Princípios de Segurança Da Informação

8/18/2019 Princípios de Segurança Da Informação

1/23

Princípios de Segurança da

Informação


2/23


3/23

Segurança da informação• Segurança da Informação define-se como o processo de proteção da informação e

ativos digitais armazenados em computadores e redes de processamento dedados.• Os elementos básicos da segurança das informações são:

– Confidencialidade: capacidade de um sistema de permitir que alguns usuários acessemdeterminadas informações ao mesmo tempo que impede que outros, não autorizados, asacessem.

– Integridade: a informação deve estar correta, ser verdadeira e não estar corrompida. – Disponibilidade: a informação deve estar disponível para todos que precisem dela para a

realização de uma atividade específica.

• Além destes três elementos principais, tem-se também: – Autenticidade: garantir que um usuário é de fato quem alega ser. – Não répúdio: capacidade de um sistema de provar que um usuário executou determinada

ação. – Legalidade: garantir que o sistema esteja aderente à legislação pertinente. – Privacidade: capacidade de um sistema de manter anônimo um usuário, impossibilitando o

relacionamento entre o usuário e suas ações (por exemplo, o sistema de voto eletrônico). – Auditoria: capacidade de um sistema de auditar tudo o que foi realizado pelos usuários,

detectando fraudes ou tentativas de ataque.


4/23

Segurança da informação

• Componentes de Arquitetura Segura – Segmentação de Rede;

– Firewalls;

–

Autenticação; – Criptografia;

– Detecção de Intrusos;

• Os componentes de segurança não devem ser

tratados como componentes individuais mascomo parte de um sistema único, integrando-osquando possível.


5/23


Switch


6/23

De-Militarized Zone - DMZ

• Zona desmilitarizada

• Termo que designa a rede localizada entre arede interna e a Internet.

• Na DMZ normalmente estão localizados osservidores de acesso público: – E-mail

–

Web – DNS

– ....


7/23


Switch


8/23



9/23

Firewall - FW

• Firewalls são sistemas que tem como objetivo estabelecer regras efiltros de tráfego entre duas redes.

• Os firewalls são utilizados como a primeira linha de defesa contraameaças externas a uma rede.

• Por ser a primeira linha de defesa, os sistemas de firewall devem

ser cuidadosamente instalados e gerenciados.• No caso de firewalls instalados em servidores (normalmente

Windows, Linux e Unix) o sistema operacional deve também sercuidadosamente configurado para o nível máximo de proteção.

• Na figura 3 é mostrado o uso típico de um firewall, segregando econtrolando o tráfego entre várias redes. A arquitetura da

implementação segue alguns princípios gerais embora dependa decada site, sua topologia e aplicações.

• Como exemplo, na figura 3 é mostrado um único firewallprotegendo todos os ambientes. Em algumas implementações, sãoutilizados dois ou três firewalls em sequência, algumas vezes detecnologias e modelos diferentes.


10/23

Firewall - FW•

Tipos de FW – Filtro de Pacotes

• Este tipo de firewall restringe o trafégo a partir de regras baseadas emprotocolo, porta de conexão e endereços destino e origem; nãoanalisando o conteúdo do pacote ou exigindo algum tipo de autenticação.Pode ser implementado na maior parte dos roteadores.

– Proxy de Conexão• Este tipo de firewall atua como intermediário nas conexões. Dessa

forma um usuário sempre conecta-se primeiro ao firewall e esteencaminha as requisições para o destino. Possuem funcionalidade deautenticação do usuário.

– Proxy de Aplicação• A operação básica é a mesma que a do proxy de conexão, porém este tipo

analisa o pacotes, garantindo que eles estão em conformidade com osprotocolos e aplicações. Por exemplo, um pacote SMTP (porta TCP-25 e587) é analisado para garantir que ele está em conformidade com oprotocolo SMTP, ou seja, se ele realmente é um pacote SMTP. Possuem

funcionalidade de autenticação do usuário.


11/23

IPTABLES - Adicionando regras - A

Exemplo para criar uma regra que bloqueia o acesso a própria máquina (127.0.0.1 - loopback).

Ping para verificar seu funcionamento:

ping 127.0.0.1

PING 127.0.0.1 (127.0.0.1): 56 data bytes

64 bytes from 127.0.0.1: icmp_seq=0 ttl=255 time=0.6 ms

64 bytes from 127.0.0.1: icmp_seq=1 ttl=255 time=0.5 ms

--- 127.0.0.1 ping statistics ---

2 packets transmitted, 2 packets received, 0% packet loss

round-trip min/avg/max = 0.5/0.5/0.6 ms

A máquina responde, agora incluindo uma regra no chain INPUT (-A INPUT) que bloqueie (-j DROP) qualquer acesso para o endereço

127.0.0.1 (-d 127.0.0.1):

iptables -t filter -A INPUT -d 127.0.0.1 -j DROP

Ping para verificar a efetividade da regra:

ping 127.0.0.1

PING 127.0.0.1 (127.0.0.1): 56 data bytes

--- 127.0.0.1 ping statistics ---

2 packets transmitted, 0 packets received, 100% packet loss

Desta vez a máquina 127.0.0.1 não respondeu, pois todos os pacotes com o destino 127.0.0.1 (-d 127.0.0.1) são rejeitados (-j DROP). Aopção -A é usada para adicionar novas regras no final do chain. Além de -j DROP que serve para rejeitar os pacotes, podemos tambémusar -j ACCEPT para aceitar pacotes. A opção -j é chamada de alvo da regra ou somente alvo pois define o destino do pacote queatravessa a regra.

