Upload
cassio-ramos
View
1.909
Download
1
Embed Size (px)
DESCRIPTION
Aula de Controle de Acesso na Pós da Estácio
Citation preview
Pós-‐Graduação -‐ lato Sensu
Prof: Cássio Alexandre Ramos cassioaramos (at) gmail (dot) com http://cassioaramos.blogspot.com http://www.facebook.com/cassioaramos
BEM-VINDO À DISCIPLINA DE: Controle de Acesso
Pós-‐Graduação -‐ lato Sensu
• Agenda – Introdução
– Iden6ficação, auten6cação, autorização e registro
– Métodos de Auten6cação e Caracterís6cas
– Gerência de Iden6dades
– Modelos
– Outras tecnologias de CA
– Controle de Acesso Centralizado
Sistemas de Controle de Acesso
Pós-‐Graduação -‐ lato Sensu
• Tecnologias de CA são importantes componentes da arquitetura de segurança dos sistemas
• São responsáveis por: – Quais recursos podem ser acessados
• hardware -‐ impressoras, discos, etc.
• soMware -‐ que sistemas podem ser u6lizados? Ex. CATG
– Quais operações podem ser realizadas
• Ex. Acesso a home banking
– Quais são os componentes autorizados a desempenhar tais operações
• Administrador – config, instala programas, gerencia memória, proc e etc.
• usuário do sistema
Introdução
Pós-‐Graduação -‐ lato Sensu
Requisitos Básicos da Segurança
• Disponibilidade -‐ Certeza que os dados estão acessíveis quando e onde forem necessários
• Integridade -‐ Certeza que os dados não foram alterados -‐
por acidente ou intencionalmente
• Confidencialidade -‐ Certeza que somente as pessoas
autorizadas a acessar os dados podem acessá-‐los
Pós-‐Graduação -‐ lato Sensu
Requisitos Básicos da Segurança
• Elementos U+lizados para Garan+r a Confidencialidade – Criptografia dos dados – Controle de acesso
• Elementos para garan+r a Integridade (md5sum) – Assinatura digital – MD5-‐ hash
• Elementos para garan+r a Disponibilidade – Backup – Tolerância a falhas – Redundância
Pós-‐Graduação -‐ lato Sensu
Tipos
• Podemos classificar as tecnologias em três 6pos
básicos
– Host
– Sistemas
– Rede
Pós-‐Graduação -‐ lato Sensu
Host • Tecnologias que controlam o acesso
a recursos do S.O – Implementada normalmente nos sistemas operacionais
– Ex. login • Recursos mais comuns a serem
protegidos – Arquivos – Objetos
• Serve para controlar recursos via rede
Pós-‐Graduação -‐ lato Sensu
Sistemas
• Sistemas funcionam dentro de hosts ou distribuidos • Normalmente formado por dois componentes
– Interface – Banco de Dados
• Nesta categoria temos sistemas de ERP, CRM, etc. • Sistemas possuem mecanismos próprios de controle de acesso
– Proteger acesso à BD – Ex. acesso web a banco.
Pós-‐Graduação -‐ lato Sensu
Rede
– Normalmente implementadas através de
• Firewalls: statefull, filtro de pacotes e proxy • Roteadores: interligam redes
• Switches: interligam computadores
– Demo FIREWALL
• Bloqueio de icmp e hcp
Pós-‐Graduação -‐ lato Sensu
Arquitetura
Router B
Parceiro1 Parceiro2 Parceiro3
Internet
INTRANET
LAN1
LAN2
LAN3
LAN4
LAN5
FILIAL
VPN
DMZ
WEB Server
DNS Server
Mail Server
Proxy R.
Hardened Server
Firewall Firewall/ Proxy
Pós-‐Graduação -‐ lato Sensu
Conceitos básicos
• Sujeito X Objeto • Reference Monitor • Security Kernel
Pós-‐Graduação -‐ lato Sensu
X Sujeito
• En6dade que solicita o acesso a uma peça de informação – Exemplos: usuários, processos, hosts, etc.
• Peça de informação acessada pelo sujeito – Exemplos: arquivos, registros de banco de dados etc.
