Filtragem de Pacotes Regras que avaliam as informações no cabeçalho de um pacote toda vez que um...
52
Filtragem de Pacotes Regras que avaliam as informações no cabeçalho de um pacote toda vez que um chega ao firewall, para então ser decidido se é permitido ou não a sua passagem. Caso seja permitido a passagem do pacote, ele toma o seu caminho normalmente. Porém nenhum pacote passa por roteador ou firewall sem sofrer algumas modificações. Antes do pacote tomar o seu caminho o roteador ou firewall reduz o valor da TTL (Time-To-Live) no cabeçalho em pelo menos 1. Se o TTL, que o emissor provavelmente configurou como 128, atingir a marca de 0, o pacote é descartado.
Filtragem de Pacotes Regras que avaliam as informações no cabeçalho de um pacote toda vez que um chega ao firewall, para então ser decidido se é permitido
Filtragem de Pacotes Regras que avaliam as informaes no
cabealho de um pacote toda vez que um chega ao firewall, para ento
ser decidido se permitido ou no a sua passagem. Caso seja permitido
a passagem do pacote, ele toma o seu caminho normalmente. Porm
nenhum pacote passa por roteador ou firewall sem sofrer algumas
modificaes. Antes do pacote tomar o seu caminho o roteador ou
firewall reduz o valor da TTL (Time-To-Live) no cabealho em pelo
menos 1. Se o TTL, que o emissor provavelmente configurou como 128,
atingir a marca de 0, o pacote descartado.
Slide 2
Filtragem de Pacotes IP de origem: o endereo de IP que o pacote
lista como seu emissor. IP de destino: o endereo de IP para onde o
pacote est sendo mandado. ID de protocolo IP: Um cabealho IP pode
ser seguido por vrios cabealhos de protocolos. Cada um desses
protocolos tem seu prprio ID de protocolo IP. Os exemplos mais
conhecidos so TCP (ID 6) e UDP (ID 17). Numero de portas TCP ou UDP
: O numero da porta indica que tipo de servio o pacote destinado.
Flag de fragmentao: Pacotes podem ser quebrados em pacotes menores.
Ajuste de opes do IP: Funes opcionais no TCP/IP que podem ser
especificadas nesse campo. Essas opes so apenas usadas para
diagnstico, de forma que o firewall possa descartar pacotes com
opes de IP determinadas.
Slide 3
Firewalls de Aplicao Com a utilizao deste tipo de firewall,
podemos usufruir da filtragem na base em informao de nvel de
aplicao (por exemplo, com base em URLS dentro de um servidor,
possibilita o estabelecimento de zonas com diferentes tipos de
acesso); Possibilita o modo de acordo com a informao e no
simplesmente com base em regras de acesso estticas; Possibilidade
de funcionarem como repositrios (arquivos) temporrios ocorrendo
melhorias significativas ao longo do seu desempenho.
Slide 4
Firewall baseado em estado Firewall de Pacotes + Firewall de
Aplicao Possibilita o funcionamento ao nvel da aplicao de uma forma
dinmica; Inclui funcionalidades de encriptao e encapsulamento e
balanceamento de carga; A manuteno e configurao requerem menos
complexas operaes. Alto custo
Slide 5
IDS Intrusion Detection Systems Conceito Podem estar
localizados em hosts (H-IDS) ou em uma rede (N-IDS)
Slide 6
Vantagens do IDS baseado em Host Como podem monitorar eventos
localmente, os IDS de estao conseguem detectar ataques que no
conseguem ser detectados por IDS de rede; Trabalham em ambientes
onde o trafego seja criptografado, desde que os dados sejam
encriptados na estao antes do envio ou decriptados nos host aps o
recebimento; No so afetados por switches;
Slide 7
Desvantagens do IDS baseado em Host So de difcil monitoramento,
j que em cada estao deve ser instalado e configurado um IDS; Podem
ser desativados por DoS; Recursos computacionais so consumidos nas
estaes monitoradas, com diminuio do desempenho; O IDS pode ser
atacado e desativado, escondendo um ataque, se as fontes de
informaes residirem na estao monitorada;
Slide 8
Vantagens do IDS baseado em rede Com um bom posicionamento,
pode haver apenas poucos IDS instalados para monitorar uma rede
grande Um pequeno impacto provocado na rede com a instalao desses
IDS, pois so passivos, e no interferem no funcionamento da rede
Difceis de serem percebidos por atacantes e com grande segurana
contra ataques
Slide 9
Desvantagens do IDS baseado em rede Podem falhar em reconhecer
um ataque em um momento de trafego intenso; Em redes mais modernas
baseadas em switches, algumas das vantagens desse tipo de IDS no se
aplicam; No conseguem analisar informaes criptografadas, sendo um
grande problema, visto que muitos atacantes utilizam criptografia
em suas invases; Grande parte no pode informar se o ataque foi ou
no bem sucedido, podendo apenas alertar quando o ataque foi
iniciado.
Slide 10
Backup Falhas tcnicas: falha no disco rgido (HD), falha de
energia, sobrecarga na rede de computadores que pode gerar falhas
de comunicao e de software; Falhas ambientais: descargas eltricas
provindas de raios, enchentes, incndios; Falhas humanas: detm 84%
das perdas de dados e so devidas excluso ou modificao de dados
acidental ou mal-intencionada, vrus, roubo de equipamentos e
sabotagem.
Slide 11
Tipos de Backup Backup normal Backup diferencial Backup
incremental
Slide 12
Backup Normal Um backup normal copia todos os arquivos
selecionados e os marca como arquivos que passaram por backup (ou
seja, o atributo de arquivo desmarcado). Com backups normais, voc s
precisa da cpia mais recente do arquivo ou da fita de backup para
restaurar todos os arquivos. Geralmente, o backup normal executado
quando voc cria um conjunto de backup pela primeira vez.
Slide 13
Backup Diferencial Um backup diferencial copia arquivos criados
ou alterados desde o ltimo backup normal ou incremental. No marca
os arquivos como arquivos que passaram por backup (o atributo de
arquivo no desmarcado). Se voc estiver executando uma combinao dos
backups normal e diferencial, a restaurao de arquivos e pastas
exigir o ltimo backup normal e o ltimo backup diferencial.
Slide 14
Backup Incremental Um backup incremental copia somente os
arquivos criados ou alterados desde o ltimo backup normal ou
incremental. e os marca como arquivos que passaram por backup (o
atributo de arquivo desmarcado). Se voc utilizar uma combinao dos
backups normal e incremental, precisar do ltimo conjunto de backup
normal e de todos os conjuntos de backups incrementais para
restaurar os dados.
Slide 15
Periodicidade de Backup Frequncia de Modificaes X Importncia da
Informao Backup Dirio Backup Semanal Backup Mensal Backup
Anual
Conceituao kryptos (oculto, secreto), graphos (escrever). Texto
aberto: mensagem ou informao a ocultar Texto cifrado: informao
codificada; Cifrador: mecanismo responsvel por cifrar/decifrar as
informaes Chaves: elementos necessrios para poder cifrar ou
decifrar as informaes Espao de chaves: O nmero de chaves possveis
para um algoritmo de cifragem
Slide 19
Conceituao Algoritmo computacionalmente seguro Custo de quebrar
excede o valor da informao O tempo para quebrar excede a vida til
da informao Meios de criptoanlise Fora bruta Mensagem conhecida
Mensagem escolhida (conhecida e apropriada) Anlise matemtica e
estatstica Engenharia social Conceitos para bom algoritmo de
criptografia Confuso: transformaes na cifra de forma irregular e
complexa Difuso: pequena mudana na mensagem, grande na cifra
Slide 20
Histrico Cifrador de Csar mensagem aberta: Reunir todos os
generais para o ataque mensagem cifrada com k = 1: Sfvojs upept pt
hfofsbjt qbsb p bubrvf mensagem cifrada com k = 2: Tgwpkt vqfqu qu
igpgtcku rctc q cvcswg mensagem cifrada com k = 3: Uhxqlu wrgrv rv
jhqhudlv sdud r dwdtxh
Slide 21
Curiosidade Criptografia AES (Advanced Encryption Standard)
Chaves de 128 bits, ou seja, espao de chaves com 2 128
possibilidades 340.282.366.920.938.463.463.374.607.431.768.211.456
chaves diferentes
Slide 22
Tipos de Cifras Cifras de Transposio Cifras de Substituio:
Cifra de substituio simples ou monoalfabtica ; Cifra de substituio
polialfabtica; Cifra de substituio de polgramos ; Cifra de
substituio por deslocamento.
Slide 23
Criptografia Simtrica Algoritmo o prprio processo de substituio
ou transposio. Consiste nos passos a serem tomados para realizar a
encriptao. Chave Define o alfabeto cifrado exato que ser utilizado
numa codificao em particular. O algoritmo utilizado em um processo
de encriptao pode ser divulgado sem problemas. A chave, porm, deve
ser uma informao confidencial do remetente e do destinatrio.
Slide 24
Slide 25
Desvantagens do Uso de Chaves Simtricas Se uma pessoa quer se
comunicar com outra com segurana, ela deve passar primeiramente a
chave utilizada para cifrar a mensagem. Grandes grupos de usurios
necessitam de um volume grande de chaves, cujo gerenciamento
complexo
Slide 26
Criptografia Assimtrica Postulada pela primeira vez em meados
de 1975 por Withfield Diffie e Martin Hellman Algoritmos de chave
pblica e privada Baseada em princpios de manipulao matemtica. Os
algoritmos so computacionalmente pesados e lentos.
Slide 27
Criptografia Assimtrica
Slide 28
RSA Ron Rivest / Adi Shamir / Leonard Adleman Criado em 1977. o
algoritmo de chave pblica mais utilizado. Utiliza nmeros primos. A
premissa por trs do RSA que fcil multiplicar dois nmeros primos
para obter um terceiro nmero, mas muito difcil recuperar os dois
primos a partir daquele terceiro nmero.
Slide 29
Criptografia Assimtrica Cerca de 95% dos sites de comrcio
eletrnico utilizam chaves RSA de 512 bits. O desenvolvimento dos
algoritmos de criptografia assimtrica possibilitou o aparecimento
de aplicaes que trafegam dados internet de forma segura,
notadamente do e-commerce.
Slide 30
Certificado Digital Assim como o RG ou o CPF identificam uma
pessoa, um certificado digital contm dados que funcionam como um
certificado fsico, contendo informaes referentes a: pessoa ou
entidade a quem foi emitido o certificado digital e respectivo
endereo; sua chave pblica e respectiva validade; nmero de srie; e
nome da empresa que emitiu seu certificado (chamada de Autoridade
Certificadora, ou AC) com respectiva assinatura digital.
Slide 31
Certificado Digital Qualquer modificao realizada em um
certificado digital o torna invlido e por isso impossvel
falsific-lo. O objetivo da assinatura digital no certificado
indicar que uma outra entidade (a Autoridade Certificadora AC)
garante a veracidade das informaes nele contidas. Fazendo uma
analogia, a AC faz o papel dos rgos pblicos como a Secretaria de
Segurana Pblica quando emite um RG, ou seja, ela garante quem voc ,
dando-lhe legitimidade atravs de sua assinatura digital.
Slide 32
Slide 33
Assinatura Digital Um documento pode ser considerado genuno
quando no sofreu alteraes. No mundo real, a autenticidade de um
documento pode ser garantida pelo uso de assinaturas, rubricas e
marcas especiais. No mundo virtual, este item pode ser assegurado
atravs do uso de assinaturas digitais.
Slide 34
Assinatura Digital A assinatura digital visa garantir que um
determinado documento no seja alterado aps assinado. Etapas: O
autor, atravs de um software prprio, realiza uma operao e faz um
tipo de resumo dos dados do documento que quer enviar, tambm
chamado de funo hash. O Autor usa a chave privada de seu
certificado digital para encriptar este resumo.
Slide 35
Assinatura Digital
Slide 36
Complexidade de Senhas A funo primordial da senha Mtodos de
quebra de senha: Deduo inteligente Ataques de dicionrio Automatizao
ou Fora Bruta
Slide 37
Sugestes para a criao de senhas seguras No utilize palavras
existentes em dicionrios nacionais ou estrangeiros; No escreva suas
senhas em papis, muito menos salve na mquina documentos digitais,
como o Word ou o bloco de notas; No utilize informaes pessoais
fceis de serem obtidas, tais como: nome ou sobrenome do usurio,
nome da esposa, filhos ou animais de estimao, matrcula na empresa,
nmeros de telefone, data de nascimento, cidades de origem, etc.; No
utilize senhas constitudas somente por nmeros ou somente por
letras; Utilize senhas com, pelo menos, seis caracteres; Misture
caracteres em caixa baixa e alta (minsculas e maisculas);
Slide 38
Sugestes para a criao de senhas seguras Crie senhas que
contenham letras, nmeros e caracteres especiais (*,#,$,%...);
Inclua na senha, pelo menos, um caractere especial ou smbolo;
Utilize um mtodo prprio para lembrar das senhas que dispense
registrar a mesma em qualquer local; No empregue senhas com nmeros
ou letras repetidos em sequncia; No fornea sua senha para ningum;
Altere as senhas, pelo menos, a cada 3 meses; Utilize senhas que
possam ser digitadas rapidamente, sem que seja preciso olhar para o
teclado; Para facilita a memorizao da senha possvel criar uma frase
secreta e extrair delas as iniciais de cada letra. Por exemplo da
frase melhor 1 pssaro na mo do que 2 voando se extrai
Em1pnmdq2v.
Protocolos de Segurana WEP (Wired Equivalent Privacy) - 1999
WEP2 ou WPA (Wi-Fi Protected Access) 2003 Substitui a chave
hexadecimal de tamanho fixo da WEP por uma frase-senha (passphrase)
Compatibilidade com o WEP Chaves TKIP ou AES Servidor Radius WPA2
2004 Incompatibilidade com WEP Chaves AES Servidor Radius
Slide 43
Tcnicas adicionais de Segurana para Redes Wireless Filtro de
MAC Ocultamento de SSID Limitar IP range no DHCP
Slide 44
Virtual Private Network - VPN As VPNs so tneis de criptografia
entre pontos autorizados, criados atravs da Internet ou outras
redes pblicas e/ou privadas para transferncia de informaes, de modo
seguro, entre redes corporativas ou usurios remotos.
Slide 45
Medidas Consideradas Efetivas
Slide 46
Normas ISO/IEC de Segurana da Informao ISO/IEC 27001: ISMS
(Information Security Management System); Ciclo PDCA; Dividida em
cinco sees: O Sistema de Gesto da Segurana da Informao; A
responsabilidade da administrao; As auditorias internas do ISMS; A
reviso do ISMS; A melhoria do ISMS.
Slide 47
Normas ISO/IEC de Segurana da Informao ISO/IEC 27002: Substitui
a antiga ISO/IEC 17799; Dividida nas seguintes sees: Poltica de
segurana da informao; Organizando a segurana da informao; Gesto de
ativos; Segurana em recursos humanos; Segurana fsica do ambiente;
Gesto das operaes e comunicaes;
Slide 48
Normas ISO/IEC de Segurana da Informao Controle de acesso
Aquisio, desenvolvimento e manuteno de sistemas de informao; Gesto
de incidentes de segurana da informao; Gesto da continuidade do
negcio; Conformidade.
Slide 49
Normas ISO/IEC da srie 27000 de Segurana da Informao ISO/IEC
27000:2009 - Sistema de Gerenciamento de Segurana - Explicao da
srie de normas, objetivos e vocabulrios; ISO/IEC 27001:2005 -
Sistema de Gesto de Segurana da Informao - Especifica requerimentos
para estabalecer, implementar, monitorar e rever, alm de manter e
provisionar um sistema de gerenciamento completo. Utiliza o PDCA
como prinpio da norma e certificvel para empresas. ISO/IEC
27002:2005 - Cdigo de Melhores Prticas para a Gesto de Segurana da
Informao - Mostra o caminho de como alcanas os controles
certificceis na ISO 27001. Essa ISO certificvel para profissionais
e no para empresas.
Slide 50
Normas ISO/IEC da srie 27000 de Segurana da Informao ISO/IEC
27003:2010 - Diretrizes para Implantao de um Sistema de Gesto da
Segurana da Informao - Segundo a prpria ISO/IEC 27003, O propsito
desta norma fornecer diretrizes prticas para a implementao de um
Sistema de Gesto da Segurana da Informao (SGSI), na organizao, de
acordo com a ABNT NBR ISO/IEC 27001:2005. ISO/IEC 27004:2009 -
Gerenciamento de Mtricas e Relatrios para um Sistema de Gesto de
Segurana da Informao - Mostra como medir a eficcia do sistema de
gesto de SI na corporao. ISO/IEC 27005:2008 - Gesto de Riscos de
Segurana da Informao - Essa norma responsvel por todo ciclo de
controle de riscos na organizao, atuando junto ISO 27001 em casos
de certificao ou atravs da ISO 27002 em casos de somente
implantao.
Slide 51
Normas ISO/IEC da srie 27000 de Segurana da Informao ISO/IEC
27006:2007 - Requisitos para auditorias externas em um Sistema de
Gerenciamento de Segurana da Informao - Especifica como o processo
de auditoria de um sistema de gerenciamento de segurana da informao
deve ocorrer. ISO/IEC 27007 - Referncias(guidelines) para
auditorias em um Sistema de Gerenciamento de Segurana da Informao.
ISO/IEC 27008 - Auditoria nos controles de um SGSI - O foco so nos
controles para implementao da ISO 27001.
Slide 52
Normas ISO/IEC da srie 27000 de Segurana da Informao ISO/IEC
27010 - Gesto de Segurana da Informao para Comunicaes Inter
Empresariais- Foco nas melhores formas de comunicaar, acompanhar,
monitorar grandes incidentes e fazer com que isso seja feito de
forma tansparente entre empresas particulares e governamentais.
ISO/IEC 27011:2008 - Gesto de Segurana da Informao para empresa de
Telecomunicaes baseada na ISO 27002 - Entende-se que toda parte de
telecomunicao vital e essencial para que um SGSI atinga seus
objetivos plenos(claro que com outras reas), para tanto era
necessrio normatizar os processos e procedimentos desta rea
objetivando a segurana da informao corporativa de uma maneira
geral. A maneira como isso foi feito, foi tendo como base os
controles e indicaes da ISO 27002.