Autenticação e controlo de acessos

254 visualizações

Publicada em

Apresentação sobre Segurança, especificamente em autenticação e controlo de acessos em sistemas de informação.

Publicada em: Tecnologia
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
254
No SlideShare
0
A partir de incorporações
0
Número de incorporações
7
Ações
Compartilhamentos
0
Downloads
12
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Autenticação e controlo de acessos

  1. 1. Luis Batista Autenticação e Controlo de Acessos Redes e Serviços de ComunicaçõesMóveis
  2. 2. Luis Batista Autenticação Redes e Serviços de ComunicaçõesMóveis
  3. 3. Agenda Autenticação Factores de autenticação Mecanismos de acesso Protocolos Luis Batista Redes e Serviços de ComunicaçõesMóveis
  4. 4. Autenticação Do grego Αυθεντικός Αυθεν + τικός Autor + real É o acto de confirmar que alguém (ou algo) é realmente essa pessoa e não outra a fazer-se passar por ela. Luis Batista Redes e Serviços de ComunicaçõesMóveis
  5. 5. Autenticação Em segurança da informação Autenticação é o processo que visa verificar a identidade de um utilizador de um sistema digital no momento em que este requisita o acesso. Luis Batista Redes e Serviços de ComunicaçõesMóveis
  6. 6. Factores de autenticação Os factores de autenticação para humanos são normalmente classificados em três casos. SYH SYK SYA Luis Batista Redes e Serviços de ComunicaçõesMóveis
  7. 7. Algo que se sabe Luis Batista Redes e Serviços de ComunicaçõesMóveis As mais utilizadas Pode ser observada ou “escutada” de várias formas
  8. 8. Algo que se tem Luis Batista Redes e Serviços de ComunicaçõesMóveis É a menos segura Sujeita a roubos ou duplicações
  9. 9. Algo que se é Luis Batista Redes e Serviços de ComunicaçõesMóveis A menos utilizada Muita tolerância - autenticação de impostor Pouca tolerância - rejeição de utilizador válido
  10. 10. One time password É uma senha de acesso temporária de uma única utilização O próprio utilizador não conhece a senha É aleatória e gerada no momento Possui uma função hash (por norma o MD4) Luis Batista Redes e Serviços de ComunicaçõesMóveis
  11. 11. Autenticação de 2 passos Luis Batista Redes e Serviços de ComunicaçõesMóveis
  12. 12. Mecanismos de acesso Baseados no conhecimento identificação e senha Baseados na propriedade identificação, senha e token Baseados na característica digital Luis Batista Redes e Serviços de ComunicaçõesMóveis
  13. 13. Mecanismos baseados no conhecimento Implementação de mecanismos – Os caracteres indevidos são removidos, para evitar ataques como os de injecção de SQL – Verifica se a variável id está preenchida – Valida os formulários, de acordo com as regras definidas – Não permite que as variáveis de identificação e senha estejam em branco Luis Batista Redes e Serviços de ComunicaçõesMóveis
  14. 14. Mecanismos baseados no conhecimento – A senha é criptografada – Verifica se o utilizador existe na BD e se a senha introduzida corresponde ao utilizador. Se a senha estiver correcta, a aplicação lista os privilégios deste e salva as informações em variáveis de sessão – Permite o acesso e faz o reencaminhamento para o sistema Luis Batista Redes e Serviços de ComunicaçõesMóveis
  15. 15. Mecanismos baseados na propriedade – Utiliza um token, para além do id e senha – Durante o autenticação do utilizador, são registados na BD os tokens de acessso – Estes tokens são gerados aleatóriamente – No painel de acesso são solicitados o id, senha e o token – Se a verificação for correta, o acesso é dado ao utilizador Luis Batista Redes e Serviços de ComunicaçõesMóveis
  16. 16. Mecanismos baseados na característica Implementação de mecanismos – Cada utilizador tem uma ou mais “imagens” registadas na BD – Requer uso de hardware específico para a leitura da imagem – Requer o uso de software para fazer a comparação com a imagem registada na BD – Caso haja confirmação digital, o acesso ao sistema é dado Luis Batista Redes e Serviços de ComunicaçõesMóveis
  17. 17. Protecção A protecção da autenticação depende da comunicação segura do armazenamento de dados – Todas as comunicação devem estar encriptadas através da utilização do protocolo SSL – O protocolo de segurança deve ser o mesmo em todas as partes autenticadas – Os dados armazenados estão encriptados e/ou em hash Luis Batista Redes e Serviços de ComunicaçõesMóveis
