Controle de Acesso

4.218 visualizações

Publicada em

0 comentários
2 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
4.218
No SlideShare
0
A partir de incorporações
0
Número de incorporações
70
Ações
Compartilhamentos
0
Downloads
223
Comentários
0
Gostaram
2
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide
  • Tipo Memory – pode ser usado em aplicações médicas. O paciente ao entrar no consultório, passa seu smart card em um leitor e o médico tem acesso a rodo o seu histórico. Antes de sair da consulta o médico pode atualizar essas informações. Dinheiro virtual – quem não gosta de carregar dinheiro nem cartão de débito ou crédito, os novos celulares com tecnologia NFC (near field communication – curto alcance) serão de grande valia. Contam com um chip embutido que tx informações para um leitor a curtíssima distância, via ondas rádio (freq. 13,56 mhz). Podem ser usados para pgto de compras ou tx de arquivos para dispositivos com a mesma tecnologia. Ex. Nokia 6131 com NFC faz parte de um piloto na Inglaterra como carteira digital: compras em lojas, bilhetes de ônibus, trens e metro de Londres.
  • Biometria: Reconhecimento Facial OpenSource! Malic - Reconhecimento facial open-source O reconhecimento facial é um dos processos de identificação mais utilizados pelos seres humanos, pois permite identificar rapidamente qualquer pessoa e assim definir o tipo apropriado de interação com ela. Além de identificar, podemos perceber o estado emocional de uma pessoa apenas observando sua expressão facial. Embora o reconhecimento facial seja uma tarefa simples para o ser humano, é extremamente complexo implementar esse processo em uma máquina, pois não sabemos, ao certo, como o cérebro humano realiza essa tarefa. O cérebro humano pode identificar corretamente uma pessoa a partir de sua imagem facial mesmo sobre as mais diversas condições, como variações de iluminação, observando apenas uma de suas características ou partes, e até mesmo com distorções ou deformações. Existem diversas técnicas que podem ser utilizadas para a criação de um sistema de reconhecimento facial. Descreveremos as técnicas utilizadas para a construção de um sistema de reconhecimento facial que, a partir de uma fotografia ou imagem de vídeo, seja capaz de extrair a imagem facial da pessoa e verificar se essa pessoa pertence ou não a uma base de dados com imagens faciais previamente construídas. http://www.vivaolinux.com.br/artigos/impressora.php?codigo=8209
  • Controle de Acesso

    1. 1. Prof: Cássio Alexandre Ramos [email_address] http://cassioaramos.blogspot.com http://www.facebook.com/cassioaramos BEM-VINDO À DISCIPLINA DE: Controle de Acesso
    2. 2. <ul><li>Agenda </li></ul><ul><ul><li>Introdução </li></ul></ul><ul><ul><li>Identificação, autenticação, autorização e registro </li></ul></ul><ul><ul><li>Métodos de Autenticação e Características </li></ul></ul><ul><ul><li>Gerência de Identidades </li></ul></ul><ul><ul><li>Modelos </li></ul></ul><ul><ul><li>Outras tecnologias de CA </li></ul></ul><ul><ul><li>Controle de Acesso Centralizado </li></ul></ul>Sistemas de Controle de Acesso
    3. 3. <ul><li>Tecnologias de CA são importantes componentes da arquitetura de segurança dos sistemas </li></ul><ul><li>São responsáveis por: </li></ul><ul><ul><li>Quais recursos podem ser acessados </li></ul></ul><ul><ul><ul><li>hardware - impressoras, discos, etc. </li></ul></ul></ul><ul><ul><ul><li>software - que sistemas podem ser utilizados? Ex. CATG </li></ul></ul></ul><ul><ul><li>Quais operações podem ser realizadas </li></ul></ul><ul><ul><ul><li>Ex. Acesso a home banking </li></ul></ul></ul><ul><ul><li>Quais são os componentes autorizados a desempenhar tais operações </li></ul></ul><ul><ul><ul><li>Administrador – config, instala programas, gerencia memória, proc e etc. </li></ul></ul></ul><ul><ul><ul><li>usuário do sistema </li></ul></ul></ul>Introdução
