GESTAO DA SEG DA INFORMAÇÃO PROJETO INTEGRADO MULTIDISCIPLINAR V

Prévia do material em texto

Projeto integrado multidiciplinar.
Gestão de acesso para acesso remoto - vpn para Home office.
instituição: UNIP Alphaville
nome: Danilo MaiA DE sATEL
2022
Projeto integrado multidiciplinar.
Gestão de acesso para acesso remoto - vpn para Home office.
instrutor: Ricardo sewaybriker
2022
RESUMO:
O presente projeto tem como objetivo principal apresentar os resultados de uma pesquisa em equipe que resultou na criação de um pequeno sistema de segurança e boas práticas. Além de servir como treinamento para política de acesso remoto visando prevenir os principais ataques que ocorrem no meio web. Com isso, tornou-se necessário propor pequenas noções de configurações técnicas para segurança da rede de trabalho, eliminando de maneira eficaz quaisquer possíveis fontes de vulnerabilidade, identificando as principais ameaças e vulnerabilidades existentes e mais evidentes no momento atual. Através da identificação destas ameaças e vulnerabilidades, estabelecemos a exposição de configurações de segurança para os sistemas operacionais que fazem parte da composição das estações de trabalho que foram destinadas para o acesso remoto externo. Dentro deste projeto, foram aplicados os fundamentos dos conhecimentos adquiridos nas disciplinas de Criptografia e Certificação Digital, Segurança em rede de computadores, Economia e Mercado, Leis, políticas e Normas de segurança da informação. 
Palavras Chaves: Normas de Segurança da informação, VPNs em Home Office, Segurança em rede de computadores, Segurança no ambiente Web, Home Office.
ABSTRACT:
The main objective of this project is to present the results of a team research that resulted in the creation of a small security system and good practices. In addition to serving as training for remote access policy aimed at preventing the main attacks that occur in the web environment. As a result, it became necessary to propose small notions of technical configurations for network security, effectively eliminating any possible sources of vulnerability, identifying the main threats and vulnerabilities that exist and are most evident at the present time. Through the identification of these threats and vulnerabilities, we established the exposure of security settings for the operating systems that are part of the composition of the workstations that were destined for external remote access. Within this project, the foundations of knowledge acquired in the disciplines of Cryptography and Digital Certification, Computer network security, Economics and Market, Laws, policies and Information security standards were applied.
Keywords: Information Security Standards, Home Office VPNs, Computer Network Security, Web Security,Home Office.
Sumário:
1. Introdução..........................................................................................6
· 1.1 – OBJETIVOS GERAIS............................................................9
· 1.2 – OBJETIVOS ESPECÍFICOS...............................................10
2. Desenvolvimento ...........................................................................11
· 2.1 – sobre vpns......................................................................12
· 2.2 – sobre tipos de criptografia...................................14
· 2.3 – segurança de rede.....................................................16
3. Metodologia.....................................................................................21
4. Conclusão.........................................................................................24
5. REFERÊNCIAS......................................................................................25
1. INTRODUÇÃO
Com a pandemia do COVID-19 surgindo em 2020, empresas de todo o mundo estão adotando modelos remotos de trabalho, incentivando de uma forma inimaginável a cultura do home office. No entanto, embora seja uma prática que salve vidas, torna-se importante ressaltar que as organizações se coloquem em alerta para fazer com que este processo aconteça de forma segura, também do ponto de vista dos negócios.
	Existe uma série de características para tornar o home office seguro, são conformidades que podem partir da própria empresa, assim como medidas que funcionam para a maioria dos casos. O trabalho remoto não é uma nova modalidade de trabalho, diversas empresas e profissões já operam dessa maneira pelos mais variados motivos: economia em estrutura, contratação de mão de obra qualificada ou o modelo de negócios. 
