Segurança da Informação – SI
Aula 2
Controle de Acesso
Faculdade PITÁGORAS – 2012
Prof. Ramon Pedrosa
[email protected]
Introdução
•
O controle de quem entra e de quem sai de um
sistema lógico (no caso de uma conexão) ou mesmo de
uma instalação física é um aspecto muito importante da
segurança.
•
Não basta ter um firewall rodando em servidores, ou
no caso de ambientes físicos, um guarda na entrada para
obrigar todos os visitantes a se identificarem. É preciso
desenvolver uma política de controle de acessos eficiente,
para caso haja um incidente, ser possível identificar o
seu autor.
•
Um controle de acesso tem dois objetivos.
Introdução
•
O primeiro objetivo desse controle é identificar
cada pessoa que tem acesso a determinado recurso e
quais não têm. Isso pode ser feito fisicamente (utilizando
cartões, por exemplo) ou logicamente (utilizando senhas e
outros métodos, que veremos mais à frente).
•
Manter um controle das identificações realizadas.
Isso permite que caso um problema de segurança ocorra,
dá pra ser facilmente identificado através deste controle.
Normalmente é feito através de registro eletrônico e logs
de acesso.
Controle de Acesso
• é o conjunto de mecanismos que
funcionam em conjunto com o objetivo de
criar uma arquitetura de segurança para
proteger os ativos dos sistemas de
informações
• Permite a privacidade das informações
de cada usuário e ao mesmo tempo dá
amplo acesso aos serviços e
informações disponíveis.
- O que faz?
• O controle de acesso (Access Control)
define permissões para cada recurso
existente
em sua rede e em seus sistemas. Cada
recurso tem uma ACL(Access Control
List),
lista de controle de acesso, que diz quem
tem permissão de utilizar esse recurso e o
que
pode fazer com ele.
Como faz:
• Em um ambiente seguro, os seguintes aspectos tem que
ser garantidos por meio do controle de acesso:
• Autenticidade - Garante que quem está acessando o
recurso realmente é quem ele diz ser.
• Confidenciabilidade - Garante que os dados só serão
vistos por quem tem permissão.
• Integridade - Garante que os dados não foram
modificados sem autorização.
Metodologias e Sistemas de
Controle de Acessos
• Auxiliam na proteção contra ameaças e
vulnerabilidades que podem acometer o
ambiente
• Permite que a gerencia especifique:
– Quais os usuários podem acessar os
sistemas
– Os recursos que podem ser acessados
– Que operações podem ser realizadas.
Metodologias e Sistemas de
Controle de Acessos
• Segregação de funções:
– Define elementos de um processo ou função
– Divide os elementos entre diferentes
funções
– Mínimo privilégio
– Limita os usuários a terem acessos somente
aos recursos necessários para que este
desempenhe as suas funções
– Controle sobre acesso a dados sensíveis
Ameaças ao Controle de Acesso
-Tipos de Controle
• Administrativos:
Políticas e Procedimentos, incluindo-se controle
sobre
pessoal como checagem de antepassado
criminal, etc.
• Físicos:
Fechaduras, Alarmes, Sistemas de identificação
(crachá),
• Lógicos:
Firewalls, Antivírus, Serviços de diretório,
senhas, etc
Controle administrativo
Verificação de que este usuário é quem diz ser.
Existem vários métodos de identificação e
autenticação mas os mais tradicionais são:
identificação e autenticação.
Alguns sistemas como os Biométricos podem servir
tanto
para identificação como para autenticação
A Identificação e Autenticação possibilita saber
quem deseja acessar determinada informação.
Controle Adm. - Identificação e
Autenticação
• Uma vez que o usuário é identificado e
autenticado cabe ao sistema analisar cada
solicitação feita pelo mesmo para averiguar se
ele possui direitos para tal.
• A Este processo damos o nome de Autorização
• O usuário é responsável por todas suas ações e
algumas organizações necessitam avaliar o uso
individual de recursos de informação.
• Para que isso ocorra é necessário se registrar
cada ação feita pelo usuário no sistema, ao que
damos o nome de contabilizar.
Autorização e Responsabilidade
• autenticação é definitivamente o primeiro passo
na identificação de um usuário em uma rede ou
transação eletrônica.
• A autenticação forte é a ação de identificar
perante a apresentação de dois ou mais fatores
de identificação.
• Fatores de Identificação e Autenticação que
podem ser utilizados para garantir a
autenticidade de um usuário ao sistema:
– Uso de algo que a pessoa conheça;
– Uso de alguma coisa que a pessoa
possua
– Uso de algo que a pessoa é.
Algo que a pessoa conheça
• Senhas parciais e instantâneas que podem ser
geradas por dispositivos externos e utilizadas no
início da sessão.
• A captura da senha não permite o acesso ao
sistema já que ela é alterada ciclicamente, no
entanto, se a sessão da rede for capturada o
acesso ao dados pode ocorrer.
• A senha muda a cada utilização dificultando sua
captura - Exemplo: Tokens geradores de
senhas, smart cards, etc.
Controle Adm. - Ferramentas e
Tecnologias
• Senhas (Passwords) / Frases secretas
conhecida pelo usuário.
• As Senhas devem ser criptografadas
usando Hashing de sentido único
• Senhas armazenadas não ficam em texto
plano
• Acesso físico limitado ao servidor que
armazena as senhas e frases secretas
senhas
• O uso de senhas é um exemplo óbvio de algo
que você sabe. Apesar de ser o método de
autenticação mais usado e mais antigo, ele
contêm uma série de deficiências que não o
torna muito confiável.
• O primeiro motivo é que ele se baseia na
memória e na capacidade dos usuários;
• o segundo é a falta de imaginação na hora de
criar as senhas, tornando-as fracas;
• Terceiro as senhas podem ser roubadas,
descobertas e quebradas.
Vantagens x Desvantagens
• baixo custo,
podendo ser
usado em
qualquer
tipo de ambiente,
sem qualquer
necessidade de
hardwares
especiais.
Senhas fracas e
pequenas podem ser
descobertas pelo uso
de ataques de
dicionário e ataques de
força bruta ;
Podem ser roubadas ou
descoberta ("sniffers“)
Dificuldade de
memorização
Algo que a pessoa possua
• A confirmação da autenticidade do usuário
é confirmada através de:
• Características fisiológicas: Impressão
digital, retina, íris, etc.
• Características comportamentais:
comparação de assinatura, digitação, etc
Cartões
• O uso de cartões magnéticos é um bom
exemplo de algo que você tem.
Esses sistemas se baseiam no fato de
que apenas a pessoa "X" vai possuir
o cartão entregue a essa pessoa. Esse
método geralmente é aperfeiçoado pelo
uso
de senhas/PINs em conjunto com os
cartões magnéticos.
Vantagens X desvantagens
• adiciona uma
camada de
proteção a
mais do que
uso de
senhas.
• A maioria dos
bancos e lojas
utilizam essa
tipo de
autenticação


