Software Livre como Solução Segura para o Trâmite de Informações Corporativas

0
1383
DOI: ESTE ARTIGO AINDA NÃO POSSUI DOI SOLICITAR AGORA!
PDF

OLIVEIRA, Geveson de Souza [1]

PINTO, Aurílio Guimarães [2]

FREITAS, Caio Guimarães [3]

ALMEIDA, Cristiany Caliri de [4]

LEITE, Francisco Canindé da Silva [5]

SILVA, Francisco Eronildo da [6]

RIBEIRO, Dallas dos Santos [7]

MORAIS, Gilvanete Melo de [8]

PERES, Paulo Júnior de Jesus [9]

OLIVEIRA, Geveson de Souza; et.al. Software Livre como Solução Segura para o Trâmite de Informações Corporativas. Revista Científica Multidisciplinar Núcleo do Conhecimento. Edição 07. Ano 02, Vol. 02. pp 47-57, Outubro de 2017. ISSN:2448-0959

Resumo

Nesta pesquisa, demonstra-se que além de ser mais transparente, o software livre pode ser utilizado de forma prática nas empresas em substituição aos softwares proprietários. Os dados utilizados foram coletados a partir de um cenário de experimentação, da qual, foram feitos testes em 4 (quatro) ferramentas livres: OPENLDAP, SQUID, ZIMBRA e CACTI. Ao final, comprovou-se que o uso dessas ferramentas livres são de vital importância para sobrevivência de uma empresa com o intuito de resguardar a disponibilidade, integridade, e confidencialidade das informações empresariais.

Palavras-Chave: Software Livre, Segurança da Informação, Software Proprietário.

1. Introdução

A cada dia as áreas de negócio das organizações estão utilizando os serviços de Tecnologia da Informação (TI) para suportarem suas atividades estratégicas e operacionais. Nesse sentido, cresce consideravelmente a importância dos serviços de TI e o uso de ferramentas que auxiliem no crescimento de uma empresa.

As organizações vêm buscando migrar seus sistemas como estratégia de negócio, buscando um modelo de desenvolvimento colaborativo como o software livre. Muitas empresas utilizam software não licenciado e assim caindo no mundo da pirataria de software, sendo alvos de órgãos de auditorias.

Este artigo está organizado em mais seis seções. Na seção 2, denominada “Metodologia”, são abordados os comparativos entre as ferramentas proprietárias e as ferramentas livres. Na seção 3, “Segurança da Informação nas Empresas”, aborda os objetivos da segurança da informação, bem como a criptografia de dados e de redes de comunicação e os trabalhos relacionados. A seção 4, “Cenário”, apresenta a descrição do cenário, as metodologias de testes, bem como os testes realizados. As seções 5 e 6 apresentam os resultados obtidos e a análise dos resultados. As conclusões e perspectivas são abordadas na seção 7.

2. Metodologia

O presente trabalho tem sua metodologia fundamentada na revisão bibliográfica, estudo de casos de sucesso, e através de testes de ferramentas livres, por meio de um cenário de experimentação.

2.1 Software Proprietário X Software Livre

Segundo Gonçalves (2007), o software proprietário é aquele cuja cópia, redistribuição ou modificação são em alguma medida proibidos pelo seu proprietário. E para usar, copiar ou redistribuir deve-se solicitar permissão ao proprietário, ou pagar para poder fazê-lo.

Segundo Silveira (2004), Software Livre se refere à liberdade dos usuários executarem, copiarem, distribuírem, estudarem, modificarem e aperfeiçoarem o software.

2.2 Ferramentas Livres

Segundo Oliveira Júnior (2006), existem vários projetos de software livre nas mais variadas aplicações: empresarial, finanças, gestão de projetos, desenvolvimento de software, internet, educação, editores de texto etc., além de tecnologias do mundo empresarial, tais como: CRM (sistema de gestão do relacionamento com cliente), ERP (sistema integrado de gestão), Data warehouse e OLAP (online analytical processing).