Objeto
Pós-‐Graduação -‐ lato Sensu
Reference Monitor
• Conceito acadêmico – Introduzido na década de 70
• Caracterís6cas – Ser sempre chamado para mediar um acesso – Permi6r que sua funcionalidade possa ser testada – Ser inviolável, possuindo controles que garantam a integridade do seu funcionamento
Pós-‐Graduação -‐ lato Sensu
Reference Monitor
Pós-‐Graduação -‐ lato Sensu
• Conjunto de hardware, soBware e firmware que implementa o conceito do Reference Monitor
• Firmware – soBware que vem embu+do dentro de um hardware
Security Kernel
Pós-‐Graduação -‐ lato Sensu
Iden6ficação, Auten6cação, Autorização e Registro
• 4 etapas que devem ser realizadas para um sujeito acessar um objeto
Pós-‐Graduação -‐ lato Sensu
• Responsáveis por confirmar quem são os sujeitos que acessam os objetos – Mecanismos que permitem ao usuário mostrar ao sistema quem ele é
• Primeira etapa do controle de acesso
Iden6ficação e Auten6cação
Pós-‐Graduação -‐ lato Sensu
Iden6ficação • Iden6ficar um sujeito junto ao
sistema • Responsabilização individual por
ações no sistema
• Exemplos – Username – UserID – PIN
Pós-‐Graduação -‐ lato Sensu
Iden6ficação
• Principais recomendações de segurança no processo de iden6ficação – Iden6ficação deve ser única (auditável e não compar6lhada), não descri6va e expedida por autoridade
• U6lizar nomenclatura padrão para nomes de usuários
• Não permi6r a iden6ficação da função ou responsabilidade que a conta possuí (admin, backup operator etc.)
• Evitar nomes que possam ser facilmente deduzidos de e-‐mails • Procedimento seguro e controlado para emissão e revogação de contas
Pós-‐Graduação -‐ lato Sensu
Auten6cação
• Confirmação de iden6dade • Principais tecnologias
– Conhecimento: algo que o usuário sabe – Posse: algo que o usuário tem – Caracterís6ca: traço msico/comportamental do usuário
• Auten6cação Forte – Contém 2 das 3 tecnologias (mul6fator)
Pós-‐Graduação -‐ lato Sensu
Auten6cação
• Conhecimento – Algo que o usuário sabe
• Senha/Frase – Principais problemas de segurança
• Senhas fracas • Interceptação da senha
– hcp, Mp, telnet etc – Demo captura de senha FTP
Pós-‐Graduação -‐ lato Sensu
Auten6cação
• Conhecimento – Problemas no uso
• Segredo tem que estar armazenado no sistema • Local de armazenamento é o alvo:
– /etc/passwd (DEMO John) – c:\windows\system32\config
• Para proteção – criptografia – Uso de hash na codificação de senhas – método rápido, porém não muito seguro
• Senhas fornecidas por teclado e mouse – Facilmente interceptados por soMwares maliciosos
Pós-‐Graduação -‐ lato Sensu
Auten6cação
• Conhecimento – Principais recomendações
• Proteger os canais de transmissão -‐ sniffer • Usar métodos alterna6vos quando isso não for possível • Proteção msica dos servidores de auten6cação
– Demo Pmagic
Pós-‐Graduação -‐ lato Sensu
Auten6cação
• Posse – Algo que o usuário possui – Principais tecnologias
• Tokens • Smartcards • Cartões com listas de senhas • Cer6ficados digitais
Pós-‐Graduação -‐ lato Sensu
Auten6cação
• Caracterís6cas – Caracterís6cas msicas ou comportamentais – Biometria
Pós-‐Graduação -‐ lato Sensu
Métodos de Auten6cação e Caracterís6cas
• Senhas/Frases Senha – Senhas está6cas
– Senhas cogni6vas
• OTP ou senhas dinâmicas
• Chaves Criptograficas • Memory Cards
• Smart Cards
• Biometria
Pós-‐Graduação -‐ lato Sensu
Métodos de Auten6cação e Caracterís6cas (Senhas Está6cas)
• String de caracteres u6lizada para auten6car um usuário
• É o que o pessoa sabe • Método de auten6cação mais u6lizado • SO e aplicações podem impor requisitos de segurança – Demo restrições de segurança Windows Server
