Trabalho sobre a revista REDES de Fevereiro de 2002

Prévia do material em texto

Trabalho sobre a revista REDES de Fevereiro de 2002 -
SEGURANC¸A ainda na˜o e´ prioridade.
Instituto Polite´cnico de Tomar - Engenharia Informa´tica - Redes de Dados II
2 de Janeiro de 2003
Conteu´do
1 Editorial 4
1.1 Editorial . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
2 Seguranc¸a nos nego´cios 5
2.1 Seguranc¸a no B2B, o que e´... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
3 PKI - Public Key Infraestruture 7
3.1 O que e´? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
4 Cablagem 8
4.1 Cablagem de alto de´bito . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
5 A ilegalidade... 10
5.1 O cibercrime . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
6 Existe sempre algue´m ... 11
6.1 ... que zela pela nossa seguranc¸a. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
7 Testemunho... 12
7.1 Joa˜o Laureano, um ex-hacker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
8 A seguranc¸a e´ cada vez mais escassa 13
8.1 Queixamo-nos mas afinal... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
9 Redes de armazenamento 15
9.1 A revoluc¸a˜o nas redes de armazenamento. . . . . . . . . . . . . . . . . . . . . . . . 15
10 Um exemplo de seguranc¸a 18
10.1 O Instituto das Tecnologias de Informac¸a˜o na Justic¸a (ITIJ) optou por implementar
uma PKI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
11 Definic¸o˜es 20
11.1 O que e´ um(a)... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
12 Conclusa˜o: 24
12.1 Conclusa˜o: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
1
Lista de Figuras
2.1 Seguranc¸a no B2B . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
4.1 Cablagem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
5.1 Alguns nu´meros... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
8.1 Uareu Pro Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
9.1 TotalStorage IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
2
Prefacio
Este trabalho tem como base a Revista REDES, a qual fala sobre seguranc¸a.
Este trabalho incide principalmente em mostrar o quanto as organizac¸o˜es esta˜o consciencial-
izadas para o problema da a seguranc¸a nas suas redes. Podemos ter esta precepc¸a˜o atrave´s de
alguns testemunhos, tipos de seguranc¸a, empresas que criam soluc¸o˜es e verificam o quanto e´ seguro
a rede das organizac¸o˜es, um exemplo de uma organizac¸a˜o que implantou um sistema de seguramc¸a,
...
3
Cap´ıtulo 1
Editorial
1.1 Editorial
Esta edic¸a˜o tem como principal destaque a Seguranc¸a, palavra que surge sempre que falamos
sobre Internet e come´rcio electro´nico.
Mas afinal o que e´ isso de seguranc¸a?
Cada vez mais se utiliza a Internet para fazermos aquilo que ate´ a` um tempo atra´s so´ se
poderia fazer se nos deslocassemos de nossa casa. Podemos fazer compras, pesquizas, movimentos
banca´rios, nego´cios, ... uma infinidade de coisas!
E ate´ que ponto podemos estar seguros de que tudo o que fazemos via Internet e´ confidencial?!
Ate´ que ponto as organizac¸o˜es esta˜o preparadas para que as suas redes sejam seguras?
Este assunto e´ o que mais preocupa os responsa´veis por redes e sistemas. Na˜o basta adicionar
uma firewall (”parede de fogo”)para resolver o problema.
Os responsa´veis por redes e sistemas devera˜o ter a ma´xima atenc¸a˜o a`s integrac¸o˜es de aplicac¸o˜es
de redes de sistemas, pois estes locais sa˜o bastante vulnera´veis a ataques. Uma firewall e´ indis-
pensa´vel, mas na˜o o suficiente. Por exemplo, para que serve uma firewall na ligac¸a˜o a` Internet
quando temos uma rede interna de computadores com modems capazes de atender chamadas?!
Qual e´ a politica de gesta˜o de acessos para os utilizadores dessa rede?! O que faremos quando um
trabalhador abandona a empresa?! Todos tem acesso aos locais mais sensiveis?!
Estas questo˜es sa˜o bastante importantes, pois muitos dos ataques de seguranc¸a partem do
interior das pro´prias empresas.
E´ evidente que a seguranc¸a total na˜o existe, e que para se obter pequenos ganhos na seguranc¸a
implica grandes investimentos, mas na˜o podemos ver isso como um custo, pelo contra´rio.
4
Cap´ıtulo 2
Seguranc¸a nos nego´cios
2.1 Seguranc¸a no B2B, o que e´...
A seguranc¸a das transac¸o˜es electro´nicas e´ posta em causa com o aumento do cibercrime. Uma das
soluc¸o˜es que ganha cada vez mais adeptos e´ a PKI.
A utilizac¸a˜o do B2B (business to business) pode ser bastante renta´vel para as empresas que
adoptem este sistema de nego´cio. Perante as prespectivas na reduc¸a˜o elevada de custos, os exec-
utivos tendem a escolher o B2B como standar de nego´cio.
