Baixe o app para aproveitar ainda mais
Prévia do material em texto
Trabalho sobre a revista REDES de Fevereiro de 2002 - SEGURANC¸A ainda na˜o e´ prioridade. Instituto Polite´cnico de Tomar - Engenharia Informa´tica - Redes de Dados II 2 de Janeiro de 2003 Conteu´do 1 Editorial 4 1.1 Editorial . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 2 Seguranc¸a nos nego´cios 5 2.1 Seguranc¸a no B2B, o que e´... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 3 PKI - Public Key Infraestruture 7 3.1 O que e´? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 4 Cablagem 8 4.1 Cablagem de alto de´bito . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 5 A ilegalidade... 10 5.1 O cibercrime . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 6 Existe sempre algue´m ... 11 6.1 ... que zela pela nossa seguranc¸a. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 7 Testemunho... 12 7.1 Joa˜o Laureano, um ex-hacker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 8 A seguranc¸a e´ cada vez mais escassa 13 8.1 Queixamo-nos mas afinal... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 9 Redes de armazenamento 15 9.1 A revoluc¸a˜o nas redes de armazenamento. . . . . . . . . . . . . . . . . . . . . . . . 15 10 Um exemplo de seguranc¸a 18 10.1 O Instituto das Tecnologias de Informac¸a˜o na Justic¸a (ITIJ) optou por implementar uma PKI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 11 Definic¸o˜es 20 11.1 O que e´ um(a)... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 12 Conclusa˜o: 24 12.1 Conclusa˜o: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 1 Lista de Figuras 2.1 Seguranc¸a no B2B . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 4.1 Cablagem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 5.1 Alguns nu´meros... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 8.1 Uareu Pro Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 9.1 TotalStorage IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 2 Prefacio Este trabalho tem como base a Revista REDES, a qual fala sobre seguranc¸a. Este trabalho incide principalmente em mostrar o quanto as organizac¸o˜es esta˜o consciencial- izadas para o problema da a seguranc¸a nas suas redes. Podemos ter esta precepc¸a˜o atrave´s de alguns testemunhos, tipos de seguranc¸a, empresas que criam soluc¸o˜es e verificam o quanto e´ seguro a rede das organizac¸o˜es, um exemplo de uma organizac¸a˜o que implantou um sistema de seguramc¸a, ... 3 Cap´ıtulo 1 Editorial 1.1 Editorial Esta edic¸a˜o tem como principal destaque a Seguranc¸a, palavra que surge sempre que falamos sobre Internet e come´rcio electro´nico. Mas afinal o que e´ isso de seguranc¸a? Cada vez mais se utiliza a Internet para fazermos aquilo que ate´ a` um tempo atra´s so´ se poderia fazer se nos deslocassemos de nossa casa. Podemos fazer compras, pesquizas, movimentos banca´rios, nego´cios, ... uma infinidade de coisas! E ate´ que ponto podemos estar seguros de que tudo o que fazemos via Internet e´ confidencial?! Ate´ que ponto as organizac¸o˜es esta˜o preparadas para que as suas redes sejam seguras? Este assunto e´ o que mais preocupa os responsa´veis por redes e sistemas. Na˜o basta adicionar uma firewall (”parede de fogo”)para resolver o problema. Os responsa´veis por redes e sistemas devera˜o ter a ma´xima atenc¸a˜o a`s integrac¸o˜es de aplicac¸o˜es de redes de sistemas, pois estes locais sa˜o bastante vulnera´veis a ataques. Uma firewall e´ indis- pensa´vel, mas na˜o o suficiente. Por exemplo, para que serve uma firewall na ligac¸a˜o a` Internet quando temos uma rede interna de computadores com modems capazes de atender chamadas?! Qual e´ a politica de gesta˜o de acessos para os utilizadores dessa rede?! O que faremos quando um trabalhador abandona a empresa?! Todos tem acesso aos locais mais sensiveis?! Estas questo˜es sa˜o bastante importantes, pois muitos dos ataques de seguranc¸a partem do interior das pro´prias empresas. E´ evidente que a seguranc¸a total na˜o existe, e que para se obter pequenos ganhos na seguranc¸a implica grandes investimentos, mas na˜o podemos ver isso como um custo, pelo contra´rio. 4 Cap´ıtulo 2 Seguranc¸a nos nego´cios 2.1 Seguranc¸a no B2B, o que e´... A seguranc¸a das transac¸o˜es electro´nicas e´ posta em causa com o aumento do