MECANISMOS DE SEGURANÇA LÓGICA EM HOSTS COM ÊNFASE EM CONTROLES DE ACESSO Miguel Angelo Reinhardt <[email protected]> Universidade Luterana do Brasil (ULBRA) – Curso de Tecnólogo em Redes de Computadores – Câmpus Canoas Av. Farroupilha, 8001 · Bairro São José · Cep 92425-900 – Canoas - RS 29 de novembro de 2010 RESUMO Este artigo tem por objetivo identificar problemas relacionados á segurança da informação e quais as soluções empregadas pelas empresas e usuários residenciais, no combate as diversas formas de invasão e vazamentos de informações. Algumas técnicas serão aplicadas neste trabalho de forma a ilustrar a situação em um cenário real. A ocorrência de vazamento de informações, homepages alteradas e com serviços fora do ar, tem causado muitos prejuízos as empresas que utilizam e-business. A quebra do sigilo do banco de dados cadastrais, dos clientes é motivo de grande preocupação, pois correm o risco de serem levados a processos judiciais. Dessa forma a proteção dos hosts, cliente e servidor, deve ser efetuada por profissionais de TI, que garantam o pleno funcionamento da rede e a segurança envolvida. Uma vez tendo invadido uma rede local, as chances de acesso aos dados sigilosos crescem muito. O resultado do experimento aplicado neste laboratório teve como ênfase as técnicas de controle de acesso que foram direcionadas ao host, pois este é um dos principais alvos dos invasores. Palavras-chave: Segurança da Informação; Controle de Acesso; RBAC. ABSTRACT Title: “Logical security mechanisms in hosts with an emphasis on access controls” This article aims to identify problems related to information’s security and the solutions used by companies and residential users, combating the several forms of intrusion and data leaks. Some techniques will be applied in this paper to illustrate the situation in a real scenario. The occurrence of leaks, changed home pages and off line services, has caused many damages to the companies that use e-business. The disclosure of the cadastral database of the clients is a great concern because they risk being taken to court suit. Thus the protection of hosts, clients and server must be undertaken by professionals, to ensure the full functioning of the network and security involved. Once having invaded a local network, the chances of access to sensitive data grow too much. The result of the experiment applied in this laboratory as an emphasis on access control techniques that were directed to the host, because this is the primary target for attackers. Key-words: Information Security, Access Control, RBAC. 1 INTRODUÇÃO Nos últimos anos temos acompanhado grandes mudanças no que diz respeito à informática nos negócios, sejam eles de pequeno ou grande porte. Para as empresas, criar um ambiente que observe normas e padrões de segurança no uso dos recursos computacionais, já não é mais uma questão de escolha e sim de necessidade. Trata-se de prevenir as invasões, e conseqüentes perdas financeiras, de criar uma política de segurança para os negócios. É importante lembrar que a política não envolve apenas a área de Tecnologia da Informação (TI), mas a organização como um todo. Segundo Ferreira, Fernando N. Freitas (2008), a política deve conter os detalhes a serem observados, o que é esperado dos participantes e quais as sanções em caso de descumprimento das normas nela estipuladas. Como toda política institucional, a política de segurança deve ser aprovada pela alta gerência e divulgada a todos os funcionários e usuários de serviços de informática. A partir de então, todos os controles devem se basear nessa política. “Convém que a direção solicite aos funcionários, fornecedores e terceiros que pratiquem a segurança da informação de acordo com o estabelecido nas políticas e procedimentos da organização.” (NBR_ISO27002 8.2.1) Criar soluções de segurança e garantir o acesso aos clientes, já faz parte do planejamento estratégico das empresas modernas. Mas este cenário exige que os profissionais da área estejam sempre atualizados e 1 capacitados ao cumprimento desta tarefa, por vezes, muito complexa e desgastante. Cada vez mais a figura do administrador e do gerente de redes vem garantindo um importante papel no mercado de profissionais da área de TI. A solução para que se tenha um ambiente seguro não depende de um pacote fechado que possa ser comprado e instalado, mas sim de um somatório de técnicas, que só terão eficácia se forem implantadas e gerenciadas por profissionais capazes e comprometidos em tempo integral no desenvolvimento e manutenção da segurança. Estes profissionais garantem o funcionamento e a disponibilidade dos serviços prioritários para o cumprimento dos negócios da empresa. Este artigo propõe a implementação estruturada de mecanismos de segurança e controle de acesso, voltados para hosts ou endpoints, como também são conhecidas as estações do ponto final da rede. Serão aplicados mecanismos como firewall, antivírus, Proxy e outros. No controle de acesso será usada a técnica chamada RBAC (Role-Based Access Control), que distribui permissões a grupos de usuários, por critério da função exercida dentro da organização, usando a hierarquia organizacional aplicada no ambiente. Será possível simular o uso da ferramenta em uma aplicação web, de modo a identificar algumas vantagens envolvidas nesse tipo de controle. O RBAC será usado como ferramenta auxiliar ao AD (Active Directory), instalado em um sistema operacional Windows Server 2008, usado neste experimento. O capítulo 2 apresentará a fundamentação teórica, o capítulo 3 a modelagem do projeto, no capítulo 4 estarão os passos da implantação de ferramentas e no capítulo 5 a conclusão. 2 FUNDAMENTAÇÃO TEÓRICA Falar de segurança de hosts requer uma ampla ilustração de todas as etapas envolvidas no processo. Desde a instalação do sistema operacional, onde é necessário entender sua arquitetura, camadas, suporte à rede, protocolos e mecanismos, até as etapas de criação de contas de usuários, autenticações, permissões, atualizações, firewall, etc. É preciso prever falhas de ordem humana, conhecidas como engenharia social, e diz respeito ao uso despreocupado dos recursos de informática na empresa ou no computador de uso pessoal. Geralmente os vazamentos de informação ocorrem por negligência, dos usuários, com o sigilo de suas senhas, dados pessoais e corporativos. Também é importante salientar que uso de recursos da empresa, como e-mail, por exemplo, para fins pessoais pode ferir as normas instituídas na política de segurança, levando a um incidente de segurança. Quanto aos protocolos das camadas de rede, o destaque no que diz respeito a invasões, é o protocolo TCP/IP. Este tem seu núcleo formado pelo Transmission Control Protocol e pelo Internet Protocol. Sua leveza e o fato de ser independente do Hardware e Software que o utiliza, o torna amplamente usado na interligação de redes, sendo a Internet o seu maior exemplo de utilização. As camadas do protocolo TCP/IP são quatro: aplicação, transporte, rede e física, demonstradas na tabela 1 que segue: Tabela 1 – Pilha TCP Camadas Aplicação Transporte Rede Física Serviços HTTP,Telnet TCP/UDP IP Interface Física Todas as camadas estão interligadas e possuem interfaces que permitem a troca de informações entre elas. Na camada de aplicação estão as aplicações e processos que utilizam a rede, como HTTP, Telnet e FTP. Já na camada de transporte estão os dois protocolos que permitem que as máquinas conversem entre si, o TCP e UDP, o primeiro é orientado a conexão e garante a entrega de pacotes, sem erros e o segundo é não orientado a conexão e trabalha sem controle de fluxo, sendo muito usado na transmissão de voz e imagem. O UDP privilegia a entrega imediata sem se preocupar com entrega sem erros. A camada de rede é a responsável pelo endereçamento dos hosts e pelo roteamento dos