Guia sobre como proteger servidores de Intranet e Extranet
Guia sobre como proteger servidores de Intranet e Extranet
Guia sobre como proteger servidores de Intranet e Extranet
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
VeriSign - <strong>Guia</strong> <strong>sobre</strong> <strong>como</strong> <strong>proteger</strong> <strong>servidores</strong> <strong>de</strong> <strong>Intranet</strong> e <strong>Extranet</strong><br />
Página 1 <strong>de</strong> 20<br />
<strong>Guia</strong> <strong>sobre</strong> <strong>como</strong> <strong>proteger</strong> <strong>servidores</strong> <strong>de</strong> <strong>Intranet</strong><br />
e <strong>Extranet</strong><br />
• Resumo<br />
• Vantagens da <strong>Intranet</strong> e da <strong>Extranet</strong><br />
• Novas preocupações relativas à<br />
segurança<br />
• Objetivos dos sistemas <strong>de</strong> segurança<br />
<strong>de</strong> <strong>Intranet</strong> e <strong>Extranet</strong><br />
• Certificados e PKI: a mais eficiente<br />
solução <strong>de</strong> tecnologia para atingir<br />
seus objetivos <strong>de</strong> segurança<br />
• O papel fundamental da Autorida<strong>de</strong><br />
Certificadora<br />
• Começando<br />
• Próxima etapa: Como utilizar os<br />
Certificados <strong>de</strong> Cliente e os<br />
Certificados <strong>de</strong> VPN (Re<strong>de</strong> Privada<br />
Virtual)<br />
• Conclusão<br />
• Estudos <strong>de</strong> Casos<br />
Resumo<br />
Nos últimos quatro anos, as empresas têm adotado as <strong>Intranet</strong>s e as <strong>Extranet</strong>s<br />
entusiasticamente. Isto não é <strong>de</strong> se estranhar, já que as <strong>Intranet</strong>s e <strong>Extranet</strong>s oferecem nítida<br />
redução <strong>de</strong> custos e facilida<strong>de</strong> <strong>de</strong> instalação, se comparadas com as antigas WANs ou re<strong>de</strong>s <strong>de</strong><br />
linhas privadas, que se baseavam em tecnologia patenteada. Além do mais, elas possibilitam<br />
novos meios <strong>de</strong> trabalho altamente produtivos e rentáveis. As empresas po<strong>de</strong>m usar as<br />
<strong>Intranet</strong>s e <strong>Extranet</strong>s para distribuir informações <strong>de</strong> maneira mais econômica e mais oportuna,<br />
bem <strong>como</strong> para elaborar uma vasta gama <strong>de</strong> aplicativos <strong>de</strong> auto-serviço, o que ajuda a reduzir<br />
os custos administrativos. Além disso, as empresas po<strong>de</strong>m utilizá-las para melhorar a<br />
colaboração tanto entre os funcionários da organização <strong>como</strong> com os parceiros comerciais.<br />
Conforme as <strong>Intranet</strong>s e <strong>Extranet</strong>s vêm sendo mais amplamente utilizadas, novos <strong>de</strong>safios <strong>de</strong><br />
segurança têm se apresentado. Embora muitas empresas tenham instalado firewalls e<br />
tecnologia <strong>de</strong> controle ao acesso para aperfeiçoar a segurança, estas tecnologias ainda <strong>de</strong>ixam<br />
não resolvidos muitos assuntos relacionados à segurança.<br />
A finalida<strong>de</strong> <strong>de</strong>ste guia é dar uma visão geral dos principais riscos <strong>de</strong> segurança ao se instalar<br />
<strong>Intranet</strong>s e <strong>Extranet</strong>s, bem <strong>como</strong> discutir os cinco objetivos fundamentais <strong>de</strong> um sistema <strong>de</strong><br />
segurança: Privacida<strong>de</strong>, Autenticação, Integrida<strong>de</strong> do conteúdo, Não-repúdio e Facilida<strong>de</strong> <strong>de</strong><br />
uso. O guia também <strong>de</strong>screverá <strong>como</strong> um sistema <strong>de</strong> Infra-estrutura <strong>de</strong> Chave Pública (PKI),<br />
instalado <strong>de</strong> forma inteligente e baseado na tecnologia <strong>de</strong> certificação digital, lida com estes<br />
objetivos <strong>de</strong> segurança. Finalmente, o guia se propõe a dar uma visão geral <strong>de</strong> <strong>como</strong> a família<br />
<strong>de</strong> produtos do OnSite da VeriSign po<strong>de</strong> ajudar a sua empresa a montar uma PKI <strong>de</strong> forma<br />
rápida e eficaz.<br />
O crescimento da <strong>Intranet</strong> e da <strong>Extranet</strong><br />
Poucas tecnologias têm sido aceitas tão rapidamente <strong>como</strong> as <strong>Intranet</strong>s <strong>de</strong>ntro das<br />
organizações. Praticamente <strong>de</strong>sconhecidas há quatro anos, as <strong>Intranet</strong>s são agora<br />
onipresentes. Os analistas da Zona Research previram que o mercado <strong>de</strong> <strong>Intranet</strong> exce<strong>de</strong>ria o<br />
<strong>de</strong> Internet em uma proporção <strong>de</strong> 2 para 1 em 1999. A Killen & Associados estimou que o<br />
mercado para software, equipamentos e serviços relacionados a <strong>Intranet</strong> nos Estados Unidos<br />
exce<strong>de</strong>ria a $20 bilhões até o ano 2000. No princípio <strong>de</strong> 1997, a Booz Allen & Hamilton<br />
informou que quase todos os integrantes da lista da Fortune 500 já tinham <strong>de</strong>senvolvido uma<br />
<strong>Intranet</strong> ou estavam no <strong>de</strong>correr do processo.<br />
file://D:\Projetos\CertiSign\prot_intra_extranet\documento_guia3.html<br />
26/3/2004
VeriSign - <strong>Guia</strong> <strong>sobre</strong> <strong>como</strong> <strong>proteger</strong> <strong>servidores</strong> <strong>de</strong> <strong>Intranet</strong> e <strong>Extranet</strong><br />
Página 2 <strong>de</strong> 20<br />
Muitas <strong>de</strong>stas organizações estão agora ampliando suas <strong>Intranet</strong>s para alcançar clientes-chave<br />
e/ou parceiros comerciais através <strong>de</strong> <strong>Extranet</strong>s. Uma pesquisa realizada em 1998 pela<br />
empresa <strong>de</strong> pesquisa <strong>de</strong> mercado RHI Consulting com 1.400 diretores <strong>de</strong> informações mostrou<br />
que 38% dos que respon<strong>de</strong>ram acreditam que a popularida<strong>de</strong> das <strong>Extranet</strong>s <strong>de</strong>ve "aumentar<br />
significativamente" nos próximos três anos. Já outros 44% afirmaram acreditar que a<br />
popularida<strong>de</strong> <strong>de</strong>las "aumentaria um pouco" durante o mesmo período.<br />
Figura 1: A re<strong>de</strong> em expansão<br />
Vantagens da <strong>Intranet</strong> e da <strong>Extranet</strong><br />
As razões para este crescimento são óbvias. Comparadas com as primeiras WANs (re<strong>de</strong>s <strong>de</strong><br />
gran<strong>de</strong> área), que se baseavam na tecnologia patenteada ou nas caras linhas privadas, a<br />
montagem e operação das <strong>Intranet</strong>s e <strong>Extranet</strong>s é infinitamente mais fácil e menos<br />
dispendiosa. As <strong>Intranet</strong>s po<strong>de</strong>m oferecer às empresas muita eficiência operacional e,<br />
conseqüentemente, po<strong>de</strong>m gerar um incrível retorno <strong>de</strong> investimento.<br />
Enquanto as WANs exigiam caras linhas privadas, as <strong>Intranet</strong>s e <strong>Extranet</strong>s permitem que os<br />
usuários se comuniquem através <strong>de</strong> gran<strong>de</strong>s distâncias utilizando apenas as econômicas linhas<br />
<strong>de</strong> Internet pública. Quando as empresas tentavam ligar as LANs (re<strong>de</strong>s <strong>de</strong> área local) à WAN,<br />
diversos protocolos <strong>de</strong> comunicação (inclusive ipx/spx, netbios, netbui e DECnet)<br />
freqüentemente limitavam a capacida<strong>de</strong> dos aplicativos <strong>de</strong> se relacionarem entre si. Como<br />
utilizam o TCP/IP, o protoloco padrão da Internet, as <strong>Intranet</strong>s e <strong>Extranet</strong>s tornam mais fácil o<br />
relacionamento entre diferentes sistemas <strong>de</strong> computador <strong>de</strong>ntro <strong>de</strong> uma organização, ou até<br />
mesmo fora <strong>de</strong>la. Usando a linguagem <strong>de</strong> hipertexto e o mo<strong>de</strong>lo <strong>de</strong> navegador da Re<strong>de</strong><br />
Mundial, as <strong>Intranet</strong>s fornecem aos usuários ferramentas gráficas e fáceis <strong>de</strong> operar.<br />
Uma vez prontas para funcionar, as <strong>Intranet</strong>s e <strong>Extranet</strong>s reduzem custos e melhoram as<br />
operações <strong>de</strong> diversas formas, inclusive:<br />
• Reduzindo os custos <strong>de</strong> distribuição <strong>de</strong> informações - As <strong>Intranet</strong>s tornam mais rápido e<br />
fácil distribuir políticas, procedimentos e novida<strong>de</strong>s a respeito da companhia aos<br />
funcionários; as <strong>Extranet</strong>s tornam mais fácil e barato distribuir catálogos e listas <strong>de</strong><br />
preços on-line.<br />
• Diminuindo os custos administrativos - As capacida<strong>de</strong>s interativas da <strong>Intranet</strong> e da<br />
<strong>Extranet</strong> permitem que os usuários realizem sozinhos muitas tarefas que antes exigiam<br />
assistência administrativa. Por exemplo, as <strong>Intranet</strong>s possibilitam que os próprios<br />
funcionários se inscrevam no plano <strong>de</strong> saú<strong>de</strong> da companhia, enquanto que os clientes<br />
entre empresas po<strong>de</strong>m utilizar a <strong>Extranet</strong> para fazer sozinhos os seus pedidos.<br />
• Melhorando a colaboração - Os usuários se tornam mais produtivos com o uso da<br />
Intra/<strong>Extranet</strong>, formando equipes on-line. Estas equipes virtuais po<strong>de</strong>m colaborar na<br />
file://D:\Projetos\CertiSign\prot_intra_extranet\documento_guia3.html<br />
26/3/2004
VeriSign - <strong>Guia</strong> <strong>sobre</strong> <strong>como</strong> <strong>proteger</strong> <strong>servidores</strong> <strong>de</strong> <strong>Intranet</strong> e <strong>Extranet</strong><br />
Página 3 <strong>de</strong> 20<br />
