Você está na página 1de 6

Segurança Operacional – Firewall

(FIREWALL, IDS, IPS, AUTENTICAÇÃO)

1. Firewall  MASCARA O ENDEREÇO DO HOST EXTERNO


DISPOSITIVO DE SEGURANÇA QUE MONITORA O  FILTRAM PACOTES.
TRÁFEGO DE ENTRADA E SAÍDA NA REDE , ALÉM DE
DECIDIR PERMITIR OU BLOQUEAR TRÁFEGOS ATENÇÃO!! FIREWALL QUE TRABALHA NA CAMA DE
APLICAÇÃO NÃO ATUA NA CAMADA DE REDE, LOGO
ESPECÍFICOS DE ACORDO COM UM CONJUNTO DEFINIDO NÃO DESCARTAM PACOTES EM NÍVEL DE REDE IP.
DE REGRAS DE SEGURANÇA.
O FW PROXY IMPLEMENTA O DEEP INSPECTION, OU
O FIREWALL É O ELEMENTO DE BORDA DA REDE QUE
INSPEÇÃO PROFUNDA. ESSE RECURSO PERMITE QUE
CONCENTRA A ENTRADA E SAÍDA DE PACOTES NA
SEJA VERIFICADO O CONTEÚDO DOS PACOTES
REDE. (“CHOKE POINT” OU PONTO ÚNICO DE ENTRADA)
IMPEDINDO ATAQUES QUE SE UTILIZEM DO CONTEÚDO
DOS PACOTES TRAFEGADOS. (NÃO É NATURAL DO FW
CONTROLE DE AUTENTICAÇÃO E REGISTRO DE
TIPO PROXY)
TRAFEGO
- NO FIREWALL A AUTENTICAÇÃO DE USUÁRIOS OCORRE→
CAMADA DE APLICAÇÃO. 3. Arquiteturas
- SÓ PROTEGE AQUILO QUE PASSA POR ELE E ESTÁ CONFORME DUAL HOMED-HOST. HÁ UM COMPUTADOR
A POLÍTICA DE SEGURANÇA. CHAMADO DUAL-HOMED HOST QUE FICA ENTRE UMA
- O DEVER DO FIREWALL É FILTRAR, NÃO FAZ VARREDURA DE REDE INTERNA E A REDE EXTERNA(INTERNET). O
ARQUIVOS / NÃO PROTEGE ATAQUES INTERNOS.
NOME SE DEVE AO FATO DE ESTE HOST POSSUIR AO
MENOS DUAS INTERFACES DE REDE, UMA PARA CADA
2. Tecnologias de Firewall
“LADO”.

DUAL-HOMED: DUAS INTERFACES DE REDE, UMA PARA


A REDE INTERNA E OUTRA PARA A REDE EXTERNA;

SCREENED HOST. EM VEZ DE HAVER UMA ÚNICA


MÁQUINA SERVINDO DE INTERMEDIADORA ENTRE A
REDE INTERNA E A REDE EXTERNA, HÁ DUAS: UMA QUE
FAZ O PAPEL DE ROTEADOR(SCREENING ROUTER) E
→ Filtro de
OUTRA CHAMADA DE BASTION HOST.
Pacotes. OPERA
NA CAMADA DE REDE E DE TRANSPORTE (RT). É “O bastion host atua entre o roteador e a rede
PERMITIDO A COMUNICAÇÃO DIRETA. DIVIDE-SE EM: interna, não permitindo comunicação direta entre ambos
 Stateless → Sem Estado.
os lados. Perceba então que se trata de uma camada extra
 Statefull → COM ESTADO. (MEMÓRIA RAM É
IMPORTANTE) de segurança: a comunicação ocorre no sentido rede
interna – bastion host – screening router – rede externa e
MAIS PRIMITIVO DE IMPLEMENTAÇÃO DE FIREWALLS. vice-versa”
TAMBÉM CONHECIDO COMO FIREWALL ESTÁTICO.
