Le microscope : de l’´ elargisseur de faisceau ` a l’objectif

- http://idp.deperimetrizacao.com.br:8080/Metadata - é obtido o arquivo XML do auten- ticador desenvolvido. Submetendo este arquivo ao TestShib Two é obtida a validação do mesmo e a inclusão em sua base de dados, conforme mostrado na figura 4.8.

Figura 4.8: Tela de carregamento dos metadados do IdP - ShibTestTwo.

O passo seguinte é acessar a opção “Test”, escolhendo o teste do serviço de IdP através do SP. Deve ser fornecido o “EntityID” do IdP registrado.

O navegador do usuário é redirecionado ao IdP, onde o usuário efetua a autenticação com seu certificado A3/ICP-Brasil, conforme mostrado anteriormente. É gerada a res- posta de autenticação, encapsulada no parâmetro “SAMLResponse”, devolvida ao SP. O resultado da autenticação é mostrado na figura 4.9.

4.4

Conclusões sobre as etapas de implementação e testes

A etapa de implementação foi executada de modo a implementar as funcionalidades propostas do autenticador de identidade federada baseado em certificados A3/ICP-Brasil. A separação das funcionalidades da ferramenta em dois módulos, Applet e Servlet, se mostrou adequada tanto em termos de segurança como de desempenho.

Os diagrama de classes apresentados consolidaram as informações dos diagramas de casos de uso e de sequência (alto nível de abstração) num conjunto de informações volta- das à codificação diretamente em linguagem de programação (baixo nível de abstração), utilizando orientação a objetos.

Os testes, utilizando SP de terceiros, mostraram que o autenticador implementa ade- quadamente o perfil Web Single Sign-On do SAML, podendo assim ser utilizado para au- tenticação do usuário na Internet com qualquer SP compatível com SAML. Além disso,

56 CAPÍTULO 4. IMPLEMENTAÇÃO DO AUTENTICADOR ICP/SAML

Figura 4.9: Autenticação com sucesso - ShibTestTwo.

a geração de metadados foi validada, permitindo que a ferramenta possa ser utilizada também com SP que os exijam.

Capítulo 5

Estudo de Caso: Rede da Justiça

Eleitoral

Neste capítulo é analisada a rede da Justiça Eleitoral (JE), tanto nos aspectos relativos à infraestrutura quanto aos sistemas, no que diz respeito à segurança da informação, dando enfoque especial nos benefícios advindos da aplicação de uma estrutura deperimetrizada. Esta rede foi selecionada para o estudo de caso deste trabalho tendo em vista que o autor é servidor da JE, atuando no setor de gerência de infraestrutura de rede de seu órgão, permitindo uma melhor compreensão do funcionamento da rede de computadores, especialmente no tocante à segurança da informação.

5.1

A infraestrutura de rede da Justiça Eleitoral

A JE adota uma topologia de infraestrutura de rede hierárquica, isto é, uma divisão dos segmentos de rede organizada de acordo com a relevância em relação ao todo. Tal divisão segue o modelo de árvore, no qual o nó raiz é o topo da hierarquia e a partir do qual surgem derivações (ramos e sub-ramos) até os nós-folha da estrutura.

Nesse modelo de hierarquia baseado em árvore, conforme mostrado na figura 5.1, a raiz do sistema é a próprio Tribunal Superior Eleitoral (TSE), a partir do qual se origina toda a rede da JE, sendo, a princípio, o único ponto da rede com conectividade à Internet.

5.1.1

Conexão à Internet

É no TSE que se encontra a conexão de toda a rede da JE com a Internet. Todo o tráfego que entra ou sai da rede da JE passa pelo TSE. Mesmo o acesso de usuários externos aos sítios dos Tribunais Regionais Eleitorais (TRE) - como em http://www.tre- rn.gov.br, por exemplo - se dá através dos links de Internet do TSE, ou seja, ocorrendo assim grande competição entre diversos tipos de tráfego de entrada e saída.

Assim, é interessante verificar que a capacidade desses links deve ser suficiente para atender a toda demanda de acesso à Internet do TSE, TREs, Zonas Eleitorais (ZE) e Centrais de Atendimento (CA) de todo o país. Além disso, a indisponibilidade desta conexão implica na perda de conectividade à Internet de toda a JE, caracterizando assim um único ponto de vulnerabilidade à falha.

58 CAPÍTULO 5. ESTUDO DE CASO: REDE DA JUSTIÇA ELEITORAL

Figura 5.1: Rede da Justiça Eleitoral.

5.1.2

Backbone Principal - TSE/TREs

Cada TRE, por sua vez, se conecta ao TSE (raiz da árvore) através de um link dedicado contratado junto à alguma operadora de telecomunicação. A tecnologia adotada é, em geral, “Frame Relay” ou MPLS. Eventualmente, links via satélite são utilizados. À essa infraestrutura básica de conexão TSE/TREs se dá o nome de backbone principal da rede da JE.

Através do backbone principal trafegam os dados relativos ao acesso à Internet, por parte dos TREs. Além disso e, principalmente, são transportados nessa malha de rede os dados relativos aos sistemas eleitorais, especialmente aqueles relativos à totalização das eleições. Qualquer falha afetando este backbone implica na perda total de comunica- ção entre determinado TRE e o TSE, ocasionando assim a indisponibilidade de diversos sistemas administrativos e eleitorais.

