autor: patrícia nattrodt barros soares · indice i seguran ca e o sis in tro du c ao no c oes...
TRANSCRIPT
Universidade Federal de Minas GeraisInstituto de Ci�encias Exatas
Departamento de Ci�encia da Computa�c�aoP�os�gradua�c�ao em Ci�encia da Computa�c�ao
Projeto Orientado� � cr�editos �
Estudo de Mecanismos de Seguran�ca
para o SIS
Patricia Nattrodt Barros Soares
Orientador� Prof� Jos�e Marcos Silva Nogueira
�� de julho de ����
�Indice
I Seguran�ca e o SIS �
� Introdu�c�ao �
� No�c�oes sobre Seguran�ca ���� Servi�cos � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � �
����� Con�dencialidade dos Dados � � � � � � � � � � � � � � � � � � � � � � ������ Autentica�cao � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � ������ Integridade � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � ����� Nao�repudia�cao � � � � � � � � � � � � � � � � � � � � � � � � � � � � � ������ Controle de Acesso � � � � � � � � � � � � � � � � � � � � � � � � � � � �
��� Algoritmos de Criptogra�a � � � � � � � � � � � � � � � � � � � � � � � � � � � ������ Algoritmos Sim etricos � � � � � � � � � � � � � � � � � � � � � � � � � ����� Algoritmos Assim etricos � � � � � � � � � � � � � � � � � � � � � � � � �
��� Certi�cados � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � ������ Conte udo de Certi�cados � � � � � � � � � � � � � � � � � � � � � � � � ������ O Processo de Autentica�cao � � � � � � � � � � � � � � � � � � � � � � �
�� O Protocolo SSL � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � ���� Autentica�cao do RPC � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � ����� Wrappers � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � ��
����� TCPWRAPPER � � � � � � � � � � � � � � � � � � � � � � � � � � � � ����� Auditoria � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � ��
� Sistema Integrado de Supervis�ao ���� Visao Geral � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � ���� A Rede do SIS � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � ��
A Seguran�ca no SIS ��� Comunica�cao Interna � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � ���� Controle de Acesso � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � ���� Autentica�cao � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � ��� Con�dencialidade � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � ���� Auditoria � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � ��
���� Rede � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � ������ Sistema � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � ��
II Proposi�c�oes ��
ii
� Comunica�c�ao Interna ����� RPC Seguro � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � ��
����� Autentica�cao do RPC Seguro � � � � � � � � � � � � � � � � � � � � � ������� Limita�coes do RPC Seguro � � � � � � � � � � � � � � � � � � � � � � � ������� Implementa�cao � � � � � � � � � � � � � � � � � � � � � � � � � � � � � ��
Seguran�ca em WWW ��
� Seguran�ca de Senhas �
Auditoria ��
� Conclus�ao ��
iii
Parte I
Seguran�ca e o SIS
� Introdu�c�ao
Atualmente� e crescente o n umero de ambientes computacionais interligados atrav es de
redes corporativas e� ao mesmo tempo� ligadas no mundo atrav es da Internet�
Esse cen ario vem provocando uma explosao no n umero de usu arios conectados �a rede
mundial� E crescente tamb em o n umero de usu arios que utilizam o conhecimento dis�
pon �vel na rede para �ns il �citos� o que contribui para aumentar as estat �sticas dos crimes
atrav es de computadores� Vale ressaltar que� apesar dos �crackers� �pessoas que usam
seus conhecimentos sobre sistemas computacionais para �ns il �citos� estarem nas man�
chetes dos jornais� estudos revelam que a grande maioria das invasoes nao sao detectadas
����
Tamb em e importante salientar que funcion arios� estagi arios e prestadores de servi�co
sao �crackers internos� em potencial e� estatisticamente� sao respons aveis pela maior parte
dos problemas de inseguran�ca das empresas� Segundo pesquisa recente da WarRoom
Survey� ��� das organiza�coes sofreram ataques internos nos ultimos �� meses ����
Questoes como essas tendem a trazer para primeiro plano a preocupa�cao com segu�
ran�ca� Cada vez mais� administradores de redes e programadores se conscientizam que
essa e uma questao importante e que precisa ser incorporada como requisito b asico nas
suas atividades�
O Sistema Integrado de Supervisao �SIS� e um sistema de gerenciamento de redes que
tem por objetivo supervisionar uma planta de telecomunica�coes heterog�enea e distribu �da�
O SIS possui uma rede pr opria� interligada �a rede corporativa da Telemig�
O principal objetivo deste trabalho foi fazer um levantamento sobre os aspectos de
seguran�ca envolvidos no SIS� A partir da �� foram feitas algumas recomenda�coes para
incrementar a seguran�ca do sistema�
Este documento est a organizado como descrito a seguir� A se�cao � traz assuntos de
seguran�ca relacionados com o trabalho� A se�cao � fornece uma visao geral do SIS e da
sua rede� A se�cao mostra o levantamento realizado sobre os aspectos de seguran�ca do
SIS� As se�coes � a � trazem sugestoes para melhorar a seguran�ca do SIS e da sua rede�
�
� No�c�oes sobre Seguran�ca
Nesta se�cao� serao discutidos assuntos b asicos da area de seguran�ca� como servi�cos e ti�
pos de algoritmos criptogr a�cos� e t opicos diretamente relacionados com este trabalho�
como o uso de certi�cados de autentica�cao� o protocolo utilizado para possibilitar o uso
de criptogra�a por aplica�coes que utilizam a pilha de protocolos TCP�IP �SSL��� o me�
canismo de autentica�cao do RPC e o uso de programas que aumentam a seguran�ca das
redes �wrappers��
��� Servi�cos
Nesta se�cao� alguns servi�cos relacionados �a seguran�ca em redes de computadores� como
con�dencialidade� autentica�cao e controle de acesso� sao discutidos�
����� Con�dencialidade dos Dados
O servi�co de con�dencialidade tem por objetivo proteger dados em tr�ansito contra usu arios
nao autorizados� V arios n �veis de prote�cao podem ser identi�cados ���� Um exemplo de
n �vel de prote�cao do servi�co de con�dencialidade e a prote�cao de todos os dados trans�
mitidos entre dois usu arios durante um per �odo de tempo� Outro exemplo pode ser a
prote�cao de uma unica mensagem ou de campos espec ��cos de uma mensagem�
����� Autentica�c�ao
Este servi�co atua no sentido de impedir que intrusos personi�quem usu arios autorizados
e consigam� assim� ter acesso aos recursos do sistema� Para isso� antes de ser atendido� o
usu ario deve ser capaz de provar a sua identidade� ou seja� autenticar�se�
����� Integridade
O servi�co de integridade dos dados garante que as mensagens sao recebidas sem duplica�cao�
altera�cao� inser�cao ou reordena�cao� Para garantir a integridade� podem ser usadas t ecnicas
de modi�ca�cao� normalmente associadas com a detec�cao de erros em bits� em blocos ou
erros da sequ�encia introduzidos por enlaces e redes de comunica�cao ���
�Secure Socket Layer
�
���� N�ao�repudia�c�ao
O servi�co de nao�repudia�cao tem por objetivo impedir que usu arios neguem a�coes exe�
cutadas ou mensagens recebidas� Isso e conseguido atrav es da prova da identidade das
entidades envolvidas na comunica�cao ou da prova que uma entidade destino recebeu cor�
