As Chaves para Criar uma Rede Segura 26 de fevereiro de 2003 ID do Artigo: 2011
	Introdução Projeto e arquitetura da rede Separação preliminar dos serviços de rede Redes para serviços separados Melhores metodologias operacionais gerais Ameaças comuns de rede Conclusão Fontes Adicionais

Uma rede segura requer pensar e agir pró-ativamente - são as providências que você adota ao construir uma rede, as quais irão torná-la, ao final, menos suscetível às questões de segurança. Como um todo, segurança de rede é uma matéria tremendamente ampla, mas não é impenetrável se dividida. Nós recomendamos dar um passo atrás e analisar cada aspecto da rede que precisa de proteção e como construir a rede de forma a ter cada camada protegida por suas respectivas camadas de segurança.

Projeto e arquitetura de rede
Saiba o que você tem e o que precisa proteger. As necessidades do seu negócio e o valor da informação mantida na rede devem determinar a arquitetura da rede e qual solução será aplicada. Quando estiver construindo a rede, mantenha cada serviço separado dos outros. Assim, cada serviço poderá adotar suas próprias medidas de segurança.

Separação preliminar dos serviços de rede
Manter cada serviço separado dos outros é importante, pois isso gera uma camada de segurança para cada serviço.

Eis como você pode iniciar a segurança de sua rede:

1. Use um firewall para proteger a rede de sua empresa da Internet
2. Use um firewall para separar a Intranet da sua empresa dos clientes externos ou de servidores/serviços públicos.

• Intranet - A Intranet contém todos os servidores e aplicativos que são internos na companhia. Esse segmento da rede está agora separado do público da Internet por dois firewalls, oferecendo uma proteção adicional.
• Rede de Serviço ou de Perímetro - Também conhecida como Zona Desmilitarizada ou Zona Neutra, a rede de perímetro (ou redes) fica entre a Internet e a Intranet. Ela contém todos os serviços e informações para clientes ou públicos. Regras podem ser definidas para se acessar essa rede específica.

Essas categorias podem, no final, acabar sendo muito pequenas ou muito grandes, dependendo da sua situação específica. A proteção para cada uma delas deve ser escalonada de acordo com várias camadas de proteção por toda a rede. Todos os componentes de rede podem, em princípio, ser decompostos nessas duas categorias principais e já é um bom ponto de partida para as medidas de segurança na rede.

Mais recomendações
Eis três medidas de segurança mais detalhadas que você pode adotar baseado na segurança acima diagramada:

• Instale no servidor de comércio eletrônico um sistema IDS no host para a salvaguarda de informações como nomes de cliente, endereços, histórico de compras e, mais importante, dados de cartão de crédito
• Implemente a Network Address Translation (NAT - Tradução de Endereços de Rede) para ajudar a proteger os endereços IP das máquinas em ambas as redes
• Insira um IDS de rede na rede de perímetro para ajudar a identificar tentativas de intrusão

Esses aprimoramentos na segurança aumentam a complexidade da rede. Entretanto, eles também limitam o controle sobre os mecanismos de segurança e garantem acesso somente aos serviços aos quais os usuários e aplicativos estão autorizados. Por essa razão, muitas companhias preferem usar um sistema IDS cliente/gerente, o que permite a aplicação de regras e políticas através de uma rede. Outra possibilidade é engajar-se em uma solução totalmente gerenciada de um fornecedor de segurança.

Redes para serviços separados
Uma última recomendação ao projeto da rede é adicionar redes extras para serviços como:

• Backups
• Manutenção de sistema
• Servidores Proxy
• Caixas de recebimento por FTP

Estabelecer redes separadas na empresa permite um melhor controle sobre o acesso a esses serviços e servidores.

Melhores metodologias operacionais gerais
Considere essas regras de melhores metodologias quando estiver construindo a sua rede. Elas devem ajudá-lo a identificar antecipadamente as principais questões de segurança e desvendar algumas das ameaças de rede potenciais que você não tenha vislumbrado antes.

Proteção física e ambiental do hardware
Normalmente, a proteção do hardware não é uma alta prioridade dos administradores de segurança, mas ela não pode ser negligenciada. Isso inclui examinar as necessidades de segurança particulares dos seguintes itens:

• Equipamentos de Rede - Todo equipamento de rede deve ser mantido sob o mesmo tipo de controle ambiental que os computadores da companhia. Isso inclui:
  • Acesso limitado dos funcionários aos equipamentos
  • Temperatura e umidade controladas
  • Ter extintores de incêndio do tipo halogênio
• Cabeamento - Assegure-se de que o cabeamento da rede esteja protegido de interceptações ou danos. Usar fibra óptica evita qualquer junção, mas, se não for possível, tenha um conduíte ao longo do cabo e/ou caixas trancadas nos pontos de inspeção e terminação.

