| |
| Acadêmico(a): David Krzizanowski |
| Título: Sistema de Controle de Acesso de Notebooks, Desktops e Ativos de Rede em uma LAN |
| |
| Introdução: |
| Em um ambiente de informática corporativo que possui interligação com a rede mundial de computadores (internet), é comum a existência de um sistema de segurança chamado firewall. De acordo com Torres (2001, p. 415), “Um firewall é, na realidade, um poderoso roteador interligando duas redes [...]. De um lado tem a rede pública, ou insegura e, do outro, a rede privada ou segura”. Utilizando uma analogia simplista, o sistema de firewall faz o papel de um vigia que se encontra no portão da empresa, deixando entrar ou sair somente pessoas autorizadas. Nesta forma de utilização de firewall, o sistema de segurança protege principalmente a rede Local Area Network (LAN) de ameaças advindas da internet. No caso de uma possível ameaça se encontrar dentro da rede LAN, o sistema de firewall tradicional será ineficaz, pois ele estará protegendo somente a entrada e a saída para internet. Os computadores dos usuários não estarão protegidos de um possível ataque originado de um computador que se encontre fisicamente dentro de uma empresa. Isto permite que um equipamento não autorizado explore vulnerabilidades na rede LAN e na rede Wide Area Network (WAN) (RUBIN; CHESWICK; BELLOVIN, 2005). Estes equipamentos não autorizados são na sua maioria computadores portáteis que podem ser conectados à rede LAN por funcionários, clientes, fornecedores ou visitantes. Existem duas formas destes equipamentos conseguirem acesso à rede: configurando o endereço do Internet Protocol (IP) de forma dinâmica fornecido pelo Dynamic Host Configuration Protocol (DHCP), ou utilizando um endereço IP estático (TORRES, 2001). Algumas empresas utilizam a prática de configurar o DHCP para distribuir endereços somente para uma lista de endereços físicos da placa de rede (MAC-address) previamente aprovada. Esta solução não resolve o problema se o equipamento não autorizado estiver configurado com um endereço IP estático (LOPES; SAUVÉ; NICOLLETTI, 2003). Outra forma de bloquear a comunicação de equipamentos não autorizados é a utilização de chaves de autenticação privada, onde os computadores conseguem se comunicar apenas com os demais equipamentos que possuem a mesma chave (RUBIN;CHESWICK, 2001). Nesta solução, pode haver dificuldade, de integração e gerenciamento em uma empresa que possui ambiente operacional heterogêneo, utilizando sistemas operacionais diferentes como MS-Windows, HP-UX, AIX e Linux. Existem dispositivos de rede utilizados para interligar os computadores em uma rede LAN, chamados Switchs, que são capazes de bloquear a comunicação de equipamentos que não possuem seu MAC-address liberado pelos administradores da rede. Este tipo de Switch seria a solução mais apropriada para eliminar o problema, porém seu alto custo de aquisição inviabiliza sua implementação na maioria das empresas. Este trabalho irá demonstrar o processo de criação de uma solução de controle de acesso a uma rede LAN para a empresa Quick Soft Sistema de Informações Ltda. A solução consiste na utilização do firewall dos sistemas operacionais Windows XP SP2 e Windows 2003 Server SP1 localizados na rede LAN. Todos os firewalls internos da rede LAN serão gerenciados pelo sistema, que terá uma base de dados contendo uma lista de MAC-addresses conhecidos. Desta forma, será permitida a comunicação apenas entre os equipamentos que possuem seu endereço físico cadastrado e autorizado. |
| |
|
