Aspectos de
Segurança de Redes
Aspectos de Segurança de Redes
Introdução
Os usuários das redes de computadores mudaram,
bem como o uso que os mesmos fazem da rede.
A segurança da rede despontou-se como um
problema em potencial.
O crescimento comercial assustador da Internet
nos últimos anos foi superado apenas pela
preocupação com a segurança deste novo tipo de
mídia.
Aspectos de Segurança de Redes
Introdução
A segurança em sua forma mais simples se
preocupa em garantir que pessoas mal
intencionadas (externas à empresa, ou internas)
não
leiam,
ou
pior,
ainda
modifiquem
dados/mensagens.
É estatisticamente levantado que a maior parte
dos problemas de segurança são intencionalmente
causados por pessoas que tentam obter algum
benefício ou prejudicar alguém.
Política de segurança da empresa
Considerações
Segundo pesquisas, e constatações feitas pelas
próprias empresas especializadas em vender
projetos e produtos voltados para o segmento de
segurança de informação:
“As empresas brasileiras são vulneráveis, frágeis
e passíveis de invasões porque a grande maioria
dos executivos – não apenas os responsáveis pela
área
de
tecnologia
–
adotam
posturas
paternalistas e não profissionais com relação às
informações dentro das corporações”.
Política de segurança da empresa
Considerações
Políticas de segurança são responsabilidades dos
CIOs, cabendo aos mesmos escreverem as
diretrizes, sejam elas agradáveis ou não para os
funcionários.
Especialistas reconhecem que cem por cento de
segurança é impossível de ser alcançado, todavia
é possível alcançar um alto grau de garantia da
informação se houver mecanismos de controle
diário, 24 horas por dia, sete dias por semana.
Política de segurança da empresa
Considerações
“equipamentos
só funcionam se tivermos uma
política para cuidar das pessoas que lidam com
eles”.
“A
equação no caso da informação é tratar do
funcionário”.
Tipos de penetras mais comuns
Estudante
Hacker
Executivos
Representantes
de vendas
Diverte-se bisbilhotando as mensagens de correio
eletrônico de outras pessoas.
Testa o sistema de segurança de alguém
(roubar/deletar/alterar, adicionar dados).
Descobrir a estratégia de marketing do concorrente.
Ampliar mercado de atuação.
Ex-funcionário Vingar-se, retaliar-se de perseguições ou demissões.
Espião
Vigarista
Terrorista
Outros
Descobrir, roubar segredos ou informações privilegiadas.
Roubar números de cartão de crédito e vendê-los.
Alterar dados em proveito próprio.
Roubar segredos militares ou bacteriológicos.
Passar-se por outros em intermediações ou transações
com ou em pessoas ou empresas.
Lidar com segurança é lidar com adversários inteligentes, dedicados,
e muitas vezes bem subsidiado.
Tipos de ataque
Externos
Vulnerabilidade na rede (protocolos,
implementações, etc.).
Vulnerabilidade nas aplicações (web servers, etc.).
Causas mais prováveis
Falta
de proteção ou proteção insuficiente.
Confiança excessiva.
Inexistência de auditoria
Tipos de ataque
Internos
Acesso não autorizado a dados.
Sabotagem.
Engenharia social.
Causas mais prováveis
Inexistência
Retaliação.
de acesso hierárquico.
Tipos de ataque
Implementar uma política de segurança em uma
empresa ou organização implica em implementar
controles de segurança do tipo:
Físicos;
Lógicos;
Organizacionais;
Pessoais;
Operacionais;
De
desenvolvimento de aplicações;
Das estações de trabalho;
Dos servidores;
De proteção na transmissão de dados.
Tipos de ataque
O desenvolvimento de uma política de segurança
deve ser uma atividade interdepartamental.
As áreas afetadas devem participar do processo
envolvendo-se e comprometendo-se com as metas
propostas além de:
Entender
o que é necessário;
Saber por o que são responsáveis;
O que é possível com o processo.
Controles de segurança
Controles físicos
Referem-se à:
Restrição
de acesso indevido de pessoas a áreas
críticas da empresa (ex: CPD);
Uso
de equipamentos ou sistemas por
funcionários mal treinados;
Controles de segurança
Controles lógicos
Referem-se à:
Prevenção
e fortalecimento de proteção seletiva
de recursos;
Problemas
/ prevenção causados por vírus, e
acesso de invasores;
Fornecer
/ retirar autorização de acesso;
Controles de segurança
Controles lógicos
Referem-se à:
Fornecer
relatórios informando que recursos
estão protegidos, e que usuários tem acesso a
esses recursos;
Maneira
fácil e compreensível de administrar
essas capacidades.
