Pim V

Prévia do material em texto

UNIVERSIDADE PAULISTA – UNIP
PROJETO INTEGRADO MULTIDICIPLINAR V – PIM V
CURSOS SUPERIORES DE TECNOLOGIA
PESQUISAS
 
		Gestão de Acesso para Acesso Remoto – VPN em Home Office
 UNIP POLO Tatuapé
 2021
 UNIVERSIDADE PAULISTA – UNIP
PROJETO INTEGRADO MULTIDICIPLINAR V – PIM V
CURSOS SUPERIORES DE TECNOLOGIA
 PESQUISAS
 
	 Gestão de Acesso para Acesso Remoto – VPN em Home Office
 Nome: Renan Gustavo Alves
 RA: 2003663
 Curso: Segurança da Informação
								 Semestre: 3º DP
	 UNIP POLO Tatuapé 
 2021
				 RESUMO 
O trabalho consiste em mostrar um projeto com o objetivo principal de apresentar os resultados de pesquisas realizadas no intuito de desenvolver e estabelecer as melhores práticas para um acesso remoto, pois devido a pandemia entende se que há uma necessidade maior de segurança além de treinamento para política de acesso remoto o que visa prevenir principais ataques que podem ocorrer pela internet. Torna-se essencial propor configurações técnicas da segurança para os sistemas operacionais nas estações de trabalho, descartando por absoluto qualquer possível fontes de fragilidade na segurança, localizando as vulnerabilidades e ameaças principais existentes. Efetuando a verificação destas ameaças e vulnerabilidades, será proposto configurações de segurança para os sistemas operacionais que fazem parte das estações de trabalho que foram destinadas para o acesso remoto externo. No conjunto do projeto, foram aplicados os fundamentos dos conhecimentos adquiridos nas disciplinas Criptografia e Certificação Digital, Segurança em Redes de Computadores, Economia e Mercado e Leis, Políticas e Normas de Segurança da Informação, que fora m diretrizes para o desenvolvimento do Projeto.
Palavras-Chaves: VPN em home office
				ABSTRACT
The project was based on research on laws that support data collection from the registrant to the single registry, where there is fraud, guidelines will be suggested to reduce possible fraud. The work consists of presenting a project with the main objective of presenting the results of research carried out in order to develop and establish the best practices for remote access, because due to the pandemic it is understood that there is a great er need for security in addition to training for policy remote access which aims to prevent major attacks that can occur on the web. It become s essential to propose technical security configurations for operating systems on workstation s, ruling out any possible sources of security weaknesses, locating the main vulnerabilities and threats that exist. After verifying these threats and vulnerabilities, security settings will be proposed for the operating systems that are part of the workstations that were intended for external remote access. In the project as a whole, the fundamentals of knowledge acquired in the disciplines Cryptography and Digital Certification, Security in Computer Networks, Economics and Market and Laws, Policies and Standards of Information Security were applied, which were guideline s for the development of the Project.
Key Keywords: VPN at home office. 
SU M Á R I O
1. Introdução..................................................................................................6
2. Metodologia...............................................................................................7
3. Criptografia................................................................................................8
3.1. Chaves e Protocolos................................................................9
3.2. Duplo Fator de Autenticidade.................................................9
3.3. Autenticação Multifator MFA................................................10
3.4. Como configurar a MFA.........................................................11
4. Certificação Digital....................................................................................12
4.1. Funcionamento do Certificado................................................12
4.2. Certificado A1.........................................................................13
4.3. Certificado A3.........................................................................13
5. O que é VPN...............................................................................................14
5.1. VPN – Virtual Private Network(Rede Privada Virtual)...........15
5.2. Arquitetura da VPN..................................................................16
6. Conclusão....................................................................................................17
7. Referências Bibliográficas...........................................................................18
1 INTRODUÇÃO
Na atualidade em que vivemos, uma grande mudança causada pela pandemia da COVID-19 foi a alteração na maneira das empresas trabalharem onde uma grande massa migrou para o trabalho remoto, essa mudança sem planejamento teve consequências, houve um grande aumento na vulnerabilidade das redes corporativas Nos dias de hoje, o ambiente d e home office tem um foco maior ao se tornar a extensão da empresa. É visto a necessidade de aperfeiçoamento nesta modalidade que está em alta a ponto de incluí-lo no planejamento estratégico dos negócios, tal como em sua segurança corporativa. A prioridade é reforça r seus níveis de segurança cibernética e impedir cyber ataques, já que a maioria dos especialistas em cyber segurança teme um aumento de ameaças como resultado d a nova modalidade mista de trabalho presencial e remoto. Ainda segundo esses profissionais, metade apontam que os ataques direcionados aos endpoints em ambientes domésticos são uma grande preocupação, seguidos por a taques contra os dispositivos móveis de funcionários. Ao identificar possíveis fraudes propor um, código de conduta que seja possível uma segurança maior.