ATUA NA CAMADA DE REDE, CAPAZ DE OBTER
ALGUMAS INFORMAÇÕES DA CAMADA DE
TRANSPORTE. A SUA CAPACIDADE BÁSICA SERIA SCREENED HOST: FIREWALL + BASTION HOST,
PERMITIR A FILTRAGEM A PARTIR DOS ENDEREÇOS DE CUSTOMIZADO PARA ACESSOS EXTERNOS A SERVIÇOS
ORIGEM E DESTINO, BEM COMO AS PORTAS DE DE FORMA SEGURA;
ORIGEM E DESTINO. DESSE MODO, PODEMOS DEFINIR
OS SERVIÇOS QUE SERÃO PERMITIDOS A PARTIR DAS
PORTAS DE OPERAÇÃO. SCREENED SUBSET. CONTA COM A FIGURA DO BASTION
HOST, MAS ESTE FICA DENTRO DE UMA ÁREA ISOLADA
PERMITE A CONEXÃO DIRETA ENTRE CLIENTE E DE NOME INTERESSANTE: A DMZ, SIGLA
SERVIDOR DESDE QUE NÃO CONTRARIE AS REGRAS DE PARA DEMILITARIZED ZONE – ZONA
FILTRAGEM PRESENTE NO FIREWALL. NÃO FILTRA NADA DESMILITARIZADA. A DMZ FICA ENTRE A REDE
CONTIDO NO SEU PAYLOAD. INTERNA E A REDE EXTERNA. ACONTECE QUE, ENTRE A
REDE INTERNA E A DMZ HÁ UM ROTEADOR QUE
INSPECIONA CADA PACOTE INDIVIDUALMENTE.
NORMALMENTE TRABALHA COM FILTROS DE PACOTES.
ALÉM DISSO, ENTRE A DMZ E A REDE EXTERNA HÁ
→ Proxy. UM SERVIDOR QUE AGE COMO UM
INTERMEDIÁRIO PARA REQUISIÇÕES DE CLIENTES OUTRO ROTEADOR DO TIPO.
SOLICITANDO RECURSOS DE OUTROS SERVIDORES.
OPERA NA CAMADA DE APLICAÇÃO TCP/IP
AVERIGUANDO AS INFORMAÇÕES DOS CABEÇALHOS SCREENED-SUBNET HOST: CRIAÇÃO DE UMA DMZ A
QUE FAZEM PARTE DESSA CAMADA, MAS NÃO VERIFICA PARTIR DO USO DE 2 FIREWALLS.
CONTEÚDO DE PACOTES.
 
 REALIZA A TROCA DE PORTAS. BASTION HOST. SERVIDOR ESPECIALIZADO
 NÃO PERMITE A CONEXÃO DIRETA ENTRE PARA FORNECER SERVIÇOS AO PÚBLICO EXTERNO.
CLIENTE E SERVIDOR. DESSE MODO, É MUITO BEM CUSTOMIZADO, COM
REGRAS DE SEGURANÇA MAIS RÍGIDAS QUE MITIGUEM (IDS → DETECTA)
OS POSSÍVEIS RISCOS DE COMPROMETIMENTO DESSES Ferramenta passiva.
SERVIDORES. Funções do IDS:
 COLETA AS INFORMAÇÕES; ANALISA AS
 DMZ. É UMA SUBREDE QUE SE SITUA ENTRE UMA
REDE CONFIÁVEL E UMA REDE NÃO CONFIÁVEL
INFORMAÇÕES;
PROVENDO ASSIM ISOLAMENTO FÍSICO ENTRE AS  ARMAZENA AS INFORMAÇÕES; RESPONDE
DUAS REDES. A IDEIA É CRIAR UMA ÁREA DE ÀS ATIVIDADES SUSPEITAS;
SERVIÇOS COMUNS QUE PODEM SER ACESSADOS Características do IDS:
TANTO POR USUÁRIO EXTERNOS (INTERNET – REDE  REALIZAR DETECÇÃO COM BASE EM TIPO DE
NÃO CONFIÁVEIS) COMO POR USUÁRIOS INTERNOS CONHECIMENTO, COMO: ASSINATURA DE
(INTRANET – REDE CONFIÁVEL). ATAQUES E DESVIO DE COMPORTAMENTO;
 DISPOSITIVO FALHA, O IDS PODE RECONHECER O
 NAT. POSSIBILITA A CRIAÇÃO DE UMA CAMADA DE PROBLEMA E NOTIFICAR O RESPONSÁVEL;
SEGURANÇA ATRAVÉS DO CONCEITO DE  CAPAZ DE DETECTAR E ALERTAR OS
SEGURANÇA POR OBSCURIDADE. DESSA FORMA, ADMINISTRADORES QUANTO A POSSÍVEIS ATAQUES
USUÁRIOS EXTERNOS NÃO CONSEGUEM IDENTIFICAR OU COMPORTAMENTOS ANORMAIS NA
EM UM PRIMEIRO MOMENTO OS ENDEREÇOS ORGANIZAÇÃ;
INTERNOS DE UMA REDE CORPORATIVA POIS SÓ  CAPAZ DE REALIZAR UMA ANÁLISE ESTATÍSTICA
TERÁ ACESSO AO ENDEREÇO PÚBLICO UTILIZADO DO PADRÃO DE ATIVIDADE;
POR ESSA REDE.  NECESSITA DA CONFIGURAÇÃO DE REGRAS.
