Final_defesa Pfsense 30-11-2011 6s3c6x
This document was ed by and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this report form. Report l4457
Overview 6h3y3j
& View Final_defesa Pfsense 30-11-2011 as PDF for free.
More details h6z72
- Words: 13,156
- Pages: 69
FACULDADE DE TECNOLOGIA SENAI DE DESENVOLVIMENTO GERENCIAL-FATESG CURSO SUPERIOR DE TECNOLOGIA EM REDES DE COMPUTADORES
CARLOS ROBERTO KOLLING ALESSANDRO FORTUNATO DA SILVA
GERÊNCIA EM SEGURANÇA DE REDES COM A FERRAMENTA PFSENSE PROFESSOR-ORIENTADOR: Me. Rafael Leal Martins
Goiânia, 2011
CARLOS ROBERTO KOLLING ALESSANDRO FORTUNATO DA SILVA
GERÊNCIA EM SEGURANÇA DE REDES COM A FERRAMENTA PFSENSE
Trabalho de Conclusão de curso apresentado à Faculdade
de
Desenvolvimento
Tecnologia Gerencial
-
SENAI
de
FATESG,
para
obtenção do título de Graduado em Tecnologia em Redes de Computadores. Professor-Orientador: Me. Rafael Leal Martins
Goiânia, 2011
FOLHA DE APROVAÇÃO
CARLOS ROBERTO KOLLING ALESSANDRO FORTUNATO DA SILVA
GERÊNCIA EM SEGURANÇA DE REDES COM A FERRAMENTA PFSENSE
Trabalho de conclusão de curso apresentado à Faculdade de Tecnologia SENAI de Desenvolvimento Gerencial – FATESG, para obtenção do título de Graduado em Tecnologia em Redes de Computadores.
Aprovada em ____ de ________________ de 20____.
Banca Examinadora ____________________________________________________ Prof. Dr. ____________________________________________________ Prof. Ms. ____________________________________________________ Prof. Esp.
AGRADECIMENTOS
Agradecemos primeiramente a Deus, que nos concedeu a vida, a luz e a inspiração. Aos familiares, pelo apoio e compreensão, aos amigos que estiveram presentes durante essa jornada, ao corpo docente da Unidade SENAI FATESG, Prof. Rafael Leal Martins, pela oportunidade de podermos estar buscando e inovando os nossos conhecimentos com fundamentos específicos nesta disciplina, obrigado a todos que fizeram parte dessa conquista.
"Nós
nascemos,
instante,
e
vivemos
morremos.
por
um
Sempre
breve assim
aconteceu durante imenso tempo. A tecnologia não muda muito isso - se é que muda alguma coisa." Autor: Steve Jobs
LISTA DE ILUSTRAÇÕES
LISTA DE ABREVIATURAS SIGLAS
BGP – Border Gatway Protocol BSD – Berkeley Software Sistribution COBIT – Control Objetives for Information and Related Tecnology CMIP – Common Management Information Protocol DMZ – Demilitarized Zone
DOS – Denial of Service IDS – Intrusion Prevention System ISC – Internet Systems Consortium IAB – Internet Activies Board LAN – Local Area Network MRTG – Multi Router Traffic Grapher PPPOE – Protocol Over Ethernet RFC – Request for Comments
VPN – Virtual Private Network
RESUMO
A interconexão de redes por meio da Internet é uma alternativa muito atraente para empresas que
necessitam
compartilhar
seus
recursos
com
outras
empresas ou funcionário. No entanto, trafegar esses dados sem nenhuma forma de proteção é um risco muito alto. O Gerenciador de Segurança de Redes pfSense permite realizar esta conexão de forma segura por meio de diversas ferramentas que auxiliam no controle de tráfego e na gerencia da rede. Este trabalho irá apresentar alguns conceitos de segurança que servem como base para o entendimento do funcionamento do pfSense. Serão abordadas as principais ferramentas de controle de o à Internet, filtragens de pacotes por meio de firewall e interconexão de redes através de VPN (Virtual Network Private) tudo isso gerenciado pelo pfSense,
assim
como
também
serão levados em
consideração conceitos de gerencia de redes e segurança da informação. A finalidade deste estudo é apresentar algumas das principais ferramentas utilizadas para criar e gerenciar as políticas de segurança no ambiente corporativo. Palavras-chave: pfSense. Firewall. Gerencia. Políticas de Segurança.
ABSTRACT
The interconnection of networks through the Internet is a very attractive alternative for companies who need to share their resources with other companies or employee, however travel on these data without any form of protection is a very high risk. The Network Security Manager allows you to make this connection pfSense safely through a variety of tools that assist in traffic control and manage the network. This paper will present some security concepts that serve as a basis for understanding the functioning of pfSense. Will discuss the main tools for controlling access to the Internet, packet filtering firewall and through interconnection of networks through VPN (Virtual Private Network) all managed by pfSense, and will also be taken into concepts of network management and information security. The purpose of this study present some of the main tools used to create and manage security policies in the corporate environment. Keyword: Manage Policies. Security. pfSense. Firewall
SUMÁRIO
1. INTRODUÇÃO........................................................................................................12 1.1 OBJETIVOS GERAIS...........................................................................................13 1.2 OBJETIVOS ESPECIFICOS................................................................................13 1.3 JUSTIFICATIVA....................................................................................................14 1.4 METODOLOGIA...................................................................................................14 2. REFERENCIAL TEÓRICO.....................................................................................16 2.1 SEGURANÇA DA INFORMAÇÃO.......................................................................16 2.1.1 O que é segurança da Informação.................................................................16 2.1.2 Informação........................................................................................................17 2.1.3 Ativo...................................................................................................................18 2.1.4 Porque é necessarioa segurança da informação........................................18 2.1.5 Como estabelecer os requisitos de segurança............................................19 2.1.6 Avaliando os riscos de segurança.................................................................20 2.2 PONTO DE PARTIDA PARA A SEGURANÇA DA INFORMAÇÃO...................22 2.3 POLITICAS DE SEGURANÇA DA INFORMAÇÃO............................................23 2.4 CONCEITOS DE GERENCIAMENTO DE REDES..............................................24 2.5 OBJETIVOS DO GERENCIAMENTO DE REDES..............................................28 2.6 PROTOCOLOS E PADROES DE GERENCIAMENTO DE REDES...................29 2.6.1 O Protocolo SNMP...........................................................................................30 2.7 FERRAMENTAS DE GERENCIA DE REDES.....................................................36 2.7.1 webmim.............................................................................................................36 2.7.2 mrtg....................................................................................................................37 2.7.3 ntop ...................................................................................................................38
2.8 O PAPEL DO DE REDES.....................................................39 3. GERENCIAMENTO DE SEGURANÇA DE REDES DE COMPUTADORES........41 3.1 CONTROLES PARA REDES DE COMPUTADORES.........................................42 3.2 CONTROLES DE O A REDE...................................................................43 4. CONCEITOS DE FIREWALL.................................................................................44 4.1 O QUE É FIREWALL............................................................................................44 4.1.1 Tipos de Firewall..............................................................................................44 6. A FERRAMENTA PFSENSE..................................................................................53 7. IMPLEMENTAÇÃO.................................................................................................54 7.1 CENARIO..............................................................................................................54 7.1.1 Requisitos de Hardware e Software...............................................................54 7.2 AMBIENTE DE EXECUÇÃO................................................................................55 7.3 INSTALAÇÃO.......................................................................................................56 7.4 CONFIGURAÇÃO.................................................................................................60 CONSIDERAÇÕES FINAIS........................................................................................68 REFERÊNCIAS BIBLIOGRÁFICAS..........................................................................69
12
1. INTRODUÇÃO
A Internet tem sido um grande meio de comunicação disponível para ambientes corporativos e residenciais. Nela se concentram inúmeros usuários que a utilizam no dia a dia para enviar e receber informações através de recursos de comunicação como e-mail, grupos de discussões e redes sociais. Contudo, a Internet encontra um problema; devido ao fator de não ter como filtrar o tipo de usuário que a utiliza, se encontra então dificuldades de saber quem esta do outro lado, se o site que amos realmente é seguro, se a troca de informação não esta sendo receptada no meio em que se transmite. Usuários maus intencionados também têm o mesmo o à rede mundial de computadores (Internet), podendo assim realizar captura de dados enquanto outros usuários acham que navegam em sites seguros, ou seja, enquanto alguns trabalham, há sempre alguém interessado em capturar uma informação sigilosa para obter vantagem ou só pelo simples fato de danificar ou paralisar uma corporação inteira. Devido a este fator, surge a necessidade de se implementar ferramentas que possam garantir a privacidade e a segurança do tráfego de dados. A segurança de dados através da filtragem de pacotes é o bloqueio ou liberação de maneira seletiva da agem de pacotes de dados, conforme atravessam uma interface de rede. O pfsense é uma ferramenta de fonte aberta, livre para distribuição, baseada e personalizada sobre a plataforma FreeBSD, adaptada para uso como um firewall e router,
totalmente gerenciado em uma
interface fácil de se utilizar e totalmente via web. Além de ser uma poderosa plataforma de filtragem de pacotes de roteamento flexível, inclui uma longa lista de recursos relacionados e um sistema de pacotes que permite expansão, a exploração de seus recursos, sem adição de vulnerabilidades de segurança. Ela é de grande potencial para a atividade de distribuição base. Essa ferramenta abrange desde pequenas redes domésticas até grandes empresas, universidades e outras organizações, protegendo milhares de dispositivos de rede.
13
1.1 OBJETIVOS GERAIS O objetivo deste trabalho é demonstrar e analisar o funcionamento de alguns dos recursos necessários e imprescindíveis para prover a segurança da informação, utilizando a filtragem de pacotes (firewall) para garantir um ambiente saudável, juntamente com uma ferramenta Proxy para fazer cachê e controle de o à Internet e também tunelamento criptografado utilizando Virtual Private Network (VPN), cujo utiliza a estrutura da Internet para interligar redes locais. Para isto, apresentaremos os conceitos da ferramenta pfSense e seu poder no gerenciamento em segurança de redes no que se refere à ferramenta firewall gerenciada por qualquer navegador web.
1.2 OBJETIVOS ESPECIFICOS
O pfSense tem como objetivo principal a filtragem e roteamento de pacotes. A implantação mais comum do pfSense é como um firewall de perímetro, com uma conexão à Internet ligada ao lado da Wide Area Network (WAN), e da rede interna ao lado Local Area Network (LAN). O pfSense acomoda redes com necessidades mais complexas, como Internet de múltiplas conexões, múltiplas redes LAN, redes múltiplas DeMilitarized Zone (DMZ). Alguns usuários também adicionam Border Gateway Protocol (BGP) para fornecer capacidades de conexão redundância e balanceamento de carga. Demais serviços como, Proxy, VPN, Dynamic Host Configuration Protocol (DH) relay, DH server, Domain Name System (DNS) forwarder, Distributed Domain Name Service (DDNS), Point to Point Protocol Over Ethernet (PPPoE) server, Fail Over com carp, Intrusion Prevention System (IDS), Traffic Graph por endereço Internet Protocol e tudo gerenciado com o software open source pfSense, conforme será abordado e analisado no decorrer do trabalho. Os objetivos especificos desse projeto será uma prévia geral do poder da ferramenta pfSense, porém focado em três ferramentas ou serviços, cujo a primeira e primordial será a criação de regras de filtragem de pacotes com firewall nativo do pfSense e roteamentos de redes destintas, juntamente com a ferramenta OpenVPN para a criação de tuneis entre filiais com seu tráfego criptografado sendo checado
14
seu o por meio de certificados digitais e, para concluir, abordaremos o proxy para a realização de cache e controle de o à Internet por meio de autenticação de s Também entrará como foco alguns conceitos relacionados ao sistema operacional FreBSD, distribuição base do pfSense, e o porque escolher a plataforma Berkeley Software Distribution (BSD).
1.3 JUSTIFICATIVA
A ferramenta escolhida para ser estudada e implementada nesse projeto, foi cautelosamente classificada entre as demais que possuem aplicações similares, além de ser pouco conhecida e utilizada nas empresas o pfSense possui alto poder de gerenciar os serviços aplicados a ele, desde que saiba o que esta querendo alcançar. Em pesquisas realizadas na internet e também na própria instituição não se encontra nada relacionado a algo de implementação, estudo ou analise da ferramenta pfSense. A escolha de estudar e implementar essa ferramenta com os serviços citados acima se dá por conta da dificuldade de se entender códigos e linhas de comando quando feito da forma convencional, cujo a ferramenta que existe é uma tela de console e o restante se cria com conhecimentos aprofundados no que se deseja desenvolver para atender a necessidade especifica. Já o pfSense reúne tudo em um único gerenciador web, tento todos os serviços centralizados e gerenciados de uma única maneira e em um único ambiente. Entendemos que com essa ferramenta em pleno funcionamento num ambiente corporativo pode aumentar a segurança do tráfego que na rede circula como também facilitar a vida do ou gerente de redes.
1.4 METODOLOGIA
A metodologia de pesquisa para implementar e estudar o projeto tema foi baseado em consultas nas comunidades e fóruns e projetos oficiais do pfSense,
15
para saber opiniões, falhas, vantagens de quem já implementou a ferramenta e assim adquirimos uma base de para ter mais cautela em analisar os os, também em livros de distribuições da FreeBSD e principalmente o que foi nosso guia do projeto o pfSense - The Definitive Guide. O que foi levado em foco são problemas em instalações do software, dificuldades apresentadas, facilidades na visualização e interpretação do que a ferramenta precisa.
16
2. REFERENCIAL TEÓRICO
2.1 SEGURANÇA DA INFORMAÇÃO
2.1.1
O que é segurança da informação ?
A informação é um ativo, entre outros ativos de extrema importância nos negócios. A Informação deve ser protegida de maneira que não ocorra a possibilidade
de
os
não
autorizados,
alterações
indevidas
ou
sua
indisponibilidade. A segurança da informação deve ser implantada em todas as áreas da organização, pois são encontradas em diversos meios como: impresso ou escrito em papel; armazenado eletronicamente; enviado pelo correio ou através de meios eletrônicos. A segurança da informação tem como objetivo a preservação de três princípios básicos pelos quais se norteia a implementação desta prática, conforme a figura 1, a seguir: - Confiabilidade – Toda informação deve ser protegida de acordo com o grau de sigilo de seu conteúdo, visando à limitação de seu o e uso apenas às pessoas para quem elas são destinadas. - Integridade – Toda a Informação deve ser mantida na mesma condição em que foi disponibilizada pelo seu proprietário, visando protegê-las contra alterações indevidas, intencionais ou acidentais. - Disponibilidade – Toda a informação gerada ou adquirida por um individuo ou instituição deve estar disponível aos seus usuários no momento em que os mesmos delas necessitem para qualquer finalidade. (SÊMOLA, 2003, p.45).
17
LIN L O K S
G
Disponibilidade
C
LO R A
Integridade
Confidencialidade
SEGURANÇA DA INFORMAÇÃO
FIGURA 1: Princípios da Segurança da Informação. Fonte: Própria
2.1.2 Informação
Conjunto de dados utilizados para a transferência de uma mensagem entre indivíduos e/ou máquinas em processos comunicativos (baseados em troca de mensagens) ou transacionais (processos em que sejam realizadas operações que envolvam, por exemplo, a transferência de valores monetários). A informação pode estar presente ou ser manipulada por inúmeros elementos deste processo, chamados ativos, os quais são alvos de proteção da segurança da informação.
18
2.1.3
Ativo
Todo elemento que compõe os processos, incluindo o próprio processo, que manipulam e processam a informação, a contar a própria informação, o meio em que ela é armazenada, os equipamentos em que ela é manuseada, transportada e descartada. O termo “ativo” possui esta denominação, oriunda da área financeira, por ser considerado em elemento de valor para o individuo ou organização, e que, por esse motivo, necessita de proteção adequada. Existem muitas formas de dividir
e
agrupar
os
ativos
para
facilitar
seu tratamento,
um
deles
é:
equipamentos, aplicações, usuários, ambientes, informações e processos. Desta forma,
torna-se
possível
identificar melhor
as fronteiras
de
cada
grupo,
tratando-os com especificidade e aumentando qualitativamente as atividades de segurança.(SÊMOLA, 2003, p. 45 e 46).
2.1.4 Porque é necessário a segurança da informação
A
informação
importantes
ativos
e e
os
processos
de
apoio,
sistemas
e
redes
são
também, estratégicos para os negócios. Confiabilidade,
integridade e disponibilidade
são características chave para a segurança da
informação. É através dessas características que é possível preservar
a
competitividade, o faturamento, a lucratividade, o atendimento aos requisitos legais e a imagem da organização no mercado. As organizações estão extremamente preocupadas com a segurança nos sistemas de informação e redes de computadores. Esses tipos de ameaças à segurança podem acarretar em enormes prejuízos aos negócios, é são utilizadas variedades de fontes como, fraudes eletrônicas, espionagem, sabotagem, entre outras. É necessário garantir a confiabilidade e segurança de suas transações e combater os ataques causados por vírus, hackers, e ataques de “Denial of Service”,
que
estão
se tornando cada vez mais comuns, mais ambiciosos e
19
incrivelmente mais sofisticados. A dependência nos sistemas de informação e serviços significa que as organizações estão cada vez mais vulneráveis às ameaças
de
segurança.
A interconexão de redes públicas e privadas e o
compartilhamento de recursos de informação aumentam controlar
o
implementação
a
dificuldade
o. A tendência da computação distribuída de
um
controle
de
de
se
dificulta
a
o centralizado realmente eficiente.
(ISO/IEC 17799, 2001, p. 2). Muitos sistemas de informação não foram projetados para garantir a segurança, pelo motivo que esses sistemas foram desenvolvidos em uma época em que não existia a interconexão das redes de computadores. A segurança que pode ser alcançada por meios técnicos é limitada e convém que seja apoiada por uma gestão e procedimentos apropriados. É necessário escolher controles que permitam a implantação da segurança, mas para que os resultados sejam alcançados é necessária à participação de todos os funcionários da organização, e possivelmente a participação dos fornecedores, clientes
e acionistas. Os controles de segurança da
informação são
consideravelmente mais baratos e mais eficientes se forem incorporados nos estágios do projeto e da especificação dos requisitos.
2.1.5 Como estabelecer os requisitos de segurança
Toda organização para obter segurança de suas informações deve estabelecer requisitos, conforme a norma ISO/IEC 17799, pode ser dividido em três fontes principais: A primeira fonte é derivada da avaliação de risco dos ativos da organização. Através da avaliação de risco são identificadas as ameaças aos ativos, as vulnerabilidades e sua probabilidade de ocorrência é avaliada, bem como o impacto potencial é estimado. A segunda fonte é a legislação vigente, os estatutos, a regulamentação e as cláusulas contratuais que a organização,
seus
parceiros,
contratados
e prestadores de serviço têm que
atender. Denial of Service (DoS) é uma técnica que consiste em dificultar ou impedir o bom funcionamento de um serviço de Internet, através de um grande volume de requisições de serviço para esse servidor.
20
A terceira fonte são as particularidades da organização, objetivos e requisitos para o processamento da informação que uma organização tem que se desenvolver para apoiar suas operações.(ISO/IEC 17799, 2001, p. 2).
2.1.6 Avaliando os riscos de segurança
Os requisitos de segurança são identificados através de uma avaliação sistemática dos riscos de segurança. Os gastos com os controles necessitam ser balanceado de acordo com os danos causados aos negócios gerados pelas potenciais falhas de segurança. As técnicas de avaliação de riscos podem ser aplicadas em toda a organização ou apenas em parte dela, assim como em um sistema de informações individuais, componentes de um sistema especifico ou serviços, quando for viável, prático e útil. (ISO/IEC 17799, 2001, p. 2). Sendo assim, vulnerabilidades,
risco
é
a
provocando
probabilidade perdas
de
de
ameaças
confiabilidade,
explorarem
integridade
e
disponibilidade, causando possivelmente, impactos para a organização. Com os resultados obtidos na avaliação de risco é possível direcionar e determinar as ações gerenciais e prioridades mais adequadas para um gerenciamento de riscos da segurança da informação e a selecionar os controles a serem implementados para a proteção contra estes riscos. É
necessário
realizar
análises
críticas
periódicas
dos
riscos
de
segurança e dos controles implementados para: a) considerar as mudanças nos requisitos de negócios e suas prioridades; b) considerar novas ameaças e vulnerabilidades; c) confirmar que os controles permanecem eficientes e adequados. É de grande importância que as análises críticas sejam executadas em diferentes níveis de profundidade, dependendo dos resultados obtidos nas avaliações de riscos e das mudanças nos níveis de riscos é verificado se é aceitável para o negócio. A seqüência correta para a verificação das vulnerabilidades, deve ser primeiro a avaliação de riscos em um nível mais geral, como uma forma de
21
priorizar recursos em áreas de alto risco, e então em um nível mais detalhado, para solucionar riscos específicos. O universo de controles aplicáveis é enorme, pois estamos falando de mecanismos destinados à segurança física, tecnológica e humana. Se pensarmos no capital humano como um dos elos mais críticos e relevantes para a redução dos riscos, temos alguns controles como: seminários de sensibilização; cursos de capacitação; campanhas de divulgação da política de segurança; crachás de identificação; procedimentos
específicos
para
demissão
e
issão
de
funcionários; termo de responsabilidade; termo de confiabilidade; softwares de auditoria de os; softwares de monitoramento e filtragem de conteúdo etc. Muitos controles humanos citados interferem direta ou indiretamente no ambiente físico, conjunto
de
mas este
deve
receber
a
implementação
de
um
outro
mecanismos voltados a controlar o o e as condições de
ambientes físicos, sinalizando registrando, impedindo e autorizando os e estados, dentre os quais podem ser utilizados: roletas de controle de o físico; climatizadores de ambiente; detectores de fumaça; acionadores de água para combater incêndio; extintores de incêndio; cabeamento estruturado; salascofre; dispositivos
biométricos;
smartcards;
certificados
digitais
de Token;
circuitos internos de televisão; alarmes e sirenes; dispositivos de proteção física de equipamentos; Nobreaks; dispositivos de armazenamento de mídia magnética; fragmentadores de papel; etc. Assim como ocorre com os controles físicos e humanos, a lista dos dispositivos aplicáveis aos ativos tecnológicos é extensa; afinal, além da diversidade e heterogeneidade de tecnologias, ainda temos que considerar a velocidade criativa do setor que nos apresenta uma nova ferramenta ou equipamento praticamente a cada dia. Os instrumentos aplicáveis aos ativos tecnológicos podem ser divididos em três famílias. Autenticação e autorização - Destinados a suprir os processos de identificação de pessoas, equipamentos, sistemas e agentes em geral, os mecanismos de autenticação mostram-se fundamentais para os atuais padrões de informação, automação e compartilhamento de
informações. Sem
identificar a
origem de um o e seu agente, torna-se praticamente inviável realizar
22
autorizações condizentes com os direitos de o, podendo levar a empresa a compartilhar informações valiosas sem controle. Combate a ataques e invasões - Destinados
a
suprir
a
infraestrutura
tecnológica com os dispositivos de software e hardware de proteção, controle de o e conseqüentemente combate a ataques e invasões, esta família de mecanismos tem papel importante no modelo de gestão de segurança, à medida que
as
conexões
eletrônicas
e
tentativas
de
o
indevido
crescem
exponencialmente. Privacidade das comunicações - É inevitável falar de criptografia quando o assunto é privacidade das comunicações. A criptografia
é
uma
ciência
que
estuda os princípios, meios e métodos para proteger a confiabilidade das informações através da codificação ou processo de cifração e que Control Objectives for Information and related Tecnhology (COBiT), modelo utilizado para verificar a governança de Tecnologia da Informação em uma organização. Ele permite
a
restauração
da
informação
original
através
do
processo
de
decifração. Largamente aplicada na comunicação de dados, esta ciência utiliza algoritmos matemáticos e da criptoanálise, para conferir maior ou menor proteção de acordo com a sua complexidade e estrutura de desenvolvimento. Quando olhamos para um software de criptografia de mensagem ou, por exemplo, aplicações que adotam
criptografia,
estamos
diante
de situações
em
que
a
ciência
foi
empregada e materializada em forma de programas de computador.
