Professional Documents
Culture Documents
Jaguarina 2007
Monografia apresentada disciplina Trabalho de Concluso de Curso, do curso de Cincia da Computao da Faculdade de Jaguarina, sob orientao do Professor Carlos Alessandro Bassi Viviani, como exigncia parcial para concluso do curso de graduao.
Jaguarina 2007
2
RODRIGUES, Marcelo Lopes. Segurana da informao em redes. Monografia defendida e aprovada na FAJ em 12 de dezembro de 2007 pela banca examinadora constituda pelos professores:
Dedico este trabalho primeiramente a Deus, por ter me dado esta oportunidade de estudar e concluir minha graduac;:ao, sem a sua grande ajuda, motivac;:ao e forc;:a de vontade jamais iria chegar ate o final, aos meus pais Anelio e Vilma, irmaos (as) pelo grande apoio nesta jornada, e a todos os meus amigos da faculdade e de fora que indiretamente contribufram para minha vit6ria. 4
AGRADECIMENTOS
A realizao desta Monografia s foi possvel pelo inventivo de inmeras pessoas e da instituio. A todos manifesto minha gratido. De modo particular: Ao meu professor-orientador Carlos Alessandro Bassi Viviani pela orientao dedicada e em todas as fases de realizao deste trabalho. A todos os professores do curso de Cincia da Computao que, durante a graduao, tanto contriburam para o meu crescimento intelectual e pessoal. A todos meus amigos de sala, em especial ao Ademir Dutra, Carolina Silva, Danilo Venchiarutti, Andr Pedroso, pela grande ajuda no decorrer de minha graduao, pela amizade, compreenso, apoio e opinio, que em muito enriqueceram no s a realizao desta monografia, mas tambm ao longo de toda essa jornada.
SUMRIO
SUMRIO.........................................................................................................................7 LISTAS DE FIGURAS....................................................................................................10 LISTAS DE ABREVIATURAS E SIGLAS......................................................................11 RESUMO.........................................................................................................................12 ABSTRACT.....................................................................................................................13 1. INTRODUO............................................................................................................14 1.1 O QUE UMA REDE DE COMPUTADORES.............................................16 1.1.1 Conceito..........................................................................................16 2. OBJETIVOS................................................................................................................17 3. METODOLOGIA.........................................................................................................18 4. ANLISE DOS DADOS..............................................................................................19 4.1 Riscos de conexo com a Internet................................................19 4.1.1 Dados................................................................................19 4.1.1.1 Confidencialidade...........................................................19 4.1..12 Integridade......................................................................20 4.1.1.3 Disponibilidade................................................................20 4.1.2 Recursos.......................................................................................20 4.1.3 Reputao.....................................................................................21 4.2 O que so Hackers e Crackers.......................................................21 4.2.1 Prticas e Motivos que levam Hackers a seus Delitos......21 4.3 Ameaas e Ataques.........................................................................24 4.3.1 Tcnicas de Ataques........................................................25 4.3.1.1 Ataques por Canais de Comandos.......................25 4.3.1.2 Ataques Direcionados a Dados.............................26 4.3.1.3 Ataques de Terceiros............................................26 4.3.1.4 Falsa Autenticao de Clientes.............................26 4.3.1.5 Seqestro..............................................................27 4.3.1.6 Packet Sniffing......................................................27 4.3.1.7 Injeo e Modificao de Dados...........................27 4.3.1.8 Replay...................................................................28 4.3.1.9 Negao de Servio..............................................28 4.3.1.10 SYN Flood...........................................................29 4.3.1.11 Ping of Death........................................................30 4.3.1.12 IP Spoofing...........................................................30 4.3.1.13 Ataques Contra o protocolo NetBios....................31 7
4.3.1.14 Ataques Contra o X-Window...............................31 4.3.1.15 Ataque Utilizando o RIP.......................................32 4.3.1.16 Exploits.................................................................32 4.4 Engenharia Social.............................................................................33 4.1 Como funciona a Engenharia Social............................33 4.4.2 Tcnicas usadas na Engenharia Social...........34 4.4.2.1 Segurana do Usurio...................................34 4.5 Firewall.............................................................................................35 4.5.1 Caractersticas de um Pacote....................................36 4.5.2 Exemplo de TCP/IP e Ethernet..................................37 4.5.2.1 A Camada Ethernet.......................................38 4.5.2.2 A Camada IP..................................................38 4.6 Servios da Internet........................................................................41 4.6.1 World Wide Web.....................................................42 4.6.1.1 Web............................................................42 4.6.1.1.2 O Protocolo HTTP...................................43 4.6.1.1.3 A Linguagem HTML.................................43 4.6.2 Correio Eletrnico...................................................43 4.6.3 Transferncia de Arquivos FTP..............................44 4.6.4 Terminais Remotos.................................................45 4.6.5 Converso de Domnio em Endereo IP.................46 4.7 Polticas de Segurana..................................................................47 4.7.1 Documento de uma Poltica de Segurana.............48 4.7.1.1 Explicaes................................................48 4.7.1.2 Responsabilidade de Todos.......................48 4.7.1.3 Linguagem Clara........................................49 4.7.1.4 Autoridade de Execuo.............................49 4.7.1.5 Excees e Revises..................................49 4.7.2 Ameaas da Poltica de Segurana...............50 4.8 Redes Wireless..............................................................................51 4.8.1 O que uma Rede Wireless....................................51 4.8.2 Como funcionam as Redes Wireless........................52 4.8.3 Quais os benefcios da Rede Wireless...................52 4.8.4 Vantagens de uma Rede Wireless...........................52 4.8.5 Preveno nas Redes Wireless...............................53 4.8.6 Riscos de segurana em redes Wireless.................55 4.8.7 Mecanismos de Segurana......................................56
4.8.7.1 Wep........................................................................56
LISTAS DE FIGURAS
FIGURA 1 - Negao do bit ACK...................................................................................30 FIGURA 2 - Posicionamento do Firewall na rede de computadores..............................35 FIGURA 3 - Camada de pacote IP.................................................................................37 FIGURA 4 - Definio do cabealho e corpo de um pacote IP......................................39 FIGURA 5 - A camada TCP...........................................................................................40 FIGURA 6 - Usar Proxy para redirecionar pedidos do cliente........................................41
10
ARPHANET BSD CIFS DNS FTP ICMP IETF HTML HTTP IMAP IP LAN MAN TCP POP RIP SSH SNMP UDP WAN W3C WWW WEP WPA
Advanced Research and Projects Agency Berkley System Distribution Common Internet File System Domain Name Service File Transfer Protocol Internet Control Message Protocol Internet Engineering Task Force Hyper-Text Markup Language Hyper-Text Transfer Protocol Internet Message Access Protocol Internet Protocol Local Area Network Metropolitan Area Network Transfer Control Protocol Post Office Protocol Routing Internet Protocol Secure Shell Simple Network Management Protocol User Datagram Protocol Wide Area Network World Wide Web Consortium World Wide Web Wired Equivalent Privacy Wi-Fi Protected Access
11
RODRIGUES, Marcelo Lopes. Segurana da informao em Redes,2007. Monografia (Bacharelado em Cincia da Computao) Curso de Cincia da Computao da Faculdade de Jaguarina, Jaguarina SP.
RESUMO
O uso de computadores vem crescendo de forma grandiosa, devido a isso, o interesse das pessoas em se aprofundar mais sobre este assunto e buscar informaes para sua sobrevivncia no ambiente virtual vem crescendo tambm. Com o passar do tempo, essas mesmas pessoas nos quais buscavam conhecimentos para sua sobrevivncia, percebem que podem ir mais alm. A partir da, tentam novas experincias em ambientes virtuais, fazendo invases em usurios comuns, ou at mesmo em empresas de mdio e grande porte. Este trabalho tem como objetivo de criar a cultura de preveno ao conectarmos na Internet, orientando e prevenindo os usurios de como usar os computadores de forma segura e correta. Demonstrar quais os meios de ataque mais freqentes e como fazer se evitar esses tipos de ataques. Este termo segurana em redes foi criado justamente para se obter mecanismos, no para criar uma rede 100% segura, mas sim, ter meios de como se prevenir e evitar esses tipos de ataques. Palavras-chave: REDES, SEGURANA.