retamente uma solicita�cao para realiza�cao de um determinado servi�co ���
����� Controle de Acesso
No contexto de seguran�ca em redes de computadores� o controle de acesso e a habilidade
de limitar e controlar o acesso �a m aquinas e aplica�coes via canais de comunica�cao� Para
isso� cada entidade que est a tentando utilizar os recursos do sistema deve ser identi�cado
ou autenticado antes de tudo ���� As t ecnicas utilizadas incluem o uso de listas ou matrizes
de controle de acesso� que associam recursos a usu arios autorizados�
��� Algoritmos de Criptogra�a
De maneira informal� a criptogra�a pode ser de�nida com a arte de empregar um conjunto
de regras �algoritmo� em mensagens com o objetivo de esconder seu conte udo� O resultado
das opera�coes realizadas depende de um segredo� tamb em chamado de chave� Dessa forma�
a mensagem criptografada pode ser transmitida por meios de comunica�cao inseguros� pois
somente o receptor que conhe�ca as regras aplicadas e a chave ser a capaz de recuperar a
mensagem original�
Formalmente� um algoritmo criptogr a�co e uma fun�cao matem atica� Essa fun�cao�
que possui uma chave como par�ametro� e usada para cifrar �criptografar ou codi�car� e
decifrar �ou decodi�car� uma mensagem� Em geral� existem duas fun�coes relacionadas�
sendo uma delas usada na codi�ca�cao dos dados �E� e a outra na decodi�ca�cao �D� ����
A chave utilizada �k� e um par�ametro importante nos algoritmos criptogr a�cos� A
chave deve ser uma sequ�encia aleat oria de octetos e seu tamanho depende do algoritmo
empregado� Podemos denotar as fun�coes mencionadas da seguinte forma�
Ek�M� � C
Dk�C� �M �
onde M e a mensagem original e C e a mensagem criptografada� Essas fun�coes tem a
seguinte propriedade�
�
Dk�Ek�M�� �M �
ou seja� aplicando�se a fun�cao de decodi�ca�cao a uma mensagem codi�cada� obt em�se
a mensagem original�
A Figura � ilustra de uma maneira bem simples a id eia desses algoritmos�
Plaintext,P
EncryptionMethod Ciphertext,C = Ek(P)
DecryptionMethod
ChannelInsecure
Encryption Decryption
Plaintext,P
Key Key
Figura �� Transmissao Segura�
Toda a seguran�ca e baseada nas chaves� nao importando se o algoritmo e conheci�
do� Caso nao se tenha conhecimento da chave utilizada� a mensagem nao poder a ser
decodi�cada�
����� Algoritmos Sim�etricos
Nos sistemas criptogr a�cos convencionais� tamb em conhecidos como sistemas de chave
secreta ou sim etricos� existe apenas uma chave� usada tanto na codi�ca�cao quanto na
decodi�ca�cao�
Existem v arios tipos diferentes de sistemas criptogr a�cos sim etricos� Um deles e o
Data Encryption Standard �DES�� que e um sistema cifrados de blocos� Ele opera em
blocos de tamanho �xo� mapeando blocos de � bits do texto original em blocos de �
bits de texto cifrado e vice�versa� As chaves no DES possuem � bits incluindo � bits de
paridade� que sao ignorados no processo de cifra�cao� Por isso� e comum dizer que a chave
do DES possui �� bits ����
O IDEA tamb em e um algoritmo criptogr a�co sim etrico� Sua for�ca vem do uso de
tr�es opera�coes diferentes �OU exclusivo� adi�cao modular e multiplica�cao modular�� Al em
disso� o IDEA usa chave de ��� bits para se prevenir contra ataques de busca exaustiva
����
Modo Electronic Code Book �ECB�
Este e o modo de opera�cao mais simples e tamb em o mais obvio� O algoritmo funciona
cifrando�decifrando blocos de � bits com a mesma chave� produzindo blocos de � bits
���� A Figura � ilustra a opera�cao do modo ECB�
Como nao existe nenhum contexto em cada codi�ca�cao� sempre que os mesmos bytes
forem codi�cados com a mesma chave� o criptograma gerado ser a o mesmo� Em virtude
da sua fragilidade� o modo ECB s o deve ser utilizado para transmissao de chaves e de
vetores de inicializa�cao�
. . .Key E E E
C0 C1 C2
P0 P1 P2
D D D . . .Key
C0 C1 C2
P0 P1 P2
(b) Decifração(a) Cifração
Figura �� Modo ECB�
Modo Cipher Block Chainning �CBC�
E o modo de opera�cao mais importante� No modo CBC� cada bloco do texto original
sofre OU exclusivo com o bloco anterior de texto codi�cado antes de ser codi�cado� Ou
seja�
Cn � Ek�Pn � Cn���
Para decodi�car� a opera�cao e invertida�
Pn � Dk�Cn�� Cn��
Com esse modo de opera�cao� e poss �vel superar a principal de�ci�encia do modo ECB�
pois blocos id�enticos de entrada produzem criptogramas diferentes� No entanto� surgem
dois problemas� como codi�car o primeiro bloco� j a que nao existe um C� e como codi�car
o ultimo bloco� caso o tamanho da mensagem nao seja m ultiplo de oito bytes�
Para resolver o primeiro problema� as partes devem concordar em um vetor de iniciali�
za�cao �IV�� que age como C�� o primeiro bloco codi�cado� Uma t ecnica util para resolver
�
o segundo problema e adicionar bytes de preenchimento tal que o ultimo byte indique
quando os bytes �nais devem ser ignorados�
Um erro na transmissao em um bloco de texto codi�cado ir a corromper tanto este
bloco quanto os blocos seguintes do texto original quando se est a usando o modo CBC�
A Figura � ilustra a opera�cao do modo CBC�
. . .
P0 P1 P2
C0 C1 C2
Key
IV # # #
E E E
D D D
# # #
C0 C1 C2
P0 P1 P2
Key
IV. . .
(a) Cifração (b) Decifração
Figura �� Modo CBC�
����� Algoritmos Assim�etricos
Com os sistemas convencionais de criptogra�a� as duas partes devem compartilhar a
mesma chave secreta antes de iniciar a comunica�cao� Para isso� deve haver um acordo
anterior� o que pode ser problem atico� Al em disso� o n umero de chaves necess arias para
uma comunica�cao completa e n� chaves para uma rede com n entidades� Apesar dos
dois problemas poderem ser resolvidos por um servidor de chaves centralizado� isso nao
deve resolver tudo� Neste caso� o servidor deve estar dispon �vel em tempo real para
iniciar uma conversa�cao� Isso di�culta o acesso ao servidor para sistemas de mensagens
store�and�forward�
Sistemas criptogr a�cos de chave p ublica ou assim etricos oferecem uma solu�cao dife�
rente� Neste caso� cada usu ario possui um par de chaves� Uma dessas chaves e utilizada
para a codi�ca�cao� Seu valor deve ser mantido em um diret orio p ublico� A outra chave�
usada na decodi�ca�cao� e mantida secreta� Para enviar uma mensagem� basta veri�car
qual a chave p ublica do destinat ario e codi�car a mensagem com esta chave� Esse� ao
receber a mensagem� decodi�ca com a sua chave secreta� Esse mecanismo� ilustrado a
�
seguir� garante que apenas o verdadeiro destinat ario consegue ter acesso ao conte udo da
mensagem�
A� B � C � EPB�M�
B �M � DSB�C�
Sistemas de chave p ublica possuem duas desvantagens principais� Primeiro� as chaves
sao muito grandes comparadas �as dos sistemas convencionais� Segundo� codi�ca�cao e de�
codi�ca�cao sao bem mais lentas� Nao h a muito que se possa fazer com rela�cao ao primeiro
problema� O segundo e tratado ao se usar tais sistemas basicamente para distribui�cao de
chaves� Com isso� o desempenho na fase de comunica�cao de dados nao e comprometido�
Um exemplo de algoritmo de chave p ublica e o RSA �������
��� Certi�cados
O uso de certi�cados digitais surge como uma solu�cao para a implementa�cao de um
mecanismo forte de autentica�cao que utiliza criptogra�a de chave p ublica� Um certi�cado
digital e uma esp ecie de documento digital emitido por uma fonte con� avel que atesta
