Você está na página 1de 55

UNIVERSIDADE TECNOLGICA FEDERAL DO PARAN ESPECIALIZAO EM TELEINFORMTICA E REDES DE COMPUTAO UTFPR

FERNANDO DERENIEVICZ ZOTTO

SEGURANA DA INFORMAO: UMA PROPOSTA PARA SEGURANA DE REDES EM PEQUENAS E MDIAS EMPRESAS.

MONOGRAFIA DE ESPECIALIZAO

CURITIBA 2012

FERNANDO DERENIEVICZ ZOTTO

SEGURANA DA INFORMAO: UMA PROPOSTA PARA SEGURANA DE REDES EM PEQUENAS E MDIAS EMPRESAS.

Trabalho de Monografia apresentado ao curso de Especializao em Teleinformtica e Redes de Computadores da Universidade Tecnolgica Federal do Paran como requisito parcial para obteno do titulo de Especialista em Teleinformtica e Redes de Computadores.

Orientador: Prof. Dr. Kleber Nabas Coordenador: Walter Godoy Junior

Curitiba, 28 de Fevereiro de 2012.

Agradecimentos minha me Iolanda, pelo apoio e incentivo que me deu durante toda minha vida. Seus princpios sempre nortearam minhas aes e me fizeram alcanar muitos objetivos. Minha esposa Milene, pelo amor, pacincia e incentivo durante todo este rduo percurso de estudos. Ao meu orientador Kleber pela orientao, ajuda e colaborao.

LISTA DE FIGURAS Figura 1 Camada de Redes do modelo TCP/IP...................................................... 13 Figura 2 Comparativo das camadas de redes dos modelo OSI e TCP/IP.............. 14 Figura 3 Perfil dos profissionais e departamentos de TI......................................... 28 Figura 4 Informaes consideradas valiosas.......................................................... 29 Figura 5 Salvaguardas de segurana relacionados Web..................................... 29 Figura 6 Tecnologias utilizadas contra APT............................................................ 30 Figura 7 Competncias em relao a monitoramento de usurios......................... 31 Figura 8 Dispositivos pessoais e mdias sociais..................................................... 32 Figura 9 Principais preocupaes quanto a computao em nuvem...................... 33 Figura 10 Principais fontes dos incidentes de segurana....................................... 34 Figura 11 Tela de boot para processadores 32bits com at 3G de RAM............... 40 Figura 12 - Tela de boot para processadores 32bits com mais de 3G de RAM.........41 Figura 13 Tela de boot para processadores com suporte a 64bits......................... 41 Figura 14 Iniciar o instalador do sistema................................................................. 42 Figura 15 Configuraes da Partio...................................................................... 42 Figura 16 Informaes sobre a partio escolhida..................................................43 Figura 17 Informaes sobre a formatao do disco de perca de dados............... 43 Figura 18 Informaes sobre a concluso da Instalao........................................ 43 Figura 19 Informaes do sistema exibidas pelo Web Admin................................ 45 Figura 20 Tela mudana de senha pelo Web Admin.............................................. 46 Figura 21 Tela de mudana de senha pelo Console de comandos........................ 46 Figura 22 Salvando configuraes do sistema....................................................... 47 Figura 23 Diagrama de redundncia e balanceamento de carga........................... 48 Figura 24 Habilitar e configurar Squid..................................................................... 50 Figura 25 - Configuraes do Cache.......................................................................... 50

LISTA DE SIGLAS ARP ATM BFW BGP CIO DOS ERP IGRP IP LAN MAC MAN OSI OSPF P2P PPOE PPP PWC RIP SCSI SMTP TCP TI UDP WAN Address Resolution Protocol Asynchronous Transfer Mode Brazil Firewall and Router Border Gateway Protocol Chief Information Officer Denial Of Service Enterprise Resource Planning Interior Gateway Routing Protocol Internet Protocol Local Area Network Media Access Control Metropolitan Area Network Open Systems Interconnection Open Shortest Path First Peer To Peer Point-to-Point Protocol Over Ethernet Point To Point Protocol PriceWaterHouseCoopers Routing Information Protocol Small Computer System Interface Simple Message Tranfer Protocol Transmission Control Protocol Tecnologia da Informao User Datagram Protocol Wide Area Network

RESUMO A segurana da informao bem como a segurana das redes de computadores tm se tornado um tema bastante comum ao longo dos anos que decorreram aps o surgimento da internet. Porm mesmo com a evoluo da tecnologia e a disponibilidade de um acervo infinito de informaes sobre o tema, empresas de pequeno e mdio porte ainda tm grandes dificuldades na implantao de polticas e ferramentas eficazes na segurana da informao. Isto ocorre por que grande parte das ferramentas disponveis no mercado exigem um nvel de conhecimento tcnico alto, ou uma grande disponibilidade para gerenciar tais tecnologias. Ao decorrer deste trabalho sero apresentadas informaes e conceitos sobre redes de computadores e segurana da informao, bem como uma pesquisa atualizada sobre o nvel de preocupao das organizaes com o tema segurana da informao. Este trabalho no tem o objetivo de trazer uma soluo definitiva para implantar um nvel de segurana alto dentro das organizaes, pois conclui-se que no exista uma receita infalvel. Cada organizao, ramo de atividade ou rede de computadores possui caractersticas nicas que devem ser analisadas com particularmente antes de prescrever uma tecnologia eficaz na proteo de seus dados e informaes.

SUMRIO 1 INTRODUO.......................................................................................................... 8 1.2 OBJETIVOS........................................................................................................... 8 1.2.1 Objetivo Geral......................................................................................................8 1.2.2 Objetivos Especficos.......................................................................................... 9 1.3 JUSTIFICATIVA..................................................................................................... 9 2 CONCEITOS SOBRE REDES DE COMPUTADORES.......................................... 10 2.1 REDES LOCAIS (LANS)...................................................................................... 10 2.2 REDES MANS E WANS.......................................................................................11 2.3 TOPOLOGIA BSICA DE REDE......................................................................... 11 2.3.1 Ponto a ponto.................................................................................................... 11 2.3.2 Multiponto.......................................................................................................... 12 2.4 PROTOCOLOS TCP/IP E PILHAS DE PROTOCOLOS...................................... 12 2.5 MODELO OSI....................................................................................................... 14 2.6 ROTEAMENTO DE REDE E PROTOCOLOS DE ROTEAMENTO..................... 15 3 SEGURANA DA INFORMAO......................................................................... 17 3.1 POLTICA DE SEGURANA............................................................................... 18 3.2 SEGURANA DE REDE...................................................................................... 18 3.3 FALHAS QUE COMPROMETEM A SEGURANA DE REDE............................ 19 3.3.1 Falta de polticas de segurana da informao................................................. 20 3.3.2 Falta de controle de acesso rede................................................................... 20 3.3.3 Uso de senhas e configuraes Universais nos equipamentos........................ 21 3.3.4 Emails e Links falsos......................................................................................... 21 3.3.5 Falta de Firewalls e Proxies.............................................................................. 21 3.3.6 Falta de Gerenciamento da rede....................................................................... 22 3.4 COMO EVITAR FALHAS NA SEGURANA DE REDE.......................................22 3.4.1 Polticas e diretrizes de segurana.................................................................... 22

