Baixe o app para aproveitar ainda mais
Prévia do material em texto
1 UNIP Projeto Integrado Multidisciplinar Cursos Superiores de Tecnologia PIM V GESTÃO DE ACESSO PARA ACESSO REMOTO – VPN EM HOME OFFICE BATATAIS/SP 2022 2 UNIP Projeto Integrado Multidisciplinar Cursos Superiores de Tecnologia PIM V GESTÃO DE ACESSO PARA ACESSO REMOTO – VPN EM HOME OFFICE Aluno: Tito Alexandre de Paiva RA:2186761 Curso: Segurança da Informação Semestre: 3° semestre Prof.: Ricardo Sewaybriker Orientador: Rosemeire Desiderio BATATAIS/SP 2022 3 RESUMO O presente trabalhado, PIM V, denominado de Gestão de Acesso para Acesso Remoto – VPN em Home Office visa colocar em pratica os conhecimentos adquiridos nas disciplinas de Criptografia e Certificação Digital, Segurança em Rede de Computadores, Economia e Mercado e Leis, Políticas e Normas de Segurança da Informação. Serão analisadas as técnicas de criptografia como forma de autenticação no acesso remoto, especificamente em VPN – Virtual Private Network, sua segurança e/ou possíveis vulnerabilidades no tráfego de informações pela internet. A importância da Criptografia e Certificação Digital com fator de autenticação, demonstrando seus pontos positivos e negativos, garantindo assim protocolos e níveis de segurança, principalmente para aqueles que trabalham Home Office depois que o isolamento social, forçou muitas empresas e organizações a adotar esse modelo de trabalho remoto e a se adequarem de forma rápida as questões de Segurança da Informação, da Tecnologia da Informação. Um conteúdo importante como os já citados acima é também propor uma Política de Segurança para o acesso remoto externo por VPN, através de Leis e Normas de Segurança da Informação. Com a crise mundial através do COVID-19 muitas empresas, de vários segmentos tiveram que se adaptar a novos modelos de trabalho. Essa pandemia mudou radicalmente a maneira de como as pessoas se relacionavam no dia a dia, inclusive relações internacionais foram pegas de surpresa. E como resultado disso, o trabalho remoto nunca ganhou tanto destaque no mercado de trabalho como agora, sendo a primeira experiência para muitos profissionais e também para muitas empresas que tiveram que atualizar suas tecnologias, equipamentos, normas, quesitos na segurança e vulnerabilidades para trafegar essas informações e condutas dos próprios colaboradores no trato desses dados. Com o mundo cada vez mais conectado e dependente da internet e suas ferramentas, claro, há suas vantagens e desvantagens, principalmente aos ataques cibernéticos. Palavras-chave: Acesso Remoto; Virtual Private Network – VPN; Criptografia e Certificação Digital; Segurança em Rede de Computadores; Economia e Mercado; Leis, Políticas e Normas de Segurança da Informação; Isolamento social. 4 ABSTRACT The present work, PIM V, called Access Management for Remote Access - VPN at Home Office aims to put into practice the knowledge acquired in the disciplines of Cryptography and Digital Certification, Computer Network Security, Economy and Market and Laws, Policies and Standards of Information Security. Encryption techniques will be analyzed as a form of authentication in remote access, specifically in VPN - Virtual Private Network, its security and/or possible vulnerabilities in the traffic of information over the internet. The importance of Cryptography and Digital Certification with an authentication factor, demonstrating its positive and negative points, thus guaranteeing protocols and levels of security, especially for those who work at Home Office after social isolation, forced many companies and organizations to adopt this model of remote work and to quickly adapt to Information Security and Information Technology issues. An important content such as those mentioned above is also to propose a Security Policy for external remote access via VPN, through Laws and Information Security Standards. With the