Baixe o app para aproveitar ainda mais
Prévia do material em texto
Aspectos de segurança Confidencialidade : Capacidade de limitar o acesso à informação apenas por entidades autorizadas ( pessoas, maquinas ,processos e etc ) Autenticidade : Capacidade de garantir que um determinada entidade é quem afirma ser Integridade : Garantir a integridade das informações transitadas na rede ou armazenada. Controle de Acesso : Capacidade de impedir acesso não autorizada a um determinado recurso ou limita o acesso Não Repudio : Capacidade de impedir que uma entidade envolvida em uma transação negue sua participação ( Total ou Parcial ) Disponibilidade : Capacidade de garantir de garantir os recursos mesmos na sequencias de ataques. Regras de uma boa politica de segurança Ser de fácil acesso aos membros da organização Definir claramente os objetivos de segurança Definir objetivamente todos os aspectos abordados Definir claramente a posição da organização em cada questão Justificar as opções tomadas Definir claramente as circunstâncias em que é aplicadas cada uma das regras de segurança Definir os papéis de cada elemento na organização Definir claramente as consequências do não cumprimento das regras definidas Fornecer contatos para esclarecer questões duvidosas Definir o nível de privacidade garantida do usuário Definir o tratamento das situações de omissão Medidas que podem ser implementada para os problemas abaixo, exemplos : confidencialidade Mecanismos de encriptação na comunicação Procedimentos mais restritivos na utilização do netbios Autenticação Reforço nos mecanismos de autenticação (NT) Utilização de mecanismos de autenticação como por exemplo Assinaturas Digitais Autenticação por Biometria Integridade Implementação de mecanismos de controle de integridade Criptografia. Vigilância central de anti-vírus Implementação de mecanismos de controle de integridade no FTP e páginas WWW. Controle de Acesso Equipe de segurança para o acesso físico ao local Mecanismos de encriptação de senhas e usernames. Implantação de CFTV nas áreas comuns do local. Não Repudio Utilização de Assinaturas Digitais Redundância Implementar sistemas anti-fogo Redundância de equipamentos e links, e de arquivos aplicativos também. Backups Segurança no meio físico e na camada física Formas de ataque : Escuta ( snooping) por derivação do meio físico (wire tapping ) por derivação dos conectores por leitura da interferência eletromagnética por escuta do espectro radio-elétrico Bloqueio ( Interrupção) Corte no meio físico Através da interferência eletromagnética Através de obstáculos Desvio ( hijacking) Desvio da ligação para outro equipamento emissor/receptor Pode ter 2 objetivos : Se fazer passar por outra pessoa impersonificação, assim acessando as informações; Acessar os recursos de comunicação; Técnicas e mecanismos de segurança em Projeto : Fibra Optica garante mais segurança Topologia Estrela ou Arvore, comutação (Switch) Proteção Física do meio de comunicação em Projeto : Tubulação e calhas embutidas ou enterradas Bastidores e caixas de derivação com fechadura de segurança Zonas térmicas com acesso restrito ou reservado Redundância nas ligações do meio físico em Projeto : Redundância nos backbones da Lan Utilização de percursos diferentes na ligações de redundância Na Transmissão : Codificação da transmissão Mecanismo de embaralhamento ( Scrambling ) Mecanismos de salto de frequência ( frequency hopping ) Autenticação do emissor e do receptor (exemplo: Call Back,Smart Card,id unico ) Gerencia e Manutenção de Rotina Gerencia das Ligações - Registros das novas ligações à redes Desativação das ligações inativas Inventario dos equipamentos ligados Logs dos tempos ligados Controle físico dos acessos Registros das ações de instalação e configuração da rede Vigilância das salas técnicas por CFTV Inspeção periódicas Estado dos cabos Aos circuitos de ligação ao exterior Auditória Inspeção visual Medições Analise dos registros Camada de Enlace ( Ligação Logica ) Tecnologias de ligações logicas mais representativas : Redes locais Ligações comutadas Ligações dedicadas Frame Relay ATM Formas de ataque ( Enlace) : Escuta ( snooping) Ataque a confidencialidade Leitura e decodificação da informação em transito Vulnerabilidade Muito fácil em modo partilhado (HUB) Software de sniffer disponível em toda parte Dificil no meio comutado, É necessário fazer um derivação com um hub no meio físico. Proteção Preferencia por redes comutadas maior segurança e desempenho Detecção e isolamento da interfaces em modo promíscuo Alguns equipamentos tem a opção de isolar as redes por Vlans Controle de acesso a rede Controle de ligação de máquinas na rede Controle de acesso fisico aos equipamentos Servidor e Comutadores e zonas de backbones Monitoração e Auditória Detecção de padrões anormais de trafego Detecção de atividade de sniffers Bloqueio ( Interrupção) Ataque a disponibilidade Perturbação no funcionamento dos protocolos capaz de prover corte da ligação Vulnerabilidade É fácil introduzir uma perturbação no protocolo Mais difícil em modo comutado Ligações de backbones são sensíveis Ligação aos servidores são sensíveis Proteção Tecnologia por comutação Escolha de equipamento com isolamento