FACULDADE SALESIANA DE VITÓRIA
PÓS-GRADUAÇÃO EM SEGURANÇA DE
REDES DE COMPUTADORES
ANDERSON ROBERTO PEREIRA
JORGE ANTÔNIO MACEDO DE MELLO
SISTEMA DE BACKUP EM LANS NO LINUX:
MODELO SEGURO E RECOMENDAÇÕES
VITÓRIA
2007
ANDERSON ROBERTO PEREIRA
JORGE ANTÔNIO MACEDO DE MELLO
SISTEMA DE BACKUP EM LANS NO LINUX:
MODELO SEGURO E RECOMENDAÇÕES
Monografia apresentada ao Curso de
Pós-graduação
em
Redes
Computadores
de
Segurança
de
da
Faculdade Salesiana de Vitória, como
requisito parcial para obtenção do
título de Especialista em Segurança
de Redes de Computadores.
Orientador: Prof. M.Sc. Sérgio Teixeira
VITÓRIA
2007
Dados Internacionais de Catalogação-na-publicação (CIP)
(Biblioteca da Faculdade Salesiana de Vitória, Espírito Santo, Brasil)
T436s
Pereira, Anderson Roberto, 1977
Sistema de backup em lans no Linux: modelo seguro e
recomendações / Anderson Roberto Pereira, Jorge Antonio Macedo de
Mello. – 2007.
75 f. : il.
Orientador: Sérgio Teixeira.
Monografia (pós-graduação em Segurança
Computadores) – Faculdade Salesiana de Vitória.
de
Redes
de
1.Redes de Computadores - Segurança. 2. Backup. 3.Segurança da
Informação. I. Mello, Jorge Antonio Macedo. II. Teixeira, Sérgio. III.
Faculdade Salesiana de Vitória. IV. Sistema de backup em lans no
Linux: Modelo seguro e recomendações.
CDU: 004.7
ANDERSON ROBERTO PEREIRA
JORGE ANTÔNIO MACEDO DE MELLO
SISTEMA DE BACKUP EM LANS NO LINUX:
MODELO SEGURO E RECOMENDAÇÕES
Monografia apresentada ao Curso de Pós-graduação em Segurança de
Redes de Computadores da Faculdade Salesiana de Vitória, como requisito
parcial para obtenção do título de Especialista em Segurança de Redes de
Computadores.
Aprovada em X de maio de 2007.
COMISSÃO EXAMINADORA
_____________________________________
Prof. M.Sc. Sérgio Teixeira
Orientador
_____________________________________
Prof. M.Sc. Ádrian Bonfá Drago
Faculdade Salesiana de Vitória
_____________________________________
Prof. D.Sc. Davidson Cury
Universidade Federal do Espírito Santo
Eu, Anderson Roberto Pereira, dedico
este trabalho primeiramente a Deus por
ter-me dado condições e inspiração
para essa missão. Dedico também à
minha esposa, Raquel, e filha, Milena,
pela compreensão da minha ausência.
Aos nossos pais, sempre.
--Eu, Jorge Antônio Macedo de Mello,
dedico este trabalho a minha família e
a DATAPREV.
AGRADECIMENTOS
Agradecemos ao professor Sérgio Teixeira, pela orientação, colaboração e
apoio no desenvolvimento desse trabalho. À nossa família, pelo apoio e
compreensão da nossa ausência.
Feliz aquele que transfere o que sabe
e aprende o que ensina.
("Cora Coralina")
RESUMO
Esse trabalho propõe um modelo seguro de backup em redes locais de
computadores com servidores Linux que utiliza algoritmos de criptografia de
chaves públicas, cálculo de resumo de mensagem e assinatura digital para
alcançar, sobretudo, sigilo e garantia de integridade dos dados de backup em
qualquer meio de armazenamento. Um elemento central denominado Servidor
Concentrador é definido como o repositório de médio prazo de arquivos de
backup dos demais servidores e o responsável pela assinatura digital por meio
de chave-privada. São propostos alguns modelos de gerenciamento de chaves
criptográficas que buscam manter a disponibilidade e a integridade da relação
unívoca das chaves assimétricas.
Palavras-chave: Redes de Computadores – Segurança, Backup, Segurança da
Informação.
ABSTRACT
This work considers a safe from model backup in local nets of
computers with Linux servers who use algorithms of criptografia of public
keys, calculation of message summary and digital signature to reach, over all,
secrecy and guarantee of integrity of the data of backup in any way of
storage. A central element called Serving Concentrator is defined as the
repository of average stated period of archives of backup of the excessively
serving and responsible one for the digital signature by means of key-private.
Some models of management of criptográficas keys are considered that they
search to keep the availability and the integrity of the univocal relation of the
anti-symmetrical keys.
Word-key: Computer Networks – Security, Backup, Information Security.
LISTA DE FIGURAS
Figura 1. Ataques à segurança da informação................................................. 17
Figura 2. Modelo de Segurança de Redes....................................................... 19
Figura 3. Estrutura em níveis. .......................................................................... 38
Figura 4. Um modelo baseado em níveis. ........................................................ 41
Figura 5: Transferência segura de dados......................................................... 46
Figura 6. O modelo lógico proposto. ................................................................ 49
Figura 7. Topologia física tradicional................................................................ 50
Figura 8. Rede local auxiliar para backup de dados......................................... 52
Figura 9. Estratégia 1 de verificação de integridade do par de chaves ............ 56
Figura 10. Estratégia 2 de verificação de integridade do par de chaves .......... 56
Figura 11. Estratégia 3 de verificação de integridade do par de chaves .......... 57
Figura 12. Rede corporativa. ............................................................................ 69
Figura 13. SELinux........................................................................................... 71
LISTA DE TABELAS
Tabela 1. Fitas magnéticas................................................................................35
SUMÁRIO
1 - INTRODUÇÃO ............................................................................................ 11
1.1 Motivação............................................................................................... 12
1.2 Objetivos ................................................................................................ 12
1.3 Metodologia............................................................................................ 13
1.4 Organização do trabalho ........................................................................ 14
2 - FUNDAMENTOS DA SEGURANÇA DA INFORMAÇÃO............................ 15
2.1 Principais ameaças aos sistemas e dados............................................. 16
2.2 Técnicas de ataque ................................................................................ 17
2.3 A norma NBR ISO/IEC 17799:2005 ....................................................... 19
2.4 Técnicas de segurança .......................................................................... 20
3 - CONCEITOS DE BACKUP ......................................................................... 28
3.1 Métodos de backup................................................................................ 29
3.2 Tipos de backup ..................................................................................... 30
3.3 Armazenamento externo ........................................................................ 33
3.4 Extravio de backup – casos reais........................................................... 36
4 - UMA PROPOSTA DE SISTEMA DE BACKUP SEGURO NO LINUX......... 37
4.1 Uma arquitetura em níveis ..................................................................... 37
4.1.1 Primeiro nível – retenção de curto-prazo ........................................ 39
4.1.2 Segundo nível – retenção de médio-prazo ..................................... 39
4.1.3 Terceiro nível – retenção de longo-prazo ....................................... 40
4.2 O modelo lógico inicial baseado em níveis ............................................ 40
4.2.1 Propriedades de um modelo seguro de backup.............................. 41
4.3 O modelo seguro de backup .................................................................. 42
4.3.1 Processo nos servidores de produção............................................ 42
4.3.2 Processo no servidor concentrador ................................................ 46
4.3.3 Diagrama lógico do modelo proposto ............................................. 48
4.4 Topologia da rede local .......................................................................... 49
4.4.1 Topologia tradicional....................................................................... 50
4.4.2 Impactos do tráfego concorrente de rede ....................................... 51
4.4.3 Rede local auxiliar para backup de dados ...................................... 51
4.5 Gerenciamento das chaves de criptografia ............................................ 52
4.5.1 O sistema de criptografia e o gerenciamento de chaves ................ 54
4.5.2 Soluções de hardware para armazenamento das chaves ............. 59
5 - SIMULAÇÃO DE RECUPERAÇÃO SEGURA DE DADOS......................... 60
5.1 Estratégias de simulação de recuperação ............................................. 60
5.2 Escalonamento da simulação ................................................................ 63
CONSIDERAÇÕES FINAIS E TRABALHOS FUTUROS ................................. 64
REFERÊNCIAS BIBLIOGRÁFICAS ................................................................. 66
1 - INTRODUÇÃO
Atualmente vivemos uma revolução silenciosa, que atinge desde pequenas
organizações a grandes multinacionais privadas e instituições públicas. A
revolução da informação. Dados e informações são o principal ativo das
organizações contemporâneas. O volume de criação e manipulação de dados é
crescente. A dependência do acesso aos mesmos para o funcionamento do
negócio das empresas aumenta a cada dia. Nesse cenário, as organizações
precisam encontrar caminhos para garantir a disponibilidade da informação e
proteger os seus dados.
Soluções tecnológicas de redundância e tolerância à falhas conseguem
fornecer alguma resiliência aos sistemas computacionais, porém são
insuficientes frente às diversas ameaças existentes: incêndios, inundações,
sabotagens e furto são algumas das ameaças aos dados.
Em conseqüência surgiram as políticas de backup, também denominadas de
“cópias de segurança”. Backups são processos e técnicas computacionais que
tem como principais finalidades o armazenamento e a restauração – quando
necessária - de cópias dos dados das aplicações dos usuários e de
configuração dos dispositivos de computação, reduzindo assim os impactos
gerados por eventuais (mas prováveis) falhas de hardware ou corrupção de
dados.
Esse armazenamento redundante freqüentemente é realizado em mídias
removíveis, do tipo fitas magnéticas ou discos óticos, em mais de uma cópia.
Algumas delas devem ser transportadas e armazenadas fisicamente em locais
externos à organização. O extravio dessas mídias ou o uso indevido das
mesmas deve ser uma preocupação crucial. Além disso, em uma eventual
restauração, como garantir que os dados restaurados não sofreram
modificação, numa tentativa de fraude? Quanto mais sensíveis forem os dados,
mais significativas são essas questões. Aliado a isso, muitas organizações não
dispõem de unidades de gravação para todos os seus servidores, obrigando-as
a concentrar o backup em algumas máquinas que possuem o dispositivo. Isso
11
implica em transferência de dados pela rede local, na maioria das vezes sem
nenhum mecanismo de segurança.
O projeto de um sistema de backup deve aplicar a tríplice base geral das
principais políticas de segurança da informação: confiabilidade, integridade e
disponibilidade. Assim, garante-se que somente pessoas autorizadas tenham
acesso aos dados de backup, que os mesmos não sejam alterados
indevidamente e que estejam sempre acessíveis quando for necessário.
Este trabalho apresenta modelos, técnicas e recomendações que podem ser
aplicadas num projeto de construção de um sistema centralizado e seguro de
backup para servidores GNU/Linux em uma rede local, utilizando software livre.
1.1 Motivação
Sistemas de backup e de restauração de dados são tradicionais e são
disponibilizados para diversos sistemas operacionais modernos. Existem
soluções proprietárias, em software-livre, comerciais, não-comerciais, de
código fechado e de código aberto. Entretanto, a grande maioria dessas
soluções não implementa técnicas de segurança da informação para garantir
principalmente o sigilo e a integridade dos dados, que passam a ser
ameaçados, e colocam em risco a sobrevivência de muitas organizações, dado
que a informação é notoriamente o principal ativo de diversas organizações
atualmente.
Este trabalho propõe um modelo de backup seguro no Linux, utilizando
métodos de segurança amplamente testados e reconhecidos pela comunidade
acadêmica e de mercado.
1.2 Objetivos
O objetivo deste trabalho é a apresentação de propostas teóricas de
arquitetura, modelo e técnicas para o projeto e construção de um sistema de
backup seguro em redes locais de computadores, para servidores Linux,
12
utilizando softwares-livres. Baseia-se em técnicas de segurança da informação
de comprovada eficiência e uso nas mais diversas áreas da computação. São
propostos uma arquitetura de sistema de backup, um modelo lógico seguro, um
modelo físico para otimização de tráfego de dados, alguns modelos de
gerenciamento das chaves criptográficas e algumas estratégias para a
realização de simulação de recuperação de dados.
O foco principal empregado neste trabalho, e que permeia todas as propostas
apresentadas, é a garantia da integridade e autenticidade dos dados de
backup, além da redução da janela de indisponibilidade dos servidores.
1.3 Metodologia
A metodologia adota neste trabalho foi calcada em pesquisa bibliográfica
focada em segurança da informação, além de normas sobre o mesmo assunto,
sobretudo a ABNT NBR ISO/IEC 17799:2005. Também foram pesquisadas as
técnicas de backup e restauração de dados utilizados atualmente pelas
organizações.
