Princípios básicos de segurança de rede são os elementos críticos da segurança de rede ou cibernética. Eles devem ser implementados em todas as redes, incluindo doméstica, comercial e internet. A segurança de rede eficaz requer proteção de redes com e sem fio com firewalls, software anti-malware, sistemas de detecção de intrusão, controle de acesso e muito mais.
A segurança de rede é um tópico complexo que envolve muitas tecnologias diferentes com configurações que às vezes são complicadas.
O problema de segurança a ser resolvido é a separação entre o que está na rede e os endpoints ou sistemas host que estão conectados a ela. A tecnologia para a rede e os endpoints inclui controle de acesso e criptografia, mas na rede também há segmentação e segurança de perímetro.
A segurança da rede é apenas parte da equação de segurança e geralmente é considerada aplicável aos dispositivos que protegem a própria rede. Um firewall pode ser um dispositivo autônomo que fica ao lado de equipamentos de rede, como roteadores ou switches, ou software dentro da mesma caixa física que também roteia e/ou switches. Na rede existem firewalls, sistemas de detecção de intrusão (IDS), sistemas de prevenção de intrusão (IPS), dispositivos de rede privada virtual (VPN), sistemas de prevenção de vazamento de dados (DLP), etc.
A rede existe para conectar sistemas uns aos outros. É o que permite que você navegue na Amazon ou faça compras on-line no supermercado local. Mas os sistemas finais também devem ser protegidos. Isso é chamado de segurança de endpoint. Esses dispositivos incluem laptops, tablets, telefones, mas também dispositivos da Internet das Coisas (IoT).
A IoT inclui dispositivos como termostatos conectados, câmeras, geladeiras, fechaduras de portas da frente, lâmpadas, bombas de piscina, edredons inteligentes, etc. Esses dispositivos também exigem controles de segurança, mas nem todos os dispositivos são sofisticados o suficiente para conter algo como um firewall baseado em host ou agente anti-malware. Se o endpoint for uma lâmpada, provavelmente ele depende da segurança da rede para sua proteção.
O primeiro lugar para começar é com o controle de acesso. As empresas geralmente se referem a isso como gerenciamento de identidade e acesso (IAM). Controlar o acesso não é novo. Os humanos controlam o acesso aos edifícios desde que a primeira fechadura foi instalada em uma porta, há mais de seis mil anos. O controle de acesso agora é realizado em redes, computadores, telefones, aplicativos, sites e arquivos.
Fundamentalmente, o controle de acesso é dividido em IAAA:
No IAAA, a autenticação pode ser o tópico mais importante hoje. As senhas ainda são a autenticação mais comum na maioria dos sistemas. Eles normalmente não são muito seguros, entretanto, porque são fáceis de quebrar.
Se a senha for curta o suficiente, o criminoso não terá problemas para descobrir o que é. Os criminosos usam um ataque de adivinhação de senha que envolve força bruta – tentando todas as combinações possíveis. Ou o invasor pode usar um ataque de quebra de senha, que envolve o uso de um programa para recriar senhas com hash para o mesmo valor.
Existem três tipos ou fatores de autenticação em uso hoje. Eles estão:
A melhor opção é a autenticação de dois fatores (2FA), às vezes chamada de autenticação multifator (MFA). É altamente recomendável para suas contas pessoais, como Amazon ou Facebook.
Aplicações como o autenticador do Google são de uso gratuito e uma escolha muito melhor do que receber uma mensagem de texto ou de serviço de mensagens curtas (SMS) em seu telefone. O Instituto Nacional de Padrões e Tecnologia (NIST) não recomenda SMS.
Também recomendamos 2FA para o escritório, mas é uma decisão de uma política ou nível de gestão exigi-lo ou não. Depende de muitos fatores, como o ativo, sua classificação de dados, os riscos e as vulnerabilidades.
