Escolar Documentos
Profissional Documentos
Cultura Documentos
Conc Segura Nca
Conc Segura Nca
SEGURANA
INTRODUO
A segurana de um sistema ou rede informticos abrange
diversos aspectos complementares (ex.: autenticao de
utilizadores, encriptao da informao transmitida), que
usam um conjunto diversificado de mecanismos de
segurana. Esses mecanismos existem para fazer face a
ALGUNS CONCEITOS
O problema da segurana em redes ou sistemas pode ser
decomposto em vrios aspectos distintos sendo os mais
relevantes:
Autenticao, pretende garantir que as entidades
intervenientes numa comunicao, so quem afirmam
ser. A autenticao o processo atravs do qual
validada a identidade de um utilizador, dispositivo ou
processo.
Confidencialidade, considera as vertentes de segurana
que limitam o acesso informao apenas s entidades
autorizadas
(previamente
autenticadas),
sejam
utilizadores, mquinas ou processos
NECESSIDADES DE SEGURANA
AMEAAS SEGURANA
Podem ser classificadas em trs tipos:
Hackers
Crackers
Pontuao
1a5
1a5
1a5
1a5
1a5
1a5
1a5
actividade financeira?
Existem servidores expostos
So usadas redes publicas para os dados sensiveis
(Internet, Frame Relay, X25, RDIS)?
A actividade da organizao altamente especializada?
A organizao teve um crescimento muito rpido?
A organizao tem tido muita visibilidade nos media?
Os utilizadores so especialistas em informtica?
TOTAL ---
1a5
1a5
1a5
1a5
1a5
1a5
13 a 65
NVEL DE SEGURANA
Identificado o potencial de ataque, h que decidir sobre o
nvel de segurana a estabelecer para uma dada rede ou
sistema.
Quais os bens a proteger?
Recursos fsicos
Recursos lgicos
Devem ser quantificados os custos associados aos ataques e
os custos de implementao de mecanismos de proteco
que minimizam as probabilidades da sua ocorrncia.
Na determinao dos mecanismos a adoptar devero ser
tidos em conta os seguintes aspectos:
POLITICAS DE SEGURANA
De acordo com o RFC 2196 (The Site Security Handbook),
uma poltica de segurana consiste num conjunto formal de
regras que devem ser seguidas pelos utilizadores dos
recursos de uma organizao.
As polticas de segurana fornecem um enquadramento
para a implementao dos mecanismos de segurana,
definem procedimentos de segurana adequados, processos
de auditoria segurana e estabelecem uma base para
procedimentos legais na sequncia de ataques.
Uma poltica de segurana deve ser tcnica e
organizacionalmente exequvel, deve definir claramente as
reas de responsabilidade dos utilizadores, do pessoal de
gesto de sistemas e redes e do pessoal de direco. Deve
tambm ser suficientemente flexvel para se adaptar a
alteraes na organizao.
As principais regras para a definio de uma boa poltica
de segurana podem ser assim resumidas:
Ser facilmente acessvel a todos os membros da
organizao.
ENCRIPTAO E AUTENTICAO
ENCRIPTAO
Os mecanismos de encriptao e desencriptao da
informao recorrem basicamente a um ou mais algoritmos
para codificao/descodificao da informao e uma ou
mais chaves.
Quanto maior for o nmero de bits para a chave de
encriptao, mais difcil se torna a sua descoberta por
mtodos de fora bruta.
Existem duas categorias bsicas de mecanismos de
encriptao:
Encriptao simtrica (Symmetric Key Encriptation)
Encriptao assimtrica (Asymetric Key Encriptation)
Na encriptao simtrica (tambm designada de
encriptao com chave secreta (Secret Key Encriptation),
utilizada a mesma chave para as operaes de encriptao e
desencriptao.
Como se percebe critica a necessidade de serem mantidas
secretas as chaves.
um mecanismo usado para garantia de confidencialidade,
uma vez que pode ser implementado em hardware.
PriB
PubA
PubB+PriA
PubA+PriB
Confidencialidade
Autenticao e no
repudio
Autenticao, no
repudio e
confidencialidade
AUTENTICAO
As funes de autenticao estabelecem a identidade de
utilizadores e/ou sistemas tendo em vista a determinao
das aces permitidas.
Os mtodos de autenticao mais frequentes baseiam-se na
utilizao de palavras chave (passwords).
Dada a fragilidade dos mecanismos da password, tm sido
desenvolvidos vrios mtodos para as tornar mais seguras.
Basicamente esses mtodos encriptam as passwords e
adicionalmente modificam a encriptao de forma a que o
valor encriptado seja diferente de encriptao para
encriptao.
Vrios mtodos utilizam os mecanismos de password para
autenticar utilizadores, sendo particularmente importantes
para os protocolos usados em dial-In, por ex. o PPP
(Point-to-Point Protocol).
O PPP suporta vrios mecanismos de autenticao,
nomeadamente o PAP (Password Authentication Protocol),
o CHAP (Challenge Handshake Authentication Protocol) e
o EAP (Extensible Authentication Protocol)
GESTO DE CHAVES
Grande parte dos mecanismos de segurana depende da
utilizao de chaves - secretas ou publicas para a garantia
de aspectos como a confidencialidade, integridade,
autenticao ou o no repdio.
A gerao, manuteno e distribuio de chaves por isso
um dos factores crticos para a garantia da segurana nas
comunicaes.
A distribuio de chaves um dos principais problemas da
gesto de chaves.
Distribuio de chaves secretas, pode ser:
distribuda, usam-se algoritmos que permitem que os
intervenientes na comunicao possam estabelecer e
ou trocar uma chave secreta sem interveno de
terceiros
centralizada, utilizada uma terceira entidade, trusted
third party , que funciona como centro de distribuio
de chaves de sesses.
Distribuio de chaves publicas, tem que ser feita de
forma a que seja garantida a autenticidade das chaves
publicas.
O mecanismo utilizado para garantia da autenticidade das
chaves publicas o mecanismo de certificados digitais, que
obedecem normalmente recomendao X.509 da ITU-T e