Foram levantadas questões sobre a fragilidade e exposição indevida de dados
de backup em diversas formas eletrônicas, como em discos, mídias externas
ou em transferência por redes. Procurou-se encontrar casos reais relatados na
imprensa sobre incidentes de segurança envolvendo extravio ou acessos
indevidos aos dados de backups, onde ficou constatado que os riscos são reais
e evidentes.
À luz das melhores práticas de segurança de dados, foram utilizadas técnicas,
principalmente criptográficas, para a construção de uma proposta de um
modelo seguro de backup, objetivando alcançar a integridade e autenticidade
dos dados armazenados, mitigando assim o risco de extravio ou alteração
indevida da informação.
13
1.4 Organização do trabalho
Esta monografia está organizada da seguinte forma:
Fundamentos da Segurança da Informação - apresenta os fundamentos da
segurança da informação. Esse capítulo aborda as principais ameaças aos
sistemas e aos dados, as técnicas de ataque empregadas, as normas ISO/IEC
17799:2005 e as principais técnicas de segurança da informação utilizadas
atualmente.
Conceitos de Backup - apresenta os conceitos de backup. Revisa as principais
técnicas, métodos de backup e restauração de dados utilizados pelas
organizações.
Uma proposta de sistema de backup seguro o Linuxrte 4 – Objetiva descrever
uma proposta o modelo seguro de backup em LANs no Linux.
Simulação de recuperação segura de dados - apresenta algumas estratégias
de simulação de restauração de dados.
Considerações finais e trabalhos futuros – apresenta as considerações finais
sobre o trabalho e propõe possíveis trabalhos futuros que poderão dar
continuidade à proposta apresentada.
Finalmente, Referências Bibliográficas – apresenta a literatura que embasou
este trabalho.
14
2 - FUNDAMENTOS DA SEGURANÇA DA INFORMAÇÃO
Segundo os dicionários da língua portuguesa, informação é o conjunto de
dados acerca de alguém ou de algo. Estendendo esse conceito, pode-se dizer
que a informação é a interpretação desses dados (SALIBA, 2003).
As organizações necessitam da informação para a tomada de decisões
objetivando o sucesso. Isto mostra o quão poderosa é a informação. Sem ela
não há estratégias, não há mudanças ou até mesmo não existiria uma
empresa. Uma conseqüência natural da importância da informação é a extrema
vulnerabilidade que a empresa se expõe caso haja perda de dados vitais, como
plantas de projetos, segredos industriais, planilhas de custos, documentos
contábeis, financeiros etc. Quanto maior for a organização maior será sua
dependência da informação.
A informação pode estar armazenada de várias formas: impressa em papel, em
meios digitais (discos, fitas, CDs, DVDs, disquetes), na mente das pessoas, em
imagens armazenadas em fotografias e filmes.
A informação deve ser tratada como um ativo da empresa com, no mínimo, a
mesma importância que qualquer outro bem. Por isso, deve ser protegido
contra roubo, problemas ambientais, vandalismo, dano acidental ou intencional.
Quanto mais interconectada for uma empresa, maior será a complexidade dos
sistemas
por
onde
trafegam
e
são
armazenadas
as
informações.
Conseqüentemente maior será a preocupação com o nível de segurança a ser
implantado a fim de garantir a confidencialidade, integridade, e disponibilidade
da informação que ela detém.
A segurança da informação trata do conjunto de controles e processos que
visam preservar os dados que trafegam ou são armazenados em qualquer
meio.
As
modernas
tecnologias
de
transmissão,
armazenamento
e
manipulação dos dados trouxeram enorme agilidade para as empresas, mas ao
15
mesmo tempo surgiram também novos riscos. Ataques eletrônicos, de
engenharia social, vírus, spam, negação de serviço e espionagem eletrônica
são noticiadas pela imprensa todos os dias. Diante deste cenário, a segurança
da informação torna-se imprescindível para as organizações, sejam elas dos
setores público ou privado.
2.1 Principais ameaças aos sistemas e dados
Apesar de existirem tecnologias de redundância de serviços e de discos, como
o RAID1, que podem prover alguma resiliência, é essencial que as
organizações planejem e executem uma política de backup e restauração de
dados dos sistemas de informação e das configurações dos servidores.
Sistemas aplicativos, banco de dados, correio eletrônico e servidores de
arquivos estão entre os que causam maiores impactos em eventuais
interrupções de serviços. Deve-se também adotar estratégias que garantam a
autenticidade e sigilo das informações gravadas (WSSRA, 2005).
As principais ameaças que podem resultar em perda ou corrupção de dados
são:
• Quebra
de
sigilo:
ameaça
a
confidencialidade
da
informação
(interceptações, acessos indevidos, espionagem, crakers).
• Modificação: ameaça a integridade da informação (códigos maliciosos,
crakers, vírus destrutivos).
• Interrupções: ameaça a disponibilidade da informação (falhas de discos
rígidos, terremotos, incêndios, inundações, códigos maliciosos, falhas de
energia, falhas de software).
• Destruição: ameaça a disponibilidade da informação (terremoto, fogo,
inundação, vandalismo, pico de energia, falhas de hardware).
• Exclusão ou extravio: ameaça a confidencialidade e disponibilidade
(roubo ou perda de dados ou sistemas em mídias portáteis como
notebooks, CDs, fitas etc).
1
RAID: O termo significa “Redundant Array of Inexpensive Disks” ou Arranjo redundante de discos baratos. É
uma tecnologia que provê tolerância à falhas através de redundância de discos rígidos (LAUDON, 1999).
16
A segurança de dados deixou de ser apenas uma preocupação com a perda da
informação devido a um acidente com os meios de armazenamento ou uma
operação indevida do usuário. Tem-se agora a ameaça de ataques via rede,
podendo haver roubo das informações ou vandalismos que as destruam, além
de técnicas de negação de serviço impedindo o acesso aos dados.
Outra grande fonte de ameaça é o ataque interno, que muitas vezes é até mais
difícil de ser contido devido ao nível de acesso e a proximidade que o atacante
tem à rede e aos seus recursos físicos. Neste caso, como resolver o problema
de permitir o acesso a certas informações aos usuários autorizados e,
simultaneamente, como negar o acesso aos usuários não autorizados? Essa
questão remete a outra: O que precisa ser protegido, contra quem e como?
2.2 Técnicas de ataque
De acordo com Stallings, os ataques à segurança dos sistemas de
computadores e redes de computadores podem ser mais bem caracterizados
através da visualização da função dos sistemas de computadores como
provedores de informação. Desta forma um fluxo de comunicação entre uma
fonte e um destino pode ser representado pelo item (a) da Figura 1
(STALLINGS, 1998).
Figura 1. Ataques à segurança da informação.
17
Partindo desta representação, quatro categorias gerais de ataques são
definidas: interrupção, interceptação, modificação e fabricação. Estes grupos
estão representados na figura 1, entre os itens (b) e (e).
•
Interrupção: Um ativo do sistema se torna indisponível ou não utilizável.
Esse ataque é contra a disponibilidade. Por exemplo, um ataque de
negação de serviço.
•
Interceptação: Um usuário não autorizado obtém acesso ao fluxo de
informações, podendo inclusive ser capaz de entender as informações
transmitidas. Esse ataque é contra a confidencialidade. Por exemplo,
interceptação de uma comunicação criptografada para o qual o atacante
possui mecanismos para decriptar a comunicação.
•
Modificação: Um usuário não autorizado captura o fluxo de informações,
modifica seu conteúdo para em seguida enviá-lo para o destino. Esse
ataque é contra a integridade. Também conhecido como ataque “man-inthe-middle”.
•
Fabricação: Um usuário não autorizado estabelece um fluxo de
informação entre ele e o destino, fazendo-se passar pela fonte. Este
ataque é contra a autenticidade. Por exemplo, roubo de senhas de um
sistema seguido de estabelecimento de uma comunicação.
Um modelo de segurança em redes de computadores também é
apresentado por Stallings, e representa diversas informações, sistemas e
protocolos que estarão envolvidos na segurança do fluxo de informações,
como pode ser visto na figura 2 (STALLINGS, 1998).
18
Figura 2. Modelo de Segurança de Redes.
2.3 A norma NBR ISO/IEC 17799:2005
A norma ABNT NBR ISO/IEC 17799:2005 estabelece diretrizes e princípios
para iniciar, implementar, manter e melhorar a gestão de segurança da
informação em uma organização. Segundo ela, a segurança da informação é a
proteção da informação de vários tipos de ameaças para garantir a
continuidade do negócio, maximizar o retorno sobre os investimentos e as
oportunidades de negócio. Essa segurança é obtida através da implantação de
controles
adequados,
políticas,
processos,
procedimentos,
estruturas
organizacionais e funções de software e hardware (ALASI, 2006).
É consenso das normas da área que os objetivos gerais da segurança da
informação visam preservar a confidencialidade, integridade e disponibilidade
da informação.
•
Confidencialidade: tem o objetivo de garantir que apenas pessoas
autorizadas tenham acesso à informação. Essa garantia deve ser obtida
19
em todos os níveis, desde a geração da informação, passando pelos
meios de transmissão, chegando a seu destino e sendo devidamente
armazenada ou, se for necessário, destruída sem possibilidade de
recuperação. Esse processo tende a ser mais dispendioso, quanto maior
for a necessidade de proteção da informação e, quanto maior for o valor
da informação a ser protegida. Modernos processos de criptografia
aliados a controles de acesso são necessários nessa etapa.
•
Integridade: O objetivo da integridade é garantir que a informação não
seja alterada, a não ser por acesso autorizado. Isso significa dizer que
uma informação íntegra não é necessariamente uma informação correta,
mas sim que ela não foi alterada em seu conteúdo. Esse processo é a
proteção da informação contra modificações não autorizadas ou
acidentais.
•
Disponibilidade: Garantir que a informação sempre poderá ser acessada
quando for necessário. Esse objetivo é conseguido através da
continuidade de serviço dos meios tecnológicos, envolvendo políticas de
backup, redundância e segurança de acesso. De nada adianta ter uma
informação confiável e íntegra se ela não está acessível quando
solicitada.
2.4 Técnicas de segurança
Criptografia
A confidencialidade e privacidade são quesitos importantes quando o
assunto é segurança. Entretanto, indivíduos podem roubar informação que é
considerada crítica para uma pessoa ou uma organização. Se uma
organização faz uma descoberta nova e quer guardar esta informação em
um servidor, será necessário criar mecanismos para protegê-lo. Também é
necessária a proteção de todo o meio que envolve a transferência desta
informação para um outro servidor. As redes de comunicação normalmente
são inseguras, submetendo a informação que trafega a ameaças passivas e
ativas. Uma ameaça passiva é aquela na qual o invasor intercepta a
20
informação para ver seu conteúdo. Uma ameaça ativa é aquela na qual o
invasor modifica a informação interceptada.
Uma forma de proteger esta informação contra ameaças passivas e/ou
ativas chama-se criptografia.
De acordo com Kurose, criptografia é uma técnica que permite que um
remetente codifique os dados de modo que um intruso não consiga obter
nenhuma informação dos dados interceptados. Apenas o destinatário da
mensagem deve estar habilitado a recuperar os dados originais a partir dos
dados codificados (KUROSE, 2005).
Segundo Laudon, uma mensagem pode ser criptografada aplicando-se um
código secreto chamado de chave criptográfica (LAUDON, 1999).
A
criptografia
é
usada
para
prover
serviços
como
autenticação,
confidencialidade e integridade.
Criptografia de chave simétrica
A criptografia simétrica é aquela onde a chave secreta de encriptação e
decriptação é a mesma, ou seja, ambos remetente e destinatário da
comunicação devem possuir a mesma chave secreta para conseguir
embaralhar e desembaralhar os dados e extrair a informação útil. Essa
técnica é mais rápida do que a criptografia de chaves assimétricas. Porém, a
troca ou o processo de informar ao interlocutor qual a chave secreta pode
ser inseguro, o que pode comprometer todo o processo de confidencialidade.
Criptografia de chave assimétrica
Esse método criptográfico utiliza pares de chaves, sendo uma pública e
outra privada. As chaves são matematicamente relacionadas, de forma que
os
dados
criptografados
com
uma
chave
somente
podem
ser
descriptografados utilizando-se a outra chave. Essa técnica resolve o
problema da transmissão da chave criptográfica que ocorre no método
simétrico. Porém, a criptografia assimétrica é mais onerosa do ponto de vista
21
computacional, dado que, geralmente, requer mais processamento para
encriptar os dados. Entre vários algoritmos existentes destacam-se o RSA e
o SSL (LAUDON, 1999).
