csi463 { seguran˘ca e auditoria de sistemas · 2017-08-09 · controle basedo em regra ! lista de...

CSI463 – Seguranca e Auditoria de Sistemas

Prof. Fernando Bernardes de Oliveirahttps://sites.google.com/site/fboliveiraufop/

Universidade Federal de Ouro PretoInstituto de Ciencias Exatas e Aplicadas – ICEA

Departamento de Computacao e Sistemas – DECSI

Joao Monlevade-MG1◦ semestre de 2016

Oliveira, F. B. (UFOP– DECSI) CSI463–SAS 2016/01 1 / 29

Nota de uso

Nota de uso

Este material foi produzido utilizando principalmente como referencia olivro de Kim e Solomon (2014). As imagens referenciadas a esse livroforam retiradas do material disponibilizado pela editora como conteudoextra para professores.


Introducao

Introducao

Controle de acesso:

Restrigir e permitir acesso → automoveis, casas, computadores,celulares, tablets, dentre outros.

Chaves “especıficas”

Processo de proteger um recurso.Garantir que o recurso seja utilizado somente por aqueles compermissao.Protegem contra uso nao autorizado.Definem quem sao os usuarios:

Pessoas ou processos computacionais → o que podem fazer, acessare realizar.

Varias tecnologias → senhas, gerador de codigo, biometria,certificados, dentre outras.Acesso a ativos fısicos, sistemas computacionais e dados.


Partes de Controle de Acesso


Definido em quatro partes:

Autorizacao → Quem esta aprovado para acessar e o que eles podemusar?

Identificacao → Como eles sao identificados?

Autenticacao → Suas identidades podem ser verificadas?

Responsabilizacao → Como acompanhar as acoes e identificar que fezmudancas?




Divididas em duas fases:

Definicao de polıtica → determina quem tem acesso e quais sistemasou recursos podem usar – Autorizacao.

Imposicao de polıtica → concede ou rejeita solicitacoes com base nasautorizacoes – Identificacao, Autenticacao e Responsabilizacao.


Tipos, elementos e definicoes


Controles de acesso fısico

Entrada em predios, areas de estacionamento e areas protegidas.

Catracas, cartoes de acesso, portas especiais, dentre outros.




Controles de acesso logico → sistema computacional, rede edispositivos.

Dedicidir quais usuarios podem entrar em um sistema.

Monitorar o que o usuario faz no sistema.

Restringir ou influenciar o comportamento do usuario no sistema.

Access Control List, diretorio, domınio ou outro repositorio depermissoes.




Figura 1: Imposicao do controle de acesso (KIM; SOLOMON, 2014)




Elementos centrais das polıticas de controle de acesso:

UsuariosRecursos → objetos protegidos do sistema

Acoes → atividades que usuarios autorizados podem realizar sobre osrecursos.

Relacionamentos → permissoes concedidas, como leitura, escrita,execucao.




Definindo uma polıtica de autorizacao:

Definir regras de autorizacao → quem tem acesso a qual recurso;

Polıtica de inclusao em grupo → cargos ou grupos.

Polıtica de nıvel de autoridade → grau maior de autoridade paraacessar certos recursos.




Metodos de identificacao:

Polıticas definidas → imposicao.

Identificacao → metodo utilizado para solicitar acesso a um recurso –cartao inteligente, biometria.

Diretrizes de identificacao:

Acoes → usuario especıfico.

Usuario → identificador exclusivo.

Associacao → auditoria (accounting).


Processos e requisitos de autenticacao


Autenticacao → prova que quem solicita o acesso e o mesmo querecebeu direito de acesso.

Tipos:

Conhecimento → usuario sabe: senha, frase secreta.Propriedade → usuario tem: cartao, chave, cracha, token.Caracterısticas → exclusivo ao usuario: impressoes digitais, retina.

Autenticacao de fator unico → pode ser comprometida por si so.

Autenticacao de fator duplo → usar pelo menos dois dos tresfatores.




Autenticacao por conhecimento:

Polıtica e melhores praticas de senha.

Senhas “fortes”.

Polıticas de bloqueios de conta.

Auditoria de eventos de acesso.

Reativacao e armazenamento de senha.

Utilizando uma frase secreta.




Autenticacao por conhecimento:

Tokens sıncronos.

Autenticacao contınua → proximidade.

Tokens assıncronos → desafio-resposta.




Figura 2: Token assıncrono (KIM; SOLOMON, 2014)




Autenticacao por caracterısticas – Biometria:

Estatica → fisiologica, por exemplo.

Dinamica → comportamental, por exemplo.

Preocupacoes → precisao, aceitacao e tempo de reacao.

Tipos → impressao digital, impressao da palma, retina, ıris,reconhecimento facial, padrao de voz, dinamica de toque de tecla edinamica de assinatura.




Vantagens:

Presenca fısica

Lembranca

Difıcil de falsificar.

Perda

Desvantagens:

Caracterısticas fısicas podem mudar.

Nem todas as tecnicas sao igualmente efetivas – qual usar?

Tempo de resposta pode ser lento.

Dispositivos podem ser caros.

E quanto a privacidade?


Responsabilizacao

Responsabilizacao

Arquivos de historico → log files

Retencao de dados, descarte de mıdia e requisitos de conformidade.

Controles de seguranca → mecanismos para evitar interromper ouminimizar um risco de ataque para um ou mais recursos.


Responsabilizacao

Responsabilizacao

Figura 3: Tipos de controle de seguranca (KIM; SOLOMON, 2014)


Modelos Formais de Controle de Acesso

Modelos Formais de Controle de Acesso

Controle de acesso discricionario (DAC) → o proprietario do recursopode delegar acesso a outros.

Controle de acesso obrigatorio (MAC) → permissao para entrar emum sistema e mantida pelo proprietario e nao pode ser dada a outros

Isolamento temporal de objetos

Controle de acesso nao discricionario → monitorado peloadministrador de seguranca e nao pelo administrador do sistema(recurso).

Controle basedo em regra → lista de regras (ACL).

Interface restrita de usuario → menus, bancos de dados, restricoesfısicas, criptografia.

Dentre outros.


Ameacas a Controle de acesso

Ameacas a Controle de acesso

Acesso fısico.

Interceptacao por observacao.

Intercepcao eletronica.

Intercepcao de comunicacao.

Contornando a seguranca.

Explorando hardware e software.

Reutilizando ou descartando mıdia.

Acessando redes.

Explorando aplicativos.


Efeitos de Violacao de Controle de acesso

Efeitos de Violacao de Controle de acesso

Perda de confianca de clientes.

Perda de oportunidades de negocios.

Ma publicidade.

Mais vigilancia.

Penalidades financeiras.

Nova legislacao e regulamentacoes impostas sobre a organizacao.

Dentre outras.


Controle de acesso Centralizado e Descentralizado


Centralizado:

Uma unica entidade comum decide que pode acessar sistemas e redes.

Nıvel central em vez de nıvel local.

Servicos de autenticacao centralizados → AAA – authentication,autorization, accouting.

Quais sao os benefıcios?

E as desvantagens?

Exemplo: RADIUS – Remote Authentication Dial-In User Service.




Descentralizado:

Controle acesso definido localmente → departamentos, secoes, dentreoutros.

O controle esta nas maos das pessoas → supervisores, gerentes –entidades locais.

Quais sao os benefıcios?

E as desvantagens?

Exemplo: PAP – Password Authentication Protocol.


Privacidade

Privacidade

Preocupacoes das organizacoes acerca do monitoramento eletronico:

Responsabilidade em processos de assedio.

Perdas e roubos por funcionarios.

Produtividade

Monitoramento do local de trabalho – benefıcios e desvantagens.


csi463 { seguran˘ca e auditoria de sistemas · 2017-08-09 · controle basedo em regra ! lista de...

Documents