A
Internet é um ambiente aberto criado com a finalidade
de facilitar a troca de informações. Utilizar esse ambiente
de rede e outros serviços de comunicação disponíveis
traz grandes benefícios para as organizações, que podem
se tornar mais ágeis e competitivas no mercado. No entanto,
a ampliação do alcance proporcionado pela Internet também
torna a segurança das informações vulnerável a novos
tipos de ameaças. Por esse motivo, a conexão de uma
empresa a uma rede externa deve ser bem projetada para
que alcance todos os seus objetivos e extraia ao máximo
todos os recursos disponíveis de sua infra-estrutura
sem oferecer riscos para as informações dos seus usuários.
Aspectos de
segurança
A segurança deve ser
uma preocupação básica ao se elaborar o projeto de uma
rede de computadores. Normalmente a segurança é inversamente
proporcional à simplicidade e facilidade de uso/configuração
da rede. Por exemplo, um servidor da rede pode centralizar
diversos serviços para atender a rede externa (Internet)
e a rede privada (interna). Esta configuração gera problemas
de segurança como:
Exposição da rede
interna à Internet - Os serviços da rede interna (e-mail,
por exemplo) estando localizados na mesma máquina
que provê os serviços externos (web, por exemplo),
deixarão os dados do usuário expostos em caso de uma
invasão;
Maior fragilidade
a vulnerabilidades conhecidas - O fato de concentrar
muitos serviços em uma única máquina gera esse tipo
de problema, pois quanto mais serviços disponíveis,
mais vulnerabilidades podem ser exploradas e, conseqüentemente,
existe um maior grau de exposição e risco de invasão;
A solução para estes
problemas está na divisão dos serviços por níveis de
criticidade e a criação de uma DMZ (Zona Desmilitarizada).
Separa-se assim, por exemplo, o servidor de e-mail do
servidor web, pois o servidor de e-mail é o serviço
predileto para ataques externos e neste caso, se invadido,
não representará maiores riscos para o servidor web,
um serviço crítico para os sistemas baseados em web.
Opção pelo firewall
Um firewall é uma passagem
("gateway") que restringe e controla o fluxo
do tráfego de dados entre redes, mais comumente entre
uma rede interna e a Internet. Os firewalls podem também
estabelecer passagens seguras entre redes internas.
Implantar um firewall, com regras rígidas de segurança
e que não permita que as máquinas da rede sejam acessadas
por máquinas remotas é uma grande conquista em termos
de segurança.
Por vezes, algumas máquinas
da rede precisam receber acessos externos, é o caso
de servidores SMTP e servidores Web, por exemplo. Para
permitir que estas máquinas possam desempenhar suas
funções, mas que ao mesmo tempo o restante da rede continue
protegida, muitos firewalls oferecem a opção de criar
uma zona onde essa vigilância é mais fraca conhecida
como DMZ. Nesse caso, o controle de acesso a Internet
pode ser feito através de um projeto de DMZ (DeMilitarized
Zone), permitindo que todo o tráfego entre os servidores
da empresa, a rede interna e a Internet passe por um
firewall e pelas regras de segurança criadas para a
proteção da rede interna.
Assim, os firewalls
se tornaram um único ponto de acesso à rede em que o
tráfego pode ser analisado e controlado por meio de
scripts de firewall que definem o aplicativo, o endereço
e os parâmetros de usuário. Esses scripts ajudam a proteger
os caminhos de conectividade para redes e centros de
dados externos.
Figura
1 - Rede com Firewall e DMZ
Rede de Perímetro
O termo rede
de perímetro refere-se a um segmento de rede isolado
no ponto em que uma rede corporativa alcança a Internet.
As redes de perímetro destinam-se a criar um limite
que permite a separação do tráfego entre redes internas
e externas. Com este limite, é possível categorizar,
colocar em quarentena e controlar o tráfego da rede
de uma empresa. A segurança de perímetro é proporcionada
por um dispositivo de perímetro, como um firewall, por
exemplo, que inspeciona os pacotes e as sessões para
determinar se devem ser transmitidos para a rede protegida
ou a partir dela ou ser abandonados.
Os serviços e servidores
que devem interagir com a Internet externa desprotegida
são colocados na rede de perímetro (conhecida como zona
desmilitarizada) e na sub-rede filtrada. Isto ocorre
para que, caso invasores consigam explorar vulnerabilidades
em serviços expostos, possam avançar apenas uma etapa
no acesso à rede interna confiável.
Figura
2 - Rede de perímetro
Zona Desmilitarizada
– DMZ
Uma DMZ ou
ainda "Zona Neutra" corresponde ao segmento
ou segmentos de rede, parcialmente protegido, que se
localiza entre redes protegidas e redes desprotegidas
e que contém todos os serviços e informações para clientes
ou públicos. A DMZ pode também incluir regras de acesso
específico e sistemas de defesa de perímetro para que
simule uma rede protegida e induzindo os possíveis invasores
para armadilhas virtuais de modo a se tentar localizar
a origem do ataque.
Podemos ter dois tipos
de DMZ’s: a interna, só acessada pelo usuário da rede
interna e a DMZ externa, acessada por qualquer usuário
da Internet. Este conceito aliado ao de VLAN’s também
permite a implantação de DMZ’s privadas, ou seja, a
possibilidade de DMZ’s específicas para cada cliente
de hosting ou para a hospedagem de servidores.
As DMZ’s são sub-redes
onde se hospedam os servidores/serviços de um provedor,
protegidos contra ataques da Internet por um firewall.
