Segurança e Auditoria Informática – 3º ano de Gestão e Informática

Segurança na camada de Aplicação

1
Camadas protocolares daArquitectura TCP/IP

2
Camada de Aplicação

 Segurança ao nível das Aplicações

– Encriptação de dados das aplicações;

– Autenticação de utilizadores;

– Integridade da informação transferida;

– Não repudiação de utilização dos serviços;

– Controlo de acesso aos serviços;

– Disponibilidade dos serviços.

 Soluções muito variadas: SET - Secure Electronic Transaction; S/MIME -

Secure MIME (RFCs 2311, 2312); Kerberos (RFC 1510); PGP - Pretty Good
Privacy; SSH - Secure Shell; SHTTP - Secure HTTP (RFC 2660); Etc., etc.

 Ferramentas complementares de segurança: Ferramentas de auditoria

(scanners); Firewalls.
3
SET (Secure Electronic Transaction)

 Segurança nas transações com cartão de crédito realizadas através da Internet;

 Desenvolvido por VISA e MasterCard em associação com a IBM, Micosoft,

Netscape, RSA, Terisa e VeriSign;

 Principio de funcionamento: Canal de comunicação seguro entre as entidades

envolvidas na transacção; Autenticação das entidades envolvidas com
certificados X.509.

 Entidades envolvidas: Cliente com cartão de crédito (cardholder), Vendedor

(merchant), Banco emissor do cartão (issuer), Banco do vendedor (acquirer),
Gateway de pagamento, Entidade de certificação (CA).

4
 Componentes SET:

5
SET (cont.)

 Funcionalidade

 Confidencialidade da informação: Implementação de um canal seguro

sobre a Internet; Apenas o banco emissor tem acesso ao número do cartão
(o vendedor não tem); Utilizada encriptação com DES.

 Integridade dos dados: Garante integridade dos dados da transacção

(encomenda, dados pessoais do cliente e dados de pagamento); Utilizadas
assinaturas digitais com SHA ou HMAC.

 Autenticação do cliente: Permite a verificação, pelo vendedor, da identidade

do cliente e da validade do cartão; Utilização de certificados X.509.

 Autenticação do vendedor: Permite a verificação, pelo cliente, da identidade

do vendedor e da relação deste com a entidade financeira para aceitação
de pagamentos por cartão; Utilização de certificados X.509.

6
SET (cont.)

 Sequência de acontecimentos

1. O cliente obtém um cartão de crédito;

2. O cliente obtém um certificado;

3. O vendedor possui certificados;

4. O cliente inicia uma aquisição;

5 O vendedor é verificado pelo cliente;

6. O cliente envia ao vendedor a ordem de compra e a informação para

pagamento;

7. O vendedor valida a ordem de pagamento junto da entidade financeira;

8. O vendedor confirma a encomenda ao cliente;

9. O vendedor fornece os produtos adquiridos (bens ou serviços);

7
10. O vendedor pede liquidação do pagamento à entidade financeira.
SET (cont.)

 Assinatura dupla pelo cliente:

8
SET (cont.)

 Envio da encomenda pelo cliente:

9
SET (cont.)

 Verificação da encomenda pelo vendedor:

10
Certificados X.509

 Descrição: Criados pela ITU-T e pela OSI no âmbito do Serviço de Directoria

(recomendações X.500); Usar o Serviço de Directoria como repositório de
chaves públicas das entidades.

 Autenticação de entidades: Pessoas, empresas, maquinas, serviços, etc.

 Usado por várias aplicações de comunicação: SET, S/MIME, SSL, IPSEC,

etc.

 Autoridade de Certificação: Cada certificado contêm a chave pública da

entidade; A chave pública da entidade é assinada (validada) com a chave
privada da entidade emissora (Autoridade de Certificação); A verificação da
identidade faz-se com a chave pública da Autoridade de Certificação.

11
Certificados X.509 (cont.)

 Formato do certificado:

12
Certificados X.509 (cont.)

 Os certificados podem ser revogados (anulados) pela Autoridade de

Certificação antes de terminado o período de validade.

13
Certificados X.509 (cont.)

 As Autoridades de certificação organizam-se numa hierarquia

estabelecida através de relações de confiança.