12
ABSTRACT
Use of computers has growing so grandiose, because of this, the interest of the people to be more detail on this matter and seek information for their survival in the virtual environment has grown as well. Over time, these same people in which sought knowledge for their survival realize that to go further. Thereafter, try new experiences in virtual environments, making invasions in common users, or even of large companies. This work has as objective to create a culture of prevention connect to the Internet, targeting and preventing users from using the computers in a secure and accurate. Demonstrating what means of attack more frequently and how to avoid these types of attacks. This term security in networks was created precisely to achieve no mechanism to create a network 100% secure, but have ways of how to prevent and avoid these kinds of attacks. Key-words: NETWORKS, SECURITY.
13
1. INTRODUO
Desde a sua criao o termo Internet vem sendo cada vez mais utilizado pelas pessoas de um modo geral. Mas, o que uma Rede de computadores? Pode-se dizer segundo Moraes et al (2003), entende-se por Rede de Computadores dois ou mais computadores conectados entre si compartilhando seus recursos que podem ser desde informaes, perifricos conectados a cada um, at recursos de processamento. Nos dias atuais podemos dizer que somos usurios dependentes da informao, e com todas essas tecnologias que nos cercam faz com que usurios de computadores, e tambm as pessoas que trabalham contra tempos. Faz-se com que as empresas que no tem este tipo de cultura, voltado segurana de estar sempre se atualizando tornam muito arcaicas e com conseqncia disso tenham prejuzos incalculveis. A rapidez que surgem novos softwares e avanos tecnolgicos faz com que as empresas acabem de atualizar seus softwares, o mercado j lance uma nova verso, esses avanos tecnolgicos proporcionam grandes facilidades como rapidez, agilidade, confiabilidade, etc. Mas como nem tudo muito fcil esse avano tecnolgico tambm trazem algumas conseqncias no ambiente de rede das empresas. Alm disso, a partir do momento em que os computadores passam a transmitir dados nas redes passam tambm a ter alguns problemas de segurana, pois quando muitas pessoas acessam a estas informaes so necessrios cuidados para que no haja acessos indevidos, imprudncia e mau uso. Devido ao grande aumento dos problemas de segurana das empresas nos dias de hoje, esto comeando a investir mais nesta questo. Mais a realidade que nenhum sistema 100% seguro, o que existe de concreto so vrias medidas de segurana que implementadas em conjunto podem diminuir estes problemas. De acordo com Soares (1995). O termo segurana usado com o significado de minimizar a vulnerabilidade ou informao que ele contm. A segurana da informao no apenas uma atitude, uma pessoa ou um produto, so vrias atitudes que implementadas em conjunto vo garantir a segurana de bens (qualquer coisa de valor) e recursos. Vulnerabilidade qualquer fraqueza que pode ser explorada para se violar um sistema diretamente com a segurana da informao, fiquem atentas as novas tecnologias, estando sempre atualizado afim de que evite
14
das redes nas empresas. No necessrio gastar valores altos com portas com senhas nas salas onde se encontra o servidor das empresas, seria mais vivel educar as pessoas que usam os sistemas e mostr-las que a partir do momento que o usurio est em rede, est pondo em risco a segurana da empresa com um ato de irresponsabilidade. importante dizer que o sistema de segurana varia muito sobre os negcios da empresa, ou seja, uma empresa que trabalha com investimentos financeiros teria que ter um sistema de segurana mais eficaz do que uma empresa de sacolas plsticas, no deixando claro, o bom uso do sistema e preveno do mau uso dos usurios. J h alguns anos as empresas adotam poltica de segurana no qual Soares (1995), define que um conjunto de leis, regras e prticas que regulamentam uma organizao gerencia, protege e distribui suas informaes e recursos. Nessas polticas necessrio educar as pessoas que iro utilizar a rede. Prevenir a melhor forma de usar os recursos dentro de uma empresa. O estudo que se prope este trabalho e a segurana da informao em redes em empresariais, verificar suas vulnerabilidades e possveis pontos de ataques de pessoas com intuito de no s roubar informaes como tambm pessoa mal intencionada a fim de causar um estrago no ambiente de rede das empresas, que hoje em dia se torna cada vez mais usado. Portanto este trabalho citar alguns problemas de todo tipo de empresa esto expostas, as medidas de segurana e preveno destes problemas proposto neste trabalho, podem ser usado por qualquer empresa, mas sero solues bsicas que devem ser trabalhadas em conjunto para se tornarem eficazes. Mas, para que as empresas fiquem tranqilas, essas medidas apenas o comeo, sempre ser necessrio o comprometimento no s dos funcionrios bem como as pessoas da alta hierarquia da empresa, e o apoio dos mesmos, ou seja, um trabalho que exige uma continuidade e constantes atualizaes, pois como j foi dito pessoas maliciosas tentam sempre buscar novas tcnicas e as pessoas que tomam conta da segurana tem sempre que estar atento e muito atualizado na questo de segurana e estudar novos meios de preveno dos sistemas em rede das empresas.
15
1.1.1 - Conceito
Segundo Soares (1995), uma rede de computadores formada por um conjunto de mdulos processadores (MPs)1 capazes de trocar informaes e compartilhar recursos, interligados por um sistema de comunicao. Podemos dizer que Internet uma rede de redes. composta de pequenas redes locais (LANS), redes estaduais (MANs) e redes de grande distncia (WANs) que conectam computadores de diversas organizaes no mundo todo. Estas redes esto interligadas de diversas formas, desde uma simples linha telefnica discada, rdios, satlites,malhas de fibras ticas, sem fios, ou at mesmo submarinas. Estar na Internet significa participar de uma rede interconectada. O princpio bsico de uma rede de computadores a capacidade de "comunicao" entre dois computadores. Para isto, utilizam-se protocolos, regras ou convenes que regem esta comunicao. Para que a comunicao se efetive dois computadores devem utilizar o mesmo protocolo, simultaneamente. TCP/IP (Transmission Control Protocol/Internet Protocol) a famlia de protocolos da Internet, desenvolvida nos anos 70 e utilizada, pela primeira vez em 1983. considerado um protocolo aberto e "sem dono", o que significa dizer que no produto de nenhuma empresa especfica. Cada vez que ocorre uma transferncia o protocolo age quebrando a informao e forma diversos pacotes endereando-os para que cada um siga seu caminho independente. Estes pacotes passam por roteadores, que esto programados para definirem os melhores caminhos.
1 A definio de mdulos processadores se refere a qualquer dispositivo capaz de se comunicar atravs do sistema de comunicao por troca de mensagens.Poderamos citar, por exemplo, um microcomputador, uma mquina copiadora, um computador de grande porte, um terminal videotexto, etc.
16
2. OBJETIVOS
O objetivo deste trabalho de graduao, foi trabalhar com os temas relacionados a segurana da informao em redes sem fio e redes cabeadas em empresas, demonstrando os tipos de ataques e onde ter mais ateno na segurana em redes corporativas. Baseado no cronograma apresentou-se os meios de ataques mais comuns de preveno e obteno de segurana no ambiente virtual. O trabalho, tem a finalidade orientar os usurios comuns ou usurios de grandes empresas, os meios para se fazer um ataque e invaso, e como se prevenir e atentarse para no ser alvo desses ataques. e tcnicas utilizadas pelos invasores para obter xito em suas aes, bem como os meios
17
3. METODOLOGIA
Foram realizadas pesquisas sobre o tema, buscando informaes em livros, apostilas, artigos e pela Internet, etc. Nesses livros buscou-se conhecer mais e fazer uma introduo sobre o assunto, como origem, de onde surgiu, etc. No incio no tinha grandes conhecimentos sobre este assunto, no qual nas primeiras leituras e pesquisas na Internet, pde-se esclarecer e aprofundar mais os estudos. Na seqncia, realizou-se os estudos e pesquisas sobre o tema e iniciou as leituras de alguns livros relacionados ao assunto proposto, aps assimilar sobre o tema buscou-se mais conhecimentos em artigos, apostilas, Internet e em livros acadmicos que na faculdade estava disponvel. Na etapa de elaborao e digitao do contedo j assimilado, fez-se uma reviso e correo de contedo juntamente com a orientao do Professor Carlos A. Bassi Viviani e continuou-se fazendo leituras de livros. Realizou-se estudos sobre o trabalho, onde foram feitos segundo as normas e padro para projetos de graduao. Aps todo material coletado e estudado, iniciou-se a digitao, correo de contedo e preparao para apresentao. Logo aps, realizou-se as anlises de como estava o contedo do trabalho para a apresentao parcial. Nos meses seguintes realizou-se pesquisas e correes do contedo para atender o tema proposto deste trabalho.
18
Para Zwicky et al. (2000), quando se est conectado a Internet, coloca-se estes trs itens em risco: Dados; Recursos; Reputao.
