Aula_05_controle_de_acesso

Prévia do material em texto

Sistemas de Informação
Segurança e Auditoria de SistemasControle de Acesso
O que é Controle de Acesso?
1. É a capacidade de permitir e controlar o acesso a recursos 
apenas a usuários, programas e processos autorizados. 
2. É a atribuição ou negação de permissão para acesso a um 
determinado recurso, de acordo com um modelo de 
segurança. 
3. Um conjunto de procedimentos executados por hardware, 
software e administradores para monitorar acessos, 
identificar requisições de acesso de usuários, registrar 
tentativas de acesso, e liberar ou bloquear acessos 
baseado em regras pré-estabelecidas
Consiste das seguintes funções primárias:
Identificação:
meio de se receber uma informação sobre a identidade de um usuário
Autenticação:
capacidade de garantir que um usuário é de fato quem ele diz ser
Autorização: 
decisão se um usuário pode ou não executar a atividade solicitada
Auditoria:
garantia que as atividades executadas pelos usuários são registradas de 
modo a possibilitar a monitoração e investigação.
Tem como objetivo garantir que:
Apenas usuários autorizados tenham acesso aos recursos 
necessários à execução de suas tarefas
O acesso a recursos críticos seja monitorado e restrito a 
poucas pessoas
Os usuários sejam impedidos de executar transações 
incompatíveis com sua função
Pode ser implementado através de:
– Funções de identificação e autenticação de usuários
– Gerência e monitoramento de privilégios
– Limitação e desabilitação de acessos
– Prevenção de acessos não autorizados
Processo de logon:
Usado para obter acesso aos dados e aplicativos em um sistema 
computacional.
Normalmente envolve a entrada de uma identificação e uma 
senha.
É aconselhável limitar o número de tentativas erradas de logon, 
bloqueando a conta do usuário e, se possível, desfazendo a 
conexão.
É aconselhável apresentar informações ao usuário sobre seu último 
acesso ou infomações pessoais (autenticação positiva), de modo a 
confirmar a autenticidade do serviço ou aplicação utilizada.
Identificação do usuário:
A identificação do usuário deve ser única, isto é, cada usuário deve 
ter uma identificação própria.
É necessário que todos os usuários autorizados tenham uma 
identificação, seja um código de caracteres, um smart-card ou 
qualquer outro meio de identificação para permitir o controle das 
ações praticadas por meio de arquivos de registro (logs). 
Autenticação do usuário:
Autenticação é a capacidade de garantir que um usuário é de fato 
quem ele diz ser. É uma das funções de segurança mais 
importantes que um sistema operacional deve fornecer. 
Os mecanismos de autenticação podem ser divididos em quatro 
categorias:
• Algo que você sabe - O mecanismo mais utilizado é o 
onipresente, mas relativamente inseguro, par formado pelo nome 
do usuário e sua senha, assim como números PIN usados para 
acesso a Banco 24 Horas e combinações de cofres. 
Autenticação do usuário:
• Algo que você tem - cartões de banco 24 horas, cartões 
inteligentes e outros dispositivos físicos são mecanismos de 
autenticação que exigem a posse física de um dispositivo sem igual 
identificar um usuário. 
• Algo que você é - Impressões digitais, análise de retina e 
reconhecimento de voz são exemplos de mecanismos biométricos 
que podem ser usados para fornecer um nível bem alto de 
autenticação. 
• Algum lugar onde você está - Endereços de adaptador de rede, 
caller-ID, e sistema baseado em Posicionamento Global via Satélite 
provêem informação de autenticação baseada na localização do 
usuário. 
Autenticação do usuário:
Sistemas de autenticação forte geralmente requerem 
simultaneamente o uso de pelo menos dois destes mecanismos. 
Por exemplo, o acesso à sua conta bancária em um banco 24 horas 
requer tanto a posse física do cartão 24 horas como o 
conhecimento do PIN. 
A confidencialidade da informação usada para autenticar os 
usuários é extremamente importante. 
Se você escrever o número do PIN no cartão 24 horas, a 
autenticação forte está perdida. 
