Guia sobre como proteger servidores de Intranet e Extranet

VeriSign - Guia sobre como proteger servidores de Intranet e Extranet
Página 1 de 20
Guia sobre como proteger servidores de Intranet
e Extranet
• Resumo
• Vantagens da Intranet e da Extranet
• Novas preocupações relativas à
segurança
• Objetivos dos sistemas de segurança
de Intranet e Extranet
• Certificados e PKI: a mais eficiente
solução de tecnologia para atingir
seus objetivos de segurança
• O papel fundamental da Autoridade
Certificadora
• Começando
• Próxima etapa: Como utilizar os
Certificados de Cliente e os
Certificados de VPN (Rede Privada
Virtual)
• Conclusão
• Estudos de Casos
Resumo
Nos últimos quatro anos, as empresas têm adotado as Intranets e as Extranets
entusiasticamente. Isto não é de se estranhar, já que as Intranets e Extranets oferecem nítida
redução de custos e facilidade de instalação, se comparadas com as antigas WANs ou redes de
linhas privadas, que se baseavam em tecnologia patenteada. Além do mais, elas possibilitam
novos meios de trabalho altamente produtivos e rentáveis. As empresas podem usar as
Intranets e Extranets para distribuir informações de maneira mais econômica e mais oportuna,
bem como para elaborar uma vasta gama de aplicativos de auto-serviço, o que ajuda a reduzir
os custos administrativos. Além disso, as empresas podem utilizá-las para melhorar a
colaboração tanto entre os funcionários da organização como com os parceiros comerciais.
Conforme as Intranets e Extranets vêm sendo mais amplamente utilizadas, novos desafios de
segurança têm se apresentado. Embora muitas empresas tenham instalado firewalls e
tecnologia de controle ao acesso para aperfeiçoar a segurança, estas tecnologias ainda deixam
não resolvidos muitos assuntos relacionados à segurança.
A finalidade deste guia é dar uma visão geral dos principais riscos de segurança ao se instalar
Intranets e Extranets, bem como discutir os cinco objetivos fundamentais de um sistema de
segurança: Privacidade, Autenticação, Integridade do conteúdo, Não-repúdio e Facilidade de
uso. O guia também descreverá como um sistema de Infra-estrutura de Chave Pública (PKI),
instalado de forma inteligente e baseado na tecnologia de certificação digital, lida com estes
objetivos de segurança. Finalmente, o guia se propõe a dar uma visão geral de como a família
de produtos do OnSite da VeriSign pode ajudar a sua empresa a montar uma PKI de forma
rápida e eficaz.
O crescimento da Intranet e da Extranet
Poucas tecnologias têm sido aceitas tão rapidamente como as Intranets dentro das
organizações. Praticamente desconhecidas há quatro anos, as Intranets são agora
onipresentes. Os analistas da Zona Research previram que o mercado de Intranet excederia o
de Internet em uma proporção de 2 para 1 em 1999. A Killen & Associados estimou que o
mercado para software, equipamentos e serviços relacionados a Intranet nos Estados Unidos
excederia a $20 bilhões até o ano 2000. No princípio de 1997, a Booz Allen & Hamilton
informou que quase todos os integrantes da lista da Fortune 500 já tinham desenvolvido uma
Intranet ou estavam no decorrer do processo.
file://D:\Projetos\CertiSign\prot_intra_extranet\documento_guia3.html
26/3/2004

VeriSign - Guia sobre como proteger servidores de Intranet e Extranet
Página 2 de 20
Muitas destas organizações estão agora ampliando suas Intranets para alcançar clientes-chave
e/ou parceiros comerciais através de Extranets. Uma pesquisa realizada em 1998 pela
empresa de pesquisa de mercado RHI Consulting com 1.400 diretores de informações mostrou
que 38% dos que responderam acreditam que a popularidade das Extranets deve "aumentar
significativamente" nos próximos três anos. Já outros 44% afirmaram acreditar que a
popularidade delas "aumentaria um pouco" durante o mesmo período.
Figura 1: A rede em expansão
Vantagens da Intranet e da Extranet
As razões para este crescimento são óbvias. Comparadas com as primeiras WANs (redes de
grande área), que se baseavam na tecnologia patenteada ou nas caras linhas privadas, a
montagem e operação das Intranets e Extranets é infinitamente mais fácil e menos
dispendiosa. As Intranets podem oferecer às empresas muita eficiência operacional e,
conseqüentemente, podem gerar um incrível retorno de investimento.
Enquanto as WANs exigiam caras linhas privadas, as Intranets e Extranets permitem que os
usuários se comuniquem através de grandes distâncias utilizando apenas as econômicas linhas
de Internet pública. Quando as empresas tentavam ligar as LANs (redes de área local) à WAN,
diversos protocolos de comunicação (inclusive ipx/spx, netbios, netbui e DECnet)
freqüentemente limitavam a capacidade dos aplicativos de se relacionarem entre si. Como
utilizam o TCP/IP, o protoloco padrão da Internet, as Intranets e Extranets tornam mais fácil o
relacionamento entre diferentes sistemas de computador dentro de uma organização, ou até
mesmo fora dela. Usando a linguagem de hipertexto e o modelo de navegador da Rede
Mundial, as Intranets fornecem aos usuários ferramentas gráficas e fáceis de operar.
Uma vez prontas para funcionar, as Intranets e Extranets reduzem custos e melhoram as
operações de diversas formas, inclusive:
• Reduzindo os custos de distribuição de informações - As Intranets tornam mais rápido e
fácil distribuir políticas, procedimentos e novidades a respeito da companhia aos
funcionários; as Extranets tornam mais fácil e barato distribuir catálogos e listas de
preços on-line.
• Diminuindo os custos administrativos - As capacidades interativas da Intranet e da
Extranet permitem que os usuários realizem sozinhos muitas tarefas que antes exigiam
assistência administrativa. Por exemplo, as Intranets possibilitam que os próprios
funcionários se inscrevam no plano de saúde da companhia, enquanto que os clientes
entre empresas podem utilizar a Extranet para fazer sozinhos os seus pedidos.
• Melhorando a colaboração - Os usuários se tornam mais produtivos com o uso da
Intra/Extranet, formando equipes on-line. Estas equipes virtuais podem colaborar na
file://D:\Projetos\CertiSign\prot_intra_extranet\documento_guia3.html
26/3/2004