4.1.1 Dados
As propriedades devem ser satisfeitas para que se tenha segurana dos dados so: Confidencialidade; Integridade; Disponibilidade.
4.1.1.1 Confidencialidade
Nos dias de hoje um grande risco focar a confidencialidade da informao junto aos riscos associados. Muita das grandes empresas tem como objetivo preservar o tipo de informao que possuem, quer seja de um projeto de produtos, ou at mesmo registros financeiros. De outra maneira pode-se separar os computadores nos quais existem informaes muitos importantes dos que somente vo se conectar a Internet.(ZWICKY et al. 2000).
19
4.1.1.2 Integridade
Mesmo que as informaes no sejam particularmente sigilosas, podem-se sofrer conseqncias caso elas sejam destrudas ou alteradas. Em muitos dos casos, falando do ponto de vista do cliente, a perda de informaes confidencias significa a perda de credibilidade junto ao cliente. (ZWICKY et al. 2000).
4.1.1.3 Disponibilidade
Ter a disposio informao contida em um sistema diminui a medida em que se percebem riscos que possam compromet-las. Isto ocorre quando os documentos internos das empresas precisam estar disposio dos prprios funcionrios dessa mesma empresa. Neste caso necessrio reestruturar as polticas de segurana das empresas de forma que possam atender aos seus usurios temporariamente externos sem gerar oportunidades a intrusos. (ZWICKY et al. 2000).
4.1.2 Recursos
Para os Hackers, ou intrusos, geralmente argumentam que utilizam esses recursos para seu prprio proveito, ou seja, suas invases no chegam a custar nada a vitimas. H para Zwicky et al. (2000), dois problemas com esse argumento: Primeiro: impossvel para o intruso determinar com certeza, que recursos em um sistema so excedentes. Pode-se pensar que os sistemas tenham grandes quantidades de espao de armazenamento vazio de horas e tempo de processamento no utilizadas. De fato em muitas situaes isto ocorre, porm, no momento em que todos os recursos necessrios devem-se garantir em todos os recursos estejam ntegros. Segundo: de direito da empresa utilizar os recursos ao seu critrio, mesmo que isso signifique deixar disponvel uma grande quantidade de recursos sem utilizao.
20
4.1.3 Reputao
Quais seriam os riscos de um intruso tivesse acesso informao de um determinado funcionrio da empresa? Para Zwicky et al. (2000), em algumas vezes, a pessoa que est tentando invadir pode destruir a identidade da empresa ou at mesmo alterar o contedo atravs da rede, falsificando as mensagens eletrnicas. Outra maneira manchando a reputao da empresa perante seus clientes.
Segundo Moraes (2003), hacker uma pessoa interessada em possuir o conhecimento de informaes confidenciais de um sistema, computadores e redes particulares. E um cracker uma pessoa que quebra um sistema de segurana com o objetivo de roubar ou destruir informaes. Podemos citar mais alguns: Phreaking que so os hackers de telefonia convencional ou de celular.Um exemplo de Phreaking foi Kevin Mitnick, um gnio em telefonia que foi preso em 1995 pelo FBI, que foi responsvel por roubar informaes utilizando o que sabia de melhor a Engenharia Social. E o Lammer que segundo os prprios hackers so aqueles que indivduos que se acham hackers, mais ainda esto no estgio inicial de aprendizado.
J h algum tempo estamos ouvindo que jovens adolescestes que passam a noite inteira tentando fazer invases em sistemas de computadores. No entanto se fala muito pouco desses tipos de atitudes hackers nos meios de comunicao, ai que entra a falta de experincia nessas invases, pois no possuem o conhecimento para obter sucesso, no qual no conseguem manter muito tempo oculto, sendo descoberto pelas autoridades competentes.
21
Em geral, Bernstein (2000), trabalha com as seguintes classificaes de ataques potenciais: Curiosos: So estudantes que passam tempos na Internet procurando alguma forma de diverso e normalmente aprender com softwares e ferramentas prontas que esto na web e so facilmente capturados. In-house: So funcionrios e ex-funcionrios que procuram causar problemas para a empresa onde atuam. Muitas vezes movidos por vingana, ou mesmo, por dinheiro, no caso de estarem sendo usados por um concorrente ou por terceiros que tenham interesse em prejudicar a empresa em questo, estes so responsveis por 80% desses ataques. Tcnicos: Normalmente so os que criam programas que causam danos, sendo extremamente experientes no que fazem e espalham rapidamente suas tcnicas atravs da Internet. Podem ser pessoas problemticas com dificuldade de integrao com a sociedade e trabalham pelo poder da destruio. Profissionais: Esses so os mais perigosos, muitas vezes criam novas ferramentas ou at mesmo utilizam-se das j existentes. O diferencial que recebem pelo que fazem, trabalham para grupos de mafiosos, terroristas ou espionagens industriais, normalmente so pessoas mais velhas (acima de 25 anos), inteligentes e difceis de serem pegos. Segundo Bernstein (2000), comenta-se que independente do tipo de hacker que ele seja, os motivos podem ser variados, no qual possvel categoriz-los da seguinte maneira:
Espionagem Industrial: Ocorre quando uma empresa contrata um hacker para que o mesmo invada o sistema de um concorrente, e descubra seus planos e roube seus programas ou at mesmo suas polticas de parcerias e de investimento. Proveito Prprio: O hacker pode invadir um sistema para roubar dinheiro, transferir bens, cancelar dvidas, ou at mesmo ganhar um concurso, ou seja, em qualquer ao em que ele diretamente seja o beneficiado. Inexperincia: H tambm o caso de uma invaso acontecer por ignorncia. Por exemplo, um funcionrio que acessa sua conta da empresa no computador de sua casa. Dependendo da poltica de segurana da empresa, isto pode ser considerado um tipo de invaso, mesmo que o usurio no tenha o conhecimento do problema que venha a causar.
22
Vingana: Quando um ex-funcionrio, tendo conhecimento do sistema, pode causar vrios problemas, e se o gerente da empresa no bloquear seu acesso indiretamente, aps sua sada da empresa. Ou, um parceiro de pesquisas pode acessar contedo no permitido aps a quebra do contrato, trazendo complicaes e prejuzos a empresa. Status ou Necessidade de aceitao: Uma invaso difcil pode fazer com que o invasor ganhe mais status com seus colegas. Isto pode acarretar competies, ou uma verdadeira gincana na empresa. Dentro de grupos, constante mostrar sua superioridade. Este um fato natural, seja entre humanos, animais selvagens e hackers. Curiosidade e Aprendizado: Muitos hackers alegam invadir sistemas para aprender como eles funcionam. Alguns fazem questo de testar o esquema de segurana, buscando brechas e aprendendo sobre novos mecanismos. Este tipo de ataque causa um dano maior ou compromete os servios atacados. Busca de aventuras: O ataque a sistemas importantes onde o esquema de segurana muito avanado pode se fazer com quem o hacker se sinta motivado pelo desafio e pelo perigo de ser pego, assim como os alpinistas sobem montanhas, mesmo sabendo do risco de carem. Maldade: Algumas pessoas sentem o prazer da destruio. Invadem e destroem pelo puro prazer de causar o mal. Raramente so pegos e se vangloriam pelos seus atos. importante dizer que nos esquemas de segurana dentro das empresas, necessrio uma reviso e atualizao dos procedimentos de segurana, pois seja o que o hacker for, e o que ele faa, vivel que seja neutralizado afim de que sejam corrigidas tais vulnerabilidades, fazendo uma atualizao constante no sistema. Os hackers esto em busca de novas falhas de segurana e muitas das vezes no fazem mal algum, alm de invadir. Portanto de extrema importncia que, o tempo gasto para que os intrusos usam para invadir, o tempo necessrio para criar normas de segurana para prevenir tais ataques.
23
As ameaas podem ser classificadas como acidentais ou intencionais, podendo ambas ser ativas ou passivas. Ameaas acidentais: so as que no esto associadas inteno premeditada. Por exemplo, descuidos operacionais e bugs, de software e hardware. Ameaas intencionais: caracterizam pela variao desde a observao de dados com ferramentas simples de monitoramento de redes, ataques sofisticados baseadas no conhecimento do funcionamento do sistema. Ameaas passivas so as que, quando realizadas, no resultam em qualquer modificao nas informaes contidas nos sistema, em sua operao ou em seu estado.
Ameaas ativas a alterao da informao contida no sistema, ou modificao em seu estado ou operao.