a identidade de um indiv �duo ou de uma m aquina� Em outras palavras� um certi�cado
digital pode ser visto como o correspondente eletr�onico a uma certidao de nascimento�
passaporte ou qualquer outro documento f �sico de identi�ca�cao ����
Autentica�cao atrav es de certi�cados e o m etodo mais seguro dispon �vel atualmente ����
Nesse esquema� cada usu ario possui um certi�cado digital que o identi�ca� O certi�cado
cont em a chave p ublica do usu ario e outros dados� A chave privada do usu ario e arma�
zenada criptografada� protegida normalmente com a senha do usu ario� Os certi�cados
digitais sao de�nidos de acordo com o padrao X���� do ITU ����
O uso de certi�cados para autentica�cao exige a obten�cao ou a emissao de certi�cados
para todos os usu arios� Isso envolve a utiliza�cao de software para que a empresa se torne
a sua pr opria autoridade certi�cadora� Outra op�cao e usar os servi�cos de uma empresa
especializada na emissao e gerenciamento de certi�cados� como a Verisign ou a Thawte�
As duas op�coes encontram�se dispon �veis atualmente� Para intranets� muitas empresas
optam por serem sua pr opria autoridade certi�cadora� administrando um servidor de
certi�cados� que emite e revoga certi�cados de usu arios ����
�
����� Conte�udo de Certi�cados
Um certi�cado digital corresponde a um arquivo que cont em os dados ilustrados na Tabela
� �����
Campo Descri�c�ao
Nome Distinto do Usu ario Nome que identi�ca o usu ario de forma unica�
Nome Distinto do Emissor Nome que identi�ca de forma unica a autori�dade certi�cadora que assinou o certi�cado�
Chave P ublica do Usu ario A chave p ublica do dono do certi�cado�
Assinatura do Emissor Assinatura digital da autoridade certi�cadora�Garante a autenticidade do certi�cado�
Per �odo de Validade Intervalo de datas no qual o certi�cado e v alido�
N umero de S erie N umero unico gerado pela autoridadecerti�cadora para �ns administrativos�
Tabela �� Dados de um Certi�cado Digital�
Os nomes do usu ario e do emissor incluem dados espec ��cos e� por isso� sao chamados
de �nomes distintos� �distinguished names � DNs�� DNs tamb em sao do padrao X�����
que de�ne seus campos e a abreviatura dos campos �Tabela �� �����
Campo Abreviatura
Nome Comum CNEmpresa ou Organiza�cao OUnidade Organizacional OUCidade LEstado SPPa �s C
Tabela �� Nome Distinto�
����� O Processo de Autentica�c�ao
No caso da tecnologia Web� o processo de autentica�cao inicia quando um usu ario acessa
um servidor seguro� O navegador informa ao usu ario que este selecionou um link para um
documento seguro� Neste momento� o procedimento de estabelecimento de uma conexao
�
segura e iniciado� Os par�ametros de seguran�ca sao negociados e o servidor envia o seu
certi�cado para o navegador �cliente�� O navegador veri�ca o certi�cado do servidor
para saber se este e v alido e se e assinado por uma Autoridade Certi�cadora cadastrada�
O navegador tamb em veri�ca a assinatura digital do servidor para que possa garantir
que o certi�cado realmente pertence �aquele servidor� Depois disso� o servidor solicita
ao navegador o certi�cado do usu ario� O navegador solicita que o usu ario selecione um
certi�cado� caso ele possua mais de um� e digite a sua senha� Com a senha correta� o
navegador consegue cifrar a resposta para o servidor com a chave privada do usu ario�
O servidor veri�ca a assinatura digital do usu ario e permite o acesso� Vale ressaltar
que a senha e usada localmente pelo navegador do usu ario� Dessa forma� a senha nao e
transmitida atrav es da rede� impossibilitando a sua captura por programas de monitora�cao
de tr afego �sni�ers� ��������
�� O Protocolo SSL
Atualmente� o protocolo Secure Sockets Layer �SSL� e a solu�cao mais popular para tran�
sa�coes seguras em WWW� Embora ainda nao esteja padronizada pela IETF� e um padrao
de fato� implementado pelos mais populares navegadores e servidores �����
O principal objetivo do SSL e oferecer privacidade e con�abilidade entre aplica�coes que
se comunicam� O protocolo e composto de duas camadas� No n �vel mais baixo� situado em
cima de um protocolo de transporte con� avel� est a o SSL Record Protocol� Esse protocolo
e usado para encapsular protocolos de n �vel superior� Um desse protocolos encapsulados
e o SSL Handshake Protocol� que permite que servidor e cliente autentiquem�se um ao
outro e negociem um protocolo de criptogra�a e as chaves criptogr a�cas� Isso deve ser
feito antes que qualquer dado seja transmitido�
Uma vantagem do SSL e a sua independ�encia em rela�cao ao protocolo da aplica�cao�
Um protocolo de n �vel mais alto pode estar acima do SSL de maneira transparente� O
protocolo SSL oferece seguran�ca da conexao com tr�es propriedades b asicas �����
� A conexao e secreta� Depois do handshake inicial� que de�ne a chave de sessao ou
chave secreta� criptogra�a sim etrica e usada para a obten�cao da con�dencialidade�
� A identidade do parceiro de comunica�cao pode ser autenticada usando criptogra�a
de chave p ublica�
�
� A conexao e con� avel� O transporte de mensagens inclui veri�ca�cao da integridade
atrav es de fun�coes hash�
O protocolo foi projetado para suportar uma variedade de escolhas para algoritmos
espec ��cos usados na criptogra�a� Essa caracter �stica permite a sele�cao de maneira es�
pec ��ca dos algoritmos a serem utilizados por parte dos servidores� levando em conside�
ra�cao aspectos legais de exporta�cao� podendo tamb em tirar proveito de novos algoritmos�
�� Autentica�c�ao do RPC
Remote Procedure Call� e um mecanismo para a realiza�cao da comunica�cao em alto n �vel�
permitindo que aplica�coes distribu �das sejam desenvolvidas atrav es de chamadas a proce�
dimentos remotos�
Em uma chamada remota a procedimento� um processo no sistema local �cliente�
invoca um procedimento em um sistema remoto �servidor�� A id eia por tr as dessa chamada
remota e fazer com que esta se pare�ca tanto quanto poss �vel com uma chamada local� Em
outras palavras� a chamada remota a procedimento deve ser transparente � o procedimento
que chama nao deve se preocupar com o fato do procedimento chamado estar ou nao
rodando em uma m aquina diferente� e vice�versa ����
Para tornar esse procedimento seguro� os clientes precisam de um mecanismo para se
autenticarem junto ao servidor RPC� Este procedimento e necess ario para que o servidor
possa determinar que informa�cao o cliente pode acessar e quais fun�coes sao permitidas
para aquele cliente� Sem autentica�cao� qualquer cliente na rede que consiga enviar pacotes
para o servidor RPC poderia acessar qualquer fun�cao �����
Existem v arias formas diferentes de autentica�cao dispon �veis para RPC� como mostra
a Tabela �� As subse�coes seguintes tratam da autentica�cao UNIX e da autentica�cao DES�
Os outros dois mecanismos de autentica�cao fogem do escopo deste trabalho e� portanto�
nao serao detalhados�
Autentica�c�ao UNIX
A autentica�cao UNIX era o unico sistema de autentica�cao oferecido pela Sun Micro�
systems at e o Release �� do sistema operacional SunOS e e a unica forma de autentica�cao
de RPC oferecida por muitos vendedores UNIX� E amplamente utilizada� Infelizmente� e
fundamentalmente insegura�
�Chamada Remota a Procedimento
��
Formas de T�ecnica Coment�arioAutentica�c�ao
AUTH NONE Nenhuma� Nao h a autentica�cao�Acesso an�onimo�
AUTH UNIX Cliente RPC envia o UID e o GID Nao e seguro� O servidordo UNIX para o usu ario� con�a que o usu ario e
quem ele diz ser�AUTH DES A autentica�cao e baseada na Razoavelmente seguro� apesar
criptogra�a de chave p ublica de nao ser amplamentee no DES� dispon �vel�
AUTH KERB A autentica�cao e baseada no Muito seguro� No entanto�Kerberos� o servidor Kerberos precisa
ser con�gurado�
Tabela �� Op�coes para Autentica�cao de RPC�
Na autentica�cao UNIX� cada requisi�cao RPC traz um identi�cador de usu ario �UID��
e um conjunto de identi�cadores de grupos �GIDs�� para autentica�cao� Implicitamente� o
servidor con�a no UID e nos GIDs apresentados pelo cliente e usa essa informa�cao para
determinar se a a�cao deve ser permitida ou nao� O problema e que qualquer entidade com
acesso �a rede pode montar um pacote RPC com valores para UID e GID arbitr arios� A
autentica�cao UNIX nao e segura pois o cliente �ca livre para a�rmar qualquer identidade
e nao h a como fazer a veri�ca�cao no servidor�
Autentica�c�ao DES
A autentica�cao utilizando o algoritmo DES e a base para o RPC seguro� mecanismo
discutido de forma mais detalhada posteriormente� ainda neste texto� A AUTH DES
utiliza uma combina�cao de criptogra�a de chave secreta e de chave p ublica para oferecer
seguran�ca em ambiente de rede�
��� Wrappers
Uma maneira de tornar uma rede mais segura e atrav es do uso de wrappers� que sao
programas utilizados para controlar o acesso a outros programas� Um wrapper literalmente
encapsula o programa controlado� permitindo um maior grau de seguran�ca do que o
�User Identi�er�Group Identi�er
��
originalmente oferecido por esse programa� E crescente a utiliza�cao de wrappers por diversas razoes� Primeiro� como a l ogica da
seguran�ca e mantida em um unico programa �wrapper�� eles sao simples e f aceis de validar�
Segundo� como o programa encapsulado permanece como uma entidade independente� ele
pode ser atualizado sem a necessidade de reinstalar o wrapper� Finalmente� um unico
wrapper pode ser utilizado para controlar o acesso a uma variedade de programas �����
���� TCPWRAPPER
O TCPWRAPPER e um wrapper de uso geral� utilizado para intercepta�cao e registro de
servi�cos TCP disparados pelo inetd� sempre que um servi�co TCP e solicitado por uma
m aquina cliente�
Entre os recursos do TCPWRAPPER� podemos citar�
� Envio opcional de avisos�
� Double�reverse lookup do endere�co IP� o que permite veri�car se o endere�co IP e o
nome da m aquina combinam� Caso eles nao combinem� esse fato e registrado�
� Uso do protocolo ident� para determinar o nome do usu ario associado �a conexao
que est a solicitando o servi�co�
� Registro dos resultados das tentativas de estabelecimento de conexao� Ou seja� e
mantido um registro sobre as conexoes aceitas e rejeitadas� com informa�cao sobre
os servi�cos solicitados� o endere�co IP da origem das solicita�coes e a data do registro�
� Execu�cao opcional de comandos ��nger� por exemplo��
O controle de acesso e feito atrav es de dois arquivos� �etc�hosts�allow e �etc�hosts�deny�
Ao receber uma conexao� o TCPWRAPPER consulta o arquivo hosts�allow para con�rmar
se o par �host�protocolo� deve ser aceito� Caso nao haja refer�encia� o arquivo hosts�deny
e consultado para con�rmar se o par �host�protocolo� deve ser recusado� Se nao houver
refer�encia� a conexao e aceita�
O TCPWRAPPER pode ser compilado para diversos sistemas operacionais baseados
em UNIX� como� Solaris� Ultrix� Irix� AIX e Linux�
�Internet process daemon� Processo que dispara servi�cos relacionados com a Internet� como� ftp�
telnet� �nger� talk e rlogin��Identi�cation Protocol� Possibilita determinar a identidade do usu�ario de uma dada conex�ao TCP�
��
��� Auditoria
Realizar auditorias nos sistemas computacionais deve ser uma pr atica comum dos admi�
nistradores de redes� Esta se�cao apresenta algumas ferramentas utilizadas para auxiliar
nessa tarefa�
SATAN � Security Administrator Tool for Analyzing Network
SATAN e uma ferramenta que reconhece problemas comuns relativos �a seguran�ca da
rede e os reporta� O pacote consiste de um pequeno kernel que se baseia em uma base de
dados de regras e v arios outros programas respons aveis por diferentes testes de valida�cao
de seguran�ca� Cada programa pode gerar ao �nal de sua execu�cao arquivos de v arios
megabytes que sao repassados para o usu ario na forma de hipertexto� o que torna a
ferramenta amig avel �����
A ferramenta est a dispon �vel em ftp���ftp�win�tue�nl�pub�security�satan�tar�Z�
COPS � Computer Oracle and Password System
O pacote COPS foi desenvolvido pela Universidade de Purdue� Seu objetivo e inspe�
cionar um sistema levando em considera�cao fraquezas conhecidas e alertar o administrador
das fraquezas encontradas� Em alguns casos� o COPS corrige o problema automaticamen�
te�
Este pacote encontra�se dispon �vel em ftp���ftp�cert�org�pub�tools�cops�
TAMU Tiger
O TAMU Tiger e um pacote de scripts para monitora�cao de sistemas� Sua funcio�
nalidade assemelha�se �a do COPS� Ambos tentam veri�car sistemas UNIX de maneira
detalhada� com abordagens um pouco diferentes em alguns pontos� Para os casos mais
comuns� o Tiger e mais simples de con�gurar e usar�
Este pacote pode ser encontrado em ftp���net�tamu�edu�pub�security�TAMU�
Tripwire
O pacote Tripwire tamb em foi desenvolvido pela Universidade de Purdue� Esse pacote
faz a veri�ca�cao da integridade de arquivos� detectando mudan�cas nao autorizadas ou
nao esperadas nos principais arquivos do sistema� Para isso� e utilizado o mecanismo de
assinaturas digitais�
O Tripwire est a dispon �vel em ftp���ftp�cs�purdue�edu�pub�spaf�COAST�Tripwire�
��
ISS � Internet Security Scanner
Escrito por Christopher Klaus� o ISS e um programa que tem por objetivo procurar
as vulnerabilidades mais comuns nos principais servi�cos de rede� como �nger� ftp e smtp�
Este programa pode ser encontrado em ftp���ftp�aql�gatech�edu�pub�security�iss�
Alguns pacotes citados nesta se�cao possuem fun�coes em comum� No entanto� cada um
possui pontos fortes bem como limita�coes� Por isso� e pr atica comum usar mais de uma
ferramenta como forma de melhorar a visao geral da seguran�ca no sistema�
� Sistema Integrado de Supervis�ao
��� Vis�ao Geral
O Sistema Integrado de Supervisao �SIS� e uma plataforma distribu �da de gerenciamento
de redes de telecomunica�coes desenvolvido no Brasil� pela Universidade Federal de Minas
Gerais �UFMG� juntamente e patrocinada pela companhia Telecomunica�coes do Estado
de Minas Gerais �TELEMIG��
O objetivo do sistema e atender �as necessidades de supervisao de uma planta de
telecomunica�coes extensa� distribu �da e heterog�enea� que cont em equipamentos das areas
de transmissao� comuta�cao� rede externa� infra�estrutura� comunica�cao de dados e outras
�����
Por possuir uma arquitetura modular e de f acil expansao� o SIS viabiliza a integra�cao
de sistemas de ger�encia de diferentes fabricantes� protocolos e tecnologias em uma plata�
forma� interface e base de dados referenciais� Al em de oferecer interoperabilidade entre
sistemas de supervisao� o SIS tamb em fornece operabilidade� ou seja� f acil opera�cao� ad�
ministra�cao� desenvolvimento e manuten�cao� bem como a con�abilidade e desempenho
necess arios �����
Os m odulos do SIS comunicam�se segundo o paradigma de programa�cao distribu �da
cliente�servidor� implementado pelas facilidades de RPC�
O servi�co de interface homem�m aquina fornece o suporte adequado �a apresenta�cao
uniforme das informa�coes e �a intera�cao entre operadores� administradores e aplica�coes de
ger�encia�
As aplica�coes do sistema interagem com sua base de dados distribu �da atrav es de
interfaces gen ericas� o que torna a plataforma praticamente independente de um sistema
�
gerenciador de banco de dados �SGBD��
O SIS possui arquitetura modular� permitindo que futuras necessidades de integra�cao
sejam atendidas atrav es do acr escimo de novos m odulos funcionais de hardware e�ou
software� A plataforma do SIS encontra�se conclu �da e completamente em opera�cao na
planta de telecomunica�coes da Telemig� O sistema est a em fase de cont �nua evolu�cao� que
consiste no processo cont �nuo de integra�cao de novos sistemas de supervisao� incorpora�cao
de novas fun�coes e melhoria da funcionalidade existente �����
A id eia principal dos m odulos de software que compoem o SIS e ter somente um c odigo
fonte que pode ser con�gurado e instalado para funcionar como unidade central principal�
regional ou secund aria� ou como uma combina�cao delas� Existem basicamente quatro
fam �lias de m odulos de software� gerenciamento do sistema� acesso� interface ao banco de
dados e interface homem�m aquina �����
��� A Rede do SIS
O SIS funciona numa rede pr opria� interligada �a rede corporativa da empresa operadora�
No caso da Telemig� a rede do SIS possui v arias subredes distribu �das no estado de Minas
Gerais� Essa rede e bastante heterog�enea e possui v arios pontos de acesso� alguns desses
sendo de interliga�cao com a Internet�
As formas de acesso �a rede do SIS sao ilustradas na Figura � O acesso pode ser via
Web �protocolo HTTP�� atrav es dos protocolos FTP e NFS� atrav es de linha discada ou
via telnet� Al em disso� existem os usu arios internos� que acessam as aplica�coes do SIS a
partir da pr opria intranet�
Usu arios externos podem realizar algumas opera�coes no SIS via Web� Dentre os ser�
vidores Web do SIS est a o SACWeb� que atende solicita�coes da Telemig Celular� Outras
fun�coes estao dispon �veis via Web� como consulta a listas das regioes� listas de alarmes e
hist oricos de eventos� Al em disso� algumas fun�coes do SISTerm tamb em foram disponi�
bilizadas�
Os usu arios do Centro de Ger�encia de Opera�coes �CGO� acessam o SIS atrav es do
servidor FTP�NFS� que atende solicita�coes de transfer�encia de arquivos utilizando o pro�
tocolo File Tranfer Protocol �FTP� ou o protocolo Network File System �NFS� �����
Os servidores Web do SIS e o servidor FTP�NFS geram as solicita�coes para o mesox
�Mediador de Solicita�coes Externas�� Para cada solicita�cao� o mesox veri�ca a identi��
ca�cao do elemento de rede� consulta o banco de dados do SIS e entrega a solicita�cao ao
gerente respons avel pelo ER� O mesox recebe do gerente uma resposta �a solicita�cao e a
��
Usuário Externo
Servidor FTP/NFS
Servidor Web
Usuário Externo
Elemento de Rede
Elemento de Rede
Web
Usuário Externo
Usuário Externo
MESOX
MESOX
Telnet
AcessoDiscado
PPP, X.25
TTY, RPCIntranetSISUsuário Interno
Usuário Interno
Figura � Intranet SIS�
deixa dispon �vel para o cliente �����
Para que os usu arios acessem os elementos de rede �ER�� como as centrais telef�onicas� e
mantida uma conexao entre um agente e o elemento de rede� Dessa forma� as requisi�coes
podem ser atendidas sem o atraso imposto pelo procedimento de estabelecimento de
conexao� O SIS tamb em possibilita conexao direta com o ER� sem o interm edio do agente�
de forma que o operador possa enviar comandos que nao sao conhecidos pelo agente�
Os usu arios externos podem acessar o SIS a partir da rede corporativa da Telemig� a
partir do laborat orio do SIS na UFMG ou estando na pr opria Internet� como ilustra a
Figura ��
� A Seguran�ca no SIS
O SIS apresenta alguns mecanismos de seguran�ca que garantem a con�dencialidade e
autentica�cao� H a um esquema de seguran�ca relativamente so�sticado para controle de
acesso �as fun�coes do sistema� No entanto� existem de�ci�encias em alguns dos esquemas
��
IntranetSIS
Rede Corporativa Telemig
InternetLab.SIS
UFMG
Internet
Figura �� Rede da Telemig e o SIS�
utilizados� bem como omissao de mecanismos� notadamente no aspecto de autentica�cao�
Esta se�cao traz um levantamento sobre alguns aspectos de seguran�ca relacionados com
o SIS� A rede do SIS tamb em e considerada por se tratar de uma porta de entrada para
o sistema�
�� Comunica�c�ao Interna
Internamente� a comunica�cao e realizada atrav es de RPC com o mecanismo de autenti�
ca�cao oferecido pelo UNIX� atrav es de identi�ca�cao do usu ario �UID� e grupo �GID� do
cliente� Esse mecanismo e e�ciente at e certo ponto pois nao impede que uma terceira
pessoa implemente um cliente com o protocolo utilizado no SIS e personi�que um usu ario
autorizado a utilizar o sistema�
�� Controle de Acesso
O acesso �a rede do SIS e aos seus aplicativos acontece de diversas formas� via telnet� login
remoto� WWW ou atrav es dos pr oprios aplicativos do SIS� Os elementos de rede� como as
centrais telef�onicas� tamb em sao acessados a partir do SIS� A forma de controlar o acesso
em cada caso e discutido nesta se�cao�
��
Telnet
Atualmente� o acesso remoto �a rede do SIS est a restrito a conjuntos de m aquinas
�dom �nios� con� aveis� Essa pol �tica foi implementada com o uso do programa TCPWRAP�
PER� Al em de possibilitar o controle de acesso por dom �nio ou m aquina� esse programa
registra todas as conexoes que foram iniciadas� facilitando o procedimento de auditoria
no caso de invasoes�
Login Remoto
Existe um programa que substitui os programas rlogin e rsh adicionando seguran�ca
na comunica�cao� Este programa� chamado Secure Shell �ssh�� est a dispon �vel na rede do
SIS� O ssh oferece criptogra�a para comunica�cao segura entre duas m aquinas atrav es de
uma rede nao�con� avel�
WWW
Os usu arios que utilizam servi�cos disponibilizados via Web sao autenticados com o
mecanismo de login e senha� usando o mecanismo de autentica�cao b asica de�nido no
protocolo HTTP ����� Esse mecanismo nao e considerado forte pois possibilita o ataque do
dicion ario� que tira proveito de senhas �f aceis�� Tamb em e poss �vel conseguir informa�coes
sobre login e senha monitorando o tr afego da rede utilizando� por exemplo� o programa
TCPDUMP�
Aplica�c�oes Pr�oprias
O controle de acesso dos usu arios �as aplica�coes do SIS e realizado atrav es de um
esquema de permissoes� A veri�ca�cao e feita na interface de banco de dados �IBD�� que
confere se aquele usu ario pode realizar a opera�cao que est a solicitando�
Para controlar o acesso� e utilizada uma tabela com informa�cao sobre os direitos de
todos os usu arios do sistema� Cada linha da tabela e representada por um n umero que
traduz as permissoes de determinado usu ario com rela�cao �a execu�cao do aplicativo SIS�
Term� execu�cao de comandos� consulta ao programa de con�gura�cao de dados �SISCon�g��
con�gura�cao de equipamentos da planta e con�gura�cao do SIS� A Tabela e um exemplo
