TCC 2 Fabio Martins de Souzax - Sistemas de Informação

Transcrição

TCC 2 Fabio Martins de Souzax - Sistemas de Informação
1
UNIBALSAS-FACULDADE DE BALSAS
SISTEMAS DE INFORMAÇÃO
ELABORAR E IMPLEMENTAR POLÍTICAS DE CONTROLE DE
ACESSO A INTERNET BASEADO EM CONTEXTO NA REDE
CEAGRO
Fabio Martins de Souza
Balsas, 2013
2
UNIBALSAS – FACULDADE DE BALSAS
SISTEMAS DE INFORMAÇÃO
ELABORAR E IMPLEMENTAR POLÍTICAS DE CONTROLE DE
ACESSO A INTERNET BASEADO EM CONTEXTO NA REDE DA
CEAGRO
Por
Fabio Martins de Souza
Trabalho de conclusão de curso apresentado,
Como exigência parcial para obtenção do Título de Bacharel em Sistemas de Informação,
Orientação do Professor Junior Bandeira
BALSAS - MA
2013
3
FACULDADE DE BALSAS
CURSO DE SISTEMAS DE INFORMAÇÃO
A Comissão Examinadora, abaixo assinada, aprova o trabalho de conclusão de curso
(TCC)
ELABORAR E IMPLEMENTAR POLÍTICAS DE CONTROLE DE
ACESSO A INTERNET BASEADO EM CONTEXTO NA REDE DA
CEAGRO
Elaborado por
Fabio Martins de Souza
Como requisito básico para obtenção do grau de Bacharel em Sistemas de Informação
BANCA EXAMINADORA
Prof.(a) Junior Marcos Bandeira
Prof. Orientador
Prof. (a)
Membro da Banca Examinadora
Prof. (a)Membro da Banca Examinadora
4
RESUMO
A informação é um ativo, como qualquer outro ativo importante para os
negócios, tem um valor para a organização e por consequência necessita ser
adequadamente protegida. A segurança da informação protege a informação de diversos
tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos ao
negócio e maximizar o retorno dos investimentos.
Portanto devemos garantir a confidencialidade, integridade, e disponibilidade
das informações, o controle de acesso baseado em políticas de segurança, traz um
segurança mais abrangente avaliando, os riscos, os ativos da organização, as ameaças
aos ativos, vulnerabilidade e sua probabilidade de ocorrência e assim estabelece as
políticas necessárias para a empresa baseado em contexto organizacional.
Este trabalho tem o objetivo de desenvolver políticas de acesso à internet
seguras e mais abrangentes para a rede da empresa Ceagro, utilizando controle de
acesso, voltado para uma maior segurança das informações que circulam dentro da
organização.
5
Lista de siglas
ISO – Organização internacional para padronização
COBIT – Objetivos de controle para informação e tecnologia relacionada
TMG – Threat Management Gateway (Firewal fornecido pela microsoft)
WEB – Palavra que significa “teia” refere-se a rede internet
NAT – Conversão de endereços de rede
URL – Localizador padrão de recursos
DNS – Sistema de nomes de domínios
IP – Identificação de um dispositivo (computador)
HTTP – Protocolo de transferência de hipertexto
HTTPS – Protocolo de transferência de hipertexto seguro
FDQN – Nome de domínio totalmente qualificado
SMTP – Protocolo de transferência de correio simples
SSL- Protocolo de camada de Sockets segura
IPSec – Protocolo segurança IP
VPN – Rede Privada Virtual
WAN - Rede de longa distancia
DC – Controlador de Dominio
AD – Active Directory
OU – Unidade Organizacional
TI – Técnologia da informação
RH – Recursos Humanos
6
Sumário
1. INTRODUÇÃO ........................................................................................................................ 8
1.1 Delimitando o tema ............................................................................................................. 8
1.2 Problemática ........................................................................................................................ 9
1.3 Objetivo geral ...................................................................................................................... 9
1.4 Objetivos Específicos .......................................................................................................... 9
1.5 Justificativa ......................................................................................................................... 9
1.6 Metodologia ...................................................................................................................... 10
2. REVISÃO BIBLIOGRÁFICA ................................................................................................ 10
2.1 Segurança da informação .................................................................................................. 10
2.2 Ativo de informação .......................................................................................................... 13
2.3 Ataque ............................................................................................................................... 13
2.4 Vulnerabilidade ................................................................................................................. 14
2.5 Ameaça .............................................................................................................................. 14
2.6 Probabilidade..................................................................................................................... 14
2.7 Impacto .............................................................................................................................. 14
2.8 Controle ............................................................................................................................. 15
2.9 Organização da segurança ................................................................................................. 15
2.9.1 Mapeamento da segurança ......................................................................................... 15
2.9.2 Estratégia de segurança .............................................................................................. 15
2.9.3 Planejar a segurança ................................................................................................... 16
2.9.4 Política de segurança ...................................................................................................... 16
2.10 Controle de acesso........................................................................................................... 17
2.10.1 Controle de acesso lógico ......................................................................................... 17
2.10.2 Monitoração do Uso e acesso ao sistema ................................................................. 18
2.10.3 Controle de acesso físico .......................................................................................... 19
2.10.4 Controle de acesso baseado em contexto ................................................................. 19
2.11 Ferramenta de controle de tráfego Forefront TMG( Threat management Gateway) ...... 21
2.11.1 Diretivas e conjuntos de regras ................................................................................ 21
2.11.2 Fluxo de processo de solicitação .............................................................................. 21
2.11.3 Sobre regras de acesso.............................................................................................. 22
2.11.4 Sobre regras de publicação ....................................................................................... 23
2.11.5 Processando nomes e endereços ............................................................................... 23
2.11.6 Tratando regras de acesso que requerem autenticação ............................................. 24
7
2.11.7 Relacionamento NAT ............................................................................................... 25
2.12 Fortigate .............................................................................................................................. 26
2.12.1 UTM Profiles............................................................................................................ 28
2.13 ADUC – Active Directory User and Computers ............................................................. 31
2.14 Controle de acesso ao conteúdo da Internet na CEAGRO .............................................. 34
3 CONSTRUÇÃO DE POLITICAS DE ACESSO A INTERNET PARA CEAGRO ............... 35
3.1 Criar grupos de navegação no AD (Active Directory) ...................................................... 35
3.2 Adicionando um grupo de navegação para usuários ......................................................... 37
3.3 Configurando Fortigate com o AD( Active Directory) ..................................................... 38
3.4 Criando os grupos de acesso no Fortigate ......................................................................... 41
3.5 Politicas temporais ............................................................................................................ 42
3.5.1 Politica aplicada no horário após expediente diurno .................................................. 44
3.5.2 Politica horário de almoço livre ................................................................................. 44
3.5.3 Politica sábado livre ................................................................................................... 44
3.5.4 Politica domingo livre ................................................................................................ 45
3.5.5 Politica horário de trabalho predominante 1 .............................................................. 45
3.5.6 Politica horário de trabalho predominante 2 .............................................................. 45
3.5.7 Politica horário de trabalho predominante 3 .............................................................. 46
3.6 Politicas baseadas em intervalos de ip’s............................................................................ 46
3.6.1 Politica Sites liberados na rede Wi-Fi Ceagro............................................................ 48
3.6.2 Politica aplicada na rede interna cabeada ................................................................... 49
3.6.3 Politica aplicada na rede projeto AMA ...................................................................... 49
3.6.4 Politica aplicada na rede para visitantes ..................................................................... 49
3.7 Liberação de sites .............................................................................................................. 50
3.8 Politicas baseadas em extensões de arquivos .................................................................... 56
3.8.1 Politica bloqueio de acesso a extensões aplicado no grupo TI ................................... 58
3.8.2 Politicas bloqueio de extensões nos grupos de acesso ............................................... 59
3.9 Politica de controle de aplicações ..................................................................................... 60
3.10 Página de exibição de violação de regras e politicas do Fortigate............................... 62
4. CONSIDERAÇÕES FINAIS .................................................................................................. 63
5. REFERÊNCIAS ...................................................................................................................... 64
8
1. INTRODUÇÃO
Empresas no contexto de mercado atual trabalham as informações como um
diferencial competitivo. Segurança é um aspecto que devemos priorizar quando
tratamos de informação, para garantir a integridade (a informação deve estar correta, ser
verdadeira e não estar corrompida), disponibilidade (a informação deve estar disponível
para todos que precisam dela) e confidencialidade (capacidade de conceder ou não
permissão para usuários acessarem determinadas informações). Na confidencialidade
podemos inserir o controle de acesso como um método de proteção dos dados ou
informações.
O objetivo de controle de acesso é limitar ações que um usuário legítimo de um
sistema de computação pode realizar em função das autorizações aplicáveis ao mesmo
no momento do acesso (SANDHU & SAMARATI, 1994). Autorizações estabelecem
que direitos um sujeito possui em relação a um determinado objeto ou recurso
computacional impedindo que haja violações de segurança. Essas autorizações são
determinadas por políticas de segurança.
Uma política de controle de acesso define diretrizes de alto nível que
determinam como o acesso é controlado e como as decisões de autorização de acesso
são estabelecidas (FERRAIOLO et AL. 2001). Em outras palavras determinam como
um objeto ou recurso computacional será acessado em um sistema computacional. Uma
entidade (usuário, processo ou máquina) que ganha acesso a recursos de um sistema
computacional de forma ilícita, violando uma política de controle de acesso é
denominada intruso. As violações de segurança se traduzem como sendo a arte de burlar
de alguma forma a política de modo a passar despercebida uma ou mais propriedades de
segurança existentes.
1.1 Delimitando o tema
A monografia proposta aborda a área de segurança, especificamente controle
de acesso de usuários a internet baseado em contexto. O trabalho pretende utilizar
variáveis do ambiente, como por exemplo, o horário de trabalho de um funcionário para
produzir políticas de acesso a sites. São as variáveis ambientais que definem o contexto.
Serão estudadas as políticas necessárias para os perfis de usuário da rede Ceagro, bem
como formas de implementação e representação das mesmas.
