Upload
patricie-medova
View
295
Download
0
Embed Size (px)
Citation preview
UNIO EDUCACIONAL DE BRASLIA UNEB INSTITUTO DE CINCIAS EXATAS ICEX CURSO DE GRADUAO EM ANLISE E DESENVOLVIMENTO DE SISTEMAS HABILITAO EM REDES DE COMPUTADORES
CONTROLE DE ACESSO AOS RECURSOS OFERECIDOS PELA UNEB
CARLOS EDUARDO FERREIRA DA SILVA JAQUELINE MENEZES LUS ANTONIO RIBEIRO MARIA DENISE INCIO DOS SANTOS OLMPIO TAVARES PATRICIE MEDOVA
Braslia-DF 2011
CARLOS EDUARDO FERREIRA DA SILVA JAQUELINE MENEZES LUS ANTONIO RIBEIRO MARIA DENISE INCIO DOS SANTOS OLMPIO TAVARES PATRICIE MEDOVA
CONTROLE DE ACESSO AOS RECURSOS OFERECIDOS PELA UNEB
Monografia apresentada ao final do curso, como parte dos requisitos para a obteno do ttulo de Tecnlogo em Sistemas de Informao, pela Unio Educacional de Braslia, UNEB. Habilitao: Tecnologia em Anlise e Desenvolvimento de Sistemas Redes de Computadores. Orientador: Prof. Clauder Lima.
Braslia DF 2011
Ficha Catalogrfica
MENEZES, Jaqueline; MEDOVA, P.; SANTOS, M. Denise I.; RIBEIRO,L.; SILVA, C.E.F; TAVARES, O. Controle de Acesso aos recursos oferecidos pela Uneb / MENEZES, Jaqueline;MEDOVA, P.; SANTOS, M. Denise I.; RIBEIRO, L. A.; SILVA, C.E.F; TAVARES,O. Braslia. Unio Educacional de Braslia UNEB, 2011. Espcie de trabalho ( Trabalho de concluso de curso Tcc para a graduao e obteno do ttulo de Tecnlogo em Anlise e Desenvolvimento de Sistemas com habilitao em Redes de Computadores). 1- Controle de Acesso; 2- Autenticao; 3- Firewall; 4- Criptografia. _________________________ CDD
CARLOS EDUARDO FERREIRA DA SILVA JAQUELINE MENEZES LUS ANTONIO RIBEIRO MARIA DENISE INCIO DOS SANTOS OLMPIO TAVARES PATRICIE MEDOVA
Controle de Acesso aos recursos oferecidos pela UNEB
Monografia aprovada como requisito final para a obteno do grau Tecnlogo em Anlise e Desenvolvimento de Sistemas da Unio Educacional de Braslia UNEB. Habilitao: Redes de Computadores Data de Aprovao ____/____/____
BANCA EXAMINADORA
Nome: _____________________________________________________ Instituio:__________________________________________________ Assinatura:__________________________________________________ Nome: _____________________________________________________ Instituio:__________________________________________________ Assinatura:__________________________________________________ Nome: _____________________________________________________ Instituio:__________________________________________________ Assinatura:__________________________________________________
DEDICATRIA Dedicamos este trabalho final de
concluso do curso a todas nossas famlias que com muito apoio, incentivo, compreenso e pacincia nos acompanharam ao longo deste curso e em todos os momentos difceis souberam nos motivar com amor e carinho a galgar todos os degraus necessrios para chegarmos at aqui.
AGRADECIMENTOS Ao nosso orientador que com pacincia inesgotvel e disponibilidade inenarrvel nos fez alcanar o nosso objetivo de traduzirmos o nosso conhecimento em uma produo de valor acadmico permitindo-nos deixar registrada uma pequena contribuio para esta instituio que ao longo de vrios anos nos acolheu. Aos laboratrios funcionrios que com da muita biblioteca gentileza e nos
auxiliaram no entendimento do funcionamento de seus setores na UNEB para com a utilizao de seus recursos e na aplicao dos questionrios realizados. E por fim, a todos os docentes que se dispuseram a responder os questionrios e auxiliar-nos no entendimento com relao ao tema do trabalho.
RESUMO
O trabalho Controle de Acesso aos recursos oferecidos pela UNEB teve como objetivo identificar e analisar os recursos informacionais da Rede Acadmica da instituio, de forma a mant-los dentre aqueles que tm a autorizao para o seu uso. O trabalho foi dividido em, introduo, metodologia de pesquisa cientfica bibliogrfica, estudo terico com informaes referentes ao tema controle de acesso desde a descrio de normativas de gesto encontradas para a efetividade do mesmo em uma instituio traduzida por estudos sobre polticas de segurana, como caractersticas e tipos de controles fsicos e lgicos, entre os quais, o gerenciamento de identidade, tipos de autenticaes individuais por senhas, biometria e cartes smartcards, suportes de segurana para mecanismos de controle de criptografia, ferramentas de controle de redes como VLAN, firewall e proxy alm do estudo dos tipos de rede, o seu funcionamento e os protocolos de controle e autenticao aplicados a elas, metodologia de pesquisa de campo aplicao de entrevistas que se refere ao estudo dos recursos da instituio UNEB, os fsicos como os Laboratrios e a Biblioteca, os lgicos como as LANs, VLANs, a rede Wireless, as polticas de Segurana e a internet, com a proposta de descrever a Infra-estrutura encontrada, a Viso da instituio, a Utilizao e o que acontece nela com a falta do Controle de Acesso. Sugestes que podem ser aplicadas para elevar o controle de acesso na instituio dentre as quais o desenvolvimento de polticas de segurana, catracas, biometria e smartcard para controles fsicos, o LDAP,o RADIUS e Captive Portal para controle lgico individual e VLANs, Firewall e Proxy para controle lgico de rede. Finalizando com identificao das necessidades de se implantar mecanismos de controle na instituio de forma a atender a demanda dos alunos e elevar a qualidade dos servios oferecidos pela instituio. Palavras-chave: Autenticao - Controle de Acesso - Polticas de Segurana - Rede
ABSTRACT
The work Access Control to Resources Offered by UNEB aimed to identify and analyze the information resources of the Academic Network of this institution in order to maintain its use for authorized people only. The academic work was divided into, introduction, scientific research literature methodology, theoretical study with information on the subject of access control since the description of rules for management found its effectiveness in an institution translated by studies on security policies, such as features and types of physical and logical controls, including, identity management, individual types by passwords, biometrics and smartcards, security supports for encryption mechanisms control, network control tools such as VLAN, firewall and proxy beyond the study of network types, their operation and control protocols and authentication applied to them, research methodology and application of interviews that refers to the study of the UNEB institution's resources, physicists such as laboratories and library, the logical such as LANs, VLANs, Wireless network, the security and the Internet, with the proposal describing the infrastructure found, the vision of the institution, its use and what would happens with the lack of access control. There are some suggestions that can be applied to raise the access control in the institution from which the development of security policies, turnstiles, biometrics and smartcard to physical controls, the LDAP, the RADIUS and Captive Portal for individual logic control and VLANs; Firewall and Proxy for logic network control. Finally, it was identified the needs to establish control mechanisms at the institution in order to meet the demand of students and raise the quality of services offered by the UNEB institution.