    4. 4. Requisitos Básicos da Segurança <ul><li>Disponibilidade - Certeza que os dados estão acessíveis quando e onde forem necessários </li></ul><ul><li>Integridade - Certeza que os dados não foram alterados - por acidente ou intencionalmente </li></ul><ul><li>Confidencialidade - Certeza que somente as pessoas autorizadas a acessar os dados podem acessá-los </li></ul>
    5. 5. Requisitos Básicos da Segurança <ul><li>Elementos Utilizados para Garantir a C onfidencialidade </li></ul><ul><ul><li>Criptografia dos dados </li></ul></ul><ul><ul><li>Controle de acesso </li></ul></ul><ul><li>Elementos para garantir a I ntegridade (md5sum) </li></ul><ul><ul><li>Assinatura digital </li></ul></ul><ul><ul><li>MD5- hash </li></ul></ul><ul><li>Elementos para garantir a D isponibilidade </li></ul><ul><ul><li>Backup </li></ul></ul><ul><ul><li>Tolerância a falhas </li></ul></ul><ul><ul><li>Redundância </li></ul></ul>
    6. 6. Tipos <ul><li>Podemos classificar as tecnologias em três tipos básicos </li></ul><ul><ul><li>Host </li></ul></ul><ul><ul><li>Sistemas </li></ul></ul><ul><ul><li>Rede </li></ul></ul>
    7. 7. Host <ul><li>Tecnologias que controlam o acesso a recursos do S.O </li></ul><ul><ul><li>Implementada normalmente nos sistemas operacionais </li></ul></ul><ul><ul><li>Ex. login </li></ul></ul><ul><li>Recursos mais comuns a serem protegidos </li></ul><ul><ul><li>Arquivos </li></ul></ul><ul><ul><li>Objetos </li></ul></ul><ul><li>Serve para controlar recursos via rede </li></ul>
    8. 8. Sistemas <ul><li>Sistemas funcionam dentro de hosts ou distribuidos </li></ul><ul><li>Normalmente formado por dois componentes </li></ul><ul><ul><li>Interface </li></ul></ul><ul><ul><li>Banco de Dados </li></ul></ul><ul><li>Nesta categoria temos sistemas de ERP, CRM, etc. </li></ul><ul><li>Sistemas possuem mecanismos próprios de controle de acesso </li></ul><ul><ul><li>Proteger acesso à BD </li></ul></ul><ul><ul><li>Ex. acesso web a banco. </li></ul></ul>
    9. 9. Rede <ul><ul><li>Normalmente implementadas através de </li></ul></ul><ul><ul><ul><li>Firewalls: statefull, filtro de pacotes e proxy </li></ul></ul></ul><ul><ul><ul><li>Roteadores: interligam redes </li></ul></ul></ul><ul><ul><ul><li>Switches: interligam computadores </li></ul></ul></ul><ul><ul><li>Demo FIREWALL </li></ul></ul><ul><ul><ul><li>Bloqueio de icmp e http </li></ul></ul></ul>
    10. 10. Arquitetura FILIAL VPN Router B Parceiro1 Parceiro2 Parceiro3 Internet INTRANET LAN1 LAN2 LAN3 LAN4 LAN5 DMZ WEB Server DNS Server Mail Server Proxy R. Hardened Server Firewall Firewall/ Proxy
    11. 11. Conceitos básicos <ul><ul><ul><li>Sujeito X Objeto </li></ul></ul></ul><ul><ul><ul><li>Reference Monitor </li></ul></ul></ul><ul><ul><ul><li>Security Kernel </li></ul></ul></ul>
    12. 12. Sujeito <ul><li>Entidade que solicita o acesso a uma peça de informação </li></ul><ul><ul><li>Exemplos: usuários, processos, hosts, etc. </li></ul></ul>X <ul><li>Peça de informação acessada pelo sujeito </li></ul><ul><ul><li>Exemplos: arquivos, registros de banco de dados etc. </li></ul></ul>Objeto
    13. 13. Reference Monitor <ul><li>Conceito acadêmico </li></ul><ul><ul><li>Introduzido na década de 70 </li></ul></ul><ul><li>Características </li></ul><ul><ul><li>Ser sempre chamado para mediar um acesso </li></ul></ul><ul><ul><li>Permitir que sua funcionalidade possa ser testada </li></ul></ul><ul><ul><li>Ser inviolável, possuindo controles que garantam a integridade do seu funcionamento </li></ul></ul>
    14. 14. Reference Monitor
    15. 15. <ul><li>Conjunto de hardware, software e firmware que implementa o conceito do Reference Monitor </li></ul><ul><li>Firmware – software que vem embutido dentro de um hardware </li></ul>Security Kernel
    16. 16. Identificação, Autenticação, Autorização e Registro <ul><li>4 etapas que devem ser realizadas para um sujeito acessar um objeto </li></ul>
    17. 17. <ul><li>Responsáveis por confirmar quem são os sujeitos que acessam os objetos </li></ul><ul><ul><li>Mecanismos que permitem ao usuário mostrar ao sistema quem ele é </li></ul></ul><ul><li>Primeira etapa do controle de acesso </li></ul>Identificação e Autenticação
    18. 18. Identificação <ul><li>Identificar um sujeito junto ao sistema </li></ul><ul><li>Responsabilização individual por ações no sistema </li></ul><ul><li>Exemplos </li></ul><ul><ul><li>Username </li></ul></ul><ul><ul><li>UserID </li></ul></ul><ul><ul><li>PIN </li></ul></ul>
    19. 19. Identificação <ul><li>Principais recomendações de segurança no processo de identificação </li></ul><ul><ul><li>Identificação deve ser única (auditável e não compartilhada), não descritiva e expedida por autoridade </li></ul></ul><ul><ul><ul><li>Utilizar nomenclatura padrão para nomes de usuários </li></ul></ul></ul><ul><ul><ul><li>Não permitir a identificação da função ou responsabilidade que a conta possuí (admin, backup operator etc.) </li></ul></ul></ul><ul><ul><ul><li>Evitar nomes que possam ser facilmente deduzidos de e-mails </li></ul></ul></ul><ul><ul><ul><li>Procedimento seguro e controlado para emissão e revogação de contas </li></ul></ul></ul>
    20. 20. Autenticação <ul><li>Confirmação de identidade </li></ul><ul><li>Principais tecnologias </li></ul><ul><ul><li>Conhecimento: algo que o usuário sabe </li></ul></ul><ul><ul><li>Posse: algo que o usuário tem </li></ul></ul><ul><ul><li>Característica: traço físico/comportamental do usuário </li></ul></ul><ul><li>Autenticação Forte </li></ul><ul><ul><li>Contém 2 das 3 tecnologias (multifator) </li></ul></ul>
    21. 21. Autenticação <ul><li>Conhecimento </li></ul><ul><ul><li>Algo que o usuário sabe </li></ul></ul><ul><ul><ul><li>Senha/Frase </li></ul></ul></ul><ul><ul><li>Principais problemas de segurança </li></ul></ul><ul><ul><ul><li>Senhas fracas </li></ul></ul></ul><ul><ul><ul><li>Interceptação da senha </li></ul></ul></ul><ul><ul><ul><ul><li>http, ftp, telnet etc </li></ul></ul></ul></ul><ul><ul><li>Demo captura de senha FTP </li></ul></ul>
    22. 22. Autenticação <ul><li>Conhecimento </li></ul><ul><ul><li>Problemas no uso </li></ul></ul><ul><ul><ul><li>Segredo tem que estar armazenado no sistema </li></ul></ul></ul><ul><ul><ul><li>Local de armazenamento é o alvo: </li></ul></ul></ul><ul><ul><ul><ul><li>/etc/passwd (DEMO John) </li></ul></ul></ul></ul><ul><ul><ul><ul><li>c:windowssystem32config </li></ul></ul></ul></ul><ul><ul><ul><li>Para proteção – criptografia </li></ul></ul></ul><ul><ul><ul><ul><li>Uso de hash na codificação de senhas – método rápido, porém não muito seguro </li></ul></ul></ul></ul><ul><ul><ul><li>Senhas fornecidas por teclado e mouse </li></ul></ul></ul><ul><ul><ul><ul><li>Facilmente interceptados por softwares maliciosos </li></ul></ul></ul></ul>
    23. 23. Autenticação <ul><li>Conhecimento </li></ul><ul><ul><li>Principais recomendações </li></ul></ul><ul><ul><ul><li>Proteger os canais de transmissão - sniffer </li></ul></ul></ul><ul><ul><ul><li>Usar métodos alternativos quando isso não for possível </li></ul></ul></ul><ul><ul><ul><li>Proteção física dos servidores de autenticação </li></ul></ul></ul><ul><ul><ul><ul><li>Demo Pmagic </li></ul></ul></ul></ul>
    24. 24. Autenticação <ul><li>Posse </li></ul><ul><ul><li>Algo que o usuário possui </li></ul></ul><ul><ul><li>Principais tecnologias </li></ul></ul><ul><ul><ul><li>Tokens </li></ul></ul></ul><ul><ul><ul><li>Smartcards </li></ul></ul></ul><ul><ul><ul><li>Cartões com listas de senhas </li></ul></ul></ul><ul><ul><ul><li>Certificados digitais </li></ul></ul></ul>
    25. 25. Autenticação <ul><li>Características </li></ul><ul><ul><li>Características físicas ou comportamentais </li></ul></ul><ul><ul><li>Biometria </li></ul></ul>
    26. 26. Métodos de Autenticação e Características <ul><li>Senhas/ Frases Senha </li></ul><ul><ul><li>Senhas estáticas </li></ul></ul><ul><ul><li>Senhas cognitivas </li></ul></ul><ul><li>OTP ou senhas dinâmicas </li></ul><ul><li>Chaves Criptograficas </li></ul><ul><li>Memory Cards </li></ul><ul><li>Smart Cards </li></ul><ul><li>Biometria </li></ul>
    27. 27. Métodos de Autenticação e Características (Senhas Estáticas) <ul><li>String de caracteres utilizada para autenticar um usuário </li></ul><ul><li>É o que o pessoa sabe </li></ul><ul><li>Método de autenticação mais utilizado </li></ul><ul><li>SO e aplicações podem impor requisitos de segurança </li></ul><ul><ul><li>Demo restrições de segurança Windows Server </li></ul></ul>
