Segurança da Informação – SIAula 2

Faculdade PITÁGORAS – 2012Prof. Ramon Pedrosa

ramon.pedrosa@nettype.com.br

Controle de Acesso

• O controle de quem entra e de quem sai de um sistema lógico (no caso de uma conexão) ou mesmo de uma instalação física é um aspecto muito importante da segurança.

• Não basta ter um firewall rodando em servidores, ou no caso de ambientes físicos, um guarda na entrada para obrigar todos os visitantes a se identificarem. É preciso desenvolver uma política de controle de acessos eficiente, para caso haja um incidente, ser possível identificar o seu autor.

• Um controle de acesso tem dois objetivos.

Introdução

Introdução

• O primeiro objetivo desse controle é identificar cada pessoa que tem acesso a determinado recurso e quais não têm. Isso pode ser feito fisicamente (utilizando cartões, por exemplo) ou logicamente (utilizando senhas e outros métodos, que veremos mais à frente).

• Manter um controle das identificações realizadas. Isso permite que caso um problema de segurança ocorra, dá pra ser facilmente identificado através deste controle. Normalmente é feito através de registro eletrônico e logs de acesso.

Controle de Acesso • é o conjunto de mecanismos que

funcionam em conjunto com o objetivo de criar uma arquitetura de segurança para proteger os ativos dos sistemas de informações

• Permite a privacidade das informações de cada usuário e ao mesmo tempo dá amplo acesso aos serviços e informações disponíveis.

- O que faz?

• O controle de acesso (Access Control) define permissões para cada recurso existente em sua rede e em seus sistemas. Cada recurso tem uma ACL(Access Control List), lista de controle de acesso, que diz quem tem permissão de utilizar esse recurso e o que pode fazer com ele.

Como faz:

• Em um ambiente seguro, os seguintes aspectos tem que ser garantidos por meio do controle de acesso:

• Autenticidade - Garante que quem está acessando o recurso realmente é quem ele diz ser.

• Confidenciabilidade - Garante que os dados só serão vistos por quem tem permissão.

• Integridade - Garante que os dados não foram modificados sem autorização.

                                                 

                                  

Metodologias e Sistemas de Controle de Acessos

• Auxiliam na proteção contra ameaças e vulnerabilidades que podem acometer o ambiente

• Permite que a gerencia especifique:– Quais os usuários podem acessar os

sistemas– Os recursos que podem ser acessados– Que operações podem ser realizadas.

• Segregação de funções:– Define elementos de um processo ou função– Divide os elementos entre diferentes

funções– Mínimo privilégio– Limita os usuários a terem acessos somente

aos recursos necessários para que este desempenhe as suas funções

– Controle sobre acesso a dados sensíveis

Metodologias e Sistemas de Controle de Acessos

Ameaças ao Controle de Acesso -Tipos de Controle

• Administrativos:Políticas e Procedimentos, incluindo-se controle sobrepessoal como checagem de antepassado criminal, etc.

• Físicos:Fechaduras, Alarmes, Sistemas de identificação (crachá),

• Lógicos:Firewalls, Antivírus, Serviços de diretório, senhas, etc

Controle administrativo

Verificação de que este usuário é quem diz ser.Existem vários métodos de identificação eautenticação mas os mais tradicionais são:

identificação e autenticação. Alguns sistemas como os Biométricos podem servir

tantopara identificação como para autenticaçãoA Identificação e Autenticação possibilita saberquem deseja acessar determinada informação.

Controle Adm. - Identificação e Autenticação

• Uma vez que o usuário é identificado e autenticado cabe ao sistema analisar cada solicitação feita pelo mesmo para averiguar se ele possui direitos para tal.

• A Este processo damos o nome de Autorização• O usuário é responsável por todas suas ações e

algumas organizações necessitam avaliar o uso individual de recursos de informação.

• Para que isso ocorra é necessário se registrar cada ação feita pelo usuário no sistema, ao que damos o nome de contabilizar.

Autorização e Responsabilidade• autenticação é definitivamente o primeiro passo

na identificação de um usuário em uma rede ou transação eletrônica.

• A autenticação forte é a ação de identificar perante a apresentação de dois ou mais fatores de identificação.

• Fatores de Identificação e Autenticação que podem ser utilizados para garantir a autenticidade de um usuário ao sistema:– Uso de algo que a pessoa conheça;– Uso de alguma coisa que a pessoa possua– Uso de algo que a pessoa é.

Algo que a pessoa conheça

• Senhas parciais e instantâneas que podem ser geradas por dispositivos externos e utilizadas no início da sessão.

• A captura da senha não permite o acesso ao sistema já que ela é alterada ciclicamente, no entanto, se a sessão da rede for capturada o acesso ao dados pode ocorrer.

• A senha muda a cada utilização dificultando sua captura - Exemplo: Tokens geradores de senhas, smart cards, etc.

Controle Adm. - Ferramentas e Tecnologias

• Senhas (Passwords) / Frases secretas conhecida pelo usuário.

