SEG. EM SISTEMAS E REDES Segurança física e lógicafiles.cavalca.webnode.com.br/200000216-67a78699c9/SSR01... · SEG. EM SISTEMAS E REDES ... Preparação para auditoria 7) Auditoria

SEG. EM SISTEMAS E REDES

Segurança física e lógica

Prof. Ulisses Cotta Cavalca<[email protected]>

Belo Horizonte/MG2015

SUMÁRIO

1) Segurança da informação

2) Princípios básicos

3) Segurança física

4) Segurança lógica

1. SEGURANÇA DA INFORMAÇÃO

● A segurança da informação transcede a Computação:

● Não existe sistema 100% seguro;● O elo mais fraco da corrente sempre será o ser

humano;● Os riscos e vulnerabilidades transcendem o mundo

tecnológico;● Vulnerailidades físicas estão sempre presentes;● Necessidade de assumir, gerenciar e gerir riscos.


● Informação:

● São todos os dados de um empresa, independentemente do formato em que se encontram.

● Estão presente nos ativos, que sã alvo da proteção das segurança da informação

● Ativo:

● Todo elemento que contém informação, inclusive a informação em si.

● Exemplo: servidores, discos, roteadores, arquivos, pastas, pessoas, etc.


● POR QUE proteger as informações?

● Pelo seu valor direto;● Pelo impacto da sua ausência;● Pelo impacto resultante de seu uso por terceiros;● Pela relação de dependência com a sua atividade.

● QUANDO proteger as informações?

● Durante todo o seu ciclo de vida


Manuseio

Armazenamento

Transporte

Descarte

● Ciclo de vida da informação:


● O QUE proteger nas informações?

● Atributos:

– Confidencialidade: A informação deve ser acessada apenas por pessoas autorizadas.

– Integridade: Após recuperada, a informação deve estar da mesma forma que foi armazenada.

– Disponibilidade: A informação deve estar acessível sempre que solicitada.

● Aspectos:

– Autenticidade: Deve-se garantir a identidade das– Legalidade: A informação deve estar em conformidade

com a legislação institucional, nacional e/ou internacional


● AMEAÇA:● É todo fator que viabilize a instabilidade de um

sistema, quebrando pelo menos um dos 3 conceitos de segurança da informação apresentados.

● Uma ameaça pode ser:

– Natural: decorrente de fenômenos da natureza;– Involuntária: ocasionada sem propósito

específico ou por falta de conhecimento;– Voluntária: com intenção de causar algum dano

à informação ou à estrutura.


● VULNERABILIDADE:● Vulnerabilidade pode ser considerada como uma falha

existente na estrutura, não prevista pelo modelo de segurança, que permite uma ameaça atinja seu objetivo.

● Uma vulnerabilidade pode ser:

– Física: ocasionada pelas instalações do ambiente de trabalho ou sala de servidores;

– Humana: ação de usuários mal intencionados, invasores ou falta de conhecimento técnico;

– Tecnológica: proveniente de equipamentos ou sistemas em operação.


● RISCO:● Perigo ou possibilidade de perigo. Situação de

probabilidade previsível de perda ou ganho;

– Exemplo: um jogo de azar, ou uma decisão de investimento.

● Segurança implica na probabilidade de risco tendendo a zero. Necessidade de administrar situações de risco.


● MEDIDAS DE SEGURANÇA:

● É um termo generalizado para todo o conjunto de ações envolvendo proteção contra ameaças existente, em detrimento da informação da organização.

● Podem ser classificadas como:

– Preventivas: medidas planejadas antes mesmo do real risco de uma ameaça;

– Detectáveis (ou preditivas): propósito de identificar ameaças existentes ou iminentes e executar procedimentos reativo;

– Corretivas: medidas de segurança realizadas após um incidente ter ocorrido.


