GESTAO SEG INFORM Aula_10

Prévia do material em texto

*
*
GESTÃO DE SEGURANÇA DA INFORMAÇÃO
PROF. RENATO GUIMARÃES
OBJETIVOS DA AULA
Estratégias de Proteção
- Proteção em camadas.
- Melhores práticas: Cuidados com senhas, Educação dos usuários, Controle de acessos, Uso eficaz de antivírus e antispywares, Backups (cópia de segurança), Plano de continuidade de negócios, Criptografia e certificação digital.
PERÍMETRO DE SEGURANÇA
Cada rede que compões a topologia da organização precisa ser classificada em um dos três tipos de redes: 
Redes confiáveis: Localizadas no perímetro de segurança da rede, portanto necessitam de proteção .
Redes não confiáveis: Estão fora do perímetro de segurança, portanto não possuem controle da administração ou das políticas de segurança.
Redes desconhecidas: São as redes desconhecidas, pois não é possível informar, de modo explícito, se a rede é confiável ou não confiável.
PERÍMETRO DE SEGURANÇA
As redes corporativas podem conter vários perímetros dentro de um perímetro de segurança. É necessário que a organização estabeleça as redes que serão protegidas, defina o conjunto de perímetros de rede e os mecanismos que exercerão a proteção de cada perímetro. Em geral, são encontrados dois tipos de perímetros de rede:
Perímetro exterior: representa o ponto de separação entre os recursos que estão sob controle e os recursos que não estão sob controle.
Perímetro interior: recurso particular que se pretende proteger.
DEFESA DE PERÍMETRO
Internet
BD Corporativo
Firewall
PDC
Exchange
Rede Local
DNS Externo
Gateway de e-mail
Users Remotos
10.1.0.0 / 16
10.3.0.0 / 16
Web Server
BDC,
Radius
Intranet
File Server
Anti Vírus
Desenv / QA
Outros
DNS Interno,
WINS
DHCP
10.2.0.0 / 16
DMZ
200.x.y.z
DEFESA EM PROFUNDIDADE
VPN
Firewall
Inspeção de Conteúdo
Antivirus
Intrusion Detection System
DEFESA EM PROFUNDIDADE
Web Server
Firewall
Rede Corporativa
Roteador
DNS
DMZ
E-Mail
Antivírus
FIREWALL
Tradução literal - “Parede Corta Fogo”
- Idéia básica é a de “isolamento”
- Um pouco de história contemporânea:
Após a cidade americana de Chicago ter sido destruída por um incêndio na década de 20, em sua reconstrução adotou-se a estratégia de separar as casas de madeira por uma parede ou muro de alvenaria, de modo que o fogo não se alastrasse de uma casa para outra ...
FIREWALL
Isola a rede interna da organização da área pública da Internet, permitindo que alguns pacotes passem e outros não, prevenindo
ataques de negação de serviço ou modificações e acessos ilegais aos dados internos
Permite apenas acesso autorizado à rede interna (conjunto de usuários e servidores autenticados)
FIREWALL
Os firewalls podem ser divididos em: 
- Filtros de pacote;
- Firewall com estado;
- Firewall proxy.
FIREWALL
Filtros de Pacotes 
A filtragem de pacotes é um dos principais mecanismos que, mediante regras definidas pelo administrador, permite ou não a passagem de datagramas IP em uma rede. Podem ser implentados pelos roteadores ou através de software de firewall.
FIREWALL
Firewall com estado: 
Monitoram as conexões em uma tabela de estado, na qual armazena o seu banco de regras, bloqueando todo o tráfego que não esteja em sua tabela de conexões estabelecidas. Este banco de regras determina o IP e a porta de origem e de destino que são permitidos para estabelecer conexões. 
FIREWALL
Firewall Proxy 