cibercrime. Uma das soluc¸o˜es que ganha cada vez mais adeptos e´ a PKI. A utilizac¸a˜o do B2B (business to business) pode ser bastante renta´vel para as empresas que adoptem este sistema de nego´cio. Perante as prespectivas na reduc¸a˜o elevada de custos, os exec- utivos tendem a escolher o B2B como standar de nego´cio. Numa transac¸a˜o B2B as entidades envolvidas na˜o sa˜o autenticadas na Internet, que por um lado e´ bom, garante a confidencialidade, mas por outro torna-se uma desvantagem para a divulgac¸a˜o do nego´cio. Com a utilizac¸a˜o da PKI, os utilizadores podem colmatar esta lacuna. A PKI garante a privacidade de todo o processo B2B. Esta tecnologia esta´ a ser alvo de um tratamento legal profundo nomeadamente no que respeita a` sua utilizac¸a˜o para efeitos de facturac¸a˜o electro´nica e assinatura legal. Se esta tecnologia for implementada em cima de processos mal calculados e investimentos des- fazados, pode-se tornar um investimneto bastante caro e de dificil recuperac¸a˜o moneta´ria. 5 Figura 2.1: Seguranc¸a no B2B 6 Cap´ıtulo 3 PKI - Public Key Infraestruture 3.1 O que e´? O crescimento do come´rcio electro´nico faz surgir uma questa˜o muito importante para o seu sucesso - a confidencialidade das transacc¸o˜es on-line. A Public Key Infrastructure (PKI), e´ uma arquitectura de software e hardware para garantir a seguranc¸a da transmissa˜o de dados, e comec¸a a impor-se como a alternativa mais via´vel. E´ o me´todo mais utilizado para autenticar o remetente de uma mensagem e para encriptar a mesma. Uma chave privada e´ a parte da informac¸a˜o que nos identifica com exclusividade dentro de uma infraestrutura de PKI. Qualquer pessoa que tenha acesso a` chave privada pode fazer-se passar por no´s sem ser descoberto. Assim, a chave privada deve ser algo sigiloso. A PKI serve como um cofre impenetra´vel para a chave privada, assegurando que apenas o utilizador tem acesso a ela. A PKI tornou-se num standard no que respeita a` transac¸a˜o segura de dados atrave´s da Internet. Certificado Digital: O certificado digital e´ a parte publica da sua ID Digital (Identificac¸a˜o Digital). Ele conte´m o seu nome e outras formas de identificac¸a˜o, e tambe´m conte´m a chave publica, que esta´ matema´ticamente relacionada com a chave privada. Ao usar o certificado digital, as outras pessoas podem comprovar que temos a nossa chave privada, e que somos realmente no´s. Os IDs Digitais sa˜o criados por treˆs etapas: 1 - No´s geramos um par de chaves pu´blica e privada. a chave pu´blica e´ enviada para uma Autoridade de Certificac¸a˜o (CA). 2 - A CA verifica se a chave publica enviada e´ mesmo a nossa. Se for, a CA cria um certificado digital e envia-nos as instruc¸o˜es de como obter o certificado digital. 3 - Transfere-se enta˜o o nosso certificado digital, completando assim o ID Digital. -¿ Embora este processo parec¸a complicado, na pra´tica e´ bastante simples. A maioria dos detalhes e´ manipulada nos bastifores do software. 7 Cap´ıtulo 4 Cablagem 4.1 Cablagem de alto de´bito Temos falado de redes, o que implica ligac¸o˜es entre computadores. Vamos falar sobre a cablagem de alto de´bito. Em qualquer transmissa˜o existesempre uma relac¸a˜o sinal/ruido. Num sistema de cablagem o u´nico ruido medido e´ a diafonia por cada par entranc¸ado. Devido ao ambiente, nenhum ruido externo afecta a cablagem. No entanto, num sistema de cablagem existem cabos adjacentes, que va˜o interferir entre sim quando existem transmisso˜es. A este ruido da´-se o nome de Alien Crosstalk. Este ruido na˜o e´ previsivel, depende da organizac¸a˜o dos cabos, e tende a aumentar com a distaˆncia. Se houver uma ma´ escolha na cablagem, corremos o risco de na˜o atingir o rendimento ma´ximo, mesmo que sejam respeitadas todas as normas. Realizaram-se testes pela IBM num cabo na˜o blindado (UTP - Unishielded Twisted Pair) e verificou-se que o ruido aumentava com a distaˆncia. Apesar de individualmente poder disponibilizar os desempenhos em termos de NEXT (Near End Crosstalk) ou FEXT (Far End Crosstalk), o UTP na˜o esta´ imunizado contra os ruidos externos. So´ a blindagem por par e global permite garantir a imunidade ao ruido. 8 Figura 4.1: Cablagem 9 Cap´ıtulo 5 A ilegalidade... 5.1 O cibercrime Cada vez mais se houve falar no cibercrime e nos seus autores. Na˜o se consegue fazer uma estimativa de quanto as empresas perdem devido aos ciberpiratas. O roubo da informac¸a˜o, a sabotagem de redes atrave´s de viru´s sa˜o alguns dos ataques mais frequentes. Uma das principais preocupac¸o˜es e´ saber a identidade dos ciberpiratas. Muito se tem feito para combater o cibercrime, mas a grande dificuldade consiste na material- izac¸a˜o das politicas de seguranc¸a que ja´ foram definidas. Va´rias reunio˜es foram feitas a n´ıvel Europeu para debater este caso de onde nasceram alguns dos princ´ıpios essenciais para combater o cibercrime. Antes de tudo e´ necessa´rio estabelecer uma verdadeira cooperac¸a˜o entre Computer Emergency Response Teams (CERTS) para respon- der rapidamente a quaisquer incidentes e falhas de seguranc¸a nos va´rios pa´ıses. Por outro lado, pede-se a criac¸a˜o de sinergias entre os membros da UE, noemadamente no que respeita a` documentac¸a˜o e a` analise de problemas de seguranc¸a das redes, tanto ao nivel da comunidade europeia como ao estatal. Figura 5.1: Alguns nu´meros... 10 Cap´ıtulo 6 Existe sempre algue´m ... 6.1 ... que zela pela nossa seguranc¸a. Entre va´rias empresas do sector, destaca-se a CF6 que se dedica a` verificac¸a˜o da seguranc¸a das redes empresariais. Esta empresa foi adquirida pela Telinduse especializou-se em testar a seguranc¸a das redes atrave´s de te´cnicas e ferramentas utilizadas pelos hackers. A companhia penetra na redes das empresas e verifica as falhas de seguranc¸a das mesmas, aconselhando-as quanto a` melhor forma de agir. A CF6 conta apenas com cerca de 50 colaboradores, numero suficiente para que esta possa controlar todos aqueles que zelam pera seguranc¸a dos seus clientes. Pois estes especialistas va˜o ter acesso a informac¸o˜es confidenciais, e se fossem em maior nu´mero era dif´ıcil manter o controlo. Ha´ que ter em conta que o mercado hacker e´ muito renta´vel, especialmente no que envolve a venda de informac¸a˜o. Esta empresa especializou-se em todo o tipo de intruso˜es, a n´ıvel da Internet, de intranet’s, do PABX e de RAS Servers. 11 Cap´ıtulo 7 Testemunho... 7.1 Joa˜o Laureano, um ex-hacker Temos o testemuno de Joa˜o Paulo Laureano, um ex-hacker que nos diz, melhor que ningue´m, que as empresas esta˜o muito vulnera´veis a ataques de hackers, tanto a n´ıvel da Internet, mas tambe´m a n´ıvel das redes internas. As empresas ainda na˜o esta˜o consciencializadas para este problema, so´ tomam medidas depois de serem alvo e algum tipo de ataque. Como se costuma dizer: Casa roubada, trancas a` porta! 12 Cap´ıtulo 8 A seguranc¸a e´ cada vez mais escassa 8.1 Queixamo-nos mas afinal... Todos reclamam que a seguranc¸a e´ cada vez mais escac¸a, e que nunca se sabe quando temos algum ”amigo do alheio”por de tra`s a envadir a nossa privacidade! Mas vistas bem as coisas, as pessoas e´ que ainda continuam renitentes quanto a` implementac¸a˜o de soluc¸o˜es para a seguranc¸a. Existe um grande leque de empresas portuguesas fornecedoras de soluc¸o˜es para o mais variado tipo de problemas. Mas tambe´m poderiamos por a questa˜o que ate´ que ponto estas empresas sa˜o crediveis?! Esta mesmo fora de questa˜o, pois as empresas nacionais esta˜o ao n´ıvel das europeias, para na˜o falar que se encontram nos primeiros lugares! Temos o exemplo da Compta que disponibiliza servic¸os de consultadoria e auditoria e fornece soluc¸o˜es de alguns fabricantes como a CheckPoint, a Nokia, entre outros. Esta empresa fornece desde soluc¸o˜es de Firewalls aplicac¸o˜e para detecc¸a˜o de intruso˜es e as VPN’s (Virtual Private Net- work) que asseguram a defesa perime´trica da rede. Tambe´m disponibiliza soluc¸o˜es para a iden- tificac¸a˜o , autenticac¸a˜o e controlo de acessos, para tal a empresa recorre a` biometria, pequenos carto˜es, entre outros. Se pretendermos confidiencialidade e integridade a nesma companhia imple- menta uma infraestrutura de PKI (Public Key Infraestruture) que podera´ ser integarda nas VPN’s e em outras tecnologias do mesmo n´ıvel.Como esta empresa exitem muitas outras que oferecem todo o tipo de soluc¸o˜es para a seguranc¸a das empresas e que se expecializam em a`reas concretas de seguranc¸a para um melhor desempenho das suas aplicac¸o˜es. Uma destas companhias de segu- ranc¸a e´ a Digital Persona que venceu va´rios pre´mios