aspectos de segurança de redes. introdução os usuários das redes de computadores mudaram, bem...
TRANSCRIPT
Aspectos de Segurança de Redes
IntroduçãoOs usuários das redes de computadores Os usuários das redes de computadores mudaram, bem como o uso que os mesmos mudaram, bem como o uso que os mesmos fazem da rede.fazem da rede.
A segurança da rede despontou-se como um A segurança da rede despontou-se como um problema em potencial.problema em potencial.
O crescimento comercial assustador da O crescimento comercial assustador da Internet nos últimos anos foi superado apenas Internet nos últimos anos foi superado apenas pela preocupação com a segurança deste pela preocupação com a segurança deste novo tipo de mídia.novo tipo de mídia.
Aspectos de Segurança de Redes
A segurança em sua forma mais simples se A segurança em sua forma mais simples se preocupa em garantir que pessoas mal preocupa em garantir que pessoas mal intencionadas (externas à empresa, ou intencionadas (externas à empresa, ou internas) não leiam, ou pior, ainda internas) não leiam, ou pior, ainda modifiquem dados/mensagens.modifiquem dados/mensagens.
É estatisticamente levantado que a maior É estatisticamente levantado que a maior parte dos problemas de segurança são parte dos problemas de segurança são intencionalmente causados por pessoas que intencionalmente causados por pessoas que tentam obter algum benefício ou prejudicar tentam obter algum benefício ou prejudicar alguém.alguém.
Introdução
Aspectos de Segurança de Redes
Política de segurança da empresaConsideraçõesSegundo pesquisas, e constatações feitas Segundo pesquisas, e constatações feitas pelas próprias empresas especializadas em pelas próprias empresas especializadas em vender projetos e produtos voltados para o vender projetos e produtos voltados para o segmento de segurança de informação:segmento de segurança de informação:
““As empresas brasileiras são vulneráveis, As empresas brasileiras são vulneráveis, frágeis e passíveis de invasões porque a frágeis e passíveis de invasões porque a grande maioria dos executivos – não apenas grande maioria dos executivos – não apenas os responsáveis pela área de tecnologia – os responsáveis pela área de tecnologia – adotam posturas paternalistas e não adotam posturas paternalistas e não profissionais com relação às informações profissionais com relação às informações dentro das corporações”.dentro das corporações”.
Políticas de segurança são responsabilidades Políticas de segurança são responsabilidades dos CIOs, cabendo aos mesmos escreverem dos CIOs, cabendo aos mesmos escreverem as diretrizes, sejam elas agradáveis ou não as diretrizes, sejam elas agradáveis ou não para os funcionários.para os funcionários.
Especialistas reconhecem que cem por cento Especialistas reconhecem que cem por cento de segurança é impossível de ser alcançado, de segurança é impossível de ser alcançado, todavia é possível alcançar um alto grau de todavia é possível alcançar um alto grau de garantia da informação se houver garantia da informação se houver mecanismos de controle diário, 24 horas por mecanismos de controle diário, 24 horas por dia, sete dias por semana.dia, sete dias por semana.
Política de segurança da empresaConsiderações
““equipamentos só funcionam se tivermos equipamentos só funcionam se tivermos uma política para cuidar das pessoas que uma política para cuidar das pessoas que lidam com eles”.lidam com eles”.
““A equação no caso da informação é A equação no caso da informação é tratar do funcionário”.tratar do funcionário”.
Política de segurança da empresaConsiderações
Tipos de penetras mais comuns
EstudanteEstudante
HackerHacker
ExecutivosExecutivosRepresentantes Representantes
de vendasde vendasEx-funcionárioEx-funcionário
EspiãoEspião
VigaristaVigarista
TerroristaTerrorista
OutrosOutros
Diverte-se bisbilhotando as mensagens de correio Diverte-se bisbilhotando as mensagens de correio eletrônico de outras pessoas.eletrônico de outras pessoas.Testa o sistema de segurança de alguém Testa o sistema de segurança de alguém (roubar/deletar/alterar, adicionar dados).(roubar/deletar/alterar, adicionar dados).Descobrir a estratégia de marketing do concorrente.Descobrir a estratégia de marketing do concorrente.
Ampliar mercado de atuação.Ampliar mercado de atuação.
Vingar-se, retaliar-se de perseguições ou demissões.Vingar-se, retaliar-se de perseguições ou demissões.