2 Metodologia - Desenvolvimento do Projeto
Tipo de pesquisa: O trabalho realizado a seguir é de natureza qualitativa e acadêmica. Dados a serem obtidos: Os dados serão diretamente relacionados à estrutura de uma VPN especificamente com duplo fator de autenticidade na utilização de um escritório de advocacia que atualmente atua 100% home office. Limitações da pesquisa: Tendo em vista a realidade de a pesquisa ser apenas teórica, ou seja, não ser apresentado traços práticos, nos impede de saber a veracidade d o projeto abordado. Outra limitação será o teste prático em campo, que não será realizado. Tratamento e análise do s dados: Separação por assunto, leitura e resumo dos artigos e matérias, para que seja realizado o trabalho. Forma de pesquisa: Serão realizadas pesquisas através da internet.
3 Criptografia
 Hoje em dia, na chamada era digital ou era da informação, é difícil não pensar em criptografia quando falamos em proteção e segurança da informação. De forma simples, a cripto grafia é um conjunto de técnicas pensadas para proteger umainformação de modo que apenas emissor e receptor consigam compreendê-la. O protocolo de criptografia pode ser mais ou menos elaborado e técnicas como essas existem desde a antiguidade, com o primeiro sistema de criptografia conhecido tendo surgido no Egito, cerca de 1.900 anos antes de Cristo. A criptografia tem um apelo especial para assuntos ligados a guerra, mas comerciantes e governantes também podem ver na criptografia uma saída para evitar que pessoas não autorizadas descubram informações sobre suas estratégias, por exemplo. A ideia básica é que este sistema de técnicas cifre uma informação que somente será de cifrada por pessoas autorizadas, sem acessos indevidos no caminho.
3.1 Chaves e protocolos
As chaves podem ser simétricas (quando a mesma chave privada é usada nas duas pontas da transmissão — emissão e recepção) ou assimétricas (quando as chaves de criptografia e descriptografia são distintas, sendo uma pública e a outra privada). Elas são geradas por algoritmos que criam uma sequência de caracteres específica para cada processo. As chaves podem ter tamanhos distintos e, quanto maiores, mais seguras elas se tornam. 
Criptografia Simétrica
 Conhecida por ser uma chave secreta e atualmente muito utilizada. DES, 3DES, AES e RC4 são apenas alguns dos algoritmos que usam criptografia simétrica.
Criptografia Assimétrica
Por outro lado, criptografia assimétrica se trata de uma criptografia de chave pública. Sua forma de usar, é através de um par de chaves distintas (chave privada e chave pública). A chave pública é utilizada para cifrar (encriptar, “esconder”). A chave privada é utilizada para decifrar (desencriptar, “revelar”).
