Isolamento de servidor e domínio usando IPSec e Diretiva de Grupo
Apêndice D: Categorias de ameaças de TI
Este apêndice fornece uma lista das ameaças e ataques que podem afetar uma organização e explica como uma solução de isolamento de servidor e domínio pode ajudar a atenuá-los. Nesta página
Ameaças identificadas pelo STRIDEEsta seção descreve diversas ameaças à segurança da rede identificadas pelo modelo STRIDE (Falsificação, Violação, Repúdio, Divulgação de informações, Negação de serviço, Elevação de privilégio) e de que forma as medidas de segurança implementadas como parte desta solução podem ser usadas para ajudar a atenuar essas ameaças. Ameaças de falsificação de identidadeAs ameaças de fraude de identidade incluem qualquer coisa feita para se obter ou acessar e usar ilegalmente as informações de autenticação de uma pessoa, como um nome de usuário ou a senha. Essa categoria de ameaças inclui ataques por interceptação e a comunicação entre hosts confiável e hosts não confiáveis. Ataques por interceptaçãoUma técnica comum usada por invasores é o ataque por interceptação. Essa técnica consiste em colocar um computador entre dois computadores que se via rede; em seguida, o computador intermediário se faz passar por um dos computadores originais. Essa técnica permite que o computador intermediário obtenha uma conexão funcional com os computadores originais e tenha a capacidade de ler e/ou modificar mensagens trocadas entre os computadores originais, enquanto os usuários desses computadores crêem estar se comunicando entre si. Alguns provedores já desenvolveram práticas de filtragem para tentar combater os ataques por interceptação e a falsificação de email. Por exemplo, diversos provedores autorizam os usuários a enviar email apenas por meio de seus próprios servidores e justificam essa restrição pela necessidade de combater o lixo eletrônico. Contudo, essa restrição também impede que usuários autorizados utilizem um serviço de email legítimo fornecido por terceiros, o que representa uma desvantagem na opinião de vários usuários avançados. Alguns provedores a cabo tentam bloquear o tráfego de áudio e vídeo como uma medida para forçar os usuários a utilizarem seus serviços de voz sobre IP ou fluxo de vídeo. Outros exemplos incluem tentativas de bloquear certas formas de tráfego de VPN (rede virtual privada), pois a VPN é um serviço comercial que requer uma taxa de assinatura mais alta, e tentativas de impedir os usuários de executarem servidores domésticos. Os filtros de provedores são geralmente implementados utilizando funções de hardware de roteadores que operam de acordo com tipos específicos de protocolos, como UDP ou TCP, números de porta ou sinalizadores TCP (pacote de conexão inicial em vez de dados ou reconhecimento). O uso do IPsec efetivamente desativa esse tipo de filtragem, deixando ao provedor apenas duas opções extremas: bloquear todo o tráfego IPsec ou bloquear o tráfego com determinados pontos identificados. Se o IPsec for amplamente adotado, essas duas opções poderão representar desvantagens sérias aos clientes. Comunicação de hosts confiáveis com hosts não confiáveisEssa ameaça, na verdade, engloba diversas ameaças menores e inclui os problemas causados pela falsificação de identidade, modificação de dados entre duas extremidades em uma transmissão e espionagem. Contudo, a maior ameaça é a falsificação, pois seu propósito é fazer com que um host confiável acredite estar se comunicando com outro host confiável. Nem todo host a ser isolado requer a comunicação com hosts não confiáveis. Como o IPsec utiliza um mecanismo baseado em diretiva para determinar o nível de segurança necessário entre dois hosts no início das negociações, a maioria desses problemas é abordada por meio de uma análise cuidadosa do equilíbrio entre segurança e comunicação, que resulta na criação e implementação de uma diretiva IPsec que corresponda ao objetivo desejado. O Capítulo 5, "Criando diretivas IPsec para grupos de isolamento", descreve os requisitos de comunicação do cenário do Woodgrove Bank, bem com a metodologia usada para criar as diretivas IPsec que regem o modo como as comunicações ocorrem. Adulteração de dadosAs ameaças de adulteração de dados envolvem modificações mal-intencionadas dos dados. Os exemplos incluem alterações não autorizadas em dados persistentes (como desfigurar