aula 02 - Segurança de Redes - Princípios de segurança de redes
Segurança em redes
61
1 INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DA PARAÍBA Campus Sousa Disciplina: Segurança da Informação Professor: Francisco Cassimiro Curso: Técnico em Informática Fátima Ferreira de Sousa
-
Upload
fatinha-de-sousa -
Category
Education
-
view
58 -
download
1
description
Segurança em Redes de Computadores
Transcript of Segurança em redes
1INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA ETECNOLOGIA DA PARAÍBACampus Sousa
Disciplina: Segurança da InformaçãoProfessor: Francisco CassimiroCurso: Técnico em Informática
Fátima Ferreira de Sousa
Segurança Em RedesSegurança da Informação
2
A segurança da informação
Definição
Pode ser definida como uma processo de proteger ainformação do mau uso tanto acidental como intencional.
Vulnerabilidade ou falha de segurança pode ser um bug emuma aplicação, como um servidor web ou um vírus.
Não existe rede ou mesmo informação 100% segura.
3
Ataques contra a segurança da informação trazem prejuízosincalculáveis para empresas e corporações.
Firewalls – dispositivos que controlam o tráfego entre redes,permitindo ou negando determinado tipo de tráfego.
4
A internet: Um jogo com vantagens eRiscos
Dependência de empresas e pessoas;
Crescimento do comércio eletrônico.
Riscos e Vulnerabilidades para empresas; Downtime – tempo em a rede fica indisponível para uso;
Ameaças de Vírus – pelo acesso a internet;
Invasão de Hackers – todos os dias são desenvolvidas técnicasinteligentes e sofisticadas de invasão;
5
Hackers e Crackers
6
Hackers – Quem São?
Refere-se a um individuo ou organização que possuiconhecimento em sistemas operacionais e protocolos, e faz usodesse conhecimento para quebrar segurança de sistemas e roubarinformações, buscando sempre alguma vantagem ou ganhofinanceiro.
Em geral os hackers exploram vulnerabilidades ou falhas naimplementação dos sistemas, e conhecendo-as, conseguem atacá-los.
7
Crackers
São pessoas que descobrem falhas em sistemas de
seguranças, e usam essas falhas para roubar e destruir
informações;
8
Motivos que levam um hacker/cracker arealizar um ataque:
• Acesso a recursos adicionais – Quando o ataque se torna umdesafio a ser quebrado para conseguir acessos adicionais a rede;
• Vantagens Competitivas – Espionagem industrial, onde um hackeré contratado para tentar roubar informações confidenciais de umconcorrente;
• Econômico – Fraudes com números de cartão de crédito ou emsistemas de internet banking;
• Descontentamento Pessoal ou Vingança – Ex-funcionários quedesejam se vingar da empresa invadindo-a;
9
Motivos que levam um hacker/cracker a realizar um ataque:
• Cyber Terrorismo – É o uso da tecnologia da informação paradesfechar um ataque pela internet;
• Curiosidade – Quando alguém sem intenção de causar prejuízosusa alguma ferramenta hacking sem conhecimentos e acabacausando grandes estragos;
• Prejuízos – Quando alguém que definitivamente causar danos aalguém;
• Diversão – Adolescentes que atacam as redes por diversão;
10
Algumas das ameaças mais comuns que as empresas
vêm sofrendo atualmente são ataques de vírus e worm que
causam grandes prejuízos.
Existem ainda uma grande problemática a respeito do
abuso do uso de e-mail e da web pelos funcionários de
empresas.
A internet trouxe grande flexibilidade e agilidade para
as organizações, entretanto o mau uso dessa tecnologia por
seus usuários pode causar grandes prejuízos de produtividade
e qualidade nos processos da empresa.