• As Senhas devem ser criptografadas usando Hashing de sentido único

• Senhas armazenadas não ficam em texto plano

• Acesso físico limitado ao servidor que armazena as senhas e frases secretas

senhas

• O uso de senhas é um exemplo óbvio de algo que você sabe. Apesar de ser o método de autenticação mais usado e mais antigo, ele contêm uma série de deficiências que não o torna muito confiável.

• O primeiro motivo é que ele se baseia na memória e na capacidade dos usuários;

• o segundo é a falta de imaginação na hora de criar as senhas, tornando-as fracas;

• Terceiro as senhas podem ser roubadas, descobertas e quebradas.

Vantagens x Desvantagens

• baixo custo, podendo ser usado em qualquer tipo de ambiente, sem qualquer necessidade de hardwares especiais.

Senhas fracas e pequenas podem ser descobertas pelo uso de ataques de dicionário e ataques de força bruta ;Podem ser roubadas ou descoberta ("sniffers“)Dificuldade de memorização

Algo que a pessoa possua

• A confirmação da autenticidade do usuário é confirmada através de:

• Características fisiológicas: Impressão digital, retina, íris, etc.

• Características comportamentais: comparação de assinatura, digitação, etc

Cartões

• O uso de cartões magnéticos é um bom exemplo de algo que você tem.Esses sistemas se baseiam no fato de que apenas a pessoa "X" vai possuir o cartão entregue a essa pessoa. Esse método geralmente é aperfeiçoado pelo uso de senhas/PINs em conjunto com os cartões magnéticos.

Vantagens X desvantagens• adiciona uma

camada de proteção a mais do que uso de senhas.

• A maioria dos bancos e lojas utilizam essa tipo de autenticação

podem ser facilmente perdidos ou roubados

é caro e precisa de hardwares especiais para ler os cartões.

Biometria

A biometria é a arte de identificar um indivíduo por meio de alguma característica ÚNICA da pessoa

Algo que a pessoa é

Tipos de recursos de biometria:• Impressão digital• Geometria da mão• Reconhecimento de voz• Leitura da retina/ íris• Dinâmica da assinatura• Geometria facial• Dinâmica de digitação

Vantagens X desvantagens

• identifica e autentica o usuário sem necessitar de cartões ou de memorizar alguma senha

• diminuição dos preços dos dispositivos biométricos

• ela identifica e autentica o usuário em um único passo

requer hardwares especiais para capturar essas informações

hardwares são muito caros (apesar da queda dos preços)

utilizados em ambientes de alta segurança.

O que proteger

• 1 - No sistema de arquivos:dados que vão ser acessados. • 2 - Na rede:o que cada máquina pode acessar na rede.• 3 - Fisicamenteáreas que podem ser acessadas pelos

usuários.

Controle de acesso na rede

• Pode ser feito de várias formas. As principais são através de firewalls e roteadores.

• O controle nesses dispositivos são feitos através do IP, no qual se define quais IP/hosts podem acessar determinados recursos.

• Para tornar esse controle mais seguro, muitos sistemas fazem o controle através do MAC também, que evita os modos mais simples de spoof (forjar o IP).

Sistema de Detecção de Intrusos

• Treinamento e Conscientização de Segurança da Informação

• Testes de Invasão periódicos• Concessão de privilégio mínimo de acesso• Segregação e rotação de função• Procedimentos de recrutamento e desligamento• Auditoria e revisões de segurança• Ferramentas de avaliação de vulnerabilidade de

redes

controle de acesso físico

• O controle de acesso ao ambiente físico é importantíssimo. Sem ele, todas as medidas de segurança "virtuais" seriam um fracasso. Alguns pontos importantes da segurança física são:

• Segurança do ambiente - Feita por muros e cercas.

• Segurança das salas - Cada departamento tem que ser protegido.

• Vigilancia - Todo o ambiente tem que ser vigiado 24hrs (por cameras ou guardas).

• Controle do ambiente - Proteção contra incendios, imundações e outros desastres.

• Disponibilidade - Proteção contra falta de luz, queda de luz e outros problemas elétricos.

• Autenticação - Como os usuários serão autenticados para entrar na empresa. (biometria, chaves, etc).

Modelo de segurança

• 1 - Quem são os usuários e quais recursos ele precisam acessar.

• 2 - Quais são os recursos oferecidos e seus níveis de importância em relação a: - Confiabilidade: Quão confidencial ele é? - Integridade: Quem pode modificá-lo ? - Disponibilidade: Quanto tempo ele tem que ficar disponível ?

• 3 - Como fazer os controles. Se baseado no cargo, por local de trabalho, ou por departamento ?

Access Control List• Tentativas de Intrusão são quaisquer ações com

objetivo de ganhar acesso não autorizado• Auditorias são importantes para se combater

intrusões

e tem como objetivo identificar ocorrências de ataques• Observa logs de trafego e/ou outros dados de

Auditoria• Após coletados todos os dados parte-se para criação

do seu modelo. • Nunca se esqueça de que a melhor prática de

segurança é a do "menor privilégio”

Segurança Física

• O objetivo da segurança física é fornecer um ambiente seguro para todos os recursos e interesses da organização, incluindo sistemas de informação.

