Autenticação e Segurança de Sistemas

•

UNIBH

Juan Pablo Youko

26.09.2013

E aí, curtiu este material?

Ajude a incentivar outros estudantes a melhorar o conteúdo

Gostou desse material? Compartilhe! 🧡

Segurança da Informação

13.945 Materiais compartilhados

Baixe o app para aproveitar ainda mais

Leia os materiais offline, sem usar a internet. Além de vários outros recursos!

Prévia do material em texto

Professor - Ricardo Leocádio 
1 Contato- antonio.gomes@prof.unibh.br 
Auditoria e Segurança de Sistemas 
Proteção e defesa de ativos e as 
tecnologias de segurança 
• Neste capítulo iremos entender os 
conceitos de autenticação, autorização, 
controle de acesso e sistemas de gestão 
de identidade. 
Objetivos 
• Apostila de acompanhamento da 
disciplina, das paginas 26 a 33 
Documentos 
Professor - Ricardo Leocádio 
2 Contato- antonio.gomes@prof.unibh.br 
Auditoria e Segurança de Sistemas 
 Sistemas que permitam controle total da rede e nos permita 
detectar as ameaças e potenciais ataques; 
 Sistemas de autenticação confiáveis para prover garantia de 
identidade daqueles que acessam dados críticos; 
 Sistemas de controle de acesso robustos que garantam 
sigilo e privacidade aos usuários; 
 Sistemas e protocolos de segurança baseados em 
criptografia que garantam sigilo e privacidade às comunicações; 
 Sistemas que garantam proteção da rede contra as ameaças 
de ataques externos e internos; 
 Sistemas que garantam disponibilidade da tecnologia que 
sustenta os ativos para prover continuidade dos negócios em 
momentos de crises; 
 
Elementos necessários: 
Professor - Ricardo Leocádio 
3 Contato- antonio.gomes@prof.unibh.br 
Auditoria e Segurança de Sistemas 
Sistemas de Autenticação 
 
 Autenticação é o meio pelo qual se 
identifica um usuário para que ele possa 
obter acesso aos recursos de determinado 
sistema. 
• O que você tem; 
• O que você é; 
• Ou o que você sabe. 
 
 “A autenticação permite obter a garantia de 
que o usuário ou entidade que solicita ser 
autenticado por determinado sistema é 
realmente quem ele diz que ser.” 
Leitura obrigatória 
desse conteúdo. 
Página 26 
Professor - Ricardo Leocádio 
4 Contato- antonio.gomes@prof.unibh.br 
Auditoria e Segurança de Sistemas 
 
 Autenticação simples é baseada em um dos 
fatores citados enquanto Autenticação forte deve 
ser baseada em mais de um fator de autenticação 
simultaneamente 
 
 
 
 
 
 Autenticação forte não tem haver com a qualidade da 
senha utilizada pelo usuário 
Sistemas de Autenticação 
Professor - Ricardo Leocádio 
5 Contato- antonio.gomes@prof.unibh.br 
Auditoria e Segurança de Sistemas 
 
 One-Time Password (OTP) 
 A senha descartável (em inglês: One-time password - OTP) é uma 
senha que perde a validade após um processo de autenticação 
para impedir um phishing da senha. 
 O uso de senhas descartáveis OTP é uma das mais simples 
soluções e de fácil implementação. A finalidade é fazer com que o 
usuário informe senhas diferentes a cada acesso. 
 Se porventura uma senha de acesso for capturada, ela não terá 
nenhum valor, já que para um novo acesso, uma nova senha 
deverá ser informada, claro que diferente da atual. Isso acontece 
porque no momento que a conexão é aceita, automaticamente a 
senha que foi usada para autenticação é descartada, fazendo com 
que a próxima conexão seja informada uma senha diferente. 
Sistemas de Autenticação 
Professor - Ricardo Leocádio 
6 Contato- antonio.gomes@prof.unibh.br 
Auditoria e Segurança de Sistemas 
 
TOKEN HÍBRIDOS 
 Existem variações de Tokens OTP, chamados de Tokens 
Híbridos, que suportam também a função PKI (Public Key 
Infrastructure) ou Tokens Criptográficos, que geram e 
armazenam as chaves privadas e os certificados digitais, e 
possuem suporte para vários algoritmos de criptografia como o 
RSA, DES e 3DES. 
 Esses dispositivos são, geralmente, utilizados como um fator 
de segurança adicional em transações financeiras realizadas 
em canais remotos/Internet - conhecidos como segundo fator 
de autenticação. 
 Esse tipo de dispositivo, eleva o nível de segurança e 
privacidade em caso de roubo de senhas, através de 
programas espiões como os trojans. 
Sistemas de Autenticação 
Professor - Ricardo Leocádio 
7 Contato- antonio.gomes@prof.unibh.br 
Auditoria e Segurança de Sistemas 
 
