A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Segurança da Informação – SI Aula 2 Faculdade PITÁGORAS – 2012 Prof. Ramon Pedrosa Controle de Acesso.

Apresentações semelhantes


Apresentação em tema: "Segurança da Informação – SI Aula 2 Faculdade PITÁGORAS – 2012 Prof. Ramon Pedrosa Controle de Acesso."— Transcrição da apresentação:

1 Segurança da Informação – SI Aula 2 Faculdade PITÁGORAS – 2012 Prof. Ramon Pedrosa Controle de Acesso

2 O controle de quem entra e de quem sai de um sistema lógico (no caso de uma conexão) ou mesmo de uma instalação física é um aspecto muito importante da segurança. Não basta ter um firewall rodando em servidores, ou no caso de ambientes físicos, um guarda na entrada para obrigar todos os visitantes a se identificarem. É preciso desenvolver uma política de controle de acessos eficiente, para caso haja um incidente, ser possível identificar o seu autor. Um controle de acesso tem dois objetivos. Introdução

3 O primeiro objetivo desse controle é identificar cada pessoa que tem acesso a determinado recurso e quais não têm. Isso pode ser feito fisicamente (utilizando cartões, por exemplo) ou logicamente (utilizando senhas e outros métodos, que veremos mais à frente). Manter um controle das identificações realizadas. Isso permite que caso um problema de segurança ocorra, dá pra ser facilmente identificado através deste controle. Normalmente é feito através de registro eletrônico e logs de acesso.

4 Controle de Acesso é o conjunto de mecanismos que funcionam em conjunto com o objetivo de criar uma arquitetura de segurança para proteger os ativos dos sistemas de informações Permite a privacidade das informações de cada usuário e ao mesmo tempo dá amplo acesso aos serviços e informações disponíveis.

5 - O que faz? O controle de acesso (Access Control) define permissões para cada recurso existente em sua rede e em seus sistemas. Cada recurso tem uma ACL(Access Control List), lista de controle de acesso, que diz quem tem permissão de utilizar esse recurso e o que pode fazer com ele.

6 Como faz: Em um ambiente seguro, os seguintes aspectos tem que ser garantidos por meio do controle de acesso: Autenticidade - Garante que quem está acessando o recurso realmente é quem ele diz ser. Confidenciabilidade - Garante que os dados só serão vistos por quem tem permissão. Integridade - Garante que os dados não foram modificados sem autorização.

7

8 Metodologias e Sistemas de Controle de Acessos Auxiliam na proteção contra ameaças e vulnerabilidades que podem acometer o ambiente Permite que a gerencia especifique: – Quais os usuários podem acessar os sistemas – Os recursos que podem ser acessados – Que operações podem ser realizadas.

9 Segregação de funções: – Define elementos de um processo ou função – Divide os elementos entre diferentes funções – Mínimo privilégio – Limita os usuários a terem acessos somente aos recursos necessários para que este desempenhe as suas funções – Controle sobre acesso a dados sensíveis Metodologias e Sistemas de Controle de Acessos

10 Ameaças ao Controle de Acesso -Tipos de Controle Administrativos: Políticas e Procedimentos, incluindo-se controle sobre pessoal como checagem de antepassado criminal, etc. Físicos: Fechaduras, Alarmes, Sistemas de identificação (crachá), Lógicos: Firewalls, Antivírus, Serviços de diretório, senhas, etc

11 Controle administrativo Verificação de que este usuário é quem diz ser. Existem vários métodos de identificação e autenticação mas os mais tradicionais são: identificação e autenticação. Alguns sistemas como os Biométricos podem servir tanto para identificação como para autenticação A Identificação e Autenticação possibilita saber quem deseja acessar determinada informação.

12 Controle Adm. - Identificação e Autenticação Uma vez que o usuário é identificado e autenticado cabe ao sistema analisar cada solicitação feita pelo mesmo para averiguar se ele possui direitos para tal. A Este processo damos o nome de Autorização O usuário é responsável por todas suas ações e algumas organizações necessitam avaliar o uso individual de recursos de informação. Para que isso ocorra é necessário se registrar cada ação feita pelo usuário no sistema, ao que damos o nome de contabilizar.

13 Autorização e Responsabilidade autenticação é definitivamente o primeiro passo na identificação de um usuário em uma rede ou transação eletrônica. A autenticação forte é a ação de identificar perante a apresentação de dois ou mais fatores de identificação. Fatores de Identificação e Autenticação que podem ser utilizados para garantir a autenticidade de um usuário ao sistema: – Uso de algo que a pessoa conheça; – Uso de alguma coisa que a pessoa possua – Uso de algo que a pessoa é.

14

15 Algo que a pessoa conheça Senhas parciais e instantâneas que podem ser geradas por dispositivos externos e utilizadas no início da sessão. A captura da senha não permite o acesso ao sistema já que ela é alterada ciclicamente, no entanto, se a sessão da rede for capturada o acesso ao dados pode ocorrer. A senha muda a cada utilização dificultando sua captura - Exemplo: Tokens geradores de senhas, smart cards, etc.

