Segurança de Redes - Projeto e Gerenciamento de Redes Seguras

6.772 visualizações

Publicada em

Apresentação sobre projeto e gerenciamento de redes seguras.

Publicada em: Tecnologia
0 comentários
4 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
6.772
No SlideShare
0
A partir de incorporações
0
Número de incorporações
125
Ações
Compartilhamentos
0
Downloads
283
Comentários
0
Gostaram
4
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Segurança de Redes - Projeto e Gerenciamento de Redes Seguras

  1. 1. SEGURANÇA DE REDES Projeto e Gerenciamento de Redes Seguras Jivago Alves
  2. 2. Roteiro  O que é segurança?  O processo de segurança  O processo está funcionando?  Política de segurança  Como escrever uma política  Conteúdo da política  Quem está atacando?  Boas práticas
  3. 3. O que é segurança?  Segurança é proporcional ao valor protegido.  Lidamos com componentes humanos!  Que tipo de empresa estamos protegendo? SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 3
  4. 4. O processo de segurança  Processo contínuo... SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 4
  5. 5. O processo de segurança SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 5
  6. 6.  O processo está funcionando?  Não existe forma provar um ataque e receber os créditos pelo sucesso da defesa.  Atividade não pode ser diferenciada como legítima ou acidental.  Paradoxo: impossível quantificar, mas sem quantificação o processo parecerá ser um fracasso. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 6
  7. 7. Política de segurança  O que e por que está sendo protegido?  Prioridades de segurança: o que tem mais valor?  Definir acordo explícito entre partes.  Fornece motivos válidos para se dizer não e para sustentá-lo.  Impede que tenhamos um desempenho fútil. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 7
  8. 8. Como escrever uma política  Escreva um esboço com idéias genéricas e essenciais.  Descubra 3 pessoas para o comitê de política de segurança.  O comitê será legislador, você é o executor!  Divulgue a política, crie um site interno.  Trate a política como regras absolutas com força de lei. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 8
  9. 9. Como escrever uma política  Se alguém tiver algum problema com a política, faça com que a pessoa proponha uma sugestão.  Programe encontros regulares para consolidar a política. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 9
  10. 10. Conteúdo da política  Defina prioridades 1) Saúde e segurança humana 2) Conformidade com legislação local, estadual e federal 3) Interesses da empresa 4) Interesses de parceiros da empresa 5) Disseminação gratuita e aberta de informações não-sensíveis. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 10
  11. 11. Conteúdo da política  Defina níveis de acesso aos recursos:  Vermelho: somente func. ”vermelhos”  Amarelo: somente funcionários.  Verde: funcionários contratados e selecionados.  Branco: funcionários e contratados.  Preto: funcionários, contratados e público (selecionado) SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 11
  12. 12. Conteúdo da política  Caracterize seus recursos:  Vermelho: informações extremamente confidenciais  Amarelo: informações sensíveis, serviços importantes  Verde: capaz de ter acesso a recursos vermelhos, ou amarelos, mas sem info. essenciais.  Branco: sem acesso a vermelho, amarelo ou verde, sem acesso externo  Preto: acessível externamente, sem acesso aos anteriores. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 12
  13. 13. Conteúdo da política  Descrever responsabilidades e privilégios:  Geral: conhecimento da política  Admin. de sistemas: informações de usuário tratadas como confidenciais.  Admin. de segurança: mais alto nível de conduta ética.  Contratado: acesso a máquinas especificamente autorizadas.  Convidado: nenhum acesso, exceto com notificação prévia por escrito à segurança. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 13
  14. 14. Conteúdo da política  Definir penalidades:  Crítica: recomendação de demissão, abertura de ação legal.  Séria: recomendação de demissão, desconto de salário.  Limitada: desconto de salário, repreensão formal por escrito, suspensão não-remunerada. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 14
  15. 15. Quem está atacando?  É preciso estudar ameaças para uma boa defesa  Segurança é uma questão social.  Segredo é dificultar a vida do atacante.  Um ataque terá êxito se o atacante tiver:  Habilidade  Motivação  Oportunidade SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 15
  16. 16. Quem está atacando?  Navegadores, aproveitadores e vândalos.  Probab. alta, número grande, motivação baixa a média, e habilidade baixa a alta.  Estratégia de defesa:  Não ofereça recursos públicos e sem autenticação, que possam ser controlados pelos outros.  Examine os recursos periodicamente.  Elimine características atraentes para os atacantes.  Mantenha-se atualizado com metodologias de ataque. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 16
  17. 17. Quem está atacando?  Espiões e sabotadores.  Probab. depende da atividade, número baixo, motivação média a alta, habilidade média a alta.  Estratégia de defesa:  Sob ponto de vista externo, aparente ser um objetivo muito arriscado.  Elimine meios conhecidos de ataques de DoS.  Limite o que é conhecido publicamente sobre suas defesas.  Preteja os principais sistemas comerciais. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 17
  18. 18. Quem está atacando?  (Ex-)funcionários e (ex-)contratados frustrados.  Probab. média a alta, número depende da atividade, motivação alta, habilidade média a alta.  Estratégia de defesa:  Sob ponto de vista externo, aparente ser um objetivo muito arriscado.  Mantenha felizes seus funcionários. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 18
  19. 19. Quem está atacando?  Estratégia de defesa (cont.):  Desenvolva um plano para despedir funcionários que conhecem detalhes de segurança.  Elimine imediatamente o acesso.  Avise que o funcionário será o primeiro suspeito, em caso de ataque.  Crie situação na qual o funcionário demitido não será capaz de abusar do sistema. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 19
  20. 20. Boas práticas  Aprenda tudo que puder sobre as ameaças que encontrar.  Planeje o melhor possível de acordo com o que aprendeu, antes de implementar qualquer coisa.  Pense patologicamente e fortaleça o projeto.  Implemente exatamente como foi projetado.  Verifique tudo continuamente, previna-se! SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 20
  21. 21. Boas práticas  Pratique a execução para chegar a perfeição.  Simplifique o que deseja que as pessoas façam.  Dificulte o que não deseja que elas façam.  Facilite a identificação de problemas: um bom registro de problemas ajuda.  Teste tudo que puder testar! SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 21
  22. 22. Dúvidas? SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 22
  23. 23. Referências  Segurança de Redes – Thomas A. Wadlow. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 23

×