Baixe o app para aproveitar ainda mais
Prévia do material em texto
* * GESTÃO DE SEGURANÇA DA INFORMAÇÃO PROF. RENATO GUIMARÃES OBJETIVOS DA AULA Estratégias de Proteção - Proteção em camadas. - Melhores práticas: Cuidados com senhas, Educação dos usuários, Controle de acessos, Uso eficaz de antivírus e antispywares, Backups (cópia de segurança), Plano de continuidade de negócios, Criptografia e certificação digital. PERÍMETRO DE SEGURANÇA Cada rede que compões a topologia da organização precisa ser classificada em um dos três tipos de redes: Redes confiáveis: Localizadas no perímetro de segurança da rede, portanto necessitam de proteção . Redes não confiáveis: Estão fora do perímetro de segurança, portanto não possuem controle da administração ou das políticas de segurança. Redes desconhecidas: São as redes desconhecidas, pois não é possível informar, de modo explícito, se a rede é confiável ou não confiável. PERÍMETRO DE SEGURANÇA As redes corporativas podem conter vários perímetros dentro de um perímetro de segurança. É necessário que a organização estabeleça as redes que serão protegidas, defina o conjunto de perímetros de rede e os mecanismos que exercerão a proteção de cada perímetro. Em geral, são encontrados dois tipos de perímetros de rede: Perímetro exterior: representa o ponto de separação entre os recursos que estão sob controle e os recursos que não estão sob controle. Perímetro interior: recurso particular que se pretende proteger. DEFESA DE PERÍMETRO Internet BD Corporativo Firewall PDC Exchange Rede Local DNS Externo Gateway de e-mail Users Remotos 10.1.0.0 / 16 10.3.0.0 / 16 Web Server BDC, Radius Intranet File Server Anti Vírus Desenv / QA Outros DNS Interno, WINS DHCP 10.2.0.0 / 16 DMZ 200.x.y.z DEFESA EM PROFUNDIDADE VPN Firewall Inspeção de Conteúdo Antivirus Intrusion Detection System DEFESA EM PROFUNDIDADE Web Server Firewall Rede Corporativa Roteador DNS DMZ E-Mail Antivírus FIREWALL Tradução literal - “Parede Corta Fogo” - Idéia básica é a de “isolamento” - Um pouco de história contemporânea: Após a cidade americana de Chicago ter sido destruída por um incêndio na década de 20, em sua reconstrução adotou-se a estratégia de separar as casas de madeira por uma parede ou muro de alvenaria, de modo que o fogo não se alastrasse de uma casa para outra ... FIREWALL Isola a rede interna da organização da área pública da Internet, permitindo que alguns pacotes passem e outros não, prevenindo ataques de negação de serviço ou modificações e acessos ilegais aos dados internos Permite apenas acesso autorizado à rede interna (conjunto de usuários e servidores autenticados) FIREWALL Os firewalls podem ser divididos em: - Filtros de pacote; - Firewall com estado; - Firewall proxy. FIREWALL Filtros de Pacotes A filtragem de pacotes é um dos principais mecanismos que, mediante regras definidas pelo administrador, permite ou não a passagem de datagramas IP em uma rede. Podem ser implentados pelos roteadores ou através de software de firewall. FIREWALL Firewall com estado: Monitoram as conexões em uma tabela de estado, na qual armazena o seu banco de regras, bloqueando todo o tráfego que não esteja em sua tabela de conexões estabelecidas. Este banco de regras determina o IP e a porta de origem e de destino que são permitidos para estabelecer conexões. FIREWALL Firewall Proxy Permite executar a conexão ou não a serviços em uma rede modo indireto. Possui todas as características e funcionalidades de um firewall com estado, porém impede que os hosts internos e externos se comuniquem diretamente. IDS Tem como principal objetivo reconhecer um comportamento ou uma ação intrusiva, através da análise das informações disponíveis em um sistema de computação ou rede. Caso detecte alguma anomalia suspeita ou ilegal, gera uma notificação para alertar o administrador da rede e / ou automaticamente disparar contra-medidas. Para realizar a detecção várias tecnologias podem ser utilizadas: análise estatística, inferência, inteligência artificial, data mining, redes neurais e diversas outras. DMZ São pequenas redes que geralmente contém serviços públicos que são conectados diretamente ao firewall ou a outro dispositivo de filtragem e que recebem a proteção deste dispositivo. Muitos autores apresentam o conceito de DMZ suja e DMZ protegida ou também conhecida por screened subnets. Em uma DMZ suja os servidores estariam conectados diretamente na interface do roteador sem a proteção do firewall enquanto que uma DMZ protegida ou screened subnets está protegida por um firewall ou outro dispositivo de filtragem, hospedando normalmente serviços públicos, como DNS e correio eletrônico por exemplo. VPN Virtual Private Networks - Interligam várias Intranets através da Internet - Usam o conceito de tunelamento: Dados são criptografados e autenticados Usa conexões TCP comuns Túneis podem ser pré-estabelecidos - Permitem acessos remotos com segurança VPN Como Implementar: - Construir firewalls em cada lado do túnel - Instalar software em cada lado - Estabelecer chave criptográfica comum - Estabelecer o túnel - Cada firewall criptografa e autentica os pacotes algoritmos simétricos eficientes devem ser usados - O outro firewall recebe, decodifica e envia os pacotes ao destinatário PASSWORDS Prós Baratos Recurso nativo na maioria dos sistemas Portáteis Fáceis de modificar Fáceis de lembrar Contras “Caros” para administrar Mal escolhidos = fáceis de adivinhar Várias pessoas com o mesmo password Pode ser comprometido sem conhecimento PASSWORDS Como garantir maior segurança com Senhas