No Quadro 1 descrimina as ferramentas livres que serão usados neste trabalho, bem como seu comparativo com ferramentas proprietárias.

Quadro 1 – Comparação software proprietário x software Livre

Tipo de Serviço Software Proprietário Software Livre
Serviço de Diretório Active Directory OpenLDAP
Controle de Acesso à Internet WinGate Squid
Serviço de E-mail Exchange Zimbra
Serviço de Monitoramento de Rede PRTG Network Monitor Cacti

 

As ferramentas livres citadas no Quadro 1, são alguns softwares usados para o gerenciamento e o controle de uma infraestrutura de TI.

3. Segurança da Informação nas Empresas

Segundo Fontes (2006), Segurança da Informação pode ser definida como um conjunto de normas, políticas, procedimentos e outras ações que levam à proteção dos ativos que contém informação e que possibilitam que a missão de uma organização seja atingida tornando o negócio viável. Ela minimiza os riscos para o negócio e consequentemente perdas que comprometam o seu funcionamento e o retorno do investimento de seus acionistas.

A informação é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização e consequentemente necessita ser adequadamente protegida. Isto é especialmente importante no ambiente dos negócios, cada vez mais interconectados.

3.1 Objetivos da Segurança da Informação

Segundo Diógenes (2011), a Segurança da Informação possui três conceitos base que são considerados os pilares da Segurança da Informação e devem ser o alicerce de qualquer plano de segurança. Segundo Beal (2008), o cumprimento de medidas que garantam a proteção da informação nestes aspectos significa que a informação é relativamente segura.

3.1.1 Criptografia de Dados e de Redes de Comunicação

Segundo o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (2006), a criptografia, considerada como a ciência e a arte de escrever mensagens em forma cifrada ou em código, é um dos principais mecanismos de segurança que se pode usar para se proteger dos riscos associados ao uso da Internet.

Vários mecanismos de segurança são implementados para aumentar a Segurança da Informação na transmissão de dados. Segundo a Cartilha de Segurança para Internet (2006), os mecanismos de segurança como o SSL (Secure Sockets Layer) e o TLS (Transport Layer Security) são protocolos que por meio de criptografia fornece confidencialidade e integridade nas comunicações entre um cliente e um servidor, podendo também ser usado para prover autenticação.

3.2  Trabalhos Relacionados

No campo de atuação deste trabalho, observou-se uma gama de trabalhos relacionados com informações em segmentos diversificados que foram pesquisados com a finalidade de enriquecer e produzir embasamento teórico a este trabalho. Dentre eles, destacam-se os dois trabalhos relacionados a seguir:

O primeiro trabalho, escrita por Miranda (2011) e intitulada como “O uso de software livre como alternativa para pequenas e médias empresas” o qual tem o objetivo de mostrar através de um estudo de caso, o uso de tecnologias baseadas em software livre.

O segundo trabalho, uma dissertação escrita por Mendes (2006), faz um estudo sobre “Software Livre e Inovação Tecnológica”, que tem por objetivo discutir o potencial do software livre para fomentar a inovação tecnológica, por intermédio do seu regime protetivo à propriedade intelectual, em países em desenvolvimento, tendo o Brasil como referência.

4. Cenário

O cenário de experimentação foi preparado com o intuito de aplicar a metodologia proposta e efetuar os testes em laboratório das ferramentas livres usadas para este trabalho.

4.1 Descrição do Cenário

Para as fases de realização dos testes dos softwares livres, foram utilizadas quatro ferramentas.

No Quadro 2 são apresentadas as configurações dos computadores e sistemas utilizados nesse estudo para as atividades de testes das ferramentas livres. Foi utilizado um equipamento, no qual foram criadas sete máquinas virtuais.

