Segurança da

Informação

Prof. Walter Cunha

Rede LFG
 Prof. Walter Cunha
Contatos:
• E-mail:
– falecomigo@waltercunha.com
– timasters@yahoogoups.com
• Atividades:
–http://www.waltercunha.com/blog/
–http://twitter.com/TIMasters/
 Escopo
• Abordar os tópicos de informática mais
cobrados pelas principais bancas.
• Familiarizar o concursando com os
tipos de questões mais freqüentes.
• Indicar fontes de material e métodos de
aprendizado complementares
 Não-Escopo
• Ser um curso predominantemente
de resolução de exercícios
• Escovar Bits (Necessário à PF!)
• Ensinar procedimentos específicos
de invasão
 Programa
• A Informação • Backup
• Conceitos- • Autenticação
Chave • Criptografia
• Ameaças • Soluções
• Ataques Populares
• Defesa • Normas Mundiais
 Bibliografia
• Segurança de Redes em Ambientes Cooperativos -
Fundamentos, Técnicas, Tecnologias, Estratégias -
Nakamura
http://www.submarino.com.br/produto/1/1974957?franq=271796

• Redes de Computadores - Andrew Tanenbaum 4ª Ed

http://www.submarino.com.br/produto/1/56122?franq=271796

• Gestão da Segurança da Informação Uma Visão

Executiva - Marcos Sêmola
http://www.submarino.com.br/produto/1/189323?franq=271796
 Bibliografia
• Criptografia e Segurança de Redes - Stallings,
William
http://www.submarino.com.br/produto/1/21329443?franq=271796

