Segurança em redes

295 visualizações

Publicada em

Segurança em Redes de Computadores

Publicada em: Educação
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
295
No SlideShare
0
A partir de incorporações
0
Número de incorporações
2
Ações
Compartilhamentos
0
Downloads
6
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Segurança em redes

  1. 1. 1 INSTITUTOFEDERALDEEDUCAÇÃO,CIÊNCIAETECNOLOGIADAPARAÍBA CampusSousa Disciplina:SegurançadaInformação Professor:FranciscoCassimiro Curso:TécnicoemInformática Fátima Ferreira de Sousa
  2. 2. Segurança Em Redes Segurança da Informação 2
  3. 3. Asegurançadainformação Definição Podeserdefinidacomoumaprocessodeprotegerainformaçãodomauusotantoacidentalcomointencional. Vulnerabilidadeoufalhadesegurançapodeserumbugemumaaplicação,comoumservidorwebouumvírus. Nãoexisteredeoumesmoinformação100%segura. 3
  4. 4. Ataquescontraasegurançadainformaçãotrazemprejuízosincalculáveisparaempresasecorporações. Firewalls–dispositivosquecontrolamotráfegoentreredes, permitindoounegandodeterminadotipodetráfego. 4
  5. 5. Ainternet:UmjogocomvantagenseRiscos Dependênciadeempresasepessoas; Crescimentodocomércioeletrônico. RiscoseVulnerabilidadesparaempresas; Downtime–tempoemaredeficaindisponívelparauso; AmeaçasdeVírus–peloacessoainternet; InvasãodeHackers–todososdiassãodesenvolvidastécnicasinteligentesesofisticadasdeinvasão; 5
  6. 6. Hackers e Crackers 6
  7. 7. Hackers–QuemSão? Refere-seaumindividuoouorganizaçãoquepossuiconhecimentoemsistemasoperacionaiseprotocolos,efazusodesseconhecimentoparaquebrarsegurançadesistemaseroubarinformações,buscandosemprealgumavantagemouganhofinanceiro. Emgeraloshackersexploramvulnerabilidadesoufalhasnaimplementaçãodossistemas,econhecendo-as,conseguematacá- los. 7
  8. 8. Crackers Sãopessoasquedescobremfalhasemsistemasdeseguranças,eusamessasfalhaspararoubaredestruirinformações; 8
  9. 9. Motivosquelevamumhacker/crackerarealizarumataque: •Acessoarecursosadicionais–Quandooataquesetornaumdesafioaserquebradoparaconseguiracessosadicionaisarede; •VantagensCompetitivas–Espionagemindustrial,ondeumhackerécontratadoparatentarroubarinformaçõesconfidenciaisdeumconcorrente; •Econômico–Fraudescomnúmerosdecartãodecréditoouemsistemasdeinternetbanking; •DescontentamentoPessoalouVingança–Ex-funcionáriosquedesejamsevingardaempresainvadindo-a; 9
  10. 10. Motivos que levam um hacker/cracker a realizar um ataque: •CyberTerrorismo–Éousodatecnologiadainformaçãoparadesfecharumataquepelainternet; •Curiosidade–Quandoalguémsemintençãodecausarprejuízosusaalgumaferramentahackingsemconhecimentoseacabacausandograndesestragos; •Prejuízos–Quandoalguémquedefinitivamentecausardanosaalguém; •Diversão–Adolescentesqueatacamasredespordiversão; 10
  11. 11. Algumasdasameaçasmaiscomunsqueasempresasvêmsofrendoatualmentesãoataquesdevírusewormquecausamgrandesprejuízos. Existemaindaumagrandeproblemáticaarespeitodoabusodousodee-mailedawebpelosfuncionáriosdeempresas. Ainternettrouxegrandeflexibilidadeeagilidadeparaasorganizações,entretantoomauusodessatecnologiaporseususuáriospodecausargrandesprejuízosdeprodutividadeequalidadenosprocessosdaempresa. 11
  12. 12. Oproblemadoe-mail Spam–E-mailsindesejáveisenviadosporpequenasempresasquedesejamdivulgarseusprodutoseserviçosdemaneirabarataeeficiente; ConteúdoInadequados–Pornografia,piadas,políticaouracistasquenãosereferemaodia-a-diadaempresa; Oe-mailpodeaindaserusadopararoubaretransmitirinformaçõesconfidenciaisdaempresa; 12
