MECANISMOS DE SEGURANÇA LÓGICA EM HOSTS
COM ÊNFASE EM CONTROLES DE ACESSO
Miguel Angelo Reinhardt <[email protected]>
Universidade Luterana do Brasil (ULBRA) – Curso de Tecnólogo em Redes de Computadores – Câmpus Canoas
Av. Farroupilha, 8001 · Bairro São José · Cep 92425-900 – Canoas - RS
29 de novembro de 2010
RESUMO
Este artigo tem por objetivo identificar problemas relacionados á segurança da informação e quais as soluções
empregadas pelas empresas e usuários residenciais, no combate as diversas formas de invasão e vazamentos de
informações. Algumas técnicas serão aplicadas neste trabalho de forma a ilustrar a situação em um cenário real. A
ocorrência de vazamento de informações, homepages alteradas e com serviços fora do ar, tem causado muitos
prejuízos as empresas que utilizam e-business. A quebra do sigilo do banco de dados cadastrais, dos clientes é
motivo de grande preocupação, pois correm o risco de serem levados a processos judiciais. Dessa forma a proteção
dos hosts, cliente e servidor, deve ser efetuada por profissionais de TI, que garantam o pleno funcionamento da rede e
a segurança envolvida. Uma vez tendo invadido uma rede local, as chances de acesso aos dados sigilosos crescem
muito. O resultado do experimento aplicado neste laboratório teve como ênfase as técnicas de controle de acesso que
foram direcionadas ao host, pois este é um dos principais alvos dos invasores.
Palavras-chave: Segurança da Informação; Controle de Acesso; RBAC.
ABSTRACT
Title: “Logical security mechanisms in hosts with an emphasis on access controls”
This article aims to identify problems related to information’s security and the solutions used by companies and
residential users, combating the several forms of intrusion and data leaks. Some techniques will be applied in this
paper to illustrate the situation in a real scenario. The occurrence of leaks, changed home pages and off line
services, has caused many damages to the companies that use e-business. The disclosure of the cadastral database of
the clients is a great concern because they risk being taken to court suit. Thus the protection of hosts, clients and
server must be undertaken by professionals, to ensure the full functioning of the network and security involved. Once
having invaded a local network, the chances of access to sensitive data grow too much. The result of the experiment
applied in this laboratory as an emphasis on access control techniques that were directed to the host, because this is
the primary target for attackers.
Key-words: Information Security, Access Control, RBAC.
1
INTRODUÇÃO
Nos últimos anos temos acompanhado grandes mudanças no que diz respeito à informática nos
negócios, sejam eles de pequeno ou grande porte. Para as empresas, criar um ambiente que observe normas e
padrões de segurança no uso dos recursos computacionais, já não é mais uma questão de escolha e sim de
necessidade. Trata-se de prevenir as invasões, e conseqüentes perdas financeiras, de criar uma política de
segurança para os negócios.
É importante lembrar que a política não envolve apenas a área de Tecnologia da Informação (TI),
mas a organização como um todo.
Segundo Ferreira, Fernando N. Freitas (2008), a política deve conter os detalhes a serem observados,
o que é esperado dos participantes e quais as sanções em caso de descumprimento das normas nela
estipuladas. Como toda política institucional, a política de segurança deve ser aprovada pela alta gerência e
divulgada a todos os funcionários e usuários de serviços de informática. A partir de então, todos os controles
devem se basear nessa política.
“Convém que a direção solicite aos funcionários, fornecedores e terceiros que pratiquem a
segurança da informação de acordo com o estabelecido nas políticas e procedimentos da organização.”
(NBR_ISO27002 8.2.1)
Criar soluções de segurança e garantir o acesso aos clientes, já faz parte do planejamento estratégico
das empresas modernas. Mas este cenário exige que os profissionais da área estejam sempre atualizados e
1
capacitados ao cumprimento desta tarefa, por vezes, muito complexa e desgastante. Cada vez mais a figura
do administrador e do gerente de redes vem garantindo um importante papel no mercado de profissionais da
área de TI. A solução para que se tenha um ambiente seguro não depende de um pacote fechado que possa
ser comprado e instalado, mas sim de um somatório de técnicas, que só terão eficácia se forem implantadas e
gerenciadas por profissionais capazes e comprometidos em tempo integral no desenvolvimento e
manutenção da segurança. Estes profissionais garantem o funcionamento e a disponibilidade dos serviços
prioritários para o cumprimento dos negócios da empresa.
Este artigo propõe a implementação estruturada de mecanismos de segurança e controle de acesso,
voltados para hosts ou endpoints, como também são conhecidas as estações do ponto final da rede. Serão
aplicados mecanismos como firewall, antivírus, Proxy e outros. No controle de acesso será usada a técnica
chamada RBAC (Role-Based Access Control), que distribui permissões a grupos de usuários, por critério da
função exercida dentro da organização, usando a hierarquia organizacional aplicada no ambiente. Será
possível simular o uso da ferramenta em uma aplicação web, de modo a identificar algumas vantagens
envolvidas nesse tipo de controle. O RBAC será usado como ferramenta auxiliar ao AD (Active Directory),
instalado em um sistema operacional Windows Server 2008, usado neste experimento. O capítulo 2
apresentará a fundamentação teórica, o capítulo 3 a modelagem do projeto, no capítulo 4 estarão os passos da
implantação de ferramentas e no capítulo 5 a conclusão.
2
FUNDAMENTAÇÃO TEÓRICA
Falar de segurança de hosts requer uma ampla ilustração de todas as etapas envolvidas no processo.
Desde a instalação do sistema operacional, onde é necessário entender sua arquitetura, camadas, suporte à
rede, protocolos e mecanismos, até as etapas de criação de contas de usuários, autenticações, permissões,
atualizações, firewall, etc. É preciso prever falhas de ordem humana, conhecidas como engenharia social, e
diz respeito ao uso despreocupado dos recursos de informática na empresa ou no computador de uso pessoal.
Geralmente os vazamentos de informação ocorrem por negligência, dos usuários, com o sigilo de suas
senhas, dados pessoais e corporativos. Também é importante salientar que uso de recursos da empresa, como
e-mail, por exemplo, para fins pessoais pode ferir as normas instituídas na política de segurança, levando a
um incidente de segurança.
Quanto aos protocolos das camadas de rede, o destaque no que diz respeito a invasões, é o protocolo
TCP/IP. Este tem seu núcleo formado pelo Transmission Control Protocol e pelo Internet Protocol. Sua
leveza e o fato de ser independente do Hardware e Software que o utiliza, o torna amplamente usado na
interligação de redes, sendo a Internet o seu maior exemplo de utilização. As camadas do protocolo TCP/IP
são quatro: aplicação, transporte, rede e física, demonstradas na tabela 1 que segue:
Tabela 1 – Pilha TCP
Camadas
Aplicação
Transporte
Rede
Física
Serviços
HTTP,Telnet
TCP/UDP
IP
Interface Física
Todas as camadas estão interligadas e possuem interfaces que permitem a troca de informações entre
elas. Na camada de aplicação estão as aplicações e processos que utilizam a rede, como HTTP, Telnet e FTP.
Já na camada de transporte estão os dois protocolos que permitem que as máquinas conversem entre si, o
TCP e UDP, o primeiro é orientado a conexão e garante a entrega de pacotes, sem erros e o segundo é não
orientado a conexão e trabalha sem controle de fluxo, sendo muito usado na transmissão de voz e imagem. O
UDP privilegia a entrega imediata sem se preocupar com entrega sem erros. A camada de rede é a
responsável pelo endereçamento dos hosts e pelo roteamento dos pacotes, seu principal protocolo é o IP. A
última camada, a física é a dos dispositivos físicos da rede, interfaces, switches, hubs. Trabalha com
protocolos que variam de acordo com a tecnologia de rede empregada, Frame Relay, Ethernet e outros.