medida em que eliminam <strong>de</strong>spesas com freqüentes viagens ou atrasos no envio <strong>de</strong><br />
informações via correio. Dentro <strong>de</strong> uma empresa, a <strong>Intranet</strong> po<strong>de</strong> nivelar hierarquias,<br />
conce<strong>de</strong>ndo aos funcionários um acesso maior às informações necessárias para tomar<br />
<strong>de</strong>cisões estratégicas. Da mesma forma, as <strong>Extranet</strong>s permitem que as empresas<br />
colaborem mais intimamente uma com a outra. Por exemplo, as <strong>Extranet</strong>s po<strong>de</strong>m ser<br />
utilizadas para integrar a re<strong>de</strong> <strong>de</strong> fornecedores, substituindo caros sistemas<br />
patenteados, tal <strong>como</strong> o intercâmbio eletrônico <strong>de</strong> dados.<br />
A soma total <strong>de</strong>stas vantagens po<strong>de</strong> significar um impulso incrível no lucro líquido <strong>de</strong> uma<br />
empresa. Um artigo recente no Jornal da <strong>Intranet</strong> menciona o surpreen<strong>de</strong>nte retorno obtido<br />
pelas companhias que investiram em <strong>Intranet</strong> e <strong>Extranet</strong>. Por exemplo, a implantação <strong>de</strong> uma<br />
<strong>Intranet</strong> na Lockheed Martin gerou um inacreditável retorno <strong>de</strong> investimento <strong>de</strong> 1,562%; na<br />
Ca<strong>de</strong>nce, Inc., foi <strong>de</strong> 1,766%; e na US West, mais <strong>de</strong> 1,000%.<br />
As <strong>Extranet</strong>s industriais também prometem. Por exemplo, na indústria <strong>de</strong> automóveis e na <strong>de</strong><br />
venda a varejo, muitas companhias estão montando re<strong>de</strong>s para a ca<strong>de</strong>ia <strong>de</strong> fornecedores<br />
baseadas na <strong>Extranet</strong>, permitindo que informações em tempo real (<strong>como</strong> estoque, pedidos e<br />
dados <strong>sobre</strong> entrega) sejam trocadas entre varejistas, distribuidores, fabricantes e<br />
fornecedores. Isto ajuda <strong>sobre</strong>maneira a aperfeiçoar a capacida<strong>de</strong> das empresas pertencentes<br />
à re<strong>de</strong> <strong>de</strong> fornecedores <strong>de</strong> a<strong>de</strong>quar a oferta <strong>de</strong> mercadorias à <strong>de</strong>manda pelas mesmas,<br />
diminuindo simultaneamente os estoques. Isto aumenta a eficiência, o controle <strong>de</strong> estoques e,<br />
em última instância, a rentabilida<strong>de</strong> <strong>de</strong> toda a re<strong>de</strong> <strong>de</strong> fornecedores.<br />
Novas preocupações relativas à segurança<br />
Conforme cresce o uso <strong>de</strong> <strong>Intranet</strong>s e <strong>Extranet</strong>s, aumenta a necessida<strong>de</strong> <strong>de</strong> segurança. A<br />
tecnologia e os protocolos TCP/IP foram projetados inerentemente para serem abertos. O<br />
TCP/IP é um protocolo sem conexões; os dados são divididos em pacotes <strong>de</strong> informações e<br />
viajam livremente pela re<strong>de</strong>, procurando o melhor caminho possível para chegar ao seu<br />
<strong>de</strong>stino final. Portanto, a menos que as <strong>de</strong>vidas precauções sejam tomadas, os dados po<strong>de</strong>m<br />
ser facilmente interceptados ou alterados, freqüentemente sem o conhecimento tanto do<br />
emissor <strong>como</strong> do receptor da mensagem. Como normalmente os links exclusivos entre as<br />
partes <strong>de</strong> uma comunicação não são estabelecidos com antecedência, é fácil para uma parte<br />
fazer-se passar pela outra.<br />
Figura 2: A expansão das re<strong>de</strong>s aumenta a quantida<strong>de</strong> <strong>de</strong> possíveis pontos <strong>de</strong> ataque<br />
file://D:\Projetos\CertiSign\prot_intra_extranet\documento_guia3.html<br />
26/3/2004
VeriSign - <strong>Guia</strong> <strong>sobre</strong> <strong>como</strong> <strong>proteger</strong> <strong>servidores</strong> <strong>de</strong> <strong>Intranet</strong> e <strong>Extranet</strong><br />
Página 4 <strong>de</strong> 20<br />
A Figura 2 ilustra <strong>como</strong> o crescimento na complexida<strong>de</strong> da re<strong>de</strong> aumentou os pontos<br />
potenciais <strong>de</strong> ataque, tanto <strong>de</strong> fora <strong>como</strong> <strong>de</strong> <strong>de</strong>ntro das organizações. Felizmente, os meios <strong>de</strong><br />
proteção contra estes ataques também se aperfeiçoaram.<br />
Os firewalls e as senhas são duas das precauções <strong>de</strong> segurança mais utilizadas hoje em dia.<br />
As senhas <strong>de</strong>stinam-se a impedir que pessoas não autorizadas tenham acesso direto aos<br />
dados confi<strong>de</strong>nciais armazenados em <strong>servidores</strong>. Os firewalls, ao contrário, <strong>de</strong>stinam-se a<br />
fornecer um mecanismo <strong>de</strong> <strong>de</strong>fesa perimétrico, evitando que pessoas não autorizadas <strong>de</strong> fora<br />
da empresa tenham acesso a dados confi<strong>de</strong>nciais <strong>de</strong>ntro da empresa. Segundo um estudo<br />
recente da IDC, praticamente 100% das empresas da lista da Fortune 500 já instalaram<br />
firewalls.<br />
Apesar do seu importante papel na segurança <strong>de</strong> re<strong>de</strong>s e <strong>de</strong> sua adoção tão difundida, a<br />
solução fornecida pelos firewalls é parcial. Como mostrado na Figura 2, as <strong>de</strong>fesas<br />
perimétricas pouco po<strong>de</strong>m fazer para impedir ataques vindos <strong>de</strong> <strong>de</strong>ntro da empresa (ex.:<br />
funcionários ou empreiteiros <strong>de</strong>scontentes, etc.). As senhas também não surtem melhor efeito<br />
contra ataques internos. A maioria das senhas são sabidamente fáceis <strong>de</strong> adivinhar. Quando<br />
não são adivinhadas, po<strong>de</strong>m ser encontradas com freqüência nos mousepads dos funcionários,<br />
ou ainda, interceptadas enquanto transitam às claras pelas re<strong>de</strong>s da empresa.<br />
Mesmo quando as senhas não são adivinhadas ou quando são utilizados métodos mais<br />
sofisticados <strong>de</strong> controle <strong>de</strong> acesso, é importante observar que o controle <strong>de</strong> acesso sozinho<br />
não garante que as informações permanecerão confi<strong>de</strong>nciais. Embora um bom sistema <strong>de</strong><br />
senhas possa evitar que alguém penetre em um servidor para obter informações confi<strong>de</strong>nciais,<br />
as senhas não protegem os dados quando eles passam "pelo fio" para irem do servidor para o<br />
cliente.<br />
Isto também se aplica a dados que passam por fora do firewall, trocados entre os <strong>servidores</strong><br />
das empresas e filiais, clientes, fornecedores ou funcionários longe da empresa. A qualquer<br />
hora em que estes dados forem enviados dos <strong>servidores</strong> para as empresas por fora do seu<br />
firewall, eles po<strong>de</strong>rão ser interceptados por "farejadores". Os piratas (hackers) não precisam<br />
"entrar" no seu sistema, se você estiver enviando dados fora do perímetro.<br />
Tipos <strong>de</strong> riscos <strong>de</strong> segurança encontrados em <strong>Intranet</strong>s e <strong>Extranet</strong>s<br />
As brechas <strong>de</strong> segurança em <strong>Intranet</strong>s e <strong>Extranet</strong>s po<strong>de</strong>m assumir várias formas. Por<br />
exemplo:<br />
• Uma pessoa não autorizada (<strong>como</strong> um empreiteiro ou um visitante) po<strong>de</strong>ria ter acesso<br />
ao sistema <strong>de</strong> computadores <strong>de</strong> uma companhia.<br />
• Um funcionário ou fornecedor autorizado a usar o sistema com uma finalida<strong>de</strong> po<strong>de</strong>ria<br />
usá-lo com outra. Por exemplo, um engenheiro po<strong>de</strong>ria violar o banco <strong>de</strong> dados <strong>de</strong><br />
Recursos Humanos para obter informações confi<strong>de</strong>nciais <strong>sobre</strong> salários.<br />
• Informações confi<strong>de</strong>nciais po<strong>de</strong>riam ser interceptadas quando estivessem sendo<br />
enviadas para um usuário autorizado. Por exemplo, um intruso po<strong>de</strong>ria pren<strong>de</strong>r à sua<br />
re<strong>de</strong> um dispositivo farejador <strong>de</strong> re<strong>de</strong>s. Embora os farejadores sejam normalmente<br />
usados para diagnósticos <strong>de</strong> re<strong>de</strong>s, também po<strong>de</strong>m ser utilizados para interceptar dados<br />
transmitidos através do fio.<br />
• Os usuários po<strong>de</strong>m compartilhar documentos entre escritórios separados<br />
geograficamente através da Internet ou <strong>Extranet</strong>, ou ainda, funcionários que acessem a<br />
<strong>Intranet</strong> da empresa a partir <strong>de</strong> seu computador em casa po<strong>de</strong>m <strong>de</strong>ixar a <strong>de</strong>scoberto<br />
dados confi<strong>de</strong>nciais quando enviados pelo fio.<br />
• O correio eletrônico po<strong>de</strong> ser interceptado durante o seu trajeto.<br />
Estas não são meras preocupações teóricas. Embora nos últimos anos tenham sido muito<br />
divulgados na mídia os ataques <strong>de</strong> hackers pela Internet a sistemas computacionais <strong>de</strong><br />
empresas, na realida<strong>de</strong>, é muito mais provável que um ataque aos sistemas <strong>de</strong> computador da<br />
file://D:\Projetos\CertiSign\prot_intra_extranet\documento_guia3.html<br />
26/3/2004
VeriSign - <strong>Guia</strong> <strong>sobre</strong> <strong>como</strong> <strong>proteger</strong> <strong>servidores</strong> <strong>de</strong> <strong>Intranet</strong> e <strong>Extranet</strong><br />
Página 5 <strong>de</strong> 20<br />
companhia venha pela <strong>Intranet</strong>, praticado por pessoas <strong>de</strong> <strong>de</strong>ntro da companhia (<strong>como</strong><br />
funcionários atuais, funcionários antigos, empreiteiros trabalhando no local e outros<br />
