AULA - 01 - Introdução a Segurança da Informação

Prévia do material em texto

ADMINISTRAÇÃO E SEGURANÇA DE REDES
Segurança da Informação
Carlos Mágno
CAMPUS GARANHUNS
• GRADUADO EM SISTEMAS DE INFORMAÇÃO - UPE;
• PÓS-GRADUADO EM SAÚDE PÚBLICA - UFF;
• MESTRE EM CIÊNCIA DA COMPUTAÇÃO – CIN/UFPE;
• ANALISTA DE SISTEMAS – NIGS;
• PROPRIETÁRIO DA NINEPOINTS.
10/02/2019 ASR - Carlos Mágno 2
APRESENTAÇÃO
• Conceitos de segurança da informação;
• Ameaças, vulnerabilidades e ataques;
• Autenticação, criptografia e assinatura digital;
• Ferramentas de segurança;
• Antivírus;
• Firewall;
• IDS –Intrusion Detection System;
• IPS –Intrusion Prevention System;
• VPN - Virtual Private Network;
• Política de segurança
10/02/2019 ASR - Carlos Mágno 3
PAUTA
• Segurança básica de redes ethernet comutadas;
• Segurança básica de redes WiFi;
• Segurança com VeraCrypt;
• Instalação Linux;
• Configuração do Proxy;
• Instalação do servidor ssh e apache;
• Segurança no desenvolvimento de software.
10/02/2019 ASR - Carlos Mágno 4
PAUTA
10/02/2019 ASR - Carlos Mágno 5
Conceitos de segurança da informação
 Um arquivo.
 Objetos.
 Um banco de dados.
10/02/2019 ASR - Carlos Mágno 6
Recursos da Informação
 Muitos recursos de informação que são disponíveis e 
mantidos em sistemas distribuídos através de redes, 
têm um alto valor intrínseco para seus usuários.
 Toda informação tem valor e precisa ser protegida 
contra acidentes ou ataques.
10/02/2019 ASR - Carlos Mágno 7
Valor da Informação
 Pode abranger várias situações, tais como: 
 Erros,
 Acesso indevido, 
 Furto,
 Fraude, 
 Sabotagem e
 Causas da Natureza.
10/02/2019 ASR - Carlos Mágno 8
Segurança da Informação
 Define-se como o processo de proteção de informações 
armazenadas em computadores situados em redes.
 Com o advento das redes de computadores e a 
intensificação do uso dessas pelas empresas, a 
segurança da informação tem sido um assunto que vem 
exigindo, cada vez mais, maiores cuidados.
10/02/2019 ASR - Carlos Mágno 9
Segurança da Informação
 Segurança voltada para o mercado corporativo: 
tecnologias avançadas com alta capacidade de tráfego e 
gerenciamento dos recursos de informação.
 Segurança voltada para o mercado doméstico: usuário 
da Internet.
10/02/2019 ASR - Carlos Mágno 10
Mercado
 Computadores são utilizados para realizar inúmeras 
tarefas, tais como:
 Transações financeiras, sejam elas bancárias ou 
mesmo compra de produtos e serviços;
 Comunicação, por exemplo, através de e-mails, 
mensageiros instantâneos, redes sociais;
 Armazenamento de dados, sejam eles pessoais ou 
comerciais, etc.
10/02/2019 ASR - Carlos Mágno 11
Porque se preocupar com a segurança 
do computador?
 A resposta para esta pergunta não é simples. Os 
motivos pelos quais alguém tentaria invadir seu 
computador são inúmeros. Alguns destes motivos são:
 utilizar seu computador em alguma atividade ilícita, 
para esconder a real identidade e localização do 
invasor;
 utilizar seu computador para lançar ataques contra 
outros computadores;
 utilizar seu disco rígido como repositório de dados;
 furtar dados do seu computador;
10/02/2019 ASR - Carlos Mágno 12
Por que alguém iria invadir meu 
computador?
 A resposta para esta pergunta não é simples. Os 
motivos pelos quais alguém tentaria invadir seu 
computador são inúmeros. Alguns destes motivos são:
 destruir informações (vandalismo);
 disseminar mensagens alarmantes e falsas;
 ler e enviar e-mails em seu nome;
 propagar vírus de computador;
 furtar números de cartões de crédito e senhas 
bancárias.
10/02/2019 ASR - Carlos Mágno 13
Por que alguém iria invadir meu 
computador?
 Porque ... 
Os sistemas computacionais ou de comunicação, que 
armazenam ou transmitem informação são vulneráveis 
(sujeito a intrusões).