2.2 PONTO DE PARTIDA PARA A SEGURANÇA DA INFORMAÇÃO
Um número de controles pode ser considerado como princípios básicos, fornecendo um bom ponto de partida para a implementação da segurança da informação. São baseados tanto práticas
de
segurança
da
em
requisitos
legais
como
nas
melhores
informação normalmente usadas. Os controles
considerados essenciais para uma organização, sob o ponto de vista legal, incluem: a) proteção de dados e privacidade de informações pessoais;
23
b) salvaguarda de registros organizacionais; c) direitos de propriedade intelectual. Os controles considerados como melhores práticas para a segurança da informação incluem: a) documento da política de segurança da informação; b) definição das responsabilidades na segurança da informação; c) educação e treinamento em segurança da informação; d) relatório dos incidentes de segurança; e) gestão da continuidade do negócio. Estes controles se aplicam para a maioria dos ambientes corporativos, seguindo a Norma ISO/IEC 17799, percebemos que somente é possível utilizar esses controles, se determinarmos anteriormente a seleção dos controles onde coletando as informações através da avaliação de riscos, é possível verificar as vulnerabilidades e garantir sua correção.
2.3 POLITICAS DE SEGURANÇA DA INFORMAÇÃO
O objetivo da política de segurança da informação é prover à direção uma orientação e apoio para a segurança da informação. Segundo a NBR ISO/IEC 17799 (2001, p. 4) “Convém que a direção estabeleça uma política clara e demonstre apoio e comprometimento com a segurança da informação através da emissão e manutenção de uma política de segurança da
informação para toda a
organização”. Para que seja possível a implantação da política é necessário que a alta direção tenha aprovado, comunicado e publicado, de maneira adequada para os funcionários. É necessário que a alta direção esteja sempre preocupada com o processo e estabeleça as linhas mestras para a gestão da segurança da informação, e onde devem ser estabelecidas, no mínimo, as seguintes orientações -a segunda parte da norma, ainda não homologada, cujo objetivo é proporcionar uma base para gerenciar a segurança da informação dos sistemas das empresas -:
24 a) Definição de segurança da informação, resumo das metas e escopo e
a importância da segurança como um mecanismo que habilita o
compartilhamento da informação; b) Declaração do comprometimento da alta direção, apoiando as metas e princípios da segurança da informação; c) Breve explanação das políticas, princípios, padrões, e requisitos de conformidade de importância específica para a organização, por exemplo: - Conformidade com a legislação e cláusulas contratuais; - Requisitos na educação de segurança; - Prevenção e detecção de vírus e software maliciosos; - Gestão da continuidade no negócio; - Consequências das violações na política de segurança da informação; d) Definição das responsabilidades gerais e específicas na gestão da segurança da informação, incluindo o registro dos incidentes de segurança; e) Referencias à documentação que possam apoiar a política, por exemplo, políticas e procedimentos de segurança mais detalhados de sistemas de informação específicos ou regras de segurança que convém que os usuários sigam. (ISO/IEC 17799, 2001, p. 4).
2.4 CONCEITOS DE GERÊNCIA DE REDES
Devido à grande variedade de ferramentas e dispositivos a serem associados parcialmente ou exclusivamente ao uso da Internet e rede, atualmente, o gerenciamento de um ambiente computacional é o procedimento que consiste em controlar todos os componentes de hardware e software da rede. A gerência esta associada ao controle de atividades e ao monitoramento do uso de recursos da rede, tratar estas informações possibilitando um diagnóstico e encaminhar as soluções dos problemas (RIGNEY 1996). Estatisticamente, enquanto 30% dos custos de uma rede estão diretamente associados à aquisição de hardware, os 70% restantes dizem respeito à manutenção e ao e dessa rede (PINHEIRO 2006). O gerenciamento de uma rede torna-se uma atividade que contribui decisivamente para o funcionamento contínuo dos sistemas, garantindo que a qualidade dos serviços oferecidos mantenha-se em níveis satisfatórios pelo maior
25
tempo possível. Alguns exemplos de recursos oferecidos pelas ferramentas de gerenciamento de redes são: •
Interoperabilidade das redes;
•
Alertas de problemas;
•
Aviso antecipado de problemas;
•
Captura automática de dados;
•
Gráficos de utilização de hosts em tempo real;
•
Gráficos de eventos da rede.
Existem alguns conceitos básicos que são comuns a qualquer sistema de gerenciamento, são eles: •
Objeto gerenciado: Qualquer objeto ível de ser monitorado numa rede para verificar certos parâmetros de funcionamento. Podem ser dispositivos lógicos (software) ou físicos (hardware);
•
Agente: Elemento responsável pela coleta de informações dos objetos gerenciados, enviando-as ao gerente e executando comandos determinados por ele, baseados em tais informações;
•
Gerente: É quem concentra as informações adas pelo agente e envia comandos de gerenciamento a este para serem executados sobre os objetos gerenciados;
•
MIB (Management Information Base): É a estrutura de dados básica de um sistema de gerenciamento. Consiste basicamente numa tabela onde se encontram os dados relevantes ao gerenciamento de um sistema. Seu formato é definido pela SMI (Structure of Management Information), que é descrita na linguagem ASN.1 (Abstract Syntax Notation One).
26 SISTEMA DE GERENCIAMENTO AGENTE
L O K
APLICAÇÕES DE GERENCIAMENTO
OPERAÇÕES
S O L R CA
G N I L
NOTIFICAÇÕES
OBJETOS GERENCIADOS
GERENTE
FIGURA 2 - Exemplo de sistema de gerenciamento Fonte: Própria
Um agente se reporta a um gerente através de um protocolo de gerenciamento e a para este os dados constantes na sua MIB, de acordo com as requisições do gerente, conforme a figura 2, a seguir:
27
ARQUITETURA DE UM SISTEMA DE GERENCIAMENTO
L O SK
G N LI
AGENTE PROXY
MIB
O L R A C OBJETOS GERENCIADOS
MIB
AGENTE
APLICAÇÕES DE GERENCIAMENTO
MIB
GERENTE
PROTOCOLO
AGENTE
FIGURA 3 - Arquitetura de um Sistema de Gerenciamento Fonte: Própria
O Agente Proxy da figura é o agente responsável pelo monitoramento remoto, guardando na sua MIB os dados referentes a todos os dispositivos sob sua responsabilidade. Ele é utilizado para eliminar a necessidade de um agente para cada objeto gerenciado. A MIB do gerente aqui apresentada nada mais é do que um resumo das MIB's dos Agentes subordinados.
28
2.5 OBJETIVOS DO GERENCIAMENTO DE REDES
Gerenciar
consiste
basicamente
em
monitorar,
detectar
falhas
e,
eventualmente, tomar determinadas medidas corretivas, (PINHEIRO 2006), conforme a figura 4, a seguir: ‘ MENSAGENS NUM PROTOCOLO DE GERENCIAMENTO
GERENTE
L O K
APLICAÇÕES DE GERENCIAMENTO
SOLICITAÇÃO
R A C
G N LI
RESPOSTA
S O L
NOTIFICAÇÃO
ESCREVE ATRIBUTOS LÊ ATRIBUTOS
OBJETOS GERENCIADOS
AGENTE
FIGURA 4 - Mensagens num Protocolo de Gerenciamento Fonte: Própria
O gerente pode efetuar a solicitação de um dado e a resposta a este pedido pode ser enviada pelo agente. Há também a possibilidade de notificação do gerente pelo agente em caso de alguma anomalia na rede. As linhas tracejadas representam operações opcionais e que eventualmente podem nem ser utilizadas, que são a escrita de atributos e a leitura destes pelo gerente. A Gerência de rede envolve atividades agrupadasem cinco áreas funcionais, sendo as áreas de gerenciamento de configuração, falhas, desempenho, segurança e contabilidade, cada uma com os seguintes aspectos:
29
- Gerência de configuração: inclui saber quais elementos fazem parte da rede, quais são suas relações uns com os outros, que parâmetros de configuração cada um deve assumir, se preocupa em si com a interconexão dos dispositivos gerenciados; - Gerência de falhas: diz respeito à detecção de eventos anormais, o diagnostico de problemas que levaram a esses eventos, acompanhamento e solução dos problemas com objetivo real de garantir o funcionamento continuo da rede e seus serviços; - Gerência de desempenho: responsável pela monitoração de indicadores de desempenho, solução de problemas de desempenho, planejamento de capacidade etc.; - Gerência de segurança: Permite controlar o o aos recursos da rede de acordo com políticas criadas, monitoradas e gerenciada a manutenção do serviço; - Gerência de contabilidade: responsável pela contabilização e verificação de limites da utilização de recursos da rede, com a divisão de contas feita por usuários ou grupos de usuários. (STRANGE, 2008)
2.6 PROTOCOLOS E PADRÕES DE GERENCIAMENTO DE REDES
Criado pelos mesmos grupos que desenvolveram o Transmission Control Protocol / Internet Protocol (T/IP) e o Simple Network Management (SNMP), o RMON é um padrão IETF de gerenciamento de redes cuja sigla representa Remote Network Monitoring (MIB). Primeiramente foi desenvolvido o padrão SNMP e, posteriormente, o padrão RMON. Os protocolos de gerenciamento de rede têm sido tradicionalmente implementados como protocolos do nível de aplicação. E até recentemente, cada vendedor costumava ter um método proprietário pelo qual seus agentes podiam se comunicar, o que levava a existência de incompatibilidades entre os diversos "padrões". A necessidade de uma representação padronizada foi sentida tanto pelo Internet Activities Board (IAB) quanto pela ISO. Enquanto a ISO trabalhou lentamente na especificação do seu padrão, o IAB saiu na frente com a proposta do
30
SNMP em 1989, como uma solução temporária para gerenciamento de redes T/IP. A ISO só lançou seu padrão, chamado Common Management Information Protocol (CMPI), muito tempo depois. Devido a sua aceitação, o SNMP tornou-se um padrão de "facto" na indústria. Como consequência desse sucesso, o SNMPv2 (SNMP versão 2) foi proposto em 1993. Em 1996, foi proposto o SNMPv3.
2.6.1 O Protocolo SNMP
O Simple Network Management Protocol (SNMP) é um protocolo de gerenciamento simples. O SNMP não é capaz de definir um problema em uma rede e nem sua gravidade. Também não fornece recursos para uma investigação das causas desse problema. A única informação que se tem através de um alerta SNMP é que existe um problema em um ponto qualquer da rede. Os alertas do SNMP padrão notificam um problema somente quando ele já atingiu uma condição extrema suficiente a ponto de comprometer a comunicação na rede como um todo. Já o diagnóstico do problema é uma tarefa do da rede. Assim, o SNMP é simplesmente um alerta para uma condição extrema da rede. O comitê do IETF decidiu que, para promover uma maior e melhor expansão das tecnologias de rede, era necessário um padrão de gerenciamento de redes mais sofisticado. Desenvolveu-se então o RMON. SNMP v.1 - Sua arquitetura é baseada no modelo Internet para redes e sua localização é equivalente à da camada aplicação no modelo OSI. A camada inferior na pilha de protocolos é a Datagram Protocol (UDP), que é protocolo de transporte padrão da Internet com serviço do tipo datagrama, conforme a figura 5, a seguir:
31 PILHA DE PROTOCOLOS SNMP SNMP UDP
CA
OS L R
K
LIN L O
G IP
ENLACE FISICA
FIGURA 5 - Pilha de Protocolos do SNMP Fonte: Própria
Sua operação é bastante simples, sendo as mensagens primitivas de serviço: - Get (Request, Next Request, Response): Trata-se do pedido do gerente para ler os dados de gerenciamento da MIB do agente. A Get Request faz o pedido inicial pelo gerente, a Response envia os dados para o gerente e a Next Request pede outro trecho da tabela seqüencialmente; - Set (Request): Serve para alteração de dados da MIB. O gerente recebe um pedido de Set Request para alterar determinado dado; - Trap: É um informe dado ao gerente de que algo de anormal está acontecendo no sistema, tem funcionamento semelhante a um alarme, conforme a figura 6, a seguir:
32
MODELO DE SERVIÇO DO SNMP v.1 APLICAÇÃO DE GERENCIAMENTO
1
2
3
4
OBJETO GERENCIADO
4
5
K S O L AR LEGENDA
GERENTE
L L O
G N I 5
1
2
3
AGENTE
1 – GET REQUEST
SNMP UDP
C
2 – GET NEXT REQUEST
SNMP
3 – SET REQUEST 4 – GET RESPONSE
UDP
5 –TRAP
IP
IP
ENLACE
ENLACE FISICA
FISICA
REDE FISICA
FIGURA 6 - Modelo de Serviço do SNMPv.1 Fonte: Própria
Existem, entretanto, alguns problemas derivados da simplicidade de implementação do protocolo SNMPv.1. Primeiramente o Trap SNMP não é confirmado. Em virtude disto, o agente até pode enviar a mensagem de Trap ao gerente, mas não saberá se ele a recebeu, podendo esta mensagem ser perdida na rede e a anomalia presente na rede eventualmente nem ser corrigida. Outro problema é a limitação da rede a ser gerenciada. Isto ocorre em virtude do "polling". Além disto, a autenticação do protocolo é deficiente, uma vez que ela é baseada nas chamadas comunidades (community based). Alguns dados do protocolo circulantes na rede podem ser lidas por pessoas estranhas ao sistema.
33
Outro fato é que o SNMPv.1 não a a busca em tabelas, permitindo apenas a existência de um gerente por sistema e que não se pode criar ou excluir objetos dentro do sistema, com este protocolo. Request For Comments 1271 (RFC 1271) enumera os seguintes objetivos para RMON: •
Operação off-line;
•
Monitoração preemptiva;
•
Detecção e reportagem de problemas;
•
Diminuição do tráfego de informações de gerenciamento entre o
sistema de gerenciamento e o segmento remoto, com a adição do conceito de "interesse dos dados"; •
Múltiplos gerentes, possibilitando o controle de tráfego de vários
segmentos de rede a partir de um ponto central. Revisões da especificação original do RMON foram publicadas como o RFC 1757 e tais revisões fazem uso de algumas convenções da MIB para o SNMPv2. A RFC 1757 define o padrão RMON de gerenciamento. Segundo a RFC, o RMON não é uma pilha de protocolos, nem mesmo um protocolo por si só. Trata-se de uma extensão de MIB, para ser utilizada com protocolos de gerenciamento de redes em aplicações para a Internet baseadas no T/IP. Os principais avanços introduzidos pelo padrão RMON foram o Controle de Monitoramento Remoto, Múltiplos Gerentes e o Gerenciamento de Tabelas. Controle de Monitoramento Remoto - A RMON MIB contém características que possibilitam o controle efetivo da estação de gerenciamento. Estas características podem ser agrupadas em duas categorias: •
Configuração: tabelas de controle e tabelas de dados;
•
Invocação de uma ação: um objeto é utilizado para representar um
comando e uma invocação de uma ação pode ser solicitada, modificando o valor de um objeto. Múltiplos Gerentes - Na arquitetura RMON, agentes podem estar sujeitos ao gerenciamento de muitas estações gerentes. No caso de um agente RMON ser compartilhado, alguns problemas podem surgir como:
34
•
Requisições concorrentes;
•
Captura de um recurso por um determinado gerente por um longo
período de tempo; •
Recursos podem ser atribuídos para um gerente que deu pane antes
de liberar o recurso. •
Para tentar solucionar tais problemas, uma combinação de requisitos
deve ser utilizada: •
Inclusão de um campo de dono para cada linha da tabela de controle;
•
Reconhecimento da não necessidade de utilização de um recurso;
•
Possibilidade de negociação de um recurso entre gerentes;
•
A possibilidade de um operador cancelar reservas de recursos;
•
Durante uma reinicialização, um gerente poder liberar recursos.
Gerenciamento de Tabelas - A especificação RMON inclui convenções textuais e regras mais claras e disciplinadas para a adição e remoção de linhas. O padrão RMON foi desenvolvido no intuito de resolver questões que outros protocolos de gerenciamento não eram capazes. Com base nestas questões, a RFC 1757 define objetivos gerenciais que o padrão RMON deve observar: (PINHEIRO 2006). •
Operação Off-line - Existem situações em que uma estação de
gerenciamento não está em contato contínuo com seus dispositivos de gerenciamento remoto. Isto pode ocorrer como conseqüência de projeto, para reduzir os custos de comunicação, ou mesmo por falha da rede, quando a comunicação entre a estação de gerenciamento e monitor, fica comprometida em sua qualidade. A MIB RMON permite que um monitor seja configurado para realizar suas atividades de diagnóstico e coleta de dados estatísticos continuamente, mesmo quando a comunicação com a estação de gerenciamento seja impossível ou ineficiente. O monitor poderá então se comunicar como a estação de gerenciamento quando uma condição excepcional ocorrer. Mesmo em circunstâncias em que a comunicação entre monitor e estação de gerenciamento não é contínua, as informações de falha, desempenho e configuração podem ser acumuladas de forma
35
continua e transmitidas à estação de gerenciamento conveniente e eficientemente quando necessário; •
Monitoramento Proativo – Devido aos recursos disponíveis no monitor,
é normalmente desejável e potencialmente útil que ele execute rotinas de diagnóstico de forma contínua e que acumule os dados de desempenho da rede. O monitor estará sempre disponível no início de uma falha; assim, ele poderá notificar a estação de gerenciamento da falha, assim como armazenar informações estatísticas a seu respeito. Esta informação estatística poderá ser analisada pela estação de gerenciamento numa tentativa de diagnosticar as causas do problema; •
Detecção e Notificação de Problemas - O monitor pode ser configurado
para reconhecer condições de erro e verificar as mesmas continuamente. Na ocorrência de uma destas condições, o evento pode ser registrado e as estações de gerenciamento notificadas de várias formas; •
Valor Agregado aos Dados - Considerando o fato de que os
dispositivos de gerenciamento remoto representam recursos dedicados exclusivamente a funções de gerenciamento e considerando também que os mesmos localizam-se diretamente nas porções monitoradas da rede, podese dizer que estes dispositivos permitem a agregação de valor aos dados coletados. Por exemplo, indicando quais os hosts que geram a maior quantidade de tráfego ou erros, um dispositivo pode oferecer (à estação de gerenciamento) informações preciosas para a resolução de toda uma classe de problemas; •
Gerenciamento Múltiplo - Uma organização pode ter mais de uma
estação de gerenciamento para as várias unidades da empresa para funções distintas ou como tentativa de proporcionar recuperação em caso de falha (crash recovery). Como tais ambientes são comuns na prática, um dispositivo de gerenciamento de rede remoto deverá ser capaz de lidar com múltiplas estações de gerenciamento concorrendo para a utilização de seus recursos. Dessa maneira, o RMON tornou-se um padrão por volta de 1990. As principais características que se buscaram para o RMON foram: •
Interoperabilidade independente de fabricante;
36
Capacidade de fornecer informações precisas sobre as causas de falha no funcionamento normal da rede, assim como da severidade dessa falha; •
Oferecer ferramentas adequadas para diagnóstico da rede.
Além destas características, o padrão deveria oferecer um mecanismo proativo para alertar o dos eventuais problemas da rede, além de métodos automáticos capazes de coletar dados a respeito desses problemas. (PINHEIRO, 2006)
2.7 FERRAMENTAS DE GERENCIA DE REDES
A Melhor alternativa para Gerenciamento de redes pode ser uma combinação de ferramentas de configuração, falhas, desempenho, segurança e contabilidade de rede.