	A segurança de dados deve ser e é uma preocupação, tendo-se em vista que vírus e outros malwares podem representar a ação de hackers que agem, entre outras razões, até mesmo para roubar informações valiosas de uma empresa em questão. Funcionários em home office podem ser alvos de ataques virtuais que inclusive, por muitas vezes, estarem mais vulneráveis. Por isso, a implementação de estratégias de defesa deve ser implementada com antecedência e rapidez, este é o caso da VPN.
	O fato é que muitas empresas estão tendo suas primeiras experiências com essa modalidade de trabalho apenas agora. Esse é um desafio único, de dimensões bastante diferentes e peculiaridades. Não por acaso, as pesquisas indicam a falta de computadores para home office, e que na maioria das vezes não possui sistemas práticos para criação de políticas de segurança digital, para aplicação no meio remoto. 
	Se para muitas empresas o processo de implementação de um sistema planejado e seguro para o trabalho remoto ocorre de maneira orgânica, existem casos em que a segurança da informação demanda decisões aceleradas. Organizações podem necessitar, por exemplo, de reformas emergenciais ou até mesmo sofrer por uma simples queda de energia ou internet que demande o trabalho externo dos funcionários, mesmo que por um curto período.
Para muitas empresas, as medidas emergenciais não serão tão simples pela falta de preparo: não existe um sistema de acesso remoto seguro, funcionários não possuem estrutura adequada em casa, dentre outras possibilidades. Mas as empresas de tecnologia não deveriam esperar pela primeira crise para começar a pensar sobre o assunto.
	Para responder a esta demanda, algumas medidas são vitais e devem ser colocadas como prioridade na gestão de crises. Um desses meios é a utilização de sistemas de VPN (Virtual Private Network, em inglês). Elas se tornam elementos fundamentais para as operações das empresas nestes novos tempos. De acordo com estudos de mercado, em 2019 o uso de aplicações e sistemas VPNs aumentou mais de 70% no Brasil e esta curvatura elevada tende a continuar crescendo em meio a estes tempos de pandemia do novo coronavírus.
O fato é que a utilização das VPNs é um avanço essencial para simplificar a nova jornada das empresas na era digital globalizada, impactando diretamente em pontos como segurança e disponibilidade segura de informações. Por isso, saiba que, se sua empresa está iniciando em um novo plano de trabalho remoto, a adoção de uma solução de rede privada é uma das coisas mais importantes a se fazer. 
Por outro lado, além da adoção, é preciso que as equipes de ti também trabalhem para entender como garantir a funcionalidade e efetividade desses sistemas nas organizações. Elas precisam se preparar para garantir a máxima utilização dos recursos e ferramentas oferecidas por essas plataformas. Isso porque o avanço do trabalho em casa e da pandemia terá reflexos – entre eles, o fato de que os riscos associados as ameaças digitais tendem a aumentar. Nesse cenário, é extremamente aconselhável que as companhias escolham serviços atualizados e de última geração, garantindo que a operação terá, de fato, recursos alinhados e adequados a este momento. 
As equipes de TI necessitam do apoio de sistemas inteligentes, preparados para capturar e avaliar todos os pontos de performance e disponibilidade da rede entregue aos colaboradores. Vale destacar que a VPN é, hoje, a forma mais segura de acessar as redes e os recursos de dados das empresas, sendo fundamentalpara evitar interrupções e falhas como vazamentos de informação. 
Um dos benefícios do uso da VPN, por exemplo, é combater os riscos de phishing, com roubos de dados gerados a partir de mensagens e conteúdos falsos. O surto do Coronavírus pode causar um salto no volume de tentativas de fraudes, com e-mails e mensagens relacionadas ao tema – e que precisam ser evitadas pelas companhias. 
prevenção contra essas ameaças passa, evidentemente, por dois polos bem distintos: a conscientização dos colaboradores e a qualidade da infraestrutura técnica oferecida para suportar os acessos à rede. Do ponto de vista das pessoas, é imprescindível oferecer qualificação e treinamentos de orientação sobre como evitar ataques.
