TCC 2 Fabio Martins de Souzax - Sistemas de Informação
Transcrição
TCC 2 Fabio Martins de Souzax - Sistemas de Informação
1 UNIBALSAS-FACULDADE DE BALSAS SISTEMAS DE INFORMAÇÃO ELABORAR E IMPLEMENTAR POLÍTICAS DE CONTROLE DE ACESSO A INTERNET BASEADO EM CONTEXTO NA REDE CEAGRO Fabio Martins de Souza Balsas, 2013 2 UNIBALSAS – FACULDADE DE BALSAS SISTEMAS DE INFORMAÇÃO ELABORAR E IMPLEMENTAR POLÍTICAS DE CONTROLE DE ACESSO A INTERNET BASEADO EM CONTEXTO NA REDE DA CEAGRO Por Fabio Martins de Souza Trabalho de conclusão de curso apresentado, Como exigência parcial para obtenção do Título de Bacharel em Sistemas de Informação, Orientação do Professor Junior Bandeira BALSAS - MA 2013 3 FACULDADE DE BALSAS CURSO DE SISTEMAS DE INFORMAÇÃO A Comissão Examinadora, abaixo assinada, aprova o trabalho de conclusão de curso (TCC) ELABORAR E IMPLEMENTAR POLÍTICAS DE CONTROLE DE ACESSO A INTERNET BASEADO EM CONTEXTO NA REDE DA CEAGRO Elaborado por Fabio Martins de Souza Como requisito básico para obtenção do grau de Bacharel em Sistemas de Informação BANCA EXAMINADORA Prof.(a) Junior Marcos Bandeira Prof. Orientador Prof. (a) Membro da Banca Examinadora Prof. (a)Membro da Banca Examinadora 4 RESUMO A informação é um ativo, como qualquer outro ativo importante para os negócios, tem um valor para a organização e por consequência necessita ser adequadamente protegida. A segurança da informação protege a informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos ao negócio e maximizar o retorno dos investimentos. Portanto devemos garantir a confidencialidade, integridade, e disponibilidade das informações, o controle de acesso baseado em políticas de segurança, traz um segurança mais abrangente avaliando, os riscos, os ativos da organização, as ameaças aos ativos, vulnerabilidade e sua probabilidade de ocorrência e assim estabelece as políticas necessárias para a empresa baseado em contexto organizacional. Este trabalho tem o objetivo de desenvolver políticas de acesso à internet seguras e mais abrangentes para a rede da empresa Ceagro, utilizando controle de acesso, voltado para uma maior segurança das informações que circulam dentro da organização. 5 Lista de siglas ISO – Organização internacional para padronização COBIT – Objetivos de controle para informação e tecnologia relacionada TMG – Threat Management Gateway (Firewal fornecido pela microsoft) WEB – Palavra que significa “teia” refere-se a rede internet NAT – Conversão de endereços de rede URL – Localizador padrão de recursos DNS – Sistema de nomes de domínios IP – Identificação de um dispositivo (computador) HTTP – Protocolo de transferência de hipertexto HTTPS – Protocolo de transferência de hipertexto seguro FDQN – Nome de domínio totalmente qualificado SMTP – Protocolo de transferência de correio simples SSL- Protocolo de camada de Sockets segura IPSec – Protocolo segurança IP VPN – Rede Privada Virtual WAN - Rede de longa distancia DC – Controlador de Dominio AD – Active Directory OU – Unidade Organizacional TI – Técnologia da informação RH – Recursos Humanos 6 Sumário 1. INTRODUÇÃO ........................................................................................................................ 8 1.1 Delimitando o tema ............................................................................................................. 8 1.2 Problemática ........................................................................................................................ 9 1.3 Objetivo geral ...................................................................................................................... 9 1.4 Objetivos Específicos .......................................................................................................... 9 1.5 Justificativa ......................................................................................................................... 9 1.6 Metodologia ...................................................................................................................... 10 2. REVISÃO BIBLIOGRÁFICA ................................................................................................ 10 2.1 Segurança da informação .................................................................................................. 10 2.2 Ativo de informação .......................................................................................................... 13 2.3 Ataque ............................................................................................................................... 13 2.4 Vulnerabilidade ................................................................................................................. 14 2.5 Ameaça .............................................................................................................................. 14 2.6 Probabilidade..................................................................................................................... 14 2.7 Impacto .............................................................................................................................. 14 2.8 Controle ............................................................................................................................. 15 2.9 Organização da segurança ................................................................................................. 15 2.9.1 Mapeamento da segurança ......................................................................................... 15 2.9.2 Estratégia de segurança .............................................................................................. 15 2.9.3 Planejar a segurança ................................................................................................... 16 2.9.4 Política de segurança ...................................................................................................... 16 2.10 Controle de acesso........................................................................................................... 17 2.10.1 Controle de acesso lógico ......................................................................................... 17 2.10.2 Monitoração do Uso e acesso ao sistema ................................................................. 18 2.10.3 Controle de acesso físico .......................................................................................... 19 2.10.4 Controle de acesso baseado em contexto ................................................................. 19 2.11 Ferramenta de controle de tráfego Forefront TMG( Threat management Gateway) ...... 21 2.11.1 Diretivas e conjuntos de regras ................................................................................ 21 2.11.2 Fluxo de processo de solicitação .............................................................................. 21 2.11.3 Sobre regras de acesso.............................................................................................. 22 2.11.4 Sobre regras de publicação ....................................................................................... 23 2.11.5 Processando nomes e endereços ............................................................................... 23 2.11.6 Tratando regras de acesso que requerem autenticação ............................................. 24 7 2.11.7 Relacionamento NAT ............................................................................................... 25 2.12 Fortigate .............................................................................................................................. 26 2.12.1 UTM Profiles............................................................................................................ 28 2.13 ADUC – Active Directory User and Computers ............................................................. 31 2.14 Controle de acesso ao conteúdo da Internet na CEAGRO .............................................. 34 3 CONSTRUÇÃO DE POLITICAS DE ACESSO A INTERNET PARA CEAGRO ............... 35 3.1 Criar grupos de navegação no AD (Active Directory) ...................................................... 35 3.2 Adicionando um grupo de navegação para usuários ......................................................... 37 3.3 Configurando Fortigate com o AD( Active Directory) ..................................................... 38 3.4 Criando os grupos de acesso no Fortigate ......................................................................... 41 3.5 Politicas temporais ............................................................................................................ 42 3.5.1 Politica aplicada no horário após expediente diurno .................................................. 44 3.5.2 Politica horário de almoço livre ................................................................................. 44 3.5.3 Politica sábado livre ................................................................................................... 44 3.5.4 Politica domingo livre ................................................................................................ 45 3.5.5 Politica horário de trabalho predominante 1 .............................................................. 45 3.5.6 Politica horário de trabalho predominante 2 .............................................................. 45 3.5.7 Politica horário de trabalho predominante 3 .............................................................. 46 3.6 Politicas baseadas em intervalos de ip’s............................................................................ 46 3.6.1 Politica Sites liberados na rede Wi-Fi Ceagro............................................................ 48 3.6.2 Politica aplicada na rede interna cabeada ................................................................... 49 3.6.3 Politica aplicada na rede projeto AMA ...................................................................... 49 3.6.4 Politica aplicada na rede para visitantes ..................................................................... 49 3.7 Liberação de sites .............................................................................................................. 50 3.8 Politicas baseadas em extensões de arquivos .................................................................... 56 3.8.1 Politica bloqueio de acesso a extensões aplicado no grupo TI ................................... 58 3.8.2 Politicas bloqueio de extensões nos grupos de acesso ............................................... 