Baixe o app para aproveitar ainda mais
Prévia do material em texto
ADMINISTRAÇÃO E SEGURANÇA DE REDES Segurança da Informação Carlos Mágno CAMPUS GARANHUNS • GRADUADO EM SISTEMAS DE INFORMAÇÃO - UPE; • PÓS-GRADUADO EM SAÚDE PÚBLICA - UFF; • MESTRE EM CIÊNCIA DA COMPUTAÇÃO – CIN/UFPE; • ANALISTA DE SISTEMAS – NIGS; • PROPRIETÁRIO DA NINEPOINTS. 10/02/2019 ASR - Carlos Mágno 2 APRESENTAÇÃO • Conceitos de segurança da informação; • Ameaças, vulnerabilidades e ataques; • Autenticação, criptografia e assinatura digital; • Ferramentas de segurança; • Antivírus; • Firewall; • IDS –Intrusion Detection System; • IPS –Intrusion Prevention System; • VPN - Virtual Private Network; • Política de segurança 10/02/2019 ASR - Carlos Mágno 3 PAUTA • Segurança básica de redes ethernet comutadas; • Segurança básica de redes WiFi; • Segurança com VeraCrypt; • Instalação Linux; • Configuração do Proxy; • Instalação do servidor ssh e apache; • Segurança no desenvolvimento de software. 10/02/2019 ASR - Carlos Mágno 4 PAUTA 10/02/2019 ASR - Carlos Mágno 5 Conceitos de segurança da informação Um arquivo. Objetos. Um banco de dados. 10/02/2019 ASR - Carlos Mágno 6 Recursos da Informação Muitos recursos de informação que são disponíveis e mantidos em sistemas distribuídos através de redes, têm um alto valor intrínseco para seus usuários. Toda informação tem valor e precisa ser protegida contra acidentes ou ataques. 10/02/2019 ASR - Carlos Mágno 7 Valor da Informação Pode abranger várias situações, tais como: Erros, Acesso indevido, Furto, Fraude, Sabotagem e Causas da Natureza. 10/02/2019 ASR - Carlos Mágno 8 Segurança da Informação Define-se como o processo de proteção de informações armazenadas em computadores situados em redes. Com o advento das redes de computadores e a intensificação do uso dessas pelas empresas, a segurança da informação tem sido um assunto que vem exigindo, cada vez mais, maiores cuidados. 10/02/2019 ASR - Carlos Mágno 9 Segurança da Informação Segurança voltada para o mercado corporativo: tecnologias avançadas com alta capacidade de tráfego e gerenciamento dos recursos de informação. Segurança voltada para o mercado doméstico: usuário da Internet. 10/02/2019 ASR - Carlos Mágno 10 Mercado Computadores são utilizados para realizar inúmeras tarefas, tais como: Transações financeiras, sejam elas bancárias ou mesmo compra de produtos e serviços; Comunicação, por exemplo, através de e-mails, mensageiros instantâneos, redes sociais; Armazenamento de dados, sejam eles pessoais ou comerciais, etc. 10/02/2019 ASR - Carlos Mágno 11 Porque se preocupar com a segurança do computador? A resposta para esta pergunta não é simples. Os motivos pelos quais alguém tentaria invadir seu computador são inúmeros. Alguns destes motivos são: utilizar seu computador em alguma atividade ilícita, para esconder a real identidade e localização do invasor; utilizar seu computador para lançar ataques contra outros computadores; utilizar seu disco rígido como repositório de dados; furtar dados do seu computador; 10/02/2019 ASR - Carlos Mágno 12 Por que alguém iria invadir meu computador? A resposta para esta pergunta não é simples. Os motivos pelos quais alguém tentaria invadir seu computador são inúmeros. Alguns destes motivos são: destruir informações (vandalismo); disseminar mensagens alarmantes e falsas; ler e enviar e-mails em seu nome; propagar vírus de computador; furtar números de cartões de crédito e senhas bancárias. 10/02/2019 ASR - Carlos Mágno 13 Por que alguém iria invadir meu computador? Porque ... Os sistemas computacionais ou de comunicação, que armazenam ou transmitem informação são vulneráveis (sujeito a intrusões). 10/02/2019 ASR - Carlos Mágno 14 Segurança da Informação Disponibilidade; Integridade; Confidencialidade; Autenticidade; Privacidade (**); Controle de Acesso; Não-Repúdio da Informação (Irretratabilidade); 10/02/2019 ASR - Carlos Mágno 15 Os Requisitos de Segurança Assim, a disciplina de segurança da Informação trata de garantir a existência dos requisitos fundamentais para proporcionar um nível aceitável de segurança nos recursos de informação. De uma forma mais simplificada: Proteção de informações para que sejam mantidos os requisitos de: confidencialidade, integridade, disponibilidade. 