1.1. Objetivo geral
Este trabalho tem como objetivo principal tratar diretamente da importância do uso das VPNs no cotidiano de qualquer indivíduo em home office, e que este trabalho deve ser implementado pensando não somente no trabalhador, mas, também na empresa pela qual ele trabalha. Para que ocorra tal compreensão sobre os fatos aqui apresentados, torna-se necessário uma explicação aprofundada como também uma visão geral de todos os contextos que englobam este tema. 
A falta de preparação das empresas e despreparação de profissionais de algumas áreas de atuação tornou o acesso ao meio digital algo extremamente perigoso. Com isso, torna-se capaz de compreender que a utilização de meios estratégicos de segurança tornou-se algo indispensável na vida de qualquer trabalhador em home office. Devido a urgência da mudança para o formato digital a segurança da informação ficou para segundo plano, mesmo sendo algo fundamental, com isso, o número de casos de ataques cibernéticos a esse formato de acesso cresceu exponencialmente. 
1.2. Objetivo específico 
Neste trabalho trataremos de forma simples e eficaz o uso da 2fa, mais conhecida como verificação de duas etapas. Uma das opções que melhoram fortemente a segurança de um sistema é a 2FA, prontamente disponível hoje, mas ainda não recebe a atenção que merece, porém, está se tornando cada vez mais necessária. A 2FA é uma solução ideal que pode ajudar a proteger uma grande quantidade de serviços online, caso as credenciais de acesso de uma empresa estiverem comprometidas.
Não nos enganemos. Sempre destacamos a importância de criar senhas fortes, a maior parte dos usuários tentam lembrar o menor número delas, e quanto mais simples, melhor. Por isso, é necessário incorporar uma nova camada de segurança como o 2FA, algo que os usuários estão utilizando cada vez mais. No entanto, não exatamente no setor corporativo.
Na verdade, de acordo com o último relatório de segurança da ESET, apenas 11% das empresas na América Latina implementaram o duplo fator de autenticação.
Ninguém gosta que suas contas em redes sociais, e-mails ou jogos em alguma plataforma de distribuição existente sejam acessadas sem a devida autorização. É por isso que há muito tempo temos visto um gradual incremento no uso dessas medidas de segurança à nível de usuários finais, com os dispositivos móveis como os principais protagonistas na hora de utilizá-los como dispositivo complementar de identificação.
2. DESENVOLVIMENTO
A VPN é uma rede privada virtual, considerada de acesso restrito, construído sobre a infraestrutura de uma rede pública (recurso público, sem controle sobre o acesso aos dados), normalmente a Internet, um tipo específico de ligação entre redes Intranet que utiliza a Internet como meio de conexão, ou através de links dedicados ou redes de pacotes (como X.25 e frame relay, ou rádios digitais) para conectar redes remotas. (WERNER 1998).
2.1 SOBRE VPN
Topologias de redes fechadas do tipo VPN, com abrangência regional com uso da tecnologia “Wireless” através de torres de transmissão, equipadas com antenas do tipo “Parábolas”, entre um “site” e outro, há que se considerar a situação geográfica e topográfica, pois necessita de visada entre os pontos.
Figura 1 – Rede hierárquica híbrida – Fonte: Thurston, 2001.
Todas as informações trafegam criptografadas entre as redes, enquanto estão passando pela Internet. Sua implementação se dá através de “firewall”, que instalados nas pontas das redes fazem um trabalho denominado tunneling. Funciona como uma espécie de túnel entre as redes conectadas, autenticando e criptografando as informações que ali trafegam, protegendo a conexão de acessos externos provenientes do restante da Internet. 
Um ambiente onde as redes da matriz e das filiais estão conectadas entre si, utilizando a infra-estrutura da Internet. Ao invés de vários “links” dedicados entre a matriz e as filiais, cada uma delas tem apenas um “link” com a Internet. Quando uma das filiais precisa trocar dados com a matriz, por exemplo, automaticamente é estabelecido um túnel entre elas e os dados são transmitidos com segurança, conforme mostra a figura 2, (OLIVEIRA 2001).
