Segurana de redes

conceitos e tecnologia
Paulo Gabriel Soares
INWEB Solutions
2010

Segurana de Redes
UFCD 0844
 Autenticao
Autenticao (do grego : = real ou genuno) o acto de
estabelecer ou confirmar algo (ou algum) como autntico, isto , que
reivindica a autoria ou a veracidade de alguma coisa. A autenticao
tambm remete confirmao de uma pessoa, frequentemente
relacionada com a verificao da sua identidade.

A autenticao um processo que procura verificar a identidade digital

do utilizador dum sistema. O termo "autorizao" muitas vezes
confundido com o termo autenticao, mas apesar de serem
relacionados, o significado de ambos muito diferente.

A autenticao o processo que verifica a identidade de uma

pessoa.

A autorizao verifica se essa pessoa possui permisso para

executar determinadas operaes. A autenticao precede
sempre a autorizao.
Paulo Soares 2
Autenticao
O controle de acesso um exemplo comum de adopo
de mecanismos de autenticao. Um sistema
computacional, cujo acesso permitido apenas a
utilizadores autorizados, deve detectar e excluir os
utilizadores no autorizados.
O acesso controlado por um procedimento que
estabelece a identidade do utilizador com algum grau
de confiana (autenticao) e s ento concede
determinados privilgios (autorizao) de acordo com
esta identidade.
Alguns exemplos de controle de acesso so encontrados em
sistemas que permitem:
levantar dinheiro num ATM;
comunicao com um PC atravs da Internet;
navegao num sistema de Internet banking.

Paulo Soares 3
Autenticao
Os factores de autenticao para humanos so normalmente
classificados em trs casos:

aquilo que o utilizador (impresso digital, padro retinal,

sequncia de DNA, padro de voz, reconhecimento de assinatura,
sinais elctricos unicamente identificveis produzidos por um
corpo vivo, ou qualquer outro meio biomtrico);

aquilo que o utilizador tem (carto de identificao ou telemvel);

aquilo que o utilizador conhece (senha, frase de segurana, PIN).

Frequentemente utilizada uma combinao de dois ou mais

mtodos. Um banco, por exemplo, pode requisitar uma "frase
de segurana" alm da senha

Paulo Soares 4
Controle de Acesso
Em segurana, especialmente segurana fsica, o termo
controle de acesso uma referncia prtica de permitir o
acesso a uma propriedade, prdio, ou sala, apenas para
pessoas autorizadas.
O controle fsico de acesso pode ser obtido atravs de:
pessoas (um guarda ou segurana);
atravs de meios mecnicos como fechaduras e chaves;
atravs de outros meios tecnolgicos, como sistemas baseados em cartes
de acesso.

Na segurana da informao
O controle de acesso composto dos processos de
autenticao, autorizao e contabilidade (accounting).
Neste contexto o controle de acesso pode ser entendido
como a habilidade de permitir ou negar a utilizao de
um objecto (ficheiro) por um utilizador. A autenticao
identifica quem acede, a autorizao determina o que um
utilizador autenticado pode fazer e a contabilidade, o que o
utilizador fez. Paulo Soares 5
 Controle de Acesso -
Tcnicas
As tcnicas de controle de acesso so normalmente
categorizadas em discricionrias e obrigatrias.
Controle de acesso discricionrio (DAC) uma poltica de
controle de acesso determinada pelo proprietrio (owner) do
recurso (ficheiro). O proprietrio do recurso decide quem tem
permisso de acesso em determinado recurso e que privilgio ele
tem.
Controle de acesso obrigatrio (MAC) uma poltica de
controle de acesso determinada pelo sistema e no pelo
proprietrio do recurso. Este controle utilizado em sistemas de
mltiplos nveis cujos dados so altamente sensveis, como
algumas informaes governamentais e militares.
Um sistema de mltiplos nveis constitudo de um computador que manipula
mltiplos nveis de classificao entre sujeitos e objectos.

Paulo Soares 6
Segurana da Informao
Est relacionada com a proteco existente ou necessria
sobre dados que possuam valor para algum/organizao.
Aplica-se a todos os aspectos de proteco e armazenamento
de informaes e dados, em qualquer forma. O nvel de
segurana de um sistema computacional passa pela
configurao dos seus componentes.
Um dos padres de segurana mais conhecidos o BS7799
(British Standard 7799 uma norma padro de segurana da informao
desenvolvida em 1995 na Inglaterra) que estabelece as prticas para
implementao e gesto da segurana da informao. A srie
de normas ISO 27001 vem melhorar esta ltima.
Podem ser estabelecidas mtricas (com o uso de ferramentas)
para a definio do nvel de segurana existente e
posteriormente analisar a melhoria da situao de segurana.