10/02/2019 ASR - Carlos Mágno 16 Segurança da Informação É o requisito de segurança em que a informação deve ser entregue para a pessoa certa, no momento que ela precisar. A informação ou sistema estará disponível para acesso no momento desejado. Proteção contra interferência como meio para acessar os recursos. 10/02/2019 ASR - Carlos Mágno 17 Disponibilidade Exemplo: Uma forma de manter a disponibilidade de um sistema é implantar estruturas de no-breaks ou redundância de servidores; Exemplo de violação: o seu provedor sofre uma grande sobrecarga de dados ou um ataque de negação de serviço e por este motivo você fica impossibilitado de enviar sua declaração de Imposto de Renda à Receita Federal. 10/02/2019 ASR - Carlos Mágno 18 Disponibilidade É o requisito de segurança que visa a proteção da informação contra modificações não autorizadas. Garante que somente partes autorizadas podem modificar a informação. Modificação inclui: escrever, mudar, mudar status, apagar, criar e atrasar ou responder mensagens. É a garantia de que uma informação não foi alterada durante seu trajeto do emissor para o receptor. Tendo a garantia de dados íntegros, o receptor pode se assegurar de que a mensagem que ele recebeu tem realmente aquele conteúdo; 10/02/2019 ASR - Carlos Mágno 19 Integridade Exemplo: Uso de funções hash, checksum e arquivos torrents. Ou alguém obtém acesso não autorizado ao seu computador e altera informações da sua declaração de Imposto de Renda, momentos antes de você enviá-la à Receita Federal; 10/02/2019 ASR - Carlos Mágno 20 Integridade É o requisito de segurança que visa a proteção contra a revelação de informação a indivíduos não autorizados. Garante que a informação em um sistema, ou a informação transmitida são acessíveis somente a partes autorizadas, normalmente detentoras de login e senha que lhes concedem esses direitos de acesso; 10/02/2019 ASR - Carlos Mágno 21 Confidencialidade Exemplo de violação: alguém obtém acesso não autorizado ao seu computador e lê todas as informações contidas na sua declaração de Imposto de Renda; 10/02/2019 ASR - Carlos Mágno 22 Confidencialidade É o requisito de segurança que visa validar a identidade de um usuário, dispositivo, ou outra entidade em um sistema, frequentemente como um pré-requisito a permitir o acesso aos recursos de informação no sistema. Garante que a origem da informação é corretamente identificada, assegurando que a identidade não é falsa. Essa garantia, normalmente, só é 100% efetiva quando há um terceiro de confiança atestando a autenticidade de quem pergunta. 10/02/2019 ASR - Carlos Mágno 23 Autenticidade É o requisito de segurança em que a informação deve ser fornecida para qualquer fim, mas somente com a autorização do proprietário da informação. Informações médicas ou financeiras. Só se consegue efetiva privacidade, se o sistema promove a confidencialidade e autenticidade, ou seja, se há mecanismos para saber quem é quem e mecanismos para proibir que alguns quem tenham acesso às informações de outros quem. 10/02/2019 ASR - Carlos Mágno 24 Privacidade Interação entre um usuário e o sistema que permite a informação fluir de um para o outro. 10/02/2019 ASR - Carlos Mágno 25 Acesso Procedimentos operacionais de gerenciamento para detectar e prevenir acessos não autorizados e permitir acessos autorizados num sistema ou departamento. 10/02/2019 ASR - Carlos Mágno 26 Controle de Acesso É a garantia de que um agente não consiganegar falsamente um ato ou documento de sua autoria. Só se pode garantir o não-repúdio quando houver Autenticidade e Integridade. Novamente, entramos no mérito de que só haverá tal garantia 100% válida, se houver uma instituição que emita essas garantias. 