VeriSign - Guia sobre como proteger servidores de Intranet e Extranet
Página 3 de 20
medida em que eliminam despesas com freqüentes viagens ou atrasos no envio de
informações via correio. Dentro de uma empresa, a Intranet pode nivelar hierarquias,
concedendo aos funcionários um acesso maior às informações necessárias para tomar
decisões estratégicas. Da mesma forma, as Extranets permitem que as empresas
colaborem mais intimamente uma com a outra. Por exemplo, as Extranets podem ser
utilizadas para integrar a rede de fornecedores, substituindo caros sistemas
patenteados, tal como o intercâmbio eletrônico de dados.
A soma total destas vantagens pode significar um impulso incrível no lucro líquido de uma
empresa. Um artigo recente no Jornal da Intranet menciona o surpreendente retorno obtido
pelas companhias que investiram em Intranet e Extranet. Por exemplo, a implantação de uma
Intranet na Lockheed Martin gerou um inacreditável retorno de investimento de 1,562%; na
Cadence, Inc., foi de 1,766%; e na US West, mais de 1,000%.
As Extranets industriais também prometem. Por exemplo, na indústria de automóveis e na de
venda a varejo, muitas companhias estão montando redes para a cadeia de fornecedores
baseadas na Extranet, permitindo que informações em tempo real (como estoque, pedidos e
dados sobre entrega) sejam trocadas entre varejistas, distribuidores, fabricantes e
fornecedores. Isto ajuda sobremaneira a aperfeiçoar a capacidade das empresas pertencentes
à rede de fornecedores de adequar a oferta de mercadorias à demanda pelas mesmas,
diminuindo simultaneamente os estoques. Isto aumenta a eficiência, o controle de estoques e,
em última instância, a rentabilidade de toda a rede de fornecedores.
Novas preocupações relativas à segurança
Conforme cresce o uso de Intranets e Extranets, aumenta a necessidade de segurança. A
tecnologia e os protocolos TCP/IP foram projetados inerentemente para serem abertos. O
TCP/IP é um protocolo sem conexões; os dados são divididos em pacotes de informações e
viajam livremente pela rede, procurando o melhor caminho possível para chegar ao seu
destino final. Portanto, a menos que as devidas precauções sejam tomadas, os dados podem
ser facilmente interceptados ou alterados, freqüentemente sem o conhecimento tanto do
emissor como do receptor da mensagem. Como normalmente os links exclusivos entre as
partes de uma comunicação não são estabelecidos com antecedência, é fácil para uma parte
fazer-se passar pela outra.
Figura 2: A expansão das redes aumenta a quantidade de possíveis pontos de ataque
file://D:\Projetos\CertiSign\prot_intra_extranet\documento_guia3.html
26/3/2004

VeriSign - Guia sobre como proteger servidores de Intranet e Extranet
Página 4 de 20
A Figura 2 ilustra como o crescimento na complexidade da rede aumentou os pontos
potenciais de ataque, tanto de fora como de dentro das organizações. Felizmente, os meios de
proteção contra estes ataques também se aperfeiçoaram.
Os firewalls e as senhas são duas das precauções de segurança mais utilizadas hoje em dia.
As senhas destinam-se a impedir que pessoas não autorizadas tenham acesso direto aos
dados confidenciais armazenados em servidores. Os firewalls, ao contrário, destinam-se a
fornecer um mecanismo de defesa perimétrico, evitando que pessoas não autorizadas de fora
da empresa tenham acesso a dados confidenciais dentro da empresa. Segundo um estudo
recente da IDC, praticamente 100% das empresas da lista da Fortune 500 já instalaram
firewalls.
Apesar do seu importante papel na segurança de redes e de sua adoção tão difundida, a
solução fornecida pelos firewalls é parcial. Como mostrado na Figura 2, as defesas
perimétricas pouco podem fazer para impedir ataques vindos de dentro da empresa (ex.:
funcionários ou empreiteiros descontentes, etc.). As senhas também não surtem melhor efeito
contra ataques internos. A maioria das senhas são sabidamente fáceis de adivinhar. Quando
não são adivinhadas, podem ser encontradas com freqüência nos mousepads dos funcionários,
ou ainda, interceptadas enquanto transitam às claras pelas redes da empresa.
Mesmo quando as senhas não são adivinhadas ou quando são utilizados métodos mais
sofisticados de controle de acesso, é importante observar que o controle de acesso sozinho
não garante que as informações permanecerão confidenciais. Embora um bom sistema de
senhas possa evitar que alguém penetre em um servidor para obter informações confidenciais,
as senhas não protegem os dados quando eles passam "pelo fio" para irem do servidor para o
cliente.
Isto também se aplica a dados que passam por fora do firewall, trocados entre os servidores
das empresas e filiais, clientes, fornecedores ou funcionários longe da empresa. A qualquer
hora em que estes dados forem enviados dos servidores para as empresas por fora do seu
firewall, eles poderão ser interceptados por "farejadores". Os piratas (hackers) não precisam
"entrar" no seu sistema, se você estiver enviando dados fora do perímetro.
Tipos de riscos de segurança encontrados em Intranets e Extranets
As brechas de segurança em Intranets e Extranets podem assumir várias formas. Por
exemplo:
• Uma pessoa não autorizada (como um empreiteiro ou um visitante) poderia ter acesso
ao sistema de computadores de uma companhia.
• Um funcionário ou fornecedor autorizado a usar o sistema com uma finalidade poderia
usá-lo com outra. Por exemplo, um engenheiro poderia violar o banco de dados de
Recursos Humanos para obter informações confidenciais sobre salários.
• Informações confidenciais poderiam ser interceptadas quando estivessem sendo
enviadas para um usuário autorizado. Por exemplo, um intruso poderia prender à sua
rede um dispositivo farejador de redes. Embora os farejadores sejam normalmente
usados para diagnósticos de redes, também podem ser utilizados para interceptar dados
transmitidos através do fio.
• Os usuários podem compartilhar documentos entre escritórios separados
geograficamente através da Internet ou Extranet, ou ainda, funcionários que acessem a
Intranet da empresa a partir de seu computador em casa podem deixar a descoberto
dados confidenciais quando enviados pelo fio.
• O correio eletrônico pode ser interceptado durante o seu trajeto.
Estas não são meras preocupações teóricas. Embora nos últimos anos tenham sido muito
divulgados na mídia os ataques de hackers pela Internet a sistemas computacionais de
empresas, na realidade, é muito mais provável que um ataque aos sistemas de computador da
file://D:\Projetos\CertiSign\prot_intra_extranet\documento_guia3.html
26/3/2004