• Boas Práticas em Segurança da Informação - Manual

do TCU (2003)
• Cartilha de Segurança para Internet – CERT
• ABNT ISO/IEC 17799 e 27001
 Parte II
Segurança da Informação
Prof. Walter Cunha
 Defesa
Visão Top - Down
Barreiras de Segurança
• Desencorajar – Meios de inibição.
Ex. Câmeras de Vídeo
• Dificultar – Controles de Acesso.
Ex.Criptografia
• Discriminar – Gerir os acessos.
Ex. Autenticação
Barreiras de Segurança
• Detectar – Identificar Situações de
Risco. Ex. Alertas.
• Deter – Restringir o
Comprometimento. Ex. Botão do
Pânico
• Diagnosticar – Estudar as situações e
Realimentar o Sistema.
 Importante!
Para o atacante basta encontrar
UM único ponto de falha,
enquanto os profissionais de
segurança devem defender o
ambiente contra TODOS os riscos
conhecidos, e também contra os
futuros.
PSI
 PSI – Latu Sensu
Conjunto de diretrizes, normas,
procedimentos e instruções de
trabalho que estabelecem os critérios
de segurança para serem adotados no
nível local ou a institucional, visando o
estabelecimento, a padronização e a
normalização da segurança tanto no
âmbito humano quanto tecnológico.
PSI – Strictu Sensu
Conjunto de diretrizes gerais
destinadas a proteção a ser dadas
a ativos da organização. (Default)
Palavras-Chave
• Diretrizes
• Princípios
• Linhas Mestras
PSI – Strictu ou Latu?
Como saber?
Resp: Pelo contexto da questão
e/ou pelo das questões
adjacentes.
 PSI (Estratégico)
A PSI é o primeiro de muitos
documentos com informações cada
vez mais detalhadas.
• PSI
– Normas
• Procedimentos
– Atividades
 Norma (Tático)
Documento composto por todas as
regras de segurança da Empresa,
concretizando em detalhe as linhas
orientadoras estabelecidas na Política
de Segurança. Aqui deverão estar
referenciadas as tecnologias utilizadas
na Empresa e a forma segura de as
utilizar.
Procedimento (Oper.)
Deve incluir todas as etapas
necessárias para a execução de
determinado trabalho. Deverá
abordar os eventuais riscos que os
executantes estarão sujeitos e
também eventuais riscos que os
usuários do trabalho em foco
possam vir a ser expostos.
 PSI - Características
• Estratégica
• Respaldada
• Ostensiva
• Obrigatória
• Atualizada
• Adequada
• Aderente
 PSI - Objetivos
Prover uma orientação e apoio
da direção para a segurança da
informação de acordo com os
requisitos do negócio e com as
leis e regulamentações
relevantes.
 PSI - Impactos
• Redução da probabilidade de
ocorrências danosas
• Redução dos danos
• Recuperação de eventuais danos.
• Otimização dos Recursos, não
necessariamente redução.
 PSI - Temas
• definição de segurança da informação,
suas metas globais, escopo e
importância
• declaração do comprometimento da
direção
• metas e princípios alinhados aos
objetivos e estratégias do negócio
• estrutura para estabelecer os objetivos
de controle e os controles
 PSI - Temas
Explanação das políticas conformidade
específicos para a organização,
incluindo:
• conformidade com a legislação
• requisitos de conscientização,
• gestão da continuidade do negócio;
• conseqüências das violações
 PSI - Temas
Definição das responsabilidades
gerais e específicas na gestão da
segurança da informação,
incluindo o registro dos incidentes
de segurança da informação
 PSI - Temas
Referências à documentação que
possam apoiar a política, por
exemplo, políticas e
procedimentos de segurança mais
detalhados de sistemas de
informação específicos ou regras
de segurança que os usuários
devem seguir.”
 PSI – Parte Geral
• Declaração de Autoridade
• Audiência Aplicável
• Procedimentos de Relato de
Violação e Execução
• Avaliação de Risco
• Auditoria de Segurança
 PSI – Parte Funcional
• Políticas de Senha
• Requisitos de Treinamento
• Configurações de Segurança para
Dispositivos
• Administração dos Ativos
 PSI – Elaboração
É recomendável que na estrutura da
organização exista uma área
responsável pela segurança de
informações, a qual deve iniciar o
processo de elaboração da política de
segurança de informações, bem como
coordenar sua implantação, aprová-la
e revisá-la, além de designar funções
de segurança
 PSI – Manutenção
• análise periódica da efetividade da
política
• avaliados o custo e o impacto dos
controles na eficiência do negócio
• Reformulação diante de
acontecimentos significativos
• deve ter um gestor responsável
 PSI – Implantação
• Identificação dos recursos críticos;
• Classificação das informações;
• Definição, em linhas gerais, dos objetivos
de segurança a serem atingidos;
• Análise das necessidades de segurança
