Aula 01 Modelos Seguranca

Curso de P
os-Graduac
ao em Engenharia de
Telecomunicac
oes e Redes de Computadores
Disciplina 19: Gerenciamento e
Seguranca de Redes
Prof. Wagner Elvio de Loiola Costa
Faculdade PITAGORAS
Curso de P
os-Graduac
ao em
Engenharia de Telecomunicac
oes e Redes de Computadores
26 de setembro de 2015
Wagner Elvio (Ger. e Seguranca de RC)
Ger
encia e Seguranca de Redes
1 / 59
Agenda
Descricao dos Aspectos Envolvidos
Servicos na Rede
Possveis Violacoes de Seguranca
A Arquitetura de Seguranca OSI
Ataques realizados
Mecanismos de Seguranca
Tendencias de Seguranca
Intrusion Detection System - IDS
Conclusao
Ger
2 / 59
Descric
ao dos Aspectos Envolvidos
Ger
3 / 59
Descric
Fatos:
1
Em um ambiente corporativo ha uma enorme complexidade que a

gerencia da seguranca das informac
oes (redes e dados) torna-se difcil e
havendo possibilidades de erros que comprometem a seguranca das
informac
oes, pode citar dois aspectos nessa situacao:
1
Diferentes usu
arios existentes em uma rede;
Desafio do ambiente corporativo e
A complexidade das conex

oes
Ger
4 / 59
Descric
Diferentes usu
arios existentes em uma rede-01
1
Em um ambiente corporativo de uma empresa resultante de novas

uni
oes de empresas (fus
oes) faz-s necessario diferenciar o acesso de
usuarios de externos e internos.
Como se comportar com o acesso de usuario m

oveis ?
O acesso com o uso de rede privadas virtuais (VPN) permite o acesso

de varios usuarios a areas de seguranca da empresa.
Diante deste cenario, o acesso a essas informac

oes precisa de uma
maior atencao no que diz respeito a seguranca do acesso às
informac
oes da empresa.
Ger
5 / 59
Descric

Diferentes usu
arios existentes em uma rede-02
1
A seguranca dos recursos e informac

oes da empresa precisar estar
seguras.
Apenas pessoas autorizadas poderao ter acesso.
Devera existir uma poltica de seguranca. Toda empresa de TI possui

uma e varia de acordo com o seu ramo de atividade.
Alem do mais nao se pode esquecer que os incidentes de segurancas

que envolver agentes internos tambem fortalecem a seguranca interna.
Desde modo a seguranca interna torna-se cada vez mais necessaria,

haja visto que mais recursos sao acessados tanto internamente como
externamente.
Ger
6 / 59
Descric
Desafio do ambiente corporativo;:

1
O desafio do ambiente corporativo e gerenciar os diferentes tipos de

acesso existentes, sem causar prejuzo as regras de seguranca
implantadas na poltica de seguranca da empresa.
Essa preocupacao existe, pois quando ha diversas conexoes a serem

compartilhadas em uma mesma infraestrutura fsica, ha o risco de um
acesso permitido a uma aplicacao seja compartilhado erroneamente a
uma outra aplicacao dentro da empresa, comprometendo assim a
seguranca da informacao da empresa.
Ger
7 / 59
Descric

A complexidade das conex
oes
1
Diante do cenario mostrado anteriormente, os nveis de acesso e os

metodos de controle de acesso, alcancam um certo grau de
complexidade em um ambiente corporativo.
1
Mesmo com o uso de redes com VPN, faz-se necess

ario uma poltica de
seguranca para que n
ao seja permitidos acessos indevidos;
Faz-se necess
ario tambem uma atualizac
ao das permiss
oes de acesso
dos usu
arios aos aplicativos da empresa.(Usu
arios que deixaram a
empresa ou mudaram de setor)
Um monitoramento desses acesso e sempre necess

ario para garantir as
polticas de segurancas da empresa;
Ger
8 / 59
Servicos na Rede
Servicos na Rede
Ger
9 / 59
Servicos na Rede
Servicos na Rede
Benefcios oferecidos pela redes de computadores (E-mail, Comercio

Eletronico, EaD, VoIP, Home Banking e outros mais)
Esses benefcios s
o s
ao garantidos:
Ambiente Seguro (Com sistema de protecao com Firewall, IDS,
Anti-Vrus);
Sistema operacional e programas atualizado com aplicacoes de
patches(sem bugs);
Pratica de uma poltica de um bom usodos recursos da rede por
partes dos usuarios corporativo.
Ha uma grande quantidade de ataques que vem sendo

realizados.(CERT.Br)
Ger
10 / 59
Servicos na Rede
Introducao - Estatstica
Estatstica Site CERT.Br: Primeiro Semestre de 2012 - 50,39%
Ger
11 / 59
Servicos na Rede
Estatstica Site CERT.Br: Ano de 2014
Ger
12 / 59
Servicos na Rede
Introducao - Ambiente Seguro Descricao
Figura:
Fonte http://www.kernel-panic.it/openbsd.html
Ger
13 / 59
Servicos na Rede
Introducao Definicao do Problema

Sistema de protec
ao com Firewall e Antivirus:
Visa impedir a execucao de ac
oes maleficas na rede (Constituem uma
barreira contra worms, vrus e hackers);
Mas eles nao garantem uma protecao total (Pois, pode ocorrer invasoes
atraves de portas legtimas, Ex. 25, 53, 80 e outras);
A solucao seria o uso de um IDS.
Uso de um sistema de IDS:

Permite a deteccao de intrus
oes(Com auxlio de uma base de
assinatura);
Analisam o comportamento de trafego em portas legtimas.
(Analise que um Firewall nao realiza).
Precisa evitar falsos positivos(Com uma boa base de assinatura);
Ger
14 / 59
Servicos na Rede
Introducao Definicao do Problema-IDS-Limitacoes

Sistema de IDS Limitac
oes:
Os IDS existentes (Incluindo o IDS-NIDIA sao sistemas isolados);
Nao sao facilmente reutilizados. (As informac
oes que um IDS obtem
ele nao compartilha com outro);
Utilizam diferentes protocolos e sao criados com paradigmas de
programacao diferentes;
Uma Boa Soluc

ao seria o uso das informac
oes de diferentes IDSs
Haveria um Compartilhamento das bases de assinaturas de varios IDSs;
Problemas de Erros com Falsos Positivos seriam diminudos;
Uma maior protecao em uma rede corporativa (Firewal + Antivrus
+ IDSs compartilhados);
Ger
15 / 59
Servicos na Rede
Introducao Solucao Proposta
A solucao proposta e criar uma arquitetura para suportar a

interoperabilidade entre sistemas IDSs distintos seguindo Filosofia
SOA (Service Oriented Architecture);
O IDS-NIDIA sera adaptado e estendido de acordo com esta
arquitetura SOA;
Os servicos oferecidos pela arquitetura IDS-NIDIA serao
transformados em servicos(SOA) com o prop
osito de oferecer uma
composicao estatica e reuso entre varios IDSs.;
Ger
16 / 59
Servicos na Rede
Introducao Solucao Proposta IDS-NIDIA NIDS-SOA

Transformar as camadas, os agentes e/ou os agentes do
IDS-NIDIA(captura, analise, formatacao, atualizacao, consulta BD e reacao)
em servicos.
1
Esses servicos podem ser reutilizados com outros servicos de outros

IDSs;
Um IDS, por exemplo, podera utilizar o servico basico de conhecimento

de assinatura para compor um servico de analise com um outro IDS;
Cooperacao entre os IDSs;.
Esses servicos basicos serao utilizados por outros IDSs que tenham a
caracterstica de realizar composicao de servicos;
Ger
17 / 59
Possveis Violac
oes de Seguranca
Ger
18 / 59
Possveis Violac
oes de Seguranca
Algumas violac
oes:
1
Destruicao de informacao;
Modificacao ou deturpacao da informacao;
Roubo, remocao ou perda de informacao e/ou recursos;
Interrupcao de servicos da empresa;
Ger
19 / 59
Ger
20 / 59
ITU-T X.800 Security Architecture for OSI apresenta um meio

sistematico de definir e prover requisitos de seguranca.
uma visao geral u
E
til, abstrata, de varios conceitos sobre seguranca.
Ger
21 / 59
Aspectos de Seguranca01
Ha tres aspectos de seguranca de informacao a serem considerados:

ataque à seguranca;
mecanismo de seguranca e
servico de seguranca
Ger
22 / 59
Ataque à Seguranca02
Qualquer acao que comprometa a seguranca da informacao

pertencente a uma organizacao.
A seguranca de informacao diz respeito a prevencao de ataques, ou
falha em prevencao, e deteccao de ataques a sistemas baseados em
informacao.
Ger
23 / 59
Ataque à Seguranca02
Os termos ameaca e ataque normalmente sao usados para designar

mais ou menos a mesma coisa.
Ha uma ampla variedade de ataques. Podem focar tipos de ataques
genericos:
Passivos e
Ativos.
Ger
24 / 59
Ataques Passivos
Ataques Passivos
Ger
25 / 59
Ataques Ativos
Ataques Ativos
Ger
26 / 59
Servicos de Seguranca04
Aumenta a seguranca dos sistemas de processamento de dados e as

transferencias de informacao de uma organizacao.
Busca conter ataques à seguranca usando um ou mais mecanismos de
seguranca
Frequentemente repete func
oes normalmente associadas a
documentos fsicos
Por exemplo, tem assinaturas, dados;
Essas informac
oes precisam estar protegidos contra divulgacao,
adulteracao e destruicao e
Autenticados
Ger
27 / 59
Seguranca05
X.800: - Um servico de seguranca como um servico fornecido por

uma camada de protocolo de comunicacao de sistemas abertos, que
garante a seguranca adequada dos sistemas ou das transferencias de
dados
RFC 2828: - Um servico de processamento ou comunicacao que e
fornecido por um sistema para prover um tipo especfico de protecao
aos recursos do sistema
Ger
28 / 59
Seguranca06
Autenticac
ao - garantia de que a entidade se comunicando e aquela
que ela afirma ser.
Controle de Acesso - impedimento de uso nao autorizado de um
recurso.
Confidencialidade de Dados protecao dos dados contra
divulgacao nao autorizada.
Integridade de Dados - garantia de que os dados recebidos estao
exatamente como foram enviados por uma entidade autorizada.
Irretratabilidade - protecao contra negacao, por parte de uma das
entidades envolvidas em uma comunicacao.
Ger
29 / 59
Mecanismos de Seguranca07
Sao designados a detectar, evitar, e recuperar de um ataque à

seguranca
Nao ha um mecanismo u
nico que possa suprir todas as necessidades
de seguranca
Ha um particular elemento que da suporte a muitos mecanismos de
seguranca:
t
ecnicas criptogr
aficas
Ger
30 / 59
Mecanismos de Seguranca X.80008
Mecanismos de seguranca especficos:

criptografia, assinatura digital, controle de acesso, integridade de
dados, troca de informac
oes de autenticacao, preenchimento de
trafego, controle de roteamento e certificacao.
Mecanismos de seguranca pervasivos:

funcionalidade confiavel, r
otulo de seguranca, deteccao de evento,
registros de auditoria de seguranca e recuperacao de seguranca.
Ger
31 / 59
Modelo Seguranca de Redes
Ger
32 / 59
Modelo para seguranca de rede09
O uso desse modelo exige:

Projetar um algoritmo adequado para realizar a transformacao
Gerar a informacao secreta (chave) a ser usada com o algoritmo
Desenvolver metodos para a distribuicao e compartilhamento da
informacao secreta
Especificar um protocolo a ser usado pelas duas entidades principais,
que utilizem o algoritmo de seguranca e a informacao secreta para
conseguir um determinado servico de seguranca
Ger
33 / 59
Modelo de seguranca de acesso a rede10
Ger
34 / 59
Modelo de seguranca de acesso a rede11
Este modelo exige:

selecionar func
oes de portaria apropriadas para identificar usuarios
implementar controles de seguranca para garantir que somente usuarios
autorizados possam acessar informac
oes ou recursos designados
Um sistema de computacao confiavel pode ser u

til para a
implementacao desse modelo.
Ger
35 / 59
Ataques realizados
Ataques realizados
Ger
36 / 59
Ataques realizados
Ataques realizados
Personificac
ao (masquerade);
DDos;
Replay;
Modificac
ao;
Engenharia social;
Recusa ou impedimento de servico
Ger
37 / 59
Ger
38 / 59
Mecanismos de Seguranca-Descricao01
Os mecanismo de seguranca sao definidos na recomendacao X.800

Estes sao incorporados à camada de protocolos apropriados com o
obejtivo de proporcionar seguranca
Ger
39 / 59
Esses mecanismos de Seguranca especfico sao:

1
2
3
4
5
6
7
8
9
Cifragem;
Assinatura digital
Controle de acesso
Integridade de dados
Troca de informac
oes de autenticacao
Preenchimento de trafego
Controle de roteamento
Autenticacao
Certificacao
Ger
40 / 59
Esses mecanismos de Seguranca pervasivos sao:

1
2
3
4
5
Funcionalidade confiavel;
R
otulo de Seguranca;
Deteccao de eventos;
Registro de auditoria de seguranca e
Recuperacao de dados
Ger
41 / 59
Ferramentas de Seguranca-Descricao
Criptografia;
Assinatura digital
Autenticac
ao
Controle de acesso
R
otulos de seguranca
Detecc
ao, registro e informe de eventos
Enchimento de tr
afego
Controle de roteamento
Ger
42 / 59
Tend
encias de Seguranca
Tendencias de Seguranca
Ger
43 / 59
Tend
encias de Seguranca
Tendencias de Seguranca01
Em 1994, o IAB(Internet Architecture Board, emitiu um relatorio

como o nome Security in the Internet architecture
Esse relatorio abordava os seguintes itens:
1
Apresentava um consenso geral de que a Internet precisava de mais

seguranca;
Identificou as principais areas para os mecanismo de seguranca;
Identificou a necessidade de proteger uma infraestrutura de rede contra

acesso nao autorizado.
Necessidade de proteger o trafego de dados com o uso de mecanismo

de autenticacao e criptografia.
Ger
44 / 59
Tend
encias de Seguranca
Essa preocupacao faz-se sentido devido aos dados coletados pelo

CERT.BR
O CERT.BR e o Centro de Estudos, Resposta e Tratamento de
Incidentes de Seguranca no Brasil
O mesmo mantido pelo NIC.br, http://www.cert.br/ do Comite
Gestor da Internet no Brasil, e atende a qualquer rede brasileira
conectada à Internet.
Ger
45 / 59
Tend
encias de Seguranca
Essa ameacas sao as mais diversas e pode-se citar algumas:

1
Ataques de negacao de servicos;
Falsificacao de IP( IP falsos sao criados para poder realizar a

autenticacao em aplicac
oes que usam autenticacao baseadas em IP)
Farejamento de pacotes para poder colher informacoes como logon

e/ou senhas;
Ataques de injec
oes de comandos SQL
Ger
46 / 59
Tend
encias de Seguranca
Estatstica Site CERT.Br: Ano de 2014
Ger
47 / 59
Tend
encias de Seguranca
Com o passar do tempo, os ataques passaram a ser mais sofisticados

1
Observar-se que o aumento dos ataques coincide com o crescimento

doo uso da Internet.
Empresas contam e precisam utilizar a Internet cada vez mais, haja

vista que os processo empresarias dependem do acesso a Internet
(E-mail, home Banking, VoIP e outros mais)
Informac
oes da empresas precisam estar seguras
Acessos as informac
oes precisam de seguranca
Acesso aos dados da empresas por terceiros precisam estar protegidos
Ger
48 / 59
Tend
encias de Seguranca
Introducao - Ambiente Seguro Descricao
Figura:
Tend
encia na sofisticac
ao dos ataques e conhecimento do intruso. Fonte CERT
Ger
49 / 59
Ger
50 / 59
Intrusion Detection System - IDS01
Um IDS (Intrusion Detection System) ou Sistema de Detecc

ao de
Intrus
ao tem por finalidade analisar o comportamento em uma rede
computadores. Ele trabalha com um sistema que alerta o
administrator ou o pr
oprio sistema quando da ocorrencia de tentativas
de intrusoes na rede, com uso de conhecimentos listados em uma
base de dados(como por exemplo assinatura de ataques,
comportamento diferente do esperado).
Ger
51 / 59
Um IDS junto com o firewall tem a capacidade de melhor proteger

uma rede de computadores. O firewall limita-se a bloquear portas de
servicos que nao estejam em uso em uma rede, enquanto que um IDS
realiza a analise do trafego na rede em todas as portas de servicos
disponveis em um sistema, ele detecta os ataques realizados contras
portas e servicos legtimos (como por exemplo, podemos citar as
portas TCP: 25, 80, 110 e 443.
Ger
52 / 59
Os servicos listados para essas portas podem sofrer ataques que nao
serao barrados pelo firewall, haja vista que essas portas sao legtimas.
Entretanto, o trafego de rede em todas essas portas pode ser
capturado e analisado por um IDS e dependendo das regras que o IDS
possuir, o mesmo podera responder ao invasor com o bloqueio da
porta para o IP do atacante.
Ger
53 / 59
Um sistema IDS deve possuir as seguintes caractersticas:

Captura de dados: Necessita ter um sistema de captura de dados da
rede ou em algum arquivo de log em um sistema;
An
alise de dados: Necessita ter um sistema que realizara a analise dos
dados capturados com base em assinaturas de ataques ja conhecidas e
registradas em uma base de dados. Tambem realizara analise em
atividades consideradas fora do padrao de normalidade de uso da rede;
Base de dados: Necessita ter uma base de dados para registrar
informac
oes sobre tipos de assinatura de ataques ja conhecidos e
fornecer respostas a consulta realizadas pelo sistema de analise de
dados;
Ger
54 / 59
Um sistema IDS deve possuir as seguintes caractersticas:

Atualizac
ao na base de dados: Fara a atualizacao em uma base de
dados, das ocorrencias capturadas e consideradas como atividades
suspeitas;
M
odulo de reac
ao: Esse m
odulo tera a capacidade de realizar acoes
de resposta a um ataque realizando ac
oes como: alteracoes nas regras
do firewall, emissao de alarme, geracao dos eventos ocorridos em
relat
orios ou em um arquivo de registro desses eventos(Arquivo de log).
Ger
55 / 59
Descricao de um IDS
Figura: Firewall mais IDS
Ger
56 / 59
Conclus
ao
Conclusao
Ger
57 / 59
Conclus
ao
Conclusao Contato
E-mail : wagnerelvio@gmail.com
Ger
58 / 59
Conclus
ao
Conclusao
Obrigado !!!!
Ger
59 / 59

Aula 01 Modelos Seguranca

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Aula 01 Modelos Seguranca

Transféré par

Droits d'auteur :

Formats disponibles

Curso de P

Wagner Elvio (Ger. e Seguranca de RC)

Descricao dos Aspectos Envolvidos

Possveis Violacoes de Seguranca

A Arquitetura de Seguranca OSI

Intrusion Detection System - IDS

Wagner Elvio (Ger. e Seguranca de RC)

Descricao dos Aspectos Envolvidos

Wagner Elvio (Ger. e Seguranca de RC)

Descricao dos Aspectos Envolvidos

Em um ambiente corporativo ha uma enorme complexidade que a

Desafio do ambiente corporativo e

A complexidade das conex

Wagner Elvio (Ger. e Seguranca de RC)

Descricao dos Aspectos Envolvidos

Em um ambiente corporativo de uma empresa resultante de novas

Como se comportar com o acesso de usuario m

O acesso com o uso de rede privadas virtuais (VPN) permite o acesso

Diante deste cenario, o acesso a essas informac

Wagner Elvio (Ger. e Seguranca de RC)

Descricao dos Aspectos Envolvidos

A seguranca dos recursos e informac

Apenas pessoas autorizadas poderao ter acesso.

Devera existir uma poltica de seguranca. Toda empresa de TI possui

Alem do mais nao se pode esquecer que os incidentes de segurancas

Desde modo a seguranca interna torna-se cada vez mais necessaria,

Wagner Elvio (Ger. e Seguranca de RC)

Descricao dos Aspectos Envolvidos

Desafio do ambiente corporativo;:

O desafio do ambiente corporativo e gerenciar os diferentes tipos de

Essa preocupacao existe, pois quando ha diversas conexoes a serem

Wagner Elvio (Ger. e Seguranca de RC)

Descricao dos Aspectos Envolvidos

Diante do cenario mostrado anteriormente, os nveis de acesso e os

Mesmo com o uso de redes com VPN, faz-se necess

Um monitoramento desses acesso e sempre necess

Wagner Elvio (Ger. e Seguranca de RC)

Wagner Elvio (Ger. e Seguranca de RC)

Benefcios oferecidos pela redes de computadores (E-mail, Comercio

Ha uma grande quantidade de ataques que vem sendo

Wagner Elvio (Ger. e Seguranca de RC)

Wagner Elvio (Ger. e Seguranca de RC)

Estatstica Site CERT.Br: Ano de 2014

Wagner Elvio (Ger. e Seguranca de RC)

Introducao - Ambiente Seguro Descricao

Introducao Definicao do Problema

Uso de um sistema de IDS:

Wagner Elvio (Ger. e Seguranca de RC)

Introducao Definicao do Problema-IDS-Limitacoes

Uma Boa Soluc

Wagner Elvio (Ger. e Seguranca de RC)

Introducao Solucao Proposta

A solucao proposta e criar uma arquitetura para suportar a

Wagner Elvio (Ger. e Seguranca de RC)

Introducao Solucao Proposta IDS-NIDIA NIDS-SOA

Esses servicos podem ser reutilizados com outros servicos de outros

Um IDS, por exemplo, podera utilizar o servico basico de conhecimento

Cooperacao entre os IDSs;.

Wagner Elvio (Ger. e Seguranca de RC)

Possveis Violacoes de Seguranca

Wagner Elvio (Ger. e Seguranca de RC)

Possveis Violacoes de Seguranca

Modificacao ou deturpacao da informacao;

Roubo, remocao ou perda de informacao e/ou recursos;