VeriSign - Guia sobre como proteger servidores de Intranet e Extranet
Página 5 de 20
companhia venha pela Intranet, praticado por pessoas de dentro da companhia (como
funcionários atuais, funcionários antigos, empreiteiros trabalhando no local e outros
fornecedores). Em uma pesquisa realizada em 1998 com 520 profissionais de segurança de
empresas e outras instituições americanas, conduzida pelo Instituto de Segurança de
Computadores de San Francisco e com a participação do FBI, 44% relataram acesso não
autorizado por funcionários contra 24% que relataram violação do sistema vinda de fora.
É provável que tais brechas de segurança internas venham a resultar em perdas maiores que
as advindas de ataques externos. Dentre as organizações que estavam aptas a quantificar
suas perdas, a pesquisa do Instituto de Segurança de Computadores descobriu que a maioria
das graves perdas financeiras ocorreram através de acesso não autorizado por pessoas de
dentro da empresa, com 18 companhias relatando perdas totais de $50.565.000, em
comparação com um montante de $86.257.000 para as outras 223 companhias que
conseguiram estimar um valor em dólares para suas perdas. Portanto, quanto mais as
empresas instalam Intranets and Extranets, mais se torna vital para elas proteger estes
sistemas de ataques internos.
Figura 3: As perdas, em média, de vários tipos de ataques
Fonte: Pesquisa CSI/FBI sobre segurança de computadores realizada em 1998
Objetivos dos sistemas de segurança de Intranet e Extranet
Por sorte, há uma boa variedade de técnicas disponíveis para resolver estes buracos na
segurança de Extranets e Intranets. Entretanto, antes de optar por uma determinada
tecnologia, é importante compreender toda a gama de assuntos que envolve os sistemas de
segurança:
• Autenticação — garante que as entidades que estão acessando sistemas, enviando ou
recebendo mensagens realmente são quem afirmam ser, bem como que têm
autorização para praticar tais ações.
• Privacidade — garante que somente aquele determinado destinatário terá acesso à sua
mensagem criptografada.
• Integridade do conteúdo — garante que as mensagens não foram alterados por
nenhuma das partes desde que foram enviadas.
• Não-Repúdio — indica a fonte de uma mensagem, de forma que, posteriormente, o
file://D:\Projetos\CertiSign\prot_intra_extranet\documento_guia3.html
26/3/2004

VeriSign - Guia sobre como proteger servidores de Intranet e Extranet
Página 6 de 20
remetente não poderá afirmar que não foi ele quem a enviou.
• Facilidade de uso — garante que os sistemas de segurança possam ser implantados de
forma consistente e minuciosa para uma vasta gama de aplicativos, sem restringir
desnecessariamente a capacidade de indivíduos e organizações de empreender suas
tarefas diárias.
Este último objetivo é negligenciado com freqüência. As empresas devem não somente
desenvolver medidas de segurança sólidas, mas também encontrar uma forma de assegurar
que os usuários concordem totalmente com elas. Se eles acharem que as medidas de
segurança são enfadonhas e que consomem muito do seu tempo, provavelmente irão
descobrir como escapar delas, o que, conseqüentemente, colocará em risco sua Intranet e
Extranet. As empresas podem garantir a aprovação total de seus funcionários à sua política de
segurança através de:
• Aplicativos sistemáticos - O sistema deve impor automaticamente a política de
segurança, fazendo com que ela seja mantida todo o tempo.
• Facilidade de instalação para o usuário final - Quanto mais transparente for o sistema,
mais fácil será o seu uso para os usuários finais — e maiores as probabilidades de eles o
utilizarem. O ideal seria que as políticas de segurança já viessem embutidas no sistema,
sem que os usuários tivessem que ler manuais detalhados e seguir procedimentos
rebuscados.
• Total aceitação por vários aplicativos - O mesmo sistema de segurança deve ser
compatível com todos os aplicativos utilizados pelo usu ário. Por exemplo, você tem que
poder usar o mesmo sistema de segurança se quiser proteger correio eletrônico,
comércio eletrônico, acesso ao servidor através de um navegador, ou comunicações
remotas através de uma rede privada virtual.
Certificados e PKI: a mais eficiente solução de tecnologia para
atingir seus objetivos de segurança
Figura 4. A Infra-estrutura de Chave Pública fornece ferramentas para que os objetivos de
segurança sejam atingidos
Felizmente, tem sido desenvolvido nos últimos quinze anos um conjunto de tecnologias que
satisfaz perfeitamente a estes cinco objetivos de segurança. Mais conhecida como Infraestrutura
de Chave Pública(PKI), esta tecnologia permite que as empresas utilizem redes
abertas, tais como as Intranets e Extranets de TCP/IP, para fazer uma réplica ou até mesmo
aperfeiçoar os mecanismos usados para assegurar a segurança no mundo real. Envelopes e
firmas de envio seguro são substituídos por sofisticados métodos de criptografia de dados,
garantindo que as mensagens sejam lidas apenas pelos devidos destinatários. Assinaturas
físicas e selos são substituídos por assinaturas digitais, que, além de assegurar que as
file://D:\Projetos\CertiSign\prot_intra_extranet\documento_guia3.html
26/3/2004

VeriSign - Guia sobre como proteger servidores de Intranet e Extranet
Página 7 de 20
mensagens realmente vieram de uma determinada entidade, podem garantir que nem um só
bit da mensagem foi alterado durante o trajeto. Documentos de identificação, tais como
passaportes, carteira de trabalho e alvarás comerciais, podem ser substituídos por certificados
digitais. Finalmente, os vários mecanismos para controle, auditoria e autorização centralizados
- como os encontrados em estruturas de governo corporativas, conselhos industriais ou
terceiros de confiança (ex.: contadores) - podem ser reproduzidos no mundo digital através da
infra-estrutura utilizada para gerenciar criptografia, assinaturas e certificados digitais.
O que é um Certificado Digital
Compreender os certificados digitais é fundamental para entender os sistemas de infraestrutura
de chave pública. Um certificado digital é o equivalente eletrônico de um passaporte
ou alvará comercial. É uma credencial, emitida por uma autoridade de confiança, que pode ser
apresentada eletronicamente por pessoas ou empresas que queiram provar sua identidade ou
seu direito de acessar informações.
Quando uma Autoridade Certificadora (CA), como a VeriSign, emite certificados digitais, ela
verifica se o proprietário não está se atribuindo uma identidade falsa. Da mesma forma que o
Governo, ao emitir um passaporte, está atestando a identidade do portador, quando uma CA
concede à sua empresa um certificado digital, ela está arriscando a reputação no seu direito
de usar o nome e endereço eletrônico de sua empresa.
Como funcionam os certificados digitais
No caso de transações físicas, os desafios de identificação, autenticação e privacidade são
resolvidos com marcas físicas, tais como selos ou assinaturas. No entanto, no caso de
transações eletrônicas, o equivalente de um selo tem que ser codificado na própria
informação. Ao verificar que o "selo" eletrônico está presente na mensagem e que não foi
violado, o receptor da mensagem pode confirmar a identidade do emissor da mensagem e
certificar-se de que o seu conteúdo não foi alterado durante o trajeto. Para criar um
equivalente eletrônico da segurança física, a VeriSign utiliza criptografia avançada.
Durante séculos, os sistemas criptográficos têm sido usados para proteger informações
preciosas. Tradicionalmente, eles têm tentado proporcionar segurança através de variações no
sistema de chave secreta. Estes sistemas exigem que ambas as partes de um esquema de
comunicação tenham uma cópia do mesmo código ou "chave" secretos. Quando as duas
pessoas quisessem partilhar informações, o emissor deveria criptografá-las, utilizando sua
cópia da chave secreta. O receptor da mensagem só poderia decriptografá-la utilizando a sua
cópia da mesma chave. Se a mensagem fosse interceptada por alguém, a pessoa não poderia
decrifrá-la sem a chave correta.
Apesar de muito difundidos, os sistemas de chave secreta têm várias limitações importantes.
Primeiro, a simples transmissão da chave secreta já é arriscada, porque a chave pode ser
interceptada durante o trajeto por pessoas não autorizadas. Em segundo lugar, se uma das
partes usar a chave com más intenções, poderá posteriormente negar ou recusar a transação.
Alternativamente, a parte mal-intencionada pode se fazer passar pelo emissor, ou ainda, pode
usar a chave secreta para decriptografar outras informaçõ es confidenciais. Para evitar este
tipo de ataque, as empresas têm que exigir que os usuários tenham chaves secretas
diferentes para cada parte com as quais eles se comunicam. Se uma empresa tem cem
funcionários, literalmente milhões de chaves secretas diferentes precisarão ser usadas para
acomodar todas as combinações possíveis.
Os certificados digitais empregam o mais avançado sistema de criptografia de chave pública,
que não envolve o compartilhamento de chaves secretas. Ao invés de usar a mesma chave
tanto para criptografar como para decriptografar dados, um certificado digital usa um par de
chaves correspondentes entre si, que se complementam de forma inigualável. Quando uma
mensagem é criptografada por uma chave, somente a outra chave pode decriptografá-la.
file://D:\Projetos\CertiSign\prot_intra_extranet\documento_guia3.html
26/3/2004

