Luis Batista
Autenticação e Controlo de Acessos
Redes e Serviços de ComunicaçõesMóveis
Luis Batista
Autenticação
Redes e Serviços de ComunicaçõesMóveis
Agenda
Autenticação
Factores de autenticação
Mecanismos de acesso
Protocolos
Luis Batista Redes e Serviços de Comunicações...
Autenticação
Do grego Αυθεντικός
Αυθεν + τικός
Autor + real
É o acto de confirmar que alguém (ou algo) é
realmente essa pe...
Autenticação
Em segurança da informação
Autenticação é o processo que visa verificar
a identidade de um utilizador de um s...
Factores de autenticação
Os factores de autenticação para humanos são normalmente
classificados em três casos.
SYH
SYK
SYA...
Algo que se sabe
Luis Batista Redes e Serviços de ComunicaçõesMóveis
As mais utilizadas
Pode ser observada ou “escutada” d...
Algo que se tem
Luis Batista Redes e Serviços de ComunicaçõesMóveis
É a menos segura
Sujeita a roubos ou duplicações
Algo que se é
Luis Batista Redes e Serviços de ComunicaçõesMóveis
A menos utilizada
Muita tolerância - autenticação de imp...
One time password
É uma senha de acesso temporária de uma única utilização
O próprio utilizador não conhece a senha
É alea...
Autenticação de 2 passos
Luis Batista Redes e Serviços de ComunicaçõesMóveis
Mecanismos de acesso
Baseados no conhecimento
identificação e senha
Baseados na propriedade
identificação, senha e token
B...
Mecanismos baseados no conhecimento
Implementação de mecanismos
– Os caracteres indevidos são removidos, para evitar ataqu...
Mecanismos baseados no conhecimento
– A senha é criptografada
– Verifica se o utilizador existe na BD e se a senha introdu...
Mecanismos baseados na propriedade
– Utiliza um token, para além do id e senha
– Durante o autenticação do utilizador, são...
Mecanismos baseados na característica
Implementação de mecanismos
– Cada utilizador tem uma ou mais “imagens” registadas n...
Protecção
A protecção da autenticação depende da comunicação segura
do armazenamento de dados
– Todas as comunicação devem...
Protocolos
Utilizam mecanismos de password para autenticar utilizadores
– Point-to-Point Protocol (PPP)
– RADIUS
– Kerbero...
Autenticação - Protocolos
Point-to-Point Protocol - mecanismos
PAP (Password Authentication Protocol)
Não encripta passwor...
CHAP
Challenge Handshake Authentication Protocol (CHAP)
Luis Batista Redes e Serviços de ComunicaçõesMóveis
EAP - Versões
Sistema de autenticação universal usado nas redes wireless e
redes ponto-a-ponto
Luis Batista Redes e Serviç...
AAA
Autenticação, Autorização e Auditoria - Permite
a um utilizador ou PC aceder à rede e usar os
seus recursos
– Autentic...
AAA
É usado em cenários onde um servidor de
acesso à rede (NAS) ou um servidor de acesso
remoto (RAS) age como um switch, ...
AAA - Protocolos
*RADIUS (Remote Authentication Dial In User Service)
*TACACS+
Diameter
*RADIUS e TACACS+ não definem a qu...
RADIUS
O servidor frontend envia a informação do utilizador
através de credenciais para o servidor RADIUS (backend)
com pa...
RADIUS
1º servidor – proxy
2º servidor – autenticação
3º servidor (opcional) – concurrência
Luis Batista Redes e Serviços ...
RADIUS
A transacção começa normalmente com um pedido de acesso
carregando as credenciais do utilizador, seguindo de uma re...
RADIUS
Durante a sessão são trancsacionado pedidos de auditoria que
monitorizam o tempo de sessão, fim da sessão, etc.
Lui...
RADIUS
Uso comercial
Luis Batista Redes e Serviços de ComunicaçõesMóveis
Kerberos
Luis Batista Redes e Serviços de ComunicaçõesMóveis
Servidor de autenticação (Authentication Server ou Trusted
Th...