 Biometria 
 Biometria [bio (vida) + metria (medida)] é o estudo estatístico 
das características físicas ou comportamentais dos seres vivos. 
 Recentemente este termo também foi associado à medida de 
características físicas ou comportamentais das pessoas como 
forma de identificá-las unicamente. Hoje a biometria é usada na 
identificação criminal, controle de acesso, etc. 
 Os sistemas chamados biométricos podem basear o seu 
funcionamento em características de diversas partes do corpo 
humano, por exemplo: os olhos, a palma da mão, as digitais do 
dedo, a retina ou íris dos olhos. A premissa em que se 
fundamentam é a de que cada indivíduo é único e possuí 
características físicas e de comportamento (a voz, a maneira de 
andar, etc.) distintas. 
Sistemas de Autenticação 
Professor - Ricardo Leocádio 
8 Contato- antonio.gomes@prof.unibh.br 
Auditoria e Segurança de Sistemas 
 Tipos de biometria 
A- Veias: fiabilidade média , difícil de defraudar, alto custo. 
B- Impressão digital: método mais rápido, fiabilidade alta e baixo custo. 
C- Reconhecimento da face: menor fiabilidade, rápido e de baixo custo. 
D- Identificação pela íris: muito fiável, imutável com o passar dos anos, alto custo. 
E- Reconhecimento pela retina: fiável, imutável, leitura difícil e incómoda na medida em 
que exige que a pessoa olhe fixamente para um ponto de luz, alto custo 
F- Reconhecimento de voz: menos fiável, problemas com ruídos no ambiente, problemas 
por mudança na voz do utilizador devido a gripes ou stress, demora no processo de 
cadastramento e leitura, baixo custo 
G- Geometria da mão: menos fiável, problemas com anéis, o utilizador precisa de encaixar 
a mão na posição correta, médio custo. 
H- Reconhecimento da assinatura: menos fiável, algumas assinaturas mudam com o 
passar do tempo, também há problemas na velocidade e pressão na hora da escrita, 
médio custo. 
I - Reconhecimento da digitação: pouco fiável, demora no cadastramento e leitura, baixo 
custo. 
J- Tecnologias futuras: odores e salinidade do corpo humano, padrões das veias por 
imagens térmicas do rosto ou punho, análise de DNA. 
Sistemas de Autenticação 
Professor - Ricardo Leocádio 
9 Contato- antonio.gomes@prof.unibh.br 
Auditoria e Segurança de Sistemas 
 
 Biometria como funciona? Sistemas de Autenticação 
Professor - Ricardo Leocádio 
10 Contato- antonio.gomes@prof.unibh.br 
Auditoria e Segurança de Sistemas 
Autorização define o que o usuário ou sistema 
autenticado pode acessar no sistema no qual já está 
autenticado. 
 
A autorização determina as alçadas de autoridade de determinada 
entidade ou indivíduo frente a um sistema. 
 
 Este usuário pode ver ou alterar a tabela de salários do RH? 
Qual o valor dos pedidos ele pode aprovar? 
 
 
Normalmente é uma função da aplicação que decide o nível de 
acesso baseado na autenticação e nas permissões do usuário 
frente aos sistemas 
Sistemas de Autorização 
Leitura obrigatória 
desse conteúdo. 
Página 27 
Professor - Ricardo Leocádio 
11 Contato- antonio.gomes@prof.unibh.br 
Auditoria e Segurança de Sistemas 
Disciplinas de segurança 
 
 
Autenticação 
Tem relação direta com a “Gerencia de identidades” 
digitais de um usuário frente aos diversos sistemas de 
um ambiente computacional 
 
Autorização 
Tem relação direta com a “Controle de acesso” de um 
usuário frente aos diversos sistemas de um ambiente 
computacional 
 
Autenticação e Autorização 
Professor - Ricardo Leocádio 
12 Contato- antonio.gomes@prof.unibh.br 
Auditoria e Segurança de Sistemas 
 
