Controle de Acesso

Prof: Cássio Alexandre Ramos [email_address] http://cassioaramos.blogspot.com http://www.facebook.com/cassioaramos BEM-VINDO À DISCIPLINA DE: Controle de Acesso

Agenda Introdução Identificação, autenticação, autorização e registro Métodos de Autenticação e Características Gerência de Identidades Modelos Outras tecnologias de CA Controle de Acesso Centralizado Sistemas de Controle de Acesso

Tecnologias de CA são importantes componentes da arquitetura de segurança dos sistemas São responsáveis por: Quais recursos podem ser acessados hardware - impressoras, discos, etc. software - que sistemas podem ser utilizados? Ex. CATG Quais operações podem ser realizadas Ex. Acesso a home banking Quais são os componentes autorizados a desempenhar tais operações Administrador – config, instala programas, gerencia memória, proc e etc. usuário do sistema Introdução

Requisitos Básicos da Segurança Disponibilidade - Certeza que os dados estão acessíveis quando e onde forem necessários Integridade - Certeza que os dados não foram alterados - por acidente ou intencionalmente Confidencialidade - Certeza que somente as pessoas autorizadas a acessar os dados podem acessá-los

Requisitos Básicos da Segurança Elementos Utilizados para Garantir a C onfidencialidade Criptografia dos dados Controle de acesso Elementos para garantir a I ntegridade (md5sum) Assinatura digital MD5- hash Elementos para garantir a D isponibilidade Backup Tolerância a falhas Redundância

Tipos Podemos classificar as tecnologias em três tipos básicos Host Sistemas Rede

Host Tecnologias que controlam o acesso a recursos do S.O Implementada normalmente nos sistemas operacionais Ex. login Recursos mais comuns a serem protegidos Arquivos Objetos Serve para controlar recursos via rede

Sistemas Sistemas funcionam dentro de hosts ou distribuidos Normalmente formado por dois componentes Interface Banco de Dados Nesta categoria temos sistemas de ERP, CRM, etc. Sistemas possuem mecanismos próprios de controle de acesso Proteger acesso à BD Ex. acesso web a banco.

Rede Normalmente implementadas através de Firewalls: statefull, filtro de pacotes e proxy Roteadores: interligam redes Switches: interligam computadores Demo FIREWALL Bloqueio de icmp e http

Arquitetura FILIAL VPN Router B Parceiro1 Parceiro2 Parceiro3 Internet INTRANET LAN1 LAN2 LAN3 LAN4 LAN5 DMZ WEB Server DNS Server Mail Server Proxy R. Hardened Server Firewall Firewall/ Proxy

Conceitos básicos Sujeito X Objeto Reference Monitor Security Kernel

Sujeito Entidade que solicita o acesso a uma peça de informação Exemplos: usuários, processos, hosts, etc. X Peça de informação acessada pelo sujeito Exemplos: arquivos, registros de banco de dados etc. Objeto

Reference Monitor Conceito acadêmico Introduzido na década de 70 Características Ser sempre chamado para mediar um acesso Permitir que sua funcionalidade possa ser testada Ser inviolável, possuindo controles que garantam a integridade do seu funcionamento

Conjunto de hardware, software e firmware que implementa o conceito do Reference Monitor Firmware – software que vem embutido dentro de um hardware Security Kernel

Identificação, Autenticação, Autorização e Registro 4 etapas que devem ser realizadas para um sujeito acessar um objeto

Responsáveis por confirmar quem são os sujeitos que acessam os objetos Mecanismos que permitem ao usuário mostrar ao sistema quem ele é Primeira etapa do controle de acesso Identificação e Autenticação

Identificação Identificar um sujeito junto ao sistema Responsabilização individual por ações no sistema Exemplos Username UserID PIN

Identificação Principais recomendações de segurança no processo de identificação Identificação deve ser única (auditável e não compartilhada), não descritiva e expedida por autoridade Utilizar nomenclatura padrão para nomes de usuários Não permitir a identificação da função ou responsabilidade que a conta possuí (admin, backup operator etc.) Evitar nomes que possam ser facilmente deduzidos de e-mails Procedimento seguro e controlado para emissão e revogação de contas

Autenticação Confirmação de identidade Principais tecnologias Conhecimento: algo que o usuário sabe Posse: algo que o usuário tem Característica: traço físico/comportamental do usuário Autenticação Forte Contém 2 das 3 tecnologias (multifator)

Autenticação Conhecimento Algo que o usuário sabe Senha/Frase Principais problemas de segurança Senhas fracas Interceptação da senha http, ftp, telnet etc Demo captura de senha FTP