um site), alterações em informações mantidas em um banco de dados ou a alteração de dados enquanto estão fluindo entre dois computadores em uma rede aberta. Uma das ameaças específicas dessa categoria é o seqüestro de sessão. Seqüestro de sessãoMecanismos de autenticação adequadamente projetados e senhas aleatórias longas permitem resistir à espionagem na rede (sniffing) e aos ataques de dicionário, respectivamente. Contudo, os invasores podem usar o seqüestro de sessão para capturar uma sessão após um usuário comum ter sido autenticado e autorizado. O seqüestro de sessão permite que um invasor utilize os privilégios de um usuário comum para acessar ou modificar um banco de dados ou, ainda, para instalar software que lhe permita penetrar em áreas adicionais, mesmo não tendo as credenciais do usuário comum. O modo mais simples de realizar um seqüestro de sessão é, primeiramente, tentar colocar o computador invasor em algum lugar do caminho de conexão usando um ferramenta de invasão especializada. Em seguida, o invasor observa a troca de comunicação e, em um determinado momento, toma o controle dela. Uma vez que o invasor está no meio da troca de comunicação, ele é capaz de cancelar uma extremidade da conexão TCP e manter a outra extremidade usando as seqüências numéricas e os parâmetros TCP/IP corretos. O uso de IPsec para a criptografia ou autenticação protege as extremidades contra um seqüestro de sessão. RepúdioAs ameaças de repúdio envolvem usuários que negam ter realizado uma ação, enquanto que outras pessoas não têm como provar o contrário. Um exemplo desse tipo de ameaça seria quando um usuário realiza uma operação proibida em um sistema que não tem capacidade para registrar a operação proibida. Não-repúdio refere-se à capacidade de um sistema de combater as ameaças de repúdio. Por exemplo, um usuário que adquire um item de um fornecedor baseado na Web pode ter de assinar um recibo ao receber a mercadoria. O vendedor pode usar o recibo assinado como comprovante de que o usuário recebeu a mercadoria. Divulgação Não Autorizada de InformaçãoAs ameaças de divulgação de informação envolvem a revelação de informação a indivíduos que não deveriam ter acesso a ela. Entre os exemplos estão a capacidade de um usuário de ler arquivos aos quais não tem permissão de acesso ou a capacidade de um intruso de ler dados em trânsito entre dois computadores. As ameaças nessa categoria incluem conexões não autorizadas e a espionagem na rede. Conexões não autorizadasDiversas configurações de rede apresentam uma postura de segurança que permite confiar e conceder acesso a grandes quantidades de informações em computadores dentro do perímetro. Esse acesso pode ser explícito (como no caso de servidores da Web da intranet) ou implícito devido à fraca proteção da segurança de alguns aplicativos. Algumas diretivas dependem de testes de endereço simples; contudo, os invasores são capazes de enganar esses testes ao falsificar endereços. O IPsec pode ser usado para implementar uma verificação de conexão adicional. É possível configurar regras de diretiva que exijam que a negociação de IPsec seja bem-sucedida a fim de conceder acesso a um conjunto de aplicativos. Espionagem na rede (sniffing)Os invasores tentam capturar o tráfego da rede por duas razões: para obter cópias de arquivos importantes durante sua transmissão e para obter senhas que permitam estender o seu raio de penetração. Em uma rede de difusão, os hackers usam ferramentas de espionagem na rede para registrar conexões TCP e obter uma cópia das informações comunicadas. Embora essas ferramentas não funcionem bem em rede comutadas, mesmo nesse tipo de rede é possível atacar o protocolo ARP (Address Resolution Protocol) usando outras ferramentas especializadas, que redirecionam o tráfego IP através do computador do invasor e facilitam o registro de todas as conexões. Alguns poucos protocolos (por exemplo, POP3 e FTP) ainda enviam senhas em texto simples através da rede, uma informação fácil de ser obtida por um invasor que use a detecção de rede. Diversos aplicativos usam um mecanismo de desafio-resposta, o que resolve o problema de enviar senhas em texto simples, mas que é apenas levemente mais complexo. O invasor não pode ler a senha diretamente, porém os ataques de dicionário em geral podem deduzir seu conteúdo a partir de uma cópia do desafio e