez mais sua fatia de mercado. Isso fez com que a Reuters fundasse a Reuters fundadores da Avant! A Cadence queria um bilho de dlares em restituio, porm
Analytics para o desenvolvimento de um software de anlise competitivo. Em janei- a indenizao foi acertada em 265 milhes de dlares, pois a Avant! j tinha pago
ro de 1998, a Reuters Analytics decidiu utilizar uma conduta diferente da habitual, 195,4 milhes de dlares como restituio [ARE 02].
ou seja, contratou consultores para invadir os computadores da Bloomberg, o que Um cuidado especial deve ser tomado com relao aos ex-funcionrios, que so,
resultou no acesso s informaes que continham os cdigos das operaes e docu- muitas vezes, os elementos mais perigosos. Se um funcionrio for demitido, ele pode
mentos descrevendo as funcionalidades do sistema. A Bloomberg no descobriu querer vingana. Se ele sair da empresa sob bons termos, pode querer demonstrar
quais mtodos foram utilizados para a invaso, porm, sabe-se que ex-funcionrios seus conhecimentos e seu valor para o novo chefe, que pode ser um concorrente da
da Bloomberg, que ento trabalhavam na Reuters Analytics, estavam envolvidos empresa em que ele trabalhava anteriormente. Timothy Allen Lloyd, por exemplo, foi
nessa invaso [DEN 99]. condenado a 41 meses de priso pelo crime de instalar bomba lgica nos sistemas da
No nvel interno das organizaes, os prprios funcionrios so as maiores amea- Omega Engineering Corp., aps sua demisso. O incidente causou dez milhes de
as, pois tm o tempo e a liberdade necessrios para procurar algo de seu interesse dlares em prejuzos, referentes remoo de programas de produo, perda de
nas mesas das pessoas, ler memorandos confidenciais, copiar documentos, abusar da vendas e perda de futuros contratos. O crime aconteceu em 1996 e a sentena saiu
amizade de colegas e copiar facilmente uma grande base de dados, que pode valer em 2002. Lloyd trabalhava h 11 anos na organizao [DOJ 02-1].
milhes, em um disco de Zip, por exemplo. O fato mais marcante que essas pessoas Funcionrios terceirizados tambm podem constituir um grande risco, pois se
conhecem as operaes, a cultura e os detalhes da organizao, o que facilita muito a por um lado podem no possuir acesso a informaes confidenciais, por outro po-
espionagem. A conseqncia disso que eles sabem onde esto os segredos, quem so dem passar a estudar e a conhecer os procedimentos, os hbitos e os pontos fracos
os concorrentes e, principalmente, como apagar seus rastros. Esses fatos fazem com da organizao, que podem ento ser explorados posteriormente. Tambm poss-
que os insiders sejam difceis de ser identificados e punidos. vel que os funcionrios terceirizados aceitem subornos para efetuar a divulgao de
A identificao dos insiders pode ser difcil, mas geralmente so funcionrios informaes consideradas confidenciais ou mesmo que subornem os funcionrios
descontentes com seu trabalho, que sentem que suas funes so subestimadas pelos da organizao, com o objetivo de obter segredos industriais.
seus chefes. Freqentemente, eles so maltratados e querem mostrar seu real valor O controle do pessoal de segurana e de limpeza tambm importante, pois,
realizando alguma coisa para se sentirem importantes. Esse tipo de funcionrio pode geralmente, eles tm acesso irrestrito a todos os locais, inclusive sala de CPU.
ser facilmente manipulado por concorrentes, que sabem como persuadir as pessoas Como a sala de CPU deve ser limpa por algum, a engenharia social pode ser utiliza-
que se encontram em uma posio no muito confortvel dentro da organizao. da para obter o acesso a reas restritas.
Um outro tipo de insider aquele que busca alguma atividade excitante para Alguns outros exemplos, mostrados a seguir, comprovam os perigos que as orga-
modificar sua rotina de trabalho. Os insiders so de extrema importncia, pois a nizaes correm com os insiders [DEN 99]:
organizao pode estar perdendo espao, mercado e imagem para o concorrente,
sem saber o real motivo disso. Ser que no houve espionagem e roubo de algumas * Funcionrios confiveis: em maro de 1999, um cientista nuclear americano,
informaes, que chegaram nas mos dos concorrentes? do Los Alamos National Laboratory, foi acusado de ter vendido segredos da
Um caso ocorrido em 2001, envolvendo a Lucent Technologies, representa bem a tecnologia de armas nucleares para a China, desde 1980. Em outro caso, ocor-
natureza dos crimes na Era da Informao. Dois chineses funcionrios da Lucent rido em 1994, um funcionrio do Ellery Systems, no Colorado, Estados Unidos,
roubaram o cdigo-fonte do PathStar Access Server para us-lo em produtos de sua utilizou a Internet para transferir um software avaliado em um milho de
prpria empresa, a ComTriad, que tinha feito uma parceria com a Datang Telecom dlares para um concorrente na China.
Technology Co., que tinha participao do governo chins. Diversos e-mails do pla- * Funcionrios subornados ou enganados: um espio alemo, Karl Hinrich Stohlze,
nejamento da transferncia do cdigo-fonte e da parceria entre as empresas das seduziu uma funcionria de uma empresa de biotecnologia, situada em Boston,
quais eles eram donos foram capturados pela empresa, e utilizados no processo para conseguir informaes confidenciais dessa empresa, o que inclua mto-
criminal [DOJ 01]. dos de pesquisas de DNA e informaes sobre o status dos projetos da compa-
Um outro caso de roubo de cdigo-fonte envolveu a Cadence Design Systems nhia. A funcionria foi demitida, mas no foi processada. Apesar disso, o
Inc. e a Avant! Corp. Em 1991, a Cadence sofreu um roubo de cdigo-fonte para os espio alemo continua trabalhando, desta vez na Europa.
58 59
* Funcionrios antigos: em 1993, Jose Ignacio Lopez e mais sete outros funcio- apropriao de informaes confidenciais de diversas empresas, ele passou a ser um
nrios deixaram a General Motors para se transferirem para a Volkswagen. dos hackers mais requisitados para proferir palestras sobre segurana das informa-
Junto com eles foram levados dez mil documentos privativos da GM, o que es. Isso, porm, depois de conseguir uma aprovao formal para tal, pois ele
inclua segredos sobre novos modelos de carros, futuras estratgias de vendas estava proibido de utilizar computadores, procurar empregos como consultor tcni-
e listas de compras. Em 1996, Lopez foi processado e a GM foi indenizada em co ou mesmo escrever sobre tecnologia, sem a devida aprovao. Apenas em 2001,
cem milhes de dlares. ele readquiriu o direito de utilizar um telefone celular e passou a trabalhar em um
* Funcionrios insatisfeitos: nos Estados Unidos, um administrador de sistemas seriado de televiso, no qual atua como um especialista em computadores que
insatisfeito com seu salrio e com seu bnus (ou a falta dele), implantou uma membro da CIA [WAZ 01]. Atualmente, aps vencer o perodo de observao, ele
bomba lgica em mil dos 1 500 equipamentos da organizao em 22 de feve- abriu uma empresa de consultoria e lanou um livro sobre engenharia social.
reiro de 2002, e a ativou em 4 de maro de 2002. Alm disso, ele comprou
aes (do tipo put option, nos Estados Unidos, na qual ele ganha quando o 4.1.5 White hat
preo das aes cai) para lucrar com a perda do valor da organizao, quando
Os white hats so tambm conhecidos como hackers do bem, hackers ticos,
o incidente se tornasse pblico. Porm, o valor das aes no despencou, e ele
samurais ou sneakers, que utilizam seus conhecimentos para descobrir vulnerabilidades
no teve o lucro esperado com a operao. A bomba lgica removia arquivos
nos sistemas e aplicar as correes necessrias, trabalhando de maneira profissional e
dos mil sistemas, o que causou prejuzos de mais de trs milhes de dlares
legal dentro das organizaes. Eles vem a si prprios como guerreiros que protegem
para a vtima [DOJ 02].
os sistemas das organizaes que os contratam contra os black hats (Seo 4.1.6).
* Por meio desses exemplos, pode-se verificar que a segurana , muitas vezes,
Eles so os responsveis pelos testes de invases, em que simulam ataques para medir
um problema social, e no apenas um problema tecnolgico. Assim, eles de-
o nvel de segurana da rede, e tambm pelas diversas anlises de segurana necess-
monstram tambm que os aspectos humanos, sociais e pessoais no podem ser
rias para a proteo da informao em uma organizao.
esquecidos na definio da estratgia de segurana.
Uma srie de consideraes devem ser analisadas antes de serem contratados os
* Um ponto interessante que, apesar de parecer uma prtica antitica e extre-
servios de um white hat, como definir os limites de uma simulao de ataque, a fim
mamente ilegal, nem todas as maneiras de conseguir informaes competiti-
de evitar que dados confidenciais sejam expostos. Alm disso, recomendvel dei-
vas so contra a lei. A obteno de informaes de outras organizaes cons-
xar claro no contrato que as informaes obtidas permanecero em sigilo e tambm
titui o trabalho de diversos profissionais, e existe at mesmo uma organizao
garantir que todas as correes sejam implementadas.
constituda desses profissionais, o Society of Competitive Intelligence
A utilizao desses profissionais pode ser importante para a segurana de uma
Professionals (SCIP). O antigo CEO da IBM, Louis Gerstner, formou, em abril de
organizao, porm, deve-se tomar muito cuidado com relao aos limites da utili-
1998, 12 grupos de inteligncia para a obteno de informaes privilegiadas,
zao de seus servios. Um white hat pode encontrar uma srie de vulnerabilidades
que so colocadas em um banco de dados central, o qual pode ser acessado
no sistema e querer cobrar para fazer as correes necessrias. Como novas
pelos principais executivos da IBM. O trabalho desse tipo de profissionais est
vulnerabilidades vo sendo descobertas com o tempo, e j que as novas funcionali-
no limite entre o tico e o antitico e uma de suas regras a de nunca masca-
dades que vo sendo implantadas no ambiente computacional trazem consigo uma
rar sua verdadeira identidade [DEN 99].
srie de novas brechas, sempre necessria uma nova anlise de segurana, o que
acaba gerando mais custos. A segurana, portanto, um processo constante, de
4.1.4 Coders modo que o mais interessante talvez seja manter um administrador de segurana
Os coders so os hackers que resolveram compartilhar seus conhecimentos escre- dentro da prpria organizao. Essa pode ser a soluo mais plausvel, pois, depois
vendo livros ou proferindo palestras e seminrios sobre suas proezas. Ministrar de uma consultoria, simulaes, anlises e correes, sempre necessria uma ade-
cursos tambm faz parte das atividades dos coders, que parecem ter sido influenci- quao da poltica de segurana, fazendo com que os custos com a utilizao de um
ados pelo aspecto financeiro. white hat sejam sempre maiores que os previstos, como se formassem uma grande
O caso de Kevin Mitnick muito interessante. Aps cumprir sua pena na priso bola de neve.
por suas atividades notrias envolvendo engenharia social e tcnicas avanadas de
60 61
Essa abordagem de utilizar um administrador de segurana interno, porm, pode base em conhecimentos profundos sobre a segurana, os gray hats tm conheci-
representar riscos, caso ele no possua o conhecimento necessrio para avaliar corre- mento sobre atividades de hacking. Algumas organizaes contratam gray hats para
tamente o nvel de segurana dos sistemas. importante lembrar que a segurana realizar anlises de segurana, porm diversos incidentes j demonstraram que o
multidisciplinar, compreende diversos aspectos diferentes, e geralmente as pessoas nvel de confiana necessrio para a realizao de trabalhos to crticos e estratgi-
acham que esto seguras, caso no tenham o conhecimento necessrio sobre o risco. cos no alcanado por meio dessa abordagem. De fato, utilizar um hacker para
Isso significa que no se pode proteger contra riscos que no se conhece, o que faz cuidar da segurana pode ser perigoso, justamente devido prpria cultura dos
com que o conhecimento seja essencial para a proteo adequada. hackers. Um exemplo disso foi a divulgao de resultados de anlises de segurana
realizados em bancos por um gray hat. Eventuais ataques contra uma organizao,
4.1.6 Black hat para que eles possam vender seus servios, tambm fazem parte do cardpio dos
gray hats.
So tambm conhecidos como full fledged ou crackers. Esse grupo utiliza seus
Um outro exemplo envolve uma agncia governamental americana que contra-
conhecimentos para invadir sistemas e roubar informaes secretas das organiza-
tou um gray hacker para cuidar da segurana interna. Quando o hacker finalizou o
es. Geralmente, tentam vender as informaes roubadas de novo sua prpria
servio, a agncia descobriu que ele havia divulgado as vulnerabilidades encontra-
vtima, ameaando a organizao de divulgao das informaes roubadas, caso o
das na agncia em sites de hackers e em bulletin boards. O pior que muitas dessas
valor desejado no seja pago. Esse tipo de prtica conhecido como chantagem ou
vulnerabilidades no haviam sequer sido corrigidas [RAD 99].
blackmail e a exposio pblica das informaes roubadas pode trazer conseqnci-
Uma pesquisa do Computer Security Institute e do FBI [CSI 02] mostra clara-
as indesejveis vtima.
mente a preocupao existente quando se pergunta s organizaes se elas consi-
O blackmail foi utilizado, por exemplo, no caso da invaso do site de comrcio
deram a possibilidade de contratar gray hats como consultores de segurana (Fi-
eletrnico da CD Universe. Um hacker russo conseguiu invadir a base de dados do
gura 4.2).
site, onde conseguiu capturar 300 mil nmeros de cartes de crdito de seus clien-
tes. Ele exigiu cem mil dlares para no divulgar esses nmeros; porm, como no
foi atendido, revelou publicamente os nmeros de diversos clientes [INT 00]. Outro
caso aconteceu com a Creditcards.com, quando um hacker roubou 55 mil nmeros
de cartes de crdito e exigiu 20 mil dlares para destruir os dados dos clientes e
fornecer uma consultoria de segurana no site [SAN 00][SUL 00].
Em um caso mais recente envolvendo a loja virtual Webcertificate.com, o hacker
roubou 350 mil nmeros de cartes de crdito e exigiu 45 mil dlares para no
tornar pblica essa base de dados. Porm, a Webcertificate.com se negou a pagar a
extorso, alegando que no havia nmeros de cartes de crdito na base de dados,
somente nmeros seriais referentes a cupons de presentes [SAN 01]. De qualquer Figura 4.2 Pesquisa sobre a contratao de gray hats. Fonte: CSI/FBI 2002.
modo, na base de dados constam informaes pessoais de milhares de clientes da
empresa, o que pode ter causado uma srie de problemas a eles.
Alm do blackmail, qualquer ao prejudicial que visa afetar negativamente e
4.1.8 Cyberterroristas
causar prejuzos s suas vtimas pode ser considerada de autoria de black hats. O termo cyberterrorista utilizado para definir os hackers que realizam seus
ataques contra alvos selecionados cuidadosamente, com o objetivo de transmitir
uma mensagem poltica ou religiosa (hacktivism) para derrubar a infra-estrutura de
4.1.7 Gray hat comunicaes ou para obter informaes que podem comprometer a segurana na-
Os gray hats so black hats que fazem o papel de white hats, a fim de trabalhar cional de alguma nao. Os meios para que isso seja alcanado so: (1) um ataque
na rea de segurana. Porm, diferentemente dos white hats, cuja formao tem sua semntico [VAL 01], que conseqncia de uma pichao de sites (Web defacement),
62 63
quando a modificao de uma pgina do site pode disseminar informaes falsas, informaes envolvem a segurana nacional. No caso conhecido como Moonlight
alm de mensagens polticas ou religiosas; (2) ataques sofisticados de negao de Maze, a Rssia executou contra sistemas do governo norte-americano uma srie de
servios distribudos (Distributed Denial-of-Service, DDoS), que sero vistos com invases que tiveram incio em maro de 1998 e duraram alguns anos. Apesar de
detalhes na Seo 4.8; (3) invases a sistemas com o objetivo de obter informaes autoridades negarem o fato, centenas de redes privadas do Pentgono, do Departa-
confidenciais. mento de Energia, da NASA e de rgos de defesa foram invadidas e h suspeita de
Esses tipos de ataques cibernticos devem ser considerados com extrema impor- que uma grande quantidade de pesquisas tcnicas e documentos confidenciais fo-
tncia, ainda mais em uma poca de guerras, como a dos Estados Unidos contra o ram obtidos pelos hackers [VAL 01].
Afeganisto e o Iraque. interessante notar que as estatsticas mostram que existe Com os exemplos vistos nesta seo, pode-se observar que as aes terroristas tm
uma relao muito grande entre conflitos poltico-religiosos e ataques de hackers. uma conexo cada vez maior com o cyberterrorismo. Porm, mais do que essa cone-
Um exemplo o grande aumento de sites modificados na ndia, que estava em xo, o que deve ser considerado que a tecnologia e as tcnicas de ataques sofistica-
conflito com o Paquisto, no Kashmir: em 1999, foram registrados 45 ataques con- dos podem ser utilizadas em conjunto com aes fsicas de carter terrorista. Os
tra sites indianos, em comparao com 133 ataques ocorridos em 2000 e 275 ata- terroristas utilizam a criptografia e a estenografia para a troca de mensagens e o
ques realizados at agosto de 2001. Os hackers paquistaneses so notrios em casos armazenamento de instrues e planos de aes, como foi descoberto no caso de
de ataques semnticos, alm de realizarem ataques sofisticados, como o que foi Ramzi Yousef, que foi o responsvel pelo primeiro atentado ao World Trade Center, em
feito contra o Bhabha Atomic Research Center, quando foram roubados cinco 1993. Ele tinha em seu notebook arquivos cifrados com detalhes sobre planos terro-
megabytes de informaes possivelmente confidenciais sobre pesquisa nuclear e ristas futuros, que incluam a derrubada de 12 avies no Oceano Pacfico [VAL 01].
outras reas [VAL 01]. At mesmo a infra-estrutura de um pas pode ser alvo de hackers. Alm dos
Um outro exemplo que mostra a conexo entre ataques fsicos e cibernticos ataques de DDoS, que podem ser executados contra a infra-estrutura de comunica-
pode ser visto no conflito entre israelenses e palestinos. Chamada at mesmo de o, a simulao realizada pelo Pentgono, conhecida como Elegible Receiver, mos-
cyberjihad, a conexo pode ser vista pelo aumento do nmero de incidentes de trou as vulnerabilidades da infra-estrutura de distribuio de energia dos Estados
segurana em sites israelenses, quando um conflito fsico acontece. J ocorreram Unidos. O fato crtico que essas vulnerabilidades foram exploradas realmente em
aumentos de at 1000% no nmero de ataques de hackers; por exemplo, quando junho de 2001, quando hackers chegaram at a rede do California Independent
bombas mataram quatro e feriram 69 israelenses, ou quando duas semanas de vio- Systems Operator por meio de redes operadas pela China Telecom. Os hackers perma-
lncia culminaram no ataque de um homem-bomba em um ponto de nibus na neceram nessa rede durante 17 dias [VAL 01].
periferia de TelAviv [VAL 01].
J quando a Organizao do Tratado do Atlntico Norte (OTAN) bombardeou
Kosovo e Srvia, aproximadamente cem servidores da OTAN espalhados pelo mundo 4.2 TERMINOLOGIAS DO MUNDO DOS HACKERS
sofreram ataques de DDoS (Seo 4.8) e tambm o bombardeio com milhares de e- Os diversos tipos de atacantes podem causar desde simples transtornos at gran-
mails contendo vrus [VAL 01]. des prejuzos, pois at mesmo a segurana nacional pode ser colocada em risco,
Outro caso interessante foi resultado do conflito que envolveu a coliso entre dependendo da situao. Algumas terminologias interessantes utilizadas no mundo
um avio americano e um avio de guerra chins, no dia 1o de abril de 2001. Alm dos hackers revelam suas atividades e seu modo de agir, e so relacionadas a seguir
do grande nmero de pichaes em sites e ataques de DDoS (cerca de 1 200 sites), [RAD 99]:
incluindo vtimas como Casa Branca, Fora Area Americana e Departamento de
Energia, um grande nmero de worms (Seo 4.9.4), como Lion, Adore e Code Red, * Carding: prtica ilegal envolvendo fraudes com nmeros de cartes de crdi-
suspeito de ter sua origem na China. O Code Red causou prejuzos estimados em to, que so utilizados pelos hackers para fazer compras para si prprios e para
2,4 bilhes de dlares e sua origem parece ser uma universidade em Guangdong, seus amigos. O comrcio eletrnico tornou-se um terreno de grande perigo,
China [VAL 01]. devido aos cardings, o que vem fazendo com que a segurana das transaes
As invases no autorizadas que resultam no vazamento de informaes confi- eletrnicas com cartes de crdito tenha uma evoluo natural, como o caso
denciais podem resultar em graves conseqncias, principalmente quando essas do protocolo SET.
64 65
* Easter egg: uma mensagem, imagem ou som que o programador esconde em conceitualmente seguros, motivo de muitas controvrsias. Uma das razes disso
um software, como brincadeira. Geralmente deve-se seguir procedimentos para que, com o foco exclusivamente nas vendas, as empresas primam pela diminuio
ativar essa parte do cdigo de software. do tempo de desenvolvimento; isso faz com que o produto chegue antes ao merca-
* Media whore: na cultura hacker, quem deixa o mundo underground para ga- do, mesmo que tenha falhas. Outra razo que as metodologias de desenvolvimento
nhar a ateno da mdia considerado traidor. Trata-se dos hackers que bus- de software seguro ainda no so difundidas o suficiente para a sua adoo.
cam a glria e a fama pessoal. interessante notar que os ataques exploram brechas existentes em qualquer um
* Phreaking: o hacking de sistemas telefnicos, geralmente com o objetivo de dos nveis relacionados proteo da informao. Como pode ser visto na Figura 4.3,
fazer ligaes gratuitas ou para espionar ligaes alheias. a proteo da informao depende da segurana em todos os nveis, que incluem:
* Suit: conforme a cultura dos hackers, os suit so os outros, ou seja, os funci- sistema operacional, servios e protocolos, rede e telecomunicaes, aplicao, usu-
onrios de organizaes que trabalham sempre bem-vestidos. Oficiais do go- rios e organizao, fsico. Para o hacker, basta que ele explore apenas uma brecha em
verno so tambm chamados de suits. um desses nveis, que o acesso informao pode ser conseguido. Assim, a prpria
* Tentacles: tambm conhecidos como aliases, so as identidades utilizadas natureza faz com que o trabalho do hacker seja mais fcil, pois, para ele, basta encon-
pelos hackers para executar suas proezas sem serem identificados. trar apenas uma brecha, enquanto o profissional de segurana precisa encontrar e
* Trojan horse: os cavalos de Tria so softwares legtimos que tm cdigos fechar todas as brechas existentes. Assim, o hacker pode explorar vulnerabilidades
escondidos e executam atividades no previstas. O usurio utiliza o software no sistema operacional, por exemplo, bem como falhas na implementao de servios
normalmente, mas ao mesmo tempo executa outras funes ilegais, como en- como a Web. Alm disso, ele pode explorar um funcionrio desavisado ou tentar
viar mensagens e arquivos para o hacker ou abrir portas de entrada para futu- acessar fisicamente algum servidor importante.
ras invases (Seo 4.9.4).
* Vrus: programa que destri dados ou sistemas de computador. Esses progra-
mas se replicam e so transferidos de um computador para outro (Seo 4.9.4).
* Worm: similar ao vrus, porm o worm tem a capacidade de auto-replicao,
espalhando-se de uma rede para outra rapidamente. Diferente do vrus, o worm
pode causar danos, sem a necessidade de ser ativado pelo usurio (Seo 4.9.4).
* War dialer: programa que varre nmeros telefnicos em busca de modems ou
aparelhos de fax, que so posteriormente utilizados como pontos de ataque
(Seo 4.9.5).
* Warez: software pirata distribudo ilegalmente pela Internet.
4.3 OS PONTOS EXPLORADOS

As invases aos sistemas podem ser executadas por meio da explorao de tcni-
cas que podem ter como base a engenharia social ou invases tcnicas. A engenha-
Figura 4.3 A abrangncia da segurana e a complexidade da proteo da informao.
ria social discutida com mais detalhes na Seo 4.5.1, enquanto as invases tc-
nicas so discutidas nas prximas sees. Essas invases exploram deficincias na
Os ataques tcnicos podem explorar uma srie de condies, nas quais esto
concepo, implementao, configurao ou no gerenciamento dos servios e siste-
includas as mostradas a seguir:
mas, e continuaro existindo na medida em que o mercado centrado nas caracte-
rsticas dos produtos, e no na segurana. Esse comportamento adotado pelos fabri-
* Explorao de vulnerabilidades, que so resultantes de bugs na implementao
cantes, de preferirem consertar falhas de segurana a construir sistemas
ou no design de sistemas operacionais, servios, aplicativos e protocolos. Pro-
66 67
tocolos como o Internet Control Message Protocol (ICMP) podem ser explorados Com isso, os ataques mais simples e mais comuns podem ser executados facil-
em ataques como o Smurf e ping-of-death. O UDP pode ser explorado pelo mente por uma grande gama de script kiddies, e as organizaes devem ser capazes
Fraggle, enquanto o TCP pode sofrer ataques conhecidos como SYN flood, por de se defender, no mnimo, contra essas tentativas bsicas de ataque. Alm disso,
exemplo. Esses e outros ataques sero discutidos com mais detalhes nas pr- foi visto tambm que a espionagem industrial cresce a cada dia, principalmente
ximas sees. porque o conhecimento o bem que conduz as organizaes ao sucesso. Cresce
* Utilizao de senhas ineficientes que podem ser obtidas por meio da captura, tambm o desenvolvimento e a utilizao de tcnicas de ataques mais sofisticadas,
utilizando-se a rede (packet sniffing). Mesmo quando as senhas so protegidas que representam o real perigo para as organizaes.
por criptografia, elas podem ser decifradas por meio de cracking e exploradas Estar preparado adequadamente contra as tentativas de ataques fundamental,
em ataques de fora bruta ou em ataques replay (replay attack). principalmente porque o sucesso do hacker depende essencialmente do nmero e da
* O mau uso de ferramentas legtimas que, em vez de serem empregadas para variedade das tentativas de ataque, de maneira que o nvel de segurana da organi-
auxiliar no gerenciamento e na administrao, so utilizadas pelos hackers zao ser to grande quanto os objetivos do invasor. Ou seja, se um hacker tiver
para a obteno de informaes ilcitas, visando a realizao de ataques. Al- como objetivo atacar uma rede, ele ter sucesso mais rapidamente se a rede dessa
guns exemplos so (1) o comando nbtstat do Windows NT, que fornece infor- organizao no tiver um nvel de segurana adequado.
maes que podem ser utilizadas para o incio de um ataque contra usurios O fato que a maioria dos ataques constitui uma briga de gato e rato, pois as
do sistema (identidade do controlador do domnio, nome de NetBIOS, nomes ferramentas de defesa existentes protegem os sistemas somente contra os ataques
de usurios), (2) o port scanning, que utilizado para identificar as portas j conhecidos. Isso faz com que, se por um lado os administradores de segurana
ativas do sistema e, conseqentemente, dos servios providos por cada porta, procuram eliminar as falhas existentes, por outro lado, os hackers vm atualizando
e (3) o packet sniffing, utilizado normalmente para diagnosticar problemas de constantemente seu leque de tcnicas de ataque, que podem no ser detectados
rede, que pode ser empregado para capturar pacotes que trafegam pela rede, pelos administradores e suas ferramentas de defesa.
em busca de informaes como senhas, informaes confidenciais e e-mails. Levando-se em considerao essa premissa, a organizao deve estar preparada
* Configurao, administrao ou manuteno imprpria de sistemas, quando a para situaes nas quais um ataque pode realmente ser efetivado. O monitoramento
complexidade na definio de rotas e regras de filtragem do firewall, por exem- constante, os planos de contingncia, os planos de respostas a incidentes, a forense
plo, pode introduzir novos pontos de ataque aos sistemas. Outros exemplos computacional e o entendimento da legislao sobre esses tipos de crime devem
so (1) a utilizao da configurao-padro que conhecida por todos, inclu- fazer parte de todas as organizaes no mundo atual. Assim, o que deve se ter em
sive pelos hackers; (2) a administrao preguiosa, sem a utilizao de semente que a segurana um processo evolutivo, uma constante luta do adminis-
nhas ou com o uso de senhas ineficiente; (3) a explorao da relao de trador de segurana contra os hackers e os usurios internos que buscam maneiras
confiana entre equipamentos, quando o hacker pode chegar ao alvo atacando de utilizar recursos proibidos na rede, capazes at mesmo de causar transtornos por
primeiramente um outro sistema. meio de seus erros.
* Projeto do sistema ou capacidade de deteco ineficiente, como um sistema de
deteco de intruso (IDS Captulo 8) que fornece informaes falsas, erradas
ou exageradas. 4.4 O PLANEJAMENTO DE UM ATAQUE
As motivaes para um ataque so diversas, variando de acordo com o tipo de
As defesas contra todas as possibilidades de ataques tm de ser consideradas hacker. Os script kiddies, por exemplo, motivados pela curiosidade, por experimento
primordiais para o bom andamento dos negcios de todas as organizaes, princi- ou vontade de aprender, pela necessidade de colocar a vtima em maus lenis ou
palmente porque, como j foi visto, a grande maioria dos hackers de novatos; simplesmente por diverso, podem realizar ataques mais simples, como a pichao
eles utilizam ferramentas e informaes que j existem na Internet, sendo poss- de sites, tambm conhecida como Web defacements. J os ataques mais sofisticados,
vel at mesmo adquirir CDs com uma interface GUI de fcil utilizao, para a que representam os maiores perigos para os negcios das organizaes, so realiza-
realizao dos ataques. dos pelos insiders e pelos black hats, que so motivados por dinheiro, fama, neces-
68 69
sidades psicolgicas ou emocionais, vingana, espionagem industrial ou curiosida- so. pela obteno dessas informaes que o ataque pode ser bem planejado e
de. Os cyberterroristas tambm representam um grande perigo, pois podem compro- executado. As seguintes tcnicas e ferramentas, que sero discutidas nas prximas
meter, como foi visto na Seo 4.1.8, a infra-estrutura de uma nao. sees, podem ser utilizadas para a obteno de informaes relevantes para o
O primeiro passo para um ataque a obteno de informaes sobre o sistema a ataque: dumpster diving ou trashing, engenharia social, ataques fsicos, informa-
ser atacado, o que pode ser feito por meio de diversas tcnicas, que sero detalha- es livres, packet sniffing, port scanning, scanning de vulnerabilidades e firewalking.
das na Seo 4.5. Aps a obteno das informaes, o hacker pode atacar o sistema, O IP Spoofing pode ser considerado uma tcnica auxiliar para outros mtodos de
por meio de uma das quatro maneiras a seguir: obteno de informaes, como o port scanning ou o scanning de vulnerabilidades.
Apesar de essas tcnicas estarem sendo discutidas do ponto de vista dos hackers,
* Monitorando a rede. elas fazem parte tambm do arsenal de defesa usado para anlises de segurana,
* Penetrando no sistema. que visam identificar os pontos inseguros para as posteriores correes e melhorias
* Inserindo cdigos prejudiciais ou informaes falsas no sistema. necessrias.
* Enviando uma enxurrada de pacotes desnecessrios ao sistema, comprome-
tendo a disponibilidade do mesmo. 4.5.1 Dumpster diving ou trashing
O dumpster diving ou trashing a atividade na qual o lixo verificado em busca
As conseqncias de um ataque bem-sucedido a uma organizao podem ser
de informaes sobre a organizao ou a rede da vtima, como nomes de contas e
variadas, mas so sempre negativas:
senhas, informaes pessoais e confidenciais. Essa tcnica eficiente e muito uti-
lizada, inclusive no Brasil. So conhecidos os casos de incidentes em bancos, nos
* Monitoramento no autorizado.
quais os lixos foram verificados, procura de informaes importantes, que eram,
* Descoberta e vazamento de informaes confidenciais.
ento, trabalhadas e cruzadas com outras informaes de clientes, resultando no
* Modificao no autorizada de servidores e da base de dados da organizao.
acesso s contas desses usurios.
* Negao ou corrupo de servios.
Uma caracterstica importante dessa tcnica que ela legal, pois as informa-
* Fraude ou perdas financeiras.
es so coletadas diretamente do lixo. Alguns tipos de informaes importantes
* Imagem prejudicada, perda de confiana e de reputao.
que podem ser utilizadas no planejamento de um ataque so: lista telefnica
* Trabalho extra para a recuperao dos recursos.
corporativa, organograma, memorandos internos, manuais de poltica, calendrio
* Perda de negcios, clientes e oportunidades.
de reunies, manuais de sistemas de eventos e de frias, impresso de informaes
confidenciais, impresso de cdigo-fonte, disquetes, fitas, formulrios internos,
Um ponto importante que, aps a realizao dos ataques, os hackers tentaro
inventrios de hardware etc.
encobrir todos os procedimentos realizados por eles. Para isso, podem ser utilizadas
Essa foi uma das tcnicas utilizadas pela Proctor & Gamble para descobrir infor-
tcnicas como substituio ou remoo de arquivos de logs, troca de arquivos im-
maes estratgicas de sua concorrente, a Unilever. O caso tornou-se pblico antes
portantes do sistema para o mascaramento de suas atividades ou a formatao
de um acordo entre as empresas, o que normalmente ocorre nesses casos, e os
completa do sistema. Os sistemas de deteco de intruso (IDS), que sero discuti-
prejuzos estimados foram de dez milhes de dlares [KNO 03].
dos no Captulo 8, tm, assim, uma grande importncia para a defesa da organiza-
Isso faz com que a poltica de segurana seja essencial, e que um fragmentador
o. A forense computacional (Seo 8.11) tambm de grande importncia na
de papis, definido na poltica, seja um acessrio importante para que os papis
investigao do ataque e na busca do responsvel por ele.
sejam picotados juntamente com as informaes.
4.5 ATAQUES PARA A OBTENO DE INFORMAES 4.5.2 Engenharia social

Conhecer o terreno e coletar informaes sobre o alvo, se possvel, sem ser A engenharia social a tcnica que explora as fraquezas humanas e sociais, em
notado ou descoberto, o primeiro passo para a realizao de um ataque de suces- vez de explorar a tecnologia. Ela tem como objetivo enganar e ludibriar pessoas
70 71
assumindo-se uma falsa identidade, a fim de que elas revelem senhas ou outras 4.5.3 Ataque fsico
informaes que possam comprometer a segurana da organizao. Essa tcnica
O ataque fsico organizao, em que so roubados equipamentos, software ou
explora o fato de os usurios estarem sempre dispostos a ajudar e colaborar com os
fitas magnticas, constitui um mtodo menos comum utilizado em um ataque. O
servios da organizao.
incidente mais conhecido o de Kevin Poulsen, que roubou vrios equipamentos do
Ela capaz de convencer a pessoa que est do outro lado da porta a abri-la,
provedor de acesso de diversas organizaes, resultando na quebra do sigilo de
independente do tamanho do cadeado. O engenheiro social manipula as pessoas
vrias informaes confidenciais dessas empresas.
para que elas entreguem as chaves ou abram o cadeado, explorando caractersticas
O ataque fsico permite que o ataque seja realizado diretamente no sistema,
humanas como reciprocidade, consistncia, busca por aprovao social, simpatia,
o que facilita as aes, pois no necessrio que tcnicas de ataques remotos
autoridade e medo.
sejam utilizadas. Com o acesso direto ao sistema, alm do roubo do prprio
Um ataque de engenharia social clssico consiste em se fazer passar por um
equipamento, possvel executar-se uma srie de aes maliciosas ou destrutivas,
alto funcionrio que tem problemas urgentes de acesso ao sistema. O hacker,
tais como copiar documentos confidenciais, ler e-mails de terceiros, obter infor-
assim, como um ator, que, no papel que est representando, ataca o elo mais
maes privilegiadas (como os salrios de todos os funcionrios ou estratgia
fraco da segurana de uma organizao, que o ser humano. Esse ataque difcil
de novos produtos), modificar arquivos importantes, implantar bombas lgicas,
de ser identificado, pois o que est em jogo a confiana, a psicologia e a mani-
alterar configuraes ou aumentar os privilgios de alguns usurios. A imagina-
pulao das pessoas. Kevin Mitnick, um dos hackers mais famosos, que se livrou
o e a inteno do atacante que vai limitar as aes no sistema a que ele
da priso em fevereiro de 2000, utilizava a engenharia social em mais de 80% de
obtm acesso fsico, de modo que ele pode simplesmente destruir todas as in-
seus ataques.
formaes, se assim desejar.
Um caso de um ataque no qual a engenharia social foi explorada ocorreu em
O acesso direto ao sistema uma das facetas dos ataques fsicos, os quais podem
outubro de 1998, envolvendo a America Online (AOL). Um indivduo conseguiu
possuir dimenses ainda maiores. O controle de acesso fsico, por exemplo, uma
obter dados da AOL e solicitou mudanas no registro de domnio DNS, de forma que
delas, e deve ser utilizado para minimizar possibilidades de ataques fsicos direta-
todo o trfego para a AOL foi desviado para um outro equipamento que no era do
mente aos sistemas. Assim como a abordagem utilizada pelos firewalls (captulos 7
provedor [HTTP 02].
e 13), o controle de acesso fsico tambm deve ser planejado em diferentes nveis.
Uma das tcnicas de engenharia social consiste em visitar escritrios e tentar
O acesso ao prdio, por exemplo, deve ser controlado para que a entrada da grande
fazer com que a secretria se distraia, enquanto o hacker analisa documentos que
maioria dos suspeitos seja controlada. Dentro da organizao, o controle a salas
esto em cima da mesa ou no computador. Utilizar o mtodo de entrar pela porta do
restritas tambm deve ser controlado, bem como sua locomoo interna. Com isso,
fundo ou pela garagem, para ter acesso a salas restritas, tambm faz parte da enge-
problemas como o acesso a sistemas desbloqueados pode ser evitado, sejam eles
nharia social, bem como se disfarar de entregador de flores ou de pizzas.
servidores ou workstations. As conseqncias do acesso a uma workstation de um
Um outro ataque, que exige um prazo mais longo para o seu desfecho, consiste
funcionrio distrado podem ser perigosas, como em um simples caso em que um e-
em criar um software com bugs inseridos de propsito. O hacker poderia entregar
mail falso enviado para clientes ou parceiros de negcios. Documentos falsos
esse software para a organizao, a fim de que fossem realizados testes com ele,
tambm podem ser introduzidos no sistema interno com o uso dessa workstation,
pedindo, gentilmente, que o avisem em caso de falhas, e prontificando-se a resolv-
bem como o acesso a projetos pode permitir sua cpia.
las. A vtima, ento, entraria em contato com o hacker, que conseguiria ter acesso
O controle aos servidores tem de ser o mais restritivo possvel, com um sistema
ao computador da empresa para a correo da falha que ele mesmo implantou, alm
de identificao eficiente. O uso de crachs, combinado com um sistema de biometria,
do acesso para a realizao das tarefas referentes ao ataque, tais como a instalao
interessante, pois um crach perdido no pode ser reutilizado para acessos indevidos
de backdoors ou bombas lgicas.
sala de servidores. Os problemas relacionados com ataques fsicos podem ser
O fato mais recente envolvendo a engenharia social sua ampla utilizao em
minimizados com esse tipo de controle de acesso, que pode ser melhorado ainda
busca de um maior poder de disseminao de vrus. Procurando ludibriar os usurios
mais com o uso de cmeras de vdeo, por exemplo. O acesso a sistemas telefnicos
para que abrissem arquivos anexados, vrus como o I Love You, Anna Kournikova e
tambm deve ser considerado, pois eles podem dar acesso remoto a sistemas impor-
Sircam espalharam-se rapidamente em todo o mundo.
tantes da organizao.
72 73
A poltica de segurana (Captulo 6) possui um papel fundamental para que os softwares podem ser encontrados, inclusive o snoop, fornecido com o Solaris, e o
riscos envolvidos com ataques fsicos sejam minimizados. Fazer com que todos os tcpdump, fornecido com o Linux, que so originalmente utilizados para auxiliar na
funcionrios bloqueiem sua workstation quando no a utilizam um dos pontos resoluo de problemas de rede.
importantes, bem como no deixar documentos confidenciais em cima da mesa, pois As informaes que podem ser capturadas pelos sniffers so referentes aos paco-
pessoas de outras organizaes podem circular pelo ambiente interno e obter infor- tes que trafegam no mesmo segmento de rede em que o software funciona. Diversos
maes simplesmente olhando para eles, os fotografando ou at mesmo os roubando. tipos de filtros podem ser utilizados para a captura de pacotes especficos referen-
Outros problemas relacionados a ataques fsicos so o uso de sniffers ou analisadores tes a determinados endereos de IP, servios ou contedos.
de protocolos para capturar informaes e senhas e a implantao de hardware para Senhas que trafegam abertamente pela rede, como as de servios como FTP,
capturar tudo que o funcionrio digita (keystroke logger). A perda de sigilo decorren- Telnet e POP, podem ser facilmente capturadas dessa maneira. E-mails tambm po-
te do uso dessas tcnicas uma das mais encontradas nas organizaes. dem perder sua privacidade por meio da utilizao de sniffers. Uma das medidas de
Alm desses aspectos relacionados a ataques fsicos, outros aspectos esto en- segurana que podem ser tomadas para minimizar as implicaes de segurana a
volvidos com a disponibilidade das informaes. Situaes como terremotos, fura- diviso da rede em mais segmentos, pela utilizao de switches ou roteadores. Po-
ces, incndios ou enchentes devem estar previstas pela poltica de segurana, pois rm, alguns problemas permancem com relao aos switches e, como essa medida
elas causam interrupo dos negcios e conseqente perda de receita. no elimina totalmente a possibilidade de captura de pacotes em um mesmo seg-
mento, a soluo o uso de protocolos que utilizam a criptografia, como o SSH no
4.5.4 Informaes livres lugar do Telnet, ou o IPSec. A utilizao da criptografia em informaes confiden-
ciais que trafegam pela rede, como em e-mails, tambm importante para a preven-
As diversas informaes que podem ser obtidas livremente, principalmente na
o da perda de sigilo por sniffing.
prpria Internet, so valiosas para o incio de um ataque. Consideradas como no
Existem diversas tcnicas para verificar se um sniffer est sendo executado em
intrusivas, pois no podem ser detectadas e alarmadas, as tcnicas incluem consul-
um determinado segmento de rede. Um dos mtodos o administrador acessar cada
tas a servidores de DNS, anlise de cabealhos de e-mail e busca de informaes em
equipamento dessa rede e verificar se existe ou no o processo que est sendo
listas de discusso. Por meio delas, detalhes sobre sistemas, topologia e usurios
executado. O problema que se um hacker estiver executando um sniffer, ele toma-
podem ser obtidos facilmente. Ultimamente, mecanismos de busca como o Google
r o cuidado de esconder esse processo da lista de processos, impossibilitando sua
so amplamente utilizados para a obteno de informaes importantes, que
deteco. O mesmo vale para a verificao de interfaces de rede que esto funcio-
facilitada pelo uso de determinados tipos de filtros.
nando de modo promscuo. Outro mtodo a criao de trfego de senhas predeter-
Alguns detalhes interessantes que podem ser encontrados em listas de discus-
minadas, de modo que o hacker pode ser detectado e identificado por meio da
so, por exemplo, so os cargos e as funes de usurios, e os nmeros de telefones
utilizao dessa senha. Esse mtodo, porm, no muito eficiente, uma vez que o
dos superiores. Eles so comuns de ser encontrados, quando uma mensagem de
hacker pode fazer grandes estragos antes de utilizar essa senha predeterminada,
aviso de ausncia mal estruturada e configurada, o que faz com que e-mails
principalmente porque ele ter em seu poder no apenas essa senha, mas tambm
internos sejam enviados a listas de discusses desnecessariamente.
a de usurios legtimos. David Wu apresenta, em [WU 98], outras tcnicas para
Outras fontes de informaes so protocolos como o Simple Network Management
realizar a deteco remota de sniffers na rede, sem a necessidade de acessar cada
Protocol (SNMP) e o NetBIOS, e servios como finger, rusers, systat ou netstat. Banners
equipamento do segmento:
de protocolos como Telnet e FTP, que aparecem quando o usurio se conecta ao
servio, tambm mostram informaes como o tipo de sistema operacional e a ver-
* MAC Detection: tira proveito de um erro na implementao do TCP/IP de diver-
so do servio, de modo que recomendvel modific-los.
sos sistemas operacionais, os quais utilizam apenas o endereo de IP para
entregar os pacotes, no conferindo o endereo MAC quando a interface est
4.5.5 Packet Sniffing no modo promscuo. Assim, a tcnica utiliza pacotes ICMP echo request com o
Tambm conhecida como passive eavesdropping, essa tcnica consiste na captu- endereo de IP de um host, mas com endereo MAC falso. Se algum estiver
ra de informaes valiosas diretamente pelo fluxo de pacotes na rede. Diversos utilizando um sniffer, ele estar em modo promscuo, no conferir o endere-
74 75
o MAC e responder ao pedido de ping, sendo assim detectado. Essa tcnica * Reconfigurao do switch via uso de Simple Network Management Protocol
no funciona com sistemas operacionais que implementam o protocolo TCP/IP (SNMP).
corretamente. * Envio de muitos quadros (notao utilizada para camadas de enlace) rede
* DNS detection: tira proveito do fato de alguns sniffers realizarem o DNS rever- (Flooding), usando endereos Media Access Control (MAC) ainda no utiliza-
so. Trfegos com endereo falso so colocados na rede e, caso o sniffer capture dos. Isso torna a tabela MAC do switch torna cheia, fazendo com que ele passe
esses pacotes, o pedido de DNS reverso ser enviado ao servidor de DNS, que a atuar do modo switch para modo hub.
detecta a existncia de sniffers na rede. Ela identifica quantos sniffers esto * Envio de quadros com os endereos Address Resolution Protocol (ARP) falsos
na rede, mas no pode detectar quais so esses equipamentos. Essa tcnica (ARP Spoofing), fazendo com que o trfego de outros equipamentos seja envi-
pode ainda detectar sniffers entre diferentes segmentos de rede. ado para o equipamento do atacante, que captura os quadros e os redireciona
* Load detection: a idia dessa tcnica que os equipamentos que esto execu- para o equipamento verdadeiro, que nem percebe a diferena.
tando sniffers tm maior grau de processamento, e assim levam mais tempo
para responder s requisies. Essa tcnica faz uma anlise estatstica dos Esses ataques podem ser restringidos com alguns cuidados administrativos. Por
tempos de resposta a requisies de servios, com base nos tempos de respos- exemplo, restringir o acesso de administrador do switch apenas pela porta serial
ta com pouco trfego na rede e com o trfego a ser capturado pelos sniffers. elimina o controle remoto no autorizado. Desabilitar o uso de SNMP ou bloquear os
Esses tempos so, ento, comparados, de modo que, se a diferena for muita, acessos externos ao dispositivo via uso do protocolo tambm devem ser considera-
o equipamento est utilizando maior processamento, o que pode ser resultado dos. O uso de listas de controle de acesso (Access Control List, ACL) baseados em
da utilizao de sniffers. O tipo de pacote a ser utilizado nos testes, porm, endereos MAC tambm recomendvel, bem como o uso de tabelas ARP estticas.
deve ser escolhido cuidadosamente. O ICMP echo request, por exemplo, no Essa medida, porm, depende de uma avaliao quanto escalabilidade e carga
serve, pois a resposta enviada pelo equipamento a partir da prpria pilha administrativa gerada.
TCP/IP, antes de chegar ao nvel do usurio, no sendo possvel, portanto, Uma outra funcionalidade de switches muito utilizada sua capacidade de criar
medir o grau de processamento do equipamento. A mesma situao ocorre LANs virtuais (Virtual LAN VLAN), que so LANs separadas logicamente em um
com os pedidos de conexo SYN. Sendo assim, necessrio utilizar um mtodo mesmo switch. Cada porta do switch representa uma VLAN e a separao feita na
que empregue o nvel de usurio, como o caso dos comandos FTP. Essa Camada 2 do modelo OSI, sendo necessrio, portanto, um dispositivo de Camada 3,
tcnica no funciona de modo eficiente em redes com grande trfego, pois as como um roteador, para que duas VLANs diferentes possam se comunicar [BUG 99].
medidas so mais difceis de ser apuradas e comparadas, uma vez que os dois VLANs podem ser estendidas para outros switches com o uso de trunking entre
tempos tornam-se muito equivalentes. eles. O trunking permite que VLANs existam em diferentes switches, e o seu funcio-
namento baseado em protocolos como o Institute of Electrical and Electronics
Como foi visto, o sniffing pode ser usado para capturar pacotes de um mesmo Engineers (IEEE) 802.1Q, que adiciona um identificador especificando a VLAN qual
segmento de rede. Assim, uma alternativa para minimizar problemas de sniffing o o quadro pertence, no cabealho Ethernet [BUG 99].
uso de switches, em vez de hubs. Por atuarem na Camada 2 do modelo de referncia O trunking, porm, constitui um risco para as organizaes, pois os trfegos
OSI, os switches podem direcionar o trfego para determinadas portas, o que no forjados com identificadores de VLANs especficos podem ser enviados rede, com o
possvel com os hubs, que atuam na Camada 1 do modelo OSI. objetivo de atacar sistemas de outras VLANs. Essa possibilidade ocorre quando uma
Porm, existem algumas tcnicas que buscam driblar as restries impostas pe- porta de trunk compartilha a mesma VLAN com uma porta que no trunk, possibi-
los switches, tornando o sniffing ainda uma ameaa. Alguns mtodos utilizados so litando, assim, que quadros sejam enviados a outras VLANs existentes em outros
[SWI 03][McC 00]: switches [BUG 99].
Testes que comprovam essa possibilidade foram feitos com a gerao de quadros
* Acesso administrativo ao equipamento, com explorao de tcnicas como a 802.1Q com identificadores de VLANs modificados, na tentativa dos quadros serem
adivinhao de senhas (password guessing), ataques do dicionrio, ataques de direcionados a essas VLANs. Os resultados mostraram que possvel injetar quadros
fora bruta ou engenharia social. em uma VLAN e serem direcionados a outras VLANs [BUG 99].
76 77
Com isso, VLANs no podem ser consideradas como mecanismos de segurana,

mas apenas como uma segmentao de redes para otimizar o uso de broadcasts e
multicasts, alm de reduzir problemas com colises [BUG 99]. Em um modelo de
segurana baseado em camadas, com diferentes nveis de defesa, o uso de VLANs
recomendvel, porm a separao fsica das redes ainda a melhor opo.
4.5.6 Port scanning

Os port scanners so ferramentas utilizadas para a obteno de informaes
referentes aos servios que so acessveis e definidas por meio do mapeamento das
portas TCP e UDP. Com as informaes obtidas com o port scanning, evita-se o
desperdcio de esforo com ataques a servios inexistentes, de modo que o hacker
pode se concentrar em utilizar tcnicas que exploram servios especficos, que
podem ser de fato explorados.
O nmap um dos port scanners mais utilizados e pode ser empregado para realizar Figura 4.4 O funcionamento do TCP connect ( ) port scanning.
a auditoria do firewall e do sistema de deteco de intruso (Intrusion Detection

System ou IDS), alm de ser capaz de determinar se o sistema tem falhas de * TCP SYN (half open): esse mtodo no abre uma conexo TCP completa. Um
implementao na pilha TCP/IP, que podem ser exploradas em ataques do tipo DoS. pacote SYN enviado, como se ele fosse abrir uma conexo real. Caso um
Alm de mapear as portas abertas dos sistemas, ele pode identificar, pelo mtodo de pacote SYN-ACK seja recebido, a porta est aberta, enquanto um RST como
stack fingerprinting, que discutido em [FYO 98], o sistema operacional utilizado resposta indica que a porta est fechada, como pode ser visto na Figura 4.5.
pelo alvo. Existem tambm opes para informar sobre o nmero de seqncia dos Caso o SYN-ACK seja recebido, o nmap envia o RST para fechar o pedido de
pacotes TCP, o usurio que est executando cada servio relativo a uma determinada conexo, antes que ela seja efetivada. A vantagem dessa abordagem que
porta, o nome DNS e se o endereo pode tornar-se vtima do Smurf (Seo 4.6.4). poucos iro detectar esse scanning de portas. necessrio ter privilgio de
Algumas caractersticas que tornam o nmap muito poderoso so o scanning superusurio no sistema para utilizar esse mtodo:
paralelo, a deteco do estado de hosts pelos pings paralelos, o decoy scanning, a
deteco de filtragem de portas, o scanning de RPC (no portmapper), o scanning
pelo uso de fragmentao de pacotes e a flexibilidade na especificao de portas e
alvos. Alm disso, o nmap informa o estado de cada porta identificada como aberta
(aceita conexes), filtrada (existe um firewall que impede que o nmap determine se
a porta est aberta ou no) ou no filtrada. Alguns dos mtodos de scanning utili-
zados pelo nmap so [FYO 97][FYO 99]:
* TCP connect(): a forma mais bsica de scanning TCP. A system call connect()
utilizada para abrir uma conexo nas portas do alvo. Como pode ser visto na
Figura 4.4, se a porta estiver aberta, a system call funcionar com sucesso.
Caso contrrio, a porta no est aberta, e o servio no existe no sistema.
Uma vantagem desse mtodo que no necessrio nenhum privilgio espe-
cial para sua utilizao. Em contrapartida, ele facilmente detectado, pois
basta verificar as conexes em cada porta: Figura 4.5 O funcionamento do TCP SYN port scanning.
78 79
* UDP: esse mtodo envia um pacote UDP, de 0 byte, para cada porta do alvo.
Caso ele receba como resposta uma mensagem ICMP port unreachable, ento a
porta est fechada. Caso contrrio, o nmap assume a porta como estando
aberta, como pode ser visto na Figura 4.6:
Figura 4.7 O funcionamento do ICMP port scanning.

Figura 4.6 O funcionamento do UDP port scanning.
* FIN: modo stealth. Alguns firewalls so capazes de registrar a chegada de
* ICMP (ping sweep): esse mtodo envia pacotes ICMP echo request para os pacotes SYN em determinadas portas, detectando, assim, o mtodo TCP SYN. O
hosts. Porm, como alguns sites bloqueiam esses pacotes, tal mtodo muito modo stealth elimina essa possibilidade de deteco. Portas fechadas enviam
limitado. O nmap envia tambm um pacote TCP ACK para a porta 80. Se ele um pacote RST como resposta a pacotes FIN, enquanto portas abertas ignoram
obtiver um pacote RST de volta, o alvo est funcionando, como pode ser visto esses pacotes, como pode ser visto na Figura 4.8. Esse mtodo no funciona
na Figura 4.7. com a plataforma Windows, pois a Microsoft no seguiu o Request For Comments
(RFC) 973:
80 81
* Null scan: modo stealth. Portas fechadas enviam um pacote RST como respos-
ta a pacotes FIN, enquanto portas abertas ignoram esses pacotes, como pode
ser visto na Figura 4.10. Nenhum flag ligado no pacote FIN que enviado ao
alvo. Esse mtodo no funciona com a plataforma Windows, pois a Microsoft
no seguiu o RFC 973:
Figura 4.8 O funcionamento do FIN com port scanning.
* Xmas Tree: modo stealth. Portas fechadas enviam um pacote RST como res-
posta a pacotes FIN, enquanto portas abertas ignoram esses pacotes. Os flags
FIN, URG e PUSH so utilizados no pacote FIN que enviado ao alvo, como
pode ser visto na Figura 4.9. Esse mtodo no funciona com a plataforma
Windows, pois a Microsoft no seguiu o RFC 973:
Figura 4.10 O funcionamento do Null Scan.
* RPC scan: combina vrios mtodos de port scanning. Ele considera todas as
portas TCP e UDP abertas encontradas e envia comandos NULL SunRPC, na
tentativa de que eles sejam portas RPC. como se o comando rpcinfo p
estivesse sendo utilizado, mesmo se um firewall estiver sendo utilizado ou se
estiver protegido pelo TCP wrapper. O modo decoy no vai funcionar nesse
mtodo de scanning.
* FTP proxy (bounce attack): o protocolo FTP permite que um servidor seja
utilizado como um proxy entre o cliente e qualquer outro endereo, ou seja, o
servidor pode ser utilizado como ponto de acesso a outros tipos de conexes.
Com isso, caso ele seja utilizado como referncia de ataque, o hacker pode
mascarar sua origem, pois, para a vtima, o ataque se origina do servidor FTP. O
ataque FTP bounce utilizado geralmente para enviar e-mails e mensagens,
driblar firewalls ou congestionar servidores com arquivos inteis ou software
pirata. O nmap utiliza essa caracterstica para realizar o scanning TCP a partir
Figura 4.9 O funcionamento do Xmas Tree port scanning. desse servidor FTP. Caso o servidor FTP tenha permisso de leitura e escrita,
possvel, at mesmo, enviar dados para as portas abertas encontradas pelo nmap.
82 83
* Reverse-ident: se o host estiver utilizando o ident, possvel identificar o a implementao incorreta da pilha TCP/IP [SEC 98-3]. Nesses casos, o simples
dono dos servios que esto sendo executados no servidor. Detectar a verso scanning pode representar um ataque, como pode ser visto nos seguintes exemplos:
do sistema operacional tambm importante para que a abrangncia do ata-
que seja limitada utilizao de tcnicas especficas. Os mtodos empregados * O IOS, da Cisco, trava quando o UDP Scanning utilizado, quando a porta de
pelo nmap para a deteco do sistema operacional [FYO 99] so relacionados a syslog do roteador (UDP 514) testada.
seguir, e podem ser vistos com detalhes em [FYO 98]: * O Check Point Firewall-1 incapaz de registrar o FIN Scan.
* TCP/IP fingerprinting. * O inetd desabilitado em alguns sistemas operacionais, entre eles, o Solaris
* Stealth scanning. 2.6, Linux, HP-UX, AIX, SCO e FreeBSD, quando o mtodo de scanning TCP SYN
* Dynamic delay. utilizado.
* Retransmission calculations. * O TCP SYN scanning faz com que a blue screen of death, que um tipo de
negao de servio, seja mostrada no Windows 98.
Para que as organizaes detectem a ao desses scanners, os sistemas de deteco * Afeta o RPC portmapper, em alguns sistemas.
de intruso (Intrusion Detection Systems IDS), discutidos no Captulo 8, podem
ser utilizados. Esse tipo de sistema faz o reconhecimento de padres de scanning, Muitas dessas vulnerabilidades, no entanto, j foram corrigidas com o uso de
de forma a alertar o administrador de segurana contra tentativas de mapeamento patches de atualizao.
da rede da organizao. Porm, diversas tcnicas de scanning podem ser utilizadas
para driblar alguns IDS [ARK 99]: 4.5.7 Scanning de vulnerabilidades
Aps o mapeamento dos sistemas que podem ser atacados e dos servios que so
* Random Port Scan: dificulta o IDS no reconhecimento do scanning, por no
executados, as vulnerabilidades especficas para cada servio do sistema sero pro-
realizar a varredura dos servios seqencialmente, e sim, aleatoriamente.
curadas por meio do scanning de vulnerabilidades. Os scanners de vulnerabilidades
* Slow scan: dificulta a deteco ao utilizar um detection threshold, que o
realizam diversos tipos de testes na rede, procura de falhas de segurana, seja em
nmero menor de pacotes que podem ser identificados por um IDS. Assim, o
protocolos, servios, aplicativos ou sistemas operacionais.
atacante pode, por exemplo, enviar apenas dois pacotes por dia para seu alvo,
O mapeamento pelo port scanning, visto na seo anterior, importante porque,
a fim de que o scanning seja realizado, sem detectar o ataque.
identificando os alvos e os tipos de sistemas e servios que neles so executados, o
* Fragmentation scanning: a fragmentao de pacotes pode dificultar a deteco
scanning pode ser realizado especificamente para o que foi mapeado. Isso pode
de uma varredura, porm a maioria dos IDS j solucionou esse problema.
evitar, por exemplo, que vulnerabilidades especficas do Windows sejam testadas
* Decoy: utiliza uma srie de endereos falsificados, de modo que, para o IDS, o
em um UNIX, o que representa um grande desperdcio de trabalho. Alguns riscos
scanning se origina desses vrios hosts, sendo praticamente impossvel identi-
existentes que esses scanners podem analisar, pela checagem de roteadores, servi-
ficar a verdadeira origem da varredura. Um mtodo comumente utilizado para
dores, firewalls, sistemas operacionais e outras entidades IP, so:
a identificao de um endereo decoy era verificar o campo Time to Live (TTL)
dos pacotes. Se eles seguissem um padro j determinado, ento, esse endere-
* Compartilhamento de arquivos que no so protegidos por senhas.
o poderia ser considerado decoy. O nmap utiliza um valor de TTL aleatrio,
* Configurao incorreta.
entre 51 e 65, dificultando, assim, sua deteco.
* Software desatualizado.
* Coordinated scans: dificulta a deteco, ao utilizar diversas origens de varre-
* Pacotes TCP que podem ter seus nmeros de seqncia adivinhados.
duras, cada uma em determinadas portas. geralmente utilizada por um gru-
* Buffer overflows em servios, aplicativos e no sistema operacional.
po de atacantes.
* Falhas no nvel de rede do protocolo.
* Configuraes de roteadores potencialmente perigosas.
Alm de cumprir com o papel a que se destina, um port scanning pode trazer
* Evidncias de falta de higiene em servidores Web.
uma srie de conseqncias para seus alvos, sendo a maioria deles relacionada com
84 85
* Checagem de cavalos de Tria, como Back Orifice ou Netbus.

* Checagem de senhas fceis de serem adivinhadas (password guessing).
* Configuraes de servios.
* SNMP.
* Possibilidade de negao de servio (DoS).
* Configurao da poltica dos navegadores.
Esses riscos sero discutidos nas prximas sees e demonstram que os scanners
de vulnerabilidades so uma ferramenta importante para as anlises de riscos e de Figura 4.11 Crescimento das vulnerabilidades reportadas pelo CERT/CC, de 1995 a 2002.
segurana, e tambm para a auditoria da poltica de segurana das organizaes.
Essa importncia pode ser enfatizada principalmente porque a tcnica de scanning Uma pesquisa do SANS Institute e do FBI mostra as 20 maiores vulnerabilidades
pode ser utilizada para demonstrar os problemas de segurana que existem nas encontradas em uma anlise de segurana, que inclui tambm o uso do scanner de
organizaes, de forma a alertar os executivos para a necessidade de um melhor vulnerabilidades. A lista dividida em duas partes: Windows (de 1 a 10) e UNIX (de
planejamento com relao proteo dos valores da organizao. As consultorias de 11 a 20) [SAN 01]:
segurana utilizam constantemente essa ferramenta para justificar a necessidade
de uma melhor proteo e, assim, vender seus servios, aproveitando-se de uma 1. No Windows, vulnerabilidades no servidor Web Internet Information Services
importante funcionalidade dos scanners, que a sua capacidade de emitir relatrios (IIS).
gerais e especficos, sendo capazes de realizar a avaliao tcnica dos riscos encon- 2. No Windows, vulnerabilidades no Microsoft Data Access Components (MDAC),
trados pelo scanning. que oferece servio de dados remoto.
Um importante ponto a ser considerado, no entanto, que o contedo reporta- 3. No Windows, vulnerabilidades no Microsoft SQL Server.
do pelo scanner deve ser conferido individualmente, porque podem ocorrer casos de 4. No Windows, configuraes do NETBIOS, usado para compartilhamento de re-
falsos positivos e falsos negativos. Uma vulnerabilidade reportada pode no cursos.
corresponder situao real do sistema, ou uma vulnerabilidade importante pode 5. No Windows, problemas envolvendo o logon annimo, relacionado ao null
deixar de ser reportada, pois a ferramenta funciona por meio de uma base de dados sessions.
de ataques conhecidos, e ela deve estar sempre atualizada com as assinaturas de 6. No Windows, fraqueza do mtodo de autenticao LAN Manager (LM) Hashing.
novos ataques. 7. No Windows, fraqueza em senhas, usadas em branco ou fceis de serem adivi-
Assim, o trabalho de anlise e consolidao dos dados, realizado pelo profissio- nhadas.
nal de segurana, fundamental para que seja refletido o cenrio mais prximo do 8. No Windows, vulnerabilidade envolvendo o browser Internet Explorer.
real. De fato, um alarde maior que o necessrio ou uma falsa sensao de segurana, 9. No Windows, explorao do acesso remoto ao registro do sistema (registry).
reflete negativamente na produtividade da organizao. O trabalho de anlise ga- 10. No Windows, explorao do Windows Scripting Host, que permite a execuo
nha uma importncia ainda maior quando o nmero de novas vulnerabilidades au- de cdigos no Internet Explorer e pode ser explorado por vrus e worms.
menta em grande velocidade. De acordo com o CERT Coordination Center, o nmero 11. No UNIX, explorao do Remote Procedure Calls (RPC).
de vulnerabilidades reportadas em 2002 foi de 4.129, um nmero quase 70% maior 12. No UNIX, vulnerabilidades do servidor Web Apache.
do que em 2001, e cerca de 380% maior do que em 2000, quando foram reportadas 13. No UNIX, vulnerabilidades do Secure Shell (SSH).
1.090 novas vulnerabilidades. Em 1995, haviam sido reportadas 171 vulnerabilidades, 14. No UNIX, vazamento de informaes por meio do Simple Network Management
como pode ser visto na Figura 4.11 [CER 03]. Protocol (SNMP).
15. No UNIX, vulnerabilidades no File Transfer Protocol (FTP).
16. No UNIX, explorao de relaes de confiana via uso de comandos remotos
como rcp, rlogin, rsh.
86 87
17. No UNIX, vulnerabilidades no servidor remoto de impresso Line Printer Daemon 4.5.9 IP spoofing
(LPD).
O IP spoofing uma tcnica na qual o endereo real do atacante mascarado, de
18. No UNIX, vulnerabilidades no servidor remoto de impresso LPD.
forma a evitar que ele seja encontrado. Essa tcnica muito utilizada em tentativas
19. No UNIX, vulnerabilidades no servidor de e-mail Sendmail.
de acesso a sistemas nos quais a autenticao tem como base endereos IP, como a
20. No UNIX, fraqueza em senhas, usadas em branco ou fceis de serem adivinhadas.
utilizada nas relaes de confiana em uma rede interna.
Essa tcnica tambm muito utilizada em ataques do tipo DoS, nos quais paco-
Um ponto importante a ser considerado que, assim como os scanners auxiliam
tes de resposta no so necessrios. O IP spoofing no permite que as respostas
os administradores de segurana na proteo das redes, indicando as vulnerabilidades
sejam obtidas, pois esses pacotes so direcionados para o endereo de IP forjado, e
a serem corrigidas, eles podem tambm ser utilizados pelos hackers para que as
no para o endereo real do atacante. Para que um ataque tenha sua origem masca-
falhas de segurana sejam detectadas e exploradas. Uma medida preventiva que
rada e os pacotes de resposta possam ser obtidos pelo atacante, ser necessrio
pode ser adotada a utilizao de sistemas de deteco de intruso (Intrusion
aplicar outras tcnicas em conjunto, como ataques de DoS ao endereo IP da vtima
Detection Systems, IDS), que realizam o reconhecimento de padres de scanning e
forjada e tambm mudanas nas rotas dos pacotes.
alertam o administrador de segurana quanto ao fato. O IDS ser discutido no Cap-
Uma organizao pode proteger sua rede contra o IP spoofing de endereos IP da
tulo 8.
rede interna por meio da aplicao de filtros, de acordo com as interfaces de rede.
Por exemplo, se a rede da organizao tem endereos do tipo 100.200.200.0, ento,
4.5.8 Firewalking o firewall deve bloquear tentativas de conexo originadas externamente, onde a
O firewalking uma tcnica implementada em uma ferramenta similar ao origem tem endereos da rede do tipo 100.200.200.0.
traceroute e pode ser utilizada para a obteno de informaes sobre uma rede
remota protegida por um firewall. Essa tcnica permite que pacotes passem por
portas em um gateway, alm de determinar se um pacote com vrias informaes de 4.6 ATAQUES DE NEGAO DE SERVIOS
controle pode passar pelo gateway. Pode-se ainda mapear roteadores encontrados Os ataques de negao de servios (Denial-of-Service Attack DoS) fazem com
antes do firewall. Isso possvel devido possibilidade de modificar o campo Time que recursos sejam explorados de maneira agressiva, de modo que usurios legti-
To Live (TTL) do pacote e as portas utilizadas, que permitem que as portas abertas mos ficam impossibilitados de utiliz-los. Uma tcnica tpica o SYN flooding (Se-
pelo firewall sejam utilizadas para o mapeamento da rede. o 4.6.2), que causa o overflow da pilha de memria por meio do envio de um
interessante notar que, com algumas opes do prprio traceroute, possvel grande nmero de pedidos de conexo, que no podem ser totalmente completados
obter essas informaes. Por exemplo, se um firewall permite somente o trfego de e manipulados. Outra tcnica o envio de pacotes especficos que causam a inter-
pacotes ICMP (o traceroute utiliza o UDP, normalmente), basta utilizar a opo I rupo do servio, que pode ser exemplificada pelo Smurf (Seo 4.6.4). As prxi-
para que as informaes passem pelo firewall. O traceroute permite tambm que o mas sees mostram como o DoS pode ser explorado pelos atacantes. Os problemas
trace seja realizado por meio de uma porta especfica, o que pode ser utilizado em encontrados mais recentemente, que resultam em ataques de DoS, envolvem diver-
redes em que o firewall permite somente o trfego de pacotes DNS, por exemplo sas implementaes do Lightweight Directory Access Protocol (LDAP) [CER 01-2] e os
[GOL 98]. ataques distribudos de DoS (DDoS), que combinam diversas vulnerabilidades em
Com isso, possvel obter informaes sobre as regras de filtragem dos firewalls diferentes tipos de sistemas, podem ser vistos na Seo 4.8.
e tambm criar um mapa da topologia da rede. Uma medida de proteo contra o
firewalking a proibio de trfego de pacotes ICMP (os usurios da rede tambm 4.6.1 Bugs em servios, aplicativos e sistemas
passam a no poder utilizar servios de ICMP, impedindo, assim, o diagnstico de
problemas da rede), a utilizao de servidores proxy ou a utilizao do Network
operacionais
Address Translation (NAT) [GOL 98]. Alguns dos maiores responsveis pelos ataques de negao de servios so os
prprios desenvolvedores de software. Diversas falhas na implementao e na con-
88 89
cepo de servios, aplicativos, protocolos e sistemas operacionais abrem brechas privilgios de nvel mais alto, que executam o cdigo contido nesse DLL de Tria.
que podem ser exploradas em ataques contra a organizao. Alguns tipos de falhas Os passos e os reparos para se evitar essa vulnerabilidade so descritos no artigo
que oferecem condies de buffer overflow (Seo 4.9.1) podem ser utilizados para [L0P 99].
que cdigos prejudiciais e arbitrrios sejam executados, o que pode resultar em O bug envolvendo o Unicode, que discutido com mais detalhes no Captulo 8,
acesso no autorizado aos recursos. um dos que foram utilizados em larga escala na Internet, at mesmo em worms
Alguns bugs e condies que podem ser encontrados em softwares, ser explora- como o Nimda (Seo 4.9.4). O perigo das vulnerabilidades-padro dos sistemas
dos e tm como resultado a negao de servio ou mesmo o acesso no autorizado operacionais tambm deve ser considerado, como as que podem ser encontradas no
ao sistema so: Solaris (fingerd permite bouncing das consultas), no Windows NT (sistema de hashing
das senhas extremamente ineficiente) e no IRIX (riscos de segurana em abundn-
* Buffer overflows, que so discutidas na Seo 4.9.1. cia, por meio das configuraes iniciais, como a existncia de contas de usurios
* Condies inesperadas: manipulao errada e incompleta de entradas por meio padro) [FIST 99].
de diferentes camadas de cdigos, um script Perl que recebe parmetros pela
Web e, se for explorado, pode fazer com que o sistema operacional execute 4.6.2 SYN Flooding
comandos especficos.
Esse ataque explora o mecanismo de estabelecimento de conexes TCP, baseado
* Entradas no manipuladas: cdigo que no define o que fazer com entradas
em handshake em trs vias (three-way handshake). A caracterstica dos ataques de
invlidas e estranhas.
SYN flooding (Figura 4.12) que um grande nmero de requisies de conexo
* Format string attack: tipo de ataque a uma aplicao, em que a semntica dos
(pacotes SYN) enviado, de tal maneira que o servidor no capaz de responder a
dados explorada, fazendo com que certas seqncias de caracteres nos dados
todas elas. A pilha de memria sofre um overflow e as requisies de conexes de
fornecidos sejam processadas de forma a realizar aes no previstas ou per-
usurios legtimos so, ento, desprezadas. Essa tcnica foi utilizada em diversos
mitidas, no mbito do processo do servidor.
ataques e pode ser vista no exemplo da Seo 4.7.
* Race conditions: quando mais de um processo tenta acessar os mesmos dados
ao mesmo tempo, podendo causar, assim, confuses e inconsistncias das
informaes.
Um exemplo de bug pode ser visto na descoberta de uma falha conceitual no

UNIX, tornando-o vulnervel [BAR 99]. Essa falha, que atinge todos os tipos de
sistemas UNIX, at mesmo o Linux, com exceo do BSD, ocorre quando diversas
conexes so feitas, porm sem pedidos de requisio. Assim, os diversos servios
(daemons) no podem responder s conexes e a tabela de processos do sistema,
que pode trabalhar com um nmero entre 600 e 1.500 processos simultneos, fica
cheia e causa a parada do servidor.
Um outro exemplo de bug pode ser visto no ataque que explora a cache do
mapeamento dos objetos utilizados nas Dynamic Link Libraries (DLLs) em sistemas
Windows NT [L0P 99]. Esses objetos da cache localizam-se no espao interno de
nomes do sistema e so criados com permisses para que o grupo Everyone possa
control-los totalmente; com isso, possvel substituir esses objetos. Quando um
processo criado, e a DLL est na cache, ela simplesmente mapeada no espao do
processo, em vez de ser carregada. Assim, possvel que um usurio com privilgios
limitados substitua esse objeto da cache e ela seja utilizada por um processo com Figura 4.12 Handshake em trs vias do TCP e SYN flooding.
90 91
Os ataques de SYN flooding podem ser evitados, comparando-se as taxas de re- O fato de o reagrupamento ocorrer somente no destino final implica em uma
quisies de novas conexes e o nmero de conexes em aberto. Com isso, mensa- srie de desvantagens, como a ineficincia, pois algumas redes fsicas podem ter
gens de alerta e aes pr-configuradas podem ser utilizadas quando a taxa chega a uma MTU maior do que os pacotes fragmentados, passando a transmitir pacotes
um padro determinado. Um outro modo de evitar o ataque pelo monitoramento menores que o possvel. Outra desvantagem a perda de pacotes, pois, se um frag-
dos nmeros de seqncias dos pacotes que so enviados na rede, que devem estar mento for perdido, todo o pacote tambm ser perdido [COM 95]. Uma desvantagem
dentro de uma faixa esperada, caso eles sejam originrios de um atacante especfico ainda maior a possibilidade de tirar proveito dessa caracterstica para a realizao
[CIS 98-2]. de ataques.
Outros mtodos que podem ser utilizados contra os ataques de SYN flooding so: A possibilidade de ataques por meio da fragmentao de pacotes de IP ocorre
em conexes de baixa velocidade (at 128 Kbps), utiliza-se um time-out e uma taxa devido ao modo como a fragmentao e o reagrupamento so implementados. Tipi-
mxima de conexes semi-abertas. Os pacotes so descartados de acordo com esses camente, os sistemas no tentam processar o pacote at que todos os fragmentos
valores determinados; em conexes de maior velocidade, a melhor soluo desabilitar sejam recebidos e reagrupados. Isso cria a possibilidade de ocorrer um overflow na
ou bloquear temporariamente todos os pacotes SYN enviados ao host atacado, aps pilha TCP quando h o reagrupamento de pacotes maiores que o permitido. O resul-
uma determinada taxa de conexo. Isso mantm o restante do sistema em funcio- tado disso so problemas como o travamento do sistema, caracterizando ataques do
namento, ao mesmo tempo em que desabilita novas conexes ao host que est tipo Denial-of-Service. Essa caracterstica foi explorada inicialmente, no fim de 1996
sendo atacado [CIS 98-2]. pelo Ping oDeath. Por meio do envio de pacotes ICMP Echo Request, o ping, com
Outras solues contra o SYN flooding podem ser adotadas, tais como o aumento tamanho de 65535 bytes, que maior do que o normal, diversos sistemas travavam
do tamanho da fila de pedidos de conexo, que, na realidade, no elimina o proble- devido sobrecarga do buffer da pilha TCP/IP, pois no era possvel reagrupar um
ma, e tambm a diminuio do time-out do three-way handshake, que tambm no pacote to grande [KEN 97]. A nica soluo para o Ping oDeath a instalao de
elimina, porm minimiza o problema [CIS 96]. patches, que impedem que o kernel tenha problemas com overflows no momento do
reagrupamento dos fragmentos de IP. O ping foi, inicialmente, empregado devido
4.6.3 Fragmentao de pacotes de IP sua facilidade de utilizao, porm outros pacotes IP grandes, sejam eles TCP
(Teardrop) ou UDP, podem causar esse tipo de problema. Atualmente, os sistemas j
A fragmentao de pacotes est relacionada Maximum Transfer Unit (MTU),
corrigiram esse problema por meio de atualizaes e instalaes de patches.
que especifica a quantidade mxima de dados que podem passar em um pacote por
A caracterstica de o reagrupamento ser possvel somente no host de destino, de
um meio fsico da rede. Por exemplo, a rede Ethernet limita a transferncia a 1 500
acordo com a especificao do protocolo IP, faz com que o firewall ou o roteador no
octetos de dados, enquanto o FDDI permite 4.470 octetos de dados por pacote. Com
realize a desfragmentao, o que pode causar problemas peculiares. Um atacante
isso, caso um pacote partindo de uma rede FDDI (com 4.470 octetos) passe por uma
pode, por exemplo, criar um pacote como o primeiro fragmento e especificar uma
rede Ethernet (com 1 500 octetos), ele dividido em quatro fragmentos com 1.500
porta que permitida pelo firewall, como a porta 80. Dessa maneira, o firewall
octetos cada um, que podem ser enviados pela rede Ethernet.
permite a passagem desse pacote e dos fragmentos seguintes para o host a ser
Em um ambiente como a Internet, no qual existe uma grande variedade fsica de
atacado. Um desses pacotes subseqentes pode ter o valor de off-set capaz de
redes, definir uma MTU pequena resulta em ineficincia, pois esses pacotes podem
sobrescrever a parte inicial do pacote IP que especifica a porta TCP. O atacante,
passar por uma rede que capaz de transferir pacotes maiores. Enquanto isso, definir
assim, modifica a porta de IP inicial de 80 para 23, por exemplo, para conseguir
uma MTU grande, maior do que a da rede com MTU mnima, tem como resultado a
acesso Telnet ao host a ser atacado [COH 99]. Problemas relacionados a sistemas de
fragmentao desse pacote, uma vez que seus dados no cabem nos pacotes que
deteco de intruso (Intrusion Detection System IDS) tambm so discutidos no
trafegam por essa rede com MTU mnima. Os fragmentos resultantes trafegam pela
Captulo 8.
rede e, quando chegam ao seu destino final, so reagrupados, com base em off-sets,
Assim, os ataques baseados na fragmentao de pacotes IP no podem ser evita-
reconstituindo, assim, o pacote original. Todo esse processo de fragmentao e
dos por meio de filtros de pacotes. Os hosts que utilizam NAT esttico tambm esto
reagrupamento (desfragmentao) feito de modo automtico e transparente para o
vulnerveis a esses ataques, alm dos hosts que utilizam NAT dinmico e que tm
usurio, de acordo com a definio do protocolo IP.
uma comunicao ativa com a Internet [CIS 98].
92 93
A fragmentao tambm utilizada como um mtodo de scanning, como o usa- a possibilidade de utilizar o ICMP echo para o endereo de broadcast da rede, que
do pelo nmap, que envia pacotes de scanning fragmentados, de modo que sua deteco uma ferramenta til para o diagnstico da rede.
pelo firewall ou pelo IDS torna-se mais difcil. Os hosts tambm podem ser configurados de modo a no responderem a pacotes
ICMP echo para o endereo de broadcast. No caso do ataque Fraggle, os pacotes UDP
4.6.4 Smurf e fraggle echo e chargen devem ser descartados. Essas medidas tambm acabam impedindo o
diagnstico da rede, como o que ocorre com a medida anterior.
O Smurf um ataque no nvel de rede, pelo qual um grande trfego de pacotes
Alguns equipamentos, como os roteadores da Cisco, possuem mecanismos como
ping (ICMP echo) enviado para o endereo IP de broadcast da rede, tendo como
o Committed Access Rate (CAR), que pode limitar o trfego de determinados pacotes
origem o endereo de IP da vtima (IP spoofing). Assim, com o broadcast, cada host
a uma determinada banda. Sua utilizao para limitar o nmero de pacotes ICMP
da rede recebe a requisio de ICMP echo, passando todos eles a responderem para o
echo e echo-replay so, assim, interessantes para no comprometer completamente
endereo de origem, que falsificado. A rede afetada, pois todos os seus hosts
a rede. O CAR tambm pode impedir o ataque de TCP SYN Flooding [HUE 98].
respondem requisio ICMP, passando a atuar como um amplificador. E a vtima,
O egress filtering um mtodo que deve ser utilizado para impedir ataques de
que teve o seu endereo IP falsificado, recebe os pacotes de todos esses hosts,
DoS, os quais utilizam endereos IP falsos. O objetivo impedir que provedores de
ficando desabilitada para executar suas funes normais, sofrendo assim uma nega-
acesso ou organizaes sejam utilizados como pontes de ataque e tambm que seus
o de servio. O Fraggle primo do Smurf, que utiliza pacotes UDP echo, em vez
usurios realizem ataques externos. Esse mtodo evita ataques de IP spoofing a
de pacotes ICMP echo [HUE 98]. O ataque pode ser visto na Figura 4.13.
partir de sua origem e, realmente, uma medida importante, pois de responsabi-
lidade do administrador de redes impedir que sua rede seja envolvida em um ata-
que. O mtodo permite que somente pacotes com endereo de origem da rede inter-
na sejam enviados para a rede externa, impedindo que pacotes com endereos falsos
passem pela rede. A importncia dessa filtragem cada vez maior quando se pode
ver o avano dos ataques coordenados (Seo 4.8), que visam causar grandes trans-
tornos aos envolvidos.
4.6.5 Teardrop e land

O Teardrop uma ferramenta utilizada para explorar os problemas de fragmenta-
o IP nas implementaes do TCP/IP, como foi visto na Seo 4.6.3. O Land uma
ferramenta empregada para explorar vulnerabilidades de TCP/IP, na qual um pacote
construdo de modo que o pacote SYN tenha o endereo de origem e a porta iguais
aos do destino, ou seja, utilizado o IP spoofing. A soluo criar regras de filtragem
para evitar o IP spoofing de endereos internos da rede, como foi visto na seo
anterior.
4.7 ATAQUE ATIVO CONTRA O TCP

Figura 4.13 Ataque Smurf e Fraggle.
Um dos grandes problemas existentes na sute de protocolos TCP/IP quanto
Para evitar ser o intermedirio do ataque ou seu amplificador, o roteador deve autenticao entre os hosts, que so baseados em endereos IP. Outros problemas
ser configurado de modo a no receber ou deixar passar pacotes para endereos de esto relacionados ao mecanismo de controle da rede e protocolos de roteamento
broadcast por meio de suas interfaces de rede. Essa medida, porm, elimina tambm [BEL 89].
94 95
Alm dos ataques de negao de servios, ataques mais sofisticados, que permi- seqncia tambm invlido, de modo que ele envia um novo pacote com o nmero
tem o seqestro da conexo ou a injeo de trfego, tambm podem ser utilizados. de seqncia esperado, que ser invlido para o host anterior. Isso cria uma espcie
No ataque conhecido como man-in-the-middle, o hacker explora os mecanismos de de loop infinito de pacotes ACK, o chamado ACK Storm. Porm, os pacotes que no
handshake em trs vias do TCP e tambm o prognstico de nmero de seqncia do carregam dados no so retransmitidos, se o pacote for perdido. Isso significa que,
TCP para se infiltrar na conexo, podendo, assim, participar ativamente da cone- se um dos pacotes no loop for negado, o loop terminar. A negao de um pacote
xo entre outros dois sistemas. feita pelo IP, que tem uma taxa aceitvel de pacotes no-nulos, fazendo com que os
loops sempre terminem. Alm disso, quanto mais congestionada for a rede, maior
4.7.1 Seqestro de conexes ser o nmero de loops encerrados.
Dois mtodos de dessincronizao de conexes TCP so apresentados por
Joncheray mostra, em [JON 95], um ataque ativo que explora o redirecionamento
Joncheray: o early desynchronization (interrupo da conexo em um estgio inici-
de conexes de TCP para uma determinada mquina, caracterizando um ataque
al no lado servidor e criao de uma nova conexo, com nmero de seqncia
man-in-the-middle, conhecido tambm como session hijacking ou seqestro de co-
diferente) e o null data desynchronization (envio de uma grande quantidade de
nexes. Esse tipo de ataque, alm de permitir a injeo de trfego, permite tambm
dados para o servidor e para o cliente, que no devem afetar nem ser visveis pelo
driblar protees geradas por protocolos de autenticao, como o S/KEY (one-time
cliente e pelo servidor).
password) ou o Kerberos (identificao por tickets). Um ataque ativo pode compro-
meter a segurana desses protocolos, pois os dados no trafegam de modo cifrado
nem so assinados digitalmente. Ataques ativos so considerados difceis de ser 4.7.2 Prognstico de nmero de seqncia do TCP
realizados, porm Joncheray mostra que, com os mesmos recursos de um ataque O prognstico de nmero de seqncia do TCP possibilita a construo de paco-
passivo (sniffers), possvel realizar um ataque dessa natureza. tes TCP de uma conexo, de modo a injetar trfego, passando-se por um outro
Uma conexo de TCP entre dois pontos realizada de modo full duplex, sendo equipamento [BEL 89]. O ataque foi descrito por Morris [MOR 85] e utilizado por
definida por quatro informaes: endereo IP do cliente, porta de TCP do cliente, Kevin Mitnick no ataque no qual ele foi pego por Shimomura [TAK 95]. O problema
endereo IP do servidor e porta de TCP do servidor. Todo byte enviado por um host est na facilidade em se descobrir o comportamento dos nmeros de seqncia dos
identificado com um nmero de seqncia de 32 bits, que reconhecido pacotes TCP, que em alguns sistemas possuem comportamento-padro, como o in-
(acknowledgment) pelo receptor utilizando esse nmero de seqncia. O nmero de cremento de 128 ou 125 mil a cada segundo em cada pacote. Isso possibilita que o
seqncia do primeiro byte computado durante a abertura da conexo e diferen- hacker utilize essa informao para se inserir em uma conexo (man-in-the-middle),
te para cada uma delas, de acordo com regras designadas para evitar sua reutilizao pois o handshake da conexo em trs vias (3-way handshake) do TCP estabelecido
em vrias conexes. com o equipamento do hacker, e no o original. Atualmente, alguns sistemas
O ataque tem como base a explorao do estado de dessincronizao nos dois implementam padres de incremento do nmero de seqncia mais eficiente, que
lados da conexo de TCP, que assim no podem trocar dados entre si, pois, embora dificulta seu prognstico e, conseqentemente, os ataques.
ambos os hosts mantenham uma conexo estabelecida, os pacotes no so aceitos
devido a nmeros de seqncia invlidos. Desse modo, um terceiro host, do atacan- 4.7.3 Ataque de Mitnick
te, cria os pacotes com nmeros de seqncia vlidos, colocando-se entre os dois
O ataque realizado por Mitnick contra Shimomura pode ser usado como um
hosts e enviando os pacotes vlidos para ambos, caracterizando assim um ataque do
exemplo clssico de ataque ativo, alm de envolver o uso de diferentes tcnicas,
tipo man-in-the-middle. O prognstico de nmero de seqncia (sequence number
como o IP Spoofing, a negao de servio e o prognstico de nmero de seqncia.
prediction), discutido a seguir, tambm utilizado no ataque, para que o atacante
Mitnick estava sendo procurado por diversos crimes e foi condenado a 46 meses de
estabelea a conexo com as vtimas.
priso em 9 de agosto de 1999. Porm, ele permaneceu preso por cinco anos, sendo
O problema desse ataque a grande quantidade de pacotes de TCP ACK (ACK
libertado em 21 de janeiro de 2000. Mitnick foi pego em 1995, sob acusao de
Storm) gerados, pois, quando o host recebe um pacote invlido, o nmero de se-
fraude eletrnica, fraude de computadores e interceptao ilegal de comunicao
qncia esperado enviado para o outro host. Para ele, por sua vez, o nmero de
96 97
eletrnica. A Sun Microsystem, por exemplo, estava processando-o pelo roubo do

cdigo-fonte do sistema operacional Solaris, alegando que os prejuzos foram de 80
milhes de dlares. Alm da Sun, Mitnick invadiu sistemas de empresas como Nokia,
Motorola e NEC, causando prejuzos estimados em 300 milhes de dlares [WIR 99].
O ataque realizado por Mitnick contra Shimomura na noite de natal de 1994
utilizou trs tcnicas diferentes: IP Spoofing, seqestro de conexo TCP e negao
de servio. O ataque de IP Spoofing foi iniciado com a verificao de relaes de
confiana existentes entre os equipamentos da rede de Shimomura (Figura 4.14).
Figura 4.15 Ataque de SYN Flooding na porta 513 do servidor.
Como nesse ataque de negao de servio no foi necessrio obter respostas,

Mitnick usou tambm a tcnica de IP Spoofing, na qual o endereo de origem dos
pedidos de conexo no era de fato dele. Alguns pedidos de conexo realizados no
ataque podem ser vistos a seguir. No exemplo, o endereo forjado foi o 130.92.6.97
e o servidor atacado na porta 513 (login) foi o server [SHI 97]:
130.92.6.97.600 > server.login: S 1382726960:1382726960(0) win 4096
Figura 4.14 Verificao de relaes de confiana entre equipamentos. 130.92.6.97.601 > server.login: S 1382726961:1382726961(0) win 4096
O primeiro passo do ataque pode ser visto a seguir [SHI 97]: 130.92.6.97.604 > server.login: S 1382726964:1382726964(0) win 4096
# finger -l @target
# finger -l @server
...
# finger -l root@server
# finger -l @x-terminal
O terceiro passo usado por Mitnick foi tentar descobrir o comportamento dos
# showmount -e x-terminal
# rpcinfo -p x-terminal nmeros de seqncia (prognstico de nmero de seqncia) do x-terminal, pois
# finger -l root@x-terminal ele iria abusar da relao de confiana entre ele e o servidor, que foi descoberta no
Descoberta a relao de confiana entre o servidor e o x-terminal, o passo se- primeiro passo do ataque. Mitnick enviou 20 pedidos de conexo, estudou o com-
guinte foi tentar deixar o servidor indisponvel, pois ele iria personific-lo. A tcni- portamento dos nmeros de seqncia e terminava a conexo (enviando o pacote
ca usada por Mitnick foi o SYN Flooding, no qual ele enviou uma enxurrada de RST) para que a fila de conexes do x-terminal no se tornasse cheia. Alguns desses
pedidos de incio de conexo para a porta 513 do servidor, que estava rodando o pacotes podem ser vistos a seguir, trs conexes diferentes partindo de
servio de login (Figura 4.15). Com muitos pedidos de conexo, o servidor atacado apollo.it.luc.edu para o x-terminal e os respectivos nmeros de seqncia gerados
foi capaz de enviar somente alguns pacotes SYN-ACK do handshake TCP (oito res- pelo x-terminal [SHI 97]:
postas no exemplo) e a fila de conexes ficou cheia, no podendo mais responder
nem receber novos pedidos de conexo [SHI 97]. * apollo.it.luc.edu > x-terminal: S 1382726990
* x-terminal > apollo.it.luc.edu: S 2021824000 ack 1382726991
98 99
* apollo.it.luc.edu > x-terminal: R 1382726991

* apollo.it.luc.edu > x-terminal: S 1382726991
* apollo.it.luc.edu > x-terminal: S 1382726992
A anlise das respostas do x-terminal permite identificar o comportamento do

sistema, o qual incrementa seus nmeros de seqncia em 128000. No exemplo, a
primeira conexo gerou o nmero de seqncia 2021824000, a segunda gerou o
nmero 2021952000 e a terceira gerou o nmero 2022080000, ou seja, uma diferen-
a de 128000 para cada conexo.
No quarto passo, ele usou as informaes adquiridas nos passos anteriores para,
simultaneamente, realizar o ataque. O objetivo foi personificar o servidor para abu-
sar da relao de confiana existente entre ele e o x-terminal. Assim, fingindo ser o
servidor, uma conexo TCP com o x-terminal pode ter sucesso. Essa conexo TCP, Figura 4.16 Seqestro de conexo usando o prognstico de nmero de seqncia.
porm, depende do handshake em trs vias, que usa o nmero de seqncia, a qual
foi descoberta com o prognstico feito pelo passo anterior do ataque.
Dessa forma, Mitnick fingiu ser o servidor usando o IP Spoofing e enviou um
pedido de conexo ao x-terminal (pacote SYN). O x-terminal respondeu ao pedido
de conexo (pacote SYN-ACK) ao servidor, que estava sob ataque de SYN Flooding e
no pde responder ao pacote SYN-ACK. Normalmente, o servidor responderia com
o pacote RST, pois ele no reconheceria o pacote SYN-ACK recebido, porque ele no
tinha requisitado nenhuma conexo. Ao mesmo tempo, como Mitnick sabia o n-
mero de seqncia do pacote SYN-ACK do x-terminal, ele enviou o pacote ACK como
se fosse o servidor e estabeleceu a conexo TCP com o x-terminal, como pode ser
visto na Figura 4.16. Uma vez estabelecida a conexo, ele injetou trfego nela
enviando o comando echo + + >> /.rhosts para o x-terminal [SHI 97]. O ataque
completo pode ser visto na Figura 4.17.
Figura 4.17 O ataque realizado por Mitnick.
Aps isso, ele enviou pacotes RST para o servidor, para que voltasse a ser opera-
do normalmente. Uma vez com acesso ao x-terminal, ele pode completar o ataque,
compilando e instalando backdoors [SHI 97].
100 101
4.7.4 Source routing

O source routing um mecanismo especificado para o IP, que pode ser explorado
definindo-se uma rota reversa para o trfego de resposta [BEL 89], em vez de utili-
zar algum protocolo de roteamento-padro. Esse mecanismo pode ser utilizado para
a criao de rotas nas quais o hacker pode obter respostas mesmo que o IP Spoofing
seja utilizado, por exemplo. Um outro uso do source routing mapear a topologia de
rede da organizao, estipulando os caminhos a partes especficas da rede a serem
posteriormente atacadas.
O ataque de prognstico do nmero de seqncia do TCP tambm fica facilitado
se o source routing utilizado em conjunto. Nesse caso, no necessrio prognos-
ticar o nmero de seqncia, pois a resposta do servidor a ser atacado utiliza a rota
definida pelo source routing e o nmero de seqncia do servidor enviado para o
hacker e no para o endereo falsificado pelo IP Spoofing [NAI 97].
Isso faz com que seja interessante que o source routing seja bloqueado, pois nor-
malmente ele no utilizado. Porm, bugs j foram identificados, que faziam com
que, mesmo desabilitado, o source routing ainda pudesse ser explorado [MIC 02].
4.8 ATAQUES COORDENADOS

