Segurança da Informação
Tópico 02 e 03
•
•
•
•
•
Conceitos e Princípios da Segurança da Informação.
Arquitetura de Segurança OSI.
Ataques a Segurança.
Mecanismos de Segurança.
Serviços de Segurança.
Prof.Davison Marques
1
Motivação
2
A Internet: Infra-Estrutura
3
A Internet: os Usuários
4
A Internet: Aplicações
5
A Internet: Prestadores de Serviço
Provedores de comunicação: empresas que fornecem
serviços de comunicação de dados.
Provedores de acesso: montam uma rede com grande
capilaridade com o intuito de atingir uma gama enorme
de usuários finais.
Provedores de “backbone”: grandes organizações
oferecendo as suas infra-estruturas de comunicação de
dados como “espinha dorsal” para acesso a Internet.
Provedores de Informação: prestadores de serviço que
se utilizam da Internet para atingir os seus clientes
oferecendo o seu produto.
6
Economia na Internet
O compartilhamento de recursos permite obter uma grande
economia nos sistemas baseados na Internet.
O provedor de informações só precisa se conectar a rede e
oferecer as suas informações a comunidade de usuários da
rede
No caso de uma rede privada, além das funções de provedor de
informação, devem ser feitas também as funções de provedor
de backbone e de provedor de acesso.
Vamos comparar os custos de implementação de um sistema
on-line de acesso a serviços bancários em três casos distintos:
- acesso via agência (sistema tradicional)
- acesso via rede telefônica (home banking, não mais utilizado)
- acesso via Internet (Internet Banking)
7
Economia na Internet
8
Economia na Internet - Custos por Transação
Dados baseados em um estudo da empresa de consultoria Booz-Allen &
Hamilton. Foi definida uma unidade de custo de transação financeira
que
9
leva em conta todos os custos envolvidos na transação.
O Problema da Segurança
10
Ameaças
As informações que circulam na Internet devem passar por
roteadores de terceiros podendo percorrer caminhos
diferentes a cada transação realizada.
Estas informações pode ser facilmente observadas quando
estão em trânsito pela rede (softwares especialistas).
A enorme facilidade de acesso a Internet propicia um
grande número de pessoas com facilidade de acesso, e
consequentemente podendo, em princípio, interferir
negativamente no sistema transacional on-line, (hackers e
crackers)
11
Requisitos de Segurança
•Requisitos de Segurança de Informações tem sido
alterados constantemente, nos tempos atuais.
•Tradicionalmente, são providos por mecanismos
administrativos e físicos.
•Computadores utilizam requisitos automatizados
por ferramentas para proteger arquivos e outras
informações armazenadas.
•O uso de redes e canais de comunicação
requerem medidas para proteger dados durante a
transmissão
12
Definição de Sistema Seguro
13
Computer Security
14
Network Security
15
Internet Security
•Com o implementação da Internet, o problema
da segurança foi levado ainda também para o
domínio da “coleção” de redes de comunicação
de dados interconectadas;
•As medidas para proteger dados durante sua
transmissão sobre a Internet é chamada de
“Network Security”
16
Security
• Não há uma linha divisória muito clara entre os
tipos de segurança.
• Claro é que esses tipos são extremamente
necessários, e um não pode funcionar sem o
outro;
• Qualquer solução de segurança em sistemas
distribuídos deve contemplar estes aspectos com
igualdade de importância.
17
Tendências de Segurança
18
Arquitetura de Segurança OSI
• ITU-T X.800 “Arquitetura de Segurança OSI
• Define uma forma sistemática de definição de requisitos de
segurança, fornecendo uma visão conceitual que será
estudada.
• São considerados 3 aspectos da segurança da informação
– Ataque à segurança
– Mecanismos de segurança
– Serviços de Segurança
19
Ataque à Segurança
Qualquer ação que compromete a segurança das
informações proprietárias de uma organização.
Segurança de informação é sobre como prevenir ataques,
ou na sua impossibilidade, como detectar ataques a
sistemas baseados em informações.
Muitas vezes ameaça e ataque são utilizados com o
mesmo significado.
20
Ataque à Segurança