3.2 Duplo Fator de Autenticidade
Os sistemas de duplo fator de autenticação em conjunto com o sistema tradicional de senhas são muito mais seguros do que o simples uso de credenciais. Muitos dos ataques que foram divulgados nos últimos meses não teriam ocorrido se houvesse um sistema de duplo fator de autenticação implementado. Inclusive se um atacante consegue infecta r um equipamento e roubar uma senha, não poderá acessar a conta associada à mesma, pois não teriam o código de acesso. De uma forma geral, a autenticação de dois fatores nada mais é do que uma ferramenta de segurança digital que busca impedir que contas, páginas, redes, perfis, entre outros prestadores de serviço online sejam comprometidos na internet. Normalmente, o duplo fator de autenticação entra em ação no momento do login a um sistema, adicionando uma cama da a mais de verificação de identidade para o usuário. Ou seja, além de ser necessário informar a senha de acesso, também será preciso incluir um código temporário que pode ser enviado por um canal secundário ou gerado na mesma hora. Assim, a senha não é mais o único recurso de proteção. Sabemos que existem outras soluções para com por um sistema de segurança, mas esse se torna um dos principais recursos que os negócios estão adotando para proteger a sua parte digital. Neste projeto será proposto o uso da VPN com o duplo fator de autenticidade para um escritório de advocacia, onde na pandemia 100% de seus funcionários atuam em home office, se tornando tão indispensável, pois o tráfico de informações em sua rede corporativa é totalmente sigiloso, será detalhado mais adiante.
3.3 Autenticação Multifator (MFA)
 A autenticação multifator, ou do inglês MFA (Multi Factor Authentication), acrescenta uma camada extra de segurança à conta. Essa camada extra no ambiente do Cliente pode rá ser ativada manualmente pelo usuário, assim, além da tradicional combinação de usuário e senha, também será exigida uma confirmação no aplicativo de autenticação no dispositivo móvel para que o acesso seja efetuado. O uso do MFA torna o acesso mais seguro, porque se baseia em duas formas de autenticação: algo que você sabe e algo que você tem com você. Algo que você sabe é a sua senha. Algo que você tem com você é um telefone ou dispositivo que você normalmente carrega. O seu uso pode ajudar a evitar a ação de hackers mal-intencionado s fingindo ser você, porque, mesmo que eles tenham sua senha, provavelmente eles não têm o seu dispositivo. Após a ativação do MFA pelo navegador, será necessário pesquisar na loja de aplicativos e instalar o App Microsoft Authenticator no dispositivo móvel. Microsoft Authenticator está disponível para Android e IOS. Há duas formas de se autenticar pelo aplicativo: por notificação ou por Senha de Uso Único (OTP – One Time Password): • Notificação: Uma notificação é enviada ao aplicativo no smartphone ou tablet do usuário. O usuário toca em Aprovar para se autenticar ou Rejeitar caso não reconheça o login na quele momento. • Token: Como alternativa, nos casos de indisponibilidade de internet no dispositivo móvel, o aplicativo também pode ser utilizado como um gerador de senhas de uso único (token) renováveis a cada 30 segundos para autenticação off-line. O usuário entra com esse token na tela de login para se autenticar.
3.4 COMO CONFIGURAR A MFA
1. No seu computador pessoal ou no computador do TJSP, ao digitar a senha pessoal pela primeira vez após a ativação do MFA, será necessário seguir um passo a passo para configurar o App. Confirme se o e-mail utilizado está correto e clique em Avançar.
2. No seu computador pessoal ou no computador do TJSP, na próxima tela será solicitada a instalação do App Microsoft Authenticator ou, caso prefira, poderá ser utilizado outro, clicando em “Desejo usar um aplicativo autenticador diferente”. Feita a instalação, clique em Próximo.
3. No seu celular, instalar o app. Após a instalação, será necessária a inclusão da sua conta corporativa. Se for solicitado, permita as notificações no celular para este aplicativo e adicione uma conta tipo “Corporativa ou de estudante”.
4. Agora será exigido pelo aplicativo que seja escaneado o código QR apresentado na tela do seu computador pessoal ou no computador do TJSP. Caso não seja possível escanear, poderá clicar em “Não consegue digitalizar a imagem?” para que seja digitado o código manualmente.
5. Na próxima etapa será enviada uma notificação de teste para o celular, devendo ser aprovada para dar continuidade na configuração.
