A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Aspectos de Segurança de Redes

PublicouGiovanni Cláudio Capistrano Sabrosa Alterado mais de 8 anos atrás

Apresentações semelhantes

Apresentação em tema: "Aspectos de Segurança de Redes"— Transcrição da apresentação:

1 Aspectos de Segurança de Redes

2 Aspectos de Segurança de Redes
Introdução Os usuários das redes de computadores mudaram, bem como o uso que os mesmos fazem da rede. A segurança da rede despontou-se como um problema em potencial. O crescimento comercial assustador da Internet nos últimos anos foi superado apenas pela preocupação com a segurança deste novo tipo de mídia.

3 Aspectos de Segurança de Redes
Introdução A segurança em sua forma mais simples se preocupa em garantir que pessoas mal intencionadas (externas à empresa, ou internas) não leiam, ou pior, ainda modifiquem dados/mensagens. É estatisticamente levantado que a maior parte dos problemas de segurança são intencionalmente causados por pessoas que tentam obter algum benefício ou prejudicar alguém.

4 Política de segurança da empresa
Considerações Segundo pesquisas, e constatações feitas pelas próprias empresas especializadas em vender projetos e produtos voltados para o segmento de segurança de informação: “As empresas brasileiras são vulneráveis, frágeis e passíveis de invasões porque a grande maioria dos executivos – não apenas os responsáveis pela área de tecnologia – adotam posturas paternalistas e não profissionais com relação às informações dentro das corporações”.

5 Política de segurança da empresa
Considerações Políticas de segurança são responsabilidades dos CIOs, cabendo aos mesmos escreverem as diretrizes, sejam elas agradáveis ou não para os funcionários. Especialistas reconhecem que cem por cento de segurança é impossível de ser alcançado, todavia é possível alcançar um alto grau de garantia da informação se houver mecanismos de controle diário, 24 horas por dia, sete dias por semana.

6 Política de segurança da empresa
Considerações “equipamentos só funcionam se tivermos uma política para cuidar das pessoas que lidam com eles”. “A equação no caso da informação é tratar do funcionário”.

7 Tipos de penetras mais comuns
Estudante Diverte-se bisbilhotando as mensagens de correio eletrônico de outras pessoas. Hacker Testa o sistema de segurança de alguém (roubar/deletar/alterar, adicionar dados). Executivos Descobrir a estratégia de marketing do concorrente. Representantes de vendas Ampliar mercado de atuação. Ex-funcionário Vingar-se, retaliar-se de perseguições ou demissões. Espião Descobrir, roubar segredos ou informações privilegiadas. Vigarista Roubar números de cartão de crédito e vendê-los. Alterar dados em proveito próprio. Terrorista Roubar segredos militares ou bacteriológicos. Outros Passar-se por outros em intermediações ou transações com ou em pessoas ou empresas. Lidar com segurança é lidar com adversários inteligentes, dedicados, e muitas vezes bem subsidiado.

8 Tipos de ataque Causas mais prováveis Externos
Vulnerabilidade na rede (protocolos, implementações, etc.). Vulnerabilidade nas aplicações (web servers, etc.). Causas mais prováveis Falta de proteção ou proteção insuficiente. Confiança excessiva. Inexistência de auditoria

9 Tipos de ataque Causas mais prováveis Internos
Acesso não autorizado a dados. Sabotagem. Engenharia social. Causas mais prováveis Inexistência de acesso hierárquico. Retaliação.

10 Tipos de ataque Implementar uma política de segurança em uma empresa ou organização implica em implementar controles de segurança do tipo: Físicos; Lógicos; Organizacionais; Pessoais; Operacionais; De desenvolvimento de aplicações; Das estações de trabalho; Dos servidores; De proteção na transmissão de dados.

11 Tipos de ataque O desenvolvimento de uma política de segurança deve ser uma atividade interdepartamental. As áreas afetadas devem participar do processo envolvendo-se e comprometendo-se com as metas propostas além de: Entender o que é necessário; Saber por o que são responsáveis; O que é possível com o processo.