Kerberos
Luis Batista Redes e Serviços de ComunicaçõesMóveis
Luis Batista
Controlo de Acessos
Redes e Serviços de ComunicaçõesMóveis
Agenda
Controlo de acessos
Firewalls
IDS - Intrusion Detection System
IPS - Intrusion Prevention System
Luis Batista Redes...
Controlo de Acessos
Pode-se comparar o controlo de acessos de um sistema
de informação a uma empresa.
LAN – Empresa
Empres...
Firewalls
Barreiras interpostas entre a rede privada e a rede externa
Existem em equipamentos ou aplicações
Objectivo
evit...
Firewalls - implementação
Considerações a ter em conta na implementação da firewall
de onde será originada uma ameaça sist...
Firewalls - implementação
+ considerações - revisão de políticas
determinar o que se quer proteger e qual a sua importânci...
Firewalls - auditoria
+ considerações - auditoria (análise de logs)
em caso de “perseguição” (keyloggers)
disponibilização...
Firewalls
+ considerações
aplicação de filtros
sujeito a vírus – integração com antivírus
outros motivos
e a performance?
...
Firewalls - arquitectura
Arquitectura baseada num router e firewall
Uma das mais comuns
Internet Firewall Intranet
Servido...
Firewalls - tipos
Packet filtering
método mais básico (integrados nos routers)
trabalha com os valores transportados em ca...
Firewalls – Packet Filtering
Sites totalmente bloqueados não podem ser acedidos pelos
utilizadores da rede segura
Complexi...
Firewalls – Aplication Proxy
Trabalha com os valores transportados em cada pacote TCP/IP
e porta origem/destino)
São inter...
Firewalls - Aplication Proxy
Desvantagens
Requerem grandes quantidades de recursos do computador
Ocorrência de eventuais p...
Firewalls – soluções híbridas
São as melhores abordagens
Vantangens
Combinam vários métodos de protecção, por exemplo, a c...
Firewalls – soluções híbridas
Desvantagens
Compra de software e/ou hardware adicional
Não há incorporações com outro dispo...
Variam – boas para um site, más para outros
“KISS - Keep it simple, stupid” ”
Flexíbilidade e de fácil manutenção
Suporte ...
Controlo de acesso a serviços
Negação ou permissão
Filtro de tráfego
Negação ou permissão de acesso a serviços oferecidos ...
Suporte de características de proxy para os principais
serviços
HTTP, SMTP, FTP
Permitir o acesso a servidores públicos
Nã...
Logs do tráfego
Acessos e tentativas de acesso
Disponibilização de ferramentas para uma fácil análise dos logs
Suporte téc...
IDS - Intrusion Detection Systems
Tem vindo a ganhar interesse devido ao grande
crescimento do número de intrusões
Necessi...
IDS - termos
Falsos positivos
situações “benignas” – tipicamente um erro
Falsos negativos
situações de falha – falha no si...
IDS - termos
Algorítmo
método usado pela assinatura
Intrusão
actividades concatenadas que colocam a segurança
dos recursos...
Ataque
uma tentativa falhada de entrada no sistema (não é executada
nenhuma transgressão)
Incidente
violação das regras do...
Modelação de intrusões
uma modelação temporal de actividades - a intrusão
1. o intruso inicia o seu ataque com uma acção i...
Sistema de defesa
detecção de actividades “inimigas”
detectar/impedir as actividades comprometedoras
– tentativas de ports...
Pattern Matching
procura por sequências fixas de bytes num único
pacote
apenas se houver associação do padrão a
um serviço...
Vantagens
método mais simples de IDS
permite correlações directas de um exploit com o padrão
altamente específico
gera ale...
Desvantagens
probabilidade de ocorrência de taxas elevadas de falsos
positivos
as modificações ao ataque podem conduzir à ...
Análise heurística
Lógica algorítmica para tomar decisões de alarme
São frequentemente avaliações estatísticas do tipo de ...
Vantagens
Alguns tipos de actividades suspeitas ou maliciosas não podem
ser detectadas por qualquer outro meio.
Redes e Se...
