Baixe o app para aproveitar ainda mais
Prévia do material em texto
Inserir Título Aqui Inserir Título Aqui Tecnologias e Arquiteturas em Segurança da Informação Controle de Acesso e Sistemas e Servidores de Autenticação Responsável pelo Conteúdo: Prof. Ms. Antonio Eduardo Marques da Silva Revisão Textual: Prof. Ms. Claudio Brites Nesta unidade, trabalharemos os seguintes tópicos: • Introdução ao Tema • Orientações para Leitura Obrigatória • Material Complementar Fonte: iStock/Getty Im ages Objetivos • Compreender os sistemas e as metodologias utilizados em controle de acesso, mecanismos de segurança da informação, sistemas de gerenciamento de identidade, servidores e aplicações de autenticação utilizadas tanto em redes cabeadas como não cabeadas (redes sem fio). Nesta unidade, abordaremos os conceitos de tecnologias e arquiteturas de segurança da informação, compreenderemos os sistemas e as metodologias utilizados em controle de acesso, mecanismos de segurança da informação, sistemas de gerenciamento de identidade, servidores e aplicações de autenticação utilizadas tanto em redes cabeadas como não cabeadas. É muito importante que você leia atentamente as propostas elencadas no conteúdo, que assista às videoaulas, que interaja com seu tutor e outros colegas em nossa disciplina e que explore todo o potencial do nosso ambiente virtual de aprendizagem e dos conteúdos à sua disposição. Acesse o item material didático para encontrar o conteúdo, as atividades e videoaulas presentes na disciplina. Bons Estudos! Controle de Acesso e Sistemas e Servidores de Autenticação UNIDADE Controle de Acesso e Sistemas e Servidores de Autenticação Introdução ao Tema Definição de Tecnologia e Arquitetura Como definição, a Tecnologia é um produto da ciência e da engenharia que envolve um conjunto de instrumentos, métodos e técnicas que visam à resolução de problemas. É uma aplicação prática do conhecimento científico em diversas áreas de pesquisa. A palavra tecnologia tem origem no grego tekhne, que significa técnica, arte, ofício, juntamente com o sufixo logia, que significa estudo. Arquitetura se refere à arte ou a técnica de projetar uma edificação, um software ou um ambiente físico ou lógico. É a arte de projetar espaços organizados e criativos para abrigar os diferentes tipos de atividades humanas. A disciplina de Tecnologias e Arquiteturas em Segurança da informação visa apresen- tar técnicas, ferramentais, protocolos e metodologias disponíveis para serem aplicados e terem como objetivo principal assegurar as informações transmitidas em uma rede ou armazenadas em sistemas computacionais (disco, storages e outros). Quando falamos sobre Tecnologias e Arquiteturas em Segurança da Informação, geralmente focamos nos seguintes temas: » Sistemas, Técnicas e Metodologias de Controle de Acesso; » Comunicação e Segurança de Rede; » Criptografia ou Cifração; » Análise de Arquitetura de Segurança; » Plano de continuidade de Negócios e Plano de Recuperação de Desastres. Sistemas, Técnicas e Metodologias de Controle de Acesso O Controle de Acesso é uma das medidas mais importantes para a proteção e segurança da informação, pois é um processo que define ou restringe os direitos de um indivíduo ou aplicações de obter dados. Como uma propriedade de segurança física, o controle de acesso é uma referência à prática de permitir o acesso a uma propriedade, sala ou ambiente apenas para pessoas autorizadas. Esse controle pode ser obtido através de meios mecânicos — como, por exemplo, a instalação de cadeados e catracas —, por meio de pessoas — quando temos a função de um segurança patrimonial ou uma recepcionista — e através de tecnologia — como, por exemplo, o uso de tokens, logins, senhas e outros recursos. 6 7 Por meio da tecnologia da informação, os processos e serviços que compõem o controle de acesso dos usuários seriam: » Autenticação e Identificação: a autenticação e identificação fazem parte de um processo de dois subpassos que determinam quem pode ou não acessar determi- nado sistema. Na autenticação, a identidade é verificada através de uma credencial (uma senha) fornecida pelo usuário; Na identificação, o usuário diz ao sistema quem ele é (normalmente por meio do login). » Autorização: após o usuário ser autenticado no processo de autenticação e identifi- cação, o processo de autorização determina o que está autorizado a fazer no sistema; » Auditoria: a auditoria faz a coleta da informação relacionada à utilização, pelos usuários, dos recursos de um sistema. Essa informação pode ser utilizada para ge- renciamento, cobrança, planejamento e responsabilização do usuário. Controles de acesso podem ter as seguintes classificações: » Centralizado ou descentralizado; » Mandatório ou discricionário; » Baseado em regras ou baseado em papéis. Controle de Acesso Centralizado Nesse tipo de controle de acesso, um sistema central toma as decisões a respeito de como acessar os recursos. Como vantagem, ele garante a padronização, a centralização e a gerência do acesso às informações, impedindo a superposição de direitos. Como desvantagem, a falha no sistema central impede o acesso às informações. Controle de Acesso Descentralizado Nesse tipo, o controle de acesso é delegado a entidades mais próximas dos recursos a serem acessados, decentralizando a gerencia e o controle dos mesmos. Como vantagem, a falha em um sistema de controle de acesso não interfere no acesso dos demais sistemas. Como desvantagem, a perda da padronização do acesso às informações e a possibilidade de superposição de direitos causam furos de segurança. 