16 Controle Adm. - Ferramentas e Tecnologias Senhas (Passwords) / Frases secretas conhecida pelo usuário. As Senhas devem ser criptografadas usando Hashing de sentido único Senhas armazenadas não ficam em texto plano Acesso físico limitado ao servidor que armazena as senhas e frases secretas

17 senhas O uso de senhas é um exemplo óbvio de algo que você sabe. Apesar de ser o método de autenticação mais usado e mais antigo, ele contêm uma série de deficiências que não o torna muito confiável. O primeiro motivo é que ele se baseia na memória e na capacidade dos usuários; o segundo é a falta de imaginação na hora de criar as senhas, tornando-as fracas; Terceiro as senhas podem ser roubadas, descobertas e quebradas.

18 Vantagens x Desvantagens baixo custo, podendo ser usado em qualquer tipo de ambiente, sem qualquer necessidade de hardwares especiais. Senhas fracas e pequenas podem ser descobertas pelo uso de ataques de dicionário e ataques de força bruta ; Podem ser roubadas ou descoberta ("sniffers) Dificuldade de memorização

19 Algo que a pessoa possua A confirmação da autenticidade do usuário é confirmada através de: Características fisiológicas: Impressão digital, retina, íris, etc. Características comportamentais: comparação de assinatura, digitação, etc

20 Cartões O uso de cartões magnéticos é um bom exemplo de algo que você tem. Esses sistemas se baseiam no fato de que apenas a pessoa "X" vai possuir o cartão entregue a essa pessoa. Esse método geralmente é aperfeiçoado pelo uso de senhas/PINs em conjunto com os cartões magnéticos.

21 Vantagens X desvantagens adiciona uma camada de proteção a mais do que uso de senhas. A maioria dos bancos e lojas utilizam essa tipo de autenticação podem ser facilmente perdidos ou roubados é caro e precisa de hardwares especiais para ler os cartões.

22 Biometria A biometria é a arte de identificar um indivíduo por meio de alguma característica ÚNICA da pessoa

23 Algo que a pessoa é Tipos de recursos de biometria: Impressão digital Geometria da mão Reconhecimento de voz Leitura da retina/ íris Dinâmica da assinatura Geometria facial Dinâmica de digitação

24 Vantagens X desvantagens identifica e autentica o usuário sem necessitar de cartões ou de memorizar alguma senha diminuição dos preços dos dispositivos biométricos ela identifica e autentica o usuário em um único passo requer hardwares especiais para capturar essas informações hardwares são muito caros (apesar da queda dos preços) utilizados em ambientes de alta segurança.

25 O que proteger 1 - No sistema de arquivos: dados que vão ser acessados. 2 - Na rede: o que cada máquina pode acessar na rede. 3 - Fisicamente áreas que podem ser acessadas pelos usuários.

26 Controle de acesso na rede Pode ser feito de várias formas. As principais são através de firewalls e roteadores. O controle nesses dispositivos são feitos através do IP, no qual se define quais IP/hosts podem acessar determinados recursos. Para tornar esse controle mais seguro, muitos sistemas fazem o controle através do MAC também, que evita os modos mais simples de spoof (forjar o IP).

27 Sistema de Detecção de Intrusos Treinamento e Conscientização de Segurança da Informação Testes de Invasão periódicos Concessão de privilégio mínimo de acesso Segregação e rotação de função Procedimentos de recrutamento e desligamento Auditoria e revisões de segurança Ferramentas de avaliação de vulnerabilidade de redes

28 controle de acesso físico O controle de acesso ao ambiente físico é importantíssimo. Sem ele, todas as medidas de segurança "virtuais" seriam um fracasso. Alguns pontos importantes da segurança física são: Segurança do ambiente - Feita por muros e cercas. Segurança das salas - Cada departamento tem que ser protegido.

29 Vigilancia - Todo o ambiente tem que ser vigiado 24hrs (por cameras ou guardas). Controle do ambiente - Proteção contra incendios, imundações e outros desastres. Disponibilidade - Proteção contra falta de luz, queda de luz e outros problemas elétricos. Autenticação - Como os usuários serão autenticados para entrar na empresa. (biometria, chaves, etc).

30 Modelo de segurança 1 - Quem são os usuários e quais recursos ele precisam acessar. 2 - Quais são os recursos oferecidos e seus níveis de importância em relação a: - Confiabilidade: Quão confidencial ele é? - Integridade: Quem pode modificá-lo ? - Disponibilidade: Quanto tempo ele tem que ficar disponível ? 3 - Como fazer os controles. Se baseado no cargo, por local de trabalho, ou por departamento ?

