O objetivo da gestão da segurança é duplo. O primeiro é o
controle do acesso a alguns recursos, tais quais uma rede e
seus hospedeiros. O segundo é prevenir ataques que podem
comprometer a rede e seus hospedeiros e auxiliar a detecção
desses. Os ataques contra as redes e os hospedeiros podem
levar à negação de serviço (denial of service) e,
pior ainda, permitir que invasores tenham acesso aos
sistemas vitais que contêm contabilidade, folha de pagamento
e dados de código-fonte.
A gestão de segurança abrange não só os sistemas de rede de
segurança, mas também de segurança física. A segurança
física inclui controle de acesso e sistemas de
vídeovigilância. O objetivo é garantir que somente pessoas
autorizadas tenham acesso físico aos sitemas vulneráveis.
Hoje, a gestão da segurança da rede é realizada por meio da
utilização de diversas ferramentas e sistemas projetados
para este fim. Estes incluem: Firewalls, Sistemas de
Detecção de Intrusão (IDS-Intrusion Detection Systems),
Sistemas de Prevenção de Intrusão (IPSS-Intrusion Prevention
Systems), Sistemas de Antivírus e Sistemas de Gestão e
Execução do Policiamento.
A maior parte, se não todos os atuais sistemas de segurança
de rede podem se integrar com sistemas de gerenciamento de
rede via SNMP.
-
As versões 1 e 2c do SNMP
são objeto de packet sniffing da sequência de
texto claro da comunidade do tráfego de rede, porque não
implementa a criptografia.
-
Todas as versões do SNMP
estão sujeitas a “força bruta” e ataques de dicionários
para adivinhar as strings/autenticações, porque
não implementam um handshake de
challenge-response.
-
Embora o SNMP trabalhe sobre
protocolos TCP e outros, é mais comumente usado sobre
UDP que é sem conexão e vulnerável a ataques de
spoofing IP. Assim, todas as versões estão sujeitas
a lista de dispositivos de acesso ignorando que poderiam
ter sido implementadas para restringir o acesso SNMP,
por meio de mecanismos de segurança, outras versões do
SNMPv3 devem impedir um ataque bem sucedido.
-
A capacidade de configuração
do SNMP para gravar pode ser modificada para causar
danos graves. Essas capacidades de modificar a escrita
são raramente utilizadas na prática, em parte devido à
falta de segurança nas versões 1 e 2 e em parte devido
ao fato de que muitos dispositivos não implementam essas
interfaces de configuração em seu gerenciamento via SNMP.
-
O SNMP encabeça a
lista do Instituto SANS de problemas de configuração
padrão e comuns, com a questão das strings serem
por padrão definidas “pública” e “privada”.
Esse problema é o
décimo colocados no SANS Top 10
Most Critical Internet Security Threats
for the year 2000.
-
Muitos usuários da rede SNMP
que são preocupados com a segurança precisam mais do que
serviços de autenticação e esquemas de criptografia. Na
verdade, precisam desses esquemas que sejam mais seguros
e mais difíceis de serem comprometidos. Para atender a
essa demanda, a SNMP Research apresenta o ESO (Extended
Security Options), um padrão aumentado de criptografia
usando a tecnologia do padrão SNMPv3. Ele define, cria e
implanta melhorias para a segurança da arquitetura do
SNMPv3. Esses três fatores implicam em forte
criptografia, autenticação de terceiros e chave de
ignição.
|