Lista: conheça 5 métricas de segurança da informação para negócios

Transcrição

1 Lista: conheça 5 métricas de segurança da informação para negócios Especialistas em segurança de informação gostam de argumentar sobre uma longa lista de possíveis métricas para medir a postura de seu sistema de segurança. Para gerentes e executivos, o cenário precisa ser simplificado para uma coleção menos controversa de medidas. Enquanto os administradores de segurança se focam em métricas técnicas, os gerentes e chefes têm como objetivo observar como a proteção interage com a empresa, afirmou Kevin Lawrence, associado sênior de segurança na empresa de segurança de TI Stach e Liu. Tudo depende se o impacto no negócio vale a recompensa da segurança. Não tem sentido fechar uma vulnerabilidade se depois não puder realizar negócios, afirmou Lawrence. Aqui estão cinco métricas de segurança para rastrear seus negócios. Fique pareado é avaliar se indústria. Em receita de TI com seus iguais: um bom começo para as empresas estão gastando a media das empresas de sua 2012, espera-se que a segurança conte com 7% da nas empresas americanas, segundo a empresa de inteligência de negócios Forrester Research. O número varia com empresas de serviço financeiro gastando mais e fabricantes e área de saúde, menos. Se seus parceiros gastam 6% de sua receita de TI em segurança e você, 2%, provavelmente há um problema, afirmou Lawrence. Apesar da métrica não indicar se a receita é gasta da maneira correta, é uma boa forma de medida. Correção de alto desempenho: saber quanto tempo demora para aplicar uma correção em todos os sistemas da empresa é outra métrica crítica. Uma semana ou menos é o ideal. A correção

2 não é tudo há muitos zero-days por aí. Mas há uma alta correlação entre explorações no modo selvagem e vulnerabilidades que podem ser corrigidas, afirmou Andrew Jaquith, chefe de tecnologia da empresa de serviço de segurança Perimeter e-security. Apesar da correção não ser necessariamente o equivalente à segurança, é um indicador do controle da empresa sobre seu sistema. Padronização = segurança: para muitas empresas, manter o sistema atualizado com uma imagem padrão permite que seus funcionários mantenham em segurança dezenas ou milhares de programas de software em cada sistema. A padronização também ajuda a garantir que seu sistema esteja em conformidade com as regras que afetam o negócio. Segundo Lawrence da Satch & Liu, se você possui cem computadores diferentes em seu ambiente e apenas 80 são padronizados, então há uma grande falha que é imprescindível que seja fechada. Checando a lista rapidamente: empresas têm que estar em conformidade com inúmeras regas ou permissões de clientes e consumidores. Medir a rapidez com que os funcionários das empresas checam a lista crítica é uma boa medida de segurança, afirmou Jaquith da Perimeter. Como as equipes de TI estão atoladas de lista de coisas para fazer, a melhor métrica é se focar nos problemas críticos durante uma auditoria: os que estão marcados de vermelho, afirmou Jaquith. Dome a infraestrutura Cowboy : finalmente, se a empresa tem frequentes correções emergenciais e problemas de manutenção sem mencionar tempo fora do ar geralmente tem pouca segurança. Emergências são tipicamente uma indicação de que a infraestrutura não é bem gerenciada. Se 50% de suas mudanças são feitas em modo emergencial e não como manutenção típica, sua infraestrutura é cowboy. E cowboys não levam à boas operações, e mais importante, não levam a resultados seguros, afirmou Jaquith. A maioria das empresas agendam janelas de tempos fora do ar para manutenção, correção ou outras atividades. Ter qualquer atividade que tenha impacto na

3 segurança nessas janelas indica que a empresa está planejando adequadamente suas ações. Fonte: IT Web Proxy Cache e Reverso Ele possui várias funções que, se trabalhadas junto com o firewall, podem trazer ótimos resultados em relação ao compartilhamento, controle e segurança de acesso à internet. Proxy Cache Proxy é um servidor que atende a requisições repassando os dados do cliente à frente: um usuário (cliente) conecta-se a um servidor proxy, requisitando algum serviço, como um arquivo, conexão, página web, ou outro recurso disponível no outro servidor. Quando acessamos uma página, fazemos uma requisição ao servidor WEB que armazena o conteúdo. Após a solicitação ser processada, a nossa máquina começa a fazer download da página solicitada. O cache nada mais é do que um um depósito dos sites acessados pela rede. Uma máquina da rede solicita acessar um site, obviamente com o proxy instalado em um servidor. Esta requisição primeiramente passará pelo proxy, que por sua vez, verificará no diretório de cache se tal página está armazenada. Estando, ele devolve a página armazenada para o cliente local, caso contrário, irá buscar esta página, fará o download, entregará a solicitação para o usuário e guardará a página em cache.

4 Existe um limite dado pelo administrador da Rede para que ele não armazene tudo. Delimitando o tamanho, o servidor trabalha sozinho. Ele guarda as informações mais recentes e, quando o diretório estiver cheio, ele apagará os documentos mais antigos, ou seja, aqueles que raramente são acessados, deixando, assim, os sites mais visitados. Outra função interessante são suas politicas de controle de acesso,conhecidas por ACL (Acces Control List). Elas permitem especificar endereços de origem ou destino, domínio, horários, usuários, portas ou métodos de conexão ao proxy, que serão utilizados para permitir ou negar acessos. A vantagem disso tudo, é que, uma empresa que quer ter controle sob o que seus empregados estão acessando, e na realidade, o que eles podem ou não acessar. Em resumo, algumas vantagens são: 1- É possível impor restrições de acesso com base no horário, login, endereço IP da máquina e outras informações, além de bloquear páginas com conteúdo indesejado. É por isso que quase todos os softwares de filtro de conteúdo envolvem o uso de algum tipo de proxy, muitas vezes o próprio Squid (já que, como o software é aberto, você pode incluí-lo dentro de outros aplicativos, desde que respeitando os termos da GPL). 2- O proxy funciona como um cache de páginas e arquivos, armazenando informações já acessadas. Quando alguém acessa uma página que já foi carregada, o proxy envia os dados que guardou no cache, sem precisar acessar a mesma página repetidamente. Isso acaba economizando bastante banda, tornando o acesso mais rápido. 3- Uma terceira vantagem de usar um proxy é que ele loga todos os acessos realizados através dele. Você pode visualizar os