● MEDIDAS DE SEGURANÇA:

● Ainda podem ser classificadas como:

– Física: utilização de recursos físico para prover segurança, tais como circuito interno de TV, controle de acesso, uso de nobreakes, dentre outras;

– Tecnológica: emprego de ferramentas tecnológicas como medidas de proteção, tais como firewall, antivírus, atualização de sistemas, etc.;

– Humana: trabalho de conscientização sobre a importância da segurança da informação, capacitação de usuários para uso de ferramentas de segurança, dentre outras.


● Certificação NBR ISO / IEC 27001:2005

● Evolução da norma britânica BS7799

– BS7799-1:● Introdução, definição de extensão e condições

principais de uso da norma;● Disponibiliza 148 controles divididos em 10 partes

distintas;● Referência para implementar “boas práticas” de

segurança.– BS7799-2:

● Define requisitos para um Sistema de Gestão de Segurança da Informaçao



● Implementa modelo de gestão da segurança da informação dentro de parâmetros internacionais para um ambiente de negócios;

● Garante segurança das práticas internas e informações para parceiros e clientes;

● Selo com mesmo reconhecimento de mercado alcançado pelas famílias:

– ISO 9000 (Qualidade)– ISO 14000 (Práticas ambientais)



● Define 10 áreas de conformidade:

1) Política de segurança

2) Segurança organizacional

3) Classificação e controle de ativos

4) Segurança sobre pessoas

5) Segurança física e do ambiente

6) Gerenciamento das operações e comunicações

7) Controle de acesso

8) Desenvolvimento e manutenção de sistemas

9) Gestão da continuidade do negócio

10) Conformidade



● Define 8 fases para implantação de SGSI (Sistema de Gestão de Segurança da Informação:

1) Inicialização do projeto

2) Definição do SGSI

3) Análise de riscos

4) Tratamento dos riscos

5) Treinamento e conhecimento

6) Preparação para auditoria

7) Auditoria

8) Controle e melhoramento contínuo


● Política de Segurança da Informação

● Define diretrizes, recomendações e deveres de todos quanto Segurança da Informação:

● Estão associadas:

1) Política de Uso Aceitável (PUA)

2) Política de Controle de Acesso (PCA)

3) Política de Continuidade de Negócio (PCN)

4) Política de Senhas

5) Política de Backup

2. PRINCÍPIOS BÁSICOS DE SEGURANÇA

● Menor privilégio

● Princípio fundamental: Define que cada objeto (usuário, administrador, programa, etc.) deve possuir apenas o privilégio mínimo

● Defesa em profundidade

● Não se deve confiar em um único mecanismos de segurança. Deve-se sempre utilizar defesas redundantes.

● Gargalo

● Obriga intrusos a usar um canal estreito que pode ser monitorado.

● Ponto mais fraco

● O ponto mais fraco de uma rede é sempre o ser humano

2. PRINCÍPIOS BÁSICOS DE SEGURANÇA

● Falha segura

● Quando um sistema de segurança falha, deve falhar de tal forma que bloqueie o acesso de um invasor

● Participação universal

● O sistema de segurança deve envolver todos os objetos (pessoas)

● Diversidade de defesa

● Não é um princípio geral. Afirma que o uso de sistemas diferentes torna o sistema (como um todo) mais seguro.

● Simplicidade

● A segurança habita em meio à simplicidade. As coisas simples são mais fáceis de entender.

3. SEGURANÇA FÍSICA

1) Segurança externa e de entrada

2) Segurança da sala de equipamentos

3) Segurança dos equipamentos

4) Redundância

5) Segurança do fornecimento de energia

6) Cópias de segurança (backup)

7) Descarte da informação


● Segurança externa e de entrada:

● Consiste na proteção da instalação onde os equipamentos estão localizados, contra a entrada de pessoas não autorizadas.

● Atua também na presenção de catástrofes como:

– Enchentes; Raios; Incêndios● Mecanismos de controle de acesos físico nas

entradas e saídas como:

– Travas; Alarmes; Grades; Sistemas de vigilância


● Segurança externa e de entrada:

● Controle de acesso: gerencia e documenta todos os acessos em ambientes, salas, andares e áreas específicas.

