FACULDADE DE TECNOLOGIA SENAI DE DESENVOLVIMENTO GERENCIAL-FATESG CURSO SUPERIOR DE TECNOLOGIA EM REDES DE COMPUTADORES

CARLOS ROBERTO KOLLING ALESSANDRO FORTUNATO DA SILVA

GERNCIA EM SEGURANA DE REDES COM A FERRAMENTA PFSENSE

PROFESSOR-ORIENTADOR: Me. Rafael Leal Martins

Goinia, 2011

CARLOS ROBERTO KOLLING ALESSANDRO FORTUNATO DA SILVA

GERNCIA EM SEGURANA DE REDES COM A FERRAMENTA PFSENSE

Trabalho de Concluso de curso apresentado Faculdade de Tecnologia Gerencial SENAI FATESG, de para Desenvolvimento

obteno do ttulo de Graduado em Tecnologia em Redes de Computadores. Professor-Orientador: Me. Rafael Leal Martins

Goinia, 2011

FOLHA DE APROVAO

CARLOS ROBERTO KOLLING ALESSANDRO FORTUNATO DA SILVA

GERNCIA EM SEGURANA DE REDES COM A FERRAMENTA PFSENSE

Trabalho de concluso de curso apresentado Faculdade de Tecnologia SENAI de Desenvolvimento Gerencial FATESG, para obteno do ttulo de Graduado em Tecnologia em Redes de Computadores.

Aprovada em ____ de ________________ de 20____.

Banca Examinadora ____________________________________________________ Prof. Dr. ____________________________________________________ Prof. Ms. ____________________________________________________ Prof. Esp.

AGRADECIMENTOS

Agradecemos primeiramente a Deus, que nos concedeu a vida, a luz e a inspirao. Aos familiares, pelo apoio e compreenso, aos amigos que estiveram presentes durante essa jornada, ao corpo docente da Unidade SENAI FATESG, Prof. Rafael Leal Martins, pela oportunidade de podermos estar buscando e inovando os nossos conhecimentos com fundamentos especficos nesta disciplina, obrigado a todos que fizeram parte dessa conquista.

"Ns

nascemos, e

vivemos

por

um

breve assim

instante,

morremos.

Sempre

aconteceu durante imenso tempo. A tecnologia no muda muito isso - se que muda alguma coisa." Autor: Steve Jobs

LISTA DE ILUSTRAES

LISTA DE ABREVIATURAS SIGLAS

BGP Border Gatway Protocol BSD Berkeley Software Sistribution COBIT Control Objetives for Information and Related Tecnology CMIP Common Management Information Protocol DMZ Demilitarized Zone

DOS Denial of Service IDS Intrusion Prevention System ISC Internet Systems Consortium IAB Internet Activies Board LAN Local Area Network MRTG Multi Router Traffic Grapher PPPOE Protocol Over Ethernet RFC Request for Comments

VPN Virtual Private Network

RESUMO

A interconexo de redes por meio da Internet uma alternativa muito atraente para empresas que necessitam compartilhar seus recursos com outras empresas ou funcionrio. No entanto, trafegar esses dados sem nenhuma forma de proteo um risco muito alto. O Gerenciador de Segurana de Redes pfSense permite realizar esta conexo de forma segura por meio de diversas ferramentas que auxiliam no controle de trfego e na gerencia da rede. Este trabalho ir apresentar alguns conceitos de segurana que servem como base para o entendimento do funcionamento do pfSense. Sero abordadas as principais ferramentas de controle de acesso Internet, filtragens de pacotes por meio de firewall e interconexo de redes atravs de VPN (Virtual Network Private) tudo isso gerenciado pelo pfSense, assim como tambm sero levados em considerao conceitos de gerencia de redes e segurana da informao. A finalidade deste estudo apresentar algumas das principais ferramentas utilizadas para criar e gerenciar as polticas de segurana no ambiente corporativo. Palavras-chave: pfSense. Firewall. Gerencia. Polticas de Segurana.

ABSTRACT

The interconnection of networks through the Internet is a very attractive alternative for companies who need to share their resources with other companies or employee, however travel on these data without any form of protection is a very high risk. The Network Security Manager allows you to make this connection pfSense safely through a variety of tools that assist in traffic control and manage the network. This paper will present some security concepts that serve as a basis for understanding the functioning of pfSense. Will discuss the main tools for controlling access to the Internet, packet filtering firewall and through interconnection of networks through VPN (Virtual Private Network) all managed by pfSense, and will also be taken into account concepts of network management and information security. The purpose of this study present some of the main tools used to create and manage security policies in the corporate environment. Keyword: Manage Policies. Security. pfSense. Firewall

SUMRIO

1. INTRODUO........................................................................................................12 1.1 OBJETIVOS GERAIS...........................................................................................13 1.2 OBJETIVOS ESPECIFICOS................................................................................13 1.3 JUSTIFICATIVA....................................................................................................14 1.4 METODOLOGIA...................................................................................................14 2. REFERENCIAL TERICO.....................................................................................16 2.1 SEGURANA DA INFORMAO.......................................................................16 2.1.1 O que segurana da Informao.................................................................16 2.1.2 Informao........................................................................................................17 2.1.3 Ativo...................................................................................................................18 2.1.4 Porque necessarioa segurana da informao........................................18 2.1.5 Como estabelecer os requisitos de segurana............................................19 2.1.6 Avaliando os riscos de segurana.................................................................20 2.2 PONTO DE PARTIDA PARA A SEGURANA DA INFORMAO...................22 2.3 POLITICAS DE SEGURANA DA INFORMAO............................................23 2.4 CONCEITOS DE GERENCIAMENTO DE REDES..............................................24 2.5 OBJETIVOS DO GERENCIAMENTO DE REDES..............................................28 2.6 PROTOCOLOS E PADROES DE GERENCIAMENTO DE REDES...................29 2.6.1 O Protocolo SNMP...........................................................................................30 2.7 FERRAMENTAS DE GERENCIA DE REDES.....................................................36 2.7.1 webmim.............................................................................................................36 2.7.2 mrtg....................................................................................................................37 2.7.3 ntop ...................................................................................................................38

2.8 O PAPEL DO ADMINISTRADOR DE REDES.....................................................39 3. GERENCIAMENTO DE SEGURANA DE REDES DE COMPUTADORES........41 3.1 CONTROLES PARA REDES DE COMPUTADORES.........................................42 3.2 CONTROLES DE ACESSO A REDE...................................................................43 4. CONCEITOS DE FIREWALL.................................................................................44 4.1 O QUE FIREWALL............................................................................................44 4.1.1 Tipos de Firewall..............................................................................................44 6. A FERRAMENTA PFSENSE..................................................................................53 7. IMPLEMENTAO.................................................................................................54 7.1 CENARIO..............................................................................................................54 7.1.1 Requisitos de Hardware e Software...............................................................54 7.2 AMBIENTE DE EXECUO................................................................................55 7.3 INSTALAO.......................................................................................................56 7.4 CONFIGURAO.................................................................................................60 CONSIDERAES FINAIS........................................................................................68 REFERNCIAS BIBLIOGRFICAS..........................................................................69

12

1. INTRODUO

A Internet tem sido um grande meio de comunicao disponvel para ambientes corporativos e residenciais. Nela se concentram inmeros usurios que a utilizam no dia a dia para enviar e receber informaes atravs de recursos de comunicao como e-mail, grupos de discusses e redes sociais. Contudo, a Internet encontra um problema; devido ao fator de no ter como filtrar o tipo de usurio que a utiliza, se encontra ento dificuldades de saber quem esta do outro lado, se o site que acessamos realmente seguro, se a troca de informao no esta sendo receptada no meio em que se transmite. Usurios maus intencionados tambm tm o mesmo acesso rede mundial de computadores (Internet), podendo assim realizar captura de dados enquanto outros usurios acham que navegam em sites seguros, ou seja, enquanto alguns trabalham, h sempre algum interessado em capturar uma informao sigilosa para obter vantagem ou s pelo simples fato de danificar ou paralisar uma corporao inteira. Devido a este fator, surge a necessidade de se implementar ferramentas que possam garantir a privacidade e a segurana do trfego de dados. A segurana de dados atravs da filtragem de pacotes o bloqueio ou liberao de maneira seletiva da passagem de pacotes de dados, conforme atravessam uma interface de rede. O pfsense uma ferramenta de fonte aberta, livre para distribuio, baseada e personalizada sobre a plataforma FreeBSD, adaptada para uso como um firewall e router, totalmente gerenciado em uma interface fcil de se utilizar e totalmente via web. Alm de ser uma poderosa plataforma de filtragem de pacotes de roteamento flexvel, inclui uma longa lista de recursos relacionados e um sistema de pacotes que permite expanso, a explorao de seus recursos, sem adio de vulnerabilidades de segurana. Ela de grande potencial para a atividade de distribuio base. Essa ferramenta abrange desde pequenas redes domsticas at grandes empresas, universidades e outras organizaes, protegendo milhares de dispositivos de rede.

13

1.1 OBJETIVOS GERAIS O objetivo deste trabalho demonstrar e analisar o funcionamento de alguns dos recursos necessrios e imprescindveis para prover a segurana da informao, utilizando a filtragem de pacotes (firewall) para garantir um ambiente saudvel, juntamente com uma ferramenta Proxy para fazer cach e controle de acesso Internet e tambm tunelamento criptografado utilizando Virtual Private Network (VPN), cujo utiliza a estrutura da Internet para interligar redes locais. Para isto, apresentaremos os conceitos da ferramenta pfSense e seu poder no gerenciamento em segurana de redes no que se refere ferramenta firewall gerenciada por qualquer navegador web.

1.2 OBJETIVOS ESPECIFICOS

O pfSense tem como objetivo principal a filtragem e roteamento de pacotes. A implantao mais comum do pfSense como um firewall de permetro, com uma conexo Internet ligada ao lado da Wide Area Network (WAN), e da rede interna ao lado Local Area Network (LAN). O pfSense acomoda redes com necessidades mais complexas, como Internet de mltiplas conexes, mltiplas redes LAN, redes mltiplas DeMilitarized Zone (DMZ). Alguns usurios tambm adicionam Border Gateway Protocol (BGP) para fornecer capacidades de conexo redundncia e balanceamento de carga. Demais servios como, Proxy, VPN, Dynamic Host Configuration Protocol (DHCP) relay, DHCP server, Domain Name System (DNS) forwarder, Distributed Domain Name Service (DDNS), Point to Point Protocol Over Ethernet (PPPoE) server, Fail Over com carp, Intrusion Prevention System (IDS), Traffic Graph por endereo Internet Protocol e tudo gerenciado com o software open source pfSense, conforme ser abordado e analisado no decorrer do trabalho. Os objetivos especificos desse projeto ser uma prvia geral do poder da ferramenta pfSense, porm focado em trs ferramentas ou servios, cujo a primeira e primordial ser a criao de regras de filtragem de pacotes com firewall nativo do pfSense e roteamentos de redes destintas, juntamente com a ferramenta OpenVPN para a criao de tuneis entre filiais com seu trfego criptografado sendo checado

14

seu acesso por meio de certificados digitais e, para concluir, abordaremos o proxy para a realizao de cache e controle de acesso Internet por meio de autenticao de usuarios Tambm entrar como foco alguns conceitos relacionados ao sistema operacional FreBSD, distribuio base do pfSense, e o porque escolher a plataforma Berkeley Software Distribution (BSD).

1.3 JUSTIFICATIVA

A ferramenta escolhida para ser estudada e implementada nesse projeto, foi cautelosamente classificada entre as demais que possuem aplicaes similares, alm de ser pouco conhecida e utilizada nas empresas o pfSense possui alto poder de gerenciar os servios aplicados a ele, desde que saiba o que esta querendo alcanar. Em pesquisas realizadas na internet e tambm na prpria instituio no se encontra nada relacionado a algo de implementao, estudo ou analise da ferramenta pfSense. A escolha de estudar e implementar essa ferramenta com os servios citados acima se d por conta da dificuldade de se entender cdigos e linhas de comando quando feito da forma convencional, cujo a ferramenta que existe uma tela de console e o restante se cria com conhecimentos aprofundados no que se deseja desenvolver para atender a necessidade especifica. J o pfSense rene tudo em um nico gerenciador web, tento todos os servios centralizados e gerenciados de uma nica maneira e em um nico ambiente. Entendemos que com essa ferramenta em pleno funcionamento num ambiente corporativo pode aumentar a segurana do trfego que na rede circula como tambm facilitar a vida do administrador ou gerente de redes.

1.4 METODOLOGIA

A metodologia de pesquisa para implementar e estudar o projeto tema foi baseado em consultas nas comunidades e fruns e projetos oficiais do pfSense,

15

para saber opinies, falhas, vantagens de quem j implementou a ferramenta e assim adquirimos uma base de para ter mais cautela em analisar os passos, tambm em livros de distribuies da FreeBSD e principalmente o que foi nosso guia do projeto o pfSense - The Definitive Guide. O que foi levado em foco so problemas em instalaes do software, dificuldades apresentadas, facilidades na visualizao e interpretao do que a ferramenta precisa.

16

2. REFERENCIAL TERICO

2.1 SEGURANA DA INFORMAO

2.1.1

O que segurana da informao ?

A informao um ativo, entre outros ativos de extrema importncia nos negcios. A Informao deve ser protegida de maneira que no ocorra a possibilidade de acessos no autorizados, alteraes indevidas ou sua indisponibilidade. A segurana da informao deve ser implantada em todas as reas da organizao, pois so encontradas em diversos meios como: impresso ou escrito em papel; armazenado eletronicamente; enviado pelo correio ou atravs de meios eletrnicos. A segurana da informao tem como objetivo a preservao de trs princpios bsicos pelos quais se norteia a implementao desta prtica, conforme a figura 1, a seguir:
- Confiabilidade Toda informao deve ser protegida de acordo com o grau de sigilo de seu contedo, visando limitao de seu acesso e uso apenas s pessoas para quem elas so destinadas. - Integridade Toda a Informao deve ser mantida na mesma condio em que foi disponibilizada pelo seu proprietrio, visando proteg-las contra alteraes indevidas, intencionais ou acidentais. - Disponibilidade Toda a informao gerada ou adquirida por um individuo ou instituio deve estar disponvel aos seus usurios no momento em que os mesmos delas necessitem para qualquer finalidade. (SMOLA, 2003, p.45).

17

SEGURANA DA INFORMAO Confidencialidade

O RL A

IN LL KO S

FIGURA 1: Princpios da Segurana da Informao. Fonte: Prpria

2.1.2 Informao

Conjunto de dados utilizados para a transferncia de uma mensagem entre indivduos e/ou mquinas em processos comunicativos (baseados em troca de mensagens) ou transacionais (processos em que sejam realizadas operaes que envolvam, por exemplo, a transferncia de valores monetrios). A informao pode estar presente ou ser manipulada por inmeros elementos deste processo, chamados ativos, os quais so alvos de proteo da segurana da informao.

Integridade

Disponibilidade

18

2.1.3

Ativo

Todo elemento que compe os processos, incluindo o prprio processo, que manipulam e processam a informao, a contar a prpria informao, o meio em que ela armazenada, os equipamentos em que ela manuseada, transportada e descartada. O termo ativo possui esta denominao, oriunda da rea financeira, por ser considerado em elemento de valor para o individuo ou organizao, e que, por esse motivo, necessita de proteo adequada. Existem muitas formas de dividir forma, e agrupar os ativos para facilitar seu tratamento, as fronteiras de um deles : equipamentos, aplicaes, usurios, ambientes, informaes e processos. Desta torna-se possvel identificar melhor cada grupo, tratando-os com especificidade e aumentando qualitativamente as atividades de segurana.(SMOLA, 2003, p. 45 e 46).

2.1.4 Porque necessrio a segurana da informao

informao ativos e

os

processos

de

apoio,

sistemas

redes

so

importantes

tambm, estratgicos para os negcios. Confiabilidade, so caractersticas chave para a segurana da a

integridade e disponibilidade

informao. atravs dessas caractersticas que possvel preservar legais e a imagem da organizao no mercado.

competitividade, o faturamento, a lucratividade, o atendimento aos requisitos As organizaes esto extremamente preocupadas com a segurana nos sistemas de informao e redes de computadores. Esses tipos de ameaas segurana podem acarretar em enormes prejuzos aos negcios, so utilizadas variedades de fontes como, fraudes eletrnicas, espionagem, sabotagem, entre outras. necessrio garantir a confiabilidade e segurana de suas transaes e combater os ataques causados por vrus, hackers, e ataques de Denial of Service, que esto se tornando cada vez mais comuns, mais ambiciosos e

19

incrivelmente mais sofisticados. A dependncia nos sistemas de informao e servios significa que as organizaes esto cada vez mais vulnerveis s ameaas controlar de o segurana. A interconexo de redes pblicas e privadas e o a dificuldade de se a dificulta compartilhamento de recursos de informao aumentam implementao de um controle de

acesso. A tendncia da computao distribuda

acesso centralizado realmente eficiente.

(ISO/IEC 17799, 2001, p. 2). Muitos sistemas de informao no foram projetados para garantir a segurana, pelo motivo que esses sistemas foram desenvolvidos em uma poca em que no existia a interconexo das redes de computadores. A segurana que pode ser alcanada por meios tcnicos limitada e convm que seja apoiada por uma gesto e procedimentos apropriados. necessrio escolher controles que permitam a implantao da segurana, mas para que os resultados sejam alcanados necessria participao de todos os funcionrios da organizao, e possivelmente a participao dos fornecedores, clientes e acionistas. Os controles de segurana da informao so consideravelmente mais baratos e mais eficientes se forem incorporados nos estgios do projeto e da especificao dos requisitos.

2.1.5 Como estabelecer os requisitos de segurana

Toda organizao para obter segurana de suas informaes deve estabelecer requisitos, conforme a norma ISO/IEC 17799, pode ser dividido em trs fontes principais: A primeira fonte derivada da avaliao de risco dos ativos da organizao. Atravs da avaliao de risco so identificadas as ameaas aos ativos, as vulnerabilidades e sua probabilidade de ocorrncia avaliada, bem como o impacto potencial estimado. A segunda fonte a legislao vigente, os estatutos, a regulamentao e as clusulas contratuais que a organizao, seus parceiros, contratados e prestadores de servio tm que atender. Denial of Service (DoS) uma tcnica que consiste em dificultar ou impedir o bom funcionamento de um servio de Internet, atravs de um grande volume de requisies de servio para esse servidor.

20

A terceira fonte so as particularidades da organizao, objetivos e requisitos para o processamento da informao que uma organizao tem que se desenvolver para apoiar suas operaes.(ISO/IEC 17799, 2001, p. 2).

2.1.6 Avaliando os riscos de segurana

Os requisitos de segurana so identificados atravs de uma avaliao sistemtica dos riscos de segurana. Os gastos com os controles necessitam ser balanceado de acordo com os danos causados aos negcios gerados pelas potenciais falhas de segurana. As tcnicas de avaliao de riscos podem ser aplicadas em toda a organizao ou apenas em parte dela, assim como em um sistema de informaes individuais, componentes de um sistema especifico ou servios, quando for vivel, prtico e til. (ISO/IEC 17799, 2001, p. 2). Sendo assim, vulnerabilidades, risco a probabilidade perdas de de ameaas explorarem e provocando confiabilidade, integridade

disponibilidade, causando possivelmente, impactos para a organizao. Com os resultados obtidos na avaliao de risco possvel direcionar e determinar as aes gerenciais e prioridades mais adequadas para um gerenciamento de riscos da segurana da informao e a selecionar os controles a serem implementados para a proteo contra estes riscos. necessrio realizar anlises crticas peridicas dos riscos de segurana e dos controles implementados para: a) considerar as mudanas nos requisitos de negcios e suas prioridades; b) considerar novas ameaas e vulnerabilidades; c) confirmar que os controles permanecem eficientes e adequados. de grande importncia que as anlises crticas sejam executadas em diferentes nveis de profundidade, dependendo dos resultados obtidos nas avaliaes de riscos e das mudanas nos nveis de riscos verificado se aceitvel para o negcio. A seqncia correta para a verificao das vulnerabilidades, deve ser primeiro a avaliao de riscos em um nvel mais geral, como uma forma de

21

priorizar recursos em reas de alto risco, e ento em um nvel mais detalhado, para solucionar riscos especficos. O universo de controles aplicveis enorme, pois estamos falando de mecanismos destinados segurana fsica, tecnolgica e humana. Se pensarmos no capital humano como um dos elos mais crticos e relevantes para a reduo dos riscos, temos alguns controles como: seminrios de sensibilizao; cursos de capacitao; campanhas de divulgao da poltica de segurana; crachs de identificao; procedimentos especficos para demisso e admisso de funcionrios; termo de responsabilidade; termo de confiabilidade; softwares de auditoria de acessos; softwares de monitoramento e filtragem de contedo etc. Muitos controles humanos citados interferem direta ou indiretamente no ambiente fsico, conjunto de mas este deve receber a implementao de um outro mecanismos voltados a controlar o acesso e as condies de

ambientes fsicos, sinalizando registrando, impedindo e autorizando acessos e estados, dentre os quais podem ser utilizados: roletas de controle de acesso fsico; climatizadores de ambiente; detectores de fumaa; acionadores de gua para combater incndio; extintores de incndio; cabeamento estruturado; salascofre; dispositivos biomtricos; smartcards; certificados digitais de Token; circuitos internos de televiso; alarmes e sirenes; dispositivos de proteo fsica de equipamentos; Nobreaks; dispositivos de armazenamento de mdia magntica; fragmentadores de papel; etc. Assim como ocorre com os controles fsicos e humanos, a lista dos dispositivos aplicveis aos ativos tecnolgicos extensa; afinal, alm da diversidade e heterogeneidade de tecnologias, ainda temos que considerar a velocidade criativa do setor que nos apresenta uma nova ferramenta ou equipamento praticamente a cada dia. Os instrumentos aplicveis aos ativos tecnolgicos podem ser divididos em trs famlias. Autenticao e autorizao - Destinados a suprir os processos de identificao de pessoas, equipamentos, sistemas e agentes em geral, os mecanismos de autenticao mostram-se fundamentais para os atuais padres de informao, automao e compartilhamento de informaes. Sem identificar a origem de um acesso e seu agente, torna-se praticamente invivel realizar

22

autorizaes condizentes com os direitos de acesso, podendo levar a empresa a compartilhar informaes valiosas sem controle. Combate a ataques e invases - Destinados a suprir a infraestrutura

tecnolgica com os dispositivos de software e hardware de proteo, controle de acesso e conseqentemente combate a ataques e invases, esta famlia de mecanismos tem papel importante no modelo de gesto de segurana, medida que as conexes eletrnicas e tentativas de acesso indevido crescem exponencialmente. Privacidade das comunicaes - inevitvel falar de criptografia quando o assunto privacidade das comunicaes. A criptografia uma cincia que estuda os princpios, meios e mtodos para proteger a confiabilidade das informaes atravs da codificao ou processo de cifrao e que Control Objectives for Information and related Tecnhology (COBiT), modelo utilizado para verificar a governana de Tecnologia da Informao em uma organizao. Ele permite a restaurao da informao original atravs do processo de decifrao. Largamente aplicada na comunicao de dados, esta cincia utiliza algoritmos matemticos e da criptoanlise, para conferir maior ou menor proteo de acordo com a sua complexidade e estrutura de desenvolvimento. Quando olhamos para um software de criptografia de mensagem ou, por exemplo, aplicaes que adotam criptografia, estamos diante de situaes em que a cincia foi empregada e materializada em forma de programas de computador.

2.2 PONTO DE PARTIDA PARA A SEGURANA DA INFORMAO

Um nmero de controles pode ser considerado como princpios bsicos, fornecendo um bom ponto de partida para a implementao da segurana da informao. So baseados tanto prticas de segurana da em requisitos legais como nas melhores informao normalmente usadas. Os controles

considerados essenciais para uma organizao, sob o ponto de vista legal, incluem: a) proteo de dados e privacidade de informaes pessoais;

23

b) salvaguarda de registros organizacionais; c) direitos de propriedade intelectual. Os controles considerados como melhores prticas para a segurana da informao incluem: a) documento da poltica de segurana da informao; b) definio das responsabilidades na segurana da informao; c) educao e treinamento em segurana da informao; d) relatrio dos incidentes de segurana; e) gesto da continuidade do negcio. Estes controles se aplicam para a maioria dos ambientes corporativos, seguindo a Norma ISO/IEC 17799, percebemos que somente possvel utilizar esses controles, se determinarmos anteriormente a seleo dos controles onde coletando as informaes atravs da avaliao de riscos, possvel verificar as vulnerabilidades e garantir sua correo.

2.3 POLITICAS DE SEGURANA DA INFORMAO

O objetivo da poltica de segurana da informao prover direo uma orientao e apoio para a segurana da informao. Segundo a NBR ISO/IEC 17799 (2001, p. 4) Convm que a direo estabelea uma poltica clara e demonstre apoio e comprometimento com a segurana da informao atravs da emisso e manuteno de uma poltica de segurana da organizao. Para que seja possvel a implantao da poltica necessrio que a alta direo tenha aprovado, comunicado e publicado, de maneira adequada para os funcionrios. necessrio que a alta direo esteja sempre preocupada com o processo e estabelea as linhas mestras para a gesto da segurana da informao, e onde devem ser estabelecidas, no mnimo, as seguintes orientaes -a segunda parte da norma, ainda no homologada, cujo objetivo proporcionar uma base para gerenciar a segurana da informao dos sistemas das empresas -: informao para toda a

24 a) Definio de segurana da informao, resumo das metas e escopo e a importncia da segurana como um mecanismo que habilita o compartilhamento da informao; b) Declarao do comprometimento da alta direo, apoiando as metas e princpios da segurana da informao; c) Breve explanao das polticas, princpios, padres, e requisitos de conformidade de importncia especfica para a organizao, por exemplo: - Conformidade com a legislao e clusulas contratuais; - Requisitos na educao de segurana; - Preveno e deteco de vrus e software maliciosos; - Gesto da continuidade no negcio; - Consequncias das violaes na poltica de segurana da informao; d) Definio das responsabilidades gerais e especficas na gesto da segurana da informao, incluindo o registro dos incidentes de segurana; e) Referencias documentao que possam apoiar a poltica, por exemplo, polticas e procedimentos de segurana mais detalhados de sistemas de informao especficos ou regras de segurana que convm que os usurios sigam. (ISO/IEC 17799, 2001, p. 4).

2.4 CONCEITOS DE GERNCIA DE REDES

Devido grande variedade de ferramentas e dispositivos a serem associados parcialmente ou exclusivamente ao uso da Internet e rede, atualmente, o gerenciamento de um ambiente computacional o procedimento que consiste em controlar todos os componentes de hardware e software da rede. A gerncia esta associada ao controle de atividades e ao monitoramento do uso de recursos da rede, tratar estas informaes possibilitando um diagnstico e encaminhar as solues dos problemas (RIGNEY 1996). Estatisticamente, enquanto 30% dos custos de uma rede esto diretamente associados aquisio de hardware, os 70% restantes dizem respeito manuteno e ao suporte dessa rede (PINHEIRO 2006). O gerenciamento de uma rede torna-se uma atividade que contribui decisivamente para o funcionamento contnuo dos sistemas, garantindo que a qualidade dos servios oferecidos mantenha-se em nveis satisfatrios pelo maior

25

tempo possvel. Alguns exemplos de recursos oferecidos pelas ferramentas de gerenciamento de redes so:

Interoperabilidade das redes; Alertas de problemas; Aviso antecipado de problemas; Captura automtica de dados; Grficos de utilizao de hosts em tempo real; Grficos de eventos da rede.

Existem alguns conceitos bsicos que so comuns a qualquer sistema de gerenciamento, so eles:

Objeto gerenciado: Qualquer objeto passvel de ser monitorado numa rede para verificar certos parmetros de funcionamento. Podem ser dispositivos lgicos (software) ou fsicos (hardware);

Agente: Elemento responsvel pela coleta de informaes dos objetos gerenciados, enviando-as ao gerente e executando comandos determinados por ele, baseados em tais informaes;

Gerente: quem concentra as informaes passadas pelo agente e envia comandos de gerenciamento a este para serem executados sobre os objetos gerenciados;

MIB (Management Information Base): a estrutura de dados bsica de um sistema de gerenciamento. Consiste basicamente numa tabela onde se encontram os dados relevantes ao gerenciamento de um sistema. Seu formato definido pela SMI (Structure of Management Information), que descrita na linguagem ASN.1 (Abstract Syntax Notation One).

26
SISTEMA DE GERENCIAMENTO

GERENTE

OS RL CA

NOTIFICAES

FIGURA 2 - Exemplo de sistema de gerenciamento Fonte: Prpria

Um agente se reporta a um gerente atravs de um protocolo de gerenciamento e passa para este os dados constantes na sua MIB, de acordo com as requisies do gerente, conforme a figura 2, a seguir:

OBJETOS GERENCIADOS

OPERAES APLICAES DE GERENCIAMENTO

OL K

G IN L

AGENTE

27

ARQUITETURA DE UM SISTEMA DE GERENCIAMENTO

GERENTE

APLICAES DE GERENCIAMENTO

AGENTE

OBJETOS GERENCIADOS

LO AR C

MIB

PROTOCOLO

AGENTE

FIGURA 3 - Arquitetura de um Sistema de Gerenciamento Fonte: Prpria

O Agente Proxy da figura o agente responsvel pelo monitoramento remoto, guardando na sua MIB os dados referentes a todos os dispositivos sob sua responsabilidade. Ele utilizado para eliminar a necessidade de um agente para cada objeto gerenciado. A MIB do gerente aqui apresentada nada mais do que um resumo das MIB's dos Agentes subordinados.

MIB

OL SK

NG LI

MIB

AGENTE PROXY

28

2.5 OBJETIVOS DO GERENCIAMENTO DE REDES

Gerenciar

consiste

basicamente

em

monitorar,

detectar

falhas

e,

eventualmente, tomar determinadas medidas corretivas, (PINHEIRO 2006), conforme a figura 4, a seguir:
MENSAGENS NUM PROTOCOLO DE GERENCIAMENTO AGENTE

GERENTE

SOLICITAO APLICAES DE GERENCIAMENTO

AR C

OS L

RESPOSTA

NOTIFICAO

ESCREVE ATRIBUTOS L ATRIBUTOS

FIGURA 4 - Mensagens num Protocolo de Gerenciamento Fonte: Prpria

O gerente pode efetuar a solicitao de um dado e a resposta a este pedido pode ser enviada pelo agente. H tambm a possibilidade de notificao do gerente pelo agente em caso de alguma anomalia na rede. As linhas tracejadas representam operaes opcionais e que eventualmente podem nem ser utilizadas, que so a escrita de atributos e a leitura destes pelo gerente. A Gerncia de rede envolve atividades agrupadasem cinco reas funcionais, sendo as reas de gerenciamento de configurao, falhas, desempenho, segurana e contabilidade, cada uma com os seguintes aspectos:

OBJETOS GERENCIADOS

OL K

NG LI

29

- Gerncia de configurao: inclui saber quais elementos fazem parte da rede, quais so suas relaes uns com os outros, que parmetros de configurao cada um deve assumir, se preocupa em si com a interconexo dos dispositivos gerenciados; - Gerncia de falhas: diz respeito deteco de eventos anormais, o diagnostico de problemas que levaram a esses eventos, acompanhamento e soluo dos problemas com objetivo real de garantir o funcionamento continuo da rede e seus servios; - Gerncia de desempenho: responsvel pela monitorao de indicadores de desempenho, soluo de problemas de desempenho, planejamento de capacidade etc.; - Gerncia de segurana: Permite controlar o acesso aos recursos da rede de acordo com polticas criadas, monitoradas e gerenciada a manuteno do servio; - Gerncia de contabilidade: responsvel pela contabilizao e verificao de limites da utilizao de recursos da rede, com a diviso de contas feita por usurios ou grupos de usurios. (STRANGE, 2008)

2.6 PROTOCOLOS E PADRES DE GERENCIAMENTO DE REDES

Criado pelos mesmos grupos que desenvolveram o Transmission Control Protocol / Internet Protocol (TCP/IP) e o Simple Network Management (SNMP), o RMON um padro IETF de gerenciamento de redes cuja sigla representa Remote Network Monitoring (MIB). Primeiramente foi desenvolvido o padro SNMP e, posteriormente, o padro RMON. Os protocolos de gerenciamento de rede tm sido tradicionalmente implementados como protocolos do nvel de aplicao. E at recentemente, cada vendedor costumava ter um mtodo proprietrio pelo qual seus agentes podiam se comunicar, o que levava a existncia de incompatibilidades entre os diversos "padres". A necessidade de uma representao padronizada foi sentida tanto pelo Internet Activities Board (IAB) quanto pela ISO. Enquanto a ISO trabalhou lentamente na especificao do seu padro, o IAB saiu na frente com a proposta do

30

SNMP em 1989, como uma soluo temporria para gerenciamento de redes TCP/IP. A ISO s lanou seu padro, chamado Common Management Information Protocol (CMPI), muito tempo depois. Devido a sua aceitao, o SNMP tornou-se um padro de "facto" na indstria. Como consequncia desse sucesso, o SNMPv2 (SNMP verso 2) foi proposto em 1993. Em 1996, foi proposto o SNMPv3.

2.6.1 O Protocolo SNMP

O Simple Network Management Protocol (SNMP) um protocolo de gerenciamento simples. O SNMP no capaz de definir um problema em uma rede e nem sua gravidade. Tambm no fornece recursos para uma investigao das causas desse problema. A nica informao que se tem atravs de um alerta SNMP que existe um problema em um ponto qualquer da rede. Os alertas do SNMP padro notificam um problema somente quando ele j atingiu uma condio extrema suficiente a ponto de comprometer a comunicao na rede como um todo. J o diagnstico do problema uma tarefa do administrador da rede. Assim, o SNMP simplesmente um alerta para uma condio extrema da rede. O comit do IETF decidiu que, para promover uma maior e melhor expanso das tecnologias de rede, era necessrio um padro de gerenciamento de redes mais sofisticado. Desenvolveu-se ento o RMON. SNMP v.1 - Sua arquitetura baseada no modelo Internet para redes e sua localizao equivalente da camada aplicao no modelo OSI. A camada inferior na pilha de protocolos a User Datagram Protocol (UDP), que protocolo de transporte padro da Internet com servio do tipo datagrama, conforme a figura 5, a seguir:

31
PILHA DE PROTOCOLOS SNMP SNMP UDP

ENLACE FISICA

CA

S LO R

IN LL O

G
IP

FIGURA 5 - Pilha de Protocolos do SNMP Fonte: Prpria

Sua operao bastante simples, sendo as mensagens primitivas de servio: - Get (Request, Next Request, Response): Trata-se do pedido do gerente para ler os dados de gerenciamento da MIB do agente. A Get Request faz o pedido inicial pelo gerente, a Response envia os dados para o gerente e a Next Request pede outro trecho da tabela seqencialmente; - Set (Request): Serve para alterao de dados da MIB. O gerente recebe um pedido de Set Request para alterar determinado dado; - Trap: um informe dado ao gerente de que algo de anormal est acontecendo no sistema, tem funcionamento semelhante a um alarme, conforme a figura 6, a seguir:

32

MODELO DE SERVIO DO SNMP v.1

APLICAO DE GERENCIAMENTO

OBJETO GERENCIADO

GERENTE

SNMP UDP

SK LO AR
LEGENDA 2 GET NEXT REQUEST 5 TRAP

LL O

NG I
5

AGENTE SNMP

1 GET REQUEST

3 SET REQUEST 4 GET RESPONSE

UDP IP ENLACE

IP ENLACE FISICA
REDE FISICA

FISICA

FIGURA 6 - Modelo de Servio do SNMPv.1 Fonte: Prpria

Existem, entretanto, alguns problemas derivados da simplicidade de implementao do protocolo SNMPv.1. Primeiramente o Trap SNMP no confirmado. Em virtude disto, o agente at pode enviar a mensagem de Trap ao gerente, mas no saber se ele a recebeu, podendo esta mensagem ser perdida na rede e a anomalia presente na rede eventualmente nem ser corrigida. Outro problema a limitao da rede a ser gerenciada. Isto ocorre em virtude do "polling". Alm disto, a autenticao do protocolo deficiente, uma vez que ela baseada nas chamadas comunidades (community based). Alguns dados do protocolo circulantes na rede podem ser lidas por pessoas estranhas ao sistema.

33

Outro fato que o SNMPv.1 no suporta a busca em tabelas, permitindo apenas a existncia de um gerente por sistema e que no se pode criar ou excluir objetos dentro do sistema, com este protocolo. Request For Comments 1271 (RFC 1271) enumera os seguintes objetivos para RMON:

Operao off-line; Monitorao preemptiva; Deteco e reportagem de problemas; Diminuio do trfego de informaes de gerenciamento entre o

sistema de gerenciamento e o segmento remoto, com a adio do conceito de "interesse dos dados";

Mltiplos gerentes, possibilitando o controle de trfego de vrios

segmentos de rede a partir de um ponto central. Revises da especificao original do RMON foram publicadas como o RFC 1757 e tais revises fazem uso de algumas convenes da MIB para o SNMPv2. A RFC 1757 define o padro RMON de gerenciamento. Segundo a RFC, o RMON no uma pilha de protocolos, nem mesmo um protocolo por si s. Trata-se de uma extenso de MIB, para ser utilizada com protocolos de gerenciamento de redes em aplicaes para a Internet baseadas no TCP/IP. Os principais avanos introduzidos pelo padro RMON foram o Controle de Monitoramento Remoto, Mltiplos Gerentes e o Gerenciamento de Tabelas. Controle de Monitoramento Remoto - A RMON MIB contm caractersticas que possibilitam o controle efetivo da estao de gerenciamento. Estas caractersticas podem ser agrupadas em duas categorias: Configurao: tabelas de controle e tabelas de dados; Invocao de uma ao: um objeto utilizado para representar um

comando e uma invocao de uma ao pode ser solicitada, modificando o valor de um objeto. Mltiplos Gerentes - Na arquitetura RMON, agentes podem estar sujeitos ao gerenciamento de muitas estaes gerentes. No caso de um agente RMON ser compartilhado, alguns problemas podem surgir como:

34

Requisies concorrentes; Captura de um recurso por um determinado gerente por um longo Recursos podem ser atribudos para um gerente que deu pane antes Para tentar solucionar tais problemas, uma combinao de requisitos Incluso de um campo de dono para cada linha da tabela de controle; Reconhecimento da no necessidade de utilizao de um recurso; Possibilidade de negociao de um recurso entre gerentes; A possibilidade de um operador cancelar reservas de recursos; Durante uma reinicializao, um gerente poder liberar recursos.

perodo de tempo; de liberar o recurso. deve ser utilizada:

Gerenciamento de Tabelas - A especificao RMON inclui convenes textuais e regras mais claras e disciplinadas para a adio e remoo de linhas. O padro RMON foi desenvolvido no intuito de resolver questes que outros protocolos de gerenciamento no eram capazes. Com base nestas questes, a RFC 1757 define objetivos gerenciais que o padro RMON deve observar: (PINHEIRO 2006). Operao Off-line - Existem situaes em que uma estao de gerenciamento no est em contato contnuo com seus dispositivos de gerenciamento remoto. Isto pode ocorrer como conseqncia de projeto, para reduzir os custos de comunicao, ou mesmo por falha da rede, quando a comunicao entre a estao de gerenciamento e monitor, fica comprometida em sua qualidade. A MIB RMON permite que um monitor seja configurado para realizar suas atividades de diagnstico e coleta de dados estatsticos continuamente, mesmo quando a comunicao com a estao de gerenciamento seja impossvel ou ineficiente. O monitor poder ento se comunicar como a estao de gerenciamento quando uma condio excepcional ocorrer. Mesmo em circunstncias em que a comunicao entre monitor e estao de gerenciamento no contnua, as informaes de falha, desempenho e configurao podem ser acumuladas de forma

35

continua e transmitidas estao de gerenciamento conveniente e eficientemente quando necessrio; Monitoramento Proativo Devido aos recursos disponveis no monitor, normalmente desejvel e potencialmente til que ele execute rotinas de diagnstico de forma contnua e que acumule os dados de desempenho da rede. O monitor estar sempre disponvel no incio de uma falha; assim, ele poder notificar a estao de gerenciamento da falha, assim como armazenar informaes estatsticas a seu respeito. Esta informao estatstica poder ser analisada pela estao de gerenciamento numa tentativa de diagnosticar as causas do problema; Deteco e Notificao de Problemas - O monitor pode ser configurado para reconhecer condies de erro e verificar as mesmas continuamente. Na ocorrncia de uma destas condies, o evento pode ser registrado e as estaes de gerenciamento notificadas de vrias formas; Valor Agregado aos Dados - Considerando o fato de que os dispositivos de gerenciamento remoto representam recursos dedicados exclusivamente a funes de gerenciamento e considerando tambm que os mesmos localizam-se diretamente nas pores monitoradas da rede, podese dizer que estes dispositivos permitem a agregao de valor aos dados coletados. Por exemplo, indicando quais os hosts que geram a maior quantidade de trfego ou erros, um dispositivo pode oferecer ( estao de gerenciamento) informaes preciosas para a resoluo de toda uma classe de problemas; Gerenciamento Mltiplo - Uma organizao pode ter mais de uma estao de gerenciamento para as vrias unidades da empresa para funes distintas ou como tentativa de proporcionar recuperao em caso de falha (crash recovery). Como tais ambientes so comuns na prtica, um dispositivo de gerenciamento de rede remoto dever ser capaz de lidar com mltiplas estaes de gerenciamento concorrendo para a utilizao de seus recursos. Dessa maneira, o RMON tornou-se um padro por volta de 1990. As principais caractersticas que se buscaram para o RMON foram:

Interoperabilidade independente de fabricante;

36

Capacidade de fornecer informaes precisas sobre as causas de falha no funcionamento normal da rede, assim como da severidade dessa falha;

Oferecer ferramentas adequadas para diagnstico da rede.

Alm destas caractersticas, o padro deveria oferecer um mecanismo proativo para alertar o administrador dos eventuais problemas da rede, alm de mtodos automticos capazes de coletar dados a respeito desses problemas. (PINHEIRO, 2006)

2.7 FERRAMENTAS DE GERENCIA DE REDES

A Melhor alternativa para Gerenciamento de redes pode ser uma combinao de ferramentas de configurao, falhas, desempenho, segurana e contabilidade de rede.

2.7.1 Webmin

Ferramenta para administrao e configurao de sistemas que faz uso de interface grfica, ele foi desenvolvido por Jamie Cameron, utilizando a linguagem Perl. Ela foi projetada para ser uma ferramenta de administrao leve, funcional, e que possa ser facilmente entendida. A ferramenta tem se tornado a mais utilizada por administradores de sistemas e algumas distribuies tem adotado a mesma como alternativa de manuteno, mantendo a ferramenta em seus repositrios. A proposta oferecida pela aplicao administrar o sistema graficamente atravs de um navegador web, ou seja, a grande maioria dos navegadores suportam o Webmin, o que faz com que a aplicao tenha um desempenho satisfatrio em qualquer sistema Unix/Linux. (CARDOSO 2010) Hoje em dia comum que os sistemas precisem estar cada vez mais confiveis e isso tem tudo a ver com a capacitao de um profissional de Tecnologia da Informao (TI). Tal fato exige que o mesmo tenha conhecimento pleno do

37

sistema operacional ou questo, e isso exige uma gama de configuraes a serem feitas. Graas ao Webmin, se faz desnecessrio editar arquivos de configuraes manualmente, j que o software trs uma lista de tudo o que existe instalado na mquina e as opes de configurao para cada um deles de forma prtica e intuitiva at para os menos experientes. Atravs do Webmin, se podem configurar servios de rede, hardware e de sistema tais como:

Servios: web-apache, ssh, squid, bind, dhcp, jabber, postfix, qmail, Rede: nfs, adsl, nis, kerberos entre outros; Hardware: grub, raid, impressoras entre outros; Sistema: cron, ldap, pam, alterar senha, quotas de disco, usurios e

wu-ftp, roftpd, mysql, samba entre outros;

grupos entre outros.

2.7.2 Multi Router Traffic Grapher (MRTG)

Multi Router Traffic Grapher (MRTG) foi desenvolvido para monitorar o trfego em uma interface de rede de um dispositivo gerenciado, atravs da gerao de grficos onde mostrada a evoluo deste trfego ao longo do tempo. Porm, a utilizao do MRTG em larga escala e medida que a quantidade de equipamentos a ser monitorado aumenta, apresenta uma degradao do desempenho. Isso ocorre porque alm de coletar as informaes de cada equipamento, o MRTG ainda responsvel pela criao das pginas com os grficos que sero exibidos. O MRTG uma ferramenta de monitoramento que gera pginas HTML com grficos de dados coletados a partir de SNMP. conhecido principalmente pelo seu uso no monitoramento de trfego de rede, mas pode monitorar qualquer coisa desde que o host fornea os dados via SNMP ou scripts. O MRTG um programa muito til na anlise de trfego de uma rede, mas tambm pode monitorar outras variveis tais como a utilizao do Hard Disk, temperatura de hardware, uso do processador etc., tornando-se uma ferramenta de grande valor, alm de ser um software livre, ele pode ser configurado no sistema Linux e no sistema

38

Windows. A ferramenta MRTG pode gerar grficos que visualizam o uso da banda de rede em termos de velocidade usando alertas como thresholds que iram facilitar o gerenciamento. Sendo um software livre que facilite muito a tarefa de acompanhar o funcionamento de um sistema ou uma rede atravs do protocolo SNMP, podemos citar algumas caractersticas dessa ferramenta: Medio de dois valores, no caso de trfego, podem ser entrada e sada; Leitura via SNMP ou atravs de script que retorne um formata padro; Coleta dados a cada 5 minutos por padro, mas o tempo pode ser aumentado; Gera uma pgina em HTML com 4 grficos (dirio, semanal, mensal e anual); O MRTG pode avisar caso o grfico atinja um valor pr-estabelecido, por exemplo, se determinado servidor atinge 95% do espao de disco, o MRTG pode encaminhar um e-mail para o administrador informando o ocorrido; Com a ferramenta CFGMAKER gera os arquivos de configurao; Com a ferramenta INDEXMAKER gera uma pgina com ndice para os casos em que muitos itens so monitorados.

2.7.3 ntop

Ferramenta de software livre, simples de usar e portvel com a finalidade de monitoramento e anlise de trfego de rede. Atividades de gerncia como: optimizao da rede; planejamento e deteco de violaes de segurana so algumas caractersticas oferecidas por este aplicativo. Este tambm tem se mostrado uma ferramenta com grande simplicidade por possuir um rpido acesso para monitoramento de redes (baseado em interface web). A grande vantagem de utilizar o ntop devido a pouca necessidade de esforo e custo (para instalao e aprendizado) comparado a outras complexas e caras (apesar de sofisticados e flexveis) plataformas de gerncia. No mundo Unix, existe uma ferramenta chamada "top" que utilizada para mostrar a utilizao da Unidade central de Processamento (CPU) pelos processos

39

ativos na mquina. Os autores se basearam nessa idia para a criao do Ntop, pois sentiram necessidade na identificao rpida dos "hosts" (usurios) que estivessem ocupando valiosos recursos de rede. Ntop oferece interfaces baseadas em uma linha de comando e web com disponibilidade para plataformas Unix-like e Windows. As principais funes do Ntop so: Medio do Trfego da Rede; Monitoramento do Trfego da Rede; Otimizao e Planejamento da Rede; Deteco de Violaes de Segurana das Redes.

2.8 O PAPEL DO ADMINISTRADOR DE REDES

Um dos objetivos da gerncia de redes prevenir e solucionar problemas na rede. Geralmente esta tarefa realizada por uma equipe. No existe uma regra rgida sobre os profissionais que fazem parte desta equipe. Cada organizao tem autonomia para criar seu prprio time de gerncia de redes de acordo com suas convenincias. Porm, comum que nesta equipe existam profissionais que executem varias tarefas distintas (LOPES 2002). A gerncia de redes, como j citado na sua definio, no pode ser vista como uma atividade nica, ou seja, deve ser observada como uma atividade que pode, alm da operao da rede, envolver inmeras tarefas, como por exemplo:

Controle de acesso rede; Disponibilidade e desempenho; Documentao de configurao; Gerncia de mudanas; Planejamento de capacidades; Auxlio ao usurio; Gerncia de problemas; Controle de inventrio; Etc;

40

As principais metas do gerenciamento de redes so:

Reduo dos custos operacionais da rede; Reduo do congestionamento da rede; Aumento da flexibilidade de operao e integrao; Maior eficincia; Facilidade de uso; Etc;

As responsabilidades de um administrador de redes podem incluir:

Anlise de logs dos sistemas e identificao de problemas em Introduo e integrao de novas tecnologias no ambiente j existente Realizar auditorias/validaes peridicas de sistemas e softwares; Realizar e verificar backups; Aplicao de atualizaes, patches ou modificaes de configurao Instalao e configurao de novos hardwares e softwares; Gerenciamento de informaes de conta de usurio e senhas; Resposta a problemas tcnicos nos sistemas; Responsabilidade pela segurana; Responsabilidade pela documentao da configurao dos sistemas; Solucionar qualquer problema reportado nos sistemas; Ajustes para melhorar a performance dos sistemas; Assegurar que a infraestrutura de rede esteja disponvel e operacional.

potencial;

do CPD;

nos sistemas operacionais;

Em grandes empresas, algumas das tarefas listadas acima podem ser divididas entre diferentes administradores de sistemas ou membros de equipes diferentes. Por exemplo, uma pessoa poderia estar dedicada a aplicar todas as atualizaes dos sistemas, uma equipe de qualidade executaria os testes e validaes, e um ou mais redatores tcnicos seriam responsveis por toda a documentao tcnica escrita. Em empresas menores, o administrador de redes pode tambm desempenhar diversas funes que em outras so associadas com outros campos como:

41

Tcnico de apoio ao usurio; Administrador de Banco de Dados (DBA); Analista/Especialista/Administrador de redes; Analista de sistemas; Analista de Segurana da Informao; Programador.

Administradores de sistemas, em grandes empresas, no costumam ser arquitetos de sistemas ou engenheiros de sistemas. No entanto, como muitas funes nesta rea, no h uma demarcao clara entre as funes de um administrador de sistemas e outras funes tcnicas no so bem definidas em empresas menores. Mesmo em grandes empresas, um administrador de sistemas senior geralmente ter competncia em outras reas em resultado de sua experincia de trabalho. Em pequenas empresas, as funes de TI so menos discernidas, e o termo administrador de sistemas utilizado de forma genrica para se referir s pessoas que sabem como o sistema funciona e so acionadas quando algum sistema lgico ou fsico falha.

3. GERENCIAMENTO DE SEGURANA DE REDES DE COMPUTADORES

Uma das principais portas de entrada para incidentes de segurana em uma organizao a Internet. Pelo motivo de que as organizaes no possuem controle dos acessos feitos pelos seus funcionrios, permitindo o acesso total. E tambm permitem acessos de outras corporaes via Intranet e extranets, atravs de links dedicados ou web. Com o avano da tecnologia e o acesso a Internet, est aumentando a cada ano o nmero de ataques por meio de redes de computadores, as falta de organizaes ainda no possuem um plano de ao para evitar os riscos. O grande problema apresentado no o tecnolgico e sim o cultural. A conscientizao do publico interno da organizao, tanto dos executivos como

42

dos funcionrios em geral, podem colocar em risco suas estratgias de negcios e a credibilidade no mercado. Para minimizar esses problemas importante que seja estabelecida uma poltica de segurana utilizando controles que possam nortear um sistema de informao segura.

3.1 CONTROLES PARA REDES DE COMPUTADORES

necessrio que seja utilizado um conjunto de controles, para obter uma melhor preservao da segurana nas redes de computadores. So os gestores de segurana que devem implementar os controles para garantir a segurana dos dados nas redes, assim como a proteo dos servios disponibilizados contra acessos no autorizados. recomendado que os itens a seguir sejam considerados: a) A responsabilidade operacional sobre a rede deve ser segregada da operao dos computadores, desta forma so minimizados problemas de mau uso acidental ou deliberao dos sistemas; b) Estabelecimento de procedimentos e responsabilidades para gerenciamento de equipamentos remotos, incluindo equipamentos nas

instalaes dos usurios; c) Quando necessrio deve ser estabelecido controles especiais para garantir a confidencialidade e a integridade dos dados que trafegam em redes pblicas e para proteger os sistemas. Tambm podem ser utilizados para garantir a disponibilidade dos servios de rede e dos computadores conectados. Interconexo de Redes Locais em regies demogrficas diferentes. Comrcio venda e compra de produtos e servios utilizando a Internet como meio; d) Deve ser cuidadosamente gerenciada as atividades para otimizar os servios prestados, e garantir que os controles sejam aplicados de forma consistente por toda a infraestrutura de processamento de informao.

43

3.2 CONTROLES DE ACESSO REDE

Para garantir a proteo aos servios das redes de computadores necessrio que haja um controle, e que tambm seja garantido que os usurios com acesso as redes e aos servios no comprometam a segurana. Devem ser assegurados os itens a seguir: a) Uso apropriado das interfaces entre as redes da organizao e as redes de outras organizaes e tambm as redes pblicas; b) Uso de autenticao dos usurios e equipamentos da organizao, sendo apropriadamente ntegros e seguros; c) Controle de acesso dos usurios aos servios de informao. Para que o controle de acesso s redes seja eficaz, necessria uma poltica de acesso s redes, onde deve citar as condies ideais para garantir a segurana. Esta poltica de controle importante para as conexes de rede com as aplicaes sensveis ou crticas do negcio ou para os usurios que esto em locais de alto risco, como exemplo as reas pblicas ou externas que se encontram fora do controle e da gerencia de segurana da organizao. Na criao de uma poltica, considerando o uso de redes e seus servios, devem ser observados os seguintes itens: a) Redes e servios de redes aos quais o acesso permitido; b) Procedimentos de autorizao para determinar os usurios que possam ter acesso rede e quais os servios de rede; c) Procedimentos e controles de gerenciamento da segurana para proteger os acessos s conexes e servios de rede.

44

4. CONCEITOS DE FIREWALL

4.1 O QUE FIREWALL

Firewall um ponto entre duas ou mais redes, que pode ser um componente ou um conjunto de componentes, por onde passa todo o trfego, permitindo que o controle, a autenticao e os registros de todo o trfego sejam realizados. Um firewall pode ser formado por um conjunto de software, hardware e poltica de segurana. Ele detm autonomia concedida pelo prprio sistema para predeterminar e disciplinar todo o tipo de trfego existente entre o mesmo e outros host/redes. Em meados de 80, sob encomenda da AT&T (Empresa de telecomunicao) o primeiro firewall do mundo foi desenvolvido com o intuito de filtrar todos os pacotes que sassem e entrassem na rede corporativa, de modo a manipul-los de acordo com as especificaes das regras previamente definidas. Mesmo diante da evoluo dos meios tecnolgicos, hoje um firewall continua a possuir e empregar os mesmos conceitos, apenas com alguns aprimoramentos e implementaes de novas funcionalidades.

4.1.1 Tipos de Firewall

Os firewalls podem ser classificados da seguinte forma: - Firewall de filtro de pacotes: o tipo mais simples em sua arquitetura. Baseia-se apenas em campos bsicos do cabealho dos protocolos. um tipo rpido, adequado para grandes volumes de dados. No faz uma filtragem muito eficiente, pois no armazena uma tabela de estados; - Firewall de inspeo com estado: baseia-se em regras um pouco mais complexas que o firewall de filtro de pacotes, pois pode tratar todo e qualquer campo do cabealho dos protocolos. Mantm uma tabela de

45

estados podendo controlar pacotes nos dois sentidos. mais complexo e, portanto, mais lento; - Firewall de aplicao: no permite que nenhum pacote passe diretamente entre as redes a ele conectadas. Todos os pacotes so enviados a um processo de Proxy que determina quando se deve ou no estabelecer a conexo, e fica, por todo o tempo, intermediando a comunicao. Devido s limitaes de flexibilidade e de performance, raramente utilizado sem a composio com os outros tipos de descritos anteriormente; - Firewall pessoal: controla e registra as portas ou aplicativos habilitados a entrarem ou sarem de um sistema local. muito simples e sempre em forma de um software a ser instalado no sistema operacional. firewall. mais lento que os tipos

4.2 FUNCIONAMENTO DE UM FIREWALL

Um firewall implementado seguindo os parmetros dos quais uma organizao tem necessidade. Esses parmetros so programados e recebem o nome de regras. As regras so configuradas de acordo com os acessos que o firewall deve bloquear, bem como os que ele deve liberar, conforme a figura 7, a seguir:

46

FUNCIONAMENTO BASICO DE UM FIREWALL

Servidores INTERNET

Fir ew all

O RL CA

Pacotes Filtrados pelo Firewall

G IN LL KO S
Clientes

Pacotes vindos da Internet

FIGURA 7: Funcionamento bsico de um firewall Fonte: Prpria

Um firewall pode ento analisar as informaes do cabealho de um pacote que esteja entrando ou saindo da rede, consultar as regras predefinidas pelo administrador da rede e executar a ao pertinente a qual este pacote se enquadra. Podemos criar inmeros tipos de regras, a serem consultadas pelo firewall na filtragem de pacotes. Por sua vez, as aes que sero executadas por ele so: Aceitar, Descartar ou Rejeitar o pacote. Para executar quaisquer dessas aes predefinidas, primeiramente ele ir tomar como referncia informaes contidas no cabealho de qualquer pacote que passa por ele. Vejamos ento alguns dos tipos de informaes que o firewall pode se basear para realizar a filtragem dos pacotes: Endereo de origem / destino; Mscara de subrede de origem / destino;

47

Porta de origem / destino; Tipo de protocolo; Interface de entrada / sada; Status da conexo; Identificao do pacote; Entre outras.

A proteo por meio de filtros, no se restringe somente anlise dos pacotes vindos de fora da rede. Um firewall pode ser e na maioria dos casos configurado seguindo diretivas de segurana de uma organizao que pode restringir alguns tipos de acesso a determinadas estaes ou subredes. Ela pode estabelecer, por exemplo, que uma estao X no deva acessar determinados sites na Internet. Pode-se tambm definir que um departamento, o qual faz parte de uma subrede interna especfica, no ter acesso Internet ou ao site que se encontra num servidor web da organizao.

5. DISTRIBUIO BASE DO PFSENSE FREBSD

5.1

POR QUE ESCOLHER A TECNOLOGIA FREEBSD ?

Em sntese, por ser conhecido como um dos mais robustos e seguros sistemas operacionais da computao moderna. Seus dispositivos nativos de segurana garantem grande nvel de certificao de segurana. FreeBSD usado no corao da Internet; toda a infraestrutura DNS F-ROOT, na raiz do sistema de resoluo de nomes sustentada por FreeBSD, que tambm a base dos maiores backbones acadmicos e governamentais do Internet Systems Consortium (ISC) (VIXIE, 2005). FreeBSD serve aos sites de maior trfego na Internet, em especial a rede Yahoo! e as maiores empresas de hosting do mercado que se refere a tecnologia e segurana da informao, representando segundo a consultoria inglesa Netcraft, 27% de todos os sites da Internet.

48

Ainda, FreeBSD desenvolvido por centenas de engenheiros, incluindo mestres e doutores em Cincias Computacionais. evoluo natural do BSD Unix, sistema criado na Universidade de Berkeley responsvel por todas as maiores tecnologias criadas e utilizadas na Internet, desde o primeiro servidor de correio eletrnico aos protocolos TCP/IP, DNS, entre outros. BSD Unix ainda pioneiro em software livre, foi o primeiro sistema a oferecer toda sua base tecnolgica sob uma licena livre, a igualmente pioneira Licena BSD, que inclusive a licena sob qual o FreeBSD se aplica. FreeBSD conta com todos os desenvolvedores BSD originais ativos, sendo o mais organizado sistema Open Source do mundo; seu modelo de gesto inclusive foi tese de ps-graduao na Universidade de Oslo. FreeBSD estende criao de novas tecnologias que h dcadas mantm o ttulo de sistema com grande ndices de inovaes. Do TCP/IP ao POSIX.1e, um sistema com caractersticas exclusivas de segurana, performance e estabilidade, e que oferece os principais padres de tecnologia. a opo de escolha das maiores empresas de internet no mundo, e vrias outras das mais bem sucedidas empresas de tecnologia, freqentemente citados como exemplos de sistemas livres periodicamente auditados e com histricos de segurana exemplares, oferece tcnicas e recursos de segurana nicos, enquanto cumpre com padres de mais alto nvel, criados e reconhecidos por organizaes de critrios comuns para sistemas de informao altamente confiveis. FreeBSD certificado CC/EAL4 (em processo de certificao EAL5) pelo Common Criteria on Trusted Computer Systems Evaluation. Os recursos POSIX.1e que garantem aos sistemas estes dispositivos de segurana podem ser implantados pela FreeBSD em qualquer organizao, sendo um dos mais completo sistema operacional livre no que tange oferta de opes de recursos de firewalling por filtragem de pacotes. o nico que oferece 3 dos filtros de pacotes entre sistemas abertos: 1. 2. 3. IPFIREWALL / IPFW (Nativo do FreeBSD); PACKETFILTER / PF (desenvolvido pelo Projeto OpenBSD, nativo no IPFILTER / IPF (Filtro multiarquiteturas, nativo no FreeBSD).

FreeBSD);

49

Com o FreeBDS pode ser implantado polticas de segurana utilizando os dois principais firewall nativos: IPFIREWALL/IPFW e PACKETFILTER/pfSense, de acordo com o site www.freebsdbrasil.com.br.
o o o o o o

Controle de flags e options TCP/IP; Inspeo e tracking stateful; Controle de trfego sobre VPN; Priorizao de trfego; Normalizao de pacotes; Controle de Banda Avanado: ALTQ com IPFW; ALTQ com PF. DUMMYNET com IPFW. Filtro stateful tradicional e stateful dinmico. Controle na Camada OSI 2: Subcamada MAC; Subcamada LLC. Integrao IPFIREWALL com NETGRAPH permitindo: Classificao por contedo (OSI Camada 7); Posterior filtro por contedo dos pacotes classificados na camada 7 Redundncia de firewall; Balanceamento e distribuio de carga; Integrao com Sistema de Deteco de Intrusos.

5.2 O QUE O FREEBSD PODE FAZER ?

FreeBSD tem muitas caractersticas valiosas. Algumas destas so:

Multitarefa com ajustes dinmicos de prioridade que garantem

compartilhamento claro e racional do computador entre as aplicaes e usurios, mesmo sob a mais intensa demanda;

Caractersticas multiusurio que permite vrias pessoas utilizarem um

sistema FreeBSD de forma simultnea, para uma variedade de coisas. Isto

50

implica, por exemplo, que os perifricos do sistema como impressoras e dispositivos de fita sero apropriadamente compartilhados entre todos usurios no sistema ou na rede, e que limites individuais possam ser definidos para usurios e grupos de usurios, protegendo recursos crticos do sistema de sobrecarga;

Forte rede TCP/IP com suporte a padres industriais como SLIP, PPP,

NFS, DHCP e NIS. Isto significa que sua estao FreeBSD pode interagir facilmente com outros sistemas da mesma forma que pode agir como um servidor corporativo, oferecendo funes vitais como NFS (acesso remoto arquivos) e servios de correio eletrnico, ou ento colocando sua empresa na Internet com servios de WWW, FTP, roteamento e firewall (segurana);

Proteo de memria garante que aplicaes (ou usurios) no

interferiro entre si. A falha de uma aplicao no afetar outras de forma alguma;

FreeBSD um sistema operacional 32-bit (64-bit em plataforma Alpha O sistema de interface grfica, X Window System (X11R6) padro

e UltraSPARC) e foi projetado como tal desde seu princpio;

industrial prov uma interface grfica com o usurio (GUI) ao custo de uma placa VGA comum e um monitor, e ainda vem com cdigo fonte completo;

Compatibilidade binria com quaisquer programas compilados para Milhares de aplicaes prontas para imediata utilizao (ready-to-run)

Linux, SCO, SVR4, BSDI and NetBSD;

esto disponveis a partir da coleo de ports e packages do FreeBSD. Por que procurar na rede quando possvel encontrar tudo bem aqui?;

Milhares de aplicaes adicionais e de fcil portabilidade esto

disponveis na Internet. FreeBSD tem cdigo fonte compatvel com a maioria dos sistemas UNIX comerciais mais populares, e devido a isto a maioria das aplicaes requerem pouca, ou nenhuma modificao para compilar corretamente;

Memria virtual paginada por demanda e uma concepo eficiente

(Merged VM/buffer cache) que satisfaz a necessidade de recursos de aplicaes com grande apetite para memria, ao mesmo tempo em que mantm resposta interativa aos outros usurios;

Suporte SMP para mquinas com mltiplas CPUs;

51

Conjunto completo de ferramentas de desenvolvimento em linguagem

C, C++, Fortran, e Perl. Muitas linguagens adicionais para pesquisa e desenvolvimento avanado tambm esto disponveis na coleo de ports e packages;

Cdigo fonte disponvel para todo o sistema significa que voc tem o

nvel mais completo de controle sobre seu ambiente. Por que manter-se preso solues proprietrias e merc do vendedor quando se pode ter um sistema verdadeiramente aberto?;

Servios Internet: A infraestrutura robusta de rede TCP/IP criada no

FreeBSD torna-o plataforma ideal para uma variedade de servios Internet tais como:
o o o

Servidores FTP; Servidores Web (padro ou seguro [SSL]); Servidores de interligao de redes (gateway), firewall e NAT Servidores de Correio Eletrnico; Grupo de notcias USENET ou sistemas de BBS. Extensa documentao online.

(Substituio de IPs);
o o

As aplicaes para as quais o FreeBSD pode ser utilizado s esto limitadas imaginao de cada usurio. Do desenvolvimento de software automao industrial, controle de inventrio correo remota da orientao de antenas de satlite, se pode ser feito com um produto UNIX comercial, muito provvel que possa ser feito com FreeBSD tambm! FreeBSD se beneficia de forma significante de literalmente milhares de aplicaes de alta qualidade desenvolvidas por centros de pesquisa e universidades ao redor do mundo, usualmente disponveis baixo ou nenhum custo. Aplicaes comerciais tambm esto disponveis e surgindo em grande nmero a cada dia. Pelo fato do cdigo fonte para o FreeBSD estar geralmente disponvel, o sistema pode tambm ser customizado um grau incrvel para aplicaes ou projetos especiais, e de formas geralmente no viveis com sistemas operacionais dos principais vendedores comerciais. Com FreeBSD, facilmente pode-se comear com um ambiente pequeno de baixo custo, e atualizar todo o sistema para um Xeon quadri-processado com

52

sistema de armazenamento RAID, de acordo com o crescimento de cada organizao.

5.3 QUEM UTILIZA O FREEBSD ?

FreeBSD utilizado para servir diversos dos maiores stios da Internet, incluindo alguns como:

Yahoo!; Apache; Blue Mountain Arts; Pair Networks; Sony do Japo; Netcraft; Weathernews; Supervalu; TELEHOUSE America; Anti-Vrus Sophos; JMA Wired;

Entre outros diversos.

53

6. A FERRAMENTA PFSENSE

O pfSense um dos gerenciadores mais ricos em recursos, derivado de uma distribuio customizada do FreeBSD, sendo um System Appliance pr-configurado, com ambiente amigvel amistoso e facilitado por meio de acesso interface web que oferece inmeros recursos, focado para ambientes de roteamento, firewall e gerencia, alem de ser uma excelente soluo para VPN entre outros diversos recursos disponveis em pacotes de repositrios. Essa ferramenta chegou a um nvel de desenvolvimento que no h mais o que implementar, a no ser atualizaes e estabilidade dos recursos atuais. O pfSense usado em quase todos os tipo e tamanho do ambiente de rede que se possa imaginar, e quase certamente adequado para qualquer rede se ela contm um computador, ou milhares. Nos tpicos a seguir ser citado algumas das implementaes mais comuns, conforme a figura 8, a seguir:

FIGURA 8: Tela inicial do gerenciador pfSense Fonte: Prpria

54

7. IMPLEMENTAO

7.1 CENRIO

O cenrio cujo implantado o pfSense para a realizao do projeto desenvolvido foi baseado em um ambiente real corporativo e simulado sua estrutura em maquinas virtuais. A matriz da empresa localizada na Avenida 24 de Outubro, N 1203, Setor Campinas, Goinia-Gois, possui mais cinco (5) filiais sendo trs (3) em Goinia e duas (2) em Anpolis. A conexo do sistema comercial e a rede local interligada atravs de VPN, na qual se utiliza a estrutura da Internet para interconectar filiais e centralizar tudo em um nico local, que nesse caso a matriz, alm da estrutura VPN que ser implantada, tambm a filtragem de pacote por meio de firewall, juntamente com um Proxy para fazer cach e controlar o acesso a sites indesejados. A seguir, apresentaremos a estrutura do ambiente.

7.1.1 Requisitos de hardware e software

Recomenda-se utilizar um servidor com pelo menos 1.5 Ghz de processador e 512 MB de Ram. Necessrio utilizarmos no mnimo 2 placas de rede, caso seja necessrio poder ser inserida outra placa de rede. Conforme mencionado anteriormente, o pfSense baseado na plataforma FreeBSD, sendo uma ferramenta nativa do sistema operacional, indiferente de sua verso.

55

7.2 AMBIENTE DE EXECUO

O Projeto real foi simulado em ambiente virtual conforme citado no item 7.1. Os equipamentos reais utilizados para testes rodando VMWare foram os seguintes: -Servidor (Maquina real); -Processador Intel Pentium 4 2.8 ghz; -Memria 2GB DDR2 800 mhz; -Hard Disk 320 GB 7200 rpm; -Placa Me Intel Soket 775; -Sistema Operacional Windows Server 2003; -Estaes (Mquinas reais); -Notebook Acer Aspire 5532; -Processador AMD Athlon 64 x2; -Memria 2 GB DDR2; -Hard Disk 250 GB 7200 rpm; -Sistema Operacional Windows 7 Professional 64 bit; -Notebook HBuster HBNB-1401; -Processador Intel Pentium T4400; -Memria 2GB DDR2; -Hard Disk 320 GB 7200 rpm; -Sistema Operacional Windows 7 Ultimate 32 bit. A Maquina Virtual criada possui as configuraes citadas abaixo. -Servidor (Mquina Virtual); -Memria 512 MB; -Hard Disk 8GB expansivo; -2 (duas) interfaces de rede; -Sistema operacional FreeBSD.

56

7.3 INSTALAO

Nos passos a seguir, sero demonstrados os passos de criao da mquina virtual utilizando o VMWare Player com verso 3.0.1 build-227600. Ao iniciar o VMWare Serveir, ser apresentado a tela de boas vindas. Devemos clicar em avanar para proseguir at a proxima tela, conforme a figura 9, a seguir:

FIGURA 9: Tela de Boas vindas do VMWare. Fonte: Prpria

Na tela dever ser selecionado a opo Custom, conforme a figura 10, a seguir, para personalizao da mquina virtual. Nessa opo poder ser selecionado os dispositivos adicionais e tambem especificar configuraes.

57

FIGURA 10: Opo de Personalizao customizada Fonte: Prpria

Na tela a seguinte, dever ser escolhido o sistema operacional que ser instalado na maquina, no caso do pfSense a distribuio base ser o FreeBSD, ou seja, clicamos em outros e escolha FreeBSD na lista abaixo em seguida clice em avanar, conforme a figura 11, a seguir:

FIGURA 11: Escolha do sistema operacional Fonte: Prpria

58

Agora, definiremos o nome da mquina virtual, que por padro ser FreeBSD e, ela localizar a pasta dos arquivos contendo a mquina virtual em disco, tambm podendo ser deixado como padro na unidade C:\Virtual Machines\FreeBSD, conforme a figura 12, a seguir:

Figura 12: Localizao de instalao da Maquina Virtual Fonte: Prpia

A instalao do pfSense simples e no exige experincia alguma sobre o sistema operacional FreeBSD. Conforme a figura 13, a seguir, solicitado se deseja utilizar e configurar Virtual Local Area Networks (VLANs), agora, neste caso no ser utilizado ento apenas tecle y (Yes) e de cliquem em Enter.

FIGURA 13: Ativao de Vlans. Fonte: Prpria

59

Nas figuras 14 e 15, a seguir, demonstramos se desejamos realizar a configurao manual da LAN e WAN ou se desejamos que seja executado o processo de auto-deteco. Apenas clicaremos em Enter para dar seqncia no processo de instalao, posteriormente estaremos fixando as configuraes de LAN manualmente.

FIGURA 14: Auto-deteco de LAN Fonte: Prpria

Figura 15: auto deteco da WAN

Figura 15: Auto-deteco de WAN Fonte: Prpria

60

A seguir estaremos iniciando a instalao do pfSense, a mesma ocorre de forma simples e rpida. Na figura 16, apresentamos a seleo da opo 99 para instalar o pfSense em disco. A mesma figura mesma tela possui outras opes como conxo via SSH, configurar manualmente as insterfaces de rede, reiniciar sistema, realizar atualizaes entre outras funes. Nas proximas telas apresentadas basta seguir com as configuraes padres j selecionadas automaticamente no processo de instalao.

FIGURA 16: Menu principal de instalao do pfSense Fonte: Prpria

7.4 CONFIGURAO

Objetivamos Instalar, configurar e apresentar os recursos de firewall, Proxy e VPN utilizando o pfSense como gerenciador. O pfSense um dos softwares livres mais ricos em recursos. Nascido em uma verso customizada do FreeBSD, conta com uma interface amigvel que facilita a administrao atravs de qualquer navegador.

61

Nos passos a seguir, sero instalados alguns pacotes do squid no pfSense, seguindo os seguintes prpcedimentos: 1 - Instalaremos o pacote do squid no pfSense, em system packges ou na tela inicial do pfSense selecionar (+) em seguida installed packages. Ser criado na home page do pfSense o atalho para instalar os pacotes necessarios; 2 - Clique Available Packages; 3 - Clique no botao + ao lado do pacote do squid para comear a instalaao do servio. O Proxy reduz utilizao da conexo e melhora tempo de resposta fazendo cach de suas requisies alm de prover um nvel bsico de controle e segurana no acesso URLs potencialmente perigosos; 4 - Clique no botao + ao lado do pacote do squidGuard: Poderosa ferramenta de acesso que integrado ao squid permite controlar a navegao baseado no endereo de origem, destino, URL, Horrio ou combinaes desses itens. Conta com blacklists agrupados em categorias de sites e atende 1000.000 solicitaes em 10 segundos segundo; 5 - Clique no botao + ao lado do pacote do Lightsquid: Ferramenta responsvel pela gerao de relatrios de acesso. Na tela principal do pfSense clique em Services > Proxy Server. Aplicaremos as configuraes iniciais do squid. Na aba general do Proxy Server, podemos definiremos as configuraes bsicas do servio tais como:
Interface; Habilitar Log; Porta; Servidores

Proxy Transparente ou autenticado;

DNS .

Para configurao do squid dever ser definido o mtodo de autenticao no pfSense que so:
Transparent

Proxy; com usurio Local do pfSense;

Autenticao

62 Autenticao

Integrada com recursos Externos (LDAP Windows

Active Directory). Transparent Prox a estao de trabalho que se conecta ao pfSense como gateway, que se apropria da requisio para sair para internet como Proxy. Para habilitar basta marcar a check box correspondente na aba geral do Proxy Server. pfSense Local User um mtodo de autenticao no qual se deve criar um ou mais usurios na aba Local Users e, em seguida, em Auth Settings, para definir o mtodo de autenticao como Local. Autenticao Integrada com AD (LDAP) para que os usurios de um domnio Windows 2003 / 2008 possam se autenticar com seus usurios do AD no pfSense. Devemos definir em Auth Setting o mtodo de autenticao LDAP seguindo as configuraes a seguir:
Verso

do LDAP: (para Windows 2003 / 2008 Server); Server: IP ou FQDN do Servidor; Port: 389;

Authentication

Authentiocation User

DN (user1 criado no domnio dom1.local por exemplo):

ocn=user1,cn=Users,dc=dom1,dc=local.

LDAP LDAP

Password: Senha do usurio definido em User DN; Base Domain: dc=dom1,dc=local (conforme exemplo do domnio

dom1.local);
User

DN Attribute: uid; Filter: sAMAccountName=%s.

Search

Quanto ao cache, na aba Cache Mgmt podemos configurar as opes de cache do pfSsense. A seguir, as recomendaes da comunidade pfSense, devemos apontar que pode ocorrer variaes dependendo da mquina utilizada, sendo:
Hard

Disk Size 3000 (3GB); 50% da Capacidade do seu Server; object size: 0; object size: opcional;

Memory: Minimum

Maximum Hard

Disk Cache System: aufs ( uma verso alternativa de unionfs

que tem como objetivo melhorar a confiabilidade e o desempenho do sistema de armazenamento).

63

Na aba access control do Proxy Server, temos a opo de configurar um controle bsico de acesso definindo, por exemplo, uma blascklist bsica para o servio squid. Essas blacklist podero ser baixadas. Para baixar as blacklists com sua configurao feita atravs do servio do SQUIDGuard, podemos baixar listas organizadas por grupos e categorias para facilitar o bloqueio ou liberao para mquinas, usurios e grupos. Para isto, devemos adicionar o seguinte endereo Com BLACK esse LIST URL http://www.shallalist.de/Downloads/shallalist.tar.gz. endereo

devidamente adicionado clique em Upload URL e aguarde alguns minutos. Para o gerenciando blacklist por grupos ou simplesmente configurar sua regra default, basta acessar a aba default em Proxy Filter e, clicando em Destination Ruleset, e gerenciar as listas baixadas, liberando ou bloqueando os acessos conforme a necessidade e poltica da empresa.

FIGURA 17: Controle de acesso por categoria Fonte: Prpria

64

A criao e gerenciamento de grupos customizados por mquinas ou usurio (caso o usurio entregue o pfSense ao Active Directory) pode ser feito na aba ACL do Proxy Filter. Lembramos que devemos sempre salvar as configuraes realizadas, clicando em Save no fim da pgina e aplicar as alteraes clicando em Apply na aba General settings.

FIGURA 18: Configuraes Gerais do Proxy Server Fonte: Prpria

Na aba Log do Proxy Filter, podemos acompanhar uma lista de URLs que foram bloqueadas acessando a oo Blocked. Outra opo interessante do log do SquidGuard esta na opo Filter Log, na qual o usurio pode acompanhar o funcionamento ou parada do servio SquidGuard. Essa opo pode ser til para um troubleshoting, no qual podemos verificar se o servio est iniciado, se o ltimo log gerado for uma mensagem semelhante squidGuard ready for requests, ou se o servio est parado quando tambm explcito na ultima entrada do log.

65

FIGURA 19: Pagina de LOG do do Proxy Filter Fonte: Prpria

O OpenVPN uma VPN. Mas h muita confuso sobre o que uma VPN realmente . H muitos produtos comerciais que no so verdadeiras VPNs, mas meramente portais SSL para um nmero limitado de servios. O OpenVPN uma verdadeira VPN baseada em SSL que requer que todas as extremidades sejam confiveis, implementada segurana das camadas 2 e 3 do modelo OSI usando os padres dos protocolos SSL/TTL. O algoritimo padro (cipher) de criptografia e o Blowfish com chave de 128 bits ou mais. O OpenVPN inclui clientes para Linux, Solaris, Mac OS X, OpenBSD, FreeBSD e NetBSD, ento seu nico ponto de parada VPN. O OpenVPN um software livre e open source para criar redes privadas virtuais do tipo ponto-a-ponto ou server-to-multiclient atravs de tneis criptografados entre computadores. Ele capaz de estabelecer conexes diretas

66

entre computadores mesmo que estes estejam atrs de Nat Firewalls sem necessidade de reconfigurao da sua rede. Essa ferramenta possibilita autenticar entre os pontos de vrias maneiras. Oferece chaves secretas compartilhadas, autenticao baseada em certificados e autenticao baseada em usurio e senha. O mtodo de autenticao com chaves secretas compartilhadas o mais simples, e combinando com certificados ele se torna o mais robusto e rico recurso de autenticao. A autenticao com usurio e senha, mas no e muito implementada, pois necessita de toda vez que for feita um conexo com o servidor ter que ser digitada a senha para estabelecer uma conexo de rede. O mesmo pode rodar sobre os protocolos UDP ou TCP - Utilizamos o UDP porque fornece integridade de dados (via um checksum), mas no fornece entrega garantida. Ele multiplexa toda a comunicao em cima de uma nica porta TCP/UDP. Possui dois tipos de interfaces para rede via Universal TUN/TAP driver, podendo criar um tnel em layer-3 (TUN), ou pode criar um tnel em layer-2 baseado em ethernet, o que pode carregar qualquer tipo de trfego ethernet, pode utilizar a biblioteca de compresso para compactar o fluxo de dados. A porta 1194 a numerao oficial para o OpenVPN.

FIGURA 20: Configuraes do Servidor VPN Fonte: Prpria

67

FIGURA 21: Regras de Firewall Fonte: Prpria

Na figura 21 apresentada acima foi criado as regras para a liberao de acesso a internet ouvindo na porta 80, VPN na porta 1194 e o Proxy na porta 3128.

68

CONCIDERAES FINAIS

Ao final deste trabalho, conclui-se que uma soluo de Gerencia em segurana de redes a forma mais segura de se controlar e monitorar o trfego da rede utilizando servios de firewall e Proxy, tambm se conectar em redes atravs de um meio pblico utilizando VPN. Dentre os servios apresentados destacamos e demonstramos trs dos essenciais servios para gerenciamento, controle de trafego, filtragem de pacotes e tunelamento virtual. Optou-se por utilizar pfSense, por ser um software livre, possui fcil implementao e utiliza https. O HTTPS utiliza protocolo SSL amplamente utilizado para transaes segura pela Internet e est em constante atualizao, tambm um ponto forte na escolha da ferramenta pfSense a facilidade de usabilidade, entendimento e criao das regras, no exigindo experincia alguma em FreeBSD e muito menos em comandos digitados em console, devido suas regras e polticas serem aplicadas todas atravs de cliques simples, exigindo apenas entendimento na finalidade das regras e o que se deseja alcanar. Ao final da implementao foi possvel perceber que conseguimos atender as caractersticas desejveis para uma VPN segura utilizando o OpenVPN, filtragem de pacotes por meio de firewall e controle de acesso a internet por meio de Proxy. Esta soluo foi implementada na empresa Omega Dornier Comercio de Jias LTDA, utilizando uma topologia estrela, visando permitir que usurios externos obtivessem acesso aos recursos da rede interna, porem filtrados por meio do firewall e acesso a internet controlado por Proxy Server, sendo esses trs servios gerenciados pela console web do pfSense de qualquer lugar onde tenha acesso a internet. baseada nesta experincia. Mas somente o firewall, Proxy e VPN no suficiente, para permitir que usurios internos e externos tenham acesso aos recursos da rede de forma segura, extremamente recomendado possuir outras formas de proteo como aplicar polticas de segurana bem elaborada, polticas de backup, autenticao de usurios na rede e monitoramento dirio do que se esta trafegando na rede. A implementao realizada neste trabalho foi

69

REFERNCIA BIBLIOGRFICA

BUECHLER, Christopher M. | PINGLE Jim, pfSense:The Definitive Guide. http://www.projetoderedes.com.br/tutoriais/tutorial_conceitos_gerenciamento_01.php Jos Mauricio dos Santos Pinheiro em 17/07/2006 | 22/10/2011 20:43 http://www.di.ufpe.br/~flash/ais98/gerrede/gerrede.html | 25/10/2011 19:40 http://www.vivaolinux.com.br/artigo/Webmin-Solucao-em-administracao-de-sistemas 25/10/2011 20:25 http://www.brunorusso.eti.br/howto/mrtg | 26/10/2011 09:02 http://oss.oetiker.ch/mrtg/ | 26/10/2011 14:20 http://pt.scribd.com/doc/32385846/CDTC-Ntop | 26/10/2011 16:44 http://www.freebsdbrasil.com.br/home.php?area=2&conteudo=5 | 31/10/2011 19:43 http://doc.fug.com.br/doc/pt_BR.ISO8859-1/books/handbook/nutshell.html 31/10/2011 20:16 http://eficienti.wordpress.com/2011/02/02/instalacao-configuracao-e-manutencao-dofsense-2/ | 10/09/2011 23:28 http://jamsux.wordpress.com/2009/09/15/pfsense-openvpn-site-to-site/ | 02/09/2011 14:10 SOUZA, Denis Augusto A. FreeBSD - O poder dos servidores em suas mos | 2009. |