�ct �cio que ilustra a forma dessa tabela�
No exemplo da Tabela � o usu ario � pode executar o SISTerm� realizar consultas com
o programa navegador do bando de dados �SISNave� e efetuar opera�coes de con�gura�cao
no SIS via SISCon�g� No entanto� ele nao tem permissao para executar comandos nem
��
Usu�ario SISTerm Comandos Consulta Con�g SISCon�g� X X � � �� X � X � X� X X X � � X X � � �� X � X X X� X � X � X� � � X X �� X X X � �� X � � � �
Tabela � Tabela de Direitos de Acesso�
para efetuar opera�coes de con�gura�cao na planta gerenciada�
Cada usu ario possui �� entradas na tabela de direitos de acesso� cada uma relaciona�
da com uma Unidade Central �UC�� Assim� e poss �vel controlar as permissoes de cada
operador para cada UC�
O conceito de grupos de usu arios foi acrescentado recentemente ao esquema de controle
de acesso do SIS� Estao de�nidos nove grupos de usu arios� A id eia e controlar o acesso
atrav es de uma consulta a uma matriz que relaciona cada grupo com os tipos de comandos
que os seus integrantes podem executar�
Essa e uma id eia interessante pois permite realizar um controle mais preciso do acesso
�as fun�coes do sistema� Atualmente� esse esquema est a em funcionamento em apenas
uma aplica�cao� o SISNave� No entanto� poder a ser utilizado posteriormente por outras
aplica�coes� substituindo o esquema anterior ou de forma combinada�
Elementos de Rede
Os elementos de rede sao acessados por v arios operadores� tanto para consultas como
para efetuar comandos� O controle de acesso dos ERs e feito atrav es de nome e senha�
Cada ER possui um par �nome� senha� utilizado por todos os usu arios que o acessam�
Em geral� a senha desses equipamentos e f acil e nao e alterada frequentemente�
�� Autentica�c�ao
O mecanismo de autentica�cao de usu ario utilizado e o oferecido pelo sistema operacional
UNIX� no qual o usu ario fornece o nome e a senha� A fragilidade desse mecanismo foi
comentada anteriormente�
��
� Con�dencialidade
O servi�co de con�dencialidade nao e oferecido pelo SIS� seja na comunica�cao interna
ou nos servi�cos oferecidos para os clientes externos� Dessa forma� toda a informa�cao e
transmitida atrav es de canais inseguros�
Atualmente� est a em funcionamento no Laborat orio do SIS um servidor seguro� que
transmite dados com criptogra�a e faz autentica�cao atrav es de login e senha� No en�
tanto� este servi�co ainda nao p�ode ser disponibilizado na rede por questoes burocr aticas
envolvendo a emissao do certi�cado�
� Auditoria
���� Rede
Nao existe pol �tica de realiza�cao de auditorias na rede do SIS� Dessa forma� nao e poss �vel
manter controle sobre as poss �veis falhas de seguran�ca na rede�
���� Sistema
No que diz respeito ao sistema� existem v arios tipos de registros� Os principais registros
sao mantidos nas tabelas Hist�orico de Comandos e Hist�orico de Eventos�
A tabela Hist�orico de Comandos no banco de dados cont em v arios campos� como
identi�cador da entidade supervisionada� tipo da a�cao� identi�cador do comando� resul�
tado da opera�cao� data e identi�cador do operador� O objetivo dessa tabela e armazenar
informa�coes sobre a�coes dos operadores nos objetos gerenciados ����� Hist oricos de sessoes
de terminal tamb em sao armazenados na tabela Hist�orico de Comandos� Esse tipo de
registro foi recentemente incorporado ao SIS�
A tabela Hist�orico de Eventos armazena os alarmes ocorridos nos objetos geren�
ciados� Alguns dos campos dessa tabela sao� identi�cador da entidade supervisionada�
identi�cador da noti�ca�cao� data� tipo de evento� severidade e identi�cador do operador�
Registros desse tipo permitem a realiza�cao de procedimentos de auditoria no sistema
por parte de seus clientes�
��
Parte II
Proposi�c�oes
Na primeira parte do trabalho� foram discutidos alguns t opicos da area de seguran�ca�
Al em disso� foi feita uma descri�cao do SIS e da sua rede� juntamente com os aspectos de
seguran�ca envolvidos� A segunda parte tem por objetivo salientar mecanismos que podem
ser utilizados para incrementar a seguran�ca do sistema e da sua rede�
� Comunica�c�ao Interna
�� RPC Seguro
Como mencionado anteriormente� o mecanismo de autentica�cao usado pelas aplica�coes
internas do SIS nao pode ser considerado seguro� Uma forma de fortalecer esse mecanismo
e o uso de RPC Seguro�
O mecanismo de RPC Seguro e baseado na combina�cao de criptogra�a de chave secreta
e criptogra�a de chave p ublica� A implementa�cao da Sun Microsystems utiliza o protocolo
Di e�Hellman para a troca de chaves entre usu arios e o algoritmo sim etrico DES para
cifrar a informa�cao enviada atrav es da rede� O DES tamb em e utilizado para cifrar a
chave secreta do usu ario que e armazenada em um servidor central�
O RPC Seguro resolve v arios problemas encontrados no estilo de autentica�cao UNIX
�AUTH UNIX�� Alguns problemas relacionados com spoo�ng� sao eliminados� j a que tanto
os usu arios quanto as m aquinas devem ser autenticados�
����� Autentica�c�ao do RPC Seguro
A autentica�cao do RPC Seguro e baseada no protocolo Di e�Hellman� Cada usu ario
do RPC Seguro possui uma chave secreta e uma chave p ublica� ambas armazenadas no
servidor de RPC Seguro� A chave p ublica e armazenada sem criptogra�a� J a a chave
secreta e criptografada com a senha do usu ario antes de ser armazenada no servidor�
Um usu ario do RPC Seguro prova a sua identidade sendo capaz de decifrar a chave
secreta armazenada no servidor e participar da troca de chaves� Cada usu ario combina
sua chave com a chave p ublica do outro usu ario envolvido na comunica�cao� Assim� ambos
�Ataque no qual o usu�ario �e enganado por uma falsa realidade criada pelo atacante�
��
conseguem gerar uma chave comum de forma independente� Essa chave e utilizada para
trocar a chave de sessao�
����� Limita�c�oes do RPC Seguro
Em termos de seguran�ca� o mecanismo de RPC Seguro evoluiu de forma signi�cativa
quando comparado ao RPC padrao� No entanto� o RPC Seguro possui limita�coes �����
� Todo cliente da rede deve ser modi�cado para usar o RPC Seguro� Os clientes
devem ser individualmente con�gurados para usar o mecanismo de autentica�cao
AUTH DES�
� RPC Seguro nao oferece os servi�cos de con�dencialidade e integridade dos dados� O
RPC Seguro autentica o usu ario� No entanto� e responsabilidade da aplica�cao cifrar
os dados que serao transmitidos�
� H a uma queda de desempenho do sistema� Felizmente� essa penalidade e pequena�
sendo da ordem de ���
����� Implementa�c�ao
Para ter no�cao da complexidade envolvida na implementa�cao do mecanismo de RPC Segu�
ro� foram realizados alguns testes no Laborat orio de Redes de Alta Velocidade �DCC�UFMG��
A con�gura�cao do ambiente envolve a cria�cao de uma base de dados de chaves dos
usu arios� Isso deve ser feito pelo administrador do sistema� atrav es do comando newkey�
No caso dos testes realizados� as chaves foram criadas com o seguinte comando�
newkey �u nome do usu�ario �s �les
Esse comando cria as chaves para o usu ario especi�cado e armazena a chave p ublica
sem cifra�cao e a chave privada cifrada com a senha do usu ario no arquivo �etc�publickey�
Esse arquivo possui entradas com a seguinte sintaxe�
nome de rede usu�ario chave p�ublica�chave privada criptografada
