Metodologia e Expresso Tcnico-Cientfica F676 Segurana em Redes de Computadores Prof: Flvia Barros Aluno: Rilter Tavares do Nascimento - Recife, fevereiro de 2007 - Resumo Esta monografia o resultado de um estudo sobre Segurana em Redes de Computadores. Veremos inicialmente as caractersticas mais comuns das redes de computadores. Tambm sero abordados os meios nos quais so feitos os ataques. Por fim, ser discutido sobre poltica de segurana para aumento da mesma e proteo das possveis ameaas. Sumrio RESUMO......................................................................................................................................................2 SUMRIO....................................................................................................................................................3 1.INTRODUO.........................................................................................................................................1 2.SEGURANA DA INFORMAO.......................................................................................................2 3.POLTICA DE SEGURANA................................................................................................................6 4.CONCLUSO...........................................................................................................................................9 REFERNCIAS BIBLIOGRFICAS.....................................................................................................10 1 Introdu!o Toda grande empresa possui uma rede de computadores local, por onde so visualizadas/administradas as informaes de interesse interno. Tal rede possui acesso a nternet, uma via de acesso para invasores. Catstrofes naturais tambm podem acabar com os recursos computacionais, consequentemente acabar com os dados. Atrs de privacidade e segurana, empresas adotam meios para se defenderem das principais ameaas sabendo que o vazamento ou a perca de dados confidenciais podem acabar com as mesmas [3]. Pensando nesses problemas, o presente trabalho procura expor o conceito de redes de computadores [11] e suas principais ameaas [7] [8] [13]. No captulo 2, abordarei a segurana da informao atravs do conceito de redes de computadores e suas principais ameaas. No captulo 3, ser discutido um pouco sobre implantao de uma poltica de segurana, falando sobre suas caractersticas, princpios e poltica de uso. Por ltimo, no captulo 5, esto apresentadas as concluses retiradas do que foi exibido nos captulos anteriores. Pg. 1 " Segurana da Informa!o Toda empresa deseja que os seus dados permaneam sempre seguros, pois trazem informaes preciosas sobre negcios. Estratgias de crescimento, bancos de dados, informaes pessoais de empregados, cdigos e senhas da companhia precisam estar sob uma proteo constante. E geralmente so armazenados em formato digital. A rede de computadores local que tem acesso a esses dados, normalmente, tambm tem acesso nternet, ou seja, contato com o meio externo. Esse contato pode ser um meio de algum de fora tentar invadir a privacidade da empresa. Neste captulo, abordarei dois assuntos importantes ao se tratar de segurana da informao. Um deles uma pequena apresentao do conceito de redes de computadores. O outro assunto tratado ser a abordagem das conhecidas tcnicas de ameaa a informao. 2.1. Redes de Computadores Dois ou mais computadores conectados entre si para compartilhar recursos, informaes e dispositivos, significa existir uma rede de computadores. Estas podem ser classificadas de vrias formas de acordo com a extenso geogrfica, o meio de transmisso, a arquitetura e a topologia [11]. O crescimento das redes vem da necessidade do homem em acessar informao de uma maneira mais simples, tendo como um timo exemplo a nternet. Ela definida pelo Professor Evandro Cant [11] como a rede mundial que interliga milhes de computadores. A maioria destes ltimos so computadores pessoais, estaes de trabalho ou servidores, todos chamados de hospedeiros (hosts) ou sistemas terminais. Pg. 2 2.2. Ameaas Desde os primeiros computadores ligados entre si, j existia uma preocupao com segurana. As redes foram evoluindo e informaes passaram a ser transmitidas cada vez mais rpido. Ento, meios para evitar perdas ou interceptaes vm sendo bastante analisados. Segundo Danillo Wanderley [3], empresas tm feito da nternet uma vitrine (algumas s existem no mundo virtual) justamente para realizao de negcios e manuteno das mesmas no mercado. Essas informaes lhe so cruciais, portanto preciso investir em segurana. O dicionrio Michaelis [16] define segurana como sendo estado, qualidade ou condio de ser livre de perigo ou no exposto a ele. No uma tecnologia a ser comprada, mas um processo dinmico rduo que exige um esforo contnuo para alcanar um patamar aceitvel por