de máquina “mal comportada” Monitorização e Auditoria Desvio ( hijacking ou fabricação) Ataque a autenticidade Impersonificação para acesso a informação ou recursos não autorizados Vulnerabilidade Por ataque ao ARP Resposta falsa a um request ARP Por alteração do MAC (MAC Spoofing) Há placas de permitem altera o endereço MAC Quando há controle de acesso pelo MAC ( Usado no DHCP como opção) Proteção Não há grandes soluções para ataque ARP Necessária autenticação nas camadas superiores Autenticação DHCP com base no endereço MAC Não resiste a MAC Spoofing Monitorização e Auditoria Modificação ( man in the middle ) Ataque a Integridade Ataque a Confidencialidade da informação Interceptação da ligação e alteração da informação em transito Vulnerabilidade Não é muito vulgar esse tipo de ataque Muito difícil em modo partilhado Possível em modo comutado por ataques as bridges e ou aos switchs Proteção Controle de acesso aos equipamentos da rede,como switchs e bridges Controle de acesso remoto com password Controle de acesso físico Monitorização e Auditoria Protocolos de Segurança Usados na Camada de Ligação Logica ( Enlace ) Função : Autenticação Encriptação Protocolos de Encriptação : ECP ( PPP Encryption Control Protocol ) DESE ( PPP DESE Encryption Control Protocol ) Encriptação associadas aos túneis L2TP e ao IPSec Protocolos de Autenticação : PAP ( Password Authentication Protocol) CHAP ( Challenge-Handshake Authentication Protocol ) RADIUS ( Remote Dial-In User Service ) PAP um protocolo de autenticação por senha O PAP é utilizado por protocolos Point to Point para validar os usuários antes de permitir acesso aos recursos do servidor. Quase todos os sistemas operacionais de redes em servidores remotos suportam Autenticação simples, pouco usada por identificação / password password não encriptado nível de segurança semelhante a de login remoto CHAP é amplamente utilizado para suporta o método de autenticação no qual uma representação da senha do usuário (ao invés da senha) é enviada durante o processo Bastante usada em organizações de pequena dimensões Autenticação forte baseada numa troca challenge / response entre cliente e o NAS ( Servidor de Acesso da Rede ) Não há senhas passeando na linha O cliente o NAS partilham um “segredo” O cliente envia ao NAS um challenge “Desafio” que é um número aleatório O NAS calcula um resposta ao challenge aplicando uma função HASH (função irreversível) ao par segredo. O NAS envia a resposta ao cliente. Metodo Challenge / Response O cliente repete o calculo e confirma o resultado A autenticação pode ser bidirecional A autenticação pode ser repetida várias vezes Como a função Hash é normalmente usado no algoritmo MD5 ( Message Digest ), embora possa ser negociado u, algoritmo diferente. Remote Authentication Dial In User Server ( RADIUS ) É um protocolo de rede que prove de forma centralizada autenticação ,autorização e contabilização no processo de gerenciar computadores que estão se conectando e usando um determinado serviço de rede. Usado em organizações de grande dimensão ( ISPS por exemplo) Permite autenticação centralizada com múltiplos POP O Servidor RADIUS pode dialogar com outros servidores para fazer a autenticação ( atuar como proxy de autenticação ) RADIUS é um protocolo do tipo cliente/servidor que roda como protocolo da camada de aplicação e usa o UDP como apoio. Servidores remotos (RAS), Servidores de redes privadas (VPN´s) e Servidores de acesso de rede (NAS) e todos os Gateways possuem um componente cliente do protocolo RADIUS que se comunica com o Servidor RADIUS 03 Funções Basicas : Autentica o usuário/dispositivo antes da concessão de acesso a rede. Autorização de outros usuários/dispositivos a usar determinados serviços da rede Para informar o uso de outros serviços. Funcionamento do RADIUS 1 O usuário envia ao NAS (cliente RADIUS) informação de login (username e password) 2 O NAS envia ao servidor RADIUS um pacote “acess request” contendo uma chave secreta partilhada entre os dois sistemas; 3 O servidor RADIUS envia ao NAS um pacote “acess challenge” contendo informações que é usada para interrogar o usuário 4 No dialogo entre o usuário e o NAS pode ser usado o PAP ou CHAP 5 O usuário responde ao pedido de informação 6 Após obtenção de resposta da parte do usuário, o NAS envia novamente um pacote “ acess request” ao servidor RADIUS contenddo informação sobre o usuário (atribuitos) 7 O servidor RADIUS verifica os elementos recebidos e envia um pacote “acess accept / reject” autorizando/negando a ligação. Ligações Comutadas Ataques Vulnerabilidade Proteção Esculta (Snooping) Relativamente Facil ligações normalmente não encriptadas Pode ser Feito do POP Uso de encriptação Bloqueio Bastante sensível Ataques aos servidores por DoS ao canais disponíveis no POP Sobre dimensionamento dos canais Time out nas ligações Monitoração das tentativas de acesso Desvio ( Hijacking) É relativamente fácil com PAP Mais difícil com o CHAP E RADIUS Autenticação C}HAP e RADIUS Modificação (man in the middle) É relativamente fácil com PAP Pode ser feita no POP ou por ataque ao meio fisico Bastante mais difícil com o CHAP e RADIUS Encriptação Métodos de autenticação segura CHAP e RADIUS
Compartilhar