Paulo Soares 7
 Segurana da Informao
A trade CIA Confidencialidade, Integridade e
Disponibilidade -- representa as principais propriedades que
actualmente orientam a anlise, o planeamento e a
implementao da segurana para um determinado grupo de
informao que se deseja proteger.
Confidencialidade - propriedade que limita o acesso informao
to somente s entidades legtimas, ou seja, quelas autorizadas pelo
proprietrio da informao.
Integridade - propriedade que garante que a informao manipulada
mantenha todas as caractersticas originais estabelecidas pelo
proprietrio da informao, incluindo controle de mudanas e garantia
do seu ciclo de vida.
Disponibilidade - propriedade que garante que a informao esteja
sempre disponvel para o uso legtimo, ou seja, por aqueles
utilizadores autorizados pelo proprietrio da informao.

Paulo Soares 8
Segurana da Informao -
Mecanismos
Controles fsicos: so barreiras que limitam o contacto ou acesso
directo informao ou infra-estrutura (que garante a existncia
da informao) que a suporta.

Controles lgicos: so barreiras que impedem ou limitam o

acesso informao, que est em ambiente electrnico controlado,
e que, de outro modo, ficaria exposta a alterao no autorizada.

Mecanismos de segurana que apoiam os controles lgicos:

Mecanismos de criptografia - Permitem a transformao reversvel da
informao de forma a torn-la ininteligvel a terceiros.
Assinatura digital - Um conjunto de dados criptografados, associados a
um documento, garantindo a integridade do documento.
Mecanismos de controle de acesso - Palavras-chave, sistemas
biomtricos, firewalls, cartes inteligentes.
Mecanismos de certificao - Atesta a validade de um documento.
Integridade - Medida em que um servio/informao genuno.
Honeypot - o nome dado a um software, cuja funo detectar ou
impedir a aco de um cracker, ou de qualquer agente externo estranho.

Paulo Soares 9
 Ameaas Segurana
Esto relacionadas directamente com a perda de uma das
caractersticas principais, ou seja:

Perda de Confidencialidade: seria quando h uma quebra de sigilo

de uma determinada informao (ex: a senha dum administrador de
sistema) permitindo com que sejam expostas informaes restritas as
quais seriam acessveis apenas por um determinado utilizador;

Perda de Integridade: aconteceria quando uma determinada

informao fica exposta a manuseio por uma pessoa no autorizada,
que efectua alteraes que no foram aprovadas e no esto sob o
controle do proprietrio da informao;

Perda de Disponibilidade: acontece quando a informao deixa de

estar acessvel por quem necessita dela. Caso da perda de
comunicao com um sistema importante para a empresa, devido
queda de um servidor de uma aplicao crtica de negcio.

Paulo Soares 10
 Poltica de Senhas
Senha com data para expirao
Adopta-se um padro onde a senha tem prazo de validade com 30 ou 60
dias, obrigando o utilizador a renovar sua senha.

Inibir a repetio
Adopta-se que uma senha uma vez utilizada no poder ter mais que 60%
dos caracteres repetidos, p. ex: senha anterior 123senha nova senha
456seuze, neste caso foram repetidos somente os caracteres s e e,
os demais so diferentes.

Obrigar a composio da senha com um nmero mnimo de

caracteres
Define-se 4 caracteres alfabticos e 4 caracteres numricos:
1s4e3u2s ou posicional - os 4 primeiros caracteres devem ser numricos
e os 4 subsequentes alfabticos, por exemplo: 1432seuz.

Criar conjuntos possveis de senhas que no podem ser utilizadas

Cria-se uma base de dados com formatos conhecidos de senhas e proibir
o seu uso, como por exemplo, o utilizador chama-se Jos da Silva, logo a
sua senha no deve conter partes do nome como 1221jose ou 1212silv
etc., e impedir os formatos DDMMAAAA ou 19XX, 1883emc ou I2B3M4 etc.

Paulo Soares 11
 Firewall
Nome dado ao dispositivo de uma rede
de computadores que tem por funo
regular o trfego de rede entre redes
distintas e impedir a transmisso de
dados nocivos ou no autorizados de
uma rede para outra.

utilizada para evitar que o trfego no

autorizado possa fluir de um domnio de
rede para o outro.

Existe na forma de software e hardware,

ou na combinao de ambos. A
instalao depende do tamanho da
rede, da complexidade das regras que
autorizam o fluxo de entrada e sada de
informaes e do grau de segurana
desejado.

Paulo Soares 12
 Firewall - Filtro de Pacotes
Sistemas que analisam individualmente os pacotes medida que so
transmitidos da camada de dados (camada 2) para a camada de rede
(camada 3).
As regras podem ser formadas estabelecendo os endereos de rede
(origem e destino) e as portas TCP/IP envolvidas na ligao. A principal
desvantagem deste tipo de tecnologia a falta de controle de estado
do pacote, o que permite que agentes maliciosos possam produzir
pacotes simulados (IP Spoofing) para serem injectados na sesso, caso
do Man in the Middle!

