O que é modelo OSI, seus ataques, e como se proteger

OSI (Open Systems Interconnection) é um modelo de referência de como os aplicativos se comunicam em uma rede. Este modelo se concentra em fornecer um design visual de como cada camada de comunicação é construída sobre a outra, começando com o cabeamento físico, até o aplicativo que está tentando se comunicar com outros dispositivos em uma rede.

Um modelo de referência é uma estrutura conceitual para compreender relacionamentos. O objetivo do modelo de referência OSI é orientar os fornecedores e desenvolvedores de tecnologia para que os produtos de comunicação digital e programas de software que eles criam possam interoperar e promover uma estrutura clara que descreva as funções de um sistema de rede ou de telecomunicações em uso.

A maioria dos fornecedores envolvidos em telecomunicações tenta descrever os seus produtos e serviços em relação ao modelo OSI. Isto os ajuda a diferenciar entre os vários protocolos de transporte, esquemas de endereçamento e métodos de empacotamento de comunicações. E, embora seja útil para orientar a discussão e a avaliação, o modelo OSI é de natureza teórica e deve ser usado apenas como um guia geral. Isso ocorre porque poucos produtos de rede ou ferramentas padrão mantêm funções relacionadas juntas em camadas bem definidas, como é o caso do modelo OSI. O conjunto de Protocolo de Controle de Transmissão/Protocolo de Internet (TCP/IP), por exemplo, é o protocolo de rede mais amplamente usado, mas ainda não é mapeado de forma clara para o modelo OSI.

História do modelo OSI

Na década de 1970, os pesquisadores de tecnologia começaram a examinar como os sistemas de computador poderiam se comunicar melhor entre si. Nos anos seguintes, vários modelos concorrentes foram criados e publicados para a comunidade. No entanto, foi somente em 1984 que a Organização Internacional de Padronização (ISO) aproveitou o melhor dos modelos de referência de redes concorrentes para propor o OSI como uma forma de finalmente criar uma estrutura que as empresas de tecnologia em todo o mundo pudessem usar como base para seus projetos. tecnologias de rede.

Do ponto de vista da ISO, a maneira mais fácil de criar um modelo conceitual era organizar os modelos em diferentes camadas de abstração necessárias para organizar e enviar dados entre sistemas de computação. Olhar dentro de cada camada abstraída para ver os detalhes mostra uma parte desse processo de comunicação de rede. Cada camada pode ser considerada um módulo de comunicação separado ou uma peça do quebra-cabeça. Mas, para realmente atingir o objetivo de enviar dados de um dispositivo para outro, cada módulo deve funcionar em conjunto.

Como funciona o modelo OSI

Profissionais de redes de tecnologia da informação (TI) usam OSI para modelar ou conceituar como os dados são enviados ou recebidos em uma rede. Compreender isso é uma parte fundamental da maioria das certificações de redes de TI, incluindo os programas de certificação Cisco Certified Network Associate (CCNA) e CompTIA Network+. Conforme mencionado, o modelo foi projetado para dividir padrões, processos e protocolos de transmissão de dados em uma série de sete camadas, cada uma das quais é responsável por executar tarefas específicas relativas ao envio e recebimento de dados.

O conceito principal do OSI é que o processo de comunicação entre dois terminais em uma rede pode ser dividido em sete grupos distintos de funções ou camadas relacionadas. Cada usuário ou programa em comunicação está em um dispositivo que pode fornecer essas sete camadas de função.

Nesta arquitetura, cada camada atende a camada acima dela e, por sua vez, é atendida pela camada abaixo dela. Assim, em uma determinada mensagem entre usuários, haverá um fluxo de dados que desce pelas camadas do computador de origem, atravessa a rede e depois sobe pelas camadas do computador receptor. Somente a camada de aplicação no topo da pilha não fornece serviços para uma camada de nível superior.