5 acessos posteriormente usando o Sarg, um gerador de relatórios que transforma as longas listas de acessos dos logs em arquivos html bem organizados. Servidor Proxy Proxy Reverso Um proxy reverso é um servidor de rede geralmente instalado para ficar na frente de um servidor Web. Todas as conexões originadas externamente são endereçadas para um dos servidores Web através de um roteamento feito pelo servidor proxy, que pode tratar ele mesmo a requisição ou, encaminhar a requisição toda ou parcialmente a um servidor Web que tratará a requisição. Um proxy reverso repassa o tráfego de rede recebido para um conjunto de servidores, tornando-o a única interface para as requisições externas. Por exemplo, um proxy reverso pode ser usado para balancear a carga de um cluster de servidores Web. O que é exatamente o oposto de um proxy convencional que age como um despachante para o tráfego de saída de uma rede, representando as requisições dos clientes internos para os servidores externos a rede a qual o servidor proxy atende. Proxy Reverso nada mais é do que um servidor burro que apenas recebe requisições e delega as mesmas ou então faz algo simples,como devolver uma página pré processada, mas ele é burro não sabe executar aquela requisição por completo, ele

6 é um proxy não é o servidor de verdade. Proxy Reverso Em poucas palavras, o Proxy Reverso é o servidor que irá receber as requisições para aplicações de clientes da internet e entregá-las a rede local ou uma DMZ. Algumas de suas vantagens são: Segurança Se você tem uma camada antes de chegar ao seu servidor, você pode incluir um firewall ou algo do gênero para verificar se tal requisição é ou não segura o suficiente para chegar ao ser web server. Outro benefício é que o seu proxy reverso é isolado do seu web server, assegurando que a requisição não sabe para onde ela vai a seguir; Balanceamento de Carga Um proxy reverso é inteligente o suficiente para fazer o que chamamos de Balanceamento de Carga. Imagine que você possui diversos web servers

7 rodando a mesma aplicação e você deseja distribuir as requisições para aquele servidor web que não está ocupado. Um proxy reverso fica responsável por essa delegação. Ou seja uma requisição chega ao Proxy Reverso e ele sabe para qual servidor enviar ela; Cache Você pode colocar um cache no seu proxy reverso, para que, caso a requisição que ele devolva não necessite de nenhum processamento no web server, o próprio proxy já devolva a resposta, aumentando a performance da sua aplicação; Criptografia SSL A criptografia SSL pode ser delegada ao próprio servidor proxy, ao invés dos servidores Web. Neste caso, o servidor proxy pode ser dotado de aceleradores criptográficos de alta performance; Compressão Um servidor proxy pode otimizar e comprimir o conteúdo tornando o acesso mais rápido; Soluções instaláveis : Cisco Cache Engine ( iplanet Web Proxy Server ( ISA Server ( LocalDirector ( ProxySG ( Squid Web Proxy Cache ( Nginx ( Apache ( Soluções em Appliance: Citrix NetCaler ( Cisco CSM Content Switch Module ( F5 -Big IP ( Veja o vídeo abaixo como material adicional.

8 Questões de Concursos (FGV 2010 BADESC Analista de Sistemas Suporte Técnico e Gerência de Redes de Computadores) Squid é um software muito empregado em redes corporativas como servidor proxy e cache HTTP, pelo alto desempenho e suporte a HTTP, FTP e Gopher. Em sua operação, o Squid recebe os pedidos de usuários que desejam visualizar páginas externas e verifica se tem a página em cache. Se tiver a página em cache, verifica se ela ainda é válida e envia para o cliente e, caso contrário, busca a página no servidor externo, armazena no cache e transmite para o cliente. Deste modo, na próxima vez que outro usuário solicitar esta página, a mesma será carregada muito mais rapidamente, pois estará em um cache local. No processo de instalação e configuração, deve-se definir em qual IP e porta o Squid deverá aguardar requisições. Utilizando o IP e considerando o default para a porta, um comando válido, é: a) #http port :8080 b) #http port :2135 c) #http port :5050 d) #http port :9632 e) #http port :3128 (Prova: FGV 2009 MEC Gerente de Segurança) O objetivo principal de um servidor proxy é possibilitar que máquinas de uma rede privada possam acessar uma rede pública, como a Internet, sem que para isto tenham uma ligação direta com esta. O Servidor proxy costuma ser instalado em uma máquina que tenha acesso direto à Internet, sendo que as demais efetuam as solicitações por meio desta. A configuração do squid fica gravada em um determinado arquivo e em um diretório específico. Esse arquivo e esse diretório são conhecidos, respectivamente, por:

9 a) b) c) d) e) squid.conf e /sys/squid squid.cfg e /sys/squid squid.conf e /etc/squid squid.cfg e /etc/squid squid.conf e /cfg/squid (Prova: FGV 2009 MEC Administrador de Redes) O Squid é um software livre, um servidor que funciona como um intermediário no contato dos computadores da rede local com outras máquinas fora dela, como na internet. Ele recebe as requisições de acesso externo dos hosts locais e as repassa a outros computadores fora da rede local, retornando as respostas aos computadores que as solicitaram. O Squid oferece uma série de recursos que o tornam uma excelente alternativa para aproveitamento mais racional da comunicação. Dentre esses recursos, dois são descritos a seguir. I. O Squid armazena o conteúdo acessado, de forma que se algum host fizer novamente uma requisição ao mesmo conteúdo, que já se encontra armazenado, ele recebe diretamente esse conteúdo, sem a necessidade de efetuar uma nova busca dos dados na Internet. O uso desse recurso resulta em maior rapidez no acesso à Internet, pois o link do host com o proxy é bem mais rápido do que deste com a Internet. II. O acesso ao servidor proxy pode ser limitado por meio do controle de acesso dos usuários, já que somente usuários autorizados poderão acessar a Internet. Este recurso é bastante flexível e pode ser implementado de várias maneiras, como pelo uso do protocolo LDAP. Os recursos descritos são denominados respectivamente: a) cache e autenticação. b) cache e validação. c) cache e autorização. d) swap e validação. e) swap e autenticação. (Prova: CESPE 2010 TRE-MT Analista Judiciário Tecnologia da Informação) A utilização de proxy-server pode