59 3.9 Politica de controle de aplicações ..................................................................................... 60 3.10 Página de exibição de violação de regras e politicas do Fortigate............................... 62 4. CONSIDERAÇÕES FINAIS .................................................................................................. 63 5. REFERÊNCIAS ...................................................................................................................... 64 8 1. INTRODUÇÃO Empresas no contexto de mercado atual trabalham as informações como um diferencial competitivo. Segurança é um aspecto que devemos priorizar quando tratamos de informação, para garantir a integridade (a informação deve estar correta, ser verdadeira e não estar corrompida), disponibilidade (a informação deve estar disponível para todos que precisam dela) e confidencialidade (capacidade de conceder ou não permissão para usuários acessarem determinadas informações). Na confidencialidade podemos inserir o controle de acesso como um método de proteção dos dados ou informações. O objetivo de controle de acesso é limitar ações que um usuário legítimo de um sistema de computação pode realizar em função das autorizações aplicáveis ao mesmo no momento do acesso (SANDHU & SAMARATI, 1994). Autorizações estabelecem que direitos um sujeito possui em relação a um determinado objeto ou recurso computacional impedindo que haja violações de segurança. Essas autorizações são determinadas por políticas de segurança. Uma política de controle de acesso define diretrizes de alto nível que determinam como o acesso é controlado e como as decisões de autorização de acesso são estabelecidas (FERRAIOLO et AL. 2001). Em outras palavras determinam como um objeto ou recurso computacional será acessado em um sistema computacional. Uma entidade (usuário, processo ou máquina) que ganha acesso a recursos de um sistema computacional de forma ilícita, violando uma política de controle de acesso é denominada intruso. As violações de segurança se traduzem como sendo a arte de burlar de alguma forma a política de modo a passar despercebida uma ou mais propriedades de segurança existentes. 1.1 Delimitando o tema A monografia proposta aborda a área de segurança, especificamente controle de acesso de usuários a internet baseado em contexto. O trabalho pretende utilizar variáveis do ambiente, como por exemplo, o horário de trabalho de um funcionário para produzir políticas de acesso a sites. São as variáveis ambientais que definem o contexto. Serão estudadas as políticas necessárias para os perfis de usuário da rede Ceagro, bem como formas de implementação e representação das mesmas. 9 1.2 Problemática Informações importantes são geradas e trafegam nas redes de computadores das organizações a todo instante. Empresas estão dependentes de suas informações, ou seja, se tornou uma questão de sobrevivência no mercado a proteção das mesmas. Caso pessoas não autorizadas tenham acesso, os prejuízos podem ser enormes. Segredos de negócio podem ser descobertos, dados podem ser alterados ou excluídos. A organização pode ter seus serviços indisponíveis o que traria estagnação e caos para o negócio. Ataques podem inviabilizar o trabalho em uma empresa em questão de minutos e isso pode acontecer de modo facilitado caso não existam políticas de segurança que controlem o acesso e o tráfego de dados. Melhorar as políticas de acesso da rede da empresa Ceagro aumentará a segurança das informações que circulam dentro da empresa, ou seja, um controle de acesso mais abrangente, ajuda a evitar ocorrências que ofereçam risco para o processo interno de troca de informações, e transações operacionais. 1.3 Objetivo geral Criar e implementar políticas de segurança baseadas em contexto para controle de acesso a internet dos usuários da rede Ceagro. 1.4 Objetivos Específicos - Levantar requisitos de acessos requisitados pelos setores da empresa Ceagro. - Relatar todos os perfis dos usuários da rede. - Levantar regras de segurança no cenário da Ceagro. - Criar políticas de acesso seguro baseadas em contexto. - Implantar políticas de acesso via software de gerenciamento de políticas de segurança. - Testar regras das políticas. - Analisar resultados. 1.5 Justificativa Cada serviço oferecido aos usuários da rede da Ceagro carrega seus próprios riscos de segurança, assim como em qualquer outra empresa que trabalha com 10 informações. Este trabalho vai contribuir para que a instituição venha a ter políticas de segurança mais abrangentes, com o objetivo de aumentar a segurança dos dados que circulam na rede e melhorar o acesso dos usuários. 1.6 Metodologia Foi feito levantamento bibliográfico dos conceitos relacionados à segurança da informação e seus aspetos, das tecnologias de controle de acesso, modelos de segurança da informação, conceitos de softwares utilizados. O levantamento das características de acessos que os funcionários da empresa Ceagro devem ter em seus respectivos setores, será feito através de entrevistas com colaboradores da empresa. Serão feitos testes de controle de acesso para verificar o comportamento das políticas de acessos impostas. 2. REVISÃO BIBLIOGRÁFICA A revisão bibliográfica apresenta o estudo das tecnologias e conceitos disponíveis para que seja possível desenvolver o trabalho proposto, ou seja, uma análise de materiais sobre o assunto dispondo uma visão ampla sobre segurança em sistemas e controle de acesso de usuários baseado em contexto. 2.1 Segurança da informação A necessidade de implementar medidas de segurança da informação tem crescido de maneira expressiva nos últimos anos. O valor da informação se tornou mais expressivo para as empresas, que muitas vezes tem seu negócio e seu diferencial competitivo baseado unicamente em informações, pode-se observar que na empresa Ceagro entre outros aspectos existe um grande fluxo de informações. Se não bastasse o valor das informações para suas detentoras, há uma preocupação significativa com suas vulnerabilidades. Segundo Carlos Santana (2006) é interessante observar como o apelo da mídia em torno de acontecimentos espetaculares envolvendo fraudes, espionagens, hackers, 11 worms, cavalos de tróia, vírus eletrônico entre outros, tem causado impacto no comportamento de executivos da maioria das organizações atualmente. A preocupação com a segurança das informações, entrou para a ordem do dia de instituições como bancos, empresas de informática, cadeias de supermercados, órgãos governamentais, entre outras. A informação finalmente o mais ativo da nossa sociedade pós-industrial. É primordial considerar que de forma análoga a uma corrente, uma boa estratégia para se abordar a problemática da segurança da informação, passa, invariavelmente por sua visão holística, ou seja, pelo cuidado com todos os seus pilares fundamentais: Pessoas, processos e tecnologia: Pessoas São parte integrante e o elo fraco de qualquer sistema de segurança: Será necessário muito trabalho para conscientização, treinamento e educação dos colaboradores. Processos Adoção de melhores práticas descritas em normas como a ISSO 17799, COBIT entre outras: Indispensável para definição dos processos que vão balizar os requisitos adequados para a companhia avaliar sua operação sob o ponto de vista da segurança dos seus ativos de informação. Tecnologia Utilização e configuração adequada das ferramentas de proteção e dos ativos de informação; Esses ativos (servidores, banco de dados, sistemas operacionais, etc.) suportam os negócios da companhia, seu uso deve considerar políticas consistentes e previamente definidas. Lembrando que quando tratamos de segurança da informação devemos ir sempre à raiz do problema e não ficar arrancando somente as folhas geradas por ele. (Carlos Santana, 2006, http://internativa.com.br/artigo_seguranca_01.html). Segundo Mauricio Rocha Lyra (2008) segurança é um assunto muito discutido na atualidade, e tem várias vertentes. A segurança da Informação tem vários aspectos importantes, mas sem dúvida três deles se destacam: 12 Confidencialidade: capacidade de um sistema de permitir que alguns usuários acessem determinadas informações ao mesmo tempo em que impede que os outros, não autorizados, a vejam. Integridade: a informação deve estar correta, ser verdadeira e não estar corrompida. Disponibilidade: a informação deve estar disponível para todos que precisarem dela para a realização dos objetivos empresariais. Além destes três aspectos principais, temos: Autenticação: garantir que um usuário é de fato quem alega ser; Não-repúdio: capacidade do sistema de provar que um usuário executou determinada ação; Legalidade: garantir que o sistema esteja aderente a legislação pertinente; Privacidade: capacidade de um sistema de manter anônimo um usuário, impossibilitando o relacionamento entre o usuário e suas ações (por exemplo, o sistema de voto eletrônico); Auditoria: capacidade do sistema de auditar tudo o que foi realizado pelos usuários, detectando fraudes ou tentativas de ataque. Quando se fala em segurança da informação quer-se garantir algum ou muitos destes aspectos acima relacionados. Com isso busca-se proteção de um conjunto de dados, no sentido de preservar o valor que possuem para um individuo ou uma organização. Um incidente de segurança é a ocorrência de um evento que possa causar interrupções nos processos de negócio em violação de alguns dos aspectos listados acima. Segundo Mauricio Rocha Lyra (2008) a seguir estão conceitos sobre os principais aspectos de segurança: 13 2.2 Ativo de informação Segundo Mauricio Rocha Lyra (2008) a informação é um bem de grande valor para os processos de negócio da organização, mas também devemos considerar a tecnologia, o meio que suporta, que a mantém e que permite que ela exista, as pessoas que a manipulam e o ambiente onde ela está inserida. Assim podemos descrever que ativo da informação é composto pela informação e tudo aquilo que suporta ou se utiliza dela. 2.3 Ataque Um tipo de incidente de segurança caracterizado pela existência de um agente que busca obter algum tipo de retorno, atingindo algum ativo de valor. Existem alguns tipos de ameaças assim como uma ameaça acidental que acontece quando não estão associadas à intenção premeditada. Por exemplo, descuidos operacionais e bugs de software e hardware. A concretização das ameaças intencionais varia desde a observação de dados de uma maneira simples de monitoramento de redes, a ataques sofisticados baseados no conhecimento do funcionamento do sistema. A realização de uma ameaça intencional configura um ataque. A seguir um dos principais ataques que podem ocorrer em um ambiente de processamento e comunicação de dados: Personificação: uma entidade se faz passar por outra para obter um privilégio maior. Replay: é quando uma mensagem é interceptada e posteriormente transferida para produzir um efeito não autorizado. Modificação: uma mensagem é alterada sem que o sistema consiga identificar a alteração Recusa ou impedimento de serviço: ocorre quando uma entidade não executa sua função apropriadamente ou atua de forma a impedir que outras entidades executem suas funções. 