7 http://www.provasdeti.com.br/audti01gp-para-concursos.html UNIDADE Controle de Acesso e Sistemas e Servidores de Autenticação Controle de Acesso Mandatório (MAC) No controle de acesso mandatório (Mandatory Access Control ou MAC), também conhecido como obrigatório, a política de acesso é determinada pelo sistema, não pelo proprietário do recurso. Esse controle é utilizado em sistemas de múltiplos níveis com dados altamente sensíveis (por exemplo, informações governamentais e militares). Nesse tipo de controle, há a construção de um sistema que manipula múltiplos níveis de classificação entre sujeitos (nível de privilégios) e objetos (nível de sensibilidade da informação). No MAC, há uma divisão de tarefas entre: » Os administradores dos sistemas, que definem os níveis de privilégio dos usuários e a política de acesso; » Os gestores das informações, que estabelecem a rotulação das informações quanto ao seu nível de sensibilidade. Em sistemas de controle de acesso obrigatório, todos os sujeitos e objetos devem ter rótulos associados. Um rótulo de sensibilidade de um sujeito define o seu nível de confiança necessário para acessá-lo, como, por exemplo: Confidencial, Secreto, Top Secret. Controle de Acesso Discricionário (DAC) No controle de acesso discricionário (Discretionary Access Control ou DAC), a política de controle de acesso é determinada pelo proprietário do recurso. Esse proprietário decide quem tem permissão de acesso em determinado recurso e qual o seu privilégio. O DAC utiliza como premissas: » Todo objeto em um sistema deve ter um proprietário. Um objeto que não possui um proprietário é considerado um objeto não protegido; » Direitos de acesso e permissões são estabelecidos pelo proprietário do recurso a usuá- rios individuais ou grupos de usuários e que podem inclusive transferir essa propriedade. O controle de acesso discricionário pode ser implementado por (ACLs) Listas de Controle de Acesso que definem os direitos e as permissões que são dados a um sujeito sobre determinado objeto. Controle de Acesso Baseado em Regras Nesse controle de acesso, o acesso é definido pela lista de regras criadas pelo admi- nistrador ou responsável pelo sistema, de acordo com a rotulação da informação e o nível de privilégio do usuário. Geralmente, esse tipo de controle é aplicado no Controle de Acesso Mandatório (MAC). 8 9 Controle de AcessoBaseado em Papéis (RBAC) No controle de acesso baseado em papéis (Role Based Access Control – RBAC) ou em perfis, os acessos às informações são baseados em função do cargo a que um usuário pertence e desempenha na organização. Os indivíduos podem pertencer a um ou mais grupos e adquirir permissões cumulativas ou, também, ser desqualificado para qualquer permissão que não faz parte de todo o grupo ao qual ele pertence. Geralmente, esse tipo de controle é aplicado no Controle de Acesso Discricionário – DAC. Modelos de Controle de Acesso O controle de acesso, em sistemas de segurança da informação, é composto dos processos de autenticação, autorização e auditoria (accounting). Nesse contexto, o controle de acesso pode ser como a habilidade de permitir ou negar a utilização de um objeto (uma entidade passiva) por um sujeito (uma entidade ativa). A autenticação identifica quem acessa o sistema, a autorização determina o que um usuário autenticado pode fazer, e a auditoria diz o que o usuário fez. Vamos conhecer alguns modelos de Controle de Acesso: O Modelo Bell-LaPadula, também conhecido como BLP, é um modelo de máquina de estado usado para reforçar o controle de acesso em aplicações governamentais e militares. Foi desenvolvido na década de 1970 por David Elliott Bell e Leonard J. LaPulula, após a forte orientação de Roger R. Schell para formalizar a política de segurança multinível (MLS) do Departamento de Defesa dos Estados Unidos (DoD). É um modelo formal de transição de estado da política de segurança do computador que descreve um conjunto de regras de controle de acesso que usam rótulos de segurança em objetos e em autorizações para assuntos. Os rótulos de segurança variam entre os mais sensíveis (por exemplo, Top Secret), até os menos sensíveis (por exemplo, Não classificado ou Público). A noção de um estado seguro é definida e está provado que cada transição de estado preserva a segurança ao passar de um estado seguro para outro estado seguro, assim, por indução matemática, provando que o sistema atende aos objetivos de segurança do modelo. Um estado do sistema é definido como seguro se apenas os modos de acesso permiti- dos entre sujeitos e objetos estão em conformidade com uma política de segurança. Para determinar se um modo de acesso específico é permitido, o despacho de um sujeito é com- parado com a classificação do objeto (mais precisamente, a combinação de classificação e um conjunto de compartimentos, tornando-se o nível de segurança) para determinar se o sujeito é autorizado para o modo de acesso específico. O esquema de apuração/classificação é expresso em termos de uma treliça/matrix. O modelo define duas regras de controle de acesso obrigatório (MAC) e uma regra de controle de acesso discricionário (DAC). O Modelo Clark-Wilson aborda a integridade e incorpora mecanismos para reforçar a consistência interna e externa. Ele usa a separação de tarefas, que divide uma operação em diferentes partes e requer diferentes usuários para executar cada parte. Isso evita que usuários autorizados façam modificações não autorizadas em dados, protegendo assim sua integridade. 