A melhor prática antes de empregar uma máquina em um ambiente de produção ou conectar sua rede à Internet é determinar as necessidades de sua empresa, e como a segurança pode atender a estes requisitos da maneira mais transparente possível. Já que o objetivo principal do Guia de Segurança do Red Hat Enterprise Linux é explicar como proteger o Red Hat Enterprise Linux, um exame mais detalhado da segurança do hardware e da rede física está além do escopo deste documento. No entanto, este capítulo apresenta uma breve visão geral do estabelecimento de políticas de segurança em relação a hardware e redes físicas. Alguns fatores importantes a considerar incluem como os requisitos computacionais e de conectividade são endereçados na estratégia de segurança. A seguir, uma explicação detalhada de alguns destes fatores.
A computação envolve mais do que somente estações de trabalho rodando software. Empresas modernas requerem um grande poder computacional e serviços de alta disponibilidade, que podem incluir mainframes, clusters de aplicação ou de computador, estações de trabalho poderosas e aplicações especializadas. Com estes requisitos corporativos, entretanto, aumentou a propensão a falhas de hardware, desastres naturais e a interfêrencias no ou roubo do equipamento.
Conectividade é o método através do qual o administrador pretende conectar recursos díspares a uma rede. Um administrador pode usar a Ethernet (cabeamento CAT-5/RJ-45 de hub ou de comutador), token ring, cabo coaxial 10-base-2 ou mesmo tecnologias sem-fio (802.11x). Dependendo do meio que o administrador escolher, determinadas mídias e tecnologias de rede requerem tecnologias complementares, como hubs, roteadores, comutadores, estações base e pontos de acesso. Determinar uma arquitetura de rede funcional facilitará o processo administrativo se surgirem questões de segurança.
A partir destas considerações gerais, os administradores podem obter uma visão melhor da implementação. A estrutura de um ambiente computacional pode ser baseado em ambos — necessidades da corporação e considerações de segurança — uma implementação que atenda uniformemente aos dois fatores.
A fundação de uma LAN é a topologia ou arquitetura de rede. A topologia é o layout físico e lógico de uma LAN em termos de recursos providos, distância entre nódulos e meio de transmissão. Dependendo das necessidades da empresa à qual a rede serve, há diversas opções disponíveis para a implementação da rede. Cada topologia tem suas vantagens e questões de segurança que arquitetos de rede devem considerar ao desenhar o layout de suas redes.
Conforme definido pelo Institute of Electrical and Electronics Engineers (IEEE), há três topologias comuns para a conexão física de uma LAN.
A topologia Ring conecta cada nódulo usando exatamente duas conexões. Isto cria uma estrutura ring na qual cada nódulo é acessível ao outro, diretamente por seus nódulos vizinhos fisicamente mais próximos ou indiretamente através do ring físico. Redes Token Ring, FDDI e SONET são conectadas desta maneira (com o FDDI usando uma técnica de ring duplo). No entanto, não há conexões Ethernet comuns usando esta topologia física, então os rings não são comumente empregados, exceto em configurações legadas ou institucionais com uma grande base de nódulos instalados (em uma universidade, por exemplo).
A topologia de canal linear consiste de nódulos conectados a um cabo linear principal terminado (o backbone). A topologia de canal linear requer um mínimo de cabeamento e equipamento de rede, o que a torna a topologia de custo mais baixo. No entanto, o canal linear depende do backbone estar constantemente disponível, tornando-o um ponto único de falha, caso seja necessário colocá-lo offline ou esteja separado. Topologias de canal linear são comumente usadas em LANs par-a-par (peer-to-peer) usando cabeamento coaxial e terminadores de 50-93 ohm nas duas extremidades do canal.
A topologia Estrela (Star) incorpora um ponto central onde os nódulos se conectam e através do qual a comunicação é passada. Este ponto central, chamado de hub pode ser transmitido ou comutado. Esta topologia introduz um ponto único de falha no hardware de rede centralizado que conecta os nódulos. Entretanto, devido essa centralização, as questões de rede que afetam segmentos ou a LAN inteira são facilmente rastreáveis para esta fonte única.
A Seção A.1.1.3 introduziu o conceito de rede transmitida e comutada. Há diversos fatores a considerar ao avaliar o tipo de hardware adequado e seguro o suficiente para seu ambiente de rede. Veja a seguir a distinção entre estas duas formas de rede.
Em uma rede de transmissão, um nódulo enviará um pacote que é recebido por todos os outros nódulos até que o receptor pretendido aceite o pacote. Cada nódulo da rede pode concebivelmente receber este pacote de dados até que o receptor processe o pacote. Em uma rede de transmissão, todos os pacotes são enviados desta maneira.