  18. 18. Protocolos Utilizam mecanismos de password para autenticar utilizadores – Point-to-Point Protocol (PPP) – RADIUS – Kerberos – TACACS+ – Diameter Luis Batista Redes e Serviços de ComunicaçõesMóveis
  19. 19. Autenticação - Protocolos Point-to-Point Protocol - mecanismos PAP (Password Authentication Protocol) Não encripta passwords Mais simples na implementação CHAP (Challenge Handshake Authentication Protocol) EAP (Extensible Authentication Protocol). PAP e CHAP são os mais implementados EAP é o mais robusto (PEAP – Protected EAP : Microsoft, Cisco e RSA Security) Redes e Serviços de Comunicações MóveisLuis Batista
  20. 20. CHAP Challenge Handshake Authentication Protocol (CHAP) Luis Batista Redes e Serviços de ComunicaçõesMóveis
  21. 21. EAP - Versões Sistema de autenticação universal usado nas redes wireless e redes ponto-a-ponto Luis Batista Redes e Serviços de ComunicaçõesMóveis – LEAP - Lightweight Extensible Authentication Protocol (Cisco) – EAP-TLS (o mais usado) – EAP-MD5 – PEAP
  22. 22. AAA Autenticação, Autorização e Auditoria - Permite a um utilizador ou PC aceder à rede e usar os seus recursos – Autenticação – o utilizador com quem comunico é autentico – Autorização – o que o que utilizador pode fazer – Auditoria – o que o utilizador faz Luis Batista Redes e Serviços de ComunicaçõesMóveis
  23. 23. AAA É usado em cenários onde um servidor de acesso à rede (NAS) ou um servidor de acesso remoto (RAS) age como um switch, garantindo desta forma o acesso à rede ao utilizador. Luis Batista Redes e Serviços de ComunicaçõesMóveis
  24. 24. AAA - Protocolos *RADIUS (Remote Authentication Dial In User Service) *TACACS+ Diameter *RADIUS e TACACS+ não definem a quem é dado o acesso nem o que o utilizador pode ou não fazer. Apenas servem para transporte da informação entre o cliente e o servidor de autenticação. As polítcas de acesso podem ser configuradas pelo SGBD. Luis Batista Redes e Serviços de ComunicaçõesMóveis
  25. 25. RADIUS O servidor frontend envia a informação do utilizador através de credenciais para o servidor RADIUS (backend) com pacotes RADIUS. Acessos e privilégios são implementddos pelo servidor RADIUS ou pelas políticas de base de dados. Luis Batista Redes e Serviços de ComunicaçõesMóveis
  26. 26. RADIUS 1º servidor – proxy 2º servidor – autenticação 3º servidor (opcional) – concurrência Luis Batista Redes e Serviços de ComunicaçõesMóveis
  27. 27. RADIUS A transacção começa normalmente com um pedido de acesso carregando as credenciais do utilizador, seguindo de uma resposta do servidor com a permissão ou negação de acesso. Luis Batista Redes e Serviços de ComunicaçõesMóveis
  28. 28. RADIUS Durante a sessão são trancsacionado pedidos de auditoria que monitorizam o tempo de sessão, fim da sessão, etc. Luis Batista Redes e Serviços de ComunicaçõesMóveis
  29. 29. RADIUS Uso comercial Luis Batista Redes e Serviços de ComunicaçõesMóveis
  30. 30. Kerberos Luis Batista Redes e Serviços de ComunicaçõesMóveis Servidor de autenticação (Authentication Server ou Trusted Third Party) Verifica a identidade de utilizadores e serviços – utilizando chaves secretas e o algoritmo de encriptação DES Desenvolvido MIT para uso interno Considera a existência de dois servidores de autenticação Autenticação inicial dos agentes e obtenção das credenciais (tickets) Separa a autenticação dos clientes da obtenção de credenciais
  31. 31. Kerberos Luis Batista Redes e Serviços de ComunicaçõesMóveis
  32. 32. Luis Batista Controlo de Acessos Redes e Serviços de ComunicaçõesMóveis
  33. 33. Agenda Controlo de acessos Firewalls IDS - Intrusion Detection System IPS - Intrusion Prevention System Luis Batista Redes e Serviços de ComunicaçõesMóveis
  34. 34. Controlo de Acessos Pode-se comparar o controlo de acessos de um sistema de informação a uma empresa. LAN – Empresa Empresa: Escritórios – ambiente de trabalho Salas de arquivo – servidores Corredores – routers Sala de espera - DMZ (zona desmilitarizada) Luis Batista Redes e Serviços de ComunicaçõesMóveis