global crisis through COVID-19, many companies from various segments had to adapt to new work models. This pandemic has radically changed the way people relate to each other on a daily basis, including international relations were taken by surprise. And as a result, remote work has never been as prominent in the job market as it is now, being the first experience for many professionals and also for many companies that had to update their technologies, equipment, standards, security requirements and vulnerabilities to traffic this information and conduct of the employees themselves in the treatment of this data. With the world increasingly connected and dependent on the internet and its tools, of course, there are its advantages and disadvantages, especially to cyber-attacks. Keywords: Remote Access; Virtual Private Network – VPN; Encryption and Digital Certification; Computer Network Security; Economy and Market; Information Security Laws, Policies and Standards; Social isolation. 5 SUMÁRIO INTRODUÇÃO ................................................................................................................................ 6 1 VPN DE ACESSO REMOTO ...................................................................................................... 7 1.1 Ferramenta OpenVPN ............................................................................................................ 7 1.2 Autenticação ............................................................................................................................ 8 1.3 Controle de Acesso ................................................................................................................ 9 1.4 Autenticação Multifator ......................................................................................................... 9 1.5 Prevenção de Invasão...........................................................................................................10 2 POLÍTICA DE SEGURANÇA PARA ACESSO REMOTO .....................................................11 2.1 Políticas de Identificação e Autenticação .........................................................................12 CONCLUSÃO ................................................................................................................................14 REFERÊNCIAS ..............................................................................................................................15 6 INTRODUÇÃO Mesmo atravessando um momento, um cenário de crise mundial, a pandemia de Covid-19, forçou muitas organizações a adotar de forma imediata o trabalho remoto – home office. Diferente dos E.U.A. que avança em tecnologia de defesa, em segurança cibernética (ar, terra, mar, fogo e segurança cibernética), o Brasil ainda deixa muito a desejar, tanto em tecnologia, em transmissão de dados e comunicação via Wireless Fidelity (Wi-fi), assim como há pouco investimento na área de Segurança da Informação, ficando esta ultima em segundo plano, mesmo sendo fundamental, muitos preferem correr risco, onde vimos o crescimento de ataques, invasões e crimes cibernéticos, sequestro de informações e ativos de muitas empresas renomadas. Dificultar ou diminuir os danos, garantir a confidencialidade, a integridade, a disponibilidade são os pilares da Segurança da Informação. A proposta deste projeto é deixar o trabalho remoto o mais seguro possível, menos vulnerável e menos suscetíveis a ataques, invasões, quebras de senhas ou sequestro de arquivos, através de uma gestão de acesso seguro e criptografado. Propor uma arquitetura de rede segura para o acesso VPN – Virtual Private Network. De nada adiantausar de tudo isso, sem desenvolvermos uma política de segurança da informação para o acesso remoto – VPN – Home Office. Leis, normas, políticas de segurança da informação devem ser o carro chefe dentro de qualquer organização, principalmente no tratamento de dados. E por fim, iremos abordar os danos e benefícios que o isolamento social deixou impresso, tanto na economia e mercado, como também na rotina, nos relacionamentos pessoais e a forma com que as pessoas tiveram que lidar e se readaptarem, principalmente levando seu local de trabalha para casa, através do trabalho remoto. 