14 Ataques internos: ocorre quando um usuário legítimo comportam-se de modo não autorizado ou não esperado. Armadilhas: Ocorre quando um uma entidade do sistema é modificada para produzir efeitos não autorizados em resposta a um comando. Cavalos de tróia: Nesse ataque uma entidade executa funções não autorizadas em adição as que estão autorizadas a executar. 2.4 Vulnerabilidade Os ativos de informação possuem vulnerabilidades ou fraquezas que podem gerar, intencionalmente ou não, a indisponibilidade a quebra de confidencialidade ou integridade. A vulnerabilidade de um ativo é o seu ponto fraco, podendo ou não ser explorada. 2.5 Ameaça É um ataque potencial a um ativo da informação. É um agente externo que se aproveita das vulnerabilidades para quebrar um ou mais dos três princípios de segurança da informação. 2.6 Probabilidade É uma chance de uma falha de segurança ocorrer levando-se em conta as vulnerabilidades do ativo e as ameaças que venham explorar esta vulnerabilidade. 2.7 Impacto São as consequências que um incidente causa nos processos de negócio suportados pelo ativo em questão. 15 2.8 Controle Podemos ter controle somente das vulnerabilidades dos ativos da informação, isso porque, este em nosso domínio. Quanto às ameaças não podemos ter controle pelo fato que ela se origina de um agente externo, mas cuidando das vulnerabilidades podemos diminuir os riscos. 2.9 Organização da segurança A seguir estão alguns passos que podem ser utilizados para que uma empresa possa gerir de forma adequada a segurança de suas informações. 2.9.1 Mapeamento da segurança A seguir estão alguns passos que podem ser utilizados para que uma empresa possa gerir de forma adequada a segurança de suas informações. Identificar o grau de relevância e as relações diretas e indiretas entre os diversos processos de negócio, perímetros e infraestrutura. Inventariar os ativos físicos, tecnológicos e humanos que sustentam a operação da empresa, considerando também as demais variáveis internas e externas que interferem nos riscos da empresa, como, mercado, nicho, concorrência, expansão, etc. Identificar o cenário atual – ameaças, vulnerabilidades e impactos, especular a projeção do cenário desejado de segurança capaz de sustentar e viabilizar os atuais e novos negócios da empresa. Mapear as necessidades e as relações das empresas associadas ao manuseio, armazenamento, transporte, e descarte de informações. Organizar as demandas de segurança do negócio. 2.9.2 Estratégia de segurança Deve ser definido um plano de ação, comumente e plurianual, que considere todas as particularidades estratégicas, táticas e operacionais do negócio mapeadas na 16 etapa anterior, além dos aspectos de risco físicos, tecnológicos humanos. Criar sinergia entre o cenário atual e o desejado, além da sintonia de expectativas entre os executivos, afim de ganhar comprometimento e apoio explícito às medidas previstas no plano de ação. 2.9.3 Planejar a segurança Um dos principais aspectos de se planejar uma segurança é elaborar uma política da segurança sólida, considerando as particularidades e as características do processo a ser realizado dentro da empresa, a ainda apontar as melhores práticas para manuseio, armazenamento, transporte e descarte de informações. 2.9.4 Política de segurança Segundo Luis Fernando, Guido Lemos e Sérgio Colcher (p. 450) uma política de segurança é um conjunto de leis, regras e práticas que regulam como a organização gerencia. Protege e distribui suas informações e recursos. Um dado sistema é considerado seguro em relação a uma política de segurança, caso garanta o cumprimento das leis regras e práticas definidas nessa política. Uma política de segurança deve incluir regras detalhadas definindo como as informações e recursos da organização devem ser manipulados ao longo do seu ciclo de vida, ou seja, desde o momento que passam a existir no contexto da organização até quando deixam de existir. As regras que definem uma política de segurança são funções das designações de sensibilidade, associadas aos recursos e informações (Por exemplo, não classificado, confidencial, secreto, ultra secreto) do grau de autorização das entidades (indivíduos e processos agindo sobre o comando de indivíduos) e das formas de acesso suportadas por um sistema. A implementação de uma política de segurança baseia-se na aplicação de regras que limitam o acesso de uma entidade as informações e recursos, com base na comparação de seu nível de autorização relativo, na forma de acesso empregada e na sensibilidade da informação, ou seja, é uma maneira de controlar o acesso dos indivíduos que utilizam o sistema. 17 O conjunto de regras que define uma política pode conter regras de dois tipos, definidas com base na natureza da autorização envolvida, regras baseadas em atributos de sensibilidade genérica (por exemplo, entidade com grau de segurança não classificado, confidencial, secreto, ou ultrassecreto) e regras baseadas em atributos individuais específicos (por exemplo, o nome ou identificador da identidade do sistema), ou seja, o primeiro tipo são chamadas de “Política de Segurança Baseada em Regras” e do segundo tipo são chamadas “Políticas de Segurança Baseadas em identidade”. As políticas de segurança baseadas na identidade representam o tipo de controle de acesso mais encontrado nos computadores atuais. A base desse tipo de segurança é que um indivíduo, ou processo operando sob seu controle. O objetivo desse tipo de política é permitir a implementação de um esquema de controle de acesso que possibilite especificar o que cada indivíduo pode ler, modificar ou usar. A idéia é implementar um mecanismo que permita descriminar, dentre os indivíduos que possuem nível de autorização suficiente para ter acesso a um recurso, aqueles que realmente necessitem realizar o acesso. Existem essencialmente duas formas de implementar esse tipo de política, dependendo de onde as informação sobre os direitos de acesso é armazenada: na entidade que esta executando o acesso, ou como parte dos dados que estão sendo acessados. O Primeiro caso é exemplificado com a utilização de capacidades possuídas pelos usuários e utilizadas pelos processos atuando sobre seu controle. Listas de controle de acesso são exemplos do ultimo caso. (Luis Fernando, Guido Lemos e Sérgio Colcher , p. 450) 2.10 Controle de acesso Segundo Mauricio Rocha Lyra (2008, p. 44) o controle de acesso define quem pode fazer o que dentro de um sistema computacional. Pode ser dividido em controle lógico e físico. 2.10.1 Controle de acesso lógico Segundo Mauricio Rocha Lyra (2008, p. 44) é um modelo de controle de acesso que tem como objetivo proteger o acesso as partes lógicas, por exemplo, sistemas, banco de dados, softwares, arquivo-fonte, sistema operacional, utilitários e 18 outros. Para controlar estes ativos podemos utilizar identificação e autenticação do usuário, para que possamos trabalhar em cima de identificações em geral são criadas contas de usuários com uma identificação única e um ou mais métodos de autenticação para verificar essa identidade: O que você sabe? Método baseado em autenticação por senha de acesso onde o usuário deve saber os dados para efetuar acesso é um dos métodos mais utilizados, tem como características básicas o bloqueio do acesso caso a senha esteja errado após um certo numero de tentativas, identificação de senhas de fácil dedução e troca recomendada de senha após algum tempo de uso periodicamente. O que você tem? É um método que identifica o usuário pelo que ele tem, ou seja, cartões magnéticos, cartões com chip e etc. É comum associar este método ao método do que você sabe, um cartão mais senha. O que você é? É um método baseado no que a pessoa é, ou seja, são analisados dados como impressão digital, reconhecimento facial, voz, etc., para que ocorra esta analise o sistema armazena dados biométricos dos usuários em base de dados criptografada. 2.10.2 Monitoração do Uso e acesso ao sistema Um sistema confiável deve ter um registro das atividades que ocorre na rede, alterações de informações, esses mecanismos, ou log’s, como são conhecidos, devem registrar data e hora, tipo de atividade e quando alterar alguma informação registrar o valor antigo e o valor novo de preferência caso ocorra uma violação na integridade da informação, claramente este tipo de armazenamento irá diminuir a performance do sistema, mas dependendo do nível de informação que se trabalha se torna necessário o armazenamento de informações antigas. 19 2.10.3 Controle de acesso físico Além de todos os cuidados na parte lógica de controle de acesso, devemos nos ater também em relação à parte física de uma rede, evitar que pessoas não autorizadas tenham acesso aos equipamentos que estabelecem a conexão (switches, roteadores e etc.) entre os computadores, notebooks e etc., estes controles podem ser feitos através de identificação, como por exemplo, crachá de identificação, impressão digital em ambientes com necessidade de proteção elevada, dispositivos com senha, cartões com PIN, portas de acesso codificadas, entre outros. (Mauricio Rocha Lyra, 2008, p. 47). 