SELINUX
→ ENFORCING. REGRAS ATIVAS E LOGS DE TODAS
IPS
OPERAÇÕES SÃO GERADOS.
SISTEMA DE PREVENÇÃO DE INTRUSO, TEM
→ PERMISSIVE. REGRAS DESATIVADAS, LOGS DE TODAS
CAPACIDADE DE IDENTIFICAR UM INTRUSÃO, ANALISAR
OPERAÇÕES SÃO GERADAS.
A RELEVÂNCIA DO EVENTO OU RISCO E BLOQUEAR
→ DISABLED. REGRAS E LOGS ESTÃO DESATIVADAS.
AÇÃO SUSPEITA OU INDEVIDA.
4. Notas
IPS → PREVINE, ALERTA E BLOQUEIA. (P →
 O FW É CAPAZ DE PROTEGER O COMPUTADOR TANTO
DE ATAQUES DE CRACKERS QUANTO DE ATAQUES
PREVINE)
DE VÍRUS. (CESP DE COMO C)  IDS QUE OPERAM EM MODO INLINE
 O SERVIÇO DE FW PODE SER UTILIZADO PARA  DETECTAR E PREVENIR OS ATAQUES. REALIZA
MONITORAR OS ACESSOS OU AS TENTATIVAS DE BLOQUEIO.
ACESSO A DETERMINADOS RECURSOS DE UMA REDE.  ADMITE POSICIONAMENTO ANTES E DEPOIS DO
 SELINUX NÃO DEVE SER CONFUNDIDO COM FILTROS FIREWALL.
DE PACOTES IPTABLES DO LINUX.  FERRAMENTA ATIVA.
 FW DE FILTRO DE PACOTES TRABALHA COM LISTA  DESCARTA PACOTES, REDEFINE CONEXÃO E
DE TRAFEGO DO QUE É PERMITIDO OU O QUE DEVE BLOQUEIA TRÁFEGO.
SER BLOQUEADO.
 NÃO HÁ RELAÇÃO ENTRE O PROXY E O ASPECTO DE Diferenças
FILTRAR PACOTES QUE SE BASEIAM EM ROUTERS. IDS IPS
 FW, IDS E IPS NÃO TEM A MESMA FINALIDADE. O FW Se recuperam do ataque. 1. Previnem o ataque.
SEPARA DUAS REDES BLOQUEANDO TRÁFEGO Geram alarmes. Executam contramedidas
INDESEJADO. (P) (interrupção flux0 de dados)
 IDS E IPS PODEM SER BASEADOS EM ASSINATURAS Natureza: passiva (detecta Trabalha em modo
OU COMPORTAMENTOS. mas ñ barra o ataque) e ativa INLINE com o firewall.
 SPLITING WIRE OU OPTICAL TAP: TÉCNICAS (pós detecção)
USADAS PELO IDS PRA MONITORAR O TRÁFEGO DE Atuará maioria das vezes Atuará maioria das vezes
EQUIPAMENTOS CONECTADOS AO SWITCHES. (P)
com Base de com Base de
 PORT MIRROR: ESPELHAMENTO DO TRÁFEGO DE
UMA PORTA DE COMUNICAÇÃO A OUTRA. (P)
Conhecimento Comportamento
 A POLITICA DE ACESSO TEM TUDO A VER COM O - Falso Positivo + Falso Positivo
FW. A POLITICA DE ACESSO DETERMINA O TIPO DE
FW E REGRAS A SEREM APLICADAS. (P) Análises Resultados Possíveis
 O FW DEFENDE DE ATAQUES DE FALSIFICAÇÃO E a) Normal
ROTEAMENTO IP.  Tráfego suspeito  detectado como suspeito.
 O FW NÃO É USADA EXCLUSIVAMENTE PARA  Tráfego legitimo  detectado como legítimo.
FUNÇÕES DE INTERNET, DEFENDE CAMADAS
b) Anormal
INTERNAS NA REDE.
 WIPS → DISPOSITIVO QUE MONITORA O ESPECTRO  Tráfego suspeito  não detectado.
DE ONDAS DE RÁDIO, BUSCANDO IDENTIFICAR A  Tráfego legitimo  detectado como suspeito.
PRESENÇA DE PONTOS DE ACESSO NÃO
AUTORIZADOS. ENVIA ALERTA AO ADM. DA REDE -- Autenticação e Biometria --
OU AO FW.
1. Terminologias e Conceitos
IDS- Intrusion Detection System
IDENTIFICAÇÃO: ATOR  USUÁRIO
FERRAMENTA UTILIZADA PARA MONITORAR O
TRÁFEGO DE REDE, DETECTAR E ALERTAR SOBRE  USUÁRIO DECLARA A IDENTIDADE PARA UM
ATAQUES E TENTATIVAS DE ACESSO INDEVIDO. SISTEMA.
