SEGREGAÇÃO DE REDES
Um método de controlar a segurança da informação de grandes redes dividindo em domínios diferentes possibilitando a separação entre as funções de autorização, aprovação de operações, execução e controle, de tal maneira que nenhum funcionário detenha poderes e atribuições de controle interno.
FIREWALL
Com o avanço das redes de computadores e a possibilidade de conexão entre eles um grande problema surgiu, a possibilidades de ataques hackers se passando por um usuário legitimo ou ataques de vírus e worms.
Para ajudar a manter as redes mais seguras e utilizadas muitas ferramentas e uma delas e o firewall.
O sistema firewall surgiu na década de 80 pela necessidade de criar restrições de acesso entre as redes existente. Os primeiros firewalls que trabalhavam a segurança de rede surgiram na década de 90 o seu mecanismo lidavam com um pequeno conjunto de regras, apenas limitando acesso entre redes, usuários da rede A não acessa rede B usuários da rede C podem acessar rede A e B. Esses firewalls eram bastante eficazes porem muito limitados. A parti daí foram aplicadas melhorias usando filtros de pacotes e interface gráfica para gerencia regras.
Firewall (em português parede de fogo) e um software ou hardware capaz de verificar informação proveniente da internet ou da rede para filtra monitorar informações. Protege o computador contra hackers e programas mal intencionados. Não detecta ou remove vírus, mas pode bloquear ações maliciosas.
O firewall consegue filtra o que pode acontecer ou não em uma rede ou maquina, se alguém tentar invadir o seu computador quem vai realisar o bloqueio será o firewall.
O firewall não sabe o que e vírus, mas ele consegue bloquear ações de vírus mesmo sem saber necessariamente o que e cada ameaça.
Ex: Ao baixar um arquivo da internet com vírus a parti do momento que ele e executado o firewall detecta não porque ele sabe que é um vírus mais sim porque ele detecto alguma ação maliciosa.
Para permitir ou denegar uma comunicação o firewall examina o tipo de serviço ao que corresponde, como podem ser a web, o correio. Dependendo de como foi configurado o firewall decide se o permite ou não o seu tráfego na rede.
A complexidade de instalação de um firewall depende do tamanho da rede, da política de segurança, da quantidade de regras que controlam o fluxo de entrada e saída de informações e do grau de segurança desejado.
Tipos de firewall
Existem vários tipos de firewall atualmente eles passam por constante melhoria devido ao aperfeiçoamento dos ataques de invasores
Filtros de pacotes: Este tipo de Firewalls é conhecido por esse nome por utilizarem regras que consistem na filtragem de pacotes. A filtragem de pacotes inspeciona cada pacote que passa pela rede, aceitando ou não com base em regras definidas pelo usuário. Esse Firewall é bastante eficaz e transparente na maior parte dos seus utilizadores, e possui um maior desempenho se comparado aos outros tipos existentes.
Filtros baseados em estados: Na verdade, o Firewall baseado em estado é uma evolução do filtro de pacotes, pois possui uma tabela de estado que é associado à tabela de regras, o que auxilia na tomada de decisões. Neste firewall as conexões são monitoradas a todo instante e um pacote só pode passar pelo Firewall se fizer parte da tabela de estados.
Proxy: Este tipo de Firewall intercepta todas as mensagens que entram e saem da rede. Faz uma intermediação entre o Host externo e o Host interno de forma que não permita uma comunicação direta entre eles, o Host externo se conecta ao Firewall e ele abre uma conexão com o Host interno. O Proxy Firewall possibilita a autenticação do usuário, porém, é lento se comparado aos Firewalls de filtro de pacote.
Firewalls Pessoais: Este Firewall se diferencia de todos os demais, isto, porque eles não protegem um segmento de rede. Essa proteção se restringe apenas ao equipamento onde
DMZ
Efetivamente, o firewall é o ponto divisor entre a rede interna e a externa, no qual o tráfego que entra e sai por ele é monitorado, filtrado e, algumas vezes, modificado. Entretanto, existe ainda uma terceira rede que não corresponde nem à rede externa, nem à interna.
DeMilitarized Zone ou “Zona desmilitarizada” DMZ e uma pequena rede que fica entre uma rede confiável e uma não confiável, geralmente entre uma rede corporativa e a internet.
A função da DMZ é manter todos os serviços de acesso externo tais como (HTTP, FTP, SMPT, POP3, IMAP e etc.) separando da rede local assim limitando os danos em caso de comprometimento de alguns dos serviços por um invasor.
A DMZ pode nãos ser conectada a uma rede protegida. A DMZ pode também incluir sistemas de defesa perimetrais. Por exemplo, a DMZ pode ser construída para simula uma rede protegida para que os hackers sejam induzidos a cair em armadilhas virtuais a fim de tentar localizar a origem do ataque.
Bastion Host
Bastion Host e qualquer maquina configurada para desempenhar um papel critico na rede interna constituindo-se na rede na rede publica na internet, fornecendo serviços de acordo com a política de segurança da empresa.
A Bastion Host e associado aos seguintes serviços:
Sessões de E-mail que chegam e distribui para o site
Requisição de FTP para servidor de FTP anônimo
Consultas ao servidor de DNS interno
A decisão de utilizar o Bastion Host ou não depende de quais serviços estão sendo requisitado ao seu firewall e da confiança existente entre as organizações.