resposta. Usar IPsec para criptografar essas trocas protege efetivamente contra a espionagem na rede. Negação de ServiçoAtaques de negação de serviço são ataques direcionados a um host ou uma rede específica. Geralmente, esses ataques enviam a um host ou roteador mais tráfego do que o suportado durante um determinado período de tempo, o que resulta na incapacidade da rede de lidar com o tráfego e cria uma interrupção no fluxo ou tráfego legítimo. Os ataques de negação de serviço podem ser realizados simultaneamente por vários invasores, que concentram seus esforços em um alvo específico. Os computadores de destino em geral já têm sua segurança comprometida, e um programa ou script de malware já foi instalado neles para permitir que o invasor os utilize para direcionar um fluxo coordenado de tráfego de rede para um outro computador ou grupo de computadores. Os computadores comprometidos são chamados de zumbis, e tais ataques são chamados ataques de negação de serviço distribuídos. O IPsec requer autenticação antes do estabelecimento da comunicação e portanto ajudar a atenuar a maioria dos ataques de negação de serviço distribuídos (exceto aqueles que utilizam um cenário em que o invasor é dado como confiável). Em outras palavras, os ataques de negação de serviço distribuídos baseados na Internet serão desarmados, porém um ataque de negação de serviço iniciado internamente na rede de uma organização terá êxito, caso o host ou hosts invasores possam se autenticar e se comunicar usando IPsec. Diferenciando entre tráfego padrão e de ataqueLogo após o ataque do worm Slammer em janeiro de 2003, observou-se que as redes não teriam sido inundadas pelo tráfego do worm caso tivessem seguido regras simples que limitassem o tráfego UDP a, no máximo, 50 por cento da largura de banda disponível. Os hosts infectados teriam ocupado rapidamente 50 por cento da largura de banda com tráfego UDP, porém o resto estaria disponível ao tráfego operacional. Os caixas automáticos continuariam a funcionar, e os administradores teriam sido capazes de usar TCP para instalar patches e distribuir diretivas. Embora a diretiva que limita o tráfego UDP seja uma medida simples, diretivas simples como essa podem ser aplicadas para proporcionar um mecanismo de segurança confiável. Ao usar o IPsec para o tráfego importante, os administradores podem adotar uma versão levemente mais sofisticada da diretiva de UDP. Em condições típicas, os administradores de rede podem monitorar a mistura de tráfegos na rede e determinar a quantidade de tráfego UDP, TCP, ICMP (Internet Control Message Protocol) e assim por diante. Sob condições extremas, um algoritmo de fila justa ponderado pode ser ativado para assegurar que o recurso seja compartilhado de acordo com um padrão determinado. Na verdade, é possível programar por padrão tal diretiva em roteadores, coletar tendências e estatísticas de longo prazo durante os períodos de atividade padrão da rede e usar as estatísticas obtidas como valores justos na criação da fila durante os períodos de congestionamento da rede. Ataques de negação de serviço e wormsEventos passados recentes mostraram que as redes são vulneráveis a ataques de negação de serviço, os quais operam através do envio de tráfego excessivo a fim de saturar um servidor ou uma parte da rede específica. Um dos métodos de ataque de negação de serviço opera de modo distribuído ao instruir vários computadores a enviar simultaneamente o tráfego de ataque a um alvo selecionado. Esse tipo de ataque pode ser difícil de ser evitado. O worm CodeRed tentou inicialmente penetrar em diversos servidores da Web, os quais deveriam enviar tráfego ilegítimo ao domínio whitehouse.gov (o domínio da Casa Branca em Washington, DC, EUA). Os mecanismos de propagação dos worms CodeRed, Nimda e Slammer eram, na verdade, ataques de negação de serviço à Internet. Cada computador infectado enviou centenas de milhares de tentativas de infecção a alvos indiscriminados, e o tráfego resultante prejudicou diversas redes locais e regionais. O IPsec protege contra ataques de negação de serviço de diversas formas, além de fornecer um nível adicional de proteção a possíveis vítimas do ataque. Ele torna lento o ritmo dos ataques ao forçar a execução de processos de computação caros, além de permitir que os operadores de tráfego diferenciem entre os vários tipos de tráfego. elevação de privilégioEsse tipo de ameaça permite que um usuário sem privilégios ganhe acesso privilegiado e a capacidade de comprometer ou mesmo destruir completamente um ambiente de sistema. As ameaças de elevação de privilégio incluem situações nas quais um atacante penetra de forma eficaz em todas as defesas do sistema para explorá-lo e danificá-lo. Outras ameaçasNem todas as ameaças podem ser classificadas de acordo com o modelo STRIDE. Os itens a seguir descrevem outras ameaças e seu impacto potencial em uma solução de isolamento de servidor e domínio. Segurança físicaA segurança física trata do fornecimento de acesso físico a um sistema ou recurso a somente o número mínimo de usuários necessário. A segurança física é a camada de defesa mais básica em relação à maioria das ameaças de segurança de TI. Contudo, na maior parte dos ataques à rede, a necessidade de segurança física é completamente ignorada. A segurança física é uma parte significativa de uma abordagem de defesa profunda. Por exemplo, a segurança física na forma de vigias, câmeras em centros de dados, controles de acesso a locais restritos e cartões magnéticos ou portas trancadas à chave pode ajudar a impedir que um dispositivo confiável fique vulnerável. O uso de diversos métodos de segurança física é importante e pode ajudar a impedir a ocorrência de violações da segurança sérias em centros de dados. Deve ficar claro que se a segurança física estiver comprometida, isso significa que todas as camadas de segurança estarão comprometidas. Todas as medidas de segurança abordadas nesta solução presumem que foram tomadas ações para proteger a segurança física. Sem a segurança física, nenhuma outra medida de segurança pode ser considerada eficaz. Segurança de rede:Uma rede é um sistema formado por computadores interconectados. A maioria dos protocolos e serviços projetados para redes não foi criada levando em conta a possibilidade de seu uso para fins maliciosos. O advento da computação de alta velocidade, o fácil acesso a redes e a ampla disponibilidade da Internet levou diversos usuários maliciosos a concentrarem seus esforços em sistemas e serviços com fins de exploração ou ataque. Várias dessas ameaças de rede foram descritas em mais detalhes anteriormente neste apêndice. Informações adicionais sobre como o IPsec oferece proteção contra alguns desses ataques de rede podem ser encontradas na seção IPsec do capítulo 19 – Configuring TCP/IP do Windows® XP Professional Resource Kit (em inglês) em www.microsoft.com/resources/documentation/Windows/ Segurança de aplicativosA maioria dos ataques direcionados a aplicativos tenta explorar vulnerabilidades existentes nesses aplicativos ou no sistema operacional. Uma vez que o IPsec é implementado na camada de rede do modelo OSI (Open System Interconnection), ele determina se um pacote será permitido ou descartado antes mesmo que ele alcance o aplicativo. Esse comportamento significa que o IPsec não pode fazer determinações no nível do aplicativo, porém pode ser usado para proporcionar segurança ao tráfego de aplicativo em um nível inferior. Engenharia socialA engenharia social é o ato de explorar as fraquezas do comportamento humano para se obter acesso a um sistema ou aprender mais sobre ele. Por exemplo, um provável invasor poderia telefonar para a empresa alvo e perguntar o nome do supervisor encarregado de um determinado projeto. Esse projeto envolve o desenvolvimento de um novo produto ou serviço na empresa, e o invasor deseja obter mais informações sobre isso. Se a recepcionista fornecer o nome do supervisor e até mesmo o local ou as informações de contato dessa pessoa, o invasor terá mais informações, as quais poderá usar para concentrar seus esforços. Uma vez que esse tipo de ataque tem como alvo o usuário do computador, o IPsec não pode oferecer proteção contra ele. De forma similar, um usuário malicioso que tenha acesso a sistemas isolados e abuse desse acesso (geralmente chamado de invasor confiável) terá de ser impedido por outras tecnologias de segurança. ResumoEstá claro que o uso do isolamento de servidor e domínio não anulará todas as ameaças enfrentadas por uma organização. Apenas a compreensão total das opções disponíveis e o conhecimento profundo dos desafios técnicos permitirão que as organizações protejam adequadamente seus ambientes de TI.
|
Neste artigo
|
