Roubo, perda, invaso e danos fsicos so algumas das maneiras em que uma rede ou um
computador podem ser prejudicados. Dano ou perda de equipamentos podem refletir na perda
de produtividade. O reparo e a substituio do equipamento pode custar tempo e dinheiro. O
uso no autorizado de uma rede pode expor informaes confidenciais, violar a integridade dos
dados e reduzir os recursos de rede.
Um ataque que intencionalmente degrada o desempenho de um computador ou da rede
tambm pode prejudicar a produo de uma empresa. Medidas de segurana mal
implementadas em dispositivos de rede wireless demonstram que a conectividade fsica no
necessria para que intrusos invadam uma rede.
As principais responsabilidades de um tcnico incluem proteger os dados e a rede. Um cliente
ou uma empresa podem depender de voc para garantir que os seus dados e equipamentos de
informtica esto seguros. Talvez voc precise executar tarefas que so mais importante do
que aquelas atribudas a maioria dos empregados. Voc talvez precise reparar, ajustar e
instalar algum equipamento. Voc precisa saber como configurar e manter a rede segura, e ao
mesmo tempo torn-la acessvel para aqueles que acessam a mesma. Voc deve garantir que
os patches e atualizaes dos softwares foram aplicados, que o antivrus est instalado e que o
anti-spyware est sendo utilizado. Tambm pode ser solicitado que voc instrua os usurios a
como manter boas prticas de segurana ao utilizar equipamentos de informtica.
Este captulo analisa os tipos de ataques que ameaam a segurana dos computadores e
tambm os dados contidos neles. Um tcnico responsvel pela segurana dos dados e dos
equipamentos presentes em uma empresa. Este captulo descreve como voc pode trabalhar
com os clientes para garantir que o melhor nvel proteo possvel esteja em vigor.
Para proteger com sucesso os computadores e rede, um tcnico deve entender os dois tipos
de ameaas existentes:
Malware qualquer software criado para realizar atos maliciosos. Malware inclui
adware, spyware, grayware, phishing, vrus, worms, cavalos de Tria e rootkits. Um
Malware geralmente instalado em um computador sem o conhecimento do usurio.
Estes programas abrem portas no computador ou alteram as configurao do mesmo.
O Malware capaz de modificar os navegadores (browsers) para abrir pginas web
especficas que no so as desejadas. Isto conhecido como o redirecionamento do
navegador (browser redirection). Os Malwares tambm podem coletar informaes
armazenadas no computador sem o consentimento do usurio.
Adware
Spyware
Grayware
Phishing
Muitos ataques de Malwares so do tipo Phishing que tentam persuadir o leitor para
fornecer acesso s informaes pessoais. Ao preencher o formulrio on-line, os dados
so enviados ao atacante. Os Malwares podem ser removidos atravs de antivrus,
antispyware ou ferramentas de remoo de Adware.
Vrus
Alguns vrus podem ser extremamente perigosos. Os vrus utilizados para registrar os
caracteres digitados so um dos tipos mais prejudiciais existentes. Os atacantes
podem usar estes vrus para colher informaes confidenciais, como senhas e
nmeros de carto de crdito. O vrus ento envia os dados obtidos para o atacante.
Os vrus tambm podem alterar ou destruir informao em um computador. Alguns
vrus podem infectar um computador e permanecer dormente at que seja iniciado pelo
atacante.
Worms
Cavalo de Troia
Rootkits
Ferramentas utilizadas para tornar as pginas de web mais tecnolgicas e versteis, tambm
podem fazer com que os computadores fiquem mais vulnerveis a ataques. Estes so alguns
exemplos de ferramentas web:
Adobe Flash - Ferramenta de multimdia utilizada para criar mdias interativas para a
web. O Flash utilizado para criar animaes, vdeos e jogos nas pginas web.
Microsoft Silverlight - Ferramenta utilizada para criar mdias ricas e interativas para
ambientes web. O Silverlight semelhante ao Flash e possui muitas caractersticas em
comum.
Os atacantes podem utilizar qualquer uma dessas ferramentas para instalar um programa em
um computador. Para prevenir esses ataques, a maioria dos browsers possuem configuraes
que foram o usurio de um computador a autorizar o download ou o uso dessas ferramentas.
Filtragem ActiveX
Ao navegar na web, algumas pginas podem no funcionar corretamente a menos que o
ActiveX esteja instalado. Alguns ActiveX so escritos por terceiros e podem ser maliciosos. O
Filtro ActiveX permite que um usurio navegue na web sem executar os controles do ActiveX.
Depois que o Controle ActiveX for instalado em um site, o mesmo ser executados em outros
sites tambm. Isso pode prejudicar o desempenho ou introduzir riscos segurana. Quando a
Filtragem ActiveX est habilitada, voc pode escolher quais sites esto autorizados a executar
os controles ActiveX. Sites que no so aprovados no pode executar esses controles, deste
modo o navegador no mostra notificaes para que voc possa instalar ou habilit-los.
Para habilitar a Filtragem ActiveX no Internet Explorer 9, utilize o seguinte caminho, como
mostrado na Imagem 1:
Ferramentas> Filtragem ActiveX
Para visualizar um site que contm contedo ActiveX quando a filtragem ActiveX est
habilitada, clique no cone azul Filtragem ActiveX na barra de endereos e clique em Desligar
Filtragem ActiveX.
Depois de visualizar o contedo, voc pode desligar a filtragem ActiveX para o site, seguindo
os mesmos passos.
Bloqueador de Pop-up
Um pop-up uma janela que abre em cima de outra janela do navegador web. Alguns pop-ups
so iniciados durante a navegao, por exemplo um link em uma pgina que abre um pop-up
para fornecer informaes adicionais ou realizar zoom em uma imagem. Outros pop-ups so
iniciados por um sites ou por anunciantes e muitas vezes so indesejados ou irritantes,
especialmente quando vrios pop-ups so abertos ao mesmo tempo.