(identificação das possíveis ameaças,
análise de riscos e impactos);
• Elaboração de proposta de política;
• Discussões abertas com os envolvidos;
 PSI – Implantação
• Apresentação de documento formal à
gerência superior;
• Aprovação;
• Publicação;
• Divulgação;
• Treinamento;
• Implementação;
• Avaliação e identificação das mudanças
necessárias;
• Revisão.
 PSI – Violação
Quando detectada uma violação, é
preciso averiguar suas causas,
conseqüências e circunstâncias em
que ocorreu. Pode ter sido derivada
de um simples acidente, erro ou
mesmo desconhecimento da PSI,
como também de negligência, ação
deliberada e fraudulenta.
 PSI – Violação
Essa averiguação possibilita que
vulnerabilidades até
então desconhecidas pelo pessoal da
gerência de segurança passem a ser
consideradas, exigindo, se for o caso,
alterações na PSI.
 Planos
• PCN - Plano de Continuidade do
Negócio
• PPD - Plano de Prevenção de
Desastres
• PC - Plano de Contingência (PC)
• PCO - Plano de Continuidade
Operacional
• PDR Plano de Recuperação de
Desastres
 PCN (Global)
Plano Global que prescreve o que
deve ser feito antes (PPD) durante
(PC/PCO) e depois do desastre (PRD).
 PPD Antes
Deve prever eventos que possam
afetar a operação do sistema e definir
medidas para lidar com essas
ocorrências. Entre os elementos de
um plano de prevenção de desastres
bem-sucedido estão a redundância
geográfica e o armazenamento
remoto de fitas de backup.
 PC, PCO Durante
É um plano para situações de
emergência, operações de backup, e
recuperação após desastre, mantido
por uma atividade que faz parte de
um programa de segurança que
garanta a disponibilidade dos recursos
críticos e facilite a continuidade de
operações numa situação de
emergência.
 PDR Depois
Orienta de forma concisa como
recuperar um ambiente de
tecnologia após um incidente, seja
esta recuperação em um site
alternativo (DR Site ou Site DR)
ou no mesmo site.
 Hot Site
Recebe este nome por ser uma
estratégia pronta para entrar em
operação assim que uma situação
de risco ocorrer. O tempo de
operacionalização desta estratégia
está diretamente ligado ao tempo
de tolerância à falhas
 Warm Site
Esta se aplica a objetos com maior
tolerância à paralisação, podendo se
sujeitar à indisponibilidade por mais
tempo, até o retorno operacional da
atividade. Por exemplo, o serviço de e-mail
dependente de uma conexão e o processo
de envio e recebimento de mensagens é
mais tolerante podendo ficar indisponível
por minutos, sem, no entanto,
comprometer o serviço ou gerar impactos
significativos
 Cold Site
Propõe uma alternativa de
contingência a partir de um ambiente
com os recursos mínimos de infra-
estrutura e telecomunicações,
desprovido de recursos de
processamento de dados. Portanto,
aplicável à situação com tolerância de
indisponibilidade ainda maior
 PSI na
Administração Pública
 Decreto n.º 3.505
O Decreto n.º 3.505, de
13.06.2000, instituiu a Política de
Segurança da Informação nos
órgãos e entidades da
Administração Pública Federal.
 Decreto n.º 3.505
Objetivos:
Necessidade de capacitação e
conscientização das pessoas
lotadas nos órgãos e entidades da
Administração Pública Federal
quanto aos aspectos de segurança
da informação
 Decreto n.º 3.505
Objetivos:
Necessidade de elaboração e
edição de instrumentos jurídicos,
normativos e organizacionais que
promovam a efetiva
implementação da segurança da
informação
 Decreto n.º 3.505
Versa:
• padrões relacionados ao emprego
dos produtos que incorporam
recursos criptográficos.
• normas gerais para uso e
comercialização dos recursos
criptográficos
 Decreto n.º 3.505
Versa:
• normas, padrões e demais
aspectos necessários para
assegurar a confidencialidade dos
dados
• normas relacionadas à emissão de
certificados de conformidade
 Decreto n.º 3.505
Versa:
• normas relativas à implementação dos
sistemas de segurança da informação,
com intuito de garantir a sua
interoperabilidade, obtenção dos
níveis de segurança desejados e
permanente disponibilização dos
dados de interesse para a defesa
nacional
 Decreto nº 3.505
Ainda:
• prevê a concepção, especificação
e implementação da infra-
estrutura de chaves públicas - ICP
a ser utilizada pelos órgãos e
entidades da Administração
Pública Federal.
Segurança de Hosts
 Antivírus
Faz a varredura de arquivos
maliciosos disseminados pela Internet
ou correio eletrônico.
Basicamente, sua função está atrelada
à ponta do processo, isto é, ao
usuário que envia e recebe dados.
Exemplos: Norton, AVG, Avast!,
Mcafee, etc.
 Anti-Spyware