9
1.2 Problemática
Informações importantes são geradas e trafegam nas redes de computadores
das organizações a todo instante. Empresas estão dependentes de suas informações, ou
seja, se tornou uma questão de sobrevivência no mercado a proteção das mesmas. Caso
pessoas não autorizadas tenham acesso, os prejuízos podem ser enormes. Segredos de
negócio podem ser descobertos, dados podem ser alterados ou excluídos.
A
organização pode ter seus serviços indisponíveis o que traria estagnação e caos para o
negócio. Ataques podem inviabilizar o trabalho em uma empresa em questão de
minutos e isso pode acontecer de modo facilitado caso não existam políticas de
segurança que controlem o acesso e o tráfego de dados. Melhorar as políticas de acesso
da rede da empresa Ceagro aumentará a segurança das informações que circulam dentro
da empresa, ou seja, um controle de acesso mais abrangente, ajuda a evitar ocorrências
que ofereçam risco para o processo interno de troca de informações, e transações
operacionais.
1.3 Objetivo geral
Criar e implementar políticas de segurança baseadas em contexto para controle
de acesso a internet dos usuários da rede Ceagro.
1.4 Objetivos Específicos
- Levantar requisitos de acessos requisitados pelos setores da empresa Ceagro.
- Relatar todos os perfis dos usuários da rede.
- Levantar regras de segurança no cenário da Ceagro.
- Criar políticas de acesso seguro baseadas em contexto.
- Implantar políticas de acesso via software de gerenciamento de políticas de
segurança.
- Testar regras das políticas.
- Analisar resultados.
1.5 Justificativa
Cada serviço oferecido aos usuários da rede da Ceagro carrega seus próprios
riscos de segurança, assim como em qualquer outra empresa que trabalha com
10
informações. Este trabalho vai contribuir para que a instituição venha a ter políticas de
segurança mais abrangentes, com o objetivo de aumentar a segurança dos dados que
circulam na rede e melhorar o acesso dos usuários.
1.6 Metodologia
Foi feito levantamento bibliográfico dos conceitos relacionados à segurança da
informação e seus aspetos, das tecnologias de controle de acesso, modelos de segurança
da informação, conceitos de softwares utilizados.
O levantamento das características de acessos que os funcionários da empresa
Ceagro devem ter em seus respectivos setores, será feito através de entrevistas com
colaboradores da empresa.
Serão feitos testes de controle de acesso para verificar o comportamento das
políticas de acessos impostas.
2. REVISÃO BIBLIOGRÁFICA
A revisão bibliográfica apresenta o estudo das tecnologias e conceitos
disponíveis para que seja possível desenvolver o trabalho proposto, ou seja, uma análise
de materiais sobre o assunto dispondo uma visão ampla sobre segurança em sistemas e
controle de acesso de usuários baseado em contexto.
2.1 Segurança da informação
A necessidade de implementar medidas de segurança da informação tem
crescido de maneira expressiva nos últimos anos. O valor da informação se tornou mais
expressivo para as empresas, que muitas vezes tem seu negócio e seu diferencial
competitivo baseado unicamente em informações, pode-se observar que na empresa
Ceagro entre outros aspectos existe um grande fluxo de informações.
Se não bastasse o valor das informações para suas detentoras, há uma
preocupação significativa com suas vulnerabilidades.
Segundo Carlos Santana (2006) é interessante observar como o apelo da mídia
em torno de acontecimentos espetaculares envolvendo fraudes, espionagens, hackers,
11
worms, cavalos de tróia, vírus eletrônico entre outros, tem causado impacto no
comportamento de executivos da maioria das organizações atualmente. A preocupação
com a segurança das informações, entrou para a ordem do dia de instituições como
bancos, empresas de informática, cadeias de supermercados, órgãos governamentais,
entre outras. A informação finalmente o mais ativo da nossa sociedade pós-industrial.
É primordial considerar que de forma análoga a uma corrente, uma boa
estratégia para se abordar a problemática da segurança da informação, passa,
invariavelmente por sua visão holística, ou seja, pelo cuidado com todos os seus pilares
fundamentais: Pessoas, processos e tecnologia:
Pessoas
São parte integrante e o elo fraco de qualquer sistema de segurança: Será
necessário muito trabalho para conscientização, treinamento e educação dos
colaboradores.
Processos
Adoção de melhores práticas descritas em normas como a ISSO 17799, COBIT
entre outras: Indispensável para definição dos processos que vão balizar os requisitos
adequados para a companhia avaliar sua operação sob o ponto de vista da segurança dos
seus ativos de informação.
Tecnologia
Utilização e configuração adequada das ferramentas de proteção e dos ativos
de informação; Esses ativos (servidores, banco de dados, sistemas operacionais, etc.)
suportam os negócios da companhia, seu uso deve considerar políticas consistentes e
previamente definidas. Lembrando que quando tratamos de segurança da informação
devemos ir sempre à raiz do problema e não ficar arrancando somente as folhas geradas
por ele. (Carlos Santana, 2006, http://internativa.com.br/artigo_seguranca_01.html).
Segundo Mauricio Rocha Lyra (2008) segurança é um assunto muito discutido
na atualidade, e tem várias vertentes. A segurança da Informação tem vários aspectos
importantes, mas sem dúvida três deles se destacam:
12
Confidencialidade: capacidade de um sistema de permitir que alguns
usuários acessem determinadas informações ao mesmo tempo em que
impede que os outros, não autorizados, a vejam.
Integridade: a informação deve estar correta, ser verdadeira e não estar
corrompida.
Disponibilidade: a informação deve estar disponível para todos que
precisarem dela para a realização dos objetivos empresariais.
Além destes três aspectos principais, temos:
Autenticação: garantir que um usuário é de fato quem alega ser;
Não-repúdio: capacidade do sistema de provar que um usuário executou
determinada ação;
Legalidade: garantir que o sistema esteja aderente a legislação pertinente;
Privacidade: capacidade de um sistema de manter anônimo um usuário,
impossibilitando o relacionamento entre o usuário e suas ações (por
exemplo, o sistema de voto eletrônico);
Auditoria: capacidade do sistema de auditar tudo o que foi realizado pelos
usuários, detectando fraudes ou tentativas de ataque.
Quando se fala em segurança da informação quer-se garantir algum ou muitos
destes aspectos acima relacionados. Com isso busca-se proteção de um conjunto de
dados, no sentido de preservar o valor que possuem para um individuo ou uma
organização. Um incidente de segurança é a ocorrência de um evento que possa causar
interrupções nos processos de negócio em violação de alguns dos aspectos listados
acima.
Segundo Mauricio Rocha Lyra (2008) a seguir estão conceitos sobre os
principais aspectos de segurança:
13
2.2 Ativo de informação
Segundo Mauricio Rocha Lyra (2008) a informação é um bem de grande valor
para os processos de negócio da organização, mas também devemos considerar a
tecnologia, o meio que suporta, que a mantém e que permite que ela exista, as pessoas
que a manipulam e o ambiente onde ela está inserida. Assim podemos descrever que
ativo da informação é composto pela informação e tudo aquilo que suporta ou se utiliza
dela.
2.3 Ataque
Um tipo de incidente de segurança caracterizado pela existência de um agente
que busca obter algum tipo de retorno, atingindo algum ativo de valor.
Existem alguns tipos de ameaças assim como uma ameaça acidental
que acontece quando não estão associadas à intenção premeditada. Por exemplo,
descuidos operacionais e bugs de software e hardware. A concretização das
ameaças intencionais varia desde a observação de dados de uma maneira simples
de monitoramento de redes, a ataques sofisticados baseados no conhecimento do
funcionamento do sistema. A realização de uma ameaça intencional configura
um ataque.
A seguir um dos principais ataques que podem ocorrer em um ambiente
de processamento e comunicação de dados:
Personificação: uma entidade se faz passar por outra para
obter um privilégio maior.
Replay: é quando uma mensagem é interceptada e
posteriormente transferida para produzir um efeito não autorizado.
Modificação: uma mensagem é alterada sem que o sistema
consiga identificar a alteração
Recusa ou impedimento de serviço: ocorre quando uma
entidade não executa sua função apropriadamente ou atua de forma
a impedir que outras entidades executem suas funções.
14
Ataques internos: ocorre quando um usuário legítimo
comportam-se de modo não autorizado ou não esperado.
Armadilhas: Ocorre quando um uma entidade do sistema é
modificada para produzir efeitos não autorizados em resposta a um
comando.
Cavalos de tróia: Nesse ataque uma entidade executa
funções não autorizadas em adição as que estão autorizadas a
executar.
2.4 Vulnerabilidade
Os ativos de informação possuem vulnerabilidades ou fraquezas que podem
gerar, intencionalmente ou não, a indisponibilidade a quebra de confidencialidade ou
integridade. A vulnerabilidade de um ativo é o seu ponto fraco, podendo ou não ser
explorada.
2.5 Ameaça
É um ataque potencial a um ativo da informação. É um agente externo que se
aproveita das vulnerabilidades para quebrar um ou mais dos três princípios de segurança
da informação.
2.6 Probabilidade
É uma chance de uma falha de segurança ocorrer levando-se em conta as
vulnerabilidades do ativo e as ameaças que venham explorar esta vulnerabilidade.
2.7 Impacto
São as consequências que um incidente causa nos processos de negócio
suportados pelo ativo em questão.
15
2.8 Controle
Podemos ter controle somente das vulnerabilidades dos ativos da informação,
isso porque, este em nosso domínio. Quanto às ameaças não podemos ter controle pelo
fato que ela se origina de um agente externo, mas cuidando das vulnerabilidades
podemos diminuir os riscos.
2.9 Organização da segurança
A seguir estão alguns passos que podem ser utilizados para que uma empresa
possa gerir de forma adequada a segurança de suas informações.
2.9.1 Mapeamento da segurança
A seguir estão alguns passos que podem ser utilizados para que uma empresa
possa gerir de forma adequada a segurança de suas informações.
Identificar o grau de relevância e as relações diretas e indiretas
entre os diversos processos de negócio, perímetros e infraestrutura.
Inventariar os ativos físicos, tecnológicos e humanos que
sustentam a operação da empresa, considerando também as demais
variáveis internas e externas que interferem nos riscos da empresa, como,
mercado, nicho, concorrência, expansão, etc.
Identificar o cenário atual – ameaças, vulnerabilidades e impactos,
especular a projeção do cenário desejado de segurança capaz de sustentar e
viabilizar os atuais e novos negócios da empresa.