2.10.4 Controle de acesso baseado em contexto Segundo Junior Bandeira (2010) Um modelo de controle de acesso baseado em contexto deve representar variáveis ambientais que compõem os ambientes de modo geral. Expressões de contexto não possuem classificação, uma vez que associadas a entidades de contexto que são elementos que sofrem ou executam uma ação. Expressões de contexto (descreve determinada situação que mapeia um contexto) retiradas do ambiente devem ser comparadas com expressões de contexto contidas nas regras com o objetivo de verificar se o contexto estático representado pela regra é o mesmo que as expressões contextuais informam naquele momento e assim conceder ou não acesso. Segundo Junior Bandeira (2010) para que seja possível representação de regras de expressões de contexto é sugerida a seguinte metodologia e definições. Nome - Trata-se do substantivo que nomeia algum elemento que se encontra no ambiente, por exemplo: local, data, hora, contador de acesso e assim por diante. Operador – É um operador lógico do conjunto {>, <, ≥, ≤, ≠, =}. Esse conjunto pode ser estendido por parte do usuário. Por exemplo, pode ser definido um operador IN para retratar o fato de um instante de tempo estar dentro de um intervalo. Valor - É o valor coletado do ambiente naquele momento relativo ao elemento que está sendo levado em consideração, esse valor é variável, por exemplo, o elemento pode ser á hora e seu valor 8am. 20 Propriedade de contexto – Uma propriedade de contexto é uma característica do contexto naquele momento, os atributos que o descrevem, e pode estar associada a quem executa ou sofre a ação. Entidade de contexto – Elemento do ambiente que sofre ou executa uma ação. Uma entidade de contexto possui um conjunto de propriedades de contexto a ela associadas as quais descrevem as características do ambiente ao seu redor no momento da requisição de acesso. Expressão de contexto – Descreve determinada situação que mapeia um contexto. Pode ser representada por uma entidade de contexto e suas propriedades ou por um conjunto de entidades de contexto com suas propriedades. Uma expressão contextual pode possuir qualquer entidade de contexto associada a ela. Segundo Junior Bandeira (2010) o significado de expressão contextual leva a definição de contexto: “encadeamento de informações sobre um dado ambiente” ou “conjunto de ideias, situações, eventos e informações necessárias para o correto entendimento do ambiente” em que as informações são mostradas na forma de propriedade. Uma expressão contextual, então, pode ser reconhecida como “um conjunto de propriedades relacionadas a uma ou mais entidades”, ou seja, contém informações que caracterizam as entidades. Assim, entende-se um contexto como um encadeamento de propriedades relacionadas a entidades em um ambiente, o que pode ser traduzido como um conjunto de expressões contextuais, sendo assim chega-se a seguinte definição, que contexto são características do ambiente formadas por uma ou mais expressões de contexto. (Junior Marcos Bandeira, 2010).Existem ferramentas que executam o controle de acesso facilitando o gerenciamento, uma das opções é o Fortigate (da empresa Fortinet, mais detalhes no tópico 2.12 que será utilizado na configuração da rede escolhida para executar o projeto, além deste software temos o TMG(Threat management Gateway), que é um produto da Microsoft, ambos são pagos, enfim existem vários softwares que podem gerenciar acessos, e com isso controlar o tráfego de informações na rede especificada. Este tipo de software é capaz de filtrar sites que podem ser acessados por usuários de uma determinada rede, horários que os acessos são liberados para algumas categorias de sites (sites de noticias, esporte), dependendo do tipo de gestão 21 especificado pela empresa, se funcionários devem ou não ter horários para este acesso, ou seja, dentro de um contexto montado o software pode se adaptar e atender as demandas realmente necessárias, forçando o usuário a manter o foco em suas tarefas, além de prover uma segurança para a empresa em relação a vírus entre outras ameaças que podem ser executadas durante a navegação na internet. 2.11 Ferramenta de controle de tráfego Forefront TMG( Threat management Gateway) TMG (Forefront Threat Management Gateway) é um software pago fornecido pela Microsoft, ele traz maior segurança no uso da internet dentro de empresas de pequeno ou grande porte, oferecendo múltiplas camadas de proteção. (Technet, 2010). 2.11.1 Diretivas e conjuntos de regras O controle do TMG é realizado através de diretivas que dentre elas estão as seguintes: Diretivas de Firewall (faz a inspeção de todo o conteúdo acessado entre a rede interna e externa), Regras de acesso (controla o acesso a internet de um determinado computador ou uma rede de computadores), regras de publicação na Web (controla o acesso a servidores de sites entre outros que estão publicados na web), regras de publicação no servidor (controla o acesso a servidores locais, não publicados na web), diretivas do sistema (controla o tráfego para e da rede de host local, ou seja, onde o TMG realiza todos os controles de usuário, domínio, diagnostico de rede, registro em log, gerenciamento remoto), regras de rede (especificam a relação de recursos entre redes (Technet, 2010). . 2.11.2 Fluxo de processo de solicitação As maneiras as quais o TMG processa as informações são as seguintes: a) Verifica a solicitação em relação às regras de rede para ver se existe a relação de rede necessária entre a origem e o destino. 22 b) Verifica a solicitação em relação à diretiva do sistema para determinar se uma dessas regras do sistema permite ou nega solicitação. c) Verifica a solicitação em relação à diretiva do firewall na ordem em que as regras aparecem na lista. d) Após estas verificações o TMG associa uma regra a solicitação de acesso, com exceção do tráfego controlado pelo Proxy da web que é onde determina se o tráfego deve ser roteado ou aplicado NAT (conversão de endereços de rede). 2.11.3 Sobre regras de acesso As regras de acesso são estruturadas da seguinte maneira dentro do TMG associadas a solicitações: Protocolo – A regra define um ou mais protocolos com uma direção de saída. De – O endereço de origem é definido na regra. A origem pode ser toda uma rede, um conjunto de redes, um computador ou um conjunto de computadores, uma faixa de endereço IP ou uma sub-rede. Agendamento – O agendamento de regras controla o momento em que a regra é aplicada. Para – o destino é definido na regra. O destino pode ser toda uma rede, um conjunto de redes, um computador ou um conjunto de computadores, uma faixa de endereços IP, uma sub-rede, um conjunto de nomes de domínios ou um conjunto de URLs. Em alguns casos, pode ser necessária uma pesquisa DNS para verificar se a solicitação é correspondida. Usuários – A regra aplica-se a todos os usuários (para acesso anônimo), a todos os usuários autenticados (aplicadas a qualquer usuário que possa se autenticar com êxito) ou a um grupo de usuários específico. Grupos de conteúdos – A regra aplica-se a tipos específicos de conteúdos. 23 As regras que rejeitam o acesso são processadas antes das regras que permitem, sendo assim, se a solicitação se encaixar em alguma regra de rejeição o processo para e o acesso é bloqueado (Technet, 2010). 2.11.4 Sobre regras de publicação O ForeFront TMG usa os seguintes conjuntos de regras de publicação para habilitar o acesso da rede externa a servidores publicados na rede interna: Regras de publicação na Web – Permitem o acesso aos servidores Web publicados. Para solicitação HTTP ou HTTPS para um ouvinte da Web, o ForeFront TMG verifica as regras de publicação e, em seguida as regras de encadeamento da Web para determinar se a solicitação é permitida e de que forma ela deve ser controlada. Regras de publicação no servidor – Permite o acesso aos servidores não Web publicados. Para solicitações que não sejam HTTP, o ForeFront TMG verifica regras de rede e, em seguida, regras de publicação para determinar se as solicitações são permitidas (Technet, 2010). 2.11.5 Processando nomes e endereços As solicitações HTTP podem conter um nome, um FDQN (nome de domínio totalmente qualificado) ou um endereço IP. O ForeFront TMG trata o nome ou endereço da seguinte forma: Se uma solicitação HTTP usa um nome de site, por exemplo, o google ( www. google.com.br) o ForeFront TMG executa uma resolução de nomes de encaminhamento a um servidor DNS para obter um FQDN associado e os endereços IP. Em seguida, o ForeFront TMG tenta associar elementos a uma regra. As solicitações HTTP são analisadas e comparadas com regras existentes para após liberar o acesso ou não, independente de como o nome do site está qualificado, ou seja, se for URL, FDQN (nome de domínio totalmente qualificado), ou um endereço IP. Se uma solicitação HTTP usa endereço IP, o ForeFront TMG primeiro verifica se uma regra corresponde a esse endereço. Durante esse processo se o ForeFront TMG encontra uma regra que exige um nome, ele executa a resolução de nome inverso para 24 obter o FQDN desse endereço IP. Em seguida, pode comparar o FQDN então as definições de regra de acesso. Se houver falha na resolução de nomes reversa, apenas o endereço IP original na solicitação será usado em comparação com as definições (Technet, 2010). 2.11.6 Tratando regras de acesso que requerem autenticação Quando uma regra especifica que a autenticação é necessária, o Forefront TMG solicita que o cliente apresente credenciais. Se o cliente não pode fornecer credenciais, a solicitação é cancelada antes de a regra ser avaliada. Clientes SecureNAT não podem fornecer credenciais, e se uma solicitação feita por um cliente SecureNAT corresponde a uma regra que exige autenticação, a solicitação é negada (Technet, 2010). 2.11.6.1 Relacionamentos de rede . Um dos seguintes relacionamentos pode ser usado em cada regra de rede: 2.11.6.2 Relacionamento de roteamento Os relacionamentos de roteamento são bidirecionais. Por exemplo, se uma regra de rede definir um relacionamento de roteamento da rede A para a rede B, então um relacionamento existirá da rede B para a rede A. As solicitações de clientes provenientes da rede de origem ou de destino são encaminhadas diretamente para a outra rede, sem alteração dos endereços IP da origem e do destino. Use um relacionamento de roteamento onde os endereços IP não precisem ficar ocultos entre as redes. Essa é uma configuração comum entre duas redes com endereços de IP públicos ou entre duas redes com endereços privados. Em ambos os casos, os hosts em cada rede precisam definir o endereço IP do Forefront TMG nas redes locais como o roteamento para a outra rede. Em muitos casos, a simples definição do endereço IP do Forefront TMG como o gateway padrão é suficiente. Ao criar regras de acesso ou regras de publicação de servidor, um relacionamento de roteamento afetará o tráfego desta forma: Ao usar regras de acesso, o Forefront TMG encaminhará o tráfego mantendo os endereços IP de origem e destino intactos. 25 Ao usar as regras de publicação de servidor, o Forefront TMG encaminhará o tráfego da mesma forma que o faz em regras de acesso, mas utilizará filtros de aplicativo diretamente. Por exemplo, o filtro SMTP não é usado para o tráfego SMTP manipulado por uma regra de acesso, mas é usado com o tráfego manipulado por uma regra de publicação de servidor (Technet, 2010). 