6. Ao avançar, a mensagem de “Êxito!” deverá ser apresentada. Basta clicar em concluído e o MFA estará configurado.
4.0 Certificação Digital 
Em tempos de tantas fraudes, principalmente no que diz respeito às transações eletrônicas, é comum que a preocupação com a segurança das informações trocadas no ambiente virtual impossibilite o acesso das pessoas a muitas facilidades oferecidas pela internet. Pois para essa preocupação já existe uma solução e o nome dela é Certificação Digital. Certificado digital é um documento eletrônico que atesta, identifica e representa pessoas físicas e jurídicas em atos praticados no meio digital. É possível encontrar o certificado digital em alguns formatos dentro da cadeia da ICP-Brasil, contudo, é preciso se atentar a estes formatos para que o certificado digital funcione em seu emissor de notas, por exemplo.
4.1 Funcionamento do Certificado
O certificado que será emitido para cada usuário será fornecido pela empresa Valid, o mesmo será validado por um analista da empresa e o usuário para sua utilização deverá efetuar o download e a instalação do software Safesign.
Após instalação verificar se o certificado é reconhecido pelo token: Modo de verificar: Menu Iniciar / Todos os programas / Safesign / Administrador de Token
4.2 Certificado A1 
O certificado digital A1, conhecido também por e-CPF A1 ou e-CNPJ A1, é o certificado mais usado atualmente. Isso porque é um dos mais requisitados pelos sistemas de notas fiscais no caso dos certificados para pessoa jurídica, devido ser gerado em formato de arquivo isso aumenta sua compatibilidade com diversos sistemas de NF. O certificado PF A1 ou e-CPF A1, que deve ser emitido para pessoa física, é muito utilizado para declaração de imposto de renda(IRPF) principalmente.Portanto, para realizar o processo de declaração de imposto de renda com certificado digital essa será a melhor escolha. O certificado PJ A1 ou e-CNPJ A1, que deve ser emitido para pessoa jurídica além de ser muito utilizado para assinatura de notas fiscais(NFe), também pode ser usado como ferramenta para declaração de imposto de renda de pessoa jurídica(IRPJ). Outra característica importante do certificado digital A1, é sua validade limitada a 12 meses. Atente-se ao adquirir o e-CPF A1 ou e-CNPJ A1, se ele atende aos requisitos do sistema no qual deseja utilizar, pois talvez o certificado digital A3 seja a melhor escolha. 
 4.3 Certificado A3 
O certificado digital A3, conhecido também por e-CPF A3 ou e-CNPJ A3, é o certificado com maior prazo de validade, podendo alternar em 12, 24 e 36 meses. Essa é uma característica forte do certificado A3. Comumente usado por pessoas físicas, ele é ótima opção para quem deseja ficar despreocupado com renovação anual do certificado. O certificado PF A3 ou e-CPF A3, que deve ser emitido para pessoa física, é muito utilizado para declaração de imposto de renda(IRPF). O grande diferencial do Certificado A3 para Pessoa Física é sua validade estendida, assim garantindo tranquilidade durante um bom tempo. Outra característica importante do certificado digital A3, é sua emissão, o certificado A3 pode se r encontrado em 2 dispositivos criptográficos, kit A3 com Token ou kit A3 com cartão(é necessário uso de leitora. Além do leitor de cartão se rá necessário a instalação do SAFESIGN software oferecido pela certisign.com.br, a escolha para o cliente será o certificado A3 devido a necessidade jurídica em assinar processos e documentos judiciais.
5 O que é VPN? 
 Existem diversas maneiras de definir o que é uma VPN; descrever uma VPN baseando-se em seus componentes pode ser um tanto complicado, tendo em vista que uma V PN pode ser criada d e diversas formas. Uma VPN é constituída de equipamentos, software, protocolos de comunicação e algoritmos de criptografia, integridade e autenticação . Também é constituída de conexões, usuários e políticas de segurança, para realizar a tarefa d e criar um a comunicação segura sobre uma rede pública. Talvez uma maneira correta de detalhar uma VPN seja defini-la a partir de sua f unção: criando uma rede privada e confiável de dados entre dois ou m ais pontos, sobre uma rede pública não confiável, de baixo custo operacional. A Internet é uma rede pública e é considerada insegura, pois todas as informações estão sujeitas a interceptação. A VP N vem de encontro a essa necessidade de segurança dentro d a rede. Ela permite a interligação das redes locais de uma empresa que estão em regiões geográficas diferentes. Utiliza a própria rede pública para fazer a interligação, mas o canal é seguro e ajustável às necessidades da empresa em questão.
5.1 VPN - Virtual Private Network (Rede Privada Virtual) 
Um número cada vez maior de pessoas estão utilizando as VPNs para navegar pela internet. A sigla VPN significa Virtual Private Network (Rede Privada Virtual). Ela é uma ferramenta fácil e eficiente que oferece três recursos essenciais para se navegar online: mais segurança, privacidade online e liberdade. Quando se usa a internet, acontece um processo constante de troca de dados entre seu dispositivo e outra s partes na web. Uma VPN, ou Rede Privada Virtual, cria um túnel seguro entre seu dispositivo (por exemplo, smartphone ou notebook) e a Internet. A VPN permite que você envie seus dados por meio de uma conexão segura e criptografada para um servidor externo: o servidor VPN. A partir daí, seus dados serão encaminhados ao seu destino na internet. Formar uma conexão segura com um servidor externo estabelece três coisas. Primeiro, ajuda a ocultar o endereço IP real. Em segundo lugar, ele protege os dados. E terceiro, nos permite utilizar a Internet com mais liberdade.
5.2 Arquitetura da VPN
De acordo com o mercado atual e com base na economia diante do cenário diferenciado em meio a pandemia será proposto a utilização de uma VPN que faça o acesso seguro do usuário ao servidor de domínio da empresa, garantindo a segurança do usuário que se conectará na rede da empresa garantindo a segurança contra ameaças virtuais, o fato r do MFA complementa a segurança garantindo possíveis riscos de invasão (estará no ambiente da empresa sem sair de casa).
6 CONCLUSÃO 
Conclui-se deste trabalho acadêmico que a implantação de um sistema de VPN com duplo fator de autenticidade não é uma tarefa fácil, sequer barata, porém o investimento garantirá a segurança dos dados, pois um grande escritório de advocacia onde armazena grande quantidade de processos sigilosos não pode ficar a mercê de ameaças via internet; As medidas de isolamento social tomadas pelos governos para conter a pandemia do corona vírus impactam a economia. Mas o custo final do isolamento é menor do que o de permitir a atividade econômica e deixar a doença se alastrar. Essa é a conclusão de uma análise que comparou cinco estudos realizados em diferentes países. Segundo o economista Vitor Kayo, da MCM Consultores, responsável pela análise comparativa, a política de isolamento social pode aprofundar, no curto prazo, a recessão econômica causada pela pandemia, mas há evidências de que os benefícios econômicos no longo prazo mais do que compensam os custos. Conclui-se que a necessidade dos gastos em segurança p ara o trabalho home office pode se r visto com o um investimento com retorno a curto prazo, pois na maioria das vezes a produção em home off ice supera a produção no ambiente de trabalho presencial.
7 REFERÊNCIAS BIBLIOGRÁFICAS
https://canaltech.com.br/seguranca/ (ultimo acesso em: 25/10/2021)
https://certtime.com.br/ (ultimo acesso em: 25/10/2021)
https://www.sigmatelecom.com.br/duplo-fator-de-autenticacao/ (ultimo acesso em: 25/10/2021)
https://www.cyberghostvpn.com/pt_BR/ (ultimo acesso em: 25/10/2021)
https://vpnoverview.com (ultimo acesso em: 25/10/2021)
https://www.validcertificadora.com.br/ (ultimo acesso em: 25/10/2021)
https://economia.uol.com.br/ (ultimo acesso em: 25/10/2021)
2