Filtragem de Pacotes Regras que avaliam as informações no cabeçalho de um pacote toda vez que um chega ao firewall, para então ser decidido se é permitido

Filtragem de Pacotes Regras que avaliam as informaes no cabealho de um pacote toda vez que um chega ao firewall, para ento ser decidido se permitido ou no a sua passagem. Caso seja permitido a passagem do pacote, ele toma o seu caminho normalmente. Porm nenhum pacote passa por roteador ou firewall sem sofrer algumas modificaes. Antes do pacote tomar o seu caminho o roteador ou firewall reduz o valor da TTL (Time-To-Live) no cabealho em pelo menos 1. Se o TTL, que o emissor provavelmente configurou como 128, atingir a marca de 0, o pacote descartado.

Filtragem de Pacotes IP de origem: o endereo de IP que o pacote lista como seu emissor. IP de destino: o endereo de IP para onde o pacote est sendo mandado. ID de protocolo IP: Um cabealho IP pode ser seguido por vrios cabealhos de protocolos. Cada um desses protocolos tem seu prprio ID de protocolo IP. Os exemplos mais conhecidos so TCP (ID 6) e UDP (ID 17). Numero de portas TCP ou UDP : O numero da porta indica que tipo de servio o pacote destinado. Flag de fragmentao: Pacotes podem ser quebrados em pacotes menores. Ajuste de opes do IP: Funes opcionais no TCP/IP que podem ser especificadas nesse campo. Essas opes so apenas usadas para diagnstico, de forma que o firewall possa descartar pacotes com opes de IP determinadas.

Firewalls de Aplicao Com a utilizao deste tipo de firewall, podemos usufruir da filtragem na base em informao de nvel de aplicao (por exemplo, com base em URLS dentro de um servidor, possibilita o estabelecimento de zonas com diferentes tipos de acesso); Possibilita o modo de acordo com a informao e no simplesmente com base em regras de acesso estticas; Possibilidade de funcionarem como repositrios (arquivos) temporrios ocorrendo melhorias significativas ao longo do seu desempenho.

Firewall baseado em estado Firewall de Pacotes + Firewall de Aplicao Possibilita o funcionamento ao nvel da aplicao de uma forma dinmica; Inclui funcionalidades de encriptao e encapsulamento e balanceamento de carga; A manuteno e configurao requerem menos complexas operaes. Alto custo

IDS Intrusion Detection Systems Conceito Podem estar localizados em hosts (H-IDS) ou em uma rede (N-IDS)

Vantagens do IDS baseado em Host Como podem monitorar eventos localmente, os IDS de estao conseguem detectar ataques que no conseguem ser detectados por IDS de rede; Trabalham em ambientes onde o trafego seja criptografado, desde que os dados sejam encriptados na estao antes do envio ou decriptados nos host aps o recebimento; No so afetados por switches;

Desvantagens do IDS baseado em Host So de difcil monitoramento, j que em cada estao deve ser instalado e configurado um IDS; Podem ser desativados por DoS; Recursos computacionais so consumidos nas estaes monitoradas, com diminuio do desempenho; O IDS pode ser atacado e desativado, escondendo um ataque, se as fontes de informaes residirem na estao monitorada;

Vantagens do IDS baseado em rede Com um bom posicionamento, pode haver apenas poucos IDS instalados para monitorar uma rede grande Um pequeno impacto provocado na rede com a instalao desses IDS, pois so passivos, e no interferem no funcionamento da rede Difceis de serem percebidos por atacantes e com grande segurana contra ataques

Desvantagens do IDS baseado em rede Podem falhar em reconhecer um ataque em um momento de trafego intenso; Em redes mais modernas baseadas em switches, algumas das vantagens desse tipo de IDS no se aplicam; No conseguem analisar informaes criptografadas, sendo um grande problema, visto que muitos atacantes utilizam criptografia em suas invases; Grande parte no pode informar se o ataque foi ou no bem sucedido, podendo apenas alertar quando o ataque foi iniciado.

Backup Falhas tcnicas: falha no disco rgido (HD), falha de energia, sobrecarga na rede de computadores que pode gerar falhas de comunicao e de software; Falhas ambientais: descargas eltricas provindas de raios, enchentes, incndios; Falhas humanas: detm 84% das perdas de dados e so devidas excluso ou modificao de dados acidental ou mal-intencionada, vrus, roubo de equipamentos e sabotagem.