OBS1: - O acesso a interface loopback não deve ser de forma alguma bloqueado, pois muitos aplicativos utilizam soquetes tcp pararealizarem conexões, mesmo que você não possua uma rede interna.

OBS2: - A tabela filter será usada como padrão caso nenhuma tabela seja especificada através da opção -t.


12/23

Autenticação• Através de autenticação é possível identificar um usuário e associá-lo com o perfil de

acesso necessário para suas funções. Junto com a autenticação estão os recursos de não-repúdio (garantia de que o emissor de uma mensagem ou a pessoa que executoudeterminada transação de forma eletrônica não poderá posteriormente negar suaautoria); ou o acompanhamento (log) de todas as atividades executadas pelo objeto,evitando-se assim que o um usuário negue ou recuse a autoria de uma transação. Quantomaior a segurança da autenticação maior a segurança do não-repúdio.

• Há três tipos básicos de autenticação, que variam em grau de segurança e complexidade: a

autenticação baseada em algo que o usuário possui (como um cartão de Banco), aautenticação baseada em algo que o usuário conhece (como a senha) e a autenticaçãobaseada em algo que lhe pertence (como a identificação biométrica).

• Todos os tipos de autenticação são vulneráveis à falhas, e a melhor solução é utilizar doisou mesmo os três tipos combinados. Atualmente o mais comum é utilizar o primeiro e osegundo tipo de autenticação. O acesso a um “caixa 24hs” utiliza algo que o cliente possui

(um cartão) combinado com algo que ele lembra (uma senha). Para acessos remotos,incluindo Internet, é possível utilizar também estes dois tipos combinados. CertificadosDigitais ou tokens de senhas dinâmicas podem substituir o cartão eletrônico.

• É importante notar que a solicitação da informação pessoais como confirmação de senhaaumenta a complexidade da autenticação mas não constitui o uso de técnicas diferentes.São várias instâncias do método “algo que o usuário conhece”.


13/23

Criptografia

• Criptografia é um elemento essencial paraqualquer implementação de e-business e InternetBanking. A maior parte dos Bancos utilizamcriptografia para a comunicação, ou seja,

protegem o dado enquanto o mesmo está emtrânsito. Uma vez armazenado, o dado é mantidocom ou sem criptografia. As organizações devemavaliar a necessidade da implementação de

criptografia também para o armazenamento dedados. Há casos que dados confidenciais declientes, não criptografados, foram roubados deservidores de armazenamento.


14/23

Sistema de Detecção/Prevenção de Intrusões(IDS - Intrusion Detection System)

(IPS – Intrusion Prevention System)• Os sistemas IDS/IPS procuram por tráfego ou eventos

suspeitos de acesso ilegal. A detecção/prevenção deintrusos é realizada de dois modos:

– Sensores procuram por “assinaturas” de ataques,que são os métodos utilizados por invasores ecatalogados no IDS

– Sensores detectam alguma atividade suspeita,seja por eventos não esperados ou diferentes doperfil normal de um usuário ou aplicação

14


15/23


(IPS – Intrusion Prevention System)

• Tipos de intrusão: – Mau uso do sistema - são os ataques realizados a pontos

fracos do sistema, pontos este conhecidos, que podemser detectados a partir da monitoração de certas ações

realizadas em determinados objetos

– Intrusão devido a mudança de padrão - são detectadascom a observação de mudanças de uso em relação aopadrão normal do sistema. Primeiro monta-se um perfil

do sistema, em seguida, através de monitoração,procura-se por divergências significantes em relação aoperfil construído

15


16/23


(IPS – Intrusion Prevention System)

• Detecção/Prevenção de intrusão – Análise de padrões do sistema operacional e da rede tais

como: utilização de CPU, I/O de disco, uso de memória,atividades dos usuários, número de tentativas de login,

número de conexões, volume de dados trafegando nosegmento de rede, entre outros

– Estes dados formam uma base de informação sobre autilização do sistema em vários momentos do tempo

– Algumas ferramentas IDS/IPS possuem bases com padrõesde ataque previamente montadas permitindo também aconfiguração dos valores das bases bem como inclusão denovos parâmetros.

16


17/23

Rede Privada

• Empresas com unidades de negócios em locaisdistantes necessitam troca da informação comrapidez e segurança

• Uma das soluções adotadas é interligar asunidades de negócios por meio de links decomunicação de dados dedicados: – Alugados

– Infraestrutura de comunicação própria

• Investimento e custeio alto

17


18/23

Rede Privada Virtual

• Rede Privada Virtual (Virtual Private Network - VPN)

– Rede privada construída sobre a infraestrutura decomunicação de dados da Internet (rede pública, semcontrole sobre o acesso aos dados)

– Possui as mesmas características das redes privadas

• Motivação do uso de VPN

– Baixo investimento e custeio

– Portabilidade – Relação custo/benefício adequado

18


19/23


20/23


• Os dispositivos responsáveis pela formação egerenciamento da rede virtual, parapropiciarem uma comunicação com

segurança, devem ser capazes de garantir: – Privacidade dos dados

– Integridade dos dados

– Autenticação

20


21/23


Unidade de negócio A

Túnel VPN

Internet

Unidade de negócio A

Firewall Firewall

21

• As duas unidades de negócios estão interligadas como se

formassem uma única rede

• Controle de acesso definido pelos administradores de TI dasunidades de negócios


22/23


Túnel VPN

Internet

Firewall

Provedor

de acesso

à Internet

Servidor de

VPN

Rede

interna daempresa

22


23/23

TOPOLOGIA

Princípios de Segurança Da Informação

Documents

Transcript of Princípios de Segurança Da Informação