Upload
luis-filipe-batista
View
287
Download
2
Embed Size (px)
Citation preview
Luis Batista
Autenticação e Controlo de Acessos
Redes e Serviços de Comunicações Móveis
Luis Batista
Autenticação
Redes e Serviços de Comunicações Móveis
Agenda
Autenticação
Factores de autenticação
Mecanismos de acesso
Protocolos
Luis Batista Redes e Serviços de Comunicações Móveis
Autenticação
Do grego Αυθεντικός
Αυθεν + τικός
Autor + real
É o acto de confirmar que alguém (ou algo) é
realmente essa pessoa e não outra a fazer-se
passar por ela.
Luis Batista Redes e Serviços de Comunicações Móveis
Autenticação
Em segurança da informação
Autenticação é o processo que visa verificar
a identidade de um utilizador de um sistema
digital no momento em que este requisita o
acesso.
Luis Batista Redes e Serviços de Comunicações Móveis
Factores de autenticação
Os factores de autenticação para humanos são normalmente
classificados em três casos.
SYH
SYK
SYA
Luis Batista Redes e Serviços de Comunicações Móveis
Algo que se sabe
Luis Batista Redes e Serviços de Comunicações Móveis
As mais utilizadas
Pode ser observada ou “escutada” de várias formas
Algo que se tem
Luis Batista Redes e Serviços de Comunicações Móveis
É a menos segura
Sujeita a roubos ou duplicações
Algo que se é
Luis Batista Redes e Serviços de Comunicações Móveis
A menos utilizada
Muita tolerância - autenticação de impostor
Pouca tolerância - rejeição de utilizador válido
One time password
É uma senha de acesso temporária de uma única utilização
O próprio utilizador não conhece a senha
É aleatória e gerada no momento
Possui uma função hash (por norma o MD4)
Luis Batista Redes e Serviços de Comunicações Móveis
Autenticação de 2 passos
Luis Batista Redes e Serviços de Comunicações Móveis
Mecanismos de acesso
Baseados no conhecimento
identificação e senha
Baseados na propriedade
identificação, senha e token
Baseados na característica
digital
Luis Batista Redes e Serviços de Comunicações Móveis
Mecanismos baseados no conhecimento
Implementação de mecanismos
– Os caracteres indevidos são removidos, para evitar ataques
como os de injecção de SQL
– Verifica se a variável id está preenchida
– Valida os formulários, de acordo com as regras definidas
– Não permite que as variáveis de identificação e senha
estejam em branco
Luis Batista Redes e Serviços de Comunicações Móveis
Mecanismos baseados no conhecimento
– A senha é criptografada
– Verifica se o utilizador existe na BD e se a senha introduzida
corresponde ao utilizador. Se a senha estiver correcta, a
aplicação lista os privilégios deste e salva as informações
em variáveis de sessão
– Permite o acesso e faz o reencaminhamento para o sistema
Luis Batista Redes e Serviços de Comunicações Móveis
Mecanismos baseados na propriedade
– Utiliza um token, para além do id e senha
– Durante o autenticação do utilizador, são registados na BD
os tokens de acessso
– Estes tokens são gerados aleatóriamente
– No painel de acesso são solicitados o id, senha e o token
– Se a verificação for correta, o acesso é dado ao utilizador
Luis Batista Redes e Serviços de Comunicações Móveis
Mecanismos baseados na característica
Implementação de mecanismos
– Cada utilizador tem uma ou mais “imagens” registadas na BD
– Requer uso de hardware específico para a leitura da imagem
– Requer o uso de software para fazer a comparação com a
imagem registada na BD
– Caso haja confirmação digital, o acesso ao sistema é dado
Luis Batista Redes e Serviços de Comunicações Móveis
Protecção
A protecção da autenticação depende da comunicação segura
do armazenamento de dados
– Todas as comunicação devem estar encriptadas através da
utilização do protocolo SSL
– O protocolo de segurança deve ser o mesmo em todas as
partes autenticadas
– Os dados armazenados estão encriptados e/ou em hash
Luis Batista Redes e Serviços de Comunicações Móveis
Protocolos
Utilizam mecanismos de password para autenticar utilizadores
– Point-to-Point Protocol (PPP)
– RADIUS
– Kerberos
– TACACS+
– Diameter
Luis Batista Redes e Serviços de Comunicações Móveis
Autenticação - Protocolos
Point-to-Point Protocol - mecanismos
PAP (Password Authentication Protocol)
Não encripta passwords
Mais simples na implementação
CHAP (Challenge Handshake Authentication Protocol)
EAP (Extensible Authentication Protocol).
PAP e CHAP são os mais implementados
EAP é o mais robusto (PEAP – Protected EAP : Microsoft, Cisco e RSA
Security)
Redes e Serviços de Comunicações Móveis Luis Batista
CHAP
Challenge Handshake Authentication Protocol (CHAP)
Luis Batista Redes e Serviços de Comunicações Móveis
EAP - Versões
Sistema de autenticação universal usado nas redes wireless e
redes ponto-a-ponto
Luis Batista Redes e Serviços de Comunicações Móveis
– LEAP - Lightweight Extensible Authentication Protocol (Cisco)
– EAP-TLS (o mais usado)
– EAP-MD5
– PEAP
AAA
Autenticação, Autorização e Auditoria - Permite
a um utilizador ou PC aceder à rede e usar os
seus recursos
– Autenticação – o utilizador com quem
comunico é autentico
– Autorização – o que o que utilizador pode
fazer
– Auditoria – o que o utilizador faz
Luis Batista Redes e Serviços de Comunicações Móveis
AAA
É usado em cenários onde um servidor de
acesso à rede (NAS) ou um servidor de acesso
remoto (RAS) age como um switch, garantindo
desta forma o acesso à rede ao utilizador.
Luis Batista Redes e Serviços de Comunicações Móveis
AAA - Protocolos
*RADIUS (Remote Authentication Dial In User Service)
*TACACS+
Diameter
*RADIUS e TACACS+ não definem a quem é dado o acesso nem o
que o utilizador pode ou não fazer. Apenas servem para transporte
da informação entre o cliente e o servidor de autenticação. As
polítcas de acesso podem ser configuradas pelo SGBD.
Luis Batista Redes e Serviços de Comunicações Móveis
RADIUS
O servidor frontend envia a informação do utilizador
através de credenciais para o servidor RADIUS (backend)
com pacotes RADIUS. Acessos e privilégios são
implementddos pelo servidor RADIUS ou pelas políticas de
base de dados.
Luis Batista Redes e Serviços de Comunicações Móveis
RADIUS
1º servidor – proxy
2º servidor – autenticação
3º servidor (opcional) – concurrência
Luis Batista Redes e Serviços de Comunicações Móveis
RADIUS A transacção começa normalmente com um pedido de acesso
carregando as credenciais do utilizador, seguindo de uma resposta
do servidor com a permissão ou negação de acesso.
Luis Batista Redes e Serviços de Comunicações Móveis
RADIUS
Durante a sessão são trancsacionado pedidos de auditoria que
monitorizam o tempo de sessão, fim da sessão, etc.
Luis Batista Redes e Serviços de Comunicações Móveis
RADIUS
Uso comercial
Luis Batista Redes e Serviços de Comunicações Móveis
Kerberos
Luis Batista Redes e Serviços de Comunicações Móveis
Servidor de autenticação (Authentication Server ou Trusted
Third Party)
Verifica a identidade de utilizadores e serviços
– utilizando chaves secretas e o algoritmo de encriptação DES
Desenvolvido MIT para uso interno
Considera a existência de dois servidores de autenticação
Autenticação inicial dos agentes e obtenção das credenciais (tickets)
Separa a autenticação dos clientes da obtenção de credenciais
Kerberos
Luis Batista Redes e Serviços de Comunicações Móveis
Luis Batista
Controlo de Acessos
Redes e Serviços de Comunicações Móveis
Agenda
Controlo de acessos
Firewalls
IDS - Intrusion Detection System
IPS - Intrusion Prevention System
Luis Batista Redes e Serviços de Comunicações Móveis
Controlo de Acessos
Pode-se comparar o controlo de acessos de um sistema
de informação a uma empresa.
LAN – Empresa
Empresa:
Escritórios – ambiente de trabalho
Salas de arquivo – servidores
Corredores – routers
Sala de espera - DMZ (zona desmilitarizada)
Luis Batista Redes e Serviços de Comunicações Móveis
Firewalls
Barreiras interpostas entre a rede privada e a rede externa
Existem em equipamentos ou aplicações
Objectivo
evitar ataques (vírus, hackers)
monitorizar e filtrar todo o tráfego que fluí entre duas redes
bloquear completamente certos tipos de tráfego
localizados estrategicamente (onde?)
Redes e Serviços de Comunicações Móveis Luis Batista
Firewalls - implementação
Considerações a ter em conta na implementação da firewall
de onde será originada uma ameaça sistema e porque razões?
não pensar que firewall = segurança (porquê?)
Redes e Serviços de Comunicações Móveis Luis Batista
Firewalls - implementação
+ considerações - revisão de políticas
determinar o que se quer proteger e qual a sua importância
determinar como ocorrerão as comunicações na firewall
onde deve ser colocado
como configurá-lo
número de firewalls
o esquema da ligação
manutenção após a ligação
Redes e Serviços de Comunicações Móveis Luis Batista
Firewalls - auditoria
+ considerações - auditoria (análise de logs)
em caso de “perseguição” (keyloggers)
disponibilização de logs
equipe e protocolo – aptos a actuar
Redes e Serviços de Comunicações Móveis Luis Batista
Firewalls
+ considerações
aplicação de filtros
sujeito a vírus – integração com antivírus
outros motivos
e a performance?
suporte para autenticação
suporte para alterar passwords, mover bases de dados, executar scripts
para manipulação da base de dados, etc
acessos remotos (ligações para o interior)
será ou não preferível optar por uma VPN?
revisão da arquitectura
Redes e Serviços de Comunicações Móveis Luis Batista
Firewalls - arquitectura
Arquitectura baseada num router e firewall
Uma das mais comuns
Internet Firewall Intranet
Servidor
WWW
Servidor
FTP
Servidor
SMTP
DMZ
Router
Switch
Redes e Serviços de Comunicações Móveis Luis Batista
Firewalls - tipos
Packet filtering
método mais básico (integrados nos routers)
trabalha com os valores transportados em cada pacote
TCP/IP (end IP e porta origem/destino)
simples de criar
não é suficiente
Redes e Serviços de Comunicações Móveis
Application proxy
Stateful Inspection
Luis Batista
Firewalls – Packet Filtering
Sites totalmente bloqueados não podem ser acedidos pelos
utilizadores da rede segura
Complexidade de manutenção
introdução manual
processo que se torna dificil de gerir
Redes e Serviços de Comunicações Móveis Luis Batista
Firewalls – Aplication Proxy
Trabalha com os valores transportados em cada pacote TCP/IP (end IP
e porta origem/destino)
São intermediários
Requerem autenticação (recorre à criptografia e passwords)
Capazes de rejeitar pacotes com determinadas extenções (exe, zip)
Excelentes níveis de segurança e controlo de acesso
Podem providenciar um elevado nível de protecção contra ataques do
tipo Deniel of Service (DoS)
Redes e Serviços de Comunicações Móveis Luis Batista
Firewalls - Aplication Proxy
Desvantagens
Requerem grandes quantidades de recursos do computador
Ocorrência de eventuais paragens ou diminuições de velocidades na
rede
Mais complexos em termos de configuração e manutenção
Nem todas as aplicações têm proxies disponíveis
Redes e Serviços de Comunicações Móveis Luis Batista
Firewalls – soluções híbridas
São as melhores abordagens
Vantangens
Combinam vários métodos de protecção, por exemplo, a combinação entre packet
filter e stateful inspection
Fornece funções de segurança a um elevado número de destinatários
O stateful inspection juntamente com os proxies combinam o desempenho e as
vantagens das políticas de segurança do stateful inspection com o elevado nível de
resistência a DoS do proxy
Redes e Serviços de Comunicações Móveis Luis Batista
Firewalls – soluções híbridas
Desvantagens
Compra de software e/ou hardware adicional
Não há incorporações com outro dispositivo de rede existente
Redes e Serviços de Comunicações Móveis Luis Batista
Variam – boas para um site, más para outros
“KISS - Keep it simple, stupid” ”
Flexíbilidade e de fácil manutenção
Suporte às políticas de segurança definidas para a rede
Sem impor restrições
Firewalls – características desejáveis
Redes e Serviços de Comunicações Móveis Luis Batista
Controlo de acesso a serviços
Negação ou permissão
Filtro de tráfego
Negação ou permissão de acesso a serviços oferecidos por
servidores específicos
endereços IP, tipos de protocolos, portas e interfaces
Suporte à autenticação
Firewalls – características desejáveis
Redes e Serviços de Comunicações Móveis Luis Batista
Suporte de características de proxy para os principais
serviços
HTTP, SMTP, FTP
Permitir o acesso a servidores públicos
Não comprometendo a segurança das zonas não privadas da
rede
Redes e Serviços de Comunicações Móveis
Firewalls – características desejáveis
Luis Batista
Logs do tráfego
Acessos e tentativas de acesso
Disponibilização de ferramentas para uma fácil análise dos logs
Suporte técnico
Patchs e resolução de problemas e bugs
Interface de configuração e administração amigável e flexível
Redes e Serviços de Comunicações Móveis
Firewalls – características desejáveis
Luis Batista
IDS - Intrusion Detection Systems
Tem vindo a ganhar interesse devido ao grande
crescimento do número de intrusões
Necessidade de monitorização
tentativas de ataque
falhas da rede
calcular precisamente a extensão dos estragos
Existe a fechadura mas não existe câmara de segurança
Redes e Serviços de Comunicações Móveis Luis Batista
IDS - termos
Falsos positivos
situações “benignas” – tipicamente um erro
Falsos negativos
situações de falha – falha no sistema
Assinaturas
conjunto de condições que, quando reunidas,
indicam algum tipo de intrusão
Redes e Serviços de Comunicações Móveis Luis Batista
IDS - termos
Algorítmo
método usado pela assinatura
Intrusão
actividades concatenadas que colocam a segurança
dos recursos TI em perigo
Redes e Serviços de Comunicações Móveis Luis Batista
Ataque
uma tentativa falhada de entrada no sistema (não é executada
nenhuma transgressão)
Incidente
violação das regras do sistema de segurança - intrusão bem
sucedida
IDS - termos
Redes e Serviços de Comunicações Móveis Luis Batista
Modelação de intrusões
uma modelação temporal de actividades - a intrusão
1. o intruso inicia o seu ataque com uma acção introdutória
2. tenta outras auxiliares
3. até conseguir o acesso bem sucedido
Sensores
Network Intrusion Detection System (NIDS)
Host Sensors
IDS - termos
Redes e Serviços de Comunicações Móveis Luis Batista
Sistema de defesa
detecção de actividades “inimigas”
detectar/impedir as actividades comprometedoras
– tentativas de portscans
facilitar a visualização de actividade suspeita
emissão de alertas
bloqueio de ligações
distinção de ataques internos/externos
Redes e Serviços de Comunicações Móveis
IDS - caracterização
Luis Batista
Pattern Matching
procura por sequências fixas de bytes num único
pacote
apenas se houver associação do padrão a
um serviço concreto
uma porta específica
Exemplo: TCP com destino à porta 2222 e payload
contendo 123
Redes e Serviços de Comunicações Móveis
IDS - Metodologias
Luis Batista
Vantagens
método mais simples de IDS
permite correlações directas de um exploit com o padrão
altamente específico
gera alertas com o padrão especificado
aplicável em todos os protocolos
Redes e Serviços de Comunicações Móveis
IDS - Pattern Matching
Luis Batista
Desvantagens
probabilidade de ocorrência de taxas elevadas de falsos
positivos
as modificações ao ataque podem conduzir à falta de eventos
(falsos negativos)
necessidade de múltiplas assinaturas para tratar de uma única
ameaça
não aconselhado à natureza de tráfego de dados do HTTP
Redes e Serviços de Comunicações Móveis
IDS - Pattern Matching
Luis Batista
Análise heurística
Lógica algorítmica para tomar decisões de alarme
São frequentemente avaliações estatísticas do tipo de tráfego
apresentado
Redes e Serviços de Comunicações Móveis
IDS - Metodologias
Luis Batista
Vantagens
Alguns tipos de actividades suspeitas ou maliciosas não podem
ser detectadas por qualquer outro meio.
Redes e Serviços de Comunicações Móveis
IDS - Análise heurística
Desvantagens
Os algoritmos podem requerer afinações ou modificações (para
adequação de tráfego e limitação de falsos positivos).
Luis Batista
Análise à anomalia
Procura tráfego “anormal” (problema?)
Pacotes de comunicação que não coincidem com o estado da ligação
Pacotes de comunicação que se encontram severamente fora da sequência
Subcategoria – detecção de métodos de perfis
forma como os utilizadores ou sistemas interagem com a rede
Possível detectar ataques em curso
Fornecem pouca informação, são vagos e requerem demasiada investigação
IDS - Metodologias
Luis Batista Redes e Serviços de Comunicações Móveis
Vantagens
Quando implementado correctamente, podem detectar ataques
desconhecidos/novos
Menores cargas - não é necessário desenvolver novas
assinaturas
IDS – Análise à anomalia
Luis Batista Redes e Serviços de Comunicações Móveis
Desvantagens
Não fornecem dados concretos da intrusão - acontece um
“desastre” mas o sistema não consegue determiná-lo
Altamente dependente do ambiente que os sistemas definem
como normal
IDS – Análise à anomalia
Luis Batista Redes e Serviços de Comunicações Móveis
Os IDS
Utilizam apenas uma das metodologias como core
e fracções das outras metodologias (antes ou depois de analisar
os dados)
– Devido à degradação da performance
A detecção prematura de um intruso - evitar danos
Quanto mais cedo, melhor!
Eficiência - desencorajar ataques
IDS
Luis Batista Redes e Serviços de Comunicações Móveis
Os IDS são
Um elemento de core
Um sensor (pelo menos)
responsável pelas decisões a tomar
recebem os dados de três fontes principais
base de dados do próprio IDS
syslog (configuração, permissões, utilizadores, etc)
Auditorias
estrutura da base para o processo de futuras tomadas de decisão
Redes e Serviços de Comunicações Móveis
IDS
Luis Batista
protecção do ataque
prevenção de intrusões
boa combinação de “iscas e
armadilhas” – para a investigação e
ameaças (Honey pots)
desvio da atenção do intruso
dos recursos protegidos
repulsão (muitas vezes
conseguida)
exame dos dados IDS
Prevenção
Monitorização
Detecção
Reacção
Simulação
Análise
Notificação
Redes e Serviços de Comunicações Móveis
IDS - Tarefas
Luis Batista
IDS
Infraestrutura IDS
Adicional
Monitoriz
a Notifica
Sistema a proteger
Reage
Intrusion Detection Systems - IDS
Redes e Serviços de Comunicações Móveis Luis Batista
É uma evolução/extensão do IDS
Actua após o alerta dado pelo IDS
E previne a realização do ataque no sistema
Ao receber o alerta executa a acção de prevenção
Como bloquear o IP da origem do ataque
IPS – Instrusion Prevention System
Luis Batista Redes e Serviços de Comunicações Móveis
Os métodos de autenticação e controlo de acessos não são mais
que sistemas de segurança para proteger sistemas de informação
Não há sistemas 100% seguros - apenas a ideia de sistemas
seguros (uma ilusão!!)
A implementação de um sistema de seguro não é dificil ou
complexa se a solução estiver bem desenhada (o mito de que os
sistemas de segurança são complicados...)
Conclusão
Luis Batista Redes e Serviços de Comunicações Móveis
Apesar de recorrerem a algorítmos sofisticados e a métodos de
proteção efecientes, os sistemas de segurança dependem sempre de
intervenção humana (criatividade no desenho da arquitetura e
manutenção do sistema)
Não são resistentes à mudança - pois não há sistemas estanques - a
criatividade humana e o progresso tecnológico ditam as novas
necidades a implementar nos sistemas de autenticação e controlo de
acesso!
Conclusão
Luis Batista Redes e Serviços de Comunicações Móveis
Algumas questões
Luis Batista Redes e Serviços de Comunicações Móveis
Quais os 3 factores de autenticação mais usados?
Luis Batista Redes e Serviços de Comunicações Móveis
SYK
SYH
SYA
Luis Batista Redes e Serviços de Comunicações Móveis
Para quê optar por uma abordagem híbrida
na implementação de uma firewall?
Luis Batista Redes e Serviços de Comunicações Móveis
Para obter uma maior a segurança, combinando
o melhor de cada tipo de firewall
isto é, tirar partido das vantagens do
packet filtering e appilcation proxy, por exemplo
Fornecer funções de segurança a um elevado número de destinatários
Luis Batista Redes e Serviços de Comunicações Móveis
Quais as metodologias usadas no IDS?
Luis Batista Redes e Serviços de Comunicações Móveis
Pattern Matching
Análise heurística
Análise à anomalia
...
Luis Batista Redes e Serviços de Comunicações Móveis