Universidade Federal de Minas GeraisInstituto de Ci�encias Exatas

Departamento de Ci�encia da Computa�c�aoP�os�gradua�c�ao em Ci�encia da Computa�c�ao

Projeto Orientado� � cr�editos �

Estudo de Mecanismos de Seguran�ca

para o SIS

Patricia Nattrodt Barros Soares

Orientador� Prof� Jos�e Marcos Silva Nogueira

�� de julho de ����

loius

Autor: Patrícia Nattrodt Barros Soares

�Indice

I Seguran�ca e o SIS �

� Introdu�c�ao �

� No�c�oes sobre Seguran�ca ���� Servi�cos � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � �

����� Con�dencialidade dos Dados � � � � � � � � � � � � � � � � � � � � � � ������ Autentica�cao � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � ������ Integridade � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � ����� Nao�repudia�cao � � � � � � � � � � � � � � � � � � � � � � � � � � � � � ������ Controle de Acesso � � � � � � � � � � � � � � � � � � � � � � � � � � � �

��� Algoritmos de Criptogra�a � � � � � � � � � � � � � � � � � � � � � � � � � � � ������ Algoritmos Sim etricos � � � � � � � � � � � � � � � � � � � � � � � � � ����� Algoritmos Assim etricos � � � � � � � � � � � � � � � � � � � � � � � � �

��� Certi�cados � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � ������ Conte udo de Certi�cados � � � � � � � � � � � � � � � � � � � � � � � � ������ O Processo de Autentica�cao � � � � � � � � � � � � � � � � � � � � � � �

�� O Protocolo SSL � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � ���� Autentica�cao do RPC � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � ����� Wrappers � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � ��

����� TCPWRAPPER � � � � � � � � � � � � � � � � � � � � � � � � � � � � ����� Auditoria � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � ��

� Sistema Integrado de Supervis�ao ���� Visao Geral � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � ���� A Rede do SIS � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � ��

A Seguran�ca no SIS ��� Comunica�cao Interna � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � ���� Controle de Acesso � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � ���� Autentica�cao � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � ��� Con�dencialidade � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � ���� Auditoria � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � ��

���� Rede � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � ������ Sistema � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � ��

II Proposi�c�oes ��

ii

� Comunica�c�ao Interna ����� RPC Seguro � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � ��

����� Autentica�cao do RPC Seguro � � � � � � � � � � � � � � � � � � � � � ������� Limita�coes do RPC Seguro � � � � � � � � � � � � � � � � � � � � � � � ������� Implementa�cao � � � � � � � � � � � � � � � � � � � � � � � � � � � � � ��

Seguran�ca em WWW ��

� Seguran�ca de Senhas �

Auditoria ��

� Conclus�ao ��

iii

Parte I

Seguran�ca e o SIS

� Introdu�c�ao

Atualmente� e crescente o n umero de ambientes computacionais interligados atrav es de

redes corporativas e� ao mesmo tempo� ligadas no mundo atrav es da Internet�

Esse cen ario vem provocando uma explosao no n umero de usu arios conectados �a rede

mundial� E crescente tamb em o n umero de usu arios que utilizam o conhecimento dis�

pon �vel na rede para �ns il �citos� o que contribui para aumentar as estat �sticas dos crimes

atrav es de computadores� Vale ressaltar que� apesar dos �crackers� �pessoas que usam

seus conhecimentos sobre sistemas computacionais para �ns il �citos� estarem nas man�

chetes dos jornais� estudos revelam que a grande maioria das invasoes nao sao detectadas

����

Tamb em e importante salientar que funcion arios� estagi arios e prestadores de servi�co

sao �crackers internos� em potencial e� estatisticamente� sao respons aveis pela maior parte

dos problemas de inseguran�ca das empresas� Segundo pesquisa recente da WarRoom

Survey� ��� das organiza�coes sofreram ataques internos nos ultimos �� meses ����

Questoes como essas tendem a trazer para primeiro plano a preocupa�cao com segu�

ran�ca� Cada vez mais� administradores de redes e programadores se conscientizam que

essa e uma questao importante e que precisa ser incorporada como requisito b asico nas

suas atividades�

O Sistema Integrado de Supervisao �SIS� e um sistema de gerenciamento de redes que

tem por objetivo supervisionar uma planta de telecomunica�coes heterog�enea e distribu �da�

O SIS possui uma rede pr opria� interligada �a rede corporativa da Telemig�

O principal objetivo deste trabalho foi fazer um levantamento sobre os aspectos de

seguran�ca envolvidos no SIS� A partir da �� foram feitas algumas recomenda�coes para

incrementar a seguran�ca do sistema�

Este documento est a organizado como descrito a seguir� A se�cao � traz assuntos de

seguran�ca relacionados com o trabalho� A se�cao � fornece uma visao geral do SIS e da

sua rede� A se�cao mostra o levantamento realizado sobre os aspectos de seguran�ca do

SIS� As se�coes � a � trazem sugestoes para melhorar a seguran�ca do SIS e da sua rede�

�

� No�c�oes sobre Seguran�ca

Nesta se�cao� serao discutidos assuntos b asicos da area de seguran�ca� como servi�cos e ti�

pos de algoritmos criptogr a�cos� e t opicos diretamente relacionados com este trabalho�

como o uso de certi�cados de autentica�cao� o protocolo utilizado para possibilitar o uso

de criptogra�a por aplica�coes que utilizam a pilha de protocolos TCP�IP �SSL��� o me�

canismo de autentica�cao do RPC e o uso de programas que aumentam a seguran�ca das

redes �wrappers��

��� Servi�cos

Nesta se�cao� alguns servi�cos relacionados �a seguran�ca em redes de computadores� como

con�dencialidade� autentica�cao e controle de acesso� sao discutidos�

����� Con�dencialidade dos Dados

O servi�co de con�dencialidade tem por objetivo proteger dados em tr�ansito contra usu arios

nao autorizados� V arios n �veis de prote�cao podem ser identi�cados ���� Um exemplo de

n �vel de prote�cao do servi�co de con�dencialidade e a prote�cao de todos os dados trans�

mitidos entre dois usu arios durante um per �odo de tempo� Outro exemplo pode ser a

prote�cao de uma unica mensagem ou de campos espec ��cos de uma mensagem�

����� Autentica�c�ao

Este servi�co atua no sentido de impedir que intrusos personi�quem usu arios autorizados

e consigam� assim� ter acesso aos recursos do sistema� Para isso� antes de ser atendido� o

usu ario deve ser capaz de provar a sua identidade� ou seja� autenticar�se�

����� Integridade

O servi�co de integridade dos dados garante que as mensagens sao recebidas sem duplica�cao�

altera�cao� inser�cao ou reordena�cao� Para garantir a integridade� podem ser usadas t ecnicas

de modi�ca�cao� normalmente associadas com a detec�cao de erros em bits� em blocos ou

erros da sequ�encia introduzidos por enlaces e redes de comunica�cao ���

�Secure Socket Layer

�

���� N�ao�repudia�c�ao

O servi�co de nao�repudia�cao tem por objetivo impedir que usu arios neguem a�coes exe�

cutadas ou mensagens recebidas� Isso e conseguido atrav es da prova da identidade das

entidades envolvidas na comunica�cao ou da prova que uma entidade destino recebeu cor�

retamente uma solicita�cao para realiza�cao de um determinado servi�co ���

����� Controle de Acesso

No contexto de seguran�ca em redes de computadores� o controle de acesso e a habilidade

de limitar e controlar o acesso �a m aquinas e aplica�coes via canais de comunica�cao� Para

isso� cada entidade que est a tentando utilizar os recursos do sistema deve ser identi�cado

ou autenticado antes de tudo ���� As t ecnicas utilizadas incluem o uso de listas ou matrizes

de controle de acesso� que associam recursos a usu arios autorizados�

��� Algoritmos de Criptogra�a

De maneira informal� a criptogra�a pode ser de�nida com a arte de empregar um conjunto

de regras �algoritmo� em mensagens com o objetivo de esconder seu conte udo� O resultado

das opera�coes realizadas depende de um segredo� tamb em chamado de chave� Dessa forma�

a mensagem criptografada pode ser transmitida por meios de comunica�cao inseguros� pois

somente o receptor que conhe�ca as regras aplicadas e a chave ser a capaz de recuperar a

mensagem original�

Formalmente� um algoritmo criptogr a�co e uma fun�cao matem atica� Essa fun�cao�

que possui uma chave como par�ametro� e usada para cifrar �criptografar ou codi�car� e

decifrar �ou decodi�car� uma mensagem� Em geral� existem duas fun�coes relacionadas�

sendo uma delas usada na codi�ca�cao dos dados �E� e a outra na decodi�ca�cao �D� ����

A chave utilizada �k� e um par�ametro importante nos algoritmos criptogr a�cos� A

chave deve ser uma sequ�encia aleat oria de octetos e seu tamanho depende do algoritmo

empregado� Podemos denotar as fun�coes mencionadas da seguinte forma�

Ek�M� � C

Dk�C� �M �

onde M e a mensagem original e C e a mensagem criptografada� Essas fun�coes tem a

seguinte propriedade�

�

Dk�Ek�M�� �M �

ou seja� aplicando�se a fun�cao de decodi�ca�cao a uma mensagem codi�cada� obt em�se

a mensagem original�

A Figura � ilustra de uma maneira bem simples a id eia desses algoritmos�

Plaintext,P

EncryptionMethod Ciphertext,C = Ek(P)

DecryptionMethod

ChannelInsecure

Encryption Decryption

Plaintext,P

Key Key

Figura �� Transmissao Segura�

Toda a seguran�ca e baseada nas chaves� nao importando se o algoritmo e conheci�

do� Caso nao se tenha conhecimento da chave utilizada� a mensagem nao poder a ser

decodi�cada�

����� Algoritmos Sim�etricos

Nos sistemas criptogr a�cos convencionais� tamb em conhecidos como sistemas de chave

secreta ou sim etricos� existe apenas uma chave� usada tanto na codi�ca�cao quanto na

decodi�ca�cao�

Existem v arios tipos diferentes de sistemas criptogr a�cos sim etricos� Um deles e o

Data Encryption Standard �DES�� que e um sistema cifrados de blocos� Ele opera em

blocos de tamanho �xo� mapeando blocos de � bits do texto original em blocos de �

bits de texto cifrado e vice�versa� As chaves no DES possuem � bits incluindo � bits de

paridade� que sao ignorados no processo de cifra�cao� Por isso� e comum dizer que a chave

do DES possui �� bits ����

O IDEA tamb em e um algoritmo criptogr a�co sim etrico� Sua for�ca vem do uso de

tr�es opera�coes diferentes �OU exclusivo� adi�cao modular e multiplica�cao modular�� Al em

disso� o IDEA usa chave de ��� bits para se prevenir contra ataques de busca exaustiva

����

Modo Electronic Code Book �ECB�

Este e o modo de opera�cao mais simples e tamb em o mais obvio� O algoritmo funciona

cifrando�decifrando blocos de � bits com a mesma chave� produzindo blocos de � bits

���� A Figura � ilustra a opera�cao do modo ECB�

Como nao existe nenhum contexto em cada codi�ca�cao� sempre que os mesmos bytes

forem codi�cados com a mesma chave� o criptograma gerado ser a o mesmo� Em virtude

da sua fragilidade� o modo ECB s o deve ser utilizado para transmissao de chaves e de

vetores de inicializa�cao�

. . .Key E E E

C0 C1 C2

P0 P1 P2

D D D . . .Key

C0 C1 C2

P0 P1 P2

(b) Decifração(a) Cifração

Figura �� Modo ECB�

Modo Cipher Block Chainning �CBC�

E o modo de opera�cao mais importante� No modo CBC� cada bloco do texto original

sofre OU exclusivo com o bloco anterior de texto codi�cado antes de ser codi�cado� Ou

seja�

Cn � Ek�Pn � Cn���

Para decodi�car� a opera�cao e invertida�

Pn � Dk�Cn�� Cn��

Com esse modo de opera�cao� e poss �vel superar a principal de�ci�encia do modo ECB�

pois blocos id�enticos de entrada produzem criptogramas diferentes� No entanto� surgem

dois problemas� como codi�car o primeiro bloco� j a que nao existe um C� e como codi�car

o ultimo bloco� caso o tamanho da mensagem nao seja m ultiplo de oito bytes�

Para resolver o primeiro problema� as partes devem concordar em um vetor de iniciali�

za�cao �IV�� que age como C�� o primeiro bloco codi�cado� Uma t ecnica util para resolver

�

o segundo problema e adicionar bytes de preenchimento tal que o ultimo byte indique

quando os bytes �nais devem ser ignorados�

Um erro na transmissao em um bloco de texto codi�cado ir a corromper tanto este

bloco quanto os blocos seguintes do texto original quando se est a usando o modo CBC�

A Figura � ilustra a opera�cao do modo CBC�

. . .

P0 P1 P2

C0 C1 C2

Key

IV # # #

E E E

D D D

# # #

C0 C1 C2

P0 P1 P2

Key

IV. . .

(a) Cifração (b) Decifração

Figura �� Modo CBC�

����� Algoritmos Assim�etricos

Com os sistemas convencionais de criptogra�a� as duas partes devem compartilhar a

mesma chave secreta antes de iniciar a comunica�cao� Para isso� deve haver um acordo

anterior� o que pode ser problem atico� Al em disso� o n umero de chaves necess arias para

uma comunica�cao completa e n� chaves para uma rede com n entidades� Apesar dos

dois problemas poderem ser resolvidos por um servidor de chaves centralizado� isso nao

deve resolver tudo� Neste caso� o servidor deve estar dispon �vel em tempo real para

iniciar uma conversa�cao� Isso di�culta o acesso ao servidor para sistemas de mensagens

store�and�forward�

Sistemas criptogr a�cos de chave p ublica ou assim etricos oferecem uma solu�cao dife�

rente� Neste caso� cada usu ario possui um par de chaves� Uma dessas chaves e utilizada

para a codi�ca�cao� Seu valor deve ser mantido em um diret orio p ublico� A outra chave�

usada na decodi�ca�cao� e mantida secreta� Para enviar uma mensagem� basta veri�car

qual a chave p ublica do destinat ario e codi�car a mensagem com esta chave� Esse� ao

receber a mensagem� decodi�ca com a sua chave secreta� Esse mecanismo� ilustrado a

�

seguir� garante que apenas o verdadeiro destinat ario consegue ter acesso ao conte udo da

mensagem�

A� B � C � EPB�M�

B �M � DSB�C�

Sistemas de chave p ublica possuem duas desvantagens principais� Primeiro� as chaves

sao muito grandes comparadas �as dos sistemas convencionais� Segundo� codi�ca�cao e de�

codi�ca�cao sao bem mais lentas� Nao h a muito que se possa fazer com rela�cao ao primeiro

problema� O segundo e tratado ao se usar tais sistemas basicamente para distribui�cao de

chaves� Com isso� o desempenho na fase de comunica�cao de dados nao e comprometido�

Um exemplo de algoritmo de chave p ublica e o RSA �������

��� Certi�cados

O uso de certi�cados digitais surge como uma solu�cao para a implementa�cao de um

mecanismo forte de autentica�cao que utiliza criptogra�a de chave p ublica� Um certi�cado

digital e uma esp ecie de documento digital emitido por uma fonte con� avel que atesta

a identidade de um indiv �duo ou de uma m aquina� Em outras palavras� um certi�cado

digital pode ser visto como o correspondente eletr�onico a uma certidao de nascimento�

passaporte ou qualquer outro documento f �sico de identi�ca�cao ����

Autentica�cao atrav es de certi�cados e o m etodo mais seguro dispon �vel atualmente ����

Nesse esquema� cada usu ario possui um certi�cado digital que o identi�ca� O certi�cado

cont em a chave p ublica do usu ario e outros dados� A chave privada do usu ario e arma�

zenada criptografada� protegida normalmente com a senha do usu ario� Os certi�cados

digitais sao de�nidos de acordo com o padrao X���� do ITU ����

O uso de certi�cados para autentica�cao exige a obten�cao ou a emissao de certi�cados

para todos os usu arios� Isso envolve a utiliza�cao de software para que a empresa se torne

a sua pr opria autoridade certi�cadora� Outra op�cao e usar os servi�cos de uma empresa

especializada na emissao e gerenciamento de certi�cados� como a Verisign ou a Thawte�

As duas op�coes encontram�se dispon �veis atualmente� Para intranets� muitas empresas

optam por serem sua pr opria autoridade certi�cadora� administrando um servidor de

certi�cados� que emite e revoga certi�cados de usu arios ����

�

����� Conte�udo de Certi�cados

Um certi�cado digital corresponde a um arquivo que cont em os dados ilustrados na Tabela

� �����

Campo Descri�c�ao

Nome Distinto do Usu ario Nome que identi�ca o usu ario de forma unica�

Nome Distinto do Emissor Nome que identi�ca de forma unica a autori�dade certi�cadora que assinou o certi�cado�

Chave P ublica do Usu ario A chave p ublica do dono do certi�cado�

Assinatura do Emissor Assinatura digital da autoridade certi�cadora�Garante a autenticidade do certi�cado�

Per �odo de Validade Intervalo de datas no qual o certi�cado e v alido�

N umero de S erie N umero unico gerado pela autoridadecerti�cadora para �ns administrativos�

Tabela �� Dados de um Certi�cado Digital�

Os nomes do usu ario e do emissor incluem dados espec ��cos e� por isso� sao chamados

de �nomes distintos� �distinguished names � DNs�� DNs tamb em sao do padrao X�����

que de�ne seus campos e a abreviatura dos campos �Tabela �� �����

Campo Abreviatura

Nome Comum CNEmpresa ou Organiza�cao OUnidade Organizacional OUCidade LEstado SPPa �s C

Tabela �� Nome Distinto�

����� O Processo de Autentica�c�ao

No caso da tecnologia Web� o processo de autentica�cao inicia quando um usu ario acessa

um servidor seguro� O navegador informa ao usu ario que este selecionou um link para um

documento seguro� Neste momento� o procedimento de estabelecimento de uma conexao

�

segura e iniciado� Os par�ametros de seguran�ca sao negociados e o servidor envia o seu

certi�cado para o navegador �cliente�� O navegador veri�ca o certi�cado do servidor

para saber se este e v alido e se e assinado por uma Autoridade Certi�cadora cadastrada�

O navegador tamb em veri�ca a assinatura digital do servidor para que possa garantir

que o certi�cado realmente pertence �aquele servidor� Depois disso� o servidor solicita

ao navegador o certi�cado do usu ario� O navegador solicita que o usu ario selecione um

certi�cado� caso ele possua mais de um� e digite a sua senha� Com a senha correta� o

navegador consegue cifrar a resposta para o servidor com a chave privada do usu ario�

O servidor veri�ca a assinatura digital do usu ario e permite o acesso� Vale ressaltar

que a senha e usada localmente pelo navegador do usu ario� Dessa forma� a senha nao e

transmitida atrav es da rede� impossibilitando a sua captura por programas de monitora�cao

de tr afego �sni�ers� ��������

�� O Protocolo SSL

Atualmente� o protocolo Secure Sockets Layer �SSL� e a solu�cao mais popular para tran�

sa�coes seguras em WWW� Embora ainda nao esteja padronizada pela IETF� e um padrao

de fato� implementado pelos mais populares navegadores e servidores �����

O principal objetivo do SSL e oferecer privacidade e con�abilidade entre aplica�coes que

se comunicam� O protocolo e composto de duas camadas� No n �vel mais baixo� situado em

cima de um protocolo de transporte con� avel� est a o SSL Record Protocol� Esse protocolo

e usado para encapsular protocolos de n �vel superior� Um desse protocolos encapsulados

e o SSL Handshake Protocol� que permite que servidor e cliente autentiquem�se um ao

outro e negociem um protocolo de criptogra�a e as chaves criptogr a�cas� Isso deve ser

feito antes que qualquer dado seja transmitido�

Uma vantagem do SSL e a sua independ�encia em rela�cao ao protocolo da aplica�cao�

Um protocolo de n �vel mais alto pode estar acima do SSL de maneira transparente� O

protocolo SSL oferece seguran�ca da conexao com tr�es propriedades b asicas �����

� A conexao e secreta� Depois do handshake inicial� que de�ne a chave de sessao ou

chave secreta� criptogra�a sim etrica e usada para a obten�cao da con�dencialidade�

� A identidade do parceiro de comunica�cao pode ser autenticada usando criptogra�a

de chave p ublica�

�

� A conexao e con� avel� O transporte de mensagens inclui veri�ca�cao da integridade

atrav es de fun�coes hash�

O protocolo foi projetado para suportar uma variedade de escolhas para algoritmos

espec ��cos usados na criptogra�a� Essa caracter �stica permite a sele�cao de maneira es�

pec ��ca dos algoritmos a serem utilizados por parte dos servidores� levando em conside�

ra�cao aspectos legais de exporta�cao� podendo tamb em tirar proveito de novos algoritmos�

�� Autentica�c�ao do RPC

Remote Procedure Call� e um mecanismo para a realiza�cao da comunica�cao em alto n �vel�

permitindo que aplica�coes distribu �das sejam desenvolvidas atrav es de chamadas a proce�

dimentos remotos�

Em uma chamada remota a procedimento� um processo no sistema local �cliente�

invoca um procedimento em um sistema remoto �servidor�� A id eia por tr as dessa chamada

remota e fazer com que esta se pare�ca tanto quanto poss �vel com uma chamada local� Em

outras palavras� a chamada remota a procedimento deve ser transparente � o procedimento

que chama nao deve se preocupar com o fato do procedimento chamado estar ou nao

rodando em uma m aquina diferente� e vice�versa ����

Para tornar esse procedimento seguro� os clientes precisam de um mecanismo para se

autenticarem junto ao servidor RPC� Este procedimento e necess ario para que o servidor

possa determinar que informa�cao o cliente pode acessar e quais fun�coes sao permitidas

para aquele cliente� Sem autentica�cao� qualquer cliente na rede que consiga enviar pacotes

para o servidor RPC poderia acessar qualquer fun�cao �����

Existem v arias formas diferentes de autentica�cao dispon �veis para RPC� como mostra

a Tabela �� As subse�coes seguintes tratam da autentica�cao UNIX e da autentica�cao DES�

Os outros dois mecanismos de autentica�cao fogem do escopo deste trabalho e� portanto�

nao serao detalhados�

Autentica�c�ao UNIX

A autentica�cao UNIX era o unico sistema de autentica�cao oferecido pela Sun Micro�

systems at e o Release �� do sistema operacional SunOS e e a unica forma de autentica�cao

de RPC oferecida por muitos vendedores UNIX� E amplamente utilizada� Infelizmente� e

fundamentalmente insegura�

�Chamada Remota a Procedimento

��

Formas de T�ecnica Coment�arioAutentica�c�ao

AUTH NONE Nenhuma� Nao h a autentica�cao�Acesso an�onimo�

AUTH UNIX Cliente RPC envia o UID e o GID Nao e seguro� O servidordo UNIX para o usu ario� con�a que o usu ario e

quem ele diz ser�AUTH DES A autentica�cao e baseada na Razoavelmente seguro� apesar

criptogra�a de chave p ublica de nao ser amplamentee no DES� dispon �vel�

AUTH KERB A autentica�cao e baseada no Muito seguro� No entanto�Kerberos� o servidor Kerberos precisa

ser con�gurado�

Tabela �� Op�coes para Autentica�cao de RPC�

Na autentica�cao UNIX� cada requisi�cao RPC traz um identi�cador de usu ario �UID��

e um conjunto de identi�cadores de grupos �GIDs�� para autentica�cao� Implicitamente� o

servidor con�a no UID e nos GIDs apresentados pelo cliente e usa essa informa�cao para

determinar se a a�cao deve ser permitida ou nao� O problema e que qualquer entidade com

acesso �a rede pode montar um pacote RPC com valores para UID e GID arbitr arios� A

autentica�cao UNIX nao e segura pois o cliente �ca livre para a�rmar qualquer identidade

e nao h a como fazer a veri�ca�cao no servidor�

Autentica�c�ao DES

A autentica�cao utilizando o algoritmo DES e a base para o RPC seguro� mecanismo

discutido de forma mais detalhada posteriormente� ainda neste texto� A AUTH DES

utiliza uma combina�cao de criptogra�a de chave secreta e de chave p ublica para oferecer

seguran�ca em ambiente de rede�

��� Wrappers

Uma maneira de tornar uma rede mais segura e atrav es do uso de wrappers� que sao

programas utilizados para controlar o acesso a outros programas� Um wrapper literalmente

encapsula o programa controlado� permitindo um maior grau de seguran�ca do que o

�User Identi�er�Group Identi�er

��

originalmente oferecido por esse programa� E crescente a utiliza�cao de wrappers por diversas razoes� Primeiro� como a l ogica da

seguran�ca e mantida em um unico programa �wrapper�� eles sao simples e f aceis de validar�

Segundo� como o programa encapsulado permanece como uma entidade independente� ele

pode ser atualizado sem a necessidade de reinstalar o wrapper� Finalmente� um unico

wrapper pode ser utilizado para controlar o acesso a uma variedade de programas �����

���� TCPWRAPPER

O TCPWRAPPER e um wrapper de uso geral� utilizado para intercepta�cao e registro de

servi�cos TCP disparados pelo inetd� sempre que um servi�co TCP e solicitado por uma

m aquina cliente�

Entre os recursos do TCPWRAPPER� podemos citar�

� Envio opcional de avisos�

� Double�reverse lookup do endere�co IP� o que permite veri�car se o endere�co IP e o

nome da m aquina combinam� Caso eles nao combinem� esse fato e registrado�

� Uso do protocolo ident� para determinar o nome do usu ario associado �a conexao

que est a solicitando o servi�co�

� Registro dos resultados das tentativas de estabelecimento de conexao� Ou seja� e

mantido um registro sobre as conexoes aceitas e rejeitadas� com informa�cao sobre

os servi�cos solicitados� o endere�co IP da origem das solicita�coes e a data do registro�

� Execu�cao opcional de comandos ��nger� por exemplo��

O controle de acesso e feito atrav es de dois arquivos� �etc�hosts�allow e �etc�hosts�deny�

Ao receber uma conexao� o TCPWRAPPER consulta o arquivo hosts�allow para con�rmar

se o par �host�protocolo� deve ser aceito� Caso nao haja refer�encia� o arquivo hosts�deny

e consultado para con�rmar se o par �host�protocolo� deve ser recusado� Se nao houver

refer�encia� a conexao e aceita�

O TCPWRAPPER pode ser compilado para diversos sistemas operacionais baseados

em UNIX� como� Solaris� Ultrix� Irix� AIX e Linux�

�Internet process daemon� Processo que dispara servi�cos relacionados com a Internet� como� ftp�

telnet� �nger� talk e rlogin��Identi�cation Protocol� Possibilita determinar a identidade do usu�ario de uma dada conex�ao TCP�

��

��� Auditoria

Realizar auditorias nos sistemas computacionais deve ser uma pr atica comum dos admi�

nistradores de redes� Esta se�cao apresenta algumas ferramentas utilizadas para auxiliar

nessa tarefa�

SATAN � Security Administrator Tool for Analyzing Network

SATAN e uma ferramenta que reconhece problemas comuns relativos �a seguran�ca da

rede e os reporta� O pacote consiste de um pequeno kernel que se baseia em uma base de

dados de regras e v arios outros programas respons aveis por diferentes testes de valida�cao

de seguran�ca� Cada programa pode gerar ao �nal de sua execu�cao arquivos de v arios

megabytes que sao repassados para o usu ario na forma de hipertexto� o que torna a

ferramenta amig avel �����

A ferramenta est a dispon �vel em ftp���ftp�win�tue�nl�pub�security�satan�tar�Z�

COPS � Computer Oracle and Password System

O pacote COPS foi desenvolvido pela Universidade de Purdue� Seu objetivo e inspe�

cionar um sistema levando em considera�cao fraquezas conhecidas e alertar o administrador

das fraquezas encontradas� Em alguns casos� o COPS corrige o problema automaticamen�

te�

Este pacote encontra�se dispon �vel em ftp���ftp�cert�org�pub�tools�cops�

TAMU Tiger

O TAMU Tiger e um pacote de scripts para monitora�cao de sistemas� Sua funcio�

nalidade assemelha�se �a do COPS� Ambos tentam veri�car sistemas UNIX de maneira

detalhada� com abordagens um pouco diferentes em alguns pontos� Para os casos mais

comuns� o Tiger e mais simples de con�gurar e usar�

Este pacote pode ser encontrado em ftp���net�tamu�edu�pub�security�TAMU�

Tripwire

O pacote Tripwire tamb em foi desenvolvido pela Universidade de Purdue� Esse pacote

faz a veri�ca�cao da integridade de arquivos� detectando mudan�cas nao autorizadas ou

nao esperadas nos principais arquivos do sistema� Para isso� e utilizado o mecanismo de

assinaturas digitais�

O Tripwire est a dispon �vel em ftp���ftp�cs�purdue�edu�pub�spaf�COAST�Tripwire�

��

ISS � Internet Security Scanner

Escrito por Christopher Klaus� o ISS e um programa que tem por objetivo procurar

as vulnerabilidades mais comuns nos principais servi�cos de rede� como �nger� ftp e smtp�

Este programa pode ser encontrado em ftp���ftp�aql�gatech�edu�pub�security�iss�

Alguns pacotes citados nesta se�cao possuem fun�coes em comum� No entanto� cada um

possui pontos fortes bem como limita�coes� Por isso� e pr atica comum usar mais de uma

ferramenta como forma de melhorar a visao geral da seguran�ca no sistema�

� Sistema Integrado de Supervis�ao

��� Vis�ao Geral

O Sistema Integrado de Supervisao �SIS� e uma plataforma distribu �da de gerenciamento

de redes de telecomunica�coes desenvolvido no Brasil� pela Universidade Federal de Minas

Gerais �UFMG� juntamente e patrocinada pela companhia Telecomunica�coes do Estado

de Minas Gerais �TELEMIG��

O objetivo do sistema e atender �as necessidades de supervisao de uma planta de

telecomunica�coes extensa� distribu �da e heterog�enea� que cont em equipamentos das areas

de transmissao� comuta�cao� rede externa� infra�estrutura� comunica�cao de dados e outras

�����

Por possuir uma arquitetura modular e de f acil expansao� o SIS viabiliza a integra�cao

de sistemas de ger�encia de diferentes fabricantes� protocolos e tecnologias em uma plata�

forma� interface e base de dados referenciais� Al em de oferecer interoperabilidade entre

sistemas de supervisao� o SIS tamb em fornece operabilidade� ou seja� f acil opera�cao� ad�

ministra�cao� desenvolvimento e manuten�cao� bem como a con�abilidade e desempenho

necess arios �����

Os m odulos do SIS comunicam�se segundo o paradigma de programa�cao distribu �da

cliente�servidor� implementado pelas facilidades de RPC�

O servi�co de interface homem�m aquina fornece o suporte adequado �a apresenta�cao

uniforme das informa�coes e �a intera�cao entre operadores� administradores e aplica�coes de

ger�encia�

As aplica�coes do sistema interagem com sua base de dados distribu �da atrav es de

interfaces gen ericas� o que torna a plataforma praticamente independente de um sistema

�

gerenciador de banco de dados �SGBD��

O SIS possui arquitetura modular� permitindo que futuras necessidades de integra�cao

sejam atendidas atrav es do acr escimo de novos m odulos funcionais de hardware e�ou

software� A plataforma do SIS encontra�se conclu �da e completamente em opera�cao na

planta de telecomunica�coes da Telemig� O sistema est a em fase de cont �nua evolu�cao� que

consiste no processo cont �nuo de integra�cao de novos sistemas de supervisao� incorpora�cao

de novas fun�coes e melhoria da funcionalidade existente �����

A id eia principal dos m odulos de software que compoem o SIS e ter somente um c odigo

fonte que pode ser con�gurado e instalado para funcionar como unidade central principal�

regional ou secund aria� ou como uma combina�cao delas� Existem basicamente quatro

fam �lias de m odulos de software� gerenciamento do sistema� acesso� interface ao banco de

dados e interface homem�m aquina �����

��� A Rede do SIS

O SIS funciona numa rede pr opria� interligada �a rede corporativa da empresa operadora�

No caso da Telemig� a rede do SIS possui v arias subredes distribu �das no estado de Minas

Gerais� Essa rede e bastante heterog�enea e possui v arios pontos de acesso� alguns desses

sendo de interliga�cao com a Internet�

As formas de acesso �a rede do SIS sao ilustradas na Figura � O acesso pode ser via

Web �protocolo HTTP�� atrav es dos protocolos FTP e NFS� atrav es de linha discada ou

via telnet� Al em disso� existem os usu arios internos� que acessam as aplica�coes do SIS a

partir da pr opria intranet�

Usu arios externos podem realizar algumas opera�coes no SIS via Web� Dentre os ser�

vidores Web do SIS est a o SACWeb� que atende solicita�coes da Telemig Celular� Outras

fun�coes estao dispon �veis via Web� como consulta a listas das regioes� listas de alarmes e

hist oricos de eventos� Al em disso� algumas fun�coes do SISTerm tamb em foram disponi�

bilizadas�

Os usu arios do Centro de Ger�encia de Opera�coes �CGO� acessam o SIS atrav es do

servidor FTP�NFS� que atende solicita�coes de transfer�encia de arquivos utilizando o pro�

tocolo File Tranfer Protocol �FTP� ou o protocolo Network File System �NFS� �����

Os servidores Web do SIS e o servidor FTP�NFS geram as solicita�coes para o mesox

�Mediador de Solicita�coes Externas�� Para cada solicita�cao� o mesox veri�ca a identi��

ca�cao do elemento de rede� consulta o banco de dados do SIS e entrega a solicita�cao ao

gerente respons avel pelo ER� O mesox recebe do gerente uma resposta �a solicita�cao e a

��

Usuário Externo

Servidor FTP/NFS

Servidor Web

Usuário Externo

Elemento de Rede

Elemento de Rede

Web

Usuário Externo

Usuário Externo

MESOX

MESOX

Telnet

AcessoDiscado

PPP, X.25

TTY, RPCIntranetSISUsuário Interno

Usuário Interno

Figura � Intranet SIS�

deixa dispon �vel para o cliente �����

Para que os usu arios acessem os elementos de rede �ER�� como as centrais telef�onicas� e

mantida uma conexao entre um agente e o elemento de rede� Dessa forma� as requisi�coes

podem ser atendidas sem o atraso imposto pelo procedimento de estabelecimento de

conexao� O SIS tamb em possibilita conexao direta com o ER� sem o interm edio do agente�

de forma que o operador possa enviar comandos que nao sao conhecidos pelo agente�

Os usu arios externos podem acessar o SIS a partir da rede corporativa da Telemig� a

partir do laborat orio do SIS na UFMG ou estando na pr opria Internet� como ilustra a

Figura ��

� A Seguran�ca no SIS

O SIS apresenta alguns mecanismos de seguran�ca que garantem a con�dencialidade e

autentica�cao� H a um esquema de seguran�ca relativamente so�sticado para controle de

acesso �as fun�coes do sistema� No entanto� existem de�ci�encias em alguns dos esquemas

��

IntranetSIS

Rede Corporativa Telemig

InternetLab.SIS

UFMG

Internet

Figura �� Rede da Telemig e o SIS�

utilizados� bem como omissao de mecanismos� notadamente no aspecto de autentica�cao�

Esta se�cao traz um levantamento sobre alguns aspectos de seguran�ca relacionados com

o SIS� A rede do SIS tamb em e considerada por se tratar de uma porta de entrada para

o sistema�

�� Comunica�c�ao Interna

Internamente� a comunica�cao e realizada atrav es de RPC com o mecanismo de autenti�

ca�cao oferecido pelo UNIX� atrav es de identi�ca�cao do usu ario �UID� e grupo �GID� do

cliente� Esse mecanismo e e�ciente at e certo ponto pois nao impede que uma terceira

pessoa implemente um cliente com o protocolo utilizado no SIS e personi�que um usu ario

autorizado a utilizar o sistema�

�� Controle de Acesso

O acesso �a rede do SIS e aos seus aplicativos acontece de diversas formas� via telnet� login

remoto� WWW ou atrav es dos pr oprios aplicativos do SIS� Os elementos de rede� como as

centrais telef�onicas� tamb em sao acessados a partir do SIS� A forma de controlar o acesso

em cada caso e discutido nesta se�cao�

��

Telnet

Atualmente� o acesso remoto �a rede do SIS est a restrito a conjuntos de m aquinas

�dom �nios� con� aveis� Essa pol �tica foi implementada com o uso do programa TCPWRAP�

PER� Al em de possibilitar o controle de acesso por dom �nio ou m aquina� esse programa

registra todas as conexoes que foram iniciadas� facilitando o procedimento de auditoria

no caso de invasoes�

Login Remoto

Existe um programa que substitui os programas rlogin e rsh adicionando seguran�ca

na comunica�cao� Este programa� chamado Secure Shell �ssh�� est a dispon �vel na rede do

SIS� O ssh oferece criptogra�a para comunica�cao segura entre duas m aquinas atrav es de

uma rede nao�con� avel�

WWW

Os usu arios que utilizam servi�cos disponibilizados via Web sao autenticados com o

mecanismo de login e senha� usando o mecanismo de autentica�cao b asica de�nido no

protocolo HTTP ����� Esse mecanismo nao e considerado forte pois possibilita o ataque do

dicion ario� que tira proveito de senhas �f aceis�� Tamb em e poss �vel conseguir informa�coes

sobre login e senha monitorando o tr afego da rede utilizando� por exemplo� o programa

TCPDUMP�

Aplica�c�oes Pr�oprias

O controle de acesso dos usu arios �as aplica�coes do SIS e realizado atrav es de um

esquema de permissoes� A veri�ca�cao e feita na interface de banco de dados �IBD�� que

confere se aquele usu ario pode realizar a opera�cao que est a solicitando�

Para controlar o acesso� e utilizada uma tabela com informa�cao sobre os direitos de

todos os usu arios do sistema� Cada linha da tabela e representada por um n umero que

traduz as permissoes de determinado usu ario com rela�cao �a execu�cao do aplicativo SIS�

Term� execu�cao de comandos� consulta ao programa de con�gura�cao de dados �SISCon�g��

con�gura�cao de equipamentos da planta e con�gura�cao do SIS� A Tabela e um exemplo

�ct �cio que ilustra a forma dessa tabela�

No exemplo da Tabela � o usu ario � pode executar o SISTerm� realizar consultas com

o programa navegador do bando de dados �SISNave� e efetuar opera�coes de con�gura�cao

no SIS via SISCon�g� No entanto� ele nao tem permissao para executar comandos nem