10/02/2019 ASR - Carlos Mágno 14
Segurança da Informação
 Disponibilidade;
 Integridade;
 Confidencialidade;
 Autenticidade;
 Privacidade (**);
 Controle de Acesso;
 Não-Repúdio da Informação (Irretratabilidade);
10/02/2019 ASR - Carlos Mágno 15
Os Requisitos de Segurança
 Assim, a disciplina de segurança da Informação trata de 
garantir a existência dos requisitos fundamentais para 
proporcionar um nível aceitável de segurança nos 
recursos de informação.
 De uma forma mais simplificada:
 Proteção de informações para que sejam mantidos os 
requisitos de:
 confidencialidade, 
 integridade, 
 disponibilidade.
10/02/2019 ASR - Carlos Mágno 16
Segurança da Informação
 É o requisito de segurança em que a informação deve 
ser entregue para a pessoa certa, no momento que ela 
precisar.
 A informação ou sistema estará disponível para acesso 
no momento desejado.
 Proteção contra interferência como meio para acessar 
os recursos.
10/02/2019 ASR - Carlos Mágno 17
Disponibilidade 
 Exemplo: Uma forma de manter a disponibilidade de 
um sistema é implantar estruturas de no-breaks ou 
redundância de servidores;
 Exemplo de violação: o seu provedor sofre uma grande 
sobrecarga de dados ou um ataque de negação de 
serviço e por este motivo você fica impossibilitado de 
enviar sua declaração de Imposto de Renda à Receita 
Federal.
10/02/2019 ASR - Carlos Mágno 18
Disponibilidade 
 É o requisito de segurança que visa a proteção da 
informação contra modificações não autorizadas.
 Garante que somente partes autorizadas podem 
modificar a informação. Modificação inclui: escrever, 
mudar, mudar status, apagar, criar e atrasar ou 
responder mensagens.
 É a garantia de que uma informação não foi alterada 
durante seu trajeto do emissor para o receptor. Tendo a 
garantia de dados íntegros, o receptor pode se 
assegurar de que a mensagem que ele recebeu tem 
realmente aquele conteúdo;
10/02/2019 ASR - Carlos Mágno 19
Integridade
 Exemplo: Uso de funções hash, checksum e arquivos 
torrents.
 Ou alguém obtém acesso não autorizado ao seu 
computador e altera informações da sua declaração de 
Imposto de Renda, momentos antes de você enviá-la à 
Receita Federal;
10/02/2019 ASR - Carlos Mágno 20
Integridade
 É o requisito de segurança que visa a proteção contra a 
revelação de informação a indivíduos não autorizados.
 Garante que a informação em um sistema, ou a 
informação transmitida são acessíveis somente a partes 
autorizadas, normalmente detentoras de login e senha 
que lhes concedem esses direitos de acesso;
10/02/2019 ASR - Carlos Mágno 21
Confidencialidade
 Exemplo de violação: alguém obtém acesso não 
autorizado ao seu computador e lê todas as 
informações contidas na sua declaração de Imposto de 
Renda;
10/02/2019 ASR - Carlos Mágno 22
Confidencialidade
 É o requisito de segurança que visa validar a identidade 
de um usuário, dispositivo, ou outra entidade em um 
sistema, frequentemente como um pré-requisito a 
permitir o acesso aos recursos de informação no 
sistema.
 Garante que a origem da informação é corretamente 
identificada, assegurando que a identidade não é falsa. 
 Essa garantia, normalmente, só é 100% efetiva quando 
há um terceiro de confiança atestando a autenticidade 
de quem pergunta.
10/02/2019 ASR - Carlos Mágno 23
Autenticidade
 É o requisito de segurança em que a informação deve 
ser fornecida para qualquer fim, mas somente com a 
autorização do proprietário da informação.
 Informações médicas ou financeiras.
 Só se consegue efetiva privacidade, se o sistema 
promove a confidencialidade e autenticidade, ou seja, 
se há mecanismos para saber quem é quem e 
mecanismos para proibir que alguns quem tenham 
acesso às informações de outros quem.
10/02/2019 ASR - Carlos Mágno 24
Privacidade
 Interação entre um usuário e o sistema que permite a 
informação fluir de um para o outro.
10/02/2019 ASR - Carlos Mágno 25
Acesso 
 Procedimentos operacionais de gerenciamento para 
detectar e prevenir acessos não autorizados e permitir 
acessos autorizados num sistema ou departamento.
10/02/2019 ASR - Carlos Mágno 26
Controle de Acesso
 É a garantia de que um agente não consiganegar 
falsamente um ato ou documento de sua autoria. Só se 
pode garantir o não-repúdio quando houver 
Autenticidade e Integridade.
 Novamente, entramos no mérito de que só haverá tal 
garantia 100% válida, se houver uma instituição que 
emita essas garantias.