Complento ao antivírus, encontra

e bloqueia spywares conhecidos e
desconhecidos. Exemplo:
Windows Defender, Spybot, etc.
 Anti-Spam
Baseiam-se na idéia de analisar o
texto da mensagem a fim de obter
a probabilidade de ela ser ou não
um spam. Atualmente vem sendo
integrado nos gerenciadores de e-
mail e webmail.
 Firewall
Dispositivo baseado em software ou
hardware utilizado em redes de dados
que protege, uma determinada parte
da rede, do acesso externo de
utilizadores não autorizados.
Exemplos: Zone Alarm do Zonelbs,
Firewall-1da Check Point, etc.
 IDS (HIDS)
Meios técnicos de descobrir em
um computador quando esta está
tendo acessos não autorizados
que podem indicar a ação hacker
ou até mesmo funcionários mal
intencionados.
Suíte de Segurança
Ferramentas de segurança agrupadas
em um só pacote para proteger o
computador das ameaças digitais.
Inclui normalmente: anti-vírus,
firewall, AntiSpyware, bloqueador de
pop-ups, etc. Todas estas aplicações
são geridas em uma única interface.
Segurança de Redes
 Filosofias de Defesa
• Perimetral – Defesa de um
perímetro
• Setorial – Cada setor tem seus
níveis de segurança
• Pessoal – Cada usuário tem seu
nível de segurança
 Filosofia de Liberação
• Bloqueia tudo e só permite o que for
expressamente autorizado pela PSI