MAIORIA DAS VEZES NÃO BLOQUEIA UMA AÇÃO, MAS
VERIFICA SE ESTA AÇÃO É OU NÃO UMA AMEAÇA PARA AUTENTICAÇÃO: ATOR  SISTEMA
UM SEGMENTO DE REDE.  VALIDAÇÃO DE IDENTIDADE DO USUÁRIO,
PROCESSO OU DISPOSITIVO. GARANTE QUE O INVASÃO, ACESSO DE USUÁRIOS
SUJEITO É A ENTIDADE QUE ELE AFIRMA SER. COMPROMETIDOS.
 APENAS O USUÁRIO DEVE TER ACESSO AOS
SISTEMAS E RECURSOS. IMPLICAÇÕES POSITIVAS
 MÉTODOS CONTROLE DE ACESSO EM GERAL  AUMENTO DE PRODUTIVIDADE.
AUTENTICAÇÃO PADRONIZAÇÃO POLÍTICA DE NOMES DE
ACESSO/SENHAS.
AUTORIZAÇÃO: ATOR  SISTEMA APLICAÇÃO CONSISTENTE NA POLÍTICA DE
 APÓS AUTENTICAÇÃO OCORRE A AUTORIZAÇÃO  ACESSO.
ACESSO AOS RECURSOS.
 APENAS O USUÁRIO DEVE TER ACESSO AOS 3. Biometria
SISTEMAS E RECURSOS. MÉTODO DE IDENTIFICAÇÃO DAS PESSOAS POR SUAS
 PERMISSÃO DADA DIRETA OU INDIRETAMENTE CARACTERÍSTICAS FÍSICAS OU COMPORTAMENTAIS.
PELO DONO DO RECURSO OU PELO SISTEMA PARA BASEIAM SEU FUNCIONAMENTO EM CARACTERÍSTICAS
SUA UTILIZAÇÃO CONFORME O PERFIL DO DIVERSAS: OLHOS, A FACE, PALMA DA MÃO,
USUÁRIO. IMPRESSÕES DIGITAIS, RETINA OU ÍRIS, AS VEIAS, A
ACESSO VOZ.
 OPERAR EM CIMA DOS RECURSOS  DISPONÍVEIS.
 CONTROLE DE ACESSO EXTERNO. Funções do Sistema Biométrico
 ACESSO AOS RECURSOS CONFORME O PERFIL DO a) VERIFICAÇÃO 1:1 → SOU QUEM AFIRMO SER?
USUÁRIO. - O TEMPLATE CAPTURADO NO PROCESSO DE
VERIFICAÇÃO É COMPARADO COM A INFORMAÇÃO
BIOMÉTRICA EXISTENTE NA BASE DE DADOS.
O QUE SEI?
- COMPARAÇÃO DE UMA IDENTIDADE CONTRA UMA
- É UMA SENHA, CHAVE OU PIN
ÚNICA IDENTIDADE.
- SEGURANÇA DEPENDE DO SIGILO  MAIS SIMPLES
- SO NÃO DEVE SE MANIFESTAR SE USUÁRIO E SENHA
b) IDENTIFICAÇÃO (1:N) → QUEM SOU?
FOR INVÁLIDO.
- COMPARAÇÃO DE UMA IDENTIDADE CONTRA
- RESPOSTA A UM DESAFIO
VÁRIAS IDENTIDADES.
- O TEMPLATE BIOMÉTRICO GERADO É COMPARADO A
TIPOS DE ATAQUES  PASSWORD GUESSING, PESCA TODOS OS REGISTROS EXISTENTES NA BASE DE
DE SENHA, SNIFFERS DE REDE, ACESSO A ARQUIVOS DADOS.
DE SENHA DO USUÁRIO, ATAQUES DE REPLAY,
ATAQUE DE DICIONÁRIO, FORÇA BRUTA,
Estágios da Biometria
KEYLOGGER.
1.CAPTURA. EXEMPLO FÍSICO OU COMPORTAMENTAL
É CAPTURADO PELO SISTEMA.
O QUE TENHO? 2.EXTRAÇÃO. DADO ÚNICO É EXTRAÍDO DO EXEMPLO
-TOKEN: ARMAZENA INFORMAÇÕES SEM PROCESSÁ- E UM TEMPLATE É GERADO. UM
LAS; USADO EM CONJUNTOS COM SENHAS; CARTÃO PADRÃO/MODELO/TEMPLATE É CRIADO.
COM VALOR ARMAZENADO; NÃO HÁ CPU NO CARTÃO 3.COMPARAÇÃO. O TEMPLATE É COMPARADO A UM
OS VALORES SÃO ALTERADOS POR PROCESSADORES NOVO EXEMPLO.
