• Nenhum resultado encontrado

Superando os riscos da segurança baseada em perímetro - Uma abordagem com identificação federada através de certificados digitais A3/ICP-Brasil e SAML

N/A
N/A
Protected

Academic year: 2017

Share "Superando os riscos da segurança baseada em perímetro - Uma abordagem com identificação federada através de certificados digitais A3/ICP-Brasil e SAML"

Copied!
109
0
0

Texto

(1)

UNIVERSIDADEFEDERALDO RIO GRANDE DO NORTE

UNIVERSIDADEFEDERAL DORIOGRANDE DO NORTE

CENTRO DETECNOLOGIA

PROGRAMA DEPÓS-GRADUAÇÃO EM

ENGENHARIAELÉTRICA E DECOMPUTAÇÃO

Superando os Riscos da Segurança Baseada em Perímetro

Uma Abordagem com Identificação Federada através de

Certificados Digitais A3/ICP-Brasil e SAML

Wellington Silva de Souza

Orientador: Prof. D. Sc. Sergio Vianna Fialho

Dissertação de Mestrado apresentada ao Programa de Pós-Graduação em Engenharia Elétrica e de Computação da UFRN (área de concentração: Engenharia de Computação) como parte dos requisitos para obtenção do título de Mestre em Ciências.

(2)

UFRN / Biblioteca Central Zila Mamede Catalogação da Publicação na Fonte

Souza, Wellington Silva de.

Superando os riscos da segurança baseada em perímetro uma abordagem com identificação federada através de certificados digitais A3/ICP-Brasil e SAML. / Wellington Silva de Souza. – Natal, RN, 2013.

85 f.: il.

Orientador: Prof. D. Sc. Sergio Vianna Fialho

Dissertação (Mestrado) - Universidade Federal do Rio Grande do Norte. Centro de Tecnologia. Programa de Pós-Graduação em Engenharia Elétrica e de Computação.

1. Redes de computação - Segurança. 2. Deperimetrização - Dissertação. 3. Cartões inteligentes – Redes de computação Dissertação. 4. SAML -Dissertação. 4. ICP-Brasil - -Dissertação. I. Vianna Fialho, Sergio. II. Universidade Federal do Rio Grande do Norte. III. Título.

(3)

Superando os Riscos da Segurança Baseada em Perímetro

Uma Abordagem com Identificação Federada através de

Certificados Digitais A3/ICP-Brasil e SAML

Wellington Silva de Souza

Dissertação de Mestrado aprovada em 18 de fevereiro de 2013 pela banca examinadora composta pelos seguintes membros:

Prof. Dr. Sergio Vianna Fialho (orientador) . . . DCA/UFRN

Prof. Dr. José de Ribamar Silva Oliveira . . . IFRN

Prof. Dr. Marcos Cesar Madruga Alves Pinheiro . . . DIMAP/UFRN

(4)
(5)
(6)
(7)

Agradecimentos

Ao meu orientador, professor Dr. Sergio Vianna Fialho, sou grato pela orientação e in-centivo para concluir este trabalho.

À toda equipe do PoP-RN, pelo apoio durante o estágio docente.

Aos professores do PPgEEC, pelos conhecimentos transmitidos.

À minha família, pelo apoio incondicional durante esta jornada.

(8)
(9)

Todos os dias quando acordo, Não tenho mais o tempo que passou. Mas tenho muito tempo, Temos todo o tempo do mundo.

Todos os dias antes de dormir, Lembro e esqueço como foi o dia. Sempre em frente, Não temos tempo a perder.

(Renato Russo)

A ignorância sobre o que não conhecemos nos dá a falsa sensação de segurança, o que é muito pior do que ter a noção real de que estamos inseguros.

(10)
(11)

Resumo

A visão tradicional de segurança em redes de computadores, baseada em perímetro (modelo do “castelo e fosso”), além de entravar a evolução dos sistemas corporativos, cria, tanto em administradores quanto usuários, a falsa ilusão de proteção. Para lidar com a nova gama de ameaças, um novo paradigma orientado à segurança intrínseca dos dados, chamado “deperimetrização”, começou a ser estudado na última década. Um dos requi-sitos para a implantação do modelo deperimetrizado de segurança é a definição de um mecanismo seguro e eficaz de identificação federada. Este trabalho busca preencher essa lacuna, apresentando a especificação, modelagem e implementação de um mecanismo de identificação federada, baseado na conjunção do protocolo SAML e certificados digitais X.509 armazenados em cartões-inteligentes, padrão A3/ICP-Brasil.

(12)
(13)

Abstract

The traditional perimeter-based approach for computer network security (the “castle and the moat” model) hinders the progress of enterprise systems and promotes, both in administrators and users, the delusion that systems are protected. To deal with the new range of threats, a new data-safety oriented paradigm, called “de-perimeterisation”, began to be studied in the last decade. One of the requirements for the implementation of the de-perimeterised model of security is the definition of a safe and effective mechanism for federated identity. This work seeks to fill this gap by presenting the specification, model-ling and implementation of a mechanism for federated identity, based on the combination of SAML and X.509 digital certificates stored in smart-cards, following the A3 standard of ICP-Brasil (Brazilian official certificate authority and PKI).

(14)
(15)

Sumário

Sumário i

Lista de Figuras v

Lista de Tabelas vii

Lista de Símbolos e Abreviaturas ix

1 Introdução 1

1.1 Contexto, justificativa e objetivos . . . 2

1.2 Descrição do documento . . . 2

2 Perímetro x Segurança 5 2.1 O castelo e o fosso . . . 5

2.2 Riscos da segurança baseada em perímetro . . . 6

2.3 Deperimetrização . . . 9

2.4 Literatura relacionada . . . 9

2.4.1 “What is Deperimeterization?” . . . 9

2.4.2 “No Borders – De-perimeterization and life after the firewall” . . 10

2.4.3 “’Deperimeterization’ demands new approach to security” . . . . 13

2.4.4 “Deperimeterization without endpoint control?” . . . 13

2.4.5 “Between the Lines / Deperimeterization” . . . 14

2.4.6 “Security in a world without borders” . . . 15

2.4.7 “The Deperimeter Problem” . . . 17

2.4.8 “Informação Segura / Deperimetrização” . . . 19

2.4.9 “Deperimetrização e Externalização” . . . 20

2.4.10 “Deperimetrização e Externalização, será?” . . . 21

2.4.11 Deperimetrização e computação em nuvem . . . 21

2.4.12 Conclusões sobre os trabalhos analisados . . . 22

2.5 Identificação federada . . . 22

2.5.1 SAML . . . 23

2.5.2 Soluções de identificação federada existentes . . . 24

3 Modelagem do Autenticador ICP/SAML 29 3.1 Definição da proposta de mecanismo de identificação federada . . . 29

3.2 Identificação e modelagem dos casos de uso . . . 30

(16)

3.2.1 Autenticador . . . 31

3.2.2 Aplicação . . . 31

3.3 Diagramas de sequência. . . 37

3.3.1 O processo deSingle-Sign-OnSAML . . . 37

3.3.2 O processo delogoncom cartão inteligente . . . 37

3.4 Considerações finais sobre a etapa de modelagem . . . 41

4 Implementação do Autenticador ICP/SAML 43 4.1 Ferramentas de desenvolvimento utilizadas . . . 43

4.1.1 Linguagem de programação . . . 43

4.1.2 Applet x AplicaçãoDesktop . . . 44

4.1.3 Applet x Servlet . . . 44

4.1.4 Containerde aplicação . . . 45

4.1.5 OpenSAML . . . 45

4.1.6 Demais ferramentas utilizadas . . . 45

4.2 Codificação . . . 46

4.2.1 Módulo Applet . . . 46

4.2.2 Módulo Servlet . . . 47

4.2.3 Integração dos módulos . . . 49

4.3 Testes . . . 51

4.3.1 SimpleSAMLphp . . . 51

4.3.2 TestShib Two . . . 54

4.4 Conclusões sobre as etapas de implementação e testes . . . 55

5 Estudo de Caso: Rede da Justiça Eleitoral 57 5.1 A infraestrutura de rede da Justiça Eleitoral . . . 57

5.1.1 Conexão à Internet . . . 57

5.1.2 Backbone Principal - TSE/TREs . . . 58

5.1.3 Backbones Secundários - TRE/ZEs . . . 59

5.1.4 O perímetro da Justiça Eleitoral . . . 60

5.2 Classificação dos sistemas da Justiça Eleitoral . . . 61

5.2.1 Sistemas eleitorais e de apoio à eleição . . . 61

5.2.2 Sistemas administrativos . . . 61

5.2.3 Sistemas judiciais . . . 63

5.2.4 Sistemas de TIC . . . 63

5.3 Deperimetrização aplicada à Justiça Eleitoral . . . 64

5.3.1 Aplicações do mecanismo desenvolvido . . . 64

5.3.2 Identidade funcional digital . . . 65

6 Considerações finais e trabalhos futuros 67

(17)