Numa transac¸a˜o B2B as entidades envolvidas na˜o sa˜o autenticadas na Internet, que por um lado
e´ bom, garante a confidencialidade, mas por outro torna-se uma desvantagem para a divulgac¸a˜o
do nego´cio. Com a utilizac¸a˜o da PKI, os utilizadores podem colmatar esta lacuna.
A PKI garante a privacidade de todo o processo B2B.
Esta tecnologia esta´ a ser alvo de um tratamento legal profundo nomeadamente no que respeita
a` sua utilizac¸a˜o para efeitos de facturac¸a˜o electro´nica e assinatura legal.
Se esta tecnologia for implementada em cima de processos mal calculados e investimentos des-
fazados, pode-se tornar um investimneto bastante caro e de dificil recuperac¸a˜o moneta´ria.
5
Figura 2.1: Seguranc¸a no B2B
6
Cap´ıtulo 3
PKI - Public Key Infraestruture
3.1 O que e´?
O crescimento do come´rcio electro´nico faz surgir uma questa˜o muito importante para o seu
sucesso - a confidencialidade das transacc¸o˜es on-line. A Public Key Infrastructure (PKI), e´ uma
arquitectura de software e hardware para garantir a seguranc¸a da transmissa˜o de dados, e comec¸a
a impor-se como a alternativa mais via´vel.
E´ o me´todo mais utilizado para autenticar o remetente de uma mensagem e para encriptar a
mesma.
Uma chave privada e´ a parte da informac¸a˜o que nos identifica com exclusividade dentro de uma
infraestrutura de PKI. Qualquer pessoa que tenha acesso a` chave privada pode fazer-se passar por
no´s sem ser descoberto. Assim, a chave privada deve ser algo sigiloso. A PKI serve como um cofre
impenetra´vel para a chave privada, assegurando que apenas o utilizador tem acesso a ela.
A PKI tornou-se num standard no que respeita a` transac¸a˜o segura de dados atrave´s da Internet.
Certificado Digital:
O certificado digital e´ a parte publica da sua ID Digital (Identificac¸a˜o Digital). Ele conte´m o seu
nome e outras formas de identificac¸a˜o, e tambe´m conte´m a chave publica, que esta´ matema´ticamente
relacionada com a chave privada. Ao usar o certificado digital, as outras pessoas podem comprovar
que temos a nossa chave privada, e que somos realmente no´s.
Os IDs Digitais sa˜o criados por treˆs etapas:
1 - No´s geramos um par de chaves pu´blica e privada. a chave pu´blica e´ enviada para uma
Autoridade de Certificac¸a˜o (CA).
2 - A CA verifica se a chave publica enviada e´ mesmo a nossa. Se for, a CA cria um certificado
digital e envia-nos as instruc¸o˜es de como obter o certificado digital.
3 - Transfere-se enta˜o o nosso certificado digital, completando assim o ID Digital.
-¿ Embora este processo parec¸a complicado, na pra´tica e´ bastante simples. A maioria dos
detalhes e´ manipulada nos bastifores do software.
7
Cap´ıtulo 4
Cablagem
4.1 Cablagem de alto de´bito
Temos falado de redes, o que implica ligac¸o˜es entre computadores. Vamos falar sobre a cablagem
de alto de´bito.
Em qualquer transmissa˜o existesempre uma relac¸a˜o sinal/ruido. Num sistema de cablagem o
u´nico ruido medido e´ a diafonia por cada par entranc¸ado. Devido ao ambiente, nenhum ruido
externo afecta a cablagem. No entanto, num sistema de cablagem existem cabos adjacentes,
que va˜o interferir entre sim quando existem transmisso˜es. A este ruido da´-se o nome de Alien
Crosstalk. Este ruido na˜o e´ previsivel, depende da organizac¸a˜o dos cabos, e tende a aumentar com
a distaˆncia.
Se houver uma ma´ escolha na cablagem, corremos o risco de na˜o atingir o rendimento ma´ximo,
mesmo que sejam respeitadas todas as normas.
Realizaram-se testes pela IBM num cabo na˜o blindado (UTP - Unishielded Twisted Pair) e
verificou-se que o ruido aumentava com a distaˆncia.
Apesar de individualmente poder disponibilizar os desempenhos em termos de NEXT (Near End
Crosstalk) ou FEXT (Far End Crosstalk), o UTP na˜o esta´ imunizado contra os ruidos externos.
So´ a blindagem por par e global permite garantir a imunidade ao ruido.
8
Figura 4.1: Cablagem
9
Cap´ıtulo 5
A ilegalidade...
5.1 O cibercrime
Cada vez mais se houve falar no cibercrime e nos seus autores. Na˜o se consegue fazer uma
estimativa de quanto as empresas perdem devido aos ciberpiratas. O roubo da informac¸a˜o, a
sabotagem de redes atrave´s de viru´s sa˜o alguns dos ataques mais frequentes. Uma das principais
preocupac¸o˜es e´ saber a identidade dos ciberpiratas.
