Universidade Estácio de Sá Pós-Graduação Segurança em Redes de Computadores

Estado da Arte do Controle de Acesso – Domínio A.11- ISO 27002

Diego dos Santos Souza

Igor Antonio

Leandro Alberto

Rafael Sampaio

Rio de Janeiro

2012

Universidade Estácio de Sá Pós-Graduação Segurança em Redes de Computadores

Estado da Arte do Controle de Acesso – Domínio A.11- ISO 27002

Diego dos Santos Souza

Igor Antonio

Leandro Alberto

Rafael Sampaio

Rio de Janeiro

2012

Trabalho apresentado em cumprimento à disciplina, Práticas e Modelos de Segurança, do curso de Pós-Graduação em Segurança de Redes de Computadores, com pré-requisito para aprovação da mesma. Orientador, Profª Sheila de Góes Monteiro.

RESUMO

De nada adiantaria um grande aparato de componentes tecnológicos para

incrementar a segurança de um ambiente se os mesmos não fossem regidos por uma

política de segurança. Dentro destas políticas de segurança existem certas áreas que

controlam a forma em que os dados devem ser acessados. Esta área é chamada de

controle de acesso. Apesar de parecer um tema simplório e de simples entendimento

geral do público, esta tem se tornado uma área de bastante atenção devido ás más

práticas de gerenciamento de controle de acesso. Um problema muito comum que causa

esta área ser tão crítica é o acúmulo errado de privilégios. Nesse artigo iremos mostrar

algumas tecnologias de controle de acesso.

Palavras-Chave: (Controle de Acesso, Sistemas de Segurança da Informação).

ABSTRACT

Optimization a large apparatus of technological components to increase the

security of an environment if they were not governed by a security policy. Within these

areas there are certain security policies that control the way in which the data should be

accessed. This area is called access control. Although it seems a simpleton theme simple

and general understanding of the public, this has become an area of much attention due

to the bad practices of access control management. A very common problem that causes

this area be so critical is the wrong accumulation of privileges. In this article we will

show some access control technologies.

Keywords: (access control, information security Systems)

Sumário 1.1 – Controle de Acesso - Biometria ............................................................................ 7 1.2 – Porque usar biometria? ........................................................................................ 8 1.3 – Tipos de identificação biométrica ........................................................................ 8 1.4 – Identificador por biométrica de mão ................................................................... 9 1.5 –Identificação por impressão digital ..................................................................... 10 1.6- Identificação pela leitura da Iris .......................................................................... 10 2. Propostas Tecnológicas ............................................................................................ 11 2.1 –Terminal biométrico WXS-B0210D .................................................................... 11

2.2 – Integração ............................................................................................................. 11 2.3 – Versatilidade ........................................................................................................ 12 2.4 – Alta confiabilidade ............................................................................................... 12 2.5 – Projeto industrial ................................................................................................. 12 2.6 – Alto Desempenho ................................................................................................. 12 2.7– Fácil de instalar ..................................................................................................... 12 2.8 – Modelo Biométrico .............................................................................................. 13 3. Software de Gestão ................................................................................................... 13 3.1 – O software ............................................................................................................ 13 3.2 – Especificações técnicas ........................................................................................ 13 3.3– Segurança .............................................................................................................. 14 3.4 – Controle de acesso ............................................................................................... 14 4. Resultados Obtidos ................................................................................................... 17 4.1 – Resultado .............................................................................................................. 17 4.2 – Conclusão ............................................................................................................. 17 Referências Bibliográficas ........................................................................................... 18

Lista de Figuras 1.1 – Biometria pela mão ............................................................................................09 1.2 – Impressão digital .................................................................................................10 1.3 – Leitura pela íris ...................................................................................................11 1.4 – Aparelho Biométrico............................................................................................13 1.5 – Software de gestão................................................................................................17 1.6 – Software de gestão................................................................................................17

7

1. Introdução

1.1 – Controle de Acesso - Biometria

Em segurança, especialmente segurança física, o termo controle de acesso

é uma referência à prática de permitir o acesso a uma propriedade, prédio, ou sala,

apenas para pessoas autorizadas. O controle físico de acesso pode ser obtido através de

pessoas (um guarda, segurança ou recepcionista); através de meios mecânicos como

fechaduras e chaves; ou através de outros meios tecnológicos, como sistemas baseados

em cartões de acesso.

Na segurança da informação o controle de acesso é composto dos processos de

autenticação, autorização e auditoria (accounting). Neste contexto o controle de acesso

pode ser entendido como a habilidade de permitir ou negar a utilização de um objeto

(uma entidade passiva, como um sistema ou arquivo) por um sujeito (uma entidade

ativa, como um indivíduo ou um processo). A autenticação identifica quem acessa o

sistema, a autorização determina o que um usuário autenticado pode fazer, e a auditoria

diz o que o usuário fez.

Dentro de controle de acesso existe a Biometria, é o que vamos abordar neste

artigo dando ênfase no que é e quais as tecnologias são usadas atualmente.

Em poucas palavras, Biometria (do grego Bios = vida, metron = medida) é o uso

de características biológicas em mecanismos de identificação. Entre essas características

tem-se a íris (parte colorida do olho), a retina (membrana interna do globo ocular), a

impressão digital, a voz, o formato do rosto e a geometria da mão. Há ainda algumas

características físicas que poderão ser usadas no futuro, como DNA

(DeoxyribonucleicAcid) e odores do corpo.

O uso de características biológicas para identificação se mostra como uma ideia

viável porque cada pessoa possui as características mencionadas diferentes das outras.

Por exemplo, não há ninguém com a voz igual, com a mesma impressão digital ou com

olhos exatamente idênticos, até mesmo entre irmãos gêmeos muito parecidos há

diferenças.

8

1.2 – Porque usar biometria?

Até os dias de hoje, uma das formas de identificação mais usadas é a

aplicação de senhas. Por exemplo, o acesso a um site de banco requer que o usuário

informe o número de sua agência, o número de sua conta e uma senha. Dependendo da

operação a ser feita, outra senha pode ser requerida.

Há também o uso de cartões com chips ou com dispositivos magnéticos

que permitem a identificação de um indivíduo através de uma simples leitura. Isso é

comum, por exemplo, em crachás ou em lugares cuja porta só se abre se o cartão lido

tiver privilégios para tal.

O grande problema desses métodos é que qualquer pessoa pode conseguir

a senha ou o cartão. Por exemplo, um funcionário pode esquecer seu crachá em cima de

uma mesa e outro pode capturá-lo para ter acesso a áreas proibidas. Uma pessoa pode

ser forçada por um assaltante a fornecer um cartão de banco e a senha de sua conta.

Neste caso, para o sistema bancário, o proprietário é que o estará acessando. Em

resumo, não há como garantir a exclusividade dessas informações de identificação

porque qualquer pessoa pode capturá-las.

Com a biometria, esse problema é extinto ou, pelo menos, amenizado.

Embora nada impeça os dispositivos de identificação biométrica de serem enganados, é

muito difícil copiar uma característica física e, dependendo do que é usado na

identificação, a cópia é impossível (como a íris do olho).

1.3 – Tipos de identificação biométrica

Existem várias características biológicas que podem ser usadas em um

processo de identificação. Vejamos as principais:

9

1.4 – Identificador por biométrica de mão

A foto abaixo mostra um dispositivo que faz identificação por meio de

geometria de mão. Seu funcionamento é simples: o indivíduo digita um número único

(número de funcionário, número de matrícula ou qualquer outro) e, em seguida,

posiciona sua mão em um painel. Este possui pinos que indicam onde cada dedo deve

ficar posicionado. Com isso, a posição da mão sempre vai ser a mesma e assim o

aparelho consegue medir sua geometria e comparar com os dados gravados em seu

banco de dados. Esse tipo de aparelho pode ser aplicado, por exemplo, em catracas e no

controle de abertura de portas. Alguns dispositivos aceitam o uso de cartões (como

crachás) ao invés da digitação de números, o que tem como vantagem a possibilidade do

usuário não ter que decorar uma combinação, e como desvantagem o risco de perda do

cartão;

Figura 1.1 – Biometria pela mão Fonte: W-acess

Segundo Roberto sckovi, Analista de Segurança da W-acess:

“[...] A identificação criminal é o uso da tecnologia

biométrica para determinar a identidade de suspeitos, ou indivíduos em aplicações de segurança pública. O principal papel da biometria é identificar o indivíduo para que as funções da segurança pública (investigações policiais, processos judiciais) possam ser conduzidas. [...]”.

10

1.5 –Identificação por impressão digital

O aparelho visto abaixo funciona de maneira semelhante ao do tópico 1,

porém faz identificação por impressão digital ao invés de utilizar a geometria da mão.

Esse tipo de dispositivo também vem sendo usado como substituto de senhas. Por

exemplo, já existem soluções onde ao invés de digitar uma senha para acessar seu

computador de trabalho, o usuário posiciona seu dedo indicador em um leitor ligado à

máquina. Em estudo, encontra-se a possibilidade de se usar impressão digital no acesso

a sites e serviços na Web. Assim, se você tiver que acessar uma área restrita de Algum

site bastará usar um dispositivo leitor em seu computador que enviará os dados ao site.

Figura 1.2 – Impressão digital Fonte: W-acess

1.6- Identificação pela leitura da Iris

A imagem abaixo é um teste que mostra um processo de identificação pela íris.

O indivíduo deve olhar de maneira fixa para um ponto do aparelho enquanto este faz a

leitura. Sua aplicação é comumente feita no controle de acesso a áreas restritas, pois se

trata de uma tecnologia cara para ser usada em larga escala. Uma das vantagens de seu

uso é que nem sempre o usuário precisa informar um número, pois a identificação pelo

olho costuma ser tão precisa que tal procedimento se faz desnecessário.

11

Figura 1.3 – Leitura pela íris Fonte: W-acess

2. Propostas Tecnológicas

2.1 –Terminal biométrico WXS-B0210D

Depois de várias pesquisas encontramos softwares e tecnologias que fazem

bem o esse controle de acesso. Vamos citar abaixo especificações técnicas sobre este

software.

WXS-B0210D

2.2 – Integração

Em modo integrado, o WXS-B210 atua como um módulo de expansão do

gerenciador WXSC300 ou do gerenciador virtual. A comunicação é feita por meio de

rede TCP/IP.

12

2.3 – Versatilidade

Possui saída a relé, interface wiegand para leitora de saída, interface para

módulo biométrico de saída e entradas para botão de saída e sensor de porta.

2.4 – Alta confiabilidade

Com a adoção de componentes industriais, sensor ótico de excelente

qualidade além das técnicas de manufatura mais avançadas, temos um produto

totalmente confiável.

2.5 – Projeto industrial

Desde um projeto do circuito eletrônico com proteções contra surtos e

descargas elétricas, até componentes que suportam altas temperaturas, fazem do WXS-

B210 um produto de classe industrial.

2.6 – Alto Desempenho

Com a adoção do mundialmente famoso algoritmo ZKfinger e uma CPU

de 64 Bits, este controlador pode processar 500 templates em modo off-line em menos

de 1 segundo. Fácil de utilizar, confiável e preciso.

2.7– Fácil de instalar

O WXS-B210 é fácil de instalar e utilizar. Todas as ligações são similares

aos tradicionais controladores de acesso do mercado.

13

2.8 – Modelo Biométrico

Figura 1.4 – Aparelho Biométrico Fonte: W-acess

3. Software de Gestão

3.1 – O software

O W-Access é um sistema que veio a suprir o mercado mundial com uma

solução extremamente adequada em termos de hardware e software. Este sistema foi

desenvolvido após 12 anos de experiência em implementações de diversos sistemas dos

mais variados fabricantes, o que possibilitou adquirir a experiência necessária para

projetar um sistema inovador, flexível e completo. Utilizando as tecnologias mais

modernas e contando com suporte técnico incomparável, este sistema que já nasceu

completo, permite diversas customizações para atender as mais diversas necessidades,

sendo que a equipe W-Access está sempre sintonizada com as novas tendências e

demandas do mercado brasileiro e mundial.

3.2 – Especificações técnicas

• Interface Web desenvolvida em ASP.NET AJAX • Base de dados SQL Server 2005 ou SQL Express

14

• Até quatro idiomas selecionáveis por operador com ferramentas de tradução

integradas.

• Multi-site: controle automático de fuso-horário e horário de verão

• Relatórios completos, totalmente customizáveis, com exportação para diversos

formatos.

3.3– Segurança

• Administração completa e integrada de operadores e senhas

Horários e estações permitidos de login

• Complexidade e validade de senhas configuráveis

• Autenticação simultânea em mais de uma estação (selecionável)

• Perfis de acesso ao sistema ilimitado e detalhado

• Base de dados particionada, possibilitando o compartilhamento do sistema entre

diferentes clientes

• Auditoria completa das ações do operador

3.4 – Controle de acesso

• Permissões de acesso através de local e horário, com combinações ilimitadas

• Níveis de acesso temporários e feriados

• Ações que podem ser iniciadas a partir de eventos

• Formatos de cartões configuráveis

• 3 tipos de anti-passback, que podem impedir o acesso, gerar um alarme ou

ambos

• Contagem máxima e mínima de usuários em uma zona

• Impedir o acesso, gerar um alarme ou ambos.

• Contagem de marcações

• Número de refeições

• Escolta e acompanhante

• Controle de ronda

• Rastreamento de usuários

• Controle de ponto

15

3.5–Cadastros de usuários

• Cadastro com campos customizáveis

• Campos para busca rápida configuráveis por tipo de usuário

• Busca avançada de usuários com edição em lotes até quatro fotos por usuário

• Ferramenta de design integrada para lay-out da tela de cadastro

• Tela auxiliar de cadastro totalmente customizável

• Controle cadastral flexível: do mais simples ao mais rígido

3.6–O sistema pode controlar

• Visitantes, Funcionários, Contratados, Estagiários, Alunos, Sócios. Ativos,

Veículos, Empresas, Entrada e saída de materiais.

• Usuários e empresas com restrições de acesso (lista negra)

• Datas de validade de usuários e cartões, além de cartões provisórios

• Diferentes situações para controle de usuários (ativos, inativos, férias,

desligados, etc)

3.7–Supervisão

• Supervisão e controle de todos os dispositivos do sistema através de telas

gráficas customizáveis por ferramenta de design integrada

• Alarmes configuráveis em diversos níveis e individualmente para controladores,

leitoras, entradas, saídas e usuários

• Tela que permite o acompanhamento em tempo real de todas as transações de

cartões e eventos do sistema

• Tela de alarmes em tempo real com registro de reconhecimento e diversos níveis

de prioridade

• Configuração de envio de e-mails em caso de eventos ou alarmes

3.8–Supervisão

Permite integração com sistemas de terceiros, como softwares ERP, sistemas de

CFTV e outros.

16

Figura 1.5 – Software de gestão Biométrico Fonte: W-acess

Figura 1.6 – Software de gestão Biométrico Fonte: W-acess

17

4. Resultados Obtidos

4.1 – Resultado

Essa pesquisa nos resulta em um trabalho que demostra uma tecnologia

avançada voltada para biometria. Visamos mostrar uma de muitas propostas

tecnológicas que podem ser uteis para muitas organizações.

4.2 – Conclusão

Neste artigo apresentamos uma de muitas tecnologias relacionadas a controle de

acesso e biometria, podemos observar a importância que se tem nesse domínio da ISO

27002 são necessários às organizações se conscientizarem ao máximo quanto à questão

da segurança da informação e investir nas tecnologias que ajudam a manter as

informações seguras.

Essa pesquisa tem a intenção de apresentar umas das tecnologias mais usadas

em todo o mundo e o avanço da mesma. É necessário o interesse das organizações

buscarem cada vez mais o que existe em termos top de linha no mercado e

implementarem da forma correta assim podendo mitigar os riscos existentes, assim

tornando as organizações cada vez menos vulneráveis.

18

Referências Bibliográficas

[1] IBG Professional Services https://ibgweb.com/sites/default/files/IBG%20Overview.pdf < Página visitada em 16/11/2012> [2] National Science & Technology Council Subcommittee on Biometrics

Documentation http://www.biometrics.org/publications.php < Página visitada em 16/11/2012> [3] Controle de Acesso W- Access http://www.w-access.com/controle-de-acesso-detalhe.php < Página visitada em 16/11/2012> [4] YURI DIOGENES - Daniel Mauser Certificação Security+ - Da Prática ao Exame SY0-301 Página consultada nº 237 Número de Páginas: 416 - ISBN: 978-85-61893-03-3