A Exemplos de elementos SAML 75 A.1 AuthnRequest . . . 76 A.2 Response . . . 76 A.3 Metadados do IdP . . . 79

(18)
(19)

Lista de Figuras

2.1 Castelo Bodiam, Inglaterra. . . 6

2.2 O Aríete em Combate . . . 7

2.3 Modelos de segurança: convencional e deperimetrizado. . . 11

2.4 Externalização do acesso à rede corporativa. . . 20

2.5 Diagrama de mensagens do Shibboleth . . . 24

2.6 Diagrama de funcionamento do OpenID . . . 26

3.1 O novo Registro de Identidade Civil. . . 30

3.2 Interação entre “Aplicação” e “Autenticador”. . . 31

3.3 Diagramas de casos de uso. . . 32

3.4 Diagramas de sequência . . . 38

4.1 Diagrama de classes do Applet. . . 48

4.2 Diagrama de classes do Servlet. . . 50

4.3 Diagrama de classes do pacote de utilitários. . . 52

4.4 Seleção do IdP - SimpleSAMLphp. . . 53

4.5 Requisição SAML capturada pelo SAMLTracer. . . 53

4.6 Tela de login do Applet. . . 54

4.7 Autenticação com sucesso - SimpleSAMLphp. . . 54

4.8 Tela de carregamento dos metadados do IdP - ShibTestTwo. . . 55

4.9 Autenticação com sucesso - ShibTestTwo. . . 56

5.1 Rede da Justiça Eleitoral. . . 58

5.2 BackbonesPrincipal e Secundário. . . 59

5.3 Ligação direta à Internet / Backbone deperimetrizado. . . 59

5.4 Geração de contrasenha para estação com SIS. . . 62

(20)
(21)

Lista de Tabelas

2.1 “Mandamentos” do Jericho Forum . . . 12

3.1 Caso de Uso: Gerar Assertiva SAML. . . 33

3.2 Caso de Uso: Autenticar Usuário. . . 33

3.3 Caso de Uso: Solicitar Certificado Digital e PIN. . . 34

3.4 Caso de Uso: Acessar Aplicação. . . 35

3.5 Caso de Uso: Solicitar Assertiva SAML. . . 35

3.6 Caso de Uso: Consumir Assertiva SAML. . . 36

3.7 Caso de Uso: Gerar Token SSO. . . 36

3.8 Mensagens do Processo de SSO SAML. . . 39

3.9 Mensagens do ProcessoLogoncom Cartão Inteligente. . . 40

4.1 Atributos de usuário em um certificado A3 ICP-Brasil. . . 47

(22)
(23)

Lista de Símbolos e Abreviaturas

ACL Access Control List

CA Central de Atendimento

CAFe Comunidade Acadêmica Federada

CSP Cryptographic Service Provider

DOS Denial of Service

DRM Data Rights Management

IaaS Infrastructure as a Service

ICP Infraestrutura de Chaves Públicas

IDS Intrusion Detection System

IPS Intrusion Prevention System

J2EE Java2 Platform Enterprise Edition

JE Justiça Eleitoral

MPLS Multiprotocol Label Switching

OID Object Identifier

P2P Peer-to-Peer

PaaS Platform as a Service

PDA Personal Digital Assistant

RIC Registro de Identidade Civil

RNP Rede Nacional de Ensino e Pesquisa

SaaS Software as a Service

SAML Security Assertion Markup Language

SGI Sistema de Gerenciamento de Identidade

(24)

SIS Subsistema de Instalação e Segurança

TCO Total Cost of Ownership

TIC Tecnologia da Informação e Comunicação

TSE Tribunal Superior Eleitoral

URI Uniform Resource Identifier

URL Universal Resource Locator

VPN Virtual Private Network - Rede Virtual Privada

(25)

Capítulo 1

Introdução

O desenvolvimento das redes de computadores ao longo das últimas décadas permitiu à humanidade atingir um novo patamar de interatividade econômica e social. Seja em nossos lares ou no ambiente empresarial e corporativo, o acesso à Internet nos é, hoje, tão familiar como a água encanada e a energia elétrica. Segundo [Werthein 2000], a difusão da Internet nos países industrializados deu suporte ao sonho de integração mundial dos povos por meio de infovias globais. Nessa nova sociedade, a informação é a principal mercadoria, o principal meio de geração e acumulação de valor.

Outrora considerada utopia, a ubiquidade tecnológica e de comunicação vivenciada nas últimas décadas afeta sobremaneira as relações humanas, incluindo nesse rol as rela-ções corporativas. Qualquer empresa ou instituição na atualidade possui alguma presença na rede mundial de computadores: sítio na Web, redes sociais, interação com sistemas computacionais de terceiros (bancos, governo, fornecedores, clientes), processos de ne-gócios, pesquisa científica, ensino e aprendizagem.

No entanto, a mesma revolução trazida pela Tecnologia da Informação e Comunicação (TIC) carrega em seu bojo um conjunto de novas ameaças para as quais as redes corpora-tivas não estão preparadas. Observa-se que a velocidade de adoção de novas tecnologias de computação e comunicação é superior à capacidade de compreensão e adequação aos riscos envolvidos no processo. No ambiente corporativo, onde a preocupação com a se-gurança da informação é (ou deveria ser) maior, é comum a resistência à adoção de novas tecnologias. Exemplos disso temos no Wi-Fi, Peer-to-Peer (P2P), computação em

nu-vem, outsourcing e teletrabalho; tecnologias que são vistas com ceticismo por diversas

empresas e instituições.

Tal resistência encontra fundamento na visão tradicional de segurança adotada no mundo corporativo. Nela, a proteção da informação é “garantida” por meio de um perí-metro físico/lógico que separa a rede corporativa (rede interna) da Internet (rede externa). Este modelo de segurança, baseado em perímetro, remonta à década de 90, quando se co-meçou a pensar em segurança para a Internet. Nesta época temos o surgimento de diversas ferramentas destinadas à proteção das redes de computadores: firewall, proxy, Intrusion Detection System(IDS),Intrusion Prevention System(IPS).

(26)

2 CAPÍTULO 1. INTRODUÇÃO

Observa-se, assim, que as redes corporativas de empresas e instituições se mostram completamente despreparadas ao lidar com ameaças advindas de novas tecnologias de comunicação, comportamento de risco de usuários, interoperabilidade com sistemas de terceiros eoutsourcing.

Por hora, basta ao leitor refletir:

• De que adianta bloquear o funcionamento de aplicações e restringir acesso a sítios

se o usuário estabelecer uma conexão com umaVirtual Private Network(VPN) fora

dos limites do perímetro?

• De que adianta um conjunto de regras de firewall para bloquear o tráfego de

en-trada na rede se um usuário, ligado à rede corporativa, utilizar um acesso móvel à Internet(modem 3G/4G) em sua estação de trabalho?

1.1

Contexto, justificativa e objetivos

Conforme mostrado no trabalho, ocorre atualmente, no ambiente corporativo, um en-trave no desenvolvimento de sistemas e de processos de negócios diante das incertezas decorrentes da falta de maturidade em segurança da informação, impedindo a exploração de novas tecnologias computacionais e de comunicação

Este trabalho insere-se, assim, na discussão a respeito da segurança em redes corpo-rativas - redes de computadores de empresas, indústrias, instituições, órgãos públicos, universidades, entre outras de natureza similar. Em especial, contextualiza-se na análise das deficiências do modelo de segurança adotado destas redes, baseado em perímetro.

Justifica-se o presente estudo tendo em vista permitir uma reavaliação do modelo de segurança atualmente adotado nas redes de computadores em ambientes corporativos, o qual se encontra defasado tecnologicamente, não atendendo as atuais necessidades de comunicação de empresas e instituições em um mundo onde a Internet, a cada dia, se torna mais presente (ubíqua) e fundamental para nosso modo de vida.

É apresentado um novo paradigma, denominado “deperimetrização”, cujo foco é li-dar com os problemas de segurança da atualidade, não adequadamente abordados pelo modelo atual, baseado em perímetro. Mostra-se também que o modelo de segurança de-perimetrizado carece de algumas ferramentas tecnológicas para que possa ser utilizado em sua plenitude. O objetivo deste trabalho é analisar estas carências, dando enfoque à necessidade de um mecanismo eficaz e seguro para identificação federada.

Ao longo do desenvolvimento da dissertação é apresentada uma proposta de uma fer-ramenta voltada à identificação federada, utilizando certificados digitais padrão A3 - ICP-Brasil, consistindo na principal contribuição deste trabalho acerca do tema.

1.2

Descrição do documento

(27)

1.2. DESCRIÇÃO DO DOCUMENTO 3 baseada em perímetro, bem como suas vulnerabilidades. Para lidar com estas, é apresen-tado um novo paradigma, baseado no conceito de deperimetrização. Faz-se uma revisão bibliográfica sobre o tema, acrescentando um levantamento sobre mecanismos de identi-ficação federada existentes, permitindo assim a elaboração da proposta desenvolvida nos capítulos subsequentes.