2.11.7 Relacionamento NAT Os relacionamentos de NAT (Conversão de Endereços de Rede) entre redes são unidirecionais. O tráfego é tratado de acordo com a origem ou destino do tráfego. O Forefront TMG executa o NAT da seguinte forma: Em regras de acesso, o Forefront TMG substitui o endereço IP do cliente na rede de origem pelo endereço IP padrão do Forefront TMG na rede de destino. Por exemplo, se você criar um relacionamento NAT em uma regra de rede entre a rede interna e a rede externa, o endereço IP da origem de uma solicitação proveniente da rede interna será substituído pelo endereço IP padrão do adaptador de rede do Forefront TMG conectado à rede externa. As regras de acesso que manipulam o tráfego entre redes definida por um relacionamento NAT só pode utilizar a rede de origem especificada na guia De e a rede de destino especificada na guia Para da regra. Em regras de publicação de servidor, o cliente na rede de destino se conecta ao endereço IP do Forefront TMG no qual a regra de publicação escuta solicitações. Quando o Forefront TMG encaminha o tráfego ao servidor publicado, ele substitui o endereço IP do Forefront TMG pelo endereço IP do servidor interno que está publicando, mas não modifica o endereço IP de origem. Observe que, em relacionamentos NAT, as regras de publicação de servidor só podem acessar a rede especificada como a rede de destino. Além disso, como a publicação de servidor nas redes com NAT mantém o endereço IP intacto ao encaminhar tráfego ao servidor publicado, o servidor publicado precisa usar o computador do Forefront TMG como o último salto na estrutura de roteamento para a rede de destino. Se isso não for possível, configure as regras de publicação de servidor para usar a configuração As solicitações parecem vir do computador do Forefront TMG. Isso faz com que o Forefront TMG execute uma NAT completa no tráfego tratado pela regra, planejando controlar o acesso de rede (Technet, 2010). 26 2.12 Fortigate Fortigate é um Firewall da empresa Fortinet que oferece uma proteção de alta confiança para redes de computadores utilizando protocolo ipv6 ou ipv4, alta disponibilidade, além de trabalhar com uma suíte dinâmica de roteamento de protocolos, ou seja, vários tipos de protocolos assim como, traffic shaping (onde pode ser modelado o tipo de tráfego), IPsec, e SSL(Secure Sockets Layer - SSL (em português: Protocolo de Camada de Sockets Segura))(Fortinet, 2011). O protocolo SSL provê a confidencialidade (privacidade) e a integridade de dados entre duas aplicações que comuniquem pela Internet. Isto ocorre através da autenticação das partes envolvidas e da cifra dos dados transmitidos entre as partes. Esse protocolo ajuda a prevenir que intermediários entre as duas pontas da comunicação tenham acesso indevido ou falsifiquem os dados transmitidos (Fortinet, 2011). O Fortigate é capaz de criar VPN (Rede Privada Virtual) que é uma rede de comunicações privada normalmente utilizada por uma empresa ou um conjunto de empresas e/ou instituições, construída em cima de uma rede de comunicações pública (como por exemplo, a Internet). O tráfego de dados é levado pela rede pública utilizando protocolos padrão, não necessariamente seguros. Entre outras características estão, autenticação de usuário, otimização de WAN, efetua scanning de vírus, controle de aplicações, controle de utilização da WEB, um completo e detalhado gráfico sobre o tráfego da rede, relatório completo de todas os acessos de usuários, capaz de checar uma imensa quantidade de URLs procurando por spam (Fortinet, 2011). A praticidade de instalar o Fortigate devido a ele ser um aparelho com tudo embutido, processador de alta velocidade, memória, e um software de gerenciamento que pode ser acessado de qualquer local da rede através de um navegador com acesso baseado em HTTPS, que é um protocolo mais seguro para este tipo de acesso considerando que todo e qualquer tipo de alteração (por exemplo: liberações de sites para todos os perfis sem prévia analise de necessidade) feita pode trazer danos à rede, por isso ele deve ser controlado por um profissional qualificado e com amplos 27 conhecimentos na administração do mesmo. A figura 1 mostra um dos modelos disponibilizado pela empresa Fortinet (Fortinet, 2011). Figura 1 Fonte: http://www.fortinet.com/products/fortigate/111C.html Na figura 2 é possível ver a interface principal do software de gerenciamento do Fortigate. Em seguida será explicada algumas das funcionalidades mostradas na figura. 28 Figura 2 Fonte: Próprio autor 2.12.1 UTM Profiles Na aba UTM profiles no canto inferior esquerdo está incluído antivírus, web filtering, controle de aplicação, intrusion protection (IPS), filtro de e-mail, pode-se criar grupos de usuários para posteriormente criar politicas de segurança que se aplicam a todo o grupo (por exemplo: podemos liberar um site somente para o perfil de TI (Setor de Tecnologia da Informação)). Este software vem configurado um padrão de proteção, mas pode-se modificar completamente todas as regras aplicadas segundo o ambiente onde o mesmo será instalado. É necessário controlar os acessos dos usuários a Web sites, mas não está disponível a Url que deve ser bloqueada pelo firewall, sendo assim o Fortigate tem em seu software uma categorização de web-sites, dentre elas está a categoria Security Risk and Bandwidth Consuming, se o site visitado pelo usuário se encaixar nesta categoria 29 e a mesma estiver marcado a opção de Block o mesmo não terá acesso, a figura Z a seguir mostra algumas categorias a mais para exemplo. Abaixo nome do perfil ou grupo . Criar novo grupo Ao lado esquerdo estão categorias em que sites podem se encaixar dependendo do conteúdo. Figura 3 Fonte: Próprio autor Na figura 3 estão visíveis várias categorias padrão do Fortigate, pode-se verificar que a categoria que é citada acima (Security Risk e Bandwidth Consuming) está bloqueada, e dentro destas categorias existem outras categorias que também estão bloqueadas devido ao risco oferecido quando ocorre o acesso a um site que se encaixa neste tipo de categoria, o usuário pode baixar arquivos entre outros softwares mau intencionados danificando um computador ou até mesmo uma rede de computadores. O primeiro campo da figura 3 pode identificar o grupo WBF_RESTRITO onde todas estas opções de bloqueio e acesso, estão configuradas, sendo assim o usuário que estiver adicionado neste grupo não consegue visualizar nenhum site categorizado abaixo 30 como bloqueado. Tem-se a opção de criar vários grupos como este WBF_RESTRITO e configurar os acessos para cada um deles inserindo quais usuários de determinado setor podem ter estas liberações conforme a necessidade e analise do responsável pelo gerenciamento do Fortigate. Para a criação deste grupo basta clicar no botão com um sinal de + (create new) ao lado do campo onde se localiza o nome dos grupos já criados, e assim podemos preencher os campos mostrados na Figura W (Name “nome do grupo ou perfil, Comments “comentário sobre o mesmo”), logo abaixo para selecionar as opções é só clicar no check box correspondente a opção de categoria dos sites que serão bloqueados ou liberados (Fortinet, 2011). Para a liberação de um site especifico solicitado por um usuário após a analise técnica dos riscos deve-se seguir os passos a frente conforme figura W2. Figura 4 Fonte: Próprio autor No campo URL inserir o link que será liberado, selecionamos a categoria e a subcategoria que vamos encaixar o site, clicar no campo OK, e assim temos nosso site liberado para livre acesso. Baseado nas configurações acima pode-se criar um ambiente de navegação organizado para cada setor de uma empresa onde o foco vai se tornar o ambiente de 31 aplicação levando em consideração a analise do administrador da rede juntamente com o representante de cada setor, assim criando grupos e dentro deles controlando o acesso pelas categorias bloqueando ou não os acessos dos usuários a determinados tipos de sites (Fortinet, 2011). 2.13 ADUC – Active Directory User and Computers ADUC (Active Directory User and Computers) funciona como uma agenda onde, por exemplo, todas as informações de um usuário de rede, senhas, grupos de acesso a que ele pertence, informações pessoais, organizacional assim com cargo, numero de matricula, tendo todos estes dados gravados em uma base de dados onde todos os servidores da rede pode ter acesso para confirmação de logins e dentre outras informações. O Active Directory pode oferecer segurança, rapidez nas informações e alta disponibilidade transformando-o em software de controle de diretório muito utilizado pelas grandes organizações, fornecido pela Empresa Microsoft (Rover, 2012). A imagem mostra alguns benefícios do AD. Figura 5 Fonte :(Rover, 2012) O Active Directory em uma instalação default cria-se um banco de dados chamado de NTDS.dit localizado na pasta %SystemRoot%\NTDS\ntds.dit e mais 5 arquivos relacionados: 32 Ntds.dit - Arquivo de banco de dados do AD. Edb.log - Arquivo onde são armazenados todas as transações feitas no AD. Edb.chk - Arquivo de checkpoint controla transações no arquivo Edb.log já foram comitadas no arquivo Ntds.dit. Res1.log - Arquivo de reserva assegura que alterações sejam gravadas na base(Ntds.dit) no caso de falta de espaço em disco. Res2.log - Arquivo de reserva assegura que alterações sejam gravadas na base(Ntds.dit) no caso de falta de espaço em disco. Estes arquivos formam um DC (Domain Controler) em português controlador de domínio, que tem todos os dados de usuários e computadores necessários para que o Active Directory funcione perfeitamente trabalhando como um pilar demostrado na figura (Rover, 2012). Figura 6 Fonte :(Rover, 2012) 33 Se algum destes pilares falhar ou perder a conexão, tem-se replicas atualizadas para que os servidores possam buscar os dados necessários contidos no DC, é uma forma de backup dos dados e configurações necessárias para a rede funcionar perfeitamente, se um dia acontecer algum problema com um dos servidores. A imagem mostra a ilustração mais clara onde tem-se três servidores com replicas do AD com 3 DC’s atualizados (Rover, 2012). Figura 7 Fonte :(Rover, 2012) O AD pode ser dividido em duas estruturas a lógica e física, quando falamos em arvores de domínio, grupos de domínio, objetos (representam usuários, computadores, impressoras), OU - (Organizational units) unidades organizacionais em português (utilizado para organizar os objetos com o se fosse um container, pode ser geográfica subdividindo por cidades, setorial dividindo-se em setores da empresa..), e florestas, são uma estrutura lógica. O domínio é uma das partes mais importantes que definem os acessos, quem está fora não entra e quem está dentro não sai dependendo da configuração do administrador da rede, o domínio também pode ter uma relação de confiança com outros domínios. A imagem mostra uma estrutura básica (Rover, 2012). 