De acordo com a estratégia de defesa em profundidade “segurança em camadas”, precisamos garantir que a rede interna “LAN” da empresa possua barreiras que possam impedir, dificultar e inibir o acesso de ameaças (invasores) aos ativos de TI internos, caso as barreiras de proteção de borda sejam vencidas.
No passado, as conexões locais entre os hosts da rede eram realizadas por meio de dispositivos denominados “HUBs” e repetidores. Estes dispositivos eram extremamente inseguros e não possuíam inteligência para tratar os pacotes de dados que passam por eles. Ou seja, apenas realizam a repetição da transmissão dos pacotes de dados por toda a rede. E, o pior, replicando essa transmissão aos hosts de toda rede. Isso sem dúvida apresentava um risco de segurança enorme, uma vez que uma ameaça poderia ser replicada a todos os hosts da rede.
Atualmente, o envio e recebimento dos pacotes de dados em uma rede local é realizado por roteadores ou switches, que por possuírem uma “inteligência” possibilitam a otimização de todo o tráfego da rede local, realizando a transmissão dos pacotes de dados de forma isolada, host a host sem mais replicar essa transmissão a todos os hosts da rede e, única exclusivamente aquele host que requisitou a transmissão e está autorizado a recebê-la. Esse novo modelo proporcionou uma maior proteção e segurança às redes locais.
Os switches layer 2 e layer 3 são dispositivos computacionais que possuem mecanismos de gerenciamento que podem ser configurados conforme as necessidades de proteção e segurança desenhadas pelas equipes de TI. São conhecidos comumente como switches gerenciáveis de camada 2 ou camada 3 do modelo de arquitetura TCP/IP.
A utilização de switches gerenciáveis como mecanismos de proteção a rede interna possibilita inúmeras vantagens, dentre as quais destacamos: (a) otimização das transmissões dos pacotes de dados por evitar problemas de colisão de dados durante a transmissão; (b) proteção da transmissão de pacotes de dados entre os hosts conectados à rede, através de um controle de endereçamento físico entre os hosts e as redes conhecido como endereços MAC – Media Access Control, um endereço físico configurado pelo fabricante em um hardware que possui conectividade à rede por meio do protocolo ethernet que fica armazenado em uma tabela denominada tabela ARP no switch que tem como função principal realizar o relacionamento entre o endereçamento IP utilizados junto às aplicações e o endereço físico “MAC” utilizado na camada enlace do modelo de arquitetura TCP/IP; © a criação de redes virtuais denominada VLANs – redes locais virtuais que possibilitam a criação de sub-redes (redes distintas), fortalecendo a proteção e a segurança da rede local, tema que iremos estudar a seguir.
Varadarajan as define como “estruturas capazes de segmentar, logicamente, uma rede local em diferentes domínios de broadcast”.
Já Molinari diz que “uma rede virtual é um grupo de estações e servidores que se comunica independentemente de sua localização física ou topologia, como se fosse um único domínio broadcast, ou uma rede lógica.”
De acordo com as definições apresentadas, a implantação de VLANs possibilita a partição de uma rede local em diferentes segmentos lógicos (criação de novos domínios broadcast), permitindo que usuários fisicamente distantes (por exemplo, um em cada local ou andar da empresa) estejam conectados à mesma rede.
Como fatores motivadores a criação de VLANs em uma infraestrutura de TI no ambiente corporativo, imagine uma empresa, cujo crescimento acelerado impossibilitou um projeto ordenado de expansão, que possua uma dezena de departamentos conectados a uma rede local interna. Ao contrário do que se pensa, os funcionários de cada departamento estão espalhados pelos andares da sede. Como organizar um domínio para cada setor da empresa? Uma solução possível seria a segmentação da rede interna em redes virtuais, uma para cada departamento. Outro exemplo é a formação de grupos temporários de trabalho. Hoje em dia é comum o desenvolvimento de projetos envolvendo diversos setores de uma empresa, como marketing, vendas, contabilidade e comercial. Durante o período do projeto, a comunicação entre seus membros tende a ser alta. Para conter o tráfego broadcast, pode-se implementar uma VLAN para este grupo de trabalho.