EXTERNOS. 4.COMBINAÇÃO. O SISTEMA DECIDE SE O ATRIBUTO
EXTRAÍDO DO NOVO EXEMPLO CONSTITUI UM PAR
-SMART CARD: CIRCUITO INTEGRADO; CERTO GRAU OU NÃO.
DE PROCESSAMENTO; CPUS DE 4MHZ COM MEMÓRIA
ROM OU RAM; CARTÕES INTELIGENTES; EMPREGADO
ATENÇÃO
OBJETO + SENHA; ARMAZENA E PROCESSA;
Segundo Tanenbaum
-> O SISTEMA BIOMÉTRICO É FORMADO POR 2 PARTES:
O QUE SOU? CADASTRAMENTO E IDENTIFICAÇÃO.
-BIOMETRIA: CARACTERÍSTICAS FÍSICAS OU -> NOME DE USUÁRIO É NECESSÁRIO, MEDIDAS NÃO
COMPORTAMENTAIS (PERMANENTES OU POUCO SÃO EXATAS, DIFICULTANDO A BUSCA 1:N
VARIÁVEIS). -> PROJETISTAS DEVEM DECIDIR O NÍVEL DE
SEMELHANÇA DO “MATCH”
-FATORES CONSIDERADOS: NÍVEL INTRUSÃO, DE -> CARACTERÍSTICA ESCOLHIDA DEVE TER UM NÍVEL
ESFORÇO, DE PRECISÃO E CUSTO. DE VARIABILIDADE SUFICIENTE QUE O SISTEMA
DISTINGUA, SEM ERROS, UMA ENTRE VÁRIAS
2. SSO – Single Sign On PESSOAS.

PROPOSTA DE RESOLUÇÃO DO PROBLEMA DE SENHAS. Índices Envolvidos na Biometria


ACESSO A VÁRIOS SISTEMAS DE MODO TRANSPARENTE
E UNIFICADO, POR MEIO DE ÚNICA AUTENTICAÇÃO. → FTE – Filure To Enrol Rate
- FALHA NO REGISTRO DOS ATRIBUTOS FÍSICOS.
CARACTERÍSTICAS - OS REGISTROS SÃO ARMAZENADOS EM BD
COMBINAÇÃO DE USUÁRIO E SENHA  ÚNICO CENTRALIZADO OU NUM CARTÃO INTELIGENTE.
ADMINISTRAÇÃO E MUDANÇAS PROPAGADAS
EM TODOS SISTEMAS → FNMR - False Non-Match Rate ou FRR → False Reject Rate
SEGURANÇA NAS SESSÕES DE LOGON E - NÃO ACEITAÇÃO DE UM INDIVÍDUO CORRETO.
ARMAZENAMENTO DE SENHAS - É UM FALSO POSITIVO.
ELIMINA MÚLTIPLAS AUTENTICAÇÕES - ÍNDICE AO QUAL PESSOAS AUTENTICAS E
REGISTRADAS SÃO REJEITADAS.
IMPLICAÇÕES NEGATIVAS
DESCOBERTA DA SENHA  ACESSO A TODOS OS → FMR – False Match Rate ou FAR → False Accept Rate
SISTEMAS. - IMPOSTOR PASSA.
REPOSITÓRIO CENTRAL CONSTITUI PONTO DE
- É UM FALSO NEGATIVO.  É CONSIDERADO UM DOS MÉTODOS BIOMÉTRICOS
- ÍNDICE AO QUAL PESSOAS NÃO AUTENTICAS E NÃO MAIS SEGUROS.
REGISTRADAS SÃO ACEITAS COMO PESSOAS  É AFETADO POR DOENÇAS QUE QUE OS PACIENTES
IDENTIFICADAS. SEQUER ESTÃO CIENTES.
 MAIS INVASIVA QUE A ANÁLISE DE ÍRIS.
→ EER - Equal Error Rate ou CER → Crossover Error Rate  ALTO CUSTO DO EQUIPAMENTO. POUCO
- ÍNDICE DE FALSA REJEIÇÃO = ÍNDICE DE FALSA UTILIZADA.
ACEITAÇÃO.
- BALANCEAMENTO DA FAR E FRR. 9. Íris
 CAPTURA DA IMAGEM FEITA EM PRETO E BRANCO.
Precisão de Cross Over  retina, íris e digital.
 EFICÁCIA ADEQUADA PRA IDENTIFICAÇÃO.
 BAIXO CUSTO DO EQUIPAMENTO
4. Impressão Digital
 UMA DAS TÉCNICAS BIOMÉTRICAS MAIS
 MÉTODO MAIS UTILIZADO DEVIDO AO BAIXO PRECISAS.