34 Figura 8 Fonte :(Rover, 2012) A estrutura física é os DC (Domain Controlers) e sites, que mantém a segurança no relacionamento entre outros locais físicos, ou seja, outros domínios. Os DC’s tem a função de armazenar a base de dados e executar o Active Directory e os sites servem para organizar a latência de replicação de DC’s (Rover, 2012). 2.14 Controle de acesso ao conteúdo da Internet na CEAGRO A rede da empresa Ceagro tem um controle de usuários baseado no Active Directory (Que fornece os meios para gerenciar identidades e relacionamentos que compõem a rede da organização. Integrado ao Windows Server 2008 R2, o Active Directory fornece a funcionalidade imediata necessária para configurar e administrar centralmente os parâmetros do sistema, de usuários e aplicativos). Portanto grupos de usuários são criados dentro do AD (Active Directory) baseados em perfis separados por setores internos da empresa, onde cada setor deve ter suas restrições de acesso e com base em análises suas liberações de acesso, por exemplo, (o setor do departamento pessoal necessita de liberações de acessos a sites que envolvem gestão de pessoas), portanto cada setor da empresa possui suas especificações de acesso amarrando os funcionários da empresa a executar acessos somente onde realmente necessitam. Fortigate estabelece uma comunicação com o AD (Active Directory) para identificar os grupos de usuários de cada setor e realizar o tratamento de acesso aos mesmos. 35 Sendo assim serão utilizados os nomes de alguns setores para criar políticas de acesso baseados em suas necessidades dentro do Fortigate assim como: (TI, RH, Comercial, Fiscal, Financeiro, ambiental, produção), sendo escolhidos estes nomes de setores devido os mesmos nomes de grupos estarem previamente criados dentro do AD (Active Directory), assim pode-se tratar os acessos com organização buscando uma linha para todos os programas utilizados dentro da rede. 3 CONSTRUÇÃO DE POLITICAS DE ACESSO A INTERNET PARA CEAGRO Todas as configurações realizadas foram baseadas nas politicas e regras da empresa e conforme analise executada com usuários e setores focando necessidades reais para que cada pessoa possa executar seu trabalho sem dificuldade de acesso a informações da internet. 3.1 Criar grupos de navegação no AD (Active Directory) O primeiro passo para a construção das politicas de controle de acesso a internet na rede Ceagro, é analisar quais grupos devem ser criados em relação aos setores existentes na empresa, sendo assim foram escolhidos os seguintes: Produção RH TI Fiscal Financeiro Comercial Logística Ambiental Estes grupos devem ser criados no AD (Active Diretory) assim como mostra a figura 9, clicar com o botão direito do mouse na tela, Novo, Grupo. 36 Figura 9 Fonte: Próprio autor Deve-se preencher os campos mostrados na figura 10 com o nome do grupo e clicar em ok, no caso abaixo o nome do grupo ficou Produção, após é só seguir os mesmos passos e nomear os outros grupos citados acima, assim como, RH, TI, Fiscal e etc, até que todos os grupos estejam criados. 37 Figura 10 Fonte: Próprio autor 3.2 Adicionando um grupo de navegação para usuários Para adicionar um perfil de navegação para um usuário basta ir à OU de usuários no AD (Active Directory), clicar no local em que o usuário se encontra no caso abaixo é Balsas, clicar com o botão direito em cima do usuário desejado, escolher a aba “membros de”, clicar no botão Adicionar, na tela seguinte digitar o nome do grupo em que o usuário deve ser inserido no campo em branco e confirmar a operação, a figura 11 mostra mais claramente a operação. 38 Figura 11 Fonte: Próprio autor 3.3 Configurando Fortigate com o AD ( Active Directory) Após as configurações citadas no tópico 2.14.1 e 2.14.2 a parte em que envolve o AD (Active Directory) está completa. O próximo passo é configurar o Fortigate para reconhecer o domínio em que estão alocados os usuários e grupos de acesso à internet, na figura 12 estão inseridos os dados necessários para que o Fortigate reconheça o servidor do AD (Active Directory) da empresa. 39 Figura 12 Fonte: Próprio autor No primeiro campo da figura 12 tem-se o campo Primary DNS server que deve ser preenchido com o endereço ip do servidor onde se encontra o AD (Active Directory), no campo Secondary DNS server tem-se o o ip de outro servidor com uma replica do AD, se alguns dos 2 servidores apresentar problemas tem-se uma segunda opção, o terceiro campo (Local Domain Name) é preenchido com o nome de domínio da empresa no caso é o ceagrobrasil.com. O próximo passo é configurar o caminho da OU onde se encontram os usuários criados no AD, criando uma nova conexão. 40 Figura 13 Clicando em Create New como mostra a figura 13, tem-se os campos a preencher vistos na figura 14: Figura 14 Fonte: Próprio autor Estes campos foram são preenchidos conforme informação de endereço do nome do servidor onde se encontra o AD (Active Directory) da empresa, ip, porta onde é liberado o acesso, nome de identificação sincronizado, caminho da pasta onde se 41 encontram os usuários, domínio e senha para conexão, se for configurado em outra empresa tem que ser configurados com as especificações do AD da mesma, sendo distintos quando em locais diferentes. 3.4 Criando os grupos de acesso no Fortigate Os mesmos grupos de acesso a internet que devem ser criados no AD( Active Directory) citados no tópico 3.1, devem ser criados no Fortigate com nomes idênticos, sendo assim ele faz a comparação do nome para identificar se realmente é o grupo que está criado dentro do Fortigate que é responsável por aplicar as regras de acesso para determinados grupos. Para criar um novo grupo no Fortigate são seguidos os passos da figura 15. Figura 15 Fonte: Próprio autor Após clicar em Create New é necessário preencher os campos da figura 16 com o nome do grupo: 42 Figura 16 Fonte: Próprio autor Este passo que foi citado figura 16 é seguido até que todos os grupos citados no tópico 2.14.1 estejam criados. 3.5 Politicas temporais Considerando que politicas temporais são aquelas em que é definido um período de tempo para limitar ou liberar acessos a internet. A maioria das empresas tem a necessidade de um horário com um tipo de acesso diferenciado sem tanta rigidez no controle, onde sites de noticias, lojas online, email pessoal com bate-papo são liberados, mas sempre mantendo o principio de analisar os critérios de segurança da empresa e opiniões de gestores de cada setor. Para criar este grupo que se pode dar qualquer nome dependendo da aplicação desta politica, é simples, como mostra a figura 17: 43 Figura 17 Fonte: Próprio autor Clicando na aba Firewall Objects, Shedules, tem-se o botão Create New na figura 17, após estes passos basta preencher os campos da figura 18 a seguir com os dados, nome do horário que pode ser escolhido conforme o administrador de rede desejar (campo Name), marcar as opções com os dias em que o horário vai se impor (campo Day of the Week), e o campo de hora de inicio e hora final (Start time, Stop time). Figura 18 Fonte: Próprio autor 44 Com a categoria criada assim como a de exemplo na figura 18 (de nome Free Time 1) sites escolhidos pelo administrador da rede poderão ser liberados funcionando como uma categoria de liberações restritas a faixa de horário escolhido. Como liberar sites dentro desta categoria vai ser mostrado no tópico 3.7 Liberação de sites. 3.5.1 Politica aplicada no horário após expediente diurno Com os passos citados no tópico 3.5 Politicas temporais pode-se criar a politica com o nome de Free Time, sendo aplicada em todos os dias uteis da semana (Monday, Tuesday, Wednesday, Thursday, Friday) e com horário de inicio as 19:00 hrs e se encerrando as 23:00 hrs. Esta politica vai ter como características de acesso livre a sites de categoria de entretenimento, noticias, vídeos, sites educacionais. Os passos para liberar sites dentro desta politica serão explicados no tópico 3.7 Liberação de sites. 3.5.2 Politica horário de almoço livre A politica é criada com os mesmos passos citados no tópico 3.5 Politicas temporais, o nome aplicado será Free Lunch time, o horário é modificado para se iniciar as 12:00 hrs e encerrar as 13:42 hrs nos seguintes dias (segunda-feira, terça-feira, quarta-feira, quinta-feira, sexta-feira) para que se cumpram estes dias é só marcar o check box dos dias correspondentes em inglês na figura 18, a criação desta politica leva em consideração usuários que se mantem no local de trabalho no horário de almoço, este horário pode trazer uma distração, passa tempo, ou até uma forma do usuário ter um contato com a família, amigos, ou seja, sites de relacionamentos podem ser liberados, noticias, vídeos entre outros analisados pelo administrador da rede. Os passos para liberar sites dentro desta politica serão explicados no tópico 3.7 Liberação de sites. 3.5.3 Politica sábado livre Existe um pequeno quadro de funcionários que trabalha nos finais de semana então deve-se criar a politica de acesso a internet do dia de Sábado, os passos de criação seguem os mesmos citados no tópico 3.5 Politicas temporais, mudando apenas o nome para Free Saturday e o horário se iniciando em 12:00 hrs e se estendendo até as 23:00 hrs, marcando como dia de aplicação somente o check box de sábado( Saturday) liberando sites de entretenimento, noticias, redes sociais, e-mail pessoal. Os passos para liberar sites dentro desta politica serão explicados no tópico 3.7 Liberação de sites. 45 3.5.4 Politica domingo livre Com o mesmo sentido da politica de segurança do sábado livre, mas com o nome de Free Sunday , horário se iniciando as 07:00 e se encerrando as 23:00,marcando como check box dia somente o domingo (Sunday). Usuário terá acesso a sites de entretenimento, noticias, vídeos, redes sociais, dentre outros analisados pelo administrador da rede. Os passos para criação da politica são os mesmos citados no tópico 3.5 Politicas temporais mudando somente as variáveis de dia de aplicação e horário. Os passos para liberar sites dentro desta politica serão explicados no tópico 3.7 Liberação de sites. 