9 https://pt.wikipedia.org/wiki/Seguran%C3%A7a_da_informa%C3%A7%C3%A3o https://pt.wikipedia.org/wiki/Autentica%C3%A7%C3%A3o https://pt.wikipedia.org/wiki/Autoriza%C3%A7%C3%A3o https://pt.wikipedia.org/wiki/Auditoria_em_seguran%C3%A7a_da_informa%C3%A7%C3%A3o https://pt.wikipedia.org/wiki/Indu%C3%A7%C3%A3o_matem%C3%A1tica https://pt.wikipedia.org/w/index.php?title=Controles_de_acesso_obrigat%C3%B3rio&action=edit&redlink=1 https://pt.wikipedia.org/w/index.php?title=Controles_de_acesso_obrigat%C3%B3rio&action=edit&redlink=1 UNIDADE Controle de Acesso e Sistemas e Servidores de Autenticação Esse modelo fornece uma base para especificar e analisar uma política de integridade para um sistema de computação, está envolvido com a formalização da noção de integridade da informação. A integridade da informação é mantida impedindo a corrupção de itens de dados em um sistema devido a erros ou intenções maliciosas. Uma política de integridade descreve como os itens de dados no sistema devem ser man- tidos válidos de um estado do sistema para o próximo e especifica as capacidades de vários princípios no sistema. O modelo define as regras de execução e as regras de certificação. O Modelo Biba, também conhecido como Modelo de Integridade Biba, desenvolvido por Kenneth J. Biba em 1977, é um modelo formal de transição de estado para políticas de segurança de computadores que descreve um conjunto de regras de controle de acesso destinadas a assegurar a integridade de dados. O modelo Biba utiliza agrupamentos de dados e sujeitos em níveis ordenados de integridade, para que um sujeito não possa corromper objetos em um nível mais alto que o seu, ou ser corrompido por objetos de um nível inferior ao seu. No modelo Biba, os usuários só podem criar conteúdo num nível de integridade igual ou inferior ao seu. Uma analogia a considerar é o da cadeia de comando militar: um General pode escrever ordens para um Coronel, que pode emitir essas ordens a um Major, desta forma, as ordens originais do General são mantidas intactas e a missão dos militares é protegida. Em geral, a preservação da integridade dos dados tem três objetivos: » Impedir a modificação de dados por pessoas não autorizadas; » Impedir a modificação não autorizada de dados pelas partes autorizadas; » Manter a consistência interna e externa, ou seja, os dados refletem o mundo real. Em geral, o modelo Biba foi desenvolvido para contornar uma fraqueza no Modelo Bell-LaPadula, que é direcionado apenas para a confidencialidade de dados. Pilares da Segurança da Informação Um profissional em segurança da informação é sempre cobrado e desafiado constante- mente a seguir o que chamamos de Pilares da Segurança da Informação, que são: » Confidencialidade: para garantir confidencialidade, a informação deve ser prote- gida para evitar a perda e a divulgação indevida. As ações incluem a aplicação de diversos controles. Uma das ações é a aplicação de um algoritmo de criptografia forte. A criptografia deve ser usada para proteger dados em trânsito e enquanto estiver sendo armazenado; » Disponibilidade: a disponibilidade deve garantir a acessibilidade aos usuários a todo o hardware, software e dados através dos sistemas. Os conceitos de disponi- bilidade incluem hardware, dados, conexões e transmissões em alta disponibilidade e sistemas redundantes; 10 https://pt.wikipedia.org/w/index.php?title=Modelo_formal_de_transi%C3%A7%C3%A3o_de_estado&action=edit&redlink=1 https://pt.wikipedia.org/w/index.php?title=Pol%C3%ADticas_de_seguran%C3%A7a_de_computador&action=edit&redlink=1 https://pt.wikipedia.org/w/index.php?title=Pol%C3%ADticas_de_seguran%C3%A7a_de_computador&action=edit&redlink=1 https://pt.wikipedia.org/wiki/Controle_de_acesso https://pt.wikipedia.org/wiki/Integridade_de_dados https://pt.wikipedia.org/wiki/Modelo_Bell%E2%80%93LaPadula https://pt.wikipedia.org/wiki/Modelo_Bell%E2%80%93LaPadula https://pt.wikipedia.org/wiki/Confidencialidade 11 » Integridade: deve garantir que os recursos dos sistemas e dados não sejam alterados de forma não autorizada, inesperada ou não intencionada. Esse objetivo pode ser aplicado tanto para dados quanto para hardware. O conceito fundamental de integridade deve garantir que dados não serão alterados de nenhuma forma enquanto estiverem em trânsito, no armazenamento ou processamento, a não ser que tenha sido autorizado. Sistema de Gerenciamento de Identidade (SGI) Os SGIs seguem 5 modelos principais: tradicional, centralizado, descentralizados, identidade federada e centrado no usuário. » Tradicional: no modelo tradicional, que é o mais difundido atualmente, a identidade do usuário é gerenciada por cada provedor de serviços, que também atua como provedor de identidade, não havendo nenhum tipo de compartilhamento, assim cabendo ao usuário criar sua identidade para cada serviço.Esse modelo, embora