Configurações padronizadas
Se você tem uma pequena rede com um roteador e alguns servidores ou uma rede global atravessando inúmeras pontes, switches e gateways, é importante que as configurações sejam parecidas em todos os equipamentos similares. Por exemplo, firewalls, telnet e FTP devem ter um único conjunto de regras de acesso.

Análise permanente dos arquivos de registro
É importante avaliar continuamente os arquivos de registro dos equipamentos de rede. Freqüentemente, a primeira indicação de que algo incomum está acontecendo é encontrada nesses arquivos.

Controle de acesso à rede
Você precisa saber quem tem acesso à sua rede e ter mecanismos de controle desse acesso. A próxima vez que for distribuir o acesso à rede considere o seguinte:

• Restrinja o acesso aos serviços para os quais usuários e aplicativos têm autorização específica
• Não se esqueça de ter mecanismos de autenticação para conexões remotas, baseados no "valor" da informação que é acessada através da conexão
• Se "relações de confiança" com indivíduos externos os habilitam a acessar a sua rede, tenha certeza de que o acesso é designado especificamente somente para os serviços requeridos.
• Freqüentemente, usuários necessitam de informações de diferentes níveis de valor. Quando estabelecer acesso em múltiplos níveis, assegure-se de que um nível de proteção não exponha um bem de maior valor.

Ameaças comuns de rede
Eis uma análise geral sobre algumas das ameaças comuns à segurança de rede e dicas de como evitar se tornar uma vitima delas:

• Verificação de Porta - Os hackers usam ferramentas de verificação procurando, nos vários hosts conectados em uma rede, portas disponíveis ou abertas. Eles irão comparar essa informação com vulnerabilidades de segurança conhecidas para ver se eles podem obter acesso aos hosts-alvos.
  Para diminuir a ameaça: ligue apenas os serviços que são necessários e use a Tradução de Endereços de Rede (NAT) para impedir que os endereços sejam publicamente expostos na Internet
• Negação de Serviço (DoS - Denial-of-Service) - Projetado para negar acesso aos recursos de computação ou de rede ao inundar o host ou a rede continuamente com solicitações. Em outras palavras, um ataque DoS envia mais solicitações do que o host ou a rede são capazes de responder.
  Para diminuir a ameaça: assegure-se de que os servidores da rede de perímetro não estão funcionando muito perto do limite de sua capacidade e use filtragem de pacotes para que aqueles obviamente falsificados não entrem na rede de perímetro. Além disso, mantenha todos os servidores e hosts atualizados com o último patch disponível.
• "Spoofing" de Endereço de IP - Os hackers descobrem um endereço de IP confiável e o modificam. Assim, o que parece vir de um host confiável na verdade não vem.
  Para diminuir a ameaça: configure seus roteadores e firewalls para rejeitar qualquer pacote que entrar reivindicando ser originário de um host interno à sua rede. Assim, nenhuma máquina externa pode se aproveitar das relações de confiança da rede interna.
• "Sniffing" de Endereço de IP - Intrusos potenciais "sniff" (monitoram) uma rede para capturar informações valiosas como endereços IP, nomes, senhas e registros de usuários em um sistema remoto.
  Para diminuir a ameaça: aplique o uso de senhas complexas e use servidores proxy e NAT.
• Vírus, Cavalos de Tróia e Worms - Apesar de suas diferenças, cada um desses programas maliciosos pode criar um efeito desastroso nos computadores de sua empresa e possivelmente em toda a sua rede.
  Para diminuir a ameaça: sempre execute um software antivírus com uma definição de vírus atualizada e nunca execute um programa não solicitado sem primeiro testá-lo em um host isolado. Eduque todos os funcionários para serem cuidadosos ao abrir e-mails suspeitos de fontes desconhecidas.

Conclusão
Nós discutimos as melhores metodologias comuns em segurança de rede, identificamos algumas das principais questões em segurança quando se constrói uma rede e revimos algumas das ameaças mais comuns à rede. É importante iniciar pensando sobre as necessidades de sua empresa, pois são elas que irão determinar a arquitetura da rede e quais soluções serão adotadas.

Fontes Adicionais

• Para uma abordagem completa sobre os princípios de segurança de informação e rede e de como implementar as soluções em segurança disponíveis, veja Symantec Security Education Services. (inglês)



• O serviço gratuito Symantec Security Check irá ajudá-lo a entender a exposição de seu computador às intrusões on-line e às ameaças de vírus.



• A Symantec Enterprise Security Knowledge Library contém documentos, artigos e outras informações sobre segurança de rede. (inglês)



• O instituto SANS hospeda no seu site uma importante base de dados sobre segurança de informação. Comece verificando a mais recente Lista das 20 Vulnerabilidades mais Críticas em Segurança na Internet do SANS/FBI.