Baixe o app para aproveitar ainda mais
Prévia do material em texto
Sistemas de Informação Segurança e Auditoria de SistemasControle de Acesso O que é Controle de Acesso? 1. É a capacidade de permitir e controlar o acesso a recursos apenas a usuários, programas e processos autorizados. 2. É a atribuição ou negação de permissão para acesso a um determinado recurso, de acordo com um modelo de segurança. 3. Um conjunto de procedimentos executados por hardware, software e administradores para monitorar acessos, identificar requisições de acesso de usuários, registrar tentativas de acesso, e liberar ou bloquear acessos baseado em regras pré-estabelecidas Consiste das seguintes funções primárias: Identificação: meio de se receber uma informação sobre a identidade de um usuário Autenticação: capacidade de garantir que um usuário é de fato quem ele diz ser Autorização: decisão se um usuário pode ou não executar a atividade solicitada Auditoria: garantia que as atividades executadas pelos usuários são registradas de modo a possibilitar a monitoração e investigação. Tem como objetivo garantir que: Apenas usuários autorizados tenham acesso aos recursos necessários à execução de suas tarefas O acesso a recursos críticos seja monitorado e restrito a poucas pessoas Os usuários sejam impedidos de executar transações incompatíveis com sua função Pode ser implementado através de: – Funções de identificação e autenticação de usuários – Gerência e monitoramento de privilégios – Limitação e desabilitação de acessos – Prevenção de acessos não autorizados Processo de logon: Usado para obter acesso aos dados e aplicativos em um sistema computacional. Normalmente envolve a entrada de uma identificação e uma senha. É aconselhável limitar o número de tentativas erradas de logon, bloqueando a conta do usuário e, se possível, desfazendo a conexão. É aconselhável apresentar informações ao usuário sobre seu último acesso ou infomações pessoais (autenticação positiva), de modo a confirmar a autenticidade do serviço ou aplicação utilizada. Identificação do usuário: A identificação do usuário deve ser única, isto é, cada usuário deve ter uma identificação própria. É necessário que todos os usuários autorizados tenham uma identificação, seja um código de caracteres, um smart-card ou qualquer outro meio de identificação para permitir o controle das ações praticadas por meio de arquivos de registro (logs). Autenticação do usuário: Autenticação é a capacidade de garantir que um usuário é de fato quem ele diz ser. É uma das funções de segurança mais importantes que um sistema operacional deve fornecer. Os mecanismos de autenticação podem ser divididos em quatro categorias: • Algo que você sabe - O mecanismo mais utilizado é o onipresente, mas relativamente inseguro, par formado pelo nome do usuário e sua senha, assim como números PIN usados para acesso a Banco 24 Horas e combinações de cofres. Autenticação do usuário: • Algo que você tem - cartões de banco 24 horas, cartões inteligentes e outros dispositivos físicos são mecanismos de autenticação que exigem a posse física de um dispositivo sem igual identificar um usuário. • Algo que você é - Impressões digitais, análise de retina e reconhecimento de voz são exemplos de mecanismos biométricos que podem ser usados para fornecer um nível bem alto de autenticação. • Algum lugar onde você está - Endereços de adaptador de rede, caller-ID, e sistema baseado em Posicionamento Global via Satélite provêem informação de autenticação baseada na localização do usuário. Autenticação do usuário: Sistemas de autenticação forte geralmente requerem simultaneamente o uso de pelo menos dois destes mecanismos. Por exemplo, o acesso à sua conta bancária em um banco 24 horas requer tanto a posse física do cartão 24 horas como o conhecimento do PIN. A confidencialidade da informação usada para autenticar os usuários é extremamente importante. Se você escrever o número do PIN no cartão 24 horas, a autenticação forte está perdida. Semelhantemente, se a informação de nome e senha do usuário trafegar abertamente através da rede, é impossível obter-se uma autenticação confiável. Autenticação do usuário: Autenticação por 2 fatores: Cartão ATM + PIN Cartão de Crédito + assinatura PIN + impressão digital Usuário + senha (Netware, Windows, Unix) Autenticação por 3 fatores: Nome + Senha + impressão digital Nome + Código + Senha de utilização única Senhas: Senha de acesso é o método mais utilizado pelas empresas para a autenticação de usuários. Porém para garantir o seu uso adequado, deve ser definida uma política de senhas, em que sejam criadas regras para a criação, troca e uso das mesmas. As regras definidas devem ser divulgadas a todos os funcionários e colaboradores da organização. Senhas: Alguns itens que devem ser abordados em uma política de senhas: • a senha sempre deve ser criada expirada, forçando a sua alteração no primeiro logon; • as contas de usuários demitidos, prestadores de serviço, ou usuários de teste devem ser imediatamente bloqueadas quando não forem mais utilizadas; • os usuários devem poder alterar a própria senha e devem fazê-lo caso suspeitarem que a sua senha tenha sido "descoberta"; • o tamanho mínimo e periodicidade para troca Problemas de Senhas Inseguras Se puderem escolher, as pessoas utilizam senhas fáceis de serem lembradas e, consequentemente, fáceis de serem adivinhadas, como nomes de parentes, animais, nr. de telefone, datas de aniversário, hobbies, etc. Facilmente quebráveis Programas tipo SmartPass, PWDUMP, NTCrack & l0phtcrack podem facilmente decifrar senhas em ambientes Unix, NetWare & Windows NT. Problemas de Senhas Inconvenientes Numa tentativa de aumentar a segurança, as organizações frequentemente criam processos que dificultam a utilização / memorização pelo usuário. Repudiável Quando