Muito se tem feito para combater o cibercrime, mas a grande dificuldade consiste na material-
izac¸a˜o das politicas de seguranc¸a que ja´ foram definidas.
Va´rias reunio˜es foram feitas a n´ıvel Europeu para debater este caso de onde nasceram alguns
dos princ´ıpios essenciais para combater o cibercrime. Antes de tudo e´ necessa´rio estabelecer
uma verdadeira cooperac¸a˜o entre Computer Emergency Response Teams (CERTS) para respon-
der rapidamente a quaisquer incidentes e falhas de seguranc¸a nos va´rios pa´ıses.
Por outro lado, pede-se a criac¸a˜o de sinergias entre os membros da UE, noemadamente no
que respeita a` documentac¸a˜o e a` analise de problemas de seguranc¸a das redes, tanto ao nivel da
comunidade europeia como ao estatal.
Figura 5.1: Alguns nu´meros...
10
Cap´ıtulo 6
Existe sempre algue´m ...
6.1 ... que zela pela nossa seguranc¸a.
Entre va´rias empresas do sector, destaca-se a CF6 que se dedica a` verificac¸a˜o da seguranc¸a das
redes empresariais.
Esta empresa foi adquirida pela Telinduse especializou-se em testar a seguranc¸a das redes
atrave´s de te´cnicas e ferramentas utilizadas pelos hackers. A companhia penetra na redes das
empresas e verifica as falhas de seguranc¸a das mesmas, aconselhando-as quanto a` melhor forma
de agir.
A CF6 conta apenas com cerca de 50 colaboradores, numero suficiente para que esta possa
controlar todos aqueles que zelam pera seguranc¸a dos seus clientes.
Pois estes especialistas va˜o ter acesso a informac¸o˜es confidenciais, e se fossem em maior nu´mero
era dif´ıcil manter o controlo. Ha´ que ter em conta que o mercado hacker e´ muito renta´vel,
especialmente no que envolve a venda de informac¸a˜o.
Esta empresa especializou-se em todo o tipo de intruso˜es, a n´ıvel da Internet, de intranet’s, do
PABX e de RAS Servers.
11
Cap´ıtulo 7
Testemunho...
7.1 Joa˜o Laureano, um ex-hacker
Temos o testemuno de Joa˜o Paulo Laureano, um ex-hacker que nos diz, melhor que ningue´m, que
as empresas esta˜o muito vulnera´veis a ataques de hackers, tanto a n´ıvel da Internet, mas tambe´m
a n´ıvel das redes internas. As empresas ainda na˜o esta˜o consciencializadas para este problema, so´
tomam medidas depois de serem alvo e algum tipo de ataque. Como se costuma dizer:
Casa roubada, trancas a` porta!
12
Cap´ıtulo 8
A seguranc¸a e´ cada vez mais
escassa
8.1 Queixamo-nos mas afinal...
Todos reclamam que a seguranc¸a e´ cada vez mais escac¸a, e que nunca se sabe quando temos
algum ”amigo do alheio”por de tra`s a envadir a nossa privacidade!
Mas vistas bem as coisas, as pessoas e´ que ainda continuam renitentes quanto a` implementac¸a˜o
de soluc¸o˜es para a seguranc¸a.
Existe um grande leque de empresas portuguesas fornecedoras de soluc¸o˜es para o mais variado
tipo de problemas. Mas tambe´m poderiamos por a questa˜o que ate´ que ponto estas empresas sa˜o
crediveis?! Esta mesmo fora de questa˜o, pois as empresas nacionais esta˜o ao n´ıvel das europeias,
para na˜o falar que se encontram nos primeiros lugares!
Temos o exemplo da Compta que disponibiliza servic¸os de consultadoria e auditoria e fornece
soluc¸o˜es de alguns fabricantes como a CheckPoint, a Nokia, entre outros. Esta empresa fornece
desde soluc¸o˜es de Firewalls aplicac¸o˜e para detecc¸a˜o de intruso˜es e as VPN’s (Virtual Private Net-
work) que asseguram a defesa perime´trica da rede. Tambe´m disponibiliza soluc¸o˜es para a iden-
tificac¸a˜o , autenticac¸a˜o e controlo de acessos, para tal a empresa recorre a` biometria, pequenos
carto˜es, entre outros. Se pretendermos confidiencialidade e integridade a nesma companhia imple-
menta uma infraestrutura de PKI (Public Key Infraestruture) que podera´ ser integarda nas VPN’s
e em outras tecnologias do mesmo n´ıvel.Como esta empresa exitem muitas outras que oferecem
todo o tipo de soluc¸o˜es para a seguranc¸a das empresas e que se expecializam em a`reas concretas
de seguranc¸a para um melhor desempenho das suas aplicac¸o˜es. Uma destas companhias de segu-
ranc¸a e´ a Digital Persona que venceu va´rios pre´mios atribuidos por aplicac¸o˜es especializadas.