muito utilizado, é considerado pouco eficiente tanto para usuários, que tem que gerenciar múltiplas contas e senhas, quanto para o provedor de serviços, que pode ter suas políticas de segurança não totalmente respeitadas pelos usuários devido ao grande número de serviços que ele usufrui. » Centralizados: aqui nesse modelo, uma entidade (departamento ou indivíduo) é responsável por supervisionar o acesso a todos os recursos corporativos. Esse tipo de administração fornece um método consistente e uniforme para controlar os direitos de acesso dos usuários. Com ele surge o conceito de autenticação única (Single Sign On – SSO), que finalmente permite aos usuários se autenticar apenas uma vez no Servidor de Identidade, e então conseguir credenciais para todos os serviços que utilizarem até um tempo determinado. Exemplos: RADIUS e TACACS » Descentralizados: um método descentralizado de administração de controle de acesso dá controle de acesso às pessoas mais próximas dos recursos. Nessa abordagem, muitas vezes é o gerente funcional que atribui direitos de controle de acesso aos funcionários. As mudanças podem ocorrer mais rapidamente por meio desse tipo de administração porque não é apenas uma entidade que está fazendo mudanças para toda a organização. Existe a possibilidade de surgir conflitos que possam não beneficiar a organização, pois os diferentes gerentes e departamentos podem praticar segurança e controle de acesso de diferentes maneiras, essas situações possibilitam que alguns controles se sobreponham. Esse tipo de administração não fornece métodos para controle consistente, como seria um método centralizado. Exemplos: MS Active Directory e Open LDAP. 11 UNIDADE Controle de Acesso e Sistemas e Servidores de Autenticação » Identidade Federada: está fundamentada na distribuição do papel de entidade autenticadora a diversos Servidores de Identidade espalhados através de diversos domínios administrativos, como universidades, escolas, empresas ou governos. Esse modelo visa otimizar a troca de informações relativas a uma identidade se baseando em uma relação de confiança entre federações, ou seja, acordos entre idPs garantem que uma identidade fornecida em um domínio passe a valer no outro, assim garantindo a autenticação única (SSO). Apesar desse modelo garantir a distribuição da tarefa de autenticação, após a informação dos usuários ser liberada ao Provedor de Serviços, nada impede que ele seja repassado a outros destinos. As tecnologias usadas para o logon federado incluem SAML (Security Assertion Markup Language), OAuth e OpenID, bem como padrões proprietários. O gerenciamento de identidade federada fornece os seguintes benefícios: » Ele permite que sua empresa controle o tipo de autenticação e as opções de auten- ticação. Por exemplo, é possível restringir o acesso a redes específicas, usar cone- xões de VPN, definir a força da senha customizada ou os períodos de expiração da senha, usar cartões inteligentes ou requerer autenticação de dois fatores; » Os usuários podem usar suas credenciais familiares no local para acessar o serviço de nuvem; » Enquanto os usuários estiverem com login efetuado no provedor de identidade local, eles podem acessar um serviço de nuvem sem ter suas credenciais solicita- das novamente. Centrado no Usuário O modelo Centrado no Usuário, diferente dos demais, é baseado na ideia de dar ao usuário total controle sobre suas identidades digitais, principalmente que tipo de informa- ção é disponibilizado a um determinado serviço. Apesar de ser um modelo diferente, as principais implementações desse modelo se utilizam de outros modelos descritos anterior- mente, sendo o de Identidade Federada mais usado. As principais propostas de implementação desse modelo defendem a utilização de um Servidor de Identidade junto do usuário, como em um celular ou um Smartcard que, ao receber a autenticação do usuário, é encarregado de liberar as informações do usuário para os SP, respeitando totalmente as configurações de privacidade do usuário. Matriz de Controle de Acesso A matriz de controle de acesso é uma maneira de descrever as regras para uma estratégia de controle de acesso. A matriz lista os usuários, grupos e funções no lado esquerdo e os recursos e funções no topo. As células da matriz podem indicar que o acesso é permitido ou indicar o tipo de acesso. 12 13 É uma maneira de analisar o controle de acesso necessário para uma população de sujeitos e para uma população de objetos. Esse controle de acesso pode ser aplicado usando regras, ACLs, tabelas de capacidade etc. Sistemas de Autenticação A identificação e autenticação fazem parte de um processo de dois passos que de- termina quem pode acessar determinado sistema. Durante a identificação, o usuário diz ao sistema quem ele é (normalmente através de um nome de usuário). Durante a autenticação, a identidade é verificada através de uma credencial (uma senha, por exemplo) fornecida pelo usuário. Um sistema de autenticação é constituído por: » Entidades autenticadas; » Autenticadores; » Protocolos de autenticação; » Entidades de suporte dos protocolos de autenticação. A autenticação é utilizada para testar se um usuário que solicita o acesso é a mesma pessoa cadastrada no sistema, para realizar essa checagem é utilizado algum método de