7 1 VPN DE ACESSO REMOTO A VPN (Virtual Private Network) é um ambiente de comunicações no qual o acesso é controlado rigorosamente para permitir conexões visando atender às necessidades de funcionários remotos. Essas VPNs oferecem suporte a uma arquitetura cliente/servidor, atendendo às necessidades de usuários móveis, em que o usuário VPN (host remoto) obtém acesso seguro à rede corporativa por meio de um dispositivo de servidor VPN na borda da rede. VPNs de acesso remoto são usadas para conexão de hosts individuais que precisam acessar a rede da empresa de modo seguro pela internet. Necessário instalar o software cliente da VPN no dispositivo móvel do usuário final, como exemplo a ferramenta Openvpn, para que os dados encriptografados sejam enviados pela internet ao gateway de VPN na borda de destino. Figura 1: VPN – Home Office/servidor Fonte: Imagem internet Google As organizações usam VPNs para criar uma conexão de rede privada (criada via tunelamento sobre uma rede pública) fim a fim em redes de terceiros, como a internet ou extranets. A segurança de uma VPN está na criptografia do conteúdo do pacote entre os endpoints que definem a VPN. 1.1 Ferramenta OpenVPN 8 Sugerimos o recurso OpenVPN (open source) versão compatível com os sistemas Linux, Windows e Mac OS. Muito utilizado é uma solução completa e compatível com diversos sistemas atuais. O processo, de forma resumida, segue as seguintes etapas: 1 - download – (verificar a versão do S.O.); 2 - Instalação e configuração (servidor empresa); 3 – Criar Certificado (cliente/servidor – infraestrutura de chave pública - PKI); 4 – Criar Criptografia. É necessário realizar o mesmo procedimento no computador (Home Office) que irá acessar o servidor da empresa. É um procedimento que leva tempo e em algumas etapas utiliza-se o Prompt de comando em suas configurações. O OpenVPN suporta autenticação bidirecional com base em certificados, o que significa que o cliente deve autenticar o certificado do servidor, e o servidor deve autenticar o certificado do cliente antes que a confiança mútua seja estabelecida. Download pode ser feito pelo link: https://openvpn.net/community-downloads/ 1.2 Autenticação É necessário que todos os usuários se identifiquem. Figura 2: autenticação: AAA Fonte: Internet imagens google. Autenticação visa verificar a identidade de um usuário para evitar acesso indevido. Estes usuários provam sua identidade com um nome de usuário ou um ID, além disso precisam verificar sua identidade proporcionando uma das ações conforme ilustrada na figura 2. No caso da VPN são indicados: algo que você sabe (login/senha) 9 e algo que você tem (cartão/token) podendo ir mais além, algo que você é, verificação de sua impressão digital. 1.3 Controle de Acesso Controles de acesso lógico são as soluções de hardware e software usadas para gerenciar o acesso aos recursos e sistemas. Essas soluções baseadas em tecnologia incluem ferramentas e protocolos que os sistemas de computador usam para identificação, autenticação, autorização e auditoria. Estes controles de acesso incluem: criptografia; cartões inteligentes; senhas; biometria; ACLs – listas de controle de acesso, ou seja, o que é permitido (tráfego) em uma rede; protocolos de autenticação (exemplo: AAA e PAP); firewalls; roteadores; sistema de detecção de invasão (IDS); dentre outros. 