A seguir, o capítulo 3 aborda o levantamento de requisitos e modelagem da solução de identificação federada proposta. Tal mapeamento é fundamental para estabelecer o escopo do sistema desenvolvido, definindo as diretrizes seguidas no capítulo seguinte.

Dando continuidade, o capítulo 4 mostra a metodologia e ferramentas utilizadas para codificar o modelo de aplicação definido no capítulo 3. São realizados testes com ferra-mentas de referência de terceiros de modo a validar o produto implementado, ratificando a eficácia do mesmo para utilização em ambiente de produção.

(28)
(29)

Capítulo 2

Perímetro x Segurança

Neste capítulo é efetuada uma abordagem sobre a eficácia do perímetro enquanto mecanismo de segurança das redes de computadores - modelo conhecido como “o castelo e o fosso”. Nessa avaliação, são mostrados os riscos em potencial da utilização do modelo de segurança perimetrizado, o qual se baseia no critério dualista de classificação das redes (interna x externa).

Apresenta-se, em seguida, um novo paradigma de segurança para redes de compu-tadores, denominado “deperimetrização”, voltado à solução do problema, mostrando as lacunas técnicas que devem ser preenchidas para que este possa ser utilizado. Uma delas, o mecanismo seguro e eficaz de identidade federada, é escolhida para ser abordada neste trabalho. Faz-se a seguir um levantamento das soluções existentes para tal propósito, de modo a embasar a proposta desenvolvida nos demais capítulos.

2.1

O castelo e o fosso

Castelos, construções tradicionalmente associadas à Idade Média mas com origens que remontam à Idade da Pedra, eram fortificações utilizadas para acomodação de milícias e posteriormente nobres, chegando a abrigar e proteger cidades inteiras de ataques exter-nos. Especialmente na Europa medieval, diante do constante estado de guerra, os castelos tornaram-se a residência fortificada dos senhores feudais e das cortes reais. Além de centro administrativo local, também eram utilizados para guarda de riquezas (geralmente despojos de guerra) e arsenais.

Os principais mecanismos de defesa dos castelos eram a muralha (espessas paredes constituídas principalmente a partir de blocos de pedra) e o fosso (geralmente inundado ou repleto de estacas pontiagudas). Segundo [OneLinea 2010], é por esta razão que a ex-pressão “castelo e o fosso” é comumente usada em analogia à descrição dos mecanismos de defesa de um sistema baseado emfirewallnas redes de computadores.

A muralha de um castelo, assim como um firewall, visa definir um perímetro de

(30)

6 CAPÍTULO 2. PERÍMETRO X SEGURANÇA

Figura 2.1: Castelo Bodiam, Inglaterra.

se concentra no limiar entres as redes interna (acreditada como confiável) e externa - In-ternet - considerada extremamente insegura, um território virtual hostil. Os bens a serem protegidos são análogos: benfeitorias (infraestrutura de rede, sistemas de informação e, sobretudo, os dados) e pessoas (diretores, empregados/servidores, profissionais de TIC).

2.2

Riscos da segurança baseada em perímetro

De acordo com [HSW 2011], após o século 16, os castelos entraram em decadên-cia como forma de defesa, principalmente devido à invenção e ao desenvolvimento de pesados canhões e morteiros. A artilharia poderia lançar pesadas bolas de canhões com tamanha força, que nem muros muito fortes resistiam. Outras ferramentas, como o aríete (Figura 2.2), também eram capazes de romper as muralhas e os portões das fortificações. Da mesma sorte, sistemas baseados em perímetro enfrentam hoje novas ameaças de se-gurança para os quais não estão preparados.

Nesse aspecto, não se trata apenas de melhorar os algoritmos de filtragem ou criar novas heurísticas de análise de tráfego. O modelo de segurança baseado em perímetro é incapaz de fornecer segurança adequada diante de novas formas de ataque. Além disso, mesmo ataques clássicos podem ser bem sucedidos quando executados dentro do períme-tro:

• Acesso móvel à Internet: Smartphonesemodems 3G/4G estão se tornando itens

comuns do cotidiano. Nada impede que um funcionário os conecte à sua estação de trabalho e acesse conteúdo bloqueado pela política de segurança da empresa.

• Conectividade Wi-Fi:Caso não exista proteção de rede no nível de enlace (802.1X

(31)

2.2. RISCOS DA SEGURANÇA BASEADA EM PERÍMETRO 7

Figura 2.2: O Aríete em Combate [Cellarius 1645].

de forma não autorizada à rede corporativa, provendo a atacantes nas imediações acesso à rede interna. O mesmo ocorre caso seja utilizado um método de autentica-ção ou criptografia inadequados, como WEP (mecanismo baseado no uso de chave privada de pequeno tamanho, o que facilita sua descoberta) ou WPA no modo ‘per-sonal’ (no caso de “vazamento” da chave compartilhada).

• Perímetro em uma rede de grande porte:As redes de grandes companhias ou

or-ganizações (um campus universitário, por exemplo), apesar de classificadas como “locais”, são inerentemente hostis - ataques internos são frequentes. Num ambi-ente com cambi-entenas ou milhares de computadores e usuários uma defesa baseada em perímetro não faz muito sentido.

• Utilização de VPN para burlar a política de segurança: Aplicativos como o

OpenVPN [OpenVPN 2012] permitem ao usuário comum estabelecer uma conexão com um ponto remoto fora do perímetro da rede, podendo assim acessar qualquer conteúdo bloqueado pela política de segurança. Além disso, tais aplicativos podem encriptar o tráfego, mascarando-o como uma conexão HTTPS regular.

• Mascaramento de URL através de registros de DNS alternativos: É comum a

restrição de acesso a determinados tipos de conteúdosWeb no ambiente

corpora-tivo, por exemplo: música, vídeo, jogos, redes sociais,webmailde terceiros, dentre

outros. Tendo em vista que geralmente esta restrição se dá com base em URL, basta ao usuário criar entradas DNS alternativas em um servidor próprio ou de terceiros, como o NoIP [NoIP 2012].

(32)

8 CAPÍTULO 2. PERÍMETRO X SEGURANÇA

ocultando sua presença na rede. Mesmo que haja filtragem de conteúdo e antivírus na borda de rede, umpen-driveounotebookinfectado externamente pode

dissemi-nar ummalwarena rede interna. Nessa situação, o atacante pode ter controle total

sobre uma estação e, a partir dela, disparar ataques a sistemas internos ao perímetro.

• Mobilidade da informação: Mesmo que o perímetro fosse perfeito, seu modelo

presume que todos os ativos (equipamentos, pessoas, informação) estão em seu interior. Contudo, com a utilização denotebooks,pen-drivesesmartphones,

infor-mação valiosa entra e sai da organização a todo tempo, burlando tanto o perímetro físico como o lógico.

Dualismo: as “redes boas” e as “redes más”

É fato que administradores de rede tendem a criar uma concepção dualista na avaliação das redes de computadores, definindo-as como “boas” e “más”. De um lado temos a rede interna, LAN, considerada “boa”, segura. Do outro a rede externa, WAN, a rede “má”, perigosa, onde residem todas as ameaças, que devem ser combatidas a todo custo. Nessa concepção, todos os investimentos em mecanismos de segurança (equipamentos,

software, contratação de pessoal e treinamento) visam proteger a rede interna dos perigos

advindos da rede externa.

É interessante observar que este paradigma está tão arraigado na visão de segurança de profissionais e empresas de TIC, que sistemas operacionais e mesmo dispositivos em-barcados voltados à proteção da informação adotam definições dualistas na configuração de seus sistemas e equipamentos. Ao definirmos, por exemplo, que determinada interface de rede do sistema pertence à WAN, diversas regras defirewallextremamente restritivas

são ativadasper default, restringido ao máximo o tráfego permitido naquela interface. Por

outro lado, os dados trafegados numa interface associada à LAN geralmente são liberados por padrão, ou passam por critérios de avaliação extremamente relaxados se comparados aos da WAN.

O problema dessa abordagem reside no fato de ignorar por completo uma fonte com enorme potencial de perigo à segurança da informação. Estando a interface LAN de um sistema aberta a qualquer tráfego de forma indiscriminada, qualquer atacante dentro da rede interna tem grandes chances de sucesso no ataque a algum serviço daquele sistema. Outro risco seria o atacante se utilizar de artifícios para ter acesso a alguma estação co-nectada à LAN e, a partir desta estação, disparar o ataque a algum sistema disponibilizado na rede interna.

Além disso, e ainda mais grave, tal abordagem fomenta nos profissionais de TIC, em especial naqueles ligados à segurança da informação, uma falsa sensação de que os sistemas corporativos estão protegidos de ameaças, uma vez que tais sistemas, estando dentro do perímetro, estão imunes ou com superfície de ataque mínima às investidas de

hackers, crackers, malware, entre outros, pois (acredita-se que) estes residem (somente)

(33)

2.3. DEPERIMETRIZAÇÃO 9

2.3

Deperimetrização

De modo a contornar os riscos apresentados pela segurança baseada em perímetro, uma nova abordagem começou a ser pesquisada na última década. Nessa abordagem a segurança é trazida próxima aos dados, pois estes são, em última instância, o que se deseja proteger.