fornecedores). Em uma pesquisa realizada em 1998 com 520 profissionais <strong>de</strong> segurança <strong>de</strong><br />
empresas e outras instituições americanas, conduzida pelo Instituto <strong>de</strong> Segurança <strong>de</strong><br />
Computadores <strong>de</strong> San Francisco e com a participação do FBI, 44% relataram acesso não<br />
autorizado por funcionários contra 24% que relataram violação do sistema vinda <strong>de</strong> fora.<br />
É provável que tais brechas <strong>de</strong> segurança internas venham a resultar em perdas maiores que<br />
as advindas <strong>de</strong> ataques externos. Dentre as organizações que estavam aptas a quantificar<br />
suas perdas, a pesquisa do Instituto <strong>de</strong> Segurança <strong>de</strong> Computadores <strong>de</strong>scobriu que a maioria<br />
das graves perdas financeiras ocorreram através <strong>de</strong> acesso não autorizado por pessoas <strong>de</strong><br />
<strong>de</strong>ntro da empresa, com 18 companhias relatando perdas totais <strong>de</strong> $50.565.000, em<br />
comparação com um montante <strong>de</strong> $86.257.000 para as outras 223 companhias que<br />
conseguiram estimar um valor em dólares para suas perdas. Portanto, quanto mais as<br />
empresas instalam <strong>Intranet</strong>s and <strong>Extranet</strong>s, mais se torna vital para elas <strong>proteger</strong> estes<br />
sistemas <strong>de</strong> ataques internos.<br />
Figura 3: As perdas, em média, <strong>de</strong> vários tipos <strong>de</strong> ataques<br />
Fonte: Pesquisa CSI/FBI <strong>sobre</strong> segurança <strong>de</strong> computadores realizada em 1998<br />
Objetivos dos sistemas <strong>de</strong> segurança <strong>de</strong> <strong>Intranet</strong> e <strong>Extranet</strong><br />
Por sorte, há uma boa varieda<strong>de</strong> <strong>de</strong> técnicas disponíveis para resolver estes buracos na<br />
segurança <strong>de</strong> <strong>Extranet</strong>s e <strong>Intranet</strong>s. Entretanto, antes <strong>de</strong> optar por uma <strong>de</strong>terminada<br />
tecnologia, é importante compreen<strong>de</strong>r toda a gama <strong>de</strong> assuntos que envolve os sistemas <strong>de</strong><br />
segurança:<br />
• Autenticação — garante que as entida<strong>de</strong>s que estão acessando sistemas, enviando ou<br />
recebendo mensagens realmente são quem afirmam ser, bem <strong>como</strong> que têm<br />
autorização para praticar tais ações.<br />
• Privacida<strong>de</strong> — garante que somente aquele <strong>de</strong>terminado <strong>de</strong>stinatário terá acesso à sua<br />
mensagem criptografada.<br />
• Integrida<strong>de</strong> do conteúdo — garante que as mensagens não foram alterados por<br />
nenhuma das partes <strong>de</strong>s<strong>de</strong> que foram enviadas.<br />
• Não-Repúdio — indica a fonte <strong>de</strong> uma mensagem, <strong>de</strong> forma que, posteriormente, o<br />
file://D:\Projetos\CertiSign\prot_intra_extranet\documento_guia3.html<br />
26/3/2004
VeriSign - <strong>Guia</strong> <strong>sobre</strong> <strong>como</strong> <strong>proteger</strong> <strong>servidores</strong> <strong>de</strong> <strong>Intranet</strong> e <strong>Extranet</strong><br />
Página 6 <strong>de</strong> 20<br />
remetente não po<strong>de</strong>rá afirmar que não foi ele quem a enviou.<br />
• Facilida<strong>de</strong> <strong>de</strong> uso — garante que os sistemas <strong>de</strong> segurança possam ser implantados <strong>de</strong><br />
forma consistente e minuciosa para uma vasta gama <strong>de</strong> aplicativos, sem restringir<br />
<strong>de</strong>snecessariamente a capacida<strong>de</strong> <strong>de</strong> indivíduos e organizações <strong>de</strong> empreen<strong>de</strong>r suas<br />
tarefas diárias.<br />
Este último objetivo é negligenciado com freqüência. As empresas <strong>de</strong>vem não somente<br />
<strong>de</strong>senvolver medidas <strong>de</strong> segurança sólidas, mas também encontrar uma forma <strong>de</strong> assegurar<br />
que os usuários concor<strong>de</strong>m totalmente com elas. Se eles acharem que as medidas <strong>de</strong><br />
segurança são enfadonhas e que consomem muito do seu tempo, provavelmente irão<br />
<strong>de</strong>scobrir <strong>como</strong> escapar <strong>de</strong>las, o que, conseqüentemente, colocará em risco sua <strong>Intranet</strong> e<br />
<strong>Extranet</strong>. As empresas po<strong>de</strong>m garantir a aprovação total <strong>de</strong> seus funcionários à sua política <strong>de</strong><br />
segurança através <strong>de</strong>:<br />
• Aplicativos sistemáticos - O sistema <strong>de</strong>ve impor automaticamente a política <strong>de</strong><br />
segurança, fazendo com que ela seja mantida todo o tempo.<br />
• Facilida<strong>de</strong> <strong>de</strong> instalação para o usuário final - Quanto mais transparente for o sistema,<br />
mais fácil será o seu uso para os usuários finais — e maiores as probabilida<strong>de</strong>s <strong>de</strong> eles o<br />
utilizarem. O i<strong>de</strong>al seria que as políticas <strong>de</strong> segurança já viessem embutidas no sistema,<br />
sem que os usuários tivessem que ler manuais <strong>de</strong>talhados e seguir procedimentos<br />
rebuscados.<br />
• Total aceitação por vários aplicativos - O mesmo sistema <strong>de</strong> segurança <strong>de</strong>ve ser<br />
compatível com todos os aplicativos utilizados pelo usu ário. Por exemplo, você tem que<br />
po<strong>de</strong>r usar o mesmo sistema <strong>de</strong> segurança se quiser <strong>proteger</strong> correio eletrônico,<br />
comércio eletrônico, acesso ao servidor através <strong>de</strong> um navegador, ou comunicações<br />
remotas através <strong>de</strong> uma re<strong>de</strong> privada virtual.<br />
Certificados e PKI: a mais eficiente solução <strong>de</strong> tecnologia para<br />
atingir seus objetivos <strong>de</strong> segurança<br />
Figura 4. A Infra-estrutura <strong>de</strong> Chave Pública fornece ferramentas para que os objetivos <strong>de</strong><br />
segurança sejam atingidos<br />
Felizmente, tem sido <strong>de</strong>senvolvido nos últimos quinze anos um conjunto <strong>de</strong> tecnologias que<br />
satisfaz perfeitamente a estes cinco objetivos <strong>de</strong> segurança. Mais conhecida <strong>como</strong> Infraestrutura<br />
<strong>de</strong> Chave Pública(PKI), esta tecnologia permite que as empresas utilizem re<strong>de</strong>s<br />
abertas, tais <strong>como</strong> as <strong>Intranet</strong>s e <strong>Extranet</strong>s <strong>de</strong> TCP/IP, para fazer uma réplica ou até mesmo<br />
aperfeiçoar os mecanismos usados para assegurar a segurança no mundo real. Envelopes e<br />
firmas <strong>de</strong> envio seguro são substituídos por sofisticados métodos <strong>de</strong> criptografia <strong>de</strong> dados,<br />
garantindo que as mensagens sejam lidas apenas pelos <strong>de</strong>vidos <strong>de</strong>stinatários. Assinaturas<br />
físicas e selos são substituídos por assinaturas digitais, que, além <strong>de</strong> assegurar que as<br />
file://D:\Projetos\CertiSign\prot_intra_extranet\documento_guia3.html<br />
26/3/2004
VeriSign - <strong>Guia</strong> <strong>sobre</strong> <strong>como</strong> <strong>proteger</strong> <strong>servidores</strong> <strong>de</strong> <strong>Intranet</strong> e <strong>Extranet</strong><br />
Página 7 <strong>de</strong> 20<br />
mensagens realmente vieram <strong>de</strong> uma <strong>de</strong>terminada entida<strong>de</strong>, po<strong>de</strong>m garantir que nem um só<br />
bit da mensagem foi alterado durante o trajeto. Documentos <strong>de</strong> i<strong>de</strong>ntificação, tais <strong>como</strong><br />
passaportes, carteira <strong>de</strong> trabalho e alvarás comerciais, po<strong>de</strong>m ser substituídos por certificados<br />
digitais. Finalmente, os vários mecanismos para controle, auditoria e autorização centralizados<br />
- <strong>como</strong> os encontrados em estruturas <strong>de</strong> governo corporativas, conselhos industriais ou<br />
terceiros <strong>de</strong> confiança (ex.: contadores) - po<strong>de</strong>m ser reproduzidos no mundo digital através da<br />
infra-estrutura utilizada para gerenciar criptografia, assinaturas e certificados digitais.<br />
O que é um Certificado Digital<br />
Compreen<strong>de</strong>r os certificados digitais é fundamental para enten<strong>de</strong>r os sistemas <strong>de</strong> infraestrutura<br />
<strong>de</strong> chave pública. Um certificado digital é o equivalente eletrônico <strong>de</strong> um passaporte<br />
ou alvará comercial. É uma cre<strong>de</strong>ncial, emitida por uma autorida<strong>de</strong> <strong>de</strong> confiança, que po<strong>de</strong> ser<br />
apresentada eletronicamente por pessoas ou empresas que queiram provar sua i<strong>de</strong>ntida<strong>de</strong> ou<br />
seu direito <strong>de</strong> acessar informações.<br />
Quando uma Autorida<strong>de</strong> Certificadora (CA), <strong>como</strong> a VeriSign, emite certificados digitais, ela<br />
verifica se o proprietário não está se atribuindo uma i<strong>de</strong>ntida<strong>de</strong> falsa. Da mesma forma que o<br />
Governo, ao emitir um passaporte, está atestando a i<strong>de</strong>ntida<strong>de</strong> do portador, quando uma CA<br />
conce<strong>de</strong> à sua empresa um certificado digital, ela está arriscando a reputação no seu direito<br />
<strong>de</strong> usar o nome e en<strong>de</strong>reço eletrônico <strong>de</strong> sua empresa.<br />
Como funcionam os certificados digitais<br />
No caso <strong>de</strong> transações físicas, os <strong>de</strong>safios <strong>de</strong> i<strong>de</strong>ntificação, autenticação e privacida<strong>de</strong> são<br />