Pós-‐Graduação -‐ lato Sensu
Métodos de Auten6cação e Caracterís6cas (Senhas Está6cas)
• Gerenciamento de Senhas – Senha deve ser gerada, atualizada e man6da em segredo – (treinamento)
– Problemas Comuns • Escolha de senhas fracas – faceis de lembrar • Guardadas de forma inapropriada
– SO podem forçar poli6ca de senhas (Demo) • Numero de caracteres • Uso de caracteres especiais
Pós-‐Graduação -‐ lato Sensu
Métodos de Auten6cação e Caracterís6cas (Senhas Está6cas)
• Gerenciamento de Senhas – SO podem forçar poli6ca de senhas
• Indicação de ul6mo logon (Demo) • Bloqueio após n tenta6vas de logon incorretas • Auditoria de acessos negados • Tempo de vida da senha
Pós-‐Graduação -‐ lato Sensu
Métodos de Auten6cação e Caracterís6cas (Senhas Está6cas)
• Técnicas de Captura de Senhas – Monitoramento eletrônico – Acesso ao arquivo de senhas – Ataques de força bruta – Ataques de dicionário (demo Hydra) – Engenharia social – Rainbow tables
Pós-‐Graduação -‐ lato Sensu
Métodos de Auten6cação e Caracterís6cas (Senhas Cogni6vas)
• Baseada na experiencia de vida do usuário • Fácil de memorizar • Ex: nome do cachorro, CPF, data de aniversário etc • Muito u6lizada em call centers
Pós-‐Graduação -‐ lato Sensu
Métodos de Auten6cação e Caracterís6cas (Senhas Dinâmicas)
• One-‐Time Password – Senha só é válida 1 vez – U6lizada em ambientes de nível de segurança elevado – Pode ser u6lizado como 2° fator de auten6cação – Implementação
• SoMware • Tokens
Pós-‐Graduação -‐ lato Sensu
• Tokens OTP – Geradores de senha independentes
(sem PC)
– Disposi6vos de hardware usados para auten6cação
Métodos de Auten6cação e Caracterís6cas (Senhas Dinâmicas)
Pós-‐Graduação -‐ lato Sensu
• Tokens – Síncronos – sistema que auten6ca e sistema que solicita auten6cação possuem 6mer ou contador para sincronização
– Assíncronos – não demandam sincronismo entre o usuário que se auten6ca e o sistema
Métodos de Auten6cação e Caracterís6cas (Senhas Dinâmicas)
Pós-‐Graduação -‐ lato Sensu
• Tokens Síncronos – Peça de hardware – Senha trocada (30 a 60s)
– Token sincronizado com servidor
– Normalmente combinado com
senha está6ca (Personal Iden6fica6on Number)
– Combina algo que usuário sabe e algo que ele tem -‐ mul6fator
Métodos de Auten6cação e Caracterís6cas (Senhas Dinâmicas)
Pós-‐Graduação -‐ lato Sensu
• Tokens Assíncronos – Funcionam através de mecanismos de desafio/resposta
Métodos de Auten6cação e Caracterís6cas (Senhas Dinâmicas)
Pós-‐Graduação -‐ lato Sensu
• Vantagens – Fácil de usar
• Desvantagens – Custo
Métodos de Auten6cação e Caracterís6cas (Tokens)
Pós-‐Graduação -‐ lato Sensu
• Assinatura Digital – U6liza chaves privadas para comprovar iden6dade do emissor – Tecnologia que usa a chave privada para encriptar um hash é chamada
de assinatura digital – Cer6ficado digital -‐ Conjunto de informações assinadas por en6dade
confiável
Métodos de Auten6cação e Caracterís6cas (Chaves Criptográficas)
Pós-‐Graduação -‐ lato Sensu
• Não tem capacidade de processar informação • Pode armazenar informações de auten6cação
– Ex1: Usuário insere cartão, acesso liberado (1 fator) – Ex2: Usuário introduz o PIN e insere o cartão (mul6fator)
• Podem ser usados com computadores (necessita de leitora)
Métodos de Auten6cação e Caracterís6cas (Memory Cards)
Pós-‐Graduação -‐ lato Sensu
Métodos de Auten6cação e Caracterís6cas (Smartcards)
• Além de armazenamento tem capacidade de processar informação
• Possui micro-‐processador e circuitos • Pode realizar operações criptográficas • Pode u6lizar o PIN para desbloquear o cartão – informação