O termo “deperimetrização” teve sua origem num artigo de Jon Measham [Simmonds & Seccombe 2009], o qual se tornou referência para criação do Jericho Forum [JerichoForum 2009]. Tal fórum é o principal palco no qual são discutidos assuntos relativos ao tema e do qual fazem parte diversas companhias, universidades, instituições de pesquisa e pro-fissionais diversos ligados às áreas de TIC, e segurança da informação.

O mesmo artigo informa que a grafia correta, em língua inglesa, é hifenizada e com “s”: de-perimeterisation, sendo, no entanto, frequentemente usadas variantes não

hifeni-zadas ou com “z” -deperimeterisation,deperimeterization,de-perimeterization– apesar

de serem categoricamente consideradas incorretas pelo Jericho Forum.

Para o presente trabalho, optou-se por adotar o neologismo “deperimetrização”, o qual, além de ser a derivação mais adequada conforme os ditames da língua portuguesa, é também a expressão mais corrente nos textos em português sobre o tema.

Procedeu-se então a uma revisão bibliográfica do assunto. São relatados os artigos analisados, fornecendo um resumo acrescido de comentários e entendimentos. Tal análise leva em conta principalmente as contribuições do texto em questão para a compreensão do tema geral, bem como sua aplicação em um ambiente real (estudo de caso mostrado no capítulo 5), definindo os elementos teóricos necessários à elaboração da proposta apre-sentada ao final deste capítulo.

2.4

Literatura relacionada

Após definição do tema principal, procedeu-se uma busca por artigos e textos rele-vantes ao mesmo. Nota-se que quase a totalidade caracteriza-se por artigos informais, não-acadêmicos, disponíveis em sítios na Internet. A seguir, apresenta-se um resumo dos diversos materiais encontrados, acrescidos de comentários e interpretações obtidas.

2.4.1

“What is Deperimeterization?”

O artigo [SearchSecurity 2007] define deperimetrização como uma estratégia multi-nível de proteção que se utiliza de encriptação e autenticação dinâmica no multi-nível de dados. Utiliza a analogia de um castelo para mostrar como a segurança é tratada atualmente: colocam-se os dispositivos de rede por trás de umfirewalle todos os esforços são

dire-cionados a deixar invasores do lado de fora. Indaga a praticidade do modelo tradicional diante do advento dosWebServicese da força de trabalho móvel: teletrabalho, smartpho-nes, dentre outros.

(34)

10 CAPÍTULO 2. PERÍMETRO X SEGURANÇA

telefônicos, rede local e VPN. No modelo deperimetrizado bastaria conectar os micro-computadores e telefones VoIP à Internet, uma vez que toda a infraestrutura de rede da companhia estaria segura, mediante tráfego criptografado, autenticação de usuários e au-torização de acesso.

2.4.2

“No Borders – De-perimeterization and life after the firewall”

A introdução do artigo [Fritsch 2008] salienta as mudanças que vêm ocorrendo atual-mente nas redes de empresas e organizações. A percepção de segurança, outrora fornecida por um perímetro baseado em umfirewall, começa a perder sentido na esteira da chegada

de novas tecnologias como VPN,e-commerce,WebServicese Web 2.0.

Osfirewalls, tidos como objetos de orgulho de qualquer departamento de segurança,

eram projetados de modo a proteger a rede interna ao acesso externo, principalmente através do bloqueio de portas. O acesso aos serviços, porém, eram disponibilizados a qualquer um que estivesse do lado de dentro do perímetro – LAN. No entanto, a visão tradicional “preto-e-branco”, na qual temos a distinção entre a “segura” rede interna e a “perigosa” rede externa, nunca foi realmente simples como parecia. De fato, especialistas em segurança enfrentam, hoje, grande dificuldade em segregar o que está “dentro” do que está de “fora” nas redes de computadores. O acesso remoto através de Personal Digital Assistant(PDA), telefones celulares,notebookse VPN faz surgir novas bordas do

perímetro em todo lugar a todo tempo. Além disso, no passado, cada serviço tinha uma porta claramente definida e associada, a qual era facilmente controlada pelofirewall. Mas

hoje, a maioria dos serviços, baseados no modelo WebService, enfatiza a utilização do

protocolo HTTP/HTTPS (portas 80 e 443), dificultando assim a distinção entre estes no escopo do perímetro da rede.

O que pode ser visto como um verdadeiro problema – adaptar o tradicional conceito de

firewallà nova realidade – é encarado por alguns especialistas como uma oportunidade do

surgimento de uma mudança de paradigma, a qual contemple a complexidade das redes atuais.

É nesse escopo que surge, a partir de estudos do Jericho Forum, uma nova visão em segurança de redes. E o cerne dessa nova visão está no conceito da deperimetrização: transpassar a visão tradicional de rede como um espaço finito, com interior, exterior e um perímetro que os separa. De acordo ainda com o Jericho Forum, as redes de com-putadores, hoje, enfrentam uma variedade tão ampla de ameaças, que a única estratégia de segurança confiável é a proteção da própria informação, em detrimento à rede ou ao restante da infraestrutura de TI da organização. Nessa linha de pensamento, a segurança de uma rede qualquer não deve ser baseada em um suposto perímetro.

(35)

2.4. LITERATURA RELACIONADA 11

Figura 2.3: Modelos de segurança: convencional e deperimetrizado.

sistema operacional ou da rede para permanecerem seguros.

A proteção da informação deve contemplar muito além da simples restrição de acesso ao equipamento onde a mesma se encontra. Além disso, deve-se levar em conta a premissa que nenhuma rede é efetivamente segura. Sendo assim, cada dispositivo deve, também, ser capaz de resguardar sua própria segurança, mesmo quando colocado diretamente e de forma aberta sob a Internet. De fato, a importância de uma rede local deve diminuir ou mesmo desaparecer nos próximos anos, especialmente quando se leva em consideração tecnologias como IPv6 e computação em nuvem.

A solução ideal seria aquela na qual a própria informação possuísse atributos que as-segurassem que o acesso à visualização ou alteração de conteúdo fosse restrito somente àqueles aos quais ela se destina. Tal abordagem, conhecida como Data Rights Mana-gement(DRM), vai muito além da simples criptografia dos dados, pois envolve também

a autenticação e autorização diretamente no nível de dados. De fato, existem esforços de diversas empresas desoftware - entre elas Microsoft, Oracle e RSA – no

desenvolvi-mento de arcabouços para o modelo DRM. No entanto, as soluções existentes não levam em consideração o fato que a deperimetrização visa facilitar o fluxo das informações, o qual só ocorreria através da padronização e adoção, pela indústria, de um modelo aberto, independente de fabricante.

(36)

12 CAPÍTULO 2. PERÍMETRO X SEGURANÇA

Tabela 2.1: “Mandamentos” do Jericho Forum

[JerichoForum 2007].

Fundamentos

1. O escopo e o nível de proteção devem ser específicos e apropriados para o bem em risco.

• Os negócios exigem que a segurança permita agilidade e seja

custo-efetiva.

• Mesmo quefirewallsde borda ainda continuem fornecendo proteção de rede básica, sistemas individuais e dados terão de ser capazes de proteger a si mesmos.

• Geralmente, quanto mais próxima do bem mais fácil é a tarefa de

aplica-ção da segurança sobre o mesmo.

2. Mecanismos de segurança devem ser genéricos, simples, escalonáveis e fáceis de gerenciar.

• A complexidade desnecessária é uma ameaça à boa segurança. • Princípios de segurança coerentes são necessários para abranger todos os

níveis da arquitetura.

• Os mecanismos de segurança devem ser escalonáveis, abrangendo desde

pequenos a grandes objetos.

• Para serem ao mesmo tempo simples e escalonáveis, os “blocos de

cons-trução” de segurança interoperáveis devem de ser capazes de serem com-binados de modo a fornecer os mecanismos de segurança necessários. 3. Considere os riscos do contexto.

• As soluções de segurança projetadas para atuar em um determinado

am-biente não podem ser transferidas para atuar em outro. Dessa forma, é importante compreender as limitações de qualquer solução de segurança.

• Problemas, limitações e riscos podem vir de uma variedade de fontes,

in-cluindo geográfica, jurídica, técnica, aceitabilidade do risco, etc

Sobrevivência em um mundo hostil

4. Dispositivos e aplicações devem se comunicar usando protocolos seguros e abertos.

• Segurança através da obscuridade é uma falsa presunção - protocolos

se-guros exigem abertura à revisão pelas partes de modo a fornecer uma avaliação robusta e, assim, amplo uso e aceitação.

• Os requisitos de segurança de confidencialidade, integridade,

disponibili-dade e confiabilidisponibili-dade devem ser avaliados e construídos dentro dos proto-colos, não fornecidos como um acréscimo a estes.

