Segurança em Redes

de Computadores
Agora é tarde ...
Bem vindos à fabrica de paranóias
 Isso não vai dar certo !...

Por que os
atuais
sistemas de
tratamento
da
informação
são
inseguros?
Respostas:

0 Modelo humano!!!
0modelo de Von Newmann;
0ainda fazemos assim ! ...
0evolução e disponibilidade
de
recursos computacionais;
0somos capazes de quebrar
paradigmas?
0poderíamos fazer diferente?
Ingenuidade e prepotência

0todos farão bom

uso;
0vocês nunca vão
compreender,
apostamos na sua
ignorância, essa
tecnologia está
acima da sua
capacidade ...
A Arte da Guerra - Sun Tzu

0 “ A arte da guerra nos ensina

a não contar com a
probabilidade de que o
inimigo não nos venha atacar,
mas contar com a nossa
capacidade em defrontá-lo, na
nossa certeza de termos
tornado nossa posição
inatacável.”
Conceitos básicos
0Segurança: qualidade ou estado de
seguro.
0 Seguro:livre de riscos, perigos ou
ameaças, infalível, certo, indubitável...
0 Em resumo: isso existe ?!
0 Podemos não garantir, mas
podemos dar um certo
trabalho ...

Mas por onde eu começo?

Comece conhecendo o
que você quer proteger ...

0 Estados da informação:

0 geração e/ou percepção;

0 armazenada;

0 em transmissão.
... e de quem !!!

z Mascomo eu vou saber de quem?

?????????????????????????????
?????????????????????????????
?????????????????????????????
?????????????????????????????
?????????????????????????????
?????????????????????????????
?????????????????????????????
?????????????????????????????
Resposta: de todos

z Elenão tem nacionalidade;

z Não tem nome;
z Não tem biotipo;
z Não tem perfil;
z Pode não ser ele, mas eles!
z Em um determinado momento
pode até nem ser humano!
Serviços:

z Descreveo que se espera de

um sistema seguro, o que ele
deve oferecer.
Confidencialidade:

0Assegura que a
informação será
acessível somente a
quem de direito e na
forma de direito,
incluindo aqui o acesso à
informação do fato de
que a informação existe.
Autenticidade:

0Assegura que a
informação é realmente
da fonte que declara ser.
Integridade:

0Assegura que somente

partes devidamente
autorizadas tenham acesso
para modificar informações
armazenadas ou em trânsito.
Por acesso de modificação
entenda: editar, mudar o
estado de acesso (leitura,
gravação, execução), delir,
criar, retardar ou reenviar
informações em trânsito.
Não repúdio:

0Assegura que nem o

emissor nem o receptor
de uma informação
possam negar o fato.
Disponibilidade:

0Requer que os recursos

de um sistema gestor da
informação estejam
disponíveis às partes
autorizadas quando
solicitadas e na forma de
direito.
Conclusão:
Mecanismos:

0Quando falamos em
mecanismos, nos
referimos aos recursos
disponíveis e que podem
ser utilizados para
oferecer os serviços
descritos anteriormente.
Tipos de Mecanismos:

z Preventivos;

z De supervisão;

z De recuperação.
Mecanismos preventivos:

0 Planejamento ambiental

0Controle de acesso;
0Acessibilidade;
0Climatização;
0instalações elétricas;
0Cofres;
0alarmes, ...
Mecanismos preventivos:

0 Proteção física da
informação
0dispositivos de
armazenamento;
0Controle de acesso físico
ao sistema cabeado.
Mecanismos preventivos:

0Proteção lógica da
informação
0Criptografia;
0Firewall;
0VPN;
0Proxy;
0 ...
Mecanismos preventivos:

0Capacitação de recursos
humanos
0qualificação e
requalificação do grupo de:
0 desenvolvimento;
0Manutenção;
0Suporte;
0 qualificação dos usuários;
0 suporte aos usuários, ...
 Mecanismos de supervisão:
0 Avaliaçãoconstante do estado do
sistema com a utilização de
ferramentas de monitoração
0Scanners;
0sistemas de gerência de redes;
0verificações periódicas das condições
ambientais;
0análise de relatórios dos sistemas (logs);
0tudo que foge à normalidade deve ser
investigado.
(busque sempre por anormalidades!)
Mecanismos de recuperação:

0Plano de contingência;
0Backup;
0Site espelho;
0Vou ter que digitar tudo
novamente?
0Meus correntistas não vão
gotar ...
(e agora?)
Bem, mas voltando à nossa pergunta ...