O bloqueador de pop-up pode ser uma ferramenta embutida no navegador web ou um
programa independente. Ele permite que o usurio limite ou bloqueie a maioria dos pop-ups
abertos durante a navegao na web. O bloqueador de pop-up embutido no Internet Explorer
habilitado por padro assim que o navegador instalado. Quando o navegador encontra uma
pgina que contm pop-ups, exibido uma mensagem informando que o mesmo foi
bloqueado. Um boto na mensagem pode ser usado para permitir que o pop-up seja exibido
momentaneamente ou alterar as opes de bloqueio para a pgina web em questo.
Para desativar o bloqueador de pop-up no Internet Explorer, use o seguinte caminho:
Ferramentas> Bloqueador de Pop-up> Desativar Bloqueador de Pop-up
Alterar o nvel de bloqueio. O nvel alto bloqueia todos os pop-ups, o nvel mdio
bloqueia a maioria dos pop-ups automaticamente e o nvel baixo permite pop-ups de sites
seguros.
Filtro SmartScreen
No Internet Explorer, o Filtro SmartScreen, mostrado na Figura 3, detecta sites de phishing,
analisa sites em busca de itens suspeitos e compara sites e downloads com uma lista de sites
e arquivos que so conhecidos por serem maliciosos. Filtro SmartScreen habilitado por
padro quando o Internet Explorer instalado. Para desativar o Filtro SmartScreen, use o
seguinte caminho:
Ferramentas> Filtro SmartScreen> Desativar Filtro SmartScreen
Para analisar a pgina web atual, use o seguinte caminho:
Ferramentas> Filtro SmartScreen> Verificar o Site
Para denunciar uma pgina web suspeita, use o seguinte caminho:
Ferramentas> Filtro SmartScreen> Relatar Site No Seguro
Os navegadores Web retem informaes sobre as pginas que voc visita, as buscas que voc
realiza, nomes de usurio, senhas e outras informaes de identificao. Esta uma
caracterstica conveniente ao usar um computador em casa e que est protegido por senha. Ao
usar um laptop fora de casa, ou de um computador em um local pblico, como uma biblioteca
ou um Internet caf, as informaes mantidas pelo navegador podem ser comprometidas.
Qualquer pessoa que utilizar o computador depois que voc poder usar suas informaes
para roubar sua identidade, roubar seu dinheiro ou alterar suas senhas de contas importantes.
possvel navegar na web sem que o navegador retenha informaes pessoais sobre voc ou
seus histricos de navegao. Esse recurso chamado de Navegao InPrivate. A Navegao
InPrivate impede o navegador de armazenar as seguintes informaes:
Nomes de usurios
Senhas
Cookies
Histrico de navegao
Dados de formulrios
A maioria dos spams so enviados por vrios computadores em redes infectadas por vrus ou
worms. Estes computadores comprometidos enviam o mximo de emails em massa possvel.
TCP/IP o conjunto de protocolos que controla as comunicaes na Internet. Infelizmente,
algumas caractersticas do protocolo TCP/IP podem ser manipuladas, resultando em
vulnerabilidades na rede.
Negao de Servio (DoS - Denial of Service)
O DoS uma forma de ataque que impede que os usurios acessem servios comuns, tais
como e-mail ou servidores de web, pois o sistema fica ocupado respondendo a uma grade
quantidade de solicitaes. Um DoS envia tantas solicitaes para um recurso do sistema que
o servio solicitado sobrecarregado e deixa de operar, conforme apresentado na Imagem 1.
Negao de Servio Distribuda (DDoS - Distributed Denial of Service)
Um ataque DDoS utiliza vrios computadores infectados, chamados de zumbis ou botnets,
para iniciar um ataque. A inteno de impedir ou sobrecarregar o acesso em um determinado
servidor, conforme apresentado na Imagem 2. Computadores zumbis, que se encontram em
diferentes localizaes geogrficas, dificultam o rastreamento da origem do ataque.
SYN Flood
Uma solicitao SYN (SYN request) a primeira comunicao enviada para estabelecer uma
conexo TCP. Um ataque SYN flood abrir aleatoriamente as portas TCP da origem,
vinculando-as aos equipamentos de rede ou computadores alvos com uma grande quantidade
de falsos pedidos de SYN. Isto faz com que outras sesses sejam negadas, conforme
apresentado na Imagem 3. Um SYN flood um tipo de ataque DoS.
Spoofing
Em um ataque spoofing, um computador finge ser um computador confivel para obter acesso
a determinados recursos. O computador utiliza um endereo IP ou MAC falso para representar
um dispositivo confivel da rede.
Man-in-the-Middle
Um invasor realiza um ataque Man-in-the-middle para interceptar as comunicaes entre os
computadores, roubando as informaes transmitidas na rede. O ataque Man-in-the-middle
tambm pode ser usado para manipular mensagens e retransmitir informaes falsas entre os
hosts, conforme exibido na Imagem 4, pois os host no estaro cientes de que as mensagens
foram modificados.
Replay
No ataque replay os dados transmitidos sero interceptados e gravados por um invasor. Alm
disso, estas transmisses sero replicadas para o computador de destino. O computador de
destino compreende as informaes recebidas como sendo autnticas e enviadas pela fonte
original. Desta forma, um invasor obtm acesso no autorizado a um sistema ou a uma rede.
DNS Poisoning
Os registros do DNS em um sistema so alterados para direcionar o trfego aos servidores
impostores. O usurio tentar acessar um site legtimo, mas o seu trfego ser desviado para
um site falso. Este site falso ser utilizado para capturar informaes confidenciais, como
nomes de usurios e senhas, que podero ser visualizados pelo atacante. Um invasor pode
recuperar os dados a partir desse local.
A engenharia social ocorre quando um atacante tenta obter acesso a um equipamento ou
rede, enganando e fazendo com que as pessoas forneam o acesso informao necessria.
Muitas vezes, o engenheiro social ganha a confiana de um empregado e o convence a
divulgar o usurio e senha.
Um engenheiro social pode se apresentar como um tcnico para tentar entrar em uma
instalao. Quando dentro, o engenheiro social pode olhar por cima dos ombros para reunir
informaes, buscar papis sobre as mesas com senhas e ramais de telefones ou obter um
diretrio da empresas com endereos de emails.
Aqui esto algumas precaues bsicas que ajudam a proteger contra engenharia social:
Acompanhe os visitantes.
No deixe ningum segui-lo atravs de uma porta que exige um carto de acesso.
Uma poltica de segurana deve descrever como a empresa lida com os problemas e falhas de
segurana. Embora as polticas de segurana variem entre as organizaes, existem perguntas
que todas as empresas devem fazer:
NOTA: Para ser eficaz, uma poltica de segurana deve ser aplicada e seguida por todos os
funcionrios.
O valor do equipamento fsico geralmente muito menor do que o valor dos dados que ele
contm. A perda de dados confidenciais de uma empresa para competidores ou criminosos
pode ter um custo muito alto. Tais perdas podem resultar em uma falta de confiana da
empresa para com os funcionrios de TI e tambm na demisso dos tcnicos responsveis
pela segurana dos dados. Para proteger os dados, vrios mtodos de segurana podem ser
implementados.
Uma organizao deve se esforar para alcanar o melhor e mais acessvel nvel de proteo
contra perda de dados ou danos a software e equipamentos. Os tcnicos de rede e os gestores
da organizao devem trabalhar em conjunto para desenvolver uma poltica de segurana que
garante que os dados e equipamentos sejam protegidos contra todas as ameaas de
segurana. No desenvolvimento da poltica, os gestores devem calcular o custo da perda dos
dados em relao ao custo da proteo de segurana e determinar quais relaes de
compromisso so aceitveis. Uma poltica de segurana inclui uma declarao completa sobre
o nvel de segurana necessrio e como ele ser alcanado.
Voc pode estar envolvido no desenvolvimento de uma poltica de segurana para um cliente
ou organizao. Ao criar uma poltica de segurana, faa as seguintes perguntas para
determinar os fatores de segurana:
Comportamentos permitidos
Comportamentos proibidos
colega de trabalho ou amigo, pois isso pode invalidar o logging. Em vez disso, informe ao
administrador da rede sobre todos os seus problemas de autenticao identificados ao tentar
acessar o computador ou os recursos da rede.
O uso de informaes de login criptografadas em computadores que fazem acesso rede deve
ser um requisito mnimo para qualquer organizao. Software malicioso pode monitorar a rede
e registrar as senhas em texto puro. Caso as senhas sejam criptografadas, os invasores devem
decifrar a criptografia para aprender as senhas.
Os invasores podem obter acesso a dados de computadores desprotegidos. A proteo por
senha pode impedir o acesso no autorizado ao contedo. Todos os computadores devem ser
protegidos por senhas. Os trs nveis de proteo por senha recomendados so:
Rede - Impede o acesso aos recursos da rede por pessoas no autorizadas, conforme
apresentado na Figura 3.
Variao - Altere as senhas com frequncia. Crie um lembrete para alterar sua senha
de e-mail, bancos e sites de carto de crdito, em mdia, de cada trs a quatro meses.
Variedade - Use uma senha diferente para cada site ou computador que voc usa.
Para criar, remover ou modificar uma senha no Windows 7 ou Windows Vista, use o seguinte
caminho, como mostrado na Imagem 1:
Iniciar> Painel de Controle> Contas de Usurio
Para criar, remover ou modificar uma senha no Windows XP, use o seguinte caminho:
Iniciar> Painel de Controle> Contas de Usurio> Alterar uma conta> clique na conta que deseja
alterar
Para impedir que usurios no autorizados acessem os computadores locais e os recursos da
rede, bloqueie sua estao de trabalho, laptop ou servidor quando voc no estiver presente.
Proteo de Tela
importante certificar-se de que os computadores esto seguros quando os usurios esto
longe do mesmos. Uma poltica de segurana deve conter uma regra sobre necessidade de um
computador ser bloqueado quando a proteo de tela estiver ativada. Isso garantir que, aps
um curto perodo de tempo, a proteo de tela seja iniciada e, em seguida, o computador no
possa ser usado at que o usurio faa login.
Para configurar a proteo de tela no Windows 7 e Windows Vista, use o seguinte caminho:
Iniciar> Painel de Controle> Personalizao> Proteo de Tela. Escolha um protetor de tela e o
tempo de espera e, em seguida, selecione a opo "Ao reiniciar, exibir tela de logon", como
mostrado na Imagem 2.
Para configurar a proteo de tela no Windows XP, use o seguinte caminho:
Iniciar> Painel de Controle> Vdeo> Proteo de Tela Escolha um protetor de tela e um tempo
de espera e, em seguida, selecione a opo "Ao reiniciar, exibir tela de logon".
Os nveis de permisso so configurados para limitar o acesso de um indivduo ou grupo de
usurios dados especficos. Ambos os sistemas de arquivos FAT32 e NTFS permitem o
compartilhamento e as permisses de nvel de pasta para usurios com acesso rede. As
permisses de pasta so exibidas na Figura 1. Nveis adicionais de permisso de segurana
podem ser fornecidos somente com o uso do NTFS. As permisses de pastas so exibidas na
Figura 2.
Para configurar permisses de pastas e arquivos, use o seguinte caminho:
Clique com o boto direto do mouse no arquivo ou pasta desejado e selecione Propriedades >
Segurana > Editar...
Ao configurar as permisses de compartilhamento de rede em um computador NTFS,
compartilhe as informaes e atribua as permisses para cada usurio ou grupo. Apenas os
usurios e grupos que possuem permisses NFTS e de compartilhamento, podem acessar a
rede compartilhada.