Mapear as necessidades e as relações das empresas associadas ao
manuseio, armazenamento, transporte, e descarte de informações.
Organizar as demandas de segurança do negócio.
2.9.2 Estratégia de segurança
Deve ser definido um plano de ação, comumente e plurianual, que considere
todas as particularidades estratégicas, táticas e operacionais do negócio mapeadas na
16
etapa anterior, além dos aspectos de risco físicos, tecnológicos humanos. Criar sinergia
entre o cenário atual e o desejado, além da sintonia de expectativas entre os executivos,
afim de ganhar comprometimento e apoio explícito às medidas previstas no plano de
ação.
2.9.3 Planejar a segurança
Um dos principais aspectos de se planejar uma segurança é elaborar uma
política da segurança sólida, considerando as particularidades e as características do
processo a ser realizado dentro da empresa, a ainda apontar as melhores práticas para
manuseio, armazenamento, transporte e descarte de informações.
2.9.4 Política de segurança
Segundo Luis Fernando, Guido Lemos e Sérgio Colcher (p. 450) uma política
de segurança é um conjunto de leis, regras e práticas que regulam como a organização
gerencia. Protege e distribui suas informações e recursos. Um dado sistema é
considerado seguro em relação a uma política de segurança, caso garanta o
cumprimento das leis regras e práticas definidas nessa política.
Uma política de segurança deve incluir regras detalhadas definindo como as
informações e recursos da organização devem ser manipulados ao longo do seu ciclo de
vida, ou seja, desde o momento que passam a existir no contexto da organização até
quando deixam de existir.
As regras que definem uma política de segurança são funções das designações
de sensibilidade, associadas aos recursos e informações (Por exemplo, não classificado,
confidencial, secreto, ultra secreto) do grau de autorização das entidades (indivíduos e
processos agindo sobre o comando de indivíduos) e das formas de acesso suportadas por
um sistema.
A implementação de uma política de segurança baseia-se na aplicação de
regras que limitam o acesso de uma entidade as informações e recursos, com base na
comparação de seu nível de autorização relativo, na forma de acesso empregada e na
sensibilidade da informação, ou seja, é uma maneira de controlar o acesso dos
indivíduos que utilizam o sistema.
17
O conjunto de regras que define uma política pode conter regras de dois tipos,
definidas com base na natureza da autorização envolvida, regras baseadas em atributos
de sensibilidade genérica (por exemplo, entidade com grau de segurança não
classificado, confidencial, secreto, ou ultrassecreto) e regras baseadas em atributos
individuais específicos (por exemplo, o nome ou identificador da identidade do
sistema), ou seja, o primeiro tipo são chamadas de “Política de Segurança Baseada em
Regras” e do segundo tipo são chamadas “Políticas de Segurança Baseadas em
identidade”.
As políticas de segurança baseadas na identidade representam o tipo de
controle de acesso mais encontrado nos computadores atuais. A base desse tipo de
segurança é que um indivíduo, ou processo operando sob seu controle. O objetivo desse
tipo de política é permitir a implementação de um esquema de controle de acesso que
possibilite especificar o que cada indivíduo pode ler, modificar ou usar. A idéia é
implementar um mecanismo que permita descriminar, dentre os indivíduos que possuem
nível de autorização suficiente para ter acesso a um recurso, aqueles que realmente
necessitem realizar o acesso. Existem essencialmente duas formas de implementar esse
tipo de política, dependendo de onde as informação sobre os direitos de acesso é
armazenada: na entidade que esta executando o acesso, ou como parte dos dados que
estão sendo acessados. O Primeiro caso é exemplificado com a utilização de
capacidades possuídas pelos usuários e utilizadas pelos processos atuando sobre seu
controle. Listas de controle de acesso são exemplos do ultimo caso. (Luis Fernando,
Guido Lemos e Sérgio Colcher , p. 450)
2.10 Controle de acesso
Segundo Mauricio Rocha Lyra (2008, p. 44) o controle de acesso define quem
pode fazer o que dentro de um sistema computacional. Pode ser dividido em controle
lógico e físico.
2.10.1 Controle de acesso lógico
Segundo Mauricio Rocha Lyra (2008, p. 44) é um modelo de controle de
acesso que tem como objetivo proteger o acesso as partes lógicas, por exemplo,
sistemas, banco de dados, softwares, arquivo-fonte, sistema operacional, utilitários e
18
outros. Para controlar estes ativos podemos utilizar identificação e autenticação do
usuário, para que possamos trabalhar em cima de identificações em geral são criadas
contas de usuários com uma identificação única e um ou mais métodos de autenticação
para verificar essa identidade:
O que você sabe?
Método baseado em autenticação por senha de acesso onde o usuário deve
saber os dados para efetuar acesso é um dos métodos mais utilizados, tem como
características básicas o bloqueio do acesso caso a senha esteja errado após um certo
numero de tentativas, identificação de senhas de fácil dedução e troca recomendada de
senha após algum tempo de uso periodicamente.
O que você tem?
É um método que identifica o usuário pelo que ele tem, ou seja, cartões
magnéticos, cartões com chip e etc. É comum associar este método ao método do que
você sabe, um cartão mais senha.
O que você é?
É um método baseado no que a pessoa é, ou seja, são analisados dados como
impressão digital, reconhecimento facial, voz, etc., para que ocorra esta analise o
sistema armazena dados biométricos dos usuários em base de dados criptografada.
2.10.2 Monitoração do Uso e acesso ao sistema
Um sistema confiável deve ter um registro das atividades que ocorre na rede,
alterações de informações, esses mecanismos, ou log’s, como são conhecidos, devem
registrar data e hora, tipo de atividade e quando alterar alguma informação registrar o
valor antigo e o valor novo de preferência caso ocorra uma violação na integridade da
informação, claramente este tipo de armazenamento irá diminuir a performance do
sistema, mas dependendo do nível de informação que se trabalha se torna necessário o
armazenamento de informações antigas.
19
2.10.3 Controle de acesso físico
Além de todos os cuidados na parte lógica de controle de acesso, devemos nos
ater também em relação à parte física de uma rede, evitar que pessoas não autorizadas
tenham acesso aos equipamentos que estabelecem a conexão (switches, roteadores e
etc.) entre os computadores, notebooks e etc., estes controles podem ser feitos através
de identificação, como por exemplo, crachá de identificação, impressão digital em
ambientes com necessidade de proteção elevada, dispositivos com senha, cartões com
PIN, portas de acesso codificadas, entre outros. (Mauricio Rocha Lyra, 2008, p. 47).
2.10.4 Controle de acesso baseado em contexto
Segundo Junior Bandeira (2010) Um modelo de controle de acesso baseado em
contexto deve representar variáveis ambientais que compõem os ambientes de modo
geral. Expressões de contexto não possuem classificação, uma vez que associadas a
entidades de contexto que são elementos que sofrem ou executam uma ação. Expressões
de contexto (descreve determinada situação que mapeia um contexto) retiradas do
ambiente devem ser comparadas com expressões de contexto contidas nas regras com o
objetivo de verificar se o contexto estático representado pela regra é o mesmo que as
expressões contextuais informam naquele momento e assim conceder ou não acesso.
Segundo Junior Bandeira (2010) para que seja possível representação de regras
de expressões de contexto é sugerida a seguinte metodologia e definições.
Nome - Trata-se do substantivo que nomeia algum elemento que se encontra
no ambiente, por exemplo: local, data, hora, contador de acesso e assim por diante.
Operador – É um operador lógico do conjunto {>, <, ≥, ≤, ≠, =}. Esse
conjunto pode ser estendido por parte do usuário. Por exemplo, pode ser definido um
operador IN para retratar o fato de um instante de tempo estar dentro de um intervalo.
Valor - É o valor coletado do ambiente naquele momento relativo ao elemento
que está sendo levado em consideração, esse valor é variável, por exemplo, o elemento
pode ser á hora e seu valor 8am.
20
Propriedade de contexto – Uma propriedade de contexto é uma característica
do contexto naquele momento, os atributos que o descrevem, e pode estar associada a
quem executa ou sofre a ação.
Entidade de contexto – Elemento do ambiente que sofre ou executa uma ação.
Uma entidade de contexto possui um conjunto de propriedades de contexto a ela
associadas as quais descrevem as características do ambiente ao seu redor no momento
da requisição de acesso.
Expressão de contexto – Descreve determinada situação que mapeia um
contexto. Pode ser representada por uma entidade de contexto e suas propriedades ou
por um conjunto de entidades de contexto com suas propriedades. Uma expressão
contextual pode possuir qualquer entidade de contexto associada a ela.
Segundo Junior Bandeira (2010) o significado de expressão contextual leva a
definição de contexto: “encadeamento de informações sobre um dado ambiente” ou
“conjunto de ideias, situações, eventos e informações necessárias para o correto
entendimento do ambiente” em que as informações são mostradas na forma de
propriedade. Uma expressão contextual, então, pode ser reconhecida como “um
conjunto de propriedades relacionadas a uma ou mais entidades”, ou seja, contém
informações que caracterizam as entidades. Assim, entende-se um contexto como um
encadeamento de propriedades relacionadas a entidades em um ambiente, o que pode
ser traduzido como um conjunto de expressões contextuais, sendo assim chega-se a
seguinte definição, que contexto são características do ambiente formadas por uma ou
mais expressões de contexto. (Junior Marcos Bandeira, 2010).Existem ferramentas que
executam o controle de acesso facilitando o gerenciamento, uma das opções é o
Fortigate (da empresa Fortinet, mais detalhes no tópico 2.12 que será utilizado na
configuração da rede escolhida para executar o projeto, além deste software temos o
TMG(Threat management Gateway), que é um produto da Microsoft, ambos são pagos,
enfim existem vários softwares que podem gerenciar acessos, e com isso controlar o
tráfego de informações na rede especificada.
Este tipo de software é capaz de filtrar sites que podem ser acessados por
usuários de uma determinada rede, horários que os acessos são liberados para algumas
categorias de sites (sites de noticias, esporte), dependendo do tipo de gestão
21
especificado pela empresa, se funcionários devem ou não ter horários para este acesso,
ou seja, dentro de um contexto montado o software pode se adaptar e atender as
demandas realmente necessárias, forçando o usuário a manter o foco em suas tarefas,
além de prover uma segurança para a empresa em relação a vírus entre outras ameaças
que podem ser executadas durante a navegação na internet.
