Upload
yuri-costa
View
219
Download
0
Embed Size (px)
Citation preview
8/18/2019 Princípios de Segurança Da Informação
1/23
Princípios de Segurança da
Informação
8/18/2019 Princípios de Segurança Da Informação
2/23
8/18/2019 Princípios de Segurança Da Informação
3/23
Segurança da informação• Segurança da Informação define-se como o processo de proteção da informação e
ativos digitais armazenados em computadores e redes de processamento dedados.• Os elementos básicos da segurança das informações são:
– Confidencialidade: capacidade de um sistema de permitir que alguns usuários acessemdeterminadas informações ao mesmo tempo que impede que outros, não autorizados, asacessem.
– Integridade: a informação deve estar correta, ser verdadeira e não estar corrompida. – Disponibilidade: a informação deve estar disponível para todos que precisem dela para a
realização de uma atividade específica.
• Além destes três elementos principais, tem-se também: – Autenticidade: garantir que um usuário é de fato quem alega ser. – Não répúdio: capacidade de um sistema de provar que um usuário executou determinada
ação. – Legalidade: garantir que o sistema esteja aderente à legislação pertinente. – Privacidade: capacidade de um sistema de manter anônimo um usuário, impossibilitando o
relacionamento entre o usuário e suas ações (por exemplo, o sistema de voto eletrônico). – Auditoria: capacidade de um sistema de auditar tudo o que foi realizado pelos usuários,
detectando fraudes ou tentativas de ataque.
8/18/2019 Princípios de Segurança Da Informação
4/23
Segurança da informação
• Componentes de Arquitetura Segura – Segmentação de Rede;
– Firewalls;
–
Autenticação; – Criptografia;
– Detecção de Intrusos;
• Os componentes de segurança não devem ser
tratados como componentes individuais mascomo parte de um sistema único, integrando-osquando possível.
8/18/2019 Princípios de Segurança Da Informação
5/23
Segurança da informação
Switch
8/18/2019 Princípios de Segurança Da Informação
6/23
De-Militarized Zone - DMZ
• Zona desmilitarizada
• Termo que designa a rede localizada entre arede interna e a Internet.
• Na DMZ normalmente estão localizados osservidores de acesso público: – E-mail
–
Web – DNS
– ....
8/18/2019 Princípios de Segurança Da Informação
7/23
Segurança da informação
Switch
8/18/2019 Princípios de Segurança Da Informação
8/23
Segurança da informação
8/18/2019 Princípios de Segurança Da Informação
9/23
Firewall - FW
• Firewalls são sistemas que tem como objetivo estabelecer regras efiltros de tráfego entre duas redes.
• Os firewalls são utilizados como a primeira linha de defesa contraameaças externas a uma rede.
• Por ser a primeira linha de defesa, os sistemas de firewall devem
ser cuidadosamente instalados e gerenciados.• No caso de firewalls instalados em servidores (normalmente
Windows, Linux e Unix) o sistema operacional deve também sercuidadosamente configurado para o nível máximo de proteção.
• Na figura 3 é mostrado o uso típico de um firewall, segregando econtrolando o tráfego entre várias redes. A arquitetura da
implementação segue alguns princípios gerais embora dependa decada site, sua topologia e aplicações.
• Como exemplo, na figura 3 é mostrado um único firewallprotegendo todos os ambientes. Em algumas implementações, sãoutilizados dois ou três firewalls em sequência, algumas vezes detecnologias e modelos diferentes.
8/18/2019 Princípios de Segurança Da Informação
10/23
Firewall - FW•
Tipos de FW – Filtro de Pacotes
• Este tipo de firewall restringe o trafégo a partir de regras baseadas emprotocolo, porta de conexão e endereços destino e origem; nãoanalisando o conteúdo do pacote ou exigindo algum tipo de autenticação.Pode ser implementado na maior parte dos roteadores.
– Proxy de Conexão• Este tipo de firewall atua como intermediário nas conexões. Dessa
forma um usuário sempre conecta-se primeiro ao firewall e esteencaminha as requisições para o destino. Possuem funcionalidade deautenticação do usuário.