1.4 Autenticação Multifator Como o próprio nome diz, utiliza pelo menos dois métodos de verificação, que no caso aqui sugerimos, é uma chave de segurança Fob e um token com certificado digital. Além disso o usuário ainda precisará confirmar sua identidade, terceiro método de verificação para acessar qualquer dispositivo, combinando algo que você sabe (login/senha) e algo que você tem (chave de segurança e token). Uma senha é uma string de caracteres protegidos usada para comprovar a identidade de um usuário. Neste caso os usuários precisam usar senhas diferentes para cada sistema, onde recomendamos que uma senha tenha pelo menos oito caracteres. Os usuários não devem criar uma senha muito grande que seja difícil de memorizar ou, por outro lado, tão pequena que se torne vulnerável à quebra de senha. As senhas devem conter uma combinação de letras maiúsculas e minúsculas, números e caracteres especiais. Figura 3: modelo de chave de segurança 10 Fonte: Imagem internet google Optamos por uma chave fob de segurança, por ser um dispositivo que é pequeno suficiente (discreto) e pela autenticação por dois fatores, que é mais seguro que uma combinação de nome de usuário e senha. Primeiro, o usuário digita um número de identificação pessoal (PIN). Se inserido corretamente, a chave fob de segurança exibirá um número. Este é o segundo fator que o usuário deve inserir para entrar no dispositivo ou rede VPN. 1.5 Prevenção de Invasão Uma solução melhor é usar um dispositivo que pode detectar e parar imediatamente um ataque. Um IPS (Intrusion Prevention System, Sistema de prevenção de invasão). A desvantagem é que um IPS mal configurado pode afetar negativamente o fluxo de pacotes do tráfego encaminhado. Ele consegue detectar e resolver imediatamente um problema de rede. 11 Figura 4: operação de um sistema IPS Fonte: Imagem internet google Como mostrado na figura, um IPS não permite que os pacotes ingressem no lado confiável da rede sem primeiro terem sido analisados. A vantagem de operar em modo inline é que o IPS pode impedir que ataques de pacote único alcancem o sistema de destino. 2 POLÍTICA DE SEGURANÇA PARA ACESSO REMOTO A segurança cibernética é o esforço contínuo para proteger esses sistemas em rede e todos os dados de usos não autorizados ou prejudiciais. Qualquer pessoa com acesso físico ao computador ou roteador pode visualizar os sites que você visitou usando o histórico do navegador Web, cache e possivelmente arquivos de log. Por isso é primordial criar uma política que defina claramente as regras da empresa, os deveres e as expectativas do trabalho. Além de capacitar os usuários, devemos instruí-los a agir em consonância com a leis e legislações vigente, além de demostrarem capacidade, demostrando principalmente comportamento ético. De tal maneira, propomos um conjunto de objetivos de segurança visando incluir regras de comportamento e requisitos, que garantam juntos, a segurança da rede para acesso remoto. Até porque, em se tratando do quesito segurança, a Lei Geral de Proteção de Dados (LGPD) no seu Art. 6 – VII – cita muito bem o Princípio da Segurança, assim como nas Normas Técnicas em seu 12 Art. 50 – Boas Prática e da Governança, onde o primeiro cita que devemos adotar medidas de segurança e o segundo sobre as normas de segurança, seus padrões técnicos. E para seguir um padrão no gerenciamento da informação, temos a “família” ISO 27000 que contém uma série de padrões, código de práticas que auxiliam todas as organizações para uma melhor adequação no gerenciamento de segurança da informação. 2.1 Políticas de Identificação e Autenticação Especifica as pessoas autorizadas para acesso aos recursos de rede e define os procedimentos de verificação.Controle de acesso, já abordado anteriormente, que visa proibir acessos indevidos. 2.2 Políticas de Senhas Senhas que garantam e atendam aos requisitos mínimos e que sejam alteradas regularmente. Procedimento que unificado a outros, visam aumentar a segurança, dificultando o acesso. 