| |
"O
que os olhos não vêem, o coração não sente..." |
O
ditado acima se aplica ao comportamento de negação, onde decidimos
que vamos ignorar aquilo que não conhecemos mas que pode afetar nosso
ambiente.
Ao analisarmos a segurança de sistemas de informação de uma organização,
devemos ter bastante clara a noção de abrangência da segurança, buscando
entender, da melhor forma possível, todos os aspectos de segurança
envolvidos. Estaremos nos enganando se colocarmos em produção um mecanismo
com o qual estamos confortáveis e considerarmos que o trabalho está
concluído. Da mesma forma como em diversas outras áreas de atuação,
o que nós não sabemos pode e quase certamente irá nos afetar.
Nenhum exemplo melhor para demonstrar isso do que o já conhecido firewall
(outros mecanismos de segurança também possuem limitações, naturalmente).
A maioria dos profissionais de segurança já está familiarizada com
o conceito de firewall, um mecanismo de controle de acesso entre redes,
que permite a passagem de tráfego autorizado ao mesmo tempo em que
bloqueia o tráfego não autorizado. Firewalls podem ser classificados
como baseados em filtros de pacotes ou baseados em "gateways
de aplicação". Ambos os tipos tem limitações que podem afetar
a segurança de uma organização.
Um firewall baseado em filtragem de pacotes TCP/IP tem uma visão muito
limitada do que realmente acontece na rede. Diversos tipos de ataques,
como aqueles baseados em CGIs com problemas em servidores Web, são
virtualmente impossíveis de serem detectados com um firewall baseado
em filtro de pacotes. Isto ocorre por, no nível de abstração de "pacotes",
o ataque tem o mesmo tipo de pacotes, as mesmas características, que
o tráfego "normal" de Web.
Já um firewall de aplicação tem um conhecimento maior sobre a aplicação,
podendo proteger a organização contra ataques como os listados acima.
No entanto, os firewalls de aplicação tem conhecimento de poucos tipos
de aplicação, geralmente HTTP (Web), SMTP (envio e recebimento de
correio eletrônico) e FTP. Alguns firewalls suportam protocolos adicionais,
como SMB (compartilhamento de rede Microsoft) ou SQLnet, mas o conjunto
é geralmente limitado. Para protocolos adicionais, utilizam-se "proxies"
que são pouco diferentes de filtros de pacotes. A limitação do produto,
então, está associada ao usuário pensar que o seu firewall de aplicação
está protegendo contra ataques num nível superior ao que o firewall
está efetivamente analisando o tráfego de rede.
Ao mesmo tempo em que os firewalls possuem limitações como as listadas
acima, muitas organizações assumem uma posição confortável com relação
à segurança baseadas apenas na existência de um firewall na organização.
Embora pensem que estão protegidas contra ataques via rede, estão
vulneráveis a ataques que seus firewalls não podem, por questão do
próprio design do produto, detectar.
Ora, se todos os tipos de firewalls possuem limitações, o que deve
ser feito para utilizar firewalls de forma correta na segurança da
organização?
Devemos entender as limitações dos produtos que utilizamos e construirmos
nossa infra-estrutura de segurança de forma a cobrir estas deficiências.
Se os firewalls não captam ataques ligados à aplicação, devemos então
dar uma atenção especial à segurança da aplicação e do sistema onde
ela é executada. Se desejamos uma análise de segurança do tráfego
de uma aplicação maior que o firewall pode fazer, podemos utilizar
componentes dedicados de forma conjunta com o firewall. As opções
são várias...
O essencial é saber reconhecer as limitações das ferramentas disponíveis,
de forma a não sermos afetados por algo que os olhos não viram, mas
o coração sentiu.
|
|