Permite executar a conexão ou não a serviços em uma rede modo indireto. Possui todas as características e funcionalidades de um firewall com estado, porém impede que os hosts internos e externos se comuniquem diretamente. 
IDS
Tem como principal objetivo reconhecer um comportamento ou uma ação intrusiva, através da análise das informações disponíveis em um sistema de computação ou rede. Caso detecte alguma anomalia suspeita ou ilegal, gera uma notificação para alertar o administrador da rede e / ou automaticamente disparar contra-medidas. Para realizar a detecção várias tecnologias podem ser utilizadas: análise estatística, inferência, inteligência artificial, data mining, redes neurais e diversas outras.
DMZ
São pequenas redes que geralmente contém serviços públicos que são conectados diretamente ao firewall ou a outro dispositivo de filtragem e que recebem a proteção deste dispositivo. Muitos autores apresentam o conceito de DMZ suja e DMZ protegida ou também conhecida por screened subnets. Em uma DMZ suja os servidores estariam conectados diretamente na interface do roteador sem a proteção do firewall enquanto que uma DMZ protegida ou screened subnets está protegida por um firewall ou outro dispositivo de filtragem, hospedando normalmente serviços públicos, como DNS e correio eletrônico por exemplo.
VPN
Virtual Private Networks
- Interligam várias Intranets através da Internet
- Usam o conceito de tunelamento:
Dados são criptografados e autenticados
Usa conexões TCP comuns
Túneis podem ser pré-estabelecidos
- Permitem acessos remotos com segurança
VPN
Como Implementar:
- Construir firewalls em cada lado do túnel
- Instalar software em cada lado
- Estabelecer chave criptográfica comum
- Estabelecer o túnel
- Cada firewall criptografa e autentica os pacotes
algoritmos simétricos eficientes devem ser usados
- O outro firewall recebe, decodifica e envia os pacotes ao destinatário
PASSWORDS
Prós
Baratos 
Recurso nativo na maioria dos sistemas
Portáteis 
Fáceis de modificar 
Fáceis de lembrar
Contras 
“Caros” para administrar 
Mal escolhidos = fáceis de adivinhar 
Várias pessoas com o mesmo password
Pode ser comprometido sem conhecimento 
PASSWORDS
Como garantir maior segurança com Senhas
Seleção adequada 
Políticas para escolha e troca periódica
Definir tamanho mínimo
Verificação periódica 
Conscientização dos usuários
escolha das senhas
guarda das senhas
não comunicar a senha à ninguém (colegas, conhecidos, help desk, etc)
PASSWORDS
Autenticação de usuário
Basicamente quatro técnicas principais podem ser utilizadas para autenticação de usuários:
Onde você está
Algo que você conhece
Algo que você é
Algo que você tem
Uma autenticação passa a ser considerada “robusta” quando alia duas ou mais destas informações.
PASSWORDS
Algo que você sabe: Senha, PIN, “nome de solteira da mãe” “1059”
PASSWORDS
 One-time password
Utilizam uma senha diferente para cada acesso
Desafio-resposta
A cada tentativa de acesso, o sistema retorna uma “pergunta” ao usuário, que deve ser devidamente “respondida”
Senhas variáveis no tempo
A senha de acesso é composta por uma parte variável no tempo, informada por um dispositivo específico. Não há reutilização das senhas. 
PASSWORDS
Desafio Sistema
Entra PIN
Entra Desafio
Calcula Resposta
Pega a Resposta
Entra password secreto sistema
Sistema Aceita ou Rejeita
Solicita Login
PASSWORDS
+
 