Autenticação Conhecimento Problemas no uso Segredo tem que estar armazenado no sistema Local de armazenamento é o alvo: /etc/passwd (DEMO John) c:\windows\system32\config Para proteção – criptografia Uso de hash na codificação de senhas – método rápido, porém não muito seguro Senhas fornecidas por teclado e mouse Facilmente interceptados por softwares maliciosos

Autenticação Conhecimento Principais recomendações Proteger os canais de transmissão - sniffer Usar métodos alternativos quando isso não for possível Proteção física dos servidores de autenticação Demo Pmagic

Autenticação Posse Algo que o usuário possui Principais tecnologias Tokens Smartcards Cartões com listas de senhas Certificados digitais

Autenticação Características Características físicas ou comportamentais Biometria

Métodos de Autenticação e Características Senhas/ Frases Senha Senhas estáticas Senhas cognitivas OTP ou senhas dinâmicas Chaves Criptograficas Memory Cards Smart Cards Biometria

Métodos de Autenticação e Características (Senhas Estáticas) String de caracteres utilizada para autenticar um usuário É o que o pessoa sabe Método de autenticação mais utilizado SO e aplicações podem impor requisitos de segurança Demo restrições de segurança Windows Server

Métodos de Autenticação e Características (Senhas Estáticas) Gerenciamento de Senhas Senha deve ser gerada, atualizada e mantida em segredo – (treinamento) Problemas Comuns Escolha de senhas fracas – faceis de lembrar Guardadas de forma inapropriada SO podem forçar politica de senhas (Demo) Numero de caracteres Uso de caracteres especiais

Métodos de Autenticação e Características (Senhas Estáticas) Gerenciamento de Senhas SO podem forçar politica de senhas Indicação de ultimo logon (Demo) Bloqueio após n tentativas de logon incorretas Auditoria de acessos negados Tempo de vida da senha

Métodos de Autenticação e Características (Senhas Estáticas) Técnicas de Captura de Senhas Monitoramento eletrônico Acesso ao arquivo de senhas Ataques de força bruta Ataques de dicionário (demo Hydra) Engenharia social Rainbow tables

Métodos de Autenticação e Características (Senhas Cognitivas) Baseada na experiencia de vida do usuário Fácil de memorizar Ex: nome do cachorro, CPF, data de aniversário etc Muito utilizada em call centers

Métodos de Autenticação e Características (Senhas Dinâmicas) One-Time Password Senha só é válida 1 vez Utilizada em ambientes de nível de segurança elevado Pode ser utilizado como 2° fator de autenticação Implementação Software Tokens

Tokens OTP Geradores de senha independentes (sem PC) Dispositivos de hardware usados para autenticação Métodos de Autenticação e Características (Senhas Dinâmicas)

Tokens Síncronos – sistema que autentica e sistema que solicita autenticação possuem timer ou contador para sincronização Assíncronos – não demandam sincronismo entre o usuário que se autentica e o sistema Métodos de Autenticação e Características (Senhas Dinâmicas)

Tokens Síncronos Peça de hardware Senha trocada (30 a 60s) Token sincronizado com servidor Normalmente combinado com senha estática (Personal Identification Number) Combina algo que usuário sabe e algo que ele tem - multifator Métodos de Autenticação e Características (Senhas Dinâmicas)

Tokens Assíncronos Funcionam através de mecanismos de desafio/resposta Métodos de Autenticação e Características (Senhas Dinâmicas)

Vantagens Fácil de usar Desvantagens Custo Métodos de Autenticação e Características (Tokens)

Assinatura Digital Utiliza chaves privadas para comprovar identidade do emissor Tecnologia que usa a chave privada para encriptar um hash é chamada de assinatura digital Certificado digital - Conjunto de informações assinadas por entidade confiável Métodos de Autenticação e Características (Chaves Criptográficas)

Não tem capacidade de processar informação Pode armazenar informações de autenticação Ex1: Usuário insere cartão, acesso liberado (1 fator) Ex2: Usuário introduz o PIN e insere o cartão (multifator) Podem ser usados com computadores (necessita de leitora) Métodos de Autenticação e Características (Memory Cards)

Além de armazenamento tem capacidade de processar informação Possui micro-processador e circuitos Pode realizar operações criptográficas Pode utilizar o PIN para desbloquear o cartão – informação não pode ser lida até o desbloqueio Métodos de Autenticação e Características (Smartcards) Autenticação pode ser provida por OTP, desafio/resposta ou pelo certificado digital

Categorias Contact: leitor transmite energia com o contato Contactless: antena em forma de bobina enrolada Métodos de Autenticação e Características (Smartcards)

A biometria valida um traço físico ou comportamental do usuário Grande facilidade de uso Pode envolver aspectos culturais fortes Necessita de ajustes Erros tipo I Erros tipo II Métodos de Autenticação e Características (Biometria)

Métodos de Autenticação e Características (Biometria) Categorias Baseada em Características Físicas Baseada em características comportamentais

Baseada em Características Físicas Analisam um traço físico do usuário Impressão digital Impressão da palma da mão Geometria da mão Reconhecimento facial Retina Íris voz Métodos de Autenticação e Características (Biometria)

Impressão Digital A impressão é transformada em um vetor matemático para confrontação Bastante popular Métodos de Autenticação e Características (Biometria)

Reconhecimento facial Analisa estrutura dos ossos do rosto Grande potencial de crescimento financiado pela indústria anti-terrorismo Métodos de Autenticação e Características (Biometria)

Retina Analisa o padrão formado pelas veias internas do globo ocular Em caso de doenças oculares, sua precisão pode ser afetada Métodos de Autenticação e Características (Biometria)

Íris Analisa o padrão visual formado pela íris Extremamente precisa Métodos de Autenticação e Características (Biometria)

Voz Analisa o padrão de voz Utiliza mecanismos de prevenção contra gravações Métodos de Autenticação e Características (Biometria)

Métodos de Autenticação e Características (Biometria) Baseada em Características Comportamentais Analisam um traço Comportamental do usuário Menos populares, devido a sua baixa precisão Padrão de digitação Padrão de escrita

Autorização Determina se indivíduo está autorizado a acessar recurso particular Componente de todos os SO e desejável em aplicações Ex. Usuário autenticado no AD acessa planilha no servidor de arquivos SO verifica permissões (baseadas em critérios de acesso) Localização física e lógica, hora, tipo de transação. Boas práticas: Default – no access e baseado na necessidade de conhecer

Gerência de Identidades Soluções para a automatização do uso das tecnologias de identificação, autenticação e autorização, ao longo do seu ciclo de vida Gerenciamento de contas e senhas, controle de acesso, SSO, gerencia de direitos e permissões, auditoria e monitoramento desses itens Várias tecnologias combinadas ou integradas

Gerência de Identidades Para que usar isso?

Gerência de Identidades Questões Comuns O que cada usuário deve ter acesso? Quem aprova e permite o acesso? Como é o processo de revogação de acesso? Como o acesso é controlado e monitorado de forma centralizada? Como centralizar o acesso a várias plataformas de SO e aplicações? Como controlar acesso de empregados, parceiros e clientes? A tradicional Gerência de identidades (diretórios com permissões, ACL e perfis) é considerada incapaz de tratar todos esses problemas

Gerência de Identidades Conceito Moderno de Gerência de Identidades Utiliza aplicações automáticas, ricas em funcionalidades trabalhando em conjunto para criar uma infraestrutura de gerência de identidades Gerencia de identidades, autenticação, autorização e auditoria em múltiplos sistemas

Gerência de Identidades Ferramentas e Tecnologias Diretórios Gerenciamento de acesso Web (WAM) Gerencia de senhas SSO Gerenciamento de contas Atualização de perfis

Gerência de Identidades Ferramentas e Tecnologias Diretórios (catálogo de informações) Contém informações centralizadas de usuários e recursos (principal componente) Formato de dados hierárquico - padrão X.500 Protocolo de acesso –LDAP Aplicações requisitam info de usuários Usuários requisitam info de recursos Objetos são gerenciados pelo Serviço de Diretório Permite ao admin configurar e gerenciar a identificação, autenticação e autorização aos recursos

Gerência de Identidades Ferramentas e Tecnologias Diretórios Componente principal da solução Armazena informações vindas de outros sistemas Atributos de usuários podem ser fornecidos pelo RH

Gerência de Identidades Ferramentas e Tecnologias Diretórios Ambiente windows Usuário loga no Controlador de Domínio Serviço de diretório – AD AD organiza recursos e implementa controle de acesso Configuração do AD é responsável por disponibilização de recursos para os usuários (impressoras, arquivos, servidores web etc) Problemas Muitas aplicações legadas não são compativeis

Gerência de Identidades Ferramentas e Tecnologias WAM Controla usuário quando acessa aplicação Web Muito utilizada em e-commerce, online banking etc Pode utilizar: senhas, certificados digitais, tokens etc

Gerência de Identidades Ferramentas e Tecnologias Gerência de senhas Grande custo administrativo com help-desk para resetar senhas Usuários precisam memorizar grande quantidade de senhas para diversos sistemas Soluções de Gerência de Senha Sincronismo de senhas Self-service reset Reset assistido

Gerência de Identidades Ferramentas e Tecnologias SSO – Single Sign On Autenticação única Desafio tecnológico Alto custo Discutível sob o aspecto de segurança Não compatível com sistemas legados

Gerência de Identidades Ferramentas e Tecnologias SSO com kerberos

Gerência de Identidades Ferramentas e Tecnologias Gerênciamento de Contas Criação de contas em diversos sistemas Modificação de privilégios Extinção Processo formal para criação de contas, atribuição de privilégios e extinção Implementação de wokflow auditável

Gerência de Identidades Ferramentas e Tecnologias Atualização de perfis Informações associadas a identidade do usuário Perfil pode ter informações sensiveis ou não Ex. Usuário atualiza perfil no site Submarino e as informações são utilizadas pelo CRM

Aspectos de segurança Vantagens Eficiência Política de senhas configurada centralmente Logs centralizados Desvantagens Grande dificuldade técnica e financeira Gerência de Identidades

Modelos de Controle de Acesso Framekorks que normatizam como sujeitos acessam objetos Utilizam tecnologias para reforçar regras e objetivos do modelo São implementados no kernel (seurity kernel) ou em aplicações Principais DAC MAC RBAC

Proprietário (owner) do recurso é responsável por atribuir as permissões Princípio: Ninguém melhor que o owner para dar direitos Problemas práticos owner é um usuário complexidade Tipos mais comuns de implementação ACL Capability Tables Discretionary Access Control Modelos de Controle de Acesso

Mandatory Access Control Inicialmente projetado para uso militar Baseado no modelo Bell-LaPadula – 1973 Componentes Classificação Credenciais de segurança/necessidade de conhecer http://www.vivaolinux.com.br/artigos/impressora.php?codigo=9883 Modelos de Controle de Acesso

Role-Based Access Control Permissões são atribuídas a papéis Os papéis representam funções Os usuários são atribuídos aos papéis Modelos de Controle de Acesso

Outras tecnologias de Controle de Acesso Rule-based Content dependent Context dependent Interfaces restritas Thin clients

Rule-based O controle de acesso é feito através de um conjunto regras Exemplos Anexos de e-mail > 5 MB, nega Firewalls Outras tecnologias de Controle de Acesso

Content dependent Considera o conteúdo do objeto no processo de controle de acesso Filtros de e-mail que procuram por strings específicas (confidencial, CPF etc) Carnivore Outras tecnologias de Controle de Acesso

Context dependent Baseado no contexto, por meio da coleta e análise de informações Statefull firewall Outras tecnologias de Controle de Acesso

Interfaces restritas Restrição ou limitação das interfaces usadas para acessar os objetos Tipos Menus e shells interfaces físicas restritas Exemplos Caixa eletrônico

Thin client Arquitetura cliente/servidor Computadores sem disco Força logon centralizado Pode prover SSO Outras tecnologias de Controle de Acesso

Objetivo ambicioso Ponto central de controle de acesso Tecnologias utilizam AAA Radius e Tacacs Autenticação PAP, CHAP e EAP Controle de Acesso Centralizado

Radius – Remote Authentication Dial-in User Service Autenticação PAP, CHAP ou EAP Servidor de acesso (AS) é cliente Radius Usa UDP Faz bilhetagem (AS informa login e logout) Criptografa somente a senha Mais utilizado para autenticação simples Controle de Acesso Centralizado

Radius “ O serviço RADIUS é amplamente usado em provedores de acesso a internet. No Brasil por exemplo, a Oi (empresa de telecomunicações) usa RADIUS no seu produto ADSL chamado Velox. No sistema Velox, o cliente inicia um pedido de conexão via protocolo PPPoE, um roteador Cisco série 7000 atende o pedido e envia o nome de usuário e senha para o servidor RADIUS (localizado num datacenter no Rio de Janeiro), o RADIUS por sua vez confere as credenciais em seu banco de dados e retorna para o roteador se o cliente pode se conectar ou não. Se a resposta for positiva, o cliente receberá um IP público e poderá navegar, caso a resposta seja negativa, o acesso é negado” Controle de Acesso Centralizado

TACACS – Termina Access Controller Access Control System Usa TCP Criptografa todos os dados Separa processos de AAA – mais flexibilidade Controle de Acesso Centralizado

Controle de Acesso

Mais conteúdo relacionado

Mais procurados

Destaque

Semelhante a Controle de Acesso

Mais de Cassio Ramos

Controle de Acesso

Notas do Editor