DIRECTORY RADIUS IPLEIRIA RADIUS FCCN 802.1X CONVIDADOS @IPLEIRIA.PT A@IPLEIRIA.PT B@IN STITU IÇÃO. PT
Figura 24 – Infraestrutura rede sem fios
Por questões de regulamentação do projeto eduroam é obrigatório a atribuição de endereços públicos aos utilizadores convidados em roaming nas instituições.
4.1.5 -
A infraestrutura de autenticação do IPL assenta no serviço de diretório da Microsoft conhecido por Active Directory (AD). Os diversos serviços existentes no IPL são autenticados no domínio IPLeiria.pt suportado no AD. A autenticação de serviços como VPN e redes com fio é feita através da mesma infraestrutura de autenticação.
4.1.6 -
As Universidades e Politécnicos são caracterizadas por serem meios abertos de pouco controlo físico de segurança onde sem qualquer dificuldade, qualquer pessoa consegue entrar e ter acesso aos seus recursos.
A definição do tipo de utilizadores é um dos aspectos de segurança muito importante em redes Universitárias, tendo em conta que esta dispõe duma comunidade de utilizadores bastante numerosa e complexa em termos das necessidades de utilização dos recursos.
No IPL, e, genericamente sem chegar ao nível detalhe das diferentes características dos utilizadores, são identificados os seguintes tipos: alunos, funcionários não docentes, docentes, convidados e externos.
Os alunos são caracterizados por pertencerem a uma escola do IPL, existindo casos em que estão alunos a frequentar o IPL mas que pertencem a outras Instituições de Ensino Superior, como ocorre nos cursos dados em parceria ou nos alunos de Erasmus.
Os funcionários encontram-se distribuídos pelos diversos serviços que compõem o IPL. Existem funcionários permanentes e funcionários temporários como é o caso dos estagiários ou participantes em projetos ou programas do centro de emprego e formação profissional.
Os docentes pertencem a uma determinada escola, podendo leccionar em todas as escolas do IPL. Como acontece com os funcionários, existem docentes a tempo inteiro e temporários. Aos convidados pertencem os alunos, docentes e funcionários de outras instituições que por alguma razão se encontram no IPL e fazem uso da infraestrutura sem fios ao abrigo do projeto
eduroam.
Por último, os externos. Aqui inserem-se as pessoas que pertencem a entidades ou organizações externas e que prestam serviço no IPL direta ou indiretamente através de projetos ou outro tipo de parceria.
Os utilizadores do tipo: aluno, funcionário e docentes a partir do momento que pertençam ao IPL é-lhes atribuído uma conta que permite ter acesso a toda a infraestrutura de dados e recursos disponibilizados.
4.1.7 -
O serviço de acesso remoto via VPN , visa permitir o acesso seguro à rede de comunicações do IPL aos membros da comunidade académica, independentemente do local onde se encontrem.
A VPN utiliza recursos de criptografia para garantir a integridade e a confidencialidade dos dados transmitidos através da rede pública. Este serviço pode ser acedido pelos clientes sendo independente da ligação de dados utilizada. O uso deste serviço implica a instalação de um cliente VPN específico por parte do cliente.
4.1.8 -
Sendo um ambiente académico constituído por escolas de diferentes tipos, existe uma diversidade de sistemas operativos na organização. Destaca-se a utilização de clientes baseados em Windows, Linux e Mac OS. Na gama dos dispositivos móveis, a preferência recai na utilização de iOS27 e android28.
4.1.9 -
Nos últimos anos, a mobilidade dos utilizadores alterou-se devido à proliferação do uso de novos dispositivos móveis nas infraestruturas. Os utilizadores passaram a fazer o uso primordial de dispositivos como portáteis, PDAs, telefones ―inteligentes‖ e mais recentemente de Tablets. Das estatísticas existentes de acesso na rede sem fios, estima-se que mais de 60%
27
Sistema operativo destinado a dispositivos móveis como é o caso do iPhone, iPod Touch ou iPad. 28
da população académica detenha equipamentos desta natureza, sendo que, existem utilizadores que possuem mais do que um dispositivo.
No que diz respeito à mobilidade, verifica-se que cada vez mais os utilizadores privilegiam a utilização da infraestrutura de rede sem fios através de dispositivos móveis.
A maioria dos dispositivos móveis são geridos e controlados apenas pelo proprietário. Os Serviços Informáticos do IPL não possuem forma de garantir a conformidade de segurança nestes dispositivos, assim como, o controlo das aplicações e mecanismos de segurança instalados.
4.2 -
Uma arquitetura de segurança para uma infraestrutura de TI atua como um manual em relação ao qual um programa de gestão de segurança é executado. Numa arquitetura define-se: o conjunto de serviços de segurança que devem ser implementados para satisfazer os requisitos do negócio; os elementos requeridos para implementar esses serviços e os níveis de serviços requeridos a esses elementos para conseguir gerir as ameaças identificadas, i.e. manter o nível de risco dentro dos limites aceites pela organização.
De acordo com a arquitetura SAFE da Cisco, os principais elementos de uma arquitetura de segurança são; a infraestrutura tecnológica de suporte e o controlo de acessos; o programa de gestão de segurança; a manutenção dos níveis de serviço e a análise de vulnerabilidades.
Grupo de Elementos Elementos
Infraestrutura e Controlo de Acessos
Requisitos de disponibilidade e resiliência tecnológica Segurança do Perímetro Externo e Prevenção Contra Intrusões
Identificação, Autenticação, Autorização e Gestão de Contas de Utilizadores Segurança nos Acessos Remotos
Monitorização de Segurança
Programa de Gestão de Segurança
Gestão Centralizada da Infraestrutura
Identificação de Requisitos, Definição de Política e Procedimentos de Segurança Organização da Segurança
Manutenção dos Níveis de Serviço
Definição, Implementação de Configurações Mínimas de Segurança Formação de Utilizadores
Gestão de Incidentes, Configurações e Alterações de Segurança
Análise de Vulnerabilidades
Prevenção, deteção e remoção de software malicioso e Controlo de Acesso a Conteúdos na
Internet
Análise de Vulnerabilidades Proteção de Informação Confidencial
Tabela 19 – Principais elementos de uma arquitetura de segurança
Nos pontos seguintes será avaliada a arquitetura de segurança da infraestrutura de TI do IPL de acordo com a metodologia e pontos referidos anteriormente. Para cada ponto, caso se
identifiquem, serão sugeridas medidas na proposta de arquitetura estudada no Capítulo 5, com objetivo de melhorar a infraestrutura. Na avaliação será dada especial atenção à arquitetura, visto tratar o principal foco neste estudo.
4.2.1 -
A arquitetura de segurança do IPL é caracterizada por ser uma arquitetura com alguns anos de laboração e se encontrar desajustada às necessidades e desafios atuais. Surgiu em 2004, ao abrigo do projeto Campus Virtual29 com objetivo de colmatar os problemas de segurança existentes e para servir de suporte aos desafios lançados com a implementação do projeto. Durante a execução do projeto, o IPL era caracterizado por ser uma instituição descentralizada onde cada escola possuía autonomia, cabendo a si a gestão local dos recursos existentes. No que diz respeito aos departamentos de TI, cada instituição detinha os seus recursos humanos e as suas infraestruturas de TI. A única infraestrutura partilhada por todas as instituições dizia respeito ao acesso à Internet que se encontrava localizado na Escola Superior de Tecnologia e Gestão sendo gerido pelo departamento de TI afeto a este local.
Router
100Mbps 100Mbps
100 Mbps
CAMPUS 4 – ESTM