-FAHESAFACULDADE DE CINCIAS HUMANAS, ECONMICAS E DA SADE DE ARAGUANA.

ITPAC INSTITUTO TOCANTINENSE PRESIDENTE ANTNIO CARLOS CURSO DE SISTEMAS DE INFORMAO

PROPOSTA DE PROTEO DE PERMETRO EM CONFORMIDADE COM OS PADRES ABNT NBR ISO/IEC 27002:2005

MANOEL ARRAIS BEZERRA FILHO

ARAGUANA/TO DEZEMBRO/2010

MANOEL ARRAIS BEZERRA FILHO

PROPOSTA DE PROTEO DE PERMETRO EM CONFORMIDADE COM OS PADRES ABNT NBR ISO/IEC 27002:2005

TRABALHO APRESENTADO COMO REQUISITO PARA OBTENO DO GRAU DE BACHARELADO EM SISTEMAS DE INFORMAO DO ITPAC/FAHESA. Prof Orientador: Wanderson Rosado Borges

ARAGUANA/TO DEZEMBRO/2010

MANOEL ARRAIS BEZERRA FILHO PROPOSTA DE PROTEO DE PERMETRO EM CONFORMIDADE COM OS PADRES ABNT NBR ISO/IEC 27002:2005

TRABALHO DE CONCLUSO DE CURSO APRESENTADO AO ITPAC/FAHESA COMO REQUISITO PARCIAL PARA OBTENO DE GRAU DE BACHAREL EM SISTEMAS DE INFORMAO SUBMETIDO BANCA EXAMINADORA EM 13/12/2010.

BANCA

______________________________________________ PRESIDENTE (ESP. WANDERSON ROSADO BORGES)

______________________________________________ PROFESSOR ESP. EDIVAN RICARDO DE JESUS

______________________________________________ PROFESSOR ESP. LUCIVALDO GUIMARES LIMA

ARAGUANA/TO DEZEMBRO/2010

DEDICATRIAS

Dedico esse trabalho primeiramente aos meus pais por terem sido compreensivos e dedicados, por no ter medido esforos para a realizao de meus sonhos, e por sempre estarem presentes, me apoiando em todos os momentos da minha vida. Ao meu irmo e a todos os meus amigos por serem verdadeiros companheiros, sempre me motivando para a concluso de meus objetivos.

AGRADECIMENTOS

Agradeo a todos os meus colegas que de forma indireta ou direta contriburam com o meu sucesso acadmico e profissional, ao Luiz Vieira pela fora nas horas mais crticas, em especial ao Wellington Castro pela fora na reta final deste curso. Agradeo tambm a todo o quadro de professores do ITPAC, em especial ao meu orientador, Wanderson Rosado Borges.

Se vi mais longe que os outros, porque estava apoiado nos ombros de gigantes. Isaac Newton

RESUMO

Sabe-se que hoje em dia manter as informaes seguras uma tarefa rdua. Existem ferramentas via software e hardware que buscam estes objetivos, equilibrando segurana, riscos e flexibilidade. Este trabalho de monografia tem como objetivo apresentar uma proposta de melhoria na segurana para proteo de permetro de rede, que atenda os padres da norma ABNT NBR ISO/IEC 27002:2005. Esta proposta foi elaborada com base no estudo de caso realizado na empresa que, por motivo de segurana, recebe aqui o nome fictcio de TTLMA LTDA. A motivao para a elaborao desse trabalho nasceu pela necessidade de proteger os ativos da empresa, onde existem problemas que violam os princpios de segurana da informao. So sugeridas melhorias para atender a necessidade de segurana da empresa, colocando-a em conformidade com a norma ABNT NBR ISO/IEC 27002:2005, e com o desenvolvimento desta proposta, espera-se obter uma segurana maior no permetro da rede da empresa.

Palavras-chave: Segurana da Informao, Proteo de permetro, Barreiras de Proteo.

ABSTRACT

It is known that nowadays keep information secure is a daunting task. There are tools in software and hardware that seek these objectives, balancing safety, risk and flexibility. This thesis work aims to present a proposal to improve security for perimeter protection network that meets the standards of the standard ISO / IEC 27002:2005. This proposal was prepared based on case study conducted at the company that, for security reasons, given the fictitious name here TTLMA LTDA. The motivation for carrying out this study arose from the need to protect company assets, where there are problems that violate the principles of information security. Suggests improvements to meet the security needs of the company, placing it in accordance with standard ISO / IEC 27002:2005, and the development of this proposal, expected to get more security at the perimeter of the enterprise network.

Keywords: Information Security, Perimeter Protection, Protection Barriers.

LISTA DE ILUSTRAES

Figura 1 - Principais fontes de requisitos de segurana ............................................ 18 Figura 2 - Evoluo das normas tcnicas relacionadas Segurana da Informao ................................................................................................................ 21 Figura 3 - Modelo de sistema de firewall ................................................................... 23 Figura 4 - Modelo de funcionamento de sistemas IDS .............................................. 25 Figura 5 - Tcnicas de hardening, dosagem de fatores - Cenrio 1.......................... 28 Figura 6 - Tcnicas de hardening, dosagem de fatores - Cenrio 2.......................... 28 Figura 7 - Layout atual da rede da empresa TTLMA LTDA ....................................... 29 Figura 8 - Layout sugerido para a rede da empresa TTLMA LTDA........................... 31

LISTA DE TABELAS

Tabela 1 - Princpios da Segurana da Informao .................................................. 16 Tabela 2 - Tipos de registros de eventos (logs) quanto s categorias ...................... 27 Tabela 3 - Estado atual do permetro e soluo proposta ......................................... 37

LISTA DE ABREVIATURAS

ABNT - Associao Brasileira de Normas Tcnicas BSI - British Standard Institute DNS - Domain Name System DOS - Denial of Service FTP - File Transfer Protocol HIDS - Host Intrusion Detection System IDS - Intrusion Detection System IEC - International Electrotechnical Commission IP - Internet Protocol ISO - International Organization for Standardization NIDS - Network Intrusion Detection System PAM - Pluggable Authentication Modules RAM - Random Access Memory TCP - Transmission Control Protocol WI-FI - Wireless Fidelity

SUMRIO

1. INTRODUO ...................................................................................................... 13

2. REVISO DE LITERATURA ................................................................................ 15 2.1 Segurana da informao ................................................................................... 15 2.1.1 Princpios da segurana da informao .......................................................... 16 2.1.2 Importncia da segurana da informao ....................................................... 17 2.1.3 Requisitos de segurana da informao ......................................................... 18 2.1.4 Ponto de partida para a segurana da informao ......................................... 19 2.2 NBR ISO/IEC 27002:2005 .................................................................................. 20 2.3 Permetro de rede ............................................................................................... 22 2.4 Firewall................................................................................................................ 22 2.5 IDS (Intrusion Detection System) ........................................................................ 24 2.6 Registros de eventos .......................................................................................... 26 2.7 Hardening ........................................................................................................... 27

