Autenticação e controlo de acessos

Luis Batista

Autenticação e Controlo de Acessos

Redes e Serviços de Comunicações Móveis

Luis Batista

Autenticação


Agenda

Autenticação

Factores de autenticação

Mecanismos de acesso

Protocolos

Luis Batista Redes e Serviços de Comunicações Móveis

Autenticação

Do grego Αυθεντικός

Αυθεν + τικός

Autor + real

É o acto de confirmar que alguém (ou algo) é

realmente essa pessoa e não outra a fazer-se

passar por ela.


Autenticação

Em segurança da informação

Autenticação é o processo que visa verificar

a identidade de um utilizador de um sistema

digital no momento em que este requisita o

acesso.


Factores de autenticação

Os factores de autenticação para humanos são normalmente

classificados em três casos.

SYH

SYK

SYA


Algo que se sabe


As mais utilizadas

Pode ser observada ou “escutada” de várias formas

Algo que se tem


É a menos segura

Sujeita a roubos ou duplicações

Algo que se é


A menos utilizada

Muita tolerância - autenticação de impostor

Pouca tolerância - rejeição de utilizador válido

One time password

É uma senha de acesso temporária de uma única utilização

O próprio utilizador não conhece a senha

É aleatória e gerada no momento

Possui uma função hash (por norma o MD4)


Autenticação de 2 passos


Mecanismos de acesso

Baseados no conhecimento

identificação e senha

Baseados na propriedade

identificação, senha e token

Baseados na característica

digital


Mecanismos baseados no conhecimento

Implementação de mecanismos

– Os caracteres indevidos são removidos, para evitar ataques

como os de injecção de SQL

– Verifica se a variável id está preenchida

– Valida os formulários, de acordo com as regras definidas

– Não permite que as variáveis de identificação e senha

estejam em branco


Mecanismos baseados no conhecimento

– A senha é criptografada

– Verifica se o utilizador existe na BD e se a senha introduzida

corresponde ao utilizador. Se a senha estiver correcta, a

aplicação lista os privilégios deste e salva as informações

em variáveis de sessão

– Permite o acesso e faz o reencaminhamento para o sistema


Mecanismos baseados na propriedade

– Utiliza um token, para além do id e senha

– Durante o autenticação do utilizador, são registados na BD

os tokens de acessso

– Estes tokens são gerados aleatóriamente

– No painel de acesso são solicitados o id, senha e o token

– Se a verificação for correta, o acesso é dado ao utilizador


Mecanismos baseados na característica

Implementação de mecanismos

– Cada utilizador tem uma ou mais “imagens” registadas na BD

– Requer uso de hardware específico para a leitura da imagem

– Requer o uso de software para fazer a comparação com a

imagem registada na BD

– Caso haja confirmação digital, o acesso ao sistema é dado


Protecção

A protecção da autenticação depende da comunicação segura

do armazenamento de dados

– Todas as comunicação devem estar encriptadas através da

utilização do protocolo SSL

– O protocolo de segurança deve ser o mesmo em todas as

partes autenticadas

– Os dados armazenados estão encriptados e/ou em hash


Protocolos

Utilizam mecanismos de password para autenticar utilizadores

– Point-to-Point Protocol (PPP)

– RADIUS

– Kerberos

– TACACS+

– Diameter


Autenticação - Protocolos

Point-to-Point Protocol - mecanismos

PAP (Password Authentication Protocol)

Não encripta passwords

Mais simples na implementação

CHAP (Challenge Handshake Authentication Protocol)

EAP (Extensible Authentication Protocol).

PAP e CHAP são os mais implementados

EAP é o mais robusto (PEAP – Protected EAP : Microsoft, Cisco e RSA

Security)

Redes e Serviços de Comunicações Móveis Luis Batista

CHAP

Challenge Handshake Authentication Protocol (CHAP)


EAP - Versões

Sistema de autenticação universal usado nas redes wireless e

redes ponto-a-ponto


– LEAP - Lightweight Extensible Authentication Protocol (Cisco)

– EAP-TLS (o mais usado)

– EAP-MD5

– PEAP

AAA

Autenticação, Autorização e Auditoria - Permite

a um utilizador ou PC aceder à rede e usar os

seus recursos

– Autenticação – o utilizador com quem

comunico é autentico

– Autorização – o que o que utilizador pode

fazer

– Auditoria – o que o utilizador faz


AAA

É usado em cenários onde um servidor de

acesso à rede (NAS) ou um servidor de acesso

remoto (RAS) age como um switch, garantindo

desta forma o acesso à rede ao utilizador.