VeriSign - Guia sobre como proteger servidores de Intranet e Extranet
Página 8 de 20
Nos sistemas de criptografia de chave pública, quando um par de chaves é gerado, você fica
com uma "chave privativa", à qual ninguém - exceto você, o verdadeiro dono - deve ter
acesso. No entanto, a "chave pública" correspondente pode ser distribuída à vontade, como
parte de seu certificado digital. Você pode dividir seu certificado com qualquer pessoa e até
mesmo divulgá-lo em diretórios. Se alguém quiser se comunicar com você em particular,
usará a chave pública do seu certificado digital para criptografar informações antes de enviálas
para você. Somente você poderá decriptografá-las, pois só você tem a sua chave privativa.
Figura 5. Como criptografar informações utilizando certificados digitais
Contrariamente, você pode usar seu par de chaves para assinar digitalmente uma mensagem.
Para isso, basta você criptografar a mensagem com sua chave privativa. Ela poderá ser
decriptografada com a chave pública contida em seu certificado. Enquanto muitas pessoas têm
acesso ao seu certificado, somente você poderia ter assinado a mensagem, porque só você
tem acesso à sua chave privativa.
Um certificado digital é um arquivo binário. Além da sua chave pública, ele contém o seu
nome e as suas informações de identificação. Com isso, ele comprova para as pessoas que
queiram se correponder com você que aquela chave pública pertence a você. Os certificados
digitais geralmente contêm ainda o número de série, a data de validade e informações sobre
os direitos, usos e privilégios associados ao certificado. Finalmente, o certificado digital
contém informações sobre a autoridade certificadora (CA) que emitiu o certificado. Todos os
certificados são assinados digitalmente com a chave privativa da Autoridade Certificadora.
(Normalmente, o próprio certificado da Autoridade Certificadora (chamado de certificado-raiz)
é amplamente instalado em pacotes de software, permitindo que as pessoas identifiquem
permanentemente os certificados legítimos emitidos pela autoridade certificadora). Se a CA
mantiver uma boa proteção de segurança de sua chave privativa, é praticamente impossível
alguém falsificar um certificado digital.
É importante observar que os certificados também podem ser emitidos para organizações e
outras entidades, tais como servidores e roteadores.
Figura 6. Comunicações seguras com o uso de certificados
file://D:\Projetos\CertiSign\prot_intra_extranet\documento_guia3.html
26/3/2004

VeriSign - Guia sobre como proteger servidores de Intranet e Extranet
Página 9 de 20
Os certificados digitais satisfazem seus objetivos de segurança
Dada a facilidade e versatilidade da PKI, a tecnologia de segurança baseada em certificados
digitais tem se desenvolvido muito nos últimos anos. Estes protocolos de segurança
amplamente utilizados incluem:
• S/MIME: O protocolo de Extensão Segura de Correio de Internet para M últiplos
Propósitos permite que sejam enviados e-mails assinados e criptografados.
• SSL: O protocolo de Camada de Soquetes Segura permite que a comunicação entre
navegadores e servidores, ou entre diferentes servidores, seja autenticada e
criptografada. Este é um protocolo muito importante, que será discutido detalhadamente
mais à frente.
• IPSEC: O Protocolo de Segurança de IP é um protocolo recém-desenvolvido, que permite
que a comunicação entre roteadores, entre firewalls e entre roteadores e firewalls seja
autenticada e criptografada. Este protocolo terá um importante papel nas Extranets nos
próximos anos.
A tabela que se segue fornece um resumo de como estes vários protocolos podem ser
instalados para proteger sua Intranet ou Extranet.
Figura 6: Protocolos de segurança para vários tipos de comunicações seguras
file://D:\Projetos\CertiSign\prot_intra_extranet\documento_guia3.html
26/3/2004

VeriSign - Guia sobre como proteger servidores de Intranet e Extranet
Página 10 de 20
O papel fundamental da Autoridade Certificadora
Exigências para as CAs: Tecnologia, Infra-estrutura e Práticas
A montagem de uma Infra-estrutura de Chave Pública bem sucedida exige que se olhe para
além da tecnologia. Como você pode imaginar, ao instalar um sistema de PKI de larga escala,
podem existir centenas de servidores e roteadores, bem como milhares de usuários com
certificados. Estes certificados formam a base de confiança e interoperabilidade para toda a
rede. Como resultado, a qualidade, integridade e confiança de uma infra-estrutura de chave
pública depende da tecnologia, infra-estrutura e práticas da Autoridade Certificadora que
emite e gerencia estes certificados.
As Autoridades Certificadoras têm várias obrigações importantes. Primeiramente, são elas
quem determinam as políticas e procedimentos que orientam o uso de certificados por todo o
sistema. Geralmente, estas políticas e procedimentos estão contidas em um documento
denominado Declaração das Práticas de Certificação(CPS). É a CPS quem normalmente
determina como a CA cumprirá as seguintes obrigações:
• Registrar e aceitar aplicativos para certificados de usuários finais e outras entidades
• Validar identificações de entidades e seu direito de receber certificados
• Emitir certificados
file://D:\Projetos\CertiSign\prot_intra_extranet\documento_guia3.html
26/3/2004