12 Controles de segurança
Controles físicos Referem-se à: Restrição de acesso indevido de pessoas a áreas críticas da empresa (ex: CPD); Uso de equipamentos ou sistemas por funcionários mal treinados;

13 Controles de segurança
Controles lógicos Referem-se à: Prevenção e fortalecimento de proteção seletiva de recursos; Problemas / prevenção causados por vírus, e acesso de invasores; Fornecer / retirar autorização de acesso;

14 Controles de segurança
Controles lógicos Referem-se à: Fornecer relatórios informando que recursos estão protegidos, e que usuários tem acesso a esses recursos; Maneira fácil e compreensível de administrar essas capacidades.

15 Controles de segurança
Controles organizacionais Referem-se à: Responsabilizar cada usuário por lista de deveres; Especificar em cada lista o que, quando, e como deve ser feito; Esclarecer as conseqüências do não cumprimento da lista.

16 Controles de segurança
Controles pessoais Referem-se à: Criação de motivação / treinamento sobre segurança; Bloqueio dos arquivos pessoais do empregado quando da sua demissão; Troca de senha quando da demissão do funcionário;

17 Controles de segurança
Controles pessoais Referem-se à: Inclusão de tópicos de segurança computacional no manual dos empregados; Cobrar aspectos de segurança na avaliação o funcionário.

18 Controles de segurança
Controles operacionais Referem-se à: Acompanhar e registrar cada problema, sua causa e sua solução; Planejar estruturas de arquivos e de diretórios;

19 Controles de segurança
Controles operacionais Prever / fornecer proteção de energia ao parque computacional e de conectividade (hubs, switches, routers, etc.); Garantir a confiabilidade e a integridade dos dados avaliando o aspecto custo da rede.

20 Controles de segurança
Controles de desenvolvimento de aplicações Referem-se à: 1) No caso das empresas não-desenvolvedoras de aplicações: Adquirir software necessário e documentação necessária. 2) No caso de empresas desenvolvedoras de aplicações: Verificar a existência / eliminar bugs em softwares; Dar apoio de software em outros locais da organização; Manter / atualizar documentação.

21 Controles de segurança
Controles das estações de trabalho Referem-se à: Proteger os computadores contra roubo de placas, e acessos ao interior do gabinete (uso de travas); Controlar instalação de programas de captura de senha; Controlar acesso às estações.

22 Controles de segurança
Controles de servidor Referem-se à: Prover proteção diversa (contra incêndios, umidade, temperatura, acesso); Mantê-lo em ambiente fechado.

23 Controles de segurança
Controles de proteção na transmissão de dados Referem-se à: Uso de criptografia; Uso de fibras ópticas ou cabos pneumáticos que emitem alarmes quando despressurizados por “grampos”; Filtros / proxy /firewall nas fronteiras da rede, entre redes.

24 Mecanismos de segurança
Ajudam a implementar políticas de segurança e seus serviços: Criptografia Filtros Proxy Firewall

25 O que vem a ser a Criptografia?
É a ciência que faz uso da matemática permitindo criptografarmos (cripto=esconder) e decriptografarmos dados.

26 O que vem a ser a Criptoanálise?
É a ciência que estuda como quebrar um texto cifrado, ou seja, descobrir o texto claro a partir do texto cifrado revelando o significado da mensagem.

27 O que vem a ser a Criptologia?
É a área da matemática que estuda a Criptografia e a Criptoanálise.

28 Por que usar a Criptografia?
Para fornecer: Confidencialidade; Integridade; Verificação de autoria; Autenticação.

29 Como se dá um processo de Encriptação e Decriptação?
SINTEGRA *$R!??:{ Fonte Destino Encriptação Decriptação Texto original cifrado

30 Como um sistema criptográfico é usado?
Algoritmo de criptografia: função matemática usada para encriptar e decriptar (Público). Chave: é o código utilizado pelo algoritmo de criptografia para encriptar necessário para a realização da decriptação (Secreto). Através do criptógrafo o sistema de criptografia é formado.

