INSTITUTO AVM PROGRAMA DE PS-GRADUAO EM SEGURANA DE REDES DE COMPUTADORES

FRANCISCO RICARDO ANDRASCHKO

REDES P2P PRIVADAS: COLABORATIVISMO CORPORATIVO E SEGURANA DE REDES

Rondonpolis/MT 2011

FRANCISCO RICARDO ANDRASCHKO

REDES P2P PRIVADAS: COLABORATIVISMO CORPORATIVO E SEGURANA DE REDES

Projeto de pesquisa apresentado na disciplina de Metodologia da Pesquisa e da Produo Cientfica do Programa de Ps-graduao em Segurana de Redes de Computadores do Instituto AVM, sob a orientao da Professora Sandra Regina Corra Brant Pereira de Jesus.

Rondonpolis/MT 2011

SUMRIO

INTRODUO ...................................................................................... 4 1.1 TEMA ............................................................................................ 4 1.2 PROBLEMA .................................................................................. 4 1.3 OBJETIVOS .................................................................................. 5 1.3.1 GERAL.............................................................................5 1.3.2 ESPECFICO ...................................................................5 1.4 JUSTIFICATIVA ............................................................................ 5

REVISO DA LITERATURA ................................................................. 6 2.1 REDES P2P .................................................................................. 6 2.2 SEGURANA EM REDES P2P .................................................... 7 2.2.1 PRINCIPAIS AMEAAS DA REDE P2P .........................8

METODOLOGIA .................................................................................... 8 3.1 PROTOCOLOS DA REDE P2P .................................................... 9 3.1.1 PROTOCOLO SECURE SOCKETS LAYER (SSL) .........9 3.1.2 TECNOLOGIA IPSEC......................................................9 3.1.3 INFRAESTRUTURA DE CHAVE PBLICA (PKI) ...........9 3.2 SEGURANA DO USURIO NA REDE P2P ............................... 9

REFERNCIAS BIBLIOGRFICAS .................................................... 10

1 1.1

INTRODUO TEMA Ambientes corporativos atuais demandam cada vez mais de um

colaborativismo, sejam de recursos palpveis ou no, entre suas unidades de negcio, sejam elas fisicamente prximas ou no e em um curto espao de tempo. Com isso redes de computadores P2P interligadas por meio da internet popularizam-se e agregam oportunidades, servios, recursos e tambm riscos a segurana da informao.

1.2

PROBLEMA Com o aumento do nmero de dispositivos, mveis ou no, conectados em

rede e a internet cada vez mais presente e popular em todo o mundo, hoje em dia pode-se dizer que praticamente no se vive sem estar conectado (IG Tecnologia, 2011), (AD News, 2010). O mundo dos negcios, seja uma grande corporao ou um empresrio individual, tambm se insere nesse crescimento mundial da tecnologia. Troca de arquivos, e-mails, comunicados internos, reunies, seleo de candidatos, enfim, inmeras atividades dirias so executadas pela conectividade internet. Ambientes corporativos, definidos por Matriz e Filiais, tem cada vez mais sentido a necessidade da troca rpida de informaes e recursos, tanto entre a Matriz e as Filiais, quanto entre Filiais apenas. Visando essa necessidade e/ou como uso residencial que o uso de sistemas distribudos tornou-se algo obrigatrio para quem usa a internet. Redes Peer-to-Peer (P2P) tem demonstrado nos ltimos anos, devido sua alta escalabilidade e tolerncia a falhas e seu amadurecimento em relao aos nveis de segurana das informaes trafegadas, uma atrativa soluo para o colaborativismo a nveis de usurio domstico. Essa restrio por parte dos ambientes corporativos se deve ao fato do aumento de ataques internos (Jornal O Estado do Paran, 2011), ou seja, de atitudes maliciosas (computacionalmente) s informaes, ferramentas, recursos, regras e polticas, de TI e do negcio da empresa. Analisadas estas situaes, surgem os questionamentos principais:

- Como amadurecer o colaborativismo corporativo com o uso de redes P2P? - Como aumentar o nvel de segurana em redes P2P, reduzindo a incidncia de ataques internos? - Quais os itens (recursos, informaes, servios,...) podemos compartilhar com segurana nas redes P2P Privadas? - Existe mesmo a lucratividade, seja reduo de custo, tempo ou outra varivel, com este tipo de rede? - Como implantaremos tal colaborativismo sem que haja impactos negativos ao negcio e as atribuies dirias das equipes?

