Infra - Segurança
Você ainda acha que o seu Firewall vai te proteger?
Firewall não é tudo. Pense em todo o conjunto (rede, aplicações, servidores, desktops, etc)
por Fabio HaraMuita gente ainda tem o conceito de segurança que o Firewall é a defesa principal da rede. É fato que o firewall atue como proxy, barrando ou liberando o acesso de internet, tanto de dentro para fora quanto o inverso. Durante muito tempo o Firewall ele foi visto como o principal ponto de investimento em segurança… mas será que isso ainda é verdade?
A proteção de uma infraestrutura hoje em dia vai muito mais além do que simplesmente o firewall. A segurança envolve varias camadas, e uma das metodologias para assegurar a integridade da rede é controlando o acesso à internet. Basicamente existem algumas formas de se controlar o acesso à Internet:
A alternativa 1 aumenta muito o trabalho, pois é necessário sempre manter esta lista atualizada. Afinal, cada dia existem mais e mais sites que devem ser bloqueados. A alternativa 2 possui carga menor de trabalho, porem você causa muita insatisfação dos seus usuários . A alternativa 3 há um bom tempo que não é tão implantada, e nem é necessário dizer seus riscos.
Um dos problemas enfrentados pelos administradores de rede é justamente o Modem 3G. Cada vez mais comum e barato , ele pode por toda sua estratégia de acesso a internet por água abaixo. Afinal do que adianta implementar a melhor regra de acesso e controle de internet se você não se preocupou com a segurança nos desktops? Um ambiente de desktops não gerenciado pode trazer muitos riscos, pois é muito mais fácil infectar a rede com vírus desta forma do que um vírus por e-mail. Outro problema de segurança nos desktops são os pen-drives USBs. Apesar de que hoje em dia já existem políticas de grupo e softwares que bloqueiam, ainda assim é uma forma de entrada de vírus e também de roubo de informações.
Não mencionei os softwares que fazem acesso anônimo (anonymizers), que permitem navegação web usando mecanismos de empacotamento de dados. Os melhores softwares de anonymizers conseguem utilizar portas de SSL (443) , tornando praticamente impossível detectá-los pela rede. Como os administradores de rede conseguirão se proteger neste caso? Boa pergunta.
Outra forma extremamente eficiente de invasão/roubo de informações é através de engenharia social. Muitos anos atrás durante meu período de consultor fui contratado para implementar a segurança de rede de uma grande empresa, e um dos pontos que insisti fortemente era justamente o treinamento dos funcionários. Um exemplo claro: neste cliente existia um problema que é comum ate mesmo hoje em dia - quando se implementa políticas de senhas fortes e não se instrui os funcionários eles acabam anotando em Post-Its as senhas, e colam do lado do monitor. Absurdo? faça um dia uma visita surpresa na maquina dos usuários e você descobrirá coisas interessantes. Daí vem a grande pergunta: de que adianta implementar uma política de senhas complexa, que exige pelo menos 10 caracteres, que lembre as ultimas 12 senhas utilizadas, se você não ensinou os funcionários sobre a importância de se manter as senhas de forma segura?
Neste cliente realizamos um teste muito interessante, e que você pode reproduzir na sua empresa. Na época usamos disquetes, mas você pode usar CDs (se você usar pen-drives eu duvido que alguém devolva). Crie uma planilha no Excel e coloque vários nomes , separados por cargos e salários. Coloque um logotipo da empresa e cole uma fita adesiva no disquete chamada "cargos e salários - 2009" . Um detalhe importante: coloque uma macro nesta planilha, para que ela crie de forma inocente um arquivo testexxx.txt em um diretório que você definir. Agora vem a parte engraçada. Copie vários disquetes desta forma e deixe-os caídos pelos corredores e demais lugares da empresa. Depois de uns 3 dias faça uma varredura na sua empresa atrás deste arquivo e verifique em quantas maquinas apareceu, e quantos disquetes foram devolvidos para o Help-desk. Parece engraçado, mas coloque agora um vírus e imagine o estrago que poderia ter ocorrido.
Não quero assustar ninguém, mas algo que as pessoas deveriam fazer é:
Firewall não é tudo. Pense em todo o conjunto (rede, aplicações, servidores, desktops, etc)
Quando implementar segurança considere treinamento aos funcionários como parte essencial do plano
[]´s
A proteção de uma infraestrutura hoje em dia vai muito mais além do que simplesmente o firewall. A segurança envolve varias camadas, e uma das metodologias para assegurar a integridade da rede é controlando o acesso à internet. Basicamente existem algumas formas de se controlar o acesso à Internet:
- mantendo uma lista de sites bloqueados (mais comum)
- mantendo uma lista de sites liberados (mais segura)
- não controlando (pouco comum)
A alternativa 1 aumenta muito o trabalho, pois é necessário sempre manter esta lista atualizada. Afinal, cada dia existem mais e mais sites que devem ser bloqueados. A alternativa 2 possui carga menor de trabalho, porem você causa muita insatisfação dos seus usuários . A alternativa 3 há um bom tempo que não é tão implantada, e nem é necessário dizer seus riscos.