Análise à anomalia
Procura tráfego “anormal” (problema?)
Pacotes de comunicação que não coincidem com o estado da ligação
...
Vantagens
Quando implementado correctamente, podem detectar ataques
desconhecidos/novos
Menores cargas - não é necessário ...
Desvantagens
Não fornecem dados concretos da intrusão - acontece um
“desastre” mas o sistema não consegue determiná-lo
Alt...
Os IDS
Utilizam apenas uma das metodologias como core
e fracções das outras metodologias (antes ou depois de analisar
os d...
Os IDS são
Um elemento de core
Um sensor (pelo menos)
responsável pelas decisões a tomar
recebem os dados de três fontes p...
protecção do ataque
prevenção de intrusões
boa combinação de “iscas e
armadilhas” – para a investigação e
ameaças (Honey p...
IDS
Infraestrutura IDS
Adicional
Monitoriza Notifica
Sistema a proteger
Reage
Intrusion Detection Systems - IDS
Redes e Se...
É uma evolução/extensão do IDS
Actua após o alerta dado pelo IDS
E previne a realização do ataque no sistema
Ao receber o ...
Os métodos de autenticação e controlo de acessos não são mais
que sistemas de segurança para proteger sistemas de informaç...
Apesar de recorrerem a algorítmos sofisticados e a métodos de
proteção efecientes, os sistemas de segurança dependem sempr...
Algumas questões
Luis Batista Redes e Serviços de ComunicaçõesMóveis
Quais os 3 factores de autenticação mais usados?
Luis Batista Redes e Serviços de ComunicaçõesMóveis
SYK
SYH
SYA
Luis Batista Redes e Serviços de ComunicaçõesMóveis
Para quê optar por uma abordagem híbrida
na implementação de uma firewall?
Luis Batista Redes e Serviços de ComunicaçõesMó...
Para obter uma maior a segurança, combinando
o melhor de cada tipo de firewall
isto é, tirar partido das vantagens do
pack...
Quais as metodologias usadas no IDS?
Luis Batista Redes e Serviços de ComunicaçõesMóveis
Pattern Matching
Análise heurística
Análise à anomalia
...
Luis Batista Redes e Serviços de ComunicaçõesMóveis
Próximos SlideShares
Carregando em…5
×

Autenticação e controlo de acessos

353 visualizações

Publicada em

Apresentação sobre Segurança, especificamente em autenticação e controlo de acessos em sistemas de informação.

Publicada em: Tecnologia
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Autenticação e controlo de acessos

  1. 1. Luis Batista Autenticação e Controlo de Acessos Redes e Serviços de ComunicaçõesMóveis
  2. 2. Luis Batista Autenticação Redes e Serviços de ComunicaçõesMóveis
  3. 3. Agenda Autenticação Factores de autenticação Mecanismos de acesso Protocolos Luis Batista Redes e Serviços de ComunicaçõesMóveis
  4. 4. Autenticação Do grego Αυθεντικός Αυθεν + τικός Autor + real É o acto de confirmar que alguém (ou algo) é realmente essa pessoa e não outra a fazer-se passar por ela. Luis Batista Redes e Serviços de ComunicaçõesMóveis
  5. 5. Autenticação Em segurança da informação Autenticação é o processo que visa verificar a identidade de um utilizador de um sistema digital no momento em que este requisita o acesso. Luis Batista Redes e Serviços de ComunicaçõesMóveis
  6. 6. Factores de autenticação Os factores de autenticação para humanos são normalmente classificados em três casos. SYH SYK SYA Luis Batista Redes e Serviços de ComunicaçõesMóveis
  7. 7. Algo que se sabe Luis Batista Redes e Serviços de ComunicaçõesMóveis As mais utilizadas Pode ser observada ou “escutada” de várias formas
  8. 8. Algo que se tem Luis Batista Redes e Serviços de ComunicaçõesMóveis É a menos segura Sujeita a roubos ou duplicações
  9. 9. Algo que se é Luis Batista Redes e Serviços de ComunicaçõesMóveis A menos utilizada Muita tolerância - autenticação de impostor Pouca tolerância - rejeição de utilizador válido
  10. 10. One time password É uma senha de acesso temporária de uma única utilização O próprio utilizador não conhece a senha É aleatória e gerada no momento Possui uma função hash (por norma o MD4) Luis Batista Redes e Serviços de ComunicaçõesMóveis