• O encapsulamento do tráfego de dados de forma criptografada não resolve

todos os problemas e deve ser utilizado somente quando necessário. 5. Todos os dispositivos devem ser capazes de manter sua política de

segu-rança quando em uma rede não-confiável.

• A “política de segurança” define as regras no que diz respeito à proteção

do bem.

• As regras devem ser completas no que diz respeito a um contexto

arbitrá-rio.

• Qualquer aplicação deve ser capaz de sobreviver na Internet bruta, isto é,

não “quebrar” em qualquer entrada de dados.

A necessidade de confiança

6. Para o estabelecimento de qualquer transação, todas as pessoas, processos e tecnologias precisam ter níveis de confiança declarados e transparentes.

• Confiança, neste contexto, é estabelecer um entendimento entre as partes

contratantes de modo a conduzir uma transação e definir as obrigações de cada parte.

• Modelos de confiança devem abranger pessoas/organizações e

dispositivos/infra-estrutura.

• Os níveis de confiança podem variar de acordo com o tipo e risco da

tran-sação, localização e o papel do usuário.

7. Níveis de garantia de confiança mútua devem ser determináveis.

• Dispositivos e usuários devem ser capazes de estabelecer níveis

adequa-dos de mútua autenticação para acessar sistemas e daadequa-dos.

• Estruturas de autenticação e autorização devem suportar o modelo de

con-fiança.

Gerenciamento, Identidade e Federação

8. Os mecanismos de autenticação, autorização e auditoria devem ser capa-zes de interoperar / interagir fora do seu local / área de controle.

• Pessoas / sistemas devem ser capazes de gerenciar direitos e permissões

de acesso a recursos de usuários que não estejam sob seu controle.

• Deve haver capacidade de se confiar em uma organização, a qual pode

autenticar indivíduos ou grupos, eliminando assim a necessidade de criar identidades separadas.

• A princípio, apenas uma instância da pessoa/sistema/identidade deveria

existir, mas requisitos de privacidade podem exigir o suporte a várias ins-tâncias, ou uma instância com múltiplas facetas.

• Os sistemas devem ser capazes de repassar assertivas e credenciais de

se-gurança.

• Deve haver suporte a múltiplas áreas de controle.

Acesso aos dados

9. O acesso aos dados deve ser controlado por atributos de segurança dos dados em si.

• Atributos podem ser guardados dentro dos dados (metadados/DRM) ou

podem residir num sistema separado.

• Acesso/segurança pode ser implementado por criptografia. • Alguns dados podem ter atributos “públicos, não-confidenciais”. • O acesso e os direitos de acesso têm um componente temporal.

10. Privacidade de dados (e segurança de qualquer bem de valor suficiente-mente elevado) requer uma segregação de funções / privilégios.

• Permissões, chaves, privilégios, etc. devem, em última análise, residir em

um mecanismos de controle independente, ou haverá sempre um elo mais fraco no topo da cadeia de confiança.

• O acesso de administrador também deve estar sujeito a estes controles.

11. Por padrão, os dados devem ser adequadamente protegido quando arma-zenados, em trânsito, e em uso.

• Retirar o padrão deve ser um ato consciente.

• Segurança elevada não deve ser aplicada para tudo; o termo “adequado”

(37)

2.4. LITERATURA RELACIONADA 13

2.4.3

“’Deperimeterization’ demands new approach to security”

O artigo [OrangeBusiness 2008] atenta para um fato curioso, observado na publicação “2008 – Security Survey” do Computer Security Institute (CSI) [Richardson 2008]: os gastos médios das organizações decorrentes de falhas de segurança pararam de diminuir nos últimos anos. Observando uma retrospectiva destes gastos na década, percebe-se que eles diminuíam ano após ano, de modo não linear, chegando no nível mais baixo em 2006. A causa para essa estagnação, segundo o artigo, é a maneira como as redes são protegidas atualmente: “cercar e vigiar”.

Por “cercar e vigiar” entenda-se as abordagens tradicionais adotadas, as quais são projetadas de modo a proteger as fronteiras da rede, tais comofirewalls. Nesse modelo,

protege-se o perímetro, onde ocorre a troca de tráfego de dados com o mundo exterior, deixando os sistemas relativamente vulneráveis na rede local. Pode-se caracterizar a pro-blemática atual como uma conjuntura de fatores: fronteiras amorfas, mudança de práti-cas de trabalho e técnipráti-cas inovadores de ataque. Como exemplos, são citados: acesso à intranet através de uma rede externa (extranet, VPN, entre outros); funcionários que contaminamnotebookscom vírus fora da empresa e depois voltam a conectá-los à rede

corporativa; e ataques de engenharia social, persuadindo funcionários a visitar sites mali-ciosos. Chega-se à conclusão clara que o perímetro, hoje, é repleto de “buracos”.

Segundo especialistas, ao invés de proteger apenas as bordas da rede, usando técnicas simples como bloqueio de portas e varredura de e-mails, as companhias devem buscar uma abordagem deperimetrizada, baseada em papéis e identidades. Nela, assumimos que a rede definitivamente não é confiável, por mais que se tente protegê-la. Portanto, torna-se necessária uma “defesa em profundidade”, na qual múltiplas camadas de tecnologia são adotadas com o fim maior de proteção dos bens mais preciosos – os dados. A respeito destes últimos, torna-se fundamental conhecer seu ciclo de vida dentro da organização – onde estão e como são usados – de modo a propiciar-lhes a proteção necessária.

Para que isso ocorra, é necessário aumentar a sinergia entre a gerência de negócios e a gerência de TIC dentro das organizações. Históricamente, a segurança de TIC é tratada como uma função isolada, por vezes compreendendo um departamento distinto. Para o modelo deperimetrizado, o que devemos observar no futuro é uma “convergência de segurança”, na qual haverá total integração entre a gerência de segurança de TIC e a gerência de processos de negócio.

Tendo essas considerações em mente, vê-se que a segurança deve ir muito além do perímetro, adentrando na rede, chegando aosendpoints(nós da rede: computadores,

ser-vidores, sistemas, ativos de rede, entre outros).

2.4.4

“Deperimeterization without endpoint control?”

Neste artigo [de Barros 2009], temos um discurso informal do tema “deperimetri-zação”. Caracteriza o problema chave do novo paradigma no “controle dosendpoints”.

Basicamente, se o esforço de defesa é trazido ao nível dos endpoints, é vital ter

con-trole sobre eles. Permitir aendpoints, sobre os quais não se tem controle, acesso a dados

(38)

14 CAPÍTULO 2. PERÍMETRO X SEGURANÇA

O artigo justifica o posicionamento, chamando a uma reflexão de como uma visão de segurança centrada nos dados funcionaria. Seria algo semelhante a agentes embarcados em cadaendpointou mesmo carregados junto aos dados, encapsulando-os. Independente

da metodologia aplicada, os agentes de segurança seriam executados diretamente no end-point. Dessa forma, um usuário com poderes administrativos sobre aquele dispositivo

poderia modificar o agente de modo a burlar os mecanismos de segurança e fazer com que este realize tarefas não previstas, até mesmo as que se propunha a prevenir.

Como, então, evitar que usuários tenham acesso administrativo aos seus próprios dis-positivos? Simplesmente não é possível, não com a tecnologia utilizada na atualidade. Um solução seria a adoção em larga escada do Trusted Platform Module – TPM, o qual enfrenta diversas dificuldades de emplacar no mercado, dado a resistência dos usuários e de sociedades de proteção das liberdades individuais [Stephan & Vogel 2011].

Como alternativa, o artigo é taxativo: permanecer com o que se tem hoje. Sempre será necessário ter total controle sobre a rede e seu ambiente físico, além de colocar restrições sobre quais dispositivos podem ser utilizados. O controle de acesso – escolher cuidadosamente “quem acessa o que” e sob quais condições – nunca deixará de existir.

Apesar de notadamente cético, o artigo levanta questões importantes sobre a temática em questão. Deve-se levar em conta uma série de problemas que podem advir da utiliza-ção de um novo paradigma de segurança que não se baseia em perímetro. Em especial, está a questão das relações de confiança entre os entes (pessoas, sistemas, dispositivos) da infraestutura deperimetrizada. Sobre isso se manifesta o Jericho Forum, conforme mostrado na tabela 2.1:

“6. Todas as pessoas, processos e tecnologias precisam ter transparentes e declarados níveis de confiança para o estabelecimento de qualquer transação. . . . Os níveis de confiança podem variar de acordo com a localização, tipo e risco da transação e o papel do usuário.”