Assinatura digital
É um conjunto de procedimentos matemáticos realizados com a utilização de
técnicas de criptografia de chaves públicas, que permite, de forma única e
exclusiva, a comprovação da autoria de um determinado conjunto de dados
de computador (um arquivo, um e-mail ou uma transação). A assinatura
digital comprova que a pessoa criou ou concorda com um documento
assinado digitalmente, como a assinatura de próprio punho comprova a
autoria de um documento escrito. Exatamente como acontece com as
assinaturas por escrito, a assinatura digital deve ser verificável, não
falsificável e incontestável (KUROSE, 2005).
Existem diversos métodos para assinar digitalmente documentos, e estes
métodos estão em constante evolução. Porém de maneira resumida, uma
assinatura típica envolve dois processos criptográficos, o hash (resumo) e a
encriptação deste hash.
Em um primeiro momento é gerado um resumo criptográfico da mensagem
através de algoritmos de resumo, que reduzem qualquer mensagem sempre
a um resumo de mesmo tamanho. A este resumo criptográfico dá-se o nome
de hash.
Após gerar o hash, ele deve ser criptografado através de um algoritmo de
chave pública, para garantir a autenticação e o não-repúdio. O autor da
mensagem deve usar sua chave privada para assinar o hash e armazená-lo
junto à mensagem original.
Para verificar a autenticidade do documento, deve ser gerado um novo
resumo a partir da mensagem que está armazenada, e este novo resumo
deve ser comparado com a assinatura digital. Para isso, é necessário
22
descriptografar (através da chave privada) a assinatura obtendo o hash
original. Se ele for igual ao hash recém gerado, a mensagem está integra.
Funções de HASH
De acordo com Kurose, dado que a sobrecarga de criptografia e decriptação,
e que nem sempre é necessário encriptar toda a mensagem, algoritmos de
resumo da mensagem são utilizados para garantir autenticidade e
integridade dos dados. Um algoritmo de resumo de mensagem é um tipo de
função de HASH, assim como somas de verificação (checksum) e
verificações de redundância cíclica (KUROSE, 2005).
Um resumo de mensagem é muito parecido com uma soma de verificação.
Esses algoritmos pegam uma mensagem m, de comprimento arbitrário e
calculam uma “impressão digital” dos dados, com comprimento fixo. O
resumo da mensagem protege os dados, já que se m for modificado para m'
(intencionalmente ou por acidente), então a mensagem H(m) processada
para os dados originais não combinará com H(m') processada sobre os
dados modificados, garantindo assim a integridade da mensagem (KUROSE,
2005).
Para garantir a autenticidade, ao invés de assinar digitalmente toda a
mensagem, o remetente pode assinar apenas o resumo, o que é bem menos
oneroso do que a primeira opção, e resulta no mesmo nível de confiabilidade
na autenticidade da mensagem.
Existem diversos algoritmos de cálculo de resumo de mensagens. Os mais
conhecidos e utilizados atualmente são o MD5 de Ron Rivest, que gera
resumos de 128bits, e o SHA-1 (Secure Hash Algorithm), que é considerado
ainda mais forte por produzir resumos de 160bits.
Segundo Ron Rivest, a dificuldade de produzir duas mensagens MD5 que
tenham o mesmo resumo é da ordem de 264 operações, e que a dificuldade
23
de produzir qualquer mensagem que tenha determinado resumo é da ordem
de 2128 operações (KUROSE, 2005).
SSH
Desenvolvido pela empresa SSH Communications Security, “Secure Shell”
ou SSH é, simultaneamente, um conjunto de programas de arquitetura
cliente-servidor e um protocolo de rede. Permite a conexão com outro
computador na rede, de forma a executar comandos de uma unidade
remota. Possui as mesmas funcionalidades do TELNET, com a vantagem de
toda a comunicação - incluindo autenticação - entre o cliente e o servidor ser
cifrada. Utiliza algoritmos criptográficos para prover autenticação forte e
comunicação segura sobre canais inseguros (SSH, 2007).
OPENSSH
É a implementação do conjunto de programas/protocolo SSH, porém em
código-aberto. O OpenSSH inclui programas cliente e servidor para shell
remoto (ssh e sshd), cópia segura (scp), FTP seguro (sftp e sftp-server),
além de outros programas auxiliares. Possui duas versões: uma nativa para
o OpenBSD, e uma versão multi-plataforma. Foi desenvolvido pelo projeto
OpenBSD (WEBOPEDIA, 2007).
SCP
SCP significa “Secure Copy”. É um programa de cópia segura de arquivos
remotos baseado no SSH.
Utiliza os mesmos mecanismos de criptografia
para autenticação e para prover transferências de dados através de um
canal seguro de comunicação. Foi originalmente desenvolvido para o
OpenBSD, porém foi portado para diversos outros sistemas operacionais
(SCP, 1999).
24
VSFTP
É um servidor de FTP seguro para sistemas baseados em Unix, como o
Linux. É baseado em técnicas de criptografia de chaves públicas e de
chaves simétricas para prover mecanismos de autenticação e transferência
de dados segura (VSFTP, 2007).
GPG
Também conhecido como GnuPG (GNU Privacy Guard), o GPG é uma
implementação
do
sistema
OpenPGP,
definido
pela
RFC2440,
e
desenvolvido pelo projeto GNU. Permite a encriptação e assinatura digital de
dados. É um conjunto de ferramentas (programas) e bibliotecas disponíveis
sob a licença GPL, e portando, totalmente de código aberto (GPG, 2007)
TAR
Abreviação de Tape Archive, TAR é um programa utilitário que concatena
(agrupa) um grupo de arquivos em um único arquivo, preservando datas,
permissões e estrutura de diretórios. O arquivo resultante se chama tarfile ou
tarball, e possui a extensão “.tar”. Muito utilizado para backups, o programa
TAR pode ser utilizado para concatenar arquivos em disco ou para manipular
arquivos em fitas magnéticas. O TAR não compacta arquivos de dados,
apenas agrupa. Freqüentemente, algoritmos de compactação como o GZIP
ou BZIP2 são utilizados em conjunto com o TAR (TAR, 2004).
GZIP
GZIP é a abreviação de GNU Zip, um software-livre de compressão sem
perda de dados que foi criado por Jean-loup Gailly e Mark Adler. O programa
é baseado no algoritmo DEFLATE. A extensão gerada pelo gzip é o .gz, e
seu formato contém apenas um arquivo compactado. Em sistemas UNIX é
comum gerar um arquivo contendo diversos outros arquivos com o programa
tar, e depois compactá-lo com o gzip, gerando um arquivo “.tar.gz”. O
formato do arquivo gerado pelo gzip é descrito nas RFCs 1951 e 1952
(GZIP, 2007).
25
BZIP2
Desenvolvido por Julian Seward desde 1996, bzip2 é um programa/algoritmo
de código-aberto (software-livre) para compactação de dados. Possui
melhores taxas de compactação em comparação com o gzip.
Porém, a
maior vantagem do bzip2 é o suporte a recuperação parcial de arquivos em
mídias danificadas, pois compacta arquivos em blocos independentes,
tipicamente de 900 kbytes. (BZIP2, 2007).
GNU
O Projeto GNU foi iniciado em 1984 para desenvolver um sistema
operacional completo, compatível com o Unix, que fosse software livre: o
sistema GNU. (GNU é um acrônimo recursivo para “GNU Não é Unix”).
Variantes do sistema operacional GNU, que incluem o kernel Linux, são hoje
amplamente utilizadas; embora estes sistemas sejam freqüentemente
chamados de “Linux”, eles seriam mais corretamente chamados de sistemas
GNU/Linux. A principal patrocinadora do projeto GNU é FSF - Free Software
Foundation (GNU, 2007).
GPL
GNU (General Public License) ou Licença Pública Geral, GNU GPL ou
simplesmente GPL, é a designação da licença para software livre no âmbito
do projeto GNU da Free Software Foundation (SOFTWARE LIVRE, 2007).
A GPL é a licença com maior utilização por parte de projetos de software
livre, em grande parte devido à sua adoção para o Linux.
Em termos gerais, a GPL baseia-se em 4 liberdades:
1) A liberdade de executar o programa, para qualquer propósito (essa é a
liberdade nº 0).
2) A liberdade de estudar como o programa funciona e adaptá-lo para as
suas necessidades (liberdade nº 1). O acesso ao código-fonte é um prérequisito para esta liberdade.
26
3) A liberdade de redistribuir cópias de modo que você possa ajudar ao seu
próximo (liberdade nº 2).
4) A
liberdade
de
aperfeiçoar
o
programa,
e
liberar
os
seus
aperfeiçoamentos, de modo que toda a comunidade beneficie deles
(liberdade nº 3). O acesso ao código-fonte é um pré-requisito para esta
liberdade.
Com a garantia destas liberdades, a GPL permite que os programas sejam
distribuídos e reaproveitados, mantendo, porém, os direitos do autor de
forma a não permitir que essa informação seja usada de uma maneira que
limite às liberdades originais. A licença não permite, por exemplo, que o
código seja “confiscado” por outra pessoa, ou que sejam impostos sobre ele
restrições que impeçam a distribuição do código da mesma maneira que foi
adquirido. (WIKIPEDIA, 2007).
LINUX
Linux refere-se a qualquer sistema operacional que utiliza o núcleo Linux. É
um dos mais proeminentes exemplos de desenvolvimento com código aberto
e de software livre conhecidos: seu código fonte está disponível para
qualquer pessoa utilizar, estudar, modificar e distribuir livremente.
Inicialmente desenvolvido e utilizado por nichos de entusiastas em
computadores pessoais, o sistema Linux passou a ter a colaboração de
grandes empresas.
É geralmente considerado o núcleo ("coração", do inglês kernel) do sistema
operacional (S.O). Entretanto, pode ser considerado o próprio S.O, quando
este é definido como gerenciador de recursos de hardware. Nos meios de
comunicação, Linux refere-se ao sistema completo, incluindo o núcleo Linux
e outros programas de sistema. Sistemas completos construídos em torno do
kernel Linux majoritariamente utilizam o sistema GNU que oferece um
interpretador
de
comandos,
utilitários,
bibliotecas
e
compiladores
(WIKIPEDIA, 2007).
27
3 - CONCEITOS DE BACKUP
Os backups são cópias de segurança dos dados dos sistemas computacionais.
Em outras palavras, são salvaguardas de dados de sistemas operacionais,
softwares aplicativos, bancos de dados, arquivos de usuários e quaisquer
outros tipos de informações digitais que se julga importante ou que foram
acordados através de um SLA2, e que não podem ser perdidas ou corrompidas.
São executadas por processos computacionais de acordo com a estratégia
própria da instituição, denominada política de backup. Caso haja um incidente
de segurança, um desastre físico ou um incidente lógico, o backup deve ser
utilizado para restaurar os dados da última cópia consistente salva, no menor
tempo possível, dentro do prazo previsto no SLA.
O objetivo principal dos backups é garantir a disponibilidade da informação.
Isso coloca a política de backup como um processo extremamente importante
no contexto de segurança dos dados de uma empresa, e devem ser praticadas
por todas, independentemente do porte e da atividade da mesma (MOREIRA,
2001)
2
SLA: Acordo de Nível de Serviço (Service Level Agreement). É um contrato entre cliente e fornecedor de
serviços que especifica detalhes do serviço prestado, como o tempo de resposta que um determinado fornecedor
responderá à solicitação da organização em casos de emergência (FERREIRA, 2006), suporte técnico,
substituições de hardware, performance de um sistema, de rede, penalidades caso descumprimento e etc.
(WEBOPEDIA, 2006).
28
3.1 Métodos de backup
Os métodos de backup determinam como a salvaguarda é realizada em
relação aos dados que serão copiados, considerando o sistema de produção
em execução ou inativo.
Backup on-line
Backups On-line são aqueles realizados quando os sistemas e os serviços
estão on-line, em execução. Geralmente são utilizados para sistemas que
devem estar 24 horas por dia em funcionamento, como servidores de correio
eletrônico e aplicações para a Internet como portais e sítios.
Algumas vantagens do backup on-line são:
•
Não há interrupção de serviços: As aplicações e os dados dos usuários
permanecem completamente disponíveis
•
Não requer operações “noturnas”: As operações de backup podem ser
agendadas para qualquer horário desejado, não requerendo horário
especial para realização.
Desvantagens do backup on-line incluem:
•
Performance: Durante o processo de backup pode ocorrer degradação
de performance dos servidores de produção e da rede;
•
Confiabilidade: Dependendo da aplicação ativa durante o processo de
backup, arquivos abertos podem não ser copiados.
