Quais são os principais mecanismos de segurança utilizados atualmente?
Uma tabela resumo com descrição, vantagens e desvantagens:
Mecanismos de Segurança | Descrição | Vantagens | Desvantagens |
Firewall | Segurança de Rede via controle de tráfego. Como um guardião, num único ponto de acesso à rede, grupa funcionalidades de controle, tais como roteamento por filtro de pacotes/porta, Proxy, SOCKS e VPN. Garante a política de segurança da rede segura frente outra insegura. Registra o tráfego e incidentes de segurança para tracking. | Provê um nível básico de segurança. Controla o acesso entre redes e registra eventos e comportamentos suspeitos em tempo real. Fornece proteção para vários tipos de spoofing (fareja e alterar o remetente do pacote) e ataques de roteamento. Protege o seu computador ou rede de usuários não autorizados e protege os dados contra-ataques. Reduz perda de tempo e dinheiro | Exige manutenção continuada e especializada. É um método passivo para determinar o estado de segurança da rede. Exige avaliação de logs para identificar intrusões. Não tem anti malware. Se firewall via software, o desempenho da rede será afetado pelo exame de todos os pacotes (via hardware isso é bem melhorado). |
Firewall por Filtros de Pacotes (stateless) | Segurança de Rede via filtragem do cabeçalho do protocolo IP. Filtro na camada de rede do modelo OSI.Simples e apropriado para redes pequenas. Trabalha com regras definidas via ACL (Acces Control List) | Simplicidade. Baixo custo. Velocidade, independência da aplicação e escalabilidade. | Não provê proteção total. Vulnerável à técnica de invasão conhecida como IP spoofing, onde o endereços IP são falsificados. Outra vulnerabilidade é analisar o pacote isoladamente e não em grupos de pacotes (stateless). Os filtros podem se tornar muito complexos. |
Firewall Gateway Nível de Circuito | Segurança de Rede. Gerencia a conexão entre clientes e servidores baseados nos endereços IP e número de portas para identificar se é legítima ou não. Só interfere durante o estabelecimento da conexão. | Relativamente baratos e provê anonimato da rede privativa. | Atua no nível de transporte e não interpreta comandos – Permite ou não conexões para um servidor. No entanto, não previne especificamente que um usuário rode um programa particular ou use um comando particular. Não filtra pacotes individuais. Após a conexão um invasor pode tomar proveito disso. |
Firewall Statefull Packet Inspection | Segurança de Rede. Agrega inteligência à filtragem de pacotes. Avalia o pacote num grupo de pacotes. Identifica padrões de acessos legítimos e não autorizados. Analisa o estado das conexões, aplicativo e protocolo. Armazena os estados de conexões legítimas em uma tabela de estados. | Realiza filtragem no nível de aplicação. Mais seguro que ao filtragem de pacotes. Mais rápido que firewall proxy. | Menos seguro do que o firewall proxy – a inspeção no nível de aplicação é abreviada e não completa. Mais lento que o firewall por filtragem de pacotes. |
Firewall PROXY | Segurança de Rede, via gateway no nível de aplicação (servidor intermediário) onde o conteúdo de determinado serviço pode ser monitorado e filtrado de acordo com a política de segurança. | Privacidade por translação de endereço IP. Log completo da conexão, no nível de aplicação. Autenticação forte de usuário. Memória cash para aumentar desempenho da navegação. Compactação de tráfego para economizar largura de banda. Pode eliminar adwares e bloquear sites maliciosos. | Exige modificação do software cliente para suportar a conexão proxy (não transparente). É mais caro. Reduz o desempenho (velocidade) da aplicação. |
NAT | Segurança de Rede por translação de endereço e porta IP. Pode ser usado em diferentes cenários – segurança, economia de endereço e compartilhar uma única conexão IP roteável. Função tipicamente implantada no firewall. | Melhoria na Gerência de Endereços IP – administração, controle e economia de endereço. Escalabilidade — vários computadores podem compartilhar o mesmo endereço IP. Segurança – não exposição do endereço IP privado. Transparência – mudanças operacionais atingem poucos roteadores. | Maior complexidade para operar a rede. Dificulta o troubleshooting, devido as permutas de endereço. Avalia apenas o nível IP. Não enxerga translações de endereços no nível de aplicação e pode gerar erros em check de integridade em protocolos que manipulam o endereço IP, como o IPSec. Elimina o rastreabilidade fim a fim do protocolo IP. |
IPSec | Segurança de Rede via arquitetura de protocolo IPSec, especialmente projetado para suportar a implementação de VPNs. Consiste de 2 sub protocolos: ESP – Encapsuleted Security Payload (criptografia no nível de pacote) e o AH – Authentication Header (proteção do cabeçalho IP e check sum). Trabalha em dois modos – transporte (entre 2 hosts) e túnel (entre 2 sub redes). Utiliza o protocolo IKE (chaves públicas) | Padrão aberto com várias funcionalidades no nível de pacotes – autenticação, criptografia, integridade e proteção contra réplicas, certificações digitais e suporte a evoluções. Não exige mudanças nas aplicações. Pode ser implementado pelo usuário ou por um provedor sobre a Internet. | Depende da segurança cuidadosa de chaves públicas. Reduz o desempenho da aplicação pelo acréscimo do overhead da arquitetura IPSec. Difícil escalar numa topologia fullmesh, já que depende de configurações nos gateways IPSec. |
