Beruflich Dokumente
Kultur Dokumente
Ibraimo Aly
Raimundo Nelo Tembe
Segurança Lógica
Licenciatura em Informática
4° Ano Laboral
II Semestre
Universidade Pedagógica
ESTEC
Maputo
2018
2
Universidade Pedagógica
ESTEC
Maputo
2018
3
Indicie
Introdução ................................................................................................................................... 4
Desenvolvimento ........................................................................................................................ 5
IPv6 ......................................................................................................................................... 7
Kerberos .................................................................................................................................. 8
VPN ...................................................................................................................................... 10
Salvaguarda de Informação................................................................................................... 15
Em suma ................................................................................................................................... 19
Introdução
Desenvolvimento
A segurança lógica, ou seja, a segurança a nível dos dados, é um meio de prevenção ao acesso
não autorizado de um determinado recurso do sistema, garantindo assim que os princípios e
políticas de segurança de informação não sejam violados.
A autenticação por senha é o meio mais comum de autenticação. Não requer nenhum hardware
especial. O utilizador fornece um nome de utilizador e senha, em seguida, o sistema procura o
6
nome de utilizador na base de dados, verifica se o par nome de utilizador e senha são válidos e,
finalmente, fornece acesso ao sistema para o utilizador.
Objectos que um utilizador dispõe para efeitos de autenticação do utilizador são chamados de
fichas. Eles são difíceis de duplicar e são facilmente transferíveis.
Exemplos: Cartão de Banco / ATM, Cartões de Crédito, Cartões de Viagem, Cartões de acesso
a um local de trabalho, etc.
Autenticação Biométrica
Problemas de Autenticação
Controles de Acessos
O controle de acesso coloca em prática uma política de segurança que define (por exemplo, por
meio de uma senha e nível de permissão) o acesso a recursos unicamente às pessoas autorizadas.
IPv6
Tal solução é alcançada pelo uso do protocolo de segurança IPSec no formulário de cabeçalho
de autenticação, (do inglês Authentication Header - AH) e de Dados Encapsulados com
Segurança (do inglês Encrypted Security Payload - ESP) em que os dados são encriptados,
garantindo maior confidencialidade, autenticidade e integridade das informações trafegadas.
Estes dois métodos podem ser utilizados em conjunto, a fim de fornecer tanta autenticidade
quanto privacidade dos pacotes.
Deste modo, garante-se a segurança em três aspectos muito importantes, tendo a certeza do:
8
Kerberos
Kerberos – Definição
Kerberos é um protocolo de autenticação desenvolvido no Massachussets Institute of
Technology (MIT) no projecto Athena. Recebeu este nome devido a um cão da mitologia grega
que possuía três cabeças e rabo de serpente, e ele vigiava os portões de Hades, tendo como sua
principal missão evitar a entrada de pessoas ou de coisas indesejáveis.
O Kerberos utiliza basicamente um protocolo que visa estabelecer uma chave de sessão entre
duas partes em uma rede e possui um Centro de Distribuição de Chaves (CDC), que é composta
por duas partes separadas: um Servidor de Autenticação (SA) e Servidor de Concessão de
Ticket (SCT). O Kerberos trabalha baseado em Tickets, que identificam os usuários.
Ticket – é um certificado distribuído pelo Kerberos encriptado com a chave secreta do usuário
destino, cuja finalidade será informar com segurança, a identidade do usuário para quem o ticket
foi originalmente concedido e uma chave de sessão a ser utilizada no intercâmbio. O ticket
também contém dados que garantirão que o usuário que está utilizando esse ticket é o mesmo
que solicitou a sua concessão.
O CDC mantém um banco de dados de chaves secretas; toda entidade de rede – tanto clientes
como servidores – compartilham uma chave secreta que é apenas conhecido por eles mesmos
e pelo CDC. O conhecimento da chave secreta pelo CDC é necessário para a identificação das
entidades de rede.
Funcionamento do Kerberos
A figura, mostra que o cliente precisa primeiramente se conectar ao Kerberos, isso indica que
é necessário que o cliente execute o login e informe seu username. Uma vez que este cliente foi
aceito pelo Kerberos ele recebe uma resposta, e a partir daí ele pode acessar algum serviço que
esteja disponível na rede.
9
Primeiramente são registrados no banco de dados do servidor Kerberos a chave secreta dos
clientes e também a chave secreta dos serviços.
Para que possa haver a autenticação do usuário no protocolo Kerberos, este usuário entra com
o seu identificador (username), a qual sofrerá um processo criptográfico e se tornará a sua chave
secreta.