Seleção adequada Políticas para escolha e troca periódica Definir tamanho mínimo Verificação periódica Conscientização dos usuários escolha das senhas guarda das senhas não comunicar a senha à ninguém (colegas, conhecidos, help desk, etc) PASSWORDS Autenticação de usuário Basicamente quatro técnicas principais podem ser utilizadas para autenticação de usuários: Onde você está Algo que você conhece Algo que você é Algo que você tem Uma autenticação passa a ser considerada “robusta” quando alia duas ou mais destas informações. PASSWORDS Algo que você sabe: Senha, PIN, “nome de solteira da mãe” “1059” PASSWORDS One-time password Utilizam uma senha diferente para cada acesso Desafio-resposta A cada tentativa de acesso, o sistema retorna uma “pergunta” ao usuário, que deve ser devidamente “respondida” Senhas variáveis no tempo A senha de acesso é composta por uma parte variável no tempo, informada por um dispositivo específico. Não há reutilização das senhas. PASSWORDS Desafio Sistema Entra PIN Entra Desafio Calcula Resposta Pega a Resposta Entra password secreto sistema Sistema Aceita ou Rejeita Solicita Login PASSWORDS + P I N + C a r d c o d e (Hardware, Software, ou software cliente/servidor) 234239 Autenticação Cartão Senha Secreta Produto de controle de acesso PASSWORDS PASSWORDS Autenticação de usuário Onde você está: Muitos sistemas se baseiam em um identificador de usuário e no endereço de rede do sistema para fazer a autenticação. Ou seja, o autenticador assume a identidade da origem pode ser inferida com base no endereço (de rede) de onde os pacotes foram enviados. PASSWORDS Autenticação de usuário Onde você está: Infelizmente este método é suscetível a falhas: - Invasão de sistemas confiáveis - Falsificação de endereço IP PASSWORDS O que você tem: Uma forma de autenticação comumente usada baseia naquilo que uma pessoa ou entidade possui em seu poder. Por exemplo, o fato de alguém ter um cartão, ou uma placa de computador especial pode ser usado para verificar sua identidade. Diversos dispositivos são usados comeste objetivo: Smart cars, PC cards e dispositivos de token PASSWORDS O que você é: Esta forma de autenticação se baseia naquilo que uma entidade é, ou representa. Essa categoria abrange os atributos físicos (como as impressões digitais) de pessoas ou computadores. BIOMETRIA BACKUPS Os Backups ou cópias de segurança são itens muito importantes na administração de sistemas devendo fazer parte da rotina de operação dos sistemas da organização, através de uma política pré-determinada. Sempre que possível devem ser realizados da forma mais automatizada possível, de modo a reduzir o impacto sobre o trabalho dos administradores. Devem fazer parte da lista de itens de backup: - Dados Arquivos de configuração - Logs BACKUPS Alguns cuidados devem ser tomados em relação ao local onde são guardados os backups: - O acesso ao local deve ser restrito, para evitar que pessoas não autorizadas roubem ou destruam os backups; - O local deve ser protegido contra agentes nocivos naturais (poeira, calor, umidade); - Se possível, é aconselhável que o local seja também `a prova de fogo. CRIPTOGRAFIA Existem dois tipos de criptografia, a Simétrica e a Assimétrica e ambas podem ser fortes. Para se ter uma idéia, se nós tivéssemos acesso a toda tecnologia a nível computacional disponível para se tentar quebrar um código de criptografia forte, ou seja, se tivéssemos bilhões de computadores executando bilhões de checks por segundo, não seria possível decifrar o resultado de uma criptografia forte, antes do fim do mundo. Como podemos ver, a nossa vulnerabilidade não está no tipo de criptografia, mas sim na forma de administrar a chave. CRIPTOGRAFIA SIMÉTRICA Vantagens: - É extremamente rápida, um polinômio simétrico será capaz de encriptar um texto em alguns milésimos de segundo. - Trabalha com chaves pequenas, uma chave de 128 bits é considerada muito boa e quase impossível de ser quebrada, embora já se diga que já foi possível sua quebra, uma chave de 128 bits ainda é considerada uma excelente solução. Desvantagem: - A chave usada para encriptar é a mesma chave usada para decriptar. E isto torna a Criptografia Simétrica vulnerável. Isto faz sentido já que ao enviarmos uma mensagem encriptada para uma pessoa, deveremos também enviar a chave, pois sem ela, o receptor não poderá ler a mensagem CRIPTOGRAFIA ASSIMÉTRICA Esta solução veio atender ao problema de se ter as chaves de criptografia dos polinômios simétricos enviada na mensagem. Esta criptografia cria um par de chaves distintas e complementares de forma que, aplicadas ao mesmo polinômio, uma seja usada para encriptar e a outra para decriptar. A chave de encriptação recebe o nome de chave Pública, e é distribuída sem restrição. Ao receber uma mensagem eu utilizo a minha chave Privada que só eu tenho acesso. CRIPTOGRAFIA ASSIMÉTRICA Vantagens: A grande vantagem está na chave. A que encripta os dados é diferente da que decripta estes mesmos dados. Desvantagem: São extremamente lentos quando comparados com o simétrico. Um polinômio assimétrico é milhares de vezes mais lento. Utiliza chaves grandes. CERTIFICAÇÃO DIGITAL O certificado digital é um arquivo assinado eletronicamente por um entidade confiável chamada Autoridade Certificadora (CA). Um certificado tem como objetivo um dos objetivos associar a chave pública a uma pessoa física ou jurídica, servindo como um mecanismo para a divulgação da chave pública. A autoridade Certificadora verifica a identidade do sujeito e emite o certificado digital. *
Compartilhar