A evoluo mais evidente com relao aos ataques so os ataques coordenados,
tambm conhecidos como ataques de negao de servios distribudos (Distributed
Denial of Service DDoS). Essa modalidade faz com que diversos hosts distribudos
sejam atacados e coordenados pelo hacker, para a realizao de ataques simultneos Figura 4.18 As partes envolvidas em um ataque coordenado.
aos alvos. Isso resulta em um ataque extremamente eficiente, no qual a vtima fica
praticamente indefesa, sem conseguir ao menos descobrir a origem dos ataques, O hacker define alguns sistemas master, que se comunicam com os daemons ou
pois eles procedem de hosts intermedirios controlados pelo hacker. Os primeiros zombies, que realizam os ataques vtima. Pode-se observar que os masters e os
ataques de DDoS utilizavam quatro nveis hierrquicos, conforme a Figura 4.18. daemons so ambos vtimas do hacker, que, pela explorao de vulnerabilidades
conhecidas, instala os processos que sero utilizados no ataque.
Apesar de serem uma tecnologia nova, as ferramentas de ataques coordenados
tm tanta sofisticao que se aproveitam das melhores tecnologias de ataque exis-
tentes, como a utilizao de criptografia para o trfego de controle entre o hacker,
masters e daemons, e tambm para as informaes armazenadas nesses hosts, como
a lista dos daemons. Os scannings para a deteco dos hosts vulnerveis tambm so
102 103
realizados de modo distribudo e a instalao dos processos feita de maneira * Julho de 2001: vrus W32/Sircam, utilizando ainda a engenharia social para se
automtica, at mesmo com uma implementao que faz com que esse processo espalhar. Nova gerao de worms, iniciando com o Leaves e o Code Red, alm
esteja sempre em execuo, ainda que seja removido ou ainda o sistema seja de ferramentas de DDoS com base no Internet Relay Chat (IRC).
reinicializado. Mtodos para esconder as evidncias das instalaes dos daemons * Agosto de 2001: worm Code Red II (Seo 4.9.4), alm de ferramentas de DDoS
tambm so utilizados. com base no IRC, como o Knight/Kaiten.
O primeiro ataque coordenado por um governo foi noticiado pela BBC News [NUT * Setembro de 2001: worm denominado Nimda (Seo 4.9.4), que combina ata-
99]. Aparentemente, o governo da Indonsia atacou o domnio do Timor Leste, ques por e-mail, compartilhamento de rede, por navegador de Internet, por
devido a motivos polticos. Isso demonstra um novo estilo de guerra, no qual tticas servidor Web e pela instalao de backdoors.
envolvendo computadores fazem parte da poltica oficial do governo, sendo utiliza- * Novembro de 2001: primeira verso do worm Klez, que explora vulnerabilidade
das como uma arma em potencial para a desestabilizao das atividades de outro do Microsoft Outlook e Outlook Express.
governo. * Maio de 2002: worm Klez na verso H (Seo 4.9.4), que uma variao do
As ferramentas de DDoS mostram que essa nova tecnologia, que est sendo worm que surgiu em novembro de 2001.
desenvolvida a partir das j existentes, est atingindo um nvel grande de sofistica- * Setembro de 2002: worm Apache/mod_ssl, que explorava uma vulnerabilidade
o, como pode ser observado na evoluo mostrada a seguir [HOU 01], que inclui do OpenSSL para instalar ferramentas de DDoS.
tambm vrus e worms, normalmente utilizados para a instalao de masters ou * Outubro de 2002: ataque DDoS contra servidores DNS root da Internet.
daemons: * Janeiro de 2003: SQL Server Worm, SQLSlammer, W32 Slammer ou Sapphire
(Seo 4.9.4), que atacava servidores SQL Server.
* Julho de 1999: ferramentas de DDoS como Tribe Flood Network (TFN) e trinoo * Maro de 2003: worm Deloder, que instala um servio VNC, que pode ser utili-
(trin00). zado para acesso remoto e instalao de ferramentas de DDoS.
* Agosto de 1999: ferramenta de DDoS conhecida como Stacheldraht.
* Dezembro de 1999: ferramenta de DDoS chamada de Tribe Flood Network 2000 O trinoo uma ferramenta utilizada para ataques coordenados de DoS, que uti-
(TFK2K). liza o UDP. Ele consiste de um pequeno nmero de servidores (master) e de um
* Janeiro de 2000: uso intensivo do Stacheldraht. grande nmero de clientes (daemons). O hacker conecta-se ao master e o instrui
* Fevereiro de 2000: ataques intensivos de DDoS, incluindo vtimas como CNN, para realizar o ataque nos endereos IP determinados. O master, ento, se comunica
Amazon, Yahoo!, eBay, UOL, ZipMail, iG e Rede Globo. com os daemons, fornecendo-lhes instrues de ataques em determinados IPs, du-
* Abril de 2000: amplificao de pacotes por servidores de DNS e mstream. rante perodos especficos. O trinoo no utiliza o IP spoofing e todas as comunica-
* Maio de 2000: vrus VBS/LoveLetter (I Love You), mostrando a fora da enge- es com o master requerem uma senha [CER 99-1]. A rede trinoo, com pelo menos
nharia social e a ferramenta de DDoS denominada t0rnkit. 227 sistemas, entre os quais 114 na Internet2, foi utilizada no dia 17 de agosto de
* Agosto de 2000: ferramenta de DDoS conhecida como Trinity. 1999 para atacar a Universidade de Minnessota, tornando-a inacessvel por dois
* Novembro de 2000: marco do uso de Windows como agente de ataques de dias. A anlise detalhada do trinoo pode ser vista em [DIT 99-01], que traz informa-
DDoS. es sobre os algoritmos utilizados, os pontos falhos e os mtodos de deteco por
* Janeiro de 2001: worm denominado Ramen. meio de assinaturas a serem implementados em IDS.
* Fevereiro de 2001: VBS/OnTheFly (Anna Kournikova), mostrando o impacto O TFN realiza ataques coordenados de DoS por meio de pacotes de TCP, tendo a
da engenharia social. capacidade de realizar tambm o IP spoofing, TCP SYN Flooding, ICMP echo request
* Abril de 2001: ferramenta de DDoS chamada de Carko. flood e ICMP directed broadcast (smurf). O ataque ocorre quando o hacker instrui o
* Maio de 2001: worms denominados Cheese, que se passavam por um patch de cliente (master) a enviar instrues de ataque a uma lista de servidores TFN
segurana, w0rmkit e sadmind/IIS, atacando dois tipos diferentes de sistemas (daemons). Os daemons, ento, geram o tipo de ataque de DoS contra os alvos. As
operacionais. origens dos pacotes podem ser alteradas de modo aleatrio (IP spoofing) e os paco-
104 105
tes tambm podem ser modificados [CER 99-1]. Uma anlise detalhada da ferramen- curto e longo prazo, pelos gerentes, administradores de sistemas, provedores de
ta, de seu funcionamento e da assinatura que permite sua deteco pode ser vista Internet e centros de resposta a incidentes (incident response teams), a fim de
em [DIT 99-02]. evitar maiores problemas no futuro.
O Stacheldraht outra ferramenta para ataques distribudos que combina carac- Porm, esse um grande desafio a ser vencido, pois a evoluo desse tipo de
tersticas do trinoo e do TFN, adicionando a comunicao cifrada entre o atacante e ataque cada vez maior, explorando a mistura de diferentes tcnicas de dissemina-
os masters Stacheldraht, alm de acrescentar a atualizao automtica dos agentes. o. O worm Code Red, por exemplo, se propaga por meio de servidores de Web
A ferramenta composta pelo master (handler) e pelo daemon ou bcast (agent). vulnerveis e contm em si um cdigo capaz de executar o ataque de DDoS contra a
Uma anlise detalhada da ferramenta pode ser encontrada em [DIT 99-03]. Casa Branca, que, no caso, ocorre entre os dias 20 e 27 de cada ms. J o Code Red
O TFN2K uma evoluo do TFN, que inclui caractersticas como tcnicas que II instala um backdoor em suas vtimas, que podem ser atacadas novamente para
fazem com que o trfego do TFN2K seja difcil de ser reconhecido ou filtrado, por propagar novos tipos de ataques (Seo 4.9.4).
meio da utilizao de mltiplos protocolos de transporte (UDP, TCP e ICMP). O J o worm Apache/mod_ssl Worm, que apareceu em setembro de 2002, explora
TFN2K tem, ainda, a possibilidade de executar comandos remotos, ocultar a origem uma vulnerabilidade baseada em buffer overflow do OpenSSL, que permite a execu-
real do trfego e confundir as tentativas de encontrar outros pontos da rede TFN2K, o de comandos arbitrrios. O worm abre o Shell do Linux, faz o upload de um
por meio de pacotes decoy. Alm disso, o TFN2K inclui ataques que causam o cdigo-fonte codificado e compila esse cdigo-fonte, que tem como objetivo tornar
travamento ou a instabilidade dos sistemas, pelo envio de pacotes malformados ou a vtima parte da rede Apache/mod_ssl para realizar ataques DDoS. Aps a infec-
invlidos, como os utilizados pelo Teardrop e pelo Land [CER 99-2]. o, o sistema passa a receber trfego UDP nas portas 2002, com variaes nas
Um dos sistemas que sofrem com os ataques coordenados o MacOS 9, que pode portas 1978 e 4156, que so usadas para a coordenao dos ataques. Algumas fun-
ser utilizado como um amplificador de trfego, ou seja, contm uma caracterstica es que podem ser executadas so: UDP Flooding, TCP Flooding, IPv6 TCP Flooding,
que permite que um trfego seja amplificado em um fator de aproximadamente DNS Flooding, execuo de comandos, redirecionamento de portas e troca de in-
37,5, sem a necessidade de utilizar o endereo de broadcast, como o caso do formaes sobre novos sistemas contaminados.
Smurf. Os detalhes do problema com o MacOS 9 so analisados em [COP 99]. O worm Deloder, de maro de 2003, pode tornar-se perigoso, pois sua infeco
A preveno contra os ataques coordenados difcil, pois as ferramentas geral- instala um servidor VNC (para controle remoto). Funcionando nas portas TCP 5800 e
mente so instaladas em redes j comprometidas, resultando em um fator de 5900, o hacker pode acessar o servidor VNC instalado pelo worm para controlar o
escalabilidade muito grande. Os ataques realizados mostram que os problemas so equipamento infectado. Ao mesmo tempo, ele instala um cliente IRC, que tenta
pertinentes prpria Internet, ou seja, uma rede pode ser vtima da prpria insegu- conectar diversos servidores espalhados pelo mundo, e passa a atuar como zombies
rana da Internet. Uma das maneiras de contribuir para a diminuio desses inci- ou daemons, esperando comandos para ataques DDoS. A infeco do Deloder feita
dentes a preveno contra instalaes no autorizadas das ferramentas de ataques pela explorao de senhas fracas de administrador de compartilhamentos do Windows,
coordenados, atualizando os sistemas sempre que for necessrio. A preveno den- via porta 445 [LAI 03].
tro das organizaes, para que pacotes com IP spoofing no saiam dos limites da Novos perigos em potencial que devem ser considerados so a utilizao de
empresa, tambm importante e simples de ser implementada nos firewalls. O roteadores nos ataques de DDoS, que tm condies de paralisar backbones inteiros,
monitoramento da rede, procura de assinaturas das ferramentas por meio de IDS, e ataques ao Border Gateway Protocol (BGP), utilizados pelos roteadores para a
auxilia na deteco e tambm deve ser utilizado. tomada de decises de roteamento, que podem sofrer com o fornecimento de falsas
A onda de ataques distribudos est trazendo uma mudana na concepo de informaes de roteamento (poisoning) [VAL 01]. Esses tipos de ataques j comea-
segurana, ao mostrar claramente que a segurana de uma organizao depende da ram a ser realizados, como o que ocorreu em 21 de outubro de 2002. Nesse ataque,
segurana de outras, que podem ser atacadas para servirem de base para novos cerca de nove dos 13 servidores DNS root da Internet foram alvo de um ataque DDoS
ataques. Garantir que a rede da organizao no seja utilizada como um ponto de baseado em ICMP Flooding durante uma hora. Os servidores chegaram a receber 150
ataque passa a ser essencial para minimizar esse tipo de ataque coordenado. A CERT mil requisies por segundo durante o ataque e aumentos de trfego de cerca de dez
[CER 99-3] apresenta uma srie de medidas que devem ser tomadas de imediato, a vezes foram notados [NAR 02].
106 107
4.9 ATAQUES NO NVEL DA APLICAO nomes de acesso e senhas fossem facilmente capturados. Com o acesso de
superusurio, o hacker pde realizar qualquer operao no site, como modificar
Esse tipo de ataque explora vulnerabilidades em aplicaes, servios e protoco-
preos dos produtos em leilo, manipular ofertas e propostas e tudo mais que ele
los que funcionam no nvel de aplicao e sero vistos nas sees a seguir. Os tipos
desejasse [ROT 99-B].
de ataques mais comuns so os que exploram o buffer overflow, freqentes em
Nesse tipo de ataque, o hacker explora bugs de implementao, nos quais o
aplicativos que realizam a interao do usurio com o sistema. Ataques por meio de
controle do buffer (memria temporria para armazenamento dos dados) no feito
Common Gateway Interface (CGI), utilizados pela Web, tambm so um caso tpico,
adequadamente. Assim, o hacker pode enviar mais dados do que o buffer pode
como ser mostrado na Seo 4.9.2.
manipular, preenchendo o espao da pilha de memria. Os dados podem ser perdi-
Alm disso, protocolos como o FTP podem ser explorados em ataques como o FTP
dos ou excludos e, quando isso acontece, o hacker pode reescrever no espao inter-
Bounce, como acontece tambm com o SMNP (Seo 4.9.3). Os servios tambm
no da pilha do programa, para fazer com que comandos arbitrrios sejam executa-
podem ser explorados, como ocorre com o sendmail, que, pela utilizao de coman-
dos. Com um cdigo apropriado, possvel obter acesso de superusurio ao sistema
dos no documentados e vulnerabilidades comuns, pode permitir que o hacker obte-
[ROT 99-B].
nha acesso privilegiado ao sistema. Outro tipo de ataque no nvel da aplicao so
Por exemplo, um hacker pode enviar uma URL com grande nmero de caracteres
os vrus, os worms e os cavalos de Tria, que representam a ameaa mais comum e
para o servidor Web. Se a aplicao remota no fizer o controle de strings longos, o
mais visvel aos olhos dos executivos, e que, por isso, geralmente recebem a aten-
programa pode entrar em pane, de modo que o hacker poder colocar cdigos preju-
o necessria. Eles sero analisados na Seo 4.9.4.
diciais na rea de armazenamento da memria, que podem ser executados como
parte de um argumento [ROT 99-B]. Alm desse exemplo da URL, diversos outros
4.9.1 Buffer overflow mtodos de insero de dados em sistemas podem ser explorados pelo buffer overflow,
Condies de buffer overflow podem geralmente ser usadas para executar cdi- tais como formulrios, envios de programas, dados em arquivos, dados em linhas de
gos arbitrrios nos sistemas, sendo considerados, portanto, de alto risco. interes- comando ou dados em variveis de ambientes, pois alguns deles podem ser explora-
sante notar que grande parte das vulnerabilidades encontradas nos sistemas refe- dos remotamente [NEL 02].
rente a buffer overflow, como as que foram reportadas ultimamente em 2003, que As implicaes dessas condies so grandes, pois qualquer programa pode estar
envolvem rotinas da biblioteca do Sun RPC, DLL do Windows, ou o servidor de e- sujeito a falhas de buffer overflow, como os sistemas operacionais (Windows NT,
mail Sendmail [CER 03]. UNIX), protocolos (TCP/IP, FTP) e servios (servidor de e-mail Microsoft Exchange,
De fato, o buffer overflow o mtodo de ataque mais empregado desde 1997, servidor Web Internet Information Server (IIS), servidor Telnet do BSD). Mesmo os
segundo os boletins do CERT. De acordo com o centro de coordenao, mais da firewalls, como o Gauntlet, j sofreram com o buffer overflow, que foi descoberto em
metade dos boletins so relativos a buffer overflows. Alm da possibilidade de exe- seu proxy de smap [CER 01]. interessante notar que as infestaes do Code Red,
cuo de comandos arbitrrios, que a situao mais grave do problema, o buffer Code Red II e Nimda comearam tambm por meio da explorao de um buffer
overflow pode resultar em perda ou modificao dos dados, em perda do controle do overflow no IIS.
fluxo de execuo do sistema (segmentation violation, no UNIX, ou general Diversos mtodos de buffer overflow podem ser explorados, como stack smashing,
protection fault, no Windows) ou em paralisao do sistema [NEL 02]. off-by-one ou frame pointer overwrite buffer overflow, return-into-libc buffer overflow
Um exemplo da explorao de buffer overflow ocorreu no site de leiles online e heap overflow [NEL 02]. A Figura 4.19 mostra o funcionamento bsico do buffer
eBay, que foi invadido em maro de 1999, por meio da explorao de uma condio overflow.
de buffer overflow em um programa com SUID root. O hacker pde instalar, assim,
um backdoor que interceptava a digitao do administrador, possibilitando que
108 109
Outro mtodo o utilizado pelos sistemas de preveno de intruso (Intrusion

Prevention System IPS) baseados em host, discutido na Seo 8.6. Esses tipos de
sistemas fazem o controle do espao de execuo, inspecionando as chamadas ao
sistema de acordo com um conjunto de regras definido que permite sua execuo.
Com isso, diversos problemas, entre eles os relacionados ao buffer overflow, podem
ser minimizados.
4.9.2 Ataques na Web

Bugs em servidores Web, navegadores de Internet, scripts Common Gateway
Interface (CGI) e scripts Active Server Pages (ASP) so as vulnerabilidades mais
exploradas, mais simples e mais comuns de serem vistas. por meio delas que os
hackers conseguem modificar arquivos dos servidores Web, resultando em modifica-
es no contedo das pginas Web (Web defacement) e na conseqente degradao
da imagem das organizaes. Esses so os ataques que ganham destaque nos noti-
cirios, existindo, na prpria Internet, sites especficos que divulgam quais foram
Figura 4.19 Ataque de buffer overflow. os sites hackeados do dia.
Alm dos ataques mais comuns, que exploram os bugs em implementaes de
Na Figura 4.19, o buffer sem controle explorado. No Passo 1, o ataque feito scripts CGI, podem ser vistas duas novas tendncias de ataques que exploram
com a insero de uma string grande em uma rotina que no checa os limites do vulnerabilidades em CGI [KIM 99]. O Poison Null [PHR 99] permite que o contedo dos
buffer. Com isso, a string ultrapassa o tamanho do buffer, sobrescrevendo as demais diretrios possa ser visto, pois em alguns casos possvel ler e modificar arquivos dos
reas da memria. No Passo 2 do exemplo, o endereo de retorno sobrescrito por servidores da Web. O mecanismo utilizado mascara comandos de checagem de segu-
um outro endereo, que est includo na string e aponta para o cdigo do ataque. rana do CGI, ocultando-os por trs de um null byte um pacote de dados que o
No Passo 3, o cdigo do ataque injetado na posio da memria que j foi sobres- script CGI no detecta, a menos que seja programado especificamente para trat-lo.
crita no Passo 2. No Passo 4, a funo pula para o cdigo do ataque injetado, O ataque com Upload Bombing afeta sites que oferecem recursos de upload,
baseado no endereo do retorno que tambm foi inserido. Com isso, o cdigo injeta- como os que recebem currculos ou arquivos com desenhos. Esse ataque tem como
do pode ser executado. objetivo preencher o disco rgido do servidor com arquivos inteis. Isso acontece
Os buffer overflows so difceis de ser detectados e, portanto, a proteo contra quando os scripts no verificam o tamanho dos arquivos a serem enviados ao site,
eles geralmente reativa, ou seja, o administrador que sofre um ataque desse tipo impedindo a proteo do espao de armazenamento do mesmo [KIM 99].
deve reportar o incidente a um rgo especializado, como o CERT e o CIAC, e tam- Outro tipo de ataque baseado em Web conhecido o Web Spoofing ou o Hyperlink
bm ao fabricante da aplicao. Aps isso, ele deve aplicar os patches correspon- Spoofing [ODW 97]. O usurio iludido a pensar que est em uma pgina autntica,
dentes, assim que eles estiverem disponveis. As medidas reativas, em detrimento que, na verdade, falsificada. Ele acessa uma pgina segura, protegida pelo proto-
da ao pr-ativa, sero necessrias at que uma metodologia de programao com colo SSL, e induzido a fornecer suas informaes pessoais ao falso servidor. Esse
enfoque em segurana seja utilizada pelas empresas de software, como foi discutido tipo de ataque vem sendo muito utilizado contra usurios de Internet Banking, que
na Seo 4.3. tendem a digitar suas senhas achando que esto na pgina do banco. O usurio
Um dos mtodos de programao que permite a atuao de modo pr-ativo a levado aos sites falsos via mensagens de e-mail pedido para atualizao de cadastro,
utilizao de localizaes aleatrias do buffer de memria, de modo que o hacker ou por pginas j comprometidas, que possuem um link para a pgina falsa. Uma
no tenha idia da posio em que deve colocar seu cdigo prejudicial. O primeiro maneira de evitar ser vtima desse tipo de fraude sempre verificar o certificado
produto a utilizar essa tcnica o SECURED, da Memco [ROT 99-B]. digital da pgina.
110 111
Alm da importncia da conscientizao do usurio, uma srie de propostas Alm desses problemas relacionados com o prprio protocolo e o seu uso, algu-
contra o Web Spoofing apresentada em [ODW 97], como a definio de um objeto mas vulnerabilidades foram descobertas na manipulao (decodificao e
da pgina Web a ser certificada, que pode ser uma imagem (logo da empresa, por processamento) de traps SNMP pelo gerenciador e tambm na manipulao das
exemplo), URL ou um texto. Isso possibilitaria que o servidor pudesse facilmente mensagens de requisies geradas pelos gerenciadores recebidas pelos agentes [CER
ser verificado e conferido pelo usurio no momento de sua entrada em uma pgina 02]. As vulnerabilidades na decodificao e processamento das mensagens SNMP,
protegida pelo SSL. [FEL 97] trata do mesmo assunto, explicando as dificuldades de tanto pelo gerenciador quanto pelo agente, fazem com que condies de negao de
identificar pistas de que uma pgina falsa. Essa dificuldade se deve, principalmen- servio existam, bem como de format string e de buffer overflow.
te, utilizao de linguagens como o JavaScript, que permite controlar diretamen- Diversas medidas de segurana podem ser adotadas para evitar que o SNMP seja
te objetos a partir do browser, como as propriedades da pgina. Uma das solues utilizado nos ataques. Algumas dessas medidas, alm da instalao de patches e
propostas desabilitar o JavaScript e verificar sempre a barra de endereos (URL), atualizao de verses, so [MCC 99]:
se possvel, para constatar se o endereo atual o correto.
Alm desses ataques, um grande nmero de vulnerabilidades envolvendo o ser- * Desabilitar e remover todos os servios e daemons SNMP desnecessrios.
vidor Web Internet Information Service (IIS), da Microsoft, foram descobertas. Re- * Tratar os nomes da comunidade como senhas, tentando evitar que elas sejam
lacionados principalmente ao Unicode e ocorrncia de buffer overflows em compo- previsveis.
nentes do IIS, eles foram amplamente utilizados em worms, como Code Red, Code * Restringir as informaes a certos hosts, como, por exemplo, somente para o
Red II e Nimda (Seo 4.9.4). Um dado interessante que mostra o impacto dos administrador do sistema.
worms que 150 mil sites e 80 mil endereos IP de servidores, que tinham como
base o IIS, desapareceram aps o ataque do Code Red II [NET 01]. Outra medida importante deve ser tomada quanto filtragem e o controle de
acesso: em vez de aceitar pacotes SNMP de qualquer host, recomendvel aceitar
4.9.3 Problemas com o SNMP apenas pacotes SNMP de hosts especficos.
O SNMP foi publicado, pela primeira vez, em 1988 e j no incio da dcada de 90,
O Simple Network Management Protocol (SNMP), utilizado para o gerenciamento
surgiram vrias deficincias funcionais e de segurana. Em janeiro de 1993, foi
de equipamentos de rede, tem diversos problemas de segurana, principalmente
lanada a verso 2 do SNMP, que aumentou o desempenho e o suporte tcnico
quanto ao vazamento de informaes sobre os sistemas. O SNMP pode prover diver-
descentralizado a arquiteturas de gerenciamento de redes, alm de adicionar funci-
sas informaes, tais como sobre sistema, tabelas de rotas, tabelas de Address
onalidades para o desenvolvimento de aplicaes. Porm, o que faltou na verso 2
Resolution Protocol (ARP) e conexes UDP e TCP, sobrepondo, at mesmo, os esque-
foram as caractersticas de segurana, proporcionadas pela verso 3 do protocolo,
mas antiportas dos sistemas.
que est sendo proposta desde janeiro de 1998. A verso 3 no uma arquitetura
Essas informaes facilitam o planejamento de ataques pelos hackers, de modo
completa e sim um conjunto de caractersticas de segurana que devem ser utiliza-
que esses sistemas devem estar muito bem protegidos. Um dos problemas que o
das em conjunto com o SNMPv2, de tal modo que pode ser considerada a verso 2
SNMP no tem mecanismos de travamento de senhas, permitindo os ataques de
adicionada da administrao e da segurana [STA 99].
fora bruta. Com isso, o nome da comunidade dentro de uma organizao constitui
O SNMPv3 prov trs caractersticas de segurana de que a verso 2 no dispu-
um nico ponto de falha, o que faz com que, caso seja descoberto, coloque dispo-
nha: autenticao, sigilo e controle de acesso. Os dois primeiros tpicos fazem
sio dos hackers informaes da rede inteira. Outra questo que a sua configura-
parte do User-based Security Model (USM) e o controle de acesso definido no View-
o-padro pode anular os esforos de segurana pretendidos pelos TCP wrappers,
based Access Control Model (VACM) [STA 99][STA 98-2]:
do UNIX, ou pelo RestrictAnonymous Key, do NT. O SNMP do Windows NT (Management
Information Base ou MIB), por exemplo, pode fornecer informaes que, normal-
* Autenticao: faz a autenticao das mensagens e assegura que elas no se-
mente, so bloqueadas pela chave RestrictAnonymous, tais como os nomes dos usu-
jam alteradas ou artificialmente atrasadas ou retransmitidas. A autenticao
rios, os servios que esto sendo executados e os compartilhamentos dos sistemas
garantida pela incluso de um cdigo de autenticao nas mensagens, que
[MCC 99].
112 113
calculado por uma funo que inclui o contedo da mensagem, a identidade aparentam realizar alguma tarefa til; porm, na verdade, realizam atividades
do emissor e a do receptor, o tempo de transmisso e uma chave secreta prejudiciais.
conhecida apenas pelo emissor e pelo receptor. A chave secreta enviada pelo Os tipos de vrus existentes so:
gerenciador de configurao ou de rede para as bases de dados dos diversos
gerenciadores e agentes SNMP. * Vrus de setor de boot: modificam setores de boot dos discos flexveis e espa-
* Sigilo: os gerenciadores e agentes podem cifrar suas mensagens por meio de lham-se, quando o computador iniciado por meio desse disco flexvel com o
uma chave secreta compartilhada, com base no DES. setor modificado. Como esse tipo de vrus no transmitido pela rede, pode
* Controle de acesso: permite que diferentes gerenciadores tenham nveis de ser combatido com um antivrus localizado no cliente.
acesso diversificados ao Management Information Base (MIB). * Vrus de arquivos executveis: contaminam arquivos executveis, espalhando-
se aps o usurio executar o arquivo.
4.9.4 Vrus, worms e cavalos de Tria * Vrus de macro: infectam e espalham-se por meio das linguagens de macro
existentes nos documentos compatveis com MS Office. So armazenados como
A importncia das conseqncias de uma contaminao por vrus e vermes (worms)
parte de qualquer documento desse tipo, podendo, portanto, espalhar-se rapi-
muito grande. As perdas econmicas, por exemplo, podem ser gigantescas, como
damente, devido sua enorme quantidade (todo mundo troca documentos) e
pode ser visto na Tabela 4.1:
possibilidade de serem anexados em e-mails.
* Vrus de scripts: so os vrus que exploram as linguagens de script e que
Tabela 4.1 Prejuzos causados pelos principais vrus. Fonte: Computer Economics e mi2g.
so executados automaticamente pelos softwares de leitura de e-mails, por
Ano Vrus Prejuzos (em milhes de dlares)
exemplo.
1999 Melissa 1.200
2000 I Love You 8.750
2001 Nimda 635 Os vrus e, principalmente, os worms, atuam tambm explorando vulnerabilidades
2001 Code Red (variaes) 2.620
2001 Sircam 1.150
conhecidas de sistemas, sejam eles de servios (como o Nimda, que explora
2002 Klez 9.000 vulnerabilidade do servidor Web IIS) ou de aplicativos (como o Klez, que explora
vulnerabilidade do aplicativo Outlook). Essa caracterstica faz com que sua dissemi-
Outro fato interessante a ser considerado est em uma estatstica da CSI e da FBI nao seja muito grande, principalmente a dos worms, que no necessitam de
que informa que 90 porc cento usam antivrus, porm 85% sofreram ataques envol- interao com o usurio.
vendo worms e vrus [CSI 02]. Essa informao demonstra que novos vrus so Os vrus vm se tornando uma ameaa constante e cada vez maior para as redes
criados constantemente, e esto estreitamente relacionados com novas das organizaes, de modo que importante adotar uma estratgia adequada com
vulnerabilidades e novos tipos de ataques. Isso faz com que os aspectos de seguran- relao aos antivrus. Os antivrus atuam na deteco de vrus, worms e cavalos de
a devam ser tratados de um modo integrado, e no isoladamente. Por exemplo, um Tria, e uma considerao importante que, basicamente, apenas o ambiente Windows
antivrus isolado no resolve os problemas de segurana da organizao, bem como atacado pelos vrus, pois o Linux pode ser atacado por worms, como aconteceu
apenas um firewall no protege a organizao. com o Worm Apache/mod_ssl, que explora uma vulnerabilidade do OpenSSL.
Os vrus, worms e cavalos de Tria so uma ameaa constante s empresas, A indstria de antivrus est em uma eterna briga de gato e rato contra os
resultando em diversos tipos de problemas mais srios, devido possibilidade de vrus, de modo que, se por um lado, a indstria de antivrus est cada vez mais gil
serem includos tambm em ataques distribudos, como foi visto na Seo 4.8. na distribuio de atualizaes para a deteco de vrus novos, por outro lado, esses
Os worms diferem-se dos vrus por espalharem-se rpida e automaticamente, vrus novos, principalmente os chamados polimrficos, podem ser modificados em
sem a necessidade de uma interao com o usurio, como ocorre com os vrus. J cada equipamento que infectado, dificultando sua deteco. Os antivrus, ento,
os cavalos de Tria, como Netbus e Back Orifice, so programas de software que tm de realizar a deteco por meio da anlise do cdigo binrio para detectar
peas de cdigos de vrus, em vez de se basearem apenas em assinaturas do tipo
114 115
checksum. Alm dos vrus polimrficos, outros problemas dificultam a ao dos ou a notcia do vrus divulgada pela imprensa e a atualizao dos antivrus
antivrus [SEI 00]: iniciada.
* A compresso dos vrus com algoritmos de compresso pouco utilizados con- O episdio do vrus Melissa, ocorrido em 1999, pode ser considerado um marco,
segue driblar muitos antivrus. Esse problema j foi parcialmente resolvido. pois infectou com uma impressionante velocidade centenas de milhares de usuri-
* A compresso dos vrus com operaes XOR dos dados tambm dribla muitos os, mostrando que os vrus so uma ameaa real, principalmente devido grande
antivrus. velocidade e facilidade de contaminao, que aumenta muito com os e-mails. J os
* O armazenamento de vrus em diretrios que no so verificados pelos antivrus, vrus I Love You, Anna Kournikova e Sircam, por exemplo, incluem tcnicas de
como o Recycle Bin (a Lixeira) do Windows. O usurio deve configurar o software engenharia social para sua disseminao e tambm representam um marco na his-
para que esse diretrio seja tambm verificado. tria dos vrus.
* A explorao de vrios buffer overflows em software, como o do Outlook, faz As dificuldades de uma rpida atualizao de todos os antivrus de todos os
com que o vrus infecte o sistema, antes que o usurio possa escolher entre usurios so muito grandes, de modo que o gateway antivrus hoje uma soluo
salvar ou no o arquivo anexado. O problema j foi corrigido. imprescindvel dentro de qualquer organizao. Com ele, os vrus so bloqueados
* Utilizao de system calls e software do Windows, como o Outlook, a fim de antes de entrarem nas redes, atuando como a primeira linha de defesa contra os
enviar um vrus anexado em e-mails para todos os usurios da lista. Esse vrus. Porm, outros mtodos de defesa contra os vrus ainda devem ser utilizados,
esquema foi utilizado pioneiramente pelo vrus Melissa. principalmente devido existncia de drives de discos flexveis.
* Adio de algumas caractersticas, para que o arquivo anexado no seja verifi- O desempenho do gateway antivrus pode ser melhorado por meio da utilizao
cado pelo antivrus. de uma arquitetura de firewall integrada, na qual um firewall decide se um arquivo
deve ser enviado para outro equipamento; no caso, o gateway antivrus. Um dos
O ciclo de vida de um vrus pode ser observado a seguir [SEI 00]: mecanismos para a integrao de firewalls o Content Vectoring Protocol (CVP), da
Check Point Software Technologies, que parte da Open Platform for Secure Enterprise
* O vrus escrito e testado em uma rede experimental. Connectivy (OPSEC), uma especificao aberta que busca a integrao e a
* O vrus lanado, possivelmente, em um alvo selecionado. interoperabilidade. O CVP define uma relao cliente/servidor que permite que
* O vrus se espalha para outras redes, se estiver implementado corretamente. firewalls dividam um servidor de validao de contedo em comum. Assim, caso a
* Algum percebe atividades estranhas, recolhe arquivos modificados e envia- regra do firewall indique que o contedo de um arquivo deve ser verificado, esse
os indstria de antivrus. arquivo enviado a um gateway antivrus, que o analisa e determina o que fazer
* O vrus descompilado e analisado, e uma assinatura criada. com ele. O arquivo devolvido ao firewall, que ento permite ou probe o trfego
* O criador do antivrus vai compartilhar as informaes com seus concorrentes, desse arquivo, de acordo com a resposta do gateway antivrus e com a poltica de
de modo rpido ou demorado, dependendo da situao. segurana da organizao.
* A indstria de antivrus espalha boletins de segurana, tornando a atualiza- Ironicamente, o avano dos vrus, que esto cada dia mais sofisticados, tem
o disponvel. como um de seus fatores a evoluo dos firewalls. Os firewalls, se bem configurados,
* Alguns clientes com contrato de suporte tcnico podem atualizar rapidamen- dificultam muito a efetividade e eficincia dos ataques, de modo que os hackers
te seus antivrus, at mesmo de maneira automtica, enquanto outros no passaram a buscar outras formas de invadir a rede interna das organizaes, por
podem faz-lo. meio da utilizao do trfego permitido pelo firewall. Por exemplo, um usurio
* Caso no tenham sido infectados, os administradores de rede e de sistemas, e recebe por e-mail um arquivo anexado contaminado ou faz a transferncia de um
tambm os usurios, ficam sabendo dos vrus por intermdio de mensagens de arquivo contaminado via FTP, que so servios permitidos pelo firewall; o vrus pode
e-mail. Simultaneamente, surgem os boletins de segurana sobre os antivrus infectar a rede, procurar por informaes valiosas e envi-las para o hacker, por
116 117
HTTP, que tambm um trfego legtimo para o firewall. Assim, o protocolo HTTP de buffer overflow do Internet Information Service (IIS), iniciou sua infestao: era
um problema para as organizaes, pois praticamente qualquer tipo de trfego pode o Code Red II [CAI 01].
passar pelo firewall por intermdio do tunelamento de HTTP. O HTTP at mesmo Quando o Code Red atua sobre a vtima, ele primeiramente checa a data do
chamado por algumas pessoas de Universal Firewall Tunneling Protocol. Alm dis- sistema infectado (entre os dias 1 e 19) e depois gera uma lista aleatria de ende-
so, a explorao automtica de vulnerabilidades de diferentes sistemas pelos worms reos de IP de novas vtimas. Porm, como a semente utilizada para gerar a lista de
tambm mostra a sofisticao dos cdigos maliciosos. endereos era esttica, as listas geradas eram iguais para todos, o que limitava a
Uma tendncia que pode ser observada a de que os worms esto evoluindo infeco em larga escala. O worm modifica uma pgina Web do servidor infectado e
rapidamente, com a utilizao de tcnicas muito sofisticadas, que incluem at mes- sua programao indica que a fase de infestao interrompida no dia 20 de cada
mo uma fase de dormncia (sleep phase), na qual o worm infesta o maior nmero ms, e entre os dias 20 e 28 de cada ms realizado um ataque de DDoS contra a
possvel de hosts antes de ativar o contedo destrutivo, de uma maneira coordena- Casa Branca, nos Estados Unidos,.
da, em ataques de DDoS (Seo 4.8). Alguns pesquisadores acreditam que esto Na variao do Code Red que utilizava o mesmo cdigo da verso anterior e a
surgindo novas classes de worms (Waarhol worms, flash worms), que podem ser semente dinmica, as listas de endereos das vtimas foram criadas aleatoriamen-
espalhados em minutos ou mesmo em segundos [VAL 01]. te, de modo que resultou em um impacto bem maior. Um total de 359 mil hosts
De fato, o SQL Server Worm, tambm conhecido como SQLSlammer, W32.Slammer foram infestados em apenas 14 horas [CAI 01].
ou Sapphire, que contaminou diversos sistemas em janeiro de 2003, teve uma gran- J o Code Red II utiliza um cdigo diferente, que explora o mesmo buffer overflow
de velocidade de propagao. A capacidade do worm era tanta que foi capaz de do IIS. Antes da infeco, o worm verifica se o host j estaria infectado ou no. Em
atingir a varredura de mxima de 55 milhes de hosts por segundo em apenas trs caso negativo, um backdoor instalado, ficando dormente por um dia. O worm,
minutos. O que foi considerado que ele no atingiu velocidade maior apenas ento, reinicia o host, fazendo com que a propagao tenha incio. A procura pelas
devido falta de largura de banda em algumas pores da rede [MOR 03]. Com o novas vtimas feita por meio de 300 a 600 threads, tendo como base uma lista de
Sapphire, mais de 90% dos sistemas foram contaminados em apenas dez minutos endereos na qual diferentes mscaras so aplicadas, de modo a aumentar o poder
aps o aparecimento do worm, que possua a capacidade de dobrar a populao de de propagao. De maneira diferente do Code Red, o Code Red II instala um backdoor
contaminados a cada 8,5 segundos. O Code Red, por exemplo, tinha a capacidade de que d privilgios de superusurio, o que permite que qualquer cdigo seja execu-
dobrar a populao de contaminados a cada 37 minutos [MOR 03]. tado, incluindo sua utilizao como zombies em ataques de DDoS [CAI 01].
O Sapphire explorou uma vulnerabilidade baseada em buffer overflow do SQL J o worm Nimda explora trs vulnerabilidades diferentes do IIS, alm de falhas
Server, e o estrago causado s no foi maior porque ele no carregava contedo do Microsoft Outlook, por meio de um arquivo anexado, o readme.exe. Mesmo que
malicioso, causando apenas queda de disponibilidade [MOR 03]. Uma das causas do o usurio no abra o arquivo, ele pode ser infectado devido a uma vulnerabilidade
rpido avano foi o uso de um nico pacote UDP para a porta 1434, contendo o do aplicativo. O worm pode infectar, tambm, usurios que fazem uso do navegador
payload de apenas 404 bytes. Os worms Code Red e o Nimda, por exemplo, usavam Internet Explorer desatualizado, bastando simplesmente que o usurio visite um
o TCP para a propagao, o que causava problema de latncia devido ao handshake site infectado. Instaurada a infeco, o Nimda expe o disco rgido local para a
TCP. Alm disso, o payload deles era maior, com o Code Red tendo 4 KB e o Nimda rede, cria uma conta guest e adiciona a conta ao grupo de administradores, espa-
tendo 60 KB [MOR 03]. Com o uso de UDP, a propagao foi rpida, sendo limitada lhando-se para outros compartilhamentos. Por meio de um controle feito pelo regis-
no pela latncia, mas sim pela largura de banda. tro do Windows, o worm envia uma cpia de si mesmo, em e-mails, a cada dez dias.
O worm Code Red surgiu em 12 de julho de 2001 e utiliza uma semente esttica O Nimda tambm procura por backdoors deixados pelos worms Code Red II e sadmind/
para o seu gerador de nmeros aleatrios, que usado para escolher os sistemas a IIS, alm de buscar novas vulnerabilidades no IIS, enviando cpias do cdigo pela
serem contaminados. Uma variante do Code Red, que utiliza uma semente dinmi- porta UDP 69. Alm disso, o Nimda infecta programas do sistema, criando cavalos
ca, surgiu em 19 de julho, o que fez com que ele se espalhasse mais rapidamente. de Tria em aplicaes legtimas [CER 01-3].
Em 4 de agosto, uma nova verso do worm, que explorava a mesma vulnerabilidade O funcionamento do worm Klez tambm interessante, pois ele continha o seu
prprio servidor SMTP, usado para que se propagasse mais eficientemente. Alm
118 119
disso, o Klez tambm desabilitava os antivrus mais conhecidos, alm de trazer um nmeros de acesso, o war dialing complementa a tcnica, ao tentar descobrir os
outro vrus em seu payload (Elkern). O Klez explorava uma vulnerabilidade conhe- nmeros telefnicos em que modems atendem s chamadas.
cida do Outlook Express; a variao do campo de assunto, da prpria mensagem e a O war dialer a ferramenta utilizada pelos hackers para fazer a varredura dos
possibilidade de enviar e-mails como se fosse outra pessoa (e-mail address spoofing), nmeros de modems e tambm utilizada pelos auditores de segurana, a fim de
dificultou sua identificao e facilitou sua disseminao. interessante notar que o verificar a existncia de modems na organizao, que na realidade deveriam ser
Klez possui diversas variaes, e a verso Klez.H, descoberta em maio de 2002, o proibidos. O termo surgiu aps o filme War Games, no qual foi mostrada a tcnica
resultado da evoluo da primeira verso descoberta em novembro de 2001. O mais de varredura de nmeros de telefone. Inspirados no filme, diversos hackers comea-
interessante notar que o ms de maior atividade do Klez foi janeiro de 2003, e em ram a desenvolver seus prprios War Games Dialers, agora conhecidos apenas como
fevereiro deste ano ele continuava sendo o worm mais ativo [MES 03], como pode war dialers [GAR 98].
ser visto na Figura 4.20 [SOP 03]. O war dialer um instrumento importante para a segurana da organizao,
pois o acesso pelos modems um dos principais pontos de ataque que visam driblar
o firewall.
Devido a esses problemas, a poltica de segurana deve deixar claro que a instala-
o de modems proibida, a no ser com aprovao explcita da gerncia, que pode
ento tomar os devidos cuidados para evitar o seu uso como porta de entrada para a
rede interna. Um dos requisitos, por exemplo, poderia ser o de que somente os equi-
pamentos fora da rede (desconectados) pudessem ser autorizados a usar o modem,
pois assim ele no poderia ser usado como porta de entrada para a rede interna.
Uma outra medida importante uma auditoria peridica para a busca de modems
no autorizados, via uso do prprio war dialing. Um inventrio de todos os modems
encontrados e a sua manuteno tambm so importantes para a continuidade da
segurana.
O uso de banners de aviso a quem acessa o modem tambm uma medida impor-
tante para avisar que o sistema de uso restrito e est sendo monitorado. O uso de
Figura 4.20 Os vrus e worms mais ativos de fevereiro de 2003. autenticao forte tambm necessrio, bem como habilitar as opes de auditoria
dos modems. A opo de call-back tambm importante, pois o modem disca de volta
4.9.5 War dialing para o nmero original, de acordo com uma lista de nmeros autorizados.
Algumas ferramentas de war dialing so capazes de detectar fax, identificar
O war dialing um ataque importante de ser combatido, pois o modem muitas
conexes PPP, identificar os sistemas e tentar ataques de fora bruta para descobrir
vezes utilizado como porta de entrada para a rede corporativa, funcionando como
as senhas de acesso [GUN 02].
uma alternativa para no precisar passar pelo firewall. De fato, difcil controlar a
instalao de modems em equipamentos dos funcionrios, que fazem isso para po-
der trabalhar remotamente e, muitas vezes, para poder ter acesso Internet barata
a partir de sua prpria residncia.
4.10 CONCLUSO
Alm dos modems no autorizados usados pelos funcionrios, a prpria infra- Este captulo apresentou os riscos que as organizaes correm quando passam a
estrutura de acesso remoto da organizao pode ser utilizada para dar acesso rede manter quaisquer tipos de conexes. Foram apresentados os diversos tipos de ata-
interna. Estreitamente ligada engenharia social, que utilizada para descobrir os cantes e suas intenes, bem como as tcnicas mais utilizadas por eles. Um ataque
tem incio com a obteno de informaes sobre os sistemas-alvo, passando por
120
tcnicas que incluem negao de servios (Denial of Service DoS), ataques ativos,
ataques coordenados e ataques s aplicaes e aos protocolos. Vrus, worms e cava-
los de Tria tambm podem ser utilizados como um ataque ou parte dele. Pode-se
considerar que os maiores perigos esto nas vulnerabilidades resultantes de falhas
na implementao dos produtos (sistemas operacionais, protocolos, aplicativos),
Novas funcionalidades e riscos:
nas configuraes equivocadas dos sistemas e na engenharia social. redes sem fio
O uso de redes sem fio (wireless) vem aumentando significativa-

mente, resultando em um impacto expressivo na vida das pessoas.
Seja em distncias mais longas (telefones celulares), em distncias
mdias (Wireless LAN WLAN) ou em curtas distncias (Bluetooth),
as redes sem fio facilitam o dia-a-dia das pessoas; no entanto, tra-
zem consigo novos riscos. Elas apresentam diferenas essenciais, se
comparadas com as redes com fio, de modo que protocolos de segu-
rana foram definidos para a proteo dos acessos sem fio, princi-
palmente para a autenticao e proteo no nvel de enlace. Este
captulo discute os aspectos de segurana existentes nas redes sem
fio, em particular no padro IEEE 802.11 e Bluetooth.
C
5.1. EVOLUO E MUDANAS
a
Um aspecto que vem ganhando cada vez mais importncia na
p vida das pessoas a evoluo das tecnologias sem fio (wireless).
Mais do que o avano tecnolgico, o impacto resultante de sua
t disseminao chega na vida das pessoas, significando uma revolu-
o no dia-a-dia de cada indivduo. Uma das tecnologias sem fio
u mais comuns e conhecidas a da telefonia celular. O impacto causa-
l do pelo seu uso foi grande e continua crescendo, de tal modo que
o estimado que o nmero de usurios de celulares ultrapasse em pou-
co tempo o nmero de usurios de telefones fixos no Brasil, como
5 pode ser visto na Figura 5.1 [EXA 03-3]. No mbito mundial, o
SEGURANA DE REDES EM AMBIENTES COOPERATIVOS Captulo 5: Novas funcionalidades e riscos: redes sem fio
122 123
nmero de linhas celulares j ultrapassa o nmero de linhas fixas, como pode ser atingiram 38,3 bilhes de dlares em 2002, segundo a IDC. A previso para 2007
visto na Figura 5.2. de que sejam investidos 49 bilhes de dlares, o que fortalece a importncia das
Ao mesmo tempo em que o avano tecnolgico faz parte da vida das pessoas, tecnologias sem fio [IDC 03]. A gama de tecnologias sem fio que est sendo discu-
outros aspectos, antes inexistentes, tambm passam a fazer parte da mudana. Um tida atualmente faz com que uma diviso torne mais compreensvel suas diferenas
desses aspectos o da segurana, na qual os problemas mais comuns encontrados e os aspectos de segurana existentes em cada uma delas.
na telefonia celular eram com relao clonagem de aparelhos. Como pode ser visto na Figura 5.3, existe uma diviso entre os tipos de tecnologia
sem fio. A diferena entre o Wireless Personal Area Networking (WPAN), Wireless
Local Area Networking (WLAN) e Wireless Wide Area Networking (WWAN) est na
distncia coberta pelos sinais que trafegam pelo ar, sem a necessidade de um fio
para conduzir a informao. Um WPAN, por exemplo, pode ser usado em distncia
de at dez metros, enquanto uma WLAN pode ser caracterizada por redes cobertas a
uma distncia de at cem metros.
A rea de cobertura est relacionada tambm com o consumo de energia. Quanto
maior a distncia a ser coberta, mais energia necessria. Entre as tecnologias
WPAN, para distncias curtas e com pouco consumo de energia, pode-se citar
Bluetooth, HomeRF, IrDA e o padro IEEE 802.15, que baseado no Bluetooth. O
padro IEEE 802.11 a tecnologia WLAN mais conhecida, que possui ainda o HyperLAN
II. J entre tecnologias WWAN, pode-se citar as tecnologias celulares, como GSM,
Figura 5.1 Avano do uso de celulares no Brasil.
GPRS, CDPD, TDMA, CDMA, entre outros.
Figura 5.3 WPAN, WLAN e WWAN.

Figura 5.2 Linhas celulares e linhas fixas no mundo.
As redes sem fio devem ser consideradas seriamente, pois cada vez mais elas
Atualmente, a abrangncia da tecnologia sem fio aumentou bastante, o que faz passam a fazer parte da vida das pessoas. As mudanas advindas do WLAN, por
com que uma anlise mais coerente e profunda leve tambm em considerao ou- exemplo, so evidentes em uma empresa. Funcionrios passam a ter mais flexibili-
tras tecnologias, alm da telefonia celular. A evoluo da comunicao sem fio dade com relao necessidade de cabos de rede e, o mais importante, passam a
constitui um campo de grande crescimento, de modo que muitas tecnologias dife- usufruir a mobilidade. Para as empresas, o ganho de produtividade pode ser grande,
rentes esto sendo definidas, implementadas e testadas. O crescimento pode ser pois as informaes passam a estar disponveis de uma forma mais fcil, dentro do
visto, por exemplo, nos gastos com infra-estrutura de redes mveis e sem fio, que limite da distncia coberta pela tecnologia.
124 125
Como conseqncia negativa dessas mudanas, as pessoas passam a correr novos * As transmisses sem fio so mais fceis de ser interceptadas do que as comu-
riscos com o seu uso. Dependendo do grau, esses riscos podem significar simples nicaes via fibra ou conexes com fio.
fatos desagradveis ou at perdas de recursos financeiros significativos. Nesse con- * Os melhores nveis de disponibilidade podem ser alcanados pelo uso de fibra
texto, a importncia do conhecimento com relao aos riscos envolvidos nas comu- ou tecnologia sem fio.
nicaes sem fio aumenta bastante, podendo representar o sucesso ou o fracasso de
negcios, e ainda a perda de privacidade de usurios comuns. Seja nas empresas ou nos hot spots, basta o usurio ligar seu equipamento sem
Este captulo apresentar os aspectos de segurana mais importantes de algu- fio ou notebook com placa wireless para que passe a ter acesso Internet. Isso,
mas tecnologias sem fio, como o IEEE 802.11, padro mais utilizado para WLANs, e porm, depende da configurao dos equipamentos; no entanto, do mesmo modo
o Bluetooth, usado em WPANs. As tecnologias de telefonia celular, como GSM, GPRS, que o acesso facilitado para usurios legtimos, ele facilitado tambm para
CDMA2000, 1x-EV DV, 1xEV DO ou W-CDMA, no sero consideradas. possveis hackers.
Dentro de um escritrio, um outro aspecto interessante. Com o uso de proto-
colos como o Bluetooth, a comunicao entre diferentes equipamentos passa a ter
5.2. CARACTERSTICAS DE REDES SEM FIO condies de ser feita sem a necessidade de fios. O mouse, o teclado e a cmera de
O mundo wireless difere bastante do modo como a comunicao realizada vdeo passam a comunicar-se livremente com o computador, modernizando o ambi-
atualmente. Alm de eliminar a barreira demogrfica (regies rurais ou com dificul- ente. Em contrapartida, os riscos tambm aumentam, pois esses dispositivos pas-
dade de passagem de fios), sua utilizao facilitada se comparada com as comuni- sam a estar sujeitos a controles indevidos. Com o uso de fios, esses riscos pratica-
caes com fio, pois a infra-estrutura o prprio ar, no sendo necessrio que uma mente nem existiriam.
infra-estrutura de cabeamento seja criada. O uso de uma rede sem fio, por exemplo, As prximas sees trataro das questes de segurana em redes sem fio e, em
pode ser muito proveitoso em um hotel ou aeroporto. Instalando-se um ponto de seguida, dos aspectos especficos do Bluetooth e dos protocolos de WLAN, padro
acesso (Access Point AP), que so os equipamentos que oferecem a conectividade IEEE 802.11.
para dispositivos mveis, nesses locais, evita-se a necessidade de cabeamento e,
conseqentemente, de custosos reparos em revestimentos e pisos de recintos pbli-
cos de alta visibilidade. Sob esse aspecto, padres de WLAN, como o IEEE 802.11, 5.3. SEGURANA EM REDES SEM FIO
so interessantes, porque o acesso Internet passa a estar onipresente para as Sob o ponto de vista da segurana, pode-se dizer que novos riscos foram intro-
pessoas nesses locais. duzidos aos usurios. Se anteriormente um hacker tinha de ter pelo menos o acesso
O acesso pblico Internet j est sendo oferecido em alguns locais como cafs, a um ponto de rede para ter acesso aos pacotes que trafegam por ela, com as redes
centros de exposio, aeroportos e hotis, formando os hot spots. Um estudo da sem fio isso no necessrio. Basta que esteja dentro da rea de cobertura de cada
Analysys mostrou que 21 milhes de americanos estaro usando WLANs pblicas em tecnologia para que os pacotes cheguem at ele, e este possa ler, modificar ou
2007 [ANA 03]. Em 2002, existiam nos Estados Unidos 3.700 hot spots, nmero que inserir novos pacotes.
a Analysys estima que cresa para 41 000 em 2007 [ANA 03]. Na Gergia, Estados Assim, as arquiteturas de segurana das novas tecnologias sem fio tratam, prin-
Unidos, por exemplo, uma cidade est criando uma infra-estrutura pblica de aces- cipalmente, dos aspectos envolvidos com o nvel fsico (ondas de rdio ou sinais
so sem fio, na qual todos podem acessar a Internet livremente [WAL 02]. infravermelhos) e o nvel de enlace, no qual as conexes tm incio. Para as cama-
Alguns fatores que devem ser considerados nas redes sem fio, e que refletem sua das superiores, a mesma abordagem de segurana das redes com fio deve ser usada.
evoluo, so [NIC 02]: A segurana pode tornar-se o fator mais crucial para o sucesso das comunicaes
sem fio das prximas duas dcadas [NIC 02]. Isso porque a confiana dos consumido-
* As comunicaes sem fio, devido sua natureza de no dependerem de res em realizar transaes online ser o resultado da percepo da segurana no meio
conectividade fsica, possuem maiores chances de sobreviver a desastres natu- sem fio. Os usurios atualmente esto muito preocupados com questes de privacida-
rais como furaces, enchentes, terremotos, tornados e erupes vulcnicas. de, e deixam de usar uma determinada tecnologia devido aos riscos existentes.
126 127
Alm da segurana, o desenvolvimento de novas aplicaes que tiram proveito 5.4. BLUETOOTH
da mobilidade, como as voltadas Internet, ao comrcio eletrnico, diverso e
O Bluetooth um protocolo usado nas redes pessoais sem fio Wireless Personal
localizao remota, tambm so fatores de sucesso para as tecnologias sem fio. O
Area Networking (WPAN), que cobre distncias entre dez e cem metros. Sua impor-
conjunto da percepo de segurana, aliada a uma nova forma de entretenimento,
tncia e seu impacto tendem a ser maiores no cotidiano das pessoas, porque o
acesso instantneo informao e facilidade de realizar tarefas do cotidiano, ser
Bluetooth um protocolo que ser utilizado em diversos tipos de dispositivos, e
primordial para um avano ainda maior das tecnologias sem fio.
diretamente por usurios finais comuns. Justamente, devido a isso, podem-se ima-
Assim, a natureza das comunicaes sem fio faz com que a segurana seja um
ginar grandes mudanas na prtica dos usurios, sendo possvel at mesmo vislum-
fator significante que deve ser entendido, discutido e solucionado para que as redes
brar novas aplicaes inovadoras que envolvam a computao mvel pessoal.
sem fio alcancem seu vasto potencial. Afinal, os sinais so enviados pelo ar e irra-
As aplicaes do Bluetooth so muitas: o comrcio eletrnico pode tirar provei-
diados em todas as direes; portanto, qualquer indivduo portando um receptor
to do pagamento de ingressos de cinemas, ingressos de shows, compras, passagens
sintonizado na freqncia correta pode interceptar a comunicao [NIC 02]. Alm
de nibus, refrigerantes, entre outros. Empresas podem usar o protocolo para o
disso, outra dificuldade de se prover segurana em redes sem fio est relacionada ao
controle de acesso fsico ao prdio, com possibilidade de programao para que a
alcance das transmisses, que exigem a mudana de clulas de acesso, conforme a
sala tenha a luz acesa e o computador seja ligado com a chegada do usurio, por
mobilidade [NIC 02].
exemplo. As indstrias de equipamentos domsticos, de componentes automobils-
Alm da segurana, outros desafios devem ser considerados para a segurana de
ticos e de entretenimento tambm podem ganhar com o Bluetooth [DAS 02-1], de
dispositivos mveis, tais como [NIC 02]:
maneira que uma nova forma de interao homem-mquina pode estar a caminho.
A relao de produtos de diversos segmentos pode ser vista no site Web da Bluetooth
* Pouco poder de processamento, se comparado com computadores pessoais.
[BLU 03]. Oficialmente, em janeiro de 2003, existiam 781 produtos compatveis
* Limite no suporte a algoritmos criptogrficos.
com o protocolo, os quais incluem produtos como telefones sem fio, produtos do-
* Capacidade de armazenamento limitada.
msticos como geladeiras e microondas, equipamentos automotivos, telefones celu-
* Imposio de conservao de energia.
lares, handhelds, microfones, cmeras digitais e outros.
* Restries em largura de banda, taxa de erro, latncia e variabilidade.
* Capacidade limitada do visor.
* Questes relativas experincia e usabilidade dos usurios. 5.4.1. Histrico
* Overhead e compresso de protocolos que influem no desempenho da rede. O Bluetooth foi concebido com a incumbncia de unir o mundo da computao
e das telecomunicaes. A origem, em 1994, pela Ericsson Mobile Communications,
Esses fatores fazem com que a segurana em redes sem fio possua uma natureza surgiu da investigao de uma interface de rdio de baixo custo e consumo entre
diferente, pois eles esto relacionados. Com isso, as solues e infra-estruturas j telefones mveis e seus acessrios. Em 1998, o Special Interest Group (SIG) foi
existentes devem ser adaptadas e integradas, para serem usadas em um ambiente criado pela Ericsson, Nokia, IBM, Toshiba e Intel, que compunham um forte grupo
mvel. Alm disso, deve-se considerar a consistncia e a interoperabilidade entre a com dois lderes de mercado da telefonia mvel, dois lderes de mercado de equipa-
grande gama de dispositivos mveis sem fio. Outro ponto importante que a segu- mentos de computao mvel e um lder de mercado de tecnologia de processamento
rana no pode resultar em grande impacto aos usurios, uma vez que isso pode de sinais digitais [DAS 02-1].
afetar sua usabilidade e aceitao. Em 2003, o SIG era formado por 3Com Corporation, Agere Systems Inc., Ericsson
As prximas sees apresentaro os aspectos de segurana envolvidos com o Technology Licensing AB, IBM Corporation, Intel Corporation, Microsoft Corporation,
Bluetooth e os protocolos usados em WLAN, mostrando os modelos de segurana Motorola Inc., Nokia Corporation e Toshiba Corporation, alm de centenas de asso-
usados por cada tecnologia. A nfase ser dada s particularidades existentes em ciados e membros [BLU 03]. A aliana entre empresas de comunicao e computa-
redes sem fio, na qual a autenticao dos dispositivos mveis nos pontos de acesso o mvel para criar um padro para comunicao sem fio para distncias entre dez
e o sigilo das informaes que trafegam no ar so necessrios. e cem metros conta atualmente com 1 790 outros fabricantes, entre handhelds e
128 129
terminais mveis [DAS 02-1]. O padro que est sendo especificado pelo Institute of
Electrical and Electronic Engineers (IEEE), o 802.15, derivado da especificao do
Bluetooth.
5.4.2. Arquitetura e protocolos do Bluetooth

O Bluetooth opera na banda de 2.4 GHz e sua cobertura definida pela classe de
gerenciamento de energia. Atualmente, existem trs classes de dispositivos defini-
das. Dispositivos de Classe 1 possuem nvel de energia alto, o que faz com que
operem a uma distncia de at cem metros, que cobre um espao mdio de uma casa
ou loja. J dispositivos de Classe 3 alcanam at dez metros, que cobre uma rea
pessoal como um quarto ou uma sala. As classes de dispositivos, as potncias e as
distncias cobertas pelo Bluetooth podem ser vistas na Tabela 5.1 [KAR 02][NIC
02].
Figura 5.4 Scatternet de uma rede Bluetooth.
Tabela 5.1 Classes de dispositivos Bluetooth.
Tipo Potncia Nvel de potncia Distncia coberta A definio da especificao do Bluetooth partiu de alguns princpios, destina-
Dispositivos de Classe 1 Alta 100 mW (20 dBm) At cem metros dos a tornar o protocolo um padro fcil de ser implementado e aceito no mercado.
Dispositivos de Classe 2 Mdia 2.5 mW (4 dBm) At dez metros
Dispositivos de Classe 3 Baixa 1 mW (0 dBm) 0,1 a dez metros O Bluetooth visa a otimizao do modelo de uso de diversos dispositivos mveis,
seguindo alguns princpios [NIC 02]:
O protocolo funciona em background, transparentemente para o usurio. O pro-
* Uso global.
cesso de conexo iniciado automaticamente quando um dispositivo Bluetooth
* Manipulao de voz e dados.
encontrado, de forma que o seu uso pelos usurios fica simplificado [DAS 02-1].
* Estabelecimento de conexes e redes ad-hoc.
Assim, pode-se considerar que o Bluetooth forma uma rede espontnea e ad-hoc.
* Evitar interferncias de outras origens em uma banda aberta.
A rede formada pelo conjunto de dispositivos Bluetooth, os quais esto fisica-
* Consumo menor, se comparado com outros dispositivos de uso similar.
mente prximos para comunicao e troca de informaes, chamada de piconet.
* Padro de interface aberta.
Os scatternets so grupos de piconets [NIC 02]. Na Figura 5.4 possvel observar que
* Custos competitivos, se comparados com similares.
um dispositivo pode fazer parte de diferentes piconets, porm pode ser o master de
apenas um. Na figura, possvel ver que o laptop do usurio C, por exemplo, o
A arquitetura do Bluetooth, que pode ser vista na Figura 5.5, formada por um
master da piconet 3, e participa tambm da piconet 1. O laptop D est atuando como
conjunto de protocolos que realizam tarefas especficas, desde a obteno de infor-
roteador entre o laptop E e a piconet 1. Os masters so os dispositivos que iniciam a
maes sobre dispositivos para conexo at o estabelecimento e controle de uma
troca de dados, e os slaves (outros dispositivos de uma piconet) sempre respondem
conexo sem fio. Alguns protocolos especficos do Bluetooth esto em destaque na
aos masters.
Figura 5.5, enquanto outros so usados tambm por outras tecnologias e podem
estar implementados nos dispositivos Bluetooth.
130 131
* Radio Frequency Communications (RFCOMM): o protocolo para constituio

de comunicao via rdio, e faz a interface para que todos os protocolos de
sesso e aplicao trabalhem com o Bluetooth.
5.4.3. Perfis do Bluetooth

O Bluetooth possui um conjunto de perfis (profiles) que definem mensagens e
procedimentos especficos para cada tipo de servio definido. Essa diviso em perfis
torna mais claro o uso de protocolos especficos para cada tipo de dispositivo, o que
simplifica e auxilia na implementao. Os aspectos de segurana envolvidos com
cada perfil tambm podem ser associados com cada tipo de dispositivo, o que um
fator importante para minimizar possveis riscos. interessante notar que alguns
perfis possuem uma relao de dependncia, como ser discutido posteriormente.
Os perfis definidos na especificao do Bluetooth so [BLU 01]:
* Generic Access Profile: define os procedimentos genricos para a descoberta de

dispositivos Bluetooth e os aspectos de gerenciamento do canal de comunica-
o entre dispositivos. Define tambm os procedimentos de uso de diferentes
nveis de segurana, alm de definir o formato de requisitos comuns para
Figura 5.5 A arquitetura do Bluetooth, com os protocolos especficos em destaque. parmetros da interface do usurio.
* Service Discovery Application Profile: define as caractersticas e os procedi-
Os protocolos mais importantes do Bluetooth e suas funes so [ANA 01]: mentos para que as aplicaes descubram servios registrados em outros dis-
positivos Bluetooth. Esse perfil possibilita tambm a obteno de informa-
* Service Discovery Protocol (SDP): o SDP permite que os dispositivos obte- es disponveis pertinentes a esses servios.
nham informaes sobre tipos de dispositivos, servios e especificaes. * Cordless Telephony Profile: define as caractersticas e os procedimentos para
Com essas informaes, os dispositivos Bluetooth podem iniciar o processo a interoperabilidade entre diferentes unidades de telefones 3 em 1 (atua
de autenticao. como celular, telefone sem fio e terminal Bluetooth, dependendo das condi-
* Baseband: a camada que permite a conexo fsica, via freqncia de rdio, es).
entre dispositivos Bluetooth. * Intercom Profile: define os requisitos necessrios para que os dispositivos
* Logical Link Control and Adaptation Protocol (L2CAP): o protocolo que faz a Bluetooth funcionem como um telefone 3 em 1. Os requisitos so caractersti-
interface entre o baseband e os protocolos de sesso. cas e procedimentos para a interoperabilidade entre dispositivos Bluetooth e
* Link Manager Protocol (LMP): funcionando paralelamente ao L2CAP, o LMP o telefones 3 em 1.
responsvel pelo estabelecimento de conexo entre dois dispositivos Bluetooth. * Serial Port Profile: define os requisitos necessrios para a configurao de
Ele controla parmetros como tamanho do pacote, o uso de autenticao e o conexes de cabo serial emuladas entre dispositivos Bluetooth via RFCOMM.
uso de criptografia. * Headset Profile: define os requisitos para o suporte ao uso de headsets por
* Host Controller Interface (HCI): prov a interface de comando para o controlador dispositivos Bluetooth.
baseband, para o gerenciador de conexo (Link Manager) e outros controladores * Dial-Up Networking Profile: define os requisitos para o suporte Bluetooth a
de hardware. redes dial-up.
* Fax Profile: define os requisitos para o suporte Bluetooth a fax.
132 133
* LAN Access Profile: define como um dispositivo Bluetooth acessa uma LAN 5.4.4. Modelo de segurana do Bluetooth
usando Point-to-Point Protocol (PPP), e tambm define como mecanismos PPP
O Bluetooth possui um modelo de segurana baseado na autenticao, tanto
so usados por dois dispositivos Bluetooth para a formao de uma LAN.
para o estabelecimento de conexes entre dispositivos quanto para o acesso a servi-
* Generic Object Exchange Profile: define os requisitos para suporte ao protocolo
os. O uso de criptografia tambm especificado, porm um aspecto que merece
Object Exchange.
ateno o fato de ele ser usado em diversos tipos de dispositivos, por usurios
* Object Push Profile: define os requisitos para suporte ao modelo de Object
comuns. Isso faz com que o nmero de vtimas potenciais aumente na mesma medi-
Push.
da da variedade das intenes de ataques contra dispositivos Bluetooth.
* File Transfer Profile: define os requisitos para suporte transferncia de
Esse cenrio relacionado ao aumento do nmero de usurios e ao crescimento da
arquivos.
variedade de utilizao de dispositivos Bluetooth faz com que problemas de confi-
* Synchronization Profile: define os requisitos para suporte ao modelo de sincro-
gurao, de escolha de chaves e da forma de armazenamento de chaves tornem-se
nizao do Bluetooth.
problemas comuns e corriqueiros para os usurios. Alguns problemas j foram re-
portados, como a descoberta de configuraes erradas ou a falta de configurao de
Os perfis definem as mensagens e procedimentos que so implementados por
segurana em Personal Digital Assistants (PDAs) e celulares [JUD 02].
cada tipo especfico de dispositivo Bluetooth, e possuem uma relao de depen-
Alguns experimentos mostraram que os dispositivos podem estar expostos a
dncia, que pode ser vista na Figura 5.6. Isso importante porque, alm de faci-
acessos indevidos, permitindo que terceiros tenham acesso a todas as informaes
litar a implementao, auxilia tambm nas questes de segurana. Por exemplo, a
de um PDA. Foi demonstrado tambm que possvel at mesmo realizar ligaes
especificao de segurana definida para o Generic Access Profile usada tambm
celulares usando aparelhos de terceiros, em uma tcnica apelidada de Warphoning
pelos demais perfis. A relao de dependncia pode ser observada, por exemplo,
[JUD 02]. Porm, esses so problemas relacionados a usurios e configuraes erra-
no LAN Access Profile, que depende do Serial Port Profile, que por sua vez depende
das, ou seja, essas demonstraes no exploraram fraquezas do modelo de seguran-
do Generic Access Profile [BLU 02][BLU 01]. Isso faz com que os mecanismos de
a do Bluetooth.
segurana definidos para o Generic Access Profile sejam usados pelos outros perfis
Na camada fsica, o Bluetooth usa o Frequency-Hopping no envio de sinais, para
e o LAN Access Profile, por exemplo, utilize mecanismos de segurana prprios de
evitar a interferncia com outros dispositivos e tambm para dificultar a interceptao
seu perfil.
de um fluxo de dados significativo [NIC 02].
O modelo de segurana do Bluetooth baseado em modos de segurana, em nveis
de confiana dos dispositivos e em nvel de segurana dos servios, como pode ser
visto na Figura 5.7. O conjunto de requisitos de segurana avaliado em diversas
etapas, desde o estabelecimento de uma comunicao at o acesso a servios.
Figura 5.7 O modelo de segurana do Bluetooth.
A especificao do Bluetooth detalha trs modos de segurana, nos quais o

Figura 5.6 Os perfis do Bluetooth e suas interdependncias. protocolo funciona [NIC 02][KAR 02]:
134 135
* Modo 1: sem segurana. cas so administradas pelo gerenciador de segurana. Ele atua em todos os nveis,
* Modo 2: segurana reforada no nvel de servio segurana aps a configu- desde o estabelecimento do canal no nvel de enlace at o nvel de aplicao e
rao do canal, o que possibilita que o gerenciador de segurana (Security interface dos usurios, realizando funes como [NIC 02]:
Manager) controle o acesso a servios e dispositivos.
* Modo 3: segurana reforada no nvel de enlace segurana antes da confi- * Armazenar informaes sobre a segurana dos servios na base de dados de
gurao do canal, via processo de pairing (Seo 5.4.6). servios.
* Armazenar informaes sobre a segurana dos dispositivos na base de dados
Alm dos trs modos de segurana, existem ainda dois nveis de confiana para de dispositivos.
os dispositivos [NIC 02]: * Responder a requisies de acesso de protocolos ou aplicaes.
* Forar a autenticao e/ou criptografia antes da conexo na aplicao.
* Dispositivos confiveis, que possuem um relacionamento fixo e acesso aos * Estabelecer relaes de confiana entre dispositivos.
servios. * Fazer uso de Personal Identification Number (PIN).
* Dispositivos no confiveis, que no possuem relacionamento permanente e * Responder s requisies de acesso da camada de protocolos.
possuem restries de acesso a servios. * Responder s requisies Host Controller Interface (HCI) para uso ou no de
autenticao e/ou criptografia.
Os nveis de segurana de servios so [KAR 02]:
* Nvel 1 de servio: requer autorizao e autenticao. O acesso automtico

oferecido apenas a dispositivos confiveis. Dispositivos no confiveis preci-
sam de autorizao manual.
* Nvel 2 de servio: requer apenas autenticao. O acesso aplicao permi-
tido apenas aps o procedimento de autenticao e a autorizao no neces-
sria;
* Nvel 3 de servio: o acesso permitido automaticamente a todos os disposi-
tivos.
O relacionamento entre os requisitos de uma comunicao Bluetooth gerenciado

pelo gerenciador de segurana (Security Manager), que ser visto na prxima seo.
As informaes sobre os nveis de segurana dos servios e nveis de confiana dos
dispositivos so armazenadas em base de dados especficas, controladas pelo
gerenciador de segurana. A cada acesso, as bases de dados so consultadas, para
Figura 5.8 Arquitetura de segurana do Bluetooth.
verificar se a autenticao e a autorizao so necessrias. O fluxo de mensagens
para o acesso a servios discutido na prxima seo. Uma forma simplificada do estabelecimento de uma conexo Bluetooth e a sua
interao com o gerenciador de segurana podem ser vistas na Figura 5.9. A conces-
5.4.5. Arquitetura de segurana do Bluetooth so de acesso, que acontece aps o estabelecimento da conexo no nvel de enlace,
Na arquitetura de segurana do Bluetooth, o gerenciador de segurana (Security corresponde ao Modo 2 de segurana. Os passos realizados so:
Manager) possui uma funo primordial, pois centraliza todas as negociaes para
o estabelecimento das conexes. Como pode ser visto na Figura 5.8, todas as polti- 1. Requisio de conexo no Logical Link Control and Adaptation Protocol (L2CAP).
2. L2CAP requisita informao de acesso ao gerenciador de segurana.
136 137
3. O gerenciador de segurana busca servios permitidos na base de dados de

servios.
4. O gerenciador de segurana busca o nvel de confiana na base de dados de
dispositivos.
5. O gerenciador de segurana usa a autenticao e a criptografia no Host Controller
Interface (HCI), caso seja requerido.
6. O gerenciador de segurana concede o acesso.
7. O L2CAP continua a configurar a conexo enviando o pacote ao nvel de apli-
cao.
Figura 5.9 Estabelecimento de uma conexo Bluetooth.
Os modos de segurana tambm so controlados pelo gerenciador de segurana

do Bluetooth. Na Figura 5.10, possvel verificar o fluxograma de decises do
gerenciador de segurana, considerando o Host Controller Interface (HCI), Logical
Link Control and Adaptation Layer (L2CAP), Radio Frequency Communications
(RFCOMM), aplicaes, interface de usurio e base de dados de servios e dispositi-
vos [NIC 02].
Figura 5.10 Uso dos modos de segurana do Bluetooth.

138 139
possvel verificar na Figura 5.10 que no Modo 3 de segurana (segurana Na autenticao de dispositivos Bluetooth, uma chave compartilhada utiliza-
reforada no nvel de enlace, antes da configurao do canal) existe um nvel de da, e chamada de chave de canal (link key). A chave de canal gerada via uma
segurana antes do estabelecimento do canal, que feito pelo Link Manager Protocol sesso de comunicao especial denominada emparelhamento (pairing). O processo
(LMP). O LMP verifica se o dispositivo est no Modo 3 de segurana e, caso ele de gerao da chave de canal compartilhada feito com base em quatro elementos
esteja, exige a autenticao e o uso de criptografia antes do estabelecimento do [NIC 02]:
canal. Isso no existe caso o dispositivo esteja no Modo 1 ou 2 de segurana.
A autenticao feita pelo LMP ser vista com mais detalhes na Seo 5.4.6. * Endereo do dispositivo (BD_ADDR) de 48 bits.
Aps o estabelecimento do canal controlado pelo LMP, o L2CAP faz o gerenciamento * Chave de autenticao de 128 bits.
e controle do fluxo de dados. O Nvel 2 de segurana, que realiza o controle de acesso * Chave de criptografia de 8-128 bits.
a servios e dispositivos, controlado tambm pelo L2CAP. Em conjunto com o * Nmero aleatrio (RAND) de 128 bits, gerado pelo dispositivo.
gerenciador de segurana, as bases de dados de servios e dispositivos so consulta-
das, podendo ser necessria a autenticao e o uso de criptografia para o acesso aos A chave de canal gerada durante uma fase inicial, na qual dois dispositivos
servios, conforme a poltica de acesso definida para o dispositivo e o servio. Bluetooth se associam. A associao ocorre quando ambos os dispositivos derivam
chaves de canal iguais a partir de um PIN. A autenticao pode ser feita aps essa
5.4.6. AUTENTICAO NO NVEL DE ENLACE fase inicial. A chave de canal tambm pode ser criada usando-se mtodos de troca
de chaves e importada diretamente por mdulos Bluetooth. A gerao da chave de
A autenticao no nvel de enlace realizada no Modo 3 de segurana, pelo Link
canal, a partir de um PIN, pode ser vista na Figura 5.12.
Manager Protocol (LMP), antes do estabelecimento da conexo. A Figura 5.11 apre-
senta um fluxograma do processo de autenticao realizado pelo LMP. Caso uma chave
de canal (link key) compartilhada exista, a autenticao baseada nessa chave. Caso
ela no esteja disponvel, deve ser gerada via um processo de emparelhamento (pairing).
Figura 5.12 Gerao da chave de canal do Bluetooth a partir do PIN.
Existem dois tipos de chave de canal: unit key (usa a mesma chave para todas as
conexes) e combination key (especfico para cada par de dispositivos) [XYD 02].
No pairing, o Bluetooth usa uma chave de inicializao (initialization key), que
computada a partir do endereo de cada dispositivo Bluetooth, de um nmero
aleatrio e de um PIN. A chave de inicializao usada somente uma vez, no incio
do emparelhamento [XYD 02].
A master key uma chave temporria que substitui a chave de canal quando o
dispositivo master de uma piconet quer transmitir dados para mais de um dispositi-
vo slave.
Figura 5.11 Procedimento de autenticao para verificao do nvel de confiana.
140 141
Aps a gerao da chave de canal, de 128 bits, a autenticao do Bluetooth, baseada dos dados, como pode ser visto na Figura 5.14. O key stream gerado pelo E0 passa
em desafio-resposta, feita da seguinte forma, como na Figura 5.13 [KAR 02]: por um processo de XOR com a informao. O valor ACO usado como entrada para
o Key Generator (KG), juntamente com a chave de canal e um nmero aleatrio.
A chave gerada, a chave de cifragem (Kc), com tamanho entre 8 e 128 bits,
uma das entradas do E0, que usa ainda um nmero aleatrio (EN_RAND), a identi-
dade do master (BD_ADDR) e um slot number [KAR 02].
Figura 5.13 Autenticao do Bluetooth.
possvel verificar na Figura 5.13 que a autenticao do Bluetooth realizada

seguindo-se os seguintes passos [KAR 02]:
* Um dispositivo (A) transmite seu endereo de 48 bits (BD_ADDR) para o outro

dispositivo (B).
* O dispositivo B transmite um desafio aleatrio de 128 bits (AU_RAND) para o
dispositivo A. Figura 5.14 Procedimento de cifragem do Bluetooth.
* O dispositivo B usa o algoritmo E1, que baseado no SAFER+, para computar
a resposta, usando o endereo, a chave de canal e o desafio aleatrio como Quanto ao uso da criptografia, existem 3 modos [KAR 02]:
entradas do algoritmo. O dispositivo A realiza a mesma operao, com o mes-
mo algoritmo. * Modo 1 de criptografia: sem cifragem de nenhum trfego.
* O dispositivo A retorna a resposta (SRES), de 32 bits, j computada pela ope- * Modo 2 de criptografia: trfego de broadcast no cifrado, apenas o trfego
rao feita pelo E1, para o dispositivo B. individual, de acordo com as chaves de canal individuais.
* O dispositivo B compara o SRES do dispositivo A com o SRES que ele computou. * Modo 3 de criptografia: todo o trfego cifrado de acordo com a chave de
* Se o SRES de 32 bits dos dispositivos A e B forem iguais, a conexo concedida. canal do master (master key).
O valor ACO de 96 bits gerado pelo algoritmo E1 ser usado no processo de Assim, a autenticao no nvel de enlace realizada pelo LMP, passando o pro-
proteo do sigilo das informaes. O Bluetooth usa o algoritmo E0 para a cifragem cesso de conexo para o L2CAP, no qual atua o gerenciador de segurana. O meca-
142 143
nismo de segurana visto at aqui faz parte do perfil mais genrico do Bluetooth, o * O usurio configura o headset para o modo pairing pressionando um boto do
Generic Access Profile, que faz parte de todos os outros perfis. Na Seo 5.4.7, novos headset.
mecanismos de segurana, especficos do Headset Profile, so apresentados. Esse * O headset indica que est pronto para o pairing.
perfil tambm usa os mecanismos de segurana do Generic Access Profile. * O usurio prepara o telefone mvel para descobrir um headset Bluetooth.
* O telefone inicia uma conexo Bluetooth com o headset.
5.4.7. Segurana no Headset Profile * Na configurao do canal LMP, o headset solicita a autenticao do telefone.
* O telefone detecta a inexistncia de uma chave de canal com o headset e
A segurana em dispositivos pessoais headset baseada em uma chave (passkey)
requisita o pairing.
que usada para a criao de associaes de segurana, usadas na autenticao e
* O telefone pede a passkey do headset para o usurio.
cifragem das comunicaes [BLU 02].
* O usurio insere a passkey e uma chave de canal derivada e compartilhada
A arquitetura do perfil pode ser vista na Figura 5.15. O Audio Gateway normal-
entre o telefone e o headset.
mente um telefone celular, laptop, PC ou qualquer outro dispositivo de udio, como
* A nova chave de canal armazenada em uma memria no voltil no telefone
rdio ou tocador de CD [BLU 02].
e no headset.
* O headset autentica o telefone.
* O telefone autentica o headset.
* O headset e o telefone executam a troca da chave de criptografia.
* A configurao do LMP completada, de forma que a comunicao entre o
telefone e o headset cifrada.
* O usurio configura o headset para sair do modo pairing, para no aceitar
novos pedidos ou requisies de pairing.
Caso o usurio queira emprestar seu headset a um amigo, recomendado que a

passkey seja alterada e que a chave de canal seja removida do dispositivo [BLU 02].
Alm disso, a troca de chaves do processo de pairing feita via um canal inicial
que no cifrado, o que requer cuidados adicionais para minimizar riscos de
interceptao das chaves [BLU 02].
Figura 5.15 Arquitetura de segurana do Headset Profile.

5.4.8. Aspectos de segurana do Bluetooth
Como operam em um espao areo desregulamentado (2.4 GHz), o Bluetooth e o
A interface de porta serial pode ser usada para atualizaes de aplicaes, mu- padro IEEE 802.11 (Seo 5.5.1) podem causar degradao de desempenho, caso
dana na poltica de acessos ou outras configuraes [BLU 02]. operem prximos um do outro. Testes da Symbol Technologies Inc. e Toshiba
A passkey usada por cada headset para a autenticao e cifragem do canal de Corporation confirmaram um decrscimo de desempenho, caso os dispositivos este-
comunicao pode ser gerenciada de diferentes maneiras: estar fixa no dispositivo, jam entre dois e trs metros perto um do outro [NIC 02][KHA 01]. Em um teste com
configurada por um dispositivo externo ou gerada aleatoriamente para cada dispo- notebook, a velocidade de uma rede 802.11b (Seo 5.5) caiu de uma taxa de 11
sitivo [BLU 02]. A gerao aleatria da passkey, combinada com a configurao via Mbps para 1 Mbps a uma distncia de menos de um metro. Acima dessa distncia, a
dispositivo externo, interessante para o caso de perda ou roubo do dispositivo, degradao de desempenho no foi to significativa, segundo o teste [MER 01].
pois torna o seu uso indiscriminado mais difcil [BLU 02]. O preo das licenas de espectro caro, de forma que muitas dessas redes sero
O exemplo a seguir mostra os passos para o uso de um headset juntamente com implementadas em bandas no licenciadas. Isso faz com que a preveno contra
um telefone mvel [BLU 02]:
144 145
interferncias deva ser robusta, pois telefones sem fio tambm podem causar inter- * A unit key como chave de canal reutilizvel e torna-se pblica aps o seu
ferncias. A interferncia em bandas no licenciadas comum, de modo que a uso.
Federal Communications Comission (FCC) requer que todos os dispositivos tenham * O compartilhamento da unit key passvel de captura.
um aviso de que podem estar sujeitos a interferncias [KHA 01]. A FCC tem definido * A master key compartilhada.
tambm um conjunto de regras para permitir que mltiplos dispositivos comparti- * No existe a autenticao do usurio.
lhem o espectro, de maneira que permita a inovao na construo de rdios que * O algoritmo stream cipher E0 considerado fraco.
minimizem as interferncias [KHA 01]. * A privacidade termina se o endereo do dispositivo Bluetooth (BD_ADDR)
Assim, o jamming constitui uma ameaa ao Bluetooth. Ele uma interferncia capturado e associado com outro usurio.
intencional que probe a transmisso de informao e muito usado militarmente. * A autenticao do dispositivo um simples desafio-resposta com chave com-
Em muitos pases, o uso de jamming ilegal. Um uso muito comum do jamming partilhada, passvel de ataque do tipo man-in-the-middle.
para evitar o uso de celulares em lugares pblicos como restaurantes ou cinemas * No existe segurana fim-a-fim, apenas dos canais individuais.
[NIC 02]. * Os servios de segurana so limitados, sem a existncia de auditoria e no
Alm do jamming, a configurao errada ou a falta de configurao de seguran- repdio, por exemplo.
a faz com que PDAs e celulares estejam expostos a acessos indevidos, os quais
permitem que terceiros tenham acesso a todas as informaes do PDA, ou mesmo Assim, grande parte dos problemas de segurana do Bluetooth comum no
realizar ligaes celulares usando aparelhos de terceiros [JUD 02]. somente s redes sem fio, mas tambm s redes com fio. Novos riscos so introdu-
Alm da falta do uso de criptografia como padro, resultante de erros de confi- zidos com tecnologias sem fio, nas quais os maiores problemas so a possibilidade
gurao, a autenticao tambm constitui um problema, pois so os dispositivos, e de captura da chave e ataques man-in-the-middle. Porm, mtodos mais sofisticados
no os usurios, que so autenticados [NIC 02]. de gerenciamento de chaves, que podem minimizar esses riscos, possuem um alto
Os problemas de segurana do Bluetooth podem ser divididos em [NIC 02]: custo para serem implementados em dispositivos to diversificados como os que
usam o Bluetooth.
* Ataque ao endereo do dispositivo Bluetooth. Como foi visto na Seo 5.3, existem limitaes em pontos fundamentais como
* Gerenciamento de chaves. o armazenamento, o poder de processamento e a largura de banda, que podem
* Ataque ao cdigo PIN. inviabilizar o uso de um mtodo mais forte, que inclua, por exemplo, o uso de
* Falta de suporte autenticao de usurios. criptografia de chaves pblicas.
Alm disso, o fato de os dispositivos Bluetooth serem usados em grande parte
Alguns pontos importantes sobre a segurana do Bluetooth so [NIC 02][KAR por usurios domsticos faz com que a possibilidade de disseminao de novos
02][SCH 03]: tipos de brincadeiras aumente.
Assim, a melhor forma de combater os riscos decorrentes do uso do Bluetooth
* A robustez do gerador aleatrio do desafio-resposta no conhecida, o que, seguir as recomendaes de configuraes mais seguras, tomar cuidado na escolha de
caso seja fraca, pode produzir nmeros estticos ou peridicos que reduzem o PINs e usar mecanismos de segurana que vo alm do Bluetooth. Afinal de contas, o
nvel de segurana da autenticao. Bluetooth funciona nos nveis de enlace e fsico, sendo possvel, em alguns casos, o
* PINs curtos ou facilmente adivinhados so permitidos. uso de mtodos de segurana nos nveis de rede e de aplicao, por exemplo.
* Tentativas de autenticao podem ser repetidas, abrindo possibilidade de ata-
ques de fora bruta.
* Uma gerao e distribuio mais elegante de PINs no existem, causando pro- 5.5. WLAN
blemas de escalabilidade. As redes Wireless Local Access Network (WLAN) apresentam um grande cresci-
* O tamanho da chave de criptografia negocivel, permitindo o uso de chaves mento, tanto de mercado quanto de tecnologia. A Gartner, por exemplo, estima que
curtas e fracas. 50% dos notebooks corporativos usaro a WLAN em 2003. Em 2000, o nmero era de
146 147
nove% dos notebooks e a previso de uso para 2007 de 90%. Os valores envolvidos Para os usurios, a convenincia e a flexibilidade foram apontadas como os maiores
no mercado de WLAN sero de 2,8 bilhes de dlares em 2003, pois em 2002 foram benefcios, enquanto a mobilidade e a convenincia foram apontadas pelas empresas.
investidos 2,1 bilhes de dlares em equipamentos WLAN, ou seja, um crescimento A pesquisa mostrou tambm que as principais aplicaes para WLANs so o correio
de mais de 33% [GAR 03]. eletrnico e o acesso Internet, como pode ser visto na Figura 5.19 [NOP 01].
As WLANs so usadas principalmente como alternativas s redes fixas em ambi-
entes como empresas, hotis, centros de convenes. Atuando em distncias de at
cem metros, o uso de WLAN representa uma srie de benefcios, tais como:
* Mobilidade dos usurios.

* Instalao rpida: sem necessidade de infra-estrutura.
* Flexibilidade: possibilidade de criar WLANs temporrias e especficas, como
em eventos, demonstraes de produtos etc.
* Escalabilidade.
* Aumento de produtividade, com conexo permanente em todo o escritrio,
facilitando o andamento de reunies e projetos em equipes distintas.
De fato, uma pesquisa com 404 entrevistados, realizada em 2001, mostrou que a
mobilidade, a desnecessidade de cabos e a acessibilidade so os principais benefci-
os apontados. Os principais benefcios do uso de WLANs identificados pela pesquisa
Figura 5.17 Benefcios do uso de WLAN para os usurios.
podem ser vistos na Figura 5.16 [NOP 01].
Figura 5.16 Benefcios do uso de WLANs.
A mesma pesquisa, com 160 entrevistados, mostrou tambm os cinco maiores

Figura 5.18 Benefcios do uso de WLAN para as empresas.
benefcios identificados pelos usurios (Figura 5.17) e pelas empresas (Figura 5.18).
148 149
O movimento Wireless Fidelity (Wi-Fi), criado pela Wi-Fi Alliance, considerado

sinnimo de liberdade [WIFI 03]. O padro Wi-Fi baseado nos padres IEEE 802.11b
e 802.11a, e operam na banda de 2.4 GHz e 5 GHz, respectivamente, com taxa de 11
Mbps (802.11b) ou 54 Mbps (802.11a) [WIFI 03].
Em sua forma mais simples, uma WLAN formada por um tranceiver, tambm
chamado de ponto de acesso (Access Point, AP), que conectado a uma rede com um
cabo Ethernet. Os dispositivos podem acessar a rede sem fio usando um carto
compatvel com o protocolo.
As figuras 5.20 e 5.21 mostram os principais habilitadores e as principais barrei-
ras para a adoo de WLAN pelas empresas [WIFI 01]. Segundo a pesquisa, os aspec-
tos de segurana representam barreiras para 50% dos entrevistados que usam a
WLAN, e para 72% que ainda no a adotaram [WIFI 01]. Assim, os problemas de
segurana envolvidos devem ser analisados com cuidado, pois os riscos existentes
Figura 5.19 Principais aplicaes usadas para WLANs. em um ambiente sem fio so iguais aos riscos existentes em um ambiente com fio,
somados aos novos riscos introduzidos pelos protocolos sem fio, alm dos aspectos
A tecnologia de redes sem fio, alm de ser fascinante sob o ponto de vista fsicos envolvidos.
tecnolgico, pode trazer grandes avanos de produtividade. Na FedEx, por exemplo,
o uso de redes sem fio j acontece h cinco anos. Com dez mil pontos de acesso, a
FedEx estima que o ganho de produtividade chega a 30% [NET 03-2]. Essa taxa
medida no processo de rastreamento dos pacotes, no qual os operadores podem
realizar o trabalho tranqilamente, sem que fios atrapalhem o rastreamento, que
chega a ser feito, em mdia, 12 vezes por pacote [NET 03-2].
Uma WLAN usa freqncia de rdio e ondas eletromagnticas em infravermelho
para a transferncia de dados. A Federal Communications Commission (FCC) estabe-
leceu as bandas como sendo de 900 MHz, 2.4 GHz e 5 GHz. A maioria usa a banda de
2.4 GHz, devido disponibilidade global e interferncia reduzida [NIC 02]. O
padro 802.11, do Institute of Electrical and Electronic Engineers (IEEE), usado
principalmente nos Estados Unidos e no Brasil, enquanto na Europa o HyperLan II
o mais utilizado [NIC 02].
Para que a tecnologia baseada no padro 802.11 seja difundida mais rapidamen-
te, a Wi-Fi Alliance foi criada. Ela uma associao internacional sem fins lucrati- Figura 5.20 Principais habilitadores para a adoo de WLAN.
vos formada, em 1999, para certificar a interoperabilidade de produtos baseados na

especificao IEEE 802.11. Em janeiro de 2003, a Wi-Fi Alliance possua 193 mem-
bros e 511 produtos certificados desde maro de 2000 [WIFI 03].
150 151
* 802.11e: destinado qualidade de servio, com caractersticas de diferencia-

o de trfego, para uso futuro em udio e vdeo, por exemplo. aplicvel aos
padres 802.11a, 802.11b e 802.11g.
* 802.11f : trata da interoperabilidade entre produtos de diferentes fabricantes.
* 802.11g: trata do desempenho e da compatibilidade com padro 802.11b e
possui velocidade similar ao padro 802.11a, de 54 Mbps. Usa as bandas de 2.4
GHz e 5 GHz, com trs canais de rdio disponveis. Os produtos comearam a
ser comercializados no final de 2002.
* 802.11h: trata da operabilidade na Europa, atuando na banda de 5 GHz. O
802.11h trata tambm de gerenciamento de espectro e controle de energia.
* 802.11i: trata de mecanismos de segurana e autenticao.
* 802.11j: trata da operao nas novas bandas 4.9 GHz e 5 GHz disponveis no
Japo.
Figura 5.21 Principais barreiras para a adoo de WLAN.
* 802.1X: um padro que define um framework para autenticao baseada em
portas e distribuio de chaves para LANs sem fio e com fio [NET 03-2].
5.5.1. Padro IEEE 802.11 Algumas placas WLAN podem suportar tanto o 802.11b quanto o 802.11a e o
O padro do IEEE, 802.11, o mais difundido para WLAN, de modo que o foco da 802.11g, selecionando automaticamente o melhor sistema. Placas que combinam
anlise ser dado ao protocolo. O IEEE possui uma srie de especificaes para WLAN com celulares 2.5 G tambm esto previstas, com capacidade de roaming
WLAN, que tratam de desempenho, interoperabilidade, qualidade de servio, segu- entre WLANs e General Packet Radio Service (GPRS) e Code-Division Multiple Access
rana e compatibilidade. Os produtos com padro 802.11b chegaram ao mercado (CDMA) 2000 1xRTT [MOL 02].
primeiro, de modo que esto mais difundidos. A tendncia, porm, que novos As prximas sees trataro dos aspectos de segurana do padro IEEE 802.11.
padres, como 802.11a e 802.11g, passem a ser mais utilizados devido sua capa- Novos mecanismos de segurana e de autenticao que esto sendo definidos para
cidade. J os padres 802.11i e 802.1X sero usados devido aos novos mecanismos suprir necessidades existentes atualmente sero discutidos na sees 5.5.7 (802.11i)
de segurana especificados. Os padres de segurana sero discutidos nas sees e 5.5.8 (802.1X).
5.5.7 e 5.5.8. Um resumo dos padres 802.11, que tratam de redes sem fio, pode ser
visto a seguir [IEEE 03][KAER 02]:
5.5.2. Segurana do padro IEEE 802.11
* 802.11a: destinado ao alto desempenho, com taxa mxima de 54 Mbps por O padro 802.11 prov segurana para WLAN com autenticao e cifragem da
canal, usa banda de rdio de 5 GHz. Oito canais esto disponveis e, em alguns comunicao. O protocolo especificado pelo IEEE para a segurana em redes sem fio
pases, 12 canais so permitidos. Os produtos comearam a ser comercializados o Wired Equivalent Privacy (WEP), que alvo de muitas crticas e ataques. O WEP
em 2002. possui uma srie de vulnerabilidades, que tornam as redes 802.11 alvos freqentes
* 802.11b: atinge 11 Mbps por canal, atuando na banda de 2.4 GHz. O padro de diferentes mtodos de ataques que tiram proveito da fraqueza do protocolo.
ficou pronto em 1999, com produtos sendo comercializados a partir de 2001. Um caso interessante que demonstra a fraqueza do WEP aconteceu nos Estados
* 802.11c: destinado a definir procedimentos de operaes de ponte entre pon- Unidos: anlises de segurana em redes sem fio foram conduzidas por empresas
tos de acesso. especializadas nos aeroportos internacionais de Denver e de San Jose. A anlise em
* 802.11d: destinado ao uso geral, para promover o uso do padro 802.11 em Denver revelou que a American Airlines operava uma rede sem fio totalmente em
pases onde os requisitos para uso da banda so diferentes dos Estados Unidos. claro (sem o uso de criptografia) no aeroporto. Um fato agravante foi o testemunho
O padro est em discusso. de um ataque em tempo real durante a anlise [BRE 02-2]. Em San Jose, a anlise
152 153
revelou resultados semelhantes aos de Denver: pouca ou nenhuma proteo contra O padro 802.11 prov dois tipos de autenticao:
ataques. Os especialistas puderam monitorar o trfego de informaes confidenciais
como operaes de check-in da American Airlines e Southwest Airlines. Da Southwest, * Open system: todos os usurios podem acessar a WLAN; o mtodo padro.
os especialistas obtiveram informaes de sistemas back-end, incluindo trs servi- * Chave compartilhada: existe o controle de acesso ao WLAN para preveno de
dores UNIX rodando Solaris [BRE 02-2]. acessos no autorizados.
As implicaes dessas vulnerabilidades podem ser srias: no caso do aeroporto,
dependendo das comunicaes existentes, um hacker pode, a partir de uma rede Na autenticao open system, a autenticao baseada no conhecimento dos
sem fio no protegida, obter acesso rede operacional, que pode incluir operaes clientes do Extended Service Set Identification (ESSID), que identifica cada ponto de
de vo, controle de bagagem ou reserva de passageiros [BRE 02-2]. A preocupao acesso (Access Point). Tambm conhecido simplesmente como SSID, o ESSID um
com os riscos de ataques terroristas que explorem essas redes de aeroportos fez com valor programado em cada ponto de acesso para identificar sua sub-rede. Esse valor
que o governo norte-americano colocasse em pauta oficial o assunto, inclusive com pode ser usado para a autenticao, de modo que, para as estaes que queiram
a criao do Critical Infrastructure Protection Board. O mesmo deve acontecer com acessar a rede e no sabem o SSID, no so concedidos os acessos [NIC 02]. Esse
as reas de transportes, energia, comunicao e gua [BRE 02-2]. mtodo, porm, pouco eficiente em termos de segurana, pois o SSID transmiti-
O WEP foi concebido com o objetivo de tornar a comunicao sem fio equivalen- do pelo prprio ponto de acesso em intervalos predefinidos de tempo, e pode ser
te comunicao realizada via redes com fio. Um dos principais problemas a serem facilmente capturado e utilizado para o acesso rede.
resolvidos em redes sem fio o ataque passivo, como a escuta clandestina. Em redes essa caracterstica que vem sendo alvo de muitos ataques divulgados na
WLAN, os sinais de rdio emitidos podem propagar-se alm da rea delimitada, imprensa. O Wardriving uma prtica na qual redes WLAN so identificadas
alm de passar por muros e outros obstculos fsicos, dependendo da tecnologia usando-se apenas um notebook, um amplificador de sinais (que pode ser uma
utilizada e da fora do sinal. Isso o torna diferente de uma rede com fio, onde o lata de Pringles), um software apropriado e um carro. O mapeamento feito
acesso ao cabo deve estar disponvel para que seja possvel a captura de sinais passeando-se de carro, enquanto o notebook captura informaes sobre as redes
eletromagnticos. Sem o acesso ao fio, as ondas emitidas so muito fracas, tornan- identificadas por ele. O mapeamento das redes identificadas, com a devida posi-
do invivel a captura produtiva. o GPS de cada rede, pode ser compartilhado via Internet, em sites como o da
Porm, o papel do WEP no cumprido com a necessria eficincia, de modo que Netstumbler [NET 03].
novos protocolos esto sendo discutidos e definidos, como os que fazem parte dos O Wardriving tem se expandido de tal forma que a prtica chegou aos cus.
padres 802.11i e 802.1X, que sero mostrados nas sees 5.5.7 e 5.5.8, respectiva- Apelidado de Warflying, um grupo usou um avio privado em San Diego em agosto
mente. de 2002 para mapear as WLANs da regio. Eles identificaram 437 pontos de acesso
A prxima sesso apresenta o mtodo de autenticao usado pelo 802.11, e o e detectaram que apenas 23% das redes possuam o WEP habilitado. Mais do que
WEP apresentado a seguir. A Seo 5.5.5 discutir os problemas de segurana isso, eles foram capazes de identificar o comportamento dos administradores de
existentes no WEP, enquanto as sees 5.5.7 e 5.5.8 apresentam as novas WLANs, que dificilmente modificam os SSIDs padres, como pode ser visto na
especificaes que esto sendo desenvolvidas. A Seo 5.5.6 apresentar as reco- Tabela 5.2 [BRE 02][DEL 02]. Sobrevoando a uma altura de 750 metros, eles foram
mendaes de segurana para a proteo de WLAN. capazes de detectar pontos de acesso a uma distncia entre cinco a oito vezes
maior que o especificado no padro, provavelmente devido ausncia de obstru-
5.5.3. Autenticao no 802.11 es [DEL 02]. interessante notar que em um Warflying no Vale do Silcio, onde
se podia supor que existisse maior conscientizao, os resultados foram somente
A autenticao essencial em uma WLAN, para que os participantes de uma
um pouco melhores: 33,7% dos 699 APs identificados no usavam nem ao menos
comunicao possam ser identificados e a comunicao entre os pontos de acesso e
o WEP. Porm, o uso de SSIDs padres foi bem menor, se comparado com San
os clientes seja somente entre participantes conhecidos. Porm, ser visto que exis-
Diego [DEL 02-2].
tem limitaes quanto a esses requisitos.
154 155
Tabela 5.2 SSIDs e fabricantes encontrados no Warflying em San Diego. Na autenticao com chave compartilhada, a chave compartilhada entre todas
SSIDs Fabricantes as estaes e pontos de acesso em uma WLAN. O mtodo de autenticao de
Linksys 189 Linksys 257 acordo com a Figura 5.23. Quando uma estao tenta se associar a um ponto de
Default 38 Agere 33
Wireless 14 Apple 33
acesso, ele responde com um texto aleatrio, que o desafio da autenticao. A
Carroll 4 Cisco 33 estao deve ento usar a chave compartilhada para cifrar o texto-desafio (usando
Tsunami 4 D-Link 28
o algoritmo criptogrfico RC4) e enviar o texto cifrado de volta ao ponto de acesso.
UCS001 3 Delta (Netgear) 18
WLAN 3 Acer 12 O ponto de acesso, ento, decifra a resposta usando a mesma chave compartilhada
Zoom033551 3 Zoom033551 3 e compara o resultado com o texto enviado anteriormente. Se o texto idntico, o
ponto de acesso envia uma mensagem de confirmao estao e passa a aceit-lo
O Warchalking uma outra prtica muito comum no mundo wireless, no qual as na rede [NIC 02].
redes sem fio so identificadas e marcadas com smbolos no cho ou em paredes.
Isso faz com que outros usurios no tenham o trabalho de procurar por acessos
livres, bastando identificar tais smbolos. Os smbolos, que podem ser vistos na
Figura 5.22, indicam se a rede est aberta, o SSID para o acesso, se usa o WEP, a
largura de banda utilizada e o contato para detalhes sobre acessos [WAR 03-3].
Figura 5.23 Autenticao baseada em chave compartilhada.
A falta de um mtodo de autenticao mtua, onde tanto os clientes quanto os

pontos de acessos so autenticados, faz com que ataques do tipo man-in-the-middle
se tornem fceis de ser implementados. Os problemas de segurana existentes sero
discutidos na Seo 5.5.5.
5.5.4. Wired Equivalent Privacy (WEP)

Figura 5.22 Smbolos utilizados no Warchalking. O WEP usa uma chave secreta que compartilhada entre a estao wireless e o
ponto de acesso. Todos os dados enviados e recebidos pela estao podem ser cifra-
Alm do ESSID, alguns fabricantes usam uma tabela de endereos MAC (Media dos com essa chave compartilhada. O padro 802.11 no especifica o modo como a
Access Control) na lista de controle de acesso (Access Control List, ACL) do ponto de chave estabelecida [NIC 02], pois normalmente os administradores devem confi-
acesso. Com essa ACL baseada em endereos MAC, apenas os endereos cadastrados gurar os clientes e o ponto de acesso com a chave escolhida. Isso representa um dos
podem acessar a rede, aumentando assim o nvel de segurana. Porm, existem riscos envolvidos com o uso do WEP, que ser discutido nas sees posteriores.
tcnicas para driblar esse controle de acesso. Os mtodos de ataque nesse caso O algoritmo criptogrfico usado pelo WEP o RC4, com chaves que variam entre
envolvem o ataque ao cache ARP (ARP Poisoning) e o MAC Address Spoofing, que so 40 e 128 bits [NIC 02]. O pacote gerado pelo protocolo, que pode ser visto na Figura
fceis de ser implementados [FLE 01][WRI 03]. 5.24, formado por quatro componentes:
156 157
* Vetor de inicializao (Initialization Vector, v). Algebricamente, a cifragem do WEP realizada da seguinte maneira:
* Byte de identificao da chave (Key ID Byte), para controle. C = P RC4(v, k)
* Algoritmo de integridade CRC-32 aplicado na payload.
Durante o processo de cifragem, o key stream resultante do RC4, que baseado
* Algoritmo criptogrfico RC4 aplicado na payload e no resultado do CRC-32.
no vetor de inicializao (v) e na chave secreta WEP (k), passa por um XOR ()
com o texto em claro original (P). O resultado o texto cifrado (C), que trans-
mitido juntamente com o prprio vetor de inicializao. O texto original (P) o
resultado da concatenao entre a mensagem e o resultado do algoritmo de
checksum (CRC-32).
Figura 5.24 Pacote padro IEEE 802.11. A decifragem da mensagem recebida pode ser vista na Figura 5.26. O receptor
usa o vetor de inicializao recebido para concaten-lo com a chave secreta compar-
possvel verificar na Figura 5.24 que o vetor de inicializao (v) transmitido tilhada. O resultado serve como entrada do RC4, no qual o resultado da operao
em claro juntamente com a payload protegido pelo RC4. Caso o pacote seja alterado passa por uma operao XOR com o texto cifrado, para gerar o texto original. A
durante a transmisso, o CRC-32 faz a verificao da integridade do pacote. Porm, checagem da integridade tambm realizada no texto decifrado, no qual o resulta-
o fato de o vetor ser transmitido em claro e ser curto, somado ao uso do algoritmo do da operao, o ICV, comparado com o ICV recebido e que estava concatenado
CRC-32, que no considerado um algoritmo criptogrfico, e forma como o RC4 com o texto original. Se o ICV e o ICV forem equivalentes, o texto pode ser conside-
usado pelo WEP constituem pontos de vulnerabilidades, que sero mostrados na rado ntegro [NIC 02].
Seo 5.5.5.
A construo do pacote feita de acordo com a Figura 5.25. A chave secreta (k)
concatenada a um vetor de inicializao (v) aleatrio, que adiciona 24 bits
chave resultante. O resultado fornecido ao RC4, que gera um key stream pseudo-
aleatrio. Para garantir a integridade da mensagem, um algoritmo de verificao
como o CRC-32 usado. Um valor de checagem de integridade (Integrity Check Value
ICV) gerado e concatenado com o texto em claro. O texto cifrado o resultado
de uma operao XOR do texto em claro concatenado com o ICV, com o key stream
produzido pelo RC4. A mensagem criada , assim, formada pelo vetor de inicializao Figura 5.26 Decifragem do WEP.
gerado mais o texto cifrado (texto original mais o ICV) [NIC 02].
Algebricamente, a decifragem do WEP realizada da seguinte maneira:
P = C RC4(v, k)
O key stream o resultado do RC4, que baseado no vetor de inicializao (v)

recebido na mensagem e na chave secreta WEP (k), comum ao cliente e ao ponto de
acesso. Ele passa por um XOR () com o texto cifrado que foi recebido (C), resultan-
do no texto original em claro (P).
5.5.5. Ataques ao WEP