Descobrir, roubar segredos ou informações privilegiadas.Descobrir, roubar segredos ou informações privilegiadas.Roubar números de cartão de crédito e vendê-los. Roubar números de cartão de crédito e vendê-los. Alterar dados em proveito próprio.Alterar dados em proveito próprio.Roubar segredos militares ou bacteriológicos.Roubar segredos militares ou bacteriológicos.Passar-se por outros em intermediações ou transações Passar-se por outros em intermediações ou transações com ou em pessoas ou empresas.com ou em pessoas ou empresas.
Lidar com segurança é lidar com adversários inteligentes, dedicados, Lidar com segurança é lidar com adversários inteligentes, dedicados, e muitas vezes bem subsidiado.e muitas vezes bem subsidiado.
Tipos de ataqueExternosVulnerabilidade na rede (protocolos, Vulnerabilidade na rede (protocolos, implementações, etc.).implementações, etc.).
Vulnerabilidade nas aplicações (web servers, Vulnerabilidade nas aplicações (web servers, etc.).etc.).
Causas mais prováveisCausas mais prováveisFalta de proteção ou proteção Falta de proteção ou proteção insuficiente.insuficiente.Confiança excessiva.Confiança excessiva.Inexistência de auditoriaInexistência de auditoria
Tipos de ataqueInternosAcesso não autorizado a dados.Acesso não autorizado a dados.
Sabotagem.Sabotagem.
Engenharia social.Engenharia social.
Causas mais prováveisCausas mais prováveisInexistência de acesso hierárquico.Inexistência de acesso hierárquico.Retaliação.Retaliação.
Implementar uma política de segurança em Implementar uma política de segurança em uma empresa ou organização implica em uma empresa ou organização implica em implementar controles de segurança do tipo:implementar controles de segurança do tipo:
Físicos;Físicos;Lógicos;Lógicos;Organizacionais;Organizacionais;Pessoais;Pessoais;Operacionais;Operacionais;De desenvolvimento de aplicações;De desenvolvimento de aplicações;Das estações de trabalho;Das estações de trabalho;Dos servidores;Dos servidores;De proteção na transmissão de dados.De proteção na transmissão de dados.
Tipos de ataque
O desenvolvimento de uma política de O desenvolvimento de uma política de segurança deve ser uma atividade segurança deve ser uma atividade interdepartamental.interdepartamental.
As áreas afetadas devem participar do As áreas afetadas devem participar do processo envolvendo-se e comprometendo-se processo envolvendo-se e comprometendo-se com as metas propostas além de:com as metas propostas além de:
Entender o que é necessário;Entender o que é necessário;Saber por o que são responsáveis;Saber por o que são responsáveis;O que é possível com o processo.O que é possível com o processo.
Tipos de ataque
Controles de segurançaControles físicosReferem-se à:Referem-se à:Restrição de acesso indevido de pessoas a Restrição de acesso indevido de pessoas a áreas críticas da empresa (ex: CPD);áreas críticas da empresa (ex: CPD);
Uso de equipamentos ou sistemas por Uso de equipamentos ou sistemas por funcionários mal treinados;funcionários mal treinados;
Controles de segurançaControles lógicosReferem-se à:Referem-se à:Prevenção e fortalecimento de proteção Prevenção e fortalecimento de proteção seletiva de recursos;seletiva de recursos;
Problemas / prevenção causados por vírus, e Problemas / prevenção causados por vírus, e acesso de invasores;acesso de invasores;
Fornecer / retirar autorização de acesso;Fornecer / retirar autorização de acesso;
Controles de segurançaControles lógicosReferem-se à:Referem-se à:Fornecer relatórios informando que recursos Fornecer relatórios informando que recursos estão protegidos, e que usuários tem acesso estão protegidos, e que usuários tem acesso a esses recursos;a esses recursos;
Maneira fácil e compreensível de administrar Maneira fácil e compreensível de administrar essas capacidades.essas capacidades.
Controles de segurançaControles organizacionaisReferem-se à:Referem-se à:Responsabilizar cada usuário por lista de Responsabilizar cada usuário por lista de deveres;deveres;
Especificar em cada lista o que, quando, e Especificar em cada lista o que, quando, e como deve ser feito;como deve ser feito;
Esclarecer as conseqüências do não Esclarecer as conseqüências do não cumprimento da lista.cumprimento da lista.
Controles de segurançaControles pessoaisReferem-se à:Referem-se à:
Criação de motivação / treinamento sobre Criação de motivação / treinamento sobre segurança;segurança;
Bloqueio dos arquivos pessoais do Bloqueio dos arquivos pessoais do empregado quando da sua demissão;empregado quando da sua demissão;
Troca de senha quando da demissão do Troca de senha quando da demissão do funcionário;funcionário;
Controles de segurança
Referem-se à:Referem-se à:
Inclusão de tópicos de segurança Inclusão de tópicos de segurança computacional no manual dos empregados;computacional no manual dos empregados;
Cobrar aspectos de segurança na avaliação Cobrar aspectos de segurança na avaliação o funcionário.o funcionário.