uma transação é autorizada apenas por uma senha, NÃO HÁ PROVA REAL DA IDENTIDADE do indivíduo que executou a transação. One-time Passwords Esta tecnologia consiste em fornecer uma senha de acesso diferente a cada determinado intervalo de tempo (1 minuto, 30 segundos, etc.), permitindo que o usuário se conecte naquele instante. As tecnologias de one-time password tornam sem efeito a ação de sniffers, já que a cada conexão uma nova senha deve ser informada, permitindo que seja utilizado um canal inseguro. One-time Passwords Para a geração das senhas são utilizados tokens no formato de cartões, chaveiros ou aparelhos semelhantes a calculadoras. Smartcards O smartcard é um cartão com chip de memória ou microprocessador acoplado e de tamanho similar aos cartões de crédito atuais. Este chip armazena dados e programas eletronicamente, os quais estão protegidos por características avançadas de segurança. Quando associado com um leitor, um smartcard tem o poder de processamento para servir a muitas aplicações diferentes. Smartcards Como um dispositivo de acesso controlado, um smartcard torna os dados pessoais ou comerciais contidos em si disponíveis apenas para os usuários apropriados. Inventados em 1977, hoje os smartcards já são usados em diversas situações: desde controle de acesso até como moeda eletrônica. Smartcards proporcionam portabilidade, segurança e conveniência para seus usuários. Smartcards Os smartcards estão divididos em dois tipos: memory cards e microprocessor cards. Um memory card tem apenas a capacidade de armazenar dados, sem nenhum processador, análogo a um disquete. Além disso, ele oferece pouca ou nenhuma segurança quando comparado ao microprocessor card, porque ele não tem nem a inteligência capazde reconhecer um intruso, nem a capacidade de suportar algoritmos de segurança. Sem um processador não há como usar algoritmos de criptografia ou mecanismos de segurança. Logo, a segurança para um memory card deve ser implementada pelo software aplicativo e não pelo próprio cartão. Smartcards Além disso, os smartcards podem ser com ou sem contato. Smartcards com contato devem ser inseridos em uma leitora para que se possa efetuar alguma transação. Eles possuem uma pequena placa na sua face frontal que faz o contato elétrico do processador com a leitora, permitindo transferir dados do e para o cartão. Smartcards Já os smartcards sem contato não precisam ser inseridos num leitor: apenas precisam ser aproximados a uma antena - presente no próprio leitor - para que seja efetuada a transação. A energia para o seu funcionamento também é fornecida pelo leitor no momento da transação. Eles se parecem com um smart card comum, exceto por possuírem uma antena interna. Essa antena, juntamente com o microprocessador, permite que o cartão se comunique com o leitor ou terminal, sem a necessidade do contato entre os dois. Esse tipo de cartão é ideal para transações que devem ser processadas rapidamente, como no transporte coletivo de pessoas. Smartcards Há vários tipos de mecanismos de segurança usados nos smart cards. Os mecanismos utilizados pelos memory cards são menos sofisticados do que aqueles utilizados pelos microprocessor cards. O acesso a uma informação contida num smartcard depende dos privilégios de acesso do usuário sobre essa informação. Alguns smartcards não necessitam de senha; qualquer usuário pode acessar uma informação para leitura. Outros cartões necessitam de um PIN (Personal Identifier Number), número de identificação pessoal do conhecimento apenas do dono do cartão e que deve ser digitado para validação e permissão de acesso às informações. Alguns modelos de microprocessor cards são equipados com criptocontroladores que comandam todas as funções de criptografia e que são projetados para cálculos extremamente complexos em alta velocidade. Tokens Aproveitando as idéias lançadas pelo smartcard, foram desenvolvidos outros dispositivos para o armazenamento seguro de informações como, por exemplo, os tokens criptográficos - uma espécie de chave que utiliza a interface USB para se comunicar com o computador. Esse dispositivo contém um chip semelhante ao de um smartcard, podendo ser usado para guardar informações pessoais, senhas, chaves criptográficas, licenças, credenciais ou outro tipo de informação. Possui funções de criptografia assimétrica, as quais são usadas para manter seguras as informações contidas em sua memória. Biometria Tem como objetivo suprir a deficiência de senhas (que podem ser reveladas ou descobertas) e de tokens (que podem ser perdidas ou roubadas). Acredita-se que esses sistemas são mais difíceis de serem forjados porém são infinitamente mais caros. Biometria Este tipo de tecnologia utiliza a análise de características humanas, como impressões digitais, retina, rosto e de padrões de voz e de assinatura. A vantagem sobre as outras tecnologias de autenticação é que o usuário é identificado por características únicas, pessoais e intransferíveis, dispensando o uso de senhas, cartões ou crachás. É utilizado tanto para controle de acesso físico como para controle de acesso lógico. Biometria Não pode ser emprestada como uma chave física ou um token e não pode ser esquecida como uma senha. Equilíbrio entre facilidade de uso, tamanho da amostra, custo e precisão. Impressão digital apresenta variabilidade suficiente para permitir identificação única mesmo em grandes amostras (milhões de indivíduos). Alta durabilidade (ou até que seja amputado ou desmembrado) Reduz o esforço para processos de login e autenticação Autorização Para autorizar um acesso a um determinado recurso, pode-se adotar as seguintes abordagens: – Individual (por usuário) – Grupos (por perfil) – Recursos (rede, base de dados, web) – Contexto (local físico, período de tempo) – Híbrida (combinação das anteriores)
Compartilhar