O endereçamento IPv4 trabalha com um número de 32 bits que é atribuído a cada interface da rede e
está dividido em duas partes, sendo uma o número da rede e a outra o número da máquina. Pode ainda ter
três classes A, B e C que tratam da quantidade endereços de redes e hosts possíveis de representar. A classe
2
“A” tem o primeiro byte para rede e os três últimos para hosts endereçando até 128 redes de 16 milhões de
equipamentos, a classe “B” é dividida em dois bytes para rede e dois para hosts e endereça até 16 mil redes
de 64 mil máquinas, e por última a classe “C” que tem três bytes para rede e um apenas para hosts e endereça
então, 2 milhões de redes de 254 equipamentos cada. Além do endereço a rede deve ter uma máscara que
serve para indicar quantos bits são para a rede e quantos para endereçar equipamentos. Tanto a máscara,
quanto os endereços IP, são representados na forma decimal e têm o tamanho de 32 bits.
Atualmente já existe a implementação de IPv6 trabalhando em paralelo ao IPv4, ou seja pacotes
podem transitar pela internet passando por roteadores, que já estão preparados para essa nova era de
endereçamentos, contando até mesmo com a possibilidade de passar pacotes IPv6 compactados, por dentro
de uma rede que seja exclusivamente IPv4. Esse novo conceito de endereçamento conta com uma divisão de
64 bits para rede e outros 64 bits para hosts, ampliando exponencialmente a quantidades de endereços IP, e
solucionando de vez o problema de esgotamento de endereços. Para os equipamentos essa mudança não
apresenta incompatibilidades, e os sistemas operacionais modernos já possuem suporte para o protocolo.
Outro protocolo muito usado nas redes é o ICMP, que usa o protocolo IP para enviar mensagens de
erro e de informações da rede. Mensagens como tempo excedido, pacote não pode ser entregue, equipamento
ativo, entre outras. Esse protocolo é conhecido como o protocolo de mensagens da internet.
A função do protocolo TCP, em uma conexão, é oferecer um serviço de transferência confiável.
Estes serviços são representados por meio de portas, que identificam qual via está sendo usada na conexão,
por exemplo, a porta 21 é para FTP, a 23 para Telnet e a 25 para SMTP. É nestes serviços que devemos focar
a proteção da rede e criar técnicas que impeçam invasões e vazamentos de informação.
A implementação da segurança da informação, tem por objetivo, reduzir os riscos com vazamentos,
fraudes, erros, uso indevido, sabotagens, roubo de informações e diversos outros problemas. Assim,
conseqüentemente aumentar a produtividade dos usuários através de um ambiente mais organizado, maior
controle sobre os recursos de informática e, finalmente, viabilizar aplicações críticas das empresas. Para
tanto é necessário observar as recomendações contidas na norma ABNT NBR ISO/IEC 27002. Nela estão
normatizadas as políticas e os princípios básicos da segurança que são a autenticidade, confidencialidade,
integridade e disponibilidade das informações.
A autenticidade diz respeito à identificação do usuário ou computador. O serviço de autenticação
deve garantir ao receptor que a mensagem realmente procede da origem informada em seu conteúdo. A
criação de contas de usuários e autenticação por senhas é a pratica mais comum de autenticação. Uma
invasão por personificação (spoofing) consiste em um usuário externo assumir a identidade de um usuário
interno, atuando no sistema no lugar deste usuário legítimo. Para garantir segurança da informação, neste
contexto, medidas simples podem ser tomadas, como por exemplo, a troca freqüente da senha e o bloqueio
de acesso após um determinado número de insucessos no login.
Segundo Gasparini (2004), os usuários precisam ter ciência de suas responsabilidades no acesso dos
sistemas e dos riscos da divulgação das senhas pessoais, pois uma vez havendo prejuízos causados pelo uso
indevido da informação, o usuário deve arcar com as conseqüências.
A confidencialidade baseia-se na proteção da informação contra leitura e/ou cópia por alguém que
não tenha sido explicitamente autorizado pelo proprietário daquela informação. Programas de captura de
pacotes proporcionam uma interface com um dispositivo de hardware que é executado no modo promíscuo
(sniffer), ou seja, copiando todos os pacotes que chegam até ele, independentemente do endereço de destino
contido no pacote. Se um sniffer for instalado em alguma parte da rota entre dois hosts de uma rede, senhas e
informações confidenciais podem ser capturadas, causando transtornos e prejuízos. Tal ação pode
proporcionar, também, a ocorrência de futuros ataques contra autenticidade, usando senhas, usernames e
endereços de host capturados por sniffers. A proteção deve prever o isolamento dos meios físicos e também
monitoramento do tráfego da rede, para evitar tais práticas.
A integridade consiste em proteger a informação contra modificação sem a permissão explicita do
proprietário daquela informação. Está muito ligada a autenticidade, pois modificações no conteúdo da
informação ou até mesmo a exclusão desta, deverão estar associadas a um usuário ou estação de trabalho
autorizado, e naturalmente, considerado responsável pelas alterações.
Quanto à disponibilidade da informação, esta deve ser encarada como uma continuidade dos
serviços. Desastres podem gerar enormes perdas de dados e ter impactos devastadores nos negócios. No
3
entanto, a disponibilidade significa mais do que ter medidas de recuperação de desastre efetivas. Embora não
tão sério como os efeitos físicos de um furacão ou incêndio, uma hora de inatividade nos sistemas de
armazenamento pode ter efeitos dramáticos em um negócio e causar despesas significativas. Por isso, as
organizações devem se assegurar de que seus usuários tenham acesso contínuo às informações importantes.
O foco nestes casos então são os ataques de negação de serviços, onde o acesso a um sistema/aplicação é
interrompido ou impedido, deixando de estar disponível.
Os ataques provenientes das redes públicas dispensam um grande esforço de bloqueio por parte dos
administradores de rede, porém existem ainda os ataques internos gerados com a integração das corporações,
matriz, filiais, fornecedores, vendedores e parceiros comerciais, todos interligados, criando mais um alvo de
ataques (ET Nakamura, PL de Geus 2007). A complexidade dos sistemas torna ainda mais complexa à tarefa
dos administradores das redes. A necessidade de prover segurança e ao mesmo tempo garantir o acesso as
informações àqueles que estão autorizados, se transformou num grande desafio, pois à medida que aumenta a
proteção, diminui o desempenho geral do sistema e da rede. Em contrapartida os hakers acabam tendo ainda
mais pontos de vulnerabilidade para explorarem.
Segundo Tanenbaum (2004), a maior parte dos problemas de segurança é intencional e causada por
pessoas de má índole, que pretendem obter algum lucro, chamar a atenção ou ainda prejudicar alguém.
Para evitar ou prevenir ataques, é preciso definir um modelo de segurança, que contemple, políticas
de acesso, prever e evitar falhas de ordem humana, e gerar logs para auditar o comportamento da utilização
dos recursos da rede, pelos usuários. Este artigo propõe a utilização de mecanismos de segurança, voltados
para hosts, que serão citados a seguir, com ênfase nas técnicas de controle de acesso. O conjunto dessas
técnicas tem o propósito de melhorar a proteção contra o cenário de ameaças já descrito anteriormente,
oferecendo maior segurança ao host.
2.1
2.1.1
Técnicas de segurança
Firewall
O firewall protege a rede local, que está conectada à Internet, contra acessos indevidos, externos e
internos. Tem como função controlar o tráfego de entrada e saída da rede, para isso, possui um arquivo que
contém diversas regras que permitem ou negam algum serviço. No host, o firewall tem um papel importante
para preservação das informações, pois estando configurado de forma correta, também deve auxiliar na
prevenção de invasões. Uma vez ativo, irá monitorar o acesso a serviços, permitindo ou descartando pacotes.
