CSI463 – Seguranca e Auditoria de Sistemas
Prof. Fernando Bernardes de Oliveirahttps://sites.google.com/site/fboliveiraufop/
Universidade Federal de Ouro PretoInstituto de Ciencias Exatas e Aplicadas – ICEA
Departamento de Computacao e Sistemas – DECSI
Joao Monlevade-MG1◦ semestre de 2016
Oliveira, F. B. (UFOP– DECSI) CSI463–SAS 2016/01 1 / 29
Nota de uso
Nota de uso
Este material foi produzido utilizando principalmente como referencia olivro de Kim e Solomon (2014). As imagens referenciadas a esse livroforam retiradas do material disponibilizado pela editora como conteudoextra para professores.
Oliveira, F. B. (UFOP– DECSI) CSI463–SAS 2016/01 2 / 29
Introducao
Introducao
Controle de acesso:
Restrigir e permitir acesso → automoveis, casas, computadores,celulares, tablets, dentre outros.
Chaves “especıficas”
Processo de proteger um recurso.Garantir que o recurso seja utilizado somente por aqueles compermissao.Protegem contra uso nao autorizado.Definem quem sao os usuarios:
Pessoas ou processos computacionais → o que podem fazer, acessare realizar.
Varias tecnologias → senhas, gerador de codigo, biometria,certificados, dentre outras.Acesso a ativos fısicos, sistemas computacionais e dados.
Oliveira, F. B. (UFOP– DECSI) CSI463–SAS 2016/01 3 / 29
Partes de Controle de Acesso
Partes de Controle de Acesso
Definido em quatro partes:
Autorizacao → Quem esta aprovado para acessar e o que eles podemusar?
Identificacao → Como eles sao identificados?
Autenticacao → Suas identidades podem ser verificadas?
Responsabilizacao → Como acompanhar as acoes e identificar que fezmudancas?
Oliveira, F. B. (UFOP– DECSI) CSI463–SAS 2016/01 4 / 29
Partes de Controle de Acesso
Partes de Controle de Acesso
Divididas em duas fases:
Definicao de polıtica → determina quem tem acesso e quais sistemasou recursos podem usar – Autorizacao.
Imposicao de polıtica → concede ou rejeita solicitacoes com base nasautorizacoes – Identificacao, Autenticacao e Responsabilizacao.
Oliveira, F. B. (UFOP– DECSI) CSI463–SAS 2016/01 5 / 29
Tipos, elementos e definicoes
Tipos, elementos e definicoes
Controles de acesso fısico
Entrada em predios, areas de estacionamento e areas protegidas.
Catracas, cartoes de acesso, portas especiais, dentre outros.
Oliveira, F. B. (UFOP– DECSI) CSI463–SAS 2016/01 6 / 29
Tipos, elementos e definicoes
Tipos, elementos e definicoes
Controles de acesso logico → sistema computacional, rede edispositivos.
Dedicidir quais usuarios podem entrar em um sistema.
Monitorar o que o usuario faz no sistema.
Restringir ou influenciar o comportamento do usuario no sistema.
Access Control List, diretorio, domınio ou outro repositorio depermissoes.
Oliveira, F. B. (UFOP– DECSI) CSI463–SAS 2016/01 7 / 29
Tipos, elementos e definicoes
Tipos, elementos e definicoes
Figura 1: Imposicao do controle de acesso (KIM; SOLOMON, 2014)
Oliveira, F. B. (UFOP– DECSI) CSI463–SAS 2016/01 8 / 29
Tipos, elementos e definicoes
Tipos, elementos e definicoes
Elementos centrais das polıticas de controle de acesso:
UsuariosRecursos → objetos protegidos do sistema
Acoes → atividades que usuarios autorizados podem realizar sobre osrecursos.
Relacionamentos → permissoes concedidas, como leitura, escrita,execucao.
Oliveira, F. B. (UFOP– DECSI) CSI463–SAS 2016/01 9 / 29
Tipos, elementos e definicoes
Tipos, elementos e definicoes
Definindo uma polıtica de autorizacao:
Definir regras de autorizacao → quem tem acesso a qual recurso;
Polıtica de inclusao em grupo → cargos ou grupos.
Polıtica de nıvel de autoridade → grau maior de autoridade paraacessar certos recursos.
Oliveira, F. B. (UFOP– DECSI) CSI463–SAS 2016/01 10 / 29
Tipos, elementos e definicoes
Tipos, elementos e definicoes
Metodos de identificacao:
Polıticas definidas → imposicao.
Identificacao → metodo utilizado para solicitar acesso a um recurso –cartao inteligente, biometria.
Diretrizes de identificacao:
Acoes → usuario especıfico.
Usuario → identificador exclusivo.
Associacao → auditoria (accounting).
Oliveira, F. B. (UFOP– DECSI) CSI463–SAS 2016/01 11 / 29
Processos e requisitos de autenticacao
Processos e requisitos de autenticacao
Autenticacao → prova que quem solicita o acesso e o mesmo querecebeu direito de acesso.
Tipos:
Conhecimento → usuario sabe: senha, frase secreta.Propriedade → usuario tem: cartao, chave, cracha, token.Caracterısticas → exclusivo ao usuario: impressoes digitais, retina.
Autenticacao de fator unico → pode ser comprometida por si so.
Autenticacao de fator duplo → usar pelo menos dois dos tresfatores.
Oliveira, F. B. (UFOP– DECSI) CSI463–SAS 2016/01 12 / 29
Processos e requisitos de autenticacao
Processos e requisitos de autenticacao
Autenticacao por conhecimento:
Polıtica e melhores praticas de senha.
Senhas “fortes”.
Polıticas de bloqueios de conta.
Auditoria de eventos de acesso.
Reativacao e armazenamento de senha.
Utilizando uma frase secreta.
Oliveira, F. B. (UFOP– DECSI) CSI463–SAS 2016/01 13 / 29
Processos e requisitos de autenticacao
Processos e requisitos de autenticacao
Autenticacao por conhecimento:
Tokens sıncronos.
Autenticacao contınua → proximidade.
Tokens assıncronos → desafio-resposta.
Oliveira, F. B. (UFOP– DECSI) CSI463–SAS 2016/01 14 / 29
Processos e requisitos de autenticacao
Processos e requisitos de autenticacao
Figura 2: Token assıncrono (KIM; SOLOMON, 2014)
Oliveira, F. B. (UFOP– DECSI) CSI463–SAS 2016/01 15 / 29
Processos e requisitos de autenticacao
Processos e requisitos de autenticacao
Autenticacao por caracterısticas – Biometria:
Estatica → fisiologica, por exemplo.
Dinamica → comportamental, por exemplo.
Preocupacoes → precisao, aceitacao e tempo de reacao.
Tipos → impressao digital, impressao da palma, retina, ıris,reconhecimento facial, padrao de voz, dinamica de toque de tecla edinamica de assinatura.
Oliveira, F. B. (UFOP– DECSI) CSI463–SAS 2016/01 16 / 29
Processos e requisitos de autenticacao
Processos e requisitos de autenticacao
Vantagens:
Presenca fısica
Lembranca
Difıcil de falsificar.
Perda
Desvantagens:
Caracterısticas fısicas podem mudar.
Nem todas as tecnicas sao igualmente efetivas – qual usar?
Tempo de resposta pode ser lento.
Dispositivos podem ser caros.
E quanto a privacidade?
Oliveira, F. B. (UFOP– DECSI) CSI463–SAS 2016/01 17 / 29
Responsabilizacao
Responsabilizacao
Arquivos de historico → log files
Retencao de dados, descarte de mıdia e requisitos de conformidade.
Controles de seguranca → mecanismos para evitar interromper ouminimizar um risco de ataque para um ou mais recursos.
Oliveira, F. B. (UFOP– DECSI) CSI463–SAS 2016/01 18 / 29
Responsabilizacao
Responsabilizacao
Figura 3: Tipos de controle de seguranca (KIM; SOLOMON, 2014)
Oliveira, F. B. (UFOP– DECSI) CSI463–SAS 2016/01 19 / 29
Modelos Formais de Controle de Acesso
Modelos Formais de Controle de Acesso
Controle de acesso discricionario (DAC) → o proprietario do recursopode delegar acesso a outros.
Controle de acesso obrigatorio (MAC) → permissao para entrar emum sistema e mantida pelo proprietario e nao pode ser dada a outros
Isolamento temporal de objetos
Controle de acesso nao discricionario → monitorado peloadministrador de seguranca e nao pelo administrador do sistema(recurso).
Controle basedo em regra → lista de regras (ACL).
Interface restrita de usuario → menus, bancos de dados, restricoesfısicas, criptografia.
Dentre outros.
Oliveira, F. B. (UFOP– DECSI) CSI463–SAS 2016/01 20 / 29
Ameacas a Controle de acesso
Ameacas a Controle de acesso
Acesso fısico.
Interceptacao por observacao.
Intercepcao eletronica.
Intercepcao de comunicacao.
Contornando a seguranca.
Explorando hardware e software.
Reutilizando ou descartando mıdia.
Acessando redes.
Explorando aplicativos.
Oliveira, F. B. (UFOP– DECSI) CSI463–SAS 2016/01 21 / 29
Efeitos de Violacao de Controle de acesso
Efeitos de Violacao de Controle de acesso
Perda de confianca de clientes.
Perda de oportunidades de negocios.
Ma publicidade.
Mais vigilancia.
Penalidades financeiras.
Nova legislacao e regulamentacoes impostas sobre a organizacao.
Dentre outras.
Oliveira, F. B. (UFOP– DECSI) CSI463–SAS 2016/01 22 / 29
Controle de acesso Centralizado e Descentralizado
Controle de acesso Centralizado e Descentralizado
Centralizado:
Uma unica entidade comum decide que pode acessar sistemas e redes.
Nıvel central em vez de nıvel local.
Servicos de autenticacao centralizados → AAA – authentication,autorization, accouting.
Quais sao os benefıcios?
E as desvantagens?
Exemplo: RADIUS – Remote Authentication Dial-In User Service.
Oliveira, F. B. (UFOP– DECSI) CSI463–SAS 2016/01 23 / 29
Controle de acesso Centralizado e Descentralizado
Controle de acesso Centralizado e Descentralizado
Descentralizado:
Controle acesso definido localmente → departamentos, secoes, dentreoutros.
O controle esta nas maos das pessoas → supervisores, gerentes –entidades locais.
Quais sao os benefıcios?
E as desvantagens?
Exemplo: PAP – Password Authentication Protocol.
Oliveira, F. B. (UFOP– DECSI) CSI463–SAS 2016/01 24 / 29
Privacidade
Privacidade
Preocupacoes das organizacoes acerca do monitoramento eletronico:
Responsabilidade em processos de assedio.
Perdas e roubos por funcionarios.
Produtividade
Monitoramento do local de trabalho – benefıcios e desvantagens.
Oliveira, F. B. (UFOP– DECSI) CSI463–SAS 2016/01 25 / 29