Documente Academic
Documente Profesional
Documente Cultură
Orientador
ii
Orientador
iii
________________________________________
Prof. Dr. Fernando A. Ostuni Gauthier (Coordenador)
Banca Examinadora
_____________________________________
Prof. Dr. Vitrio Bruno Mazzola (Orientador)
____________________________________
Prof. Dra. Anita Maria da Rocha Fernandes
____________________________________
Prof. Dr. Joo Bosco da Mota Alves
iv
AGRADECIMENTOS
v
SUMRIO
LISTA DE FIGURAS.................................................................................................... ix
LISTA DE TABELAS .................................................................................................... x
LISTA DE ABREVIATURAS...................................................................................... xi
RESUMO...................................................................................................................... xiv
ABSTRACT .................................................................................................................. xv
CAPTULO I - INTRODUO ................................................................................... 1
1. Introduo ................................................................................................................... 1
2. Objetivos...................................................................................................................... 2
2.1 Objetivo Geral .......................................................................................................... 2
2.2 Objetivos Especficos................................................................................................ 2
3. Organizao do Trabalho .......................................................................................... 3
CAPTULO II - INTERNET......................................................................................... 4
1. Histrico ...................................................................................................................... 4
1.1 ARPANET (Advanced Research Projects Agency Network)............................... 6
1.2 NSFNET (National Science Foundation Network)................................................ 6
1.3 Surgimento da INTERNET ..................................................................................... 8
1.4 A INTERNET no Brasil ........................................................................................... 9
2. Servios Disponibilizados na Internet .................................................................... 10
2.1 Acesso a Internet..................................................................................................... 10
2.2 Servio de Correio eletrnico ................................................................................ 11
2.2.1 Arquitetura e Servios......................................................................................... 12
2.2.2 Protocolos de Servios ......................................................................................... 15
2.2.2.1 Protocolo de Transferncia de Mensagens..................................................... 16
2.2.2.2 Protocolos de Recebimento de Mensagens ..................................................... 17
vi
2.3 Network News ......................................................................................................... 18
2.4 Telnet ....................................................................................................................... 20
2.5 FTP........................................................................................................................... 21
2.6 Gopher ..................................................................................................................... 22
2.7 World Wide Web ...................................................................................................... 24
2.7.1 A Servio do Lado do Servidor .......................................................................... 25
2.7.2 O Servio do Lado do Cliente............................................................................. 27
CAPTULO III - INTRANET ..................................................................................... 28
1. Conceituando uma Intranet..................................................................................... 28
1.1 A World Wide Web e as Webs Internas............................................................... 28
2. Intranets x Correio Eletrnico ................................................................................ 29
3. As Intranets e o Groupware .................................................................................... 30
4. Gerenciamento de Documentos em uma Intranet ................................................. 31
5. O Funcionamento de uma Web Interna ................................................................. 32
5.1 TCP/IP: Uma Base de Rede de Baixo Custo ........................................................ 32
5.1.1 TCP/IP e o IETF .................................................................................................. 33
5.2 Endereamento de Todos os Computadores ........................................................ 33
6. HTTP: Cliente/Servidor para o Restante do Pessoal ............................................ 35
7. Motivos para se ter uma Intranet ........................................................................... 37
CAPTULO IV SEGURANA NA INTERNET.................................................... 41
1. Introduo ................................................................................................................. 41
2. Ameaas..................................................................................................................... 42
3. Tipos de Ataques....................................................................................................... 45
3.1 Ataques tcnicos...................................................................................................... 46
3.1.1 Ataques de Negao de Servio .......................................................................... 46
3.1.2 Ataques Furtivos.................................................................................................. 47
vii
3.2 Ataques no Tcnicos ............................................................................................. 49
4. Polticas de Segurana.............................................................................................. 50
5. Segurana do Correio Eletrnico............................................................................ 51
5.1 Ameaas a Mensagens em Trnsito ...................................................................... 51
5.2 Ameaas aos agentes de entrega de mensagens em sistemas finais.................... 52
6. Segurana dos Servidores de News ......................................................................... 52
7. Segurana dos Servidores de Terminal .................................................................. 53
8. Protocolos de Segurana .......................................................................................... 54
8.1 IPSEC (IP Security) ................................................................................................ 54
8.2 SSL (Secure Sockes Layer) .................................................................................... 56
8.3 PGP (Pretty Good Privacy) ................................................................................... 56
8.4 PEM (Privacy Enhanced Mail) ............................................................................. 57
8.5 SSH (Secure Shell) .................................................................................................. 58
8.6 HTTP Seguro .......................................................................................................... 59
9. Criptografia............................................................................................................... 59
9.1 Criptografia com Chave Secreta ........................................................................... 60
9.1.1 DES (Data Encryption Standard) ...................................................................... 60