Semelhantemente, se a informação de nome e senha do usuário 
trafegar abertamente através da rede, é impossível obter-se uma 
autenticação confiável. 
Autenticação do usuário:
Autenticação por 2 fatores:
Cartão ATM + PIN
Cartão de Crédito + assinatura
PIN + impressão digital
Usuário + senha (Netware, Windows, Unix)
Autenticação por 3 fatores: 
Nome + Senha + impressão digital
Nome + Código + Senha de utilização única
Senhas:
Senha de acesso é o método mais utilizado pelas 
empresas para a autenticação de usuários. 
Porém para garantir o seu uso adequado, deve ser 
definida uma política de senhas, em que sejam criadas 
regras para a criação, troca e uso das mesmas. 
As regras definidas devem ser divulgadas a todos os 
funcionários e colaboradores da organização.
Senhas:
Alguns itens que devem ser abordados em uma política 
de senhas: 
• a senha sempre deve ser criada expirada, forçando a sua 
alteração no primeiro logon; 
• as contas de usuários demitidos, prestadores de serviço, ou 
usuários de teste devem ser imediatamente bloqueadas quando 
não forem mais utilizadas; 
• os usuários devem poder alterar a própria senha e devem 
fazê-lo caso suspeitarem que a sua senha tenha sido "descoberta"; 
• o tamanho mínimo e periodicidade para troca
Problemas de Senhas
Inseguras
Se puderem escolher, as pessoas utilizam senhas fáceis 
de serem lembradas e, consequentemente, fáceis de 
serem adivinhadas, como nomes de parentes, animais, 
nr. de telefone, datas de aniversário, hobbies, etc. 
Facilmente quebráveis
Programas tipo SmartPass, PWDUMP, NTCrack & 
l0phtcrack podem facilmente decifrar senhas em 
ambientes Unix, NetWare & Windows NT. 
Problemas de Senhas
Inconvenientes
Numa tentativa de aumentar a segurança, as 
organizações frequentemente criam processos que 
dificultam a utilização / memorização pelo usuário.
Repudiável
Quando uma transação é autorizada apenas por uma 
senha, NÃO HÁ PROVA REAL DA IDENTIDADE do 
indivíduo que executou a transação.
One-time Passwords
Esta tecnologia consiste em fornecer uma senha de 
acesso diferente a cada determinado intervalo de tempo 
(1 minuto, 30 segundos, etc.), permitindo que o usuário 
se conecte naquele instante. 
As tecnologias de one-time password tornam sem efeito 
a ação de sniffers, já que a cada conexão uma nova 
senha deve ser informada, permitindo que seja utilizado 
um canal inseguro. 
One-time Passwords
Para a geração das senhas são utilizados tokens no 
formato de cartões, chaveiros ou aparelhos 
semelhantes a calculadoras. 
Smartcards
O smartcard é um cartão com chip de memória ou 
microprocessador acoplado e de tamanho similar aos 
cartões de crédito atuais. Este chip armazena dados e 
programas eletronicamente, os quais estão protegidos 
por características avançadas de segurança. Quando 
associado com um leitor, um smartcard tem o poder de 
processamento para servir a muitas aplicações 
diferentes. 
Smartcards
Como um dispositivo de acesso controlado, um 
smartcard torna os dados pessoais ou comerciais 
contidos em si disponíveis apenas para os usuários 
apropriados. Inventados em 1977, hoje os smartcards
já são usados em diversas situações: desde controle de 
acesso até como moeda eletrônica. Smartcards
proporcionam portabilidade, segurança e conveniência 
para seus usuários.
Smartcards
Os smartcards estão divididos em dois tipos: memory cards e 
microprocessor cards. 
Um memory card tem apenas a capacidade de armazenar dados, 
sem nenhum processador, análogo a um disquete. Além disso, ele 
oferece pouca ou nenhuma segurança quando comparado ao 
microprocessor card, porque ele não tem nem a inteligência capazde reconhecer um intruso, nem a capacidade de suportar 
algoritmos de segurança. 