3.4.2 Uso de Firewall e Proxy em rede...................................................................... 23 3.4.3 Alterar senhas e configuraes dos equipamentos regularmente.................... 24 3.4.4 Utilizar equipamentos de proteo a rede fsica............................................... 24 3.4.5 Alocar os equipamentos fsicos adequadamente.............................................. 25 3.4.6 Uso de redundncias.........................................................................................25 3.4.7 Monitoramento, Controle e Gerncia da rede................................................... 26 4 PESQUISA GLOBAL DE SEGURANA DA INFORMAO 2012.......................27 4.1 IDENTIFICANDO OS PERFIS............................................................................. 27 4.2 INFORMAES VALIOSAS................................................................................ 28 4.3 PREOCUPAES COM A WEB......................................................................... 29 4.4 AMEAA PERSISTENTE AVANADA................................................................30 4.5 PREOCUPAO E MONITORAMENTO DOS USURIOS................................ 31 4.6 DISPOSITIVOS MVEIS E MDIAS SOCIAIS..................................................... 32 4.7 COMPUTAO EM NUVEM............................................................................... 32 4.8 FONTES DOS INCIDENTES DE SEGURANA..................................................33 5 UMA PROPOSTA DE MELHORIA PARA SEGURANA DE REDES.................. 35 5.1 POLTICA DE SEGURANA E DIRETRIZES DE USO DA REDE...................... 35 5.2 BRAZILFW FIREWALL E ROUTER..................................................................... 37 5.3 ANLISE SWOT DO BRAZILFW......................................................................... 37 5.4 PRINCIPAIS FUNES DO BFW NA VERSO 3.X OU SUPERIOR.................38 5.5 CONFIGURAES MNIMAS DE HARDWARE................................................. 39 5.6 INSTALANDO O BRAZILFW DO ZERO.............................................................. 40 5.7 REDUNDNCIAS E BALANCEAMENTO DE CARGA (LOAD BALANCE)......... 47 5.8 SERVIDOR PROXY COM SQUID....................................................................... 48 5.8.1 Habilitar e Configurar o Squid........................................................................... 49 6 CONCLUSES....................................................................................................... 51 7 REFERNCIAS...................................................................................................... 53

1 INTRODUO

Nos dias atuais difcil imaginar um computador s , ou seja, que esteja totalmente isolado de qualquer rede de computadores, nem mesmo os dispositivos mveis como celulares, ipads, tablets esto isolados de qualquer rede que seja. E neste mbito, temos a maior parte destas redes e destes computadores interligados em uma grande rede, formando uma conectividade global atravs da Internet. Um mundo de computadores 100% interligados de alguma maneira, cada um com seu endereo fsico, conectado em algum lugar do mundo. A internet possibilitou a criao da rede mundial de computadores, e desde ento cresce a cada ano a preocupao com a segurana da informao. Porm, mesmo diante de tantos riscos em que as empresas esto expostas, grande parte das empresas no Brasil e no mundo ainda no possui uma estratgia eficaz para assegurar seus dados e informaes corporativas como veremos no decorrer deste. Desta forma este trabalho abordar alguns tpicos relacionados segurana da informao, mais especificamente segurana da informao dentro das redes corporativas de pequeno e mdio porte. Tambm trar uma proposta de implantao de uma ferramenta de baixo custo e de fcil configurao e administrao para preveno de falhas de segurana na rede, e um maior controle das informaes que trafegam na rede.

1.2 OBJETIVOS

Este trabalho tem como objetivo principal, explicar o processo de segurana da informao no ambiente de rede em uma organizao, bem como apresentar uma proposta para uso de uma ferramenta de segurana de rede de baixo custo e de fcil implantao.

1.2.1 Objetivo Geral

Apresentar o conceito de segurana em redes, e auxiliar na implantao e gerenciamento de uma soluo prtica e confivel para segurana e roteamento da rede.

1.2.2 Objetivos Especficos

Apresentar o conceito de Rede, e o conceito de Segurana da Informao nas redes de computadores de pequeno e mdio porte. Apresentar os mtodos mais comuns de roubo de informao e invaso das redes de computadores, e os principais pontos de vulnerabilidades na rede. Auxiliar na implantao e configurao de uma ferramenta de auxilio para segurana de redes de computadores.

1.3 JUSTIFICATIVA

Atualmente o assunto da segurana em redes esta em pauta em grande parte dos ambientes corporativos, a cada ano o nvel de preocupao cresce conforme pesquisas realizadas no setor. Porm por mais que existam inmeras tecnologias e ferramentas disponveis no mercado para a segurana em rede, pequenas e mdias empresas ainda encontram dificuldades na implantao de uma poltica de segurana de rede eficaz e de fcil gerenciamento. Parte por falta de conhecimento dos profissionais de TI que atuam nestas empresas, parte por falta de planejamento da rea de TI, e ainda uma parte pela falta de interesse em investimentos neste departamento. Existem hoje no mercado todos os tipos de solues em segurana de redes, robustas e muito complexas, enxutas mas pouco confiveis, simples e seguras porm com custo muito elevado. Desta forma torna-se difcil decidir qual seria a soluo ideal. E neste ponto muitas empresas nem ao menos comeam com o bsico, deixando a segurana de rede sempre em segundo plano.

10

2 SOBRE REDES DE COMPUTADORES

Uma rede de computadores uma infraestrutura que permite interligar dois ou mais computadores (chamados hosts) para que possa haver troca de informaes (mensagens) entre estes. Isso possvel devido a um conjunto de regras pr-estabelecidas para a comunicao, chamadas de protocolos. Os protocolos devem obrigatoriamente ser respeitados e seguidos por todos os hosts da rede de forma uniforme. A necessidade de um protocolo d-se ao fato de que os hosts precisam comunicar-se de uma forma padro ou, falar a mesma lngua. Para isso necessitam-se no apenas de um protocolo, mas sim de uma pilha de protocolos separados em camadas, cada qual com suas caractersticas e funcionalidades, a seguir vamos abordar algumas caractersticas conceituais sobre as camadas de rede e suas funcionalidades. Os tpicos que seguiro, serviro de apoio para o entendimento dos conceitos de rede, dos protocolos de rede, camadas, protocolos de roteamento, topologias de rede entre outros. Pois estas caractersticas estaro presentes na ferramenta proposta nesta monografia.

2.1 REDES LOCAIS (LANs)

Uma rede LAN (Local Area Network Rede de Trabalho Local), uma rede de computadores concentrada em uma rea geogrfica, como por exemplo um prdio, uma empresa, um escritrio ou um campus universitrio. Atualmente a grande maioria das redes empresariais e domsticas so qualificadas como LANs, o acesso a internet tambm realizado atravs destas redes LANs. Por meio das redes LAN pode-se compartilhar o uso dos dispositivos da rede, ou ate mesmo o uso de dispositivos dos Hosts que compe a rede, como unidades de CD/DVD, impressoras, discos rgidos entre outros.

11

2.2 REDES MANs E WANs

Alm das redes LANs, existem outras formas de redes que pode-se citar, apenas para efeito de comparao, pois no falaremos de caractersticas mais profundas de redes que no as LANs. Redes MANs: (Metropolitan Area Networks), so redes de mdio porte, redes MANs interligam redes LANs, normalmente so redes de abrangncia estadual. Redes WANs: (Wide Area Network), sao redes utilizadas para interligar outras redes geograficamente distantes, as redes WAN utilizam a infraestrutura de transmisso de empresas de telecomunicaes, como COPEL, EMBRATEL entre outras.

2.3 TOPOLOGIA BSICA DE REDE

a forma como os pontos de rede se interligam, a infra-estrutura utilizada para a comunicao entre dois ou mais computadores da rede. As topologias de redes rede em geral tem dos tipos de comunicao, que so redes do tipo Ponto A Ponto e redes do tipo Multiponto.

2.3.1 Ponto A Ponto

Uma forma de comunicao exclusiva entre dois pontos ( hosts), ou seja, se um Host A deseja comunicar com um Host B, deve haver uma linha exclusiva entre um e outro, no possibilitando a comunicao com um terceiro Host atravs desta mesma comunicao. Em redes LAN`s atuais, utilizando-se de cabos de rede do tipo

12

Par Tranado, d-se o nome ao cabo que interliga dois Hosts Ponto A Ponto de Crossover.

2.3.2 Multiponto

Em uma rede Multiponto, uma nica linha de comunicao servir na comunicao de vrios Hosts ao mesmo tempo. Obviamente o controle para isto mais complexo, mas um Host A poder se comunicar com outros Hosts (B, C, D) sem que haja a necessidade de uma linha exclusiva entre cada um deles.

2.4 PROTOCOLO TCP/IP E PILHAS DE PROTOCOLOS

TCP/IP (Transition Control Protocol / Internet Protocol ) o conjunto de protocolos de comunicao ou pilha de protocolos. Desenvolvido essencialmente para resolver problemas de compatibilidade de diferentes tecnologias e plataformas no mbito das redes intranets e tambm na internet. Os protocolos TCP/IP podem ser utilizados sobre qualquer estrutura de rede, seja ela simples como uma ligao ponto-a-ponto ou uma rede de pacotes complexa. Como exemplo, pode-se empregar estruturas de rede como Ethernet, Token-Ring, FDDI, PPP, ATM, X.25, Frame-Relay, barramentos SCSI, enlaces de satlite, ligaes telefnicas discadas e vrias outras como meio de comunicao do protocolo TCP/IP. A arquitetura TCP/IP, assim como OSI realiza a diviso de funes do sistema de comunicao em estruturas de camadas. Em TCP/IP as camadas so:

13

Figura 1 Camada de redes do modelo TCP/IP.