Alguns tipos de ataques que podem tirar proveito das fraquezas do WEP so
Figura 5.25 Cifragem do WEP. [BOR 02][KAR 02]:
158 159
* Ataque passivo para decifrar o trfego, baseado em anlise estatstica. todos os vetores capturados e armazenando o key stream (RC4(v, k)) indexado com
* Ataque ativo para injeo de novo trfego a partir de uma estao no autori- seu respectivo v, pode-se chegar ao texto em claro de qualquer pacote, aplicando-se
zada, baseado em texto claro conhecido. O ataque feito inserindo uma nova o respectivo key stream referente a cada pacote com o seu correspondente vetor de
mensagem no lugar da mensagem original, alterando-se o resultado do CRC- inicializao. Na equao a seguir, pode-se verificar o ataque realizado:
32. C = P RC4(v, k)
* Ataque ativo para decifrar o trfego, baseado em ataque ao ponto de acesso.
O texto cifrado (C) e o key stream (RC4(v, k)) so conhecidos, bastando, assim,
* Ataque do dicionrio no trfego, que permite posterior decifragem automti-
uma operao de XOR para se chegar ao texto original (P).
ca de todo o trfego.
interessante notar que esse ataque no necessita nem resulta no conhecimen-
to da chave secreta WEP, pouco importando se a chave de 40 ou 128 bits. Porm,
Um problema que pode ser visto no WEP com relao ao vetor de inicializao
um ataque para a descoberta da chave WEP tambm conhecido. O ataque tira
[BOR 01][FLU 01][STU 01]. Alm de ser enviado em claro, juntamente com o pacote
proveito da fraqueza do algoritmo de escolha das chaves do RC4 (key scheduling
802.11, seu espao de 24 bits relativamente curto. Isso faz com que um mesmo
algorithm), que permite que algumas chaves (em grande nmero) possam ser des-
vetor seja reutilizado freqentemente (coliso de vetores), tornando os ataques
cobertas com base no conhecimento de alguns bits [FLU 01][STU 01].
para descoberta das mensagens mais fceis.
Com relao ao CRC-32, a integridade sugerida pelo seu uso no pode ser consi-
O uso de um mesmo vetor de inicializao torna mais fcil a descoberta da
derada suficientemente segura, pois relativamente fcil gerar checksums iguais,
mensagem original, como pode ser visto nas equaes algbricas a seguir [BOR
que fazem com que mensagens possam ser falsificadas ou modificadas [BOR 01]. De
01][WAL 00][CRA 02]:
fato, o CRC-32 no considerado um algoritmo criptogrfico, capaz de garantir a
C1 = P1 RC4(v, k)
integridade de mensagens sob o ponto de vista da segurana, mas sim sob o ponto
C2 = P2 RC4(v, k) de vista do rudo de comunicao [KAR 02].
Um resumo dos principais problemas de segurana do WEP pode ser visto a
C1 C2 = (P1 RC4(v, k)) (P2 RC4(v, k))
seguir:
C1 C2 = P1 P2
* Uso de chaves WEP estticas: a falta de um mecanismo de gerenciamento de
possvel verificar que, quando dois key streams (RC4(v,k)) iguais so usados, o
chaves faz com que muitos usurios utilizem a mesma chave WEP durante um
que resultado da coliso de v, o key stream cancelado, restando um texto cifrado
perodo de tempo relativamente longo.
resultante de XOR de dois textos cifrados (C1 e C2) e um texto em claro resultante
* O vetor de inicializao do WEP, de 24 bits, curto: descobrir o key stream
de XOR de dois textos em claro (P1 e P2). Com isso, aplicando-se ataques criptogrficos
fcil, principalmente em redes com trfego alto, pois pode existir a repetio
com texto em claro conhecido (known plaintext attack) ou com texto cifrado esco-
constante de key streams (coliso de vetores de inicializao).
lhido (chosen ciphertext attack), pode-se chegar ao texto original em claro. E, com
* O vetor de inicializao faz parte da chave de criptografia do RC4: ataques
o texto em claro original, pode-se chegar ao key stream.
analticos podem recuperar a chave.
A coliso do vetor de inicializao mais grave devido ao paradoxo do anivers-
* No existe proteo de integridade: o Cyclic Redundancy Check (CRC) no
rio (Birthday Paradox). O paradoxo do aniversrio diz que a chance de duas pessoas
considerado um algoritmo criptogrfico e, combinado com um algoritmo de stream
de um grupo de 23 pessoas terem a mesma data de aniversrio de 50%. Aplicado
cipher como o RC4, novas vulnerabilidades so introduzidas. Por exemplo, fcil
ao caso do WEP, o paradoxo faz com que a chance da existncia de colises seja
pegar um texto conhecido, intencional do atacante, e gerar um CRC vlido,
maior que o lgico. Alm disso, existe o fato de os vetores voltarem aos seus valores
independentemente do conhecimento da chave WEP. Esse texto ser aceito pelo
iniciais quando uma placa reinicializada, o que aumenta as possibilidades de
ponto de acesso e retransmitido para a estao vtima; contudo a mensagem
colises [CRA 02].
recebida pela estao vtima no tem nenhuma semelhana com o texto
Com isso, a captura dos vetores de inicializao que trafegam em claro pelo ar
construdo pelo atacante, o qual ele deseja que seja recebido pela estao vti-
pode tornar possvel um ataque em tempo real. Aplicando-se esse mtodo para
160 161
ma, pois resultado de uma decifragem com chave desconhecida pelo atacante. * Habilitar o WEP.
O texto resultante recebido pela estao ser tipicamente lixo, sendo pratica- * Mudar a chave WEP freqentemente.
mente impossvel ao atacante realizar um ataque aplicao, exceto negao de * Alterar o SSID padro para outro que no identifique facilmente a organizao.
servio (DoS), por exerccio de seqncias de dados invlidos. * Usar chave dinmica de sesso, caso exista no produto.
* Usar autenticao baseada em chave compartilhada ao invs da autenticao
5.5.6. Recomendaes de segurana para uso do aberta (open system).
* Considerar o uso do padro IEEE 802.1X (prxima seo).
padro 802.11 * Usar a filtragem baseada em endereos MAC, se existente.
Como foi discutido nas sees anteriores, o uso de WLAN requer uma srie de * Usar uma soluo de rede privada virtual (Virtual Private Network VPN).
medidas de segurana para que os riscos existentes sejam minimizados. Alguns dos * Manter o inventrio de todos os equipamentos sem fio.
problemas existentes foram vistos na seo anterior, como o uso de chaves estti- * Prevenir acessos no autorizados ao ponto de acesso (Access Point, AP).
cas, o tamanho curto do vetor de inicializao e da chave de criptografia, a interao * Reforar a poltica de segurana para os clientes, principalmente com relao
entre o RC4 e o vetor de inicializao e a falta de uma proteo mais eficiente da ao uso de antivrus e firewall pessoal.
integridade dos pacotes. Alm desses problemas, outros pontos fazem com que as * Tratar a rede sem fio como sendo uma rede no confivel, considerando assim
redes sem fio sirvam de ponto de ataque para a rede interna, o que permite que, a segmentao de rede e proteo com firewall e sistema de deteco de intruso
quem tenha acesso WLAN, tenha acesso tambm rede interna da organizao: (Intrusion Detection System IDS), por exemplo.
* Realizar anlises de segurana e auditorias freqentes na rede sem fio.
* Funes de segurana dos equipamentos internos desabilitados como padro.
* Chave de criptografia compartilhada: os riscos aumentam exponencialmente
quando diferentes usurios compartilham uma mesma chave.
5.5.7. Wi-Fi Protected Access (WPA) e padro IEEE
* Chaves de criptografia no so atualizadas com freqncia e de modo autom- 802.11i
tico: as possibilidades de perda com ataques de fora bruta no so minimizadas. Como foi visto na seo anterior, o WEP possui falhas de projetos que envolvem
* No existe autenticao do usurio: somente os dispositivos so autenticados, o uso de chaves estticas, a falta de autenticao mtua e o uso de criptografia
o que faz com que, caso roubado, ele possa acessar a rede. fraca, entre outros. Diversos esforos esto sendo desenvolvidos para suprir as ne-
* Uso somente de identificao baseada em SSID, com a autenticao desabilitada: cessidades remanescentes, como a especificao de novos padres de segurana,
o acesso indevido rede torna-se mais provvel, pois SSIDs so fceis de como o Wi-Fi Protected Access (WPA), o IEEE 802.11i, tambm conhecido como Task
capturar e usar. Group I (TGi), e o 802.1X.
* Autenticao do dispositivo um desafio-resposta com chave compartilhada: O subgrupo IEEE 802.11i ou TGi tem como objetivo eliminar dois dos principais
em via nica (somente o dispositivo autenticado), sujeito a ataques de problemas do WEP, que so o uso de chave esttica e a criptografia fraca [NET 03-2].
man-in-the-middle, o que pode ser evitado com autenticao mtua. O TGi desenvolve melhoramentos no Media Access Control Layer do 802.11 para ser
* O cliente no autentica o ponto de acesso: o cliente pode ser autenticado em incorporado aos mecanismos especificados no padro IEEE 802.1X (Seo 5.5.8). O
um ponto de acesso falso. IEEE 802.11i tem previso de chegar ao mercado somente em 2004.
Alm do padro 802.11i, a Wi-Fi Alliance est especificando, em conjunto com o
Assim, a segurana em redes sem fio deve ser planejada de uma forma estratgi- IEEE, o Wi-Fi Protected Access (WPA), que ir certificar produtos a partir de 2003
ca, em que a abordagem em camadas pode ser a mais apropriada aumentar nveis [MOL 02][WIFI 02]. O WPA derivado e ser direcionado para o mesmo caminho do
de segurana aplicando medidas de segurana em cada camada. Algumas medidas padro 802.11i, tratando de problemas existentes no WEP, como a proteo de
essenciais para no abrir novas portas de ataques e colocar os negcios em risco so dados e o controle de acesso [WIFI 02]. O WPA tem previso de chegar ao mercado
citadas a seguir: no primeiro semestre de 2003 [WIFI 02].
162 163
A melhoria da criptografia de dados, que fraca no WEP, feita no WPA pelo Alguns mtodos EAP conhecidos so [DIS 02]:
Temporal Key Integrity Protocol (TKIP). O TKIP usa um conjunto de tcnicas para
incrementar a segurana [WIFI 02]: * EAP-MD5: usa o algoritmo de hash MD5 sobre o nome de usurio e a senha
para passar as credenciais para o servidor RADIUS. O EAP-MD5 no oferece
* Funo de mistura de chave por pacote. gerenciamento de chaves ou gerao dinmica de chaves, sendo necessrio o
* Checagem de integridade das mensagens Message Integrity Code (MIC), cha- uso de chaves WEP estticas. O uso de MD5 previne que usurios no autoriza-
mado Michael. dos acessem as redes sem fio diretamente, porm no protegem a chave WEP,
* Nova funo de derivao de chave para cada pacote, com um vetor de que ainda pode ser descoberta. O EAP-MD5 no prev a autenticao mtua,
inicializao maior, de 48 bits. deixando a autenticao do ponto de acesso de lado, o que possibilita a inser-
* Vetor de inicializao estendido com regras de seqncia. o de pontos de acesso no autorizados na rede.
* Seqenciao de vetores de inicializao, com maior nmero de vetores. * Lighweight Extensible Authentication Protocol (LEAP): esse padro desenvol-
* Mecanismo de renovao de chaves. vido pela Cisco, em conjunto com o padro 802.1X e, assim como o EAP-MD5,
permite o uso de usurio e senha para a autenticao no servidor RADIUS. O
J o mecanismo de autenticao dos usurios, inexistente no WEP, feito no LEAP implementa a gerao dinmica de chaves WEP para cada sesso, sendo
WPA pelo 802.1X e pelo Extensible Authentication Protocol (EAP), que formam o possvel sua renovao de acordo com um intervalo de tempo. Isso faz com
framework de autenticao do WPA. Um servidor central de autenticao, como o que ataques conhecidos contra o WEP no sejam efetivos quando o LEAP
RADIUS, usado e a autenticao mtua dos usurios e dos pontos de acesso usado. O LEAP especifica ainda a autenticao mtua, tanto do dispositivo
pode ser realizada [WIFI 02]. sem fio quanto do ponto de acesso. O risco existente no LEAP est no mecanis-
interessante notar que o WPA um subconjunto de funcionalidades do 802.11i mo de passagem de credenciais usado, que baseado no MS-CHAPv1, o qual
que j est no mercado, como o 802.1X e o TKIP. Outras funcionalidades do 802.11i, possui vulnerabilidades conhecidas.
como o hand-off seguro, re-autenticao, dissociao e algoritmos criptogrficos * EAP Transport Layer Security (EAP-TLS): desenvolvido pela Microsoft, o EAP-
fortes como o Advanced Encryption Standard (AES), ainda no fazem parte do WPA, TLS usa certificados digitais X.509 para a autenticao. O Transport Layer
pois ainda esto em fase de especificao [WIFI 02]. Security (TLS) usado para transmitir as informaes de autenticao, e exis-
te a gerao dinmica de chaves WEP e a autenticao mtua. Como certifica-
5.5.8. Padro IEEE 802.1X dos digitais so usados, uma infra-estrutura de chaves pblicas, com autori-
dade certificadora, e um servio de diretrio so necessrios.
O IEEE 802.1X um padro que define um framework para autenticao baseada
* EAP Tunneled TLS (EAP-TTLS): o ponto de acesso identifica-se usando certifi-
em portas e distribuio de chaves para LANs sem fio e com fio [NET 03-2]. O padro
cados digitais; porm, os usurios usam senhas para a autenticao.
802.1X forma uma pea chave da especificao IEEE 802.11i (Seo 5.5.7) e procura
* Protected EAP (PEAP): est sendo desenvolvido pela Microsoft e Cisco, e funci-
melhorar a segurana com o uso do Temporal Key Integrity Protocol (TKIP).
ona de maneira similar ao EAP-TTLS [DIS 02].
A autenticao baseada em portas de rede do padro 802.11 referente asso-
ciao entre uma estao e uma AP [MIS 02]. O padro 802.1X prov um framework
A arquitetura segura para o padro 802.11, o Robust Security Network (RSN), usa
de arquitetura onde diferentes mtodos de autenticao podem ser usados em dife-
o padro 802.1X como base para o controle de acesso, autenticao e gerenciamento
rentes redes, via uso do Extensible Authentication Protocol (EAP) [MIS 02].
de chaves. Apesar de melhorar o nvel de segurana, se comparada com a soluo
O EAP possui alguns mtodos, como o Lighweight Extensible Authentication Protocol
adotada no padro 802.11b, alguns problemas ainda persistem, como a possibilida-
(LEAP) ou o EAP Transport Layer Security (EAP-TLS), que incluem a gerao dinmi-
de de seqestro de conexes e ataques man-in-the-middle, devido ao mtodo-pa-
ca de chaves e a autenticao mtua entre clientes e pontos de acesso, na qual at
dro no permitir a autenticao mtua. Porm, o problema pode ser solucionado
mesmo certificados digitais podem ser usados [NET 03-2][WIFI 02].
164 165
com o uso de mtodos de autenticao como EAP-TLS, Internet Key Exchange (IKE)
ou Kerberos, que possibilitam a autenticao mtua [MIS 02].
Os problemas aparecem devido falta de autenticidade das mensagens, e tam-
bm da falta de sincronizao da mquina de estados [MIS 02].
A mquina de estados clssica do padro 802.11 pode ser vista na Figura 5.27,
onde os dispositivos passam de um estado para outro de acordo com a autenticao
e sua associao com a rede WLAN [MIS 02].
Figura 5.28 Mquina de estados do Robust Security Network (RSN).
Apesar de melhorar o nvel de segurana das redes sem fio, se comparada com a
especificao WEP, o padro 802.1X ainda admite a possibilidade de seqestro de
conexes. Os passos do ataque podem ser vistos na Figura 5.29, e so [MIS 02]:
* Mensagens 1, 2 e 3: o dispositivo autentica-se no ponto de acesso normalmen-

te. No exemplo, algumas mensagens referentes autenticao foram omitidas
para melhor compreenso.
* Mensagem 4: o atacante envia uma mensagem de dissociao ao dispositivo,
usando o endereo MAC do ponto de acesso, fazendo com que o estado do
Figura 5.27 Mquina de estados clssica do padro 802.11.
dispositivo mude para no associado, enquanto que no ponto de acesso o
A Figura 5.28 mostra a mquina de estados do RSN, que define um estado a mais estado permanece como associado.
que o padro clssico do 802.11, que representa o estado de associao rede * Mensagem 5: o atacante acessa a rede usando o endereo MAC do dispositivo
robusta segura. desassociado. Isso possvel porque no ponto de acesso esse endereo conti-
nua como associado.
166 167
Algumas recomendaes com relao a redes sem fio:
* Considerar a segurana como um processo contnuo.

* Entender os riscos envolvidos antes de comear o uso de sistemas sem fio.
* Entender as implicaes tcnicas e de segurana.
* Planejar cuidadosamente o uso de novas tecnologias.
* Prticas e controles de gerenciamento de segurana bem estabelecidos.
* Usar controles fsicos.
* Habilitar, usar e testar as funes de segurana.
Assim, a poltica de uso de WLAN importante e deve considerar pontos como

Figura 5.29 Seqestro de conexo em uma rede padro IEEE 802.1X. [KAR 02]:
* Identificar quem pode usar WLAN na organizao.

5.5.9. Recomendaes para a proteo de WLANs
* Identificar se o acesso Internet necessrio.
Foi visto nas sees anteriores que redes sem fio trazem, ao mesmo tempo, * Descrever quem pode instalar pontos de acesso e outros equipamentos sem fio.
evoluo, facilidade de uso, mobilidade e tambm novos riscos associados ao meio * Prover limitao no local e segurana fsica para pontos de acesso.
fsico e aos novos protocolos. De fato, protocolos como o WEP e especificaes como * Descrever o tipo de informao que pode ser enviado via rede sem fio.
o IEEE 802.11i e IEEE 802.1X foram desenvolvidos para que os riscos inerentes a * Descrever condies na qual dispositivos sem fio so permitidos.
uma comunicao sem fio fossem minimizados. Porm, foi visto que muitos proble- * Descrever a configurao-padro de segurana para pontos de acesso.
mas ainda persistem, de modo que somente o uso da tecnologia no suficiente * Descrever limitaes de como os dispositivos sem fio podem ser usados, como
para uma proteo adequada. a sua localizao, por exemplo.
As redes sem fio, bem como as outras redes, ilustram bem a necessidade de uma * Descrever as configuraes de hardware e software dos dispositivos sem fio.
estratgia de segurana bem definida, na qual devem ser considerados os aspectos * Manter o inventrio de todos os pontos de acesso e dispositivos sem fio.
humanos e processuais do ambiente, alm dos aspectos tecnolgicos. Isso faz com * Desligar o ponto de acesso quando ele no estiver em uso, como em finais de
que no s os protocolos e padres de segurana sejam usados corretamente, mas semana.
tambm os usurios, administradores e executivos saibam dos riscos existentes, e * Prover guias de como proceder em caso de perdas de dispositivos sem fio e
tentem com isso minimizar as perdas potenciais. incidentes de segurana.
O primeiro passo para o uso de redes sem fio nas organizaes deve ser o estabe- * Prover guias para proteo dos clientes sem fio para minimizar roubos.
lecimento de uma poltica de uso. Sem essa poltica, a instalao e o uso * Prover guias para uso de criptografia.
indiscriminado de pontos de acesso dentro da organizao representam um grande * Treinamentos e programas de conscientizao para reforar a importncia da
e inadmissvel risco, que pode tornar a existncia de outros aparatos de segurana, segurana.
como firewalls e sistemas de deteco de intruses, totalmente inteis. * Definir a freqncia e o escopo de avaliaes de segurana, como a descoberta
De fato, uma nova porta de entrada se abre com a expanso do permetro da de novos pontos de acesso.
rede, que pode ser usada para acessos indevidos. A agravante que essa porta
muito maior se comparada com uma rede com fio, pois a limitao fsica torna-se A localizao do ponto de acesso importante, e deve ser bem avaliada para
menor para a execuo de ataques. minimizar o Wardriving. O controle de acesso fsico ao ponto de acesso tambm deve
ser considerado, como o uso de cmeras de vdeo e biometria.
168 169
A configurao do ponto de acesso deve ser feita com todo o cuidado possvel, * Mudar a chave criptogrfica padro: a chave compartilhada de autenticao-
levando-se em considerao os seguintes pontos [KAR 02]: padro do fabricante conhecida e pode ser usada para o acesso indevido sua
rede; portanto, deve ser modificada. A poltica de segurana da organizao
* Mudar a senha-padro de administrador do equipamento: seguir a poltica de deve levar em considerao essa mudana, e tambm a mudana da chave com-
senhas da organizao essencial, para evitar que senhas-padres conheci- partilhada de tempos em tempos, principalmente quando algum funcionrio
das, como xxxx, sejam usadas para ataques. A senha em branco tambm deixa a organizao. Esse um problema do uso de chaves compartilhadas.
deve ser evitada a qualquer custo. * Usar o SNMP corretamente: o uso do SNMP para o gerenciamento dos disposi-
* Usar configurao de criptografia apropriada: os equipamentos podem ser con- tivos deve levar em considerao o uso de verso mais segura do protocolo
figurados para no usar nenhuma criptografia, ou o RC4 com chaves de 40 bits (SNMPv3), a mudana das strings de comunidade do SNMP e tambm os privi-
ou 104 bits. Alguns equipamentos suportam 128 bits, porm no so compa- lgios de acesso.
tveis com produtos que usam 104 bits. importante lembrar que existem * Mudar o canal padro: a mudana faz com que interferncias de rdio sejam
ataques contra o WEP que independem do tamanho da chave utilizada. minimizadas e, conseqentemente, as chances de negao de servio.
* Controlar a funo de reset: o reset de um ponto de acesso faz com que a * Usar o DHCP: o Dynamic Host Control Protocol (DHCP) atribui endereos IP
configurao padro do fabricante volte, anulando as configuraes do admi- dinamicamente aos dispositivos que se comunicam com APs. Os riscos exis-
nistrador. Com isso, senhas em branco para administrao e a falta de uso de tentes de acesso indevido podem ser minimizados usando-se endereos IP
criptografia, passam a representar grandes riscos. Negao de servio tambm fixos, conhecidos por usurios autnticos. A carga administrativa pode ser
pode acontecer, pois toda a configurao perdida nessa situao. Alm do grande, como a que existe no uso de ACL de endereos MAC.
controle fsico, o uso de criptografia para a administrao do ponto de acesso
e o uso de senha forte evitam o uso do reset pela interface de gerenciamento. A poltica de segurana deve tambm contemplar especificamente no somente
* Uso de controle de acesso via MAC: o uso de Access Control List (ACL) baseada as redes sem fio, mas outras tecnologias, antes da sua implantao e tambm para
no endereo MAC incrementa o nvel de segurana, ao permitir que somente sua manuteno. Apesar de serem obrigao dos administradores de rede, os se-
os equipamentos com a placa cadastrada possam acessar a WLAN. Porm, guintes pontos so importantes para a manuteno do ambiente sem fio e a organi-
preciso saber que com um simples ataque de ARP Spoofing possvel driblar zao como um todo [KAR 02]:
essa lista de acesso, alterando o endereo da placa por um que est cadastrado
na AP. Alm disso, em redes grandes, a administrao dessa funcionalidade * Manuteno do entendimento da topologia da rede sem fio.
pode tornar-se extremamente dispendiosa. * Manuteno do inventrio dos dispositivos sem fio.
* Alterao do SSID: alterar o SSID padro faz com que tentativas menos sofis- * Uso de backups freqentes.
ticadas no tenham sucesso em acessar sua rede. Apesar disso, possvel * Execuo de testes peridicos de segurana e avaliao da rede sem fio.
capturar o SSID normalmente, via Beacon Frames ou broadcast do SSID; * Auditoria de segurana freqente para monitorar e identificar dispositivos
* Aumentar o intervalo dos Beacon Frames: os Beacon Frames so usados para sem fio.
anunciar a existncia de uma rede wireless. Aumentar o intervalo faz com que * Acompanhar patches de segurana dos equipamentos do inventrio.
o SSID seja transmitido com menos freqncia, diminuindo as chances de ele * Acompanhar mudanas de padres e caractersticas novas de segurana em
ser capturado. Os Beacon Frames fazem com que os clientes localizem um novos produtos.
ponto de acesso e iniciem a negociao de parmetros para o acesso. Alguns * Monitorar a tecnologia com relao a novas ameaas e vulnerabilidades.
equipamentos, como o da Lucent, permitem que os Beacon Frames sejam
desabilitados.
* Desabilitar o broadcast do SSID: uma requisio para o broadcast do SSID pode 5.6. CONCLUSO
ser feita enviando-se AP um SSID de zero byte, que o broadcast SSID. Essa As redes sem fio representam uma nova forma de acesso aos usurios e trazem
caracterstica deve ser desabilitada. grandes benefcios. Porm, elas trazem consigo alguns riscos inerentes s novas
170
tecnologias, que podem tornar o seu uso limitado a algumas situaes que no
envolvam informaes crticas. Dessa forma, a segurana em redes sem fio deve
tratar de aspectos particulares existentes no modo de transmisso, estabelecimento
de conexo no nvel de enlace e dos dispositivos. Para camadas superiores, como
nas aplicaes e na camada de rede, que normalmente o IP, solues existentes
para a rede tradicional com fio podem ser usadas para reforar a proteo. A diver-
sidade do conjunto de mecanismos de defesa refora a necessidade de uma estrat-
gia de proteo adequada, em que diferentes tcnicas em diferentes nveis devem
ser usadas para que os riscos sejam minimizados.
Uma srie de questes ainda precisa ser desenvolvida, principalmente com rela-
o mobilidade, que envolve segurana em diferentes aspectos, introduzindo no-
vos riscos aos usurios e, conseqentemente, s organizaes.
Parte II
Tcnicas e tecnologias disponveis para defesa
Nos prximos captulos, o leitor encontrar informaes sobre os recursos dispo-

nveis para a defesa da organizao, dentro do mundo virtual em que est inserida,
atravs da Internet.
Tudo comea com a definio de uma poltica de segurana, documento que
nortear todas as aes relacionadas segurana. Sua concepo necessariamente
realizada em uma abordagem a partir do topo, com o assunto sendo detalhado
progressivamente. Tal processo, eventualmente, nos leva ao momento de especificar
desde o tipo de trfego de dados permitido atravs do firewall da organizao at os
procedimentos de emergncia a serem tomados em caso de um incidente de segu-
rana.
Firewalls so a primeira linha de defesa, delimitando a organizao virtual e
impedindo uma exposio direta aos ataques de origem externa. A tecnologia de
firewalls evoluiu e hoje h diversas funcionalidades sob a alada dos mesmos, tais
como filtragem, proxying, NAT e at VPN, que sero vistas posteriormente. Firewalls
no podem impedir todos os tipos de ataque, especialmente contra mquinas na
rede de permetro (DMZ). O monitoramento necessrio para detectar eventuais
sobreposies das barreiras, o que pode ser automatizado por meio dos sistemas de
deteco de intruses (IDSs).
A criptografia, em suas diversas facetas, tem muito a contribuir para a seguran-
a de redes, auxiliando at mesmo os sistemas de autenticao. Neste sentido,
sero apresentados algoritmos bsicos, alguns ataques aos mesmos e comparaes
de grau de segurana provido. Uma infra-estrutura de chaves pblicas permite re-
solver uma srie de problemas de autenticao e, portanto, o conhecimento de seu
funcionamento importante para a obteno de sistemas mais seguros. A criptografia
172
tambm fundamental para a montagem de VPNs, cada vez mais usadas nos ambi-
entes de rede modernos.
Esse conjunto de ferramentas, se bem empregado, pode contribuir para a obten-
o de ambientes cooperativos seguros.
Poltica de segurana
Este captulo tem como objetivo demonstrar a importncia da

poltica de segurana, discutindo pontos como seu planejamento,
seus elementos, as questes a serem tratadas e os maiores obstcu-
los a serem vencidos, principalmente em sua implementao. Al-
guns aspectos especficos que devem ser considerados pela poltica
tambm so exemplificados, como a poltica de senhas, o firewall e
o acesso remoto, chegando at discusso da poltica de segurana
em ambientes cooperativos, os quais tm suas particularidades.
6.1 A IMPORTNCIA
A poltica de segurana a base para todas as questes relacio-
C nadas proteo da informao, desempenhando um papel impor-
tante em todas as organizaes. A necessidade de estabelecer uma
a
poltica de segurana um fato realado unanimemente em reco-
p mendaes provenientes tanto do meio militar (como o Orange Book
do Departamento de Defesa dos Estados Unidos) como do meio tc-
t nico (como o Site Security Handbook [Request for Comments RFC]
2196 do Institute Engineering Task Force, IETF) e, mais recentemen-
u te, do meio empresarial (norma International Standardization
l Organization/International Electricaltechnical Commission (ISO/IEC)
o 17799).
Seu desenvolvimento o primeiro e o principal passo da estra-
6 tgia de segurana das organizaes. por meio dessa poltica que
SEGURANA DE REDES EM AMBIENTES COOPERATIVOS Captulo 6: Poltica de segurana
174 175
todos os aspectos envolvidos na proteo dos recursos existentes so definidos e, O apoio dos executivos importante para que isso acontea, o que faz com que
portanto, grande parte do trabalho dedicado sua elaborao e ao seu planeja- os recursos financeiros para as solues necessrias sejam garantidos. Quando uma
mento. No entanto, veremos que as maiores dificuldades esto mais na sua poltica de segurana planejada e definida, os executivos demonstram claramente
implementao do que em seu planejamento e elaborao. o seu comprometimento e apoio segurana da informao de toda a organizao.
A poltica de segurana importante para evitar problemas, como os que foram Um ponto importante para que a poltica tenha o seu devido peso dentro da orga-
enfrentados pela Omega Engineering Corp. A organizao demitiu Timothy A. Lloyd, nizao que ela seja aprovada pelos executivos, publicada e comunicada para
responsvel pela segurana de sua rede e funcionrio da companhia durante 11 todos os funcionrios, de forma relevante e acessvel.
anos. Essa demisso causou srias e caras conseqncias para a Omega. A falta de O planejamento da poltica de segurana deve ser feito tendo como diretriz o
uma poltica de segurana quanto ao acesso de funcionrios demitidos fez com que carter geral e abrangente de todos os pontos, incluindo as regras que devem ser
Lloyd implantasse uma bomba lgica na rede, que explodiu trs semanas aps ele obedecidas por todos. Essas regras devem especificar quem pode acessar quais re-
ter deixado a organizao. Os prejuzos decorrentes dessa ao foram calculados em cursos, quais so os tipos de usos permitidos no sistema, bem como os procedimen-
dez milhes de dlares [ULS 98]. tos e controles necessrios para proteger as informaes.
Assim, a poltica de segurana trata dos aspectos humanos, culturais e Uma viso geral do planejamento pode ser observada na Figura 6.1, na qual a
tecnolgicos de uma organizao, levando tambm em considerao os processos e pirmide mostra que a poltica fica no topo, acima das normas e procedimentos. A
os negcios, alm da legislao local. com base nessa poltica de segurana que as poltica o elemento que orienta as aes e as implementaes futuras, de uma
diversas normas e os vrios procedimentos devem ser criados. maneira global, enquanto as normas abordam os detalhes, como os passos da
Alm de seu papel primordial nas questes relacionadas com a segurana, a implementao, os conceitos e os projetos de sistemas e controles. Os procedimen-
poltica de segurana, uma vez fazendo parte da cultura da empresa, tem uma tos so utilizados para que os usurios possam cumprir aquilo que foi definido na
importante funo como facilitadora e simplificadora do gerenciamento de todos os poltica e os administradores de sistemas possam configurar os sistemas de acordo
seus recursos. De fato, o gerenciamento de segurana a arte de criar e administrar com a necessidade da organizao.
a poltica de segurana, pois no possvel gerenciar o que no pode ser definido.
6.2 O PLANEJAMENTO
O incio do planejamento da poltica de segurana exige uma viso abrangente,
de modo que os riscos sejam entendidos para que possam ser enfrentados. Normal-
mente, a abordagem com relao segurana reativa, o que pode, invariavelmen-
te, trazer futuros problemas para a organizao. A abordagem pr-ativa , portanto,
essencial e depende de uma poltica de segurana bem definida, na qual a definio
das responsabilidades individuais deve estar bem clara, de modo a facilitar o
gerenciamento da segurana em toda a organizao.
Ter uma poltica pr-ativa tambm fundamental, pois, sem essa abordagem, a
questo da segurana das informaes no se, mas sim quando o sistema ser
atacado por um hacker. De fato, de acordo com uma pesquisa da Computer Security
Institute, 12% das organizaes no sabem ao menos se sua organizao j sofreu
um incidente de segurana na pesquisa de 2002, pois em 2001 foram apontados Figura 6.1 O planejamento da poltica de segurana.
11% [CSI 01]. No Brasil, a porcentagem cresce para 32%, bem maior do que aconte-
ce nos Estados Unidos [MOD 02].
176 177
As trs partes da pirmide podem ser desenvolvidas com base em padres que 6.3 OS ELEMENTOS
servem de referncia para a implantao das melhores prticas, como os padres
Os elementos que uma poltica de segurana adequada deve possuir dizem res-
British Standard (BS) 7799 e ISO 17799. O BS 7799 um padro internacionalmente
peito a tudo aquilo que essencial para o combate s adversidades. O que deve ser
reconhecido para a implementao de controles de segurana e foi publicado pela
mantido no apenas a proteo contra os ataques de hackers, mas tambm a
British Standard, pela primeira vez, em 1995. Ele foi atualizado em 1999, com o
disponibilidade da infra-estrutura da organizao. Esses elementos essenciais para
objetivo de incorporar prticas de segurana em comrcio eletrnico. A poltica de
a definio da poltica de segurana e para sua implantao so [HUR 99]:
segurana pode ser definida com base nessa referncia, levando-se em considerao
os pontos especficos relevantes para o contexto e a realidade de cada organizao.
* Vigilncia: significa que todos os membros da organizao devem entender a
O padro da British Standard foi desenvolvido por um comit composto por
importncia da segurana para a mesma, fazendo com que atuem como
rgos governamentais e empresas privadas, como HSBC, Lloyds, KPMG, Shell e
guardies da rede, evitando-se, assim, abusos sistmicos e acidentais. Quanto
Unilever, e dividido em duas partes:
ao aspecto tcnico, a vigilncia significa um processo regular e consistente,
que inclui o monitoramento dos sistemas e da rede. Alguns desses aspectos
* BS 7799 Parte 1, de 1995: conjunto de prticas para o gerenciamento da segu-
so a definio de como responder a alarmes e alertas, como e quando checar
rana da informao.
a implementao e as mudanas nos dispositivos de segurana e como ser
* BS 7799 Parte 2, de 1998: especificao para sistemas de gesto de segurana
vigilante com relao s senhas dos usurios (Seo 6.8).
da informao.
* Atitude: significa a postura e a conduta quanto segurana. Sem a atitude
necessria, a segurana proposta no ter nenhum valor. Como a atitude no
O ISO/IEC 17799 uma verso internacional do BS 7799, adotada pela
apenas reflexo da capacidade, e sim um reflexo inspirado pelo treinamento e
International Standardization Organization (ISO) e pelo International
pelas habilidades, essencial que a poltica definida seja de fcil acesso e que
Electricaltechnical Commission (IEC), resultante de diversas sugestes e alteraes,
seu contedo seja de conhecimento de todos os funcionrios da organizao.
e existe desde 10 de dezembro de 2000. No Brasil, a Associao Brasileira de Normas
Alm disso, tambm crucial que esses usurios tenham compreenso e cum-
Tcnicas (ABNT) traduziu a norma da ISO e conferiu-lhe a denominao de NBR
plicidade quanto poltica definida, o que pode ser conseguido por meio da
ISO/IEC 17799, em 2001.
educao, da conscientizao e do treinamento. Atitude significa tambm o
Assim, a poltica de segurana pode ser definida com base em padres de refe-
correto planejamento, pois a segurana deve fazer parte de um longo e gradu-
rncia, como o NBR ISO/IEC 17799. Assim como as certificaes em qualidade, como
al processo dentro da organizao.
o ISO 9000, certificaes em segurana da informao, como o ISO/IEC 17799,
* Estratgia: diz respeito a ser criativo quanto s definies da poltica e do
possuiro um valor cada vez mais crescente como diferenciais competitivos na Era
plano de defesa contra intruses, alm de possuir a habilidade de ser adaptativo
da Informao. Isso demonstra a importncia da poltica de segurana, que no
a mudanas no ambiente, to comuns no meio cooperativo. A estratgia leva
Brasil realidade em 39% das organizaes. Segundo a pesquisa, 16% das organiza-
tambm em considerao a produtividade dos usurios, de forma que as medi-
es possuem uma poltica desatualizada, 30% possuem uma poltica em desenvol-
das de segurana a serem adotadas no influenciem negativamente no anda-
vimento e 15% no possuem uma poltica formalizada [MOD 02].
mento dos negcios da organizao.
A poltica de segurana pode tambm ser dividida em vrios nveis, partindo de
* Tecnologia: a soluo tecnolgica deve ser adaptativa e flexvel, a fim de
um nvel mais genrico (para que os executivos possam entender o que est sendo
suprir as necessidades estratgicas da organizao, pois qualquer tecnologia
definido), passando pelo nvel dos usurios (para que eles tenham conscincia de
um pouco inferior resulta em um falso e perigoso senso de segurana, colo-
seus papis para a manuteno da segurana na organizao) chegando ao nvel
cando em risco toda a organizao. Portanto, a soluo ideal que uma organi-
tcnico (que se refere aos procedimentos especficos, como a definio e a
zao pode adotar no um produto, e sim uma poltica de segurana dinmi-
implementao das regras de filtragem do firewall).
ca, segundo a qual mltiplas tecnologias e prticas de segurana so adotadas.
178 179
Esse o ponto que leva ao conceito de firewall cooperativo, que ser visto no no sofra alteraes freqentes. Alm disso, ela pode ser abrangente o bastante
Captulo 13. para abarcar possveis excees.
* Assim, vigilncia, atitude, estratgia e tecnologia (Figura 6.2) podem ser con- Uma caracterstica importante de uma poltica que ela deve ser curta o sufici-
siderados os fatores de sucesso da poltica de segurana. ente para que seja lida e conhecida por todos os funcionrios da empresa. A essa
poltica de alto nvel devem ser acrescentados polticas, normas e procedimentos
especficos para setores e reas particulares, como por exemplo, para a rea de
informtica.
A Seo 6.12 apresenta um exemplo de uma estrutura de poltica de segurana.
6.4 CONSIDERAES SOBRE A SEGURANA

Figura 6.2 Fatores de sucesso da poltica de segurana. Antes de desenvolver a poltica de segurana, necessrio que os responsveis
pela sua criao tenham o conhecimento dos diversos aspectos de segurana (Figu-
Levando-se isso em considerao e segundo a norma ISO/IEC 17799, a poltica ra 6.3), alm da familiarizao com as questes culturais, sociais e pessoais que
de segurana deve seguir pelo menos as seguintes orientaes: envolvem o bom funcionamento da organizao.
* Definio de segurana da informao, resumo das metas, do escopo e a im-

portncia da segurana para a organizao, enfatizando seu papel estratgico
como mecanismo para possibilitar o compartilhamento da informao e o an-
damento dos negcios.
* Declarao do comprometimento do corpo executivo, apoiando as metas e os
princpios da segurana da informao.
* Breve explanao das polticas, princpios, padres e requisitos de conformi-
dade de segurana no contexto especfico da organizao, por exemplo:
* Conformidade com a legislao e eventuais clusulas contratuais; Figura 6.3 Os aspectos envolvidos na proteo da informao.
* Requisitos na educao e treinamento em segurana;
* Preveno e deteco de vrus e programas maliciosos; Algumas das consideraes sobre a segurana, importantes para a definio de
* Gerenciamento da continuidade dos negcios; uma boa poltica de segurana, so:
* Conseqncias das violaes na poltica de segurana;
* Definio de responsabilidades gerais e especficas na gesto da segurana * Conhea seus possveis inimigos: identifique o que eles desejam fazer e os
de informaes, incluindo o registro dos incidentes de segurana; perigos que eles representam sua organizao.
* Referncias que possam apoiar a poltica, por exemplo, polticas, normas e * Contabilize os valores: a implementao e o gerenciamento da poltica de
procedimentos de segurana mais detalhados de sistemas ou reas espec- segurana geram um aumento no trabalho administrativo e educacional, o
ficas, ou regras de segurana que os usurios devem seguir. que pode significar, alm da necessidade de mais recursos pessoais, a necessi-
dade de significativos recursos computacionais e de hardwares dedicados. Os
Assim, a poltica de segurana no deve conter detalhes tcnicos especficos de custos das medidas de segurana devem, portanto, ser compatveis e propor-
mecanismos a serem utilizados ou procedimentos que devem ser adotados por indi- cionais s necessidades da organizao e s probabilidades de ocorrerem inci-
vduos particulares, mas, sim, regras gerais e estruturais que se aplicam ao contexto dentes de segurana.
de toda a organizao. Com isso, a poltica pode ser flexvel o suficiente para que
180 181
* Identifique, examine e justifique suas hipteses: qualquer hiptese esqueci- * Limite a confiana: essencial estar atento e vigilante, principalmente quan-
da ou no divulgada pode causar srios problemas de segurana. Uma nica to a programas de software que tenham muitos bugs e que podem comprome-
varivel pode mudar completamente a estratgia de segurana de uma orga- ter a segurana do ambiente. No se pode confiar totalmente em todos os
nizao. sistemas e usurios da organizao, e preciso estar sempre atento a compor-
* Controle seus segredos: muitos aspectos da segurana tm como base os se- tamentos anormais.
gredos, que devem, portanto, ser guardados a sete chaves. * Nunca se esquea da segurana fsica: o acesso fsico indevido a equipamen-
* Avalie os servios estritamente necessrios para o andamento dos negcios da tos ou roteadores pode destruir todas as medidas de segurana adotadas.
organizao: foi mostrado nas sees 3.8 e 3.9 que a segurana inversamen- Incidentes naturais, como incndios ou terremotos, tambm resultam na
te proporcional s funcionalidades e que ela pode influir na produtividade dos indisponibilidade e perda de recursos. O controle de acesso fsico e o plano
usurios. Determinar e justificar cada servio permitido essencial para se de contingncia deve, portanto, fazer parte da poltica de segurana da
evitar conflitos futuros com os usurios. organizao.
* Considere os fatores humanos: muitos procedimentos de segurana falham, * A segurana complexa: qualquer modificao em qualquer pea do ambiente
porque as reaes dos usurios a esses procedimentos no so consideradas. pode causar efeitos inesperados no nvel de segurana, principalmente, por
Senhas difceis que, para serem utilizadas, so guardadas sob o teclado, por exemplo, quando novos servios so adicionados. Entender as implicaes de
exemplo, podem comprometer a segurana tanto quanto uma senha fcil de segurana em cada aspecto envolvido importante para a manipulao e o
ser decifrada. As boas medidas de segurana garantem que o trabalho dos gerenciamento correto de todas as variveis envolvidas.
usurios no seja afetado, e cada usurio deve ser convencido da necessidade * A segurana deve ser aplicada de acordo com os negcios da organizao:
de cada medida a ser adotada. Eles devem entender e aceitar essas exigncias entender os objetivos de negcios da organizao importante para a defini-
de segurana. Uma boa estratgia a formalizao de um treinamento de o de sua estratgia de segurana. Uma organizao que resolveu se dedicar
segurana para todos os funcionrios da organizao, antes de liberar seu ao e-Commerce, por exemplo, vendendo seus produtos pela Internet, deve dar
acesso rede. Isso faz com que as idias gerais de proteo dos recursos da ateno especial s estratgias de proteo da infra-estrutura de vendas online
organizao sejam divulgadas e transmitidas, como o compromisso de nunca e privacidade de seus clientes.
fornecer senhas por e-mail ou telefone, ou a maneira mais segura de se nave- * As atividades de segurana formam um processo constante, como carpir a
gar pela Internet. Considerar os fatores humanos minimiza a chance de suces- grama do jardim. Se isso no for feito regularmente, a grama (ou os hackers)
so dos ataques que usam a engenharia social (Seo 4.5.2). cobrir o jardim. Gembricki da Warrom [DID 98].
* Conhea seus pontos fracos: todo sistema tem suas vulnerabilidades. Conhe-
cer e entender esses pontos fracos permite que o primeiro passo para proteger Essas consideraes demonstram a importncia de uma viso abrangente da
o sistema de maneira eficiente seja definido. segurana, o que torna o desafio da proteo dos negcios ainda maior.
* Limite a abrangncia do acesso: barreiras como uma zona desmilitarizada (DMZ),
que ser abordada no Captulo 6, fazem com que, caso um sistema seja ataca-
do, o restante da rede no seja comprometido. A parte segura de uma rede 6.5 OS PONTOS A SEREM TRATADOS
to forte quanto sua parte menos protegida. A poltica de segurana, definida de acordo com os objetivos de negcios da
* Entenda o ambiente: entender o funcionamento normal da rede importante organizao, deve existir de maneira formal, pois somente assim possvel
para detectar possveis comportamentos estranhos, antes que um invasor cau- implementar efetivamente a segurana. Caso isso no ocorra, os administradores de
se prejuzos. Os eventos incomuns na rede podem ser detectados com a ajuda segurana devem documentar todos os aspectos a serem tratados, sendo imprescin-
de ferramentas especficas, como o sistema de deteco de intruso (Intrusion dvel que a aprovao do executivo seja formalizada. Tal formalidade evitar que, no
Detection System, IDS), que ser discutido no Captulo 7. futuro, as responsabilidades recaiam totalmente sobre os administradores, alm de
impedir situaes em que ocorram eventos que no so do conhecimento dos execu-
182 183
tivos e tragam conseqncias inesperadas e tenses desnecessrias organizao. * A segurana mais importante do que os servios. Caso no haja conciliao,
Alm do mais, a poltica de segurana formal essencial, porque as responsabilida- a segurana deve prevalecer, a no ser que os executivos assumam formalmen-
des quanto s questes de segurana, caso no estejam definidas na respectiva te os eventuais riscos existentes.
poltica, devem ser dos executivos, e no dos administradores de segurana. * A poltica de segurana deve evoluir constantemente, de acordo com os riscos
De qualquer forma, de responsabilidade dos administradores alertar sobre as e as mudanas na estrutura da organizao.
questes de segurana e implementar as medidas definidas na poltica. Participar * Aquilo que no for expressamente permitido ser proibido. O ideal restringir
da definio dessa poltica, que envolve os aspectos de toda a organizao, tambm tudo, e os servios s podero ser liberados caso a caso, de acordo com sua
essencial, assim como determinar as normas e os procedimentos. anlise e a dos riscos relacionados.
Sob a perspectiva do usurio, essencial que exista sua participao no trabalho * Nenhuma conexo direta com a rede interna, originria externamente, dever
de desenvolvimento da poltica e tambm na definio das normas e procedimentos ser permitida sem que um rgido controle de acesso seja definido e
a serem adotados. Esse envolvimento importante, porque medidas de segurana implementado.
que atrapalham o usurio, invariavelmente, falham, como foi mostrado na Seo * Os servios devem ser implementados com a maior simplicidade possvel, evi-
3.9. As medidas devem ter a mxima transparncia possvel para o usurio, de modo tando-se a complexidade e a possibilidade de configuraes erradas.
que as necessidades de segurana da organizao estejam em conformidade com * Devem ser realizados testes, a fim de garantir que todos os objetivos sejam
suas prprias necessidades. alcanados.
Assim, uma poltica de segurana adequada deve tratar no s dos aspectos * O acesso remoto discado, quando necessrio, deve ser protegido com a utiliza-
tcnicos, mas principalmente daqueles relacionados ao trabalho, s pessoas e ao o de um mtodo de autenticao eficiente e com a criptografia dos dados.
gerenciamento, como pode ser visto no exemplo da Seo 6.12. Ela deve abordar, * Nenhuma senha deve ser fornecida em claro, ou seja, sem a utilizao de
especialmente, os aspectos do cotidiano, como, por exemplo, a definio dos cuida- criptografia. Caso isso no seja possvel, o ideal utilizar o one-time password
dos necessrios com documentos em mesas de trabalho e at mesmo com o lixo, (Captulo 10).
pois esse um dos locais mais explorados procura de informaes confidenciais * As informaes utilizadas na computao mvel, principalmente em notebooks,
(Seo 4.5.1). devem ser cifradas via uso de redes privadas virtuais Virtual Private Network
Os aspectos culturais e locais tambm devem ser considerados na elaborao da VPN (Captulo 9).
poltica de segurana, pois eles influenciam diretamente na sua efetividade. A po-
ltica de demisso de funcionrios por falha na escolha de senhas, por exemplo,
poderia ser aplicada nos Estados Unidos, mas na Europa o funcionrio demitido 6.6 A IMPLEMENTAO
poderia ganhar um processo na justia. Essas peculiaridades existentes em diferen- A implementao pode ser considerada a parte mais difcil da poltica de seguran-
tes culturas fazem com que a ajuda de um profissional local, para o desenvolvimen- a. Sua criao e definio envolvem conhecimentos abrangentes de segurana, am-
to ou a adequao da poltica da organizao, seja um ponto importante a ser biente de rede, organizao, cultura, pessoas e tecnologias, sendo uma tarefa comple-
considerado. xa e trabalhosa. Porm, a dificuldade maior reside na implementao dessa poltica
A poltica de segurana deve definir tambm, do modo mais claro possvel, as criada, quando todos os usurios da organizao devem ter o conhecimento da referi-
punies e os procedimentos a serem adotados, no caso do no-cumprimento da da poltica, todas as mudanas sugeridas devem ser implementadas e aceitas por
poltica definida. Esse um aspecto importante que precisa ser definido, para que todos e todos os controles definidos devem ser implantados com sucesso. Isso faz com
os abusos sejam evitados e os usurios tenham conscincia de que a poltica de que um ponto importante para a aceitao e conformidade com a poltica definida
segurana importante para o sucesso da organizao. seja a educao, pois a falta de conscientizao dos funcionrios acerca da importn-
Alguns detalhes relevantes em uma poltica de segurana podem ser inseridos cia e relevncia da poltica torn-la inoperante ou reduzir sua eficcia.
nas normas e procedimentos especficos. Por exemplo, alguns detalhes que podem Com uma divulgao efetiva, a poltica de segurana dever tornar-se parte da
ser definidos com base na anlise do ambiente da rede e de seus riscos, so: cultura da organizao, disseminando as regras estruturais e os controles bsicos da
184 185
segurana da informao no contexto da organizao e conscientizando a todos. srio em caso de qualquer mudana que venha a afetar a anlise de risco original,
Alguns exemplos de formas de divulgao que podem ser utilizadas so: tal como um incidente de segurana significativo, surgimento de novas
vulnerabilidades, mudanas organizacionais ou na infra-estrutura tcnica utiliza-
* Comunicao interna (e-mails, painis, pginas na intranet). da, que so comuns em ambientes cooperativos.
* Reunies de divulgao e conscientizao. Segundo a norma ISO/IEC 17799, as seguintes anlises crticas peridicas tam-
* Treinamento especfico ou incluso em programas vigentes. bm devem ser agendadas:
* Dramatizao de exemplos prticos em curtas peas teatrais.
* Incorporao ao programa de recepo a novos funcionrios. * Verificao da efetividade da poltica, demonstrada pelo tipo, volume e im-
* Psteres, protetores de tela e mouse pads podem ser utilizados para oferecer pacto dos incidentes de segurana registrados.
dicas de segurana, lembrando a todos da importncia da segurana de infor- * Anlise do custo e impacto dos controles na eficincia do negcio.
maes. * Verificao dos efeitos de mudanas na tecnologia utilizada.
Alm dos programas de divulgao e conscientizao, os executivos devem se- Com o passar do tempo, crucial a manuteno da relevncia dos pontos da
guir fielmente a poltica e valoriz-la, servindo de exemplo para todos os demais. poltica de segurana: novos pontos podem ser adicionados, quando necessrio,
Os esforos necessrios para a implantao da segurana podem levar anos at como tambm devem ser removidos os pontos que se tornarem obsoletos.
que se consiga o resultado esperado, o que faz com que um planejamento a longo
prazo seja essencial, bem como a aprovao formal de todos os seus passos.
Assim, o ideal que a segurana tenha seu espao determinado no oramento 6.7 OS MAIORES OBSTCULOS PARA A IMPLEMENTAO
das organizaes, com seus devidos planejamentos, equipes e dependncias. Alm Alm da dificuldade natural pertinente implementao da segurana, diversos
disso, interessante que ela seja considerada como uma rea funcional da organi- outros obstculos podem surgir durante o projeto da poltica de segurana. Muitos
zao, como a rea financeira ou a rea de marketing, afinal, a segurana cada vez deles esto relacionados aos pontos discutidos no Captulo 3, e alguns deles so
mais estratgica para todas as organizaes, principalmente em ambientes coopera- [WOO 99]:
tivos, como pde ser visto no Captulo 3.
Um ponto importante quanto poltica de segurana que, ao contrrio da * Desculpe, no existem recursos financeiros suficientes e as prioridades so
percepo inicial, seu desenvolvimento ajuda a diminuir, e no a aumentar, os outras.
custos operacionais. Isso ocorre porque a especificao dos recursos a serem prote-
gidos, dos controles e das tecnologias necessrias, e de seus respectivos valores, A falta de verbas o obstculo mais comum, porm, o fato que, muitas vezes,
resulta em um melhor controle. Alm disso, ela tambm possibilita o gerenciamento isso apenas uma desculpa, utilizada para que as razes verdadeiras no sejam
da segurana em nvel organizacional, em oposio dificuldade de gerenciamento reveladas. O fato de no conseguir os recursos necessrios reflete, fundamental-
de solues isoladas de fornecedores aleatrios. mente, a falha em convencer os executivos da importncia das informaes e dos
Uma vez que todos os funcionrios da organizao conheam a sua poltica de sistemas de informaes da organizao, que devem, portanto, ser protegidos. Uma
segurana e passem a aplic-la, necessrio que as aes de todos passem a ser maneira prtica e comum, porm questionvel, de conscientizar os executivos so-
verificadas quanto conformidade com a poltica definida. Isso pode ser feito com bre esse problema uma simulao de ataque, que deve, necessariamente, ser rea-
auditorias peridicas, que devem ser independentes das pessoas que a estaro lizado somente aps uma aprovao prvia por escrito. Alm disso, a indisponibilidade
implementando. de recursos significa prejuzos, pois os negcios podem ser interrompidos como
A poltica de segurana deve ser aplicada de maneira rigorosa e a no-conformi- decorrncia de um ataque.
dade deve ser punida, de acordo com as aes disciplinares previstas na poltica.
Alm da auditoria, o monitoramento e a reviso da poltica importante para a * Por que voc continua falando sobre a implementao da poltica?
melhoria contnua dos procedimentos de segurana da organizao, como neces-
186 187
Outro obstculo a dificuldade dos executivos em compreender os reais benef- As dependncias existentes nos diversos tpicos da poltica, das normas e dos
cios da poltica de segurana para a organizao. Essa poltica um meio de assegu- procedimentos devem ser consideradas para que no sejam feitos esforos em vo.
rar que os objetivos de gerenciamento sejam seguidos consistentemente dentro da Por exemplo, uma poltica que torna obrigatrio o uso de uma autenticao eficien-
organizao, de tal modo que esses executivos devem ter conscincia de que, se a te para todo acesso remoto deve tratar tambm dos aspectos que dela dependem,
poltica for adotada, seu prprio trabalho ficar consideravelmente mais fcil. Ao como a arquitetura da soluo e dos produtos-padro a serem utilizados. Sem isso,
fazer com que a implementao da poltica seja, explicitamente, parte do projeto, sua implementao fica comprometida; os usurios iro reclamar que no conse-
existe a possibilidade de descrever os benefcios trazidos com a poltica de seguran- guem trabalhar remotamente (comprometendo sua produtividade) e os executivos,
a. Por isso, necessrio tratar essa implementao como um assunto especfico, por sua vez, iro reclamar que os usurios no podem trabalhar remotamente, por-
que precisa, tambm, da aprovao dos executivos. que no existe a tecnologia que possibilita o acesso remoto seguro.
* Foram feitos todos os esforos para o desenvolvimento da poltica, isso * O que voc quer dizer com ningum sabe o que fazer depois?
tudo?
Uma viso abrangente dos problemas relacionados segurana, juntamente com
preciso que os executivos tenham total compreenso de que somente aprovar o conhecimento dos processos de negcios da organizao, fundamental para o
e publicar os documentos referentes poltica desenvolvida no suficiente. Essa desenvolvimento da poltica. imprescindvel que exista um lder tcnico, que seja
compreenso importante para evitar que os demais funcionrios da organizao profundo conhecedor dos aspectos de segurana e tenha uma viso sobre as ten-
tenham uma m impresso de descaso por parte dos executivos. A implementao dncias e tecnologias nessa rea, a fim de possibilitar a implementao das normas
da poltica desenvolvida requer recursos para o suporte tcnico, para os programas e dos procedimentos definidos na poltica.
de conscientizao e treinamentos dos usurios, para a substituio e compra de
tecnologia e para o estabelecimento de procedimentos adicionais. Por isso, impor- * Desculpe, isso muito complexo.
tante que a implementao faa parte do projeto global de segurana.
necessrio conhecer a complexidade que envolve a rede e os sistemas de infor-
* Temos realmente que fazer tudo isso? mao, para que os recursos adequados sejam alocados no desenvolvimento da polti-
ca de segurana. O fato de algum desses aspectos ser complexo no significa que deva
Os executivos podem aprovar uma poltica de segurana apenas para satisfazer ser ignorado. Para tanto, preciso recorrer ao auxlio de ferramentas para a realizao
os auditores, e isso acaba comprometendo a prpria organizao, que pode obter dessa tarefa, tais como um software de planejamento de contingncia. Essa mesma
uma poltica incoerente e sem os detalhes essenciais para o seu sucesso. Esse tipo complexidade exige que a organizao aloque recursos para sistemas de gerenciamento
de comportamento faz com que os executivos devam ser convencidos de que o de redes, sistemas de deteco de intruses, sistemas de automao de distribuio de
melhor a fazer atuar de modo pr-ativo, em oposio ao comportamento reativo. software, sistemas de checagem de licenas de software e outros mecanismos de
Sendo reativos, em caso de algum incidente de segurana, os executivos sero obri- automao, os quais as pessoas no podem realizar sozinhas. importante demons-
gados a agir em circunstncias negativas e de extrema urgncia e presso, trazendo, trar para os executivos as novas ferramentas existentes e o porqu de sua popularida-
como principal conseqncia, problemas quanto confiana de clientes e de parcei- de, a fim de comprovar que essa complexidade especfica pode ser gerenciada.
ros de negcios, e tambm com a opinio pblica. O ideal mostrar os estudos que
provam que mais barato considerar a perspectiva de prevenir, deter e detectar do * A poltica de segurana vai fazer com que eu perca meu poder?
que a de corrigir e recuperar.
Alguns executivos podem resistir implementao da poltica, por acharem que
* O que voc quer dizer com existem dependncias? isso trar ameaas ao seu poder e prestgio. Mostrar a esses executivos a importn-
188 189
cia da centralizao e coordenao da poltica essencial, para que eles dem o podem, por exemplo, escolher senhas bvias e fceis de serem descobertas ou
apoio necessrio para o sucesso da implementao. Um caso tpico da importncia compartilh-las com seus amigos.
da centralizao e padronizao refere-se ao controle de acesso, quando uma coor- Por isso, a existncia de uma poltica que auxilie na escolha de uma senha
denao adequada evita o caos, os aborrecimentos e o desperdcio de esforos para segura para a organizao, que seja tambm boa para o usurio, de extrema
todos os envolvidos. importncia, o que pode aumentar o nvel de segurana de toda a organizao. Uma
senha boa para o usurio pode ser considerada a senha que ele seja capaz de memo-
* Por que eu tenho que me preocupar com isso? Esse no o meu trabalho. rizar, sem recorrer a recursos como o papelzinho debaixo do teclado, ou o adesivo
no monitor.
Geralmente, os executivos no gostam de compartilhar e discutir os detalhes De fato, o ser humano consegue memorizar apenas senhas com tamanho curto
tcnicos sobre segurana. Porm, importante que todos estejam engajados nesse [KES 96], o que compromete sua eficincia, se comparado com uma senha aleatria
processo, porque os executivos precisam entender que a segurana da organizao escolhida pelo administrador do sistema ou pelo prprio sistema. Por outro lado,
no ter sucesso se no houver o apoio necessrio. Alm disso, a participao ativa uma senha aleatria at mais difcil de ser memorizada pelo usurio, o que tam-
dos executivos no desenvolvimento e na implementao da poltica fundamental bm pode causar problemas, pois geralmente preciso anotar a senha em um peda-
para o seu sucesso, principalmente porque diversas decises de negcios includas o de papel, por exemplo. Assim, a conscientizao dos usurios quanto aos perigos
na poltica no podem ser tomadas pelo pessoal tcnico, mas somente pelos execu- de uma senha mal escolhida, orientando-os a definir uma senha adequada, tambm
tivos. Um exemplo a poltica de privacidade de um site de comrcio eletrnico, deve fazer parte da poltica de segurana.
que demonstra que a segurana multidisciplinar, requerendo a participao de A poltica de senhas importante tambm porque diversos problemas de segu-
todos dentro da organizao. rana das empresas esto relacionados a elas, o que faz com que um dos grandes
desafios seja a fortificao das senhas, ao mesmo tempo em que os custos relaci-
* No podemos lidar com isso, pois no temos um processo disciplinar. onados sejam reduzidos. Os custos esto relacionados perda de produtividade
dos usurios quando eles esquecem as senhas e tambm aos custos com help-desk.
Um processo disciplinar especfico para os casos de no-cumprimento da polti- O esquecimento das senhas um fato comum, e representa cerca de 30% dos
ca definida importante para a organizao. Por exemplo, se um usurio cometer chamados ao help-desk, segundo a Gartner [MAC 02]. Em algumas organizaes,
um erro, a primeira medida avis-lo de sua falta. Se o erro se repetir, o chefe do mais de 40% dos chamados so referentes a problemas com senhas e os custos
usurio deve receber um comunicado. Se houver um terceiro erro, o usurio ser estimados nos Estados Unidos so de 51 a 147 dlares por chamado, segundo a
suspenso por duas semanas e se esse erro persistir, o usurio ser demitido. Essa Gartner [MAC 02].
abordagem crucial para evitar situaes em que o usurio seja sumariamente Uma boa poltica de senhas que auxilie os usurios na escolha das mesmas e
demitido, logo no seu primeiro erro, somente para mostrar aos outros funcionrios balanceie os requisitos de segurana mnimos para reduzir os problemas de esqueci-
quem detm o poder na organizao. mentos, portanto, significa tambm uma melhor produtividade dos usurios e me-
nores custos com o help-desk. O processo de solicitao das senhas, o seu tamanho
mnimo, o seu tempo de expirao, a mistura exigida entre letras, nmeros e caracteres
6.8 POLTICA PARA AS SENHAS especiais, entre outros, influem diretamente nos aspectos de segurana da organi-
A proviso de senhas pelos administradores de sistemas e a utilizao de senhas zao, de produtividade dos usurios e dos custos com suporte tcnico.
pelos usurios uma parte especfica da poltica de segurana, de grande importn- Diversos problemas relacionados com as senhas tambm devem ser considerados
cia para as organizaes. As senhas so utilizadas pela grande maioria dos sistemas na poltica de senhas, o que exige o entendimento de todos os riscos envolvidos.
de autenticao (Captulo 10) e so consideradas necessrias como um meio de Um desses riscos com relao ao uso de sniffers (Seo 4.5.5), que permitem que
proteo. Porm, elas so consideradas tambm perigosas, principalmente porque as senhas utilizadas em claro pelos sistemas, sem o uso de criptografia, sejam
dependem do elo mais fraco da corrente da segurana, que so os usurios. Eles capturadas e usadas indiscriminadamente.
190 191
Um outro modo de comprometer as senhas por meio do crack, um software que * Nome do local de frias preferido (15%).
realiza a codificao de palavras do dicionrio (ataque do dicionrio) e as compara * Nome de time ou jogador (13%).
com as senhas do arquivo de senhas, at que elas sejam equivalentes. Como so * O que se v primeiramente na mesa (8%).
usadas palavras do dicionrio, o uso de composies entre letras, nmeros e caracteres
especiais minimiza a efetividade do ataque do dicionrio. Uma srie de medidas pode ser tomada para configurar, de modo seguro e efici-
Outro ataque que tem como objetivo descobrir senhas de usurios a adivinha- ente, um sistema com base em senhas. Algumas dessas idias que podem constar
o de senhas (password guessing). Assim como o ataque do dicionrio, esse ataque em uma poltica de senhas so [SHA 98][DoD 85]:
pode ser facilmente utilizado contra senhas consideradas fracas, que incluem, nesse
caso, exemplos como o nome do cnjuge, o nome da empresa, o nome do animal de * Caso no exista um procedimento que auxilie o usurio a escolher uma senha
estimao, o nome do time preferido ou datas de aniversrio. adequada, melhor que o administrador escolha a senha, pois o usurio,
O ataque de fora bruta busca tambm a descoberta de senhas, porm com a geralmente, opta por palavras comuns, como as que existem em dicionrios,
combinao de todas as combinaes possveis de todos os caracteres possveis, at nomes de filmes, nomes de animais de estimao ou datas de aniversrio, que
que a senha seja encontrada. Normalmente, essa tcnica utilizada aps os ataques so facilmente descobertos por programas de crack.
do dicionrio e a adivinhao de senhas, pois o universo de combinaes necessri- * A senha deve ser redefinida pelo menos a cada dois meses, para os usurios
as muito grande e requer um tempo considervel para ser efetuado. comuns, e a cada ms, para usurios com acesso mais restrito.
Uma ferramenta de crack de senhas do Windows o LC4 [LC4 03], derivado do * As informaes sobre o ltimo acesso, como o tempo de durao, a data e a
L0phtCrack. Esses tipos de ferramentas possuem um valor muito grande tambm origem, so importantes, para que o usurio tenha certeza de que sua conta
para os administradores de sistemas, que podem realizar auditorias peridicas das no foi acessada por pessoas no autorizadas.
senhas, com o objetivo de identificar as senhas consideradas fracas e solicitar ao * As senhas devem ser bloqueadas a cada trs ou cinco tentativas sem sucesso,
usurio que ele cumpra o que estiver estabelecido na poltica de segurana da e o administrador do sistema e o usurio devem ser notificados sobre essas
organizao. Existem trs modos de obter senhas de plataformas Windows, antes de tentativas.
utiliz-las no LC4: * A transmisso da senha deve ser feita de modo cifrado, sempre que possvel.
* As atividades de autenticao devem ser registradas e verificadas, tais como
* Por meio do sniffing efetuado na rede. as tentativas com e sem sucesso e as tentativas de mudana de senha.
* Diretamente do arquivo Security Account Manager (SAM), que pode ser obtido * As senhas e as informaes relativas conta devem ser armazenadas de modo
diretamente do disco do servidor, do Emergency Repair Disk ou de um backup extremamente seguro; de preferncia, em um sistema no conectado rede da
qualquer. organizao.
* Por meio do registro do Windows, o que pode ser evitado com a proibio do * As responsabilidades do administrador do sistema incluem o cuidado na cria-
acesso remoto e por meio do utilitrio SYSKEY, que codifica o hash de senhas. o e alterao das senhas dos usurios, alm da necessidade de manter
atualizados os dados dos mesmos, como nmeros de telefone e endereos,
interessante notar que, em um ambiente tpico, 18% das senhas podem ser para a sua rpida localizao, caso isso seja necessrio.
descobertas em dez minutos, e 98% das senhas podem ser descobertas em 48 horas, * As responsabilidades dos usurios incluem, principalmente, os cuidados para
incluindo a senha de administrador [LC4 03]. a manuteno da segurana dos recursos, tais como o sigilo da senha e o
O comportamento dos usurios na escolha das senhas pode ser observado por monitoramento de sua conta, evitando sua utilizao indevida. Um treina-
meio de uma pesquisa realizada pela Compaq, em 1997 [JOH 98], que revelou que as mento sobre segurana deve ser conduzido pela organizao, para que cada
senhas so escolhidas da seguinte maneira: usurio tenha conscincia da importncia de atitudes bsicas, como nunca
informar sua senha, por telefone, para algum que diz ser o administrador
* Posies sexuais ou nomes alusivos a chefes (82%). do sistema.
* Nomes ou apelidos de parceiros (16%).
192 193
A Request for Comments (RFC) 2196, que substituiu a RFC 1244 [RFC 97], oferece
um guia sobre como selecionar e manter senhas. Alguns desses aspectos [KES 96] e
outras recomendaes [SHA 98][DoD 85] so:
* No utilize palavras que esto em dicionrios (nacionais ou estrangeiros).

* No utilize informaes pessoais fceis de serem obtidas, como o nmero da
rua, nomes de bairros, cidades, datas de nascimento, nome do time preferido,
etc.
* No utilize senhas somente com dgitos ou com letras.
* Utilize senhas com, pelo menos, oito caracteres.
* Misture caracteres maisculos e minsculos.
* Misture nmeros, letras e caracteres especiais.
Figura 6.4 Escolha uma senha forte e fcil de ser lembrada.
* Inclua, pelo menos, um caractere especial ou smbolo.
* Utilize um mtodo prprio para se lembrar da senha, de modo que ela no
interessante observar que tudo est relacionado autenticao, que prov o
precise ser escrita em nenhum local, em hiptese alguma.
acesso aos servios e s informaes. Sem as senhas, os usurios no podem traba-
* No utilize o nome do usurio.
lhar. Devido a isso, a proviso das senhas deve ser bem planejada no momento da
* No utilize o primeiro nome, o nome do meio ou o sobrenome.
contratao do funcionrio, bem como as situaes que envolvem transferncias de
* No utilize nomes de pessoas prximas, como da esposa, dos filhos, de amigos
reas, promoes ou projetos especficos, que requerem mudanas nos acessos e
nem de animais de estimao.
permisses. A excluso das senhas tambm de extrema importncia, para evitar
* No utilize senhas com a repetio do mesmo dgito ou da mesma letra.
acessos indevidos e riscos desnecessrios.
* No fornea sua senha para ningum, por razo alguma.
* Utilize senhas que podem ser digitadas rapidamente, sem a necessidade de
olhar para o teclado. 6.9 POLTICA PARA FIREWALL
Um dos principais elementos da poltica de segurana para o firewall a defini-
Uma boa recomendao pegar a primeira letra de uma expresso, frase, letra de
o das regras de filtragem, que, por sua vez, tm como base a definio dos servi-
msica ou dilogo, que faa parte da vida do usurio, de modo que seja fcil de
os a serem fornecidos para os usurios externos e a dos servios que os usurios
memorizar, como pode ser visto na Figura 6.4. Outra sugesto alternar entre uma
internos podem acessar.
consoante e uma ou duas vogais, ou concatenar duas palavras curtas com um ponto
Um dos aspectos da poltica de segurana para o firewall a definio de sua
ou outro caractere especial entre elas [KES 96].
arquitetura (Seo 6.4). com base nessa arquitetura e nos servios definidos que
as regras de filtragem so desenvolvidas. A abordagem a ser utilizada pode ser a de
proibir tudo e liberar somente aqueles servios que forem explicitamente permiti-
dos ou a de liberar tudo e proibir somente os servios que forem explicitamente
proibidos.
Sendo um componente importante para a proteo da organizao, atuando em
todo o permetro do ambiente, o firewall geralmente resulta em diversos
questionamentos para as organizaes. Por exemplo, no Brasil, os cidados costu-
194 195
mam entregar suas declaraes de imposto de renda via Internet. Como o software A grande dificuldade, porm, est na verificao e acompanhamento do cumpri-
para a entrega da declarao utiliza um protocolo proprietrio, ele no funciona mento do que est definido na poltica. Isso acontece porque inerentemente dif-
normalmente em um ambiente comum, necessitando, assim , de uma regra espec- cil controlar o que no est dentro da organizao, pois os acessos so feitos remo-
fica no firewall para que ele possa funcionar adequadamente. Esse tipo de situao, tamente. Portanto, mecanismos de auditoria eficientes tambm devem ser
onde um novo servio depende de alteraes na poltica do firewall, precisa estar considerados na poltica.
contemplada pela poltica de segurana. A poltica poderia, por exemplo, simples- Diversos casos de incidentes relacionados a modems podem ser analisados [GAR
mente proibir a adio de novas regras, ou exigir uma anlise de segurana antes da 98]. Em um deles, ocorrido em maro de 1997, um adolescente executou uma varre-
liberao do acesso. Uma poltica clara com relao aos novos servios importante dura em nmeros telefnicos de sua rea, utilizando uma ferramenta (war dialer,
porque elimina estresses desnecessrios para todos, como os que ocorrem quando Seo 4.9.5) disponvel na Internet. Por meio dos nmeros obtidos, ele conseguiu o
um funcionrio exige a liberao do acesso e o administrador do firewall no possui controle total de um sistema de comunicao de fibra ptica, tendo causado srios
foras para argumentar que essa liberao pode colocar em risco a organizao. Com problemas ao desligar as comunicaes da torre de controle do aeroporto local e dos
a poltica, o administrador pode mostrar ao solicitante que a segurana da organi- servios de emergncia, por diversas horas.
zao uma diretriz que deve ser seguida risca, por estar explicitamente formali- Em outro incidente, a Caterpillar Inc., que dispunha de um sofisticado firewall,
zada. teve sua rede interna atacada por meio de um modem. Esse incidente mostrou a
Alm desses aspectos, a poltica de segurana para firewalls pode especificar importncia da segurana no acesso remoto, porque, nesses casos, um firewall sofis-
pontos de auditoria, definindo as responsabilidades de atuao no monitoramento ticado no faz diferena alguma, uma vez que o ataque no tem origem na Internet,
dos acessos e de aprovao da criao de novas regras, por exemplo. mas feito por meio da linha telefnica.
Assim, a poltica de segurana torna mais claros todos os papis para a liberao Outros riscos envolvidos com o acesso remoto, e que devem ser considerados no
de acessos de novos servios, bem como o processo para a aprovao dessa libera- estabelecimento da poltica de segurana, incluem os prprios funcionrios. Eles
o. A exigncia de um parecer tcnico com a anlise de segurana dos novos podem instalar um modem e configurar um software em seu equipamento para
servios, por exemplo, pode ser exigido pela poltica. Esse um exemplo claro de permitir o acesso irrestrito dentro da rede interna, a fim de facilitar seu trabalho ou
que a poltica de segurana, quando bem definida, atua como um grande facilitador mesmo para desfrutar do acesso gratuito Internet, por meio da rede da empresa.
do dia-a-dia das organizaes, eliminando grande parte da desorganizao e confli- O problema que esse mesmo modem pode ser utilizado por um hacker para invadir
tos internos. a organizao ou, ento, um hacker da Internet pode chegar organizao invadin-
As regras de filtragem e a complexidade de sua definio, principalmente em um do o equipamento do usurio e utilizando sua conexo.
ambiente cooperativo, sero discutidas tambm no Captulo 13. Por isso, os modems instalados na organizao devem ser estritamente controla-
dos. A utilizao de war dialers para a deteco desses modems clandestinos deve
fazer parte da poltica de segurana. Para os casos em que os modems so necess-
6.10 POLTICA PARA ACESSO REMOTO rios, essencial que exista um documento por escrito, que esclarea aos usurios
Um outro aspecto importante que deve ser considerado na poltica de segurana sobre os aspectos relacionados segurana e sobre suas responsabilidades.
o acesso remoto. O crescimento da necessidade de acesso remoto, advindos do Um exemplo de uma poltica de segurana para o acesso remoto por VPNs pode
trabalho remoto e da computao mvel, transforma esse aspecto em uma das prin- ser visto na Seo 9.5.1.3.1.
cipais prioridades das organizaes atuais.
Seja o acesso remoto baseado em conexo direta para a rede da organizao via
modem ou baseado em redes privadas virtuais (Virtual Private Network VPN), os 6.11 POLTICA DE SEGURANA EM AMBIENTES
desafios a serem enfrentados so muito grandes. O controle do uso indiscriminado COOPERATIVOS
de modems, a necessidade de uso de antivrus e de firewalls pessoais, a conscientizao
At agora, foram discutidos o significado e os aspectos que devem ser tratados pela
quanto ao uso correto do correio eletrnico e a poltica de uso de notebooks fazem
poltica de segurana de uma empresa. Mas, e quanto aos ambientes cooperativos?
parte dos pontos a serem considerados na poltica de segurana para acesso remoto.
196 197
Assim como o prprio ambiente vai se tornando cada vez mais complexo, a partir da, o usurio de B pode acessar A, o que proibido, por meio de C. Talvez
poltica de segurana em um ambiente cooperativo tambm se torna cada vez mais seja possvel convencer A de no permitir mais a utilizao do Telnet, porm isso
completa, medida que o nmero de conexes vai aumentando. parece ser improvvel.
Como cada organizao tem sua prpria poltica de segurana, cada uma ideali- Essa grande dificuldade, que surge nos ambientes cooperativos, poderia ser
zada de acordo com a respectiva cultura organizacional, em um ambiente coopera- minimizada pela criao de uma poltica de segurana conjunta, que seria adotada
tivo, a mesclagem de diversas polticas diferentes pode ser fatal para a segurana de pelos integrantes do ambiente cooperativo. Porm, de acordo com o que foi mostra-
todos dentro desse ambiente. As questes que precisam ser resolvidas so: em que do, grandes dificuldades surgiro, incluindo desde a complexidade no desenvolvi-
ponto comea e termina a poltica de segurana de cada usurio em um ambiente mento dessa poltica at a enorme complicao em sua implementao. Esses con-
cooperativo? O ambiente cooperativo deve ter sua prpria poltica de segurana? tratempos previstos fazem com que essa idia seja praticamente descartada. E tambm
O exemplo clssico de problemas envolvendo diferentes conexes o caso da no seria possvel garantir que todos os integrantes do ambiente cooperativo cum-
triangulao (Figura 6.5), discutido na Seo 2.3, em que trs organizaes dife- pram o que determinado na poltica criada conjuntamente.
rentes A, B e C, tm, cada uma delas, sua prpria poltica de segurana. A poltica Dessa forma, a idia que se deve seguir, dentro do ambiente cooperativo, de
da organizao A permite que usurios da organizao C acessem seu banco de que, assim como em um ambiente convencional, os usurios de outras organizaes
dados; porm, os usurios da organizao B so proibidos de acessar esses dados. A devem ser considerados como usurios no confiveis. Uma vez que os usurios
poltica de C permite que usurios de B acessem sua rede. Como usurios de C externos acessam a rede da organizao, devem ter todos os seus passos controla-
podem acessar os dados de A e C permite que usurios de B acessem sua rede, ento, dos, para que sejam evitados os abusos. Esse usurio deve ser controlado, como
B pode acessar A por intermdio de C. Isso demonstra que a poltica de segurana de acontece com outro usurio qualquer, ou seja, ele pode ter acesso somente aos
A contrariada, em um caso tpico de triangulao, que dribla a poltica de segu- recursos permitidos a ele.
rana da organizao A. Um modelo proposto neste livro, que visa sintetizar o que acontece em um
ambiente cooperativo, o modelo de bolses de segurana. O modelo de segurana
convencional tinha como objetivo criar uma parede (representado pelo firewall)
entre a rede interna da organizao e a rede pblica. Os usurios externos pratica-
mente no tinham acesso aos recursos internos da organizao (Figura 6.6).
Figura 6.5 A triangulao que dribla a poltica de segurana de uma organizao.
Figura 6.6 Modelo de segurana convencional representado pelo firewall.

Em ambientes cooperativos, esse tipo de confuso passa a ser um fato corriquei-
ro, a menos que haja uma concordncia mtua, previamente definida, entre as
Algumas organizaes passaram ento a disponibilizar servios para a rede p-
polticas das organizaes do ambiente. Por exemplo, no caso em que a organizao
blica, como o caso tpico dos protocolos HTTP e FTP. Nesse modelo, porm, o
C funcionou como ponte, usurios de B podem acessar C por meio do Telnet. A
198 199
controle era ainda realizado pelo firewall, que liberava o acesso externo a uma rede
especfica, a rede DMZ. Assim, o acesso externo era somente a uma rea claramente
delimitada (DMZ), com a rede da organizao permanecendo isolada contra os ata-
ques externos (Figura 6.7).
Figura 6.7 Modelo de segurana convencional representado pelo firewall com DMZ.
No ambiente cooperativo, porm, tudo muda, pois os nveis de acesso variam

entre os servios da rede DMZ e os servios internos da organizao (banco de dados
ou por VPN), de modo que os usurios j no ficam restritos apenas rea delimita-
da pela DMZ. Com o modelo proposto, os usurios podem, de acordo com seu nvel
de acesso, acessar bolses de segurana cada vez maiores. Se antes as organizaes
tinham de proteger a DMZ, agora elas precisam proteger esses bolses de segurana, Figura 6.8 Modelo de bolses de segurana representado pelo firewall cooperativo.
como pode ser visto na Figura 6.8.
Esse modelo pode ser utilizado tambm para a segurana interna da organiza-
o, fazendo com que os prprios usurios internos sejam tratados como usurios
externos, tendo de passar pelo controle de acesso para utilizar os recursos desses
bolses. De fato, isso est se tornando cada vez mais necessrio, como pode ser
visto na Seo 13.1.
Assim, cada integrante do ambiente cooperativo deve ser responsvel pela sua
prpria segurana, reforando, dessa maneira, a importncia de uma poltica de
segurana bem definida. Um integrante de um ambiente cooperativo, que no te-
200 201
nha essa poltica bem definida, ir tornar-se um alvo fcil de ataques, no s pelos Exemplo de Estrutura de Poltica de Segurana.
usurios desse ambiente cooperativo, mas tambm por qualquer outro tipo de usu- 1. Introduo
1.1 Poltica de segurana
rio externo. 1.1.1 Informaes gerais
Como resultado, cada organizao tem como objetivo criar sua prpria poltica 1.1.2 Objetivos
1.2 Estrutura de responsabilidade organizacional
de segurana para cada bolso de segurana com que ela ter de trabalhar. Para 1.2.1.1.1 Servios de informao corporativos
aumentar ainda mais a complexidade envolvida, determinados tipos de usurios 1.2.1.1.2 Servios de informao de unidades de negcio
1.2.1.1.3 Organizaes internacionais
acessam diferentes bolses de segurana, que so maiores proporcionalmente aos
1.2.1.1.4 Encarregados
seus direitos de acesso. Representantes comerciais, por exemplo, acessariam um 1.2.2 Padres de segurana
bolso de segurana menor, constitudo pelo banco de dados de estoques e pela lista 1.2.2.1.1 Confidencialidade
1.2.2.1.2 Integridade
de preos dos produtos; os usurios mveis do setor financeiro teriam acesso a um 1.2.2.1.3 Autorizao
bolso de segurana maior, constitudo pelo acesso ao banco de dados financeiro, a 1.2.2.1.4 Acesso
1.2.2.1.5 Uso apropriado
documentos confidenciais e a e-mails, praticamente como se ele estivesse traba- 1.2.2.1.6 Privacidade dos funcionrios
lhando na prpria organizao. 2. Descrio do sistema
Assim, os desafios a serem enfrentados em um ambiente cooperativo so muitos 2.1 Papel do sistema
2.1.1 Tipo de informao manipulada pelo sistema
e o estabelecimento de uma poltica de segurana, que leve complexidade do 2.1.2 Tipos de usurio (administrao, usurio normal, controlador de impresso etc.)
ambiente e de todos os seus usurios em considerao, apenas um deles. 2.1.3 Nmero de usurios
2.1.4 Classificao dos dados (dados acessveis apenas para o departamento de Finanas, se
necessrio)
2.1.5 Quantidade de dados (nmero de bytes)
6.12 ESTRUTURA DE UMA POLTICA DE SEGURANA 2.1.6 Configurao do sistema
2.1.6.1 Nmero de terminais
Foi discutido durante este captulo que a poltica de segurana deve refletir a 2.1.6.2 Nmero de consoles de controle
2.1.6.3 Nmero e tipos de terminais (inteligente, burro, de impresso etc.)
prpria organizao, seguindo sua estrutura, sua estratgia de negcios, sua cultu- 2.1.6.4 Arranjos para carregamento de mdia
ra organizacional e seus objetivos. Assim, a poltica de uma organizao no pode 2.1.6.5 Software (sistema operacional e verso)
2.1.6.6 Interconexes (LAN e WAN)
ser aplicada diretamente em uma outra organizao, apesar de existirem diversos
pontos em comum em uma poltica. Mesmo em uma multinacional, onde normal- 3. Requisitos de segurana e medidas
3.1 Ameaas confidencialidade, integridade e disponibilidade dos dados
mente a matriz define a poltica e a expande para suas filiais, um processo de
3.2 Natureza e recursos de possveis atacantes e atratividade do sistema e dos dados como alvo
tropicalizao importante, pois cada pas possui alguns aspectos caractersticos, 3.3 Impactos do comprometimento acidental dos dados
como o caso da legislao. 4. Plano de resposta a incidentes de segurana
Esta seo apresenta um exemplo de estrutura para uma poltica de segurana, 4.1 Preparao e planejamento da resposta a incidentes
4.2 Notificao e pontos de contato
que muda de acordo com cada organizao. Essa poltica, como deve ser muito 4.3 Identificao de um incidente
abrangente e flexvel o suficiente para que no sofra alteraes freqentes, no 4.4 Resposta a um incidente
4.5 Conseqncias de um incidente
deve conter detalhes tcnicos especficos de mecanismos a serem utilizados ou 4.6 Forense computacional e implicaes legais
procedimentos que devem ser adotados por indivduos particulares, mas, sim, re- 4.7 Contatos de relaes pblicas
4.8 Passos-chave
gras gerais e estruturais que se aplicam ao contexto de toda a organizao. Alm 4.8.1 Conteno
disso, ela deve ser curta o suficiente para que seja lida e conhecida por todos os 4.8.2 Erradicao
funcionrios da empresa. Assim, os detalhes necessrios so inseridos em normas, 4.8.3 Recuperao
4.8.4 Acompanhamento
procedimentos e polticas especficas para cada caso, como tambm demonstrado 4.8.5 Conseqncias/Lies aprendidas
no exemplo. 4.9 Responsabilidades
5. Contatos e outros recursos
6. Referncias
202 203
As normas, procedimentos e polticas especficas podem, por exemplo, cobrir as * Controle da segurana do comrcio eletrnico
seguintes reas: * Questes relativas a comrcio eletrnico
* Educao, treinamento e conscientizao do pessoal
* Segurana do hardware, perifricos e outros equipamentos * Conscientizao
* Compra e instalao do hardware * Treinamento
* Cabeamento, impressoras e modems * Classificao de informaes e dados
* Material de consumo * Padres de classificao
* Utilizao de armazenamento seguro
* Documentao do hardware
* Outras questes relativas a hardware 6.13 CONCLUSO
* Controle do acesso informao e sistemas A poltica de segurana o principal elemento para a segurana de qualquer
* Processamento de informaes e documentos empresa. Seu planejamento e a definio dos aspectos a serem tratados incluem
* Redes uma avaliao de todos os detalhes envolvidos, o que requer o esforo de todos na
* Operao e administrao do sistema organizao. Diversos obstculos para a sua implementao so resultantes da viso
* E-mail e Web errada de que a segurana no um elemento importante para a organizao, o que,
* Telefones e fax invariavelmente, traz srias conseqncias com a invaso dos hackers. Alguns pon-
* Gerenciamento de dados tos especficos requerem uma poltica especfica, como no caso do acesso remoto,
* Backup, recuperao e arquivamento do uso das senhas e do firewall, que foram mostrados neste captulo. A poltica de
* Manipulao de documentos segurana tem uma importncia ainda maior em um ambiente cooperativo, no qual
* Proteo de dados os bolses de segurana definidos neste captulo variam de tamanho, de
* Outras manipulaes e processamento de informaes acordo com as necessidades de conexo.
* Compra e manuteno de softwares comerciais
* Compra e instalao de software
* Manuteno e atualizao de software
* Outras questes relativas a software
* Combate ao crime virtual
* Obteno de conformidade com requisitos legais e de polticas
* Obteno de conformidade com requisitos legais
* Obteno de conformidade com polticas
* Impedimento de litgios
* Outras questes legais
* Planejamento da continuidade do negcio
* Gerenciamento da continuidade dos negcios
* Tratamento de questes de pessoal ligadas segurana
* Documentao contrafactual
* Dados confidenciais
* Responsabilidades do pessoal pela segurana de informao
* Funcionrios que deixam o emprego
Firewall
Este captulo trata de um dos principais componentes de segu-

rana de qualquer organizao: o firewall. Tem como objetivo discu-
tir a definio do termo firewall, que vem sofrendo modificaes
com o tempo, alm de abordar a evoluo que vem ocorrendo neste
importante componente. As arquiteturas de um firewall, que tm
como evoluo natural o firewall cooperativo, tambm so apresen-
tadas, passando pelas questes de desempenho, mercado, avalia-
o, testes e problemas encontrados, at a concluso de que o firewall
por si s no garante a segurana de uma organizao.
7.1 DEFINIO E FUNO

C A necessidade de utilizao cada vez maior da Internet pelas
organizaes e a constituio de ambientes cooperativos levam a
a
uma crescente preocupao quanto segurana. Como conseqn-
p cia, pode-se ver uma rpida evoluo nessa rea, principalmente
com relao ao firewall, que um dos principais, mais conhecidos e
t antigos componentes de um sistema de segurana. Sua fama, de
certa forma, acaba contribuindo para a criao de uma falsa expec-
u tativa quanto segurana total da organizao, como ser discuti-
l do na Seo 7.10, alm de causar uma mudana ou mesmo uma
o banalizao quanto sua definio. Alguns dos diversos conceitos
relacionados ao termo firewall so:
7
SEGURANA DE REDES EM AMBIENTES COOPERATIVOS Captulo 7: Firewall
206 207
* Tecnologia do firewall, que pode ser filtro de pacotes (static packet filter),
proxy (application-level gateway e circuit-level gateway) ou filtro de pacotes
baseados em estados (dynamic packet filter, stateful packet filter). Essas e
outras tecnologias sero discutidas na Seo 7.3, durante a anlise da evolu-
o tcnica dos firewalls.
* Arquitetura do firewall, que utiliza componentes como roteadores
escrutinadores, proxies, zonas desmilitarizadas (DeMilitarized Zone DMZ ou
perimeter network) e bastion hosts. Eles formam as arquiteturas conhecidas
como Dual-Homed Host Architecture, Screened Host Architecture e Screened
Subnet Architecture, que so as arquiteturas clssicas, cuja abordagem ser
discutida na Seo 7.4. Os componentes que formam uma arquitetura sero
discutidos na Seo 7.2. Ser visto tambm que novos componentes e funcio- Figura 7.1 Definio de firewall.
nalidades foram introduzidos ao firewall, mas no foram includos nas arqui-
teturas clssicas. Assim, uma nova arquitetura, que contempla o que surgiu Assim, esse ponto nico constitui um mecanismo utilizado para proteger, geral-
de novo, tambm ser apresentada na Seo 7.4. mente, uma rede confivel de uma rede pblica no-confivel. O firewall pode ser
* Produtos comerciais, como Check Point Firewall-1, Network Associates Incs utilizado tambm para separar diferentes sub-redes, grupos de trabalho ou LANs
Gauntlet, Cisco Pix Firewall, Watchguard e outros. dentro de uma organizao.
* Produtos integrantes da arquitetura do firewall, como roteadores (Cisco IOS) Os mecanismos utilizados pelo firewall para controlar o trfego sero vistos na
ou proxies (Microsoft Proxy). Seo 7.3 e o modo de criar a poltica de segurana para as regras de filtragem, para
* Tecnologia responsvel pela segurana total da organizao (Seo 7.10). ento implement-la, ser visto no Captulo 13.
O firewall tambm pode ser definido como um sistema ou um grupo de sistemas
A mais antiga definio para firewalls foi dada por Bill Cheswick e Steve Bellovin, que refora a poltica de controle de acesso entre duas redes e, portanto, pode ser
em Firewalls and Internet Security: Repelling the Wily Hacker [CHE 94]. Segundo visto como uma implementao da poltica de segurana. Ele to seguro quanto a
eles, o firewall um ponto entre duas ou mais redes, no qual circula todo o trfego. poltica de segurana com que ele trabalha e no se deve esquecer que um firewall
A partir desse nico ponto, possvel controlar e autenticar o trfego, alm de muito restritivo e, portanto, mais seguro, no sempre transparente ao usurio.
registrar, por meio de logs, todo o trfego da rede, facilitando sua auditoria [AVO Caso isso acontea, alguns usurios podem tentar driblar a poltica de segurana da
99]. organizao para poder realizar algumas tarefas a que estavam acostumados antes
J Chapman [CHA 95] define firewall como sendo um componente ou conjunto de sofrerem uma restrio, como foi visto na Seo 3.9.
de componentes que restringe o acesso entre uma rede protegida e a Internet, ou Assim, o firewall um conjunto de componentes e funcionalidades que definem
entre outros conjuntos de redes. a arquitetura de segurana, utilizando uma ou mais tecnologias de filtragem, como
Partindo-se dessas duas definies clssicas, pode-se dizer que o firewall um pode ser visto na Figura 7.2. Os produtos comerciais implementam em parte os
ponto entre duas ou mais redes, que pode ser um componente ou um conjunto de componentes, as funcionalidades e as tcnicas de filtragem, sendo eles prprios
componentes, por onde passa todo o trfego, permitindo que o controle, a autenti- uma parte do firewall. Isso ocorre porque o produto comercial no pode ser conside-
cao e os registros de todo o trfego sejam realizados, como pode ser visto na rado isoladamente, sendo necessrio o uso de outros componentes, como o roteador
Figura 7.1. escrutinador. Tcnicas de segurana que envolvem a arquitetura, como o e-mail
relay, tambm fazem parte de uma rede segura, possuindo uma relao direta com
o firewall.
208 209
do um conjunto de regras de filtragem estticas com as informaes dos cabealhos

dos mesmos, tomar decises com base nos estados das conexes, como ser visto,
respectivamente, nas sees 7.3.1 e 7.3.2.
Figura 7.2 O firewall um conjunto de componentes, funcionalidades, arquitetura e 7.2.2 Proxies

tecnologias.
Os proxies so sistemas que atuam como um gateway entre duas redes, permitin-
do as requisies dos usurios internos e as respostas dessas requisies, de acordo
7.2 FUNCIONALIDADES com a poltica de segurana definida. Eles podem atuar simplesmente como um
relay, podendo tambm realizar uma filtragem mais apurada dos pacotes, por atuar
O firewall composto por uma srie de componentes, sendo que cada um deles
na camada de aplicao do modelo International Organization for Standadization/
tem uma funcionalidade diferente e desempenha um papel que influi diretamente
Open Systems Interconnection (ISO/OSI). Os proxies sero vistos com mais detalhes
no nvel de segurana do sistema. Algumas dessas funcionalidades formam os cha-
na Seo 7.3.3.
mados componentes clssicos de um firewall, definidos por Chapman [CHA 95]. As
quatro primeiras funcionalidades (filtros, proxies, bastion hosts, zonas
desmilitarizadas) fazem parte desse grupo e as trs funcionalidades restantes (Network 7.2.3 Bastion hosts
Address Translation NAT, Rede Privada Virtual [Virtual Private Network VPN], Os bastion hosts so os equipamentos em que so instalados os servios a serem
autenticao/certificao) foram inseridas no contexto, devido evoluo natural oferecidos para a Internet. Como esto em contato direto com as conexes exter-
das necessidades de segurana. O balanceamento de cargas e a alta disponibilidade nas, os bastion hosts devem ser protegidos da melhor maneira possvel. Essa mxi-
tambm possuem uma grande importncia, principalmente porque todo o trfego ma proteo possvel significa que o bastion host deve executar apenas os servios
entre as redes deve passar pelo firewall. Essas funcionalidades, que podem ser vistas e aplicaes essenciais, bem como executar sempre a ltima verso desses servios
na Figura 7.3, so discutidas nas sees a seguir. Algumas delas sero discutidas e aplicaes, sempre com os patches de segurana instalados imediatamente aps
com mais detalhes na Seo 7.3, dentro do contexto da evoluo dos firewalls. sua criao. Assim, os bastion hosts podem ser chamados tambm de servidores
fortificados, com a minimizao dos possveis pontos de ataque. Uma grande interao
ocorre entre os bastion hosts e a zona desmilitarizada (DMZ), pois os servios que
sero oferecidos pela DMZ devem ser inequivocamente instalados em bastion hosts.
7.2.4 Zona desmilitarizada

