A melhor prática antes de aplicar uma máquina em um ambiente de produção ou conectar sua rede à Internet é determinar as necessidades de sua empresa, e como a segurança pode atender a estes requisitos da maneira mais transparente possível. Já que o objetivo principal do Guia de Segurança do Red Hat Enterprise Linux é explicar como proteger o Red Hat Enterprise Linux, um exame mais detalhado da segurança do hardware e da rede física está além do escopo deste documento. No entanto, este capítulo apresenta uma breve visão geral do estabelecimento de políticas de segurança em relação a hardware e redes físicas. Alguns fatores importantes a considerar incluem como os requisitos computacionais e de conectividade são endereçados na estratégia de segurança. A seguir, uma explicação detalhada de alguns destes fatores.
Computação envolve mais do que somente estações de trabalho rodando software. Empresas modernas requerem um grande poder computacional e serviços de alta disponibilidade, que podem incluir mainframes, clusters de aplicação ou de computador, estações de trabalho poderosas e aplicações especializadas. Com estes requisitos corporativos, entretanto, aumentou a propensão a falhas de hardware, desastres naturais e a interfêrencias ou roubo de equipamento.
Conectividade é o método através do qual o administrador pretende conectar recursos díspares em uma rede. Um administrador pode usar a Ethernet (cabeamento CAT-5/RJ-45 de hub ou de comutador), 'token ring', cabo coaxial 10-base-2 ou mesmo tecnologias sem-fio (802.11x). Dependendo do meio que o administrador escolher, determinadas mídias e tecnologias de rede requerem tecnologias complementares, como hubs, roteadores, comutadores, estações base e pontos de acesso. Determinar uma arquitetura de rede funcional facilitará o processo administrativo se surgirem questões de segurança.
A partir destas considerações gerais, os administradores podem obter uma visão melhor da implementação. A estrutura de um ambiente computacional pode ser baseado em ambos, necessidades da corporação e considerações de segurança — uma implementação que atenda uniformemente aos dois fatores.
A fundação de uma LAN é a topologia ou arquitetura de rede. A topologia é o layout físico e lógico de uma LAN em termos de recursos providos, distância entre nódulos e meio de transmissão. Dependendo das necessidades da empresa a qual a rede serve, há diversas opções disponíveis para a implementação da rede. Cada topologia tem suas vantagens e questões de segurança que arquitetos de rede devem considerar ao desenhar o layout de suas redes.
Conforme definido pelo Institute of Electrical and Electronics Engineers (IEEE), há três topologias comuns para a conexão física de uma LAN.
A topologia Ring conecta cada nódulo por exatamente duas conexões. Isto cria uma estrutura ring na qual cada nódulo é acessível ao outro, diretamente por seus nódulos vizinhos fisicamente mais próximos ou indiretamente através do ring físico. Redes Token Ring, FDDI e SONET são conectadas desta maneira (com o FDDI usando uma técnica de ring duplo). No entanto, não há conexões Ethernet comuns usando esta topologia física, então os rings não são comumente aplicados, exceto em configurações legadas ou institucionais com uma grande base de nódulos instalados (em uma universidade, por exemplo).
A topologia de canal linear consiste de nódulos conectados a um cabo linear principal terminado (o backbone). A topologia de canal linear requer um mínimo de cabeamento e equipamento de rede, o que a torna a topologia de custo mais baixo. No entanto, o canal linear depende do backbone estar constantemente disponível, tornando-o um ponto único de falha, caso seja necessário colocá-lo offline ou esteja servido. Topologias de canal linear são comumente usadas em LANs par-a-par (peer-to-peer) usando cabeamento coaxial e terminadores de 50-93 ohm nas duas extremidades do canal.
A topologia Estrela incorpora um ponto central onde os nódulosconectam e através do qual a comunicação é passada. Este ponto central, chamado de hub pode ser transmitido ou comutado. Esta topologia introduz um ponto único de falha no hardware de rede centralizado que conecta os nódulos. Entretanto, devido essa centralização, as questões de rede que afetam segmentos da ou a LAN inteira são facilmente rastreáveis para esta fonte única.