podem ser
facilmente
perdidos ou
roubados
é caro e precisa
de hardwares
especiais
para ler os
cartões.
Biometria
A biometria é a arte de identificar um
indivíduo por meio de alguma
característica ÚNICA da pessoa
Algo que a pessoa é
Tipos de recursos de biometria:
• Impressão digital
• Geometria da mão
• Reconhecimento de voz
• Leitura da retina/ íris
• Dinâmica da assinatura
• Geometria facial
• Dinâmica de digitação
Vantagens X desvantagens
• identifica e
autentica o usuário
sem necessitar
de cartões ou de
memorizar alguma
senha
• diminuição dos
preços dos
dispositivos
biométricos
• ela identifica e
autentica o usuário
em um único passo



requer hardwares
especiais para
capturar essas
informações
hardwares são
muito
caros (apesar da
queda dos preços)
utilizados em
ambientes de alta
segurança.
O que proteger
• 1 - No sistema de arquivos:
dados que vão ser acessados.
• 2 - Na rede:
o que cada máquina pode acessar na rede.
• 3 - Fisicamente
áreas que podem ser acessadas pelos
usuários.
Controle de acesso na rede
• Pode ser feito de várias formas. As principais
são através de firewalls e roteadores.
• O controle nesses dispositivos são feitos
através do IP, no qual se define quais IP/hosts
podem
acessar determinados recursos.
• Para tornar esse controle mais seguro, muitos
sistemas fazem o controle através do MAC
também, que evita os modos mais simples de
spoof (forjar o IP).
Sistema de Detecção de
Intrusos
• Treinamento e Conscientização de
Segurança da Informação
• Testes de Invasão periódicos
• Concessão de privilégio mínimo de acesso
• Segregação e rotação de função
• Procedimentos de recrutamento e desligamento
• Auditoria e revisões de segurança
• Ferramentas de avaliação de vulnerabilidade
de redes
controle de acesso físico
• O controle de acesso ao ambiente físico é
importantíssimo. Sem ele, todas as medidas
de segurança "virtuais" seriam um fracasso.
Alguns pontos importantes da segurança física
são:
• Segurança do ambiente - Feita por muros e
cercas.
• Segurança das salas - Cada departamento tem
que ser protegido.
• Vigilancia - Todo o ambiente tem que ser vigiado 24hrs
(por cameras ou guardas).
• Controle do ambiente - Proteção contra incendios,
imundações e outros desastres.
• Disponibilidade - Proteção contra falta de luz, queda de
luz e outros problemas elétricos.
• Autenticação - Como os usuários serão autenticados
para entrar na empresa. (biometria, chaves, etc).
Modelo de segurança
• 1 - Quem são os usuários e quais recursos ele
precisam acessar.
• 2 - Quais são os recursos oferecidos e seus
níveis de importância em relação a:
- Confiabilidade: Quão confidencial ele é?
- Integridade: Quem pode modificá-lo ?
- Disponibilidade: Quanto tempo ele tem que
ficar disponível ?
• 3 - Como fazer os controles. Se baseado no
cargo, por local de trabalho, ou por
departamento ?
Access Control List
• Tentativas de Intrusão são quaisquer ações
com objetivo de ganhar acesso não autorizado
• Auditorias são importantes para se combater
intrusões
e tem como objetivo identificar ocorrências de
ataques
• Observa logs de trafego e/ou outros dados de
Auditoria
• Após coletados todos os dados parte-se para
criação do seu modelo.
• Nunca se esqueça de que a melhor prática de
segurança é a do "menor privilégio”
Segurança Física
• O objetivo da segurança física é fornecer
um ambiente seguro para todos os
recursos e interesses da organização,
incluindo sistemas de informação.
• A segurança física fornece a proteção
para o edifício, outras estruturas;
Tipos de Ameaças
• As ameaças físicas podem ser agrupadas nos
seguintes tipos de eventos:
• – Naturais/ambientais (terremotos, inundações,
tempestades, etc)
• – Sistemas de suporte (Apagão , panes de
comunicação, refrigeração, etc)
• – Causados pelo homem (explosões,
erros,vandalismo) e políticos (terrorismo,
bombardeio, motins) sabotagem;
Ambiente de Proteção da Informação
•
•
•
•
•
•
Perímetro