Figura 2 – VPN entre matriz e filiais – Fonte: Werner, 1988.
Essa solução também permite uma comunicação entre as filiais sem que o tráfego tenha que passar pela matriz, ou que seja necessário um link dedicado adicional como ocorre em algumas soluções de redes remotas.
2.2 SOBRE TIPOS DE CRIPTOGRAFIA
A criptografia é implementada por um conjunto de métodos de tratamento e transformação dos dados que serão transmitidos pela rede pública. Um conjunto de regras é aplicado sobre os dados, empregando uma sequência de bits (chave) como padrão a ser utilizado na criptografia. Partindo dos dados que serão transmitidos, o objetivo é criar uma sequência de dados que não possa ser entendida por terceiros, que não façam parte da vpn, sendo que apenas o verdadeiro destinatário dos dados deve ser capaz de recuperar os dados originais fazendo uso de uma chave, que pode ser simétrica ou assimétrica. 
A chamada chave simétrica ou privada, é uma forma de criptossistema em que a criptografia e a descriptografia são realizadas usando a mesma chave. Também conhecida como criptografia convencional. Basicamente esta criptografia transforma um texto claro em texto cifrado, utilizando uma chave secreta e um algoritmo de criptografia. Utilizando a mesma chave e um algoritmo de descriptografia, é possível reverter o texto cifrado para o texto claro.
Figura 3 – Chave Simétrica – Fonte: Diego Macedo, 2017.
Já a criptografia de chave pública ou criptografia assimétrica é um método de criptografia que utiliza um par de chaves: uma chave pública e uma chave privada. A chave pública é distribuída livremente para todos os correspondentes via e-mail ou outras formas, enquanto a chave privada deve ser conhecida apenas pelo seu dono.
Num algoritmo de criptografia assimétrica, uma mensagem cifrada com a chave pública pode somente ser decifrada pela sua chave privada correspondente.
Os algoritmos de chave pública podem ser utilizados para autenticidade e confidencialidade. Para confidencialidade, a chave pública é usada para cifrar mensagens, com isso apenas o dono da chave privada pode decifrá-la. Para autenticidade, a chave privada é usada para cifrar mensagens, com isso garante-se que apenas o dono da chave privada poderia ter cifrado a mensagem que foi decifrada com a “chave pública”. 
Figura 3 – Chave assimétrica – Fonte: Diego Macedo, 2017.
2.3 SEGURANÇA DE REDE
Três fatores da segurança de rede são: vulnerabilidade, ameaça e ataque. A vulnerabilidade é o grau de pontos fracos inerentes a cada rede e dispositivo. Isso inclui roteadores, switches, computadores desktop, servidores e, até mesmo, dispositivos de segurança.
As ameaças incluem as pessoas interessadas e qualificadas para tirar vantagem de cada ponto fraco da segurança. Pode-se esperar que esses indivíduos pesquisem continuamente por novas explorações e pontos fracos. As ameaças são realizadas por uma variedade de ferramentas, scripts e programas para iniciar ataques a redes e a dispositivos de rede. Normalmente, os dispositivos de rede sob ataque são endpoints, como servidores e computadores desktop. 
Há três vulnerabilidades ou pontos fracos principais:· Tecnológica, como mostrado na Figura 4
· Configuração, como mostrado na Figura 5
· Política de segurança, como mostrado na Figura 6
Todas as três vulnerabilidades ou pontos fracos podem resultar em vários ataques, inclusive ataques de código mal-intencionado e ataques à rede.
Figura 4 – Vulnerabilidade tecnológica – Fonte:Deptal.
Figura 5 – Vulnerabilidade de configuração – Fonte:Deptal. 
Figura 6 – Vulnerabilidade política – Fonte:Deptal. 
3. METODOLOGIA
Para este projeto, fomos desafiados a criar um pequeno modelo de validação 2FA e propor algumas soluções para vulnerabilidades. 