Com o firewall ativado é possível bloquear todas as conexões de entrada, incluindo as que estejam na lista de
programas permitidos, ou ainda, avisar quando bloquear um programa novo. Um firewall também pode
ajudar a impedir o computador de enviar software mal-intencionado para outros computadores.
Os firewalls na sua maioria são programados para trabalhar como filtros de pacotes, porém ações
maliciosas podem se aproveitar de vulnerabilidades nos serviços por ele habilitados. É necessário usar outros
mecanismos que detectem intrusões ou tentativas de intrusões, estes mecanismos são chamados de IDS
(Intrusion Detection System) e serão comentados a seguir neste artigo.
2.1.2
Atualizações Automáticas
Atualizações automáticas de sistema operacional e aplicações são itens indispensáveis na segurança
da informação, pois vulnerabilidades são incansavelmente exploradas por invasores, que podem tomar
informações sigilosas de algum banco de dados. É importante ressaltar que os sistemas operacionais fazem
suas atualizações sem necessidade da intervenção do usuário.
2.1.3
Invasões
Ferramentas como, IDS/IPS (Intrusion Detection System)/ (Intrusion Prevention System), que
monitoram comportamentos de uso de serviços em hosts, quando configuradas e atualizadas corretamente,
oferecem um bom subsidio no controle e detecção de invasão.
“A necessidade de existir um monitoramento mais eficiente e ininterrupto das atividades pertinentes
a uma rede fez com que surgissem programas denominados IDS...”(Snort Brasil - 2010).
O IDS/IPS quando aplicado a hosts é denominado HIDS/HIPS, e tem a função de detecção e
prevenção de intrusos através de monitoramento e comportamento do uso do equipamento na qual está
instalado. A premissa é de que o comportamento do atacante será diferente do comportamento do usuário
4
legítimo. As ferramentas de IDS possuem níveis de configuração para seus alertas e dependem do método de
detecção que está sendo empregado, se baseado em assinaturas ou em anomalias. Quando baseado em
assinaturas, trabalha procurando regras pré-estabelecidas no tráfego da rede e quando baseado em anomalias,
utiliza um banco de dados de padrões de comportamento da rede.
Alguns erros podem ocorrer no sistema de IDS, são os chamados falsos positivos e falsos negativos.
O falso positivo ocorre quando os sensores classificam um tráfego normal como sendo um ataque, mas esses
alertas ocorrem com freqüência, sendo necessário algumas vezes alterar os níveis de sensibilidade dos
mesmos. Já os falsos negativos referem-se a não detecção de ataques verdadeiros que passam despercebidos
pelos sensores. Esses ataques são motivo de maior preocupação, pois se referem a invasões verdadeiras que
não foram identificados.
Uma técnica também aplicada é a de permitir o acesso do intruso, para uma avaliação posterior a
invasão. Esta invasão permitida, conhecida como honeypot, naturalmente, fica reduzida a uma área
estrategicamente liberada, que depois poderá ser analisada e investigada para colher informações de
comportamento e intenções do invasor.
“O IDS não deverá substituir o firewall na tarefa de proteger as redes de dados, devendo agir em
conjunto com ele e outras ferramentas de segurança de maneira a garantir a execução da política de
segurança corporativa.“ Julio Steffen Junior (2003).
2.1.4
Antivírus
Os sistemas de antivírus são instalados para efetuar verificações em tempo real, atualizações
automáticas, mas com mínima interação do usuário, trabalhando em background, tendo apenas alarmes para
informar detecções e ações a serem tomadas, como exclusão, ou quarentena no caso de arquivos de sistema
que possam ser recuperados futuramente com atualizações do antivírus.
“[...] O estudo revelou que empresas desse porte (10 a 49 funcionários para pequenas
empresas e 50 a 499 para médias empresas) avaliam a proteção dos dados como prioridade
em TI, ao contrário do que acontecia há 15 meses, quando uma elevada porcentagem das
companhias não contava nem com soluções básicas de proteção e recuperação das
informações.” MOUNTAIN VIEW, Califórnia – 07 de junho de 2010 (Pesquisa encomendada
pela Symantec ao Instituto Applied Research).
Atualmente há uma preocupação com a proteção das extremidades da rede os endpoints, e a indústria
do antivírus já trás soluções que unificam prevenção de invasões (IPS), funções de firewall, antispyware e
antivírus, controle de aplicativos e de dispositivos, tudo integrado. Empresas conhecidas como Symantec e
McAfee, entre outras, possuem soluções que contemplam esse tipo de prevenção. Outra preocupação
existente, e que deve ser tratada com atenção, são os meios físicos de acesso, como portas USB, FireWire,
Bluetooth e outras interfaces que podem acarretar no vazamento de informações e ataques a rede ou até
servirem como porta de entrada para invasores.
Segundo Northcutt et al, (2002), todas as técnicas de segurança combinadas é que podem reduzir as
chances de invasões e vazamentos de informações, e fazem ainda uma analogia, comparando a defesa da
rede a uma cebola, ao destacar as camadas externas, “muitas camadas permanecem por baixo dela”. Um dos
aspectos, destacados no estudo desses autores foi a possibilidades de se pôr todo o trabalho de segurança a
perder em simples atitudes de descuido, como por exemplo, ter configurado firewall, Proxy, IDS e antivírus
em um servidor de Web e não se preocupando com a segurança do servidor DNS. O uso de VPN, mesmo
sendo seguro, pode ser causador de incidentes de segurança, pois na rede interna as defesas estão todas
ativadas, mas quando o usuário remoto estiver acessando o servidor de um quarto de hotel, por exemplo, se o
firewall não estiver ativado no host, este pode ser vitima de algum hacker e comprometer os servidores da
rede. A defesa do host se torna um passo importante da defesa em profundidade da rede.
2.1.5
NAT
Um serviço chamado NAT (Network Address Translation) que surgiu, inicialmente, para minimizar
o problema de escassez de endereços IP, também auxilia na segurança porque os endereços locais são
traduzidos para o endereço válido que acessa a Internet. Deste modo o endereço IP da máquina não fica
disponível na Internet.
2.1.6
Proxy
5
Como filtro de conteúdo também é possível utilizar o serviço de Proxy. Este serviço também é usado
como um facilitador no acesso a URL’s, pois vai mantendo um caching das páginas mais acessadas na rede
evitando muitas vezes um novo acesso externo. O usuário que requisitou a URL estará navegando na internet
de forma rápida e algumas vezes seu acesso será local. Por outro lado o Proxy canaliza o acesso da internet e
faz um controle de permissões de conteúdo das páginas acessadas, protegendo a rede e auxiliando assim o
antivírus a combater trojans e worms. Seus filtros são muito eficazes no controle de acesso a conteúdo
pornográfico, que é uma potencial porta de entrada de vírus.
2.1.7 Checklist
Ferramentas para checklist como o MBSA (Microsoft Baseline Security Analyser) atuam como
ferramenta de exame de avaliação de vulnerabilidades. Esta ferramenta não é nativa do Windows, e deve ser
baixada do site da Microsoft e depois instalada. Com ela é possível verificar atualizações de segurança não
instaladas no Windows Server, no Microsoft Office, no Microsoft Exchange, no Microsoft SQL Server. É
possível também verificar se o firewall do Windows está habilitado, se o recurso atualizações automáticas
está habilitado e se senhas fortes estão sendo utilizadas. O MBSA realiza uma tarefa importante que auxilia o
administrador da rede, emitindo relatórios com informações detalhadas sobre vulnerabilidades encontradas e
links contendo downloads para suas correções. Pode também identificar falhas de configuração e indicar o
que deve ser feito para corrigi-las.
