Você está na página 1de 8

Segurança nos Sistemas de Informação – Redes

Estudo de Caso - Senai


Thulio Marcus Marcenes de Souza1, Frederico Coelho
1
Bacharelando do Curso de Ciência da Computação
Universidade Presidente Antônio Carlos (UNIPAC)
Rua Monsenhor José Augusto nº 203, Bairro São José, Barbacena

thuliomarcus@yahoo.com.br, fredericocoelho@unipac.br

Resumo. Este artigo trata do estudo e aplicação da implantação de


metodologias para se alcançar aspectos relevantes de segurança que devem
ser levados em consideração por gerentes de sistemas de informação e
executivos, sendo que a informação tornou-se um elemento de fundamental
importância e valor para os negócios de hoje, utilizando uma unidade do
Senai/ MG, situada na cidade de São João Del Rei, que não utilizava
quaisquer meios diferentes dos utilizados como defesa convencionais
previamente instalados no Sistema Operacional, para a validação e
comprovação dos métodos aplicados.
Palavras-chave: Segurança, Sistema de Informação, Redes

1. Introdução
Ao mesmo tempo em que se tem aumentado a confiança das organizações em
informações providas por sistemas computacionais, sendo indiscutível o ganho que
organizações tem com o crescente uso de computadores, infelizmente tem se observado
também um aumento quase que diário no surgimento de vulnerabilidades nos diversos
sistemas disponíveis no mercado.
A implementação de diretrizes para tentar diminuir tais transtornos também tenta
evoluir de acordo com as necessidades de se alcançar resultados satisfatórios em relação
à segurança da informação. [1] [2]
É indiscutível o ganho que organizações terão com um crescente uso de
computadores: acesso a redes de computadores, Internet e seus diversos recursos.
Porém, é extremamente insensato entrar neste novo "território" tecnológico desprovido
de regulamentação adequada sem entender os riscos, sem formular uma política de
segurança adequada e sem definir procedimentos para proteger informações importantes
de sua organização.
Este artigo pretende servir de ajuda e de incentivo na busca de uma infra-
estrutura apropriada de segurança para as organizações.

2 – Metodologia
Decidir por onde começar a implementação de segurança em uma rede de uma empresa
pode ser um processo difícil, visto que é necessário entender quais são as ameaças
existentes e como reduzir a vulnerabilidade do sistema, procurando também saber quais
são os recursos que se deseja proteger, quais são os valores destes recursos e que nível
de segurança é mais adequado, dada a cultura e a filosofia da organização.
É mencionado aqui recurso como sendo qualquer coisa (um bem físico ou não)
que tenha um valor monetário e/ou intelectual. [1]
Levando-se em conta metodologias conhecidas e já aplicadas, foi iniciado o
processo de coleta de dados obedecendo-se os seguintes passos: [1] [2] [3] [4]
• Determinação dos perfis de usuários que utilizam a rede e quais níveis de
acesso;
• Verificação do comportamento e eficácia de bloqueios e se as tentativas de
ataques são numerosas demais para serem ignoradas;
• Análise dos recursos físicos e lógicos na implantação da rede interna;
• Verificação da velocidade do tráfego das informações e paridade de serviço
fornecido pelo provedor.

2.1 – Integrando a Segurança


Em um processo de integração de procedimentos de segurança em uma rede de uma
organização (Figura 1), é importante que se tenha claro quais são os seus objetivos e
qual a importância destes novos procedimentos e das novas tecnologias a serem
introduzidas na empresa, sendo necessário assim, que se faça um levantamento das
necessidades, problemas e requerimentos, convencendo a gerência da importância desta
integração, considerando-se os seguintes itens: [1] [2] [3] [4]

• justificar investimentos com infra-estruturas;


• qual política de segurança a adotar;
• o que considerar em um programa de treinamento para segurança e
• quais os problemas comuns encontrados.