resolvidos com marcas físicas, tais <strong>como</strong> selos ou assinaturas. No entanto, no caso <strong>de</strong><br />
transações eletrônicas, o equivalente <strong>de</strong> um selo tem que ser codificado na própria<br />
informação. Ao verificar que o "selo" eletrônico está presente na mensagem e que não foi<br />
violado, o receptor da mensagem po<strong>de</strong> confirmar a i<strong>de</strong>ntida<strong>de</strong> do emissor da mensagem e<br />
certificar-se <strong>de</strong> que o seu conteúdo não foi alterado durante o trajeto. Para criar um<br />
equivalente eletrônico da segurança física, a VeriSign utiliza criptografia avançada.<br />
Durante séculos, os sistemas criptográficos têm sido usados para <strong>proteger</strong> informações<br />
preciosas. Tradicionalmente, eles têm tentado proporcionar segurança através <strong>de</strong> variações no<br />
sistema <strong>de</strong> chave secreta. Estes sistemas exigem que ambas as partes <strong>de</strong> um esquema <strong>de</strong><br />
comunicação tenham uma cópia do mesmo código ou "chave" secretos. Quando as duas<br />
pessoas quisessem partilhar informações, o emissor <strong>de</strong>veria criptografá-las, utilizando sua<br />
cópia da chave secreta. O receptor da mensagem só po<strong>de</strong>ria <strong>de</strong>criptografá-la utilizando a sua<br />
cópia da mesma chave. Se a mensagem fosse interceptada por alguém, a pessoa não po<strong>de</strong>ria<br />
<strong>de</strong>crifrá-la sem a chave correta.<br />
Apesar <strong>de</strong> muito difundidos, os sistemas <strong>de</strong> chave secreta têm várias limitações importantes.<br />
Primeiro, a simples transmissão da chave secreta já é arriscada, porque a chave po<strong>de</strong> ser<br />
interceptada durante o trajeto por pessoas não autorizadas. Em segundo lugar, se uma das<br />
partes usar a chave com más intenções, po<strong>de</strong>rá posteriormente negar ou recusar a transação.<br />
Alternativamente, a parte mal-intencionada po<strong>de</strong> se fazer passar pelo emissor, ou ainda, po<strong>de</strong><br />
usar a chave secreta para <strong>de</strong>criptografar outras informaçõ es confi<strong>de</strong>nciais. Para evitar este<br />
tipo <strong>de</strong> ataque, as empresas têm que exigir que os usuários tenham chaves secretas<br />
diferentes para cada parte com as quais eles se comunicam. Se uma empresa tem cem<br />
funcionários, literalmente milhões <strong>de</strong> chaves secretas diferentes precisarão ser usadas para<br />
a<strong>como</strong>dar todas as combinações possíveis.<br />
Os certificados digitais empregam o mais avançado sistema <strong>de</strong> criptografia <strong>de</strong> chave pública,<br />
que não envolve o compartilhamento <strong>de</strong> chaves secretas. Ao invés <strong>de</strong> usar a mesma chave<br />
tanto para criptografar <strong>como</strong> para <strong>de</strong>criptografar dados, um certificado digital usa um par <strong>de</strong><br />
chaves correspon<strong>de</strong>ntes entre si, que se complementam <strong>de</strong> forma inigualável. Quando uma<br />
mensagem é criptografada por uma chave, somente a outra chave po<strong>de</strong> <strong>de</strong>criptografá-la.<br />
file://D:\Projetos\CertiSign\prot_intra_extranet\documento_guia3.html<br />
26/3/2004
VeriSign - <strong>Guia</strong> <strong>sobre</strong> <strong>como</strong> <strong>proteger</strong> <strong>servidores</strong> <strong>de</strong> <strong>Intranet</strong> e <strong>Extranet</strong><br />
Página 8 <strong>de</strong> 20<br />
Nos sistemas <strong>de</strong> criptografia <strong>de</strong> chave pública, quando um par <strong>de</strong> chaves é gerado, você fica<br />
com uma "chave privativa", à qual ninguém - exceto você, o verda<strong>de</strong>iro dono - <strong>de</strong>ve ter<br />
acesso. No entanto, a "chave pública" correspon<strong>de</strong>nte po<strong>de</strong> ser distribuída à vonta<strong>de</strong>, <strong>como</strong><br />
parte <strong>de</strong> seu certificado digital. Você po<strong>de</strong> dividir seu certificado com qualquer pessoa e até<br />
mesmo divulgá-lo em diretórios. Se alguém quiser se comunicar com você em particular,<br />
usará a chave pública do seu certificado digital para criptografar informações antes <strong>de</strong> enviálas<br />
para você. Somente você po<strong>de</strong>rá <strong>de</strong>criptografá-las, pois só você tem a sua chave privativa.<br />
Figura 5. Como criptografar informações utilizando certificados digitais<br />
Contrariamente, você po<strong>de</strong> usar seu par <strong>de</strong> chaves para assinar digitalmente uma mensagem.<br />
Para isso, basta você criptografar a mensagem com sua chave privativa. Ela po<strong>de</strong>rá ser<br />
<strong>de</strong>criptografada com a chave pública contida em seu certificado. Enquanto muitas pessoas têm<br />
acesso ao seu certificado, somente você po<strong>de</strong>ria ter assinado a mensagem, porque só você<br />
tem acesso à sua chave privativa.<br />
Um certificado digital é um arquivo binário. Além da sua chave pública, ele contém o seu<br />
nome e as suas informações <strong>de</strong> i<strong>de</strong>ntificação. Com isso, ele comprova para as pessoas que<br />
queiram se correpon<strong>de</strong>r com você que aquela chave pública pertence a você. Os certificados<br />
digitais geralmente contêm ainda o número <strong>de</strong> série, a data <strong>de</strong> valida<strong>de</strong> e informações <strong>sobre</strong><br />
os direitos, usos e privilégios associados ao certificado. Finalmente, o certificado digital<br />
contém informações <strong>sobre</strong> a autorida<strong>de</strong> certificadora (CA) que emitiu o certificado. Todos os<br />
certificados são assinados digitalmente com a chave privativa da Autorida<strong>de</strong> Certificadora.<br />
(Normalmente, o próprio certificado da Autorida<strong>de</strong> Certificadora (chamado <strong>de</strong> certificado-raiz)<br />
é amplamente instalado em pacotes <strong>de</strong> software, permitindo que as pessoas i<strong>de</strong>ntifiquem<br />
permanentemente os certificados legítimos emitidos pela autorida<strong>de</strong> certificadora). Se a CA<br />
mantiver uma boa proteção <strong>de</strong> segurança <strong>de</strong> sua chave privativa, é praticamente impossível<br />
alguém falsificar um certificado digital.<br />
É importante observar que os certificados também po<strong>de</strong>m ser emitidos para organizações e<br />
outras entida<strong>de</strong>s, tais <strong>como</strong> <strong>servidores</strong> e roteadores.<br />
Figura 6. Comunicações seguras com o uso <strong>de</strong> certificados<br />
file://D:\Projetos\CertiSign\prot_intra_extranet\documento_guia3.html<br />
26/3/2004
VeriSign - <strong>Guia</strong> <strong>sobre</strong> <strong>como</strong> <strong>proteger</strong> <strong>servidores</strong> <strong>de</strong> <strong>Intranet</strong> e <strong>Extranet</strong><br />
Página 9 <strong>de</strong> 20<br />
Os certificados digitais satisfazem seus objetivos <strong>de</strong> segurança<br />
Dada a facilida<strong>de</strong> e versatilida<strong>de</strong> da PKI, a tecnologia <strong>de</strong> segurança baseada em certificados<br />
digitais tem se <strong>de</strong>senvolvido muito nos últimos anos. Estes protocolos <strong>de</strong> segurança<br />
amplamente utilizados incluem:<br />
• S/MIME: O protocolo <strong>de</strong> Extensão Segura <strong>de</strong> Correio <strong>de</strong> Internet para M últiplos<br />
Propósitos permite que sejam enviados e-mails assinados e criptografados.<br />
• SSL: O protocolo <strong>de</strong> Camada <strong>de</strong> Soquetes Segura permite que a comunicação entre<br />
navegadores e <strong>servidores</strong>, ou entre diferentes <strong>servidores</strong>, seja autenticada e<br />
criptografada. Este é um protocolo muito importante, que será discutido <strong>de</strong>talhadamente<br />
mais à frente.<br />
• IPSEC: O Protocolo <strong>de</strong> Segurança <strong>de</strong> IP é um protocolo recém-<strong>de</strong>senvolvido, que permite<br />
que a comunicação entre roteadores, entre firewalls e entre roteadores e firewalls seja<br />
autenticada e criptografada. Este protocolo terá um importante papel nas <strong>Extranet</strong>s nos<br />
próximos anos.<br />
A tabela que se segue fornece um resumo <strong>de</strong> <strong>como</strong> estes vários protocolos po<strong>de</strong>m ser<br />
instalados para <strong>proteger</strong> sua <strong>Intranet</strong> ou <strong>Extranet</strong>.<br />
Figura 6: Protocolos <strong>de</strong> segurança para vários tipos <strong>de</strong> comunicações seguras<br />
file://D:\Projetos\CertiSign\prot_intra_extranet\documento_guia3.html<br />
26/3/2004
VeriSign - <strong>Guia</strong> <strong>sobre</strong> <strong>como</strong> <strong>proteger</strong> <strong>servidores</strong> <strong>de</strong> <strong>Intranet</strong> e <strong>Extranet</strong><br />
Página 10 <strong>de</strong> 20<br />
O papel fundamental da Autorida<strong>de</strong> Certificadora<br />
Exigências para as CAs: Tecnologia, Infra-estrutura e Práticas<br />
A montagem <strong>de</strong> uma Infra-estrutura <strong>de</strong> Chave Pública bem sucedida exige que se olhe para<br />
além da tecnologia. Como você po<strong>de</strong> imaginar, ao instalar um sistema <strong>de</strong> PKI <strong>de</strong> larga escala,<br />
po<strong>de</strong>m existir centenas <strong>de</strong> <strong>servidores</strong> e roteadores, bem <strong>como</strong> milhares <strong>de</strong> usuários com<br />
certificados. Estes certificados formam a base <strong>de</strong> confiança e interoperabilida<strong>de</strong> para toda a<br />
re<strong>de</strong>. Como resultado, a qualida<strong>de</strong>, integrida<strong>de</strong> e confiança <strong>de</strong> uma infra-estrutura <strong>de</strong> chave<br />
