1 / 52

Security Protocols and Firewalls: Key Components and Functions

Explore packet filtering, application-based firewalls, state-based firewalls, IDS systems, and backup strategies in network security. Learn about packet inspection and rule evaluation, filtering at the application level, and backup types and methodologies.

basia-cash
Download Presentation

Security Protocols and Firewalls: Key Components and Functions

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Filtragem de Pacotes • Regras que avaliam as informações no cabeçalho de um pacote toda vez que um chega ao firewall, para então ser decidido se é permitido ou não a sua passagem. • Caso seja permitido a passagem do pacote, ele toma o seu caminho normalmente. Porém nenhum pacote passa por roteador ou firewall sem sofrer algumas modificações. • Antes do pacote tomar o seu caminho o roteador ou firewall reduz o valor da TTL (Time-To-Live) no cabeçalho em pelo menos 1. Se o TTL, que o emissor provavelmente configurou como 128, atingir a marca de 0, o pacote é descartado.

  2. Filtragem de Pacotes • IP de origem: É o endereço de IP que o pacote lista como seu emissor.  • IP de destino: É o endereço de IP para onde o pacote está sendo mandado. • ID de protocolo IP: Um cabeçalho IP pode ser seguido por vários cabeçalhos de protocolos. Cada um desses protocolos tem seu próprio ID de protocolo IP. Os exemplos mais conhecidos são TCP (ID 6) e UDP (ID 17). • Numero de portas TCP ou UDP : O numero da porta indica que tipo de serviço o pacote é destinado. • Flag de fragmentação: Pacotes podem ser quebrados em pacotes menores. • Ajuste de opções do IP: Funções opcionais no TCP/IP que podem ser especificadas nesse campo. Essas opções são apenas usadas para diagnóstico, de forma que o firewall possa descartar pacotes com opções de IP determinadas.

  3. Firewalls de Aplicação • Com a utilização deste tipo de firewall, podemos usufruir da filtragem na base em informação de nível de aplicação (por exemplo, com base em URLS dentro de um servidor, possibilita o estabelecimento de zonas com diferentes tipos de acesso); • Possibilita o modo de acordo com a informação e não simplesmente com base em regras de acesso estáticas; • Possibilidade de funcionarem como repositórios (arquivos) temporários ocorrendo melhorias significativas ao longo do seu desempenho.

  4. Firewall baseado em estado • Firewall de Pacotes + Firewall de Aplicação • Possibilita o funcionamento ao nível da aplicação de uma forma dinâmica; • Inclui funcionalidades de encriptação e encapsulamento e balanceamento de carga; • A manutenção e configuração requerem menos complexas operações. • Alto custo

  5. IDS – IntrusionDetection Systems • Conceito • Podem estar localizados em hosts (H-IDS) ou em uma rede (N-IDS)

  6. Vantagens do IDS baseado em Host • Como podem monitorar eventos localmente, os IDS de estação conseguem detectar ataques que não conseguem ser detectados por IDS de rede; • Trabalham em ambientes onde o trafego seja criptografado, desde que os dados sejam encriptados na estação antes do envio ou decriptados nos host após o recebimento; • Não são afetados por switches;

  7. Desvantagens do IDS baseado em Host • São de difícil monitoramento, já que em cada estação deve ser instalado e configurado um IDS; • Podem ser desativados por DoS; • Recursos computacionais são consumidos nas estações monitoradas, com diminuição do desempenho; • O IDS pode ser atacado e desativado, escondendo um ataque, se as fontes de informações residirem na estação monitorada;

  8. Vantagens do IDS baseado em rede • Com um bom posicionamento, pode haver apenas poucos IDS instalados para monitorar uma rede grande • Um pequeno impacto é provocado na rede com a instalação desses IDS, pois são passivos, e não interferem no funcionamento da rede • Difíceis de serem percebidos por atacantes e com grande segurança contra ataques

  9. Desvantagens do IDS baseado em rede • Podem falhar em reconhecer um ataque em um momento de trafego intenso; • Em redes mais modernas baseadas em switches, algumas das vantagens desse tipo de IDS não se aplicam; • Não conseguem analisar informações criptografadas, sendo um grande problema, visto que muitos atacantes utilizam criptografia em suas invasões; • Grande parte não pode informar se o ataque foi ou não bem sucedido, podendo apenas alertar quando o ataque foi iniciado.

  10. Backup • Falhas técnicas: falha no disco rígido (HD), falha de energia, sobrecarga na rede de computadores que pode gerar falhas de comunicação e de software; • Falhas ambientais: descargas elétricas provindas de raios, enchentes, incêndios; • Falhas humanas: detém 84% das perdas de dados e são devidas à exclusão ou modificação de dados acidental ou mal-intencionada, vírus, roubo de equipamentos e sabotagem.

  11. Tipos de Backup • Backup normal • Backup diferencial • Backup incremental

  12. Backup Normal • Um backup normal copia todos os arquivos selecionados e os marca como arquivos que passaram por backup (ou seja, o atributo de arquivo é desmarcado). Com backups normais, você só precisa da cópia mais recente do arquivo ou da fita de backup para restaurar todos os arquivos. Geralmente, o backup normal é executado quando você cria um conjunto de backup pela primeira vez.

  13. Backup Diferencial • Um backup diferencial copia arquivos criados ou alterados desde o último backup normal ou incremental. Não marca os arquivos como arquivos que passaram por backup (o atributo de arquivo não é desmarcado). Se você estiver executando uma combinação dos backups normal e diferencial, a restauração de arquivos e pastas exigirá o último backup normal e o último backup diferencial.

  14. Backup Incremental • Um backup incremental copia somente os arquivos criados ou alterados desde o último backup normal ou incremental. e os marca como arquivos que passaram por backup (o atributo de arquivo é desmarcado). Se você utilizar uma combinação dos backups normal e incremental, precisará do último conjunto de backup normal e de todos os conjuntos de backups incrementais para restaurar os dados.

  15. Periodicidade de Backup • Frequência de Modificações X Importância da Informação • Backup Diário • Backup Semanal • Backup Mensal • Backup Anual

  16. Criptografia

  17. Criptografia • Conceito • Histórico • Tipos • Criptografia Simétrica; • Criptografia Assimétrica

  18. Conceituação • kryptos(oculto, secreto), graphos(escrever). • Texto aberto: mensagem ou informação a ocultar • Texto cifrado: informação codificada; • Cifrador: mecanismo responsável por cifrar/decifrar as informações • Chaves: elementos necessários para poder cifrar ou decifrar as informações • Espaço de chaves: O número de chaves possíveis para um algoritmo de cifragem

  19. Conceituação • Algoritmo computacionalmente seguro • Custo de quebrar excede o valor da informação • O tempo para quebrar excede a vida útil da informação • Meios de criptoanálise • Força bruta • Mensagem conhecida • Mensagem escolhida (conhecida e apropriada) • Análise matemática e estatística • Engenharia social • Conceitos para bom algoritmo de criptografia • Confusão: transformações na cifra de forma irregular e complexa • Difusão: pequena mudança na mensagem, grande na cifra

  20. Histórico • Cifrador de César • mensagem aberta: Reunir todos os generais para o ataque • mensagem cifrada com k = 1: Sfvojsupeptpthfofsbjtqbsb p bubrvf • mensagem cifrada com k = 2: Tgwpktvqfququigpgtckurctc q cvcswg • mensagem cifrada com k = 3: Uhxqluwrgrvrvjhqhudlvsdud r dwdtxh

  21. Curiosidade • Criptografia AES (AdvancedEncryption Standard) • Chaves de 128 bits, ou seja, espaço de chaves com 2128 possibilidades • 340.282.366.920.938.463.463.374.607.431.768.211.456 chaves diferentes

  22. Tipos de Cifras • Cifras de Transposição • Cifras de Substituição: • Cifra de substituição simples ou monoalfabética; • Cifra de substituição polialfabética; • Cifra de substituição de polígramos ; • Cifra de substituição por deslocamento.

  23. Criptografia Simétrica • Algoritmo • É o próprio processo de substituição ou transposição. • Consiste nos passos a serem tomados para realizar a encriptação. • Chave • Define o alfabeto cifrado exato que será utilizado numa codificação em particular. O algoritmo utilizado em um processo de encriptação pode ser divulgado sem problemas. A chave, porém, deve ser uma informação confidencial do remetente e do destinatário.

  24. Desvantagens do Uso de Chaves Simétricas • Se uma pessoa quer se comunicar com outra com segurança, ela deve passar primeiramente a chave utilizada para cifrar a mensagem. • Grandes grupos de usuários necessitam de um volume grande de chaves, cujo gerenciamento é complexo

  25. Criptografia Assimétrica • Postulada pela primeira vez em meados de 1975 por WithfieldDiffie e Martin Hellman • Algoritmos de chave pública e privada • Baseada em princípios de manipulação matemática. • Os algoritmos são computacionalmente pesados e lentos.

  26. Criptografia Assimétrica

  27. Criptografia Assimétrica • RSA Ron Rivest / Adi Shamir / Leonard Adleman • Criado em 1977. • É o algoritmo de chave pública mais utilizado. • Utiliza números primos. • A premissa por trás do RSA é que é fácil multiplicar dois números primos para obter um terceiro número, mas muito difícil recuperar os dois primos a partir daquele terceiro número.

  28. Criptografia Assimétrica • Cerca de 95% dos sites de comércio eletrônico utilizam chaves RSA de 512 bits. • O desenvolvimento dos algoritmos de criptografia assimétrica possibilitou o aparecimento de aplicações que trafegam dados internet de forma segura, notadamente do e-commerce.

  29. Certificado Digital • Assim como o RG ou o CPF identificam uma pessoa, um certificado digital contém dados que funcionam como um certificado físico, contendo informações referentes a: • pessoa ou entidade a quem foi emitido o certificado digital e respectivo endereço; • sua chave pública e respectiva validade; • número de série; e • nome da empresa que emitiu seu certificado (chamada de Autoridade Certificadora, ou AC) com respectiva assinatura digital.

  30. Certificado Digital • Qualquer modificação realizada em um certificado digital o torna inválido e por isso é impossível falsificá-lo. • O objetivo da assinatura digital no certificado é indicar que uma outra entidade (a Autoridade Certificadora – AC) garante a veracidade das informações nele contidas. • Fazendo uma analogia, a AC faz o papel dos órgãos públicos como a Secretaria de Segurança Pública quando emite um RG, ou seja, ela garante quem você é, dando-lhe legitimidade através de sua assinatura digital.

  31. Assinatura Digital • Um documento pode ser considerado genuíno quando não sofreu alterações. No mundo real, a autenticidade de um documento pode ser garantida pelo uso de assinaturas, rubricas e marcas especiais. • No mundo virtual, este item pode ser assegurado através do uso de assinaturas digitais.

  32. Assinatura Digital • A assinatura digital visa garantir que um determinado documento não seja alterado após assinado. • Etapas: • O autor, através de um software próprio, realiza uma operação e faz um tipo de resumo dos dados do documento que quer enviar, também chamado de “função hash”. • O Autor usa a chave privada de seu certificado digital para encriptar este resumo.

  33. Assinatura Digital

  34. Complexidade de Senhas • A função primordial da senha • Métodos de quebra de senha: • Dedução inteligente • Ataques de dicionário • Automatização ou Força Bruta

  35. Sugestões para a criação de senhas seguras • Não utilize palavras existentes em dicionários nacionais ou estrangeiros; • Não escreva suas senhas em papéis, muito menos salve na máquina documentos digitais, como o Word ou o bloco de notas; • Não utilize informações pessoais fáceis de serem obtidas, tais como: nome ou sobrenome do usuário, nome da esposa, filhos ou animais de estimação, matrícula na empresa, números de telefone, data de nascimento, cidades de origem, etc.; • Não utilize senhas constituídas somente por números ou somente por letras; • Utilize senhas com, pelo menos, seis caracteres; • Misture caracteres em caixa baixa e alta (minúsculas e maiúsculas);

  36. Sugestões para a criação de senhas seguras • Crie senhas que contenham letras, números e caracteres especiais (*,#,$,%...); • Inclua na senha, pelo menos, um caractere especial ou símbolo; • Utilize um método próprio para lembrar das senhas que dispense registrar a mesma em qualquer local; • Não empregue senhas com números ou letras repetidos em sequência; • Não forneça sua senha para ninguém; • Altere as senhas, pelo menos, a cada 3 meses; • Utilize senhas que possam ser digitadas rapidamente, sem que seja preciso olhar para o teclado; • Para facilita a memorização da senha é possível criar uma frase secreta e extrair delas as iniciais de cada letra. Por exemplo da frase “É melhor 1 pássaro na mão do que 2 voando” se extrai “Em1pnmdq2v”.

  37. Curiosidade • http://www.nakedpassword.com/

  38. Segurança em Redes Wireless • Histórico e conceitos • Popularização das redes wireless • Facilidade na configuração dos equipamentos

  39. Padrões • 802.11b • Frequência: 2,4 GHz • Velocidade: 11 Mbps • 802.11ª • Frequência: 5 GHz • Velocidade: 54 Mbps • 802.11g • Frequência: 2,4 GHz • Velocidade: 54 Mbps • 802.11 n • Frequência: 2,4 e/ou 5 GHz • Velocidade: até 300 Mbps

  40. Protocolos de Segurança • WEP (WiredEquivalentPrivacy) - 1999 • WEP2ouWPA (Wi-Fi Protected Access) – 2003 • Substitui a chave hexadecimal de tamanho fixo da WEP por uma frase-senha (passphrase)  • Compatibilidade com o WEP • Chaves TKIP ou AES • Servidor Radius • WPA2 – 2004 • Incompatibilidade com WEP • Chaves AES • ServidorRadius

  41. Técnicas adicionais de Segurança para Redes Wireless • Filtro de MAC • Ocultamento de SSID • Limitar IP range no DHCP

  42. Virtual Private Network - VPN • As VPNs são túneis de criptografia entre pontos autorizados, criados através da Internet ou outras redes públicas e/ou privadas para transferência de informações, de modo seguro, entre redes corporativas ou usuários remotos.

  43. Medidas Consideradas Efetivas

  44. Normas ISO/IEC de Segurança da Informação • ISO/IEC 27001: • ISMS (Information Security Management System); • Ciclo PDCA; • Dividida em cinco seções: • O Sistema de Gestão da Segurança da Informação; • A responsabilidade da administração; • As auditorias internas do ISMS; • A revisão do ISMS; • A melhoria do ISMS.

  45. Normas ISO/IEC de Segurança da Informação • ISO/IEC 27002: • Substitui a antiga ISO/IEC 17799; • Dividida nas seguintes seções: • Política de segurança da informação; • Organizando a segurança da informação; • Gestão de ativos; • Segurança em recursos humanos; • Segurança física do ambiente; • Gestão das operações e comunicações;

  46. Normas ISO/IEC de Segurança da Informação • Controle de acesso • Aquisição, desenvolvimento e manutenção de sistemas de informação; • Gestão de incidentes de segurança da informação; • Gestão da continuidade do negócio; • Conformidade.

  47. Normas ISO/IEC da série 27000 de Segurança da Informação • ISO/IEC 27000:2009 - Sistema de Gerenciamento de Segurança - Explicação da série de normas, objetivos e vocabulários; • ISO/IEC 27001:2005 - Sistema de Gestão de Segurança da Informação - Especifica requerimentos para estabalecer, implementar, monitorar e rever, além de manter e provisionar um sistema de gerenciamento completo. Utiliza o PDCA como prinípio da norma e é certificável para empresas. • ISO/IEC 27002:2005 - Código de Melhores Práticas para a Gestão de Segurança da Informação - Mostra o caminho de como alcanças os controles certificáceis na ISO 27001. Essa ISO é certificável para profissionais e não para empresas.

  48. Normas ISO/IEC da série 27000 de Segurança da Informação • ISO/IEC 27003:2010 - Diretrizes para Implantação de um Sistema de Gestão da Segurança da Informação - Segundo a própria ISO/IEC 27003, “O propósito desta norma é fornecer diretrizes práticas para a implementação de um Sistema de Gestão da Segurança da Informação (SGSI), na organização, de acordo com a ABNT NBR ISO/IEC 27001:2005. • ISO/IEC 27004:2009 - Gerenciamento de Métricas e Relatórios para um Sistema de Gestão de Segurança da Informação - Mostra como medir a eficácia do sistema de gestão de SI na corporação. • ISO/IEC 27005:2008 - Gestão de Riscos de Segurança da Informação - Essa norma é responsável por todo ciclo de controle de riscos na organização, atuando junto à ISO 27001 em casos de certificação ou através da ISO 27002 em casos de somente implantação.

More Related