2. Introdução
Os usuários das redes de computadores mudaram,
bem como o uso que os mesmos fazem da rede.
A segurança da rede despontou-se como um
problema em potencial.
O crescimento comercial assustador da Internet
nos últimos anos foi superado apenas pela
preocupação com a segurança deste novo tipo de
mídia.
Aspectos de Segurança de Redes
3. A segurança em sua forma mais simples se
preocupa em garantir que pessoas mal
intencionadas (externas à empresa, ou internas)
não leiam, ou pior, ainda modifiquem
dados/mensagens.
É estatisticamente levantado que a maior parte
dos problemas de segurança são intencionalmente
causados por pessoas que tentam obter algum
benefício ou prejudicar alguém.
Introdução
Aspectos de Segurança de Redes
4. Política de segurança da empresa
Considerações
Segundo pesquisas, e constatações feitas pelas
próprias empresas especializadas em vender
projetos e produtos voltados para o segmento de
segurança de informação:
“As empresas brasileiras são vulneráveis, frágeis
e passíveis de invasões porque a grande maioria
dos executivos – não apenas os responsáveis pela
área de tecnologia – adotam posturas
paternalistas e não profissionais com relação às
informações dentro das corporações”.
5. Políticas de segurança são responsabilidades dos
CIOs, cabendo aos mesmos escreverem as
diretrizes, sejam elas agradáveis ou não para os
funcionários.
Especialistas reconhecem que cem por cento de
segurança é impossível de ser alcançado, todavia
é possível alcançar um alto grau de garantia da
informação se houver mecanismos de controle
diário, 24 horas por dia, sete dias por semana.
Política de segurança da empresa
Considerações
6. “equipamentos só funcionam se tivermos uma
política para cuidar das pessoas que lidam com
eles”.
“A equação no caso da informação é tratar do
funcionário”.
Política de segurança da empresa
Considerações
7. Tipos de penetras mais comuns
Estudante
Hacker
Executivos
Representantes
de vendas
Ex-funcionário
Espião
Vigarista
Terrorista
Outros
Diverte-se bisbilhotando as mensagens de correio
eletrônico de outras pessoas.
Testa o sistema de segurança de alguém
(roubar/deletar/alterar, adicionar dados).
Descobrir a estratégia de marketing do concorrente.
Ampliar mercado de atuação.
Vingar-se, retaliar-se de perseguições ou demissões.
Descobrir, roubar segredos ou informações privilegiadas.
Roubar números de cartão de crédito e vendê-los.
Alterar dados em proveito próprio.
Roubar segredos militares ou bacteriológicos.
Passar-se por outros em intermediações ou transações
com ou em pessoas ou empresas.
Lidar com segurança é lidar com adversários inteligentes, dedicados,
e muitas vezes bem subsidiado.
8. Tipos de ataque
Externos
Vulnerabilidade na rede (protocolos,
implementações, etc.).
Vulnerabilidade nas aplicações (web servers, etc.).
Causas mais prováveis
Falta de proteção ou proteção insuficiente.
Confiança excessiva.
Inexistência de auditoria
9. Tipos de ataque
Internos
Acesso não autorizado a dados.
Sabotagem.
Engenharia social.
Causas mais prováveis
Inexistência de acesso hierárquico.
Retaliação.
10. Implementar uma política de segurança em uma
empresa ou organização implica em implementar
controles de segurança do tipo:
Físicos;
Lógicos;
Organizacionais;
Pessoais;
Operacionais;
De desenvolvimento de aplicações;
Das estações de trabalho;
Dos servidores;
De proteção na transmissão de dados.
Tipos de ataque
11. O desenvolvimento de uma política de segurança
deve ser uma atividade interdepartamental.
As áreas afetadas devem participar do processo
envolvendo-se e comprometendo-se com as metas
propostas além de:
Entender o que é necessário;
Saber por o que são responsáveis;
O que é possível com o processo.
Tipos de ataque
12. Controles de segurança
Controles físicos
Referem-se à:
Restrição de acesso indevido de pessoas a áreas
críticas da empresa (ex: CPD);
Uso de equipamentos ou sistemas por
funcionários mal treinados;
13. Controles de segurança
Controles lógicos
Referem-se à:
Prevenção e fortalecimento de proteção seletiva
de recursos;
Problemas / prevenção causados por vírus, e
acesso de invasores;
Fornecer / retirar autorização de acesso;
14. Controles de segurança
Controles lógicos
Referem-se à:
Fornecer relatórios informando que recursos
estão protegidos, e que usuários tem acesso a
esses recursos;
Maneira fácil e compreensível de administrar
essas capacidades.