Os exemplos anteriores mostram que as VLAN proporcionam uma alta flexibilidade a uma rede local. Isto é ideal para ambientes corporativos, onde a todo momento ocorrem mudanças de empregados, reestruturações internas, aumento do número de usuários, entre outras situações. Entre os benefícios proporcionados pela implantação de redes virtuais podemos citar: (a) controle do tráfego broadcast – as VLANs apresentam um desempenho superior às tradicionais redes locais, principalmente devido ao controle do tráfego broadcast**.** Tempestades de quadros broadcast (broadcast storms) podem ser causadas por mau funcionamento de placas de interface de rede, conexões de cabos malfeitas e aplicações ou protocolos que geram este tipo de tráfego, entre outros. Em redes onde o tráfego broadcast é responsável por grande parte do tráfego total, as VLANs reduzem o número de pacotes para endereços desnecessários, aumentando a capacidade de toda a rede. De um outro ponto de vista, em uma rede local segmentada, os domínios de broadcast são menores. Isto porque cada segmento possui um menor número de dispositivos conectados, comparado ao existente na rede sem segmentação. Com isso, trafegam menos quadros broadcast tanto em cada segmento, quanto em toda rede; (b) segmentação lógica da rede – como visto anteriormente, redes virtuais podem ser criadas com base na organização setorial de uma empresa. Cada VLAN pode ser associada a um departamento ou grupo de trabalho, mesmo que seus membros estejam fisicamente distantes. Isto proporciona uma segmentação lógica da rede; © redução de custos e facilidade de gerenciamento – grande parte do custo de uma rede se deve ao fato da inclusão e da movimentação de usuários dela. Cada vez que um usuário se movimenta é necessário um novo cabeamento, um novo endereçamento para estação de trabalho e uma nova configuração de repetidores e roteadores.
Em uma VLAN, a adição e movimentação de usuários pode ser feita remotamente pelo administrador da rede (da sua própria estação), sem a necessidade de modificações físicas, proporcionando uma alta flexibilidade; (d) independência da topologia física – VLANs proporcionam independência da topologia física da rede, permitindo que grupos de trabalho, fisicamente diversos, possam ser conectados logicamente a um único domínio broadcast; (e) maior segurança – as redes locais virtuais limitam o tráfego a domínios específicos proporcionando mais proteção e segurança a estes. O tráfego em uma VLAN não pode ser “escutado” por membros de outra rede virtual, já que estas não se comunicam sem que haja um dispositivo de rede desempenhando a função de roteador entre elas. Desta forma, o acesso a servidores que não estejam na mesma VLAN é restrito, criando assim “domínios de segurança no acesso a recursos”.
O firewall de aplicação, também conhecido como “proxy de serviços” ou apenas “proxy” é uma solução de proteção que atua como um ponto intermediário entre um host ou uma rede interna e outra rede externa, no geral a internet. No geral, trata-se de um dispositivo “appliance” que possui um hardware com poder de processamento e memória superior, devido ao tratamento que deve ser realizado ao lidar com muitas requisições.
Firewall deste tipo são opções interessantes de segurança porque não permitem a comunicação direta entre origem e destino. Para entender melhor observe a figura a seguir. Perceba que em vez de a rede LAN (interna) se comunicar diretamente com a rede WAN (externa), há um dispositivo (proxy) entre ambas as redes, criando duas conexões – a primeira entre a LAN e o Proxy e, a segunda entre o Proxy e a WAN.
A implementação de um proxy não é tarefa fácil, haja visto a enorme quantidade de serviços e protocolos existentes na internet, fazendo com que, dependendo das circunstâncias, este tipo de firewall não consiga ou exija muito trabalho de configuração para bloquear ou autorizar determinados acessos.
No que diz respeito a limitações, é conveniente mencionar uma solução denominada “proxy transparente”. O proxy “tradicional”, não raramente, exige que determinadas configurações sejam feitas nas ferramentas que utilizam a rede (por exemplo, um navegador de internet) para que a comunicação aconteça sem erros. O problema é que, dependendo da aplicação, este trabalho de ajuste pode ser inviável ou custoso.
O proxy transparente surge como uma alternativa para estes casos porque as máquinas que fazem parte da rede não precisam saber de sua existência, dispensando qualquer configuração específica. Todo acesso é feito normalmente do cliente para a rede externa e vice-versa, mas o proxy transparente consegue interceptá-lo e responder adequadamente, como se a comunicação, de fato, fosse direta. É válido ressaltar que o proxy transparente também tem lá suas desvantagens, por exemplo: um proxy “normal” é capaz de barrar uma atividade maliciosa, como um malware enviando dados de um host para a internet; o proxy transparente, por sua vez, pode não bloquear este tráfego. Não é difícil entender: para conseguir se comunicar externamente, o malware teria que ser configurado para usar o proxy “normal” e isso geralmente não acontece; no proxy transparente não há esta limitação, portanto, o acesso aconteceria normalmente.
Para a segurança da informação e segurança cibernética, processos relacionados a autenticação e autorização de usuários a sistemas, serviços ou recursos computacionais dentro e fora de um ambiente organizacional, são fundamentais para a proteção dos ativos de TI. Garantir que apenas usuários confiáveis possam acessar todos os recursos da tecnologia da informação de um ambiente organizacional passa então a ser um ponto de extrema atenção para as equipes de segurança.