Dia Mundial de Segurança da Informação Segurança na Rede UFBA Roberto Ferreira Prado Quaresma
UFBA - Números UFBA (2001) 58 cursos de graduação 39 mestrados 16 doutorados 30 cursos de especialização/ano 94 departamentos 29 unidades de ensino 14 órgãos suplementares 36 bibliotecas (central + setoriais) 3 unidades hospitalares 1 editora universitária 20.700 alunos de graduação 3.750 novos alunos/ano 1.700 de pós graduação 1.700 docentes 3.339 técnicos-administrativos 4.500 computadores
UFBA - Geografia Universidade multicampi Campus Ondina/Federação Campus Canela Unidades isoladas
Campus Ondina/Federação
Campus Canela
Rede UFBA - Desafio Desafio: Prover uma rede que seja estável, segura, rápida e que seja abrangente de forma a todas as unidades da UFBA terem acesso a ela.
Cenário da Rede UFBA Todas as unidades possuem conexão a Internet 24hs em alta velocidade, provida em 90% dos casos por enlaces ópticos. A UFBA está conectada a rede Ipê,Rede de alta velocidade da RNP, através de dois enlaces de 2.5 Gbps
Questões Como prover segurança de forma diferenciada em um ambiente deste tipo? Quem deve se preocupar com a segurança no ambiente acadêmico? Qual o papel de cada um?
Papéis O CPD da UFBA possui o papel institucional de gerir os recursos de Tecnologia da Informação da Universidade: Inclui prover segurança na rede Tratar os incidentes e notificações de segurança Notificar usuários
Papéis A gestão da segurança da rede deve perceber o contexto e a dinâmica do ambiente Universitário, onde em muitos casos há um ambiente de constante experimentação e pesquisa e acesso amplo a comunidade
Ameaças O ambiente universitário é um ambiente visado para ataques e invasões: Rede de alta velocidade Diversas máquinas conectadas 24hs por dia Acessível a uma grande comunidade
Ameaças Há um crescimento exponencial dos problemas de segurança que podem causar um transtorno aos usuários: Vírus e worms Acessos não autorizados SPAMs Roubo de senhas
Ações O CPD da UFBA no cumprimento de seu papel institucional provê uma série de ações e ferramentas que possibilitam tratar tais ameaças
Correio Eletrônico: Cenário Recebimento de 200 mil mensagens/dia Vírus enviados nas mensagens Há um número crescente de mensagens indesejadas na rede: Torna o serviço de e-mail mais lento Desagradável para maior parte dos usuários
Correio Eletrônico: Ações Recebimento das mensagens por dois servidores Checagem de vírus (mensagens com vírus são descartadas) Uso de blacklist para negar recebimento de mensagens não solicitadas de SPAMMERs conhecidos Aplicação de regras heurísticas para identificar mensagens com padrão de SPAM
Correio Eletrônico: Resultados Cerca de 10% das mensagens são descartadas por serem vírus Cerca de 50% das mensagens são descartadas previamente por serem SPAM As demais mensagens são entregues ao usuário (80mil mensagens/dia)
Correio Eletrônico: Ações do Usuário O sistema de detecção de SPAMs permite ajustes por usuário Notificar recebimentos indesejados ao CPD e anormalidades eventuais no recebimento de mensagens
Estação pessoal: Cenário 4000 computadores na Rede UFBA Máquinas ligadas 24hs/dia Visadas por hackers Há um alto índice de infecção das máquinas de usuário por víruso e worms Esta infecção pode causar lentidão nas redes locais e no uso de dia a dia, além de comprometer a privacidade de dados do usuário na máquina
Estação pessoal: Ações Sistema de Detecção de Intrusão periodicamente inspeciona o tráfego de saída da rede Máquinas que enviem tráfego associado a um tipo de invasão conhecida são identificadas Helpdesk atua junto ao usuário para realizar a limpeza Antivírus corportativo é provido para uso por todos os usuários
Estação Pessoal: Resultados Diminuição de ocorrências de lentidão causadas pro vírus e worms Antivírus atualiza diariamente e evitas novas infecções
Estação Pessoal: Ações de Usuário Observar os cuidados com o uso do computador pessoal (Palestra Anterior!!) Caso o antivírus não esteja instalado, acione o helpdesk!! Em caso de infecção identificada colabore com o trabalho do helpdesk
Acesso Remoto: Cenário Usuários querem ter acesso a suas máquinas remotamente Pesquisadores querem acessar periodicos da CAPES da mesma forma que estando na UFBA As máquinas da UFBA não são diretamente expostas a Internet para reduzir os problemas com segurança
Acesso Remoto: Ações Todo usuário que quer acesso remoto utiliza conexão segura fornecendo usuário e senha Protege dados do usuário e evita expor as máquinas diretamente a Internet
Rede Corporativa: Cenário Usuário precisa de recursos de rede, mas precisa de segurança no acesso a estes recursos Como proteger os dados remotamente? Como garantir que a minha máquina não é acessada localmente pro quem não deveria?
Rede Corporativa: Ações CPD provê uma rede corporativa baseada em LDAP e Active Directory TODOS os alunos, professores e servidores tem acesso a esta rede Pastas compartilhadas na rede são fornecidas com controle de acesso de acordo com a necessidade do usuário A senha é a mesma do e-mail, do Acesso Remoto e da Rede
Rede Corporativa: Resultados Usuários que usam os recursos da rede conseguem manter seus dados de forma segura e restringir acesso local somente as pessoas apropriadas na rede As senhas trafegam criptografadas, são alteradas periodicamente As unidades que utilizam plenamente a rede corporativa economizam recursos na administração dos dados manidos na rede
Controle de Acesso Web: Cenário Todos devem acessar qualquer conteúdo web? Pornografia? Pedofilia? Jogos? Cada unidade deve escolher como tratar com esta questão!
Controle de Acesso Web: Ações O CPD provê filtros de acesso categorizados para as Unidades que demandam tal necessidade A unidade especifica quais as máquinas, que categorias devem estar disponíveis etc.
Controle de Acesso Web: Resultados Alto indice de satisfação por parte das Unidades Atendimento da política requerida pela Unidade
Acesso Pessoal a Web e e-mail na UFBA: Cenário O acesso a recursos web e de e-mail na UFBA podem em um dado momento requerer fornecimento de usuários e senhas, ou dados sigilosos Estes dados não devem estar disponíveis na rede
Acesso Pessoal a Web e e-mail na UFBA: Ações Para estes recursos que requerem atenção especial quanto a segurança o CPD provê acesso criptografado O acesso é identificado nas páginas web por um cadeado, como, por exemplo, no acesso ao webmail
Acesso Pessoal a Web e e-mail na UFBA: Ações No caso de conexões de clientes de e-mail (Outlook, Thunderbird etc.) o usuário pode optar por enviar e receber e-mails com ou sem criptografia Ative a criptografia (SSL) Em caso de dúvidas de configuração acione o helpdesk
Contatando o CPD O contato inicial deve ser feito com o Helpdesk (6100) ou helpdesk@ufba.br O Helpdesk analisa solicitações e encaminha o que for necessário aos analistas de segurança
Conclusão A UFBA tem preocupação constante com segurança e realiza ações no sentido de prover melhores condições para os seus usuários A segurança depende também e MUITO do usuário, ele pode sempre interagir com o CPD em dúvidas e questões relacionadas a este tema