3. SOLUO PROPOSTA ....................................................................................... 29 3.1 Situao atual ..................................................................................................... 29 3.1.1 Layout atual do permetro da empresa TTLMA LTDA .................................... 29 3.2 Proposta de Melhoria de Permetro com base nos padres mencionados pela norma NBR ISO/IEC 27002:2005.............................................................................. 30 3.2.1 Layout Sugerido para empresa TTLMA LTDA ................................................ 31 3.2.2 Proposta de implementao de hardening para servidores ............................ 32 3.2.2.1 Remoo de programas desnecessrios ..................................................... 33 3.2.2.2 Segurana na montagem dos dispositivos ................................................... 33 3.2.2.3 Segurana no terminal.................................................................................. 33 3.2.2.4 Segurana no gerenciador de boot .............................................................. 34 3.2.2.5 Arquivos com permisso de Suid bit............................................................. 34 3.2.2.6 Utilizao do PAM (Pluggable Authentication Modules) ............................... 34 3.2.2.7 Registros de Eventos.................................................................................... 35 3.2.2.8 Sistemas IDS ................................................................................................ 35

4. AVALIAO ENTRE SITUAO ATUAL E SOLUO PROPOSTA ................ 37

5. CONSIDERAES FINAIS .................................................................................. 39 5.1 Trabalhos Futuros ............................................................................................... 39

6. REFERNCIAS BIBLIOGRFICAS ..................................................................... 40

13

1. INTRODUO

No contexto atual da tecnologia da informao, onde a Internet a principal ferramenta empresarial para a obteno de lucros, reduo de custos e gerao de competitividade, e o seu acesso est cada vez mais chegando a lugares remotos estando disposio dos mais diversos tipos de pessoas, proteger as informaes da empresa significa proteger a sobrevivncia da prpria empresa. Neste contexto, torna-se necessria para toda organizao criao de mecanismos para proteo das suas informaes de forma a vetar, ou pelo menos melhorar a proteo existente tornando quase impossveis os ataques que violem os princpios da segurana da informao onde segundo Kurose e Ross (2007) so definidos como: confidencialidade, integridade, disponibilidade. Este trabalho foi motivado pela necessidade de proteger os ativos da empresa que por motivo de segurana recebe o nome fictcio de TTLMA LTDA, onde at ento no se conhecia os riscos aos quais estava exposta, apresentando problemas de segurana que violam os princpios acima citados. Embora sistemas e tcnicas de segurana sejam aplicados em uma empresa, a no utilizao das devidas normas de segurana implica na perca da qualidade no processo de gerenciamento da informao e em maior exposio a riscos. A empresa TTLMA LTDA, que est h quase quatro anos no mercado atuando como provedor de rede WI-FI, possui uma estrutura de mdio porte, atendendo hoje em dia mais de 1.100 clientes. Sua estrutura fsica composta de vrios servidores, dentre eles podemos citar: servidor DNS, servidor de banco de dados, servidor de e-mail e servidor de aplicao. Estes servidores citados no possui nenhum sistema de defesa ou proteo de permetro. Diante do contexto apresentado possvel observar que a TTLMA LTDA apresenta falhas de segurana em seu permetro, o que a deixa vulnervel a ataques que podem violar os princpios da segurana acima descrito, fator este que na pior das hipteses pode ocasionar at mesmo a falncia da mesma. Este trabalho tem a misso de solucionar o problema da TTLMA LTDA, sugerindo a aplicao dos conceitos abordados na norma NBR ISO/IEC 27002:2005 em seu permetro de forma a garantir os princpios da segurana supracitados. importante lembrar que a soluo aqui proposta foi exclusivamente elaborada de

14

acordo com as necessidades da empresa em questo e que, embora o problema aqui apresentado ocorra nas mais variadas empresas dos mais diversos ramos de atividades, cada caso deve ser estudado exclusivamente pelo administrador de rede de forma a determinar se esta soluo resolve ou no o problema de segurana da empresa analisada.

15

2. REVISO DE LITERATURA

2.1 Segurana da informao

A informao um bem que, assim como qualquer outro bem importante, de essencial importncia para os negcios de uma organizao e

consequentemente deve ser protegida da forma adequada. Tal proteo se torna essencialmente importante no mundo dos negcios cada vez mais interconectado, o que faz com que a informao esteja exposta a um nmero abundante e crescente de ameaas e vulnerabilidades. O que de mais valioso existe para uma empresa ou pessoa comum so suas informaes. Estas devem estar disponveis apenas para pessoas ou integrantes de um grupo que possuem o direito de acesso sobre elas. Os analistas de segurana da informao tm a responsabilidade e a habilidade de proteger estas informaes contra fraudes, roubos ou vazamentos, atravs da elaborao de polticas de segurana, impedindo que os conceitos de confidencialidade, integridade e disponibilidade sejam violados. Tais conceitos so definidos como princpios da segurana da informao. Segurana da informao a proteo da informao de vrios tipos de ameaas para garantir a continuidade do negcio, minimizar o risco ao negcio, maximizar o retorno sobre os investimentos e as oportunidades de negcio. (NBR ISO/IEC 27002, 2005). O termo segurana da informao teve maior prospeco no mundo dos negcios, tendo em vista a importncia vital do uso de tal tcnica em qualquer ambiente corporativo. A segurana da informao obtida a partir da implementao de um conjunto de controles adequados aos quais incluem polticas, procedimentos, processos, funes de software e hardware e estruturas

organizacionais sempre visando que os princpios da segurana da informao estejam em vigor da forma apropriada evitando dessa forma ataques potencialmente perigosos de intrusos propcios da interconexo dos computadores.

16

2.1.1 Princpios da segurana da informao

Basicamente so trs os princpios que orientam a criao e implementao das polticas de segurana em relao s informaes, aos quais tambm direcionam todos os procedimentos necessrios para as empresas

operacionalizarem seus sistemas de forma correta. Tais princpios so definidos pelos conceitos de Confidencialidade, Integridade e Disponibilidade da informao, conforme pode ser observado na Tabela 1.