Controles de segurança
Controles organizacionais
Referem-se à:
Responsabilizar
deveres;
cada usuário por lista de
Especificar
em cada lista o que, quando, e como
deve ser feito;
Esclarecer
da lista.
as conseqüências do não cumprimento
Controles de segurança
Controles pessoais
Referem-se à:
Criação
de motivação / treinamento sobre
segurança;
Bloqueio
dos arquivos pessoais do empregado
quando da sua demissão;
Troca
de senha quando da demissão do
funcionário;
Controles de segurança
Controles pessoais
Referem-se à:
Inclusão
de tópicos de segurança computacional
no manual dos empregados;
Cobrar
aspectos de segurança na avaliação o
funcionário.
Controles de segurança
Controles operacionais
Referem-se à:
Acompanhar
e registrar cada problema, sua
causa e sua solução;
Planejar
estruturas de arquivos e de diretórios;
Controles de segurança
Controles operacionais
Prever
/ fornecer proteção de energia ao parque
computacional e de conectividade (hubs, switches,
routers, etc.);
Garantir
a confiabilidade e a integridade dos
dados avaliando o aspecto custo da rede.
Controles de segurança
Controles de desenvolvimento de aplicações
Referem-se à:
1) No caso das empresas não-desenvolvedoras de
aplicações:
Adquirir
software necessário e documentação
necessária.
2) No caso de empresas desenvolvedoras de
aplicações:
Verificar
a existência / eliminar bugs em softwares;
Dar apoio de software em outros locais da
organização;
Manter / atualizar documentação.
Controles de segurança
Controles das estações de trabalho
Referem-se à:
Proteger
os computadores contra roubo de
placas, e acessos ao interior do gabinete (uso de
travas);
Controlar
instalação de programas de captura de
Controlar
acesso às estações.
senha;
Controles de segurança
Controles de servidor
Referem-se à:
Prover
proteção diversa (contra incêndios,
umidade, temperatura, acesso);
Mantê-lo
em ambiente fechado.
Controles de segurança
Controles de proteção na transmissão de dados
Referem-se à:
Uso
de criptografia;
Uso
de fibras ópticas ou cabos pneumáticos que
emitem alarmes quando despressurizados por
“grampos”;
Filtros
/ proxy /firewall nas fronteiras da rede,
entre redes.
Mecanismos de segurança
Ajudam a implementar políticas de
segurança e seus serviços:
Criptografia
Filtros
Proxy
Firewall
O que vem a ser a Criptografia?
É a ciência que faz uso da
matemática permitindo
criptografarmos (cripto=esconder) e
decriptografarmos dados.
O que vem a ser a Criptoanálise?
É a ciência que estuda como quebrar
um texto cifrado, ou seja, descobrir
o texto claro a partir do texto
cifrado revelando o significado da
mensagem.
O que vem a ser a Criptologia?
É a área da matemática que estuda
a Criptografia e a Criptoanálise.
Por que usar a Criptografia?
Para fornecer:
Confidencialidade;
Integridade;
Verificação
de autoria;
Autenticação.
Como se dá um processo de
Encriptação e Decriptação?
SINTEGRA
*$R!??:{
SINTEGRA
Texto
Texto
cifrado
Texto
original
Encriptação
Fonte
Decriptação
Destino
Como um sistema criptográfico é usado?
Algoritmo de criptografia: função
matemática usada para encriptar e
decriptar (Público).
Chave: é o código utilizado pelo algoritmo
de criptografia para encriptar necessário
para a realização da decriptação (Secreto).
Através do criptógrafo o sistema de
criptografia é formado.
Características do criptógrafo
Confidencialidade
da chave;
Uso
de chaves comuns e fáceis de
adivinhar;
A
dificuldade em se inverter o algoritmo
criptográfico sem a chave;
Características do criptógrafo
A
inexistência de backdoors;
A
possibilidade de se decodificar todo um
texto cifrado dado que se saiba como parte
dele é decodificada;
O
conhecimento de propriedades
peculiares da mensagem em texto claro.
Tipos de criptografia
Criptografia com chaves secretas
(ou simétricas);
Criptografia com chaves públicas
(ou assimétricas);
Criptografia Simétrica
(ou com chave secreta)
Utiliza a mesma chave para encriptar e
decriptar uma mensagem.
MENSAGEM
*$R!??:{
MENSAGEM
Texto
Texto
cifrado
Texto
original
Encriptação
Fonte
Decriptação
Destino
Formas de implementar
Criptografia Simétrica
1) Através de tabela de códigos
Letra da mensagem
Código
A
ABC
B
DEF
C
GHI
D
JKL
.