9.2 Criptografia com Chave Pblica........................................................................... 63
9.2.1 RSA (Rivest, Shamir e Adleman)....................................................................... 63
10. Firewalls .................................................................................................................. 65
10.1 Tcnicas de Firewall ............................................................................................. 66
10.1.1 Filtros de Pacotes ............................................................................................... 67
10.1.2 Filtros Inteligentes ......................................................................................... 69
11. PROXY .................................................................................................................... 70
11.1 Servidor Proxy de Aplicao................................................................................ 70
CAPTULO V MODELO DE SEGURANA ........................................................ 72
viii
1. Introduo ................................................................................................................. 72
2. Servios a Disponibilizar.......................................................................................... 73
2.1 Servio de Autenticao ......................................................................................... 73
2.1.1 A Escolha de uma Senha ..................................................................................... 73
2.1.2 Mudana de Senha .............................................................................................. 74
2.2 Servio Web ............................................................................................................ 74
2.3 Servio de DNS ....................................................................................................... 75
2.4 Servio de FTP ........................................................................................................ 76
2.5 Servio de Telnet..................................................................................................... 76
2.6 Servio de Correio Eletrnico ............................................................................... 76
2.6.1 Correio Eletrnico: O Alvo................................................................................. 77
2.7 Servio de Banco de Dados .................................................................................... 78
3. Tipos de Intranet ...................................................................................................... 78
3.1 Intranet Pura .......................................................................................................... 79
3.2 Intranet Intermediria ........................................................................................... 79
3.3 Intranet E-Commerce ............................................................................................ 80
4. Nveis de Segurana.................................................................................................. 81
5. Como Proteger os Servios? .................................................................................... 82
5.1 Servio de Autenticao e Web ............................................................................. 82
5.2 Servio de DNS ....................................................................................................... 83
5.4 Servio de Correio Eletrnico ............................................................................... 83
5.5 Servio de FTP ........................................................................................................ 85
5.6 Servio de Banco de Dados .................................................................................... 86
6. Esquemas de Segurana........................................................................................... 87
CAPTULO VI CONCLUSES E RECOMENDAES.................................... 91
BIBLIOGRAFIA .......................................................................................................... 93
ix
LISTA DE FIGURAS
Figura 1(a) Correio Postal. (b)Correio Eletrnico. (TANNENBAUM, 1997 p738)... 15
Figura 2 Mtodo de Criptografia DES ( SOARES, 1995) ............................................. 62
Figura 3 Intranet Pura ..................................................................................................... 79
Figura 4 Internet Intermediria....................................................................................... 80
Figura 5 Intranet E-Commerce ....................................................................................... 81
Figura 6 Esquema de Segurana de Intranet Pura .......................................................... 87
Figura 7 Esquema de Segurana Intranet Intermediria................................................. 89
Figura 8 Esquema de Segurana Intranet E-Commerce................................................. 90
x
LISTA DE TABELAS
Tabela 1 - Alguns URLs comuns .................................................................................. 26
Tabela 2 - Classes de Ameaas (BERNSTEIN,1997 p. 29-30) ..................................... 44
Tabela 3 - Algoritmos de Criptografia Simtricos (MAIA,2001) .................................. 63
Tabela 4 - Algoritmos de Criptografia Assimtrica (MAIA,2001) ................................ 65
xi
LISTA DE ABREVIATURAS
AH
API
ARPA
Header de Autenticao
Aplication Program Interface
Advanced Research Projects Agency
ARPANET
ASCII
CA
Certification Authorities
CCITT
CGI
CSNET
DES
DHCP
DMSP
DNS
DoD
Department of Defense
ESP
FAPESP
FTP
HTML
HTTP
IAB
xii
ICMP
IDEA
IETF
IMAP
IMP
IP
Internet Protocol
IPCA
IPSEC
IP Security
IPX
LNCC
MIT
MOSS
MOTIS
MTA
NNTP
NPL
NSF
NSFNET
OSI
PCA
PEM
PGP
POP
RENPAC
RNP
xiii
RSA
SHA
Secure Hash
SMTP
SRI
SSH
Secure Shell
SSL
TCP
UA
User Agent
UCLA
UCSB
UFRJ
URL
USENET
Users' Network
UUCP
WWW
xiv
RESUMO
xv
ABSTRACT
This work was developed focus on a study of Internet and Intranet technologies
about the security vulnerability. After the studies developed, the Intranet profiles
definition and the services available started. With the survey of these services, was
verified what are the vulnerability and the way to protect then. After the studies it was
done the schema of security was done to different Intranet profiles.
CAPTULO I - INTRODUO
1. Introduo
2
J que extremamente insensato entrar na era da Intranet sem conhecimento
tecnolgico para entender os riscos e desprovido de regulamentao adequada para se
formular uma poltica de segurana ideal com o intuito de definir procedimentos para
proteger informaes importantes da organizao. Tornando assim a implantao de
segurana em uma Intranet um processo difcil.
2. Objetivos
Este projeto tem por objetivo propor um esquema de segurana para Intranets nos
seus diferentes tipos de perfis.
3. Organizao do Trabalho
O segundo captulo traz uma apresentao sobre Internet, com suas principais
caractersticas e funcionamento.
O terceiro captulo trata das tecnologias da Intranet, sua utilizao e motivos para
seu uso.
O quinto captulo trata dos mtodos a serem utilizados de acordo com os nveis de
segurana e o tipo da intranet, conforme as especificaes deste mesmo captulo.
CAPTULO II - INTERNET
1. Histrico
5
assunto foi publicado em 1964. PEREIRA(2001) disse que quando Kleinrock conseguiu
convencer Roberts da possibilidade terica das comunicaes usando pacotes ao invs
de circuitos, deu um grande passo para tornar possveis as redes de computadores. Outro
fator que impulsionou foi o fato de conseguirem fazer os computadores conversarem
entre si.
do
sistema
telefnico
era
totalmente
inadequado
para
intento.
PEREIRA(2001) disse que com isto confirmou-se assim a convico de Kleinrock sobre
a necessidade de trocas de pacotes.
6
enquanto o sistema de mensurao da rede estava sendo preparado pelo pessoal de
Kleinrock na UCLA - University of California at Los Angeles.
No ano de 1983 a ARPANET era tida como uma rede estvel e bem-sucedida, e
cada vez mais aumentava de tamanho. Porm no ano de 1990 a ARPANET foi
desmantelada e desativada, sendo ento substituda por redes mais novas.
7
compartilharem dados e possibilitava que trabalhassem juntos em projetos de pesquisa.