– Proxy de Aplicação• A operação básica é a mesma que a do proxy de conexão, porém este tipo
analisa o pacotes, garantindo que eles estão em conformidade com osprotocolos e aplicações. Por exemplo, um pacote SMTP (porta TCP-25 e587) é analisado para garantir que ele está em conformidade com oprotocolo SMTP, ou seja, se ele realmente é um pacote SMTP. Possuem
funcionalidade de autenticação do usuário.
8/18/2019 Princípios de Segurança Da Informação
11/23
IPTABLES - Adicionando regras - A
Exemplo para criar uma regra que bloqueia o acesso a própria máquina (127.0.0.1 - loopback).
Ping para verificar seu funcionamento:
ping 127.0.0.1
PING 127.0.0.1 (127.0.0.1): 56 data bytes
64 bytes from 127.0.0.1: icmp_seq=0 ttl=255 time=0.6 ms
64 bytes from 127.0.0.1: icmp_seq=1 ttl=255 time=0.5 ms
--- 127.0.0.1 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 0.5/0.5/0.6 ms
A máquina responde, agora incluindo uma regra no chain INPUT (-A INPUT) que bloqueie (-j DROP) qualquer acesso para o endereço
127.0.0.1 (-d 127.0.0.1):
iptables -t filter -A INPUT -d 127.0.0.1 -j DROP
Ping para verificar a efetividade da regra:
ping 127.0.0.1
PING 127.0.0.1 (127.0.0.1): 56 data bytes
--- 127.0.0.1 ping statistics ---
2 packets transmitted, 0 packets received, 100% packet loss
Desta vez a máquina 127.0.0.1 não respondeu, pois todos os pacotes com o destino 127.0.0.1 (-d 127.0.0.1) são rejeitados (-j DROP). Aopção -A é usada para adicionar novas regras no final do chain. Além de -j DROP que serve para rejeitar os pacotes, podemos tambémusar -j ACCEPT para aceitar pacotes. A opção -j é chamada de alvo da regra ou somente alvo pois define o destino do pacote queatravessa a regra.
OBS1: - O acesso a interface loopback não deve ser de forma alguma bloqueado, pois muitos aplicativos utilizam soquetes tcp pararealizarem conexões, mesmo que você não possua uma rede interna.
OBS2: - A tabela filter será usada como padrão caso nenhuma tabela seja especificada através da opção -t.
8/18/2019 Princípios de Segurança Da Informação
12/23
Autenticação• Através de autenticação é possível identificar um usuário e associá-lo com o perfil de
acesso necessário para suas funções. Junto com a autenticação estão os recursos de não-repúdio (garantia de que o emissor de uma mensagem ou a pessoa que executoudeterminada transação de forma eletrônica não poderá posteriormente negar suaautoria); ou o acompanhamento (log) de todas as atividades executadas pelo objeto,evitando-se assim que o um usuário negue ou recuse a autoria de uma transação. Quantomaior a segurança da autenticação maior a segurança do não-repúdio.
• Há três tipos básicos de autenticação, que variam em grau de segurança e complexidade: a
autenticação baseada em algo que o usuário possui (como um cartão de Banco), aautenticação baseada em algo que o usuário conhece (como a senha) e a autenticaçãobaseada em algo que lhe pertence (como a identificação biométrica).
• Todos os tipos de autenticação são vulneráveis à falhas, e a melhor solução é utilizar doisou mesmo os três tipos combinados. Atualmente o mais comum é utilizar o primeiro e osegundo tipo de autenticação. O acesso a um “caixa 24hs” utiliza algo que o cliente possui
(um cartão) combinado com algo que ele lembra (uma senha). Para acessos remotos,incluindo Internet, é possível utilizar também estes dois tipos combinados. CertificadosDigitais ou tokens de senhas dinâmicas podem substituir o cartão eletrônico.
• É importante notar que a solicitação da informação pessoais como confirmação de senhaaumenta a complexidade da autenticação mas não constitui o uso de técnicas diferentes.São várias instâncias do método “algo que o usuário conhece”.
8/18/2019 Princípios de Segurança Da Informação
13/23
Criptografia
• Criptografia é um elemento essencial paraqualquer implementação de e-business e InternetBanking. A maior parte dos Bancos utilizamcriptografia para a comunicação, ou seja,
protegem o dado enquanto o mesmo está emtrânsito. Uma vez armazenado, o dado é mantidocom ou sem criptografia. As organizações devemavaliar a necessidade da implementação de
criptografia também para o armazenamento dedados. Há casos que dados confidenciais declientes, não criptografados, foram roubados deservidores de armazenamento.
8/18/2019 Princípios de Segurança Da Informação
14/23
Sistema de Detecção/Prevenção de Intrusões(IDS - Intrusion Detection System)
(IPS – Intrusion Prevention System)• Os sistemas IDS/IPS procuram por tráfego ou eventos
suspeitos de acesso ilegal. A detecção/prevenção deintrusos é realizada de dois modos:
– Sensores procuram por “assinaturas” de ataques,que são os métodos utilizados por invasores ecatalogados no IDS
– Sensores detectam alguma atividade suspeita,seja por eventos não esperados ou diferentes doperfil normal de um usuário ou aplicação
14
8/18/2019 Princípios de Segurança Da Informação
15/23
Sistema de Detecção/Prevenção de Intrusões(IDS - Intrusion Detection System)
(IPS – Intrusion Prevention System)
• Tipos de intrusão: – Mau uso do sistema - são os ataques realizados a pontos
fracos do sistema, pontos este conhecidos, que podemser detectados a partir da monitoração de certas ações
realizadas em determinados objetos
– Intrusão devido a mudança de padrão - são detectadascom a observação de mudanças de uso em relação aopadrão normal do sistema. Primeiro monta-se um perfil
do sistema, em seguida, através de monitoração,procura-se por divergências significantes em relação aoperfil construído
15
8/18/2019 Princípios de Segurança Da Informação
16/23
Sistema de Detecção/Prevenção de Intrusões(IDS - Intrusion Detection System)
(IPS – Intrusion Prevention System)
• Detecção/Prevenção de intrusão – Análise de padrões do sistema operacional e da rede tais
como: utilização de CPU, I/O de disco, uso de memória,atividades dos usuários, número de tentativas de login,
número de conexões, volume de dados trafegando nosegmento de rede, entre outros
– Estes dados formam uma base de informação sobre autilização do sistema em vários momentos do tempo
– Algumas ferramentas IDS/IPS possuem bases com padrõesde ataque previamente montadas permitindo também aconfiguração dos valores das bases bem como inclusão denovos parâmetros.
16
8/18/2019 Princípios de Segurança Da Informação
17/23
Rede Privada
• Empresas com unidades de negócios em locaisdistantes necessitam troca da informação comrapidez e segurança
• Uma das soluções adotadas é interligar asunidades de negócios por meio de links decomunicação de dados dedicados: – Alugados
– Infraestrutura de comunicação própria
• Investimento e custeio alto
17
8/18/2019 Princípios de Segurança Da Informação
18/23
Rede Privada Virtual
• Rede Privada Virtual (Virtual Private Network - VPN)
– Rede privada construída sobre a infraestrutura decomunicação de dados da Internet (rede pública, semcontrole sobre o acesso aos dados)
– Possui as mesmas características das redes privadas
• Motivação do uso de VPN
– Baixo investimento e custeio
– Portabilidade – Relação custo/benefício adequado
18
8/18/2019 Princípios de Segurança Da Informação
19/23
8/18/2019 Princípios de Segurança Da Informação
20/23
Rede Privada Virtual
• Os dispositivos responsáveis pela formação egerenciamento da rede virtual, parapropiciarem uma comunicação com
segurança, devem ser capazes de garantir: – Privacidade dos dados
– Integridade dos dados
– Autenticação
20
8/18/2019 Princípios de Segurança Da Informação
21/23
Rede Privada Virtual
Unidade de negócio A
Túnel VPN
Internet
Unidade de negócio A
Firewall Firewall
21
• As duas unidades de negócios estão interligadas como se
formassem uma única rede
• Controle de acesso definido pelos administradores de TI dasunidades de negócios
8/18/2019 Princípios de Segurança Da Informação
22/23
Rede Privada Virtual
Túnel VPN
Internet
Firewall
Provedor
de acesso
à Internet
Servidor de
VPN
Rede
interna daempresa
22
8/18/2019 Princípios de Segurança Da Informação
23/23
TOPOLOGIA