  13. 13. O problema da WEB Mauusodainternet–Acessoasitescomconteúdoinadequado, downloadsdesoftwarespiratas,alémdousodeferramentasdee- mailviawebquepodemburlarmecanismosdemonitoraçãoeproteção. Oproblemamaiordomauusodawebéquedemandabandadoslinksdecomunicação,porissoafetadiretamenteodesempenhodasaplicaçõescríticasdaempresa,implicandoemlentidãoereduçãosignificativanotempoderesposta. 13
  14. 14. Monitoraçãodomauuso Técnicaqueconsistenamonitoraçãodee-mailepáginaswebs; Violaçãoasliberdadesindividuais; 14
  15. 15. Outros métodos de monitoração Filtrosdemensagens–Usadoparafiltragensdemensagenseinformaçõesnãorelacionadasaonegóciodaempresa.Esseprocessominimizaoefeitodosspamsnarede; FiltrodeURLs–Permiteàsempresasbloquearemapáginasnãoautorizadas. 15
  16. 16. Estesassuntosdevemsertratadosediscutidoscuidadosamentepelasempresas.Orecomendávelédescreverdetalhadamentenapolíticadesegurançaquaisosusosdevidosqueosusuáriospodemfazerdarede,eprincipalmenteestabelecerclaramenteoquenãoépermitido.Apósadefiniçãodessapolíticaedotreinamentodosfuncionários,elesdevemassinarumdocumentoinformandoqueconcordamcomapolítica,eprincipalmenteconhecemosprocedimentosepuniçõesnocasodedesrespeitodapolíticadesegurançacorporativa. 16
  17. 17. ModelodeReferênciadeSegurança Foicriadoparadefinirumaarquiteturaderedeconfiávelqueimplementeumapolíticadesegurança,queconsisteemumasériederegras,procedimentos,autorizaçõesenegaçõesquegarantemamanutençãodasegurançaedaconfiabilidadedarede. 17
  18. 18. ComponentesqueconstituemoMRS Equipamentosdarede–Roteadores,servidoresdecomunicação, switchesderedelocal,gatewaysetc. Sistemasdeautenticação–Biométricos,assinaturadigitalecertificaçãodigital; Sistemasdesegurança–Criptografia,PKIefirewalls; Informaçãoemensagenstrocadasnosistemadecunhoreservado, confidencial,restritooulivreparadivulgação; 18
  19. 19. Serviçosdesegurançaimplementadospelosistema Integridade; Autenticidade; Confidencialidade; NãoRepúdio; Disponibilidade; ControledeAcesso; Auditoria. 19
  20. 20. Integridade Consistenagarantiadequeainformaçãopermaneceuíntegra,oquesignificaqueelanãosofreunenhumaespéciedemodificaçãoduranteasuatransmissãoouarmazenamento,semautorizaçãodoautordamensagem; Aintegridadeestárelacionadacomproteçãoquantoàinformaçãoouumprocessoparaquenãosejaintencionalmenteouacidentalmentealteradasemadevidaautorização. Oobjetivodagarantiadeintegridadedosdadosépreveniraexistênciadefraudesouerrosdeprocessamento. 20
  21. 21. AmeaçasàIntegridade Aintegridadedainformaçãopodesercomprometidaporhackers,usuáriosnãoautorizados,programasmaliciosos(trojansouvírus),ouqualqueraçãoqueimpliquenaalteraçãodedadoseprogramas. Existemtrêsprincipaiscontrolesdesegurançaparagarantiraintegridadedainformaçãonosprocessos: •RotationofDuties–Atrocaconstantedepessoasemcargoschavepodeserumaformadeevitarafraudeemsistemasounosdados,alémdetrazerumasériedevantagens. •NeedtoKnow–Osusuáriosdevemteracessoapenasaosdadosouprogramasqueelenecessitaparaexecutaroseutrabalho. •SeparationofDuties-Consisteemgarantirquedoinícioaofinaldeumprocessoqueaspessoasenvolvidastenhamocontroledele. 21
  22. 22. FunçõesdeHashing Hashingéumatécnicautilizadaparaverificaregarantiraintegridadedosdados. •Característicadohashing Podeserdequalquertamanho; Odigestésempredetamanhofixo; Devemserfáceisdecomputar; Hashéunidirecional; Élivredecolisão,ouseja,doistextosnãopodempossuiromesmohashing; 22
  23. 23. AlgoritmosdeHashing Os principais algoritmos de hashing são: SHA-1–Calculadosobreumamensagensdequalquertamanho, gerandoumdigestde512bits.Éutilizadoemconjuntocomalgoritmoscriptográficos. MD5–Processaaentradaemblocosdemensagensde512bitsegeradigestde128bits.OMD5estásujeitoacolisões. 23