1.3

OBJETIVOS

1.3.1 GERAL Analisar e mensurar polticas e medidas de segurana da informao que possibilitem a disseminao de redes P2P como ferramentas colaborativas em ambientes corporativos, bem como gerir modelo de implantao. 1.3.2 ESPECFICO dirias; 1.4 Gerir modelo de implantao de colaborativismo P2P; Investigar as principais falhas de segurana da informao em

ambiente de rede corporativo; Analisar as mtricas e polticas de segurana da informao em redes

de computadores corporativos; Analisar as mtricas e polticas de segurana da informao em redes

de computadores P2P e sistemas distribudos; Analisar e criar um escopo de colaborativismo de recursos para

ambiente corporativo; Mensurar viabilidade entre escopo, politicas de segurana e atividades

JUSTIFICATIVA A Tecnologia da Informao na ltima dcada passou de um status de

Extremo Consumidor de Recursos Financeiros para uma importante ferramenta s

regras de negcio, incorporando ento visibilidade no cenrio corporativo, sendo agora uma pea chave para as empresas. reas como Suporte, Infraestrutura e Desenvolvimento esto tendendo a amadurecer suas polticas internas, suas metas e estratgias, assim se incorporando ao negcio. Colaborativismo em TI vem ento para agregar tal cenrio, onde as informaes esto cada vez mais desconcentrando de uma pessoa chave e passando a concentrar em uma equipe chave. Seguindo esse compartilhamento de informaes que a computao peer-topeer vem. Seu significado o compartilhamento de informaes, tarefas e recursos de uma maneira descentralizada, ou seja, sem um controlador central, sem intermediadores ou regras (UOL, 2000). Outra caracterstica marcante em P2P a necessidade de ferramentas com grande interao entre usurio e programa. Os programas necessitam ser pequenos, em tamanho e quantidade de recursos de maquina utilizados, o que torna um ambiente competitivo para o mercado de trabalho e para o ambiente corporativo de TI. Existem hoje no mercado de TI aplicaes focadas em P2P, porm com grandes deficincias, onde a principal delas a SEGURANA. Esse fator reduz ento a gama de aplicabilidade do P2P, onde empresas que atuam em leiles virtuais, licitaes e compartilham informaes entre filiais e/ou outras empresas, no sentem a segurana e o amadurecimento deste item de TI no segmento P2P.

2 2.1

REVISO DA LITERATURA REDES P2P A maioria dos sistemas em uso em plataformas WEB so sistemas

distribudos e interagem em uma arquitetura convencional de cliente-servidor, onde cada cliente utiliza um protocolo especfico operao requerida. Essa abordagem concentra as operaes no servidor, requerendo assim um equipamento de hardware e um sistema operacional em profunda sintonia com os demais sistemas em execuo, pois o aumento de processamentos (diga-se simultneos) afeta

diretamente a desempenho do equipamento e com isso a qualidade de retorno (resultado) do aplicativo ao usurio. Rede Peer-To-Peer, ou apenas P2P uma tecnologia a qual seus estudiosos, desenvolvedores e usurios vislumbram sanar o problema citado, pois a mesma segue a premissa de no concentrar todas as operaes em uma nica estao (servidor), atuando ento no modelo Descentralizado. Essa topologia descentralizada auxilia ainda na expanso da rede, pois uma estao (seja computador ou outro equipamento) que possua uma interface de rede capaz de adquirir um endereo IP1, pode facilmente ingressar a rede, sem prvia autorizao de um servidor, ou mesmo sem que haja alteraes na estrutura lgica ou fsica da rede. Os requisitos para que tal estao ingresse na rede P2P, possuir um meio de ligao e um aplicativo compatvel com o da rede (Andraschko, 2008). As redes P2P exploram a conectividade entre seus integrantes, utilizando os recursos fsicos e lgicos disponveis (processador, memria, entre outros) do equipamento, fazendo com que a capacidade da rede cresa em larga escala. Devido facilidade de ingresso, aos recursos disponveis e a falta de um servidor central monitorando essas redes, impossvel diagnosticar com exatido o tamanho atual e o tamanho que uma rede P2P pode atingir. 2.2 SEGURANA EM REDES P2P A segurana um componente essencial para qualquer sistema de computao e especialmente relevante para sistemas P2P. Navegar pelas redes P2P pode ser no muito seguro, pois existem vrias ameaas dentro da rede, como vrus que vem com arquivos e outros. O P2P compartilha muitos problemas de segurana e solues com o resto da rede e sistemas distribudos. Por exemplo, dados corrompidos, transferncia no confivel, problemas de latncia e problemas de identificao so alguns deles.