10/02/2019 ASR - Carlos Mágno 27 Não-Repúdio (Irretratabilidade) Integridade Ameaças de ambiente (fogo, enchente...), erros humanos, fraudes, erro de processamento Divulgação da informação Divulgação premeditada ou acidental de informação confidencial Indisponibilidade Falhas de sistemas 10/02/2019 ASR - Carlos Mágno 28 Ameaças à Política de Segurança Antivírus: São programas que procuram detectar e, então, anular ou remover os vírus de computador. Atualmente, novas funcionalidades têm sido adicionadas aos programas antivírus, de modo que alguns procuram detectar e remover cavalos de Tróia e outros tipos de código maliciosos, barrar programas hostis e verificar e-mails. 10/02/2019 ASR - Carlos Mágno 29 Agentes de segurança Firewall: programa que cria uma “barreira” ou “filtro” de proteção contra invasores (na verdade, contra, especificamente, as tentativas de comunicação com o computador protegido); Backups: Cópias de segurança dos dados armazenados em um computador são importantes, não só para se recuperar de eventuais falhas, mas também das consequências de uma possível infecção por vírus, ou de uma invasão. 10/02/2019 ASR - Carlos Mágno 30 Agentes de segurança IDS/IPS: Sistema Detector de Intrusos é um conjunto de tecnologias que objetiva descobrir, em uma rede, os acessos não autorizados a ela que podem indicar a ação de invasores; Anti-Spam: programa que podem classificas as mensagem de e-mail recebidas como sendo aceitáveis ou como sendo spam; Criptografia 10/02/2019 ASR - Carlos Mágno 31 Agentes de segurança Utilizar senhas distintas e seguras para cada site ou serviço; Não instalar softwares de fontes duvidosas; Manter seus sistemas sempre atualizados, incluindo antivírus; Evitar conectar pen drives e outros meios de armazenamento de terceiros; Não acessar sites de origem duvidosa; 10/02/2019 ASR - Carlos Mágno 32 Alguns cuidados que devemos ter: Proteger seus arquivos pessoais em HDs, pen drives e outros dispositivos de armazenamento usando soluções que impeçam que seus arquivos caiam em mãos erradas mesmo que o dispositivo eletrônico seja perdido ou mesmo roubado; Não clicar em links suspeitos como aqueles recebidos por e-mail ou vistos em sites como os de redes sociais; Não salvar senhas de acesso em navegadores; 10/02/2019 ASR - Carlos Mágno 33 Alguns cuidados que devemos ter: Uma senha (password) serve para autenticar o usuário, ou seja, é utilizada no processo de verificação da identidade do usuário, assegurando que este é realmente quem diz ser. 10/02/2019 ASR - Carlos Mágno 34 Senhas O que não se deve usar: Nomes e sobrenomes; Números de documentos; Placas de carros; Números de telefones; Datas; 10/02/2019 ASR - Carlos Mágno 35 Elaborando uma boa senha: Como elaborar uma boa senha? Dica: Quanto mais "bagunçada" for a senha melhor. Misturar letras maiúsculas, minúsculas, números e sinais de pontuação. Dica: Uma regra realmente prática e que gera boas senhas difíceis de serem descobertas é utilizar uma frase qualquer e pegar a primeira, segunda ou a última letra de cada palavra. 10/02/2019 ASR - Carlos Mágno 36 Elaborando uma boa senha: Exemplo: usando a frase "batatinha quando nasce se esparrama pelo chão" podemos gerar a senha "!BqnsepC". Senhas geradas desta maneira são fáceis de lembrar e são normalmente difíceis de serem descobertas. 10/02/2019 ASR - Carlos Mágno 37 Elaborando uma boa senha: Observação: Utilizar senhas diferentes, uma para cada local, é extremamente importante, pois pode atenuar os prejuízos causados, caso alguém descubra uma de suas senhas. Com que frequência devo mudar minhas senhas? Você deve trocar suas senhas regularmente, procurando evitar períodos muito longos. Uma sugestão é que você realize tais trocas a cada dois ou três meses. 10/02/2019 ASR - Carlos Mágno 38 Elaborando uma boa senha: Um arquivo. 10/02/2019 ASR - Carlos Mágno 39 Exemplos de Falta de Segurança: Um arquivo. 10/02/2019 ASR - Carlos Mágno 40 Exemplos de Falta de Segurança: Um arquivo. 10/02/2019 ASR - Carlos Mágno 41 Exemplos de Falta de Segurança: Um arquivo. 10/02/2019 ASR - Carlos Mágno 42 Exemplos de Falta de Segurança: 10/02/2019 ASR - Carlos Mágno 43 Perguntas???
Compartilhar