Passivo
– Interrupção
– Interceptação
– Análise de Tráfego

Ativo
– Mascaramento
– Replay
– Modificação de Mensagem
– Deny of Service (DoS)
21
Ataque à Segurança - Interrupção
22
Ataque à Segurança - Interceptação
23
Ataque à Segurança - Análise de Tráfego
24
Ataque à Segurança - Fabricação
25
Ataque à Segurança - Replay
26
Ataque à Segurança - Modificação da Mensagem
27
Ataque à Segurança - Deny of Service (DoS)
Defesa: aplicação
servidor.
28
de
filtros
no
Mecanismos de Segurança
Mecanismos de Segurança são?
•técnicas;
•procedimentos
•algoritmos
Quando utilizados adequadamente garantem a implementação dos serviços
de segurança de computação ou de comunicação.
Recurso projetado para detectar, prevenir ou recuperar de um ataque de
segurança. Nenhum mecanismo único é capaz de suprir as necessidades
de todos os serviços necessários.
No entanto, grande parte dos mecanismos de segurança em uso, são
supridos por técnicas criptográficas; dessa forma, estas passam a ser
objetos do estudo.
29
Mecanismos de Segurança
• Mecanismos específicos de segurança:
–Podem ser incorporados à camada de protocolo apropriada a fim de
oferecer algum dos serviços de segurança OSI.
• Mecanismos de segurança pervasivos
–Mecanismos que não são específicos a qualquer serviço de segurança
OSI ou camada de protocolo específica.
30
Mecanismos de Segurança - Cifragem
Uso de algoritmos matemáticos para transformar os
dados em um formato que não seja prontamente
decifrável.
A transformação e a subsequente recuperação dos
dados depende de um algoritmo, em conjunto ou não
com chaves de criptografia.
31
Mecanismos de Segurança - Assinatura Digital
Dados anexados de (ou uma transformação
criptográfica de) uma unidade de dados que permite
que um destinatário da unidade de dados comprove a
origem a a integridade da unidade de dados e
proteja-se contra falsificação (por exemplo, pelo
destinatário)
32
Mecanismos de Segurança - Controle de Acesso
Um série de mecanismos que impões direitos de
acesso aos recursos.
• Perfis de usuários
• Grupos de usuários
• Etc
33
Mecanismos de Segurança - Integridade de Dados
Um série de mecanismos utilizados para garantir a
integridade de uma unidade de dados ou fluxo entre
unidades de dados.
34
Mecanismos de Segurança - Autenticação
Um mecanismo com o objetivo
de garantir a
identificação de uma entidade por meio da troca de
informações.
35
Mecanismos de Segurança - Controle de Roteamento
Permite a seleção de determinadas rotas fisicamente
seguras para certos dados e permite mudanças de
roteamento, especialmente quando existe suspeita de
uma brecha de segurança.
36
Mecanismos de Segurança - Certificação
O uso de uma terceira entidade confiável para garantir
certas propriedades de uma troca de dados.
37
Mecanismos de Segurança - Funcionalidade
Confiável
Aquela que é considerada como sendo correta em
relação a alguns critérios (por exemplo, conforme
estabelecida por uma política de segurança)
38
Mecanismos de Segurança - Detecção de Evento
Detecção de eventos relevantes à segurança.
39
Mecanismos de Segurança - Auditoria de Segurança
Dados coletados e potencialmente utilizados para
facilitar uma auditoria de segurança, que é uma
revisão e exame independentes dos registros e
atividades dos sistemas.
40
Mecanismos de Segurança - Recuperação de Segurança
Lida com solicitações de mecanismos, como funções
de tratamento e gerenciamento de eventos, e toma
medidas de recuperação.
41
Serviços de Segurança
– Visam aumentar a segurança de sistemas informáticos e as
transferências de informação de uma organização
–Destinam-se a combater os ataques à segurança, utilizando um ou mais
mecanismos de segurança, por vezes replicando função associadas
usualmente a documentos físicos, tais quais:

Assinaturas, datas; necessidade de proteção contra a
divulgação, alteração e destruição; serem autenticados ou
testemunhados; serem registrados ou licenciados.
42
Serviços de Segurança
•X.800:
“serviço fornecido por uma camada de protocolo
de comunicação de sistemas abertos, o qual
garante segurança adequada para os sistemas
ou dados a serem transferidos. ”
•RFC 2828:
“processo ou serviço de comunicação fornecido
por um sistema para dar um tipo específico de
proteção aos recursos desse sistema.”
43
Serviços de Segurança - Confidencialidade
Garante que as informações armazenadas num
sistema de computação ou transmitidas via rede de
computadores sejam acessadas ou manipuladas
somente pelos usuários devidamente autorizados.
Pode ser:
–
–
–
–
confidencialidade da conexão
confidencialidade sem conexão
confidencialidade por campo selecionado
confidencialidade do fluxo de tráfego
44
Serviços de Segurança - Autenticação
Garante que os participantes de uma comunicação
sejam corretamente identificados, tendo-se certeza
absoluta das identidades dos mesmos. Pode ser:
- autenticação da entidade
- autenticação da origem dos dados
45
Serviços de Segurança - Integridade
Garante que a informação processada ou transmitida chegue
ao seu destino exatamente da mesma forma em que partiu da
origem, ou de quando foi arquivada. Pode ser:
- integridade da conexão com recuperação
- integridade da conexão sem recuperação
- integridade da conexão com campo selecionado
- integridade sem conexão
- integridade sem conexão com campo seletivo
46
Serviços de Segurança - Irretratabilidade
Garante que nem o originador nem o destinatário das
informações possam negar a sua transmissão, recepção ou
posse. Pode ser:
- irretratabilidade de origem
- irretratabilidade de destino
47
Serviços de Segurança - Controle de Acesso
Garante controle total de acesso às informações e
recursos do sistema, permitindo a sua operação
somente por usuários autorizados.
48