As sete camadas de função são fornecidas por uma combinação de aplicativos, sistemas operacionais (SOs), drivers de dispositivos de placa de rede, hardware de rede e protocolos que permitem que um sistema transmita um sinal através de uma rede através de vários meios físicos, incluindo par trançado de cobre, fibra óptica, Wi-Fi ou Long-Term Evolution (LTE) com 5G.

As 7 camadas do modelo OSI

Qual é a função de cada camada do modelo OSI? As sete camadas de interconexão de sistemas abertos são as seguintes.

Camada 7 – A camada de aplicação

A camada de aplicação permite que o usuário – humano ou software – interaja com a aplicação ou rede sempre que o usuário optar por ler mensagens, transferir arquivos ou executar outras tarefas relacionadas à rede. Os navegadores da Web e outros aplicativos conectados à Internet, como Outlook e Skype, usam protocolos de aplicativos da Camada 7.

Abaixo, listamos os principais tipos de ataque de camada 7: 

• Ataques de Injeção de Código: Exploram vulnerabilidades em entradas do usuário, inserindo códigos maliciosos que comprometem a integridade do sistema.

• Ataques de Negação de Serviço (DoS ou DDoS) na Camada de Aplicação: Sobrecarregam serviços específicos, impedindo o acesso legítimo e causando interrupções.

• Cross-Site Scripting (XSS): Injeta scripts maliciosos em páginas web visitadas por outros usuários, comprometendo a segurança e privacidade dos mesmos.
• Cross-Site Request Forgery (CSRF): Manipula a execução de comandos em nome do usuário sem seu consentimento, muitas vezes explorando sessões autenticadas.

• Ataques de Fingerprinting: Identificam tecnologias específicas em uso, facilitando futuros ataques direcionados com base nas vulnerabilidades conhecidas dessas tecnologias.

Para se proteger na camada 7 é indicado usar firewalls de aplicação, validar entradas de usuário, manter controle de acesso e autenticação fortes, monitorar logs, aplicar atualizações regularmente, atualizar recursos de WAF, criptografar dados, defender-se contra DDoS na camada de aplicação e realizar testes de segurança com educação contínua da equipe. 

Camada 6 – A camada de apresentação

A camada de apresentação traduz ou formata dados para a camada de aplicação com base na semântica ou sintaxe que a aplicação aceita. Essa camada também lida com a criptografia e descriptografia exigidas pela camada de aplicativo.

Abaixo, listamos os principais tipos de ataque de camada 6: 

• Ataques de Encriptação e Descriptação: Buscam explorar vulnerabilidades nos algoritmos de criptografia, comprometendo a confidencialidade dos dados durante a transmissão.

• Ataques de Compressão: Visam manipular algoritmos de compressão para explorar falhas e potencialmente ganhar acesso não autorizado aos dados comprimidos.

• Manipulação de Formato de Dados: Ataques que exploram fragilidades na interpretação de formatos de dados, podendo resultar em interpretações erradas ou execução de código indesejado.

• Exclusão de Conteúdo ou Características de Apresentação: Tenta remover ou alterar características específicas dos dados apresentados, impactando a experiência do usuário ou induzindo a interpretação incorreta.

• Ataques de Esteganografia: Escondem dados maliciosos dentro de dados aparentemente inofensivos, visando passar despercebidos durante a transmissão.

Para proteger-se nessa camada é recomendado utilizar técnicas adequadas de criptografia para garantir a integridade e confidencialidade dos dados transmitidos. Certifique-se de implementar práticas seguras na manipulação de formatos de dados, evitando vulnerabilidades como a execução de código malicioso durante o processamento. Além disso, esteja atento à validação e autenticação dos dados para prevenir ataques que visam manipular a representação dos dados. 

Camada 5 – A camada de sessão

A camada de sessão configura, coordena e encerra conversas entre aplicativos. Seus serviços incluem autenticação e reconexão após uma interrupção. Esta camada determina quanto tempo um sistema aguardará a resposta de outro aplicativo. Exemplos de protocolos de camada de sessão incluem X.225 e Zone Information Protocol (ZIP).

