Beruflich Dokumente
Kultur Dokumente
Firewalls
Integradas
As empresas e organizaes dependem cada vez mais dos sistemas informticos para gerirem as suas actividades e para terem capacidade de deciso e interveno. O valor da Informao processada por esses sistemas cada vez maior. Consequentemente, a manuteno da segurana de um sistema informtico um aspecto crtico na especificao, desenvolvimento e explorao desse sistema.
Jorge Simes, ISPGaya - SRC, 2004 2
A segurana de sistemas informticos um tema vasto que no envolve apenas questes de natureza tcnica (o factor humano sempre um dos aspectos mais sensveis em termos de segurana, em qualquer contexto).
A segurana de sistemas informticos no lida apenas com aces intencionais maliciosas de natureza criminal mas tambm com aspectos que tm a ver com acidentes, desastres naturais e falhas tcnicas.
Os mecanismos de segurana adoptados para atingir um determinado nvel de segurana constituem a poltica de segurana.
Uma poltica de segurana (RFC 2196) um conjunto de regras formais que estabelecem os procedimentos a seguir pelos utilizadores dos recursos informticos de uma organizao.
Jorge Simes, ISPGaya - SRC, 2004 4
Integridade: a informao no pode ser destruda nem corrompida, de forma a que o sistema execute as suas funes correctamente;
Disponibilidade: os servios oferecidos pelo sistema devem estar disponveis sempre que tal for necessrio.
Jorge Simes, ISPGaya - SRC, 2004 5
Autenticao: validao da identidade de um utilizador, dispositivo ou processo (verificar se uma entidade quem afirma ser);
No repudiao: impedir que uma entidade neque a execuo de uma determinada aco.
A segurana de um sistema informtico pode ser entendida como o conjunto de medidas que visam a proteco desse sistema contra ameaas que afectem a confidencialidade, ntegridade e disponibilidade da informao processada.
As ameaas a que o sistema est sujeito podem ser devidas a: Aces deliberadas: fraudes ou ataques de hackers.
Aces acidentais: erros humanos ou tcnicos (p.e. falha de energia), desastres naturais. As ameaas segurana procuram uma vulnerabilidade do sistema para a qual deve ser procurada uma salvaguarda.
Jorge Simes, ISPGaya - SRC, 2004 7
A poltica de segurana de uma organizao deve garantir que so implementadas as salvaguardas que reduzam as probabilidades de as ameaas terem sucesso.
Autorizao: existncia de regras especficas que definam quem deve ter acesso a cada recurso do sistema;
Privilgios mnimos: apenas devem ser concedidos aos utilizadores os privilgios necessrios para a execuo das suas arefas.
Separao de tarefas: deve existir uma distino clara entre as arefas dos vrios utilizadores de forma a evitar fraudes ou erros.
Redundncia: este princpio aplica-se aos recursos e nformao (p.e. existncia de backups).
Jorge Simes, ISPGaya - SRC, 2004 9
Planos de Segurana: Uma poltica de segurana deve ser concretizada em termos de planos de segurana;
Os planos de segurana devem ser revistos e testados periodicamente (p.e. simulando a ocorrncia de falhas). Cada plano de segurana deve ter um responsvel.
Devero ser considerados planos de recuperao, planos de reposio e planos de contingncia (e respectivos manuais).
Jorge Simes, ISPGaya - SRC, 2004 10
Plano de Contingncia
Um plano de contingncia poder prever a necessidade de recorrer a instalaes alternativas que funcionaro como reserva das instalaes informticas principais (p.e. para o caso de um incndio).
Centros de Informtica de Emergncia: Cold Center - instalaes sem equipamento mas dotadas de todas as
infraestruturas bsicas para que possa ser montado um centro de informtica (cabos de rede, linhas telefnicas, etc). Warm Center - para alm das infraestruturas presentes num cold center possui sistemas e equipamentos de recurso capazes de assegurar uma funcionalidade mnima. Hot Center - instalaes informticas totalmente equipadas e operacionais e que podem de imediato substituir o centro de informtica.
Jorge Simes, ISPGaya - SRC, 2004 11
obedecer as instalaes, impedir acessos no autorizados, impedir danos nos equipamentos. Localizao e estrutura dos Centros de Informtica; reas de segurana; Segurana do equipamento
Jorge Simes, ISPGaya - SRC, 2004 12
Ameaas ...
Misso
Motivao
Alvo
Provoca
Danos no Sistema
13
Tipos de Ataques
Ataques por imitao: fazer passar um utilizador ou sistema por outro (spoofing ou reply attacks)
Disrupo de servio (DoS Denial of Service): impedir o uncionamento de um sistema com interrupo dos servios disponibilizados.