Figura 1 – Pirâmide da Integração de Procedimentos para Segurança da Informação [1]


2.2. Justificando Investimentos com Infra-estruturas para Segurança
Para apresentar uma justificativa plausível para que se realizem investimentos, que em
grande maioria despedem um alto custo é necessário que se faça uma análise de riscos
para identificar os recursos que é desejado proteger e para determinar os seus valores,
classificando-os nas seguintes categorias: [1] [2] [4]
• Físico: computadores, equipamentos de rede, mídia de armazenamento, etc.
• Intelectual: código de programa e documentação, informações de servidores
Web, informações de banco de dados, projetos;
• Valores não palpáveis: reputação da empresa, privacidade de usuários,
informações confidenciais, moral de empregados;
• Serviços computacionais: alocação de CPU, discos, suporte técnico.
Identificar valores de bens físicos é uma tarefa fácil, basta levantar o valor de
reposição de um novo. A parte difícil é determinar que propriedade intelectual
significante sua organização possui e quais bens não palpáveis são recursos-chave.
Existem ainda alguns passos a executar: [1] [2] [3] [4]
• Demonstrar que as tentativas de ataques são numerosas demais para serem
ignoradas
• Instalar programas para monitorar o tráfego em sua rede e registrar a tentativas
de ataques;
• Utilizar algumas ferramentas, se possível, de fora de sua rede como, por
exemplo, SATAN e analisar seus resultados. Obtenha o máximo de informação
que você puder sobre as vulnerabilidade da rede.
• Discutir os impactos potenciais na reputação e lucros de sua empresa em caso de
um ataque de negação de serviço. Que prejuízo teria uma empresa que vende
seus produtos somente via Web se ficasse fora de operação horas ou até mesmo
dias?
• Fornecer informações de ataques ocorridos na Internet e as empresas que foram
atacadas e os danos sofridos.

2.3. Programa de Treinamento em Segurança


Alguns cuidados são necessários para que a rotina da segurança seja executada com o
máximo de eficácia, são eles: [1] [2] [4]
• Fornecer treinamento com regularidade para a equipe de suporte, usuários,
gerentes e novos empregados;
• Utilizar diferentes meios de treinamentos: aulas, Web, vídeo, etc.;
• Manter usuários e equipe de suporte informados das atuais tendências em
incidentes de segurança em computadores;
• Revisar procedimentos de treinamento regularmente e assegure-se que
continuam atualizados e relevantes para o seu ambiente.
2.4. Problemas Comuns de Segurança
• Recursos insuficientes
Os problemas mais comuns em segurança estão relacionados a organizações que
não dedicam recursos suficientes para implementar níveis adequados de
segurança.
• Suporte ou autoridade insuficiente
Nem sempre a equipe de suporte tem apoio de sua gerência ou autoridade para
adotar medidas de segurança apropriadas para sua organização.
• Sistemas com problemas de segurança
Ainda hoje máquinas/sistemas continuam sendo vendidos com configurações
default trazendo sérias vulnerabilidades. Sistemas operacionais (alguns mais que
outros) devem ter sua configuração default muito bem revista após sua
instalação para remoção de possíveis furos de segurança.
• Patches não aplicados
Não existe uma preocupação com instalação de patches (pacotes de correção de
furos de segurança do próprio sistema) divulgados pelos fabricantes em suas
máquinas. Deve-se estar atento aos anúncios de vulnerabilidades divulgados na
Internet.
• Senhas reutilizadas não criptografadas
Ainda se utiliza sistema de autenticação sem criptografia em acessos remotos e
ainda com senhas reutilizadas. Algumas soluções são sugeridas para atacar este
problema, como: senhas não reutilizáveis (a cada acesso uma nova senha deverá
ser utilizada pelo usuário de uma lista previamente definida em seu sistema),
tokens (um dispositivo de hardware pequeno único para cada usuário, para
conseguir fazer uma conexão remota a sua rede, o usuário deverá ter o
dispositivo).

• Acesso aberto à rede


Acesso às máquinas internas sem restrições ou sem monitoramento do tráfego da
rede é um outro problema crítico e ainda comumente encontrado.
• Contas de usuários criadas sem critérios de segurança
Algumas organizações criam contas com senhas default e muitas vezes estas
senhas nunca são trocadas pelos usuários.
• Monitoramento e expiração de contas ineficientes
Contas de usuários que deixam a empresa às vezes permanecem sem serem
removidas. Estas contas podem ser descobertas por intrusos ou usuários locais
mal intencionados.
• Sistemas novos mal configurados
Algumas máquinas são instaladas na rede sem nenhuma preocupação com
segurança. Se a rede não tem firewall ou nenhum outro controle de acesso, pelo
menos um padrão mínimo de segurança deveria ser implementado.