Figura 7 – Modelo de validação 2FA entre usuário e servidor. 
Como pode-se observar, o sistema de validação aqui criado fora uma solicitação entre o usuário e o servidor em questão, onde o usuário implica login e senha e em resposta, o servidor envia uma segunda forma de autenticação para validação do usuário. Após receber o segundo meio de autenticação, o usuário retorna uma resposta para o servidor e o mesmo faz a liberação do acesso aos dados. 
A especificação da VPN a ser implantada deve tomar por base o grau de segurança que se necessita, ou seja, avaliando o tipo de dado que deverá trafegar pela rede e se são dados sensíveis ou não. Dessa definição depende a escolha do protocolo de comunicação, dos algoritmos de criptografia e de Integridade, assim como as políticas e técnicas a serem adotadas para o controle de acesso. Tendo em vista que todos esses fatores terão um impacto direto sobre a complexidade e requisitos dos sistemas que serão utilizados, quanto mais seguro for o sistema, mais sofisticados e com capacidades de processamento terão de ser os equipamentos, principalmente, no que se refere a complexidade e requisitos exigidos pelos algoritmos de criptografia e integridade.
Os habilitadores das tecnologias de segurança são de conhecimento comum e são apresentados os mesmos abaixo:
· CHAP Challenge Handshake Authentication Protocol
· RADIUS Remote Authentication Dial-in User Service
· Certificados digitais
· Encriptação de Dados
Os três primeiros visam autenticar usuários e controlar o acesso à rede. O último visa prover confidencialidade e integridade aos dados transmitidos. Neste caso, para resolução deste sistema que criamos, foi utilizado o sistema RADIUS.
Figura 8 – Exemplo de validação RADIUS – Fonte: ZEVENET. 
4. CONCLUSÃO
Usar uma VPN permite que todos possam compartilhar arquivos e usar aplicativos com maior produtividade e gerenciamento, como se todos os computadores estivessem conectados à mesma rede local. Pode-se até mesmo imprimir em impressoras da rede remota, da mesma forma que faria com uma impressora local. Assim o resultado alcançado fica acima das expectativas, visto que, com o uso de VPN os trabalhadores podem fazer uso de sistemas de ordem técnica, diretamente das suas casas ou de qualquer lugar, com isso, trabalhando na rede da empresa em viagens ou até mesmo em outros países, por exemplo.
 A maior dificuldade encontrada é de nível cultural, pois os engenheiros e colaboradores do setor não têm a cultura de uso de técnicas de acesso remoto, mas isso é irrelevante diante do resultado encontrado, assim, um investimento mínimo em treinamento resolveria essa questão de maneira rápida e fácil. Este projeto fora desenvolvido com objetivo de entender a tecnologia VPN e sua aplicabilidade no gerenciamento remoto de empreendimentos/projetos. Com isso, a compreensão da aplicação de métodos de segurança em um esquema de validação em duas etapas firmou-se de forma prática.
5. REFERÊNCIAS
Amar, R., J. Eagan, and J. Stasko (2005), “Low-Level Components of Analytic Activity in Information Visualization,” in IEEE Symposium on Information Visualization, Apr. 2021. INFOVIS 2005., 111–17, 
ARAUJO, GUILHERME. DIRETOR DE SERVIÇOS DA BLOCKBIT. (2020) “Home office e a segurança de rede das empresas”, Visualização, abril de 2021. 
Figueiredo, n.m.a. (org.). Método e metodologia na pesquisa científica. São paulo: difusão editora, 2004.
Thurston, Sean. Asp configuration. Handbook. Ed. Syngress, 1 year upgrade, 2001. 
Toledo, Adalton p. Redes de acesso em telecomunicações. Ed. Makron books, 2001. 
Torres, Gabriel. Redes de computadores curso completo. Rio de janeiro: axcel books do brasil, 2008. 
WERNER, José. Tecnologias para implantação de Redes Virtuais Privadas. Fórum Nacional sobre segurança de redes e telecomunicações, 1998.