Captulo 2 Conceitos de Segurana Fsica e Segurana Lgica

2.1 Introduo 2.2 Segurana Fsica

2.2.1 Segurana externa e de entrada 2.2.2 Segurana da sala de equipamentos 2.2.3 Segurana dos equipamentos 2.2.4 Redund ncia l!gica 2.2." Segurana no #ornecimento de energia 2.2.$ No-break 2.2.% &erador 2.2.' Sal(aguarda )backup* 2.2.+ ,ortador de papel

 2.3 Segurana -!gica

2.3.1 Firewalls 2.3.2 .utenticao e autori/ao 2.3.3 0etectores de intrusos 2.3.4 Redes (irtuais pri(adas )1234s*

2.1 Introduo
Segurana #sica ambiente Segurana lgica programas . segurana comea pelo am5iente #sico

No adianta investir dinheiro em esquemas sofisticados e complexos se no instalarmos uma simples porta para proteger fisicamente os servidores da rede.

. segurana l!gica de(e ocorrer ap!s a segurana #sica6 atra(7s de softwares e protocolos

2.2 Segurana Fsica

.5range todo o am5iente onde os sistemas de in#ormao esto instalados8

pr7dio portas de acesso trancas piso salas computadores

Requer a9uda da engen:aria ci(il e el7trica . norma 3;R IS<=I>, 1%%++82??1 di(ide a @rea de segurana #sica da seguinte #orma8

 Areas de segurana

permetro da segurana #sica controles de entrada #sica segurana em escrit!rios6 salas e instalaBes de processamento tra5al:ando em @reas de segurana isolamento das @reas de expedio e carga instalao e proteo de equipamentos #ornecimento de energia segurana do ca5eamento manuteno de equipamentos segurana de equipamentos #ora das instalaBes reutili/ao e alienao segura de equipamentos poltica de mesa limpa e tela limpa remoo de propriedade

Segurana dos equipamentos

,ontroles gerais

2.2.1 Segurana externa e de entrada

2roteo da instalao onde os equipamentos esto locali/ados6 contra8

entrada de pessoas no autori/adas cat@stro#es am5ientais

< pr7dio de(e ter paredes s!lidas e nCmero restrito de entradas e sadas >(itar 5aixadas onde a @gua possa se acumular D enc:entes >(itar @reas muito a5ertas D descargas atmos#7ricas >m qualquer lugar6 usar p@raEraios Fsar muros externos e manter a @rea limpa D queimadas

 ,ontrole de acesso #sico nas entradas e sadas8

tra(as alarmes grades (igilante :umano (igil ncia eletrGnica portas com sen:a carto de acesso registros de entrada e sada de pessoas e o59etos

Funcion@rios que tra5al:am na instituio de(em ser identi#icados com crac:@s com #oto 1isitantes de (em usar crac:@s di#erenciados por setor (isitado Hodos #uncion@rios de(em ser respons@(eis pela #iscali/ao

2.2.2 Segurana da sala de equipamentos

.grega todo o centro da rede e os ser(ios que nela operam >ntrada somente de pessoal que tra5al:a na sala Registro de todo o pessoal que entra e sai . sala de(e ser trancada ao sair 0e(e #ornecer acesso remoto aos equipamentos < conteCdo da sala no de(e ser (is(el externamente .l7m do acesso inde(ido6 a sala de(e ser protegida contra8

(andalismo #ogo inter#erIncias eletromagn7ticas #umaa gases corrosi(os poeira

 Se poss(el6 uso de salasEco#re

2.2.