24
Segundo Zwicky (2000), os riscos que envolvem os procedimentos de ataques podem ser divididos em duas categorias. A primeira envolve conexes permitidas entre um cliente e um servidor, incluindo: Ataques de canal de comando; Ataques direcionados a dados; Ataques de terceiros; Falsa autenticao de clientes.
E a segunda envolve ataques que trabalham a necessidade de se fazer conexes, incluindo: Seqestro; Packet Sniffing; Injeo e modificao de dados; Replay; Negao de servios.
Para Unisinos (1998) complementa com as seguintes tcnicas: SYN Flood; Ping of Death; IP Spoofing; Ataques contra protocolos NETBIOS; Ataques contra o X-WNDOWS;
Esta tcnica ataca diretamente um servio particular, atravs do envio de comandos, da mesma forma que o servidor geralmente os recebe. Ocorrem de duas formas:
25
Pelo envio de comandos vlidos que acaba de provocar danos; Pelo envio de comandos invlidos que exploram os bugs na manipulao de dados de entrada (ZWICKY et al. 2000) Um exemplo desta tcnica de Worm de Morris, conhecido como primeiro ataque por parte de um hacker. Neste caso, Morris atacou o servidor de envio de mensagens Sendmail, usado um conjunto vlido, de depurao que no foi devidamente bloqueado por vrios hosts, e que dava acesso completo aos sistemas que estavam hospedados.
o que envolve as informaes transmitidas por um protocolo, ao invs daquela implementada por um servio. Desta forma de ataque so os vrus transmitidos por correios eletrnicos, ou ainda o roubo das informaes que trafegam na rede, como nmeros de carto de crditos. (ZWICKY et al. 2000)
Caso se permitida a conexo TCP em qualquer porta acima de 1024, na tentativa de dar suporte a um procololo (como o FTP que necessita, alem da porta 21, uma porta para cada comando que o cliente faz) est se abrindo grandes nmeros de oportunidades para que terceiros faam conexo de entrada. (ZWICKY et al. 2000).
26
4.3.1.5 Seqestro
Ataques de seqestro permitem que um hacker tome conta da sesso de terminal em andamento, de um usurio que foi autenticado e autorizado pelo sistema. Ataques de seqestro geralmente ocorrem em um computador remoto. Entretanto, s vezes, possvel seqestrar uma conexo a partir de um computador na rota entre o cliente e o servidor (ZWICKY et al. 2000). Os seqestros de conexo ocorrem por um computador remoto, acontecem quando os usurios deixam conexes em aberto e se ausentam do local. A possibilidade de este ataque ocorrer, depende da quantidade de usurios que podem se identificar no sistema e principalmente, da responsabilidade de cada um deles. Seqestros que ocorrem em computadores intermedirios so altamente tcnicos e, geralmente, deve haver muitos motivos que levem a um hacker a faz-lo, devido a sua tentativa a sua complexidade. (ZWICKY et al. 2000).
27
4.3.1.8 Replay
Um invasor que no possa tomar controle de uma conexo, ainda pode ser capaz de danific-lo salvando uma cpia da informao que passa, e reenviando a novamente. H dois tipos de ataques por replay: Um onde se deve ser capaz de identificar certas partes da informao (por exemplos senhas); A outra simplesmente o envio de pacotes inteiros. A criptografia ajuda a evitar este tipo de ataque. (ZWICKY et al. 2000).
28
Os hosts devem eliminar os recursos alocados para cada entidade que solicita a conexo. Isto inclui: o O nmero de conexes abertas pelo servidor (Web Server, SMTP, Server, etc...); o o O tempo mximo de persistncia de uma conexo; A quantidade de processamento alocada para atender a uma requisio de conexo; o A quantidade de memria alocada para atender a uma requisio de conexo; o A quantidade de espao em um disco rgido, alocada para atender uma requisio de alocao.
Para Unisinos (1998), um dos ataques mais populares na negao de servio. Este ataque visa impedir o funcionamento de um host, ou um servio em especifico, o computador cliente (Ver figura 1), envia um pacote para o servidor com um flag especial de SYN, e este indica que o cliente deseja estabelecer uma conexo. Em seguida, o servidor responde com um pacote contendo os flags de SYN e ACK, indicando que ele aceitou o pedido, de uma conexo est aguardando uma confirmao do cliente para marcar a conexo como estabelecida. O ataque consiste em enviar vrias solicitaes de conexo do endereo de origem forjado. Como resultado, os usurios legtimos ficam impedidos de fazer uso dos servios prestados pelo host alvo no pacote.
29
Consiste em enviar um pacote IP com um tamanho maior que (65535 bytes) para o host que se deseja atacar. O pacote ento enviado na forma de fragmentos ocasionando vrios problemas no servidor, desde mensagens no console at o travamento sistema operacional. Alvos: Todos os sistemas operacionais que no implementaram correes para o problema de fragmentao de pacotes de IP.(UNISINOS, 1998).
4.3.1.12 IP Spoofing
o nome dado para a falsificao de endereos de IP, fazendo com que um pacote seja emitido com o endereo, de origem diferente do computador que o enviou. Com o uso desta tcnica possvel para um atacante assumir a identidade de qualquer outro computador ligado a Internet. O maior perigo deste ataque se d nos servios baseados nos protocolos UDP (User Datagram Protocol).Atravs do Spoofing IP
30
possvel para um atacante tirar proveito dos hosts confiveis armazenados nos.rhosts existentes nos sistemas operacionais UNIX e derivados, possibilitando acessos via rlogin, por exemplo, onde a senha no exigida. Alvos: Principalmente sistemas operacionais derivados do BSD (Berkley System Distribution), por serem os que implementam o servio de rlogin e rsh (UNISINOS, 1998).
As plataformas Windows e OS\2 tm caractersticas de disponibilizar todos os seus servios atravs do protocolo NETBIOS. Em redes onde o NETBIOS disponibilizado pelo TCP/IP, possveis para um atacante verificar quais os diretrios e as impressoras compartilhadas por cada computador presente nestas redes. Normalmente comum a prtica de usurios de deixar o acesso compartilhado s pastas de proteo ou autenticao por senhas. Fica relativamente mais fcil, portanto, para um hacker conseguir acessar os arquivos presentes nas pastas compartilhadas.(UNISINOS, 1998).
31
O RIP um protocolo de configurao dinmica de rotas. Os roteadores utilizam este protocolo para transmitir informaes para outros roteadores (normalmente em Broadcast). Em geral, cada roteador, anuncia tempos em tempos para o roteadores ao seu redor que ele capaz de rotear pacotes para uma determinada rede, tal forma que em pouco tempo, a partir dessas mensagens, todos tenham uma tabela nica e otimizada de roteamento. (UNISINOS, 1998). Um ataque tpico o de repassar para os roteadores da rede, a informao de que os pacotes so enviados para uma determinada rede devem ser roteados atravs dele, o atacante, que posteriormente os envia para o destino correto. Durante a passagem de pacote, o atacante capaz de examinar seu contedo em busca de senhas ou qualquer outra informao que julgar interessante ou, at mesmo, modificar seu contedo (UNISINOS, 1998). Os pacotes de RIP so enviados para a porta 513 UDP. Portanto bloquear o acesso a essas portas pode solucionar este problema.(idem)
4.3.1.16 Exploits
O termo Exploit, que em portugus significa, literalmente, explorar, na linguagem da Internet usado para se referir a pequenos cdigos de programas desenvolvidos especialmente para explorar falhas introduzidas em aplicativos por erros involuntrios de programao. Os exploits que so programas geralmente feitos em linguagem de programao C que exploram a vulnerabilidade de programas e sistemas para ganhar acesso root (de administrador), 90% dos exploits so para sistemas Linux, os exploits locais so scripts em linguagem de programao C que voc ir rodar no servidor a partir de uma shell adquirida, os exploits locais so os melhores de se usar , pela sua variedade e confiana de acesso. Os exploits podem existir como programas executveis ou, quando usados remotamente, podem estar ocultos, por exemplo, dentro de uma mensagem de correio eletrnico ou dentro de determinado comando de um protocolo de rede.
32
Fontes (2001), define o termo Engenharia Social como relativamente novo, porm o assunto no, definido-o assim, aquela conversa que encanta quem est ouvindo e faz com quem o ouvinte fique com total confiana naquele que est falando. Na opinio de Santos (2004), a arte de trapacear, construir mtodos e estratgias de enganar em cima de informaes cedidas por pessoas, ou ganhar a confiana para obter informaes, so aes antigas, oriundas dos tempos mais remotos, ganharam um novo termo. Engenharia porque constri, em cima de informaes, tticas de acesso a sistemas e informaes sigilosas, de forma indevida. Social por que se utilizam pessoas que trabalham e vivem em grupos organizados. Pode se dizer que um tipo de ataque hacker, onde a arma utilizada a habilidade de lidar com as pessoas, induzindo-as a fornecerem as informaes, executando programas e muitas vezes, fornecer senha de acessos.