pública <strong>de</strong>pen<strong>de</strong> da tecnologia, infra-estrutura e práticas da Autorida<strong>de</strong> Certificadora que<br />
emite e gerencia estes certificados.<br />
As Autorida<strong>de</strong>s Certificadoras têm várias obrigações importantes. Primeiramente, são elas<br />
quem <strong>de</strong>terminam as políticas e procedimentos que orientam o uso <strong>de</strong> certificados por todo o<br />
sistema. Geralmente, estas políticas e procedimentos estão contidas em um documento<br />
<strong>de</strong>nominado Declaração das Práticas <strong>de</strong> Certificação(CPS). É a CPS quem normalmente<br />
<strong>de</strong>termina <strong>como</strong> a CA cumprirá as seguintes obrigações:<br />
• Registrar e aceitar aplicativos para certificados <strong>de</strong> usuários finais e outras entida<strong>de</strong>s<br />
• Validar i<strong>de</strong>ntificações <strong>de</strong> entida<strong>de</strong>s e seu direito <strong>de</strong> receber certificados<br />
• Emitir certificados<br />
file://D:\Projetos\CertiSign\prot_intra_extranet\documento_guia3.html<br />
26/3/2004
VeriSign - <strong>Guia</strong> <strong>sobre</strong> <strong>como</strong> <strong>proteger</strong> <strong>servidores</strong> <strong>de</strong> <strong>Intranet</strong> e <strong>Extranet</strong><br />
Página 11 <strong>de</strong> 20<br />
• Revogar, renovar e executar outros serviços referentes a tempo <strong>de</strong> valida<strong>de</strong> em<br />
certificados<br />
• Divulgar diretórios <strong>de</strong> certificados válidos<br />
• Divulgar listas <strong>de</strong> certificados revogados<br />
• Manter a mais rígida segurança possível para a chave privativa da CA<br />
• Assegurar que o seu próprio certificado seja amplamente distribuído, para<br />
• Instituir a confiança entre os integrantes da infra-estrutura<br />
• Fornecer gerenciamento <strong>de</strong> risco<br />
Figura 7: O papel da Autorida<strong>de</strong> Certificadora<br />
Como lí<strong>de</strong>r no mercado <strong>de</strong> provedores <strong>de</strong> certificados e <strong>de</strong> serviços voltados para certificados,<br />
a VeriSign ajuda a satisfazer estas exigências <strong>de</strong> duas formas diferentes. Em primeiro lugar, a<br />
própria VeriSign serve <strong>como</strong> Autorida<strong>de</strong> Certificadora para Internet. Em segundo lugar, a<br />
VeriSign tem uma vasta gama <strong>de</strong> soluçõ es para permitir que outras empresas se constituam<br />
em Autorida<strong>de</strong>s Certificadoras para suas <strong>Intranet</strong>s e <strong>Extranet</strong>s.<br />
A VeriSign <strong>como</strong> CA da Internet<br />
Como Autorida<strong>de</strong> Certificadora para a Internet, a VeriSign já emitiu mais <strong>de</strong> 3 milhões <strong>de</strong><br />
Certificados Digitais Pessoais, para serem usados tanto <strong>como</strong> i<strong>de</strong>ntificação <strong>de</strong> seus<br />
proprietários na Internet, <strong>como</strong> para o envio <strong>de</strong> e-mails criptografados e assinados. A VeriSign<br />
também emitiu mais <strong>de</strong> 75.000 certificados para <strong>servidores</strong>, que permitem às pessoas<br />
realizarem, <strong>de</strong> forma segura e autenticada, tanto comércio eletrônico <strong>como</strong> outras formas <strong>de</strong><br />
comunicação com estes <strong>servidores</strong>. A Infra-estrutura <strong>de</strong> Chave Pública que a VeriSign ajudou<br />
a instituir para a Internet <strong>proteger</strong>á bilhões <strong>de</strong> dólares em transações este ano. Para manter a<br />
confiança <strong>de</strong>ste comércio, a VeriSign investiu pesadamente em sua própria infra-estrutura e<br />
práticas, <strong>como</strong> resumido na Figura 8. A CertiSign divulgou sua Declaração <strong>de</strong> Práticas <strong>de</strong><br />
Certificação na página www.certisign.com.br/repositorio/in<strong>de</strong>x.html.<br />
A VeriSign é auditada regularmente por uma firma in<strong>de</strong>pen<strong>de</strong>nte <strong>de</strong> contabilida<strong>de</strong>. Isto visa<br />
garantir que a emissão e o gerenciamento dos certificados estejam <strong>de</strong> acordo com a DPC e<br />
ocorram <strong>de</strong>ntro <strong>de</strong> instalações com segurança <strong>de</strong> nível militar 5, sendo realizados por<br />
funcionários que tenham passado por rigorosas verificações <strong>de</strong> antece<strong>de</strong>ntes. Como um<br />
exemplo <strong>de</strong>sta segurança, todas as chaves privativas <strong>de</strong> CA da VeriSign são armazenadas<br />
através da mesma tecnologia utilizada para <strong>proteger</strong> códigos <strong>de</strong> mísseis nucleares. Para<br />
edificar a aceitação da PKI, a VeriSign não mediu esforços para garantir que suas chaves<br />
file://D:\Projetos\CertiSign\prot_intra_extranet\documento_guia3.html<br />
26/3/2004
VeriSign - <strong>Guia</strong> <strong>sobre</strong> <strong>como</strong> <strong>proteger</strong> <strong>servidores</strong> <strong>de</strong> <strong>Intranet</strong> e <strong>Extranet</strong><br />
Página 12 <strong>de</strong> 20<br />
públicas <strong>de</strong> CA fossem embutidas em todos os gran<strong>de</strong>s navegadores, <strong>servidores</strong> e outros<br />
aplicativos. A VeriSign também trabalhou junto a assembléias legislativas no mundo inteiro<br />
para dar suporte legal às assinaturas e transações digitais. Finalmente, para estimular a<br />
confiança, a VeriSign introduziu o programa NetSure , que apóia cada Certificado <strong>de</strong><br />
Servidor da VeriSign com $100,000 <strong>de</strong> cobertura contra roubo, perda ou usurpação <strong>de</strong><br />
i<strong>de</strong>ntida<strong>de</strong>.<br />
Figura 8: Tecnologia, Infra-estrutura e Práticas da VeriSign<br />
Como montar a PKI para sua <strong>Intranet</strong> ou <strong>Extranet</strong><br />
Quando uma empresa se encarrega <strong>de</strong> criar sua própria Infra-estrutura <strong>de</strong> Chave Pública, é<br />
importante que seja capaz <strong>de</strong> criar um conjunto com tecnologia, infra-estrutura e práticas <strong>de</strong><br />
alta qualida<strong>de</strong>. Embora existam vários produtos hoje em dia no mercado que afirmam oferecer<br />
soluções autônomas para a criação e gerenciamento <strong>de</strong> certificados, o máximo que estas<br />
soluções <strong>de</strong> "apenas software" po<strong>de</strong>m oferecer é tecnologia necessária para uma PKI robusta.<br />
Como conseqüência, um estudo in<strong>de</strong>pen<strong>de</strong>nte realizado recentemente pelo grupo Aber<strong>de</strong>en<br />
chegou à conclusão que as empresas que compram soluções <strong>de</strong> software <strong>de</strong> certificados para<br />
uso imediato acabam gastando <strong>de</strong> $1M a $11M para contratar pessoal e criar a infra-estrutura<br />
e as práticas necessárias para uma solução completa.<br />
Em comparação, a VeriSign oferece uma solução mais econômica e prática, <strong>de</strong>nominada<br />
VeriSign OnSite. Como mostra a Figura 9, o OnSite permite que as empresas utilizem a atual<br />
infra-estrutura e práticas da VeriSign <strong>como</strong> alavanca. A sua empresa mantém controle<br />
completo <strong>sobre</strong> as funções auxiliares: <strong>de</strong>terminar quem receberá os certificados, quais os<br />
certificados que serão revogados, etc. No entanto, todas as funções <strong>de</strong> back-end (principais) -<br />
tais <strong>como</strong> geração <strong>de</strong> certificados, gerenciamento <strong>de</strong> segurança, manutenção <strong>de</strong> sistemas,<br />
execução <strong>de</strong> cópia <strong>de</strong> segurança <strong>de</strong> dados, auditoria <strong>de</strong> segurança, etc. - são responsabilida<strong>de</strong><br />
da VeriSign, <strong>de</strong>ntro <strong>de</strong> suas instalações seguras.<br />
Figura 9: A solução do VeriSign OnSite<br />
file://D:\Projetos\CertiSign\prot_intra_extranet\documento_guia3.html<br />
26/3/2004
VeriSign - <strong>Guia</strong> <strong>sobre</strong> <strong>como</strong> <strong>proteger</strong> <strong>servidores</strong> <strong>de</strong> <strong>Intranet</strong> e <strong>Extranet</strong><br />
Página 13 <strong>de</strong> 20<br />
Como funciona o OnSite<br />
O VeriSign OnSite consiste <strong>de</strong> páginas da Web personalizadas para inscrição do usuário final,<br />
controle administrativo e gerenciamento <strong>de</strong> páginas da Web e um serviço <strong>de</strong> distribuição <strong>de</strong><br />
diretórios <strong>de</strong> certificados. Os usuários finais interagem com formulários <strong>de</strong> inscrição<br />
personalizados para solicitar e receber seus certificados. Estes formulários são compatíveis<br />
com os mais recentes navegadores da Microsoft e Netscape, bem <strong>como</strong> com uma lista que não<br />
pára <strong>de</strong> crescer <strong>de</strong> outros produtos <strong>de</strong> software em re<strong>de</strong>. Os formulários <strong>de</strong> inscrição,<br />
juntamente com outras páginas da Web <strong>sobre</strong> tempo <strong>de</strong> valida<strong>de</strong>, po<strong>de</strong>m ser hospedados no<br />
site do cliente ou, se preferir, pela VeriSign.<br />
Os administradores utilizam um segundo conjunto <strong>de</strong> páginas da Web para controlar<br />
autenticação do usuário, aprovar pedidos e renovações <strong>de</strong> certificados, revogar certificados,<br />
visualizar relatórios <strong>sobre</strong> as ativida<strong>de</strong>s da CA e outras tarefas <strong>de</strong> gerenciamento. Eles são<br />
autenticados antes <strong>de</strong> conseguirem o acesso ao sistema, através <strong>de</strong> certificados<br />
especializados, leitoras e cartões inteligentes fornecidos pela VeriSign.<br />