pacotes, seu principal protocolo é o IP. A última camada, a física é a dos dispositivos físicos da rede, interfaces, switches, hubs. Trabalha com protocolos que variam de acordo com a tecnologia de rede empregada, Frame Relay, Ethernet e outros. O endereçamento IPv4 trabalha com um número de 32 bits que é atribuído a cada interface da rede e está dividido em duas partes, sendo uma o número da rede e a outra o número da máquina. Pode ainda ter três classes A, B e C que tratam da quantidade endereços de redes e hosts possíveis de representar. A classe 2 “A” tem o primeiro byte para rede e os três últimos para hosts endereçando até 128 redes de 16 milhões de equipamentos, a classe “B” é dividida em dois bytes para rede e dois para hosts e endereça até 16 mil redes de 64 mil máquinas, e por última a classe “C” que tem três bytes para rede e um apenas para hosts e endereça então, 2 milhões de redes de 254 equipamentos cada. Além do endereço a rede deve ter uma máscara que serve para indicar quantos bits são para a rede e quantos para endereçar equipamentos. Tanto a máscara, quanto os endereços IP, são representados na forma decimal e têm o tamanho de 32 bits. Atualmente já existe a implementação de IPv6 trabalhando em paralelo ao IPv4, ou seja pacotes podem transitar pela internet passando por roteadores, que já estão preparados para essa nova era de endereçamentos, contando até mesmo com a possibilidade de passar pacotes IPv6 compactados, por dentro de uma rede que seja exclusivamente IPv4. Esse novo conceito de endereçamento conta com uma divisão de 64 bits para rede e outros 64 bits para hosts, ampliando exponencialmente a quantidades de endereços IP, e solucionando de vez o problema de esgotamento de endereços. Para os equipamentos essa mudança não apresenta incompatibilidades, e os sistemas operacionais modernos já possuem suporte para o protocolo. Outro protocolo muito usado nas redes é o ICMP, que usa o protocolo IP para enviar mensagens de erro e de informações da rede. Mensagens como tempo excedido, pacote não pode ser entregue, equipamento ativo, entre outras. Esse protocolo é conhecido como o protocolo de mensagens da internet. A função do protocolo TCP, em uma conexão, é oferecer um serviço de transferência confiável. Estes serviços são representados por meio de portas, que identificam qual via está sendo usada na conexão, por exemplo, a porta 21 é para FTP, a 23 para Telnet e a 25 para SMTP. É nestes serviços que devemos focar a proteção da rede e criar técnicas que impeçam invasões e vazamentos de informação. A implementação da segurança da informação, tem por objetivo, reduzir os riscos com vazamentos, fraudes, erros, uso indevido, sabotagens, roubo de informações e diversos outros problemas. Assim, conseqüentemente aumentar a produtividade dos usuários através de um ambiente mais organizado, maior controle sobre os recursos de informática e, finalmente, viabilizar aplicações críticas das empresas. Para tanto é necessário observar as recomendações contidas na norma ABNT NBR ISO/IEC 27002. Nela estão normatizadas as políticas e os princípios básicos da segurança que são a autenticidade, confidencialidade, integridade e disponibilidade das informações. A autenticidade diz respeito à identificação do usuário ou computador. O serviço de autenticação deve garantir ao receptor que a mensagem realmente procede da origem informada em seu conteúdo. A criação de contas de usuários e autenticação por senhas é a pratica mais comum de autenticação. Uma invasão por personificação (spoofing) consiste em um usuário externo assumir a identidade de um usuário interno, atuando no sistema no lugar deste usuário legítimo. Para garantir segurança da informação, neste contexto, medidas simples podem ser tomadas, como por exemplo, a troca freqüente da senha e o bloqueio de acesso após um determinado número de insucessos no login. Segundo Gasparini (2004), os usuários precisam ter ciência de suas responsabilidades no acesso dos sistemas e dos riscos da divulgação das senhas pessoais, pois uma vez havendo prejuízos causados pelo uso indevido da informação, o usuário deve arcar com as conseqüências. A confidencialidade baseia-se na proteção da informação contra leitura e/ou cópia por alguém que não tenha sido explicitamente autorizado pelo proprietário daquela informação. Programas de captura de pacotes proporcionam uma interface com um dispositivo de hardware que é executado no modo promíscuo (sniffer), ou seja, copiando todos os pacotes que chegam até ele, independentemente do endereço de destino contido no pacote. Se um sniffer for instalado em alguma parte da rota entre dois hosts de uma rede, senhas e informações confidenciais podem ser capturadas, causando transtornos e prejuízos. Tal ação pode proporcionar, também, a ocorrência de futuros ataques contra autenticidade, usando senhas, usernames e endereços de host capturados por sniffers. A proteção deve prever o isolamento dos meios físicos e também monitoramento do tráfego da rede, para evitar tais práticas. A integridade consiste em proteger a informação contra modificação sem a permissão explicita do proprietário daquela informação. Está muito ligada a autenticidade, pois modificações no conteúdo da informação ou até mesmo a exclusão desta, deverão estar associadas a um usuário ou estação de trabalho autorizado, e naturalmente, considerado responsável pelas alterações. Quanto à disponibilidade da informação, esta deve ser encarada como uma continuidade dos serviços. Desastres podem gerar enormes perdas de dados e ter impactos devastadores nos negócios. No 3 entanto, a disponibilidade significa mais do que ter medidas de recuperação de desastre efetivas. Embora não tão sério como os efeitos físicos de um furacão ou incêndio, uma hora de inatividade nos sistemas de armazenamento pode ter efeitos dramáticos em um negócio e causar despesas significativas. Por isso, as organizações devem se assegurar de que seus usuários tenham acesso contínuo às informações importantes. O foco nestes casos então são os ataques de negação de serviços, onde o acesso a um sistema/aplicação é interrompido ou impedido, deixando de estar disponível. Os ataques provenientes das redes públicas dispensam um grande esforço de bloqueio por parte dos administradores de rede, porém existem ainda os ataques internos gerados com a integração das corporações, matriz, filiais, fornecedores, vendedores e parceiros comerciais, todos interligados, criando mais um alvo de ataques (ET Nakamura, PL de Geus 2007). A complexidade dos sistemas torna ainda mais complexa à tarefa dos administradores das redes. A necessidade de prover segurança e ao mesmo tempo garantir o acesso as informações àqueles que estão autorizados, se transformou num grande desafio, pois à medida que aumenta a proteção, diminui o desempenho geral do sistema e da rede. Em contrapartida os hakers acabam tendo ainda mais pontos de vulnerabilidade para explorarem. Segundo Tanenbaum (2004), a maior parte dos problemas de segurança é intencional e causada por pessoas de má índole, que pretendem obter algum lucro, chamar a atenção ou ainda prejudicar alguém. Para evitar ou prevenir ataques, é preciso definir um modelo de segurança, que contemple, políticas de acesso, prever e evitar falhas de ordem humana, e gerar logs para auditar o comportamento da utilização dos recursos da rede, pelos usuários. Este artigo propõe a utilização de mecanismos de segurança, voltados para hosts, que serão citados a seguir, com ênfase nas técnicas de controle de acesso. O conjunto dessas técnicas tem o propósito de melhorar a proteção contra o cenário de ameaças já descrito anteriormente, oferecendo maior segurança ao host. 2.1 2.1.1 Técnicas de segurança Firewall O firewall protege a rede local, que está conectada à Internet, contra acessos indevidos, externos e internos. Tem como função controlar o tráfego de entrada e saída da rede, para isso, possui um arquivo que contém diversas regras que permitem ou negam algum serviço. No host, o firewall tem um papel importante para preservação das informações, pois estando configurado de forma correta, também deve auxiliar na prevenção de invasões. Uma vez ativo, irá monitorar o acesso a serviços, permitindo ou descartando pacotes. Com o firewall ativado é possível bloquear todas as conexões de entrada, incluindo as que estejam na lista de programas permitidos, ou ainda, avisar quando bloquear um programa novo. Um firewall também pode ajudar a impedir o computador de enviar software mal-intencionado para outros computadores. Os firewalls na sua maioria são programados para trabalhar como filtros de pacotes, porém ações maliciosas podem se aproveitar de vulnerabilidades nos serviços por ele habilitados. É necessário usar outros mecanismos que detectem intrusões ou tentativas de intrusões, estes mecanismos são chamados de IDS (Intrusion Detection System) e serão comentados a seguir neste artigo. 