11
O problema do e-mail
Spam – E-mails indesejáveis enviados por pequenas empresas quedesejam divulgar seus produtos e serviços de maneira barata eeficiente;
Conteúdo Inadequados – Pornografia, piadas, política ou racistasque não se referem ao dia-a-dia da empresa;
O e-mail pode ainda ser usado para roubar e transmitir informaçõesconfidenciais da empresa;
12
O problema da WEB
Mau uso da internet – Acesso a sites com conteúdo inadequado,downloads de softwares piratas, além do uso de ferramentas de e-mail via web que podem burlar mecanismos de monitoração eproteção.
O problema maior do mau uso da web é que demanda banda doslinks de comunicação, por isso afeta diretamente o desempenho dasaplicações críticas da empresa, implicando em lentidão e reduçãosignificativa no tempo de resposta.
13
Monitoração do mau uso
Técnica que consiste na monitoração de e-mail e páginas webs;
Violação as liberdades individuais;
14
Outros métodos de monitoração
Filtros de mensagens – Usado para filtragens de mensagens einformações não relacionadas ao negócio da empresa. Esseprocesso minimiza o efeito dos spams na rede;
Filtro de URLs – Permite às empresas bloquearem a páginas nãoautorizadas.
15
Estes assuntos devem ser tratados e discutidoscuidadosamente pelas empresas. O recomendável é descreverdetalhadamente na política de segurança quais os usos devidos queos usuários podem fazer da rede, e principalmente estabelecerclaramente o que não é permitido. Após a definição dessa política edo treinamento dos funcionários, eles devem assinar umdocumento informando que concordam com a política, eprincipalmente conhecem os procedimentos e punições no caso dedesrespeito da política de segurança corporativa.
16
Modelo de Referência de Segurança
Foi criado para definir uma arquitetura de rede confiávelque implemente uma política de segurança, que consiste em umasérie de regras, procedimentos, autorizações e negações quegarantem a manutenção da segurança e da confiabilidade da rede.
17
Componentes que constituem o MRS
Equipamentos da rede – Roteadores, servidores de comunicação,switches de rede local, gateways etc.
Sistemas de autenticação – Biométricos, assinatura digital ecertificação digital;
Sistemas de segurança – Criptografia, PKI e firewalls;
Informação e mensagens trocadas no sistema de cunho reservado,confidencial, restrito ou livre para divulgação;
18
Serviços de segurança implementados pelosistema
Integridade;
Autenticidade;
Confidencialidade;
Não Repúdio;
Disponibilidade;
Controle de Acesso;
Auditoria.
19
IntegridadeConsiste na garantia de que a informação permaneceu
íntegra, o que significa que ela não sofreu nenhuma espécie demodificação durante a sua transmissão ou armazenamento, semautorização do autor da mensagem;
A integridade está relacionada com proteção quanto àinformação ou um processo para que não seja intencionalmente ouacidentalmente alterada sem a devida autorização.
O objetivo da garantia de integridade dos dados é prevenira existência de fraudes ou erros de processamento.
20
Ameaças à Integridade
A integridade da informação pode ser comprometida porhackers, usuários não autorizados, programas maliciosos (trojans ouvírus), ou qualquer ação que implique na alteração de dados eprogramas.
Existem três principais controles de segurança para garantira integridade da informação nos processos:
• Rotation of Duties – A troca constante de pessoas em cargoschave pode ser uma forma de evitar a fraude em sistemas ou nosdados, além de trazer uma série de vantagens.
• Need to Know – Os usuários devem ter acesso apenas aos dadosou programas que ele necessita para executar o seu trabalho.
• Separation of Duties - Consiste em garantir que do início ao finalde um processo que as pessoas envolvidas tenham o controledele.
21
Funções de Hashing
Hashing é uma técnica utilizada para verificar e garantir aintegridade dos dados.
• Característica do hashing
Pode ser de qualquer tamanho;
O digest é sempre de tamanho fixo;
Devem ser fáceis de computar;
Hash é unidirecional;
É livre de colisão, ou seja, dois textos não podem possuir omesmo hashing;
22
Algoritmos de Hashing
Os principais algoritmos de hashing são:
SHA-1 – Calculado sobre uma mensagens de qualquer tamanho,gerando um digest de 512 bits. É utilizado em conjunto comalgoritmos criptográficos.