Keyword: Authentication Access Control Security Policies Computers Network
Lista de QuadrosQuadro 1: Domnios e Componentes de Governana de TI.....................................................28 Quadro 2: Segurana - metas e ameaas...................................................................................31 Quadro 3: Comparao entre os tipos de Firewall....................................................................92 Quadro 4: Exemplo de Configurao VLAN baseado em portas...........................................105 Quadro 5: Exemplo de Configurao VLAN baseado Endereos MAC................................106 Quadro 6: Exemplo de Configurao VLAN baseado em protocolos....................................106 Quadro 7: Exemplo de Configurao VLAN baseado em endereo IP..................................107 Quadro 8: Exemplo de Configurao VLAN baseado em aplicao ou servio....................107 Quadro 9: Comparativo entre os mtodos de autenticao EAP............................................121 Quadro 10: Recursos estudados para anlise da instituio UNEB........................................143 Quadro 11: Quadro de respostas do questionrio....................................................................182 Quadro 12: Correlao dos tipos de respostas identificadas no estudo..................................183 Quadro 13: Tabela de permisso para os alunos.....................................................................223 Quadro 14: Tabela de permisso para os professores.............................................................223 Quadro 15: Tabela de permisso para os tcnicos do CPD.....................................................223 Quadro 16: Tabela de permisso para os funcionrios............................................................224 Quadro 17: Tabela de permisso para os visitantes.................................................................224
Tabela de IlustraesFigura 1: Servio de Diretrio Collaboration Sute..................................................................46 Figura 2: Configurao do LDAP.............................................................................................48 Figura 3: Modelos do servio de diretrio LDAP.....................................................................49 Figura 4: Active Directory.......................................................................................................51 Figura 5: Exemplo de SSO........................................................................................................53 Figura 6: Autenticao por senha (password)...........................................................................56 Figura 7: Ataque de spoofing....................................................................................................58 Figura 8: Protocolo EKE...........................................................................................................59 Figura 9: Protocolo Speke .......................................................................................................60 Figura 10: Protocolo SRP 3.......................................................................................................61 Figura 11: Protocolo Kerberos..................................................................................................62 Figura 12: Exemplo de tokens..................................................................................................63 Figura 13: Sistema de comunicao token OTP - senhas no reutilizveis..............................64 Figura 14: Autenticao por desafio/ resposta usando tcnicas criptogrficas.........................65 Figura 15: Smartcard sem contato............................................................................................66 Figura 16: Estrutura de um Smartcard......................................................................................67 Figura 17: Processo de autenticao biomtrica ......................................................................70 Figura 18: Minutiae - posies de detalhes...............................................................................71 Figura 19: Criptografia por chave secreta.................................................................................73 Figura 20: Assinatura Digital ...................................................................................................75 Figura 21: Catraca com recursos biomtricos e smartcards......................................................78 Figura 22: Conceito de Firewall................................................................................................84 Figura 23: Processo de comunicao Filtro de Estados a partir de Pacotes SYN. ...................88 Figura 24: Processo de comunicao Filtro de Estados a partir de Pacotes ACK....................89 Figura 25: Esquema de funcionamento tpico dos Proxies.......................................................91 Figura 26: Dual-homed host architecture..................................................................................96 Figura 27: Arquitetura Screened host architecture....................................................................97 Figura 28: Screened subnet architecture opo 1......................................................................98 Figura 29: Screened subnet architecture opo 2......................................................................99 Figura 30: Arquitetura de firewall cooperativo.......................................................................100 Figura 31: Processo 802.1X com a Porta controlada..............................................................116
Figura 32: Processo de comunicao para o nvel de acesso rede no padro 802.1X..........117 Figura 33: Formato do pacote EAP.........................................................................................119 Figura 34: Mensagens EAP ....................................................................................................120 Figura 35: Configurao EAP-TLS........................................................................................123 Figura 36: Processo de autenticao AP(NAS) - RADIUS....................................................125 Figura 37: Formato do pacote RADIUS.................................................................................127 Figura 38: Troca de mensagens (EAP/RADIUS) para a autenticao no padro 802.1X......128 Figura 39: Comunicao Cliente/Servidor..............................................................................134 Figura 40: Componentes da aplicao WEB..........................................................................135 Figura 41: Funcionamento do protocolo HTTP .....................................................................136 Figura 42: Elementos de uma URL.........................................................................................137 Figura 43: Mensagem HTTP pedido de conexo do browser e resposta do servidor..........138 Figura 44: Organograma Funcional da UNEB........................................................................140 Figura 45: Planta Baixa UNEB...............................................................................................141 Figura 46: UNEB Mapa lgico...............................................................................................142 Figura 47: UNEB Planta Baixa Ligao W5 ao Parque.........................................................145 Figura 48: Planta Biblioteca Trreo e 1 Andar......................................................................148 Figura 49: Planta Biblioteca Subsolo......................................................................................148 Figura 50: Balco de atendimento na Biblioteca da UNEB....................................................151 Figura 51: Planta Baixa Laboratrio de Pesquisa ..................................................................154 Figura 52: Tela inicial de um computador do Laboratrio de Pesquisa..................................155 Figura 53: Planta Baixa Laboratrio de aula Graduao........................................................157 Figura 54: Config. bsica de softwares de uma estao de trabalho no LAB. de aula...........158 Figura 55: Planta Baixa Laboratrio de aula Ps-Graduao.................................................159 Figura 56: Mapeamento das LANs e VLANs da UNEB........................................................165 Figura 57: Diagrama lgico LANs e VLANs dos Laboratrios na Rede Acadmica ...........166 Figura 58: SSID's Rede Wireless UNEB.............................................................................170 Figura 59: Roaming Wireless..................................................................................................171 Figura 60: Grfico - Poltica de segurana..............................................................................176 Figura 61: Grfico entrevistas UNEB Funcionrios X Polticas de segurana....................177 Figura 62: Grfico entrevistas UNEB Treinamento para func. Gerenc. rea de segurana.179 Figura 63: Controle de acesso fsico.......................................................................................180 Figura 64: Grfico entrevistas UNEB Existncia de controles para o acesso fsico............184 Figura 65: Estudo de Caso Entrevistas UNEB Gesto de autenticao...............................186
Figura 66: Estudo de Caso Entrevistas UNEB Ataques seus recursos Fsicos.................188 Figura 67: Estudo de Caso Entrevistas UNEB Ataques seus recursos lgicos................190 Figura 68: Estudo de Caso Entrevistas UNEB Controle de Acesso Fsico..........................192 Figura 69: Estudo de Caso Entrevistas UNEB Monitoramento de acesso fsico.................194 Figura 70: Estudo de Caso Entrevistas UNEB Pontos de vigilncia...................................196 Figura 71: Diagrama lgico - Recebimento e distribuio da internet na Rede Acadmica...199 Figura 72: Organograma dos nveis de permisses no uso da internet...................................201 Figura 73: Solues - Diagrama lgico do Controle de Acesso.............................................205 Figura 74: Controle de Acesso UNEB Rede Acadmica........................................................206 Figura 75: Controle de acesso na biblioteca...........................................................................207 Figura 76: Biblioteca Diagrama de autenticao lgico......................................................208 Figura 77: Controle de acesso no Laboratrio de Pesquisa....................................................210 Figura 78: Laboratrio de Pesquisa Processo de autenticao para o Controle de Acesso Fsico.......................................................................................................................................211 Figura 79: Controle de acesso no Laboratrio de Aula Graduao........................................212 Figura 80: Laboratrio de aula Processo de autenticao para o Controle de Acesso Fsico .................................................................................................................................................213 Figura 81: Controle de acesso no Laboratrio de Aula Ps-Graduao.................................214 Figura 82: Controle de Acesso configurao VLANs e Integrao Rede Acadmica ...........216 Figura 83: Diagrama lgico da Autenticao das LANs e VLANs nos laboratrios..............217 Figura 84: Controle de acesso lgico rede wireless controle pelo portal.............................218 Figura 85: Controle de Acesso Wireless UNEB..................................................................219 Figura 86: Diagrama lgico - Implementao de um SD na Rede Acadmica da UNEB......222 Figura 87: Diagrama lgico - UNEB Internet com controle de acesso...................................225 Figura 88: Diagrama de recebimento da internet e o fluxo da sua distribuio......................226
Lista de TabelasTabela 1: Distribuio de frequncia da questo Controles e mecanismos.........................185 Tabela 2: Distribuio de frequncia da questo Gesto de autenticao............................187 Tabela 3: Distribuio de frequncia da questo Ataques recursos fsicos..........................189 Tabela 4: Distribuio de frequncia da questo Ataques recursos lgicos.........................191 Tabela 5: Distribuio de frequncia da questo Controle de acesso fsico........................193 Tabela 6: Distribuio de frequncia da questo Monitoramento........................................195 Tabela 7: Distribuio de frequncia da questo Pontos de vigilncia................................197 Tabela 8: Resultado do questionrio aplicado na Biblioteca..................................................251 Tabela 9: Resultado do questionrio aplicado na Biblioteca sobre o LAB de Pesquisa.........252 Tabela 10: Resultado do questionrio aplicado no LAB. Pesquisa Perfil de Usurio.........256 Tabela 11: Resultado do questionrio para a disponibilidade do LAB. de Pesquisa ........256 Tabela 12: Resultado do questionrio aplicado no LAB de Aula Perfil de usurio............257 Tabela 13: Resultado do questionrio aplicado no LAB de Aula Acesso...........................257 Tabela 14: Resultado do questionrio aplicado no LAB de Aula Vist. no autorizados.....258 Tabela 15: Resultado do questionrio aplicado no LAB. Pesquisa Tipo de uso.................258 Tabela 16: Resultado do questionrio aplicado no LAB. Pesquisa Tipo de uso indevido..259 Tabela 17: Resultado do questionrio aplicado no LAB. de Aula Tipo de uso..................260 Tabela 18: Resultado do questionrio aplicado no LAB. de Aula Tipo de uso indevido....260
LISTA DE ABREVIATURAS E SIGLAS
AAA - Authentication Authorization Accountability ABNT - Associao Brasileira de Normas Tcnicas ACL's - Access Control List AD - Active Directory ADSL - Asymmetric Digital Subscriber Line AMS - Account Management Systems AP - Access Point ARP Address Resolution Protocol Berkeley's - Data Base BSS Basic Service Set C-List - Lista de Capacidades CMMI - Capability Maturity Model Integration COBIT - Control Objectives for Information and related Techonology CRC Cyclic Redundancy Code CSMA/CD Carrier Sense Multiple Acess With Detection DAC - Discretionary Access Control DAP - Directory Access Protocol DAS - Directory System Agent DC - Domain Controller DHCP - Dynamic Host Configuration Protocol DIT - Directory Information Tree DMZ - DeMilirarized Zone DNS - Domain Name System EAD Ensino a Distncia