CUSTO DOS LEITORES E GRAU DE PRECISÃO.
 RECONHECIMENTO É FEITO COM PEQUENAS LINHAS
QUE HÁ NA PELE. -- Padrão Autenticação IEEE 802.1x --
 O SOFTWARE DESTACA ALGUNS PONTOS DESSAS
LINHAS E FORMA O DESENHO DE UM POLÍGONO.  MÉTODO CONTROLE DE ACESSO BASEADO EM
 NÃO É ARMAZENADO A FOTOGRAFIA DO DEDO PORTAS, DEFINIDO PELA IEEE.
SOMENTE O POLÍGONO DAS MINÚCIAS, TÁTICAS O  PODE EXIGIR AUTENTICAÇÃO MUTUA ENTRE O
QUE ECONOMIZA ESPAÇO EM DISCO. CLIENTE E A REDE.
a) PONTOS FRACOS. EQUIPAMENTO NÃO DISTINGUE 1  UTILIZA O EXTENSIBLE AUTHENTICATION
DEDO VIVO DE 1 DEDO MORTO. PROTOCOL (EAP) PARA AUTENTICAR O CLIENTE E
b) LIMITAÇÕES. NÃO REGISTRAR ALGUNS INDIVÍDUOS; VICE VERSA.
PERCEPÇÃO DE INTRUSÃO;  SE NÃO HOUVER AUTENTICAÇÃO AS
c) PRINCIPAIS UTILIDADES. IDENTIFICAÇÃO COMUNICAÇÕES NÃO SÃO PERMITIDAS.
CRIMINAL; CONTROLE DE ACESSO; IDENTIFICAÇÃO  TRABALHA COM USUÁRIO E SENHA OU
CIVIL; SEGURANÇA DE REDES; VIGILÂNCIA E CERTIFICADO DIGITAL.
FILTRAGEM;  PADRÃO ADOTADO PARA AUTENTICAÇÃO EM NÍVEL
DE PORTA EM REDES IEEE 802 CABEADAS OU SEM
5. Reconhecimento Facial FIO.
 MÉTODO MAIS NATURAL DE IDENTIFICAÇÃO
BIOMÉTRICO. Partes Envolvidas
 IDENTIFICAÇÃO AUTOMÁTICA É TAREFA DIFÍCIL NO MODELO 802.1X PADRÃO A AUTENTICAÇÃO DA
POIS A APARÊNCIA FACIAL TENDE A MUDAR A REDE CONSISTE DE TRÊS PARTES:
TODO TEMPO.  O REQUERENTE (CLIENTE)
 ÓCULOS, BARBA, BIGODE PODE CAUSAR REJEIÇÕES.  O AUTENTICADOR (PONTO DE ACESSO,
 TESTE ANIMADO P/ EVITAR FRAUDE POR SWITCH)
FOTOGRAFIA.  SERVIDOR DE AUTENTICAÇÃO (SA)

a) PONTOS FORTES. LARGA ACEITAÇÃO PÚBLICA, SÃO


USADAS ROTINEIRAMENTE EM DOCUMENTOS; SÃO Processo de Autenticação
MENOS INTRUSIVOS; DISPOSITIVOS DE BAIXO  FISICAMENTE → CLIENTE SE COMUNICA COM O
CUSTO; ACCESS POINT.
b) PONTOS FRACOS. ILUMINAÇÃO DEVE SER  O AP SE COMUNICA COM O SERVIDOR DE
CONTROLADA; APLICAÇÕES DE VERIFICAÇÃO EM AUTENTICAÇÃO ATRAVÉS DO PROTOCOLO
PEQUENA ESCALA; BIOMETRIA POBRE EM LARGA UDP/IP.
APLICAÇÕES EM LARGA ESCALA; FÁCIL DE FRAUDAR
 PONTO DE VISTA FÍSICO: CLIENTE → AP →
COM DISFARCES;
AUTENTICADOR
 PONTO DE VISTA LÓGICO: CLIENTE →
6. Veias das Mãos AUTENTICADOR
 AMPLIA SEGURANÇA E CONTROLE DE ACESSO A
SISTEMAS LOCAIS E RESTRITOS. MUITO Protocolo EAP
CONSISTENTE PARA IDENTIFICAÇÃO.
 RESPONSABILIDADE DE CRIAR UM CANAL
 CADA MÃO POSSUI UM PADRÃO DE VEIA ÚNICO E
LÓGICO DE COMUNICAÇÃO SEGURO ENTRE O
QUE NÃO SE ALTERAM COM A IDADE.
CLIENTE E O SERVIDOR DE AUTENTICAÇÃO.
 SISTEMA ADQUIRE UM PADRÃO MUITO
 USO DE UM SERVIDOR DE AUTENTICAÇÃO
DETALHADO DE VEIAS.