2.1.2 Atualizações Automáticas Atualizações automáticas de sistema operacional e aplicações são itens indispensáveis na segurança da informação, pois vulnerabilidades são incansavelmente exploradas por invasores, que podem tomar informações sigilosas de algum banco de dados. É importante ressaltar que os sistemas operacionais fazem suas atualizações sem necessidade da intervenção do usuário. 2.1.3 Invasões Ferramentas como, IDS/IPS (Intrusion Detection System)/ (Intrusion Prevention System), que monitoram comportamentos de uso de serviços em hosts, quando configuradas e atualizadas corretamente, oferecem um bom subsidio no controle e detecção de invasão. “A necessidade de existir um monitoramento mais eficiente e ininterrupto das atividades pertinentes a uma rede fez com que surgissem programas denominados IDS...”(Snort Brasil - 2010). O IDS/IPS quando aplicado a hosts é denominado HIDS/HIPS, e tem a função de detecção e prevenção de intrusos através de monitoramento e comportamento do uso do equipamento na qual está instalado. A premissa é de que o comportamento do atacante será diferente do comportamento do usuário 4 legítimo. As ferramentas de IDS possuem níveis de configuração para seus alertas e dependem do método de detecção que está sendo empregado, se baseado em assinaturas ou em anomalias. Quando baseado em assinaturas, trabalha procurando regras pré-estabelecidas no tráfego da rede e quando baseado em anomalias, utiliza um banco de dados de padrões de comportamento da rede. Alguns erros podem ocorrer no sistema de IDS, são os chamados falsos positivos e falsos negativos. O falso positivo ocorre quando os sensores classificam um tráfego normal como sendo um ataque, mas esses alertas ocorrem com freqüência, sendo necessário algumas vezes alterar os níveis de sensibilidade dos mesmos. Já os falsos negativos referem-se a não detecção de ataques verdadeiros que passam despercebidos pelos sensores. Esses ataques são motivo de maior preocupação, pois se referem a invasões verdadeiras que não foram identificados. Uma técnica também aplicada é a de permitir o acesso do intruso, para uma avaliação posterior a invasão. Esta invasão permitida, conhecida como honeypot, naturalmente, fica reduzida a uma área estrategicamente liberada, que depois poderá ser analisada e investigada para colher informações de comportamento e intenções do invasor. “O IDS não deverá substituir o firewall na tarefa de proteger as redes de dados, devendo agir em conjunto com ele e outras ferramentas de segurança de maneira a garantir a execução da política de segurança corporativa.“ Julio Steffen Junior (2003). 2.1.4 Antivírus Os sistemas de antivírus são instalados para efetuar verificações em tempo real, atualizações automáticas, mas com mínima interação do usuário, trabalhando em background, tendo apenas alarmes para informar detecções e ações a serem tomadas, como exclusão, ou quarentena no caso de arquivos de sistema que possam ser recuperados futuramente com atualizações do antivírus. “[...] O estudo revelou que empresas desse porte (10 a 49 funcionários para pequenas empresas e 50 a 499 para médias empresas) avaliam a proteção dos dados como prioridade em TI, ao contrário do que acontecia há 15 meses, quando uma elevada porcentagem das companhias não contava nem com soluções básicas de proteção e recuperação das informações.” MOUNTAIN VIEW, Califórnia – 07 de junho de 2010 (Pesquisa encomendada pela Symantec ao Instituto Applied Research). Atualmente há uma preocupação com a proteção das extremidades da rede os endpoints, e a indústria do antivírus já trás soluções que unificam prevenção de invasões (IPS), funções de firewall, antispyware e antivírus, controle de aplicativos e de dispositivos, tudo integrado. Empresas conhecidas como Symantec e McAfee, entre outras, possuem soluções que contemplam esse tipo de prevenção. Outra preocupação existente, e que deve ser tratada com atenção, são os meios físicos de acesso, como portas USB, FireWire, Bluetooth e outras interfaces que podem acarretar no vazamento de informações e ataques a rede ou até servirem como porta de entrada para invasores. Segundo Northcutt et al, (2002), todas as técnicas de segurança combinadas é que podem reduzir as chances de invasões e vazamentos de informações, e fazem ainda uma analogia, comparando a defesa da rede a uma cebola, ao destacar as camadas externas, “muitas camadas permanecem por baixo dela”. Um dos aspectos, destacados no estudo desses autores foi a possibilidades de se pôr todo o trabalho de segurança a perder em simples atitudes de descuido, como por exemplo, ter configurado firewall, Proxy, IDS e antivírus em um servidor de Web e não se preocupando com a segurança do servidor DNS. O uso de VPN, mesmo sendo seguro, pode ser causador de incidentes de segurança, pois na rede interna as defesas estão todas ativadas, mas quando o usuário remoto estiver acessando o servidor de um quarto de hotel, por exemplo, se o firewall não estiver ativado no host, este pode ser vitima de algum hacker e comprometer os servidores da rede. A defesa do host se torna um passo importante da defesa em profundidade da rede. 2.1.5 NAT Um serviço chamado NAT (Network Address Translation) que surgiu, inicialmente, para minimizar o problema de escassez de endereços IP, também auxilia na segurança porque os endereços locais são traduzidos para o endereço válido que acessa a Internet. Deste modo o endereço IP da máquina não fica disponível na Internet. 2.1.6 Proxy 5 Como filtro de conteúdo também é possível utilizar o serviço de Proxy. Este serviço também é usado como um facilitador no acesso a URL’s, pois vai mantendo um caching das páginas mais acessadas na rede evitando muitas vezes um novo acesso externo. O usuário que requisitou a URL estará navegando na internet de forma rápida e algumas vezes seu acesso será local. Por outro lado o Proxy canaliza o acesso da internet e faz um controle de permissões de conteúdo das páginas acessadas, protegendo a rede e auxiliando assim o antivírus a combater trojans e worms. Seus filtros são muito eficazes no controle de acesso a conteúdo pornográfico, que é uma potencial porta de entrada de vírus. 