IP: internet protocol, pode ser considerado o endereo numrico que representa o local de um determinado equipamento em uma rede privada ou pblica.

2.2.1 PRINCIPAIS AMEAAS DA REDE P2P As principais ameaas que existem para os usurios da rede P2P so: P2P; Invaso atravs de vulnerabilidades em aplicaes de redes P2P; Publicao de informaes sensveis atravs de compartilhamento de Contaminao por vrus, worms e malware nos arquivos baixados por

arquivos acidentalmente; Processos judiciais em decorrncia de violao de direitos autorais

atravs da obteno de software, filmes, msicas, livros obtidos via redes P2P. As aes judiciais, principalmente no exterior, tm sido mais frequentes devido a atuao mais efetiva de associaes e empresas na monitorao das atividades em redes P2P.

METODOLOGIA Todos os sistemas de segurana atuais so baseados em criptografia que

utiliza tanto chave simtrica e privada quanto chave assimtrica e pblica ou, s vezes, uma combinao das duas. Tcnicas da chave privada so baseadas no fato de que o remetente e o destinatrio compartilham um segredo, que alterado atravs de vrias operaes de criptografia como a encriptao de decriptao de mensagens e a criao e verificao de dados de autenticao de mensagens. Essa chave pblica deve ser trocada atravs do um processo fora do campo anterior para a comunicao pretendida. Tcnicas da chave pblica so baseadas nos pares de chaves assimtricas. Geralmente cada usurio est em posse de apenas um par de chaves. Uma das chaves do par est publicamente disponvel enquanto que a outra est privada. Porque uma chave est disponvel no necessria uma troca de chave fora da banda, entretanto existe a necessidade de uma infraestrutura para distribuir a chave pblica autenticvelmente. J que no necessrio um pr-compartilhamento dos segredos anteriores para a comunicao, as chaves pblicas so ideais para apoiar segurana entre partes previamente conhecidas (Andraschko, 2008).

Par de chaves assimtricas so diferentes de uma chave da porta da frente, que permite ao seu portador bloquear ou desbloquear esta porta com igual facilidade, a chave pblica utilizada na criptografia assimtrica. Isto significa que a chave consegue encriptar uma mensagem com extrema facilidade, porm decriptar como um todo, considerado muito difcil.

3.1

PROTOCOLOS DA REDE P2P Mecanismos para estabelecer uma criptografia forte e verificvel so muito

importantes. Estes mecanismos so padres de protocolos de autorizao que permitem que pares assegurem que eles esto falando com o sistema remoto pretendido: Protocolo Secure Sockets Layer (SSL) Tecnologia IPSec Infraestrutura de chave pblica (pki) Segurana do usurio na rede P2P Como enfoque deste, a segurana de usurio de rede detalhado, por apresentar-se como item de destaque na segurana das redes P2P.

3.1.1 SEGURANA DO USURIO NA REDE P2P O usurio para ter segurana pode lanar mo de alguns recursos tais como: Firewalls, IP dinmico e NAT, que crescem alm da necessidade na arquitetura da Internet de se tornar um sistema escalvel e seguro, mas novas aplicaes P2P desafiam essa arquitetura demandando que os participantes sirvam recursos como tambm os usem. Devemos estar preocupados em nos defendermos de ns mesmos. Os pontos mais importantes para isso so: controle de conexo, controle de acesso, controle de operao, antivrus e claro a proteo dos dados armazenados nos nossos computadores.

REFERNCIAS BIBLIOGRFICAS

AD News. (26 de maio de 2010). 25% do mundo tem acesso a internet. Acesso em 20 de outubro de 2011, disponvel em Oficina da NET: http://www.oficinadanet.com.br/ Andraschko, F. R. (2008). ESTUDO DE APLICAES DISTRIBUDAS P2P. Ponta Grossa - PR: UEPG. IG Tecnologia. (19 de abril de 2011). Brasil ter um PC para cada duas pessoas no incio de 2012. Acesso em 20 de outubro de 2011, disponvel em IG Tecnologia: http://tecnologia.ig.com.br/ Jornal O Estado do Paran. (04 de outubro de 2011). Ataques Internos so os novos viles da rea de TI. Acesso em 04 de outubro de 2011, disponvel em Paran Online: http://oestadodoparana.pron.com.br UOL. (27 de outubro de 2000). Dilema P2P envolve lucro seguranca e recursos. Acesso em 10 de outubro de 2011, disponvel em Webinseder UOL: http://webinsider.uol.com.br