Upload
maiconribeiro
View
218
Download
0
Embed Size (px)
Citation preview
8/7/2019 2 - Segurana de Redes de Computadores - Princpios
1/50
Segurana em Redesde Computadores
8/7/2019 2 - Segurana de Redes de Computadores - Princpios
2/50
AgoraAgora tarde ...tarde ...
8/7/2019 2 - Segurana de Redes de Computadores - Princpios
3/50
Bem vindosBem vindos fabrica de paranfabrica de paraniasias
8/7/2019 2 - Segurana de Redes de Computadores - Princpios
4/50
Por qu e os Por qu e os a tua i s a tua i s
s is t em as d es ist em as d et r a t am en t o t r a t am en t o
d ad a
in f or m a in f o r m a oo
soso
inseguros? inseguros?
Isso no vai dar certo !...
8/7/2019 2 - Segurana de Redes de Computadores - Princpios
5/50
Respostas:Respostas:
Modelo humano!!!modelo de Von Newmann;ainda fazemos assim ! ...evoluo e disponibilidade
derecursos computacionais;
somos capazes de quebrarparadigmas?
poderamos fazer diferente?
8/7/2019 2 - Segurana de Redes de Computadores - Princpios
6/50
Ingenuidade e prepotnciaIngenuidade e prepotncia
todos faro bomuso;
vocs nunca vocompreender,apostamos na sua
ignorncia, essatecnologia estacima da sua
capacidade ...
8/7/2019 2 - Segurana de Redes de Computadores - Princpios
7/50
A Arte da GuerraA Arte da Guerra -- SunSun TzuTzu
A arte da guerra nos ensinaa no contar com aprobabilidade de que o
inimigo no nos venha atacar,mas contar com a nossacapacidade em defront-lo, nanossa certeza de termostornado nossa posio
inatacvel.
8/7/2019 2 - Segurana de Redes de Computadores - Princpios
8/50
Conceitos bConceitos bsicossicos
Segurana: qualidade ou estado deseguro. Seguro:livre de riscos, perigos ou
ameaas, infalvel, certo, indubitvel...
Em resumo: isso existe ?! Podemos no garantir, mas
podemos dar um certo
trabalho ...
Mas por onde eu comeo?
8/7/2019 2 - Segurana de Redes de Computadores - Princpios
9/50
Comece conhecendo oComece conhecendo oque voc quer proteger ...que voc quer proteger ...
Estados da informao:
gerao e/ ou percepo;
armazenada;
em transmisso.
8/7/2019 2 - Segurana de Redes de Computadores - Princpios
10/50
... e de quem !!!... e de quem !!!
Mas como eu vou saber de quem???????????????????????????????????????????????????????????
???????????????????????????????????????????????????????????????????????????????????????
???????????????????????????????????????????????????????????????????????????????????????
8/7/2019 2 - Segurana de Redes de Computadores - Princpios
11/50
Resposta: deResposta: de todostodos
Ele no tem nacionalidade; No tem nome;
No tem biotipo; No tem perfil;
Pode no ser ele, mas eles! Em um determinado momento
pode at nem ser humano!
8/7/2019 2 - Segurana de Redes de Computadores - Princpios
12/50
ServiServios:os:
Descreve o que se espera deum sistema seguro, o que eledeve oferecer.
8/7/2019 2 - Segurana de Redes de Computadores - Princpios
13/50
ConfidencialidadeConfidencialidade::
Assegura que ainformao seracessvel somente a
quem de direito e naforma de direito,
incluindo aqui o acesso informao do fato deque a informao existe.
8/7/2019 2 - Segurana de Redes de Computadores - Princpios
14/50
Autenticidade:Autenticidade:
Assegura que ainformao realmenteda fonte que declara ser.
8/7/2019 2 - Segurana de Redes de Computadores - Princpios
15/50
Integridade:Integridade:
Assegura que somentepartes devidamenteautorizadas tenham acesso
para modificar informaesarmazenadas ou em trnsito.Por acesso de modificao
entenda: editar, mudar oestado de acesso (leitura,gravao, execuo), delir,
criar, retardar ou reenviarinformaes em trnsito.
8/7/2019 2 - Segurana de Redes de Computadores - Princpios
16/50
No repNo repdio:dio:
Assegura que nem oemissor nem o receptorde uma informao
possam negar o fato.
8/7/2019 2 - Segurana de Redes de Computadores - Princpios
17/50
Disponibilidade:Disponibilidade:
Requer que os recursosde um sistema gestor dainformao estejam
disponveis s partesautorizadas quando
solicitadas e na forma dedireito.
8/7/2019 2 - Segurana de Redes de Computadores - Princpios
18/50
Concluso:Concluso:
8/7/2019 2 - Segurana de Redes de Computadores - Princpios
19/50
Mecanismos:Mecanismos:
Quando falamos emmecanismos, nosreferimos aos recursos
disponveis e que podemser utilizados para
oferecer os serviosdescritos anteriormente.
8/7/2019 2 - Segurana de Redes de Computadores - Princpios
20/50
Tipos de Mecanismos:Tipos de Mecanismos:
Preventivos;
De superviso;
De recuperao.