Uma arquitetura de camadas foi desenvolvida para que as funes fossem divididas dentro de uma estrutura de comunicao em rede. Segundo (KUROSE, 2006), O sistema de camadas de protocolos tem vantagens conceituais e estruturais., segundo ele ...a diviso em camadas proporciona um modo estruturado de discutir componentes de sistema.. Camada de Rede A camada de rede fica responsvel pelo envio de datagramas construdos na camada de Inter-redes, esta camada possui um mapeamento de endereo de identificao no nvel fsico das rede, no caso de redes Ethernet cada estao possui um endereo nico chamado de endereo MAC (Media Access Control). Pode-se citar que na camada de redes e na camada de inter-redes do modelo TCP/IP, um protocolo muito comum utilizado o protocolo ARP (Address Resolution Protocol), que um protocolo de mapeamento de endereos tanto fsicos quanto lgicos. Camada Inter-Rede Esta camada responsvel pela comunicao entre maquinas vizinhas atravs do protocolo IP. O protocolo IP realiza a funo de roteamento que consiste no transporte da mensagem entre redes e nas decises de qual rota cada mensagem devera seguir at seu destino. Camada de Transporte A camada de Transporte possui os protocolos UDP (User Datagram Protocol) e TCP (Transmission Control Protocol). Esta camada rene os protocolos que realizam as funes de transporte de dados fim-a-fim,

14

considerando apenas a origem e destino da comunicao, sem se preocupar com os elementos intermedirios. Camada de Aplicao A camada de aplicao rene os protocolos que fornecem servios de comunicao ao sistema ou ao usurio. Esta camada possui a comunicao direta entre a aplicao propriamente dita, como exemplo o sistema operacional, e as camadas mais baixas.

2.5 MODELO OSI

A arquitetura TCP/IP difere e muito do modelo OSI, devido fato de que a arquitetura TCP/IP agrupa como subcamadas, as camadas utilizadas no modelo OSI. As principais diferenas so: Modelo OSI trata todas as camadas, enquanto TCP/IP apenas a

partir do nvel de Rede do modelo OSI; TCP/IP largamente compatvel com diversos modelos de

arquiteturas, enquanto OSI no; OSI oferece servios de orientados a conexo no nvel de rede,

o que demanda um trabalho e uma inteligncia muito maior, j o TCP/IP tem uma funo muito simples de roteamento. TCP/IP trata os nveis superiores de forma monoltica, desta

forma OSI mais eficiente pois oferece reaproveitamento de funes comuns a diversos tipos de aplicao, o TCP/IP necessita montar uma estrutura completa para cada tipo de aplicao.

A Figura 2 mostra um comparativo entre as arquiteturas OSI e TCP/IP, note que muitas camadas do modelo OSI so tratadas de forma nica no modelo TCP/IP, existe um agrupamento das camadas.

15

Figura 2 Comparativo das camadas de rede dos modelos OSI e TCP/IP.

2.6 ROTEAMENTO DE REDE E PROTOCOLOS DE ROTEAMENTO Uma das funes principais da camada de rede prover o roteamento dos pacotes que transitam em rede. Segundo KUROSE (2006), A camada de rede deve determinar a rota ou o caminho tomado pelos pacotes ao flurem de um remetente a um destinatrio.. O papel de um roteador definir qual ser a rota que aquele pacote dever seguir, utilizando o conceito de repasse, ou seja, o pacote de dados chegar atravs de uma das portas do roteador, e o mesmo se encarregar em repassar este pacote para outra porta, usando uma tabela de rotas que pode ser esttica (definida manualmente), ou dinmica (utilizando um protocolo que crie esta tabela dinamicamente). Para que o rota seja definida, os roteadores realizam os clculos das mtricas atravs de um algoritmo de roteamento, que ir definir o melhor caminho para enviar aquele pacote. A Mtrica o padro de medida que usado pelo algoritmo de roteamento, que utilizara um ou vrios parmetros para definir a rota, entre os parmetros mais comuns encontran-se: Tamanho do caminho; Confiabilidade; Atraso;

16

Largura de Banda; Carga; Custo da comunicao.

Roteamento Esttico: No roteamento esttico as tabelas de rotas so construdas manualmente, atribudo a redes pequenas com um numero limitado de roteadores. As rotas podem ou no serem divulgadas para outros dispositivos, sendo que a no divulgao uma das caractersticas positivas deste tipo de roteamento devido ao aumento da segurana. Outro ponto positivo que as tabelas estticas diminuem o overhead introduzido pela troca de mensagens de roteamento na rede. Roteamento Dinmico: O roteamento dinmico ocorre quando h mais de uma rota possvel para o mesmo ponto, desta forma uma tabela de rotas construda automaticamente a partir da troca de informaes dos protocolos de roteamento. Os protocolos de roteamento mais comuns so RIP e seu sucessor OSPF, o IGRP, BGP entre outros.

17

3 SEGURANA DA INFORMAO

O conceito geral sobre segurana da informao, esta diretamente relacionado segurana de um conjunto de dados, a fim de preservar seu valor de informao.
O termo segurana usado com o significado de minimizar a vulnerabilidade de bens (qualquer coisa de valor) e recursos. Vulnerabilidade qualquer fraqueza que pode ser explorada para se violar um sistema ou as informaes que ele contm. A segurana est relacionada necessidade de proteo contra o acesso ou manipulao, intencional ou no, de informaes confidenciais por elementos no autorizados, e a utilizao no autorizada do computador ou de seus dispositivos perifricos. A necessidade de proteo deve ser

definida em termos das possveis ameaas e riscos e dos objetivos de uma organizao, formalizados nos termos de uma poltica de segurana. (SOARES; LEMOS e COLCHER,1995, p.448):

A segurana em rede de computadores foi se tornando uma preocupao gradativa, medida que as organizaes necessitavam esconder seus dados importantes, medidas de segurana comearam a ser pensadas para a proteo destes dados. Nesta esfera pode-se entender que a partir do momento que se necessita proteger algo, tem-se este algo como um objeto ou informao de valor, e a crescem cada vez mais as motivaes para roubar estes dados das empresas. Com a criao da Internet, e seu crescente uso, inimaginveis formas de roubar dados foram sendo utilizadas por piratas da internet ou a tualmente conhecidos como hackers, crackers entre outros. Estes so bandidos virtuais, que se utilizam de recursos computacionais para infringir a segurana das redes. Diante disto empresas comeam a investir cada vez mais em segurana da informao a fim de manter seus dados protegidos, bem como manter sua rede em perfeito funcionamento, visto que hoje a grande maioria das empresas dependem das redes de computadores para sua sobrevivncia, enviar emails, acessar sites, pesquisar, trocar informaes, acessar o sistema ERP, concretizar negcios e at vender seus produtos on-line, tudo isto no seria possvel sem o uso das redes de computadores, ento julga-se extremamente necessrio sua segurana.

18

3.1 POLITICA DE SEGURANA

A poltica de segurana refere-se a um conjunto de regras, normas e diretrizes que estabelecem padres desejveis e aceitveis de uso dos sistemas, bem como define as limitaes aferidas aos usurios da rede. Com o crescente uso da internet, das operaes realizadas atravs dela e dos riscos que ela oferece, deve-se pensar em Poltica de Segurana, no apenas das redes de computadores, mas sim de todo um conjunto de diretrizes que administrem os pontos cruciais para a segurana, desde os direitos e deveres do uso de computadores pelos colaboradores, at uma poltica de acesso restrito rea de servidores e polticas funcionais para o conjunto de dados que necessitam ser gravados em Backups. Tudo deve ser pensado para a proteo de qualquer dado ou bem, seja intelectual ou fsico.

