VULNERABILIDADES E O USO DO LTSP (LINUX TERMINAL SERVER PROJECT)

CLEISSON CHRISTIAN LIMA DA COSTA RAMOS

Instituto Paraibano de Ps-Graduao Rua: Jos Liberato, 437 Miramar, Joo Pessoa Paraba Brasil e-mail: cleissonr@gmail.com

RESUMO

Atualmente a informao um ativo que, como qualquer outro ativo importante, tem um valor para a organizao e, consequentemente, necessita ser adequadamente protegido. Hoje em dia, as informaes contidas em sistemas informatizados so consideradas recursos crticos para concretizao de negcios e tomada de decises. No ambiente atual de interligao em redes, os problemas de segurana se multiplicam de forma alarmante. Foram realizados estudos sobre segurana de informao e a implementao de um sistema de proteo dos dados em um ambiente fortemente acoplado baseado no uso do LTSP (Linux Terminal Server Project).

ABSTRACT

Currently the information is an asset that, like any other important asset is worth to the organization and therefore needs to be adequately protected. Today, the information contained in computerized systems are considered critical resources for implementation and business decision-making. In today's environment of interconnection networks, security problems are increasing in an alarming way. Studies were conducted on information security and implementation of a system of data protection in an environment strongly coupled based on the use of LTSP (Linux Terminal Server Project).

Palavras - chave: Segurana, Informao, LTSP.

1. INTRODUO

Os ativos da informao de uma empresa tm um valor fundamental para uma organizao, conseqentemente necessita ser adequadamente protegida. Na sociedade da informao, ao mesmo tempo em que as informaes so consideradas os principais patrimnios de uma organizao, esto tambm sob constante risco. Conforme Ferreira (2003). A rea de segurana da informao tem como responsabilidade proteger as informaes de diversos tipos de ameaas garantindo a continuidade dos negcios, minimizando os danos e maximizando o retorno dos investimentos. Outro aspecto a ser considerado a segurana fsica e ambiental, de forma a garantir que o ambiente de processamento de dados possua acesso restrito protegido contra desastres naturais, falhas estruturais, sabotagens e fraudes. O maior perigo para uma empresa, em relao proteo de seus dados a falsa sensao de segurana. Na maior parte das vezes, j se verifica que os problemas relacionados interferncia humana no esto diretamente ligados a aes fraudulentas ou demais situaes em que o funcionrio tem o objetivo de prejudicar sua empresa. Ao contrrio do que imagina, a grande maioria dos incidentes de segurana ocorre por falta de informao, falta de processos e orientao ao recurso humano. Outro fator determinante nessa equao est vinculado evoluo rpida e contnua das tecnologias. A dependncia dos sistemas de informao e servios significa que as organizaes esto mais vulnerveis s ameaas de segurana. A conexo de redes pblicas e privadas e o compartilhamento de recursos aumentam a dificuldade de se controlar o acesso. A tendncia da computao distribuda dificulta a implementao de um controle de acesso centralizado realmente eficiente.

2.

JUSTIFICATIVA

A informao um ativo que, como qualquer outro ativo importante, tem um valor para a organizao e, consequentemente, necessita ser adequadamente protegido. A segurana da informao protege a informao de diversos tipos de ameaas garantindo a continuidade dos negcios, minimizando os danos e maximinizando o retorno dos investimentos. A Tabela 1 mostra a quantidade de escaneamento de rede para ver se h portas abertas ou outra vulnerabilidade.

Tabela 1 - Escaneamento de rede para anlise de portas abertas ou outra vulnerabilidade

Tipos de Vulnerabilidades Vermes (Programa auto-replicante, semelhante a um vrus) Scan (Programas que buscam portas TCP abertas, por onde pode ser feita uma invaso) Fraudes (Roubo de senhas e transferncia ilegal de dinheiro) Invaso de sistemas Ataque a servidor web Ataque Dos (Denial of Service)

Quantidades 109676 45191 41776 523 449 227

Fonte: CERT.BR (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana no Brasil)

No ambiente atual de redes de computadores, os problemas de segurana se multiplicam de forma alarmante. Atualmente possvel usurios com um microcomputador ou laptop se transformar num "administrador de sistema", precisando gerenciar localmente uma srie de procedimentos de segurana, como ferramentas antivrus, opes de segurana do navegador de Internet etc. Isso significa que basta um nico usurio no estar vigilante para que toda a rede esteja vulnervel a um problema (por exemplo, a contaminao por vrus). No caso de uma rede conectada Internet, a mera segurana fsica dos equipamentos conectados j no garante a total proteo. Uma forma de minimizar essas vulnerabilidades relacionadas segurana da informao atravs dos sistemas fortemente acoplados que os dados ficam sendo gerenciados por apenas um sistema operacional e de forma centralizada em um servidor.

3.

TIPOS DE INVASO DE SISTEMAS

A entrada em um site, servidor, computador, aplicao ou servio por algum no autorizado denominado de invaso. Uma tentativa de invaso quando o invasor faz testes para avaliar a segurana da rede e tentar obter os pontos vulnerveis da mesma. Uma invaso s existir se houver um invasor, comumente chamados de hacker ou cracker. Os mesmos usam os conhecimentos adquiridos em dedicao que ir testar os limites de um sistema, ou para fins acadmicos, curiosidade, prazer ou reconhecimento. A cada dia surgem muitas ferramentas que possam facilitar uma invaso, fazendo assim que os gestores de segurana possam estar sempre procurando uma atualizao contnua para acompanhar as novas tcnicas e ferramentas de invaso, para uma melhor proteo dos ativos da informao.

3.1 Engenharia Social

Esta forma para obteno de informaes uma das mais perigosas e eficientes utilizada pelos invasores. Um bom exemplo de ataque de engenharia social o de ligar para um setor de informtica de uma corporao, dizendo-se ser um novo funcionrio de um determinado setor e falar que precisa de um cdigo de usurio e senha para acesso ao sistema. Atravs de um telefonema como este, o invasor consegue o cdigo do usurio e a senha necessrios para o incio do ataque. Conforme Ferreira (2003), a melhor defesa contra este ataque o treinamento e conscientizao em segurana da informao dos funcionrios e usurios de redes e computadores.

3.2 Varreduras de Portas (Port Scanners)

Segundo Ferreira (2003), os scanners so programas que buscam portas TCP abertas, por onde pode ser feita uma invaso. Para que a varredura no seja percebida pela vtima, alguns scanners testam as portas de um computador durante muitos dias, em horrios aleatrios.

3.3 Scanning de Vulnerabilidades

Esses softwares executam uma srie de testes na rede de computadores a ser atacada, procurando por falhas de segurana em servios, protocolos, aplicativos e sistemas operacionais. Na viso de Carvalho (2005) de Os tipos mais comuns de vulnerabilidades encontradas pelos scanners de vulnerabilidades so em compartilhamento de arquivos (sem o uso de senhas), configuraes incorretas dos sistemas e softwares desatualizados.

3.4 Scanners de SO

De acordo com JNIOR (2008), no existem muitos scanner dessa categoria, mas os que existem suprem as necessidades dos invasores. Esses scanners verificam as respostas que os servidores do s conexes e identificam o Sistema Operacional no qual esto rodando.

3.5 Negao de Servio (DOS) Ataques como esses so capazes de tirar recursos ou um site do ar, no disponibilizando seus servios. baseado na sobrecarga de capacidade ou em uma falha no esperada. Este tipo de ataque no causa perda ou roubo de informaes, mas um ataque preocupante, pois os servios do sistema atacado ficaro indisponveis por um tempo indeterminado, dependendo da equipe existente na empresa para disponibiliz-los novamente dependendo do negcio da empresa, este tempo de indisponibilidade pode trazer prejuzos a empresa.

Figura 1: Exemplo de ataque Distributed Denial of Service Fonte: http://nsl.cs.columbia.edu/projects/sos/

Segundo CARVALHO (2005), alm dos ataques Dos, tambm existem os ataques de DDos (Distributed Denial of Service), conforme ilustrao da Figura 1, que so os ataques coordenados, onde diversos hosts so controlados e configurados por um atacante de forma a efetuarem ataques simultneos contra um determinado alvo.

4. TECNOLOGIA LTSP
Uma forma de usar sistema fortemente acoplado atravs do LTSP (Linux Terminal Server Project) que proporciona estaes de baixo custo como terminais grficos ou caracteres em um servidor GNU/Linux. Durante a fase de boot que feita atravs de uma placa de rede, em que a estao sem disco obter suas informaes IP e o kernel do servidor, e ento monta o sistema de arquivos raz via NFS. Pode-se ter vrias estaes de trabalho conectadas a um nico servidor GNU/Linux. Alm da reduo de custo de desktops, a limitao dos usurios que o LTSP pode favorecer a empresa. A Figura 2 exemplifica um funcionamento de um LTSP.

Figura 2: Estaes de trabalho utilizando LTSP Fonte: http://www.ticomseguranca.blogspot.com/

4.1

Utilizando a Tecnologia LTSP

Utilizando o LTSP, pode-se ter PC's com pouca disponibilidade de hardware, podendo at remover seu disco rgido, disquete, USB, CDROM, e adicionar uma placa de rede com suporte a boot por rede. (ltsp.org). 4.4.1 Vantagens da Utilizao do LTSP Para a utilizao do LTSP, abaixo sero explicitadas algumas vantagens que pode favorecer a uma organizao para a escolha deste sistema:

1. Baixo custo de implantao tendo em vista que os terminais no precisam de Discos rgidos, dispositivos de mdia como USB, CD-ROM, Disquetes, podendo ser utilizado mquinas de baixo poder computacional ou at reutilizar mquinas antigas; 2. No h necessidade de pagamento licenas de software na estrutura do LTSP; 3. Upgrade, necessria apenas ao servidor; 4. Compartilhamento instantneo dos de recursos de rede. 5. O armazenamento de dados feito todo no servidor, ficando mais fcil estabelecer uma poltica de backup.

6. Menor complexidade na administrao das estaes (os softwares esto instalados somente nos
servidores facilitando administrao) e gerenciamento dos aplicativos;

4.4.2 Desvantagens da Utilizao do LTSP Segue abaixo algumas desvantagens para o uso desse sistema: 1. Em caso de indisponibilidade do servidor, todos os terminais ficam totalmente fora de operao, sendo necessrio pensar em uma soluo de contingncia. 2. A performance dos terminais depende da qualidade da rede e do servidor; 3. Requer cuidado no dimensionamento dos servidores, recomendado para usurios que no possuam grande necessidade de processamento, como aplicativos de editorao grfica. Uma vez o servidor fora de uso, automaticamente as estaes de trabalho param de funcionar. Todas as atualizaes dos softwares so centralizadas no servidor. Outra desvantagem do uso do LTSP a configurao de teclados com layouts diferentes, podendo ser solucionado o problema de configurao contatando o responsvel pela rede para fazer as modificaes necessrias para a troca do layout do teclado.

5. CONFIGURAO DO LTSP

Nas estaes de trabalho, habilita-se atravs do setup a OnBoard Lan e a Lan Boot ROM, para poderem darem boot atravs da rede pelo padro PXE 2.33. Pode-se retirar das estaes, dispositivos de mdia como CD-ROM, disquetes, USB, fazendo com que aja uma maior segurana dos dados contidos na rede, para que o usurio desejando manipular alguma informao teria que pedir autorizao ao responsvel pela rede, que ir disponibilizar o acesso informao solicitada atravs do servidor. Para a comunicao com as estaes de trabalhos devem ser relacionados os seguintes atributos no servidor: a) b) c) d) e) f) endereo IP; nome de host; endereo IP do servidor; gateway padro; caminho do kernel a ser carregado; caminho para o diretrio que ser montado como sistema de arquivos raiz.