Também está incluído no VeriSign OnSite um diretório completo <strong>de</strong> certificados e a capacida<strong>de</strong><br />
<strong>de</strong> interagir aquele diretório com o diretório empresarial do cliente <strong>de</strong> várias formas. O cliente<br />
po<strong>de</strong> preferir que a VeriSign faça download das informações referentes a certificados<br />
diretamente para o seu diretório compatível com a LDAP, ou optar por ir buscar<br />
periodicamente aquelas informações na VeriSign, integrando-as ele mesmo em seu diretório.<br />
A infra-estrutura <strong>de</strong> telecomunicações e do computador, os softwares e hardwares<br />
criptográficos e os serviços permanentes <strong>de</strong> gerenciamento <strong>de</strong> chaves exigidos são<br />
hospedados e operados pela VeriSign em nossas instalações <strong>de</strong> Operaçõs altamente seguras.<br />
Além disso, para os clientes que <strong>de</strong>sejem a solução mais fácil possível, a VeriSign po<strong>de</strong><br />
hospedar todas as páginas da Web necessárias. Os clientes que busquem um maior controle<br />
ou uma personalização completa <strong>de</strong> suas páginas po<strong>de</strong>m hospedá-las localmente, sem<br />
nenhum trabalho.<br />
Vantagens do OnSite<br />
As vantagens do OnSite incluem:<br />
• Controle - Com o OnSite, você se torna imediatamente uma Autorida<strong>de</strong> Certificadora,<br />
com controle completo <strong>sobre</strong> todo o processo <strong>de</strong> gerenciamento <strong>de</strong> certificação e<br />
file://D:\Projetos\CertiSign\prot_intra_extranet\documento_guia3.html<br />
26/3/2004
VeriSign - <strong>Guia</strong> <strong>sobre</strong> <strong>como</strong> <strong>proteger</strong> <strong>servidores</strong> <strong>de</strong> <strong>Intranet</strong> e <strong>Extranet</strong><br />
Página 14 <strong>de</strong> 20<br />
autenticação. O OnSite também dá a opção <strong>de</strong> hospedar e personalizar suas páginas da<br />
Web, bem <strong>como</strong> aumentar os procedimentos normais da VeriSign para a emissão <strong>de</strong><br />
certificação usando suas exclusivas políticas e procedimentos. Por exemplo, você po<strong>de</strong><br />
exigir que seus usuários finais enviem números <strong>de</strong> faturamento por <strong>de</strong>partamento,<br />
nomes dos gerentes, códigos secretos ou qualquer outro tipo <strong>de</strong> informações que você<br />
consi<strong>de</strong>re necessárias antes <strong>de</strong> emitir um certificado. Além do mais, o OnSite mantém<br />
automaticamente um registro <strong>de</strong> auditoria <strong>de</strong> todas as ações tomadas por usuários finais<br />
e administradores na emissão e gerenciamento <strong>de</strong> certificados.<br />
• Consistência - O OnSite permite que as empresas emitam e gerenciem certificados <strong>de</strong><br />
servidor por toda uma gran<strong>de</strong> organização <strong>de</strong> forma consistente. Isto porque ele fornece<br />
uma única interface administrativa para todos os certificados (Secure Server IDs), bem<br />
<strong>como</strong> certificados para serem usados com o protocolo S/MIME, para <strong>proteger</strong> correio<br />
eletrônico, e o protocolo IPSec, para <strong>proteger</strong> os roteadores usados em VPNs (Re<strong>de</strong>s<br />
Privadas Virtuais).<br />
• Facilida<strong>de</strong> - O OnSite é fácil <strong>de</strong> configurar. Você só precisa <strong>de</strong> um PC com conexão com<br />
a Internet e <strong>de</strong> uma leitora <strong>de</strong> cartões inteligentes e um cartão inteligente, estes dois<br />
últimos fornecidos pela VeriSign. Embora o OnSite permita que você controle quem<br />
receberá os certificados, é a VeriSign quem realiza <strong>de</strong> fato a emissão e gerenciamento<br />
<strong>de</strong>stes certificados, possibilitando que você utilize a tecnologia, infra-estrutura e práticas<br />
<strong>de</strong> segurança do dispositivo seguro <strong>de</strong> emissão <strong>de</strong> certificados da VeriSign. Além disso,<br />
os certificados da VeriSign são compatíveis com centenas <strong>de</strong> aplicativos, incluindo todos<br />
os principais navegadores, mais <strong>de</strong> 50 <strong>servidores</strong> Web e dúzias <strong>de</strong> aplicativos para<br />
assinatura <strong>de</strong> formulários, e-mail seguro e outras aplicações.<br />
• Economia nos custos — Os sistemas <strong>de</strong> back-end do VeriSign OnSite são operados pela<br />
VeriSign em nosso centro <strong>de</strong> operaçõ es seguras. As empresas po<strong>de</strong>m utilizar a infraestrutura<br />
<strong>de</strong> segurança já existente, ao invés <strong>de</strong> ter que montar uma a partir do zero.<br />
Você po<strong>de</strong> tirar proveito das instalações sofisticadas, segurança e práticas criadas pela<br />
VeriSign para dar suporte a todos os nossos serviços. Total in<strong>de</strong>nização por aci<strong>de</strong>nte e<br />
cópia <strong>de</strong> segurança fora do site também fazem parte dos serviços. Um tal nível <strong>de</strong><br />
suporte para uma solução <strong>de</strong>senvolvida <strong>de</strong>ntro da empresa alcançaria preços proibitivos.<br />
De fato, um estudo recente, realizado pelo Grupo Aber<strong>de</strong>en, <strong>de</strong>scobriu que, comparado<br />
com seus concorrentes, o OnSite fornece atualmente aos usuários o mais baixo custo <strong>de</strong><br />
proprieda<strong>de</strong>, <strong>de</strong>vido a uma inicialização menor e custos operacionais fixos.<br />
• Instalação mais rápida - Utilizando a atual infra-estrutura <strong>de</strong> segurança da VeriSign, ao<br />
invés <strong>de</strong> montar uma outra, sua empresa po<strong>de</strong> instalar a solução <strong>de</strong> PKI mais<br />
rapidamente. Em alguns casos, o OnSite foi instalado pelas empresas em uma semana.<br />
Figura 10: Resultado <strong>de</strong> alto nível, refletido no estudo da Aber<strong>de</strong>en <strong>sobre</strong> custo <strong>de</strong> proprieda<strong>de</strong><br />
file://D:\Projetos\CertiSign\prot_intra_extranet\documento_guia3.html<br />
26/3/2004
VeriSign - <strong>Guia</strong> <strong>sobre</strong> <strong>como</strong> <strong>proteger</strong> <strong>servidores</strong> <strong>de</strong> <strong>Intranet</strong> e <strong>Extranet</strong><br />
Página 15 <strong>de</strong> 20<br />
Começando<br />
A VeriSign recomenda que, quando você for instalar Segurança em sua empresa, sejam<br />
seguidas estas etapas:<br />
1. Fase 1: Avalie suas necessida<strong>de</strong>s comerciais e riscos <strong>de</strong> segurança: A VeriSign<br />
recomenda que você comece qualquer "Estimativa <strong>sobre</strong> Segurança" pensando<br />
seriamente <strong>sobre</strong> as necessida<strong>de</strong>s comerciais <strong>de</strong> sua <strong>Intranet</strong> e <strong>Extranet</strong>. Avalie a<br />
natureza das comunicações que se farão necessárias, bem <strong>como</strong> os objetivos <strong>de</strong><br />
segurança (integrida<strong>de</strong> <strong>de</strong> conteúdo, não-repúdio, etc.) resultantes <strong>de</strong>las. A VeriSign<br />
recomenda, então, fazer uma avaliação objetiva <strong>sobre</strong> as lacunas <strong>de</strong> segurança<br />
existentes na sua infra-estrutura atual.<br />
2. Fase 2: Planeje para longo prazo a instalação <strong>de</strong> sua PKI: Muitas empresas<br />
adotam tecnologia <strong>de</strong> certificação sem consi<strong>de</strong>rar as necessida<strong>de</strong>s <strong>de</strong> longo prazo para a<br />
instalação <strong>de</strong> tecnologia, infra-estrutura e práticas sólidas. Muitas das companhias com<br />
as quais a VeriSign trabalha tentaram inicialmente instalar soluções autonômas <strong>de</strong><br />
"apenas-software". Porém, rapidamente se <strong>de</strong>ram conta <strong>de</strong> que estes três fatores -<br />
suporte a longo prazo, redimensionabilida<strong>de</strong> e custo total <strong>de</strong> proprieda<strong>de</strong> - se<br />
a<strong>de</strong>quavam com mais facilida<strong>de</strong> às soluções do OnSite da VeriSign que a soluções <strong>de</strong><br />
"apenas-software".<br />
3. Fase 3: Comece protegendo seus <strong>servidores</strong>: A maioria das empresas se <strong>de</strong>param<br />
com uma questão fundamental <strong>sobre</strong> segurança, que são as comunicações entre seus<br />
<strong>servidores</strong> e seus usuários internos e externos. Instalar SSL em seus <strong>servidores</strong> através<br />
dos Certificados <strong>de</strong> Servidor é a única solução <strong>de</strong> tecnologia que proporciona um início<br />
fácil e eficiente para a melhoria da segurança em todo o seu sistema. Abordaremos esta<br />
questão mais <strong>de</strong>talhadamente na próxima seção <strong>de</strong>ste guia.<br />
4. Fase 4: Instale soluções <strong>de</strong> VPN e Certificado <strong>de</strong> Cliente: A instalação <strong>de</strong>stas<br />
soluções é um pouco mais trabalhosa que a <strong>de</strong> SSL e Secure Server IDs. Entretanto, são<br />
necessárias para conseguir autenticar usuários em sua re<strong>de</strong> e garantir o não-repúdio <strong>de</strong><br />
transações ou comunicações. Com o OnSite, sua empresa po<strong>de</strong>rá usar a mesma<br />
interface e infra-estrutura para emitir Certificados <strong>de</strong> Servidor para SSL, Certificados <strong>de</strong><br />
Cliente para SSL, S/MIME e outros aplicativos, bem <strong>como</strong> Certificados <strong>de</strong> IPSEC para<br />
roteadores, firewalls e outros componentes <strong>de</strong> sua Re<strong>de</strong> Privada Virtual.<br />
file://D:\Projetos\CertiSign\prot_intra_extranet\documento_guia3.html<br />
26/3/2004
VeriSign - <strong>Guia</strong> <strong>sobre</strong> <strong>como</strong> <strong>proteger</strong> <strong>servidores</strong> <strong>de</strong> <strong>Intranet</strong> e <strong>Extranet</strong><br />