P
I
N
+
C
a
r
d
c
o
d
e
(Hardware, Software, ou software cliente/servidor)
234239
Autenticação
Cartão
Senha
Secreta
Produto de controle de acesso
PASSWORDS
PASSWORDS
Autenticação de usuário
Onde você está:
Muitos sistemas se baseiam em um identificador de usuário e no endereço de rede do sistema para fazer a autenticação. Ou seja, o autenticador assume a identidade da origem pode ser inferida com base no endereço (de rede) de onde os pacotes foram enviados.
PASSWORDS
Autenticação de usuário
Onde você está:
Infelizmente este método é suscetível a falhas:
- Invasão de sistemas confiáveis
- Falsificação de endereço IP
PASSWORDS
O que você tem:
Uma forma de autenticação comumente usada baseia naquilo que uma pessoa ou entidade possui em seu poder.
Por exemplo, o fato de alguém ter um cartão, ou uma placa de computador especial pode ser usado para verificar sua identidade.
Diversos dispositivos são usados comeste objetivo:
Smart cars, PC cards e dispositivos de token
PASSWORDS
O que você é:
	
Esta forma de autenticação se baseia naquilo que uma entidade é, ou representa. Essa categoria abrange os atributos físicos (como as impressões digitais) de pessoas ou computadores.
BIOMETRIA
BACKUPS
Os Backups ou cópias de segurança são itens muito importantes na administração de sistemas devendo fazer parte da rotina de operação dos sistemas da organização, através de uma política pré-determinada.
Sempre que possível devem ser realizados da forma mais automatizada possível, de modo a reduzir o impacto sobre o trabalho dos administradores.
Devem fazer parte da lista de itens de backup: 
- Dados
 Arquivos de configuração - Logs
 
BACKUPS
Alguns cuidados devem ser tomados em relação ao local onde são guardados os backups:
- O acesso ao local deve ser restrito, para evitar que pessoas não autorizadas roubem ou destruam os backups;
- O local deve ser protegido contra agentes nocivos naturais (poeira, calor, umidade);
- Se possível, é aconselhável que o local seja também `a prova de fogo.
 
CRIPTOGRAFIA
Existem dois tipos de criptografia, a Simétrica e a Assimétrica e ambas podem ser fortes.
Para se ter uma idéia, se nós tivéssemos acesso a toda tecnologia a nível computacional disponível para se tentar quebrar um código de criptografia forte, ou seja, se tivéssemos bilhões de computadores executando bilhões de checks por segundo, não seria possível decifrar o resultado de uma criptografia forte, antes do fim do mundo.
Como podemos ver, a nossa vulnerabilidade não está no tipo de criptografia, mas sim na forma de administrar a chave.
CRIPTOGRAFIA SIMÉTRICA
Vantagens:
- É extremamente rápida, um polinômio simétrico será capaz de encriptar um texto em alguns milésimos de segundo.
- Trabalha com chaves pequenas, uma chave de 128 bits é considerada muito boa e quase impossível de ser quebrada, embora já se diga que já foi possível sua quebra, uma chave de 128 bits ainda é considerada uma excelente solução.
Desvantagem:
- A chave usada para encriptar é a mesma chave usada para decriptar. E isto torna a Criptografia Simétrica vulnerável. Isto faz sentido já que ao enviarmos uma mensagem encriptada para uma pessoa, deveremos também enviar a chave, pois sem ela, o receptor não poderá ler a mensagem
CRIPTOGRAFIA ASSIMÉTRICA
Esta solução veio atender ao problema de se ter as chaves de criptografia dos polinômios simétricos enviada na mensagem. 
Esta criptografia cria um par de chaves distintas e complementares de forma que, aplicadas ao mesmo polinômio, uma seja usada para encriptar e a outra para decriptar. A chave de encriptação recebe o nome de chave Pública, e é distribuída sem restrição. Ao receber uma mensagem eu utilizo a minha chave Privada que só eu tenho acesso.
CRIPTOGRAFIA ASSIMÉTRICA
Vantagens:
A grande vantagem está na chave. A que encripta os dados é diferente da que decripta estes mesmos dados.
Desvantagem:
São extremamente lentos quando comparados com o simétrico. Um polinômio assimétrico é milhares de vezes mais lento.
Utiliza chaves grandes.
CERTIFICAÇÃO DIGITAL
O certificado digital é um arquivo assinado eletronicamente por um entidade confiável chamada Autoridade Certificadora (CA). Um certificado tem como objetivo um dos objetivos associar a chave pública a uma pessoa física ou jurídica, servindo como um mecanismo para a divulgação da chave pública. A autoridade Certificadora verifica a identidade do sujeito e emite o certificado digital.
*