Segundo Santos (2004), muitos so os meios e tcnicas para se obter acesso indevido a informao, esteja ela em formato eletrnico, em papel ou qualquer outro formato. A engenharia social muito utilizada para o levantamento de informaes preliminares que possam tornar a tentativa de invaso mais eficiente. Estes ataquem podem ser feito por e-mail, telefone, fax, chat, ou em ltimo caso pessoalmente. A ingenuidade ou a confiana de um usurio utilizada por estas pessoas, para se conseguir informaes, que muitas vezes parecem sem importncia, mas que nas mos erradas podem causar bastante estrago.
33
As tcnicas mais costumeiras, que podem ser usadas de maneira individual ou combinadas, so: emergncia; Contato atravs do email, atuando com estudante com interesse em pesquisar sobre um determinado assunto ou uma pessoa com interesse especfico em assunto de conhecimento da vtima; Contato atravs de ferramentas de Instant Messenger (Yahoo Messenger, Obteno de informaes vazadas por parte da administrao de rede e MS Messenger, ICQ, etc.), simulando pessoas com afinidades com as vitimas; de funcionrios em geral nas listas de discusso e comunidades virtuais na Internet, o que motiva tambm um contato posterior mais estruturado; ingenuidade. Uso de telefone pblico, para dificultar a deteco; Varredura do lixo informtico, para a obteno de informaes adicionais Disfarce da equipe de manuteno; Visita como pessoa, como estudante, estagirio ou pessoa de disfarce de Contatos telefnicos, simulando atendimento de suporte ou uma ao de
Santos (2004), orienta que para se fazer uma boa segurana indiscutvel que todos os usurios que desejam a segurana, porm e necessrio interagir com ela, e tomar decises baseando-se em procedimentos de segurana, a maioria acha que atrapalha. comum que os usurios nem pensem duas vezes para contornar os procedimentos de segurana em determinadas situaes, como por exemplo, quando se aproxima um prazo para entrega de um trabalho importante. Eles podem desativar o firewall ou at mesmo fornecer uma senha, pois o trabalho precisa ser feito. Esses engenheiros sociais sabem que desta maneira de agir dos usurios e exploram este comportamento criando este tipo de situao para que a segurana seja quebrada.
34
4.5. Firewall
A palavra Firewall traduzindo para o portugus significa muralha de fogo, fazendo meno a uma rea restrita, protegendo a segurana interna nas empresas em ambiente de rede. Segundo Kurose et al (2003), Firewall a combinao de hardware e software que isola a rede interna de uma organizao da Internet em geral, permitindo que alguns pacotes passem e outros sejam bloqueados. Para Zwicky (1995), Firewalls protegem a rede interna de trabalho contra os perigos da Internet.Servem para mltiplos propsitos, entre eles: Restringir a entrada de pessoas no sistema; Prevenir contra ataques que possam atingir defesas; Restringir e limitar acessos dos usurios internos Internet.
Figura 2 - Posicionamento do Firewall na Rede de Computadores. Fonte: (ZWICKY et al.2000). Para compreender a tecnologia utilizada nas implementaes de firewalls, preciso conhecimentos em objetos com os quais o firewall lida: pacotes e protocolos. Para transferir informaes atravs de uma rede, estas informaes devem ser quebradas em pequenas partes, transferidas uma a uma separadamente. Quebrar as informaes em pedaos permite a muitos sistemas dividirem a rede, cada um
35
enviando partes de sua informao, na sua vez. Em uma rede de IP, estes pedaos de informaes so chamados de pacotes. (ZWICKY et al. 2000).
Para entender melhor a filtragem de pacotes, deve-se entender como eles so classificados na pilha TCP/IP, sendo: Camada de aplicao (exemplos: FTP, Telnet, HTTP); Camada de transporte (TCP e UDP); Camada de Internet (IP); Camada de acesso a Internet (exemplos: Ethernet, FDDI, ATM).
Os pacotes so construdos de forma de que as camadas para cada protocolo usado para uma conexo em particular sejam quebrados em pacotes menores, ficando encapsulados de uma forma concntrica. (ZWICKY et al. 2000). Em cada camada, um pacote tem duas partes: Cabealho que contm informaes relevantes para aquela camada. Corpo que contm dados daquela camada, que consiste de um pacote completo para a prxima camada superior. Cada camada trata as informaes que recebe da camada acima e aplica seu cabealho ao dado. Este processo de preservar os dados enquanto se anexa novos cabealhos chamado de encapsulamento.
36
37
Na camada de Ethernet segundo Zwicky et al (2000), o pacote consiste em duas partes: o cabealho Ethernet e o corpo Ethernet. Em geral, no possvel filtrar em pacotes com base nas informaes contidas nos pacote. Em algumas situaes, podese estar interessado, entretanto, nas informaes de endereamento deste protocolo, conhecido com MAC. Basicamente este cabealho informa: O tipo de pacote, neste exemplo, o pacote IP, no , portanto um pacote AppleTalk,ou um pacote IPX num pacote DECnet; O endereo Ethernet do computador que ps o pacote para a transmisso de rede; O endereo Ethernet do computador deve receber o pacote.
4.5.2.2 A Camada IP
Zwicky et al (2000) diz que, nesta camada, o pacote IP tambm um composto de duas partes: o cabealho IP (FIGURA 4) e o corpo IP. Do ponto de vista de um filtro de pacotes, o cabealho IP, contm informaes teis: O endereo de IP de origem; O endereo de IP de destino; O tipo do protocolo (TCP ou UDP); O campo de opes.
38
A maioria das redes especfica um tamanho mximo para o pacote, que muito maior que o limite imposto pelo IP. Para sanar este conflito, o IP divide os pacotes grandes demais para trafegar na rede em sries de pacotes, chamados fragmentos. A fragmentao (FIGURA 5), no muda nas estruturas da camada IP (os cabealhos IP so duplicados em cada fragmento), mais isto pode significar que o corpo contm apenas uma parte do pacote na prxima camada. (ZWICKY et al 2000)
39
FIGURA 5 - A camada TCP. Fonte: (ZWICKY et al.2000). Nesta camada Zwicky et al. (2000), relata que o pacote novamente consiste em duas partes: o cabealho TCP e o corpo TCP. Do ponto de vista do firewall, o cabealho contm trs informaes interessantes: A porta TCP de origem; A porta TCP de destino; O campo de Flags.
O corpo TCP contm a informao propriamente dita, por exemplo, o caractere transmitido em uma sesso Telnet, ou arquivo, transferido em uma conexo FTP.
40
Todos estes servios so regulamentados e podem ser providos de forma segura de diversas formas, inclusive estando protegidos por filtros pacotes ou por sistemas Proxy, conforme (FIGURA 6).
FIGURA 6 Usar Proxy para redirecionar pedidos do cliente. Fonte: (ZWICKY et al.2000).
41
4.6.1.1. Web
Consiste na coleo de servidores na Internet que atendem a requisio de protocolos de comunicao HTTP. baseado em conceitos de desenvolvimentos do (CERN), European Particle Physics Laboratory em genebra na Sua, por Tim BernersLee, e outros pesquisadores. Hoje muitas organizaes e indivduos esto desenvolvendo este servio da rede e um nmero muito maior de empresas e pessoas esto fazendo uso desta tecnologia. A Internet Engineering Task Force, (IETF) responsvel por manter o HTTP padronizado e o World Wide Web Consortium (W3C), por desenvolver seus futuros sucessores (ZWICKY et al. 2000). Permite que qualquer pessoa alcance este computador e envie comandos para ele desde que se mantenha um Web Server. Os riscos de segurana encontram-se quando o software deixa somente manipular por HTML para chamar acesso a programas ou mdulos externos que ampliam suas capacidades. Os programas em HTML so fceis de aprender, e mais difcil de se implementar porque no se consegue prever todos os seus comandos e como seria o comportamento a execuo do mesmo.
42
um dos protocolos que fazem parte da camada de aplicao do TCP/IP. Prov aos usurios, acesso a arquivos que fazem parte a Web. Estes podem ser diferentes formatos (textos, grficos, udio, vdeo, etc), mas primariamente ligados atravs de hiperlinks e programados na notao Hyper-text Markup Language. (ZWICKY ET AL. 2000).