EAP - Extensible Authentication Protocol EAP MD5 - Extensible Authentication Protocol-Messege Digest 5 EAP TTLS - Extensible Authentication Protocol Tunneled Transport Layer Security EAPol Protected Extensible Authentication Protocol Over LAN EKE - Encrypted Key Exchange ESS Extended Service Set ESSID - Extended Service Set Identification FTP - File Transfer Protocol HTTP - Hyper Text Transfer Protocol HTTPS - Secure Hyper Text Transfer Protocol ICEX Instituto de Cincias Exatas ICMP - Internet Control Message Protocol ICSA Instituto de Cincias Sociais Aplicadas IDS - Intrusion Detection System IEC - International Eletrotechnical Comission IEC - International Eletrotechnical Comossion IEEE - Instituto de Engenheiros Eletricistas e Eletrnicos IES Instituio de Ensino Superior IP - Internet Protocol Ipv6 - Internet Protocol Version ISO - International Organization for Standardization ISP - Internet Service Providers ITIL - Information Technology Infrastructure Library KDC - Key Distribution Center LAN - Local Area Network LDAP - Lightweight Directory Access Protocol
LEAP Lighweight Extensible Authentication Protocol LLC - Logical Link Control MAC - Mandatory Access Control MAC - Mandatory Address Control MIC - Michael Integrity Code MITM - Man-In-The-Middle NAS - Network Access Server NAT Network Address Translation NetBEUI - Extended User Interface OSI - Open System Interconnection OSM - Organizao Sistema e Mtodo PDA Personal Digital Assistant PEAP Protected Extensible Authentication Protocol PIN- Personal Identification Number PKI - Public Key Infrastruture PMBOK - Project Management Body of Knowledge PMI - Project Management Institute PPP Point-To-Point Protocol PROGINFO Programa Nacional de Informtica na Educao PSK Phase Shift Keying QoS - Quality of Service RADIUS Remote Authentication Dial In User Service RBAC - Role Based Access Control RC4 Ron Code 4 RF - Rdio Frequncia RH - Recursos Humanos
RPC - Remote Procedure Call SASL - Simples Authentication And Security Layer SGAS Setor de Grandes reas Sul SMTP - Simple Mail Transfer Protocol SMTPS - Secure Simple Mail Transfer Protocol SPEKE - Simples Password Exponential Key Exchange SPX/IPX - Sequenced Packet Exchange/ Internetwork Packet Exchange SRP - Secure Remote Protocol SSH - Secure Shell SSL - Secure Sockets Layer SSO - Single Sing On STA Stations TCP - Transmission Control Protocol Tgi Task Group I TGS - Ticket Granting Service TGT - Ticket Granting Ticket TI - Tecnologia da Informao TIS Trusted Information Systems TKIP - Temporal Key Integrity Protocol TLS - Transport Layer Security UDP User Datagram Protocol UNEB Unio Educacional de Braslia URL - Uniform Resource Locator UTF - Unicode Transformation Format VLANs - Virtual Local Area Network VPN - Virtual Private Network
VTP VLAN Trunking Protocol WAN - Wide Area Network WAP - Wi-Fi Protected Access WEP - Wired Equivalent Privacy WLAN - Wireless Local Area Network WWW - Word Wide Web YaST2 - Yet Another Setup Tool
Sumrio1 Introduo..............................................................................................................................24 2 Referencial Terico................................................................................................................25 2.1 Sistemas de Informao..................................................................................................25 2.2 Governana de TI...........................................................................................................26 2.3 Segurana da Informao...............................................................................................28 2.3.1 Caractersticas da Segurana da informao..........................................................31 2.3.1.1 Avaliao e Gerenciamento de Riscos............................................................33 2.4 Poltica de Segurana ....................................................................................................34 2.4.1 Documento de Poltica de Segurana.....................................................................35 2.4.2 Inventrio dos Ativos de informao......................................................................36 2.5 Segurana fsica e do ambiente......................................................................................37 2.6 Controle de Acesso.........................................................................................................38 2.6.1 Poltica de Controle de Acesso...............................................................................39 2.6.2 Controle de Acesso para o Usurio.........................................................................39 2.6.2.1 Gerenciamento de usurios.............................................................................40 2.6.2.2 Responsabilidades do usurio.........................................................................41 2.6.3 Controle de acesso na Rede....................................................................................41 2.6.4 Controle de acesso s Aplicaes...........................................................................42 2.6.5 Gerenciamento no uso e acesso do sistema............................................................43 2.6.7 Controles de acesso para computao mvel ........................................................43 2.7 Tipos de Controle de Acesso.........................................................................................44 2.7.1 Identificao...........................................................................................................44 2.7.1.1 Gerncia de identidades..................................................................................45 2.7.2 Servios de Diretrio.............................................................................................45 2.7.2.1 LDAP.............................................................................................................47 2.7.2.2 AD (Active Directory)...................................................................................50 2.7.2.3 SSO (Single Sign-on).....................................................................................52 2.7.2.4 AMS ( Account Management Systems).........................................................53 2.8 Autenticao..................................................................................................................54 2.8.1 Tipo de Autenticao..............................................................................................55
2.8.1.1 Autenticao por conhecimento......................................................................55 2.8.1.1.1 Autenticao por senha...........................................................................55 2.8.1.1.1.1 Problemas relacionados a autenticao por senhas ............................56 2.8.1.1.1.2 Fatores para elevar a segurana na autenticao por senhas ..............57 2.8.1.1.1 Protocolos de autenticao por senhas...................................................58 2.8.1.2 Autenticao por posse..................................................................................63 2.8.1.2.1 Tecnologias sncronas.............................................................................64 2.8.1.2.2 Tecnologias assncronas.........................................................................65 2.8.1.2.3 Smartcard ..............................................................................................66 2.8.1.3 Autenticao por caracterstica: Biometria ....................................................68 2.8.1.3.1 Breve Histria da Biometria...................................................................68 2.8.1.3.2 Processo de autenticao Biomtrica ....................................................69 2.8.1.3.3 Impresso Digital ..................................................................................70 2.8.2 Ferramentas de apoio para a segurana da autenticao.......................................72 2.8.2.1 Criptografia....................................................................................................72 2.8.2.1.1 Criptografia por chave secreta................................................................73 2.8.2.1.2 Criptografia por chave pblica...............................................................74 2.8.2.1.3 Assinatura digital ...................................................................................74 2.8.2.1.4 Certificao digital ................................................................................76 2.8.2.2 Triple A ..........................................................................................................76 2.8.2.3 Catracas..........................................................................................................77 2.9 Modelos de Controle de Acesso ...................................................................................79 2.9.1 DAC (Discretionary Access Control)....................................................................79 2.9.1.1 ACLs (Access Control Lists)........................................................................80 2.9.1.2 Capability Tables............................................................................................80 2.9.2 MAC (Mandatory Access Control)........................................................................81 2.9.3 RBAC (Role-based Access Control).....................................................................81 2.9.4 Role-based.............................................................................................................81 2.9.5 Content Dependent................................................................................................82 2.9.6 Interfaces Restritas ..............................................................................................82 2.9.7 Access Control Matrix .......................................................................................83 2.9.8 Firewall ................................................................................................................83 2.9.8.1 Funcionalidades de firewall...........................................................................85 2.9.8.1.1 Filtro de pacotes.....................................................................................86
2.9.8.1.2 Filtro de Estados.....................................................................................87 2.9.8.1.3 Proxy......................................................................................................90 2.9.8.1.4 Comparao entre os trs tipos de firewalls apresentados......................92 2.9.8.1.5 Firewalls hbridos ..................................................................................92 2.9.8.1.6 Outros tipos de firewall..........................................................................93 2.9.8.1.7 Bastion hosts..........................................................................................94 2.9.8.1.8 DMZ Zonas Desmilitarizadas.............................................................94 2.9.8.2 Arquiteturas de firewall .................................................................................95 2.9.8.2.1 Dual-Homed Host Architecture..............................................................95 2.9.8.2.2 Screened Host Architecture ...................................................................96 2.9.8.2.3 Screened Subnet Architecture................................................................97 2.9.8.2.4 Firewall cooperativo...............................................................................99 2.10 Redes de computadores.............................................................................................101 2.10.1 Recursos de Enlace ............................................................................................101 2.10.1.1 LAN...........................................................................................................103 2.10.1.2 VLAN.........................................................................................................104 2.10.1.3 Rede Wireless.............................................................................................108 2.11 Padro 802.11.............................................................................................................109 2.11.1 Protocolo WEP (Wired Equivalent Privacy)......................................................111 2.11.2 Padro 802.11i...................................................................................................113 2.11.3 WPA...................................................................................................................113 2.11.4 TKIP (Temporal Key Integrity Protocol)..........................................................114 2.11.5 Padro 802.1X....................................................................................................115 2.11.6 EAP (Extensible Authentication Protocol)........................................................118 2.11.6.1 TLS Transport Layer Security.................................................................121 2.11.6.2 EAP-TLS (Extensible Authentication Protocol Transport Layer Security ) ...................................................................................................................................122 2.11.6.3 EAP-TTLS (Extensible Authentication Protocol Tunnuled Transport Layer Security)..........................................................................................................124 2.11.7 Servidor RADIUS ............................................................................................125 2.11.8 Protocolo RADIUS...........................................................................................126 2.11.9 Autenticao no Padro 802.1X.........................................................................128 2.12 Recursos da camada de rede Roteamento..............................................................129 2.13 Recursos da camada de transporte Orientao conexo......................................130
2.14 Recursos da Camada de Sesso.................................................................................130 2.15 Recursos da Camada de Apresentao Segurana na comunicao dos pacotes da rede.....................................................................................................................................131 2.16 Recursos da Camada de Aplicao Servios de comunicao..............................132 2.16.1 Internet................................................................................................................132 2.16.2 WEB (World Wide Web)....................................................................................133 2.16.3 Protocolos de Internet........................................................................................135 3 Estudo de Caso UNEB........................................................................................................139 3.1 Recursos......................................................................................................................143 3.1.1 Recursos Fsicos ..................................................................................................144 3.1.1.1 Biblioteca.....................................................................................................146 3.1.1.1.1 Biblioteca - UNEB Infra-estrutura......................................................147 3.1.1.1.2 Biblioteca - UNEB Viso da Instituio............................................149 3.1.1.1.3 Biblioteca UNEB Utilizao ............................................................150 3.1.1.1.4 Biblioteca Falta de Controle de Acesso.............................................152 3.1.1.2 Laboratrios.................................................................................................152 3.1.1.2.1 Laboratrio UNEB Infra-estrutura....................................................153 3.2.1.2.1.1 Laboratrio de Pesquisa....................................................................154 3.1.1.2.1.2 Laboratrio de Aula Graduao........................................................156 3.1.1.2.1.3 Laboratrio de Aula Ps-Graduao ................................................158 3.1.1.2.2 Laboratrio UNEB Viso da Instituio ..........................................159 3.1.1.2.2.1 Quanto ao uso especfico dos Laboratrios de Aulas........................161 3.1.1.2.2.2 Quanto ao uso especfico dos laboratrios de Pesquisa....................161 3.1.1.2.3 Laboratrio UNEB Utilizao...........................................................161 3.1.1.2.4 Laboratrio UNEB Falta de Controle de Acesso..............................162 3.1.2 Recursos Lgicos.................................................................................................163 3.1.2.1 LANs e VLANs UNEB Infraestrutura......................................................163 3.1.2.1.1 LANs e VLANs UNEB Viso da Instituio....................................166 3.1.2.1.2 LANs e VLANs UNEB Utilizao...................................................167 3.1.2.1.3 LANs e VLANs UNEB Falta de Controle de Acesso......................168 3.1.2.2 Rede Wireless UNEB Infraestrutura.........................................................169 3.1.2.2.1 Rede Wireless UNEB Viso da Instituio.......................................171 3.1.2.2.2 Rede Wireless UNEB Utilizao.......................................................172 3.1.2.2.3 Rede Wireless UNEB Falta de Controle de Acesso..........................173
3.1.2.3 Polticas de Segurana.................................................................................174 3.1.2.3.1 Polticas de Segurana UNEB Viso da Instituio...........................175 3.1.2.3.2 Polticas de Segurana UNEB Utilizao........................................175 3.1.2.3.3 Polticas de Segurana UNEB Vulnerabilidades...............................179 3.1.2.3.4 Polticas de Segurana UNEB Falta de Controle de Acesso.............181 3.1.2.3.5 Estudo de Caso UNEB: Perfil do questionrio aplicado......................182 3.1.2.4 Internet UNEB Infraestrutura......................................................................198 3.1.2.4.1 Internet UNEB Viso da Instituio.......................................................200 3.1.2.4.2 Internet UNEB Utilizao.........................................................................202 3.1.2.4.3 Internet UNEB Falta de Controle de Acesso...........................................202 4 Soluo.................................................................................................................................205 4.1 Biblioteca Controle de Acesso.................................................................................206 4.2 Laboratrio Controle de Acesso Fsico..................................................................208 Laboratrios de Aulas Graduao Controle de Acesso Fsico........................211 4.2.1 Laboratrio de Pesquisa - Controle de Acesso Fsico..........................................209 4.2.2 4.2.3 Laboratrios de Aulas Ps-Graduao Controle de Acesso Fsico...................214 4.3 LANs e VLANs Controle de Acesso........................................................................214 4.4 Wireless Controle de Acesso...................................................................................218 4.5 Polticas de Segurana Controle de Acesso..............................................................220 4.6 Internet Controle de Acesso.....................................................................................224 5 guisa de concluso...........................................................................................................229 6 Referncias Bibliogrficas...................................................................................................231 APNDICE A Pesquisa sobre as polticas da instituio ...................................................237 I. Questionrio Aplicado.....................................................................................................237 APNDICE B Pesquisa sobre a Biblioteca e Laboratrio de Pesquisa...............................249 I. Questionrio Aplicado.....................................................................................................249 II. Resultado .....................................................................................................................251 A) Quanto a Biblioteca..................................................................................................251 B) Quanto ao laboratrio de Pesquisa ..........................................................................252 APNDICE C Pesquisa realizada nos Laboratrios ..........................................................253 I. Questionrio Aplicado.....................................................................................................253 II. Resultado ......................................................................................................................255 A) Laboratrio de Pesquisa...........................................................................................256 B) Laboratrio de Aula .................................................................................................257
C) Uso da Internet..........................................................................................................258
24 1 Introduo
Segundo Comer (2007, p.37) com a evoluo da internet ao longo dos ltimos 40 anos, o avano da tecnologia e o compartilhamento de recursos informatizados, as organizaes, tem a cada dia aumentado as ofertas de servios e aplicaes para os seus usurios de forma a atender as novas demandas na evoluo de seus mercados. Mas, at que ponto essa oferta de servios pode comprometer a prpria organizao se no houver um planejamento efetivo de segurana para controlar os acessos a esses recursos? Quem garante que estes recursos ofertados se mantem dispostos aqueles que realmente tem direito a eles? Da mesma forma que a tecnologia se dispe em prol da organizao disponibilizando e compartilhando os seus recursos internos e externos, ela tambm proporciona aqueles que sabem utiliz-la com ms intenes, facilidades e brechas para consumir, alterar e se apropriar destes mesmos recursos. Portanto, faz-se necessrio buscar controles que possam restringir os mesmos pessoas autorizadas. Em vista temtica polmica acima, este trabalho tem o objetivo de estudar o problema Como manter os recursos da UNEB apenas pessoas autorizadas?, onde, aborda a questo da importncia do controle de acesso e estuda as suas aplicaes a esta instituio especfica e os componentes que se fazem necessrios para a sua implementao alm de buscar detectar as vulnerabilidade de sua infraestrutura de comunicao atual proporcionadas por pequenas brechas operacionais que por ventura possam existir. Para atingir o objetivo proposto algumas tcnicas se fazem necessrias como uma pesquisa bibliogrfica para embasar o estudo terico do tema e os seus componentes envolvidos, entrevistas com os membros integrantes dos diversos nveis funcionais na instituio UNEB e uma anlise crtica voltada para as possveis solues encontradas identificando vantagens e desvantagens de suas implementaes.
25 2 Referencial Terico
O referencial terico rene todos os conceitos descritos ao longo do trabalho necessrios para uma melhor compreenso da temtica estudada proporcionando um embasamento acadmico que possa sedimentar as anlises crticas e solues sugeridas no trabalho. Dentre eles, pode-se citar um estudo sobre sistemas, polticas, normas, procedimentos e caractersticas da segurana da informao, formas de organizar e assegurar os fluxos de informaes, internos e externos, da organizao por meio do controle de acesso, que aborda desde suas caractersticas at as suas aplicaes nos mbitos fsicos e lgicos.
2.1 Sistemas de Informao
Diante do estudo da Teoria Geral de Sistemas (TGS) possvel observar que em uma organizao diversos elementos, sejam eles internos ou externos, necessitam interagir entre si para que juntos possam alcanar efetivamente os objetivos e as metas estabelecidas. Esse conjunto de elementos forma um sistema (NEGRI, 2007, p.1). Conforme Chiavenato (1983, p.515) Um sistema um conjunto de objetos unidos por alguma forma de interao ou interdependncia. Rezende (2005, p.20) coloca que um sistema em informtica, o conjunto de software, hardware e recursos humanos; componentes da tecnologia da informao e seus recursos integrados; empresa ou organizao e seus vrios subsistemas ou funes organizacionais. Tanto para a integrao e operao de subgrupos dentro de uma organizao, como para a elaborao de estratgias, tticas e operaes, assim como tambm para a anlise de ambientes nas quais ela est inserida,
26 observada a importncia da informao no contexto organizacional. Coadic (1996, p.5) a descreve da seguinte maneira A informao um conhecimento inscrito (gravado) sob a forma escrita (impressa ou numrica), oral ou audiovisual. Segundo Santos Jr., H. et al (2006, p.3), o termo Sistema de Informao pode ter trs diferentes perspectivas: descrever um sistema automatizado, descrever a rea do conhecimento encarregada do estudo de sistemas de informao, tecnologia da informao e suas relaes com as organizaes ou ainda para referir-se a um curso de graduao cujo enfoque o desenvolvimento e aplicao de Sistemas de Informao Computadorizados nas organizaes. Pode-se estudar os sistemas de informao por vrias perspectivas dentro das reas do conhecimento, como por exemplo, no curso de administrao existe a matria de OSM (Organizao, Sistema e Mtodo) e nos cursos de TI, Tecnologia da Informao, os quais envolvem o relacionamento entre homens e mquinas ou mquinas ligadas a redes internas e externas, entre outros, esse estudo conhecido como Governana de TI ou Gesto da Informao. Para entender um pouco melhor sobre os componentes de um sistema de informao voltados para a gesto de TI e descobrir em que nvel estratgico situa-se os problemas de segurana da informao relacionados com o controle de acesso, a seguir ser apresentada uma breve descrio da Governana de TI, seus componentes e a sua abrangncia.
2.2 Governana de TI
Diante de literatura diversificada e anlise sobre a oferta de curso de graduao no mercado de instituies de ensino pode-se verificar que o estudo dos fluxos de informaes, tcnicas e tratamentos efetuados recebe nomes como Tecnologia da Informao, Sistemas de Informao. E a gesto desses sistemas de informao recebe nomes como Governana de TI, Tecnologia da Informao Planejamento e Gesto, Gesto de Recursos de informao.
27 No mbito dessas administraes existem vrios modelos de melhores prticas para seguir, como por exemplo, os modelos COBIT 1 (do ingls Control Objectives for Information and related Technology), CMMI2 (do ingls Capability Maturity Model Integration), ITIL3 ( Information Technology Infrastructure Library), PMBOK4 ( Project Management Body of Knowledge ) e tambm normas elaboradas por rgos de competncia renomada como ISO - International Organization for Standardization, IEC- International Eletrotechnical Comission e ABNT Associao Brasileira de Normas Tcnicas. Abreu e Fernandes (2010, p.16) explicam que A Governana de TI compreende vrios mecanismos e componentes que, logicamente integrados, permitem o desdobramento da estratgia de TI at a operao dos produtos e servios correlatos. Ainda de acordo com Abreu e Fernandes, na arquitetura estabelecida para o gerenciamento da Gesto de TI existem quatro etapas bem definidas por onde so distribudos os seus diversos componentes e mecanismos, conforme consta no Quadro 1:
1 COBIT - Guia de boas prticas dirigido para a gesto de tecnologia da informao. 2 CMMI - um modelo de referncia que contm prticas necessrias maturidade de disciplinas como engenharia de sistemas e engenharia de software. 3 ITIL um modelo de referncia para gerenciamento de processos de tecnologia da informao. 4 PMBOK o conjunto de boas prticas em gesto de projetos publicado pelo Project Management Institute (PMI).
28 Quadro 1: Domnios e Componentes de Governana de TIDomnios e Componentes da Governana de TI Etapas Componentes e Mecanismos Alinhamento Estratgico Princpios de TI Necessidades de aplicaes Arquitetura de TI Infraestrutura de TI Objetivos de desempenho 1- Alinhamento estratgico e Compliance Capacidade de atendimento Estratgia de outsourcing Segurana da informao Competncias Processos e organizao Plano de TI 2- Deciso, compromisso, priorizao e alocao de recursos Mecanismos de deciso Portflio de TI Operaes de servios 3- Estrutura, processos, operao e gesto Relacionamentos com usurios Relacionamento com fornecedores 4- Medio do desempenho Gesto de desempenho de TI
Fonte: Fernandes e Abreu (2010, p.16)
2.3 Segurana da Informao
A Segurana da Informao, segundo Fernandes e Abreu (2010, p.16) um
29 dos componentes da Governana de TI que se situa na etapa de Alinhamento estratgico e Compliance. Segurana, conforme Bueno (2007, p.704) Condio do que est seguro;, e Ferreira (2004, p.730) afirma que o 1. Ato ou efeito de segurar(-se). 2. Estado, qualidade ou condio de seguro (1). Aprofundando este conceito, Ferreira ainda afirma que seguro estar 1. Livre de perigo ou de risco. ou seja, aquilo que est protegido, guardado, livre de qualquer risco. J a informao, abrange diversos critrios e conceitos de acordo com a definio descrita no item 2.1. sistemas de informao. Ela um recurso estratgico e essencial para todo os tipos de interna e externa, entre outros. Tendo em vista a sua importncia estratgica perante a organizao, a informao, tal qual um recurso fsico ou humano, tambm considerada como um recurso ativo, pois como a norma da ABNT (NBR ISO/IEC 17799 apud ISO/IEC 13335-1:2004) relata que ativo qualquer coisa que tenha valor para a organizao, no se pode classific-la de outra maneira a no ser esta. Para corroborar esse conceito a norma da ABNT (Associao Brasileira de Normas tcnicas) NBR ISO/IEC (17799: 2000), afirma que A informao um ativo que, como qualquer outro ativo importante para os negcios, tem um valor para a organizao e consequentemente necessita ser adequadamente protegida. Vista por esse ngulo, como um recurso ativo, necessrio definir o nvel de sua importncia e resguardar o seu acesso a apenas pessoas autorizadas de acordo com o perfil identificado. Como um conceito relativo, a sua importncia varia de acordo com o tipo de atuao da organizao, o grau de importncia que os membros da organizao atribuem a ela, etc. A norma da ABNT NBR ISO/IEC (17799:2000) delimita esse componente da Governana de TI afirmando que A segurana da informao protege a informao de diversos tipos de ameaas para garantir a continuidade dos negcios, minimizar os danos aos negcios e maximizar o retorno dos investimentos e as oportunidades de negcios. organizaes. por seu meio que se torna possvel realizar o desenvolvimento de estudos, planejamentos, comunicao
30 Ainda conforme a norma da ABNT NBR ISO/IEC (17799:2000)[] Segurana da informao obtida a partir da implementao de uma srie de controles, que podem ser polticas, prticas, procedimentos, estruturas organizacionais e funes de software. Esses controles precisam ser estabelecidos para garantir que os objetivos de segurana especficos da organizao sejam atendidos.
Dentro da vasta abrangncia da segurana da informao , pode-se delimitar segurana fsica e segurana lgica. A fsica pode ir desde o armazenamento das informaes em documentos ou at delimitar o acesso fsico a locais onde ela se concentra como bibliotecas, laboratrios entre outros. A proteo lgica das informaes so aquelas armazenadas em computadores a comear da prpria mquina ou at da rede que por ventura ela possa estar compartilhando, seja ela cabeada ou de propagao via area. Quando se trata de resguardar logicamente uma mquina, Stallings (2008, p.3) afirma que O nome genrico para o conjunto de ferramentas projetadas para proteger dados e impedir hackers segurana do computador. J quando se trata de proteger uma rede compartilhada de informaes por sistemas computacionais esse tipo de proteo conhecida como segurana de rede, mas como Stallings (2008, p.3) critica,[] Na verdade, o termo segurana de rede , de certa forma, incorreto, pois praticamente todas as empresas, governo e organizaes acadmicas interconectam seus equipamentos de processamento de dados com um conjunto de redes interconectadas. Esse conjunto normalmente conhecido como inter-rede, utilizando-se o termo segurana de inter-rede.
Mesmo concordando com a lgica de Stallings, mas, por se tratar de um termo j amplamente reconhecido e divulgado no ambiente de TI 5, no decorrer do trabalho para referenciar o ambiente de proteo da rede de computadores ser usado o termo segurana de rede.
5 TI Tecnologia da Informao conjunto de todas as atividades e solues providas por recursos de computao.
31 2.3.1 Caractersticas da Segurana da informao
Proporcionar a segurana da informao para uma organizao uma tarefa complexa j que cada empresa encara a informao sob uma tica diferente. Portanto, necessrio estudar algumas caractersticas que ajudam a compreender melhor os seus servios, e a sua importncia dentro da organizao, identificando dessa maneira quais so os recursos vulnerveis que devem ser protegidos. Uma frase de Tanenbaum (2010, p.381), O esforo de segurana e proteo depende claramente de quem se imagina que seja o inimigo. traduz perfeitamente este pensamento. Algumas caractersticas da informao e suas ameaas esto descritas no Quadro 2 abaixo conforme a descrio de Tanenbaum ( 2010, p.380)
Quadro 2: Segurana - metas e ameaasMeta Confidencialidade de dados Integridade de dados Disponibilidade do sistema Excluso de invasores Privacidade Exposio de dados Manipulao de dados Recusa de servios Controle do sistema por vrus Revelar a identidade do remetente Ameaa
Fonte: Tanenbaum (2009, p.380)
O objetivo da confidencialidade, segundo Tanenbaum (2009, p.380), manter os dados em segredo, somente o seu proprietrio tem o poder de decidir quem ir ter a permisso de acesso a essas informaes. Stallings (2008, p.10) corrobora a questo quando afirma que
Confidencialidade a proteo dos dados transmitidos contra ataques passivos. J na integridade de dados, os usurios no autorizados devem ser impedidos de incluir, excluir ou modificar dados falsos ou verdadeiros dentro de um sistema, sem a permisso do proprietrio.
32 Tanenbaum (2010, p.380) confirma o conceito quando afirma que a integridade de dados, significa que os usurios no autorizados no devem ser capazes de modificar qualquer dado sem a permisso do proprietrio. A disponibilidade do sistema como o prprio nome j diz, a oferta dos servios de informao para o uso compartilhado e o seu maior problema quando por algum motivo existe a recusa de servio, por exemplo, quando no se consegue acessar os servios da rede (TANENBAUM, 2010, P.380). Quanto a este conceito Tanenbaum (2010, p.380) afirma que a
disponibilidade do sistema significa que ningum pode perturbar o sistema para deix-lo inutilizvel. A privacidade segundo Tanenbaum (2009, p.381) a proteo de indivduos contra o mau uso de informaes sobre eles., ou seja a habilidade de um remetente em se manter annimo. A irretratabilidade referente a questo da autenticidade, quanto no se pode negar a autoria sobre o envio ou a recepo da mensagem. Stallings (2008, p.10) afirma que A irretratabilidade impede que o emissor ou receptor negue uma mensagem transmitida. Outro importante elemento do fluxo da informao a ser determinado em uma organizao o seu controle, quem o responsvel por ela e quem tem a autorizao para acess-la e manipul-la. Comer (2009, p.548) divide esse elemento em dois aspectos Responsabilidade: Se refere a como uma trilha de auditoria mantida: que grupo responsvel por cada item de dados? Como o grupo mantm registros de acesso e mudana? Autorizao: Se refere responsabilidade sobre cada item de informaes e como tal responsabilidade delegada a outros: quem o responsvel por onde as informaes residem e como uma pessoa responsvel aprova acessos e mudanas?
Como cada organizao tem um foco de negcio diferente, deve ser analisada a real necessidade de qual das caractersticas citadas acima so prioridades e quais podem ter um certo nvel de aceitao na sua ocorrncia. Para isso devem ser avaliados os riscos que a ocorrncia ou falta de cada uma possam causar e registr-los nas politicas de segurana que por sua vez devem estar
33 inseridas dentro das polticas organizacionais macro de cada instituio.
2.3.1.1 Avaliao e Gerenciamento de Riscos
Risco segundo Ferreira (2004, p.711) Perigo ou possibilidade de perigo. e a anlise dele o potencial das consequncias prejudiciais que podem acontecer no caso da concretizao desse acontecimento. A norma tcnica NBR ISO/IEC (17799:2005) afirma que as
anlises/avaliaes de riscos identifiquem, quantifiquem e priorizem os riscos com base em critrios para aceitao dos riscos e dos objetivos relevantes para a organizao. De posse deste conhecimento, sobre as vulnerabilidades ou perigos que possam afetar a organizao de forma negativa, deve ser feito um gerenciamento sobre os possveis riscos para que aes pr-ativas com relao aos mesmos sejam tomadas de forma a eliminar ou minimizar a ocorrncia dos mesmos. Com relao a este aspecto de gerenciamento, a norma NBR ISO/IEC (17799:2005) Convm que os resultados orientem e determinem as aes de gesto apropriadas e as prioridades para o gerenciamento dos riscos de segurana da informao, e para a implementao dos controles selecionados, de maneira a proteger contra estes riscos. Serpa (2009, p.12) afirma que o gerenciamento de riscos Processo de assessoria que visa garantir a continuidade de um negcio, atividade ou projeto, baseado na maximizao de sua utilidade e na minimizao da probabilidade de ocorrncia de eventos indesejados e da magnitude de seus efeitos. A anlise e avaliao de riscos deve ser registrada em forma de um documento conhecido por Anlise de Risco que dever contar no registro das polticas de segurana da empresa. Ser por meio deste documentos que o gerenciamento de risco poder se tornar efetivo usando-o como base no direcionamento da segurana a ser implantada ou controlada.
34 2.4 Poltica de Segurana
A poltica de segurana da informao para a Governana de TI como descreve Abreu e Fernandes (2010, p.358) deve abranger Documento da poltica de segurana da informao e Anlise crtica da poltica de segurana da informao. Cada organizao interpreta de maneira diferente quais recursos devem ser resguardados, Comer (2009, p.547) confirma que cada organizao define o nvel de acesso que permitido ou negado, esse nvel de permisso existe em funo da atividade fim da empresa, das metas estabelecidas no plano estratgico onde consta as polticas organizacionais definidas, o tipo de informao que circula organizao e as prioridades na proteo aos seus recursos. Em vista desse enfoque necessrio desenvolver polticas organizacionais para que sejam estabelecidas as bases por onde possa ser implantada a segurana da informao. Abreu e Fernandes (2010, p. 358) abordam a organizao da segurana da informao seguindo os seguintes parmetros: a necessidade do comprometimento da direo com a segurana da informao, o gerenciamento da segurana da informao como a atribuio de responsabilidades, o processo de autorizao para os recursos de processamento da informao, os acordos de confidencialidade, o contato com autoridades e grupos especiais, a anlise crtica constante da segurana da informao tanto para a identificao dos riscos relacionados com o ambiente externo, como na definio de regras de segurana ao tratar com clientes e acordos com terceiros. Analisando esta abordagem abstrai-se que a poltica de segurana de informao para ter efetividade em seus objetivos deve envolver todos os stakeholders6, desde os internos como o caso de funcionrios at os externos como fornecedores e parceiros. Alm das pessoas que integram a organizao segurana da informao6 Stakeholder (parte interessada ou interveniente): um termo usado em reas como administrao e arquitetura de software para identificar todas as partes (indivduos, organizaes) envolvidas em um determinado projeto.
pela
35 abrange desde a parte fsica da organizao como a proteo de onde se encontra a informao em prdios, salas ou equipamentos at a sua parte lgica que por onde circula a informao, entre as conexes das ligaes em equipamentos que compartilham algum tipo de comunicao. A poltica de segurana deve informar qual o aspecto que a organizao tem interesse em preservar. Analisando pelo ngulo da segurana de redes de comunicao, Comer (2009, p.547) afirma que[] Porque nenhuma definio absoluta de rede segura existe, o primeiro passo que uma organizao deve tomar para obter um sistema seguro definir a poltica de segurana da organizao. A poltica no especifica como obter proteo, mas declara claramente e de forma no ambgua os itens que devem ser protegidos.
2.4.1 Documento de Poltica de Segurana
A poltica deve envolver desde a viso estratgica da empresa at descrever a sua parte operacional traduzindo, de acordo com os seus objetivos, como devem ser as regras e os procedimentos a serem seguidos. Geus e Nakamura (2004, p.175) afirmam que[] A poltica o elemento que orienta as aes e as implementaes futuras, de uma maneira global, enquanto as normas abordam os detalhes, como os passos da implementao, os conceitos e os projetos de sistemas e controles. Os procedimentos so utilizados para que os usurios possam cumprir aquilo que foi definido na poltica e os administradores de sistema possam configurar os sistemas de acordo com a necessidade da organizao.
O documento pelo qual uma organizao elabora a importncia dos recursos a serem protegidos pela organizao chamado de Documento de Poltica de Segurana e por meio dele que estar registrado os nveis de importncia dado a cada recurso. A norma NBR ISO/IEC 17799 (2001, p.6) diz que[] O documento da poltica de segurana da informao (ver 3.1) estabelece a poltica e as responsabilidades pela segurana da informao. Convm que a sua implementao seja analisada criticamente, de forma independente, para fornecer garantia de que as prticas da organizao refletem apropriadamente a poltica, e que esta adequada e eficiente.
36 Para que o documento possua eficcia dentro da poltica de segurana da informao necessrio a divulgao e a capacitao do seu contedo a todas as pessoas envolvidas na organizao de forma a estarem cientes dos limites e padres de segurana estabelecidos. Nesta Poltica de segurana devem constar documentos como : Requisitos de segurana; Requisitos de aplicao do negcio; Requisitos de acesso; Atributos de segurana nos servios; Poltica de controle de acesso do negcio; Avaliao de riscos; Poltica de utilizao de servios de rede; Regras do negcio;
2.4.2 Inventrio dos Ativos de informao
Este documento identifica os ativos da organizao e designa as responsabilidades correspondentes a eles. Ele diferencia os tipos de informao que pode existir em uma organizao e as classifica de acordo com o grau de criticidade estipulando uma hierarquia de segurana na qual podem ser implementadas medidas de proteo. Alguns exemplos de ativos associados com sistema de informao so citados na 5 citao da norma NBR ISO/IEC (17799:2001)a) ativos de informao: base de dados e arquivos, documentao de sistema, manuais de usurio, material de usurio, material de treinamento, procedimentos de suporte ou operao, planos de continuidade, procedimentos de recuperao, informaes armazenadas; b) ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitrios;
37c) ativos fsicos: equipamentos computacionais (processadores, monitores, laptops, modems), equipamentos de comunicao (roteadores, PABXs, fax, secretrias eletrnicas), mdia magntica (fitas e discos), outros equipamentos tcnicos (no-breaks, ar-condicionado), moblia, acomodaes; d) servios: computao e servios de comunicao, utilidades gerais, por exemplo, aquecimento, iluminao, eletricidade, refrigerao.
Como cada organizao nica e possui caractersticas prprias, os ativos de informao devem ser identificados conforme a sua regra de negcios, as suas peculiaridades e interesses referentes a sua atividade fim.
2.5 Segurana fsica e do ambiente
A segurana fsica e do ambiente tem o objetivo de resguardar as instalaes e os equipamentos fsicos do acesso de pessoas no autorizadas que possam provocar dano, modificao de informaes ou at mesmo afetar a disponibilidade dos servios ofertados. Dentro da poltica de segurana da organizao deve constar um documento chamado de avaliao de risco que descreve o estudo de locais fsicos ou recursos fsicos que possam ser de alguma forma vulnerveis e se expostos vir a causar prejuzo de qualquer ordem para a instituio. Esses ambientes devem ser protegidos delimitando ento, as chamadas reas de segurana. A respeito deste tema a norma da ABNT NBR ISO/IEC 17799 (2001, p.13) afirma que[] Convm que os recursos e instalaes de processamento de informaes crticas ou sensveis do negcio sejam mantidos em reas seguras, protegidas por um permetro de segurana definido, com barreiras de segurana apropriadas e controle de acesso. Convm que estas reas sejam fisicamente protegidas de acesso no autorizado, dano ou interferncia.
O permetro de segurana fsica determinado pela instalao de barreiras fsicas que possuam algum tipo de controle no acesso, pode-se exemplificar as cancelas, catracas, paredes, portas que possuam algum tipo de controle de entrada ou sada, como livros de registros manuais, cartes de acesso , biometria, etc. Esse tipo de controle deve ser estabelecido de forma a proteger as reas de
38 segurana e garantir que apenas pessoas autorizadas tenham o seu ingresso autorizado. Deve existir normas na poltica de segurana que descrevam os limites e padres relativos as reas de segurana, regulamentando os procedimentos a serem tomados com relao aos visitantes, a forma de seu registro, nveis de permisso e de acesso, com relao aos funcionrios, os controles de autenticao, a identificao de cada perfil, tambm com relao aos prestadores de servios e terceirizados e outros que por ventura forem identificados. Outro procedimento que deve ser tomado garantir a segurana dos equipamentos desde a sua instalao at a sua manuteno analisando-se os riscos de indesejadas interceptaes. Esses controles fsicos podem trabalhar associados a controles lgicos de maneira a proporcionar maior efetividade e interoperacionalidade na proteo dos diversos recursos ativos da organizao.
2.6 Controle de Acesso
O Controle de Acesso um conjunto de elementos ou processos associados que tem o objetivo de controlar o acesso da informao. Ele identifica e reconhece o requerente, autoriza a sua entrada, concede e bloqueia permisses de admisso conforme as polticas de autorizao e regras do negcio estipuladas. Ele tem a funo de proporcionar segurana ao sistema assegurando que somente pessoas autorizadas possam transpor as suas barreiras (ABNT NBR ISO/IEC 17799:2001). De acordo com o cdigo de prtica para a gesto da informao ABNT NBR ISO/IEC (17799:2001), existe um conjunto de fatores que devem ser estudados, implementados e mantidos para que um controle de acesso seja seguro e confivel. Dentre estes fatores pode-se citar: a definio das regras do negcio da organizao, as suas polticas de segurana onde devem estar contidas a poltica de controle de acesso, o gerenciamento de acessos do usurio, as definies de
39 responsabilidades dos usurios, o controle de acesso rede, s aplicaes, computao mvel e ao trabalho remoto, alm da monitorao do uso e acesso ao sistema.
2.6.1 Poltica de Controle de Acesso
As regras de Controle de Acesso devem estar descritas em um documento chamado de Poltica de controle de acesso que desenvolvida por cada organizao de acordo com uma anlise crtica de suas caractersticas, sua poltica de segurana e as regras do prprio negcio no qual ela est inserida. Conforme a norma da ABNT NBR ISO/IEC 17799 (2001, p.28) Convm que as regras de controle de acesso e direitos para cada usurio ou grupo de usurios estejam claramente estabelecidas no documento da poltica de controle de acesso. Para a elaborao deste documento devem ser avaliados e descritos critrios como requisitos de segurana, polticas para os fluxos de distribuio da informao, seus perfis de permisso e interoperabilidade com outros sistemas existentes na organizao. Tambm devem estar definidas nesta poltica as regras delimitando os nveis de autoridade, os papis e seus limites de atuao, a abrangncia dos recursos envolvidos e a frequncia com a qual eles devem ser controlados, as excees e concesses de privilgios, a frequncia da anlise crtica destes.
2.6.2 Controle de Acesso para o Usurio
Em um sistema de informao, usurios so os agentes externos ao sistema que por alguma necessidade de operao deve interagir com ele. Dentre as pessoas classificadas como tal, pode-se citar dentre outros, pessoas comuns,
40 administradores, programadores e analistas de sistemas. O controle de acesso do usurio ao sistema segmentado em duas reas, a primeira relativa a parte administrativa do gerenciamento de acessos do usurio e a segunda referente as responsabilidades do prprio usurio em relao a este acesso.
2.6.2.1 Gerenciamento de usurios
No conjunto de atividades referentes ao gerenciamento de usurios devem existir os seguintes processos: registro de usurios, gerenciamento de privilgios, gerenciamento de senhas de usurios e anlise crtica dos direitos de acesso do usurio. O processo de registro de usurios tem o objetivo de cadastrar e cancelar aqueles que tero alguma participao no sistema, fornecendo a estes um identificador pessoal nico (ID), a autorizao para o ingresso ao sistema, a classificao com o nvel de acesso permitido, a informao dos direitos deste usurio e o feedback do usurio confirmando o seu entendimento com relao ao uso e proteo do sistema. Neste processo importante criar, manter e atualizar, com uma frequncia definida, uma lista inserida na poltica de acesso, de todos os usurios autorizados a utilizar o sistema informando tanto as concesses como as negaes de servios, como tambm, atravs de sua anlise eliminar as redundncia encontradas neste sistema. Como a maior vulnerabilidade de sistemas decorrente de concesses de privilgios inadequadas, o processo de gerenciamento de privilgios deve assegurar que a concesso e o uso destes devam ser delimitados e controlados. Outro processo muito importante dentro deste conjunto de atividades o gerenciamento de senhas dos usurios. A norma da ABNT NBR ISO/IEC (17799: 2001) define Senhas so um meio comum de validao da identidade do usurio
41 para obteno de acesso a um sistema de informao ou servio. Portanto, elas devem ser fornecidas dentro de determinados parmetros de concesso estabelecidos organizao e os seus portadores devem se comprometer em mantlas dentro dos critrios de segurana, confidencialidade e uso acordados. Por fim, em intervalos regulares deve ser feita pelo gestor uma anlise crtica a respeito dos direitos de acessos e dos privilgios concedidos aos usurios mantendo o controle de acesso sempre atualizado em conformidade com as necessidades e mudanas que por ventura ocorram dentro da estrutura da organizao.
2.6.2.2 Responsabilidades do usurio
Para que o controle de acesso seja confivel, ntegro e eficaz necessrio que os usurios estejam envolvidos no processo de proteo aos recursos sendo informados a tomar precaues durante a manipulao no uso das senhas concedidas e dos equipamentos que porventura utilizarem. As regras devem ser estipuladas e acordadas formalmente por meio de documentos que informem e registrem o conhecimento das boas prticas de segurana no mbito destas questes. Devem existir regras, nas polticas de segurana, que prevejam os tipos de procedimentos e punies a serem tomados no mau uso e no cumprimento das boas prticas em questo.
2.6.3 Controle de acesso na Rede
O objetivo de uma rede de computador compartilhar os seus diversos recursos entre os vrios computadores e perifricos interligados por um enlace em comum. Como explica Mendes (2007, p.17) Redes de computadores estabelecem a forma-padro de interligar computadores para o compartilhamento de recursos fsicos ou lgicos. Esses recursos podem ser definidos como unidades de CD-ROM,
42 diretrios do disco rgido, impressoras, scanners, placas de fax modem estre outros. Os servios de rede internos e externos devem ser controlados para que possam ser protegidos de usurios mal intencionados ou de ataques maliciosos e no comprometer a segurana de todo o sistema lgico de informaes da organizao. Este controle conforme a norma da ABNT NBR ISO/IEC 17799 (2001, p.30) deve assegurara) uso de interfaces apropriadas entre a rede da organizao e as redes de outras organizaes ou redes pblicas; b) uso de mecanismos de autenticao apropriados para usurios e equipamentos; c) controle de acesso dos usurios aos servios de informao.
Inserida na poltica de segurana deve existir uma poltica de utilizao dos servios de rede especificando a concesso de acesso e a amplitude da insero nos servios que cada usurio da rede tem permisso de trafegar. Para maior segurana devem ser usados controles como rotas de rede obrigatrias, autenticaes tanto de usurios como dos ns de computadores em seus acessos externos e remotos, proteo de portas de diagnstico remotas. Outro controle importante a segregao das redes internas em domnios lgicos diferenciados, possibilitando a implementao de filtros e mecanismos como firewalls, proxies e as suas regras de controle, entre as redes internas e externas, protegendo o acesso a elas e mantendo o controle de suas conexes de servios e/ou suas permisses.
2.6.4 Controle de acesso s Aplicaes
O controle de acesso s aplicaes deve restringir o acesso lgico de softwares e informaes apenas pessoas autorizadas. Para que tal controle seja efetivo, a norma da ABNT NBR ISO/IEC 17799 (2001, p.35) afirma que[] Convm que os usurios dos sistemas de aplicao, incluindo o pessoal de suporte, sejam providos de acesso informao e s funes dos
43sistemas de aplicao de acordo com uma poltica de controle de acesso definida, baseada nos requisitos das aplicaes individuais do negcio e consistente com a poltica de acesso informao organizacional.
2.6.5 Gerenciamento no uso e acesso do sistema
Esse gerenciamento e monitoramento do uso e acesso ao sistema necessrio para detectar as divergncias entre a poltica de controle de acesso e os registros monitorados fornecendo provas documentais dos eventos ocorridos e possibilidade de investigao e averiguao nos casos de problemas de segurana detectados. Para este gerenciamento de acesso, so usados procedimentos como registro de eventos de acesso tambm conhecido como log7 de dados, onde se identifica o acesso do usurio, as datas e horrios de entrada e sada no sistema, identidade e localizao do terminal, registro das rejeies e permisses nas tentativas de acesso do sistema. A monitorao do sistema determinada por meio do estudo de avaliao de riscos que indica as reas que devem ser gerenciadas e os usurios autorizados a executar os servios nelas. Esse monitoramento de reas deve incluir os acessos autorizados, todas as operaes privilegiadas, as tentativas de acesso no autorizado, os alertas e falhas do sistema. Tambm deve existir uma avaliao crtica peridica do resultado do monitoramento do sistema analisando os registros, identificando possveis fatores de risco e compreendendo as ameaas que possam acarretar perigo ao sistema.
2.6.7 Controles de acesso para computao mvel
Em conformidade com a afirmao de Morimoto (2010, p.232) em uma rede7 Log de dados uma expresso utilizada para descrever o processo de registro de eventos relevantes num sistema computacional.
44 wireless o meio de transmisso (o ar) compartilhado por todos os clientes conectados ao ponto de acesso, como se todos estivessem ligados ao mesmo cabo coaxial. A computao mvel utiliza recursos de uma rede que propaga o sinal por via area, e por ter essa caracterstica de compartilhar a mesma transmisso com todos os clientes conectados ao mesmo ponto de acesso, como um hub, sempre enviando broadcast a todos, torna-se muito vulnervel a ataques maliciosos, necessitando de polticas de segurana que a protejam. Como sugere a norma tcnica da ABNT NBR ISO/IEC 17799 (2001, p.37) convm que tais polticas incluam os requisitos para proteo fsica, controles de acesso, tcnicas criptogrficas, cpias de segurana e proteo contra vrus.
2.7 Tipos de Controle de Acesso
Conforme Ramos et al (2007, p.92)[] Quase todas as tecnologias de controle de acesso dependem de um elemento bsico para que possam funcionar de maneira adequada: utilizar mecanismos que permitam aos usurios informarem aos sistemas quem eles so, alm de mtodos para provar que eles realmente so o que dizem ser.
Com relao aos conceitos de identificao e autorizao existe muita confuso, portanto ser descrito em separado cada um deles de forma a esclareclos melhor.
2.7.1 Identificao
A identificao apresenta a pessoa ou usurio ao sistema. feito um cadastro com a documentao ou tipo de controle exigido pela organizao para tal e por meio dela o usurio prova quem ele . Ramos et al (2007, p.92) conceitua que
45[] A identificao o processo atravs do qual o usurio (ou processo, componente etc.) diz ao sistema quem ele , normalmente utilizando um elemento nico que permita ao sistema diferenciar os usurios entre si. Esse elemento nico permite tambm responsabilizar os usurios, de forma individual, por suas aes dentro do sistema, j que os registros das atividades podem ser gerados usando esses identificadores.
A partir desse conjunto de informaes que o sistema adquire a respeito do sujeito ou usurio que se torna possvel classific-lo e reconhec-lo dentro de determinados parmetros das polticas e funcionalidades da organizao . Os mtodos mais usados para a identificao conforme Ramos et al (2007, p.92) so: pelo nome do sujeito, por biometria, por cartes magnticos ou de aproximao e crachs.
2.7.1.1 Gerncia de identidades
Com o aumento do nmero e perfis de usurios e de sistemas a serem gerenciados em uma organizao, assim como o crescimento interno e externo das mesmas e as suas transaes globalizadas, surgiu a necessidade de criar sistemas automatizando as tecnologias de identificao e automatizao. Dentre essas tecnologias pode-se citar os servios de diretrio, SSO (Single Sign-on) e AMS (Account Management Systems) que sero explicadas respectivamente nos tpicos 2.7.2.3 e 2.7.2.4.
2.7.2 Servios de Diretrio
Conforme Ramos et al (2007, p.104) Os servios de diretrio so repositrios de informaes sobre diversos ativos, geralmente de TI, armazenadas de maneira centralizada com o propsito de permitir o seu compartilhamento. Eles podem armazenar e gerenciar diretrios de contas dos usurios, possibilitando alteraes no seu formato de armazenamento, para tal criando novos
46 campos nas tabelas onde ficam guardados os dados. A figura n 1 ilustra essa questo.
Figura 1: Servio de Diretrio Collaboration SuteFonte: Bertini C. e Servios de Informtica Ltda (2007)
Eles possuem dois elementos principais: a estrutura de armazenamento cujo padro atual o X.500 e o protocolo de acesso, cujo padro usado pelo mercado tem sido tanto o LDAP (Lightweight Directory Access Protocol) como o DAP (Directory Access Protocol). Na realidade, com a evoluo do servio de diretrio LDAP e do seu protocolo de acesso, assim como a interoperabilidade que este modelo apresenta por ser um padro aberto e estar baseado na pilha TCP/IP, no lugar do Modelo OSI, se tornando dessa forma mais leve, ele est substituindo tanto o padro X.500 de armazenamento como o protocolo DAP que foram pioneiros neste tipo de servio. Ramos et al (2007, p.105) afirma que possvel utilizar o protocolo SSL (Secure Sockets Layer) para encapsular a comunicao LDAP de maneira segura, garantindo a confidencialidade, integridade e autenticao da comunicao.
472.7.2.1 LDAP
Segundo Morimoto (2010, p.1)[] O LDAP (Lightweight Directory Access Protocol) um protocolo aberto para acesso a informaes armazenadas em um diretrio central. Os servidores LDAP permitem centralizar as informaes de autenticao da rede (usurio, senhas, diretrios de arquivos, permisses e assim por diante) em um servidor central, que pode ser acessado a partir de qualquer mquina da rede.
Chapman et al (2001, p.601) corrobora este conceito quando afirma que o LDAP: usado para manter bancos de dados de diretrios. Por exemplo, ele usado com frequncia para distribuir certificados de chaves pblicas, informaes de catlogos de endereos e informaes de autenticao de usurios. Morimoto (2005, p.1) ainda afirma que[] Este um protocolo de rede que roda sobre o TCP/IP que permite organizar os recursos de rede de forma hierrquica, como uma rvore de diretrio, onde temos primeiramente o diretrio raiz, em seguida a rede da empresa, o departamento e por fim o computador do funcionrio e os recursos de rede (arquivos, impressoras, etc.) compartilhados por ele. A rvore de diretrio pode ser criada de acordo com a necessidade.
Configurando o Linux, atravs do YaST2 8 a figura n2 mostra a tela para acessar informaes em um diretrio OpenLDAP9:
8 YaST2: um sistema de gerenciamento de pacotes baseado na instalao e configurao de ferramentas do openSUSE, programa de distribuio Linux. 9 OpenLDAP: um software livre de cdigo aberto que implementa o protocolo LDAP. Ele um servio de diretrio baseado no padro X.500.
48
Figura 2: Configurao do LDAPFonte: Morimoto (2008)
Alguns aspectos possibilitam resolver os problemas de distribuio pela rede, dentre eles pode-se citar: o desenho genrico com a definio orientada a objeto fundamentado em herana, a simplicidade do protocolo suportado por grande parte das linguagens de programao e sistemas operacionais, a arquitetura distribuda facilitando a comunicao remota elevando dessa maneira a disponibilidade da rede ao cliente, o padro aberto que permite a sua utilizao por qualquer desenvolvedor, companhia ou administrador, a sua internacionalizao onde utiliza o UTF-8 10, Unicode Transformation Format para armazenar e manipular strings em qualquer idioma, o suporte ao Ipv611 e ainda a incluso do Berkeleys Data Base12. Outro fator que auxilia essa distribuio dos diretrios pela rede o de segurana no qual o LDAP utiliza o triplo A, descrito no tpico 2.8.2.2 deste trabalho.10 UTF-8: 8-bit Unicode Transformation Format ou Formato de transformao bit: um tipo de codificao Unicode de comprimento varivel que est sendo lentamente adotado como padro entre algumas aplicaes como, por exemplo, e-mail e pginas web. 11 Ipv6: a verso mais atual do protocolo IPv4. A longo prazo, o IPv6 tem como objetivo substituir o IPv4, que s suporta cerca de 4 bilhes de endereos IP (Internet Protocol). 12 Berkleys Data Base: base de dados backend de alta performance transacional.
49 Para o acesso tem suporte ao protocolo TLS13, para a autenticao suporta a SASL 14 e na autorizao, controla todos os aspectos por meio de ACL 15s. Dentre os modelos LDAP pode-se citar, o Modelo de Informao (Information Model) que descreve a estrutura da informao armazenada, o Modelo de Nome (Naming Model) que descreve como as informaes so organizadas e identificadas, o Modelo Funcional (Funcional Model) que descreve quais operaes podem ser efetuadas sobre as informaes e o Modelo de segurana (Security Model) que descreve como a informao pode ser protegida contra acessos no autorizados. (BRANCO, 2004, p.10).
Figura 3: Modelos do servio de diretrio LDAP Fonte: Autores do trabalho (2011)
Pode-se citar como algumas de suas vantagens: o seu padro aberto, a otimizao para pesquisas de informao, a centralizao de todas as informaes o que possibilita a centralizao da administrao inserida pelo conceito de SSO (item 2.7.2.3), os seus mecanismos de segurana, a multiplataforma, a delegao de autoridade via ACLs inteiramente no servidor, e o seu suporte a aplicaes como, entre outros, servidores de dados, proxy, e-mail, impresso e domnio. Morimoto (2005, p.1) tambm coloca como vantagem, a facilidade de localizao das informaes e arquivos disponibilizados, e quanto a sua escalabilidade ele afirma O LDAP oferece uma grande escalabilidade. possvel13 TLS: Transport Layer Security , responsvel pela criptografia da comunicao entre cliente e servidor. 14 SASL: Simple Authentication And Security Layer, aceita que o cliente e servidor negociem um mtodo de autenticao. 15 ACL: Access Control List. Descrita no tpico 2.7.6.1.1 deste trabalho.
50 replicar servidores (para backup ou balanceamento de carga) e incluir novos servidores de uma forma hierrquica, interligando departamentos e filiais de uma grande multinacional por exemplo. Como desvantagens do LDAP, dentre outros, pode-se descrever que em alguns eventos ele no substitui as bases relacionais, dificilmente so feitas atualizaes, a falta de frequncia nas alteraes dos dados estticos, como senha e login armazenados, a falta de permisso de relacionamento entre dois atributos, a baixa performance para escrita, a difcil instalao pela necessidade do crescente acrscimos de pr-requisitos.
2.7.2.2 AD (Active Directory)
Segundo Gerhard (2006, p.2) O Active Directory o servio de diretrios para o ambiente Microsoft Windows capaz de gerenciar todos os seus ativos de maneira segura, centralizada/descentralizada (dependendo da estrutura organizacional de sua corporao). Alm de guardar vrios objetos em seu banco de dados, o AD (Active Directory) fornece vrios servios como: autenticao dos usurios, replicao do seu banco de dados, pesquisa dos objetos disponveis na rede, administrao centralizada da segurana entre outros servios. Esses recursos tornam a administrao do AD bem mais simples, sendo possvel administrar todos os recursos disponveis na rede de forma centralizada. O AD segue uma hierarquia com o uso de domnios, ou seja, diferentes domnios podem possuir diferentes administradores e diferentes polticas de segurana. A sua relao de herana facilita a localizao e integrao dos dados. Pode-se citar entre as suas caractersticas : o logon nico, a conta de usurio nica, o gerenciamento centralizado, a sua escalonabilidade. Algumas das suas vantagens so: o suporte LDAP nativo facilitando a sua integrao com produtos de terceiros, a sua integrao com os produtos Microsoft, o
51 seu gerenciamento centralizado ou descentralizado conforme com as necessidades de sua organizao, a sua maior capacidade de armazenamento de objetos, a integrao e dependncia do servio de DNS, a segurana em nvel de objetos com a extenso a delegao de direitos, a distribuio de softwares de forma centralizada (GERHARD 2006, p.3).
Figura 4: Active DirectoryFonte: Gerhard (2006)
Os servidores nos domnios baseados no AD, so divididos da seguinte maneira: O Controlador de Domnio (DC Domain Controller): o computador que tem o AD instalado, ou seja, um servidor que possui uma cpia da base de dados do AD. Em um mesmo domnio pode haver mais de um controlador de domnio e qualquer alterao feita em um DC replicada para todos os outros DCs. So os DCs que tem a responsabilidade de realizar a autenticao dos usurios em um domnio. O Servidor Membro (Member Server) um servidor que no possui uma cpia do AD, no entanto tem acesso aos objetos do AD, mas, no faz nenhuma
52 autenticao dos usurios.
2.7.2.3 SSO
![ZS POS MOBILE - Assistência Informática · 2020-05-21 · DO PAGAMENTO, EFETUE A SUA LIQUIDAÇÃO E IMPRESSÃO DO RECIBO. Painel be ao[do Contribuinte : Nome _ Morada C] Sujeitc](https://img.document.onl/doc/110x75/5f66d49077b66e448921abde/zs-pos-mobile-assistncia-inform-2020-05-21-do-pagamento-efetue-a-sua-liquidafo.jpg)
![Trabalho-Conclusão-2 [Final Pos Banca] · bem como dicas gerais referentes a todas as áreas. Este trabalho está estruturado da seguinte forma: No primeiro capítulo é abordada](https://img.document.onl/doc/110x75/5e1f64f11c85ee7d1613b5d7/trabalho-concluso-2-final-pos-banca-bem-como-dicas-gerais-referentes-a-todas.jpg)
![343o: Artigo Engenharia de Software 23 - Scrum na …paginapessoal.utfpr.edu.br/frufrek/pos-web/p/arquivos/ScrumnaMel... · [versão para impressão] Artigo Engenharia de Software](https://img.document.onl/doc/110x75/5b9faf4f09d3f2857a8b7f98/343o-artigo-engenharia-de-software-23-scrum-na-versao-para-impressao.jpg)
