Protegendo Sua Rede: Identificando os Perímetros de Rede de Empresa de Pequeno a Médio Porte
Nesta página
Introdução
Toda rede tem um perímetro, um gateway para a Internet. Esses perímetros podem ajudar a melhorar os processos comerciais e a gerenciar as atividades baseadas na Internet, mas devem ser cuidadosamente protegidos. Embora cada perímetro seja diferente, cada um é uma área estratégica aberta à manipulação. A conexão dedicada de sua empresa com a Internet é um ponto de demarcação óbvio, mas a maioria das redes tem outros perímetros que precisam ser reconhecidos: por exemplo, conexões VPN (Rede Virtual Privada) entre sites. A definição básica de dispositivo de perímetro é todo dispositivo que roteie pacotes entre duas redes, ou seja, firewall, roteador e switch. A outra definição possível de dispositivo de perímetro é todo dispositivo que possa dar acesso à rede, ou seja, unidades USB, clientes e servidores, mas esses não roteiam pacotes entre redes, eles estendem o perímetro a mais clientes. Embora sejam mencionados neste documento, eles não são o mesmo que dispositivos de perímetro baseados em rede, mas as empresas precisam conhecê–los.
A segurança deve ser uma preocupação básica ao se criar uma rede otimizada. Uma única exposição de rede de perímetro não reconhecida, como um perímetro não protegido, poderia comprometer a rede corporativa. Uma solução completa de segurança de rede contendo medidas de autenticação formal, autorização, confidencialidade, disponibilidade e integridade reduz a probabilidade de invasão não autorizada. Essas medidas normalmente incluem criptografia, certificação, diretório, rede e outros componentes de segurança. Não proteger sua rede pode levar a sérias repercussões financeiras e legais.
A segurança de perímetro tradicionalmente é proporcionada por um dispositivo de perímetro, como um firewall, que inspeciona os pacotes e as sessões para determinar se devem ser transmitidos para a rede protegida ou a partir dela ou ser abandonados. Na verdade, os firewalls se tornaram um único ponto de acesso à rede em que o tráfego pode ser analisado e controlado por meio de scripts de firewall que definem o aplicativo, o endereço e os parâmetros de usuário. Esses scripts ajudam a proteger os caminhos de conectividade para redes e centros de dados externos.
Identificar os possíveis dispositivos que cada rede tem ou poderia ter, e que oferecem acesso à rede pode ajudar a melhorar a segurança geral da rede. Você pode definir o perímetro da rede definindo primeiro todos os tipos de hosts da rede, incluindo host estáticos e dinâmicos (temporários). Depois de identificar todos os hosts da rede, você pode caracterizar cada um deles e determinar se poderia ser considerado um dispositivo de perímetro. Considere a definição de cada dispositivo de perímetro como parte do perímetro da rede. Este documento usa o projeto de rede típico de empresa de pequeno a médio porte para oferecer um modelo de inventário e de caracterização de seus dispositivos de perímetro.
Você precisará determinar todos os dispositivos de perímetro que existem atualmente em sua rede corporativa, além de determinar que dispositivos podem ser adicionados dinamicamente no futuro; por exemplo, clientes de VPN. Depois de identificar todos os dispositivos de perímetro da empresa, você pode criar um diagrama lógico e físico da rede para melhor definir o perímetro. O documento a seguir vai ajudá–lo a:
| • | Identificar e caracterizar os hosts estáticos e dinâmicos. |
| • | Listar os hosts que são considerados dispositivos de perímetro. |
| • | Definir o perímetro da rede. |
Antes de começar
Entender uma rede típica de empresa de pequeno a médio porte e como ela se relaciona com a Internet e com outras redes de entidades de terceiros pode ajudá–lo a entender melhor o perímetro da rede e como os dispositivos de perímetro são identificados. A figura a seguir ilustra a aparência de uma rede completa de empresa de pequeno a médio porte, com exemplos dos dispositivos e hosts no perímetro físico da empresa. Este diagrama será usado como exemplo em todo o documento ao se referir ao perímetro típico de uma empresa.