Esta chave secreta será comparada com aquela chave secreta que foi cadastrada no banco de
dados para este username, em caso de confirmação, o usuário pode prosseguir com o processo
de autenticação, caso contrario ele é expulso do sistema, e tem que estabelecer uma nova
conexão. Com a confirmação do cliente é gerada uma chave de sessão.
Chave de Sessão – é uma chave gerada pelo Kerberos, que tem como objectivo autenticar a
conexão feita por um par de usuários, os quais já foram autenticados, essa chave atende ao
pedido de um desses usuários, e só é conhecida por esses usuários, durando um tempo
determinado.
No caso de acesso a um serviço, o ticket que será requisitado pelo cliente ao SCT será um ticket
correspondente a este serviço.
10
VPN
Uma VPN (do inglês, virtual private network) são redes privadas virtuais que utilizam uma rede
pública (usualmente a internet) para estabelecer uma ligação de dados entre dois pontos de
forma segura e privada, encaminhando sua conexão através de um servidor e ocultando suas
acções online.
Virtual Private Network (VPN) é uma rede de comunicações privada construída sobre uma rede
de comunicações pública. Esta implementação pode ser feita com ajuda de alguns softwares
como: SoftEther; OpenVPN; Cisco VPN; UltraVPN; CyberGhost; Hamachi; Loki VPN Client;
WinGate VPN entre outros.
Normalmente, quando usamos a Internet, enviamos os dados para um servidor com uma
solicitação para uma determinada página. Esse servidor, em seguida, envia as informações da
página de volta para o nosso dispositivo. Usando uma VPN, os dados primeiro vão para o
servidor da VPN e, em seguida, a VPN envia a requisição para o servidor pretendido.
Portanto, o servidor pretendido não recebe nenhuma de nossas informações. É assim que os
usuários VPN permanecem anônimos online. Também é assim que as VPNs podem alterar uma
determinada localização para desbloquear determinados websites.
dos seguintes protocolos de comunicação: IPSec (Internet Protocol Security), L2TP (Layer 2
Tunneling Protocol), L2F (Layer 2 Forwarding), PPTP (Point-to-Pont Tunneling Protocol).
Tipos de VPN
VPN de Acesso Remoto
Fornece o acesso remoto permitindo que os utilizadores acessem os recursos de uma empresa
a qualquer tempo e em qualquer lugar.
Este tipo de VPN é apropriado para empresas (companhias) que possuam funcionários que
passam a maior parte do tempo viajando ou trabalhando a distância.
O acesso remoto a redes corporativas utilizando a Internet pode ser viabilizado com a tecnologia
VPN através da ligação local a um provedor de acesso (Internet Service Provider - ISP). A
estação remota disca para o provedor de acesso, conectando-se à Internet e o software de VPN
cria uma rede virtual privada entre o usuário remoto e o servidor de VPN corporativo através
da Internet.
12
VPN para Intranet é uma boa opção para interconectar os vários ramos de uma empresa.
Diversas companhias precisam construir filiais, escritórios remotos ao nível dos países ou até
mesmo ao nível mundial. Funcionalidades das VPN podem ser construídas para projectar
intranet VPNs através da Internet. A internet assegura a interconexão de rede, enquanto as
funcionalidades da VPN, como o tunelamento e encriptação asseguram o envio de dados de
forma segura em toda intranet VPN.
Fornece mecanismos de interação por meio da rede Internet com uma infra-estrutura
compartilhada que usa conexões dedicadas: cadeias entre clientes e fornecedores, empresas e
sócios, comunidades de interesse comum.
13
A desbloquear conteúdos
Suponhamos que estejamos de férias na Grécia, mas queremos assistir a um show que
só está disponível na biblioteca Netflix dos US. Sem uma VPN, não seremos capazes
de acessar o site. No entanto, com uma VPN podemos mudar a nossa Geo-localização
para que ele apareça como se estivéssemos na América;
Ocultar o endereço IP
Da mesma forma que uma VPN pode desbloquear o conteúdo, ele também pode ocultar
o endereço IP. O endereço IP é semelhante ao nosso endereço de casa, só que é para o
nosso dispositivo. Quando nos se conecta a uma VPN, o nosso endereço IP está oculto
atrás do servidor da VPN não mostrando assim a nossa localização real.
Filtragem de Conteúdos
Filtragem de Conteúdos – é o termo usado para filtrar os conteúdos permitidos na nossa rede.