● Pode ser interligado a vários outros sistemas como:

– Sistema de alarme;– Circuito fechado de televisão (CFTV);– Cartão de identificação;– Sistemas biométricos.


● Segurança da sala de equipamentos:

● Sala de equipamentos é o local físico onde os servidores e equipamentos de rede estão localizados;

● Acesso com controle físico específicos e somente por pessoal autorizado;

● Todo acesso deve ser registrado através de algum mecanismo de entrada;

● O conteúdo da sala não deve ser vísivel externamente.



● É desejável:

– Ficar em andares mais altos;– Evitar que a sala esteja no caminho das pessoas;– Paredes de concreto;– Portas de madeira-de-lei o de ferro;– Porta fechada permanentemente;– Extintor contra incêndio;– Ar-condicionado para temperatura e humidade;– Proteção contra raios solares nas janelas;



● É desejável:

– Janelas e portas com proteção contra arrombamento;– Carpete e piso elevado à prova de fogo e anti-estático;– Não ter material combustível;– A sala não deve ser local de trabalho para qualquer

funcionário;– Proibição da entrada com material líquido;– Incentivar uso de acesso remoto;– Possibilidade de uso de cabeamento aéreo;



● Formação de perímetros e aplicação de três princípios básicos de segurança:

– Defesa em profundidade;– Gargalo;– Diversidade de defesa.

1º terreno: muro, controle de acesso (guaritas, seguranças)

2º Prédio: paredes, controle de acesso (recepção, seguranças, catracas)

3º Callcenter: 2 portas de vidro, controle de acesso (crachá, segurança)

4º Datacenter: 2 portas de aço, controle de acesso (crachá e biometria)

5º Racks com chave, câmeras


● Segurança dos equipamentos:

● Os equipamentos de rede e servidores devem estar em um sala segura;

● Os equipamentos devem ser protegidos contra acessos indevidos no seu console, através de periféricos como teclado, mouse e monitor;

● Travas para CDs/DVDs são recomendadas;● Os equipametos devem ser protegidos contra

acessos indevidos ao interior da máquina.

3. SEGURANÇA FÍSICA● Redundância:

● O problema mais comum de segurança é a falha de hardware;

● O mecanismos mais importante para tolerar a falha é a redundância;

● A redundância cria alta disponibilidade, mantendo o funcionamento em caso de falhas ou sobrecargas:

– Redundância de interface de rede;– Redundância de CPUs;– Redundância de discos (RAID);– Redundância de fontes de alimentação;– Redundância de servidores, etc.


● Redundância:

● RAID é a sigla de Redundant Array of Inexpensive (Independent) Disks, conjunto redundante de discos independentes ou de baixo custo;

● Implementado por:

– Controladora física (hardware);– Através de sistema operacional;

● Dados redundantes em múltiplos discos fornecem tolerância a falhas;

● Conjunto múltiplos de discos acessados em paralelo dão uma vazão maior.


● Redundância:

● Storage:


● RAID 0 (stripping):

– Armazenamento sequencial dos dados em ambos os discos.

– Necessita de pelo menos 2 discos.– Maior velocidade de leitura e

acesso aos dados.– Não possui mecanismo de

redundância, logo apresenta baixa segurança no armazenamento.


● Redundância:

● RAID 1 (mirroring):

– Armazenamento espelhado dos dados nos discos rígidos.

– Necessita de pelo menos 2 discos.

– Maior segurança e confiabilidade no armazenamento dos dados.

– Queda na velocidade do acesso aos dados.

– RAID NÃO É BACKUP!!!


● RAID 5:

– Armazenamento sequencial dos dados nos discos rígidos, porém com armazenamento de bit de paridade para integridade;

– Necessita de pelo menos 3 discos;– Maior velocidade de acesso,

porém com redução no processo de escrita;

– Requer complexo sistema de controle de dados entre HDs.


● Redundância:

● RAID 10:


● Redundância:

● RAID 50:


● Segurança no fornecimento de energia:

● Ambientes geralmente incluem na infraestrutura nobreakes e geradores de energia.