  11. 11. Autenticação de 2 passos Luis Batista Redes e Serviços de ComunicaçõesMóveis
  12. 12. Mecanismos de acesso Baseados no conhecimento identificação e senha Baseados na propriedade identificação, senha e token Baseados na característica digital Luis Batista Redes e Serviços de ComunicaçõesMóveis
  13. 13. Mecanismos baseados no conhecimento Implementação de mecanismos – Os caracteres indevidos são removidos, para evitar ataques como os de injecção de SQL – Verifica se a variável id está preenchida – Valida os formulários, de acordo com as regras definidas – Não permite que as variáveis de identificação e senha estejam em branco Luis Batista Redes e Serviços de ComunicaçõesMóveis
  14. 14. Mecanismos baseados no conhecimento – A senha é criptografada – Verifica se o utilizador existe na BD e se a senha introduzida corresponde ao utilizador. Se a senha estiver correcta, a aplicação lista os privilégios deste e salva as informações em variáveis de sessão – Permite o acesso e faz o reencaminhamento para o sistema Luis Batista Redes e Serviços de ComunicaçõesMóveis
  15. 15. Mecanismos baseados na propriedade – Utiliza um token, para além do id e senha – Durante o autenticação do utilizador, são registados na BD os tokens de acessso – Estes tokens são gerados aleatóriamente – No painel de acesso são solicitados o id, senha e o token – Se a verificação for correta, o acesso é dado ao utilizador Luis Batista Redes e Serviços de ComunicaçõesMóveis
  16. 16. Mecanismos baseados na característica Implementação de mecanismos – Cada utilizador tem uma ou mais “imagens” registadas na BD – Requer uso de hardware específico para a leitura da imagem – Requer o uso de software para fazer a comparação com a imagem registada na BD – Caso haja confirmação digital, o acesso ao sistema é dado Luis Batista Redes e Serviços de ComunicaçõesMóveis
  17. 17. Protecção A protecção da autenticação depende da comunicação segura do armazenamento de dados – Todas as comunicação devem estar encriptadas através da utilização do protocolo SSL – O protocolo de segurança deve ser o mesmo em todas as partes autenticadas – Os dados armazenados estão encriptados e/ou em hash Luis Batista Redes e Serviços de ComunicaçõesMóveis
  18. 18. Protocolos Utilizam mecanismos de password para autenticar utilizadores – Point-to-Point Protocol (PPP) – RADIUS – Kerberos – TACACS+ – Diameter Luis Batista Redes e Serviços de ComunicaçõesMóveis
  19. 19. Autenticação - Protocolos Point-to-Point Protocol - mecanismos PAP (Password Authentication Protocol) Não encripta passwords Mais simples na implementação CHAP (Challenge Handshake Authentication Protocol) EAP (Extensible Authentication Protocol). PAP e CHAP são os mais implementados EAP é o mais robusto (PEAP – Protected EAP : Microsoft, Cisco e RSA Security) Redes e Serviços de Comunicações MóveisLuis Batista
  20. 20. CHAP Challenge Handshake Authentication Protocol (CHAP) Luis Batista Redes e Serviços de ComunicaçõesMóveis
  21. 21. EAP - Versões Sistema de autenticação universal usado nas redes wireless e redes ponto-a-ponto Luis Batista Redes e Serviços de ComunicaçõesMóveis – LEAP - Lightweight Extensible Authentication Protocol (Cisco) – EAP-TLS (o mais usado) – EAP-MD5 – PEAP
  22. 22. AAA Autenticação, Autorização e Auditoria - Permite a um utilizador ou PC aceder à rede e usar os seus recursos – Autenticação – o utilizador com quem comunico é autentico – Autorização – o que o que utilizador pode fazer – Auditoria – o que o utilizador faz Luis Batista Redes e Serviços de ComunicaçõesMóveis
  23. 23. AAA É usado em cenários onde um servidor de acesso à rede (NAS) ou um servidor de acesso remoto (RAS) age como um switch, garantindo desta forma o acesso à rede ao utilizador. Luis Batista Redes e Serviços de ComunicaçõesMóveis