Backup off-line
Backups off-line são aqueles realizados quando o sistema e os serviços não
estão sendo executados. São utilizados quando se deseja evitar que arquivos
abertos não sejam copiados e/ou quando a aplicação não suporta operações
de backup on-line. Também são utilizados quando se deseja evitar a
degradação de performance dos servidores ou da rede.
29
Algumas vantagens do backup off-line são:
•
Performance: Backups off-line resultam em melhor performance, pois os
servidores de produção e a rede podem estar dedicados à tarefa de
backup;
•
Confiabilidade: Todos os arquivos são copiados, já que não há aplicações
rodando que impeçam a salvaguarda de arquivos abertos.
Desvantagens principais:
•
Interrupção de serviço: Durante o processo de backup, os sistema e
serviços indisponíveis para os usuários;
•
Requer operações “noturnas”: As operações de backup geralmente são
agendadas para horários diferentes da produção, normalmente durante a
noite ou madrugada, o que pode não ser uma desvantagem dada a
possível automatização do processo.
3.2 Tipos de backup
Existem três técnicas básicas de backup de dados, que podem ser combinados
com os métodos de backup on-line e off-line. São os tipos backup completo,
incremental e diferencial. A decisão sobre qual técnica adotar deve ser
analisada considerando os requisitos do SLA, a janela de tempo de execução
do backup, a complexidade e o tempo total necessário para uma restauração.
Backup completo
O backup completo é aquele onde, pelo menos, todos os dados importantes do
sistema operacional, das aplicações e dos usuários são sempre copiados. Um
único backup completo pode ser utilizado para restaurar todos os dados de um
servidor em um dado espaço no tempo.
30
Algumas vantagens do backup completo incluem:
•
Simplicidade do processo: Um backup completo é mais simples de ser
implementado e executado. Além disso, significa uma fácil disponibilidade
de todos os dados caso uma recuperação se faça necessária;
•
Rápido acesso aos dados: Em uma restauração de dados, não existe a
necessidade de buscar nem manipular diversas mídias diferentes, pois
um backup completo inclui todos os dados em um ponto particular do
tempo.
Algumas desvantagens do backup completo incluem:
•
Redundância de dados: Um backup completo armazena muitos dados
redundantes, pois todos os dados sempre são copiados, mesmo se não
foram modificados desde a última cópia. Essa característica implica em
maiores arquivos de backup e, conseqüentemente, maior consumo de
espaço em mídia.
•
Consumo de tempo: Backups completos são mais longos, pois
consomem maior tempo de total de execução.
Backup incremental
Backup incremental é um tipo de backup parcial, pois copia apenas os dados
que sofreram modificação desde o último backup completo ou incremental.
Para realizar uma restauração completa, são necessários o último backup
completo e todos os arquivos de backup incrementais subseqüentes.
Vantagens dos backups incrementais incluem:
•
Uso mais eficiente do tempo: O processo de backup incremental pode ser
mais rápido porque uma quantidade menor de arquivos é copiada, visto
que apenas os dados que sofreram modificação desde o último backup
completo ou incremental são salvaguardados.
31
•
Melhor aproveitamento da mídia: Backups incrementais ocupam menos
espaço em disco porque não há cópia de dados redundantes.
Principais desvantagens dos backups incrementais são:
•
Restauração complexa: O processo de restauração total ou parcial de
dados pode envolver um conjunto de múltiplos arquivos e mídias, o que
pode tornar o processo mais dispendioso, demorado e complexo.
•
Mais sensível à falhas das mídias: A falha de uma das mídias do conjunto
em um processo de restauração pode comprometer toda a restauração
de uma aplicação ou arquivos de usuários.
Backup diferencial
Um backup diferencial é um tipo de backup parcial que captura dados que
foram modificados desde o último backup completo. Para efetuar uma
restauração utilizando esse tipo de backup, o último backup completo e o mais
recente backup diferencial são requeridos.
Vantagem:
•
Restaurações rápidas: A principal vantagem do backup diferencial em
relação ao tipo incremental é a velocidade de restauração. Uma
restauração completa requer basicamente duas mídias: o último backup
completo e o último backup diferencial. Isso torna o processo menos
dispendioso e menos susceptível a erros.
Algumas desvantagens:
•
Backups maiores: Backups diferenciais requerem mais espaço em mídia
e mais tempo do que backups incrementais, dado que quanto mais antigo
for o último backup completo, mais dados deverão ser copiados para a
mídia.
32
•
Tendência a aumento do tempo: A quantidade de dados que devem
sofrer o processo de backup tende a aumentar a cada dia depois do
backup completo.
3.3 Armazenamento externo
Catástrofes artificiais, naturais, furtos e manuseio indevido são apenas algumas
das ameaças que colocam em risco os dados em produção e de backup. Por
isso, as organizações realizam o armazenamento externo das mídias, fora das
dependências físicas originais, em local adequado e seguro.
Esse armazenamento pode ser realizado pela própria instituição ou por uma
empresa especializada nesse este serviço. Nesse segundo método, o
procedimento para realização de recuperação ou testes, deve-se utilizar meios
formalizados e seguros de contato com a empresa que efetua seu
armazenamento, direcionando-os para a localidade principal ou alternativa
(FERREIRA, 2001).
Independente do método adotado, uma relação mínima de critérios deve ser
seguida para a escolha do local de armazenamento:
•
Área geográfica: distância da organização e sua localidade alternativa em
relação ao local do armazenamento. Deve-se avaliar o local em função do
risco de um mesmo desastre acontecer na organização (servidores de
produção) e na localidade externa;
•
Ambiente: controles de variáveis ambientais como, por exemplo,
temperatura, umidade, sistemas de detecção e combate a incêndio, livre
de campos magnéticos. O ambiente deve estar em conformidade com as
especificações de armazenamento dos fabricantes das mídias. Essas
recomendações também se aplicam ao transporte das mesmas.
•
Acesso às mídias: o tempo necessário para movimentar os dados da
localidade externa até a organização deve ser o mais curto possível. Além
33
disso, o acesso ao local deve ser permitido em qualquer hora e dia da
semana;
•
Segurança: aspectos relacionados a segurança física, ao transporte e ao
armazenamento das informações – segurança física. O local deve ter
controle de acesso e preferencialmente um cofre resistente a incêndio. Os
acessos devem ser registrados e o transporte deve ser realizado de forma
segura.
•
Custo: custos de movimentação dos backups, taxas operacionais e
serviços relacionados à recuperação e resposta a desastres.
Devido a diversas características de uso e manipulação das mídias, sejam elas
óticas ou magnéticas, a utilização das mesmas deve obedecer a alguns
critérios para garantir a qualidade e saúde dos dados gravados:
•
MTBF (Mean Time Between Failures): cada tipo de mídia possui um
tempo médio de vida útil específico, tanto para leitura, gravação e
regravação, quanto para armazenamento estático. É importante respeitar
as especificações dos fabricantes e não exceder os limites indicados
para não colocar em risco os dados.
•
Qualidade: a escolha de uma mídia com custo muito baixo ou de
fabricantes pouco conhecidos é um risco. Recomenda-se optar por
fabricantes reconhecidos e mídias de qualidade para minimizar riscos de
falha de gravação e leitura, que podem inutilizar o backup.
•
Identificação: a identificação das mídias no local de armazenamento deve
ser um trabalho meticuloso. O conteúdo e data da última gravação deve
sempre constar na etiqueta da mídia.
Tipos de fitas magnéticas mais comuns
As fitas magnéticas são o tipo de mídia mais utilizada para backups, por serem
de baixo custo e de grande capacidade de armazenamento. Na Tabela 1
abaixo pode ser visto um resumo comparativo dos tipos de fitas.
34
• DLT
É o formato de fita mais utilizado atualmente. O hardware para esse tipo
de fita pode transferir dados para a mídia até 12 MB/segundo.
Geralmente possuem capacidade de 40/80 Gbytes de dados.
•
Super DLT (SDLT)
É uma versão mais nova do padrão DLT. Possui maior capacidade e
velocidade de transferência. Pode transferir a 36MB/s e armazenar 220,
320 ou 600 Gbytes atualmente.
• LTO (Linear Tape Open)
O padrão LTO foi desenvolvido por um consórcio entre a IBM, Seagate e
HP. Suporta dois formatos: Accelis e Ultrium.
Accelis está em
desenvolvimento e será projetada para aplicações que precisam de
excepcional rápido tempo de acesso. O formato Ultrium é o mais
comum, e é uma alternativa ao padrão DLT. Possui capacidade de até
200 Gbytes de dados atualmente.
Formato
Capacidade Nativa
Capacidade
Taxa de transferência
(GB)
compactada (GB)
máxima (MBps)
DLT
40
80
6-10
SDLT 220
110
220
22
SDLT 320
110
320
32
SDLT 600
300
600
36
LTO
100
200
20-40
Tabela 1: Fitas magnéticas
35
3.4 Extravio de backup – casos reais
Em maio de 2005, vários sítios na Internet noticiaram que uma fita de backup
do banco americano Citibank foi extraviada quando a empresa UPS
transportava a mídia. O backup possuía dados de cerca de 4 milhões de
clientes e não estava criptografado, segundo admitiu a própria empresa
(ORLOWSKI, 2005).
Muitos outros casos de extravio e roubo de mídias de backup de outras
instituições também já foram relatados. Em abril de 2005, uma firma financeira
americana divulgou através de seu porta-voz que uma fita de backup contendo
informações acerca de 200.000 mil clientes foi perdida. Essa notícia foi
publicada pelo britânico site The Register com o título: “Fitas de backup são
porta dos fundos para roubo de contas” (LEMOS, 2005).
Em outro caso, o banco “Bank of America” perdeu uma fita de backup contendo
um grande número de informações de contas e cartões de crédito do governo
(LEMOS, 2005).
É possível imaginar que diversos casos de extravio de mídias ocorrem em
muitas empresas, todos os anos. Porém, parece evidente que muitas
organizações estão apenas preocupadas com a segurança de seus sistemas,
dos bancos de dados e da rede. Porém, podem estar vulneráveis no que se
refere ao armazenamento das cópias de segurança, principalmente as mídias
removíveis, o que compromete todo o aparato tecnológico de segurança e
investimento utilizados. Mecanismos de criptografia e assinatura digital
aplicado aos dados críticos de backup são fundamentais para a garantia do
sigilo e autenticidade dos dados.
36
4 - UMA PROPOSTA DE SISTEMA DE BACKUP SEGURO NO
LINUX
Em Fundamentos da Segurança da Informação, foram apresentados os
principais conceitos de segurança da informação, sobretudo a importância da
garantia
da
confiabilidade,
integridade,
disponibilidade,
não-repúdio
a
informação. Foram apresentados também principais ameaças e riscos aos
dados. Foram revistas as principais técnicas de segurança da informação que
garantem sigilo aos dados e asseguram autenticidade.
Já nos Conceitos de Backup, foram abordados os modos e tipos de backup
mais comuns. Também foram descritos métodos e técnicas de backup
existentes. Ainda em relação a cópias de segurança, foram relatados alguns
casos reais de extravio de dados importantes de usuários por grandes
instituições, o que foi amplamente noticiado pela mídia em geral.
O presente capítulo apresenta uma discussão sobre a arquitetura e o modelo
de um sistema de backup seguro no Linux.
4.1 Uma arquitetura em níveis
O modelo proposto divide a arquitetura de armazenamento das cópias de
segurança em três níveis discretos e baseados no tempo: Retenção de curtoprazo, de médio-prazo e de longo-prazo. Essa arquitetura pode ser vista na
Figura 3. O objetivo da estrutura em níveis é segmentar o sistema em partes
menores e bem definidas, facilitando assim a implementação e otimização do
sistema.
37
Figura 3. Estrutura em níveis.
Deve-se salientar que os valores de vinte e quatro horas (curto-prazo) e de
sete dias (médio-prazo) são apenas sugestões e servem como referência.
Cada organização deve definir seus prazos, conforme as suas necessidades.
Os elementos que formam cada nível são definidos com a seguinte
nomenclatura:
a) Servidores de Produção. São os servidores que precisam ter os dados
salvos em backup. São os servidores de aplicação, bancos de dados,
servidores web, correio eletrônico, de arquivos etc. Estão situados no
primeiro nível, retenção de curto-prazo.
b) Servidor Concentrador de backups. É um elemento centralizador dos
backups. O objetivo desse servidor é a centralização de cópias de backup
dos demais servidores, administração dos recursos de segurança e a
gerência de todo o sistema. Esse servidor deve possuir unidades de leitura
e gravação de mídias removíveis. Está situado no segundo nível da
estrutura de retenção de médio-prazo.
c) Mídias
Removíveis
ou
mídias
externas.