• Libera tudo e só bloqueia o

expressamente negado pela PSI
 Filosofia de Controle
• Controle Discricionário
Utilizados para conceder privilégios a
usuários de uma maneira específica
(como leitura, inclusão, exclusão ou
atualização).
 Filosofia de Controle
• Controle Mandatório:
Utilizados para impor a segurança em
vários níveis por meio da classificação
dos dados e dos usuários em várias
classes de segurança (ou níveis) e,
depois, pela implementação da
política de segurança adequada da
organização.
 Menor Privilégio
O princípio de ter um menor privilégio
requer que cada tarefa no sistema
seja executada com menor privilegio
para as tarefas autorizadas. A
aplicação com esse princípio diminui o
risco onde possa resultar em um
incidente de segurança, ou acesso não
autorizado.
 Hardening
É um processo de mapeamento das
ameaças, mitigação dos riscos e execução
das atividades corretivas - com foco na
infra-estrutura e objetivo principal de
torná-la preparada para enfrentar
tentativas de ataque. Normalmente, o
processo inclui remover ou desabilitar
nomes ou logins de usuários que não
estejam mais em uso, além de serviços
desnecessários.
 Hardening
Normalmente, o processo inclui:
• remover ou desabilitar nomes ou
logins de usuários que não estejam
mais em uso
• Remover serviços desnecessários.
• Limitar o software instalado àquele
que se destina à função desejada do
sistema
 Hardening
Normalmente, o processo inclui:
• aplicar e manter os patches atualizados,
tanto de sistema operacional quanto de
aplicações
• revisar e modificar as permissões dos
sistemas de arquivos , em especial no que
diz respeito a escrita e execução
• reforçar a segurança do login, impondo
uma política de senhas fortes
*Obs: Cuidado para não virar “Stressening”
 Coadjuvantes
• VLAN
– Isolamento lógico do Tráfego

• NAT
– Impossibilita a conexão direta entre a rede
externa e a rede interna por conta dos IP não
roteáveis.

• ACL*
 Scanners*
Produtos que permitem realizar
verificações regulares em
determinados componentes de rede
como servidores e roteadores. O
objetivo destas ferramentas é
encontrar brechas de sistemas ou
configurações
 Assessment
Pré-checagem (avaliação) dos
computadores para saber se eles
estão seguros para se conectar a rede
ou não.

Obs.: Ter cuidado para não virar

“Stressment”
 Importante!
O Controle Acesso atualmente é
implementadas nas portas dos
Switches de borda (802.1x)
 Integradores
Permite centralizar o gerenciamento
de diferentes tecnologias que
protegem as operações da rede. Mais
que uma solução, trata-se de um
conceito.
 VPN
Rede virtual privada que utiliza redes
públicas (Ex: Internet) como infra-
estrutura. Utilizam criptografia e outros
mecanismos de segurança para garantir
que somente usuários autorizados possam
ter acesso a rede privada e que nenhum
dado será interceptado enquanto estiver
passando pela rede pública.
 DMZ
É uma pequena rede situada entre
uma rede confiável e uma não
confiável, geralmente entre a rede
local e a Interne. Função do firewall,
possibilita que algumas máquinas que
necessitam tenham acesso irrestrito à
internet.
Ex. DNS, E-mail Externo, Site.
 Honeypot*
APARENTA manipular dados e/ou
aplicações muito importantes para a
organização, mas seu único propósito
é interagir com um atacante
potencial. Assim, os detalhes da
técnica e do ataque em si podem ser
capturados e estudados.
Firewall
 Firewall
Cumpre a função de controlar os
acessos. São soluções que, uma vez
estabelecidas suas regras, passam a
gerenciar tudo o que deve entrar e
sair da rede corporativa.
 Importante!
Esqueça a discussão infrutífera de
tentar determinar se Firewall é
hardware ou software. Firewall é um
serviço! O mesmo raciocínio pode
utilizado para: roteador, switch,
Proxy, Nat, etc.
Appliance é o equipamento específico
que embarca determinado serviço
 Tipos de Firewall
• Filtro de Pacotes (Stateless)
• Filtro de Pacotes baseado em Estados
(statefull)
• Gateway de Aplicação (Proxy)
 Firewall Stateless
Funciona na camada de rede e de
transporte da pilha TCP/IP, de
modo que realiza as decisões com
base nas informações do
cabeçalho de pacotes.
 Firewall Stateless
Critérios:
• endereço de origem
• endereço de destino
• a porta de origem
• a porta de destino e a
• direção das conexões
 Notas
É possível observar o sentido das
conexões com base nos flags SYN,
SYN-ACK e ACK do handshake do
TCP.