VLAN
Uma VLAN (Virtual Local Área Network ou Virtual LAN, em português Rede Local Virtual) e uma rede local que agrupa um conjunto de Hosts de maneira lógica.
Com uma VLAN e possível criar uma separação entre uma rede. Você divide a rede em pedaços separados onde um pedaço não ira se comunicar com outro diretamente. Assim temos um único switch que conecta todos os computadores da rede porem o administrador informa ao switch quais computadores se falam diretamente e quais não podem se comunicar
Quando se cria uma VLAN em uma rede, essas redes são separadas cortando a comunicação entre elas para uma VLAN efetuar comunicação com outra é necessário o uso de um roteador ou firewall conectado a cada uma das VLANs, fazendo a ponte entre elas.
A primeira razão para utilizar uma VLAN é evitar a grande quantidade de broadcasts. Em algumas situações um equipamento TCP/IP precisa enviar um pacote para toda a rede. Por exemplo, quando um computador deseja saber o endereço MAC de um roteador, ele envia um pacote para toda a rede todos os equipamentos dessa rede recebem a requisição apenas o roteador ira responder porem todos os equipamentos da rede receberam a requisição. Em alguns momentos específicos os equipamentos da rede enviam pacotes broadcast aumentando muito o trafego da rede (de certa forma atrapalhando o fluxo).
Ao criar uma VLAN e possível diminuir a quantidade de broadcast que cada equipamento recebe. Em uma rede de 500 computadores se eu dividir em duas VLANs automaticamente cai para metade à quantidade de broadcast.
Outro motivo para utilizar VLANS e a organização de diferentes departamentos e serviços a mesma VLAN pode Sr configurada ao longo de vários switch permitindo que utilizadores dos mesmos serviços estejam em locais físicos diferentes utilizando a mesma VLAN.
A principal razão para se implementar VLANs é a segurança, e possível colocar telefones IP e o PABX IP em uma VLAN e os computadores em outra, dessa forma tenho certeza de que nenhum usuários tente mexer na rede de telefonia e também garanto que algum erro de operação venha comprometer a rede.
Rede wireless
O termo wireless (em português sem fio) e um meio de transmitir informações sem utilização de fios seja eles telefônicos, coaxiais ou ópticos. Sua transição e feita por equipamentos que usa radio frequência ou comunicação infravermelho.
O uso esta entre muitos dispositivos como rádio, walkie talkies e satélites. Seu uso mais comum é nas redes de computadores.
Nenhuma rede é completamente segura. Porem, as redes sem fio acrescenta um fator extra na parte de segurança quando comparada a uma rede cabeada, por utilizar ondas eletromagnéticas como meio de acesso, e muito difícil controla o seu alcance, podendo facilmente ultrapassar os limites da unidade da sua empresa ou da sua casa, possibilitando a sua detecção ou utilização por pessoas não autorizadas. Abaixo veremos alguns métodos e protocolos utilizados na segurança de rede sem fio.
Extensible Authentication Protocol
O Extensible Authentication Protocol ou EAP é um protocolo que permites várias formas de autenticação, as modalidades de autenticação podem ser por certificados de segurança ou por senhas.
Service set ID
Service set ID ou SSID e um conjunto único de caracteres que identificam uma rede sem fio. Para aumentar a segurança você deve desabilitar a opção de “broadcast SSID” quando o broadcast está habilitado o ponto de acesso envia o SSID da rede permitindo que outros usuários possam utilizar a rede.
Wired Equivalency Privacy
Wired Equivalency Privacy ou WEP, esse protocolo tem a intenção de fornece o mesmo nível de privacidade de uma rede cabeada, Seu protocolo de segurança e baseado no método de criptografia RC4 que usa criptografia de 64bits ou 128 bits. Alem da criptografia ele também usa uma função detectora de erros que verifica a integridade do pacote analisando se a mensagem recebida não esta corrompida ou alterada no meio do caminho.
O protocolo WEP não e totalmente seguro ele não protege a conexão por completo, mas somente os pacotes de dados enviados. Já existem diversos programas capazes de quebra as chaves de criptografia.
WI-Fi protecde Acess
WI-Fi protecde Acess ou WAP surgiu coma finalidade de aumentar o nível de segurança das redes sem fio combatendo as vulnerabilidades do WEP. O WAP possui um protocolo chamado TKIP com vetor de inicialização de 48 bits e uma melhoria de 128 bits.
WAP2
O WAP pode ser considerado um protocolo WEP melhorado ele utiliza uma criptografia mais forte chamada AES.
Media Acess Control
Media Acess Control ou MAC, cada placa de rede possui seu próprio número MAC.
Desta forma é possível limitar o acesso a uma rede somente ás placas cujos números MAC estejam especificados em uma lista de acesso. Tem a desvantagem de exigir um maior gerenciamento da rede, pois necessita uma constante atualização da lista de endereços MAC quando efetuar a troca do computador ou da placa de rede ou prover acesso a visitantes ou para redes publicas. Uma desvantagem deve-se ao fato de poder altera via software o número da placa de rede por outro número valido.