Segurana dos equipamentos

>(itar o acesso #sico aos equipamentos

acesso ao interior da m@quina )hardware* acesso utili/ando dispositi(os de entrada e sada )console*

2roteger o setup do ;I<S Hornar inati(os 5otBes de setup e liga=desliga no ga5inete

colocar sen:a no ;I<S iniciali/ao apenas pelo disco rgido

2.2.! "edund#ncia
So comuns #al:as de hardware6 causadas por acidentes ou #adiga de componentes mec nicos e eletrGnicos JHodo sistema computacional um dia (ai #al:arK pelos moti(os acima $%&F8 $%%"8 ean !ime "etween Failures ean !ime !o #epair

< mecanismo mais importante para tolerar #al:as 7 a redund ncia

redund ncia de ser(idores redund ncia de #onte de alimentao redund ncia de discos )R.I0* redund ncia de equipamentos redund ncia de (entilao redund ncia de inter#aces de rede

2.2.' Segurana no (ornecimento de energia

&eralmente o #ornecimento de energia 7 de responsa5ilidade da concession@ria6 e pode apresentar8

(ariao de tenso interrupo do #ornecimento

2ara garantir a disponi5ilidade da in#ormao 7 preciso garantir o #ornecimento constante de energia e que ela este9a dentro da tenso recomendada

#iltro de lin:a esta5ili/ador de tenso no-break soluo mista gerador

2.2.) Sal*aguarda +backup,

< processo de 5acLup en(ol(e segurana #sica e l!gica

#sica8 arma/enamento das mdias l!gica8 so#tMare de 5acLup

;acLup 7 o Cltimo recurso no caso de perda de in#ormaBes8

garantia de que ele no (@ #al:ar garantir de que ele este9a dispon(el e acess(el quando necess@rio 5aixo custo alta capacidade

NardMare mais utili/ado para 5acLup so as #itas

 . mdia de backup pode ser a Cnica #orma de restaurar a in#ormao8

proteger contra rou5o proteger contra cat@stro#es naturais :@ co#res especiais para arma/enamento de mdias

2r@tica simples e e#iciente 7 o arma/enamento externo ou off-site

quanto maior a dist ncia6 mel:or arma/enadas em co#re e=ou criptogra#adas

2.2.- .icotador de papel

Ouita in#ormao ainda reside no papel8

#ol:as de pagamento contraEc:eques extratos etc

>sse material de(e ser descartado de tal #orma que no caia em mos erradas e=ou que sua reconstruo se9a in(i@(el >xistem di(ersos tipos de picotadores de papel8

cortam o papel em tiras cortam o papel em diagonal picam o papel

2.

Segurana lgica

,ompreende os mecanismos de proteo 5aseados em software

sen:as listas de controle de acesso criptogra#ia firewall sistemas de deteco de intruso redes (irtuais pri(adas

2. .1 Firewalls
Re#erIncia Ps portas cortaE#ogo respons@(eis por e(itar que um incIndio em uma parte do pr7dio se espal:e #acilmente pelo pr7dio inteiro 3a In#orm@tica8 pre(ine que os perigos da Internet )ou de qualquer rede no con#i@(el* se espal:em para dentro de sua rede interna Fm firewall de(e sempre ser instalado em um ponto de entrada=sada de sua rede interna >ste ponto de entrada=sada de(e ser Cnico < firewall 7 capa/ de controlar todos os acessos de e para a sua rede

 <59eti(os espec#icos de um firewall8

restringe a entrada a um ponto cuidadosamente controlado pre(ine que atacantes c:eguem perto de suas de#esas mais internas restringe a sada a um ponto cuidadosamente controlado computadores roteadores con#igurao de redes software espec#ico

< firewall pode estar em8

2. .2 /utenticao e autori0ao
Autenticao consiste no processo de esta5elecer a identidade de um indi(duo

identi#icao e pro(a desta identi#icao algo que (ocI sa5e algo que (ocI tem algo que (ocI 7 mais simples de se implementar menor n(el de segurana e.g.8 sen:a no requer hardware especial