  24. 24. AAA - Protocolos *RADIUS (Remote Authentication Dial In User Service) *TACACS+ Diameter *RADIUS e TACACS+ não definem a quem é dado o acesso nem o que o utilizador pode ou não fazer. Apenas servem para transporte da informação entre o cliente e o servidor de autenticação. As polítcas de acesso podem ser configuradas pelo SGBD. Luis Batista Redes e Serviços de ComunicaçõesMóveis
  25. 25. RADIUS O servidor frontend envia a informação do utilizador através de credenciais para o servidor RADIUS (backend) com pacotes RADIUS. Acessos e privilégios são implementddos pelo servidor RADIUS ou pelas políticas de base de dados. Luis Batista Redes e Serviços de ComunicaçõesMóveis
  26. 26. RADIUS 1º servidor – proxy 2º servidor – autenticação 3º servidor (opcional) – concurrência Luis Batista Redes e Serviços de ComunicaçõesMóveis
  27. 27. RADIUS A transacção começa normalmente com um pedido de acesso carregando as credenciais do utilizador, seguindo de uma resposta do servidor com a permissão ou negação de acesso. Luis Batista Redes e Serviços de ComunicaçõesMóveis
  28. 28. RADIUS Durante a sessão são trancsacionado pedidos de auditoria que monitorizam o tempo de sessão, fim da sessão, etc. Luis Batista Redes e Serviços de ComunicaçõesMóveis
  29. 29. RADIUS Uso comercial Luis Batista Redes e Serviços de ComunicaçõesMóveis
  30. 30. Kerberos Luis Batista Redes e Serviços de ComunicaçõesMóveis Servidor de autenticação (Authentication Server ou Trusted Third Party) Verifica a identidade de utilizadores e serviços – utilizando chaves secretas e o algoritmo de encriptação DES Desenvolvido MIT para uso interno Considera a existência de dois servidores de autenticação Autenticação inicial dos agentes e obtenção das credenciais (tickets) Separa a autenticação dos clientes da obtenção de credenciais
  31. 31. Kerberos Luis Batista Redes e Serviços de ComunicaçõesMóveis
  32. 32. Luis Batista Controlo de Acessos Redes e Serviços de ComunicaçõesMóveis
  33. 33. Agenda Controlo de acessos Firewalls IDS - Intrusion Detection System IPS - Intrusion Prevention System Luis Batista Redes e Serviços de ComunicaçõesMóveis
  34. 34. Controlo de Acessos Pode-se comparar o controlo de acessos de um sistema de informação a uma empresa. LAN – Empresa Empresa: Escritórios – ambiente de trabalho Salas de arquivo – servidores Corredores – routers Sala de espera - DMZ (zona desmilitarizada) Luis Batista Redes e Serviços de ComunicaçõesMóveis
  35. 35. Firewalls Barreiras interpostas entre a rede privada e a rede externa Existem em equipamentos ou aplicações Objectivo evitar ataques (vírus, hackers) monitorizar e filtrar todo o tráfego que fluí entre duas redes bloquear completamente certos tipos de tráfego localizados estrategicamente (onde?) Redes e Serviços de Comunicações MóveisLuis Batista
  36. 36. Firewalls - implementação Considerações a ter em conta na implementação da firewall de onde será originada uma ameaça sistema e porque razões? não pensar que firewall = segurança (porquê?) Redes e Serviços de Comunicações MóveisLuis Batista
  37. 37. Firewalls - implementação + considerações - revisão de políticas determinar o que se quer proteger e qual a sua importância determinar como ocorrerão as comunicações na firewall onde deve ser colocado como configurá-lo número de firewalls o esquema da ligação manutenção após a ligação Redes e Serviços de Comunicações MóveisLuis Batista
  38. 38. Firewalls - auditoria + considerações - auditoria (análise de logs) em caso de “perseguição” (keyloggers) disponibilização de logs equipe e protocolo – aptos a actuar Redes e Serviços de Comunicações MóveisLuis Batista