autenticação. Temos vários métodos de autenticação disponíveis no mercado, as senhas, os cartões, o próprio corpo humano, leitores biométricos, entre outros. Podemos categorizar três tipos de autenticação: “O que você sabe”, “O que você tem” e “O que você é”. Cada uma possui suas vantagens e desvantagem, vamos então observá-las: “O que você sabe” (Autenticação baseada no conhecimento) Para se autenticar, é necessário saber previamente alguma informação para ser validado — uma senha cadastrada, por exemplo, você precisa informar ela corretamente no processo de login, ou não será autenticado e terá o acesso bloqueado. Vantagem desse método é que ele já é amplamente difundido e simples de ser utilizado; Desvantagem, é que outra pessoa pode saber ou até mesmo descobrir a sua senha, ao realizar diversas tentativas. “O que você tem” (Autenticação baseada na propriedade) Nesta categoria, você só é autenticado se possuir algum dispositivo. Um bom exemplo desse tipo seria o token usando em contas correntes. O dispositivo gera uma nova senha a cada período de tempo, dessa maneira, é preciso ter o token para se autenticar, pois passa por um processo de sincronização no momento do login. 13 UNIDADE Controle de Acesso e Sistemas e Servidores de Autenticação Caso outra pessoa observe a senha enquanto você digita para entrar em seu portal do banco, em questão de minutos essa senha será trocada e a senha observada pelo bisbilhoteiro não servirá mais. Essa categoria já se mostra mais segura que a anterior, pois é necessário ter a posse do cartão ou do token; caso outra pessoa consiga esses dispositivos, o pro- prietário notará a falta, o usuário pode então solicitar um novo cartão ou token, cancelando os anteriores. Mas mesmo essa categoria apresenta alguns riscos: No caso do cartão de senhas, os criminosos criam páginas falsas de bancos que pedem todas as senhas do cartão da vítima; No caso dos tokens, existe a possibilidade da empresa que cria os tokens ter suas chaves roubadas e com isso permitir que os criminosos se passem pela vítima. “O que você é” (Autenticação baseada na característica) Nessa categoria, a autenticação é mais rigorosa e segura, pois o processo de autenticação é único e intransferível, utilizamos o processo de biometria – como, por exemplo, a leitura de uma impressão digital. Há também outros tipos de biometria não tão populares, como escaneamento de veias, identificação da íris, reconhecimento da voz, reconhecimento de face, entre outros. É fácil notar que os métodos de autenticação que utilizam a biometria são mais seguros do que os demais, mas,mesmo assim, não garantem 100% de segurança. Já se teve um caso que um intruso utilizava um molde de silicone da digital de outra pessoa para passar pelo leitor de impressão digital, passando-se por outro. Servidores de Autenticação Um servidor de autenticação é um appliance ou software instalado em um servidor que permite autenticar utilizadores (e também máquinas). Numa rede de dados, é muito usual existirem servidores de autenticação de forma a que os utilizadores apenas tenham acesso aos recursos mediante a introdução de credenciais (utilizador + password). AAA O termo serviço ou protocolo AAA (Authentication, Authorization and Accounting) é uma referência relacionada com os procedimentos de autenticação, autorização e auditoria. A autenticação verifica a identidade digital do usuário de um sistema, a autorização garante que um usuário autenticado somente tenha acesso aos recursos autorizados e, por fim, a auditoria refere-se a coleta de informações sobre o uso dos recursos de um sistema pelos seus usuários. 14 https://pt.wikipedia.org/wiki/Autentica%C3%A7%C3%A3o https://pt.wikipedia.org/wiki/Autoriza%C3%A7%C3%A3o https://pt.wikipedia.org/wiki/Auditoria 15 TACACS O TACACS original, desenvolvido nos primeiros dias do ARPANet, tinha funcionali- dade muito limitada e usava o transporte UDP. No início da década de 1990, o protoco- lo foi estendido para incluir funcionalidades adicionais e o transporte mudou para TCP. É um protocolo de autenticação remota que é usado para se comunicar com um servidor de autenticação comumente usados em redes UNIX. O TACACS permite que um servidor de acesso remoto se comunique com um servidor de autenticação para determinar se o usuário tem ou não acesso à rede. Esse protocolo é definido na RFC 1492 e usa a porta (TCP ou UDP) 49 por padrão, permitindo que um cliente aceite um nome de usuário e uma senha e envie uma consulta para um servidor de autenticação TACACS, às vezes chamado de daemon TACACS ou simplesmente TACACSD. Uma versão posterior do TACACS introduzida pela Cisco em 1990 foi chamada de TACACS Estendido (XTACACS), tornando-se um protocolo proprietário desse fabricante. TACACS+ É um protocolo de rede de controle de acesso para roteadores, servidores de acesso e outros dispositivos de computação em rede. Ao contrário do RADIUS e dos antecessores do TACACS+ (TACACS e XTACACS), o TACACS+ fornece serviços separados de autenticação, autorização e contabilidade. Como RADIUS, TACACS e XTACACS, o TACACS+ é um protocolo aberto, documentado publicamente. TACACS+ usa o protocolo TCP e criptografa todo o pacote (exceto o cabeçalho). TACACS+ finalmente deriva de (mas não é compatível com versões anteriores) TACACS, desenvolvido em 1984 para