atribuidos por aplicac¸o˜es especializadas. A empresa desponibiliza o Uareu Pro Server(figura), que assegura a gesta˜o centralizada para credenciais pessoais, permitindo aos utilizadores aceder a`s funcionalidades U.are.U de qualquer PC atrave´s da rede. Na˜o podemos dizer que na˜o existe soluc¸o˜es para a seguranc¸a das redes. Temos sim, e´ que nos consciencializar que este e´ um problema cada vez maior, e que requer especial atenc¸a˜o por parte dos especialistas e sobretudo das empresas, que sa˜o alvo de maior interesse por parte dos hackers. Se houver um bom estudo das necessidades por parte destas, o dinheiro investido para o melhoramento da seguranc¸a e´ reembolsado. Quer queiramos quer na˜o, uma empresas que possui seguranc¸a, suscita muito mais interesse por parte de futuros investidores. 13 Sem bem que muita gente ainda encare este mercado como pouco renta´vel. A verdade e´ que o numero e a qualidade das soluc¸o˜es aumentaram significativamente em Portugal. Podemo-nos questionar quantos aos motivos que conduzem a esta ascenc¸a˜o. Segundo o testemunho que vimos anteriormente do ex-hacker, agora so´cio gerente da MrNEt, as falhas de seguranc¸a das empresas devem-se sobretudo: - A` relutaˆncia dos gestores em gastar dinheiro. - A` falta de conhecimentos. - A` enexistencia de pol´ıticas de seguranc¸a. -Ao facto de os gestores na˜o contratarem empresas qualificadas para realizarem auditorias de seguranc¸a. -A` falta de auditorias no que respeita a software com bugs de seguranc¸a. Figura 8.1: Uareu Pro Server 14 Cap´ıtulo 9 Redes de armazenamento 9.1 A revoluc¸a˜o nas redes de armazenamento. Hoje em dia os computadores sa˜o cada vez mais utilizados. Com o aparecimento da Internet e sistemas de redes de computadores, a transferencia de dados aumentou significativamente. Devido a este aumento de trafego nas redes, exite necessidade de construir redes de armazenamento de dados. Devido a esta necessidade, muitas sa˜o as empresas que se propoem a descobrir novas soluc¸o˜es. Este novo mercado e´ bastante atraente,e como e´ de prever os grandes fornecedores sa˜o os mais interessados. Estes compreenderam bem o perigo que corriam se ficassem de fora deste mercado. O risco e´ bem real, uma vez que as redes de armazenamento do tipo SAN vem libertar os backbones das LAN’s (Rede Local)de um tra´fego em constante crescimento. Apo´s um lento arranque, a verdadeiraadopc¸a˜o das redes de armazenamento esta´ a comec¸ar. No entanto este novo tipo de redes na˜o constitui resposta para tudo. As empresas tem de implementar uma arquitectura espec´ıfica bastante cara e, por outro lado, a incerteza tecnologica continua a pairar sobre a Fiber Channel, utilizado para implementar as redes SAN. Face a estas constatac¸o˜es, os fornecedores de equipamento de redes resolveram entar na guerra promovendo um novo protocolo, designado por iSCSI. O iSCSI assemelha-se a um interface aplica- cional que se encarrega de convereter os pedidos e os dados das entradas/saidas SCSI, incluido-os nos pacotes IP. O protocolo SCSI e´ muito utilizado ao n´ıvel do armazenamento. Como tal, as empresas que promovem o iSCSI apostam na ideia de continuidade tecnologica. Por um lado, essa continuidade tem a ver com o IP, um protocolo de comunicac¸a˜o que se tornou universal. Por outro lado, tem a ver com o SCSI, omnipresente nas infra-estruturas de armazenamento e nos subsistemas de disco. O protocolo iSCSI e´ apresntado como uma soluc¸a˜o face ao Fiber Channel para construir redes de armazenamento. O primeiro argumento dos defensores deste protocolo baseia-se na possibilidade de construir redes de armazenamento alargadas sem a noc¸a˜o de distaˆncia (actualmente limitada a 10 Kms, se respeitarmos o protocolo Fiber Channel). O segundo argumento tem a ver com a reutilizac¸a˜o da infra-estrutura de rede existente para o encaminhamento dos dados. De facto e´ aqui que os defensores do iSCSI conseguem o seu verdadeiro triunfo. A primeira preocupac¸a˜o das empresas que trabalham neste conceito foi, introduzir um nivel de fiabilidade ao Fiber Channel, mas capaz de funcionar numa rede Ethernet. A tarefa na˜o foi fa´cil. Os responsa´veis pela concepc¸a˜o tiveram de alterar ligeiramente a estrutura dos pacotes IP para poderem responder a essa exigencia. De igual modo tiveram de