Um dos problemas enfrentados pelos administradores de rede é justamente o Modem 3G. Cada vez mais comum e barato , ele pode por toda sua estratégia de acesso a internet por água abaixo. Afinal do que adianta implementar a melhor regra de acesso e controle de internet se você não se preocupou com a segurança nos desktops? Um ambiente de desktops não gerenciado pode trazer muitos riscos, pois é muito mais fácil infectar a rede com vírus desta forma do que um vírus por e-mail. Outro problema de segurança nos desktops são os pen-drives USBs. Apesar de que hoje em dia já existem políticas de grupo e softwares que bloqueiam, ainda assim é uma forma de entrada de vírus e também de roubo de informações.
Não mencionei os softwares que fazem acesso anônimo (anonymizers), que permitem navegação web usando mecanismos de empacotamento de dados. Os melhores softwares de anonymizers conseguem utilizar portas de SSL (443) , tornando praticamente impossível detectá-los pela rede. Como os administradores de rede conseguirão se proteger neste caso? Boa pergunta.
Outra forma extremamente eficiente de invasão/roubo de informações é através de engenharia social. Muitos anos atrás durante meu período de consultor fui contratado para implementar a segurança de rede de uma grande empresa, e um dos pontos que insisti fortemente era justamente o treinamento dos funcionários. Um exemplo claro: neste cliente existia um problema que é comum ate mesmo hoje em dia - quando se implementa políticas de senhas fortes e não se instrui os funcionários eles acabam anotando em Post-Its as senhas, e colam do lado do monitor. Absurdo? faça um dia uma visita surpresa na maquina dos usuários e você descobrirá coisas interessantes. Daí vem a grande pergunta: de que adianta implementar uma política de senhas complexa, que exige pelo menos 10 caracteres, que lembre as ultimas 12 senhas utilizadas, se você não ensinou os funcionários sobre a importância de se manter as senhas de forma segura?
Neste cliente realizamos um teste muito interessante, e que você pode reproduzir na sua empresa. Na época usamos disquetes, mas você pode usar CDs (se você usar pen-drives eu duvido que alguém devolva). Crie uma planilha no Excel e coloque vários nomes , separados por cargos e salários. Coloque um logotipo da empresa e cole uma fita adesiva no disquete chamada "cargos e salários - 2009" . Um detalhe importante: coloque uma macro nesta planilha, para que ela crie de forma inocente um arquivo testexxx.txt em um diretório que você definir. Agora vem a parte engraçada. Copie vários disquetes desta forma e deixe-os caídos pelos corredores e demais lugares da empresa. Depois de uns 3 dias faça uma varredura na sua empresa atrás deste arquivo e verifique em quantas maquinas apareceu, e quantos disquetes foram devolvidos para o Help-desk. Parece engraçado, mas coloque agora um vírus e imagine o estrago que poderia ter ocorrido.
Não quero assustar ninguém, mas algo que as pessoas deveriam fazer é:
Firewall não é tudo. Pense em todo o conjunto (rede, aplicações, servidores, desktops, etc)
Quando implementar segurança considere treinamento aos funcionários como parte essencial do plano
[]´s
Fabio Hara - Um dos primeiros MVPs (Most Valuable Professional) de infra-estrutura do Brasil, além de MCTS, MCITP, MCSA, MCSE, MCITP e MCT, com mais de 14 anos de experiência no mercado de infra-estrutura de redes Microsoft. Atuou em muitos cases da Microsoft e hoje ocupa a posição de Especialista em Infra-estrutura e Virtualização no time do TechNet Brasil. Sua missão é contribuir com os profissionais e comunidades de IT Pros a explorar as funcionalidades e recursos da plataforma Microsoft.
Blog: http://fabiohara.spaces.live.com
Twitter: http://Twitter.com/fabiohara
- Segurança em SistemasSegurança
- TMap Next(Test Management Approach) - Processos de Suporte - Parte 8-4Segurança
- TMap Next(Test Management Approach) - Processo de Testes de Desenvolvimento - Parte 8-3Segurança
- TMap Next(Test Management Approach) - Processo Plano de Testes Mestre(MTP) - Planejamento e Con...Segurança
- TMap Next(Test Management Approach) - Processo Plano de Testes Mestre(MTP) - Planejamento e Con...Segurança