Muitas vezes, os funcionários tendem a fazer coisas privadas ou ilegais nas horas de trabalho,
devido ao cansaço ou outras razões. Isso pode desperdiçar horas de trabalho essenciais e pode
possivelmente colocar em risco a rede se estiver sendo usada para baixar materiais protegidos
por direitos autorais
Tipos de filtragem
Os filtros podem ser implementados de diversas maneiras: por software em um computador
pessoal, via infra-estrutura de rede, como servidores proxy, servidores DNS ou firewall que
14
fornecem acesso à Internet. Nenhuma solução oferece cobertura completa, portanto, a maioria
das empresas implementa um conjunto de tecnologias para obter o controlo de conteúdo
adequado, alinhado às suas políticas.
Filtros de email
Os filtros de email agem de acordo com as informações contidas no corpo do email, nos
cabeçalhos de email, como remetente e assunto, e nos anexos de email para classificar, aceitar
ou rejeitar mensagens.
Este tipo de filtro é instalado como software em cada computador, onde a filtragem é necessária.
Esse filtro geralmente pode ser gerenciado, desativado ou desinstalado por qualquer pessoa que
tenha privilégios de nível de administrador no sistema.
Os provedores de conteúdo limitado (ou filtrados) são provedores de serviços de Internet que
oferecem acesso a apenas uma parte do conteúdo da Internet. Qualquer pessoa que assine esse
tipo de serviço está sujeita a restrições.
Esse tipo de filtragem é implementado na camada DNS e tenta evitar pesquisas de domínios
que não se encaixam em um conjunto de políticas (controle parental ou regras da empresa).
Muitos mecanismos de pesquisa, como o Google e o Bing, oferecem aos usuários a opção de
activar um filtro de segurança. Quando este filtro de segurança é ativado, ele filtra os links
inadequados de todos os resultados da pesquisa.
Salvaguarda de Informação
Integridade: Diz respeito à informação estar intacta, sem quebras e sem alterações não
autorizadas. Este ítem carrega em si outro que alguns autores chamam confiabilidade.
Disponibilidade: Diz respeito à informação estar disponível para o utilizador que a utiliza no
momento em que se precisa que este esteja autorizado.
Esse tipo de sistemas é responsável por preservar as cópias das informações e dados
corporativos, viabilizando a recuperação dos mesmo, caso ocorra a perda por apagamento não
intencional ou por algum ataque cibernético.
16
Firewall
Criptografia
Certificação
Detecção de Intrusões
Segundo Melo (1998), o termo intrusão pode ser caracterizado como uma violação da política
de segurança de um sistema.
Na abordagem de detecção por assinatura, os modos de acção dos ataques conhecidos estão
listados e a detecção é realizada por comparação com as assinaturas. Quando uma nova ameaça
aparece, esta é adicionada à base de dados com antecedência. Toda nova ameaça não é detectada
até que a base de dados seja actualizada para incluir esta ameaça.
Este monitora e analisa informações coletadas de um único Host (Máquina). Não observa o
tráfego que passa pela rede, seu uso volta-se a verificação de informações relativas aos eventos
e registros de logs e sistema de arquivos (permissão, alteração, etc.).
Este tipo de sistema monitora e analisa todo o tráfego no segmento da rede. Consiste em um
conjunto de sensores que trabalha detectando actividades maliciosas na rede, como ataques
baseados em serviço, portscans, etc… São instalados em máquinas responsáveis por identificar
ataques direcionados a toda a rede, monitorando o conteúdo dos pacotes ou do tráfego e seus
detalhes como informações de cabeçalhos e protocolos. Os NIDS têm como um dos objetivos
principais detectar se alguém está tentando entrar no seu sistema ou se algum utilizador legítimo
está fazendo mau uso do mesmo.
18
Sistemas de Detecção de Intrusão Híbridos é utilização dos sistemas baseados em redes e dos
sistemas baseados em Host para controlar e monitorar a segurança computacional de um
ambiente.
Real Secure
Em suma
Para se garantir uma protecção aceitável numa rede ou sistema é importante que todo e qualquer
sistema que esteja integrado e interligado a outros sistemas possuam um nível de segurança, tal
nível que pode ser obtido de acordo com o tipo da informação e dados que serão armazenados
ou partilhados nestes sistemas.
20
Referências Bibliográfica
https://www.jose-crispim.pt/pt/seguranca/seguranca.html
https://www.vpnmentor.com/blog/what-is-a-vpn-and-do-you-need-one
https://www.secpoint.com/what-is-content-filtering.html
https://pt.wikipedia.org/wiki/Filtro_de_conte%C3%BAdo
https://technet.microsoft.com/pt-br/Library/dd441062.aspx
https://en.wikipedia.org/wiki/Content-control_software
http://www.gta.ufrj.br/grad/10_1/1a-versao/kerberos/kerberos.html
https://www.gta.ufrj.br/grad/02_2/kerberos/Kerberos.htm