Tipos de Backup Backup normal Backup diferencial Backup incremental

Backup Normal Um backup normal copia todos os arquivos selecionados e os marca como arquivos que passaram por backup (ou seja, o atributo de arquivo desmarcado). Com backups normais, voc s precisa da cpia mais recente do arquivo ou da fita de backup para restaurar todos os arquivos. Geralmente, o backup normal executado quando voc cria um conjunto de backup pela primeira vez.

Backup Diferencial Um backup diferencial copia arquivos criados ou alterados desde o ltimo backup normal ou incremental. No marca os arquivos como arquivos que passaram por backup (o atributo de arquivo no desmarcado). Se voc estiver executando uma combinao dos backups normal e diferencial, a restaurao de arquivos e pastas exigir o ltimo backup normal e o ltimo backup diferencial.

Backup Incremental Um backup incremental copia somente os arquivos criados ou alterados desde o ltimo backup normal ou incremental. e os marca como arquivos que passaram por backup (o atributo de arquivo desmarcado). Se voc utilizar uma combinao dos backups normal e incremental, precisar do ltimo conjunto de backup normal e de todos os conjuntos de backups incrementais para restaurar os dados.

Periodicidade de Backup Frequncia de Modificaes X Importncia da Informao Backup Dirio Backup Semanal Backup Mensal Backup Anual

Criptografia

Conceito Histrico Tipos Criptografia Simtrica; Criptografia Assimtrica

Conceituao kryptos (oculto, secreto), graphos (escrever). Texto aberto: mensagem ou informao a ocultar Texto cifrado: informao codificada; Cifrador: mecanismo responsvel por cifrar/decifrar as informaes Chaves: elementos necessrios para poder cifrar ou decifrar as informaes Espao de chaves: O nmero de chaves possveis para um algoritmo de cifragem

Conceituao Algoritmo computacionalmente seguro Custo de quebrar excede o valor da informao O tempo para quebrar excede a vida til da informao Meios de criptoanlise Fora bruta Mensagem conhecida Mensagem escolhida (conhecida e apropriada) Anlise matemtica e estatstica Engenharia social Conceitos para bom algoritmo de criptografia Confuso: transformaes na cifra de forma irregular e complexa Difuso: pequena mudana na mensagem, grande na cifra

Histrico Cifrador de Csar mensagem aberta: Reunir todos os generais para o ataque mensagem cifrada com k = 1: Sfvojs upept pt hfofsbjt qbsb p bubrvf mensagem cifrada com k = 2: Tgwpkt vqfqu qu igpgtcku rctc q cvcswg mensagem cifrada com k = 3: Uhxqlu wrgrv rv jhqhudlv sdud r dwdtxh

Curiosidade Criptografia AES (Advanced Encryption Standard) Chaves de 128 bits, ou seja, espao de chaves com 2 128 possibilidades 340.282.366.920.938.463.463.374.607.431.768.211.456 chaves diferentes

Tipos de Cifras Cifras de Transposio Cifras de Substituio: Cifra de substituio simples ou monoalfabtica ; Cifra de substituio polialfabtica; Cifra de substituio de polgramos ; Cifra de substituio por deslocamento.

Criptografia Simtrica Algoritmo o prprio processo de substituio ou transposio. Consiste nos passos a serem tomados para realizar a encriptao. Chave Define o alfabeto cifrado exato que ser utilizado numa codificao em particular. O algoritmo utilizado em um processo de encriptao pode ser divulgado sem problemas. A chave, porm, deve ser uma informao confidencial do remetente e do destinatrio.

Desvantagens do Uso de Chaves Simtricas Se uma pessoa quer se comunicar com outra com segurana, ela deve passar primeiramente a chave utilizada para cifrar a mensagem. Grandes grupos de usurios necessitam de um volume grande de chaves, cujo gerenciamento complexo

Criptografia Assimtrica Postulada pela primeira vez em meados de 1975 por Withfield Diffie e Martin Hellman Algoritmos de chave pblica e privada Baseada em princpios de manipulao matemtica. Os algoritmos so computacionalmente pesados e lentos.

Criptografia Assimtrica

RSA Ron Rivest / Adi Shamir / Leonard Adleman Criado em 1977. o algoritmo de chave pblica mais utilizado. Utiliza nmeros primos. A premissa por trs do RSA que fcil multiplicar dois nmeros primos para obter um terceiro nmero, mas muito difcil recuperar os dois primos a partir daquele terceiro nmero.

Criptografia Assimtrica Cerca de 95% dos sites de comrcio eletrnico utilizam chaves RSA de 512 bits. O desenvolvimento dos algoritmos de criptografia assimtrica possibilitou o aparecimento de aplicaes que trafegam dados internet de forma segura, notadamente do e-commerce.

Certificado Digital Assim como o RG ou o CPF identificam uma pessoa, um certificado digital contm dados que funcionam como um certificado fsico, contendo informaes referentes a: pessoa ou entidade a quem foi emitido o certificado digital e respectivo endereo; sua chave pblica e respectiva validade; nmero de srie; e nome da empresa que emitiu seu certificado (chamada de Autoridade Certificadora, ou AC) com respectiva assinatura digital.

Certificado Digital Qualquer modificao realizada em um certificado digital o torna invlido e por isso impossvel falsific-lo. O objetivo da assinatura digital no certificado indicar que uma outra entidade (a Autoridade Certificadora AC) garante a veracidade das informaes nele contidas. Fazendo uma analogia, a AC faz o papel dos rgos pblicos como a Secretaria de Segurana Pblica quando emite um RG, ou seja, ela garante quem voc , dando-lhe legitimidade atravs de sua assinatura digital.

Assinatura Digital Um documento pode ser considerado genuno quando no sofreu alteraes. No mundo real, a autenticidade de um documento pode ser garantida pelo uso de assinaturas, rubricas e marcas especiais. No mundo virtual, este item pode ser assegurado atravs do uso de assinaturas digitais.

Assinatura Digital A assinatura digital visa garantir que um determinado documento no seja alterado aps assinado. Etapas: O autor, atravs de um software prprio, realiza uma operao e faz um tipo de resumo dos dados do documento que quer enviar, tambm chamado de funo hash. O Autor usa a chave privada de seu certificado digital para encriptar este resumo.

Assinatura Digital

Complexidade de Senhas A funo primordial da senha Mtodos de quebra de senha: Deduo inteligente Ataques de dicionrio Automatizao ou Fora Bruta

Sugestes para a criao de senhas seguras No utilize palavras existentes em dicionrios nacionais ou estrangeiros; No escreva suas senhas em papis, muito menos salve na mquina documentos digitais, como o Word ou o bloco de notas; No utilize informaes pessoais fceis de serem obtidas, tais como: nome ou sobrenome do usurio, nome da esposa, filhos ou animais de estimao, matrcula na empresa, nmeros de telefone, data de nascimento, cidades de origem, etc.; No utilize senhas constitudas somente por nmeros ou somente por letras; Utilize senhas com, pelo menos, seis caracteres; Misture caracteres em caixa baixa e alta (minsculas e maisculas);

Sugestes para a criao de senhas seguras Crie senhas que contenham letras, nmeros e caracteres especiais (*,#,$,%...); Inclua na senha, pelo menos, um caractere especial ou smbolo; Utilize um mtodo prprio para lembrar das senhas que dispense registrar a mesma em qualquer local; No empregue senhas com nmeros ou letras repetidos em sequncia; No fornea sua senha para ningum; Altere as senhas, pelo menos, a cada 3 meses; Utilize senhas que possam ser digitadas rapidamente, sem que seja preciso olhar para o teclado; Para facilita a memorizao da senha possvel criar uma frase secreta e extrair delas as iniciais de cada letra. Por exemplo da frase melhor 1 pssaro na mo do que 2 voando se extrai Em1pnmdq2v.

Curiosidade http://www.nakedpassword.com/ http://www.nakedpassword.com/

Segurana em Redes Wireless Histrico e conceitos Popularizao das redes wireless Facilidade na configurao dos equipamentos

Padres 802.11b Frequncia: 2,4 GHz Velocidade: 11 Mbps 802.11 Frequncia: 5 GHz Velocidade: 54 Mbps 802.11g Frequncia: 2,4 GHz Velocidade: 54 Mbps 802.11 n Frequncia: 2,4 e/ou 5 GHz Velocidade: at 300 Mbps

Protocolos de Segurana WEP (Wired Equivalent Privacy) - 1999 WEP2 ou WPA (Wi-Fi Protected Access) 2003 Substitui a chave hexadecimal de tamanho fixo da WEP por uma frase-senha (passphrase) Compatibilidade com o WEP Chaves TKIP ou AES Servidor Radius WPA2 2004 Incompatibilidade com WEP Chaves AES Servidor Radius

Tcnicas adicionais de Segurana para Redes Wireless Filtro de MAC Ocultamento de SSID Limitar IP range no DHCP

Virtual Private Network - VPN As VPNs so tneis de criptografia entre pontos autorizados, criados atravs da Internet ou outras redes pblicas e/ou privadas para transferncia de informaes, de modo seguro, entre redes corporativas ou usurios remotos.

Medidas Consideradas Efetivas

Normas ISO/IEC de Segurana da Informao ISO/IEC 27001: ISMS (Information Security Management System); Ciclo PDCA; Dividida em cinco sees: O Sistema de Gesto da Segurana da Informao; A responsabilidade da administrao; As auditorias internas do ISMS; A reviso do ISMS; A melhoria do ISMS.

Normas ISO/IEC de Segurana da Informao ISO/IEC 27002: Substitui a antiga ISO/IEC 17799; Dividida nas seguintes sees: Poltica de segurana da informao; Organizando a segurana da informao; Gesto de ativos; Segurana em recursos humanos; Segurana fsica do ambiente; Gesto das operaes e comunicaes;

Normas ISO/IEC de Segurana da Informao Controle de acesso Aquisio, desenvolvimento e manuteno de sistemas de informao; Gesto de incidentes de segurana da informao; Gesto da continuidade do negcio; Conformidade.

Normas ISO/IEC da srie 27000 de Segurana da Informao ISO/IEC 27000:2009 - Sistema de Gerenciamento de Segurana - Explicao da srie de normas, objetivos e vocabulrios; ISO/IEC 27001:2005 - Sistema de Gesto de Segurana da Informao - Especifica requerimentos para estabalecer, implementar, monitorar e rever, alm de manter e provisionar um sistema de gerenciamento completo. Utiliza o PDCA como prinpio da norma e certificvel para empresas. ISO/IEC 27002:2005 - Cdigo de Melhores Prticas para a Gesto de Segurana da Informao - Mostra o caminho de como alcanas os controles certificceis na ISO 27001. Essa ISO certificvel para profissionais e no para empresas.

Normas ISO/IEC da srie 27000 de Segurana da Informao ISO/IEC 27003:2010 - Diretrizes para Implantao de um Sistema de Gesto da Segurana da Informao - Segundo a prpria ISO/IEC 27003, O propsito desta norma fornecer diretrizes prticas para a implementao de um Sistema de Gesto da Segurana da Informao (SGSI), na organizao, de acordo com a ABNT NBR ISO/IEC 27001:2005. ISO/IEC 27004:2009 - Gerenciamento de Mtricas e Relatrios para um Sistema de Gesto de Segurana da Informao - Mostra como medir a eficcia do sistema de gesto de SI na corporao. ISO/IEC 27005:2008 - Gesto de Riscos de Segurana da Informao - Essa norma responsvel por todo ciclo de controle de riscos na organizao, atuando junto ISO 27001 em casos de certificao ou atravs da ISO 27002 em casos de somente implantao.

Normas ISO/IEC da srie 27000 de Segurana da Informao ISO/IEC 27006:2007 - Requisitos para auditorias externas em um Sistema de Gerenciamento de Segurana da Informao - Especifica como o processo de auditoria de um sistema de gerenciamento de segurana da informao deve ocorrer. ISO/IEC 27007 - Referncias(guidelines) para auditorias em um Sistema de Gerenciamento de Segurana da Informao. ISO/IEC 27008 - Auditoria nos controles de um SGSI - O foco so nos controles para implementao da ISO 27001.

Normas ISO/IEC da srie 27000 de Segurana da Informao ISO/IEC 27010 - Gesto de Segurana da Informao para Comunicaes Inter Empresariais- Foco nas melhores formas de comunicaar, acompanhar, monitorar grandes incidentes e fazer com que isso seja feito de forma tansparente entre empresas particulares e governamentais. ISO/IEC 27011:2008 - Gesto de Segurana da Informao para empresa de Telecomunicaes baseada na ISO 27002 - Entende-se que toda parte de telecomunicao vital e essencial para que um SGSI atinga seus objetivos plenos(claro que com outras reas), para tanto era necessrio normatizar os processos e procedimentos desta rea objetivando a segurana da informao corporativa de uma maneira geral. A maneira como isso foi feito, foi tendo como base os controles e indicaes da ISO 27002.

Documents

Filtragem de Pacotes Regras que avaliam as informações no cabeçalho de um pacote toda vez que um chega ao firewall, para então ser decidido se é permitido