3 - Estudo de Caso
Foi utilizada como objeto deste estudo, uma unidade do Senai - CFP/SAT – Centro de
Formação Profissional “Sílvio Assunção Teixeira – situada na cidade de São João Del
Rei / MG, que sofria com os inconvenientes causados com a perda e não atualizações
de informações, tais como, cadastros, consultas e modificações na estrutura dos bancos
de dados da parte de sua escrituração escolar.
A unidade é dotada de uma rede de 56 computadores, sendo um servidor que
também é o gateway para a Internet . O firewall utilizado é o padrão do SO Windows
2003 Server e como antivírus o software é da Symantec, não sendo o Norton e não
possuindo versão de comercialização, pois o software foi desenvolvido para uso
exclusivo das unidades do Sistema Fiemg, e o serviço de acesso a Internet é fornecido
pela Mgconecta, via rádio, com velocidade de 512 kb.
Para os serviços de reestruturação da parte física e lógica da rede foi contratada a
empresa Instituto On-line – Educação, serviços e consultoria em TI, situada em Belo
Horizonte/MG.

3.1 – Coleta de Dados


Após a determinação e execução dos passos já descritos, foram obtidos os seguintes
resultados e disponibilizados os relatórios em http://www.thulio.hpgvip.com.br/tcc:
• Passo 1 - Determinação dos perfis de usuários que utilizam a rede e quais níveis
de acesso: os usuários que mais dependiam da rede e que mais a tornavam
vulneráveis seriam os usuários lotados na área de administração escolar: como
secretárias, escriturárias, gerentes e supervisores ligados à parte administrativa,
porque necessitavam de constante acesso a Internet e forneciam um grande
tráfego à rede interna, representando cerca de 70%, logo após estavam os
usuários da área de docentes, que ao utilizarem o laboratório de informática não
supervisionavam o acesso dos alunos à Internet, totalizando cerca de 30% do uso
da rede e Internet. (Gráfico 1).

30%

70%

Administração
Docência

Gráfico 1 – Uso da Rede


• Passo 2 - Verificação do comportamento e eficácia de bloqueios e se as
tentativas de ataques são numerosas demais para serem ignoradas: foi pedido ao
provedor da Internet contratado, para fornecer os dados de quantos ataques
estavam sofrendo diariamente, bem como a verificação do histórico de ações
contra vírus utilizado pelo servidor de rede, obtendo assim, um número bem
próximo da realidade de ataques e tentativas de ataques diários na unidade.
Utilizou-se uma amostragem de 10 computadores por um período de uma
semana, sendo que, 6 computadores situavam-se na secretária, 2 computadores
estavam locados na gerência e 2 restantes estavam no laboratório de informática
utilizados pelos alunos, observando-se que todos os dias aconteciam cerca de 11
ameaças registradas, tanto do provedor contratado quanto nos computadores da
unidade, (Gráfico 2).
20%

80%
Mgconecta

Servidor

Gráfico 2 – Número de Ataques


• Passo 3 - Análise dos recursos físicos e lógicos na implantação da rede interna:
foram analisados os equipamentos – hubs, switchs, cabos e servidor, e também a
estrutura lógica – endereçamentos, funcionamento e configurações, que
influenciam diretamente no fornecimento adequado da estrutura de rede que
permita o tráfego com velocidade e segurança, conseguindo detectar as seguintes
falhas:
Cabos com comprimento ou grimpagem inadequados, causando
falhas de transmissão de dados;
Hubs e switches ligados em sua maior parte sem aplicação de
metodologias e técnicas que possibilitem maior aproveitamento
de seus desempenhos;
Utilizando software específico para medição de desempenho
(AIDA), foi feito analise no servidor e constatou-se a necessidade
de aumento de memória RAM (pelo menos 512 mb) fornecida
por relatório gerado pelo AIDA.
Verificou-se que não existia um cálculo de máscara de rede e tão
pouco os computadores recebiam devidamente seus IP`s.