A questão volta-se, então, não mais para o controle do endpoint e sim no nível de

confiança assumido para o mesmo. Um modelo de segurança deperimetrizado deve, pois, presumir que dispositivos, sistemas e usuários tenham capacidade de autenticação e auto-rização mútua, de maneira transparente e determinável. Tais características devem expli-citamente fazer parte doframework/modelo adotado. Necessitam, também, ser adequadas

às características da organização e ao nível de proteção que se deseja obter no nível de dados. A caracterização dos dados faz-se então necessária, pois apenas aqueles que repre-sentam algum bem informacional valioso e privativo necessitam de requintes de proteção elevada. A maioria, no entanto, por representar um risco transacional menor, pode reque-rer níveis de confiança menos exigentes - reduzidos ou mesmo nulos.

2.4.5

“Between the Lines / Deperimeterization”

(39)

2.4. LITERATURA RELACIONADA 15 ambiente mais poroso, o qual facilitará a conexão de pessoas e organizações” [Farber 2004].

Tal representação, do “castelo e fosso”, é frequentemente utilizada para representar a forma como a segurança da informação é tratada hoje, assim como foi no passado. As paredes podem ser tidas como o perímetro, mais precisamente ofirewalldas organizações.

O fosso, a separação entre a rede interna e a externa. Por fim, os portões e a ponte levadiça seriam as regras que permitem que o tráfego, baseado em portas e/ou comportamento (no caso de firewalls stateful). É uma representação clássica para esse modelo de proteção,

especialmente utilizada em artigos da área por sua praticidade didática.

Por ambiente poroso, pode-se entender como aquele no qual as fronteiras entre o mundo interior e exterior das organizações são flexíveis, adaptáveis às necessidades ine-rentemente mutáveis dos processos de negócio. À trajetória rumo a essa mudança de contexto dá-se o nome de deperimetrização.

Companhias com negócios e interesses em comum buscam mecanismos para estabe-lecimento de redes federadas e distribuídas, mas esbarram em barreiras como criação de políticas comuns de acesso, tratamento de questões legais e regulatórias, gerenciamento de riscos e resolução de disputas. Outro ponto nebuloso é a gerência de identidades, o qual requer algum tratamento centralizado. Deperimetrização não equivale à descentralização. Numa rede deperimetrizada, papéis como ações e políticas de acesso são distribuídos. Descentralizar não significa que não haja um centro e sim saber o que está no centro e o que está nos nós.

A busca pelo “ambiente poroso” pode encontrar nosWebServicesuma alternativa no

tratamento das questões ora levantadas.

2.4.6

“Security in a world without borders”

“Encare, você já foi deperimetrizado. A questão agora é o que você vai fazer so-bre isso.” Com essa epígrafe, o artigo [Cummings 2004] atenta para uma tomada de consciência imediata sobre diversas questões atuais relacionadas à segurança de rede, es-pecialmente em se tratando da proteção fornecida pelo perímetro.

As organizações já perceberam que à medida que se torna necessário permitir acesso de rede a parceiros, clientes e fornecedores, também aumenta a abertura dentro de sis-temas de proteção de borda, como firewalls e IDS. De fato, tais sistemas hoje possuem

tantos “buracos” que a efetiva proteção fornecida é mínima. Paul Simmonds, co-fundador do Jericho Forum, afirma que as bordas de rede são tão ineficazes que devem ser conside-radas mais como peneiras, afastandoscript kiddiese ataques básicos deDenial-of-Service

(DOS), deixando passar diversas ameaças que temos de encarar hoje em dia.

Uma prova cabal dessa afirmação está nos vírus ewormscomuns da Internet (Blaster e

Sasser, a título de ilustração), que adentram nas redes corporativas através do acesso a sites maliciosos. Técnicas diversas de engenharia social (phishing, por exemplo) permitem

que malware passem despercebidos pelas fronteiras da rede, causando grande impacto

internamente.

(40)

16 CAPÍTULO 2. PERÍMETRO X SEGURANÇA

inclusive, defendem o combate à deperimetrização, especialmente através da defesa em profundidade. Nessa linha de pensamento, incrementa-se a segurança através da aplica-ção de refinadas camadas de proteaplica-ção no interior da rede, trazendo o perímetro, assim, mais próximo aos dados.

O Jericho Forum, no entanto, aponta justamente na direção oposta: não lutar contra a deperimetrização e sim abraçá-la. Dado o despertar de consciência de que os perímetros são obsoletos, pode-se economizar o tempo e os recursos gastos neles, e dar foco ao apri-moramento da segurança interna. Organizações que tenham esse pensamento progressista começarão a aproximar suas aplicações das pessoas que necessitam delas e que se encon-tram do lado de fora do perímetro. Com isso ganha-se agilidade de mercado, celeridade no desenvolvimento de novas soluções e menor necessidade de hardware. O perímetro

acabará em algum momento por se dissolver, reduzindo custos operacionais e tornando o

e-businessmuito mais eficiente.

O artigo informa que, de acordo com o Jericho Forum, todas as organizações deverão passar por quatro fases para alcançar o ponto no qual poderão desenvolver seus processos de negócio seguramente em um ambiente completamente deperimetrizado:

• Fase 1: Começar a sair do perímetro. O primeiro passo da deperimetrização é

fa-zer com que aplicações deixem a fronteira da rede corporativa, aproximando-se das pessoas que as utilizarão. Assim, cria-se um canal de comunicação baseado na In-ternet com consumidores, fornecedores e parceiros de negócio, sem a preocupação de tratar da segurança das transações no perímetro da rede.

• Fase 2: Relaxar o perímetro. Nesta etapa, abandona-se a pretensão de reforçar

cada vez mais o perímetro, direcionando o foco das atenções na disponibilização do transporte criptografado de dados e acesso autenticado aos dados internos da organização.

• Fase 3: O perímetro deixa de existir. Neste ponto, a criptografia já terá chegado no

nível dos dados, bem como já estará em funcionamento um mecanismo de autenti-cação no nível de conexão – elimina-se assim a necessidade do perímetro.

• Fase 4: Comunicação sem fronteiras. Os processos de negócio já operam em um

ambiente totalmente deperimetrizado. Os dados são dotados de propriedades de segurança globais, tratadas diretamente nos endpoints. Mecanismos de

gerencia-mento de identidade, autenticação e autorização são distribuídos através de uma rede de confiança federada.

(41)

2.4. LITERATURA RELACIONADA 17 Nessa linha, temos como exemplo a adoção de firewalls e antivírus pessoais

direta-mente nas estações dos usuários. Outra solução, um software denominado Integrity, é

voltado ao problema do controle do endpoint, o qual foi discutido anteriormente. Nele,

quando o PC é conectado à rede, somente é liberado acesso ao servidor do Integrity, o

qual verifica se o equipamento está de acordo com as políticas de segurança da empresa, incluindo antivírus efirewallatualizados. Caso falhe em qualquer dessas checagens, não

obtém acesso ao restante da rede.

Outra aposta vem de fabricantes deswitches, como Cisco e Enterasys Networks. Em

geral, são soluções baseadas no protocolo 802.1X, provendo autenticação no nível de enlace. Algumas mais sofisticadas, como a Secure Networking da Enterasys, incluem

IDS/IPS, podendo detectar e reagir diante de tráfego malicioso.

Na área de gerenciamento de identidade, a empresa Trusted Network Tecnologies desenvolveu umsoftwaredenominadoIdentity, o qual se integra diretamente aos serviços

doMicrosoft Active Directory, trazendo autenticação, assinatura digital e gerenciamento

de direitos diretamente no nível dos pacotes TCP/IP.

Da mesma maneira, diversas outras companhias buscam soluções equivalentes. En-quanto isso, as organizações se preparam com o que se dispõe hoje – basicamente solu-ções para defesa em profundidade. Ao menos, a consciência da fragilidade da segurança baseada em perímetro já foi despertada.

2.4.7

“The Deperimeter Problem”

Segundo o artigo [Garfinkel 2005], o tradicional modelo de segurança de redes é extremamente semelhante ao da segurança física: coloque seus bens em um local seguro, construa uma muro de proteção ao redor e utilize um portão para controlar quem entra e sai. Este modelo de perímetro, “castelo e fosso”, é considerado por muitos obsoleto. Alguns inclusive defendem a remoção completa do perímetro das redes de computadores. No entanto, existe um longo caminho a ser percorrido até que sistemas comofirewalls,

IDS e IPS possam ser de fato abolidos.

A defesa baseada em perímetro é, em essência, correta. Funcionou muito bem nas cidades muradas da antiguidade, assim como também o foi nas redes de computadores na década de 90. Faz muito mais sentido deter invasores e atacantes através de defe-sas externas reforçadas do que deixá-los entrar e lutar diretamente com os civis – este é um trabalho para os soldados, que ficam na linha de frente, no perímetro. Obviamente, nenhuma defesa baseada em perímetro é perfeita. De fato, os troianos aprenderam essa li-ção há mais de 3.000 anos, quando permitiram a entrada de um imenso cavalo de madeira recheado de soldados gregos – uma vez dentro, as paredes se tornam irrelevantes.