Terreno do Edifício
Entrada do Edifício
Piso / Corredores de Acesso aos Andares
Escritórios / Data Centers /
Mídias, recursos, etc.
Ambiente de Proteção da Informação
• Perímetro
• – Área que cerca o edifício. Pode incluir passeios e
calçadas, estradas, e área que circundam as terras do
edifício.
• Terreno do Edifício
• – Barreiras físicas e a área que cerca o edifício dentro
do perímetro, Entrada do Edifício;
• – Pontos de entrada (portas e janelas), telhado e
escadas de incêndio
• bem como outras entradas não comuns
Desenho do Ambiente – Estratégias
de Prevenção
• Territoriedade
• – Proteção do território pelos próprios responsáveis.
• – Uso dos atributos físicos que expressam a posse,
tal como cercas, os sinais, o pavimentações,
ajardinamento.
• – Identificar intrusos é muito mais fácil em um
espaço definido.
• Vigilância – É a ferramenta principal na proteção
de um espaço. Circuito de TV, patrulhas da
segurança, iluminação e o ajardinamento são
usados frequentemente como controles de
Desenho do Ambiente – Estratégias de
Prevenção
• Controle de Acesso
• – Localização apropriada de entradas,
saídas,cercas, etc., controles do fluxo e
acesso são formas de dissuadir ações
criminosas.
Sistemas de Suporte a Infra-estrutura
• Controle de sistemas Suporte
• Ar condicionado - Os sistemas de
sustentação da infra-estrutura incluem a
fonte de suprimento, tubulações, exaustão,
ventilação, o sistema de ar refrigerado
(HVAC - heating, ventilation and air
conditioning ).
• Uma falha ou um desempenho abaixo dos
padrões esperados desses sistemas
suporte podem interromper a operação e
Sistemas de Suporte a Infra-estrutura
• Energia Elétrica - As vulnerabilidades incluem a
perda total de energia (blackouts) ou da
degradação na qualidade de energia, situação em
que a energia fornecida esta abaixo ou acima do
padrão de fornecimento (brownout, sag, spike,
surge, transient).
• A maneira pela qual um sistema de energia
elétrica é configurado, mantido dentro dos
padrões, bem como monitorado e controlado, são
os principais pontos críticos para a sua efetiva
disponibilidade.
Sistemas de Suporte a Infra-estrutura
• Interferências (ou ruído) - São distúrbios
aleatórios que interferem com a operação dos
dispositivos de uma ambiente. Estes podem
causar erros na operação de programas ou
no processamento dos dados.
• Interferência Eletromagnética (IEM): é
definido como a interferência em um circuito,
por exemplo, distúrbio em um monitor do
computador causado pela radiação de um
campo elétrico ou magnético externo.
Sistemas de Suporte a Infra-estrutura
• Umidade/vazamentos - Danos causados
por vazamento / infiltração ou a condensação
podem causar os danos aos recursos de
sistema da informação.
• As fontes comuns de problemas da água são
tubulações quebradas, sistemas de
supressão de fogo e instalação imprópria dos
sistemas de ar condicionado, dos
refrigeradores ou dos condensadores.
Sistemas de Suporte a Infra-estrutura
• Classes de Fogo
• – Tipo A: Comum / Combustível (uso de
água /Soda Acida)
• – Tipo B: Líquido (CO2/Soda Acida/Halon
• – Tipo C: Elétrico (CO2/Halon)
• Detecção de Fogo
• – Manual
• – Ótico (Photoelectric-Smoke Blocking
Light)
Sistemas de Suporte a Infra-estrutura
• Halon
• – A melhor proteção para
equipamentos, Necessita de áreas
especiais para o equipamento
(Cabinets/ Vaults), Usado em forros
e piso elevado, Concentrações
<10% são seguras;
Sistemas de Suporte a Infra-estrutura
• Outras Considerações
• – Treinamento / Brigadas
• – Simulações conforme Padrões
Nacionais da
• Associação da Prevenção ao Fogo
(NFPA)
• – Códigos e sinalização
• – Drenagem
Centro de Processamento de Dados
1
Recepç
ão
Porta e
Recepcionista
Suporte
Operacio
nal
2
Porta com
equipamento
para digitação
de senha
Porta
Atendimento ao
Cliente
3
4
Painel com
senha de
acesso
Acesso via
Biometria
CP
D
Dúvidas
• Ramon Pedrosa
[email protected]
www.nettype.com.br
FIM
Download
  1. No category