8/7/2019 2 - Segurana de Redes de Computadores - Princpios
21/50
Mecanismos preventivos:Mecanismos preventivos:
P lanejamento ambientalControle de acesso;Acessibilidade;Climatizao;instalaes eltricas;Cofres;alarmes, ...
8/7/2019 2 - Segurana de Redes de Computadores - Princpios
22/50
Mecanismos preventivos:Mecanismos preventivos:
Proteo fsica dainformaodispositivos de
armazenamento;Controle de acesso fsico
ao sistema cabeado.
8/7/2019 2 - Segurana de Redes de Computadores - Princpios
23/50
Mecanismos preventivos:Mecanismos preventivos:
Proteo lgica dainformaoCriptografia;Firewall;VPN;
Proxy; ...
8/7/2019 2 - Segurana de Redes de Computadores - Princpios
24/50
Mecanismos preventivos:Mecanismos preventivos:
Capacitao de recursoshumanosqualificao e
requalificao do grupo de: desenvolvimento;Manuteno;Suporte;
qualificao dos usurios;
suporte aos usurios, ...
8/7/2019 2 - Segurana de Redes de Computadores - Princpios
25/50
Mecanismos de superviso:Mecanismos de superviso:
Avaliao constante do estado dosistema com a utilizao deferramentas de monitoraoScanners;sistemas de gerncia de redes;verificaes peridicas das condies
ambientais;anlise de relatrios dos sistemas ( l ogs );tudo que foge normalidade deve ser
investigado.
(busque sempre por anormalidades!)
8/7/2019 2 - Segurana de Redes de Computadores - Princpios
26/50
Mecanismos de recuperaMecanismos de recuperao:o:
Plano de contingncia;Backup;
Si te espelho;Vou ter que digitar tudo
novamente?Meus correntistas no vo
gotar ...
(e agora?)
8/7/2019 2 - Segurana de Redes de Computadores - Princpios
27/50
Bem, mas voltandoBem, mas voltando nossa pergunta ...nossa pergunta ...
pare de meenrolar e diga
logo por ondeeu comeo !
8/7/2019 2 - Segurana de Redes de Computadores - Princpios
28/50
MMs nots notcias:cias:
Comece por todos oslados! Infelizmente no
nos permitidonegligenciar qualquerdos aspectos dasegurana.
8/7/2019 2 - Segurana de Redes de Computadores - Princpios
29/50
MMs nots notcias:cias:
Data a dificuldade de fazer oque o primeiro tpicoestabelece, poderamos
graduar a dificuldade de seimplantar segurana no que
eu considero serem os trsprincipais pontos a serematacados
8/7/2019 2 - Segurana de Redes de Computadores - Princpios
30/50
Grau de dificuldade: (Grau de dificuldade: (22))
Segurana fsica:Diria que esta a mais
simples de todas porque
envolve apenas e poucainterao com os usuriosrecursos financeiros (um
bom contrato de trabalhoresolve todos os problemasde rebeldia!)
8/7/2019 2 - Segurana de Redes de Computadores - Princpios
31/50
Grau de dificuldade: (Grau de dificuldade: (33))
Segurana tecnolgica:Neste quesito esto
envolvidos: recursos
financeiros, analistas,programadores, pessoal desuporte, de manuteno,enfim o pessoal que estdiretamente ligado aotratamento da informao
8/7/2019 2 - Segurana de Redes de Computadores - Princpios
32/50
Grau de dificuldade: (Grau de dificuldade: (55))
USURIOS:Neste quesito esto envolvidos:
usurios mal treinados, usuriosinsatisfeitos, usurios
demissionrios, usurios malintencionados, pseudo-usurios,usurios ...
Manuteno da motivao econscincia acerca da segurana
8/7/2019 2 - Segurana de Redes de Computadores - Princpios
33/50
Fazer o que,Fazer o que, nn??
Mas sem osusurios o nosso
trabalho no teriao menor sentido!
8/7/2019 2 - Segurana de Redes de Computadores - Princpios
34/50
MotivaMotivaes para um ataque:es para um ataque:
Prazer;Auto-afirmao;ganho no autorizado
informao;negar responsabilidade por uma
informao que o fraudador tenharealmente gerado;alegar ter recebido uma informao
de outra fonte sendo que ele mesmotenha gerado a informao;
8/7/2019 2 - Segurana de Redes de Computadores - Princpios
35/50
personificao de outra pessoa para
fugir de algum tipo deresponsabilidade ou tambm parafazer uso das prerrogativas da vtima
tais como: criar informaes demodo fraudulento, modificar alegitimidade de uma informao,
ganhar algum tipo de acesso noautorizado, autorizar transaesfraudulentas ou endossar taistransaes;
8/7/2019 2 - Segurana de Redes de Computadores - Princpios
36/50
ampliar direitos de acesso/ uso de
licenas;modificar direitos de acesso/ uso de
outros;
alegar ter enviado uma informaoa outro usurio mas que narealidade no o tenha feito;Usar sua banda;Usar seus recursos de
armazenamento;Vingana;
8/7/2019 2 - Segurana de Redes de Computadores - Princpios
37/50
aprender quando e quais acessos
so feitos a uma determinadainformao, mesmo que estainformao no seja legvel;
fraudar uma transao de modoque ela seja entendida como umafalha do sistema;
alterar um software, normalmentepela insero de um cdigomalicioso;
...
8/7/2019 2 - Segurana de Redes de Computadores - Princpios
38/50
ClassificaClassificao dos ataques:o dos ataques:
Passivos:So caracterizados pelo
acesso informao paraconhecimento e/ ou anlise,algo tpico demonitoramento de uma rede(sniffing);
8/7/2019 2 - Segurana de Redes de Computadores - Princpios
39/50
ClassificaClassificao dos ataques:o dos ataques:
Ativos:Este tipo de ataque envolve
algum tipo de modificao dainformao ou a criao de umainformao falsa e pode sersubdivido em quatro categorias:
8/7/2019 2 - Segurana de Redes de Computadores - Princpios
40/50
ClassificaClassificao dos ataques:o dos ataques:
Mascaramento (falsidade
ideolgica);Reutilizao de uma informao
(retransmisso de um quadro ou
uma mensagem);Modificao da informao;Recusa de servio (DoS);
8/7/2019 2 - Segurana de Redes de Computadores - Princpios
41/50
Ciclo de vida de sistemas seguros:Ciclo de vida de sistemas seguros:
Passo 1 planejamentoda segurana dainformao (anlise de
riscos e da relaocusto/benefcio);
Passo 2 projeto,instalao e configuraodos sistemas de proteo;
8/7/2019 2 - Segurana de Redes de Computadores - Princpios
42/50
Ciclo de vida de sistemas seguros:Ciclo de vida de sistemas seguros:
Passo 3- Operao degerncia dos sistemasseguros:
hardware/software,sistemas operacionais,banco de dados,aplicaes,redes de comunicao
...
8/7/2019 2 - Segurana de Redes de Computadores - Princpios
43/50
Ciclo de vida de sistemas seguros:Ciclo de vida de sistemas seguros:
Passo 4 Auditoria dasegurana da informao.Volte ao passo 1!
8/7/2019 2 - Segurana de Redes de Computadores - Princpios
44/50
Concluses:Concluses:
8/7/2019 2 - Segurana de Redes de Computadores - Princpios
45/50
Concluses:Concluses:
8/7/2019 2 - Segurana de Redes de Computadores - Princpios
46/50
SeguranSegurana fa fsica:sica:
Instalaes prediaisLocalizao estratgica;Controle de acesso;Acessibilidade/ layout;Climatizao;
Iluminao;Resistncia intempries.
8/7/2019 2 - Segurana de Redes de Computadores - Princpios
47/50
InstalaInstalaes eles eltricastricas
Rede de alimentao Proteo contra descargas
atmosfricas Estabilizao Sistema de fornecimento
ininterrupto de energia(No-Breack) Aterramento
8/7/2019 2 - Segurana de Redes de Computadores - Princpios
48/50
Controle de acesso:Controle de acesso:
Sistema de identificaoA identificao de usurios feita
com base em um ou mais dosseguintes aspectos:
O que somos: baseado na identificaobiomtrica:digitais;mapa facial;exame de retina;voz; ...(este assunto ser detalhado adiante)
8/7/2019 2 - Segurana de Redes de Computadores - Princpios
49/50
Controle de acesso:Controle de acesso:O que portamos: chaves, carteiras de
identificao, cartes magnticos,circuitos micro-processados externos ouinternos ao nosso corpo, ... O que sabemos: senhas, dados pessoais,
parte de uma informao, ...
Ex.: Caixa eletrnico de auto-atendimento:
necessrio portar um carto com tarjamagntica e saber uma ou duas senhas(fracas!)
8/7/2019 2 - Segurana de Redes de Computadores - Princpios
50/50
AlgumasAlgumas URLURLss (p(pra comera comear):ar):
http://www.cert.org
http://www.cert.br
http://www.modulo.com.br
http://www.infoguerra.com.br/index.php3
http://www.sans.org/
http://www.rnp.br/cais/
http://www.security.unicamp.br/http://www.lockabit.coppe.ufrj.br/
http://www.mhavila.com.br/link/security/
http://vxchaos.cjb.net/
http://www.cert.org/http://www.cert.br/http://www.modulo.com.br/http://www.infoguerra.com.br/index.php3http://www.sans.org/http://www.rnp.br/cais/http://www.security.unicamp.br/http://www.lockabit.coppe.ufrj.br/http://www.mhavila.com.br/link/security/http://vxchaos.cjb.net/http://vxchaos.cjb.net/http://www.mhavila.com.br/link/security/http://www.lockabit.coppe.ufrj.br/http://www.security.unicamp.br/http://www.rnp.br/cais/http://www.sans.org/http://www.infoguerra.com.br/index.php3http://www.modulo.com.br/http://www.cert.br/http://www.cert.org/