.
.
.
.
.
Formas de implementar
Criptografia Simétrica
1) Através de deslocamentos
As
letras da mensagem são
substituídas pela n-ésima letra após a
sua posição no alfabeto.
Criptografia Simétrica
Vantagens e desvantagens
Vantagens
Rapidez, simples de implementar.
Desvantagens
É necessário um canal seguro para
enviar a chave.
Criptografia Assimétrica
Utiliza uma chave para encriptar e outra para
decriptar a mensagem.
Também chamados de Algoritmos de Chave
Pública.
Primeiros algoritmos desenvolvidos em 1975 por
Diffie and Hellman.
Criptografia Assimétrica
(ou com chave secreta)
Chave pública
Chave privada
MENSAGEM
*$R!??:{
MENSAGEM
Texto
Texto
cifrado
Texto
original
Encriptação
Fonte
Decriptação
Destino
Criptografia Assimétrica
Chave privada
Nesta implementação usuários podem
difundir a chave pública para todos que
queiram enviar mensagens para eles, visto
que apenas com a chave privada será
possível a decriptação.
Chave Pública é distribuída e a Privada
mantida em segredo.
Criptografia Assimétrica
Vantagens e desvantagens
Vantagens
Não
há necessidade de canal seguro na
troca de chaves, pois não há riscos.
Desvantagens
A
performance do sistema cai
demasiadamente se existe uma grande
quantidade de dados para
decriptografar.
Assinatura digital
Mecanismo que pode garantir que uma mensagem
assinada só pode ter sido gerada com
informações privadas do signatário.
O mecanismo de assinatura digital deve:
A) Assegurar que o receptor possa verificar a
identidade declarada pelo transmissor
(assinatura);
B) Assegurar que o transmissor não possa mais
tarde negar a autoria da mensagem
(verificação).
Autenticação dos interlocutores
BOB BUNK
Usuários
e
elementos devem
mostrar credenciais
para comprovar sua
identidade.
Possível
através de
digital certificates e
outros documentos
assinados.
I’m John...
X
ACCESS DENIED
ACCESS GRANTED
I’m John.
PEP’S
COMPANY
JOHN PEP
Funções de uma Autoridade
Certificadora (CA)
Distribuição
de certificados;
Emissão
de assinatura de novos
certificados;
Renegociação
Revogação
de certificados;
de certificados.
CA
Como autenticar uma chave pública?
Certificados
Para emitir o certificado, a CA pode exigir
que o usuário se apresente pessoalmente
junto a alguma de suas instalações e prove
sua identidade através de documentação
apropriada.
* Certificados também podem ser emitidos para
pessoas jurídicas, das quais pode ser exigido
esquema semelhante de comprovação de
identidade.
Como autenticar uma chave pública?
Certificados
CA
Uma vez comprovada a identidade do
usuário, ele fornece sua chave pública à CA
que gera e assina o certificado.
Como autenticar uma chave pública?
Certificados
Um certificado atesta a veracidade de uma chave
pública.
De forma simplificada, o certificado é uma chave
pública assinada por uma Autoridade de
Certificação (CA) que atesta a autenticidade
daquela chave pública como pertencente a uma
determinada pessoa.
CA
Um dos padrões de certificado usualmente
utilizados é definido pela norma ITU-T X.509.
Infraestrutura de rede
Proteção de Redes: Firewall
Conexão
Segura
Firewall - Introdução
Definição
Dispositivo que conecta redes (interna e/ou
externa com vários níveis de direito de acesso).
Implementa e garante política de segurança entre
as redes conectadas.
Corporação
Intranet
Segmento de
Acesso Público
Firewall
Internet
Infraestrutura de rede
Firewall - Conceitos
Sistemas confiáveis que são colocados entre duas
redes;
Política de Segurança define o que passa;
Rede interna é confiável (blue net), nem sempre;
Rede externa é não-confiável (red net).
Firewall -Introdução
Proteção de redes - Firewall
Quando você conecta sua rede à Internet, é de
crítica importância proteger a sua rede contra
intrusão. A forma mais efetiva de proteger o link
com a Internet é colocar um Sistema de Firewall
entre sua rede local e a Internet.
Corporação
Intranet
Segmento de
Acesso Público
Firewall
Internet
Firewall -Introdução
Saiba o que um Firewall não faz:
1) Não protege contra usuários autorizados
maliciosos;
2) Não pode proteger contra conexões que não
passam através dele;
3) Não fornece 100% de proteção contra todos os
THREATS (ataques embutidos no protocolo).
Infraestrutura de rede
Proteção de redes - analogia
Guarda
Firewall
Internet