��

Usu�ario SISTerm Comandos Consulta Con�g SISCon�g� X X � � �� X � X � X� X X X � � X X � � �� X � X X X� X � X � X� � � X X �� X X X � �� X � � � �

Tabela � Tabela de Direitos de Acesso�

para efetuar opera�coes de con�gura�cao na planta gerenciada�

Cada usu ario possui �� entradas na tabela de direitos de acesso� cada uma relaciona�

da com uma Unidade Central �UC�� Assim� e poss �vel controlar as permissoes de cada

operador para cada UC�

O conceito de grupos de usu arios foi acrescentado recentemente ao esquema de controle

de acesso do SIS� Estao de�nidos nove grupos de usu arios� A id eia e controlar o acesso

atrav es de uma consulta a uma matriz que relaciona cada grupo com os tipos de comandos

que os seus integrantes podem executar�

Essa e uma id eia interessante pois permite realizar um controle mais preciso do acesso

�as fun�coes do sistema� Atualmente� esse esquema est a em funcionamento em apenas

uma aplica�cao� o SISNave� No entanto� poder a ser utilizado posteriormente por outras

aplica�coes� substituindo o esquema anterior ou de forma combinada�

Elementos de Rede

Os elementos de rede sao acessados por v arios operadores� tanto para consultas como

para efetuar comandos� O controle de acesso dos ERs e feito atrav es de nome e senha�

Cada ER possui um par �nome� senha� utilizado por todos os usu arios que o acessam�

Em geral� a senha desses equipamentos e f acil e nao e alterada frequentemente�

�� Autentica�c�ao

O mecanismo de autentica�cao de usu ario utilizado e o oferecido pelo sistema operacional

UNIX� no qual o usu ario fornece o nome e a senha� A fragilidade desse mecanismo foi

comentada anteriormente�

��

� Con�dencialidade

O servi�co de con�dencialidade nao e oferecido pelo SIS� seja na comunica�cao interna

ou nos servi�cos oferecidos para os clientes externos� Dessa forma� toda a informa�cao e

transmitida atrav es de canais inseguros�

Atualmente� est a em funcionamento no Laborat orio do SIS um servidor seguro� que

transmite dados com criptogra�a e faz autentica�cao atrav es de login e senha� No en�

tanto� este servi�co ainda nao p�ode ser disponibilizado na rede por questoes burocr aticas

envolvendo a emissao do certi�cado�

� Auditoria

���� Rede

Nao existe pol �tica de realiza�cao de auditorias na rede do SIS� Dessa forma� nao e poss �vel

manter controle sobre as poss �veis falhas de seguran�ca na rede�

���� Sistema

No que diz respeito ao sistema� existem v arios tipos de registros� Os principais registros

sao mantidos nas tabelas Hist�orico de Comandos e Hist�orico de Eventos�

A tabela Hist�orico de Comandos no banco de dados cont em v arios campos� como

identi�cador da entidade supervisionada� tipo da a�cao� identi�cador do comando� resul�

tado da opera�cao� data e identi�cador do operador� O objetivo dessa tabela e armazenar

informa�coes sobre a�coes dos operadores nos objetos gerenciados ����� Hist oricos de sessoes

de terminal tamb em sao armazenados na tabela Hist�orico de Comandos� Esse tipo de

registro foi recentemente incorporado ao SIS�

A tabela Hist�orico de Eventos armazena os alarmes ocorridos nos objetos geren�

ciados� Alguns dos campos dessa tabela sao� identi�cador da entidade supervisionada�

identi�cador da noti�ca�cao� data� tipo de evento� severidade e identi�cador do operador�

Registros desse tipo permitem a realiza�cao de procedimentos de auditoria no sistema

por parte de seus clientes�

��

Parte II

Proposi�c�oes

Na primeira parte do trabalho� foram discutidos alguns t opicos da area de seguran�ca�

Al em disso� foi feita uma descri�cao do SIS e da sua rede� juntamente com os aspectos de

seguran�ca envolvidos� A segunda parte tem por objetivo salientar mecanismos que podem

ser utilizados para incrementar a seguran�ca do sistema e da sua rede�

� Comunica�c�ao Interna

�� RPC Seguro

Como mencionado anteriormente� o mecanismo de autentica�cao usado pelas aplica�coes

internas do SIS nao pode ser considerado seguro� Uma forma de fortalecer esse mecanismo

e o uso de RPC Seguro�

O mecanismo de RPC Seguro e baseado na combina�cao de criptogra�a de chave secreta

e criptogra�a de chave p ublica� A implementa�cao da Sun Microsystems utiliza o protocolo

Di e�Hellman para a troca de chaves entre usu arios e o algoritmo sim etrico DES para

cifrar a informa�cao enviada atrav es da rede� O DES tamb em e utilizado para cifrar a

chave secreta do usu ario que e armazenada em um servidor central�

O RPC Seguro resolve v arios problemas encontrados no estilo de autentica�cao UNIX

�AUTH UNIX�� Alguns problemas relacionados com spoo�ng� sao eliminados� j a que tanto

os usu arios quanto as m aquinas devem ser autenticados�

����� Autentica�c�ao do RPC Seguro

A autentica�cao do RPC Seguro e baseada no protocolo Di e�Hellman� Cada usu ario

do RPC Seguro possui uma chave secreta e uma chave p ublica� ambas armazenadas no

servidor de RPC Seguro� A chave p ublica e armazenada sem criptogra�a� J a a chave

secreta e criptografada com a senha do usu ario antes de ser armazenada no servidor�

Um usu ario do RPC Seguro prova a sua identidade sendo capaz de decifrar a chave

secreta armazenada no servidor e participar da troca de chaves� Cada usu ario combina

sua chave com a chave p ublica do outro usu ario envolvido na comunica�cao� Assim� ambos

�Ataque no qual o usu�ario �e enganado por uma falsa realidade criada pelo atacante�

��

conseguem gerar uma chave comum de forma independente� Essa chave e utilizada para

trocar a chave de sessao�

����� Limita�c�oes do RPC Seguro

Em termos de seguran�ca� o mecanismo de RPC Seguro evoluiu de forma signi�cativa

quando comparado ao RPC padrao� No entanto� o RPC Seguro possui limita�coes �����

� Todo cliente da rede deve ser modi�cado para usar o RPC Seguro� Os clientes

devem ser individualmente con�gurados para usar o mecanismo de autentica�cao

AUTH DES�

� RPC Seguro nao oferece os servi�cos de con�dencialidade e integridade dos dados� O

RPC Seguro autentica o usu ario� No entanto� e responsabilidade da aplica�cao cifrar

os dados que serao transmitidos�

� H a uma queda de desempenho do sistema� Felizmente� essa penalidade e pequena�

sendo da ordem de ���

����� Implementa�c�ao

Para ter no�cao da complexidade envolvida na implementa�cao do mecanismo de RPC Segu�

ro� foram realizados alguns testes no Laborat orio de Redes de Alta Velocidade �DCC�UFMG��

A con�gura�cao do ambiente envolve a cria�cao de uma base de dados de chaves dos

usu arios� Isso deve ser feito pelo administrador do sistema� atrav es do comando newkey�

No caso dos testes realizados� as chaves foram criadas com o seguinte comando�

newkey �u nome do usu�ario �s �les

Esse comando cria as chaves para o usu ario especi�cado e armazena a chave p ublica

sem cifra�cao e a chave privada cifrada com a senha do usu ario no arquivo �etc�publickey�

Esse arquivo possui entradas com a seguinte sintaxe�

nome de rede usu�ario chave p�ublica�chave privada criptografada

O usu ario deve logar na m aquina fornecendo a sua senha ou entao executar o comando

keylogin� Esse comando decifra a chave secreta utilizando a senha do usu ario e armazena

