Filtragem de Pacotes Regras que avaliam as informações no cabeçalho de um pacote toda vez que um chega ao firewall, para então ser decidido se é permitido ou não a sua passagem. Caso seja permitido a passagem do pacote, ele toma o seu caminho normalmente. Porém nenhum pacote passa por roteador ou firewall sem sofrer algumas modificações. Antes do pacote tomar o seu caminho o roteador ou firewall reduz o valor da TTL (Time-To-Live) no cabeçalho em pelo menos 1. Se o TTL, que o emissor provavelmente configurou como 128, atingir a marca de 0, o pacote é descartado.
Filtragem de Pacotes IP de origem: É o endereço de IP que o pacote lista como seu emissor. IP de destino: É o endereço de IP para onde o pacote está sendo mandado. ID de protocolo IP: Um cabeçalho IP pode ser seguido por vários cabeçalhos de protocolos. Cada um desses protocolos tem seu próprio ID de protocolo IP. Os exemplos mais conhecidos são TCP (ID 6) e UDP (ID 17). Numero de portas TCP ou UDP : O numero da porta indica que tipo de serviço o pacote é destinado. Flag de fragmentação: Pacotes podem ser quebrados em pacotes menores. Ajuste de opções do IP: Funções opcionais no TCP/IP que podem ser especificadas nesse campo. Essas opções são apenas usadas para diagnóstico, de forma que o firewall possa descartar pacotes com opções de IP determinadas.
Firewalls de Aplicação Com a utilização deste tipo de firewall, podemos usufruir da filtragem na base em informação de nível de aplicação (por exemplo, com base em URLS dentro de um servidor, possibilita o estabelecimento de zonas com diferentes tipos de acesso); Possibilita o modo de acordo com a informação e não simplesmente com base em regras de acesso estáticas; Possibilidade de funcionarem como repositórios (arquivos) temporários ocorrendo melhorias significativas ao longo do seu desempenho.
Firewall baseado em estado Firewall de Pacotes + Firewall de Aplicação Possibilita o funcionamento ao nível da aplicação de uma forma dinâmica; Inclui funcionalidades de encriptação e encapsulamento e balanceamento de carga; A manutenção e configuração requerem menos complexas operações. Alto custo
IDS – Intrusion Detection Systems Conceito Podem estar localizados em hosts (H-IDS) ou em uma rede (N-IDS)
Vantagens do IDS baseado em Host Como podem monitorar eventos localmente, os IDS de estação conseguem detectar ataques que não conseguem ser detectados por IDS de rede; Trabalham em ambientes onde o trafego seja criptografado, desde que os dados sejam encriptados na estação antes do envio ou decriptados nos host após o recebimento; Não são afetados por switches;
Desvantagens do IDS baseado em Host São de difícil monitoramento, já que em cada estação deve ser instalado e configurado um IDS; Podem ser desativados por DoS; Recursos computacionais são consumidos nas estações monitoradas, com diminuição do desempenho; O IDS pode ser atacado e desativado, escondendo um ataque, se as fontes de informações residirem na estação monitorada;
Vantagens do IDS baseado em rede Com um bom posicionamento, pode haver apenas poucos IDS instalados para monitorar uma rede grande Um pequeno impacto é provocado na rede com a instalação desses IDS, pois são passivos, e não interferem no funcionamento da rede Difíceis de serem percebidos por atacantes e com grande segurança contra ataques
Desvantagens do IDS baseado em rede Podem falhar em reconhecer um ataque em um momento de trafego intenso; Em redes mais modernas baseadas em switches, algumas das vantagens desse tipo de IDS não se aplicam; Não conseguem analisar informações criptografadas, sendo um grande problema, visto que muitos atacantes utilizam criptografia em suas invasões; Grande parte não pode informar se o ataque foi ou não bem sucedido, podendo apenas alertar quando o ataque foi iniciado.
Backup Falhas técnicas: falha no disco rígido (HD), falha de energia, sobrecarga na rede de computadores que pode gerar falhas de comunicação e de software; Falhas ambientais: descargas elétricas provindas de raios, enchentes, incêndios; Falhas humanas: detém 84% das perdas de dados e são devidas à exclusão ou modificação de dados acidental ou mal-intencionada, vírus, roubo de equipamentos e sabotagem.