MD5 – Processa a entrada em blocos de mensagens de 512 bitse gera digest de 128 bits. O MD5 está sujeito a colisões.
23
Confidencialidade
O principio da confidencialidade é proteger a informaçãoem sistemas, recursos e processos, para que elas não possam seracessadas por pessoas não autorizadas;
A informação não pode ser disponibilizada a quem nãotenha a devida autorização para acessá-las. A confidencialidadetambém é um mecanismo que garante a privacidade dos dados;
24
Ameaças à Confidencialidade
Atividade não autorizada - Ocorre quando usuários nãoautorizados tem acesso aos sistemas e comprometem arquivosconfidenciais.
Downloads não autorizados – Quando informações confidenciaissão movidas de lugares seguros para ambientes onde não épossível garantir a confidencialidade;
Redes – Criptografar informações de forma a evitar que aconfidencialidade seja comprometida;
Vírus e Trojans – Códigos maliciosos instalados em sistemas comobjetivo de descobrir informações confidenciais, copiando-as parauma entidade externa;
Engenharia Social – Processo de ataque que não faz uso datecnologia e sim do fator humano;
25
Identificação, Autenticação e Autorização Identificação – Método usado para que um usuário, programa ou
processo disponibilize ao sistema sua identificação.
Autenticação – Mecanismo que verifica a identificação do usuário.
Existem três mecanismos para garantir a autenticidade de umusuário:
O que o usuário conhece (senha);
O que o usuário possui (token, cartão, chave criptografada oucertificado;
O que o usuário é (característica biométrica única);
Autorização – Mecanismo que autoriza o acesso obedecendo asprincípios do need to know;
As soluções de gerenciamento de identidade são usadas para verificar a identidade,autenticar e autorizar o acesso;
26
Disponibilidade
É a garantia de que o sistema sempre estará acessível quando ousuário precisar
27
Ameaças à Disponibilidade
Ataques de negação de serviços – DOS (ataques realizados por umconjunto de computadores contra uma rede com objetivo detornar indisponíveis os serviços oferecidos por esta rede;
Perdas resultantes por desastres naturais (fogo, enchentes,terremotos ou ações humanas);
28
Ameaça à Disponibilidade
Os ataques de negação de serviço derrubam servidores, deixando osserviços indisponíveis;
Os ataque de negação de serviços distribuídos – são causados pormaquinas zumbis contaminadas na internet;
Para aumentar a disponibilizada de um sistema utiliza-seequipamentos, aplicativos e servidores redundantes.
29
Não Repúdio
É um serviço de segurança que consiste em técnicas e métodos paraque o remetente da mensagem não possa negar, no futuro, o enviodela.
30
Auditoria
É um mecanismo que permite a criação de registros (logs), nos quaisas ações ocorridas na rede ficam registradas e podem ser auditadasno futuro para verificar irregularidades.
A auditoria consiste na capacidade de verificação das atividades dosistema e determinação do que foi feito, por quem, quando e o quefoi afetado.
31
Embora, de uma forma geral, todos os serviços de segurança sejaimportantes, diferentes organizações terão visões distintas sobrequanto cada serviço é importante.
32
Planos de Segurança
33
Análise e Gerenciamento de Riscos
Visa identificar perdas e impactos causados pelo comprometimentoda confidencialidade das informações ou roubos das informaçõesrestritas a empresa.
Princípio básico do gerenciamento de risco:
“Não podemos proteger algo que não conhecemos”
34
Análise de Riscos
Processo de avaliação e tomada de decisões que permitem
identificar e qualificar os riscos envolvidos em um sistema.
• Aceitar um risco pode ser muito perigoso;
• É possível minimizar o risco, mas nunca evitá-lo;
• Evitar um risco é muito complexo.
35
Existem basicamente duas formas de realizarmos análise de riscos:
• Análise Quantitativa
• Análise Qualitativa
36
Análise Quantitativa
Está relacionada com o lado financeiro, ela consiste em medir ocusto da perda ligados à ameaça e proteção.