    28. 28. Métodos de Autenticação e Características (Senhas Estáticas) <ul><li>Gerenciamento de Senhas </li></ul><ul><ul><li>Senha deve ser gerada, atualizada e mantida em segredo – (treinamento) </li></ul></ul><ul><ul><li>Problemas Comuns </li></ul></ul><ul><ul><ul><li>Escolha de senhas fracas – faceis de lembrar </li></ul></ul></ul><ul><ul><ul><li>Guardadas de forma inapropriada </li></ul></ul></ul><ul><ul><li>SO podem forçar politica de senhas (Demo) </li></ul></ul><ul><ul><ul><li>Numero de caracteres </li></ul></ul></ul><ul><ul><ul><li>Uso de caracteres especiais </li></ul></ul></ul>
    29. 29. Métodos de Autenticação e Características (Senhas Estáticas) <ul><li>Gerenciamento de Senhas </li></ul><ul><ul><li>SO podem forçar politica de senhas </li></ul></ul><ul><ul><ul><li>Indicação de ultimo logon (Demo) </li></ul></ul></ul><ul><ul><ul><li>Bloqueio após n tentativas de logon incorretas </li></ul></ul></ul><ul><ul><ul><li>Auditoria de acessos negados </li></ul></ul></ul><ul><ul><ul><li>Tempo de vida da senha </li></ul></ul></ul>
    30. 30. Métodos de Autenticação e Características (Senhas Estáticas) <ul><li>Técnicas de Captura de Senhas </li></ul><ul><ul><li>Monitoramento eletrônico </li></ul></ul><ul><ul><li>Acesso ao arquivo de senhas </li></ul></ul><ul><ul><li>Ataques de força bruta </li></ul></ul><ul><ul><li>Ataques de dicionário (demo Hydra) </li></ul></ul><ul><ul><li>Engenharia social </li></ul></ul><ul><ul><li>Rainbow tables </li></ul></ul>
    31. 31. Métodos de Autenticação e Características (Senhas Cognitivas) <ul><li>Baseada na experiencia de vida do usuário </li></ul><ul><li>Fácil de memorizar </li></ul><ul><li>Ex: nome do cachorro, CPF, data de aniversário etc </li></ul><ul><li>Muito utilizada em call centers </li></ul>
    32. 32. Métodos de Autenticação e Características (Senhas Dinâmicas) <ul><li>One-Time Password </li></ul><ul><ul><li>Senha só é válida 1 vez </li></ul></ul><ul><ul><li>Utilizada em ambientes de nível de segurança elevado </li></ul></ul><ul><ul><li>Pode ser utilizado como 2° fator de autenticação </li></ul></ul><ul><ul><li>Implementação </li></ul></ul><ul><ul><ul><li>Software </li></ul></ul></ul><ul><ul><ul><li>Tokens </li></ul></ul></ul>
    33. 33. <ul><li>Tokens OTP </li></ul><ul><ul><li>Geradores de senha independentes (sem PC) </li></ul></ul><ul><ul><li>Dispositivos de hardware usados para autenticação </li></ul></ul>Métodos de Autenticação e Características (Senhas Dinâmicas)
    34. 34. <ul><li>Tokens </li></ul><ul><ul><li>Síncronos – sistema que autentica e sistema que solicita autenticação possuem timer ou contador para sincronização </li></ul></ul><ul><ul><li>Assíncronos – não demandam sincronismo entre o usuário que se autentica e o sistema </li></ul></ul>Métodos de Autenticação e Características (Senhas Dinâmicas)
    35. 35. <ul><li>Tokens Síncronos </li></ul><ul><ul><li>Peça de hardware </li></ul></ul><ul><ul><li>Senha trocada (30 a 60s) </li></ul></ul><ul><ul><li>Token sincronizado com servidor </li></ul></ul><ul><ul><li>Normalmente combinado com senha estática (Personal Identification Number) </li></ul></ul><ul><ul><li>Combina algo que usuário sabe e algo que ele tem - multifator </li></ul></ul>Métodos de Autenticação e Características (Senhas Dinâmicas)
    36. 36. <ul><li>Tokens Assíncronos </li></ul><ul><ul><li>Funcionam através de mecanismos de desafio/resposta </li></ul></ul>Métodos de Autenticação e Características (Senhas Dinâmicas)
    37. 37. <ul><li>Vantagens </li></ul><ul><ul><li>Fácil de usar </li></ul></ul><ul><li>Desvantagens </li></ul><ul><ul><li>Custo </li></ul></ul>Métodos de Autenticação e Características (Tokens)
    38. 38. <ul><li>Assinatura Digital </li></ul><ul><ul><li>Utiliza chaves privadas para comprovar identidade do emissor </li></ul></ul><ul><ul><li>Tecnologia que usa a chave privada para encriptar um hash é chamada de assinatura digital </li></ul></ul><ul><ul><li>Certificado digital - Conjunto de informações assinadas por entidade confiável </li></ul></ul>Métodos de Autenticação e Características (Chaves Criptográficas)