a MILNET pela BBN no Departamento de Defesa dos EUA. Originalmente concebido como meio para automatizar logins, pelo qual uma pessoa que já estava autenticada em um host na rede poderia se conectar a outro host na mesma rede sem precisar autenticar novamente. RADIUS O termo RADIUS é um acrônimo que significa Serviço de Usuário de Discagem de Autenticação Remota. São responsáveis por receber solicitações de conexão do usuário, autenticando o usuário e retornando todas as informações de configuração necessárias para que o cliente entregue o serviço ao mesmo. A autenticação RADIUS é baseada em provisões de credenciais de nome de usuário (senha simples). Essas credenciais são criptografadas pelo cliente usando um segredo compartilhado entre o cliente e o servidor RADIUS que incorpora um servidor de autenticação e pode fazer uso de senhas dinâmicas e estáticas. 15 UNIDADE Controle de Acesso e Sistemas e Servidores de Autenticação Como ele usa os protocolos PAP e CHAP, também inclui senhas estáticas. O RADIUS é um protocolo de Internet e, por isso, é muito usado em conexão remota, pois carrega informações de autenticação, autorização e configuração entre um Servidor de Acesso à Rede e um Servidor de Autenticação compartilhado. Os recursos e funções do RADIUS são descritos principalmente no documento IETF (International Engineering Task Force) através do RFC2138. RADIUS é um protocolo do tipo cliente/servidor que roda como um protocolo da camada de aplicação, usa como apoio o protocolo de transferência UDP. Tanto Servidores de Acesso Remoto (RAS) como servidores de Redes Virtuais Privadas (VPNs) e Servidores de Acesso à Rede (NAS), e todos os gateways que controlam o acesso à rede, possuem um componente cliente do protocolo RADIUS que se comunica com o servidor RADIUS. Esse servidor normalmente é um processo de background rodando no UNIX ou Microsoft Windows server. A principal vantagem de usar uma abordagem RADIUS para autenticação é que ele pode fornecer uma forma mais forte de autenticação, pois é capaz de usar uma forma de autenticação forte e de dois fatores, na qual os usuários precisam possuir um ID de usuário e um token de hardware ou software para obter acesso. Os esquemas baseados em token usam senhas dinâmicas (desafio), esse token gera um número de acesso de 4, 6 ou 8 dígitos exclusivo, que é sincronizado com o servidor de segurança. Para entrar no sistema, o usuário deve gerar esse número único e fornecer sua ID de usuário e senha. O RADIUS e o TACACS+ substituíram, geralmente, os protocolos mais antigos, pois enquanto RADIUS combina autenticação e autorização em um perfil de usuário, o TACACS+ separa as duas operações. Outra diferença é que o TACACS+ usa o Protocolo de Controle de Transmissão (TCP), enquanto o RADIUS usa o Protocolo de Datagrama de Usuário (UDP). As extensões do protocolo TACACS+ fornecem mais tipos de solicitações de autenticação e mais tipos de códigos de resposta do que as especificações originais. LDAP O LDAP (Lightweight Directory Access Protocol ou Protocolo de acesso aos diretórios leves) é um protocolo padrão que permite gerenciar diretórios, ou seja, acessar bancos de informações sobre os usuários de uma rede por meio de protocolos TCP/IP. Geralmente, os bancos de informações são relativos a usuários, mas eles também podem ser usados para outros fins, como, por exemplo, gerenciar o material de uma empresa. Desempenham um papel importante no desenvolvimento de aplicações intranet e Internet permitindo o compartilhamento de informações sobre usuários, sistemas, redes, serviços e aplicações através da rede. Como exemplos, serviços de diretório podem fornecer qualquer conjunto de registros organizado, geralmente com uma estrutura hierárquica, como um diretório de e-mail corporativo. 16 https://pt.wikipedia.org/wiki/UDP https://pt.wikipedia.org/wiki/RAS https://pt.wikipedia.org/wiki/VPN https://pt.wikipedia.org/wiki/NAS http://br.ccm.net/contents/277-protocolos http://br.ccm.net/contents/285-tcp-ip https://pt.wikipedia.org/wiki/E-mail 17 O protocolo LDAP, desenvolvido em 1993 pela Universidade de Michigan, nos Estados Unidos, tinha como objetivo suplantar o protocolo DAP (que serve para acessar o serviço do diretório X.500 do OSI). A partir de 1995, o LDAP tornou-se um diretório nativo para não servir apenas para acessar diretórios do tipo X500. O LDAP é, assim, uma versão mais leve do protocolo DAP, daí o seu nome Lightweight Directory Access Protocol. AD DS - Servidores de Domínio Active Directory do Windows No Servidor dos Serviços de Domínio Active Directory (AD DS) da Microsoft, você pode criar uma infraestrutura escalável, segura e gerenciável para gerenciamento de usuários e recursos e pode fornecer suporte para aplicativos habilitados por diretório, como o Microsoft Exchange Server e outras aplicações desse fabricante. O AD DS fornece um banco de dados distribuído que armazena e gerencia informações sobre recursos da rede e dados específicos de aplicativos habilitados por diretório. Um servidor com AD DS é chamado de controlador de domínio. Os administradores podem usar AD DS para organizar elementos de uma rede, como usuários, computadores e outros dispositivos, em uma estruturade confinamento hierárquica. A estrutura de confinamento hierárquica inclui a floresta do Active