10/02/2019 ASR - Carlos Mágno 27
Não-Repúdio (Irretratabilidade)
 Integridade
 Ameaças de ambiente (fogo, enchente...), erros 
humanos, fraudes, erro de processamento
 Divulgação da informação
 Divulgação premeditada ou acidental de informação 
confidencial
 Indisponibilidade
 Falhas de sistemas 
10/02/2019 ASR - Carlos Mágno 28
Ameaças à Política de Segurança
 Antivírus: São programas que procuram detectar e, 
então, anular ou remover os vírus de computador. 
Atualmente, novas funcionalidades têm sido 
adicionadas aos programas antivírus, de modo que 
alguns procuram detectar e remover cavalos de Tróia e 
outros tipos de código maliciosos, barrar programas 
hostis e verificar e-mails.
10/02/2019 ASR - Carlos Mágno 29
Agentes de segurança
 Firewall: programa que cria uma “barreira” ou “filtro” 
de proteção contra invasores (na verdade, contra, 
especificamente, as tentativas de comunicação com o 
computador protegido);
 Backups: Cópias de segurança dos dados armazenados 
em um computador são importantes, não só para se 
recuperar de eventuais falhas, mas também das 
consequências de uma possível infecção por vírus, ou 
de uma invasão.
10/02/2019 ASR - Carlos Mágno 30
Agentes de segurança
 IDS/IPS: Sistema Detector de Intrusos é um conjunto de 
tecnologias que objetiva descobrir, em uma rede, os 
acessos não autorizados a ela que podem indicar a ação 
de invasores;
 Anti-Spam: programa que podem classificas as 
mensagem de e-mail recebidas como sendo aceitáveis 
ou como sendo spam;
 Criptografia
10/02/2019 ASR - Carlos Mágno 31
Agentes de segurança
 Utilizar senhas distintas e seguras para cada site ou 
serviço;
 Não instalar softwares de fontes duvidosas;
 Manter seus sistemas sempre atualizados, incluindo 
antivírus;
 Evitar conectar pen drives e outros meios de 
armazenamento de terceiros;
 Não acessar sites de origem duvidosa;
10/02/2019 ASR - Carlos Mágno 32
Alguns cuidados que devemos ter:
 Proteger seus arquivos pessoais em HDs, pen drives e 
outros dispositivos de armazenamento usando soluções 
que impeçam que seus arquivos caiam em mãos 
erradas mesmo que o dispositivo eletrônico seja 
perdido ou mesmo roubado;
 Não clicar em links suspeitos como aqueles recebidos 
por e-mail ou vistos em sites como os de redes sociais;
 Não salvar senhas de acesso em navegadores;
10/02/2019 ASR - Carlos Mágno 33
Alguns cuidados que devemos ter:
 Uma senha (password) serve para autenticar o usuário, 
ou seja, é utilizada no processo de verificação da 
identidade do usuário, assegurando que este é 
realmente quem diz ser.
10/02/2019 ASR - Carlos Mágno 34
Senhas
 O que não se deve usar:
 Nomes e sobrenomes;
 Números de documentos;
 Placas de carros;
 Números de telefones;
 Datas;
10/02/2019 ASR - Carlos Mágno 35
Elaborando uma boa senha:
 Como elaborar uma boa senha?
 Dica: Quanto mais "bagunçada" for a senha melhor.
 Misturar letras maiúsculas, minúsculas, números e 
sinais de pontuação.
 Dica: Uma regra realmente prática e que gera boas 
senhas difíceis de serem descobertas é utilizar uma 
frase qualquer e pegar a primeira, segunda ou a última 
letra de cada palavra. 
10/02/2019 ASR - Carlos Mágno 36
Elaborando uma boa senha:
 Exemplo: usando a frase "batatinha quando nasce se 
esparrama pelo chão" podemos gerar a senha 
"!BqnsepC". 
 Senhas geradas desta maneira são fáceis de lembrar e 
são normalmente difíceis de serem descobertas.
10/02/2019 ASR - Carlos Mágno 37
Elaborando uma boa senha:
 Observação: Utilizar senhas diferentes, uma para cada 
local, é extremamente importante, pois pode atenuar 
os prejuízos causados, caso alguém descubra uma de 
suas senhas.
 Com que frequência devo mudar minhas senhas?
 Você deve trocar suas senhas regularmente, 
procurando evitar períodos muito longos. Uma 
sugestão é que você realize tais trocas a cada dois ou 
três meses.
10/02/2019 ASR - Carlos Mágno 38
Elaborando uma boa senha:
 Um arquivo.
10/02/2019 ASR - Carlos Mágno 39
Exemplos de Falta de Segurança:
 Um arquivo.
10/02/2019 ASR - Carlos Mágno 40
Exemplos de Falta de Segurança:
 Um arquivo.
10/02/2019 ASR - Carlos Mágno 41
Exemplos de Falta de Segurança:
 Um arquivo.
10/02/2019 ASR - Carlos Mágno 42
Exemplos de Falta de Segurança:
10/02/2019 ASR - Carlos Mágno 43
Perguntas???