Rede de empresa de pequeno a médio porte e os hosts no perímetro físico da empresa
Ao analisar o cenário apresentado neste documento, ficará claro que um firewall na frente da Internet não é o único dispositivo de perímetro. Há muitos dispositivos dentro de uma rede que precisam ser definidos e mantidos e que poderiam ser dispositivos de perímetro, mas que não se encaixam necessariamente na definição básica de dispositivos de perímetro como mencionado anteriormente neste documento. Os usuários podem se conectar à Internet em vários pontos de acesso e receber dinamicamente endereços IP, não apenas dentro de seções com fio e sem fio, mas também em trânsito. Um endereço IP identifica de forma exclusiva um host (computador) conectado à Internet ou a outros hosts da Internet. Usuários móveis podem se conectar à Internet usando diversos tipos de provedores: provedores de Internet, provedores de celular ou por meio de pontos públicos de acesso sem fio. Os outros dispositivos de perímetro fora do ambiente físico da empresa são desconhecidos e não podem ser gerenciados pela empresa de pequeno a médio porte típica. O que você pode conhecer e gerenciar são os dispositivos de perímetro que você possui e os clientes ou possíveis clientes dos quais tem conhecimento.
A figura a seguir ilustra a aparência típica da rede de uma empresa de pequeno a médio porte em relação às outras redes com que ela se comunica. Mostra também os outros possíveis dispositivos conectados que você deve considerar ao identificar dispositivos de perímetro para uma rede corporativa.
Rede de empresa de pequeno a médio porte em relação a outras redes
Identificando um dispositivo de perímetro
Identificar que dispositivos de perímetro existem e qual é a aparência do perímetro da rede é um desafio para muitas empresas. Um dispositivo de perímetro é todo dispositivo que roteie pacotes entre duas redes, ou seja, firewall, roteador e switch. Uma definição possível de dispositivo de perímetro é todo dispositivo que possa dar acesso à rede, ou seja, unidades USB, clientes e servidores, mas esses não roteiam pacotes entre redes, eles estendem o perímetro a mais clientes. Um host é todo computador que forneça informações a outro computador. Um nó é todo equipamento conectado diretamente à rede, como um computador, roteador, firewall ou outro dispositivo de rede. Este documento usará o termo host para identificar qualquer dispositivo de perímetro possível ao longo de cada seção. A lista a seguir resume os possíveis dispositivos de perímetro e por que eles podem ser considerados dispositivos de perímetro:
| • | Dispositivos de hardware de rede. Estes dispositivos podem ser considerados dispositivos de perímetro, dependendo de onde estejam colocados dentro da infra–estrutura da rede. Entre eles estão os roteadores, firewalls, modems, switches e hubs sem fio. Se qualquer desses dispositivos tiver acesso tanto a uma rede externa quanto a qualquer parte da rede interna, ele é considerado um dispositivo de perímetro. |
| • | Servidores. Esses dispositivos podem ser considerados dispositivos de perímetro dependendo de sua conectividade com a Internet e a intranet. Por exemplo, qualquer servidor que se comunique tanto com a Internet quanto com a intranet e que tenha hospedagem múltipla poderia ser considerado um dispositivo de perímetro. Isso inclui também servidores de locais remotos que se conectam à rede interna a partir da rede externa, porque esses servidores têm o potencial de abrir um gateway para a rede. |
| • | Clientes. Esses dispositivos podem ser considerados dispositivos de perímetro dependendo de sua conectividade com a Internet e a intranet. Por exemplo, qualquer servidor que se comunique tanto com a Internet quanto com a intranet e tenha múltiplas casas poderia ser considerado um dispositivo de perímetro. Isso inclui também os clientes de locais remotos que se conectam à rede interna a partir de redes externas, porque esses clientes podem abrir entradas para a rede, com certas configurações avançadas não mencionadas neste documento. |
Quando você considera servidores e clientes como possíveis dispositivos de perímetro, é necessário considerar que sistema operacional, serviços e aplicativos estão instalados nos computadores e como estão configurados. Essas características determinam se o sistema poderia expor a rede interna confiável a redes externas. Por exemplo, um computador carregado com um sistema operacional que forneça à Internet qualquer tipo de serviço de Web, serviço de rede e serviço de autenticação poderia ser considerado um dispositivo de perímetro (por exemplo, HTTP, HTTPS, FTP, SMTP e assim por diante).
Identificando e caracterizando hosts estáticos e dinâmicos
Para poder identificar os dispositivos de perímetro em sua rede, você deve primeiro fazer um inventário do que existe na rede. Depois de concluir um inventário do que existe na rede, você precisará caracterizar suas descobertas. Essa tarefa consiste em identificar cada host estático ou dinâmico da rede e documentar cada uma de suas características. Um host estático fica conectado permanentemente à rede; suas características de rede e configuração geral do sistema também raramente se alteram. Exemplos de hosts estáticos são os firewalls, servidores e computadores desktop. Um host dinâmico é um dispositivo conectado temporariamente que se conecta e desconecta quando solicitado por um usuário ou serviço. Exemplos de hosts dinâmicos são os clientes remotos de VPN, sincronizações de banco de dados de escritório remoto e laptops sem fio. Depois de identificar todos os hosts no perímetro físico, você pode documentar e analisar todas as suas características.