Há anos, especialistas de segurança alertam sobre os perigos de subestimar as ameaças internas. Concentrar os esforços de defesa no perímetro invariavelmente leva a organiza-ção a relaxar a defesa interna, devido a uma falsa sensaorganiza-ção de segurança. Para ilustrar, há empresas que investem tanto na segurança do perímetro que hesitam em despender recur-sos com atualizações epatchs de computadores internos. Deve-se lembrar que existem

(42)

18 CAPÍTULO 2. PERÍMETRO X SEGURANÇA

Além disso, existem comportamentos de risco que põe abaixo o conceito de fronteira da rede: um funcionário pode simplesmente conectar umnotebook ousmartphone

con-taminado à rede corporativa; um ponto de acesso sem-fio não autorizado pode ser, com propósitos escusos ou simplesmente por desconhecimento dos riscos, conectado à rede local, permitindo acesso externo via Wi-Fi a wardrivers. A ubiqüidade também é uma

ameaça: o que impede a um funcionário conectar na porta USB um modem 3G que aca-bou de comprar, para acessar em seu computador conteúdo bloqueado pela política de segurança da instituição?

Mesmo que o perímetro fosse perfeito, ele assume que todos os bens estão sob sua circunvizinhança, considerando o modelo de Anéis de Confiança, conforme mostrado na figura 2.3. No entanto, com a utilização de notebooks, smartphones e pen-drives,

informação valiosa entre e sai da organização de forma totalmente desprotegida a todo tempo, burlando tanto o perímetro físico como o eletrônico. Confiar no perímetro, nesse caso, seria o equivalente a utilizar um alarme na residência para proteger as crianças de rapto, deixando-as, no entanto, irem à escola sozinhas.

Seguindo outra direção, o Jericho Forum orienta as organizações a adotar a idéia da deperimetrização: encarar que o perímetro está “morto” e desenvolver um novo para-digma de segurança baseado em autenticação mútua e criptografia forte. Tal modelo dever ser cuidadosamente projetado através de um modelo aberto e de modo a garantir interoperabilidade.

A questão da deperimetrização torna-se mais contundente em grandes companhias e organizações (um campus universitário, por exemplo). Quando se leva em conta um quadro funcional de milhares de empregados e um parque de milhares de computadores, uma defesa orientada a proteger esse perímetro não faz tanto sentido.

Esses ambientes, apesar de encerrarem uma rede interna, são inerentemente hostis – ataques internos são freqüentes. Podem ser criados perímetros internos adicionais, usando

firewallspara proteger setores estratégicos, por exemplo. O problema, nesse caso, é

de-finir a granularidade de proteção necessária. De acordo com o Jericho Forum, podem ser usados perímetros tão pequenos quanto possível – um firewall por computador, por

exemplo.

Os maiores “buracos” emfirewallscorporativos são advindos de decisões de negócio.

Quando duas empresas formam algum tipo de parceria, uma das primeiras atitudes é abrir as respectivas bordas, de modo que os sistemas corporativos de ambas possam interagir. O problema é que, mesmo depois de encerrada a parceria, tais buracos continuam a existir, especialmente por receio da equipe de segurança de TI em desativar algo importante. A situação se agrava após mudanças de pessoal no departamento de segurança. Com o tempo, nenhum funcionário saberá que existe essa “sutura” pendente.

Apesar de levar as instituições a uma falsa sensação de segurança, o perímetro tende a trazer mais vantagens que prejuízos. O que as organizações realmente necessitam são mecanismos de avaliação da eficácia de seus perímetros (sejam internos ou externos), servindo assim de apoio à decisão de onde são necessários maiores investimentos de pro-teção. A defesa em profundidade surge assim como alternativa promissora.

(43)

pro-2.4. LITERATURA RELACIONADA 19 fundidade. No lugar, prega a filosofia que os endpoints devem ser capazes de se

auto-protegerem. Mesmo sob esse ponto de vista, existem vantagens em se adicionar uma camada extra de defesa através de um firewall. Quando uma nova falha de segurança é

descoberta, é muito mais rápido bloquear o ataque com uma nova regra defirewalldo que

programar cadahostpara se atualizar.

Outro problema é que a visão do Jericho Forum propõe uma mudança radical de para-digma, através de uma arquitetura de segurança totalmente nova (ao invés de modificações incrementais num modelo pré-existente). A Internet foi um sucesso justamente devido ao seu modelo de aperfeiçoamento incremental.

Em tempo, qual gestor de segurança da informação seria capaz de desativar um fi-rewall em produção? E caso surgisse um ataque que pudesse ser evitado diretamente

no perímetro? Abraçar a deperimetrização tal qual idealizada pelo Jericho Forum passa necessariamente por reflexões como estas.

2.4.8

“Informação Segura / Deperimetrização”

O artigo [InfoSegura 2008] mostra principalmente os riscos oriundos da própria rede interna das organizações. Com a chegada da tecnologia 3G, nada impede que um funci-onário, bem ou mal intencionado, conecte um modem a seu computador para acessar e compartilhar conexão à Internet, conseguindo acesso a serviços e sítios bloqueados pela política de segurança da empresa.

Poderia ser sugerido algum tipo de inspeção na entrada e saída de funcionários im-pedindo a entrada de qualquer dispositivo que comprometesse a segurança do perímetro. Mas essa atitude com certeza geraria uma onda de protestos, além de processos por vio-lação da liberdade individual e privacidade.

Eis então que surge a proposta da deperimetrização. Ao invés de se preocupar com a rede, o foco da proteção passa a ser nos dados. A segurança então, segundo o artigo, seria feita apenas no host servidor (nesse ponto o artigo diverge do conceito principal

de deperimetrização encontrado no demais artigos). Com isso, não importa se os dados vão chegar ao usuário via rede interna, ADSL ou mesmo um modem 3G. Acaba-se assim com a necessidade de uma intranet corporativa, levando a uma diminuição do parque computacional das empresas e conseqüente redução de custos. Uma estrutura menos complexa acaba também por diminuir o consumo de energia elétrica, contribuindo para uma nova tendência – a TI verde.

Segundo o artigo, já é possível implementar esse novo conceito, conforme mostrado na figura 2.4, através de ferramentas desenvolvidas pela Microsoft:Active Directory, Sys-tem Center Configuration ManagereNetwork Access Protection, disponíveis a partir do

Windows Vista. Com a velocidade doslinksdomésticos aumentando a cada dia, a

(44)

20 CAPÍTULO 2. PERÍMETRO X SEGURANÇA

Figura 2.4: Externalização do acesso à rede corporativa.

2.4.9

“Deperimetrização e Externalização”

O artigo [Cima 2007] relata as soluções da Microsoft destinadas à deperimetrização. Inicia informando que é freqüente a discussão entre especialistas sobre a validade do atual modelo de segurança, especialmente em eventos de segurança. Alguns inclusive reiteram: “Ofirewallestá morto”. As causas são diversas: notebooksque, contaminados

externamente, são conectados à rede corporativa, acesso remoto de parceiros, entre outras. O que a maioria das análises sobre o tema não leva em consideração e que realmente representará o fim do perímetro é o simples fato de que a rede interna das organizações, tal como é conhecida hoje, irá desaparecer num futuro próximo. A computação ubíqua, com acesso à grande rede em todo lugar, acabará por fazer dispensar a necessidade de manter uma infraestrutura de rede própria, protegida por um perímetro. Essa mudança de estratégia virá acompanhada da necessidade de não mais focar a segurança na rede e sim nohost. Essa é a proposta do Jericho Forum. Mais que isso, ele desafia o mercado de TI

a buscar e criar soluções para ambientes deperimetrizados.

Alguns membros do fórum decidiram partir para a ação. É o caso da BP – British Pe-troleum, que iniciou um programa onde 18 mil de seus funcionários recebem uma verba anual para comprar e manter umnotebookparticular, o qual se conecta diretamente à

In-ternet, mesmo dentro dos escritórios da BP. Num futuro próximo, o que se verá será a externalização da rede corporativa das organizações: os usuários acessando os sistemas diretamente através da conexão doméstica; pequenas filiais ou escritórios usando algum tipo de conexão banda larga ou acesso sem-fio, e para empresas maiores, servidores man-tidos emdatacenterspróprios ou utilizando serviços dehostingde terceiros (computação

em nuvem).

(45)

2.4. LITERATURA RELACIONADA 21 dentre diversos outros permitem aplicação de conceitos de gerenciamento de identidade, autenticação e autorização. Outros serviços como distribuição desoftwaree gerência de

conformidade de políticas de segurança dehoststambém estão disponíveis.

O artigo finaliza dizendo que não se trata de resistir à deperimetrização e sim se pre-parar para um futuro no qual ela, inevitavelmente, fará parte da realidade.

2.4.10

“Deperimetrização e Externalização, será?”

Segundo [Elias 2007], ao mesmo tempo em que a deperimetrização/externalização resolverá diversos problemas que temos hoje decorrentes da obsolescência do firewall,

outros serão advindos. Sobre isso, faz referência a uma analogia feita por Bruce Schneier:

“Considere dois problemas de segurança diferentes. No primeiro deles, você guarda seus pertences num cofre no seu porão. As ameaças são os la-drões, claro. Mas o cofre é seu e a casa é sua, provavelmente. Você controla o acesso ao cofre e provavelmente tem um sistema de alarme.