O usu ario deve logar na m aquina fornecendo a sua senha ou entao executar o comando
keylogin� Esse comando decifra a chave secreta utilizando a senha do usu ario e armazena
��
essa chave no servidor de chaves� o keyserv� Esse processo deve estar rodando para que o
sistema de autentica�cao funcione� Ao sair� o usu ario deve executar o comando keylogout
para remover a sua chave secreta do servidor�
Em anexo� est a listado um programa que ilustra o uso do RPC Seguro� Esse e o
programa de demonstra�cao oferecido pela Sun Microsystems na distribui�cao do c odigo
fonte do RPC� O programa est a dividido em dois m odulos� O whoami proc�c cont em os
procedimentos do servidor e o rme�c implementa o cliente� O servidor tem por objetivo
conferir a identidade dos clientes� Esses programas se comunicam atrav es de RPC e
utilizam o mecanismo de autentica�cao AUTH DES�
Apesar da complexidade envolvida na con�gura�cao do ambiente e na programa�cao
com RPC Seguro� com um certo investimento e vi avel construir programas que incorpo�
rem essa caracter �stica� O tempo de aprendizado e reduzido caso o programador tenha
familiaridade com programa�cao utilizando RPC padrao�
Seguran�ca em WWW
A maioria dos servidores WWW oferecem diversos mecanismos para restringir o acesso �as
p aginas WWW� Por exemplo� pode ser exigido que os usu arios fa�cam parte de um grupo
relacionado em uma Lista de Controle de Acesso �Access Control List � ACL�� O usu ario
tamb em pode ter acesso negado baseado no seu endere�co IP� Outra maneira de controlar
o acesso ao servidor e solicitar o nome do usu ario juntamente com a sua senha ����
Apesar de ser uma medida muito utilizada� proteger p aginas WWW com senhas nao
pode ser considerado muito seguro� Depois que um usu ario entra com o seu nome e a sua
senha� a maioria dos navegadores transmite essa informa�cao como parte de cada requi�
si�cao� Ou seja� essa informa�cao trafega na rede diversas vezes e� portanto� est a vulner avel
�a intercepta�cao� Al em disso� o nome dos usu arios e as senhas nao sao criptografadas�
como era de se esperar� Ao inv es disso� sao enviados no formato uuencode� uma t ecnica
de compressao simples e amplamente conhecida�
O esquema de autentica�cao utilizado pelos servidores mais seguros do SIS e atrav es do
nome do usu ario e sua senha� Uma maneira de tornar o mecanismo de autentica�cao mais
con� avel e atrav es do protocolo SSL� com uso de certi�cados no cliente e no servidor�
Atualmente� o protocolo SSL est a sendo utilizado para prover o servi�co de con�den�
cialidade� Para isso� somente o certi�cado para o servidor e necess ario� Este servi�co est a
dispon �vel somente no laborat orio do SIS em virtude da burocracia envolvida na aqui�
��
si�cao do certi�cado para uma m aquina da rede do SIS� A principal razao do insucesso e a
di�culdade de provar quem e o SIS� visto que o SIS nao e uma empresa com um contrato
social�
Dada a experi�encia ainda sem sucesso na tentativa de adquirir um certi�cado assinado
por uma autoridade certi�cadora �CA� reconhecida� acredita�se que a solu�cao mais ade�
quada e implementar uma CA pr opria� que seria respons avel por emitir os certi�cados
necess arios� Essa solu�cao possibilita maior !exibilidade e elimina as questoes burocr aticas�
Outra vantagem dessa abordagem e a elimina�cao do custo de obten�cao e renova�cao dos
certi�cados�
Existem alguns pacotes dispon �veis na Internet que facilitam a implementa�cao de uma
CA pr opria� Um exemplo e o Cli�ord Heath� Esse pacote cont em p aginas HTML� scripts
e programas cgi que permitem a instala�cao do certi�cado da CA� requisi�cao de certi�cados
de clientes� assinatura de certi�cados e conexao usando certi�cados dos clientes �����
Seguran�ca de Senhas
O acesso aos aplicativos do SIS e direto para quem consegue logar em uma m aquina
da rede SIS� A autentica�cao do usu ario e feita atrav es do mecanismo de login e senha
do sistema operacional UNIX� Esse sistema poe a responsabilidade do acesso na senha
escolhida pelo usu ario� O problema com esse mecanismo e que raramente os usu arios sao
orientados para a escolha de senhas seguras�
Levando em considera�cao que os atacantes de um sistema possuem uma variedade de
programas que tentam quebrar essas senhas� uma senha f acil e uma porta de entrada para
invasores�
Com o objetivo de minimizar esse tipo de problema� e necess ario fazer uma veri�ca�cao
pr o�ativa atrav es de aplicativos que tentam �quebrar� a senha escolhida pelo usu ario�
Exemplos de ferramentas desse tipo sao o npasswd e passwd"� que fazem a veri�ca�cao
no momento da escolha da senha� e o Crack� que faz uma an alise mais detalhada�
O Crack e um programa que tem por objetivo testar as senhas escolhidas pelos
usu arios� Suas maiores qualidades sao a !exibilidade para estabelecimento de regras�
o uso de dicion arios diversos� a rapidez no processamento� a possibilidade de distribuir o
processamento para diversas m aquinas e o n �vel de automa�cao das tarefas �����
O problema de seguran�ca de senhas e comum e dif �cil de resolver completamente�
No entanto� existem medidas simples e e�cientes para atenu a�lo� como o uso regular de
�
ferramentas autom aticas de detec�cao� como as citadas nesta se�cao� e a�coes no sentido de
conscientizar o usu ario� As medidas de conscientiza�cao podem ser realizadas de diversas
maneiras� seja atrav es de palestras� uso de banners no procedimento de login ou artigos
em peri odicos ou informativos internos�
� Auditoria
Como mencionado anteriormente� ter acesso �a rede do SIS signi�ca ter acesso a fun�coes
importantes do sistema� Por isso� estabelecer um ambiente seguro e fundamental� Al em
disso� e preciso monitorar a rede para manter controle sobre as vulnerabilidades e� dessa
forma� tomar medidas no sentido de elimin a�las� Para isso� e necess ario ter uma pol �tica de
auditoria bem de�nida para a rede� indicando a frequ�encia e os m etodos a serem utilizados
nesse processo� Os pacotes ilustrados na se�cao ��� sao ferramentas uteis para o aux �lio
nessa tarefa�
� Conclus�ao
Existe a preocupa�cao com aspectos de seguran�ca no SIS� notadamente no que diz respeito
a controle de acesso� Nesse sentido� encontra�se implementado no sistema um esquema
so�sticado baseado em matrizes que controlam as permissoes de cada usu ario� Por ou�
tro lado� questoes como autentica�cao e seguran�ca da rede ainda nao foram devidamente
resolvidas�
Algumas recomenda�coes feitas neste trabalho sao de car ater mais imediato� como as
que envolvem a questao da seguran�ca das senhas e da auditoria no sistema� Ou seja� e
poss �vel atacar esses problemas com medidas simples� praticamente sem impacto algum
em termos de desempenho ou complexidade de opera�cao por parte do usu ario�
J a a questao do uso de RPC Seguro tem um impacto maior� principalmente no setor de
desenvolvimento do sistema� No entanto� para o usu ario �nal� nao h a grandes mudan�cas�
Uma vez que o ambiente esteja con�gurado� esse servi�co �ca transparente para o usu ario�
A implementa�cao dos servi�cos de autentica�cao de usu arios e con�dencialidade dos
documentos dispon �veis via WWW envolve uma certa complexidade� Ap os a disponibi�
liza�cao desses servi�cos� tamb em e preciso gerenciar os certi�cados� de forma a controlar�
por exemplo� o prazo de validade dos mesmos� Apesar da complexidade dos aspectos
��
envolvidos� esses servi�cos encontram�se implementados de v arias formas e em diversas
empresas e institui�coes� Isso demonstra a sua viabilidade�
Em geral� seguran�ca em sistemas distribu �dos e em redes de computadores nao e
prioridade� Isso se deve� principalmente� �a complexidade do assunto� Apesar disso� j a
existem solu�coes vi aveis� haja visto a variedade de mecanismos e ferramentas dispon �veis
com o objetivo de facilitar a incorpora�cao de caracter �sticas de seguran�ca aos sistemas�
Portanto� e preciso que administradores de redes e programadores tornem�se cada vez
mais abertos para aceitar esses conceitos e que as empresas repensem seus investimentos
em seguran�ca�
Ap endice
Este ap�endice traz a listagem dos programas whoami proc�c �servidor� e rme�c �cliente��
O objetivo do servidor e conferir a identidade dos clientes� Esses programas v�em com a
distribui�cao do c odigo fonte do RPC da Sun Microsystems e ilustram o funcionamento do
RPC Seguro�
��
rme�c�secureidentityveri erandreporter�clientside
Getnetworkidenti erforservermachine�
�include�rpcrpc�h�
servername�whoamiwhoru��nullp�cl��
�include�stdio�h�
if�servername��NULL�f
�include�whoami�h�
fprintf�stderr��Troublecommunicatingwith�s��
clntsperror�cl�server���
Beforerunningthisprogram�theusermusthaveakeyinthepublickey
exit����
database�andmusthaveloggedinwithapassword�orusedkeylogin��
g
Theuser�smachineandtheserver�smachinemustbothberunningkeyserv�
elseif�servername�������f
fprintf�stderr��CouldnotdeterminenetnameofWHOAMIserver����
main�argc�argv�
exit����
intargc�
g
charargv���
fCLIENTcl�
printf��Server�snetnameis��s��servername��
charserver�
remoteidentityremoteme�
Awidewindowandnosynchronizationisused�Clientandserver
nameservername�
clockmustbewith veminutesofeachother�
voidnullp�
cl��clauth�authdescreate�servername�����NULL�NULL��
if�argc����f
fprintf�stderr��usage��shost��argv�����
FindoutwhoIam�intheserver�spointofview�
exit����
remoteme�whoamiiask��nullp�cl��
g
if�remoteme��NULL�f
fprintf�stderr��Troublegettingmyidentityfrom�s��
Rememberwhatourcommandlineargumentrefersto
clntsperror�cl�server���
server�argv����
exit����
g
Createclient�handle�usedforcallingWHOAMIonthe
serverdesignatedonthecommandline�Wetelltherpcpackage
tousethe�udp�protocolwhencontactingtheserver�
Printoutmyidentity�
printf��Myremoteusername��s��remoteme��remoteusername��
cl�clntcreate�server�WHOAMI�WHOAMIV���udp���
printf��Myremoterealname��s��remoteme��remoterealname��
if�cl��NULL�f
exit����
Couldn�testablishconnectionwithserver�
g
Printerrormessageanddie�
clntpcreateerror�server��
exit����
g
��
whoamiproc�c�secureidentityveri erandreporter�
caseAUTHUNIX�
serverproc
caseAUTHNULL�
�include�rpcrpc�h�
default�
�include�rpckeyprot�h�
svcerrweakauth�rqstp��rqxprt��
�include�pwd�h�
return�NULL��
�include�whoami�h�
gg
externcharstrcpy���
Reportontheserver�snotionoftheclient�sidentity�
remoteidentitywhoamiiask��nullarg�rqstp�
Returnserver�snetname�AUTHNONEisvalid�
voidnullarg�
Thisroutineallowsthisservertobestartedunderanyuid�
structsvcreqrqstp�
andtheclientcanaskusournetnameforuseinauthdescreate���
fstaticremoteidentitywhoisthem�
namewhoamiwhoru��nullarg�rqstp�
staticcharusername�MAXNETNAMELEN����
voidnullarg�
staticcharrealname�MAXNETNAMELEN����
structsvcreqrqstp�
charpublickey�HEXKEYBYTES����
fstaticnamewhoru�
staticcharservername�MAXNETNAMELEN��
structauthdescreddescred�
structpasswdpwdent�
whoru�servername�
switch�rqstp��rqcred�oa�avor�f
if��user�netname�servername�getuid���NULL��
caseAUTHDES�
servername������
whoisthem�remoteusername�username�
return��whoru��
whoisthem�remoterealname�realname�
g
descred��structauthdescred�rqstp��rqclntcred�
Checktoseeifthenetnamebeingusedisinthepublickey
database�ifnot�rejectthis�potential�imposter��
if��getpublickey�descred��adcfullname�name�publickey��
f
svcerrweakauth�rqstp��rqxprt��return�NULL��g
Gettheinfothattheclientwants�
if��netname�user�descred��adcfullname�name�
�whoisthem�uid��whoisthem�gid��whoisthem�gids�gidslen�
whoisthem�gids�gidsval��fnetnamenotfound
whoisthem�authenticated�FALSE�
strcpy�whoisthem�remoterealname��INTERLOPER����
whoisthem�uid����whoisthem�gid����
whoisthem�gids�gidslen���
return��whoisthem��
gelsewefoundthenetname
whoisthem�authenticated�TRUE�
pwdent�getpwuid�whoisthem�uid��
strcpy�whoisthem�remoteusername�pwdent��pwname��
strcpy�whoisthem�remoterealname�pwdent��pwgecos��
return��whoisthem��
break�
��
Refer encias
��� Sun Microsystems� A key issue for the global corporation� Dispon �vel emhttp���www�sun�com�solaris�wp�security�
��� A� Bastos� Oportunidade versus riscos� Dispon �vel em http���www�modulo�com�br�
��� W� Stallings� Network and Internetwork Security � Principles and Practice� PrenticeHall� �rst edition� �����
�� L�F�G� Soares # G� Lemos # S� Colcher� Redes de Computadores � Das LANs� MANse WANs as Redes ATM� Editora Campus� �����
��� B� Schneier� Applied Cryptography � Protocols� Algoritmhs� and Source Code in C�Wiley� second edition� �����
��� Inc� RSA Data Security� Dispon �vel em http���www�rsa�com�
��� Valicert� All about digital certi�cates� Dispon �vel emhttp���www�valicert�com�resources�library� �����
��� Debra Cameron� Intranet Security� Computer Technology Research Corp�� �rstedition� �����
��� ITU�T Recommendation X����� The directory� Authentication framework� �����
���� T� Elgamal # J� Treuhaft # F� Chen� Securing communications on the intranet andover the internet� Netscape Communications Corporation� July �����
���� F�J� Hirsch� Introducing SSL and certi�cates using SSLeay� World Wide Web Jour�nal� �����
���� G� Ara ujo� Transa�coes seguras via Web� RNP News Generation� ����� �����
���� A� Freier et al� The SSL protocol � version ���� November �����
��� A�S� Tanenbaum� Sistemas Operacionais Modernos� Prentice�Hall� �����
���� S� Gar�nkel # G� Spa$ord� Practical Unix and Internet Security� O%Reilly andAssociates� Inc�� second edition� �����
���� L�M� Bertholdo # L�M�R� Tarouco� Uma an alise do software de seguran�ca SATAN �security administrator tool for analyzing networks� In Anais do II WAIS� �����
���� R�G�R� da Silva� Contribui�coes para a integra�cao de sistemas de supervisao de redesde computadores e de telecomunica�coes �a plataforma SIS� Master%s thesis� Universi�dade Federal de Minas Gerais� Mar�co �����
��
���� J�M�S� Nogueira # D�M� Meira� The SIS project� A distributed platform for theintegration of telecommunication management systems� In Proceedings of IEEE�IFIPNetwork Operations and Management Symposium� �����
���� J�M�S� Nogueira # G�C� Penido� Especi�ca�cao da interface de acesso aos servi�cosexternos do sis� Relat orio T ecnico SIS RT ����
���� J� Franks et al� RFC ����� An extension to HTTP� Digest access authentication�January �����
���� R�A� de Barros # V�P� Marques # J�M�S� Nogueira� Especi�ca�cao de relat orios dehist orico de comandos e de eventos� Relat orio T ecnico SIS RT ����
���� C� Heath� Crypto software� Dispon �vel emhttp���www�osa�com�au� cjh�software�crypto�
���� C�A� Campana� Ferramentas de seguran�ca� RNP News Generation� ����� �����
��