3.5.5 Politica horário de trabalho predominante 1 Está politica de segurança tem como objetivo manter o foco dos funcionários somente em sites que são de necessidade especifica para exercer cada função, ou seja, se o funcionário é do setor financeiro então ele terá acesso somente a sites do seguimento financeiro, fiscal somente a sites relacionados ao fiscal (receita federal, sefaz, secretária da fazenda, etc), sites de entretenimento, vídeos, redes sociais não serão liberados neste horário. A criação desta politica segue o mesmo conceito citado no tópico 3.5 Politicas temporais, mas no local do nome é modificado para Worktime 1, o horário de imposição da politica se inicia as 07:00 e encerra as 12:00 marcando todos os dias da semana (Monday, Tuesday, Wednesday, Thursday, Friday) menos sábado e domingo ( Saturday, Sunday). Os passos para liberar sites dentro desta politica serão explicados no tópico 3.7 Liberação de sites. 3.5.6 Politica horário de trabalho predominante 2 Está politica de segurança tem o mesmo objetivo de acesso da politica de segurança citada no tópico 3.5.5, mas o nome aplicado será Worktime 2 e o horário aplicado será das 14:00 hrs até as 19:00 marcando todos os dias da semana (Monday, Tuesday, Wednesday, Thursday, Friday). Os passos para criação da politica são os mesmos citados no tópico 3.5 Politicas temporais mudando somente as variáveis de dia de aplicação e horário. Os passos para liberar sites dentro desta politica serão explicados no tópico 3.7 Liberação de sites. 46 3.5.7 Politica horário de trabalho predominante 3 Está politica de segurança será aplicada com os mesmos acessos das politicas citadas nos tópicos 3.5.6 e 3.5.7, mas com o nome de Worktime 3, iniciando as 23:00 e se estendendo até as 07:00 hrs de todos os dias da semana sem nenhuma excessão, ou seja, todos os check box dos dias devem ser marcados (Monday, Tuesday, Wednesday, Thursday, Friday, Saturday, Sunday). A politica deve ser aplicada durante o turno noturno. A empresa Ceagro não funciona todos os dias neste horário, mas em certos períodos alguns funcionários podem ter que exercer suas atividades durante o worktme 3 então devemos assegurar de que ele só vai estar acessando os sites necessários para sua função, caso contrário o funcionário que utiliza de alojamento da empresa deve estar em horário de descanso com no mínimo 8 hrs de sono e não distraído com sites de entretenimento, redes sociais, vídeos. Os passos para criação da politica são os mesmos citados no tópico 3.5 Politicas temporais mudando somente as variáveis de dia de aplicação, horário e nome. Os passos para liberar sites dentro desta politica serão explicados no tópico 3.7 Liberação de sites. 3.6 Politicas baseadas em intervalos de ip’s A Ceagro possui 4 redes internas separadas por faixa de ip’s (rede sem fio interna, rede sem fio para visitantes, rede cabeada AMA (projeto de apoio a crianças carentes localizado na associação da empresa), rede cabeada interna da filial. Pode-se utilizar estas faixas de ip para liberar sites, desta maneira há uma maior facilidade para liberações a nível de todos os usuários da empresa, assim como, sites de bancos, sites de organizações do governo, sites recomendados internamente para todos os usuários, portal interno da empresa dentre outros. O primeiro passo para criar o grupo de cada faixa de ip é criar o endereço dentro do Fortigate, ou seja, qual o ip de inicio e o ip de alcance de cada rede. A figura 19 mostra os passos: 47 Figura 19 Fonte: Próprio autor Na aba Firewall Objects, Addresses, Addresses, clicando em Create New vai surgir a seguinte tela na figura 20. Figura 20 Fonte: Próprio autor No campo Name coloca-se o nome da rede ou grupo que no caso vai ficar WiFi Ceagro, o campo Type deve ser escolhido IP range (ip de alcance), no campo Subnet/ IP Range deve-se colocar a faixa de ip’s em que a rede sem fio se localiza, por exemplo, 192.168.50.1-192.168.50.30 este será o intervalo em que a regra de liberação de site vai se aplicar. 48 Após a criação dos grupos e intervalos de endereços de ip’s de alcance, deve-se criar o grupo com o mesmo nome na aba Security Profiles, Web filter, Profiles, passos a seguir estão na figura 21. Figura 21 Fonte: Próprio autor A flecha no canto direito da figura indica o botão de criação de um novo grupo ou perfil de liberação, a flecha da esquerda indica as categorias em que pode-se liberar sites dentro do grupo, para escolher as categorias basta clicar em cima que ela modifica para bloqueado ou então se ela deve ficar liberada é só deixar da maneira como está na figura. Finalizando o processo com o botão OK. Os passos para liberar sites dentro das politicas criadas em intervalos de ip serão explicados no tópico 3.7 Liberação de sites. Figura 22 Fonte: Próprio autor 3.6.1 Politica Sites liberados na rede Wi-Fi Ceagro Para criar está politica basta seguir os passos citados no tópico 3.6, modificando o nome para Wi-Fi Ceagro, a faixa de ip’s em que ela vai se aplicar começa em 192.168.60.150/192.168.60.230 e criar o grupo para liberações de sites nesta faixa de ip, pode-se chegar a conclusão de que somente notebooks vão estar nesta 49 faixa de ip, então os sites liberados para este grupo vão se aplicar somente a este tipo de equipamento, como a empresa utiliza somente uma marca de notebook pode-se aproveitar esta faixa de ip’s para liberar atualizações de software e hardware para os equipamentos, entre outros sites destinados somente a usuários de notebook. Os passos para liberar sites dentro desta politica serão explicados no tópico 3.7 Liberação de sites 3.6.2 Politica aplicada na rede interna cabeada Os passos para criar está politica está citado no tópico 3.6, o nome deve ser Rede interna cabeada, a faixa de ip’s aplicada inicia em 192.168.60.100 até o ip final 192.168.60.150, o grupo de liberações de sites deve ser criado com o mesmo nome (Rede interna cabeada), as liberações de sites neste grupo vai se aplicar somente em computadores desktop, qualquer tipo de site pode ser liberado nesta faixa de ip dependendo da necessidade. Os passos para liberar sites dentro desta politica serão explicados no tópico 3.7 Liberação de sites. 3.6.3 Politica aplicada na rede projeto AMA Está politica é direcionada para o projeto AMA, este projeto tem por objetivo ajudar crianças carentes da cidade de Balsas com total apoio da Ceagro, a sede se localiza nos fundos da empresa e utiliza a rede para acesso a internet, o nome da politica será rede projeto AMA, a faixa que se aplica está politica vai ser 192.168.60.50 com o ip final 192.168.60.100, o nome do grupo para liberações é rede projeto AMA, neste grupo pode-se liberar sites educacionais, sites voltados para crianças, organizações do governo, etc. A criação segue o conceito citado no tópico 3.6. Os passos para liberar sites dentro desta politica serão explicados no tópico 3.7 Liberação de sites 3.6.4 Politica aplicada na rede para visitantes Clientes que visitam a Ceagro tem a sua disposição uma rede Wi-Fi para visitantes, o nome aplicado a politica será Wi-fi visitantes, a faixa de ip se inicia em 192.168.60.230 com o ip final 192.168.60.250, está rede deve ter o mínimo de liberações de sites, pode-se liberar sites de pesquisa, sites relacionados a produção agrícola, logística, financeiro, contabilidade, somente sites de negócios. Os passos para liberar sites dentro desta politica serão explicados no tópico 3.7 Liberação de sites 50 3.7 Liberação de sites Para liberar sites no Fortigate é preciso saber para quem vai ser liberado, em qual setor ou grupo este usuário se enquadra, se o site deve ser liberado somente em um horário livre definido pelo administrador da rede, dentro de uma politica temporal, dentro de uma politica de acesso baseada na faixa de ip’s, sendo assim, precisa-se ter o link do site, por exemplo, o site do Google (www.google.com.br), deve-se considerar também as categorias pré-definidas no Fortigate para enquadrar sites, na figura 23 seguem as categorias existentes (Local Categories, Potentially Liable (potencialmente responsáveis), Adult Mature Content (Conteúdo adulto maduro), Bandwidth Consuming (Consumo de largura de banda), Security Risk (Risco de segurança), General Interest – Personal (interesse geral pessoal), General interest – Business (Interesse geral negócios), Unrated (sem classificação)). Figura 23 Fonte: Próprio autor No tópico 3.6 é citado os passos para criação de grupos de liberações de sites, após os grupos estarem criados eles vão aparecer no campo indicado no canto direito da tela na figura 23, basta clicar no botão ao lado. 51 Dentro do grupo de acesso Freetime pode-se ver as categorias liberadas, Local Categories, General insterest – Personal (categoria de interesses pessoais), General Interest - Business (categoria de sites de negócios), dentre outras categorias que estão bloqueadas devido ao risco oferecido assim como a Bandwidth Consuming que são sites que o usuário pode baixar arquivos prejudiciais a rede, ou seja, consumo de banda para download, pode-se liberar está categoria mas com a certeza de que uma hora ou outra arquivos mau intencionados vão entrar na rede e causar danos, na Figura 23 citamos o grupo Free time1 como exemplo mas deve-se considerar que este grupo tem condições especiais um acesso com mais opções de distração para o usuário, assim como o próprio nome do grupo diz horário livre em português. Pode-se comparar o grupo de categorias liberadas no Free time 1 com o grupo de categorias do TI como mostrado na Figura 24 onde agora a categoria Bandwidth Consuming está liberada, porque colaboradores deste setor devem ter acessos a downloads de arquivos como, drives, programas, manuais entre outros, considerando que o profissional da área está preparado teoricamente para saber onde deve procurar estes arquivos e não colocar a rede da empresa em risco. Figura 24 Fonte: Próprio autor 52 Para liberar um site solicitado por um usuário, ou de uma lista de sites adquirida sobre uma pesquisa com os usuários de cada setor da empresa, ou baseado na faixa de ip, ou então com base na faixa de horário, é feito os passos ilustrados na Figura 25: Figura 25 Fonte: Próprio autor Clicando em Create New temos a seguinte tela na figura 26: Figura 26 Fonte: Próprio autor 53 Na Figura 26 o site liberado esta inserido no campo URL, e a categoria escolhida para ele é o Sites Freetime, ou seja, este site só vai estar liberado no horário livre. Vale lembrar que os sites são liberados por categorias, se dentro do grupo TI a categoria Bandwidth and Consuming não estiver bloqueado pode-se então categorizar o site que é para ser liberado dentro dela, caso categorizar um site que estiver bloqueado no