Tipos de Backup Backup normal Backup diferencial Backup incremental
Backup Normal Um backup normal copia todos os arquivos selecionados e os marca como arquivos que passaram por backup (ou seja, o atributo de arquivo é desmarcado). Com backups normais, você só precisa da cópia mais recente do arquivo ou da fita de backup para restaurar todos os arquivos. Geralmente, o backup normal é executado quando você cria um conjunto de backup pela primeira vez.
Backup Diferencial Um backup diferencial copia arquivos criados ou alterados desde o último backup normal ou incremental. Não marca os arquivos como arquivos que passaram por backup (o atributo de arquivo não é desmarcado). Se você estiver executando uma combinação dos backups normal e diferencial, a restauração de arquivos e pastas exigirá o último backup normal e o último backup diferencial.
Backup Incremental Um backup incremental copia somente os arquivos criados ou alterados desde o último backup normal ou incremental. e os marca como arquivos que passaram por backup (o atributo de arquivo é desmarcado). Se você utilizar uma combinação dos backups normal e incremental, precisará do último conjunto de backup normal e de todos os conjuntos de backups incrementais para restaurar os dados.
Periodicidade de Backup Frequência de Modificações X Importância da Informação Backup Diário Backup Semanal Backup Mensal Backup Anual
Criptografia
Criptografia Conceito Histórico Tipos Criptografia Simétrica; Criptografia Assimétrica
Conceituação kryptos (oculto, secreto), graphos (escrever). Texto aberto: mensagem ou informação a ocultar Texto cifrado: informação codificada; Cifrador: mecanismo responsável por cifrar/decifrar as informações Chaves: elementos necessários para poder cifrar ou decifrar as informações Espaço de chaves: O número de chaves possíveis para um algoritmo de cifragem
Conceituação Algoritmo computacionalmente seguro Custo de quebrar excede o valor da informação O tempo para quebrar excede a vida útil da informação Meios de criptoanálise Força bruta Mensagem conhecida Mensagem escolhida (conhecida e apropriada) Análise matemática e estatística Engenharia social Conceitos para bom algoritmo de criptografia Confusão: transformações na cifra de forma irregular e complexa Difusão: pequena mudança na mensagem, grande na cifra
Histórico Cifrador de César mensagem aberta: Reunir todos os generais para o ataque mensagem cifrada com k = 1: Sfvojs upept pt hfofsbjt qbsb p bubrvf mensagem cifrada com k = 2: Tgwpkt vqfqu qu igpgtcku rctc q cvcswg mensagem cifrada com k = 3: Uhxqlu wrgrv rv jhqhudlv sdud r dwdtxh
Curiosidade Criptografia AES (Advanced Encryption Standard) Chaves de 128 bits, ou seja, espaço de chaves com 2128 possibilidades 340.282.366.920.938.463.463.374.607.431.768.211.456 chaves diferentes
Tipos de Cifras Cifras de Transposição Cifras de Substituição: Cifra de substituição simples ou monoalfabética ; Cifra de substituição polialfabética; Cifra de substituição de polígramos ; Cifra de substituição por deslocamento.
Criptografia Simétrica Algoritmo É o próprio processo de substituição ou transposição. Consiste nos passos a serem tomados para realizar a encriptação. Chave Define o alfabeto cifrado exato que será utilizado numa codificação em particular. O algoritmo utilizado em um processo de encriptação pode ser divulgado sem problemas. A chave, porém, deve ser uma informação confidencial do remetente e do destinatário.
Desvantagens do Uso de Chaves Simétricas Se uma pessoa quer se comunicar com outra com segurança, ela deve passar primeiramente a chave utilizada para cifrar a mensagem. Grandes grupos de usuários necessitam de um volume grande de chaves, cujo gerenciamento é complexo
Criptografia Assimétrica Postulada pela primeira vez em meados de 1975 por Withfield Diffie e Martin Hellman Algoritmos de chave pública e privada Baseada em princípios de manipulação matemática. Os algoritmos são computacionalmente pesados e lentos.
Criptografia Assimétrica
Criptografia Assimétrica RSA Ron Rivest / Adi Shamir / Leonard Adleman Criado em 1977. É o algoritmo de chave pública mais utilizado. Utiliza números primos. A premissa por trás do RSA é que é fácil multiplicar dois números primos para obter um terceiro número, mas muito difícil recuperar os dois primos a partir daquele terceiro número.
Criptografia Assimétrica Cerca de 95% dos sites de comércio eletrônico utilizam chaves RSA de 512 bits. O desenvolvimento dos algoritmos de criptografia assimétrica possibilitou o aparecimento de aplicações que trafegam dados internet de forma segura, notadamente do e-commerce.
Certificado Digital Assim como o RG ou o CPF identificam uma pessoa, um certificado digital contém dados que funcionam como um certificado físico, contendo informações referentes a: pessoa ou entidade a quem foi emitido o certificado digital e respectivo endereço; sua chave pública e respectiva validade; número de série; e nome da empresa que emitiu seu certificado (chamada de Autoridade Certificadora, ou AC) com respectiva assinatura digital.
Certificado Digital Qualquer modificação realizada em um certificado digital o torna inválido e por isso é impossível falsificá-lo. O objetivo da assinatura digital no certificado é indicar que uma outra entidade (a Autoridade Certificadora – AC) garante a veracidade das informações nele contidas. Fazendo uma analogia, a AC faz o papel dos órgãos públicos como a Secretaria de Segurança Pública quando emite um RG, ou seja, ela garante quem você é, dando-lhe legitimidade através de sua assinatura digital.
Assinatura Digital Um documento pode ser considerado genuíno quando não sofreu alterações. No mundo real, a autenticidade de um documento pode ser garantida pelo uso de assinaturas, rubricas e marcas especiais. No mundo virtual, este item pode ser assegurado através do uso de assinaturas digitais.
Assinatura Digital A assinatura digital visa garantir que um determinado documento não seja alterado após assinado. Etapas: O autor, através de um software próprio, realiza uma operação e faz um tipo de resumo dos dados do documento que quer enviar, também chamado de “função hash”. O Autor usa a chave privada de seu certificado digital para encriptar este resumo.
Assinatura Digital
Complexidade de Senhas A função primordial da senha Métodos de quebra de senha: Dedução inteligente Ataques de dicionário Automatização ou Força Bruta
Sugestões para a criação de senhas seguras Não utilize palavras existentes em dicionários nacionais ou estrangeiros; Não escreva suas senhas em papéis, muito menos salve na máquina documentos digitais, como o Word ou o bloco de notas; Não utilize informações pessoais fáceis de serem obtidas, tais como: nome ou sobrenome do usuário, nome da esposa, filhos ou animais de estimação, matrícula na empresa, números de telefone, data de nascimento, cidades de origem, etc.; Não utilize senhas constituídas somente por números ou somente por letras; Utilize senhas com, pelo menos, seis caracteres; Misture caracteres em caixa baixa e alta (minúsculas e maiúsculas);
Sugestões para a criação de senhas seguras Crie senhas que contenham letras, números e caracteres especiais (*,#,$,%...); Inclua na senha, pelo menos, um caractere especial ou símbolo; Utilize um método próprio para lembrar das senhas que dispense registrar a mesma em qualquer local; Não empregue senhas com números ou letras repetidos em sequência; Não forneça sua senha para ninguém; Altere as senhas, pelo menos, a cada 3 meses; Utilize senhas que possam ser digitadas rapidamente, sem que seja preciso olhar para o teclado; Para facilita a memorização da senha é possível criar uma frase secreta e extrair delas as iniciais de cada letra. Por exemplo da frase “É melhor 1 pássaro na mão do que 2 voando” se extrai “Em1pnmdq2v”.
Curiosidade http://www.nakedpassword.com/
Segurança em Redes Wireless Histórico e conceitos Popularização das redes wireless Facilidade na configuração dos equipamentos
Padrões 802.11b 802.11ª 802.11g 802.11 n Frequência: 2,4 GHz Velocidade: 11 Mbps 802.11ª Frequência: 5 GHz Velocidade: 54 Mbps 802.11g 802.11 n Frequência: 2,4 e/ou 5 GHz Velocidade: até 300 Mbps
Protocolos de Segurança WEP (Wired Equivalent Privacy) - 1999 WEP2 ou WPA (Wi-Fi Protected Access) – 2003 Substitui a chave hexadecimal de tamanho fixo da WEP por uma frase-senha (passphrase) Compatibilidade com o WEP Chaves TKIP ou AES Servidor Radius WPA2 – 2004 Incompatibilidade com WEP Chaves AES
Técnicas adicionais de Segurança para Redes Wireless Filtro de MAC Ocultamento de SSID Limitar IP range no DHCP
Virtual Private Network - VPN As VPNs são túneis de criptografia entre pontos autorizados, criados através da Internet ou outras redes públicas e/ou privadas para transferência de informações, de modo seguro, entre redes corporativas ou usuários remotos.
Medidas Consideradas Efetivas
Normas ISO/IEC de Segurança da Informação ISMS (Information Security Management System); Ciclo PDCA; Dividida em cinco seções: O Sistema de Gestão da Segurança da Informação; A responsabilidade da administração; As auditorias internas do ISMS; A revisão do ISMS; A melhoria do ISMS.
Normas ISO/IEC de Segurança da Informação Substitui a antiga ISO/IEC 17799; Dividida nas seguintes seções: Política de segurança da informação; Organizando a segurança da informação; Gestão de ativos; Segurança em recursos humanos; Segurança física do ambiente; Gestão das operações e comunicações;
Normas ISO/IEC de Segurança da Informação Controle de acesso Aquisição, desenvolvimento e manutenção de sistemas de informação; Gestão de incidentes de segurança da informação; Gestão da continuidade do negócio; Conformidade.
Normas ISO/IEC da série 27000 de Segurança da Informação ISO/IEC 27000:2009 - Sistema de Gerenciamento de Segurança - Explicação da série de normas, objetivos e vocabulários; ISO/IEC 27001:2005 - Sistema de Gestão de Segurança da Informação - Especifica requerimentos para estabalecer, implementar, monitorar e rever, além de manter e provisionar um sistema de gerenciamento completo. Utiliza o PDCA como prinípio da norma e é certificável para empresas. ISO/IEC 27002:2005 - Código de Melhores Práticas para a Gestão de Segurança da Informação - Mostra o caminho de como alcanças os controles certificáceis na ISO 27001. Essa ISO é certificável para profissionais e não para empresas.
Normas ISO/IEC da série 27000 de Segurança da Informação ISO/IEC 27003:2010 - Diretrizes para Implantação de um Sistema de Gestão da Segurança da Informação - Segundo a própria ISO/IEC 27003, “O propósito desta norma é fornecer diretrizes práticas para a implementação de um Sistema de Gestão da Segurança da Informação (SGSI), na organização, de acordo com a ABNT NBR ISO/IEC 27001:2005. ISO/IEC 27004:2009 - Gerenciamento de Métricas e Relatórios para um Sistema de Gestão de Segurança da Informação - Mostra como medir a eficácia do sistema de gestão de SI na corporação. ISO/IEC 27005:2008 - Gestão de Riscos de Segurança da Informação - Essa norma é responsável por todo ciclo de controle de riscos na organização, atuando junto à ISO 27001 em casos de certificação ou através da ISO 27002 em casos de somente implantação.
Normas ISO/IEC da série 27000 de Segurança da Informação ISO/IEC 27006:2007 - Requisitos para auditorias externas em um Sistema de Gerenciamento de Segurança da Informação - Especifica como o processo de auditoria de um sistema de gerenciamento de segurança da informação deve ocorrer. ISO/IEC 27007 - Referências(guidelines) para auditorias em um Sistema de Gerenciamento de Segurança da Informação. ISO/IEC 27008 - Auditoria nos controles de um SGSI - O foco são nos controles para implementação da ISO 27001.
Normas ISO/IEC da série 27000 de Segurança da Informação ISO/IEC 27010 - Gestão de Segurança da Informação para Comunicações Inter Empresariais- Foco nas melhores formas de comunicaar, acompanhar, monitorar grandes incidentes e fazer com que isso seja feito de forma tansparente entre empresas particulares e governamentais. ISO/IEC 27011:2008 - Gestão de Segurança da Informação para empresa de Telecomunicações baseada na ISO 27002 - Entende-se que toda parte de telecomunicação é vital e essencial para que um SGSI atinga seus objetivos plenos(claro que com outras áreas), para tanto era necessário normatizar os processos e procedimentos desta área objetivando a segurança da informação corporativa de uma maneira geral. A maneira como isso foi feito, foi tendo como base os controles e indicações da ISO 27002.