    39. 39. <ul><li>Não tem capacidade de processar informação </li></ul><ul><li>Pode armazenar informações de autenticação </li></ul><ul><ul><li>Ex1: Usuário insere cartão, acesso liberado (1 fator) </li></ul></ul><ul><ul><li>Ex2: Usuário introduz o PIN e insere o cartão (multifator) </li></ul></ul><ul><li>Podem ser usados com computadores (necessita de leitora) </li></ul>Métodos de Autenticação e Características (Memory Cards)
    40. 40. <ul><li>Além de armazenamento tem capacidade de processar informação </li></ul><ul><li>Possui micro-processador e circuitos </li></ul><ul><li>Pode realizar operações criptográficas </li></ul><ul><li>Pode utilizar o PIN para desbloquear o cartão – informação não pode ser lida até o desbloqueio </li></ul>Métodos de Autenticação e Características (Smartcards) Autenticação pode ser provida por OTP, desafio/resposta ou pelo certificado digital
    41. 41. <ul><li>Categorias </li></ul><ul><ul><li>Contact: leitor transmite energia com o contato </li></ul></ul><ul><ul><li>Contactless: antena em forma de bobina enrolada </li></ul></ul>Métodos de Autenticação e Características (Smartcards)
    42. 42. <ul><ul><li>A biometria valida um traço físico ou comportamental do usuário </li></ul></ul><ul><ul><li>Grande facilidade de uso </li></ul></ul><ul><ul><li>Pode envolver aspectos culturais fortes </li></ul></ul><ul><ul><li>Necessita de ajustes </li></ul></ul><ul><ul><ul><li>Erros tipo I </li></ul></ul></ul><ul><ul><ul><li>Erros tipo II </li></ul></ul></ul>Métodos de Autenticação e Características (Biometria)
    43. 43. Métodos de Autenticação e Características (Biometria) <ul><li>Categorias </li></ul><ul><ul><li>Baseada em Características Físicas </li></ul></ul><ul><ul><li>Baseada em características comportamentais </li></ul></ul>
    44. 44. <ul><li>Baseada em Características Físicas </li></ul><ul><ul><li>Analisam um traço físico do usuário </li></ul></ul><ul><ul><ul><li>Impressão digital </li></ul></ul></ul><ul><ul><ul><li>Impressão da palma da mão </li></ul></ul></ul><ul><ul><ul><li>Geometria da mão </li></ul></ul></ul><ul><ul><ul><li>Reconhecimento facial </li></ul></ul></ul><ul><ul><ul><li>Retina </li></ul></ul></ul><ul><ul><ul><li>Íris </li></ul></ul></ul><ul><ul><ul><li>voz </li></ul></ul></ul>Métodos de Autenticação e Características (Biometria)
    45. 45. <ul><li>Impressão Digital </li></ul><ul><ul><li>A impressão é transformada em um vetor matemático para confrontação </li></ul></ul><ul><ul><li>Bastante popular </li></ul></ul>Métodos de Autenticação e Características (Biometria)
    46. 46. <ul><li>Reconhecimento facial </li></ul><ul><ul><li>Analisa estrutura dos ossos do rosto </li></ul></ul><ul><ul><li>Grande potencial de crescimento financiado pela indústria anti-terrorismo </li></ul></ul>Métodos de Autenticação e Características (Biometria)
    47. 47. <ul><li>Retina </li></ul><ul><ul><li>Analisa o padrão formado pelas veias internas do globo ocular </li></ul></ul><ul><ul><li>Em caso de doenças oculares, sua precisão pode ser afetada </li></ul></ul>Métodos de Autenticação e Características (Biometria)
    48. 48. <ul><li>Íris </li></ul><ul><ul><li>Analisa o padrão visual formado pela íris </li></ul></ul><ul><ul><li>Extremamente precisa </li></ul></ul>Métodos de Autenticação e Características (Biometria)
    49. 49. <ul><li>Voz </li></ul><ul><ul><li>Analisa o padrão de voz </li></ul></ul><ul><ul><li>Utiliza mecanismos de prevenção contra gravações </li></ul></ul>Métodos de Autenticação e Características (Biometria)
    50. 50. Métodos de Autenticação e Características (Biometria) <ul><li>Baseada em Características Comportamentais </li></ul><ul><ul><li>Analisam um traço Comportamental do usuário </li></ul></ul><ul><ul><li>Menos populares, devido a sua baixa precisão </li></ul></ul><ul><ul><ul><li>Padrão de digitação </li></ul></ul></ul><ul><ul><ul><li>Padrão de escrita </li></ul></ul></ul>