A empresa desponibiliza o Uareu Pro Server(figura), que assegura a gesta˜o centralizada para
credenciais pessoais, permitindo aos utilizadores aceder a`s funcionalidades U.are.U de qualquer
PC atrave´s da rede.
Na˜o podemos dizer que na˜o existe soluc¸o˜es para a seguranc¸a das redes. Temos sim, e´ que
nos consciencializar que este e´ um problema cada vez maior, e que requer especial atenc¸a˜o por
parte dos especialistas e sobretudo das empresas, que sa˜o alvo de maior interesse por parte dos
hackers. Se houver um bom estudo das necessidades por parte destas, o dinheiro investido para o
melhoramento da seguranc¸a e´ reembolsado. Quer queiramos quer na˜o, uma empresas que possui
seguranc¸a, suscita muito mais interesse por parte de futuros investidores.
13
Sem bem que muita gente ainda encare este mercado como pouco renta´vel. A verdade e´ que
o numero e a qualidade das soluc¸o˜es aumentaram significativamente em Portugal. Podemo-nos
questionar quantos aos motivos que conduzem a esta ascenc¸a˜o. Segundo o testemunho que vimos
anteriormente do ex-hacker, agora so´cio gerente da MrNEt, as falhas de seguranc¸a das empresas
devem-se sobretudo:
- A` relutaˆncia dos gestores em gastar dinheiro.
- A` falta de conhecimentos.
- A` enexistencia de pol´ıticas de seguranc¸a.
-Ao facto de os gestores na˜o contratarem empresas qualificadas para realizarem auditorias de
seguranc¸a.
-A` falta de auditorias no que respeita a software com bugs de seguranc¸a.
Figura 8.1: Uareu Pro Server
14
Cap´ıtulo 9
Redes de armazenamento
9.1 A revoluc¸a˜o nas redes de armazenamento.
Hoje em dia os computadores sa˜o cada vez mais utilizados. Com o aparecimento da Internet e
sistemas de redes de computadores, a transferencia de dados aumentou significativamente. Devido
a este aumento de trafego nas redes, exite necessidade de construir redes de armazenamento de
dados.
Devido a esta necessidade, muitas sa˜o as empresas que se propoem a descobrir novas soluc¸o˜es.
Este novo mercado e´ bastante atraente,e como e´ de prever os grandes fornecedores sa˜o os mais
interessados. Estes compreenderam bem o perigo que corriam se ficassem de fora deste mercado. O
risco e´ bem real, uma vez que as redes de armazenamento do tipo SAN vem libertar os backbones
das LAN’s (Rede Local)de um tra´fego em constante crescimento. Apo´s um lento arranque, a
verdadeiraadopc¸a˜o das redes de armazenamento esta´ a comec¸ar. No entanto este novo tipo
de redes na˜o constitui resposta para tudo. As empresas tem de implementar uma arquitectura
espec´ıfica bastante cara e, por outro lado, a incerteza tecnologica continua a pairar sobre a Fiber
Channel, utilizado para implementar as redes SAN.
Face a estas constatac¸o˜es, os fornecedores de equipamento de redes resolveram entar na guerra
promovendo um novo protocolo, designado por iSCSI. O iSCSI assemelha-se a um interface aplica-
cional que se encarrega de convereter os pedidos e os dados das entradas/saidas SCSI, incluido-os
nos pacotes IP.
O protocolo SCSI e´ muito utilizado ao n´ıvel do armazenamento. Como tal, as empresas que
promovem o iSCSI apostam na ideia de continuidade tecnologica. Por um lado, essa continuidade
tem a ver com o IP, um protocolo de comunicac¸a˜o que se tornou universal. Por outro lado, tem a
ver com o SCSI, omnipresente nas infra-estruturas de armazenamento e nos subsistemas de disco.
O protocolo iSCSI e´ apresntado como uma soluc¸a˜o face ao Fiber Channel para construir redes de
armazenamento. O primeiro argumento dos defensores deste protocolo baseia-se na possibilidade
de construir redes de armazenamento alargadas sem a noc¸a˜o de distaˆncia (actualmente limitada
a 10 Kms, se respeitarmos o protocolo Fiber Channel). O segundo argumento tem a ver com a
reutilizac¸a˜o da infra-estrutura de rede existente para o encaminhamento dos dados. De facto e´
aqui que os defensores do iSCSI conseguem o seu verdadeiro triunfo. A primeira preocupac¸a˜o das
empresas que trabalham neste conceito foi, introduzir um nivel de fiabilidade ao Fiber Channel,
mas capaz de funcionar numa rede Ethernet. A tarefa na˜o foi fa´cil. Os responsa´veis pela concepc¸a˜o
tiveram de alterar ligeiramente a estrutura dos pacotes IP para poderem responder a essa exigencia.
De igual modo tiveram de fazer coabitar as especificidades do SCSI com as da dupla TCP-IP. Para
15
tal foi necessa´rio modificar o comportamento do protocolo do n´ıvel de transporte e a sua func¸a˜o
de reposic¸a˜o em ordem dos pacotes foi suprimida. Essa func¸a˜o e´ agora confiada ao SCSI.