2.1.7 Checklist Ferramentas para checklist como o MBSA (Microsoft Baseline Security Analyser) atuam como ferramenta de exame de avaliação de vulnerabilidades. Esta ferramenta não é nativa do Windows, e deve ser baixada do site da Microsoft e depois instalada. Com ela é possível verificar atualizações de segurança não instaladas no Windows Server, no Microsoft Office, no Microsoft Exchange, no Microsoft SQL Server. É possível também verificar se o firewall do Windows está habilitado, se o recurso atualizações automáticas está habilitado e se senhas fortes estão sendo utilizadas. O MBSA realiza uma tarefa importante que auxilia o administrador da rede, emitindo relatórios com informações detalhadas sobre vulnerabilidades encontradas e links contendo downloads para suas correções. Pode também identificar falhas de configuração e indicar o que deve ser feito para corrigi-las. 2.1.8 Controle de Acesso Ao contrário das permissões por grupo de usuários, o controle de acesso trata das aplicações de forma a criar níveis de permissão dentro de um mesmo grupo, com papéis diferentes para seus usuários. Assim é possível acessar o mesmo sistema com permissões diferentes e papéis diferentes por usuário. Podemos dizer que os grupos são um aglomerado de usuários, enquanto que os papéis são uma coleção de usuários associada a uma coleção de permissões. Existem três etapas fundamentais no controle de acesso, que são a autenticação (identificação do usuário), a autorização (após ser identificado, o que o usuário pode fazer) e a auditoria (acompanhar os eventos do sistema). Para efetuar controle de acesso podem-se utilizar listas de controle de acesso (Access Control List ACL) matrizes com sujeitos e objetos do sistema. Este controle é adequado a pequenas redes, mas se torna complexo à medida que estas aumentam sua estrutura. É possível simplificar o controle de acesso, e os três modelos mais conhecidos atualmente são MAC (Mandatory Access Control), DAC (Discretionary Access Control) e RBAC(Role-Based Access Control), descritos a seguir: • MAC: usuários não são donos do objeto e não podem definir suas permissões de acesso, atendo-se à política implantada pelo administrador, utilizado principalmente em ambientes restritos como militares, financeiros; • DAC: usuários são donos de um recurso e tem o controle sobre quem deve acessá-lo e com que permissões, muito utilizado em sistemas comerciais (UNIX, Windows, etc.); • RBAC: controle de acesso por hierarquia de papéis. Muito mais simples, onde os papéis são definidos como o conjunto de atividades e responsabilidades associadas a um cargo ou função em uma organização. Quando um funcionário muda de função dentro da empresa, é feita apenas a troca de permissões, trocando os papéis associados a ele. (Edemilson dos Santos da Silva - PUC Paraná Dezembro, 2004). O controle de acesso baseado em funções permite que uma tarefa seja dividida em diversas subtarefas, que envolvem usuários com níveis de permissões diferentes, evitando assim, vazamento e fraudes na manipulação de informações privilegiadas. Controles como o RBAC, podem ser utilizados em instituições financeiras, por exemplo, para o provimento de acessos, com maior ou menor privilégio. A literatura destaca com freqüência, um cenário onde o caixa de banco necessita o endosso de um supervisor, para pagamento de cheques com valores superiores e ao final da sessão o endosso é extinto, ou seja, um usuário com papel de supervisor utiliza seu perfil de permissões para autorizar o pagamento do cheque na sessão do usuário caixa, e ao final da sessão a 6 autorização perde a validade e não é possível nova operação. É possível ainda usar como exemplo, uma aplicação web para cadastro de clientes de um banco que possua funcionários de carreira, e terceirizados. Neste cenário, a preocupação com o sigilo das informações de clientes fica evidente, e também com relação aos privilégios que possam ser concedidos aos clientes de forma descontrolada. O sistema proposto possuiria abas para inclusão de dados pessoais, fonte pagadora, faixa salarial e nível de relacionamento entre outros dados. Um funcionário terceirizado seria encarregado de incluir os dados, mas seu perfil de acesso não permite inclusão de salário, nem o nível de carteira do cliente, parâmetros que por certo, poderiam expandir as linhas de crédito concedidas a este cliente. Este nível de perfil ficaria atrelado a um funcionário de carreira com função de gerente ou supervisor, para que as linhas de crédito concedidas a esta carteira não excedessem a capacidade de pagamento do novo cliente cadastrado. Neste mesmo sentido percebemos que as alterações cadastrais teriam de ter as mesmas preocupações. A tabela 2 a seguir, demonstra como seriam configurados os papéis, as funções e permissões para esta situação. Tabela 2 – Permissões por funções Usuário Papel / Função Permissão/ Nível Necessita Autorização Contexto Sessão Atendente Terceirizado Básico Não Cadastro/ Salário Consulta Atendente Terceirizado Básico Não Cadastro/ Simples Inclusão/Alteração Atendente Terceirizado Básico Sim Cadastro/ Salário Inclusão/Alteração Este nível de atribuição de controle poderia ser efetuado com o Authorization Manager em conjunto com as diretivas de grupo e usuários do AD. A relação entre as funcionalidades do RBAC e as diretivas de grupo, está exatamente na impossibilidade das diretivas do AD concederem uma permissão de leitura ao grupo “Terceirizado”, em um determinado momento, em seguida converter em permissão de escrita e logo em seguia permitir que o grupo, receba uma autorização para inclusão/alteração de um item. A soma das duas técnicas amplia a segurança do controle de acesso, sem torná-la complexa. Para que seja compreendido o conceito de controle de acesso à um software com o RBAC, é necessário conhecer como outras técnicas de controle de acesso são aplicadas. As matrizes de controle de acesso, por exemplo, não passam de listas contendo sujeitos e objetos, onde cada sujeito possui direitos do tipo READ/WRITE/EXECUTE para cada um dos objetos relacionados a ele. A localização dos direitos concedidos a objetos é uma tarefa fácil e rápida, mas em contrapartida, os sujeitos que podem acessar um determinado objeto, já necessita uma pesquisa mais elaborada e lenta. No caso do RBAC, tarefas como essa, possuem funções de revisão que podem ser do tipo: • AssignedRoles – conjunto de papéis associados a um determinado usuário; • AssignetUser – conjunto de usuários associados a um determinado papel; • UserPermissions – conjunto de permissões que o usuário pode executar com seus papéis; • RolesPermission – conjunto de permissões atribuídas a um papel. 2.1.9 Backup Quanto ao backup é importante destacar algumas técnicas que devem ser levadas em consideração, fazer cópias de dados e garantir a restauração, se necessário é ponto crucial na segurança da informação. O backup deverá estar nas rotinas diárias para evitar perdas irreparáveis. As cópias de controladores de domínio podem ser efetuadas em prazos curtos, entre o domínio principal e domínios secundários, de forma que possam ser substituídos em poucos minutos sem perda de informações do AD. Uma importante estratégia pode ser tomada com relação à base de dados, a divisão do disco rígido em mais partições permite maior organização nas cópias de volumes inteiros ou de partes de volumes com menos diretivas de backup. Podemos usar também técnicas de RAID, e garantir o conteúdo todo dos discos rígidos do servidor 7 sem que haja perdas, pois as características dessa técnica permitem que se tenha duplicação total por espelhamento de discos ou por níveis mais elaborados que garantem cópias de dados espalhadas em três ou mais discos de um servidor. É importante salientar que ainda assim cópias em mídias ou fitas magnéticas não devem ser dispensadas, pois danos no hardware podem às vezes causar perda total de conteúdo de discos. A soma de todas as ferramentas de segurança disponíveis, com uma boa auditoria auxilia o trabalho de administração da rede, mas é importante lembrar que todos os esforços para impedir as invasões nunca serão o suficiente, portanto é necessário sempre estar atualizado no que diz respeito à segurança. 