    51. 51. Autorização <ul><li>Determina se indivíduo está autorizado a acessar recurso particular </li></ul><ul><li>Componente de todos os SO e desejável em aplicações </li></ul><ul><ul><li>Ex. Usuário autenticado no AD acessa planilha no servidor de arquivos </li></ul></ul><ul><ul><li>SO verifica permissões (baseadas em critérios de acesso) </li></ul></ul><ul><ul><ul><li>Localização física e lógica, hora, tipo de transação. </li></ul></ul></ul><ul><ul><ul><li>Boas práticas: Default – no access e baseado na necessidade de conhecer </li></ul></ul></ul>
    52. 52. Gerência de Identidades
    53. 53. Gerência de Identidades <ul><li>Soluções para a automatização do uso das tecnologias de identificação, autenticação e autorização, ao longo do seu ciclo de vida </li></ul><ul><li>Gerenciamento de contas e senhas, controle de acesso, SSO, gerencia de direitos e permissões, auditoria e monitoramento desses itens </li></ul><ul><li>Várias tecnologias combinadas ou integradas </li></ul>
    54. 54. Gerência de Identidades <ul><li>Para que usar isso? </li></ul>
    55. 55. Gerência de Identidades <ul><li>Questões Comuns </li></ul><ul><ul><li>O que cada usuário deve ter acesso? </li></ul></ul><ul><ul><li>Quem aprova e permite o acesso? </li></ul></ul><ul><ul><li>Como é o processo de revogação de acesso? </li></ul></ul><ul><ul><li>Como o acesso é controlado e monitorado de forma centralizada? </li></ul></ul><ul><ul><li>Como centralizar o acesso a várias plataformas de SO e aplicações? </li></ul></ul><ul><ul><li>Como controlar acesso de empregados, parceiros e clientes? </li></ul></ul><ul><li>A tradicional Gerência de identidades (diretórios com permissões, ACL e perfis) é considerada incapaz de tratar todos esses problemas </li></ul>
    56. 56. Gerência de Identidades <ul><li>Conceito Moderno de Gerência de Identidades </li></ul><ul><ul><li>Utiliza aplicações automáticas, ricas em funcionalidades trabalhando em conjunto para criar uma infraestrutura de gerência de identidades </li></ul></ul><ul><ul><li>Gerencia de identidades, autenticação, autorização e auditoria em múltiplos sistemas </li></ul></ul>
    57. 57. Gerência de Identidades <ul><li>Ferramentas e Tecnologias </li></ul><ul><ul><li>Diretórios </li></ul></ul><ul><ul><li>Gerenciamento de acesso Web (WAM) </li></ul></ul><ul><ul><li>Gerencia de senhas </li></ul></ul><ul><ul><li>SSO </li></ul></ul><ul><ul><li>Gerenciamento de contas </li></ul></ul><ul><ul><li>Atualização de perfis </li></ul></ul>
    58. 58. Gerência de Identidades <ul><li>Ferramentas e Tecnologias </li></ul><ul><ul><li>Diretórios (catálogo de informações) </li></ul></ul><ul><ul><ul><li>Contém informações centralizadas de usuários e recursos (principal componente) </li></ul></ul></ul><ul><ul><ul><li>Formato de dados hierárquico - padrão X.500 </li></ul></ul></ul><ul><ul><ul><li>Protocolo de acesso –LDAP </li></ul></ul></ul><ul><ul><ul><ul><li>Aplicações requisitam info de usuários </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Usuários requisitam info de recursos </li></ul></ul></ul></ul><ul><ul><ul><li>Objetos são gerenciados pelo Serviço de Diretório </li></ul></ul></ul><ul><ul><ul><ul><li>Permite ao admin configurar e gerenciar a identificação, autenticação e autorização aos recursos </li></ul></ul></ul></ul>
    59. 59. Gerência de Identidades <ul><li>Ferramentas e Tecnologias </li></ul><ul><ul><li>Diretórios </li></ul></ul><ul><ul><ul><li>Componente principal da solução </li></ul></ul></ul><ul><ul><ul><li>Armazena informações vindas de outros sistemas </li></ul></ul></ul><ul><ul><ul><ul><li>Atributos de usuários podem ser fornecidos pelo RH </li></ul></ul></ul></ul>