A zona desmilitarizada (DeMilitarized Zone DMZ), ou perimeter network,
uma rede que fica entre a rede interna, que deve ser protegida, e a rede externa.
Essa segmentao faz com que, caso algum equipamento dessa rede desmilitarizada
Figura 7.3 Funcionalidades do firewall. (um bastion host) seja comprometido, a rede interna continue intacta e segura. A
DMZ ser melhor discutida no Captulo 12, quando ser possvel entender sua im-
7.2.1 Filtros portncia e necessidade.
Os filtros realizam o roteamento de pacotes de maneira seletiva, ou seja, acei-

tam ou descartam pacotes por meio da anlise das informaes de seus cabealhos. 7.2.5 Network address translation (NAT)
Essa deciso tomada de acordo com as regras de filtragem definidas na poltica de O NAT no foi criado com a inteno de ser usado como um componente de
segurana da organizao. Os filtros podem, alm de analisar os pacotes comparan- segurana, mas sim para tratar de problemas em redes de grande porte, nas quais a
210 211
escassez de endereos IP representa um problema. Dessa maneira, a rede interna rana, para que a consistncia entre os dois sistemas esteja sempre em ordem.
pode utilizar endereos IP reservados (Request For Comments, RFC 1918), sendo o Mecanismos de sincronizao das regras de filtragem podem ser usados para a ma-
NAT o responsvel pela converso desses endereos invlidos e reservados para en- nuteno da consistncia.
dereos vlidos e roteveis, quando a rede externa acessada. Sob o ponto de vista J a alta disponibilidade tem como objetivo o estabelecimento de mecanismos
da segurana, o NAT pode, assim, esconder os endereos dos equipamentos da rede para a manuteno dos servios, de modo que eles estejam sempre acessveis para
interna e, conseqentemente, sua topologia de rede, dificultando os eventuais ata- os usurios. A disponibilidade pode ser mantida, por exemplo, em um cenrio no
ques externos. qual o firewall tem problemas e fica indisponvel, sendo, assim, necessrio que o
backup do firewall passe a funcionar no lugar do original. A verificao da disponi-
7.2.6 Rede privada virtual (VPN) bilidade ou no do firewall pode ser feita com mecanismos conhecidos como heartbeat,
por exemplo.
A Virtual Private Network (VPN) foi criada, inicialmente, para que redes baseadas
em determinados protocolos pudessem se comunicar com redes diferentes, como o
trfego de uma rede X.25 passando por uma rede baseada em Internet Protocol (IP). 7.3 A EVOLUO TCNICA
Como no aceitvel que as informaes, normalmente de negcios, trafeguem sem
O firewall considerado uma tecnologia antiga na indstria de segurana, mas
segurana pela Internet, a VPN passou a utilizar conceitos de criptografia para manter
ainda no pode ser definido como estvel, pois ele continua em um constante
o sigilo dos dados. Mais do que isso, o IP Security (IPSec), protocolo-padro de fato
processo de evoluo. Isso acontece, principalmente, devido ao aumento da comple-
das VPNs, garante, alm do sigilo, a integridade e a autenticao desses dados. As
xidade das redes das organizaes, que adicionam cada vez mais caractersticas e
redes privadas virtuais sero discutidas com mais detalhes no Captulo 10.
funcionalidades que precisam ser protegidas. Algumas das funcionalidades adicio-
nadas ao firewall so importantes para a produtividade, como nos casos do NAT ou
7.2.7 Autenticao/certificao da VPN. Outras funcionalidades so respostas demanda do mercado, como a inser-
A autenticao e a certificao dos usurios podem ser baseadas em endereos o de servios- por exemplo, o servidor Web- destinados a organizaes pequenas,
IP, senhas, certificados digitais, tokens, smartcards ou biometria. Tecnologias auxi- que podem, no entanto, acabar tendo um resultado inverso, ou seja, podem ser
liares so a infra-estrutura de chaves pblicas (Public Key Infrastructure PKI) e o perigosos para a segurana da rede da organizao (Seo 3.8).
Single Sign-On (SSO). Os aspectos da autenticao dos usurios e o SSO sero co- A crescente utilizao da Internet para os negcios, combinada com incidentes,
mentados no Captulo 11 e a infra-estrutura de chaves pblicas ser abordada na como o de Morris Worm [SCH 00], mostrou que este um mundo de novas oportu-
Seo 9.6. nidades, porm um terreno pantanoso para a realizao desses negcios. Assim, a
necessidade de um nvel de segurana melhor e mais granular fez com que empresas
como DEC e AT&T desenvolvessem solues para o acesso seguro Internet. Algu-
7.2.8 Balanceamento de cargas e alta disponibilidade
mas dessas solues e tornaram-se produtos comerciais (DEC, Raptor, ANS e TIS),
Como pode ser visto pela sua prpria definio, o firewall deve ser o nico ponto que se concentraram na segurana de servios bsicos como Telnet, File Transfer
de acesso a uma determinada rede, de modo que todo o trfego deve passar por ele. Protocol (FTP), e-mail e news Usenet [AVO 99].
Assim, ele pode representar tambm o gargalo dessa rede, sendo recomendvel que Os primeiros firewalls foram implementados em roteadores, no final da dcada de
mecanismos de contingncia sejam utilizados. 80, por serem os pontos de ligao natural entre duas redes. As regras de filtragem
O balanceamento de cargas de firewalls um desses mecanismos, que visa dos roteadores, conhecidas tambm como lista de controle de acesso (Access Control
diviso do trfego entre dois firewalls que trabalham paralelamente. Um mtodo de List CRL), tinham como base decises do tipo permitir ou descartar os pacotes,
balanceamento pode ser, por exemplo, o round robin, no qual cada firewall da lista que eram tomadas de acordo com a origem, o destino e o tipo das conexes [AVO 99].
recebe uma conexo de cada vez. Outros mtodos de balanceamento de carga podem Os filtros de pacotes tornam possvel o controle das conexes que podiam ser
ser baseados em pesos, na conexo menos utilizada ou na prioridade. Os firewalls feitas para o acesso aos recursos da organizao, separando, assim, a rede externa,
com a carga balanceada devem operar exatamente com a mesma poltica de segu- no confivel, da rede interna da organizao.
212 213
A partir disso, tudo mudou rapidamente, de modo que a prpria definio de geralmente, colocadas em equipamentos especficos ou caixas pretas, tambm co-
que o firewall deve separar ns deles foi modificada. O mundo tornou-se mais nhecidas como firewall appliances, como ser abordado na Seo 7.6.
integrado, e os servios bsicos, hoje, so o acesso Web, acesso a bancos de dados Essa integrao entre firewalls e novas funcionalidades, porm, deve ser feita
via Internet, acesso a servios internos da organizao pela Internet, servios de com cuidado, pois vai ao encontro do dogma da segurana, que diz que a seguran-
udio, vdeo, videoconferncia, voz sobre IP (Voice Over IP VoIP), entre tantos a e a complexidade so inversamente proporcionais (Seo 3.8) e, portanto, podem
outros. Com isso, as organizaes tm cada vez mais usurios utilizando uma maior comprometer a segurana em vez de aument-la. Uma boa prtica separar as
variedade de servios. Os usurios muitas vezes acessam servios fundamentais, funes (gerenciamento na Web e gerenciamento de segurana), a no ser que a
como se estivessem fisicamente dentro da organizao, como acontece nos ambien- organizao seja pequena e que o administrador do firewall seja tambm o Webmaster
tes cooperativos. e o administrador de todos os sistemas da organizao, no existindo outra soluo.
Dessa maneira, os novos requisitos de segurana fizeram com que os firewalls se Mas a organizao que adotar essa postura deve estar ciente de que, quanto mais
tornassem mais complexos, resultando nos avanos verificados nas tecnologias de funes o firewall possuir, maiores so as chances de alguma coisa sair errado. Alm
filtro de pacotes, proxies, filtragem de pacotes baseado em estados, hbridos e disso, quanto maior for o nmero de servios, maiores sero os registros (logs)
adaptativos. Os dois ltimos surgiram em 1999, mas estes so, na realidade, uma gerados, que aumentam a carga de trabalho com a vigilncia e monitoramento dos
mistura das tecnologias j existentes, como ser mostrado a seguir. Alm disso, acessos. E, quanto maior for o nmero de usurios, maior ser o trabalho com a
diferentes nomes surgiram para tecnologias de firewalls supostamente novas, tais administrao, o que leva a uma maior possibilidade de erros, representando novos
como o firewall reativo e o firewall individual ou pessoal, mas que, como ser visto riscos organizao.
a seguir, so, na realidade, apenas firewalls com novas funcionalidades ou fins As principais tecnologias de firewalls e suas variaes sero discutidas nas pr-
especficos. ximas sees e podem ser vistas na Figura 7.4.
Alm dos avanos da tecnologia e das funcionalidades inseridas nos firewalls,
outros servios da rede e de segurana passaram a ser incorporados. Alguns desses
servios so:
* Autenticao.
* Criptografia (VPN).
* Qualidade de servio.
* Filtragem de contedo.
* Antivrus.
Figura 7.4 As principais tecnologias de firewall.
* Filtragem de URL.
* Filtragem de palavras-chave para e-mails.
* Filtragem de spam.
7.3.1 Filtro de pacotes
A tecnologia de filtro de pacotes funciona na camada de rede e de transporte da
Pode-se considerar, assim, que, atualmente, existe uma tendncia de adicionar pilha TCP/IP, de modo que realiza as decises de filtragem com base nas informa-
cada vez mais funcionalidades aos firewalls, que podem no estar relacionadas ne- es do cabealho dos pacotes, tais como o endereo de origem, o endereo de
cessariamente segurana. Alguns exemplos so o gerenciamento de banda, o destino, a porta de origem, a porta de destino e a direo das conexes. Os campos
balanceamento de cargas para servios, o servidor Web, o servidor FTP, o servidor dos cabealhos IP e TCP que podem ser usados pelo firewall esto destacados nas
DNS, o servidor de e-mail ou o servidor proxy (no relacionados segurana, como figuras 7.5 e 7.6. possvel observar que o sentido das conexes verificado com
proxy de stream de udio e vdeo), que podem ser integrados. Essas integraes so, base nos flags SYN, SYN-ACK e ACK do handshake do protocolo TCP.
214 215
Figura 7.8 Campos do cabealho UDP usados pelo firewall.
Assim, as regras dos filtros de pacotes so definidas de acordo com endereos IP

ou com os servios (portas TCP/UDP relacionadas) permitidos ou proibidos, e so
estticas, de modo que esse tipo de firewall conhecido tambm como static packet
filtering. Para pacotes Internet Control Message Protocol (ICMP), a filtragem feita
Figura 7.5 Campos do cabealho IP usados pelo firewall.
por cdigo e por tipo de mensagem de controle ou erro.
O fato de trabalhar na camada de rede e de transporte faz com que ele seja
simples, fcil, barato e flexvel de ser implementado. Assim, a maioria dos roteadores,
que j atuam como gateways, tem tambm essa capacidade. Isso torna o filtro de
pacotes transparente ao usurio, garantindo tambm um maior desempenho, em
comparao aos proxies. Em contrapartida, o filtro de pacotes garante um menor
grau de segurana, pois os pacotes podem facilmente ser falsificados ou criados
especificamente para que passem pelas regras de filtragem definidas. Alm disso,
um filtro de pacotes no capaz de distinguir entre pacotes verdadeiros e falsifica-
dos. A capacidade de verificao do sentido dos pacotes para determinar se um
pacote vem da rede externa ou interna e sua apropriada configurao so essenciais
Figura 7.6 Campos do cabealho TCP usados pelo firewall. para evitar ataques como o IP spoofing (Seo 4.5.9). Na realidade, o que pode ser
evitado a explorao de endereos de equipamentos internos por um host externo,
A filtragem das conexes UDP e ICMP feita pelo firewall so um pouco diferentes sendo impossvel um filtro de pacotes impedir o IP spoofing de endereos pblicos,
da realizada nas conexes TCP. Com relao ao UDP, no possvel filtrar os pacotes verdadeiros ou falsificados.
com base no sentido das conexes, pois o UDP no orientado a conexes, no Outro problema que pode acontecer com os filtros de pacotes est relacionado
existindo assim os flags (Figura 7.7). J com relao ao ICMP, a filtragem feita com ao tipo de resposta que enviado a um pedido de conexo que bloqueado. Depen-
base nos tipos e cdigos das mensagens (Figura 7.8). dendo da configurao, a organizao pode ser alvo de port scanning (Seo 4.5.7),
fingerprinting (Seo 4.5.7) e de outras tcnicas de mapeamento.
Outra conseqncia da simplicidade dos filtros de pacotes sua limitao com
relao a logs e aos alarmes. Alm disso, a compatibilidade com servios como FTP,
X11, RPC e H.323 no simples de ser implementada apenas com base no cabealho
desses pacotes, porque esses servios utilizam dois ou mais canais de comunicao ou
portas dinmicas. Existe outro problema com esse tipo de filtro, que com relao
fragmentao de pacotes (Seo 4.6.3), que podem passar pelo firewall por meio da
Figura 7.7 Campos do cabealho UDP usados pelo firewall.
validao apenas do primeiro pacote fragmentado, com os pacotes posteriores pas-
sando pelo filtro sem a devida verificao, resultando em possveis vazamentos de
informaes e em ataques que tiram proveito dessa fragmentao (Seo 4.6.5).
216 217
As vantagens do filtro de pacotes so: pacotes. A Regra 3 nega qualquer outra tentativa de conexo e recomendado que
seja usada explicitamente, mesmo que o firewall implemente a regra de uma manei-
* Baixo overhead/alto desempenho da rede. ra padro.
* barato, simples e flexvel. No exemplo do cavalo de Tria, o canal aberto pela Regra 2 pode ser explorado
* bom para o gerenciamento de trfego. para que o backdoor seja utilizado no ataque. Nesse caso, o atacante inicia uma
* transparente para o usurio. conexo usando a porta 80, tendo como destino a porta alta aberta no usurio pelo
backdoor.
As desvantagens do filtro de pacotes so: Assim, as regras do filtro de pacotes nem sempre so capazes de proteger ade-
quadamente todos os sistemas. possvel proteger a rede interna contra esse tipo
* Permite a conexo direta para hosts internos de clientes externos. de ataque usando regras que usem tambm flags TCP como o SYN (Tabela 7.2). Nela,
* difcil de gerenciar em ambientes complexos. possvel observar que a Regra 2 permite somente a passagem de pacotes de cone-
* vulnervel a ataques como o IP spoofing, a menos que seja configurado para xes j estabelecidas, as quais so as respostas s requisies HTTP dos clientes.
que isso seja evitado (apenas falsificao de endereos internos). Porm, os filtros de pacotes baseados em estados constituem uma soluo mais
* No oferece a autenticao do usurio. elegante, e sero discutidos na prxima seo.
* Dificuldade de filtrar servios que utilizam portas dinmicas, como o RPC.
* Deixa brechas permanentes abertas no permetro da rede. Tabela 7.2 Regras de filtragem do filtro de pacotes, usando flags TCP.
Regra End. de Origem:Porta de origem:Flag End. de Destino:Porta de Destino Ao
As brechas permanentes nos filtros de pacotes ocorrem porque as conexes que 1 IP da rede interna:porta alta:SYN Qualquer endereo:80 (HTTP) Permitir
2 Qualquer endereo:80 (HTTP) IP da rede interna:porta alta Permitir
possuem regras especficas de permisso passam livremente pelo firewall e so est- 3 Qualquer endereo:Qualquer porta Qualquer endereo:Qualquer porta Negar
ticas. Isso abre possibilidades de ataques, que podem ser minimizadas pelo filtro de
pacotes baseado em estados.
Um cenrio de um possvel ataque pode ser exemplificado pelo uso de um cavalo 7.3.2 Filtro de pacotes baseado em estados
de Tria com um backdoor que o usurio instala em seu equipamento, o qual permi-
Os filtros de pacotes dinmicos (dynamic packet filter), tambm conhecidos como
te o acesso remoto para a captura de senhas digitadas e de telas da vtima.
filtros de pacotes baseados em estados (stateful packet filter), tomam as decises de
Neste exemplo, caso seja suposto que o firewall do tipo filtro de pacotes tenha
filtragem tendo como referncia dois elementos:
como nica regra de filtragem a permisso dos usurios internos a sites Web, as
regras seriam de acordo com a Tabela 7.1.
* As informaes dos cabealhos dos pacotes de dados, como no filtro de pacotes.
Tabela 7.1 Regras de filtragem do filtro de pacotes. * Uma tabela de estados, que guarda os estados de todas as conexes.
Regra End. de Origem:Porta de origem End. de Destino:Porta de Destino Ao
O firewall trabalha verificando somente o primeiro pacote de cada conexo, de
1 IP da rede interna:porta alta Qualquer endereo:80 (HTTP) Permitir
2 Qualquer endereo:80 (HTTP) IP da rede interna:porta alta Permitir acordo com as regras de filtragem. A tabela de conexes que contm informaes
3 Qualquer endereo:qualquer porta Qualquer endereo:qualquer porta Negar sobre os estados das mesmas ganha uma entrada quando o pacote inicial aceito, e
os demais pacotes so filtrados utilizando-se as informaes da tabela de estados.
Nesse exemplo, a Regra 1 permite que os usurios da rede interna iniciem a Assim como o filtro de pacotes, o filtro de pacotes baseado em estados tam-
requisio de uma pgina Web. Uma porta alta, com nmero maior do que 1023, bm trabalha na camada de rede da pilha TCP, tendo, portanto, um bom desempe-
usada pelo cliente de uma forma aleatria, para iniciar a requisio na porta 80 do nho. A diferena quanto ao filtro de pacotes que o estado das conexes
servidor Web. Uma vez que a conexo estabelecida, a resposta da requisio (a monitorado a todo instante, permitindo que a ao do firewall seja definida de
prpria pgina Web) recebida pelo cliente, passando pela Regra 2 do filtro de acordo com o estado de conexes anteriores mantidas em sua tabela de estados.
218 219
Isso permite tambm a segurana das sesses UDP, enquanto o bom desempenho
permanece.
Um firewall baseado em estados funciona da seguinte maneira [SPI 99]: quando
um cliente inicia uma conexo TCP usando um pacote SYN, ele comparado com as
regras do firewall, na ordem seqencial da tabela de regras, como em um filtro de
pacotes. Se o pacote passar por todas as regras existentes sem ser aceito, ele ser
descartado. Dessa forma, a conexo rejeitada, por exemplo, com um pacote RST
sendo enviado novamente ao cliente para que a conexo seja abortada ou com a
conexo podendo ser simplesmente ignorada, dependendo da configurao do firewall.
Caso o pacote seja aceito, a sesso inserida na tabela de estados do firewall, que
est na memria do kernel. Isso pode ser verificado na Figura 7.9.
Figura 7.10 Filtro de pacotes baseado em estados trabalhando na chegada dos demais
pacotes.
O desempenho do sistema melhora, pois apenas os pacotes SYN so comparados

com a tabela de regras do filtro de pacotes, e os pacotes restantes so comparados
com a tabela de estados, que fica no kernel, o que torna o processo mais rpido. Na
realidade, a tabela de regras do filtro de pacotes tambm permanece no kernel. O
melhor desempenho explicado pelo fato de o conjunto de regras na tabela de
estados ser menor e tambm porque a verificao nessa tabela de estados no
feita seqencialmente, como ocorre no filtro de pacotes, mas, sim, por meio de
tabelas hash.
justamente essa caracterstica que faz com que o filtro de pacotes baseado em
Figura 7.9 Filtro de pacotes baseado em estados trabalhando na chegada de pacotes SYN. estados seja uma soluo mais elegante na proteo de ataques, como o do uso de
backdoor, visto na seo anterior. Com esse tipo de firewall, o conjunto de regras
Para os demais pacotes, se a sesso estiver na tabela e o pacote fizer parte dessa pode levar em conta apenas os incios das conexes, que usam o flag SYN. Como
sesso, ele ser aceito. No entanto, se os pacotes no fizerem parte de nenhuma pode ser visto na Tabela 7.3, o conjunto de regras fica mais enxuto e, conseqente-
sesso presente na tabela de estados, eles sero descartados. Isso pode ser verifica- mente, mais fcil de administrar, minimizando as possibilidades de erros na sua
do na Figura 7.10. criao. No exemplo, a Regra 1 usada para verificar se uma conexo pode ser
iniciada, e a resposta requisio permitida com a verificao dos pacotes de
acordo com a tabela de estados do firewall. Caso um atacante tente acessar a porta
alta aberta pelo backdoor, ele no ter sucesso, pois a regra que permite essa cone-
xo no existe.
220 221
Tabela 7.3 Regras de filtragem do filtro de pacotes baseado em estados. negao de servios (DoS), que podem ser executados com o objetivo de encher a
Regra End. de Origem:Porta de origem End. de Destino:Porta de Destino Ao tabela de estados com o envio de muitos pacotes ACK, so prevenidos por meio da
1 IP da rede interna:porta alta Qualquer endereo:80 (HTTP) Permitir mudana do time-out de 3. 600 para 50 segundos, quando o mdulo de filtragem de
2 Qualquer endereo:qualquer porta Qualquer endereo:qualquer porta Negar
estados recebe um pacote FIN ou RST [SPI 99].
Uma outra abordagem para os pacotes ACK pode ser utilizada por outros firewalls.
Um processo de verificao diferente ocorre com pacotes ACK, como pode ser visto Como pode ser visto na Figura 7.12, apenas pacotes SYN podem iniciar uma cone-
na Figura 7.11. Quando um desses pacotes chega ao firewall, ele primeiramente xo, e sua sesso inserida na tabela de estados. Diferentemente do que foi mostra-
comparado com a tabela de estados. Caso no exista nenhuma sesso aberta para esse do na Figura 7.11, os pacotes ACK so filtrados apenas de acordo com a tabela de
pacote, ele passa a ser analisado de acordo com a tabela de regras do firewall. Se o estados.
pacote for aceito de acordo com a tabela de regras, ele passa pelo firewall e passa
assim a ter uma sesso aberta na tabela de estados. Com isso, os demais pacotes so
verificados de acordo com essa entrada na tabela de estados e passam pelo firewall,
sem a necessidade de comparao com a tabela de regras [SPI 99].
Figura 7.12 Filtro de pacotes baseado em estados tratando os pacotes ACK.
Quanto filtragem de pacotes UDP, que no utilizam o conceito de conexo e,

portanto, no fazem distino entre requisio e resposta, ou filtragem de paco-
Figura 7.11 Filtro de pacotes baseado em estados trabalhando na chegada de pacotes ACK. tes RPC, que utilizam alocao dinmica de portas, o filtro de pacotes baseado em
estados armazena dados de contexto. Assim, ele pode manter uma conexo virtual
O tempo de permanncia das sesses na tabela de estados determinado por um das comunicaes UDP ou RPC e, quando um pacote tenta entrar na rede, ele
perodo especfico. Um time-out de 60 segundos, por exemplo, utilizado quando o verificado de acordo com a tabela de estados. Caso haja uma entrada na tabela
pacote SYN aceito pelo firewall. Aps a primeira resposta, o time-out passa para 3. dizendo que a sesso est pendente, o pacote autorizado.
600 segundos, por exemplo, que um tempo maior usado para dificultar ataques de Teoricamente, o filtro de pacotes baseado em estados capaz de examinar por
SYN flooding (Seo 4.6.2). Porm, o firewall no se preocupa com o tipo de pacote meio da camada de aplicao, mas, na prtica, muito difcil executar essa funo,
da resposta, principalmente com relao ao nmero de seqncia dos pacotes. Al- pois o mdulo de verificao dos pacotes geralmente inserido entre as camadas 2
guns firewalls, como IPFilter, acompanham os nmeros de seqncia do TCP, dimi- e 3 da pilha TCP. Para controlar comandos FTP, por exemplo, seria necessrio saber
nuindo assim a amplitude de oportunidades de ataque. O Firewall-1, por outro lado, a quantidade de pacotes, guardar esses pacotes e saber por quanto tempo guard-
preocupa-se apenas com o endereo IP e com a porta. Pacotes FIN, RST no iniciam los, at que o ltimo pacote do comando seja recebido. Seria preciso tambm se
conexes, portanto no so inseridos na tabela de estados. Pacotes Xmas nunca so preocupar com a seqncia de pacotes, a fragmentao e os fragmentos overlapping,
inseridos na tabela de estados, porm so aceitos e registrados em logs. Ataques de o que no uma tarefa simples nem trivial.
222 223
Porm, algumas implementaes acrescentam essa funcionalidade. Exemplos de na, podendo assim ativar um sistema de alarme quando um trfego no apropriado
filtros de pacotes baseado em estados so o Context-Based Access Control (CBAC), da estiver em andamento. Alguns proxies podem realizar tambm a cache, comuns em
Cisco IOS Firewall [CIS 98-2], e o Inspect Engine da Checkpoint (Firewall-1) [CHE 98]. proxies HTTP, enquanto outros podem realizar filtragem de e-mails.
As vantagens do filtro de pacotes baseado em estado so: As diferenas entre o circuit-level gateway e o application-level gateway esto,
alm da camada TCP em que atuam, tambm no mecanismo de segurana utilizado.
* Aberturas apenas temporrias no permetro da rede. O primeiro funciona apenas como relay entre o cliente e o servidor externo, porm
* Baixo overhead/alto desempenho da rede. sem realizar a verificao dos servios. Isso pode causar um problema de segurana:
* Aceita quase todos os tipos de servios. se outro servio utilizar a porta 80, que o padro HTTP, o circuit-level gateway no
saber diferenciar esses pacotes, permitindo que eles passem pelo proxy. J o
As desvantagens do filtro de pacotes baseado em estados so: application-level gateway, ao trabalhar na camada de aplicao, permite que o payload
dos pacotes seja filtrado, como o caso das filtragens que ocorrem em tags HTML
* Permite a conexo direta para hosts internos a partir de redes externas. feitas pelo proxy HTTP.
* No oferece autenticao do usurio, a no ser via gateway de aplicao O esquema de funcionamento tpico dos proxies que o cliente deve, primeira-
(application gateway). mente, se conectar ao servidor proxy, que libera o acesso aps a autenticao. Uma
vez autenticado, o cliente envia sua requisio ao proxy, que a retransmite ao servi-
7.3.3 Proxy dor. A resposta do servidor externo passa tambm pelo proxy, com este funcionando
como um gateway entre o cliente e o servidor. Duas conexes so iniciadas em cada
O proxy funciona por meio de relays de conexes TCP, ou seja, o usurio se
requisio: uma do cliente para o proxy, e outra do proxy para o servidor. Isso
conecta a uma porta TCP no firewall, que ento abre outra conexo com o mundo
protege o cliente e o servidor por meio do controle de requisio de servios, proi-
exterior. O proxy pode trabalhar tanto na camada de sesso ou de transporte (circuit
bindo certos eventos no nvel de aplicao (no application-level gateway), tais como
level gateway) quanto na camada de aplicao (application level gateway) (Figura
o FTP PUT ou o FTP GET.
7.13), o que lhe d mais controle sobre a interao entre o cliente e o servidor
A necessidade de modificar as aplicaes-cliente para a interao com o proxy
externo.
vem diminuindo com o avano da tecnologia [SKO 98], como pode ser observado no
proxy transparente (Seo 7.3.3.1). Porm, a escalabilidade ainda constitui um pro-
blema, devido necessidade de um proxy diferente para cada aplicao.
As vantagens do proxy so:
* No permite conexes diretas entre hosts internos e hosts externos.

Figura 7.13 Os tipos de proxies. * Aceita autenticao do usurio.
* Analisa comandos da aplicao no payload dos pacotes de dados, ao contrrio
A conexo direta entre um usurio interno e o servidor externo no permitida do filtro de pacotes.
por meio dessa tecnologia e o reendereamento do trfego, ao fazer com que o * Permite criar logs do trfego e de atividades especficas.
trfego parea ter origem no proxy, mascara o endereo do host interno, garantindo
assim uma maior segurana da rede interna da organizao. As desvantagens do proxy so:
O servidor proxy funciona como um daemon e no utiliza um mecanismo geral
de controle de trfego, mas sim um cdigo especial para cada servio a ser aceito. O * mais lento do que os filtros de pacotes (somente o application-level gateway).
cdigo de um proxy no considerado complexo o suficiente para conter erros que * Requer um proxy especfico para cada aplicao.
possam ser explorados em ataques [RAE 97]. Uma das grandes vantagens dos proxies * No trata pacotes ICMP.
a possibilidade de registrar todo o trfego, seja ele com origem interna ou exter-
224 225
* No aceita todos os servios. pacotes com base em estados, para os servios em que o desempenho o mais
* Requer que os clientes internos saibam sobre ele (isso vem mudando com o importante. Assim, os servios mais bem manipulados pelos filtros de pacotes, como
proxy transparente, veja a Seo 7.3.3.1). o Telnet, utilizam o filtro de pacotes, enquanto os servios que necessitam de
filtragem no nvel de aplicao, como o FTP, utilizam o proxy. Atualmente, a maioria
7.3.3.1 Proxy transparente dos firewalls comerciais hbrida, aproveitando as melhores caractersticas dos fil-
tros de pacotes, filtros de pacotes baseados em estados e proxies para cada um dos
O proxy transparente um servidor proxy modificado, que exige mudanas na
servios especficos.
camada de aplicao e no kernel do firewall. Esse tipo de proxy redireciona as ses-
ses que passam pelo firewall para um servidor proxy local de modo transparente,
eliminando, assim, a necessidade de modificaes no lado cliente ou na interface 7.3.5 Proxies adaptativos
com o usurio [TRA 98]. Os clientes (software e usurio) no precisam saber que A evoluo tcnica dos firewalls fez com que um outro conceito, parecido, mas
suas sesses so manipuladas por um proxy, de modo que suas conexes so trans- diferente dos firewalls hbridos, fosse desenvolvido. A diferena entre o firewall
parentes, como se elas fossem diretas para o servidor. hbrido e o proxy adaptativo est na forma de usar diferentes tecnologias simulta-
Um exemplo pode ser visto no Linux, quando o redirecionamento transparente neamente. O firewall hbrido utiliza os mecanismos de segurana paralelamente, o
dos pacotes para o proxy (squid, no exemplo) manipulado pelo IPtables: que no representa aumento no nvel de segurana, apenas uma maior flexibilidade
na utilizao de filtros de pacotes, filtros de pacotes baseado em estados e proxies
iptables -t nat -A PREROUTING -i eth0 -s ! endereo-squid -p tcp dport 80 para servios especficos. J o proxy adaptativo (adaptative proxy) utiliza mecanis-
-j DNAT to endereo-squid:8080 mos de segurana em srie, o que traz benefcios para o nvel de segurana da rede
iptables -t nat -A POSTROUTING -o eth0 -s rede-local -d endereo-squid -j da organizao [AVO 99]. Como pode ser observado no exemplo do protocolo FTP, a
SNAT to endereo-iptables seguir, o proxy adaptativo capaz de utilizar dois mecanismos de segurana dife-
iptables -A FORWARD -s rede-local -d endereo-squid -i eth0 -o eth0 -p tcp rentes para a filtragem de um mesmo protocolo.
dport 8080 -j ACCEPT A arquitetura de proxy adaptativo tem duas caractersticas que no so encon-
tradas em outros tipos de firewalls [WES 98]:
A primeira regra envia os pacotes que no tm como origem eles prprios para o
proxy Squid, que est funcionando na porta 8080 no exemplo. A segunda regra * Monitoramento bidirecional e mecanismo de controle entre o proxy adaptativo
importante para que a resposta seja enviada de volta ao IPtables, em vez de ser e o filtro de pacotes baseado em estados (Seo 7.3.2).
enviada diretamente ao cliente. J a terceira regra a responsvel pelo direcionamento * Controle dos pacotes que passam pelo proxy adaptativo, com a habilidade de
dos pacotes do IPtables para o Squid. dividir o processamento do controle e dos dados entre a camada de aplicao
Os detalhes do modo de funcionamento, com a especificao de chamadas a (application-level gateway) e a camada de rede (filtro de pacotes e filtro de
sistemas, para sesses TCP e UDP, que so tratadas de maneiras diferentes, podem pacotes baseado em estados).
ser observados em [TRA 98]. Por meio desses detalhes, possvel verificar que
relativamente simples modificar um servidor proxy existente para que ele seja trans- Com o uso dessas duas caractersticas, o proxy adaptativo direciona o controle
parente, com o servidor local atuando como um simples redirecionador de pacotes. dos pacotes de acordo com as regras por ele definidas. Caso seja determinado que os
pacotes necessitam de maior segurana, esse fluxo de pacotes direcionado para o
7.3.4 Firewalls hbridos proxy de aplicao (application-level gateway), que realiza um controle no nvel de
aplicao. Caso determinados pacotes precisem de maior desempenho, o proxy
Os firewalls hbridos misturam os elementos das trs tecnologias apresentadas
adaptativo direciona esse fluxo para os filtros de pacotes e de estados, que so bem
anteriormente, de modo a garantir a proteo dos proxies para os servios que
mais rpidos que os proxies. Um exemplo dos benefcios trazidos pelo proxy adaptativo
exigem alto grau de segurana e a segurana do filtro de pacotes, ou do filtro de
pode ser visto no FTP.
226 227
O FTP emprega duas conexes, uma para o trfego de controle e outra para a maior de tecnologias como o Peer-to-Peer (P2P) e a rede privada virtual (VPN),
transferncia dos dados. A conexo de controle, que envia os comandos FTP, pode ser combinadas com o crescimento do acesso de banda larga, mostram essa necessidade
processada na camada de aplicao pelo proxy adaptativo, de modo que ele pode de maior segurana nos hosts. Um problema que pode ser verificado na discusso
decidir quais comandos so permitidos ou proibidos. Quando o proxy adaptativo rece- dos aspectos de segurana do cliente VPN (Seo 10.5.1) que, com os usurios se
be pacotes da conexo de dados, as regras de filtragem do filtro de pacotes entram em tornando remotos, um firewall atuando no limite da rede no ser mais suficiente
ao na camada de rede, para decidir se a transferncia ou no permitida. para garantir a segurana da empresa. Um hacker poderia, por exemplo, atacar um
Assim, a arquitetura do proxy adaptativo combina eficientemente o alto grau de host cliente e utiliz-lo como ponte entre a Internet e a rede interna da organiza-
segurana do controle na camada de aplicao (proxies) e o desempenho do o, como pode ser visto na Figura 7.14.
processamento na camada de rede (filtro de pacotes e filtro de pacotes baseado em
estados) para realizar a filtragem em um mesmo protocolo, como o FTP.
O mecanismo de controle bidirecional permite que o proxy adaptativo gerencie
as duas conexes, de modo que, caso a conexo de controle seja encerrada, a cone-
xo de dados tambm finalizada. Se a conexo de dados terminar antes, o proxy
adaptativo ser notificado pelo mecanismo de controle, para que o trfego da cone-
xo de controle seja reiniciado [WES 98]. Um exemplo de firewall adaptativo o
Gauntlet, da Network Associates Inc.
7.3.6 Firewalls reativos

O passo seguinte da evoluo dos firewalls envolve o seu papel dentro da estrat-
gia de segurana. Os firewalls so, primariamente, designados para o controle de
Figura 7.14 Um hacker pode acessar a rede da organizao por meio do cliente VPN.
conexes, porm alguns fabricantes j chamam seus firewalls, que apresentam
integrao com sistemas de deteco de intruso (Intrusion Detection System, ou IDS,
De fato, essa uma possibilidade que no deve ser desprezada, principalmente
que sero vistos no prximo captulo) e sistemas de respostas, de firewalls reativos.
quando o crescimento desse tipo de acesso grande. O advento da computao
Os firewalls reativos incluem funes de deteco de intruso e alarmes, de
mvel e remota, somado computao sem fio, resultou na possibilidade de cone-
modo que a segurana mais ativa que passiva. Com a adio dessas funes, o
xo rede interna da organizao a partir de qualquer lugar, a qualquer momento,
firewall pode policiar acessos e servios, alm de ser capaz de mudar a configurao
por meio da VPN. Isso, porm, trouxe implicaes de segurana tambm para o host
de suas regras de filtragem de modo dinmico, enviar mensagens aos usurios e
do cliente, que, portanto, deve ser protegido de maneira adequada. Com isso, criou-
ativar alarmes [AVO 99]. O lado negativo dessa caracterstica que o firewall pode
se um contexto no qual uma poltica de segurana pode no ser suficiente ou
ser alvo de ataques de negao de servios (Denial-of-Service DoS), caso o hacker
praticamente impossvel de ser implementada. De fato, um equipamento que est
passe a enviar pacotes que acionem alarmes ou redefina as regras de filtragem de
dentro da organizao pode ser controlado, mas controlar um notebook ou um
um modo especfico. De fato, um sistema de deteco de intruso um componente
equipamento na casa de um funcionrio mais complicado. Dessa maneira, esses
importante do arsenal de defesa de qualquer organizao e ser discutido no prxi-
prprios equipamentos agora necessitam de uma proteo adequada para que a rede
mo captulo.
da organizao no seja comprometida.
Um firewall individual, ou firewall pessoal, uma das alternativas para a prote-
7.3.7 Firewalls individuais o das conexes de hosts individuais e a caracterstica desse tipo de firewall que
Uma tendncia que pode ser observada que, cada vez mais, as organizaes ele atua no na borda da rede da organizao, mas no prprio equipamento do
precisaro, alm do controle da rede, tambm do controle dos hosts. O uso cada vez usurio. Os diversos produtos atuam na camada de enlace de dados e filtram paco-
tes IP (TCP, UDP, ICMP), NetBEUI, IPX, ARP etc. [SIG 99].
228 229
Um firewall individual capaz de controlar o acesso aos recursos, bloquear de- uma tecnologia especfica de firewall, tais como proxies ou filtros baseados em
terminadas conexes, monitorar todo o trfego gerado ou que chega ao sistema, estados.
gerar regras de acordo com uma aplicao especfica que est funcionando e criar Foi visto que os filtros baseados em estados tm desempenho semelhante ao do
logs de todos os acessos do sistema. filtro de pacotes, com o aumento do nvel de segurana, de modo que um filtro de
Dependendo de cada produto, que tem suas especificidades, possvel criar pacotes, puro e simples, praticamente j no mais utilizado, a no ser nos roteadores.
regras de acordo com caractersticas como: O proxy importante para garantir a segurana em servios na camada de apli-
cao, como o caso do HTTP, em que a filtragem de algumas tags HTML impor-
* Quando um aplicativo especfico est funcionando. tante para a implementao da segurana exigida pela organizao. Esse mesmo
* De acordo com determinado dispositivo Ethernet ou serial. proxy HTTP pode realizar a filtragem de URLs, controlando o acesso a sites imprpri-
* Quando um nmero de telefone especfico utilizado. os, enquanto um proxy FTP pode realizar a filtragem de comandos do protocolo,
* Para servios, arquivos ou compartilhamentos especficos. como o PORT.
* Para endereos IP especficos. Assim, ainda existe a necessidade de utilizar filtros de estado para as conexes
* Para a direo de fluxo dos pacotes. que exigem mais desempenho, enquanto os proxies so necessrios para as cone-
* Para um usurio especfico. xes mais complexas e que exigem maior grau de segurana e controle. Isso explica
* Para conexes de VPN ou conexes discadas. o fato de a grande maioria dos firewalls, atualmente, se encaixarem no perfil de
firewalls hbridos.
Assim, por meio de um firewall individual, possvel obter uma proteo das Os proxies adaptativos possibilitam um controle ainda maior, ao separar o tipo
conexes do cliente, de modo que uma poltica que poderia ser seguida em um de filtragem dentro de um mesmo protocolo, como o caso do FTP, que utiliza o
ambiente cooperativo seria a de permitir somente as conexes remotas de clientes proxy para o seu canal de controle e o filtro de pacotes baseado em estados para o
que j estejam protegidos por um firewall individual. seu canal de dados.
Porm, no se deve esquecer de que um vrus sempre pode reescrever essas J os firewalls reativos fazem parte de uma evoluo natural, na qual um siste-
regras, mesmo que isso exija um trabalho extra para o atacante. Alm disso, basta ma de deteco e resposta a eventos de segurana importante, tendo a possibili-
que a soluo fique conhecida, para que ele passe a se tornar alvo dos atacantes. dade de os mesmos resultados serem obtidos por meio de um sistema de deteco de
importante, portanto, considerar o firewall individual apenas como um aumento no intruso (IDS).
nvel de segurana de uma organizao, no sendo suficiente para a garantia da Assim, a questo da melhor tecnologia a ser utilizada por uma organizao
segurana da rede. Uma eficiente poltica de atualizao e utilizao de antivrus, relativa, pois tudo deve ser analisado de acordo com o ambiente onde o firewall
por exemplo, deve ser adotada, impreterivelmente. dever funcionar. Caso uma organizao tenha como objetivo apenas liberar o aces-
Para os usurios domsticos, a proteo de seu sistema tornou-se uma necessi- so Web para seus usurios internos, um proxy seria mais do que suficiente. O proxy
dade to grande quanto a dos servidores das organizaes. A rpida e crescente HTTP pode ser usado para autenticar os usurios, realizar a filtragem de contedo
disseminao de worms e vrus fez com que os usurios domsticos, principalmente para minimizar a entrada de cdigos maliciosos e realizar o bloqueio de sites impr-
os de banda larga, fossem usados como intermedirios de outros ataques, como no prios. Ele ainda pode ser usado para prover estatsticas de uso, como a lista dos sites
ataque distribudo de negao de servios (Distributed Denial-of-Service DDoS). mais acessados e dos usurios mais ativos.
Assim, o firewall pessoal deve ser usado para a proteo individual de cada usurio. Alm do proxy, um filtro de pacotes no roteador, por exemplo, pode ser
usado para bloquear os pacotes que no forem relativos ao protocolo HTTP (por-
7.3.8 A melhor tecnologia de firewall ta 80). Nesse caso, de nada adiantaria, por exemplo, a instalao de um proxy
adaptativo. Tudo deve ser analisado e definido conforme as necessidades da
A evoluo natural dos firewalls pde ser observada por meio das sees
organizao.
anteriores. Atualmente, j no possvel que uma organizao utilize somente
230 231
Assim, a melhor tecnologia , sem dvida, aquela que melhor se adapta s banco de dados e infra-estrutura de chaves pblicas (PKI). As quatro arquiteturas
necessidades da empresa, levando-se em considerao o grau de segurana requerido firewall podem ser vistas na Figura 7.15.
do e a disponibilidade de recursos (tcnicos e financeiros) para sua implantao.
7.4 AS ARQUITETURAS
A arquitetura de um firewall tambm deve ser definida de acordo com as neces-
sidades da organizao, utilizando os componentes e as funcionalidades descritos
na Seo 7.2 e as tecnologias discutidas na Seo 7.3.
A rede desmilitarizada (DMZ) possui um papel essencial na arquitetura, pois
permite que servios sejam providos para os usurios externos (por meio de bastion
hosts) ao mesmo tempo em que protegem a rede interna dos acessos externos. Essa Figura 7.15 As arquiteturas de firewall.
proteo da rede interna feita pelo confinamento dos acessos externos nessa rede
desmilitarizada, de modo que, se um servidor da DMZ for atacado, o atacante no 7.4.1 Dual-homed host architecture
tem condies de chegar aos recursos internos.
a arquitetura formada por um equipamento que tem duas interfaces de rede
Como os servidores localizados na DMZ podem ser acessados diretamente pelo
(Figura 7.16) e funciona como um separador entre as duas redes. Os sistemas inter-
mundo externo, eles devem ser configurados de modo a funcionar com o mnimo
nos tm de ser conectados ao firewall para que possam se comunicar com os servi-
suficiente de recursos possveis para que o servio determinado seja disponibilizado.
dores externos e vice-versa, mas nunca diretamente. Assim, as comunicaes so
Esse servidor, com todas as funcionalidades desnecessrias eliminadas, conhecido
realizadas por meio de proxies ou conexes em duas etapas, nas quais o usurio se
como bastion host, ou servidor fortificado, e normalmente o alvo dos ataques
conecta primeiramente ao host dual-homed, para depois se conectar ao servidor
externos, pois os usurios tm acesso somente aos recursos localizados na DMZ.
externo. Essa ltima abordagem causa problemas, principalmente para o usurio,
Caso um desses servidores seja comprometido em um ataque, a rede interna da
pois o processo de acesso externo no transparente, o que acaba influindo na
organizao ainda estar protegida pela DMZ. Porm, para que isso seja verdade, a
produtividade dos usurios.
poltica de segurana e sua implementao devem estar totalmente de acordo com
O nico ponto de falha constitudo pelo firewall tambm deve ser considerado,
o estabelecido, principalmente porque, em um ambiente cooperativo, essa poltica
pois o risco da rede tornar-se indisponvel aumenta.
complexa o suficiente para possibilitar que sejam cometidos erros.
Para facilitar o entendimento, desenvolvimento, gerenciamento, implementao
e atualizao dessa poltica, sugerido um modelo no qual a segurana da rede da
organizao dividida em cinco nveis hierrquicos de defesa, que ser mostrado
no Captulo 13.
As arquiteturas clssicas do firewall, apresentadas por Chapman [CHA 95], so
as trs descritas a seguir; a quarta arquitetura a do firewall cooperativo, que
estende as arquiteturas clssicas ao ambiente cooperativo, tratando de componen-
tes como redes privadas virtuais (VPN), sistemas de deteco de intruso (IDS),
232 233
Figura 7.17 A arquitetura screened host.

Figura 7.16 A arquitetura dual-homed host.
Caso o bastion host oferea servios para a Internet, como um servidor Web, o
7.4.2 Screened host architecture filtro de pacotes deve permitir o acesso a ele somente na porta TCP correspondente,
Essa arquitetura (Figura 7.17) formada por um filtro de pacotes e um bastion que a porta 80, no caso do HTTP.
host. O filtro deve ter regras que permitam o trfego para a rede interna somente Um problema que podem ocorrer nessa arquitetura que, se o bastion host for
por meio do bastion host, de modo que os usurios externos que queiram acessar comprometido, o invasor j estar dentro da rede interna da organizao. Outro
um sistema da rede interna devem, primeiramente, se conectar ao bastion host. O problema que o filtro de pacotes e o bastion host formam um nico ponto de
bastion host pode funcionar tambm como um proxy, exigindo, assim, que os falha, de modo que, se ele for atacado, a comunicao da organizao com a Internet
usurios internos acessem a Internet por meio dele. Outra possibilidade a de ficar comprometida e a rede interna ficar merc do invasor.
usurios internos acessarem servios externos por meio de regras no filtro de
pacotes do bastion host. Essas duas possibilidades tambm podem ser mescladas, 7.4.3 Screened subnet architecture
resultando no firewall hbrido.
Essa arquitetura (Figura 7.18) aumenta o nvel de segurana com relao ar-
quitetura screened host ao adicionar a rede DMZ. Se, antes, um ataque ao bastion
host significava que o invasor j estaria com a rede interna disponvel para ele, isso
no ocorre na arquitetura screened subnet. O bastion host fica na DMZ, que uma
zona de confinamento entre a rede externa e a rede interna, que fica entre dois
234 235
filtros. A DMZ evita que um ataque ao bastion host resulte, por exemplo, na utiliza- Uma variao muito comum dessa arquitetura a utilizao de um equipamento
o de um sniffer para a captura de pacotes de usurios internos. com trs interfaces de rede, uma para a rede externa, outra para a rede interna e a
terceira para a rede DMZ (Figura 7.19). Os filtros funcionariam em cada interface,
sendo, portanto, conceitualmente, uma arquitetura screened subnet.
Figura 7.18 A arquitetura screened subnet.
Um ponto importante da arquitetura a definio dos filtros internos e exter- Figura 7.19 Uma variao da arquitetura screened subnet.
nos. Qualquer falha em sua definio ou implementao pode resultar em uma falsa
sensao de segurana. 7.4.4 Firewall cooperativo
O filtro externo deve permitir o trfego dos servios disponveis na DMZ, bem
O firewall cooperativo uma arquitetura em que so inseridos novos componen-
como o trfego das requisies dos usurios internos. J o filtro interno deve permi-
tes, como a VPN, o IDS e a PKI. As trs arquiteturas clssicas, abordadas anterior-
tir somente a passagem das requisies e respostas dos servios permitidos para os
mente, tratam de questes importantes, e na arquitetura do firewall cooperativo,
usurios internos. Permitir o trfego do bastion host para a rede interna poderia
elas sero estendidas s situaes encontradas em ambientes cooperativos. A utili-
comprometer a segurana da rede interna, caso ele seja atacado, alm de ser desne-
zao de proxies na arquitetura, por exemplo, vem sendo bem empregada nas orga-
cessrio.
nizaes e merece uma discusso mais aprofundada.
236 237
Os firewalls internos tambm tm uma importncia cada vez maior dentro das
organizaes, ao separar e filtrar as comunicaes entre departamentos internos
diferentes. No contexto dos ambientes cooperativos, essa importncia maior ain-
da, pois trabalhos colaborativos entre duas organizaes diferentes, por exemplo,
podem requerer uma arquitetura mais bem elaborada, caracterizada pelo muro
cada vez mais complexo que deve proteger a organizao (Figura 7.20). Os bolses
de segurana (Figura 7.21), vistos no Captulo 6, mostram de forma clara a situao
encontrada no exemplo dos trabalhos colaborativos. A arquitetura do firewall coo-
perativo (Figura 7.22) ser descrita e discutida no Captulo 13, quando ser possvel
analisar a formao e a evoluo de um ambiente cooperativo.
Figura 7.21 Modelo de bolses de segurana representado pelo firewall cooperativo.
Figura 7.20 O muro em um ambiente cooperativo.

238 239
O desempenho de um firewall pode ser analisado, de acordo com alguns fatores:
Hardware:
* Velocidade da placa de rede.
* Nmero de placas de rede.
* Tipo de barramento (PCI, EISA, SCSI etc.).
* Velocidade da CPU.
* Quantidade de memria.
Sofware:
* Cdigo do firewall.
* Sistema operacional.
* Pilha TCP/IP.
* Quantidade de processos sendo executados na mquina.
* Configurao, como a complexidade das regras de filtragem.
* Tipo de firewall: proxy ou filtro de pacotes baseado em estados?
No proxy, a CPU o fator mais importante, pois cada pacote deve ser desmonta-
do, analisado e remontado. No filtro de pacotes baseado em estados, a memria
RAM a mais importante, pois as informaes sobre os estados precisam estar
disponveis na memria, para uma maior rapidez nas respostas.
Figura 7.22 A arquitetura do ambiente cooperativo. Um ponto importante a ser considerado que os firewalls evoluram no requisito
desempenho, de modo que hoje existem firewalls que operam em Gigabit Ethernet,
podendo, assim, ser usados como firewalls internos e tambm em provedores de
7.5 O DESEMPENHO servios.
Como o firewall o responsvel pela anlise de todos os pacotes que passam De acordo com testes realizados, a capacidade varia entre 10 Mbps e 1 Gbps,
pelas conexes da rede, imprescindvel que ele tenha um desempenho satisfatrio, dependendo do tipo de firewall e do mercado a que ele destinado (Seo 7.6).
para que no se torne um gargalo na rede. Testes realizados [NEW 99] mostraram Quanto ao nmero de conexes simultneas, os firewalls testados conseguiram lidar
que, em 1999, os firewalls melhoraram seu desempenho em 30%, em comparao com uma variao entre mil e 500 mil conexes simultneas, que foi o caso de um
com os testes de 1998, e 300% em comparao com os testes de 1997, mostrando firewall na verso Gigabit Ethernet [CON 01].
uma evoluo natural. Atualmente, os firewalls podem ser usados praticamente em importante tambm considerar que o desempenho est relacionado com as
qualquer tipo de rede, pois sua capacidade melhorou substancialmente, existindo regras de filtragem. Como foi visto na Seo 7.3.3, os filtros de pacotes baseados em
verses para Gigabit Ethernet, que so capazes de operar a 1 Gbps, suportando 500 estados tm um desempenho melhor em comparao com os filtros de pacotes, pois
mil conexes concorrentes e 25 mil tneis VPN [CON 01]. a filtragem tem como base, na maioria das vezes, a tabela de estados que reside no
O desempenho essencial em um ambiente cooperativo, pois a complexidade kernel. A tabela de estados pode possuir um nmero de regras menor, e inspecio-
das conexes, com o grande conjunto de regras e o grande nmero de conexes nada por meio de tabelas hash, que so consideravelmente mais rpidas do que as
concorrentes, exige um grande poder de processamento para a anlise rpida de buscas seqenciais, comuns em filtros de pacotes.
todos os pacotes das conexes. De fato, um teste mostrou que o aumento em cem regras do conjunto de regras
de filtragem no resultou em impacto no desempenho de um filtro de pacotes
240 241
baseado em estados. Quando um filtro de pacotes foi testado, o firewall foi capaz de rana. Essa categoria de firewall appliances indicada para aqueles que tm
filtrar dez mil conexes por segundo; porm, quando o mesmo firewall foi configu- pouco conhecimento tcnico, devido sua facilidade de gerenciamento. A
rado como proxy, conseguiu filtrar apenas cem conexes por segundo, demonstran- capacidade de 10 Mbps.
do que, realmente, o proxy mais lento que o filtro de pacotes, em um fator de cem * Small Office Home Office SOHO (entre cinco e 50 usurios): mltiplos servi-
vezes [SNY 01]. os integrados, como firewall, servidor Web e servidor de e-mail, facilitam o
Porm, como foi discutido, diversos fatores devem ser considerados, que vo do gerenciamento e so destinados s organizaes com poucos recursos tcnicos
software ao hardware. A crescente necessidade de poder de processamento e capaci- para a administrao da segurana. Como esses produtos combinam diversas
dade cada vez maiores nos firewalls fez surgir uma tendncia de utilizao de equi- funcionalidades, importante saber qual a definio de firewall dos fabrican-
pamentos dedicados, conhecidos como firewall appliances, que sero discutidos na tes, assim como qual tecnologia empregada pelo firewall. Essa integrao
prxima seo. entre diversos servios pode trazer problemas de segurana, devido ao aumen-
to das funcionalidades, como foi visto na Seo 3.8. Alm disso, podem existir
problemas com a robustez dos logs de segurana e com os relatrios. A capa-
7.6 O MERCADO cidade de 1 Mbps.
Quando o amadurecimento do mercado de firewalls analisado, pode-se verificar
que, no incio, o mercado era formado por simples filtros nos gateways. Como em preciso tomar cuidado com relao aos diversos produtos que esto no merca-
todo mercado emergente, diversas pequenas e novas empresas passaram a oferecer do, pois a impresso que se tem de que os fabricantes esto aproveitando a fora
seus produtos. A demanda crescente fez com que os grandes fabricantes tambm do termo firewall e vendendo produtos como se fossem a soluo para todos os
entrassem no mercado, resultando em maiores opes de compra e na diminuio problemas de segurana das organizaes.
dos preos. Ao mesmo tempo, alguns dos novos fabricantes conseguiram sua conso- A grande afirmao que fica de que essa complexidade que vem sendo adicio-
lidao no mercado, fruto do pioneirismo e dos produtos eficientes. nada aos firewalls traz consigo uma dificuldade com relao confiana na verda-
Uma tendncia de mercado, que segue a necessidade de maior desempenho e deira segurana desses produtos. Utilizar um novo servio por meio do prprio
facilidade de gerenciamento, a utilizao de firewall appliances, que so produtos firewall fcil, pois o difcil implement-lo mantendo o mesmo nvel de seguran-
fornecidos pr-instalados com o hardware. a. Como foi visto na Seo 3.8, a segurana inversamente proporcional s suas
O mercado de firewalls pode ser dividido nos seguintes segmentos: funcionalidades e, portanto, essas adies devem ser evitadas ao mximo, pois
aumentam a probabilidade de vulnerabilidades, causando a diminuio do nvel de
* Provedor de servios (Internet Service Provider ISP): os firewalls com maior segurana da rede. O mais recomendado que o firewall seja o responsvel apenas
capacidade de filtragem, que suportam at 1 Gbps. pela segurana de borda ou de permetro da organizao, com os demais servios
* Corporativo (mais de mil usurios): so os firewalls clssicos, que se tornaram sendo oferecidos na rede DMZ.
fceis de gerenciar, mas necessitam de um profissional de segurana dedicado
sua manuteno. A capacidade de 100 Mbps. 7.7 A avaliao do firewall
* Small and Midsize Business SMB (entre 50 e mil usurios): sendo considera-
A complexidade e variedade de conexes, caractersticas de um ambiente coope-
dos tipicamente plugn play, esses produtos tm poucas opes de configura-
rativo, resultam na necessidade de uma estratgia de segurana bem definida, que
o e no permitem que o sistema operacional seja modificado. A filosofia
comea pelo uso do firewall para a proteo do permetro.
de que poucas escolhas resultam em melhor segurana para aqueles com pou-
O que o profissional de segurana deve ter em mente que no o produto
co conhecimento. As caractersticas dos produtos podem variar bastante, como
que vai garantir a segurana necessria, mas, sim, a poltica de segurana defini-
a adio de Web caching, filtragem de contedo, gerenciamento de trfego,
da e sua correta implementao. Assim, o melhor produto para uma organizao
scanning de vrus e at mesmo de uma funo em que os patches e os avisos
aquele que melhor permite a implementao da poltica de segurana definida e
sobre segurana so enviados automaticamente para o administrador de segu-
que melhor se ajusta experincia e capacidade do profissional. Dessa forma, a
242 243
escolha do produto deve ser uma parte efetiva da estratgia de segurana da * Gerenciamento: a configurao remota, o uso de criptografia, os avisos em
organizao. caso de incidentes de segurana, a capacidade de anlise de logs, a localizao
Diversos aspectos devem ser analisados e discutidos na escolha do firewall mais de logs em outras mquinas e as medidas tomadas pelo firewall quando o
adequado para a organizao. Alguns desses aspectos so: espao para o log acaba so alguns dos pontos que devem ser observados.
* Teste do firewall: os testes no firewall so essenciais para determinar a
* Fabricante/fornecedor: alguns programas de certificaes de firewalls podem efetividade do que foi implementado na organizao. Os aspectos que devem
ser consultados para a escolha do produto. Porm, essas certificaes ainda ser analisados e a maneira e por quem devem ser realizados sero discutidos
so novas e de difcil avaliao e confiabilidade. A estabilidade financeira e o na prxima seo.
relacionamento do fornecedor com outros clientes so importantes para evitar * Capacitao do pessoal: a instalao, o teste e a implementao da soluo
problemas futuros de encerramento das atividades e, conseqentemente, do podem envolver participao ativa do pessoal da prpria organizao, que deve
encerramento do suporte tcnico e operacional. O pessoal responsvel pela estar adequadamente capacitado. A operao e a manuteno do firewall tam-
instalao do firewall deve possuir experincia comprovada, com certificaes bm requerem profissionais com viso em segurana e capacidade comprovada.
e testes do que foi implementado.
* Suporte tcnico: servios que podem auxiliar na utilizao e nas atualizaes
do produto. O suporte 24 x 7, por exemplo, vital em um ambiente crtico. O 7.8 TESTE DO FIREWALL
tempo de distribuio de patches de segurana tambm importante. Testar o firewall significa verificar se uma poltica de segurana foi bem desen-
* Tempo: o prazo para o firewall estar funcionando essencial para a escolha do volvida, se foi implementada de modo correto e se o firewall realiza aquilo que
sistema. Por exemplo, um sistema plugn play pode ser facilmente implementado, declara realizar. Tentar passar pelo firewall ou dribl-lo um meio valioso de anali-
porm um sistema baseado em software requer trabalhos e capacidade adicio- sa-lo, alm de ser importante para a prpria poltica de segurana, pois o conjunto
nais. de regras implementado pode ser validado, falhas eventuais podem ser encontradas
* Projeto: importante levar em considerao aspectos de implementao do e evolues podem ser realizadas.
firewall, como a defesa contra ataques clssicos ao TCP/IP, como o Smurf Essa anlise importante, principalmente, no contexto do ambiente cooperativo,
(Seo 4.6.4), o Teadrop (Seo 4.6.5) ou o SYN Flooding (Seo 4.6.2). Os onde a diversidade e a complexidade das conexes torna a ocorrncia de erros mais
firewalls com cdigo aberto permitem uma melhor anlise e discusso sobre comuns. O desafio de definir as regras de filtragem e de implementar corretamente o
problemas de implementao. As interaes do firewall com o sistema que foi definido grande, de modo que um modelo de segurana importante para
operacional e com o hardware tambm merecem ser considerados. auxiliar o profissional de segurana. A Parte III deste livro aborda esses aspectos que
* Logs: por meio da sua anlise, possvel detectar erros e problemas no siste- auxiliam o profissional de segurana na sua tarefa de proteger a organizao.
ma, alm de tornar possvel a deteco de tentativas de ataques. A capacidade Os testes do firewall muitas vezes se confundem com as anlises de segurana do
dos logs deve, portanto, ser suficiente para que investigaes sobre conexes ambiente. A amplitude das anlises pode ser limitada s regras de filtragem, para
suspeitas sejam possveis. Mas o fato de o firewall registrar os eventos mais verificar se foram implementadas corretamente, ou pode chegar anlise dos servi-
importantes no assegura sua efetividade, sendo imprescindvel uma ferra- dores, que devem estar como bastion hosts. Essa anlise, porm, pode englobar
menta eficiente de anlise dos logs. Outro problema que pode acontecer que, aspectos adicionais, pois as aplicaes e os servios tambm podem ser analisados.
quando um ataque descoberto por meio da anlise dos logs, este geralmente Alm disso, como discutido na Seo 7.10, o firewall no faz a proteo contra
j foi realizado, no sendo mais possvel impedi-lo. Um sistema de deteco ataques a servios legtimos, que possuem as conexes permitidas. Assim, os pr-
de intruso, que ser visto no prximo captulo, uma tecnologia essencial prios servios e aplicaes necessitam de uma anlise em particular.
para a proteo de uma rede. Um teste de firewall pode ser estruturado em quatro etapas [RAE 97]:
* Desempenho: como foi visto na Seo 7.5, o desempenho importante em um
ambiente cooperativo, mas no tem nenhum significado, se a segurana do * Coleta de informaes indiretas: informaes que podem ser obtidas sem que
firewall no for garantida. A segurana sempre deve vir em primeiro lugar. o firewall faa registros ou bloqueie os acessos. So as informaes pblicas,
244 245
como de servidores Web, FTP, whois ou nslookup. A busca por mensagens em Cada um deles tem suas vantagens e desvantagens. Os revendedores tm conheci-
newsgroups, enviadas por funcionrios da organizao, por exemplo, pode mento sobre o seu prprio produto e detalhes do funcionamento podem ser esclare-
revelar endereos de e-mail especficos, como o caso de cidos; porm, os testes realizados podem ser imparciais. Um hacker pode analisar de
j o a o . t e i x e i r a @ c a m p i n a s . s a o p a u l o . b r a s i l . c o m , em vez de forma produtiva as vulnerabilidades da poltica de segurana implementada, porm
joao.teixeira@brasil.com. Ultimamente, o mecanismo de busca da Google o risco que, se no houver tica, ele pode esconder algumas vulnerabilidades
tem sido muito utilizado para a obteno de informaes que auxiliam os encontradas e compartilh-las com seus colegas hackers. Os prprios funcionrios
ataques. parecem ser a melhor opo, mas o que falta o know-how de como realizar algumas
* Coleta de informaes diretas: so as informaes protegidas e que, portanto, anlises, o que pode acabar comprometendo os resultados, com o fornecimento de
podem ter seu acesso detectado e registrado. Um exemplo disso a procura informaes limitadas. A empresa especializada pode ter o know-how necessrio,
por informaes adicionais em servidores de nomes. Outro exemplo o envio mas pode sair cara para a organizao, pois a segurana um processo constante e
de e-mail para um usurio inexistente de uma rede, o que pode revelar sua dinmico, e diversas anlises sero necessrias.
topologia, que pode ser obtida por meio da anlise do cabealho da mensagem Casos de falta de tica e vazamento de informaes tambm so conhecidos, de
de resposta. Pelo firewalking (Seo 4.5.8), possvel visualizar a topologia da forma que a empresa especializada, se for o caso, deve ser escolhida cuidadosamente.
rede da organizao. Um port scanning no firewall revela as portas dos servi-
os abertos e os respectivos pontos de ataque. Modos seguros de port scanning
(stealth) tambm podem ser utilizados, como foram discutidos na Seo 4.5.6. 7.9 PROBLEMAS RELACIONADOS
* Ataques externos: esses testes podem ser realizados utilizando-se ferramentas Os firewalls so essenciais para a segurana de qualquer organizao, mas a falta
como o scanning de vulnerabilidades, a partir de hosts confiveis, ou por meio de alguns cuidados pode tornar todos os esforos invlidos e instaurar um perigoso
do uso de IP Spoofing, que mascara a origem dos ataques. Qualquer outro falso senso de segurana. Os problemas que mais resultam em perigo so:
mtodo descrito no Captulo 4 tambm pode ser utilizado. Realizando a anli-
se como se fosse um hacker, a organizao tem a oportunidade de obter infor- * Instalaes de firewalls mal configurados.
maes sobre possveis pontos de ataque, antes que eles sejam usados com m * Implementao incorreta da poltica de segurana.
inteno. Esses testes so tambm conhecidos como Ethical Hacking ou * Gerenciamento falho.
Penetration Test (Pen-Test). * Falta de atualizaes.
* Ataques internos: estes testes tm como objetivo verificar se os usurios in-
ternos podem realizar ataques a hosts externos. Eles so importantes, porque Mesmo tomando-se medidas contra os problemas relacionados acima, a vigiln-
podem evitar que, no caso de o usurio ser vtima de ataques ou vrus, seja cia deve ser uma constante, pois um firewall geralmente leva falsa de sensao de
usado como ponto de ataque ou de escoamento de informaes confidenciais segurana. Diversos problemas podem ocorrer, como falhas no desenvolvimento da
da organizao. Alm disso, esses testes tambm evitam que usurios malici- poltica de segurana ou at mesmo falhas na prpria implementao dos firewalls.
osos tirem proveito de possveis situaes para atacar hosts externos proposi- Essas falhas na implementao de firewalls j estiveram presentes em diversos
tadamente. firewalls comerciais, como o caso do Cisco PIX Firewall. Alguns scanners de segu-
rana eram capazes de derrubar o PIX, segundo a lista de discusso Firewall Wizards.
Assim, importante observar que testes ou anlises de segurana devem ser Isso um srio problema, pois essas ferramentas podem ser utilizadas em ataques
realizados freqentemente, no apenas no firewall, mas tambm em todos os recur- de negao de servios e, assim, isolar a rede da organizao do acesso externo,
sos e no ambiente da organizao. Servios como o servidor Web, por exemplo, so comprometendo os negcios.
alvos de constantes ataques e a anlise constante necessria para a diminuio Outro caso mostra que possveis vulnerabilidades podem ser encontradas no
dos riscos envolvidos. Firewall-1 da Check Point, que usa permisses-padro para TCP Source Porting e
Outro ponto importante definir quem ir realizar as anlises de segurana: o trfego de certos pacotes UDP, o que pode causar problemas em organizaes em
revendedor, os hackers, os prprios funcionrios ou uma empresa especializada.
246 247
que o firewall mal administrado e funciona com essas configuraes-padro [NEW * Presena de modems: qualquer modem atrs do firewall pode driblar o perme-
99][CER 01-4]. tro de segurana, formando uma entrada direta em potencial para a rede in-
Casos de buffer overflow tambm j foram encontrados no Gauntlet, os quais terna da organizao.
podem resultar em execuo de cdigos arbitrrios e privilgios de administrador * Driblar a segurana do firewall e utilizar uma poltica prpria: o firewall deve
no servidor [CER 01]. ser configurado de acordo com a poltica de segurana da organizao. Fugir
Com relao configurao e ao gerenciamento do firewall, diversos equvocos disso, como criar um backdoor para facilitar sua administrao, certamente
podem ser cometidos, o que pode comprometer a segurana da organizao, tais trar muitos problemas futuros.
como [AVO 99]: * No ter uma poltica de segurana: sem um conjunto de regras, no h como
tomar decises relativas segurana. O melhor que uma poltica seja criada,
* Liberar novos servios porque os usurios dizem que precisam deles: impor- mesmo que gradativamente. Essa abordagem deve ser utilizada em oposio
tante separar o que os usurios precisam do que eles querem. Os novos idia de criar a poltica apenas quando ela for efetivamente necessria, depois
servios devem ser claramente justificados para os negcios da organizao e de a organizao sofrer um ataque. A poltica deve ser criada antes da implan-
includos na respectiva poltica de segurana. Mesmo um servio aparente- tao do firewall, caso contrrio, ele ser mal configurado e um ataque ser
mente til aumenta o trabalho de administrao do firewall, alm de adicionar inevitvel e certo. Mais detalhes sobre a poltica de segurana podem ser
potenciais possibilidades de ataque. vistos no Captulo 6.
* Separar a rede privada virtual (VPN) do firewall: a arquitetura da VPN com o
firewall deve ser bem definida, para que os usurios da VPN no driblem a
poltica de segurana implementada no firewall. Mais detalhes sobre essa ar- 7.10 O FIREWALL NO A SOLUO TOTAL DE SEGURANA
quitetura podem ser vistos no Captulo 12. importante ter em mente que o firewall apenas uma parte de um conjunto de
* Concentrar os esforos no firewall, enquanto outras medidas de segurana so componentes de um sistema de segurana necessrio para a proteo das organiza-
ignoradas: os firewalls no so suficientes, so apenas uma parte do arsenal es. Assim, a idia de que um firewall a soluo para todos os problemas de
de segurana necessrio. segurana, disseminada por alguns fabricantes e que, infelizmente, ainda convence
* Ignorar os arquivos de logs: se os arquivos de logs nunca so avaliados, estes muitos profissionais, um conceito equivocado, que acaba colocando em risco toda
no tm nenhum valor e no possvel verificar a situao do firewall nem a organizao.
comprovar sua real eficincia. Os firewalls podem ser uma faca de dois gumes: representam uma primeira
* Desligar as mensagens de alerta: ao desligar os alarmes e alertas, eventuais linha de defesa e so, essencialmente, necessrios em uma infra-estrutura que en-
tentativas de ataque e erros nas configuraes no podem ser detectados, volve a segurana. Porm, tendem a tranqilizar as organizaes com uma falsa e
colocando em risco os recursos da organizao. perigosa sensao de segurana. Como uma primeira linha de defesa, o firewall tem
* Adicionar contas de usurios no firewall: os firewalls devem ser to simples como objetivo bloquear todos os tipos de acesso indevidos, que no esto de acordo
quanto for possvel. Como os usurios acrescentam complexidade, suas contas com a poltica de segurana da organizao.
so potenciais pontos de ataque. Alm disso, os prprios usurios podem ser O acesso a servios legtimos deve ser permitido pelo firewall. A partir desse
considerados potenciais atacantes. Qualquer usurio pode abrir brechas de momento, a segurana no depende mais do firewall, mas sim dos prprios servios
segurana no firewall, mesmo que no intencionalmente, por meio de seus legtimos. Uma autenticao eficiente de um banco de dados, por exemplo, passa a
prprios erros. ser fundamental. Anlises de segurana para evitar ataques contra o servidor Web
* Permitir que diversas pessoas administrem o firewall: todo administrador um tambm se tornam essenciais, da mesma forma que um sistema de deteco de
atacante em potencial, e pode causar danos mais srios do que qualquer outro intruso deve ser utilizado.
usurio, devido aos seus direitos no sistema. Assim, o maior problema relacionado ao firewall pode ser considerado justamente
como a falsa idia de que ele a soluo dos problemas de segurana. Mesmo a prpria
248 249
definio de firewall, vista na Seo 7.1, parece no estar mais de acordo com os dias
de hoje. H pouco tempo atrs, era fcil definir um firewall e suas funes. Ele atuava
na borda de uma rede como um muro, evitando que os intrusos entrassem na rede da
organizao. Esse permetro era facilmente definido e o firewall cuidava desse perme-
tro, como pode ser visto na Figura 7.23, que mostra o bolso de segurana tradicional,
com o firewall e os servidores na zona desmilitarizada DMZ.
Figura 7.23 Modelo de segurana convencional representado pelo firewall com DMZ.
Atualmente, com os ambientes cooperativos, esse permetro intangvel, com

Figura 7.24 Modelo de bolses de segurana representado pelo firewall cooperativo.
as extranets e VPNs estendendo as redes para a comunicao com os parceiros, a
Web e os bancos de dados sendo acessados pelo pblico em geral, e a computao
Nesse contexto, o firewall no pode mais ser considerado apenas um muro, mas
mvel e a utilizao indiscriminada de modems criando pontos de acesso rede da
sim uma parte da defesa ativa de qualquer organizao, que a idia principal do
organizao que podem no passar efetivamente pelo firewall. O permetro nos
firewall cooperativo.
ambientes cooperativos est mudando, fluindo e ativo, como pode ser observado no
Mesmo a definio desse muro criado pelo firewall torna-se mais complicado,
modelo de bolses de segurana, definido na Seo 7.11 (Figura 7.24).
pois grande parte dos ataques vm da prpria rede interna; portanto, com a compu-
tao mvel e o ambiente cooperativo, o enfoque da segurana acaba mudando de
muros altos para controle dos usurios.
Assim, o firewall fundamental, mas no tudo. O enfoque da segurana, agora,
est em selecionar os usurios que podem acessar a rede e definir os direitos que
tm na rede. Alm de determinar os recursos que cada usurio em particular pode
acessar e os nveis de acesso de cada usurio na rede, tambm essencial que se
tenha a certeza de que eles esto fazendo aquilo que lhes foi explicitamente permi-
tido. Desse modo, a autenticao e a autorizao so tambm importantes aspectos
250
de segurana que devem ser implementados. Basicamente, no basta apenas con-

trolar o acesso, necessrio tambm monitorar o que o usurio est realizando
dentro da rede. Alm disso, a rede no deve ser protegida apenas contra invases
intencionais, mas tambm contra inmeros erros comuns de usurios autorizados,
que podem trazer prejuzos organizao.
Sistema de deteco de intruso
Levando-se isso em considerao, pode-se observar que a definio original do
firewall j no mais suficiente no contexto atual. Os conceitos, as tcnicas e as
tecnologias contidos na Parte II deste livro tm, assim, uma importncia muito
grande para a estratgia de segurana de qualquer organizao. Sua utilizao e um
modelo de segurana proposto para auxiliar o profissional de segurana na misso
de proteger a organizao podero ser vistos na Parte III.
7.11 CONCLUSO
Este captulo discutiu diversos aspectos do firewall, entre eles sua definio, O sistema de deteco de intruso (Intrusion Detections System
que parece estar sendo modificada com o passar do tempo, em grande parte devi- IDS) um componente essencial em um ambiente cooperativo.
do ao mercado e errada percepo de que ele a soluo de todos os problemas Sua capacidade de detectar diversos ataques e intruses auxilia na
de segurana de uma organizao. As funcionalidades do firewall foram apresen- proteo do ambiente, e sua localizao um dos pontos a serem
tadas e foi discutida a evoluo que vem ocorrendo nesse importante componente definidos com cuidado. Este captulo apresentar esse importante
de segurana. A arquitetura influi diretamente no nvel de segurana e as dife- elemento do arsenal de defesa, discutindo suas caractersticas, os
rentes possibilidades foram analisadas, culminando no firewall cooperativo, que diferentes tipos de IDS existentes e tambm as metodologias de
ser apresentado no Captulo 13. Foram analisados ainda outros aspectos, tais deteco utilizadas pelos sistemas. Novos tipos de sistemas, que
como seu desempenho, seu mercado, seus testes e os problemas relacionados. procuram no apenas detectar, mas tambm prevenir os ataques,
Apesar de no ser a soluo de todos os problemas de segurana, o firewall um tambm sero discutidos. Esses novos sistemas so conhecidos como
componente essencial em uma organizao, ao atuar na borda de sua rede, prote- sistemas de preveno de intruso (Intrusion Prevention System
gendo-a contra ataques e o acesso indevido. IPS). A forense computacional importante para anlise de inci-
C dentes de segurana j ocorridos, e discutida brevemente neste
captulo.
a
p
8.1 OBJETIVOS
t No captulo anterior, foi visto que o firewall apenas um dos
componentes da estratgia de segurana de uma organizao. Isso
u o resultado da mudana do enfoque na segurana, que passa de
l uma abordagem nica baseada na segurana de borda para a ne-
o cessidade de maior acompanhamento e monitoramento das ativida-
des internas, o que representa novas camadas de segurana. O am-
8 biente cooperativo e o grande nvel de interconectividade entre as
SEGURANA DE REDES EM AMBIENTES COOPERATIVOS Captulo 8: Sistema de deteco de intruso
252 253
organizaes intensificam essa necessidade de diferentes mecanismos de seguran- realizados por meio de portas legtimas permitidas e que, portanto, no podem ser
a, pois bolses de segurana so criados, e precisam ser protegidos (Captulo 6). protegidos pelo firewall. O mesmo ocorre quando um modem utilizado sem auto-
Os bolses de segurana so caracterizados pelo acesso a recursos internos que rizao por um usurio interno. Tentativas de ataques contra qualquer recurso da
devem ser concedidos a parceiros de negcios ou a clientes, por exemplo. Uma vez organizao tambm podem ser detectadas, mesmo que elas sejam normalmente
permitidos os acessos, as atividades desses usurios devem ser controladas e monitoradas barradas pelo firewall.
cuidadosamente. O firewall pode funcionar como a primeira linha de defesa para esses Todos os tipos de deteco realizados pelo IDS dependem de alguns fatores:
acessos, realizando o controle de acesso no nvel de rede. A autenticao aos servios
tambm importante para controlar o acesso aos recursos e o IDS essencial para o * Tipo de IDS, que ser visto na Seo 8.3.
monitoramento do ambiente, tanto da rede quanto dos servidores. * Metodologia de deteco, que ser visto na Seo 8.4.
Uma das caractersticas dos bolses de segurana dos ambientes cooperativos * Posicionamento dos sensores, que ser visto na Seo 8.3.2.1.
que os recursos so normalmente acessados tanto pelos usurios externos quanto * Localizao do IDS na rede, que ser visto na Seo 8.9.
pelos usurios internos. Isso faz com que o monitoramento seja estendido aos prpri-
os usurios internos, resultando em inmeros benefcios para a organizao. Isso
ocorre porque os recursos passam a dispor de uma defesa tanto contra possveis 8.2 CARACTERSTICAS
ataques externos quanto contra possveis ataques internos, o que essencial. Essa Um sistema de deteco de intruso trabalha como uma cmera ou um alarme
necessidade de proteo pode ser comprovada por uma pesquisa da Computer Security contra as intruses, podendo realizar a deteco com base em algum tipo de conhe-
Institute, que mostra que as grandes perdas financeiras acontecem por meio de ata- cimento, como assinaturas de ataques, ou em desvios de comportamento, como ser
ques internos, como acesso no autorizado a sistemas, roubo de informaes confi- mostrado na Seo 8.4. Ao reconhecer os primeiros sinais de um ataque, e por meio
denciais, abuso da rede por usurios internos ou sabotagem (Figura 8.1) [CSI 01]. de uma resposta coerente, os perigos de um ataque real podem ser minimizados.
Alm disso, quando um dispositivo do ambiente computacional falha, devido a um
erro de configurao ou um erro do usurio, o IDS pode reconhecer os problemas e
notificar o responsvel [BEC 99]. Alguns sistemas, conhecidos como sistema de
preveno de intruso (Intrusion Prevention System IPS), tm como objetivo
diminuir a quantidade de alarmes falsos e prevenir os ataques. O IPS ser discutido
na Seo 8.6.
O IDS capaz de detectar e alertar os administradores quanto a possveis ata-
ques ou comportamentos anormais na organizao. Informaes importantes sobre
tentativas de ataques, que no se pode obter normalmente, podem ser conseguidas
por meio desses sistemas. Eles podem oferecer subsdios suficientes para que a
organizao melhore sua proteo contra quaisquer tipos de ataque, principalmen-
te os considerados internos. Esses ataques internos podem ser classificados como
Figura 8.1 As perdas financeiras resultantes de ataques internos. Fonte: FBI/CSI 2002. os ataques executados por usurios internos ou por usurios do ambiente coopera-
tivo que acessam recursos internos dos bolses de segurana.
Assim, um sistema de deteco de intruso (Intrusion Detection System IDS), Outro tipo de ataque que o IDS deve ser capaz de detectar diz respeito aos
que tem como objetivo detectar atividades suspeitas, imprprias, incorretas ou ataques realizados contra servios legtimos da DMZ e dos bolses de segurana, por
anmalas, um elemento importante dentro do arsenal de defesa da organizao. exemplo, que passam pelo firewall. A relao entre o IDS e o firewall pode ser vista
Alm de ser crucial para a segurana interna, o IDS pode detectar ataques que so na Figura 8.2.
254 255
* Anlise baseada em assinaturas de ataque conhecidas.

* Anlise de atividades anormais.
* Anlise de protocolos.
* Deteco de erros de configurao no sistema.
* Deteco em tempo real.
* Fornecimento de informaes valiosas sobre atividades suspeitas na rede.
* Anlise com base em cada caso, com resposta apropriada para cada um deles.
* Identificao do destino do ataque.
* Gerenciamento central, garantindo que todos os casos sejam analisados e res-
pondidos de maneira consistente.
Figura 8.2 O firewall libera conexes e o IDS detecta, notifica e responde a trfegos * Transparncia, de modo que o sistema no indique quais pontos ou segmentos
suspeitos.
da rede esto sendo monitorados.
* Capacidade de registro do ataque, de modo a aprender com os ataques realiza-
Um sistema de deteco de intruso funciona de acordo com uma srie de fun-
dos e preparar uma defesa mais forte.
es que, trabalhando de modo integrado, capaz de detectar, analisar e responder
* Flexibilidade de resposta, com a capacidade de reao, para a preveno de
a atividades suspeitas. A Figura 8.3 apresenta as funes de um IDS.
possveis danos.
* Necessidade de configurao, tomando cuidado com as respostas falso positi-
vo, caso em que um alarme falso enviado quando a tentativa de ataque no
existe, o que pode ser to perigoso quanto um ataque real.
* Capacidade de prevenir ataques, atuando no kernel dos sistemas.
Aps a deteco de uma tentativa de ataque, vrios tipos de aes podem ser
tomados como resposta. Alguns deles podem ser vistos a seguir [GRA 99][BEC 99]:
* Reconfigurao do firewall.
* Alarme (som).
* Aviso de SNMP para sistemas de gerenciamento de redes, como o OpenView ou
o Spectrum.
* Evento do Windows.
Figura 8.3 Funes integradas do IDS.
* Gerao de logs por meio do Syslog.
Nas prximas sees, sero analisados os diversos tipos e metodologias empre- * Envio de e-mail.
gadas pelos sistemas de deteco, que tm caractersticas importantes como [HAL * Envio de mensagem para o pager.
98][SAN 99-2][BEC 99][SEQ 02]: * Gravao das informaes sobre o ataque.
* Gravao das evidncias do ataque para anlise posterior (forense
* Monitoramento e anlise das atividades dos usurios e sistemas. computacional).
* Avaliao da integridade de arquivos importantes do sistema e arquivos de * Execuo de um programa capaz de manipular o evento.
dados. * Finalizao da conexo.
* Anlise estatstica do padro de atividade.
256 257
Um ponto importante que a poltica de segurana tem um papel fundamental em rede (NIDS), enquanto os servidores da DMZ, dos bolses de segurana e da rede
quando a organizao trabalha com um IDS. A documentao dos procedimentos a interna podem ser monitorados com o uso de IDS baseado em host (HIDS) ou os IDS
serem adotados, quando um ataque acontece, essencial e deve conter detalhes hbridos. Outros tipos de sistemas ainda podem ser usados, como o sistema de
como a quem reportar o incidente e o que fazer com as informaes obtidas pelo preveno de intruso (IPS) e o honeypot, que possui seus tipos especficos, e ser
IDS. Esse plano de resposta a incidentes visa o restabelecimento imediato dos neg- mostrado na Seo 8.3.4. O IPS ser mostrado na Seo 8.6.
cios da organizao, de forma ordenada e eficiente.
8.3.1 Host-Based Intrusion Detection System
8.3 TIPOS O sistema de deteco de intruso baseado em host (HIDS) faz o monitoramento
do sistema, com base em informaes de arquivos de logs ou de agentes de audito-
Os dois tipos primrios de IDS so os seguintes: o baseado em host (Host-Based
ria. O HIDS pode ser capaz de monitorar acessos e alteraes em importantes arqui-
Intrusion Detection System HIDS) e o baseado em rede (Network-Based Intrusion
vos do sistema, modificaes nos privilgios dos usurios, processos do sistema,
Detection System NIDS). O processo evolutivo que acontece com toda tecnologia
programas que esto sendo executados, uso da CPU, entre outros aspectos, como a
levou ao desenvolvimento do IDS hbrido (Hybrid IDS), que aproveita as melhores
deteco de port scanning [RAN 01-1].
caractersticas do HIDS e do NIDS. O honeypot no necessariamente um tipo de IDS,
O HIDS pode tambm realizar, por meio de checksums, a checagem da integrida-
porm ele pode ser utilizado para que o administrador de segurana aprenda sobre os
de dos arquivos do sistema. Essa uma caracterstica importante, porque arquivos
ataques realizados contra sua organizao, detectando e armazenando todos os tipos
corrompidos, que podem ser backdoors, so detectados antes que causem problemas
de ataques. Mais recentemente, a identificao de pontos fracos relacionados a deter-
mais srios. Na maioria das vezes, os HIDS so considerados ferramentas, ao invs
minados tipos de IDS levou ao desenvolvimento de sistemas de preveno de intruso
de sistemas, pois muitas vezes no so capazes de emitir alertas em tempo real. Isso
(Intrusion Prevention System IPS), que buscam no apenas detectar, mas tambm
acontece porque algumas deteces so realizadas com base em informaes de logs
prevenir os ataques. Os tipos de IDS podem ser vistos na Figura 8.4.
e registros do sistema. O Tripwire um exemplo de ferramenta que faz a checagem
da integridade dos arquivos do sistema. A Figura 8.5 apresenta alguns tipos de
deteco que podem ser feitos pelo HIDS.
Figura 8.5 Alguns tipos possveis de deteco com o HIDS.
Figura 8.4 Tipos de IDS e IPS.

A anlise dos logs, realizada pelo HIDS, faz com que ataques de fora bruta, por
A combinao de diferentes tipos de IDS importante para que a organizao exemplo, possam ser detectados; porm, ataques mais sofisticados podem no ser
fique protegida adequadamente contra todos os tipos de ameaas, principalmente detectados. Um exemplo de HIDS, que faz a anlise de logs, o Swatch, o qual
dos ataques realizados internamente e dos ataques vindos da Internet. Por exem- capaz de enviar uma mensagem de alerta assim que acontece um evento de ao
plo, os ataques vindos da Internet podem ser detectados pelo uso de IDS baseado suspeita, com base em um padro definido.
258 259
O Portsentry, do Abacus Project, um tipo de HIDS capaz de monitorar as portas * dependente do sistema operacional, ou seja, um HIDS que funciona no Linux
do sistema, detectando tentativas de port scanning (Seo 4.5.6). Com base no tipo totalmente diferente de um HIDS que opera no Windows.
de deteco, ele pode tomar decises como, por exemplo, utilizar o TCP Wrapper, * No capaz de detectar ataques de rede, como o scanning de rede ou o Smurf,
alertar o administrador de sistemas por meio de bipes, interagir com o firewall na por exemplo.
criao de regras de filtragem ou ativar alguma estratgia de retaliao, se for * Caso o HIDS seja invadido, as informaes podem ser perdidas.
preciso. * Necessita de espao de armazenamento adicional para os registros do sistema.
Um caso que demonstra a importncia do HIDS aconteceu em dezembro de 1998, * Por terem como base, tambm, os registros do sistema, podem no ser to
em um banco da Califrnia. Com a inteno de melhorar sua segurana interna, eles eficientes em sistemas como o Windows 98, que gera poucas informaes de
instalaram um HIDS em dez servidores e em algumas workstations. Aps a definio auditoria.
dos tipos de informaes relevantes, eles configuraram o sistema para a deteco de * Apresenta diminuio de desempenho no host monitorado.
atividades anmalas. Depois de 24 horas, foram encontrados dois usos irregulares
de contas de administrador para a leitura de e-mails e edio de documentos, o que 8.3.2 Network-Based Intrusion Detection System
estava fora do estabelecido pela poltica de segurana. Erros de privilgios para a
O sistema de deteco de intruso baseado em rede (NIDS) monitora o trfego do
execuo de backup tambm foram encontrados [BEC 99].
segmento da rede, geralmente com a interface de rede atuando em modo proms-
As caractersticas do HIDS fazem com que eles tenham um papel importante nos
cuo. A deteco realizada com a captura e anlise dos cabealhos e contedos dos
servidores, principalmente os da DMZ e dos bolses de segurana, que precisam ter
pacotes, que so comparados com padres ou assinaturas conhecidos. Exemplos de
todos seus elementos monitorados.
NIDS so o RealSecure, o NFR e o Snort. O NIDS eficiente principalmente contra
Os pontos fortes do HIDS so [BUO 01][SHA 01][BEC 99]:
ataques como port scanning, IP spoofing ou SYN flooding (Captulo 4) e tambm
capaz de detectar ataques de buffer overflow e ataques contra um servidor Web, por
* O HIDS pode verificar o sucesso ou a falha de um ataque, com base nos regis-
exemplo, por meio da utilizao da base de conhecimento com padres e assinatu-
tros (logs) do sistema.
ras de ataques.
* Atividades especficas do sistema podem ser monitoradas detalhadamente,
Os NIDS podem ser divididos em duas partes que atuam em conjunto; os sensores,
como acesso a arquivos, modificao em permisses de arquivos, logon e logoff
espalhados pelos segmentos de rede, so os responsveis pela captura, formatao
do usurio e funes do administrador.
de dados e anlise do trfego da rede; e o gerenciador ou console faz com que os
* Ataques que ocorrem fisicamente no servidor (keyboard attack) podem ser
sensores sejam administrados de modo integrado, com a definio dos tipos de
detectados pelo HIDS.
resposta a serem utilizados para cada tipo de comportamento suspeito detectado. A
* Ataques que utilizam criptografia podem no ser notados pela rede, mas po-
comunicao entre os sensores e o console deve utilizar a criptografia, e alguns
dem ser descobertos pelo HIDS, pois o sistema operacional primeiramente
IDSs utilizam o algoritmo assimtrico RSA para a formao do canal seguro [TUR
decifra os pacotes que chegam ao equipamento.
00]. Os sensores podem ser utilizados de diversas maneiras e o entendimento de sua
* independente da topologia da rede, podendo ser utilizado em redes separa-
utilizao importante para uma deteco efetiva. Eles sero discutidos na Seo
das por switches.
8.3.2.1.
* Gera poucos falsos positivos, ou seja, os administradores recebem poucos
Uma caracterstica importante do NIDS sua capacidade de detectar ataques na
alarmes falsos de ataques.
rede em tempo real. Como o sensor atua em modo promscuo no mesmo segmento
* No necessita de hardware adicional.
de rede de um servidor atacado, por exemplo, ele pode capturar os pacotes referen-
tes ao ataque, analisar e responder ao ataque praticamente ao mesmo tempo em
Os pontos fracos que devem ser considerados no HIDS so [SHA 01][BEC 99]:
que o servidor atacado. A resposta poderia ser, por exemplo, o trmino da cone-
xo. Porm, essa abordagem pode no ser completamente confivel, pois a resposta
* difcil de gerenciar e configurar em todos os hosts que devem ser monitorados,
do NIDS pode ser enviada aps a efetivao do ataque, ou seja, os pacotes referen-
causando problemas de escalabilidade.
260 261
tes ao ataque podem ser enviados ao servidor antes que as conexes sejam encerra- * Estados permanentes: para detectar a tcnica de scanning, na qual a varredura
das pelo NIDS. Esse problema ser discutido com mais detalhes na Seo 8.5. realizada aos poucos, s vezes, em perodos de dias (slow scans, Seo 4.5.6),
Os pontos positivos do NIDS so [SHA 01][BUO 01][BEC 99]: o IDS deve manter as informaes sobre os estados durante um longo perodo
de tempo. Isso tambm requer uma grande quantidade de memria e depende
* O monitoramento pode ser fornecido para mltiplas plataformas. da configurao do sistema.
* Com a anlise de cabealhos e do payload de pacotes, ataques de rede como o
port scanning, IP Spoofing ou Teardrop podem ser detectados. Apesar de no ser possvel ter conhecimento, com certeza, da existncia de siste-
* O NIDS pode monitorar atividades suspeitas em portas conhecidas, como a mas de deteco de intruso em uma rede, os hackers podem utilizar diversas tcnicas
porta TCP 80, que utilizada pelo HTTP. para evitar que sejam monitorados pelo NIDS. Os problemas identificados so resulta-
* Os ataques podem ser detectados e identificados em tempo real e o usurio dos de vrios fatores, que incluem o funcionamento em modo promscuo e tambm o
pode determinar rapidamente o tipo de resposta apropriado. uso da metodologia de ataque baseado em assinaturas ou padres de ataque, que
* O NIDS capaz de detectar no s os ataques, mas tambm as tentativas de podem ser driblados. As tcnicas de evaso e insero sero discutidas com detalhes
ataque que no tiveram resultado. na Seo 8.5, e algumas delas podem ser observadas a seguir [SCH 00-1]:
* Com o NIDS funcionando, difcil que um hacker possa apagar seus rastros,
caso consiga invadir um equipamento. * Fragmentao: alguns sistemas de deteco de intruses no so capazes de
* O hacker ter dificuldades em saber se existe ou no um NIDS monitorando tratar a fragmentao de pacotes.
suas atividades. * Ataques por meio de portas no convencionais: por exemplo, a instalao de
* No causa impacto no desempenho da rede. backdoors, que trabalham na porta 53, que a porta-padro utilizada pelo
DNS e no representa um padro de ataque para o IDS.
Os pontos negativos que podem ser encontrados em NIDS so [SHA 01][BEC 99]: * Slow scans (Seo 4.5.6): atravs da varredura pausada, o IDS no ser capaz
de detectar o scanning. Isso depende da configurao do IDS, que influi dire-
* Perda de pacotes em redes saturadas. tamente no desempenho do sistema.
* Dificuldade de compreenso de protocolos de aplicao especficos, como o SMB. * Ataques coordenados: a coordenao de um scanning entre diferentes fontes
* No capaz de monitorar trfego cifrado. faz com que a correlao entre os pacotes capturados seja difcil de ser reali-
* Dificuldade de utilizao em redes segmentadas, principalmente com switches zada. Assim, a caracterizao de um ataque fica mais difcil de acontecer.
(Seo 8.3.2.1). * Identificao negativa: por meio da utilizao de IP Spoofing ou de um proxy
mal configurado de uma vtima, por exemplo, o hacker pode executar seu
interessante notar a questo da limitao de recursos que ocorre no NIDS. Ele ataque e no ser identificado.
deve capturar, armazenar e analisar grandes volumes de dados que passam pelo * Mudana de padro de ataque: os ataques so detectados pela comparao dos
segmento da rede, para detectar os ataques por meio de assinaturas ou padres pacotes com os padres ou assinaturas de ataque conhecidos. A mudana
conhecidos. Diversos eventos mostram a importncia do fator recurso computacional, desse padro em um ataque, quando possvel, pode fazer com que o ataque
nesse tipo de IDS [SCH 00-1]: no seja identificado pelo IDS.
* Conexes TCP: para detectar uma gama de ataques, o NIDS deve manter os 8.3.2.1. Posicionamento dos sensores
estados de um grande nmero de conexes TCP. Isso requer uma boa quantida-
Um dos principais problemas encontrados atualmente com relao utilizao
de de memria do equipamento.
do NIDS que as redes esto se tornando cada vez mais segmentadas, com a utiliza-
* Outras informaes de estado: a memria utilizada tambm para o tratamen-
o de switches, o que faz com que o NIDS perca parte de sua efetividade. A dificul-
to da fragmentao de pacotes de IP e de pacotes ARP, por exemplo.
dade est no fato de o NIDS funcionar em grande parte no modo promscuo, anali-
262 263
sando todos os pacotes que passam no segmento de rede, como se fosse um sniffer. Uma outra viso para o IDS hbrido existe com relao ao gerenciamento. Alguns
possvel utilizar o NIDS em redes separadas por switches, porm algumas limita- sistemas podem ter um gerenciamento centralizado dos IDS, pois alguns sensores,
es quanto ao desempenho podem ser cruciais, o que faz com que sensores HIDS baseados em rede, so localizados em diversos segmentos de rede e outros IDS,
sejam usados em conjunto com o NIDS, nos IDS hbridos (Seo 8.3.3), por exemplo baseados em host, so usados em servidores. O gerenciador pode controlar as regras
[SCH 00-1]. de ambos os tipos de IDS, formando assim um IDS hbrido.
Os sensores podem ser usados de diferentes maneiras, as quais refletem o grau O uso do IDS hbrido em servidores da DMZ ou dos bolses de segurana passa a
de monitoramento do ambiente [GON 02]: representar grandes benefcios, pois ataques especficos a cada servidor podem ser
identificados com maior preciso. Possveis perdas de pacotes, por exemplo, que
* Switched Port Analyzer (SPAN) e hubs: portas SPAN de switches ou portas de podem acontecer em um NIDS, so minimizadas, pois os pacotes so direcionados
hubs podem ser usadas para que os sensores sejam habilitados. ao prprio equipamento, que faz a anlise do trfego.
* Modo Tap: onde os sensores so inseridos em segmentos de rede via um Tap,
ou seja, como uma extenso da rede. 8.3.4 Honeypot
* Modo Inline: o IDS posiciona-se fisicamente no caminho do fluxo da informa-
Se os sistemas de deteco de intruso podem ser utilizados como fonte de
o, com o trfego passando ativamente pelo sistema, como em um firewall.
aprendizado sobre novos ataques, alm de sua funo principal, que a de deteco,
Mais detalhes podem ser vistos na Seo 8.6.
os honeypots podem ensinar muito mais. Um honeypot no contm dados ou aplica-
* Port Clustering: permite a monitorao de diversos segmentos de rede, com
es muito importantes para a organizao, e seu nico propsito de passar-se
todos os trfegos sendo agregados em um nico stream de dados.
por um legtimo equipamento da organizao que configurado para interagir com
* Mltiplas interfaces: um sensor atuando em diferentes segmentos de rede.
um hacker em potencial. Assim, os detalhes da tcnica utilizada e do ataque em si
podem ser capturados e estudados. Eles so tambm conhecidos como sacrificial
8.3.3 Hybrid Intrusion Detection System lamb, decoy, booby trap, lures ou fly-traps e funcionam como armadilhas para os
Nas sees anteriores, foram abordadas as vantagens e as desvantagens do HIDS hackers [GRA 99][SAN 99-2][SIN 01].
e do NIDS. No mundo real, pode-se verificar que a melhor estratgia utilizar Alm dos benefcios alcanados pelo aprendizado, um outro fato importante
ambos os tipos para a proteo dos recursos da organizao. Por exemplo, em um justifica o uso de honeypots. Atualmente, a organizao de grupos de hackers faz
cenrio, no qual a organizao tem servidores Web importantes podem acontecer com que as ferramentas, principalmente as novas, no sejam to facilmente encon-
ataques como SYN Flooding, Smurf, Teardrop, port scanning e a pichao do site tradas. Ao mesmo tempo, novas classes de ataques encontram-se em constante
(Web defacement). O NIDS ser capaz de detectar o SYN Flooding, Smurf, Teadrop e o evoluo, o que faz com que o aprendizado dessas tcnicas inovadoras seja cada vez
port scanning, porm somente o Host-Based Intrusion Detector System ser capaz de mais importante para uma defesa adequada.
detectar o Web defacement [SHA 01]. A natureza dos ataques interessante, pois, para o hacker, basta encontrar um
Assim, como nesse exemplo, a utilizao dos dois tipos de IDS ao mesmo tempo nico ponto de ataque, enquanto os profissionais de segurana devem defender o
traz grandes benefcios. O IDS hbrido (Hybrid IDS) tem como objetivo combinar os ambiente contra todos os riscos conhecidos, e tambm contra os futuros.
pontos fortes do HIDS e do NIDS, a fim de oferecer uma melhor capacidade de A evoluo dos ataques acontece naturalmente, na medida em que mecanismos
deteco de intruses [HO 01][RAN 01-1]. de defesa so cada vez mais usados pelas organizaes. Esse contexto, em que a
O IDS hbrido opera como o NIDS, coletando o trfego da rede, processando os defesa melhora e novas tcnicas de ataque aparecem para vencer a defesa, faz com
pacotes e detectando e respondendo a ataques. A diferena que ele faz isso como que o cenrio seja parecido com o de uma guerra, onde tticas de guerra passam a
um HIDS, ou seja, processa os pacotes endereados ao prprio sistema. Com isso, ser usadas cada vez mais pelas organizaes. Enganar o adversrio uma dessas
desaparece o problema de desempenho, comum no NIDS. Por outro lado, ainda tcnicas, que o principal objetivo dos honeypots. Eles so baseados em mecanis-
existe o problema de escalabilidade, pois um IDS hbrido deve ser instalado em cada mos do tipo deception, ou seja, eles buscam ludibriar o adversrio, que no sabe
equipamento [RAN 01-1]. que seus passos esto sendo totalmente monitorados.
264 265
Distrair o adversrio, lev-lo a uma armadilha, armar uma emboscada ou enviar * Instrumented Systems: previne que o sistema seja usado para novos ataques e
informaes falsas a ele so algumas aes que fazem parte do arsenal de tcnicas prov muitas informaes sobre eles, mantendo os atacantes interessados no
usadas em guerras, e tambm nas redes, usando-se os honeypots. sistema.
Assim, os honeypots possuem uma grande importncia em um ambiente onde
tcnicas inovadoras precisam ser detectadas e aprendidas, e tambm para adquirir O posicionamento do honeypot tambm pode influir diretamente no tipo de
informaes primordiais para o aprimoramento da defesa, como a freqncia de anlise pretendido e nos resultados. Algumas estratgias de posicionamento utili-
ataques, as tcnicas mais utilizadas e as tendncias de ataques. zadas so [REC 02]:
Alm de prover informaes sobre o ataque, um honeypot pode mostrar as inten-
es do ataque e tambm fazer com que o hacker perca tempo em ataques no * Minefield: como em um campo minado, o honeypot inserido juntamente com
efetivos, enquanto a organizao obtm informaes sobre ele e sobre formas de os servidores reais de uma DMZ ou de um bolso de segurana. A deteco
melhorar a preveno. Isso conseguido porque o honeypot faz com que o hacker feita partindo-se do princpio que, quando um sistema atacado, ele usado
tenha uma percepo errada das medidas de segurana adotadas pela organizao. para descobrir outros sistemas da rede e atac-los tambm. Assim, caso o
Uma caracterstica dos honeypots que no existem falsos positivos como em honeypot seja atacado, as informaes sobre o ataque j passam a estar dispo-
IDS tradicionais, pois todo o trfego direcionado ao sistema real. Ataques que nveis. Quando um sistema real atacado, o honeypot identifica o ataque
levam muito tempo para serem concretizados tambm podem ser detectados, pois assim que o sistema atacado inicie o scanning da rede, para descobrir outros
todas as informaes e aes contra o sistema so registradas. Alm disso, uma pontos de ataque. O minefield pode ser visto na Figura 8.6.
outra vantagem do uso de honeypots que os perigos da organizao escolhida
aleatoriamente para ataques oportunsticos diminuem.
Um projeto interessante que utiliza no apenas um, mas vrios honeypots, o
Honeynet Project [HON 01]. O projeto emprega uma rede com diferentes sistemas,
tais como servidores Solaris e Windows NT, roteadores Cisco, switch Alteon, servidor
DNS Linux, servidor Web Microsoft Internet Information Service (IIS) e banco de
dados Solaris. O projeto visa coletar informaes sobre todas as tentativas de ata-
ques, para aprender com eles. As estatsticas das tentativas so compartilhadas na
Internet e um dos objetivos o de correlacionar informaes de diferentes honeynets,
que so dez em maro de 2003, incluindo uma no Brasil.
Um ponto importante a ser considerado que preciso tomar cuidado para que
o honeypot no seja utilizado como ponto para outros ataques [SIN 01].
Os honeypots podem ser de diferentes tipos,uns mais sofisticados que outros,
que podem exigir maior trabalho para a administrao. A classificao [REC 02]:
* Sacrificial Lambs: so sistemas disponibilizados praticamente com a sua configu-

rao-padro, para serem atacados. O perigo est no fato de ele poder ser
usado como ponto de origem para novos ataques.
* Facades: emulam servios ao invs de disponibilizarem servidores reais para
serem atacados. No podem ser usados como ponto de origem para novos
ataques e tambm provem pouca informao sobre o ataque, pois no exis-
tem vulnerabilidades nos servios emulados. Figura 8.6 A estratgia minefield para uso do honeypot.
266 267
* Shield: o honeypot recebe os trfegos considerados suspeitos, baseado nos

servios. O firewall ou o roteador direciona todo o trfego no condizente com
cada sistema para o honeypot, que passa a receber as informaes do atacante.
Por exemplo, um servidor Web recebe todo o trfego HTTP, porm outros tr-
fegos para o mesmo servidor so redirecionados para o honeypot. O ponto
negativo que no possvel obter informaes sobre ataques HTTP nesse
exemplo, pois o trfego enviado ao servidor real, no ao honeypot. Caso
existam outros sistemas na DMZ, possvel obter as informaes. O shield
pode ser visto na Figura 8.7.
Figura 8.8 A estratgia honeynet para uso do honeypot.
8.4 METODOLOGIAS DE DETECO