. pro(a consiste em trIs categorias8

.lgo que (ocI sa5e8

 .lgo que (ocI tem

um n(el a mais de segurana usu@rio de(e possuir algo para se autenticar e.g.8 carto magn7tico6 token FS; um in(asor pode se #a/er passar por um usu@rio legtimo caso este9a de posse do item necess@rio requer hardware especial mais segura trataEse de caractersticas espec#icas do indi(duo e.g.8 impresso digital6 leitura de ris6 recon:ecimento de (o/ uso de dispositi(os 5iom7tricos8 custo ele(ado

.lgo que (ocI 7

 2ossi5ilidade de se com5inar m7todos de autenticao distintos Autorizao esta5elece o que o usu@rio pode #a/er ap!s a autenticao8 .,-4s e permissBes .plicaEse a qualquer acesso a qualquer recurso8

arqui(o dispositi(o rede c:amada de sistema de programao

,riao de per#il8 cont7m todas as permissBes para cada recurso que um usu@rio poder@ utili/ar

2. .

1etectores de intruso

IDS )$ntrusion %etection &'stems*8 respons@(eis por analisar o comportamento de uma rede ou sistema em 5usca de tentati(as de in(aso 2I1S )(ost $%&*8 monitora um host espec#ico 3I1S )Network $%&*8 monitora uma segmento de rede Fm I0S utili/a dois m7todos distintos8

deteco por assinaturas deteco por comportamento semel:ante Ps assinaturas de anti(rus associam um ataque a um determinado con9unto de pacotes ou c:amadas de sistema no s! detecta o ataque como tam57m o identi#ica exige atuali/aBes #requentes do #a5ricante

0eteco por assinaturas8

 0eteco por comportamento8

o5ser(a o comportamento da rede em um perodo normal6 e o compara com o comportamento atual da rede di#erena signi#icati(a entre os comportamentos6 o I0S assume que um ataque est@ em andamento utili/a m7todos estatsticos ou inteligIncia arti#icial detecta ataques descon:ecidos no sa5e in#ormar qual ataque est@ em andamento amadurecimento da tecnologia di#erena entre os am5ientes

Falsos positi(os e #alsos negati(os

2. .! "edes *irtuais pri*adas

VPN ))irtual *rivate Networks*8 #orma 5arata de interligar duas redes pri(adas )Intranet* atra(7s da Internet

ligao entre dois firewalls ou entre dois ser(idores de 123 para interligar duas redes inteiras ligao entre uma estao na Internet e ser(ios locali/ados dentro da rede interna )Intranet* a criptogra#ia de(e ser r@pida o su#iciente para no comprometer o desempen:o entre as redes a criptogra#ia de(e ser segura o su#iciente para impedir ataques

123 emprega criptogra#ia em cada pacote tra#egado

 1antagens8

su5stituio de lin:as dedicadas a custo 5aixo uso de in#raEestrutura 9@ existente dados sens(eis tra#egando em rede pC5lica sens(el aos congestionamentos e interrupBes que ocorrem na Internet

0es(antagens8

2.! /ti*idades
1. Imagine trIs situaBes reais onde se aplicam a autenticao e a autori/ao. 2rocure identi#icar que categorias de autenticao #oram utili/adas e qual #oi a autori/ao conce5ida. >xistem n(eis di#erentes de autori/aoQ .note as situaBes e discuta com os colegas e o pro#essor. 2. >la5ore6 com o m@ximo de detal:es6 um pro9eto de segurana #sica para um pr7dio que cont7m todos os ser(idores importantes e os equipamentos centrais da rede de uma uni(ersidade. . seguir6 alguns aspectos importantes a considerar. Ftili/e a Internet para o5ter mais in#ormaBes so5re os equipamentos usados.
a. 5. c. d. e. #. g. sala de ser(idores sala de equipamentos de rede )pode ser a mesma dos ser(idores* conteno de cat@stro#es )enc:entes6 incIndios6 raios* proteo das in#ormaBes )backup* controle de acesso garantia de #ornecimento de energia redund ncia