    60. 60. Gerência de Identidades <ul><li>Ferramentas e Tecnologias </li></ul><ul><ul><li>Diretórios </li></ul></ul><ul><ul><ul><li>Ambiente windows </li></ul></ul></ul><ul><ul><ul><ul><li>Usuário loga no Controlador de Domínio </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Serviço de diretório – AD </li></ul></ul></ul></ul><ul><ul><ul><ul><li>AD organiza recursos e implementa controle de acesso </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Configuração do AD é responsável por disponibilização de recursos para os usuários (impressoras, arquivos, servidores web etc) </li></ul></ul></ul></ul><ul><ul><ul><li>Problemas </li></ul></ul></ul><ul><ul><ul><ul><li>Muitas aplicações legadas não são compativeis </li></ul></ul></ul></ul>
    61. 61. Gerência de Identidades <ul><li>Ferramentas e Tecnologias </li></ul><ul><ul><li>WAM </li></ul></ul><ul><ul><ul><li>Controla usuário quando acessa aplicação Web </li></ul></ul></ul><ul><ul><ul><li>Muito utilizada em e-commerce, online banking etc </li></ul></ul></ul><ul><ul><ul><li>Pode utilizar: senhas, certificados digitais, tokens etc </li></ul></ul></ul>
    62. 62. Gerência de Identidades <ul><li>Ferramentas e Tecnologias </li></ul><ul><ul><li>Gerência de senhas </li></ul></ul><ul><ul><ul><li>Grande custo administrativo com help-desk para resetar senhas </li></ul></ul></ul><ul><ul><ul><li>Usuários precisam memorizar grande quantidade de senhas para diversos sistemas </li></ul></ul></ul><ul><ul><li>Soluções de Gerência de Senha </li></ul></ul><ul><ul><ul><li>Sincronismo de senhas </li></ul></ul></ul><ul><ul><ul><li>Self-service reset </li></ul></ul></ul><ul><ul><ul><li>Reset assistido </li></ul></ul></ul>
    63. 63. Gerência de Identidades <ul><li>Ferramentas e Tecnologias </li></ul><ul><ul><li>SSO – Single Sign On </li></ul></ul><ul><ul><ul><li>Autenticação única </li></ul></ul></ul><ul><ul><ul><li>Desafio tecnológico </li></ul></ul></ul><ul><ul><ul><li>Alto custo </li></ul></ul></ul><ul><ul><ul><li>Discutível sob o aspecto de segurança </li></ul></ul></ul><ul><ul><ul><li>Não compatível com sistemas legados </li></ul></ul></ul>
    64. 64. Gerência de Identidades <ul><li>Ferramentas e Tecnologias </li></ul><ul><ul><li>SSO com kerberos </li></ul></ul>
    65. 65. Gerência de Identidades <ul><li>Ferramentas e Tecnologias </li></ul><ul><ul><li>Gerênciamento de Contas </li></ul></ul><ul><ul><ul><li>Criação de contas em diversos sistemas </li></ul></ul></ul><ul><ul><ul><li>Modificação de privilégios </li></ul></ul></ul><ul><ul><ul><li>Extinção </li></ul></ul></ul><ul><ul><li>Processo formal para criação de contas, atribuição de privilégios e extinção </li></ul></ul><ul><ul><ul><li>Implementação de wokflow auditável </li></ul></ul></ul>
    66. 66. Gerência de Identidades <ul><li>Ferramentas e Tecnologias </li></ul><ul><ul><li>Atualização de perfis </li></ul></ul><ul><ul><ul><li>Informações associadas a identidade do usuário </li></ul></ul></ul><ul><ul><ul><li>Perfil pode ter informações sensiveis ou não </li></ul></ul></ul><ul><ul><ul><ul><li>Ex. Usuário atualiza perfil no site Submarino e as informações são utilizadas pelo CRM </li></ul></ul></ul></ul>
    67. 67. <ul><li>Aspectos de segurança </li></ul><ul><ul><li>Vantagens </li></ul></ul><ul><ul><ul><li>Eficiência </li></ul></ul></ul><ul><ul><ul><li>Política de senhas configurada centralmente </li></ul></ul></ul><ul><ul><ul><li>Logs centralizados </li></ul></ul></ul><ul><ul><li>Desvantagens </li></ul></ul><ul><ul><ul><li>Grande dificuldade técnica e financeira </li></ul></ul></ul>Gerência de Identidades
    68. 68. Modelos
    69. 69. Modelos de Controle de Acesso <ul><li>Framekorks que normatizam como sujeitos acessam objetos </li></ul><ul><li>Utilizam tecnologias para reforçar regras e objetivos do modelo </li></ul><ul><li>São implementados no kernel (seurity kernel) ou em aplicações </li></ul><ul><li>Principais </li></ul><ul><ul><li>DAC </li></ul></ul><ul><ul><li>MAC </li></ul></ul><ul><ul><li>RBAC </li></ul></ul>
    70. 70. <ul><li>Proprietário (owner) do recurso é responsável por atribuir as permissões </li></ul><ul><li>Princípio: Ninguém melhor que o owner para dar direitos </li></ul><ul><li>Problemas práticos </li></ul><ul><ul><li>owner é um usuário </li></ul></ul><ul><ul><li>complexidade </li></ul></ul><ul><li>Tipos mais comuns de implementação </li></ul><ul><ul><li>ACL </li></ul></ul><ul><ul><li>Capability Tables </li></ul></ul>Discretionary Access Control Modelos de Controle de Acesso