ACL geralmente indica filtragem de

pacotes.
 Importante!
A filtragem das conexões UDP e ICMP
feita pelo firewall são um pouco
diferentes:
• UDP - não é possível filtrar os pacotes
no sentido das conexões, pois o UDP
não é orientado a conexões, não
existindo flags;
• ICMP - a filtragem é feita com base no
tipo de código das mensagens.
 Stateless: Vantagens
• Baixo Overhead
• Barato, simples e flexível
• Indicado para o gerenciamento de
tráfego
• Transparente para o usuário
Stateless:Desvantagens
• Conexão direta entre hosts e meio
externo
• Difícil gerenciar em ambientes
complexos
• Não oferece autenticação de usuário
• Problemas com serviços que utilizam
portas dinâmica
• Problema com fragmentação de
pacotes
 Firewall Stateful
Tomam decisões de filtragem tendo
como referência dois elementos:
• As informações do cabeçalho dos
pacotes de dados, como no filtro de
pacotes.
• Uma tabela de estados, que guarda os
estados de todas as conexões.
 Firewall Stateful
O firewall trabalha verificando
somente o primeiro pacote de cada
conexão, de acordo com as regras de
filtragem. A tabela de conexões que
contém informações sobre o estado
das mesmas ganha uma entrada
quando o pacote inicial é aceito, e os
demais pacotes são filtrados
utilizando-se as informações da tabela
de estados.
 Stateful: Vantagens
• Aberturas temporárias do
perímetro da rede
• Baixo overhead/Alto desempenho
• Aceita quase todos os tipos de
serviços
Stateful: Desvantagens
• Ainda permite conexão direta
• Ainda não oferece autenticação de
usuário
Gateway de APlicação
Funciona por meio de relays de
conexões TCP, ou seja, o usuário
se conecta a um porta TCP no
firewall, que então abre outra
conexão com o mundo exterior.
 Gateway de APlicação
O proxy pode trabalhar tanto:
• na camada transporte (circuit
level gateway) quanto
• na camada de aplicação
(application level gateway)
 Proxy: Perfumaria
O Proxy funciona como um
deamon e não utiliza um
mecanismo geral de controle de
tráfego, mas sim um código
especial para cada serviço a ser
feito.
 Proxy: Perfumaria
Alguns proxies podem também
podem:
• Realizar WEB cache, comuns em
proxies http
• Filtragem de e-mails
• Inspecionam conteúdos de
downloads
 Proxy: Vantagens
• Não permite conexões diretas
entre os meios externo e interno
• Aceita autenticação do usuário
• Analisa comandos da aplicação no
payload dos pacotes de dados
• Permite criar logs do tráfego de
atividades específicas
 Proxy: Desvantagens
• É mais lento que os filtros de
pacotes (somente o application)
• Requer um proxy específico para
cada aplicação
• Não trata paco ICMP
• Não aceita todos os serviços
 Importante!
Não é produto que garantir a
segurança necessária, mas, sim,
a política de segurança definida e
sua implementação.
Firewall: Arquiteturas
• Dual Homed
• Screenedhost
• Screenedsubnet
 Dual Homed
Formada por um equipamento que
tem duas interfaces de rede, funciona
como um separador entre as redes.
Os sistemas internos têm de ser
conectados ao firewall para que
possam se comunicar com os
servidores externos e vice-versa, mas
nunca diretamente.
Dual Homed
 Screened Host
Formada por um filtro de pacotes e
bastion host, este dentro da rede
interna. O filtro deve ter regras que
permitam o tráfego para a rede
interna somente por meio do bastion
host, de modo que os usuários que
queiram acessar um sistema da rede
interna devem, primeiramente, se
conectar ao bastion host.
Screened Host
 Screened Subnet
O bastion host fica na DMZ, uma
zona de confinamento entra a
rede externa e a redes interna, a
qual fica entre os filtros de
pacotes.
Screened Subnet
 IDS
Intrusion Detection System
 IDS
Estas ferramentas têm a função de
monitorar o tráfego contínuo da rede,
identificando ataques que estejam em
execução. Como complemento do firewall,
o IDS (Intrusion Detection System) se
baseia em dados dinâmicos para realizar
sua varredura, como por exemplo, pacotes
de dados com comportamento suspeito,
códigos de ataque e outros.
 IDS
• Deve rodar continuamente sem
interação humana
• Ser tolerante a falhas, de forma a não
ser afetado por uma queda do
sistema, ou seja, sua base de
conhecimento não deve ser perdida
quando o sistema for reinicializado
 IDS
• Resistir a tentativas de mudança
(subversão) de sua base, ou seja,
deve monitorar a si próprio de forma
a garantir sua segurança
• Ter o mínimo de impacto no
funcionamento do sistema
• Poder detectar mudanças no
funcionamento normal
 IPS
Um IPS (Intrusion Prevention
System), além de identificar uma
intrusão, consegue ainda analisar
a relevância do evento/risco e
bloquear determinados eventos
(tratamento da ameaça), de
acordo com regras ou heurísticas
predefinidas
 Tipos de IDS
Segundo o mecanismo de
detecção:
• Detecção de anomalias
• Reconhecimento de assinaturas
 Tipos de IDS
Segundo o ponto de implantação:
• Host Based (HIDS)
• Net Based (NIDS)
• Híbrico – conjunção dos dois
 HIDS: Vantagens
• Verificação com base nos logs
• Detecta ataques que ocorrem
fisicamente na máquina
• Detecta ataque que passam
criptografados na rede
• Independente de tecnologia de rede
• Número reduzido de falso positivos
 HIDS: Desvantagens
• Difícil de gerenciar
• Dependente do S.O.
• Independe da arquitetura da Rede
• Consome espaço e processamento
do sistema
 NIDS: Vantagens
• Os ataques podem ser
identificados em tempo real
• Detecta também tentativas de
ataques
• Difícil de perder os rastros
• Difícil de ser detectado
 NIDS: Desvantagens
• Perdas de pacotes em redes
saturadas
• Dificuldade de compreensão de
protocolos de aplicação específicos
(Ex. SMB)
• Não é capaz de monitorar tráfego
criptografado
• Dificuldades de utilização em redes
segmentadas (switches)
 NIDS: Sensores
• Swiched Port Analyzer – Portas
SPAN de switches ou hubs
• Modo Tap – inseridos como uma
extensão da rede
• Modo Inline – fisicamente no
caminho da informação
 NIDS: Sensores
• Port Clustering – todos os
tráfegos agregados em um só
stream de dados
• Múltiplas interfaces – um sensor
atuando em diferentes segmentos
da rede.
IDS: Falso Positivo
Ocorre quando a ferramenta
classifica uma ação como uma
possível intrusão, quando na
verdade trata-se de uma ação
legítima
IDS: Falso Negativo
Ocorre quando uma intrusão real
acontece mas a ferramenta
permite que ela passe como se
fosse uma ação legítima;
 IDS: Subversão
Ocorre quando o intruso modifica
a operação da ferramenta de IDS
para forçar a ocorrência de falso
negativo.
Autenticação
 Identificação
A identificação é a função em que o
usuário declara uma determinada
identidade para um sistema,
enquanto que a autenticação é
responsável pela validação de
identidade do usuário.
Ator: usuário.
 Autenticação
Autenticação é o processo de validação
das credenciais de uma pessoa, processo
computacional ou dispositivo. Requer que
a pessoa, o processo ou o dispositivo que
fez a solicitação forneça uma
representação de credenciais que
comprove sua identidade.
Ator: Sistema.
 Autorização
Mecanismo responsável por
efetivamente garantir que usuários
autorizados consumam, de acordo
com perfis pré-estabelecidos, os
recursos protegidos de um sistema
computacional.
Ator: Sistema.
 Pilares da Segurança
• Autenticação
• Autorização
• Auditoria
 Autenticação Forte
A autenticação e conseqüente autorização
de manipulação dos dados se baseiam em
algo que o indivíduo:
• sabe (uma senha, por exemplo),
• tem (dispositivos como tokens, cartões
inteligentes (smatcards), etc)
• é (biometria: leitura de íris, linhas das
mãos, etc);
Bastam duas para ser considerado forte.
 Senhas
Conjunto de dígitos alfa-numérico
atribuídos ao usuário de sistema
computacional que permite o acesso a
esse sistema.