Capturar

Mudanças Vitais para a Segurança da Informação

Mudanças Vitais para a Segurança da Informação

segurança digital ( 1.47 MB )

segurança digital ( 1.47 MB )

EN-3611 Segurança de Redes Autenticação e Controle de Acesso

EN-3611 Segurança de Redes Autenticação e Controle de Acesso

3.1 Autenticação Classe FIA

3.1 Autenticação Classe FIA

Fasciculo Computadores - Cartilha de Segurança para Internet 4.0

Fasciculo Computadores - Cartilha de Segurança para Internet 4.0

Ansanello / 15

Ansanello / 15

Sistemas de Informações Gerenciais Unidade Didática 10:

Sistemas de Informações Gerenciais Unidade Didática 10:

Normas para Segurança da Informação

Normas para Segurança da Informação

Autenticação por textura orientada

Autenticação por textura orientada

Política da Segurança de Informação

Política da Segurança de Informação

arquivo power point

arquivo power point

seguranca - dnakazimabh.com.br

seguranca - dnakazimabh.com.br

Araujo-Bassan

Araujo-Bassan

SLIDE APRESENTAÇÃO

SLIDE APRESENTAÇÃO

Cuidado com esses vírus - Zimbra Web Client Log In

Cuidado com esses vírus - Zimbra Web Client Log In

Apresentacao Equipe Clickideia Coordenações

Apresentacao Equipe Clickideia Coordenações

2.1-Autenticacao

2.1-Autenticacao

Slides PowerPoint - Cartilha de Segurança para Internet

Slides PowerPoint - Cartilha de Segurança para Internet

Aula 06

Aula 06

Segurança II

Segurança II

Slides PowerPoint

Slides PowerPoint

Apresentacao_final - Instituto de Computação

Apresentacao_final - Instituto de Computação