Quadro 2 – Equipamento e sistemas utilizados

Equipamento Descrição
Computador Hospedeiro Mac Apple OS X com Processador Intel Core i5, 2.5Ghz, 4GB RAM, 500GB HD.
Máquina Virtual 1 (Servidor 01) Linux Debian 7.6.0, 2GB RAM, 60 GB HD.
Máquina Virtual 2 (Servidor 02) Linux Debian 7.6.0, 2GB RAM, 60 GB HD.
Máquina Virtual 3 (Servidor 03) Linux Debian 5.0, 2GB RAM, 60 GB HD.
Máquina Virtual 4 (Usuário 2) Ubuntu 14.04, 1GB RAM, 8 GB HD.
Máquina Virtual 5 (Usuário 3) Ubuntu 14.04, 1GB RAM, 8 GB HD.
Máquina Virtual 6 (Usuário 4) Ubuntu 14.04, 1GB RAM, 8 GB HD.
Máquina Virtual 7 (Usuário 5) Ubuntu 14.04, 1GB RAM, 8 GB HD.

 

Foi utilizado somente um equipamento (um computador hospedeiro) para criação do cenário de experimentação, ressalta-se que no computador hospedeiro foi configurado uma pequena rede interna, com sete máquinas virtuais, de topologia do tipo estrela, no qual existem três servidores Debian, e quatro máquinas usuárias do tipo Ubuntu Desktop.

Foi utilizado o software de virtualização, distribuído gratuitamente sobre a licença GPL, VirtualBox versão 4.3.20, da empresa multinacional Oracle Corporation. O VirtualBox é um programa de virtualização da Oracle que permite instalar e executar diferentes sistemas operacionais em um único computador.

4.2  Metodologia de Testes

A metodologia para a realização dos testes consiste em utilizar máquinas virtuais em um computador hospedeiro para configuração de uma pequena rede interna, com sete máquinas virtuais, de topologia do tipo estrela, no qual existem três servidores Debian, e quatro máquinas usuárias do tipo Ubuntu desktop. Os testes realizados verificarão a usabilidade da ferramenta livre em uma estrutura de rede interna, como testes de autenticação de usuários em um sistema de diretório, acesso à internet através de “Proxy”, acesso de usuários ao correio eletrônico interno, e acesso de usuário para o monitoramento de uma rede interna.

4.3  Sistemas Operacionais Servidores e Clientes

Como sistema operacional de servidores foi adotado o sistema não comercial livre Debian GNU/Linux. Para estações clientes foi adotado o sistema operacional Ubuntu, distribuição Linux baseada no Debian, de código aberto e mantido pela empresa Canonical Ltd. O sistema operacional Ubuntu é um sistema de interface intuitiva e se parece com o sistema operacional Windows da Microsoft.

No Servidor 01, foi instalado as ferramentas de software livre “OpenLDAP” e “Squid”. Ferramentas essenciais para o controle de acesso lógico de usuários de tecnologia da informação. “OpenLDAP” é uma ferramenta para o controle de acesso de usuários a sistemas de informação. E a ferramenta “Squid” funcionará como servidor de navegação à internet, através da autenticação do usuário.

No Servidor 02, foi instalado a ferramenta de software livre “Cacti”. Ferramenta para verificação e monitoramento de uma rede de computadores. Essa ferramenta de código livre recolhe e exibe informações sobre o estado de uma rede de computadores através de gráficos.

No Servidor 03, foi instalado a ferramenta de software livre “Zimbra”. Ferramenta de software de e-mail e colaboração, calendário de grupo, contatos, mensagens instantâneas, armazenamento de ficheiros e gestão de documentos web.

4.4  Testes Realizados

Nessa parte, destacamos alguns pontos referentes aos testes realizados com as ferramentas livres propostas, demonstrado, através de um cenário de experimentação conforme especificação a seguir:

a) OpenLDAP

A ferramenta “OpenLDAP” foi instalada e configurada em um servidor Debian, bem como os testes de acesso por partes das máquinas clientes, conforme Figura 1.