3.2 SEGURANA DE REDE

Partindo de um princpio lgico sobre segurana em rede de computadores, pode-se afirmar que a segurana esta na preservao dos dados mantidos nos elementos que integram esta rede, como por exemplo um banco de dados do sistema que a empresa possui, ou a troca de informaes de entrada e sada da rede corporativa de forma segura e confidencial. Segundo KUROSE (2006), para que possamos estabelecer uma conexo de forma segura, desejvel que sejam atendidos as seguintes propriedades: Confidencialidade: Somente o remetente e o destinatrio pretendido devem poder entender o contedo da mensagem transmitida. Sendo para isto necessrio o uso de alguma forma de criptografia de dados, fazendo com que a mensagem no possa ser decifrada por algum intruso. Autenticao: O remetente e o destinatrio precisam confirmar a identidade da outra parte envolvida na comunicao confirmar que a outra parte realmente

19

que alega ser. Um dos pontos mais difceis de tratar quando o assunto comunicao segura, hoje em dia existem inmeras formas de se passar por outra pessoa na internet, como por exemplo, a camuflagem de IP, que com um programa possvel disfarar um endereo de IP por outro. Integridade e no-repudiao de mensagem: Mesmo que o remetente e o destinatrio consigam se autenticar reciprocamente, eles tambm querem assegurar que o contedo de sua comunicao no seja alterado, por acidente ou por m inteno, durante a transmisso. Ou seja, a mensagem tem que chegar ao destinatrio exatamente como saiu do remetente, utilizando tcnicas de criptografia e comparao de dados. Disponibilidade e controle de acesso: Um dos maiores fatores que levaram ao uso de polticas de segurana de rede, que surgiu principalmente aps o advindo da internet, foi devido aos ataques DoS (denial of service). Que indisponibilizam os servios da rede para os usurios legtimos, de forma que nenhum usurio consegue acessar um Server ou um Host da rede. Confidencialidade, autenticao, integridade e no-repudiao de

mensagem vm sendo considerados componentes fundamentais da comunicao segura h bastante tempo (McCumber, 1991). Disponibilidade e controle de acesso so extenses mais recentes da noo de comunicaes seguras (Bishop, 2003).

3.3 FALHAS QUE COMPROMETEM A SEGURANA DE REDE

Diante de todo o exposto sobre as caractersticas das redes de computao, dos conceitos e polticas da segurana em redes de computadores e das motivaes para ataques a redes corporativas por crakers e outros piratas da internet, vamos entender quais so as principais formas de ataques, e discutir as principais vulnerabilidades das redes corporativas, vamos utilizar sempre um case de redes de pequenas e medias empresas, visto que esse tipo de rede o objeto de estudo desta monografia.

20

3.3.1 Falta de Polticas de Segurana da Informao

Esta sem dvidas uma das principais falhas na segurana da rede em uma organizao. Como em qualquer sociedade que no possuem Diretrizes e Leis que orientem como deve ser o comportamento dos cidados, esta sociedade no ter limites e estar completamente vulnervel a qualquer situao de risco, assim tambm dentro de uma rede que no possui suas diretrizes e normas de uso, sem estas impossvel controlar o que esta sendo feito dentro da rede, assim como tambm no ser possvel tomar medidas de notificao aos usurios, uma vez que estas no foram definidas em uma poltica de uso da rede. Infelizmente uma das principais causas de invases, e problemas de proliferao de vrus e key-logers em redes de computadores corporativas o mau uso da internet, email e mensageiros eletrnicos por parte dos usurios desta rede. Atualmente existem milhares de correspondncias e links falsos que disseminam programas maliciosos, principalmente sendo espalhadas nos ltimos anos atravs das redes sociais.

3.3.2 Falta de Controle de Acesso Rede

Poucas so as organizaes de pequeno e mdio porte que possuem um controle adequado de acesso rede por meio de autenticao de segurana, bem como dificilmente possuem uma gerencia destes acessos, ou seja, no se sabe ao certo quem esta usando a rede, se este usurio um colaborador ou um intruso, se algum usurio esta realizando acessos a locais indevidos, o que o usurio esta acessando na internet.

3.3.3 Uso de Senhas e configuraes Universais nos equipamentos

21

Certa vez fui realizar um atendimento a uma empresa que estava sendo invadida atravs da rede Wireless que possuam, pois diariamente algum alterava a senha de acesso rede sem fio. Nesta ocasio fizemos alguns testes e constatamos que dificilmente seria algum de fora da rede, que provavelmente seria algum de dentro da prpria empresa, foi alterada a senha de acesso administrao do Access Point que estava como padro ADMIN, e o problema foi resolvido. extremamente comum encontrar empresas que compram equipamentos como Modems, Access Point, Roteadores entre outros, e no alteram suas senhas padres, ou seja, quando o intruso conseguir enxergar a rede, seja ela sem fio ou cabeada, os equipamentos estaro ao seu deleite, pois todos esto com suas configuraes de fabrica.

3.3.4 Emails e Links Falsos

Esta uma das formas muito comuns de invaso a redes corporativas, estes links e emails falsos encaminham os usurios a paginas que possuem o intuito de instalar programas maliciosos na rede, como keylogers, sniffers entre outros. Estes programas por sua vez tem o intuito ou de roubar dados, ou de danificar os arquivos dos PC`s ou Servidores.

3.3.5 Falta de Firewalls e Proxies

Sem o controle do que entra e sai da rede, e sem o controle do que pode ser acessado pelos usurios, fica ainda mais fcil invadir uma rede, com tcnicas de varredura de portas, Vrus, IP Spoofing, Roteamento dirigido, Trojan Horse entre outros, falaremos sobre tais tcnicas no item x.x.x.

22

3.3.6 Falta de Gerenciamento da Rede

Por fim apontamos um dos motivos que levam empresas a sofrerem ataques de todos os tipos o no gerenciamento de uma Rede de computadores, bem como o no gerenciamento da segurana da informao como um todo. Definitivamente uma rede sem gerenciamento esta muito mais suscetvel falhas de segurana. Vm crescendo o nvel de preocupao das empresas com a Gerncia da Segurana da Informao, mas ainda assim o numero de empresas de pequeno e mdio porte que crescem sem nenhum profissional gerenciando a segurana da informao ainda preocupante. Esta uma rea da tecnologia que j indispensvel, porm quando trata-se de investir em tecnologias e em profissionais para gerenci-las, o pensamento em pelo menos um tero das empresas de que no h ainda necessidade de tais investimentos, porm uma concepo que deve ser levada em conta a de que quanto antes forem os investimentos em segurana da informao, menor ser os gastos para reparar os estragos que um invasor pode fazer no futuro.

3.4 COMO EVITAR FALHAS NA SEGURANA DE REDE

Assim como falamos dos meios de invaso utilizados por piratas da internet, abordaremos neste tpico os meios de proteo para evitar desastres por roubo ou estragos causados por vrus e pragas em rede.

3.4.1 Polticas de Segurana

J falamos muito sobre polticas de segurana e voltamos no mesmo tpico para frisar sua importncia. A necessidade de uma poltica bem escrita e usual definitiva quando o assunto segurana, cada empresa possui caractersticas e necessidades distintas, desta forma cada poltica deve conter diretrizes conforme as

23

necessidades da empresa. Segundo alguns autores, mesmo com as diferentes necessidades das organizaes, existem algumas premissas que devem ser levadas em conta na elaborao de uma poltica de segurana, mais precisamente trs principais pontos devem ser levados em considerao. Segundo Melo (2003), as polticas de segurana de sistemas se diferem em trs ramos principais: segurana fsica, segurana gerencial e segurana lgica. Segurana fsica trata-se da segurana fsica do sistema, o

meio fsico em que o sistema se sustenta. Que define as medidas de segurana contra desastres como: alagamentos, terremotos, incndios, ou qualquer evento natural que venha prejudicar ou interromper o funcionamento dos sistemas. Bem como as restries e delimitaes de acesso aos equipamentos e etc. Segurana gerencial trata-se do ponto de vista estratgico

organizacional, definindo os processos, normatizando e gerenciando as tomadas de deciso. Segurana lgica trata-se das definies de segurana no

nvel da aplicao, como permisses de usurios, direitos e monitoramentos das atividades.