• A segurança física fornece a proteção para o edifício, outras estruturas;

Tipos de Ameaças

• As ameaças físicas podem ser agrupadas nos seguintes tipos de eventos:

• – Naturais/ambientais (terremotos, inundações, tempestades, etc)

• – Sistemas de suporte (Apagão , panes de comunicação, refrigeração, etc)

• – Causados pelo homem (explosões, erros,vandalismo) e políticos (terrorismo, bombardeio, motins) sabotagem;

Ambiente de Proteção da Informação

• Perímetro

• Terreno do Edifício

• Entrada do Edifício

• Piso / Corredores de Acesso aos Andares

• Escritórios / Data Centers /

• Mídias, recursos, etc.

Ambiente de Proteção da Informação

• Perímetro• – Área que cerca o edifício. Pode incluir passeios e

calçadas, estradas, e área que circundam as terras do edifício.

• Terreno do Edifício• – Barreiras físicas e a área que cerca o edifício dentro

do perímetro, Entrada do Edifício;• – Pontos de entrada (portas e janelas), telhado e

escadas de incêndio• bem como outras entradas não comuns

Desenho do Ambiente – Estratégias de Prevenção

• Territoriedade• – Proteção do território pelos próprios responsáveis.• – Uso dos atributos físicos que expressam a posse, tal

como cercas, os sinais, o pavimentações, ajardinamento.

• – Identificar intrusos é muito mais fácil em um espaço definido.

• Vigilância – É a ferramenta principal na proteção de um espaço. Circuito de TV, patrulhas da segurança, iluminação e o ajardinamento são usados frequentemente como controles de movimentação.

Desenho do Ambiente – Estratégias de Prevenção

• Controle de Acesso

• – Localização apropriada de entradas, saídas,cercas, etc., controles do fluxo e acesso são formas de dissuadir ações criminosas.

Sistemas de Suporte a Infra-estrutura

• Controle de sistemas Suporte• Ar condicionado - Os sistemas de

sustentação da infra-estrutura incluem a fonte de suprimento, tubulações, exaustão, ventilação, o sistema de ar refrigerado (HVAC - heating, ventilation and air conditioning ).

• Uma falha ou um desempenho abaixo dos padrões esperados desses sistemas suporte podem interromper a operação e causar os danos físicos ao sistema ou aos dados armazenados.

Sistemas de Suporte a Infra-estrutura

• Energia Elétrica - As vulnerabilidades incluem a perda total de energia (blackouts) ou da degradação na qualidade de energia, situação em que a energia fornecida esta abaixo ou acima do padrão de fornecimento (brownout, sag, spike, surge, transient).

• A maneira pela qual um sistema de energia elétrica é configurado, mantido dentro dos padrões, bem como monitorado e controlado, são os principais pontos críticos para a sua efetiva disponibilidade.

Sistemas de Suporte a Infra-estrutura

• Interferências (ou ruído) - São distúrbios aleatórios que interferem com a operação dos dispositivos de uma ambiente. Estes podem causar erros na operação de programas ou no processamento dos dados.

• Interferência Eletromagnética (IEM): é definido como a interferência em um circuito, por exemplo, distúrbio em um monitor do computador causado pela radiação de um campo elétrico ou magnético externo.

Sistemas de Suporte a Infra-estrutura

• Umidade/vazamentos - Danos causados por vazamento / infiltração ou a condensação podem causar os danos aos recursos de sistema da informação.

• As fontes comuns de problemas da água são tubulações quebradas, sistemas de supressão de fogo e instalação imprópria dos sistemas de ar condicionado, dos refrigeradores ou dos condensadores.

Sistemas de Suporte a Infra-estrutura

• Classes de Fogo

• – Tipo A: Comum / Combustível (uso de água /Soda Acida)

• – Tipo B: Líquido (CO2/Soda Acida/Halon

• – Tipo C: Elétrico (CO2/Halon)

• Detecção de Fogo

• – Manual

• – Ótico (Photoelectric-Smoke Blocking Light)

• – Temperatura

• – Ionização (Reação a partículas de fumaça)

Sistemas de Suporte a Infra-estrutura

• Halon

• – A melhor proteção para equipamentos, Necessita de áreas especiais para o equipamento (Cabinets/ Vaults), Usado em forros e piso elevado, Concentrações <10% são seguras;

Sistemas de Suporte a Infra-estrutura

• Outras Considerações

• – Treinamento / Brigadas

• – Simulações conforme Padrões Nacionais da

• Associação da Prevenção ao Fogo (NFPA)

• – Códigos e sinalização

• – Drenagem

Centro de Processamento de Dados

1

2

3

4

Recepção

Atendimento ao Cliente

Porta

Porta com equipamentopara digitação de senha

Painel com senha de acesso

Acesso via Biometria

CPD

Porta e Recepcionista Suporte

Operacional

Dúvidas

• Ramon Pedrosa

ramon.pedrosa@nettype.com.br

www.nettype.com.br

FIM