31 Características do criptógrafo
Confidencialidade da chave; Uso de chaves comuns e fáceis de adivinhar; A dificuldade em se inverter o algoritmo criptográfico sem a chave;

32 Características do criptógrafo
A inexistência de backdoors; A possibilidade de se decodificar todo um texto cifrado dado que se saiba como parte dele é decodificada; O conhecimento de propriedades peculiares da mensagem em texto claro.

33 Tipos de criptografia Criptografia com chaves secretas
(ou simétricas); Criptografia com chaves públicas (ou assimétricas);

34 Criptografia Simétrica
(ou com chave secreta) Utiliza a mesma chave para encriptar e decriptar uma mensagem. MENSAGEM *$R!??:{ Fonte Destino Encriptação Decriptação Texto original cifrado

35 Formas de implementar Criptografia Simétrica
1) Através de tabela de códigos Letra da mensagem Código A ABC B DEF C GHI D JKL . .

36 Formas de implementar Criptografia Simétrica
1) Através de deslocamentos As letras da mensagem são substituídas pela n-ésima letra após a sua posição no alfabeto.

37 Criptografia Simétrica
Vantagens e desvantagens Vantagens Rapidez, simples de implementar. Desvantagens É necessário um canal seguro para enviar a chave.

38 Criptografia Assimétrica
Utiliza uma chave para encriptar e outra para decriptar a mensagem. Também chamados de Algoritmos de Chave Pública. Primeiros algoritmos desenvolvidos em 1975 por Diffie and Hellman.

39 Criptografia Assimétrica
(ou com chave secreta) Chave pública Chave privada MENSAGEM MENSAGEM *$R!??:{ Texto Texto cifrado Texto original Encriptação Decriptação Fonte Destino

40 Criptografia Assimétrica
Chave privada Nesta implementação usuários podem difundir a chave pública para todos que queiram enviar mensagens para eles, visto que apenas com a chave privada será possível a decriptação. Chave Pública é distribuída e a Privada mantida em segredo.

41 Criptografia Assimétrica
Vantagens e desvantagens Vantagens Não há necessidade de canal seguro na troca de chaves, pois não há riscos. Desvantagens A performance do sistema cai demasiadamente se existe uma grande quantidade de dados para decriptografar.

42 Assinatura digital Mecanismo que pode garantir que uma mensagem assinada só pode ter sido gerada com informações privadas do signatário. O mecanismo de assinatura digital deve: A) Assegurar que o receptor possa verificar a identidade declarada pelo transmissor (assinatura); B) Assegurar que o transmissor não possa mais tarde negar a autoria da mensagem (verificação).

43 X Autenticação dos interlocutores
BOB BUNK I’m John... Usuários e elementos devem mostrar credenciais para comprovar sua identidade. Possível através de digital certificates e outros documentos assinados. X ACCESS DENIED ACCESS GRANTED I’m John. PEP’S COMPANY JOHN PEP

44 Funções de uma Autoridade Certificadora (CA)
Distribuição de certificados; Emissão de assinatura de novos certificados; Renegociação de certificados; Revogação de certificados.

45 Como autenticar uma chave pública?
Certificados Para emitir o certificado, a CA pode exigir que o usuário se apresente pessoalmente junto a alguma de suas instalações e prove sua identidade através de documentação apropriada. * Certificados também podem ser emitidos para pessoas jurídicas, das quais pode ser exigido esquema semelhante de comprovação de identidade.

46 Como autenticar uma chave pública?
Certificados Uma vez comprovada a identidade do usuário, ele fornece sua chave pública à CA que gera e assina o certificado. CA

47 Como autenticar uma chave pública?
Certificados Um certificado atesta a veracidade de uma chave pública. De forma simplificada, o certificado é uma chave pública assinada por uma Autoridade de Certificação (CA) que atesta a autenticidade daquela chave pública como pertencente a uma determinada pessoa. Um dos padrões de certificado usualmente utilizados é definido pela norma ITU-T X.509. CA

48 Infraestrutura de rede
Proteção de Redes: Firewall Conexão Segura

49 Segmento de Acesso Público
Firewall - Introdução Definição Dispositivo que conecta redes (interna e/ou externa com vários níveis de direito de acesso). Implementa e garante política de segurança entre as redes conectadas. Internet Intranet Segmento de Acesso Público Corporação Firewall

50 Infraestrutura de rede
Firewall - Conceitos Sistemas confiáveis que são colocados entre duas redes; Política de Segurança define o que passa; Rede interna é confiável (blue net), nem sempre; Rede externa é não-confiável (red net).

51 Segmento de Acesso Público
Firewall -Introdução Proteção de redes - Firewall Quando você conecta sua rede à Internet, é de crítica importância proteger a sua rede contra intrusão. A forma mais efetiva de proteger o link com a Internet é colocar um Sistema de Firewall entre sua rede local e a Internet. Internet Intranet Segmento de Acesso Público Corporação Firewall

52 Firewall -Introdução Saiba o que um Firewall não faz:
1) Não protege contra usuários autorizados maliciosos; 2) Não pode proteger contra conexões que não passam através dele; 3) Não fornece 100% de proteção contra todos os THREATS (ataques embutidos no protocolo).

53 Infraestrutura de rede
Proteção de redes - analogia Firewall Guarda Internet

Carregar ppt "Aspectos de Segurança de Redes"

Apresentações semelhantes

Controles Gerais Prof.: Cheila Bombana. Controles Gerais Prof.: Cheila Bombana.

Controles Gerais Prof.: Cheila Bombana. Controles Gerais Prof.: Cheila Bombana.
André Oliveira Castro Marcelo Siqueira Pereira Filho

André Oliveira Castro Marcelo Siqueira Pereira Filho
Redes de comunicação Aspectos de segurança de redes Aula 16

Redes de comunicação Aspectos de segurança de redes Aula 16
Nome da Apresentação Clique para adicionar um subtítulo.

Nome da Apresentação Clique para adicionar um subtítulo.
Sistemas da Informação e Tecnologia Prof. Luciel Henrique de Oliveira Tecnologias e Ferramentas para Garantir a segurança Trabalho 6 – Adriano Montico.

Sistemas da Informação e Tecnologia Prof. Luciel Henrique de Oliveira Tecnologias e Ferramentas para Garantir a segurança Trabalho 6 – Adriano Montico.
Tecnologias e ferramentas para garantir a segurança de informações

Tecnologias e ferramentas para garantir a segurança de informações
Segurança em Redes - Código Seguro

Segurança em Redes - Código Seguro
Firewall Campus Cachoeiro Curso Técnico em Informática

Firewall Campus Cachoeiro Curso Técnico em Informática
Conceituação de Assinatura e Certificação Digital

Conceituação de Assinatura e Certificação Digital
Equipe: Cassiano C. Casagrande Rodrigo Pereira

Equipe: Cassiano C. Casagrande Rodrigo Pereira
Criptografia e segurança de redes Chapter 14

Criptografia e segurança de redes Chapter 14
Criptografia e Segurança em Rede Capítulo 1

Criptografia e Segurança em Rede Capítulo 1
Modelos Fundamentais -> Segurança

Modelos Fundamentais -> Segurança
Segurança de dados william.

Segurança de dados william.
Fundação Aplicações de Tecnologias Críticas - Atech

Fundação Aplicações de Tecnologias Críticas - Atech
TSDD Teste de segurança durante o desenvolvimento.

TSDD Teste de segurança durante o desenvolvimento.
Segurança e Auditoria de Sistemas

Segurança e Auditoria de Sistemas
Sistemas Seguros 2.2 Distribuição de Chaves

Sistemas Seguros 2.2 Distribuição de Chaves
Modelo de Segurança para Ambientes Cooperativos

Modelo de Segurança para Ambientes Cooperativos
Certificação Digital ICP-Brasil

Certificação Digital ICP-Brasil

Apresentações semelhantes

Anúncios Google