3.4.2 Uso de Firewall e Proxy de Rede

O Firewall uma ferramenta extremamente importante na proteo das redes corporativas, visto que ele o responsvel por filtrar os pacotes que entram e saem da rede, bem como ajuda no bloqueio das portas de uso comum nos ataques de intrusos. Os proxies tambm so ferramentas de grande ajuda na proteo da rede, seu intuito limitar o acesso dos usurios da rede para o mundo externo, ou seja, proxies bloqueiam o acesso dos usurios da rede interna para a internet, sites

24

imprprios, downloads, execuo de complementos, programas de downloads como: P2P, torrents entre outros. O uso de Proxies muito recomendado visto que grande parte das vulnerabilidades da rede ocorre devido ao mau uso da internet por parte dos usurios.

3.4.3 Alterar senhas e configuraes dos equipamentos regularmente

Esta tambm uma caracterstica imprescindvel quando se trata de segurana em rede, todos os equipamentos utilizados como: MODEMS,

ROTEADORES, SWITCHS, FIREWALLS, PROXIES, SERVIDORES, ACCESS POINTS, entre outros, devem ter suas senhas atualizadas periodicamente, seguindo um padro aceitvel d segurana, com uma quantidade mnima de caracteres aceitvel. Por exemplo, a senha de um MODEM, normalmente pelo padro vem configurado com Usurio: Admin e a sua Senha: Admin, o correto que se possvel altere-se os dois campos, tanto usurio quando senha, se no for possvel alterar o usurio, cria-se um novo usurio mster e inativa-se o usurio Admin. A senha deve ter um mnimo de 8 caracteres em qualquer situao, e sempre utilizar senhas Alfanumricas com caracteres especiais, intercalando letras MINUSCULAS e MAIUSCULAS.

3.4.4 Utilizar equipamentos de proteo rede fsica

Uma rede se sustenta atravs do meio fsico e todos os componentes que o compe, Servidores, Computadores, Switchs, Roteadores entre outros. A proteo fsica destes equipamentos previne desastres e perca de dados e informaes. Ou seja, uma rede no sofre apenas problemas de ataques de intrusos, a segurana da rede envolve a perca, roubo ou destruio de dados e informaes importantes, e neste contexto a falha de proteo com os equipamentos fsicos da rede pode trazer prejuzos aos dados da empresa. Pode-se exemplificar tal situao com a hiptese de um raio queimar os servidores da empresa por falta de protetores Anti-Surto, ou

25

at mesmo uma queda de luz danificar o software ERP por falta de NO-BREAKS. Todo e qualquer problema que atrapalhe ou impea o perfeito funcionamento da rede considerada como falha de segurana da informao, mais precisamente no contexto de segurana de redes de computao. Desta forma o uso de NOBREAKS, Anti-Surtos Eltricos, Estabilizadores, e outras formas de proteo so imprescindveis para a segurana da rede.

3.4.5 Alocar os equipamentos fsicos em local adequado

Por varias vezes me deparei com empresas que alocam os equipamentos que compe a rede, em locais inadequados, sem ventilao, sujos, muitos vezes locais onde qualquer colaborador tem acesso, totalmente vulnerveis e sem nenhuma condio adequada. muito importante a conscientizao de que os equipamentos da rede precisam estar em um local adequado, arejado, alocados em um Rack, de preferncia em local onde se possa controlar a temperatura com o uso de Ar-Condicionado. Dentre todas estas caractersticas, que pelo menos algumas delas possam ser seguidas, muitas vezes a empresa no possui um espao adequado, como uma sala s para os equipamentos, mas nestes casos que haja ao menos uma estrutura de divisrias impedindo o acesso livre aos equipamentos.

3.4.6 Uso de Redundncias

O uso de redundncias tambm uma preveno indisponibilidade de sistemas, sejam eles compostos por softwares como hardwares. A rede sempre deve ter uma segunda ou terceira alternativa, assim como um roteador precisa de rotas alternativas, uma rede precisa opes para um funcionamento alternativo. Todo o trafego de uma rede pode parar simplesmente porque um roteador parou de funcionar, deve haver um equipamento pr configurado sobressalente, ou uma rota alternativa para no comprometer o funcionamento da rede. Assim tambm como links de redundncia de internet, uma rede que necessita do uso da internet para o

26

funcionamento de suas aplicaes no pode depender de um nico link de internet, ou de uma nica operadora. Deve haver sempre ao menos dois links distintos de operadoras distintas, e ainda se possvel que haja balanceamento de carga destes links, ou seja, se um link cair por algum motivo, outro link acionado automaticamente sem que haja queda da internet, o balanceamento de carga tambm til na diviso do fluxo da rede em links diferentes, no permitindo que ocorra excesso de carga em um nico link, ou uma nica rota na rede.

3.4.7 Monitoramento, Controle e Gerencia de rede

Existem ferramentas no mercado que possibilitam o monitoramento e controle da rede atravs de protocolos especficos para estas finalidades, como por exemplo, o protocolo SNMP (Simple Network Management Protocol). O SNMP tem por objetivo principal coletar informaes da rede e fornec-las para possibilitar seu gerenciamento, controle, resolver eventuais problemas e fornecer informaes para planejar expanses. Uma rede de computadores precisa ser monitorada, controlada e gerenciada por algum, o uso de equipamentos e ferramentas de rede no tem valor algum se estes no forem gerenciados por um departamento ou um profissional da empresa. O prprio protocolo SNMP que possui uma utilidade enorme torna-se obsoleto se no for gerenciado por algum, pois nenhuma aplicao, software ou hardware poder tomar decises gerenciais pela empresa, estas podem apenas fornecer as informaes necessrias para as tomadas de deciso.

27

4 PESQUISA GLOBAL DE SEGURANA DA INFORMAO

Antes de partir para o mbito de uma proposta de implantao de uma ferramenta de Segurana e Controle de Rede, objeto principal desta monografia, vamos entender o cenrio atual do conceito de Segurana da Informao como objeto de preocupao das organizaes pelo mundo. Como as empresas esto programando seus investimentos em tecnologias seguras, ferramentas de segurana, desenvolvimento de competncias, desenvolvimento de departamentos de Tecnologia e Segurana da Informao. Estas e outras indagaes so de interesse da Pesquisa Global de Segurana da Informao. Foram retirados dados atualizados da Pesquisa Global de Segurana da Informao 2012 (Global State of Information Security Survey), que uma iniciativa da PwC, da CIO Magazine e da CSO Magazine. A pesquisa foi conduzida on-line entre 10 de fevereiro e 18 de abril de 2011. Foram convidados leitores das revistas CIO Magazine e CSO Magazine, bem como clientes da PwC ao redor do mundo responder a pesquisa. Dentre os convidados 9.600 CEOs, CFOs, CISOs, CIOs, CSOs, vice-presidentes e diretores de TI e de segurana da informao. O Brasil teve uma participao relativa de 10% na pesquisa, totalizando 961 executivos de empresas do Brasil. A pesquisa possui um total de 25 questes fundamentais no que se refere Segurana da Informao, porm foram selecionadas apenas aquelas que julgadas de grande relevncia no contexto deste trabalho. A pesquisa completa pode ser encontrada no site da PwC atravs do endereo: http://www.pwc.com.br/pt/estudospesquisas/giss-2012.jhtml.

4.1 IDENTIFICANDO OS PERFIS

Primeiramente para que o cerne da questo seja entendido, necessitamos primeiro entender e definir os perfil existentes no que se refere a estratgias e

28

gerencia da Segurana da Informao, a pesquisa caracterizou cada perfil como mostra a Figura 3.

Figura 3 Perfil dos Profissionais e departamentos de TI nas empresas participantes. Fonte: 2012 Global State of Information Security Survey.

4.2 INFORMAES VALIOSAS

Como se trata de uma pesquisa global, onde a maior parte das empresas respondentes est situada na America do Norte (29%) e Europa (26%), pode-se deduzir que os nmeros para o Brasil provavelmente distinguem destes apresentados, visto que o Brasil tem um percentual menor em investimentos em segurana da informao do que pases da Europa e America do Norte. Muitos anos aps a Globalizao, o que os Lderes consideram no mundo atual, uma informao valiosa para as empresas.

29

Figura 4 Informaes consideradas valiosas pelas empresas participantes da pesquisa. Fonte: 2012 Global State of Information Security Survey.

4.3 PREOCUPAES COM A WEB

Conforme a Figura 4 pode-se perceber um aumento significativo e gradual na preocupao e investimentos das empresas no que se refere segurana na Web, e tambm em ferramentas que previnam invasores em nvel de rede.