Em uma rede de transmissão, um nódulo enviará um pacote que atravessa todos os outros nódulos até que o receptor aceite o pacote. Cada nódulo da rede pode concebivelmente receber este pacote de dados até que o receptor processe o pacote. Em uma rede de transmissão, todos os pacotes são enviados desta maneira.
Em uma rede comutada (switched network), os pacotes não são transmitidos, mas são processados no hub comutado que, por sua vez, cria uma conexão direta entre os nódulos emissor e receptor, usando os princípios da transmissão unicast. Isto elimina a necessidade de transmitir pacotes a cada nódulo, assim diminuindo o tráfego operante.
A rede comutada também evita que os pacotes sejam interceptados por usuários ou nódulos maléficos. Em uma rede de transmissão, onde cada nódulo recebe o pacote no caminho de seu destino, usuários maléficos podem configurar seu dispositivo Ethernet para o modo promíscuo e aceitar todos os pacotes independentemente se os dados são para estes ou não. Uma vez definido no modo promíscuo, uma aplicação sniffer pode ser usada para filtrar, analisar e reconstruir pacotes para senhas, dados pessoais e outros. Aplicações sniffer sofisticadas podem armazenar este tipo de informação em arquivos texto e, talvez, até enviar as informações para fontes arbitrárias (por exemplo: o enedereço de e-mail do usuário maléfico).
Uma rede comutada requer um comutador de rede, um componente de hardware especializado que substitui a função do hub tradicional, ao qual todos os nódulos de uma LAN são conectados. Comutadores armazenam endereços MAC de todos os nódulos em um banco de dados interno, que os utiliza para seu roteamento direto. Diversos fabricantes, incluindo a Cisco Systems, Linksys e Netgear oferecem vários tipos de comutadores com características como a compatibilidade 10/100-Base-T, suporte a Ethernet gigabit e suporte ao Acesso Múltiplo de Detecção do Portador e Detecção de Colisão (Carrier Sensing Multiple Access and Collision Detection - CSMA/CD), que é ideal para redes de tráfego alto porque enfileira as conexões e detecta quando os pacotes colidem em trânsito.
Uma questão emergente para empresas é a mobilidade. Funcionários remotos, técnicos de campo e executivos requerem soluções portáteis, como laptops, organizadores pessoais digitais (PDAs) e acesso sem-fio a recursos de rede. O IEEE estabeleceu normas para a especificação sem-fio 802.11, que dita padrões para a comunicaçõa de dados sem-fio para todos os setores. O padrão corrente usado atualmente é a especificação 802.11b.
As especificações 802.11b e 802.11g são, na verdade, um grupo de padrões que governam as comunicações sem-fio e exercem controle sobre o espectro 2.4GHz de rádio frequência (RF) não licensiado (a 802.11a usa o espectro de 5GHz). Estas especificações foram aprovadas como padrões pelo IEEE, e diversos fabricantes comercializam produtos e serviços 802.11x. Os consumidores também adotaram o padrão para as redes em escritórios pequenos ou caseiros. A popularidade também extendeu-se das LANs às MANs (Redes de Área Metropolitana), especialmente em áreas populosas onde há uma concentração de pontos de acesso sem-fio (wireless access points - WAPs). Além disso, há provedores de serviços de Internet sem-fio que servem viajantes frequentes necessitando acesso de banda larga à Internet, para conduzir seus negóciois remotamente.
As especificações 802.11x permitem conexões par-a-par diretas entre nódulos com NICs sem-fio. Este agrupamento flexível de nódulos, chamado de rede improvisada, é ideal para compartilhamento de conexão rápida entre dois ou mais nódulos, mas introduz questões de escalabilidade não adequadas para conectividade sem-fio dedicada.
Uma solução mais adequada para o acesso sem-fio em estruturas fixas é instalar um ou mais WAPs, que conectam à rede tradicional e permitem que nódulos sem-fio se conectem ao WAP como se fosse na rede mediada pela Ethernet. O WAP age efetivamente como uma ponte entre os nódulos conectados a ele e o resto da rede.
Apesar da rede sem-fio ser comparável em velocidade e certamente mais conveniente que os meios de redes com fios, há algumas limitações na especificação que autoriza consideração completa. A mais importante destas limitações está na sua implementação de segurança.