As metodologias utilizadas pelos IDS para a deteco de um ataque so o
Knowledge-Based Intrusion Detection, tambm conhecido como Misuse Detection
System, e o Behavior-Based Intrusion Detection, tambm conhecido como Anomaly
Detection System, que sero apresentadas nas prximas sees.
Aps a anlise feita pelo sistema de deteco, os resultados possveis em um
IDS, por exemplo, so:
Figura 8.7 A estratgia shield para uso do honeypot.
* Trfego suspeito detectado (comportamento normal).
Honeynet: tambm conhecido como zoo, o honeynet uma rede de honeypots, * Trfego suspeito no detectado (falso negativo).
com diferentes sistemas. Essa rede pode misturar facades, sacrifical lambs e * Trfego legtimo que o IDS analisa como sendo suspeito (falso positivo).
instrumented systems, de acordo com a convenincia, como pode ser visto na * Trfego legtimo que o IDS analisa como sendo legtimo (comportamento nor-
Figura 8.8. mal).
268 269
Alguns IDS realizam a anlise baseada em estados, na qual permite-se que o ou logs, reduz a necessidade de recursos computacionais; porm, a deteco no
contexto da deteco do ataque seja verificado, provendo, assim, maior acerto nas feita em tempo real [BRE 98].
deteces. Isso permite uma anlise com a desfragmentao e o reagrupamento de O desempenho desse tipo de IDS pode ser considerado um ponto forte, porm ele
pacotes, que so tcnicas muito utilizadas para a evaso de IDS, que ser discutida decai conforme o conjunto de regras vai crescendo [TAN 03]. A facilidade de enten-
na Seo 8.5 [GON 02]. der as regras e a capacidade de customizao tambm so pontos positivos do IDS
baseado em conhecimento.
8.4.1 Knowledge-Based Intrusion Detection As assinaturas, como as que detectam um grande nmero de falhas em conexes
TCP em diversas portas, indicando que algum est realizando um scanning na rede,
A abordagem baseada em algum tipo de conhecimento a mais empregada pelos
so divididas em trs tipos [SAN 99-2]:
IDS, na qual as deteces so realizadas com fundamentos em uma base de dados
com informaes sobre ataques conhecidos. O funcionamento desse tipo de IDS
* Strings: verificam strings que indicam um possvel ataque. Um exemplo de
semelhante ao de um antivrus, no qual o IDS procura por um padro ou uma
assinatura de string para UNIX pode ser cat + + > /.rhosts. Para minimizar
assinatura de ataque que esteja nessa base de dados. Um conjunto de assinaturas
o nmero de falsos positivos, necessrio refinar as assinaturas de strings,
representa tipos de conexes e trfegos, que podem indicar um ataque particular
utilizando assinaturas compostas, como, por exemplo, as de ataques na Web,
em progresso. Todas as aes que no so reconhecidas pelo conjunto de assinatu-
que misturam cgi-bin, aglimpse e IFS.
ras so consideradas aceitveis. A taxa de acertos desse tipo de IDS considerada
* Portas: monitoram tentativas de conexes nas portas.
boa, porm depende da atualizao constante dessa base de conhecimentos, que,
* Cabealho: procuram por combinaes perigosas ou sem lgica, nos cabea-
por sua vez, depende do sistema operacional, da verso, da plataforma e da aplica-
lhos dos pacotes. Um exemplo o WinNuke, que envia um pacote para a porta
o [SAN 99-2][TAN 03].
NetBIOS (139) e liga os bits Urgent e Out of Band, o que resulta no blue screen
O burglar alarm um modelo que utiliza o Knowledge-Based Intrusion Detection
of death, em sistemas Windows. Outro exemplo a assinatura que identifica
e faz uma analogia com o uso de um alarme residencial, caso em que o alarme
pacotes de TCP que tm os flags SYN e FIN ligados, o que significa que o
dispara, de acordo com alguns eventos definidos. Assim como o alarme residencial
cliente deseja iniciar e finalizar a conexo ao mesmo tempo, o que no pode
pode ser programado de acordo com uma poltica (por exemplo, de que ele ir
existir em uma situao normal, sendo, portanto, um claro indcio de tentati-
disparar se algum entrar pela porta dos fundos ou pela janela), o burglar alarm
va de ataque.
tambm funciona de acordo com uma poltica definida, na qual a deteco se baseia
no conhecimento da rede e no que no pode ocorrer nessa rede. A idia de que o
Um exemplo de assinatura utilizada por um IDS a do Code Red. O IDS verifica
administrador tem o conhecimento da rede e o hacker no, de modo que assim ele
se as informaes que esto sendo verificadas fazem parte dessa assinatura, e, em
pode definir o momento em que um alarme deve ser disparado [RAN 99].
caso positivo, a resposta definida ser enviada ao administrador:
Esse tipo de metodologia mais rpido e no gera tantos falsos positivos, em
/
comparao com o Behavior-Based Intrusion Detection (Seo 8.4.2), pois ele en-
tende o ataque que est em andamento. Seu ponto fraco que, assim como os default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
antivrus com relao aos vrus, ele no consegue detectar ataques no conhecidos, NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
novos ou que no foram atualizados pelo fabricante do sistema. Alm disso, ele NNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%
pode ser enganado por meio de tcnicas como a insero de espaos em branco no u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531
b%u53ff%u0078%u0000%u00=a
stream de dados do ataque [RAN 99][TAN 03].
Outro ponto negativo o alto recurso de computao exigido, que dificultado Um outro exemplo de assinatura interessante a do NIMDA, que pode ser visto
quando se realiza um ataque distribudo coordenado, no qual a anlise em tempo a seguir:
real de todos os pacotes (em grande nmero) pode ficar comprometida. Solues GET /scripts/root.exe?/c+dir
GET /MSADC/root.exe?/c+dir
como realizar anlises em dados j capturados previamente, como pacotes da rede
270 271
GET /c/winnt/system32/cmd.exe?/c+dir 63 74 65 74|; \

GET /d/winnt/system32/cmd.exe?/c+dir classtype:successful-admin; sid:1289; rev:1;
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir \
GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir reference:url,www.cert.org/advisories/CA-2001-26.html;)
GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir alert tcp $EXTERNAL_NET 80 -> $HOME_NET any \
GET /msadc/..%5c../..%5c../..%5c/..\xc1\x1c../..\xc1\x1c../ (msg:WEB-MISC readme.eml autoload attempt;
..\xc1\x1c../winnt/system32/cmd.exe?/c+dir \
GET /scripts/..\xc1\x1c../winnt/system32/cmd.exe?/c+dir flags:A+;
GET /scripts/..\xc0/../winnt/system32/cmd.exe?/c+dir content:window.open(\readme.eml\; nocase; \
GET /scripts/..\xc0\xaf../winnt/system32/cmd.exe?/c+dir classtype:attempted-user; sid:1290; rev:2; \
GET /scripts/..\xc1\x9c../winnt/system32/cmd.exe?/c+dir reference:url,www.cert.org/advisories/CA-2001-26.html;)
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir alert tcp $EXTERNAL_NET 80 -> $HOME_NET any \
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir (msg:WEB-MISC readme.eml attempt; \
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir flags:A+; uricontent:readme.eml; nocase; \
GET /scripts/..%2f../winnt/system32/cmd.exe?/c+dir classtype:attempted-user; sid:1284; rev:3; \
reference:url,www.cert.org/advisories/CA-2001-26.html;)
Uma considerao importante a ser feita quanto s assinaturas de ataques que alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS
devem ser atualizados, como o que acontece com os antivrus, que, em um IDS, 80 \
(msg:WEB-FRONTPAGE /_vti_bin/ access;flags:
existe a possibilidade de o administrador criar sua prpria assinatura. Com isso, ele A+; \
pode manter um conjunto de regras personalizadas e refinadas para o seu ambiente, uricontent:/_vti_bin/; nocase;
classtype:bad-unknown; \
o que pode diminuir tambm o nmero de falsos positivos. Um exemplo da criao sid:1288; rev:1;)
de uma assinatura pode ser visto a seguir, no qual o filtro para o Nimda foi criado
Um outro exemplo que pode ser visto o do MS-SQL Worm, tambm conhecido
para o IDS Snort:
como Saphire, SQL-Hell ou MS-SQL Slammer, que explorou vulnerabilidades j co-
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS
nhecidas do SQL Server, que funciona na porta TCP 1434. O ataque tinha caracters-
80 \
(msg:WEB-IIS multiple decode attempt; \ ticas que podem ser vistas a seguir:
flags:A+; uricontent:%5c; uricontent:..;
\ 0: 0003 ba0b e48d 0050 7343 a257 0800 4500 .......PsC.W..E.
reference:cve,CAN-2001-0333; \ 16: 0194 00f2 0000 6d11 d101 da39 813a c331 ......m....9.:.1
classtype:attempted-user; sid:970; rev:2;) 32: 42d1 10c8 059a 0180 aa1d 0401 0101 0101 B...............
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 48: 0101 0101 0101 0101 0101 0101 0101 0101 ................
80 \ 64: 0101 0101 0101 0101 0101 0101 0101 0101 ................
(msg:WEB-IIS msdac access; \ 80: 0101 0101 0101 0101 0101 0101 0101 0101 ................
flags:A+; uricontent:/msdac/; nocase; \ 96: 0101 0101 0101 0101 0101 0101 0101 0101 ................
classtype:bad-unknown; sid:1285; rev:1;) 112: 0101 0101 0101 0101 0101 0101 0101 0101 ................
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 128: 0101 0101 0101 0101 0101 01dc c9b0 42eb ..............B.
80 \ 144: 0e01 0101 0101 0101 70ae 4201 70ae 4290 ........p.B.p.B.
(msg:WEB-IIS _mem_bin access; \ 160: 9090 9090 9090 9068 dcc9 b042 b801 0101 .......h...B....
flags:A+; uricontent:/_mem_bin/; nocase; \ 176: 0131 c9b1 1850 e2fd 3501 0101 0550 89e5 .1...P.5....P..
classtype:bad-unknown; sid:1286; rev:1;) 192: 5168 2e64 6c6c 6865 6c33 3268 6b65 726e Qh.dllhel32hkern
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 208: 5168 6f75 6e74 6869 636b 4368 4765 7454 QhounthickChGetT
80 \ 224: 66b9 6c6c 5168 3332 2e64 6877 7332 5f66 f.llQh32.dhws2_f
(msg:WEB-IIS scripts access; \ 240: b965 7451 6873 6f63 6b66 b974 6f51 6873 .etQhsockf.toQhs
flags:A+; uricontent:/scripts/; nocase; \ 256: 656e 64be 1810 ae42 8d45 d450 ff16 508d end....B.E.P..P.
classtype:bad-unknown; sid:1287; rev:1;) 272: 45e0 508d 45f0 50ff 1650 be10 10ae 428b E.P.E.P..P....B.
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 288: 1e8b 033d 558b ec51 7405 be1c 10ae 42ff ...=U..Qt.....B.
80 \ 304: 16ff d031 c951 5150 81f1 0301 049b 81f1 ...1.QQP........
(msg:WEB-IIS cmd.exe access; \ 320: 0101 0101 518d 45cc 508b 45c0 50ff 166a ....Q.E.P.E.P..j
flags: A+; content:cmd.exe; nocase; \ 336: 116a 026a 02ff d050 8d45 c450 8b45 c050 .j.j...P.E.P.E.P
classtype:attempted-user; sid:1002; rev:1;) 352: ff16 89c6 09db 81f3 3c61 d9ff 8b45 b48d ........<a...E..
alert udp any any -> any 69 \ 368: 0c40 8d14 88c1 e204 01c2 c1e2 0829 c28d .@...........)..
(msg:TFTP GET Admin.dll; \ 384: 0490 01d8 8945 b46a 108d 45b0 5031 c951 .....E.j..E.P1.Q
content: |41 64 6D 69 6E 2E 64 6C 6C 00 6F 400: 6681 f178 0151 8d45 0350 8b45 ac50 ffd6 f..x.Q.E.P.E.P..
272 273
416: ebca .. A abordagem utilizada de que tudo o que no foi visto anteriormente perigo-
J o filtro do Snort, desenvolvido com base nas caractersticas anteriores, pode so e, portanto, deve ser evitado. Assim, todos os ataques podem ser capturados,
ser desenvolvido de diversas formas, tais como: mesmo os que no tiverem assinaturas definidas, incluindo os ataques novos. Alm
# Regra SNORT por Chris Brenton, apenas para exploit especfico: disso, essa metodologia independente de sistema operacional ou plataforma.
alert udp $EXTERNAL_NET any -> $HOME_NET 1434 (msg:SQL Sapphire O lado negativo dessa abordagem que o IDS pode gerar falsos negativos (quan-
Worm; do o ataque no causa mudanas significativas na medio do trfego) e um grande
dsize:>300; content: |726e 5168 6f75 6e74 6869 636b 4368 4765|;
offset: 150; depth: 75;)
nmero de falsos positivos (bug no sistema de monitoramento, erro no modo de
anlise da medio ou falta de certeza da verificao de todo o trfego normal)
# Regra SNORT de Snort ML: [BRE 98]. Para minimizar esses problemas, diversas pesquisas esto em andamento,
alert udp $EXTERNAL_NET any -> $HOME_NET 1434 (msg: SQLSLAMMER sig
principalmente com a utilizao de redes neurais, lgica fuzzy e inteligncia artifi-
1; content: dllhel32hkernQhounthickChGetTf; classtype:bad- cial [GRA 99].
unknown;)
Alguns dos projetos que utilizam essa abordagem so Next-Generation Intrusion
# Regra SNORT de Stephane Nasdrovisky, SANS ISC: Detection Expert System (IDES) [HTTP 03] e Event Monitoring Enabling Responses to
Anomalous Live (Emerald) [HTTP 04].
alert udp $EXTERNAL_NET any -> $HOME_NET 1434 (msg: SQLSLAMMER sig
Um tipo de IDS com base em comportamento o baseado em anomalia de proto-
2; content:dllhel32hkern; offset:150; depth:100; classtype:bad-
unknown;) colo (Protocol Anomaly Detection-Based) ou anlise de protocolo. Esse tipo de IDS,
alert udp $EXTERNAL_NET any -> $HOME_NET 1434 (msg: SQLSLAMMER sig faz a anlise do fluxo de pacotes para identificar irregularidades e inconsistncias
3; content:|01 01 01 01 01 01 01 01 01 01 01 01 01|; offset:44;
depth:10; classtype:bad-unknow com relao aos padres especficos de cada protocolo. Com o objetivo de identificar
n;) trfego que viola especificaes-padro, como as Request for Comments (RFC), ati-
# Regra SNORT de Pedro Bueno, SANS ISC:
vidades suspeitas, como um ataque de buffer overflow, um ataque FTP Bounce Attack
ou um ataque novo, podem ser identificadas com a anlise do protocolo. Caso a
alert udp $EXTERNAL_NET any -> $HOME_NET 1434 (msg:SQLSLAMMER sig especificao do protocolo seja violada, o IDS emite o alerta. Os sistemas baseados
4"; content:|04 01 01 01 01 01 01 01|; classtype:bad-unknown;)
em anomalia nos protocolos, porm, no so capazes de identificar ataques que no
Um dos grandes problemas que existem com esse tipo de IDS com relao violam protocolos [NET 02][TAN 03][DAS 02].
evaso. Um exemplo a dificuldade em identificar ataques no nvel de aplicao que Um exemplo de uso de IDS baseado em anomalia de protocolo pode ser visto na
usam o Unicode. As tcnicas de evaso de IDS so discutidas na Seo 8.5 [TAN 03]. deteco do ataque do Nimda [DAS 02]. O vrus usou uma srie de variaes que
tentavam driblar as assinaturas dos IDS, tirando proveito do Extended Unicode
8.4.2 Behavior-Based Intrusion Detection Directory Traversal Vulnerability [CER 00], que abusava da converso de caracteres
UTF-8. Duas das 16 variaes do Nimda eram [DAS 02]:
O Behavior-Based Intrusion Detection assume que as intruses podem ser detec-
tadas por meio de desvios de comportamento dos usurios ou dos sistemas. O mode- GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir
lo de normalidade definido de diversas maneiras (devendo-se tomar cuidado para GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir
que o padro de normalidade no seja definido quando o recurso est sendo ataca-
No caso do Nimda, a deteco por anomalia do protocolo feita baseada no
do) e comparado com a atividade em andamento. Qualquer comportamento suspei-
protocolo HTTP em vez de assinaturas, o que facilita a deteco, pois o HTTP deve
to, diferente do padro, considerado intrusivo [SAN 99-2][HO 01].
implementar corretamente o padro Unicode, que no permite mltiplas represen-
A deciso tomada por meio de uma anlise estatstica ou heurstica, a fim de
taes possveis dos code points usando o UTF-8 (Seo 8.5). Assim, um IDS baseado
encontrar possveis mudanas de comportamento, tais como o sbito aumento de
em anomalia de protocolo poderia detectar o Nimda antes mesmo de sua dissemina-
trfego, utilizao da CPU, atividade de disco, logon de usurios, acesso a discos
o, cobrindo todas as suas variaes.
etc. [SHA 01][GON 02].
274 275
As principais vantagens do IDS baseado na anlise de protocolos so [TAN A tcnica de insero pode ser usada para driblar os sistemas baseados em assi-
03][DAS 02]: naturas, que normalmente usam um conjunto de caracteres para detectar um ata-
que. Enviando um pacote que ser recebido somente pelo IDS, uma assinatura base-
* No necessrio atualizar assinaturas. ada no conjunto de caracteres ATTACK, por exemplo, no detectar um ataque que
* Possibilidade de identificar ataques novos. use a tcnica, pois o IDS interpretar ATXTACK e o sistema receber ATTACK corre-
* Emitem poucos falsos positivos. tamente. Isso pode ser visto na Figura 8.9 [PTA 98].
As principais desvantagens do IDS baseado na anlise de protocolos so [TAN 03]:
* Desempenho.
* Dificuldade em escrever, entender e adicionar as regras.
* No identifica ataques que so feitos de acordo com o protocolo, sem violar o
protocolo.
* Emite alertas, porm no prov muitas informaes sobre o ataque.
8.5 INSERO E EVASO DE IDS

Os NIDS que funcionam no modo passivo, baseados na anlise de todo o trfego Figura 8.9 Tcnica de insero, na qual o IDS aceita trfego que o sistema rejeita.
do segmento de rede e na procura por padres de atividades suspeitas, possuem
alguns problemas, como a falta de informaes suficientes para uma concluso do Na tcnica de evaso, o sistema destinatrio aceita os pacotes que o IDS rejei-
que est acontecendo nos sistemas que esto sendo atacados [PTA 98]. Um outro ta, fazendo com que o IDS analise um trfego diferente do sistema. Por exemplo,
problema existente que, pelo fato de funcionar de modo passivo, a indisponibilidade uma assinatura que detecta o conjunto de caracteres ATTACK no detectar o
do IDS no significa a indisponibilidade dos sistemas da rede, o que possibilita a ataque, pois o IDS estar analisando o conjunto ATTACK, como pode ser visto na
execuo de ataques sem que sejam detectados [PTA 98]. Figura 8.10.
Algumas classes de ataques que exploram o problema de atuao em modo pas-
sivo foram definidas [PTA 98]:
* Insero: envio de pacotes invlidos rede, que o IDS aceita, mas o sistema
destinatrio no.
* Evaso: explora inconsistncias entre o IDS e o sistema destinatrio, com o
IDS no analisando pacotes que chegam ao destinatrio.
* Negao de servio (Denial-of-Service DoS).
Essas tcnicas tm como objetivo fazer com que o IDS no cumpra o seu papel,
que o de prover informaes de segurana acuradas sobre eventos suspeitos na
rede e detectar atividades suspeitas. Fazer o IDS responder com falsos negativos
(no detectar ataques reais) ou falsos positivos (achar que comportamentos nor- Figura 8.10 Tcnica de evaso, na qual o IDS rejeita trfego que o sistema aceita.
mais so ataques) faz parte dos objetivos dessas tcnicas, bem como tornar o IDS
indisponvel.
276 277
As tcnicas de insero e evaso exploram vrias condies, em diferentes n- constitui oportunidade de evaso de IDS. Caso o IDS, que funciona em modo passi-
veis, que so caractersticos de determinados sistemas. Por exemplo, um determina- vo, utilize um segmento que a vtima no ir usar ou no utilize um segmento que
do sistema operacional pode rejeitar alguns pacotes que outros sistemas operacionais a vtima ir usar, a evaso pode ocorrer. Assim, uma tcnica de evaso criar
normalmente aceitariam. Esse comportamento pode ser usado para o uso de inser- segmentos TCP que fazem com que o IDS no seja capaz de saber se a vtima ir ou
o no IDS. Por exemplo, podem-se usar campos do cabealho IP com erros, como os no receber esses segmentos. Caso a vtima receba o segmento, o IDS no tem
campos version e checksum, que no so analisados normalmente pelos IDS, po- condies de determinar qual poro dele ser usada efetivamente. Esses segmen-
rm, normalmente so rejeitados pelos sistemas destinatrios [PTA 98]. O campo tos TCP so chamados de segmentos TCP ambguos (ambiguous TCP segments) [NET
Time to Live (TTL) tambm pode ser explorado, caso o IDS esteja em um segmento 02]. A criao dos segmentos TCP ambguos envolve o uso de checksums TCP invli-
de rede diferente do sistema destinatrio. Nesse caso, o IDS recebe o pacote, mas, dos ou dados fora do tamanho da janela [NET 02].
com o TTL curto, o pacote descartado antes de chegar ao destinatrio no outro Ataques de negao de servio ao IDS envolvem a exausto de recursos, como do
segmento de rede. Outro problema semelhante ocorre com o campo dont fragment. processador, da memria, do espao em disco ou da largura de banda. Outros ata-
Caso a rede do IDS aceite pacotes maiores do que a rede do sistema, e o bit dont ques envolvem a explorao de recursos reativos dos sistemas de deteco de intruso.
frament estiver ligado, um pacote maior recebido pelo IDS; porm, no pelo Existem tambm as tcnicas de evaso de IDS que exploram fraquezas nos meca-
sistema destinatrio, que descarta o pacote [PTA 98]. nismos de verificao de assinaturas de ataques. Por exemplo, a string /etc/passwd,
Outro mtodo de insero direcionar o trfego para o endereo MAC do IDS, usada como padro de assinatura, pode ter diversas outras strings equivalentes que
caso ele seja conhecido e esteja na mesma rede [PTA 98]. usam a codificao, tais como [TIM 02][PUP 99]:
Uma tcnica muito usada tambm a explorao da fragmentao de pacotes IP. GET /etc/passwd
O problema est no reagrupamento dos fragmentos, no qual alguns IDS no conse-
GET /etc//\//passwd
guem reagrupar fragmentos que chegam fora de ordem. Essa caracterstica pode ser
explorada para resultar na negao de servio, quando o IDS vai armazenando todos /etc/rc.d/.././\passwd
os fragmentos para o reagrupamento, mas no existe o fragmento que completa o
badguy@host$ perl e
pacote. Com isso, a memria fica cheia, podendo travar o sistema [PTA 98]. $foo=pack(C11,47,101,116,99,47,112,97,115,115,119,100);
Outro problema que explorado o overlapping dos fragmentos, no qual eles @bam=`/bin/cat/ $foo`; print@bam\n;
possuem pores de dados que j foram inseridas em outros fragmentos. Normal-
GET %65%74%63/%70%61%73%73%77%64
mente, caso isso ocorra, os dados antigos so sobrescritos pelos dados do novo
fragmento, mas o comportamento do IDS pode ser diferente, causando inconsistn- GET %65%74%63/%70a%73%73%77d
cias entre ele e o sistema que recebe os fragmentos [PTA 98]. Outros problemas de evaso esto relacionados com o Unicode, que gerenciado
Problemas equivalentes podem existir tambm no TCP, quando o sistema trata pelo Unicode Consortium [HAK 01]. O Unicode prov uma nica identificao para
os pacotes TCP recebidos de uma forma e o IDS de outra [PTA 98]. Isso envolve cada caractere em todas as linguagens, para facilitar uma representao uniforme
campos de cabealho malformados, como o CODE, nos quais certas combinaes de em computadores. Os caracteres Unicode so chamados de code points e possuem a
bits podem ser invlidas, rejeitadas por alguns sistemas e aceitas pelo IDS ou vice- representao U+xxxw, onde xxxx o nmero hexadecimal [HAC 01].
versa. Outros problemas envolvem a anlise de dados em pacotes SYN, o checksum, O UTF-8 o formato de transformao do Unicode, que faz a codificao para
e as opes do TCP [PTA 98]. Muitos problemas envolvem o controle das conexes code points e compatvel com o formato ASCII. Se tem a essa compatibilidade por
TCP, baseadas no handshake em trs vias (SYN, SYN-ACK, ACK), que envolve tam- meio da representao dos sete bits padro do ASCII (U+000 a U+007F) como sendo
bm o trmino do monitoramento das conexes, que podem ser baseadas em paco- um nico byte, com outros caracteres sendo representados por seqncias de mais
tes FYN, RST ou timeouts. Outros problemas esto relacionados ao reagrupamento bytes [HAC 01].
de pacotes TCP e ao overlapping de segmentos TCP [PTA 98]. Com o conjunto de caracteres Unicode, possvel que um nico caractere tenha
A reconstruo (reassembly) de pacotes com os segmentos que, dependendo das mltiplas representaes, podendo-se ainda modificar o code point anterior, sendo,
condies da rede, fazem com que alguns segmentos sejam retransmitidos, tambm
278 279
assim, muito complexo. O problema que o conjunto de code points muda sempre O funcionamento do NIDS em modo passivo, apenas escutando o trfego, resulta
que a representao UTF-8 aumenta em um byte. Assim, quando o UTF-8 possui tambm em outros inconvenientes, pois, atuando de modo passivo, o sistema no
representaes de dois bytes, ele repete os code points com um byte de representa- pode controlar o trfego, ignorando, modificando, atrasando ou injetando novos
o. J quando o UTF-8 possui representao de trs bytes, ele repete os code points pacotes na rede capazes de defender o ambiente. Isso faz com que a operao inline
para as representaes de um e dois bytes [HAC 01]. seja importante para eliminar a maioria dos problemas de evaso existentes em IDS
Alm disso, algumas aplicaes que suportam o UTF-8 podem aceitar todos os baseado em rede [NET 02].
valores e realizar as transformaes para cada code point. Por exemplo, o caractere A operao inline difere da operao passiva na forma de captura do trfego. O
A pode ser representado por U+0041, U+0100, U+0102, U+0104, U+01CD, U+01DE IDS que opera em modo passivo captura o trfego do segmento de rede, enquanto o
e U+8721, e no Internet Information Service (IIS) existem 30 representaes dife- IDS que opera em modo inline possui um posicionamento como a de um firewall,
rentes para o caractere. O grande nmero de variaes pode ser visto pelas 34 onde todo o trfego da rede passa pelo sistema. Essa caracterstica torna o IDS
representaes diferentes existentes para o caractere E, 36 para I, 39 para O e inline capaz no apenas de detectar os ataques, mas tambm de preveni-los, pois os
58 para U, de forma que a string AEIOU pode ter 83. 060. 640 diferentes repre- pacotes do ataque no chegam aos servidores. Esses sistemas que operam em modo
sentaes [HAC 01]. inline so chamados de sistemas de preveno de intruso (Intrusion Prevention
O problema do Unicode foi explorado primeiramente no IIS, usando-se a mudan- System IPS). O IDS que opera em modo inline pode ser caracterizado como um IPS
a de diretrios. Utilisando-se uma URL como http://vitima/../../winnt/system32/ baseado em rede, pois existem os IPS baseados em host, que sero vistos em segui-
cmd.exe, o IIS, corretamente, no aceita os caracteres ../... Porm, com a repre- da.
sentao UTF-8, ..%C1%9C.., o ataque torna-se possvel, pois o IIS no realizava a A diferena entre os dois modos de operao (passivo e inline) torna-se clara,
verificao nesses cdigos [HAK 01]. pois a operao em modo passivo faz com que o IDS seja capaz de detectar ataques,
O Unicode Consortium modificou a especificao do Unicode para eliminar as porm no capaz de prevenir os ataques. Os IDS passivos, na realidade, possuem
mltiplas representaes possveis dos code points usando o UTF-8 [HAC 01][UNI 03]. alguma forma de reao, normalmente com o envio de mensagens TCP reset ou
enviando mensagens de reconfigurao de regras de firewall ou de roteadores [NET
02].
8.6 INTRUSION PREVENTION SYSTEM (IPS) Os IDS inline possuem a capacidade de enviar mensagens de drop das conexes,
Foi visto na seo anterior que sistemas de deteco de intruso que funcionam o que faz com que as conexes no cheguem ao seu destino, pois elas so silencio-
como um sniffer, capturando e analisando a comunicao do segmento de rede, samente perdidas, como acontece com os firewalls. O uso de reset permite que os
possuem alguns problemas, como o fluxo de pacotes fragmentados, no confiveis e atacantes obtenham informaes na mensagem que podem ser relevantes para os
que chegam fora de ordem. Algumas tcnicas que podem ser utilizadas para resolver ataques, como o nmero de hosts entre ele e o servidor, via anlise do campo Time
esses problemas so [NET 02]: to Live (TTL) do pacote TCP.
Alm disso, o pacote reset recebido pode fazer com que o atacante perceba a
* IP de-fragmentation: combinar os fragmentos em pacotes. existncia de um IDS na rede da organizao, pois a conexo encerrada, com o
* TCP reassembly: recolocar os segmentos TCP na ordem inicial, eliminando da- atacante recebendo essa mensagem, e no perdida. Como o atacante recebe essa
dos duplicados e em overlapping. mensagem de reset, existe ainda a possibilidade de que ele altere sua pilha de
* Flow tracking: identificar os fluxos e associ-los com uma sesso nica de protocolos para que esses pacotes no sejam recebidos, de modo que a conexo
comunicao. continua ativa.
* Normalizao: interpretao e manipulao de representaes codificadas e Outro problema da utilizao de pacotes reset que alguns ataques baseados
caracteres especiais na reconstruo das mensagens. em um nico pacote no so afetados. Nesse caso, quando o pacote de trmino da
conexo enviado, o ataque j aconteceu. Mesmo em ataques que usam mais de um
Assim, os sistemas que utilizam essas tcnicas so baseados em estados, pois pacote, pode existir o atraso no envio do reset, o que pode fazer com que esse
tomam decises levando em considerao o estado dos pacotes a serem analisados. pacote chegue aps a realizao do ataque. Alm disso, problemas referentes ao
280 281
nmero de seqncia fazem com que uma condio de corrida possa existir, resul- falsos, o que acaba tornando o IDS mais um problema do que uma soluo. Por
tando em uma grande quantidade de pacotes reset, que pode degradar o desempe- exemplo, muitas organizaes recebem alertas de ataques ao servidor Web Apache,
nho da rede [NET 02]. pois o servidor Internet Information Services (IIS) o usado. O nmero de alarmes
Assim, os IDS que operam em modo inline, no qual todos os pacotes passam pelo falsos faz com que os administradores de segurana muitas vezes passem a achar
sistema, so tambm conhecidos como IPS baseado em rede. Outro tipo de IPS, que os demais alertas tambm so falsos, e deixam passar um ataque verdadeiro.
baseado em host, pode operar de acordo com as seguintes abordagens [SEQ 02]: Isso faz com que algumas configuraes do IDS sejam analisadas com mais cui-
dado. Por exemplo, uma configurao que termina as conexes, caso uma assinatu-
* Abordagem heurstica, com deteco via redes neurais. ra seja vlida, pode causar interrupes indesejveis no ambiente, caso a interpre-
* Abordagem baseada em sandbox, no qual uma rea do sistema tem o acesso tao seja incorreta. Por exemplo, um sistema de backup que tem suas conexes
restringido, alarmando quando uma ao viola os limites dessa rea. finalizadas pelo IDS, por serem interpretadas como ataques, pode ser muito comum
* Abordagem baseada no kernel, onde o acesso ao kernel controlado pelo IDS, e dispendioso.
prevenindo a execuo de chamadas maliciosas ao sistema. J o uso de bloqueio automtico de firewall pode resultar em ataques de nega-
o de servio, caso o atacante use o IP Spoofing para a realizao dos ataques.
Um IPS com abordagem baseada no kernel pode controlar os acessos ao sistema Assim, sistemas desse tipo devem ser usados como parte da estratgia de segu-
de arquivo, aos arquivos de configurao e aos registros do sistema. Alm disso, ele rana das organizaes e como mais um nvel de segurana, no como uma soluo
pode controlar os pacotes de rede e tambm o espao de execuo, minimizando os isolada.
problemas de ataques de buffer overflow [SEQ 02].
Os sistemas de preveno de intruso baseados em host funcionam integrados ao
kernel do host, inspecionando as chamadas ao sistema de acordo com um conjunto de 8.8. PADRES
regras definidas, rejeitando problemas de buffer overflow, system calls ilegtimos, A padronizao do IDS um processo que ainda est em andamento e tem como
mudanas em registros e vrus, worms, cavalos de Tria, rootkits e backdoors. Em vez objetivo criar formatos e procedimentos para o compartilhamento de informaes
de assinaturas, eles identificam comportamentos suspeitos [BOB 02]. entre os sistemas. Um importante trabalho est sendo desenvolvido pela Internet
As premissas dos sistemas de preveno de intruso so [BOB 02]: Engineering Task Force (IETF), que est especificando o Intrusion Detection Exchange
Format (IDWG) [IET 01] e tem como objetivos:
* Todos os comandos devem passar do kernel para o sistema de preveno, antes
de serem executados. * Definir formatos de dados e procedimentos para a troca de formatos de respos-
* Todos os comandos possuem objetivos similares: privilgios de administrador, tas.
modificao de registros ou de arquivos do sistema, execuo de buffer overflow * Definir formatos de dados e procedimentos para o compartilhamento de infor-
etc. maes de interesse para diversos sistemas de deteco de intruses.
* Definir mtodos de gerenciamento dos sistemas que necessitam interagir en-
Dessa maneira, as aplicaes so redirecionadas para o sistema de preveno, tre si.
que faz a verificao de todas as chamadas. Elas chegam ao kernel do sistema ape-
nas aps passar pelas checagens feitas pelo sistema [BOB 02]. Os resultados esperados so:
* Criao de um documento que descreva as exigncias funcionais de alto nvel

8.7 CONFIGURAO DO IDS para a comunicao entre IDS e as exigncias para a comunicao entre IDS e
Com relao ao IDS baseado em rede, os falsos positivos so os maiores proble- sistemas de gerenciamento.
mas. A falta de um refinamento de regras resulta em um grande nmero de alertas * Especificao de uma linguagem comum, que descreva os formatos de dados
que satisfazem s exigncias.
282 283
* Uma framework (estrutura) que identifique os melhores protocolos utilizados * IDS 1: detecta todas as tentativas de ataque contra a rede da organizao, at
para a comunicao entre IDS, descrevendo como os formatos de dados se mesmo as tentativas que no teriam nenhum efeito, como os ataques a servi-
relacionam com eles. dores Web inexistentes. Essa localizao oferece uma rica fonte de informa-
es sobre os tipos de tentativas de ataques que a organizao estaria sofren-
Alguns Internet drafts j criados so: do.
* IDS 2: funcionando no prprio firewall, o IDS pode detectar tentativas de
* Intrusion Detection Exchange Protocol (IDXP): protocolo para a troca de men- ataque contra o firewall.
sagens entre os sistemas de deteco de intruses. * IDS 3: detecta tentativas de ataque contra servidores localizados na DMZ, que
* Formato XML para a troca de mensagens de deteco de intruses. so capazes de passar pelo firewall. Assim, ataques contra servios legtimos
* Tnel que passa pelo firewall, utilizado para o gerenciamento do IDS. situados na DMZ podem ser detectados por esse IDS.
* IDS 4: detecta tentativas de ataque contra recursos internos que passaram
pelo firewall e que podem acontecer via VPN.
8.9 LOCALIZAO DO IDS NA REDE * IDS 5: detecta tentativas de ataque contra servidores localizados na DMZ 2,
O IDS pode ser utilizado em diversas localidades da rede da empresa, pois cada que passaram pelo firewall, pela VPN ou por algum outro servio da DMZ 1,
posio significa um tipo de proteo especfico. Algumas das posies em que o como o servidor Web. Isso ocorre porque os recursos da DMZ 2 no podem ser
Network-Based Intrusion Detection System (NIDS) pode ser utilizado so observadas acessados diretamente pelo usurio, a no ser via algum servidor da DMZ 1 ou
na Figura 8.11. Para aumentar o nvel de segurana, um Host-Based Intrusion Detection via VPN. Discusses sobre a DMZ 1 e a DMZ 2 so mostardas no Captulo 12.
System (HIDS) pode ser utilizado em cada um dos servidores ou at mesmo em um * IDS 6: detecta tentativas de ataques internos na organizao. Esse
IDS hbrido (Hybrid IDS). posicionamento passa a ser importante em ambientes cooperativos, devido ao
aumento dos bolses de segurana caractersticos. O provimento de acesso
cada vez maior a recursos internos faz com que a vigilncia interna seja um
fator de sucesso para o ambiente cooperativo.
Uma considerao importante com relao ao posicionamento do IDS que,

quando este fica antes do firewall, como o IDS 1, a deteco considerada simult-
nea aos ataques (deteco de ataques). J quando o IDS fica depois do firewall,
como os IDSs 3, 4, 5 e 6, a deteco passa a ser de intruses, uma vez que o hacker
j passou pelo firewall (deteco de intruses) [NOR 01], ou de erros cometidos por
usurios internos (misuse) [BEC 99].
8.10 DESEMPENHO
As questes de desempenho de IDS esto sendo resolvidas aos poucos, porm
alguns problemas ainda persistem, como foi reportado pela Network World [NEW
02]. Em um teste com oito produtos, os resultados demonstraram travamentos,
deixaram de analisar alguns pacotes (causando falsos negativos) e mostraram a
dificuldade de refinamento das regras para minimizar alarmes falsos [NEW 02].
Figura 8.11 O posicionamento do IDS na arquitetura de segurana.
284 285
8.11 FORENSE COMPUTACIONAL importantes nesse contexto, ao prover registros relevantes que podem ser teis em
uma investigao.
A importncia da forense computacional na investigao de crimes na Internet
Os exames periciais a serem realizados referem-se recuperao de dados de
vem aumentando conforme o nmero e o grau de sofisticao dos ataques tambm
computadores envolvidos em atividades criminosas, cujos danos se refletem direta-
aumenta. A forense computacional uma cincia multidisciplinar que tem como
mente no mbito computacional, tais como invaso de propriedade, obteno ilcita
objetivo o estudo de tcnicas para aquisio, preservao, recuperao e anlise de
de dados privados, danos propriedade ou servios computacionais e at o uso
dados em formato eletrnico e armazenados em algum tipo de mdia.
ilegal de software. Esses exames tambm esto relacionados a crimes do mundo real
Ela importante principalmente em casos nos quais um sistema sofre algum
que se utilizam dos meios virtuais para atingir seus objetivos, tais como pedofilia,
incidente de segurana, aps passar pelas defesas implementadas, por exemplo,
fraudes diversas, trfico de drogas, trfego de informaes camuflado ou opaco
pelo firewall, IDS e autenticao. Casos de fraudes financeiras, suspeitas de
entre agentes criminais etc.
pedofilia, roubo de informaes confidenciais ou acessos no autorizados a siste-
Um fato importante a ser considerado que, com a evoluo da tecnologia e de
mas crticos podem ser analisados sob a tica da forense computacional, na busca
seu uso, cada vez mais os crimes usam algum componente computacional, que pode
de vestgios sobre o ataque que indiquem culpados para um possvel processo
servir como um valioso provedor de informaes para as percias criminais.
judicial.
Alm disso, o atrativo que os recursos computacionais oferecem s prticas
Outro fator importante que refora o desenvolvimento acentuado dessa cincia
criminais facilmente explicado pela facilidade, rapidez e economia com que certas
a necessidade das instituies legais de atuarem no combate aos crimes eletrnicos.
aes podem ser executadas, quando comparadas com suas equivalentes no mundo
Sabe-se que a eliminao de fronteiras oferecida pela Internet gerou um grande
real. Por isso, os procedimentos periciais devem ser vlidos e confiveis, devendo
problema para as instituies de combate ao crime, uma vez que facilitou em muito
ser aceitos pela comunidade cientfica relevante. Tambm tm de conter robustez
a ocorrncia de atos ilcitos na Web.
tecnolgica: toda informao probante deve ser descoberta. Por ltimo, devem ser
Contudo, por se tratar de uma necessidade muito recente, ainda no se pode
legalmente defensveis, ou seja, garantir que nada na evidncia criminal possa ser
contar com padres internacionais para o tratamento desse tipo de evidncia. Dessa
alterado e que nenhum dado possa ser adicionado ou removido do original.
maneira, o valor jurdico de uma prova eletrnica manipulada sem padres devida-
Hoje, a cincia forense tem produzido dados vlidos e confiveis, mas a legisla-
mente preestabelecidos pode ser contestvel. Mundialmente, h esforos no sentido
o processual brasileira ainda no prev sua prtica. Mesmo assim, provas periciais
de padronizar a anlise forense computacional, bem como resolver algumas implica-
tm prevalecido no conjunto probante. Certamente, um fator determinante para
es legais ligadas sua prtica. Assim como no caso da cincia forense tradicional, a
isso a fundamentao cientfica que deve ser demonstrada nestes casos, implican-
manipulao de evidncias deve seguir mtodos e padres rigorosos para evitar ao
do na no dependncia de interpretaes subjetivas dos peritos envolvidos.
mximo sua alterao e, portanto, uma possvel contestao na justia.
Na busca de informao em sistemas computacionais, o perito tem de realizar
No mbito computacional, as evidncias referem-se sempre presena de infor-
uma varredura minuciosa nos elementos capazes de armazenar informao, sejam
mao relevante, que pode estar armazenada de forma organizada, como arquivos,
eles dispositivos de armazenagem ou elementos de hardware de baixo nvel. Dentre
ou espalhada em meio no voltil, tipicamente magntico. A informao tambm
estes, destaca-se o sistema de arquivos (arquivos comuns ou removidos), os espaos
pode ser trocada entre duas pessoas e, neste caso, as evidncias so consideradas de
no utilizados em dispositivos de armazenagem (volteis ou no) e perifricos, que
interesse legal.
muitas vezes dispem de espaos prprios de armazenamento.
Quase todas as aes realizadas no cenrio virtual resultam em modificaes em
interessante observar que um certo subconjunto das possveis evidncias
arquivos, programas, documentos ou registros histricos de eventos nos computa-
computacionais pode estar somente disponvel ou acessvel enquanto os computa-
dores. Para este ltimo caso, necessrio que os registros de eventos (logs) de
dores envolvidos estiverem exatamente no estado em que se encontravam por oca-
interesse tenham sido configurados para operar nas plataformas computacionais
sio da ao criminal. Nesses casos, a percia deve dispor de mtodos para coleta de
envolvidas. A dificuldade est no fato de que tais registros so normalmente limita-
evidncias com as mquinas ainda vivas, como se diz na rea, antes de providenciar
dos, e muitas vezes no so nem mesmo habilitados. Os sistemas de deteco de
seu desligamento para posterior transporte e anlise em laboratrio.
intruso, tanto os baseados em host quanto os baseados em rede, so componentes
286
Felizmente, uma certa cultura na rea j comea a existir quando o assunto a

investigao de crimes eletrnicos. Pesquisadores j conseguem utilizar ferramen-
tas de uso geral, focando-se no interesse forense. Em outros casos, nota-se a utili-
zao de algumas poucas ferramentas especficas, que comeam a ser disponibilizadas
pela prpria comunidade.
A criptografia e a PKI
8.11 CONCLUSO
Este captulo apresentou os objetivos, as caractersticas e os tipos de sistemas
de deteco de intruses (IDS). O Network-Based Intrusion Detection (NIDS) traba-
lha capturando pacotes da rede e realizando a anlise de acordo com padres ou
assinaturas conhecidos. J o Host-Based Intrusion Detection (HIDS) funciona em
cada sistema e capaz de detectar intruses com base em registros e eventos do
sistema. O IDS hbrido (Hybrid IDS) incorpora caractersticas do NIDS e do HIDS, de
modo a oferecer uma capacidade maior de deteco. Os IDS, ao detectar tentativas A criptografia uma cincia que tem importncia fundamental
de ataques externos e internos, dependendo de sua localizao, permitem que o para a segurana da informao, ao servir de base para diversas
administrador de segurana tenha conhecimento sobre o que est acontecendo e tecnologias e protocolos, tais como a infra-estrutura de chaves p-
sobre qual medida tomar com relao ao ataque, sempre de acordo com a poltica de blicas (Public Key Infrastructure PKI), o IP Security (IPSec) e o
segurana da empresa. Sistemas que visam no apenas a deteco e a resposta, mas Wired Equivalent Privacy (WEP). Suas propriedades sigilo, inte-
tambm a preveno de intruso, so chamados de Intrusion Prevention System gridade, autenticao e no-repdio garantem o armazenamento,
(IPS) e tambm podem ser baseados em host ou em rede. A forense computacional, as comunicaes e as transaes seguras, essenciais no mundo atu-
que uma cincia importante para anlises dos incidentes de segurana, tambm al. Este captulo discute o papel da criptografia e os aspectos rela-
foi brevemente mostrada. cionados sua segurana, e tambm a infra-estrutura de chaves
pblicas, componente importante em um ambiente baseado em cer-
tificados digitais.
C
9.1 O PAPEL DA CRIPTOGRAFIA
a
A criptografia tem funo e importncia cada vez mais funda-
p mentais para a segurana das organizaes; a cincia de manter
as mensagens seguras. A cifragem (encryption) o processo de dis-
t farar a mensagem original, o texto claro (plaintext ou cleartext),
de tal modo que sua substncia escondida em uma mensagem com
u texto cifrado (ciphertext), enquanto a decifragem (decryption) o
l processo de transformar o texto cifrado de volta em texto claro
o original [SCH 96].
Os processos de cifragem e decifragem so realizados via uso
9 de algoritmos com funes matemticas que transformam os tex-
SEGURANA DE REDES EM AMBIENTES COOPERATIVOS Captulo 9: A criptografia e a PKI
288 289
tos claros, que podem ser lidos, em textos cifrados, que so inteligveis. meio da utilizao de uma chave secreta para a codificao e decodificao dos
A criptografia possibilita que as propriedades importantes para a proteo da dados (Figura 9.1).
informao sejam alcanadas, dentre elas:
* Integridade
* Autenticidade
* No-repdio
* Sigilo
Alm dessas propriedades, a assinatura digital e a certificao digital so impor-

tantes para a proteo da informao. De fato, no mundo atual, onde a comunica-
o est cada vez mais onipresente na vida das pessoas, a proteo de toda essa
Figura 9.1 Criptografia de chave privada ou simtrica.
comunicao deve ser garantida, bem como a privacidade dos usurios. Dessa ma-
neira, a criptografia j usada em muitas solues do dia-a-dia dos usurios de
Os algoritmos de chave simtrica tm como caracterstica a rapidez na execu-
todos os nveis. Alguns exemplos de uso de criptografia para a proteo do sigilo e
o, porm eles no permitem a assinatura e a certificao digitais. Alm disso,
integridade da informao e da integridade e autenticao da comunicao que
existe o problema da necessidade de distribuio das chaves secretas a serem
podem ser vistos so os seguintes:
utilizadas pelos usurios, que deve ser feita de maneira segura. O problema est
na dificuldade de enviar a chave gerada para o usurio, pois o canal de comunica-
* A comunicao das ligaes celulares da tecnologia Global System for Mobile
o ainda no seguro. Outro problema o uso de chaves secretas diferentes para
Communication (GSM) protegida pelo algoritmo COMP128-2.
cada tipo de comunicao e tambm para cada mensagem, o que faz com que seu
* As compras via Internet so protegidas pelo protocolo de segurana Secure
gerenciamento se torne muito complexo. Um exemplo dessa complexidade pode
Socket Layer (SSL).
ser visto em um ambiente no qual trs usurios se comunicam entre si, onde cada
* Os bancos protegem as transaes eletrnicas do Internet Banking com SSL e
um deles deve armazenar e gerenciar trs chaves diferentes. A Figura 9.2 mostra
tambm com algum protocolo criptogrfico adicional.
que Maria precisa de trs chaves secretas diferentes para se comunicar com Joo,
* Os administradores de sistemas acessam os servidores remotamente usando
Pedro e Lus.
protocolos como o Secure Shell (SSH).
* As redes sem fio usam criptografia para proteo dos acessos, definidos no
protocolo Wired Equivalent Privacy (WEP Captulo 5).
* Redes privadas virtuais (Virtual Private Network VPN) usam protocolos como
o IP Security (IPSec) para proteger as comunicaes entre as organizaes
(Captulo 10).
* O uso de certificados digitais (Seo 9.5) como credenciais tambm impor-
tante para a segurana, principalmente para acesso a servios crticos e que
requerem o no-repdio.
Figura 9.2 As chaves secretas necessrias na criptografia simtrica.
A criptografia de chave privada ou simtrica, como o Data Encryption Standard Os algoritmos de chave pblica ou assimtrica, como RSA, Rabin e outros, po-
(DES), 3DES, IDEA, RC6 e outros, responsvel pelo sigilo das informaes, por dem possibilitar, alm do sigilo, integridade, no-repdio e autenticidade. poss-
290 291
vel ainda que a assinatura e a certificao digital possam ser utilizadas. As comuni- algoritmos (simtrico e assimtrico) sejam normalmente utilizados em conjunto,
caes so realizadas por meio de dois pares de chaves diferentes, uma privada e aproveitando-se as melhores caractersticas de cada um.
uma pblica para cada entidade. Uma mensagem, por exemplo, pode ser cifrada Com isso, a aplicao mais comum para a criptografia a utilizao dos algoritmos
utilizando-se uma chave pblica e decifrada utilizando-se somente a chave privada de chave pblica para autenticao, certificao e estabelecimento da comunicao
correspondente ou vice-versa (Figura 9.3). segura. Uma vez que o canal seguro esteja estabelecido, uma chave secreta pode ser
gerada e trocada para a utilizao da criptografia de chave simtrica, que mais
rpida e usada para o sigilo das mensagens. Assim, os pontos fracos de ambos os
tipos de criptografia podem ser reduzidos, com a criptografia de chave pblica
formando o canal seguro para a distribuio de chaves simtricas, que por sua vez
mais rpida que o uso do par de chaves da criptografia assimtrica. O SSL funciona
exatamente dessa maneira, com algoritmos como o RSA formando o canal seguro e
o RC4 sendo usado para o sigilo das informaes.
A assinatura digital pode ser obtida com o uso de algoritmos de chave pblica,
no qual o usurio que deseja assinar digitalmente uma mensagem utiliza sua chave
privada. Como somente ele possui acesso chave privada e como somente a chave
Figura 9.3 Criptografia de chave pblica ou assimtrica.
pblica correspondente pode fazer com que a mensagem volte ao seu estado origi-
nal, utilizar a chave privada significa que o usurio assina digitalmente uma men-
O algoritmo assimtrico minimiza o problema de troca de chaves, pois no
sagem. O processo, que pode ser visto na Figura 9.5, feito tambm com o uso de
necessrio um canal seguro para tal. Porm, ele cerca de 60 a 70 vezes mais
um algoritmo de hash, que um resumo da mensagem. O algoritmo de assinatura
lento que os algoritmos simtricos. A Figura 9.4 mostra as vantagens na distribui-
digital aplicado sobre o resumo gerado, com o usurio usando sua chave privada.
o de chaves, onde Maria mantm somente o seu par de chaves (privada e pbli-
O resultado, a assinatura digital, adicionado mensagem original, que enviada
ca), enquanto Joo, Pedro e Lus obtm a chave pblica de Maria para enviar a
ao destinatrio. importante notar que o uso da assinatura digital no garante o
mensagem cifrada para ela. Como somente a chave privada equivalente capaz de
sigilo da mensagem, somente prova a origem de determinada mensagem, pois so-
decifrar a mensagem, e somente Maria a possui, o sigilo da mensagem para Maria
mente o dono da chave privada pode assinar a mensagem.
garantida.
Figura 9.4 As chaves privadas e pblicas necessrias na criptografia assimtrica.
Assim, a criptografia simtrica possui o problema da distribuio e gerenciamento

de chaves, enquanto a criptografia assimtrica possui o problema de desempenho, Figura 9.5 Processo de assinatura digital.
pois ele exige maior poder de processamento. Isso faz com que os dois tipos de
292 293
O processo de verificao da assinatura digital pode ser visto na Figura 9.6. O * O Secure Electronic Transaction (SET), utilizado no comrcio eletrnico, faz
destinatrio recebe a mensagem assinada e usa a chave pblica correspondente do com que as lojas virtuais no tenham acesso ao nmero do carto de crdito,
remetente para verificar a assinatura digital. O algoritmo de assinatura digital o que poderia ser aproveitado para uma base de dados de seus clientes. Essa,
aplicado sobre a assinatura digital, o que resulta no resumo da mensagem, que na realidade, uma caracterstica importante para a segurana, pois o maior
exatamente o processo inverso realizado na assinatura. O algoritmo de hash perigo dos incidentes envolvendo cartes de crdito est relacionado ao seu
aplicado na mensagem original, que tambm resulta no resumo da mensagem. No armazenamento.
caso de os dois resumos da mensagem gerados serem iguais, isso significa que a
assinatura digital vlida, pois a chave pblica do remetente foi utilizada e ela Tudo isso, aliado ao fato de o poder de processamento estar seguindo a Lei de
correspondente chave privada utilizada. Caso os dois resumos sejam diferentes, Moore, facilitando a quebra de chaves de alguns algoritmos criptogrficos, mostra
significa que a assinatura invlida, pois as chaves pblica e privada no so que a criptografia uma rea em que grandes evolues acontecem. Um dos
equivalentes. principais fatos est na escolha do Advanced Encryption Standard (AES) pelo
National Institute for Standards and Technology (NIST), que teve como objetivo
substituir o DES, que era o algoritmo simtrico padro. O rigoroso processo de
avaliao e testes teve incio em 12 de setembro de 1997. Em 20 de agosto de
1998, 15 candidatos foram selecionados, nmero que caiu para cinco, em agosto
de 1999. No dia 2 de outubro de 2000, o algoritmo criptogrfico Rijndael, desen-
volvido por dois pesquisadores belgas, foi escolhido pela comunidade ligada
criptografia, aps uma srie de testes que avaliaram trs aspectos principais dos
cinco finalistas: segurana, custo e caractersticas do algoritmo e implementao
[NEC 01].
O AES foi aprovado em 25 de maio de 2002, quando se tornou o padro atual,
Figura 9.6 Processo de verificao da assinatura digital.
com o NIST especificando o algoritmo Rijndael no Federal Information Processing
Standard (FIPS) 197 para uso oficial pelo governo americano [AES 03]. O Rijndael,
Apesar de fundamental, principalmente devido necessidade crescente de sua
alm de combinar segurana, desempenho, eficincia, facilidade de implementao
utilizao na Internet, Bellovin mostra que as solues existentes so poucas, alm
e flexibilidade, oferece outras vantagens como o bom desempenho tanto em software
de no serem completas. Alguns exemplos citados so [BEL 98]:
quanto em hardware, a velocidade na manipulao das chaves e a necessidade de
pouca memria para o funcionamento [AES 03].
* O Pretty Good Privacy (PGP) e o Secure Multi-Purpose Internet Mail Extensions
Quanto ao padro americano, o Triple DES tambm um algoritmo aprovado
(S/MIME), utilizados para a segurana de e-mails, no tm uma certificao
pelo governo americano e nele, o DES permitido somente para sistemas legados. O
mais geral.
DES e o Triple DES so especificados no DIPS 46-3 [AES 03].
* O SSL, utilizado na Web, oferece a autenticao em apenas uma via, ou seja,
O Rijndael utiliza chaves de 128, 192 e 256 bits e a previso de que o AES
somente o servidor certificado, com o usurio permanecendo sem nenhuma
permanea seguro por 20 anos, segundo o NIST [AES 03]. Uma informao inte-
certificao.
ressante sobre a possibilidade de quebrar a chave do algoritmo, por meio de um
* O IPSec, protocolo-padro de redes privadas virtuais, entra em conflito com os
ataque de fora bruta. Caso uma mquina destinada a ataques de fora bruta,
firewalls, pois os pacotes de IPSec tm cabealhos e contedos cifrados, que os
como o Deep Crack (Seo 9.4), fosse utilizada para tentar decifrar uma senha do
firewalls no podem processar e, portanto, filtrar. Isso ser discutido com mais
Rijndael, e supondo que o Deep Crack pudesse recuperar uma senha do DES de 56
detalhes na Seo 12.2.
bits em um segundo (o Deep Crack decodificou a chave do DES em 56 horas),
294 295
seriam necessrios 149 trilhes de anos para que uma chave do Rijndael fosse Alm dos fatores verificados, deve-se tambm levar em considerao a quali-
quebrada [AES 01]. dade do algoritmo criptogrfico e sua correta implementao, seja em software ou
Um outro fato importante que mostra a evoluo da criptografia o avano da hardware.
criptografia de curvas elpticas, cada vez mais utilizado em componentes como Um princpio fundamental o de Dutchman A. Kerckhoffs, que, no sculo XIX,
smart cards e na computao mvel, devido ao seu maior desempenho. enunciou que a segurana deve residir na chave, pois sempre se deve assumir que
o atacante tem os detalhes completos do algoritmo criptogrfico e de sua
implementao. Isso reforado pelo fato de que esses detalhes do algoritmo e de
9.2 A SEGURANA DOS SISTEMAS CRIPTOGRFICOS sua implementao podem ser descobertos, e, se o atacante no capaz de desco-
A segurana de sistemas criptogrficos depende de uma srie de fatores, como brir esses detalhes, ento ele no capaz de quebrar uma chave criptogrfica
uma falha na gerao de chaves, por exemplo, que pode comprometer totalmente o [SCH 96].
sigilo de uma comunicao. Diversos fatores devem ser analisados para que a prote- Assim, confiar na segurana da criptografia somente porque o algoritmo
o adequada da informao no seja apenas uma falsa impresso: criptogrfico no conhecido , na realidade, uma grande falcia. O melhor algoritmo
aquele que pblico e vem sendo testado por todos, permanecendo intacto. Esse
* Gerao das chaves: com a utilizao de um nmero aleatrio real como ponto um dos principais fatores de segurana de sistemas criptogrficos, o que faz com
inicial para a criao das chaves, impossvel saber ou adivinhar a estrutura que a segurana resida na chave, e no no algoritmo.
das chaves futuras, o que garante uma maior segurana. Sem a gerao alea- Em termos matemticos, o algoritmo criptogrfico, que tem origem a partir de
tria, o algoritmo utilizado pode revelar padres que diminuem o espao de um problema matemtico difcil, considerado seguro se 50 mil computadores no
escolha das chaves, o que facilita sua descoberta. Assim, importante utilizar puderem resolver esse problema em um milho de anos. Existem diversos tipos de
sistemas que sejam capazes de gerar nmeros aleatrios reais, tais como os problemas matemticos difceis, tais como [SCH 96][ROT 98-2][ROT 98-3]:
utilizados por alguns tipos de hardware, conhecidos tambm como Hardware
Security Module (HSM). Eles tm a vantagem de utilizar componentes dedica- * Logaritmo discreto ou Discrete Logarithm Problem (DLP), como o Diffie-Hellman
dos na gerao aleatria desses nmeros, alm de no utilizarem os algoritmos e o Digital Signature Algorithm (DSA).
conhecidos utilizados pelos softwares, que podem revelar padres de gerao * Fatorao de nmeros primos grandes ou Integer Factorization Problem (IFP),
de chaves mais facilmente. como o RSA.
* Mecanismo de troca das chaves Por exemplo, Diffie-Hellman para criptografia * Curvas elpticas ou Elliptic Curve Discrete Logarithm Problem (ECDLP).
e RSA para assinaturas [SCH 96]. O mtodo preferido hoje o Internet Key
Exchange (IKE), em comparao com o Simple Key Management for Internet As funes one-way hash so consideradas fceis de serem executadas em uma
Protocol (SKIP). A principal vantagem do IKE sobre o SKIP sua habilidade de direo, mas so extremamente difceis de serem executadas na direo contrria.
negociar com um nmero diferente de chaves criptogrficas. Fazendo-se uma analogia, esse tipo de funo seria como um ovo, que pode ser
* Taxa de troca das chaves: como regra, quanto maior for a freqncia da troca facilmente quebrado, mexido e frito, porm quase impossvel de ser recuperado
automtica das chaves, maior ser o sigilo dos dados. Isso acontece porque a sua forma original.
janela de oportunidade de ataques diminui, pois, caso uma chave seja quebra- Funes trap-door one-way hash utilizam uma parte da informao (o trap-door)
da, ela j no mais til para a comunicao. A troca de chaves manual para realizar a funo nas duas direes. O tamanho da chave determina o grau de
considerada insegura, alm de ser trabalhoso realizar todo o processo manual- dificuldade do problema matemtico. Uma discusso terica que envolve as funes
mente, o que pode influir na produtividade do usurio. one-way hash est relacionada com sua prpria existncia, pois, matematicamente,
* Tamanhos da chave: so diferentes para a criptografia simtrica e para a no existe um modo de comprovar essa afirmao [ROT 98-3].
criptografia de chave pblica. O assunto pode ser observado com mais deta- Quanto ao RSA e a outros algoritmos de chaves pblicas, sua segurana tem
lhes na Seo 9.2.1. como base a dificuldade envolvendo a fatorao de nmeros primos grandes. Ao
296 297
passo que fcil multiplicar dois nmeros primos grandes, fatorar o produto desses Tabela 9.2 O espao de chaves e o tempo de processamento necessrio.
dois nmeros muito mais difcil. As chaves pblica e privada do RSA so funes Combinaes permitidas (Byte) 7 bBytes 7bBytes 8 bBytes 8 bBytes
de pares de nmeros primos muito grandes, com centenas de dgitos. Uma caracte- Letras minsculas (26) 8,0 x 109 2,2 horas 2,1 x 1011 2,4 dias
Minsculas e dgitos (36) 7,8 x 1010 22 horas 2,8 x 1012 33 dias
rstica do RSA e de outros algoritmos de chave pblica que eles podem ser utiliza- Alfanumricos (62) 3,5 x 1012 41 dias 2,2 x 1014 6,9 anos
dos para a cifragem de dados e tambm para a autenticao por meio de assinaturas Caracteres imprimveis (95) 7,0 x 1013 2,2 anos 6,6 x 1015 210 anos
Caracteres ASCII (128) 5,6 x 1014 18 anos 7,2 x 1016 2.300 anos
digitais [ROT 98-3].
Caracteres ASCII de 8 bits (256) 7,2 x 1016 2.300 anos 1,8 x 1019 580.000 anos
9.2.1 A segurana pelo tamanho das chaves As chaves desses algoritmos podem ser descobertas por meio de ataques de fora
A segurana de um algoritmo e de um sistema criptogrfico no pode ser medida bruta que testam cada possvel combinao de chaves at que se descubra a combina-
apenas pelo tamanho da chave utilizada. preciso conhecer o algoritmo e a mate- o correta. Esse tipo de ataque pode ser realizado usando-se desde equipamentos
mtica envolvida no processo de codificao dos dados para saber se ele ou no convencionais (PCs), passando pela tecnologia Field Programmable Gate Array (FPGA)
seguro. Por exemplo, criar um algoritmo criptogrfico proprietrio, que utilize uma um chip especial para a realizao de clculos, at o Application-Specific Integrated
chave de 256 bits, no significa que ele ser mais seguro que outros algoritmos, Circuits (ASICs), que cerca de sete vezes mais rpido que um chip FPGA, mas neces-
como o DES, que utiliza 128 bits, se existirem falhas nesse algoritmo e tambm em sita de um grande investimento em engenharia, o que aumenta os seus custos. A
sua implementao. Tabela 9.3 mostra que basta ter o recurso financeiro necessrio para que as chaves
Alm disso, no se pode esquecer de que a criptografia de chave secreta (sim- sejam decifradas por meio de fora bruta. A Tabela 9.4 mostra o tempo de fatorao
trica) e de chave pblica (assimtrica) tm segurana equivalente para chaves de para a descoberta de chaves de algoritmos assimtricos [SCH 96].
tamanhos diferentes. Por exemplo, o fato de um algoritmo de chave pblica utilizar
chaves de 512 bits no significa que ele seja mais seguro que um algoritmo de chave Tabela 9.3 Estimativas para ataques de fora bruta em algoritmos simtricos.
privada que utiliza 128 bits. A Tabela 9.1 apresenta as resistncias comparativas Custo 56 bits 64 bits 112 bits 128 bits
quanto ao custo de processamento entre os algoritmos de chave simtrica e assimtrica $100 K 3,5 horas 37 dias 13
10 anos 1018 anos
$1 M 21 minutos 4 dias 1012 anos 1017 anos
[SCH 96]. $10 M 2 minutos 9 horas 1011 anos 1016 anos
$100 M 13 segundos 1 hora 1010 anos 1015 anos
Tabela 9.1 Resistncias comparativas entre os algoritmos de chave simtrica e assimtrica. $1 G 1 segundo 5,4 minutos 109 anos 1014 anos
$10 G 0,1 segundos 32 segundos 108 anos 1013 anos
Chave simtrica Chave assimtrica $100 G 0,01 segundos 3 segundos 107 anos 1012 anos
56 bits 384 bits $1 T 1 milissegundo 0,3 segundos 106 anos 1011 anos
64 bits 512 bits
80 bits 768 bits
112 bits 1792 bits Tabela 9.4 Fatorao de chaves do algoritmo assimtrico.
128 bits 2304 bits
N de bits MIPS/Ano necessrios Tempo /p Pentium II 300 MHz
512 200 8 meses
A questo do tamanho das chaves em algoritmos simtricos avaliada em [BLA 768 100.000 300 anos
96]. Um algoritmo criptogrfico considerado eficiente se no existirem facilidades 1024 3 x 107 1 x 105 anos
1280 3 x 109 1 x 107 anos
que permitam que se recuperem as informaes sem a utilizao de ataques de 1536 2 x 1011 7 x 108 anos
fora bruta (teste de todas as combinaes de chaves) e tambm se o nmero de 2048 4 x 1014 1,3 x 1012 anos
chaves possveis for suficientemente grande para fazer com que os ataques de fora
bruta se tornem impraticveis. A Tabela 9.2 mostra o nmero de possveis chaves Um ponto interessante com relao ao uso de fora bruta para descobrir chaves
no espao de chaves e o tempo de processamento (um milho de tentativas/seg.) de criptografia que esses ataques reforam a Lei de Moore, pois os resultados
[SCH 96]. parecem estar de acordo com a realidade. Isso ocorre porque, quando o DES foi
298 299
proposto, em 1975, a chave de 56 bits era considerada segura. Aplicando-se a Lei de * Alguns sistemas utilizam arquivos temporrios para proteger os dados que
Moore, o tamanho da chave considerada segura, para 20 anos depois (1995, poca podem ser perdidos durante uma pane no sistema. Eles podem tambm utili-
do artigo), seria de 70 bits. O artigo recomenda a utilizao de 75 bits, correspon- zar a memria virtual para aumentar a disponibilidade da memria.
dentes a 61 bits em 1975. Seguindo a mesma linha de raciocnio, para garantir a * Em casos extremos, o sistema operacional pode deixar as chaves no disco
segurana de uma chave em um prazo de 20 anos, a partir de 1995, o tamanho ideal rgido. Existem sistemas que permitem que a senha fique armazenada na
seria de 90 bits [BLA 96]. memria de vdeo.
Porm, esse tamanho j no garante a segurana nos dias de hoje, pois, alm da * H falhas tambm na utilizao da base de dados de recuperao de chaves,
Lei de Moore, o avano da computao distribuda, principalmente pela Internet, em casos de emergncia.
contribuiu para o aumento exponencial da capacidade de processamento, que * Em um sistema que utiliza a gerao de nmeros aleatrios, se forem gerados
essencial para ataques de fora bruta. Com um grande nmero de equipamentos nmeros ineficientes e que no so devidamente aleatrios, o sistema ser
trabalhando paralelamente, o objetivo de descobrir a chave pode ser alcanado mais totalmente comprometido, no importando a efetividade do algoritmo de
rapidamente. Alm disso, diversos equipamentos dedicados ao ataque de fora bru- criptografia.
ta, como o Deep Crack e o Twinkle, que sero vistos na Seo 9.4, contribuem para
a evoluo da criptografia. Essas falhas podem ser exploradas por meio de ataques feitos por hardware, que
Assim, essencial considerar o tempo durante o qual a informao dever ficar podem introduzir, deliberadamente, falhas no processamento da criptografia, para
protegida pela criptografia, para que seja utilizado o tamanho ideal da chave. Os tentar determinar as chaves secretas [SCH 98].
diversos tipos de informaes necessitam de diferentes perodos de proteo e, Alm dessas falhas, os algoritmos podem ter problemas em sua implementao.
portanto, de diferentes tamanhos de chaves: Isso ocorre devido complexidade existente, que faz com que os erros em seu
desenvolvimento sejam comuns. Alm disso, os revendedores ainda comercializam
* Transferncias eletrnicas de fundos, sejam de milhes ou bilhes de dlares, produtos com algoritmos j considerados inseguros e at proprietrios (apostando
necessitam de segurana, mas o tempo de exposio extremamente curto. na segurana pela obscuridade), alm de as interfaces com o usurio ainda serem
* Planos estratgicos corporativos necessitam do sigilo durante alguns anos. difceis de ser utilizadas [BEL 98].
* Informaes proprietrias de produtos, como a frmula da Coca-Cola, preci-
sam ser protegidas por um longo perodo, talvez dcadas ou sculos.
* Informaes privadas pessoais, como condies mdicas ou avaliaes profis- 8.4 OS ATAQUES AOS SISTEMAS CRIPTOGRFICOS
sionais, devem ser protegidas durante a vida do indivduo. A criptanlise (cryptanalysis) a cincia de recuperar uma informao cifrada
sem o acesso direto chave de criptografia, de forma que ela pode recuperar a
mensagem original ou a chave de criptografia.
9.3 AS MAIORES FALHAS NOS SISTEMAS CRIPTOGRFICOS Alguns ataques baseados na criptanlise so [SCH 96]:
A utilizao de sistemas criptogrficos cresce medida que aumenta o uso da
Internet e a troca eletrnica de informaes. Devido sua extrema importncia, * Ataque do texto cifrado conhecido (Ciphertext-only attack): o atacante possui
que pode resultar em uma perigosa falsa sensao de segurana, os fatores que diversas mensagens, todas cifradas com o mesmo algoritmo criptogrfico. O
podem causar falhas em sistemas criptogrficos devem ser considerados, tais como objetivo recuperar a mensagem original ou deduzir a chave, que pode ser
[SCH 98]: usada para decifrar as mensagens.
* Ataque do texto em claro conhecido (Known-plaintext attack): o atacante pos-
* Falha na checagem do tamanho dos valores. sui o conhecimento das mensagens cifradas e tambm do seu equivalente em
* Reutilizao de parmetros aleatrios, que nunca deveriam ser reutilizados. claro. O objetivo deduzir as chaves utilizadas ou um algoritmo para decifrar
* Alguns sistemas no destroem a mensagem em texto simples, depois de ser qualquer mensagem cifrada com a mesma chave.
feita a cifragem.
300 301
* Ataque do texto em claro escolhido (Chosen-plaintext attack): o atacante es- Outro tipo de ataque o failure analysis, no qual diversos tipos de falhas so
colhe um texto em claro e faz a anlise de acordo com o texto cifrado obtido. forados durante a operao, de modo a derrubar a segurana de smart cards.
O objetivo deduzir as chaves ou um algoritmo para decifrar as mensagens. Outro ataque realizado por meio da anlise, no do algoritmo de criptografia
* Ataque do texto em claro escolhido com adaptao (Adaptive-chosen-plaintext em si, mas do gerador de nmeros aleatrios. O algoritmo pode ser seguro, mas
attack): este um caso especial do ataque de texto em claro escolhido, no se o mtodo de produo dos nmeros aleatrios para o algoritmo for ineficiente,
qual o atacante escolhe e modifica o texto em claro escolhido de acordo com o espao do nmero de chaves diferentes no ser suficiente, como deveria ser
os resultados que vem obtendo. O objetivo deduzir as chaves ou um algoritmo [SCH 99-1].
para decifrar as mensagens. Os sistemas criptogrficos podem ser atacados tambm por meio da anlise
* Ataque do texto cifrado escolhido (Chosen-ciphertext attack): o atacante esco- dos modos como as diferentes chaves se relacionam entre si. Cada chave pode
lhe diferentes textos cifrados para serem decifrados e tem o acesso aos textos ser segura; porm, a combinao de diversas chaves relacionadas pode ser sufi-
decifrados. Esse ataque usado mais contra algoritmos de chave pblica. Com ciente para a anlise criptogrfica do sistema. Alm disso, possvel quebrar a
isso, ele pode deduzir a chave utilizada. segurana do RSA, por exemplo, por meio da anlise dos padres de
* Ataque do texto escolhido (Chosen-text attack): composio dos ataques de processamento, sem que seja necessrio decifrar o algoritmo [SCH 99-1]. O timing
texto em claro escolhido e de texto cifrado escolhido. attack um ataque que faz a anlise e a mistura dos tempos relativos das
* Ataque da chave escolhida: o atacante usa o conhecimento sobre relaes operaes de criptografia. Esse tipo de ataque utilizado na recuperao de
entre diferentes chaves. chaves privadas do RSA, e tambm contra smart cards, tokens de segurana e
* Rubber-hose cryptanalysis: ataque baseado em ameaa, chantagem ou tortura, servidores de comrcio eletrnico [SCH 98].
para que o usurio entregue a chave criptogrfica. Alguns tipos de ataques so realizados contra chaves que so armazenadas no
* Ataque da compra da chave (Purchase-key attack): ataque baseado em subor- prprio equipamento do usurio, escondidas no meio de strings ou no prprio
no. sistema. Shamir descreve, em [SHA 98-4], ataques algbricos e estatsticos utili-
* Ataque de fora bruta (Brute-force attack): ataque em que todas as combina- zados para localizar chaves escondidas em uma grande string ou em grandes pro-
es de chaves possveis so testadas. gramas. Segundo Shamir, essas tcnicas podem ser utilizadas para aplicar lunchtime
attacks em chaves de assinatura utilizadas por instituies financeiras ou para
Alm desses ataques tradicionais, outros tipos de ataques podem ser utilizados driblar o mecanismo de authenticode, existente em alguns pacotes de software. O
contra os prprios sistemas criptogrficos. interessante notar que o prprio Schneier lunchtime attack realizado por algum que se aproveita da hora do almoo de
diz, em [SCH 98], que os ataques aos sistemas no ocorrem pela tentativa de testar algum funcionrio de alguma instituio financeira, por exemplo, para procurar
todas as chaves possveis (fora bruta) ou por explorar falhas nos algoritmos, mas, por chaves de assinatura, que podem estar em um arquivo dentro do seu equipa-
sim, pela explorao de erros no projeto, na implementao e na instalao dos mento ou incorporada prpria aplicao. Uma importante considerao que as
sistemas. chaves podem ser armazenadas no equipamento, sem o conhecimento do usurio,
Em [SCH 99-1], Schneier fala da evoluo dos mtodos de ataque contra os como, por exemplo, em arquivos swap do Windows (que contm o estado interme-
sistemas de criptografia (crypto-hacking) e de seu futuro, que no est destinado dirio da sesso de assinatura anterior) ou em arquivos de backup criados auto-
grande massa, como vem ocorrendo com a segurana em redes. De fato, a criptografia maticamente pelo sistema operacional, em intervalos fixos. Elas ainda podem
exige conhecimentos profundos de matemtica avanada, o que no est ao alcance estar em setores danificados, que no so considerados como parte do sistema de
de todos [SCH 99-2]. Segundo ele, os mtodos de ataque vm evoluindo, o que pode arquivos [SHA 98-4].
ser visto nos ataques do tipo side-channel attack, no qual a segurana dos smart Com relao aos ataques de fora bruta, alguns desafios criptogrficos foram
cards e dos tokens testada por meio de informaes sobre tempo, consumo de realizados pela RSA Laboratories para quantificar a segurana oferecida pelo DES,
energia e radiao do dispositivo. que era o padro definido pelo governo americano (hoje o AES). O primeiro desa-
302 303
fio, o DES Challenge I, foi realizado em fevereiro 1997 e a rede construda por Ao mesmo tempo em que so desenvolvidos equipamentos especficos para
Rocke Verser, com 70 mil sistemas da Internet, levou 96 dias para quebrar o DES, decifrar chaves, outros equipamentos dedicados para a criptografia tambm esto
aps testar 25% de todas as chaves possveis [WIL 01]. sendo produzidos. O Department of Energys (DOE) Sandia National Laboratories,
O DES Challenge II-1 foi realizado em fevereiro de 1998, e a Distributed.Net por exemplo, desenvolveu um codificador cerca de dez vezes mais rpido que os
quebrou a chave em 41 dias. O DES Challenge II-2 foi realizado em julho de 1998, similares, que pode codificar mais de 6,7 bilhes de bits por segundo. Isso pode
e a Electronic Frontier Foundation (EFF) levou apenas 56 horas para encontrar a ser til para a proteo de diversos tipos de dados digitais, como vozes, udio,
chave [WIL 01]. vdeo, telefone celular, rdio e televiso. O chip utilizado o SNL Data Encryption
Em 1999, a Distributed.Net e a EFF se uniram no DES Challenge III e criaram o Standard (DES) Application Specific Integrated Circuit (ASIC), que consiste em16
Deep Crack, um computador com processamento paralelo avaliado em 200 mil dla- conjuntos de 16 mil transistores integrados em um chip do tamanho de uma
res [MOS 99] ; juntamente com uma rede de aproximadamente cem mil sistemas da moeda. Alm de aceitar o DES, o DES ASIC ser compatvel tambm com novos
Internet, quebraram a chave em 22 horas e 15 minutos. Os equipamentos estavam algoritmos, como o Advanced Encryption Standard (AES), novo padro para a
testando 245 bilhes de chaves por segundo no momento da quebra [WIL 01]. criptografia simtrica [SAN 99].
Aps essa demonstrao, o DES j no mais recomendado para proteger infor-
maes por mais de 20 horas, sendo algumas das opes o 3DES, o Carlisle Adams
and Stafford Tavares (CAST), o International Data Encryption Algorithm (IDEA) e o 9.5 CERTIFICADOS DIGITAIS
Rivest Cipher #5 (RC5), que utilizam conceitos parecidos com os do 3DES, ou seja, Diversos protocolos de segurana, como o Secure Multipurpose Internet Mail
utilizam chaves de 128 bits, com cipher blocks de 256 bits [SCH 96]. Suas fraquezas, Extensions (S/MIME), o Transport Layer Security (TLS) e o Internet Protocol Security
assim, so as mesmas do 3DES, porm o CAST, o IDEA e o RC5 tm vantagens com (IPSec), utilizam a criptografia de chaves pblicas para prover o sigilo, a integrida-
relao ao 3DES, quanto ao seu desempenho [SCH 99-2]. de, a autenticao e o no-repdio das comunicaes e dos usurios. Os certificados
O CAST, da Entrust, no necessita de pagamento de royalties. O CAST com 64 bits digitais so um dos elementos que tm como base a criptografia de chave pblica,
leva 235 dias para ser decifrado pelo Deep Crack, enquanto o CAST com 80 bits leva utilizado por esses protocolos, e so essenciais em um modelo de segurana como o
43 mil dias. O CAST com 128 bits leva trs milhes de vezes mais de tempo que o do ambiente cooperativo, no qual diversos nveis de acesso devem ser controlados e
CAST de 80 bits. O DES-X o DES com uma chave extra de 56 bits, que faz operaes protegidos.
XOR, aumentando significativamente a segurana do algoritmo; porm, o 3DES ain- A problemtica caracterstica de ambientes cooperativos, onde diversas organi-
da mais seguro [SCH 99-2]. zaes interagem entre si para a realizao dos negcios, refora a importncia de
Um outro equipamento, utilizado para decifrar chaves pblicas o que Adi mecanismos de defesa como a criptografia, tanto simtrica quanto assimtrica. A
Shamir descreveu, o Twinkle [TWI 99], um computador eltrico-ptico destinado a criptografia de chave pblica importante porque possibilita a privacidade e a
fatorar nmeros com velocidade mil vezes maior. O computador ainda no foi integridade das informaes, alm da autenticao das partes envolvidas.
construdo, porm Shamir mostra que isso possvel, demonstrando ainda que as Quando a criptografia de chave pblica utilizada, as chaves pblicas de usu-
chaves pblicas de 512 bits no so mais seguras para a utilizao operacional. rios ou sistemas podem estar assinadas digitalmente por uma autoridade
Apesar de o Twinkle ainda no ser construdo, um grupo de holandeses fatorou certificadora (Certification Authority CA) confivel, de modo que a utilizao
um nmero de 512 bits utilizando 300 workstations da Silicon Graphics Inc. e ou publicao falsa dessas chaves pode ser evitada. As chaves pblicas assinadas
processadores Pentium, durante mais de sete meses. O algoritmo utilizado foi o digitalmente por uma autoridade certificadora confivel constituem, assim, os
General Number Field Sieve, que pode ser visto em [TER 00]. Schneider analisa que, certificados digitais. A autoridade certificadora, os usurios, os sistemas e seus
se os esforos cooperativos por meio da Internet fossem utilizados, como aconteceu certificados digitais fazem parte de um modelo de confiana essencial em um
com o DES, a chave pblica poderia ser decifrada em uma semana. A chave mnima ambiente cooperativo, necessrio para a identificao, autenticao e acesso se-
recomendada para o RSA, atualmente, de 768 bits. guro aos sistemas crticos.
304 305
Alm de estar digitalmente assinada por uma autoridade certificadora, um cer- ambiente com base em transaes financeiras, por exemplo, a PKI pode oferecer o
tificado digital pode conter diversas outras informaes que determinam o nvel de no-repdio e a integridade das transaes.
confiabilidade do certificado: Alm disso, a PKI importante especialmente para a segurana interna, ao
tornar possvel uma autenticao nica, com base nos certificados digitais. Com
* Nome, endereo e empresa do solicitante. isso, elimina-se a necessidade de armazenamento de um grande nmero de senhas
* Chave pblica do solicitante. e tambm de mltiplos processos de autenticao. Nesse ponto, pode-se considerar
* Validade do certificado. que a PKI pode funcionar como um Single Sign-On (Seo 11.3), ao prover uma
* Nome e endereo da autoridade certificadora. plataforma de autenticao nica. Mais do que isso, uma PKI pode ser considerada
* Poltica de utilizao (limites de transao, especificao de produtos etc.). uma plataforma mais segura, devido utilizao da criptografia, o que nem sempre
ocorre com o Single Sign-On.
A complexidade da estrutura e de determinados tipos de informaes culminou A assinatura digital que pode ser provida pela PKI tambm essencial, de modo
na definio do Attribute Certificate (AC), que foi incorporado na definio do X.509, que ela cada vez mais usada na garantia de identificao em transaes eletrni-
pelo PKIX Working Group. O formato do AC permite que informaes adicionais cas e em e-mails.
sejam associadas ao certificado digital, por meio de estruturas de dados assinadas A PKI vem sendo tratada com muita importncia em vrios segmentos de merca-
digitalmente e podem ter referncias a mltiplos certificados [ARS 99]. do, principalmente na rea de sade (pronturios mdicos de pacientes), na rea
Os certificados digitais so, normalmente, criados pelas autoridades certificadoras pblica (emisso de documentos digitais) e na rea financeira (transaes eletrni-
(CA), que tm a funo de criar, manter e controlar todos os certificados por elas cas). No Brasil, a PKI vem ganhando espao nas discusses, principalmente devido
emitidos, incluindo a invalidao de certificados comprometidos ou expirados. A as iniciativas do prprio governo, como so os casos do Sistema Brasileiro de Paga-
manuteno da CA envolve a segurana de sua prpria chave privada que, caso seja mentos (SPB) e do ICP-Brasil, instituda pela Medida Provisria n 2200-2, de 24 de
descoberta ou roubada, comprometer todo o sistema. Se isso acontecer, ser ne- agosto de 2001.
cessrio invalidar os certificados anteriormente emitidos e substitu-los com a nova Alguns exemplos de implementao de uma PKI podem ser vistos na Itlia, onde
chave da CA. o respectivo Ministrio do Interior tem planos de gerar certificados digitais para
Diversos aspectos esto relacionados com os certificados digitais, tais como todos os cidados italianos em um prazo de cinco anos. O servio postal americano,
emisso, revogao, certificao cruzada, renovao dos certificados, recuperao NetPost.Certified, iniciou, em 2001, a utilizao da PKI para a autenticao de
de certificados e todo o gerenciamento dos certificados digitais. Toda a complexida- informaes digitais trocadas entre as agncias governamentais [ARM 01-3].
de envolvida com todas as funes de gerenciamento dos certificados digitais levou
definio de uma infra-estrutura de chave pblica (Public Key Infrastructure 9.6.1 Definio e consideraes
PKI) que tem componentes responsveis por funes especficas, como poder ser
Devido sua ampla gama de possibilidades de uso, a definio da PKI pode
visto nas prximas sees [ROT 98].
mudar, de acordo com as necessidades, alcanando-se sempre o objetivo a que
ela se destina. Por exemplo, a definio mais geral, que usa a idia inicial da
9.6 INFRA-ESTRUTURA DE CHAVE PBLICA PKI, que ela uma infra-estrutura de segurana na qual os servios so
implementados e utilizados, atravs de conceitos e tcnicas de chaves pblicas
Em um ambiente heterogneo como o ambiente cooperativo, o gerenciamento
[ADA 99].
dos certificados digitais e de todas as suas funes torna-se extremamente comple-
Justamente devido essa definio, de que a PKI uma infra-estrutura, que
xo, fazendo com que uma infra-estrutura de chave pblica (Public-Key Infrastructure
ela se torna um elemento que deve ser incorporado aos poucos dentro da organiza-
PKI) seja importante dentro de uma arquitetura de segurana. De fato, ela
o. Assim como estradas fazem parte de uma infra-estrutura, com os benefcios
essencial em um ambiente caracterizado pela complexidade das conexes e pelos
surgindo enquanto a malha de estradas vai aumentando cada vez mais, o mesmo
diferentes nveis de usurios que tm de ser autenticados e controlados. Em um
306 307
ocorre com a PKI. Por meio de sua infra-estrutura, a PKI aceita a distribuio, o complexidade das funes da PKI, que devem funcionar de modo sincronizado,
gerenciamento, a expirao, a reemisso de certificados expirados, o backup e a aumentam a probabilidade de aparecimento de dificuldades que podem surgir na
revogao das chaves pblicas e privadas das entidades, que podem ser usurios, sua implementao ou na sua utilizao. De fato, o Gartner Group indica que 80%
equipamentos ou servios. dos projetos de PKI esto em sua fase piloto, enquanto 20% esto em produo.
Uma outra definio diz que a PKI o conjunto de hardware, software, pessoas, Desses 20, 40% iro falhar em dois anos de implantao [KEN 01]. As funes
polticas e procedimentos necessrios para criar, gerenciar, armazenar, distribuir e especificadas em uma PKI so [RSA 99][PEC 01][ADA 99]:
revogar certificados digitais, com base na criptografia de chave pblica [ARS 99].
Outras definies consideram a PKI como um backbone de uma corporao segu- * Registro: processo no qual uma entidade se registra a uma autoridade
ra [MCC 98], enquanto ela ainda pode ser definida como uma combinao de software, certificadora (Certificate Authority CA), geralmente por meio de um
criptografia e servios, que permite que as organizaes realizem transaes pela Registration Authority (RA). A CA, que pode contar com a ajuda do RA, verifi-
Internet, de maneira segura [NET 99]. ca se o nome e outros atributos esto corretos, de acordo com a poltica da
Do ponto de vista organizacional, a PKI pode ser considerada uma coleo de organizao definida no Certification Practice Statement (CPS) [BHI 98].
polticas, regras, responsabilidades, decises, servios e controles para a utilizao * Inicializao: o processo no qual a entidade obtm os valores necessrios
da criptografia entre as aplicaes da organizao, alm de ser um conjunto de para o incio das comunicaes com a PKI. Por exemplo, a inicializao pode
idias, entendimentos, convenes, concordncias, contratos, leis, regulamentos, envolver o fornecimento da chave pblica e do certificado digital da CA para o
instituies, pessoas e confiana, que permite que os certificados e as assinaturas usurio ou a gerao do par de chaves privada/pblica da prpria entidade
digitais sejam usados do mesmo modo que os documentos so utilizados e que (usurio).
documentos em papel so assinados [MUR 99]. * Certificao: o processo em que a CA envia um certificado digital para a
interessante observar, por meio dessas definies, que a tecnologia apenas entidade que a solicitou e o coloca em um repositrio, que pode ter como
um dos componentes de uma PKI, que inclui ainda a poltica de segurana, a pol- base, por exemplo, o Lightweight Directory Access Protocol (LDAP) ou diretrios
tica e os procedimentos para gerar e revogar certificados, o processo de negcios padro X.500.
para o gerenciamento dos certificados e as atividades administrativas relacionadas * Recuperao do par de chaves: tambm chamada algumas vezes de key escrow.
ao gerenciamento de chaves [PEC 01]. Em algumas situaes, uma organizao quer ter acesso a informaes que
Os aspectos jurdicos tambm constituem um ponto interessante, pois as leis esto protegidas, como e-mails ou projetos, quando um funcionrio no est
so importantes para que os certificados digitais tenham validade legal. O apoio da disponvel, seja porque ele est doente, seja porque no trabalha mais para a
legislao para o assunto influencia diretamente o sucesso e a disseminao do uso organizao ou at mesmo para uma investigao sobre sua conduta. Nesses
de certificados digitais. Leis especficas sobre assinaturas digitais esto mais difun- casos, o backup da chave privada do usurio pode ser feito por uma CA ou um
didas na Europa que nos Estados Unidos. Isso faz com que o uso de assinaturas sistema de backup separado. A PKI deve fornecer um sistema que permita a
digitais seja mais difundido na Europa elas tm ainda a vantagem de possuir recuperao, sem apresentar riscos inaceitveis de comprometimento da cha-
mais disseminao do uso de smart cards. ve privada.
Com isso, a segurana da PKI requer uma coordenao efetiva entre as reas de * Gerao de chaves: dependendo da poltica da CA, o par de chaves pode ser
negcios, tecnologia, administrao e legislao, envolvendo praticamente toda a gerado pelo prprio usurio em seu ambiente local ou pela CA. Nesse ltimo
organizao, para que os verdadeiros benefcios possam ser alcanados. caso, a chave pode ser distribuda para o usurio em um arquivo cifrado ou em
um token, smart card ou carto PCMCIA.
9.6.2 Funes da PKI * Atualizao das chaves: todo par de chaves precisa ser atualizado regularmen-
te, isto , ser substitudo por um novo par de chaves. Isso deve acontecer em
A PKI tem uma srie de funes executadas por componentes especficos da
dois casos: normalmente, quando a chave ultrapassa o seu tempo de validade
infra-estrutura, como poder ser visto na prxima seo. possvel notar que a
e, excepcionalmente, quando a chave comprometida.
308 309
* Certificao cruzada: a certificao cruzada necessria quando um certifica- * Servio de diretrio, como o Lightweight Directory Access Protocol (LDAP), que
do de uma CA enviado a outra CA, de modo que uma entidade de um domnio funciona como repositrio para chaves, certificados e Certificate Revocation
administrativo pode se comunicar de modo seguro com uma entidade de outro Lists (CRLs), que so as listas com certificados invlidos.
domnio administrativo. Essa interoperabilidade entre certificados impor- * Certificate Holders, que podem assinar digitalmente e codificar documentos.
tante em um ambiente cooperativo, no qual os usurios acessam recursos de * Clientes, que validam as assinaturas digitais e os caminhos de certificao a
diferentes organizaes. partir de uma chave pblica conhecida de uma CA confivel.
* Revogao: vrias circunstncias podem fazer com que um certificado tenha
sua validade revogada, antes da expirao. Essas circunstncias incluem mu- No exemplo da Figura 9.7, possvel verificar o processo de solicitao de certi-
danas no nome, na associao entre a entidade e a CA (funcionrio que sai da ficado digital de um usurio. Os componentes, neste exemplo, so a autoridade de
organizao) e a quebra do sigilo da chave privada correspondente. O padro registro (RA), a autoridade certificadora (CA), o usurio e o servio de diretrio ou
X.509 define um mtodo de revogao de certificados que inclui uma estrutu- repositrio.
ra de dados assinada digitalmente, chamada Certificate Revocation List (CRL)
uma lista com time-stamp, a qual identifica os certificados revogados (por
meio do seu nmero serial). Ela deve permanecer disponvel livremente em
um repositrio pblico, para permitir que sejam feitas consultas. Algumas
consideraes com relao ao CRL incluem a freqncia de sua atualizao e a
remoo do certificado da lista, por exemplo, quando o prazo de validade do
certificado expira.
* Distribuio e publicao dos certificados e da notificao de revogao: a
distribuio dos certificados inclui sua transmisso a seu proprietrio e sua
publicao em um repositrio, que podem ter como base, por exemplo, LDAP
ou diretrios-padro X.500. A distribuio da notificao de revogao envol-
ve o envio de CRLs para um repositrio especfico.
9.6.3 Componentes da PKI

Os componentes da PKI mais importantes para a execuo das funes vistas na
Seo 9.6.2 so [RSA 99][SEC 99-6][KEN 01-2]:
Figura 9.7 Um usurio solicitando seu certificado digital dentro da PKI.
* Autoridade certificadora (Certificate Authority CA), que a entidade cria-

No primeiro passo, o usurio solicita seu certificado digital enviando autoridade
dora dos certificados digitais. Pode ser interna a uma organizao ou a um
de registro informaes predefinidas necessrias para o registro. No segundo passo, a
terceiro confivel, como pode ser visto na Seo 9.6.3.1.
autoridade de registro analisa essas informaes e verifica se esto de acordo com o
* Organizational Registration Authorities (ORAs), ou simplesmente RA, que uma
Certification Practice Statement (CPS), que contm os procedimentos a serem seguidos
entidade dedicada a realizar o registro dos usurios (processo de coleta de infor-
para que um usurio seja identificado positivamente. O CPS pode exigir, por exemplo,
maes do usurio e verificao de sua identidade) e aceitar as requisies de
que o usurio faa a requisio de seu certificado pessoalmente, apresentando seu
certificados. Por exemplo, o departamento de recursos humanos pode gerenciar
documento de identidade, alm do CPF. Como foi visto na Seo 9.6.2, a autoridade de
a RA, enquanto o departamento de informtica pode gerenciar a CA. A autorida-
registro no um componente obrigatrio em uma PKI.
de de registro pode ser tambm considerada uma funo da CA [RSA 99].
310 311
No terceiro passo, caso a identificao seja vlida, a requisio ser enviada

autoridade certificadora, que vai gerar o certificado digital do usurio. Se a identi-
ficao falhar, o usurio receber uma mensagem de que a identificao no foi
concluda.
No quarto passo, a autoridade certificadora assina o certificado digital do usu-
rio com sua chave privada, e a envia a ele. O CA tambm publica o novo certificado
em um servio de diretrio, como o LDAP.
Outras funes, como o backup para a recuperao de chaves (key escrow),
certificaes cruzadas e a revogao de certificados por meio da Certificate Revocation
List (CRL), tambm podem ser exercidas pela PKI; porm, essas funes no foram
includas no exemplo.
A Figura 9.8 mostra como o usurio pode utilizar seu certificado digital para
acessar um recurso. No primeiro passo, ele faz a requisio de acesso para a apli-
cao. A aplicao, ento, solicita a apresentao do certificado digital no segun-
do passo.
No terceiro passo, o usurio deve buscar seu certificado, que pode estar
armazenado em um dispositivo como um token ou no prprio equipamento,
protegido por senha. A seguir, no quarto passo, o certificado apresentado Figura 9.8 O usurio solicita o acesso a um recurso utilizando uma PKI.
aplicao. O quinto passo consiste na autenticao do certificado digital, com a

aplicao buscando a validao no repositrio. Nesse momento, a autenticao 9.6.3.1 A autoridade certificadora
pode falhar, caso o certificado do usurio esteja revogado ou com o perodo de O modelo de confiana das autoridades certificadoras (CAs) pode ser considera-
validade expirado. do como de trs tipos [ROT 98][RSA 99][ADA 99]:
A autoridade certificadora a responsvel pela constante atualizao da
lista de revogao de certificados (CRL) e pela atualizao no repositrio. No * Modelo de autoridade central, pelo qual a autoridade certificadora nica e
sexto passo, a aplicao decide pela validao do certificado. Caso ela seja vli- absoluta.
da, o acesso ser concedido ao usurio no prximo passo. Caso o certificado * Modelo de autoridade hierrquica, pelo qual uma cadeia de autoridades emite
esteja revogado, expirado ou invlido, o acesso ser negado e o usurio ser os certificados para outras autoridades que esto no nvel inferior da cadeia e
avisado. assim por diante. A autoridade certificadora principal (root) certifica autori-
dades primrias (Primary Certification Authorities (PCAs), que podem criar,
suspender e revogar certificados dentro da hierarquia. Os PCAs, por sua vez,
podem certificar CAs. Exemplificando, o S/MIME utiliza uma hierarquia de
confiana (chain of trust), na qual o certificado de uma CA deve ser aceito por
uma CA confivel. Isso utilizado, por exemplo, quando um certificado
validado por uma CA na qual a organizao no confia. Como a organizao
no confia nessa CA, o usurio no tem acesso aos seus recursos. Ento, a CA
312 313
deve ter seu certificado validado por outra CA, na qual a organizao confie 9.6.4 Desafios da PKI
plenamente. Se a organizao confiar na segunda CA, e ela tiver certificado o
Foi visto at aqui que a especificao da PKI define uma srie de funes, com-
primeiro CA, ento esse CA tambm passa a ser confivel. Uma das CAs mais
ponentes e protocolos, mas que ela tem alguns aspectos a serem discutidos mais
conhecidas a Verisign [ZDN 98].
detalhadamente, principalmente quando sua utilizao analisada em um ambien-
* Web of Trust, em que a responsabilidade da confiana est no prprio usurio,
te produtivo. Alguns desses desafios incluem a certificao cruzada, as listas de
ou seja, se Antonio confia em Ana, e Ana confia em Beth, ento Antonio
revogao (CRLs) e as convenes de nomes.
confia em Beth. Esse o modo como funciona o Pretty Good Privacy (PGP).
A certificao cruzada um ponto importante, pois, se as CAs de duas empresas,
* Um conceito interessante para autoridades certificadoras o Trust Path. Ele
A e B, so diferentes, como a companhia A pode confiar em um usurio que tem um
envolve a gerao segura da chave privada root utilizada para assinaturas
certificado da companhia B? A tecnologia atual no permite essa interoperabilidade
digitais, backup seguro da chave criada e o seu armazenamento seguro em um
sem que exista uma combinao prvia, porm diversos padres esto sendo pro-
mdulo de criptografia confivel. A chave root deve ser armazenada em um
postos atualmente (Seo 9.6.5). Uma soluo, adotada pelo Automotive Network
local alternativo para propsitos de disaster recovery e para a insero segura
eXchange (ANX), o uso de uma CA terceirizada (modelo hierrquico de autorida-
da chave no mecanismo de assinaturas da autoridade certificadora. Isso prov
des), que certifica todos os certificados digitais dos diversos outros CAs (por exem-
uma preservao completa do nvel de confiana da chave da autoridade
plo, a Verisign ou a Entrust) [SEC 99-4].
certificadora, tanto interna quanto externamente, ao ambiente de
A interoperabilidade , de fato, um dos principais aspectos a serem resolvidos
processamento da criptografia.
pelas PKIs, seja com relao s operaes (gerao, distribuio e gerenciamento
* O armazenamento da chave da autoridade certificadora deve ser feito em um
dos certificados), seja com relao aos formatos dos componentes da PKI. O que se
Hardware Security Module (HSM), que oferece um ambiente seguro prova de
pode verificar que os padres esto sendo definidos, mas eles no so sempre
falhas (tamper proof), ou seja, proteo contra tentativas de grampo no equi-
implementados ou demoram para serem desenvolvidos. Isso faz com que as organi-
pamento, proteo fsica de todos os circuitos e proteo contra tentativas de
zaes tenham de escolher um nico fabricante para sua soluo PKI, o que traz
abertura do equipamento.
uma limitao quanto escalabilidade, alm de fazer com que a organizao fique
* O padro a ser considerado na escolha do HSM o Federal Information Processing
dependente da evoluo desse fabricante.
Standard (FIPS) PUB 140-1, que foi desenvolvido pelo National Institute of
Os problemas relacionados lista de revogao de certificados (CRL), como sua
Standards and Technology (NIST) do United States Department of Commerce e
atualizao constante, o tempo entre a revogao e a atualizao da lista e sua
pelo Canadian Communication Security Establishment (CSE).
escalabilidade, fundamental no ambiente cooperativo, tambm so pontos que pre-
* O FIPS PUB 140-1 define 11 categorias de requisitos de segurana, de modo
cisam de desenvolvimento. Algumas organizaes utilizam subconjuntos das listas
que o nvel mais alto possui maior segurana. O nvel 3 de proteo, mais
e um novo protocolo, o Online Certificate Status Protocol (OCSP), com base na Web,
comum nos produtos comerciais, estabelece, por exemplo:
est sendo desenvolvido [ARM 01-3].
* Impossibilidade de reutilizar objetos de segurana no dispositivo.
Tornar as aplicaes compatveis com os certificados digitais tambm um pon-
* Deteco e resposta de tentativas de escutas no dispositivo.
to a ser considerado. A falta de uma padronizao faz com que algumas aplicaes
* Portas separadas fisicamente para parmetros de segurana crticos e ou-
tenham de ser completamente reimplementadas, para que passem a aceitar os cer-
tros itens.
tificados digitais.
* Utilizao de algoritmos de criptografia aprovados pelo NIST.
Alm desses aspectos, a implementao da PKI traz uma srie de pontos que
* Identificao e autenticao positiva de administradores.
ainda precisam ser analisados e amadurecidos, como a aceitao dos usurios, a
* Proteo fsica de todos os circuitos, de modo a destruir os dados em caso
legislao, o planejamento e a escalabilidade.
de abertura do dispositivo ou conexo indevida.
314 315
9.6.5 Padres da PKI 9.6.5.2 ISO/ITU-T X.509

Como foi visto na seo anterior, a interoperabilidade entre as PKIs constitui um O X.509 o framework designado para trabalhar com o servio de diretrios
grande obstculo para sua implementao em um ambiente produtivo, e ainda mais X.500, e ambos fazem parte da padronizao internacional proposta pelo International
em um ambiente cooperativo. Os padres de PKI, que sero discutidos nessa seo, Standards Organization (ISO) e pelo International Telecommunications Union (ITU).
tm como objetivo permitir a interoperabilidade entre diferentes PKIs, por meio das A primeira verso do X.509 surgiu em 1988 e foi a primeira proposta de padroni-
definies de aspectos como: zao para a PKI. O padro X.509 define o framework para o fornecimento de servi-
os de autenticao e tambm o formato dos certificados digitais. O gerenciamento
* Procedimentos de registros. das chaves e dos certificados e a revogao dos certificados tambm esto includos
* Formatos de certificados. no framework.
* Formatos de CRLs.
* Formatos para as mensagens de registro (requisio, certificados, certificados 9.6.5.3 Internet Public Key Infrastructure (IPKI)
do servidor). O IPKI uma especificao da International Engineering Task Force (IETF) e tem
* Formatos para as assinaturas digitais. como objetivo detalhar a aplicao do padro X.509. Para isso, os padres da IPKI
* Protocolos de desafio/resposta. foram divididos em quatro partes:
Os principais padres so o Public Key Cryptography Standards (PKCS) e o X.509, * Certificados X.509 e profile da lista de revogao de certificados (Certificate
como podem ser vistos nas prximas sees. Revocation List CRL), para facilitar a adoo dos certificados X.509.
* Protocolos operacionais, para a recuperao de certificados e de listas de revo-
9.6.5.1 Public Key Cryptography Standards (PKCS) gao, via LDAP ou FTP. O Online Certificate Status Protocol (OCSP) tambm
O PKCS um conjunto de padres definido pelo RSA desde 1991, que inclui os especificado nesta parte.
padres para o uso da criptografia de chave pblica. O conjunto de padres pode ser * Protocolos de gerenciamento dos certificados, como certificao cruzada, re-
visto na Tabela 9.5. quisio de revogao de certificados, recuperao de chaves etc.
* Poltica para a certificao.
Tabela 9.5 Conjunto de padres PKCS.
PKCS Descrio 9.6.5.4 Simple Public Key Infrastructure (SPKI)
PKCS 1 Cifragem e assinaturas utilizando o algoritmo RSA.
O SPKI uma especificao da International Engineering Task Force (IETF) e tem
PKCS 2 Incorporado no PKCS 1.
PKCS 3 Protocolo de negociao de chaves Diffie-Hellman. como principal caracterstica a utilizao de uma estrutura de dados com base em
PKCS 4 Incorporado no PKCS 1. texto. Com isso, o SPKI procura aceitar um diretrio global, buscando eficincia na
PKCS 5 Cifragem utilizando uma chave secreta derivada de senha.
PKCS 6 Sintaxe de certificados estendidos. implementao, alm da liberdade e flexibilidade no desenvolvimento de estruturas
PKCS 7 Sintaxe de mensagens de criptografia. para um grande nmero de usurios.
PKCS 8 Formato para informaes da chave privada.
PKCS 9 Tipos de atributos para outros padres PKCS.
PKCS 10 Requisies de certificao.
PKCS
PKCS
11
12
API de criptografia para dispositivos criptogrficos.
Sintaxe da troca de informaes privadas.
9.7 CONCLUSO
PKCS 13 Criptografia de curvas elpticas. Vimos que a criptografia tem uma importncia fundamental para as organizaes,
PKCS 14 Gerao de nmeros pseudo-randmicos.
PKCS 15 Formato das credenciais em dispositivos criptogrficos. ao fornecer segurana por meio do sigilo, integridade, autenticao e no-repdio.
Diversos aspectos devem ser considerados para que um sistema criptogrfico seja
seguro, como o tamanho das chaves, o algoritmo critptogrfico, o armazenamento
316
das chaves ou a implementao dos prprios sistemas. Os certificados digitais, prove-

nientes da criptografia de chaves pblicas, tm um papel importante em um ambien-
te cooperativo, ao facilitar, principalmente, a autenticao entre usurios de organi-
zaes diferentes, de modo mais seguro que o tradicional. Isso faz com que uma
infra-estrutura de chave pblica (Public Key Infrastructure PKI) seja importante de
Redes privadas virtuais
ser considerada. Outro benefcio de uma PKI que ela oferece, por meio dos certifica-
dos digitais, uma plataforma nica de autenticao e assinatura digital.
As redes privadas virtuais (Virtual Private Network VPN) tm

uma importncia fundamental para as organizaes, principalmen-
te no seu aspecto econmico, ao permitirem que as conexes
dedicadas sejam substitudas pelas conexes pblicas. Alm do que
ocorre com as conexes privadas, tambm possvel obter econo-
mia com a substituio das estruturas de conexes remotas, que
podem ser eliminadas em funo da utilizao dos clientes e prove-
dores VPN. Porm, essas vantagens requerem uma srie de conside-
raes com relao segurana, em especial com os clientes VPN.
Este captulo mostrar a VPN e as implicaes de segurana envolvi-
das, alm dos principais protocolos disponveis para a comunicao
entre as empresas, por meio de tneis virtuais.
C
a 10.1 MOTIVAO E OBJETIVOS
p As comunicaes entre matriz, filiais, fornecedores, distribuido-
res, parceiros de negcios, clientes e usurios mveis formam o pilar
t de um ambiente cooperativo. por meio dessa malha de comunica-
o que os negcios so realizados, formando, assim, uma infra-es-
u trutura importante para qualquer organizao. Essa malha de comu-
l nicao caracterizada por dois aspectos principais: o aumento do
o nmero de conexes, a cada novo integrante do ambiente cooperati-
vo, e a conseqente elevao dos custos envolvidos com as novas
10 conexes dedicadas. Nesse contexto, a malha de comunicaes (Figu-
ra 10.1) traz algumas implicaes para todos os envolvidos:
SEGURANA DE REDES EM AMBIENTES COOPERATIVOS Captulo 10: Redes privadas virtuais
318 319
* Aumento da complexidade das conexes.

