Slides apresentados no Encontro Nacional de Iniciação Científica 2009 - UFPB.
Aborda as atividades realizadas durante a pesquisa e implantação do projeto Arquitetura de Segurança Baseada em Security Patterns Para o OpenCTI.
Transformando a ti com cloud computing e virtualização
Implementação de Arquitetura de Segurança para OpenCTI
1. PLANOImplementação de Arquitetura de SegurançaBaseada em SecurityPatterns para o OpenCTIPROJETOOpenCTI: Software de uma Central de Telemedicina para Apoio à Decisão Médica em Medicina Intensiva João F. M. Figueiredo joao.matosf@gmail.com http://www.joaomatosf.com Orientador: Gustavo H. M. B. Motta gustavo@di.ufpb.br Departamento De Informática Universidade Federal Da Paraíba www.larqss.di.ufpb.br
2. Sumário. Introdução. A telemedicina e o OpenCTI. Proposta. Requisitos, Security Patterns, Boas Praticas e Criptografia. Protótipo. Resultados. Conclusão. Anexos: Usabilidade da infra-estrutura do LARQSS www.larqss.di.ufpb.br
52. Autenticação bidirecional com protocolo de desafio-resposta abreviado. A A, RA RB Alice Alice Bob Bob KAB(RB) RB, KAB(RA) RA KAB(RB) KAB(RA) Figura 2 – Autenticação bidirecional com protocolo desafio-resposta abreviado. Figura 1 – Autenticação bidirecional com protocolo desafio-resposta. www.larqss.di.ufpb.br
53. Protótipo. “Se os fatos não se encaixam na teoria, modifique os fatos.” (Albert Einstein) www.larqss.di.ufpb.br
54.
55. OpenLDAP, OpenVPN, OpenSSL, Samba, HIDS, Heartbeat, Mon, Squid, DRBD, Iptables, PF.Figura 3 – Diagrama do protótipo. www.larqss.di.ufpb.br
107. Preferências dos usuários são armazenadas remotamente, no servidor Samba, e carregadas durante o logon.www.larqss.di.ufpb.br
108.
109.
110. DNS reverso é pré-requisitos para o bom funcionamento da comunicação no domínio.
111. O nome do host é preferencial na comunicação.
112. DNS dinâmico, atualizado pelo servidor DHCP, eleva a escalabilidade e a performance de comunicação com os clientes.
113. Embora os IPs sejam dinâmicos, as estações na rede podem ser encontradas pelo seu nome de host, via consulta ao servidor DNS.
114. DNS deve declarar respostas específicas de domínios ActiveDirectory, caso contrário o domínio Samba não será encontrado por clientes Windows.www.larqss.di.ufpb.br
120. O desenvolvimento foi baseado em padrões e tecnologias abertas, de maneira a reduzir os custos envolvidos para a efetivação da solução.
121. O protótipo continua em evolução, estando atualmente em teste e produção no Laboratório de Arquitetura e Sistemas de Software e no Hospital Universitário Lauro Wanderley.www.larqss.di.ufpb.br
138. Todos os usuários autenticados dispõe de um diretório público, montado automaticamente ao efetuar logon, onde possuem permissões irrestritas por default.
139. Usuários podem alterar a política padrão de permissões dos objetos que criarem. (Figura 13)
140. Para acessar o diretório publico de uma rede fora do domínio, usar VPN e acessar: larqssublico.www.larqss.di.ufpb.br
149. Os seguintes logs das atividades dos usuários são armazenados para fins de auditória:www.larqss.di.ufpb.br
150.
151. O nome do host é preferencial na comunicação.
152. DNS dinâmico, atualizado pelo servidor DHCP, eleva a escalabilidade e a performance de comunicação com os clientes.
153. Embora os IPs sejam dinâmicos, as estações na rede podem ser encontradas pelo seu nome de host, via consulta ao servidor DNS.
154. DNS deve declarar respostas específicas de domínios ActiveDirectory, caso contrário o domínio Samba não será encontrado por clientes Windows.www.larqss.di.ufpb.br
155.
156.
157.
158. 5. Anexos: DNS e DHCP Figura 15 – Teste de DNS reverso e dinâmico. www.larqss.di.ufpb.br
159.
160. Cria um túnel seguro entre o computador do cliente e o “switch” do laboratório.
210. Obs: No windows vista o openVPN GUI deve ser executado com permissões de administrador.www.larqss.di.ufpb.br
211.
212. [2] SCHUMACHER, M.; BUGLIONI, E. F.; HYBERTSON, D.; BUSCHMANN, F.; SOMMERLAD, P. Securitypatterns: integratingsecurityand systems engineering. England: John Wiley & Sons, 2006.
213. [3] Conselho Federal de Médicina (Brasil). Resolução CFM Número 1.821/2007. Brasília, DF: CFM, 11 jul. 2007.
214. [4] TANENBAUM, A. S. Redes de Computadores. tradução Vandenberg. D. S., 4ª Edição. Rio de Janeiro: Elsevier, 2003.
215. [5]CitrixXenServer. Disponível em: < http://www.citrix.com/English/ps2/products/feature.asp?contentID=1686939>. Acessado em agosto de 2009.
216. [6] KOBAYASHI, L. O. M.; MOTTA, G. H. M. B.; Furuie, S. S.. Análise dos Requisitos Tecnológicos para Implementação de Segurança Fim-a-Fim em Imagens Médicas. In: III LatinAmericanCongressonBiomedicalEngineering, XIX Congresso Brasileiro de Engenharia Biomédica, 2004, João Pessoa - PB. ProceedingsoftheInternationalFederation for Medical andBiologicalEngineering, 2004. v. 5. p. 597-600.www.larqss.di.ufpb.br
217.
218. [8] MOTTA, G. H. M. B. Um modelo de autorização contextual para o controle de acesso ao prontuário eletrônico do paciente em ambientes abertos e distribuídos. São Paulo: USP, 2004. 213 p. Tese (Doutorado) – Programa de Pós-graduação em Engenharia Elétrica, Escola Politécnica da Universidade de São Paulo, São Paulo, 2004.
219. [9] FERRAIOLO D. F.; KUHN, D. R.; CHANDRAMOULI, R. Role-Based Access Control. Boston: ArtechHouse, 2003.
224. [14] TANENBAUM, A. S. Organização estruturada de computadores. Tradução: Arlete Simille Marques; 5ª Edição. São Paulo: Pearson Prentice Hall, 2007.www.larqss.di.ufpb.br
225. Obrigado! PLANOImplementação de Arquitetura de SegurançaBaseada em SecurityPatterns para o OpenCTIPROJETOOpenCTI: Software de uma Central de Telemedicina para Apoio à Decisão Médica em Medicina Intensiva João F. M. Figueiredo joao.matosf@gmail.com http://www.joaomatosf.com Orientador: Gustavo Motta. gustavo@di.ufpb.br Departamento De Informática Universidade Federal Da Paraíba www.larqss.di.ufpb.br