Página 16 <strong>de</strong> 20<br />
Como instalar SSL em seus <strong>servidores</strong> <strong>de</strong> <strong>Intranet</strong> e <strong>Extranet</strong><br />
Os certificados digitais permitem que os <strong>servidores</strong> <strong>de</strong> <strong>Intranet</strong> e <strong>Extranet</strong> implantem o<br />
protocolo <strong>de</strong> Camada <strong>de</strong> Soquetes Seguras (SSL), a tecnologia padrão para comunicações<br />
seguras na Web. O suporte a SSL está embutido em praticamente todos os softwares <strong>de</strong><br />
servidor web. Para habilitar esta segurança <strong>de</strong> servidor, contudo, você tem que instalar um<br />
certificado digital em seu servidor.<br />
Figura 11: Exemplo <strong>de</strong> Secure Server ID<br />
A Figura 11 mostra um típico certificado digital para um servidor. Como você po<strong>de</strong> observar,<br />
os certificados são emitidos para um en<strong>de</strong>reço eletrônico específico (neste exemplo:<br />
banking1.wellsfargo.com), operado por uma <strong>de</strong>terminada empresa legalmente incorporada<br />
(neste exemplo: Wells Fargo Bank of San Francisco, CA). O certificado contém número <strong>de</strong><br />
série, data <strong>de</strong> vencimento, várias extensões criptográficas e, obviamente, a chave pública<br />
para o servidor web. Ele é então assinado com a chave privativa da CA que emitiu o<br />
Certificado. (OBS: A maioria dos Secure Server IDs são assinados com a chave privativa <strong>de</strong><br />
uma empresa precursora da VeriSign, a RSA Data Security, Inc.)<br />
Em conjunto com a SSL, os certificados digitais protegem as comunicações da <strong>Intranet</strong> da<br />
através <strong>de</strong>:<br />
• Autenticação - Quando um servidor usa um certificado <strong>de</strong> SSL, todos os navegadores<br />
sabem que estão lidando com uma fonte legítima. A SSL aceita duas formas <strong>de</strong><br />
autenticação: através <strong>de</strong> certificados tanto <strong>de</strong> servidor <strong>como</strong> <strong>de</strong> cliente. Trocando<br />
certificados digitais, os clientes e <strong>servidores</strong> po<strong>de</strong>m verificar um ao outro, <strong>de</strong> forma que<br />
cada um saiba exatamente que está do outro lado da transação.<br />
• Privacida<strong>de</strong> da mensagem - Todo o tráfego entre o servidor e o navegador é<br />
criptografado utilizando uma única "chave <strong>de</strong> sessão". Cada chave <strong>de</strong> sessão é usada<br />
com um cliente durante uma conexão e criptografada com a chave pública do servidor.<br />
Estas camadas <strong>de</strong> proteção <strong>de</strong> privacida<strong>de</strong> garantem que as informações não possam<br />
ser interceptadas ou visualizadas por pessoas não autorizadas. (OBS: A criptografia é<br />
utilizada em ambas as direções, mesmo que somente o servidor tenha um certificado<br />
digital.)<br />
• Integrida<strong>de</strong> da mensagem - O conteúdo <strong>de</strong> todas as comunicações entre o servidor e o<br />
navegador são protegidas contra alterações durante o percurso. Todos os envolvidos na<br />
comunicação sabem que o que estão visualizando é exatamente o que foi enviado pela<br />
outra parte.<br />
A Figura 12 mostra os <strong>de</strong>talhes técnicos do que acontece durante uma sessão <strong>de</strong> SSL.<br />
file://D:\Projetos\CertiSign\prot_intra_extranet\documento_guia3.html<br />
26/3/2004
VeriSign - <strong>Guia</strong> <strong>sobre</strong> <strong>como</strong> <strong>proteger</strong> <strong>servidores</strong> <strong>de</strong> <strong>Intranet</strong> e <strong>Extranet</strong><br />
Página 17 <strong>de</strong> 20<br />
As soluções da VeriSign para implantação da SSL<br />
A VeriSign oferece uma série <strong>de</strong> soluções que satisfazem às necessida<strong>de</strong>s das empresas que<br />
<strong>de</strong>sejam <strong>proteger</strong> seus aplicativos <strong>de</strong> <strong>Intranet</strong> e <strong>Extranet</strong>.<br />
Certificados a varejo<br />
As empresas que requeiram certificados apenas para alguns <strong>servidores</strong> po<strong>de</strong>m obter seus<br />
certificados diretamente da VeriSign. A VeriSign oferece um conjunto completo <strong>de</strong> serviços,<br />
com período <strong>de</strong> valida<strong>de</strong>, para estes clientes <strong>de</strong> Secure Server ID.<br />
• A função Busca ajuda a <strong>de</strong>terminar se o Certificado <strong>de</strong> Servidor consta <strong>como</strong> Válido,<br />
Vencido ou Revogado.<br />
• A função Renovação permite renovar um Certificado <strong>de</strong> Servidor que esteja vencendo ou<br />
que já tenha vencido.<br />
• A opção Revogação permite revogar um Certificado <strong>de</strong> Servidor, caso aconteça algo que<br />
possa comprometê-lo (ex.: chaves privativas perdidas ou roubadas, par <strong>de</strong> chaves<br />
corrompido, troca do proprietário do site, suspeita <strong>de</strong> frau<strong>de</strong>).<br />
• A opção Substituição permite substituir o atual Certificado <strong>de</strong> servidor por um novo, se o<br />
seu vier a ser corrompido ou se você tiver que revogar o seu certificado original.<br />
Des<strong>de</strong> setembro <strong>de</strong> 1998, a VeriSign já emitiu mais <strong>de</strong> 75.000 certificados <strong>de</strong> servidor para<br />
empresas <strong>de</strong> saú<strong>de</strong>, educação, automóveis, varejistas, assim <strong>como</strong> fábricas e órgãos do<br />
Governo. Noventa e cinco por cento das empresas contidas na lista da Fortune 100 e todos os<br />
20 maiores sites <strong>de</strong> comércio eletrônico na Web utilizam o Secure Server ID da VeriSign para<br />
<strong>proteger</strong> comunicações e transações. Você po<strong>de</strong> <strong>proteger</strong> seus <strong>servidores</strong>, um por um,<br />
solicitando Secure Server IDs para eles no site da CertiSign<br />
(www.certisign.com.br/<strong>servidores</strong>/enroll/server/in<strong>de</strong>x_secureserver.html)<br />
OnSite<br />
As empresas que queiram <strong>proteger</strong> <strong>de</strong>zenas ou centenas <strong>de</strong> <strong>servidores</strong> <strong>de</strong> <strong>Intranet</strong> ou <strong>Extranet</strong><br />
em diversos <strong>de</strong>partamentos ou regiões geográficas irão certamente levar em consi<strong>de</strong>ração o<br />
file://D:\Projetos\CertiSign\prot_intra_extranet\documento_guia3.html<br />
26/3/2004
VeriSign - <strong>Guia</strong> <strong>sobre</strong> <strong>como</strong> <strong>proteger</strong> <strong>servidores</strong> <strong>de</strong> <strong>Intranet</strong> e <strong>Extranet</strong><br />
Página 18 <strong>de</strong> 20<br />
Server OnSite da VeriSign. O OnSite para Secure Server IDs fornece às empresas um meio<br />
fácil <strong>de</strong> gerenciar a emissão, renovação, revogação e uso dos certificados <strong>de</strong> servidor. Com o<br />
OnSite supracitado, as empresas po<strong>de</strong>m solicitar, aprovar e instalar seus certificados em<br />
poucos minutos, conseguindo, assim, flexibilida<strong>de</strong> máxima. Além do mais, <strong>como</strong> o Server<br />
OnSite permite que as empresas encomen<strong>de</strong>m vários certificados <strong>de</strong> servidor para vários<br />
<strong>servidores</strong>, você abstém-se <strong>de</strong> lidar com várias Or<strong>de</strong>ns <strong>de</strong> Compra e suas respectivas datas <strong>de</strong><br />
valida<strong>de</strong>. (Para obter maiores informações, visite a página<br />
www.certisign.com.br/onsite/in<strong>de</strong>x_onsite_server.html).<br />
Próxima etapa: Como utilizar Certificados <strong>de</strong> Cliente (Client<br />
IDs) e Certificados <strong>de</strong> Re<strong>de</strong> Privada Virtual (VPN IDs)<br />
Como a SSL não exige que o cliente tenha um certificado, algumas empresas, no início,<br />
limitam o acesso aos <strong>servidores</strong>, através do uso <strong>de</strong> senhas. Entretanto, muitas organizações<br />
acreditam que <strong>de</strong>signar certificados digitais para usuários finais proporciona uma solução a<br />
longo prazo muito melhor. A sua empresa po<strong>de</strong> centralizar a administração das emissões,<br />
revogações e renovações dos certificados digitais. Ao contrário das senhas, você po<strong>de</strong> usar<br />
certificados digitais para habilitar a assinatura <strong>de</strong> documentos, <strong>proteger</strong> correio eletrônico e<br />
outras aplicações úteis. Além disso, você po<strong>de</strong> aumentar facilmente os <strong>servidores</strong> web que<br />
tenham sido configurados para SSL, utilizando os certificados <strong>de</strong> servidor para solicitar<br />
certificados <strong>de</strong> cliente para autenticação <strong>de</strong> usuários finais.<br />
Durante o próximo ano, po<strong>de</strong> ser que as empresas que instalem <strong>Extranet</strong>s consi<strong>de</strong>rem a<br />
possibilida<strong>de</strong> <strong>de</strong> usar o VeriSign OnSite para habilitar o protocolo IPSEC <strong>de</strong>ntro das Re<strong>de</strong>s<br />
Privadas Virtuais (VPN's). O IPSEC permite comunicações autenticadas e seguras entre<br />
roteadores e firewalls.<br />
Conclusão<br />
À medida que as suas empresas adotem as soluções <strong>de</strong> <strong>Intranet</strong> e <strong>Extranet</strong>, você terá que ser<br />
muito cuidadoso para garantir que a sua empresa implante uma solução <strong>de</strong> segurança sólida.<br />
As soluções industriais padrão, baseadas na Infra-estrutura <strong>de</strong> Chave Pública, po<strong>de</strong>m fornecer<br />
uma estrutura que garanta os objetivos <strong>de</strong> privacida<strong>de</strong>, autenticação, integrida<strong>de</strong> do conteúdo<br />