• Passo 4 - Verificação da velocidade do tráfego das informações e paridade de


serviço fornecido pelo provedor: utilizando softwares e sites para medição real
de tráfego na rede como: YourSpeed v2.3 ; McAfee Speedometer; JLNET Teste
de velocidade; PC Pitstop Download Bandwidth Test e
www.abeltronica.com/PagRec/br/01/, verificou-se que as velocidades máximas
alcançadas para download e upload foram: (Tabela 1)

Data Horários Download (Kbps) Upload (Kbps)

24/jul/2006 09:00 14:00 8,23 5,78

31/jul/2006 09:00 15:15 6,45 7,89

10/ago/2006 10:00* 19:00 3,34 4,67

14/ago/2006 13:00 21:00 34,89 23,56

17/ago/2006 16:00* 20:00 12,3 11,67

21/ago/2006 13:30* 20:00 10,67 12,54

24/set/2006 13:30 20:00 23,6 20,56

28/ago/2006 13:30 20:00 8,78 9,01

05/set/2006 13:30 20:00 9,70 10,43

* Horário de pico na utilização da rede.


Tabela 1 – Velocidades de download e upload antes da implantação de uma política de
segurança da informação.

3.2 – Resultados
Após a reestruturação física e lógica da rede interna da unidade com investimentos de
hardware, software, cabeamento, configuração de IP’s e do bloqueio de sites impróprios
e indesejados com valor de R$18.000, verificou-se um aumento considerável em
eficiência com a conexão à Internet (Tabela 2). Notou-se também que o sistema interno
de rede e o tráfego de acesso ao servidor, tornou-se mais estável e confiável, reduzindo
em cerca de 70% as falhas de comunicação, definido através de pesquisa com os
usuários do sistema.

Data Horários Download (Kbps) Upload (Kbps)

23/set/2006 09:00 14:00 13,45 20,56

02/out/2006 09:00 15:15 18,23 22,45

06/out/2006 10:00* 19:00 32,93 11,56

09/out/2006 13:00 21:00 45,89 78,56

13/out/2006 16:00* 20:00 22,80 22,45


16/out/2006 13:30* 20:00 13,78 18,09

20/out/2006 16:00* 20:00 23,4 15,34

23/out/2006 16:00* 20:00 12,3 16,29

* Horário de pico na utilização da rede.


Tabela 2 – Velocidades de download e upload após a implantação de uma política de segurança
da informação.
Determinando os perfis dos usuários, montou-se um controle de acesso à rede e
às aplicações, bem como, restrições a manuseio de mídias, fazendo com que todos os
usuários passassem a serem identificados, diminuindo e inibindo ações que possam
causar danos e prejuízos ao sistema.
Foi mobilizado o Departamento de TI do próprio Sistema FIEMG (Federação
das Indústrias de Minas Gerais) que aplicou treinamento através de vídeo conferência a
todos funcionários da unidade envolvidos diretamente ou indiretamente no uso de
computadores, disponibilizando também contato com uma central de Help Desk para
solucionar e orientar procedimentos de segurança, resultando na diminuição de atos
inseguros conscientes ou não, os quais expunham a rede interna a ataques.
De acordo com as necessidades da unidade em relação à segurança de seus
dados, o estudo e aplicação das diretrizes definidas, ocasionou uma melhora
considerável e satisfatória na rede interna da unidade, fazendo com que seja aplicado em
mais duas unidades do Senai, uma situada em Belo Horizonte e uma em Barroso, em
caráter de teste e comprovação.

4 – Considerações Finais
Este artigo pretende servir de ajuda e de incentivo na busca de uma infra-estrutura
apropriada de segurança para as organizações.
Segurança é um questão à qual se deve dar alta prioridade. Foram apresentados
alguns itens que deve-se ter em mente e averiguar ao se planejar uma introdução de
mecanismos de segurança em uma organização, que deve selecionar um nível de
segurança que considere apropriado, avaliando o impacto financeiro e em sua reputação
no caso de um possível ataque bem sucedido a sua rede.
Também é bom salientar que o único sistema de computação totalmente seguro é
aquele que nunca foi ligado na corrente elétrica.

5 – Referências Bibliográficas
[1] Campos, André L. (2005) “Sistema de Segurança da Informação - Controlando os Riscos”, Editora
Visual Books, Português.
[2] Terada, Routo, (2000) “Segurança de Dados: Criptografia em Redes de Computadores”, Editora:.
Edgard Blucher, Português.
[3] Vigliazzi, Douglas, (2003) “Soluções para Segurança de Redes Windows”, Editora Visual Books,
Português.
[4] Dawel, George, (2005) “A Segurança da Informação nas Empresas: Ampliando Horizontes além da
Tecnologia.”, Editora Ciência Moderna, Português.