15. Controles de segurança
Controles organizacionais
Referem-se à:
Responsabilizar cada usuário por lista de
deveres;
Especificar em cada lista o que, quando, e como
deve ser feito;
Esclarecer as conseqüências do não cumprimento
da lista.
16. Controles de segurança
Controles pessoais
Referem-se à:
Criação de motivação / treinamento sobre
segurança;
Bloqueio dos arquivos pessoais do empregado
quando da sua demissão;
Troca de senha quando da demissão do
funcionário;
17. Controles de segurança
Referem-se à:
Inclusão de tópicos de segurança computacional
no manual dos empregados;
Cobrar aspectos de segurança na avaliação o
funcionário.
Controles pessoais
18. Controles de segurança
Referem-se à:
Acompanhar e registrar cada problema, sua
causa e sua solução;
Planejar estruturas de arquivos e de diretórios;
Controles operacionais
19. Controles de segurança
Prever / fornecer proteção de energia ao parque
computacional e de conectividade (hubs, switches,
routers, etc.);
Garantir a confiabilidade e a integridade dos
dados avaliando o aspecto custo da rede.
Controles operacionais
20. Controles de segurança
Referem-se à:
1) No caso das empresas não-desenvolvedoras de
aplicações:
Adquirir software necessário e documentação
necessária.
2) No caso de empresas desenvolvedoras de
aplicações:
Verificar a existência / eliminar bugs em softwares;
Dar apoio de software em outros locais da
organização;
Manter / atualizar documentação.
Controles de desenvolvimento de aplicações
21. Controles de segurança
Referem-se à:
Proteger os computadores contra roubo de
placas, e acessos ao interior do gabinete (uso de
travas);
Controlar instalação de programas de captura de
senha;
Controlar acesso às estações.
Controles das estações de trabalho
22. Controles de segurança
Referem-se à:
Prover proteção diversa (contra incêndios,
umidade, temperatura, acesso);
Mantê-lo em ambiente fechado.
Controles de servidor
23. Controles de segurança
Referem-se à:
Uso de criptografia;
Uso de fibras ópticas ou cabos pneumáticos que
emitem alarmes quando despressurizados por
“grampos”;
Filtros / proxy /firewall nas fronteiras da rede,
entre redes.
Controles de proteção na transmissão de dados
24. Mecanismos de segurança
Ajudam a implementar políticas de
segurança e seus serviços:
Criptografia
Filtros
Proxy
Firewall
25. O que vem a ser a Criptografia?
É a ciência que faz uso da
matemática permitindo
criptografarmos (cripto=esconder) e
decriptografarmos dados.
26. É a ciência que estuda como quebrar
um texto cifrado, ou seja, descobrir
o texto claro a partir do texto
cifrado revelando o significado da
mensagem.
O que vem a ser a Criptoanálise?
27. É a área da matemática que estuda
a Criptografia e a Criptoanálise.
O que vem a ser a Criptologia?
29. Como se dá um processo de
Encriptação e Decriptação?
SINTEGRA *$R!??:{ SINTEGRA
Fonte Destino
Encriptação Decriptação
Texto Texto
original
Texto
cifrado
30. Algoritmo de criptografia: função
matemática usada para encriptar e
decriptar (Público).
Chave: é o código utilizado pelo algoritmo
de criptografia para encriptar necessário
para a realização da decriptação (Secreto).
Através do criptógrafo o sistema de
criptografia é formado.
Como um sistema criptográfico é usado?
31. Confidencialidade da chave;
Uso de chaves comuns e fáceis de
adivinhar;
A dificuldade em se inverter o algoritmo
criptográfico sem a chave;
Características do criptógrafo
32. A inexistência de backdoors;
A possibilidade de se decodificar todo um
texto cifrado dado que se saiba como parte
dele é decodificada;
O conhecimento de propriedades
peculiares da mensagem em texto claro.
Características do criptógrafo
33. Criptografia com chaves secretas
(ou simétricas);
Criptografia com chaves públicas
(ou assimétricas);
Tipos de criptografia
34. Criptografia Simétrica
Utiliza a mesma chave para encriptar e
decriptar uma mensagem.