Em geral é necessário especificar uma faixa de endereços
IP, ou informar diretamente os endereços das máquinas
que devem ser incluídas nessa zona.
Bastion Hosts
Por definição,
bastion host é qualquer máquina configurada para desempenhar
algum papel crítico na segurança da rede interna e provendo
os serviços permitidos segundo a política de segurança
da empresa. Trata-se de uma máquina segura que está
localizada no lado público da rede de perímetro (acessível
publicamente), mas que não se encontra protegida por
um firewall ou um roteador de filtragem, expondo-se
totalmente a ataques.
Este tipo de máquina
também recebe a denominação de "application gateway"
porque funciona como um gateway ao nível de aplicação.
Os servidores disponíveis nos bastion host são denominados
de proxy servers, ou seja, servidores por procuração
que atuam como intermediários entre o cliente e o servidor.
Um bastion host deve
ter uma estrutura simples, de forma que seja fácil de
garantir a segurança. São normalmente usados como servidores
Web, servidores DNS, servidores FTP, servidores SMTP
e servidores NNTP. Como é mais fácil proteger um único
serviço em um único bastion host, o ideal é que eles
sejam dedicados a executar apenas uma das funções citadas,
pois quanto mais funções cada um desempenha, maior a
probabilidade de uma brecha de segurança passar despercebida.
Figura
3 - Bastion Host
Os bastion
hosts são configurados de uma maneira bem diferente
dos hosts comuns. Todos os serviços, protocolos, programas
e interfaces de rede desnecessárias são desabilitados
ou removidos e cada bastion host é, normalmente, configurado
para desempenhar uma função específica. A proteção de
bastion hosts dessa maneira limita os métodos potenciais
de ataque. Por esse motivo os bastion hosts são um ponto
crítico na segurança de uma rede, geralmente necessitando
de cuidados extras como auditorias regulares.
Implantação da DMZ
O projeto
lógico de uma rede que visa conexões com a Internet
deve envolver a criação de uma DMZ. Esta DMZ será protegida
por um sistema de defesa de perímetro, onde os usuários
de Internet podem entrar livremente para acessar os
servidores web públicos, enquanto que os dispositivos
localizados nos pontos de acesso (firewall, switch e
servidor de perímetro) filtram todo o trafego não permitido,
como por exemplo, pacotes de dados que tentam prejudicar
o funcionamento do sistema. Ao mesmo tempo a rede interna
privada esta protegida por um outro firewall.
A zona desmilitarizada
comporta-se como uma outra sub-rede, atrás de um firewall,
onde temos uma máquina segura na rede externa que não
executa nenhum serviço, mas apenas avalia as requisições
feitas a ela e encaminha cada serviço para a máquina
destino na rede interna.
No caso de uma invasão
de primeiro nível, o atacante terá acesso apenas ao
firewall, não causando problema algum para a rede da
empresa. Já em invasões de segundo nível, o atacante
conseguirá passar do firewall para a sub-rede interna,
mas ficará preso na máquina do serviço que ele explorar.
Em todos os casos, deve-se
analisar com cuidado quais serviços podem ser colocados
dentro da DMZ. Por exemplo, na maioria das situações,
o servidor de e-mail é inserido em uma DMZ. Nesse caso,
em uma invasão ao servidor de e-mail, os únicos dados
que poderão ser comprometidos são os e-mails e mais
nenhum outro.
Já a colocação de um
servidor de DNS em uma DMZ não é recomendável para a
segurança da rede. Como uma DMZ permite acesso menos
seguro a certas partes da rede, a colocação de um servidor
de DNS nessa situação poderia comprometer a segurança
dos endereços de todos os servidores da rede local e
roteadores.
Convém salientar que
durante a elaboração do projeto da rede, é recomendável
se manter os serviços separados uns dos outros. Assim,
será possível adotar as medidas de segurança mais adequadas
para cada serviço.
Figura
4 - Exemplo de rede com DMZ
Conclusão
Toda rede possui
um perímetro, um acesso para a Internet. Esses perímetros
podem ajudar a gerenciar as atividades baseadas na Internet,
mas devem ser cuidadosamente protegidos. Uma única exposição
não reconhecida, como um perímetro não protegido, pode
comprometer toda a rede corporativa. As necessidades
do negócio e o valor da informação mantida na rede da
empresa são os fatores que devem determinar a arquitetura
da rede e qual solução será implantada.
Embora cada perímetro
seja diferente, cada um é uma área estratégica aberta
à manipulação. As DMZ’s demarcam essas áreas de acesso
público, estando localizadas geralmente em pontos da
rede que não necessitam de segurança (sem firewall)
ou que necessitam apenas de uma segurança mais branda
(firewall fraco). Nesses casos, um firewall fraco (ou
outro ponto de acesso) permite o acesso à área da DMZ
e um segundo firewall, mais forte, é posicionado atrás
da DMZ visando restringir fortemente o acesso à rede
interna.
Os firewalls permitem
aos usuários da rede interna acessar a DMZ livremente.
Contudo, usuários localizados fora da rede interna,
que necessitarem de acesso externo, deverão estar submetidos
às regras de acesso comuns para acessos de Internet
ou discados, feitos através da rede externa (um servidor
de discagem instalado na DMZ com sua lista de acesso
própria, por exemplo).
Por fim, sempre é bom
lembrar que o mais importante ao iniciar o projeto de
uma rede de computadores é pensar sobre as necessidades
dos seus usuários, pois são eles que irão determinar
a arquitetura da rede e quais as soluções que serão
adotadas. |