  35. 35. Firewalls Barreiras interpostas entre a rede privada e a rede externa Existem em equipamentos ou aplicações Objectivo evitar ataques (vírus, hackers) monitorizar e filtrar todo o tráfego que fluí entre duas redes bloquear completamente certos tipos de tráfego localizados estrategicamente (onde?) Redes e Serviços de Comunicações MóveisLuis Batista
  36. 36. Firewalls - implementação Considerações a ter em conta na implementação da firewall de onde será originada uma ameaça sistema e porque razões? não pensar que firewall = segurança (porquê?) Redes e Serviços de Comunicações MóveisLuis Batista
  37. 37. Firewalls - implementação + considerações - revisão de políticas determinar o que se quer proteger e qual a sua importância determinar como ocorrerão as comunicações na firewall onde deve ser colocado como configurá-lo número de firewalls o esquema da ligação manutenção após a ligação Redes e Serviços de Comunicações MóveisLuis Batista
  38. 38. Firewalls - auditoria + considerações - auditoria (análise de logs) em caso de “perseguição” (keyloggers) disponibilização de logs equipe e protocolo – aptos a actuar Redes e Serviços de Comunicações MóveisLuis Batista
  39. 39. Firewalls + considerações aplicação de filtros sujeito a vírus – integração com antivírus outros motivos e a performance? suporte para autenticação suporte para alterar passwords, mover bases de dados, executar scripts para manipulação da base de dados, etc acessos remotos (ligações para o interior) será ou não preferível optar por uma VPN? revisão da arquitectura Redes e Serviços de Comunicações MóveisLuis Batista
  40. 40. Firewalls - arquitectura Arquitectura baseada num router e firewall Uma das mais comuns Internet Firewall Intranet Servidor WWW Servidor FTP Servidor SMTP DMZ Router Switch Redes e Serviços de Comunicações MóveisLuis Batista
  41. 41. Firewalls - tipos Packet filtering método mais básico (integrados nos routers) trabalha com os valores transportados em cada pacote TCP/IP (end IP e porta origem/destino) simples de criar não é suficiente Redes e Serviços de Comunicações Móveis Application proxy Stateful Inspection Luis Batista
  42. 42. Firewalls – Packet Filtering Sites totalmente bloqueados não podem ser acedidos pelos utilizadores da rede segura Complexidade de manutenção introdução manual processo que se torna dificil de gerir Redes e Serviços de Comunicações MóveisLuis Batista
  43. 43. Firewalls – Aplication Proxy Trabalha com os valores transportados em cada pacote TCP/IP e porta origem/destino) São intermediários Requerem autenticação (recorre à criptografia e passwords) Capazes de rejeitar pacotes com determinadas extenções (exe, zip) Excelentes níveis de segurança e controlo de acesso Podem providenciar um elevado nível de protecção contra ataques do tipo Deniel of Service (DoS) Redes e Serviços de Comunicações MóveisLuis Batista
  44. 44. Firewalls - Aplication Proxy Desvantagens Requerem grandes quantidades de recursos do computador Ocorrência de eventuais paragens ou diminuições de velocidades na rede Mais complexos em termos de configuração e manutenção Nem todas as aplicações têm proxies disponíveis Redes e Serviços de Comunicações MóveisLuis Batista
  45. 45. Firewalls – soluções híbridas São as melhores abordagens Vantangens Combinam vários métodos de protecção, por exemplo, a combinação entre packet filter e stateful inspection Fornece funções de segurança a um elevado número de destinatários O stateful inspection juntamente com os proxies combinam o desempenho e as vantagens das políticas de segurança do stateful inspection com o elevado nível de resistência a DoS do proxy Redes e Serviços de Comunicações MóveisLuis Batista
  46. 46. Firewalls – soluções híbridas Desvantagens Compra de software e/ou hardware adicional Não há incorporações com outro dispositivo de rede existente Redes e Serviços de Comunicações MóveisLuis Batista
  47. 47. Variam – boas para um site, más para outros “KISS - Keep it simple, stupid” ” Flexíbilidade e de fácil manutenção Suporte às políticas de segurança definidas para a rede Sem impor restrições Firewalls – características desejáveis Redes e Serviços de Comunicações MóveisLuis Batista