Para configurar as permisses de compartilhamento de pasta no Windows 7, use o seguinte
caminho:
Clique com o boto direito do mouse na pasta e selecione Compartilhar
Existem quatro opes de compartilhamento de arquivos:
Todos os sistemas de arquivos mantm o controle dos recursos, mas apenas os sistemas de
arquivos journals, que so reas especiais onde as mudanas dos arquivos so gravadas
antes de serem feitas, podem registrar o acesso por usurio, data e hora. O sistema de
arquivos FAT32 no possui journaling e recursos de criptografia. Como resultado, situaes
que exigem um nvel maior de segurana geralmente so implantadas usando NTFS. Se o
aumento da segurana for necessrio, possvel executar determinados utilitrios, como o
CONVERT, para atualizar um sistema de arquivos FAT32 para NTFS. O processo de converso
irreversvel. importante definir corretamente os seus objetivos antes de fazer a transio.
Uma comparao entre os dois sistemas de arquivo exibida na Figura 3.
Princpio do Menor Privilgio
Os usurios devem ter o seu acesso limitado apenas aos recursos que necessitam da rede ou
de um computador. Por exemplo, os usurios no devem ser capazes de acessar todos os
arquivos de um servidor, caso eles precisem acessar apenas uma nica pasta. Pode ser mais
fcil fornecer aos usurios o acesso a toda a unidade, mas recomendado que se limite o
acesso a apenas pasta necessria para que o mesmo realize o seu trabalho. Isto conhecido
como o princpio do menor privilgio. Limitar o acesso aos recursos tambm impede que
programas maliciosos acessem o mesmo, caso o computador do usurio seja infectado.
Restringir as Permisses do Usurio
As permisses de compartilhamento de pastas e da rede podem ser concedidas aos indivduos
especficos ou por meio de um grupo. Seu um indivduo ou um grupo tiver uma permisso de
compartilhamento de rede negada, essa negao substitui qualquer outra regra de permisso
dada. Por exemplo, se voc negar que algum compartilhe algo na rede, o usurio no poder
faz-lo, mesmo se ele for um administrador ou participar de um grupo de administradores. A
poltica de segurana local deve delinear quais recursos e o tipo de acesso permitido para cada
usurio e grupo.
Quando as permisses de uma pasta so alteradas, voc tem a opo de aplicar as mesmas
para todas as sub-pastas. Isto conhecido como propagao de permisso. A propagao de
permisso uma maneira fcil de aplicar permisses a vrios arquivos e pastas rapidamente.
Depois que as permisses da pasta pai forem definidas, as pastas e arquivos criados dentro da
pasta pai herdam as suas permisses.
Segurana - Os backups podem ser protegidos com senhas. Uma senha inserida
antes dos dados presentes na mdia de backup serem restaurados.
Passo 1. Clique em Iniciar > Painel de Controle > Segurana > Criptografia de Unidade de
Disco BitLocker
Passo 2. Se uma mensagem do Contas de Usurios (UAC) aparecer, clique em Continuar.
Passo 3. Na pgina Criptografia de Unidade de Disco BitLocker, clique em Ativar BitLocker no
volume do sistema operacional.
Passo 4. Se o TPM no estiver inicializado, o Assistente de Hardware de Segurana TPM
aparecer. Siga as instrues fornecidas pelo assistente para inicializar o TPM. Reinicie o
computador.
Passo 5. A pgina Salvar a senha de recuperao possui as seguintes opes:
Salvar a senha em um drive USB - Esta opo armazena a senha em uma unidade
USB.
Salvar a senha em uma pasta - Esta opo salva a senha para uma unidade de rede
ou em outro local.
Passo 2. Selecione a unidade que contm os pontos de restaurao que voc deseja excluir.
Passo 3. Clique em Configurar....
Passo 4. Clique em Excluir ao lado de Excluir todos os pontos de restaurao (isso inclui as
configuraes do sistema e verses anteriores de arquivos).
No Windows Vista e Windows XP, siga estes passos:
Passo 1. Criar um ponto de restaurao.
Passo 2. Clique com o boto direito do mouse na unidade que contm os pontos de
restaurao que voc deseja excluir.
Passo 3. Selecione Propriedades > guia Geral > Limpeza de Disco.
Passo 4. O Windows ir analisar o disco.
Passo 5. Na limpeza de disco da janela (C:), clique na guia Mais Opes > Limpar....
Passo 6. Clique em Excluir na janela Limpeza de Disco para deletar tudo, menos o ponto de
restaurao mais recente.
Estratgias de segurana esto em constante mudana, como tambm as tecnologias usadas
para proteger os equipamentos e dados. Novas vulnerabilidades de seguranas so
encontradas diariamente. Os Invasores constantemente procuram novas maneiras de se
infiltrar em computadores e em redes. Os fabricantes de software devem regularmente criar e
redistribuir patches para corrigir falhas e vulnerabilidades em seus produtos. Se um tcnico
deixar um computador sem proteo, um invasor poder obter acesso a ele. Os computadores
desprotegidos normalmente so infectados em poucos minutos quando conectados Internet.
Ameaas segurana, como vrus e worms, esto sempre presentes. Por causa da frequncia
com que novos vrus so desenvolvidos, os softwares de segurana devem ser continuamente
atualizados. Este processo pode ser realizado automaticamente, entretanto um tcnico deve
saber como atualizar manualmente qualquer tipo de software de proteo e os programas de
um cliente.
Programas de deteco de vrus, spyware e adware procuram por padres nos cdigos de
programao dos softwares presentes em um computador. Esses padres so determinados
atravs da anlise dos vrus que so interceptados na Internet e nas redes locais. Esses
padres cdigos so chamados de assinaturas. Os desenvolvedores de softwares de proteo
renem as assinaturas dos vrus em uma tabela de definies. Para atualizar os arquivos de
assinaturas dos softwares de antivrus e anti-spyware, primeiramente verifique se os arquivos
de assinatura j no so os mais recentes. Voc pode verificar o status do arquivo navegando
at a opo "Sobre (about)" no software de proteo ou iniciando a ferramenta de atualizao
do mesmo.
Para atualizar o arquivo de assinatura, siga estes passos:
Passo 1. Crie um Ponto de Restaurao no Windows. Caso o arquivo carregado esteja
corrompido, o ponto de restaurao permitir que voc volte para o modo anterior instalao.
Passo 2. Abra o antivrus ou o anti-spyware. Se o programa estiver configurado para executar
ou obter atualizaes automaticamente, voc precisar desativar o recurso de atualizaes
automticas para execut-la manualmente.
Passo 3. Clique no boto Atualizar (Update).
Passo 4. Aps a atualizao do programa, realize uma varredura (scan) no computador.
Para configurar a filtragem de endereos MAC, como mostrado na figura, siga esses passos:
Passo 1. Clique em Wireless > Wireless MAC Filter.
Passo 2. Selecione a opo Enabled.
Passo 3. Selecione o tipo de restrio de acesso (Prevent ou Permit).
Passo 4. Clique em Wireless Client List.
Passo 5. Selecione o cliente.
Passo 6. Clique em Save to MAC Address Filter List > Add > Save Settings > Continue.
Repita os passos acima para adicionar mais clientes lista de endereos MAC.
O endereo MAC de uma placa de rede sem fio pode ser encontrado digitando ipconfig /all no
prompt de comando. O endereo MAC exibido na linha Endereo Fsico. Para outros
dispositivos, normalmente o endereo MAC est gravado na etiqueta do dispositivo ou dentro
de manual do fabricante.
A filtragem de endereos MAC pode ser entediante se uma srie de dispositivos estiver
conectados rede. Alm disso, quando se utiliza a filtragem de endereos MAC, possvel que
um invasor capture um endereo MAC usando ferramentas de hacker apropriadas. Depois que
o intruso obtm o endereo MAC, ele pode us-lo para se passar por um computador permitido
na filtragem de endereos MAC. Nesse caso, use uma tecnologia de criptografia robusta.
Utilize tcnicas de criptografia sem fio para codificar as informaes enviadas e impedir a
captura e utilizao indesejada dos dados. Ambas as extremidades de cada link devem usar o
mesmo tipo de criptografia.
Os pontos de acesso sem fio suportam diversos modos de segurana diferentes. Os mais
comuns so:
Wi-Fi Protected Access (WPA) - Uma verso melhorada do WEP, o WPA cobre todo o
padro 802.11i (camada de segurana para sistemas sem fio). O WPA usa uma
criptografia muito mais forte do que o WEP.
Wi-Fi Protected Access 2 (WPA2) - Uma verso melhorada do WPA. Este protocolo
fornece nveis mais altos de segurana do que o WPA. WPA2 suporta criptografia robusta,
proporcionando segurana de nvel governamental. WPA2 possui duas verses: Personal
(autenticao por senha) e Enterprise (autenticao atravs de um servidor).
Temporal Key Integrity Protocol (TKIP) - Esta tecnologia muda a chave de criptografia
em uma base por pacote e fornece um mtodo para verificar a integridade das
mensagens.
Para melhorar a segurana sem fio, use o seguinte caminho, como mostrado na figura:
Wireless > Wireless Security > selecione Security Mode > selecione Encryption Type > digite a
senha (Pre-shared Key) > selecione Key Renewal > Save Settings > Continue
Antenas sem fio
O ganho de sinal e o padro de antena ligada ao ponto de acesso sem fio podem influenciar
onde o sinal ser recebido. Evite transmitir o sinal de sua rede sem fio para fora da rea da
mesma atravs da instalao de uma antena com um padro diferente e que serve apenas aos
seus utilizadores.
Alguns dispositivos sem fio permitem que voc altere a potncia das ondas de rdio emitidas
pela antena. Isto pode ser bom de duas formas:
A cobertura da rede sem fio pode ser reduzida para impedir o acesso em reas
indesejadas. Use um laptop ou um dispositivo porttil para determinar a rea de
cobertura. Diminua o nvel de potncia de rdio at que rea de cobertura seja o tamanho
desejado.
Aumentar o nvel de potncia de rdio em reas com muitas redes sem fio ajuda a
manter a interferncia de outras redes em um nvel minimo, mantendo assim os usurios
conectados.
O WPS tem uma grande falha de segurana. Softwares capazes de interceptar o trfego e
recuperar o WPS PIN e a chave de criptografia pr-compartilhada foram desenvolvidos. Como
uma prtica recomendada de segurana, sempre que possvel desative o WPS no roteador
sem fio.
O firewall de hardware um componente fsico de filtragem que inspeciona os pacotes de
dados da rede antes que eles cheguem nos computadores ou em outros dispositivos da rede.
O firewall de hardware uma unidade autnoma que no utiliza recursos dos computadores
que est protegendo, portanto, no h impacto no desempenho e processamento dos mesmos.
O firewall pode ser configurado para bloquear vrias portas individuais, um intervalo de portas
ou at mesmo trfegos especficos de um aplicativo. O roteador wireless Linksys E2500
tambm um firewall de hardware.
Um firewall de hardware permite a entrada de dois tipos diferentes de trfego em sua rede:
Proxy - Este firewall instalado em um servidor de proxy que inspeciona todo o trfego
e permite ou nega os pacotes com base nas regras configuradas. O proxy server um
servidor que se encontra entre o cliente e o servidor de destino na Internet.
Os
firewalls de hardware podem ser usados para bloquear as portas e impedir o acesso no
autorizado dentro e fora de uma LAN. No entanto, h situaes em que determinadas portas
devem ser abertas para que determinados programas possam se comunicar com dispositivos
em redes diferentes. O encaminhamento de porta um mtodo baseado na regra de direcionar
o trfego entre dispositivos em redes separadas. Este mtodo de exposio de dispositivos
para a Internet muito mais seguro do que uma DMZ.
Quando o trfego atinge o roteador, ele determina se o trfego deve ser encaminhado para um
determinado dispositivo com base no nmero de porta encontrado no trfego. Os nmeros de
porta so associados a servios especficos, tais como FTP, HTTP, HTTPS e POP3. As regras
determinam quais trfegos so enviados para a LAN. Por exemplo, um roteador pode ser
configurado para encaminhar trfegos da porta 80, a qual est associada ao protocolo HTTP.
Quando o roteador recebe um pacote com a porta de destino 80, o roteador encaminha o
trfego para o servidor Web dentro da rede.
Para habilitar o encaminhamento de porta, conforme apresentado na figura, siga estes passos:
Passo 1. Clique em Applications & Gaming > Single Port Forwarding.
Passo 2. Selecione ou digite o nome da aplicao. Talvez seja necessrio digitar o nmero de
porta externo, nmero da porta da Internet e o tipo de protocolo.
Passo 3. Digite o endereo IP do computador que receber os pedidos.
Passo 4. Clique em Enable > Save Settings > Continue.
O Port Triggering permite que o roteador encaminhe temporariamente dados atravs das portas
de entrada para um dispositivo especfico. Voc pode usar o Port Triggering para enviar dados
para um computador apenas quando um intervalo de porta designado usado para fazer um
pedido de sada. Por exemplo, um video game pode usar as portas de 27000 a 27100 para se
conectar com os outros jogadores. Estas so as portas de gatilho (trigger). Um cliente de chat
pode utilizar a porta 56 para se conectar aos mesmos, de modo que os jogadores possam
interagir uns com os outros. Neste caso, se houver trfego de jogos em uma porta de sada
dentro do intervalo de portas, o trfego de bate-papo de entrada na porta 56 enviado para o
computador que est sendo usado para jogar e para realizar o bate-papo com os amigos.
Quando o jogo finalizado e as portas acionadas no esto mais em uso, a porta 56 no
mais permitida para o envio de trfego de qualquer tipo de computador.
Para configurar o Port Triggering, siga estes passos:
Passo 1. Selecione Applications & Gaming > Port Range Triggering.
Passo 2. Digite o nome da aplicao. Digite o incio e trmino do intervalo de portas acionado,
e tambm o nicio e o trmino do intervalo de portas encaminhadas.
Passo 3. Clique em Enable > Save Settings > Continue.
Firewalls de Hardware
Sistema de gerenciamento de rede que detecta alteraes nos cabos e patch panels
Desabilitar o AutoRun
Outro mtodo de segurana desativar o recurso AutoRun do sistema operacional. O AutoRun
executa automaticamente as instrues presentes no arquivo autorun.inf, quando o mesmo
encontrado em novas mdias. AutoPlay diferente do AutoRun. O recurso de reproduo
automtica (AutoPlay) uma maneira simples de identificar automaticamente quando novas
mdias, como discos pticos, discos rgidos externos ou pen drives, so inseridos ou
conectados no computador. O AutoPlay solicita que o usurio escolha uma ao com base no
contedo das novas mdias, como executar um programa, tocar msica ou explorar a media.
No Windows, o AutoRun executado primeiro, a menos que ele esteja desativado. Se AutoRun
no estiver desativado, o computador seguir as instrues do arquivo autorun.inf. No Windows
Vista e Windows 7, no permitido que o AutoRun ignore as instrues do AutoPlay. No
entanto, no Windows XP, o AutoRun ignora o AutoPlay e pode iniciar uma aplicao sem avisar
o usurio. Isto um risco de segurana, pois pode executar automaticamente um programa
malicioso e comprometer o sistema. Devido a este fato recomendvel desabilitar o AutoRun.
Para desabilitar o AutoRun no Windows XP, siga esses passos:
Passo 1. Selecione Iniciar > Executar.
Rtule e instale sensores, tais como Radio Frequency Identification (RFID), nos
equipamento.
Instale alarmes fsicos que so acionados por sensores de deteco de movimento.
Guarda de Segurana
Utilize travas de gabinete, cabos de bloqueio e docking station para impedir que os laptops
sejam removidos de seu local. Utilize disco rgidos com fechaduras para realizar o
armazenamento o e transporte dos backups, evitando assim a perda e o roubo dos dados.
Protegendo os Dados Durante o Uso
Para os usurios que precisam acessar recursos de rede confidenciais, um token pode ser
usado para fornecer autenticao de dois fatores. Um token pode ser um hardware, como um
carto pin, mostrado na Figura 3, ou um software, como o programa de Softoken, mostrado na
Figura 4. O token atribudo a um computador e cria, em determinados momentos, um cdigo
nico. Quando os usurios acessam um recurso de rede, eles digitam o cdigo PIN e o nmero
exibido pelo token. O nmero exibido pelo token criado a partir de um clculo feito com o seu
relgio interno e um nmero aleatrio codificado no token na fbrica. Este nmero
autenticado em um banco de dados que sabe o nmero do token e pode calcular o mesmo
nmero.
As informaes exibidas nas telas dos computador podem ser protegidas dos olhares
indiscretos utilizando uma tela de privacidade. A tela de privacidade um painel que
frequentemente feito de plstico. Ela impede que a luz se projete em ngulos baixos, de modo
que somente o usurio que olhar diretamente para tela poder ver o que est sendo exibido.
Por exemplo, em um avio, um usurio pode impedir que a pessoa sentada no assento ao lado
veja o que est sendo exibido na tela de seu laptop.