2.7.1 Webmin
Ferramenta para istração e configuração de sistemas que faz uso de interface gráfica, ele foi desenvolvido por Jamie Cameron, utilizando a linguagem Perl. Ela foi projetada para ser uma ferramenta de istração leve, funcional, e que possa ser facilmente entendida. A ferramenta tem se tornado a mais utilizada por es de sistemas e algumas distribuições tem adotado a mesma como alternativa de manutenção, mantendo a ferramenta em seus repositórios. A proposta oferecida pela aplicação é istrar o sistema graficamente através de um navegador web, ou seja, a grande maioria dos navegadores am o Webmin, o que faz com que a aplicação tenha um desempenho satisfatório em qualquer sistema Unix/Linux. (CARDOSO 2010) Hoje em dia é comum que os sistemas precisem estar cada vez mais confiáveis e isso tem tudo a ver com a capacitação de um profissional de Tecnologia da Informação (TI). Tal fato exige que o mesmo tenha conhecimento pleno do
37
sistema operacional ou questão, e isso exige uma gama de configurações a serem feitas. Graças ao Webmin, se faz desnecessário editar arquivos de configurações manualmente, já que o software trás uma lista de tudo o que existe instalado na máquina e as opções de configuração para cada um deles de forma prática e intuitiva até para os menos experientes. Através do Webmin, se podem configurar serviços de rede, hardware e de sistema tais como: •
Serviços: web-apache, ssh, squid, bind, dh, jabber, postfix, qmail,
wu-ftp, roftpd, mysql, samba entre outros; •
Rede: nfs, adsl, nis, kerberos entre outros;
•
Hardware: grub, raid, impressoras entre outros;
•
Sistema: cron, ldap, pam, alterar senha, quotas de disco, usuários e
grupos entre outros.
2.7.2 Multi Router Traffic Grapher (MRTG)
Multi Router Traffic Grapher (MRTG) foi desenvolvido para monitorar o tráfego em uma interface de rede de um dispositivo gerenciado, através da geração de gráficos onde é mostrada a evolução deste tráfego ao longo do tempo. Porém, a utilização do MRTG em larga escala e à medida que a quantidade de equipamentos a ser monitorado aumenta, apresenta uma degradação do desempenho. Isso ocorre porque além de coletar as informações de cada equipamento,
o MRTG ainda é responsável pela criação das páginas com os
gráficos que serão exibidos. O MRTG é uma ferramenta de monitoramento que gera páginas HTML com gráficos de dados coletados a partir de SNMP. É conhecido principalmente pelo seu uso no monitoramento de tráfego de rede, mas pode monitorar qualquer coisa desde que o host forneça os dados via SNMP ou scripts. O MRTG é um programa muito útil na análise de tráfego de uma rede, mas também pode monitorar outras variáveis tais como a utilização do Hard Disk, temperatura de hardware, uso do processador etc., tornando-se uma ferramenta de grande valor, além de ser um software livre, ele pode ser configurado no sistema Linux e no sistema
38
Windows. A ferramenta MRTG pode gerar gráficos que visualizam o uso da banda de rede em termos de velocidade usando alertas como “thresholds” que iram facilitar o gerenciamento. Sendo um software livre que facilite muito a tarefa de acompanhar o funcionamento de um sistema
ou
uma
rede
através
do
protocolo
SNMP,
podemos citar algumas características dessa ferramenta: • Medição de dois valores, no caso de tráfego, podem ser entrada e saída; • Leitura via SNMP ou através de script que retorne um formata padrão; • Coleta dados a cada 5 minutos por padrão, mas o tempo pode ser aumentado; • Gera uma página em HTML com 4 gráficos (diário, semanal, mensal e anual); • O MRTG pode avisar caso o gráfico atinja um valor pré-estabelecido, por exemplo, se determinado servidor atinge 95% do espaço de disco, o MRTG pode encaminhar um e-mail para o informando o ocorrido; • Com a ferramenta CFGMAKER gera os arquivos de configuração; • Com a ferramenta INDEXMAKER gera uma página com índice para os casos em que muitos itens são monitorados.
2.7.3 ntop
Ferramenta de software livre, simples de usar e portável com a finalidade de monitoramento e análise de tráfego de rede. Atividades de gerência como: optimização da rede; planejamento e detecção de violações de segurança são algumas características oferecidas por este aplicativo. Este também tem se mostrado uma ferramenta com grande simplicidade por possuir um rápido o para monitoramento de redes (baseado em interface web). A grande vantagem de utilizar o ntop é devido a pouca necessidade de esforço e custo (para instalação e aprendizado) comparado a outras complexas e caras (apesar de sofisticados e flexíveis) plataformas de gerência. No mundo Unix, existe uma ferramenta chamada "top" que é utilizada para mostrar a utilização da Unidade central de Processamento (U) pelos processos
39
ativos na máquina. Os autores se basearam nessa idéia para a criação do Ntop, pois sentiram necessidade na identificação rápida dos "hosts" (usuários) que estivessem ocupando valiosos recursos de rede. Ntop oferece interfaces baseadas em uma linha de comando e web com disponibilidade para plataformas Unix-like e Windows. As principais funções do Ntop são: •
Medição do Tráfego da Rede;
•
Monitoramento do Tráfego da Rede;
•
Otimização e Planejamento da Rede;
•
Detecção de Violações de Segurança das Redes.
2.8 O PAPEL DO DE REDES
Um dos objetivos da gerência de redes é prevenir e solucionar problemas na rede. Geralmente esta tarefa é realizada por uma equipe. Não existe uma regra rígida sobre os profissionais que fazem parte desta equipe. Cada organização tem autonomia para criar seu próprio time de gerência de redes de acordo com suas conveniências. Porém, é comum que nesta equipe existam profissionais que executem varias tarefas distintas (LOPES 2002). A gerência de redes, como já citado na sua definição, não pode ser vista como uma atividade única, ou seja, deve ser observada como uma atividade que pode, além da operação da rede, envolver inúmeras tarefas, como por exemplo: •
Controle de o à rede;
•
Disponibilidade e desempenho;
•
Documentação de configuração;
•
Gerência de mudanças;
•
Planejamento de capacidades;
•
Auxílio ao usuário;
•
Gerência de problemas;
•
Controle de inventário;
•
Etc;
40
As principais metas do gerenciamento de redes são: •
Redução dos custos operacionais da rede;
•
Redução do congestionamento da rede;
•
Aumento da flexibilidade de operação e integração;
•
Maior eficiência;
•
Facilidade de uso;
•
Etc;
As responsabilidades de um de redes podem incluir: •
Análise de logs dos sistemas e identificação de problemas em
potencial; •
Introdução e integração de novas tecnologias no ambiente já existente
do D; •
Realizar auditorias/validações periódicas de sistemas e softwares;
•
Realizar e verificar backups;
•
Aplicação de atualizações, patches ou modificações de configuração
nos sistemas operacionais; •
Instalação e configuração de novos hardwares e softwares;
•
Gerenciamento de informações de conta de usuário e senhas;
•
Resposta a problemas técnicos nos sistemas;
•
Responsabilidade pela segurança;
•
Responsabilidade pela documentação da configuração dos sistemas;
•
Solucionar qualquer problema reportado nos sistemas;
•
Ajustes para melhorar a performance dos sistemas;
•
Assegurar que a infraestrutura de rede esteja disponível e operacional.
Em grandes empresas, algumas das tarefas listadas acima podem ser divididas entre diferentes es de sistemas ou membros de equipes diferentes. Por exemplo, uma pessoa poderia estar dedicada a aplicar todas as atualizações dos sistemas, uma equipe de qualidade executaria os testes e validações, e um ou mais redatores técnicos seriam responsáveis por toda a documentação técnica escrita. Em empresas menores, o de redes pode também desempenhar diversas funções que em outras são associadas com outros campos como:
41 •
Técnico de apoio ao usuário;
•
de Banco de Dados (DBA);
•
Analista/Especialista/ de redes;
•
Analista de sistemas;
•
Analista de Segurança da Informação;
•
Programador.
es de sistemas, em grandes empresas, não costumam ser arquitetos de sistemas ou engenheiros de sistemas. No entanto, como muitas funções nesta área, não há uma demarcação clara entre as funções de um de sistemas e outras funções técnicas não são bem definidas em empresas menores. Mesmo em grandes empresas, um de sistemas senior geralmente terá competência em outras áreas em resultado de sua experiência de trabalho. Em pequenas empresas, as funções de TI são menos discernidas, e o termo de sistemas é utilizado de forma genérica para se referir às pessoas que sabem como o sistema funciona e são acionadas quando algum sistema lógico ou físico falha.
3. GERENCIAMENTO DE SEGURANÇA DE REDES DE COMPUTADORES
Uma das principais portas de entrada para incidentes de segurança em uma organização é a Internet. Pelo motivo de que as organizações não possuem controle dos os feitos pelos seus funcionários, permitindo o o total. E também permitem os de outras corporações via Intranet e extranets, através de links dedicados ou web. Com o avanço da tecnologia e o o a Internet, está aumentando a cada
ano
o número de ataques por meio de redes de computadores, as
organizações ainda não possuem um plano de ação para evitar os riscos. O grande problema apresentado não é o tecnológico e sim o cultural. A
falta
de
conscientização do publico interno da organização, tanto dos executivos como
42
dos funcionários em geral, podem colocar em risco suas estratégias de negócios e a credibilidade no mercado. Para minimizar esses problemas é importante que seja estabelecida uma política de segurança utilizando controles que possam nortear um sistema de informação segura.
3.1 CONTROLES PARA REDES DE COMPUTADORES
É necessário que seja utilizado um conjunto de controles, para obter uma melhor preservação da segurança nas redes de computadores. São os gestores de segurança que devem implementar os controles para garantir a segurança
dos
dados
nas
redes,
assim como
a
proteção
dos serviços
disponibilizados contra os não autorizados. É recomendado que os itens a seguir sejam considerados: a) A responsabilidade operacional sobre a rede deve ser segregada da operação dos computadores, desta forma são minimizados problemas de mau uso acidental ou deliberação dos sistemas; b)
Estabelecimento
gerenciamento
de
procedimentos
e
responsabilidades
para
de equipamentos remotos, incluindo equipamentos nas
instalações dos usuários; c) Quando necessário deve ser estabelecido controles especiais para garantir a confidencialidade e a integridade dos dados que trafegam em redes públicas e para proteger os sistemas. Também podem ser utilizados para garantir a disponibilidade dos serviços de rede e dos computadores conectados. Interconexão de Redes Locais em regiões demográficas diferentes. Comércio venda e compra de produtos e serviços utilizando a Internet como meio; d) Deve ser cuidadosamente gerenciada as atividades para otimizar os serviços prestados, e garantir que os controles sejam aplicados de forma
consistente
informação.
por
toda
a infraestrutura de processamento de
43
3.2 CONTROLES DE O À REDE
Para garantir a proteção aos serviços das redes de computadores é necessário que haja um
controle,
e
que
também
seja
garantido
que
os
usuários com o as redes e aos serviços não comprometam a segurança. Devem ser assegurados os itens a seguir: a) Uso apropriado das interfaces entre as redes da organização e as redes de outras organizações e também as redes públicas; b) Uso de autenticação dos usuários e equipamentos da organização, sendo apropriadamente íntegros e seguros; c) Controle de o dos usuários aos serviços de informação. Para que o controle de o às redes seja eficaz, é necessária uma política de o às redes, onde deve citar as condições ideais para garantir a segurança. Esta política de controle é importante para as conexões de rede com as aplicações sensíveis ou críticas do negócio ou para os usuários que estão em locais de alto risco, como exemplo as áreas públicas ou externas que se encontram fora do controle e da gerencia de segurança da organização. Na criação de uma política, considerando o uso de redes e seus serviços, devem ser observados os seguintes itens: a) Redes e serviços de redes aos quais o o é permitido; b) Procedimentos de autorização para determinar os usuários que possam ter o à rede e quais os serviços de rede; c) Procedimentos e controles de gerenciamento da segurança para proteger os os às conexões e serviços de rede.
44
4. CONCEITOS DE FIREWALL
4.1 O QUE É FIREWALL
Firewall é um ponto entre duas ou mais redes, que pode ser um componente ou um conjunto de componentes, por onde a todo o tráfego, permitindo que o controle, a autenticação e os registros de todo o tráfego sejam realizados. Um firewall pode ser formado por um conjunto de software, hardware e política de segurança. Ele detém autonomia concedida pelo próprio sistema para predeterminar e disciplinar todo o tipo de tráfego existente entre o mesmo e outros host/redes. Em meados de 80, sob encomenda da AT&T (Empresa de telecomunicação) o primeiro firewall do mundo foi desenvolvido com o intuito de “filtrar” todos os pacotes que saíssem e entrassem na rede corporativa, de modo a manipulá-los de acordo com as especificações das regras previamente definidas. Mesmo diante da evolução dos meios tecnológicos, hoje um firewall continua a possuir e empregar os mesmos conceitos, apenas com alguns aprimoramentos e implementações de novas funcionalidades.
4.1.1 Tipos de Firewall
Os firewalls podem ser classificados da seguinte forma: - Firewall de filtro de pacotes: é o tipo mais simples em sua arquitetura. Baseia-se apenas em campos básicos do cabeçalho dos protocolos. É um tipo rápido, adequado para grandes volumes de dados. Não faz uma filtragem muito eficiente, pois não armazena uma tabela de estados; - Firewall de inspeção com estado: baseia-se em regras um pouco mais complexas que o firewall de filtro de pacotes, pois pode tratar todo e qualquer campo do cabeçalho dos protocolos. Mantém uma tabela de
45
estados podendo controlar pacotes nos dois sentidos. É mais complexo e, portanto, mais lento; - Firewall de aplicação: não permite que nenhum pacote e diretamente entre as redes a ele conectadas. Todos os pacotes são enviados a um processo de Proxy que determina quando se deve ou não estabelecer a conexão, e fica, por todo o tempo, intermediando a comunicação. Devido às limitações de flexibilidade e de performance, raramente é utilizado sem a composição com os outros tipos de
firewall. É mais lento que os tipos
descritos anteriormente; - Firewall pessoal: controla e registra as portas ou aplicativos habilitados a entrarem ou saírem de um sistema local. É muito simples e sempre em forma de um software a ser instalado no sistema operacional.
4.2 FUNCIONAMENTO DE UM FIREWALL
Um firewall é implementado seguindo os parâmetros dos quais uma organização tem necessidade. Esses parâmetros são programados e recebem o nome de regras. As regras são configuradas de acordo com os os que o firewall deve bloquear, bem como os que ele deve liberar, conforme a figura 7, a seguir:
46
FUNCIONAMENTO BASICO DE UM FIREWALL
Servidores INTERNET
Pacotes vindos da Internet
G N I L L O K S
Fir ew all
Pacotes Filtrados pelo Firewall
LO R CA
Clientes
FIGURA 7: Funcionamento básico de um firewall Fonte: Própria
Um firewall pode então analisar as informações do cabeçalho de um pacote que esteja entrando ou saindo da rede, consultar as regras predefinidas pelo da rede e executar a ação pertinente a qual este pacote se enquadra. Podemos criar inúmeros tipos de regras, a serem consultadas pelo firewall na filtragem de pacotes. Por sua vez, as ações que serão executadas por ele são: Aceitar, Descartar ou Rejeitar o pacote. Para executar quaisquer dessas ações predefinidas, primeiramente ele irá tomar como referência informações contidas no cabeçalho de qualquer pacote que a por ele. Vejamos então alguns dos tipos de informações que o firewall pode se basear para realizar a filtragem dos pacotes: •
Endereço de origem / destino;
•
Máscara de subrede de origem / destino;
47
•
Porta de origem / destino;
•
Tipo de protocolo;
•
Interface de entrada / saída;
•
Status da conexão;
•
Identificação do pacote;
•
Entre outras.
A proteção por meio de filtros, não se restringe somente à análise dos pacotes vindos de fora da rede. Um firewall pode ser e na maioria dos casos é configurado seguindo diretivas de segurança de uma organização que pode restringir alguns tipos de o a determinadas estações ou subredes. Ela pode estabelecer, por exemplo, que uma estação “X” não deva ar determinados sites na Internet. Pode-se também definir que um departamento, o qual faz parte de uma subrede interna específica, não terá o à Internet ou ao site que se encontra num servidor web da organização.
5. DISTRIBUIÇÃO BASE DO PFSENSE – FREBSD
5.1
POR QUE ESCOLHER A TECNOLOGIA FREEBSD ?
Em síntese, por ser conhecido como um dos mais robustos e seguros sistemas operacionais da computação moderna. Seus dispositivos nativos de segurança garantem grande nível de certificação de segurança. FreeBSD é usado no coração da Internet; toda a infraestrutura DNS F-ROOT, na raiz do sistema de resolução de nomes é sustentada por FreeBSD, que também é a base dos maiores backbones acadêmicos e governamentais do Internet Systems Consortium (ISC) (VIXIE, 2005). FreeBSD serve aos sites de maior tráfego na Internet, em especial a rede Yahoo! e as maiores empresas de hosting do mercado que se refere a tecnologia e segurança da informação, representando segundo a consultoria inglesa Netcraft, 27% de todos os sites da Internet.
48
Ainda, FreeBSD é desenvolvido por centenas de engenheiros, incluindo mestres e doutores em Ciências Computacionais. É evolução natural do BSD Unix, sistema criado na Universidade de Berkeley responsável por todas as maiores tecnologias criadas e utilizadas na Internet, desde o primeiro servidor de correio eletrônico aos protocolos T/IP, DNS, entre outros. BSD Unix é ainda pioneiro em software livre, foi o primeiro sistema a oferecer toda sua base tecnológica sob uma licença livre, a igualmente pioneira Licença BSD, que inclusive é a licença sob qual o FreeBSD se aplica. FreeBSD conta com todos os desenvolvedores BSD originais ativos, sendo o mais organizado sistema Open Source do mundo; seu modelo de gestão inclusive foi tese de pós-graduação na Universidade de Oslo. FreeBSD estende criação de novas tecnologias que há décadas mantém o título de sistema com grande índices de inovações. Do T/IP ao POSIX.1e, É um sistema com características exclusivas de segurança, performance e estabilidade, e que oferece os principais padrões de tecnologia. É a opção de escolha das maiores empresas de internet no mundo, e várias outras das mais bem sucedidas empresas de tecnologia, é freqüentemente citados como exemplos de sistemas livres periodicamente auditados e com históricos de segurança exemplares, oferece técnicas e recursos de segurança únicos, enquanto cumpre com padrões de mais alto nível, criados e reconhecidos por organizações de critérios comuns para sistemas de informação altamente confiáveis. FreeBSD é certificado CC/EAL4 (em processo de certificação EAL5) pelo Common Criteria on Trusted Computer Systems Evaluation. Os recursos POSIX.1e que garantem aos sistemas estes dispositivos de segurança podem ser implantados pela FreeBSD em qualquer organização, sendo um dos mais completo sistema operacional livre no que tange à oferta de opções de recursos de firewalling por filtragem de pacotes. É o único que oferece 3 dos filtros de pacotes entre sistemas abertos: 1.
IPFIREWALL / IPFW (Nativo do FreeBSD);
2.
PACKETFILTER / PF (desenvolvido pelo Projeto OpenBSD, nativo no
FreeBSD); 3.
IPFILTER / IPF (Filtro multiarquiteturas, nativo no FreeBSD).
49
Com o FreeBDS pode ser implantado políticas de segurança utilizando os dois principais firewall nativos: IPFIREWALL/IPFW e PACKETFILTER/pfSense, de acordo com o site www.freebsdbrasil.com.br. •
Controle de flags e options T/IP;
•
Inspeção e tracking stateful;
•
Controle de tráfego sobre VPN;
•
Priorização de tráfego;
•
Normalização de pacotes;
•
Controle de Banda Avançado:
o
ALTQ com IPFW;
o
ALTQ com PF.
•
DUMMYNET com IPFW.
•
Filtro stateful tradicional e stateful dinâmico.
•
Controle na Camada OSI 2:
o
Subcamada MAC;
o
Subcamada LLC.
•
Integração IPFIREWALL com NETGRAPH permitindo:
o
Classificação por conteúdo (OSI Camada 7);
o
Posterior filtro por conteúdo dos pacotes classificados na camada 7
•
Redundância de firewall;
•
Balanceamento e distribuição de carga;
•
Integração com Sistema de Detecção de Intrusos.
5.2 O QUE O FREEBSD PODE FAZER ?
FreeBSD tem muitas características valiosas. Algumas destas são: •
Multitarefa com ajustes dinâmicos de prioridade que garantem
compartilhamento claro e racional do computador entre as aplicações e usuários, mesmo sob a mais intensa demanda; •
Características multiusuário que permite várias pessoas utilizarem um
sistema FreeBSD de forma simultânea, para uma variedade de coisas. Isto
50
implica, por exemplo, que os periféricos do sistema como impressoras e dispositivos de fita serão apropriadamente compartilhados entre todos usuários no sistema ou na rede, e que limites individuais possam ser definidos para usuários e grupos de usuários, protegendo recursos críticos do sistema de sobrecarga; •
Forte rede T/IP com e a padrões industriais como SLIP, PPP,
NFS, DH e NIS. Isto significa que sua estação FreeBSD pode interagir facilmente com outros sistemas da mesma forma que pode agir como um servidor corporativo, oferecendo funções vitais como NFS (o remoto à arquivos) e serviços de correio eletrônico, ou então colocando sua empresa na Internet com serviços de WWW, FTP, roteamento e firewall (segurança); •
Proteção de memória garante que aplicações (ou usuários) não
interferirão entre si. A falha de uma aplicação não afetará outras de forma alguma; •
FreeBSD é um sistema operacional 32-bit (64-bit em plataforma Alpha
e UltraSPARC) e foi projetado como tal desde seu princípio; •
O sistema de interface gráfica, X Window System (X11R6) padrão
industrial provê uma interface gráfica com o usuário (GUI) ao custo de uma placa VGA comum e um monitor, e ainda vem com código fonte completo; •
Compatibilidade binária com quaisquer programas compilados para
Linux, SCO, SVR4, BSDI and NetBSD; •
Milhares de aplicações prontas para imediata utilização (ready-to-run)
estão disponíveis a partir da coleção de ports e packages do FreeBSD. Por que procurar na rede quando é possível encontrar tudo bem aqui?; •
Milhares de aplicações adicionais e de fácil portabilidade estão
disponíveis na Internet. FreeBSD tem código fonte compatível com a maioria dos sistemas UNIX® comerciais mais populares, e devido a isto a maioria das aplicações requerem pouca, ou nenhuma modificação para compilar corretamente; •
Memória virtual paginada por demanda e uma concepção eficiente
(Merged VM/buffer cache) que satisfaz a necessidade de recursos de aplicações com grande apetite para memória, ao mesmo tempo em que mantém resposta interativa aos outros usuários; •
e SMP para máquinas com múltiplas Us;
51 •
Conjunto completo de ferramentas de desenvolvimento em linguagem
C, C++, Fortran, e Perl. Muitas linguagens adicionais para pesquisa e desenvolvimento avançado também estão disponíveis na coleção de ports e packages; •
Código fonte disponível para todo o sistema significa que você tem o
nível mais completo de controle sobre seu ambiente. Por que manter-se preso à soluções proprietárias e à mercê do vendedor quando se pode ter um sistema verdadeiramente aberto?; •
Serviços Internet: A infraestrutura robusta de rede T/IP criada no
FreeBSD torna-o plataforma ideal para uma variedade de serviços Internet tais como: o
Servidores FTP;
o
Servidores Web (padrão ou seguro [SSL]);
o
Servidores de interligação de redes (gateway), firewall e NAT
(Substituição de IPs); o
Servidores de Correio Eletrônico;
o
Grupo de notícias USENET ou sistemas de BBS.
•
Extensa documentação online.
As aplicações para as quais o FreeBSD pode ser utilizado só estão limitadas imaginação de cada usuário. Do desenvolvimento de software à automação industrial, controle de inventário à correção remota da orientação de antenas de satélite, se pode ser feito com um produto UNIX comercial, é muito provável que possa ser feito com FreeBSD também! FreeBSD se beneficia de forma significante de literalmente milhares de aplicações de alta qualidade desenvolvidas por centros de pesquisa e universidades ao redor do mundo, usualmente disponíveis à baixo ou nenhum custo. Aplicações comerciais também estão disponíveis e surgindo em grande número a cada dia. Pelo fato do código fonte para o FreeBSD estar geralmente disponível, o sistema pode também ser customizado á um grau incrível para aplicações ou projetos especiais, e de formas geralmente não viáveis com sistemas operacionais dos principais vendedores comerciais. Com FreeBSD, facilmente pode-se começar com um ambiente pequeno de baixo custo, e atualizar todo o sistema para um Xeon quadri-processado com
52
sistema de armazenamento RAID, de acordo com o crescimento de cada organização.
5.3 QUEM UTILIZA O FREEBSD ?
FreeBSD é utilizado para servir diversos dos maiores sítios da Internet, incluindo alguns como: •
Yahoo!;
•
Apache;
•
Blue Mountain Arts;
•
Pair Networks;
•
Sony do Japão;
•
Netcraft;
•
Weathernews;
•
Supervalu;
•
TELEHOUSE America;
•
Anti-Vírus Sophos;
•
JMA Wired;
Entre outros diversos.
53
6. A FERRAMENTA PFSENSE
O pfSense é um dos gerenciadores mais ricos em recursos, derivado de uma distribuição customizada do FreeBSD, sendo um System Appliance pré-configurado, com ambiente amigável amistoso e facilitado por meio de o interface web que oferece inúmeros recursos, focado para ambientes de roteamento, firewall e gerencia, alem de ser uma excelente solução para VPN entre outros diversos recursos disponíveis em pacotes de repositórios. Essa ferramenta chegou a um nível de desenvolvimento que não há mais o que implementar, a não ser atualizações e estabilidade dos recursos atuais. O pfSense é usado em quase todos os tipo e tamanho do ambiente de rede que se possa imaginar, e é quase certamente adequado para qualquer rede se ela contém um computador, ou milhares. Nos tópicos a seguir será citado algumas das implementações mais comuns, conforme a figura 8, a seguir:
FIGURA 8: Tela inicial do gerenciador pfSense Fonte: Própria
54
7. IMPLEMENTAÇÃO
7.1 CENÁRIO
O cenário cujo implantado o pfSense para a realização do projeto desenvolvido foi baseado em um ambiente real corporativo e simulado sua estrutura em maquinas virtuais. A matriz da empresa localizada na Avenida 24 de Outubro, Nº 1203, Setor Campinas, Goiânia-Goiás, possui mais cinco (5) filiais sendo três (3) em Goiânia e duas (2) em Anápolis. A conexão do sistema comercial e a rede local é interligada através de VPN, na qual se utiliza a estrutura da Internet para interconectar filiais e centralizar tudo em um único local, que nesse caso é a matriz, além da estrutura VPN que será implantada, também a filtragem de pacote por meio de firewall, juntamente com um Proxy para fazer cachê e controlar o o a sites indesejados. A seguir, apresentaremos a estrutura do ambiente.
7.1.1 Requisitos de hardware e software
Recomenda-se utilizar um servidor com pelo menos 1.5 Ghz de processador e 512 MB de Ram. Necessário utilizarmos no mínimo 2 placas de rede, caso seja necessário poderá ser inserida outra placa de rede. Conforme mencionado anteriormente, o pfSense é baseado na plataforma FreeBSD, sendo uma ferramenta nativa do sistema operacional, indiferente de sua versão.
55
7.2 AMBIENTE DE EXECUÇÃO
O Projeto real foi simulado em ambiente virtual conforme citado no item 7.1. Os equipamentos reais utilizados para testes rodando VMWare foram os seguintes: -Servidor (Maquina real); -Processador Intel Pentium 4 2.8 ghz; -Memória 2GB DDR2 800 mhz; -Hard Disk 320 GB 7200 rpm; -Placa Mãe Intel Soket 775; -Sistema Operacional Windows Server 2003; -Estações (Máquinas reais); -Notebook Acer Aspire 5532; -Processador AMD Athlon 64 x2; -Memória 2 GB DDR2; -Hard Disk 250 GB 7200 rpm; -Sistema Operacional Windows 7 Professional 64 bit; -Notebook HBuster HBNB-1401; -Processador Intel Pentium T4400; -Memória 2GB DDR2; -Hard Disk 320 GB 7200 rpm; -Sistema Operacional Windows 7 Ultimate 32 bit. A Maquina Virtual criada possui as configurações citadas abaixo. -Servidor (Máquina Virtual); -Memória 512 MB; -Hard Disk 8GB expansivo; -2 (duas) interfaces de rede; -Sistema operacional FreeBSD.
56
7.3 INSTALAÇÃO
Nos os a seguir, serão demonstrados os os de criação da máquina virtual utilizando o VMWare Player com versão 3.0.1 build-227600. Ao iniciar o VMWare Serveir, será apresentado a tela de boas vindas. Devemos clicar em avançar para proseguir até a proxima tela, conforme a figura 9, a seguir:
FIGURA 9: Tela de Boas vindas do VMWare. Fonte: Própria
Na tela deverá ser selecionado a opção ‘Custom’, conforme a figura 10, a seguir, para personalização da máquina virtual. Nessa opção poderá ser selecionado os dispositivos adicionais e tambem especificar configurações.
57
FIGURA 10: Opção de Personalização customizada Fonte: Própria
Na tela a seguinte, deverá ser escolhido o sistema operacional que será instalado na maquina, no caso do pfSense a distribuição base será o FreeBSD, ou seja, clicamos em outros e escolha FreeBSD na lista abaixo em seguida clice em avançar, conforme a figura 11, a seguir:
FIGURA 11: Escolha do sistema operacional Fonte: Própria
58
Agora, definiremos o nome da máquina virtual, que por padrão será FreeBSD e, ela localizará a pasta dos arquivos contendo a máquina virtual em disco, também podendo ser deixado como padrão na unidade C:\Virtual Machines\FreeBSD, conforme a figura 12, a seguir:
Figura 12: Localização de instalação da Maquina Virtual Fonte: Própia
A instalação do pfSense é simples e não exige experiência alguma sobre o sistema operacional FreeBSD. Conforme a figura 13, a seguir, é solicitado se deseja utilizar e configurar Virtual Local Area Networks (VLANs), agora, neste caso não será utilizado então apenas tecle y (Yes) e de cliquem em ‘Enter’.
FIGURA 13: Ativação de Vlans. Fonte: Própria
59
Nas figuras 14 e 15, a seguir, demonstramos se desejamos realizar a configuração manual da LAN e WAN ou se desejamos que seja executado o processo de auto-detecção. Apenas clicaremos em ‘Enter’ para dar seqüência no processo de instalação, posteriormente estaremos fixando as configurações de LAN manualmente.
FIGURA 14: Auto-detecção de LAN Fonte: Própria
Figura 15: auto detecção da WAN
Figura 15: Auto-detecção de WAN Fonte: Própria
60
A seguir estaremos iniciando a instalação do pfSense, a mesma ocorre de forma simples e rápida. Na figura 16, apresentamos a seleção da opção 99 para instalar o pfSense em disco. A mesma figura mesma tela possui outras opções como conxão via SSH, configurar manualmente as insterfaces de rede, reiniciar sistema, realizar atualizações entre outras funções. Nas proximas telas apresentadas basta seguir com as configurações padrões já selecionadas automaticamente no processo de instalação.
FIGURA 16: Menu principal de instalação do pfSense Fonte: Própria
7.4 CONFIGURAÇÃO
Objetivamos Instalar, configurar e apresentar os recursos de firewall, Proxy e VPN utilizando o pfSense como gerenciador. O pfSense é um dos softwares livres mais ricos em recursos. Nascido em uma versão customizada do FreeBSD, conta com uma interface amigável que facilita a istração através de qualquer navegador.
61
Nos os a seguir, serão instalados alguns pacotes do squid no pfSense, seguindo os seguintes prpcedimentos: 1º - Instalaremos o pacote do squid no pfSense, em system packges ou na tela inicial do pfSense selecionar (+) em seguida installed packages. Será criado na home page do pfSense o atalho para instalar os pacotes necessarios; 2º - Clique “Available Packages”; 3º - Clique no botao + ao lado do pacote do squid para começar a instalaçao do serviço. O Proxy reduz utilização da conexão e melhora tempo de resposta fazendo cachê de suas requisições além de prover um nível básico de controle e segurança no o à URL’s potencialmente perigosos; 4º - Clique no botao + ao lado do pacote do squidGuard: Poderosa ferramenta de o que integrado ao squid permite controlar a navegação baseado no endereço de origem, destino, URL, Horário ou combinações desses itens. Conta com blacklists agrupados em categorias de sites e atende 1000.000 solicitações em 10 segundos segundo; 5º - Clique no botao + ao lado do pacote do Lightsquid: Ferramenta responsável pela geração de relatórios de o. Na tela principal do pfSense clique em Services > Proxy Server. Aplicaremos as configurações iniciais do squid. Na aba general do Proxy Server, podemos definiremos as configurações básicas do serviço tais como: • Interface; • Habilitar
Proxy Transparente ou autenticado;
• Log; • Porta; • Servidores
DNS .
Para configuração do squid deverá ser definido o método de autenticação no pfSense que são: • Transparent
Proxy;
• Autenticação
com usuário Local do pfSense;
62 • Autenticação
Integrada com recursos Externos (LDAP – Windows
Active Directory). Transparent Prox é a estação de trabalho que se conecta ao pfSense como gateway, que se apropria da requisição para sair para internet como Proxy. Para habilitar basta marcar a ‘check box’ correspondente na aba geral do Proxy Server. pfSense Local é um método de autenticação no qual se deve criar um ou mais usuários na aba ‘Local s’ e, em seguida, em ‘Auth Settings’, para definir o método de autenticação como Local. Autenticação Integrada com AD (LDAP) é para que os usuários de um domínio Windows 2003 / 2008 possam se autenticar com seus usuários do AD no pfSense. Devemos definir em ‘Auth Setting’ o método de autenticação LDAP seguindo as configurações a seguir: • Versão
do LDAP: (para Windows 2003 / 2008 Server);
• Authentication
Server: IP ou FQDN do Servidor;
• Authentiocation •
Port: 389;
DN (1 criado no domínio dom1.local por exemplo): ocn=1,cn=s,dc=dom1,dc=local.
• LDAP
: Senha do usuário definido em DN;
• LDAP
Base Domain: dc=dom1,dc=local (conforme exemplo do domínio
dom1.local); •
DN Attribute: uid;
• Search
Filter: sAMName=%s.
Quanto ao cache, na aba ‘Cache Mgmt’ podemos configurar as opções de cache do pfSsense. A seguir, as recomendações da comunidade pfSense, devemos apontar que pode ocorrer variações dependendo da máquina utilizada, sendo: • Hard
Disk Size 3000 (3GB);
• Memory:
50% da Capacidade do seu Server;
• Minimum
object size: 0;
• Maximum • Hard
object size: opcional;
Disk Cache System: aufs (é uma versão alternativa de unionfs
que tem como objetivo melhorar a confiabilidade e o desempenho do sistema de armazenamento).
63
Na aba ‘access control’ do Proxy Server, temos a opção de configurar um controle básico de o definindo, por exemplo, uma blascklist básica para o serviço squid. Essas blacklist poderão ser baixadas. Para baixar as blacklists com sua configuração feita através do serviço do SQUIDGuard, podemos baixar listas organizadas por grupos e categorias para facilitar o bloqueio ou liberação para máquinas, usuários e grupos. Para isto, devemos
adicionar
o
seguinte
endereço
http://www.shallalist.de/s/shallalist.tar.gz.
à
BLACK
Com
esse
LIST
URL
endereço
devidamente adicionado clique em ‘ URL’ e aguarde alguns minutos. Para o gerenciando blacklist por grupos ou simplesmente configurar sua regra default, basta ar a aba ‘default’ em Proxy Filter e, clicando em ‘Destination Ruleset’, e gerenciar as listas baixadas, liberando ou bloqueando os os conforme a necessidade e política da empresa.
FIGURA 17: Controle de o por categoria Fonte: Própria
64
A criação e gerenciamento de grupos customizados por máquinas ou usuário (caso o usuário entregue o pfSense ao Active Directory) pode ser feito na aba ‘ACL’ do Proxy Filter. Lembramos que devemos sempre salvar as configurações realizadas, clicando em ‘Save’ no fim da página e aplicar as alterações clicando em Apply na aba General settings.
FIGURA 18: Configurações Gerais do Proxy Server Fonte: Própria
Na aba ‘Log’ do Proxy Filter, podemos acompanhar uma lista de URLs que foram bloqueadas ando a oção ‘Blocked’. Outra opção interessante do log do SquidGuard esta na opção Filter Log, na qual o usuário pode acompanhar o funcionamento ou parada do serviço SquidGuard. Essa opção pode ser útil para um troubleshoting, no qual podemos verificar se o serviço está iniciado, se o último log gerado for uma mensagem semelhante à “squidGuard ready for requests“, ou se o serviço está parado quando também explícito na ultima entrada do log.
65
FIGURA 19: Pagina de LOG do do Proxy Filter Fonte: Própria
O OpenVPN é uma VPN. Mas há muita confusão sobre o que uma VPN realmente é. Há muitos produtos comerciais que não são verdadeiras VPNs, mas meramente portais SSL para um número limitado de serviços. O OpenVPN é uma verdadeira VPN baseada em SSL que requer que todas as extremidades sejam confiáveis, é implementada segurança das camadas 2 e 3 do modelo OSI usando os padrões dos protocolos SSL/TTL. O algoritimo padrão (cipher) de criptografia e o Blowfish com chave de 128 bits ou mais. O OpenVPN inclui clientes para Linux, Solaris, Mac OS X, OpenBSD, FreeBSD e NetBSD, então é seu único ponto de parada VPN. O OpenVPN é um software livre e open source para criar redes privadas virtuais
do
tipo
ponto-a-ponto
ou
server-to-multiclient
através
de
túneis
criptografados entre computadores. Ele é capaz de estabelecer conexões diretas
66
entre computadores mesmo que estes estejam atrás de Nat Firewalls sem necessidade de reconfiguração da sua rede. Essa ferramenta possibilita autenticar entre os pontos de várias maneiras. Oferece chaves secretas compartilhadas, autenticação baseada em certificados e autenticação baseada em usuário e senha. O método de autenticação com chaves secretas compartilhadas é o mais simples, e combinando com certificados ele se torna o mais robusto e rico recurso de autenticação. A autenticação com usuário e senha, mas não e muito implementada, pois necessita de toda vez que for feita um conexão com o servidor terá que ser digitada a senha para estabelecer uma conexão de rede. O mesmo pode rodar sobre os protocolos UDP ou T - Utilizamos o UDP porque fornece integridade de dados (via um checksum), mas não fornece entrega garantida. Ele multiplexa toda a comunicação em cima de uma única porta T/UDP. Possui dois tipos de interfaces para rede via Universal TUN/TAP driver, podendo criar um túnel em layer-3 (TUN), ou pode criar um túnel em layer-2 baseado em ethernet, o que pode carregar qualquer tipo de tráfego ethernet, pode utilizar a biblioteca de compressão para compactar o fluxo de dados. A porta 1194 é a numeração oficial para o OpenVPN.
FIGURA 20: Configurações do Servidor VPN Fonte: Própria
67
FIGURA 21: Regras de Firewall Fonte: Própria
Na figura 21 apresentada acima foi criado as regras para a liberação de o a internet ouvindo na porta 80, VPN na porta 1194 e o Proxy na porta 3128.
68
CONCIDERAÇÕES FINAIS
Ao final deste trabalho, conclui-se que uma solução de Gerencia em segurança de redes é a forma mais segura de se controlar e monitorar o tráfego da rede utilizando serviços de firewall e Proxy, também se conectar em redes através de um meio público utilizando VPN. Dentre os serviços apresentados destacamos e demonstramos três dos essenciais serviços para gerenciamento, controle de trafego, filtragem de pacotes e tunelamento virtual. Optou-se por utilizar pfSense, por ser um software livre, possui fácil implementação e utiliza https. O HTTPS utiliza protocolo SSL é amplamente utilizado para transações segura pela Internet e está em constante atualização, também um ponto forte na escolha da ferramenta pfSense é a facilidade de usabilidade, entendimento e criação das regras, não exigindo experiência alguma em FreeBSD e muito menos em comandos digitados em console, devido suas regras e políticas serem aplicadas todas através de cliques simples, exigindo apenas entendimento na finalidade das regras e o que se deseja alcançar. Ao final da implementação foi possível perceber que conseguimos atender as características desejáveis para uma VPN segura utilizando o OpenVPN, filtragem de pacotes por meio de firewall e controle de o a internet por meio de Proxy. Esta solução foi implementada na empresa Omega Dornier Comercio de Jóias LTDA, utilizando uma topologia estrela, visando permitir que usuários externos obtivessem o aos recursos da rede interna, porem filtrados por meio do firewall e o a internet controlado por Proxy Server, sendo esses três serviços gerenciados pela console web do pfSense de qualquer lugar onde tenha o a internet.
A
implementação
realizada
neste trabalho foi
baseada nesta experiência. Mas somente o firewall, Proxy e VPN não é suficiente, para permitir que usuários internos e externos tenham o aos recursos da rede de forma segura, é extremamente recomendado possuir outras formas de proteção como aplicar políticas de segurança bem elaborada, políticas de backup, autenticação de usuários na rede e monitoramento diário do que se esta trafegando na rede.
69
REFERÊNCIA BIBLIOGRÁFICA
BUECHLER, Christopher M. | PINGLE Jim, pfSense:The Definitive Guide. http://www.projetoderedes.com.br/tutoriais/tutorial_conceitos_gerenciamento_01.php José Mauricio dos Santos Pinheiro em 17/07/2006 | 22/10/2011 20:43 http://www.di.ufpe.br/~flash/ais98/gerrede/gerrede.html | 25/10/2011 19:40 http://www.vivaolinux.com.br/artigo/Webmin-Solucao-em-istracao-de-sistemas 25/10/2011 20:25 http://www.brunorusso.eti.br/howto/mrtg | 26/10/2011 09:02 http://oss.oetiker.ch/mrtg/ | 26/10/2011 14:20 http://pt.idoub.com/doc/32385846/CDTC-Ntop | 26/10/2011 16:44 http://www.freebsdbrasil.com.br/home.php?area=2&conteudo=5 | 31/10/2011 19:43 http://doc.fug.com.br/doc/pt_BR.ISO8859-1/books/handbook/nutshell.html
|
31/10/2011 20:16 http://eficienti.wordpress.com/2011/02/02/instalacao-configuracao-e-manutencao-dofsense-2/ | 10/09/2011 23:28 http://jamsux.wordpress.com/2009/09/15/pfsense-openvpn-site-to-site/ | 02/09/2011 14:10 SOUZA, Denis Augusto A. FreeBSD - O poder dos servidores em suas mãos | 2009.
CARLOS ROBERTO KOLLING ALESSANDRO FORTUNATO DA SILVA
GERÊNCIA EM SEGURANÇA DE REDES COM A FERRAMENTA PFSENSE PROFESSOR-ORIENTADOR: Me. Rafael Leal Martins
Goiânia, 2011
CARLOS ROBERTO KOLLING ALESSANDRO FORTUNATO DA SILVA
GERÊNCIA EM SEGURANÇA DE REDES COM A FERRAMENTA PFSENSE
Trabalho de Conclusão de curso apresentado à Faculdade
de
Desenvolvimento
Tecnologia Gerencial
-
SENAI
de
FATESG,
para
obtenção do título de Graduado em Tecnologia em Redes de Computadores. Professor-Orientador: Me. Rafael Leal Martins
Goiânia, 2011
FOLHA DE APROVAÇÃO
CARLOS ROBERTO KOLLING ALESSANDRO FORTUNATO DA SILVA
GERÊNCIA EM SEGURANÇA DE REDES COM A FERRAMENTA PFSENSE
Trabalho de conclusão de curso apresentado à Faculdade de Tecnologia SENAI de Desenvolvimento Gerencial – FATESG, para obtenção do título de Graduado em Tecnologia em Redes de Computadores.
Aprovada em ____ de ________________ de 20____.
Banca Examinadora ____________________________________________________ Prof. Dr. ____________________________________________________ Prof. Ms. ____________________________________________________ Prof. Esp.
AGRADECIMENTOS
Agradecemos primeiramente a Deus, que nos concedeu a vida, a luz e a inspiração. Aos familiares, pelo apoio e compreensão, aos amigos que estiveram presentes durante essa jornada, ao corpo docente da Unidade SENAI FATESG, Prof. Rafael Leal Martins, pela oportunidade de podermos estar buscando e inovando os nossos conhecimentos com fundamentos específicos nesta disciplina, obrigado a todos que fizeram parte dessa conquista.
"Nós
nascemos,
instante,
e
vivemos
morremos.
por
um
Sempre
breve assim
aconteceu durante imenso tempo. A tecnologia não muda muito isso - se é que muda alguma coisa." Autor: Steve Jobs
LISTA DE ILUSTRAÇÕES
LISTA DE ABREVIATURAS SIGLAS
BGP – Border Gatway Protocol BSD – Berkeley Software Sistribution COBIT – Control Objetives for Information and Related Tecnology CMIP – Common Management Information Protocol DMZ – Demilitarized Zone
DOS – Denial of Service IDS – Intrusion Prevention System ISC – Internet Systems Consortium IAB – Internet Activies Board LAN – Local Area Network MRTG – Multi Router Traffic Grapher PPPOE – Protocol Over Ethernet RFC – Request for Comments
VPN – Virtual Private Network
RESUMO
A interconexão de redes por meio da Internet é uma alternativa muito atraente para empresas que
necessitam
compartilhar
seus
recursos
com
outras
empresas ou funcionário. No entanto, trafegar esses dados sem nenhuma forma de proteção é um risco muito alto. O Gerenciador de Segurança de Redes pfSense permite realizar esta conexão de forma segura por meio de diversas ferramentas que auxiliam no controle de tráfego e na gerencia da rede. Este trabalho irá apresentar alguns conceitos de segurança que servem como base para o entendimento do funcionamento do pfSense. Serão abordadas as principais ferramentas de controle de o à Internet, filtragens de pacotes por meio de firewall e interconexão de redes através de VPN (Virtual Network Private) tudo isso gerenciado pelo pfSense,
assim
como
também
serão levados em
consideração conceitos de gerencia de redes e segurança da informação. A finalidade deste estudo é apresentar algumas das principais ferramentas utilizadas para criar e gerenciar as políticas de segurança no ambiente corporativo. Palavras-chave: pfSense. Firewall. Gerencia. Políticas de Segurança.
ABSTRACT
The interconnection of networks through the Internet is a very attractive alternative for companies who need to share their resources with other companies or employee, however travel on these data without any form of protection is a very high risk. The Network Security Manager allows you to make this connection pfSense safely through a variety of tools that assist in traffic control and manage the network. This paper will present some security concepts that serve as a basis for understanding the functioning of pfSense. Will discuss the main tools for controlling access to the Internet, packet filtering firewall and through interconnection of networks through VPN (Virtual Private Network) all managed by pfSense, and will also be taken into concepts of network management and information security. The purpose of this study present some of the main tools used to create and manage security policies in the corporate environment. Keyword: Manage Policies. Security. pfSense. Firewall
SUMÁRIO
1. INTRODUÇÃO........................................................................................................12 1.1 OBJETIVOS GERAIS...........................................................................................13 1.2 OBJETIVOS ESPECIFICOS................................................................................13 1.3 JUSTIFICATIVA....................................................................................................14 1.4 METODOLOGIA...................................................................................................14 2. REFERENCIAL TEÓRICO.....................................................................................16 2.1 SEGURANÇA DA INFORMAÇÃO.......................................................................16 2.1.1 O que é segurança da Informação.................................................................16 2.1.2 Informação........................................................................................................17 2.1.3 Ativo...................................................................................................................18 2.1.4 Porque é necessarioa segurança da informação........................................18 2.1.5 Como estabelecer os requisitos de segurança............................................19 2.1.6 Avaliando os riscos de segurança.................................................................20 2.2 PONTO DE PARTIDA PARA A SEGURANÇA DA INFORMAÇÃO...................22 2.3 POLITICAS DE SEGURANÇA DA INFORMAÇÃO............................................23 2.4 CONCEITOS DE GERENCIAMENTO DE REDES..............................................24 2.5 OBJETIVOS DO GERENCIAMENTO DE REDES..............................................28 2.6 PROTOCOLOS E PADROES DE GERENCIAMENTO DE REDES...................29 2.6.1 O Protocolo SNMP...........................................................................................30 2.7 FERRAMENTAS DE GERENCIA DE REDES.....................................................36 2.7.1 webmim.............................................................................................................36 2.7.2 mrtg....................................................................................................................37 2.7.3 ntop ...................................................................................................................38
2.8 O PAPEL DO DE REDES.....................................................39 3. GERENCIAMENTO DE SEGURANÇA DE REDES DE COMPUTADORES........41 3.1 CONTROLES PARA REDES DE COMPUTADORES.........................................42 3.2 CONTROLES DE O A REDE...................................................................43 4. CONCEITOS DE FIREWALL.................................................................................44 4.1 O QUE É FIREWALL............................................................................................44 4.1.1 Tipos de Firewall..............................................................................................44 6. A FERRAMENTA PFSENSE..................................................................................53 7. IMPLEMENTAÇÃO.................................................................................................54 7.1 CENARIO..............................................................................................................54 7.1.1 Requisitos de Hardware e Software...............................................................54 7.2 AMBIENTE DE EXECUÇÃO................................................................................55 7.3 INSTALAÇÃO.......................................................................................................56 7.4 CONFIGURAÇÃO.................................................................................................60 CONSIDERAÇÕES FINAIS........................................................................................68 REFERÊNCIAS BIBLIOGRÁFICAS..........................................................................69
12
1. INTRODUÇÃO
A Internet tem sido um grande meio de comunicação disponível para ambientes corporativos e residenciais. Nela se concentram inúmeros usuários que a utilizam no dia a dia para enviar e receber informações através de recursos de comunicação como e-mail, grupos de discussões e redes sociais. Contudo, a Internet encontra um problema; devido ao fator de não ter como filtrar o tipo de usuário que a utiliza, se encontra então dificuldades de saber quem esta do outro lado, se o site que amos realmente é seguro, se a troca de informação não esta sendo receptada no meio em que se transmite. Usuários maus intencionados também têm o mesmo o à rede mundial de computadores (Internet), podendo assim realizar captura de dados enquanto outros usuários acham que navegam em sites seguros, ou seja, enquanto alguns trabalham, há sempre alguém interessado em capturar uma informação sigilosa para obter vantagem ou só pelo simples fato de danificar ou paralisar uma corporação inteira. Devido a este fator, surge a necessidade de se implementar ferramentas que possam garantir a privacidade e a segurança do tráfego de dados. A segurança de dados através da filtragem de pacotes é o bloqueio ou liberação de maneira seletiva da agem de pacotes de dados, conforme atravessam uma interface de rede. O pfsense é uma ferramenta de fonte aberta, livre para distribuição, baseada e personalizada sobre a plataforma FreeBSD, adaptada para uso como um firewall e router,
totalmente gerenciado em uma
interface fácil de se utilizar e totalmente via web. Além de ser uma poderosa plataforma de filtragem de pacotes de roteamento flexível, inclui uma longa lista de recursos relacionados e um sistema de pacotes que permite expansão, a exploração de seus recursos, sem adição de vulnerabilidades de segurança. Ela é de grande potencial para a atividade de distribuição base. Essa ferramenta abrange desde pequenas redes domésticas até grandes empresas, universidades e outras organizações, protegendo milhares de dispositivos de rede.
13
1.1 OBJETIVOS GERAIS O objetivo deste trabalho é demonstrar e analisar o funcionamento de alguns dos recursos necessários e imprescindíveis para prover a segurança da informação, utilizando a filtragem de pacotes (firewall) para garantir um ambiente saudável, juntamente com uma ferramenta Proxy para fazer cachê e controle de o à Internet e também tunelamento criptografado utilizando Virtual Private Network (VPN), cujo utiliza a estrutura da Internet para interligar redes locais. Para isto, apresentaremos os conceitos da ferramenta pfSense e seu poder no gerenciamento em segurança de redes no que se refere à ferramenta firewall gerenciada por qualquer navegador web.
1.2 OBJETIVOS ESPECIFICOS
O pfSense tem como objetivo principal a filtragem e roteamento de pacotes. A implantação mais comum do pfSense é como um firewall de perímetro, com uma conexão à Internet ligada ao lado da Wide Area Network (WAN), e da rede interna ao lado Local Area Network (LAN). O pfSense acomoda redes com necessidades mais complexas, como Internet de múltiplas conexões, múltiplas redes LAN, redes múltiplas DeMilitarized Zone (DMZ). Alguns usuários também adicionam Border Gateway Protocol (BGP) para fornecer capacidades de conexão redundância e balanceamento de carga. Demais serviços como, Proxy, VPN, Dynamic Host Configuration Protocol (DH) relay, DH server, Domain Name System (DNS) forwarder, Distributed Domain Name Service (DDNS), Point to Point Protocol Over Ethernet (PPPoE) server, Fail Over com carp, Intrusion Prevention System (IDS), Traffic Graph por endereço Internet Protocol e tudo gerenciado com o software open source pfSense, conforme será abordado e analisado no decorrer do trabalho. Os objetivos especificos desse projeto será uma prévia geral do poder da ferramenta pfSense, porém focado em três ferramentas ou serviços, cujo a primeira e primordial será a criação de regras de filtragem de pacotes com firewall nativo do pfSense e roteamentos de redes destintas, juntamente com a ferramenta OpenVPN para a criação de tuneis entre filiais com seu tráfego criptografado sendo checado
14
seu o por meio de certificados digitais e, para concluir, abordaremos o proxy para a realização de cache e controle de o à Internet por meio de autenticação de s Também entrará como foco alguns conceitos relacionados ao sistema operacional FreBSD, distribuição base do pfSense, e o porque escolher a plataforma Berkeley Software Distribution (BSD).
1.3 JUSTIFICATIVA
A ferramenta escolhida para ser estudada e implementada nesse projeto, foi cautelosamente classificada entre as demais que possuem aplicações similares, além de ser pouco conhecida e utilizada nas empresas o pfSense possui alto poder de gerenciar os serviços aplicados a ele, desde que saiba o que esta querendo alcançar. Em pesquisas realizadas na internet e também na própria instituição não se encontra nada relacionado a algo de implementação, estudo ou analise da ferramenta pfSense. A escolha de estudar e implementar essa ferramenta com os serviços citados acima se dá por conta da dificuldade de se entender códigos e linhas de comando quando feito da forma convencional, cujo a ferramenta que existe é uma tela de console e o restante se cria com conhecimentos aprofundados no que se deseja desenvolver para atender a necessidade especifica. Já o pfSense reúne tudo em um único gerenciador web, tento todos os serviços centralizados e gerenciados de uma única maneira e em um único ambiente. Entendemos que com essa ferramenta em pleno funcionamento num ambiente corporativo pode aumentar a segurança do tráfego que na rede circula como também facilitar a vida do ou gerente de redes.
1.4 METODOLOGIA
A metodologia de pesquisa para implementar e estudar o projeto tema foi baseado em consultas nas comunidades e fóruns e projetos oficiais do pfSense,
15
para saber opiniões, falhas, vantagens de quem já implementou a ferramenta e assim adquirimos uma base de para ter mais cautela em analisar os os, também em livros de distribuições da FreeBSD e principalmente o que foi nosso guia do projeto o pfSense - The Definitive Guide. O que foi levado em foco são problemas em instalações do software, dificuldades apresentadas, facilidades na visualização e interpretação do que a ferramenta precisa.
16
2. REFERENCIAL TEÓRICO
2.1 SEGURANÇA DA INFORMAÇÃO
2.1.1
O que é segurança da informação ?
A informação é um ativo, entre outros ativos de extrema importância nos negócios. A Informação deve ser protegida de maneira que não ocorra a possibilidade
de
os
não
autorizados,
alterações
indevidas
ou
sua
indisponibilidade. A segurança da informação deve ser implantada em todas as áreas da organização, pois são encontradas em diversos meios como: impresso ou escrito em papel; armazenado eletronicamente; enviado pelo correio ou através de meios eletrônicos. A segurança da informação tem como objetivo a preservação de três princípios básicos pelos quais se norteia a implementação desta prática, conforme a figura 1, a seguir: - Confiabilidade – Toda informação deve ser protegida de acordo com o grau de sigilo de seu conteúdo, visando à limitação de seu o e uso apenas às pessoas para quem elas são destinadas. - Integridade – Toda a Informação deve ser mantida na mesma condição em que foi disponibilizada pelo seu proprietário, visando protegê-las contra alterações indevidas, intencionais ou acidentais. - Disponibilidade – Toda a informação gerada ou adquirida por um individuo ou instituição deve estar disponível aos seus usuários no momento em que os mesmos delas necessitem para qualquer finalidade. (SÊMOLA, 2003, p.45).
17
LIN L O K S
G
Disponibilidade
C
LO R A
Integridade
Confidencialidade
SEGURANÇA DA INFORMAÇÃO
FIGURA 1: Princípios da Segurança da Informação. Fonte: Própria
2.1.2 Informação
Conjunto de dados utilizados para a transferência de uma mensagem entre indivíduos e/ou máquinas em processos comunicativos (baseados em troca de mensagens) ou transacionais (processos em que sejam realizadas operações que envolvam, por exemplo, a transferência de valores monetários). A informação pode estar presente ou ser manipulada por inúmeros elementos deste processo, chamados ativos, os quais são alvos de proteção da segurança da informação.
18
2.1.3
Ativo
Todo elemento que compõe os processos, incluindo o próprio processo, que manipulam e processam a informação, a contar a própria informação, o meio em que ela é armazenada, os equipamentos em que ela é manuseada, transportada e descartada. O termo “ativo” possui esta denominação, oriunda da área financeira, por ser considerado em elemento de valor para o individuo ou organização, e que, por esse motivo, necessita de proteção adequada. Existem muitas formas de dividir
e
agrupar
os
ativos
para
facilitar
seu tratamento,
um
deles
é:
equipamentos, aplicações, usuários, ambientes, informações e processos. Desta forma,
torna-se
possível
identificar melhor
as fronteiras
de
cada
grupo,
tratando-os com especificidade e aumentando qualitativamente as atividades de segurança.(SÊMOLA, 2003, p. 45 e 46).
2.1.4 Porque é necessário a segurança da informação
A
informação
importantes
ativos
e e
os
processos
de
apoio,
sistemas
e
redes
são
também, estratégicos para os negócios. Confiabilidade,
integridade e disponibilidade
são características chave para a segurança da
informação. É através dessas características que é possível preservar
a
competitividade, o faturamento, a lucratividade, o atendimento aos requisitos legais e a imagem da organização no mercado. As organizações estão extremamente preocupadas com a segurança nos sistemas de informação e redes de computadores. Esses tipos de ameaças à segurança podem acarretar em enormes prejuízos aos negócios, é são utilizadas variedades de fontes como, fraudes eletrônicas, espionagem, sabotagem, entre outras. É necessário garantir a confiabilidade e segurança de suas transações e combater os ataques causados por vírus, hackers, e ataques de “Denial of Service”,
que
estão
se tornando cada vez mais comuns, mais ambiciosos e
19
incrivelmente mais sofisticados. A dependência nos sistemas de informação e serviços significa que as organizações estão cada vez mais vulneráveis às ameaças
de
segurança.
A interconexão de redes públicas e privadas e o
compartilhamento de recursos de informação aumentam controlar
o
implementação
a
dificuldade
o. A tendência da computação distribuída de
um
controle
de
de
se
dificulta
a
o centralizado realmente eficiente.
(ISO/IEC 17799, 2001, p. 2). Muitos sistemas de informação não foram projetados para garantir a segurança, pelo motivo que esses sistemas foram desenvolvidos em uma época em que não existia a interconexão das redes de computadores. A segurança que pode ser alcançada por meios técnicos é limitada e convém que seja apoiada por uma gestão e procedimentos apropriados. É necessário escolher controles que permitam a implantação da segurança, mas para que os resultados sejam alcançados é necessária à participação de todos os funcionários da organização, e possivelmente a participação dos fornecedores, clientes
e acionistas. Os controles de segurança da
informação são
consideravelmente mais baratos e mais eficientes se forem incorporados nos estágios do projeto e da especificação dos requisitos.
2.1.5 Como estabelecer os requisitos de segurança
Toda organização para obter segurança de suas informações deve estabelecer requisitos, conforme a norma ISO/IEC 17799, pode ser dividido em três fontes principais: A primeira fonte é derivada da avaliação de risco dos ativos da organização. Através da avaliação de risco são identificadas as ameaças aos ativos, as vulnerabilidades e sua probabilidade de ocorrência é avaliada, bem como o impacto potencial é estimado. A segunda fonte é a legislação vigente, os estatutos, a regulamentação e as cláusulas contratuais que a organização,
seus
parceiros,
contratados
e prestadores de serviço têm que
atender. Denial of Service (DoS) é uma técnica que consiste em dificultar ou impedir o bom funcionamento de um serviço de Internet, através de um grande volume de requisições de serviço para esse servidor.
20
A terceira fonte são as particularidades da organização, objetivos e requisitos para o processamento da informação que uma organização tem que se desenvolver para apoiar suas operações.(ISO/IEC 17799, 2001, p. 2).
2.1.6 Avaliando os riscos de segurança
Os requisitos de segurança são identificados através de uma avaliação sistemática dos riscos de segurança. Os gastos com os controles necessitam ser balanceado de acordo com os danos causados aos negócios gerados pelas potenciais falhas de segurança. As técnicas de avaliação de riscos podem ser aplicadas em toda a organização ou apenas em parte dela, assim como em um sistema de informações individuais, componentes de um sistema especifico ou serviços, quando for viável, prático e útil. (ISO/IEC 17799, 2001, p. 2). Sendo assim, vulnerabilidades,
risco
é
a
provocando
probabilidade perdas
de
de
ameaças
confiabilidade,
explorarem
integridade
e
disponibilidade, causando possivelmente, impactos para a organização. Com os resultados obtidos na avaliação de risco é possível direcionar e determinar as ações gerenciais e prioridades mais adequadas para um gerenciamento de riscos da segurança da informação e a selecionar os controles a serem implementados para a proteção contra estes riscos. É
necessário
realizar
análises
críticas
periódicas
dos
riscos
de
segurança e dos controles implementados para: a) considerar as mudanças nos requisitos de negócios e suas prioridades; b) considerar novas ameaças e vulnerabilidades; c) confirmar que os controles permanecem eficientes e adequados. É de grande importância que as análises críticas sejam executadas em diferentes níveis de profundidade, dependendo dos resultados obtidos nas avaliações de riscos e das mudanças nos níveis de riscos é verificado se é aceitável para o negócio. A seqüência correta para a verificação das vulnerabilidades, deve ser primeiro a avaliação de riscos em um nível mais geral, como uma forma de
21
priorizar recursos em áreas de alto risco, e então em um nível mais detalhado, para solucionar riscos específicos. O universo de controles aplicáveis é enorme, pois estamos falando de mecanismos destinados à segurança física, tecnológica e humana. Se pensarmos no capital humano como um dos elos mais críticos e relevantes para a redução dos riscos, temos alguns controles como: seminários de sensibilização; cursos de capacitação; campanhas de divulgação da política de segurança; crachás de identificação; procedimentos
específicos
para
demissão
e
issão
de
funcionários; termo de responsabilidade; termo de confiabilidade; softwares de auditoria de os; softwares de monitoramento e filtragem de conteúdo etc. Muitos controles humanos citados interferem direta ou indiretamente no ambiente físico, conjunto
de
mas este
deve
receber
a
implementação
de
um
outro
mecanismos voltados a controlar o o e as condições de
ambientes físicos, sinalizando registrando, impedindo e autorizando os e estados, dentre os quais podem ser utilizados: roletas de controle de o físico; climatizadores de ambiente; detectores de fumaça; acionadores de água para combater incêndio; extintores de incêndio; cabeamento estruturado; salascofre; dispositivos
biométricos;
smartcards;
certificados
digitais
de Token;
circuitos internos de televisão; alarmes e sirenes; dispositivos de proteção física de equipamentos; Nobreaks; dispositivos de armazenamento de mídia magnética; fragmentadores de papel; etc. Assim como ocorre com os controles físicos e humanos, a lista dos dispositivos aplicáveis aos ativos tecnológicos é extensa; afinal, além da diversidade e heterogeneidade de tecnologias, ainda temos que considerar a velocidade criativa do setor que nos apresenta uma nova ferramenta ou equipamento praticamente a cada dia. Os instrumentos aplicáveis aos ativos tecnológicos podem ser divididos em três famílias. Autenticação e autorização - Destinados a suprir os processos de identificação de pessoas, equipamentos, sistemas e agentes em geral, os mecanismos de autenticação mostram-se fundamentais para os atuais padrões de informação, automação e compartilhamento de
informações. Sem
identificar a
origem de um o e seu agente, torna-se praticamente inviável realizar
22
autorizações condizentes com os direitos de o, podendo levar a empresa a compartilhar informações valiosas sem controle. Combate a ataques e invasões - Destinados
a
suprir
a
infraestrutura
tecnológica com os dispositivos de software e hardware de proteção, controle de o e conseqüentemente combate a ataques e invasões, esta família de mecanismos tem papel importante no modelo de gestão de segurança, à medida que
as
conexões
eletrônicas
e
tentativas
de
o
indevido
crescem
exponencialmente. Privacidade das comunicações - É inevitável falar de criptografia quando o assunto é privacidade das comunicações. A criptografia
é
uma
ciência
que
estuda os princípios, meios e métodos para proteger a confiabilidade das informações através da codificação ou processo de cifração e que Control Objectives for Information and related Tecnhology (COBiT), modelo utilizado para verificar a governança de Tecnologia da Informação em uma organização. Ele permite
a
restauração
da
informação
original
através
do
processo
de
decifração. Largamente aplicada na comunicação de dados, esta ciência utiliza algoritmos matemáticos e da criptoanálise, para conferir maior ou menor proteção de acordo com a sua complexidade e estrutura de desenvolvimento. Quando olhamos para um software de criptografia de mensagem ou, por exemplo, aplicações que adotam
criptografia,
estamos
diante
de situações
em
que
a
ciência
foi
empregada e materializada em forma de programas de computador.
2.2 PONTO DE PARTIDA PARA A SEGURANÇA DA INFORMAÇÃO
Um número de controles pode ser considerado como princípios básicos, fornecendo um bom ponto de partida para a implementação da segurança da informação. São baseados tanto práticas
de
segurança
da
em
requisitos
legais
como
nas
melhores
informação normalmente usadas. Os controles
considerados essenciais para uma organização, sob o ponto de vista legal, incluem: a) proteção de dados e privacidade de informações pessoais;
23
b) salvaguarda de registros organizacionais; c) direitos de propriedade intelectual. Os controles considerados como melhores práticas para a segurança da informação incluem: a) documento da política de segurança da informação; b) definição das responsabilidades na segurança da informação; c) educação e treinamento em segurança da informação; d) relatório dos incidentes de segurança; e) gestão da continuidade do negócio. Estes controles se aplicam para a maioria dos ambientes corporativos, seguindo a Norma ISO/IEC 17799, percebemos que somente é possível utilizar esses controles, se determinarmos anteriormente a seleção dos controles onde coletando as informações através da avaliação de riscos, é possível verificar as vulnerabilidades e garantir sua correção.
2.3 POLITICAS DE SEGURANÇA DA INFORMAÇÃO
O objetivo da política de segurança da informação é prover à direção uma orientação e apoio para a segurança da informação. Segundo a NBR ISO/IEC 17799 (2001, p. 4) “Convém que a direção estabeleça uma política clara e demonstre apoio e comprometimento com a segurança da informação através da emissão e manutenção de uma política de segurança da
informação para toda a
organização”. Para que seja possível a implantação da política é necessário que a alta direção tenha aprovado, comunicado e publicado, de maneira adequada para os funcionários. É necessário que a alta direção esteja sempre preocupada com o processo e estabeleça as linhas mestras para a gestão da segurança da informação, e onde devem ser estabelecidas, no mínimo, as seguintes orientações -a segunda parte da norma, ainda não homologada, cujo objetivo é proporcionar uma base para gerenciar a segurança da informação dos sistemas das empresas -:
24 a) Definição de segurança da informação, resumo das metas e escopo e
a importância da segurança como um mecanismo que habilita o
compartilhamento da informação; b) Declaração do comprometimento da alta direção, apoiando as metas e princípios da segurança da informação; c) Breve explanação das políticas, princípios, padrões, e requisitos de conformidade de importância específica para a organização, por exemplo: - Conformidade com a legislação e cláusulas contratuais; - Requisitos na educação de segurança; - Prevenção e detecção de vírus e software maliciosos; - Gestão da continuidade no negócio; - Consequências das violações na política de segurança da informação; d) Definição das responsabilidades gerais e específicas na gestão da segurança da informação, incluindo o registro dos incidentes de segurança; e) Referencias à documentação que possam apoiar a política, por exemplo, políticas e procedimentos de segurança mais detalhados de sistemas de informação específicos ou regras de segurança que convém que os usuários sigam. (ISO/IEC 17799, 2001, p. 4).
2.4 CONCEITOS DE GERÊNCIA DE REDES
Devido à grande variedade de ferramentas e dispositivos a serem associados parcialmente ou exclusivamente ao uso da Internet e rede, atualmente, o gerenciamento de um ambiente computacional é o procedimento que consiste em controlar todos os componentes de hardware e software da rede. A gerência esta associada ao controle de atividades e ao monitoramento do uso de recursos da rede, tratar estas informações possibilitando um diagnóstico e encaminhar as soluções dos problemas (RIGNEY 1996). Estatisticamente, enquanto 30% dos custos de uma rede estão diretamente associados à aquisição de hardware, os 70% restantes dizem respeito à manutenção e ao e dessa rede (PINHEIRO 2006). O gerenciamento de uma rede torna-se uma atividade que contribui decisivamente para o funcionamento contínuo dos sistemas, garantindo que a qualidade dos serviços oferecidos mantenha-se em níveis satisfatórios pelo maior
25
tempo possível. Alguns exemplos de recursos oferecidos pelas ferramentas de gerenciamento de redes são: •
Interoperabilidade das redes;
•
Alertas de problemas;
•
Aviso antecipado de problemas;
•
Captura automática de dados;
•
Gráficos de utilização de hosts em tempo real;
•
Gráficos de eventos da rede.
Existem alguns conceitos básicos que são comuns a qualquer sistema de gerenciamento, são eles: •
Objeto gerenciado: Qualquer objeto ível de ser monitorado numa rede para verificar certos parâmetros de funcionamento. Podem ser dispositivos lógicos (software) ou físicos (hardware);
•
Agente: Elemento responsável pela coleta de informações dos objetos gerenciados, enviando-as ao gerente e executando comandos determinados por ele, baseados em tais informações;
•
Gerente: É quem concentra as informações adas pelo agente e envia comandos de gerenciamento a este para serem executados sobre os objetos gerenciados;
•
MIB (Management Information Base): É a estrutura de dados básica de um sistema de gerenciamento. Consiste basicamente numa tabela onde se encontram os dados relevantes ao gerenciamento de um sistema. Seu formato é definido pela SMI (Structure of Management Information), que é descrita na linguagem ASN.1 (Abstract Syntax Notation One).
26 SISTEMA DE GERENCIAMENTO AGENTE
L O K
APLICAÇÕES DE GERENCIAMENTO
OPERAÇÕES
S O L R CA
G N I L
NOTIFICAÇÕES
OBJETOS GERENCIADOS
GERENTE
FIGURA 2 - Exemplo de sistema de gerenciamento Fonte: Própria
Um agente se reporta a um gerente através de um protocolo de gerenciamento e a para este os dados constantes na sua MIB, de acordo com as requisições do gerente, conforme a figura 2, a seguir:
27
ARQUITETURA DE UM SISTEMA DE GERENCIAMENTO
L O SK
G N LI
AGENTE PROXY
MIB
O L R A C OBJETOS GERENCIADOS
MIB
AGENTE
APLICAÇÕES DE GERENCIAMENTO
MIB
GERENTE
PROTOCOLO
AGENTE
FIGURA 3 - Arquitetura de um Sistema de Gerenciamento Fonte: Própria
O Agente Proxy da figura é o agente responsável pelo monitoramento remoto, guardando na sua MIB os dados referentes a todos os dispositivos sob sua responsabilidade. Ele é utilizado para eliminar a necessidade de um agente para cada objeto gerenciado. A MIB do gerente aqui apresentada nada mais é do que um resumo das MIB's dos Agentes subordinados.
28
2.5 OBJETIVOS DO GERENCIAMENTO DE REDES
Gerenciar
consiste
basicamente
em
monitorar,
detectar
falhas
e,
eventualmente, tomar determinadas medidas corretivas, (PINHEIRO 2006), conforme a figura 4, a seguir: ‘ MENSAGENS NUM PROTOCOLO DE GERENCIAMENTO
GERENTE
L O K
APLICAÇÕES DE GERENCIAMENTO
SOLICITAÇÃO
R A C
G N LI
RESPOSTA
S O L
NOTIFICAÇÃO
ESCREVE ATRIBUTOS LÊ ATRIBUTOS
OBJETOS GERENCIADOS
AGENTE
FIGURA 4 - Mensagens num Protocolo de Gerenciamento Fonte: Própria
O gerente pode efetuar a solicitação de um dado e a resposta a este pedido pode ser enviada pelo agente. Há também a possibilidade de notificação do gerente pelo agente em caso de alguma anomalia na rede. As linhas tracejadas representam operações opcionais e que eventualmente podem nem ser utilizadas, que são a escrita de atributos e a leitura destes pelo gerente. A Gerência de rede envolve atividades agrupadasem cinco áreas funcionais, sendo as áreas de gerenciamento de configuração, falhas, desempenho, segurança e contabilidade, cada uma com os seguintes aspectos:
29
- Gerência de configuração: inclui saber quais elementos fazem parte da rede, quais são suas relações uns com os outros, que parâmetros de configuração cada um deve assumir, se preocupa em si com a interconexão dos dispositivos gerenciados; - Gerência de falhas: diz respeito à detecção de eventos anormais, o diagnostico de problemas que levaram a esses eventos, acompanhamento e solução dos problemas com objetivo real de garantir o funcionamento continuo da rede e seus serviços; - Gerência de desempenho: responsável pela monitoração de indicadores de desempenho, solução de problemas de desempenho, planejamento de capacidade etc.; - Gerência de segurança: Permite controlar o o aos recursos da rede de acordo com políticas criadas, monitoradas e gerenciada a manutenção do serviço; - Gerência de contabilidade: responsável pela contabilização e verificação de limites da utilização de recursos da rede, com a divisão de contas feita por usuários ou grupos de usuários. (STRANGE, 2008)
2.6 PROTOCOLOS E PADRÕES DE GERENCIAMENTO DE REDES
Criado pelos mesmos grupos que desenvolveram o Transmission Control Protocol / Internet Protocol (T/IP) e o Simple Network Management (SNMP), o RMON é um padrão IETF de gerenciamento de redes cuja sigla representa Remote Network Monitoring (MIB). Primeiramente foi desenvolvido o padrão SNMP e, posteriormente, o padrão RMON. Os protocolos de gerenciamento de rede têm sido tradicionalmente implementados como protocolos do nível de aplicação. E até recentemente, cada vendedor costumava ter um método proprietário pelo qual seus agentes podiam se comunicar, o que levava a existência de incompatibilidades entre os diversos "padrões". A necessidade de uma representação padronizada foi sentida tanto pelo Internet Activities Board (IAB) quanto pela ISO. Enquanto a ISO trabalhou lentamente na especificação do seu padrão, o IAB saiu na frente com a proposta do
30
SNMP em 1989, como uma solução temporária para gerenciamento de redes T/IP. A ISO só lançou seu padrão, chamado Common Management Information Protocol (CMPI), muito tempo depois. Devido a sua aceitação, o SNMP tornou-se um padrão de "facto" na indústria. Como consequência desse sucesso, o SNMPv2 (SNMP versão 2) foi proposto em 1993. Em 1996, foi proposto o SNMPv3.
2.6.1 O Protocolo SNMP
O Simple Network Management Protocol (SNMP) é um protocolo de gerenciamento simples. O SNMP não é capaz de definir um problema em uma rede e nem sua gravidade. Também não fornece recursos para uma investigação das causas desse problema. A única informação que se tem através de um alerta SNMP é que existe um problema em um ponto qualquer da rede. Os alertas do SNMP padrão notificam um problema somente quando ele já atingiu uma condição extrema suficiente a ponto de comprometer a comunicação na rede como um todo. Já o diagnóstico do problema é uma tarefa do da rede. Assim, o SNMP é simplesmente um alerta para uma condição extrema da rede. O comitê do IETF decidiu que, para promover uma maior e melhor expansão das tecnologias de rede, era necessário um padrão de gerenciamento de redes mais sofisticado. Desenvolveu-se então o RMON. SNMP v.1 - Sua arquitetura é baseada no modelo Internet para redes e sua localização é equivalente à da camada aplicação no modelo OSI. A camada inferior na pilha de protocolos é a Datagram Protocol (UDP), que é protocolo de transporte padrão da Internet com serviço do tipo datagrama, conforme a figura 5, a seguir:
31 PILHA DE PROTOCOLOS SNMP SNMP UDP
CA
OS L R
K
LIN L O
G IP
ENLACE FISICA
FIGURA 5 - Pilha de Protocolos do SNMP Fonte: Própria
Sua operação é bastante simples, sendo as mensagens primitivas de serviço: - Get (Request, Next Request, Response): Trata-se do pedido do gerente para ler os dados de gerenciamento da MIB do agente. A Get Request faz o pedido inicial pelo gerente, a Response envia os dados para o gerente e a Next Request pede outro trecho da tabela seqüencialmente; - Set (Request): Serve para alteração de dados da MIB. O gerente recebe um pedido de Set Request para alterar determinado dado; - Trap: É um informe dado ao gerente de que algo de anormal está acontecendo no sistema, tem funcionamento semelhante a um alarme, conforme a figura 6, a seguir:
32
MODELO DE SERVIÇO DO SNMP v.1 APLICAÇÃO DE GERENCIAMENTO
1
2
3
4
OBJETO GERENCIADO
4
5
K S O L AR LEGENDA
GERENTE
L L O
G N I 5
1
2
3
AGENTE
1 – GET REQUEST
SNMP UDP
C
2 – GET NEXT REQUEST
SNMP
3 – SET REQUEST 4 – GET RESPONSE
UDP
5 –TRAP
IP
IP
ENLACE
ENLACE FISICA
FISICA
REDE FISICA
FIGURA 6 - Modelo de Serviço do SNMPv.1 Fonte: Própria
Existem, entretanto, alguns problemas derivados da simplicidade de implementação do protocolo SNMPv.1. Primeiramente o Trap SNMP não é confirmado. Em virtude disto, o agente até pode enviar a mensagem de Trap ao gerente, mas não saberá se ele a recebeu, podendo esta mensagem ser perdida na rede e a anomalia presente na rede eventualmente nem ser corrigida. Outro problema é a limitação da rede a ser gerenciada. Isto ocorre em virtude do "polling". Além disto, a autenticação do protocolo é deficiente, uma vez que ela é baseada nas chamadas comunidades (community based). Alguns dados do protocolo circulantes na rede podem ser lidas por pessoas estranhas ao sistema.
33
Outro fato é que o SNMPv.1 não a a busca em tabelas, permitindo apenas a existência de um gerente por sistema e que não se pode criar ou excluir objetos dentro do sistema, com este protocolo. Request For Comments 1271 (RFC 1271) enumera os seguintes objetivos para RMON: •
Operação off-line;
•
Monitoração preemptiva;
•
Detecção e reportagem de problemas;
•
Diminuição do tráfego de informações de gerenciamento entre o
sistema de gerenciamento e o segmento remoto, com a adição do conceito de "interesse dos dados"; •
Múltiplos gerentes, possibilitando o controle de tráfego de vários
segmentos de rede a partir de um ponto central. Revisões da especificação original do RMON foram publicadas como o RFC 1757 e tais revisões fazem uso de algumas convenções da MIB para o SNMPv2. A RFC 1757 define o padrão RMON de gerenciamento. Segundo a RFC, o RMON não é uma pilha de protocolos, nem mesmo um protocolo por si só. Trata-se de uma extensão de MIB, para ser utilizada com protocolos de gerenciamento de redes em aplicações para a Internet baseadas no T/IP. Os principais avanços introduzidos pelo padrão RMON foram o Controle de Monitoramento Remoto, Múltiplos Gerentes e o Gerenciamento de Tabelas. Controle de Monitoramento Remoto - A RMON MIB contém características que possibilitam o controle efetivo da estação de gerenciamento. Estas características podem ser agrupadas em duas categorias: •
Configuração: tabelas de controle e tabelas de dados;
•
Invocação de uma ação: um objeto é utilizado para representar um
comando e uma invocação de uma ação pode ser solicitada, modificando o valor de um objeto. Múltiplos Gerentes - Na arquitetura RMON, agentes podem estar sujeitos ao gerenciamento de muitas estações gerentes. No caso de um agente RMON ser compartilhado, alguns problemas podem surgir como:
34
•
Requisições concorrentes;
•
Captura de um recurso por um determinado gerente por um longo
período de tempo; •
Recursos podem ser atribuídos para um gerente que deu pane antes
de liberar o recurso. •
Para tentar solucionar tais problemas, uma combinação de requisitos
deve ser utilizada: •
Inclusão de um campo de dono para cada linha da tabela de controle;
•
Reconhecimento da não necessidade de utilização de um recurso;
•
Possibilidade de negociação de um recurso entre gerentes;
•
A possibilidade de um operador cancelar reservas de recursos;
•
Durante uma reinicialização, um gerente poder liberar recursos.
Gerenciamento de Tabelas - A especificação RMON inclui convenções textuais e regras mais claras e disciplinadas para a adição e remoção de linhas. O padrão RMON foi desenvolvido no intuito de resolver questões que outros protocolos de gerenciamento não eram capazes. Com base nestas questões, a RFC 1757 define objetivos gerenciais que o padrão RMON deve observar: (PINHEIRO 2006). •
Operação Off-line - Existem situações em que uma estação de
gerenciamento não está em contato contínuo com seus dispositivos de gerenciamento remoto. Isto pode ocorrer como conseqüência de projeto, para reduzir os custos de comunicação, ou mesmo por falha da rede, quando a comunicação entre a estação de gerenciamento e monitor, fica comprometida em sua qualidade. A MIB RMON permite que um monitor seja configurado para realizar suas atividades de diagnóstico e coleta de dados estatísticos continuamente, mesmo quando a comunicação com a estação de gerenciamento seja impossível ou ineficiente. O monitor poderá então se comunicar como a estação de gerenciamento quando uma condição excepcional ocorrer. Mesmo em circunstâncias em que a comunicação entre monitor e estação de gerenciamento não é contínua, as informações de falha, desempenho e configuração podem ser acumuladas de forma
35
continua e transmitidas à estação de gerenciamento conveniente e eficientemente quando necessário; •
Monitoramento Proativo – Devido aos recursos disponíveis no monitor,
é normalmente desejável e potencialmente útil que ele execute rotinas de diagnóstico de forma contínua e que acumule os dados de desempenho da rede. O monitor estará sempre disponível no início de uma falha; assim, ele poderá notificar a estação de gerenciamento da falha, assim como armazenar informações estatísticas a seu respeito. Esta informação estatística poderá ser analisada pela estação de gerenciamento numa tentativa de diagnosticar as causas do problema; •
Detecção e Notificação de Problemas - O monitor pode ser configurado
para reconhecer condições de erro e verificar as mesmas continuamente. Na ocorrência de uma destas condições, o evento pode ser registrado e as estações de gerenciamento notificadas de várias formas; •
Valor Agregado aos Dados - Considerando o fato de que os
dispositivos de gerenciamento remoto representam recursos dedicados exclusivamente a funções de gerenciamento e considerando também que os mesmos localizam-se diretamente nas porções monitoradas da rede, podese dizer que estes dispositivos permitem a agregação de valor aos dados coletados. Por exemplo, indicando quais os hosts que geram a maior quantidade de tráfego ou erros, um dispositivo pode oferecer (à estação de gerenciamento) informações preciosas para a resolução de toda uma classe de problemas; •
Gerenciamento Múltiplo - Uma organização pode ter mais de uma
estação de gerenciamento para as várias unidades da empresa para funções distintas ou como tentativa de proporcionar recuperação em caso de falha (crash recovery). Como tais ambientes são comuns na prática, um dispositivo de gerenciamento de rede remoto deverá ser capaz de lidar com múltiplas estações de gerenciamento concorrendo para a utilização de seus recursos. Dessa maneira, o RMON tornou-se um padrão por volta de 1990. As principais características que se buscaram para o RMON foram: •
Interoperabilidade independente de fabricante;
36
Capacidade de fornecer informações precisas sobre as causas de falha no funcionamento normal da rede, assim como da severidade dessa falha; •
Oferecer ferramentas adequadas para diagnóstico da rede.
Além destas características, o padrão deveria oferecer um mecanismo proativo para alertar o dos eventuais problemas da rede, além de métodos automáticos capazes de coletar dados a respeito desses problemas. (PINHEIRO, 2006)
2.7 FERRAMENTAS DE GERENCIA DE REDES
A Melhor alternativa para Gerenciamento de redes pode ser uma combinação de ferramentas de configuração, falhas, desempenho, segurança e contabilidade de rede.
2.7.1 Webmin
Ferramenta para istração e configuração de sistemas que faz uso de interface gráfica, ele foi desenvolvido por Jamie Cameron, utilizando a linguagem Perl. Ela foi projetada para ser uma ferramenta de istração leve, funcional, e que possa ser facilmente entendida. A ferramenta tem se tornado a mais utilizada por es de sistemas e algumas distribuições tem adotado a mesma como alternativa de manutenção, mantendo a ferramenta em seus repositórios. A proposta oferecida pela aplicação é istrar o sistema graficamente através de um navegador web, ou seja, a grande maioria dos navegadores am o Webmin, o que faz com que a aplicação tenha um desempenho satisfatório em qualquer sistema Unix/Linux. (CARDOSO 2010) Hoje em dia é comum que os sistemas precisem estar cada vez mais confiáveis e isso tem tudo a ver com a capacitação de um profissional de Tecnologia da Informação (TI). Tal fato exige que o mesmo tenha conhecimento pleno do
37
sistema operacional ou questão, e isso exige uma gama de configurações a serem feitas. Graças ao Webmin, se faz desnecessário editar arquivos de configurações manualmente, já que o software trás uma lista de tudo o que existe instalado na máquina e as opções de configuração para cada um deles de forma prática e intuitiva até para os menos experientes. Através do Webmin, se podem configurar serviços de rede, hardware e de sistema tais como: •
Serviços: web-apache, ssh, squid, bind, dh, jabber, postfix, qmail,
wu-ftp, roftpd, mysql, samba entre outros; •
Rede: nfs, adsl, nis, kerberos entre outros;
•
Hardware: grub, raid, impressoras entre outros;
•
Sistema: cron, ldap, pam, alterar senha, quotas de disco, usuários e
grupos entre outros.
2.7.2 Multi Router Traffic Grapher (MRTG)
Multi Router Traffic Grapher (MRTG) foi desenvolvido para monitorar o tráfego em uma interface de rede de um dispositivo gerenciado, através da geração de gráficos onde é mostrada a evolução deste tráfego ao longo do tempo. Porém, a utilização do MRTG em larga escala e à medida que a quantidade de equipamentos a ser monitorado aumenta, apresenta uma degradação do desempenho. Isso ocorre porque além de coletar as informações de cada equipamento,
o MRTG ainda é responsável pela criação das páginas com os
gráficos que serão exibidos. O MRTG é uma ferramenta de monitoramento que gera páginas HTML com gráficos de dados coletados a partir de SNMP. É conhecido principalmente pelo seu uso no monitoramento de tráfego de rede, mas pode monitorar qualquer coisa desde que o host forneça os dados via SNMP ou scripts. O MRTG é um programa muito útil na análise de tráfego de uma rede, mas também pode monitorar outras variáveis tais como a utilização do Hard Disk, temperatura de hardware, uso do processador etc., tornando-se uma ferramenta de grande valor, além de ser um software livre, ele pode ser configurado no sistema Linux e no sistema
38
Windows. A ferramenta MRTG pode gerar gráficos que visualizam o uso da banda de rede em termos de velocidade usando alertas como “thresholds” que iram facilitar o gerenciamento. Sendo um software livre que facilite muito a tarefa de acompanhar o funcionamento de um sistema
ou
uma
rede
através
do
protocolo
SNMP,
podemos citar algumas características dessa ferramenta: • Medição de dois valores, no caso de tráfego, podem ser entrada e saída; • Leitura via SNMP ou através de script que retorne um formata padrão; • Coleta dados a cada 5 minutos por padrão, mas o tempo pode ser aumentado; • Gera uma página em HTML com 4 gráficos (diário, semanal, mensal e anual); • O MRTG pode avisar caso o gráfico atinja um valor pré-estabelecido, por exemplo, se determinado servidor atinge 95% do espaço de disco, o MRTG pode encaminhar um e-mail para o informando o ocorrido; • Com a ferramenta CFGMAKER gera os arquivos de configuração; • Com a ferramenta INDEXMAKER gera uma página com índice para os casos em que muitos itens são monitorados.
2.7.3 ntop
Ferramenta de software livre, simples de usar e portável com a finalidade de monitoramento e análise de tráfego de rede. Atividades de gerência como: optimização da rede; planejamento e detecção de violações de segurança são algumas características oferecidas por este aplicativo. Este também tem se mostrado uma ferramenta com grande simplicidade por possuir um rápido o para monitoramento de redes (baseado em interface web). A grande vantagem de utilizar o ntop é devido a pouca necessidade de esforço e custo (para instalação e aprendizado) comparado a outras complexas e caras (apesar de sofisticados e flexíveis) plataformas de gerência. No mundo Unix, existe uma ferramenta chamada "top" que é utilizada para mostrar a utilização da Unidade central de Processamento (U) pelos processos
39
ativos na máquina. Os autores se basearam nessa idéia para a criação do Ntop, pois sentiram necessidade na identificação rápida dos "hosts" (usuários) que estivessem ocupando valiosos recursos de rede. Ntop oferece interfaces baseadas em uma linha de comando e web com disponibilidade para plataformas Unix-like e Windows. As principais funções do Ntop são: •
Medição do Tráfego da Rede;
•
Monitoramento do Tráfego da Rede;
•
Otimização e Planejamento da Rede;
•
Detecção de Violações de Segurança das Redes.
2.8 O PAPEL DO DE REDES
Um dos objetivos da gerência de redes é prevenir e solucionar problemas na rede. Geralmente esta tarefa é realizada por uma equipe. Não existe uma regra rígida sobre os profissionais que fazem parte desta equipe. Cada organização tem autonomia para criar seu próprio time de gerência de redes de acordo com suas conveniências. Porém, é comum que nesta equipe existam profissionais que executem varias tarefas distintas (LOPES 2002). A gerência de redes, como já citado na sua definição, não pode ser vista como uma atividade única, ou seja, deve ser observada como uma atividade que pode, além da operação da rede, envolver inúmeras tarefas, como por exemplo: •
Controle de o à rede;
•
Disponibilidade e desempenho;
•
Documentação de configuração;
•
Gerência de mudanças;
•
Planejamento de capacidades;
•
Auxílio ao usuário;
•
Gerência de problemas;
•
Controle de inventário;
•
Etc;
40
As principais metas do gerenciamento de redes são: •
Redução dos custos operacionais da rede;
•
Redução do congestionamento da rede;
•
Aumento da flexibilidade de operação e integração;
•
Maior eficiência;
•
Facilidade de uso;
•
Etc;
As responsabilidades de um de redes podem incluir: •
Análise de logs dos sistemas e identificação de problemas em
potencial; •
Introdução e integração de novas tecnologias no ambiente já existente
do D; •
Realizar auditorias/validações periódicas de sistemas e softwares;
•
Realizar e verificar backups;
•
Aplicação de atualizações, patches ou modificações de configuração
nos sistemas operacionais; •
Instalação e configuração de novos hardwares e softwares;
•
Gerenciamento de informações de conta de usuário e senhas;
•
Resposta a problemas técnicos nos sistemas;
•
Responsabilidade pela segurança;
•
Responsabilidade pela documentação da configuração dos sistemas;
•
Solucionar qualquer problema reportado nos sistemas;
•
Ajustes para melhorar a performance dos sistemas;
•
Assegurar que a infraestrutura de rede esteja disponível e operacional.
Em grandes empresas, algumas das tarefas listadas acima podem ser divididas entre diferentes es de sistemas ou membros de equipes diferentes. Por exemplo, uma pessoa poderia estar dedicada a aplicar todas as atualizações dos sistemas, uma equipe de qualidade executaria os testes e validações, e um ou mais redatores técnicos seriam responsáveis por toda a documentação técnica escrita. Em empresas menores, o de redes pode também desempenhar diversas funções que em outras são associadas com outros campos como:
41 •
Técnico de apoio ao usuário;
•
de Banco de Dados (DBA);
•
Analista/Especialista/ de redes;
•
Analista de sistemas;
•
Analista de Segurança da Informação;
•
Programador.
es de sistemas, em grandes empresas, não costumam ser arquitetos de sistemas ou engenheiros de sistemas. No entanto, como muitas funções nesta área, não há uma demarcação clara entre as funções de um de sistemas e outras funções técnicas não são bem definidas em empresas menores. Mesmo em grandes empresas, um de sistemas senior geralmente terá competência em outras áreas em resultado de sua experiência de trabalho. Em pequenas empresas, as funções de TI são menos discernidas, e o termo de sistemas é utilizado de forma genérica para se referir às pessoas que sabem como o sistema funciona e são acionadas quando algum sistema lógico ou físico falha.
3. GERENCIAMENTO DE SEGURANÇA DE REDES DE COMPUTADORES
Uma das principais portas de entrada para incidentes de segurança em uma organização é a Internet. Pelo motivo de que as organizações não possuem controle dos os feitos pelos seus funcionários, permitindo o o total. E também permitem os de outras corporações via Intranet e extranets, através de links dedicados ou web. Com o avanço da tecnologia e o o a Internet, está aumentando a cada
ano
o número de ataques por meio de redes de computadores, as
organizações ainda não possuem um plano de ação para evitar os riscos. O grande problema apresentado não é o tecnológico e sim o cultural. A
falta
de
conscientização do publico interno da organização, tanto dos executivos como
42
dos funcionários em geral, podem colocar em risco suas estratégias de negócios e a credibilidade no mercado. Para minimizar esses problemas é importante que seja estabelecida uma política de segurança utilizando controles que possam nortear um sistema de informação segura.
3.1 CONTROLES PARA REDES DE COMPUTADORES
É necessário que seja utilizado um conjunto de controles, para obter uma melhor preservação da segurança nas redes de computadores. São os gestores de segurança que devem implementar os controles para garantir a segurança
dos
dados
nas
redes,
assim como
a
proteção
dos serviços
disponibilizados contra os não autorizados. É recomendado que os itens a seguir sejam considerados: a) A responsabilidade operacional sobre a rede deve ser segregada da operação dos computadores, desta forma são minimizados problemas de mau uso acidental ou deliberação dos sistemas; b)
Estabelecimento
gerenciamento
de
procedimentos
e
responsabilidades
para
de equipamentos remotos, incluindo equipamentos nas
instalações dos usuários; c) Quando necessário deve ser estabelecido controles especiais para garantir a confidencialidade e a integridade dos dados que trafegam em redes públicas e para proteger os sistemas. Também podem ser utilizados para garantir a disponibilidade dos serviços de rede e dos computadores conectados. Interconexão de Redes Locais em regiões demográficas diferentes. Comércio venda e compra de produtos e serviços utilizando a Internet como meio; d) Deve ser cuidadosamente gerenciada as atividades para otimizar os serviços prestados, e garantir que os controles sejam aplicados de forma
consistente
informação.
por
toda
a infraestrutura de processamento de
43
3.2 CONTROLES DE O À REDE
Para garantir a proteção aos serviços das redes de computadores é necessário que haja um
controle,
e
que
também
seja
garantido
que
os
usuários com o as redes e aos serviços não comprometam a segurança. Devem ser assegurados os itens a seguir: a) Uso apropriado das interfaces entre as redes da organização e as redes de outras organizações e também as redes públicas; b) Uso de autenticação dos usuários e equipamentos da organização, sendo apropriadamente íntegros e seguros; c) Controle de o dos usuários aos serviços de informação. Para que o controle de o às redes seja eficaz, é necessária uma política de o às redes, onde deve citar as condições ideais para garantir a segurança. Esta política de controle é importante para as conexões de rede com as aplicações sensíveis ou críticas do negócio ou para os usuários que estão em locais de alto risco, como exemplo as áreas públicas ou externas que se encontram fora do controle e da gerencia de segurança da organização. Na criação de uma política, considerando o uso de redes e seus serviços, devem ser observados os seguintes itens: a) Redes e serviços de redes aos quais o o é permitido; b) Procedimentos de autorização para determinar os usuários que possam ter o à rede e quais os serviços de rede; c) Procedimentos e controles de gerenciamento da segurança para proteger os os às conexões e serviços de rede.
44
4. CONCEITOS DE FIREWALL
4.1 O QUE É FIREWALL
Firewall é um ponto entre duas ou mais redes, que pode ser um componente ou um conjunto de componentes, por onde a todo o tráfego, permitindo que o controle, a autenticação e os registros de todo o tráfego sejam realizados. Um firewall pode ser formado por um conjunto de software, hardware e política de segurança. Ele detém autonomia concedida pelo próprio sistema para predeterminar e disciplinar todo o tipo de tráfego existente entre o mesmo e outros host/redes. Em meados de 80, sob encomenda da AT&T (Empresa de telecomunicação) o primeiro firewall do mundo foi desenvolvido com o intuito de “filtrar” todos os pacotes que saíssem e entrassem na rede corporativa, de modo a manipulá-los de acordo com as especificações das regras previamente definidas. Mesmo diante da evolução dos meios tecnológicos, hoje um firewall continua a possuir e empregar os mesmos conceitos, apenas com alguns aprimoramentos e implementações de novas funcionalidades.
4.1.1 Tipos de Firewall
Os firewalls podem ser classificados da seguinte forma: - Firewall de filtro de pacotes: é o tipo mais simples em sua arquitetura. Baseia-se apenas em campos básicos do cabeçalho dos protocolos. É um tipo rápido, adequado para grandes volumes de dados. Não faz uma filtragem muito eficiente, pois não armazena uma tabela de estados; - Firewall de inspeção com estado: baseia-se em regras um pouco mais complexas que o firewall de filtro de pacotes, pois pode tratar todo e qualquer campo do cabeçalho dos protocolos. Mantém uma tabela de
45
estados podendo controlar pacotes nos dois sentidos. É mais complexo e, portanto, mais lento; - Firewall de aplicação: não permite que nenhum pacote e diretamente entre as redes a ele conectadas. Todos os pacotes são enviados a um processo de Proxy que determina quando se deve ou não estabelecer a conexão, e fica, por todo o tempo, intermediando a comunicação. Devido às limitações de flexibilidade e de performance, raramente é utilizado sem a composição com os outros tipos de
firewall. É mais lento que os tipos
descritos anteriormente; - Firewall pessoal: controla e registra as portas ou aplicativos habilitados a entrarem ou saírem de um sistema local. É muito simples e sempre em forma de um software a ser instalado no sistema operacional.
4.2 FUNCIONAMENTO DE UM FIREWALL
Um firewall é implementado seguindo os parâmetros dos quais uma organização tem necessidade. Esses parâmetros são programados e recebem o nome de regras. As regras são configuradas de acordo com os os que o firewall deve bloquear, bem como os que ele deve liberar, conforme a figura 7, a seguir:
46
FUNCIONAMENTO BASICO DE UM FIREWALL
Servidores INTERNET
Pacotes vindos da Internet
G N I L L O K S
Fir ew all
Pacotes Filtrados pelo Firewall
LO R CA
Clientes
FIGURA 7: Funcionamento básico de um firewall Fonte: Própria
Um firewall pode então analisar as informações do cabeçalho de um pacote que esteja entrando ou saindo da rede, consultar as regras predefinidas pelo da rede e executar a ação pertinente a qual este pacote se enquadra. Podemos criar inúmeros tipos de regras, a serem consultadas pelo firewall na filtragem de pacotes. Por sua vez, as ações que serão executadas por ele são: Aceitar, Descartar ou Rejeitar o pacote. Para executar quaisquer dessas ações predefinidas, primeiramente ele irá tomar como referência informações contidas no cabeçalho de qualquer pacote que a por ele. Vejamos então alguns dos tipos de informações que o firewall pode se basear para realizar a filtragem dos pacotes: •
Endereço de origem / destino;
•
Máscara de subrede de origem / destino;
47
•
Porta de origem / destino;
•
Tipo de protocolo;
•
Interface de entrada / saída;
•
Status da conexão;
•
Identificação do pacote;
•
Entre outras.
A proteção por meio de filtros, não se restringe somente à análise dos pacotes vindos de fora da rede. Um firewall pode ser e na maioria dos casos é configurado seguindo diretivas de segurança de uma organização que pode restringir alguns tipos de o a determinadas estações ou subredes. Ela pode estabelecer, por exemplo, que uma estação “X” não deva ar determinados sites na Internet. Pode-se também definir que um departamento, o qual faz parte de uma subrede interna específica, não terá o à Internet ou ao site que se encontra num servidor web da organização.
5. DISTRIBUIÇÃO BASE DO PFSENSE – FREBSD
5.1
POR QUE ESCOLHER A TECNOLOGIA FREEBSD ?
Em síntese, por ser conhecido como um dos mais robustos e seguros sistemas operacionais da computação moderna. Seus dispositivos nativos de segurança garantem grande nível de certificação de segurança. FreeBSD é usado no coração da Internet; toda a infraestrutura DNS F-ROOT, na raiz do sistema de resolução de nomes é sustentada por FreeBSD, que também é a base dos maiores backbones acadêmicos e governamentais do Internet Systems Consortium (ISC) (VIXIE, 2005). FreeBSD serve aos sites de maior tráfego na Internet, em especial a rede Yahoo! e as maiores empresas de hosting do mercado que se refere a tecnologia e segurança da informação, representando segundo a consultoria inglesa Netcraft, 27% de todos os sites da Internet.
48
Ainda, FreeBSD é desenvolvido por centenas de engenheiros, incluindo mestres e doutores em Ciências Computacionais. É evolução natural do BSD Unix, sistema criado na Universidade de Berkeley responsável por todas as maiores tecnologias criadas e utilizadas na Internet, desde o primeiro servidor de correio eletrônico aos protocolos T/IP, DNS, entre outros. BSD Unix é ainda pioneiro em software livre, foi o primeiro sistema a oferecer toda sua base tecnológica sob uma licença livre, a igualmente pioneira Licença BSD, que inclusive é a licença sob qual o FreeBSD se aplica. FreeBSD conta com todos os desenvolvedores BSD originais ativos, sendo o mais organizado sistema Open Source do mundo; seu modelo de gestão inclusive foi tese de pós-graduação na Universidade de Oslo. FreeBSD estende criação de novas tecnologias que há décadas mantém o título de sistema com grande índices de inovações. Do T/IP ao POSIX.1e, É um sistema com características exclusivas de segurança, performance e estabilidade, e que oferece os principais padrões de tecnologia. É a opção de escolha das maiores empresas de internet no mundo, e várias outras das mais bem sucedidas empresas de tecnologia, é freqüentemente citados como exemplos de sistemas livres periodicamente auditados e com históricos de segurança exemplares, oferece técnicas e recursos de segurança únicos, enquanto cumpre com padrões de mais alto nível, criados e reconhecidos por organizações de critérios comuns para sistemas de informação altamente confiáveis. FreeBSD é certificado CC/EAL4 (em processo de certificação EAL5) pelo Common Criteria on Trusted Computer Systems Evaluation. Os recursos POSIX.1e que garantem aos sistemas estes dispositivos de segurança podem ser implantados pela FreeBSD em qualquer organização, sendo um dos mais completo sistema operacional livre no que tange à oferta de opções de recursos de firewalling por filtragem de pacotes. É o único que oferece 3 dos filtros de pacotes entre sistemas abertos: 1.
IPFIREWALL / IPFW (Nativo do FreeBSD);
2.
PACKETFILTER / PF (desenvolvido pelo Projeto OpenBSD, nativo no
FreeBSD); 3.
IPFILTER / IPF (Filtro multiarquiteturas, nativo no FreeBSD).
49
Com o FreeBDS pode ser implantado políticas de segurança utilizando os dois principais firewall nativos: IPFIREWALL/IPFW e PACKETFILTER/pfSense, de acordo com o site www.freebsdbrasil.com.br. •
Controle de flags e options T/IP;
•
Inspeção e tracking stateful;
•
Controle de tráfego sobre VPN;
•
Priorização de tráfego;
•
Normalização de pacotes;
•
Controle de Banda Avançado:
o
ALTQ com IPFW;
o
ALTQ com PF.
•
DUMMYNET com IPFW.
•
Filtro stateful tradicional e stateful dinâmico.
•
Controle na Camada OSI 2:
o
Subcamada MAC;
o
Subcamada LLC.
•
Integração IPFIREWALL com NETGRAPH permitindo:
o
Classificação por conteúdo (OSI Camada 7);
o
Posterior filtro por conteúdo dos pacotes classificados na camada 7
•
Redundância de firewall;
•
Balanceamento e distribuição de carga;
•
Integração com Sistema de Detecção de Intrusos.