IDS | Segurança de Rede adicional dentro de uma rede protegida, via monitoramento do tráfego com sensores e alarmes, para a identificação de atividades suspeitas, correções de erros de configuração e instalação de armadilhas para intrusos. Pode ser baseado em rede ou em hosts. Precisa ser rápido, simples, preciso e completo. | São altamente personalizáveis para acomodar políticas de segurança e a identificação de padrões suspeitos. Proteção 24 h com atualização ativa de informações de usuários, acessos, indicadores de firewall. | Dificuldade na calibragem da sensibilidade do IDS. Não distinguir o amigo do inimigo e poder gerar bloqueio da rede por períodos longos e prejuízo nos negócios. Exige a ação do administrador, com avaliação de logs e resposta à alarmes. |
SSL | Segurança de Transação para qualquer aplicação TCP / IP via protocolo de segurança HTTPS. Garante que os visitantes de um website uma conexão criptografada | Não altera a aplicação. Provê criptografia, autenticação de mensagens de cliente e servidor. Confiança dos usuários no website. Simplicidade para instalação e operação gerando economia no longo prazo. | Custo para a compra de certificado. Exige que cada mensagem seja criptografada e descriptografada, logo introduz latência e reduz o desempenho e sobrecarrega recursos. |
Filtro de Conteúdo | Segurança de dados via gateway de propósito especial. Autentica o uso de uma aplicação e rastreia todo o conteúdo. Bloqueia certos aspectos de navegação. Permite o envio de notificações ao administrador de segurança. | Vigiar o tipo de conteúdo da rede. Direcionar o uso eficaz e eficiente da Internet. Otimizar o tráfego da rede empresarial. Realimentar a política de segurança. Aumentar a produtividade dos empregados. Proteger a empresa de ataques de malware. Aumentar a velocidade da rede. | Abuso de regras de filtragem. Filtrar mais do que o necessário e bloquear sites e conteúdos que não deveriam ser bloqueados. Aumentar o conflito entre empregado e empregador. Atualização do filtro |
Anti Virus | Segurança de Dados via a identificação de assinaturas de vírus (padrões) em banco de dados, tratamento de quarentena e remoção do vírus dos arquivos e sistemas infectados. | Reduz infecções por vírus, trojans, worms, spyware, adware e outros. Protege contra spam, destruição de dados, navegação na Internet e hackers. | Não protege totalmente o computador. É necessário instalar um firewall ou um pacote de segurança completo. Retarda o PC ou rede. Usa recursos do computador. Necessita de atualização para registro de novas assinaturas. |
Criptografia | Segurança de dados via chaves públicas e ou privadas, que transformam o conteúdo em ilegível para usuários desautorizados. Confidencialidade, integridade dos dados, autenticidade e não-repúdio são suportados pela criptografia. | Privacidade via diferentes níveis de criptografia. | Perda ou roubo da chave. |
Assinatura Digital | Segurança de Dados para garantir a autenticidade dos dados via criptografia com chaves públicas e privadas, na transmissão e recepção. | Velocidade da transação digitalizada. Economia da “Postagem e Segurança Eletrônica. Autenticidade equivalente ao “papel assinado”. Rastreamento rápido digital. Não-repudio. | Prazo de validade. Custos de certificados digitais, softwares, legalização, compatibilidade entre certificados de diferentes fornecedores. |
Certificação Digital | Segurança de Autenticidade por entidades certificadoras – via criptografia, chaves públicas ou privadas, e emissão de arquivos por entidades certificadoras, para garantir que o emissor de uma mensagem ou documento, seja realmente quem ele diz ser. | Privacidade ao criptografar as comunicações – e-mails, logins ou transações bancárias on-line. Fácil uso. | São os principais alvos de hackers. O software requer vigilância constante para proteger os usuários contra o cibercrime. |
VPN | Segurança de Rede via uma rede privada virtual através da Internet. Autenticação de ados de origem e não-repúdio. Integridade (não alteração de conteúdo durante o percurso), confidencialidade via criptografia, proteção de repetição de pacotes, pouca ou nenhuma configuração manual de chaves. Garante desempenho, disponibilidade e segurança. | Redução de Custos. Vários mecanismos de segurança integrados. Flexíveis em termos de escalabilidade e comunicação com parceiros de negócios e usuários remotos. | Altamente dependente da Internet. Exige conhecimento especializado. O projeto pode ser complexo para definir o melhor tipo de configuração de VPN e mecanismos de segurança. Existem questões de compatibilidade de equipamentos entre fornecedores. Dificuldades no suporte a protocolos legados. Custos “ocultos”. |