Figura 5 Salvaguardas de segurana relacionados Web. Fonte: 2012 Global State of Information Security Survey.

30

4.4 AMEAA PERSISTENTE AVANADA

Atualmente uma ameaa que vem assolando grandes corporaes conhecida como Ameaa Persistente Avanada (APT Advanced Persistent Thread). So ataques massivos de grupos de interesse ou pases a fim de espionar ou sabotar informaes relevantes. Por mais que estes ataques tem 85% de sua ateno a grandes corporaes, pequenas e mdias empresas de alguns setores particulares despertam a ateno para seus dados sigilosos, e podem ser alvos de ataques como este, mas ser que as empresas esto preparadas para isto? Segundo a pesquisa da PwC as empresas tem adotado algumas medidas de segurana como veremos a seguir:

Figura 6 Tecnologias utilizadas contra a APT. Fonte: 2012 Global State of Information Security Survey.

31

4.5 PREOCUPAO E MONITORAMENTO DOS USURIOS

Assim como algumas novas praticas e tecnologias surgem e so adotadas pelas organizaes, outras porm sofrem degradao com o passar dos anos, talvez a preocupao com a violao dos dados por colaboradores da prpria empresa esta diminuindo, talvez as empresas estejam confiando mais em sua equipe, enfim, a preocupao e o monitoramento das atividades do funcionrios esta ficando em segundo plano como mostra a figura que segue:

Figura 7 Preocupaes com Privacidade de usurios e principais competncias. Fonte: 2012 Global State of Information Security Survey.

32

4.6 DISPOSITIVOS MVEIS E MDIAS SOCIAIS

Com a crescente inovao de tecnologia pessoal, assim como o BUM das mdias sociais no mundo, cada vez mais comum, ou melhor, cada vez mais incomum indivduos que no possuem ao menos um dispositivo mvel, como Pen Drives ou celulares com cartes de memria, e no participam ativamente de pelo menos uma mdia social, como Facebook, Orkut entre outros. Sendo assim as empresas devem estar preparadas para encarar mais essa barreira, como lidar com esta nova era digital:

Figura 8 Dispositivos pessoais e mdias sociais. Fonte: 2012 Global State of Information Security Survey.

4.7 COMPUTAO EM NUVEM

E quanto computao em nuvem, quais so os apontamentos das empresas como principais dificuldades enfrentadas quando o assunto o risco de segurana de computao em nuvem:

33

Figura 9 Principais preocupaes quanto computao em nuvem. Fonte: 2012 Global State of Information Security Survey.

4.8 FONTES DOS INCIDENTES DE SEGURANA

Vindo de encontro com o que foi relacionado como risco de segurana rede no item 3.3.2 (Falta de controle de acesso rede), e tambm como ultimo dado selecionado da Pesquisa Global de Segurana da Informao, veremos quais so as principais fontes dos incidentes de segurana apontados pelas empresas:

34

Figura 10 Principais fontes dos incidentes de segurana. Fonte: 2012 Global State of Information Security Survey.

35

5 UMA PROPOSTA PARA MELHORIA DA SEGURANA DE REDES

Depois de todos os pontos apresentados neste trabalho, surge uma inquietao eminente: Por onde devo comear? Qual o primeiro passo? A primeira coisa para ter em mente o conceito de que qualquer investimento em segurana melhor do que nenhum investimento. Porm de nada adianta investir em ferramentas, por mais simples e de baixo custo que sejam, se as mesmas no forem eficazes, e acima de tudo se no forem gerenciadas, ou seja, se no houver um acompanhamento das informaes, um monitoramento e uma anlise para levantar as reais necessidades da rede para que seja feito uma configurao correta da ferramenta, ela no trar a proteo ideal para a rede. Muitas vezes empresas investem muito em ferramentas de alto nvel de segurana, ferramentas de custo elevado que so colocadas na rede e abandonadas, como se elas por si s entendessem as necessidades da empresa e da rede, tomando decises de gerenciamento automaticamente. O que na verdade no ocorre, estas ferramentas sem um correto gerenciamento tornam-se obsoletas, e justamente neste contexto que julgo correto que empresas que no possuem nenhuma poltica ou ferramenta de segurana, comecem por ferramentas de baixo custo e de fcil gerenciamento, para que no se tornem apenas um computador a mais na rede.

5.1 POLTICAS DE SEGURANA E DIRETRIZES DE USO DA REDE

O primeiro passo para empresas que no possuem quase ou nenhuma poltica de segurana ou regras de acesso e uso da rede, bem como nenhum departamento especfico para monitorar ou gerenciar esta poltica, criar uma poltica de segurana com normas simples que contemplem as necessidades primordiais da empresa. Porm devera seguir algumas caractersticas bsicas, que so elas: Deve ser implementvel, de fcil administrao, devem ser

publicadas as diretrizes de uso aceitvel, devem ser de cincia de todos.

36

Deve ser reforada com o uso de ferramentas de segurana

apropriadas, configuradas e orientadas pelas necessidades apontadas pela analise empresarial. Deve definir claramente as reas de responsabilidade para os

usurios, administradores e gerncia. Os componentes bsicos de uma boa poltica de segurana incluem: Uma poltica de acesso que defini direitos de acesso e privilgios

necessrios para proteger os recursos da rede, bem como o acesso a dispositivos da rede, dispositivos mveis pessoais, mdias em ROM, horrios de uso dos equipamentos, instalao de aplicativos, adio de atualizaes ou aplicativos de uso pessoal, busca de diretrios compartilhados no pertinentes ao uso especificamente profissional. Uma poltica que defina as responsabilidades dos usurios, bem

como a capacidade de auditoria caso seja constatada uma falha na segurana. Uma poltica de autenticao de usurios, bem como as

diretrizes sobre o uso individual das senhas utilizadas na rede ou aplicaes que a empresa possua. Tambm a especificao das caractersticas mnimas exigidas para a criao de senhas e o tempo de expirao das mesmas. Uma poltica de definio de disponibilidade da rede, bem como

suas redundncias e as capacidades de backup que a rede possui. Uma declarao de horrios de manuteno, previses para

soluo de problemas pertinentes a rede ou aos usurios especificamente. Muito importante a informao das manutenes realizadas de forma remota, onde o administrador ou tcnico ter acesso e controle total ao equipamento. Informaes claras e objetivas do que esta sendo monitorado na

rede, uma poltica de controle e monitoramento de informaes que trafegam pela rede atravs de email, mensageiros instantneos, acessos a sites, downloads realizados, tempo de acesso e permanncia em sites. E obviamente uma poltica descrevendo os direitos e atitudes da

empresa caso sejam encontradas violaes das normas pelos usurios da

37

rede, bem como a eleio de um frum trabalhista/criminalista caso seja constatado crime ciberntico ou ciberespionagem por parte de colaboradores da empresa.

5.2 BRAZIL FIREWALL E ROUTER

O Brazil Firewall e Router uma mini distribuio Linux, composta pelas funes de Roteador e FireWall, bem como em sua ltima verso tambm a funo de Proxy integrado. O BrazilFW, ou apenas BFW como ser tratado aqui, baseado no Coyote Linux, que foi idealizado por Joshua Jackson em 1998, o qual descontinuou o projeto na verso 2.24 em agosto de 2005. Neste mesmo ms os brasileiros Claudio e Marcelo Brazil, deram continuidade no projeto mudando seu nome para o atual BrazilFW. No incio o do projeto BFW, ainda na verso 2.24 usando a Base do Coyote, a distribuio rodava apenas por disquete. Posteriormente o BFW passou a ser Instalando em mdias de grande capacidade, como os discos rgidos. Atualmente o BFW esta na verso 3.x, que foi inteiramente codificada e recomeada do zero por Washington Rodrigues - (Woshman).

