FACULDADE DE TECNOLOGIA SENAC GOIÁS GESTÃO EM TECNOLOGIA DA INFORMAÇÃO III PROJETO INTEGRADOR FUNDAMENTO DE SERVIÇOS IP Integrantes: Freudis Ferreira Isadora Fidelis Matheus dos Santos Wenderson Guimarães Goiânia
2016 Projeto Integrador Fundamentos de Serviços IP Um Sistema Bancário passa por uma série de processos na engenharia de software, envolvendo: análise de requisitos, projetos, codificação, testes e várias outras fases. É necessário bem mais do que códigos e lógica de programação para que esse sistema funcione de forma rápida, segura, operacional e tenha um alto nível de disponibilidade para vários clientes ao mesmo tempo. As ferramentas que auxiliam na obtenção dessas vantagens são os hardwares, softwares e serviços de rede específicos que garantem o bom funcionamento e a segurança das aplicações. Abaixo segue um diagrama de como um sistema bancário funcionaria com a obtenção de recursos tecnológicos de redes. Figura 1: Diagrama Lógico da Rede de um sistema bancário. Essas tecnologias descritas acima, contribuem para um ótimo desempenho e segurança do sistema bancário. Nota-se que do lado servidor do sistema bancário existem três servidores, um onde está instalado o programa e banco de dados, contendo todas as informações sobre os clientes e tipos de serviços e outro com os serviços de rede VPN, DHCP e DNS. O terceiro servidor é responsável por uma grande parte da segurança das aplicações, e serve como uma armadilha para hackers e invasores, o HoneyPot Server. O computador administrador é responsável por manter todos os serviços executando e disponíveis, este também possui a função de executar e manter todas as operações do sistema e do banco de dados bancário. Entre o Switch e o Roteador existe um Sensor IPS e o Firewall, responsáveis pela segurança da Intranet do sistema. Todas as informações que
navegam entre o cliente e o servidor passam através de um túnel VPN. A Figura 1 apresenta os serviços de redes necessários e essenciais para uma melhor segurança na automatização dos procedimentos bancários. Descrição: A comunicação de uma agência com um sistema bancário, seguindo a topologia descrita na figura 1, aconteceria da seguinte forma: 1- Um Cliente solicita uma operação em uma agência bancária (Saque, Deposito, Transferência, Empréstimo, etc.); 2- O serviço é solicitado ao servidor através de uma conexão VPN pré-estabelecida; 3- O Servidor se comunica com o Banco de Dados do sistema e verifica se todas as informações desse cliente estão disponíveis e corretas e as retorna para o servidor; 4- As informações e o saldo do cliente são retornadas ao sistema, que por sua vez retorna os resultados ao cliente. ATM Automated Teller Machine Desenvolvido no final dos anos 80, consiste em uma rede de alta velocidade, utilizada principalmente em caixas eletrônicos o que os torna capaz de se comunicar com agências bancárias a uma velocidade muito grande, tornando o processo de transações bancárias realizadas nesses caixas muito rápida, além de permitir que seus próprios clientes realizem suas operações, tais como saque, depósitos e transferências. SERVER HoneyPot Esse tipo de servidor não realiza nenhum serviço especifico para o usuário, portanto possui uma utilidade muito grande nos requisitos de segurança de redes, a sua principal função é simular falhas de segurança nos serviços, atraindo a atenção de invasores e desviando o foco dos servidores reais, quando esse servidor é atacado passa a impressão de que o hacker está invadindo um servidor com aplicações reais, quando na verdade ele está capturando as informações do invasor e dos tipos de ataques que estão sendo realizados.. Esse servidor captura os tipos de ataques que o sistema recebem todo dia, o que permite ao administrador da rede levantar estatísticas sobre os ataques, e estudar novas formas de manter a segurança nas aplicações reais a cada novo ataque.
FIREWALL Figura 2: Modelo Firewall, Fonte: http://www.estudopratico.com.br/firewall/ Uma importante ferramenta de segurança, tanto para um servidor quanto para o cliente é o firewall, sua principal função é filtrar todos os dados que chegam da rede externa para a rede interna, bloqueando todas as possíveis ameaças (vírus, malwares, etc.) e deixando passar os dados reais que são puros. O Usuário pode realizar configurações nas políticas do Firewall para torna-lo mais eficaz contra o acesso de pessoas não autorizadas ao sistema e contra vírus e invasões mais específicos. O gerenciamento das Políticas do Firewall funcionam da seguinte forma: Todo o tráfego é bloqueado, exceto o que está sendo permitido, ou Todo o tráfego é permitido, exceto o que está sendo bloqueado. O Firewall possui duas plataformas, a primeira e mais utilizada é o software, geralmente nativa do sistema, onde o próprio usuário pode fazer suas configurações e tornar o uso do firewall mais eficiente. A segunda é o Hardware, mais comum em servidores e em ambientes coorporativos, neste caso o funcionamento do hardware se torna mais eficaz para a rede inteira, e não apenas para máquinas individuais, o hardware possui o software de firewall instalado, e é capaz de filtrar uma imensa quantidade de pacotes na rede em poucos minutos ou até segundos.
Figura 3: Hardware Firewall, Fonte: http://www.infowester.com/firewall.php Por isso um Firewall se faz muito importante em relação a segurança de uma rede ou de uma máquina. Em sistemas bancários o Firewall seria a primeira barreira contra invasores e acessos não autorizados, e logo no início poderia ser responsável pela segurança de um alto percentual da rede bancaria, protegendo seus clientes contra vários ataques e roubo de informações no sistema bancário. Como por exemplo usuários mal intencionados, que utilizam o sistema para fazer empréstimo no nome de outra pessoa. O firewall poderia filtrar esse tipo de informação protegendo o usuário e o sistema contra farsantes. Apesar de possuir um alto padrão de segurança o firewall tem algumas vulnerabilidades, como por exemplo: não trabalha na camada de aplicação, ou seja, algum vírus pode passar pelo firewall através de um programa não infectado, ou através de uma aplicação na web, onde o próprio usuário pode permitir essa passagem por falta de conhecimento. O uso do Firewall sozinho, não garante uma segurança eficaz para o usuário, para garantir uma maior eficiência na segurança do sistema, o Firewall teria que trabalhar em conjunto com um IPS, VPN (Virtual Private Network) que serão descritos abaixo, entre outras tecnologias de rede.
IPS (Intrusion Prevention System Sistema de Prevenção de Intrusões) Figura 4: Modelo IPS, Fonte: https://bastionnux.wordpress.com/2011/04/06/ips-intrustion-preventionsystems-your-2nd-line-of-defense/ Consiste em um sistema que examina e analisa o tráfico de rede, detectando e prevenindo possíveis ameaças ao sistema. Esta poderia ser a segunda barreira de segurança contra invasores, podendo ser uma extensão do Firewall, o que reforçaria ainda mais a segurança de um sistema bancário contra vírus, malwares e ataques cibernéticos. Uma grande vantagem que se tem ao implementar o IPS, é o nível de segurança que ele pode proporcionar, Um IPS trabalhando em conjunto com o Firewall, é capaz de bloquear todas as ameaças que passam despercebidas pelo Firewall. O Usuário pode realizar a implementação do IPS através de um sensor, que será capaz de não apenas detectar, mas também bloquear qualquer ameaça presente na rede, prevenindo o usuário contra ataques do tipo Ransoware, roubo de informações, DDoS, Man_in_the_Middle, entre outros. Ransoware Sequestro de Informações, é o tipo de ataque onde o atacante, toma posse do sistema do usuário, deixando o seu monitor apenas com uma janela, solicitando uma quantia em BitCoins (Moeda Virtual), pelo resgate do seu sistema, O usuário não tem acesso a nada, enquanto não deposita a quantia solicitada. Esse tipo de ataque em um sistema bancário seria extremamente prejudicial ao usuário, sendo que uma vez que o atacante tem posse de várias contas, pode ser que ele além de pedir um resgate, ele ainda roube várias contas bancarias. DDoS (Distributed Denied-of-Service) É um tipo de ataque onde os responsáveis criam programas maliciosos que são instalados em diversas máquinas e que ficam acessando o sistema simultaneamente, o que excede o limite de processamento do servidor, fazendo com que este reinicie ou, na pior das hipóteses, cause um travamento total no sistema.
Man-in-the-Middle Como o próprio nome já diz, esse um ataque que acontece quando um hacker consegue interceptar a comunicação do usuário com o sistema, e é capaz de capturar todas as informações do usuário, enquanto ele acessa a conta de um e-mail, um sistema bancário, entre outras, sem ele perceber. Esse pode ser um dos ataques mais prejudiciais ao usuário, pelo fato dele estar sendo vigiado e ter suas informações mais privadas roubadas, Por exemplo: enquanto o usuário acessa um sistema bancário o atacante captura as informações como, nº da agencia, do cartão, senha, entre outros dados que podem permitir ao atacante posteriormente, realizar empréstimos, transferências bancarias, saques, entre outras operações no nome do usuário. O Firewall trabalhando em conjunto com o sensor IPS, é capaz de neutralizar muitas dessas e outras ameaças que tanto o usuário como o sistema podem sofrer na rede, além de possuir uma grande eficácia na proteção dos dados e informações de sistemas bancários, empréstimos entre outros. VPN (Virtual Private Network) Figura 5: VPN, Fonte: http://www.gta.ufrj.br/grad/13_1/vpn_ipsec/vpn_capitulo2.html É uma tecnologia de rede que permite a comunicação entre duas ou mais redes diferentes de forma segura, essa comunicação acontece por meio de um canal, tubo, onde toda a informação que entra é automaticamente criptografada, e somente do outro lado é que estas informações voltam ao seu estado original. O serviço de VPN, possui uma grande utilidade para automação de sistemas bancários, pelo fato de proteger as transações bancárias contra ataques cibernéticos durante a comunicação com o usuário, caso aconteça de alguma informação bancária de um cliente for capturada por um hacker, tudo o que ele poderá visualizar são dados sem o menor sentido, pois é tudo criptografado.
Quando um usuário se conecta a uma rede de um sistema bancário, mesmo que o Firewall e o sensor IPS o ajude quanto à segurança, a conexão estabelecida através do VPN adiciona uma camada extra de segurança as transações bancárias, o que garante quase 100% que uma comunicação entre um cliente e um sistema bancário, seja totalmente segura, privada e confiável. Acesso Remoto É uma das formas mais utilizadas para se ter acesso a um servidor ou uma máquina, seja para realizar uma manutenção ou utilizar um serviço. Uma das formas mais seguras de fazer um acesso remoto a uma máquina é utilizando o protocolo SSH, esse protocolo é de fácil instalação e permite além da conexão remota a transferência de arquivos da máquina que está sendo acessada para a que está fazendo o acesso. Utiliza criptografia no acesso, o que torna aplicação muito segura. Esse protocolo fornece acesso e autenticação segura com o servidor, proporcionando confidencialidade e integridade dos dados com total privacidade, e gera uma nova chave de autenticação a cada conexão que é estabelecida, o que protege as informações anteriores caso uma conexão seja interceptada. SEGURANÇA A fim de aumentar ainda mais a segurança nas transações bancárias feitas via Internet, vários bancos utilizam um serviço de rede que gera uma certificação digital. Esta proporciona uma assinatura das transações com certificado digital, oferecendo autenticação com validação de chaves pública e privada. A primeira chave é gerada pelo servidor do banco e a segunda é gerada pelo cliente, esta última somente ele conhece, pois fica criptografada no seu certificado de forma segura. É uma senha de uso exclusivo, secreto e intransferível do cliente. Nem mesmo o Banco tem acesso a ela. Bibliografia: RIOS, Renan Osório, Instituto Federal Espirito Santo. Protocolos e Serviços de Redes. Disponível em. <http://ead.ifap.edu.br/netsys/public/livros/livro%20manuten%c3%87%c3%83o/m odulo%20iii/protocolo_servicos_redes.pdf >. Acesso em: 28/11/2016. Creative Comons, Cliente-Servidor. Wikipédia a enciclopédia livre. Disponível em: <https://pt.wikipedia.org/wiki/cliente-servidor>. Acesso em: 28/11/2016. HOFF, Haltimir. Automação Bancária. Disponível em: <http://www.posuniasselvi.com.br/artigos/rev02-06.pdf>. Acesso em: 29/11/2016.