10 melhorar significativamente os recursos de rede, uma vez que os objetos solicitados podem estar nele armazenados. Quanto a esse assunto e em relação ao Squid proxy-server, assinale a opção correta. a) O Squid suporta a política de substituição GDSF (greedy dual-size frequency) b) A execução do comando squid -k parse, pela linha de comando, permite verificar a consistência dos objetos armazenados em cache. c) O Squid define métodos específicos para a remoção de objetos em cache, entre os quais, o método REMOVE. d) O NTFS (NT file system) é o sistema de arquivos padrão utilizado pelo Squid versão 2.5. e) O Squid suporta apenas os protocolos HTTP e HTTPS. Comentários e Gabarito (FGV 2010 BADESC Analista de Sistemas Suporte Técnico e Gerência de Redes de Computadores) Squid é um software muito empregado em redes corporativas como servidor proxy e cache HTTP, pelo alto desempenho e suporte a HTTP, FTP e Gopher. Em sua operação, o Squid recebe os pedidos de usuários que desejam visualizar páginas externas e verifica se tem a página em cache. Se tiver a página em cache, verifica se ela ainda é válida e envia para o cliente e, caso contrário, busca a página no servidor externo, armazena no cache e transmite para o cliente. Deste modo, na próxima vez que outro usuário solicitar esta página, a mesma será carregada muito mais rapidamente, pois estará em um cache local. No processo de instalação e configuração, deve-se definir em qual IP e porta o Squid deverá aguardar requisições. Utilizando o IP e considerando o default para a porta, um comando válido, é: Letra E. A porta padrão do Squid é a 3128.

11 (Prova: FGV 2009 MEC Gerente de Segurança) O objetivo principal de um servidor proxy é possibilitar que máquinas de uma rede privada possam acessar uma rede pública, como a Internet, sem que para isto tenham uma ligação direta com esta. O Servidor proxy costuma ser instalado em uma máquina que tenha acesso direto à Internet, sendo que as demais efetuam as solicitações por meio desta. A configuração do squid fica gravada em um determinado arquivo e em um diretório específico. Esse arquivo e esse diretório são conhecidos, respectivamente, por: Letra C. O arquivo de configuração é o squid.conf e fica no diretório /etc/squid/. (Prova: FGV 2009 MEC Administrador de Redes) O Squid é um software livre, um servidor que funciona como um intermediário no contato dos computadores da rede local com outras máquinas fora dela, como na internet. Ele recebe as requisições de acesso externo dos hosts locais e as repassa a outros computadores fora da rede local, retornando as respostas aos computadores que as solicitaram. O Squid oferece uma série de recursos que o tornam uma excelente alternativa para aproveitamento mais racional da comunicação. Dentre esses recursos, dois são descritos a seguir. I. O Squid armazena o conteúdo acessado, de forma que se algum host fizer novamente uma requisição ao mesmo conteúdo, que já se encontra armazenado, ele recebe diretamente esse conteúdo, sem a necessidade de efetuar uma nova busca dos dados na Internet. O uso desse recurso resulta em maior rapidez no acesso à Internet, pois o link do host com o proxy é bem mais rápido do que deste com a Internet. II. O acesso ao servidor proxy pode ser limitado por meio do controle de acesso dos usuários, já que somente usuários autorizados poderão acessar a Internet. Este recurso é bastante flexível e pode ser implementado de várias maneiras, como pelo uso do protocolo LDAP. Os recursos descritos são denominados respectivamente:

12 Letra A. A afirmativa I é uma explicação do que o cache, assim como a II é de autenticação. (Prova: CESPE 2010 TRE-MT Analista Judiciário Tecnologia da Informação) A utilização de proxy-server pode melhorar significativamente os recursos de rede, uma vez que os objetos solicitados podem estar nele armazenados. Quanto a esse assunto e em relação ao Squid proxy-server, assinale a opção correta. Letra A. O GDSF é uma política de memória onde ele armazena no cache arquivos pequenos, pois são de maior chance de serem solicitados novamente. Esta política é boa para ambientes com muitos usuários. O comando squid -k parse verifica se o arquivo de configuração tem erros. O Squid suporta os protocolos HTTP, SSL, FTP, WAIS. Conceito de Filtragem Pacotes e Firewall de Os primeiros firewalls usavam a filtragem de pacote somente para proteger a rede interna de usuários externos. O firewall verificava o cabeçalho de cada pacote que entra na rede interna e tomava a decisão de permitir ou bloquear o pacote baseado no IP usado e o numero da porta especificado no cabeçalho, na parte de TCP ou UDP. Filtragem de pacotes é o bloqueio ou liberação da passagem de pacotes de dados de maneira seletiva, conforme eles atravessam a interface de rede. Em sistemas Linux, por exemplo, a filtragem de pacotes é implementada diretamente no kernel. Esses filtros inspecionam os pacotes com base nos cabeçalhos

13 de transporte, rede ou até mesmo enlace. Os critérios mais utilizados são os endereços IP e portas TCP/UDP de origem e destino. Alguns filtros de pacotes também são capazes de transformar o conteúdo dos pacotes, como é o caso do netfilter do Linux. Normalmente as pessoas se referem ao filtro de pacotes do Linux pelo nome de iptables. Na verdade, o iptables é uma utilitário de linha de comando a partir do qual podem ser configuradas as regras de filtragem do netfilter. O netfilter é formado por um conjunto de cadeias. Cada cadeia é um ponto no caminho que um pacote IP percorre ao entrar ou sair de uma máquina. A figura mostra as cadeias do netfilter. Estrutura do Netfilter Existem dois tipos de políticas aplicáveis aos pacotes filtrados: Permissivo Aceita tudo que não é expressamente proibido. Restritivo Nega tudo e só encaminha o que for expressamente permitido. A filtragem de pacotes IP é normalmente feita usando um roteador de filtragem de pacotes, quando tais pacotes passam pelo roteador. Normalmete, um roteador de filtragem de pacotes pode filtrar pacotes baseados em alguns ou todos os campos abaixo:

14 Endereço IP de Endereço IP de Portas TCP/UDP Portas TCP/UDP origem; destino; de origem; de destino. Estes sistemas analisam individualmente os pacotes à medida em que estes são transmitidos da Camada de Enlace (camada 2 do modelo ISO/OSI) para a Camada de Rede (camada 3 do modelo ISO/OSI). A principal desvantagem desse tipo de tecnologia é a falta de controle de estado do pacote, o que permite que agentes maliciosos possam produzir pacotes simulados (IP Spoofing) para serem injetados na sessão. Filtragem por política é uma forma diferente de se escrever um conjunto de regras de filtragem. Uma política é definida, a qual configura as regras para quais tipos de tráfego são permitidos e quais tipos são bloqueados. Os pacotes são então classificados, baseando-se no critério tradicional de endereço IP/porta de origem/destino, protocolo, etc. Firewall Firewall é um sistema de proteção de redes internas contra acessos não autorizados originados de uma rede não confiável (Internet), ao mesmo tempo que permite o acesso controlado da rede interna à Internet. Eles podem ser um hardware e/ou software, tendo diferentes tipos de proteção como: pacotes, , web, etc. Apesar de se tratar de um conceito geralmente relacionado a proteção contra invasões, o firewall não possui capacidade de analisar toda a extensão do protocolo, ficando geralmente restrito ao nível 4, de Transporte, da Camada OSI. A complexidade de instalação depende do tamanho da rede, da política de segurança, da quantidade de regras que controlam o

15 fluxo de entrada e saída de informações e do grau de segurança desejado. A análise da arquitetura de implementação de firewalls traz os conceito de Bastion Host e DMZ. Bastion Hosts são servidores cuidadosamente implementados e de alta segurança que mantém contato com a rede externa, consequentemente estando expostos aos riscos de ataques. Algumas de suas características são: Todo tráfego entre a rede interna e a externa (entrada e saída) deve passar pelo Firewall; Somente o tráfego autorizado passará pelo Firewall, todo o resto será bloqueado; O Firewall em si deve ser seguro e impenetrável; Tipos de controles realizados: Controle de Serviço: determina quais serviços Internet (tipos) estarão disponíveis para acesso; Controle de Sentido: determina o sentido de fluxo no qual serviços podem ser iniciados; Controle de Usuário: controla o acesso baseado em qual usuário está requerendo (tipicamente os internos, ou externo via VPN); Controle de Comportamento: controla como cada serviço pode ser usado (ex: anti-spam); Proxy Firewall Aplicação / Gateways de Os conceitos de gateways de aplicação (application-level gateways) e bastion hosts foram introduzidos por Marcus Ranum em Trabalhando como uma espécie de eclusa, o firewall de proxy trabalha recebendo o fluxo de conexão, tratando as requisições como se fossem uma aplicação e originando um novo pedido sob a responsabilidade do

16 mesmo firewall (non-transparent proxy) para o servidor de destino. A resposta para o pedido é recebida pelo firewall e analisada antes de ser entregue para o solicitante original. Embora os firewalls de filtro de pacotes e statefull apresentem uma diferenças em como pacotes de uma determinada conexão são tratados, ambos se baseiam fundamentalmente nas informações do cabeçalho dos protocolos da camada de transporte. Um application gateway é um firewall stateful capaz de inspecionar os dados da camada de aplicação para tomar decisões mais inteligentes sobre a conexão. Exemplos de controles realizados por um application gateway são autenticação, filtros de URL e filtros de conteúdo. Um application gateway pode ser utilizado para bloquear, por exemplo, aplicações peer to peer (emule, Kaaza etc.), ou mensageiros instantâneos (IRC, MSN etc.) que tentam se esconder debaixo do protocolo HTTP. No entanto, os application gateway não são capazes de inspecionar dados criptografados via SSL, por exemplo. Os gateways de aplicações conectam as redes corporativas à Internet através de estações seguras (chamadas de bastion hosts) rodando aplicativos especializados para tratar e filtrar os dados (os proxy firewalls). Estes gateways, ao receberem as requisições de acesso dos usuários e realizarem uma segunda conexão externa para receber estes dados, acabam por esconder a identidade dos usuários nestas requisições externas, oferecendo uma proteção adicional contra a ação dos crackers. Firewall Statefull Um firewall de filtro de pacotes é dito um firewall sem estado. Isso porque ele trata cada um dos pacotes que atravessam a interface de forma independente.

17 As conexões TCP são caracterizadas por uma série de atributos como IP s de origem e destino, portas de origem de destino, números de sequência etc. Em conjunto, esses atributos determinam o estado de uma conexão TCP. Ao contrário dos firewalls de filtro de pacotes, um firewal stateful não filtra pacotes de forma isolada, mas sim com base em informações sobre o estado de conexões pré-estabelecidas. Para um firewall stateful, a comunicação bi-direcional é implícita, de forma que não há necessidade de se escrever regras de filtragem para cada um dos sentidos. A seguir são mostrados alguns exemplos de ragras para um firewall stateful utilizando a sintaxe do iptables. Com a explosão do comércio eletrônico, percebeu-se que mesmo a última tecnologia em filtragem de pacotes para TCP/IP poderia não ser tão efetiva quanto se esperava. Com todos os investimentos dispendidos em tecnologia de stateful firewalls, os ataques continuavam a prosperar de forma avassaladora. Somente a filtragem dos pacotes de rede não era mais suficiente. Os ataques passaram a se concentrar nas características (e vulnerabilidades) específicas de cada aplicação. Percebeu-se que havia a necessidade de desenvolver um novo método que pudesse analisar as particularidades de cada protocolo e tomar decisões que pudessem evitar ataques maliciosos contra uma rede. Se comparado com o modelo tradicional de Firewall, orientado a redes de dados, o Firewall de Aplicação é frequentemente instalado junto à plataforma da aplicação, atuando como uma espécie de procurador para o acesso ao servidor (Proxy). Este tipo de Firewall conta com o Stateful Inspection para inspecionar pacotes e tráfego de dados baseado nas características de cada aplicação, nas informações associadas a todas as 7 camadas do modelo OSI (e não apenas na camada de rede ou de aplicação) e no estado das conexões e sessões ativas