2.11 Ferramenta de controle de tráfego Forefront TMG( Threat management
Gateway)
TMG (Forefront Threat Management Gateway) é um software pago fornecido
pela Microsoft, ele traz maior segurança no uso da internet dentro de empresas de
pequeno ou grande porte, oferecendo múltiplas camadas de proteção. (Technet, 2010).
2.11.1 Diretivas e conjuntos de regras
O controle do TMG é realizado através de diretivas que dentre elas estão as
seguintes:
Diretivas de Firewall (faz a inspeção de todo o conteúdo acessado entre a rede
interna e externa), Regras de acesso (controla o acesso a internet de um determinado
computador ou uma rede de computadores), regras de publicação na Web (controla o
acesso a servidores de sites entre outros que estão publicados na web), regras de
publicação no servidor (controla o acesso a servidores locais, não publicados na web),
diretivas do sistema (controla o tráfego para e da rede de host local, ou seja, onde o
TMG realiza todos os controles de usuário, domínio, diagnostico de rede, registro em
log, gerenciamento remoto), regras de rede (especificam a relação de recursos entre
redes (Technet, 2010).
.
2.11.2 Fluxo de processo de solicitação
As maneiras as quais o TMG processa as informações são as seguintes:
a) Verifica a solicitação em relação às regras de rede para ver se existe a
relação de rede necessária entre a origem e o destino.
22
b) Verifica a solicitação em relação à diretiva do sistema para determinar se
uma dessas regras do sistema permite ou nega solicitação.
c) Verifica a solicitação em relação à diretiva do firewall na ordem em que as
regras aparecem na lista.
d) Após estas verificações o TMG associa uma regra a solicitação de acesso,
com exceção do tráfego controlado pelo Proxy da web que é onde determina se o
tráfego deve ser roteado ou aplicado NAT (conversão de endereços de rede).
2.11.3 Sobre regras de acesso
As regras de acesso são estruturadas da seguinte maneira dentro do TMG
associadas a solicitações:
Protocolo – A regra define um ou mais protocolos com uma direção de saída.
De – O endereço de origem é definido na regra. A origem pode ser toda uma
rede, um conjunto de redes, um computador ou um conjunto de computadores, uma
faixa de endereço IP ou uma sub-rede.
Agendamento – O agendamento de regras controla o momento em que a regra
é aplicada.
Para – o destino é definido na regra. O destino pode ser toda uma rede, um
conjunto de redes, um computador ou um conjunto de computadores, uma faixa de
endereços IP, uma sub-rede, um conjunto de nomes de domínios ou um conjunto de
URLs. Em alguns casos, pode ser necessária uma pesquisa DNS para verificar se a
solicitação é correspondida.
Usuários – A regra aplica-se a todos os usuários (para acesso anônimo), a
todos os usuários autenticados (aplicadas a qualquer usuário que possa se autenticar
com êxito) ou a um grupo de usuários específico.
Grupos de conteúdos – A regra aplica-se a tipos específicos de conteúdos.
23
As regras que rejeitam o acesso são processadas antes das regras que permitem,
sendo assim, se a solicitação se encaixar em alguma regra de rejeição o processo para e
o acesso é bloqueado (Technet, 2010).
2.11.4 Sobre regras de publicação
O ForeFront TMG usa os seguintes conjuntos de regras de publicação para
habilitar o acesso da rede externa a servidores publicados na rede interna:
Regras de publicação na Web – Permitem o acesso aos servidores Web
publicados. Para solicitação HTTP ou HTTPS para um ouvinte da Web, o ForeFront
TMG verifica as regras de publicação e, em seguida as regras de encadeamento da Web
para determinar se a solicitação é permitida e de que forma ela deve ser controlada.
Regras de publicação no servidor – Permite o acesso aos servidores não Web
publicados. Para solicitações que não sejam HTTP, o ForeFront TMG verifica regras de
rede e, em seguida, regras de publicação para determinar se as solicitações são
permitidas (Technet, 2010).
2.11.5 Processando nomes e endereços
As solicitações HTTP podem conter um nome, um FDQN (nome de domínio
totalmente qualificado) ou um endereço IP. O ForeFront TMG trata o nome ou endereço
da seguinte forma:
Se uma solicitação HTTP usa um nome de site, por exemplo, o google ( www.
google.com.br) o ForeFront TMG executa uma resolução de nomes de encaminhamento
a um servidor DNS para obter um FQDN associado e os endereços IP. Em seguida, o
ForeFront TMG tenta associar elementos a uma regra.
As solicitações HTTP são analisadas e comparadas com regras existentes para
após liberar o acesso ou não, independente de como o nome do site está qualificado, ou
seja, se for URL, FDQN (nome de domínio totalmente qualificado), ou um endereço IP.
Se uma solicitação HTTP usa endereço IP, o ForeFront TMG primeiro verifica
se uma regra corresponde a esse endereço. Durante esse processo se o ForeFront TMG
encontra uma regra que exige um nome, ele executa a resolução de nome inverso para
24
obter o FQDN desse endereço IP. Em seguida, pode comparar o FQDN então as
definições de regra de acesso.
Se houver falha na resolução de nomes reversa, apenas o endereço IP original
na solicitação será usado em comparação com as definições (Technet, 2010).
2.11.6 Tratando regras de acesso que requerem autenticação
Quando uma regra especifica que a autenticação é necessária, o Forefront TMG
solicita que o cliente apresente credenciais. Se o cliente não pode fornecer credenciais, a
solicitação é cancelada antes de a regra ser avaliada. Clientes SecureNAT não podem
fornecer credenciais, e se uma solicitação feita por um cliente SecureNAT corresponde
a uma regra que exige autenticação, a solicitação é negada (Technet, 2010).
2.11.6.1 Relacionamentos de rede
. Um dos seguintes relacionamentos pode ser usado em cada regra de rede:
2.11.6.2 Relacionamento de roteamento
Os relacionamentos de roteamento são bidirecionais. Por exemplo, se uma
regra de rede definir um relacionamento de roteamento da rede A para a rede B, então
um relacionamento existirá da rede B para a rede A. As solicitações de clientes
provenientes da rede de origem ou de destino são encaminhadas diretamente para a
outra rede, sem alteração dos endereços IP da origem e do destino. Use um
relacionamento de roteamento onde os endereços IP não precisem ficar ocultos entre as
redes. Essa é uma configuração comum entre duas redes com endereços de IP públicos
ou entre duas redes com endereços privados. Em ambos os casos, os hosts em cada rede
precisam definir o endereço IP do Forefront TMG nas redes locais como o roteamento
para a outra rede. Em muitos casos, a simples definição do endereço IP do Forefront
TMG como o gateway padrão é suficiente. Ao criar regras de acesso ou regras de
publicação de servidor, um relacionamento de roteamento afetará o tráfego desta forma:
Ao usar regras de acesso, o Forefront TMG encaminhará o tráfego mantendo
os endereços IP de origem e destino intactos.
25
Ao usar as regras de publicação de servidor, o Forefront TMG encaminhará o
tráfego da mesma forma que o faz em regras de acesso, mas utilizará filtros de
aplicativo diretamente. Por exemplo, o filtro SMTP não é usado para o tráfego SMTP
manipulado por uma regra de acesso, mas é usado com o tráfego manipulado por uma
regra de publicação de servidor (Technet, 2010).
2.11.7 Relacionamento NAT
Os relacionamentos de NAT (Conversão de Endereços de Rede) entre redes
são unidirecionais. O tráfego é tratado de acordo com a origem ou destino do tráfego. O
Forefront TMG executa o NAT da seguinte forma:
Em regras de acesso, o Forefront TMG substitui o endereço IP do cliente na
rede de origem pelo endereço IP padrão do Forefront TMG na rede de destino. Por
exemplo, se você criar um relacionamento NAT em uma regra de rede entre a rede
interna e a rede externa, o endereço IP da origem de uma solicitação proveniente da rede
interna será substituído pelo endereço IP padrão do adaptador de rede do Forefront
TMG conectado à rede externa. As regras de acesso que manipulam o tráfego entre
redes definida por um relacionamento NAT só pode utilizar a rede de origem
especificada na guia De e a rede de destino especificada na guia Para da regra.
Em regras de publicação de servidor, o cliente na rede de destino se conecta ao
endereço IP do Forefront TMG no qual a regra de publicação escuta solicitações.
Quando o Forefront TMG encaminha o tráfego ao servidor publicado, ele substitui o
endereço IP do Forefront TMG pelo endereço IP do servidor interno que está
publicando, mas não modifica o endereço IP de origem. Observe que, em
relacionamentos NAT, as regras de publicação de servidor só podem acessar a rede
especificada como a rede de destino. Além disso, como a publicação de servidor nas
redes com NAT mantém o endereço IP intacto ao encaminhar tráfego ao servidor
publicado, o servidor publicado precisa usar o computador do Forefront TMG como o
último salto na estrutura de roteamento para a rede de destino. Se isso não for possível,
configure as regras de publicação de servidor para usar a configuração As solicitações
parecem vir do computador do Forefront TMG. Isso faz com que o Forefront TMG
execute uma NAT completa no tráfego tratado pela regra, planejando controlar o acesso
de rede (Technet, 2010).
26
2.12 Fortigate
Fortigate é um Firewall da empresa Fortinet que oferece uma proteção de alta
confiança para redes de computadores utilizando protocolo ipv6 ou ipv4, alta
disponibilidade, além de trabalhar com uma suíte dinâmica de roteamento de
protocolos, ou seja, vários tipos de protocolos assim como, traffic shaping (onde pode
ser modelado o tipo de tráfego), IPsec, e SSL(Secure Sockets Layer - SSL (em
português: Protocolo de Camada de Sockets Segura))(Fortinet, 2011).
O protocolo SSL provê a confidencialidade (privacidade) e a integridade de
dados entre duas aplicações que comuniquem pela Internet. Isto ocorre através da
autenticação das partes envolvidas e da cifra dos dados transmitidos entre as partes.
