publications Alexandre Freire
Especialista Sênior em Segurança da Informação
Professor convidado do curso de Pós-Graduação em Gestão de Segurança da Universidade Federal do Rio de Janeiro (Núcleo de Computação Eletrônica)

Artigo Publicado

Sistemas de Firewall e Defesa de Perímetros - V

De uma visão operacional, a principal função de um roteador é transferir pacotes de um segmento de rede para outro. Rotedores operam na camada de rede, a terceira camada do modelo OSI. Examinando o endereço de rede dos pacotes, roteadores são programados para executar decisões relativas ao fluxo dos pacotes.

Outra função acumulada pelos roteadores é justamente a criação e manutenção das tabelas de roteamento. Protocolos como RIP, OSPF e BGP representam apenas 03 de mais de 50 protocolos de roteamento que foram desenvolvidos nos últimos 20 anos.

No que se diz respeito à segurança, o roteador deve ser encarado como dispositivo que representa a primeira linha de defesa de uma rede. Essa proteção é traduzida em formas de access-lists que são criadas para permitir ou negar o fluxo de informações através de uma ou mais interfaces do equipamento. Uma das principais características da segurança baseada em roteadores é a capacidade do mesmo em controlar o fluxo de dados dos pacotes em um ambiente de rede. Especificamente atuando na prevenção da entrada de pacotes na rede através da análise do cabeçalho do pacote. A este procedimento crucial damos o nome de "packet filtering", ou seja, filtro de pacotes.

O filtro de pacotes permite controle de fluxo de dados em um ambiente de rede baseado em endereçamento IP de origem, destino, assim como o tipo de aplicação utilizada. Por exemplo, filtro de pacotes permite a prevenção da entrada de pacotes de tráfego de telnet que são originários de ranges não autorizados.

Roteadores operam como uma barreira entre o que chamamos de "administrative domains". O termo é usado para indicar um conjunto de equipamentos de rede, workstations, servidores, roteadores e links que são mantidos por um grupo administrativo, ou uma entidade, ou mesmo uma corporação ou instituição. Na maioria dos casos um domínio administrativo é formado pela rede corporativa de uma entidade, embora muitas entidades possuam diferentes domínios administrativos compreendidos dentro de sua estrutura organizacional.

Uma das funções providas por roteadores é justamente a ligação destes domínios administrativos de forma com que mesmo em localidades remotas, a organização lógica de um ambiente seja compreendida pelos recursos de uma mesma entidade ou de forma que uma entidade possa conectar-se a outras entidades. Roteadores agem como ponto de conexão entre redes corporativas e a Internet, ou entre dois ou mais ambientes de rede corporativos. Nessas implementações, é importante utilizar o recurso de filtragem de pacotes entre os segmentos, visto que todo pacote que é roteado entre os diferentes domínios administrativos necessitam cruzar o roteador. Todas as funcionalidades para criar uma solução de segurança complexa no perímetro da rede pode ser baseada através do Cisco IOS.

Uma das características mais poderosas do IOS Cisco é a capacidade e inteligência em filtrar pacotes entre dois segmentos de rede. Esta capacidade é provida através da criação e aplicação de access-lists.

Na semana que vem, falaremos sobre as access-lists disponíveis no IOS Cisco e como implementá-las. Abordaremos também algumas recomendações para tornar o roteador Cisco mais seguro e exemplificaremos a aplicação de access-lists para controle de tráfego no perímetro da rede, visando proteção principalmente contra ataques de spoofing.

Autorizações para publicação :

Portal IBEST Imasters
http://www.imasters.com.br/artigo.php?cc=159

Portal Módulo Security Solutions
http://www.modulo.com.br/pt/page_i.jsp?page=3&catid=2&objid=280&pagecounter=0&idiom=0

 

RETORNAR PARA PÁGINA PRINCIPAL