É incapaz de calcular a probabilidade de que os eventos ou ameaçasocorram.
37
Etapas do processo de análise de riscos:
Identificar as ameaças que possam afetar operações criticas e osativos;
Estimar a probabilidade de um evento ocorrer;
Identificar e classificar os valores, o nível de sensibilidade e acriticidade de operações, além de se preocupar com as perdas oudanos ocorrentes se ameaça se realizar;
Identificar ações com base na análise de custoXbeneficio nacondução da redução do risco;
Documentação dos resultados;
38
Análise Qualitativa
É uma técnica usada na análise de riscos para fazer uma estimativada perda provocada pela ameaça.
Esse tipo de abordagem trabalha com ameaças, vulnerabilidades emecanismos de controle.
39
Ameaças
40
As ameaças
As ameaças são os principais e prováveis perigos a que umaempresa esta sujeita.
Principais ameaças
Ameaças Intencionais;
Ameaças relacionadas aos equipamentos;
Ameaças relativas a um evento natural;
Ameaças não intencionais;
41
Acompanhe:
Ameaças Intencionais – Ameaças que viram notícias de jornal enas quais os produtos de segurança melhor podem atuar.
Agentes Causadores:
Externos – Podem acessar o sistema de varias formas (arrombamento,falsificação de documentos, modems, suborno ou coação dos agentesinternos);
Internos – São responsáveis pela maior parte dos problemas desegurança.
42
Os principais agentes causadores de ameaças intencionais são:
Espião industrial – Alguém contratado para roubar umainformação, e como consequência, causar algum dano;
Criminoso Profissional – Alguém interessado em ter ganhofinanceiro com uso de uma informação;
Hacker – Especialista em computação que usa seu conhecimentopara invadir sistemas e fraudar dados;
Funcionário mal-intencionado – Funcionário que tentainternamente roubar informações da empresa.
43
Ameaças relativas aos equipamentos – Falhas de hardware esoftware, seja por defeito ou por bugs.
Ameaças relativas a um evento natural – Ameaças provocadaspela a ocorrência de algum evento natural, são difíceis de seremevitadas, no entanto são facilmente detectadas;
Ameaças não intencionais – São os perigos trazidos pelaignorância das pessoas. A maior parte dos danos causados nosistema surge pela ignorância de usuários ou administradores malcapacitados.
44
Vulnerabilidades
45
Vulnerabilidades
Definição
Ponto do sistema no qual o sistema é suscetível a ataques.
Exemplos:
As pessoas que operam e usam o sistema (elas foram treinadasadequadamente?);
A conexão do sistema coma Internet (as comunicações sãocriptografadas?);
O fato de o prédio estar em uma área sujeita a inundação (osistema está no piso térreo do prédio);
46
O processo de identificação das vulnerabilidades considera:
Dadas as ameaças, onde estão as vulnerabilidades do sistema;
Dadas as vulnerabilidades, quais ameaças podem surgir;
47
Principais vulnerabilidades de um sistemas:
Físicas – O ambiente onde o sistema é mantido é vulnerável?
Naturais – Fogo, inundação, terremoto e perda de energia podemdanificar equipamentos ou destruir dados;
Hardware e Software – Falhas de hardware e software podemcomprometer a segurança do sistema;
Mídia – Discos, fitas e material impresso podem ser facilmenteroubados ou danificados;
Emanação – Sinais emitidos por computadores, equipamentos derede podem ser captados e decifrados;
Comunicação – Mensagens em transito podem ser interceptados,desviados e forjados. Linhas de comunicação podem ser escutadasou interrompidas;
Humanas – Usuários, operadores ou administradores do sistemapodem conter erros que comprometam o funcionamento dosistemas, serem subornados ou coagidos a cometer atos danosos.
48
Riscos surgem a partir de vulnerabilidades que possam serexploradas, existindo várias maneiras de fazer isso.
