Guia sobre como proteger servidores de Intranet e Extranet

More documents

Recommendations

Info

VeriSign - Guia sobre como proteger servidores de Intranet e Extranet Página 4 de 20 A Figura 2 ilustra como o crescimento na complexidade da rede aumentou os pontos potenciais de ataque, tanto de fora como de dentro das organizações. Felizmente, os meios de proteção contra estes ataques também se aperfeiçoaram. Os firewalls e as senhas são duas das precauções de segurança mais utilizadas hoje em dia. As senhas destinam-se a impedir que pessoas não autorizadas tenham acesso direto aos dados confidenciais armazenados em servidores. Os firewalls, ao contrário, destinam-se a fornecer um mecanismo de defesa perimétrico, evitando que pessoas não autorizadas de fora da empresa tenham acesso a dados confidenciais dentro da empresa. Segundo um estudo recente da IDC, praticamente 100% das empresas da lista da Fortune 500 já instalaram firewalls. Apesar do seu importante papel na segurança de redes e de sua adoção tão difundida, a solução fornecida pelos firewalls é parcial. Como mostrado na Figura 2, as defesas perimétricas pouco podem fazer para impedir ataques vindos de dentro da empresa (ex.: funcionários ou empreiteiros descontentes, etc.). As senhas também não surtem melhor efeito contra ataques internos. A maioria das senhas são sabidamente fáceis de adivinhar. Quando não são adivinhadas, podem ser encontradas com freqüência nos mousepads dos funcionários, ou ainda, interceptadas enquanto transitam às claras pelas redes da empresa. Mesmo quando as senhas não são adivinhadas ou quando são utilizados métodos mais sofisticados de controle de acesso, é importante observar que o controle de acesso sozinho não garante que as informações permanecerão confidenciais. Embora um bom sistema de senhas possa evitar que alguém penetre em um servidor para obter informações confidenciais, as senhas não protegem os dados quando eles passam "pelo fio" para irem do servidor para o cliente. Isto também se aplica a dados que passam por fora do firewall, trocados entre os servidores das empresas e filiais, clientes, fornecedores ou funcionários longe da empresa. A qualquer hora em que estes dados forem enviados dos servidores para as empresas por fora do seu firewall, eles poderão ser interceptados por "farejadores". Os piratas (hackers) não precisam "entrar" no seu sistema, se você estiver enviando dados fora do perímetro. Tipos de riscos de segurança encontrados em Intranets e Extranets As brechas de segurança em Intranets e Extranets podem assumir várias formas. Por exemplo: • Uma pessoa não autorizada (como um empreiteiro ou um visitante) poderia ter acesso ao sistema de computadores de uma companhia. • Um funcionário ou fornecedor autorizado a usar o sistema com uma finalidade poderia usá-lo com outra. Por exemplo, um engenheiro poderia violar o banco de dados de Recursos Humanos para obter informações confidenciais sobre salários. • Informações confidenciais poderiam ser interceptadas quando estivessem sendo enviadas para um usuário autorizado. Por exemplo, um intruso poderia prender à sua rede um dispositivo farejador de redes. Embora os farejadores sejam normalmente usados para diagnósticos de redes, também podem ser utilizados para interceptar dados transmitidos através do fio. • Os usuários podem compartilhar documentos entre escritórios separados geograficamente através da Internet ou Extranet, ou ainda, funcionários que acessem a Intranet da empresa a partir de seu computador em casa podem deixar a descoberto dados confidenciais quando enviados pelo fio. • O correio eletrônico pode ser interceptado durante o seu trajeto. Estas não são meras preocupações teóricas. Embora nos últimos anos tenham sido muito divulgados na mídia os ataques de hackers pela Internet a sistemas computacionais de empresas, na realidade, é muito mais provável que um ataque aos sistemas de computador da file://D:\Projetos\CertiSign\prot_intra_extranet\documento_guia3.html 26/3/2004
VeriSign - Guia sobre como proteger servidores de Intranet e Extranet Página 5 de 20 companhia venha pela Intranet, praticado por pessoas de dentro da companhia (como funcionários atuais, funcionários antigos, empreiteiros trabalhando no local e outros fornecedores). Em uma pesquisa realizada em 1998 com 520 profissionais de segurança de empresas e outras instituições americanas, conduzida pelo Instituto de Segurança de Computadores de San Francisco e com a participação do FBI, 44% relataram acesso não autorizado por funcionários contra 24% que relataram violação do sistema vinda de fora. É provável que tais brechas de segurança internas venham a resultar em perdas maiores que as advindas de ataques externos. Dentre as organizações que estavam aptas a quantificar suas perdas, a pesquisa do Instituto de Segurança de Computadores descobriu que a maioria das graves perdas financeiras ocorreram através de acesso não autorizado por pessoas de dentro da empresa, com 18 companhias relatando perdas totais de $50.565.000, em comparação com um montante de $86.257.000 para as outras 223 companhias que conseguiram estimar um valor em dólares para suas perdas. Portanto, quanto mais as empresas instalam Intranets and Extranets, mais se torna vital para elas proteger estes sistemas de ataques internos. Figura 3: As perdas, em média, de vários tipos de ataques Fonte: Pesquisa CSI/FBI sobre segurança de computadores realizada em 1998 Objetivos dos sistemas de segurança de Intranet e Extranet Por sorte, há uma boa variedade de técnicas disponíveis para resolver estes buracos na segurança de Extranets e Intranets. Entretanto, antes de optar por uma determinada tecnologia, é importante compreender toda a gama de assuntos que envolve os sistemas de segurança: • Autenticação — garante que as entidades que estão acessando sistemas, enviando ou recebendo mensagens realmente são quem afirmam ser, bem como que têm autorização para praticar tais ações. • Privacidade — garante que somente aquele determinado destinatário terá acesso à sua mensagem criptografada. • Integridade do conteúdo — garante que as mensagens não foram alterados por nenhuma das partes desde que foram enviadas. • Não-Repúdio — indica a fonte de uma mensagem, de forma que, posteriormente, o file://D:\Projetos\CertiSign\prot_intra_extranet\documento_guia3.html 26/3/2004
Page 1 and 2: VeriSign - Guia sobre como proteger
Page 3: VeriSign - Guia sobre como proteger

Guia sobre como proteger servidores de Intranet e Extranet

Create successful ePaper yourself

Delete template?

Save as template?