não pode ser lida até o desbloqueio
Auten+cação pode ser provida por OTP, desafio/resposta ou pelo cer+ficado digital
Pós-‐Graduação -‐ lato Sensu
• Categorias – Contact: leitor transmite energia com o contato – Contactless: antena em forma de bobina enrolada
Métodos de Auten6cação e Caracterís6cas (Smartcards)
Pós-‐Graduação -‐ lato Sensu
– A biometria valida um traço msico ou comportamental do usuário
– Grande facilidade de uso – Pode envolver aspectos culturais fortes
– Necessita de ajustes • Erros 6po I • Erros 6po II
Métodos de Auten6cação e Caracterís6cas (Biometria)
Pós-‐Graduação -‐ lato Sensu
Métodos de Auten6cação e Caracterís6cas (Biometria)
• Categorias – Baseada em Caracterís6cas Físicas – Baseada em caracterís6cas comportamentais
Pós-‐Graduação -‐ lato Sensu
• Baseada em Caracterís6cas Físicas – Analisam um traço msico do usuário
• Impressão digital • Impressão da palma da mão • Geometria da mão • Reconhecimento facial • Re6na • Íris • voz
Métodos de Auten6cação e Caracterís6cas (Biometria)
Pós-‐Graduação -‐ lato Sensu
• Impressão Digital – A impressão é
transformada em um vetor matemá6co para confrontação
– Bastante popular
Métodos de Auten6cação e Caracterís6cas (Biometria)
Pós-‐Graduação -‐ lato Sensu
• Reconhecimento facial – Analisa estrutura dos ossos do rosto – Grande potencial de crescimento financiado pela indústria an6-‐terrorismo
Métodos de Auten6cação e Caracterís6cas (Biometria)
Pós-‐Graduação -‐ lato Sensu
• Re6na – Analisa o padrão formado pelas veias internas do globo ocular
– Em caso de doenças oculares, sua precisão pode ser afetada
Métodos de Auten6cação e Caracterís6cas (Biometria)
Pós-‐Graduação -‐ lato Sensu
• Íris – Analisa o padrão visual formado pela íris
– Extremamente precisa
Métodos de Auten6cação e Caracterís6cas (Biometria)
Pós-‐Graduação -‐ lato Sensu
• Voz – Analisa o padrão de voz – U6liza mecanismos de
prevenção contra gravações
Métodos de Auten6cação e Caracterís6cas (Biometria)
Pós-‐Graduação -‐ lato Sensu
Métodos de Auten6cação e Caracterís6cas (Biometria)
• Baseada em Caracterís6cas Comportamentais – Analisam um traço Comportamental do usuário – Menos populares, devido a sua baixa precisão
• Padrão de digitação • Padrão de escrita
Pós-‐Graduação -‐ lato Sensu
Autorização • Determina se indivíduo está autorizado a acessar recurso par6cular
• Componente de todos os SO e desejável em aplicações – Ex. Usuário auten6cado no AD acessa planilha no servidor de arquivos
– SO verifica permissões (baseadas em critérios de acesso) • Localização msica e lógica, hora, 6po de transação. • Boas prá6cas: Default – no access e baseado na necessidade de conhecer
Pós-‐Graduação -‐ lato Sensu
Gerência de Iden6dades
Pós-‐Graduação -‐ lato Sensu
Gerência de Iden6dades
• Soluções para a automa6zação do uso das tecnologias de iden6ficação, auten6cação e autorização, ao longo do seu ciclo de vida
• Gerenciamento de contas e senhas, controle de acesso, SSO, gerencia de direitos e permissões, auditoria e monitoramento desses itens
• Várias tecnologias combinadas ou integradas
Pós-‐Graduação -‐ lato Sensu
Gerência de Iden6dades
• Para que usar isso?
Pós-‐Graduação -‐ lato Sensu
Gerência de Iden6dades
• Questões Comuns – O que cada usuário deve ter acesso? – Quem aprova e permite o acesso? – Como é o processo de revogação de acesso? – Como o acesso é controlado e monitorado de forma centralizada?
– Como centralizar o acesso a várias plataformas de SO e aplicações? – Como controlar acesso de empregados, parceiros e clientes?