Esse protocolo ajuda a prevenir que intermediários entre as duas pontas da comunicação
tenham acesso indevido ou falsifiquem os dados transmitidos (Fortinet, 2011).
O Fortigate é capaz de criar VPN (Rede Privada Virtual) que é uma rede de
comunicações privada normalmente utilizada por uma empresa ou um conjunto de
empresas e/ou instituições, construída em cima de uma rede de comunicações pública
(como por exemplo, a Internet). O tráfego de dados é levado pela rede pública
utilizando protocolos padrão, não necessariamente seguros. Entre outras características
estão, autenticação de usuário, otimização de WAN, efetua scanning de vírus, controle
de aplicações, controle de utilização da WEB, um completo e detalhado gráfico sobre o
tráfego da rede, relatório completo de todas os acessos de usuários, capaz de checar uma
imensa quantidade de URLs procurando por spam (Fortinet, 2011).
A praticidade de instalar o Fortigate devido a ele ser um aparelho com tudo
embutido, processador de alta velocidade, memória, e um software de gerenciamento
que pode ser acessado de qualquer local da rede através de um navegador com acesso
baseado em HTTPS, que é um protocolo mais seguro para este tipo de acesso
considerando que todo e qualquer tipo de alteração (por exemplo: liberações de sites
para todos os perfis sem prévia analise de necessidade) feita pode trazer danos à rede,
por isso ele deve ser controlado por um profissional qualificado e com amplos
27
conhecimentos na administração do mesmo. A figura 1
mostra um dos modelos
disponibilizado pela empresa Fortinet (Fortinet, 2011).
Figura 1 Fonte: http://www.fortinet.com/products/fortigate/111C.html
Na figura 2 é possível ver a interface principal do software de gerenciamento
do Fortigate. Em seguida será explicada algumas das funcionalidades mostradas na
figura.
28
Figura 2 Fonte: Próprio autor
2.12.1 UTM Profiles
Na aba UTM profiles no canto inferior esquerdo está incluído antivírus, web
filtering, controle de aplicação, intrusion protection (IPS), filtro de e-mail, pode-se criar
grupos de usuários para posteriormente criar politicas de segurança que se aplicam a
todo o grupo (por exemplo: podemos liberar um site somente para o perfil de TI (Setor
de Tecnologia da Informação)). Este software vem configurado um padrão de proteção,
mas pode-se modificar completamente todas as regras aplicadas segundo o ambiente
onde o mesmo será instalado.
É necessário controlar os acessos dos usuários a Web sites, mas não está
disponível a Url que deve ser bloqueada pelo firewall, sendo assim o Fortigate tem em
seu software uma categorização de web-sites, dentre elas está a categoria Security Risk
and Bandwidth Consuming, se o site visitado pelo usuário se encaixar nesta categoria
29
e a mesma estiver marcado a opção de Block o mesmo não terá acesso, a figura Z a
seguir mostra algumas categorias a mais para exemplo.
Abaixo nome do perfil
ou grupo .
Criar novo grupo
Ao lado esquerdo estão categorias em que
sites podem se encaixar dependendo do
conteúdo.
Figura 3 Fonte: Próprio autor
Na figura 3 estão visíveis várias categorias padrão do Fortigate, pode-se
verificar que a categoria que é citada acima (Security Risk e Bandwidth Consuming)
está bloqueada, e dentro destas categorias existem outras categorias que também estão
bloqueadas devido ao risco oferecido quando ocorre o acesso a um site que se encaixa
neste tipo de categoria, o usuário pode baixar arquivos entre outros softwares mau
intencionados danificando um computador ou até mesmo uma rede de computadores.
O primeiro campo da figura 3 pode identificar o grupo WBF_RESTRITO onde
todas estas opções de bloqueio e acesso, estão configuradas, sendo assim o usuário que
estiver adicionado neste grupo não consegue visualizar nenhum site categorizado abaixo
30
como bloqueado. Tem-se a opção de criar vários grupos como este WBF_RESTRITO e
configurar os acessos para cada um deles inserindo quais usuários de determinado setor
podem ter estas liberações conforme a necessidade e analise do responsável pelo
gerenciamento do Fortigate. Para a criação deste grupo basta clicar no botão com um
sinal de + (create new) ao lado do campo onde se localiza o nome dos grupos já criados,
e assim podemos preencher os campos mostrados na Figura W (Name “nome do grupo
ou perfil, Comments “comentário sobre o mesmo”), logo abaixo para selecionar as
opções é só clicar no check box correspondente a opção de categoria dos sites que serão
bloqueados ou liberados (Fortinet, 2011).
Para a liberação de um site especifico solicitado por um usuário após a analise
técnica dos riscos deve-se seguir os passos a frente conforme figura W2.
Figura 4 Fonte: Próprio autor
No campo URL inserir o link que será liberado, selecionamos a categoria e a
subcategoria que vamos encaixar o site, clicar no campo OK, e assim temos nosso site
liberado para livre acesso.
Baseado nas configurações acima pode-se criar um ambiente de navegação
organizado para cada setor de uma empresa onde o foco vai se tornar o ambiente de
31
aplicação levando em consideração a analise do administrador da rede juntamente com
o representante de cada setor, assim criando grupos e dentro deles controlando o acesso
pelas categorias bloqueando ou não os acessos dos usuários a determinados tipos de
sites (Fortinet, 2011).
2.13 ADUC – Active Directory User and Computers
ADUC (Active Directory User and Computers) funciona como uma agenda
onde, por exemplo, todas as informações de um usuário de rede, senhas, grupos de
acesso a que ele pertence, informações pessoais, organizacional assim com cargo,
numero de matricula, tendo todos estes dados gravados em uma base de dados onde
todos os servidores da rede pode ter acesso para confirmação de logins e dentre outras
informações. O Active Directory pode oferecer segurança, rapidez nas informações e
alta disponibilidade transformando-o em software de controle de diretório muito
utilizado pelas grandes organizações, fornecido pela Empresa Microsoft (Rover, 2012).
A imagem mostra alguns benefícios do AD.
Figura 5 Fonte :(Rover,
2012)
O Active Directory em uma instalação default cria-se um banco de dados
chamado de NTDS.dit localizado na pasta %SystemRoot%\NTDS\ntds.dit e mais 5
arquivos relacionados:
32
Ntds.dit - Arquivo de banco de dados do AD.
Edb.log - Arquivo onde são armazenados todas as transações feitas no AD.
Edb.chk - Arquivo de checkpoint controla transações no arquivo Edb.log já
foram comitadas no arquivo Ntds.dit.
Res1.log - Arquivo de reserva assegura que alterações sejam gravadas na
base(Ntds.dit) no caso de falta de espaço em disco.
Res2.log - Arquivo de reserva assegura que alterações sejam gravadas na
base(Ntds.dit) no caso de falta de espaço em disco.
Estes arquivos formam um DC (Domain Controler) em português controlador
de domínio, que tem todos os dados de usuários e computadores necessários para que o
Active Directory funcione perfeitamente trabalhando como um pilar demostrado na
figura (Rover, 2012).
Figura 6 Fonte :(Rover,
2012)
33
Se algum destes pilares falhar ou perder a conexão, tem-se replicas atualizadas
para que os servidores possam buscar os dados necessários contidos no DC, é uma
forma de backup dos dados e configurações necessárias para a rede funcionar
perfeitamente, se um dia acontecer algum problema com um dos servidores. A imagem
mostra a ilustração mais clara onde tem-se três servidores com replicas do AD com 3
DC’s atualizados (Rover, 2012).
Figura 7 Fonte :(Rover,
2012)
O AD pode ser dividido em duas estruturas a lógica e física, quando falamos em
arvores de domínio, grupos de domínio, objetos (representam usuários, computadores,
impressoras), OU - (Organizational units) unidades organizacionais em português
(utilizado para organizar os objetos com o se fosse um container, pode ser geográfica
subdividindo por cidades, setorial dividindo-se em setores da empresa..), e florestas, são
uma estrutura lógica. O domínio é uma das partes mais importantes que definem os
acessos, quem está fora não entra e quem está dentro não sai dependendo da
configuração do administrador da rede, o domínio também pode ter uma relação de
confiança com outros domínios. A imagem mostra uma estrutura básica (Rover, 2012).
34
Figura 8 Fonte :(Rover,
2012)
A estrutura física é os DC (Domain Controlers) e sites, que mantém a
segurança no relacionamento entre outros locais físicos, ou seja, outros domínios. Os
DC’s tem a função de armazenar a base de dados e executar o Active Directory e os
sites servem para organizar a latência de replicação de DC’s (Rover, 2012).
2.14 Controle de acesso ao conteúdo da Internet na CEAGRO
A rede da empresa Ceagro tem um controle de usuários baseado no Active
Directory (Que fornece os meios para gerenciar identidades e relacionamentos que
compõem a rede da organização. Integrado ao Windows Server 2008 R2, o Active
Directory fornece a funcionalidade imediata necessária para configurar e administrar
centralmente os parâmetros do sistema, de usuários e aplicativos).
Portanto grupos de usuários são criados dentro do AD (Active Directory)
baseados em perfis separados por setores internos da empresa, onde cada setor deve ter
suas restrições de acesso e com base em análises suas liberações de acesso, por
exemplo, (o setor do departamento pessoal necessita de liberações de acessos a sites que
envolvem gestão de pessoas), portanto cada setor da empresa possui suas especificações
de acesso amarrando os funcionários da empresa a executar acessos somente onde
realmente necessitam. Fortigate estabelece uma comunicação com o AD (Active
Directory) para identificar os grupos de usuários de cada setor e realizar o tratamento de
acesso aos mesmos.
35
Sendo assim serão utilizados os nomes de alguns setores para criar políticas de
acesso baseados em suas necessidades dentro do Fortigate assim como: (TI, RH,
Comercial, Fiscal, Financeiro, ambiental, produção), sendo escolhidos estes nomes de
setores devido os mesmos nomes de grupos estarem previamente criados dentro do AD
(Active Directory), assim pode-se tratar os acessos com organização buscando uma
linha para todos os programas utilizados dentro da rede.
3 CONSTRUÇÃO DE POLITICAS DE ACESSO A INTERNET PARA CEAGRO
Todas as configurações realizadas foram baseadas nas politicas e regras da
empresa e conforme analise executada com usuários e setores focando necessidades
reais para que cada pessoa possa executar seu trabalho sem dificuldade de acesso a
informações da internet.