  24. 24. Confidencialidade Oprincipiodaconfidencialidadeéprotegerainformaçãoemsistemas,recursoseprocessos,paraqueelasnãopossamseracessadasporpessoasnãoautorizadas; Ainformaçãonãopodeserdisponibilizadaaquemnãotenhaadevidaautorizaçãoparaacessá-las.Aconfidencialidadetambéméummecanismoquegaranteaprivacidadedosdados; 24
  25. 25. AmeaçasàConfidencialidade Atividadenãoautorizada-Ocorrequandousuáriosnãoautorizadostemacessoaossistemasecomprometemarquivosconfidenciais. Downloadsnãoautorizados–Quandoinformaçõesconfidenciaissãomovidasdelugaressegurosparaambientesondenãoépossívelgarantiraconfidencialidade; Redes–Criptografarinformaçõesdeformaaevitarqueaconfidencialidadesejacomprometida; VíruseTrojans–Códigosmaliciososinstaladosemsistemascomobjetivodedescobririnformaçõesconfidenciais,copiando-asparaumaentidadeexterna; EngenhariaSocial–Processodeataquequenãofazusodatecnologiaesimdofatorhumano; 25
  26. 26. Identificação,AutenticaçãoeAutorização Identificação–Métodousadoparaqueumusuário,programaouprocessodisponibilizeaosistemasuaidentificação. Autenticação–Mecanismoqueverificaaidentificaçãodousuário. Existemtrêsmecanismosparagarantiraautenticidadedeumusuário: Oqueousuárioconhece(senha); Oqueousuáriopossui(token,cartão,chavecriptografadaoucertificado; Oqueousuárioé(característicabiométricaúnica); Autorização–Mecanismoqueautorizaoacessoobedecendoasprincípiosdoneedtoknow; Assoluçõesdegerenciamentodeidentidadesãousadasparaverificaraidentidade, autenticareautorizaroacesso; 26
  27. 27. Disponibilidade Éagarantiadequeosistemasempreestaráacessívelquandoousuárioprecisar 27
  28. 28. AmeaçasàDisponibilidade Ataquesdenegaçãodeserviços–DOS(ataquesrealizadosporumconjuntodecomputadorescontraumaredecomobjetivodetornarindisponíveisosserviçosoferecidosporestarede; Perdasresultantespordesastresnaturais(fogo,enchentes, terremotosouaçõeshumanas); 28
  29. 29. AmeaçaàDisponibilidade Osataquesdenegaçãodeserviçoderrubamservidores,deixandoosserviçosindisponíveis; Osataquedenegaçãodeserviçosdistribuídos–sãocausadospormaquinaszumbiscontaminadasnainternet; Paraaumentaradisponibilizadadeumsistemautiliza-seequipamentos,aplicativoseservidoresredundantes. 29
  30. 30. NãoRepúdio Éumserviçodesegurançaqueconsisteemtécnicasemétodosparaqueoremetentedamensagemnãopossanegar,nofuturo,oenviodela. 30
  31. 31. Auditoria Éummecanismoquepermiteacriaçãoderegistros(logs),nosquaisasaçõesocorridasnaredeficamregistradasepodemserauditadasnofuturoparaverificarirregularidades. Aauditoriaconsistenacapacidadedeverificaçãodasatividadesdosistemaedeterminaçãodoquefoifeito,porquem,quandoeoquefoiafetado. 31
  32. 32. Embora,deumaformageral,todososserviçosdesegurançasejaimportantes,diferentesorganizaçõesterãovisõesdistintassobrequantocadaserviçoéimportante. 32
  33. 33. Planos de Segurança 33
  34. 34. AnáliseeGerenciamentodeRiscos Visaidentificarperdaseimpactoscausadospelocomprometimentodaconfidencialidadedasinformaçõesouroubosdasinformaçõesrestritasaempresa. Princípiobásicodogerenciamentoderisco: “Não podemos proteger algo que não conhecemos” 34
  35. 35. AnálisedeRiscos Processodeavaliaçãoetomadadedecisõesquepermitemidentificarequalificarosriscosenvolvidosemumsistema. •Aceitarumriscopodesermuitoperigoso; •Épossívelminimizarorisco,masnuncaevitá-lo; •Evitarumriscoémuitocomplexo. 35
  36. 36. Existembasicamenteduasformasderealizarmosanálisederiscos: •AnáliseQuantitativa •AnáliseQualitativa 36