Abaixo, listamos os principais tipos de ataque de camada 5:

• Sequestro de Sessão (Session Hijacking): Um atacante intercepta e assume o controle de uma sessão ativa entre dois pontos, podendo resultar em acesso não autorizado.

• Negociação de Sessão: Ataques que visam comprometer o processo de estabelecimento de sessão, manipulando as negociações para obter vantagens indevidas.

• Ataques de Replay: O atacante grava e reproduz informações de sessões anteriores para realizar ações não autorizadas, aproveitando-se da reutilização de dados.

• Redirecionamento de Sessão: Manipulações que direcionam uma sessão válida para um destino não autorizado, comprometendo a confidencialidade e integridade dos dados.

• Ataques de Encerramento de Sessão (Session Termination Attacks): Táticas que tentam encerrar prematuramente uma sessão, impactando a comunicação legítima entre sistemas.

Para se proteger na camada 5, é recomendado implementar mecanismos seguros de autenticação e autorização para verificar a identidade dos participantes da sessão. Utilize protocolos seguros de gerenciamento de sessão para proteger a integridade e a confidencialidade das informações trocadas. Esteja atento a possíveis ataques de negação de serviço (DoS) direcionados às sessões, garantindo a disponibilidade do serviço. 

Camada 4 – A camada de transporte

A camada de transporte é responsável pela transferência de dados através de uma rede e fornece mecanismos de verificação de erros e controles de fluxo de dados. Ele determina quantos dados enviar, para onde serão enviados e a que taxa. O TCP dentro do conjunto TCP/IP é o exemplo mais conhecido da camada de transporte. É aqui que as comunicações selecionam os números das portas TCP para categorizar e organizar as transmissões de dados em uma rede.

Abaixo, listamos os principais tipos de ataque de camada 4:

• Ataques SYN Flood (Ataque de Inundação SYN): Saturam um servidor alvo com solicitações SYN falsas, esgotando os recursos e impedindo novas conexões legítimas.

• Ataques de Flood UDP: Sobrecarregam um servidor alvo enviando uma grande quantidade de pacotes UDP, visando congestionar a largura de banda e causar indisponibilidade.

• Ataques de Negação de Serviço (DoS) na Camada de Transporte: Sobrecarregam a capacidade de processamento dos dispositivos alvo, tornando-os inacessíveis para usuários legítimos.

• Manipulação de Sequência de Números: Tentativas de manipular a ordem dos números de sequência nos pacotes, comprometendo a integridade das comunicações e permitindo ataques de spoofing.

• Ataques de Desvio de Rota (Route Hijacking): Ocorrem quando um atacante intercepta e redireciona o tráfego para um destino não autorizado, comprometendo a confidencialidade e integridade dos dados transmitidos.

Na camada 4, focada no transporte, é essencial controlar o acesso através de políticas de autorização. A utilização de firewalls específicos nessa camada permite monitorar e controlar o tráfego com base em portas e protocolos. A adoção de protocolos de segurança como TLS/SSL garante a criptografia da comunicação para preservar a confidencialidade e integridade dos dados durante a transmissão. Medidas contra ataques de negação de serviço (DoS) na camada de transporte são fundamentais para assegurar a disponibilidade dos serviços. Monitorar ativamente as conexões ajuda a identificar comportamentos suspeitos, como tentativas de estabelecimento de conexões maliciosas, fortalecendo a segurança nessa camada.

Camada 3 – A camada de rede

A principal função da camada de rede é mover dados para e através de outras redes. Os protocolos da camada de rede realizam isso empacotando os dados com informações corretas de endereço de rede, selecionando as rotas de rede apropriadas e encaminhando os dados empacotados pela pilha até a camada de transporte. Do ponto de vista TCP/IP, é aqui que os endereços IP são aplicados para fins de roteamento.

Abaixo, listamos os principais tipos de ataque de camada 3: 

• Ataques de Roteamento Malicioso (Routing Attacks): Tentativas de modificar as tabelas de roteamento para direcionar o tráfego através de caminhos não autorizados, comprometendo a entrega correta dos dados.