VeriSign - Guia sobre como proteger servidores de Intranet e Extranet
Página 11 de 20
• Revogar, renovar e executar outros serviços referentes a tempo de validade em
certificados
• Divulgar diretórios de certificados válidos
• Divulgar listas de certificados revogados
• Manter a mais rígida segurança possível para a chave privativa da CA
• Assegurar que o seu próprio certificado seja amplamente distribuído, para
• Instituir a confiança entre os integrantes da infra-estrutura
• Fornecer gerenciamento de risco
Figura 7: O papel da Autoridade Certificadora
Como líder no mercado de provedores de certificados e de serviços voltados para certificados,
a VeriSign ajuda a satisfazer estas exigências de duas formas diferentes. Em primeiro lugar, a
própria VeriSign serve como Autoridade Certificadora para Internet. Em segundo lugar, a
VeriSign tem uma vasta gama de soluçõ es para permitir que outras empresas se constituam
em Autoridades Certificadoras para suas Intranets e Extranets.
A VeriSign como CA da Internet
Como Autoridade Certificadora para a Internet, a VeriSign já emitiu mais de 3 milhões de
Certificados Digitais Pessoais, para serem usados tanto como identificação de seus
proprietários na Internet, como para o envio de e-mails criptografados e assinados. A VeriSign
também emitiu mais de 75.000 certificados para servidores, que permitem às pessoas
realizarem, de forma segura e autenticada, tanto comércio eletrônico como outras formas de
comunicação com estes servidores. A Infra-estrutura de Chave Pública que a VeriSign ajudou
a instituir para a Internet protegerá bilhões de dólares em transações este ano. Para manter a
confiança deste comércio, a VeriSign investiu pesadamente em sua própria infra-estrutura e
práticas, como resumido na Figura 8. A CertiSign divulgou sua Declaração de Práticas de
Certificação na página www.certisign.com.br/repositorio/index.html.
A VeriSign é auditada regularmente por uma firma independente de contabilidade. Isto visa
garantir que a emissão e o gerenciamento dos certificados estejam de acordo com a DPC e
ocorram dentro de instalações com segurança de nível militar 5, sendo realizados por
funcionários que tenham passado por rigorosas verificações de antecedentes. Como um
exemplo desta segurança, todas as chaves privativas de CA da VeriSign são armazenadas
através da mesma tecnologia utilizada para proteger códigos de mísseis nucleares. Para
edificar a aceitação da PKI, a VeriSign não mediu esforços para garantir que suas chaves
file://D:\Projetos\CertiSign\prot_intra_extranet\documento_guia3.html
26/3/2004

VeriSign - Guia sobre como proteger servidores de Intranet e Extranet
Página 12 de 20
públicas de CA fossem embutidas em todos os grandes navegadores, servidores e outros
aplicativos. A VeriSign também trabalhou junto a assembléias legislativas no mundo inteiro
para dar suporte legal às assinaturas e transações digitais. Finalmente, para estimular a
confiança, a VeriSign introduziu o programa NetSure , que apóia cada Certificado de
Servidor da VeriSign com $100,000 de cobertura contra roubo, perda ou usurpação de
identidade.
Figura 8: Tecnologia, Infra-estrutura e Práticas da VeriSign
Como montar a PKI para sua Intranet ou Extranet
Quando uma empresa se encarrega de criar sua própria Infra-estrutura de Chave Pública, é
importante que seja capaz de criar um conjunto com tecnologia, infra-estrutura e práticas de
alta qualidade. Embora existam vários produtos hoje em dia no mercado que afirmam oferecer
soluções autônomas para a criação e gerenciamento de certificados, o máximo que estas
soluções de "apenas software" podem oferecer é tecnologia necessária para uma PKI robusta.
Como conseqüência, um estudo independente realizado recentemente pelo grupo Aberdeen
chegou à conclusão que as empresas que compram soluções de software de certificados para
uso imediato acabam gastando de $1M a $11M para contratar pessoal e criar a infra-estrutura
e as práticas necessárias para uma solução completa.
Em comparação, a VeriSign oferece uma solução mais econômica e prática, denominada
VeriSign OnSite. Como mostra a Figura 9, o OnSite permite que as empresas utilizem a atual
infra-estrutura e práticas da VeriSign como alavanca. A sua empresa mantém controle
completo sobre as funções auxiliares: determinar quem receberá os certificados, quais os
certificados que serão revogados, etc. No entanto, todas as funções de back-end (principais) -
tais como geração de certificados, gerenciamento de segurança, manutenção de sistemas,
execução de cópia de segurança de dados, auditoria de segurança, etc. - são responsabilidade
da VeriSign, dentro de suas instalações seguras.
Figura 9: A solução do VeriSign OnSite
file://D:\Projetos\CertiSign\prot_intra_extranet\documento_guia3.html
26/3/2004

VeriSign - Guia sobre como proteger servidores de Intranet e Extranet
Página 13 de 20
Como funciona o OnSite
O VeriSign OnSite consiste de páginas da Web personalizadas para inscrição do usuário final,
controle administrativo e gerenciamento de páginas da Web e um serviço de distribuição de
diretórios de certificados. Os usuários finais interagem com formulários de inscrição
personalizados para solicitar e receber seus certificados. Estes formulários são compatíveis
com os mais recentes navegadores da Microsoft e Netscape, bem como com uma lista que não
pára de crescer de outros produtos de software em rede. Os formulários de inscrição,
juntamente com outras páginas da Web sobre tempo de validade, podem ser hospedados no
site do cliente ou, se preferir, pela VeriSign.
Os administradores utilizam um segundo conjunto de páginas da Web para controlar
autenticação do usuário, aprovar pedidos e renovações de certificados, revogar certificados,
visualizar relatórios sobre as atividades da CA e outras tarefas de gerenciamento. Eles são
autenticados antes de conseguirem o acesso ao sistema, através de certificados
especializados, leitoras e cartões inteligentes fornecidos pela VeriSign.
Também está incluído no VeriSign OnSite um diretório completo de certificados e a capacidade
de interagir aquele diretório com o diretório empresarial do cliente de várias formas. O cliente
pode preferir que a VeriSign faça download das informações referentes a certificados
diretamente para o seu diretório compatível com a LDAP, ou optar por ir buscar
periodicamente aquelas informações na VeriSign, integrando-as ele mesmo em seu diretório.
A infra-estrutura de telecomunicações e do computador, os softwares e hardwares
criptográficos e os serviços permanentes de gerenciamento de chaves exigidos são
hospedados e operados pela VeriSign em nossas instalações de Operaçõs altamente seguras.
Além disso, para os clientes que desejem a solução mais fácil possível, a VeriSign pode
hospedar todas as páginas da Web necessárias. Os clientes que busquem um maior controle
ou uma personalização completa de suas páginas podem hospedá-las localmente, sem
nenhum trabalho.
Vantagens do OnSite
As vantagens do OnSite incluem:
• Controle - Com o OnSite, você se torna imediatamente uma Autoridade Certificadora,
com controle completo sobre todo o processo de gerenciamento de certificação e
file://D:\Projetos\CertiSign\prot_intra_extranet\documento_guia3.html
26/3/2004