  37. 37. AnáliseQuantitativa Estárelacionadacomoladofinanceiro,elaconsisteemmedirocustodaperdaligadosàameaçaeproteção. Éincapazdecalcularaprobabilidadedequeoseventosouameaçasocorram. 37
  38. 38. Etapasdoprocessodeanálisederiscos: Identificarasameaçasquepossamafetaroperaçõescriticaseosativos; Estimaraprobabilidadedeumeventoocorrer; Identificareclassificarosvalores,oníveldesensibilidadeeacriticidadedeoperações,alémdesepreocuparcomasperdasoudanosocorrentesseameaçaserealizar; IdentificaraçõescombasenaanálisedecustoXbeneficionaconduçãodareduçãodorisco; Documentaçãodosresultados; 38
  39. 39. Análise Qualitativa Éumatécnicausadanaanálisederiscosparafazerumaestimativadaperdaprovocadapelaameaça. Essetipodeabordagemtrabalhacomameaças,vulnerabilidadesemecanismosdecontrole. 39
  40. 40. Ameaças 40
  41. 41. Asameaças Asameaçassãoosprincipaiseprováveisperigosaqueumaempresaestasujeita. Principaisameaças AmeaçasIntencionais; Ameaçasrelacionadasaosequipamentos; Ameaçasrelativasaumeventonatural; Ameaçasnãointencionais; 41
  42. 42. Acompanhe: AmeaçasIntencionais–Ameaçasqueviramnotíciasdejornalenasquaisosprodutosdesegurançamelhorpodematuar. AgentesCausadores: Externos–Podemacessarosistemadevariasformas(arrombamento, falsificaçãodedocumentos,modems,subornooucoaçãodosagentesinternos); Internos–Sãoresponsáveispelamaiorpartedosproblemasdesegurança. 42
  43. 43. Osprincipaisagentescausadoresdeameaçasintencionaissão: Espiãoindustrial–Alguémcontratadopararoubarumainformação,ecomoconsequência,causaralgumdano; CriminosoProfissional–Alguéminteressadoemterganhofinanceirocomusodeumainformação; Hacker–Especialistaemcomputaçãoqueusaseuconhecimentoparainvadirsistemasefraudardados; Funcionáriomal-intencionado–Funcionárioquetentainternamenteroubarinformaçõesdaempresa. 43
  44. 44. Ameaçasrelativasaosequipamentos–Falhasdehardwareesoftware,sejapordefeitoouporbugs. Ameaçasrelativasaumeventonatural–Ameaçasprovocadaspelaaocorrênciadealgumeventonatural,sãodifíceisdeseremevitadas,noentantosãofacilmentedetectadas; Ameaçasnãointencionais–Sãoosperigostrazidospelaignorânciadaspessoas.Amaiorpartedosdanoscausadosnosistemasurgepelaignorânciadeusuáriosouadministradoresmalcapacitados. 44
  45. 45. Vulnerabilidades 45
  46. 46. Vulnerabilidades Definição Pontodosistemanoqualosistemaésuscetívelaataques. Exemplos: Aspessoasqueoperameusamosistema(elasforamtreinadasadequadamente?); AconexãodosistemacomaInternet(ascomunicaçõessãocriptografadas?); Ofatodeoprédioestaremumaáreasujeitaainundação(osistemaestánopisotérreodoprédio); 46
  47. 47. Oprocessodeidentificaçãodasvulnerabilidadesconsidera: Dadasasameaças,ondeestãoasvulnerabilidadesdosistema; Dadasasvulnerabilidades,quaisameaçaspodemsurgir; 47
  48. 48. Principaisvulnerabilidadesdeumsistemas: Físicas–Oambienteondeosistemaémantidoévulnerável? Naturais–Fogo,inundação,terremotoeperdadeenergiapodemdanificarequipamentosoudestruirdados; HardwareeSoftware–Falhasdehardwareesoftwarepodemcomprometerasegurançadosistema; Mídia–Discos,fitasematerialimpressopodemserfacilmenteroubadosoudanificados; Emanação–Sinaisemitidosporcomputadores,equipamentosderedepodemsercaptadosedecifrados; Comunicação–Mensagensemtransitopodemserinterceptados, desviadoseforjados.Linhasdecomunicaçãopodemserescutadasouinterrompidas; Humanas–Usuários,operadoresouadministradoresdosistemapodemcontererrosquecomprometamofuncionamentodosistemas,seremsubornadosoucoagidosacometeratosdanosos. 48
  49. 49. Riscossurgemapartirdevulnerabilidadesquepossamserexploradas,existindováriasmaneirasdefazerisso. Emumplanodesegurançaprecisamos,apartirdoconhecimentodasvulnerabilidades,identificaraprobabilidadedaameaçaocorrer. 49
