O que são medidas de segurança de rede?

Medidas de segurança de rede são as ferramentas e tecnologias, como firewalls e Sistemas de Prevenção de Intrusão (IPS), que são adicionados a uma rede para proteger dados, voz e vídeo armazenados ou transmitidos.

Medidas de segurança de rede

As medidas de segurança de rede são os controles de segurança que você adiciona às suas redes para proteger a confidencialidade, integridade e disponibilidade. Esses controles continuam a evoluir, mas há muito conhecimento fundamental prontamente disponível. É preciso esforço para manter os invasores fora de sua rede. Firewalls, proxies e gateways trabalham para esse fim.

É perigoso presumir que esses dispositivos manterão absolutamente os invasores fora de sua rede. Os criminosos finalmente encontram uma maneira de entrar. Um cibercriminoso conhecido, Kevin Mitnick, afirma 100% de sucesso ao lançar testes de penetração contra empresas que o contrataram para testar a segurança de sua rede.

Sempre há uma maneira de entrar. A segurança requer trabalho contínuo para aprender, evoluir e ficar à frente dos criminosos. Também é fundamental ter planos de resposta a incidentes e equipes em vigor quando os atacantes entram.

Firewall

Um firewall bloqueia ou permite a passagem do tráfego. O tráfego que pode passar por um firewall é especificado em sua configuração com base no tipo de tráfego que uma empresa possui e precisa. A prática recomendada de segurança mais importante com um firewall é que ele deve bloquear todo o tráfego por padrão. Ele deve então ser configurado para permitir apenas tráfego específico para serviços conhecidos. A configuração do firewall é crítica, portanto, o conhecimento do administrador do firewall é crucial.

Os firewalls operam em camadas diferentes dentro do modelo ISO OSI (Interconexão de Sistema Aberto de Organização de Padrões Internacionais). Normalmente, qualquer coisa chamada de firewall vive nas camadas 2-5. Se o firewall estiver na camada 7, geralmente é chamado de proxy ou gateway. A exceção é um firewall de aplicaão da web (WAF), que usa a palavra firewall e está na camada 7. Um firewall analisa as informações encontradas na camada do modelo OSI onde funciona.

Aqui estão alguns exemplos de como um firewall pode operar em diferentes camadas:

  • Camada 2 – data link – pode tomar uma decisão de bloqueio ou encaminhamento com base no endereço de controle de acesso à mídia (MAC) no quadro.
  • Camada 3 – rede – pode tomar uma decisão de bloqueio ou encaminhamento com base no endereço de Protocolo da Internet (IP) dentro do pacote.
  • Camada 4 – transporte – pode tomar uma decisão de bloqueio ou encaminhamento com base no número da porta do protocolo de controle de transmissão (TCP) no datagrama.
  • Camada 5 – sessão – pode tomar uma decisão de bloqueio ou encaminhamento com base nas informações do protocolo em tempo real (RTP).
  • Camada 7 – dados – pode bloquear ou encaminhar uma decisão com base na aplicação ou serviço de aplicação.

 

Um firewall é configurado com uma lista de regras que às vezes são chamadas de políticas. O firewall usa essa lista de regras para determinar o que fazer com o tráfego assim que ele chegar ao firewall. As regras funcionam de uma perspectiva de cima para baixo.

O firewall compara o quadro ou pacote que acabou de receber com a primeira regra da lista. Se corresponder ao tipo de tráfego dessa regra, seguirá as instruções dessa regra. Uma regra pode dizer que o tráfego pode passar ou que deve ser bloqueado e descartado.

Se o quadro ou pacote não corresponder à primeira regra, o firewall o comparará com a segunda e assim por diante. Se o tráfego não corresponder a uma das regras definidas explicitamente, o firewall seguirá a regra final que deve ser descartar o tráfego.

Proxy

Um firewall proxy reside na camada 7 do modelo OSI. Quando um proxy recebe tráfego, ele processa o quadro ou pacote através das camadas. Por exemplo, se o quadro for removido na camada 2, os cabeçalhos do pacote serão removidos na camada 3 e assim por diante até que apenas os dados existam na camada 7.

A conexão de segurança da camada de transporte (TLS) é encerrada na camada 4 e os dados estão em texto não criptografado dentro do proxy desse ponto em diante. O proxy então analisa os dados sendo transmitidos, o que teria sido impossível em níveis inferiores devido à criptografia. Isso permite que o dispositivo analise muito mais dados do que um firewall padrão. Isso geralmente leva mais tempo ou capacidade de processamento do que um firewall, mas oferece maior controle sobre o tráfego do usuário.

Gateway

O termo gateway tem significados diferentes dependendo de com quem você fala. Um gateway era tradicionalmente uma peça de hardware que ficava entre duas redes. O gateway médio hoje tem um elemento de firewall nele. Por exemplo, o Microsoft Azure tem um WAF integrado em seu gateway. Portanto, um gateway agora é discutivelmente um tipo de firewall.

Sistemas de detecção & prevenção de intrusão

A próxima preocupação é detectar intrusões em uma rede usando sistemas de detecção de intrusão (IDSs). Esses dispositivos são passivos. Eles observam o tráfego da rede e registram o tráfego suspeito. Um IDS pode estar na rede ou no dispositivo final. Dependendo de onde estiver, é chamado de IDS baseado em rede (NIDS) ou IDS baseado em host (HIDS).

Um NIDS é geralmente conectado a uma porta de tap ou span de um switch. Isso significa que o tráfego é repassado ao seu destino sem interferência e uma cópia vai para a porta span do NIDS para análise. Se for um HIDS, ele reside no laptop, tablet, servidor, etc. A maioria dos HIDS não analisa o tráfego ao vivo, mas, em vez disso, analisa os logs de tráfego após o fato.

Em algum ponto, os fabricantes levaram esses dispositivos para o próximo nível. Se eles podem detectar um ataque, por que não jogar no lixo frames ou pacotes suspeitos no dispositivo, em vez de apenas reportar sobre ele? Foi assim que surgiram os sistemas de prevenção de intrusões (IPS). Os IPSs também podem ser baseados em rede (NIPS) ou baseados em host (HIPS).

É uma ideia maravilhosa, mas tem um lado negativo. O IPS deve saber o que é e o que não é tráfego. Isso pode ser feito com arquivos de assinatura ou pode aprender.

Rede privada virtual (VPN)

A próxima preocupação a ser abordada é como proteger dados, voz ou vídeo que são transmitidos em qualquer lugar que alguém possa espionar. A próxima preocupação a ser abordada é como proteger dados, voz ou vídeo que são transmitidos em qualquer lugar que alguém possa espionar.

A criptografia resolve essa preocupação, tornando os dados ilegíveis sem a chave. Para dados em trânsito, existem algumas opções de criptografia. Eles são os seguintes:

  • Secure Socket Layer (SSL)/Transport Layer Security (TLS)
  • Secure Shell (SSH)
  • Internet Protocol Security (IPsec)

 

SSL/TLS

SSL/TLS está em uso desde 1995 para proteger conexões baseadas em navegador. A Netscape inventou o SSL. As versões 2.0 e 3.0 estavam em uso até que a Internet Engineering Task Force (IETF) a adotou e renomeou. Isso ocorreu em 1999, quando a America Online (AOL) comprou a Netscape. Agora o TLS 1.3 (RFC 8446) é a versão mais recente. O TLS não é usado apenas para conexões baseadas em navegador. Ele também é usado para uma conexão VPN do usuário para se conectar ao escritório.

SSL/TLS é um protocolo de camada de transporte que usa a porta TCP 443 quando aplicado a conexões de navegador.

SSH

SSH é um método de criptografia mais comumente usado para capacidade de login remoto. Os administradores de rede usam SSH para fazer login e administrar remotamente dispositivos de rede, como roteadores e switches. É geralmente considerado como um substituto do Telnet, que é um protocolo de login remoto da camada 7 que não é criptografado, embora também possa ser usado para conexões VPN. SSH é especificado em IETF RFC 4253. Ele usa a porta TCP 22.

IPsec

IPsec é um protocolo de camada de rede que fornece criptografia e capacidade de verificação de integridade para qualquer tipo de conexão. Existem muitos documentos IETF RFC diferentes que especificam as diferentes partes do que é considerado IPsec. A RFC 6071 oferece um roteiro mostrando como esses documentos se relacionam entre si.