AAA - Protocolos

*RADIUS (Remote Authentication Dial In User Service)

*TACACS+

Diameter

*RADIUS e TACACS+ não definem a quem é dado o acesso nem o

que o utilizador pode ou não fazer. Apenas servem para transporte

da informação entre o cliente e o servidor de autenticação. As

polítcas de acesso podem ser configuradas pelo SGBD.


RADIUS

O servidor frontend envia a informação do utilizador

através de credenciais para o servidor RADIUS (backend)

com pacotes RADIUS. Acessos e privilégios são

implementddos pelo servidor RADIUS ou pelas políticas de

base de dados.


RADIUS

1º servidor – proxy

2º servidor – autenticação

3º servidor (opcional) – concurrência


RADIUS A transacção começa normalmente com um pedido de acesso

carregando as credenciais do utilizador, seguindo de uma resposta

do servidor com a permissão ou negação de acesso.


RADIUS

Durante a sessão são trancsacionado pedidos de auditoria que

monitorizam o tempo de sessão, fim da sessão, etc.


RADIUS

Uso comercial


Kerberos


Servidor de autenticação (Authentication Server ou Trusted

Third Party)

Verifica a identidade de utilizadores e serviços

– utilizando chaves secretas e o algoritmo de encriptação DES

Desenvolvido MIT para uso interno

Considera a existência de dois servidores de autenticação

Autenticação inicial dos agentes e obtenção das credenciais (tickets)

Separa a autenticação dos clientes da obtenção de credenciais

Kerberos


Luis Batista

Controlo de Acessos


Agenda

Controlo de acessos

Firewalls

IDS - Intrusion Detection System

IPS - Intrusion Prevention System


Controlo de Acessos

Pode-se comparar o controlo de acessos de um sistema

de informação a uma empresa.

LAN – Empresa

Empresa:

Escritórios – ambiente de trabalho

Salas de arquivo – servidores

Corredores – routers

Sala de espera - DMZ (zona desmilitarizada)


Firewalls

Barreiras interpostas entre a rede privada e a rede externa

Existem em equipamentos ou aplicações

Objectivo

evitar ataques (vírus, hackers)

monitorizar e filtrar todo o tráfego que fluí entre duas redes

bloquear completamente certos tipos de tráfego

localizados estrategicamente (onde?)


Firewalls - implementação

Considerações a ter em conta na implementação da firewall

de onde será originada uma ameaça sistema e porque razões?

não pensar que firewall = segurança (porquê?)


Firewalls - implementação

+ considerações - revisão de políticas

determinar o que se quer proteger e qual a sua importância

determinar como ocorrerão as comunicações na firewall

onde deve ser colocado

como configurá-lo

número de firewalls

o esquema da ligação

manutenção após a ligação


Firewalls - auditoria

+ considerações - auditoria (análise de logs)

em caso de “perseguição” (keyloggers)

disponibilização de logs

equipe e protocolo – aptos a actuar


Firewalls

+ considerações

aplicação de filtros

sujeito a vírus – integração com antivírus

outros motivos

e a performance?

suporte para autenticação

suporte para alterar passwords, mover bases de dados, executar scripts

para manipulação da base de dados, etc

acessos remotos (ligações para o interior)

será ou não preferível optar por uma VPN?

revisão da arquitectura


Firewalls - arquitectura

Arquitectura baseada num router e firewall

Uma das mais comuns

Internet Firewall Intranet

Servidor

WWW

Servidor

FTP

Servidor

SMTP

DMZ

Router

Switch


Firewalls - tipos

Packet filtering

método mais básico (integrados nos routers)

trabalha com os valores transportados em cada pacote

TCP/IP (end IP e porta origem/destino)

simples de criar

não é suficiente


Application proxy

Stateful Inspection

Luis Batista

Firewalls – Packet Filtering

Sites totalmente bloqueados não podem ser acedidos pelos

utilizadores da rede segura

Complexidade de manutenção

introdução manual

processo que se torna dificil de gerir


Firewalls – Aplication Proxy

Trabalha com os valores transportados em cada pacote TCP/IP (end IP

e porta origem/destino)

São intermediários

Requerem autenticação (recorre à criptografia e passwords)

Capazes de rejeitar pacotes com determinadas extenções (exe, zip)

Excelentes níveis de segurança e controlo de acesso

Podem providenciar um elevado nível de protecção contra ataques do

tipo Deniel of Service (DoS)


Firewalls - Aplication Proxy

Desvantagens

Requerem grandes quantidades de recursos do computador

Ocorrência de eventuais paragens ou diminuições de velocidades na

rede

Mais complexos em termos de configuração e manutenção

Nem todas as aplicações têm proxies disponíveis


Firewalls – soluções híbridas

São as melhores abordagens

Vantangens

Combinam vários métodos de protecção, por exemplo, a combinação entre packet

filter e stateful inspection

Fornece funções de segurança a um elevado número de destinatários

O stateful inspection juntamente com os proxies combinam o desempenho e as

vantagens das políticas de segurança do stateful inspection com o elevado nível de

resistência a DoS do proxy


Firewalls – soluções híbridas

Desvantagens

Compra de software e/ou hardware adicional

Não há incorporações com outro dispositivo de rede existente


Variam – boas para um site, más para outros

“KISS - Keep it simple, stupid” ”

Flexíbilidade e de fácil manutenção

Suporte às políticas de segurança definidas para a rede

Sem impor restrições

Firewalls – características desejáveis


Controlo de acesso a serviços

Negação ou permissão

Filtro de tráfego

Negação ou permissão de acesso a serviços oferecidos por

servidores específicos

endereços IP, tipos de protocolos, portas e interfaces

Suporte à autenticação



Suporte de características de proxy para os principais

serviços

HTTP, SMTP, FTP

Permitir o acesso a servidores públicos

Não comprometendo a segurança das zonas não privadas da

rede



Luis Batista

Logs do tráfego

Acessos e tentativas de acesso

Disponibilização de ferramentas para uma fácil análise dos logs

Suporte técnico

Patchs e resolução de problemas e bugs

Interface de configuração e administração amigável e flexível



Luis Batista

IDS - Intrusion Detection Systems

Tem vindo a ganhar interesse devido ao grande

crescimento do número de intrusões

Necessidade de monitorização

tentativas de ataque

falhas da rede

calcular precisamente a extensão dos estragos

Existe a fechadura mas não existe câmara de segurança


IDS - termos

Falsos positivos

situações “benignas” – tipicamente um erro

Falsos negativos

situações de falha – falha no sistema

Assinaturas

conjunto de condições que, quando reunidas,

indicam algum tipo de intrusão


IDS - termos

Algorítmo

método usado pela assinatura

Intrusão

actividades concatenadas que colocam a segurança

dos recursos TI em perigo


Ataque

uma tentativa falhada de entrada no sistema (não é executada

nenhuma transgressão)

Incidente

violação das regras do sistema de segurança - intrusão bem

sucedida

IDS - termos


Modelação de intrusões

uma modelação temporal de actividades - a intrusão

1. o intruso inicia o seu ataque com uma acção introdutória

2. tenta outras auxiliares

3. até conseguir o acesso bem sucedido

Sensores

Network Intrusion Detection System (NIDS)

Host Sensors

IDS - termos


Sistema de defesa

detecção de actividades “inimigas”

detectar/impedir as actividades comprometedoras

– tentativas de portscans

facilitar a visualização de actividade suspeita

emissão de alertas

bloqueio de ligações

distinção de ataques internos/externos


IDS - caracterização

Luis Batista

Pattern Matching

procura por sequências fixas de bytes num único

pacote

apenas se houver associação do padrão a

um serviço concreto

uma porta específica

Exemplo: TCP com destino à porta 2222 e payload

contendo 123


IDS - Metodologias

Luis Batista

Vantagens

método mais simples de IDS

permite correlações directas de um exploit com o padrão

altamente específico

gera alertas com o padrão especificado

aplicável em todos os protocolos


IDS - Pattern Matching

Luis Batista

Desvantagens

probabilidade de ocorrência de taxas elevadas de falsos

positivos

as modificações ao ataque podem conduzir à falta de eventos

(falsos negativos)

necessidade de múltiplas assinaturas para tratar de uma única

ameaça

não aconselhado à natureza de tráfego de dados do HTTP


IDS - Pattern Matching

Luis Batista

Análise heurística

Lógica algorítmica para tomar decisões de alarme

São frequentemente avaliações estatísticas do tipo de tráfego

apresentado


IDS - Metodologias

Luis Batista

Vantagens

Alguns tipos de actividades suspeitas ou maliciosas não podem

ser detectadas por qualquer outro meio.


IDS - Análise heurística

Desvantagens

Os algoritmos podem requerer afinações ou modificações (para

adequação de tráfego e limitação de falsos positivos).

Luis Batista

Análise à anomalia

Procura tráfego “anormal” (problema?)

Pacotes de comunicação que não coincidem com o estado da ligação

Pacotes de comunicação que se encontram severamente fora da sequência

Subcategoria – detecção de métodos de perfis

forma como os utilizadores ou sistemas interagem com a rede

Possível detectar ataques em curso

Fornecem pouca informação, são vagos e requerem demasiada investigação

IDS - Metodologias


Vantagens

Quando implementado correctamente, podem detectar ataques

desconhecidos/novos

Menores cargas - não é necessário desenvolver novas

assinaturas

IDS – Análise à anomalia


Desvantagens

Não fornecem dados concretos da intrusão - acontece um

“desastre” mas o sistema não consegue determiná-lo

Altamente dependente do ambiente que os sistemas definem

como normal

IDS – Análise à anomalia


Os IDS

Utilizam apenas uma das metodologias como core

e fracções das outras metodologias (antes ou depois de analisar

os dados)

– Devido à degradação da performance

A detecção prematura de um intruso - evitar danos

Quanto mais cedo, melhor!

Eficiência - desencorajar ataques

IDS


Os IDS são

Um elemento de core

Um sensor (pelo menos)

responsável pelas decisões a tomar

recebem os dados de três fontes principais

base de dados do próprio IDS

syslog (configuração, permissões, utilizadores, etc)

Auditorias

estrutura da base para o processo de futuras tomadas de decisão


IDS

Luis Batista

protecção do ataque

prevenção de intrusões

boa combinação de “iscas e

armadilhas” – para a investigação e

ameaças (Honey pots)

desvio da atenção do intruso

dos recursos protegidos

repulsão (muitas vezes

conseguida)

exame dos dados IDS

Prevenção

Monitorização

Detecção

Reacção

Simulação

Análise

Notificação


IDS - Tarefas

Luis Batista

IDS

Infraestrutura IDS

Adicional

Monitoriz

a Notifica

Sistema a proteger

Reage

Intrusion Detection Systems - IDS


É uma evolução/extensão do IDS

Actua após o alerta dado pelo IDS

E previne a realização do ataque no sistema

Ao receber o alerta executa a acção de prevenção

Como bloquear o IP da origem do ataque

IPS – Instrusion Prevention System


Os métodos de autenticação e controlo de acessos não são mais

que sistemas de segurança para proteger sistemas de informação

Não há sistemas 100% seguros - apenas a ideia de sistemas

seguros (uma ilusão!!)

A implementação de um sistema de seguro não é dificil ou

complexa se a solução estiver bem desenhada (o mito de que os

sistemas de segurança são complicados...)

Conclusão


Apesar de recorrerem a algorítmos sofisticados e a métodos de

proteção efecientes, os sistemas de segurança dependem sempre de

intervenção humana (criatividade no desenho da arquitetura e

manutenção do sistema)

Não são resistentes à mudança - pois não há sistemas estanques - a

criatividade humana e o progresso tecnológico ditam as novas

necidades a implementar nos sistemas de autenticação e controlo de

acesso!

Conclusão


Algumas questões


Quais os 3 factores de autenticação mais usados?


SYK

SYH

SYA


Para quê optar por uma abordagem híbrida

na implementação de uma firewall?


Para obter uma maior a segurança, combinando

o melhor de cada tipo de firewall

isto é, tirar partido das vantagens do

packet filtering e appilcation proxy, por exemplo

Fornecer funções de segurança a um elevado número de destinatários


Quais as metodologias usadas no IDS?


Pattern Matching

Análise heurística

Análise à anomalia

...


Autenticação e controlo de acessos

Technology

Transcript of Autenticação e controlo de acessos