  50. 50. Controles Sãomecanismosdecontramedidasusadosparaminimizarameaças. TiposdeControle: Controleefetivo–Diminuiraprobabilidadedeocorrênciadeumaameaça; Controlepreventivo–Previnevulnerabilidadesdeformaaminimizarosucessodastentativasdeataques; Controlecorretivo–Reduzioefeitodaameaça; Controledetectivo–Descobreataquesecontroledecorreção; Controlederecuperação–Restauraasituaçãodaempresaaumquadronormalapósaincidênciadeumevento. 50
  51. 51. Otrabalhodeameaçadeveserfeitofrequentemente,umavezque, novasameaçaspodemsurgir,vulnerabilidadesnãoidentificadaspodemsernotadasemrevisõesfuturas. Osriscosnãopodemsereliminadoscompletamente,massãoidentificados,quantificadoseentãoreduzidos.Nãoimportaquãosegurosejaocomputador,suasegurançasemprepodeserquebradacomrecursosnecessários. 51
  52. 52. Segurança 52
  53. 53. PolíticadeSegurança Definediretrizesquantoaousodainformaçãonoambientecorporativo.Elarelaciona: Riscosaopatrimônio; Riscodefraude; Riscoderoubo; Osacessosdousuárioaosistema; Ousodecanaisdecomunicação; Sistemasredundantesetolerantesafalhas; Garantiadeintegridadedesoftware; 53
  54. 54. Opropósitodeumapolíticadesegurançaédefinircomoumaorganizaçãovaiseprotegerdeincidentesdesegurança. Funções: Deixarclarooquedeveserprotegidoeporquê; Explicitarqueméresponsávelporessaproteção; Funcionarcomoreferênciaparasoluçãodeconflitoseproblemasquepossamsurgir; Umapolíticadesegurançanãodeveserumalistadeameaça,eladevesergenéricaevariarcompoucotempo; 54
  55. 55. Algunsdefiniçõesdapolíticadesegurança: Pensenoproprietário–Ainformaçãoeoequipamentodevemterumproprietário. Sejapositivo–Aspessoasrespondemmelhorasentençaspositivasdoqueanegativas; Todossomospessoas–Inclusiveusuários!Epessoascometemerros; Responsabilidadedeveserseguidadeautoridade–Sevocêéresponsávelpelasegurança,masnãotemautoridade,suafunçãonaorganizaçãoseráapenasassumiraculpaquandoalgosairerrado; Definiaafilosofiadapolítica–Tudoquenãoforproibidoepermitidooutudoquenãoforpermitidoeproibido; Sejaabrangenteeprofundo–Nãosejasuperficialnacriaçãodapolítica,incluadiferentesníveisdeproteção; 55
  56. 56. Umapolíticadesegurançadeveserformadapor: Escopo; Posicionamentodaorganização; Aplicabilidade; Funçõeseresponsabilidades; Complacência; Pontosdecontatoeoutrasinformações; 56
  57. 57. ISO 1.7799 57
  58. 58. PadrãoISO1.7799 Éumpadrãodenormasinternacionaisparagerenciamentodesegurançadainformação.AISOéorganizadaemdezprincipaissessões,ecadaumacobrediferentestópicoseáreas. AISOdefineosdezpilaresdesegurançadainformaçãoquedevemserregularmenteseguidospelaempresasquedesejamsercertificadas: Planodecontinuidadedenegócios; Políticasdecontroledeacesso; Políticasdedesenvolvimentoemanutençãodesistemas; Políticasdesegurançafísicaedeambiente; 58
  59. 59. Políticas de segurança pessoal; Políticas de gerenciamento dos computadores e das redes; Políticas de controle e classificação de ativos; Política global de segurança da informação; Análise de conformidade; Aspectos legais. 59
  60. 60. AuditorianaISSO1.7799 Éaverificaçãodasatividadesdosistemaeadeterminaçãodoquefoifeito,porquem,quandoeoquefoiafetado.Aauditoriaaplica-senãoapenasàverificaçãodeatividadesdeusuáriosnãoautorizados, mastambémdosusuáriosautorizados. Emaplicaçõescríticas,oníveldedetalhesnosregistrosdeauditoriapodesersuficienteapontosersuficienteapontodepermitirdesfazeroperaçõesparaajudaratrazerosistemaaumestadocorretodeoperação. Oprocessodeauditoriaéessencialparaverificaçãodocumprimentodaspolíticasdesegurançadainformaçãonaorganização. 60
  61. 61. 61

×