  48. 48. Controlo de acesso a serviços Negação ou permissão Filtro de tráfego Negação ou permissão de acesso a serviços oferecidos por servidores específicos endereços IP, tipos de protocolos, portas e interfaces Suporte à autenticação Firewalls – características desejáveis Redes e Serviços de Comunicações MóveisLuis Batista
  49. 49. Suporte de características de proxy para os principais serviços HTTP, SMTP, FTP Permitir o acesso a servidores públicos Não comprometendo a segurança das zonas não privadas da rede Redes e Serviços de Comunicações Móveis Firewalls – características desejáveis Luis Batista
  50. 50. Logs do tráfego Acessos e tentativas de acesso Disponibilização de ferramentas para uma fácil análise dos logs Suporte técnico Patchs e resolução de problemas e bugs Interface de configuração e administração amigável e flexível Redes e Serviços de Comunicações Móveis Firewalls – características desejáveis Luis Batista
  51. 51. IDS - Intrusion Detection Systems Tem vindo a ganhar interesse devido ao grande crescimento do número de intrusões Necessidade de monitorização tentativas de ataque falhas da rede calcular precisamente a extensão dos estragos Existe a fechadura mas não existe câmara de segurança Redes e Serviços de Comunicações MóveisLuis Batista
  52. 52. IDS - termos Falsos positivos situações “benignas” – tipicamente um erro Falsos negativos situações de falha – falha no sistema Assinaturas conjunto de condições que, quando reunidas, indicam algum tipo de intrusão Redes e Serviços de Comunicações MóveisLuis Batista
  53. 53. IDS - termos Algorítmo método usado pela assinatura Intrusão actividades concatenadas que colocam a segurança dos recursos TI em perigo Redes e Serviços de Comunicações MóveisLuis Batista
  54. 54. Ataque uma tentativa falhada de entrada no sistema (não é executada nenhuma transgressão) Incidente violação das regras do sistema de segurança - intrusão bem sucedida IDS - termos Redes e Serviços de Comunicações MóveisLuis Batista
  55. 55. Modelação de intrusões uma modelação temporal de actividades - a intrusão 1. o intruso inicia o seu ataque com uma acção introdutória 2. tenta outras auxiliares 3. até conseguir o acesso bem sucedido Sensores Network Intrusion Detection System (NIDS) Host Sensors IDS - termos Redes e Serviços de Comunicações MóveisLuis Batista
  56. 56. Sistema de defesa detecção de actividades “inimigas” detectar/impedir as actividades comprometedoras – tentativas de portscans facilitar a visualização de actividade suspeita emissão de alertas bloqueio de ligações distinção de ataques internos/externos Redes e Serviços de Comunicações Móveis IDS - caracterização Luis Batista
  57. 57. Pattern Matching procura por sequências fixas de bytes num único pacote apenas se houver associação do padrão a um serviço concreto uma porta específica Exemplo: TCP com destino à porta 2222 e payload contendo 123 Redes e Serviços de Comunicações Móveis IDS - Metodologias Luis Batista
  58. 58. Vantagens método mais simples de IDS permite correlações directas de um exploit com o padrão altamente específico gera alertas com o padrão especificado aplicável em todos os protocolos Redes e Serviços de Comunicações Móveis IDS - Pattern Matching Luis Batista
  59. 59. Desvantagens probabilidade de ocorrência de taxas elevadas de falsos positivos as modificações ao ataque podem conduzir à falta de eventos (falsos negativos) necessidade de múltiplas assinaturas para tratar de uma única ameaça não aconselhado à natureza de tráfego de dados do HTTP Redes e Serviços de Comunicações Móveis IDS - Pattern Matching Luis Batista
  60. 60. Análise heurística Lógica algorítmica para tomar decisões de alarme São frequentemente avaliações estatísticas do tipo de tráfego apresentado Redes e Serviços de Comunicações Móveis IDS - Metodologias Luis Batista
  61. 61. Vantagens Alguns tipos de actividades suspeitas ou maliciosas não podem ser detectadas por qualquer outro meio. Redes e Serviços de Comunicações Móveis IDS - Análise heurística Desvantagens Os algoritmos podem requerer afinações ou modificações (para adequação de tráfego e limitação de falsos positivos). Luis Batista