Esse dados foram adicionados no arquivo dhcpd.conf. As estaes podem ser identificadas pelo nome de host, pelo endereo IP ou pelo endereo MAC atravs de um arquivo denominado lts.conf. Pode-se ainda utilizar um sistema de segurana baseado em um firewall iptables para o Linux, que alm de realizar suas tarefas de forma veloz, segura, eficaz e econmica, tambm no aspecto financeiro quanto no de requerimento de hardware As regras do iptables so implantadas no Servidor fazendo com que apenas mquinas da rede possam ter acesso ao servidor e restringindo o acesso fora da rede. Atravs de um Proxy, pode ser criado listas para o controle de acesso a sites de contedo explcito e o controle a sites liberados atravs do squid que um dos proxies para Linux mais utilizados na Internet. Normalmente um Proxy trabalha em conjunto com um firewall, completando assim a segurana do site em diversos aspectos importantes no que diz respeito aos acessos e s tentativas de invaso. Torna-se

interessante este dueto de mecanismos de segurana, pois cria uma dificuldade maior para o invasor. Com a criao das ACLs (Listas de Acesso) pode ser feito tambm o redirecionamento da porta 80 para a porta 3128 do squid atravs da regra do iptables. O uso do LTSP adequado para laboratrios de ensino, telecentros e para terminais de consulta em determinadas lojas. No caso dos telecentros, um ponto favorvel so as doaes que podem ser realizadas por vrios segmentos da sociedade e a partir da fazer um trabalho de reutilizao de computadores com pouca memria e processamento para serem disponibilizados novamente nas salas de aula.

6. CONSIDERAES FINAIS

Com o estudo, foi detectado que no sistema fortemente acoplado, houve uma reduo considervel das vulnerabilidades, visto a simplificao ocasionada pela ausncia de administrao nos terminais, reduzindo uma grande parte do nmero de ameaas, como por exemplo: atualizao de softwares, j que todas as atualizaes dos mesmos so apenas no servidor. Apesar da grande reduo de vulnerabilidades, em contrapartida a essa reduo, h tambm uma grande desvantagem no uso de um modelo fortemente acoplado, que foi a dependncia dos terminais que ficam sujeitos a uma parada repentina caso o servidor venha a ficar inoperante. Em certas aplicaes no h tanta requisio de processamento, mas em outras aplicaes que utilizam recursos grficos, exige um pouco mais de memria e processamento, no sendo essa soluo a mais vivel. Por fim, concluiu-se que a utilizao deste sistema fortemente acoplado, torna-se mais gil o gerenciamento do servidor, como tambm dos seus terminais, fazendo com que os sistemas de segurana adotados, possam minimizar ainda mais as vulnerabilidades na rede.

7. REFERNCIAS

CARVALHO, Luciano Gonalves. Segurana de Redes. Rio de Janeiro, ed. Cincia Moderna Ltda, 2005. EXAME, Info. Coleo 2007 Segurana. ed. Abril, 2007. FERREIRA, Fernando Nicolau Freitas. Segurana da informao. Rio de Janeiro, ed. Cincia Moderna Ltda., 2003. HACKER, Universo. Conhea os segredos do submundo hacker. So Paulo, ed. Digerati Books, 2004. JNIOR, Jairo Moreno de barros. Mestres da espionagem digital. So Paulo, ed Digerati Books, 2008. LTSP(2008), Documentao LTSP . Disponvel em: <http://www.ltsp.org> , acesso em 07 de Agosto de 2008. MARCELO, Antonio. Configurando o Proxy para Linux. Rio de Janeiro: Brasport, 2006. NETO, Urubatan. Dominando Linux Firewall IPTables. Rio de Janeiro, ed. Cincia Moderna Ltda, 2004. PUDY, Gregor N. Linux iptables, Guia de bolso. Rio de Janeiro, ed. Alta Books, 2005. TANENBAUM, Andrew S. Sistemas Operacionais modernos. So Paulo, ed. Pearson Prentice-Hall, 2003.