• A tradicional Gerência de iden6dades (diretórios com permissões, ACL e perfis) é considerada incapaz de tratar todos esses problemas
Pós-‐Graduação -‐ lato Sensu
Gerência de Iden6dades
• Conceito Moderno de Gerência de Iden6dades – U6liza aplicações automá6cas, ricas em funcionalidades trabalhando em conjunto para criar uma infraestrutura de gerência de iden6dades
– Gerencia de iden6dades, auten6cação, autorização e auditoria em múl6plos sistemas
Pós-‐Graduação -‐ lato Sensu
Gerência de Iden6dades
• Ferramentas e Tecnologias – Diretórios – Gerenciamento de acesso Web (WAM) – Gerencia de senhas – SSO – Gerenciamento de contas – Atualização de perfis
Pós-‐Graduação -‐ lato Sensu
Gerência de Iden6dades • Ferramentas e Tecnologias
– Diretórios (catálogo de informações)
• Contém informações centralizadas de usuários e recursos (principal componente)
• Formato de dados hierárquico -‐ padrão X.500 • Protocolo de acesso –LDAP
– Aplicações requisitam info de usuários
– Usuários requisitam info de recursos • Objetos são gerenciados pelo Serviço de Diretório
– Permite ao admin configurar e gerenciar a iden6ficação, auten6cação e autorização aos recursos
Pós-‐Graduação -‐ lato Sensu
Gerência de Iden6dades
• Ferramentas e Tecnologias – Diretórios
• Componente principal da solução • Armazena informações vindas de outros sistemas
– Atributos de usuários podem ser fornecidos pelo RH
Pós-‐Graduação -‐ lato Sensu
Gerência de Iden6dades • Ferramentas e Tecnologias
– Diretórios • Ambiente windows
– Usuário loga no Controlador de Domínio
– Serviço de diretório – AD – AD organiza recursos e implementa controle de acesso – Configuração do AD é responsável por disponibilização de recursos para os usuários (impressoras, arquivos, servidores web etc)
• Problemas – Muitas aplicações legadas não são compa6veis
Pós-‐Graduação -‐ lato Sensu
Gerência de Iden6dades
• Ferramentas e Tecnologias – WAM
• Controla usuário quando acessa aplicação Web • Muito u6lizada em e-‐commerce, online banking etc • Pode u6lizar: senhas, cer6ficados digitais, tokens etc
Pós-‐Graduação -‐ lato Sensu
Gerência de Iden6dades
• Ferramentas e Tecnologias – Gerência de senhas
• Grande custo administra6vo com help-‐desk para resetar senhas
• Usuários precisam memorizar grande quan6dade de senhas para diversos sistemas
– Soluções de Gerência de Senha • Sincronismo de senhas • Self-‐service reset • Reset assis6do
Pós-‐Graduação -‐ lato Sensu
Gerência de Iden6dades
• Ferramentas e Tecnologias – SSO – Single Sign On
• Auten6cação única • Desafio tecnológico • Alto custo • Discu{vel sob o aspecto de segurança • Não compa{vel com sistemas legados
Pós-‐Graduação -‐ lato Sensu
Gerência de Iden6dades
• Ferramentas e Tecnologias – SSO com kerberos
Pós-‐Graduação -‐ lato Sensu
Gerência de Iden6dades
• Ferramentas e Tecnologias – Gerênciamento de Contas
• Criação de contas em diversos sistemas • Modificação de privilégios • Ex6nção
– Processo formal para criação de contas, atribuição de privilégios e ex6nção
• Implementação de wokflow auditável
Pós-‐Graduação -‐ lato Sensu
Gerência de Iden6dades
• Ferramentas e Tecnologias – Atualização de perfis
• Informações associadas a iden6dade do usuário • Perfil pode ter informações sensiveis ou não
– Ex. Usuário atualiza perfil no site Submarino e as informações são u6lizadas pelo CRM
Pós-‐Graduação -‐ lato Sensu
• Aspectos de segurança – Vantagens
• Eficiência • Polí6ca de senhas configurada centralmente • Logs centralizados
– Desvantagens • Grande dificuldade técnica e financeira
Gerência de Iden6dades
Pós-‐Graduação -‐ lato Sensu
Modelos
Pós-‐Graduação -‐ lato Sensu
Modelos de Controle de Acesso
• Framekorks que norma6zam como sujeitos acessam objetos