Controles pessoais
Controles de segurança
Referem-se à:Referem-se à:
Acompanhar e registrar cada problema, sua Acompanhar e registrar cada problema, sua causa e sua solução;causa e sua solução;
Planejar estruturas de arquivos e de Planejar estruturas de arquivos e de diretórios;diretórios;
Controles operacionais
Controles de segurança
Prever / fornecer proteção de energia ao Prever / fornecer proteção de energia ao parque computacional e de conectividade parque computacional e de conectividade (hubs, switches, routers, etc.);(hubs, switches, routers, etc.);
Garantir a confiabilidade e a integridade dos Garantir a confiabilidade e a integridade dos dados avaliando o aspecto custo da rede.dados avaliando o aspecto custo da rede.
Controles operacionais
Controles de segurança
Referem-se à:Referem-se à:1) No caso das empresas não-1) No caso das empresas não-desenvolvedoras de aplicações:desenvolvedoras de aplicações:
Adquirir software necessário e documentação Adquirir software necessário e documentação necessária.necessária.
2) No caso de empresas desenvolvedoras de 2) No caso de empresas desenvolvedoras de aplicações:aplicações:
Verificar a existência / eliminar bugs em Verificar a existência / eliminar bugs em softwares;softwares;Dar apoio de software em outros locais da Dar apoio de software em outros locais da organização;organização;Manter / atualizar documentação.Manter / atualizar documentação.
Controles de desenvolvimento de aplicações
Controles de segurança
Referem-se à:Referem-se à:Proteger os computadores contra roubo de Proteger os computadores contra roubo de placas, e acessos ao interior do gabinete (uso placas, e acessos ao interior do gabinete (uso de travas);de travas);
Controlar instalação de programas de Controlar instalação de programas de captura de senha;captura de senha;
Controlar acesso às estações.Controlar acesso às estações.
Controles das estações de trabalho
Controles de segurança
Referem-se à:Referem-se à:Prover proteção diversa (contra incêndios, Prover proteção diversa (contra incêndios, umidade, temperatura, acesso);umidade, temperatura, acesso);
Mantê-lo em ambiente fechado.Mantê-lo em ambiente fechado.
Controles de servidor
Controles de segurança
Referem-se à:Referem-se à:Uso de criptografia;Uso de criptografia;
Uso de fibras ópticas ou cabos pneumáticos Uso de fibras ópticas ou cabos pneumáticos que emitem alarmes quando que emitem alarmes quando despressurizados por “grampos”;despressurizados por “grampos”;
Filtros / proxy /firewall nas fronteiras da Filtros / proxy /firewall nas fronteiras da rede, entre redes.rede, entre redes.
Controles de proteção na transmissão de dados
Mecanismos de segurança
Ajudam a implementar políticas Ajudam a implementar políticas de segurança e seus serviços:de segurança e seus serviços:
CriptografiaCriptografiaFiltrosFiltrosProxyProxyFirewallFirewall
O que vem a ser a Criptografia?
É a ciência que faz uso da É a ciência que faz uso da matemática permitindo matemática permitindo criptografarmos criptografarmos (cripto=esconder) e (cripto=esconder) e decriptografarmos dados.decriptografarmos dados.
É a ciência que estuda como É a ciência que estuda como quebrar um texto cifrado, ou quebrar um texto cifrado, ou seja, descobrir o texto claro a seja, descobrir o texto claro a partir do texto cifrado partir do texto cifrado revelando o significado da revelando o significado da mensagem.mensagem.
O que vem a ser a Criptoanálise?
É a área da matemática que É a área da matemática que estuda a Criptografia e a estuda a Criptografia e a Criptoanálise.Criptoanálise.
O que vem a ser a Criptologia?
Para fornecer:Para fornecer:Confidencialidade;Confidencialidade;Integridade;Integridade;Verificação de autoria;Verificação de autoria;Autenticação.Autenticação.
Por que usar a Criptografia?
Como se dá um processo de Encriptação e Decriptação?
SINTEGRA *$R!??:{ SINTEGR
A
Fonte Destino
Encriptação Decriptação
Texto Textooriginal
Textocifrado
Algoritmo de criptografia:Algoritmo de criptografia: função função matemática usada para encriptar e matemática usada para encriptar e decriptar (Público).decriptar (Público).Chave:Chave: é o código utilizado pelo é o código utilizado pelo algoritmo de criptografia para encriptar algoritmo de criptografia para encriptar necessário para a realização da necessário para a realização da decriptação (Secreto).decriptação (Secreto).Através do Através do criptógrafocriptógrafo o sistema de o sistema de criptografia é formado.criptografia é formado.