grupo TI simplesmente o acesso será negado, por isso antes de liberar deve-se checar as categorias que estão liberadas em cada grupo. Na figura 27 o site da Dell está sendo liberado dentro da categoria Bandwidth and Consuming onde somente o pessoal do TI tem está categoria liberada dentro do grupo TI. Lembrando que politicas de acesso de grupo criados nos tópicos 3.5 e 3.6 também vão aparecer no campo Category na tela da figura 26, consequentemente podese liberar sites dentro das politicas. Figura 27 Fonte: Próprio autor Estes passos acima para liberação de sites são seguidos até que todos os sites listados na pesquisa sejam liberados para cada setor e conforme solicitados posteriormente pelos usuários da rede. Abaixo estão os setores e alguns sites que devem ser liberados: 54 Fiscal www.receita.fazenda.gov.br www.danfeonline.com.br www.webdanfe.com.br www.geradanfe.com.br www.nfe.fazenda.gov.br Tabela 1 Fonte: Próprio autor Contabilidade www.portaldecontabilidade.com.br www.sitecontabil.com.br Tabela 2 Fonte: Próprio autor TI www.microsoft.com www.dell.com.br www.lenovo.com.br www.hp.com www.olhardigital.com.br www.inovaçãotecnológica.com.br technet.microsoft.com/pt-br www.wikipedia.org Tabela 3 Fonte: Próprio autor RH www.jf.jus.br www.tst.jus.br www.catho.com.br www.revistamelhor.com.br www.rh.com.br www.gpportal.com.br www.gestaoerh.com.br www.facebook.com 55 www.sine.com.br Tabela 4 Fonte: Próprio autor Comercial www.preçododolar.com www.mfruralcom.br www.abrapa.com.br www.basf.com.br www.peninsulanorte.com.br Tabela 5 Fonte: Próprio autor Produção www.rural.com.br www.ruralbr.com.br www.embrapabr.br www.ruralbusiness.com.br www.revistadinheirorural.com.br www.ibge.gov.br www.brasil.gov.br www.agriculturasustentavel.org.br www.seprotec.com.br/sementes/feijao-bola-cheia.html www.cifeijao.com.br/ http://pt.aliexpress.com/popular/organic-mung-bean.html http://150.165.111.246/ojs-patos/index.php/ACSA/article/view/324/pdf Tabela 6 Fonte: Próprio autor Ambiental www.sema.com.br 56 www.aged.ma.gov.br www.socioambiental.org www.ibflorestas.org.br www.mma.gov.br www.abes-dn.org.br www.car.gov.br Tabela 7 Fonte: Próprio autor Financeiro www.serasaexperian.com.br Tabela 8 Fonte: Próprio autor Sites para todos os setores www.bb.com.br www.bancodobradesco.com.br www.caixa.gov.br www.bnb.gov.br www.basa.com.br Tabela 9 Fonte: Próprio autor 3.8 Politicas baseadas em extensões de arquivos O Fortigate oferece a função de bloquear as extensões de arquivos que oferecem riscos para a rede, e será utilizada para cada grupo de navegação criado, funcionando como um filtro de arquivos que entram na rede e por onde entram, obviamente o setor de TI também vai ter uma maior liberdade em baixar arquivos de vários tipos de extensões, é feito o levantamento de extensões existentes circulando pela internet para montar a lista. A Figura 28 mostra o caminho para inserir extensões para bloqueios: 57 Figura 28 Fonte: Próprio autor Clicando em Create New temos a seguinte tela na Figura 29: Figura 29 Fonte: Próprio autor Deve-se preencher o campo File Name Pattern com o nome do arquivo que deve ser bloqueado no caso acima este arquivo será bloqueado dentro do grupo do TI. Para criar um grupo basta clicar em Create New na tela da figura 30 e colocar o nome do grupo na tela da figura 31 (Produção, TI, RH, Fiscal, todos os grupos que está sendo trabalhado), assim como mostra a Figura 25: 58 Figura 30 Fonte: Próprio autor Figura 31 Fonte: Próprio autor 3.8.1 Politica bloqueio de acesso a extensões aplicado no grupo TI O setor de TI pode ter acesso à maioria de extensões contidas na internet, o tipo de extensão que serão bloqueadas neste grupo é mostrado na tabela abaixo: Lista de extensões *.msi Favicon.ico *.vbs *.vb 59 Para criar as extensões citadas na tabela e o grupo (TI) onde as extensões devem ser bloqueadas é necessário seguir os passos citados no tópico 3.7 Politicas baseadas em extensões de arquivos. 3.7.2 Politicas bloqueio de extensões nos grupos de acesso Está politica vai se aplicar em todos os outros grupos (RH, Fiscal, Contabilidade, Produção, Financeiro, Logística, Ambiental, Comercial), todos estes grupos devem ser criados seguindo os passos citados no tópico 3.7 adicionando as extensões presentes na tabela abaixo, estas politica vão evitar que usuários comuns sem um conhecimento avançado sobre extensões disponíveis em vários tipos de site na internet consigam baixar estes tipos de arquivos. Pode-se considerar que para cada grupo é gerada uma politica, então dentro do conceito de bloqueio de extensões tem-se 8 politicas de bloqueio de extensões mais a politica de bloqueio de extensões do grupo Ti que é diferenciada nos tipos de extensões. Lista de extensões *.msi *.vb *.vbs *.gif *.php *.zip *.jpeg *.pn *msi *.rar *.dvi *.divx *.ed *.bs All.js Sality.AT *.gen!inf 60 *.gz *.m4a *.mp3 Likebox.php *.cpl *.mp2 Tabela 11 Fonte: Próprio autor 3.9 Politica de controle de aplicações As aplicações executam em vários tipos de sites, assim como em logins, captcha( imagens de caracteres que devem ser replicados em campos de confirmação), animações, sistemas de compras online, funcionam como um executável a parte dentro de sites, o Fortigate pode controlar todos os tipos de aplicação executadas nos navegadores disponíveis no mercado (Internet Explorer, Mozilla Firefox, Google Chrome), quando é liberado um tipo de aplicação solicitada, todos os grupos que o site respectivo a aplicação estiver liberado vão poder executa-la. A Figura 32 mostra algumas aplicações que devem ser bloqueadas. Figura 32 Fonte: Próprio autor 61 Para bloquear uma nova aplicação basta clicar em Create New e colocar o respectivo nome, assim o usuário não terá mais a autorização de executa-la dentro do site. O problema que tem em relação a aplicações é como identifica-las no site, geralmente ela não fica visível como o link do site, então o Fortigate oferece a ferramenta de monitoramento de aplicações que estão sendo executadas (FortiAnalyzer), ele fica dentro do Fortigate mas o endereço de ip para acesso ao software é diferente, por exemplo (192.168.60.4), basta ir no navegador e digitar o endereço de rede que está localizado o software. Figura 33 Fonte: Próprio autor Na Figura 33 seguindo os passos de acesso em ordem (Log View, seleciona o Fortigate no caso acima é o de Balsas, em Traffic está visível algumas colunas e dentre elas está a coluna Application (onde aparece o nome da aplicação), Action (ação tomada pelo Fortigate em relação a ela, bloquear ou não a execução), e o Host Name é o nome do site onde está aplicação será executada. Com este monitoramento pode-se então conseguir o nome da aplicação e criar um novo bloqueio para a mesma dentro do Fortigate, este trabalho é realizado durante todo o tempo em que se usa o Fortigate, não existe a possibilidade de bloquear ou desbloquear todos os tipos de aplicações, o que o 62 administrador de rede pode fazer a principio é bloquear as aplicações que executam em site de downloads de arquivos assim como mostra a Figura 32, que foram selecionadas assim como do site 4shared, 2safe (Video/áudio, file sharing, storage backup), estas oferecem riscos a rede. 3.10 Página de exibição de violação de regras e politicas do Fortigate A imagem mostra a mensagem que o Fortigate exibe quando alguma de suas regras ou politicas são violadas pelo usuário. A tentativa de acessar um site não liberado pelo administrador do firewal é analisada pelo mesmo levando em consideração as regras criadas e assim exibindo o resultado no próprio navegador (Web Page Blocked) em português página da Web bloqueada, caso o site estiver liberado, simplesmente o acesso será livre sem exibição de nenhuma mensagem. Esta mensagem de página bloqueada será exibida para todas as violações de regras não importando a natureza, se é uma regra de horário, site bloqueado ou até mesmo de extensões de arquivos bloqueados. Figura 34 Fonte: Próprio autor 63 4. CONSIDERAÇÕES FINAIS O objetivo proposto pelo tema do trabalho foi atingido com êxito, politicas foram construídas baseadas no contexto da rede da empresa Ceagro, onde no cenário atual não existe um controle de horários, acessos permitidos ou não, aplicações, extensões, sendo assim a aplicação das politicas citadas vão contribuir, afunilar os acessos dos usuários a internet. O Software (Fortigate) utilizado na empresa para controle de acesso a internet oferece o suporte para todas as politicas de acesso a internet criadas, a aplicação real destas politicas vão ser analisadas por gestores responsáveis pelo setor de TI, deve-se levar em consideração que todas politicas podem ser aperfeiçoadas no futuro, ou seja, se características do ambiente modificar as politicas também podem ser modificadas. A segurança da informação esta sendo um tema discutido na atualidade, devido as espionagens ocorridas no Brasil e no mundo, invasões de sistemas, banco de dados, roubo de informações, então é essencial manter restrições de acesso ao conteúdo da internet, as politicas criadas é mais uma maneira de manter a segurança dos dados e informações que circulam na rede da empresa. A Ceagro possui 62 filiais espalhadas pelo Brasil, cada local possui um Fortigate, então após analise dos gestores do TI pode-se estender estas politicas para todas as filiais, toda a empresa segue um mesmo tipo de regras estabelecidas pela diretoria e TI, o que se aplica a filial de Balsas se aplica em todas as filiais, este projeto pode contribuir em grande escala dentro da empresa focando a segurança no acesso dos usuários a internet. 64 5. REFERÊNCIAS LYRA, Mauricio Rocha, Segurança e Auditoria em Sistemas de Informação. Rio de janeiro: Editora Ciência Moderna Ltda., 2008. SOARES, LEMOS, COLCHER.; Luiz Fernando Gomes, Guido, Sérgio; Redes de computadores das LANs, MANs, WANs às Redes ATM. Rio de Janeiro : Elsevier. MICROSOFT, FireFront TMG disponivel em: < HTTP://technet.microsoft.com/pt- br/library/cc441610.aspx > Acesso em: 22 de maio de 2012. INTERNATIVA, Segurança da informação disponível em: <http://internativa.com.br/artigo_seguranca_01.html > Acesso em : 20 de Maio de 2012 ROVER, Marinho TECHNET Microsoft, O que é Active Directory, topologia física e lógica disponível em: < http://technet.microsoft.com/pt-br/library/jj206711.aspx > Acesso em: 13 de Novembro de 2013. FORTINET Publishing, The Fortigate Cookbook FortiOS 4.0 MR3. 2011 BANDEIRA, Junior Dissertação de mestrado, Controle de acesso a recursos computacionais de forma flexível e dinâmica através de contexto. Santa Maria, RS, Brasil 2010. 65