Porm, poucas universidades conseguiam se conectar a ARPANET, j que um dos
requisitos necessrio era possuir um contrato de pesquisa com o DoD, privilgio esse
que muitas no tinham.A fim de resolver este problema a NSF configurou uma rede
virtual, a CSNET, centralizada em uma maquina na BBN para oferecer linhas de
discagem e conexes com a ARPANET e outras redes. TANENBAUM(1997) afirma
que atravs da utilizao da CSNET, os pesquisadores acadmicos podiam estabelecer
uma conexo e deixar uma mensagem de correio eletrnico para outras pessoas.
Ithaca
Princeton.
Os
supercomputadores
de
acordo
com
8
Tcnica de Rede da NSF do RFC 985 - Requirements for Internet Gateways,
assegurando formalmente a interoperabilidade entre DARPA e NSF.
9
espao para usurios comerciais, fora da esfera acadmica, que demandavam por
servios de utilizao mais simples.
10
2. Servios Disponibilizados na Internet
11
12
uma dcada de concorrncia, os sistemas de correios eletrnicos baseados na RFC 822
passaram a ser amplamente usados, ao passo de que aqueles baseados na X.400
desapareceram no horizonte.
13
14
5. Disposio: considerada a ltima etapa, refere-se ao que o
destinatrio faz com a mensagem depois de receb-la.
Uma mensagem dentro do envelope composta por duas partes: o cabealho onde
esto contidas as informaes de controle a serem utilizadas pelos agentes, e o corpo da
mensagem que se destina inteiramente a seu destinatrio. Como na Figura1.
15
16
2.2.2.1 Protocolo de Transferncia de Mensagens
Quando a entrega de mensagens for local, envolve mais aspecto que somente
anexar a mensagem que chega caixa postal do destinatrio. Em geral o MTA local ir
executar tarefas relacionadas com o uso de nomes alternativos ou apelidos e tambm o
reenvio de mensagens. Tambm existem para MORAES NETO (1999) as mensagens
que no podero ser entregues e que sero devolvidas, ou seja, retornadas para o
remetente com alguma mensagem de erro.
17
de envio de mensagens. TANNENBAUM (1997) afirma que se houverem mais
mensagens elas sero enviadas, at que no exista mais nenhuma e a conexo possa ser
encerrada.
18
como idia que o servidor de correio eletrnico mantenha um repositrio central que
possa ser acessado a partir de qualquer mquina pelo usurio.
19
O newsgroup composto por uma unidade denominado artigo, que possui o
formato bem semelhante ao das mensagens do sistema de correio eletrnico. Assim
sendo, o servio NetNews permite aos usurios, selecionar um ou mais grupos de seu
interesse, podendo fazer desde a simples leitura de artigos at o envio de artigos
prprios ou respostas a outros artigos.
20
O protocolo news aceita somente dois formatos:
2.4 Telnet
21
No caso do computador que est sendo acessado no fornea um sistema de menu
de navegao, o usurio pode utilizar os comandos nativos do servidor para executar o
que deseja.
2.5 FTP
O servidor de FTP para ser acessado por um usurio que no possua uma conta
nele, disponibiliza uma conta especial denominada de anonymous e com autenticao
flexvel, em geral um endereo de e-mail Aps o estabelecimento da sesso o usurio
22
possui acesso apenas aos arquivos que podem ser consultados ou transferidos para seu
computador.
Este servio de FTP utilizado em grande escala na Internet, de tal forma que
TANENBAUM (1997) afirma que com a Web no muda isso, ela apenas torna a
obteno de arquivos via FTP mais fcil, pois o FTP tem uma interface um tanto
misteriosa. O FTP via Web ocorre atravs do protocolo HTTP, no sendo necessrio a
existncia do servio de FTP na mquina. Com isto esta cada vez mais sendo
desativados servidores de FTP puro para serem utilizados via HTTP, pois traz mais
benefcios alm dos disponibilizados pelo FTP.
2.6 Gopher
23
De acordo com TANENBAUM (1997) o Gopher foi batizado com o nome dos
times de atletas daquela escola, os Golden Gophers (e que tambm uma gria que
significa go for, ou seja, v buscar). O Golphers muitos anos mais velho do que a
Web.
24
2.7 World Wide Web
25
2.7.1 A Servio do Lado do Servidor
Existem cada vez mais verses do HTTP, pois este est sempre em evoluo, de
tal forma que, em quando inmeras verses esto sendo utilizadas, outras esto em
desenvolvimento. Este protocolo consiste de acordo com TANENBAUM (1997) de dois
itens razoavelmente distintos: um conjunto de solicitaes dos browsers aos servidores
e um conjunto de respostas que retornam no caminho inverso.
Apesar das inmeras verses do HTTP, todas aceitam como padro dois tipos de
solicitao:
Simples: apenas uma linha GET que identifica a pgina desejada, sem
ter a verso do protocolo. Possuindo como resposta uma pgina sem
cabealho, sem MIME e sem protocolo.
26
-
Este identificador atribudo a cada pgina como um nome universal para ela.
Sendo dividido em trs partes conforme TANNENBAUM (1997):
O Protocolo;
Usado para
Exemplo
HTTP
Hypertext (HTML)
http://www.cbcomp.univali.br
FTP
FTP
ftp://ftp.inf.univali.br/pub
File
Arquivo Local
/usr/Cbcomp/programa.c
News
Newsgroup
news:cbcomp.os.minix
News
Artigo de Newsgroup
news:AAO12354312@cbcomp.univali.br
gopher
Gopher
gopher://gopher.tc.umn.edu/11/Libraries
mailto
Enviar Mensagem
mailto:cbcomp@cbcomp.univali.br
telnet
Login remoto
telnet:/www.cbcomp.univali.br
27
Os servidores de WWW no possuem somente os servios de navegao, podem
tambm implementar interfaces com quaisquer outros servios disponveis em
equipamentos da Internet. CARVALHO (1998) afirma que para oferecer tais servios
necessria a utilizao de uma interface conhecida como CGI (Commom Gateway
Interface), de forma que estes servidores possam interagir com qualquer programa ou
servio disponvel atravs de programas ou sistemas conhecidos como gateways para
WWW. Estes gateways so comumente utilizados para autorizarem a interao dos
usurios com programas que permitam o preenchimento de formulrios, de forma que
possibilitem um nmero amplo de servios, desde transaes comerciais at pesquisas
em bases de dados.
Ou seja, uma Intranet do ponto de vista das empresas, seria um meio privativo que
possibilita a troca de informaes e oferecendo vantagens inigualveis em termos de
custo e recursos atravs da integrao de servios de redes tradicionais.
29
A vantagem de uma Intranet o uso da interface grfica pelo usurio, o que
facilita o acesso s aplicaes. Outra facilidade de uma Intranet o fato de que o
usurio pode utilizar o mesmo browser tanto para a Internet quando para a Intranet, com
isto SOUZA (1999) afirma que no necessrio o investimento no desenvolvimento de
aplicativos ou compra de pacotes de groupware de alto custo.
30
programa especfico para esta finalidade, trazendo assim uma enorme economia de
tempo.BENETT (1997) afirma que isto apresenta outras vantagens, como a eliminao
da necessidade de instalar um programa especfico de correio eletrnico em todos os
computadores.
3. As Intranets e o Groupware
31
distribuio de informaes, onde apenas os usurios interessados em uma
informao vo a busca dela e a exibem.
32
BENETT (1997) afirma que: no entanto, na grande rea de interseo entre esses
dois extremos, ainda mais difcil tomar a deciso correta. Felizmente, as tecnologias
so complementares, e os sistemas hbridos podem oferecer mais que a combinao
delas.
33
que so aplicadas a esta tecnologia. Pois conforme BENETT (1997) disse, a base da
Internet e das Intranets a famlia TCP/IP de protocolos de rede.
Por ser um protocolo sem custo nenhum de licenciamento o TCP/IP pode ser
utilizado por qualquer pessoa para desenvolver softwares de rede e comercializ-los
cobrando apenas o custo da mo-de-obra. Sendo isto o que mais tem acontecido na
Internet, e hoje em dia mais na WWW e nas Intranets. J que empresas, estudantes,
pesquisadores e aficionados vem de acordo com BENETT (1997) vem desenvolvendo
softwares para a Internet durante dcadas. O que mais surpreende uma grande parte
destes softwares se comparados com os vendidos comercialmente so tidos como
superiores ou equivalentes.
Como o TCP/IP traz muitas vantagens custos para a tecnolgica da Internet, torna
ento todos sites da Internet laboratrios para aplicativos TCP/IP, contribuindo assim
para a rpida evoluo e para a qualidade da tecnologia.
34
Estes dois nveis de endereamento so utilizados pois nem sempre a pessoa que
esta trabalhando em uma rede sabe o endereo IP da mquina, somente o nome do
recurso. Ento este usurio ao digitar este nome em um formato reconhecido pelo
computador, este utilizar um servidor de nomes (DNS) para fazer a localizao deste
endereo. Esta natureza de duas camadas de endereamento para BENETT (1997)
resulta em dois requisitos bsicos de uma intranet:
Para se fazer uma atribuio de endereos IPs em uma rede utiliza-se uma das trs
maneiras a seguir:
Comea com uma faixa de endereos alocados por um dos dois mtodos
anteriores, mas adia a atribuio real de endereos a dispositivos at que
uma solicitao seja feita. Quando isso ocorre, um servidor especial
concede automaticamente um endereo IP temporrio ao dispositivo que
fez a solicitao. Isso feito atravs do BOOTP ou do DHCP (Domain
Host Configuration Protocol), que so extenses do TCP/IP projetadas
35
especialmente para essa finalidade. Quando o dispositivo se desconecta da
rede, seu endereo IP retorna ao pool e pode ento ser atribudo a outro
dispositivo. (ibidem)
36
De forma que Cliente pode ser considerado um processo de computador que
solicita servios dos recursos de rede. Enquanto isto um Servidor um processo de
computador que presta servios a solicitantes autorizados. Devido a isto ento para
BENETT (1997) o termo cliente/servidor refere-se sim a uma arquitetura computacional
e no a uma tecnologia. J que os aplicativos do tipo cliente/servidor podem ser
implementados com a utilizao de praticamente qualquer protocolo de rede, em
qualquer sistema operacional e usando qualquer tipo de computador.
Com seu baixo custo o TCP/IP tido como uma boa base para aplicativos
cliente/servidor. Dando origem ao novo servio do TCP/IP, o HTTP. Este novo servio
uma ampliao da pilha do protocolo TCP/IP. De forma que aos computadores que
oferecem suporte ao HTTP dada a denominao de Servidores Web.
37
necessrio tambm que o HTTP conhea o hardware ou o sistema operacional em que
utilizado. Se a plataforma oferecer suporte ao TCP/IP e multitarefa, o HTTP pode ser
utilizado nela.
Ao se instalar uma Intranet deve-se levar em conta que ela uma tecnologia que
vem a ajudar aos funcionrios e alavancar os negcios da empresa, e no ao contrrio.
38
Aps a elaborao deste projeto, deve-s e antes de partir para a implantao fazer
uma avaliao de qual ser o benefcio que est intranet trar, ou seja, de acordo com
SOUZA (1999) qual ser o pay-back, quais processos iro ser automatizados e
agilizados, o que vai ser publicado nela e qual a economia de papel e processos
resultantes.
Correio eletrnico.
39
Tabela de preos.
Formulrios eletrnicos.
Outros.
40
A implantao de uma intranet tida como uma grande avano para uma empresa,
s que est ao implantar uma intranet dever considerar tambm a implantao de um
sistema de segurana firewall para isolar o trafego externo da Internet em relao a
rede interna, evitando assim a entrada de intrusos, com o uso de senhas e programas de
segurana. Para SOUZA (1999) esses sistemas de segurana filtram a informao que
trafega na rede, evitando a entrada de intrusos no autorizados.
1. Introduo
Hoje em dia com o avano crescente da Internet e o fcil acesso a ela, torna-se
cada vez mais necessrio pensar-se em meios de manter as informaes sigilosas
seguras da melhor maneira possvel, pois existem muitos criminosos de informtica
(normalmente garotos adolescentes) a solta pela Internet.
Desta forma sero expostas as maiores ameaas, e formas de ataques a uma rede
ligada a Internet.
42
2. Ameaas
43
empresa e transmisses, quando as informaes so trocadas entre a rede interna e a
Internet.
Ameaas
Exemplo
44
Ameaas
Exemplo
autorizado; um programa aplicativo ou de tm seu cdigo-fonte verificado
sistema substitudo por outro que contm
uma seo adicional alterada, permitindo
algum tipo de atividade mal-intencionada
no-detectada.
Vrus: Os vrus de computadores so
cdigos de programa que se autoreproduzem. Eles se associam a um
componente de um arquivo executvel ou a
um programa aplicativo de um sistema e
posteriormente o modificam. Os vrus
podem alterar ou eliminar diversos
arquivos de sistema, alterar dados ou negar
disponibilidade.
de
de
as
45
3. Tipos de Ataques
=> Ataque Furtivo: estes tipos de ataque tm como objetivo acessar um sistema de
computador, que de outra maneira o usurio no teria acesso. Os mais conhecidos so:
Spoofing de IP, Roubo de Senha atravs de Fora Bruta e Seqestro de Sesso.
Engenharia social;
Computador Desprotegido;
46
3.1 Ataques tcnicos
SYN Flood: Para se estabelecer uma conexo TCP/IP faz-se necessrio que ela se
inicie com uma solicitao do sistema cliente para o sistema servidor, caso esta
solicitao seja vlida o servidor ir completar a conexo. Desta forma para HAYDEN
(1999) cada conexo dever ser reconhecida para que o ataque seja diagnosticado.
Ping da morte: Este tipo de ataque ocorre quando um usurio mal intencionado
envia uma mensagem ping e faz modificaes no tamanho do pacote que possui como
valor mximo o de 65.536 bytes. Este pacote ao ser recebido pelo servidor derruba-o, o
47
sistema pode congelar e precisar ser reiniciado ou pode haver uma pane total no
servidor. tido como um ataque infantil e incmodo.
Spoofing de IP: este tipo de ataque ocorre quando um intruso simula possuir um
IP confivel para o servidor.
48
Aps isto o servidor B mandar uma resposta ao cliente A para reconhecimento
dos nmeros de seqncia. Nisto entra o intruso X que tentar adivinhar o nmero de
seqncia enquanto envia mensagens para A, pois este no poder receber a mensagem
de B e responder negando a solicitao de conexo.
Este tipo de ataque para BERNSTEIN (1997) tido como uma estratgia
desajeitada e entediante, contudo uma anlise recente revelou que umas ferramentas
existentes podem executar um ataque de Spoofing de IP em menos de 20 segundos.
um ataque perigoso, e ocorre cada vez mais.
Roubo de Senha atravs da Fora Bruta: o tipo de ataque mais comum que
existe, mais lento e exige muito trabalho e inmeras vezes tornam-se improdutivo. Para
que ele ocorra necessrio um servidor que no desconecta aps vrias tentativas de
acesso malsucedidas. Porm mesmo que o servidor faa a desconexo existem maneiras
de se automatizar o processo.
49
3.2 Ataques no Tcnicos
Os ataques so:
50
Mergulho no lixo, ou vale a pena picotar: este tipo de ataque ocorre quando o
invasor revolve o lixo da empresa a procura de login de acesso e de senhas. Hoje em dia
pouco utilizado, pois a maioria das empresas procura picotar seus documentos antes
de joga-los ao lixo.
4. Polticas de Segurana
Uma empresa para ter segurana em seus sistemas dever em primeiro lugar criar
polticas de segurana, que segundo BERNSTEIN (1997), so diretivas de
gerenciamento que estabelecem as metas comerciais da organizao, fornecem uma
estrutura de responsabilidades e domnios aos processos.
51
Este problema ocorre, pois o SMTP reflete muito dos problemas de segurana da
Internet. Para BERNSTEIN (1997) estes problemas so:
52
53
pois acham que o News um servio que no apresenta ameaa a segurana por ser um
conjunto de BBSs pelos quais os funcionrios podem trocar mensagens.
Desta forma as ameaas aos servidores podem ser dividas da seguinte forma:
Interrupo do News: este tipo de ameaa ocorre quando uma pessoa mal
intencionada envia artigos fajutos para publicao no lugar de artigos
verdadeiros,, ou atravs de comandos impossibilita que outros publiquem seus
artigos no servidor.
54
Enquanto isto existem tambm comandos de shell do tipo r-, rlogin e rsh que
fornecem tambm recursos de login remoto a outras mquinas. BERNSTEIN (1997)
disse que ... ao contrrio do telnet, esses servios no utilizam o mecanismo de
autenticao utilizado pelo programa de login local...
Desta forma o acesso a sistemas atravs do telnet ou rlogin d acesso shell direto
ao sistema, diferente do FTP e do Correio eletrnico.
8. Protocolos de Segurana
55
Seu funcionamento baseia-se em um novo conjunto de headers que sero
adicionados ao datagrama IP. De acordo com JHN (2001) estes novos headers so
colocados aps o header IP e antes do protocolo de nvel 4 (Transporte), fornecendo
informaes para a segurana dos dados dos pacotes IP. Estes headers so:
56
8.2 SSL (Secure Sockes Layer)
O SSL (Secure Sockes Layer) uma soluo que fornece servios de segurana
genricos para os diversos protocolos TC/IP, uma vez que protege os protocolos das
camadas inferiores.
no
fornecimento
de
servios
de
segurana,
que
inclui
confidencialidade e autenticidade
O PGP (Pretty Good Privacy) foi criado no final dos anos da dcada de 1980 por
Phil Zimmermann que garantia a segurana de sistemas de correio eletrnico. No incio
foi distribudo livremente entre seus conhecidos, e a partir de 1991 passou a ser
distribudo livremente pela internet.
Este programa foi rapidamente adotado por vrias pessoas, passando a frente do
PEM, pois era independente da plataforma do sistema operacional. Por ser independente
dos agentes de correio eletrnico sua imigrao para vrias plataformas torna-se mais
fcil.
57
O PGP utiliza um nico conjunto de algoritmos responsveis por garantir a
confidencialidade, integridade e autenticidade. De acordo com BERNSTEIN (1997), o
PGP tambm permite a compactao de mensagens externas por meio do utilitrio Zip.
58
identidades de pessoas e seus certificados, enquanto isto os certificados das CAs so
emitidos pelas PCAs(Policy Certification Authorities) e os certificados das PCAs so
assinados por um nico certificado-raz pertencente a IPRA (Internet Policy
Registration Authority). Estes certificados segundo BERNSTEIN(1997) possuem o
tempo de validade de acordo com o especificado pelas Cas.
BERNSTEIN (19997) afirma que atravs do padro PEM, uma nica mensagem
pode ser enviada a vrios destinatrios atravs do uso de uma nica chave de sesso,
para criptografar dados, e da incluso de varas cpias dessa chave. Uma mensagem
com cabealho PEM s poder ser aberta por quem souber a chave para descriptografala.
O SSH (Secure Shell) um programa que foi desenvolvido para ser utilizado no
acesso a computadores remotos. Possui como maior diferena para o Telnet o trabalho
com senhas criptografadas, possuindo assim uma conexo segura, j que no telnet a
senha no criptografada e circula pela rede da maneira que digitada.
59
O SSH foi desenvolvido com o propsito de substituir o rlogin, rsh, rcp e as
maiorias das funes existentes no Telnet, j que prove uma comunicao mais segura
entre duas mquinas.
9. Criptografia
60
As criptografias so mtodos utilizados para modificar o texto original da
mensagem que deve ser transmitida. Os textos so criptografados na origem e depois
enviados.
Com esta falha surgiram os mtodos que utilizam chaves de codificao para
criptografar o texto. Sendo eles: criptografia com chave pblica e criptografia com
chave secreta.
Este tipo de criptografia utiliza uma chave secreta que dever ser de conhecimento
tanto do emissor quanto do receptor.
Este tipo de criptografia possui como seu algoritmo mais conhecido o DES (Data
Encryption Standard).
Este mtodo foi desenvolvido pela IBM e depois de adotado pelo governo do
EUA como padro.
61
SOARES (1995) e TANENBAUM (1997) afirmam que o DES codifica blocos de
64 bits de um texto normal gerando ento 64 bits de texto criptografado.
a)
Texto
Normal
T
R
A
N
S
P
O
S
E
S
T
G
I
O
E
S
T
G
I
O
E
S
T
G
I
O
16
Chave de Codificao
P
E
R
M
U
T
A
T
R
A
N
S
P
O
S
I
Texto Criptografado
62
b)
k
56 bits
Ei - 1
Di - 1
32 bits
32 bits
i(k)
56 bits
Ei 1 (Di-1, ki)
32 bits
E
32 bits
D
Algoritmos
Descrio
Triple DES
IDEA
Blowfish
RC2
63
utilizado no protocolo S/MIME, voltado para criptografia de e-mail
corporativo. Tambm possui chave de tamanho varivel. Rivest tambm
o autor do RC4, RC5 e RC6, este ltimo concorrente ao AES.
Tabela 3 - Algoritmos de Criptografia Simtricos (MAIA,2001)
Quando for respeitada est condio poder ser tornada pblica a chave E. desta
forma os mtodos que possuem esta caracterstica so denominados de assimtricos, ou
baseado em chave pblica.
De acordo com SOARES (1995) para que possa ser usado o RSA, necessrio
tomar dois nmeros primos p e q, aps obter um nmero d, tal que d e (p-1)*(q-1) sejam
64
primos entre si, ou seja, que o nmero d satisfaa a equao mximo divisor comum
[d,(p-1)*(q-1)]=1.
C Pe (mod n)
P Cd (mod n)
ElGamal
Diffie-Hellman
65
nem assinatura digital. O sistema foi projetado para permitir a dois
indivduos entrarem em um acordo ao compartilharem um segredo
tal como uma chave, muito embora eles somente troquem mensagens
em pblico.
Curvas Elpticas
10. Firewalls
66
configuraes ofeream restries para diferentes tipos de trfegos, ou seja, um firewall
recebe um pacote verifica o que fazer com ele, se deixa entrar ou no na rede.
Os firewalls podem ser utilizados para esconder umas mquinas das outras e
regular o trfego que entra e sai das mquinas.
O firewall um nico ponto de entrada de uma rede, contudo caso ele seja
invadido, torna-se assim um nico ponto de falha na segurana, pois d acesso a toda a
rede.
Existem trs tipos de firewalls que podem ser utilizados: filtros de pacotes
baseados no roteador e no host, filtro inteligentes baseados no host e gateways de
aplicaes baseadas no host.
67
Para que a segurana seja mais forte feita uma combinao destas tcnicas de
firewalls.
No incio eles eram utilizados para fazer o controle da largura de banda que as
conexes poderiam utilizar. Estes tipos de filtros so implantados na maioria das vezes
sem que o usurio final tenha conhecimento da existncia deles.
A tcnica de filtragem de pacotes simples, e baseia-se na tecnologia Store-andforward (armazenamento e encaminhamento) dos roteadores, ou seja, quando um host
ou roteador receber um pacote em uma interface, ele ter suas informaes de cabealho
comparados com um conjunto de filtros, para que ento, seja decidido se o pacote pode
passar, se o pacote ser abandonado inteiramente ou, se ser rejeitado (neste caso ser
enviada uma mensagem ICMP de volta ao ponto de origem).
A direo do trfego (da interface para a rede interna ou da rede interna para a
interface);
O tipo de protocolo;
68
Lista
Ao
Prot.
Origem
Destino
Access-List1
Deny
TCP
All
Inside por 23
A onde:
69
Contudo os filtros de pacotes possuem limitaes com o controle dos pacotes,
pois um firewall no poder ficar verificando minuciosamente o contedo de um pacote,
pois ir trazer uma que da no desempenho da rede.
70
11. PROXY
Os servidores proxy em contrapartida dos firewalls adotam a abordagem storeand-forward na qual encerram a conexo de chagada a partir da origem e iniciam uma
nova conexo para o destino.
71
Os servidores proxy em geral so de trs tipos:
servidor proxy genrico: este tipo de proxy tido como um packet relay que
aceita as conexes recebidas. Ele consulta ento alguns tipos de tabela de
configurao para que venha a saber quais so as conexes permitidas, ento
assim sendo ir estabelecer a conexo com o seu verdadeiro destino;
servidor proxy de circuito: este tipo de servidor permite que vrios usurios se
comuniquem com vrios servidores, oferecendo assim uma transparncia
completa tanto para o usurio, quanto para o servidor, criando assim um
circuito virtual fim a fim entre o cliente e o servidor.
falta de transparncia;
1. Introduo
A partir dos estudos efetuados nos captulos anteriores partiu-se para a elaborao
do modelo para a implantao de segurana para uma Intranet. Para tal torna-se
necessrio uma classificao dos tipos de Intranet, nveis de segurana e servios
serem protegidos, pois uma Intranet implantada sem dispositivos de segurana um
livro aberto para todos.
A Internet pode ser usada como uma Wan para conexo entre filiais, expondo a
rede da empresa a toda comunidade da Internet;
73
Com isto deve-se ento definir o que proteger e como proteger.
2. Servios a Disponibilizar
Com estudo feitos atravs de visitas a empresas para ter o conhecimento do que
esta se utilizando nas Intranets, defini-se a seguir os servios a serem disponibilizados
na Intranet.
Devido a isto, a senha merece algumas consideraes especiais para a sua escolha.
Para que uma senha seja considerada boa, ela deve ter no mnimo 8 caracteres
entre letras, nmeros e smbolos, ser facilmente decorada e de difcil digitao. Os
sistemas em geral diferenciam letras maisculas de minsculas.
74
Outra regra para a criao de senhas no utilizar palavras conhecidas de
dicionrios de qualquer lngua, pois os criminosos em geral utilizam programas para
quebra de senha que pesquisam em dicionrios palavras conhecidas.
A mudana de senha deve ser feita periodicamente para garantir uma melhor
segurana e nunca deve ser feita por algum funcionrio responsvel pelo servio, mas
sim pelo prprio dono da senha.
Pode ser considerado o alvo principal dos ataques em uma empresa, pois sem o
servio de Web a empresa pode parar seus servios. Existem muitos tipos de ataques
este tipo de servio, sendo os mais conhecidos:
Syn flood : Quando ocorre uma grande quantidade de pedidos de conexo sem
um endereo IP para retorno da resposta da solicitao (HAYDEN, 1999).
Ping da Morte: Ocorre quando feito o envio de mensagens ping com pacotes
maiores do que o valor mximo de 65.536 bytes. Quando este pacote recebido
pelo servidor, derruba-o(HAYDEN,1999).
75
-
O servio de DNS torna-se necessrio para a Intranet, pois atravs dele que se
tem o endereo de cada computador interno e como localizar os computadores externos
quando a Intranet conectada a Internet.
Para escapar deste tipo de problema o servidor de DNS dever estar abaixo de um
servidor principal, geralmente o provedor de acesso. Tambm necessrio instalar um
firewall para bloquear o acesso no autorizado.
76
2.4 Servio de FTP
Este servio, se no for bem configurado, pode ser crtico para a segurana da
Intranet.
77
2.6.1 Correio Eletrnico: O Alvo
Existe tambm uma nova forma de ataque aos servidores de correio eletrnico,
conhecida como SPAM. Este tipo de ataque ocorre quando uma pessoa recebe
inmeros emails, que em geral so propagandas, lotando sua caixa de entrada. Como
geralmente o SPAM enviado para diversos usurios do mesmo servidor em grande
quantidade, no dando tempo para o servidor processar as informaes, acabando assim
por provocar seu travamento e sua queda, deixando o servio fora do ar.
78
Outro grande problema dos correios eletrnicos a utilizao por funcionrios de
m ndole, pois estes podem se aproveitar desta situao e enviar informaes sigilosas
da empresa para a concorrncia.
As empresas esto utilizando cada vez mais Banco de Dados para guardar
informaes necessrias para um bom andamento, e tambm sigilosas, tendo ento que
ser protegidas.
3. Tipos de Intranet
Intranet Pura
79
-
Intranet Intermediria
Intranet E-Commerce
Este tipo de Intranet pode possuir desde somente o servio de autenticao e web
como todos os outros servios. Foi denominada de Intranet Pura, pois no possui
conexo com a Internet, existe somente na empresa, e utilizada somente por seus
funcionrios. (Figura 3)
Intranet
Internet
Este tipo de Intranet passa a utilizar os servios da Internet para conexo entre a
matriz e as filiais, tornando-se assim um alvo em potencial para ataques externos, de
maneira que se aumenta a preocupao com o sistema de segurana. Podendo tambm
possuir acesso de pessoas fora da empresa. (Figura 4)
80
Acesso
Externo
Intranet
Filial
Internet
Intranet
Filial
Intranet
Matriz
81
Acesso Externo
Cliente/Consumidor
Intranet
Filial
Internet
Intranet
Filial
Intranet
Matriz
4. Nveis de Segurana
Nvel Bsico
Nvel Intermedirio
82
-
Nvel Avanado
Estes nveis se diferenciam de conforme o tipo de Intranet que ele protege, sendo
que em ordem de proteo comea pela Intranet Pura, seguida pela Intermediria e por
fim a E-Commerce.
Intranet Pura: neste tipo de intranet como no existe a conexo com a Internet
necessria somente utilizao de autenticadores que utilizem senhas
criptografadas e tambm uma poltica de troca de senhas periodicamente.
Intranet Intermediria: este tipo de Intranet por ser um pouco mais avanada, e
ter acesso Internet passa a ter a necessidade de utilizar alm de um
autenticador de senhas com criptografia, um firewall, podendo ser fsico ou
lgico, o qual deve ser configurado para permitir acesso as reas restritas
somente aos endereos IPs confiveis.
83
-
Este tipo de ocorrncia pouco comum em uma Intranet Pura, pois somente
utilizado dentro da empresa. A partir do instante que passa a ter conexo entre a Intranet
e a Internet torna-se mais propenso os ataques a este servio, j que quando fora do ar os
equipamentos no se encontram.
Para solucionar este tipo de problema necessrio que existam dois possveis
servidores de DNS, sendo que um deve ser o servidor Web e o outro o servidor do
provedor de acesso a Internet, desta maneira sempre ter um em funcionamento.
84
- Gerenciamento de Certificados. Quase todas as aplicaes de criptografia de
chave pblica produzidas em grande escala utilizam certificados para verificar
assinaturas; porm, existem algumas diferenas na maneira em que esses certificados
so gerenciados.
Desta Forma alem de utilizar as tecnologias do PEM e do PGP, visto nos captulos
anteriores, existem tambm dois novos mtodos de segurana, sendo eles:
-MOSS (MIME Object Security Services): criado pela IETF, baseado quase que
totalmente
nas
especificaes
do
PEM,
com
algumas
vantagens
segundo
85
no exige que os usurios tenham nomes diferenciados e, no exige que as mensagens
sejam assinadas antes de criptografadas.
- S/MIME: criado pela RSA Data Security, uma tentativa de incluir segurana
do padro MIME atravs da definio de novos contedos MIME. De acordo com
BERNSTEIN(1997) ele no est vinculado a uma hierarquia de certificao, e sim a
uma tentativa de definir um padro de criao de mensagem usando certificado X.509,
deixando os detalhes de gerenciamento de certificados para os implementadores.
86
5.6 Servio de Banco de Dados
A partir do momento que a Intranet passa a ter conexo com a Internet que
surgem as invases aos bancos de dados, para tal torna-se necessrio seguir uma poltica
de segurana para o Servidor de Banco de dados. Esta poltica dever levar em conta os
seguintes itens:
Polticas de Backup;
87
6. Esquemas de Segurana
1
2
88
configurao devero ser utilizados os critrios vistos nas sees anteriores, sendo eles:
criptografia de chave publica, PGP ou PEM, criptografia na autenticao.
1 Servidor Principal: este servidor ser igual ao da Intranet Pura, contudo para
uma melhor proteo utilizar um Firewall, este firewall poder ser tanto lgico quanto
fsico, dependendo das necessidades da empresa e das verbas a serem utilizadas, para tal
recomenda-se fazer um estudo do tipo de firewall.
89
90
Os dados a serem transportado pela Internet devero ser criptografados para que
no haja o risco de serem interceptados e utilizados por criminosos. Estes dados ao
serem armazenados no servidor de banco de dados devero ser bem guardados para em
caso de invaso no poderem cair nas mos dos bandidos. (Figura 8)
4
2
Num outro nvel de pesquisa, foram estudados os diversos servios que podem ser
disponibilizados no contexto de uma Intranet e a partir destes foram definidos os
diferentes perfis que foram igualmente levados em conta para fins de definio dos
esquemas de segurana.
92
No que diz respeito a sugestes para futuros trabalhos, prope-se os seguintes
tpicos:
BIBLIOGRAFIA
BENETT, Gordon. Intranets: como implantar com sucesso na sua empresa: traduo de
ARX Publicaes. Rio de Janeiro: Campus, 1997.
HAYDEN, Matt. Aprenda em 24 horas redes: traduo de Marcos Pinto. Rio de Janeiro:
Campus, 1999.
MALAGRINO,
Cludio.
Um
pouco
da
histria
da
Internet.
94
MORAES NETO, Cyro Mendes de. Como Uma Mensagem Enviada? 23/12/1999
[http://www.conectiva.com/doc/livros/online/gar/node200.html] 03 de maio de 2001
11:40].
PEREIRA,
Aisa.
Aprenda
Internet
Sozinho
Agora:
Histria
da
Internet.
SYSTEMS,
Inside
Information.
FTP
File
Transfer
Protocol.
1998