Jorge Simes, ISPGaya - SRC, 2004 14
15
Ataques - Mtodos de Operao Cavalos de Tria: programa que aparentemente se destina a executar
uma funo til no sistema mas que contm funes no visveis destinadas a concretizar uma ameaa de segurana usando os privilgios do utilizador que o executa.
que quando este executa o vrus tambm executa; as aces desencadeadas por um vrus podem ter vrios nveis de gravidade.
Worms: programas que se autopropagam, fazendo cpias de si prprios, Bombas-relgio: programas destinados a executar num dia e hora
Vrus Um vrus informtico tem a particularidade de se autocopiar e ransferir de um programa hospedeiro para outro de uma forma anloga ao efeito de uma doena contagiosa. Pode ter uma aco benigna (limita-se a evidenciar a sua existncia, por vezes de forma humorstica) ou uma aco destrutiva (p.e. destruir o boot record ou a file allocation table de um disco). Actua normalmente em trs fases:
o vrus activado; o vrus infecta outros programas; o vrus leva a cabo a sua misso.
Jorge Simes, ISPGaya - SRC, 2004 17
Tipos de misses
http://www.cnpd.pt/ gina da Comisso Nacional de Proteco de Dados (destaque para Princpios sobre a rivacidade no Local de Trabalho).
http://www.missao-si.mct.pt/
Firewalls
Uma firewall um equipamento colocado na periferia de uma rede com o objectivo de controlar o acesso a essa rede a partir de outras redes. Habitualmente, as firewalls so utilizadas para controlar o acesso a uma intranet, protegendo-a de acessos oriundos da Internet. As firewalls podem tambm suportar as funcionalidades de proxy (para servios como http, ftp, smtp, etc). Uma firewall constitui uma parte significativa da segurana de uma rede (mas no a nica ).
Jorge Simes, ISPGaya - SRC, 2004 20
Firewalls - Arquitecturas
Rede Pblica
Firewall
Intranet
Configurao Bastion Host: um servidor acumula as funes de router, firewall e proxy; Existe apenas um ponto de segurana.
21
Firewalls - Arquitecturas
Firewall (router)
DMZ MZ
Rede Pblica
Intranet
Servidor WWW
Servidor de mail
22
Firewalls - Arquitecturas
Router Firewall
MZ
Rede Pblica
Intranet
DMZ
Servidor WWW
Servidor de mail
23
Firewalls - Arquitecturas
Router Firewall 1 nvel Firewall 2 nvel
DMZ MZ
Rede Pblica
Intranet
Servidor WWW
Servidor de mail
24
Firewalls - Tipos
Firewall do tipo Filtro de Pacotes (packet filter):
Normalmente, baseadas em routers. Decidem pelo encaminhamento ou no do pacote de acordo com as definies de listas de controlo de acesso (access control lists) Constituem uma soluo de baixo custo, de fcil configurao mas tendem a reduzir o desempenho do router.
25
Firewalls - Tipos
Firewall de Aplicao (proxies):
Funcionam no nvel 7 do modelo OSI. Todo o trfego que circula entre a zona pblica e a zona privada da rede encaminhada para a firewall/proxy. Os pacotes com origem na rede interna so encaminhados para o proxy que se encarrega de contactar os sistemas de destino.
26
Segurana na Comunicao
As arquitecturas protocolares proprietrias (p.e. SNA, Netware, NetBEUI, etc), oferecem em geral melhores condies de segurana.
Meio Fsico:
Escuta, derivao no meio fsico (derivao nos conectores, leitura de radiao electromagntica, etc). Bloqueio, interrupo de comunicaes (corte de cabos, interferncias electromagnticas, interposio de obstculos). Desvio, envio de informao para outro receptor.
Jorge Simes, ISPGaya - SRC, 2004 27
Redes Locais
Optar por tecnologia comutada (switches em vez de hubs).
Segmentar as redes usando routers na interligao (zonas sensveis da ede devem estar em segmentos diferentes).
Controlar e restringir o acesso a servidores e backbones (segurana no meio fsico). Controlar a existncia de vrus. Monitorar o trfego na rede (para detectar padres anormais de trfego).
28
Esta arquitectura pode ser usada para a implementao de extranets ou edes privadas virtuais sobre Internet.
Os canais virtuais so suportados por redes pblicas usando mecanismos de segurana (p.e. interligao de LANs atravs da Internet, substituindo o ecurso a circuitos dedicados).
Estas soluo so de baixo custo mas implicam um menor desempenho nas omunicaes e obrigam implementao de mecanismos de segurana.
30