A lista a seguir resume as informações que você precisa coletar para identificar as características de cada host:
| • | Sistema operacional (por exemplo, Windows® Server™ 2003 ou Windows® XP) |
| • | Tipo de host (por exemplo, computador pessoal, hardware de rede ou dispositivo portátil) |
| • | Nome do host (por exemplo, MáquinaXP0 ou ServidorISA0) |
| • | Aplicativos e programas instalados (por exemplo, Exchange, SQL, Office) |
| • | Componentes do Windows instalados (por exemplo, IIS, ASP.NET e serviço POP3) |
Listando os hosts que são considerados dispositivos de perímetro
Determinar que hosts são dispositivos de perímetro é uma etapa importante na definição do perímetro da rede. No entanto, você deve também determinar quais dos hosts são estáticos e quais são dinâmicos.
Criando uma lista de hosts estáticos na rede
Obter informações sobre os hosts estáticos que existem em sua rede permite que você crie uma lista desses hosts. Um host estático é um host ou dispositivo de rede que não se desconecta da rede depois de ser utilizado. O tamanho de sua empresa de pequeno ou médio porte vai determinar o método escolhido para obter as informações sobre os hosts estáticos. Você pode coletar essas informações por um método manual, um método automatizado ou ambos. A maioria das empresas de pequeno a médio porte opta por coletar as informações por um método manual, porque elas não têm os recursos necessários para usar um aplicativo automatizado. Seus resultados podem ser combinados para confirmar a validade da lista. A lista a seguir resume alguns dos diferentes métodos:
| • | Método manual. Você pode acessar cada host estático localmente ou por meio de serviços de terminal, se disponíveis. Depois, você pode coletar as informações dentro da interface de usuário nos hosts. Você terá de fazer isso para a maioria dos dispositivos de rede, tais como firewalls e roteadores, especialmente se eles não forem dispositivos de rede sendo executados como serviços em um host Windows (por exemplo, ISA [Internet Security and Acceleration] ou RRAS [Routing and Remote Access Server]). Você pode coletar essas informações da mesma maneira que pode coletá–las de um host Windows normal. |
| • | Método automatizado. Existem várias empresas que fornecem aplicativos e serviços de inventário de hosts, que fazem automaticamente o inventário de todos os hosts que existem em uma rede. Um exemplo desse tipo de aplicativo e serviço é o Microsoft SMS 2003. Algumas empresas preferem gravar um script de logon ou um pequeno código para capturar as informações necessárias no momento do logon e armazená–las em um serviço de diretório. A maioria das empresas de pequeno a médio porte não tem esses tipos de recursos de script disponíveis e contenta–se com o método manual. |
Organizando as informações que você coletou
A tabela a seguir resume o que foi identificado no exemplo de rede de empresa de pequeno a médio porte.
Tabela de hosts estáticos e características
| Nome do host | Sistema operacional | Tipo de host | Aplicativos e programas | Componentes do Windows |
Roteador01 | Cisco IOS | Roteador de rede Cisco 2500 | Aplicativos e programas não relacionados com o host | Componentes do Windows não relacionados com o host |
ServidorISA–01 | Windows Server 2000 | Firewall baseado no computador e servidor VPN | ISA Server 2000 | Componentes do Windows não relacionados com o host |
ServidorIIS–01 | Windows Server 2003 | Servidor Web baseado no Windows | Aplicativos e programas não relacionados com o host | IIS, ASP.NET, COM+ |
ServidorSQLS–01 | Windows Server 2003 | Servidor de banco de dados baseado no computador | SQL Server 2000 padrão | Componentes do Windows não relacionados com o host |
Exchange–01 | Windows Server 2003 | Servidor de email baseado no computador | Exchange 2003 | Componentes do Windows não relacionados com o host |
DC–01 | Windows Server 2003 | Controlador de domínio baseado no computador | Aplicativos e programas não relacionados com o host | DHCP, DNS e WINS |
Sem_fio–01 | Linksys OS | Hub AP de rede sem fio | Aplicativos e programas não relacionados com o host | DHCP |
Vários clientes estáticos | Windows XP Pro | Computador desktop | Office 2003 | Componentes do Windows não relacionados com o host |
Depois de coletar as informações, você precisa decidir quais desses hosts podem ser considerados dispositivos de perímetro. Todos os hosts listados anteriormente precisam ser tratados como possíveis dispositivos de perímetro dentro de sua rede. Todos esses hosts possuem os recursos de hardware e software para prestar serviços à comunidade de usuários. Os serviços do host podem ser simples como um compartilhamento de rede ponto–a–ponto. Uma diretiva de segurança projetada e implementada por sua equipe de administração de rede ajudará a proteger esses dispositivos de perímetro que constituem seu perímetro. Para cada um desses hosts, seu administrador de sistema deve pesquisar os guias de segurança específicos dos produtos instalados nos hosts e aplicar as configurações de segurança necessárias.