fazer coabitar as especificidades do SCSI com as da dupla TCP-IP. Para 15 tal foi necessa´rio modificar o comportamento do protocolo do n´ıvel de transporte e a sua func¸a˜o de reposic¸a˜o em ordem dos pacotes foi suprimida. Essa func¸a˜o e´ agora confiada ao SCSI. O SCSI na˜o se contenta apenas em despojar o TCP das suas func¸o˜es - tambe´m preenche algumas das suas lacunas. Uma delas e´ incapacidade para determinar a dimensa˜o do bloco de dados apo´s a recepc¸a˜o de uma fracc¸a˜o do mesmo. Essa informac¸a˜o foi adicionada ao cabec¸alho do pacote iSCSI. As modificac¸o˜es na˜o se limitam a essa informac¸a˜o. Tambe´m foi adicionado o enderec¸o do controlador SCSI de destino e o enderec¸o da unidade lo´gica visada, e ainda a acrescentar um marcador de sincronizac¸a˜o, que facilita a identificc¸a˜o dos dados SCSI em falta quando se perde um pacote. Os mecanismos referidos na˜o sa˜o o suficiente para regular tudo. A seguranc¸a estava totalmente ausente da recomendac¸a˜o, apesar de os dados se terem tornado altamente estrate´gicos. Conscientes de que esta dimensa˜o era um dos aspectos para o sucesso do iSCSI, os promotores do novo protocolo propuseram ao IETF() uma recomendac¸a˜o para asseguram a seguranc¸a das transac¸o˜es. Tal recomendac¸a˜o foi designada por iSCSI Security Layer. Com todas estas armas o iSCSI tem tudo para se impor. No entanto mesmo os mais fer- vorosos defensores deste protocolo reconhecem que, apesar de ja´ estarem disponiveis no mercado os primeiros equipamentos, a sua generalizac¸a˜o so´ acontecera´ daqui a alguns anos. Quer isto dizer que as empresas devera˜o esperar pela maturac¸a˜o dos equipamentos e do mercado?! Em principio sim. As empresas que tem de implementar actualmente uma rede de armazena- mento tera˜o todo o interesse em instalar uma SAN e recorrer ao Fiber Channel. Os seus investi- mentos na˜o sera˜o colocados em causa por efectuarem a escolha. Antes pelo contra´rio. Ale´m de resolverem os seus problemas actuais, esta˜o a preparar o futuro. O Fiber Channel e o iSCSIbaseiam-se nos mesmos comandos. Os fornecedores esta˜o mesmo a trabalhar no sentido de fazer coabitar e comunicar estes dois tipos de redes. As redes SAN-Fibre Channel sera˜o utilizadas para resolver os problemas de armazena- mento encontrados nas instalac¸o˜es das empresas. Por sua vez, os equipamentos iSCSI servira˜o para ligar a baixo custo as diferentes instalac¸o˜es que albergam SAN’s. Sera˜o assim criadas verdadeiras redes alargadas. 16 Figura 9.1: TotalStorage IP 17 Cap´ıtulo 10 Um exemplo de seguranc¸a 10.1 O Instituto das Tecnologias de Informac¸a˜o na Justic¸a (ITIJ) optou por implementar uma PKI Temos falado em seguranc¸a: empresas que criam soluc¸o˜es para combater os assaltos a`s redes por parte dos hackers, va´rios tipos de software adquiridos por companhias para implementar nos seus sistemas. Temos um exemplo concrecto da aplicac¸a˜o de um sistema de seguranc¸a numa a´rea onde esta e´ um factor primordial. O Instituto das Tecnologias de Informac¸a˜o na Justic¸a (ITIJ) adoptou uma infraestutura de PKI para assegurar os servic¸os transportados na rede de comunicac¸a˜o do Ministe´rio da Justic¸a. O ITIJ e´ um instituto publico sujeito a` superintendeˆncia e a` tutela do ministro da Justic¸a. Em paralelo com o projecto desenvolvido para assegurar a seguranc¸a neste ministe´rio, o ITIJ foi designado como Autoridade Credenciadora em Portugal, ou seja sera´ o organismo que vai credenciar outras entidades de certificac¸a˜o. Assim os certificados emitidos tera˜o validade jur´ıdica. Como funciona o sistema de seguranc¸a? Para evitar os acessos feitos a partir do exterior e´ necessa´rio um grande cuidado na a´rea da seguranc¸a, pois esta entidade e´ alvo de dezenas de ataques dia´rios. Por exemplo nas ultimas eleic¸o˜es, e so´ durante a noite, foram registados 3 milho´es de hits (golpes), dos quais 10 por cento vindos dos Estados Unidos. Muitos desses acessos eram tentativas de assalto a` rede. Um dos objectivos prima´rios deste projecto consistia em permitir a troca segura de correio electro´nico entre todos os utilizadores do Ministe´rio da Justic¸a. Nesta vertente a encriptac¸a˜o garantiria ainda que o conteudo dos documentos na˜o fosse adulterado. Por outro lado, havia a questa˜o de assegurar a informac¸a˜o sensivel que este ministe´rio lida dia´riamente. Identificados os objectivos e necessidades, era necessa´rio implementar uma infra-estrutura de PKI (Public Key Infraestruture). A PKI possui uma route CA (Autoridade Certificadora), uma sub-autoridade certificadora e uma RA (Autoridade Registadora), responsa´vel pelo recebimento dos pedidos e emissa˜o dos cer- tificados. As pessoa preenchem o formula´rio via e-mail ou via browser, esta entidade valida os 18 dados, aprovando ou negando o pedido. Posteriormente este pedido e´ submetido a` CA, a qual emite os certificados relativos ao utilizador. A CA esta´ interligada com uma impressora de carto˜es que, ale´m de imprimir o layout do carta˜o, gera no seu pin os pares de chaves e coloca o certificado da pessoa. A RA emite depois um pin que e´ enviado para casa de forma confidencial. Existe tambe´m um kit que e´ composto pelo leitor de carto˜es, pelo CD de instalac¸a˜o, pelo manual de utilizac¸a˜o e pelo certificdo. Isto tudo e´ enviado para o local de trabalho da pessoa. Dados estes passos, a pessoa tera´ apenas de instalar o kit e obtera´ desde logo acesso atrave´s de um login seguro. A partir desse momento, deixa de entrar com o normal login do Windows e passa a entar com o carta˜o, sendo-lhe pedido o pin. A n´ıvel se software e´ instalada uma aplicac¸a˜o que permitira´ assinar e cifrar e-mails, que tanto podem ser enviados para dentro como par fora do ministe´rio (desde que o receptor externo tenha condic¸o˜es de conhecer a CA). A utilizac¸a˜o de carto˜es deve-se ao facto de tambe´m servirem de identificac¸a˜o de funciona´rio para acesso a determinados locais. Toda esta estrutura encontra-se na rede interna,sendo necessa´rio ultrapassar 2 firewalls caso se tente aceder a partir do exterior. A base de dados encontra-se encriptada. Para acerder a` CA, sera´ necessa´rio ter a combinac¸a˜o de 2 carto˜es criptografados (que 2 pessoas possuem) e colocar-se um pin. So´ as pessoas credenciadas conseguem aceder. A route CA esta´ off-line e dentro de um cofre, por sua vez colocado numa zona blindada, e a sub-CA tambe´m se encontra protegida e so´ comunica com a RA. Para ale´m dos certificados serem colocados no carta˜o, a chave publica e´ publicada num directo´rio publico. Esta entidade optou tambe´m por criar dois pares de chaves, um para a assinatura e outro para a cifra, tudo devido ao na˜o repu´dio. A CA na˜o pode guardar a chave privada que assina, e como pode surgir a situac¸a˜o de a pessoa perder o carta˜o e na˜o conseguir cifrar os documentos, e´ conveniente ter um par de chaves para cada pessoa, de modo que a possam fornecer a` pessoa em caso de necessidade. Se o utilizador se enganar treˆs vezes seguidas na introduc¸a˜o do co´digo, acontece exactamente como com os carto˜es multibanco, o sistem bloqueia. Com este me´todo e´ possivel qualquer magistrado em qualquer pa´ıs da Unia˜o Europeia entrar em contacto com outro magistrado de outro pais da U.E.. Basta ligar-se ao site da instituic¸a˜o para obter o enderec¸o de e-mail correcto e os dados de contacto para enviar os documentos. Foi esta a tecnologia implementada pelo Ministe´rio da Justic¸a para assegurar a seguranc¸a na transferencia de dados. 19 Cap´ıtulo 11 Definic¸o˜es 11.1 O que e´ um(a)... O que e´ uma Firewall? Uma firewall e´ uma barreira inteligente entre a uma rede local e a Internet, atrave´s da qual so´ passa tra´fego autorizado. Este tra´fego e´ examinado pela firewall em tempo real e a selecc¸a˜o e´ feita de acordo com a regra ”o que na˜o foi expressamente permitido, e´ proib´ıdo“. Para criar as regras com as quais a firewall selecciona o tra´fego, seleccione os servic¸os da Internet, os enderec¸os IP e as estac¸o˜es para as quais o tra´fego sera´ permitido ou negado. Caracter´ısticas de um sistema de firewall ”seguro“: Resumidamente podemos dizer que uma firewall deve ser capaz de ter acesso, analisar e utilizar os seguintes pontos: Informac¸o˜es da conexa˜o - informac¸o˜es de todas as sete camadas. Estado derivado da conexa˜o - o estado que derivou das comunicac¸o˜es pre´vias. Por exemplo, a sa´ıda do comando PORT de uma sessa˜o de FTP poderia ser salvo de forma que uma conexa˜o FTP de dados poderia verificar sua validade. Estado derivado da aplicac¸a˜o - o estado derivado de outras aplicac¸o˜es. Por