18 Questões de Concursos (CESPE 2011 TJ-ES Analista Judiciário Análise de Suporte Específicos) O denominado firewall de estado é um tipo de firewall mais simples que atua na camada de rede (camada 3), para filtrar tráfego a partir de endereços IP de origem e destino e a partir da porta TCP ou UDP. ( ) Certo ( ) Errado (CESPE 2011 Correios Analista de Correios Analista de Sistemas Suporte de Sistemas) As ferramentas de firewall conhecidas como filtro de pacotes trabalham na camada de transporte e de rede do protocolo TCP/IP e tratam os protocolos TCP e UDP e as portas de acesso aos serviços. ( ) Certo ( ) Errado (CESPE 2010 MPU Técnico de Informática) Configurar o firewall da rede para bloquear os pacotes destinados a qualquer servidor de HTTP externo é medida que impede que os funcionários dessa empresa utilizem os computadores para acessar a Internet. ( ) Certo ( ) Errado (CESPE 2010 MPU Analista de Informática Perito) No caso de um usuário remoto acessar rede com firewall de aplicativo proxy ou gateway de aplicativo, os pacotes IP serão encaminhados à rede interna, na qual, então, o proxy gerencia a conexão. ( ) Certo ( ) Errado (CESPE 2010 MPU Analista de Informática Perito) Firewall pode autorizar, negar ou descartar um pacote de dados como resultado da comparação entre uma tabela de regras e o resultado da análise de cabeçalhos de pacotes que contém os protocolos utilizados, assim como as portas e os

19 endereços IP de origem e destino do pacote. ( ) Certo ( ) Errado (CESPE 2010 ABIN OFICIAL TÉCNICO DE INTELIGÊNCIA ÁREA DE DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS) Um firewall Linux pode ser implementado por meio de um servidor proxy. Nesse caso, as devidas autorizações do usuário e as demais opções de configuração são conferidas em uma tabela. ( ) Certo ( ) Errado (CESPE 2010 BASA Técnico Científico Tecnologia da Informação Suporte Técnico) É importante que o sistema operacional da máquina na qual o firewall está sendo executado seja confiável e seguro para que ela não seja facilmente invadida e o firewall, comprometido. ( ) Certo ( ) Errado (ESAF 2004 CGU Analista de Finanças e Controle Área Tecnologia da Informação Prova 3) Analise as seguintes afirmações relativas a tipos e configuração de Firewall: I. A conversão de endereços de rede NAT permite que uma rede utilize um conjunto de endereços de rede internamente e use um conjunto diferente ao lidar com redes externas. II. O sistema de conversão de endereços de rede pode modificar os números de portas de origem e destino (podendo ser chamado de conversão de portas e endereços PAT). III. Um firewall com arquitetura de host dual-homed é construído com um computador que tem apenas uma interface operando nos dois sentidos, isto é, recebe um pacote, analisa e devolve ao meio físico pela mesma interface de rede. Esta arquitetura, muito útil para pequenas empresas, permite configurar um computador como firewall e roteador ao mesmo tempo. IV. Uma regra de filtragem tem sua segurança próxima do ideal quando utiliza como parâmetro principal o endereço de origem. Estão corretos os itens: a) I e II

20 b) c) d) e) II e III III e IV I e III II e IV (CESGRANRIO 2005 MPE-RO Analista de Redes e Comunicação de Dados) Qual das funções abaixo um firewall NÃO realiza em uma rede? a) Bloquear acesso não autorizado aos aplicativos remotos que podem ser perigosos para a rede. b) Criar redes privadas virtuais (VPN). c) Filtrar URL, negando acesso para sites não autorizados. d) Suportar varreduras de vírus no correio eletrônico. e) Tratar códigos maliciosos de ataques do tipo CavalodeTróia. Gabarito e Comentários das Questões (CESPE 2011 TJ-ES Analista Judiciário Análise de Suporte Específicos) O denominado firewall de estado é um tipo de firewall mais simples que atua na camada de rede (camada 3), para filtrar tráfego a partir de endereços IP de origem e destino e a partir da porta TCP ou UDP. Errado. O Firewall de Estado (Stateful) é um firewall mais robusto que a filtragem de pacotes e atua em todas as 7 camadas do modelo OSI. A descrição dada na questão é de um filtro de pacotes. (CESPE 2011 Correios Analista de Correios Analista de Sistemas Suporte de Sistemas) As ferramentas de firewall conhecidas como filtro de pacotes trabalham na camada de transporte e de rede do protocolo TCP/IP e tratam os

21 protocolos TCP e UDP e as portas de acesso aos serviços. Correto. (CESPE 2010 MPU Técnico de Informática) Configurar o firewall da rede para bloquear os pacotes destinados a qualquer servidor de HTTP externo é medida que impede que os funcionários dessa empresa utilizem os computadores para acessar a Internet. Errado. A Internet não é composta somente por um serviço que roda através de um servidor HTTP. Ainda temos os servidores de s (IMAP/POP3/SMTP), mensageiros instantâneos, servidores de arquivos com FTP, e outros serviços. Baseado na questão, o filtro de pacotes apenas restringiu o acesso ao serviço HTTP, mas não impediu. (CESPE 2010 MPU Analista de Informática Perito) No caso de um usuário remoto acessar rede com firewall de aplicativo proxy ou gateway de aplicativo, os pacotes IP serão encaminhados à rede interna, na qual, então, o proxy gerencia a conexão. Errado. O Proxy não tem a função de encaminhar os pacotes, mas sim de ser um interprete entre a conexão externa e a interna. Ao receber uma requisição, ele irá gerar uma outra para o destino final, não encaminhando o IP original, mas sim o seu próprio IP. (CESPE 2010 MPU Analista de Informática Perito) Firewall pode autorizar, negar ou descartar um pacote de dados como resultado da comparação entre uma tabela de regras e o resultado da análise de cabeçalhos de pacotes que contém os protocolos utilizados, assim como as portas e os endereços IP de origem e destino do pacote. Correto. (CESPE 2010 ABIN OFICIAL TÉCNICO DE INTELIGÊNCIA ÁREA

