untitled

NOTÍCIAS

Portas abertas: O que pode estar acontecendo na frente de nossos próprios olhos

Um dos princípios básicos do uso de firewalls, pelo menos até agora, tem sido associar um determinado tipo de serviço com uma porta (ou um grupo de portas) TCP ou UDP. Hoje em dia qualquer administrador de rede que tenha que cuidar de filtros de pacotes, por exemplo, sabe que tráfego TELNET (emulação de terminal) utiliza a porta 23/tcp, ou que navegação Web é feita principalmente por tráfego na porta 80/tcp.

Uma tendência preocupante tem sido o uso de portas "genéricas", como 80/tcp, para transportar outros tipos de tráfego além de "navegação Web". O argumento usado pelos desenvolvedores tem sido que assim conseguem garantir que suas aplicações funcionarão através de firewalls. Ora, se o objetivo do firewall é justamente deixar passar somente tráfego autorizado, este argumento mostra que o desenvolvedor não está preocupado com segurança, exceto quando ela atrapalha o seu produto...

Esta tendência começou faz alguns anos atrás. O primeiro software que lembro que fazia isso era o PointCast (alguém lembra deles?), que oferecia a possibilidade de "encapsular" seu tráfego em HTTP. Desde então outros produtos seguiram a mesma linha. Hoje em dia, a proposta de SOAP (Simple Object Access Protocol), por exemplo, prevê exatamente isso.

Um simples filtro de pacote que deixe passar porta 80/tcp estará deixando passar tráfego uma quantidade significativa de produtos, não somente Web. Quantos desses produtos tem vulnerabilidades conhecidas? A política da organização permite o uso destes produtos? Se a resposta for "não", a organização precisará colocar mecanismos de inspeção mais poderosos, como gateways de aplicação ou software de análise de conteúdo.

Qual a conseqüência disso? Simplesmente que a sofisticação dos mecanismos de filtragem terá que aumentar. Isto, sem dúvida, terá um impacto na performance dos mecanismos de inspeção. É fundamental que seja compreendido que de nada adianta performance se a função de segurança não está sendo cumprida...

É importante salientar que hoje em dia JÁ EXISTEM diversos ataques, protocolos e produtos que usam a porta 80/tcp como meio de transporte. Assim, o administrador de segurança já deve estar pensando em se proteger contra estas vulnerabilidades.

Como sempre, é essencial que o administrador de segurança estude cuidadosamente exatamente O QUE e COMO o seu produto de segurança faz. Um proxy de aplicação que não inspecione adequadamente o conteúdo pode estar abrindo a empresa a vulnerabilidades não conhecidas. Mais uma vez, essa é uma oportunidade para pensar na arquitetura de segurança como um todo, aproveitando para compor diversos produtos de forma a maximizar as funcionalidades de cada um...

O essencial é que os administradores de firewalls conhecam bem os mecanismos que seus firewalls estão usando para analisar o tráfego de rede. Caso isso não ocorra, a segurança da rede pode estar sendo violada na frente de seus próprios olhos, mas ninguém perceberá isso...

Fonte: Anti-hackers