Obs: As senhas são consideradas o

segundo elo mais fraco da corrente
 Quebra de Senhas
• Adivinhação
• “Pesca”
• Vazamento
• Captura
• Força Bruta
• Etc.
 Senha Fraca
Deverão estar fora de sua lista de senhas:
• Nomes
• Sobrenome
• números de documentos
• placas de carros
• números de telefones e
• Datas
• Palavras de Dicionário
 Tokens
Também conhecidos como
memory tokens, esses
dispositivos apenas armazenam
informações, ou seja, não as
processam.
 Certificado Digital
Arquivo eletrônico assinado
digitalmente, que contém dados
de uma pessoa ou instituição,
utilizados para comprovar sua
identidade (smart tokens)
 Métodos do Smart
• Troca de Senhas Estáticas
• Geração Dinâmica de Senhas
• Desafio-Resposta
 Biometria
Um sistema biométrico analisa uma
amostra de corpo do usuário:
• Impressão Digital (único) (+usado)
• Íris (único)
• Voz
• Veias das Mãos
• Reconhecimento Facial (+usado)
 Biometria
Vantagens:
• Utilização de Fatores Intrínsecos

Desvantagens
• Preocupação com o armazenamentos
dessas informações
• Higiene
 Zephyr Chart
Escala de Avaliação:
• Nível de Intrusão
• Nível de Esforço
• Nível de Precisão
• Custo
Single Sign-On (SSO)
Permite ao usuário acessar diversos
sistemas diferentes, de um modo
transparente e unificado, por meio de
uma única autenticação.

Por outro lado, se esta for

comprometida, o acesso a todos os
sistemas também o será.
Backup
 Backup
Refere-se à cópia de dados de um
dispositivo para o outro com o
objetivo de posteriormente os
recuperar (os dados), caso haja
algum problema.
 Recomendações
• Fazer cópias regularmente
• Guardar as cópias em locais
diferentes
– Um conjunto perto para recuperação
– Um conjunto longe para segurança
(principal)
• Testar o procedimento de
recuperação periodicamente.
Marcadores (Atributos)
Refere-se à cópia de dados de um
dispositivo para o outro com o
objetivo de posteriormente os
recuperar (os dados), caso haja
algum problema.

Obs: os marcadores são utilizados

atualmente também para indexação.
 Tipos de Backup
• Completo*
• Incremental*
• Diferencial*
• Diário
• Cópia
 Backup Completo
Limpa os marcadores. Faz o backup
de arquivos e pastas selecionados.
Agiliza o processo de restauração,
pois somente um backup será
restaurado.
Backup Incremental
Não limpa os marcadores. Faz o
backup somente de arquivos e pastas
selecionados que foram alterados
após o ultimo backup.
Backup Diferencial
Limpa os marcadores. Faz o backup
somente de arquivos e pastas
selecionados que foram alterados
após o ultimo backup.
 Backup Diário
Não limpa os marcadores. Faz o
backup de arquivos e pastas
selecionados que foram alterados
durante o dia.
 Backup Cópia
Não limpa os marcadores. Faz o
backup de arquivos e pastas
selecionados.
Estratégia de Backup
Combinação de vários tipos de
backup de modo a conciliar a
salvaguarda das informações com a
otimização dos recursos.
 Armazenamento
• Fita Digital
• Mídia Óptica
• Robôs
• DAS - Direct Attached Storage
• NAS - Network Attached Storage
• SAN - Storage Area Network
Direct Attached Storage
• Discos ou outros dispositivos
diretamente conectados a servidores
• USB 2.0, Firewire.
• Pequenas Empresas (até 50 Usuários)
Network Attached Stor.
• Servidores Dedicados
• IDE e SCSI (Atualmente PATA)
• Empresas Médias (50 a 500 usuários)
Storage Área Network
• Redes de Alta velocidade (Servidores
e Dispositivos)
• Gigabit e Fiber Chanel
• Grandes Empresas (+500 usuários)
• Maior desempenho e escalabidade
 Importante
RAID não é Backup!
• RAID – Medida de Redundância
• Backup – Medida de Recuperação de
Desastre
Fim da Parte II