520 likes | 596 Views
Filtragem de Pacotes. Regras que avaliam as informações no cabeçalho de um pacote toda vez que um chega ao firewall, para então ser decidido se é permitido ou não a sua passagem .
E N D
Filtragem de Pacotes • Regras que avaliam as informações no cabeçalho de um pacote toda vez que um chega ao firewall, para então ser decidido se é permitido ou não a sua passagem. • Caso seja permitido a passagem do pacote, ele toma o seu caminho normalmente. Porém nenhum pacote passa por roteador ou firewall sem sofrer algumas modificações. • Antes do pacote tomar o seu caminho o roteador ou firewall reduz o valor da TTL (Time-To-Live) no cabeçalho em pelo menos 1. Se o TTL, que o emissor provavelmente configurou como 128, atingir a marca de 0, o pacote é descartado.
Filtragem de Pacotes • IP de origem: É o endereço de IP que o pacote lista como seu emissor. • IP de destino: É o endereço de IP para onde o pacote está sendo mandado. • ID de protocolo IP: Um cabeçalho IP pode ser seguido por vários cabeçalhos de protocolos. Cada um desses protocolos tem seu próprio ID de protocolo IP. Os exemplos mais conhecidos são TCP (ID 6) e UDP (ID 17). • Numero de portas TCP ou UDP : O numero da porta indica que tipo de serviço o pacote é destinado. • Flag de fragmentação: Pacotes podem ser quebrados em pacotes menores. • Ajuste de opções do IP: Funções opcionais no TCP/IP que podem ser especificadas nesse campo. Essas opções são apenas usadas para diagnóstico, de forma que o firewall possa descartar pacotes com opções de IP determinadas.
Firewalls de Aplicação • Com a utilização deste tipo de firewall, podemos usufruir da filtragem na base em informação de nível de aplicação (por exemplo, com base em URLS dentro de um servidor, possibilita o estabelecimento de zonas com diferentes tipos de acesso); • Possibilita o modo de acordo com a informação e não simplesmente com base em regras de acesso estáticas; • Possibilidade de funcionarem como repositórios (arquivos) temporários ocorrendo melhorias significativas ao longo do seu desempenho.
Firewall baseado em estado • Firewall de Pacotes + Firewall de Aplicação • Possibilita o funcionamento ao nível da aplicação de uma forma dinâmica; • Inclui funcionalidades de encriptação e encapsulamento e balanceamento de carga; • A manutenção e configuração requerem menos complexas operações. • Alto custo
IDS – IntrusionDetection Systems • Conceito • Podem estar localizados em hosts (H-IDS) ou em uma rede (N-IDS)
Vantagens do IDS baseado em Host • Como podem monitorar eventos localmente, os IDS de estação conseguem detectar ataques que não conseguem ser detectados por IDS de rede; • Trabalham em ambientes onde o trafego seja criptografado, desde que os dados sejam encriptados na estação antes do envio ou decriptados nos host após o recebimento; • Não são afetados por switches;
Desvantagens do IDS baseado em Host • São de difícil monitoramento, já que em cada estação deve ser instalado e configurado um IDS; • Podem ser desativados por DoS; • Recursos computacionais são consumidos nas estações monitoradas, com diminuição do desempenho; • O IDS pode ser atacado e desativado, escondendo um ataque, se as fontes de informações residirem na estação monitorada;
Vantagens do IDS baseado em rede • Com um bom posicionamento, pode haver apenas poucos IDS instalados para monitorar uma rede grande • Um pequeno impacto é provocado na rede com a instalação desses IDS, pois são passivos, e não interferem no funcionamento da rede • Difíceis de serem percebidos por atacantes e com grande segurança contra ataques
Desvantagens do IDS baseado em rede • Podem falhar em reconhecer um ataque em um momento de trafego intenso; • Em redes mais modernas baseadas em switches, algumas das vantagens desse tipo de IDS não se aplicam; • Não conseguem analisar informações criptografadas, sendo um grande problema, visto que muitos atacantes utilizam criptografia em suas invasões; • Grande parte não pode informar se o ataque foi ou não bem sucedido, podendo apenas alertar quando o ataque foi iniciado.
Backup • Falhas técnicas: falha no disco rígido (HD), falha de energia, sobrecarga na rede de computadores que pode gerar falhas de comunicação e de software; • Falhas ambientais: descargas elétricas provindas de raios, enchentes, incêndios; • Falhas humanas: detém 84% das perdas de dados e são devidas à exclusão ou modificação de dados acidental ou mal-intencionada, vírus, roubo de equipamentos e sabotagem.
Tipos de Backup • Backup normal • Backup diferencial • Backup incremental
Backup Normal • Um backup normal copia todos os arquivos selecionados e os marca como arquivos que passaram por backup (ou seja, o atributo de arquivo é desmarcado). Com backups normais, você só precisa da cópia mais recente do arquivo ou da fita de backup para restaurar todos os arquivos. Geralmente, o backup normal é executado quando você cria um conjunto de backup pela primeira vez.
Backup Diferencial • Um backup diferencial copia arquivos criados ou alterados desde o último backup normal ou incremental. Não marca os arquivos como arquivos que passaram por backup (o atributo de arquivo não é desmarcado). Se você estiver executando uma combinação dos backups normal e diferencial, a restauração de arquivos e pastas exigirá o último backup normal e o último backup diferencial.
Backup Incremental • Um backup incremental copia somente os arquivos criados ou alterados desde o último backup normal ou incremental. e os marca como arquivos que passaram por backup (o atributo de arquivo é desmarcado). Se você utilizar uma combinação dos backups normal e incremental, precisará do último conjunto de backup normal e de todos os conjuntos de backups incrementais para restaurar os dados.
Periodicidade de Backup • Frequência de Modificações X Importância da Informação • Backup Diário • Backup Semanal • Backup Mensal • Backup Anual
Criptografia • Conceito • Histórico • Tipos • Criptografia Simétrica; • Criptografia Assimétrica
Conceituação • kryptos(oculto, secreto), graphos(escrever). • Texto aberto: mensagem ou informação a ocultar • Texto cifrado: informação codificada; • Cifrador: mecanismo responsável por cifrar/decifrar as informações • Chaves: elementos necessários para poder cifrar ou decifrar as informações • Espaço de chaves: O número de chaves possíveis para um algoritmo de cifragem
Conceituação • Algoritmo computacionalmente seguro • Custo de quebrar excede o valor da informação • O tempo para quebrar excede a vida útil da informação • Meios de criptoanálise • Força bruta • Mensagem conhecida • Mensagem escolhida (conhecida e apropriada) • Análise matemática e estatística • Engenharia social • Conceitos para bom algoritmo de criptografia • Confusão: transformações na cifra de forma irregular e complexa • Difusão: pequena mudança na mensagem, grande na cifra
Histórico • Cifrador de César • mensagem aberta: Reunir todos os generais para o ataque • mensagem cifrada com k = 1: Sfvojsupeptpthfofsbjtqbsb p bubrvf • mensagem cifrada com k = 2: Tgwpktvqfququigpgtckurctc q cvcswg • mensagem cifrada com k = 3: Uhxqluwrgrvrvjhqhudlvsdud r dwdtxh
Curiosidade • Criptografia AES (AdvancedEncryption Standard) • Chaves de 128 bits, ou seja, espaço de chaves com 2128 possibilidades • 340.282.366.920.938.463.463.374.607.431.768.211.456 chaves diferentes
Tipos de Cifras • Cifras de Transposição • Cifras de Substituição: • Cifra de substituição simples ou monoalfabética; • Cifra de substituição polialfabética; • Cifra de substituição de polígramos ; • Cifra de substituição por deslocamento.
Criptografia Simétrica • Algoritmo • É o próprio processo de substituição ou transposição. • Consiste nos passos a serem tomados para realizar a encriptação. • Chave • Define o alfabeto cifrado exato que será utilizado numa codificação em particular. O algoritmo utilizado em um processo de encriptação pode ser divulgado sem problemas. A chave, porém, deve ser uma informação confidencial do remetente e do destinatário.
Desvantagens do Uso de Chaves Simétricas • Se uma pessoa quer se comunicar com outra com segurança, ela deve passar primeiramente a chave utilizada para cifrar a mensagem. • Grandes grupos de usuários necessitam de um volume grande de chaves, cujo gerenciamento é complexo
Criptografia Assimétrica • Postulada pela primeira vez em meados de 1975 por WithfieldDiffie e Martin Hellman • Algoritmos de chave pública e privada • Baseada em princípios de manipulação matemática. • Os algoritmos são computacionalmente pesados e lentos.
Criptografia Assimétrica • RSA Ron Rivest / Adi Shamir / Leonard Adleman • Criado em 1977. • É o algoritmo de chave pública mais utilizado. • Utiliza números primos. • A premissa por trás do RSA é que é fácil multiplicar dois números primos para obter um terceiro número, mas muito difícil recuperar os dois primos a partir daquele terceiro número.
Criptografia Assimétrica • Cerca de 95% dos sites de comércio eletrônico utilizam chaves RSA de 512 bits. • O desenvolvimento dos algoritmos de criptografia assimétrica possibilitou o aparecimento de aplicações que trafegam dados internet de forma segura, notadamente do e-commerce.
Certificado Digital • Assim como o RG ou o CPF identificam uma pessoa, um certificado digital contém dados que funcionam como um certificado físico, contendo informações referentes a: • pessoa ou entidade a quem foi emitido o certificado digital e respectivo endereço; • sua chave pública e respectiva validade; • número de série; e • nome da empresa que emitiu seu certificado (chamada de Autoridade Certificadora, ou AC) com respectiva assinatura digital.
Certificado Digital • Qualquer modificação realizada em um certificado digital o torna inválido e por isso é impossível falsificá-lo. • O objetivo da assinatura digital no certificado é indicar que uma outra entidade (a Autoridade Certificadora – AC) garante a veracidade das informações nele contidas. • Fazendo uma analogia, a AC faz o papel dos órgãos públicos como a Secretaria de Segurança Pública quando emite um RG, ou seja, ela garante quem você é, dando-lhe legitimidade através de sua assinatura digital.
Assinatura Digital • Um documento pode ser considerado genuíno quando não sofreu alterações. No mundo real, a autenticidade de um documento pode ser garantida pelo uso de assinaturas, rubricas e marcas especiais. • No mundo virtual, este item pode ser assegurado através do uso de assinaturas digitais.
Assinatura Digital • A assinatura digital visa garantir que um determinado documento não seja alterado após assinado. • Etapas: • O autor, através de um software próprio, realiza uma operação e faz um tipo de resumo dos dados do documento que quer enviar, também chamado de “função hash”. • O Autor usa a chave privada de seu certificado digital para encriptar este resumo.
Complexidade de Senhas • A função primordial da senha • Métodos de quebra de senha: • Dedução inteligente • Ataques de dicionário • Automatização ou Força Bruta
Sugestões para a criação de senhas seguras • Não utilize palavras existentes em dicionários nacionais ou estrangeiros; • Não escreva suas senhas em papéis, muito menos salve na máquina documentos digitais, como o Word ou o bloco de notas; • Não utilize informações pessoais fáceis de serem obtidas, tais como: nome ou sobrenome do usuário, nome da esposa, filhos ou animais de estimação, matrícula na empresa, números de telefone, data de nascimento, cidades de origem, etc.; • Não utilize senhas constituídas somente por números ou somente por letras; • Utilize senhas com, pelo menos, seis caracteres; • Misture caracteres em caixa baixa e alta (minúsculas e maiúsculas);
Sugestões para a criação de senhas seguras • Crie senhas que contenham letras, números e caracteres especiais (*,#,$,%...); • Inclua na senha, pelo menos, um caractere especial ou símbolo; • Utilize um método próprio para lembrar das senhas que dispense registrar a mesma em qualquer local; • Não empregue senhas com números ou letras repetidos em sequência; • Não forneça sua senha para ninguém; • Altere as senhas, pelo menos, a cada 3 meses; • Utilize senhas que possam ser digitadas rapidamente, sem que seja preciso olhar para o teclado; • Para facilita a memorização da senha é possível criar uma frase secreta e extrair delas as iniciais de cada letra. Por exemplo da frase “É melhor 1 pássaro na mão do que 2 voando” se extrai “Em1pnmdq2v”.
Curiosidade • http://www.nakedpassword.com/
Segurança em Redes Wireless • Histórico e conceitos • Popularização das redes wireless • Facilidade na configuração dos equipamentos
Padrões • 802.11b • Frequência: 2,4 GHz • Velocidade: 11 Mbps • 802.11ª • Frequência: 5 GHz • Velocidade: 54 Mbps • 802.11g • Frequência: 2,4 GHz • Velocidade: 54 Mbps • 802.11 n • Frequência: 2,4 e/ou 5 GHz • Velocidade: até 300 Mbps
Protocolos de Segurança • WEP (WiredEquivalentPrivacy) - 1999 • WEP2ouWPA (Wi-Fi Protected Access) – 2003 • Substitui a chave hexadecimal de tamanho fixo da WEP por uma frase-senha (passphrase) • Compatibilidade com o WEP • Chaves TKIP ou AES • Servidor Radius • WPA2 – 2004 • Incompatibilidade com WEP • Chaves AES • ServidorRadius
Técnicas adicionais de Segurança para Redes Wireless • Filtro de MAC • Ocultamento de SSID • Limitar IP range no DHCP
Virtual Private Network - VPN • As VPNs são túneis de criptografia entre pontos autorizados, criados através da Internet ou outras redes públicas e/ou privadas para transferência de informações, de modo seguro, entre redes corporativas ou usuários remotos.
Normas ISO/IEC de Segurança da Informação • ISO/IEC 27001: • ISMS (Information Security Management System); • Ciclo PDCA; • Dividida em cinco seções: • O Sistema de Gestão da Segurança da Informação; • A responsabilidade da administração; • As auditorias internas do ISMS; • A revisão do ISMS; • A melhoria do ISMS.
Normas ISO/IEC de Segurança da Informação • ISO/IEC 27002: • Substitui a antiga ISO/IEC 17799; • Dividida nas seguintes seções: • Política de segurança da informação; • Organizando a segurança da informação; • Gestão de ativos; • Segurança em recursos humanos; • Segurança física do ambiente; • Gestão das operações e comunicações;
Normas ISO/IEC de Segurança da Informação • Controle de acesso • Aquisição, desenvolvimento e manutenção de sistemas de informação; • Gestão de incidentes de segurança da informação; • Gestão da continuidade do negócio; • Conformidade.
Normas ISO/IEC da série 27000 de Segurança da Informação • ISO/IEC 27000:2009 - Sistema de Gerenciamento de Segurança - Explicação da série de normas, objetivos e vocabulários; • ISO/IEC 27001:2005 - Sistema de Gestão de Segurança da Informação - Especifica requerimentos para estabalecer, implementar, monitorar e rever, além de manter e provisionar um sistema de gerenciamento completo. Utiliza o PDCA como prinípio da norma e é certificável para empresas. • ISO/IEC 27002:2005 - Código de Melhores Práticas para a Gestão de Segurança da Informação - Mostra o caminho de como alcanças os controles certificáceis na ISO 27001. Essa ISO é certificável para profissionais e não para empresas.
Normas ISO/IEC da série 27000 de Segurança da Informação • ISO/IEC 27003:2010 - Diretrizes para Implantação de um Sistema de Gestão da Segurança da Informação - Segundo a própria ISO/IEC 27003, “O propósito desta norma é fornecer diretrizes práticas para a implementação de um Sistema de Gestão da Segurança da Informação (SGSI), na organização, de acordo com a ABNT NBR ISO/IEC 27001:2005. • ISO/IEC 27004:2009 - Gerenciamento de Métricas e Relatórios para um Sistema de Gestão de Segurança da Informação - Mostra como medir a eficácia do sistema de gestão de SI na corporação. • ISO/IEC 27005:2008 - Gestão de Riscos de Segurança da Informação - Essa norma é responsável por todo ciclo de controle de riscos na organização, atuando junto à ISO 27001 em casos de certificação ou através da ISO 27002 em casos de somente implantação.