São
dispositivos
de
armazenamento em massa próprios para backup. Podem substituir as fitas
magnéticas. Também podem ser utilizados discos ópticos ou discos
38
magnéticos externos. Após a salvaguarda das informações, em pelo menos
duas cópias iguais, uma dessas mídias devem ser transportadas para uma
fitoteca (ou discoteca) externas ao prédio da organização. São os
elementos do terceiro nível da estrutura de retenção de longo-prazo.
4.1.1 Primeiro nível – retenção de curto-prazo
O primeiro nível refere-se ao próprio disco rígido do servidor de produção. A
proposta é armazenar os dados do último backup. O tempo de vida sugerido
dessa salvaguarda é de 24 horas. Esse nível não objetiva o armazenamento
duradouro dos dados, já que estão em um mesmo e único ponto de falha físico
e lógico: mesmo servidor e mesmo(s) disco(s).
O objetivo desse nível é prover uma redundância inicial voltada para
restauração ágil de perdas parciais ou corrupção de dados, gerados por erros
das pessoas ou falhas nos sistemas e/ou equipamentos. Esse nível permite a
uma rápida restauração dos dados do último backup, pois os dados estão
nesse servidor e não precisam ser transferidos de um computador para outro
pela rede.
Apesar de desejável, esse nível é opcional, pois nem sempre será possível
dispor de espaço em disco necessário para a salvaguarda. Porém,
considerando o baixo custo por byte dos discos rígidos atuais, recomenda-se à
implementação desse nível.
4.1.2 Segundo nível – retenção de médio-prazo
Esse nível está situado no servidor concentrador de backups. O objetivo desse
nível é centralizar os backups dos servidores de produção (primeiro nível) e
proporcionar a redundância dos dados por aproximadamente sete dias.
Em conseqüência das múltiplas cópias dos servidores de produção, o servidor
concentrador deve ser dotado de generoso espaço em disco. O espaço
39
disponível em disco deve ser maior que o tamanho total agregado do backup
de um dia de todos os servidores de produção, multiplicado pelo período
(recomendação de sete dias) adotado no médio-prazo. É sugerida uma
margem de folga, pois com o aumento natural do tamanho dos backups dos
servidores de produção, o espaço disponível desse servidor deve contemplar
uma margem de folga. É recomendada uma folga mínima do tamanho do maior
backup dentre os servidores de produção existentes.
4.1.3 Terceiro nível – retenção de longo-prazo
Esse nível busca armazenar de forma mais duradoura as cópias de segurança
em mídias removíveis. É proposta a execução de no mínimo duas cópias
idênticas para cada backup. Uma dessas mídias deve ser armazenada fora da
organização, em ambiente seguro e adequado. Essa medida tem o objetivo de
evitar perda de dados causada por incêndios, terremotos ou qualquer outra
situação inesperada que possa danificar o backup. Com isso, a probabilidade
de ocorrer um evento inesperado que cause a perda de dados em ambos os
backups será mínima, pois os dados estarão em locais diferentes.
A gravação dessas mídias pode ser realizada por unidades próprias localizadas
no servidor concentrador. Além disso, é recomendada a rotatividade das mídias
para evitar desgastes excessivos (no caso de mídias regraváveis). O tipo de
mídia - geralmente fitas magnéticas ou discos óticos – deve ser escolhido de
acordo com a importância e necessidade da disponibilidade das informações
(FERREIRA, 2003).
4.2 O modelo lógico inicial baseado em níveis
Fundamentado na arquitetura em três níveis, o modelo lógico inicial,
diagramado na Figura 4, mostra o servidor concentrador como o elemento
central do sistema e do processo. Os servidores de produção armazenam suas
cópias de segurança nos próprios discos magnéticos, caracterizando a
retenção de dados de backup em curto-prazo (fluxo 1 da Figura 4). Depois,
enviam uma cópia do backup para o servidor concentrador, caracterizando a
40
cópia do backup destinada à retenção de médio-prazo (fluxo 2 da Figura 4).
Por conseguinte, o servidor concentrador grava os mesmos arquivos de backup
nas mídias removíveis, para retenção de longo-prazo (fluxo 3 da Figura 4) .
Figura 4. Um modelo baseado em níveis.
4.2.1 Propriedades de um modelo seguro de backup
O modelo seguro de backup deve assegurar as seguintes propriedades:
a) Confidencialidade: Essa propriedade define que somente as pessoas
autorizadas devem acessar os dados do backup, em qualquer nível, mesmo
se houver extravio de mídias. Envolve também a transferência dos dados
por canal seguro na rede, impossibilitando que informações sobre contas de
acesso, senhas e dados dos usuários possam ser capturadas durante a
comunicação.
b) Integridade dos dados de backup: Essa propriedade busca garantir que
os dados não sejam modificados ou fraudados. Os arquivos de backup
devem permanecer consistentes para uma eventual restauração.
41
c) Disponibilidade: Os dados devem estar disponíveis quando necessário,
sobretudo os armazenados na retenção de médio e longo-prazo. A busca
pela redução do custo temporal de restauração parcial ou completa de um
backup deve ser garantido nessa propriedade.
d) Não-repúdio: É a característica que busca garantir o acesso legítimo
aos arquivos criptografados em qualquer momento. Para isso, é necessário
um esquema de gerenciamento das chaves criptográficas.
Para garantir essas propriedades, faz-se necessário que os servidores de
produção e o servidor concentrador utilizem técnicas de criptografia, cálculo
de resumos de mensagens e assinatura digital sobre os arquivos de backup.
4.3 O modelo seguro de backup
Para o projeto de um modelo seguro de backups, algumas etapas bem
definidas e seqüenciais devem ser implementadas para garantir o objetivo
pretendido.
A seguir, será apresentado o processo lógico geral e suas respectivas fases.
São sugeridos alguns sistemas para auxiliar a implementação da solução
proposta. O profissional que deseja implementar essa solução deve selecionar
o sistema que melhor atende as especificidades do ambiente de rede utilizado
pela instituição.
4.3.1 Processo nos servidores de produção
Os servidores de produção devem realizar a concatenação, compactação e
encriptação dos dados. Além disso, ele deve calcular o resumo da mensagem
e enviá-la, por meio de um canal seguro de comunicação, para o servidor
concentrador dos backups.
42
a) Concatenação de dados
O objetivo é agregar todos os arquivos e diretórios a serem copiados em um
único arquivo. Em seguida, ele será compactado e criptografado. É sugerida
a utilização do programa TAR.
É sugerido que o arquivo compactado e criptografado não seja muito
grande. O ideal é que o arquivo não ultrapasse o tamanho de 1 Gb, pois
isso irá aumentar muito o tempo de restauração de dados parciais quando
necessário. Caso o arquivo tenha mais de 1 Gb, o ideal é que esse arquivo
seja dividido em arquivos menores.
Dentre as soluções disponíveis para solucionar esse problema é sugerida a
realização de múltiplas concatenações, divididas por diretórios de mais ato
nível, como por exemplo os diretórios /etc, /usr/, /home etc. Assim, serão
gerados vários arquivos menores. Porém, ainda persiste o risco da
existência de diretórios muito grandes, por exemplo o /home.
Um aprimoramento dessa abordagem seria a subdivisão desses em
arquivos menores (/home1, /home2, /homeN). Esse processo facilita a
restauração parcial de dados, pois reduz o tempo de transferência das
mídias externas de baixa velocidade como fitas magnéticas, porém adiciona
mais complexidade ao processo de concatenação e do controle nas mídias
removíveis sobre a localização dos arquivos gravados.
b) Compactação dos dados
O objetivo é reduzir o tamanho do arquivo concatenado. O algoritmo BZIP2
é o mais indicado nesse processo, pois além de possuir ótimo resultado de
compactação, cria blocos de dados que permitem recuperações parciais de
um
mesmo
arquivo,
caso
hajam
falhas
na
leitura
da
mídia.
Alternativamente, existem muitos outros algoritmos de compactação de
dados, como o amplamente utilizado GZIP.
43
c) Criptografia assimétrica
É um mecanismo primordial neste modelo. Um par de chaves assimétricas
(pública e privada) deve ser utilizado para o processo. A chave pública será
utilizada para encriptar os dados de backup nos servidores de produção.
Dessa forma, apenas o detentor da chave-privada (no caso o servidor
concentrador)
poderá
decriptar
os
dados,
garantindo
assim
a
confidencialidade dos mesmos. É um processo de cifragem forte, que pode
ser criado facilmente por meio do GPG ou do OpenSSL, ambos pacotes de
programas e bibliotecas disponíveis para o Linux e amplamente utilizados
pelos usuários e projetistas de software.
A criptografia assimétrica justifica-se e é mais adequada que a criptografia
simétrica nesse processo, pois no caso da última, a automatização do
processo não seria viável ou seria vulnerável, já que a chave (senha)
deveria ser passada em tempo de execução ou armazenada em texto claro
em algum momento.
Um par de chaves assimétricas deve ser criado no servidor concentrador de
backups. Após a criação do par (chaves pública e privada), a chave pública
deve ser disponibilizada para todos os servidores de produção para uso na
encriptação
dos
dados.
A
disponibilização
pode
ser um simples
armazenamento em disco nos servidores de produção ou transferência em
tempo de execução da mesma a partir do servidor concentrador.
Nesse processo, os arquivos já concatenados e compactados são
encriptados com a chave pública do concentrador.
d) Cálculo do resumo da mensagem
Importante mecanismo de verificação de integridade, os resultados podem
ser obtidos calculando o resumo dos arquivos de backup, após as fases de
concatenação, compactação e encriptação, gerando assim um segundo
arquivo com o resultado. Assim, caso haja alguma tentativa de fraudar ou
modificar o backup durante a transferência por rede, no armazenamento em
disco ou na mídia externa, o resultado do resumo será diferente quando
verificado, e será detectada violação da integridade.
44
Entre os diversos mecanismos de cálculo de resumo destacam-se o MD5 e
o SHA-1, sendo o último o mais indicado por produzir resumos de 160 bits,
considerados mais fortes.
Para que o próprio resumo não seja fraudado, deve-se assiná-lo com a
chave-privada do servidor concentrador, conforme descrito na seção
“Processo no Servidor Concentrador”.
e) Transferência para o servidor concentrador
A transmissão do arquivo de backup e de resumo deve ocorrer em um canal
seguro. O tradicional protocolo de transferência de arquivos FTP não é
recomendado visto que não possui nenhum mecanismo de segurança,
passando em texto claro os dados e senhas de acesso. O uso do serviço
SAMBA também não é recomendado para essa tarefa devido às mesmas
limitações. Indica-se utilizar implementações de transferências seguras do
tipo SCP (Secure Copy) ou SFTP (Secure File Transfer Protocol), que se
valem de métodos criptográficos para prover um canal seguro de
comunicação.
f) Registro em Log
O registro de todas as operações realizadas pelo sistema de backup é uma
questão crucial. Segundo (FERREIRA, 2003), os logs possibilitam o
acompanhamento da utilização da rede e de sistemas, e devem ser
freqüentemente monitorados.
A prática de registro em log é altamente difundida e implementada na ampla
maioria dos sistemas maduros, principalmente nos softwares livres. Esse
registro cria facilidades para a auditoria das operações e depuração de
problemas. Qualquer registro que parece incorreto, deve ser investigado
pois pode ser um sintoma de problemas. Para facilitar a análise, o padrão
de comportamento normal do sistema deve ser facilmente identificado para
evidenciar anomalias com maior rapidez.
45
Portanto, todas as fases descritas no sistema de backup seguro devem ser
registradas pelo sistema, tanto nos servidores de produção, como no
servidor concentrador. Os próprios logs devem ser considerados dados, e
devem ser salvaguardados.
4.3.2 Processo no servidor concentrador
O servidor concentrador deve oferecer suporte computacional para receber o
arquivo de backup já encriptado através da chave pública nos servidores de
produção. Deve também assinar digitalmente o resumo recebido, armazenar
uma cópia de ambos em área específica do próprio(s) disco(s), e realizar
gravação nas mídias externas. Sugerem-se os seguintes passos consecutivos
no elemento central:
a) Recebimento dos arquivos
Recebimentos do(s) arquivo(s) (backup e resumo) no disco rígido, através
dos serviços SSHd (pacote OpenSSH) ou VSFTPd que permitem
transferência segura dos dados, através de técnicas criptográficas. A
transferência dos servidores de produção para o concentrador poderá
ocorrer através das implementações do lado cliente SCP ou SFTP.
processo é ilustrado na Figura 5.
Figura 5: Transferência segura de dados
46
O
b) Assinatura digital
Conforme abordado no item “Cálculo do resumo da mensagem”, o resumo
(hash) deve ser calculado sobre os dados já cifrados, no servidor de
produção. Porém, existe ainda a possibilidade de fraude do próprio resumo.