Como um sistema criptográfico é usado?
Confidencialidade da chave;Confidencialidade da chave;
Uso de chaves comuns e fáceis de Uso de chaves comuns e fáceis de adivinhar;adivinhar;
A dificuldade em se inverter o A dificuldade em se inverter o algoritmo criptográfico sem a chave;algoritmo criptográfico sem a chave;
Características do criptógrafo
A inexistência de backdoors;A inexistência de backdoors;
A possibilidade de se decodificar todo A possibilidade de se decodificar todo um texto cifrado dado que se saiba um texto cifrado dado que se saiba como parte dele é decodificada;como parte dele é decodificada;
O conhecimento de propriedades O conhecimento de propriedades peculiares da mensagem em texto peculiares da mensagem em texto claro.claro.
Características do criptógrafo
Criptografia com chaves secretasCriptografia com chaves secretas(ou simétricas);(ou simétricas);
Criptografia com chaves públicasCriptografia com chaves públicas(ou assimétricas);(ou assimétricas);
Tipos de criptografia
Criptografia Simétrica
Utiliza a mesma chave para encriptar e Utiliza a mesma chave para encriptar e decriptar uma mensagem.decriptar uma mensagem.
(ou com chave secreta)
MENSAGEM *$R!??:{
Fonte Destino
Encriptação Decriptação
Texto Textooriginal
Textocifrado
MENSAGEM
Formas de implementar Criptografia Simétrica1) Através de tabela de códigos
Letra da mensagemLetra da mensagem CódigoCódigoAA ABCABC
BB DEFDEF
CC GHIGHI
DD JKLJKL......
..
..
..
Formas de implementar Criptografia Simétrica1) Através de deslocamentos
As letras da mensagem são As letras da mensagem são substituídas pela n-ésima letra substituídas pela n-ésima letra após a sua posição no alfabeto.após a sua posição no alfabeto.
Criptografia SimétricaVantagens e desvantagens
VantagensVantagensRapidez, simples de Rapidez, simples de implementar.implementar.
DesvantagensDesvantagensÉ necessário um canal seguro É necessário um canal seguro para enviar a chave.para enviar a chave.
Utiliza uma chave para encriptar e outra para Utiliza uma chave para encriptar e outra para decriptar a mensagem.decriptar a mensagem.
Também chamados de Algoritmos de Chave Também chamados de Algoritmos de Chave Pública.Pública.
Primeiros algoritmos desenvolvidos em 1975 Primeiros algoritmos desenvolvidos em 1975 por Diffie and Hellman.por Diffie and Hellman.
Criptografia Assimétrica
Criptografia Assimétrica(ou com chave secreta)
MENSAGEM *$R!??:{
Fonte Destino
Encriptação Decriptação
Texto Textooriginal
Textocifrado
MENSAGEM
Chave pública Chave privada
Criptografia AssimétricaChave privada
Nesta implementação usuários podem Nesta implementação usuários podem difundir a chave pública para todos que difundir a chave pública para todos que queiram enviar mensagens para eles, queiram enviar mensagens para eles, visto que apenas com a chave privada visto que apenas com a chave privada será possível a decriptação.será possível a decriptação.
Chave Pública é distribuída e a Privada Chave Pública é distribuída e a Privada mantida em segredo.mantida em segredo.
Criptografia AssimétricaVantagens e desvantagensVantagensVantagens
Não há necessidade de canal seguro Não há necessidade de canal seguro na troca de chaves, pois não há na troca de chaves, pois não há riscos.riscos.
DesvantagensDesvantagensA performance do sistema cai A performance do sistema cai demasiadamente se existe uma demasiadamente se existe uma grande quantidade de dados para grande quantidade de dados para decriptografar.decriptografar.
Assinatura digital
Mecanismo que pode garantir que uma Mecanismo que pode garantir que uma mensagem assinada só pode ter sido gerada mensagem assinada só pode ter sido gerada com informações privadas do signatário.com informações privadas do signatário.O mecanismo de assinatura digital deve:O mecanismo de assinatura digital deve:
A) Assegurar que o receptor possa verificar A) Assegurar que o receptor possa verificar a identidade declarada pelo transmissor a identidade declarada pelo transmissor (assinatura);(assinatura);B) Assegurar que o transmissor não possa B) Assegurar que o transmissor não possa mais tarde negar a autoria da mensagem mais tarde negar a autoria da mensagem (verificação).(verificação).