Mix Correto de Segurana
Fatores que determinam qual o equipamento de segurana mais eficaz a ser usado para
proteger equipamentos e dados incluem:
Por exemplo, um computador em um local pblico, como uma biblioteca, exige proteo
adicional contra roubo e vandalismo. Em um call center, necessrio que o servidor seja
colocado em uma sala de equipamentos trancada. Sempre que for necessrio usar um laptop
num local pblico, utilize um dongle de segurana, mostrado na Figura 5, para assegurar que o
sistema fique bloqueado enquanto o laptop est separado do usurio.
Os patches so atualizaes que os fabricantes fornecem para prevenir que um vrus recmdescoberto ou worm realizem um ataque bem sucedido ao sistema. De tempos em tempos, os
fabricantes combinam patches e atualizaes em um aplicativo de atualizao abrangente,
chamado de service pack. Muitos ataques devastadores de vrus poderiam ter sido amenizados
se mais usurios tivessem baixado e instalado o service pack mais recente.
O Windows verifica regularmente o site do Windows Update para obter atualizaes de alta
prioridade que podem ajudar a proteger o computador contra as recentes ameaas de
segurana. Estas atualizaes incluem atualizaes de segurana, atualizaes crticas e
service packs. Dependendo da configurao que voc escolher, o Windows baixa e instala
automaticamente todas as atualizaes de alta prioridade que o computador precisa ou apenas
notifica que essas atualizaes esto disponveis.
Atualizaes devem ser instaladas, e no apenas baixadas, conforme apresentado na figura.
Se voc usar a configurao automtica, voc pode programar a hora e o dia em que o
computador realizar a atualizao. Caso contrrio, as novas atualizaes sero instaladas s
3h a.m por padro, se o computador estiver ligado ou em um estado de baixo consumo de
energia. Se o computador estiver desligado durante o horrio agendado para a atualizao, as
mesmas sero instaladas na prxima vez que voc iniciar o computador. Voc tambm pode
optar que o Windows notifique-o quando uma nova atualizao estiver disponvel e, em
seguida, instal-la manualmente.
Devido as constante mudana referentes a ameaas de segurana, os tcnicos devem
compreender o processo de instalao de patches e atualizaes. Eles tambm devem ser
capazes de reconhecer quando novas atualizaes e patches esto disponveis. Alguns
fabricantes lanam atualizaes sempre no mesmo dia do ms, embora tambm enviem
atualizaes crticas quando necessrio. Outros fabricantes oferecem servios de atualizao
automtica onde o patch do software atualizado cada vez que o computador ligado, ou
notificaes so enviadas por e-mail quando um novo patch ou atualizao liberada.
Para atualizar o sistema operacional com um service pack ou patch de segurana, siga estes
passos:
Passo 1. Criar um ponto de restaurao antes de instalar uma atualizao.
Passo 2. Verifique as atualizaes para garantir que voc possui as mais recentes.
Passo 3. Baixe as atualizaes usando as Atualizaes Automticas ou acesso o site do
fabricante do sistema operacional.
Passo 4. Instale a atualizao.
Passo 5. Reinicie o computador, se necessrio.
Passo 6. Certifique-se de que o computador est funcionando corretamente.
Por padro, o Windows realiza o download e instala as atualizaes do sistema operacional
automaticamente. No entanto, as atualizaes podem entrar em conflito com a poltica de
segurana de uma organizao ou com outras configuraes do computador. As seguintes
opes do Windows permitem que voc controle quando o software atualizado:
Todos os usurios podem fazer backup de seus arquivos e pastas. Eles tambm
podem fazer o backup dos arquivos para os quais eles tm a permisso de leitura.
Para iniciar o Assistente de Backup de dados do Windows 7 pela primeira vez, use o seguinte
caminho:
Iniciar > Todos os Programas > Manuteno > Backup e Restaurao > Configurar backup
Para alterar as configuraes de Backup no Windows 7 aps o assistente de Backup de dados
for concludo, use o seguinte caminho:
Iniciar > Todos os Programas > Manuteno > Backup e Restaurao > Alterar configuraes >
Alterar configuraes de backup > Continuar
Para restaurar um arquivo de backup no Windows 7, use o seguinte caminho:
Iniciar > Todos os Programas > Manuteno > Backup e Restaurao > Restaurar meus
arquivos
Para iniciar o Assistente de Backup de dados do Windows Vista, use o seguinte caminho:
Iniciar > Todos os Programas > Manuteno > Centro de Backup e Restaurao > Fazer
backup de arquivos
Para alterar as configuraes de backup, use o seguinte caminho:
Iniciar > Todos os Programas > Manuteno > Centro de Backup e Restaurao > Alterar
configuraes > Alterar configuraes de backup > Continuar
Para restaurar um arquivo de backup no Windows Vista, use o seguinte caminho:
Iniciar > Todos os Programas > Manuteno > Centro de Backup e Restaurao > Restaurar
arquivos
Os arquivos de backup do Windows Vista ou Windows 7 possuem a extenso .zip. Os dados
de backup so compactado automaticamente, e cada arquivo tem um tamanho mximo
comprimido de 200 MB. Voc pode salvar os arquivos de backup do Windows 7 ou Windows
Vista em um disco rgido, qualquer mdia gravvel ou em um outro computador conectado
sua rede. O backup s pode ser criado a partir de uma partio NTFS. O disco rgido de
destino deve ser NTFS ou FAT.
NOTA: Voc pode excluir os diretrios de backup no Windows 7 manualmente ou, no Windows
XP, atravs do assistente de restaurao. Esse recurso no suportado no Assistente de
Backup de Arquivos do Windows Vista.
Para iniciar o Assistente de Backup e restaurao do Windows XP, use o seguinte caminho:
Iniciar > Todos os Programas > Acessrios > Ferramentas do Sistema > Backup
O Assistente de Backup e Restaurao ser iniciado. Para alterar a configurao de backup,
use o seguinte caminho:
Iniciar > Todos os Programas > Acessrios > Ferramentas de Sistema > Backup Avanado >
Ferramentas > Opes
Para restaurar um arquivo de backup no Windows XP pelo Assistente de Backup e
Restaurao, use o seguinte caminho:
Avanar > Restaurar Arquivos e Configuraes > Avanar. Selecione o arquivo de backup e
clique em Avanar > Concludo
O Assistente de Backup e Restaurao e outros aplicativos de backup geralmente fornecem os
seguintes tipos de backup:
Os arquivos do Assistente de Backup e Restaurao do Windows XP possuem a extenso .bkf.
