Mitigação de ataque de rede
Mitigação de ataque de rede

Mitigação de Ataque de Rede

A abordagem de defesa em profundidade

Agora que você sabe mais sobre como os agentes de ameaças podem invadir redes, precisa entender o que fazer para evitar esse acesso não autorizado. Este tópico detalha várias ações que você pode realizar para tornar sua rede mais segura.

Para atenuar os ataques à rede, você deve primeiro proteger os dispositivos, incluindo roteadores, switches, servidores e hosts. A maioria das organizações emprega uma abordagem de defesa em profundidade (também conhecida como abordagem em camadas) para a segurança. Isso requer uma combinação de dispositivos e serviços de rede trabalhando em conjunto.

Considere a rede na figura. Existem vários dispositivos e serviços de segurança que foram implementados para proteger seus usuários e ativos contra ameaças TCP / IP.

Todos os dispositivos de rede, incluindo o roteador e os switches, também são protegidos, conforme indicado pela combinação de bloqueios em seus respectivos ícones. Isso indica que eles foram protegidos para evitar que os agentes da ameaça obtenham acesso e adulterem os dispositivos.

A abordagem de defesa em profundidade

Vários dispositivos e serviços de segurança são implementados para proteger os usuários e ativos de uma organização contra ameaças TCP / IP.

  • VPN – Um roteador é usado para fornecer serviços VPN seguros com sites corporativos e suporte de acesso remoto para usuários remotos usando túneis criptografados seguros.
  • Firewall ASA – Este dispositivo dedicado fornece serviços de firewall com estado. Isso garante que o tráfego interno possa sair e voltar, mas o tráfego externo não pode iniciar conexões com hosts internos.
  • IPS – Um sistema de prevenção de intrusão (IPS) monitora o tráfego de entrada e saída em busca de malware, assinaturas de ataque de rede e muito mais. Se reconhecer uma ameaça, ele pode interrompê-la imediatamente.
  • ESA / WSA – O dispositivo de segurança de e-mail (ESA) filtra spam e e-mails suspeitos. O dispositivo de segurança da web (WSA) filtra sites de malware da Internet conhecidos e suspeitos.
  • Servidor AAA – Este servidor contém um banco de dados seguro de quem está autorizado a acessar e gerenciar dispositivos de rede. Os dispositivos de rede autenticam usuários administrativos usando este banco de dados.

Manter backups

Fazer backup das configurações e dos dados do dispositivo é uma das maneiras mais eficazes de proteção contra perda de dados. Um backup de dados armazena uma cópia das informações em um computador em uma mídia de backup removível que pode ser mantida em um local seguro. Os dispositivos de infraestrutura devem ter backups de arquivos de configuração e imagens IOS em um FTP ou servidor de arquivos semelhante. Se o computador ou o hardware do roteador falhar, os dados ou a configuração podem ser restaurados usando a cópia de backup.

Os backups devem ser executados regularmente, conforme identificado na política de segurança. Os backups de dados geralmente são armazenados externamente para proteger a mídia de backup se algo acontecer nas instalações principais. Os hosts do Windows têm um utilitário de backup e restauração. É importante que os usuários façam backup de seus dados em outra unidade ou em um provedor de armazenamento baseado em nuvem.

A tabela mostra as considerações de backup e suas descrições.

ConsideraçãoDescrição
FrequênciaExecute backups regularmente, conforme identificado na política de segurança. Backups completos podem ser demorados, portanto, execute backups mensais ou semanais com backups parciais frequentes de arquivos alterados.
ArmazenamentoSempre valide backups para garantir a integridade dos dados e valide os procedimentos de restauração de arquivos.
SegurançaOs backups devem ser transportados para um local de armazenamento externo aprovado em uma rotação diária, semanal ou mensal, conforme exigido pela política de segurança.
ValidaçãoOs backups devem ser protegidos com senhas fortes. A senha é necessária para restaurar os dados.

Upgrade, atualização e patch

Manter-se atualizado com os desenvolvimentos mais recentes pode levar a uma defesa mais eficaz contra ataques à rede. Conforme um novo malware é lançado, as empresas precisam se manter atualizadas com as versões mais recentes do software antivírus.

A maneira mais eficaz de mitigar um ataque de worm é baixar as atualizações de segurança do fornecedor do sistema operacional e corrigir todos os sistemas vulneráveis. A administração de vários sistemas envolve a criação de uma imagem de software padrão (sistema operacional e aplicativos credenciados autorizados para uso em sistemas cliente) que é implantada em sistemas novos ou atualizados. No entanto, os requisitos de segurança mudam e os sistemas já implantados podem precisar ter patches de segurança atualizados instalados.

Uma solução para o gerenciamento de patches de segurança críticos é garantir que todos os sistemas finais baixem atualizações automaticamente, conforme mostrado para o Windows 10 na figura. Os patches de segurança são baixados e instalados automaticamente sem intervenção do usuário.

Patch de atualização de atualização

Autenticação, autorização e contabilidade

Todos os dispositivos de rede devem ser configurados com segurança para fornecer acesso apenas a indivíduos autorizados. Os serviços de segurança de rede de autenticação, autorização e contabilidade (AAA ou “triplo A”) fornecem a estrutura principal para configurar o controle de acesso em dispositivos de rede.

AAA é uma forma de controlar quem tem permissão para acessar uma rede (autenticar), quais ações eles executam ao acessar a rede (autorizar) e fazer um registro do que foi feito enquanto eles estão lá (contabilidade).

O conceito de AAA é semelhante ao uso de um cartão de crédito. O cartão de crédito identifica quem pode usá-lo, quanto esse usuário pode gastar e mantém um registro de quais itens o usuário gastou dinheiro, conforme mostrado na figura.

Autenticação, Autorização, Contabilidade

Firewalls

Um firewall é uma das ferramentas de segurança mais eficazes disponíveis para proteger os usuários de ameaças externas. Um firewall protege computadores e redes, evitando que tráfego indesejável entre nas redes internas.

Os firewalls de rede residem entre duas ou mais redes, controlam o tráfego entre elas e ajudam a prevenir o acesso não autorizado. Por exemplo, a topologia superior na figura ilustra como o firewall permite que o tráfego de um host de rede interno saia da rede e retorne à rede interna. A topologia inferior ilustra como o tráfego iniciado pela rede externa (ou seja, a Internet) tem acesso negado à rede interna.

Operação de Firewall

Operação de Firewall

Um firewall pode permitir o acesso controlado de usuários externos a serviços específicos. Por exemplo, os servidores acessíveis a usuários externos geralmente estão localizados em uma rede especial denominada zona desmilitarizada (DMZ), conforme mostrado na figura. O DMZ permite que um administrador de rede aplique políticas específicas para hosts conectados a essa rede.

Topologia de firewall com DMZ

Topologia de firewall com DMZ

Tipos de firewalls

Os produtos de firewall vêm embalados em várias formas. Esses produtos usam técnicas diferentes para determinar o que será permitido ou negado o acesso a uma rede. Eles incluem o seguinte:

  • Filtragem de pacotes – Impede ou permite o acesso com base em endereços IP ou MAC
  • Filtragem de aplicativos – Impede ou permite o acesso por tipos de aplicativos específicos com base em números de porta
  • Filtragem de URL – Impede ou permite o acesso a sites com base em URLs ou palavras-chave específicas
  • Inspeção de pacote com estado (SPI) – Os pacotes de entrada devem ser respostas legítimas a solicitações de hosts internos. Os pacotes não solicitados são bloqueados, a menos que permitido especificamente. O SPI também pode incluir a capacidade de reconhecer e filtrar tipos específicos de ataques, como negação de serviço (DoS)

Segurança de endpoint

Um endpoint, ou host, é um sistema de computador individual ou dispositivo que atua como um cliente de rede. Endpoints comuns são laptops, desktops, servidores, smartphones e tablets. Proteger dispositivos de endpoint é uma das tarefas mais desafiadoras de um administrador de rede porque envolve a natureza humana. A empresa deve ter políticas bem documentadas e os funcionários devem estar cientes dessas regras. Os funcionários precisam ser treinados sobre o uso adequado da rede. As políticas geralmente incluem o uso de software antivírus e prevenção de intrusão de host. Soluções de segurança de endpoint mais abrangentes dependem do controle de acesso à rede.

CCNA: Introdução às RedesCurso