O segundo problema é parecido, mas você guarda os seus pertences no cofre de outra pessoa. Pior ainda, no cofre de quem você não confia. Ele não sabe a senha, mas controla quem acessa o cofre. Ele pode tentar quebrá-la no seu tempo livre. Ele também pode transportar o cofre para onde ele quiser. Ele pode usar qualquer ferramenta que precisar.

No primeiro exemplo, o cofre precisa ser protegido, mas ainda é somente parte da segurança da casa. No segundo caso, o cofre é o único dispositivo que você tem. Este segundo problema de segurança parece ser teórico, mas ele acontece com freqüência na nossa sociedade da informação: dados con-trolados por uma pessoa são armazenados em dispositivos concon-trolados por outra pessoa.”

Nota-se então que os custos decorridos da deperimetrização podem ser iguais ou mai-ores que os atuais. O que então fará a diferença será a eficácia no controle da segurança.

2.4.11

Deperimetrização e computação em nuvem

Em empresas de médio e grande porte é nítida a tendência à terceirização ( outsour-cing) de recursos e sistemas de TIC. O que antes era mantido dentro do datacenter da

instituição, hoje está em transição para a nuvem, em modelos de software-como-serviço (SaaS), infraestrutura-como-serviço (IaaS) e plataforma-como-serviço (PaaS).

Empresas como Amazon, Ubuntu, UOL, dentre diversas outras, fornecem serviços de hospedagem de servidores virtualizados na nuvem. Em tempos de TI verde eoutsourcing,

a computação em nuvem se mostra como uma boa solução para redução doTotal Cost of Ownership(TCO). É com esse objetivo que cerca de 49% das empresas no Brasil usam

ou estudam adotar serviços de computação em nuvem [Callegari 2011].

(46)

22 CAPÍTULO 2. PERÍMETRO X SEGURANÇA

datacenterpara a nuvem, os dados sob controle do seu proprietário passam a ser

armaze-nados em dispositivos controlados por outras pessoas.

Nos ambientes de nuvem terceirizados, não há como se adotar o conceito dualista de classificação das redes de computadores: toda a infraestrutura já está na rede “má” -Internet. Logo, o conceito de segurança baseada em perímetro pouco ou nenhum sentido faz. Nestes, não há como se pensar em segurança da informação sem trazê-la o mais próximo possível dos dados.

2.4.12

Conclusões sobre os trabalhos analisados

Em linhas gerais, os artigos analisados demonstram a inaptidão da segurança baseada em perímetro nas redes de computadores da atualidade, especialmente considerando as mudanças no comportamento dos usuários, as novas estratégias de negócio de empresas e instituições e os riscos trazidos pelas novas tecnologias de comunicação.

Verifica-se que, se por um lado existe um consenso sobre a ineficácia na atualidade do perímetro de rede enquanto medida de segurança, por outro lado os artigos analisados divergem:

• Sobre a permanência do perímetro: se ele deve ser eliminado ou adentrar na rede

(defesa em profundidade);

• Sobre a metodologia de eliminação do perímetro: imediata ou gradativa.

Tendo em vista o ambiente corporativo, tradicionalmente resistente a mudanças de paradigma, faz mais sentido adotar uma estratégia de eliminação progressiva do perímetro ao mesmo tempo em que se aplica gradualmente a defesa em profundidade.

Conforme visto em 2.4.6, o Jericho Forum [JerichoForum 2009] - referência no as-sunto - preconiza que a eliminação do perímetro em qualquer organização é gradual, seguindo um sequenciamento em fases. Salienta, no entanto, que a maioria das peças necessárias às quatro fases da deperimetrização ainda não existe.

As fases “1” (começar a sair do perímetro) e “2” (relaxar o perímetro) poderiam ser aplicadas de imediato, desde que os sistemas fossem dotados de uma ferramenta de va-lidação de identidade eficaz. Este é um dos itens presentes na fase “4” (comunicação sem fronteiras), o qual prevê a necessidade de mecanismos de identidade, autenticação e autorização federados. É mais adequado, portanto, alterar a distribuição de requisitos, realocando estes mecanismos para a fase 2. A partir de então a fase “3” (o perímetro deixa de existir) poderia ter início.

Conclui-se, portanto, que o caminho para a deperimetrização passa, necessariamente, pela adoção de um mecanismo seguro e eficaz de identificação federada. O estabeleci-mento de uma proposta para este último, bem como seu desenvolviestabeleci-mento, são os princi-pais elementos abordados neste trabalho.

2.5

Identificação federada

(47)

es-2.5. IDENTIFICAÇÃO FEDERADA 23 tes dispostos em diferentes domínios administrativos. Um domínio administrativo pode representar uma empresa, uma universidade, entre outros, e é composto por usuários, di-versos provedores de serviços e um único provedor de identidades. Acordos estabelecidos entre provedores de identidades garantem que identidades emitidas em um domínio sejam reconhecidas por provedores de serviços de outros domínios e o conceito de autenticação única é garantido mesmo diante de diferentes domínios.

Dessa forma, o modelo de identidades federadas consegue oferecer facilidades para os usuários, pois evita que estes tenham que lidar com diversas identidades e passar diversas vezes pelo processo de autenticação.

2.5.1

SAML

O Security Assertion Markup Language (SAML) [Ragouzis et al. 2008] é um

arca-bouço designado para prover mecanismos de autenticação e autorização através de men-sagens XML. Ele define um formato de dados aberto, voltado à criação e trocaon-linede

informações de segurança entre entidades. É também uma das especificações recomenda-dos no e-PING [Correia et al. 2011], o padrão oficial brasileiro para governo eletrônico.

Na abordagem tradicional de desenvolvimento de sistemas, o mecanismo de auten-ticação é parte integrante da aplicação, cabendo ao desenvolvedor elaborar a estratégia de checagem das credenciais do usuário, geralmente através de consulta em uma base de dados ou validação em algum mecanismo de diretório, como LDAP [Zeilenga 2006]. No SAML, diferentemente, há a separação entre o processo de autenticação e o acesso ao serviço, de modo que a aplicação não incorpora em si o mecanismo de autenticação, delegando esta tarefa a um agente externo. Este, por sua vez, deve ser capaz de realizar o processo de autenticação e prover informações sobre o usuário (assertivas).

Verifica-se, assim, que o SAML define três participantes envolvidos no processo de autenticação/autorização:

• Sujeito: a entidade a ser autenticada, podendo ser uma pessoa, um computador,

uma organização, entre outros. Também conhecido como “Principal” ou “Utiliza-dor”;

• IdP:o “Provedor de Identidade” (Identity Provider), o qual realiza a autenticação

e geração de assertivas a respeito do “principal”. Também conhecido como “ente declarativo”.

• SP:o “Provedor de Serviço” (Service Provider). É o sistema ao qual o “principal”

deseja acessar. No contexto SAML ele atua como o “ente confiante”, consumindo assertivas geradas pelo IdP. Um SP pode estabelecer relações de confiança com diversos e independentes IdPs, criando assim uma rede de identidade federada em torno daquele serviço.

A utilização do SAML permite a criação do Single-Sign-On (SSO), ou seja, a

Imagem

Figura 2.1: Castelo Bodiam, Inglaterra.
Figura 2.2: O Aríete em Combate [Cellarius 1645].
Figura 2.3: Modelos de segurança: convencional e deperimetrizado.
Tabela 2.1: “Mandamentos” do Jericho Forum [JerichoForum 2007].
+7

Referências

Documentos relacionados

na Albânia], Shtepia Botuse 55, Tiranë 2007, 265-271.. 163 ser clérigo era uma profissão como as restantes, que a fé era apenas uma política e nada mais do que isso e deitou

O petróleo existe na Terra há milhões de anos e, sob diferentes formas físicas, tem sido utilizado em diferentes aplicações desde que o homem existe. Pela sua importância, este

A versão reduzida do Questionário de Conhecimentos da Diabetes (Sousa, McIntyre, Martins & Silva. 2015), foi desenvolvido com o objectivo de avaliar o

Este estágio de 8 semanas foi dividido numa primeira semana de aulas teóricas e teórico-práticas sobre temas cirúrgicos relevantes, do qual fez parte o curso

A proporçáo de indivíduos que declaram considerar a hipótese de vir a trabalhar no estrangeiro no futuro é maior entle os jovens e jovens adultos do que

Realizar a manipulação, o armazenamento e o processamento dessa massa enorme de dados utilizando os bancos de dados relacionais se mostrou ineficiente, pois o

Para devolver quantidade óssea na região posterior de maxila desenvolveu-se a técnica de eleva- ção do assoalho do seio maxilar, este procedimento envolve a colocação de

Estudos sobre privação de sono sugerem que neurônios da área pré-óptica lateral e do núcleo pré-óptico lateral se- jam também responsáveis pelos mecanismos que regulam o