exemplo, a um utilizador previamente autenticado so´ seria permitido acesso a servic¸os autorizados via firewall. Manipulac¸a˜o de informac¸a˜o - a facilidade de manipulac¸a˜o das informac¸o˜es baseadas em todos os factores acima. Quem necessita de uma Firewall?? Toda rede local com ligac¸a˜o dedicada a` Internet precisa de protecc¸a˜o. Estat´ısticas mostram que empresas americanas perderam mais de US 5.2 bilho˜es, nos u´ltimos treˆs anos, devido a ataques de hackers. E´ um engano pensar que somente as grandes organizac¸o˜es sa˜o alvo de hackers. Qualquer empresa com ligac¸a˜o dedicada a` Internet e´ um alvo, pois as ferramentas automa´ticas de hackers atacam milhares de enderec¸os por hora e penetram no primeiro site desprotegido. Curiosidade: 20 Existem mais de 80.000 sites na pro´pria Internet dedicados a atividades de hacking onde e´ possivel obter ferramentas para invasa˜o de sistemas. NEXT (Near End Crosstalk): Chama-se Near End Crosstalk devido ao facto do crosstalk entre o par transmissor e receptor ser maior quando o sinal ainda na˜o foi afectado pela atenuac¸a˜o, o pior caso ocorre no extremo em que o sinal e´ transmitido. Intranet: Nome dado a uma rede interna de uma empresa. PABX: E´ uma central telefo´nica RAS Servers: Sa˜o servidores dedicados ao acesso remoto de utilizadores a uma LAN quando estes na˜o estam dentro dela. Haking: Acto feito pelo hacker. Hacker: O contacto constante com o computador e a vontade de fazer com que ele obedec¸a faz surgir o indiv´ıduo ”fussador“, que despreza a ideia de frequentar um curso ou pagar a um profissional para que o ensine a usar um programa. Alguns fazem dessa facilidade com a ma´quina uma profissa˜o e mudam de ramo. A vontade de explorar este universo eletro´nico transforma o indiv´ıduo. Tentando definir, os hackers sa˜o basicamente gurus da informa´tica que adoram aprender como os sistemas funcionam, pessoas com um racioc´ınio lo´gico extremo, ale´m de uma grande capacidade de assimilar novos conhecimentos. Aqui e´ que muitas ideias diferem, ha´ hackers que entram em sistemas por divertimento (ino´cuos, ex. escrevem ”Ola´, adeus“ e saem), para ”chatear“ (ex. modificam ficheiros), para furtar in- formac¸a˜o particular (documentos, identificac¸a˜o, etc.) ou libertar informac¸a˜o ao pu´blico. Na˜o se limitam, obviamente, a estes tipos de indiv´ıduos. Seja qual for a intensa˜o, quase todos possuem um co´digo nobre pro´prio ou uma causa. Biometria: BIOMETRIA significa, literalmente, MEDIDA DA VIDA. No mundo da seguranc¸a, biometria se refere aos ME´TODOS AUTOMATIZADOS para IDENTIFICAC¸A˜O de pessoas com base nas suas CARACTERI´STICAS f´ısicas u´nicas ou aspectos comportamentais. SCM (Supply Chain Management - ou Gerenciamento da Cadeia de Suprimentos): 21 O SCM, como o pro´prio nome diz, e´ utilizado para gerenciar a cadeia de suprimentos da empresa, formado por um conjunto de estrate´gias, ferramentas e tecnologias utilizadas para gerenciar a cadeia de suprimentos da empresa. Esta´ tambe´m intimamente ligada a` log´ıstica, pois deve vislum- brar as formas mais interessantes para a movimentac¸a˜o de mate´rias-primas e produtos acabados nas empresas, proporcionando uma economia nos processos. VPN(Virtual Private Network): Virtual Private Network (VPN) ou Rede Privada Virtual e´ uma rede privada (rede com acesso restrito) constru´ıda sobre a infra-estrutura de uma rede pu´blica (recurso pu´blico, sem controle sobre o acesso aos dados), normalmente a Internet. Ou seja, ao inve´s de se utilizar links dedicados ou redes de pacotes (como X.25 e Frame Relay) para conectar redes remotas, utiliza-se a infra- estrutura da Internet, uma vez que para os utilizadores a forma como as redes esta˜o conectadas e´ transparente. Utilizar a Internet como a infra-estrutura para conectar redes privadas e´ uma o´ptima soluc¸a˜o em termos de custos mas, na˜o estamos a esquecer de um aspecto? A Internet e´ uma rede pu´blica, onde os dados em circulac¸a˜o podem ser ”lidos“ por qualquer equipamento. Como fica enta˜o a questa˜o da seguranc¸a e em especial a confidencialidade das informac¸o˜es corporativas? Para incorporar seguranc¸a na comunicac¸a˜o entre as redes privadas e´ necessa´ria uma forma de trocar dados criptografados (codificados) de forma que, se os dados forem capturados