• Ataques de Spoofing de IP: Falsificação do endereço IP de origem para enganar dispositivos e servidores sobre a verdadeira origem do tráfego, muitas vezes facilitando outros ataques, como o Man-in-the-Middle.

• Ataques DoS na Camada de Rede: Sobrecarregam os recursos da rede, tornando-a inacessível para usuários legítimos, muitas vezes através de uma inundação de tráfego.

• Ataques ICMP Flood: Utilização excessiva de mensagens ICMP para sobrecarregar a rede alvo, afetando o desempenho e prejudicando a disponibilidade.

• Ataques de Fragmentação IP: Manipulação maliciosa do tamanho dos fragmentos de pacotes IP, explorando vulnerabilidades nos sistemas de remontagem para comprometer a integridade dos dados.

Na camada 3, centrada no roteamento, a proteção envolve o estabelecimento de filtros de pacotes para controlar o tráfego com base em endereços IP e portas. A implementação de VPNs cria conexões seguras e criptografadas entre redes, assegurando a confidencialidade dos dados transmitidos. Firewalls de rede operando nessa camada monitoram e controlam o tráfego conforme regras de roteamento estabelecidas. A detecção de intrusões ajuda a identificar atividades maliciosas na rede, enquanto a segmentação da rede em segmentos isolados limita o impacto potencial de violações de segurança. Essas práticas fortalecem a segurança na camada 3, garantindo um roteamento eficiente e protegendo contra ameaças à integridade e confidencialidade dos dados.

Camada 2 – A camada de enlace de dados

O link de dados, ou camada de protocolo, em um programa lida com a movimentação de dados para dentro e para fora de um link físico em uma rede. Esta camada trata de problemas que ocorrem como resultado de erros de transmissão de bits. Ele garante que o ritmo do fluxo de dados não sobrecarregue os dispositivos de envio e recebimento. Esta camada também permite a transmissão de dados para a Camada 3, a camada de rede, onde são endereçados e roteados.

A camada de enlace de dados pode ser dividida em duas subcamadas. A camada superior, chamada de controle de link lógico (LLC), é responsável pela multiplexação, controle de fluxo, reconhecimento e notificação das camadas superiores se ocorrerem erros de transmissão/recepção (TX/RX).

A subcamada de controle de acesso à mídia é responsável por rastrear quadros de dados usando endereços MAC do hardware de envio e recebimento. Também é responsável por organizar cada quadro, marcando os bits iniciais e finais e organizando o tempo de quando cada quadro pode ser enviado ao longo do meio da camada física.

Abaixo, listamos os principais tipos de ataque de camada 2: 

• Ataques de MAC Spoofing: Falsificação do endereço MAC para ganhar acesso não autorizado à rede, muitas vezes explorando a confiança baseada nos endereços MAC.

• Ataques ARP Spoofing (Envenenamento ARP): Manipulação da tabela ARP para associar endereços IP a endereços MAC falsos, direcionando o tráfego para um local indesejado.

• Ataques de Switch Flood: Envia uma grande quantidade de tráfego não solicitado para um switch, sobrecarregando suas capacidades e potencialmente expondo todo o tráfego da rede.

• Ataques de VLAN Hopping: Explora vulnerabilidades em configurações inadequadas de redes VLAN, permitindo a um invasor acessar tráfego de VLANs diferentes.

• Ataques de Spanning Tree Protocol (STP) Manipulation: Manipulação maliciosa do STP para criar loops na rede, causando congestionamento e interrupção do tráfego.
  
• A camada 2 é onde ocorre a comutação de dados e controle de acesso ao meio físico, sendo assim, a proteção é crucial. Isso inclui o estabelecimento de controles de acesso, garantindo que apenas dispositivos autorizados possam se comunicar na rede. Além disso, a implementação de VLANs (Virtual Local Area Networks) possibilita a segmentação lógica da rede, reduzindo a exposição a possíveis ameaças. Medidas de segurança como STP (Spanning Tree Protocol) ajudam a evitar loops na topologia de rede, aumentando a estabilidade. A autenticação de dispositivos na camada 2 contribui para a prevenção de acessos não autorizados.