Com a ansiedade de implantar uma rede 802.11x com sucesso, muitos administradores deixam de tomar as precauções mais básicas. Desde que toda a rede 802.11x esteja feita usando sinais RF de banda alta, os dados transmitidos são facilmente acessíveis a qualquer usuário com um NIC compatível, uma ferramenta de scaneamento da rede sem-fio (como o NetStumbler ou o Wellenreiter) e ferramentas comuns de sniffing (como dsniff e snort). Para impedir este uso indevido das redes privadas sem-fio, o padrão 802.11b usa o protocolo Wired Equivalency Privacy (WEP), uma chave criotografada de 64 ou 128 bits baseada no RC-4 e compartilhada entre cada nódulo ou entre a AP e o nódulo. Esta chave criptografa as transmissões e descriptografa pacotes de entrada dinamicamente e transparentemente. Os administradores frequentemente deixam de implementar este esquema de criptografia de chave compartilhada por esquecimento ou porque escolheram não fazê-lo devido à degradação do desempenho (especialmente através de distâncias longas). Habilitar o WEP em uma rede sem-fio pode reduzir drasticamente a possibilidade de intercepção de dados.
O Red Hat Enterprise Linux suporta vários produtos 802.11x de diversos fabricantes. A Ferramenta de Administração de Rede inclui uma funcionalidade para configurar a segurança de NICs e WEP sem-fio. Para informações sobre o uso da Ferramenta de Administração de Rede, consulte o capítulo Configuração de Rede do Guia de Administração de Sistemas do Red Hat Enterprise Linux.
Confiar no WEP, entretanto, ainda não é o suficiente em termos de proteção contra determinados usuários maléficos. Há utilitários especializados desenvolvidos especificamente para crackear o algoritmo RC4 de criptografia do WEP protegendo uma rede sem-fio e expondo a chave compartilhada. A AirSnort e a WEP Crack são dois exemplos destas aplicações especializadas. Para protegerem-se destas, os administradores devem aderir a normas restritas em relação ao uso de métodos sem-fio para o acesso a informações delicadas. Pode-se optar por aumentar a segurança da conectividade sem-fio restringindo-a somente a conexões SSH ou VPN, que introduz uma camada de criptografia adicional sobre a criptografia WEP. Ao usar esta norma, um usuário maléfico externo à rede que crackear a criptografia WEP, também terá que crackear a criptografia VPN ou SSH. Dependendo do método, pode-se empregar até criptografia de algoritmo DES de 168 bits de força tripla (3DES), ou algoritmos proprietários, ou ainda uma força maior. Os administradores que aplicarem estas normas devem restringir protocolos somente-texto (como Telnet ou FTP), já que senhas e dados podem ser expostos usando quaisquer dos métodos mencionados anteriormente.
Para administradores que queiram rodar serviços acessíveis externamente (como HTTP, e-mail, FTP e DNS) é recomendado que estes serviços sejam física e/ou logicamente segmentados da rede interna. Firewalls e a proteção de máqunas e aplicações são maneiras efetivas de detectar intrusões casuais. Entretanto, alguns crackers podem encontrar vias à rede interna se os serviços que crackearam residem na mesma rota lógica que o resto da rede. Os serviços acessíveis externamente devem residir no que a indústria da segurança chama de zona desmilitarizada (DMZ), um segmento da rede lógica onde o tráfego de entrada da Internet pode acessar somente àqueles serviços e não podem acessar a rede interna. Isto é efetivo, pois mesmo que um usuário maléfico faça um exploit na DMZ de uma máquina, o resto da rede interna fica atrás de um firewall em um segmento separado.
A maioria das empresas tem um conjunto limitado de endereços IP publicamente roteáveis, a partir dos quais pode hospedar serviços externos. Desta forma, os administradores utilizam regras de firewall elaboradas para aceitar, encaminhar, rejeitar e negar transmissões de pacotes. Regras de firewall implementadas com iptables ou firewalls de hardware dedicado permitem o roteamento complexo e o encaminhamento de regras, que podem ser usados por administradores para segmentar o tráfego de entrada para serviços específicos em endereços e portas específicos, assim como para permitir que somente a LAN acesse os serviços internos. Estas medidas podem evitar exploits de spoofing de IP. Para mais informações sobre a implementação de iptables, consulte o Capítulo 7.