Directory, domínios na floresta e unidades organizacionais (OUs) em cada domínio. A segurança é integrada ao AD DS por meio de autenticação de logon e controle de acesso a recursos no diretório. Com um único logon de rede, os administradores podem gerenciar dados de diretório e organização por toda a sua rede. Os usuários de rede autorizados também podem usar um único logon de rede para acessar recursos em qualquer lugar na rede. A administração baseada em política facilita igualmente o gerenciamento de redes mais complexas. DIÂMETRO O diâmetro é um protocolo que foi elaborado para desenvolver a funcionalidade do RADIUS e superar muitas das suas limitações. O criador desse protocolo decidiu chamá-lo de Diâmetro como uma melhoria do termo RADIUS, pois o diâmetro é o dobro do raio. O diâmetro é outro protocolo AAA que fornece o mesmo tipo de funcionalidade que RADIUS e TACACS+, mas também oferece mais flexibilidade e capacidades para atender às novas demandas das redes complexas e diversas de hoje, quando queremos que nossos dispositivos sem fio e telefones inteligentes se autentiquem nas redes e usamos protocolos de roaming, IP móvel, PPPoE e outros. O diâmetro fornece um protocolo base, que define formatos de cabeçalho, opções de segurança, comandos e AVPs (pares de valores de atributos). Esse protocolo de base permite extensões para empatar em outros serviços, como VoIP, Mobile IP, redes sem fio e autenticação de celular. O Diâmetro pode ser usado como um protocolo AAA para todos esses usos diferentes. RADIUS e TACACS+ são protocolos cliente/servidor, o que significa que a parte do servidor não pode enviar comandos não solicitados para a parte do cliente; a parte do servidor só pode falar quando falado. O diâmetro é um protocolo baseado em pares que permitem que qualquer extremidade inicie a comunicação. 17 UNIDADE Controle de Acesso e Sistemas e Servidores de Autenticação Essa funcionalidade permite que o servidor Diâmetro envie uma mensagem ao servidor de acesso para solicitar ao usuário que forneça outra credencial de autenticação se ela estiver tentando acessar um recurso seguro, permitindo também que o servidor desconecte o usuário, se necessário, por um motivo ou outro. O Servidor Diâmetro é compatível com RADIUS, usa UDP e AVPs e fornece suporte ao servidor proxy, além de possuir melhor funcionalidade de detecção e correção de erros e propriedades de failover do que o RADIUS, proporcionando assim uma melhor resiliência da rede. O Diâmetro também fornece segurança de ponta a ponta através do uso de IPSec ou TLS, que não está disponível no RADIUS. Protocolos de Autenticação Single Sign-On (SSO) O Single Sign-on é definido como um único ponto de entrada, ou seja, você necessita se autenticar uma única vez. Isso permite acesso automaticamente a diversos canais de alguns portais, sem a necessidade de digitar seu login e senha em cada sistema, o que proporciona mais segurança aos seus dados de autenticação. As vantagens do SSO incluem ter a capacidade de usar senhas mais fortes, administração mais fácil, na medida em que altera ou exclui as senhas, minimiza os riscos das contas órfãs e requer menos tempo para acessar os recursos. O SSO pode ser implementado usando scripts que reproduzem múltiplos logins de usuários ou usando servidores de autenticação para verificar a identidade do usuário e os tickets de autenticação criptografados para permitir o acesso aos serviços do sistema. Kerberos É um protocolo de autenticação de terceiros, foi projetado e desenvolvido em meados da década de 1980 pelo MIT. É considerado de código aberto, mas tem direitos autorais de propriedade do MIT. Baseia-se nas chaves secretas do usuário. A senha é usada para cifrar e decifrar as chaves e utiliza basicamente o protocolo Needham-Schroeder. O sistema de confiança tripla é chamado de Centro de Distribuição de Chaves (CDC), que é composta por duas partes separadas: um Servidor de Autenticação (SA) e o Servidor de Concessão de Ticket (SCT). O Kerberos trabalha baseado em tickets, que identificam os usuários. O CDC mantém um banco de dados de chaves secretas; toda entidade de rede – tanto clientes como servidores – compartilham uma chave secreta que é apenas conhecida por eles mesmos e pelo CDC. O conhecimento da chave secreta pelo CDC é necessário para a identificação das entidades de rede. Para a comunicação entre as entidades, o CDC gera uma chave de sessão temporária que serve para garantir a privacidade das informações. 18 https://en.wikipedia.org/wiki/Needham-Schroeder https://en.wikipedia.org/wiki/trusted_third_party https://en.wikipedia.org/wiki/session_key 19 SESAME É um protocolo de autenticação e controle de acesso, que também oferece suporte à confidencialidade e integridade da comunicação. Ele fornece autenticação baseada em chave pública juntamente com a autenticação de estilo Kerberos, que usa criptografia de chave simétrica. O SESAME suporta o protocolo Kerberos e adiciona algumas extensões de segurança como autenticação baseada em chave pública e um serviço de atributo de privilégio de estilo ECMA (European Computer Manufacturers Association). O protocolo completo do SESAME é um processo de dois passos: na primeira etapa, o cliente se autentica com êxito com o Servidor de Autenticação e obtém um ticket que pode ser