2.2 Políticas de Manutenção de Redes Procedimentos de atualizações constantes de sistemas operacionais e de aplicativos de usuários finais dos dispositivos de rede. Nesta etapa que entra o time da infraestrutura de T.I. prestando toda assistência especializada com procedimentos preventivos (manutenção, preservação, atualização, upgrade, etc..) garantindo assim a continuidade e a melhoria das atividades. 2.3 Políticas dos Usuários É necessário também, tornar os usuários responsáveis pela proteção das suas informações, criando um procedimento/código de conduta. 13 3 O IMPACTO DA PANDEMIA E ISOLAMENTO SOCIAL Todos sabemos que o isolamento social nos fez mudar a forma de ir e vir, de nos relacionarmos com os outros, impacto este que além do psicológico, mexeu com a nossa forma de pensar e afetou mundialmente a economia e o mercado. Neste fato, a tecnologia, internet das coisas (IOT), o Home Office nos forçou a adaptar o que já existia ao nosso dia a dia, agora, seja para “matar saudade” de nossos familiares, seja para adaptar nosso lar, para nosso ambiente de trabalho. Realmente, não foi nada fácil! Um estudo realizado pelo SEBRAE, sobre pequenas empresas em 2020, mostrou que a pandemia mudou o funcionamento de 5,3 milhões (31% do total) destas empresas no Brasil. Outras 10,1 milhões (58,9%) chegaram a interromperem suas atividades. Isso serve para nos mostrar como os pequenos empresários evoluíram e se adaptaram a forma de distanciamento social, através de atendimento online (41,9%), trabalho reduzido (41,2%) e trabalho remoto (21,6%). A determinação do governo pela suspensão de atividades (79% das empresas) não essenciais impactou severamente e levou outros 21% a parar por conta própria. A situação financeira que se antes já não era boa, agora ficou um pior e o Brasil que começava a crescer economicamente, foi refreado por essa pandemia de Covid- 19, levando muitas empresas a fecharem as portas, pessoas em situações de necessidades (desemprego) e outras a se adaptarem e a darem realmente atenção para a tecnologia, a segurança e área de T.I. com o trabalho remoto (Home Office). Realmente foi trágico e doloroso, arremessou no “chão” a economia, mas por outro lado, forçou muitos a recriarem seu modo de trabalho (criatividade), lançando um novo olhar para a área de tecnologia que passou a tomar destaque, a ganhar foco em tempos de distanciamento. Nos conscientizou que, devemos acompanhar a evolução tecnológica e a nos preparar melhor também para outras áreas do conhecimento (saúde e educação) que precisou de uma pandemia para mostrar o quantos estamos carentes de profissionais nessas áreas de atuação. Aprendemos muito com essa situação. 14 CONCLUSÃO Abordamos uma Gestão de Acesso para Acesso Remoto – VPN em Home Office que nada mais é que um dos recursos tecnológicos mais utilizados que permite acessar um computador remotamente através da internet, que no caso do Home Office, serve para acessar de forma segura os servidores da empresa e o computador de casa, de trabalho. O Impacto tecnológico marcado pela pandemia de Covid-19 levou muitas empresas a implementarem o Home Office e também a muitos profissionais não só de T.I. mas outras áreas a se adequarem a essa forma de trabalho que de nova mesmo nada tem, pois já existia, não tão em destaque como agora e que acredito que veio para realmente ficar. Um dos destaques também é o estudo, EAD 100% digital, que durante a pandemia ganhou destaque também na vida de muitas pessoas. A tecnologia ganhou destaque e com ela os famosos Hackers e várias noticias pelo mundo sobre crimes e invasões cibernéticas ganharam lugar na mídia, assim como a preocupação com a integridade, disponibilidade e confiabilidade na gestão de segurança da informação. No caso do acesso remoto, home office, a criptografia dos dados garante segurança nas informações que trafegam entre os computadores, assim como, a autenticação garante quem deve ter realmente acesso, a segurança física e lógica de Redes na maioria das organizações tiveram