O SCSI na˜o se contenta apenas em despojar o TCP das suas func¸o˜es - tambe´m preenche algumas
das suas lacunas. Uma delas e´ incapacidade para determinar a dimensa˜o do bloco de dados apo´s a
recepc¸a˜o de uma fracc¸a˜o do mesmo. Essa informac¸a˜o foi adicionada ao cabec¸alho do pacote iSCSI.
As modificac¸o˜es na˜o se limitam a essa informac¸a˜o. Tambe´m foi adicionado o enderec¸o do
controlador SCSI de destino e o enderec¸o da unidade lo´gica visada, e ainda a acrescentar um
marcador de sincronizac¸a˜o, que facilita a identificc¸a˜o dos dados SCSI em falta quando se perde
um pacote.
Os mecanismos referidos na˜o sa˜o o suficiente para regular tudo. A seguranc¸a estava totalmente
ausente da recomendac¸a˜o, apesar de os dados se terem tornado altamente estrate´gicos.
Conscientes de que esta dimensa˜o era um dos aspectos para o sucesso do iSCSI, os promotores
do novo protocolo propuseram ao IETF() uma recomendac¸a˜o para asseguram a seguranc¸a das
transac¸o˜es. Tal recomendac¸a˜o foi designada por iSCSI Security Layer.
Com todas estas armas o iSCSI tem tudo para se impor. No entanto mesmo os mais fer-
vorosos defensores deste protocolo reconhecem que, apesar de ja´ estarem disponiveis no mercado
os primeiros equipamentos, a sua generalizac¸a˜o so´ acontecera´ daqui a alguns anos. Quer isto dizer
que as empresas devera˜o esperar pela maturac¸a˜o dos equipamentos e do mercado?!
Em principio sim. As empresas que tem de implementar actualmente uma rede de armazena-
mento tera˜o todo o interesse em instalar uma SAN e recorrer ao Fiber Channel. Os seus investi-
mentos na˜o sera˜o colocados em causa por efectuarem a escolha. Antes pelo contra´rio. Ale´m de
resolverem os seus problemas actuais, esta˜o a preparar o futuro.
O Fiber Channel e o iSCSIbaseiam-se nos mesmos comandos.
Os fornecedores esta˜o mesmo a trabalhar no sentido de fazer coabitar e comunicar estes dois tipos
de redes. As redes SAN-Fibre Channel sera˜o utilizadas para resolver os problemas de armazena-
mento encontrados nas instalac¸o˜es das empresas. Por sua vez, os equipamentos iSCSI servira˜o para
ligar a baixo custo as diferentes instalac¸o˜es que albergam SAN’s. Sera˜o assim criadas verdadeiras
redes alargadas.
16
Figura 9.1: TotalStorage IP
17
Cap´ıtulo 10
Um exemplo de seguranc¸a
10.1 O Instituto das Tecnologias de Informac¸a˜o na Justic¸a
(ITIJ) optou por implementar uma PKI
Temos falado em seguranc¸a: empresas que criam soluc¸o˜es para combater os assaltos a`s redes
por parte dos hackers, va´rios tipos de software adquiridos por companhias para implementar nos
seus sistemas. Temos um exemplo concrecto da aplicac¸a˜o de um sistema de seguranc¸a numa a´rea
onde esta e´ um factor primordial.
O Instituto das Tecnologias de Informac¸a˜o na Justic¸a (ITIJ) adoptou uma infraestutura de PKI
para assegurar os servic¸os transportados na rede de comunicac¸a˜o do Ministe´rio da Justic¸a.
O ITIJ e´ um instituto publico sujeito a` superintendeˆncia e a` tutela do ministro da Justic¸a.
Em paralelo com o projecto desenvolvido para assegurar a seguranc¸a neste ministe´rio, o ITIJ
foi designado como Autoridade Credenciadora em Portugal, ou seja sera´ o organismo que vai
credenciar outras entidades de certificac¸a˜o. Assim os certificados emitidos tera˜o validade jur´ıdica.
Como funciona o sistema de seguranc¸a?
Para evitar os acessos feitos a partir do exterior e´ necessa´rio um grande cuidado na a´rea da
seguranc¸a, pois esta entidade e´ alvo de dezenas de ataques dia´rios. Por exemplo nas ultimas
eleic¸o˜es, e so´ durante a noite, foram registados 3 milho´es de hits (golpes), dos quais 10 por cento
vindos dos Estados Unidos. Muitos desses acessos eram tentativas de assalto a` rede.
Um dos objectivos prima´rios deste projecto consistia em permitir a troca segura de correio
electro´nico entre todos os utilizadores do Ministe´rio da Justic¸a. Nesta vertente a encriptac¸a˜o
garantiria ainda que o conteudo dos documentos na˜o fosse adulterado.
Por outro lado, havia a questa˜o de assegurar a informac¸a˜o sensivel que este ministe´rio lida
dia´riamente.