Criando uma lista de hosts dinâmicos na rede
Um host dinâmico é um host ou dispositivo de rede que se conecta temporariamente e desconecta–se da rede depois de utilizado. Usuários remotos e laptops móveis são exemplos de hosts dinâmicos. Um servidor que seja removido de uma rede regularmente (um servidor "não controlado") também pode ser considerado um host dinâmico. Esse seria um cenário de instalação site–a–site (por exemplo, uma conexão de uma filial ou uma conexão de uma rede doméstica). Esses hosts são geralmente usados por pessoal autorizado para obter acesso remoto a uma intranet. Infelizmente, esses hosts dinâmicos têm uma longa história de fornecer acesso remoto a usuários não autorizados. Coletar informações sobre os hosts dinâmicos é mais difícil do que coletar informações sobre os hosts estáticos porque eles não estão permanentemente conectados e suas características mudam com mais freqüência. É mais importante que você esteja consciente de que tipo de hosts dinâmicos podem acessar sua rede do que saber exatamente que hosts dinâmicos a acessam. Entretanto, ainda é vantajoso saber quais são os possíveis hosts dinâmicos que podem acessar sua rede. A figura a seguir resume os possíveis hosts dinâmicos que podem afetar o exemplo de rede.
Rede de empresa de pequeno a médio porte com todos os hosts estáticos e possíveis hosts dinâmicos
A tabela a seguir lista os hosts dinâmicos que foram identificados no exemplo de empresa de pequeno a médio porte e explica como eles obtêm acesso à rede.
Tipos de hosts dinâmicos
| Tipo de host | Sistema operacional | Método de acesso |
Computador móvel | — Windows — Outro | Conexão direta por fio a uma estação de encaixe e a uma intranet dentro do perímetro físico da empresa de pequeno a médio porte |
Usuários remotos | — Windows — Outro | Conexão VPN direta a um servidor VPN interno |
Clientes sem fio | — Laptop — PDA — Smartphone | Conexão sem fio a um AP sem fio interno |
Escritórios remotos | — Windows — Outro | Conexão VPN direta a um servidor VPN interno |
Identificando hosts que são considerados dispositivos de perímetro
A tabela a seguir lista os hosts identificados como dispositivos de perímetro e explica por que cada host é considerado um dispositivo de perímetro.
Hosts considerados dispositivos de perímetro
| Nome ou descrição do host | Descrição | O que o torna um dispositivo de perímetro? |
Roteador–01 | Roteador de rede | Importante ponto de acesso à rede a partir da Internet |
Firewall–01 | Firewall da rede/servidor VPN | Importante ponto de acesso à rede a partir da Internet |
Sem_fio01 | Ponto de acesso sem fio dentro do perímetro físico da rede | Faz a difusão de um ponto de acesso sem fio à rede interna |
Computador móvel | Usuários que conectam e desconectam laptops ou PCs da rede quando desejam | Podem introduzir novos serviços e/ou aplicativos possíveis na rede cada vez que se conectam |
Usuários remotos | Qualquer usuário que se conecte de casa, de um hotel ou de qualquer local de terceiros. | Podem introduzir novos serviços e/ou aplicativos possíveis na rede cada vez que se conectam |
Definindo o perímetro da rede
Depois de concluir a análise dos hosts de sua rede como descrito nas seções anteriores, você pode mapear um diagrama lógico da rede de perímetro. O perímetro da rede se torna o mapeamento lógico de seus dispositivos hosts, como ilustrado na figura a seguir. Quase todos os componentes da rede se tornaram interesse do perímetro de uma forma ou de outra. Executar uma auditoria formal em sua rede inteira regularmente pode ser um método eficaz de ajudar a monitorar o perímetro de sua rede.
Visão lógica dos dispositivos de perímetro em nosso exemplo de rede de empresa de pequeno a médio porte
Informações relacionadas
Para obter mais informações sobre segurança, consulte o seguinte:
| • | Microsoft Security no site da Microsoft em http://go.microsoft.com/fwlink/?LinkId=02 (em inglês). |
| • | "Windows Server 2003 Security Center" no site do TechNet em http://go.microsoft.com/fwlink/?LinkId=22387 (em inglês). |
| • | "Microsoft Windows XP Security Guide Overview" no site do TechNet em http://go.microsoft.com/fwlink/?LinkId=22389 (em inglês). |