O IPsec fornece dois protocolos de segurança: cabeçalho de autenticação (AH) e payload de segurança de encapsulamento (ESP).

  • AH é usado para fornecer autenticação e integridade de origem de dados. Uma implementação de IPsec não precisa oferecer suporte a AH. O AH criptografa o cabeçalho do pacote IP.
  • Todas as implementações de IPsec devem suportar ESP, que oferece autenticação de origem de dados, integridade e confidencialidade. O ESP criptografa a carga útil do pacote IP.

 

Prevenção de vazamento de dados & gerenciamento de direitos digitais

A proteção da propriedade intelectual (PI) continua a ser uma preocupação. IP inclui manuais, processos, documentos de design, dados de pesquisa e desenvolvimento, etc. Existem dois problemas principais. O primeiro é manter as informações confidenciais contidas e o segundo é garantir que as informações só possam ser vistas por quem você deseja. A classificação de dados e o controle de acesso são duas das muitas coisas usadas para controlar o acesso de maneira apropriada.

As preocupações com o fluxo de dados de sua empresa de maneira inadequada podem ser controladas pela tecnologia de prevenção de vazamento de dados (DLP). Ele observa informações confidenciais em fluxos de dados, como e-mails ou transferências de arquivos.

Se o software DLP detectar informações confidenciais, como o número do cartão de crédito, ele bloqueará ou interromperá a transmissão. Ele também pode criptografá-lo se essa for uma ação mais apropriada. A questão é o que sua empresa deseja controlar e como ela deseja que a rede responda quando o software DLP detectar esses dados.

O DRM usa tecnologia para controlar o acesso ao IP. Se você usou Kindle, iTunes, Spotify, Netflix ou Amazon Prime Video, você usou software DRM. O software permite que você veja o vídeo, leia o livro ou ouça a música depois de comprá-lo do fornecedor. Um exemplo de negócios é a Cisco controlando o acesso aos manuais do curso assim que o cliente adquire uma aula.

Javelin e LockLizard são outros exemplos de tecnologia DRM que as empresas podem usar para controlar a distribuição de conteúdo. A tecnologia DRM usa o controle de acesso que rege por quanto tempo alguém pode usar o conteúdo, se pode ser impresso, se pode ser compartilhado, etc. Os parâmetros são baseados nos desejos do proprietário do IP.

Logs, monitoramento e SIEMs

Possivelmente, as medidas de segurança mais críticas que uma empresa pode implementar envolvem a detecção e correção de problemas de segurança. O ponto de partida é o registro. Praticamente todos os sistemas em ou conectados a uma rede devem gerar logs.

Uma empresa determina o que exatamente registrar. Isso pode incluir tentativas de login, fluxos de tráfego, pacotes, ações executadas ou até mesmo cada pressionamento de tecla feito por um usuário. A decisão sobre o que registrar deve ser baseada no apetite de risco do negócio, a sensibilidade dos ativos e as vulnerabilidades dos sistemas.

Todos esses sistemas devem gerar logs:

Sistemas na rede

  • Roteadores e switches
  • IDS e IPS
  • Firewalls


Sistemas conectados à rede

  • Servidores
  • Notebooks
  • Câmeras
  • Desktop e telefones celulares
  • Bancos de Dados
  • Todos os dispositivos da Internet das coisas (IoT)

 

Isso resulta em um grande número de eventos registrados. Para dar sentido a todos esses dados, é necessário enviar os logs, que também são trilhas de auditoria, para um local central, como um servidor syslog. Quando os logs estão em um servidor syslog, um gerenciador de eventos de informações de segurança (SIEM) os analisa.

Um SIEM é uma ferramenta que analisa os logs de todos os sistemas e correlaciona os eventos. Ele procura por indicações de compromisso (IOC). Um COI nem sempre se traduz em evidência de um evento real, por isso deve ser analisado por humanos. É aqui que um centro de operação de segurança (SOC) e uma equipe de resposta a incidentes (IRT) devem determinar as próximas ações a serem tomadas.