Identificados os objectivos e necessidades, era necessa´rio implementar uma infra-estrutura de
PKI (Public Key Infraestruture).
A PKI possui uma route CA (Autoridade Certificadora), uma sub-autoridade certificadora e
uma RA (Autoridade Registadora), responsa´vel pelo recebimento dos pedidos e emissa˜o dos cer-
tificados. As pessoa preenchem o formula´rio via e-mail ou via browser, esta entidade valida os
18
dados, aprovando ou negando o pedido. Posteriormente este pedido e´ submetido a` CA, a qual
emite os certificados relativos ao utilizador.
A CA esta´ interligada com uma impressora de carto˜es que, ale´m de imprimir o layout do carta˜o,
gera no seu pin os pares de chaves e coloca o certificado da pessoa. A RA emite depois um pin
que e´ enviado para casa de forma confidencial.
Existe tambe´m um kit que e´ composto pelo leitor de carto˜es, pelo CD de instalac¸a˜o, pelo manual
de utilizac¸a˜o e pelo certificdo. Isto tudo e´ enviado para o local de trabalho da pessoa.
Dados estes passos, a pessoa tera´ apenas de instalar o kit e obtera´ desde logo acesso atrave´s
de um login seguro. A partir desse momento, deixa de entrar com o normal login do Windows e
passa a entar com o carta˜o, sendo-lhe pedido o pin. A n´ıvel se software e´ instalada uma aplicac¸a˜o
que permitira´ assinar e cifrar e-mails, que tanto podem ser enviados para dentro como par fora do
ministe´rio (desde que o receptor externo tenha condic¸o˜es de conhecer a CA). A utilizac¸a˜o de carto˜es
deve-se ao facto de tambe´m servirem de identificac¸a˜o de funciona´rio para acesso a determinados
locais.
Toda esta estrutura encontra-se na rede interna,sendo necessa´rio ultrapassar 2 firewalls caso se
tente aceder a partir do exterior. A base de dados encontra-se encriptada. Para acerder a` CA,
sera´ necessa´rio ter a combinac¸a˜o de 2 carto˜es criptografados (que 2 pessoas possuem) e colocar-se
um pin. So´ as pessoas credenciadas conseguem aceder. A route CA esta´ off-line e dentro de um
cofre, por sua vez colocado numa zona blindada, e a sub-CA tambe´m se encontra protegida e so´
comunica com a RA.
Para ale´m dos certificados serem colocados no carta˜o, a chave publica e´ publicada num directo´rio
publico.
Esta entidade optou tambe´m por criar dois pares de chaves, um para a assinatura e outro para
a cifra, tudo devido ao na˜o repu´dio. A CA na˜o pode guardar a chave privada que assina, e
como pode surgir a situac¸a˜o de a pessoa perder o carta˜o e na˜o conseguir cifrar os documentos, e´
conveniente ter um par de chaves para cada pessoa, de modo que a possam fornecer a` pessoa em
caso de necessidade.
Se o utilizador se enganar treˆs vezes seguidas na introduc¸a˜o do co´digo, acontece exactamente
como com os carto˜es multibanco, o sistem bloqueia.
Com este me´todo e´ possivel qualquer magistrado em qualquer pa´ıs da Unia˜o Europeia entrar
em contacto com outro magistrado de outro pais da U.E.. Basta ligar-se ao site da instituic¸a˜o
para obter o enderec¸o de e-mail correcto e os dados de contacto para enviar os documentos.
Foi esta a tecnologia implementada pelo Ministe´rio da Justic¸a para assegurar a seguranc¸a na
transferencia de dados.
19
Cap´ıtulo 11
Definic¸o˜es
11.1 O que e´ um(a)...
O que e´ uma Firewall?
Uma firewall e´ uma barreira inteligente entre a uma rede local e a Internet, atrave´s da qual so´
passa tra´fego autorizado. Este tra´fego e´ examinado pela firewall em tempo real e a selecc¸a˜o e´ feita
de acordo com a regra ”o que na˜o foi expressamente permitido, e´ proib´ıdo“. Para criar as regras
com as quais a firewall selecciona o tra´fego, seleccione os servic¸os da Internet, os enderec¸os IP e
as estac¸o˜es para as quais o tra´fego sera´ permitido ou negado.
Caracter´ısticas de um sistema de firewall ”seguro“:
Resumidamente podemos dizer que uma firewall deve ser capaz de ter acesso, analisar e utilizar
os seguintes pontos:
Informac¸o˜es da conexa˜o - informac¸o˜es de todas as sete camadas.
Estado derivado da conexa˜o - o estado que derivou das comunicac¸o˜es pre´vias. Por exemplo, a
sa´ıda do comando PORT de uma sessa˜o de FTP poderia ser salvo de forma que uma conexa˜o FTP
de dados poderia verificar sua validade.
Estado derivado da aplicac¸a˜o - o estado derivado de outras aplicac¸o˜es. Por exemplo, a um
utilizador previamente autenticado so´ seria permitido acesso a servic¸os autorizados via firewall.