3 MODELAGEM DO PROJETO Este projeto propõe modelar um cenário, conforme mostra a figura 1, e contará com um servidor de autenticação, que também fará o papel de servidor DNS, Firewall, Proxy e IIS. A internet utilizada será DSL Brturbo 1Mbps com modem router ligado ao switch que fará distribuição dos recursos de internet a todos os usuários. As instalações contarão também com um serviço de IDS e um honeypot que simulará servidores de Telnet e Web. O serviço de DHCP e NAT, serão providos pelo modem, dispensando configurações no servidor. Figura 1 – Escopo do Projeto Na instalação do servidor é preciso criar contas de usuários com autenticação por senhas seguras, com cotas de disco por usuário, gerenciar serviços, ativar firewall, antivírus, IDS/IPS e fazer auditorias regulares. Manter backup sempre atualizado, atualizações de sistema, registrar logs e controlar o acesso de aplicações com técnicas de distribuição de funções. Uma boa política de criação de senhas deve ser aplicada para tornar o trabalho de quebra de senhas dos hakers, mais difícil. A senha inicial deve ser trocada na primeira inicialização do usuário e será solicitada nova troca a cada trinta dias, o comprimento mínimo da senha será de sete caracteres, o número de tentativas de logon limitado a três, com conseqüente bloqueio da conta após a terceira tentativa inválida. O histórico de senhas deverá conter as últimas vinte senhas utilizadas. Esta medida garante que uma senha antiga só possa ser empregada novamente após outras vinte novas terem sido criadas. As cotas de disco terão um tamanho máximo a ser definido pelo administrador da rede e deverá ser configurado para emitir aviso de cota excedida aos noventa por cento de ocupação. Convém prevenir invasões, que tenham por objetivo, colher informações sobre nomes de domínio, endereços IP específicos, listas de controle de acesso, nomes de usuários e grupos, tabelas de roteamento e sistemas de detecção de intrusos. 8 Um servidor de domínio deve disponibilizar os sistemas e garantir que o acesso seja efetuado pelos proprietários de contas cadastradas nas listas de controle de acesso. Deve haver uma distribuição de serviços e dispositivos controlada. Para cada grupo ou conta de usuário haverá permissões distintas, em um mesmo enlace os usuários podem acessar um sistema, mas não os mesmos dados, respeitando assim a hierarquia organizacional da empresa ou instituição. Para facilitar a distribuição de contas e serviços, convém criar grupos por departamento e atribuir permissões a partir do conjunto, para facilitar a administração. Controlar a distribuição de recursos pela rede é uma tarefa que necessita de serviços como DHCP e DNS, para tanto é preciso que o servidor ou servidores estejam configurados para prestar estes serviços. A distribuição de endereços IP vai ocorrer dinamicamente, pois o servidor DHCP através de broadcast alcança todos os hosts de um mesmo enlace e os mapeia na tabela ARP e o servidor DNS por sua vez resolve os nomes associados a esses endereços IP. As gravações em disco necessitam estar disponíveis também quando o servidor estiver off-line, dessa forma será preciso uma replicação dos arquivos mais usados nas estações e um serviço que faça a sincronização das alterações no momento em que o servidor volte a responder. Mas a preocupação maior é com o vazamento de informações que pode comprometer todo o negócio, ou ainda, causar grandes prejuízos a organização. Bloquear acessos indesejados é uma tarefa que deve levar em conta os diversos tipos de invasões. Alguns invasores podem tentar se passar por um usuário do enlace, utilizando o endereço IP deste, o que chamamos de ataque spoofing. Esta técnica faz com que a origem pense que está enviando a informação a um IP de destino confiável. Sniffing, é outra técnica que explora segmentos de rede, interceptando todo o tráfego ali existente. Funciona como um farejador capaz de decodificar o conteúdo trocado entre as estações. Os ataques podem ter o intuito apenas de prejudicar a comunicação de dados, negando serviço, Denial of service (DoS). Este ataque pode causar prejuízos, mas não se caracteriza como invasão, pois a intenção é de inundar uma rede, saturando servidores e negando serviços. Os vírus podem comprometer os serviços de uma rede causando atrasos e prejuízos, pois sua remoção geralmente é lenta e individualizada a cada uma das estações e servidores. Durante o processo de remoção os usuários ficam impedidos de trabalhar. Os vírus podem estar inseridos em arquivos executáveis, macros de documentos e planilhas, quando executados ativam o vírus e muitas vezes carregam na memória infectando os demais arquivos do disco. Contra todos estes ataques o sistema deve prever defesas, não somente nos servidores, mas também nas estações. A configuração do servidor conta com proteção de portas por firewall e o auxilio de antivírus, proxy e outras técnicas de varredura e auditoria para identificar as invasões e sua origem. A identificação dos invasores também é possível através de um sistema que disponibiliza uma isca, (honeypot), que servirá para identificar os hábitos e interesses dos invasores. Convém, manter um registros de operação e falhas, com datas e horários de inicio e fim dos eventos, correções adotadas e a identificação de onde se originou a operação ou a falha. O visualizador de eventos deverá ser configurado para substituir os logs mais antigos ao atingirem um tamanho de arquivo igual a 2MB. As informações registradas mostrarão a data e a hora em que um evento ocorreu, o endereço IP de origem e destino, o protocolo (UDP,TCP,ICMP) e também as portas de origem e destino. Deverá haver uma ferramenta de checklist que fará a analise de vulnerabilidades do sistema e aplicações do host servidor. Esta ferramenta será executada pelo administrador da rede, não devendo ser aplicada uma rotina automática, pois necessitarão de avaliação prévia de registros obtidos no visualizador de eventos e de horários em que esta análise possa ser acompanhada e analisada para aplicação posterior das correções sugeridas. Para reforçar a proteção do endpoin, é necessária uma ferramenta que exija do usuário privilégios e permissões específicas para cada tipo de acesso. Uma rede pode ser invadida, mas para acessar os dados de determinadas áreas, o invasor teria que conhecer também as contas e as senhas pessoais de um usuário com estas permissões, pois de nada adiantaria invadir a rede sem ter como acessar os dados de maior importância. Dessa forma, o controle de acesso deverá ser feito com uma ferramenta que se baseia na hierarquia de papéis dentro da empresa, como o RBAC (Role-Based Access Control), sua função será de identificar que níveis de acesso cada conta terá direito. Esta tarefa será executada pelo IIS (Internet Information Services), servidor Web e pelo Authorization Manager, gerenciador de autorizações da Microsoft que é ferramenta nativa do 9 Server 2008. Seu funcionamento pode ser analisado no diagrama que segue, note que o RBAC atua no mesmo nível que o AD, apenas adicionando maior gerencia nas permissões, conforme mostra a figura 2: Figura 2 – Diagrama de Acesso a Aplicações Web com RBAC 4 IMPLANTAÇÃO A prevenção de danos aos dados de uma rede, através de invasões maliciosas, começa nas bases da instalação do sistema operacional. Mas não para por aí, atualmente há uma grande preocupação com o controle de acesso às redes corporativas, bem como com as facilidades oferecidas aos usuários, de carregarem consigo mídias removíveis, muitas vezes contendo informações importantes dos seus locais de trabalho, e que podem acabar expondo as estratégias e planos de negócios. A implantação dos mecanismos propostos na modelagem do projeto seguirá a seguinte estruturação: O capítulo 4.1 tratará da instalação do Windows Server 2008-Enterprise Edition, recomendações de configuração, precauções com usuário administrador e AD (Active Directory) no servidor de testes. O capítulo 4.2 tratará das diversas técnicas de segurança a serem aplicadas no host servidor. O capítulo 4.3 tratará das diversas técnicas de segurança a serem aplicadas no host cliente. O capítulo 4.4 tratará das técnicas de controle de acesso. 