Um atacante poderia forjar um arquivo de backup, cifrar com a chave
pública, e calcular o resumo desse arquivo falso, substituindo assim os
arquivos de backups legitimo.
Portanto, para evitar essa possibilidade de fraude do resumo, o servidor
concentrador deve valer-se da assinatura digital, criptografando a soma de
verificação recebida utilizando a chave-privada. Esse processo assina
digitalmente o resumo do arquivo, garantindo a integridade dos dados e
autenticidade do resumo, já que somente o concentrador detém a chave
privada. Opcionalmente pode-se realizar novo cálculo do resumo e
comparar com o recebido, antes da assinatura digital, para garantir que não
houve nenhuma falha, perda, alteração acidental ou intencional de bits
durante a transmissão dos dados pela rede. Uma vez cifrado o resumo com
a chave privada, deve-se armazená-lo em conjunto com o arquivo de
dados do backup, tanto no disco do concentrador (retenção de médioprazo) quanto nas mídias externas (retenção de longo-prazo).
Em um eventual processo de restauração de dados do backup, o resumo
criptografado deve ser decriptado com a chave pública do concentrador e
um novo resumo deve ser calculado sobre os dados do backup. Ao final do
cálculo, ambos resumos (decriptado e recalculado) devem ser comparados.
Caso haja divergência, houve violação da integridade do arquivo de
backup, causada por erros de leitura da mídia ou por fraude. Portanto, o
processo de assinatura digital do resumo da mensagem garante a
integridade dos dados do backup. Parágrafo muito grande.
c) Armazenamento em disco
Ao menos um disco rígido dedicado é recomendado. O objetivo desse nível é
permitir uma recuperação mais célere, dado que os dispositivos de
47
armazenamento
em
fitas
magnéticas,
caso
sejam
utilizadas,
são
extremamente lentos se comparados com discos magnéticos. O tempo total
de recuperação de dados também deve ser uma preocupação do
implementador, dado os acordos de nível de serviço definidos com os
clientes.
d) Armazenamento em mídia externa
Para realizar a retenção de dados de longo-prazo, uma cópia dos dados do
backup e do resumo deve ser armazenada nas mídias externas, geralmente
do tipo fitas magnéticas ou discos óticos, em pelo menos duas mídias
distintas. Ao menos uma dessas mídias deve ser armazenada em ambiente
externo à organização, visto que se permanecesse no mesmo prédio dos
servidores, estaria sujeita aos mesmos riscos de desastres físicos artificiais
ou naturais, como incêndios, terremotos, inundações e etc. Em outro local, o
risco de destruição de todos os dados simultaneamente é bastante mitigado.
O ambiente de armazenamento externo das mídias deve ser protegido o
bastante para armazená-las em segurança física, e deve ter parâmetros
periodicamente monitorados e controlados quanto ao excesso de umidade,
calor, presença de campos magnéticos e todas as demais recomendações
de uso do fabricante da mídia. Para reduzir o desgaste físico, as mídias
regraváveis devem ser rotacionadas constantemente, de forma que uma
mesma mídia não seja gravada por duas vezes consecutivas.
4.3.3 Diagrama lógico do modelo proposto
O processo geral do funcionamento lógico do modelo proposto para o
sistema de backup, sob o ponto de vista da estrutura em níveis e dos
mecanismos de segurança, é exibido na Figura 6:
48
Figura 6. O modelo lógico proposto.
Resumidamente, todo o processo inicia-se nos servidores de produção, que de
posse da chave pública, criptografam o arquivo de backup logo após a
concatenação e compactação, gerando o arquivo BackupX.enc(1). Após esse
processo, calculam o resumo do arquivo, gerando o arquivo ResumoX(1).
Então guardam uma cópia de ambos arquivos no próprio disco rígido
(denominado 1° nível), e envia uma cópia do mesmo para o servidor
concentrador, através de um canal seguro de transmissão(2). Ao receber os
arquivos, o servidor concentrador assina digitalmente o resumo, criptografando
o mesmo com a chave privada, gerando o arquivo ResumoX.enc. Armazena
ambos arquivos (BackupX.enc e ResumoX.enc) em área própria do disco rígido
(chamado de 2° nível), e transfere(3) uma cópia de ambos para as mídias
externas (denominado de 3° nível).
4.4 Topologia da rede local
A transferência de grandes massas de dados de backup pode impactar
diretamente na performance da rede local, e por isso, a topologia da LAN deve
ser adotada com critério e planejamento. Os diversos sistemas tendem a
concorrer pelo uso da rede, e quanto maior for o tráfego, menor é será a
performance e pior será o tempo de resposta para os usuários finais.
49
4.4.1 Topologia tradicional
O modelo físico tradicional (Figura 7) é baseado na topologia estrela de redes
locais, que é atualmente a topologia mais utilizada nas instituições
mundialmente. Também se tornaram padrões de facto a tecnologia Ethernet
(padrão IEEE 802.3, 10baseT) e as evoluções Fast Ethernet (IEEE 802.3u,
100baseT) e Gigabit Ethernet (IEEE 802.3ab e 802.3z, 1000baseT e
1000baseTx). Recomenda-se fortemente a adoção de um comutador no
mínimo 100baseT para interligar os servidores de produção e o concentrador
de backups, devido à grande quantidade de dados que as cópias de segurança
tendem a possuir.
Figura 7. Topologia física tradicional
Caso haja disponibilidade de apenas uma porta Gigabit Ethernet no comutador,
o concentrador deve ser conectado nela, visto que múltiplos servidores podem
precisar transferir dados de backup simultaneamente para o concentrador,
tornando a porta do mesmo um possível “gargalo”, caso não seja de velocidade
superior.
50
4.4.2 Impactos do tráfego concorrente de rede
Considerando a topologia acima descrita, o tráfego de rede do sistema de
backup, caso necessário, executar em horário de produção pode impactar
consideravelmente no tráfego de rede dos sistemas de produção e dos
usuários, visto que o volume dos arquivos de backup tende a ser bastante
grande. Além disso, uma eventual restauração do terceiro ou segundo nível
(servidor concentrador) para o primeiro (servidor de produção) também gerará
alto tráfego concorrente. Esse efeito colateral pode ser mitigado por meio de
uma rede local auxiliar para backup de dados.
4.4.3 Rede local auxiliar para backup de dados
A rede local auxiliar para backup de dados é inspirada na tecnologia das SANs
(Storages Area Networks). A idéia básica é disponibilizar uma segunda rede
local dedicada ao tráfego de backup, em paralelo à rede principal. Um exemplo
pode ser visualizado na Figura 8. Isso elimina a concorrência de tráfego na
rede e permite que as transferências de arquivos de backup possam acontecer
em qualquer momento.
A implementação desse modelo pode ser realizada com a simples adição de
uma segunda interface de rede em cada servidor de produção e no servidor
concentrador. Faz-se necessário também utilizar um segundo comutador
(switch) ou criar redes locais virtuais (VLANS) para segmentar o switch
existente. O custo de aquisição das interfaces de rede adicionais e do
cabeamento são considerados pouco relevantes diante dos baixos custos
praticados pelo mercado atualmente.
51
Figura 8. Rede local auxiliar para backup de dados.
O servidor concentrador deve também ser ligado na rede local principal de
produção (representada pela LAN 1) para fins de gerenciamento remoto dos
administradores do sistema. As recomendações abordadas anteriormente,
como a disponibilização de porta de alta velocidade para ligar o servidor
concentrador permanecem.
4.5 Gerenciamento das chaves de criptografia
O gerenciamento das chaves de criptografia tem a função de administrar a
criação, o armazenamento, a distribuição, a integridade, a autenticidade e uso
adequado das chaves de um criptosistema.
A tecnologia aliada à pesquisa oferece a cada momento recursos que buscam
facilitar a execução das tarefas do processo de gerenciamento de chaves.
Definindo
técnicas,
procedimentos,
identificando
formas
de
ataque,
52
desenvolvendo softwares, avaliando a eficiência dos algoritmos e ainda
construindo hardwares específicos para armazenamento das chaves.
O administrador deve encontrar nos recursos oferecidos àquele que melhor
atende as necessidades de proteção das informações levando em conta a
tecnologia disponível no mercado, o ambiente tecnológico em que as
informações a serem protegidas se encontram e a capacidade de investimento
financeiro visto que, o gerenciamento de chaves pode ser realizado a partir da
utilização de:
•
Estruturas simples como um Ambiente Pessoal de Segurança - PSE
(Personal enviroment Security) em uma estação de trabalho;
•
Servidores de rede que agreguem tal função;
•
Aceleradores criptográficos;
•
Hardwares de uso pessoal (Tokens, Cartões inteligentes e etc);
•
Contratação de estruturas sofisticadas como PKI’s e CA’s.
A distribuição eficiente das chaves e o armazenamento seguro são o grande
desafio do gerenciamento.
André Fucs então diretor de Tecnologia da CFSEC em seu artigo “Quando a
criptografia atrapalha”, escrito em 2003 faz uma reflexão sobre uso da
criptografia norteada pelo bom senso e a responsabilidade daquele encontra
na criptografia a forma de proteção de suas informações. Do artigo pode-se
destacar algumas afirmações que devem ser observadas (FUCS, 2003).
Quanto à proteção das chaves e senhas afirma:
“Proteger essas senhas e chaves de uma forma com que não se comprometa a
disponibilidade das mesmas deve ser portanto uma prioridade
para aqueles que
enxergam na criptografia uma solução para seu dia-a-dia.”.
53
Sobre a adoção da criptografia enfatiza:
“Cabe ao gestor da Segurança da informação, julgar os riscos que a adoção de uma
solução de criptografia pode trazer. É importante que sejam pesadas as necessidades
de confidencialidade da informação a ser protegida.... Só se investe em segurança se o
custo da proteção da proteção for inferior ao da ameaça...”
4.5.1 O sistema de criptografia e o gerenciamento de chaves
Optou-se pelo uso do sistema assimétrico de criptografia mesmo com ônus
computacional de manipulação de seus elementos. As facilidades e
possibilidades de uso flexível das chaves assimétricas, em particular “a chave
privada”, o histórico existente da aplicação deste sistema na criptografia de
informações no mundo digital e ainda as considerações expostas na seção
4.3.1c motivaram a escolha e uso neste trabalho.
Criação das chaves
O Gnu/linux oferece ferramentas para execução completa de sistemas
criptográficos podendo-se destacar o GPG e o OpenSSL.
O servidor concentrador deve atuar com a função de um KDC (Key Distribution
Center ) usando uma das ferramentas associada ao uso de um algoritmo forte
para
a geração do conjunto de chaves, a pública e privada,
que serão
utilizadas pelo servidor concentrador e de produção respectivamente.
Recomenda-se o padrão RSA com uma chave de pelo menos 1024 bits o que
garante um bom nível de segurança (TANENBAUM, 2003). Esse algoritmo é
considerado forte por ter sobrevivido a inúmeras tentativas de rompimento por
mais de um quarto de século e grande parte da segurança se baseia nele.
O armazenamento do par de chaves deve acontecer em locais diferentes do
sistema de arquivos com permissões de acesso que tentem garantir a
integridade de seu conteúdo. A alteração de um único bit de umas chaves
causa a quebra da relação unívoca estabelecida entre as chaves.
54
Propõe-se que o nome das chaves e do diretório onde serão armazenadas as
chaves deve omitir qualquer relação com sistemas criptográficos, o uso de
extensões e palavras do tipo dsa, rsa, cripto, chaves, etc devem ser evitados.
Cria-se desta forma o mascaramento desse conteúdo diminuindo a facilidade
de acesso e dedução por possíveis invasores.
O par de chaves criado deve se utilizado apenas para a função proposta neste
modelo. O uso de conjunto chaves (pública, privada) para funções específicas
deve ser adotado como regra. Caso ocorra a perda ou violação somente a
atividade a qual esta relacionada estará comprometida (BURNETT, 2002).
A troca de chaves
O servidor concentrador tem a função de criar o par de chaves , manter e
transferir a chave pública para os servidores de produção a partir da demanda
destes últimos. A chave pública deve ser requisitada ao servidor concentrador
no momento da execução da encriptação dos arquivos de backup devendo ser
eliminada pelo servidor de produção ao final da referida execução.
Pretende-se com esta medida tornar determinante a confiança na chave
pública fornecida pelo servidor concentrador, e também eliminar a possibilidade
de qualquer alteração em função de sua disponibilidade em momentos em que
a mesma não se faça necessária.