2.1.8 Controle de Acesso
Ao contrário das permissões por grupo de usuários, o controle de acesso trata das aplicações de
forma a criar níveis de permissão dentro de um mesmo grupo, com papéis diferentes para seus usuários.
Assim é possível acessar o mesmo sistema com permissões diferentes e papéis diferentes por usuário.
Podemos dizer que os grupos são um aglomerado de usuários, enquanto que os papéis são uma coleção de
usuários associada a uma coleção de permissões.
Existem três etapas fundamentais no controle de acesso, que são a autenticação (identificação do
usuário), a autorização (após ser identificado, o que o usuário pode fazer) e a auditoria (acompanhar os
eventos do sistema).
Para efetuar controle de acesso podem-se utilizar listas de controle de acesso (Access Control List ACL) matrizes com sujeitos e objetos do sistema. Este controle é adequado a pequenas redes, mas se torna
complexo à medida que estas aumentam sua estrutura.
É possível simplificar o controle de acesso, e os três modelos mais conhecidos atualmente são MAC
(Mandatory Access Control), DAC (Discretionary Access Control) e RBAC(Role-Based Access Control),
descritos a seguir:
•
MAC: usuários não são donos do objeto e não podem definir suas permissões de acesso,
atendo-se à política implantada pelo administrador, utilizado principalmente em ambientes
restritos como militares, financeiros;
•
DAC: usuários são donos de um recurso e tem o controle sobre quem deve acessá-lo e com
que permissões, muito utilizado em sistemas comerciais (UNIX, Windows, etc.);
•
RBAC: controle de acesso por hierarquia de papéis. Muito mais simples, onde os papéis são
definidos como o conjunto de atividades e responsabilidades associadas a um cargo ou
função em uma organização. Quando um funcionário muda de função dentro da empresa, é
feita apenas a troca de permissões, trocando os papéis associados a ele. (Edemilson dos
Santos da Silva - PUC Paraná Dezembro, 2004).
O controle de acesso baseado em funções permite que uma tarefa seja dividida em diversas subtarefas, que envolvem usuários com níveis de permissões diferentes, evitando assim, vazamento e fraudes na
manipulação de informações privilegiadas.
Controles como o RBAC, podem ser utilizados em instituições financeiras, por exemplo, para o
provimento de acessos, com maior ou menor privilégio. A literatura destaca com freqüência, um cenário
onde o caixa de banco necessita o endosso de um supervisor, para pagamento de cheques com valores
superiores e ao final da sessão o endosso é extinto, ou seja, um usuário com papel de supervisor utiliza seu
perfil de permissões para autorizar o pagamento do cheque na sessão do usuário caixa, e ao final da sessão a
6
autorização perde a validade e não é possível nova operação.
É possível ainda usar como exemplo, uma aplicação web para cadastro de clientes de um banco que
possua funcionários de carreira, e terceirizados. Neste cenário, a preocupação com o sigilo das informações
de clientes fica evidente, e também com relação aos privilégios que possam ser concedidos aos clientes de
forma descontrolada. O sistema proposto possuiria abas para inclusão de dados pessoais, fonte pagadora,
faixa salarial e nível de relacionamento entre outros dados. Um funcionário terceirizado seria encarregado de
incluir os dados, mas seu perfil de acesso não permite inclusão de salário, nem o nível de carteira do cliente,
parâmetros que por certo, poderiam expandir as linhas de crédito concedidas a este cliente. Este nível de
perfil ficaria atrelado a um funcionário de carreira com função de gerente ou supervisor, para que as linhas
de crédito concedidas a esta carteira não excedessem a capacidade de pagamento do novo cliente cadastrado.
Neste mesmo sentido percebemos que as alterações cadastrais teriam de ter as mesmas preocupações. A
tabela 2 a seguir, demonstra como seriam configurados os papéis, as funções e permissões para esta situação.
Tabela 2 – Permissões por funções
Usuário
Papel /
Função
Permissão/
Nível
Necessita
Autorização
Contexto
Sessão
Atendente
Terceirizado
Básico
Não
Cadastro/
Salário
Consulta
Atendente
Terceirizado
Básico
Não
Cadastro/
Simples
Inclusão/Alteração
Atendente
Terceirizado
Básico
Sim
Cadastro/
Salário
Inclusão/Alteração
Este nível de atribuição de controle poderia ser efetuado com o Authorization Manager em
conjunto com as diretivas de grupo e usuários do AD. A relação entre as funcionalidades do RBAC e as
diretivas de grupo, está exatamente na impossibilidade das diretivas do AD concederem uma permissão de
leitura ao grupo “Terceirizado”, em um determinado momento, em seguida converter em permissão de
escrita e logo em seguia permitir que o grupo, receba uma autorização para inclusão/alteração de um item. A
soma das duas técnicas amplia a segurança do controle de acesso, sem torná-la complexa.
Para que seja compreendido o conceito de controle de acesso à um software com o RBAC, é
necessário conhecer como outras técnicas de controle de acesso são aplicadas. As matrizes de controle de
acesso, por exemplo, não passam de listas contendo sujeitos e objetos, onde cada sujeito possui direitos do
tipo READ/WRITE/EXECUTE para cada um dos objetos relacionados a ele. A localização dos direitos
concedidos a objetos é uma tarefa fácil e rápida, mas em contrapartida, os sujeitos que podem acessar um
determinado objeto, já necessita uma pesquisa mais elaborada e lenta. No caso do RBAC, tarefas como essa,
possuem funções de revisão que podem ser do tipo:
•
AssignedRoles – conjunto de papéis associados a um determinado usuário;
•
AssignetUser – conjunto de usuários associados a um determinado papel;
•
UserPermissions – conjunto de permissões que o usuário pode executar com seus papéis;
•
RolesPermission – conjunto de permissões atribuídas a um papel.
2.1.9 Backup
Quanto ao backup é importante destacar algumas técnicas que devem ser levadas em consideração,
fazer cópias de dados e garantir a restauração, se necessário é ponto crucial na segurança da informação. O
backup deverá estar nas rotinas diárias para evitar perdas irreparáveis. As cópias de controladores de
domínio podem ser efetuadas em prazos curtos, entre o domínio principal e domínios secundários, de forma
que possam ser substituídos em poucos minutos sem perda de informações do AD. Uma importante
estratégia pode ser tomada com relação à base de dados, a divisão do disco rígido em mais partições permite
maior organização nas cópias de volumes inteiros ou de partes de volumes com menos diretivas de backup.
Podemos usar também técnicas de RAID, e garantir o conteúdo todo dos discos rígidos do servidor
7
sem que haja perdas, pois as características dessa técnica permitem que se tenha duplicação total por
espelhamento de discos ou por níveis mais elaborados que garantem cópias de dados espalhadas em três ou
mais discos de um servidor. É importante salientar que ainda assim cópias em mídias ou fitas magnéticas não
devem ser dispensadas, pois danos no hardware podem às vezes causar perda total de conteúdo de discos.
A soma de todas as ferramentas de segurança disponíveis, com uma boa auditoria auxilia o trabalho
de administração da rede, mas é importante lembrar que todos os esforços para impedir as invasões nunca
serão o suficiente, portanto é necessário sempre estar atualizado no que diz respeito à segurança.
3
MODELAGEM DO PROJETO
Este projeto propõe modelar um cenário, conforme mostra a figura 1, e contará com um servidor de
autenticação, que também fará o papel de servidor DNS, Firewall, Proxy e IIS. A internet utilizada será DSL
Brturbo 1Mbps com modem router ligado ao switch que fará distribuição dos recursos de internet a todos os
usuários. As instalações contarão também com um serviço de IDS e um honeypot que simulará servidores de
Telnet e Web. O serviço de DHCP e NAT, serão providos pelo modem, dispensando configurações no
servidor.