Em uma rede comutada (switched network), os pacotes não são transmitidos, mas processados no hub comutado que, por sua vez, cria uma conexão direta entre os nódulos emissor e receptor. Isto elimina a necessidade de transmitir pacotes a cada nódulo, assim diminuindo o tráfego operante.
A rede comutada também evita que os pacotes sejam interceptados por usuários ou nódulos maléficos. Em uma rede de transmissão, onde cada nódulo recebe o pacote no caminho de seu destino, usuários maléficos podem configurar seu dispositivo Ethernet para o modo promíscuo e aceitar todos os pacotes independentemente dos dados serem destinados a eles ou não. Uma vez definida no modo promíscuo, uma aplicação sniffer pode ser usada para filtrar, analisar e reconstruir pacotes para senhas, dados pessoais e outros. Aplicações sniffer sofisticadas podem armazenar este tipo de informação em arquivos texto e, talvez, até enviar as informações para fontes arbitrárias (por exemplo: o enedereço de e-mail do usuário maléfico).
Uma rede comutada requer um comutador de rede, um componente de hardware especializado que substitui a função do hub tradicional, ao qual todos os nódulos de uma LAN são conectados. Comutadores armazenam endereços MAC de todos os nódulos em um banco de dados interno, que os utiliza para seu roteamento direto. Diversos fabricantes, incluindo a Cisco Systems, D-Link, SMC e Netgear, oferecem vários tipos de comutadores com características como a compatibilidade 10/100-Base-T, suporte a Ethernet gigabit e networking IPv6.
Uma questão emergente para as empresas é a mobilidade. Funcionários remotos, técnicos de campo e executivos requerem soluções portáteis, como laptops, organizadores pessoais digitais (PDAs) e acesso sem-fio a recursos de rede. O IEEE estabeleceu normas para a especificação sem-fio 802.11, que dita padrões para a comunicação de dados sem-fio para todos os setores. O padrão corrente aprovado pelo IEEE é a especificação 802.11g para redes sem-fio, enquanto 802.11a e 802.11b são padrões legados. O padrão 802.11g é compatível com o 802.11b, mas não com o 802.11a.
As especificações 802.11b e 802.11g são, na verdade, um grupo de padrões que governam as comunicações sem-fio e exercem controle sobre o espectro 2.4GHz de rádio frequência (RF) não licensiado (a 802.11a usa o espectro de 5GHz). Estas especificações foram aprovadas como padrões pelo IEEE, e diversos fabricantes comercializam produtos e serviços 802.11x. Os consumidores também adotaram o padrão para as redes em escritórios pequenos ou caseiros. A popularidade também extendeu-se das LANs às MANs (Redes de Área Metropolitana), especialmente em áreas populosas onde há uma concentração de pontos de acesso sem-fio (wireless access points - WAPs). Além disso, há provedores de serviços de Internet sem-fio que servem viajantes frequentes necessitando acesso de banda larga à Internet, para conduzir seus negóciois remotamente.
As especificações 802.11x permitem conexões par-a-par diretas entre nódulos com NICs sem-fio. Este agrupamento flexível de nódulos, chamado de rede improvisada, é ideal para compartilhamento de conexão rápida entre dois ou mais nódulos, mas introduz questões de escalabilidade não adequadas para conectividade sem-fio dedicada.
Uma solução mais adequada para o acesso sem-fio em estruturas fixas é instalar um ou mais WAPs, que conectam à rede tradicional e permitem que nódulos sem-fio se conectem ao WAP como se fosse na rede baseada na Ethernet. O WAP age efetivamente como uma ponte entre os nódulos conectados a ele e o resto da rede.
Apesar da rede sem-fio ser comparável em velocidade e certamente mais conveniente que os meios de redes com fios, há algumas limitações na especificação que autoriza consideração completa. A mais importante destas limitações está na sua implementação de segurança.
Com a ansiedade de implantar uma rede 802.11x com sucesso, muitos administradores deixam de tomar as precauções de segurança mais básicas. Desde que toda a rede 802.11x esteja feita usando sinais RF de banda alta, os dados transmitidos são facilmente acessíveis a qualquer usuário com um NIC compatível, uma ferramenta de scanning da rede sem-fio (como o NetStumbler ou o Wellenreiter) e ferramentas comuns de sniffing (como dsniff e snort). Para impedir este uso indevido das redes privadas sem-fio, o padrão 802.11b usa o protocolo Wired Equivalency Privacy (WEP), uma chave criotografada de 64 ou 128 bits baseada no RC-4 e compartilhada entre cada nódulo ou entre a WAP e o nódulo. Esta chave criptografa as transmissões e descriptografa pacotes de entrada dinâmica e transparentemente. Os administradores frequentemente deixam de implementar este esquema de criptografia de chave compartilhada por esquecimento ou porque escolheram não fazê-lo devido à degradação do desempenho (especialmente através de distâncias longas). No entanto, ativar o WEP em uma rede sem-fio pode reduzir drasticamente a possibilidade de intercepção de dados.