0pare de me
enrolar e diga
logo por onde
eu começo !
Más notícias:

0Comece por todos os

lados! Infelizmente não
nos é permitido
negligenciar qualquer
dos aspectos da
segurança.
Más notícias:

0Data a dificuldade de fazer o

que o primeiro tópico
estabelece, poderíamos
graduar a dificuldade de se
implantar segurança no que
eu considero serem os três
principais pontos a serem
atacados
Grau de dificuldade: (2)

0Segurança física:
0Diria que esta é a mais
simples de todas porque
envolve apenas e pouca
interação com os usuários
recursos financeiros (um
bom contrato de trabalho
resolve todos os problemas
de rebeldia!)
Grau de dificuldade: (3)

0Segurança tecnológica:
0Neste quesito estão
envolvidos: recursos
financeiros, analistas,
programadores, pessoal de
suporte, de manutenção,
enfim o pessoal que está
diretamente ligado ao
tratamento da informação
Grau de dificuldade: (5)

0USUÁRIOS:
0Neste quesito estão envolvidos:
usuários mal treinados, usuários
insatisfeitos, usuários
demissionários, usuários mal
intencionados, pseudo-usuários,
usuários ...
0Manutenção da motivação e
consciência acerca da segurança
Fazer o que, né?

0Mas sem os
usuários o nosso
trabalho não teria
o menor sentido!
Motivações para um ataque:
0Prazer;
0Auto-afirmação;
0ganho não autorizado à
informação;
0negar responsabilidade por uma
informação que o fraudador tenha
realmente gerado;
0alegar ter recebido uma informação
de outra fonte sendo que ele mesmo
tenha gerado a informação;
0personificação de outra pessoa para
fugir de algum tipo de
responsabilidade ou também para
fazer uso das prerrogativas da vítima
tais como: criar informações de
modo fraudulento, modificar a
legitimidade de uma informação,
ganhar algum tipo de acesso não
autorizado, autorizar transações
fraudulentas ou endossar tais
transações;
0ampliar direitos de acesso/uso de
licenças;
0modificar direitos de acesso/uso de
outros;
0alegar ter enviado uma informação
a outro usuário mas que na
realidade não o tenha feito;
0Usar sua banda;
0Usar seus recursos de
armazenamento;
0Vingança;
0aprender quando e quais acessos
são feitos a uma determinada
informação, mesmo que esta
informação não seja legível;
0fraudar uma transação de modo
que ela seja entendida como uma
falha do sistema;
0alterar um software, normalmente
pela inserção de um código
malicioso;
0...
Classificação dos ataques:

0Passivos:
0São caracterizados pelo
acesso à informação para
conhecimento e/ou análise,
algo típico de
monitoramento de uma rede
(sniffing);
Classificação dos ataques:

0Ativos:
0Este tipo de ataque envolve
algum tipo de modificação da
informação ou a criação de uma
informação falsa e pode ser
subdivido em quatro categorias:
Classificação dos ataques:
0Mascaramento (falsidade
ideológica);
0Reutilização de uma informação
(retransmissão de um quadro ou
uma mensagem);
0Modificação da informação;
0Recusa de serviço (DoS);
Ciclo de vida de sistemas seguros:

0Passo 1 – planejamento
da segurança da
informação (análise de
riscos e da relação
custo/benefício);
0Passo 2 – projeto,
instalação e configuração
dos sistemas de proteção;
Ciclo de vida de sistemas seguros:

0Passo 3- Operação de
gerência dos sistemas
seguros:
0hardware/software,
0sistemas operacionais,
0banco de dados,
0aplicações,
0redes de comunicação
0...
Ciclo de vida de sistemas seguros:

0Passo 4 – Auditoria da
segurança da informação.
Volte ao passo 1!
Conclusões:
Conclusões:
Segurança física:

0 Instalações prediais
0Localização estratégica;
0Controle de acesso;
0Acessibilidade/layout;
0Climatização;
0Iluminação;
0Resistência à intempéries.
Instalações elétricas

0 Rede de alimentação
0 Proteção contra descargas
atmosféricas
0 Estabilização
0 Sistema de fornecimento
ininterrupto de energia
(No-Breack)
0 Aterramento
Controle de acesso:

0 Sistema de identificação
0A identificação de usuários é feita
com base em um ou mais dos
seguintes aspectos:
0O que somos: baseado na identificação
biométrica:
0digitais;
0mapa facial;
0exame de retina;
0voz;
0 ...
(este assunto será detalhado adiante)
Controle de acesso:
0O que portamos: chaves, carteiras de
identificação, cartões magnéticos,
circuitos micro-processados externos ou
internos ao nosso corpo, ...
0 O que sabemos: senhas, dados pessoais,
parte de uma informação, ...

Ex.: Caixa eletrônico de auto-atendimento:

É necessário portar um cartão com tarja
magnética e saber uma ou duas senhas
(fracas!)
Algumas URL´s (p’ra começar):
0http://www.cert.org
0http://www.cert.br
0http://www.modulo.com.br
0http://www.infoguerra.com.br/index.php3
0http://www.sans.org/
0http://www.rnp.br/cais/
0http://www.security.unicamp.br/
0http://www.lockabit.coppe.ufrj.br/
0http://www.mhavila.com.br/link/security/
0http://vxchaos.cjb.net/