  62. 62. Análise à anomalia Procura tráfego “anormal” (problema?) Pacotes de comunicação que não coincidem com o estado da ligação Pacotes de comunicação que se encontram severamente fora da sequência Subcategoria – detecção de métodos de perfis forma como os utilizadores ou sistemas interagem com a rede Possível detectar ataques em curso Fornecem pouca informação, são vagos e requerem demasiada investigação IDS - Metodologias Luis Batista Redes e Serviços de ComunicaçõesMóveis
  63. 63. Vantagens Quando implementado correctamente, podem detectar ataques desconhecidos/novos Menores cargas - não é necessário desenvolver novas assinaturas IDS – Análise à anomalia Luis Batista Redes e Serviços de ComunicaçõesMóveis
  64. 64. Desvantagens Não fornecem dados concretos da intrusão - acontece um “desastre” mas o sistema não consegue determiná-lo Altamente dependente do ambiente que os sistemas definem como normal IDS – Análise à anomalia Luis Batista Redes e Serviços de ComunicaçõesMóveis
  65. 65. Os IDS Utilizam apenas uma das metodologias como core e fracções das outras metodologias (antes ou depois de analisar os dados) – Devido à degradação da performance A detecção prematura de um intruso - evitar danos Quanto mais cedo, melhor! Eficiência - desencorajar ataques IDS Luis Batista Redes e Serviços de ComunicaçõesMóveis
  66. 66. Os IDS são Um elemento de core Um sensor (pelo menos) responsável pelas decisões a tomar recebem os dados de três fontes principais base de dados do próprio IDS syslog (configuração, permissões, utilizadores, etc) Auditorias estrutura da base para o processo de futuras tomadas de decisão Redes e Serviços de Comunicações Móveis IDS Luis Batista
  67. 67. protecção do ataque prevenção de intrusões boa combinação de “iscas e armadilhas” – para a investigação e ameaças (Honey pots) desvio da atenção do intruso dos recursos protegidos repulsão (muitas vezes conseguida) exame dos dados IDS Prevenção Monitorização Detecção Reacção Simulação Análise Notificação Redes e Serviços de Comunicações Móveis IDS - Tarefas Luis Batista
  68. 68. IDS Infraestrutura IDS Adicional Monitoriza Notifica Sistema a proteger Reage Intrusion Detection Systems - IDS Redes e Serviços de Comunicações MóveisLuis Batista
  69. 69. É uma evolução/extensão do IDS Actua após o alerta dado pelo IDS E previne a realização do ataque no sistema Ao receber o alerta executa a acção de prevenção Como bloquear o IP da origem do ataque IPS – Instrusion Prevention System Luis Batista Redes e Serviços de ComunicaçõesMóveis
  70. 70. Os métodos de autenticação e controlo de acessos não são mais que sistemas de segurança para proteger sistemas de informação Não há sistemas 100% seguros - apenas a ideia de sistemas seguros (uma ilusão!!) A implementação de um sistema de seguro não é dificil ou complexa se a solução estiver bem desenhada (o mito de que os sistemas de segurança são complicados...) Conclusão Luis Batista Redes e Serviços de ComunicaçõesMóveis
  71. 71. Apesar de recorrerem a algorítmos sofisticados e a métodos de proteção efecientes, os sistemas de segurança dependem sempre de intervenção humana (criatividade no desenho da arquitetura e manutenção do sistema) Não são resistentes à mudança - pois não há sistemas estanques - a criatividade humana e o progresso tecnológico ditam as novas necidades a implementar nos sistemas de autenticação e controlo de acesso! Conclusão Luis Batista Redes e Serviços de ComunicaçõesMóveis
  72. 72. Algumas questões Luis Batista Redes e Serviços de ComunicaçõesMóveis
  73. 73. Quais os 3 factores de autenticação mais usados? Luis Batista Redes e Serviços de ComunicaçõesMóveis
  74. 74. SYK SYH SYA Luis Batista Redes e Serviços de ComunicaçõesMóveis
  75. 75. Para quê optar por uma abordagem híbrida na implementação de uma firewall? Luis Batista Redes e Serviços de ComunicaçõesMóveis
  76. 76. Para obter uma maior a segurança, combinando o melhor de cada tipo de firewall isto é, tirar partido das vantagens do packet filtering e appilcation proxy, por exemplo Fornecer funções de segurança a um elevado número de destinatários Luis Batista Redes e Serviços de ComunicaçõesMóveis
  77. 77. Quais as metodologias usadas no IDS? Luis Batista Redes e Serviços de ComunicaçõesMóveis
  78. 78. Pattern Matching Análise heurística Análise à anomalia ... Luis Batista Redes e Serviços de ComunicaçõesMóveis

×