31 Access Control List Tentativas de Intrusão são quaisquer ações com objetivo de ganhar acesso não autorizado Auditorias são importantes para se combater intrusões e tem como objetivo identificar ocorrências de ataques Observa logs de trafego e/ou outros dados de Auditoria Após coletados todos os dados parte-se para criação do seu modelo. Nunca se esqueça de que a melhor prática de segurança é a do "menor privilégio

32 Segurança Física O objetivo da segurança física é fornecer um ambiente seguro para todos os recursos e interesses da organização, incluindo sistemas de informação. A segurança física fornece a proteção para o edifício, outras estruturas;

33 Tipos de Ameaças As ameaças físicas podem ser agrupadas nos seguintes tipos de eventos: – Naturais/ambientais (terremotos, inundações, tempestades, etc) – Sistemas de suporte (Apagão, panes de comunicação, refrigeração, etc) – Causados pelo homem (explosões, erros,vandalismo) e políticos (terrorismo, bombardeio, motins) sabotagem;

34 Ambiente de Proteção da Informação Perímetro Terreno do Edifício Entrada do Edifício Piso / Corredores de Acesso aos Andares Escritórios / Data Centers / Mídias, recursos, etc.

35 Ambiente de Proteção da Informação Perímetro – Área que cerca o edifício. Pode incluir passeios e calçadas, estradas, e área que circundam as terras do edifício. Terreno do Edifício – Barreiras físicas e a área que cerca o edifício dentro do perímetro, Entrada do Edifício; – Pontos de entrada (portas e janelas), telhado e escadas de incêndio bem como outras entradas não comuns

36 Desenho do Ambiente – Estratégias de Prevenção Territoriedade – Proteção do território pelos próprios responsáveis. – Uso dos atributos físicos que expressam a posse, tal como cercas, os sinais, o pavimentações, ajardinamento. – Identificar intrusos é muito mais fácil em um espaço definido. Vigilância – É a ferramenta principal na proteção de um espaço. Circuito de TV, patrulhas da segurança, iluminação e o ajardinamento são usados frequentemente como controles de movimentação.

37 Desenho do Ambiente – Estratégias de Prevenção Controle de Acesso – Localização apropriada de entradas, saídas,cercas, etc., controles do fluxo e acesso são formas de dissuadir ações criminosas.

38 Sistemas de Suporte a Infra-estrutura Controle de sistemas Suporte Ar condicionado - Os sistemas de sustentação da infra-estrutura incluem a fonte de suprimento, tubulações, exaustão, ventilação, o sistema de ar refrigerado (HVAC - heating, ventilation and air conditioning ). Uma falha ou um desempenho abaixo dos padrões esperados desses sistemas suporte podem interromper a operação e causar os danos físicos ao sistema ou aos dados armazenados.

39 Sistemas de Suporte a Infra-estrutura Energia Elétrica - As vulnerabilidades incluem a perda total de energia (blackouts) ou da degradação na qualidade de energia, situação em que a energia fornecida esta abaixo ou acima do padrão de fornecimento (brownout, sag, spike, surge, transient). A maneira pela qual um sistema de energia elétrica é configurado, mantido dentro dos padrões, bem como monitorado e controlado, são os principais pontos críticos para a sua efetiva disponibilidade.

40 Sistemas de Suporte a Infra-estrutura Interferências (ou ruído) - São distúrbios aleatórios que interferem com a operação dos dispositivos de uma ambiente. Estes podem causar erros na operação de programas ou no processamento dos dados. Interferência Eletromagnética (IEM): é definido como a interferência em um circuito, por exemplo, distúrbio em um monitor do computador causado pela radiação de um campo elétrico ou magnético externo.

41 Sistemas de Suporte a Infra-estrutura Umidade/vazamentos - Danos causados por vazamento / infiltração ou a condensação podem causar os danos aos recursos de sistema da informação. As fontes comuns de problemas da água são tubulações quebradas, sistemas de supressão de fogo e instalação imprópria dos sistemas de ar condicionado, dos refrigeradores ou dos condensadores.

42 Sistemas de Suporte a Infra-estrutura Classes de Fogo – Tipo A: Comum / Combustível (uso de água /Soda Acida) – Tipo B: Líquido (CO2/Soda Acida/Halon – Tipo C: Elétrico (CO2/Halon) Detecção de Fogo – Manual – Ótico (Photoelectric-Smoke Blocking Light) – Temperatura – Ionização (Reação a partículas de fumaça)

43 Sistemas de Suporte a Infra-estrutura Halon – A melhor proteção para equipamentos, Necessita de áreas especiais para o equipamento (Cabinets/ Vaults), Usado em forros e piso elevado, Concentrações <10% são seguras;

44 Sistemas de Suporte a Infra-estrutura Outras Considerações – Treinamento / Brigadas – Simulações conforme Padrões Nacionais da Associação da Prevenção ao Fogo (NFPA) – Códigos e sinalização – Drenagem

45 Centro de Processamento de Dados Recepç ão Atendimento ao Cliente Porta Porta com equipamento para digitação de senha Painel com senha de acesso Acesso via Biometria CP D Porta e Recepcionista Suporte Operacio nal

46 Dúvidas

47 Ramon Pedrosa FIM


Carregar ppt "Segurança da Informação – SI Aula 2 Faculdade PITÁGORAS – 2012 Prof. Ramon Pedrosa Controle de Acesso."

Apresentações semelhantes


Anúncios Google