  39. 39. Firewalls + considerações aplicação de filtros sujeito a vírus – integração com antivírus outros motivos e a performance? suporte para autenticação suporte para alterar passwords, mover bases de dados, executar scripts para manipulação da base de dados, etc acessos remotos (ligações para o interior) será ou não preferível optar por uma VPN? revisão da arquitectura Redes e Serviços de Comunicações MóveisLuis Batista
  40. 40. Firewalls - arquitectura Arquitectura baseada num router e firewall Uma das mais comuns Internet Firewall Intranet Servidor WWW Servidor FTP Servidor SMTP DMZ Router Switch Redes e Serviços de Comunicações MóveisLuis Batista
  41. 41. Firewalls - tipos Packet filtering método mais básico (integrados nos routers) trabalha com os valores transportados em cada pacote TCP/IP (end IP e porta origem/destino) simples de criar não é suficiente Redes e Serviços de Comunicações Móveis Application proxy Stateful Inspection Luis Batista
  42. 42. Firewalls – Packet Filtering Sites totalmente bloqueados não podem ser acedidos pelos utilizadores da rede segura Complexidade de manutenção introdução manual processo que se torna dificil de gerir Redes e Serviços de Comunicações MóveisLuis Batista
  43. 43. Firewalls – Aplication Proxy Trabalha com os valores transportados em cada pacote TCP/IP e porta origem/destino) São intermediários Requerem autenticação (recorre à criptografia e passwords) Capazes de rejeitar pacotes com determinadas extenções (exe, zip) Excelentes níveis de segurança e controlo de acesso Podem providenciar um elevado nível de protecção contra ataques do tipo Deniel of Service (DoS) Redes e Serviços de Comunicações MóveisLuis Batista
  44. 44. Firewalls - Aplication Proxy Desvantagens Requerem grandes quantidades de recursos do computador Ocorrência de eventuais paragens ou diminuições de velocidades na rede Mais complexos em termos de configuração e manutenção Nem todas as aplicações têm proxies disponíveis Redes e Serviços de Comunicações MóveisLuis Batista
  45. 45. Firewalls – soluções híbridas São as melhores abordagens Vantangens Combinam vários métodos de protecção, por exemplo, a combinação entre packet filter e stateful inspection Fornece funções de segurança a um elevado número de destinatários O stateful inspection juntamente com os proxies combinam o desempenho e as vantagens das políticas de segurança do stateful inspection com o elevado nível de resistência a DoS do proxy Redes e Serviços de Comunicações MóveisLuis Batista
  46. 46. Firewalls – soluções híbridas Desvantagens Compra de software e/ou hardware adicional Não há incorporações com outro dispositivo de rede existente Redes e Serviços de Comunicações MóveisLuis Batista
  47. 47. Variam – boas para um site, más para outros “KISS - Keep it simple, stupid” ” Flexíbilidade e de fácil manutenção Suporte às políticas de segurança definidas para a rede Sem impor restrições Firewalls – características desejáveis Redes e Serviços de Comunicações MóveisLuis Batista
  48. 48. Controlo de acesso a serviços Negação ou permissão Filtro de tráfego Negação ou permissão de acesso a serviços oferecidos por servidores específicos endereços IP, tipos de protocolos, portas e interfaces Suporte à autenticação Firewalls – características desejáveis Redes e Serviços de Comunicações MóveisLuis Batista
  49. 49. Suporte de características de proxy para os principais serviços HTTP, SMTP, FTP Permitir o acesso a servidores públicos Não comprometendo a segurança das zonas não privadas da rede Redes e Serviços de Comunicações Móveis Firewalls – características desejáveis Luis Batista
  50. 50. Logs do tráfego Acessos e tentativas de acesso Disponibilização de ferramentas para uma fácil análise dos logs Suporte técnico Patchs e resolução de problemas e bugs Interface de configuração e administração amigável e flexível Redes e Serviços de Comunicações Móveis Firewalls – características desejáveis Luis Batista