5.2 O QUE O FREEBSD PODE FAZER ?
FreeBSD tem muitas características valiosas. Algumas destas são: •
Multitarefa com ajustes dinâmicos de prioridade que garantem
compartilhamento claro e racional do computador entre as aplicações e usuários, mesmo sob a mais intensa demanda; •
Características multiusuário que permite várias pessoas utilizarem um
sistema FreeBSD de forma simultânea, para uma variedade de coisas. Isto
50
implica, por exemplo, que os periféricos do sistema como impressoras e dispositivos de fita serão apropriadamente compartilhados entre todos usuários no sistema ou na rede, e que limites individuais possam ser definidos para usuários e grupos de usuários, protegendo recursos críticos do sistema de sobrecarga; •
Forte rede T/IP com e a padrões industriais como SLIP, PPP,
NFS, DH e NIS. Isto significa que sua estação FreeBSD pode interagir facilmente com outros sistemas da mesma forma que pode agir como um servidor corporativo, oferecendo funções vitais como NFS (o remoto à arquivos) e serviços de correio eletrônico, ou então colocando sua empresa na Internet com serviços de WWW, FTP, roteamento e firewall (segurança); •
Proteção de memória garante que aplicações (ou usuários) não
interferirão entre si. A falha de uma aplicação não afetará outras de forma alguma; •
FreeBSD é um sistema operacional 32-bit (64-bit em plataforma Alpha
e UltraSPARC) e foi projetado como tal desde seu princípio; •
O sistema de interface gráfica, X Window System (X11R6) padrão
industrial provê uma interface gráfica com o usuário (GUI) ao custo de uma placa VGA comum e um monitor, e ainda vem com código fonte completo; •
Compatibilidade binária com quaisquer programas compilados para
Linux, SCO, SVR4, BSDI and NetBSD; •
Milhares de aplicações prontas para imediata utilização (ready-to-run)
estão disponíveis a partir da coleção de ports e packages do FreeBSD. Por que procurar na rede quando é possível encontrar tudo bem aqui?; •
Milhares de aplicações adicionais e de fácil portabilidade estão
disponíveis na Internet. FreeBSD tem código fonte compatível com a maioria dos sistemas UNIX® comerciais mais populares, e devido a isto a maioria das aplicações requerem pouca, ou nenhuma modificação para compilar corretamente; •
Memória virtual paginada por demanda e uma concepção eficiente
(Merged VM/buffer cache) que satisfaz a necessidade de recursos de aplicações com grande apetite para memória, ao mesmo tempo em que mantém resposta interativa aos outros usuários; •
e SMP para máquinas com múltiplas Us;
51 •
Conjunto completo de ferramentas de desenvolvimento em linguagem
C, C++, Fortran, e Perl. Muitas linguagens adicionais para pesquisa e desenvolvimento avançado também estão disponíveis na coleção de ports e packages; •
Código fonte disponível para todo o sistema significa que você tem o
nível mais completo de controle sobre seu ambiente. Por que manter-se preso à soluções proprietárias e à mercê do vendedor quando se pode ter um sistema verdadeiramente aberto?; •
Serviços Internet: A infraestrutura robusta de rede T/IP criada no
FreeBSD torna-o plataforma ideal para uma variedade de serviços Internet tais como: o
Servidores FTP;
o
Servidores Web (padrão ou seguro [SSL]);
o
Servidores de interligação de redes (gateway), firewall e NAT
(Substituição de IPs); o
Servidores de Correio Eletrônico;
o
Grupo de notícias USENET ou sistemas de BBS.
•
Extensa documentação online.
As aplicações para as quais o FreeBSD pode ser utilizado só estão limitadas imaginação de cada usuário. Do desenvolvimento de software à automação industrial, controle de inventário à correção remota da orientação de antenas de satélite, se pode ser feito com um produto UNIX comercial, é muito provável que possa ser feito com FreeBSD também! FreeBSD se beneficia de forma significante de literalmente milhares de aplicações de alta qualidade desenvolvidas por centros de pesquisa e universidades ao redor do mundo, usualmente disponíveis à baixo ou nenhum custo. Aplicações comerciais também estão disponíveis e surgindo em grande número a cada dia. Pelo fato do código fonte para o FreeBSD estar geralmente disponível, o sistema pode também ser customizado á um grau incrível para aplicações ou projetos especiais, e de formas geralmente não viáveis com sistemas operacionais dos principais vendedores comerciais. Com FreeBSD, facilmente pode-se começar com um ambiente pequeno de baixo custo, e atualizar todo o sistema para um Xeon quadri-processado com
52
sistema de armazenamento RAID, de acordo com o crescimento de cada organização.
5.3 QUEM UTILIZA O FREEBSD ?
FreeBSD é utilizado para servir diversos dos maiores sítios da Internet, incluindo alguns como: •
Yahoo!;
•
Apache;
•
Blue Mountain Arts;
•
Pair Networks;
•
Sony do Japão;
•
Netcraft;
•
Weathernews;
•
Supervalu;
•
TELEHOUSE America;
•
Anti-Vírus Sophos;
•
JMA Wired;
Entre outros diversos.
53
6. A FERRAMENTA PFSENSE
O pfSense é um dos gerenciadores mais ricos em recursos, derivado de uma distribuição customizada do FreeBSD, sendo um System Appliance pré-configurado, com ambiente amigável amistoso e facilitado por meio de o interface web que oferece inúmeros recursos, focado para ambientes de roteamento, firewall e gerencia, alem de ser uma excelente solução para VPN entre outros diversos recursos disponíveis em pacotes de repositórios. Essa ferramenta chegou a um nível de desenvolvimento que não há mais o que implementar, a não ser atualizações e estabilidade dos recursos atuais. O pfSense é usado em quase todos os tipo e tamanho do ambiente de rede que se possa imaginar, e é quase certamente adequado para qualquer rede se ela contém um computador, ou milhares. Nos tópicos a seguir será citado algumas das implementações mais comuns, conforme a figura 8, a seguir:
FIGURA 8: Tela inicial do gerenciador pfSense Fonte: Própria
54
7. IMPLEMENTAÇÃO
7.1 CENÁRIO
O cenário cujo implantado o pfSense para a realização do projeto desenvolvido foi baseado em um ambiente real corporativo e simulado sua estrutura em maquinas virtuais. A matriz da empresa localizada na Avenida 24 de Outubro, Nº 1203, Setor Campinas, Goiânia-Goiás, possui mais cinco (5) filiais sendo três (3) em Goiânia e duas (2) em Anápolis. A conexão do sistema comercial e a rede local é interligada através de VPN, na qual se utiliza a estrutura da Internet para interconectar filiais e centralizar tudo em um único local, que nesse caso é a matriz, além da estrutura VPN que será implantada, também a filtragem de pacote por meio de firewall, juntamente com um Proxy para fazer cachê e controlar o o a sites indesejados. A seguir, apresentaremos a estrutura do ambiente.
7.1.1 Requisitos de hardware e software
Recomenda-se utilizar um servidor com pelo menos 1.5 Ghz de processador e 512 MB de Ram. Necessário utilizarmos no mínimo 2 placas de rede, caso seja necessário poderá ser inserida outra placa de rede. Conforme mencionado anteriormente, o pfSense é baseado na plataforma FreeBSD, sendo uma ferramenta nativa do sistema operacional, indiferente de sua versão.
55
7.2 AMBIENTE DE EXECUÇÃO
O Projeto real foi simulado em ambiente virtual conforme citado no item 7.1. Os equipamentos reais utilizados para testes rodando VMWare foram os seguintes: -Servidor (Maquina real); -Processador Intel Pentium 4 2.8 ghz; -Memória 2GB DDR2 800 mhz; -Hard Disk 320 GB 7200 rpm; -Placa Mãe Intel Soket 775; -Sistema Operacional Windows Server 2003; -Estações (Máquinas reais); -Notebook Acer Aspire 5532; -Processador AMD Athlon 64 x2; -Memória 2 GB DDR2; -Hard Disk 250 GB 7200 rpm; -Sistema Operacional Windows 7 Professional 64 bit; -Notebook HBuster HBNB-1401; -Processador Intel Pentium T4400; -Memória 2GB DDR2; -Hard Disk 320 GB 7200 rpm; -Sistema Operacional Windows 7 Ultimate 32 bit. A Maquina Virtual criada possui as configurações citadas abaixo. -Servidor (Máquina Virtual); -Memória 512 MB; -Hard Disk 8GB expansivo; -2 (duas) interfaces de rede; -Sistema operacional FreeBSD.
56
7.3 INSTALAÇÃO
Nos os a seguir, serão demonstrados os os de criação da máquina virtual utilizando o VMWare Player com versão 3.0.1 build-227600. Ao iniciar o VMWare Serveir, será apresentado a tela de boas vindas. Devemos clicar em avançar para proseguir até a proxima tela, conforme a figura 9, a seguir:
FIGURA 9: Tela de Boas vindas do VMWare. Fonte: Própria
Na tela deverá ser selecionado a opção ‘Custom’, conforme a figura 10, a seguir, para personalização da máquina virtual. Nessa opção poderá ser selecionado os dispositivos adicionais e tambem especificar configurações.
57
FIGURA 10: Opção de Personalização customizada Fonte: Própria
Na tela a seguinte, deverá ser escolhido o sistema operacional que será instalado na maquina, no caso do pfSense a distribuição base será o FreeBSD, ou seja, clicamos em outros e escolha FreeBSD na lista abaixo em seguida clice em avançar, conforme a figura 11, a seguir:
FIGURA 11: Escolha do sistema operacional Fonte: Própria
58
Agora, definiremos o nome da máquina virtual, que por padrão será FreeBSD e, ela localizará a pasta dos arquivos contendo a máquina virtual em disco, também podendo ser deixado como padrão na unidade C:\Virtual Machines\FreeBSD, conforme a figura 12, a seguir:
Figura 12: Localização de instalação da Maquina Virtual Fonte: Própia
A instalação do pfSense é simples e não exige experiência alguma sobre o sistema operacional FreeBSD. Conforme a figura 13, a seguir, é solicitado se deseja utilizar e configurar Virtual Local Area Networks (VLANs), agora, neste caso não será utilizado então apenas tecle y (Yes) e de cliquem em ‘Enter’.
FIGURA 13: Ativação de Vlans. Fonte: Própria
59
Nas figuras 14 e 15, a seguir, demonstramos se desejamos realizar a configuração manual da LAN e WAN ou se desejamos que seja executado o processo de auto-detecção. Apenas clicaremos em ‘Enter’ para dar seqüência no processo de instalação, posteriormente estaremos fixando as configurações de LAN manualmente.
FIGURA 14: Auto-detecção de LAN Fonte: Própria
Figura 15: auto detecção da WAN
Figura 15: Auto-detecção de WAN Fonte: Própria
60
A seguir estaremos iniciando a instalação do pfSense, a mesma ocorre de forma simples e rápida. Na figura 16, apresentamos a seleção da opção 99 para instalar o pfSense em disco. A mesma figura mesma tela possui outras opções como conxão via SSH, configurar manualmente as insterfaces de rede, reiniciar sistema, realizar atualizações entre outras funções. Nas proximas telas apresentadas basta seguir com as configurações padrões já selecionadas automaticamente no processo de instalação.
FIGURA 16: Menu principal de instalação do pfSense Fonte: Própria
7.4 CONFIGURAÇÃO
Objetivamos Instalar, configurar e apresentar os recursos de firewall, Proxy e VPN utilizando o pfSense como gerenciador. O pfSense é um dos softwares livres mais ricos em recursos. Nascido em uma versão customizada do FreeBSD, conta com uma interface amigável que facilita a istração através de qualquer navegador.
61
Nos os a seguir, serão instalados alguns pacotes do squid no pfSense, seguindo os seguintes prpcedimentos: 1º - Instalaremos o pacote do squid no pfSense, em system packges ou na tela inicial do pfSense selecionar (+) em seguida installed packages. Será criado na home page do pfSense o atalho para instalar os pacotes necessarios; 2º - Clique “Available Packages”; 3º - Clique no botao + ao lado do pacote do squid para começar a instalaçao do serviço. O Proxy reduz utilização da conexão e melhora tempo de resposta fazendo cachê de suas requisições além de prover um nível básico de controle e segurança no o à URL’s potencialmente perigosos; 4º - Clique no botao + ao lado do pacote do squidGuard: Poderosa ferramenta de o que integrado ao squid permite controlar a navegação baseado no endereço de origem, destino, URL, Horário ou combinações desses itens. Conta com blacklists agrupados em categorias de sites e atende 1000.000 solicitações em 10 segundos segundo; 5º - Clique no botao + ao lado do pacote do Lightsquid: Ferramenta responsável pela geração de relatórios de o. Na tela principal do pfSense clique em Services > Proxy Server. Aplicaremos as configurações iniciais do squid. Na aba general do Proxy Server, podemos definiremos as configurações básicas do serviço tais como: • Interface; • Habilitar
Proxy Transparente ou autenticado;
• Log; • Porta; • Servidores
DNS .
Para configuração do squid deverá ser definido o método de autenticação no pfSense que são: • Transparent
Proxy;
• Autenticação
com usuário Local do pfSense;
62 • Autenticação
Integrada com recursos Externos (LDAP – Windows
Active Directory). Transparent Prox é a estação de trabalho que se conecta ao pfSense como gateway, que se apropria da requisição para sair para internet como Proxy. Para habilitar basta marcar a ‘check box’ correspondente na aba geral do Proxy Server. pfSense Local é um método de autenticação no qual se deve criar um ou mais usuários na aba ‘Local s’ e, em seguida, em ‘Auth Settings’, para definir o método de autenticação como Local. Autenticação Integrada com AD (LDAP) é para que os usuários de um domínio Windows 2003 / 2008 possam se autenticar com seus usuários do AD no pfSense. Devemos definir em ‘Auth Setting’ o método de autenticação LDAP seguindo as configurações a seguir: • Versão
do LDAP: (para Windows 2003 / 2008 Server);
• Authentication
Server: IP ou FQDN do Servidor;
• Authentiocation •
Port: 389;
DN (1 criado no domínio dom1.local por exemplo): ocn=1,cn=s,dc=dom1,dc=local.
• LDAP
: Senha do usuário definido em DN;
• LDAP
Base Domain: dc=dom1,dc=local (conforme exemplo do domínio
dom1.local); •
DN Attribute: uid;
• Search
Filter: sAMName=%s.
Quanto ao cache, na aba ‘Cache Mgmt’ podemos configurar as opções de cache do pfSsense. A seguir, as recomendações da comunidade pfSense, devemos apontar que pode ocorrer variações dependendo da máquina utilizada, sendo: • Hard
Disk Size 3000 (3GB);
• Memory:
50% da Capacidade do seu Server;
• Minimum
object size: 0;
• Maximum • Hard
object size: opcional;
Disk Cache System: aufs (é uma versão alternativa de unionfs
que tem como objetivo melhorar a confiabilidade e o desempenho do sistema de armazenamento).
63
Na aba ‘access control’ do Proxy Server, temos a opção de configurar um controle básico de o definindo, por exemplo, uma blascklist básica para o serviço squid. Essas blacklist poderão ser baixadas. Para baixar as blacklists com sua configuração feita através do serviço do SQUIDGuard, podemos baixar listas organizadas por grupos e categorias para facilitar o bloqueio ou liberação para máquinas, usuários e grupos. Para isto, devemos
adicionar
o
seguinte
endereço
http://www.shallalist.de/s/shallalist.tar.gz.
à
BLACK
Com
esse
LIST
URL
endereço
devidamente adicionado clique em ‘ URL’ e aguarde alguns minutos. Para o gerenciando blacklist por grupos ou simplesmente configurar sua regra default, basta ar a aba ‘default’ em Proxy Filter e, clicando em ‘Destination Ruleset’, e gerenciar as listas baixadas, liberando ou bloqueando os os conforme a necessidade e política da empresa.
FIGURA 17: Controle de o por categoria Fonte: Própria
64
A criação e gerenciamento de grupos customizados por máquinas ou usuário (caso o usuário entregue o pfSense ao Active Directory) pode ser feito na aba ‘ACL’ do Proxy Filter. Lembramos que devemos sempre salvar as configurações realizadas, clicando em ‘Save’ no fim da página e aplicar as alterações clicando em Apply na aba General settings.
FIGURA 18: Configurações Gerais do Proxy Server Fonte: Própria
Na aba ‘Log’ do Proxy Filter, podemos acompanhar uma lista de URLs que foram bloqueadas ando a oção ‘Blocked’. Outra opção interessante do log do SquidGuard esta na opção Filter Log, na qual o usuário pode acompanhar o funcionamento ou parada do serviço SquidGuard. Essa opção pode ser útil para um troubleshoting, no qual podemos verificar se o serviço está iniciado, se o último log gerado for uma mensagem semelhante à “squidGuard ready for requests“, ou se o serviço está parado quando também explícito na ultima entrada do log.
65
FIGURA 19: Pagina de LOG do do Proxy Filter Fonte: Própria
O OpenVPN é uma VPN. Mas há muita confusão sobre o que uma VPN realmente é. Há muitos produtos comerciais que não são verdadeiras VPNs, mas meramente portais SSL para um número limitado de serviços. O OpenVPN é uma verdadeira VPN baseada em SSL que requer que todas as extremidades sejam confiáveis, é implementada segurança das camadas 2 e 3 do modelo OSI usando os padrões dos protocolos SSL/TTL. O algoritimo padrão (cipher) de criptografia e o Blowfish com chave de 128 bits ou mais. O OpenVPN inclui clientes para Linux, Solaris, Mac OS X, OpenBSD, FreeBSD e NetBSD, então é seu único ponto de parada VPN. O OpenVPN é um software livre e open source para criar redes privadas virtuais
do
tipo
ponto-a-ponto
ou
server-to-multiclient
através
de
túneis
criptografados entre computadores. Ele é capaz de estabelecer conexões diretas
66
entre computadores mesmo que estes estejam atrás de Nat Firewalls sem necessidade de reconfiguração da sua rede. Essa ferramenta possibilita autenticar entre os pontos de várias maneiras. Oferece chaves secretas compartilhadas, autenticação baseada em certificados e autenticação baseada em usuário e senha. O método de autenticação com chaves secretas compartilhadas é o mais simples, e combinando com certificados ele se torna o mais robusto e rico recurso de autenticação. A autenticação com usuário e senha, mas não e muito implementada, pois necessita de toda vez que for feita um conexão com o servidor terá que ser digitada a senha para estabelecer uma conexão de rede. O mesmo pode rodar sobre os protocolos UDP ou T - Utilizamos o UDP porque fornece integridade de dados (via um checksum), mas não fornece entrega garantida. Ele multiplexa toda a comunicação em cima de uma única porta T/UDP. Possui dois tipos de interfaces para rede via Universal TUN/TAP driver, podendo criar um túnel em layer-3 (TUN), ou pode criar um túnel em layer-2 baseado em ethernet, o que pode carregar qualquer tipo de tráfego ethernet, pode utilizar a biblioteca de compressão para compactar o fluxo de dados. A porta 1194 é a numeração oficial para o OpenVPN.
FIGURA 20: Configurações do Servidor VPN Fonte: Própria
67
FIGURA 21: Regras de Firewall Fonte: Própria
Na figura 21 apresentada acima foi criado as regras para a liberação de o a internet ouvindo na porta 80, VPN na porta 1194 e o Proxy na porta 3128.
68
CONCIDERAÇÕES FINAIS
Ao final deste trabalho, conclui-se que uma solução de Gerencia em segurança de redes é a forma mais segura de se controlar e monitorar o tráfego da rede utilizando serviços de firewall e Proxy, também se conectar em redes através de um meio público utilizando VPN. Dentre os serviços apresentados destacamos e demonstramos três dos essenciais serviços para gerenciamento, controle de trafego, filtragem de pacotes e tunelamento virtual. Optou-se por utilizar pfSense, por ser um software livre, possui fácil implementação e utiliza https. O HTTPS utiliza protocolo SSL é amplamente utilizado para transações segura pela Internet e está em constante atualização, também um ponto forte na escolha da ferramenta pfSense é a facilidade de usabilidade, entendimento e criação das regras, não exigindo experiência alguma em FreeBSD e muito menos em comandos digitados em console, devido suas regras e políticas serem aplicadas todas através de cliques simples, exigindo apenas entendimento na finalidade das regras e o que se deseja alcançar. Ao final da implementação foi possível perceber que conseguimos atender as características desejáveis para uma VPN segura utilizando o OpenVPN, filtragem de pacotes por meio de firewall e controle de o a internet por meio de Proxy. Esta solução foi implementada na empresa Omega Dornier Comercio de Jóias LTDA, utilizando uma topologia estrela, visando permitir que usuários externos obtivessem o aos recursos da rede interna, porem filtrados por meio do firewall e o a internet controlado por Proxy Server, sendo esses três serviços gerenciados pela console web do pfSense de qualquer lugar onde tenha o a internet.
A
implementação
realizada
neste trabalho foi
baseada nesta experiência. Mas somente o firewall, Proxy e VPN não é suficiente, para permitir que usuários internos e externos tenham o aos recursos da rede de forma segura, é extremamente recomendado possuir outras formas de proteção como aplicar políticas de segurança bem elaborada, políticas de backup, autenticação de usuários na rede e monitoramento diário do que se esta trafegando na rede.
69
REFERÊNCIA BIBLIOGRÁFICA
BUECHLER, Christopher M. | PINGLE Jim, pfSense:The Definitive Guide. http://www.projetoderedes.com.br/tutoriais/tutorial_conceitos_gerenciamento_01.php José Mauricio dos Santos Pinheiro em 17/07/2006 | 22/10/2011 20:43 http://www.di.ufpe.br/~flash/ais98/gerrede/gerrede.html | 25/10/2011 19:40 http://www.vivaolinux.com.br/artigo/Webmin-Solucao-em-istracao-de-sistemas 25/10/2011 20:25 http://www.brunorusso.eti.br/howto/mrtg | 26/10/2011 09:02 http://oss.oetiker.ch/mrtg/ | 26/10/2011 14:20 http://pt.idoub.com/doc/32385846/CDTC-Ntop | 26/10/2011 16:44 http://www.freebsdbrasil.com.br/home.php?area=2&conteudo=5 | 31/10/2011 19:43 http://doc.fug.com.br/doc/pt_BR.ISO8859-1/books/handbook/nutshell.html
|
31/10/2011 20:16 http://eficienti.wordpress.com/2011/02/02/instalacao-configuracao-e-manutencao-dofsense-2/ | 10/09/2011 23:28 http://jamsux.wordpress.com/2009/09/15/pfsense-openvpn-site-to-site/ | 02/09/2011 14:10 SOUZA, Denis Augusto A. FreeBSD - O poder dos servidores em suas mãos | 2009.
Related Documents 543cg
Pfsense 2g6935
June 2022 0
Pfsense Digest (pfsense 2.1) 5t2xr
October 2021 0
Squid Pfsense 321e2d
June 2022 0
Pfsense Nordvpn 5b4x66
July 2021 0
Tutorial Pfsense 4c73z
September 2022 0
Apostila Pfsense 3t22n
November 2019 52More Documents from "Rafael Leal Martins" 23266z
Final_defesa Pfsense 30-11-2011 6s3c6x
November 2019 29
11482j
September 2022 0
11482j
April 2020 23
11482j
May 2020 12
Cinesiologia Completo 4e2g3x
November 2019 44