Descrio padronizada para a criao de pginas. Basicamente prov, capacidades de formatao de documentos, incluso de grficos e marcao de referncia a outros documentos atravs de hiperlinks. (ZWICKY et al. 2000).
43
Servir correio eletrnico toma espao em disco e tempo de processamento no host, ficando aberto a ataques de negao de servios e muitas vezes deixa-se de ser um canal aberto para a entrada de cavalos-de-troa. Tambm, comum neste sistema o envio de massa de mensagens no solicitadas e as cartas correntes, bem como a confiana exagerada que as pessoas tm no servio, fazendo seu uso para envio de informaes confidenciais sem o mnimo de preocupao com os intermedirios entre o remetente e o destinatrio (ZWICKY et al. 2000). POP e IMAP tm as mesmas implicaes de segurana, eles comumente transferem as informaes de autenticao do usurio sem nenhum recurso de criptografia, permitindo a hackers lerem tanto suas credenciais quanto as mensagens que esto para ser transmitida.(idem)
File Transfer Protocol (FTP), o servio padronizado da Internet para a transferncia de arquivos. A maioria dos navegadores baseados no protocolo HTTP tambm implementa este protocolo como uma extenso dos seus recursos. A primeira preocupao em servir um protocolo FTP que ele pode atuar como um ponto de entrada de cavalos-de-troa e outros cdigos maliciosos que exploram a falhas de implementao desse servio. Outras o motivo da preocupao sobre o licenciamento do contedo que enviado para o servidor. Entre eles softwares comerciais, jogos copiados ilegalmente, e contedo adulto. Apesar de no apresentarem um risco tcnico de segurana este contedo implica em vrios outros problemas revelantes, como distribuio ilegal de software e infraes fiscais. Algumas recomendaes para sistemas que precisam servir este servio: No permitir Upload de usurios annimos no sistema; Educar os usurios, inclusive com penalidades, descritas no documento de polticas de segurana, sobre o contedo que os mesmo disponibilizam; Monitorar periodicamente o contedo dos diretrios dos usurios; Implementar quotas no sistema de arquivos de modo a limitar a quantidade de espao que cada usurio pode ocupar.
44
H muitas situaes em que necessrio, ou ao menos, desejvel, executar comandos em computadores diferentes daqueles que se est fazendo uso. Muitas vezes, o motivo que justifica essa necessidade o fato de se estar fisicamente muito distante do computador a controlar. Como soluo, implementaram-se servios capazes de prover esta tarefa, tanto em computadores como sistema operacional orientado ao modo texto quanto nos que utilizam interfaces grficas. Questes relevantes para Zwicky et al. (2000), sobre o funcionamento deste tipo de servio so: H controles apropriados para identificar quem pode acessar o
computador remotamente? De que forma autenticada os usurios? possvel algum intruso tomar conta de uma conexo em andamento? possvel alguma anlise de rede capturar informaes sigilosas, particularmente, as credenciais do usurio? Telnet est cada vez mais deixando de ser o servio padronizado da Internet para as tarefas de administrao remota. Porm, este servio, j foi considerado seguro e requer credenciais do usurio. Comparando com os servios de execuo remota de comandos rsh e rlogin, isto realmente faz sentido. Entretanto, estas credenciais podem ser facilmente capturadas atravs da rede que seu uso se torna muito arriscado (ZWICKY et al. 2000). Para solucionar as srias falha do Telnet, criou-se o to bem aceito Secure Shell (SSH), que prve uma coleo de utilitrios que capazes de fornecer servios criptografados de execuo remota de comandos, como tambm, transferncia segura de arquivos. Implementaes deste protocolo esto disponveis atravs de vrios fornecedores e esto se tornando o novo padro no que diz respeito administrao remota (idem). Na utilizao do SSH (Secure Shell) de forma a evitar o uso indevido deste servio, recomenda-se o seguinte: Explorar ao mximo a capacidade inovadora para a autenticao do usurio.Isto significa exigir mais que apenas o par login e senha.Como recurso embutido, as implementaes de SSH podem ser configuradas para exigir uma chave criptogrfica publica de usurio que tenha sido
45
gerada por uma chave privada anteriormente instalada no servidor. Este procedimento faz com que o usurio no s fornea algo que s ele tenha conhecimento (senha) mais tambm algo que somente ele possua (o par de chaves criptogrficas). Quando financeiramente vivel, exigir identificao atravs de recursos menos burlveis ainda, como autenticao por SmartCards, que so cartes (parecidos com os cartes de crditos) que armazenam a chave pblica do usurio e so praticamente impossveis de falsificar.
A traduo de nomes que os usurios usam em endereos numricos que os protocolos necessitam implementada pelo Domain Name Service (DNS). No incio de da Internet era possvel para cada servidor manter as tabelas de hosts presentes naquela rede. Mais tarde, com o nmero de computadores aumentando drasticamente, percebeu-se que esta tabela no poderia mais ser mantida. O DNS uma soluo de base de dados distribudas que atende as requisies para a traduo nome domnio IP, e quando no sabe responder, consulta uma base presente um nvel acima de sua hierarquia. Um dos riscos de se servir DNS e prover mais informao que o necessrio. Por exemplo: este protocolo permite embutir nas respostas das informaes sobre o hardware e o sistema operacional onde est sendo executado. O DNS pode ficar mais seguro quando se tomam algumas medidas, como: Obrigar a utilizao de nmeros IP (ao invs de hostname) para a autenticao em servios que precisam de alto nvel de segurana. Autenticar sempre que os usurios e no a origem deles.Isto significa exigir autenticao do usurio mesmo quando a origem dele consta como segura na tabela de hosts do sistema operacional, porque esta origem pode estar sendo forjada.
46
A poltica de segurana do ponto de vista dos administradores de sistemas deve ser vista como a poltica de segurana, utilizada por uma nao para receber estrangeiro (ZWICKY et al. 2000). Na opinio de Soares et al (1995), poltica de segurana um conjunto de leis, regras, e prticas que regulam como uma organizao gerencia, protege e distribui suas informaes e recursos. A palavra poltica, trata-se de documentos inacessveis formulados por comits e que so impostas a todos e, posteriormente, ignoradas com o passar do tempo. Porm, as polticas discutidas na administrao de sistemas, so tticas, que envolvem a construo de um firewall, os detalhes de que servios so necessrios e quais proibidos, entre outros. Entretanto, no importa a qualidade do conjunto de tticas, se a estratgia de aplicao desta for mal sucedida. (ZWICKY et al. 2000). Para Ribeiro (1998), o objetivo da poltica de segurana resume-se em manter sob controle o armazenamento da informao, que muitas vezes, o mais bem mais valioso de uma empresa devendo seguir este 4 paradigmas bsicos: Integridade: A condio na qual a informao ou recursos da informao protegido contra modificaes no autorizadas. Confidencialidade: Propriedade de certas informaes que no podem disponibilizadas ou divulgadas sem autorizao prvia do seu dono. Disponibilidade: Caracterstica da informao que se relaciona diretamente possibilidade de acesso por parte daqueles que a necessitam para o desempenho de suas qualidades. Legalidade: Estado legal da informao, em conformidade com os preceitos da legislao em vigor, no que se refere aplicao de medidas punitivas.
47
De outra forma, Zwicky et al. (2000) considera 4 questes para a formulao da poltica de segurana: Capacidade financeira: Quanto Custa a segurana? Funcionalidade: Pode-se utilizar o sistema de forma plena? Compatibilidade cultural: A poltica de segurana proposta est em conflito como a forma que as pessoas normalmente interagem com os que esto do lado de fora da empresa? Legalidade: A poltica de segurana est de acordo com os requerimentos legais exigidos?
Um documento de poltica de segurana uma forma de comunicao entre administradores e usurios. Deve se explicar a eles, e tambm, quando houver dvidas sobre segurana. (ZWICKY et al. 2000). permitem saber
4.7.1.1 Explicaes
importante que o documento seja explicito e compreensvel sobre todas as decises que sero tomadas. A maioria das pessoas no ir seguir as regras a no ser que compreenda a sua importncia.
responsabilidade entre os usurios e administradores, permite a todos saberem o que esperar de cada um.