Tabela 1 - Princpios da Segurana da Informao Princpio Confidencialidade Funo Impor acessibilidade da informao somente s pessoas autorizadas, protegendo-a contra leitura e cpia indevidas. Integridade Impedir alteraes ou modificaes da informao, garantindo que seu contedo no seja corrompido nem adulterado. Disponibilidade Assegurar que os usurios autorizados tenham acesso informao sempre que requisitada, impedindo sua

degradao ou indisponibilidade. A confidencialidade da informao deve ser garantida de forma que somente remetente e destinatrio de uma informao sejam capazes de entender o contedo transmitido entre eles, impedindo em casos de interceptao da informao a leitura ou edio desta por alheios. O fato em que estranhos podem interceptar informaes, especialmente quando essas trafegam por interconexes, exige que tais informaes sejam cifradas atravs de mecanismos de criptografia, fazendo com que tais estranhos no consigam decifrar o seu contedo em casos de interceptaes, permitindo somente ao destinatrio e remente da informao a legibilidade dos dados. Deve ser garantida a integridade da informao de forma que o contedo da informao transmitida no seja alterado durante o trfego por m inteno, ou at mesmo por acidentes ocasionais. A informao deve ser protegida contra modificaes no autorizadas, garantindo que ela seja confivel, completa e exata. Alm do tratamento da confidencialidade e integridade da informao outro fator importante no contexto de segurana da informao relacionado

17

disponibilidade desta, sempre que seja requisitada por usurios autorizados. A enorme necessidade de segurana relacionada disponibilidade da informao ficou mais evidente nos ltimos anos devido ao surgimento de inmeros ataques conhecidos como Negao de Servio, ou DoS (Denial of Service) aos quais se fundamentam em tentar negar usurios legtimos o acesso servios ou informaes disponveis na rede, seja atravs da sobrecarga da rede, ou pela grande carga de requisies ocasionando congestionamento de dados, etc., fatores estes que impendem o uso dos servios de rede pelos usurios legtimos. Segundo Kurose e Ross (2007) A disponibilidade das informaes deve ser garantida atravs do uso de controles de acesso, fazendo com que entidades que procuram obter acesso aos servios possam faz-lo somente se tiverem os direitos de acesso apropriados, assim como tambm devem realizar seus acessos de uma maneira bem definida. Tais princpios que definem segurana da informao devem ser tratados com nfase, especialmente em ambientes organizacionais onde todo o contexto de segurana da informao de suma importncia para o funcionamento seguro dos processos corporativos.

2.1.2 Importncia da segurana da informao

Nos ltimos tempos a informao assume um papel de grande valia para uma organizao, se tornando um dos, seno o bem mais valioso para os negcios da corporao fazendo com que seja exigida a qualquer negcio a garantia da segurana da informao, se tornando esta uma atividade essencial para assegurar a competitividade, a lucratividade, o fluxo de caixa e at mesmo a imagem da organizao perante o mercado. A exposio das organizaes, seus sistemas de informao e redes de computadores provocados pelo uso da internet propiciam diversos tipos de ameaas segurana da informao, tais como espionagem, sabotagem, fraudes eletrnicas e outros danos causados pela utilizao de cdigos maliciosos, hackers, etc., aos quais devem ser tratados de forma a evitar que tal bem organizacional seja utilizado de forma inadequada. No exagero dizer que a segurana da informao assume uma vital importncia para a existncia de um negcio, tendo em vista o valor inestimvel que

18

a informao possui para qualquer corporao. A implementao da segurana da informao deve atender aos requisitos exigidos por cada ambiente organizacional, viabilizando a utilizao das tcnicas necessrias para assegurar a aplicao dos princpios de segurana da informao.

2.1.3 Requisitos de segurana da informao

Segundo NBR ISO/IEC 27002:2005 (2005), essencialmente importante para uma organizao definir quais sero os requisitos de segurana da informao empregados no ambiente organizacional, sendo que existem trs fontes principais de requisitos que auxiliam esse processo de definio, conforme pode ser observado na Figura 1.

Figura 1 - Principais fontes de requisitos de segurana

Uma fonte de requisitos pode ser obtida atravs da anlise/avaliao de riscos para a organizao, considerando-se os objetivos e as estratgias globais de negcio da organizao, e identificando as ameaas aos bens e as vulnerabilidades destes, realizando-se a partir disso uma estimativa da probabilidade de ocorrncia das ameaas e do impacto potencial ao negcio. Uma segunda fonte de requisitos seriam a legislao vigente, os estatutos, regulamentaes e clusulas contratuais as quais a organizao, e seus devidos parceiros comerciais so obrigados a atender.

19

A terceira fonte seria o desenvolvimento de um conjunto particular de princpios, objetivos e os requisitos do negcio para o processamento da informao, visando apoiar as operaes da organizao. A juno dos requisitos com as prticas normalmente usadas na segurana da informao do origem a certo nmero de controles aos quais so definidos como um ponto de partida para a implementao da segurana da informao.

2.1.4 Ponto de partida para a segurana da informao

Para a iniciao de um projeto de segurana da informao a utilizao de controles considerada uma boa forma de aplicao dos conceitos extrados aps o estabelecimento dos requisitos de segurana da informao. A norma NBR ISO/IEC 27002:2005 citam alguns controles considerados essenciais para uma organizao, que sob o ponto de vista legal, incluem, dependendo da legislao aplicvel, os seguintes termos: Proteo de dados e privacidade de informaes pessoais: convm que a privacidade e a proteo de dados sejam asseguradas conforme exigido nas legislaes, regulamentaes e, se aplicvel, nas clusulas contratuais pertinentes. Proteo de registros organizacionais: convm que registros importantes sejam protegidos contra perda, destruio e falsificao, de acordo com os requisitos regulamentares, estatutrios, contratuais e do negcio. Direitos de propriedade intelectual: convm que procedimentos apropriados sejam implementados para garantir a conformidade com os requisitos legislativos, regulamentares e contratuais no uso de material, em relao aos quais pode haver direitos de propriedade intelectual e sobre o uso de produtos de software proprietrios. Alm dos supracitados outros controles so considerados prticas para a segurana da informao segundo a norma NBR ISO/IEC 27002:2005: Documento da poltica de segurana da informao, ao qual aps desenvolvido deve ser aprovado pela direo da organizao, publicado e comunicado para todos os funcionrios e partes externas relevantes. Atribuio de responsabilidades para a segurana da informao, onde convm que todas estejam claramente definidas, e complementada, onde for

20

necessrio, com orientaes mais detalhadas para locais especficos e recursos de processamento de informaes. Conscientizao, educao e treinamento em segurana da informao, em que todos os funcionrios da organizao e, onde pertinente, fornecedores e terceiros recebam treinamento apropriados em conscientizao, e atualizaes regulares nas polticas e procedimentos organizacionais, relevantes para as suas funes. Processamento correto nas aplicaes, onde se objetiva em prevenir a ocorrncia de erros, perdas, modificao no autorizada ou mal uso de informaes em aplicaes. Gesto de vulnerabilidade tcnicas, onde necessrio que seja obtida informaes em tempo hbil sobre vulnerabilidades tcnicas dos sistemas de informao em uso, avaliada a exposio da organizao a estas vulnerabilidades e tomadas as medidas apropriadas para lidar com os riscos associados. Gesto da continuidade do negcio, que se objetiva em no permitir a interrupo das atividades do negcio e proteger os processos crticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hbil, se for o caso. Gesto de incidentes de segurana da informao e melhorias, ao qual assegura que um enfoque consistente e efetivo seja aplicado gesto de incidentes de segurana da informao. A implementao da segurana da informao em um ambiente corporativo determinada primordialmente a partir da anlise e avaliao dos riscos aos quais esta organizao est exposta, muito embora a norma NBR ISO/IEC 27002:2005 abordada nesse trabalho fornece uma gama de diretrizes e princpios de segurana da informao que devem ser levados em conta se tornando um essencial ponto de partida para qualquer planejamento relacionado segurana da informao.

2.2 NBR ISO/IEC 27002:2005

Devido necessidade de padronizao dos processos de gesto da segurana da informao, algumas metodologias e melhores prticas surgiram no decorrer dos anos e se tornaram mundialmente reconhecidas e amplamente

21

utilizadas nas reas de TI em todo mundo. Entre tais prticas utilizadas mundialmente, pode-se citar a norma NBR ISO/IEC 27002:2005. No ano de 1995 o instituto de desenvolvimento de normas tcnicas reconhecido mundialmente como BSI (British Standard Institute) publicou a norma BS 7799, que foi considerada o mais completo padro para o gerenciamento da Segurana da Informao em todo mundo. A partir do ano 2000 a organizao ISO, a qual considerada a organizao que congrega as padronizaes em diversos pases, adotou uma parte da norma BS 7799 oficializando-a com o nome de ISO/IEC 17799. Em agosto a norma ISO/IEC 17799 adotada como padro no Brasil, por meio da ABNT (Associao Brasileira de Normas Tcnicas), a qual definiu-a com o nome de NBR ISO/IEC 17799 que na realidade era uma traduo literal da norma ISO, sendo que a norma ISO totalmente idntica norma BS 7799. Enfim tal evoluo das normas relacionadas segurana da informao teve outro ponto crucial no ano de 2005, onde foi publicada uma segunda verso da ISO/IEC 17799 no Brasil sob o nome de NBR ISO/IEC 17799 a qual abordava com maior nfase o tratamento e o gerenciamento de riscos, assim como a gesto de incidentes de segurana. A partir de ento a ISO criou a srie 27000 de normas tcnicas, sendo a NBR ISO/IEC 27001:2006 uma reviso e aprimoramento da norma BS 7799-2. Posteriormente a norma adotada no Brasil NBR ISO/IEC 17799 sofre uma alterao de nome para entrar em conformidade com a nova srie criada pela ISO, sendo renomeada para NBR ISO/IEC 27002:2005. Todo esse progresso pode ser melhor observado na Figura 2 deste trabalho.

Figura 2 - Evoluo das normas tcnicas relacionadas Segurana da Informao. Fonte: Ferreira e Arajo (2008)

22

Conforme Ferreira e Arajo (2008) a norma NBR ISO/IEC 27002:2005 se objetiva em estabelecer diretrizes e princpios gerais utilizados para iniciao, implementao, mantimento e melhoria do processo de gesto de segurana da informao em uma organizao. Tais diretrizes so utilizadas como um guia prtico para o desenvolvimento dos procedimentos de segurana da informao e devem ser implementadas com a finalidade de atender os requisitos identificados por meio da anlise/avaliao dos riscos aos quais esto expostos o permetro de rede da organizao.

2.3 Permetro de rede

Pinheiro (2004) afirma que o Permetro de rede um segmento de rede isolado no ponto em que uma rede corporativa alcana a Internet. O permetro uma rea demarcada por recursos fsicos e/ou lgicos, e tem como objetivo impedir acesso no autorizado e manter a integridade das informaes da organizao. Para conseguir um ambiente seguro, devem-se levar em considerao, tanto aspectos comportamentais e culturais das pessoas, polticas, normas e

procedimentos internos, quanto caractersticas fsicas do local, sem se esquecer de agentes externos ao permetro. indispensvel para qualquer organizao a adoo de polticas e ferramentas necessrias proteo de seu permetro, envolvendo, por exemplo a implementao de sistemas de Firewalls, IDS (Intrusion Detection System), registros de eventos, Hardening, etc.

2.4 Firewall

Segundo Filho (2009) firewall um dispositivo de segurana que tem como objetivo filtrar o que ou no permitido ser acessado de dentro da sua rede ou para dentro da sua rede, trabalhando como uma barreira que impe limites e controla todo o trfego de dados entre um ou mais computadores e uma rede externa, onde essa rede externa pode ser a internet, ou at mesmo outra estrutura de rede vizinha.
Os firewalls so apenas uma adaptao moderna de uma antiga forma de segurana medieval: cavar um fosso profundo em torno do castelo. Esse recurso forava todos aqueles que quisessem entrar ou sair do castelo a passar por uma nica ponte levadia, onde poderiam ser revistados por guardas. (TANENBAUM, 2003).

23

A analogia feita pelo autor supracitado explica a funo principal de um firewall, que a de restringir fluxos indesejados tanto da rede interna para a internet, quanto da internet para a rede interna, conforme exemplificado na Figura 3. Existem vrios tipos de firewalls, basicamente baseados em hardware e software, ou somente em software, aos quais ultimamente j se incluem em muitos equipamentos, tais como roteadores, switches, estaes de base sem fio, roteadores, etc., sendo que tambm j so inclusos em todos os sistemas operacionais populares.

Figura 3 - Modelo de sistema de firewall

Apesar de, sozinho, no ser o suficiente para garantir a segurana de uma rede computadores, o firewall de extrema importncia num projeto de segurana, a ponto de ser recomendado pela norma de segurana NBR ISO/IEC 27002:2005 nos itens 11.4.5, 11.4.6 e 11.4.7 aos quais tratam assuntos sobre controles de rede, proteo dos servios contra acessos no autorizados e rota de rede obrigatria. O primeiro passo para a implementao de um servio de firewall a definio de uma poltica, a qual pode ser basicamente de dois tipos: Default Permit ou Default Deny. Na poltica Default Permit criado um conjunto de condies, como o acesso a um determinado site, execuo de um software, entre outras situaes que o administrador deseja bloquear, e somente aps o conjunto de condies estabelecido, ser feito o bloqueio das mesmas. J no caso da Default Deny definido um conjunto de condies para protocolos e hosts que podero passar pelo firewall, onde qualquer outro protocolo ou host no especificado ser bloqueado. Em relao aos tipos de firewalls existentes, basicamente se dividem em trs categorias principais: filtragem de pacotes, gateways de circuito e gateways de aplicao. Segundo Cheswick, Bellovin e Rubin (2005) cada um desses tipos citados

24

caracterizado pelo nvel de protocolo que controla, do mais baixo ou mais alto, onde um filtro de pacotes trabalha no nvel de IP (mas podem examinar as informaes de TCP), e os gateways trabalham no nvel TCP. Apesar de sua grande utilidade em um programa de segurana de rede, os firewalls no podem ser considerados o servio de segurana essencial em uma organizao, mas sim um dos servios essenciais. Quando gerenciados de forma correta so teis, porm no faro tudo que necessrio. Um firewall no possui utilidade, por exemplo, contra ataques internos, aos quais podem ser realizados por um usurio legtimo com ms intenes, ou at mesmo por algum que obteve acesso a uma mquina interna por outros meios. Sendo assim, recomendado a qualquer organizao a implementao de servios de segurana adicionais, fazendo com que sejam levados em contas todas as possveis formas de ameaas s suas informaes.

2.5 IDS (Intrusion Detection System)

Um IDS trabalha na monitorao em tempo real da atividade de uma rede ou sistema, de forma a analisar os dados trafegantes em busca de vulnerabilidades potenciais e possveis ataques que estejam ocorrendo. So compostos por diversos componentes: sensores que geram todos os eventos de segurana, um console que monitora os eventos e alertas. Para controlar os sensores existe uma central que grava os eventos registrados pelos sensores em uma base de dados e usam regras que geram alertas dos eventos de segurana. Os IDS se dividem em diversos tipos, tais como os IDS de rede conhecidos como NIDS (Network Intrusion Detection System), que monitoram o trfego da rede em busca de indicaes de uma invaso, e os chamados IDS de host, ou HIDS (Host Intrusion Detection System) que examinam arquivos ou trfego em busca e vrus recebidos, sendo que alguns analisam at mesmo padres de chamada de sistema e procuram por arquivos alterados. A utilizao desses dois tipos de IDS pode ser observada na Figura 4.

25

Figura 4 - Modelo de funcionamento de sistemas IDS

O NIDS um sistema que trabalha identificando atividades maliciosas na rede, como ataques baseados em servio, port scans ou at monitoramento do trfego da rede, e faz isto lendo todos os pacotes que entram na rede e tenta encontrar alguns testes padres. J o HIDS monitora o comportamento de um sistema, pois o NIDS verifica somente os pacotes de uma rede e o HIDS pode detectar que um software esta tentando fazer alguma atividade que no faz parte de seu funcionamento, e dessa forma ele consegue verificar o estado do sistema operacional, informaes armazenadas, memria , e certifica que os ndices

esto normais, podemos considerar o HIDS como um agente que monitora tudo que seja interno e externo. Assim como o firewall o IDS uma ferramenta importante para um programa de segurana implementado, mas que tambm considerado apenas um recurso complementar a uma politica de segurana, recomendado, inclusive, pela norma NBR ISO/IEC 27002:2005, em seu item de nmero 10.4.1, ao qual cita que conveniente a implantao de controles de deteco, preveno e recuperao, a fim de uma maior proteo contra cdigos maliciosos.

26

2.6 Registros de eventos

Segundo Melo et al (2006), a necessidade de registrar as atividades dos usurios e servios dos sistemas de suma importncia para a administrao segura de um ambiente, de forma que ajuda a descobrir, por exemplo, por que uma determinada aplicao no funciona, descobrir se no sistema teve algum acesso indevido, tentativas de intruso e at mesmo problemas com hardware. A importncia de se realizar tal registro, conhecido como Log to grande que a norma NBR ISO/IEC 27002:2005, em seus itens 10.10 e 10.10.1, cita sobre detectar e registrar as atividades no autorizadas, sendo de prioridade a adoo de uma poltica de segurana a qual os registros atendem diversas caractersticas, tais como: Identificao dos usurios; Datas e horrios de entrada e sada (login e logout); Identidade do terminal, nome da mquina ou endereo IP; Registros das tentativas de acesso a outros recursos e dados aceitos e rejeitados; Alterao de arquivos; Uso de privilgios, aplicativos e utilitrios de um sistema. Ferreira e Arajo (2008) cita que os registros de eventos, ou Logs, so preciosas ferramentas em processos de auditorias de segurana nas organizaes, trazendo inmeros dados que se transformam em informaes capazes de avaliar os nveis de segurana e se as medidas aplicadas na organizao esto surtindo o efeito esperado. A Tabela 2 exibe de forma sucinta os tipos de Logs comuns, segundo os tipos de categorias e as informaes que tais Logs podem armazenar. de suma importncia que as informaes registradas em um Log sejam protegidas contra falsificao e acesso no autorizados, sendo essa prtica indispensvel implementao de um registro de eventos.

27

Tabela 2 - Tipos de registros de eventos (logs) quanto s categorias. Fonte: FERREIRA e ARAJO (2008). Tipo de Log Informaes que podem registrar Usurios Informaes de Login/Logout; Tentativas frustradas; Localizao Hora e data; Tentativas de logins e acesso em reas restritas; Alteraes no status de autenticao, como, por exemplo, permisso e privilgios. Sistemas Aes que requeiram privilgios especiais; Status/erros reportados em hardware e software; Modificaes no status do sistema, incluindo shutdowns e restarts. Requisio de incio de servio; Nome do usurio/host solicitando o servio; Trfego da rede; Novas conexes; Durao das conexes. Informaes especficas sobre aplicaes e servios como logs e e-mail, ftp, Web server, modems, firewalls. Especificao do incio do processo; Determinao do status do fim do processo, tempo, duraes e recursos consumidos. Mudanas nas listas de controle de acesso e proteo de arquivos; Arquivos acessados (abertura, criao, execuo e destruio).

Rede

Aplicaes

Processos

Sistemas de Arquivos

2.7 Hardening

Melo et al (2006) cita que, a palavra Hardening significa endurecimento, rigidez, sendo Hardening na verdade um processo, ou at mesmo um conjunto de tcnicas utilizadas para localizao de ameaas, com o objetivo de corrigi-las a fim de tornar o ambiente mais seguro, mais forte, mais rgido, da o nome Hardening. Esse processo inclui remover ou desabilitar servios e/ou softwares utilitrios que sejam julgados desnecessrios ao sistema, sendo tais tcnicas recomendadas pela norma NBR ISO/IEC 27002:2005 em seu item de nmero 11.5.4, visto a sua grande importncia como tcnica de segurana.

28

A necessidade de fazer uso de tcnicas de Hardening basicamente parte de trs fatores: Segurana Risco Flexibilidade Esses trs fatores sempre sero indispensveis na elaborao e

implementao de tcnicas de Hardening, sendo que imprescindvel saber a dose certa de cada um desses fatores para obter uma tima produtividade e segurana. praticamente impossvel ter 100% de segurana, sendo que, quanto maior for o nvel de segurana, menos riscos podem vir a ocorrer e com isso o nvel de flexibilidade tambm cair. Todavia, se possuirmos uma flexibilidade maior, consequentemente a segurana ser menor e o nvel de risco ira aumentar. Tais cenrios serem considerados para a aplicao de tcnicas Hardening podem ser melhores observados nas Figuras 5 e 6 deste trabalho.

Figura 5 Tcnicas de hardening, dosagem de fatores - Cenrio 1

Figura 6 - Tcnicas de hardening, dosagem de fatores - Cenrio 2

Tal dosagem de fatores no possui uma regra direta e definida, e dever ser realizada levando-se em considerao cada situao, de acordo o tipo de cada necessidade, exigindo que a implementao de tais tcnicas sejam bem definidas antes de serem realizadas.

29

3. SOLUO PROPOSTA

3.1 Situao atual

O trabalho se objetiva em realizar uma anlise das caractersticas de um permetro de rede e, em cima desta anlise empregar os controles indicados pela norma NBR ISO/IEC 27002:2005 aos quais visam indicar boas prticas para

melhoria da segurana em um ambiente. A empresa escolhida para tal anlise, aqui chamada de TTLMA LTDA, est h quase quatro anos no mercado, onde atua como provedor de rede WI-FI e possui uma estrutura de meio porte, atendendo hoje em dia mais de 1.100 clientes. Sua estrutura fsica composta de vrios servidores, tais como: servidor DNS, servidor de banco de dados, servidor de e-mail e servidor de aplicao. A empresa em questo no possui nenhum sistema de defesa ou proteo de permetro, o que a deixa vulnervel a ataques que podem violar os princpios de segurana j mencionados nesse trabalho.

3.1.1 Layout atual do permetro da empresa TTLMA LTDA

A Figura 7 uma representao grfica de todo o permetro de rede da empresa TTLMA LTDA observe:

Figura 7 - Layout atual da rede da empresa TTLMA LTDA

30

A figura acima apenas uma ilustrao da topologia atual da empresa embasada nas informaes colhidas, sendo que os endereos de IP nela contida no so verdicos, mas sim apenas uma forma de demostrar como funciona a conexo com a internet. A figura demonstra como o servio de internet chega e como distribudo entre os ativos da rede, chegando primeiro em um roteador, passando por um firewall, depois sendo distribudo pelo switch central que liga aos servidores, a rede interna e os clientes da rede wi-fi. De acordo com o layout da figura 7, no permetro atual da rede da empresa TTLMA LTDA percebe-se a ausncia de barreiras de proteo, sendo a nica existente um firewall ao qual exerce a funo de ponte entre a rede interna da empresa e o meio externo, a Internet. Com isso a empresa torna-se alvo fcil para uma atacante ter acesso no autorizado s informaes ali contidas, como tambm ataques de negao de servio, entre outros. O firewall existente no layout tem como funo prover gateway para a rede interna da empresa, possuindo regras de segurana muito simples utilizando o NetFilter1, possibilitando ataques, invases, e at mesmo negao de servio. Se um possvel atacante conseguir driblar essas simples regras, no ter outro obstculo que o impea de manipular as informaes, trazendo consigo prejuzos, como tambm denegrir a imagem da empresa, causando um desconforto para todos.

3.2 Proposta de Melhoria de Permetro com base nos padres mencionados pela norma NBR ISO/IEC 27002:2005

Tendo em vista os problemas encontrados no permetro de rede descrito nesse trabalho, apresentada uma proposta de melhoria deste permetro em conformidade com os itens da norma NBR ISO/IEC 27002:2005, aos quais sugerem a aplicao das tcnicas e tecnologias listadas abaixo.

O NetFilter um mdulo do Kernel que utilizado pelo sistema operacional Linux como funes de Firewall, NAT (Network Address Translation) e log dos dados trafegantes em uma rede de computadores.

31

3.2.1 Layout Sugerido para empresa TTLMA LTDA

A Figura 8 uma ilustrao de uma topologia e layout da rede da empresa TTLMA LTDA reformulada, onde se prope melhorias na estrutura fsica visando melhorar a segurana das informaes da empresa em conformidade com a norma ABNT NBR ISO/IEC 27002:2005 . A ilustrao mostra as modificaes propostas na ligao dos ativos da rede.

Figura 8 - Layout sugerido para a rede da empresa TTLMA LTDA

No layout sugerido, a conexo com a internet recebia atravs do roteador e o mesmo est ligado diretamente ao firewall, que ser a primeira barreira, nesse firewall sero aplicadas tcnicas de hardening, como tambm regras mais rgidas no NetFilter usando o framework iptables. No firewall h quatro placas de rede, a primeira placa est conecta a internet; a segunda esta conectada ao switch da rede onde ficaro os servidores, isolando-os das demais redes; a terceira placa vai fornecer conexo rede interna da empresa; por fim a quarta placa ira conectar os clientes que ficam na rede wi-fi.

32

Tambm sugerida a incluso de mais um servidor, onde sero armazenados os registros de eventos. A importncia de manter os registros de eventos dos usurios e servios dos sistemas pode ser observada medida que a empresa necessita de uma auditoria, um plano de contingncia de forma a diagnosticar o efeito de ataques ou tentativas, como tambm para o monitoramento no dia a dia, esse servidor como pode ser percebido na Figura 8, ir atuar como base para os logs dos servidores do permetro a ser protegido. Caso ocorra uma invaso, os registros estaro armazenados em outro servidor onde o invasor, teoricamente no ter acesso, assim podemos medir o dano causado por esse atacante, como tambm fazer uso dessas informaes na tomada de decises. A importncia tanta, que a norma NBR ISO/IEC 27002:2005 , nos itens 10.10 e 10.10.1, recomenda detectar e registrar atividades no autorizadas. Assim, prioridade adotar este tipo de politica. A norma tambm menciona no item 10.10.3, a proteo das informaes e dos recursos de registros (logs) que devem ser protegidos contra falsificao e acesso no autorizados. Por fim recomendada tambm a utilizao de servios IDS trabalhando tanto nos servidores (HIDS), quanto no trfego de informaes na rede interna (NIDS). Tais servios trabalharam como sentinelas, protegendo tudo que de mais importante no permetro da empresa. As mudanas sugeridas devem ser aplicadas a fim de proporcionar o nvel de segurana maior, isolando as redes internas da empresa, evitando possveis tentativas internas ou externas de acessos maliciosos a fim de obter informaes. Com isso todos os acessos aceitos ou negados, como tambm tentativas de negao de servios, entre outras sero registradas. Caso o atacante tenha acesso aos servidores, todos os eventos estaro registrados em outra mquina, na qual ele no tenha acesso, facilitando assim uma possvel auditoria. Alm de uma fcil administrao, o nvel de segurana aumentar, pois as redes sero segmentadas.

3.2.2 Proposta de implementao de hardening para servidores

Como dito anteriormente, hardening o endurecimento, a rigidez do sistema. Para chegar a esse ponto, e necessrio passar por varias etapas, dentre algumas pode-se citar: remoo de programas desnecessrios, segurana na montagem dos

33

dispositivos, segurana no terminal, segurana no gerenciador de boot, arquivos com permisso de suid bit, Registros de eventos, Sistemas IDS, entre outros.

3.2.2.1

Remoo de programas desnecessrios

Quando feita uma instalao, mesmo que a bsica, os sistemas Linux instalam alguns pacotes desnecessrios em algumas ocasies, recomendado que tais pacotes sejam removidos, sendo esse um processo no muito fcil. Este procedimento muito importante e est em conformidade com a norma no item 11.5.4 letra h.

3.2.2.2

Segurana na montagem dos dispositivos

Ao instalar um sistema operacional Linux, uma boa prtica instalar os diretrios do sistema em parties ou at mesmo discos diferentes. Com esse processo, minimiza-se percas de dados caso seja necessria a reinstalao do sistema. Melo (2006) afirma que no somente esta a nica vantagem que tal tcnica traz, a separao dos diretrios nos proporciona outros recursos na melhoria da segurana, para alcanar esses pontos podemos utilizar o comando mount para essa flexibilidade de recursos. requisito da norma a integridade dos programas e informaes, tal afirmao est em conformidade com a norma no item 10.4.

3.2.2.3

Segurana no terminal

Esse assunto quando abordado, deve ser levado em considerao que os acessos so externos e interno, nada valer se somente forem filtrados os acessos externos, seno tiver um controle de acesso no prprio permetro da rede. Um funcionrio mal intencionado pode aproveitar de um descuido do administrador em deixar o servidor logado como usurio root a qual tem acessos privilegiados, facilitando assim um acesso no autorizado. Para prevenir tal falha, a norma recomenda nos itens 11.5.5 e 11.5.6 que deve-se ter controle sobre os acesso no sistema a fim de evitar acessos no autorizados e de no fornecer informaes desnecessrias.

34

3.2.2.4

Segurana no gerenciador de boot

A segurana no gerenciador de boot muito importante, pois caso uma pessoa tenha acesso local mquina, poder facilmente modificar a senha do usurio root com procedimentos simples. Referente acesso fsico, a norma NBR ISO/IEC 27002:2005 , diz no item 9.1.2, cita que conveniente que as reas seguras sejam protegidas por controles apropriados de entrada, para assegurar que somente pessoas autorizadas tenham acesso.

3.2.2.5

Arquivos com permisso de Suid bit

Em sistemas Linux, temos as chamadas permisses especiais, dentre elas temos: Suid bit, Sgid bit e Sticky bit2. Essas permisses quando setadas permitem que qualquer usurio execute arquivos binrios ou programa, permitem tambm manter padres de criao de arquivos e diretrios ou impede que um usurio apague arquivos ou diretrios de outro. Entre essas permisses, a que mais preocupa a permisso Suid bit, em que, quando mal aplicada, pode causar srios danos aos sistemas, e muito utilizada por invasores que tentam implantar Backdoors3 no sistema. E recomendado pela norma NBR ISO/IEC 27002:2005 no item 11.6.1, o acesso informao e s suas funes dos sistemas de aplicaes por usurios e pessoal do suporte deve ser restrito.

3.2.2.6

Utilizao do PAM (Pluggable Authentication Modules)

O PAM, ou Mdulo de Autenticao Plugvel utilizado para trazer novas funcionalidades aos programas. O mdulo PAM faz o gerenciamento de horrios e acessos dos usurios, podendo ser utilizado para varias outras coisas, tais como

So modelos especiais para controle de acesso, onde o Suid bit um tipo de permisso que trabalhar com arquivos executveis servindo para usurios comuns executarem aplicativos ou comandos com privilgios de root (administrador) ou dono do arquivo. O Sgid bit faz com que quando um arquivo ou diretrio for criado, herde a permisso do grupo ou diretrio. E o Sticky bit, em diretrios impede que outros usurios deletem ou renomeiam arquivos dos quais no so donos. 3 Backdoors so falhas de segurana em sistemas operacionais ou programas de computador as quais podem permitir a invaso do sistema por um cracker, permitindo total controle sobre a mquina.

35

limitar usurios que podem se autenticar no sistema, e tambm definir somente alguns grupos de podem usar o comando SU em sistemas linux, deixar senhas mais seguras. Os mdulos PAM podem ser utilizados. A utilizao do PAM, tambm est de acordo com os itens 11.2.2 e 11.5.6 da norma ABNT NBR ISO/IEC 27002:2005 .

3.2.2.7

Registros de Eventos

A necessidade de registrar as atividades dos usurios e servios dos sistemas notoriamente muito importante para os administradores, com os registros, ou logs de eventos pode-se fazer a identificao dos usurios, datas e horrios de entrada e sada, a identidade do terminal, nome da mquina ou endereo ip, registro de tentativas de acesso aos aceitos e rejeitados, registro das tentativas de acesso a outros recursos e dados aceitos ou rejeitados, alterao de arquivos, uso de privilgios, aplicativos e utilitrios do sistema. A norma NBR ISO/IEC 27002 nos item 10.10 e 10.10.1 fala sobre detectar e registrar atividades no autorizadas, tambm menciona no item 10.10.3 a proteo das informaes e dos recursos de registros.

3.2.2.8

Sistemas IDS

O sistemas IDS tem a capacidade de trabalhar localmente, ou trabalhar em uma rede como cliente e servidor, trazendo vantagens como bloqueio de IP e alertas em casos de ataques. Os sistemas IDS a serem utilizados no monitoramento dos hosts, em especial dos servidores do permetro, chamados de HIDS trabalham de forma que primeiramente criado uma base com todas as informaes do sistema atual, como se fosse uma foto de toda a estrutura do sistema, com localizao dos arquivos em seus diretrios, permisses, tamanhos, etc. Quando o HIDS entra em ao comparado essa base construda com o sistema atual, verificando se houve modificaes e, quando ocorridas, mostrado o que foi modificado. O NIDS um tipo de sistema voltado especificamente para a monitorao da rede, em busca de falhas de segurana ou tentativas de invaso em tempo real. Sugerido a implementao de um NIDS a qual ser responsvel por diversas funes de segurana tais como, colocar a placa de rede em modo promiscuo

36

(modo que captura todos os pacotes que passam pela rede), realizar uma prfiltragem dos pacotes trafegantes em busca de possveis tentativas de ataques, gerao de logs aos quais serviro para consultas do administrador sobre as informaes referentes a qualquer tipo de anomalias ocorridas em sua rede. O emprego de tais praticas de segurana recomendado pela norma NBR ISO/IEC 27002:2005 , nos itens de nmero 10.4.1 e 10.6.1.