Camada 1 – A camada física

A camada física transporta dados usando interfaces elétricas, mecânicas ou procedimentais. Esta camada é responsável por enviar bits de computador de um dispositivo para outro ao longo da rede. Ele determina como as conexões físicas com a rede são configuradas e como os bits são representados em sinais previsíveis à medida que são transmitidos eletricamente, opticamente ou por ondas de rádio.

Abaixo, listamos os principais tipos de ataque de camada 1: 

• Ataques de Interferência Eletromagnética (EMI): Utilização de campos eletromagnéticos para interferir na transmissão de dados por meio de cabos ou sinais de rádio, comprometendo a qualidade da comunicação.

• Ataques de Escuta (Wiretapping): Captura não autorizada de sinais elétricos transmitidos por cabos, permitindo a interceptação e análise de dados sensíveis.

• Ataques de Injeção de Sinal (Signal Injection): Introdução de sinais elétricos maliciosos no meio de transmissão, podendo levar à corrupção de dados ou interferência nas comunicações.

• Ataques de Roubo de Cabos: Furtos físicos de cabos de comunicação para interromper ou comprometer a conectividade de rede.

• Ataques de Destruição Física: Danos físicos a componentes de rede, como cortes de cabos ou destruição de infraestrutura, causando interrupção total na comunicação.

Nesta camada, a ênfase está na proteção física da infraestrutura. Isso inclui o controle de acesso às instalações que abrigam equipamentos de rede, a implementação de medidas de segurança para evitar interferências eletromagnéticas, e a garantia de integridade dos cabos e conectores. Além disso, a gestão adequada de cabos reduz o risco de danos acidentais. A proteção na camada 1 é fundamental para assegurar a confiabilidade e a disponibilidade da infraestrutura física de rede.

Funções entre camadas

As funções entre camadas, ou serviços que podem afetar mais de uma camada, incluem o seguinte:

• Telecomunicações de serviços de segurança, conforme definido pela recomendação X.800 do Setor de Padronização da União Internacional de Telecomunicações (UIT-T);
• Funções de gestão que permitem a configuração, instanciação, monitorização e terminação das comunicações de duas ou mais entidades;
• Multiprotocol Label Switching (MPLS), que opera em uma camada de modelo OSI que fica entre a camada de enlace de dados da Camada 2 e a camada de rede da Camada 3 – o MPLS pode transportar uma variedade de tráfego, incluindo quadros Ethernet e pacotes IP;
• O Address Resolution Protocol (ARP) traduz endereços IPv4 (OSI Layer 3) em endereços Ethernet MAC (OSI Layer 2);
• Sistema de nomes de domínio (DNS), que é um serviço de camada de aplicativo usado para pesquisar o endereço IP de um nome de domínio.

Prós e contras do modelo OSI

O modelo OSI tem uma série de vantagens, incluindo as seguintes:

• É considerado um modelo padrão em redes de computadores.
• O modelo suporta serviços sem conexão, bem como serviços orientados a conexão. Os usuários podem aproveitar os serviços sem conexão quando precisarem de transmissões de dados mais rápidas pela Internet e o modelo orientado à conexão quando procuram confiabilidade.
• Possui flexibilidade para se adaptar a muitos protocolos.
• O modelo é mais adaptável e seguro do que agrupar todos os serviços em uma camada.

As desvantagens do modelo OSI incluem o seguinte:

• Não define nenhum protocolo específico.
• A camada de sessão, usada para gerenciamento de sessões, e a camada de apresentação, que lida com a interação do usuário, não são tão úteis quanto outras camadas do modelo OSI.
• Alguns serviços são duplicados em várias camadas, como as camadas de transporte e de enlace de dados.
• As camadas não podem funcionar em paralelo; cada camada deve esperar para receber dados da camada anterior.