VeriSign - Guia sobre como proteger servidores de Intranet e Extranet
Página 14 de 20
autenticação. O OnSite também dá a opção de hospedar e personalizar suas páginas da
Web, bem como aumentar os procedimentos normais da VeriSign para a emissão de
certificação usando suas exclusivas políticas e procedimentos. Por exemplo, você pode
exigir que seus usuários finais enviem números de faturamento por departamento,
nomes dos gerentes, códigos secretos ou qualquer outro tipo de informações que você
considere necessárias antes de emitir um certificado. Além do mais, o OnSite mantém
automaticamente um registro de auditoria de todas as ações tomadas por usuários finais
e administradores na emissão e gerenciamento de certificados.
• Consistência - O OnSite permite que as empresas emitam e gerenciem certificados de
servidor por toda uma grande organização de forma consistente. Isto porque ele fornece
uma única interface administrativa para todos os certificados (Secure Server IDs), bem
como certificados para serem usados com o protocolo S/MIME, para proteger correio
eletrônico, e o protocolo IPSec, para proteger os roteadores usados em VPNs (Redes
Privadas Virtuais).
• Facilidade - O OnSite é fácil de configurar. Você só precisa de um PC com conexão com
a Internet e de uma leitora de cartões inteligentes e um cartão inteligente, estes dois
últimos fornecidos pela VeriSign. Embora o OnSite permita que você controle quem
receberá os certificados, é a VeriSign quem realiza de fato a emissão e gerenciamento
destes certificados, possibilitando que você utilize a tecnologia, infra-estrutura e práticas
de segurança do dispositivo seguro de emissão de certificados da VeriSign. Além disso,
os certificados da VeriSign são compatíveis com centenas de aplicativos, incluindo todos
os principais navegadores, mais de 50 servidores Web e dúzias de aplicativos para
assinatura de formulários, e-mail seguro e outras aplicações.
• Economia nos custos — Os sistemas de back-end do VeriSign OnSite são operados pela
VeriSign em nosso centro de operaçõ es seguras. As empresas podem utilizar a infraestrutura
de segurança já existente, ao invés de ter que montar uma a partir do zero.
Você pode tirar proveito das instalações sofisticadas, segurança e práticas criadas pela
VeriSign para dar suporte a todos os nossos serviços. Total indenização por acidente e
cópia de segurança fora do site também fazem parte dos serviços. Um tal nível de
suporte para uma solução desenvolvida dentro da empresa alcançaria preços proibitivos.
De fato, um estudo recente, realizado pelo Grupo Aberdeen, descobriu que, comparado
com seus concorrentes, o OnSite fornece atualmente aos usuários o mais baixo custo de
propriedade, devido a uma inicialização menor e custos operacionais fixos.
• Instalação mais rápida - Utilizando a atual infra-estrutura de segurança da VeriSign, ao
invés de montar uma outra, sua empresa pode instalar a solução de PKI mais
rapidamente. Em alguns casos, o OnSite foi instalado pelas empresas em uma semana.
Figura 10: Resultado de alto nível, refletido no estudo da Aberdeen sobre custo de propriedade
file://D:\Projetos\CertiSign\prot_intra_extranet\documento_guia3.html
26/3/2004

VeriSign - Guia sobre como proteger servidores de Intranet e Extranet
Página 15 de 20
Começando
A VeriSign recomenda que, quando você for instalar Segurança em sua empresa, sejam
seguidas estas etapas:
1. Fase 1: Avalie suas necessidades comerciais e riscos de segurança: A VeriSign
recomenda que você comece qualquer "Estimativa sobre Segurança" pensando
seriamente sobre as necessidades comerciais de sua Intranet e Extranet. Avalie a
natureza das comunicações que se farão necessárias, bem como os objetivos de
segurança (integridade de conteúdo, não-repúdio, etc.) resultantes delas. A VeriSign
recomenda, então, fazer uma avaliação objetiva sobre as lacunas de segurança
existentes na sua infra-estrutura atual.
2. Fase 2: Planeje para longo prazo a instalação de sua PKI: Muitas empresas
adotam tecnologia de certificação sem considerar as necessidades de longo prazo para a
instalação de tecnologia, infra-estrutura e práticas sólidas. Muitas das companhias com
as quais a VeriSign trabalha tentaram inicialmente instalar soluções autonômas de
"apenas-software". Porém, rapidamente se deram conta de que estes três fatores -
suporte a longo prazo, redimensionabilidade e custo total de propriedade - se
adequavam com mais facilidade às soluções do OnSite da VeriSign que a soluções de
"apenas-software".
3. Fase 3: Comece protegendo seus servidores: A maioria das empresas se deparam
com uma questão fundamental sobre segurança, que são as comunicações entre seus
servidores e seus usuários internos e externos. Instalar SSL em seus servidores através
dos Certificados de Servidor é a única solução de tecnologia que proporciona um início
fácil e eficiente para a melhoria da segurança em todo o seu sistema. Abordaremos esta
questão mais detalhadamente na próxima seção deste guia.
4. Fase 4: Instale soluções de VPN e Certificado de Cliente: A instalação destas
soluções é um pouco mais trabalhosa que a de SSL e Secure Server IDs. Entretanto, são
necessárias para conseguir autenticar usuários em sua rede e garantir o não-repúdio de
transações ou comunicações. Com o OnSite, sua empresa poderá usar a mesma
interface e infra-estrutura para emitir Certificados de Servidor para SSL, Certificados de
Cliente para SSL, S/MIME e outros aplicativos, bem como Certificados de IPSEC para
roteadores, firewalls e outros componentes de sua Rede Privada Virtual.
file://D:\Projetos\CertiSign\prot_intra_extranet\documento_guia3.html
26/3/2004

VeriSign - Guia sobre como proteger servidores de Intranet e Extranet
Página 16 de 20
Como instalar SSL em seus servidores de Intranet e Extranet
Os certificados digitais permitem que os servidores de Intranet e Extranet implantem o
protocolo de Camada de Soquetes Seguras (SSL), a tecnologia padrão para comunicações
seguras na Web. O suporte a SSL está embutido em praticamente todos os softwares de
servidor web. Para habilitar esta segurança de servidor, contudo, você tem que instalar um
certificado digital em seu servidor.
Figura 11: Exemplo de Secure Server ID
A Figura 11 mostra um típico certificado digital para um servidor. Como você pode observar,
os certificados são emitidos para um endereço eletrônico específico (neste exemplo:
banking1.wellsfargo.com), operado por uma determinada empresa legalmente incorporada
(neste exemplo: Wells Fargo Bank of San Francisco, CA). O certificado contém número de
série, data de vencimento, várias extensões criptográficas e, obviamente, a chave pública
para o servidor web. Ele é então assinado com a chave privativa da CA que emitiu o
Certificado. (OBS: A maioria dos Secure Server IDs são assinados com a chave privativa de
uma empresa precursora da VeriSign, a RSA Data Security, Inc.)
Em conjunto com a SSL, os certificados digitais protegem as comunicações da Intranet da
através de:
• Autenticação - Quando um servidor usa um certificado de SSL, todos os navegadores
sabem que estão lidando com uma fonte legítima. A SSL aceita duas formas de
autenticação: através de certificados tanto de servidor como de cliente. Trocando
certificados digitais, os clientes e servidores podem verificar um ao outro, de forma que
cada um saiba exatamente que está do outro lado da transação.
• Privacidade da mensagem - Todo o tráfego entre o servidor e o navegador é
criptografado utilizando uma única "chave de sessão". Cada chave de sessão é usada
com um cliente durante uma conexão e criptografada com a chave pública do servidor.
Estas camadas de proteção de privacidade garantem que as informações não possam
ser interceptadas ou visualizadas por pessoas não autorizadas. (OBS: A criptografia é
utilizada em ambas as direções, mesmo que somente o servidor tenha um certificado
digital.)
• Integridade da mensagem - O conteúdo de todas as comunicações entre o servidor e o
navegador são protegidas contra alterações durante o percurso. Todos os envolvidos na
comunicação sabem que o que estão visualizando é exatamente o que foi enviado pela
outra parte.
A Figura 12 mostra os detalhes técnicos do que acontece durante uma sessão de SSL.
file://D:\Projetos\CertiSign\prot_intra_extranet\documento_guia3.html
26/3/2004

VeriSign - Guia sobre como proteger servidores de Intranet e Extranet
Página 17 de 20
As soluções da VeriSign para implantação da SSL
A VeriSign oferece uma série de soluções que satisfazem às necessidades das empresas que
desejam proteger seus aplicativos de Intranet e Extranet.
Certificados a varejo
As empresas que requeiram certificados apenas para alguns servidores podem obter seus
certificados diretamente da VeriSign. A VeriSign oferece um conjunto completo de serviços,
com período de validade, para estes clientes de Secure Server ID.
• A função Busca ajuda a determinar se o Certificado de Servidor consta como Válido,
Vencido ou Revogado.
• A função Renovação permite renovar um Certificado de Servidor que esteja vencendo ou
que já tenha vencido.
• A opção Revogação permite revogar um Certificado de Servidor, caso aconteça algo que
possa comprometê-lo (ex.: chaves privativas perdidas ou roubadas, par de chaves
corrompido, troca do proprietário do site, suspeita de fraude).
• A opção Substituição permite substituir o atual Certificado de servidor por um novo, se o
seu vier a ser corrompido ou se você tiver que revogar o seu certificado original.
Desde setembro de 1998, a VeriSign já emitiu mais de 75.000 certificados de servidor para
empresas de saúde, educação, automóveis, varejistas, assim como fábricas e órgãos do
Governo. Noventa e cinco por cento das empresas contidas na lista da Fortune 100 e todos os
20 maiores sites de comércio eletrônico na Web utilizam o Secure Server ID da VeriSign para
proteger comunicações e transações. Você pode proteger seus servidores, um por um,
solicitando Secure Server IDs para eles no site da CertiSign
(www.certisign.com.br/servidores/enroll/server/index_secureserver.html)
OnSite
As empresas que queiram proteger dezenas ou centenas de servidores de Intranet ou Extranet
em diversos departamentos ou regiões geográficas irão certamente levar em consideração o
file://D:\Projetos\CertiSign\prot_intra_extranet\documento_guia3.html
26/3/2004

VeriSign - Guia sobre como proteger servidores de Intranet e Extranet
Página 18 de 20
Server OnSite da VeriSign. O OnSite para Secure Server IDs fornece às empresas um meio
fácil de gerenciar a emissão, renovação, revogação e uso dos certificados de servidor. Com o
OnSite supracitado, as empresas podem solicitar, aprovar e instalar seus certificados em
poucos minutos, conseguindo, assim, flexibilidade máxima. Além do mais, como o Server
OnSite permite que as empresas encomendem vários certificados de servidor para vários
servidores, você abstém-se de lidar com várias Ordens de Compra e suas respectivas datas de
validade. (Para obter maiores informações, visite a página
www.certisign.com.br/onsite/index_onsite_server.html).
Próxima etapa: Como utilizar Certificados de Cliente (Client
IDs) e Certificados de Rede Privada Virtual (VPN IDs)
Como a SSL não exige que o cliente tenha um certificado, algumas empresas, no início,
limitam o acesso aos servidores, através do uso de senhas. Entretanto, muitas organizações
acreditam que designar certificados digitais para usuários finais proporciona uma solução a
longo prazo muito melhor. A sua empresa pode centralizar a administração das emissões,
revogações e renovações dos certificados digitais. Ao contrário das senhas, você pode usar
certificados digitais para habilitar a assinatura de documentos, proteger correio eletrônico e
outras aplicações úteis. Além disso, você pode aumentar facilmente os servidores web que
tenham sido configurados para SSL, utilizando os certificados de servidor para solicitar
certificados de cliente para autenticação de usuários finais.
Durante o próximo ano, pode ser que as empresas que instalem Extranets considerem a
possibilidade de usar o VeriSign OnSite para habilitar o protocolo IPSEC dentro das Redes
Privadas Virtuais (VPN's). O IPSEC permite comunicações autenticadas e seguras entre
roteadores e firewalls.
Conclusão
À medida que as suas empresas adotem as soluções de Intranet e Extranet, você terá que ser
muito cuidadoso para garantir que a sua empresa implante uma solução de segurança sólida.
As soluções industriais padrão, baseadas na Infra-estrutura de Chave Pública, podem fornecer
uma estrutura que garanta os objetivos de privacidade, autenticação, integridade do conteúdo
e facilidade de uso. A implantação de uma PKI apropriada exige, no entanto, que sua função
de Autoridade Certificadora seja desempenhada com tecnologia, infra-estrutura e práticas da
mais alta qualidade.
As soluções de PKI da VeriSign já permitiram que centenas de organizações, em diversas
áreas, instalassem soluções de PKI de forma rápida e eficaz. O OnSite da VeriSign,
particularmente, permite que a sua empresa obtenha as vantagens de uma PKI de larga
escala por um quinto do custo e investimento normais, utilizando a tecnologia, infra-estrutura
e práticas atuais da VeriSign.
Como primeiro passo, a VeriSign recomenda proteger todos os servidores dentro da sua
Intranet e Extranet com certificados de servidor e o protocolo de SSL. Isto pode ser feito de
forma rápida e eficaz, através de um produto da VeriSign denominado OnSite for Server ID.
Este produto fornece às empresas que tenham muitos servidores de Intranet e Extranet o
controle máximo sobre a emissão e o gerenciamento destes servidores, através de uma
instalação rápida, facilidade de uso e funcionamento relativamente barato.
Para saber mais sobre as soluções do OnSite for Server ID, vá para a página
www.certisign.com.br/onsite/index_onsite_server.html para conseguir certificados de teste,
publicações, especificações e informações sobre preços.
Para falar com um representante da VeriSign, ligue para 650-429-3522.
Para obter maiores informações sobre as ofertas do OnSite para Certificados de Cliente e
file://D:\Projetos\CertiSign\prot_intra_extranet\documento_guia3.html
26/3/2004

VeriSign - Guia sobre como proteger servidores de Intranet e Extranet
Página 19 de 20
Certificados de VPN, visite a página www.certisign.com.br/onsite/index.html
Finalmente, para programar uma avaliação mais profunda sobre segurança para sua
companhia, visite a mais nova subsidiária da VeriSign, a SecureIT, na página
www.secureit.com. Este grupo de 40 consultores profissionais de segurança pode ajudar sua
empresa a desenvolver planos de segurança de longo alcance.
Estudos de casos
O OnSite da VeriSign protege o Sistema de Distribuição Automática de Medicamentos da Pyxis
Há mais de 10 anos, a Pyxis Corporation, sediada em San Diego, foi a pioneira no lançamento
de uma nova categoria de produto na área da saúde, a distribuição automática de
medicamentos, que permite que farmácias e hospitais dinamizassem o processo de
distribuição de medicamentos e suprimentos médicos. Um dos produtos da Pyxis é o Sistema
MEDSTATION de sistema 2000 Rx, que a Pyxis fornece para pronto uso para quase 2.500
clientes. Os farmacêuticos estocam o MEDSTATION com os medicamentos solicitados pelos
pacientes em uma determinada área do hospital. Ao acessar o MEDSTATION através de uma
senha segura, as enfermeiras designadas para aquela área podem acessar o arquivo de cada
paciente, onde estão especificados os medicamentos e as doses que ele tem que receber. O
MEDSTATION, então, distribui fisicamente o medicamento e rastreia os medicamentos que o
paciente recebeu, para efeito de faturamento.
Recentemente, a Pyxis acrescentou ao sistema um novo módulo, que registra os
medicamentos dados a pacientes que chegaram ao hospital inconscientes e sem identificação.
Uma vez identificado o paciente, seu registro é enviado para o banco de dados principal do
MEDSTATION. Este novo módulo, que se encontra em um servidor chamado Procar, pode ser
acessado a partir de estações de trabalho de desktop equipadas com um navegador. As
comunicações entre as estações de trabalho e o Procar são protegidas com pelos certificados
digitais do OnSite da VeriSign. "Como já sabíamos há algum tempo que nosso aplicativo só
seria usado na Intranet dentro das dependências do hospital, ficamos tentados a montá-lo
para operar naquele ambiente altamente seguro. Mas então nós pensamos que 'não seria legal
para os farmacêuticos que eventualmente tivessem que discar e acessar o sistema a partir de
suas casas'. Assim, nós o montamos com o mais alto nível de segurança para um aplicativo
habilitado para a Web." diz James H. King, Diretor de Desenvolvimento de Interface da Pyxis.
A Pyxis escolheu o VeriSign Onsite para seus certificados digitais, diz King, "por causa do
volume de certificados digitais que precisávamos. Como planejamos instalar 500 destes
sistemas dentro dos próximos 12 a 18 meses, as características do OnSite para emissão de
volumes de certificados foram decisivas, já que adquiri-los um a um demora muito tempo.
Além disso, nós conseguimos um grande desconto."
No futuro, a Pyxis tem planos ainda maiores para o Onsite. A Pyxis planeja usar o servidor do
Procar como gateway entre o principal banco de dados de pacientes dos hospitais e um novo
depósito de dados que fornecerá processamento analítico on-line. O novo sistema permitirá
que os hospitais acessem este depósito de dados através de um aplicativo habilitado para a
Web. E o certificado digital do VeriSign Onsite estará lá para proteg ê-lo.
A Deere & Company protege sua Intranet com o VeriSign OnSite
A Deere & Company, com sede em Moline (Illinois), é líder mundial no mercado de
fornecimento de equipamentos agrícolas e uma grande produtora de equipamentos para uma
série de indústrias. A empresa também fornece serviços financeiros, tais como créditos,
seguros e planos de saúde gerenciados. Com 35.500 funcionários e escritórios em 160 países,
o total de vendas e receitas da Deere & Company foi de $12.79 bilhões em 1997.
A Deere & Company usa o OnSite para proteger seus sistemas de Intranet porque, diz Farhan
Ahmed Siddiq, consultor da Deere, "para informações sobre salários e benefícios que nós não
file://D:\Projetos\CertiSign\prot_intra_extranet\documento_guia3.html
26/3/2004

VeriSign - Guia sobre como proteger servidores de Intranet e Extranet
Página 20 de 20
queremos que funcionários não autorizados tenham acesso, os certificados pessoais e as
senhas não fornecem segurança suficiente. Um administrador de rede poderia colocar um
'farejador' de rede no fio e começar a 'xeretar' para conseguir estas informações. A SSL
fornece criptografia para impedir que um farejador decifre informações confidenciais."
A companhia usa o VeriSign OnSite para Secure Server IDs para emitir e gerenciar certificados
digitais que habilitem a SSL em seus sistemas de Intranet, porque a VeriSign oferece a mais
completa solução existente no mercado. "Queríamos ser capazes de emitir certificados
rapidamente e ter mais controle sobre eles", explica Siddiq. "Anteriormente, solicitar
certificados significava um intervalo de tempo de cerca de uma semana para que as ordens de
compra fossem processadas, e assim por diante. Era um transtorno. O VeriSign Onsite permite
que nós mesmos gerenciemos os certificados. Já que nós solicitamos um ou dois certificados
por semana, fazia mais sentido comprá-los em grandes quantidades".
Copyright © 1998, VeriSign, Inc.
file://D:\Projetos\CertiSign\prot_intra_extranet\documento_guia3.html
26/3/2004