● Nobreaks são sistemas elétricos de alimentação ininterrupta, responsáveis por regular anomalias na rede elétrica e suprimir energia em caso de queda no fornecimento.

● Geradores de energia são equipamentos capazes de prover energia elétrica, geralmente em situações de queda de fornecimento pela concessionária da rede elétrica.



● Nobreaks:



● Geradores de energia:


● Cópia de segurança / salvaguarda (backup)

● É o único recurso no caso de perda de informação;● O Plano de Continuidade de Negócios (PCN)

prevê o uso de mídias de backup para a recuperação de desastres;

● Observar o uso de compressão e criptografia no programa;

● Item importante do PCN: backup off-site;● Mídias mais usadas: fitas, HD, CD e DVD


● Cópia de segurança / salvaguarda (backup)

Local de inserçãoda fita magnética

Display para operaçãodo robô de fita

Localização dasfitas magnéticasno equipamento

Robô de fita

Fita magnética

Fita magnética com capacidade de 800Gb


● Descarte da informação

● Documentos com informações confidenciais requerem um descarte seguro, impossibilitando qualquer recuperação das informações;

● Principais mídias de decarte: papel, fitas e discos rígidos;

● A instituição deve ter uma política de descarte de papel, de fitas e discos rígidos;

● Documentos em papel devem ser fragmentados, sendo no mínimo uma fragmentadora de corte transverso;

● As mídias magnéticas devem ser destruídas.


● Descarte da informação

Desmagnetizador de HD Marreta (:

4. SEGURANÇA LÓGICA

● Firewall

● Parede corta-fogo que protege a rede interna contra os perigos da Internet;

● Exemplo do princípio do gargalo;● Serve a propósitos específicos:

– Restringe a entrada a um único ponto controlado;– Previne que invasores cheguem perto de suas

defesas mais internas;– Restringe a saída a um único ponto controlado.

4. SEGURANÇA LÓGICA● Firewall

● Capacidade para lidar com os desafios de gerência e controle de tráfego de rede:

– Tratamento de TCP;– Construção de regras “statefull”;– Tratamento de UDP;– Tratamento de ICMP;– Ataque DOS;– Aplicações P2P;– Jogos na rede;– NAT.

4. SEGURANÇA LÓGICA● Detectores de Intrusos

● IDS é a sigla para Intrusion Detection Systems (Sistemas de Detecção de Intrusos);

● Analisa o comportamento da rede em busca de tentativa de invasão;

● Baseado no sistema imunológico do corpo humano– Monitor específico de servidor/host (HIDS);– Monitor específico de rede (NIDS);– Monitor específico de sistemas Kernel (KIDS).

● Utiliza dois métodos distintos:– Detecção por assinatura;– Detecção por comportamento.


● Redes virtuais privadas (VPN)

● VPN interliga duas redes privadas usando a internet como meio de comunicação;

● Usa normalmente canal de criptografia;– Rápida, para não comprometer o desempenho;– Segura, para impedir ataques;– Substitui linhas dedicadas a um custo reduzido;– Sujeita a congestionamento e interrupções na

Internet.


● Redes virtuais privadas (VPN)


● AAA

● Autenticação: estabelece a identidade do indivíduo;

– Identificação: via login ou PIN (Personal Identification Number)

– Método de prova:● Via algo que você sabe: senha● Via algo que você tem: Smart card, token● Via algo que você é: impressão digital, íris,

voz, etc.


● AAA

● Autorização

– Autorização traça o perfil de acesso do indivíduo, e o que pode fazer;

– O perfil contém todas as permissões para cada recurso que o indivíduo acessa.

● Auditoria– A auditoria implica em: quem fez o quê, quando,

aonde?– Os registros de eventos (logs) são os primeiros

objetos a serem consultados em uma auditoria.

Documents

SEG. EM SISTEMAS E REDES Segurança física e lógicafiles.cavalca.webnode.com.br/200000216-67a78699c9/SSR01... · SEG. EM SISTEMAS E REDES ... Preparação para auditoria 7) Auditoria