* Aumento do nmero de conexes que devem ser gerenciadas.
* Aumento dos custos conforme o aumento do nmero de integrantes do ambi-
ente.
Figura 10.2 Simplicidade das conexes pelo uso de VPNs.
Assim, quando a VPN utilizada, o servio aparece para o usurio como se

estivesse conectado diretamente rede privada, quando na realidade utiliza uma
infra-estrutura pblica. A utilizao da rede pblica para a comunicao entre ma-
triz, filiais e parceiros comerciais significa custos mais baixos e maior flexibilidade
e escalabilidade com relao a usurios mveis e mudanas e aumento das cone-
Figura 10.1 A malha de comunicao entre matriz, filial, distribuidor, fornecedor e Internet. xes. De fato, a Forrester Research estima que a reduo dos custos, quando uma
VPN utilizada, maior que 60%, dependendo do caso.
Com relao aos usurios mveis e remotos, as implicaes envolvidas so seme- O gerenciamento das conexes privadas mais complexo devido ao grande nmero
lhantes s da malha de comunicaes, porm so direcionadas estrutura de acesso de componentes envolvidos e ainda tem, alm dos custos altos, problemas com a
remoto, que inclui o pool de modems e os servidores de autenticao. flexibilidade e escalabilidade. De fato, a utilizao de uma conexo com a Internet
Ao mesmo tempo em que aumenta o nmero de conexes entre as organizaes, facilita o gerenciamento das conexes, pois no mais necessrio criar um ponto de
pode-se ver, tambm, o aumento da utilizao de redes pblicas, em particular da conexo privado para cada uma das conexes, e sim apenas uma: para a Internet. Com
Internet. Com custos relativamente mais baixos, comparados s conexes dedicadas, isso, pode-se tirar vantagem da conectividade global, que mais difcil e mais cara de
as redes pblicas formam o meio fsico utilizado pelas redes privadas virtuais. ser alcanada por meio de conexes dedicadas. Esse conjunto de fatores facilita a
As redes privadas virtuais constituem um componente importante dentro do am- conexo entre as organizaes, oferecendo alternativas que podem ser exploradas
biente cooperativo e tm como objetivo utilizar uma rede pblica para a comunica- para a busca da evoluo natural em seus processos de negcios.
o, em substituio s conexes privadas e s estruturas de acesso remoto, que tm As prximas sees mostram as implicaes envolvidas com a utilizao de VPNs,
custos mais elevados. Com as VPNs, possvel criar conexes privadas, de modo que as seus fundamentos, as diferentes configuraes de VPNs e os diferentes protocolos
comunicaes podem passar a ser realizadas por meio de uma nica ligao com a de tunelamento que formam a base das redes privadas virtuais.
rede pblica. O resultado dessa abordagem pode ser observado na simplicidade das
conexes (Figura 10.2), nas quais apenas uma conexo pblica precisa ser gerenciada,
em oposio s mltiplas conexes mostradas na Figura 10.1.
320 321
10.2 IMPLICAES quanto o IP Security (IPSec) pode fazer uso da autenticao, da integridade e do
sigilo dos pacotes.
A proposta da VPN, de substituir as conexes dedicadas caras e as estruturas de
Alm do tunelamento e da criptografia, outras caractersticas fundamentais que
acesso remoto pela rede pblica, trouxe uma srie de implicaes, principalmente
devem ser consideradas na implementao de uma VPN so o gerenciamento e o
quanto segurana da informao, que passa a correr riscos com relao ao seu
controle de trfego, que sero analisados na Seo 10.7.
sigilo e sua integridade.
De fato, trafegar informaes confidenciais sobre negcios estratgicos e novos
projetos em redes pblicas, sem a devida segurana, pode resultar em prejuzos 10.4 O TUNELAMENTO
imensurveis. O primeiro problema que pode ocorrer com a utilizao da rede pbli-
O conceito de tunelamento foi utilizado, inicialmente, com o objetivo de possi-
ca a possibilidade de abuso do packet sniffing (Seo 4.5.5), situao em que
bilitar a comunicao entre organizaes que utilizam um determinado protocolo,
qualquer indivduo tem a possibilidade de capturar pacotes contendo informaes
empregando um meio que tem como base um outro protocolo diferente. Por exem-
das organizaes, comprometendo, assim, seu sigilo, podendo ainda ser estendido
plo, pacotes Internet Packet Exchange (IPX) podem, pelo encapsulamento e pelo
perda de integridade. Outro problema a possibilidade de um ataque ativo cone-
tunelamento, ser transmitidos por uma rede IP, usando-se o tunelamento. Alguns
xo por TCP (Seo 4.7), de modo que sua integridade possa ser comprometida.
protocolos de tunelamento, como o Generic Routing Encapsulation (GRE), tambm
Problemas de IP Spoofing (Seo 4.5.9) tambm podem ocorrer, com um usurio
so utilizados para o encapsulamento de cabealhos de roteamento.
podendo se passar por outro, causando problemas de autenticao e autorizao.
Os protocolos de tunelamento utilizados nas VPNs, que so vistos na Seo 10.6,
Essas possibilidades de ataque foram discutidas e tratadas na definio da VPN,
tratam do encapsulamento dos dados do usurio (payload) em pacotes IP. O tunelamento
como poder ser visto nas prximas sees.
importante, porque um tnel IP pode acomodar qualquer tipo de payload, e o
usurio mvel pode utilizar a VPN para acessar, de modo transparente, a rede da
10.3 OS FUNDAMENTOS DA VPN organizao, seja ela com base em IP, IPX, AppleTalk ou em outros protocolos.
Os conceitos que fundamentam a VPN so a criptografia e o tunelamento. A

criptografia utilizada para garantir a autenticidade, o sigilo e a integridade das 10.5 AS CONFIGURAES
conexes, e a base da segurana dos tneis VPN. Isso poder ser observado na
Diversos tipos de VPNs podem ser utilizados para o acesso s informaes. Os
Seo 10.5.2, que discute o IPSec, um dos protocolos mais difundidos em VPNs.
tneis VPN podem ser criados tanto na prpria rede da organizao (via um gateway),
Trabalhando na Camada 3 do modelo ISO/OSI, a criptografia independente da rede
o que ocorre comumente em ambientes cooperativos, quanto no prprio equipa-
e da aplicao, podendo ser aplicada em qualquer forma de comunicao possvel de
mento do usurio, o que uma situao comum em acesso remoto. Para os usurios
ser roteada, como voz, vdeo e dados [HER 98].
que se comunicam por meio de suas organizaes, como se essas duas redes
O tnel VPN formado pelo tunelamento que permite a utilizao de uma rede
diferentes fossem, na realidade, uma nica rede, constituindo, assim, uma rede
pblica para o trfego das informaes, at mesmo de protocolos diferentes do IP,
virtual privada, que passa fisicamente por uma rede pblica.
por meio da criao de um tnel virtual formado entre as duas partes da conexo.
Esse tipo de VPN, que transparente ao usurio, pode ser chamado de gateway-
Pode-se considerar, portanto, que uma VPN formada pelo conjunto do
to-gateway VPN (Figura 10.3), e o tnel VPN (Seo 10.3) iniciado e finalizado nos
tunelamento, o qual permite o trfego em uma rede pblica, e da criptografia, que
gateways das organizaes. O gateway-to-gateway VPN pode ser visto tambm no
visa garantir a segurana dessa conexo. Porm, os diversos protocolos existentes
caso de acesso remoto, quando o usurio se conecta ao provedor VPN, onde o tnel
diferem entre si na camada do modelo ISO/OSI no qual atuam e tambm no modo
VPN iniciado (Figura 10.4). Outro tipo de VPN o client-to-gateway VPN, no qual
como a criptografia utilizada. Por exemplo, o Layer 2 Tunneling Protocol (L2TP) e
o tnel iniciado no prprio equipamento do usurio, por meio de um software
o Point-to-Point Tunneling Protocol (PPTP) fazem uso apenas da autenticao, en-
cliente (figuras 10.5 e 10.6).
322 323
Figura 10.3 Gateway-to-gateway VPN, no qual o tnel VPN criado entre duas redes.
Figura 10.5 Client-to-gateway VPN com provedor de acesso e software VPN.
Figura 10.4 Gateway-to-gateway VPN, no qual o usurio utiliza um provedor VPN.
Figura 10.6 Client-to-gateway VPN, no qual os usurios utilizam um software VPN.

324 325
Esses dois tipos de VPNs (gateway-to-gateway VPN e client-to-gateway VPN) po-

dem ser utilizados para caracterizar uma intranet VPN, que conecta a matriz a
departamentos e filiais de uma mesma organizao, ou uma extranet VPN, que conecta
a organizao a parceiros estratgicos, clientes ou fornecedores. A intranet VPN
exige uma tecnologia de ponta para as conexes de grande velocidade, que so
caractersticas das LANs, alm de uma confiabilidade que seja suficiente para asse-
gurar a prioridade em aplicaes de misso crtica. A facilidade de gerenciamento,
necessria para acomodar mudanas decorrentes de novos usurios, novas filiais e
novas aplicaes, tambm importante.
J a extranet VPN pode requerer a utilizao de um protocolo de tunelamento
para assegurar a interoperabilidade entre as vrias solues dos parceiros, pois o
controle de trfego importante para que os gargalos sejam evitados e para que a
rpida resposta s requisies de informaes crticas seja garantida.
Alm da economia com as linhas dedicadas, possibilitada pela intranet VPN e
pela extranet VPN, as redes privadas virtuais podem ser configuradas tambm como
um meio substituto ao acesso remoto tradicional. Os custos de manuteno dos
componentes de acesso remoto, que incluem o pool de modems e as linhas telefni-
cas, podem ser considerados bem maiores que em uma soluo VPN. Alm da econo- Figura 10.7 Remote-access VPN, por meio de provedor Internet e software VPN.
mia com a estrutura, a VPN permite uma economia significativa, tambm, com a
administrao do acesso remoto, que estaria a cargo do provedor de acesso Internet Outra forma de remote-access VPN quando o tnel VPN iniciado no provedor
ou de acesso por VPN. Essa soluo, na qual o tnel VPN iniciado no equipamento de acesso, que faz o papel de provedor VPN. O usurio, assim, pode utilizar uma
do usurio, que se conecta a um provedor de acesso Internet, substituindo o conexo discada via PPP para o provedor VPN, de onde o tnel iniciado para a rede
acesso remoto direto, uma das formas de remote-access VPN e pode ser vista na da organizao (Figura 10.8).
Figura 10.7. O remote-access VPN tem grande utilidade em um ambiente cooperati-
vo, pois os usurios remotos no precisam mais realizar ligaes interurbanas e
passam a acessar os recursos da organizao por meio de um tnel virtual criado
pela Internet.
Uma autenticao eficiente um requisito importante para o remote access VPN,
pois os recursos da organizao so acessados diretamente pelos usurios e a segu-
rana fsica difcil de ser implementada em solues remotas. Apesar dos grandes
benefcios, a utilizao de um software de VPN para acessar a rede interna da orga-
nizao apresenta uma srie de implicaes de segurana que precisam ser conside-
radas, as quais sero discutidas na Seo 10.5.1.
326 327
A configurao desse software feita por meio de um arquivo que contm todos
os parmetros de tunelamento necessrios e deve ser importado para o software
mediante a utilizao de uma chave secreta. Essa chave e o arquivo de configura-
o, que pode incluir certificado digital, so gerados pela autoridade certificadora,
e a chave secreta utilizada no processo de importao aumenta o nvel de segurana
do processo, ao evitar que o arquivo de configurao seja capturado e utilizado
indiscriminadamente. A segurana desse processo ser analisada na Seo 10.5.1.2.2.
Resumidamente, os passos do funcionamento do acesso remoto por VPN so:
1. O usurio instala o software-cliente VPN.

2. A autoridade certificadora gera um arquivo contendo os parmetros necessri-
os para a conexo IPSec; entre eles esto o certificado digital, a chave
assimtrica e os algoritmos criptogrficos a serem utilizados.
3. A autoridade certificadora gera uma chave secreta, que deve ser utilizada pelo
usurio na importao do arquivo de parmetros no software-cliente.
4. O usurio recebe o arquivo de parmetros e a chave secreta.
5. O usurio utiliza a chave secreta para importar o arquivo de parmetros.
6. O usurio configura o software-cliente por meio da importao do arquivo de
Figura 10.8 Remote-access VPN, por meio de provedor VPN, no qual o tnel criado. parmetros e, assim, est apto a iniciar um tunelamento IPSec para a rede da
organizao.
10.5.1 Aspectos de segurana do acesso remoto 7. A conexo IPSec negociada entre o usurio e a rede da organizao, de
acordo com os parmetros do usurio e do servidor, que tem uma lista dos
por VPN recursos acessados por cada usurio.
O acesso remoto por VPN (remote-access VPN) tem uma importncia cada vez
maior, na medida em que cresce a utilizao da computao mvel. Vendedores, Um aspecto importante que, uma vez que o software-cliente VPN configura-
consultores, clientes, telecommuters, home users e parceiros de negcios, alm da do, pela importao dos parmetros do tnel IPSec, a autenticao feita tendo
prpria organizao, so os principais usurios que aproveitam os benefcios ofere- como base o equipamento, e no necessariamente o usurio. Isso cria algumas
cidos pelo acesso remoto por VPN. Os grandes benefcios, porm, podem ser perdi- aberturas na segurana da rede da organizao, como ser visto na prxima seo.
dos, caso exista uma falha na segurana e a rede da organizao seja atacada. Esta
seo trata da segurana do acesso remoto via cliente VPN, que tem suas diversas
10.5.1.2 A segurana do acesso remoto por VPN
particularidades que precisam ser consideradas [NAK 00].
Ataques do tipo Denial of Service (DoS) certamente so um grande problema,
que pode resultar em grandes prejuzos. Porm, nesta anlise, o enfoque est em
10.5.1.1 O modo de funcionamento do cliente VPN garantir a segurana da rede interna da organizao, ou seja, garantir que o uso do
O software-cliente, que foi utilizado como base para a anlise, funciona da ma- acesso remoto por VPN no resulte em uma falha de segurana e nas conseqentes
neira mostrada a seguir, pois outras solues de acesso remoto por VPN operam de quebras de sigilo ou de integridade dos recursos da organizao. O enfoque da
modo similar: o usurio precisa instalar em seu equipamento um software, o cliente anlise ser mostrado com base nessa possibilidade, verificando aspectos que inclu-
VPN, responsvel pela inicializao do tunelamento, que tem como base o IP Security em o protocolo IPSec, as configuraes do software-cliente, a possibilidade de o
(IPSec), que ser visto na Seo 10.6.2. cliente ser utilizado como ponte para a rede da organizao, o compartilhamento
328 329
de arquivos do Windows e a utilizao de modems. Sabe-se, contudo, que ataques de configurao e chave de importao), aumenta o nvel de segurana do esquema,
DoS so muitas vezes criados como parte de um ataque ativo a um recurso. pois fica mais difcil para o hacker obter esses dois elementos distintos, que se
Um fato interessante que o ataque contra a rede da Microsoft, em outubro de relacionam entre si.
2000, foi conduzido a partir de So Petersburgo, na Rssia, por meio de uma cone- A grande questo est no modo como esses elementos so enviados ao cliente.
xo de VPN de um funcionrio da Microsoft [ARM 01]. essencial que um canal seguro seja utilizado para a transferncia do arquivo de
configurao e da chave de importao. Caso no seja possvel utilizar um canal
10.5.1.2.1 IPSec seguro, o nvel de segurana do processo de transferncia pode ser aumentado,
utilizando-se dois canais diferentes, como o telefone e o e-mail, um para a trans-
A segurana da conexo tem como base, fundamentalmente, o IPSec (Seo 10.6.2),
ferncia do arquivo de configurao e o outro para a transferncia da chave de
que , reconhecidamente, um protocolo seguro e padro de facto das VPNs. A auten-
importao.
ticao do cliente, a autenticao do servidor e o sigilo e integridade dos dados so
Outra possibilidade de ataque o roubo do equipamento do usurio. Para quem
fornecidos por esse protocolo e pelos algoritmos criptogrficos negociados pelo mes-
roubar o equipamento, o acesso rede interna torna-se praticamente automtico,
mo. Porm, no se deve esquecer de que o fato de um protocolo ser seguro no
pois o software-cliente j est apropriadamente configurado para uso. Essa uma
garante a segurana do sistema, pois ela depende da correta implementao do proto-
possibilidade que deve ser analisada com cuidado, pois tem sido observado um
colo. J foram descobertos diversos casos de erros de implementao que comprome-
aumento significativo na criminalidade envolvendo roubos de notebooks.
tiam a segurana, principalmente em algoritmos criptogrficos. Portanto, uma falha
Alm disso, ainda possvel roubar o disco rgido de desktops, de maneira
na implementao do IPSec pode comprometer o sistema, e esse aspecto deve ser
relativamente simples. Alguns equipamentos tm, at mesmo, uma gaveta remov-
verificado por meio de insistentes testes e anlises de todas as possibilidades de
vel para o posicionamento do disco rgido, tornando mais fcil a ao de quem tem
conexes. Mesmo a implementao e o projeto do cliente VPN podem ter problemas
a inteno de roub-lo.
que venham a comprometer totalmente a segurana.
Outra oportunidade perigosa ocorre quando um equipamento contendo o
Ataques tericos contra o IPSec foram demonstrados em [BEL 97], porm a
software-cliente VPN enviado assistncia tcnica. possvel recuperar e copiar
implementao dessas tcnicas seria bastante improvvel, devido complexidade
diversos tipos de informaes desse equipamento, o que pode comprometer a
dos cenrios necessrios que exigem anlise constante e rpida de todos os pacotes
segurana do sistema. O que tambm pode ocorrer com o cliente VPN algum
da conexo.
utilizar o equipamento emprestado, em momentos de ausncia do dono, para
fazer a conexo por VPN.
10.5.1.2.2 Segurana do certificado digital e da chave assimtrica Esses problemas podem ser minimizados de uma maneira simples, com a utiliza-
Foi visto que o certificado digital e a chave assimtrica, alm dos parmetros o de uma senha de acesso no software-cliente VPN. Seu nvel de segurana, no
necessrios para a criao do tnel IPSec, so armazenados em um arquivo que deve entanto, depende do mtodo de armazenamento da senha e do algoritmo criptogrfico
ser importado pelo cliente. que so utilizados pelo software. Uma anlise desses fatores importante, pois j
Os riscos existentes com relao apropriao indevida do certificado digital foram relatadas diversas ocorrncias de senhas fceis que foram descobertas, como
e da chave assimtrica esto relacionados com a captura desse arquivo de confi- os casos das senhas utilizadas em documentos do Word ou do Excel, e at mesmo
gurao da VPN e tambm com o uso no autorizado ou com o roubo do equipa- das senhas de login da rede Microsoft e dos protetores de tela. Alm dos problemas
mento do usurio. com os algoritmos, so conhecidos diversos mtodos de recuperao de senhas.
Um ataque visando a captura do arquivo de configurao no surtiria efeito Alguns desses mtodos envolvem sofisticados ataques com recursos algbricos e
direto, pois, para que este possa ser utilizado, necessrio empregar uma chave estatsticos, utilizados para localizar chaves de criptografia escondidas em uma
secreta para import-lo no software-cliente do usurio. Assim, o ataque teria suces- grande string ou em grandes arquivos [SHA 98]. Ataques de fora bruta contra a
so apenas se o hacker capturasse tambm a chave de importao do arquivo. Essa senha tambm podem ser utilizados para que o software-cliente passe a funcionar
abordagem, de tornar imprescindvel a utilizao de dois elementos (arquivo de normalmente.
330 331
10.5.1.2.3 Uma possibilidade perigosa cliente VPN como gateway Um dos mtodos para fazer com que o cliente VPN atue como um gateway entre
Uma caracterstica que abre um grande leque de possibilidades de ataque a a Internet e a rede da organizao por meio do roteamento de pacotes por esse
utilizao do cliente VPN como um gateway entre a Internet e a rede interna, ou cliente. Se esse cliente tiver a capacidade de roteamento, um hacker pode enviar
seja, como uma ponte. Isso pode ocorrer porque o equipamento do usurio passa a pacotes a ele, que, por sua vez, rotearia esses pacotes para a rede da organizao. A
ter duas conexes, uma com a nternet e outra, via tunelamento IPSec, com a rede capacidade de roteamento depende do sistema operacional em uso pelo cliente.
da organizao. Dessa maneira, o hacker pode utilizar uma conexo (com a Internet) Pode-se afirmar que os usurios que utilizam o Windows 9x ou o Windows NT
para passar para a outra (o tnel IPSec), podendo alcanar, assim, a rede da organi- Workstation esto imunes a esse tipo de ataque, pois esses sistemas operacionais
zao, como pode ser visto na Figura 10.9. As consideraes de segurana envolvi- no tm essa capacidade. O mesmo no se pode dizer daqueles que utilizam o
das aqui so, portanto, muito preocupantes, pois o cliente est disponvel (porm, Windows 2000 Server, o Linux ou as variaes de UNIX em geral, que so capazes de
no est aberto) a todo o universo da Internet. rotear pacotes.
Essa ponte pode ser caracterizada, porque o cliente VPN age sobre a pilha TCP/ Porm, pela lgica, esses clientes no devem rotear pacotes para a rede interna
IP do cliente, de modo que todo pacote endereado rede da organizao trans- da organizao, ou seja, as rotas-padro para a rede interna devem ser evitadas a
formado em um pacote IPSec, que so pacotes vlidos e autenticados. todo custo. Portanto, primeiramente, uma rota com destino rede interna da orga-
nizao deve ser includa, o que pode ser considerado difcil, mas possvel medi-
ante um ataque a esse equipamento.
Uma possibilidade de forar o roteamento a utilizao de uma funcionalidade
do TCP/IP, o source routing. Por meio dele, possvel criar pacotes com informaes
de roteamento, ou seja, pode-se enviar um pacote ao equipamento do cliente VPN
com informaes sobre qual rota esse pacote deve seguir, que, nesse caso, seria para
a rede da organizao. Essa uma funcionalidade com enormes implicaes de
segurana, pois permite que um hacker envie pacotes com informaes de roteamento
para qualquer destino desejado, pois essa rota normalmente seria proibida. Alm
disso, o source routing utilizado para que firewalls sejam driblados e uma rota de
retorno dos pacotes seja definida. Ele pode ser utilizado em ataques mais sofistica-
dos, que dependem de uma resposta da vtima; so, geralmente, empregados em
conjunto com o IP Spoofing.
Um aspecto importante com relao ao source routing que essa funcionalidade
pode ser utilizada por hosts roteadores e por hosts que no atuam como roteadores.
Por esse motivo, existe a preocupao tambm com o Windows NT Workstation e
com o Windows 9x [MIC 99-4]. No Windows NT, essa opo no podia ser desabilitada,
o que possvel somente por meio da aplicao do Service Pack 5 [MIC 99-1].
Contudo, foi descoberta uma outra vulnerabilidade no Windows que permitia a uti-
lizao do source routing, mesmo ela estando desabilitada [NAI 99]. O patch de
correo da vulnerabilidade est disponvel, menos para o Windows 9x e o Windows
NT 4.0 Server, Terminal Server Edition [MIC 99-2].
Outra possibilidade de invadir a rede interna por meio do controle da mquina
do usurio. Existem diversos ataques conhecidos que tiram proveito de falhas nos
sistemas operacionais, nos aplicativos ou nos servios. Uma dessas inmeras falhas
Figura 10.9 O cliente VPN sendo utilizado como ponte para um ataque. poderia ser utilizada para que o hacker assumisse o controle da mquina ou roubas-
332 333
se arquivos que seriam utilizados no ataque rede interna. Esse mesmo tipo de maes podem ser confidenciais, tendo sido armazenadas no equipamento do clien-
ataque poderia, ainda, ser utilizado para a alterao de tabelas de roteamento, te depois de uma conexo segura por IPSec.
como foi discutido anteriormente. O equipamento com o software de VPN pode ser explorado tambm com uma
Geralmente, o Windows 9x e o Windows NT Workstation no disponibilizam conexo via modem, o que pode ser facilitado pelo uso de war dialers (Seo 4.9.5).
muitos servios e, portanto, so menos suscetveis a ataques. Um port scanning
revelou as seguintes portas abertas nos sistemas operacionais da Microsoft, em uma 10.5.1.3 Solues
instalao-padro:
Todas essas possibilidades de ataque vistas na seo anterior podem ser
minimizadas por meio de uma boa poltica de segurana. Alm da poltica de segu-
* Windows 9x porta 139.
rana bem definida, uma defesa mais ativa deve ser utilizada, como port scannings
* Windows NT Workstation portas 135 e 139.
ou firewalls individuais (Seo 7.3.7) nos clientes. O posicionamento da VPN com
* Windows NT Server (funcionando como servidor proxy) portas 7, 9, 13, 17,
relao ao firewall da organizao tambm deve ser considerado seriamente, para
19, 135, 139, 1080.
que os usurios no driblem a poltica de segurana. A Seo 12.2 trata desse
posicionamento da VPN.
As portas 135 e 139 podem ser exploradas para ataques de DoS, que o nico
mtodo de ataque conhecido para elas (alm da explorao do compartilhamento).
Com isso, pode-se considerar que mquinas com o Windows 9x ou Windows NT 10.5.1.3.1 Poltica de segurana
Workstation, em sua instalao tpica, sem nenhum servio adicional e, principal- Alguns dos aspectos que devem ser tratados pela poltica de segurana, com
mente, sem estarem contaminadas com um vrus ou um cavalo de Tria, tm relao ao acesso remoto por VPN, levando-se em considerao os aspectos vistos na
menores chances de serem exploradas em um ataque que o Linux, UNIX ou Windows Seo 6.10, so:
NT Server.
Assim, os vrus e os cavalos de Tria so as maiores ameaas ao esquema de * Segurana fsica. Como o estabelecimento de regras para o acesso aos equipa-
segurana da VPN. Esse pode ser considerado o ponto mais crtico no sistema de mentos, que evitam que eles sejam roubados ou acessados temporariamente,
segurana de acesso remoto por VPN, pois os usurios (o elo mais fraco da seguran- de modo indevido.
a de uma organizao) podem contaminar seus prprios equipamentos por meio da * Procedimentos em caso de roubo ou perda. Se um notebook for roubado, por
execuo de programas maliciosos, que, geralmente, adotam a engenharia social, exemplo, esse roubo deve ser notificado imediatamente, para que o seu certi-
como foi visto na Seo 4.5.2. ficado digital seja revogado no mesmo instante.
Um cavalo de Tria instalado, combinado com a possibilidade de existncia de * Definio de senha para o protetor de tela. A fim de evitar que terceiros
conexo com a Internet e com o tnel VPN, torna possvel o mais perigoso dos utilizem o equipamento em horrios oportunos, como na hora do almoo, para
ataques contra a rede interna da organizao. Isso acontece porque o hacker pode ter acesso rede da organizao, via tnel IPSec.
ter acesso a todas as informaes da rede interna da organizao, acessveis pela * Os procedimentos a serem realizados. No caso de envio do equipamento
VPN. Mesmo a necessidade de uma chave para a inicializao do tnel perde sua assistncia tcnica, tambm devem ser bem descritos, para que a cpia dos
efetividade, pois um cavalo de Tria, como o Back Orifice, pode capturar tudo o que dados do disco rgido seja evitada.
o usurio digita e at mesmo a sua tela. * Definio de quais servios podem ser executados nesses equipamentos. Foi
Outro ponto a ser considerado so os compartilhamentos de arquivos do Windows. visto que cada servio funciona como uma porta de entrada, e o hacker pode
Uma configurao errada do sistema operacional pode permitir que seus arquivos explor-la para a realizao de um ataque. Quanto menos portas abertas exis-
sejam acessveis pelos demais equipamentos da sua rede e tambm pela Internet tirem, menores so as possibilidades de ataque. Servios que no so essenci-
(pela opo NetBEUI over TCP/IP). Com isso, as informaes residentes na mquina ais devem ser, portanto, desabilitados.
do cliente podem ficar disponveis por meio desse compartilhamento. Essas infor-
334 335
* essencial uma poltica de atualizao dos sistemas operacionais, aplicativos devem ser adotadas. Elas auxiliam na segurana da soluo e sero apresentadas
e servios, pois so essas atualizaes que trazem solues para os bugs e as a seguir.
vulnerabilidades que podem ser explorados pelos hackers.
* Procedimento para as conexes de VPN. Uma das regras necessrias desconectar 10.5.1.3.2 Sem acesso simultneo Internet e VPN
o cabo de rede no momento da conexo VPN, caso esse equipamento faa parte
Vimos que as possibilidades de ataque mais concretas se devem ao fato de o
de outra rede. Na realidade, essa prtica deve ser empregada sempre que um
cliente VPN ter uma conexo direta com a Internet e uma outra com a organizao,
modem for utilizado, para evitar que algum, pela Internet, tenha acesso aos
via tnel VPN.
outros pontos dessa rede. No esquema do acesso remoto por VPN, a desconexo
A utilizao do cliente VPN como gateway de ataque depende do source routing,
do cabo de rede evita tambm que outros usurios da mesma rede desse clien-
de modo que essa opo deve ser imediatamente desabilitada. Essa medida, porm,
te consigam entrar na rede interna da organizao via VPN.
no elimina os riscos com os vrus e cavalos de Tria, que devem ser combatidos de
* Uma poltica de preveno contra vrus e cavalos de Tria essencial, tanto
outra forma, principalmente por meio de uma poltica de segurana eficiente.
com relao educao dos usurios, que precisam saber quais tipos de arqui-
Os riscos podem ser eliminados se o cliente aceitar somente conexes IPSec.
vos podem ser abertos e executados em seu equipamento, quanto para a utili-
Isso eliminaria os riscos de ataque ao sistema operacional, aos aplicativos ou aos
zao e atualizao dos antivrus.
servios do cliente, alm de tornar a conexo VPN segura, mesmo se o cliente VPN
* Definir normas para a utilizao de modems. Principalmente, no deixar o
estiver contaminado com um vrus ou cavalo de Tria, pois os comandos enviados
modem em espera, pois uma conexo externa pode comprometer no apenas a
ao equipamento contaminado seriam todos descartados. Mesmo se algum conse-
segurana da VPN, mas tambm da prpria rede da organizao.
guir enviar pacotes IPSec ao equipamento, os certificados digitais sero sempre
* Norma que trata do roteamento, determinando quais mquinas trabalham como
verificados, e como o cliente VPN no troca certificados com o hacker, essa cone-
roteadores ou se existe mesmo a necessidade de deixar habilitada a opo de
xo no ser permitida. Portanto, caso o cliente VPN tenha essa opo de aceitar
source routing, o que uma situao extremamente rara.
somente conexes IPSec, ela deve ser habilitada. Porm, o que se tem observado
que essa possibilidade no implementada em um grande nmero de clientes
A poltica de segurana , portanto, imprescindvel para a organizao. Porm,
VPN, principalmente devido complexidade envolvida quando utilizada uma
no caso do acesso remoto por VPN, uma srie de complicaes vem tona, como por
conexo PPP discada.
exemplo:
Uma alternativa poderia ser configurar o cliente VPN para que ele enviasse
todos os seus pacotes somente por meio desse tnel IPSec, ou seja, todos os
* Como implantar uma poltica de segurana em equipamentos de terceiros,
pacotes enviados pelo seu modem devem ser transformados em pacotes IPSec para
que, geralmente, so utilizados tambm para outros fins?
a rede da organizao. Isso permitiria a um hacker da Internet enviar pacotes ou
* Como controlar, por exemplo, o equipamento de um revendedor que utiliza-
comandos ao cliente VPN; porm, ele no receberia de volta os pacotes de respos-
do para controle das vendas, acesso Internet e leitura de e-mails, alm da
ta, que seriam enviados rede da organizao. Essa soluo pode ser eficiente,
conexo por VPN?
existindo, porm, o custo de maior trfego na rede da organizao e a possibilida-
* Como exigir que uma poltica de segurana seja seguida por esse usurio?
de de ataques de DoS. Do ponto de vista do usurio, sua largura de banda com o
* Como garantir que essa poltica seja seguida?
provedor seria esgotada; do ponto de vista da rede da organizao, seu canal com
a Internet poderia ser comprometido, caso haja um ataque coordenado, em que
Essa poltica poderia ser mais facilmente implementada caso os equipamen-
diversos clientes VPN enviam, ao mesmo tempo, uma quantidade muito grande de
tos pertencessem prpria organizao que disponibiliza o servio, pois permi-
pacotes rede da organizao. Assim, a rede da organizao ficaria inacessvel,
tiria um melhor controle do equipamento, podendo-se controlar o que o usurio
resultando em prejuzos.
pode instalar, acessar, apagar etc. Porm, essa no uma situao normal, sen-
Essa situao pode ainda provocar uma possibilidade mais sria, na qual o hacker
do necessrios grandes esforos adicionais, tais como um acompanhamento efi-
teria condies de criar pacotes com comandos maliciosos, que seriam enviados
ciente e uma auditoria constante. Alm disso, medidas mais pr-ativas tambm
336 337
automaticamente rede da organizao pelo cliente VPN. O hacker seria impossibi- Porm, no se deve esquecer de que um vrus sempre pode reescrever essas
litado de obter respostas, porm a rede da organizao poderia passar a negar regras do firewall individual, mesmo que isso exija um trabalho extra para o atacan-
servios legtimos (ataque de DoS). te. Alm disso, basta que a soluo fique conhecida, para que passe a se tornar
tambm alvo dos atacantes. Isso refora novamente a importncia de uma poltica
10.5.1.3.3 Port scannings de segurana bem definida.
Por meio da utilizao de port scannings (Seo 4.5.6) nos clientes VPN, pos-
svel verificar quais servios esto sendo executados nos respectivos equipamentos, 10.6 OS PROTOCOLOS DE TUNELAMENTO
alm de ser possvel determinar se ele est ou no contaminado com determinados
vrus ou cavalos de Tria. Assim, caso seja detectada uma contaminao ou servios O tunelamento constitui um dos pilares das redes privadas virtuais e pode ser
indevidos ou desnecessrios, as devidas providncias podem ser tomadas, como a realizado nas camadas 2 e 3, pois as duas possuem suas vantagens e desvantagens.
descontaminao ou a desabilitao de servios. Alguns dos protocolos propostos para a Camada 2 so: Point-to-Point Tunneling Protocol
O port scanning pode ser um requisito para o estabelecimento de uma conexo (PPTP), Layer 2 Forwarding (L2F), Layer 2 Tunneling Protocol (L2TP), Virtual Tunneling
por VPN entre o cliente e a rede da organizao. Uma regra til define que a cone- Protocol (VTP) e MultiProtocol Label Switching (MPLS). O Mobile IP e o Internet
xo s seja efetivada depois de uma varredura. Outra regra til diz que a varredura Security (IPSec) so alguns protocolos utilizados na Camada 3 [BAT 98]. Nem todos
deve ser executada periodicamente, dependendo da poltica de segurana da orga- esses protocolos so referentes segurana, pois eles so responsveis pelo
nizao. tunelamento, que pode ser utilizado para o trfego de diferentes protocolos em
Alm do port scanning, que verifica as portas abertas, o scanning de redes diferentes, para a engenharia de trfego ou para a cifragem da comunicao.
vulnerabilidades (Seo 4.5.7) tambm pode ser utilizado, de acordo com a necessi- O tunelamento no Nvel 2, por atuar em um nvel inferior do modelo ISO/OSI,
dade. Isso minimiza as possibilidades de ataque, pois as vulnerabilidades de siste- tem algumas vantagens com relao ao tunelamento no Nvel 3, tais como a simpli-
mas operacionais, aplicativos e servios podem ser detectadas e corrigidas, teorica- cidade, a compresso e a codificao completa e a inicializao bidirecional do
mente, antes que os hackers mais comuns tirem proveito delas. A dificuldade em tnel.
adotar essa prtica est no processo de execuo das varreduras, pois os endereos Suas caractersticas fazem com que ele seja indicado, principalmente, para o
IP dos clientes so dinmicos. Alm disso, varreduras em sistemas no autorizados acesso discado ou para os tipos de acesso que tm seus custos relacionados sua
podem resultar em diversos problemas ticos e legais, e por isso elas devem ser utilizao, ou seja, quando os custos so definidos de acordo com a quantidade de
feitas com extremo cuidado, e apenas em equipamentos dos quais se tenha certeza bytes que trafegam por essa VPN. J suas desvantagens so a padronizao ainda
que esto conectados rede da organizao. em desenvolvimento e as questes relativas escalabilidade, confiabilidade e
segurana [BAY 98].
Um exemplo de problema de escalabilidade pode ser visto quando a segurana
10.5.1.3.4 Firewall individual fornecida no L2TP, geralmente pelo IPSec. O cabealho sofre um overhead conside-
A utilizao de firewall individual ou pessoal, discutido na Seo 7.3.7, pode rvel, como pode ser observado na Figura 10.10. Esse overhead influi diretamente
minimizar grande parte dos problemas de segurana. Por seu intermdio, possvel na fragmentao e na perda de pacotes, prejudicando assim o desempenho do aces-
obter um controle das conexes do cliente, de modo que uma poltica pode definir so por VPN.
a exigncia de sua utilizao. Isso eliminaria os problemas com cavalos de Tria,
que ainda poderiam infectar o cliente. Mas o cliente no poderia ser controlado
pelos comandos, que no chegariam at ele, pois seriam bloqueados pelo firewall
individual. Os problemas envolvendo o roteamento por meio do cliente tambm
poderiam ser contornados. Figura 10.10 Overhead que pode ocorrer no cabealho de um pacote L2TP.
338 339
Por sua vez, o tunelamento no Nvel 3 tem as vantagens da escalabilidade, da Quando o PPTP utilizado, a abordagem diferente e o tunelamento sempre
segurana e da confiabilidade, enquanto suas principais desvantagens so a limita- iniciado no prprio equipamento do usurio (Figura 10.12). Com isso, o PPTP mais
o do nmero de fabricantes e a maior complexidade em seu desenvolvimento [BAT indicado para a utilizao em laptops, por exemplo, quando o usurio poder se
98]. Porm, essas desvantagens esto sendo minimizadas rapidamente, como pode conectar rede da organizao via VPN, por meio do PPTP, a partir de qualquer
ser observado pelo grande nmero de fabricantes que implementam o IPSec em seus lugar. Apesar disso, um cliente L2TP tambm pode ser instalado no equipamento do
produtos, tornando-o o padro de facto das VPNs. usurio, dispensando, assim, o provedor VPN para o protocolo, como pode ser visto
na Figura 10.13.
10.6.1 PPTP e L2TP
O Layer 2 Tunneling Protocol (L2TP) definido pela Internet Engineering Task
Force (IETF) e tem como base o Layer 2 Forwarding (L2F), da Cisco Systems, e o
Point-to-Point Tunneling Protocol (PPTP), da Microsoft. Ele aceita o tunelamento e a
autenticao do usurio (por exemplo, pelo CHAP ou pelo PAP), sendo muito utili-
zado para o encapsulamento de pacotes PPP, empregado em conexes discadas.
Um ponto a ser considerado nos dois protocolos que o sigilo, a integridade e a
autenticidade dos pontos que se comunicam devem ser fornecidos por um outro pro-
tocolo, o que feito normalmente pelo IPSec. Uma diferena entre o L2TP e o PPTP
que o L2TP pode ser transparente para o usurio, no sentido de que esse tipo de
tunelamento pode ser iniciado no gateway de VPN de um provedor VPN (Figura 10.11).
Figura 10.12 O protocolo PPTP sendo utilizado por meio de um software-cliente.
Figura 10.11 O protocolo L2TP sendo utilizado por meio de um provedor VPN.
340 341
* Protocolo de negociao e troca de chaves (Internet Key Exchange IKE), que

permite a negociao das chaves de comunicao entre as organizaes de
modo seguro.
A autenticao pode ser fornecida pelo AH e pelo ESP, pois a diferena entre eles
que a autenticao fornecida pelo ESP no protege os cabealhos IP que antece-
dem o encapsulamento ESP.
J o AH faz a autenticao desse cabealho IP e tambm do encapsulamento
ESP. Essa diferena ser explicada na prxima seo, na qual o ESP utilizado no
modo de transporte do IPSec, enquanto o AH utilizado no modo tnel do IPSec.
O cabealho ESP pode ser visto na Figura 10.14, enquanto o cabealho AH pode
ser visto na Figura 10.15.
Figura 10.13 O protocolo L2TP sendo utilizado por meio de um software-cliente.
O L2TP utilizado, principalmente, para o trfego de protocolos diferentes de

IP, sobre uma rede pblica com base em IP.
10.6.2 IPSec
O Internet Protocol Security (IPSec) surgiu em 1995, como uma resposta neces-
sidade de segurana contra o monitoramento e o controle do trfego no autoriza-
Figura 10.14 Cabealho ESP do IPSec.
dos da rede [STA 98]; um padro da Internet Engineering Task Force (IETF). A
autenticao e a codificao definidas pelo IPSec so independentes das verses do
IP (verses 4 ou 6), e o protocolo vem se tornando o verdadeiro padro utilizado
pelos tneis VPN. Sua utilizao muito simples, na qual necessrio que os equi-
pamentos (cliente ou gateway) tenham implementado o protocolo na pilha TCP/IP.
Alguns ataques tericos foram discutidos por Bellovin, em [BEL 97], principal-
mente quanto possibilidade de adquirir informaes dos cabealhos de IPSec.
Esses ataques, porm, dificilmente so utilizados na prtica.
O IPSec composto por trs funcionalidades principais:
Figura 10.15 Cabealho AH do IPSec.

* Cabealho de autenticao (Authentication Header AH), que fornece a inte-
gridade dos pacotes e a garantia de sua origem.
* Cabealho de encapsulamento do payload (Encapsulation Security Payload
ESP), que fornece o sigilo dos dados que trafegam pela rede pblica.
342 343
10.6.2.1 Os dois modos do IPSec * Tunnel Mode: geralmente utilizado pelos gateways IPSec, que manipulam o
O IPSec pode ser usado para a segurana da comunicao entre dois pontos, trfego IP gerado por hosts que no aceitam o IPSec, como nas modalidades que
sendo possvel garantir o sigilo e a integridade da comunicao, alm de possibilitar podem ser observadas nas figuras 10.3 e 10.8. O gateway encapsula o pacote IP
a autenticao das conexes. O IPSec trabalha de duas maneiras: com a criptografia do IPSec, incluindo o cabealho de IP original. Ele, ento,
adiciona um novo cabealho IP no pacote de dados (Figura 10.18) e o envia por
* Transport Mode: modo nativo, no qual h a transmisso direta dos dados pro- meio da rede pblica para o segundo gateway, no qual a informao decifrada
tegidos pelo IPSec entre os hosts. A codificao e a autenticao so realiza- e enviada ao host do destinatrio, em sua forma original (Figura 10.19).
das no payload do pacote IP, e no no cabealho IP (Figura 10.16). utilizado
em dispositivos que incorporam o IPSec na implementao do TCP/IP (Figura
10.17), como no caso de software-cliente IPSec. Algumas modalidades que
utilizam o modo de transporte so o gateway-to-gateway VPN (Figura 10.4),
client-to-gateway VPN (Figura 10.5 e 10.6) e o remote-access VPN (Figura 10.7).
Figura 10.18 A codificao e a autenticao no modo tnel do IPSec.
Figura 10.16 A codificao e a autenticao no modo de transporte do IPSec.
Figura 10.17 No modo transporte, o IPsec incorporado na pilha TCP/IP.

Figura 10.19 No modo tnel, o IPSec implementado no gateway.
344 345
10.6.2.2 A negociao dos parmetros do IPSec

O incio de uma conexo segura se d por meio do Security Association (SA). Ele
permite que os usurios negociem, de um modo seguro, um conjunto comum de
atributos de segurana e contm uma srie de informaes que devem ser compar-
tilhadas e aceitas por ambas as partes, como se fosse um contrato. O SA define como
os sistemas que esto se comunicando utilizam os servios de segurana, incluindo
informaes sobre o protocolo de segurana, o algoritmo de autenticao e o algoritmo
de codificao, somando-se ainda informaes sobre fluxo de dados, tempo de du-
rao e nmero de seqncia, que visa inibir o replay-attack.
O SA unidirecional, ou seja, para cada par de sistemas que se comunicam,
existem pelo menos duas conexes seguras. Um SA pode utilizar o ESP ou o AH, mas
no os dois. Caso seja necessrio utilizar ambos, sero necessrios dois SAs para
Figura 10.20 As fases at a negociao do SA.
cada um, somando no total quatro SAs para as conexes bidirecionais. O SA iden-
tificado pela combinao de:
O IKE fornece trs modos de troca de informaes e estabelecimento de SAs
[TIM 98]:
* Security Parameter Index (SPI), um nmero nico aleatrio.
* O endereo IP de destino do pacote.
* Main Mode: corresponde fase 1 do IKE e estabelece o canal seguro para a fase
* O protocolo de segurana a ser utilizado (AH ou ESP).
seguinte, gerando o IKE SA.
* Aggressive Mode: corresponde tambm fase 1 do IKE, porm mais simples e
10.6.2.3 O gerenciamento de chaves mais rpido do que o main mode, pois no fornece a proteo das identidades
O gerenciamento de chaves um dos processos mais importantes do IPSec e das entidades que esto se comunicando. Isso ocorre porque as identidades
grande parte da segurana da comunicao reside nele, principalmente nas trocas so transmitidas juntamente com as solicitaes de negociao, sem que um
iniciais das chaves. Um esquema bem definido de trocas deve ser adotado para canal seguro seja criado antes, estando, assim, susceptveis a ataques do tipo
evitar ataques do tipo man-in-the-middle, nos quais o hacker pode capturar as tro- man-in-the-middle.
cas de informaes dos dois lados da comunicao, alterando-as de acordo com seus * Quick Mode: corresponde fase 2 do IKE e a comunicao estabelecida para
objetivos. a negociao do SA.
O gerenciamento de chaves definido pelo IPSec realizado pelo Internet Key Exchange
(IKE), que tem como base o Internet Security Association and Key Management Protocol O main mode composto por trs fases, cada uma delas com duas mensagens. Na
(ISAKMP) e o Oakley, que o responsvel pela troca de chaves. primeira fase, as duas partes envolvidas trocam informaes sobre os algoritmos e
O IKE est relacionado diretamente com a negociao dos Security Associations hashes bsicos a serem utilizados. Na segunda fase, elas trocam as chaves pblicas
(SAs) e com a troca de chaves. Seu funcionamento dividido em duas fases: na para uma negociao Diffie-Helman [SCH 96] e fornecem os nmeros aleatrios que
primeira fase, o par estabelece um canal seguro para a criao do IKE SA, que um a outra parte deve assinar e devolver para provar sua identidade. Na terceira fase,
SA utilizado para a negociao dos SAs (segunda fase), conforme a Figura 10.20. A elas verificam as identidades.
idia de dividir o processo em duas fases consiste na eliminao da redundncia em O aggressive mode oferece os mesmos servios do main mode, com a diferena de
alguns pontos da negociao do SA e no conseqente ganho de tempo de ser bem mais rpido, com apenas duas fases, contendo uma mensagem cada uma.
processamento, pois um canal seguro j est estabelecido pela primeira fase da Assim, so trs trocas de mensagens, em vez das seis requeridas pelo main mode.
negociao.
346 347
Isso ocorre porque esse modo no fornece a proteo da identidade das entidades 10.7 GERENCIAMENTO E CONTROLE DE TRFEGO
participantes.
Alm da segurana, que tem a funo de realizar o controle de acesso e utiliza a
O quick mode utiliza o canal seguro estabelecido pela utilizao do IKE SA,
criptografia para garantir a autenticidade dos usurios e das conexes e a privacida-
gerado pelo main mode ou pelo aggressive mode, para negociar os parmetros da
de e a integridade da comunicao, outros elementos so essenciais em uma VPN,
comunicao IPSec e trocar as chaves a serem utilizadas nessa comunicao. Como
tais como o controle de trfego, a qualidade de servio e o gerenciamento.
esse modo j trabalha em um canal seguro previamente estabelecido, todo o proces-
O controle de trfego essencial para que um dos principais problemas relacio-
so de negociao fica mais flexvel e rpido, sendo composto por trs trocas de
nados com a VPN, ligado qualidade de servio, seja resolvido. Esse controle
mensagens, como no aggressive mode.
realizado, fundamentalmente, pelo gerenciamento de banda, que determina a lar-
Aps o SA ser negociado, as entidades esto aptas a trocar informaes por uma
gura de banda que cada protocolo pode utilizar, visando o bom desempenho. Reser-
rede pblica, de modo seguro, formando assim o tnel VPN. A Figura 10.21 mostra
var uma determinada largura de banda para o IPSec, por exemplo, pode evitar que
os passos simplificados no estabelecimento de uma conexo por VPN com base em
o link de Internet fique cheio apenas com conexes de FTP e HTTP, garantindo,
IPSec. Na primeira parte, o gateway verifica, por meio da poltica de segurana
assim, uma maior qualidade e menores tempos de resposta para aplicaes de mis-
implementada, se o host pode criar um tnel virtual. Caso essa verificao seja
so crtica que utilizam a VPN. Outros protocolos destinados qualidade de servio,
positiva, o gateway inicia a negociao do Security Association da sesso, o que
como o MPLS e o DiffServ, tambm podem ser utilizados para que a qualidade dos
pode ser visto na segunda parte da mesma figura. Finalmente, na terceira parte, o
servios possa ser garantida.
host se comunica por meio do canal seguro que foi criado.
J o gerenciamento tem como objetivo facilitar a integrao da VPN com a poltica
de segurana da organizao, por meio do gerenciamento centralizado local ou remo-
to, alm de facilitar a escalabilidade da soluo. Algumas ferramentas auxiliam nesse
processo, como as que so utilizadas para o fornecimento dos servios, para o
monitoramento, para a deteco e soluo dos problemas, para a contabilidade e para
a cobrana pela utilizao da VPN. A contabilidade pela utilizao passa a ser impor-
tante, a partir do momento em que os servios VPN comeam a ser fornecidos por
empresas especializadas (provedores por VPN), pois a cobrana pode ter como base a
alta confiabilidade, o alto desempenho ou os nveis de servios especiais.
A garantia de qualidade de servio tambm deve ter o seu custo. A contabilidade
tambm poder ter como base a importncia dos pacotes, pois pacotes com maior
garantia e desempenho podem ter valor maior do que pacotes considerados nor-
mais [BAY 98]. Alguns aspectos a serem considerados na contratao de servios de
VPN so: rea de cobertura, acesso, desempenho, segurana, gerenciamento, largu-
ra de banda e garantia de qualidade de servio [HIF 98].
Figura 10.21 O estabelecimento de uma conexo por VPN com base em IPSec.
348 349
10.8 DESAFIOS Label Switching (MPLS), que envolve o uso de diferentes labels ou tags, que
permitem mltiplos caminhos.
Alm das consideraes relacionadas com a segurana, a VPN tem alguns obst-
* Posicionamento na rede: envolve a anlise do posicionamento do gateway de
culos que devem ser considerados, antes de sua implantao. Algumas dessas bar-
VPN na arquitetura da organizao. Esse aspecto est relacionado com uma
reiras, que podem impedir a VPN de oferecer o mesmo nvel de disponibilidade,
srie de fatores, como a filtragem de pacotes cifrados e a capacidade de driblar
desempenho e segurana que as redes privadas, so [KIN 99]:
a poltica de segurana, e discutido com mais detalhes na Seo 12.2. De
fato, seu posicionamento dentro da arquitetura de segurana influi direta-
* Autenticao/gerenciamento de chaves: as diversas solues utilizam varia-
mente no nvel de segurana da organizao, de forma que as vrias alterna-
dos mecanismos de autenticao, como os segredos compartilhados, os tokens,
tivas devem ser analisadas, o que pode ser verificado no firewall cooperativo.
o Radius ou os certificados digitais, de modo que a compatibilidade fica com-
* Endereamento/roteamento: os endereamentos, que podem ser endereos IP
prometida. A Public Key Infrastructure (PKI) (Seo 9.6) est ainda em fase de
reservados ou no, precisam ser considerados. Alteraes nas tabelas de
aperfeioamento, na qual o Public Key Infrastructure Working Group (PKIX),
roteamento tambm so essenciais, como no caso do gateway-to-gateway VPN,
da IETF, vem trabalhando na busca da padronizao das requisies, valida-
em que um gateway deve se comunicar apenas com o outro gateway corres-
es e dos formatos dos certificados digitais.
pondente. O Network Address Translation (NAT) tambm deve ser avaliado,
* Tolerncia a falhas: a necessidade de disponibilidade faz com que mecanismos
pois ele influi diretamente no roteamento da soluo. De fato, o NAT incom-
de tolerncia a falhas precisem ser desenvolvidos. O IPSec, por exemplo, no
patvel com o Authentication Header (AH) do IPSec. Isso ocorre porque o AH
tem compatibilidade com esse tipo de mecanismo.
realiza a autenticao do cabealho de IP, que assinado digitalmente para a
* Desempenho: os algoritmos de chave pblica utilizam recursos de processamento
verificao de sua integridade. O problema que ele modificado pelo NAT e,
considerveis. Os computadores convencionais no tm capacidade de entrada
com isso, a verificao de integridade do pacote acaba sendo perdida. Isso no
e sada suficiente para realizar essa tarefa como um gateway em conexes com
ocorre quando o Encapsulation Security Payload (ESP) utilizado, pois o cabe-
grande capacidade. Com isso, a nica soluo vivel a combinao de equi-
alho IP no autenticado, no ocasionando, assim, problemas relacionados
pamento de rede com a funo de criptografia, que forma o equivalente
integridade.
caixa-preta. A desfragmentao de pacotes tambm influi no desempenho da
* Administrao/gerenciamento: alguns produtos utilizam interfaces GUI clien-
VPN, devido s sucessivas adies de cabealhos nos pacotes originais [SAL
te/servidor e outros, uma interface com base na Web. Um canal seguro
99]. Por exemplo, um pacote IPX de uma LAN pode ser inserido em um pacote
essencial para a administrao e o gerenciamento da VPN. Um problema co-
IP para trafegar pela Internet. Esse pacote IP, por sua vez, pode receber um
mum e que aumenta a complexidade que no possvel administrar diversas
cabealho PPP, que, ento, pode receber um cabealho PPTP para o tunelamento
VPNs a partir de uma mesma interface, a no ser que elas sejam do mesmo
e outro cabealho IPSec para a codificao desse pacote. Todo esse processo
fabricante. O gerenciamento do cliente VPN tambm complicado, desde sua
pode fazer com que o limite do tamanho do pacote seja ultrapassado; quando
instalao at sua distribuio, configurao e administrao (Seo 10.5.1).
isso ocorre, o pacote dividido em dois novos pacotes. Como resultado, a
* Interoperabilidade: o IPSec est cumprindo um de seus papis, que o de
fragmentao ocorre e a quantidade de pacotes que trafegam entre as locali-
fornecer a interoperabilidade que est faltando nos produtos de VPN. Porm, o
dades, quando a VPN utilizada, maior do que quando o tunelamento no
que pode ser observado que nem mesmo os produtos com base no IPSec tm
empregado, causando, assim, o aumento do trfego. Alguns testes indicam
uma comunicao compatvel entre si, pois essa compatibilidade apenas
que o aumento dos pacotes, devido fragmentao, de cerca de 30% [SAL99].
parcial.
* Transporte confivel: empresas como Bay Networks e Internet Devices esto
tentando fornecer servios de transporte confiveis por meio do protocolo
ReSerVation Protocol (RSVP), que oferece qualidade de servio e reserva de
banda pela alocao de recursos da rede. Outro protocolo o MultiProtocol
350
10.9 CONCLUSO
Este captulo teve como objetivo apresentar as redes privadas virtuais (Virtual
Private Network VPN), mostrando seus objetivos e suas configuraes. A utiliza-
o da rede pblica traz consigo uma srie de consideraes sobre segurana, que Autenticao
so tratadas principalmente pelo protocolo IPSec, padro de facto das VPNs. Clien-
tes VPN requerem consideraes especiais de segurana, como a utilizao de firewalls
individuais e de uma poltica de segurana especfica. Os protocolos L2TP, PPTP e
IPSec foram rapidamente discutidos e o captulo mostrou, ainda, a importncia do
gerenciamento e da qualidade de servio, alm de discutir os desafios a serem
vencidos na implementao de uma VPN.
A autenticao tem um papel fundamental para a segurana de

um ambiente cooperativo, ao validar a identificao dos usurios.
Aps a autenticao, o sistema pode conceder a autorizao para o
acesso aos recursos. A autenticao pode ser realizada com base em
alguma coisa que o usurio sabe, em algo que o usurio possui ou
em determinada caracterstica do usurio. O controle de acesso, que
tem como base a autenticao dos usurios, tambm possui um
papel essencial em qualquer ambiente, e pode ser usado em dife-
rentes nveis ou camadas. O Single Sign-On (SSO) tenta resolver um
dos maiores problemas relacionados autenticao, que o uso de
senhas, e possui suas vantagens e desvantagens, assim como a sin-
cronizao de senhas.
C
a 11.1 A IDENTIFICAO E A AUTORIZAO
p O acesso aos sistemas e aos recursos das organizaes depende,
fundamentalmente, de um processo de verificao do usurio, que
t deve ser realizado de uma maneira que apenas o usurio legtimo
tenha acesso a esses sistemas e recursos. As funes responsveis
u por essa verificao so a identificao e a autenticao, que for-
l mam, juntamente com o firewall, a primeira linha de defesa em
o muitos sistemas. interessante notar, nesse aspecto, que quando o
firewall utilizado um filtro de pacotes ou um filtro de pacotes
11 baseado em estados (Captulo 7), no qual o usurio no precisa de
SEGURANA DE REDES EM AMBIENTES COOPERATIVOS Captulo 11: Autenticao
352 353
autenticao para a liberao do acesso (diferentemente de alguns proxies), a iden- para a autenticao em sistemas que exigem extrema segurana, como os que so
tificao e a autenticao podem ser consideradas uma segunda linha de defesa. utilizados pelo Departamento de Defesa dos Estados Unidos; esse mtodo no seria
Nesses casos, o firewall exerce a funo de primeira linha de defesa, ao filtrar e eficaz nem justificvel para o acesso caixa de e-mails de um usurio, por exemplo.
controlar o acesso, deixando passar a comunicao somente para servios legtimos. Uma autenticao eficiente um elemento essencial para a proteo de bens e
Passando pelos firewalls, a segurana depende essencialmente desses servios leg- valores. Um incidente que demonstra sua importncia o caso de um hacker russo,
timos, nos quais a identificao e a autenticao exercem um papel importante. que fez transferncias de dez milhes de dlares no Citibank, em 1994. O hacker
A identificao a funo em que o usurio declara uma determinada identida- conseguiu encontrar ou adivinhar diversas senhas, demonstrando que elas propor-
de para um sistema, enquanto a autenticao a funo responsvel pela validao cionavam um certo controle de acesso s transferncias de fundos, mas a soluo do
dessa declarao de identidade do usurio. A segurana desse processo de validao banco no dispunha da autenticao eficiente por parte do usurio [LOB 97].
depende de uma srie de consideraes, tais como a forma da coleta dos dados de
autenticao, o mtodo de transmisso desses dados e a garantia de que o usurio, 11.1.1 Autenticao baseada no que o usurio sabe
que j obteve a autorizao, o verdadeiro usurio [NIS 00]. Juntamente com a
a autenticao fundamentada em algum conhecimento do usurio, no qual os
auditoria, na qual possvel verificar todas as tentativas de acesso vlidas e inv-
recursos mais utilizados so as senhas. As chaves criptogrficas tambm podem ser
lidas, a autenticao e a autorizao formam o pilar de segurana conhecido como
inseridas nessa categoria. Um segredo compartilhado que tem a finalidade, por
AAA (Authentication, Authorization and Auditing).
exemplo, de abrir um determinado documento, uma chave secreta gerada por uma
A autenticao ou a validao da identificao do usurio, que oferece a autori-
funo criptogrfica simtrica. Uma chave privada utilizada para assinar digital-
zao, pode ser realizada utilizando-se trs mtodos:
mente documentos tambm pode ser inserida nessa categoria; porm ,devido ao seu
tamanho, ela normalmente armazenada em um arquivo ou em um dispositivo, e
* Com base no que o usurio sabe: senha, chave criptogrfica ou Personal
acessada por meio de uma senha.
Identification Number (PIN).
No Brasil, um outro tipo de autenticao vem sendo usado pelos bancos, seja nos
* Com base no que o usurio possui: token, carto ou smart card.
caixas eletrnicos ou na Internet. Conhecido como identificao positiva, as transa-
* Com base nas caractersticas do usurio: biometria (Seo 11.1.3), ou seja,
es so permitidas somente aps o usurio fornecer dados pessoais alm de sua
reconhecimento de voz, impresso digital, geometria das mos, reconheci-
senha pessoal. Esses dados pessoais podem ser referentes a informaes de seu cadas-
mento da retina, reconhecimento da ris, reconhecimento digital de assinatu-
tro ou um conjunto de letras previamente combinado entre o banco e o usurio.
ras etc.
Todos esses mtodos tm seus pontos positivos e negativos, de forma que uma 11.1.1.1 Senhas
autenticao com base em dois deles recomendada para determinados tipos de As senhas constituem o mtodo de autenticao mais utilizado atualmente,
acesso que exigem maior grau de segurana. Esse tipo de autenticao conhecido porm, elas apresentam alguns problemas, que sero vistos a seguir. As senhas so
como autenticao em dois fatores e, quando os trs mtodos so utilizados, so consideradas, at mesmo, o segundo elo mais fraco da cadeia de segurana, vindo
conhecidos como autenticao em trs fatores. Por exemplo, o usurio pode utilizar o depois dos prprios seres humanos. Isso est fazendo com que elas sejam, cada vez
reconhecimento de retina, juntamente com o uso de um smart card e uma senha para mais, substitudas por mtodos mais eficientes, como a biometria (Seo 11.1.3) ou
o acesso s informaes confidenciais da organizao, usando, assim, alguma coisa os certificados digitais (Seo 9.5).
que ele sabe, alguma coisa que ele possui e alguma coisa que caracterstica dele. Um ponto a favor da utilizao das senhas que os usurios e administradores
Os aspectos positivos e negativos de cada um dos mtodos de autenticao sero j esto familiarizados com sua utilizao e a simplicidade de integrao com os
vistos nas prximas sees. Deve-se considerar, no entanto, que cada um deles diversos tipos de sistemas faz com que ela seja fcil de ser implementada.
possui seus custos particulares e suas complexidades especficas de implantao, de A deficincia desse mtodo est no fato de que a segurana depende da manuten-
forma que o mtodo ideal sempre aquele que cumpre com os objetivos de seguran- o do sigilo da senha, que pode ser quebrada de diversas maneiras [LOB 97][KES 96]:
a definidos pela estratgia da organizao. Por exemplo, a biometria indicada
354 355
* Adivinhao de senhas (password guessing), quando palavras ligadas ao usu- Assim, uma poltica de senhas bem definida e eficiente pode minimizar profun-
rio so tentadas como senhas, como o nome do cnjuge, o nome do time de damente as implicaes de segurana envolvidas e diminuir as solicitaes de su-
futebol, o nome do animal de estimao, datas de nascimento etc. porte tcnico decorrentes de problemas com senhas. Alguns dos aspectos a serem
* Pesca de senhas, ao observar o que o usurio est digitando ou procurando considerados nessa poltica e outros aspectos de segurana envolvidos com senhas
pedaos de papis que podem conter senhas. podem ser vistos na Seo 6.8, que sugere tambm uma forma de escolher uma
* Quebra do sigilo, seja por inteno do prprio usurio, que pode comparti- senha que dificulta os ataques mais comuns.
lhar sua senha com um colega, ou por meio de tcnicas de engenharia social Os diversos problemas relacionados com as senhas podem ser minimizados pelo
(Seo 4.5.2). uso de sistemas one-time password, nos quais as senhas so vlidas apenas por uma
* Monitoramento e captura de senhas, pelo uso de sniffers de rede (Seo 4.5.5). nica vez, sendo trocadas a cada novo acesso. Esses sistemas podem ser considera-
Mesmo quando as senhas no trafegam pela rede sem estarem cifradas, alguns dos mais seguros do que os que utilizam senhas comuns, porm ainda podem ser
softwares, como os crackers de senhas, podem ser utilizados em ataques de explorados em alguns ataques [LOB 97]:
fora bruta para tentar descobri-las.
* Acesso ao arquivo de senhas do usurio, que, mesmo estando cifrado, pode ser * Man-in-the-middle: o hacker se coloca entre o usurio e o servidor, de modo
descoberto com relativa facilidade, caso o algoritmo criptogrfico esteja mal que pode capturar os pacotes, modific-los e reenvi-los para ambos os lados
implementado (Captulo 9). da conexo.
* Ataques do tipo replay, nos quais, mesmo quando as senhas esto protegidas * Race: ataque que requer sorte, tempo e conhecimento. O atacante controla o
por criptografia, podem ser reutilizadas, bastando enviar a mesma senha ci- nmero de bytes que passam pela rede e, antes que o usurio envie o ltimo
frada capturada para uma nova autenticao. Esse problema pode ser resolvi- byte, o atacante remete uma srie de combinaes para tentar se conectar no
do com a utilizao de timestamps. lugar do usurio. Esse mtodo funciona somente em protocolos que transmi-
* Ataques de fora bruta contra o sistema, seja pelo uso de combinaes de tem os dados byte a byte e difcil de ser utilizado na prtica.
cdigos ou pelo ataque do dicionrio.
* Utilizao de tcnicas mais avanadas, como o armazenamento, em um arqui- 11.1.2 Autenticao com base no que o usurio tem
vo, de tudo o que o usurio digita no teclado (key logger), que depois ser
O segundo mtodo de autenticao fundamentado em alguns dispositivos que
enviado ao hacker. Essa tcnica pode ser facilmente utilizada, caso o equipa-
pertencem ao usurio, os quais podem ser divididos em dispositivos de memria
mento do usurio esteja contaminado com cavalos de Tria, como o Netbus.
(memory token) e dispositivos inteligentes (smart tokens), como ser visto a seguir
Essa tcnica est muito difundida, de modo que muitos casos envolvendo
[NIS 00]. Esse tipo de mtodo minimiza diversos problemas envolvidos com senhas,
captura de senhas de acesso s contas bancrias via Internet so conhecidos.
porm traz outros tipos de desvantagens.
* Controle das emisses eletromagnticas do monitor (efeito tempest), que no
requer a presena fsica do hacker. Com o efeito tempest, possvel ver tudo o
que aparece no monitor do usurio. 11.1.2.1 Dispositivos de memria
Tambm conhecidos como memory tokens, os dispositivos de memria apenas
As senhas representam uma questo de extrema relevncia dentro das organiza- armazenam as informaes e no as processam. So quase sempre utilizados em
es, sendo tambm um dos principais causadores de problemas relacionados ao conjunto com as senhas (combinao de algo que o usurio sabe e de algo que o
suporte tcnico. O esquecimento das senhas um fato comum e representa cerca de usurio tem, formando, portanto, uma autenticao em dois fatores). Um exemplo
30% dos chamados ao help-desk, segundo a Gartner [MAC 02]. Em algumas organi- desse tipo de dispositivo, que utilizado com as senhas, so os cartes bancrios.
zaes, mais de 40% dos chamados so referentes a problemas com senhas e os Eles contm informaes importantes para a autenticao e so usados em conjunto
custos estimados nos Estados Unidos so de 51 a 147 dlares por chamado, segundo com uma senha que apenas o dono do carto pode ter.
a Gartner [MAC 02].
356 357
Um exemplo de dispositivo que tem como base apenas o que o usurio possui A grande vantagem dos dispositivos inteligentes que eles resolvem os proble-
so os cartes que possibilitam o acesso fsico a locais como salas e edifcios. As mas presentes nas senhas comuns, seja pelo uso da criptografia (que evita o
desvantagens desse tipo de dispositivo esto relacionadas com: monitoramento das senhas que passam pela rede) ou pela gerao dinmica das
senhas (quem capturar a senha no poder reutiliz-la).
* Seu custo relativamente alto, devido necessidade de um hardware especfico Quanto aos seus pontos negativos, tanto os dispositivos de memria quanto os
para leitura. dispositivos inteligentes so equivalentes:
* A dificuldade de administrao.
* A possibilidade de perda, roubo ou decodificao. * Seu alto custo, devido necessidade de um hardware especfico para leitura.
* As provveis insatisfaes dos usurios com sua manipulao. * A dificuldade de administrao.
* A possibilidade de perda, roubo ou decodificao.
11.1.2.2 Dispositivos inteligentes * As provveis insatisfaes dos usurios com sua manipulao.
Os smart tokens so similares aos memory tokens, porm possuem circuitos inte-
Porm, os dispositivos inteligentes tm um custo relativamente superior aos
grados que atuam no processamento de algumas informaes. Eles podem ser divi-
dispositivos de memria.
didos em categorias que levam em considerao as caractersticas fsicas, a interface
e o protocolo. Quanto s caractersticas fsicas, os dispositivos inteligentes podem
ser divididos entre os smart cards e os outros tipos de dispositivos, que podem ser 11.1.2.2 Autenticao com base nas caractersticas do usurio
semelhantes a chaves, chaveiros, calculadoras ou outros objetos portteis. Foi visto que os problemas com os mtodos de autenticao baseados em algo
Quanto interface, os dispositivos inteligentes podem funcionar tanto com que o usurio sabe ou em algo que o usurio possui variam entre o esquecimento ou
interfaces manuais quanto eletrnicas: a adivinhao das senhas e a perda do dispositivo responsvel pela identificao. A
proteo de informaes importantes requer um mtodo de autenticao em que as
* Interfaces manuais: Existe um dispositivo, como teclas ou visores, para a possibilidades de acesso indevido sejam mnimas, de forma que a autenticao ga-
interao entre o usurio e o token. ranta a identificao do usurio em seu nvel mximo. Esse mtodo de autentica-
* Interfaces eletrnicas: Requerem um dispositivo de leitura, como o caso dos o, que pode ser considerado mais seguro do que os anteriores, baseado em
smart cards. alguma caracterstica fsica ou comportamental prpria do usurio e conhecido
como biometria. A autenticao baseada na biometria pode ser considerada mais
Os protocolos que podem ser utilizados pelos smart tokens para a autenticao segura porque a identificao do usurio torna-se mais eficiente, apesar de ainda
podem ser divididos em: existirem alguns problemas.
A biometria um mtodo de autenticao que analisa as caractersticas fsicas
* Troca de senhas estticas: O usurio se autentica no token e o token autentica ou comportamentais de um indivduo, comparando-as com os dados armazenados
o usurio no sistema. no sistema de autenticao. Algumas dessas caractersticas fsicas e comportamentais
* Gerao dinmica de senhas: As senhas so alteradas temporariamente, de utilizadas na biometria podem ser vistas a seguir, pois algumas delas ainda se
modo que, em smart tokens com interface esttica, os usurios devem ler as encontram em fase de pesquisa e desenvolvimento:
informaes do dispositivo e digit-las no sistema para a autenticao. Em
smart tokens com interface eletrnica, esse processo feito automaticamente. * Impresso digital
* Desafio-resposta: Com esse tipo de protocolo, baseado na criptografia, o siste- * Caractersticas faciais
ma envia um desafio ao usurio. A resposta enviada ao sistema, que a avalia * Reconhecimento de voz
de acordo com o desafio corrente. * Retina
* ris do olho
358 359
* Geometria das mos reforada, pois, diferentemente de senhas, que podem ser alteradas, caractersticas
* Padro de escrita individuais so nicas e permanecem por toda a vida da pessoa.
* Padro de digitao Com isso, uma poltica para a remoo dos dados e a proteo dessas informa-
* Poros da pele es deve estar bem definida. Isso importante tambm porque os sistemas de
* DNA autenticao baseados em biometria usam a rede, e o sistema pode ser burlado no
* Formato da orelha na biometria, mas em falhas no processo de autenticao. Por exemplo, a represen-
* Composio qumica do odor corporal tao matemtica que indica os dados do indivduo pode ser capturada e usada
* Emisses trmicas posteriormente, com o hacker se fazendo passar por uma pessoa que ele no . A
* Geometria dos dedos base de dados dos templates tambm pode ser atacada e possveis ataques de fora
* Identificao de unha bruta envolvendo injeo de trfego tambm podem acontecer.
* Maneira de andar Dessa maneira, medidas como o uso de criptografia e o uso de protocolos de
segurana em todo o sistema devem ser considerados. Alguns sistemas funcionam
Dessas caractersticas, apenas duas podem ser consideradas nicas, ou seja, no com os dados do indivduo sendo armazenados em um token, sem que eles precisem
existem dois indivduos com essas caractersticas exatamente iguais: a ris do olho estar em algum servidor da organizao. Com o uso desse recurso, conhecido como
e a impresso digital. Match On Card (MOC), o usurio mantm a posse de seus dados, resultando em uma
A grande vantagem da biometria que o reconhecimento feito unicamente por vantagem psicolgica para ele [ARN 01-2].
aspectos humanos intrnsecos. Chaves, tokens ou cartes podem ser perdidos, falsi- Apesar dos grandes benefcios proporcionados, outros problemas envolvendo os
ficados, duplicados, roubados ou esquecidos. Senhas, cdigos secretos e nmeros de usurios podem ocorrer com a biometria. Certas organizaes relataram que um dos
identificao pessoal (Personal Identification Numbers PINs) podem ser esqueci- principais problemas est relacionado higiene e ao medo de os dispositivos
dos, divididos, comprometidos ou observados. J a biometria no apresenta esses biomtricos causarem problemas de sade. Por exemplo, o dispositivo de impresso
problemas, ao tratar de caractersticas individuais dos humanos. digital deve ser limpo constantemente, pois, alm da questo da higiene, o acmulo
Com relao segurana do processo de autenticao, os dados necessrios so de sujeira influi diretamente no nvel de exatido da autenticao, que pode dimi-
obtidos pelos dispositivos biomtricos, codificados e enviados pela rede, de modo nuir consideravelmente.
seguro, at o servidor, onde os dados da autenticao so comparados. A autoriza- O problema relacionado ao medo dos usurios pode ser observado em dispositi-
o ser concedida se os dados obtidos forem idnticos aos dados armazenados no vos de leitura da retina ou da ris do olho, uma vez que alguns usurios acreditam
servidor. que o laser ou a luz pode fazer mal sade.
A questo de privacidade envolvendo o uso da biometria possui grande impor- Assim, o nvel de intruso sentido pelos usurios um dos critrios a serem
tncia, pois os usurios tm receio quanto ao armazenamento, manipulao e segu- avaliados para a escolha da melhor tecnologia biomtrica para a organizao. Esses
rana de informaes pessoais. De fato, a preocupao pode ser compreendida facil- diversos critrios podem ser avaliados de acordo com a cultura da organizao, ou
mente, uma vez que incomoda saber o que est sendo feito com informaes pessoais com os objetivos de seu uso, pois cada tecnologia possui uma melhor aplicao para
sobre o prprio usurio. Porm, os sistemas existentes tratam dessas questes de cada tipo especfico de sistema a ser acessado. O International Biometric Group, por
forma a minimizar possveis problemas. Por exemplo, o armazenamento das carac- meio do Zephyr Chart (Figura 11.1), mostra os quatro fatores que podem ser avali-
tersticas dos usurios feito via templates, que so funes matemticas que ados nas tecnologias comerciais disponveis atualmente:
representam a imagem propriamente dita. Com isso, no possvel obter a imagem
da impresso digital a partir do template. * Nvel de intruso: alguns usurios podem no se sentir vontade com o pro-
Outras questes relevantes ao uso da biometria envolvem, por exemplo, ques- cesso de autenticao e consider-lo uma invaso de privacidade.
tes sobre o processo de remoo dos dados individuais de usurios em caso de * Nvel de esforo: esse fator considera o tempo e o esforo requeridos pelo
desligamento da organizao e sobre outras possibilidades de driblar o mtodo de usurio para efetuar a autenticao.
autenticao baseado em biometria. Sobre os dados individuais, a importncia
360 361
* Nvel de preciso: o nvel de rejeies e de falsos positivos deve ser conside- * False Match Rate (FMR) ou False Acceptance Rate (FAR): o sistema biomtrico
rado, para que o grau de segurana requerido esteja de acordo com as necessi- aceita um indivduo errado.
dades da organizao. * False Non-Match Rate (FNMR) ou False Rejection Rate (FRR): o sistema biomtrico
* Custo: fator que deve ser considerado para cada tipo de situao. no identifica o atributo fsico correto do indivduo, mesmo ele sendo vlido.
* Failure to Enroll (FTE) Rate: falha no registro dos atributos fsicos do indivduo.
A Equal Error Rate (EER) ou crossover a taxa na qual a FAR balanceada com a
FRR. A EER demonstra o balano entre a segurana (FRR) e a convenincia (FAR),
pois, quanto maior o crossover, maior a preciso do mtodo. A Tabela 11.1 mostra
que a biometria baseada na retina a mais precisa, enquanto as baseadas na voz e
na assinatura possuem menos preciso.
Tabela 11.1 Preciso do crossover de diferentes mtodos de biometria.

Biometria Preciso do crossover
Retina 1:10,000,000
Figura 11.1 Os fatores a serem considerados na tecnologia biomtrica. ris 1:131,000
Impresso digital 1:500
Geometria das mos 1:500
As tecnologias de biometria mais comuns que podem ser vistas no mercado so o Assinaturas 1:50
reconhecimento facial e o reconhecimento de impresses digitais, como pode ser Voz 1:50
Reconhecimento de face Sem dados
demonstrado no grfico da Figura 11.2. Elas so facilmente integradas aos sistemas e Padro vascular Sem dados
uma de suas vantagens que para o usurio elas so higinicas, no so intrusivas e
no justificam nenhuma resistncia sua utilizao. De fato, no necessrio que o
A Tabela 11.2 mostra uma comparao entre diferentes tecnologias usadas na
usurio fique em uma determinada posio nem que faa alguma coisa em particular.
biometria, com relao facilidade de uso, causas de incidncia de erro, preciso,
O processo de autenticao realizado de um modo natural para ele.
aceitao do usurio, nvel de segurana requerido e estabilizao das caractersti-
cas fsicas a longo prazo [ADMS 02]:
Tabela 11.2 Comparao entre diferentes tecnologias de biometria.

Caracterstica Facilidade Incidncia Preciso Aceitao Nvel Estabilizao
de uso de erro do usurio de segurana a longo
requerido prazo
Impresso Alta Aspereza, Alta Mdia Alto Alta
digital sujeira,
idade
Geometria Alta Ferimento, Alta Mdia Mdio Mdia
da mo idade
Retina Baixa culos Muito alta Mdia Alto Alta
ris Mdia Falta de luz Muito Alta Mdia Muito alto Alta
Face Mdia Falta de Alta Mdia Mdio Mdia
Figura 11.2 As vendas das principais tecnologias de biometria, em milhes de dlares. luz, idade,
culos,
cabelo
A escolha da tecnologia a ser adotada pode tambm levar em considerao a Assinatura Alta Mudana Alta Mdia Mdio Mdia
taxa de erros a que os sistemas esto sujeitos. Esses erros podem comprometer o de assinatura
Voz Alta Rudo, gripe Alta Alta Mdio Mdia
processo de autenticao em alguns casos e esto divididos em trs tipos:
362 363
Apesar da evoluo tecnolgica, diversos mtodos de driblar a biometria podem Alguns elementos que podem ser considerados no controle, seja individualmen-
ser utilizados. Por exemplo, no mtodo baseado em reconhecimento de face, pos- te ou em conjunto, so: identificao, funo, localizao, tempo, transao, servi-
svel enviar imagens diretamente de um notebook para a cmera que faz o reconhe- os (controle de licenas de software, limites para transaes em caixas eletrnicos,
cimento, ou mesmo apresentar a imagem gravada do notebook para a cmera. Essa tipo de acesso em computadores como a permisso para enviar e-mails, apesar da
situao altamente plausvel, pois possvel capturar fotos de vtimas facilmente proibio da conexo com outras mquinas), direitos (leitura, gravao, criao,
diretamente de notebooks, sem que ele ao menos perceba [ZIE 02]. A biometria remoo, busca, execuo).
baseada no reconhecimento de ris tambm pde ser driblada, com o uso de impres- Alm dos mtodos de controle de acesso com base na autenticao, mostrados
so de um olho, onde o espao da pupila foi retirado do papel, e substitudo pela nas sees anteriores, outros podem ser utilizados:
pupila real [ZIE 02].
Quanto padronizao das tecnologias biomtricas adotadas pelo mercado, duas * Listas de controle de acesso (Access Control Lists ACLs), muito utilizadas
iniciativas podem ser consideradas. O padro BioAPI est em desenvolvimento e em firewalls baseados em pacotes (Captulo 7).
conta com o apoio macio da indstria. A Microsoft tambm tem mostrado a grande * Interfaces com usurios: Comandos somente por meio de menus ou de um
importncia da biomtrica e est trabalhando em uma especificao proprietria shell restritivo, que aceita apenas comandos especficos. Um exemplo pode ser
com base na I/O Software, a qual ela adquiriu [ARM 01-2]. visto no uso pelo banco de dados, nos quais os usurios podem unicamente
acessar determinadas parties de dados. Outro exemplo usa alguma restrio
fsica, como a que utilizada pelos caixas eletrnicos, que restringem a entra-
11.2 CONTROLE DE ACESSO da de dados por meio de um teclado numrico nico.
Dentro de uma organizao, as informaes tm vrios nveis de acesso, ou seja, * Labels que indicam, por exemplo, quais dados de propriedade da organizao
uma informao relevante para o trabalho de um funcionrio pode no ser importante no podem ser acessados por terceiros e quais dados pblicos podem ser
para o trabalho de outro. J uma informao confidencial, que pode ser acessada acessados por todos.
somente pelos gerentes, por exemplo, no pode chegar aos demais funcionrios.
O acesso a recursos como servios e programas, e o acesso por modem, tambm O controle de acesso externo, que visa proteger os recursos internos contra
tm que ser controlados. Pode-se considerar que o acesso a habilidade de realizar tentativas de acesso indesejadas, vindas do exterior (nesse caso, uma rede pblica),
algo com recursos computacionais e a autorizao a permisso dada direta ou realizado entre os recursos a serem protegidos e as pessoas, os sistemas ou os
indiretamente pelo sistema ou pelo dono do recurso para a utilizao do mesmo. A servios externos. Um dos principais mtodos a utilizao de um dispositivo fsi-
autenticao a responsvel pela garantia de que o usurio realmente quem ele co, como um computador, para separar os recursos internos dos externos. Alguns
declara ser. O controle de acesso lgico, designado ao controle realizado sobre as exemplos so o dial-back modem, que realiza a checagem do nmero de telefone de
informaes referentes aos recursos computacionais, cuida do acesso aos diversos quem discou e disca de volta para esse nmero, evitando assim a utilizao do
nveis existentes. acesso remoto por usurios no autorizados. Outro exemplo clssico e um dos mais
O controle do acesso lgico o responsvel pela: utilizados so os firewalls, vistos no Captulo 7.
Diversos aspectos devem ser levados em considerao na definio do controle
* Proteo contra modificaes ou manipulaes no autorizadas de sistemas de acesso, para reduzir as chances de ele ser driblado. Um simples modem em um
operacionais e outros sistemas (software), garantindo sua integridade e dis- dos workstations da organizao, por exemplo, compromete completamente o con-
ponibilidade. trole de acesso remoto feito pelo dial-back modem e tambm o controle feito pelo
* Garantia da integridade e disponibilidade das informaes, ao restringir o n- firewall, o que pode comprometer totalmente a segurana da organizao.
mero de usurios e processos que acessam determinados tipos de informaes.
* Sigilo das informaes, que no podem chegar a usurios que no so autori-
zados.
364 365
11.3 SINGLE SIGN-ON (SSO) * Slida segurana nas sesses de logon e no armazenamento das informaes
do usurio e de sua senha.
Uma das principais caractersticas de um ambiente cooperativo que a comple-
* Integrao das regras de autorizao nas mltiplas aplicaes.
xidade das conexes aumenta a cada novo integrante. Com isso, os usurios passam
a acessar diversas aplicaes e recursos de mltiplas plataformas, aumentando ain-
As primeiras solues que utilizaram as caractersticas de um SSO foram o Kerberos,
da mais a complexidade envolvida. Tudo isso, aliado ao aumento da utilizao da
e mesmo os scripts escritos para os workstations. O Kerberos tem como base tickets
Internet/intranet, resulta em um grande nmero de senhas, que cada usurio deve
e credenciais, nos quais a conexo inicial feita em um servidor central de auten-
utilizar para o acesso a esses recursos. O nmero de senhas utilizadas pelos admi-
ticao.
nistradores tambm cresce, medida que novos servios so fornecidos. Para evitar
A senha nunca trafega pela rede, eliminando, assim, as chances de ataque do
toda essa complexidade e esse processo trabalhoso, que influi diretamente na segu-
tipo replay attack e man-in-the-middle. A desvantagem do Kerberos que os clientes
rana e na produtividade dos usurios e dos administradores de sistemas, uma
tm de ser kerberizados, ou seja, devem ter a implementao do protocolo, para
alternativa o Single Sign-On (SSO).
que ele possa iniciar uma requisio de autenticao. Alm disso, todos os sistemas
Nesse contexto, passa a ser maior a necessidade de um mtodo seguro e eficien-
e aplicaes devem estar habilitados a aceitar tickets, em vez do sistema tradicional
te para a autenticao e autorizao de servios, principalmente para o permetro
com base em senhas [TRI 98].
externo da rede. Uma conseqncia do fato de os usurios e dos administradores de
A outra soluo, que so os scripts nos workstations, tem como base a
sistemas precisarem lembrar de vrios nomes de acesso e senhas o aumento da
implementao da poltica de acesso no prprio equipamento do usurio. A vanta-
possibilidade de que eles guardem senhas em locais aparentemente seguros em
gem dessa soluo com relao ao Kerberos que no necessria a alterao das
seu ambiente de trabalho, mas que na realidade apresentam grandes riscos de serem
aplicaes existentes. As desvantagens incluem a necessidade de o usurio utilizar
descobertos e explorados. Alm disso, eles podem confundir ou esquecer as senhas,
somente aquele workstation, o fato de a segurana ter como base o prprio equipa-
necessitando depois da ajuda do help-desk, causando perda de produtividade e des-
mento (segurana fsica) e a vulnerabilidade dos scripts, que podem ser modificados
perdcio de recursos. Alm dos problemas de segurana, o grande nmero de senhas
pelos prprios usurios. Com isso, a poltica de segurana pode ser driblada, e
faz com que a administrao de todas as senhas de cada usurio se torne um proces-
possvel a obteno do acesso a recursos inicialmente proibidos. Alm disso, outra
so complicado e custoso. Isso pode ser verificado, quando uma modificao nos
desvantagem com relao administrao desses scripts, que fica evidente quan-
dados de um usurio pode resultar na necessidade de atualizao de mltiplas bases
do o protocolo de autenticao sofre uma alterao. Os custos com a administrao
de dados dos diversos aplicativos.
so altos, pois todos os workstations so afetados e necessitam de atualizao [TRI
O SSO surgiu como um mtodo de identificao e autorizao que permite uma
98].
administrao consistente, de maneira que os usurios podem acessar vrios siste-
Algumas solues utilizam servios de autenticao com base na rede, nos quais
mas diferentes, de um modo transparente e unificado, por meio de uma nica au-
o usurio inicialmente se conecta a um servidor de autenticao, passando a requi-
tenticao. A definio do SSO, por sua vez, traz suas prprias implicaes de segu-
sitar o acesso a sistemas individuais ou aplicaes, a partir desse servidor.
rana, pois com uma nica senha o usurio pode acessar diversos sistemas,
Porm, isso resolve somente os problemas do usurio, aumentando a importn-
significando que, se essa senha for comprometida, todos os sistemas podero sofrer
cia de uma administrao eficiente, pois o administrador continua com a tarefa de
com isso [TRI 98]. Uma soluo de SSO pode utilizar diversas outras formas de
cuidar de mltiplas tabelas e bases de dados dos diferentes sistemas e servios,
autenticao, como certificados digitais, smart cards, tokens e biometria. Algumas
alm do prprio servidor de autenticao central [TRI 98].
solues de SSO podem tratar somente da autenticao, ficando a autorizao a
Algumas consideraes sobre segurana, relacionadas ao SSO, so [TRI 98]:
cargo dos prprios servios ou aplicaes [CAR 99].
As principais caractersticas de um SSO so [TRI 98]:
* A identificao e a senha nica fazem com que, caso uma senha seja descober-
ta, seja permitido o acesso a todos os servios.
* Combinao de nome de usurio e senha nicos.
* O repositrio central dos dados do usurio, no qual esto armazenados o nome
* nico mtodo de administrao, centralizado ou descentralizado, no qual as
de acesso e a senha, passou a constituir um nico ponto de invaso. Caso o
mudanas so propagadas por meio dos diversos sistemas da organizao.
366 367
hacker tenha acesso a esse repositrio central, todo acesso, de todos os usu- SSO requer que um software seja instalado em cada workstation, enquanto a sincro-
rios, ficar comprometido. nizao de senhas no precisa de modificaes [PSY 99].
* O servio de autenticao forma um nico ponto de falha, de modo que um As vantagens do uso da sincronizao de senhas, alm do benefcio para o usu-
ataque ou uma falha faz com que todos os servios sejam comprometidos ou rio, que precisa memorizar apenas um nico nome de acesso e uma nica senha,
tornem-se indisponveis. A replicao do servio central de autenticao , que o sistema de sincronizao no constitui um nico ponto de falha. Se compara-
portanto, importante para a manuteno da disponibilidade dos servios. O do com o SSO, a desvantagem que o usurio necessita autenticar-se individual-
uso da criptografia essencial para a manuteno do sigilo dos dados dos mente em cada sistema, de forma diferente do SSO, que precisa de uma nica au-
usurios. tenticao.
Uma alternativa que auxilia a organizao com relao aos custos envolvidos
Uma srie de questes deve ser analisada na implementao de um SSO. Devido com o help desk so os sistemas de reset de senhas, nos quais os usurios destravam
sua complexidade e ao grande impacto de implementao, que exige esforos ou renovam suas prprias senhas, via resposta a perguntas especficas, que somen-
conjuntos e modificaes em diferentes sistemas, deve ser realizado um planeja- te o prprio usurio tem condies de responder.
mento efetivo. Alguns dos aspectos que devem ser tratados so [TRI 98]: A Public Key Infrastructure (PKI), vista na Seo 9.6, tambm pode ser conside-
rada como um SSO, pois a autenticao dos usurios pode ser feita pelo certificado
* Existe uma poltica para garantir senhas eficientes e que sejam regularmente digital. O usurio poderia acessar os recursos por meio desse certificado digital,
modificadas? porm, para que isso seja possvel, necessrio que esses recursos sejam compat-
* A confirmao da autenticao necessria em certas funes, como nas veis com a PKI. Com os certificados, os sistemas de autenticao podem ser integra-
transaes que ultrapassam um certo valor? dos em uma infra-estrutura nica. De fato, devido ao alto nvel de segurana pro-
* Existe o controle de time-out, que pede a confirmao da autenticao, em porcionado pela criptografia de chaves pblicas, a PKI tem uma grande importncia
caso de um determinado tempo de inatividade? dentro da estratgia de segurana de qualquer organizao, e pode ser considerada
* Existem logs, alarmes e travas? uma soluo ideal dentro de um ambiente cooperativo, principalmente por oferecer
* Como as tentativas de conexo invlidas so detectadas, reportadas e manipu- a autenticao e o no-repdio, alm de ser capaz de proporcionar o sigilo das
ladas? informaes.
* A poltica consistente entre as plataformas e as aplicaes?
Os benefcios do sucesso na implementao do SSO so o aumento na produtivi- 10.4 CONCLUSO

dade dos usurios e dos administradores de sistemas. Os usurios ganham acesso O controle de acesso, com base na autenticao e na autorizao dos usurios,
mais fcil aos recursos e os problemas com senhas, que resultam em utilizao do constitui um componente essencial para a segurana das organizaes. Diversos
help-desk (cerca de 60 a 30% das chamadas, segundo a Gartner [MAC 02]), so aspectos envolvidos devem ser avaliados, como os mtodos utilizados no controle
minimizados. Os administradores tambm ganham em produtividade, com a possi- de acesso e melhor mtodo de autenticao necessrio para a organizao. A auten-
bilidade de padronizao da poltica de nomes de acesso/senhas e a aplicao con- ticao pode ter como base alguma coisa que o usurio sabe, algo que o usurio tem
sistente da poltica de segurana [TRI 98]. ou alguma caracterstica do usurio. A autenticao de dois fatores, que utiliza dois
Uma alternativa importante para o SSO a sincronizao de senhas, que pode desses mtodos, aumenta o nvel de segurana e recomendada para o acesso a
ser utilizada principalmente quando o grande problema da organizao refere-se informaes crticas. As senhas, que so o mtodo de autenticao mais utilizado
aos custos elevados envolvidos com o suporte tcnico decorrentes de problemas dos atualmente, trazem uma srie de problemas, seja de segurana ou de produtividade,
usurios com suas senhas. Essa soluo menos complexa do que o SSO, e a princi- tanto para o usurio quanto para os administradores de sistemas. O Single Sign-On
pal diferena que o usurio precisa se autenticar em cada servio por meio de uma (SSO) um sistema que visa a reduo desses problemas, no s de senhas, mas de
nica senha. Quando uma senha alterada, essa mudana propagada para todos qualquer outro mtodo de autenticao, ao eliminar a necessidade de mltiplas
os servidores, por meio de um agente de servidor [CAR 99]. Outra diferena que o
368
autenticaes. A sincronizao de senhas tambm pode ser utilizada e a Public Key

Infrastructure (PKI), ao utilizar a criptografia assimtrica, que garante um alto grau
de segurana (se for corretamente implementado), tambm resolve muitos dos pro-
blemas que envolvem a autenticao dos usurios, constituindo um importante
elemento dentro da estratgia de segurana de uma organizao.
Parte III
Modelo de segurana para um

ambiente cooperativo
Esta ltima parte apresentar nosso modelo de como obter segurana em um

ambiente cooperativo, como definido anteriormente.
VPNs so peas fundamentais para vrias caractersticas de ambientes cooperati-
vos, mas a disponibilizao da infra-estrutura necessria no imediata. Em particu-
lar, a localizao do servidor VPN no firewall necessita de diversas consideraes.
Uma funcionalidade indispensvel em qualquer aparato de segurana a filtragem,
que, com certeza, deve ser empregada para proteger as mquinas chamadas pbli-
cas da organizao (DMZ) e quase sempre tambm utilizada em outros pontos da
barreira que separa a organizao do resto do mundo. Entretanto, as regras de
filtragem podem tornar-se extremamente complexas em um ambiente cooperativo,
devido multiplicidade de outras redes que devem ter privilgios extras.
O estabelecimento de segurana em um ambiente cooperativo tende a ser muito
mais complexo que essas regras de filtragem e, para dar conta de todo o processo,
propomos um modelo em cinco nveis hierrquicos. Para gerenciar todo o processo
de segurana, tendo a possibilidade de visualizar facilmente a situao da seguran-
a em todos os seus aspectos, propomos um Modelo de Teias. O leitor envolvido com
a segurana de redes de organizaes de maior porte ter a oportunidade de testar
tal modelo e avaliar sua eficcia para retratar o estado corrente da segurana da sua
organizao. Esse modelo especialmente til ao passar essa informao direo
da organizao ou a outros fruns nos quais isso seja necessrio, pois muito difcil
leigos entenderem o discurso do tcnico em segurana.
As configuraes de um
ambiente cooperativo
Este captulo tem como objetivo apresentar os diversos cenrios

que representam as redes das organizaes, os quais, em razo de sua
evoluo (aumento do nmero de conexes), chegam at formao
do ambiente cooperativo. Ser visto que a complexidade do ambiente
aumenta a cada nova conexo, o que exige uma anlise profunda da
arquitetura e das tecnologias necessrias para a proteo do ambien-
te. Este captulo analisa as diversas configuraes de componentes
importantes para a segurana de uma empresa, como o firewall, a
rede privada virtual (Virtual Private Network VPN), o sistema de
deteco de intruso (Intrusion Detection System IDS) e a infra-
estrutura de chaves pblicas (Public Key Infrastructure PKI), de
acordo com as necessidades que vo surgindo com a evoluo das
C conexes. As discusses deste captulo culminam com a arquitetura
do firewall cooperativo, que ser conceituada no prximo captulo.
a
p
12.1 OS CENRIOS AT O AMBIENTE
t COOPERATIVO
u A arquitetura do firewall cooperativo ser apresentada de acordo
com um exemplo de ambiente cooperativo, pela anlise das neces-
l
sidades, dos problemas e das respectivas solues propostas. Essa
o apresentao ser realizada de modo gradual, ou seja, discutindo
diversos cenrios evolutivos de uma rede e das necessidades de pro-
12 teo, chegando at formao do ambiente cooperativo.
SEGURANA DE REDES EM AMBIENTES COOPERATIVOS Captulo 12: As configuraes de um ambiente cooperativo
372 373
O cenrio evolutivo possibilitar que as diversas etapas do crescimento das co- feitos ou insiders (Seo 4.1.3), que podem roubar informaes confidenciais ou
nexes de uma organizao possam ser analisadas, de forma que os problemas de implantar bombas lgicas em sistemas da organizao (Seo 6.1). Funcionrios
segurana sejam discutidos e as solues sejam sugeridas. A complexidade das co- terceirizados tambm devem ser tratados com a devida vigilncia, pois podem acessar
nexes pode atingir um nvel elevado, de forma que podem ocorrer variaes do que recursos indevidamente estando fisicamente dentro da organizao.
ser apresentado nas prximas sees.
12.1.1 A rede interna

Uma organizao tpica tem, no incio, uma rede com o objetivo de conectar
seus recursos no nvel interno (Figura 12.1), a fim de facilitar as tarefas bsicas da
organizao. Nesse primeiro passo evolutivo da rede, a organizao ainda no est
conectada a uma rede pblica, ou seja, ainda no existe nenhum acesso externo,
apenas o acesso interno.
Nesse cenrio, a possibilidade de ataques vindos do exterior no existe, pois,
fisicamente, a rede nica e isolada. Assumindo que ningum da organizao usa um
modem, os ataques aos recursos da organizao podem ser efetuados apenas por meio
da engenharia social e com o invasor estando fisicamente dentro da organizao.
Figura 12.2 A comunicao entre organizaes por meio de conexo dedicada.
12.1.3 Acesso remoto por modem

O acesso remoto rede da organizao por meio de linha discada difundiu-se
rapidamente, principalmente no caso do acesso s informaes quando o usurio
Figura 12.1 A rede interna de uma organizao.
est em um cliente ou quando o usurio trabalha remotamente de um hotel ou de
sua residncia, por exemplo. Uma outra situao na qual o modem muito utilizado
no fornecimento de suporte tcnico remoto e administrao remota de sistemas.
12.1.2 Conexo com a filial A produtividade pode aumentar com o acesso remoto; no entanto, preciso
A necessidade de comunicao entre a organizao e suas filiais uma constante no considerar que a existncia de uma estrutura de acesso remoto via modem pode
mundo atual. Nesse segundo passo evolutivo do ambiente cooperativo, uma conexo passar a constituir pontos de ataque, como o que resultou no ataque realizado por
dedicada como o Frame Relay foi utilizada para ligar a filial matriz (Figura 12.2). Kevin Mitnick. Por intermdio da engenharia social, Mitnick conseguiu nmeros de
Ao considerar que a comunicao privada e dedicada e que a matriz e a filial telefones de sistemas internos e passou a utiliz-los para a realizao de seus ata-
fazem parte de uma mesma organizao, no tendo outros tipos de comunicaes, ques. Os modems ainda constituem pontos ativos de ataque, que podem comprome-
a preocupao com a segurana ainda se restringe ao mesmo caso da seo anterior, ter a organizao, principalmente por meio da formao de um atalho que pode
ou seja, segurana interna. driblar o firewall, se ele for mal implementado.
O uso de modems pode introduzir riscos e ainda no existe nesse cenrio. Alm Assim, o acesso remoto fornecido pela organizao deve contar com um mtodo
da engenharia social, outros cuidados devem ser tomados com funcionrios insatis- de autenticao eficiente, como o uso de smartcards ou de tokens de autenticao.
374 375
A utilizao de dial-back, no qual a organizao liga de volta para o usurio, a fim Nesse primeiro momento, quando o acesso Internet utilizado somente para
de possibilitar a efetivao da conexo, de acordo com a poltica de segurana, que os usurios da organizao acessem informaes da grande rede, o firewall deve
tambm aumenta o nvel de segurana do acesso remoto. Os registros de tentativas isolar a rede da organizao contra todas as tentativas de acesso externo, vindas da
de conexes e todas as aes realizadas durante as conexes tambm devem ser Internet, que, de fato, no so necessrias nesse cenrio. necessrio apenas per-
eficazes para que uma possvel auditoria seja realizada com sucesso. mitir o acesso dos usurios internos Internet, e no o inverso. As regras de filtragem
importante notar que a poltica de segurana (Captulo 6) representa um papel do firewall, assim, so bem simples, bastando bloquear tudo o que vem da rede
fundamental quando o assunto so modems. Alm do pool de modems, eventuais pblica, permitindo apenas as conexes com origem na rede interna e os servios
modems em equipamentos de alguns usurios devem ser controlados com muito permitidos pela poltica de segurana.
mais ateno. Esses usurios podem configurar seus modems para receberem cha- A segurana do ambiente pode ser aumentada se o firewall for constitudo por
madas, a fim de que tenham acesso gratuito Internet ou para que possam traba- proxies para servios como HTTP e FTP, por exemplo. Eles so importantes porque
lhar em suas casas. Os riscos de invaso, nesses casos, so muito grandes; primeiro, podem mascarar o endereo de IP de todos os usurios (o proxy utiliza seu prprio
porque o mtodo de autenticao ineficiente; segundo, porque a poltica de segu- endereo), realizar a filtragem no nvel de aplicao (bloqueando o acesso a pginas
Web imprprias, por exemplo) e exigir que o usurio realize a autenticao para que
rana no est implementada no firewall, que ainda no existe.
possa ter acesso aos servios. Outra vantagem que os registros para a auditoria
Assim, o uso de modems deve ser restringido ao mximo dentro das organiza-
passam a ser mais completos, quando comparados com os registros criados pelos
es. Caso algum usurio precise utiliz-lo, a poltica deve definir pelo menos que o
filtros de pacotes ou de estados.
cabo de rede seja desconectado enquanto o modem utilizado. Isso far com que,
Nesse cenrio, o Network Address Translation (NAT) tambm pode ser utilizado
caso algum invada o equipamento do usurio via modem, a rede interna da organi-
juntamente com a utilizao de endereos reservados do RFC 1918 na rede interna.
zao no seja tambm comprometida.
A vantagem da utilizao do NAT que, alm de possibilitar maiores espaos de
endereamento, por usar endereos de IP reservados, o roteamento para essa rede
12.1.4 Conexo com a Internet
no existe. Assim, o mapeamento da rede interna e os ataques a hosts internos
Os problemas de segurana passaram a ser maiores e mais evidentes aps o adven-
passam a ser mais difceis de serem executados.
to da Internet. possvel observar, por exemplo, que o crescimento dos incidentes de
segurana aumentou exponencialmente, junto com o crescimento da Internet. Isso 12.1.5 Proviso de servios para a Internet
pode ser verificado porque, a partir do momento em que o acesso Internet passa a As regras de filtragem simples dos firewalls passam a tornar-se mais complexas a
integrar a rede da organizao, o inverso tambm se torna verdadeiro, ou seja, qual- partir do momento em que a organizao comea a fornecer servios para toda a comu-
quer pessoa pela Internet tambm pode acessar a rede da organizao. Nesse ponto, nidade da Internet. Neste cenrio, os usurios externos acessam recursos da organiza-
o firewall (Captulo 7) torna-se, assim, um componente essencial para as organizaes o, como os servidores Web, servidores FTP e servidores de e-mail (Figura 12.4).
que possuem qualquer tipo de acesso Internet (Figura 12.3).
Figura 12.3 A necessidade do firewall nas conexes com a Internet.

Figura 12.4 A organizao provendo servios para usurios externos.
376 377
A primeira definio que deve ser feita quanto localizao dos servidores, sua vez, pode incorporar os proxies e o filtro de pacotes. Isso pode ser observado na
que deve levar em considerao tanto a proteo do ambiente quanto a acessibilida- Figura 12.6. Nessa configurao, as regras de filtragem devem ser definidas para cada
de. A questo de onde se devem localizar os servidores culminou no conceito de interface especfica. A questo que se tem aqui com relao melhor configurao:
zona desmilitarizada (Dismilitarized Zone DMZ, Captulo 7), que forma uma zona o ideal utilizar a arquitetura da Figura 12.5 ou a arquitetura da Figura 12.6?
de proteo em que o sucesso de um ataque contra os servidores no implica no
comprometimento da rede interna da organizao.
Na Figura 12.4, pode-se observar que o comprometimento de um dos servios
fornecidos pela Internet resulta no acesso automtico do hacker aos recursos inter-
nos da organizao. Isso significa que, sem a DMZ, o sucesso de um ataque a um dos
servidores faz com que o hacker tenha o acesso a toda rede da organizao. A DMZ
evita esse tipo de risco, ao criar uma sub-rede formada por duas barreiras, como
pode ser visto na Figura 12.5. Com a DMZ, caso o hacker passe pela primeira barreira
e ataque um dos servios fornecidos, ainda existe a segunda barreira a ser vencida
para que ele tenha acesso aos recursos internos da organizao. Esse firewall (Figu-
ra 12.5) poderia ser composto, como foi visto no Captulo 7, por um filtro de esta-
dos na Barreira 1 e de proxies na Barreira 2. Essa foi a arquitetura utilizada na
configurao do LAS-IC-Unicamp, que ser apresentada no Captulo 13. Como nesse
cenrio no existem acessos rede interna da organizao vindos da Internet (a
no ser as respostas das requisies feitas pelos usurios internos), o proxy da Figura 12.6 O firewall composto por trs interfaces de rede.
Barreira 2 cumpre bem esse papel, autenticando os usurios internos e controlando
Pode-se verificar que, nas duas arquiteturas, os servios so fornecidos por meio
todos os tipos de acesso. As regras de filtragem da Barreira 1 tambm devem refletir
da DMZ. A diferena que, na Figura 12.5, o firewall composto por dois compo-
o cenrio, permitindo os acessos somente da Internet para os servidores (Web, FTP
nentes (Barreira 1 e Barreira 2), alm da DMZ. J na Figura 12.6, o firewall forma-
e e-mail), e as requisies dos usurios internos, que so representados pelo proxy.
do por um nico componente com trs interfaces de rede.
Mas ser que existem diferenas quanto ao nvel de segurana entre as duas
arquiteturas? possvel observar, no Captulo 4, que os bugs podem resultar em
acesso no autorizado por meio da explorao de buffer overflow, de condies
inesperadas, de entradas no manipuladas ou de race conditions. No Captulo 3, foi
discutido que a complexidade inversamente proporcional ao nvel de segurana
dos sistemas. No Captulo 7, foi mostrado que a complexidade dos firewalls vem
aumentando pela combinao de diversas funcionalidades em um nico equipa-
mento. Essa observao coerente, uma vez que a complexidade traz maiores pos-
sibilidades de erro em sua implementao, que resultam em bugs que podem ser
explorados, diminuindo, assim, o nvel de segurana do sistema. E o que vem au-
mentando a complexidade dos firewalls a adio de novas funcionalidades.
Assim, a melhor condio para um firewall que ele seja o mais simples possvel.
Figura 12.5 As duas barreiras que formam a DMZ do firewall.
Essa condio satisfeita pelas duas arquiteturas, se forem consideradas as tecnologias
As duas barreiras que formam a DMZ podem ser colocadas nas interfaces de um bsicas que funcionam como barreira na rede da organizao (filtros de pacotes, filtros
firewall, ou seja, o firewall pode ser composto por um nico equipamento, que, por de pacotes baseados em estados e proxies). Os filtros de pacotes e os baseados em
378 379
estados atuam no kernel do sistema operacional, sendo extremamente simples, com a A localizao do banco de dados na DMZ, como um bastion host, pode ser uma
mnima possibilidade de bugs que podem ser explorados. As race conditions, que podem opo (Figura 12.7). Porm, sabe-se que os recursos residentes na DMZ possuem o
resultar na inconsistncia de informaes, no aparecem nos filtros. Alm disso, o acesso pblico externo permanente, sendo, portanto, alvo de tentativas de ataque.
buffer overflow no pode ser explorado, pois os pacotes IP so regidos pelo Maximum Normalmente, o banco de dados acessado por meio do servidor Web; porm, caso
Transfer Unit (MTU), ou seja, pacotes com tamanho grande no podem ser utilizados a Barreira 1 permita o acesso direto ao recurso, ele pode ser alvo de ataques de
sem que antes sejam divididos em unidades menores. E tambm os proxies, que atuam fora bruta. Caso no haja alternativa e o banco de dados tiver de ser localizado na
na camada de aplicao, dificilmente contm erros, pois a maioria deles realiza apenas DMZ, a Barreira 1 dever estar implementada corretamente. O ideal que a configu-
a funo de relay, no nvel de circuitos, entre o cliente e o servidor. Os proxies de rao do firewall no permita que nenhum trfego passe diretamente pela Internet
aplicao podem realizar algumas filtragens no contedo dos pacotes. Porm, como para o banco de dados, pois ele dever ser acessado somente pelo servidor Web, que
esses pacotes no ultrapassam o tamanho determinado pela MTU, no podem sofrer contm a aplicao que acessa o banco de dados.
com o buffer overflow, alm da situao de race condition tambm no existir.
Dessa maneira, pode-se afirmar que a arquitetura 2 (Figura 12.6) to segura
quanto a arquitetura 1 (Figura 12.5), apresentando a vantagem de facilitar a admi-
nistrao, devido ao menor nmero de equipamentos a serem gerenciados. O que
deve ser lembrado que nenhum outro servio deve estar sendo executado no
equipamento, pois esse novo servio traz consigo as prprias vulnerabilidades e
novas condies que podem ser exploradas.
O desempenho da arquitetura 2 pode sofrer algumas alteraes, sobretudo em um
ambiente complexo, como o ambiente cooperativo, que tem como caracterstica o gran-
de nmero de conexes. Porm, deve ser dada a devida importncia segurana, sendo
o desempenho um fator secundrio. Caso o desempenho tambm seja necessrio, mais
equipamentos podem ser utilizados, para que a carga seja distribuda entre eles.
Assim, implementando-se uma das configuraes vistas nesta seo, a organiza-
o estar apta a acessar servios pela Internet e tambm a fornecer servios para Figura 12.7 O servidor de banco de dados na DMZ.
os usurios externos de uma forma segura. Nessa arquitetura, em que o banco de dados est na DMZ, as informaes correm
risco, no caso de qualquer um dos servios da DMZ ser atacado. Ataques de fora
12.1.6 Proviso de acesso do banco de dados bruta, sniffing de pacotes, seqestro de conexes e ataques diretos ao servidor
Seguindo os passos da evoluo, a organizao passa a ter a necessidade de podem ser executados nesse contexto.
fornecer informaes mais especficas para seus usurios, como sobre o estado de Outro ponto que deve ser considerado na definio da arquitetura quanto ao modo
um pedido, por exemplo. Esse tipo de informao que normalmente especfica como as informaes do banco de dados sero atualizadas ou recuperadas pela organi-
e confidencial, e, portanto, deve ser protegida contra o acesso indevido faz com zao. Caso seja realizada a replicao para um banco de dados interno ou mesmo um
que maiores cuidados sejam tomados com relao localizao do banco de dados. backup, um canal de comunicao entre a DMZ e a rede interna deve ser estabelecido
Alm da localizao, um outro ponto importante a escolha do mtodo de autenti- por meio da Barreira 2. Se esse canal for iniciado pelo servidor da DMZ, ele poder ser,
cao utilizado para que o acesso seja autorizado (Captulo 11). Alm disso, os eventualmente utilizado tambm pelo hacker para a realizao de ataques rede inter-
registros das tentativas de acesso e das transaes realizadas em cada acesso tam- na. Se o canal for iniciado pelo servidor interno, a soluo no ser online, pois as
bm devem ser completos e seguros, principalmente para facilitar as investigaes atualizaes devem ser realizadas em batch, de tempos em tempos.
futuras, via forense computacional. A segunda opo para a localizao do banco de dados na rede interna da
organizao, como pode ser visto na Figura 12.8.
380 381
Essa arquitetura tem o mesmo grau de segurana da arquitetura da Figura 12.8,

com relao base de dados da organizao. A vantagem que essa nova arquitetu-
ra, com uma nova DMZ, evita o problema do comprometimento da rede interna da
organizao, caso um ataque ao servidor de dados tenha sucesso. A mesma arquite-
tura, utilizando um nico componente de firewall, com quatro interfaces de rede,
pode ser vista na Figura 12.10. Quanto replicao da base de dados, ela pode no
ser necessria, pois poder ser acessada diretamente a partir da rede interna, por
meio de um canal de comunicao configurado pela Barreira 2.
Figura 12.8 O servidor de banco de dados na rede interna da organizao.
Essa configurao, porm, d a impresso de que um ataque ao servidor de

banco de dados resulta no acesso rede interna da organizao, o que, de fato,
verdade. Porm, o risco pode ser minimizado mediante o correto desenvolvimento e
a correta implementao da poltica de segurana no firewall. A idia, nesse caso,
fazer com que a segunda barreira permita passar apenas o trfego referente cone-
xo entre o servidor Web e o servidor de banco de dados, no permitindo o acesso
direto ao banco de dados. Assim, para que o hacker tenha acesso no autorizado
base de dados, ser necessrio, primeiramente, comprometer o servidor Web e de-
pois o servidor de banco de dados. importante, ainda, lembrar que a autenticao
deve fazer parte desse esquema de acesso aos dados (Captulo 11). A replicao da
base de dados no necessria nessa arquitetura, pois ela se encontra na rede
interna da organizao.
Uma terceira configurao que pode trazer maior nvel de segurana organiza- Figura 12.10 Duas DMZs em um nico componente de firewall.
o a utilizao de uma segunda rede DMZ, como pode ser visto na Figura 12.9.
Um ponto importante a ser considerado quando informaes crticas so acessadas
via Internet, como o caso desse exemplo, que devem ser transportadas por meio
de um canal seguro. A utilizao do SSL, portanto, fundamental para esses casos.
12.1.7 Implicaes da conexo com uma filial

Neste ponto da evoluo de um ambiente, a organizao tem o acesso Internet
e fornece servios para os usurios, sendo um deles o acesso s informaes consi-
deradas confidenciais. Nesta seo, sero analisadas as implicaes de segurana
envolvidas com uma conexo dedicada estabelecida com a filial (Figura 12.11).
Figura 12.9 A utilizao de uma segunda DMZ para o servidor de banco de dados.
382 383
Figura 12.11 A arquitetura da organizao, com o acesso Internet e filial.
O que influi diretamente no nvel de segurana dessa arquitetura so as cone-

xes existentes na filial. Na arquitetura da Figura 12.11, pode-se ver que a filial no
possui nenhum outro tipo de conexo, de modo que tudo est de acordo, ou seja, os
ataques originrios externamente so improvveis. Assim, pode-se considerar a se- Figura 12.12 Os riscos envolvidos com as mltiplas conexes.
gurana como estando no nvel interno, assumindo-se que as regras de filtragem do

Na arquitetura da Figura 12.12, a rede interna da organizao corre o risco de
firewall esto definidas de modo a proteger a rede interna da organizao (Seo
12.1.6). Porm, a existncia de outras conexes na filial pode colocar em risco a sofrer o acesso no autorizado dos usurios da Rede A, que podem chegar rede
interna por meio da rede da filial. Esse tipo de risco conhecido como triangulao,
rede interna da organizao, como pode ser visto na Figura 12.12.
onde a rede da filial utilizada para o ataque rede da organizao. Essa situao
pode tornar-se ainda mais grave caso a Rede A tenha acesso Internet sem a
proteo necessria (Figura 12.13). Os riscos aumentam de uma forma explosiva,
pois, dependendo da proteo existente na Rede A, qualquer um da Internet pode
ter acesso direto rede da organizao, passando pela rede da filial.
384 385
Figura 12.14 Mecanismos de segurana que no so equivalentes, entre matriz e filial.
Figura 12.13 Mltiplas conexes envolvendo a Internet. Neste ponto, j se pode visualizar o incio de um ambiente cooperativo, no qual
o que foi discutido no Captulo 6, a poltica de segurana em ambientes cooperati-
Nessa arquitetura (Figura 12.13), qualquer usurio da Internet pode chegar
vos, passa a ser aplicvel.
rede interna da organizao passando antes pela Rede A, depois pela filial, at
Se for levado em considerao que cada organizao deve cuidar da sua prpria
chegar rede interna. Pode-se observar que o firewall, implementado para proteger
segurana, o que de fato foi a concluso obtida no Captulo 6, ento a abordagem a
a rede interna contra o acesso no autorizado, passa a no ter funo nenhuma. O
ser seguida a implementao de um firewall entre a filial e a rede interna da
hacker pode driblar o firewall, acessando a rede interna por meio da passagem pela
organizao. Assim, mesmo que a filial sofra um ataque, os riscos quanto rede
Rede A e pela rede da filial, em um exemplo clssico de triangulao.
interna podem ser minimizados. De fato, essa uma abordagem que deve ser segui-
Na realidade, essas duas etapas (passagem pela Rede A e pela rede da filial) no
da (firewall interno). Porm, em se tratando de uma mesma organizao, geralmen-
so necessrias, caso a prpria filial tenha acesso Internet. Como pode ser visto
te uma outra abordagem adotada. A opo mais empregada a utilizao da
na Figura 12.14, essa uma configurao reconhecidamente perigosa, pois a filial
mesma configurao da borda de rede da matriz na borda de rede da filial, com a
no tem, neste exemplo, os mesmos mecanismos de segurana da rede interna da
conexo entre a matriz e a filial permanecendo aberta.
organizao, ou seja, a filial no dispe do firewall.
Porm, a duplicao de esforos para que a rede da filial tenha o mesmo nvel de
segurana da rede interna da organizao (com firewall na matriz e tambm na
filial) significa altos custos de implementao e gerenciamento. Assim, ela difcil
de ser justificada em casos nos quais os usurios da filial precisam ter acesso so-
mente aos servios bsicos da Internet, como Web, FTP e e-mail.
386 387
Desse modo, a configurao mais utilizada, a princpio, a que pode ser vista na do no gateway da rede da matriz. Esse tipo de conexo, que feito entre duas redes
Figura 12.15, na qual o acesso Internet dos usurios da filial realizado usando- organizacionais, conhecido como gateway-to-gateway VPN (Captulo 10).
se a estrutura da matriz. Esse acesso feito por meio da conexo dedicada rede
interna da organizao, onde, a partir da, o acesso Internet permitido, passan-
do-se pelo firewall.
Essa arquitetura no resulta em nenhuma implicao de segurana, pois a filial
no possui outros tipos de conexes, uma vez que todas as comunicaes so realiza-
das por meio da rede interna da organizao, que est protegida contra acessos exter-
nos indevidos pelo firewall. A desvantagem dessa arquitetura que uma conexo
dedicada (mais cara do que uma conexo Internet) utilizada tanto para o trfego de
informaes de negcios quanto para o trfego de servios bsicos da Internet.
Figura 12.16 Acesso Internet, pela filial, por meio de VPN.
Figura 12.15 Acesso Internet, pela filial, por meio de linha dedicada. Porm, pode-se verificar que essa alternativa totalmente desnecessria, no
caso do acesso apenas aos servios da Internet. Isso ocorre porque o primeiro passo
para a utilizao da VPN a necessidade de uma conexo com a Internet, por onde
12.1.8 Utilizao da VPN
o tnel virtual criado.
A utilizao de uma conexo dedicada para o trfego na Internet resulta em Na arquitetura da Figura 12.16 surgem duas questes essenciais para a seguran-
custos muito altos, sobretudo em uma organizao em que a filial tem um grande a da organizao:
nmero de usurios. Assim, a organizao deve considerar a idia de utilizar uma
conexo direta com a Internet na filial, para que a conexo dedicada possa ser 1. Em que consiste a VPN que funciona no gateway da filial?
economizada. Uma idia a utilizao da VPN para realizar essa funo (Figura 2. Como deve ser a configurao da VPN no firewall?
12.16). Utilizando-se a VPN, o tnel criado no gateway da rede da filial e finaliza-
388 389
Pode-se observar que o trfego da Internet nessa conexo gerado de modo a Assim, o firewall apresentado na Figura 12.3 pode resolver o problema do acesso
desperdiar recursos, pois a requisio do usurio da filial passa pelo tnel virtual, Internet feito pela filial, sem comprometer a segurana da matriz. As regras de
vai at a Internet, chega ao firewall da matriz e vai at o dispositivo de VPN. No filtragem desse firewall devem possibilitar somente que os pacotes dos servios
dispositivo VPN da matriz, o tnel desfeito e a requisio chega novamente bsicos permitidos para os usurios internos passem pelo filtro.
Internet, dessa vez at o seu destino. J a VPN pode ser utilizada para o trfego de e-mails entre a matriz e a filial, por
O caminho inverso da resposta feito da mesma maneira, ou seja, a resposta exemplo, alm de ser possvel tambm utiliz-la como canal de troca de documen-
retorna ao firewall, no qual o encapsulamento da resposta feito pela VPN, e a tos com informaes confidenciais. A Figura 12.17 mostra a configurao ideal para
resposta enviada pelo tnel para a Internet. Na filial, o dispositivo VPN abre o esse cenrio.
tnel e direciona o trfego para o seu destino (origem da requisio), ou seja, o
usurio da filial. Pode-se observar que o mesmo pacote de requisio e resposta
passa trs vezes pela Internet. Em circunstncias normais, existe uma nica passa-
gem pela Internet, bidirecional, que a requisio e a resposta direta ao cliente.
A utilizao da VPN somente para o trfego de servios bsicos da Internet
passa, assim, a ser injustificvel, a no ser que o sigilo desses dados seja uma
exigncia essencial, o que pode ocorrer no caso da transferncia de e-mails entre a
matriz e a filial pela Internet. Nesse caso, a segurana do trfego de e-mail passa a
ser equivalente utilizao da conexo dedicada.
Porm, independentemente da justificativa com relao sua utilizao, o pon-
to primordial a ser considerado nessa arquitetura surge a partir da primeira ques-
to, referida anteriormente: em que consiste a VPN que funciona no gateway da
filial? Essa questo surge porque o ponto fundamental a ser tratado quando uma
organizao passa a se comunicar diretamente com a Internet a seguinte: se
existe o acesso Internet, ento, o controle de borda, realizado pelo firewall, deve
existir, para que qualquer acesso indevido seja evitado.
Levando-se isso em considerao, ser que, na arquitetura vista anteriormente
(Figura 12.16), as funcionalidades da VPN so acompanhadas pela proteo de bor-
da, ou seja, ser que o dispositivo de VPN est fazendo tambm o papel de firewall?
No o que est representado na Figura 12.16, e essa questo relevante, uma
vez que, como foi mostrado no Captulo 7, o firewall, muitas vezes, considerado
erroneamente como a soluo de todos os problemas de segurana. E a arquitetura
demonstrada parece aproveitar-se dessa afirmao, ao fazer com que o trfego pas-
se obrigatoriamente pelo firewall da matriz, como se assim o nvel de segurana
fosse assegurado. Figura 12.17 Acesso Internet em conjunto com VPN.
Mas, considerando que quando a conexo com a Internet existe, o firewall tam-
bm deve existir, utilizar a VPN para que o firewall da matriz seja utilizado no faz O que foi abordado responde primeira questo, faltando ainda resolver a se-
sentido. De fato, o firewall precisa existir na rede da filial de qualquer modo, devido gunda questo que surge com a utilizao da VPN: como deve ser a configurao da
necessidade de proteo contra os ataques vindos a partir dessa conexo com a VPN no firewall? As possibilidades de configuraes do VPN com relao ao firewall
Internet. Esse firewall necessrio na rede da filial pode ser implementado de uma sero discutidas na Seo 12.2.
maneira extremamente simples, pois nenhum servio fornecido pela filial, mas
sim apenas pela matriz.
390 391
12.1.9 Conexo com um fornecedor O tnel IPSec protege toda a comunicao que passa pela Internet, e o controle de
Foi mostrado, claramente, que a complexidade da arquitetura de segurana au- acesso realizado em conjunto pela VPN e pelo firewall permite que somente os forne-
menta medida que novas necessidades de conexes vo aparecendo. Essa comple- cedores acessem apenas o banco de dados de estoques. interessante notar, nesse
xidade passa a ser maior e mais sria quando se deve proporcionar o acesso a algum caso, o aumento do bolso de segurana da organizao. Antes restrito DMZ 1 e
recurso da rede interna. Um caso tpico quando um fornecedor deseja acessar DMZ 2, agora o bolso inclui o banco de dados de estoques, que est na rede interna.
informaes internas da organizao referentes a estoques, por exemplo. Esse tipo Uma alternativa de arquitetura para essa situao o acesso do fornecedor pelo
de acesso pode ser realizado por meio de uma aplicao especfica e a exigncia servidor Web, com o banco de dados de estoques sendo localizado na DMZ 2, como
bsica que as informaes no podem trafegar sem o uso de criptografia pela rede. foi discutido na Seo 12.1.6. Porm, essa arquitetura tem suas limitaes de segu-
Alm disso, tambm necessrio garantir a integridade dessas informaes, para rana. Elas esto relacionadas ao canal seguro baseado em SSL que estabelecido
que uma eventual alterao no meio do caminho entre o servidor e o cliente no entre o fornecedor e o servidor Web. Como o SSL funciona na camada de aplicao,
resulte em maiores impactos. Tambm se deve combater as possibilidades de ocorrer ou seja, acima da camada TCP e, conseqentemente, acima da camada IP, qualquer
um ataque do tipo man-in-the-middle. Outra necessidade bsica garantir que ape- usurio da Internet pode estabelecer uma conexo com o servidor Web. Com isso, a
nas os usurios legtimos tenham acesso ao servio. segurana da soluo passa a depender, essencialmente, do mtodo de autenticao
A primeira alternativa de configurao que permite ao fornecedor acessar o escolhido. Essa abordagem diferente da arquitetura em que o IPSec utilizado na
banco de dados de estoques, que est localizado na rede interna, por meio de um VPN. Como foi visto no Captulo 10, utilizando-se o IPSec, a segurana passa a
tnel de VPN, como pode ser visto na Figura 12.18. existir na prpria conexo, e apenas o fornecedor consegue estabelecer a conexo
com o banco de dados de estoques, por meio do controle de acesso implementado.
Pode-se observar na Figura 12.18 que a complexidade das conexes muito
grande em um ambiente cooperativo, e ela aumenta ainda mais devido existncia
de um nmero ainda maior de nveis de conexes diferentes (telecommuters, reven-
das, clientes, parceiros comerciais etc.). Quando existem, por exemplo, dez nveis
de conexes diferentes, a poltica de segurana torna-se difcil de ser desenvolvida
e, principalmente, de ser implementada. Uma discusso sobre a complexidade rela-
cionada aos ambientes cooperativos ser feita no Captulo 13, que inclui tambm
discusses sobre as dificuldades na definio das regras de filtragem e sobre uma
maneira de simplific-las.
12.1.10 Proviso de autenticao via autoridade

certificadora
Ao mesmo tempo em que o nmero de diferentes conexes aumenta, a autenti-
cao dos usurios torna-se mais complicada, sendo essencial que um mtodo efici-
ente de autenticao seja utilizado. Como foi visto no Captulo 11, a autenticao
com base em certificados digitais pode ser considerada uma soluo ideal para o
ambiente cooperativo. De fato, uma soluo baseada apenas no SSL e em um outro
mtodo de autenticao, como a senha de acesso, garante apenas que o servidor
Web seja certificado digitalmente, no garantindo a certificao do usurio e, con-
seqentemente, o no-repdio tambm no assegurado.
Essas so propriedades importantes para a segurana no acesso a informaes
crticas, comuns em ambientes cooperativos, que podem ser endereadas pelos cer-
Figura 12.18 Aumento da complexidade das conexes.
392 393
tificados digitais emitidos por uma autoridade certificadora (CA). Em uma arquite- Assim, a localizao da autoridade certificadora deve ser na segunda DMZ (DMZ 2),
tura em que a autenticao tem como base os certificados digitais, a autoridade do mesmo modo que o banco de dados foi posicionado (somente o servidor Web se
certificadora de uma infra-estrutura de chaves pblicas (PKI, Seo 9.6) pode atuar comunica com o banco de dados). Nesse posicionamento, somente a VPN ou o servidor
em conjunto com a VPN. As regras de filtragem do firewall devem ser definidas de Web pode comunicar-se com a CA. Essa arquitetura pode ser observada na Figura 12.20,
modo que a VPN, e apenas ela, se comunique com a CA para que as autenticaes a qual elimina a possibilidade de a CA sofrer o acesso externo direto, pois o usurio deve
tenham validade. Em uma variao da arquitetura, na qual a VPN no utilizada, o usar a VPN ou a aplicao no servidor Web para que ele possa utilizar seu certificado
servidor Web, e apenas ele, deve comunicar-se com a CA. digital para a autenticao. Dessa maneira, o usurio somente teria a permisso de
A posio da CA dentro da arquitetura de segurana um ponto a ser discutido. acessar os recursos da rede interna da organizao aps a CA confirmar sua identidade.
A localizao da CA na DMZ, demonstrada na Figura 12.19, pode ser vlida, mas essa
localizao faz com que ela esteja diretamente exposta ao acesso externo, o que
inviabiliza sua posio. Isso ocorre porque o sucesso de um ataque CA pode resul-
tar no comprometimento dos certificados digitais dos usurios, culminando na fa-
lha total da estratgia de segurana da organizao.
Figura 12.20 Localizao da CA na segunda DMZ.
Apesar de ainda estar em processo de padronizao, como foi verificado na Seo

9.6, a funcionalidade da certificao cruzada fundamental em um ambiente coope-
rativo. Ela permite que, por exemplo, os usurios de uma fornecedora acessem os
recursos da matriz e das filiais, sem a necessidade de que certificados especficos para
cada um deles sejam criados em cada uma das partes envolvidas nessa comunicao.
12.1.11 Deteco de ataques com IDS

Figura 12.19 Localizao da CA na DMZ. Outro importante componente de segurana, principalmente no nvel interno
das organizaes, so os sistemas de deteco de intruso (IDS), que foram discuti-
394 395
dos no Captulo 8. Esses sistemas monitoram todas as atividades dos usurios, tanto * IDS 6: detecta tentativas de ataques internos na organizao. Esse
externa como internamente, sendo possvel detectar anormalidades que podem ser posicionamento passa a ser importante em ambientes cooperativos, devido ao
prenncios de ataques. A arquitetura de segurana contendo o IDS pode ser aumento dos bolses de segurana caractersticos. O provimento de acesso
implementada de acordo com o posicionamento que pode ser visto na Figura 12.21: cada vez maior a recursos internos faz com que a vigilncia interna seja um
fator de sucesso para o ambiente cooperativo.
Uma considerao importante com relao ao posicionamento do IDS que,

quando este aparece antes do firewall, como o IDS 1, a deteco considerada
simultnea aos ataques (deteco de ataques). J quando o IDS aparece aps o
firewall, como os IDSs 3, 4, 5 e 6, a deteco passa a ser de intruses, uma vez que
o hacker j passou pelo firewall (deteco de intruses) [NOR 01], ou de erros
cometidos por usurios internos (misuse) [BEC 99].
12.1.12 Firewall cooperativo

As arquiteturas discutidas at aqui possuem algumas diferenas se comparadas
com as arquiteturas clssicas definidas para o firewall, que foram discutidas no
Captulo 7. Usando tcnicas como as zonas desmilitarizadas (DMZ) e bastion hosts,
e acrescentando novas funcionalidades como banco de dados, VPN, PKI e IDS, por
exemplo, o firewall cooperativo caracterstico de um ambiente cooperativo e ser
discutido com mais detalhes no prximo captulo.
Figura 12.21 A arquitetura de segurana com o IDS.

12.2 CONFIGURAO VPN/FIREWALL
A localizao da VPN na arquitetura de segurana um ponto que deixa margem
* IDS 1: detecta todas as tentativas de ataque contra a rede da organizao, at a diversas interpretaes. Nesta seo sero analisadas e discutidas as diferentes
mesmo as tentativas que no teriam efeito nenhum, como os ataques a servido- possibilidades dessas localizaes. As cinco possveis localizaes da VPN, com rela-
res Web inexistentes. Essa localizao oferece uma rica fonte de informaes o ao firewall, so [KIN 99]:
sobre os tipos de tentativas de ataques que a organizao estaria sofrendo.
* IDS 2: funcionando no prprio firewall, o IDS pode detectar tentativas de * Em frente ao firewall.
ataque contra o firewall. * Atrs do firewall.
* IDS 3: detecta tentativas de ataque contra servidores localizados na DMZ, que * No firewall.
so capazes de passar pelo firewall. Assim, ataques contra servios legtimos * Paralelamente ao firewall.
situados na DMZ podem ser detectados por esse IDS. * Na interface dedicada do firewall.
* IDS 4: detecta tentativas de ataque contra recursos internos que passaram
pelo firewall, e que podem acontecer via VPN.
12.2.1 Em frente ao firewall
* IDS 5: detecta tentativas de ataque contra servidores localizados na DMZ 2, que
passaram pelo firewall, pela VPN ou por algum outro servio da DMZ 1, como o A configurao em que a VPN colocada em frente ao firewall, como pode ser
servidor Web. Isso ocorre porque os recursos da DMZ 2 no podem ser acessados observado na Figura 12.22, pode funcionar corretamente, porm ela representa um
diretamente pelo usurio, a no ser via algum servidor da DMZ 1 ou via VPN. nico ponto de falha que pode ser explorado pelos hackers. Em uma poca na qual
396 397
a disponibilidade representa uma grande importncia para o andamento dos neg- 12.2.2 Atrs do firewall
cios, esse ponto nico de falha deve ser considerado seriamente. A implementao
A configurao em que a VPN posicionada atrs do firewall, como pode ser
da VPN pode conter erros passveis de serem explorados, especialmente em ataques
visto na Figura 12.23, apresenta os mesmos problemas identificados quando colo-
do tipo negao de servio (Denial-of-Service DoS).
cada na frente do firewall, como foi demonstrado na seo anterior.
Alm disso, no se pode esquecer de que um dos pontos a serem considerados,
em termos de segurana, que o que no conhecido deve ser considerado como
um risco. De fato, a implementao da VPN pode ser considerada complexa o sufici-
ente para que seja passvel de erros. E, com erros, ataques podem ser realizados para
explor-los.
Outro problema que surge com esse posicionamento que no possvel verifi-
car se um gateway VPN foi ou no comprometido. O firewall aceita os pacotes vindos
do dispositivo, e eles so direcionados para o controle de acesso aplicado pela
implementao das regras de filtragem.
Figura 12.23 A VPN atrs do firewall.
O maior agravante que pode ser encontrado nessa configurao que o firewall
deve deixar passar todo tipo de trfego cifrado para a VPN, de forma que a poltica
de segurana implementada no firewall no , de fato, executada nesses pacotes
cifrados. Assim, um hacker pode enviar pacotes maliciosos cifrados, que poderiam
passar sem problemas pelas regras de filtragem do firewall, chegando ao dispositivo
de VPN. A partir desse dispositivo, os pacotes seriam decifrados e enviados direta-
mente ao seu destino, que geralmente um host na rede interna da organizao.
Figura 12.22 A VPN na frente do firewall.
Para que essa configurao funcione, o firewall deve ser configurado de modo a
deixar passar os pacotes IP com opes dos tipos 50 e 51 (AH e ESP), alm de deixar
Outra caracterstica importante desse posicionamento que ele requer que a
aberta a porta 500 para o IKE (Internet Key Exchange).
VPN seja capaz de aceitar todo tipo de trfego, seja ele cifrado ou no, pois todos os
pacotes devem passar por esse ponto. Isso significa que o dispositivo deve, alm de
atuar como ponto terminal de um tnel de VPN, agir tambm como um gateway, 12.2.3 No firewall
repassando todos os pacotes para o firewall. A localizao da VPN no firewall (Figura 12.24) faz com que a administrao e o
gerenciamento sejam simplificados, porm ainda traz o risco de ele se tornar um
398 399
nico ponto de falha na rede. Alm disso, essa configurao no a mais eficiente Assim, o mais importante a ser considerado nessa configurao que a poltica
em um ambiente cooperativo, por exigir que todo o processo de cifragem/decifragem de segurana implementada no firewall no ser aplicada s conexes de VPN. Isso
das informaes, alm do gerenciamento de todas as sesses de IPSec, seja realizado cria a possibilidade de que pacotes que normalmente seriam barrados pelo firewall
nesse nico ponto. Essa ineficincia torna-se presente, porque esse mesmo ponto cheguem at a rede interna, por meio do tnel de VPN, podendo causar, assim,
deve ainda executar a funo do firewall, que a de controlar o acesso e registrar srios danos organizao.
todos as tentativas de conexes.
Outro problema que a existncia de falhas na implementao da VPN possibilita
ataques que podem dar o controle do equipamento ao hacker, que pode, assim, alterar
as regras do firewall ou ter o controle de todas as conexes, sem muitas dificuldades.
Figura 12.25 A VPN paralela ao firewall.
Figura 12.24 A VPN no firewall.

12.2.5 Na interface dedicada do firewall
A utilizao da VPN em uma interface dedicada do firewall (Figura 12.26) a confi-
12.2.4 Paralelamente ao firewall
gurao mais indicada, pois o dispositivo VPN protegido pelo firewall contra possveis
Essa configurao em que a VPN posicionada em paralelo com o firewall (Figura ataques vindos da rede pblica. O nico ponto de falha desaparece e, o mais importante,
12.25) elimina o problema de a VPN constituir um nico ponto de falha, porm faz todos os pacotes so filtrados de acordo com a poltica de segurana implementada no
com que ela esteja merc de possveis ataques vindos da Internet. Alm disso, firewall. O funcionamento dessa arquitetura seria da seguinte maneira:
essa arquitetura oferece ao hacker um caminho alternativo at a rede interna, que
pode ser explorado, sem que, para isso, ele tenha de passar necessariamente pelo * Os pacotes IPSec so enviados ao dispositivo de VPN, que realiza a decifragem
firewall. O hacker, ento, no precisaria comprometer o firewall para chegar rede dos pacotes e os entrega de volta ao firewall. No firewall, os pacotes so filtra-
interna da organizao, mas apenas explorar a VPN, driblando, assim, a poltica de dos de acordo com a poltica de segurana implementada.
segurana implementada no firewall. * Os pacotes diferentes de IPSec so filtrados diretamente de acordo com a
poltica de segurana implementada no firewall.
400
Modelo de segurana para

ambientes cooperativos
Este captulo tem como objetivo apresentar um modelo de segu-

rana para o ambiente cooperativo. Os aspectos envolvidos com o
Figura 12.26 A VPN na interface dedicada do firewall. ambiente cooperativo so discutidos e, em seguida, so demonstra-
das as dificuldades existentes na definio e implementao das
regras de filtragem. A seguir, ser apresentada uma abordagem para
12.3 CONCLUSO a manipulao da complexidade das regras de filtragem, utilizando-
Este captulo teve como objetivo demonstrar a formao de um ambiente coopera- se o iptables. A arquitetura do firewall cooperativo tambm apre-
tivo e toda a complexidade envolvida, discutindo e analisando as possveis configura- sentada, culminando na definio de cinco nveis hierrquicos de
es quanto aos diversos sistemas de segurana disponveis, tais como firewall, redes defesa, que visam minimizar a complexidade e tornar mais simples
privadas virtuais (Virtual Private Networks VPNs), sistemas de deteco de intruso a administrao da segurana em um ambiente cooperativo. Uma
(Intrusion Detection System IDS) e infra-estrutura de chave pblica (Public Key discusso sobre o gerenciamento da complexidade da segurana tam-
Infrastructure PKI). O que pode ser observado pela anlise da evoluo que pode bm realizada, com a apresentao do Modelo de Teias.
ocorrer na rede de uma organizao (formao do ambiente cooperativo) um au-
C
mento da complexidade dos nveis de conexes. Isso pode ser explicado pelo fato de
os usurios terem uma necessidade cada vez maior de acessar os recursos internos da a 13.1 OS ASPECTOS ENVOLVIDOS NO AMBIENTE
organizao, aumentando, assim, os bolses de segurana, que devem ser protegidos. p COOPERATIVO
A prpria diferenciao entre usurios internos, usurios externos e usurios remotos
parece estar desaparecendo, como pode ser visto no Captulo 13. Um ambiente cooperativo apresenta uma enorme complexidade,
Isso faz com que a proteo da rede interna torne-se mais difcil de ser definida
t de tal modo que a administrao de sua segurana se torna difcil e
e implementada. Uma diviso em nveis de defesa torna a compreenso das neces- u passvel de erros, que acabam por comprometer a segurana da or-
ganizao como um todo. Alguns dos aspectos que influem nessa
sidades de segurana mais objetiva e mais simplificada, como ser discutido no l
prximo captulo, que tambm discutir com mais detalhes o firewall cooperativo, complexidade so: diferenciao entre os diversos usurios existen-
o tes, desafios a serem enfrentados em um ambiente cooperativo e
que j ficou caracterizado neste captulo. Este captulo discutiu tambm o melhor
posicionamento da VPN dentro da rede da organizao. heterogeneidade das conexes desse ambiente, que sero analisa-
13 dos a seguir.
SEGURANA DE REDES EM AMBIENTES COOPERATIVOS Captulo 13: Modelo de segurana para ambientes cooperativos
402 403
13.1.1 Usurios internos versus usurios externos de intruso (IDS) so importantes. As prximas sees discutem os desafios e a com-
versus usurios remotos plexidade envolvidos com o ambiente cooperativo. Alm disso, as propostas para
facilitar o gerenciamento dessa complexidade tambm so tratadas neste captulo.
No ambiente cooperativo resultante da globalizao e dos novos negcios, das
fuses, das aquisies, das parcerias e das reestruturaes, ser que faz sentido
pensar em diferenciar os usurios internos dos usurios externos? Em caso positivo, 13.1.2 O desafio do ambiente cooperativo
como diferenciar esses usurios? Por meio do nome de acesso e de uma senha? Pde-se observar, com os cenrios apresentados no Captulo 12, a formao de
Utilizando-se uma identificao baseada em endereos IP? E os usurios mveis, um ambiente cooperativo. O maior desafio a ser enfrentado em um ambiente coope-
como control-los? Diversos profissionais sustentam que no existe mais a distin- rativo o modo de lidar com a complexidade resultante dos diferentes nveis de
o entre usurios internos e usurios externos, o que de fato pode ser considerado acesso existentes, sem comprometer a prpria segurana e tambm a de seus inte-
uma realidade. grantes. O desafio grande porque, quando diversas conexes passam a se mistu-
Foi mostrado que, em um ambiente cooperativo, diferentes tipos de usurios rar, o risco de interferncias e da possibilidade de acesso a conexes de outros
acessam diferentes bolses de segurana e, por meio da rede privada virtual (VPN), usurios torna-se maior, se no existirem regras e protees especficas. Esse tipo
os funcionrios acessam os recursos da organizao, como se estivessem, de fato, de risco pode ser observado, por exemplo, em provedores de acesso, principalmente
fisicamente no local. Com os bolses de segurana e o acesso externo aos recursos nos provedores de acesso via cabo, nos quais um usurio pode acessar sem restri-
internos, a diferenciao entre usurios internos, usurios externos e usurios re- es o computador de outro usurio do mesmo provedor. Se for considerado que
motos (via cliente VPN ou pelo acesso dial-up) passa a sofrer alguns questionamentos. uma organizao o provedor de servios e do acesso em um ambiente cooperativo,
De fato, uma vez que esses diferentes tipos de usurios acessam cada vez mais deve-se tomar cuidado com relao a esse risco.
recursos internos da organizao, o mais prudente no fazer essa diferenciao, Alm dos riscos de acesso no autorizado entre os usurios da rede, preciso
mas, sim, tratar a segurana em seu nvel interno. Isso deve ser feito tambm lidar com uma idia que, em princpio, paradoxal: a necessidade de abrir a rede
porque os bolses de segurana esto cada vez maiores, atingindo cada vez mais para o acesso externo, pois antes o objetivo era no permitir que nenhum acesso
recursos antes considerados internos, exigindo, assim, maior controle e proteo externo atingisse essa rede. Isso significa que, se antes o objetivo era isolar a rede
contra os ataques e acessos indevidos. interna da rede pblica, agora o ambiente cooperativo requer que o acesso aos
A segurana interna passa, dessa forma, a ser essencial nos ambientes coopera- recursos via rede pblica torne-se mais constante, sendo, portanto, essencial o
tivos, para garantir que os recursos sejam acessados somente por usurios autoriza- controle sobre todas essas conexes.
dos. De fato, essa abordagem est de acordo com o que foi discutido na Seo 6.11, Assim, o enfoque, agora, muda de impedir o acesso para controlar os usurios
na qual foi verificado que, em um ambiente cooperativo, cada organizao deve que acessam a rede. Dessa maneira, ter o controle dos recursos que cada usurio
tomar as devidas medidas de segurana, de acordo com sua prpria poltica de pode acessar passa a ser essencial, e ter a certeza de que eles esto fazendo exata-
segurana. E, como os bolses de segurana so formados, em parte, pela rede mente aquilo para o qual tm permisso explcita uma questo vital para o suces-
interna da organizao, ento, a rede interna deve ser protegida adequadamente, so do sistema de segurana. Para isso, no basta apenas controlar, sendo necessrio
usando-se mecanismos de proteo condizentes com cada situao. Alm disso, no tambm monitorar as atividades dos usurios. Assim, o prprio conceito de diferen-
se pode esquecer que os incidentes de segurana que envolvem os insiders tambm ciar usurios internos de usurios externos, e tambm de usurios remotos, sofre
justificam o fortalecimento da segurana interna (Seo 4.1.3) . algumas modificaes e questionamentos, como foi visto na seo anterior, pois
Assim, a evoluo mostra claramente que a segurana interna da organizao anteriormente apenas os usurios externos eram controlados e monitorados.
passa a ser imprescindvel em ambientes cooperativos, principalmente porque cada
vez mais recursos so acessados tanto interna como externamente. Com essa necessi-
13.1.3 A complexidade das conexes
dade de maior proteo, o controle do universo de usurios e a definio dos recursos
Os nveis de acesso e, conseqentemente, seus mtodos de controle, atingem
que cada um deles pode acessar devem ser realizados com extremo cuidado, e para
rapidamente um grau de complexidade muito elevado em um ambiente cooperativo,
isso foi visto que a infra-estrutura de chaves pblicas (PKI) e os sistemas de deteco
404 405
tornando seu gerenciamento muito trabalhoso e passvel de erros. Isso pode ser a liberao impensada de qualquer servio pode trazer podem ser vistos, principal-
observado, por exemplo, em um ambiente no qual a organizao precisa controlar o mente, em servios de Internet como ICQ (diversas vulnerabilidades) e Real Audio
acesso de 30 conexes diferentes, as quais utilizam servios diferentes entre si. (torna o ambiente improdutivo, alm de consumir demasiada largura de banda).
Tomando-se como exemplo um ambiente cooperativo, a filial A tem acesso a servi- Essa abordagem recente tem uma caracterstica, que a simplicidade de suas
os como intranet, banco de dados financeiros, sistema de logstica de peas e o regras de filtragem, resultantes justamente da simplicidade das conexes, como
servidor de e-mails. O fornecedor A tem acesso a servios como sistema de logstica pde ser visto no Captulo 12. Como poucos servios eram oferecidos, eram necess-
de peas, bem como servidor FTP. J o fornecedor B tem acesso somente ao sistema rias poucas regras, e estas praticamente se resumiam em liberar os servios ofereci-
de controle de estoques, para poder agilizar o processo de reposio de peas. Um dos para os usurios externos, tais como HTTP, FTP e SMTP, e criar as regras para os
representante comercial tem acesso ao sistema de estoques, ao sistema de logstica servios que os usurios internos poderiam acessar.
e ao sistema de preos. Os clientes da organizao tm acesso aos sistemas de J a complexidade em um ambiente cooperativo pode trazer grandes problemas
estoques e de preos, para poder verificar a disponibilidade e os preos dos produ- de segurana e de desempenho para a organizao. Os problemas de segurana
tos. podem surgir devido a dois fatores: erro na definio e criao dessas regras ou erro
Nesse exemplo, foram vistos somente cinco tipos diferentes de conexes, que j na implementao dessas regras. De fato, em um ambiente com 30 diferentes nveis
mostram a necessidade de ser criado um modelo de segurana eficiente para o de conexes, erros humanos tornam-se provveis, alm de serem praticamente im-
melhor gerenciamento das conexes. Se for levado em considerao que em cada possveis de gerenciar.
elemento do ambiente cooperativo ainda existem diferentes nveis de usurios, a Os problemas de desempenho tambm tornam-se evidentes, quando as regras de
complexidade do ambiente passa a ser ainda maior. filtragem atingem um nmero estratosfrico. Em geral, o firewall analisa e toma
Assim, pode-se verificar que a conjuntura dentro de um ambiente cooperativo, decises de acordo com uma anlise contnua e seqencial das regras de filtragem.
com sua enorme complexidade, faz com que o modelo de segurana desse ambiente A Cisco (filtro de pacotes), por exemplo, faz a anlise de todos os pacotes, um por
deva ser bem planejado. Dois tpicos principais merecem destaque dentro desse um, em busca de uma regra de filtragem compatvel. Essa anlise das regras feita
modelo de segurana: as regras de filtragem e a arquitetura de segurana, que seqencialmente, ou seja, a Cisco capta as informaes do pacote a ser analisado e
resulta no firewall cooperativo. As prximas sees abordam esses dois elementos e, passa a compar-las com a primeira regra de filtragem. Caso elas no estejam de
por meio dessa anlise, ser apresentado um modelo de segurana dividido em acordo, as informaes do pacote so analisadas de acordo com a segunda regra de
nveis hierrquicos de defesa. O Modelo de Teias, importante para visualizar os filtragem, e assim por diante, at que seja encontrada uma regra compatvel com o
diferentes nveis de segurana de uma organizao, tambm ser apresentado, na pacote. Quando isso ocorre, a deciso de liberar, descartar ou bloquear o pacote
Seo 13.6. tomada de acordo com a poltica de segurana definida. Se for considerado que cada
pacote precisa passar por essa anlise por meio de um imenso conjunto de regras,
fcil deduzir que uma perda de desempenho poder ocorrer no firewall, que conse-
13.2 AS REGRAS DE FILTRAGEM qentemente, poder rapidamente se tornar o gargalo de toda a comunicao da
Diferentemente da abordagem recente, na qual os firewalls eram utilizados para organizao.
isolar a rede interna do mundo externo, no ambiente cooperativo essa idia modi- O poder de processamento dos equipamentos tecnolgicos vem acompanhando a
ficada. A abordagem recente permitia que as regras de filtragem fossem extrema- Lei de Moore, dobrando sua capacidade de processamento a cada 18 meses. Porm, a
mente simples e a organizao geralmente utilizava uma das duas opes seguin- demanda por velocidade na anlise das regras de um ambiente cooperativo mostra-
tes: o padro liberar todos os servios e negar acesso aos servios explicitamente se ainda maior, de modo que uma nova abordagem deve ser tomada. Depender do
proibidos ou o padro proibir todos os servios e liberar somente aqueles que so aumento do poder de processamento tornou-se inadequado, e uma nova maneira de
explicitamente permitidos. A segunda opo possibilita um maior grau de seguran- criar e analisar filtros traz grandes benefcios organizao. Uma das abordagens
a, pois servios novos e desconhecidos sempre trazem dvidas quanto sua impor- teis existentes pode ser vista no modo de funcionamento do netfilter, que ser
tncia e sua segurana, sendo recomendvel evitar sua utilizao ou analis-lo discutido na Seo 13.3. Um exemplo de criao de regras de filtragem demonstra-
cuidadosamente antes de liberar o seu acesso. Alguns exemplos das implicaes que
406 407
do na seo a seguir, em que o Laboratrio de Administrao e Segurana (LAS) da * Os servios utilizados pelos usurios do LAS: HTTP, FTP, SSL, DNS, SSH, SMTP.
Unicamp serviu de cenrio para seu desenvolvimento.
Os servios externos so acessados pelos usurios do LAS por meio de proxies,
13.2.1 Exemplos de filtragem Laboratrio de sendo um diferente para cada servio. A rede DMZ, que aloca os servios oferecidos
pelo LAS, ficou posicionada entre o filtro de pacotes (Barreira 1) e os proxies (Bar-
Administrao e Segurana (LAS) reira 2).
Um exemplo do trabalho envolvido na criao das regras de filtragem pde ser A poltica de segurana geral definida para as regras de filtragem foi liberar o
observado na implementao das regras do Laboratrio de Administrao e Segu- acesso somente aos servios explicitamente permitidos e negar todos os outros
rana do Instituto de Computao da Unicamp (LAS-IC-Unicamp). Apesar de no servios.
constituir um ambiente cooperativo, o exemplo ilustra as diferentes variveis en- Essa abordagem o que garante o maior nvel de segurana, ainda mais atualmen-
volvidas na definio e implementao da poltica de segurana no firewall. A arte, pois, com a complexidade dos servios e o seu nmero cada vez maior, torna-se
quitetura definida para o firewall do LAS-IC-Unicamp muito simples, e pode ser extremamente difcil e invivel negar todos os servios que no so permitidos. De
vista na Figura 13.1. fato, essa a abordagem-padro da maioria dos firewalls para a filtragem dos pacotes,
que tambm foram empregados para realizar a filtragem de pacotes do LAS.
Diversas complicaes surgiram durante o desenvolvimento das regras de
filtragem, que sero relatadas a seguir. Algumas delas foram com relao criao
das regras de filtragem que permitiriam o acesso de equipamentos especficos a
servios especficos, principalmente com relao a um equipamento para a simula-
o de ataques que seriam utilizados para a auditoria de segurana na Internet.
Outra dificuldade foi encontrar uma maneira de criar as regras de modo que, caso
um novo equipamento fosse adicionado na rede, no fosse necessrio modificar as
regras ou criar regras especficas para esse equipamento em especial.
Como a tecnologia utilizada foi o filtro de pacotes, tornou-se necessrio definir
regras para quatro canais de conexes, que podem ser vistas nas figuras 13.2 e 13.3.
As duas figuras foram divididas em duas para melhor visualizao, mas poderiam
ser mescladas em uma s:
Figura 13.1 A arquitetura utilizada pelo LAS.
* Canal de requisio a partir dos usurios internos.
Optou-se pela utilizao de dois componentes, em que a Barreira 1 funciona * Canal de resposta das requisies dos usurios internos.
como filtro de pacotes, enquanto a Barreira 2 trabalha como proxy dos servios a * Canal de requisio de servios providos pelo LAS a partir da Internet.
serem acessados pelos usurios da rede interna. O proxy protege a rede interna * Canal de resposta dos servios requisitados pelos usurios da Internet.
contra as tentativas de conexes indevidas e as regras de filtragem definidas foram
aplicadas na Barreira 1. Caso um filtro de estados fosse utilizado, no seria necessrio definir esses
O primeiro passo foi a definio dos servios da rede, levando-se em considera- quatro canais, pois as respostas seriam aceitas de acordo com as conexes j aber-
o dois aspectos: tas, comparando-as com as conexes existentes na tabela de estados. As conexes
da tabela de estados seriam correspondentes quelas estabelecidas de acordo com
* Os servios oferecidos pelo LAS-IC-Unicamp para usurios externos da Internet: as regras definidas nas regras de filtragem (Seo 7.3.2).
HTTP, FTP, SSL, DNS, SSH, SMTP.
408 409
Figura 13.2 Os canais utilizados pelos usurios internos. Figura 13.3 Os canais utilizados pelos usurios vindos da Internet.
Pode-se verificar que os canais de comunicao so bem definidos, ou seja, o

caminho que cada canal tem que tomar, bem como sua direo e os servios que
passam por eles, esto bem determinados. As regras, assim, devem ser estabelecidas
de acordo com esses canais.
Foi visto, na Seo 13.2, que a ordem das regras de filtragem importante, pois
sua verificao se d em uma ordem seqencial. Assim, deve-se lembrar que as
regras mais especficas devem sempre ser criadas antes das regras mais generaliza-
das, pois, se uma das regras estiver no contexto do pacote, essa ser a regra utiliza-
da. As regras mais especficas so as que eliminam as possibilidades de ataque
comuns ao protocolo TCP/IP, tais como IP Spoofing ou Smurf. As regras a seguir
evitam o IP Spoofing e a utilizao de endereos de broadcast e multicast, que, de
fato, no devem entrar na rede da organizao se tiverem origem na Internet. O
canal que tem a direo da Internet para a rede da organizao chamado de 112.
410 411
!! Descarta os endereos do rfc 1918 (10.0.0.0-10.255.255.255; !! Permite o trfego FTP (porta 21) para o Bastion (143.106.60.15)
172.16.0.0-172.31.255.255); 192.168.0.0-192.168.255.255) access-list 112 permit tcp any gt 1023
access-list 112 deny ip 10.0.0.0 host 143.106.60.15 eq 21
0.255.255.255 any access-list 112 permit tcp any eq 20
access-list 112 deny ip 172.16.0.0 host 143.106.60.15 gt 1023
0.15.255.255 any access-list 112 permit tcp any gt 1023
access-list 112 deny ip 192.168.0 host 143.106.60.15 gt 1023
0.0.255.255 any !
! !! Permite o trfego SSL (porta TCP 443) para o Bastion
!! Impede IP Spoofing de endereos da rede DMZ (143.106.60.0- (143.106.60.15)
143.106.60.255) access-list 112 permit tcp any gt 1023
access-list 112 deny ip 143.106.60.0 host 143.106.60.15 eq 443
0.0.0.255 any !
! !! Permite o trfego SMTP (porta 25) para o proxy (143.106.60.2)
!! Impede IP Spoofing de endereos loopback (127.0.0.0- access-list 112 permit tcp any gt 1023
127.255.255.255) host 143.106.60.2 eq 25
access-list 112 deny ip 127.0.0.0 !
0.255.255.255 any !! Permite o trfego SSH (porta 22) para mquinas da DMZ
! (143.106.60.2-60.254)
!! Impede Smurf, Teardrop, que utilizam endereo de broadcast access-list 112 permit tcp any gt 1023
(255.0.0.0-255.255.255.255) 143.106.60.2 0.0.0.252 eq 22
0.255.255.255 any !! Permite o trfego DNS (porta UDP 53) para o proxy (143.106.60.2)
! access-list 112 permit udp any gt 1023
!! Impede endereo de multicast (224.0.0.0-231.255.255.255) host 143.106.60.2 eq 53
7.255.255.255 any !! Bastion (143.106.60.15) nega o restante
access-list 112 deny ip any
Essas regras devem estar no incio do conjunto de regras, para que, caso alguma host 143.106.60.15
das regras esteja sendo utilizada, o que provavelmente um indicativo de um !
ataque, o pacote seja prontamente descartado. As regras a seguir dizem respeito aos Assim, as regras de filtragem para que os usurios da Internet iniciassem as
servios fornecidos pela Internet pelo LAS. O canal 112 utilizado para as requisi- requisies de conexes para os servios oferecidos pelo LAS foram criados, utili-
es vindas da Internet e o canal 111 utilizado para as respostas dessas requisi- zando-se o canal 112. O canal de resposta para as requisies vindas da Internet foi
es, ou seja, tem a direo da rede da organizao para a Internet. definido de acordo com as seguintes regras, que usam o canal 111:
Foram definidos quatro canais para a arquitetura, mas o canal 112 utilizado !! Permite o trfego HTTP (porta 80) para o Bastion (143.106.60.15)
tambm para as respostas das requisies dos usurios internos e o canal 111 access-list 111 permit tcp host 143.106.60.15 eq
80 any gt 1023
utilizado tambm para as requisies dos usurios internos. !
Assim, a estratgia utilizada foi a de definir, primeiramente, os servios que os !! Permite o trfego FTP (porta 21) para o Bastion (143.106.60.15)
access-list 111 permit tcp host 143.106.60.15 eq
usurios externos podem acessar (canal 112 para as requisies e canal 111 para as
21 any gt 1023
respostas), e depois os servios que os usurios internos podem acessar (canal 111 access-list 111 permit tcp host 143.106.60.15 gt
para as requisies e canal 112 para as respostas). 1023 any eq 20
access-list 111 permit tcp host 143.106.60.15 gt
Desse modo, as regras para os usurios externos acessarem os servios forneci- 1023 any gt 1023
dos na DMZ foram definidas, primeiramente, estabelecendo-se as regras para o canal !
!! Permite o trfego SSL (porta TCP 443) para o Bastion
de requisio, da seguinte maneira: (143.106.60.15)
!! Permite trfego HTTP (porta 80) para o Bastion (143.106.60.15)
443 any gt 1023
access-list 112 permit tcp any gt 1023 host
!
143.106.60.15 eq 80
!! Permite o trfego SMTP (porta 25) para o proxy (143.106.60.2)
!
412 413
25 any gt 1023 !! Permite a requisio de servios DNS (porta UDP 53)

! access-list 111 permit udp 143.106.60.2 0.0.0.29
!! Permite o trfego SSH (porta 22) para mquinas da DMZ gt 1023 any eq 53
(143.106.60.2-60.254) !
access-list 111 permit tcp 143.106.60.2 !! Permite a requisio de servios SSL (porta TCP 443)
0.0.0.252 eq 22 any gt 1023 access-list 111 permit tcp 143.106.60.2 0.0.0.29
! gt 1023 any eq 443
!! Permite o trfego DNS (porta UDP 53) para o proxy (143.106.60.2) !
access-list 111 permit udp host 143.106.60.2 eq
53 any gt 1023 Assim, o canal de requisio de servios da Internet utilizados pelos usurios
! internos do LAS foi definido de acordo com as regras do canal 111. O canal de
Uma vez definidas as regras de filtragem dos dois canais utilizados pelos usurios resposta das requisies dos usurios da rede interna foi assim definido, utilizando-
da Internet para acessarem servios oferecidos pelo LAS (canal 112 para requisio e se o canal 112:
canal 111 para a resposta), a segunda parte da estratgia consistiu em definir os !! Canal de resposta X para o BlackHole (143.106.60.14) (portas
canais dos servios a serem acessados pelos usurios internos. Primeiramente, foi 6000-6010)
access-list 112 permit tcp any host
definido o canal de requisio (canal 111), lembrando que as regras mais especficas 143.106.60.14 gt 1022
tm de vir antes das regras mais generalizadas. Neste caso, as regras mais especficas access-list 112 permit tcp any gt 1022 host
143.106.60.14 range 6000 6010
significam que as regras para determinados equipamentos devem vir antes: !
!! BlackHole (143.106.60.14) (portas 6000-6010) pode requisitar !! Permite aos clientes utilizarem o HTTP (porta 80)
servios X access-list 112 permit tcp any eq 80
access-list 111 permit tcp host 143.106.60.14 gt 143.106.60.2 0.0.0.29 gt 1023
1022 any !
access-list 111 permit tcp host 143.106.60.14 !! Permite aos clientes utilizarem o SMTP (porta 25)
range 6000 6010 any gt 1022 access-list 112 permit tcp any eq 25
! 143.106.60.2 0.0.0.29 gt 1023
! Permite a requisio de servios HTTP (porta 80) !
access-list 111 permit tcp 143.106.60.2 0.0.0.29 !! Permite aos clientes utilizarem o SSH (porta 22)
gt 1023 any eq 80 access-list 112 permit tcp any eq 22
! 143.106.60.2 0.0.0.29 gt 1023
!! Permite a requisio de servios SMTP (porta 25) !
access-list 111 permit tcp 143.106.60.2 0.0.0.29 !! Permite aos clientes utilizarem o FTP (porta 21)
gt 1023 any eq 25 !! SOMENTE MODO PASSIVO - Canal de requisio
! access-list 112 permit tcp any eq 21
!! Permite a requisio de servios SSH (porta 22) 143.106.60.2 0.0.0.29 gt 1023
access-list 111 permit tcp 143.106.60.2 0.0.0.29 !
gt 1023 any eq 22 !! Permite aos clientes utilizarem o FTP (porta 21)
! !! SOMENTE MODO PASSIVO - Canal de dados
!! Permite a requisio de servios FTP (porta 21) access-list 112 permit tcp any gt 1023
!! SOMENTE MODO PASSIVO - Canal de requisies 143.106.60.2 0.0.0.29 gt 1023
access-list 111 permit tcp 143.106.60.2 0.0.0.29 !
gt 1023 any eq 21 !! Liberando FTP no modo ativo somente para o proxy (143.106.60.2)
! access-list 112 permit tcp any eq 20
!! Permite a requisio de servios FTP (porta > 1023) host 143.106.60.2 gt 1023
!! SOMENTE MODO PASSIVO !
!! Canal de dados !! Permite aos clientes utilizarem o DNS (porta UDP 53)
access-list 111 permit tcp 143.106.60.2 0.0.0.29 access-list 112 permit udp any eq 53
gt 1023 any gt 1023 143.106.60.2 0.0.0.29 gt 1023
! !
!! Liberando FTP no modo ativo somente para o proxy (143.106.60.2) !! Permite aos clientes utilizarem o SSL (porta TCP 443)
access-list 111 permit tcp host 143.106.60.2 gt access-list 112 permit tcp any eq 443
1023 any eq 20 143.106.60.2 0.0.0.29 gt 1023
! !
414 415
Assim, as regras de filtragem para as requisies dos usurios internos foram * Existe a necessidade de receber os pacotes de resposta da vtima.
definidas no canal 111, enquanto as respostas para essas requisies foram defini- * No existe a necessidade de receber as respostas da vtima.
das no canal 112. Para finalizar a implementao das regras de filtragem, todo o
restante negado. Apesar dessa abordagem ser um padro, definir explicitamente Caso a resposta no seja necessria, a regra de filtragem, nica, poderia ser:
essas regras no deixa margem a dvidas sobre o que acontecer com os pacotes access-list 111 permit ip any any
que passam pelo processo de filtragem.
As regras para o canal de respostas vindas da Internet no seriam necessrias,
!! *****************************************
pois no existiriam respostas. Valeriam, portanto, as regras j determinadas anteri-
!! NEGA TODO O RESTO
!! ********************************************** ormente, de acordo com a poltica de segurana da organizao. A conseqncia
access-list 111 deny ip any any prtica dessa nova regra que qualquer pacote saindo da rede da organizao
access-list 112 deny ip any any
! permitido, tornando possvel que qualquer host da organizao seja a base para a
realizao de ataques.
Uma das dificuldades encontradas foi para estabelecer as regras de filtragem
Alm disso, os usurios podem, agora, fazer as requisies que desejarem, de
para o equipamento de auditoria, localizado na rede DMZ. Esse equipamento o
quaisquer servios. Porm, a segurana da rede da organizao ainda est no mes-
responsvel pela realizao de simulaes de ataque em redes que devem ter sua
mo nvel anterior, pois somente os pacotes dos servios permitidos passam pelo
segurana avaliada.
filtro. Em outras palavras, so bloqueados os pacotes estranhos e as respostas de
Embora no esteja diretamente mapeada para o caso de um ambiente cooperati-
requisies invlidas, vindos da Internet.
vo, essa situao oferece um bom estudo de caso. Como poder ser observado, esse
O novo perigo seria com relao a algum backdoor, que poderia contaminar um
caso demonstra o antagonismo existente entre trfegos diferentes e a dificuldade
usurio interno e iniciar uma conexo com um host externo para enviar informa-
em definir regras de filtragem que satisfaam tais disparidades.
es confidenciais. Porm, mesmo essa possibilidade j existia com as regras ante-
Pelo motivo de que todos os tipos de pacotes devem ser permitidos, esse equipa-
riores, pois o backdoor poderia enviar as informaes utilizando portas vlidas,
mento deve ter um conjunto especfico de regras, como por exemplo:
como o HTTP ou o FTP, por exemplo.
access-list 111 permit ip host 143.106.60.30 any
access-list 112 permit ip any
Quanto outra possibilidade de uso do IP spoofing, na qual as respostas so
host 143.106.60.30 necessrias, as nicas regras que possibilitam a comunicao so:
Essas regras permitem que qualquer tipo de pacote trafegue entre a Internet e o access-list 111 permit ip any any
access-list 112 permit ip any any
host de ataque. Mas isso limita a abrangncia das simulaes de ataque, pois a maioria
deles utiliza o IP Spoofing para mascarar sua origem. Essas regras no permitem que Com essas regras, o host especfico pode utilizar a tcnica de IP Spoofing para
essa tcnica seja empregada, resultando na necessidade de mudana nas regras de realizar um ataque, e tem condies de receber uma resposta (usando outras tcni-
filtragem. Porm, outra questo surge com a possibilidade de utilizao do IP Spoofing, cas para redirecionamento de pacotes). Como conseqncia dessas regras, a rede da
no que se refere ao fato de que, geralmente, os pacotes de resposta no so requeridos organizao tambm pode fazer requisies e receber respostas e requisies de
quando se recorre a essa tcnica de ataque. De fato, receber respostas quando o IP qualquer tipo, ou seja, a situao criada a mesma em que o acesso totalmente
Spoofing utilizado uma tarefa complicada, pois a rota para o endereo falsificado transparente, ou seja, sem nenhum filtro.
no aponta para o equipamento que realizou o ataque, mas sim para o equipamento A concluso obtida com essa experincia que um ambiente de produo no
real, que teve seu endereo utilizado indevidamente. Ento, para que as respostas combina com um ambiente de testes de segurana, ou seja, ambos so opostos. Se for
sejam recebidas, necessrio empregar outras tcnicas, como ataques a roteadores possvel, o uso de outra interface de rede para a criao de uma sub-rede somente
para a alterao da tabela de rotas, ou ento, o source routing. Assim, existem duas para o host de segurana (Figura 13.4) passa a ser imprescindvel. Caso contrrio, os
possibilidades quando se trata do IP Spoofing: ataques mais sofisticados, que exigem respostas, ficam comprometidos. O ponto mais
importante que a segurana da organizao deve receber a mxima prioridade.
416 417
13.3 MANIPULAO DA COMPLEXIDADE DAS REGRAS DE

FILTRAGEM
Como foi mostrado nas sees anteriores, a complexidade das regras de filtragem
cresce cada vez mais em ambientes cooperativos, de forma que o seu gerenciamento
se torna um fator importante para que erros na criao e na implementao dessas
regras sejam minimizados. Alm do fator complexidade, existe ainda o fator desem-
penho, que tambm prejudicado quando o nmero de regras de filtragem que deve
ser verificado por cada pacote muito grande, o que uma caracterstica dos ambi-
entes cooperativos. Um dos sistemas de filtragem que tenta resolver os problemas
levantados at agora o iptables, que faz parte do Linux. O kernel do Linux tem um
firewall do tipo filtro de pacotes desde a verso 1.1. A primeira gerao teve como
base o ipfw do BSD, e foi implementado por Alan Cox, em 1994. Ele foi aperfeioado
por Jos Vos, no Linux 2.0, quando passou a se chamar ipfwadm. Em meados de 1998,
o ipchains foi desenvolvido no Linux 2.2. A quarta gerao o iptables, que come-
ou a ser desenvolvido em meados de 1999 e faz parte do kernel 2.4 do Linux. O
Figura 13.4 A arquitetura e os equipamentos utilizados pelo LAS.
netfilter um framework para a manipulao de pacotes, no qual diversos ganchos
(hooks) so criados na pilha do protocolo IPv4. O iptables utiliza os hooks definidos
O ambiente do LAS um caso tpico de uma rede simples, como foi visto no
no netfilter para a realizao da filtragem de pacotes. As prximas sees mostram
Captulo 12, e mesmo assim algumas variveis fazem com que as regras de filtragem
o funcionamento do iptables e do netfilter.
atinjam um alto nvel de complexidade. O exemplo do LAS ilustra a dificuldade que
pode surgir no desenvolvimento da poltica de segurana para ambientes cooperati-
vos, que envolve inmeras conexes diferentes. Foram vistos que as dificuldades na 13.3.1 Iptables
definio do conjunto de regras so grandes, principalmente quando os objetivos Em sistemas que utilizam o iptables, o kernel inicializado com trs listas de
so antagnicos. regras-padro, que so tambm chamadas de firewall chains ou apenas chains (ca-
muito provvel que uma situao semelhante seja encontrada em um ambien- deias), que so:
te cooperativo. Provavelmente, a dificuldade surge da estrutura plana dos mecanis-
mos comuns de filtragem, ou seja, da ausncia de mecanismos hierrquicos de * INPUT
filtragem ou de blocos, como os utilizados em linguagens de programao estruturada. * OUTPUT
Uma caracterstica do netfilter pode ser utilizada para facilitar o desenvolvimento * FORWARD
das regras de filtragem, como ser visto na seo a seguir. Alm disso, a arquitetura
do firewall cooperativo e a diviso em nveis hierrquicos de defesa tambm auxili- Cada cadeia possui seu prprio conjunto de regras de filtragem e o funciona-
am na definio de um conjunto de regras complexo, como o que encontrado em mento do iptables acontece de acordo com o diagrama da Figura 13.5.
um ambiente cooperativo.
A arquitetura do firewall cooperativo ser vista na Seo 13.4 e os nveis hierr-
quicos, na Seo 13.5. O Modelo de Teias, que auxilia na viso de segurana da
organizao, ser visto na Seo 13.6.
418 419
Essas trs cadeias no podem ser removidas do kernel, pois so padres e o

iptables tem as seguintes opes: criar uma nova cadeia, remover uma cadeia vazia,
alterar a poltica da cadeia, relacionar as regras da cadeia, eliminar as regras de uma
cadeia, zerar o contador de pacotes e bytes das regras da cadeia, adicionar uma
nova regra na cadeia, inserir uma nova regra em alguma posio na cadeia, remover
uma regra de alguma posio na cadeia e remover a primeira regra encontrada na
cadeia.
As filtragens do iptables podem ser baseadas em endereos IP de origem e desti-
no, protocolos e interfaces. O iptables pode ser expandido, pois novas caractersti-
cas podem ser adicionadas s regras. Algumas das extenses so as do TCP, quando
o protocolo TCP est selecionado. Por meio delas, possvel criar regras utilizando-
Figura 13.5 O funcionamento do iptables. se flags TCP como syn, ack, fin, rst, urg, psh, portas de origem ou portas de destino.
Extenses UDP incluem as portas de origem ou de destino e as extenses ICMP
Quando o pacote atinge uma das cadeias (INPUT, OUTPUT ou FORWARD) exami- permitem criar regras com tipos especficos de ICMP. Outras extenses so referen-
nado pelas regras dessa cadeia. Se a cadeia tiver uma regra que define que o pacote tes aos endereos MAC e aos limites de pacotes a serem registrados.
deve ser descartado, ele ser descartado nesse ponto. Caso a cadeia tenha uma regra Um mdulo que pode ser utilizado pelo iptables o de filtro de pacotes baseado
que aceite o pacote, ele continua percorrendo o diagrama da Figura 13.5 at chegar em estados, que permite o controle das conexes novas, estabelecidas, relacionadas
prxima cadeia ou ao destino final. ou invlidas. A fragmentao tambm pode ser controlada, para que a filtragem seja
Cada uma dessas cadeias constituda de um conjunto de regras que so exami- realizada no apenas no primeiro pacote da conexo, mas tambm nos pacotes
nadas uma a uma, seqencialmente. Caso nenhuma regra da cadeia seja utilizada, a subseqentes.
prxima cadeia ser verificada. Se no houver regras em nenhuma cadeia, ento a At mesmo quando o NAT utilizado, os fragmentos so desfragmentados antes
poltica-padro ser utilizada, o que geralmente significa descartar o pacote. de chegarem ao cdigo de filtragem do kernel. Uma caracterstica importante que
O modo de funcionamento do iptables pode ser resumido da seguinte maneira: o iptables insere e exclui regras na tabela de filtragem de pacotes no prprio kernel,
de modo que esse conjunto de regras perdido quando o sistema operacional
* Quando um pacote recebido pela placa de rede, o kernel primeiramente veri- reinicializado. Assim, necessrio armazenar o conjunto de regras em um local
fica qual o seu destino (deciso de roteamento). seguro e carreg-lo na memria sempre que for necessrio.
* Se o destino for o prprio equipamento, o pacote passado para a cadeia Uma das principais diferenas entre o ipchains e o iptables que as referncias
INPUT. Se ele passar pelas regras dessa cadeia, ele ser repassado para o pro- ao redirect e ao masquerade, existentes no ipchains, foram removidas do iptables.
cesso de destino local, que est esperando pelo pacote. Com isso, o iptables no pode alterar pacotes, apenas filtr-los, simplificando assim
* Se o kernel no tiver o forwarding habilitado ou se no souber como encami- seu funcionamento. Como conseqncia dessa simplificao, pode-se obter melhor
nhar esse pacote, este ser descartado. Se o forwarding estiver habilitado para desempenho e segurana.
outra interface de rede, o pacote ir para a cadeia FORWARD. Se o pacote
passar pelas regras dessa cadeia, ele ser aceito e repassado adiante. Normal-
mente, essa a cadeia utilizada quando o Linux funciona como um firewall.
13.3.2 Netfilter
* Um programa sendo executado no equipamento pode enviar pacotes rede, O netfilter um framework para a manipulao de pacotes, no qual diversos
que so enviados cadeia OUTPUT. Se esses pacotes forem aceitos pelas regras ganchos (hooks) so criados na pilha do protocolo IPv4, e pode ser visto na Figura
existentes nessa cadeia, sero enviados por meio da interface. 13.6. O iptables se baseia no netfilter, como foi visto na seo anterior.
420 421
ativado, primeiramente para descobrir o endereo de IP origem e algumas opes IP,

sendo chamado novamente, caso o pacote seja alterado.
Novos mdulos do kernel podem ser registrados para atuar nos hooks, de maneira
que, quando os hooks so chamados, os mdulos registrados esto prontos para
manipular os pacotes. O mdulo pode, ento, fazer com que o netfilter realize uma
das seguintes funes:
* NF_ACCEPT: continua normalmente.

* NF_DROP: descarta o pacote.
* NF_STOLEN: no continua a manipulao do pacote.
* NF_QUEUE: coloca o pacote na fila.
O iptables (Seo 13.3.2) utiliza os hooks do netfilter NF_IP_LOCAL_IN,

NF_IP_FORWARD e o NF_IP_LOCAL_OUT, de modo que qualquer pacote passa por um
nico hook para a filtragem.
13.3.3 O iptables no ambiente cooperativo

Foi visto na seo anterior que o netfilter oferece o framework utilizado pelo
iptables, que, por meio da sua abordagem com base em cadeias, faz com que a
filtragem dos pacotes seja realizada de maneira mais controlada e mais fcil de ser
Figura 13.6 O funcionamento do netfilter.
gerenciada (porm, no mais fcil de ser desenvolvida), resultando tambm em
maior desempenho. Isso alcanado porque no necessrio que todas as regras
Antes de os pacotes entrarem no netfilter, eles passam por algumas checagens
sejam examinadas seqencialmente, mas, sim, apenas as regras de cada cadeia.
simples, como as que so feitas para descartar pacotes truncados ou com o checksum
Essa abordagem, baseada em cadeias, pode ser aproveitada em ambientes coope-
do IP errado, alm de evitarem tambm recebimentos promscuos. Os pacotes que
rativos, nos quais uma nova cadeia especfica pode ser criada para cada elemento do
passam por essa checagem entram no netfilter (Figura 13.6), vo para o hook
ambiente. Assim, as regras de filtragem podem ser desenvolvidas separadamente
NF_IP_PRE_ROUTING (1) e depois para o cdigo de roteamento, no qual decidido
para cada elemento, em vez de criar um nico conjunto imenso de regras para o
se o pacote ser destinado a outra interface de rede ou para um processo local. O
ambiente em sua totalidade.
cdigo de roteamento pode descartar pacotes que no tm rotas. Se o destino for o
Essa abordagem resulta em um melhor gerenciamento e maior desempenho do
prprio equipamento, o netfilter envia os pacotes para o hook NF_IP_LOCAL_IN (2),
firewall, diminuindo as chances de que erros sejam cometidos no desenvolvimento
antes de eles chegarem ao processo local. Se o pacote tiver como destino outra
e na implementao das regras. A Figura 13.7 mostra o iptables sendo utilizado no
interface de rede, o netfilter o envia ao hook NF_IP_FORWARD (3) e depois ao hook
ambiente cooperativo, com as diferentes cadeias criadas para cada organizao que
NF_IP_POST_ROUTING (4), antes de ele chegar ao cabo novamente. O hook
faz parte do ambiente.
NF_IP_LOCAL_OUT (5) utilizado para os pacotes criados localmente. O roteamento
realizado aps a chamada do hook (5), de modo que o cdigo de roteamento
422 423
13.4 INTEGRANDO TECNOLOGIAS FIREWALL

COOPERATIVO
Como foi visto no decorrer deste livro, a evoluo das necessidades de segurana
indica que diversos outros elementos, alm do firewall, so cada vez mais impres-
cindveis para a proteo dos recursos da organizao. Foi verificado tambm que
diversas arquiteturas clssicas de firewall j foram propostas, mas que ainda no
contemplam tecnologias de segurana como, por exemplo, a VPN, o IDS e a PKI. O
firewall cooperativo tem como objetivo apresentar uma arquitetura que inclui essas
tecnologias de segurana, que so to importantes em um ambiente cooperativo.
Partindo dessa premissa, como seria constitudo e como seria o muro das orga-
Figura 13.7 O iptables no ambiente cooperativo. nizaes em um ambiente cooperativo (Figura 13.8)?
No ambiente cooperativo, a cadeia FORWARD trabalha para realizar as filtragens

mais genricas (como a proteo contra o IP Spoofing ou o Smurf), aplicveis a todos
os elementos do ambiente cooperativo, e principalmente para direcionar a filtragem
para a cadeia correspondente a cada organizao. A cadeia INPUT deve conter regras
para a defesa do prprio firewall. O grande problema aqui a definio do critrio que
servir de base para o direcionamento cadeia correspondente.
Supe-se que utilizar o endereo IP do usurio como base de deciso pode ser
perigoso, possvel de ser, facilmente, falsificado, de modo a driblar um conjunto
de regras mais restritivo. Porm, essa suposio pode ser considerada incorreta,
pois as regras existentes no firewall so as mesmas que existiriam no conjunto
nico de regras (tambm com base em endereos IP). A diferena entre as duas
abordagens que, com o uso de cadeias especficas criadas para cada organizao,
no mais necessrio que todas as regras de todas as organizaes sejam verificadas
seqencialmente. Como o objetivo facilitar o gerenciamento e maximizar o desem-
penho do firewall, o iptables pode atender plenamente s necessidades.
Um ponto importante a ser lembrado que, em um ambiente cooperativo, as
regras de filtragem so apenas um dos elementos do firewall cooperativo, ou seja, a
segurana da organizao no pode depender apenas dessas regras de filtragem.
Sistemas de deteco de intruso (Captulo 8) e um bom mecanismo de autentica-
o (Captulo 11), preferencialmente com base em certificados digitais (Seo 9.5),
tambm so essenciais em ambientes complexos. O firewall cooperativo, que ser
visto na prxima seo, e o modo como o iptables trata as regras de filtragem (Seo
Figura 13.8 O muro em um ambiente cooperativo.
13.3), servem de base para o modelo hierrquico a ser apresentado na Seo 13.5.
Integrar conceitos e tecnologias como firewall, DMZ, VPN, PKI, SSO, IPSec, IDS,
NAT e criptografia de dados, cada um com sua funo especfica, uma tarefa que
424 425
requer um intenso planejamento, que depende diretamente das necessidades e dos nistradores no devem deixar de lado a importncia de compreender as funes de
recursos financeiros da organizao. Entender os conceitos, as tcnicas e as cada um desses elementos.
tecnologias de segurana essencial para o sucesso na estratgia de segurana Em um firewall cooperativo, a VPN deve atuar em conjunto com a CA, para que
definida, pois a funo de cada um desses componentes e o seu posicionamento trabalhem juntos na autenticao dos usurios que podem acessar recursos da rede
dentro da arquitetura influem diretamente no resultado final esperado. interna, bem como para garantir o sigilo das informaes que so trocadas com
J vimos no Captulo 12 que a evoluo pode ocorrer em uma rede, a qual, por outros elementos do ambiente cooperativo. Em um paralelo com os bolses de segu-
meio da necessidade de fornecer recursos para os diversos tipos de usurios, integra rana definidos no Captulo 6, o firewall cooperativo sugere que a VPN e a PKI sejam
conceitos, tcnicas e tecnologias, at chegar arquitetura do firewall cooperativo utilizadas para a autenticao dos usurios que acessam bolses maiores da organi-
(Figura 13.9). zao (mais recursos internos). O firewall cooperativo mostra tambm que recursos
disponibilizados para o acesso realizado exclusivamente por meio da Internet de-
vem ser disponibilizados na DMZ.
Uma segunda DMZ deve ser utilizada para os recursos que necessitam de um
maior grau de segurana, e que no tm o acesso direto por parte dos usurios da
Internet. Esse o caso dos bancos de dados, que so acessados pelos usurios por
meio do servidor Web, que est localizado na primeira DMZ, ou seja, o usurio
acessa o servidor Web que geralmente contm uma aplicao que acessa o banco de
dados. A autenticao entre essa aplicao e o servidor Web tambm pode ser utili-
zada, bem como uma nova autenticao do usurio, que pode ser mais forte pelo
uso da biometria, por exemplo.
O firewall cooperativo trata tambm dos recursos localizados na rede interna da
organizao, que devem estar sob monitorao constante, o que realizado pelo
IDS. Essa monitorao deve coibir aes maliciosas, tanto dos usurios que acessam
os recursos via VPN, quanto dos usurios que esto fisicamente dentro da rede
interna da organizao.
Assim, o firewall cooperativo realiza a integrao de diversos conceitos e
tecnologias de segurana e acaba criando uma diviso em trs partes das localiza-
es dos recursos:
* Recursos pblicos disponibilizados para o acesso via Internet: localizao na

DMZ.
Figura 13.9 A arquitetura do firewall cooperativo. * Recursos privados disponibilizados para o acesso via Internet: localizao na
DMZ 2.
O firewall cooperativo tem como objetivo tornar mais simples a administrao da * Recursos internos acessados via VPN: localizao na rede interna.
segurana do ambiente cooperativo, ao integrar e posicionar tecnologias especfi-
cas para a proteo do ambiente. A grande dificuldade existente a de inserir cada As protees referentes a cada um dos tipos de recursos so mais bem compre-
um dos conceitos e tecnologias dentro do contexto da organizao, e o firewall endidas quando uma diviso em diversos nveis de defesa realizada, como ser
cooperativo ajuda nessa tarefa. Porm, se, por um lado, a arquitetura do firewall
visto na prxima seo.
cooperativo auxilia na definio da estratgia de defesa da organizao, os admi-
426 427
13.5 NVEIS HIERRQUICOS DE DEFESA

Alm do firewall cooperativo e do modo como o iptables trabalha com as regras
de filtragem, uma abordagem com base em diferentes nveis hierrquicos de defesa
tambm pode facilitar a compreenso do esquema de segurana. A diviso em n-
veis hierrquicos facilita o desenvolvimento, a implementao e o gerenciamento
de segurana de todas as conexes em um ambiente cooperativo. Essa diviso auxi-
lia tambm na definio das protees necessrias para os trs tipos de recursos
identificados na seo anterior (pblicos, privados e internos).
A segmentao da defesa pode ser feita em cinco nveis hierrquicos, de acordo
com os conceitos e as tecnologias apresentados durante o livro, e que devem fazer
parte de um ambiente cooperativo. O firewall cooperativo, apresentado na seo
anterior, uma arquitetura de segurana que, em conjunto com os cinco nveis
hierrquicos propostos, ajuda a facilitar a definio e a implementao das medidas
de segurana necessrias.
Os nveis hierrquicos de defesa definidos compreendem as regras de filtragem e
tambm as autenticaes que devem ser realizadas para o acesso aos recursos da
organizao. Os cinco nveis formam uma barreira gradual, na qual o nvel inferior
representa uma barreira contra ataques mais genricos. A filtragem atinge uma
maior granularidade de acordo com o aumento hierrquico do nvel de defesa, que
vai cada vez mais se posicionando em direo rede interna da organizao. Isso
pode ser observado na Figura 13.10.
Figura 13.11 As aes em cada nvel hierrquico de defesa.
Pode-se notar, neste exemplo, que o 2o nvel hierrquico o ponto em que os

recursos externos considerados pblicos so acessados, ou seja, o acesso pblico
passa por esse nvel hierrquico, alm de passar tambm pelo primeiro nvel hierr-
quico de defesa, que inerente a todos os tipos de conexes. O acesso aos recursos
Figura 13.10 A granularidade dos nveis hierrquicos de defesa. internos precisam passar, necessariamente, pelos nveis hierrquicos 1, 3, 4 e 5.
Essa diferenciao faz com que as confuses sejam minimizadas, como a dvida
Na Figura 13.11, pode-se observar as aes que so tomadas em cada um desses sobre onde e em que ordem devem ser definidas e implementadas as regras de
nveis hierrquicos. As filtragens so realizadas nos nveis 1, 3 e 5 e os nveis 2 e 4 filtragem. Nas sees a seguir, esto descritas as aes realizadas em cada um dos
so referentes s autenticaes dos usurios. nveis de defesa.
428 429
13.5.1 Primeiro nvel hierrquico de defesa 13.5.2 Segundo nvel hierrquico de defesa
Essa primeira linha de defesa a responsvel pela filtragem dos pacotes TCP/IP, O segundo nvel hierrquico de defesa o responsvel pela autenticao dos
antes de serem encaminhados aos nveis hierrquicos 2 ou 3. Todos os tipos de usurios que acessam os servios pblicos localizados na DMZ, como pode ser visto
conexes passam, necessariamente, por essa linha de defesa, sendo permitidos so- na Figura 13.13. No existem regras de filtragem nesse nvel. A utilizao da auten-
mente os pacotes referentes a servios pblicos disponveis na DMZ e a canais de ticao no sempre obrigatria, como acontece nos casos de servios pblicos
respostas dos servios disponveis para os usurios internos, bem como pacotes como a Web e o FTP annimo. Alguns dos servios que necessitam desse segundo
IPSec dos tneis de VPN. Um ponto a ser considerado que o muro das figuras que nvel de defesa so o FTP no annimo e o acesso pela Web a informaes particu-
sero vistas a seguir pode ser constitudo por filtros de pacotes, filtro de pacotes lares, que exigem uma autenticao do usurio para que o acesso seja liberado.
baseado em estados ou tambm pelos proxies. Esse servidor Web pode tambm se comunicar com o banco de dados residente
Esse primeiro nvel hierrquico (Figura 13.12) destinado a descartar pacotes na segunda DMZ, no qual as informaes esto localizadas efetivamente. As regras
de servios que no so permitidos e no so fornecidos. Com isso, as implicaes de filtragem que controlam esse acesso entre o servidor Web e o banco de dados so
de segurana so minimizadas e a utilizao da largura de banda da rede da organi- definidas pelo terceiro nvel de defesa.
zao otimizada. Esse tambm o nvel responsvel pela proteo contra ataques
ao protocolo TCP/IP, tais como IP Spoofing e SYN Flooding. A proteo contra o
Smurf tambm realizada neste nvel.
Figura 13.13 O segundo nvel hierrquico de defesa.
13.5.3 Terceiro nvel hierrquico de defesa

Figura 13.12 O primeiro nvel hierrquico de defesa.
A complexidade das regras de filtragem reside no terceiro nvel hierrquico de
defesa. por meio do conjunto de regras desse nvel que os usurios tero acesso
430 431
apenas s informaes e aos servios pertinentes a ele. Esse nvel cuida da porta de diviso das regras de filtragem em diversas cadeias, cada uma correspondendo a
entrada da rede interna da organizao e pode ser dividido em duas partes: as uma organizao integrante do ambiente cooperativo.
regras de filtragem para a segunda DMZ e as regras para o acesso rede interna da
organizao (Figura 13.14). 13.5.4 Quarto nvel hierrquico de defesa
A quarta linha de defesa refere-se autenticao dos usurios para o acesso aos
servios e s informaes internas da organizao. Esse nvel de defesa trata da au-
tenticao, como se ela estivesse sendo realizada pelos usurios que esto fisicamen-
te na organizao (Figura 13.15). A partir desse nvel hierrquico, portanto, a segu-
rana se baseia na proteo existente internamente organizao, como as senhas
para o acesso a sistemas internos. Nenhuma filtragem realizada nesse nvel e toda a
autenticao pode ser feita em conjunto com a autoridade certificadora, de modo que
os recursos sejam acessados de acordo com os certificados digitais de cada usurio.
Figura 13.14 O terceiro nvel hierrquico de defesa.
As regras de filtragem para a segunda DMZ so definidas de modo que, nesse

exemplo, o banco de dados pode ser acessado somente pelo servidor Web da primei-
ra DMZ, e a autoridade certificadora (CA) pode ser acessada apenas pelo dispositivo
de VPN. Isso faz com que as informaes e os recursos importantes, localizados
nessa segunda DMZ, sejam bem protegidos, e ao mesmo tempo possam ser acessados
pelos usurios externos.
As regras para o acesso rede interna devem ser definidas de modo que somente
Figura 13.15 O quarto nvel hierrquico de defesa.
os usurios autenticados passem por esse nvel de defesa, bem como para garantir
que esses usurios autenticados acessem somente os recursos a que so explicita-
mente permitidos. Com isso, pode-se perceber que grande parte da complexidade da 13.5.5 Quinto nvel hierrquico de defesa
segurana reside nesse nvel, e importante uma abordagem em cadeias, como a O quinto nvel hierrquico de defesa refere-se ao acesso e ao controle dos usu-
que utilizada pelo iptables (Seo 13.3.3). Como foi visto, a abordagem refere-se rios que esto acessando a rede interna da organizao, como pode ser visto na
432 433
Figura 13.16. Esse nvel pode ser considerado como um firewall interno, com a * Recursos internos: primeiro, terceiro, quarto e quinto nveis hierrquicos de
adio de sistemas de deteco de intruso (IDS) para o monitoramento das ativida- defesa.
des dos usurios. Um funcionrio do departamento de manufatura, por exemplo,
no pode ter acesso s informaes do setor financeiro, de modo que esse acesso Com essa relao entre os recursos a serem protegidos e os nveis hierrquicos
deve ser bloqueado. de defesa responsveis pela proteo, v-se que a definio das medidas de segu-
Assim, o controle realizado internamente, e pode ser realizado tambm em rana e das regras de filtragem mais fcil de ser compreendida. Assim, as regras de
conjunto com a autoridade certificadora nos casos em que os usurios necessitam filtragem podem ser planejadas e criadas com mais controle, pois a visualizao em
de autenticao. nveis tambm auxilia na diminuio de possveis confuses que porventura pos-
sam vir a acontecer. Alm disso, utilizar uma abordagem semelhante utilizada
pelo iptables, que pode utilizar uma cadeia especfica para cada elemento do ambi-
ente, tambm ajuda a diminuir a complexidade envolvida nas regras de filtragem.
Alm das regras de filtragem, os demais componentes de segurana tambm
devem ser bem entendidos para que possam ser utilizados de uma forma mais efici-
ente. Isso envolve a compreenso dos riscos envolvidos com cada aspecto de segu-
rana, para que o mecanismo de defesa condizente com cada situao encontrada
possa ser implementado. A prxima seo trata dessa importante questo, que o
gerenciamento da complexidade de segurana.
13.6 MODELO DE TEIAS

O prximo passo, depois de definir a estratgia de defesa, implementar a polti-
ca de segurana e tornar a organizao parte de um ambiente cooperativo o
gerenciamento da complexidade da segurana. Durante a leitura deste livro, foi
possvel verificar que a segurana constitui um processo contnuo, no qual impor-
tante mensurar quantitativamente e qualitativamente todos os aspectos relaciona-
dos proteo dos recursos da organizao.
Um dos maiores desafios envolvidos com a segurana a identificao de todos
os pontos que devem ser tratados, e a definio dos nveis de segurana de cada um
deles. O desafio surge, justamente, devido complexidade da segurana, que envol-
Figura 13.16 O quinto nvel hierrquico de defesa.
ve aspectos humanos, culturais, sociais, tecnolgicos, legislativos, de processos e
de negcios, que devem ser tratados com o mais absoluto cuidado. O gerenciamento
13.5.6 Os nveis hierrquicos de defesa na proteo da segurana, ento, torna-se difcil, principalmente porque no se pode gerenciar
dos recursos o que no se conhece.
De acordo com a diviso dos tipos de recursos, vista na Seo 13.4, os seguintes Assim, aps conhecer os conceitos, as tcnicas e as tecnologias de segurana,
nveis hierrquicos de defesa podem ser utilizados para a proteo dos trs tipos de necessrio saber entender e mensurar os aspectos de segurana da organizao, a
recursos definidos (pblicos, privados e internos): fim de que a segurana se torne gerencivel.
O gerenciamento da segurana prover condies para que a organizao obte-
* Recursos pblicos: primeiro nvel hierrquico de defesa. nha um grande diferencial competitivo, seja pelas medidas de segurana que po-
* Recursos privados: primeiro e segundo nveis hierrquicos de defesa. dem ser definidas ou pelo completo entendimento da situao de segurana da
434 435
organizao por todos. Para que isso seja possvel de ser alcanado, importante conceitos sero apresentados nas prximas sees, nas quais a figura gerada pelo
ter uma metodologia segundo a qual seja possvel identificar todas as entidades que modelo apresentada na Seo 13.6.2. As sete fases definidas sero apresentadas
influem no nvel de segurana da organizao. A metodologia deve no apenas na Seo 13.6.3, e a maneira de interpretar a figura ser discutida na Seo 13.6.4.
identificar, mas tambm ser capaz de mensurar o nvel de segurana de cada entida- Assim, o Modelo de Teias composto pelos seguintes elementos:
de identificada. Alm disso, deve ser capaz de propor solues e, o mais importante,
fazer com que todos da organizao, desde o mais comum dos usurios at o diretor, * Figura do Modelo de Teias, que indica os nveis de segurana atual, a desejada
possam entender e visualizar a situao da organizao. Afinal de contas, a busca e a diferena entre as duas situaes (a real e a desejada).
por um ambiente cada vez mais seguro requer a participao de todos, e no apenas * Elementos de segurana (um framework, Seo 13.6.3.1).
dos profissionais de segurana e dos executivos. * Roadmap de medidas de segurana para diminuir a diferena entre os nveis
O desenvolvimento dessa metodologia faz parte do futuro, porm, o Modelo de de segurana atual e a desejada.
Teias j apresenta alguns dos elementos necessrios para que a segurana se torne * Sete fases que criam a figura.
de fato gerencivel. O modelo parte do resultado de diversas experincias nas
quais, principalmente em grandes ambientes, os aspectos de segurana relevantes 13.6.2 A figura do modelo de teias
no so tratados com sua devida importncia. Ele procura facilitar a compreenso
A figura tem como objetivo tornar as consideraes de segurana mais compre-
dos problemas envolvidos e tambm da implementao da segurana. Ainda h
ensveis para todos os envolvidos, independentemente de seu nvel tcnico e hie-
muito a ser desenvolvido, mas possvel verificar a idia geral do conceito, que
rrquico. Ela ser a base do Modelo de Teias. Uma instncia dessa figura pode ser
espera, por meio desse modelo, contribuir para o desenvolvimento dos assuntos
vista na Figura 13.17 e detalhes da viso hierrquica oferecida pelas figuras do
relacionados ao gerenciamento da complexidade da segurana.
modelo podem ser observados na Seo 13.6.5.
13.6.1 Os elementos
O modelo proposto constitudo por sete fases e uma figura, tendo cada uma
das fases um papel fundamental no modo como a segurana deve ser trabalhada. As
sete fases definidas ajudam na elaborao da estratgia de segurana (se o prprio
modelo no for a estratgia de segurana), minimizando as chances de algum as-
pecto ser esquecido.
A finalizao das sete fases gera, como resultado, uma relao de medidas de
segurana que devem ser implementadas em cada recurso, para que o nvel ideal
seja alcanado. Alm disso, possvel obter uma visualizao clara, pela figura do
modelo, do nvel de segurana de diferentes entidades (por exemplo, organizao,
departamentos, sees, reas, salas) e de diferentes recursos (por exemplo, firewall, Figura 13.17 A figura do Modelo de Teias.
roteador, servidor extranet, servidor de e-mail).
Esse nvel de segurana definido pelo modelo tem como base a relao existente possvel ver, nessa figura, os elementos que compem o modelo:
entre os diferentes elementos de segurana (Seo 13.6.3.1) relacionados com cada
recurso. J o nvel de segurana de cada entidade pode ser estabelecido de acordo * A figura: representa o prprio Modelo de Teias e a base para os outros
com o nvel de segurana de cada recurso que compe essa entidade, assegurando, elementos do modelo.
assim, uma viso hierrquica do nvel de segurana da organizao. Em outras * Os elementos de segurana: so os elementos analisados para a definio do
palavras, uma entidade pode dispor de diversos recursos, que tm seus nveis de nvel de segurana do recurso. Na Figura 13.17, existem oito elementos de
segurana medidos de acordo com os elementos de segurana relacionados. Esses segurana.
436 437
* A situao atual: significa o nvel de segurana atual do recurso, representa- dessas fases englobam uma srie de subfases, ou seja, elas representam um captulo
do pelo trao preto da Figura 13.17. parte na rea de segurana, e no sero discutidas com detalhes. As anlises de
* A situao desejada: faz referncia ao nvel de segurana ideal e que deve ser segurana e as avaliaes de riscos, por exemplo, merecem um livro parte, que
alcanado pelo recurso, representado pelo trao cinza da Figura 13.17. mostre os diversos aspectos e fatores que devem ser levados em considerao, quan-
* O espao entre o trao preto e o cinza: representa as medidas de segurana do se busca um resultado suficientemente condizente com a realidade.
que devem ser implementadas para que seja alcanado o nvel de segurana As sees a seguir discutem cada fase do Modelo de Teias.
desejado.
13.6.3.1 Fase 1 Definio dos elementos de segurana
possvel ver, no centro da Figura 13.17, o recurso que est sendo analisado e
A primeira fase do Modelo de Teias tem como objetivo definir um framework de
alguns dos elementos de segurana que devem ser avaliados. O trao preto represen-
elementos de segurana, que ser utilizado pelas fases posteriores. Pode-se consi-
ta a situao atual, enquanto o trao cinza representa a situao desejada para o
derar que um elemento de segurana pode ser definido quando h condies de que
recurso. No exemplo, quatro nveis de segurana foram definidos, nmero esse que
seja avaliado, analisado e quando exerce influncia direta no nvel de segurana de
pode ser diferente, de acordo com o recurso envolvido ou com a poltica da organi-
um determinado recurso. A anlise de segurana (Fase 3) de cada recurso (definido
zao. A Seo 13.6.3.8 apresenta uma discusso sobre esses diferentes nveis de
na Fase 2) ser realizada de acordo com os elementos de segurana relacionados,
segurana que podem ser utilizados.
definidos nessa primeira fase.
O espao entre os dois traos (preto e cinza) representa os riscos do recurso.
Um exemplo de framework de elementos de segurana pode ser visto na Tabela 13.1.
Quanto maior for esse espao, mais eficientes so as medidas de segurana que
devem ser implementadas, e, conseqentemente, maiores sero os esforos necess- Tabela 13.1 Framework de elementos de segurana.
rios para a proteo adequada desse recurso. Por exemplo, na Figura 13.17 pode-se
Senha
verificar que o Elemento 8 tem o nvel de segurana 1 (trao preto), e o nvel de Controle de acesso
segurana desejado (trao cinza) o nvel 4. As medidas de segurana para a eleva- Status dos patches de segurana
Segurana fsica
o do nvel de segurana de 1 para 4 tm como base o espao existente entre os Portas abertas do sistema
dois traos. Arquitetura
Procedimentos de segurana
Resposta a ataques
Vulnerabilidades
13.6.3 As sete fases do modelo Verses do sistema operacional/servios
As sete fases que determinam as tarefas a serem realizadas para que o modelo
seja criado so:
13.6.3.2 Fase 2 Definio dos recursos
* Fase 1: definio dos elementos de segurana. A segunda fase do Modelo de Teias responsvel pela definio dos recursos.
* Fase 2: definio dos recursos da organizao. Tudo que faz parte dos ativos da organizao, e que deve ser analisado, precisa ser
* Fase 3: anlise da segurana. determinado nesta fase. No exemplo da Figura 13.18, pode-se ver o Recurso 5 espe-
* Fase 4: classificao dos recursos. cificado. Alguns exemplos de recursos so: firewall, roteador, servidor extranet, ser-
* Fase 5: avaliao dos riscos. vidor de e-mail, banco de dados.
* Fase 6: definio do nvel de segurana desejado. Como ser visto na Seo 13.6.5, possvel obter, por meio do conjunto de
* Fase 7: definio das medidas de segurana a serem implementadas. recursos, uma viso hierrquica da situao da organizao quanto segurana, o
que resulta em grandes benefcios.
interessante notar que essas fases resumem bem o modo como devemos traba-
lhar com a segurana, constituindo at mesmo uma estratgia de trabalho. Algumas
438 439
13.6.3.4 Fase 4 Classificao dos recursos

A quarta fase retrata na figura do Modelo de Teias, em preto, o nvel de seguran-
a de cada elemento do recurso. Esse trao preto pode ser visto na Figura 13.20.
Pode-se observar, no exemplo, que o Elemento 1 tem nvel de segurana 3, enquan-
to o Elemento 4 tem nvel 1. Consideraes sobre a definio dos nveis de seguran-
a podem ser vistas na Seo 13.6.3.8.
Figura 13.18 O Recurso 5 definido pela Fase 2 do Modelo de Teias.
13.6.3.3 Fase 3 Anlise de segurana

Essa fase compreende a parte tcnica do Modelo de Teias. A anlise de segurana
realizada em cada um dos elementos de segurana definidos na Fase 1, que so relacio-
nados com cada um dos recursos, que, por sua vez, foram especificados na Fase 2.
Considerando como exemplo a Figura 13.19, a anlise de segurana deve ser
realizada no recurso, levando em considerao todos os elementos aplicveis nesse
recurso (elementos de 1 a 8). Ferramentas de segurana, conhecimentos tcnicos e
Figura 13.20 O nvel de segurana tracejado em preto no Modelo de Teias.
entrevistas so algumas das tarefas envolvidas nesta fase.
Essa fase crucial, pois, em caso de erro, uma falsa sensao de segurana pode
ser gerada. E quando a situao superestimada, como resultado de uma anlise
mal feita (Fase 3), esforos desnecessrios sero gastos na definio e implementao
das medidas de segurana (definidas na Fase 7).
Essa classificao da situao atual deve ser sempre revista, pois uma nova
vulnerabilidade pode ser descoberta, ou uma nova tcnica de ataque pode ser de-
senvolvida a qualquer momento. Isso significa que, o que considerado seguro
hoje, pode no ser seguro amanh, exigindo, portanto, uma vigilncia constante.
13.6.3.5 Fase 5 Avaliao dos riscos

O objetivo desta fase mensurar os riscos envolvidos com cada recurso analisado.
Figura 13.19 Os oito elementos do recurso que devem ser analisados no Modelo de Teias.
A experincia e o conhecimento da cultura da organizao consistem em um ponto-
A experincia e o conhecimento do profissional so essenciais nesta fase, por- chave nesta fase, pois sem isso no possvel avaliar os riscos adequadamente.
que sem isso falhas e vulnerabilidades podem ser esquecidas, subestimadas ou su- Quando um grande risco considerado pequeno, e vice-versa, o resultado pode
perestimadas. Uma anlise contendo erros compromete seriamente as fases posteri- ser riscos e desperdcio de esforos.
ores, por no fornecer uma viso real da situao do recurso.
13.6.3.6 Fase 6 Definio do nvel de segurana desejado
Essa fase representada pelo trao em cinza da figura do Modelo de Teias (Figura
13.21), que tracejado de acordo com a avaliao de riscos (Fase 5), combinado
440 441
com a importncia do recurso para a continuidade dos negcios da organizao. Se, possvel ver o Modelo de Teias aps a finalizao das sete fases, na qual so
por exemplo, a indisponibilidade do recurso representa um impacto nos negcios, definidas as dez medidas de segurana do Elemento 8.
ento, o nvel de segurana desejado para esse recurso deve ser grande. interes-
sante notar que, mais do que uma segurana eficiente, um elevado nvel de segu-
rana significa que a disponibilidade do recurso fundamental para a organizao.
Figura 13.21 O nvel de segurana desejado est em cinza no Modelo de Teias.
Outro aspecto que deve ser analisado antes de o nvel de segurana desejado ser
definido diz respeito aos custos envolvidos para que o recurso fique protegido ade-
quadamente. Se os custos para elevar o nvel de segurana do recurso forem muito
altos, talvez seja melhor manter o atual nvel de segurana do recurso. Porm, isso
deve ser avaliado cuidadosamente, considerando a implicao que poder acarretar Figura 13.22 As medidas de segurana definidas para melhorar o nvel do Elemento 8.
no ambiente como um todo. No se pode esquecer de que uma parte ineficiente
pode comprometer toda uma organizao, caso ela seja afetada, porm os riscos
13.6.3.8 Os nveis de segurana do Modelo de Teias
devem ser assumidos eventualmente.
Os nveis de segurana do Modelo de Teias podem ser definidos de acordo com a
capacidade e a necessidade da organizao. Algumas organizaes podem estabele-
13.6.3.7 Fase 7 Definio das medidas de segurana a cer um modelo com quatro ou cinco nveis de segurana, enquanto outras podem
serem implementadas utilizar um mtodo mais avanado de definio dos nveis, como, por exemplo,
Aps a figura do Modelo de Teias estar completa, possvel verificar qual a tendo como base nveis tridimensionais ou nveis sem um ponto fixo, contnuo ou
distncia que pode existir entre o trao preto (nvel de segurana atual) e o trao bem determinado.
cinza (nvel desejado). O fator primordial na especificao desses nveis que eles dependem essencial-
Nesta fase, so especificadas as medidas de segurana que devem ser tomadas para mente da experincia e do conhecimento do profissional. Isso acontece porque um
que essa distncia seja eliminada. E, nesse ponto, um bom conhecimento e entendi- profissional pode considerar que um recurso tem um nvel adequado de proteo,
mento das tcnicas e tecnologias de segurana disponveis so fundamentais. enquanto, na realidade, ele no conhece as vulnerabilidades do recurso. E mesmo
Com isso, ser possvel definir a melhor soluo que contemple a necessidade da essa definio inicial pode sofrer alteraes durante o ciclo de segurana do recur-
organizao. Sero essas medidas que iro ditar os prximos passos rumo a um so, de acordo com o grau de familiaridade que o profissional for adquirindo.
ambiente mais seguro, mais confivel e com mais disponibilidade. Na Figura 13.22, Outro fator importante que a classificao dos nveis de segurana de cada
recurso no sempre a mesma, ou seja, ela sofre alteraes constantes, medida
442 443
que a experincia do profissional aumenta e novas vulnerabilidades vo sendo en-

contradas ou novas tcnicas de ataques so desenvolvidas. E pode-se dizer que esse
um fato corriqueiro no mundo da segurana.
13.6.4 Interpretando o Modelo de Teias

Foi observado, at agora, que a anlise de segurana realizada em diversos
elementos de segurana relacionados com cada recurso. Porm, pode-se perceber
que alguns elementos podem ter um menor nvel de segurana, enquanto outros
apresentam um nvel mais alto. Isso dificulta a classificao do recurso como um
todo, quanto sua segurana. Se um recurso tiver diversos elementos com um nvel
Figura 13.23 A concavidade, a convexidade e a rea do trao preto representam o nvel de
elevado de segurana e um nico elemento com um nvel inferior, ainda assim, o segurana do recurso.
recurso deve ser considerado desprotegido, pois ele precisa ser classificado de acor-
do com o seu menor nvel de segurana, que onde existe a maior possibilidade de
13.6.5 Abstraindo o Modelo de Teias
um ataque. Analisando esse fato de maneira mais consistente, outro recurso pode
ter dois elementos com um baixo nvel de segurana. Ser que ele deve ser conside- O modelo pode ser abstrado em diversos planos, pois cada um deles pode repre-
rado mais inseguro do que o recurso anterior, que possui apenas um nico elemento sentar uma camada hierrquica da organizao. Essa possibilidade do modelo per-
com baixo nvel? mite que, por exemplo, o nvel de segurana da organizao seja classificado de
Essa questo pode ser resolvida facilmente pelo Modelo de Teias, no qual, como acordo com os nveis de cada departamento, que por sua vez classificado de acordo
demonstrado em sua figura, o nvel de segurana de cada recurso pode ser classi- com o nvel de cada recurso existente no departamento, que por sua vez classifi-
ficado, considerando-se dois aspectos: cado de acordo com a anlise de cada um dos elementos de segurana relacionado.
Os benefcios gerados por essa viso hierrquica so muitos, pois faz com que
* Concavidade/convexidade da figura. todos da organizao possam entender facilmente a situao de segurana de seu
* rea da figura. departamento, por exemplo. J o administrador de banco de dados pode saber sobre
o nvel de segurana do recurso que ele administra, enquanto o diretor passa a ter
possvel ver, na Figura 13.23, que o trao preto tem pontos de concavidade e uma viso sobre a situao da organizao. Sem essa viso, a dificuldade em traba-
convexidade. A concavidade importante, porque mostra a equivalncia entre os lhar nos aspectos de segurana sempre maior.
nveis de segurana dos elementos que compem o recurso. A convexidade pode ser Essa viso hierrquica gerada pelo Modelo de Teias, que torna o gerenciamento
interpretada como um sinal no muito bom, porque significa que um dos elementos da segurana mais compreensvel, pode ser observada nas figuras 13.24, 13.25 e
tem um nvel de segurana menor que os outros elementos. Se ele tiver um nvel 13.26. possvel verificar que a organizao constituda por diversos setores
menor, pode ser atacado com maior facilidade, significando, portanto, que o recurso (Figura 13.24). Uma abstrao maior pode ser vista na Figura 13.25, na qual o nvel
em si no tem um nvel adequado de segurana. Porm, uma figura na qual o trao de segurana do setor classificado de acordo com os recursos nele existentes. J a
preto apresenta concavidade no pode ser automaticamente considerada segura, Figura 13.26 mostra o nvel de segurana do recurso, que depende da anlise de
pois essa concavidade pode ser caracterstica tambm de recursos nos quais todos todos os elementos de segurana relacionados.
os seus elementos tm um baixo nvel de segurana.
por isso que outro aspecto deve ser considerado, que a rea da figura. Quanto
maior for a rea da figura, maior ser o nvel de segurana do recurso. Obtendo-se
informaes sobre a concavidade e a rea do trao da figura, possvel classificar o
recurso como seguro ou no.
444 445
13.6.6 Como gerenciar a segurana utilizando o

Modelo de Teias
O principal ponto a ser considerado que no se pode gerenciar o que no se
conhece, e isso faz com que seja essencial que o profissional tenha uma viso e
conhecimento do que a organizao tem, de todos os aspectos envolvidos e de tudo
o que deve ser analisado.
O Modelo de Teias oferece a visualizao e as informaes primordiais para um
gerenciamento adequado da segurana da organizao. Por meio desse modelo, no
apenas o profissional de segurana, mas tambm todos os tipos de profissionais da
organizao, dos executivos aos tcnicos, podem ter uma viso do nvel de seguran-
Figura 13.24 A organizao tem diversos setores.
a da organizao.
A partir dessa viso possvel identificar os pontos de falha, que merecem toda
a ateno para serem eliminados.
No exemplo mostrado a seguir, a organizao fictcia COO constituda pelos
departamentos que podem ser vistos na Figura 13.27. Essa figura pode ser apresen-
tada para os executivos da organizao, pois mostra, de maneira macro, a situao
de segurana de toda a organizao e tambm de cada departamento. Pelo exemplo,
o departamento de Engenharia tem o nvel de segurana 2, que deve ser melhorado
at que o Nvel 4 seja alcanado.
Figura 13.25 O Setor 3 tem diversos recursos.
Figura 13.27 Os departamentos da organizao COO.
Os departamentos, por sua vez, so constitudos por diversos setores. No exem-

plo da Figura 13.28, o setor de banco de dados do departamento de Tecnologia est
no nvel de segurana 2, e deve melhorar at chegar ao Nvel 4. Essa figura pode ser
utilizada pelos gerentes de cada departamento, para demonstrar os nveis de segu-
Figura 13.26 O Recurso 7 tem diversos elementos de segurana.
rana de cada setor que est sob sua responsabilidade.
446 447
Figura 13.28 Os nveis de segurana dos setores do departamento de tecnologia.
A prxima figura (Figura 13.29) mostra o nvel de segurana de cada recurso do

setor de Banco de Dados, que fez com que o setor fosse classificado no Nvel 2 de
segurana. O Servidor 3, por exemplo, est bem protegido, enquanto o Servidor 2
precisa ter segurana melhor. Essa figura importante para os chefes de cada setor,
por exemplo, que podem identificar os nveis de segurana dos recursos sob sua
responsabilidade. Essa figura ainda no mostra os aspectos tcnicos relacionados
com cada recurso.
Figura 13.30 Os elementos de segurana definem o nvel do servidor.
O gerenciamento da segurana por meio do uso do Modelo de Teias constitui um

processo constante, como o caso da prpria segurana. Os nveis de segurana
mudam freqentemente, e as medidas a serem adotadas em busca de um avano
podem ser definidas com mais exatido e mais eficincia, aps a execuo das sete
fases definidas pelo modelo.
possvel verificar na Figura 13.31 que, com o Modelo de Teias, passam a existir
todos os elementos para um gerenciamento adequado. O nvel de segurana atual e o
nvel de segurana adequado desejados esto claramente indicados, e as medidas de
Figura 13.29 Os recursos do setor de banco de dados no Modelo de Teias.
segurana para que esse nvel seja alcanado podem facilmente ser visualizadas em
uma nica figura. Com isso, as chances de falhas ou esquecimentos so minimizadas,
A Figura 12.30 pode ser utilizada pelos profissionais de nvel tcnico, que a utili- o que essencial quando se trabalha com a segurana dos recursos da organizao.
zaro para melhorar o nvel de segurana de cada recurso. No exemplo, todos os Com todas essas informaes oferecidas pelo Modelo, pode-se perceber que o
elementos de segurana relacionados com o Servidor 2 foram analisados, de modo que que era difcil de gerenciar, se torna, pelo menos, gerencivel. Sem essas informa-
o Modelo de Teias pode ser desenhado. A avaliao de risco tambm foi realizada para es, a falha em reconhecer como a organizao est exposta a brechas de segu-
a definio do nvel de segurana desejado para o servidor. As medidas de segurana rana em seus recursos pode provocar aes criminais e civis, alm da divulgao de
necessrias tambm podem ser visualizadas pelo modelo. No exemplo, as medidas de notcias perigosas e embaraosas para o pblico e os investidores. Alm disso, a
segurana para melhorar o nvel da senha de 1 para 4 foram definidas. Para cada um visualizao hierrquica resultante da aplicao do modelo faz com que todos pas-
dos elementos de segurana, as medidas de segurana necessrias so definidas. sem a entender e trabalhar em prol de uma organizao cada vez mais segura.
448
Concluso
O mundo em que vivemos evolui constantemente, com novas

tecnologias trazendo diversos benefcios para as pessoas, como pode
ser observado com as tecnologias sem fio, por exemplo. As pessoas
ganham em produtividade, acessibilidade e desfrutam das facilida-
des obtidas com a mobilidade. Porm, como ocorre com tudo o que
Figura 13.31 O Modelo de Teias completo.
novo, seja uma tecnologia, um negcio ou um relacionamento, os
riscos devem ser avaliados e minimizados.
13.7 CONCLUSO Quando um ambiente cooperativo analisado (captulos 2 e 12),
toda sua complexidade de conexes e os nveis diferentes de aces-
Este captulo apresentou um modelo de segurana para ambientes cooperativos. sos que devem ser gerenciados fazem com que os riscos sejam mul-
Por intermdio do exemplo do conjunto de regras de filtragem definido para o LAS- tiplicados, pois cada componente possui seus riscos. Com isso, a
IC-Unicamp, foi possvel verificar que a complexidade que envolve as conexes
interao entre diferentes componentes invariavelmente altera o
muito grande, tornando sua definio e implementao passveis de erros. Trs nvel de segurana do ambiente como um todo, de modo que um
elementos principais formam o modelo de segurana: o firewall cooperativo, que a C
ambiente considerado seguro hoje no pode mais ser considerado
arquitetura que integra os conceitos e as tecnologias de segurana necessrios; o a seguro caso exista uma alterao em seus componentes (modifica-
modo de manipulao das regras de filtragem utilizado pelo iptables, com base em p o, incluso, remoo).
cadeias; os cinco nveis hierrquicos de defesa, que facilitam a compreenso das
medidas de segurana a serem adotadas.
Alm dos problemas envolvidos com novas interaes, novas
vulnerabilidades de componentes do ambiente tambm constituem
Pela combinao desses trs elementos, a definio da estratgia de segurana t
um srio problema. Bugs, erros de configurao e de implementao,
em um ambiente cooperativo torna-se mais clara e compreensvel, minimizando u seja de sistemas operacionais, de protocolos, de servios ou de apli-
assim a possibilidade de erros de anlise, a definio e implementao das medidas
l caes, podem ser exploradas para a realizao de ataques que po-
de segurana necessrias. Um futuro modelo para o gerenciamento da complexidade dem resultar em acessos indevidos aos sistemas, com perda de sigi-
de segurana tambm foi discutido neste captulo: o Modelo de Teias. o
lo, integridade e autenticidade das informaes. A conseqncia
14 pode ser to simples como algum saber quais sites Web o usurio
est acessando, como tambm pode ser extremamente perigosa e
SEGURANA DE REDES EM AMBIENTES COOPERATIVOS Captulo 14: Concluso
450 451
custosa, como a captura de senha de Internet Banking de um usurio ou o roubo de tura de chaves pblicas (Captulo 9) e a poltica de segurana (Captulo 6). Diversos
projetos de uma organizao, por exemplo. nveis hierrquicos de defesa (Captulo 13) podem ser definidos, tirando proveito
O livro abordou a importncia da segurana para as organizaes, discutindo as das tcnicas e tecnologias mais adequadas para cada caso.
necessidades (Captulo 3) e os riscos mais comuns. As tcnicas de ataques mais O fato que a segurana complexa, sendo difcil ter que lidar com diferentes
conhecidas foram apresentadas (Captulo 4), bem como os riscos que novas funcio- aspectos, que vo alm da tecnologia, e incluem aspectos de negcios, processos,
nalidades trazem ao ambiente, como o caso das redes sem fio (Captulo 5). humanos, jurdicos, fsicos e culturais. interessante notar que a percepo quanto
A abrangncia dos tipos de proteo e dos nveis que podem ser utilizados para ao nvel de segurana muda de profissional para profissional. Isso ocorre porque, se
a defesa da organizao faz com que um modelo de segurana tenha um papel os riscos no so conhecidos, no existe a preocupao para minimizar esses riscos,
decisivo para que nenhum ponto seja esquecido, subestimado ou deixado de lado. O e logo uma tcnica ou tecnologia de proteo no adotada, uma vez que o profis-
Modelo de Teias foi criado para auxiliar o profissional a estabelecer as diretivas sional tem a percepo de que tudo est em ordem. De fato, achar que tudo est
quanto situao da organizao no que se refere ao nvel de segurana (Captulo bem uma das grandes falcias, o que reforado pela prpria natureza que envol-
13). A grande vantagem obtida pelo Modelo de Teias que as informaes de segu- ve a segurana, que cclica e deve ser constante.
rana podem ser disseminadas pela organizao, contendo informaes relevantes Todos esses fatores fazem com que, quanto maior o entendimento sobre os dife-
tanto para os profissionais tcnicos quanto para os executivos. Alm disso, o mode- rentes aspectos da segurana, melhor seja a proteo que pode ser provida pela
lo possibilita uma organizao dos assuntos relacionados segurana, o que auxilia organizao. O livro buscou auxili-lo nessa misso, discutindo as necessidades, as
na definio de uma estratgia de segurana mais efetiva, pois todos os riscos principais tcnicas de ataque que colocam em risco os negcios das organizaes,
envolvidos podem ser mapeados pelo modelo. Os benefcios so grandes, pois no as principais tcnicas e tecnologias de defesa, e apresentando um modelo de segu-
possvel proteger a organizao contra riscos dos quais no se conhece, e o modelo rana que pode ser adotado como um verdadeiro guia na busca da segurana ideal
auxilia nessa tarefa de mapear os riscos e disseminar essas informaes, tudo base- para a sua organizao.
ado no conhecimento e na experincia do profissional. Entendendo os aspectos que envolvem a segurana da informao, o bom anda-
A grande variedade de tcnicas e tecnologias que podem compor o arsenal de mento dos negcios e o conseqente sucesso da sua organizao podem ser alcan-
defesa da organizao tambm depende do seu correto entendimento e ados. E, alm de entender tudo isso, ter uma viso crtica e uma atitude coerente
implementao. Um firewall (Captulo 7), por exemplo, essencial em uma rede que com relao segurana a melhor forma de obter o sucesso na preservao de sua
possui conexes com a rede pblica. Porm, ele no capaz de defender os recursos organizao. Por isso, tenha sempre a segurana em mente!
que podem ser acessados diretamente, atravs de uma rede pblica. Esse o caso de
servidores Web, por exemplo, nos quais um firewall no pode oferecer uma proteo
adequada. Isso acontece porque o firewall controla as conexes permitidas pelas
regras de filtragem (que atua nos protocolos mais baixos, de rede e de transporte),
e a conexo ao servidor Web sempre permitida, at mesmo as referentes a ataques.
De fato, como explicar o fato de 89% das organizaes usarem firewall e 60% usarem
sistemas de deteco de intruso (Intrusion Detection System IDS), porm 40%
deles sofrerem ataques vindos de uma rede pblica [CSI 02]? A explicao imediata
a de que os ataques atualmente se concentram no nvel superior, da aplicao
Web, portanto fora do alcance da proteo que firewalls normalmente podem ofere-
cer.
Assim, um firewall importante, porm no o nico componente necessrio.
Um sistema de deteco de intruso (Captulo 8) tambm possui um papel funda-
mental, assim como a autenticao (Captulo 11), a criptografia (Captulo 9), as
redes privadas virtuais (Virtual Private Network VPN, Captulo 10), a infra-estru-
Bibliografia
[ABO 01] ABOBA, Bernard. Microsoft. WEP2 Security Analysis. May 2001. 29/01/03.
[ABE 97] ABELSON, Hal; ANDERSON, Ross; BELLOVIN, Steven M.; BENALOH, Josh; BLAZE, Matt;
DIFFIE, Whitfield; GILMORE, John; NEUMANN, Peter G.; RIVEST, Ronald L.; SHILLER, Jeffrey
I.; SCHNEIER, Bruce. The Risks of Key Recovery, Key Escrow, and Trusted Third-Party
Encryption. Final Report: May 27, 1997.
[ADA 99] ADAMS, Carlisle; Lloyd, Steve. Understanding Public-Key Infrastructure Concepts,
Standards, and Deployment Considerations. New Riders. 1999.
[AES 01] Advanced Encryption Standard Home Page. http://www.nist.gov/aes.
[AES 03] National Institute of Standards and Technology (NIST). Advanced Encryption Standard
(AES) Questions and Answers. http://csrc.nist.gov/encryption/aes/
aesfact.html. January 28, 2002. 27/02/03.
[AGE 03] Agncia Estado. Ponto Frio Vende Mais Pela Internet e Telefone. h t t p : / /
www.estadao.com.br/tecnologia/Internet/2003/jan/07/153.htm. 7 de
janeiro de 2003. 19/01/03.
[AGE 03-2] Agncia Estado. Loja na Internet Movimentou 1,3% dos Pacotes dos Correios em 2002.
http://www.estadao.com.br/tecnologia/Internet/2003/jan/03/
54.htm. 3 de janeiro de 2003. 19/01/03.
[ALE 98] ALEXANDER, Steve. Going Above and Beyond the Firewall. July 1998. 14/01/99. http://
www.computerworld.com/home/features.nsf/All/980727intra_proj
[ALE 99] ALEXANDER, Steve. Star Tribune. Modem Security Breach Lets Neighbor learn a Little too
Much. July 10, 1999. 13/07/99. http://www.startribune.com/stOnLine/cgi- bin/
article?thisSlug=cabl10
[ANA 01] ANAND, Nikhil. Sans Institute Information Security Reading Room. An Overview of Bluetooth
Security. February 22, 2001. http://rr.sans.org/wireless/bluetooth.php.
26/12/02.
[ARB 01] ARBAUGH, William A. Department of Computer Science, University of Maryland. Your
802.11 Wireless Network has No Clothes. March 30, 2001.
[ARE 02] ARENSMAN, Russ. Electronic Business Online. Avant! / Cadence Battle Is Finally Over.
http://www.e-insite.net/eb-mag/index.asp?layout=article&
articleid=CA260904. December 1, 2002. 21/02/03.
[ARK 99] ARKIN, Ofir. Network Scanning Techniques Understanding How It Is Done. Publicom
Communications Solutions. November, 1999.
[ARM 01] ARMSTRONG, Illena. Security Computing Magazine. VPNs Overcoming Remaining Hurdles.
http://www.scmagazine.com/scmagazine/2001_07/special.html. July, 2001. 17/07/2001.
SEGURANA DE REDES EM AMBIENTES COOPERATIVOS Bibliografia
454 455
[ARM 01-2] ARMSTRONG, Illena. Security Computing Magazine. Biometrics Is It Making a Splash [BOR 02] BORISOV, Nikita; GOLDBERG, Ian; WAGNER, David. Security of the WEP Algorithm. http:/
Yet?. http://www.scmagazine.com/scmagazine/2001_10/cover/cover.html. October, 2001. /www.isaac.cs.berkeley.edu/isaac/wep-faq.html 18/07/02.
24/10/2001. [BRE 02] BREWIN, Bob. Computerworld. War Flying: Wireless LAN Sniffing Goes Airbone. August 30,
[ARM 01-3] ARMSTRONG, Illena. Secure Computing Magazine. Public Key Infrastructure From Pilot to 2002. 05/09/02.
Production. http://www.scmagazine.com/scmagazine/2001_07/cover/cover.html. July, [BRE 02-2] BREWIN, Bob; VERTON, Dan; DISABATINO, Jennifer. Computerworld. Wireless LANs: Trouble
2001. 17/07/01. in the Air. http://www.computerworld.com/securitytopics/security/
[ARS 99] ARSENAULT A.; TURNER, S. PKIX Working Group. Internet Draft. Internet X.509 Public Key story/0,10801,67344,00.html. Jan 14, 2002. 18/07/02.
Infrastructure PKIX Roadmap. October 22, 1999. http:// www.pca.dfn.de/eng/team/ [BOB 02] BOBBITT, Mike. Information Security Magazine. Inhospitable Hosts. http://
kelm/drafts/draft-ietf-pkix-roadmap-04.txt www.infosecuritymag.com/2002/oct/cover.shtml. October 2002. 05/02/03.
[AVO 94] AVOLIO, F. M.; RANUM, M. J. A Network Perimeter With Secure External Access. Glenwood, [BRA 97] BRANCHAUD Marc. A Survey of Public-Key Infrastructures. Master of Science in Computer
MD: Trusted Information Systems, Incorporated, January, 1994. Science Thesis. McGill University, Montreal: 1997, Department of Computer Science.
[AVO 98] AVOLIO; BLASK. Application Gateways and Stateful Inspection: A Brief Note Comparing [BRE 98] BREZINSKI, Dominique; KAPLAN, Ray. Information Security. (R)evolutionary IDS. November
and Contrasting. January 22, 1998. 16/04/99. http://www.avolio.com/ apgw+spf.html. 1998. 25/01/99. http://www.inforsecuritymag.com/nov/ids.htm
[AVO 99] AVOLIO, Frederick M. Information Security. Cover Story. Firewalls: Are We Asking Too [BRE 99] BREED, Charles. Infosecurity Magazine. PKI: The Myth, the Magic and the Reality. June,
Much? May 1999. 16/06/99. http://www.infosecuritymag.com/may99/ cover.htm 1999. 16/06/99. http://www.infosecuritymag.com/jun99/PKI.htm
[AXE 00] AXELSSON, Stefan. Department of Computer Engineering. Chalmers University of [BRI 98] BRINEY, Andy. Information Security. 1998 Annual Industry Survey. June 1998. 25/01/99.
Technology. Intrusion Detection Systems: A Survey and Taxonomy. March 14, 2000. http://www.inforsecuritymag.com/industry.htm
[B2B 02] B2B Magazine. Tecnologias de Internet Ganham Fora na Amrica Latina. http:// [BRI 99] BRINEY, Andy. Information Security. Inforsecurity: A View From the Frontlines. Febryary
w w w . b 2 b m a g a z i n e . c o m . b r / 1999. 25/02/99. http://www.inforsecuritymag.com/feb99/rndtable.htm
internas_mat.asp?IMG_ID=0&MAT_ID=5136&SEC_ID=2&SSE_ID=32. 17 de [BRI 99B] BRINEY, Andy. Information Security. 99 Survey. July 1999. 07/07/99. http://
dezembro de 2002. 20/01/03. www.infosecuritymag.com/july99/cover.htm
[BAC 99] BACE, REBECCA. An Introduction to Intrusion Detection and Assessment. ICSA, Inc. 1999. [BRI 99C] BRINEY, Andy. Information Security. Secure Remote Access. Remote Security: Sink or Swim?.
[BAR 99] BARRETT, Randy. ZDNet Tech News. Major Unix Flaw Emerges. March 1, 1999. 10/03/99. July 1999. 07/07/99. http://www.inforsecuritymag.com/july99/ secure_remote.htm
http://www.zdnet.com/zdnn/stories/news/0,4586,2217922,00.html [BRU 98] BRUSSIN, David. Information Security. All for One, and One for All. June 1998. 25/ 01/99.
[BAY 98] Bay Networks. Understanding and Implementing Virtual Private Networking (VPN) Services. http://www.inforsecuritymag.com/all-for-one.htm
http://www.baynetworks.com/products/Papers/2746.html. 29/01/99. [BUG 99] BugTraq List. VLAN Security. http://www.securityfocus.com/archive/1/
[BEL 97] BELLOVIN, Steven M. Probable Plaintext Cryptanalysis of the IP Security Protocols. AT&T 26008. September 1, 1999. 17/02/03.
Labs Research. Florham Park, NJ, USA: 1997. [BUG 03] BugTraq List. SecurityFocus. http://www.securityfocus.com/archive/1. 13/
[BEL 97-2] BELLOVIN, Steven M. Probable Plaintext Cryptanalysis of the IP Security Protocols. AT&T 02/03.
Labs Research. Florham Park, NJ, USA: 1997. [BUO 01] BUONOCORE, Kathleen. Selecting an Intrusion Detection System. SANS Institute. August
[BEL 98] BELLOVIN, Steven M. Cryptography and the Internet. CRYPTO 98. AT&T Labs Research. 19, 2001. 30/10/01.
Florham Park, NJ, USA: August 1998. [CAI 01] CAIDA.org. CAIDA Analysis of Code-Red. http://www.caida.org/analysis/security/code-
[BEL 89] BELLOVIN, Steven M. AT&T Bell Laboratories. Security Problems in the TCP/IP Protocol red. October 09, 2001. 28/10/01.
Suite. April 1989. [CAM 98] CAMPBELL, Robert P. Information Security. Planning for Success; Preparing for Failure.
[BEM 01] BENNETT, Larry D. SANS Info Sec Reading Room. Cryptographic Services A Brief Overview. July 1998. 25/01/99. http://www.inforsecuritymag.com/campb.htm
http://www.sans.org/rr/encryption/crypto_services.php. October 10, [CAR 99] CARDEN, Phillip. Network Computing. The New Face of Single Sign-On. March 22, 1999.
2001. 25/02/03. 24/03/99. http://www.techweb.com/se/directlink.cgi?NWC19990322S0013
[BHI 98] BHIMANI, Anish. Information Security. All Eyes on PKI. 25/01/99. October 1998. http:/ [CAR 99-2] CARDEN, Phillip. Network Computing. Border Control: Na Antivirus Gateway Guide. May
/www.infosecuritymag.com/oct/pki.htm 31, 1999. 01/06/99. http://www.techweb.com/se/ directlink.cgi?NWC19990531S0026.
[BIT 98] BITAN, Sarah. Chief Technology Officer. RADGUARD. Hardware Implementation of IPSec: [CER 00] CERT Coordination Center. Carnegie Mellon. Microsoft IIS 4.0/5.0 Vulnerable to Directory
Performance Implications. 18/09/98. http://www.radguard.com/ Traversal via Extended Unicode in URL (MS00-078). http://www.kb.cert.org/vuls/
VPN_hardware_IPSec.html. id/111677. December 4, 2000. 17/02/03.
[BLA 96] BLAZE, Matt; DIFFIE, Whitfield; RIVEST, Ronald L.; SCHNEIER, Bruce; SHIMOMURA, Tsutomu; [CER 01] CERT Coordination Center. CERT Advisory CA-2001-25 Buffer Overflow in Gauntlet Firewall
THOMPSON, Eric; WIENER, Michael. Minimal Key Lengths For Symmetric Ciphers To Provide Allows Intruders To Execute Arbitrary Code. http://www.cert.org/advisories/CA-2001-
Adequate Commercial Security. A Report By An Ad Hoc Group Of Cryptographers And 25.html. September 6. 2001. 28/10/01.
Computer Scientists. January 1996. 24/02/99. http:// www.bsa.org/policy/encryption/ [CER 01-2] CERT Coordination Center. CERT Advisory CA-2001-18 Multiple Vulnerabilities in Several
cryptographers_c.html. Implementations of The Lightweight Directory Access Protocol (LDAP). http://www.cert.org/
[BLU 01] Bluetooth SIG. Specification of The Bluetooth System - Profiles. Version 1.1. Specification advisories/CA-2001-18.html. July 16, 2001. 28/10/01.
Volume 2. February 22 2001. [CER 01-3] CERT Coordination Center. CERT Advisory CA-2001-26 Nimda Worm. http://www.cert.org/
[BLU 02] Bluetooth SIG Security Expert Group. Bluetooth Security White Paper. April 19, 2002. advisories/CA-2001-26.html. September 18, 2001. 28/10/01.
[BLU 03] Bluetooth. The Official Bluetooth Website. http://www.bluetooth.com. 16/12/02. [CER 01-4] CERT Coordination Center. CERT Advisory CA-2001-17 Check Point RDP Bypass Vulnerability.
[BOR 01] BORISOV, Nikita; GOLDBERG, Ian; WAGNER, David. Intercepting Mobile Communications: http://www.cert.org/advisories/CA-2001-17.html. July 12, 2001. 28/10/01.
The Insecurity of 802.11. July 2001. [CER 02] CERT Coordination Center. Carnegie Mellon. CERT Advisory CA-2002-03 Multiple
Vulnerabilities in Many Implementations of the Simple Network Management Protocol
456 457
(SNMP). http://www.cert.org/advisories/CA-2002-03.html. February 12, [CON 01] CONRY-MURRAY, Andrew. Network Magazine. Special Report: Firewalls For All. June 5,
2002. 22/03/03. 2001. 20/02/03.
[CER 03] CERT Coordination Center. Carnegie Mellon - Software Engineering Institute. CERT/CC [COP 99] COPELAND John A. Macintosh DoS Flood Attack. December 29, 1999. Georgia Institute of
Statistics 1988-2002. http://www.cert.org/stats/cert_stats.html. 13/02/ Technology. http://www.csc.gatech.edu/~copeland/macattack/ index.htm.
03. [CRA 02] CRAIGER, J. Philip. SANS Info Sec Reading Room. 802.11, 802.1x, and Wireless Security.
[CER 99-1] CERT Coordination Center. CERT Incident Note IN-99-07. Distributed Denial of Service http://www.sans.org/rr/wireless/80211.php. June 23, 2002. 29/01/03.
Tools. November 18, 1999. 30/01/2000. http://www.cert.org/incident_notes/IN- 99- [CSI 01] Computer Security Institute. 2001 CSI/FBI Computer Crime and Security Survey. Computer
07.html. Security Issues & Trends. Vol. VII, n 1, Spring 2001.
[CER 99-2] CERT Coordination Center. CERT Advisory CA-99-17 Denial-of-Service Tools. December 28, [CSI 02] POWER, Richard. Computer Security Institute (CSI). 2002 CSI/FBI Computer Crime and
1999. 30/01/2000. http://www.cert.org/incident_notes/IN-99-07.html. Security Survey. Computer Security Issues & Trends. Vol. VIII, n. 1. Spring 2002.
[CER 99-3] CERT Coordination Center. Results of the Distributed-Systems Intruder Tools Workshop. [CUM 02] CUMMINGS, Joanne. Network World. From Intrusion Detection to Intrusion Prevention.
Pittsburgh, Pennsylvania USA. November 2-4, 1999. September 23, 2002. 05/02/03.
[CHA 95] CHAPMAN, D. Brent. AWICHY, Elizabeth D. Building Internet Firewalls. OReilly & Associates, [DAMI 00] DAMICO, Anita D. Secure Decisions. What Does a Computer Security Breach Really Cost?
Inc. 1995. September 7, 2000.
[CHE 94] CHESWICK, William R.; BELLOVIN, Steven M. Repelling the Wily Hacker. Addison- Wesley. [DAS 02] DAS, Kumar. SANS Info Sec Reading Room. Protocol Anomaly Detection for Network-Based
1994, April. Intrusion Detection. January 15, 2002. 17/02/03.
[CHE 97] Check Point Software Technologies Ltd. Privacy in Public Networks Using Check Point FireWall- [DAS 02-1] DASGUPTA, Korak. Bluetooth Protocol and Security Architecture Review. http://
1. January 1997. www.cs.utk.edu/~dasgupta/bluetooth/. 18/12/02.
[CHE 98] Check Point Software Technologies Ltd. Stateful Inspection Firewall Technology. 08/ 03/ [DAV 97] DAVIS, Don. Compliance Defects in Public-Key Cryptography. March 10, 1997.
99. http://www.checkpoint.com/products/technology/stateful1.html [DEJ 99] DEJESUS, Edmund. Infosecurity Magazine. No Anxiety at the ANX. April, 1999. 16/ 04/99.
[CHE 98-1] Check Point Software Technologies Ltd. Redefining the Virtual Private Network. March 4, 1998. http://www.infosecuritymag.com/apr99/ANX%20SIDEBAR.htm
[CHE 98-2] Check Point Software Technologies Ltd. Virtual Private Network Security Components A [DEL 02] Delta Farce. Ars Technica, LLC. War Flying. http://www.arstechnica.com/
Technical White Paper. March 23, 1998. wankerdesk/3q02/warflying-1.html. August 28, 2002. 22/01/03.
[CHE 98-3] Check Point Software Technologies Ltd. http://www.checkpoint.com. 04/01/99. [DEL 02-2] Delta Farce. Ars Technica, LLC. War Flying. http://www.arstechnica.com/
[CHE 98-4] Check Point Software Technologies Ltd. Redefining the Virtual Private Network. March 4, wankerdesk/3q02/warflying-3.html. September 05, 2002. 22/01/03.
1998. [DEN 99] DENNING, Dorothy E. Infosecurity Magazine. Whos Stealing Your Information?. April,
[CHE 98-5] Check Point Software Technologies Ltd. Virtual Private Network Security Components A 1999. 16/04/99. http://www.infosecuritymag.com/apr99/cover.htm
Technical White Paper. March 23, 1998. [DID 98] DIDIO, Laura. ComputerWorld. Halt, Hackers !. July 1998. 14/01/99. http://
[CHR 99] CHRISTENSEN, John. CNN Interactive. Bracing for Guerrila Warfare in Cyberspace. March www.computerworld.com/home/features.nsf/all/980727intra_main
29, 1999. 06/04/99. http://www.cnn.com/TECH/specials/hackers/cyberterror [DID 98-2] DIDIO, Laura. ComputerWorld. From Bad to Worse. July 1998. 14/01/99. http://
[CHUN 01] CHUN, Marilyn. Sans Info Sec Reading Room. Authentication Mechanisms Which Is Best? www.computerworld.com/home/features.nsf/All/980727intra_side2
April 5, 2001. 06/03/03. [DIS 02] DISMUKES, Trey. Wireless Security Blackpaper. http://arstechnica.com/paedia/
[CIA 98-19] CIAC. Computer Incident Advisory Capability. U.S. Department of Energy. I-031a: Malformed w/wireless/security-1.html. 19/07/02.
UDP Packets in Denial of Service Attacks. March 6, 1998. http:// ciac.llnl.gov/ciac/bulletins/ [DIT 99-01] DITTRICH, David. The DoS Projects trinoo Distributed Denial of Service Attack Tool.
i-031a.shtml. 29/12/99. University of Washington. October 21, 1999. 02/02/2000. http://staff.washington.edu/
[CIA 98-31] CIAC. Computer Incident Advisory Capability. U.S. Department of Energy. I-019: Tools dittrich/misc/trinoo.analysis.
Generating IP Denial-of-Service Attacks. December 19, 1997. http:// ciac.llnl.gov/ciac/ [DIT 99-02] DITTRICH, David. The Tribe Flood Network Distributed Denial of Service Attack Tool.
bulletins/i-019.shtml. 29/12/99. University of Washington. October 21, 1999. 02/02/2000. http://staff.washington.edu/
[CID 99] Common Intrusion Detection Framework. http://gost.isi.edu/cidf. 30/10/01. dittrich/misc/tfn.analysis.
[CIS 96] Cysco Systems Inc. Defining Strategies to Protect Against TCP SYN Denial of Service Attacks. [DIT 99-03] DITTRICH, David. The Stacheldraht Distributed Denial of Service Attack Tool. University
1996. 08/04/99. http://cio.cisco.com/warp/public/707/4.html of Washington. December 31, 1999. 02/02/2000. http://staff.washington.edu/dittrich/
[CIS 98] Cisco Systems, Inc. Field Notice: Cisco PIX and CBAC Fragmentation Attack. September 11, misc/stacheldraht.analysis.
1998. http://www.cisco.com/warp/public/770/nifrag.shtml. 29/12/99. [DoD 85] Department of Defense. Computer Security Center. Password Management Guideline. CSC-
[CIS 98-2] Cisco Systems, Inc. Building a Perimeter Security Solution with the Cisco IOS Firewall STD-002-85. April 12, 1985.
Feature Set. 1998. [DOJ 01] United States Department of Justice. Lucent Scientists Arrested, Charged with Stealing
[CIS 99] Cysco Systems Inc. Defining Strategies to Protect Against UDP Diagnostic Port Denial of Tech Secrets for Joint Venture with
Service Attacks. 1999. 08/04/99. http://cio.cisco.com/warp/public/707/3.html China-controlled Company. http://www.cybercrime.gov/
[CIS 01] Cisco Systems, Inc. Increasing Security on IP Networks. ComTriadarrest.htm. May 3, 2001. 21/02/03.
[COA 00] COAST. Intrusion Detection Systems. http://www.cerias.purdue.edu/coast/intrusion- [DOJ 02] United States Department of Justice. Disgruntled UBS PaineWebber Employee Charged
detection/ids.html. 02/02/00. with Allegedly Unleashing Logic Bomb on Company Computers. h t tp : / /
[COH 99] COHEN, Frederick B. TCP Packet Fragment Attacks Against Firewalls and Filters. http:// www.cybercrime.gov/duronioIndict.htm. December 17, 2002. 21/02/03.
packetstorm.securify.com/docs/hack/frag.txt. 29/12/99; [DOJ 02-2] United States Department of Justice. Former Computer Network Administrator at New Jersey
[COM 95] COMER, Douglas E. Department of Computer Sciences, Purdue University, West Lafayette, High-Tech Firm Sentenced to 41 Months for Unleashing $10 Million Computer Time Bomb.
IN 47907. Internetworking With TCP/IP Vol I: Principles, Protocols, and Architecture. 3. http://www.cybercrime.gov/lloydSent.htm. February 26, 2002. 21/02/03.
Edition. 1995: Prentice-Hall, Inc.
458 459
[DOJ 03] United States Department of Justice. Ohio Man Attacked NASA Computer System Shutting [GAR 98] GARFINKEL Simson L. Advanced Telephone Auditing with PhoneSweep: A Better Alternative
Down Email Server. http://www.cybercrime.gov/amatoCharged.htm. February to Underground War Dialers. 1999. 27/08/99. http://www.mids.org/ mn/812/sim.html
13, 2003. 21/02/03. [GAR 03] Gartner, Inc. http://www.gartner.com. 27/01/03.
[DOR 02] DORNAN, Andy. Network Magazine. The Most Damaging E-mail Virus of All. December 4, [GAS 02] GAST, Matthew. Wireless LAN Security: A Short History. http://www.oreillynet.com/
2002. http://www.networkmagazine.com/article/NMG20021203S0015. 11/ pub/a/wireless/2002/04/19/security.html. April 19, 2002. 19/07/02.
12/02. [GEU 00] GEUS, Paulo Lcio. Curso de Segurana de Redes. 2000: Unicamp.
[DUV 98] DUVAL, Mel. Interactive Week Online. Group Working On VPN Product Standard. October 5, [GOL 98] GOLDSMITH, David; SCHIFFMAN, Michael. Cambridge Technology Partners, Enterprise
1998. http://www.zdnet.com/intweek/stories/news/ 0,4164,2145301,00.html. 29/01/99. Security Services. Firewalking A Traceroute-Like Analysis of IP Packet Responses to De-
[DYK 98] DYKE, Gary Van. Information Security. Expect Thunderstorms. September 1998. 25/01/ termine Gateway Access Control Lists. 1998.
99. http://www.infosecuritymag.com/sept/edgewise.htm [GON 03] GONG, Fengmin. IntruVert Networks, Inc. Next Generation Intrusion Detection Systems
[ENT 99] Entrust Technologies. Summary of Protocols for PKI Interoperability. 1999. 11/03/ 99. (IDS). http://www.intruvert.com. March 2002.
http://www.entrust.com/products/library/protocols_pki.htm [GRA 99] GRAHAM, Robert. Network Intrusion Detection System FAQ. Version 0.6.1, August 5, 1999.
[ENT 00] Enterasys Networks. IP Security (IPSec). 11/07/00. http://www.enterasys.com/vpn/ 01/02/00. http://www.shake.net/network-intrusion-detection.htm
VPNipsec.htm [GUN 02] GUNN, Michael. SANS Info Sec Reading Room. War Dialing. October 5, 2002. 14/03/02.
[EXA 02] Revista Exame. Eduardo Vieira. A Capital dos Negcios. h t t p : / / [HAC 01] HACKER, Eric. SecurityFocus Online. IDS Evasion With Unicode. h t t p : / /
portalexame.abril.com.br/pgMain.jhtml?ch=ch04&sc= online.securityfocus.com/infocus/1232. January 3, 2001. 13/02/03.
sc0401&pg=pgart_0401_050802_33957.html. 5 de agosto de 2002. 19/01/03. [HAI 02] HAILE, Jed. Black Hat USA 2002. An Introdution to Gateway Intrusion Detection Systems
[EXA 03] Revista Exame. Roberta Paduan. Vesti Azul ... Pag. 66 a 69. Edio 785. Ano 37, n 3. 12 Hogwash GIDS.
de fevereiro de 2003. [HAL 02] HALME, Lawrence R. Sans Institute. Intrusion Detection FAQ: AINT Misbehaving: A Taxonomy
[EXA 03-2] Portal Exame. Tecnologia. Saiba Como Anda o Comrcio Eletrnico no Mundo. http:// of Anti-Intrusion Techniques. http://www.sans.org/resources/idfaq/
portalexame.abril.com.br/pgMain.jhtml?ch=ch04& aint.php. 13/02/03.
sc=sc0401&pg=pgart_0401_100203_46171.html. 13/02/03. [HAL 98] HAL, Ron. Information Security. Intrusion Crack Down. August 1998. 25/01/99. http://
[EXA 03-3] Revista Exame. Os Nmeros da Telefonia no Brasil. http://www2.uol.com.br/exame/ www.infosecuritymag.com/august/cover.htm
edatual/pgart_0401_111202_42756.html. 02/01/03. [HER 98] HERSCOVITZ, Eli. President and CEO of RADGUARD Ltd. Secure Virtual Private Networks:
[FEL 97] FELTEN, Edward W.; BALFANZ, Dirk; DEAN, Drew; WALLACH, Dan S. Web Spoofing: An The Future of Data Communications. 18/09/98. http://www.radguard.com/VPNmrkt.html.
Internet Con Game. February 1998. Departiment of Computer Science, Princeton University. [HIG 98] HIGGINS, Kelly Jackson. Network Computing. A Moving VPN Target. June 15, 1998. http:/
[FER 98] FERGUSON, P. Network Working Group. Request for Comments 2267. Network Ingress /www.techweb.com/se/directlink.cgi?NWC19980615S0013. 29/01/99.
Filtering: Defeating Denial of Service Attacks wich Employ IP Source Address Spoofing. [HO 01] HO, George. Intrusion Detection System for Today and Tomorrow. SANS Institute. September
January 1998. 08/04/99. ftp://ftp.isi.edu/in-notes/rfc2267.txt 5, 2001.
[FIST 98] Front-line Information Security Team (FIST). Network Security Solutions Ltd. Techniques [HOG 03] Hogwash. http://hogwash.sourceforge.net. 05/02/03.
Adopted By System Crackers When Attempting to Break Into Corporate or Sensitive Private [HOL 02] HOLSTEIN, Michael. Sans Institute. Intrusion Detection FAQ: How Does Fragroute Evade
Networks. December 1998. 15/01/99. http://www.ns2.co.uk/ archive/FIST/papers/NSS- NIDS Detection? http://www.sans.org/resources/idfaq/fragroute.php.
cracker.txt 12/02/03.
[FIST 99] Front-line Information Security Team (FIST). Network Security Solutions Ltd. Under- [HON 01] Honeynet Project. http://project.honeynet.org. 30/10/01.
standing Concepts In Enterprise Network Security And Risks In Networked Systems - Part 1 [HOU 01] HOULE, Kevin J.; WEAVER, George M. CERT Coordination Center. Trends in Denial of Service
of 3: Understanding Riscks In Networked Systems. January 1999. 15/01/99. http:// Attack Technology. October 2001.
www.ns2.co.uk/archive/FIST/papers/NSS-risk-pt1.txt [HOV 01] HOVAR, Virgil L. Sans Institute Information Security Reading Room. Personal Area Networks
[FLE 01] FLECK, Bob; DIMOV, Jordan. Cigital, Inc. Wireless Access Points and ARP Poisoning: Wireless How Personal Are They? July 19, 2001. http://rr.sans.org/wireless/PAN.php.
Vulnerabilities That Expose The Wired Network. 2001. 26/12/02.
[FLU 01] FLUHRER, Scott; MANTIN, Itsik; SHAMIR, Adi. Weaknesses In The Key Scheduling Algorithm [HTTP 01] http://www.ncs.gov/n5_hp/n5_ia_hp/html/eitr/thra2_1.htm
of RC4. 2001. [HTTP 02] http://www.wired.com/news/news/technology/story/15673.html
[FOO 98] FOOTE, Steven. Information Security. 19 Infosecurity Predictions For 99. November 1998. [HTTP 03] http://www.sdl.sri.com/projects/nides/. 30/10/01.
25/01/99. http://www.inforsecuritymag.com/nov/cover.htm [HTTP 04] http://www.sdl.sri.com/projects/emerald/. 30/10/01.
[FOR 98] Forrester Research Inc. http://www.forrester.com. 04/01/99. [HUE 98] HUEGEN, Craig A. The Latest in Denial of Service Attacks: Smurfing - Description and
[FYO 97] FYODOR. The Art of Port Scanning. Phrack Magazine. Volume 7, Issue 51. September 01, Information to Minimize Effects. Dec 30, 1998. 08/04/99. http://users.quadrunner.com/
1997. 29/01/00. http://www.insecure.org/nmap/p51-11.txt chuegen/smurf.cgi
[FYO 98] FYODOR. Remote OS Detection via TCP/IP Stack FingerPrinting. October 18, 1998. Last [HUR 99] HURLEY, Jim. Information Security. Survival of the Fittest. January 1999. 25/02/99.
Modified: April 10, 1999. 29/01/00. http://www.insecure.org/nmap/nmap-fingerprinting- http://www.infosecuritymag.com/jan99/cover2.htm
article.html [ICS 98] ICSA Releases. ICSA Announces First IPSec Certified Products. 23/09/98. http://
[FYO 99] FYODOR. Nmap Network Security Scanner Man Page. 29/01/00. http://www.insecure.org/ www.ncsa.com/news_alerts/press_room/IPSEC2.html.
nmap/nmap_manpage.html. [IDC 03] IDC. http://www.idc.com. 27/01/03.
[GAR 96] GARFINKEL Simson L; SPAFFORD, Gene. Practical UNIX and Internet Security, Second Edition. [IDG 01] IDG Now! Lojas Perdem US$ 3,4 bi Anuais Devido Privacidade Online. http://
OReilly & Associates, Inc. 1996. idgnow.terra.com.br/idgnow/ecommerce/2001/11/0006. 13 de novembro
de 2001. 05/01/03.
460 461
[IEEE 03] Institute of Electrical and Electronics Engineers, Inc. IETF. The Wireless Standards Zone. [KIM 99] KIMBER, Lee. CMP Net. New Attacks Point Up Web Pages Vulnerability. www.techweb.com/
http://standards.ieee.org/wireless/. 28/01/03. wire/story/TWB19991209S0007. December 9, 1999. 02/01/2000.
[IET 01] Internet Engineering Task Force. Intrusion Detection Exchange Format (IDWF). http:// [KIN 98] KING, Christopher M. Information Security. Keys to the Kingdom. 25/01/99. April 1998.
www.ietf.org/html.charters/idwg-charter.html. October, 16, 2001. http://www.infosecuritymag.com/keys.htm
[INF 01] Info Exame. Pesquisa Info: Comrcio Eletrnico. Ano 16, N 182. Maio, 2001. Pag. 70-87. [KIN 99] KING, Christopher M. Information Security. The 8 Hurdles to VPN Deployment. March,
Editora Abril. 1999. http://www.infosecuritymag.com/mar99/cover.htm.
[INF 01-2] Information Security. 2001 Industry Survey. http://www.infosecuritymag.com. October, [KIN 00] Kingpin. @Stake, Inc. War Dialingbrief. http://www.atstake.com/research/
2001. 27/10/01. reports/acrobat/wardialing_brief.pdf. 17/03/03.
[INF 98] Infonetics Research Inc. http://www.infonetics.com. 04/01/99. [KNO 03] Knowledge Keepers, Ltda. Real Life Cases .http://www.knowledgekeepers.com/
[INF 99] Information Security. Down With Hacktivism !. February 1999. 25/02/99. http:// caseStudies.asp. 17/03/03.
www.infosecuritymag.com/feb99/underground.htm [KRA 99] KRANE, Jim. Crime Tech. Computer Crime Tops $100 Million Hackers Steal Secrets, Wreak
[INF 99-2] Info World. Test Center. Sniffing out Network Holes. February 8, 1999. 14/04/99. http:// Havoc, Report Says. March, 15 1999. 17/03/99. http://www.apbonline.com/safestreets/
www.infoworld.com/cgi-bin/display/TC.pl?/990208comp.htm 1999/03/15/hacker0315_01.html
[INT 00] InternetNews. Circle Tightens Around Online Credit Card Thief. http://www.Internetnews.com/ [KRO 99] KROCHMAL, Mo. TechWeb. Report Emphasizes Managing Security To Minimize Damage.
ec-news/article/0,,4_281801,00.html. January 12, 2000. 27/10/01. April 16, 1999. 20/04/99. http://www.techweb.com/wire/story/ TWB19990416S0003
[ISS 99] ISS Internet Security Systems. ISS X-Force White Paper Back Orifice 2000 Backdoor [L0P 99] L0pht Security Advisory. Any Local User Can Gain Administrator Privileges and/or Take
Program. September 1999.b Full Control over the System. February 18, 1999. 26/02/99. http:// www.l0pht.com/
[ITW 02] IT Web. Apesar dos Pesares, Houve Crescimento. http://www.itweb.com.br/ advisories/dll_advisory.txt
solutions/negocios/numeros/artigo.asp?id=33245. 18 de dezembro de [LAI 03] LAI, Kyle. KLS Consulting, Inc. DeLoder Worm/Trojan Analysis (DeLoder-A). http://
2002. 20/01/03. www.klcconsulting.net/deloder_worm.htm. March 15, 2003. 21/03/03.
[JAC 01] JACKOB, Melis. SANS Info Sec Reading Room. History of Encryption. August 8, 2001. 25/ [LC4 03] @stake, Inc. LC4. http://www.atstake.com/research/lc/index.html. 15/
02/03. 02/03.
[JAK 02] JAKOBSSON, Markus; WETZEL, Susanne. Information Sciences Research Center. Lucent [LEM 01] LEMONNIER, Erwan. Defcom 2001. Protocol Anomaly Detection in Network-based IDSs.
Technologies Bell Labs. Security Weaknesses in Bluetooth. June 28, 2001.
[JOH 02] JOHNSON, Howard. Sans Institute Information Security Reading Room. Bluetooth: The [LEM 03] LEMOS, Robert. ZDNet. Counting The Cost of Slammer. http://www.zdnet.com.au/
Global Technology? April 24, 2002. http://rr.sans.org/wireless/ newstech/security/story/0,2000024985,20271709,00.htm. February 3,
bluetooth2.php. 26/12/02. 2003. 11/02/03.
[JOH 98] JOHNSON, Anna. Shake Security Journal. Companies Losing Millions over Rising Computer [LOA 00] LOANNIDIS, Sotiris; KEROMYTIS, Angelos D.; BELLOVIN, Steve M.; SMITH, Jonathan M.
Crime. March 1998. 15/01/99. http://www.shake.net/solutions/ssj/ march98/ Implement a Distributed Firewall. 2000.
crime_march98.htm [LOB 97] LOBEL, Mark. PricewaterhouseCoopers. Security Dymanics Technologies Inc. The Case for
[JON 95] JONCHERAY, Laurent. A Simple Active Attack Against TCP. Merit Network, Inc. April 24, Strong User Authentication. 1997. 11/03/99. http://www.securid.com/ products/
1995. whitepapers/casestrong-wp.html
[JT 03] Jornal da Tarde. Hacker Pe em Mo Milhes de Cartes MasterCard e Visa. http:// [MAC 99] McGARVEY, Joe. Inter@tive Week. ZDNet. Protocol Promoted to Beef Up IP Security.
www.jt.estadao.com.br/editorias/2003/02/19/eco022.html. 19 de September 24, 1999. 24/09/99. http://www.zdnet.com/intweek/stories/news/
fevereiro de 2003. 22/03/03. 0,4164,2340243,00.html
[JUD 02] JUDGE, Peter. ZDNet UK Tech Update. Bluetooth May Leave PDAs Wide Open. http:// [MAC 02] MACVITTIE, Lori. Network Computing. Employee Provisioning. August 19, 2002.
news.zdnet.co.uk/story/0,,t460-s2123677,00.html. October 10, 2002. [MAI 99] MAIER, Timothy W. Insight Magazine Online. Is U.S. Ready for Cyberwarfare?. Vo. 15, N.
09/01/02. 13, April 5-12, 1999. 17/03/99. http://www.insightmag.com/articles/ story4.html
[KAR 02] KARYGIANNIS, Tom; OWENS, Les. National Institute of Standards and Technology (NIST). [MAN 99] MANSFIELD, Nick. Secure Computing. A Practical Look at Information Security Management.
Computer Security Division. Information Technology Laboratory. Special Publication 800- June, 1999. 16/06/99. http://www.wetcoast.com/securecomputing/ 1999_06/feature/
48. Wireless Network Security 802.11, Bluetooth and Handheld Devices. November, 2002. article.html.
[KAU 02] KAUS, Christopher W. Internet Security Systems. Wireless LAN Security FAQ. http:// [MCC 98] McCLURE, Stuart. Info World. PKI Tames Network Security. 11/03/99. September 14, 1998.
www.iss.net/wireless/WLAN_FAQ.php. April 21, 2002. 18/07/02. http://www.infowold.com/cgi-bin/displayArchive.pl?/98/37/pkia.dat.htm
[KEN 01] KENNEDY, Tim. Aligning PKI Technology and Business Goals. Sans Institute. http:// [MCC 99] McCLURE, Stuart; SCAMBRAY, Joel. Beware of the obvious: Ubiquitous SNMP provides a
www.sans.org/infosecFAQ/encryption/PKI_tech.htm. May 22, 2001. 29/10/01. back door to your network secrets. February 1, 1999. 01/01/99. http://www.infoworld.com/
[KEN 01-2] KENNEDY, Ellen. Public Key Infrastructure (PK) - 101. Sans Institute. http://www.sans.org/ cgi-bin/displayNew.pl?/security/990201sw.htm
infosecFAQ/encryption/PKI_101.htm. Mar 15, 2001. 29/10/01. [MCC 00] McCLURE, Stuart; SCAMBRAY, Joel; KURTZ, George. Hacking Exposded: Network Security
[KEN 97] KENNEY, Malachi. Ping of Death. http://www.insecure.org/sploits/ping-o- death.html. Secrets & Solutions. Osborne. 2000.
29/12/99. [McW 97] McWilliams, Brian. Did You Forget to Lock the Back Door?. PC World News Radio. September
[KES 96] KESSLER, Gary C. Passwords Strengths and Weaknesses. January 1996. 11/03/99. http:/ 19, 1997. 27/08/99. http://www.pcworld.com/news/daily/data/0997/970919181153.html
/www.www.hill.com/library/password.html [McC 00] McClure, Stuart SCAMBRAY, Joel. InfoWorld Magazine. Switched Networks Lose Their Security
[KHA 01] KHAIRA, Manpreet S.; ZEHAVI, Ephi. EE Times. Wireless Infrastructure: Bluetooth Can Advantage Due to Packet-Capturing Tool. http://archive.infoworld.com/
Coexist With 802.11. http://www.eetimes.com/story/OEG20010227S0020. articles/op/xml/00/05/29/000529opswatch.xml. May 29, 2000. 17/03/00.
February 27, 2001. 16/12/02.
462 463
[MER 01] MERRITT, Rick. EE Times. Conflicts Between Bluetooth and Wireless LANs Called Minor. [NEC 01] NECHVATAL, James; BARKER Elaine; BASSHAM Lawrence; et al. Report on the Development
http://www.eetimes.com/story/OEG20010220S0040. February 20, 2001. 16/ of The Advanced Encryption Standard (AES). National Institute of Standards and Technology,
12/02. Computer Security Division. October 2, 2001.
[MES 03] MessageLabs Web Site. http://www.messagelabs.com. 21/03/03. [NEL 02] NELISSEN, Josef. SANS Info Sec Reading Room. Buffer Overflows for Dummies. http://
[mi2g 03] mi2g Limited. http://www.mi2g.com. 12/02/03. www.sans.org/rr/threats/dummies.php. May 1, 2002. 18/03/03.
[MIC 99-1] Microsoft Corporation. TCP/IP Source Routing Feature Cannot Be Disabled. 18/08/99. http:/ [NET 99] Netscape. Netscape Netcenter. Understanding PKI 13/11/99. http://verisign.netscape.com/
/support.microsoft.com/support/kb/articles/q217/3/36.asp security/pki/understanding.html
[MIC 99-2] Microsoft Corporation. Microsoft Security Bulletin (MS99-038) Patch Available for Spoofed [NET 01] Netcraft. Netcraft Web Server Survey. http://www.netcraft.com/survey. 28/10/01.
Route Pointer Vulnerability. September 20, 1999. 22/09/99. http://securityportal.com/ [NET 02] NetScreen Technologies, Inc. Intrusion Detection and Prevention Protecting Your Network
topnews/ms99-038.html From Attacks. 2002.
[MIC 99-3] Microsoft Corporation. Data in Route Pointer Field Can Bypass Source Routing Disable. [NET 03] Netstumbler.com. http://www.netstumbler.com. 29/01/03.
September 20, 1999. 22/09/99. http://support.microsoft.com/support/kb/articles/q238/ [NET 03-2] NetworkWorld. Special Report. A Guide To Wireless LANs.
4/53.asp [NEW 98] NEWMAN, David; GIORGIS, Tadesse; YAVARI-ISSALOU, Farhad. Data Communications. VPNs:
[MIC 99-4] Microsoft Corporation. Microsoft Security Bulletin (MS99-038): Frequently Asked Questions. Safety First, But What About Speed?. July 1.998. Acesso Web: 23/09/98. http://
September 20, 1999. 22/09/99. http://www.microsoft.com/security/bulletins/ms99- www.data.com/lab_tests/first.html.
038faq.asp [NEW 99] NEWMAN, David. Data Communications. Super Firewalls!. May 21, 1999. http://
[MIC 02] Microsoft Corporation. Microsoft Knowledge Base 238453. Data In Route Pointer Field Can www.data.com/issue/990521/firewalls.html.
Bypass Source Routing Disable. h t t p : / / s u p p o r t . m i c r o s o f t . c o m / [NEW 02] NEWMAN, David; SNYDER, Joel; THAYER, Rodney. Network World. Crying Wolf: False Alarms
default.aspx?scid=KB;en-us;q238453. ltima reviso em 25 de outubro de Hide Attacks. June 24, 2002. 05/02/03.
2002. 18/03/03. [NIC 02] NICHOLS, Randall K.; LEKKAS, Panos C. Wireless Security Models, Threats, and Solutions.
[MIN 97] MINES, Christopher; GOODTREE, David; GOLDBERG, Mark L.; MacDONALD, Megan K. Forrester McGraw-Hill. 2002.
Research, Inc. Volume Two, Number Six, November 1997. http:/ /www.forrester.com [NIS 00] National Institute of Standards and Technology. An Introdution to Computer Security: The
[MIO 98] MIORA, Michael; COBB, Stephen. Information Security. Springing Into Action. May, 1998. NIST Handbook. Technology Administration. U.S. Department of Commerce. Special
25/01/99. http://www.infosecuritymag.com/cirtified.htm Publication 800-12.
[MIS 02] MISHRA, Arunesh. Department of Computer Science. University of Maryland. An Initial [NOP 01] NOP World Technology. Cisco Systems. Wireless LAN Benefits Study. Fall 2001.
Security Analysis of the IEEE 802.1X Standard. February 6, 2002. [NOR 01] NORTHCUTT, Stephen; NOVAK, Judy. Network Intrusion Detection An Analysts Handbook,
[MOD 02] Mdulo e-Security. 8. Pesquisa Nacional de Segurana da Informao. Setembro de 2002. Second Edition. New Riders, September 2000.
[MOD 99] Mdulo Security Solutions. Mailing Lists. March, 12 1999. http://www.modulo.com.br [NTT 02] NTT Docomo. http://www.nttdocomo.com. 12/12/02.
[MOH 01] MOHAN, Poteri. Need for Pure Integration Between Intrusion Detection and Vulnerability [NUT 99] NUTTALL, Chris. BBC News. Sci/Tech Virtual Nuked on Net. January 26, 1999. 24/03/99.
Assessment. Sans Institute. June 14, 2001. 30/10/01. http://www.news.bbc.co.uk/hi/english/sci/tech/newsid_263000/ 263169.stm
[MOL 02] MOLTA, Dave. Network Computing. Mobile & Wireless Technology. December 15, 2002. [ODS 99] ODS Networks. Advancing the Art of Intrusion Detection. 04/02/2000. http://
[MOR 85] MORRIS, Robert T. AT&T Bell Laboratories. A Weakness In The 4.2BSD Unix TCP/IP Software. www.ods.com/security/info/behavorial.shtml.
February 25, 1985. [ODW 97] ODWYER, Frank. Rainbow Diamond Limited. Hiperlink Spoofing: An Attack on SSL Server
[MOR 03] MOORE, David; PAXSON, Vern; SAVAGE, Stefan; SHANNON, Colleen; STANIFORD, Stuart; Authentication. January 3, 1997. http://www.iol.ie/~fod/sslpaper/sslpaper.htm
WEAVER, Nicholas. The Spread of the Sapphire/Slammer Worm. http://www.caida.org/ [PEC 01] PECKHAM, Leslie. http://www.sans.org/infosecFAQ/encryption/business_PKI.htm. SANS
outreach/papers/2003/sapphire/sapphire.html. 20/03/03. Institute. August 2, 2001. 29/10/01.
[MOS 99] MOSKOWITZ, Robert. Network Computing. DES Is Dead. Long Live ... Well, Um, What ? 24/ [PES 02] PESCATORE, John. Gartner, Inc. Wireless Networks: Can Security Catch Up With Business?
03/99. March 22, 1999. http://www.techweb.com/se/ directlink.cgi?NWC19990322S0017 [PIN 98] PINCINCE, Tom. Network World. Are VPNs ready for prime time? Yes, for remote access.
[MUL 02] MULLANY, Darby. NewsFactor Network. IT Security Market To Double. http:// May 25, 1998. http://www.nwfusion.com/forum/0525vpnyes.html. 29/01/ 99.
www.newsfactor.com/perl/story/19809.html. October 29, 2002. 10/01/03. [PSY 99] PSYNCH. Case Study: Password Synchronization vs Single Sign On. 1999.
[MUR 99] MURRAY, William. Infosecurity Magazine. You Cant Buy PKI. June, 1999. 16/06/ 99. [PTA 98] PTACEK, Thomas H.; NEWSHAM, Timothy N. Secure Networks, Inc. Insertion, Evasion, and
http://www.infosecuritymag.com/jun99/buy_pki.htm Denial of Service: Eluding Network Intrusion Detection. January, 1998.
[NAI 97] Network Associates, Inc. Advisories. NAI-0007: TCP Spoofing Attack. http:// [PUP 99] PUPPY, Rain Forest. A Look at Whiskers Anti-IDS Tactics. http://www.wiretrip.net/
www.securityfocus.com/advisories/302. February 10, 1997. 18/03/03. rfp/pages/whitepapers/whiskerids.html. December 24, 1999. 13/02/03.
[NAI 99] Network Associates, Inc. Security Advisory Windows IP Source Routing Vulnerability. [PYO 01] PYON, Roger. Interoperability in PKI. SANS Institute. July 25, 2001. 30/10/01.
September 20, 1999. 22/09/99. http://securityportal.com/topnews/nai19990920.html [POR 99] Security Portal. ISS Helps to Deliver Practical, Integrated Security Management Solutions
[NAK 00] NAKAMURA, Emilio T. Artigo submetido ao SSI-2000 Simpsio sobre Segurana em With Availability of First ANSA Software Development Kit. Mar, 1999. 10/03/99. http://
Informtica 2000. Segurana no Acesso Remoto VPN. Agosto, 2000. www.securityportal.com/topnews/19990301isspr.html
[NAR 02] NARAINE, Ryan. Internetnews.com. Massive DdoS Attack Hit DNS Root Servers. http:// [PHR 99] PHRACK MAGAZINE. Perl CGI Problems. Vol. 9, Issue 55, Article 07. September 9, 1999.
www.Internetnews.com/dev-news/article.php/1486981. October 23, 2002. http://www.phrack.com/search.phtml?view&article=p55-7. 02/01/1999.
21/03/03. [RAD 99] RADCLIFF, Deborah. Hacker For Hire. January 14, 1999. 27/08/99. http://
[NBSO 03] NBSO. Grupo de Resposta a Incidentes para a Internet Brasileira. Comit Gestor da Internet www.infowar.com/hacker/99/hack_011999b_j.shtml
no Brasil. http://www.nbso.nic.br. 13/02/03. [RAE 97] RAENY, Reto E. Firewall Penetration Testing. The George Washington University. Cyberspace
[NCIX 01] National Counterintelligence Executive. Annual Report to Congress on Foreign Economic Policy Institute. January, 1997.
Collection and Industrial Espionage 2001. October 2001.
464 465
[RAN 01] RANUM, Marcus J. Thinking About Firewalls. Glenwood, Maryland: Trusted Information [SCH 98-2] SCHNEIER, Bruce. Information Security. Scrambled Message. October, 1998. 25/ 01/99.
Systems, Inc. http://www.infosecuritymag.com/oct/edgewise.htm
[RAN 01-1] RANUM, Marcus J. Coverage in Intrusion Detection Systems. NFR Security, Inc. August 26, [SCH 99] SCHWARTAU, Winn. Information Security. Infrastructure Is Us. June 1999. 06/06/ 99.
2001. http://www.infosecuritymag.com/lun99/Infrastruc.htm
[RAN 95] RANUM, Marcus J. On the Topic of Firewall Testing. 1995. http://www.clark.net/ pub/ [SCH 95] SCHNEIER, Bruce. Applied Cryptography, Second Edition. John Wiley & Sons, Inc. 1995.
mjr/pubs/fwtest/index.htm. 12/01/2000. [SCH 99-1] SCHNEIER, Bruce. Counterpane Systems. The Future of Crypto-Hacking. Crypto- Gram. July
[RAN 99] RANUM, Marcus J. Network Flight Recorder, Inc. Intrusion Detection: Challenges and Myths. 15, 1999. http://www.counterpane.com.
20/04/99. http://www.nfr.net/forum/publications/id-myths.html [SCH 99-2] SCHNEIER, Bruce. Information Security. The 1998 Crypto Year-in-Review. January 1999.
[REC 02] Recourse Technologies. Sans Institute. The Evolution of Deception Technologies as a Means 25/02/99. http://www.infosecuritymag.com/jan99/crypto.htm
for Network Defense. http://www.sans.org/rr/intrusion/recourse_ [SCH 00] SCHNEIER, Bruce; ELLISON, Carl M. Tem Risks of PKI: What Youre Not Being Told About
deception.php. 2002. 12/02/03. Public Key Infrastructure. Computer Security Journal. Volume XVI, Number 1, 2000.
[REU 03] Reuters. Vendas Online de Fim de Ano Sobem 24% nos EUA. h t t p : / / [SCH 03] SCHUBA, Marko; WRONA, Konrad. Ericsson Research. Mobility Applications Lab. Security
portalexame.abril.com.br/pgMain.jhtml?ch=ch04&sc=sc0401&pg= for Mobile Commerce Applications. [ANA 03] Analysys Group. h t t p : / /
pgart_0401_060103_44075.html. 6 de janeiro de 2003. 19/01/03. www.analysys.com. 27/01/03.
[REV 03] Revista poca. A Volta de Melzinha. Edio 252, 17 de maro de 2003. http:// [SEQ 02] SEQUEIRA, Dinesh. Sans Institute. Intrusion Prevention Systems Securitys Seilver Bullet?
revistaepoca.globo.com/Epoca/0,6993,EPT503033-1664,00.html. 22/ http://www.sans.org/rr/intrusion/silver_bulet.php. November 14, 2002.
03/03. 12/02/03.
[RFC 97] FRASER, B. Network Working Group. Request for Comment 2196. Site Security Handbook. [SEC 97] Secure Computing. Cyber Terrorism. July, 1997.
http://www.ietf.org/rfc/rfc2196.txt?number=2196. September 1997. 14/ [SEC 97-2] Secure Computing. Security in the Internet Age. September, 1997. 29/09/98. http:/ /
02/03. www.wetcoast.com/securecomputing/september/article/article.html.
[ROT 98] ROTHKE, Ben. Information Security. New Authority Figures. January 1998. 25/01/ 99. [SEC 98] Secure Computing. Corporate Security: The Way Ahead. November 1998. 01/03/99. http:/
http://www.infosecuritymag.com/rothke_art.htm /www.wetcoast.com/securecomputing/1998_11/cover/cover.html
[ROT 98-2] ROTHKE, Ben. Information Security. Crypto: RSA vc. ECC. 25/01/99. August 1998. http:/ [SEC 98-1] Secure Computing. The New Cold War Industrial Espionage. April, 1998. 29/09/ 98.
/www.infosecuritymag.com/august/crypto.htm http://www.wetcoast.com/securecomputing/1998_04/cover/cover.html.
[ROT 98-3] ROTHKE, Ben. Information Security. Crypto: Plain & Elegant. 25/01/99. July 1998. http:/ [SEC 98-2] Secure Computing. Access Control. Dezembro 1998. 01/03/99. http://www.wetcoast.com/
/www.infosecuritymag.com/crypto.htm securecomputing/1998_11/buyers/buyers.html
[ROT 99] ROTHSTEIN, Philip Jan. Information Security. Now What?. May 1999. 15/06/99. http:// [SEC 98-3] SecureXpert Labs Advisory SX-98.12.23-01. Widespread DoS Vulnerabilityh can Crash Systems
www.infosecuritymag.com/may99/feature.htm or Disable Critical Services. 03/01/2000. http://packetstorm.securify.com/new-exploits/
[ROT 99-B] ROTHKE, Ben. Information Security. The .38 Special of Cracking. May 1999. 15/ 06/99. nmap-DoS-2.txt.
http://www.infosecuritymag.com/may99/news.htm [SEC 98-4] Security Magazine. June 1.998. Virtual Private Network. 23/09/98. http://
[RSA 99] RSA Security. Understanding Public Key Infrastructure (PKI). Technology White Paper. www.westcoast.com/securecomputing/1998_06/buyers/buyers.html.
1999. [SEC 99] Secure Computing. Border Control. January 1999. 02/03/99. http://www.wetcoast.com/
[SAN 00] SANDOVAL, Greg. ZDNet. Extortionist Targets Creditcards.com. http://www.zdnet.com/ securecomputing/1999_01/cover/cover.html
filters/printerfriendly/0,66061,2664008-2,00.html. December 12, 2000. 27/10/2001. [SEC 99-2] Secure Computing. Secure Computing. February 1999. 02/03/99. http://www.wet-
[SAN 01] SANDOVAL, Greg. ZDNet. Online Blackmailer Leaks Hacked Data. http://www.zdnet.com/ coast.com/securecomputing/1999_02/editor/editor.html
filters/printerfriendly/0,66061,5098177-2,00.html. October 11, 2001. 23/10/2001. [SEC 99-3] Secure Computing. Security Suites. February 1999. 02/03/99. http://www.wetcoast.com/
[SAN 03] SANS Institute. SANS/FBI Top 20 List The Twenty Most Critical Internet Security Vulnerabilities securecomputing/1999_02/testc/products.html
(Updated) ~ The Experts Consensus. Version 3.22. March 3, 2003. 19/03/03. [SEC 99-4] Secure Computing. Digital Certificates: Proven Technology, Upcoming Challenges. February
[SAL 99] SALAMONE, Salvatore. Internet Week. IT Managers Seek Answers To VPN Performance Queries. 1999. 04/03/99. http://www.wetcoast.com/securecomputing/1999_02/ feature/
January 25, 1999. http://www.techweb.com/se/ directlink.cgi?INW19990125S0006. 29/ feature.html
01/99. [SEC 99-5] Secure Computing. Biometrics. March 1999. 04/03/99. http://www.wetcoast.com/
[SAN 01] Sans Institute. The Twenty Most Critical Internet Security Vulnerabilities The Experts securecomputing/1999_03/cover/cover.html
Consensus. Version 2.100. http://66.129.1.101/top20.htm. October 2, 2001. 27/10/01. [SEC 99-6] Secure Computing. PKI Public Key Infrastructure. March 1999. 04/03/99. http://
[SAN 99] Sandia National Laboratories. Sandia Researchers Develop Worlds Fastest Encryptor. 07/ www.wetcoast.com/securecomputing/1999_03/survey/survey.html
07/99. http://www.sandia.gov/media/NewsRel/NR1999/encrypt.htm [SEC 99-7] Secure Computing. Firewalls. April 1999. 16/04/99. http://www.wetcoast.com/
[SAN 99-2] Sans Institute. Intrusion Detection FAQ [ Version 1.03 ]. 01/02/00. http:// www.sans.org/ securecomputing/1999_04/survey/survey.html
newlook/resources/IDFAQ/ID_FAQ.htm [SEC 99-10] Secure Computing. Policy Management. April, 1999. 16/04/99. http://www.wetcoast.com/
[SCH 00] SCHMIDT, Charles; DARBY, Tom. To What, Why and How of the 1988 Internet Worm. http:/ securecomputing/1999_04/cover/cover.html.
/www.software.com.pl/newarchive/misc/Worm/darbyt/pages/worm.html. 30/10/01. [SEI 00] SEIFRIED, Kurt. Network Intrusion Detection Systems and Virus Scanners Are They the
[SCH 00-1] SCHUPP, Steve. Limitations of Network Intrusion Detection. SANS Institute. December 1, Answer?. January 5, 2000. http://www.securityportal.com/direct.cgi?/closet/
2000. closet20000105.html.
[SCH 96] SCHNEIER, Bruce. Applied Cryptography. Second Edition. John Wiley & Sons, Inc, 1996. [SHA 01] SHAH, Baiju. How to Choose Instrusion Detection Solution. SANS Institute. July 24, 2001.
[SCH 98] SCHNEIER, Bruce. Security Pitfalls in Cryptography. Counterpane Systems, 1998. [SHA 02] SHANKAR, Umesh; PAXSON, Vern. University of California at Berkeley. Active Mapping:
Resisting NIDS Evasion Without Altering Traffic. November 6, 2002.
466 467
[SHA 98] Shake Communications. How to Develop a Simple yet Secure Password System. March [TER 02] Terra Notcias. Golpe de Hacker de Campo Grande Atinge Cinco Bancos. http://
1998. 15/01/99. http://www.shake.net/solutions/ssj/march98/ password_march98.html www.terra.com.br/informatica/2002/07/04/016.htm. 4 de julho de 2002.
[SHA 98-B] Shake Communications. Security News in Brief 1997 to 1998. March 1998. 15/01/ 99. 28/11/02.
http://www.shake.net/solutions/ssj/march98/briefs_march98.html [TIM 98] TimeStep Corporation. Understanding the IPSec Protocol Suite. December 1998. http://
[SHA 98-C] Shake Communications. The Password Cracker that Eats Windows NT for Breakfast. March www.timestep.com
1998. 15/01/99. http://www.shake.net/solutions/ssj/march98/ l0pht_march98.html [TIM 02] TIMM, Kevin. SecurityFocus Online. IDS Evasion Techniques and Tactics. http://
[SHA 98-4] SHAMIR, Adi; SOMEREN, Nicko van. Playing Hide and Seek With Stored Keys. September online.securityfocus.com/infocus/1577. May 7, 2002. 12/02/03.
22, 1998. [TRA 98] Transparent Proxying. http://packetstorm.securify.com/UNIX/firewall/ipfwadm/ipfwadm-
[SHI 97] SHIMOMURA, Tsutomu. Technical Details of the attack Described by Markoff in NYT. http:/ paper/node5.html#SECTION00050000000000000000. 25/01/00.
/www.gulker.com/ra/hack/tsattack.html. October 12, 1997. 20/03/03. [TRI 98] TRICKEY, Fred L. Information Security. Secure SSO: Dream On?. September 1998. 25/01/
[SHO 98] SHOK, Glen. LAN Times. May, 1998. Secure your WAN with ease. 23/09/98. http:/ / 99. http://www.infosecuritymag.com/sept/feature.htm
www.lantimes.com/testing/98may/805b050a.html. [TRU 99] TRUSTe. Proposed by Ernest & Young LLP. Building a Web You Can Believe In. 1999. 12/
[SIG 99] SIGNAL 9 SOLUTIONS. ConSeal PC Firewall. 10/08/99. http://www.signal9.com. 03/99. http://www.truste.org/webpublishers/pub_verification.html
[SIN 01] SINK, Michael. The Use of Honeypots and Packet Sniffers for Intrusion Detection. SANS [TUR 00-1] TURNER, Aaron. SANS Info Sec Reading Room. Network Insecurity With Switches. http:/
Institute. April 15, 2001. 30/10/01. /www.sans.org/rr/switchednet/switch_security.php. August 29, 2000.
[SKO 98] SKOUDIS, Edward. Information Security. Fire in the Hole. July 1998. 25/01/99. http:// 17/02/03.
www.infosecuritymag.com/fire.htm [TUR 00] TURRELL, Timothy. IDS. SANS Institute. September 13, 2000.
[SLI 03] SLIGHTER, Tim. Snort. The Open Source Intrusion Detection System. Configuring IPTables [TWI 99] TWINKLE. http://jya.com/twinkle.eps
For Snort-Inline. http://www.snort.org. January 23, 2003. 05/02/03. [ULS 98] ULSCH, MacDonnell. Information Security. Hold Your Fire. July 1998. 25/01/99. http://
[SMI 99] SMITH, Richard. Information Security. Encryption Across the Enterprise. January 1999. www.infosecuritymag.com/hold.htm
25/02/99. http://www.infosecuritymag.com/jan99/feature.htm [ULS 99] ULSCH, MacDonnell; JUDGE, Joseph. Information Security. Bitter-Suite Security. January
[SNY 01] SNYDER Joel. Network World. Pushing Firewall Performance. http://www.nwfusion.com/ 1999. 25/02/99. http://www.infosecuritymag.com/jan99/cover.htm
reviews/2001/0312rev.html. March 12, 2001. 28/10/01. [UNI 03] Unicode, Inc. Corrigendum #1: UTF-8 Shortest Form. http://www.unicode.org/
[SON 97] SOMMER, Peter. Secure Computing. Cyber Extortion. Part 3: Preventative Measures and versions/corrigendum1.html. 17/02/03.
Managing the Crisis. April, 1997. [USH 99] United States House of Representatives. Statement of The Honorable John J. Hamre. Deputy
[SOP 03] Sophos Web Site. http://www.sophos.com. 21/03/03. Secretary of Defense. Washington, D.C.: February 1999. 15/03/99. http:// www.house.gov/
[SPA 00] SPAFFORD, Gene. Morris Worm. http://www.goldinc.com/html/maloy/SECURITY/ hasc/testimony/106thcongress/99-02-23hamre.htm
morris_worm.html. 30/10/01. [VAI 00] VAINIO, Juha T. Department of Computer Science and Engineering. Helsinki University of
[SPI 99] SPITZNER, Lance. How Stateful is Stateful Inspection? Understanding the FW-1 State Table. Technology. Bluetooth Security. May 25, 2000. http://www.niksula.cs.hut.fi/
June 11, 1999. 14/07/99. http://www.enteract.com/~lspitz/fwtable.html ~jiitv/bluesec.html. 26/12/02.
[SPI 99-2] SPITZNER, Lance. To Build a Honeypot. October 25, 1999. 02/01/00. http:// [VAL 01] VALIS, Michael A. Cyber Attacks During The War On Terrorism: A Predictive Analysis. Institute
www.enteract.com/~lspitz/honeypot.html for Security Technology Studies at Dartmouth College. September 22, 2001.
[SPO 99] Security Portal. United States Encryption Export Policies. 19/07/99. http:// [VAL 02] VALLE, Ana Maria Gomes do. Universidade Federal de Pernambuco. Dissertao de Mestrado.
www.securityportal.com/coverstory19990719.html Centro de Informtica. Anlise Crtica e Comparativa de Taxonomias de Sistemas de Deteco
[STA 98] STALLINGS, William. Information Security. A Secure Foundation for VPNs. http:// de Intruso. 17 de outubro de 2002.
www.infosecuritymag.com/vpn.htm. March 1998. 25/01/99. [XYD 02] XYDIS, Thomas G. Bluetooth Security Experts Group. Security Comparison: Bluethoth
[STA 98-2] STALLINGS, William. SNMPv3: A Security Enhancemenet for SNMP. http://www.comsoc.org/ Communications vs. 802.11. January 2, 2002.
livepubs/surveys/public/4q98issue/stallings.html. 1998. 28/10/01. [WAL 00] WALKER, Jesse R. Intel Corporation. Unsafe at Any Key Size; An Analysis of the WEP
[STA 99] STALLINGS, William. Information Security. SNMPv3: Simple & Secure. January 1999. 25/ Encapsulation. October, 2000.
02/99. http://www.infosecuritymag.com/jan99/feature2.htm [WAL 02] WALTON, Marsha. CNN Sci-Tech. Wireless Cloud May Offer Silver Lining. http://
[STA 01] STARK, Thom. It Came Out of the Sky WEP2, Credibility Zero. http://users.rcn.com/ www.cnn.com/2002/TECH/science/07/31/coolsc.wireless.cloud/
thomst/wireless003.html. 2001. 29/01/03. index.html. July 31, 2002. 01/08/02.
[STU 01] STUBBLEFIELD, Adam; IOANNIDIS, John; RUBIN, Aviel D. AT&T Labs Technical Report TD- [WAR 01] WAZIR, Burhan. Hacker Cries Foul Over FBI Snooping. http://guardian.co.uk/Internetnews/
4ZCPZZ. Using the Fluhrer, Mantin, and Shamir Attack to Break WEP. August 21, 2001. story/0,7369,578081,00.html. October 21, 2001. 23/10/01.
[STU 98] STUTZ, Michael. Wardialer Goes Corporate. October 7, 1998. 27/08/99. http:// [WAR 03] WARE, Lorraine Cosgrove. CSO Online. CSO Research Reports. CSOs Prioritize Security
www.jammed.com/Lists/ISN/1998-Oct/ISN-774 Spending for 2003. http://www.csoonline.com/csoresearch/report50.html.
[SUL 00] SULLIVAN, Bob. MSNBC. Credit Card Hacker Has Struck Before. http://www.msnbc.com/ 2003. 11/02/03.
news/502356.asp. December 19, 2000. 27/10/01. [WAR 03-1] WARE, Lorraine Cosgrove. CSO Online. CSO Research Reports. CSOs Security Spending: How
[SWI 03] Switching and VLAN Security FAQ. http://www.fefe.de/switch/. 17/03/02. Much Is Enough? http://www.csoonline.com/csoresearch/report50.html.
[TAK 95] Takedown Web Site. http://www.takedown.com. 1995. 17/03/03. 2003. 11/02/03.
[TAN 03] TANASE, Matt. SecurityFocus Online. The Great IDS Debate: Signature Anlisis Versus Protocol [WAR 03-2] WARE, Lorraine Cosgrove. CSO Online. CSO Research Reports. The Evolution of The Chief
Analysis. http://online.securityfocus.com/infocus/1663. February 5, 2003. Security Officer. http://www.csoonline.com/csoresearch/report35.html.
12/02/03. 2003. 11/02/03.
[TER 00] TERADA, Routo. Segurana de Dados. So Paulo: Editora E. Blcher, 2000. [WAR 03-3] Warchalking Site. http://www.warchalking.org. 22/01/03.
468
[WES 98] West Coast Publishing Ltd. Secure Computing. Active Security Solution The Network
Associates Active Security. 1998. 24/09/99. http://www.wetcoast.com/review/ net_assoc/
ndice remissivo
index.htm.
[WIFI 01] Wireless Fidelity Alliance. Wireless Ethernet Compatibility Alliance. Wireless LAN Research
Study. October, 2001.
[WIFI 02] Wi-Fi Alliance. Wi-Fi Protected Access Overview. http://www.weca.net. October 31,
2002. 14/01/03.
[WIFI 03] Wi-Fi Alliance Web Site. http://www.weca.net.
[WIL 01] WILLIAMS, Lorraine C. SANS Info Sec Reading Room. A Discussion of the Importance of
Key Length in Symmetric and Asymmetric Cryptography. January 11, 2001. 25/02/03.
[WIR 99] Wired News. Did Sun Inflate Mitnick Damages? http://www.wired.com/news/
politics/0,1283,19820,00.html. May 22, 1999. 20/03/03.
[WOO 98] WOODWARD, John D. Information Security. Believing in Biometrics. February 1998. 25/
01/99. http://www.infosecuritymag.com/biometrics.htm
[WOO 99] WOOD, Charles Cresson. Infosecurity Magazine. Policies: The Path to Less Pain ... & More
Gain. August, 1999. 24/09/99. http://www.infosecuritymag.com/aug99/ cover.htm.
[WRI 03] WRIGHT, Joshua. Detecting Wireless LAN MAC Address Spoofing. http://home.jwu.edu/
jwright. January 21, 2003.
[WU 98] WU, David; WONG, Frederick. Remote Sniffer Detection. Computer Science Division.
University of California, Berkeley. December 14, 1998.
[YAS 02] YASIN, Rutrell. Information Security Magazine. Password Pain Relief. April 2002. 06/03/02.
[YAH 99] Yahoo! Finance. Business Wire. GTE Joins Security Research Alliance. March 15, 1999. 19/
03/99. http://biz.yahoo.com/bw/990315/ma_gte_1.html
[ZDN 98] ZDNet. Signing and Trus. September, 30 1998. 11/03/99. http://www.zdnet.com/ devhead/
filters/homepage
[ZIE 02] ZIEGLER, Peter-Michael. Ct. Body Check. http://www.heise.de/ct/english/
02/11/114/. May 22, 2002. 07/03/03.
SEGURANA DE REDES EM AMBIENTES COOPERATIVOS ndice remissivo
470 471
472
Sobre os autores
Emilio Tissato Nakamura (emilio@securitybase.net)

mestre em Cincia da Computao na rea de segurana de redes pela Unicamp.
Atua como especialista em segurana da informao no planejamento, projeto e
implementao de solues para proteo de informaes e recursos computacionais,
tendo participado de projetos de diversas reas de segurana em empresas do setor
financeiro, da indstria e do governo. Atua tambm em pesquisa e desenvolvimen-
to, buscando novas solues e contribuindo para a evoluo da rea.
Desenvolveu um projeto conjunto em Stuttgart, Alemanha, sobre sistemas de
segurana corporativa e Internet Billing. Ministrou palestra sobre gerenciamento da
segurana da informao na Alemanha, pela Robert Bosch Ltda. Alm das
consultorias, tambm atuou em empresas como CPqD Telecom & IT Solutions, Open
Communications Security, Sun Microsystems, Unicamp, entre outros.
Paulo Lcio de Geus (paulo@securitybase.net)

Ph.D da University of Manchester, UK (1990); engenheiro eltrico pela FEEC-
Unicamp (1979) e professor do Instituto de Computao da Unicamp desde 1984.
tambm autor de vrios artigos em eventos cientficos nacionais e internacionais
nas reas de Administrao e Segurana de Redes de Computadores e Processamento
de Imagens e tambm coordenador do LAS, Laboratrio de Administrao e Segu-
rana de Sistemas do IC-Unicamp.
Elaborou e ministrou mais de dez cursos nas reas de programao, administra-
o e segurana de redes UNIX e Internet, arquitetura e desempenho de sistemas,
Linux e firewalls, de graduao, ps-graduao e especializao. J prestou
consultorias em anlise e projeto de segurana de redes, firewalls, anlise forense
computacional e certificao de segurana de software.

Seguranca de Redes em Ambientes Cooperat PDF

Uploaded by

Document Information

Original Description:

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Seguranca de Redes em Ambientes Cooperat PDF

Uploaded by

Copyright:

Available Formats

Dedicatria

Aos meus queridos pais, Mario e Rosa, pela gran-

A Cris e Lis, por suportarem minha ausncia (sa-

8. Sistema de deteco de intruso --------------------- 251 11. Autenticao -------------------------------------------------- 351

13. Modelo de segurana para

Este livro teve origem a partir da dissertao de mestrado de Emilio, durante

quantidade significativa de esforo, especialmente de Emilio, em razo da diversi- Prefcio

aes, principalmente no que diz respeito importncia do estabelecimento de

propriedade, o conhecimento dos princpios e a prtica sobre a segurana em siste-

* Poltica de segurana: Equivalente ao modelo de conduta do cidado visitan-

Entretanto, as pessoas e organizaes no mundo virtual interagem de vrias

Captulo 1 Introduo Captulo 5 Novas funcionalidades e riscos: redes

Captulo 3 A necessidade de segurana PARTE II TCNICAS E TECNOLOGIAS DISPONVEIS

Captulo 8 Sistema de deteco de intruso Captulo 11 Autenticao

PARTE III MODELO DE SEGURANA PARA UM AMBIENTE

captulo analisa as diversas configuraes de componentes importantes para a se-

Captulo 13 O modelo de segurana para

2.1 A INFORMTICA COMO PARTE DOS

Figura 2.3 Os diferentes nveis de acesso somados ao perigo das triangulaes.

* Por que a segurana to importante em todas as organizaes?

Neste captulo, no qual a segurana tem todo o enfoque, no qual

3.1 A SEGURANA DE REDES

Figura 3.1 As propriedades mais importantes da segurana.

De fato, os nmeros comprovam o grande crescimento dos negcios realizados

bilhes de dlares em 2002, enquanto o Business-to-Consumer (B2C) movimentou

* A competitividade e a pressa no lanamento de novos produtos.

Este captulo apresenta os riscos a que as organizaes esto su-

4.1 OS POTENCIAIS ATACANTES

4.3 OS PONTOS EXPLORADOS

4.5 ATAQUES PARA A OBTENO DE INFORMAES 4.5.2 Engenharia social

Com isso, VLANs no podem ser consideradas como mecanismos de segurana,

4.5.6 Port scanning

a auditoria do firewall e do sistema de deteco de intruso (Intrusion Detection

Figura 4.7 O funcionamento do ICMP port scanning.

Figura 4.8 O funcionamento do FIN com port scanning.

Figura 4.10 O funcionamento do Null Scan.

* Checagem de cavalos de Tria, como Back Orifice ou Netbus.

Um exemplo de bug pode ser visto na descoberta de uma falha conceitual no

4.6.5 Teardrop e land

4.7 ATAQUE ATIVO CONTRA O TCP

eletrnica. A Sun Microsystem, por exemplo, estava processando-o pelo roubo do

Figura 4.15 Ataque de SYN Flooding na porta 513 do servidor.

Como nesse ataque de negao de servio no foi necessrio obter respostas,

* apollo.it.luc.edu > x-terminal: R 1382726991

A anlise das respostas do x-terminal permite identificar o comportamento do

Figura 4.17 O ataque realizado por Mitnick.

4.7.4 Source routing

4.8 ATAQUES COORDENADOS

Outro mtodo o utilizado pelos sistemas de preveno de intruso (Intrusion

4.9.2 Ataques na Web

O uso de redes sem fio (wireless) vem aumentando significativa-

Figura 5.3 WPAN, WLAN e WWAN.

5.4.2. Arquitetura e protocolos do Bluetooth

* Radio Frequency Communications (RFCOMM): o protocolo para constituio

5.4.3. Perfis do Bluetooth

* Generic Access Profile: define os procedimentos genricos para a descoberta de

Figura 5.7 O modelo de segurana do Bluetooth.

A especificao do Bluetooth detalha trs modos de segurana, nos quais o

* Nvel 1 de servio: requer autorizao e autenticao. O acesso automtico

O relacionamento entre os requisitos de uma comunicao Bluetooth gerenciado

3. O gerenciador de segurana busca servios permitidos na base de dados de

Figura 5.9 Estabelecimento de uma conexo Bluetooth.