Autenticação dos interlocutores
Usuários e Usuários e elementos devem elementos devem mostrar mostrar credenciais para credenciais para comprovar sua comprovar sua identidade.identidade.
Possível através Possível através de digital de digital certificates e certificates e outros documentos outros documentos assinados.assinados.
ACCESS DENIEDACCESS DENIED
ACCESS GRANTEDACCESS GRANTED
BOB BUNKBOB BUNK
JOHN PEPJOHN PEP
PEPPEP’S’SCOMPANYCOMPANY
I’m John...
X
I’m John.
Funções de uma Autoridade Certificadora (CA)
Distribuição de certificados;Distribuição de certificados;
Emissão de assinatura de novos Emissão de assinatura de novos certificados;certificados;
Renegociação de certificados;Renegociação de certificados;
Revogação de certificados.Revogação de certificados.
CA
Como autenticar uma chave pública?
Para emitir o certificado, a CA pode Para emitir o certificado, a CA pode exigir que o usuário se apresente exigir que o usuário se apresente pessoalmente junto a alguma de suas pessoalmente junto a alguma de suas instalações e prove sua identidade instalações e prove sua identidade através de documentação apropriada.através de documentação apropriada.
* Certificados também podem ser emitidos * Certificados também podem ser emitidos para pessoas jurídicas, das quais pode ser para pessoas jurídicas, das quais pode ser exigido esquema semelhante de exigido esquema semelhante de comprovação de identidade.comprovação de identidade.
Certificados
Como autenticar uma chave pública?
Uma vez comprovada a identidade do Uma vez comprovada a identidade do usuário, ele fornece sua chave pública à usuário, ele fornece sua chave pública à CA que gera e assina o certificado.CA que gera e assina o certificado.
Certificados
CA
Como autenticar uma chave pública?
Um certificado atesta a veracidade de uma Um certificado atesta a veracidade de uma chave pública.chave pública.
De forma simplificada, o certificado é uma De forma simplificada, o certificado é uma chave pública assinada por uma Autoridade chave pública assinada por uma Autoridade de Certificação (CA) que atesta a de Certificação (CA) que atesta a autenticidade daquela chave pública como autenticidade daquela chave pública como pertencente a uma determinada pessoa.pertencente a uma determinada pessoa.
Um dos padrões de certificado usualmente Um dos padrões de certificado usualmente utilizados é definido pela norma ITU-T X.509.utilizados é definido pela norma ITU-T X.509.
Certificados
CA
ConexãoSegura
Infraestrutura de redeProteção de Redes: Firewall
Firewall - IntroduçãoDefiniçãoDispositivo que conecta redes (interna e/ou Dispositivo que conecta redes (interna e/ou externa com vários níveis de direito de externa com vários níveis de direito de acesso).acesso).Implementa e garante política de segurança Implementa e garante política de segurança entre as redes conectadas.entre as redes conectadas.
Internet
Intranet
Segmento de Segmento de Acesso PúblicoAcesso Público
Corporação
Firewall
Sistemas confiáveis que são colocados entre Sistemas confiáveis que são colocados entre duas redes;duas redes;Política de Segurança define o que passa;Política de Segurança define o que passa;Rede interna é confiável (blue net), nem Rede interna é confiável (blue net), nem sempre;sempre;Rede externa é não-confiável (red net).Rede externa é não-confiável (red net).
Infraestrutura de redeFirewall - Conceitos
Quando você conecta sua rede à Internet, é Quando você conecta sua rede à Internet, é de crítica importância proteger a sua rede de crítica importância proteger a sua rede contra intrusão. A forma mais efetiva de contra intrusão. A forma mais efetiva de proteger o link com a Internet é colocar um proteger o link com a Internet é colocar um Sistema de Firewall entre sua rede local e a Sistema de Firewall entre sua rede local e a Internet.Internet.
Internet
Intranet
Segmento de Segmento de Acesso PúblicoAcesso Público
Corporação
Firewall
Firewall -IntroduçãoProteção de redes - Firewall
1) Não protege contra usuários autorizados 1) Não protege contra usuários autorizados maliciosos;maliciosos;
2) Não pode proteger contra conexões que 2) Não pode proteger contra conexões que não passam através dele;não passam através dele;
3) Não fornece 100% de proteção contra 3) Não fornece 100% de proteção contra todos os THREATS (ataques embutidos no todos os THREATS (ataques embutidos no protocolo). protocolo).
Firewall -IntroduçãoSaiba o que um Firewall não faz:
Internet
FirewallGuarda
Infraestrutura de redeProteção de redes - analogia