Voc pode salvar um arquivo .Bkf em um disco rgido, DVD ou qualquer outra mdia gravvel. O
local de origem e a unidade de destino podem ser NTFS ou FAT.
Voc pode executar operaes de backup no Windows XP pela linha de comando ou a partir de
um arquivo batch, usando o comando NTBACKUP. Os parmetros padro para o NTBACKUP
so definidos no utilitrio de backup do Windows XP. As opes que voc deseja substituir
devem ser includas na linha de comando. Voc no pode restaurar arquivos a partir da linha
de comando usando o comando NTBACKUP.
No Windows 7 ou Windows Vista, use o comando WBADMIN. Voc no pode usar os backups
feitos com o comando NTBACKUP no Windows XP e restaur-los usando o comando
WBADMIN no Windows 7 ou Windows Vista. Para restaurar backups do Windows XP no
Windows 7 ou Windows Vista, faa o download de uma verso especial do comando
NTBACKUP da Microsoft.
A combinao dos tipos de backup permite que os dados a sejam copiados de forma eficiente.
Os tipos de backup esto descritos na figura ao lado. Fazer o backup dos dados pode levar
algum tempo, por isso prefervel fazer backups durante os momentos em que a utilizao dos
computadores e da rede so baixos.
Para permitir o acesso de um programa atravs do Firewall do Windows no Windows XP, use o
seguinte caminho:
Iniciar> Painel de Controle> Central de Segurana> Firewall do Windows> Excees>
Adicionar Programa
Para desativar o Firewall do Windows no Windows 7, use o seguinte caminho:
Iniciar> Painel de Controle> Firewall do Windows> Ativar ou Desativar o Firewall do Windows>
Desativar o Firewall do Windows (no recomendado)> OK
Para desativar o Firewall do Windows no Windows Vista, use o seguinte caminho:
Iniciar> Painel de Controle> Central de Segurana> Firewall do Windows> Ativar ou Desativar o
Firewall do Windows> Continuar> Desativado (no recomendvel)> OK
Para desativar o Firewall do Windows no Windows XP, use o seguinte caminho:
Iniciar> Painel de Controle> Central de Segurana> Firewall do Windows
Os funcionrios de uma organizao muitas vezes solicitam diferentes nveis de acesso aos
dados. Por exemplo, o gerente e o contador de uma empresa podem ser os nicos funcionrios
que possuem acesso s folha de pagamento.
Os funcionrios podem ser agrupados pelas competncias do trabalho e receber o acesso aos
arquivos de acordo com as permisses do grupo. Este processo ajuda a controlar o acesso dos
funcionrios rede. Contas temporrias podem ser configuradas para os funcionrios que
precisam de acesso por um curto perodo de tempo. O gerenciamento controlado do acesso
rede ajuda a limitar as reas de vulnerabilidade que podem permitir que um vrus ou software
malicioso entre na rede.
Finalizando o Acesso de um Funcionrio
Quando um empregado deixa a organizao, o acesso aos dados e dispositivos da rede devem
ser encerrados imediatamente. Caso um ex-funcionrio tenha algum arquivo armazenado em
uma pasta no servidor, elimine o acesso desativando a sua conta. Caso o funcionrio substituto
solicite acesso aos aplicativos e pastas, voc poder reativar a conta do ex-funcionrio e
renome-la, utilizando o nome do novo funcionrio.
Contas de Convidado
Os convidados e empregados temporrios possivelmente precisaro de acesso rede. Por
exemplo, o visitante poder solicitar acesso ao e-mail, Internet ou a uma impressora de rede.
Estes recursos podem ser disponibilizados em uma conta especial chamada Convidado
(Guest). Quando um convidado estiver presente, eles podero utilizar a conta Convidado.
Quando no houver convidado, a conta poder ser desativada at que seja necessrio utiliz-la
novamente.
Em alguns casos as contas de convidados necessitam de acessos especficos aos recursos de
rede, como as contas utilizadas por um consultor ou auditor financeiro. Este tipo de acesso
deve ser concedido apenas pelo perodo necessrio para que o funcionrio finalize o seu
trabalho.
Para configurar todos os usurios e grupos em um computador, digite lusrmgr.msc na caixa de
pesquisa ou no utilitrio Executar.
Aps
conversar com o cliente, voc poder criar uma teoria das provveis causas. A imagem
apresenta uma lista de algumas possveis causas comuns para os problemas de segurana.
Aps
desenvolver algumas teorias sobre o que est errado, teste-as para determinar a causa do
problema. A imagem apresenta uma lista de procedimentos rpidos que podem determinar a
Na
Na etapa final do processo de soluo de problemas, documente suas descobertas, aes e
resultados. A figura apresenta uma lista das tarefas necessrias para documentar o problema e
a soluo.
O
s problemas de segurana podem ser atribudos a hardware, software, problemas de
conectividade ou alguma combinao dos trs. Voc resolver alguns problemas de segurana
encontrados com mais frequncia do que outros problemas. A imagem um grfico dos
problemas e solues de segurana comuns.
A planilha da pgina seguinte foi projetada para reforar suas habilidades de comunicao
utilizadas para verificar as informaes do cliente.
Resumo:
Este captulo discutiu a segurana do computador e por que importante proteger os
computadores, redes e dados. Ameaas, procedimentos e manuteno preventiva referentes a
segurana fsica e dos dados foram descritos para ajud-lo a manter os computadores e dados
seguros. Alguns dos conceitos importantes para se lembrar deste captulo so: