Segurança da Informação – SIAula 2
Faculdade PITÁGORAS – 2012Prof. Ramon Pedrosa
Controle de Acesso
• O controle de quem entra e de quem sai de um sistema lógico (no caso de uma conexão) ou mesmo de uma instalação física é um aspecto muito importante da segurança.
• Não basta ter um firewall rodando em servidores, ou no caso de ambientes físicos, um guarda na entrada para obrigar todos os visitantes a se identificarem. É preciso desenvolver uma política de controle de acessos eficiente, para caso haja um incidente, ser possível identificar o seu autor.
• Um controle de acesso tem dois objetivos.
Introdução
Introdução
• O primeiro objetivo desse controle é identificar cada pessoa que tem acesso a determinado recurso e quais não têm. Isso pode ser feito fisicamente (utilizando cartões, por exemplo) ou logicamente (utilizando senhas e outros métodos, que veremos mais à frente).
• Manter um controle das identificações realizadas. Isso permite que caso um problema de segurança ocorra, dá pra ser facilmente identificado através deste controle. Normalmente é feito através de registro eletrônico e logs de acesso.
Controle de Acesso • é o conjunto de mecanismos que
funcionam em conjunto com o objetivo de criar uma arquitetura de segurança para proteger os ativos dos sistemas de informações
• Permite a privacidade das informações de cada usuário e ao mesmo tempo dá amplo acesso aos serviços e informações disponíveis.
- O que faz?
• O controle de acesso (Access Control) define permissões para cada recurso existente em sua rede e em seus sistemas. Cada recurso tem uma ACL(Access Control List), lista de controle de acesso, que diz quem tem permissão de utilizar esse recurso e o que pode fazer com ele.
Como faz:
• Em um ambiente seguro, os seguintes aspectos tem que ser garantidos por meio do controle de acesso:
• Autenticidade - Garante que quem está acessando o recurso realmente é quem ele diz ser.
• Confidenciabilidade - Garante que os dados só serão vistos por quem tem permissão.
• Integridade - Garante que os dados não foram modificados sem autorização.
Metodologias e Sistemas de Controle de Acessos
• Auxiliam na proteção contra ameaças e vulnerabilidades que podem acometer o ambiente
• Permite que a gerencia especifique:– Quais os usuários podem acessar os
sistemas– Os recursos que podem ser acessados– Que operações podem ser realizadas.
• Segregação de funções:– Define elementos de um processo ou função– Divide os elementos entre diferentes
funções– Mínimo privilégio– Limita os usuários a terem acessos somente
aos recursos necessários para que este desempenhe as suas funções
– Controle sobre acesso a dados sensíveis
Metodologias e Sistemas de Controle de Acessos
Ameaças ao Controle de Acesso -Tipos de Controle
• Administrativos:Políticas e Procedimentos, incluindo-se controle sobrepessoal como checagem de antepassado criminal, etc.
• Físicos:Fechaduras, Alarmes, Sistemas de identificação (crachá),
• Lógicos:Firewalls, Antivírus, Serviços de diretório, senhas, etc
Controle administrativo
Verificação de que este usuário é quem diz ser.Existem vários métodos de identificação eautenticação mas os mais tradicionais são:
identificação e autenticação. Alguns sistemas como os Biométricos podem servir
tantopara identificação como para autenticaçãoA Identificação e Autenticação possibilita saberquem deseja acessar determinada informação.
Controle Adm. - Identificação e Autenticação
• Uma vez que o usuário é identificado e autenticado cabe ao sistema analisar cada solicitação feita pelo mesmo para averiguar se ele possui direitos para tal.
• A Este processo damos o nome de Autorização• O usuário é responsável por todas suas ações e
algumas organizações necessitam avaliar o uso individual de recursos de informação.
• Para que isso ocorra é necessário se registrar cada ação feita pelo usuário no sistema, ao que damos o nome de contabilizar.
Autorização e Responsabilidade• autenticação é definitivamente o primeiro passo
na identificação de um usuário em uma rede ou transação eletrônica.
• A autenticação forte é a ação de identificar perante a apresentação de dois ou mais fatores de identificação.
• Fatores de Identificação e Autenticação que podem ser utilizados para garantir a autenticidade de um usuário ao sistema:– Uso de algo que a pessoa conheça;– Uso de alguma coisa que a pessoa possua– Uso de algo que a pessoa é.
Algo que a pessoa conheça
• Senhas parciais e instantâneas que podem ser geradas por dispositivos externos e utilizadas no início da sessão.
• A captura da senha não permite o acesso ao sistema já que ela é alterada ciclicamente, no entanto, se a sessão da rede for capturada o acesso ao dados pode ocorrer.
• A senha muda a cada utilização dificultando sua captura - Exemplo: Tokens geradores de senhas, smart cards, etc.
Controle Adm. - Ferramentas e Tecnologias
• Senhas (Passwords) / Frases secretas conhecida pelo usuário.
• As Senhas devem ser criptografadas usando Hashing de sentido único
• Senhas armazenadas não ficam em texto plano
• Acesso físico limitado ao servidor que armazena as senhas e frases secretas
senhas
• O uso de senhas é um exemplo óbvio de algo que você sabe. Apesar de ser o método de autenticação mais usado e mais antigo, ele contêm uma série de deficiências que não o torna muito confiável.
• O primeiro motivo é que ele se baseia na memória e na capacidade dos usuários;
• o segundo é a falta de imaginação na hora de criar as senhas, tornando-as fracas;
• Terceiro as senhas podem ser roubadas, descobertas e quebradas.
Vantagens x Desvantagens
• baixo custo, podendo ser usado em qualquer tipo de ambiente, sem qualquer necessidade de hardwares especiais.
Senhas fracas e pequenas podem ser descobertas pelo uso de ataques de dicionário e ataques de força bruta ;Podem ser roubadas ou descoberta ("sniffers“)Dificuldade de memorização
Algo que a pessoa possua
• A confirmação da autenticidade do usuário é confirmada através de:
• Características fisiológicas: Impressão digital, retina, íris, etc.
• Características comportamentais: comparação de assinatura, digitação, etc
Cartões
• O uso de cartões magnéticos é um bom exemplo de algo que você tem.Esses sistemas se baseiam no fato de que apenas a pessoa "X" vai possuir o cartão entregue a essa pessoa. Esse método geralmente é aperfeiçoado pelo uso de senhas/PINs em conjunto com os cartões magnéticos.
Vantagens X desvantagens• adiciona uma
camada de proteção a mais do que uso de senhas.
• A maioria dos bancos e lojas utilizam essa tipo de autenticação
podem ser facilmente perdidos ou roubados
é caro e precisa de hardwares especiais para ler os cartões.
Biometria
A biometria é a arte de identificar um indivíduo por meio de alguma característica ÚNICA da pessoa
Algo que a pessoa é
Tipos de recursos de biometria:• Impressão digital• Geometria da mão• Reconhecimento de voz• Leitura da retina/ íris• Dinâmica da assinatura• Geometria facial• Dinâmica de digitação
Vantagens X desvantagens
• identifica e autentica o usuário sem necessitar de cartões ou de memorizar alguma senha
• diminuição dos preços dos dispositivos biométricos
• ela identifica e autentica o usuário em um único passo
requer hardwares especiais para capturar essas informações
hardwares são muito caros (apesar da queda dos preços)
utilizados em ambientes de alta segurança.
O que proteger
• 1 - No sistema de arquivos:dados que vão ser acessados. • 2 - Na rede:o que cada máquina pode acessar na rede.• 3 - Fisicamenteáreas que podem ser acessadas pelos
usuários.
Controle de acesso na rede
• Pode ser feito de várias formas. As principais são através de firewalls e roteadores.
• O controle nesses dispositivos são feitos através do IP, no qual se define quais IP/hosts podem acessar determinados recursos.
• Para tornar esse controle mais seguro, muitos sistemas fazem o controle através do MAC também, que evita os modos mais simples de spoof (forjar o IP).
Sistema de Detecção de Intrusos
• Treinamento e Conscientização de Segurança da Informação
• Testes de Invasão periódicos• Concessão de privilégio mínimo de acesso• Segregação e rotação de função• Procedimentos de recrutamento e desligamento• Auditoria e revisões de segurança• Ferramentas de avaliação de vulnerabilidade de
redes
controle de acesso físico
• O controle de acesso ao ambiente físico é importantíssimo. Sem ele, todas as medidas de segurança "virtuais" seriam um fracasso. Alguns pontos importantes da segurança física são:
• Segurança do ambiente - Feita por muros e cercas.
• Segurança das salas - Cada departamento tem que ser protegido.
• Vigilancia - Todo o ambiente tem que ser vigiado 24hrs (por cameras ou guardas).
• Controle do ambiente - Proteção contra incendios, imundações e outros desastres.
• Disponibilidade - Proteção contra falta de luz, queda de luz e outros problemas elétricos.
• Autenticação - Como os usuários serão autenticados para entrar na empresa. (biometria, chaves, etc).
Modelo de segurança
• 1 - Quem são os usuários e quais recursos ele precisam acessar.
• 2 - Quais são os recursos oferecidos e seus níveis de importância em relação a: - Confiabilidade: Quão confidencial ele é? - Integridade: Quem pode modificá-lo ? - Disponibilidade: Quanto tempo ele tem que ficar disponível ?
• 3 - Como fazer os controles. Se baseado no cargo, por local de trabalho, ou por departamento ?
Access Control List• Tentativas de Intrusão são quaisquer ações com
objetivo de ganhar acesso não autorizado• Auditorias são importantes para se combater
intrusões
e tem como objetivo identificar ocorrências de ataques• Observa logs de trafego e/ou outros dados de
Auditoria• Após coletados todos os dados parte-se para criação
do seu modelo. • Nunca se esqueça de que a melhor prática de
segurança é a do "menor privilégio”
Segurança Física
• O objetivo da segurança física é fornecer um ambiente seguro para todos os recursos e interesses da organização, incluindo sistemas de informação.
• A segurança física fornece a proteção para o edifício, outras estruturas;
Tipos de Ameaças
• As ameaças físicas podem ser agrupadas nos seguintes tipos de eventos:
• – Naturais/ambientais (terremotos, inundações, tempestades, etc)
• – Sistemas de suporte (Apagão , panes de comunicação, refrigeração, etc)
• – Causados pelo homem (explosões, erros,vandalismo) e políticos (terrorismo, bombardeio, motins) sabotagem;
Ambiente de Proteção da Informação
• Perímetro
• Terreno do Edifício
• Entrada do Edifício
• Piso / Corredores de Acesso aos Andares
• Escritórios / Data Centers /
• Mídias, recursos, etc.
Ambiente de Proteção da Informação
• Perímetro• – Área que cerca o edifício. Pode incluir passeios e
calçadas, estradas, e área que circundam as terras do edifício.
• Terreno do Edifício• – Barreiras físicas e a área que cerca o edifício dentro
do perímetro, Entrada do Edifício;• – Pontos de entrada (portas e janelas), telhado e
escadas de incêndio• bem como outras entradas não comuns
Desenho do Ambiente – Estratégias de Prevenção
• Territoriedade• – Proteção do território pelos próprios responsáveis.• – Uso dos atributos físicos que expressam a posse, tal
como cercas, os sinais, o pavimentações, ajardinamento.
• – Identificar intrusos é muito mais fácil em um espaço definido.
• Vigilância – É a ferramenta principal na proteção de um espaço. Circuito de TV, patrulhas da segurança, iluminação e o ajardinamento são usados frequentemente como controles de movimentação.
Desenho do Ambiente – Estratégias de Prevenção
• Controle de Acesso
• – Localização apropriada de entradas, saídas,cercas, etc., controles do fluxo e acesso são formas de dissuadir ações criminosas.
Sistemas de Suporte a Infra-estrutura
• Controle de sistemas Suporte• Ar condicionado - Os sistemas de
sustentação da infra-estrutura incluem a fonte de suprimento, tubulações, exaustão, ventilação, o sistema de ar refrigerado (HVAC - heating, ventilation and air conditioning ).
• Uma falha ou um desempenho abaixo dos padrões esperados desses sistemas suporte podem interromper a operação e causar os danos físicos ao sistema ou aos dados armazenados.
Sistemas de Suporte a Infra-estrutura
• Energia Elétrica - As vulnerabilidades incluem a perda total de energia (blackouts) ou da degradação na qualidade de energia, situação em que a energia fornecida esta abaixo ou acima do padrão de fornecimento (brownout, sag, spike, surge, transient).
• A maneira pela qual um sistema de energia elétrica é configurado, mantido dentro dos padrões, bem como monitorado e controlado, são os principais pontos críticos para a sua efetiva disponibilidade.
Sistemas de Suporte a Infra-estrutura
• Interferências (ou ruído) - São distúrbios aleatórios que interferem com a operação dos dispositivos de uma ambiente. Estes podem causar erros na operação de programas ou no processamento dos dados.
• Interferência Eletromagnética (IEM): é definido como a interferência em um circuito, por exemplo, distúrbio em um monitor do computador causado pela radiação de um campo elétrico ou magnético externo.
Sistemas de Suporte a Infra-estrutura
• Umidade/vazamentos - Danos causados por vazamento / infiltração ou a condensação podem causar os danos aos recursos de sistema da informação.
• As fontes comuns de problemas da água são tubulações quebradas, sistemas de supressão de fogo e instalação imprópria dos sistemas de ar condicionado, dos refrigeradores ou dos condensadores.
Sistemas de Suporte a Infra-estrutura
• Classes de Fogo
• – Tipo A: Comum / Combustível (uso de água /Soda Acida)
• – Tipo B: Líquido (CO2/Soda Acida/Halon
• – Tipo C: Elétrico (CO2/Halon)
• Detecção de Fogo
• – Manual
• – Ótico (Photoelectric-Smoke Blocking Light)
• – Temperatura
• – Ionização (Reação a partículas de fumaça)
Sistemas de Suporte a Infra-estrutura
• Halon
• – A melhor proteção para equipamentos, Necessita de áreas especiais para o equipamento (Cabinets/ Vaults), Usado em forros e piso elevado, Concentrações <10% são seguras;
Sistemas de Suporte a Infra-estrutura
• Outras Considerações
• – Treinamento / Brigadas
• – Simulações conforme Padrões Nacionais da
• Associação da Prevenção ao Fogo (NFPA)
• – Códigos e sinalização
• – Drenagem
Centro de Processamento de Dados
1
2
3
4
Recepção
Atendimento ao Cliente
Porta
Porta com equipamentopara digitação de senha
Painel com senha de acesso
Acesso via Biometria
CPD
Porta e Recepcionista Suporte
Operacional
Dúvidas