22 DE DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS) Um firewall Linux pode ser implementado por meio de um servidor proxy. Nesse caso, as devidas autorizações do usuário e as demais opções de configuração são conferidas em uma tabela. Correto. (CESPE 2010 ABIN OFICIAL TÉCNICO DE INTELIGÊNCIA ÁREA DE DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS) Um firewall Linux pode ser implementado por meio de um servidor proxy. Nesse caso, as devidas autorizações do usuário e as demais opções de configuração são conferidas em uma tabela. Correto. (ESAF 2004 CGU Analista de Finanças e Controle Área Tecnologia da Informação Prova 3) Analise as seguintes afirmações relativas a tipos e configuração de Firewall: Letra A. O item III está errado pelo fato de um firewall host dual-homed ser composto por duas ou mais interfaces de rede. Um computador que fica entre duas redes pode ser um dual-homed gateway, já que este pode atuar como um roteador entre as redes. Mas no caso de um firewall deste caso, esta função de roteamento é desabilitada. Desta forma, os pacotes IP vindos da Internet não são repassados diretamente para a rede interna. Sistemas dentro dofirewall podem se comunicar com o dual-homed host, e sistemas fora do firewall podem somente se comunicar com o dual-homed host. Já no item IV, não podemos afirmar que a segurança está perto do ideal somente com o endereço de origem, pois ele pode ser burlado com IP Spoofing, por exemplo. (CESGRANRIO 2005 MPE-RO Analista de Redes e Comunicação de Dados) Qual das funções abaixo um firewall NÃO realiza em uma rede? Letra E. Tratar códigos maliciosos é função do anti-vírus.

23 Conceito de DMZ A DMZ, do termo em inglês DeMilitarized Zone, ou seja, Zona Desmilitarizada, nada mais é do que áreas intermediárias entre a rede interna e externa onde os servidores que recebem tráfego externo estão hospedados de maneira separada da rede interna de uma empresa, por exemplo. Sua função é manter os serviços que possuem acesso externo separados da rede local, restringindo ao máximo um potencial dano causado por algum invasor, tanto interno como externo. Ela permite o acesso de usuários externos aos servidores específicos localizados na rede de perímetro, ao mesmo tempo em que evita o acesso à rede corporativa interna. Ela tem como papel principal ser uma espécie de uma rede tampão entre as redes externa e interna. A configuração é realizada através do uso de equipamentos de Firewall, que vão realizar o controle de acesso entre a rede local, a Internet e a DMZ (ou, em um modelo genérico, entre as duas redes a serem separadas e a DMZ). Os equipamentos situados na DMZ têm como função fornecer serviços aos usuários externos, de tal modo que estes não necessitem acessar a rede interna, proporcionando um certo grau de isolamento da rede interna (confiável) em relação ao tráfego que vêm da rede externa (não confiável). Os equipamentos na DMZ podem estar em um switch dedicado ou compartilhar um switch da rede, porém neste último caso devem ser configuradas Redes Virtuais distintas dentro do equipamento, também chamadas de vlans (Ou seja, redes diferentes que não se enxergam dentro de uma mesma rede LAN) porem isto não sera abordado.

24 Os equipamentos colocados na DMZ devem ser configurados de modo a funcionar com o mínimo de recursos possíveis ao oferecer um determinado serviço. Além disso, o comprometimento de um equipamento qualquer situado na DMZ não deve servir para o comprometimento de equipamentos e/ou serviços da rede interna, ou seja, qualquer tentativa de ataque deve ficar confinada aos equipamentos situados na DMZ. Veja alguns exemplos de DMZ: Exemplo de DMZ com Serviços Conforme a figura os servidores WEB, de arquivos e de podem ser acessados de ambas as redes. Normalmente administradores de redes não permitem que qualquer tráfego passe diretamente através de uma DMZ. Uma DMZ pode ser implementada com fitros de rede configurados nas suas bordas, estes filtros são responsáveis por realizar o controle de acesso do que entra e do que sai da DMZ e podem ser do tipo packet filtering, stateful packet filtering e de cache como servidores de proxy conhecidos como ALGs (Application Layer Gateway). O Packet filtering limita o tráfego dentro da rede baseado no destino e na origem de endereços IPs, portas e outras flags que podem ser utilizadas na implementação das regras de filtro. O Stateful packet filtering filtra o tráfego baseado no

25 destino e na origem dos endereços IPs, portas, flags além de realizar stateful inspection uma inspeção de pacotes que permite o armazenamento de dados de cada conexão em uma tabela de sessão. Esta tabela armazena o estado do fluxo de pacotes e serve como ponto de referência para determinar se os pacotes pertencem a uma conexão existente ou se são pacotes de uma fonte não autorizada. As ALGs funcionam no nível da aplicação e interceptam e estabelecem conexões dos hosts da rede interna com a rede externa, autorizando ou não a conexão. As DMZs podem possuir a capacidade de conter um ataque e limitar os danos na rede. Uma das arquiteturas mais utilizadas são as DMZs que utilizam uma solução de defesa em camadas. Exemplo de DMZ com VPN A forma mais simples de projetar uma DMZ é utilizando um Proxy Firewall com três ou mais interfaces de rede, onde cada uma delas terá um papel específico: Rede interna confiável; Rede DMZ; Rede Externa não confiável (Internet). Se for utilizar uma DMZ com regras de Firewall, o Firewall será normalmente configurado para proteger a rede interna da Internet. Para criar uma DMZ, o firewall também deve aplicar

26 as regras para proteger o DMZ a partir da Internet e das regras destinadas a proteger a rede interna da DMZ. Isto tornará mais difícil para um atacante para penetrar a rede interna. É possível ainda separar a DMZ em múltiplos hosts da DMZ, o que irá aumentar um pouco mais a segurança, já que se um host dele for comprometido, os outros estarão seguros por se encontrarem em outra DMZ. Dentro das características das DMZ podemos citar: Servidores que precisam ser acessados externamente são posicionados dentro de uma DMZ; As DMZs são estabelecidas entre duas zonas de segurança; Em uma DMZ pode-se posicionar dispositivos para realizarem um cache de rede; As DMZs realizam o controle do tráfego do que entra e do que sai da rede; A DMZ pode conter um ataque sem que o mesmo passe para dentro da rede. Questões de Concursos (FGV 2008 Senado Federal Analista de Suporte de Sistemas) A necessidade cada vez maior de uso da Internet pelas organizações e a constituição de ambientes corporativos levam a uma crescente preocupação com a segurança, fazendo com que o firewall assuma um papel de elevada importância. A esse respeito, analise o esquema e as afirmativas abaixo.