5.3 ANALISE SWOT DO BFW

Apresentarei neste tpico uma anlise Swot dos pontos fortes e fracos do BrazilFW para entendermos a escolha desta ferramenta como servidor Firewall / Proxy e Roteador de rede. PONTOS FORTES Fcil Instalao e Configurao PONTOS FRACOS Alguns Updates podem matar

bsica;

alguns addons;

38

Contempla as funes de

Para uma maior eficcia e

Firewall, Proxy e Roteador na mesma ferramenta; Baixo custo de Hardware; Software Livre (Open source); Software Estvel; Atualizaes constantes e

personalizao requer um pouco de conhecimento em Linux; No possui Suporte, visto que

se trata de um projeto livre; No trabalha com integrao

em Cluster; medida que novas

comunidade participativa; Fcil gerenciamento; Muitos Addons que permitem

funcionalidades so acrescentadas, exige maior capacidade de Hardware; Regras mais complexas

embutir diversas funcionalidades; Possui um limite imenso de

exigem um conhecimento mais profundo;

usurios;

5.4 PRINCIPAIS FUNES DO BFW NA VERSO 3.x OU SUPERIOR

Modos de Conexo o STATIC (IP fixo) o DHCP o Dinamico (PPPoE) Acesso seguro ao WebAdmin pelo protocolo SSL Servidor Bind (DNS Server) Squid-3.0.STABLE19 - 3.0.205 QOS Sub-Redes Load Balance (balanceamento de carga) integrado. o Com qualquer tipo de Conexo (STATIC, PPPOE, DHCP e

edge)
DHCP Server para rede e Sub-Redes GSM

39

Novo Clculo do conntrack automtico: o Com o novo clculo, agora so possveis 1.652 conexes

aproximadamente por MB de memria RAM instalada.


IPupdate 2.0 por link independente. Suporte a wireless em modo cliente Email com suporte a SSL (gmail) Port Forwarding - (Redirecionamento de Portas) Smart Route Amarrao IP X MAC DansGuardian - Ideal para uso em Rede Empresariais Sarg para uso em Redes Empresariais WebAlizer para uso em Provedores Modo Bridge - 3.0.206 Memtest Verso 3.5 - 3.0.206 Functions.php (Desenvolvido pelo cmartin) - 3.0.206 Novo "framework" para WebAdmin Suporte nativo SSL Ilimitadas Interfaces de Conexo Ilimitadas conexes PPOE Ilimitados clientes DHCP Deteco automtica de Hardware

5.5 CONFIGURAES MNIMAS DE HARDWARE

Uma das principais vantagens do BFW que a exigncia de Hardware mnima, fazendo com que computadores com configuraes mnimas possam se tornar Servidores robustos de rede. Requerimentos mnimos: Processador 233MMX / 200 MB de memria RAM / 680 MB de HD.

40

Requerimentos recomendados: Processador 1 GHZ / 1 GB de memria RAM / 10 GB de HD.

5.6 INSTALANDO O BRAZILFW DO ZERO

O primeiro passo para a instalao do BFW o Download e a gravao de uma mdia CD atravs de uma imagem ISO. Caso voc no conhea o processo de gravao de uma ISO, o Anexo 4 possui um tutorial para Download e gravao da ISO do BFW. Configurando o Boot: Configure na BIOS do computador que ser o servidor para que o boot seja iniciado pelo Drive de CD. Dependendo da ISO escolhida para instalao aparecero as telas abaixo:
o

As opes para teste de memria (sem e com suporte a

multiprocessador respectivamente) comum s todas as .ISO do BFW 3.x.


o

Utilize as setas para cima e para baixo, para selecionar a opo

desejada seguida da tecla <enter>.

Figura 11 Tela de Boot para processadores 32bits com at 3GB de memria RAM. Fonte: BrazilFW Firewall e Router.

41

Figura 12 Tela de Boot para processadores 32bits com mais de 3GB de memria RAM. Fonte: BrazilFW Firewall e Router.

Figura 13 Tela de Boot para processadores com suporte a 64bits. Fonte: BrazilFW Firewall e Router.

Depois do Sistema Operacional carregado estaremos aptos a realizar o

processo de instalao no sistema.

Ser necessrio inicialmente realizar o Login inicial no BFW conforme

os dados abaixo: Dados do Login inicial: O Login Padro do BrazilFW 3.x : Usurio: root Senha: root Instalao: 1. 2. Devidamente Logado, voc estar no console do BrazilFW 3.x. Digite o comando <install> e tecle <enter>:

42

Figura 14 Iniciar o instalador do sistema. Fonte: BrazilFW Firewall e Router.

3.

Importante: O instalador criar a primeira partio com 300 MB e aloca

o restante do espao do Disco Rgido na segunda Partio. 4. Nesta tela ser exibido as configuraes do disco onde ser realizada

a instalao, neste caso a instalao sendo feita em um disco virtual com VMware:

Figura 15 Configuraes da Partio. Fonte: BrazilFW Firewall e Router.

5.

Caso aparea mais de um disco utilize, as <setas direcionais> para

navegar e a <barra de espao> para selecionar, em seguida tecle <enter>. a. Surgir a seguinte tela, informando sobre sua escolha, tecle <enter>

para continuar.

43

Figura 16 Informaes sobre a partio escolhida. Fonte: BrazilFW Firewall e Router.

6.

Na tela a seguir, o sistema alerta que o disco ser formatado e todo o

contedo anterior ser apagado. Ser solicitado mais uma confirmao, aps isso no ter como voltar atrs. a. Tecle <enter> mais uma vez para continuar.

Figura 17 Informao sobre a formatao do disco e perca dos dados. Fonte: BrazilFW Firewall e Router.

7.

Aguarde alguns minutos enquanto o sistema instalado:

Figura 18 Informao sobre a concluso da instalao e solicita remover CD/DVD. Fonte: BrazilFW Firewall e Router.

8.

Retire o CD da unidade e tecle <enter> para reiniciar o computador.

44

Configurao Default: O BrazilFW 3.x vem configurado como default o seguinte IP: 192.168.0.1 com mscara de sub-rede 255.255.255.0 (/24). Por padro, o servio DHCP do BFW 3.x vem habilitado, desta forma configure os Hosts clientes para receberem o endereo de IP automaticamente. Caso o Host no consiga receber o endereamento IP automaticamente, configure-o manualmente para que seja possvel realizar o acesso ao BFW.

Sugesto para configurao manual do endereo IP.

IP: 192.168.0.2 Mscara: 255.255.255.0 /24 Gateway: 192.168.0.1 DNS: 192.168.0.1 Para confirmar que o servidor esta acessvel, digite atravs do Prompt de comando, tanto para estaes Windows como para Linux, o seguinte comando: Ping 192.168.0.1 e tecle <enter>.

O resultado dever ser semelhante a este: Resposta de 192.168.0.1: bytes=32 tempo=1ms TTL=64 Web Admin: Como citado no ITEM X.X, uma das maiores vantagens da utilizao do BrazilFW, a sua simplicidade e facilidade para implantao em rede. E a principal caracterstica que comprova esta afirmao, o painel WebAdmin, desenvolvido com interface grfica, que pode ser acessado de qualquer Host da rede, e que possui grande parte das funcionalidades do BFW facilmente configurveis em um ambiente grfico amigvel. Para acessar o Painel WebAdmin de um Host na rede, digite na barra de endereos de qualquer Browser a seguinte URL:

45

https://192.168.0.1:8181

Como trata-se de um acesso seguro atravs de uma chamada SSL, o browser ir perguntar se voc confirma o acesso a este endereo, responda que sim, e torne o endereo confivel para poder continuar o acesso.

Figura 19 Informaes do Sistema exibido pelo WebAdmin. Fonte: BrazilFW Firewall e Router.

Alterando a Senha padro: Como dito anteriormente a senha padro do BFW 3.x root, de extrema importncia que voc realize a alterao desta senha: Para alter-la, siga os passos abaixo:

Webadmin => Configuraes => Sistema => Senha do Sistema.

46

Figura 20 Tela Mudana de senha pelo WebAdmin. Fonte: BrazilFW Firewall e Router.

Ou via console do BFW 3.x, diretamente no servidor digite o comando <passwd> e tecle <enter>:

Figura 21 Tela Mudana de senha pelo Console de comandos. Fonte: BrazilFW Firewall e Router.

Digite a nova senha e tecle <enter> Digite novamente a nova senha e tecle <enter>

Pronto, sua nova senha j est ativa, agora salve as alteraes, para isso, faa:

47

Webadmin => Configuraes => Salvar Configuraes.

Figura 22 Salvando configuraes do Sistema. Fonte: BrazilFW Firewall e Router.