Figura 1 - Acesso dos usuários via OpenLDAP
Figura 1 – Acesso dos usuários via OpenLDAP

Foram feitos testes, tanto na parte de acesso dos usuários na base “LDAP” como testes de compartilhamento de dados no diretório “LDAP”. Todas as máquinas clientes conseguiram se autenticar na base “LDAP”, conforme Figura acima. Para aumentar a segurança, foi instalado a biblioteca de código fonte aberta “OpenSSL” que implementa as funções básicas de criptografia.

b) Squid

A ferramenta Squid foi instalada e configurada em um servidor Debian, bem como os testes de acesso por partes das máquinas clientes.

Figura 2 - Configuração do navegador na máquina cliente
Figura 2 – Configuração do navegador na máquina cliente

Para aumentar a segurança foi instalado a ferramenta “NatACL” para autenticação de acesso à internet por usuários cadastrados.

c) Zimbra

A ferramenta “Zimbra” foi instalada e configurada em um servidor Debian, bem como os testes de acesso por partes das máquinas clientes.

Na Figura 3 é apresentado a tela do Console administrativo da ferramenta “Zimbra”, onde é feita toda parte de configuração do sistema de correio eletrônico, bem como a criação dos usuários do sistema.

Figura 3 - Console de administração do Zimbra
Figura 3 – Console de administração do Zimbra

d) Cacti

A ferramenta “Cacti” foi instalada e configurada em um servidor Debian, bem como os testes de acesso por partes das máquinas clientes, conforme Figura abaixo.

Figura 4 - Tela de login do Cacti em uma máquina cliente
Figura 4 – Tela de login do Cacti em uma máquina cliente

O sistema pode ser acessado por usuários cadastrados, fazendo assim o uso da ferramenta para exibição e monitoramento da rede interna.

Para aumentar a segurança, foi testado o uso do Cacti para acesso de informações via o protocolo “SNMP”.

5. Resultados Obtidos

Foi presumido um cenário de experimentação, no qual representou-se uma rede de topologia do tipo estrela com 4 (quatro) usuários clientes e 3 (três) servidores, simulando assim uma pequena rede interna.

O teste realizado na ferramenta “OpenLDAP”, consistiu em fazer a autenticação dos usuários na base LDAP. Os 4 (quatro) usuários usados no cenário de experimentação conseguiram se autenticar na base e usar o diretório “LDAP” sem nenhum problema.

O teste realizado na ferramenta “Squid”, consistiu em usar a ferramenta como um Proxy no qual as máquinas clientes acessam a internet por este “Proxy”. Os 4 (quatro) usuários usados no cenário de experimentação conseguiram navegar na internet através do uso da ferramenta “Squid” sem nenhum problema.

O teste realizado na ferramenta “Cacti”, consistiu em utilizar a ferramenta através de um navegador para exibição e monitoramento da rede interna criada. Os 4 (quatro) usuários usados no cenário de experimentação conseguiram acessar a ferramenta para exibição e monitoramento da rede interna criada.

O teste realizado na ferramenta “Zimbra”, consistiu em usar a ferramenta como correio eletrônico para o trâmite de informações corporativas através de mensagens de e-mail. Os 4 (quatro) usuários usados no cenário de experimentação conseguiram acessar a ferramenta de correio eletrônico e tramitar informações entre eles.

Quadro 3 – Prós e Contras

Ferramenta Prós Contra
OpenLDAP Configurações imediatas, sem ter que parar o OpenLdap;
Facilidade de configuração;
Proteção contra acessos não autorizados.
Pouca documentação disponível;
Incompatibilidades com outras ferramentas, no caso de uma migração;
Redundância de informações.
Squid Controle de conexões web;
Compartilhamento de conexão entre usuários;
Melhor tempo de resposta.
Pouca documentação disponível;
Não suporta outros tipos de serviços como smtp, pop3, jogos via internet etc;
Pouca segurança em protocolos e aplicações.
Zimbra Fácil administração de usuários;
Fácil configuração e interface web;
Escalabilidade e facilidade de manutenção.
Pouca documentação disponível;
Sincronização lenta;
Incompatibilidades com outras ferramentas, no caso de uma migração.
Cacti É flexível e se adapta a diversas necessidades;
Robusto e fácil de usar;
Os gráficos gerados são customizáveis.
Pouca documentação disponível;
Não possui dispositivos de descoberta automática de rede (tem de ser adicionado manualmente);
Problema ao informar a existência de falhas no serviço.

