brasil
 sites mundiais
produtos
compras symantec
serviço e suporte
security response
downloads
sobre a symantec
pesquisa
comentarios


© 1995-2005 Symantec Corporation.
Todos os direitos reservados.
Notas Legais
Política de Privacidade
soluções corporativas



Implementando e Gerenciando uma Política de Segurança VPN
23 de Abril de 2002 ID do Artigo: 1298

Produtos Relacionados

Redes Virtuais Privadas e Políticas de Segurança; O que elas têm em comum? Empresas geralmente acreditam que se utilizarem as tecnologias VPN, estarão protegidas contra ataques. Apesar disso ser em parte verdade, pois um ataque de terceiros em uma VPN já estabelecida é realmente difícil, uma VPN é na verdade um canal onde as informações fluem sem verificação. O termo “sem verificação” provoca grande apreensão nos oficiais de segurança corporativa.
Esse artigo examina várias questões que as empresas que planejam usar tecnologias VPN ou que já utilizam essa tecnologia devem considerar, ao gerenciar essas entidades.

Requisitos das Necessidades Comerciais
As necessidades comerciais só podem ser especificadas por proprietários de negócios, que desejam se comunicar. Porém, a maioria dos proprietários de negócios não são especialistas de segurança e normalmente definem somente um requisito geral, como: A empresa "A" precisa se comunicar com a empresa "B". Pouco ou nenhum esforço é investido na definição exata do que A necessita se comunicar com "B". Eles se comunicarão via ftp, e-mail, telnet, IRC…..? Eles usarão somente groupware? Sem um entendimento claro dos requisitos de serviços para a VPN, é extremamente difícil, senão impossível, de se proteger seguramente contra abusos.

Requisitos de políticas: É necessário que os diretóres e proprietários de negócios definam explicitamente suas necessidades para a conexão com a VPN.
.

Limitações de Protocolo
Quando uma empresa implementa uma VPN aberta, ela não tem controle sobre as tarefas malignas que podem ser executadas contra seus sistemas e informações, ou sobre as informações que podem ser transmitidas através da VPN.

Empresas que investem na implementação e criação de uma VPN a partir de uma perspectiva técnica, sempre buscam aplicar controles no nível do protocolo. Restrições técnicas de protocolo tentam limitar os usuários ao uso de produtos específicos, por exemplo, ftp, telnet, bate-papo (IRC), etc. Normalmente, pouca ou nenhuma consideração é feita com relação ao volume, conteúdo, direção, origem ou destino do tráfego, apesar desses serem os controles que devem ser determinados e implementados. Com isso, todos os recursos são associados a um protocolo requerido fornecido, ou um subconjunto desse recurso poderia atender aos requisitos do proprietário do negócio? Por exemplo, é necessário que a leitura e gravação estejam disponíveis ou somente leitura atenderá aos requisitos solicitados?

Requisitos de políticas: Os protocolos e configurações suportadas devem atender aos requisitos comerciais, porém não devem excedê-los.

Verificação/Filtragem de conteúdo
Uma empresa dá um grande passo a frente, quando restringe os protocolos que podem ser transmitidos através de sua VPN. Porém, níveis de controle mais avançados podem ser requeridos, como filtragem de conteúdo. Esses requisitos podem ser legislações locais, nacionais, internacionais ou regulamentos da indústria.

O uso da filtragem de conteúdo é carregado não somente de questões técnicas, inclusive desempenho, mas também de questões políticas e até mesmo legais; a empresa “espionando” as informações transmitidas através de suas redes, uma vez que a empresa monitora e verifica o conteúdo dos dados, à medida que entra ou sai da VPN.

Requisitos de políticas: Se a filtragem de conteúdo for necessária, use o nível mínimo necessário para atender os requisitos comerciais ou regulamentares.

Origem e Destino
Após estabelecer as informações que podem ser transportadas através da VPN, a próxima área a se considerar é para onde as informações podem ir ou a partir de onde podem ser obtidas.

A consideração dessa questão é vital quando várias VPNs estiverem configuradas, sendo que cada uma pode transportar diferentes tipos de informações de e para destinos diferentes. O ponto principal é que a empresa necessita definir as informações liberadas e para quem liberá-las e o tipo de informações obtidas e de onde obtê-las.

Essa área da política está relacionada à classificação das informações da empresa e às políticas de controle. As empresas que não possuem essas políticas, porém desejam utilizar a tecnologia VPN, estão vulneráveis a diferentes tipos de abusos não especificados.

Requisitos de políticas: As empresas não podem determinar tais controles, ao menos que entendam e documentem as informações mais importantes e como as diferentes informações devem ser protegidas.

Controle de acesso
Relacionado à questão acima, porém não restrito a ela, a questão dos locais do gateway da VPN e do controle de acesso é um grande problema enfrentado por todas as organizações que implementam a tecnologia VPN. Essa é uma questão de política diretamente relacionada à arquitetura de segurança da rede, que uma empresa implementa para proteger suas informações, sistemas e redes. O problema se resume ao tipo de acesso que o usuário da VPN terá à rede interna da empresa, antes que suas credenciais de usuário sejam verificadas e antes que o conteúdo da sessão atual seja validado como compatível com a política de segurança. Quanto mais acesso aos servidores e sistemas centrais da empresa um usuário tiver, mais dependente a empresa será dos controles implementados no gateway da VPN local. Se, por qualquer motivo, esses controles falharem, um ataque poderá ocorrer rapidamente nesses servidores centrais. Esse problema gera certa preocupação sobre o número de verificações feitas em uma conexão de entrada; uma empresa deve depender de uma única verificação ou deverá determinar várias verificações?