5.7 REDUNDNCIAS E BALANCEAMENTO DE CARGA (LOAD BALANCE)

Vimos que redundncias so de extrema importncia quando o assunto alta disponibilidade, no BFW pode-se trabalhar com redundncias de Links de Internet (conexes ADSL) a fim de garantir alta disponibilidade de conexo com a internet, da mesma forma que pode-se utilizar redundncias com o BFW, pode-se tambm configurar um sistema conhecido como balanceamento de carga, que nada mais do que a diviso da carga de transmisso de internet por dois ou mais Links existentes simultaneamente, ou seja, falando em nvel de roteamento, o servidor BFW far um calculo do percentual que cada link estar utilizando, e enviar o pacote pelo Link com menor percentual de carga. Outra grande vantagem do balanceamento de carga do BFW, a alta disponibilidade conseguida atravs do reajuste de rota, caso algum dos links de conexo caia. O BFW far automaticamente o redirecionamento de todo o trafego da rede pelo link que estiver com status UP, e desconsiderar temporariamente o Link que estiver com status Down.

48

Abaixo temos um diagrama que mostra como os Links so divididos e configurados no BFW, com uma nica placa de rede. Uma observao importante a de que a imagem mostra os modems configurados em modo Bridge, porm podese perfeitamente configur-los em modo PPOE.

Figura 23 Diagrama de redundncias e balanceamento de carga. Fonte: BrazilFW Firewall e Router.

5.8 SERVIDOR PROXY COM SQUID

Squid um proxy-cache de alta performance para clientes web, suportando protocolos FTP, gopher e HTTP. O Squid mantm meta dados e especialmente objetos armazenados na RAM, cacheia buscas de DNS e implementa cache negativo de requests falhos.

49

Ele suporta SSL, listas de acesso complexas e logging completo. Por utilizar o Internet Cache Protocol, o Squid pode ser configurado para trabalhar de forma hierrquica ou mista para melhor aproveitamento da banda. Pode-se dizer que o Squid consiste em um programa principal - squid -, um sistema de busca e resoluo de nomes - dnsserver - e alguns programas adicionais para reescrever requests, fazer autenticao e gerenciar ferramentas de clientes.

O Squid pode ser executado nas principais plataformas do mercado, como Linux, Unixes e Windows. O Squid est continuamente melhorando sua performance, alm de adicionar novas features e ter uma excelente estabilidade em condies extremas. Sua compatibilidade com vrias plataformas e a imensa gama de software para analisar logs, gerar relatrios, melhorar o desempenho e adicionar segurana, providos pela comunidade open source, combinados com ferramentas de administrao simplificada e baseadas em web agregam grande valor ao produto. Pode-se ainda citar a capacidade de clustering, transparent proxy, cache de FTP e, claro, seu baixo custo.

5.8.1 Habilitar e configurar o Squid

Para habilitar e configurar o Squid no BFW 3.x v em webadmin => Configuraes => Cache em Disco.

50

Figura 24 Habilitar e configurar o Squid. Fonte: BrazilFW Firewall e Router.

Abaixo teremos mais detalhes de cada campo da tela webadmin => Configuraes => Cache em Disco => Configuraes .

Figura 25 Configuraes do Cache. Fonte: BrazilFW Firewall e Router.

51

CONCLUSES

O mercado de tecnologias de segurana em redes de computao esta em constante crescimento, j existe milhares de ferramentas que podem ser utilizadas para combater problemas de segurana, sejam estes de qualquer espcie. Porm muitas empresas de pequeno e mdio porte possuem pouca ou nenhuma tecnologia de proteo rede. E muitas vezes a falta de um Gerenciamento destas tecnologias, mesmo que existam, as tornam obsoletas ou ultrapassadas. Um segundo fator que prejudica as pequenas e medias empresas no quesito segurana da informao, a falta de polticas de segurana da informao eficazes e tangveis, ou a falta de quem elabore e gerencie estas polticas de segurana. Este trabalho apresentou algumas caractersticas primordiais para

elaborao de uma coerente poltica de segurana da informao, apontando as principais caractersticas que devem ser pensadas quando se trata de segurana da informao. Pois as polticas de segurana no devem ser tomadas como diretrizes que sero usadas no futuro quando a empresa atingir um nvel desejado, elas devem ser elaboradas de forma que contemplem as necessidades atuais da empresa, auxiliando no cenrio que a empresa se encontra no momento. Obviamente que se pode planejar e escrever regras que sero usadas no futuro, ou simplesmente ir moldando a poltica conforme o crescimento da empresa, e conforme novas necessidades surgirem. Foi proposta tambm a implantao do Brazil Firewall e Router, uma ferramenta que contempla paralelamente um servidor Firewall, um Proxy e u m roteador de fcil instalao, configurao e de fcil gerenciamento. Esta ferramenta foi selecionada dentre outras opes no mercado, pelo bom nvel de proteo que oferece, pela baixa complexidade de gerenciamento e pelo baixo custo de implantao. Foram apresentadas suas principais caractersticas, uma manual de instalao e configurao, bem como um manual de configurao de suas principais funcionalidades. Como concluso de todas as pesquisas e leituras realizadas durante a elaborao deste trabalho, acredito que no seja possvel ficar absolutamente protegido contra qualquer ameaa segurana da informao. Visto que at mesmo sistemas como o da NASA, CIA e FBI j sofreram invases de hackers. Quando o assunto tratar de segurana da informao, os criminosos virtuais sempre tero

52

vantagens em relao aos sistemas impostos pelas organizaes, devido s trs premissas bsicas necessrias para criar qualquer sistema de segurana que seja: Necessidade, Conhecimento e Tempo. Quem cria sistemas de segurana da informao, os profissionais que pensam e elaboram as polticas de segurana, aqueles que implantam ferramentas de segurana de rede nas empresas, todos possuem a necessidade, pois esto sendo pagos para isto. Todos possuem conhecimento, em nveis diferentes, alguns com mais conhecimento outros com menos, mas todos com um nvel intermedirio e avanado de conhecimento no assunto. Porm, em quase 100% dos casos de profissionais, empresas ou equipes que elaboram sistemas de segurana da informao, a premissa que falha o Tempo, pois ao mesmo tempo em que trabalham em um projeto, esto atuando em mais dois ou trs projetos simultaneamente. Inmeras demandas, muita cobrana e o curto espao de tempo para concluso dos projetos, o que coloca os criminosos da internet sempre um passo a frente, pois em contrapartida o que no lhes falta o tempo, mesmo que no tenham um conhecimento to aprofundado, mas possuem tempo para pesquisar, estudar e aprender novas tcnicas, e obviamente podem tentar burlar o sistema quantas vezes forem precisas. E isto que se caracteriza como segurana da informao, um sistema complexo, mas com bases simples, que esta em constante aprimoramento, que se desenvolve diariamente erguendo novas barreiras e preenchendo as brechas que surgem.

53

REFERNCIAS BERNSTEIN, Terry; BHIMANI, Anish B.; SCHULTZ, Eugene; SIEGEL, Carol A. Segurana na Internet. Rio de Janeiro: Campus, 1997. BISHOP, Matt. Computer Security: Art and Science. Boston: Pearson Education, 2003. Brazil Firewall e Router. BrazilFW 3.x. Disponvel na Internet: http://ptbr.wiki.brazilfw.com.br/Main_Page/pt-br. Acesso em Novembro - 2011. KUROSE, James; ROSS, Keith. Rede de computadores e a internet: Uma abordagem top-down. 3.ed. So Paulo: Pearson Addison Wesley, 2006. McCumber, John. Assessing and Managing Security Risk in IT Systems: A Structured Methodology. 1.ed. Auerbach, 2005. MELLO, Emerson Ribeiro. Redes de Confiana em Sistemas de Objetos CORBA. Disponvel na Internet: http://gcseg.das.ufsc.br/cadconf/artigos/mellossi2003.pdf. Acesso em Janeiro-2012. PwC Brasil. Pesquisa Global de Segurana da Informao 2012 . Disponvel na Internet: http://www.pwc.com.br/pt/estudos-pesquisas/index.jhtml. Acesso em Dezembro-2011. SOARES, Luiz Fernando Gomes; LEMOS, Guido; COLCHER, Srgio. Redes de computadores das LANs, MANs e WANs s Redes ATM. 2.ed. Rio de Janeiro: Campus, 1995.