Sem um processador não há como usar algoritmos de criptografia 
ou mecanismos de segurança. Logo, a segurança para um memory
card deve ser implementada pelo software aplicativo e não pelo 
próprio cartão. 
Smartcards
Além disso, os smartcards podem ser com ou sem contato. 
Smartcards com contato devem ser inseridos em uma leitora para 
que se possa efetuar alguma transação. Eles possuem uma 
pequena placa na sua face frontal que faz o contato elétrico do 
processador com a leitora, permitindo transferir dados do e para o 
cartão. 
Smartcards
Já os smartcards sem contato não precisam ser inseridos num 
leitor: apenas precisam ser aproximados a uma antena - presente 
no próprio leitor - para que seja efetuada a transação. 
A energia para o seu funcionamento também é fornecida pelo 
leitor no momento da transação. 
Eles se parecem com um smart card comum, exceto por possuírem 
uma antena interna. Essa antena, juntamente com o 
microprocessador, permite que o cartão se comunique com o leitor 
ou terminal, sem a necessidade do contato entre os dois. 
Esse tipo de cartão é ideal para transações que devem ser 
processadas rapidamente, como no transporte coletivo de pessoas.
Smartcards
Há vários tipos de mecanismos de segurança usados nos smart
cards. Os mecanismos utilizados pelos memory cards são menos 
sofisticados do que aqueles utilizados pelos microprocessor cards. 
O acesso a uma informação contida num smartcard depende dos 
privilégios de acesso do usuário sobre essa informação. Alguns 
smartcards não necessitam de senha; qualquer usuário pode 
acessar uma informação para leitura. Outros cartões necessitam de 
um PIN (Personal Identifier Number), número de identificação 
pessoal do conhecimento apenas do dono do cartão e que deve ser 
digitado para validação e permissão de acesso às informações. 
Alguns modelos de microprocessor cards são equipados com 
criptocontroladores que comandam todas as funções de 
criptografia e que são projetados para cálculos extremamente 
complexos em alta velocidade.
Tokens
Aproveitando as idéias lançadas pelo smartcard, foram 
desenvolvidos outros dispositivos para o armazenamento seguro de 
informações como, por exemplo, os tokens criptográficos - uma 
espécie de chave que utiliza a interface USB para se comunicar 
com o computador. 
Esse dispositivo contém um chip semelhante ao de um smartcard, 
podendo ser usado para guardar informações pessoais, senhas, 
chaves criptográficas, licenças, credenciais ou outro tipo de 
informação. 
Possui funções de criptografia assimétrica, as quais são usadas 
para manter seguras as informações contidas em sua memória. 
Biometria
Tem como objetivo suprir a deficiência de senhas (que 
podem ser reveladas ou descobertas) e de tokens (que 
podem ser perdidas ou roubadas).
Acredita-se que esses sistemas são mais difíceis de 
serem forjados porém são infinitamente mais caros.
Biometria
Este tipo de tecnologia utiliza a análise de 
características humanas, como impressões digitais, 
retina, rosto e de padrões de voz e de assinatura.
A vantagem sobre as outras tecnologias de 
autenticação é que o usuário é identificado por 
características únicas, pessoais e intransferíveis, 
dispensando o uso de senhas, cartões ou crachás.
É utilizado tanto para controle de acesso físico como 
para controle de acesso lógico.
Biometria
Não pode ser emprestada como uma chave física ou um 
token e não pode ser esquecida como uma senha. 
Equilíbrio entre facilidade de uso, tamanho da amostra, 
custo e precisão. 
Impressão digital apresenta variabilidade suficiente para 
permitir identificação única mesmo em grandes 
amostras (milhões de indivíduos). 
Alta durabilidade (ou até que seja amputado ou 
desmembrado)
Reduz o esforço para processos de login e autenticação
Autorização
Para autorizar um acesso a um determinado recurso, 
pode-se adotar as seguintes abordagens: 
– Individual (por usuário)
– Grupos (por perfil)
– Recursos (rede, base de dados, web)
– Contexto (local físico, período de tempo)
– Híbrida (combinação das anteriores)