O termo “arquitetura de segurança” pode ser empregado com conotações diferentes, para isso, uma arquitetura de segurança consiste na definição de conceitos e de terminologias que formam um esquema básico para o desenvolvimento de um protocolo.
No caso específico da Internet, a arquitetura de segurança deve fornecer um conjunto de orientações voltadas para o projeto de redes e desenvolvimento de produtos e não apenas para os protocolos. Isso sugere que a arquitetura de segurança da Internet englobe não apenas definições de conceitos como faz o padrão ISO / OSI, mas inclua adicionalmente orientações mais específicas sobre como e onde implementar os serviços de segurança na pilha dos protocolos da Internet. Esta visão alinha-se com a filosofia que enfatiza a interoperabilidade entre sistemas, produzindo padrões que tendem a ser menos genéricos que os padrões estabelecidos pelo modelo OSI.
Tudo indica que a segurança da Internet deve adotar uma definição de serviços, mecanismos e ameaças segundo o padrão OSI. Entretanto, a adoção da terminologia usada não implica na adoção dos mapeamentos dos serviços nas camadas OSI e dos mecanismos de segurança nos serviços implementados nessa arquitetura. Além dos princípios de segurança no modelo OSI, devem ser adicionados os seguintes princípios para a escolha dos mecanismos de segurança para a Internet:
-
Mecanismos escaláveis com capacidade e potencial para acompanhar o crescimento da Internet;
-
Segurança apoiada na tecnologia que os suporta, por exemplo, em algoritmos e protocolos que sejam seguros, isto é, que não possuam falhas intrínsecas;
-
Não devem restringir a topologia da rede;
-
Não estejam sujeitos às restrições de controle de exportação ou patentes.
É sabido que muitos mecanismos de segurança necessitam de uma infraestrutura de apoio e o seu gerenciamento pode ser tão ou mais complexo que a implementação do próprio mecanismo. Assim, deve-se dar preferência às tecnologias de segurança que possam compartilhar uma infraestrutura de segurança comum. Por exemplo, os algoritmos de criptografia selecionados para padronização na Internet devem ser amplamente conhecidos e devendo ser dada preferência aos que tiverem sido exaustivamente testados. A escolha adequada de software e hardware específicos de segurança computacional também eleva o nível de segurança e resguarda a rede local de imprevistos cujas consequências são lastimáveis. Nada irá suprir as perdas ocasionadas pela não observação das fragilidades, pois elas serão na maioria das vezes irrecuperáveis.
Um Firewall ou um Proxy bem escolhidos e direcionados para as atividades da rede certamente favorecerá a segurança e evitará grande parte dos transtornos e aborrecimentos, todavia esses equipamentos por si só não são a garantia da total segurança. Uma política de segurança bem definida, o uso adequado de senhas, a divisão dos usuários em grupos e a administração correta dos recursos computacionais correspondem a medidas que se complementam e devem ser adotadas.
José Maurício Pinheiro
