1

Segurança em Redes

Elmar Melcher

Universidade Federal de Campina Grande

elmar@dsc.ufcg.edu.br

2

Roteiro• Introdução

– Definições– Princípios Básicos e Padrões

• Segurança na estação de trabalho– Autenticação e Autorização– Monitoramento

3

Roteiro (cont.)

• Transações Seguras– Firewall– Criptografia – PGP– Kerberos

• Aplicações– Aspetos Legais– Comercio na Internet

4

Autenticação eAutorização

• dar privilégios

• administrar privilégios

• monitorar privilégios

• identificar e autenticar usuários

• monitorar acessos

• limitar acessos

• prevenir acesso não autorizado

• revogar privilégios

5

Mecanismosde alocação de privilégios

• Acess Control Lists (ACLs)– quem pode acessar o objeto ao qual a ACL é

associada

• Capabilities– define os acessos aos quais um objeto tem

direito

• Security labels– objetos com label igual tem acesso um ao outro

6

Mecanismosde autenticação

• senha– problema: compartilhamento

• senha de uso único

• cartão

• cartão + senha

• senha biométrica (íris, voz, hálito, impressão digital, tamanho de ossos, andar, . . ., DNA)

• combinação de tudo

7

Monitoramentode acessos

• nada é 100% seguro

• boicote por usuários legítimos

• usuários legítimos tentam ter mais acesso

• para melhorar procedimentos de segurança

8

Autenticação em redesproblema fundamental

• masquerading– introduzir um pacote na rede pretendendo ser

de uma origem diferente

• Ambientes orientadas a conexão– precisa acesso físico especial para fazer masquerading

• Ambientes não orientadas a conexão– qualquer ponto de acesso pode fazer masquerading

9

Autenticação em redes

• Fichas– serviço de autenticação

• para obter uma ficha “mestre”

– serviço de distribuição de fichas• para obter fichas para recursos específicos

– diálogo entre servidor e cliente• usando a ficha específica

10

Autenticação em redes (cont.)

• Serviço de autenticação central (KDC)– {} = criptografado– {} = criptografado com chave pública– nonce = number used once

A BKDC{nonce1}{chave}{{nonce2}, chave, id }

{nonce2-1, nonce3}

{nonce3-1}

11

Estação de trabalho isolada• Acesso à conta de administrador

• Acesso à conta de um usuário• Prevenção

– senhas seguras• arquivo de senhas criptografado e sem acesso de leitura

• programa que rejeita senhas

• tentar craquear senhas dos usuários

• expiração de senhas

– monitoramento– gravar checksum o.ä. de cada arquivo

12

Estação de trabalho isolada

• Cura– colocar o HD no cofre– desabilitar a conta– trocar senha– trocar owner de arquivos– apagar arquivos

13

Estação de trabalho em rede

+ Fonte de ataque– visando contas de outros computadores– de denial of serviçe– de spam

• Prevenção– filtro de serviços pela origem (xinetd)– evitar trusted hosts– dificultar acesso a informações sobre usuários

(finger)– usuários não devem armazenar senhas

14

Estação de trabalho em rede

• Prevenção (cont.)– limitar acesso a pastas compartilhado (NFS ou

SAMBA), tanto do lado servidor como do lado cliente

– desabilitar finger, ftp, telnet– restringir acesso a X remoto

• Detecção– senhas inseguras– arquivos de acesso global– modificações de executáveis do S.O.

15

Estação de trabalho em rede

• Remedio– mudar a senha da conta– bloquear a conta– mudar direitos de aceso a arquivos– destruir a conta e seus arquivos

16

Monitoramento e Controle