Manipulac¸a˜o de informac¸a˜o - a facilidade de manipulac¸a˜o das informac¸o˜es baseadas em todos
os factores acima.
Quem necessita de uma Firewall??
Toda rede local com ligac¸a˜o dedicada a` Internet precisa de protecc¸a˜o. Estat´ısticas mostram que
empresas americanas perderam mais de US 5.2 bilho˜es, nos u´ltimos treˆs anos, devido a ataques de
hackers. E´ um engano pensar que somente as grandes organizac¸o˜es sa˜o alvo de hackers. Qualquer
empresa com ligac¸a˜o dedicada a` Internet e´ um alvo, pois as ferramentas automa´ticas de hackers
atacam milhares de enderec¸os por hora e penetram no primeiro site desprotegido.
Curiosidade:
20
Existem mais de 80.000 sites na pro´pria Internet dedicados a atividades de hacking onde e´
possivel obter ferramentas para invasa˜o de sistemas.
NEXT (Near End Crosstalk):
Chama-se Near End Crosstalk devido ao facto do crosstalk entre o par transmissor e receptor
ser maior quando o sinal ainda na˜o foi afectado pela atenuac¸a˜o, o pior caso ocorre no extremo em
que o sinal e´ transmitido.
Intranet:
Nome dado a uma rede interna de uma empresa.
PABX:
E´ uma central telefo´nica
RAS Servers:
Sa˜o servidores dedicados ao acesso remoto de utilizadores a uma LAN quando estes na˜o estam
dentro dela.
Haking:
Acto feito pelo hacker.
Hacker:
O contacto constante com o computador e a vontade de fazer com que ele obedec¸a faz surgir o
indiv´ıduo ”fussador“, que despreza a ideia de frequentar um curso ou pagar a um profissional para
que o ensine a usar um programa. Alguns fazem dessa facilidade com a ma´quina uma profissa˜o e
mudam de ramo. A vontade de explorar este universo eletro´nico transforma o indiv´ıduo. Tentando
definir, os hackers sa˜o basicamente gurus da informa´tica que adoram aprender como os sistemas
funcionam, pessoas com um racioc´ınio lo´gico extremo, ale´m de uma grande capacidade de assimilar
novos conhecimentos.
Aqui e´ que muitas ideias diferem, ha´ hackers que entram em sistemas por divertimento (ino´cuos,
ex. escrevem ”Ola´, adeus“ e saem), para ”chatear“ (ex. modificam ficheiros), para furtar in-
formac¸a˜o particular (documentos, identificac¸a˜o, etc.) ou libertar informac¸a˜o ao pu´blico. Na˜o se
limitam, obviamente, a estes tipos de indiv´ıduos. Seja qual for a intensa˜o, quase todos possuem
um co´digo nobre pro´prio ou uma causa.
Biometria:
BIOMETRIA significa, literalmente, MEDIDA DA VIDA. No mundo da seguranc¸a, biometria
se refere aos ME´TODOS AUTOMATIZADOS para IDENTIFICAC¸A˜O de pessoas com base nas
suas CARACTERI´STICAS f´ısicas u´nicas ou aspectos comportamentais.
SCM (Supply Chain Management - ou Gerenciamento da Cadeia de Suprimentos):
21
O SCM, como o pro´prio nome diz, e´ utilizado para gerenciar a cadeia de suprimentos da empresa,
formado por um conjunto de estrate´gias, ferramentas e tecnologias utilizadas para gerenciar a
cadeia de suprimentos da empresa. Esta´ tambe´m intimamente ligada a` log´ıstica, pois deve vislum-
brar as formas mais interessantes para a movimentac¸a˜o de mate´rias-primas e produtos acabados
nas empresas, proporcionando uma economia nos processos.
VPN(Virtual Private Network):
Virtual Private Network (VPN) ou Rede Privada Virtual e´ uma rede privada (rede com acesso
restrito) constru´ıda sobre a infra-estrutura de uma rede pu´blica (recurso pu´blico, sem controle
sobre o acesso aos dados), normalmente a Internet. Ou seja, ao inve´s de se utilizar links dedicados
ou redes de pacotes (como X.25 e Frame Relay) para conectar redes remotas, utiliza-se a infra-
estrutura da Internet, uma vez que para os utilizadores a forma como as redes esta˜o conectadas e´
transparente.
Utilizar a Internet como a infra-estrutura para conectar redes privadas e´ uma o´ptima soluc¸a˜o
em termos de custos mas, na˜o estamos a esquecer de um aspecto? A Internet e´ uma rede pu´blica,
onde os dados em circulac¸a˜o podem ser ”lidos“ por qualquer equipamento. Como fica enta˜o a
questa˜o da seguranc¸a e em especial a confidencialidade das informac¸o˜es corporativas?