  51. 51. IDS - Intrusion Detection Systems Tem vindo a ganhar interesse devido ao grande crescimento do número de intrusões Necessidade de monitorização tentativas de ataque falhas da rede calcular precisamente a extensão dos estragos Existe a fechadura mas não existe câmara de segurança Redes e Serviços de Comunicações MóveisLuis Batista
  52. 52. IDS - termos Falsos positivos situações “benignas” – tipicamente um erro Falsos negativos situações de falha – falha no sistema Assinaturas conjunto de condições que, quando reunidas, indicam algum tipo de intrusão Redes e Serviços de Comunicações MóveisLuis Batista
  53. 53. IDS - termos Algorítmo método usado pela assinatura Intrusão actividades concatenadas que colocam a segurança dos recursos TI em perigo Redes e Serviços de Comunicações MóveisLuis Batista
  54. 54. Ataque uma tentativa falhada de entrada no sistema (não é executada nenhuma transgressão) Incidente violação das regras do sistema de segurança - intrusão bem sucedida IDS - termos Redes e Serviços de Comunicações MóveisLuis Batista
  55. 55. Modelação de intrusões uma modelação temporal de actividades - a intrusão 1. o intruso inicia o seu ataque com uma acção introdutória 2. tenta outras auxiliares 3. até conseguir o acesso bem sucedido Sensores Network Intrusion Detection System (NIDS) Host Sensors IDS - termos Redes e Serviços de Comunicações MóveisLuis Batista
  56. 56. Sistema de defesa detecção de actividades “inimigas” detectar/impedir as actividades comprometedoras – tentativas de portscans facilitar a visualização de actividade suspeita emissão de alertas bloqueio de ligações distinção de ataques internos/externos Redes e Serviços de Comunicações Móveis IDS - caracterização Luis Batista
  57. 57. Pattern Matching procura por sequências fixas de bytes num único pacote apenas se houver associação do padrão a um serviço concreto uma porta específica Exemplo: TCP com destino à porta 2222 e payload contendo 123 Redes e Serviços de Comunicações Móveis IDS - Metodologias Luis Batista
  58. 58. Vantagens método mais simples de IDS permite correlações directas de um exploit com o padrão altamente específico gera alertas com o padrão especificado aplicável em todos os protocolos Redes e Serviços de Comunicações Móveis IDS - Pattern Matching Luis Batista
  59. 59. Desvantagens probabilidade de ocorrência de taxas elevadas de falsos positivos as modificações ao ataque podem conduzir à falta de eventos (falsos negativos) necessidade de múltiplas assinaturas para tratar de uma única ameaça não aconselhado à natureza de tráfego de dados do HTTP Redes e Serviços de Comunicações Móveis IDS - Pattern Matching Luis Batista
  60. 60. Análise heurística Lógica algorítmica para tomar decisões de alarme São frequentemente avaliações estatísticas do tipo de tráfego apresentado Redes e Serviços de Comunicações Móveis IDS - Metodologias Luis Batista
  61. 61. Vantagens Alguns tipos de actividades suspeitas ou maliciosas não podem ser detectadas por qualquer outro meio. Redes e Serviços de Comunicações Móveis IDS - Análise heurística Desvantagens Os algoritmos podem requerer afinações ou modificações (para adequação de tráfego e limitação de falsos positivos). Luis Batista
  62. 62. Análise à anomalia Procura tráfego “anormal” (problema?) Pacotes de comunicação que não coincidem com o estado da ligação Pacotes de comunicação que se encontram severamente fora da sequência Subcategoria – detecção de métodos de perfis forma como os utilizadores ou sistemas interagem com a rede Possível detectar ataques em curso Fornecem pouca informação, são vagos e requerem demasiada investigação IDS - Metodologias Luis Batista Redes e Serviços de ComunicaçõesMóveis