• U6lizam tecnologias para reforçar regras e obje6vos do modelo
• São implementados no kernel (seurity kernel) ou em aplicações
• Principais – DAC – MAC – RBAC
Pós-‐Graduação -‐ lato Sensu
• Proprietário (owner) do recurso é responsável por atribuir as permissões
• Princípio: Ninguém melhor que o owner para dar direitos
• Problemas prá6cos – owner é um usuário
– complexidade
• Tipos mais comuns de implementação – ACL – Capability Tables
Modelos de Controle de Acesso Discre6onary Access Control
Pós-‐Graduação -‐ lato Sensu
Mandatory Access Control
• Inicialmente projetado para uso militar
• Baseado no modelo Bell-‐LaPadula – 1973
• Componentes – Classificação – Credenciais de segurança/necessidade
de conhecer • hcp://www.vivaolinux.com.br/
ar6gos/impressora.php?codigo=9883
Modelos de Controle de Acesso
Pós-‐Graduação -‐ lato Sensu
Role-‐Based Access Control
• Permissões são atribuídas a papéis • Os papéis representam funções • Os usuários são atribuídos aos papéis
Modelos de Controle de Acesso
Pós-‐Graduação -‐ lato Sensu
Outras tecnologias de Controle de Acesso
• Rule-‐based • Content dependent • Context dependent • Interfaces restritas • Thin clients
Pós-‐Graduação -‐ lato Sensu
Rule-‐based
• O controle de acesso é feito através de um conjunto regras
• Exemplos – Anexos de e-‐mail > 5 MB, nega – Firewalls
Outras tecnologias de Controle de Acesso
Pós-‐Graduação -‐ lato Sensu
Content dependent
• Considera o conteúdo do objeto no processo de controle de acesso – Filtros de e-‐mail que procuram por strings específicas (confidencial, CPF etc)
• Carnivore
Outras tecnologias de Controle de Acesso
Pós-‐Graduação -‐ lato Sensu
Context dependent
• Baseado no contexto, por meio da coleta e análise de informações – Statefull firewall
Outras tecnologias de Controle de Acesso
Pós-‐Graduação -‐ lato Sensu
Interfaces restritas
• Restrição ou limitação das interfaces usadas para acessar os objetos
• Tipos – Menus e shells
– interfaces msicas restritas
• Exemplos – Caixa eletrônico
Pós-‐Graduação -‐ lato Sensu
Thin client
• Arquitetura cliente/servidor • Computadores sem disco • Força logon centralizado • Pode prover SSO
Outras tecnologias de Controle de Acesso
Pós-‐Graduação -‐ lato Sensu
• Obje6vo ambicioso • Ponto central de controle de acesso • Tecnologias u6lizam AAA
– Radius e Tacacs • Auten6cação
– PAP, CHAP e EAP
Controle de Acesso Centralizado
Pós-‐Graduação -‐ lato Sensu
• Radius – Remote Authen6ca6on Dial-‐in User Service – Auten6cação PAP, CHAP ou
EAP – Servidor de acesso (AS) é
cliente Radius – Usa UDP – Faz bilhetagem (AS informa
login e logout) – Criptografa somente a senha – Mais u6lizado para
auten6cação simples
Controle de Acesso Centralizado
Pós-‐Graduação -‐ lato Sensu
• Radius – “O serviço RADIUS é amplamente usado em provedores de acesso a
internet. No Brasi l por exemplo, a Oi (empresa de telecomunicações) usa RADIUS no seu produto ADSL chamado Velox. No sistema Velox, o cliente inicia um pedido de conexão via protocolo PPPoE, um roteador Cisco série 7000 atende o pedido e envia o nome de usuário e senha para o servidor RADIUS (localizado num datacenter no Rio de Janeiro), o RADIUS por sua vez confere as credenciais em seu banco de dados e retorna para o roteador se o cliente pode se conectar ou não. Se a resposta for posi6va, o cliente receberá um IP público e poderá navegar, caso a resposta seja nega6va, o acesso é negado”
Controle de Acesso Centralizado
Pós-‐Graduação -‐ lato Sensu
• TACACS – Termina Access Controller Access Control System – Usa TCP – Criptografa todos os dados – Separa processos de AAA – mais flexibilidade
Controle de Acesso Centralizado
Pós-‐Graduação -‐ lato Sensu
FIM