ser impossvel de chegar perfeio. Para manter os dados confiveis, ntegros e disponveis quando necessrios, preciso se precaver de ameaas como: - Hackers: pessoas que fazem ataques a sistemas operacionais. Gostam de mostrar seu domnio sobre computao invadindo sistemas, podendo, tambm, roubar informaes e causar danos s vtimas. - Cdigo Malicioso: programas destinados destruio de dados sem o conhecimento do usurio. Um tipo conhecido o vrus que capaz de infectar programas e arquivos em um computador. Os problemas variam de travamentos a perda total dos arquivos. Outro o worm que capaz de se espalhar automaticamente pela rede enviando suas cpias para os outros computadores. Pg. 3 E por fim existe o cavalo de tria que capaz de danificar ou apagar arquivos, roubar senhas, incluso de backdoors e muitas outras aes maliciosas. - Backdoors: permite uma invaso facilitada e oculta ao usurio ao computador comprometido. - Negao de Servios (DoS): tirar de operao um servio ou computador conectado nternet. - Engenharia Social: recursos para obter informaes, atravs do uso da persuaso, que podem ser utilizadas para ter acesso no autorizado a computadores ou informaes. De acordo com [7], existem as diferentes maneiras de se praticar engenharia social. Uma delas atravs de telefone onde hackers ligam para as vtimas imitando algum com uma posio de autoridade e gradativamente vai conseguindo informaes. Outra o trashing que consiste em vasculhar o lixo de empresas no qual uma tima fonte de informaes tais quais agendas telefnicas, lembretes, polticas das empresas, calendrios de encontros, logins e senhas, entre outros. Tambm existe a maneira on-line onde pessoas costumam repetir a mesma senha para todas as suas contas criadas na nternet, ento, se um hacker descobrir uma senha, ter acesso a mltiplas contas. Pop-up's, emails falsos e anexos executveis desconhecidos em emails so algumas maneiras de se conseguir as senhas na rede. E por fim temos a engenharia social reversa onde hackers se passam por pessoas de autoridade para serem questionados por empregados da empresa. Este tipo de engenharia social necessita de uma grande preparao e tem como etapas fazer sabotagem, propaganda e dar assistncia sem ser reconhecido. A informao desejada obtida na ltima etapa. Pg. 4 Como podemos verificar atravs das ameaas, ao estar com sua rede de computadores conectada com o mundo exterior, fica-se exposto invaso de privacidade. No seria agradvel, ter seus dados roubados por algum estranho. Pensando nisso, preciso sempre implantar uma poltica de segurana, conceito que ser definido no prximo captulo. Pg. 5 # Pol$tica de Segurana Uma poltica de segurana criada com a inteno de estabelecer regras que devem ser seguidas por todos que tiverem acesso aos recursos tecnolgicos de tal empresa bem como estipular os requisitos mnimos para aquisio de hardware e software. Ela est ligada diretamente segurana da informao. O famoso provrbio "prevenir melhor do que remediar deve ser seguido pela poltica de segurana criada, ou seja, todos os envolvidos precisam estar em alerta quanto s falhas na segurana corrigindo-as o mais rpido possvel e no aguardar que acontea algum desastre para poder agir. Na sua implantao, normal que haja problemas com os atrasos nas atividades porque mudana sempre causa transtorno. Todos, de usurios a gerncia organizacional, devem estar de acordo aps a compreenso dos pontos abordados na poltica de segurana. Para isso, buscar simplicidade, tentar ser o mais abrangente possvel e atender a necessidade dos envolvidos importante. 3.1. Caracterstica Alguns aspectos precisam ser seguidos para a elaborao de uma boa poltica de segurana. So eles: - Atender a necessidade da companhia e ser aprovada por todos; - Ser de simples entendimento e utilizao, evitando definies tcnicas; - Possuir a responsabilidade de cada cargo envolvido; Pg. 6 - Possuir planos a serem seguidos caso as regras no sejam cumpridas; - Ter sido avaliada quanto aos custos; - dentificar os servios estritamente necessrios, o que no for expresso como permitido ser proibido. Seria importante fornecer treinamentos para conscientizar todos os funcionrios da importncia do uso da poltica de segurana, pois se as pessoas no seguirem as regras todo o investimento ser perdido. Por exemplo, o que adiantaria colocar uma poltica de senha para uso obrigatrio de nmeros, letras e caracteres especiais se o usurio anota sua senha num lembrete colado no monitor. Alm de se preocupar com aspectos pessoais, a segurana fsica tambm um fator a ser levado em conta. preciso proibir o acesso de pessoas estranhas aos equipamentos e proteg-los de catstrofes naturais. 3.2. Princpios Os seguintes princpios so os alicerces de uma forte poltica de segurana: - Disponibilidade: dados disponveis sempre que algum usurio requisitar. A falta de proteo resulta em vrios ataques, assim, resultando em perda ou reduo de dados; - ntegridade: evita que informaes sejam alteradas indevidamente. As imagens resgatadas so idnticas s armazenadas; - Confidencialidade: garante que as informaes sejam entregues aos usurios certos. Protegendo a privacidade de ambos; Pg. 7 - Confiana: garante o backup de informaes e que elas estaro disponveis sempre que for preciso. Tambm se devem ter registrado os componentes que iro definir direitos e privilgios de cada usurio e as caractersticas mnimas dos produtos a serem comprados/adquiridos. 3.3. Poltica de Uso A poltica de uso um documento que define claramente as reas de responsabilidades de todos envolvidos na poltica de segurana, assim como as penas para o caso do no cumprimento das regras. Define-se tambm um regulamento de uso dos recursos computacionais da empresa junto com seus responsveis. Por recursos computacionais, entendem-se equipamentos, instalaes e banco de dados mantidos pela empresa. Com a implantao de uma poltica de segurana seguindo passo a passo o que deve ser feito, as informaes permanecero muito pouco vulnerveis. Como j foi citado antes, segurana um processo pr-ativo, ou seja, seus participantes precisam estar atentos a falhas e consert-las prontamente. Pg. 8 % Conclus!o Esta monografia foi o resultado de um estudo sobre Segurana em Redes de Computadores. Vimos inicialmente as caractersticas mais comuns das redes de computadores. Tambm foram abordados os meios nos quais so feitos os ataques os quais somos vulnerveis apenas por estar em contato com o mundo exterior. Por fim, foi discutido um pouco sobre poltica de segurana para aumento da mesma e proteo das possveis ameaas, mas para isso precisa-se da cooperao de todos os usurios envolvidos no processo. Sabe-se que essa rea de segurana ainda tem muito que crescer, pois toda empresa necessita at mesmo de uma mnima segurana. E por mais que tenhamos cuidado, sempre existe uma brecha para invases. Nada 100% seguro quanto a proteo da informao digital. Por conta disso, dia aps dia, o investimento tem sido cada vez maior. Pg. 9 Refer&ncias 'ibliogrficas [1] CENTRO DE ESTUDOS, RESPOSTA E TRATAMENTO DE NCDENTES DE SEGURANA NO BRASL. Prticas de Segurana para (dministradores de Redes Internet. 2003. Disponvel em: <http://www.cert.br/docs/seg-adm-redes/seg-adm-redes.html>. Acesso em: 03 nov. 2006. [2] CENTRO DE ESTUDOS, RESPOSTA E TRATAMENTO DE NCDENTES DE SEGURANA NO BRASL. Cartil)a de Segurana para Internet, verso 3.1. So Paulo: Comit Gestor da nternet no Brasil, 2006. Disponvel em: <http://cartilha.cert.br/livro/>. Acesso em: 03 nov. 2006. [3] WANDERLEY, D. L. Pol$ticas de Segurana. 2005. 48 p. Dissertao (Especializao em Administrao em Redes Linux) Universidade Federal de Lavras, Minas Gerais. [4] VERWOERD, T. (ctive *et+or, Securit-. 1999. 53 p. Disponvel em: <http://www.cosc.canterbury.ac.nz/research/reports/HonsReps/1999/hons _9909.pdf>. Acesso em: 03 nov. 2006. [5] COMPUTER SECURTY RESOURSE CENTER. Computer Securit- .uidance/ Publications/ 0ibrar-. Disponvel em: <http://csrc.nist.gov/publications/>. Acesso em: 03 nov. 2006. [6] W3C. 1)e 2orld 2ide 2eb Securit- F(3. 2002. Disponvel em: <http://www.w3.org/Security/Faq/www-security-faq.html>. Acesso em: 03 nov. 2006. [7] SECURTY FOCUS. Social Engineering Fundamentals/ Part I4 5ac,er 1actics. 2001. Disponvel em: <http://www.securityfocus.com/infocus/1527/>. Acesso em: 03 nov. 2006. [8] SECURTY FOCUS. Social Engineering Fundamentals/ Part II4 Combat Strategies. 2002. Disponvel em: <http://www.securityfocus.com/infocus/1533/>. Acesso em: 03 nov. 2006. [9] ANTSPAM.BR. Apresenta informaes sobre spam. Disponvel em: <http://www.antispam.br/>. Acesso em: 03 nov. 2006. [10] HOULE, K. J.; WEAVER, G. M. 1rends in 6enial of Service (ttac, 1ec)nolog-. 2001. 20 p. Disponvel em: Pg. 10 <http://www.cert.org/archive/pdf/DoS_trends.pdf>. Acesso em: 03 nov. 2006. [11] CANT, Evandro. Redes de Computadores e Internet. Santa Catarina: CEFET-SC So Jos, 2003. 79 p. Apostila. [12] TANEMBAUM, Andrews. Redes de Computadores. 4a. Edio. Editora Campus, Ltda. 1997. SBN 8535211853. [13] MCCLURE, S., SCAMBRAY, J, KURTZ, G. 5ac,ers E7postos4 Segredos e Solu8es para a Segurana de Redes. 4 edio, Editora Makron Books, 2003, SBN 8535211497. [14] KARGL F; MAER J; WEBER M. Protecting +eb servers from distributed denial of service attac,s. Proceedings of the 10th international conference on World Wide Web, 2001. 514-524. SBN: 1- 58113-348-0. [15] SPECHT S. M; LEE R. B. 6istributed 6enial of Service4 1a7onomies of (ttac,s/ 1ools and Countermeasures. 17th nternational Conference on Parallel and Distributed Computing Systems PDCS-2004, Setembro 2004. [16] DCONRO Michaelis. Disponvel em: <www.uol.com.br/michaelis>. Acesso em: 03 nov. 2006. Pg. 11