 
Conceito 
 
 Administração da identidade 
digital de uma pessoa em 
um contexto computacional 
representada pelas várias 
contas de usuário e seu ciclo 
de vida, a saber: 
 
– Criação da conta 
– Provisionamento da conta 
– Alteração da conta 
– Bloqueio da conta 
Gerência de Identidades 
Leitura obrigatória 
desse conteúdo. 
Página 27 e 28 
Professor - Ricardo Leocádio 
13 Contato- antonio.gomes@prof.unibh.br 
Auditoriae Segurança de Sistemas 
 Administração do perfil e das permissões de acesso que 
uma identidade digital possui em um determinado contexto 
computacional e seu ciclo de vida, a saber: 
 
 - Definição do perfil 
 - Concessão do acesso 
 - Alterações no acesso e/ou no Perfil 
 - Remoção do acesso 
Controle de Acesso 
Professor - Ricardo Leocádio 
14 Contato- antonio.gomes@prof.unibh.br 
Auditoria e Segurança de Sistemas 
Alguns fatos 
O legado - década de 1990 – Aplicações em “Silos” 
Parceiros
Clientes
Atendidos 
basicamente 
por telefone e 
Fax
ERP
Aplicações isoladas
Utilizadas por departamentos isolados
Controle de Acessos e de Usuários 
próprios da aplicação
Financeiro
Manufatura
Professor - Ricardo Leocádio 
15 Contato- antonio.gomes@prof.unibh.br 
Auditoria e Segurança de Sistemas 
Alguns fatos 
Hoje : Ganhos na Cadeia de Valor ocorrem quanto maior for a integração 
entre os diversos agentes da cadeia Interligados via WEB 
Clientes
Parceiros
Atendidos 
basicamente 
por WEB e 
Extranet
Home - Office
Filiais
RH
ERP
Vendas
Professor - Ricardo Leocádio 
16 Contato- antonio.gomes@prof.unibh.br 
Auditoria e Segurança de Sistemas 
Alguns fatos 
A situação das empresas hoje: 
WebSphere
WebSphere
OS/390
Z/OS
Sun 
Solaris
MQ
Correio
Eletrônico
Professor - Ricardo Leocádio 
17 Contato- antonio.gomes@prof.unibh.br 
Auditoria e Segurança de Sistemas 
 Quantos IDs e Senhas em média , um funcionário de sua 
empresa possui ? 3, 5, 10 ? 
 
 Quanto tempo um novo funcionário tem de aguardar para 
receber acesso para todos os sistemas que necessita ? 3, 5, 
15 dias ? 
 
 Quantos administradores de plataformas tem que criar 
usuários ? 3, 5, 10 ? 
 
 Quantos chamados são feitos no Help Desk para problemas 
com senhas/ IDs ? 
 
 Quantos ID´s inativos/órfãos sua empresa possui ? 
Conseqüências 
Professor - Ricardo Leocádio 
18 Contato- antonio.gomes@prof.unibh.br 
Auditoria e Segurança de Sistemas 
 Usuários: cada aplicação requer logon 
 Difícil prover alta disponibilidade e escalabilidade 
 Administradores: não existe visão centralizada 
 Arquitetura difícil de suportar diversos mecanismos de 
autenticação 
 Inclusive Certificados Digitais 
 Desenvolvimento: de 20% a 30% de gastos em controle de 
acesso 
Conseqüências 
Professor - Ricardo Leocádio 
19 Contato- antonio.gomes@prof.unibh.br 
Auditoria e Segurança de Sistemas 
 Disciplinas de Gerência de identidades e de controle de 
Acesso desestruturadas. 
 Como fica o controle do ciclo de vida de uma identidade 
digital e dos perfis e das permissões de acesso nos sistemas 
internos de TI? 
 Contas de usuários podem permanecer ativas e com as 
permissões estabelecidas mesmo depois do desligamento 
do funcionário. 
 Permissões de acessos de determinados usuários podfem 
migram com ele durante todo o tempo de vida da conta, 
mesmo com troca de funções e cargos. 
Conseqüências 
Professor - Ricardo Leocádio 
20 Contato- antonio.gomes@prof.unibh.br 
Auditoria e Segurança de Sistemas 
Soluções possíveis 
 Criar Visão estratégica e corporativa destas disciplinas 
de segurança. 
 Criar Processos bem estruturados de controle dos perfis 
de acesso. 
 Adotar Ferramentas para Gestão centralizada do 
processo de concessão de acesso e criação e remoção 
de contas de usuários.