2.1 Integrando a Segurança

Transcrição

1 Segurança nos Sistemas de Informação Redes Estudo de Caso - Senai Thulio Marcus Marcenes de Souza 1, Frederico Coelho 1 Bacharelando do Curso de Ciência da Computação Universidade Presidente Antônio Carlos (UNIPAC) Rua Monsenhor José Augusto nº 203, Bairro São José, Barbacena thuliomarcus@yahoo.com.br, fredericocoelho@unipac.br Resumo. Este artigo trata do estudo e aplicação da implantação de metodologias para se alcançar aspectos relevantes de segurança que devem ser levados em consideração por gerentes de sistemas de informação e executivos, sendo que a informação tornou-se um elemento de fundamental importância e valor para os negócios de hoje, utilizando uma unidade do Senai/ MG, situada na cidade de São João Del Rei, que não utilizava quaisquer meios diferentes dos utilizados como defesa convencionais previamente instalados no Sistema Operacional, para a validação e comprovação dos métodos aplicados. 1. Introdução Palavras-chave: Segurança, Sistema de Informação, Redes Ao mesmo tempo em que se tem aumentado a confiança das organizações em informações providas por sistemas computacionais, sendo indiscutível o ganho que organizações tem com o crescente uso de computadores, infelizmente tem se observado também um aumento quase que diário no surgimento de vulnerabilidades nos diversos sistemas disponíveis no mercado. A implementação de diretrizes para tentar diminuir tais transtornos também tenta evoluir de acordo com as necessidades de se alcançar resultados satisfatórios em relação à segurança da informação. [1] [2] É indiscutível o ganho que organizações terão com um crescente uso de computadores: acesso a redes de computadores, Internet e seus diversos recursos. Porém, é extremamente insensato entrar neste novo "território" tecnológico desprovido de regulamentação adequada sem entender os riscos, sem formular uma política de segurança adequada e sem definir procedimentos para proteger informações importantes de sua organização. Este artigo pretende servir de ajuda e de incentivo na busca de uma infraestrutura apropriada de segurança para as organizações. 2 Metodologia Decidir por onde começar a implementação de segurança em uma rede de uma empresa pode ser um processo difícil, visto que é necessário entender quais são as ameaças

2 existentes e como reduzir a vulnerabilidade do sistema, procurando também saber quais são os recursos que se deseja proteger, quais são os valores destes recursos e que nível de segurança é mais adequado, dada a cultura e a filosofia da organização. É mencionado aqui recurso como sendo qualquer coisa (um bem físico ou não) que tenha um valor monetário e/ou intelectual. [1] Levando-se em conta metodologias conhecidas e já aplicadas, foi iniciado o processo de coleta de dados obedecendo-se os seguintes passos: [1] [2] [3] [4] Determinação dos perfis de usuários que utilizam a rede e quais níveis de acesso; Verificação do comportamento e eficácia de bloqueios e se as tentativas de ataques são numerosas demais para serem ignoradas; Análise dos recursos físicos e lógicos na implantação da rede interna; Verificação da velocidade do tráfego das informações e paridade de serviço fornecido pelo provedor. 2.1 Integrando a Segurança Em um processo de integração de procedimentos de segurança em uma rede de uma organização (Figura 1), é importante que se tenha claro quais são os seus objetivos e qual a importância destes novos procedimentos e das novas tecnologias a serem introduzidas na empresa, sendo necessário assim, que se faça um levantamento das necessidades, problemas e requerimentos, convencendo a gerência da importância desta integração, considerando-se os seguintes itens: [1] [2] [3] [4] justificar investimentos com infra-estruturas; qual política de segurança a adotar; o que considerar em um programa de treinamento para segurança e quais os problemas comuns encontrados. Figura 1 Pirâmide da Integração de Procedimentos para Segurança da Informação [1]

3 2.2. Justificando Investimentos com Infra-estruturas para Segurança Para apresentar uma justificativa plausível para que se realizem investimentos, que em grande maioria despedem um alto custo é necessário que se faça uma análise de riscos para identificar os recursos que é desejado proteger e para determinar os seus valores, classificando-os nas seguintes categorias: [1] [2] [4] Físico: computadores, equipamentos de rede, mídia de armazenamento, etc. Intelectual: código de programa e documentação, informações de servidores Web, informações de banco de dados, projetos; Valores não palpáveis: reputação da empresa, privacidade de usuários, informações confidenciais, moral de empregados; Serviços computacionais: alocação de CPU, discos, suporte técnico. Identificar valores de bens físicos é uma tarefa fácil, basta levantar o valor de reposição de um novo. A parte difícil é determinar que propriedade intelectual significante sua organização possui e quais bens não palpáveis são recursos-chave. Existem ainda alguns passos a executar: [1] [2] [3] [4] Demonstrar que as tentativas de ataques são numerosas demais para serem ignoradas Instalar programas para monitorar o tráfego em sua rede e registrar a tentativas de ataques; Utilizar algumas ferramentas, se possível, de fora de sua rede como, por exemplo, SATAN e analisar seus resultados. Obtenha o máximo de informação que você puder sobre as vulnerabilidade da rede. Discutir os impactos potenciais na reputação e lucros de sua empresa em caso de um ataque de negação de serviço. Que prejuízo teria uma empresa que vende seus produtos somente via Web se ficasse fora de operação horas ou até mesmo dias? Fornecer informações de ataques ocorridos na Internet e as empresas que foram atacadas e os danos sofridos Programa de Treinamento em Segurança Alguns cuidados são necessários para que a rotina da segurança seja executada com o máximo de eficácia, são eles: [1] [2] [4] Fornecer treinamento com regularidade para a equipe de suporte, usuários, gerentes e novos empregados; Utilizar diferentes meios de treinamentos: aulas, Web, vídeo, etc.; Manter usuários e equipe de suporte informados das atuais tendências em incidentes de segurança em computadores; Revisar procedimentos de treinamento regularmente e assegure-se que continuam atualizados e relevantes para o seu ambiente.

4 2.4. Problemas Comuns de Segurança Recursos insuficientes Os problemas mais comuns em segurança estão relacionados a organizações que não dedicam recursos suficientes para implementar níveis adequados de segurança. Suporte ou autoridade insuficiente Nem sempre a equipe de suporte tem apoio de sua gerência ou autoridade para adotar medidas de segurança apropriadas para sua organização. Sistemas com problemas de segurança Ainda hoje máquinas/sistemas continuam sendo vendidos com configurações default trazendo sérias vulnerabilidades. Sistemas operacionais (alguns mais que outros) devem ter sua configuração default muito bem revista após sua instalação para remoção de possíveis furos de segurança. Patches não aplicados Não existe uma preocupação com instalação de patches (pacotes de correção de furos de segurança do próprio sistema) divulgados pelos fabricantes em suas máquinas. Deve-se estar atento aos anúncios de vulnerabilidades divulgados na Internet. Senhas reutilizadas não criptografadas Ainda se utiliza sistema de autenticação sem criptografia em acessos remotos e ainda com senhas reutilizadas. Algumas soluções são sugeridas para atacar este problema, como: senhas não reutilizáveis (a cada acesso uma nova senha deverá ser utilizada pelo usuário de uma lista previamente definida em seu sistema), tokens (um dispositivo de hardware pequeno único para cada usuário, para conseguir fazer uma conexão remota a sua rede, o usuário deverá ter o dispositivo). Acesso aberto à rede Acesso às máquinas internas sem restrições ou sem monitoramento do tráfego da rede é um outro problema crítico e ainda comumente encontrado. Contas de usuários criadas sem critérios de segurança Algumas organizações criam contas com senhas default e muitas vezes estas senhas nunca são trocadas pelos usuários. Monitoramento e expiração de contas ineficientes Contas de usuários que deixam a empresa às vezes permanecem sem serem removidas. Estas contas podem ser descobertas por intrusos ou usuários locais mal intencionados. Sistemas novos mal configurados

5 Algumas máquinas são instaladas na rede sem nenhuma preocupação com segurança. Se a rede não tem firewall ou nenhum outro controle de acesso, pelo menos um padrão mínimo de segurança deveria ser implementado. 3 - Estudo de Caso Foi utilizada como objeto deste estudo, uma unidade do Senai - CFP/SAT Centro de Formação Profissional Sílvio Assunção Teixeira situada na cidade de São João Del Rei / MG, que sofria com os inconvenientes causados com a perda e não atualizações de informações, tais como, cadastros, consultas e modificações na estrutura dos bancos de dados da parte de sua escrituração escolar. A unidade é dotada de uma rede de 56 computadores, sendo um servidor que também é o gateway para a Internet. O firewall utilizado é o padrão do SO Windows 2003 Server e como antivírus o software é da Symantec, não sendo o Norton e não possuindo versão de comercialização, pois o software foi desenvolvido para uso exclusivo das unidades do Sistema Fiemg, e o serviço de acesso a Internet é fornecido pela Mgconecta, via rádio, com velocidade de 512 kb. Para os serviços de reestruturação da parte física e lógica da rede foi contratada a empresa Instituto On-line Educação, serviços e consultoria em TI, situada em Belo Horizonte/MG. 3.1 Coleta de Dados Após a determinação e execução dos passos já descritos, foram obtidos os seguintes resultados e disponibilizados os relatórios em Passo 1 - Determinação dos perfis de usuários que utilizam a rede e quais níveis de acesso: os usuários que mais dependiam da rede e que mais a tornavam vulneráveis seriam os usuários lotados na área de administração escolar: como secretárias, escriturárias, gerentes e supervisores ligados à parte administrativa, porque necessitavam de constante acesso a Internet e forneciam um grande tráfego à rede interna, representando cerca de 70%, logo após estavam os usuários da área de docentes, que ao utilizarem o laboratório de informática não supervisionavam o acesso dos alunos à Internet, totalizando cerca de 30% do uso da rede e Internet. (Gráfico 1). 30% 70% Administração Docência Gráfico 1 Uso da Rede

6 Passo 2 - Verificação do comportamento e eficácia de bloqueios e se as tentativas de ataques são numerosas demais para serem ignoradas: foi pedido ao provedor da Internet contratado, para fornecer os dados de quantos ataques estavam sofrendo diariamente, bem como a verificação do histórico de ações contra vírus utilizado pelo servidor de rede, obtendo assim, um número bem próximo da realidade de ataques e tentativas de ataques diários na unidade. Utilizou-se uma amostragem de 10 computadores por um período de uma semana, sendo que, 6 computadores situavam-se na secretária, 2 computadores estavam locados na gerência e 2 restantes estavam no laboratório de informática utilizados pelos alunos, observando-se que todos os dias aconteciam cerca de 11 ameaças registradas, tanto do provedor contratado quanto nos computadores da unidade, (Gráfico 2). 20% Mgconecta 80% Servidor Gráfico 2 Número de Ataques Passo 3 - Análise dos recursos físicos e lógicos na implantação da rede interna: foram analisados os equipamentos hubs, switchs, cabos e servidor, e também a estrutura lógica endereçamentos, funcionamento e configurações, que influenciam diretamente no fornecimento adequado da estrutura de rede que permita o tráfego com velocidade e segurança, conseguindo detectar as seguintes falhas: Cabos com comprimento ou grimpagem inadequados, causando falhas de transmissão de dados; Hubs e switches ligados em sua maior parte sem aplicação de metodologias e técnicas que possibilitem maior aproveitamento de seus desempenhos; Utilizando software específico para medição de desempenho (AIDA), foi feito analise no servidor e constatou-se a necessidade de aumento de memória RAM (pelo menos 512 mb) fornecida por relatório gerado pelo AIDA. Verificou-se que não existia um cálculo de máscara de rede e tão pouco os computadores recebiam devidamente seus IP`s. Passo 4 - Verificação da velocidade do tráfego das informações e paridade de serviço fornecido pelo provedor: utilizando softwares e sites para medição real de tráfego na rede como: YourSpeed v2.3 ; McAfee Speedometer; JLNET Teste

7 de velocidade; PC Pitstop Download Bandwidth Test e verificou-se que as velocidades máximas alcançadas para download e upload foram: (Tabela 1) Data Horários Download (Kbps) Upload (Kbps) 24/jul/ :00 14:00 8,23 5,78 31/jul/ :00 15:15 6,45 7,89 10/ago/ :00* 19:00 3,34 4,67 14/ago/ :00 21:00 34,89 23,56 17/ago/ :00* 20:00 12,3 11,67 21/ago/ :30* 20:00 10,67 12,54 24/set/ :30 20:00 23,6 20,56 28/ago/ :30 20:00 8,78 9,01 05/set/ :30 20:00 9,70 10,43 * Horário de pico na utilização da rede. Tabela 1 Velocidades de download e upload antes da implantação de uma política de segurança da informação. 3.2 Resultados Após a reestruturação física e lógica da rede interna da unidade com investimentos de hardware, software, cabeamento, configuração de IP s e do bloqueio de sites impróprios e indesejados com valor de R$18.000, verificou-se um aumento considerável em eficiência com a conexão à Internet (Tabela 2). Notou-se também que o sistema interno de rede e o tráfego de acesso ao servidor, tornou-se mais estável e confiável, reduzindo em cerca de 70% as falhas de comunicação, definido através de pesquisa com os usuários do sistema. Data Horários Download (Kbps) Upload (Kbps) 23/set/ :00 14:00 13,45 20,56 02/out/ :00 15:15 18,23 22,45 06/out/ :00* 19:00 32,93 11,56 09/out/ :00 21:00 45,89 78,56 13/out/ :00* 20:00 22,80 22,45

8 16/out/ :30* 20:00 13,78 18,09 20/out/ :00* 20:00 23,4 15,34 23/out/ :00* 20:00 12,3 16,29 * Horário de pico na utilização da rede. Tabela 2 Velocidades de download e upload após a implantação de uma política de segurança da informação. Determinando os perfis dos usuários, montou-se um controle de acesso à rede e às aplicações, bem como, restrições a manuseio de mídias, fazendo com que todos os usuários passassem a serem identificados, diminuindo e inibindo ações que possam causar danos e prejuízos ao sistema. Foi mobilizado o Departamento de TI do próprio Sistema FIEMG (Federação das Indústrias de Minas Gerais) que aplicou treinamento através de vídeo conferência a todos funcionários da unidade envolvidos diretamente ou indiretamente no uso de computadores, disponibilizando também contato com uma central de Help Desk para solucionar e orientar procedimentos de segurança, resultando na diminuição de atos inseguros conscientes ou não, os quais expunham a rede interna a ataques. De acordo com as necessidades da unidade em relação à segurança de seus dados, o estudo e aplicação das diretrizes definidas, ocasionou uma melhora considerável e satisfatória na rede interna da unidade, fazendo com que seja aplicado em mais duas unidades do Senai, uma situada em Belo Horizonte e uma em Barroso, em caráter de teste e comprovação. 4 Considerações Finais Este artigo pretende servir de ajuda e de incentivo na busca de uma infra-estrutura apropriada de segurança para as organizações. Segurança é um questão à qual se deve dar alta prioridade. Foram apresentados alguns itens que deve-se ter em mente e averiguar ao se planejar uma introdução de mecanismos de segurança em uma organização, que deve selecionar um nível de segurança que considere apropriado, avaliando o impacto financeiro e em sua reputação no caso de um possível ataque bem sucedido a sua rede. Também é bom salientar que o único sistema de computação totalmente seguro é aquele que nunca foi ligado na corrente elétrica. 5 Referências Bibliográficas [1] Campos, André L. (2005) Sistema de Segurança da Informação - Controlando os Riscos, Editora Visual Books, Português. [2] Terada, Routo, (2000) Segurança de Dados: Criptografia em Redes de Computadores, Editora:. Edgard Blucher, Português. [3] Vigliazzi, Douglas, (2003) Soluções para Segurança de Redes Windows, Editora Visual Books, Português. [4] Dawel, George, (2005) A Segurança da Informação nas Empresas: Ampliando Horizontes além da Tecnologia., Editora Ciência Moderna, Português.