48
Escrever o documento de poltica de segurana no to importante quanto segui-lo. Significa que quando a poltica no seguida, algo deve acontecer para consertar a situao e algum precisa ser responsvel por fazer as correes. Alguns exemplos do que deve especificar a poltica de segurana: Gerentes de certas reas tm autoridade de revogar acesso a um usurio; Gerentes so responsveis por efetuar correes em casos de transgresso; Penalidades que esto reservas aos transgressores.
49
Para Ribeiro (1998), as principais ameaas que devem ser tratadas na poltica de segurana so:
Integridade: o o o o Ameaas de ambiente (fogo, enchente e tempestades, etc); Erros humanos; Fraudes; Erros de processamento.
50
51
Este tipo de rede e cada dia mais utilizado em uma ampla gama de negcios e prev-se um grande crescimento do mesmo devido a sua facilidade de instalao e caractersticas.
4.8.3
Quais
os
benefcios
de
uma
Rede
Wireless
Nas empresas existem uma alta dependncia de redes de comunicao devido a grande quantidade de informaes que devem ser manuseadas e que necessitam de atualizao em tempo real. Por isso, a possibilidade de compartilhar informaes sem que seja necessrio buscar uma conexo fsica permite maior mobilidade e comodidade. Alem disso, a rede pode ser mais ampla sem a necessidade de mover ou instalar cabos, o que permite uma conexo mais simples e rpida.
52
de demandar a montagem uma infra-estrutura fixa, restringe a mobilidade dos terminais, que e uma condio imprescindvel. Outros possveis casos de aplicao, embora menos freqentes, podem ser a comunicao privada entre dois pontos independen temente dos servios comerciais das operadoras de telecomunicaes e a comunicao em locais remotos ou onde existia cabeamento prvio, como vales ou reas montanhosas. A principal diferena das redes sem fio e que, como seu prprio nome indica, no utilizam cabos, ou seja, uma mdia guiada. Em seu lugar, o meio de transmisso e o ar, no qual so emitidas tanto as ondas de radio como a luz infravermelha. Desse modo, tambm ser importante conhecer qual o uso do espao radioeltrico e como esta sua saturao. Em relao rede tradicional, a rede sem cabos oferece as seguintes vantagens: Mobilidade: Informaes em tempo real em qualquer lugar da organizao ou empresa para todo usurio da rede. A obteno de informaes em tempo real pressupe maior produtividade e possibilidades de atendimento. Facilidade de Instalao: Evita obras para passar cabos por paredes e tetos, melhorando o aspecto fsico e aumentando a habitabilidade, reduzindo dessa forma o tempo de instalao e permitindo o acesso instantneo a usurios temporrios da rede.
53
Os novos padres, notadamente o 802.11i, possibilitam mtodos de autenticao bastante robustos, com os quais o administrador pode montar ambientes que, por exemplo, usem uma base centralizada de usurios para qualquer necessidade de autenticao, quer seja uma aplicao, acesso a recursos da rede (cabeada, sem fio ou ambas), uso de VPNs (Redes Privadas Virtuais), etc. Esse tipo de soluo pode ser interessante para empresas com muitos funcionrios, pois reduz bastante as chamadas para troca de senhas, permite um maior controle dos usurios ativos e facilita a criao e manuteno das aplicaes e sistemas da empresa, pois parte de autenticao a mesma para todos. Esse mtodo tambm pode ser usado sem maiores problemas por servios pagos de acesso Internet, pois o usurio teria de fornecer as mesmas informaes a que ele j est acostumado: usurio e senha. Entretanto, esses padres necessitam de equipamentos mais recentes e, em princpio, o fornecedor do servio no poderia exigir que seus assinantes estejam atualizados em termos de placas e equipamentos (alguns notebooks e PDAs tm placas sem fio integradas, por exemplo). E a respeito da possibilidade da empresa prestadora do servio fazer convnios com fabricantes de equipamentos, oferecendo linhas de crdito ou descontos para aquisio de dispositivos compatveis com o servio, esta idia (convnio) pode ser mais bem aproveitada por empresas, que tm maior poder de, digamos, convencimento sobre seus funcionrios. importante saber que acessos pblicos (pagos ou no) so, em princpio, um risco, por isso no se devem usar equipamentos de terceiros para acessar informaes pessoais ou empresariais sensveis. E isso vale para equipamentos de infra-estrutura tambm (link, roteadores, concentradores, servidores etc.). O uso de criptografia essencial para aumentar a segurana das informaes trafegadas, e isso pode ser conseguido atravs de VPNs, HTTPS, SPOP3 (acesso POP3 seguro) ou protocolos convencionais acrescidos da camada SSL, por exemplo. Verifique com o suporte da sua empresa ou provedor a existncia desses mecanismos e como configur-los. E, por fim, para evitar ataques aos computadores, notebooks e PDAs, devem ser seguidos os mesmos procedimentos conhecidos para redes cabeadas, como atualizar o sistema operacional, aplicativos, antivrus, firewall pessoal, anti-spyware e anti-spam. Da mesma forma semelhante a um carro sem manuteno, um computador desatualizado dor-de-cabea na certa.
54
55
em redes guiadas podem ser disparados de outros sistemas anteriormente atacados, no existindo esta necessidade. Entretanto, o fato do atacante dispor de recursos prprios para gerar o ataque e estar prximo ao sistema que ser atacado ajuda no processo de estudo e anlise o conhecimento do atacante, ou seja, projetos podem ser desenvolvidos com a finalidade de analisar o conhecimento de um atacante em dada regio geogrfica.
56
computadores, fazendo com que o IV receba novamente o valor 0, tornando comuns os pacotes com IV com baixos valores. Outra vulnerabilidade do Wep est relacionada ao CRC-32. Como o seu algoritmo de garantia de integridade linear, possibilita que modificaes sejam feitas no pacote sem que sejam detectadas. Apenas com o conhecimento da string de valores pseudoaleatrias possvel alterar o contedo do pacote, no garantindo assim a integridade. Uma das grandes fraquezas do Wep a falta de gerenciamento de chaves, pois o padro Wep no especifica como deve ser a distribuio das chaves.
4.8.7.2 Wpa
O WPA (WiFi Protected Access) foi desenvolvido para resolver algumas das vulnerabilidades tanto do Wep, quanto do IEEE 802.11i. Trazendo os dispositivos do Wep que possuem um bom desempenho e o baixo consumo de recursos computacionais, e do IEEE 802.11i, o protocolo TKIP, explicado anteriormente, que realiza a criptografia dos dados e gerencia a autenticao de cada usurio. Como o Wpa foi desenvolvido para ser executado com os mesmos equipamentos que j usavam o Wep, toda a base de interfaces de rede que permite o upgrade de firmware ser aproveitada. O Wpa uma soluo que completa as lacunas de todas as vulnerabilidades conhecidas do seu antecessor Wep e tem algumas caractersticas do protocolo 802.11i, que estava em desenvolvimento quando o Wpa foi lanado.
4.8.7.3 Firewall
O firewall um servidor que filtra todo o trfego que passa por ele, atravs da rede, nos dois sentidos, com base nas regras de sua configurao. Sendo muito usado como gateway para Internet, o firewall monitora toda entrada e sada de informaes entre a rede e a Internet. Este tipo de firewall tem como objetivo proteger os computadores da rede de acesso no autorizado a partir da Internet. O firewall tambm pode estar localizado no gateway entre os pontos de acesso da rede sem fio com a rede com fio. Assim, o firewall isola as duas redes, com fio e sem fio, evitando assim que pessoas no autorizadas que consigam acesso a uma rede tenham acesso outra.
57
Segundo John Ross, um firewall em uma rede sem fio pode realizar diversas funes, agir como um roteador entre a rede sem fio e a cabeada ou uma conexo direta com a Internet, e bloquear todo o trfego que ocorre do lado da rede sem fio e permitir o do lado da cabeada, que no proveniente de um usurio autenticado, mas no interfere com comandos, mensagens e transferncias de arquivos por parte de usurios confiveis.
58
5. CONCLUSO
Com os assuntos apresentados neste trabalho pode-se perceber como se deve fazer para manter uma rede segura, atravs de mtodos e solues que orientam e previnem contra usurios mal intencionados. Essas orientaes servem para observar e prevenir a segurana das informaes em redes de um modo geral, pois, os ataques podem ocorrer tanto em usurios comuns, pequeno,mdio e grande porte, como tambm em empresas de que so os alvos principais dos invasores.