14
Certificados X.509 (cont.)

 Procedimentos de autenticação

 One-way ou two-way

15
S/MIME - Secure MIME

 RFCs 2045 a 2049

 Define quatro novos cabeçalhos das mensagens: SMTP; MIME-Version;

Content-Type; Content-Transfer-Encoding Content-ID; Content-Description.

 Content-Type Subtype: Text Plain, Enriched; Multipart Mixed, Parallel,

Alternative, Digest; Message rfc822, Partial, External-body; Image jpeg, gif;
Video mpeg; Audio Basic; Application Postscript, octet-stream; Content-
Transfer-Encoding (7bit, 8bit, binary, quoted-printable, base64, ...)

16
S/MIME - Secure MIME (cont.)

17
Kerberos

 Cão de três cabeças que guarda a entrada do Hades.

 Três cabeças: Autenticação; Contabilização (não implementada); Auditoria

(não implementada).

 Desenvolvido no MIT (projecto Athena).

 Serviço de autenticação: Seguro; Fiável; Transparente; Escalável.

 Configuração típica (realm): 1 Servidor Kerberos; N Clientes Kerberos; M

Serviços autenticados.

18
Funcionamento do Kerberos

19
Kerberos (cont.)

 Relação entre realms

20
Camada de Aplicação

21
Controlo de acesso (indrodução):

 Política de acesso: A política de acesso é um dos aspectos da Política de

Segurança de uma organização; Deve ser definida antes da instalação de
mecanismos de controlo de acesso.

 Controlo de acesso: Implementação e verificação da política de acesso;

Normalmente implementada associada mecanismos de autenticação.

 Mecanismos de controlo de acesso:

– Barreiras físicas (Paredes, portas, armários, porteiros, etc).

– Barreiras lógicas (Permissões, regras de acesso, etc.).

– Firewalls.

22
Introdução (cont.)

 Elementos do controlo de acesso: Direcção do tráfego (Entrada ou saída).

 Serviço: HTTP, FTP, SMTP, etc.

 Máquina: Origem ou destino.

 Utilizador: Identificação, função, etc.

 Tempo: Hora do dia, dia da semana, mês.

 Tipo de ligação: Público ou privado.

 Qualidade de serviço (QoS): Débito, atraso, etc.

23
Firewalls

 Definição: Sistema ou grupo de sistemas que impõem uma política de acesso.

 Utilização de um firewalls: No acesso à Internet; No acesso remoto via modem

ou RDIS; Em ligações a redes de organizações associadas (ex. clientes ou
fornecedores); Entre departamentos de uma instituição.

 Controlo do “Perímetro de Segurança”: Controlo do acesso aos serviços (Por IP,

porto); Controlo da direcção de utilização (Saída e entrada); controlo dos
utilizadores (Locais e remotos); Controlo do comportamento (Conteúdos, etc).

 Tipos de Firewalls: Filtro de pacotes; Gateway de ligações; Gateway de

aplicação.

24
Filtro de pacotes

 Actuam ao nível de rede: Normalmente implementados num router;

Implementados através de Listas de Acesso.

 Filtragem com base em: IP origem destino; Protocolo de transporte (TCP,

UDP); Porto origem e destino; Opcionalmente com utilização de NAT.

 A filtragem de pacotes pode ser: Estática; Dinâmica (Suporta serviços que

utilizem os portos de forma dinâmica (ex. FTP)).

 Vulneráveis a ataques por: IP spoofing; Source routing; Fragmentação fina.

25
Gateway de ligações

 Actuam ao nível de transporte;

 Funcionamento: Interceptam as ligações TCP ou UDP; Verificam as permissões

do utilizador; Estabelecem novas ligações TCP ou UDP até ao destino
pretendido; Concatenam as duas ligações.

 Utilização: No acesso à Internet de serviços PCs em redes privadas; No

suporte de serviços “tempo real” sobre UDP em redes privadas, em que não é
possível a utilização de proxies.

 Ex. de gateway de ligações: pacote SOCKS (RFC 1928).

26
Gateway de aplicação

 Actuam ao nível de aplicação.