apresentado ao Servidor de Atributo de Privilégio; na segunda etapa, o iniciador obtém a prova de seus direitos de acesso sob a forma de Certificado de Atributos de Privilégio (PAC). O PAC é uma forma específica de Certificado de Controle de Acesso, conforme definido no documento ECMA-219. Esse documento descreve as extensões para Kerberos para autenticação baseada em chave pública como adotada no SESAME. O SESAME usa Certificado de Atributo (AC), que permite o controle de acesso granular. Ele suporta autenticação, confidencialidade, mas também autorização. OpenID É um sistema de identificação desenvolvido por Brad Fitzpatrick do LiveJournal. Trata-se de uma rede distribuída na qual a identidade do utilizador é dada por uma URL ou XRI que pode ser verificada por qualquer servidor executando o protocolo. Em sites que suportam OpenID, utilizadores não necessitam de criar uma nova conta antes de poder a aceder. Só é necessário autenticação por um site que suporte OpenID, chamado provedor de identidade. Esse provedor pode então confirmar o dono da OpenID para outro site que suporta OpenID. Independente das arquiteturas single sign-on, o OpenID não define um mecanismo de autenticação. Assim, a força de um login por OpenID depende de quanto o site sabe sobre as políticas de autenticação do provedor de identidade. Sem tal confiança, o OpenID não é recomendado para ser usado com contas sensíveis, como de comércio eletrônico e bancos. OAuth É um padrão aberto de autorização e fornece um método para que os clientes acessem os recursos do servidor em nome de um proprietário de recursos (como um cliente diferente ou um usuário final). 19 https://pt.wikipedia.org/wiki/Identifica%C3%A7%C3%A3o_de_sistemas https://pt.wikipedia.org/w/index.php?title=Brad_Fitzpatrick&action=edit&redlink=1 https://pt.wikipedia.org/wiki/LiveJournal https://pt.wikipedia.org/wiki/Identidade https://pt.wikipedia.org/wiki/URL https://pt.wikipedia.org/wiki/XRI https://pt.wikipedia.org/wiki/Servidor https://pt.wikipedia.org/wiki/Protocolo https://pt.wikipedia.org/wiki/Site https://pt.wikipedia.org/wiki/Autentica%C3%A7%C3%A3o https://pt.wikipedia.org/wiki/Provedor https://pt.wikipedia.org/w/index.php?title=Single_sign-on&action=edit&redlink=1 https://pt.wikipedia.org/wiki/Login https://pt.wikipedia.org/wiki/Com%C3%A9rcio_eletr%C3%B4nico https://pt.wikipedia.org/wiki/Com%C3%A9rcio_eletr%C3%B4nico https://pt.wikipedia.org/wiki/Banco UNIDADE Controle de Acesso e Sistemas e Servidores de Autenticação Geralmente, o OAuth fornece aosclientes um acesso seguro delegado aos recursos do servidor em nome do proprietário do recurso. Ele especifica um processo para proprietários de recursos para autorizar o acesso de terceiros aos seus recursos de servidor sem compartilhar suas credenciais. Projetado especificamente para trabalhar com o Protocolo de Transferência de Hipertexto (HTTP), o OAuth permite essencialmente tokens de acesso a serem emitidos para clientes de terceiros, mediante autorização do servidor, com a aprovação do proprietário do recurso. O terceiro, em seguida, usa o token para recursos protegidos hospedados pelo servidor O OAuth é um serviço complementar e diferente do OpenID. OAuth é também distinto do OATH, que é uma arquitetura de referência para autenticação, e não uma norma para autorização. Orientações para Leitura Obrigatória Como material obrigatório, sugere-se o acesso à cartilha de segurança para Internet desenvolvida pelo CGI (Comite Gestor da Internet) Brasil, que dá um bom embasamento na disciplina de segurança em geral, ao material da Certificação em Segurança (CISSP – Certified Information Systems Security Professional Official Guide) e ao vídeo sobre Segurança da Informação. Cartilha de Segurança para Internet - https://goo.gl/D8jq1N CISSP - Certified Information Systems Security Professional Official Guide - https://goo.gl/iDgnWz Segurança da Informação - http://youtu.be/nVmRHtHJKfw 20 https://pt.wikipedia.org/wiki/Hypertext_Transfer_Protocol https://pt.wikipedia.org/wiki/OpenID https://pt.wikipedia.org/w/index.php?title=OATH&action=edit&redlink=1 https://goo.gl/D8jq1N https://goo.gl/iDgnWz https://www.youtube.com/watch?v=nVmRHtHJKfw 21 Material Complementar Indicações para saber mais sobre os assuntos abordados nesta Unidade: Como material complementar, sugere-se assitir aos vídeos sobre controle de acesso e o de servidores AAA RADIUS e TACACS+, com a finalidade de reforçar mais o entendimento da disciplina. Vídeos Controle de Acesso para Empresas e Condominios http://youtu.be/5QeTN36nFnU Solução Gestão de Acesso e Seguraça http://youtu.be/Xb077hlxN74 AAA RADIUS and TACACS+ http://youtu.be/HaZ-bQcxk0I 21 http://youtu.be/5QeTN36nFnU http://youtu.be/Xb077hlxN74 http://youtu.be/HaZ-bQcxk0I UNIDADE Controle de Acesso e Sistemas e Servidores de Autenticação Referências CERT.br – Cartilha de Segurança para Internet – 2ª Ed., Editora Comitê Gestor da Internet no Brasil, 2010. STALLINGS, W. – Criptografia e Segurança de Redes – 6ª Ed., Editora Person, 2015. TANENBAUM, A. S. – Redes de Computadores – 5ª Ed., Pearson, 2011. 22 _Hlk495417850 _Hlk495673714 _Hlk495673677 _Hlk495673881 _Hlk495673944 _Hlk495674008 _Hlk495674119 _Hlk495675873 _Hlk495675241 _Hlk495675111 _Hlk495675289 _Hlk495675590 _Hlk495675689 _GoBack _Hlk491122673
Compartilhar