O Red Hat Enterprise Linux suporta vários produtos 802.11x de diversos fabricantes. A Ferramenta de Administração de Rede inclui uma funcionalidade para configurar a segurança de NICs e WEP sem-fio. Para informações sobre o uso da Ferramenta de Administração de Rede, consulte o Guia de Administração de Sistemas Red Hat Enterprise Linux.
Confiar no WEP, entretanto, ainda não é o suficiente em termos de proteção contra determinados usuários maléficos. Há utilitários especializados desenvolvidos especificamente para craquear o algoritmo RC4 de criptografia do WEP protegendo uma rede sem-fio e expondo a chave compartilhada. A AirSnort e a WEP Crack são dois exemplos destas aplicações especializadas. Para protegerem-se destas, os administradores devem aderir a normas restritas em relação ao uso de métodos sem-fio para o acesso a informações delicadas. Pode-se optar por aumentar a segurança da conectividade sem-fio restringindo-a somente a conexões SSH ou VPN, que introduz uma camada de criptografia adicional sobre a criptografia WEP. Ao usar esta norma, um usuário maléfico externo à rede que craquear a criptografia WEP, também terá que craquear a criptografia VPN ou SSH. Dependendo do método, pode-se empregar até criptografia de algoritmo DES de 168 bits de força tripla (3DES), ou algoritmos proprietários com força ainda maior. Os administradores que aplicarem estas normas devem restringir protocolos somente-texto (como Telnet ou FTP), já que senhas e dados podem ser expostos usando quaisquer dos ataques mencionados anteriormente.
Um método recente de segurança e autenticação, adotado por fabricantes de equipamento de rede, é o Wi-fi Protected Acces (Acesso Sem-fio Protegido - WPA). Os administradores podem configurar o WPA em sua rede usando um servidor de autenticação que administra as chaves de clientes que acessam a rede sem-fio. O WPA é melhor que a criptografia WEP pois usa o Temporal Key Integrity Protocol (Protocolo de Integridade da Chave Temporal - TKIP), um método de usar uma chave compartilhada e associá-la ao endereço MAC da placa da rede sem-fio instalada no sistema cliente. Os valores da chave compartilhada e do endereço MAC então são processados por um vetor de inicialização (IV), que é usado para gerar uma chave que criptografa cada pacote de dados. O IV altera a chave cada vez que um pacote é transferido, prevenindo os ataques mais comuns às redes sem-fio.
No entanto, o WPA usando o TKIP é tido como uma solução temporária. Soluções usando cifras de criptografia mais fortes (como AES) estão sob desenvolvimento e têm o potencial de aumentar a segurança da rede sem-fio no âmbito corporativo.
Para mais informações sobre os padrões 802.11, consulte a seguinte URL:
http://standards.ieee.org/getieee802/802.11.html |
Para administradores que queiram rodar serviços acessíveis externamente (como HTTP, e-mail, FTP e DNS) é recomendado que estes serviços sejam física e/ou logicamente separados da rede interna. Firewalls e a proteção de máqunas e aplicações são maneiras efetivas de detectar intrusões casuais. Entretanto, alguns crackers podem encontrar vias à rede interna se os serviços que craquearam residem no mesmo segmento da rede. Os serviços acessíveis externamente devem residir no que a indústria da segurança chama de zona desmilitarizada (DMZ), um segmento da rede lógica onde o tráfego de entrada da Internet pode acessar somente àqueles serviços e não pode acessar a rede interna. Isto é efetivo, pois mesmo que um usuário maléfico faça um exploit na DMZ de uma máquina, o resto da rede interna fica atrás de um firewall num segmento separado.
A maioria das empresas tem um conjunto limitado de endereços IP publicamente roteáveis, a partir dos quais pode hospedar serviços externos. Desta forma, os administradores utilizam regras de firewall elaboradas para aceitar, encaminhar, rejeitar e negar transmissões de pacotes. Regras de firewall implementadas com iptables ou firewalls de hardware dedicado permitem o roteamento complexo e o encaminhamento de regras. Os administradores podem usar estas normas para segmentar o tráfego de entrada para serviços específicos em endereços e portas específicos, enquanto permitir que somente a LAN acesse os serviços internos, o que pode evitar exploits de spoofing de IP. Para mais informações sobre a implementação do iptables, consulte o Capítulo 7.