Em um plano de segurança precisamos, a partir do conhecimentodas vulnerabilidades, identificar a probabilidade da ameaça ocorrer.
49
Controles
São mecanismos de contramedidas usados para minimizar ameaças.
Tipos de Controle:
Controle efetivo – Diminuir a probabilidade de ocorrência de umaameaça;
Controle preventivo – Previne vulnerabilidades de forma aminimizar o sucesso das tentativas de ataques;
Controle corretivo – Reduzi o efeito da ameaça;
Controle detectivo – Descobre ataques e controle de correção;
Controle de recuperação – Restaura a situação da empresa a umquadro normal após a incidência de um evento.
50
O trabalho de ameaça deve ser feito frequentemente, uma vez que,novas ameaças podem surgir, vulnerabilidades não identificadaspodem ser notadas em revisões futuras.
Os riscos não podem ser eliminados completamente, mas sãoidentificados, quantificados e então reduzidos. Não importa quãoseguro seja o computador, sua segurança sempre pode ser quebradacom recursos necessários.
51
Segurança
52
Política de Segurança
Define diretrizes quanto ao uso da informação no ambientecorporativo. Ela relaciona:
Riscos ao patrimônio;
Risco de fraude;
Risco de roubo;
Os acessos do usuário ao sistema;
O uso de canais de comunicação;
Sistemas redundantes e tolerantes a falhas;
Garantia de integridade de software;
53
O propósito de uma política de segurança é definir como umaorganização vai se proteger de incidentes de segurança.
Funções:
Deixar claro o que deve ser protegido e por quê;
Explicitar quem é responsável por essa proteção;
Funcionar como referência para solução de conflitos e problemasque possam surgir;
Uma política de segurança não deve ser uma lista de ameaça, eladeve ser genérica e variar com pouco tempo;
54
Alguns definições da política de segurança:
Pense no proprietário – A informação e o equipamento devem terum proprietário.
Seja positivo – As pessoas respondem melhor a sentençaspositivas do que a negativas;
Todos somos pessoas – Inclusive usuários! E pessoas cometemerros;
Responsabilidade deve ser seguida de autoridade – Se você éresponsável pela segurança, mas não tem autoridade, sua funçãona organização será apenas assumir a culpa quando algo sairerrado;
Definia a filosofia da política – Tudo que não for proibido epermitido ou tudo que não for permitido e proibido;
Seja abrangente e profundo – Não seja superficial na criação dapolítica, inclua diferentes níveis de proteção;
55
Uma política de segurança deve ser formada por:
Escopo;
Posicionamento da organização;
Aplicabilidade;
Funções e responsabilidades;
Complacência;
Pontos de contato e outras informações;
56
ISO 1.7799
57
Padrão ISO 1.7799
É um padrão de normas internacionais para gerenciamento desegurança da informação. A ISO é organizada em dez principaissessões, e cada uma cobre diferentes tópicos e áreas.
A ISO define os dez pilares de segurança da informação que devemser regularmente seguidos pela empresas que desejam sercertificadas:
Plano de continuidade de negócios;
Políticas de controle de acesso;
Políticas de desenvolvimento e manutenção de sistemas;
Políticas de segurança física e de ambiente;
58
Políticas de segurança pessoal;
Políticas de gerenciamento dos computadores e das redes;
Políticas de controle e classificação de ativos;
Política global de segurança da informação;
Análise de conformidade;
Aspectos legais.
59
Auditoria na ISSO 1.7799
É a verificação das atividades do sistema e a determinação do quefoi feito, por quem, quando e o que foi afetado. A auditoria aplica-senão apenas à verificação de atividades de usuários não autorizados,mas também dos usuários autorizados.
Em aplicações críticas, o nível de detalhes nos registros de auditoriapode ser suficiente a ponto ser suficiente a ponto de permitirdesfazer operações para ajudar a trazer o sistema a um estadocorreto de operação.
O processo de auditoria é essencial para verificação documprimento das políticas de segurança da informação naorganização.
60
61