A integridade/compatibilidade do par de chaves deverá ser verificada a cada
requisição. Uma das seguintes estratégias deve ser adotada:
• Geração dinâmica de um arquivo no servidor concentrador, sua
encriptação, decriptação e finalmente a comparação com o arquivo
original. O esquema geral pode ser visto na Figura 9.
55
Figura 9. Estratégia 1 de verificação de integridade do par de chaves
•
Geração dinâmica de um arquivo no servidor de produção e envio ao
servidor concentrador para encriptação e decriptação. O novo arquivo
deve então ser retornado pelo servidor concentrador ao servidor de
produção para comparação com o arquivo original (Figura 10).
Figura 10. Estratégia 2 de verificação de integridade do par de chaves
•
Geração dinâmica de um arquivo no servidor de produção e requisição
da chave publica ao servidor concentrador. Encriptação do arquivo e
envio ao servidor concentrador para decriptação e retorno do arquivo
56
decriptado ao servidor de produção para comparação com o arquivo
original (Figura 11).
Figura 11. Estratégia 3 de verificação de integridade do par de chaves
O insucesso em qualquer das alternativas deve bloquear o processo de
transferências de chaves públicas para qualquer servidor de produção, e os
arquivos criados e chaves transferidas devem ser eliminados.
A quebra de relação do par de chaves e as ocorrências devem ser notificadas
ao administrador para que as ações necessárias à solução do problema sejam
adotadas.
Armazenamento seguro das chaves
No servidor concentrador está depositada toda confiança do sistema em
relação à integridade, disponibilidade e o armazenamento seguro das chaves.
57
Duas estratégias devem ser adotadas, a primeira é a aplicação de técnicas de
“Hardening” - procedimentos específicos de segurança (APÊDICE A) que
buscam diminuir ao máximo os riscos e vulnerabilidades
do sistema
operacional e informações contidas no servidor concentrador. A segunda
complementa ao agregar a utilização de meios físicos, ações e recursos
internos e externos que permitam a restauração do par de chaves caso algum
incidente provoque a perda ou comprometa seu conteúdo e relação.
As soluções de hardware, software, pessoas e, até mesmo, instalações físicas
são os instrumentos que vão viabilizar aplicação da segunda estratégia
recomendada.
Os seguintes procedimentos devem ser observados:
•
As chaves nunca devem ser guardadas em texto plano e também devem
ser protegidas por um processo de encriptação simétrica baseado em
senhas (BURNNET, 2002).
•
As cópia(s) das chaves protegidas (encriptadas) devem ser guardadas em
local seguro (cofre) e distante de onde se encontra e é utilizado o par de
chaves original.
•
O par de chaves deve ser armazenado em mais de um meio físico, que
serão sugeridos no item 7.1.4, além de residir no servidor concentrador.
•
Um número reduzido de pessoas deve ter condições de acesso e serem
portadoras de senhas que permitam a obtenção das chaves.
•
As cópias dos pares de
chaves a serem armazenados devem estar
associados a senhas e procedimentos individuais de criptografia assimétrica
para cada indivíduo designado como guardião do par de chaves. Caso uma
das pessoas seja desvinculada do processo ou da empresa. Somente a
cópia correspondente deve ser destruída e uma nova cópia, associada a um
novo responsável e senha, deve ser elaborada.
•
Periodicamente um novo conjunto chaves deve ser gerado em substituição
ao anterior e mantido o armazenamento dos anteriores em função do
histórico de informações encriptadas dependentes dos pares de chaves
utilizados.
58
4.5.2 Soluções de hardware para armazenamento das chaves
Seguem algumas soluções de hardware de padrão removível visto que único
objetivo é possibilitar a restauração das chaves e por esta razão a exposição
do seu conteúdo a ataques através da rede podem ser minimizados.
a) Mídias ópticas
CD’s e DVD’s graváveis e regraváveis. As principais vantagens da mídia
óptica são durabilidade e imunidade a campos magnéticos. O baixo custo
também é mais um dos atrativos(PINHEIRO, 2004).
b) Tokens
Tokens padrão USB que permitam o armazenamento de chaves e senhas,
tenham o recurso de proteção por senha e autodestruição de informações
armazenadas no caso de tentativa de violação por ataque a senha do próprio
dispositivo.
c) Smartcards - Cartões Inteligentes
Cartões inteligentes que tenham o poder de armazenamento e possam
agregar a função computacional, e por esta razão normalmente são
recomendados para aplicativos e sistemas que requerem proteção forte de
autenticação e segurança (BURNETT, 2002).
d) Biometria Digital
A biometria vem se destacando como um meio seguro de autenticação visto
que o seu principio baseia-se em que determinadas características do ser
humano são únicas. Vários segmentos da biometria estão disponíveis no
mercado: óptica (íris e retina), facial, voz, assinatura, geometria da palma da
mão, dinâmica de digitação e a digital. Esta ultima aqui recomendada devido
a sua popularização e custo atrativo.
A destruição total ou apagamento seguro das informações (sigilosas ou não)
contidas nas mídias, mesmo que estejam em desuso deve ser uma prática
constante.
59
5 - SIMULAÇÃO DE RECUPERAÇÃO SEGURA DE DADOS
Um dos pontos mais críticos de um sistema de backup é a fase de
restauração (recuperação) de dados. Diversas ameaças colocam em risco a
integridade e autenticidade dos arquivos das cópias de segurança,
principalmente as da retenção de longo-prazo, que são realizadas em mídias
removíveis e armazenadas em locais externos, estando, portanto mais
vulneráveis a fraudes e a destruição. Além disso, as falhas de gravação e
leitura das mídias podem tornar os dados inacessíveis.
Portanto, para assegurar a consistência e integridade dos dados de backup,
e que surpresas futuras não ocorram, o sistema deve ser capaz de realizar
simulação de recuperação de dados das mídias externas, buscando garantir
a
correta
leitura,
verificação
de
integridade,
descriptografia
e
descompactação dos arquivos de backup (MOREIRA, 2001).
5.1 Estratégias de simulação de recuperação
A implementação da simulação de recuperação de dados pode ter diferentes
abordagens quanto à profundidade de testes. Cada uma das estratégias
idealizadas tem vantagens e desvantagens, e deve ser adotada de acordo com
o grau de confiabilidade requerido, disposição temporal e de recursos de
hardware.
Estratégia 1
Nessa abordagem mais simples, a seqüência de eventos pode ser definida
como:
a) O servidor concentrador copia o arquivo de backup e o respectivo resumo;
b) Um novo resumo é recalculado sobre o arquivo de backup;
c) O resumo cifrado é decriptado com a chave pública;
d) O resumo decriptado é comparado com o resumo recalculado.
60
Uma divergência entre os resumos pode indicar que houve violação da
integridade, ou seja, que o arquivo de backup armazenado está diferente do
esperado, pois produziu um resultado de resumo diferente. As possíveis
causas são falha na leitura ou gravação do arquivo de backup ou tentativa de
fraude da cópia de segurança. Ao decriptar o resumo com a chave privada, o
par de chaves também é testado, dado que ambas chaves (pública e privada)
mantêm uma relação unívoca.
Vantagens:
i. Teste de recuperação em menor tempo;
ii. Assegura a integridade do arquivo.
Desvantagens:
i. Ainda não garante que o processo de descriptografia do arquivo de
backup e a descompactação funcionarão, pois não são testados.
Estratégia 2
Nessa abordagem, a seqüência de eventos pode ser listada como:
a) O servidor concentrador copia o arquivo de backup e o respectivo resumo;
b) Um novo resumo é recalculado sobre o arquivo de backup;
c) O resumo cifrado é decriptado com a chave pública;
d) O resumo decifrado é comparado com o resumo recalculado.
e) Se a comparação dos resumos for positiva, o arquivo de backup é
descriptografado em uma área temporária, utilizando a chave privada do
concentrador;
Vantagens:
i. Assegura que o arquivo de backup está íntegro e que o processo de
descriptografia está funcional;
61
Desvantagens:
i. Consumo maior de tempo de processamento se comparado com o
método anterior;
ii. Ainda não garante que a descompactação completa funcionará.
Estratégia 3
Nessa abordagem, a seqüência de eventos pode ser listada como:
a) O servidor concentrador copia o arquivo de backup e o respectivo resumo;
b) Um novo resumo é recalculado sobre o arquivo de backup;
c) O resumo cifrado é decriptado com a chave pública;
d) O resumo decifrado é comparado com o resumo recalculado.
e) Se a comparação dos resumos for positiva, o arquivo de backup é
descriptografado utilizando a chave privada do concentrador em uma área
temporária;
f) Descompactar alguns arquivos aleatórios ou todo o arquivo.
Vantagens:
ii. Assegura que o arquivo de backup está íntegro e que o processo de
descriptografia está funcional;
Desvantagens:
i. Consumo maior de tempo de processamento se comparado com o
método anterior. Consumo adicional de espaço em disco.
As desvantagens de consumo de tempo de processamento em todas as
técnicas apontadas podem não se aplicar no servidor dedicado à concentração
de backups, visto que tais procedimentos podem ser realizados em janela de
tempo de ociosidade do servidor. O consumo adicional de espaço em disco
pode ser considerado pouco relevante, visto os atuais relativos baixos custos
dos discos magnéticos.
62
5.2 Escalonamento da simulação
Invariavelmente quando mais completa for à simulação de recuperação, mais
tempo levará a execução da mesma, o que pode dificultar o teste (ou até
mesmo inviabilizar) em um ambiente maior, com muitos servidores e muitos
backups.
Uma forma de otimizar a simulação de recuperação é realizá-la de forma
intercalada, em freqüência definida e controlada pelo servidor concentrador.
Esse controle pode ser realizado através de logs ou de registros (arquivos de
controle) na própria área de dados da mídia. Um exemplo de uma possível
abordagem de escalonamento do teste é a execução do mesmo a cada cinco
gravações, para cada mídia.
O sistema deve avisar automaticamente aos operadores responsáveis pela
execução do backup que a simulação de recuperação da mídia específica deve
ser realizada. Uma segunda abordagem seria a realização da simulação por
amostragem, de forma aleatória. Esse procedimento pode não ser confiável,
pois existe a probabilidade de uma mídia nunca sofrer o teste de recuperação.
63
CONSIDERAÇÕES FINAIS E TRABALHOS FUTUROS
O presente trabalho analisou as principais ameaças e riscos que os dados dos
sistemas de informação estão sujeitos, sobretudo os dados das cópias de
segurança, que geralmente não possuem nenhum mecanismo robusto de
segurança lógica ou proteção das informações armazenadas.
Esse cenário coloca em risco a reputação, o negócio e até mesmo a
sobrevivência de muitas organizações. Nos dias atuais a informação tem se
tornado um dos principais ativos das instituições.
Diante desse contexto, é proposto um modelo de backup seguro em LAN's no
Linux, visando a construção de um sistema de backup que garanta algumas
propriedades, tais como: confidencialidade, integridade, disponibilidade e nãorepúdio no acesso aos dados, à luz das normas internacionais de segurança da
informação, sobretudo a NBR ISO/IEC 17799:2005.
O desenvolvimento deste trabalho demonstrou que as técnicas de criptografia,
cálculo de resumo de mensagem e assinatura digital, podem ser utilizadas para
alcançar esses objetivos. Com a utilização de uma arquitetura hierárquica, em
três níveis, de retenção de dados é possível agilizar o processo de restauração
de dados, facilitando a implementação do sistema.
O modelo lógico apresentado utiliza técnicas e algoritmos de segurança que
buscam garantir as propriedades supracitadas.
Foi proposta uma rede auxiliar de backup para otimizar o pesado tráfego que
as transferências de arquivos de backup geralmente impõem sobre a rede,
podendo gerar tráfego concorrente com os dados de produção. Foram
abordadas algumas medidas que podem ser adotadas para o gerenciamento
das chaves criptográficas, testes de integridade e armazenamento das
mesmas.
64
O processo de teste de restauração de dados com níveis distintos de
verificação da integridade dos dados de backup também foi analisado, e
demonstrou a importância da simulação periódica de recuperação.
O servidor concentrador, que faz o papel de gestor do sistema de backup,
servidor de mídia externa e repositório de segundo nível, foi especificado no
apêndice A quanto aos requisitos de segurança mínimos para fortificação do
sistema operacional. Por fim, o presente estudo evidenciou a importante
necessidade da adoção dos mecanismos e técnicas supracitadas para não
comprometer a segurança dos dados e
informações das organizações
contemporâneas.
Trabalhos futuros
Alguns possíveis trabalhos futuros são:
•
Implementação de um protótipo do modelo de backup seguro;
•
Estudo de extensão deste modelo para redes de longa-distância (WAN);
•
Implementação de um sistema completo e funcional.