Para incorporar seguranc¸a na comunicac¸a˜o entre as redes privadas e´ necessa´ria uma forma de
trocar dados criptografados (codificados) de forma que, se os dados forem capturados durante
a transmissa˜o, na˜o possam ser decifrados. Os dados circulam criptografados pela Internet em
”tu´neis virtuais”, criados por dispositivos VPN que utilizam criptografia; e esses dispositivos que
sa˜o capazes de ”entender“ os dados criptografados formam uma ”rede virtual“ sobre a rede pu´blica.
E´ essa rede virtual que e´ conhecida como VPN.
Os dispositivos responsa´veis pela formac¸a˜o e gerenciamento dessa rede virtual, para propor-
cionarem uma comunicac¸a˜o com seguranc¸a, devem ser capazes de garantir:
- Privacidade dos dados, ou seja, caso os dados sejam interceptados durante a transmissa˜o, na˜o
podem ser descodificados. Integridade dos dados, ale´m de na˜o serem descodificados (privacidade),
os dados na˜o podem ser modificados durante a transmissa˜o. Autenticac¸a˜o, garantia de que os dados
esta˜o a ser transmitidos ou recebidos do dispositivo remoto autorizado e na˜o de um equipamento
qualquer, ou seja, garantiaque o dispositivo remoto com o qual o tu´nel foi estabelecido e´ o
dispositivo remoto autorizado e na˜o outro equipamento que se ”faz passar por ele“.
Redes SAN:
SAN ou Storage Area Netork, e´ uma rede cujo objectivo e´ a interconexa˜o de unidades de
armazenamento, e que tem ligac¸a˜o a servidores, permitindo a cada um destes aceder directamente
em protocolo de entrada-sa´ıda a qualquer uma daquelas unidades.
A sua funcionalidade baseia-se na tecnologia o´ptica Fibre Channel que permite transfereˆncias
de 1.000 Megabits por segundo a distaˆncias de va´rias centenas de metros. Conforme a topologia
da rede, por concentradores (hubs) ou comutadores switchs) assim os clientes partilhara˜o a banda
de 100MB ou sera´ poss´ıvel ter dezenas de comunicac¸o˜es simultaneas a 100MB cada uma.
Em relac¸a˜o a`s arquitecturas cla´ssicas, em que o armazenamento e´ um recurso privado directa-
mente ligado ao servidor, o conceito de SAN traz soluc¸o˜es novas de gesta˜o da informac¸a˜o.
22
Esta consolidac¸a˜o do armazenamento tem naturalmente um crescimento modular em espac¸o
e largura de banda. E estando o conjunto dos recursos acess´ıvel, sera´ mais fa´cil harmonizar o
espac¸o de armazenamento com as necessidades das aplicac¸o˜es. Canalizando as transfereˆncias de
dados, a SAN alivia as redes locais e acelera considera´velmente as operac¸o˜es mais morosas como
os backups. E fazendo directamente a administrac¸a˜o do armazenamento, retira essa carga de cima
dos servidores.
Fiber Channel:
E´ uma arquitectura de transfereˆncia de dados em se´rie desenvolvidos por um conso´rcio de
fabricantes de computadores e de despositivos de armazenamento de dados
iSCSI:
Protocolo que consiste em ”empacotar“ num pacote IP-Ethernet os dados de entrada/saida
SCSI oriundos de um cesso ao disco.
SCSI(small computer system interface):
Mais conhecido como scuzzy. E´ um interface de transferencia de dados usado para ligar dis-
positivos (disco r´ıgido, cdROM’s, ...)ao computador, este interface e´ bastante mais ra´pido que o
interface IDE usados nos PC’s normais. E´ simultaneamente um modo de transporte fisico e um
protocolo que gere os comandos e controlos de leitura-escrita de dados num disco. Baseia-se num
bus materializado num cabo de par de cobre, com base no qual os dados sa˜o transmitidos de forma
paralela.
HTTPs:
E´ um protocolo de transmissa˜o segura de dados em todo o mundo da Internet. Enquanto o SSL
cria uma ligac¸a˜o segura entre o cliente e o servidor sobre a qual qualquer quantidade de dados
podem ser enviados de uma forma segura. Por enquanto o SSL e HTTPs sa˜o tecnologias que se
complementam em vez de competirem entre si.
SSL:
E´ um protocolo desenvolvido pela NetScape para a transmissa˜o de documentos privados pela
Internet. O SSL funciona encriptando os dados atrave´s de uma chave publica.
23
Cap´ıtulo 12
Conclusa˜o:
12.1 Conclusa˜o:
A elaborac¸a˜o deste trabalho sobre a revista REDES - A primeira revista sobre Redes e Telecomu-
nicac¸o˜es em que o tema principal era a Seguranc¸a permitiu ficar a saber um pouco mais sobre a
sua necessidade, soluc¸o˜es, empresas que se dedicam a esta a´rea, testemunhos, ...
Permitiu tambe´m ficar a conhecer o LATEX, programa em que o trabalho foi feito, dado ainda
na˜o o conhecer ate´ enta˜o.
Trabalho elaborado por :
Mo´nica de Sousa - no4342 - Engenharia Informa´tica
24