A capacidade de tráfego de cada enlace do backbone principal varia de um TRE para outro, levando em conta fatores como eleitorado e quantidade de ZEs (Zonas Eleitorais). Os custos para manter essa infraestrutura são elevados, tendo em vista que são ligações ponto-a-ponto de milhares de kilômetros fornecidos por empresas de telecomunicação.

Dado que o tráfego de Internet dos TREs também passa pelo backbone primário, uma primeira forma de reduzir significativamente estes valores seria delegar a cada TRE seu próprio acesso à Internet, conforme mostrado na figura 5.3. Considerando que o trá- fego dos sistemas eleitorais corresponde a apenas uma pequena fração do tráfego total, a velocidade dos links do backbone principal poderia ser bastante reduzida - e consequen- temente os custos.

Na abordagem deperimetrizada sequer haveria necessidade de manutenção de um backbone, uma vez que toda a comunicação entre TSE, TREs, ZEs e CAs se daria de

5.1. A INFRAESTRUTURA DE REDE DA JUSTIÇA ELEITORAL 59

Figura 5.2: Backbones Principal e Secundário.

forma segura através da Internet, representando assim uma considerável economia aos cofres públicos.

Figura 5.3: Ligação direta à Internet / Backbone deperimetrizado.

5.1.3

Backbones Secundários - TRE/ZEs

Cada TRE em si é a raiz de uma árvore menor, formada pela secretaria do tribunal, escritórios remotos, ZEs e CAs (centrais de atendimento). A estrutura de comunicação é equivalente ao backbone principal: links ponto-a-ponto (Frame-Relay, MPLS, satélite) interligando os nós-folha a um ponto central, geralmente localizado no prédio sede de cada TRE.

60 CAPÍTULO 5. ESTUDO DE CASO: REDE DA JUSTIÇA ELEITORAL principal. De fato, os mesmo problemas e solucões aplicáveis neste acabam sendo herda- dos para aqueles.

5.1.4

O perímetro da Justiça Eleitoral

Para o escopo deste trabalho o mais importante é perceber que o TSE é o limiar da rede da JE, o perímetro propriamente dito. É no TSE que toda a logística de segurança peri- metrizada é implementada através de regras de firewall extremamente restritivas (camada de rede) e regras ACL para acesso via proxy HTTP (camada de aplicação).

O acesso à Internet a partir dos TREs se dá unicamente através de proxy HTTP/FTP nas portas 21 (FTP), 80 (HTTP) e 443 (HTTPS). Em decorrência disso, aplicações que usam outras portas e/ou não são adaptadas a encapsular tráfego sobre HTTP tem seu funci- onamento impedido. Neste rol podemos citar: P2P, vídeo e áudio conferência, VoIP, men- sageiros instantâneos, vídeo ao-vivo ou sob demanda, dentre diversas outras. O proxy, concentrado no TSE, além de armazenar em cache os sítios visitados, efetua principal- mente a filtragem de acesso baseada em Listas de Controle de Acesso (ACL), especial- mente se valendo de palavras-chave contidas no Universal Resource Locator (URL) da conexão. Neste caso, acrescenta-se um novo ponto de falha que é o próprio serviço de proxy.

O que se busca com este tipo de abordagem de segurança é restringir as aplicações que podem ser utilizadas dentro da rede, limitando a utilização apenas às que conseguem trabalhar sobre proxy HTTP, mais notadamente navegadores web. Mesmo estes tem sua funcionalidade limitada à filtragem efetuada pelo proxy. Esta filtragem, que pode ser tanto através de palavras-chave na URL ou avaliação heurística de conteúdo, incorre com frequência em falsos positivos, prejudicando a experiência do usuário e aumentando o esforço administrativo (revisão frequente de ACLs, inclusão de URLs em listas de exces- são).

Assim, é possível concluir que o resultado alcançado não é efetivamente o incremento da segurança da informação, mas sim a diminuição da utilização da banda de rede de- corrente da indisponibilidade de alguns tipos acesso. Por exemplo, temos que a conexão a sítios de maior utilização de banda de rede (repositórios de vídeo, redes sociais, entre outros) é vedada. De fato, considerando a estrutura adotada para o backbone principal, o limite de utilização de tráfego acaba sendo necessário, de modo a permitir o funcio- namento adequado dos sistemas eleitorais em detrimento de uma adequada utilização da Internet.

Numa abordagem deperimetrizada essa metodologia não seria necessária, uma vez que todo o tráfego destinado à Internet fluiria diretamente a partir dos TREs, sem passar pelo TSE. Seria viável, inclusive, a contratação de dois enlaces: um exclusivo para o tráfego de Internet e outro para o tráfego de dados dos sistemas eleitorais.

Nota-se, no entanto, que a metodologia baseada em perímetro só tem relativa eficácia quanto ao usuário comum. O usuário avançado pode se valer de métodos diversos para acessar qualquer conteúdo desejado: mascaramento de URL através de registros de DNS alternativos, proxy transparente externo, tunelamento, entre outros. Além disso, verifica- se que os riscos à segurança da informação elencados na seção 2.2 aplicam-se a este caso

5.2. CLASSIFICAÇÃO DOS SISTEMAS DA JUSTIÇA ELEITORAL 61