65
REFERÊNCIAS BIBLIOGRÁFICAS
STALLINGS, William. Cryptography and Network Security, 2ª ed. PranticeHall, 1998.
MOREIRA, Nilton Stringasci. Segurança Mínima: Uma visão corporativa da
segurança de informações. Axcel Books do Brasil, 2001.
FERREIRA, Fernando Nicolau Freitas. Segurança da Informação. Ciência
Moderna Ltda, 2003.
ALASI. Academia Latino Americana de Segurança da Informação: Entendendo
e implementando a norma ABNT ISO/IEC 17799:2005. Módulo 1. Instituto
Online, 2005. Disponível em: http://www.instonline.com.br/. Acesso em: 28 ago.
2006.
ORLOWSKI, Andrew. The Register. Citibank admits: we've lost the backup
Disponível
tape.
em:
<http://www.theregister.co.uk/2005/06/07/citigroup_lost_tape>.
Acesso em: 21 jul. 2006.
LEMOS, Robert. SecurityFocus. Backup tapes are backdoor for ID thieves.
Disponível
em:
<http://www.theregister.co.uk/2005/04/29/backup_tapes_are_backdoor_for_id_t
hieves/>. Acesso em: 31 dez. 2006.
IDG Now. Computação Corporativa. Armazenamento. Pesquisa: Empresas
não
sabem
armazenar
dados.
Disponível
em:
<http://idgnow.uol.com.br/computacao_corporativa/2006/01/16/idgnoticia.200602-06.6473528295/IDGNoticia_view>. Acesso em 14/11/2006.
66
WSSA. Windows Server System Reference Architecture: Backup and
Recovery Services Blueprint. Microsoft Corporation, 2005. Disponível em:
<http://www.microsoft.com/technet/solutionaccelerators/wssra/raguide/backupa
ndrecoveryservices/default.mspx> Acesso em: 02 fev. 2007.
ANONIMO. Segurança Máxima para Linux, 2ª ed. Campus. 2000.
WEBOPEDIA, Online Computer Dictionary for Computer and Internet
Terms
and
definitions.
2006.
Disponível
em
<http://www.webopedia.com/TERM/O/OpenSSH.html>. Acesso em 07 mai.
2007.
BURNETT, Steve. Criptografia e segurança: o guia oficial RSA. Campus,
2002.
SSH,
Communications Security. What is Secure (Shell)? Disponível em:
<http://www.ssh.com/products/ssh_secure_shell/>. Acesso em 15 mar. 2007.
OPENSSH. Disponível em: <http://www.openssh.com/ >. Acesso em 15 mar.
2007.
GZIP. Disponível em: <http://www.gzip.org/>. Acesso em 15 mar. 2007.
BZIP2. Disponível em: <http://www.bzip.org/>. Acesso em 16 mar. 2007.
SOFTWARE LIVRE. Disponível em: <http://www.softwarelivre.org/gpl.php>.
Acesso em 07 mai. 2007.
FUCS.
Quando
a
criptgrafia
atrapalha.
Disponível
em:
<http://www.cfsec.com.br/dnc/dnc20030721.pdf>. Acesso em: 09 jan. 2007.
SALIBA, Marco. Minidicionário da Língua Portuguesa. Claranto, 2003.
67
APÊNDICE A
1- Segurança de Servidores
Quando um servidor é conectado a uma LAN ou WAN medidas de
segurança devem ser adotadas tanto do ponto de vista físico e lógico quanto
corporativo. Estas medidas são formadas por um conjunto de ferramentas e
recomendações práticas que buscam reduzir ao máximo os riscos,
vulnerabilidades e incidentes.
Segundo Sandro Melo quando conectamos um equipamento a uma rede
este deixa de ser um host e passa ser um alvo. E então, é impossível ignorar
princípios básicos da segurança: “não existe ambiente 100% seguro” ou “não
existe sistema operacional 100% seguro”, o que se deve tentar é estar o
mais próximo de uma segurança plena.
Uma das principais referências para obtenção de ambientes mais seguros é
a BS7799 que estabelece um padrão de boas práticas que visam nortear a
elaboração de procedimentos a serem observados pelas empresas na
criação de sua política de segurança.
As boas práticas/recomendações abrigam desde definição da localização
física predial, o acesso, a arquitetura do NOC, os procedimentos de pré e
pós-instalação de sistemas operacionais, softwares que vão personalizar
cada novo servidor instalado, a conduta dos profissionais das empresas e,
em especial aqueles responsáveis pelo NOC (Network Operations Center) –
Centro de operações de Rede. Segue abaixo a Figura 12 que mostra uma
rede corporativa arbitrária.
68
Figura 12. Rede corporativa.
O termo NOC define o local onde devem ficar os servidores protegidos pelas
recomendações de aspecto físico, lógico e corporativo.
A arquitetura do NOC vai depender das funcionalidades dos servidores nele
abrigados. Acredita-se que o modelo apresentado na figura 12 seja um
padrão a ser estudado na fase de planejamento, organização ou
reorganização de um NOC.
1.1- Técnicas de Segurança de Servidores
Hardening de Servidores
A técnica de Hardening busca melhoria da segurança de servidores através
do fortalecimento do sistema operacional. Agrega a realização de
procedimentos específicos e a configuração de softwares de controle de
execução e acesso com objetivo de ter servidores com características
funcionais bem definidas e o menor número de brechas que possam ser
exploradas como possíveis vulnerabilidades..
Softwares de Controle de execução e acesso.
Os Softwares controle de execução ou acesso são aplicativos dedicados à
preservação de conteúdo, do acesso as informações contidas nos
servidores, proteção dos processos e ao domínio indevido de um servidor
69
por um usuário interno ou externo. Duas aplicações destacam-se e
concorrem nesta área, o SELinux desenvolvido pela NSA (Agência Nacional
de Segurança dos EUA) e o AppArmor adquirido pela Novell da empresa
immunix e disponibilizado sob a GPL em 2006.
SELinux – Security Enhanced
O SELinux implementa uma nova camada de segurança utilizando a
arquitetura MAC que permite uma efetiva política de segurança para todos
os processos e objetos do sistema e como estes podem interagir entre si.
As políticas de segurança são armazenadas em ambiente próprio do
SELinux chamado contexto e no próprio sistema de arquivos.
As informações de segurança a cerca dos objetos são registradas em
“labels” e estes são administrados por um componente do SELinux chamado
“servidor de segurança”
que tem encapsulado a lógica de tomada de
decisões.
A lógica do Selinux é de privilégio mínimo como ponto de partida.
E o
alcance de maiores privilégios obtidos através de permissões explícitas
implementadas por um administrador. Primeiro são consultados as
permissões de acesso padrão do linux que utiliza arquitetura DAC e depois
as permissões da arquitetura MAC implementada pelo SELinux que vão
efetivamente determinar que tipo de acesso pode ser realizado a um objeto
ou por um objeto do sistema (arquivos, usuários, sockets, portas, etc...).
O SELinux (Figura 13) utiliza os seguintes recursos para construir a estrutura
que vai permitir o efetivo controle e segurança dos objetos.
Tipo (Type) - Atributo apropriado a um objeto que determina quem pode
acessar e o que podem fazer com o objetos.
Domínio (Domain) – Lista do que os processos podem fazer e o que
podem acessar.
Identidade (Selinux user identity) – Identificação de elemento da base de
usuários do Selinux.
Role (Papel) - Define a que domínios os usuários Selinux podem
acessar.
70
Policy (políticas) – Consolidam as permissões e ações desejadas pelos
usuários utilizando os recursos Tipo, Domínio, Role e Identidade.
Figura 13. SELinux
A definição de um ambiente controlado pelo SELinux em um primeiro
momento pode parecer complexa e trabalhosa pela tarefa de associação
entre os objetos do sistema. Para minimizar este processo é possível lançar
mão do recurso RBAC (Role Basic Access Control) para agregação de
objetos que necessitem de interagir da mesma forma com uma mesma gama
de recursos.
O Administrador pode adotar 3 situações distintas para o funcionamento do
SELinux. O modo “disabled” totalmente desativado. O modo “permissive”
onde as políticas definidas são somente verificadas e registradas facilitando
o aprendizado e os ajustes necessários. E o modo “enforcing“ quando as
políticas são efetivamente aplicadas e registradas.
AppArmor
O AppArmor abandona a concepção de proteção através dos usuários
baseados no modelo DAC – Descritionary access passando a ter como alvo
de proteção o comportamento e a definição de limites para as aplicações
71
que mediam privilégios, aplicativos web, daemons de rede e aplicativos de
usuários.
O comportamento e limites controlados, são conseguidos pela imunização
de cada aplicação que se quer proteger, estabelecendo-se que arquivos
poderão ser acessados e quais as permissões para estes arquivos e o uso
ou não de privilégios de root.
Esta imunização ou confinamento ocorre através da configuração e ativação
de perfis pré-definidos pelo AppArmor ou novos perfis construídos pelo
usuário.
Os componentes de um perfil AppArmor recebem o nome de “Regras do
Novell AppArmor” sendo que as principais regras são: as entradas de
caminho que delimitam a forma de acesso ao sistema de arquivos e as
entradas de capacidade que controlam que ações (Capabilities POSIX.1)1
podem ser requisitadas ao sistema ( system Call ) que necessitam de
privilégios.
A criação de perfis pode ser realizada através de assistentes de perfis ou
linha de comandos e, ao serem acionados podem monitorar uma aplicação
específica, o uso de portas ou ainda realizar a auditoria de um host para
identificação de conexões de (em estado de escuta) redes ativas.
Os assistentes de perfil acompanham o comportamento dos alvos
especificados gerando um log de eventos que será utilizado pelo próprio
assistente para construção automática de um perfil, que poderá ser
aprimorado pelo administrador ou simplesmente ativado em estado de
reclamação onde são apenas registradas as informações ou no modo
forçado onde as regras contidas são efetivamente aplicadas. Já o processo
de auditoria gera um relatório com a identificação das referidas conexões de
rede, que não tem perfil e passiveis de elaboração de um perfil específico.
72
O AppArmor disponibiliza para o usuário um conjunto de recursos que
agregados buscam consolidar a segurança de um host.
Estes recursos são constituídos por:
Biblioteca de pacotes de programas que delimita o acesso dos aplicativos
comuns
do
Linux
somente
aos
arquivos
efetivamente
necessários
associados às devidas permissões de acesso; Biblioteca de Abstrações para
atender requisitos de rotinas e serviços (exemplo: DNS, autenticação,
contabilização). Uma suíte de ferramentas para desenvolvimento e melhorias
de perfis; Aplicativos especialmente modificados para atender requisitos de
segurança.
O método de proteção implementado pelo AppArmor pode ser entendido
como uma proteção (firewall de aplicativo) que confina a aplicação/processo,
e em hipótese impede que vulnerabilidades sejam exploradas. O ambiente
específico da aplicação efetivamente delimitado impede a execução de
qualquer outro processo ou recurso não autorizado.
Outra aplicação que vem sendo aprimorada é o bastille Linux e o Grsecurity.
Segurança física
A segurança física é um dos elementos de uma política de segurança que
tenta
garantir
a
eficiência
do
tripé
Confidencialidade-Integridade-
Disponibilidade preconizado pela NBR 17799.Deve ser observada pelos
Administradores de Rede com a mesma importância que as outras
recomendações técnicas. De nada adianta níveis excelente de segurança
aplicado a um sistema operacional quando o acesso físico não é visto como
um ponto de risco a integridade do hardware e conseqüentemente a
informação nele armazenada.
Souza em seu TCC, que tem como base na NBR 17799 – Código de prática
para a gestão de segurança da informação e NBR 11515 – Critérios de
Segurança física relativos ao armazenamento de dados, conseguiu reunir um
conjunto de informações a cerca de segurança física que podem auxiliar
muito na construção de um NOC. Por está razão utilizado por este autor.
73
A lista seguir demonstra que itens foram tratados sobre ótica da segurança
física:
Localização Física
Estruturação física - Piso, Tetos e Paredes
Iluminação e Programação Visual
Acabamento e mobiliário
Energia elétrica
Cabeamento
Climatização
Controle de Acesso
Proteção contra incêndio
Monitoração do Ambiente
Controle de Acesso de Pessoas e Material
Testes e Simulados
O trabalho de Souza ainda contempla a questão da segurança dos meios de
Armazenamentos de dados, Plano de contingência e Sala Cofre.
Tratar do tema segurança física requer uma extensa discussão e
conseqüentemente um extenso documento, por esta razão optou-se neste
apêndice apenas apontar para referenciais teóricos e alvos que com certeza
contribuíram para o aprendizado e implementação em um NOC.
74