3.1 Criar grupos de navegação no AD (Active Directory)
O primeiro passo para a construção das politicas de controle de acesso a
internet na rede Ceagro, é analisar quais grupos devem ser criados em relação aos
setores existentes na empresa, sendo assim foram escolhidos os seguintes:
Produção
RH
TI
Fiscal
Financeiro
Comercial
Logística
Ambiental
Estes grupos devem ser criados no AD (Active Diretory) assim como mostra a
figura 9, clicar com o botão direito do mouse na tela, Novo, Grupo.
36
Figura 9 Fonte: Próprio autor
Deve-se preencher os campos mostrados na figura 10 com o nome do grupo e
clicar em ok, no caso abaixo o nome do grupo ficou Produção, após é só seguir os
mesmos passos e nomear os outros grupos citados acima, assim como, RH, TI, Fiscal e
etc, até que todos os grupos estejam criados.
37
Figura 10 Fonte: Próprio autor
3.2 Adicionando um grupo de navegação para usuários
Para adicionar um perfil de navegação para um usuário basta ir à OU de
usuários no AD (Active Directory), clicar no local em que o usuário se encontra no caso
abaixo é Balsas, clicar com o botão direito em cima do usuário desejado, escolher a aba
“membros de”, clicar no botão Adicionar, na tela seguinte digitar o nome do grupo em
que o usuário deve ser inserido no campo em branco e confirmar a operação, a figura 11
mostra mais claramente a operação.
38
Figura 11 Fonte: Próprio autor
3.3 Configurando Fortigate com o AD ( Active Directory)
Após as configurações citadas no tópico 2.14.1 e 2.14.2 a parte em que envolve
o AD (Active Directory) está completa. O próximo passo é configurar o Fortigate para
reconhecer o domínio em que estão alocados os usuários e grupos de acesso à internet,
na figura 12 estão inseridos os dados necessários para que o Fortigate reconheça o
servidor do AD (Active Directory) da empresa.
39
Figura 12 Fonte: Próprio autor
No primeiro campo da figura 12 tem-se o campo Primary DNS server que deve
ser preenchido com o endereço ip do servidor onde se encontra o AD (Active
Directory), no campo Secondary DNS server tem-se o o ip de outro servidor com uma
replica do AD, se alguns dos 2 servidores apresentar problemas tem-se uma segunda
opção, o terceiro campo (Local Domain Name) é preenchido com o nome de domínio
da empresa no caso é o ceagrobrasil.com.
O próximo passo é configurar o caminho da OU onde se encontram os usuários
criados no AD, criando uma nova conexão.
40
Figura 13
Clicando em Create New como mostra a figura 13, tem-se os campos a
preencher vistos na figura 14:
Figura 14 Fonte: Próprio autor
Estes campos foram são preenchidos conforme informação de endereço do
nome do servidor onde se encontra o AD (Active Directory) da empresa, ip, porta onde
é liberado o acesso, nome de identificação sincronizado, caminho da pasta onde se
41
encontram os usuários, domínio e senha para conexão, se for configurado em outra
empresa tem que ser configurados com as especificações do AD da mesma, sendo
distintos quando em locais diferentes.
3.4 Criando os grupos de acesso no Fortigate
Os mesmos grupos de acesso a internet que devem ser criados no AD( Active
Directory) citados no tópico 3.1, devem ser criados no Fortigate com nomes idênticos,
sendo assim ele faz a comparação do nome para identificar se realmente é o grupo que
está criado dentro do Fortigate que é responsável por aplicar as regras de acesso para
determinados grupos. Para criar um novo grupo no Fortigate são seguidos os passos da
figura 15.
Figura 15 Fonte: Próprio autor
Após clicar em Create New é necessário preencher os campos da figura 16 com
o nome do grupo:
42
Figura 16 Fonte: Próprio autor
Este passo que foi citado figura 16 é seguido até que todos os grupos citados no
tópico 2.14.1 estejam criados.
3.5 Politicas temporais
Considerando que politicas temporais são aquelas em que é definido um
período de tempo para limitar ou liberar acessos a internet.
A maioria das empresas tem a necessidade de um horário com um tipo de
acesso diferenciado sem tanta rigidez no controle, onde sites de noticias, lojas online, email pessoal com bate-papo são liberados, mas sempre mantendo o principio de analisar
os critérios de segurança da empresa e opiniões de gestores de cada setor. Para criar este
grupo que se pode dar qualquer nome dependendo da aplicação desta politica, é simples,
como mostra a figura 17:
43
Figura 17 Fonte: Próprio autor
Clicando na aba Firewall Objects, Shedules, tem-se o botão Create New na
figura 17, após estes passos basta preencher os campos da figura 18 a seguir com os
dados, nome do horário que pode ser escolhido conforme o administrador de rede
desejar (campo Name), marcar as opções com os dias em que o horário vai se impor
(campo Day of the Week), e o campo de hora de inicio e hora final (Start time, Stop
time).
Figura 18 Fonte: Próprio autor
44
Com a categoria criada assim como a de exemplo na figura 18 (de nome Free
Time 1) sites escolhidos pelo administrador da rede poderão ser liberados funcionando
como uma categoria de liberações restritas a faixa de horário escolhido. Como liberar
sites dentro desta categoria vai ser mostrado no tópico 3.7 Liberação de sites.
3.5.1 Politica aplicada no horário após expediente diurno
Com os passos citados no tópico 3.5 Politicas temporais pode-se criar a politica
com o nome de Free Time, sendo aplicada em todos os dias uteis da semana (Monday,
Tuesday, Wednesday, Thursday, Friday) e com horário de inicio as 19:00 hrs e se
encerrando as 23:00 hrs. Esta politica vai ter como características de acesso livre a sites
de categoria de entretenimento, noticias, vídeos, sites educacionais. Os passos para
liberar sites dentro desta politica serão explicados no tópico 3.7 Liberação de sites.
3.5.2 Politica horário de almoço livre
A politica é criada com os mesmos passos citados no tópico 3.5 Politicas
temporais, o nome aplicado será Free Lunch time, o horário é modificado para se iniciar
as 12:00 hrs e encerrar as 13:42 hrs nos seguintes dias (segunda-feira, terça-feira,
quarta-feira, quinta-feira, sexta-feira) para que se cumpram estes dias é só marcar o
check box dos dias correspondentes em inglês na figura 18, a criação desta politica leva
em consideração usuários que se mantem no local de trabalho no horário de almoço,
este horário pode trazer uma distração, passa tempo, ou até uma forma do usuário ter
um contato com a família, amigos, ou seja, sites de relacionamentos podem ser
liberados, noticias, vídeos entre outros analisados pelo administrador da rede. Os passos
para liberar sites dentro desta politica serão explicados no tópico 3.7 Liberação de sites.
3.5.3 Politica sábado livre
Existe um pequeno quadro de funcionários que trabalha nos finais de semana
então deve-se criar a politica de acesso a internet do dia de Sábado, os passos de criação
seguem os mesmos citados no tópico 3.5 Politicas temporais, mudando apenas o nome
para Free Saturday e o horário se iniciando em 12:00 hrs e se estendendo até as 23:00
hrs, marcando como dia de aplicação somente o check box de sábado( Saturday)
liberando sites de entretenimento, noticias, redes sociais, e-mail pessoal. Os passos para
liberar sites dentro desta politica serão explicados no tópico 3.7 Liberação de sites.
45
3.5.4 Politica domingo livre
Com o mesmo sentido da politica de segurança do sábado livre, mas com o
nome de Free Sunday , horário se iniciando as 07:00 e se encerrando as 23:00,marcando
como check box dia somente o domingo (Sunday). Usuário terá acesso a sites de
entretenimento, noticias, vídeos, redes sociais, dentre outros analisados pelo
administrador da rede. Os passos para criação da politica são os mesmos citados no
tópico 3.5 Politicas temporais mudando somente as variáveis de dia de aplicação e
horário. Os passos para liberar sites dentro desta politica serão explicados no tópico 3.7
Liberação de sites.
3.5.5 Politica horário de trabalho predominante 1
Está politica de segurança tem como objetivo manter o foco dos funcionários
somente em sites que são de necessidade especifica para exercer cada função, ou seja, se
o funcionário é do setor financeiro então ele terá acesso somente a sites do seguimento
financeiro, fiscal somente a sites relacionados ao fiscal (receita federal, sefaz, secretária
da fazenda, etc), sites de entretenimento, vídeos, redes sociais não serão liberados neste
horário. A criação desta politica segue o mesmo conceito citado no tópico 3.5 Politicas
temporais, mas no local do nome é modificado para Worktime 1, o horário de
imposição da politica se inicia as 07:00 e encerra as 12:00 marcando todos os dias da
semana (Monday, Tuesday, Wednesday, Thursday, Friday) menos sábado e domingo (
Saturday, Sunday). Os passos para liberar sites dentro desta politica serão explicados no
tópico 3.7 Liberação de sites.
3.5.6 Politica horário de trabalho predominante 2
Está politica de segurança tem o mesmo objetivo de acesso da politica de
segurança citada no tópico 3.5.5, mas o nome aplicado será Worktime 2 e o horário
aplicado será das 14:00 hrs até as 19:00 marcando todos os dias da semana (Monday,
Tuesday, Wednesday, Thursday, Friday). Os passos para criação da politica são os
mesmos citados no tópico 3.5 Politicas temporais mudando somente as variáveis de dia
de aplicação e horário. Os passos para liberar sites dentro desta politica serão explicados
no tópico 3.7 Liberação de sites.
46
3.5.7 Politica horário de trabalho predominante 3
Está politica de segurança será aplicada com os mesmos acessos das politicas
citadas nos tópicos 3.5.6 e 3.5.7, mas com o nome de Worktime 3, iniciando as 23:00 e
se estendendo até as 07:00 hrs de todos os dias da semana sem nenhuma excessão, ou
seja, todos os check box dos dias devem ser marcados (Monday, Tuesday, Wednesday,
Thursday, Friday, Saturday, Sunday). A politica deve ser aplicada durante o turno
noturno. A empresa Ceagro não funciona todos os dias neste horário, mas em certos
períodos alguns funcionários podem ter que exercer suas atividades durante o worktme
3 então devemos assegurar de que ele só vai estar acessando os sites necessários para
sua função, caso contrário o funcionário que utiliza de alojamento da empresa deve estar
em horário de descanso com no mínimo 8 hrs de sono e não distraído com sites de
entretenimento, redes sociais, vídeos. Os passos para criação da politica são os mesmos
citados no tópico 3.5 Politicas temporais mudando somente as variáveis de dia de
aplicação, horário e nome. Os passos para liberar sites dentro desta politica serão
explicados no tópico 3.7 Liberação de sites.