27 I. A zona desmilitarizada (DMZ) refere-se à parte que fica entre a rede interna, que deve ser protegida, e a rede externa. II. O esquema evita parcialmente o problema de comprometimento da rede interna da organização, caso um ataque ao servidor de dados tenha sucesso. III. O proxy existente no firewall protege a rede atuando como um gateway, operando na camada de rede do modelo OSI/ISO. Assinale: a) se somente a afirmativa I estiver correta. b) se somente as afirmativas I e III estiverem corretas. c) se somente as afirmativas I e II estiverem corretas. d) se somente as afirmativas II e III estiverem corretas. e) se todas as afirmativas estiverem corretas. (FCC 2007 TRE-MS Analista Judiciário Área Judiciária) Uma DMZ Zona Desmilitarizada é um segmento de rede parcialmente protegido que para possibilitar maior segurança na Internet deve estar associada ao mecanismo de proteção a) Plano de contingência. b) Proxy. c) Criptografia. d) Firewall. e) Sistema de detecção de intrusão.

28 Gabarito e Comentários das Questões (FGV 2008 Senado Federal Analista de Suporte de Sistemas) A necessidade cada vez maior de uso da Internet pelas organizações e a constituição de ambientes corporativos levam a uma crescente preocupação com a segurança, fazendo com que o firewall assuma um papel de elevada importância. A esse respeito, analise o esquema e as afirmativas abaixo. Letra C. Como na terceira afirmativa ele especificou que é o Proxy existente no Firewall em si, ele está referindo-se ao Proxy Firewall, que trabalha na Camada de Aplicação Modelo OSI (7). Caso fosse apenas um Proxy fazendo papel de filtragem de tráfego, seria a terceira Camada do Modelo OSI, a de Rede. Se fosse um Stateful Packet Inspection, estaria trabalhando na Camada 4 do Modelo OSI, a de Transporte. (FCC 2007 TRE-MS Analista Judiciário Área Judiciária) Uma DMZ Zona Desmilitarizada é um segmento de rede parcialmente protegido que para possibilitar maior segurança na Internet deve estar associada ao mecanismo de proteção Letra D. O Firewall tem exatamente essa função de proteger os segmentos de sub-redes.

29 10 erros de segurança do SharePoint que você provavelmente comete Considere o caso de Bradley Manning, o analista de inteligência das Forças Armadas americanas que foi acusado de vazar 250 mil documentos governamentais ao WikiLeaks. De acordo com um investigador das Forças Armadas, que testemunhou em uma audiência para determinar se Manning deveria ir a julgamento, um dos laptops do executivo continha uma planilha Excel com uma aba contendo múltiplos scripts Wget criados para baixar grandes quantidades de arquivos direcionados a um servidor SharePoint que armazenava documentos da prisão da Base Naval da Baía de Guantánamo, com relatou o site Wired.com. O investigador declarou também que ele rodou os scripts para baixar os documentos, baixou os documentos publicados pelo WikiLeaks e descobriu que eram os mesmos. De forma parecida, muitos negócios que confiam no SharePoint para armazenar informações confidenciais e até mesmo sigilosas devem saber quem tem acesso a tais dados e por que. Qual a melhor forma de fazer isso? Comece evitando esses 10 erros muito comuns na segurança de SharePoint. 1. Fraco treinamento de segurança. Segundo uma pesquisa com 100 usuários SharePoint, conduzida pela fornecedora de segurança Cryptzone, em novembro de 2011 durante o evento SharePoint Saturday, 92% concordaram que retirar informações do SharePoint tornavam-no menos seguro, mas 30% estão dispostos a fazê-lo se isso ajudar no trabalho. Obviamente, existe desconexão em muitos negócios entre segurança e produtividade. Preocupantes 34% dos entrevistados disseram, também, que nunca sequer consideraram as implicações de segurança relacionadas ao SharePoint.

30 2. Barreiras de colaboração. Da mesma forma, a pesquisa descobriu que 45% dos usuários copiam, regularmente, dados confidenciais ou sigilosos do SharePoint para seus computadores e daí para pendrives ou s para outras pessoas. Na maioria dos casos (55%), essas cópias facilitam o compartilhamento de informações com outros sem acesso aos documentos no SharePoint. Isso destaca a necessidade dos negócios de estabelecer políticas claras em relação a como informações são compartilhadas e então, monitorar o acesso e reforçar políticas de compliance. 3. Supervisão incerta de segurança. Quem é responsável pela segurança do SharePoint? Em 69% dos negócios, a pesquisa da Cryptzone descobriu que a responsabilidade de gerenciamento de acesso caia sobre administradores internos de TI. Mas 22% dos entrevistados o que incluiu usuários de SharePoint, administradores, desenvolvedores e arquitetos não sabiam quem era responsável, o que sugere que existe uma falha na supervisão e, portanto, na responsabilidade de acesso nos negócios. 4. Direito de acesso amplo demais. Quando se trata de acesso, geralmente, menos é mais. Um dos problemas mais comuns que vemos com o SharePoint é que o usuário final tem privilegio de acesso amplo demais, disse o analista-sênior do Enterprise Management Associates (EMA), Torsten Volk, por . É muito trabalhoso criar papéis de usuário e mapeá-los no Active Directory, e ainda mais trabalhoso mantê-los atualizados, revisados e removê-los após a saída dos funcionários. De acordo com Scott Crawford, diretor de pesquisas do EMA, esse desafio fez surgir empresas como Aveksa, Varonis e outras para analisar padrões de uso e determinar prováveis guardiões de dados. 5. Sem observar observadores. Segundo a Cryptzone, 34% dos administradores de TI contaram que visualizam documentos sem autorização, incluindo detalhes de funcionários (34%

31 dos entrevistados) e informações de salário (23%). Em outras palavras, é muito frequente que não se separe, de forma eficiente, os deveres dos vigias de segurança e os administradores de SharePoint. 6. Falha de criptografia. Saído da caixa, o banco de dados SQL do SharePoint não é criptografado, mas adicionar criptografia pode ser difícil e causar problemas de desempenho. De acordo com Volk, do EMA, no entanto, manter o conteúdo em plaintext deixa-o vulnerável a descoberta e exploração e pode levantar questões de regulamentação em ambientes sujeitos a regulamentação de proteção de dados sigilosos. Para ajudar, Volk disse que fornecedores de segurança como a CipherPoint podem garantir sigilo, o que também ajuda a manter a separação de deveres entre equipes de segurança e administradores de SharePoint. 7. Indexação descuidada de pesquisa. Frequentemente, disse Volk, administradores de SharePoint usam uma conta de administração para a indexação de pesquisa, o que faz com que resultados de buscas apareçam quando não são para todos. Por mais que esses documentos não possam ser abertos, os resultados de pesquisas exibem duas linhas em prévia. De acordo com Crawford, esse é um exemplo de algo muito comum em muitos outros aspectos de TI, quando contas administrativas são usadas sem necessidade em operações, resultando em maior exposição a riscos. 8. Fraca manutenção de Internet Information Services. Microsoft IIS devem ser corrigidos com freqüência para serem seguros, disse Volk, ainda assim, muitos negócios falham ao manter seu software de servidor SharePoint atualizado. Manutenção de sistemas para segurança pode ser um desafio para muitas empresas, mas é um problema em especial para pequenas e médias empresas, que