 

No Quadro acima é mostrado as vantagens e desvantagens das ferramentas livres utilizadas neste trabalho.

h

A ferramenta “OpenLDAP” instalada em um servidor Debian, garantiu o controle de acesso de usuários ao diretório “LDAP”. Garantindo assim, que o propósito de autenticação na base “LDAP” foi cumprido de forma satisfatória.

A ferramenta “Squid” instalada em um servidor Debian, garantiu o controle de acesso à internet, através de autenticação, dos usuários cadastrados no sistema Squid. O sistema “Squid” cumpriu seu papel atuando como intermediário entre o usuário de uma estação de trabalho e a Internet, garantindo segurança, controle administrativo e serviço de cache que armazena, no servidor, páginas visitadas anteriormente.

A ferramenta “Zimbra” instalada em um servidor Debian, garantiu o controle de acesso ao correio eletrônico por usuários do sistema. O sistema de correio eletrônico “Zimbra” pode ser utilizado como um servidor de e-mail corporativo e pode ser integrado ao sistema “OpenLDAP”. A ferramenta se comportou de forma satisfatória, cumprindo com todas as exigências de um correio eletrônico de software proprietário.

A ferramenta “Cacti” instalada em um servidor Debian, garantiu o controle de acesso à ferramenta de monitoramento de rede através dos usuários cadastrados no sistema. A ferramenta recolheu e exibiu informações sobre o estado da rede interna através de gráficos, além de ter se mostrada robusta, flexível e de fácil utilização.

O quadro a seguir demonstra os resultados obtidos quanto a complexidade de instalação, usabilidade e segurança de cada ferramenta. A medida é classificada em Alta, Média, e Baixa.

Quadro 4 – Classificação das ferramentas

Ferramenta Praticidade Eficácia Segurança
OpenLDAP Média Média Alta
Squid Baixa Alta Média
Zimbra Média Alta Alta
Cacti Média Média Alta

Conclusão

Observou-se que devido ao uso constante de softwares proprietários, por empresas, havia a necessidade da aquisição da licença do software proprietário, o que onerava bastante os valores para as empresas, devido os altos custos das licenças do software. Diante disso, foi demonstrado que o uso de software livre, em substituição ao software proprietário, é uma alternativa para essas empresas.

Observou-se, também, que além de ser mais transparente, o software livre pode ser utilizado de forma prática nas empresas em substituição aos softwares proprietários, com o intuito de resguardar a disponibilidade, integridade, e confidencialidade das informações corporativas.

Destaca-se que o uso do software livre concede aos usuários a liberdade de alteração e modificação, através da disponibilidade do código fonte, sendo possível fazer uma adaptação do software aos objetivos específicos de cada pessoa ou empresa. Qualquer software, seja ele proprietário ou livre, está sujeito a erros em seu desenvolvimento. No caso do software livre, quando um erro é descoberto o mesmo é corrigido pela comunidade de software livre, que são pessoas espalhadas por toda parte do mundo, o que aumenta a possibilidade de correção imediata. Isso não ocorre com o software proprietário, pois um erro no código fonte pode levar dias ou até meses para ser encontrado e corrigido.

Com a realização dos testes e a análise dos resultados, observou-se que as ferramentas foram usadas de forma mais transparente do que o software proprietário, bem como manteve-se de forma estável durante os testes e cumpriu com as funcionalidades a que se propôs.

Portanto, o objetivo proposto por este trabalho foi alcançado ao demonstrar que as ferramentas livres propostas podem ser utilizadas como solução segura para o trâmite de informações. E, por fim, resguardando a disponibilidade, integridade e confidencialidade das informações corporativas.

Referências

BEAL, Adriana. Segurança da informação: princípios e melhores práticas para proteção dos ativos de informação nas organizações. São Paulo: Atlas, 2008.