Figura 1 – Escopo do Projeto
Na instalação do servidor é preciso criar contas de usuários com autenticação por senhas seguras,
com cotas de disco por usuário, gerenciar serviços, ativar firewall, antivírus, IDS/IPS e fazer auditorias
regulares. Manter backup sempre atualizado, atualizações de sistema, registrar logs e controlar o acesso de
aplicações com técnicas de distribuição de funções.
Uma boa política de criação de senhas deve ser aplicada para tornar o trabalho de quebra de senhas
dos hakers, mais difícil. A senha inicial deve ser trocada na primeira inicialização do usuário e será solicitada
nova troca a cada trinta dias, o comprimento mínimo da senha será de sete caracteres, o número de tentativas
de logon limitado a três, com conseqüente bloqueio da conta após a terceira tentativa inválida. O histórico de
senhas deverá conter as últimas vinte senhas utilizadas. Esta medida garante que uma senha antiga só possa
ser empregada novamente após outras vinte novas terem sido criadas.
As cotas de disco terão um tamanho máximo a ser definido pelo administrador da rede e deverá ser
configurado para emitir aviso de cota excedida aos noventa por cento de ocupação.
Convém prevenir invasões, que tenham por objetivo, colher informações sobre nomes de domínio,
endereços IP específicos, listas de controle de acesso, nomes de usuários e grupos, tabelas de roteamento e
sistemas de detecção de intrusos.
8
Um servidor de domínio deve disponibilizar os sistemas e garantir que o acesso seja efetuado pelos
proprietários de contas cadastradas nas listas de controle de acesso. Deve haver uma distribuição de serviços
e dispositivos controlada. Para cada grupo ou conta de usuário haverá permissões distintas, em um mesmo
enlace os usuários podem acessar um sistema, mas não os mesmos dados, respeitando assim a hierarquia
organizacional da empresa ou instituição.
Para facilitar a distribuição de contas e serviços, convém criar grupos por departamento e atribuir
permissões a partir do conjunto, para facilitar a administração.
Controlar a distribuição de recursos pela rede é uma tarefa que necessita de serviços como DHCP e
DNS, para tanto é preciso que o servidor ou servidores estejam configurados para prestar estes serviços. A
distribuição de endereços IP vai ocorrer dinamicamente, pois o servidor DHCP através de broadcast alcança
todos os hosts de um mesmo enlace e os mapeia na tabela ARP e o servidor DNS por sua vez resolve os
nomes associados a esses endereços IP.
As gravações em disco necessitam estar disponíveis também quando o servidor estiver off-line, dessa
forma será preciso uma replicação dos arquivos mais usados nas estações e um serviço que faça a
sincronização das alterações no momento em que o servidor volte a responder. Mas a preocupação maior é
com o vazamento de informações que pode comprometer todo o negócio, ou ainda, causar grandes prejuízos
a organização. Bloquear acessos indesejados é uma tarefa que deve levar em conta os diversos tipos de
invasões.
Alguns invasores podem tentar se passar por um usuário do enlace, utilizando o endereço IP deste, o
que chamamos de ataque spoofing. Esta técnica faz com que a origem pense que está enviando a informação
a um IP de destino confiável. Sniffing, é outra técnica que explora segmentos de rede, interceptando todo o
tráfego ali existente. Funciona como um farejador capaz de decodificar o conteúdo trocado entre as estações.
Os ataques podem ter o intuito apenas de prejudicar a comunicação de dados, negando serviço, Denial of
service (DoS). Este ataque pode causar prejuízos, mas não se caracteriza como invasão, pois a intenção é de
inundar uma rede, saturando servidores e negando serviços.
Os vírus podem comprometer os serviços de uma rede causando atrasos e prejuízos, pois sua
remoção geralmente é lenta e individualizada a cada uma das estações e servidores. Durante o processo de
remoção os usuários ficam impedidos de trabalhar. Os vírus podem estar inseridos em arquivos executáveis,
macros de documentos e planilhas, quando executados ativam o vírus e muitas vezes carregam na memória
infectando os demais arquivos do disco.
Contra todos estes ataques o sistema deve prever defesas, não somente nos servidores, mas também
nas estações. A configuração do servidor conta com proteção de portas por firewall e o auxilio de antivírus,
proxy e outras técnicas de varredura e auditoria para identificar as invasões e sua origem. A identificação dos
invasores também é possível através de um sistema que disponibiliza uma isca, (honeypot), que servirá para
identificar os hábitos e interesses dos invasores.
Convém, manter um registros de operação e falhas, com datas e horários de inicio e fim dos eventos,
correções adotadas e a identificação de onde se originou a operação ou a falha. O visualizador de eventos
deverá ser configurado para substituir os logs mais antigos ao atingirem um tamanho de arquivo igual a
2MB. As informações registradas mostrarão a data e a hora em que um evento ocorreu, o endereço IP de
origem e destino, o protocolo (UDP,TCP,ICMP) e também as portas de origem e destino. Deverá haver uma
ferramenta de checklist que fará a analise de vulnerabilidades do sistema e aplicações do host servidor. Esta
ferramenta será executada pelo administrador da rede, não devendo ser aplicada uma rotina automática, pois
necessitarão de avaliação prévia de registros obtidos no visualizador de eventos e de horários em que esta
análise possa ser acompanhada e analisada para aplicação posterior das correções sugeridas.
Para reforçar a proteção do endpoin, é necessária uma ferramenta que exija do usuário privilégios e
permissões específicas para cada tipo de acesso. Uma rede pode ser invadida, mas para acessar os dados de
determinadas áreas, o invasor teria que conhecer também as contas e as senhas pessoais de um usuário com
estas permissões, pois de nada adiantaria invadir a rede sem ter como acessar os dados de maior importância.
Dessa forma, o controle de acesso deverá ser feito com uma ferramenta que se baseia na hierarquia de papéis
dentro da empresa, como o RBAC (Role-Based Access Control), sua função será de identificar que níveis de
acesso cada conta terá direito. Esta tarefa será executada pelo IIS (Internet Information Services), servidor
Web e pelo Authorization Manager, gerenciador de autorizações da Microsoft que é ferramenta nativa do
9
Server 2008. Seu funcionamento pode ser analisado no diagrama que segue, note que o RBAC atua no
mesmo nível que o AD, apenas adicionando maior gerencia nas permissões, conforme mostra a figura 2:
Figura 2 – Diagrama de Acesso a Aplicações Web com RBAC
4
IMPLANTAÇÃO
A prevenção de danos aos dados de uma rede, através de invasões maliciosas, começa nas bases da
instalação do sistema operacional. Mas não para por aí, atualmente há uma grande preocupação com o
controle de acesso às redes corporativas, bem como com as facilidades oferecidas aos usuários, de
carregarem consigo mídias removíveis, muitas vezes contendo informações importantes dos seus locais de
trabalho, e que podem acabar expondo as estratégias e planos de negócios. A implantação dos mecanismos
propostos na modelagem do projeto seguirá a seguinte estruturação:
O capítulo 4.1 tratará da instalação do Windows Server 2008-Enterprise Edition, recomendações de
configuração, precauções com usuário administrador e AD (Active Directory) no servidor de testes.
O capítulo 4.2 tratará das diversas técnicas de segurança a serem aplicadas no host servidor.
O capítulo 4.3 tratará das diversas técnicas de segurança a serem aplicadas no host cliente.
O capítulo 4.4 tratará das técnicas de controle de acesso.
4.1
Instalação do Server 2008
A instalação do Windows Server 2008 seguiu as mesmas características de instalação do Windows
Seven,das estações, pois sua interface é bastante similar. É recomendável ter um cuidado especial, quando
da solicitação de alteração de senha antes do primeiro logon da conta Administrador. A senha deve ser
complexa, contendo números e caracteres especiais, conforme a que foi aplicada em nosso experimento
(!qweasd1). O Windows Server 2008 apresenta uma instalação modular, com um núcleo básico e serviços
essenciais. Já na sua primeira inicialização apresenta um console de administração para instalação dos
serviços adicionais desejados. Após a instalação do núcleo básico e serviços essenciais, foi então instalado o
serviço de diretório que no Windows chama-se AD, para gerenciamento de contas de usuários, clientes,
servidores e aplicações, bem como, efetuar a sincronização com diretórios existentes, reduzindo assim
tarefas redundantes.
Após instalar o AD, foi criado o DC (Domain Controllers) TCC.ulbra. O DC é o servidor
responsável pela administração centralizada dos equipamentos e usuários da rede, através do AD.
A seguir, instalado e configurado o DNS (Domain Name System) para resolução de nomes, uma vez
que, toda a comunicação entre os equipamentos da rede é feita por numero de IP e sem o DNS os usuários
teriam que decorar os números de IP da rede para acessar seus recursos. O DNS ficou integrado ao AD,
evitando assim um tráfego desnecessário na rede e redução de eficiência. O serviço de DNS está disponível
no painel de controle, em adicionar e remover programas, networking services, mas está presente, também no
console de instalação de serviços do Windows Server 2008.
Quanto a estrutura do AD, foram criadas algumas UO’s(Unidades Organizacionais), que serviram
10
como subdivisões do domínio TCC.ulbra.br, para melhorar a organização dos objetos do ambiente
corporativo. Os nomes escolhidos no emprego de UO tiveram ligação com os parâmetros de controle de
acesso, para fins didáticos e vieram a facilitar a distribuição de permissões dos usuários nelas contidos.
Assim criamos uma UO com nome de Depto1, outra de Depto2 e por fim Depto3.
A UO é um container, que contém contas de usuários, grupos e outros objetos. Ela é criada no Active
Directory User and Computers, escolhendo o domínio desejado. As contas de usuário foram criadas dentro
de UO’s, pois a criação de usuários no nível de domínio só aumentaria a complexidade de seu
gerenciamento, sendo possível ainda após sua criação, trocar as contas de containers. A prática de criação de
grupos, por sua vez, simplifica a administração da concessão de permissões aos usuários, as permissões são
concedidas de uma vez só a todas as contas de um determinado grupo. Os nomes utilizados na criação das
contas, também com fins didáticos, foram: Alice, Bob e Miguel. As senhas e suas características de
segurança foram aplicadas no editor de gerenciamento da diretiva de grupo.
Os grupos ou conjunto de usuários prevêem duas variações: grupos de segurança e grupos de
distribuição. Os grupos de segurança foram criados para negar ou permitir direitos a usuários ou
computadores. Mensagens de correio eletrônico podem ser enviadas a um grupo de segurança, mas nos casos
em que se utilizam aplicativos de distribuição como o Exchange Server, esse envio será feito por grupos de
distribuição. É importante compreender que um grupo de distribuição não tem finalidade de segurança. Não
havendo a necessidade de segurança no grupo, preferencialmente utilizam-se grupos de distribuição, pois
estes melhoram o desempenho do logon.
Quanto ao escopo os grupos podem ser globais e locais, a estratégia de seu uso deve seguir as
recomendações da Microsoft. Primeiro as contas de usuários são colocadas em grupos globais, depois os
grupos globais são colocados em grupos de domínio local e por fim são concedidas permissões de recurso ao
grupo local. O objetivo é organizar e reduzir a complexidade na gerência de permissões de acesso a recursos
da rede.
As cotas de disco foram estabelecidas usando o gerenciador de servidores do Windows Server 2008,
onde também foi atribuído o compartilhamento de pastas e seu acesso off-line.
Outro serviço ativado, no gerenciador de servidores, foi o Backup do Windows Server, e nele foram
estabelecidas a freqüência e as pastas a serem copiadas em cada evento de backup, bem como o horário em
que este seria efetuado. O console oferece opções de cópias completas, personalizadas ou incremental, de
acordo com a política estabelecida pelo administrador da rede.
4.2
Técnicas de Segurança para o host Servidor
Após a instalação do sistema operacional no servidor, foram efetuadas as atualizações recomendadas
pela Microsoft, mantendo ativado o serviço, para que sejam efetuadas regularmente e automaticamente. As
invasões podem aproveitar vulnerabilidades do sistema, a correção dessas vulnerabilidades ocorre através de
atualizações regulares disponibilizadas pelo fabricante. Para facilitar o trabalho do administrador da rede foi
também instalado serviço WSUS (Windows Server Update Services), que serve como um gerenciador de
atualizações, buscando as atualizações no Microsoft Update e depois distribuindo a todas as estações da rede,
evitando tráfego desnecessário na rede, pois as atualizações são baixadas somente uma vez.
A escolha para política de filtragem do firewall aplicada foi Deny Everything (negar tudo), ou seja, o
serviço ou endereço, que não for especificamente permitido será negado. Neste cenário, deve haver uma
regra para cada tipo de tráfego que entrar no perímetro de defesa. Não havendo regra o pacote é descartado.
O Windows Firewall with Advanced Security, é nativo do Windows Server 2008, e a exemplo do Windows
Seven, é executado a partir da guia de busca, digitando a palavra firewall. Para permitir conexão remota, por
exemplo, foi necessário ativar a regra de firewall para a porta 2383 TCP. A prática de usar o desbloqueio de
portas no firewall pode oferecer um risco maior ao controle de invasões, pois a porta liberada ficará
vulnerável a ataques externos. A melhor alternativa é o bloqueio de aplicações, que não deixa margens para
que o hacker invada a LAN. O acesso remoto, para estações com Windows Seven, contou com um novo
recurso, o DierctAccess, que fornece o acesso aos sistemas corporativos sem necessidade de uma VPN e um
software cliente. Para usar o acesso remoto, foi necessário, através do gerenciador do servidor, instalar o
serviço de função do Terminal Server. Testes de acesso a área de trabalho remoto foram realizados com
Terminal Server, que se mostrou uma ótima ferramenta para ativação remota de serviços e funções
adicionais ao servidor.
11
O Proxy foi instalado no servidor para compartilhar o acesso a internet entre as estações de rede
local, os hosts da rede só podiam navegar na internet através do Proxy. Mas este serviço além de criar um
fluxo de trafego controlado, também inclui um buffer que mantém as páginas acessadas na internet
otimizando assim o uso de banda. Em conjunto com firewall, o Proxy tem papel importante no controle de
acesso a páginas de internet.
O antivírus foi instalado e configurado no servidor e também nas estações, suas atualizações
ocorriam em horários pré-determinados, à noite, para evitar baixas de desempenho na rede. A solução
antivírus utilizada foi o Symantec Endpoint Protection, que contava com prevenção de invasões (IPS),
funções de firewall, antispyware e antivírus, controle de aplicativos e de dispositivos. Possui também a
característica de verificação proativa de ameaças identificando bons e maus comportamentos de aplicativos
desconhecidos, defendendo assim contra ataques de dia zero e ameaças desconhecidas. Característica que
ajuda a reduzir a incidência de falsos positivos. Possui ainda bloqueio de endpoints contra dispositivos USB
evitando assim vazamento de informações e infecções provenientes de dispositivos periféricos.
Para estudar o comportamento dos hakers foram instaladas ferramentas auxiliares que utilizam
técnicas de honeypot, um dos mecanismos usados pelos IDS/IPS. A ferramenta escolhida para o ambiente
experimental foi: Valhala Honeypot - Free OpenSource Honeypot for Windows System, que tem a
habilidade de simular servidores WEB, FTP, TFTP, POP3, ECHO, Daytime, SMTP, Finger e Port
Forwarding e ainda portas de trojans conhecidos como o NETBUS. Foram configurados neste estudo apenas
os servidores WEB e Telnet, conforme mostra a figura 3, com um detalhamento das configurações aplicadas
no servidor Telnet. O invasor é levado a um ambiente paralelo a rede e nele são disponibilizadas as
informações estabelecidas pelo administrador. Toda a invasão é monitorada e registrada, com a finalidade de
estudar o comportamento do invasor. A ferramenta possui alertas que podem ser disparados até mesmo por
e-mail, para que se possa acompanhar a invasão em tempo real se interessar.
Figura 3 – Configurações Honeypot
Como ferramenta de checklist foi utilizada a Microsoft MBSA (Microsoft Baseline Security
Analyser), disponibilizada no site da Microsoft para download, e que apresenta uma console amigável com
12
um grande leque de funcionalidades. A ferramenta oferece recursos como:
•
Verificar diretivas de segurança do AD, considerando, itens como senhas seguras e prazo
para renovação;
•
Verificar vulnerabilidades referentes ao sistema operacional e pacotes como o Office;
•
Oferecer atualizações para correção das falhas encontradas;
•
Links para downloads e documentação sobre como corrigir;
•
Relatórios detalhado;
•
Recomendações sobre softwares instalados.
Os relatórios obtidos são bem completos como podemos ver, numa pequena amostra, na figura 4,
que segue:
Figura 4 – Console MBSA Relatório
Os arquivos de log também auxiliam no checkup do sistema, neles ficam registrados eventos de erro
que podem levar a solução de problemas, para tanto foi ativado o visualizador de eventos nativo do
Windows. A análise do conteúdo dos logs pode ser de grande utilidade para o administrador da rede, pois
ajuda a prevenir falhas no sistema e evitar invasões resultantes de alguma vulnerabilidade existente.
Infelizmente, às vezes é necessária a leitura de um log para rastrear informações de algum evento de invasão
já ocorrido, na intenção de identificar qual host ou quais hosts foram os responsáveis e também quais
métodos foram utilizados na invasão.
4.3
Técnicas de Segurança para o host Cliente
As estações testadas continham Windows Seven e para segurança local foi instado o antivírus Avast
Free 5.0.677 .O antivírus contém proteção contra vírus, spyware e outras formas de software malicioso.
Possui anti-rootkit em tempo real que atua no kernel, detectando e parando os rootkits antes que executem
ações maliciosas. Além disso, está equipado com um emulador de código, que ao detectar um executável
suspeito emula o código do programa em um ambiente isolado. Sua interface é bem simples e não oferece
dificuldade de configuração. Em seus módulos residentes, permite ajustes de sensibilidade, visualização de
relatórios e gráficos de histórico de tráfego. As varreduras podem ser completas ou rápidas e ainda oferece
13
opção para pastas e mídias removíveis.
O acesso nas estações ficou limitado ao domínio TCC.ulbra.br, e para o acesso local, era necessário a
senha de administrador local, impedindo assim que usuários conseguisse acessar o domínio para efetuar
desativação das ferramentas de proteção no host. Todas as instalações de aplicativos novos necessitavam de
senha do administrador do domínio. Esse procedimento de segurança serviu para evitar que auto-executáveis
se instalassem indevidamente, a até mesmo instalações manuais trouxessem consigo algum trojan ou
malware comprometendo assim a segurança de toda a rede local.
A Proteção dos dispositivos de entrada como portas USB, tem um papel importante na segurança da
informação. As portas USB foram travadas com senha através de software, chamado USB Blocker, que
impede que dispositivos não cadastrados possam inserir programas maliciosos, worms e vírus no endpoint.
Foram inibidas também as ferramentas administrativas, painel de controle, configurações de rede,
impressoras, conexão de mídias removíveis e as propriedades do sistema de modo a impedir alterações
originadas pelo usuário através do console de gerenciamento de políticas de grupo (GPO). Foi desativado o
editor de registros com o comando gpedit.msc, para que o registro do Windows não pudesse ser alterado pelo
usuário ou usuários do host cliente.
O firewall nas estações foi configurado de maneira a bloquear todas as conexões e programas que
não estejam na lista de programas permitidos. Foram desativados todos os avisos referentes a notificações de
novos bloqueios, evitando assim que os usuários optassem em desbloqueá-los. A prática de desbloqueio de
programas no firewall torna o ambiente menos seguro, porém é importante perceber que o risco maior está
no desbloqueio de portas de serviços, pois estas portas poderiam facilitar o acesso de hakers no sistema
tornando todas as outras técnicas de segurança vulneráveis.
Entre as proteções, nativas, disponíveis no sistema operacional Windows Seven, está também um
recurso que ajuda o usuário a manter os discos locais protegidos com criptografia. Trata-se da ferramenta
BitLocker, que quando ativada criptografa a unidade de disco toda, e sempre que algum arquivo novo é
incluído ou copiado nesta unidade, recebe também a criptografia. Esse procedimento torna o conteúdo do
disco imune aos hakers que queiram obter informações sobre senhas ali gravadas. Ao criptografar a unidade
de sistema, a ferramenta verifica, na inicialização do sistema, se há algum tipo de risco que possa
comprometer a segurança. Se detectado risco a unidade é bloqueada e solicita a senha previamente
cadastrada na ativação do BitLocker. É possível desativar a ferramenta a qualquer momento, sem
comprometer os dados do disco. Este item da segurança foi adicionado às estações em seu domínio local e
os usuários não tiveram necessidade de nenhum tipo de orientação sobre o uso dele.
As atualizações de sistema são importantes para evitar ou corrigir problemas e melhorar o
funcionamento do computador, o agendamento dessas atualizações foi incluído no Windows Server Update
Services do servidor de domínio TCC.ulbra.br, para que sejam efetivadas de uma só vez sem intervenção do
administrador da rede.
4.4
Técnicas de Controle de Acesso
Foi ativado o IIS 7.0 em conjunto com o Authorization Manager, como ferramenta RBAC,
observando três níveis de função no ambiente experimental. As funções seguiram níveis de permissão, onde
o menor nível era o da função Técnico e o maior o da função Gerente. Foram criados três níveis de papéis:
Técnico, Supervisor e Gerente, e também três contas de usuários, Alice, Bob e Miguel. A figura 5 mostra
esta disposição das funções por usuário.
Alice
Técnico
Permissão1
Bob
Supervisor
Permissão2
Miguel
Gerente
Permissão3
Figura 5 – Escopo usuários X funções
14
A configuração do RBAC deste cenário trouxe facilidades na administração das permissões por
usuário. Para efetuar alterações de função dentro da hierarquia, era necessário apenas copiar a conta de
usuário para a nova função e excluir da função anterior, sem necessidade de mudanças nas permissões.
As configurações de permissões por funções foram efetuadas no IIS 7.0, obedecendo a critérios préestabelecidos, conforme mostra a Tabela 2 e de acordo com a criação de grupos e contas no AD.
Tabela 2 – Permissões por funções
Aplicação
Papel
Permissão
AppWeb
Técnico
AppWeb
Supervisor
Acesso a URL (Todos)
AppWeb
Gerente
Acesso a URL (Todos)
Negação
Acesso a URL (Todos)
Miguel (Algumas URL’s)
Todos os passos de ativação que seguem serviram para demonstrar uma das muitas
possibilidades de uso do RBAC em uma plataforma Windows Server 2008.
Foi necessário instalar as funções de Servidor Web IIS 7.0 e vários serviços de função, sendo os
principais:
•
Desenvolvimento de aplicativos (ASP, ASP.NET, Extensibilidade.NET);
•
Segurança (Autorização de URL).