A segmentação da rede melhora a segurança, controlando o fluxo de dados entre diferentes redes. Isso é mais comumente realizado com redes locais virtuais (VLANs). Existem muitas variações sobre este tema, como LAN virtual privada (PVLAN), LAN virtual extensível (VXLAN) e assim por diante. Existe uma VLAN na camada de enlace de dados – camada 2 do modelo de interconexão de sistema aberto (OSI). A maioria dos administradores de rede mapeia uma sub-rede de protocolo de Internet (IP) para uma VLAN.
Os roteadores permitem que o tráfego passe entre VLANS de acordo com a configuração. Se você deseja controle, a configuração do roteador é crítica.
Outra opção encontrada na nuvem é chamada de nuvem privada virtual (VPC). O controle de tráfego de e para o VPC também é controlado por configurações.
Compreender os requisitos de negócios para a carga de trabalho é essencial para configurar e controlar o acesso de ou para VLANs e VPCs.
A segurança de perímetro é baseada na lógica de que há uma borda definida entre uma rede interna/confiável e uma rede externa/não confiável. Este é um projeto de rede tradicional que data de quando a rede e o data center ficavam confinados em um único prédio. Nesta configuração, um roteador conecta as redes internas e externas. A configuração básica de uma lista de controle de acesso (ACL) dentro do roteador controla o tráfego que pode passar.
Você pode adicionar segurança no perímetro com firewalls, IDS e IPS. Para obter mais informações sobre isso, consulte a página Medidas de segurança de rede.
A criptografia é essencial para manter os dados confidenciais e as comunicações longe de olhares indiscretos. A criptografia protege arquivos no disco rígido do seu computador, uma sessão bancária, dados armazenados na nuvem, e-mails confidenciais e uma longa lista de outras aplicações. A criptografia também fornece verificação da integridade dos dados e autenticação da fonte dos dados.
A criptografia se divide em dois tipos básicos de criptografia: simétrica e assimétrica.
Um terceiro tópico é hashing. Mesmo que não seja criptografia, ela precisa ser incluída neste ponto nas discussões de segurança. O hash executa um algoritmo em uma mensagem que calcula uma resposta resultante, chamada de hash, que é baseada nos bits dessa mensagem. Os bits podem ser dados, voz ou vídeo. O hash não altera o valor dos dados de forma alguma. Em contraste, a criptografia altera os dados para um estado ilegível.
O hash prova que os bits da mensagem não mudaram. Ele garante que os dados tenham integridade e que estejam em seu formato original. Apenas o hash protege os dados de alterações acidentais.
Se o hash for criptografado com uma chave privada assimétrica, isso prova que um criminoso não adulterou os dados de forma mal-intencionada. Mudanças maliciosas não podem ocorrer a menos que a chave privada seja comprometida.
Se a chave não foi comprometida, você sabe que a pessoa que possui a chave privada deve ser a pessoa que calculou o hash. Essa chave pode ser uma chave simétrica, que às vezes é chamada de chave privada ou a chave privada assimétrica.
É difícil proteger dados, voz ou vídeo transmitidos por uma rede sem fio. As transmissões sem fio destinam-se a emitir um sinal e isso torna mais fácil para um atacante dentro do alcance capturar a transmissão. Existem padrões de criptografia para redes sem fio, mas a maioria foi quebrada de uma forma ou de outra.
Os padrões de criptografia incluem WEP, WPA, WPA2 e agora WPA3.
A segurança da rede é complexa. É uma batalha interminável de inteligência contra os criminosos. Consulte a página Medidas de segurança da rede para obter mais informações.
É sempre uma ótima ideia buscar certificações de segurança. A certificação CompTIA Security+ ou a certificação System Security Certified Practitioner ((ISC2® SSCP) é um excelente ponto de partida. Uma certificação de nível de gerente mais avançada, com um pouco de conhecimento técnico agregado, é a certificação Certified Information System Security Professional ((ISC)2®CISSP). Você também pode fazer exames específicos do fornecedor, como os exames baseados na nuvem para AWS, GCP ou Azure.