CENTRO DE ESTUDOS, RESPOSTA E TRATAMENTO DE INCIDENTES DE SEGURANÇA NO BRASIL. Cartilha de segurança para internet. Versão 3.1, 2006. Disponível em: <http://cartilha.cert.br/>. Acesso em: 08 out. 2014.

DIÓGENES, Yuri; MAUSER, Daniel. Certificação security+: da prática para o exame SYO301. Rio de Janeiro: Novaterra, 2011.

FONTES, Edison. Segurança da informação: o usuário faz a diferença. São Paulo: Saraiva, 2006.

GONÇALVES, Rodrigo Moura. Aplicação de uma ferramenta web open source de CRM. Santa Catarina. 2007. 68 p. Disponível em: < https://projetos.inf.ufsc.br/arquivos_projetos/pro jeto_650/TCC%20-%20Rodrigo%20Moura.pdf>. Acesso em: 18 out. 2014.

MENDES, Cássia Costa. Software livre e inovação tecnológica: uma análise sob a perspectiva da propriedade intelectual. 2006. 282 p. Dissertação (Mestrado em Desenvolvimento Econômico) – Pós-Graduação em Desenvolvimento Econômico, Universidade Estadual de Campinas, 2006. Disponível em: <http://www.bibliotecadigital.unicamp.br/document/?code=vtls000378144>. Acesso em: 20 out. 2014.

MIRANDA, Kermit Barbosa. O uso de software livre como alternativa para pequenas e médias empresas: apresentar tecnologias alternativas utilizadas no ambiente computacional de pequenas e médias empresas nos setores da indústria, comércio e serviços com base na plataforma de software livre. 2011. 62 p. Monografia (Pós-Graduação em Administração de Redes e Sistemas de Informação). Faculdade Fucapi, 2011.

OLIVEIRA JÚNIOR, Raul Simas de. Avaliação de Aceitação de Sistemas Integrados de Gestão. Anais do I Encontro de Administração da Informação, Florianópolis-SC, 2007.

SILVEIRA, Sérgio Amadeu. Software livre: a luta pela liberdade do conhecimento. São Paulo: Fundação Perseu Abramo, 2004.

[1] Pós-graduado em MBA Gestão de Segurança da Informação pela Faculdade FUCAPI, atua como servidor público da Superintendência da Zona Franca de Manaus – SUFRAMA, no cargo de Analista Técnico Administrativo – Tecnologia da Informação.

[2] Graduado na área da Computação, atua como servidor público da Superintendência da Zona Franca de Manaus – SUFRAMA, no cargo de Analista Técnico Administrativo – Tecnologia da Informação.

[3] Graduado na área da Computação, atua como servidor público da Superintendência da Zona Franca de Manaus – SUFRAMA, no cargo de Analista Técnico Administrativo – Tecnologia da Informação.

[4] Graduada na área de Administração, atua como servidora pública da Superintendência da Zona Franca de Manaus – SUFRAMA, no cargo de Administrador.

[5] Graduado na área da Computação, atua como servidor público da Superintendência da Zona Franca de Manaus – SUFRAMA, no cargo de Analista Técnico Administrativo – Tecnologia da Informação.

[6] Graduado na área da Computação, atua como servidor público da Superintendência da Zona Franca de Manaus – SUFRAMA, no cargo de Analista Técnico Administrativo – Tecnologia da Informação

[7] Graduado na área da Computação, atua como servidor público da Superintendência da Zona Franca de Manaus – SUFRAMA, no cargo de Analista Técnico Administrativo – Tecnologia da Informação.

[8] Graduada na área de Economia, atua como servidora pública da Superintendência da Zona Franca de Manaus – SUFRAMA, no cargo de Economista.

[9] Graduado na área da Computação, atua como servidor público da Superintendência da Zona Franca de Manaus – SUFRAMA, no cargo de Analista Técnico Administrativo – Tecnologia da Informação.

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here