Criptografia e Criptografia e Segurança em RedeSegurança em Rede

Capítulo 1Capítulo 1

De William StallingsDe William Stallings

Apresentação por Lawrie Brown e Apresentação por Lawrie Brown e Fábio BorgesFábio Borges

Capítulo 1 – IntroduçãoCapítulo 1 – Introdução

A arte da guerra nos ensina a contar não com a A arte da guerra nos ensina a contar não com a probabilidade de o inimigo não chegar, mas probabilidade de o inimigo não chegar, mas com nossa própria prontidão para recebê-lo; com nossa própria prontidão para recebê-lo; não com a chance de não ser atacado, mas não com a chance de não ser atacado, mas com o fato de tornar nossa posição inatacável.com o fato de tornar nossa posição inatacável.——A arte da guerra, A arte da guerra, Sun TzuSun Tzu

Visão GeralVisão Geral

as exigências da Segurança da Informação as exigências da Segurança da Informação modificaram-se nos últimos temposmodificaram-se nos últimos tempos

exigências tradicionalmente prestadas por exigências tradicionalmente prestadas por mecanismos físicos ou administrativosmecanismos físicos ou administrativos

a informática exige ferramentas automatizadas a informática exige ferramentas automatizadas para proteger arquivos e outras informações para proteger arquivos e outras informações armazenadasarmazenadas

utilização de redes de comunicações altamente utilização de redes de comunicações altamente conectados requer medidas para proteger os conectados requer medidas para proteger os dados durante a transmissão. dados durante a transmissão.

DefiniçõesDefinições

Segurança Computacional Segurança Computacional - nome genérico - nome genérico para a coleta de instrumentos destinados a para a coleta de instrumentos destinados a proteger os dados e para contra-atacar hackersproteger os dados e para contra-atacar hackers

Segurança de rede Segurança de rede - medidas destinadas a - medidas destinadas a proteger os dados durante a sua transmissão proteger os dados durante a sua transmissão

Segurança da Internet Segurança da Internet - as medidas para - as medidas para proteger os dados durante a sua transmissão proteger os dados durante a sua transmissão por uma coleção de redes interconectadaspor uma coleção de redes interconectadas

Objetivo do CursoObjetivo do Curso

nosso foco está na nosso foco está na Segurança da Segurança da Internet Internet

O qual consiste em medidas para O qual consiste em medidas para dissuadir, prevenir, detectar e corrigir as dissuadir, prevenir, detectar e corrigir as violações de segurança que envolvam a violações de segurança que envolvam a transmissão e armazenamento de transmissão e armazenamento de informaçõesinformações

Tendências da SegurançaTendências da Segurança

Arquitetura de Segurança OSIArquitetura de Segurança OSI

ITU-T X.800 “ITU-T X.800 “Arquitetura de Segurança OSIArquitetura de Segurança OSI”” define uma forma sistemática para definir e define uma forma sistemática para definir e

prover os requisitos de segurança prover os requisitos de segurança fornecendo para nós um instrumento útil, fornecendo para nós um instrumento útil,

se abstrato, resume os conceitos que se abstrato, resume os conceitos que vamos estudarvamos estudar

Aspectos de SegurançaAspectos de Segurança

considerar 3 aspectos de segurança da considerar 3 aspectos de segurança da informação: informação: ataque à segurançaataque à segurança mecanismo de segurança mecanismo de segurança serviço de segurançaserviço de segurança

Ataque à SegurançaAtaque à Segurança qualquer ação que comprometa a segurança da qualquer ação que comprometa a segurança da

informação detida por uma organização informação detida por uma organização segurança da informação versa sobre como evitar segurança da informação versa sobre como evitar

os ataques, ou na falta desta, a fim de detectar os os ataques, ou na falta desta, a fim de detectar os ataques aos sistemas baseados na informação ataques aos sistemas baseados na informação

muitas vezes a muitas vezes a ameaça & o ataqueameaça & o ataque costumaram costumaram significar que a mesma coisa tem uma larga significar que a mesma coisa tem uma larga variedade de ataques variedade de ataques

podem centrar-se em tipos genéricos de podem centrar-se em tipos genéricos de Ataques passivos Ataques passivos Ataques ativosAtaques ativos

Ataques PassivosAtaques Passivos

Ataques AtivosAtaques Ativos

Serviços de SegurançaServiços de Segurança reforçar a segurança dos sistemas de reforçar a segurança dos sistemas de

processamento de dados e transferências de processamento de dados e transferências de informações de uma organização informações de uma organização

destinados a segurança contra ataquesdestinados a segurança contra ataques utilizando um ou mais mecanismos de utilizando um ou mais mecanismos de

segurança segurança muitas vezes duplica funções normalmente muitas vezes duplica funções normalmente

associadas com documentos físicos associadas com documentos físicos • o qual, por exemplo, tem assinaturas, datas, o qual, por exemplo, tem assinaturas, datas,

precisam de proteção contra a divulgação, alteração precisam de proteção contra a divulgação, alteração ou destruição; autenticação ou testemunha; ser ou destruição; autenticação ou testemunha; ser armazenados ou licenciadosarmazenados ou licenciados

Seviços de SegurançaSeviços de Segurança

X.800:X.800:““um serviço prestado por uma camada de um serviço prestado por uma camada de

protocolo de comunicação de sistemas protocolo de comunicação de sistemas abertos, que garante a segurança adequada abertos, que garante a segurança adequada dos sistemas ou de transferências de dadosdos sistemas ou de transferências de dados””

RFC 2828:RFC 2828:““Um serviço de processamento ou de Um serviço de processamento ou de

comunicação prestado por um sistema para comunicação prestado por um sistema para dar um tipo específico de proteção aos dar um tipo específico de proteção aos recursos do sistemarecursos do sistema””

Serviços de Segurança(X.800)Serviços de Segurança(X.800)

Autenticação Autenticação - garantia de que a entidade está - garantia de que a entidade está comunicando com a entidade alegadacomunicando com a entidade alegada

Controle de acesso Controle de acesso - prevenção do uso não - prevenção do uso não autorizado de um recurso autorizado de um recurso

Confidencialidade dos dados Confidencialidade dos dados - proteção de - proteção de dados de divulgação não autorizada dados de divulgação não autorizada

Integridade do dados Integridade do dados - garantia de que o dado - garantia de que o dado recebido está como foi enviado por uma entidade recebido está como foi enviado por uma entidade autorizada autorizada

Não repúdio Não repúdio - proteção contra a negação de - proteção contra a negação de uma das partes em uma comunicaçãouma das partes em uma comunicação

Mecanismos de SegurançaMecanismos de Segurança

recurso destinado a detectar, prevenir ou recurso destinado a detectar, prevenir ou recuperar de um ataque à segurança recuperar de um ataque à segurança

nenhum mecanismo irá suportar todos os nenhum mecanismo irá suportar todos os serviços requeridos serviços requeridos

contudo um determinado elemento é a base contudo um determinado elemento é a base de muitos dos mecanismos de segurança de muitos dos mecanismos de segurança em uso: em uso: técnicas criptográficas técnicas criptográficas

daí o nosso foco sobre este temadaí o nosso foco sobre este tema

Mecanismos de Segurança Mecanismos de Segurança (X.800)(X.800)

mecanismos de segurança mecanismos de segurança específicos:específicos: cifragem, assinaturas digitais, controles de cifragem, assinaturas digitais, controles de

acesso, integridade de dados, troca de acesso, integridade de dados, troca de informações de autenticação, preenchimento informações de autenticação, preenchimento de tráfego, controle de roteamento, certificaçãode tráfego, controle de roteamento, certificação

mecanismos de segurança pervasivosmecanismos de segurança pervasivos:: funcionalidade confiável, rótulo de segurança, funcionalidade confiável, rótulo de segurança,

detecção de evento, registros de auditoria de detecção de evento, registros de auditoria de segurança, recuperação de segurançasegurança, recuperação de segurança

Modelo para Segurança de RedesModelo para Segurança de Redes

Modelo para Segurança de RedesModelo para Segurança de Redes

utilizar este modelo exige-nos que: utilizar este modelo exige-nos que: 1.1. projetar um algoritmo conveniente para a projetar um algoritmo conveniente para a

transformação da segurançatransformação da segurança2.2. gerar informação secreta (chave) a ser gerar informação secreta (chave) a ser

utilizada com o algoritmo utilizada com o algoritmo 3.3. desenvolver métodos para distribuir e desenvolver métodos para distribuir e

compartilhar a informação secreta compartilhar a informação secreta 4.4. especificar um protocolo que permita aos especificar um protocolo que permita aos

usuários a utilizarem a transformação e usuários a utilizarem a transformação e informações secretas para um serviço de informações secretas para um serviço de segurançasegurança

Modelo de Segurança de Modelo de Segurança de Acesso à RedeAcesso à Rede

Modelo de Segurança de Modelo de Segurança de Acesso à RedeAcesso à Rede

utilizando este modelo exige-nos que:utilizando este modelo exige-nos que:1.1. selecione uma função gatekeeper adequada selecione uma função gatekeeper adequada

para identificar os usuáriospara identificar os usuários2.2. aplicar controles de segurança para garantir aplicar controles de segurança para garantir

somente acesso de usuários autorizados a somente acesso de usuários autorizados a designados recursos ou informações designados recursos ou informações

sistemas computacionais confiáveis sistemas computacionais confiáveis podem ser úteis para ajudar a podem ser úteis para ajudar a implementar este modeloimplementar este modelo

SumárioSumário

Assuntos consideradosAssuntos considerados:: definições para: definições para:

• computador, rede, segurança da internetcomputador, rede, segurança da internet

Norma X.800Norma X.800 ataques à segurança, serviços e ataques à segurança, serviços e

mecanismos de segurança, mecanismos de segurança, Modelos de Segurança de Acesso à rede Modelos de Segurança de Acesso à rede