que acender o alerta para evitar invasões ou sequestros de ativos. Regras e políticas de acesso são quesitos que não pode ficar de fora e norteiam os usuários como agir com profissionalismo e ética. A importância do investimento em tecnologia e treinamento dos profissionais ficou evidente em época de pandemia e o setor de T.I. passou por uma experiência de crescimento com o distanciamento social e até então o Home Office que era pouco conhecido ganhou notoriedade e importância. A conclusão é que não basta apenas criar uma VPN segura, mas para torna-la segura é necessária uma combinação de outros protocolos e requisitos, inclusive uma configuração correta como: Firewall, Proxies, Sistemas de Detecção, Servidores, Antivírus e tudo combinado com custo x benefício dentro de uma organização. 15 REFERÊNCIAS OpenVPN. Disponível em: <https://openvpn.net/>. Acesso em 04 abr. 2022. Guimarães, Alexandre G.; Lins, Rafael D.; Oliveira, Raimundo. Segurança com VPNs. Rio de Janeiro. Editora: Brasport, 2006. 1. Empresas (Redes de computador) 2. Extranets (Redes de computador) 3. Redes de computador: medidas de seguraça VPN. Tipos de VPN. Disponível em:< https://www.avast.com/pt-br/c-what-is-a-vpn>. Acesso em 04 abr. 2022. ItForum. Níveis de autenticação de proteções para usuários remotos. Disponível em: <https://itforum.com.br/noticias/inflacao-e-demanda-interna-estao-entre- principais-preocupacoes-de-cfos/>. Acesso em 07 abr. 2022. OneSpan. Autenticação Multifator. Disponível em: <https://www.onespan.com/pt- br/topics/autenticacao-multi-factor>. Acesso em 07 abr. 2022. YSSY. Sistema de prevenção (IPS) e de detecção (IDS) de invasões. Disponível em: <https://yssy.com.br/update/artigos/sistema-prevencao-intrusao-ips/>. Acesso em 09 abr. 2022. SAUK Flexible I.T. Estratégias de segurança para o trabalho remoto. Disponível em: <https://sauk.com.br/seguranca-para-trabalho-remoto/>. Acesso em: 09 abr. 2022. SEBRAE. O Impacto da pandemia de coronavírus nos pequenos negócios. Disponível em: <https://www.sebrae.com.br/sites/PortalSebrae/artigos/o-impacto-da- pandemia-de-coronavirus-nos-pequenos- negocios,192da538c1be1710VgnVCM1000004c00210aRCRD>. Acesso em: 09 abr. 2022. Ministério Público Federal. Lei Geral de Proteção de Dados (LGPD). Disponível em: http://www.mpf.mp.br/servicos/lgpd/o-que-e-a-lgpd. Acesso em: 09 abr. 2022. LEI. Lei do Marco Civil da Internet no Brasil. Disponível em: <https://www.politize.com.br/marco-civil-da-internet/>. Acesso em: 09 abr. 2022. https://openvpn.net/ https://www.avast.com/pt-br/c-what-is-a-vpn https://itforum.com.br/noticias/inflacao-e-demanda-interna-estao-entre-principais-preocupacoes-de-cfos/ https://itforum.com.br/noticias/inflacao-e-demanda-interna-estao-entre-principais-preocupacoes-de-cfos/ https://www.onespan.com/pt-br/topics/autenticacao-multi-factor https://www.onespan.com/pt-br/topics/autenticacao-multi-factor https://yssy.com.br/update/artigos/sistema-prevencao-intrusao-ips/ https://sauk.com.br/seguranca-para-trabalho-remoto/ https://www.sebrae.com.br/sites/PortalSebrae/artigos/o-impacto-da-pandemia-de-coronavirus-nos-pequenos-negocios,192da538c1be1710VgnVCM1000004c00210aRCRD https://www.sebrae.com.br/sites/PortalSebrae/artigos/o-impacto-da-pandemia-de-coronavirus-nos-pequenos-negocios,192da538c1be1710VgnVCM1000004c00210aRCRD https://www.sebrae.com.br/sites/PortalSebrae/artigos/o-impacto-da-pandemia-de-coronavirus-nos-pequenos-negocios,192da538c1be1710VgnVCM1000004c00210aRCRDhttp://www.mpf.mp.br/servicos/lgpd/o-que-e-a-lgpd GESTÃO DE ACESSO PARA ACESSO REMOTO – VPN EM HOME OFFICE GESTÃO DE ACESSO PARA ACESSO REMOTO – VPN EM HOME OFFICE (1) INTRODUÇÃO 1 VPN DE ACESSO REMOTO 1.1 Ferramenta OpenVPN 1.2 Autenticação 1.3 Controle de Acesso 1.4 Autenticação Multifator 1.5 Prevenção de Invasão 2 POLÍTICA DE SEGURANÇA PARA ACESSO REMOTO 2.1 Políticas de Identificação e Autenticação CONCLUSÃO REFERÊNCIAS
Compartilhar