Paulo Soares 13
Firewall - Proxy
A proxy firewall recebe o fluxo de ligao e origina um novo
pedido sob a responsabilidade da mesma firewall. A resposta
analisada antes de ser entregue ao utilizador.
Desvantagens:
Para cada novo servio que aparece na Internet, o fabricante
deve desenvolver o seu correspondente agente de Proxy. O
que pode demorar meses. A instalao, manuteno e
upgrade dos agentes de Proxy requerem servios
especializados de gesto da firewall e podem ser bastante
caros.

As proxie introduzem perda de performance na rede, j que as

mensagens devem ser processadas duas vezes, pela gateway
e pelo agente de Proxy. Por exemplo, o servio FTP manda um
pedido ao agente de Proxy para FTP, que por sua vez fala com
o servidor interno de FTP para completar o pedido

Paulo Soares 14
Firewall - Statefull

So firewall de terceira gerao, suportam a

tecnologia SMLI - Stateful Multi-Layer Inspection,
ou seja: Inspeco Total de todas as Camadas do
modelo OSI.
Esta tecnologia permite que a firewall examine cada
pacote em todas as camadas do modelo OSI, desde a de
transporte at a de aplicao, sem necessidade de
processar a mensagem.

Com a tecnologia SMLI a firewall usa algoritmos

de verificao de trfego, optimizados para altas
velocidades de inspeco. Simultaneamente, os
pacotes so comparados a padres conhecidos
de pacotes amigveis.

Paulo Soares 15
 Firewall de aplicao
Com a exploso do comrcio electrnico percebeu-se que mesmo a
ltima tecnologia em filtragem de pacotes TCP/IP poderia no ser to
eficiente quanto se esperava. As estatsticas demonstram que os
ataques continuam a prosperar de forma avassaladora. Percebeu-se
que havia necessidade de desenvolver um novo mtodo que pudesse
analisar as particularidades de cada protocolo e tomar decises que
pudessem evitar ataques maliciosos.
A ideia analisar o protocolo especfico da aplicao e tomar
decises dentro das particularidades da aplicao, criando
uma complexidade infinitamente maior do que configurar
regras de fluxo de trfego TCP/IP.
O desenvolvimento da Firewall de Aplicao exigiu um conhecimento
profundo de como funcionam os protocolos da Internet, como se
processam os ataques, principalmente na camada de aplicao e o
desenvolvimento da tecnologia necessria para suprir as gigantescas
necessidades de computao. Essas necessidades so oriundas dos
algoritmos e regras do software de deteco e da velocidade em que
os pacotes circulam pela rede. Alm disso existe a necessidade de
descodificar e codificar os pacotes que passam, o que uma
actividade que consome enormes recursos computacionais.
Paulo Soares 16
Posts
Sistema infectado implicado em queda de avio
O jornal espanhol "El Pas" publicou uma notcia em
que refere que o computador central onde eram
registadas as avarias dos avies da Spanair estava
contaminado com programas maliciosos

Vulnerabilidades de segurana bateram recorde

no 1. semestre de 2010, aponta IBM
Segundo o relatrio global de tendncias e riscos, 55%
de todas as brechas detectadas vieram de aplicaes
web e os ataques via PDF cresceram 37%...

Falta de privacidade no Buzz custa Google 8,5

milhes
A falta de definies de privacidade e a divulgao de
contactos que afectou o lanamento do servio Google
Buzz vai custar gigante da Internet 8,5 milhes de
dlares

Paulo Soares
DMZ
Em segurana da informao, a sigla para de
DeMilitarized Zone ou "zona desmilitarizada". Tambm
conhecida como Rede de Permetro, a DMZ uma
pequena rede situada entre uma rede confivel interna e
uma no confivel, geralmente entre a rede local e a
Internet.

Normalmente, uma DMZ contm equipamentos

apropriados para o acesso Internet, como servidores para
web (HTTP), servidores de transferncia de arquivos (FTP),
servidores para e-mail (SMTP) e servidores DNS.

Paulo Soares
 DMZ
A funo da DMZ manter todos
os servios que possuem acesso
externo (tais como servidores HTTP,
A configurao realizada
FTP, de correio electrnico, etc.)
atravs do uso de
equipamentos de Firewall,
separados da rede local,
que vo realizar o controle
limitando assim o potencial dano
de acesso entre a rede
em caso de comprometimento de
local, a Internet e a DMZ
algum destes servios por um (ou, num modelo genrico,
invasor. entre as duas redes a serem
separadas e a DMZ).
Para atingir este objectivo os

computadores presentes na DMZ Os equipamentos na DMZ

no devem conter nenhuma podem estar todos ligados
forma de acesso rede local. num switch dedicado da
rede.
Paulo Soares
 DMZ
De um modo geral podemos dizer
que as regras de segurana
aplicadas a uma DMZ so:

- A rede interna pode iniciar

ligaes a qualquer uma das
outras redes mas nenhuma das
outras redes (DMZ e Internet)
pode iniciar ligaes nesta;

- A rede pblica (Internet) no

pode iniciar ligaes na rede
interna mas pode na DMZ;

- A DMZ no pode fazer ligaes

rede interna mas pode na rede
pblica.

Paulo Soares