ISOLADO.
 PERMITE A CONEXÃO PARA A REDE NA CAMADA
7. Geometria das mãos e dedos 2, SOMENTE SE A AUTENTICAÇÃO FOR BEM
 ANALISAR E MEDIR O FORMATO DA MÃO. SUCEDIDA.
 CÂMERA CCD E ESPELHOS CAPTURAM A  TIPICAMENTE A AUTENTICAÇÃO É REALIZADA
INFORMAÇÃO 3D DA MÃO. USANDO UM SERVIDOR RADIUS E ALGUM TIPO DE
 NÃO EXISTE PESSOAS COM MÃOS IDÊNTICAS. BASE DE DADOS DE USUÁRIOS (RADIUS, NDS,
 É RAZOAVELMENTE RÁPIDO. POUCO ESPAÇO DE ACTIVE DIRECTORY, LDAP)
ARMAZENAMENTO.  DEFINE APENAS O FORMATO DAS MENSAGENS.
OS PROTOCOLOS QUE USAM ESSE PADRÃO DEFINE
8. Retina UMA FORMA DE ENCAPSULAR A MENSAGEM.
 O PADRÃO DE VEIAS DA RETINA É A
CARACTERÍSTICA COM MAIOR GARANTIA DE TIPOS DE AUTENTICAÇÃO EAP → SENHA (EAP-MD5
UNICIDADE QUE UMA PESSOA PODE TER. CHALLANGE) OU CERTIFICADO DIGITAL (EAP-LTS).
CONTINUA NO SERVIDOR CENTRAL. NECESSITA
EAP-MD5 CHALLANGE DOS RELÓGIOS INTERNOS DOS CLIENTES
 SENHA DE FORMA CIFRADA ATRAVÉS DO MD5 ESTEJAM SINCRONIZADOS COM O DELE.
 NÃO FORNECE NÍVEL DE SEGURANÇA ALTO  A SENHA NÃO TRAFEGA PELA REDE.
 USO CHAVE SECRETA
 NÃO HÁ COMO AUTENTICAR O SERVIDOR E NÃO Funcionamento do Kerberos
GERA CHAVE WEP
1º CLIENTE REQUISITA AO SA O TICKET-GRANTING
EAP CISCO WIRELESS TICKET (TGT) PARA O KERBEROS
 USADOS SOMENTE EM APS CISCO 2º O KERBEROS RETORNA AO CLIENTE O TGT
 SEGURANÇA DURANTE A TROCA DE JUNTAMENTE COM O SESSION KEY.
CREDENCIAIS, CRIPTOGRAFA OS DADOS 3º O CLIENTE REQUISITA O TICKET DE UM
TRANSMITIDOS USANDO CHAVES WEP, DETERMINADO SERVIÇO AO TICKET-GRANTING
SUPORTA AUTENTICAÇÃO MUTUA. SERVER (TGS).
 UTILIZA NOME DE USUÁRIO E SENHA, SUPORTA 4º O TGS RETORNA AO CLIENTE O TICKET DO SERVIÇO
CHAVE WEP. REQUISITADO.
5º O CLIENTE UTILIZA O TICKET PARA UTILIZAR O
EAP SPEKE SERVIÇO.
 USO DO MÉTODO SPEKE, PERMITE CLIENTE E
SERVIDOR COMPARTILHAR UMA SENHA DIAMETER
SECRETA O QUE PROPORCIONA UM SERVIÇO DE  PROTOCOLO AAA BASEADO NO RADIUS.
AUTENTICAÇÃO MÚTUA SEM USO DE  NÃO É COMPATÍVEL COM O RADIUS MAS
CERTIFICADOS DE SEGURANÇA. APRESENTA SEMELHANÇAS.
 USA TCP OU SCTP EM VEZ DE UDP.
EAP SRP (SENHA REMOTA SEGURA)
______________________________________________________ RADIUS
______________________________________________________  PROVÊ UM SISTEMA DE SEGURANÇA
____________________ CLIENTE/SERVIDOR ESCALONADO. ADAPTADO
PRA TRABALHAR COM PRODUTOS DE TERCEIROS
EAP TLS (segurança camada de transporte) OU SISTEMA DE SEGURANÇA PROPRIETÁRIO.
 BASEADO USO DE CERTIFICADOS EM AMBOS OS  SOFTWARE O HARDWARE QUE USE O
LADOS.
PROTOCOLO PODE SE COMUNICAR COM UM
 CONFIA NOS CERTIFICADOS DO LADO DO CLIENTE E
DO SERVIDOR PARA REALIZAR A AUTENTICAÇÃO
SERVIDOR RADIUS.