durante a transmissa˜o, na˜o possam ser decifrados. Os dados circulam criptografados pela Internet em ”tu´neis virtuais”, criados por dispositivos VPN que utilizam criptografia; e esses dispositivos que sa˜o capazes de ”entender“ os dados criptografados formam uma ”rede virtual“ sobre a rede pu´blica. E´ essa rede virtual que e´ conhecida como VPN. Os dispositivos responsa´veis pela formac¸a˜o e gerenciamento dessa rede virtual, para propor- cionarem uma comunicac¸a˜o com seguranc¸a, devem ser capazes de garantir: - Privacidade dos dados, ou seja, caso os dados sejam interceptados durante a transmissa˜o, na˜o podem ser descodificados. Integridade dos dados, ale´m de na˜o serem descodificados (privacidade), os dados na˜o podem ser modificados durante a transmissa˜o. Autenticac¸a˜o, garantia de que os dados esta˜o a ser transmitidos ou recebidos do dispositivo remoto autorizado e na˜o de um equipamento qualquer, ou seja, garantiaque o dispositivo remoto com o qual o tu´nel foi estabelecido e´ o dispositivo remoto autorizado e na˜o outro equipamento que se ”faz passar por ele“. Redes SAN: SAN ou Storage Area Netork, e´ uma rede cujo objectivo e´ a interconexa˜o de unidades de armazenamento, e que tem ligac¸a˜o a servidores, permitindo a cada um destes aceder directamente em protocolo de entrada-sa´ıda a qualquer uma daquelas unidades. A sua funcionalidade baseia-se na tecnologia o´ptica Fibre Channel que permite transfereˆncias de 1.000 Megabits por segundo a distaˆncias de va´rias centenas de metros. Conforme a topologia da rede, por concentradores (hubs) ou comutadores switchs) assim os clientes partilhara˜o a banda de 100MB ou sera´ poss´ıvel ter dezenas de comunicac¸o˜es simultaneas a 100MB cada uma. Em relac¸a˜o a`s arquitecturas cla´ssicas, em que o armazenamento e´ um recurso privado directa- mente ligado ao servidor, o conceito de SAN traz soluc¸o˜es novas de gesta˜o da informac¸a˜o. 22 Esta consolidac¸a˜o do armazenamento tem naturalmente um crescimento modular em espac¸o e largura de banda. E estando o conjunto dos recursos acess´ıvel, sera´ mais fa´cil harmonizar o espac¸o de armazenamento com as necessidades das aplicac¸o˜es. Canalizando as transfereˆncias de dados, a SAN alivia as redes locais e acelera considera´velmente as operac¸o˜es mais morosas como os backups. E fazendo directamente a administrac¸a˜o do armazenamento, retira essa carga de cima dos servidores. Fiber Channel: E´ uma arquitectura de transfereˆncia de dados em se´rie desenvolvidos por um conso´rcio de fabricantes de computadores e de despositivos de armazenamento de dados iSCSI: Protocolo que consiste em ”empacotar“ num pacote IP-Ethernet os dados de entrada/saida SCSI oriundos de um cesso ao disco. SCSI(small computer system interface): Mais conhecido como scuzzy. E´ um interface de transferencia de dados usado para ligar dis- positivos (disco r´ıgido, cdROM’s, ...)ao computador, este interface e´ bastante mais ra´pido que o interface IDE usados nos PC’s normais. E´ simultaneamente um modo de transporte fisico e um protocolo que gere os comandos e controlos de leitura-escrita de dados num disco. Baseia-se num bus materializado num cabo de par de cobre, com base no qual os dados sa˜o transmitidos de forma paralela. HTTPs: E´ um protocolo de transmissa˜o segura de dados em todo o mundo da Internet. Enquanto o SSL cria uma ligac¸a˜o segura entre o cliente e o servidor sobre a qual qualquer quantidade de dados podem ser enviados de uma forma segura. Por enquanto o SSL e HTTPs sa˜o tecnologias que se complementam em vez de competirem entre si. SSL: E´ um protocolo desenvolvido pela NetScape para a transmissa˜o de documentos privados pela Internet. O SSL funciona encriptando os dados atrave´s de uma chave publica. 23 Cap´ıtulo 12 Conclusa˜o: 12.1 Conclusa˜o: A elaborac¸a˜o deste trabalho sobre a revista REDES - A primeira revista sobre Redes e Telecomu- nicac¸o˜es em que o tema principal era a Seguranc¸a permitiu ficar a saber um pouco mais sobre a sua necessidade, soluc¸o˜es, empresas que se dedicam a esta a´rea, testemunhos, ... Permitiu tambe´m ficar a conhecer o LATEX, programa em que o trabalho foi feito, dado ainda na˜o o conhecer ate´ enta˜o. Trabalho elaborado por : Mo´nica de Sousa - no4342 - Engenharia Informa´tica 24
Compartilhar