    71. 71. Mandatory Access Control <ul><li>Inicialmente projetado para uso militar </li></ul><ul><li>Baseado no modelo Bell-LaPadula – 1973 </li></ul><ul><li>Componentes </li></ul><ul><ul><li>Classificação </li></ul></ul><ul><ul><li>Credenciais de segurança/necessidade de conhecer </li></ul></ul><ul><li>http://www.vivaolinux.com.br/artigos/impressora.php?codigo=9883 </li></ul>Modelos de Controle de Acesso
    72. 72. Role-Based Access Control <ul><li>Permissões são atribuídas a papéis </li></ul><ul><li>Os papéis representam funções </li></ul><ul><li>Os usuários são atribuídos aos papéis </li></ul>Modelos de Controle de Acesso
    73. 73. Outras tecnologias de Controle de Acesso <ul><li>Rule-based </li></ul><ul><li>Content dependent </li></ul><ul><li>Context dependent </li></ul><ul><li>Interfaces restritas </li></ul><ul><li>Thin clients </li></ul>
    74. 74. Rule-based <ul><li>O controle de acesso é feito através de um conjunto regras </li></ul><ul><li>Exemplos </li></ul><ul><ul><li>Anexos de e-mail > 5 MB, nega </li></ul></ul><ul><ul><li>Firewalls </li></ul></ul>Outras tecnologias de Controle de Acesso
    75. 75. Content dependent <ul><li>Considera o conteúdo do objeto no processo de controle de acesso </li></ul><ul><ul><li>Filtros de e-mail que procuram por strings específicas (confidencial, CPF etc) </li></ul></ul><ul><ul><ul><li>Carnivore </li></ul></ul></ul>Outras tecnologias de Controle de Acesso
    76. 76. Context dependent <ul><li>Baseado no contexto, por meio da coleta e análise de informações </li></ul><ul><ul><li>Statefull firewall </li></ul></ul>Outras tecnologias de Controle de Acesso
    77. 77. Interfaces restritas <ul><li>Restrição ou limitação das interfaces usadas para acessar os objetos </li></ul><ul><li>Tipos </li></ul><ul><ul><li>Menus e shells </li></ul></ul><ul><ul><li>interfaces físicas restritas </li></ul></ul><ul><li>Exemplos </li></ul><ul><ul><li>Caixa eletrônico </li></ul></ul>
    78. 78. Thin client <ul><li>Arquitetura cliente/servidor </li></ul><ul><li>Computadores sem disco </li></ul><ul><li>Força logon centralizado </li></ul><ul><li>Pode prover SSO </li></ul>Outras tecnologias de Controle de Acesso
    79. 79. <ul><li>Objetivo ambicioso </li></ul><ul><li>Ponto central de controle de acesso </li></ul><ul><li>Tecnologias utilizam AAA </li></ul><ul><ul><li>Radius e Tacacs </li></ul></ul><ul><li>Autenticação </li></ul><ul><ul><li>PAP, CHAP e EAP </li></ul></ul>Controle de Acesso Centralizado
    80. 80. <ul><li>Radius – Remote Authentication Dial-in User Service </li></ul><ul><ul><li>Autenticação PAP, CHAP ou EAP </li></ul></ul><ul><ul><li>Servidor de acesso (AS) é cliente Radius </li></ul></ul><ul><ul><li>Usa UDP </li></ul></ul><ul><ul><li>Faz bilhetagem (AS informa login e logout) </li></ul></ul><ul><ul><li>Criptografa somente a senha </li></ul></ul><ul><ul><li>Mais utilizado para autenticação simples </li></ul></ul>Controle de Acesso Centralizado
    81. 81. <ul><li>Radius </li></ul><ul><ul><li>“ O serviço RADIUS é amplamente usado em provedores de acesso a internet. No Brasil por exemplo, a Oi (empresa de telecomunicações) usa RADIUS no seu produto ADSL chamado Velox. No sistema Velox, o cliente inicia um pedido de conexão via protocolo PPPoE, um roteador Cisco série 7000 atende o pedido e envia o nome de usuário e senha para o servidor RADIUS (localizado num datacenter no Rio de Janeiro), o RADIUS por sua vez confere as credenciais em seu banco de dados e retorna para o roteador se o cliente pode se conectar ou não. Se a resposta for positiva, o cliente receberá um IP público e poderá navegar, caso a resposta seja negativa, o acesso é negado” </li></ul></ul>Controle de Acesso Centralizado
    82. 82. <ul><li>TACACS – Termina Access Controller Access Control System </li></ul><ul><ul><li>Usa TCP </li></ul></ul><ul><ul><li>Criptografa todos os dados </li></ul></ul><ul><ul><li>Separa processos de AAA – mais flexibilidade </li></ul></ul>Controle de Acesso Centralizado
    83. 83. FIM

    ×