USANDO CHAVES WEP.  USADO EM PROVEDORES DE ACESSO À INTERNET.
 USO DE CRIPTOGRAFIA ASSIMÉTRICA. BASEADO EM UDP DE PERGUNTA E RESPOSTA.
 COMUNICAÇÃO ENTRE HOST E O CLIENTE 
Outros Protocolos Utilizados CAMADA DE ENLACE DO MODELO OSI. ENTRE O
PAP → Password Authentication Protocol CLIENTE E O SERVIDOR  CAMADA DE
 MAIS COMUM NOS PROVEDORES DE INTERNET. APLICAÇÃO.
 AUTENTICAÇÃO SENTIDO CLIENTE E SERVIDOR:  NAS  HOST QUE RECEBE SOLICITAÇÃO DO
NOME + PALAVRA CHAVE. CLIENTE E AUTENTICA ESSE PEDIDO AO SERVIDOR
 USADO APENAS NO INÍCIO DO RADIUS.
ESTABELECIMENTO DA CONEXÃO.  A COMUNICAÇÃO ENTRE CLIENTE E SERVIDOR É
CHAP → Challange Handshake Authentication ENCRIPTADA ATRAVÉS DE CHAVE SECRETA QUE
Protocol NUNCA É ENVIADA PELA REDE.
 USADO NO INÍCIO DA CONEXÃO OU A  PROTOCOLO AAA  AUTENTICAÇÃO,
QUALQUER MOMENTO. AUTORIZAÇÃO E CONTABILIDADE
 HASH DE SENHA DO USUÁRIO EM VEZ DA (ACCOUNTING).
PRÓPRIA SENHA.
1. ACCESS-REQUEST: ENVIADA DE UM CLIENTE
 CHAVE COMPARTILHADA É USADA NO
RADIUS, SOLICITAR AUTENTICAÇÃO E AUTORIZAÇÃO
CÁLCULO.
DE TENTATIVA DE CONEXÃO.
 REQUER TANTO CLIENTE QUANTO SERVIDOR
2. ACCESS-ACCEPT: ENVIADA POR UM SERVIDOR
TENHAM CÓPIA DA CHAVE DE AUTENTICAÇÃO.
RADIUS, RESPOSTA A MENSAGEM DE ACCESS-
TACACS != Tacacs+
REQUEST. INFORMA O CLIENTE RADIUS QUE A
 PROTOCOLO UNIX LIKE MODELO CONEXÃO FOI AUTENTICADA E AUTORIZADA.
CLIENTE/SERVIDOR. 3. ACCESS-REJECT: ENVIADA POR UM SERVIDOR
 TCP OU UDP NA PORTA 49. RADIUS EM RESPOSTA A UMA MENSAGEM ACCESS-
 DATAGRAMAS EM 2 VERSÕES: PACOTE DE REQUEST. INFORMA O CLIENTE RADIUS QUE A
REQUEST E DIFERENTE DO PACOTE DE REPLY. TENTATIVA DE CONEXÃO FOI REJEITADA.
 USUÁRIO E SENHA TRANSMITIDOS EM CLARO. 4. ACCESS-CHALLENGE: ENVIADA POR UM SERVIDOR
RADIUS EM RESPOSTA A UMA MENSAGEM ACCESS-
REQUEST. É UM DESAFIO AO CLIENTE RADIUS QUE
EXIGE UMA RESPOSTA.
5. ACCOUNTING-REQUEST: ENVIADA POR UM
KERBEROS (P) CLIENTE RADIUS, ESPECIFICAR INFORMAÇÕES DE
 PARA GARANTIR A SEGURANÇA, ELE USA ESTATÍSTICAS PARA UMA CONEXÃO QUE FOI ACEITA.
CRIPTOGRAFIA DE CHAVE SIMÉTRICA SEM 6. ACCOUNTING-RESPONSE: ENVIADA PELO
ESTAR NECESSARIAMENTE VINCULADO A UM SERVIDOR RADIUS EM RESPOSTA A MENSAGEM
PROTOCOLO ESPECÍFICO. ACCOUNTING-REQUEST. CONFIRMA O RECEBIMENTO
 TCP OU UDP NA PORTA 88. UTILIZA SERVIDOR BEM-SUCEDIDO E O PROCESSAMENTO DA MENSAGEM
NTP. ACCOUNTING-REQUEST.
 É NECESSÁRIO ALTA DISPONIBILIDADE
NOTAS
 FIREWALL CONSEGUE BLOQUEAR REQUISIÇÃO ECHO
ICMP.
 SISTEMA DE SEGURANÇA DE INTERVENÇÃO
PREEMPTIVA É CARACTERIZADO POR OPERAR ANTES
DO ATAQUE.

Você também pode gostar