32 geralmente, simplesmente não têm pessoal, tempo ou experiência suficiente para administrar apropriadamente, disse Crawford via Fraca segurança de endpoint. O SharePoint Workspace agora permite que usuários sincronizem com bibliotecas SharePoint para que tenham acesso ao conteúdo SharePoint offline, disse Volk. Mas o que acontece se esse endpoint for comprometido? Crawford recomenda ferramentas de segurança de endpoint mais fortes, incluindo criptografia de disco para prevenir que brechas em PC vazem segredos do SharePoint. 10. Falha na detecção de vírus. Muitas empresas falham na detecção de arquivos que são enviados às bibliotecas de conteúdo, disse Volk. Isso pode levar a disseminação de malware via SharePoint. Da mesma forma, ele disse, muitas empresas também falham ao não considerarem os bancos de dados SharePoint em seus planos de recuperação de desastre. Quando se trata de administrar SharePoint, Crawford disse que nem todos os tópicos acima são, necessariamente, considerados erros. Enquanto alguns são, outros refletem os desafios da administração de um ambiente em que conteúdo geralmente sigiloso é compartilhado, especialmente quando as ferramentas evolvidas não foram criadas exclusivamente pra isso. Em outras palavras, se seu negócio usa o SharePoint para armazenar informações sigilosas, ignorar fatores de segurança e monitoramento de acesso aos dados é arriscar alto demais. Fonte: IT Web

33 Vítimas de phishing só percebem golpe depois de dar informações Usuários deve manter softwares atualizados e pesquisar promoções ou alertas bancários antes de enviar respostas com dados pessoais. A Cielo afirmou nesta terça-feira (7/02) durante o evento de segurança e de redes da Campus Party 2012 que a maior parte dos internautas vítimas de phishing só pesquisam promoções e s maliciosos depois que forneceram os números de cartões de crédito para os golpistas. A Cielo também fez um alerta importante: nenhuma promoção pede o número do seu cartão de crédito via . O consultor de segurança da Cielo, Willian Caprino, apresentou durante a palestra desta tarde no evento de tecnologia diversos s de internautas que relatavam ter enviado informações em resposta a s de promoções e avisos bancários falsos. Capino declarou que existem apenas três formas de vazamento de dados de usuários que compram via internet: por meio de vírus ou malware, que permitem que os crackers tenham acesso a tudo que os internautas digitam; phishing, quando golpistas enviam promoções ou avisos bancários maliciosos e as vítimas enviam seus dados para os cibercriminosos; e no caso de invasões, que geralmente ocorrem quando os internautas não mantém em dia as atualizações dos seus softwares e os crackers exploraram essas brechas para roubar informações. O consultor também afirmou que há mais chances de ter um número de cartão de crédito roubado em lojas físicas, que em alguns casos não tratam os dados do comprador com idoneidade, do que de fato na internet. No entanto, Caprino disse que com

34 a popularização do uso de chips nos cartões de crédito, a fraude migrou para a internet. E se houver uma compra fraudulenta, o usuário precisa estar atento à sua fatura e ligar ao banco pedindo o cancelamento da compra e isso deve resolver os problemas, declarou. A internet é um lugar como a vida real, você tem riscos. Mas também muitos benefícios. A chance do seu cartão ser clonado na internet é muito menor que em outros lugares por aí. No evento de segurança e redes, os palestrantes elencaram algumas dicas para comprar na web sem dor de cabeça, veja a lista abaixo: Pesquise a veracidade de informações de promoções ou avisos bancários solicitando informações pessoais antes de enviar uma resposta; Pesquise a reputação do vendedor Mantenha as atualizações dos seus softwares em dia; Instale um anti-vírus no seu computador e fique atento às novas definiões de vírus; Crie senhas fortes, evite usar datas de aniversário ou números sequênciais. Caprino também afirmou que uma técnica que deve ser implantada de forma gradual é linkar páginas de lojas a portais de bancos para efetivar transações, e isso pode permitir até mesmo o uso de cartões de débito, mas devido ao tamanho dessa mudança, o processo está acontecendo aos poucos e quase nenhum site brasileiro faz isso. Fonte: IDG Now!

35 Maioria dos ataques DDoS não tem motivação financeira, afirma relatório Cerca de dois terços dos ataques no mundo tiveram objetivos políticos, ideológicos. O hackativismo substituiu os objetivos financeiros como principal motivador para interromper o tráfego de um site com um ataque DDoS, de acordo com um documento da Arbor Networks, companhia de segurança de redes. Informações anteriores mostravam que os principais fatores eram financeiros, seja por razões de competição ou extorsão de terceiros apontou a empresa no sétimo Worldwide Infrastructure Security Report, relatório emitido uma vez por ano. No ambiente atual, qualquer empresa pode ser tornar alvo de um ataque, e visto a variedade de ferramentas para realizar um ataque DDoS, qualquer um pode realizar um ataque. Isso representa uma mudança de cenário em relação às ameaças e no modelo de avaliação de riscos de para os operadores de rede e consumidores finais que dependem da Internet para seus negócios continuou. A Arbor também levantou que dois terços de todos os ataques DDoS no mundo foram motivados por razões políticas, ideológicas, niilistas ou simplesmente vandalismo. Além disso, a pesquisa mostrou que grande parte dos responsáveis pelas redes continua sem procurar as autoridades quando é atacada; eles não acreditam na capacidade e vontade das autoridades em investigarem esse tipo de atividade. Ano passado foi um período notável para ameaças na web porque