Após as instalações, foram realizadas configurações no console de autorização do IIS onde estava o
diretório virtual “tcc” no Default Web Site que continha a aplicação web para testes. Nas regras adicionadas,
a atribuição era possível de ser ativada tanto para os usuários, quanto para suas funções. Nas figuras 6 e 7
seguem algumas das implementações de regras que foram utilizadas no experimento.
15
Figura 6 – Permissão Concedida a Todos os Usuários
O exemplo da figura 6 mostra que para o diretório compartilhado “tcc” a permissão de acesso foi
concedida as funções “Supervisor e Gerente”, e negada à função “Técnico”, todos também cadastrados como
grupos no AD. Já na figura 7 acrescenta uma restrição de acesso ao usuário “Miguel”, com função de
gerente, para a operação de “Consulta Listagem de Clientes” URL chamada ListaClientesFiltro.asp. Os
resultados obtidos estão representados nas figuras 8 e 9.
Figura 7 – Restrição de Acesso à uma URL
A coluna “Verbos” pode ser utilizada por desenvolvedores ASP e ASP.NET, entre outras linguagens,
para a inclusão de regras por módulos isolados, permitindo ou negando acessos nas URL’s. Não fazia parte
deste estudo de caso, criar filtros mais elaborados que utilizem linguagens de programação, e sim mostrar
algumas das facilidades oferecidas pelo controle de acesso RBAC.
16
Figura 8 – Resultado Obtido no Teste de Controle de Acesso RBAC
Figura 9 – Resultado Obtido no Teste de Controle de Acesso RBAC
No console do Gerenciador de Autorização as possibilidades de configuração são muito amplas,
oportunizando um grande número de definições de regras. É possível criar regras por definição de função, de
tarefa ou de operação. Na figura 10, que segue, podemos ver um exemplo de atribuição de função, onde o
usuário tinha permissão apenas de leitura na aplicação WebApp, mesma atribuição que seria possibilitada
pelo AD, mas aqui sendo gerenciada pelo Authorization Manager.
17
Figura 10 – Console do Authorization Manager
Entre as políticas de segurança é importante ressaltar que a autenticação gerenciada pelo AD no
servidor de dados usado no desenvolvimento de bloqueios, auxilia muito na proteção dos dados. As
configurações do Gerenciador de Autorizações, também garantem proteção, dificultando muito o trabalho do
hacker. Em casos de incidentes de segurança, que fatalmente ocorrem, as chances da invasão causar alguma
perda de informações, devem ser previstas e calculadas, ou seja, um acesso que ocorra através de conta de
usuário que possua baixo nível de permissão, não terá grande impacto a corporação.
Os recursos do RBAC podem ser ampliados ainda mais, não apenas no que diz respeito a acessos de
usuários de um domínio, mas também em cenários de virtualização de servidor, um dos assuntos em
destaque no mundo de TI, na atualidade. O surgimento de equipamentos multiprocessados com tecnologia
x64, permitiu que fosse desenvolvido o Windows Server 2008 Hyper-V, que possibilita o uso do RABC na
gerencia de autorizações. No caso do Hyper-V, através do Authorization Manager, também é possível
estabelecer permissões nos níveis de função, tarefa ou operação, quais sejam, tarefas como controle total ou
somente leitura, controle avançado de tarefas como permitir acessos de entrada ou saída de máquinas
virtuais, permissão para criação de nova VM (Virtual Machine) entre outras opções. Configurações voltadas
à permissão de acesso a grupos ou indivíduos, também são facilitadas no Gerenciador de Autorização, a
console é bastante amigável tornando a tarefa muito simples para o administrador da rede. Não fez parte do
escopo desse projeto a implementação de virtualização de servidores, ficando assim a possibilidade de testes
mais aprofundados dessa técnica em trabalho ou estudos futuros.
5
CONCLUSÃO
Este artigo apresentou como podem ser aplicadas diversas formas de prevenção aos dados e sistemas,
sejam eles das empresas ou pessoais, de forma a evitar perdas e prejuízos desnecessários. Destacou também
a importância da implantação de políticas de segurança, que ajudem a estabelecer normas e
responsabilidades aos colaboradores.
Dentre as técnicas aplicadas neste trabalho, um destaque especial foi dado ao controle de acesso
RBAC, regido por funções ou papéis desempenhados dentro das empresas, fortalecendo ainda mais as
defesas contra invasões e perdas relevantes. Foi possível concluir que com o controle de acesso do IIS no
Server 2008, o administrador da rede pode subdividir as tarefas entre os usuários e grupos do AD,
controlando ainda os níveis de acesso por funções desempenhadas na empresa. Com apenas um bloqueio de
acesso a URL, conforme demonstrado neste artigo, foi possível controlar quais gerentes de um departamento
18
poderiam acessar toda a aplicação ou parte dela, ampliando assim os recursos do AD.
Ao final dos estudos ficou claro que a segurança da informação depende de um conjunto estruturado
de boas práticas e não de uma ferramenta padrão, que possa ser aplicada em todos os casos que se necessite
de segurança de TI. Um grande destaque deve ser dado ao comportamento dos usuários dos serviços
disponibilizados, no local de trabalho, pois a engenharia social continua abrindo portas para hakers, crackers
e outros indivíduos que fazem parte do universo de invasores maliciosos, e suas técnicas de destruição do
patrimônio alheio.
Os hosts finais ou endpoints, sempre serão motivo de preocupação por parte dos administradores das
redes, pois uma simples ação indevida de um dos usuários pode comprometer todo o trabalho de segurança
desenvolvido e nenhuma técnica disponível será suficiente para impedir um incidente.
REFERÊNCIAS
Ferreira, Fernando Nicolau Freitas - Araújo, Márcio Tadeu de. Política de Segurança da Informação Guia Prático para Elaboração e Implementação Rio de Janeiro: Editora Ciência Moderna Ltda., 2ª edição
2008.
BATTISTI, Júlio. Windows Server 2003 Curso Completo. Rio de Janeiro: Axcel Books do Brasil Editora,
2003.
Gasparini, A. (2004) Infra Estrutura, Protocolos e Sistemas Operacionais de LANs – Redes Locais, São
Paulo, Érica.
Snort Brasil - The Open Source Network Intrusion Detection System < http://www.snort.com.br>
ET Nakamura, PL de Geus - Berkley Brasil: São Paulo - novateceditora.com.br Segurança de Redes em
Ambientes Cooperativos 2007
<http://www.novateceditora.com.br/livros/segred/capitulo9788575221365.pdf >
TANENBAUM, Andrew S. - Computer Networks - 4a edição EDITORA CAMPUS
DA SILVA, Edemilson dos Santos - PUC Paraná. Dezembro, 2004 – Dissertação de Pós Graduação biblioteca.pucpr.br < http://www.biblioteca.pucpr.br/tede/tde_arquivos/14/TDE-2005-09-15T065633Z183/Publico/edemilson%20dos%20santos%20da%20silva.pdf >
JUNIOR, Julio Steffen – Instituto de Ciências Exatas e Tecnológicas do Centro Universitário FEEVALE –
Junho,2003 – Monografia Bacharel em Ciência de Computação - Intrusion Detection Systems – IDS.
Northcutt, Stephen; Zeltser, Lenny; Winters, Scott; Frederick, Karen k.; Ritchey, Ronald W. Desvendando
Segurança de Redes - Rio de Janeiro: Campus 2002
Norma Brasileira ABNT NBR ISO/IEC 27002:2005
MOUNTAIN VIEW, Califórnia – 07 de junho de 2010 Symantec Corp. (Nasdaq: SYMC)
<http://geekstorm.com.br/seguranca/estudo-da-symantec-revela-que-pequenas-e-medias-empresas-avaliamprotecao-das-informacoes-como-prioridade-de-ti/#ixzz149CABi4X>
19
Download

mecanismos de segurança lógica em hosts com ênfase em