��

essa chave no servidor de chaves� o keyserv� Esse processo deve estar rodando para que o

sistema de autentica�cao funcione� Ao sair� o usu ario deve executar o comando keylogout

para remover a sua chave secreta do servidor�

Em anexo� est a listado um programa que ilustra o uso do RPC Seguro� Esse e o

programa de demonstra�cao oferecido pela Sun Microsystems na distribui�cao do c odigo

fonte do RPC� O programa est a dividido em dois m odulos� O whoami proc�c cont em os

procedimentos do servidor e o rme�c implementa o cliente� O servidor tem por objetivo

conferir a identidade dos clientes� Esses programas se comunicam atrav es de RPC e

utilizam o mecanismo de autentica�cao AUTH DES�

Apesar da complexidade envolvida na con�gura�cao do ambiente e na programa�cao

com RPC Seguro� com um certo investimento e vi avel construir programas que incorpo�

rem essa caracter �stica� O tempo de aprendizado e reduzido caso o programador tenha

familiaridade com programa�cao utilizando RPC padrao�

Seguran�ca em WWW

A maioria dos servidores WWW oferecem diversos mecanismos para restringir o acesso �as

p aginas WWW� Por exemplo� pode ser exigido que os usu arios fa�cam parte de um grupo

relacionado em uma Lista de Controle de Acesso �Access Control List � ACL�� O usu ario

tamb em pode ter acesso negado baseado no seu endere�co IP� Outra maneira de controlar

o acesso ao servidor e solicitar o nome do usu ario juntamente com a sua senha ����

Apesar de ser uma medida muito utilizada� proteger p aginas WWW com senhas nao

pode ser considerado muito seguro� Depois que um usu ario entra com o seu nome e a sua

senha� a maioria dos navegadores transmite essa informa�cao como parte de cada requi�

si�cao� Ou seja� essa informa�cao trafega na rede diversas vezes e� portanto� est a vulner avel

�a intercepta�cao� Al em disso� o nome dos usu arios e as senhas nao sao criptografadas�

como era de se esperar� Ao inv es disso� sao enviados no formato uuencode� uma t ecnica

de compressao simples e amplamente conhecida�

O esquema de autentica�cao utilizado pelos servidores mais seguros do SIS e atrav es do

nome do usu ario e sua senha� Uma maneira de tornar o mecanismo de autentica�cao mais

con� avel e atrav es do protocolo SSL� com uso de certi�cados no cliente e no servidor�

Atualmente� o protocolo SSL est a sendo utilizado para prover o servi�co de con�den�

cialidade� Para isso� somente o certi�cado para o servidor e necess ario� Este servi�co est a

dispon �vel somente no laborat orio do SIS em virtude da burocracia envolvida na aqui�

��

si�cao do certi�cado para uma m aquina da rede do SIS� A principal razao do insucesso e a

di�culdade de provar quem e o SIS� visto que o SIS nao e uma empresa com um contrato

social�

Dada a experi�encia ainda sem sucesso na tentativa de adquirir um certi�cado assinado

por uma autoridade certi�cadora �CA� reconhecida� acredita�se que a solu�cao mais ade�

quada e implementar uma CA pr opria� que seria respons avel por emitir os certi�cados

necess arios� Essa solu�cao possibilita maior !exibilidade e elimina as questoes burocr aticas�

Outra vantagem dessa abordagem e a elimina�cao do custo de obten�cao e renova�cao dos

certi�cados�

Existem alguns pacotes dispon �veis na Internet que facilitam a implementa�cao de uma

CA pr opria� Um exemplo e o Cli�ord Heath� Esse pacote cont em p aginas HTML� scripts

e programas cgi que permitem a instala�cao do certi�cado da CA� requisi�cao de certi�cados

de clientes� assinatura de certi�cados e conexao usando certi�cados dos clientes �����

Seguran�ca de Senhas

O acesso aos aplicativos do SIS e direto para quem consegue logar em uma m aquina

da rede SIS� A autentica�cao do usu ario e feita atrav es do mecanismo de login e senha

do sistema operacional UNIX� Esse sistema poe a responsabilidade do acesso na senha

escolhida pelo usu ario� O problema com esse mecanismo e que raramente os usu arios sao

orientados para a escolha de senhas seguras�

Levando em considera�cao que os atacantes de um sistema possuem uma variedade de

programas que tentam quebrar essas senhas� uma senha f acil e uma porta de entrada para

invasores�

Com o objetivo de minimizar esse tipo de problema� e necess ario fazer uma veri�ca�cao

pr o�ativa atrav es de aplicativos que tentam �quebrar� a senha escolhida pelo usu ario�

Exemplos de ferramentas desse tipo sao o npasswd e passwd"� que fazem a veri�ca�cao

no momento da escolha da senha� e o Crack� que faz uma an alise mais detalhada�

O Crack e um programa que tem por objetivo testar as senhas escolhidas pelos

usu arios� Suas maiores qualidades sao a !exibilidade para estabelecimento de regras�

o uso de dicion arios diversos� a rapidez no processamento� a possibilidade de distribuir o

processamento para diversas m aquinas e o n �vel de automa�cao das tarefas �����

O problema de seguran�ca de senhas e comum e dif �cil de resolver completamente�

No entanto� existem medidas simples e e�cientes para atenu a�lo� como o uso regular de

�

ferramentas autom aticas de detec�cao� como as citadas nesta se�cao� e a�coes no sentido de

conscientizar o usu ario� As medidas de conscientiza�cao podem ser realizadas de diversas

maneiras� seja atrav es de palestras� uso de banners no procedimento de login ou artigos

em peri odicos ou informativos internos�

� Auditoria

Como mencionado anteriormente� ter acesso �a rede do SIS signi�ca ter acesso a fun�coes

importantes do sistema� Por isso� estabelecer um ambiente seguro e fundamental� Al em

disso� e preciso monitorar a rede para manter controle sobre as vulnerabilidades e� dessa

forma� tomar medidas no sentido de elimin a�las� Para isso� e necess ario ter uma pol �tica de

auditoria bem de�nida para a rede� indicando a frequ�encia e os m etodos a serem utilizados

nesse processo� Os pacotes ilustrados na se�cao ��� sao ferramentas uteis para o aux �lio

nessa tarefa�

� Conclus�ao

Existe a preocupa�cao com aspectos de seguran�ca no SIS� notadamente no que diz respeito

a controle de acesso� Nesse sentido� encontra�se implementado no sistema um esquema

so�sticado baseado em matrizes que controlam as permissoes de cada usu ario� Por ou�

tro lado� questoes como autentica�cao e seguran�ca da rede ainda nao foram devidamente

resolvidas�

Algumas recomenda�coes feitas neste trabalho sao de car ater mais imediato� como as

que envolvem a questao da seguran�ca das senhas e da auditoria no sistema� Ou seja� e

poss �vel atacar esses problemas com medidas simples� praticamente sem impacto algum

em termos de desempenho ou complexidade de opera�cao por parte do usu ario�

J a a questao do uso de RPC Seguro tem um impacto maior� principalmente no setor de

desenvolvimento do sistema� No entanto� para o usu ario �nal� nao h a grandes mudan�cas�

Uma vez que o ambiente esteja con�gurado� esse servi�co �ca transparente para o usu ario�

A implementa�cao dos servi�cos de autentica�cao de usu arios e con�dencialidade dos

documentos dispon �veis via WWW envolve uma certa complexidade� Ap os a disponibi�

liza�cao desses servi�cos� tamb em e preciso gerenciar os certi�cados� de forma a controlar�

por exemplo� o prazo de validade dos mesmos� Apesar da complexidade dos aspectos

��

envolvidos� esses servi�cos encontram�se implementados de v arias formas e em diversas

empresas e institui�coes� Isso demonstra a sua viabilidade�

Em geral� seguran�ca em sistemas distribu �dos e em redes de computadores nao e

prioridade� Isso se deve� principalmente� �a complexidade do assunto� Apesar disso� j a

existem solu�coes vi aveis� haja visto a variedade de mecanismos e ferramentas dispon �veis

com o objetivo de facilitar a incorpora�cao de caracter �sticas de seguran�ca aos sistemas�

