Uma rede possui um nível conhecido de confiabilidade quando todos os seus nós seguem as mesmas políticas de segurança. Esse conceito pode ser estendido também para as VPNs, as quais podem ser vistas como “redes sobre redes”, onde os nós são as LANs ou usuários remotos, conectados por canais seguros estabelecidos sobre uma rede maior, não-confiável.
Desta forma, por mais segura que uma rede local esteja, uma eventual falha de segurança em um ponto qualquer da VPN pode se propagar pelos túneis, comprometendo as partes consideradas seguras. As tecnologias atuais oferecem um nível muito bom de segurança aos canais, de modo que os pontos mais vulneráveis nas VPNs acabam por ser os nós, principalmente quando entre estes também estão usuários remotos. Por estarem também conectados à rede maior, os nós da VPN são passíveis de ataques através das conexões inseguras. Portanto, podendo servir como porta de entrada a um intruso para a rede corporativa.
Uma boa política de segurança deve ser clara, objetiva e abordar todos os aspectos de segurança relevantes. Como isso pode incluir um número muito grande de itens, é importante que a política de segurança seja aprovada pelas partes envolvidas, e revista periodicamente, a fim de refletir mudanças tecnológicas e estruturais da rede.
Dentre os vários itens que podem constar em uma política de segurança, destacam-se:
Escopo: a quem a política deve abranger, e que tipo de serviços são cobertos pela política de segurança.
Responsabilidades: as responsabilidades dos usuários e administradores devem ser claras e bem definidas. No caso de interligação entre redes, devem ser definidas as responsabilidades de cada uma das partes envolvidas. Devem ser incluídas as possíveis medidas disciplinares a serem tomadas em caso de ação voluntária ou negligente que venha a acarretar perdas.
Autoridades: a autoridade de cada parceiro na rede deve ser bem definida, incluindo quem possui direitos sobre quais recursos, como por exemplo, os canais seguros. Em caso de uma VPN LAN-to-LAN, onde cada rede pode ter um administrador separado (ex. extranet), a política deve definir, até onde se estende a autoridade dos administradores locais.
Software: que tipo de software é permitido, que tipo não é permitido, quem é responsável pela instalação e manutenção do software, atualizações e antivírus.
Controle de acesso: controle de senhas, autenticação de usuários, autoridades, procedimentos em caso de perda ou roubo de senhas.
Controle de utilização: que tipo de uso é aceitável, que tipo não é aceitável. O controle de utilização pode incluir também limites de tempo ou volume máximo para transferência de dados em um determinado período.
Homologação: os requisitos mínimos necessários, processo de auditoria e aprovação para novos nós na rede.
Fonte: http://www.ic.unicamp.br/~rdahab/cursos/mp202/Welcome_files/trabalhos/VPN/texto/Texto%20(.html).html
0 comentários:
Postar um comentário