37

4. AVALIAO ENTRE SITUAO ATUAL E SOLUO PROPOSTA

De acordo com a avaliao realizada no permetro da empresa TTLMA LTDA, foi elaborado um conjunto de solues para os itens que atendem totalmente s questes de segurana sugeridas pela norma NBR ISO/IEC 27002:2005. Tais solues podem ser observadas na seguinte tabela: Tabela 3 - Estado atual do permetro e soluo proposta Situao Questo avaliada Soluo Proposta atual Barreiras de AP Implementao de diversos mecanismos de Proteo proteo robustos. Rede Segmentada Remoo de programas desnecessrios Montagem dos dispositivos NA NA Segmentao da rede para melhoria de controle e segurana dos ativos da empresa. Anlise e remoo de sistemas desnecessrios a fim de diminuir os riscos de segurana na empresa. Separao dos diretrios do sistema em parties ou discos diferentes visando uma melhoria na segurana e facilitao do uso de demais tcnicas de segurana. Implementar controles sobre o acesso ao sistema de forma a no permitir acessos no autorizados mesmo em casos de descuidos onde o sistema seja esquecido logado com usurio administrador. Proteger de forma apropriada a rea de boot evitando acessos no autorizados capazes de comprometer a integridade do sistema e a segurana das informaes. Implementao de tcnicas especiais para o controle de acesso. Utilizao do PAM (Pluggable Authentication Modules) para melhor controle de acesso e gerenciamento de privilgios Registrar as atividades dos usurios e servios dos sistemas, assim como proteger as informaes contidas em tais registros. Implementao de sistemas IDS a atuarem na rede (NIDS) e nos hosts (HIDS) da empresa de forma a detectar possveis intruses.
NA = No atende

NA

Segurana no terminal

NA

Segurana no gerenciador de boot

NA

Permisses de arquivos e diretrios Gerenciamento de privilgios e controle de acesso Log de eventos

NA

AP

AP

Monitoramento dos hosts e da rede

AP = Atende Parcialmente

NA

38

A tabela 3 exibe de forma sucinta todas as questes importantes imprescindveis para o contexto de segurana de permetro e das informaes da empresa segundo a avaliao realizada na organizao em questo. Todas as questes avaliadas foram qualificadas segundo dois status: no atende (NA) e atende parcialmente (AP), sendo tais nveis de qualificao definidos em conformidade com as recomendaes da norma NBR ISO/IEC 27002:2005. tambm exibido na tabela 3 um resumo das atividades necessrias adequao de tais questes tendo como base o que recomenda os itens da norma NBR ISO/IEC 27002:2005 j abordados neste trabalho.

39

5. CONSIDERAES FINAIS

A aplicao de tcnicas de segurana de permetro se tornou tarefa fundamental a qualquer organizao que se preocupe com seus ativos, aos quais podem estar vulnerveis a ataques internos e at mesmos externos permitidos pela interconexo de computadores e pela falta de tcnicas de segurana confiveis. aconselhvel que, para aplicao de tais tcnicas, sejam utilizados recursos de apoio confiveis, tais como os padres abordados pela norma NBR ISO/IEC 27002:2005. Estre trabalho apresentou uma proposta elaborada seguindo as

conformidades da norma NBR ISO/IEC 27002:2005 para a proteo de permetro da empresa TTLMA LTDA, atravs da realizao de um estudo de caso responsvel por identificar os problemas existentes no permetro da empresa supracitada aos quais expunham os ativos da empresa a ataques e acessos no autorizados. A proposta elaborada emprega um conjunto de tcnicas que, se aplicadas de forma correta conforme o que diz a proposta sero capazes de reduzir notoriamente as possibilidades de acesso no autorizado ao permetro e posteriormente s informaes e dados da empresa.

5.1 Trabalhos Futuros

O trabalho produzido considerado a etapa base das etapas fundamentais a serem realizadas para garantir a segurana adequada de uma organizao, abrindo portas para a elaborao das demais etapas de segurana embasadas nas tcnicas abordadas neste trabalho. Entre tais etapas, proposta de desenvolvimento futuro uma poltica de segurana completa a nvel operacional e organizacional, a qual fornecer um enquadramento para a implementao dos mecanismos de segurana abordados neste trabalho. proposta tambm a criao de um plano de contingncia responsvel pela elaborao de rotas e tarefas secundrias em casos em que as tcnicas empregadas nesse trabalho no funcionassem de forma adequada, evitando dessa forma a paralizao dos servios de segurana aplicados.

40

6. REFERNCIAS BIBLIOGRFICAS

CHESWICK, William R.; BELLOVIN, Steven M.; RUBIN, Aviel D. Firewalls e Segurana na Internet. 2 ed. Porto Alegre-RS: Bookman, 2005. FERREIRA, Fernando Nicolau Freitas; ARAJO, Mrcio Tadeu de. Poltica de Segurana da Informao Guia prtico para elaborao e implementao. 2 ed. Rio de Janeiro: Editora Cincia Moderna, 2008. FILHO, Andr Stato. Linux Controle de Redes. Florianpolis-SC: Visual Books, 2009. KUROSE, James F, ROSS, Keith W. - Redes de Computadores e a Internet - Uma Abordagem Top-Down. 3 ed. So Paulo: Pearson Addison Wesley, 2007. MELO, Sandro; DOMINGOS, Cesar; CORREIA, Lucas; MARUYAMA, Tiago. BS7799: Da Ttica Prtica em Servidores Linux. Rio de Janeiro: Editora Alta Books, 2006. NBR ISO/IEC 27002:2005 Tecnologia da informao Tcnicas de segurana Cdigo de Pratica para a Gesto da Segurana da informao, Rio de Janeiro: ABNT, 2005. PINHEIRO, Jos Mauricio Santos. Redes de Permetro. Projetos de Redes. 2004. Disponvel em: http://www.projetoderedes.com.br/artigos/artigo_redes_de_ perimetro.php. Acesso em: 02/10/2010. TANENBAUM, Andrew S. Redes de Computadores. 4 ed. Rio de Janeiro: Campus, 2003.