3.6 Politicas baseadas em intervalos de ip’s
A Ceagro possui 4 redes internas separadas por faixa de ip’s (rede sem fio
interna, rede sem fio para visitantes, rede cabeada AMA (projeto de apoio a crianças
carentes localizado na associação da empresa), rede cabeada interna da filial. Pode-se
utilizar estas faixas de ip para liberar sites, desta maneira há uma maior facilidade para
liberações a nível de todos os usuários da empresa, assim como, sites de bancos, sites de
organizações do governo, sites recomendados internamente para todos os usuários,
portal interno da empresa dentre outros.
O primeiro passo para criar o grupo de cada faixa de ip é criar o endereço
dentro do Fortigate, ou seja, qual o ip de inicio e o ip de alcance de cada rede. A figura
19 mostra os passos:
47
Figura 19 Fonte: Próprio autor
Na aba Firewall Objects, Addresses, Addresses, clicando em Create New vai
surgir a seguinte tela na figura 20.
Figura 20 Fonte: Próprio autor
No campo Name coloca-se o nome da rede ou grupo que no caso vai ficar WiFi Ceagro, o campo Type deve ser escolhido IP range (ip de alcance), no campo Subnet/
IP Range deve-se colocar a faixa de ip’s em que a rede sem fio se localiza, por exemplo,
192.168.50.1-192.168.50.30 este será o intervalo em que a regra de liberação de site vai
se aplicar.
48
Após a criação dos grupos e intervalos de endereços de ip’s de alcance, deve-se
criar o grupo com o mesmo nome na aba Security Profiles, Web filter, Profiles, passos a
seguir estão na figura 21.
Figura 21 Fonte: Próprio autor
A flecha no canto direito da figura indica o botão de criação de um novo grupo
ou perfil de liberação, a flecha da esquerda indica as categorias em que pode-se liberar
sites dentro do grupo, para escolher as categorias basta clicar em cima que ela modifica
para bloqueado ou então se ela deve ficar liberada é só deixar da maneira como está na
figura. Finalizando o processo com o botão OK. Os passos para liberar sites dentro das
politicas criadas em intervalos de ip serão explicados no tópico 3.7 Liberação de sites.
Figura 22 Fonte: Próprio autor
3.6.1 Politica Sites liberados na rede Wi-Fi Ceagro
Para criar está politica basta seguir os passos citados no tópico 3.6,
modificando o nome para Wi-Fi Ceagro, a faixa de ip’s em que ela vai se aplicar
começa em 192.168.60.150/192.168.60.230 e criar o grupo para liberações de sites
nesta faixa de ip, pode-se chegar a conclusão de que somente notebooks vão estar nesta
49
faixa de ip, então os sites liberados para este grupo vão se aplicar somente a este tipo de
equipamento, como a empresa utiliza somente uma marca de notebook pode-se
aproveitar esta faixa de ip’s para liberar atualizações de software e hardware para os
equipamentos, entre outros sites destinados somente a usuários de notebook. Os passos
para liberar sites dentro desta politica serão explicados no tópico 3.7 Liberação de sites
3.6.2 Politica aplicada na rede interna cabeada
Os passos para criar está politica está citado no tópico 3.6, o nome deve ser
Rede interna cabeada, a faixa de ip’s aplicada inicia em 192.168.60.100 até o ip final
192.168.60.150, o grupo de liberações de sites deve ser criado com o mesmo nome
(Rede interna cabeada), as liberações de sites neste grupo vai se aplicar somente em
computadores desktop, qualquer tipo de site pode ser liberado nesta faixa de ip
dependendo da necessidade. Os passos para liberar sites dentro desta politica serão
explicados no tópico 3.7 Liberação de sites.
3.6.3 Politica aplicada na rede projeto AMA
Está politica é direcionada para o projeto AMA, este projeto tem por objetivo
ajudar crianças carentes da cidade de Balsas com total apoio da Ceagro, a sede se
localiza nos fundos da empresa e utiliza a rede para acesso a internet, o nome da politica
será rede projeto AMA, a faixa que se aplica está politica vai ser 192.168.60.50 com o
ip final 192.168.60.100, o nome do grupo para liberações é rede projeto AMA, neste
grupo pode-se liberar sites educacionais, sites voltados para crianças, organizações do
governo, etc. A criação segue o conceito citado no tópico 3.6. Os passos para liberar
sites dentro desta politica serão explicados no tópico 3.7 Liberação de sites
3.6.4 Politica aplicada na rede para visitantes
Clientes que visitam a Ceagro tem a sua disposição uma rede Wi-Fi para
visitantes, o nome aplicado a politica será Wi-fi visitantes, a faixa de ip se inicia em
192.168.60.230 com o ip final 192.168.60.250, está rede deve ter o mínimo de
liberações de sites, pode-se liberar sites de pesquisa, sites relacionados a produção
agrícola, logística, financeiro, contabilidade, somente sites de negócios. Os passos para
liberar sites dentro desta politica serão explicados no tópico 3.7 Liberação de sites
50
3.7 Liberação de sites
Para liberar sites no Fortigate é preciso saber para quem vai ser liberado, em
qual setor ou grupo este usuário se enquadra, se o site deve ser liberado somente em um
horário livre definido pelo administrador da rede, dentro de uma politica temporal,
dentro de uma politica de acesso baseada na faixa de ip’s, sendo assim, precisa-se ter o
link do site, por exemplo, o site do Google (www.google.com.br), deve-se considerar
também as categorias pré-definidas no Fortigate para enquadrar sites, na figura 23
seguem as categorias existentes (Local Categories, Potentially Liable (potencialmente
responsáveis), Adult Mature Content (Conteúdo adulto maduro), Bandwidth Consuming
(Consumo de largura de banda), Security Risk (Risco de segurança), General Interest –
Personal (interesse geral pessoal), General interest – Business (Interesse geral
negócios), Unrated (sem classificação)).
Figura 23 Fonte: Próprio autor
No tópico 3.6 é citado os passos para criação de grupos de liberações de sites,
após os grupos estarem criados eles vão aparecer no campo indicado no canto direito da
tela na figura 23, basta clicar no botão ao lado.
51
Dentro do grupo de acesso Freetime pode-se ver as categorias liberadas, Local
Categories, General insterest – Personal (categoria de interesses pessoais), General
Interest - Business (categoria de sites de negócios), dentre outras categorias que estão
bloqueadas devido ao risco oferecido assim como a Bandwidth Consuming que são sites
que o usuário pode baixar arquivos prejudiciais a rede, ou seja, consumo de banda para
download, pode-se liberar está categoria mas com a certeza de que uma hora ou outra
arquivos mau intencionados vão entrar na rede e causar danos, na Figura 23 citamos o
grupo Free time1 como exemplo mas deve-se considerar que este grupo tem condições
especiais um acesso com mais opções de distração para o usuário, assim como o próprio
nome do grupo diz horário livre em português.
Pode-se comparar o grupo de categorias liberadas no Free time 1 com o grupo
de categorias do TI como mostrado na Figura 24 onde agora a categoria Bandwidth
Consuming está liberada, porque colaboradores deste setor devem ter acessos a
downloads de arquivos como, drives, programas, manuais entre outros, considerando
que o profissional da área está preparado teoricamente para saber onde deve procurar
estes arquivos e não colocar a rede da empresa em risco.
Figura 24 Fonte: Próprio autor
52
Para liberar um site solicitado por um usuário, ou de uma lista de sites
adquirida sobre uma pesquisa com os usuários de cada setor da empresa, ou baseado na
faixa de ip, ou então com base na faixa de horário, é feito os passos ilustrados na Figura
25:
Figura 25 Fonte: Próprio autor
Clicando em Create New temos a seguinte tela na figura 26:
Figura 26 Fonte: Próprio autor
53
Na Figura 26 o site liberado esta inserido no campo URL, e a categoria
escolhida para ele é o Sites Freetime, ou seja, este site só vai estar liberado no horário
livre. Vale lembrar que os sites são liberados por categorias, se dentro do grupo TI a
categoria Bandwidth and Consuming não estiver bloqueado pode-se então categorizar o
site que é para ser liberado dentro dela, caso categorizar um site que estiver bloqueado
no grupo TI simplesmente o acesso será negado, por isso antes de liberar deve-se checar
as categorias que estão liberadas em cada grupo. Na figura 27 o site da Dell está sendo
liberado dentro da categoria Bandwidth and Consuming onde somente o pessoal do TI
tem está categoria liberada dentro do grupo TI.
Lembrando que politicas de acesso de grupo criados nos tópicos 3.5 e 3.6
também vão aparecer no campo Category na tela da figura 26, consequentemente podese liberar sites dentro das politicas.