Nas comparaes feitas entre segurana em redes cabeadas e redes sem fio, analisando esses dois tipos de conexo, e as redes sem fio por estarem sendo usadas no mesmo momento por muitas pessoas, existem algumas diferenas, j nas redes de cabeamento convencional, foi observado que so mais confiveis, pois, o trfego das informaes passa por cabos e no pelo ar, e ainda existem algumas dvidas e discusses sobre a confiabilidade e a eficincia das redes sem fio com relao s redes cabeadas. As redes sem fio usadas no presente momento dispem de simplicidade na instalao e configurao quando comparadas s redes cabeadas, e tambm oferecem um gerenciamento mais fcil. Para futuros projetos de implementao e instalao entre redes com ou sem fio conclui-se, que as redes sem fio so mais viveis na relao custo e benefcio, pois, oferecem maior facilidade de instalao, que um de seus pontos fortes, e sua instalao pode ser feita de forma bem rpida e prtica, economizando tempo e dinheiro.
59
6. REFERNCIAS BIBLIOGRFICAS
APOSTILANDO.COM 2007.Disponvel em <http://www.apostilando.com/redes> .Acesso em 25 mar. 2007. BERNSTEIN,T; BHIMANI, A; SHUTZ, E. Segurana na Internet.Rio de Janeiro.Campus, 1997. BORTOLOLUZZI, Fabrcio.Estratgias de Segurana.Trabalho de concluso de Curso.(Graduao de Informtica), Universidade do Vale do Itaja.Itaja-SC. 2001 FONTES,E. A velha engenharia Social.Disponvel em: <http://www.jseg.net/segurancadainformacao72.htm>. Acesso em 02 maio.2007 GONALVES, J.C. O Gerenciamento da informao e sua segurana contra ataques de vrus de computador. 2002.Trabalho de Tese de Mestrado.Universidade de Taubat UNITAU. HAYAMA,Marcelo M. Montagem de Redes Locais.Prtico e didtico. 9 Edio atualizada e ampliada. Editora rica. So Paulo. SP .2006 LEITE, Professora Maria Marta Arquitetura de Redes de Computadores. Departamento de Informtica e de Estatstica da Universidade Federal de Santa Catarina. KUROSE, James F. Ross, Keith W; Redes de Computadores e a Internet. 1 ed. So Paulo: 2003. MEDEIROS, C.D.R. Segurana da Informao. 2001 75f.Trabalho de Concluso de Curso (Graduao em Informtica) Departamento de Informtica, Universidade da regio de Joinville, Joinville-SC. MORAES, F. A; CIRONE.C.A Redes de Computadores, da Ethernet Internet. Editora rica.So Paulo-SP. 2003 PROJETO DE REDES. 2007.disponvel em http://www.projetoderedes.com.br .Acesso em 22 de mar. 2007. RUFINO, Nelson M. de Oliveira.Segurana de Redes sem Fio. 2 Edio.So Paulo. Novatec Editora, 2005. SANTOS, L.A.L. Engenharia social e Segurana.pdf. Universidade Tiradentes Aracaju-SE. 2004
60
SCHWEITZER, Alessandra.Redes de Computadores/Internet.ESCOLA TCNICA FEDERAL DE PALMAS.Tecnologia de Redes de Computadores. Universidade Estcio de S.Campus 1. Petrpolis-RJ. Lus Rodrigo de Oliveira Gonalves. SOARES, Luiz Fernando Gomes Et Al. Redes de Computadores - das LANS, MANS e WANS s redes ATM. 2.Ed. - Rio de Janeiro: Editor Campus, 1995. TANEMBAUM, Andrew. Redes de computadores. Traduo [ds 3. Ed. Original] Insight Servios de Informtica. - Rio de Janeiro: Ed. Campus, 1997. UNISINOS.Firewalls.pdf.Instalao e uso de firewalls. 1998. Adobe Acrobat reader 5.0
ZWICKY, CHAPMAN, D.B. Building Internet Firewalls. O Reilly & Associates, 1995. ZWICKY, E.; COOPER, S.; CHAPMAN, D.B. Building Internet Firewalls. Sebastpol: O Reilly, 2000. 859 p. ISBN 1-56592-871-7.
61
7. ANEXOS
Fonte: <http://www.invasao.com.br/lei.htm> Acesso em 23 maio, 2007.
7.1 Leis
Projeto de Lei 1.713 - Substitutivo - verso final - Dez Dispe sobre os crimes de informtica e d outras providncias O Congresso Nacional decreta:
62
3. Salvo por disposio legal ou determinao judicial em contrrio, nenhuma informao privada ser mantida revelia da pessoa a que se refere ou alm do tempo previsto para a sua validade. 4. Qualquer pessoa, fsica ou jurdica, tem o direito de interpelar o proprietrio de rede de computadores ou provedor de servio para saber se mantm informaes a seu respeito, e o respectivo teor. Art. 6. Os servios de informaes ou de acesso a bancos de dados no distribuiro informaes privada referentes, direta ou indiretamente, a origem racial, opinio poltica, filosfica, religiosa ou de orientao sexual, e de filiao a qualquer entidade, pblica ou privada, salvo autorizao expressa do interessado. Art. 7. O acesso de terceiros, no autorizados pelos respectivos interessados, a informaes privadas mantidas em redes de computadores depender de prvia autorizao judicial.
63
I - com acesso a computador ou rede de computadores da Unio, Estado, Distrito Federal, Municpio, rgo ou entidade da administrao direta ou indireta ou de empresa concessionria de servios pblicos; II - com considervel prejuzo para a vtima; III - com intuito de lucro ou vantagem de qualquer espcie, prpria ou de terceiro; IV - com abuso de confiana; V - por motivo ftil; VI - com o uso indevido de senha ou processo de identificao de terceiro; ou, VII - com a utilizao de qualquer outro meio fraudulento. Pena: deteno, de um a dois anos e multa. Alterao de senha ou mecanismo de acesso a programa de computador ou dados Art. 10o. Apagar, destruir, alterar, ou de qualquer forma inutilizar, senha ou qualquer outro mecanismo de acesso a computador, programa de computador ou dados, de forma indevida ou no autorizado. Pena: deteno, de um a dois anos e multa. Obteno indevida ou no autorizada de dado ou instruo de computador Art. 11o. Obter, manter ou fornecer, sem autorizao ou indevidamente, dado ou instruo de computador. Pena: deteno, de trs meses a um ano e multa. Pargrafo nico. Se o crime cometido: I - com acesso a computador ou rede de computadores da Unio, Estado, Distrito Federal, Municpio, rgo ou entidade da administrao direta ou indireta ou de empresa concessionria de servios pblicos; II - com considervel prejuzo para a vtima; III - com intuito de lucro ou vantagem de qualquer espcie, prpria ou de terceiro; IV - com abuso de confiana; V - por motivo ftil; VI - com o uso indevido de senha ou processo de identificao de terceiro; ou VII - com a utilizao de qualquer outro meio fraudulento. Pena: deteno, de um a dois anos e multa. Violao de segredo armazenado em computador, meio magntico de natureza magntica, ptica ou similar.
64
Art. 12o. Obter segredos, de indstria ou comrcio, ou informaes pessoais armazenadas em computador, rede de computadores, meio eletrnico de natureza magntica, ptica ou similar, de forma indevida ou no autorizada. Pena: deteno, de um a trs anos e multa. Criao, desenvolvimento ou insero em computador de dados ou programa de computador com fins nocivos. Art. 13o. Criar, desenvolver ou inserir, dado ou programa em computador ou rede de computadores, de forma indevida ou no autorizada, com a finalidade de apagar, destruir, inutilizar ou modificar dado ou programa de computador ou de qualquer forma dificultar ou impossibilitar, total ou parcialmente, a utilizao de computador ou rede de computadores. Pena: recluso, de um a quatro anos e multa. Pargrafo nico. Se o crime cometido: I - contra o interesse da Unio, Estado, Distrito Federal. Municpio, rgo ou entidade da administrao direta ou indireta ou de empresa concessionria de servios pblicos; II - com considervel prejuzo para a vtima; III - com intuito de lucro ou vantagem de qualquer espcie, prpria ou de terceiro; IV - com abuso de confiana; V - por motivo ftil; VI - com o uso indevido de senha ou processo de identificao de terceiro; ou VII - com a utilizao de qualquer outro meio fraudulento. Pena: recluso, de dois a seis anos e multa. Veiculao de pornografia atravs de rede de computadores Art. 14o. Oferecer servio ou informao de carter pornogrfico, em rede de computadores, sem exibir, previamente, de forma facilmente visvel e destacada, aviso sobre sua natureza, indicando o seu contedo e a inadequao para criana ou adolescentes. Pena: deteno, de um a trs anos e multa.
65
66