Do ponto de vista de segurança, várias verificações são sempre recomendadas, porém do ponto de vista comercial, toda verificação extra de credenciais torna mais difícil e, consequentemente, mais caro o acesso legítimo de usuários às informações.

Requisitos de políticas: As empresas devem determinar as arquiteturas de segurança da rede e controles de acesso que atendam aos seus requisitos de proteção comercial.

Para empresas que desejam interligar escritórios dispersados geograficamente, usando VPNs, é necessário considerar as opções de redundância de VPN, onde VPNs múltiplas conectando quaisquer escritórios determinados são construídas usando diferentes provedores de serviços e diferentes provedores de telecomunicações. Apesar dessa estrutura fornecer um bom nível de proteção, quando um mecanismo de transporte VPN falha, o gerenciamento do ambiente e os custos a ele associados podem forçar a empresa a executar uma análise de riscos. Os resultados dessa análise podem ou não mostrar as despesas adicionais decorrentes.

Requisitos de políticas: Empresas, onde os requisitos comerciais ocorrerem, devem determinar o mínimo possível de medidas de emergências e requisitos de redundância na arquitetura de segurança da rede.

Problemas entre fronteiras
Quando uma empresa for multinacional e os dados compartilhados entre vários escritórios, parceiros e, possivelmente, clientes e fornecedores, vários problemas se tornam aparentes. Por exemplo, o regulamento de privacidade de um país pode ser inaplicável ou inexistente em outro. Outro problema é a segurança da criptografia da VPN para a proteção das informações em trânsito. A segurança de uma criptografia “convencional” para um país pode ser considerada altamente perigosa em outro.

Os problemas entre fronteiras não estão restritos às VPNs, mas aplicam-se também a todas as redes multinacionais.

A criação de uma solução efetiva para esse problema requer uma equipe que utilize os talentos do gerenciamento comercial, da consultoria jurídica internacional e da especialidade técnica para a solução de problemas. Em alguns casos, o uso de uma VPN pode não ser uma solução apropriada.

Requisitos de políticas: As empresas devem usar VPNs internacionais somente quando for necessário proteger seus negócios, desde que seu uso não infrinja os regulamentos e leis nacionais ou internacionais. Quando isso representar um problema, os requisitos comerciais devem ser revisados e soluções alternativas devem ser investigadas.

Duração de uma VPN
VPNs podem ser estabelecidas somente quando necessário ou estabelecidas por um período de tempo determinado. É necessário decidir o modo operacional requerido, pois cada modelo possui um conjunto de atributos de segurança diferentes, que a empresa precisa gerenciar.

 

  • No caso de uma VPN ‘sob demanda’, onde a VPN só existe durante a transferência das informações, uma empresa normalmente define um conjunto de políticas de acesso para o usuário que determina os mecanismos de autenticação do usuário, restrições físicas de localização do usuário e o tipo de informações que podem ser transferidas. Esse tipo de VPN é comumente usada por um usuário móvel, que disca para receber e-mails, etc. Nesse caso há normalmente somente um usuário para cada VPN.

  • No caso de uma VPN permanente ou semi permanente, que normalmente conecta dois escritórios, é mais provável que hajam vários usuários, pois os dois escritórios parecem compartilhar a mesma LAN. Nesse caso, níveis de controle adicionais podem ser necessários para que alguns usuários acessem certos tipos de informações.

Uma VPN não utilizada, porém ativa, é uma porta aberta para qualquer usuário malicioso que queira atacar a empresa porém, uma regra de segurança é minimizar a duração de uma VPN ativa.

Requisitos de políticas: A duração de uma VPN deve ser minimizada para atender aos requisitos comerciais.

Resumo
Empresas que acreditam que a implementação e gerenciamento de uma solução de VPN é uma tarefa fácil, certamente enfrentarão dificuldades ao tentar gerenciá-la seguramente. Como descrevemos acima, o gerenciamento de uma VPN segura requer um grande compromisso e conhecimento para desenvolver e implementar as políticas necessárias para o fornecimento desse serviço. Normalmente os problemas encontrados por uma empresa são mais complexos do que as questões locais, e eles freqüentemente se tornam questões internacionais, onde é necessário um conhecimento de leis e regulamentos locais, para evitar que tais leis ou regulamentos sejam infringidos por algum usuário da empresa.

A solução desses problemas não é simples e poderá requerer um esforço conjunto das equipes jurídicas, de gerenciamento e especialização técnica, para criar, implementar e gerenciar suas soluções VPN.

Sobre o autor
Stuart Broderick, PhD, é responsável pelo desenvolvimento dos serviços de segurança da Symantec em todo o mundo. O Symantec Security Services fornece informações sobre as soluções de segurança, que incorporam a melhor tecnologia, especialistas e práticas de segurança do mercado, além dos melhores recursos globais para proporcionar o sucesso de E-business. Dr. Broderick trabalhou extensivamente em posições sênior de desenvolvimento de negócios e consultoria de segurança, para empresas de alta tecnologia na Inglaterra e nos Estados Unidos. Seus 19 anos de experiência incluem a criação de programas de treinamento personalizado e desenvolvimento e implementação de programas de gerenciamento de segurança, políticas, procedimentos e práticas. Dr. Broderick possui várias publicações em alta tecnologia e segurança de informações e já se apresentou em várias conferências internacionais.


Outros artigos
Para mais ler mais sobre segurança para redes e Internet, acesse o site da Symantec em:
http://www.symantec.com.br/region/br/enterprisesecurity/
content/security_articles.html
assine
Outros Artigos de Segurança
Centro de Imprensa
 
 
Licencias Parcerias da Symantec Channel Partners Home