e facilida<strong>de</strong> <strong>de</strong> uso. A implantação <strong>de</strong> uma PKI apropriada exige, no entanto, que sua função<br />
<strong>de</strong> Autorida<strong>de</strong> Certificadora seja <strong>de</strong>sempenhada com tecnologia, infra-estrutura e práticas da<br />
mais alta qualida<strong>de</strong>.<br />
As soluções <strong>de</strong> PKI da VeriSign já permitiram que centenas <strong>de</strong> organizações, em diversas<br />
áreas, instalassem soluções <strong>de</strong> PKI <strong>de</strong> forma rápida e eficaz. O OnSite da VeriSign,<br />
particularmente, permite que a sua empresa obtenha as vantagens <strong>de</strong> uma PKI <strong>de</strong> larga<br />
escala por um quinto do custo e investimento normais, utilizando a tecnologia, infra-estrutura<br />
e práticas atuais da VeriSign.<br />
Como primeiro passo, a VeriSign recomenda <strong>proteger</strong> todos os <strong>servidores</strong> <strong>de</strong>ntro da sua<br />
<strong>Intranet</strong> e <strong>Extranet</strong> com certificados <strong>de</strong> servidor e o protocolo <strong>de</strong> SSL. Isto po<strong>de</strong> ser feito <strong>de</strong><br />
forma rápida e eficaz, através <strong>de</strong> um produto da VeriSign <strong>de</strong>nominado OnSite for Server ID.<br />
Este produto fornece às empresas que tenham muitos <strong>servidores</strong> <strong>de</strong> <strong>Intranet</strong> e <strong>Extranet</strong> o<br />
controle máximo <strong>sobre</strong> a emissão e o gerenciamento <strong>de</strong>stes <strong>servidores</strong>, através <strong>de</strong> uma<br />
instalação rápida, facilida<strong>de</strong> <strong>de</strong> uso e funcionamento relativamente barato.<br />
Para saber mais <strong>sobre</strong> as soluções do OnSite for Server ID, vá para a página<br />
www.certisign.com.br/onsite/in<strong>de</strong>x_onsite_server.html para conseguir certificados <strong>de</strong> teste,<br />
publicações, especificações e informações <strong>sobre</strong> preços.<br />
Para falar com um representante da VeriSign, ligue para 650-429-3522.<br />
Para obter maiores informações <strong>sobre</strong> as ofertas do OnSite para Certificados <strong>de</strong> Cliente e<br />
file://D:\Projetos\CertiSign\prot_intra_extranet\documento_guia3.html<br />
26/3/2004
VeriSign - <strong>Guia</strong> <strong>sobre</strong> <strong>como</strong> <strong>proteger</strong> <strong>servidores</strong> <strong>de</strong> <strong>Intranet</strong> e <strong>Extranet</strong><br />
Página 19 <strong>de</strong> 20<br />
Certificados <strong>de</strong> VPN, visite a página www.certisign.com.br/onsite/in<strong>de</strong>x.html<br />
Finalmente, para programar uma avaliação mais profunda <strong>sobre</strong> segurança para sua<br />
companhia, visite a mais nova subsidiária da VeriSign, a SecureIT, na página<br />
www.secureit.com. Este grupo <strong>de</strong> 40 consultores profissionais <strong>de</strong> segurança po<strong>de</strong> ajudar sua<br />
empresa a <strong>de</strong>senvolver planos <strong>de</strong> segurança <strong>de</strong> longo alcance.<br />
Estudos <strong>de</strong> casos<br />
O OnSite da VeriSign protege o Sistema <strong>de</strong> Distribuição Automática <strong>de</strong> Medicamentos da Pyxis<br />
Há mais <strong>de</strong> 10 anos, a Pyxis Corporation, sediada em San Diego, foi a pioneira no lançamento<br />
<strong>de</strong> uma nova categoria <strong>de</strong> produto na área da saú<strong>de</strong>, a distribuição automática <strong>de</strong><br />
medicamentos, que permite que farmácias e hospitais dinamizassem o processo <strong>de</strong><br />
distribuição <strong>de</strong> medicamentos e suprimentos médicos. Um dos produtos da Pyxis é o Sistema<br />
MEDSTATION <strong>de</strong> sistema 2000 Rx, que a Pyxis fornece para pronto uso para quase 2.500<br />
clientes. Os farmacêuticos estocam o MEDSTATION com os medicamentos solicitados pelos<br />
pacientes em uma <strong>de</strong>terminada área do hospital. Ao acessar o MEDSTATION através <strong>de</strong> uma<br />
senha segura, as enfermeiras <strong>de</strong>signadas para aquela área po<strong>de</strong>m acessar o arquivo <strong>de</strong> cada<br />
paciente, on<strong>de</strong> estão especificados os medicamentos e as doses que ele tem que receber. O<br />
MEDSTATION, então, distribui fisicamente o medicamento e rastreia os medicamentos que o<br />
paciente recebeu, para efeito <strong>de</strong> faturamento.<br />
Recentemente, a Pyxis acrescentou ao sistema um novo módulo, que registra os<br />
medicamentos dados a pacientes que chegaram ao hospital inconscientes e sem i<strong>de</strong>ntificação.<br />
Uma vez i<strong>de</strong>ntificado o paciente, seu registro é enviado para o banco <strong>de</strong> dados principal do<br />
MEDSTATION. Este novo módulo, que se encontra em um servidor chamado Procar, po<strong>de</strong> ser<br />
acessado a partir <strong>de</strong> estações <strong>de</strong> trabalho <strong>de</strong> <strong>de</strong>sktop equipadas com um navegador. As<br />
comunicações entre as estações <strong>de</strong> trabalho e o Procar são protegidas com pelos certificados<br />
digitais do OnSite da VeriSign. "Como já sabíamos há algum tempo que nosso aplicativo só<br />
seria usado na <strong>Intranet</strong> <strong>de</strong>ntro das <strong>de</strong>pendências do hospital, ficamos tentados a montá-lo<br />
para operar naquele ambiente altamente seguro. Mas então nós pensamos que 'não seria legal<br />
para os farmacêuticos que eventualmente tivessem que discar e acessar o sistema a partir <strong>de</strong><br />
suas casas'. Assim, nós o montamos com o mais alto nível <strong>de</strong> segurança para um aplicativo<br />
habilitado para a Web." diz James H. King, Diretor <strong>de</strong> Desenvolvimento <strong>de</strong> Interface da Pyxis.<br />
A Pyxis escolheu o VeriSign Onsite para seus certificados digitais, diz King, "por causa do<br />
volume <strong>de</strong> certificados digitais que precisávamos. Como planejamos instalar 500 <strong>de</strong>stes<br />
sistemas <strong>de</strong>ntro dos próximos 12 a 18 meses, as características do OnSite para emissão <strong>de</strong><br />
volumes <strong>de</strong> certificados foram <strong>de</strong>cisivas, já que adquiri-los um a um <strong>de</strong>mora muito tempo.<br />
Além disso, nós conseguimos um gran<strong>de</strong> <strong>de</strong>sconto."<br />
No futuro, a Pyxis tem planos ainda maiores para o Onsite. A Pyxis planeja usar o servidor do<br />
Procar <strong>como</strong> gateway entre o principal banco <strong>de</strong> dados <strong>de</strong> pacientes dos hospitais e um novo<br />
<strong>de</strong>pósito <strong>de</strong> dados que fornecerá processamento analítico on-line. O novo sistema permitirá<br />
que os hospitais acessem este <strong>de</strong>pósito <strong>de</strong> dados através <strong>de</strong> um aplicativo habilitado para a<br />
Web. E o certificado digital do VeriSign Onsite estará lá para proteg ê-lo.<br />
A Deere & Company protege sua <strong>Intranet</strong> com o VeriSign OnSite<br />
A Deere & Company, com se<strong>de</strong> em Moline (Illinois), é lí<strong>de</strong>r mundial no mercado <strong>de</strong><br />
fornecimento <strong>de</strong> equipamentos agrícolas e uma gran<strong>de</strong> produtora <strong>de</strong> equipamentos para uma<br />
série <strong>de</strong> indústrias. A empresa também fornece serviços financeiros, tais <strong>como</strong> créditos,<br />
seguros e planos <strong>de</strong> saú<strong>de</strong> gerenciados. Com 35.500 funcionários e escritórios em 160 países,<br />
o total <strong>de</strong> vendas e receitas da Deere & Company foi <strong>de</strong> $12.79 bilhões em 1997.<br />
A Deere & Company usa o OnSite para <strong>proteger</strong> seus sistemas <strong>de</strong> <strong>Intranet</strong> porque, diz Farhan<br />
Ahmed Siddiq, consultor da Deere, "para informações <strong>sobre</strong> salários e benefícios que nós não<br />
file://D:\Projetos\CertiSign\prot_intra_extranet\documento_guia3.html<br />
26/3/2004
VeriSign - <strong>Guia</strong> <strong>sobre</strong> <strong>como</strong> <strong>proteger</strong> <strong>servidores</strong> <strong>de</strong> <strong>Intranet</strong> e <strong>Extranet</strong><br />
Página 20 <strong>de</strong> 20<br />
queremos que funcionários não autorizados tenham acesso, os certificados pessoais e as<br />
senhas não fornecem segurança suficiente. Um administrador <strong>de</strong> re<strong>de</strong> po<strong>de</strong>ria colocar um<br />
'farejador' <strong>de</strong> re<strong>de</strong> no fio e começar a 'xeretar' para conseguir estas informações. A SSL<br />
fornece criptografia para impedir que um farejador <strong>de</strong>cifre informações confi<strong>de</strong>nciais."<br />
A companhia usa o VeriSign OnSite para Secure Server IDs para emitir e gerenciar certificados<br />
digitais que habilitem a SSL em seus sistemas <strong>de</strong> <strong>Intranet</strong>, porque a VeriSign oferece a mais<br />
completa solução existente no mercado. "Queríamos ser capazes <strong>de</strong> emitir certificados<br />
rapidamente e ter mais controle <strong>sobre</strong> eles", explica Siddiq. "Anteriormente, solicitar<br />
certificados significava um intervalo <strong>de</strong> tempo <strong>de</strong> cerca <strong>de</strong> uma semana para que as or<strong>de</strong>ns <strong>de</strong><br />
compra fossem processadas, e assim por diante. Era um transtorno. O VeriSign Onsite permite<br />
que nós mesmos gerenciemos os certificados. Já que nós solicitamos um ou dois certificados<br />
por semana, fazia mais sentido comprá-los em gran<strong>de</strong>s quantida<strong>de</strong>s".<br />
Copyright © 1998, VeriSign, Inc.<br />
file://D:\Projetos\CertiSign\prot_intra_extranet\documento_guia3.html<br />
26/3/2004