  63. 63. Vantagens Quando implementado correctamente, podem detectar ataques desconhecidos/novos Menores cargas - não é necessário desenvolver novas assinaturas IDS – Análise à anomalia Luis Batista Redes e Serviços de ComunicaçõesMóveis
  64. 64. Desvantagens Não fornecem dados concretos da intrusão - acontece um “desastre” mas o sistema não consegue determiná-lo Altamente dependente do ambiente que os sistemas definem como normal IDS – Análise à anomalia Luis Batista Redes e Serviços de ComunicaçõesMóveis
  65. 65. Os IDS Utilizam apenas uma das metodologias como core e fracções das outras metodologias (antes ou depois de analisar os dados) – Devido à degradação da performance A detecção prematura de um intruso - evitar danos Quanto mais cedo, melhor! Eficiência - desencorajar ataques IDS Luis Batista Redes e Serviços de ComunicaçõesMóveis
  66. 66. Os IDS são Um elemento de core Um sensor (pelo menos) responsável pelas decisões a tomar recebem os dados de três fontes principais base de dados do próprio IDS syslog (configuração, permissões, utilizadores, etc) Auditorias estrutura da base para o processo de futuras tomadas de decisão Redes e Serviços de Comunicações Móveis IDS Luis Batista
  67. 67. protecção do ataque prevenção de intrusões boa combinação de “iscas e armadilhas” – para a investigação e ameaças (Honey pots) desvio da atenção do intruso dos recursos protegidos repulsão (muitas vezes conseguida) exame dos dados IDS Prevenção Monitorização Detecção Reacção Simulação Análise Notificação Redes e Serviços de Comunicações Móveis IDS - Tarefas Luis Batista
  68. 68. IDS Infraestrutura IDS Adicional Monitoriza Notifica Sistema a proteger Reage Intrusion Detection Systems - IDS Redes e Serviços de Comunicações MóveisLuis Batista
  69. 69. É uma evolução/extensão do IDS Actua após o alerta dado pelo IDS E previne a realização do ataque no sistema Ao receber o alerta executa a acção de prevenção Como bloquear o IP da origem do ataque IPS – Instrusion Prevention System Luis Batista Redes e Serviços de ComunicaçõesMóveis
  70. 70. Os métodos de autenticação e controlo de acessos não são mais que sistemas de segurança para proteger sistemas de informação Não há sistemas 100% seguros - apenas a ideia de sistemas seguros (uma ilusão!!) A implementação de um sistema de seguro não é dificil ou complexa se a solução estiver bem desenhada (o mito de que os sistemas de segurança são complicados...) Conclusão Luis Batista Redes e Serviços de ComunicaçõesMóveis
  71. 71. Apesar de recorrerem a algorítmos sofisticados e a métodos de proteção efecientes, os sistemas de segurança dependem sempre de intervenção humana (criatividade no desenho da arquitetura e manutenção do sistema) Não são resistentes à mudança - pois não há sistemas estanques - a criatividade humana e o progresso tecnológico ditam as novas necidades a implementar nos sistemas de autenticação e controlo de acesso! Conclusão Luis Batista Redes e Serviços de ComunicaçõesMóveis
  72. 72. Algumas questões Luis Batista Redes e Serviços de ComunicaçõesMóveis
  73. 73. Quais os 3 factores de autenticação mais usados? Luis Batista Redes e Serviços de ComunicaçõesMóveis
  74. 74. SYK SYH SYA Luis Batista Redes e Serviços de ComunicaçõesMóveis
  75. 75. Para quê optar por uma abordagem híbrida na implementação de uma firewall? Luis Batista Redes e Serviços de ComunicaçõesMóveis
  76. 76. Para obter uma maior a segurança, combinando o melhor de cada tipo de firewall isto é, tirar partido das vantagens do packet filtering e appilcation proxy, por exemplo Fornecer funções de segurança a um elevado número de destinatários Luis Batista Redes e Serviços de ComunicaçõesMóveis
  77. 77. Quais as metodologias usadas no IDS? Luis Batista Redes e Serviços de ComunicaçõesMóveis
  78. 78. Pattern Matching Análise heurística Análise à anomalia ... Luis Batista Redes e Serviços de ComunicaçõesMóveis

×