4.1 Instalação do Server 2008 A instalação do Windows Server 2008 seguiu as mesmas características de instalação do Windows Seven,das estações, pois sua interface é bastante similar. É recomendável ter um cuidado especial, quando da solicitação de alteração de senha antes do primeiro logon da conta Administrador. A senha deve ser complexa, contendo números e caracteres especiais, conforme a que foi aplicada em nosso experimento (!qweasd1). O Windows Server 2008 apresenta uma instalação modular, com um núcleo básico e serviços essenciais. Já na sua primeira inicialização apresenta um console de administração para instalação dos serviços adicionais desejados. Após a instalação do núcleo básico e serviços essenciais, foi então instalado o serviço de diretório que no Windows chama-se AD, para gerenciamento de contas de usuários, clientes, servidores e aplicações, bem como, efetuar a sincronização com diretórios existentes, reduzindo assim tarefas redundantes. Após instalar o AD, foi criado o DC (Domain Controllers) TCC.ulbra. O DC é o servidor responsável pela administração centralizada dos equipamentos e usuários da rede, através do AD. A seguir, instalado e configurado o DNS (Domain Name System) para resolução de nomes, uma vez que, toda a comunicação entre os equipamentos da rede é feita por numero de IP e sem o DNS os usuários teriam que decorar os números de IP da rede para acessar seus recursos. O DNS ficou integrado ao AD, evitando assim um tráfego desnecessário na rede e redução de eficiência. O serviço de DNS está disponível no painel de controle, em adicionar e remover programas, networking services, mas está presente, também no console de instalação de serviços do Windows Server 2008. Quanto a estrutura do AD, foram criadas algumas UO’s(Unidades Organizacionais), que serviram 10 como subdivisões do domínio TCC.ulbra.br, para melhorar a organização dos objetos do ambiente corporativo. Os nomes escolhidos no emprego de UO tiveram ligação com os parâmetros de controle de acesso, para fins didáticos e vieram a facilitar a distribuição de permissões dos usuários nelas contidos. Assim criamos uma UO com nome de Depto1, outra de Depto2 e por fim Depto3. A UO é um container, que contém contas de usuários, grupos e outros objetos. Ela é criada no Active Directory User and Computers, escolhendo o domínio desejado. As contas de usuário foram criadas dentro de UO’s, pois a criação de usuários no nível de domínio só aumentaria a complexidade de seu gerenciamento, sendo possível ainda após sua criação, trocar as contas de containers. A prática de criação de grupos, por sua vez, simplifica a administração da concessão de permissões aos usuários, as permissões são concedidas de uma vez só a todas as contas de um determinado grupo. Os nomes utilizados na criação das contas, também com fins didáticos, foram: Alice, Bob e Miguel. As senhas e suas características de segurança foram aplicadas no editor de gerenciamento da diretiva de grupo. Os grupos ou conjunto de usuários prevêem duas variações: grupos de segurança e grupos de distribuição. Os grupos de segurança foram criados para negar ou permitir direitos a usuários ou computadores. Mensagens de correio eletrônico podem ser enviadas a um grupo de segurança, mas nos casos em que se utilizam aplicativos de distribuição como o Exchange Server, esse envio será feito por grupos de distribuição. É importante compreender que um grupo de distribuição não tem finalidade de segurança. Não havendo a necessidade de segurança no grupo, preferencialmente utilizam-se grupos de distribuição, pois estes melhoram o desempenho do logon. Quanto ao escopo os grupos podem ser globais e locais, a estratégia de seu uso deve seguir as recomendações da Microsoft. Primeiro as contas de usuários são colocadas em grupos globais, depois os grupos globais são colocados em grupos de domínio local e por fim são concedidas permissões de recurso ao grupo local. O objetivo é organizar e reduzir a complexidade na gerência de permissões de acesso a recursos da rede. As cotas de disco foram estabelecidas usando o gerenciador de servidores do Windows Server 2008, onde também foi atribuído o compartilhamento de pastas e seu acesso off-line. Outro serviço ativado, no gerenciador de servidores, foi o Backup do Windows Server, e nele foram estabelecidas a freqüência e as pastas a serem copiadas em cada evento de backup, bem como o horário em que este seria efetuado. O console oferece opções de cópias completas, personalizadas ou incremental, de acordo com a política estabelecida pelo administrador da rede. 4.2 Técnicas de Segurança para o host Servidor Após a instalação do sistema operacional no servidor, foram efetuadas as atualizações recomendadas pela Microsoft, mantendo ativado o serviço, para que sejam efetuadas regularmente e automaticamente. As invasões podem aproveitar vulnerabilidades do sistema, a correção dessas vulnerabilidades ocorre através de atualizações regulares disponibilizadas pelo fabricante. Para facilitar o trabalho do administrador da rede foi também instalado serviço WSUS (Windows Server Update Services), que serve como um gerenciador de atualizações, buscando as atualizações no Microsoft Update e depois distribuindo a todas as estações da rede, evitando tráfego desnecessário na rede, pois as atualizações são baixadas somente uma vez. A escolha para política de filtragem do firewall aplicada foi Deny Everything (negar tudo), ou seja, o serviço ou endereço, que não for especificamente permitido será negado. Neste cenário, deve haver uma regra para cada tipo de tráfego que entrar no perímetro de defesa. Não havendo regra o pacote é descartado. O Windows Firewall with Advanced Security, é nativo do Windows Server 2008, e a exemplo do Windows Seven, é executado a partir da guia de busca, digitando a palavra firewall. Para permitir conexão remota, por exemplo, foi necessário ativar a regra de firewall para a porta 2383 TCP. A prática de usar o desbloqueio de portas no firewall pode oferecer um risco maior ao controle de invasões, pois a porta liberada ficará vulnerável a ataques externos. A melhor alternativa é o bloqueio de aplicações, que não deixa margens para que o hacker invada a LAN. O acesso remoto, para estações com Windows Seven, contou com um novo recurso, o DierctAccess, que fornece o acesso aos sistemas corporativos sem necessidade de uma VPN e um software cliente. Para usar o acesso remoto, foi necessário, através do gerenciador do servidor, instalar o serviço de função do Terminal Server. Testes de acesso a área de trabalho remoto foram realizados com Terminal Server, que se mostrou uma ótima ferramenta para ativação remota de serviços e funções adicionais ao servidor. 11 O Proxy foi instalado no servidor para compartilhar o acesso a internet entre as estações de rede local, os hosts da rede só podiam navegar na internet através do Proxy. Mas este serviço além de criar um fluxo de trafego controlado, também inclui um buffer que mantém as páginas acessadas na internet otimizando assim o uso de banda. Em conjunto com firewall, o Proxy tem papel importante no controle de acesso a páginas de internet. O antivírus foi instalado e configurado no servidor e também nas estações, suas atualizações ocorriam em horários pré-determinados, à noite, para evitar baixas de desempenho na rede. A solução antivírus utilizada foi o Symantec Endpoint Protection, que contava com prevenção de invasões (IPS), funções de firewall, antispyware e antivírus, controle de aplicativos e de dispositivos. Possui também a característica de verificação proativa de ameaças identificando bons e maus comportamentos de aplicativos desconhecidos, defendendo assim contra ataques de dia zero e ameaças desconhecidas. Característica que ajuda a reduzir a incidência de falsos positivos. Possui ainda bloqueio de endpoints contra dispositivos USB evitando assim vazamento de informações e infecções provenientes de dispositivos periféricos. Para estudar o comportamento dos hakers foram instaladas ferramentas auxiliares que utilizam técnicas de honeypot, um dos mecanismos usados pelos IDS/IPS. A ferramenta escolhida para o ambiente experimental foi: Valhala Honeypot - Free OpenSource Honeypot for Windows System, que tem a habilidade de simular servidores WEB, FTP, TFTP, POP3, ECHO, Daytime, SMTP, Finger e Port Forwarding e ainda portas de trojans conhecidos como o NETBUS. Foram configurados neste estudo apenas os servidores WEB e Telnet, conforme mostra a figura 3, com um detalhamento das configurações aplicadas no servidor Telnet. O invasor é levado a um ambiente paralelo a rede e nele são disponibilizadas as informações estabelecidas pelo administrador. Toda a invasão é monitorada e registrada, com a finalidade de estudar o comportamento do invasor. A ferramenta possui alertas que podem ser disparados até mesmo por e-mail, para que se possa acompanhar a invasão em tempo real se interessar. Figura 3 – Configurações Honeypot Como ferramenta de checklist foi utilizada a Microsoft MBSA (Microsoft Baseline Security Analyser), disponibilizada no site da Microsoft para download, e que apresenta uma console amigável com 12 um grande leque de funcionalidades. A ferramenta oferece recursos como: • Verificar diretivas de segurança do AD, considerando, itens como senhas seguras e prazo para renovação; • Verificar vulnerabilidades referentes ao sistema operacional e pacotes como o Office; • Oferecer atualizações para correção das falhas encontradas; • Links para downloads e documentação sobre como corrigir; • Relatórios detalhado; • Recomendações sobre softwares instalados. Os relatórios obtidos são bem completos como podemos ver, numa pequena amostra, na figura 4, que segue: Figura 4 – Console MBSA Relatório Os arquivos de log também auxiliam no checkup do sistema, neles ficam registrados eventos de erro que podem levar a solução de problemas, para tanto foi ativado o visualizador de eventos nativo do Windows. A análise do conteúdo dos logs pode ser de grande utilidade para o administrador da rede, pois ajuda a prevenir falhas no sistema e evitar invasões resultantes de alguma vulnerabilidade existente. Infelizmente, às vezes é necessária a leitura de um log para rastrear informações de algum evento de invasão já ocorrido, na intenção de identificar qual host ou quais hosts foram os responsáveis e também quais métodos foram utilizados na invasão. 4.3 Técnicas de Segurança para o host Cliente As estações testadas continham Windows Seven e para segurança local foi instado o antivírus Avast Free 5.0.677 .O antivírus contém proteção contra vírus, spyware e outras formas de software malicioso. Possui anti-rootkit em tempo real que atua no kernel, detectando e parando os rootkits antes que executem ações maliciosas. Além disso, está equipado com um emulador de código, que ao detectar um executável suspeito emula o código do programa em um ambiente isolado. Sua interface é bem simples e não oferece dificuldade de configuração. Em seus módulos residentes, permite ajustes de sensibilidade, visualização de relatórios e gráficos de histórico de tráfego. As varreduras podem ser completas ou rápidas e ainda oferece 13 opção para pastas e mídias removíveis. O acesso nas estações ficou limitado ao domínio TCC.ulbra.br, e para o acesso local, era necessário a senha de administrador local, impedindo assim que usuários conseguisse acessar o domínio para efetuar desativação das ferramentas de proteção no host. Todas as instalações de aplicativos novos necessitavam de senha do administrador do domínio. Esse procedimento de segurança serviu para evitar que auto-executáveis se instalassem indevidamente, a até mesmo instalações manuais trouxessem consigo algum trojan ou malware comprometendo assim a segurança de toda a rede local. A Proteção dos dispositivos de entrada como portas USB, tem um papel importante na segurança da informação. As portas USB foram travadas com senha através de software, chamado USB Blocker, que impede que dispositivos não cadastrados possam inserir programas maliciosos, worms e vírus no endpoint. Foram inibidas também as ferramentas administrativas, painel de controle, configurações de rede, impressoras, conexão de mídias removíveis e as propriedades do sistema de modo a impedir alterações originadas pelo usuário através do console de gerenciamento de políticas de grupo (GPO). Foi desativado o editor de registros com o comando gpedit.msc, para que o registro do Windows não pudesse ser alterado pelo usuário ou usuários do host cliente. O firewall nas estações foi configurado de maneira a bloquear todas as conexões e programas que não estejam na lista de programas permitidos. Foram desativados todos os avisos referentes a notificações de novos bloqueios, evitando assim que os usuários optassem em desbloqueá-los. A prática de desbloqueio de programas no firewall torna o ambiente menos seguro, porém é importante perceber que o risco maior está no desbloqueio de portas de serviços, pois estas portas poderiam facilitar o acesso de hakers no sistema tornando todas as outras técnicas de segurança vulneráveis. Entre as proteções, nativas, disponíveis no sistema operacional Windows Seven, está também um recurso que ajuda o usuário a manter os discos locais protegidos com criptografia. Trata-se da ferramenta BitLocker, que quando ativada criptografa a unidade de disco toda, e sempre que algum arquivo novo é incluído ou copiado nesta unidade, recebe também a criptografia. Esse procedimento torna o conteúdo do disco imune aos hakers que queiram obter informações sobre senhas ali gravadas. Ao criptografar a unidade de sistema, a ferramenta verifica, na inicialização do sistema, se há algum tipo de risco que possa comprometer a segurança. Se detectado risco a unidade é bloqueada e solicita a senha previamente cadastrada na ativação do BitLocker. É possível desativar a ferramenta a qualquer momento, sem comprometer os dados do disco. Este item da segurança foi adicionado às estações em seu domínio local e os usuários não tiveram necessidade de nenhum tipo de orientação sobre o uso dele. As atualizações de sistema são importantes para evitar ou corrigir problemas e melhorar o funcionamento do computador, o agendamento dessas atualizações foi incluído no Windows Server Update Services do servidor de domínio TCC.ulbra.br, para que sejam efetivadas de uma só vez sem intervenção do administrador da rede. 4.4 Técnicas de Controle de Acesso Foi ativado o IIS 7.0 em conjunto com o Authorization Manager, como ferramenta RBAC, observando três níveis de função no ambiente experimental. As funções seguiram níveis de permissão, onde o menor nível era o da função Técnico e o maior o da função Gerente. Foram criados três níveis de papéis: Técnico, Supervisor e Gerente, e também três contas de usuários, Alice, Bob e Miguel. A figura 5 mostra esta disposição das funções por usuário. Alice Técnico Permissão1 Bob Supervisor Permissão2 Miguel Gerente Permissão3 Figura 5 – Escopo usuários X funções 14 A configuração do RBAC deste cenário trouxe facilidades na administração das permissões por usuário. Para efetuar alterações de função dentro da hierarquia, era necessário apenas copiar a conta de usuário para a nova função e excluir da função anterior, sem necessidade de mudanças nas permissões. As configurações de permissões por funções foram efetuadas no IIS 7.0, obedecendo a critérios préestabelecidos, conforme mostra a Tabela 2 e de acordo com a criação de grupos e contas no AD. Tabela 2 – Permissões por funções Aplicação Papel Permissão AppWeb Técnico AppWeb Supervisor Acesso a URL (Todos) AppWeb Gerente Acesso a URL (Todos) Negação Acesso a URL (Todos) Miguel (Algumas URL’s) Todos os passos de ativação que seguem serviram para demonstrar uma das muitas possibilidades de uso do RBAC em uma plataforma Windows Server 2008. Foi necessário instalar as funções de Servidor Web IIS 7.0 e vários serviços de função, sendo os principais: • Desenvolvimento de aplicativos (ASP, ASP.NET, Extensibilidade.NET); • Segurança (Autorização de URL). Após as instalações, foram realizadas configurações no console de autorização do IIS onde estava o diretório virtual “tcc” no Default Web Site que continha a aplicação web para testes. Nas regras adicionadas, a atribuição era possível de ser ativada tanto para os usuários, quanto para suas funções. Nas figuras 6 e 7 seguem algumas das implementações de regras que foram utilizadas no experimento. 15 Figura 6 – Permissão Concedida a Todos os Usuários O exemplo da figura 6 mostra que para o diretório compartilhado “tcc” a permissão de acesso foi concedida as funções “Supervisor e Gerente”, e negada à função “Técnico”, todos também cadastrados como grupos no AD. Já na figura 7 acrescenta uma restrição de acesso ao usuário “Miguel”, com função de gerente, para a operação de “Consulta Listagem de Clientes” URL chamada ListaClientesFiltro.asp. Os resultados obtidos estão representados nas figuras 8 e 9. Figura 7 – Restrição de Acesso à uma URL A coluna “Verbos” pode ser utilizada por desenvolvedores ASP e ASP.NET, entre outras linguagens, para a inclusão de regras por módulos isolados, permitindo ou negando acessos nas URL’s. Não fazia parte deste estudo de caso, criar filtros mais elaborados que utilizem linguagens de programação, e sim mostrar algumas das facilidades oferecidas pelo controle de acesso RBAC. 16 Figura 8 – Resultado Obtido no Teste de Controle de Acesso RBAC Figura 9 – Resultado Obtido no Teste de Controle de Acesso RBAC No console do Gerenciador de Autorização as possibilidades de configuração são muito amplas, oportunizando um grande número de definições de regras. É possível criar regras por definição de função, de tarefa ou de operação. Na figura 10, que segue, podemos ver um exemplo de atribuição de função, onde o usuário tinha permissão apenas de leitura na aplicação WebApp, mesma atribuição que seria possibilitada pelo AD, mas aqui sendo gerenciada pelo Authorization Manager. 17 Figura 10 – Console do Authorization Manager Entre as políticas de segurança é importante ressaltar que a autenticação gerenciada pelo AD no servidor de dados usado no desenvolvimento de bloqueios, auxilia muito na proteção dos dados. As configurações do Gerenciador de Autorizações, também garantem proteção, dificultando muito o trabalho do hacker. Em casos de incidentes de segurança, que fatalmente ocorrem, as chances da invasão causar alguma perda de informações, devem ser previstas e calculadas, ou seja, um acesso que ocorra através de conta de usuário que possua baixo nível de permissão, não terá grande impacto a corporação. Os recursos do RBAC podem ser ampliados ainda mais, não apenas no que diz respeito a acessos de usuários de um domínio, mas também em cenários de virtualização de servidor, um dos assuntos em destaque no mundo de TI, na atualidade. O surgimento de equipamentos multiprocessados com tecnologia x64, permitiu que fosse desenvolvido o Windows Server 2008 Hyper-V, que possibilita o uso do RABC na gerencia de autorizações. No caso do Hyper-V, através do Authorization Manager, também é possível estabelecer permissões nos níveis de função, tarefa ou operação, quais sejam, tarefas como controle total ou somente leitura, controle avançado de tarefas como permitir acessos de entrada ou saída de máquinas virtuais, permissão para criação de nova VM (Virtual Machine) entre outras opções. Configurações voltadas à permissão de acesso a grupos ou indivíduos, também são facilitadas no Gerenciador de Autorização, a console é bastante amigável tornando a tarefa muito simples para o administrador da rede. Não fez parte do escopo desse projeto a implementação de virtualização de servidores, ficando assim a possibilidade de testes mais aprofundados dessa técnica em trabalho ou estudos futuros. 5 CONCLUSÃO Este artigo apresentou como podem ser aplicadas diversas formas de prevenção aos dados e sistemas, sejam eles das empresas ou pessoais, de forma a evitar perdas e prejuízos desnecessários. Destacou também a importância da implantação de políticas de segurança, que ajudem a estabelecer normas e responsabilidades aos colaboradores. Dentre as técnicas aplicadas neste trabalho, um destaque especial foi dado ao controle de acesso RBAC, regido por funções ou papéis desempenhados dentro das empresas, fortalecendo ainda mais as defesas contra invasões e perdas relevantes. Foi possível concluir que com o controle de acesso do IIS no Server 2008, o administrador da rede pode subdividir as tarefas entre os usuários e grupos do AD, controlando ainda os níveis de acesso por funções desempenhadas na empresa. Com apenas um bloqueio de acesso a URL, conforme demonstrado neste artigo, foi possível controlar quais gerentes de um departamento 18 poderiam acessar toda a aplicação ou parte dela, ampliando assim os recursos do AD. Ao final dos estudos ficou claro que a segurança da informação depende de um conjunto estruturado de boas práticas e não de uma ferramenta padrão, que possa ser aplicada em todos os casos que se necessite de segurança de TI. Um grande destaque deve ser dado ao comportamento dos usuários dos serviços disponibilizados, no local de trabalho, pois a engenharia social continua abrindo portas para hakers, crackers e outros indivíduos que fazem parte do universo de invasores maliciosos, e suas técnicas de destruição do patrimônio alheio. Os hosts finais ou endpoints, sempre serão motivo de preocupação por parte dos administradores das redes, pois uma simples ação indevida de um dos usuários pode comprometer todo o trabalho de segurança desenvolvido e nenhuma técnica disponível será suficiente para impedir um incidente. REFERÊNCIAS Ferreira, Fernando Nicolau Freitas - Araújo, Márcio Tadeu de. Política de Segurança da Informação Guia Prático para Elaboração e Implementação Rio de Janeiro: Editora Ciência Moderna Ltda., 2ª edição 2008. BATTISTI, Júlio. Windows Server 2003 Curso Completo. Rio de Janeiro: Axcel Books do Brasil Editora, 2003. Gasparini, A. (2004) Infra Estrutura, Protocolos e Sistemas Operacionais de LANs – Redes Locais, São Paulo, Érica. Snort Brasil - The Open Source Network Intrusion Detection System < http://www.snort.com.br> ET Nakamura, PL de Geus - Berkley Brasil: São Paulo - novateceditora.com.br Segurança de Redes em Ambientes Cooperativos 2007 <http://www.novateceditora.com.br/livros/segred/capitulo9788575221365.pdf > TANENBAUM, Andrew S. - Computer Networks - 4a edição EDITORA CAMPUS DA SILVA, Edemilson dos Santos - PUC Paraná. Dezembro, 2004 – Dissertação de Pós Graduação biblioteca.pucpr.br < http://www.biblioteca.pucpr.br/tede/tde_arquivos/14/TDE-2005-09-15T065633Z183/Publico/edemilson%20dos%20santos%20da%20silva.pdf > JUNIOR, Julio Steffen – Instituto de Ciências Exatas e Tecnológicas do Centro Universitário FEEVALE – Junho,2003 – Monografia Bacharel em Ciência de Computação - Intrusion Detection Systems – IDS. Northcutt, Stephen; Zeltser, Lenny; Winters, Scott; Frederick, Karen k.; Ritchey, Ronald W. Desvendando Segurança de Redes - Rio de Janeiro: Campus 2002 Norma Brasileira ABNT NBR ISO/IEC 27002:2005 MOUNTAIN VIEW, Califórnia – 07 de junho de 2010 Symantec Corp. (Nasdaq: SYMC) <http://geekstorm.com.br/seguranca/estudo-da-symantec-revela-que-pequenas-e-medias-empresas-avaliamprotecao-das-informacoes-como-prioridade-de-ti/#ixzz149CABi4X> 19