 Funcionamento: Actuam como proxies de aplicação; Atendem solicitações

locais às aplicações; Verificam as permissões do utilizador; Estabelecem
ligações cliente a aplicações remotos; Passam informação entre a aplicação
cliente e a aplicação servidora; Podem fazer cache dos pedidos para servir
novas solicitações.

 Utilização: No acesso à Internet de clientes em redes privadas; Por motivos

de desempenho ou de economia de largura de banda (através de cache).

 Ex.: Proxy HTTP, FTP, Telnet, etc.

27
Tipos de firewalls:

28
Configurações de firewalls

 Bastion host: Computador fortaleza; Computador de controlo do acesso ao

Perímetro de Segurança; Necessária versão segura do Sistema Operativo;
Apenas os serviços essenciais são instalados; Suporte opcional de
mecanismos de autenticação adicionais (ex. smart cards); Suporte de proxies
de aplicação seguros com controlo de acessos; Suporte de proxies em modo
não privilegiado; Suporte de log para auditoria.

 Alternativas de configuração: Screened host (Computador protegido);

Screened subnet (Sub-rede protegida).

29
Screened host

 Funcionamento: Do exterior do Perímetro de Segurança (ex. Internet) só é

autorizado tráfego para o Bastion Host; Do interior do Perímetro de Segurança
apenas é autorizado tráfego para o Bastion Host; O Bastion Host faz
autenticação e controlo de acesso por serviço e utilizador; O Bastion Host
suporta proxies de aplicação para acesso a serviços no exterior; É necessário
um filtro de pacotes para limitar o acesso do (e para) exterior ao Bastion Host.

 Opções de configuração:

a) Single-homed screened host: O Bastion Host tem apenas um interface;

O controlo do acesso ao (e do) exterior é apenas imposto pelo filtro de pacotes
(router).

b) Dual-homed screened host: O Bastion Host tem dois interfaces; O

controlo do acesso ao (e do) exterior é imposto pelo filtro de pacotes (router) e
pelo Bastion Host.

30
Screened-subnet

 Implementa três níveis de defesa: Exterior; Zona desmilitarizada (DMZ); Zona

segura (Perímetro de Segurança).

 Na DMZ existe: um Bastion Host para controlo de acesso e autenticação de

utilizadores; um ou vários servidores para suporte de serviços de
comunicação com o exterior.

 Tráfego autorizado: Do exterior para a DMZ apenas aos serviços

disponibilizados; Do interior para a DMZ apenas aos serviços disponibilizados.

 Filtros de pacotes: um filtro de pacotes para limitar o acesso do (e para)

exterior à DMZ; um filtro de pacotes para limitar o acesso do (e para) interior à
DMZ.

31
Configurações de firewalls:

32
Firewalls: produtos

 Comercialmente: Pix da Cisco; Firewall 1 da CheckPoint; Labyrinth da Cycon;

CyberGuard da CyberGuard; SecurIT da Milkyway; Gauntlet da Trustued
Infromation Systems; SunScreen da Sun; Secure Server da IBM; PrxyServer
da Microsoft; etc.

 Domínio público: SOCKS (gateway de ligações); IPCHAINS (filtro de pacotes);

TIS (gateway de aplicações).

33
Exemplo de configuração de Firewalls

34
Sistemas de detecção de intrusão

 Funcionamento: Monitorização de tráfego para detecção de padrões de

ataque em tempo real; Baseado num conjunto vasto de regras e heurísticas;
Podem incluir técnicas de IA.

 Objectivos: Complemento da segurança fornecida por um Firewall; Detecção

de novas formas de ataque; Filtragem de conteúdos; Detecção de vírus.

 Componentes: Motor (responsável pela captura e análise do tráfego); Consola

(Para geração de alarmes e relatórios); Normalmente os dois componentes
funcionam em sistemas diferentes.

35
Sistemas de detecção de intrusão

 ISS RealSecure: Exemplo de um sistema IDS; Desenvolvido pela Internet

Security Systems (ISS); Ambiente gráfico; Funciona em NT, Unix e Linux;
Informação disponível em http://www.iss.net.

 Funcionalidade do ISS RealSecure: Monitorização de tráfego; Detecção de

eventos que podem comprometer a segurança da rede; Geração de alertas;
Produção de relatórios com actividade dos utilizadores.

36