Figura 27 Fonte: Próprio autor
Estes passos acima para liberação de sites são seguidos até que todos os sites
listados na pesquisa sejam liberados para cada setor e conforme solicitados
posteriormente pelos usuários da rede. Abaixo estão os setores e alguns sites que devem
ser liberados:
54
Fiscal
www.receita.fazenda.gov.br
www.danfeonline.com.br
www.webdanfe.com.br
www.geradanfe.com.br
www.nfe.fazenda.gov.br
Tabela 1 Fonte: Próprio autor
Contabilidade
www.portaldecontabilidade.com.br
www.sitecontabil.com.br
Tabela 2 Fonte: Próprio autor
TI
www.microsoft.com
www.dell.com.br
www.lenovo.com.br
www.hp.com
www.olhardigital.com.br
www.inovaçãotecnológica.com.br
technet.microsoft.com/pt-br
www.wikipedia.org
Tabela 3 Fonte: Próprio autor
RH
www.jf.jus.br
www.tst.jus.br
www.catho.com.br
www.revistamelhor.com.br
www.rh.com.br
www.gpportal.com.br
www.gestaoerh.com.br
www.facebook.com
55
www.sine.com.br
Tabela 4 Fonte: Próprio autor
Comercial
www.preçododolar.com
www.mfruralcom.br
www.abrapa.com.br
www.basf.com.br
www.peninsulanorte.com.br
Tabela 5 Fonte: Próprio autor
Produção
www.rural.com.br
www.ruralbr.com.br
www.embrapabr.br
www.ruralbusiness.com.br
www.revistadinheirorural.com.br
www.ibge.gov.br
www.brasil.gov.br
www.agriculturasustentavel.org.br
www.seprotec.com.br/sementes/feijao-bola-cheia.html
www.cifeijao.com.br/
http://pt.aliexpress.com/popular/organic-mung-bean.html
http://150.165.111.246/ojs-patos/index.php/ACSA/article/view/324/pdf
Tabela 6 Fonte: Próprio autor
Ambiental
www.sema.com.br
56
www.aged.ma.gov.br
www.socioambiental.org
www.ibflorestas.org.br
www.mma.gov.br
www.abes-dn.org.br
www.car.gov.br
Tabela 7 Fonte: Próprio autor
Financeiro
www.serasaexperian.com.br
Tabela 8 Fonte: Próprio autor
Sites para todos os setores
www.bb.com.br
www.bancodobradesco.com.br
www.caixa.gov.br
www.bnb.gov.br
www.basa.com.br
Tabela 9 Fonte: Próprio autor
3.8 Politicas baseadas em extensões de arquivos
O Fortigate oferece a função de bloquear as extensões de arquivos que
oferecem riscos para a rede, e será utilizada para cada grupo de navegação criado,
funcionando como um filtro de arquivos que entram na rede e por onde entram,
obviamente o setor de TI também vai ter uma maior liberdade em baixar arquivos de
vários tipos de extensões, é feito o levantamento de extensões existentes circulando pela
internet para montar a lista. A Figura 28 mostra o caminho para inserir extensões para
bloqueios:
57
Figura 28 Fonte: Próprio autor
Clicando em Create New temos a seguinte tela na Figura 29:
Figura 29 Fonte: Próprio autor
Deve-se preencher o campo File Name Pattern com o nome do arquivo que
deve ser bloqueado no caso acima este arquivo será bloqueado dentro do grupo do TI.
Para criar um grupo basta clicar em Create New na tela da figura 30 e colocar o
nome do grupo na tela da figura 31 (Produção, TI, RH, Fiscal, todos os grupos que está
sendo trabalhado), assim como mostra a Figura 25:
58
Figura 30 Fonte: Próprio autor
Figura 31 Fonte: Próprio autor
3.8.1 Politica bloqueio de acesso a extensões aplicado no grupo TI
O setor de TI pode ter acesso à maioria de extensões contidas na internet, o tipo
de extensão que serão bloqueadas neste grupo é mostrado na tabela abaixo:
Lista de extensões
*.msi
Favicon.ico
*.vbs
*.vb
59
Para criar as extensões citadas na tabela e o grupo (TI) onde as extensões
devem ser bloqueadas é necessário seguir os passos citados no tópico 3.7 Politicas
baseadas em extensões de arquivos.
3.7.2 Politicas bloqueio de extensões nos grupos de acesso
Está politica vai se aplicar em todos os outros grupos (RH, Fiscal,
Contabilidade, Produção, Financeiro, Logística, Ambiental, Comercial), todos estes
grupos devem ser criados seguindo os passos citados no tópico 3.7 adicionando as
extensões presentes na tabela abaixo, estas politica vão evitar que usuários comuns sem
um conhecimento avançado sobre extensões disponíveis em vários tipos de site na
internet consigam baixar estes tipos de arquivos. Pode-se considerar que para cada
grupo é gerada uma politica, então dentro do conceito de bloqueio de extensões tem-se
8 politicas de bloqueio de extensões mais a politica de bloqueio de extensões do grupo
Ti que é diferenciada nos tipos de extensões.
Lista de extensões
*.msi
*.vb
*.vbs
*.gif
*.php
*.zip
*.jpeg
*.pn
*msi
*.rar
*.dvi
*.divx
*.ed
*.bs
All.js
Sality.AT
*.gen!inf
60
*.gz
*.m4a
*.mp3
Likebox.php
*.cpl
*.mp2
Tabela 11 Fonte: Próprio autor
3.9 Politica de controle de aplicações
As aplicações executam em vários tipos de sites, assim como em logins,
captcha( imagens de caracteres que devem ser replicados em campos de confirmação),
animações, sistemas de compras online, funcionam como um executável a parte dentro
de sites, o Fortigate pode controlar todos os tipos de aplicação executadas nos
navegadores disponíveis no mercado (Internet Explorer, Mozilla Firefox, Google
Chrome), quando é liberado um tipo de aplicação solicitada, todos os grupos que o site
respectivo a aplicação estiver liberado vão poder executa-la. A Figura 32 mostra
algumas aplicações que devem ser bloqueadas.
Figura 32 Fonte: Próprio autor
61
Para bloquear uma nova aplicação basta clicar em Create New e colocar o
respectivo nome, assim o usuário não terá mais a autorização de executa-la dentro do
site. O problema que tem em relação a aplicações é como identifica-las no site,
geralmente ela não fica visível como o link do site, então o Fortigate oferece a
ferramenta
de
monitoramento
de
aplicações
que
estão
sendo
executadas
(FortiAnalyzer), ele fica dentro do Fortigate mas o endereço de ip para acesso ao
software é diferente, por exemplo (192.168.60.4), basta ir no navegador e digitar o
endereço de rede que está localizado o software.
Figura 33 Fonte: Próprio autor
Na Figura 33 seguindo os passos de acesso em ordem (Log View, seleciona o
Fortigate no caso acima é o de Balsas, em Traffic está visível algumas colunas e dentre
elas está a coluna Application (onde aparece o nome da aplicação), Action (ação tomada
pelo Fortigate em relação a ela, bloquear ou não a execução), e o Host Name é o nome
do site onde está aplicação será executada. Com este monitoramento pode-se então
conseguir o nome da aplicação e criar um novo bloqueio para a mesma dentro do
Fortigate, este trabalho é realizado durante todo o tempo em que se usa o Fortigate, não
existe a possibilidade de bloquear ou desbloquear todos os tipos de aplicações, o que o
62
administrador de rede pode fazer a principio é bloquear as aplicações que executam em
site de downloads de arquivos assim como mostra a Figura 32, que foram selecionadas
assim como do site 4shared, 2safe (Video/áudio, file sharing, storage backup), estas
oferecem riscos a rede.
3.10 Página de exibição de violação de regras e politicas do Fortigate
A imagem mostra a mensagem que o Fortigate exibe quando alguma de suas
regras ou politicas são violadas pelo usuário. A tentativa de acessar um site não liberado
pelo administrador do firewal é analisada pelo mesmo levando em consideração as
regras criadas e assim exibindo o resultado no próprio navegador (Web Page Blocked)
em português página da Web bloqueada, caso o site estiver liberado, simplesmente o
acesso será livre sem exibição de nenhuma mensagem. Esta mensagem de página
bloqueada será exibida para todas as violações de regras não importando a natureza, se é
uma regra de horário, site bloqueado ou até mesmo de extensões de arquivos
bloqueados.
Figura 34 Fonte: Próprio autor
63
4. CONSIDERAÇÕES FINAIS
O objetivo proposto pelo tema do trabalho foi atingido com êxito, politicas
foram construídas baseadas no contexto da rede da empresa Ceagro, onde no cenário
atual não existe um controle de horários, acessos permitidos ou não, aplicações,
extensões, sendo assim a aplicação das politicas citadas vão contribuir, afunilar os
acessos dos usuários a internet.
O Software (Fortigate) utilizado na empresa para controle de acesso a internet
oferece o suporte para todas as politicas de acesso a internet criadas, a aplicação real
destas politicas vão ser analisadas por gestores responsáveis pelo setor de TI, deve-se
levar em consideração que todas politicas podem ser aperfeiçoadas no futuro, ou seja, se
características do ambiente modificar as politicas também podem ser modificadas. A
segurança da informação esta sendo um tema discutido na atualidade, devido as
espionagens ocorridas no Brasil e no mundo, invasões de sistemas, banco de dados,
roubo de informações, então é essencial manter restrições de acesso ao conteúdo da
internet, as politicas criadas é mais uma maneira de manter a segurança dos dados e
informações que circulam na rede da empresa.
A Ceagro possui 62 filiais espalhadas pelo Brasil, cada local possui um
Fortigate, então após analise dos gestores do TI pode-se estender estas politicas para
todas as filiais, toda a empresa segue um mesmo tipo de regras estabelecidas pela
diretoria e TI, o que se aplica a filial de Balsas se aplica em todas as filiais, este projeto
pode contribuir em grande escala dentro da empresa focando a segurança no acesso dos
usuários a internet.
64
5. REFERÊNCIAS
LYRA, Mauricio Rocha, Segurança e Auditoria em Sistemas de Informação. Rio de
janeiro: Editora Ciência Moderna Ltda., 2008.
SOARES, LEMOS, COLCHER.; Luiz Fernando Gomes, Guido, Sérgio; Redes de
computadores das LANs, MANs, WANs às Redes ATM. Rio de Janeiro : Elsevier.
MICROSOFT,
FireFront
TMG
disponivel
em:
<
HTTP://technet.microsoft.com/pt-
br/library/cc441610.aspx > Acesso em: 22 de maio de 2012.
INTERNATIVA, Segurança da informação disponível em:
<http://internativa.com.br/artigo_seguranca_01.html > Acesso em : 20 de Maio de 2012
ROVER, Marinho TECHNET Microsoft, O que é Active Directory, topologia física e
lógica disponível em: < http://technet.microsoft.com/pt-br/library/jj206711.aspx > Acesso
em: 13 de Novembro de 2013.
FORTINET Publishing, The Fortigate Cookbook FortiOS 4.0 MR3. 2011
BANDEIRA, Junior Dissertação de mestrado, Controle de acesso a recursos
computacionais de forma flexível e dinâmica através de contexto. Santa Maria, RS,
Brasil 2010.
65