Portanto� e preciso que administradores de redes e programadores tornem�se cada vez

mais abertos para aceitar esses conceitos e que as empresas repensem seus investimentos

em seguran�ca�

Ap endice

Este ap�endice traz a listagem dos programas whoami proc�c �servidor� e rme�c �cliente��

O objetivo do servidor e conferir a identidade dos clientes� Esses programas v�em com a

distribui�cao do c odigo fonte do RPC da Sun Microsystems e ilustram o funcionamento do

RPC Seguro�

��

rme�c�secureidentityveri erandreporter�clientside

Getnetworkidenti erforservermachine�

�include�rpcrpc�h�

servername�whoamiwhoru��nullp�cl��

�include�stdio�h�

if�servername��NULL�f

�include�whoami�h�

fprintf�stderr��Troublecommunicatingwith�s��

clntsperror�cl�server���

Beforerunningthisprogram�theusermusthaveakeyinthepublickey

exit����

database�andmusthaveloggedinwithapassword�orusedkeylogin��

g

Theuser�smachineandtheserver�smachinemustbothberunningkeyserv�

elseif�servername�������f

fprintf�stderr��CouldnotdeterminenetnameofWHOAMIserver����

main�argc�argv�

exit����

intargc�

g

charargv���

fCLIENTcl�

printf��Server�snetnameis��s��servername��

charserver�

remoteidentityremoteme�

Awidewindowandnosynchronizationisused�Clientandserver

nameservername�

clockmustbewith veminutesofeachother�

voidnullp�

cl��clauth�authdescreate�servername�����NULL�NULL��

if�argc����f

fprintf�stderr��usage��shost��argv�����

FindoutwhoIam�intheserver�spointofview�

exit����

remoteme�whoamiiask��nullp�cl��

g

if�remoteme��NULL�f

fprintf�stderr��Troublegettingmyidentityfrom�s��

Rememberwhatourcommandlineargumentrefersto

clntsperror�cl�server���

server�argv����

exit����

g

Createclient�handle�usedforcallingWHOAMIonthe

serverdesignatedonthecommandline�Wetelltherpcpackage

tousethe�udp�protocolwhencontactingtheserver�

Printoutmyidentity�

printf��Myremoteusername��s��remoteme��remoteusername��

cl�clntcreate�server�WHOAMI�WHOAMIV���udp���

printf��Myremoterealname��s��remoteme��remoterealname��

if�cl��NULL�f

exit����

Couldn�testablishconnectionwithserver�

g

Printerrormessageanddie�

clntpcreateerror�server��

exit����

g

��

whoamiproc�c�secureidentityveri erandreporter�

caseAUTHUNIX�

serverproc

caseAUTHNULL�

�include�rpcrpc�h�

default�

�include�rpckeyprot�h�

svcerrweakauth�rqstp��rqxprt��

�include�pwd�h�

return�NULL��

�include�whoami�h�

gg

externcharstrcpy���

Reportontheserver�snotionoftheclient�sidentity�

remoteidentitywhoamiiask��nullarg�rqstp�

Returnserver�snetname�AUTHNONEisvalid�

voidnullarg�

Thisroutineallowsthisservertobestartedunderanyuid�

structsvcreqrqstp�

andtheclientcanaskusournetnameforuseinauthdescreate���

fstaticremoteidentitywhoisthem�

namewhoamiwhoru��nullarg�rqstp�

staticcharusername�MAXNETNAMELEN����

voidnullarg�

staticcharrealname�MAXNETNAMELEN����

structsvcreqrqstp�

charpublickey�HEXKEYBYTES����

fstaticnamewhoru�

staticcharservername�MAXNETNAMELEN��

structauthdescreddescred�

structpasswdpwdent�

whoru�servername�

switch�rqstp��rqcred�oa�avor�f

if��user�netname�servername�getuid���NULL��

caseAUTHDES�

servername������

whoisthem�remoteusername�username�

return��whoru��

whoisthem�remoterealname�realname�

g

descred��structauthdescred�rqstp��rqclntcred�

Checktoseeifthenetnamebeingusedisinthepublickey

database�ifnot�rejectthis�potential�imposter��

if��getpublickey�descred��adcfullname�name�publickey��

f

svcerrweakauth�rqstp��rqxprt��return�NULL��g

Gettheinfothattheclientwants�

if��netname�user�descred��adcfullname�name�

�whoisthem�uid��whoisthem�gid��whoisthem�gids�gidslen�

whoisthem�gids�gidsval��fnetnamenotfound

whoisthem�authenticated�FALSE�

strcpy�whoisthem�remoterealname��INTERLOPER����

whoisthem�uid����whoisthem�gid����

whoisthem�gids�gidslen���

return��whoisthem��

gelsewefoundthenetname

whoisthem�authenticated�TRUE�

pwdent�getpwuid�whoisthem�uid��

strcpy�whoisthem�remoteusername�pwdent��pwname��

strcpy�whoisthem�remoterealname�pwdent��pwgecos��

return��whoisthem��

break�

��

Refer encias

��� Sun Microsystems� A key issue for the global corporation� Dispon �vel emhttp���www�sun�com�solaris�wp�security�

��� A� Bastos� Oportunidade versus riscos� Dispon �vel em http���www�modulo�com�br�

��� W� Stallings� Network and Internetwork Security � Principles and Practice� PrenticeHall� �rst edition� �����

�� L�F�G� Soares # G� Lemos # S� Colcher� Redes de Computadores � Das LANs� MANse WANs as Redes ATM� Editora Campus� �����

��� B� Schneier� Applied Cryptography � Protocols� Algoritmhs� and Source Code in C�Wiley� second edition� �����

��� Inc� RSA Data Security� Dispon �vel em http���www�rsa�com�

��� Valicert� All about digital certi�cates� Dispon �vel emhttp���www�valicert�com�resources�library� �����

��� Debra Cameron� Intranet Security� Computer Technology Research Corp�� �rstedition� �����

��� ITU�T Recommendation X����� The directory� Authentication framework� �����

���� T� Elgamal # J� Treuhaft # F� Chen� Securing communications on the intranet andover the internet� Netscape Communications Corporation� July �����

���� F�J� Hirsch� Introducing SSL and certi�cates using SSLeay� World Wide Web Jour�nal� �����

���� G� Ara ujo� Transa�coes seguras via Web� RNP News Generation� ����� �����

���� A� Freier et al� The SSL protocol � version ���� November �����

��� A�S� Tanenbaum� Sistemas Operacionais Modernos� Prentice�Hall� �����

���� S� Gar�nkel # G� Spa$ord� Practical Unix and Internet Security� O%Reilly andAssociates� Inc�� second edition� �����

���� L�M� Bertholdo # L�M�R� Tarouco� Uma an alise do software de seguran�ca SATAN �security administrator tool for analyzing networks� In Anais do II WAIS� �����

���� R�G�R� da Silva� Contribui�coes para a integra�cao de sistemas de supervisao de redesde computadores e de telecomunica�coes �a plataforma SIS� Master%s thesis� Universi�dade Federal de Minas Gerais� Mar�co �����

��

���� J�M�S� Nogueira # D�M� Meira� The SIS project� A distributed platform for theintegration of telecommunication management systems� In Proceedings of IEEE�IFIPNetwork Operations and Management Symposium� �����

���� J�M�S� Nogueira # G�C� Penido� Especi�ca�cao da interface de acesso aos servi�cosexternos do sis� Relat orio T ecnico SIS RT ����

���� J� Franks et al� RFC ����� An extension to HTTP� Digest access authentication�January �����

���� R�A� de Barros # V�P� Marques # J�M�S� Nogueira� Especi�ca�cao de relat orios dehist orico de comandos e de eventos� Relat orio T ecnico SIS RT ����

���� C� Heath� Crypto software� Dispon �vel emhttp���www�osa�com�au� cjh�software�crypto�

���� C�A� Campana� Ferramentas de seguran�ca� RNP News Generation� ����� �����

��