(ou com chave secreta)
MENSAGEM *$R!??:{
Fonte Destino
Encriptação Decriptação
Texto Texto
original
Texto
cifrado
MENSAGEM
35. Formas de implementar
Criptografia Simétrica
1) Através de tabela de códigos
Letra da mensagem Código
A ABC
B DEF
C GHI
D JKL
.
.
.
.
.
.
36. Formas de implementar
Criptografia Simétrica
1) Através de deslocamentos
As letras da mensagem são
substituídas pela n-ésima letra após a
sua posição no alfabeto.
37. Criptografia Simétrica
Vantagens e desvantagens
Vantagens
Rapidez, simples de implementar.
Desvantagens
É necessário um canal seguro para
enviar a chave.
38. Utiliza uma chave para encriptar e outra para
decriptar a mensagem.
Também chamados de Algoritmos de Chave
Pública.
Primeiros algoritmos desenvolvidos em 1975 por
Diffie and Hellman.
Criptografia Assimétrica
40. Criptografia Assimétrica
Chave privada
Nesta implementação usuários podem
difundir a chave pública para todos que
queiram enviar mensagens para eles, visto
que apenas com a chave privada será
possível a decriptação.
Chave Pública é distribuída e a Privada
mantida em segredo.
41. Criptografia Assimétrica
Vantagens e desvantagens
Vantagens
Não há necessidade de canal seguro na
troca de chaves, pois não há riscos.
Desvantagens
A performance do sistema cai
demasiadamente se existe uma grande
quantidade de dados para
decriptografar.
42. Assinatura digital
Mecanismo que pode garantir que uma mensagem
assinada só pode ter sido gerada com
informações privadas do signatário.
O mecanismo de assinatura digital deve:
A) Assegurar que o receptor possa verificar a
identidade declarada pelo transmissor
(assinatura);
B) Assegurar que o transmissor não possa mais
tarde negar a autoria da mensagem
(verificação).
43. Autenticação dos interlocutores
Usuários e
elementos devem
mostrar credenciais
para comprovar sua
identidade.
Possível através de
digital certificates e
outros documentos
assinados.
ACCESS DENIED
ACCESS GRANTED
BOB BUNK
JOHN PEP
PEP’S
COMPANY
I’m John...
X
I’m John.
44. Funções de uma Autoridade
Certificadora (CA)
Distribuição de certificados;
Emissão de assinatura de novos
certificados;
Renegociação de certificados;
Revogação de certificados.
CA
45. Como autenticar uma chave pública?
Para emitir o certificado, a CA pode exigir
que o usuário se apresente pessoalmente
junto a alguma de suas instalações e prove
sua identidade através de documentação
apropriada.
* Certificados também podem ser emitidos para
pessoas jurídicas, das quais pode ser exigido
esquema semelhante de comprovação de
identidade.
Certificados
46. Como autenticar uma chave pública?
Uma vez comprovada a identidade do
usuário, ele fornece sua chave pública à CA
que gera e assina o certificado.
Certificados
CA
47. Como autenticar uma chave pública?
Um certificado atesta a veracidade de uma chave
pública.
De forma simplificada, o certificado é uma chave
pública assinada por uma Autoridade de
Certificação (CA) que atesta a autenticidade
daquela chave pública como pertencente a uma
determinada pessoa.
Um dos padrões de certificado usualmente
utilizados é definido pela norma ITU-T X.509.
Certificados
CA
49. Firewall - Introdução
Definição
Dispositivo que conecta redes (interna e/ou
externa com vários níveis de direito de acesso).
Implementa e garante política de segurança entre
as redes conectadas.
Internet
Intranet
Segmento de
Acesso Público
Corporação
Firewall
50. Sistemas confiáveis que são colocados entre duas
redes;
Política de Segurança define o que passa;
Rede interna é confiável (blue net), nem sempre;
Rede externa é não-confiável (red net).
Infraestrutura de rede
Firewall - Conceitos
51. Quando você conecta sua rede à Internet, é de
crítica importância proteger a sua rede contra
intrusão. A forma mais efetiva de proteger o link
com a Internet é colocar um Sistema de Firewall
entre sua rede local e a Internet.
Internet
Intranet
Segmento de
Acesso Público
Corporação
Firewall
Firewall -Introdução
Proteção de redes - Firewall
52. 1) Não protege contra usuários autorizados
maliciosos;
2) Não pode proteger contra conexões que não
passam através dele;
3) Não fornece 100% de proteção contra todos os
THREATS (ataques embutidos no protocolo).
Firewall -Introdução
Saiba o que um Firewall não faz: