Dércio Jorge Chembene

Ibraimo Aly
Raimundo Nelo Tembe

Segurança Lógica
Licenciatura em Informática
4° Ano Laboral
II Semestre

Universidade Pedagógica
ESTEC
Maputo
2018
 2

Dércio Jorge Chembene

Ibraimo Aly
Raimundo Nelo Tembe

Trabalho: Segurança Lógica

Licenciatura em Informática

Trabalho de Segurança Lógica a ser

apresentado a cadeira de Segurança
Informática para efeitos de avaliação.

Docente: Aurélio Armando Pires Ribeiro

Universidade Pedagógica
ESTEC
Maputo
2018
 3

Indicie

Introdução ................................................................................................................................... 4

Desenvolvimento ........................................................................................................................ 5

Alguns mecanismos de segurança lógica ................................................................................ 5

Autenticação e Controle de Acesso ........................................................................................ 5

Alguns mecanismos de Autenticação .................................................................................. 5

Funcionamento do Mecanismo de Controle de Acesso ...................................................... 7

IPv6 ......................................................................................................................................... 7

Kerberos .................................................................................................................................. 8

Kerberos – Definição .......................................................................................................... 8

Funcionamento do Kerberos ............................................................................................... 8

VPN ...................................................................................................................................... 10

Como funciona uma VPN ................................................................................................. 10

Tipos de VPN .................................................................................................................... 11

Algumas aplicações de VPN ............................................................................................. 13

Filtragem de Conteúdos ........................................................................................................ 13

Como funciona a Filtragem de Conteúdos? ...................................................................... 13

Tipos de filtragem ............................................................................................................. 13

Salvaguarda de Informação................................................................................................... 15

Alguns meios usados para salvaguardar a informação...................................................... 15

Detecção de Intrusões ........................................................................................................... 16

Princípio de funcionamento de um sistema de detecção de intrusões............................... 17

Alguns tipos de Sistemas de Detecção de Intrusão ........................................................... 17

Alguns aplicativos IDS...................................................................................................... 18

Em suma ................................................................................................................................... 19

Referências Bibliográfica ......................................................................................................... 20

 4

Introdução

O uso de ferramentas de protecção ao nível físico ou logico de um sistema de informação, a fim

de preservar a integridade, disponibilidade e confidencialidade das informações do sistema
(inclui hardware, software, firmware, informação / dados e telecomunicações) é importante pois
as Tecnologias da Informação e Comunicação (TIC’s) são hoje meios indispensáveis em
qualquer actividade da sociedade.
 5

Desenvolvimento

A segurança lógica, ou seja, a segurança a nível dos dados, é um meio de prevenção ao acesso
não autorizado de um determinado recurso do sistema, garantindo assim que os princípios e
políticas de segurança de informação não sejam violados.

Alguns mecanismos de segurança lógica

 Políticas de Autenticação e Controle de Acessos;

 IPv6;
 Rede Privada Virtual (VPN);
 Kerberos;
 Filtragem de Conteúdos;
 Sistemas de Detecção de Intrusões (IDS);

Autenticação e Controle de Acesso

Autenticação: é a capacidade de garantir que alguém, ou um determinado equipamento tenha

autorização de aceder um determinado recurso, dentro de um contexto definido. A autenticação
é a primeira linha de defesa num sistema computacional. Destina-se a evitar o acesso não
autorizado a uma rede e é a base de definição de controles de acesso.

Alguns mecanismos de Autenticação

Existem diferentes mecanismos de autenticação do utilizador, dentre eles:

 Algo que o indivíduo sabe, e.g. senha, PIN;

 Algo que o indivíduo possui (tokens), por exemplo, chave criptográfica, smartcard;
 Algo que o indivíduo é, por exemplo, impressão digital, retina;
 Algo que o indivíduo faz, e.g. padrão de escrita, padrão de fala;

Autenticação por senha

A autenticação por senha é o meio mais comum de autenticação. Não requer nenhum hardware
especial. O utilizador fornece um nome de utilizador e senha, em seguida, o sistema procura o
 6

nome de utilizador na base de dados, verifica se o par nome de utilizador e senha são válidos e,
finalmente, fornece acesso ao sistema para o utilizador.

Autenticação baseada em tokens

Objectos que um utilizador dispõe para efeitos de autenticação do utilizador são chamados de
fichas. Eles são difíceis de duplicar e são facilmente transferíveis.

Exemplos: Cartão de Banco / ATM, Cartões de Crédito, Cartões de Viagem, Cartões de acesso
a um local de trabalho, etc.

Autenticação Biométrica

Autenticação baseada em dados biométricos é a utilização de características fisiológicas

particulares dos utilizadores. Estas características são de diferentes tipos, tais como: voz, olho,
impressão digital, etc. Comparado com senhas e tokens, a autenticação biométrica é
tecnicamente complexa e cara.

Problemas de Autenticação

Existem diferentes problemas de autenticação de utilizador, como:

 Adivinhar ou roubar senhas, PIN, etc.

 Esquecer senhas, PIN;
 Roubo ou clonagem de smartcard.

Controles de Acessos
O controle de acesso coloca em prática uma política de segurança que define (por exemplo, por
meio de uma senha e nível de permissão) o acesso a recursos unicamente às pessoas autorizadas.

Além disso, o controle de acesso tem outras entidades e funções como:

 Permitir que uma entidade do sistema possa aceder um recurso do sistema;

 Garantir a conformidade com a política estabelecida e procedimentos operacionais;
 Recomendar quaisquer alterações indicadas no controle, políticas e procedimentos.
 7

Funcionamento do Mecanismo de Controle de Acesso

Um mecanismo de controle de acesso opera entre um utilizador (ou um processo de execução
em nome de um utilizador) e recursos do sistema, ou seja, aplicativos, sistemas operativos,
firewall, roteadores, arquivos e bases de dados. O processo de autenticação deve primeiro
determinar se o utilizador é permitido o acesso aos recursos do sistema. O controle de acesso,
em seguida, determina se o acesso solicitado pelo utilizador é permitido.

IPv6

IPv6 é uma arquitectura de endereçamento desenvolvida para resolver as limitações e

problemas de segurança do IPv4.

Tal solução é alcançada pelo uso do protocolo de segurança IPSec no formulário de cabeçalho
de autenticação, (do inglês Authentication Header - AH) e de Dados Encapsulados com
Segurança (do inglês Encrypted Security Payload - ESP) em que os dados são encriptados,
garantindo maior confidencialidade, autenticidade e integridade das informações trafegadas.

Authentication Header (AH)

Com este método, o cabeçalho é autenticado, garantindo assim a identidade do remetente, e que
o pacote não foi alterado durante o tráfego. A informação pertinente é armazenada em um
Authentication Header que é um dos possíveis tipos de cabeçalho de extensão.

Encrypted Security Payload (ESP)

Este método encripta os dados enviados e armazena as informações pertinentes em um outro
tipo de cabeçalho de extensão. Assim, é possível garantir que caso a informação transmitida
seja interceptada por pessoas não autorizadas, estas serão incapazes de compreendê-la,
garantindo assim privacidade.

Estes dois métodos podem ser utilizados em conjunto, a fim de fornecer tanta autenticidade
quanto privacidade dos pacotes.

Deste modo, garante-se a segurança em três aspectos muito importantes, tendo a certeza do:
 8

 Emissor de uma determinada informação;

 Que está não foi adulterada por terceiros, correspondendo a informação realmente
enviada;
 Que a informação não foi lida por terceiros.

Kerberos

Kerberos – Definição
Kerberos é um protocolo de autenticação desenvolvido no Massachussets Institute of
Technology (MIT) no projecto Athena. Recebeu este nome devido a um cão da mitologia grega
que possuía três cabeças e rabo de serpente, e ele vigiava os portões de Hades, tendo como sua
principal missão evitar a entrada de pessoas ou de coisas indesejáveis.

O Kerberos utiliza basicamente um protocolo que visa estabelecer uma chave de sessão entre
duas partes em uma rede e possui um Centro de Distribuição de Chaves (CDC), que é composta
por duas partes separadas: um Servidor de Autenticação (SA) e Servidor de Concessão de
Ticket (SCT). O Kerberos trabalha baseado em Tickets, que identificam os usuários.

Ticket – é um certificado distribuído pelo Kerberos encriptado com a chave secreta do usuário
destino, cuja finalidade será informar com segurança, a identidade do usuário para quem o ticket
foi originalmente concedido e uma chave de sessão a ser utilizada no intercâmbio. O ticket
também contém dados que garantirão que o usuário que está utilizando esse ticket é o mesmo
que solicitou a sua concessão.

O CDC mantém um banco de dados de chaves secretas; toda entidade de rede – tanto clientes
como servidores – compartilham uma chave secreta que é apenas conhecido por eles mesmos
e pelo CDC. O conhecimento da chave secreta pelo CDC é necessário para a identificação das
entidades de rede.

Funcionamento do Kerberos
A figura, mostra que o cliente precisa primeiramente se conectar ao Kerberos, isso indica que
é necessário que o cliente execute o login e informe seu username. Uma vez que este cliente foi
aceito pelo Kerberos ele recebe uma resposta, e a partir daí ele pode acessar algum serviço que
esteja disponível na rede.
 9

Estes processos de login e de acesso a um serviço serão agora explicados detalhadamente.

Primeiramente são registrados no banco de dados do servidor Kerberos a chave secreta dos
clientes e também a chave secreta dos serviços.

Para que possa haver a autenticação do usuário no protocolo Kerberos, este usuário entra com
o seu identificador (username), a qual sofrerá um processo criptográfico e se tornará a sua chave
secreta.

Esta chave secreta será comparada com aquela chave secreta que foi cadastrada no banco de
dados para este username, em caso de confirmação, o usuário pode prosseguir com o processo
de autenticação, caso contrario ele é expulso do sistema, e tem que estabelecer uma nova
conexão. Com a confirmação do cliente é gerada uma chave de sessão.

Chave de Sessão – é uma chave gerada pelo Kerberos, que tem como objectivo autenticar a
conexão feita por um par de usuários, os quais já foram autenticados, essa chave atende ao
pedido de um desses usuários, e só é conhecida por esses usuários, durando um tempo
determinado.

No caso de acesso a um serviço, o ticket que será requisitado pelo cliente ao SCT será um ticket
correspondente a este serviço.
 10

VPN

Uma VPN (do inglês, virtual private network) são redes privadas virtuais que utilizam uma rede
pública (usualmente a internet) para estabelecer uma ligação de dados entre dois pontos de
forma segura e privada, encaminhando sua conexão através de um servidor e ocultando suas
acções online.

Virtual Private Network (VPN) é uma rede de comunicações privada construída sobre uma rede
de comunicações pública. Esta implementação pode ser feita com ajuda de alguns softwares
como: SoftEther; OpenVPN; Cisco VPN; UltraVPN; CyberGhost; Hamachi; Loki VPN Client;
WinGate VPN entre outros.

Como funciona uma VPN

Uma VPN cria um túnel por onde os dados são enviados numa rede pública com encriptação e
decriptação implementado nos dois pontos para segurança de dados.

Normalmente, quando usamos a Internet, enviamos os dados para um servidor com uma
solicitação para uma determinada página. Esse servidor, em seguida, envia as informações da
página de volta para o nosso dispositivo. Usando uma VPN, os dados primeiro vão para o
servidor da VPN e, em seguida, a VPN envia a requisição para o servidor pretendido.

Portanto, o servidor pretendido não recebe nenhuma de nossas informações. É assim que os
usuários VPN permanecem anônimos online. Também é assim que as VPNs podem alterar uma
determinada localização para desbloquear determinados websites.

Contudo, o processo de tunelamento envolve encapsulamento, transmissão ao longo da rede

intermediária e desencapsulamento do pacote. O transporte da informação é feito com ajuda
 11

dos seguintes protocolos de comunicação: IPSec (Internet Protocol Security), L2TP (Layer 2
Tunneling Protocol), L2F (Layer 2 Forwarding), PPTP (Point-to-Pont Tunneling Protocol).

Tipos de VPN
VPN de Acesso Remoto

Fornece o acesso remoto permitindo que os utilizadores acessem os recursos de uma empresa
a qualquer tempo e em qualquer lugar.

Este tipo de VPN é apropriado para empresas (companhias) que possuam funcionários que
passam a maior parte do tempo viajando ou trabalhando a distância.

O acesso remoto a redes corporativas utilizando a Internet pode ser viabilizado com a tecnologia
VPN através da ligação local a um provedor de acesso (Internet Service Provider - ISP). A
estação remota disca para o provedor de acesso, conectando-se à Internet e o software de VPN
cria uma rede virtual privada entre o usuário remoto e o servidor de VPN corporativo através
da Internet.
 12

VPN para Intranet

VPN para Intranet é uma boa opção para interconectar os vários ramos de uma empresa.

Diversas companhias precisam construir filiais, escritórios remotos ao nível dos países ou até
mesmo ao nível mundial. Funcionalidades das VPN podem ser construídas para projectar
intranet VPNs através da Internet. A internet assegura a interconexão de rede, enquanto as
funcionalidades da VPN, como o tunelamento e encriptação asseguram o envio de dados de
forma segura em toda intranet VPN.

VPN para Extranet

Fornece mecanismos de interação por meio da rede Internet com uma infra-estrutura
compartilhada que usa conexões dedicadas: cadeias entre clientes e fornecedores, empresas e
sócios, comunidades de interesse comum.
 13

Algumas aplicações de VPN

As VPN ajudam:

 A desbloquear conteúdos
Suponhamos que estejamos de férias na Grécia, mas queremos assistir a um show que
só está disponível na biblioteca Netflix dos US. Sem uma VPN, não seremos capazes
de acessar o site. No entanto, com uma VPN podemos mudar a nossa Geo-localização
para que ele apareça como se estivéssemos na América;

 Ocultar o endereço IP
Da mesma forma que uma VPN pode desbloquear o conteúdo, ele também pode ocultar
o endereço IP. O endereço IP é semelhante ao nosso endereço de casa, só que é para o
nosso dispositivo. Quando nos se conecta a uma VPN, o nosso endereço IP está oculto
atrás do servidor da VPN não mostrando assim a nossa localização real.

Filtragem de Conteúdos

Filtragem de Conteúdos – é o termo usado para filtrar os conteúdos permitidos na nossa rede.
Muitas vezes, os funcionários tendem a fazer coisas privadas ou ilegais nas horas de trabalho,
devido ao cansaço ou outras razões. Isso pode desperdiçar horas de trabalho essenciais e pode
possivelmente colocar em risco a rede se estiver sendo usada para baixar materiais protegidos
por direitos autorais

Como funciona a Filtragem de Conteúdos?

Basicamente esses filtros capturam as palavras dentro de pacotes de dados e comparam com
palavras-chave de listas de negação (blacklists) e listas de liberação (whitelists) de acesso. Se
há uma palavra-chave numa das listas ele permite ou nega acesso a informação. Existem listas
intermediárias (greylists) que liberam acesso vindos de um determinado grupo de origem de
requisição e nega para outrem.

Tipos de filtragem
Os filtros podem ser implementados de diversas maneiras: por software em um computador
pessoal, via infra-estrutura de rede, como servidores proxy, servidores DNS ou firewall que
 14

fornecem acesso à Internet. Nenhuma solução oferece cobertura completa, portanto, a maioria
das empresas implementa um conjunto de tecnologias para obter o controlo de conteúdo
adequado, alinhado às suas políticas.

Filtros baseados em navegador

A solução de filtragem de conteúdo baseada em navegador é a solução mais leve para a

filtragem de conteúdo e é implementada por meio de uma extensão de navegador.

Filtros de email

Os filtros de email agem de acordo com as informações contidas no corpo do email, nos
cabeçalhos de email, como remetente e assunto, e nos anexos de email para classificar, aceitar
ou rejeitar mensagens.

Filtros do lado do cliente

Este tipo de filtro é instalado como software em cada computador, onde a filtragem é necessária.
Esse filtro geralmente pode ser gerenciado, desativado ou desinstalado por qualquer pessoa que
tenha privilégios de nível de administrador no sistema.

ISPs com conteúdo limitado (ou filtrado)

Os provedores de conteúdo limitado (ou filtrados) são provedores de serviços de Internet que
oferecem acesso a apenas uma parte do conteúdo da Internet. Qualquer pessoa que assine esse
tipo de serviço está sujeita a restrições.

Filtragem baseada em rede

Esse tipo de filtro é implementado na camada de transporte como um proxy transparente ou

na camada do aplicativo como um proxy da web. O software de filtragem pode incluir a
funcionalidade de prevenção de perda de dados para filtrar informações de saída e de
entrada. Todos os usuários estão sujeitos à política de acesso definida pela instituição.
 15

Filtragem baseada em DNS

Esse tipo de filtragem é implementado na camada DNS e tenta evitar pesquisas de domínios
que não se encaixam em um conjunto de políticas (controle parental ou regras da empresa).

Filtros do mecanismo de pesquisa

Muitos mecanismos de pesquisa, como o Google e o Bing, oferecem aos usuários a opção de
activar um filtro de segurança. Quando este filtro de segurança é ativado, ele filtra os links
inadequados de todos os resultados da pesquisa.

Salvaguarda de Informação

Um sistema de informação é seguro se responde a quatro requisitos básicos relacionados aos

recursos que o compõem: confidencialidade, integridade e disponibilidade.

Confidencialidade: corresponde às informações estarem disponíveis somente a quem está

devidamente autorizado a acedê-las.

Integridade: Diz respeito à informação estar intacta, sem quebras e sem alterações não
autorizadas. Este ítem carrega em si outro que alguns autores chamam confiabilidade.

Disponibilidade: Diz respeito à informação estar disponível para o utilizador que a utiliza no
momento em que se precisa que este esteja autorizado.

Alguns meios usados para salvaguardar a informação

Sistema de Backup

Esse tipo de sistemas é responsável por preservar as cópias das informações e dados
corporativos, viabilizando a recuperação dos mesmo, caso ocorra a perda por apagamento não
intencional ou por algum ataque cibernético.
 16

Firewall

É um detector de intrusões, capaz de barrar invasões e garantir a confidencialidade das

informações. O firewall é importante principalmente considerando o aumento do uso de
dispositivos mobile, que permitem o acesso remoto às informações.

Criptografia

A criptografia é a transformação do texto em uma combinação de códigos, o que impede a

compreensão da mensagem por usuários não autorizados. Por meio de chaves privadas, a
informação sai codificada da origem e só é decodificada quando chega ao receptor previamente
autorizado.

Certificação

A certificação digital baseia-se em um sistema de confiança, no qual duas partes confiam

mutuamente em uma CA (Autoridade Certificadora) para verificar e confirmar a identidade de
ambas as partes. É através dele que é possível assinar documentos digitais com validade
jurídica.

Detecção de Intrusões

Segundo Melo (1998), o termo intrusão pode ser caracterizado como uma violação da política
de segurança de um sistema.

Detecção de Intrusões é o mecanismo de análise do tráfego de uma rede (interna e externa) e

compará-lo com padrões conhecidos de comportamento de intrusos. Podendo, assim, serem
detectados ataques vindos de pessoas internas à empresa ou que acedem a esta por outros meios.

Os objetivos de um sistema de detecção de intrusões podem ser:

 A detecção e activação dos mecanismos de resposta;

 Recuperação;
 Prevenção contra ataques futuros.
 17

Princípio de funcionamento de um sistema de detecção de intrusões

O comportamento anormal ou em função de assinaturas, estas duas abordagens podem ser
adotadas na implementação de um sistema de detecção de intrusões.

Na abordagem de detecção por assinatura, os modos de acção dos ataques conhecidos estão
listados e a detecção é realizada por comparação com as assinaturas. Quando uma nova ameaça
aparece, esta é adicionada à base de dados com antecedência. Toda nova ameaça não é detectada
até que a base de dados seja actualizada para incluir esta ameaça.

A detecção por anomalias pode detectar métodos de intrusão desconhecidos. A detecção de

intrusões por anomalias não é, no entanto, necessariamente melhor que a detecção por
assinatura. A detecção de anomalias conduz comportamento normal por calibração, que pode
ser ineficaz se o sistema for calibrado enquanto o intruso já tenha efectuado a sua acção.

Alguns tipos de Sistemas de Detecção de Intrusão

Sistemas de Detecção de Intrusão baseados em Host

Este monitora e analisa informações coletadas de um único Host (Máquina). Não observa o
tráfego que passa pela rede, seu uso volta-se a verificação de informações relativas aos eventos
e registros de logs e sistema de arquivos (permissão, alteração, etc.).

Sistemas de Detecção de Intrusão baseados em Rede (NIDS)

Este tipo de sistema monitora e analisa todo o tráfego no segmento da rede. Consiste em um
conjunto de sensores que trabalha detectando actividades maliciosas na rede, como ataques
baseados em serviço, portscans, etc… São instalados em máquinas responsáveis por identificar
ataques direcionados a toda a rede, monitorando o conteúdo dos pacotes ou do tráfego e seus
detalhes como informações de cabeçalhos e protocolos. Os NIDS têm como um dos objetivos
principais detectar se alguém está tentando entrar no seu sistema ou se algum utilizador legítimo
está fazendo mau uso do mesmo.
 18

Sistemas de Detecção de Intrusão Híbridos

Sistemas de Detecção de Intrusão Híbridos é utilização dos sistemas baseados em redes e dos
sistemas baseados em Host para controlar e monitorar a segurança computacional de um
ambiente.

Alguns aplicativos IDS

Existem diversos aplicativos IDS no mercado, alguns com open source e outros comerciais,
abaixo segue alguns exemplos:

Real Secure

 Desenvolvedor: Internet Security Systems. www.iss.net;

 Um dos primeiros aplicativos IDS comercias baseados em rede do mercado;
 Permite ao administrador criar suas próprias regras de assinaturas e alertas;
 Possui actualizações automáticas para as assinaturas e actualizações do produto
 19

Em suma

Para se garantir uma protecção aceitável numa rede ou sistema é importante que todo e qualquer
sistema que esteja integrado e interligado a outros sistemas possuam um nível de segurança, tal
nível que pode ser obtido de acordo com o tipo da informação e dados que serão armazenados
ou partilhados nestes sistemas.
 20

Referências Bibliográfica

https://www.jose-crispim.pt/pt/seguranca/seguranca.html

https://www.vpnmentor.com/blog/what-is-a-vpn-and-do-you-need-one

https://www.secpoint.com/what-is-content-filtering.html

https://pt.wikipedia.org/wiki/Filtro_de_conte%C3%BAdo

https://technet.microsoft.com/pt-br/Library/dd441062.aspx

https://en.wikipedia.org/wiki/Content-control_software

http://www.gta.ufrj.br/grad/10_1/1a-versao/kerberos/kerberos.html

https://www.gta.ufrj.br/grad/02_2/kerberos/Kerberos.htm

LUIS, Gilberto António, VUMO, Ambrósio, Introdução à Segurança Informática,

Universidade Virtual Africana.

PAULO, Valdinancio, VUMO, Ambrósio, Segurança Informática Avançada, Universidade

Virtual Africana.