Download - Autenticação e controlo de acessos
![Page 1: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/1.jpg)
Luis Batista
Autenticação e Controlo de Acessos
Redes e Serviços de Comunicações Móveis
![Page 2: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/2.jpg)
Luis Batista
Autenticação
Redes e Serviços de Comunicações Móveis
![Page 3: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/3.jpg)
Agenda
Autenticação
Factores de autenticação
Mecanismos de acesso
Protocolos
Luis Batista Redes e Serviços de Comunicações Móveis
![Page 4: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/4.jpg)
Autenticação
Do grego Αυθεντικός
Αυθεν + τικός
Autor + real
É o acto de confirmar que alguém (ou algo) é
realmente essa pessoa e não outra a fazer-se
passar por ela.
Luis Batista Redes e Serviços de Comunicações Móveis
![Page 5: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/5.jpg)
Autenticação
Em segurança da informação
Autenticação é o processo que visa verificar
a identidade de um utilizador de um sistema
digital no momento em que este requisita o
acesso.
Luis Batista Redes e Serviços de Comunicações Móveis
![Page 6: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/6.jpg)
Factores de autenticação
Os factores de autenticação para humanos são normalmente
classificados em três casos.
SYH
SYK
SYA
Luis Batista Redes e Serviços de Comunicações Móveis
![Page 7: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/7.jpg)
Algo que se sabe
Luis Batista Redes e Serviços de Comunicações Móveis
As mais utilizadas
Pode ser observada ou “escutada” de várias formas
![Page 8: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/8.jpg)
Algo que se tem
Luis Batista Redes e Serviços de Comunicações Móveis
É a menos segura
Sujeita a roubos ou duplicações
![Page 9: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/9.jpg)
Algo que se é
Luis Batista Redes e Serviços de Comunicações Móveis
A menos utilizada
Muita tolerância - autenticação de impostor
Pouca tolerância - rejeição de utilizador válido
![Page 10: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/10.jpg)
One time password
É uma senha de acesso temporária de uma única utilização
O próprio utilizador não conhece a senha
É aleatória e gerada no momento
Possui uma função hash (por norma o MD4)
Luis Batista Redes e Serviços de Comunicações Móveis
![Page 11: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/11.jpg)
Autenticação de 2 passos
Luis Batista Redes e Serviços de Comunicações Móveis
![Page 12: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/12.jpg)
Mecanismos de acesso
Baseados no conhecimento
identificação e senha
Baseados na propriedade
identificação, senha e token
Baseados na característica
digital
Luis Batista Redes e Serviços de Comunicações Móveis
![Page 13: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/13.jpg)
Mecanismos baseados no conhecimento
Implementação de mecanismos
– Os caracteres indevidos são removidos, para evitar ataques
como os de injecção de SQL
– Verifica se a variável id está preenchida
– Valida os formulários, de acordo com as regras definidas
– Não permite que as variáveis de identificação e senha
estejam em branco
Luis Batista Redes e Serviços de Comunicações Móveis
![Page 14: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/14.jpg)
Mecanismos baseados no conhecimento
– A senha é criptografada
– Verifica se o utilizador existe na BD e se a senha introduzida
corresponde ao utilizador. Se a senha estiver correcta, a
aplicação lista os privilégios deste e salva as informações
em variáveis de sessão
– Permite o acesso e faz o reencaminhamento para o sistema
Luis Batista Redes e Serviços de Comunicações Móveis
![Page 15: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/15.jpg)
Mecanismos baseados na propriedade
– Utiliza um token, para além do id e senha
– Durante o autenticação do utilizador, são registados na BD
os tokens de acessso
– Estes tokens são gerados aleatóriamente
– No painel de acesso são solicitados o id, senha e o token
– Se a verificação for correta, o acesso é dado ao utilizador
Luis Batista Redes e Serviços de Comunicações Móveis
![Page 16: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/16.jpg)
Mecanismos baseados na característica
Implementação de mecanismos
– Cada utilizador tem uma ou mais “imagens” registadas na BD
– Requer uso de hardware específico para a leitura da imagem
– Requer o uso de software para fazer a comparação com a
imagem registada na BD
– Caso haja confirmação digital, o acesso ao sistema é dado
Luis Batista Redes e Serviços de Comunicações Móveis
![Page 17: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/17.jpg)
Protecção
A protecção da autenticação depende da comunicação segura
do armazenamento de dados
– Todas as comunicação devem estar encriptadas através da
utilização do protocolo SSL
– O protocolo de segurança deve ser o mesmo em todas as
partes autenticadas
– Os dados armazenados estão encriptados e/ou em hash
Luis Batista Redes e Serviços de Comunicações Móveis
![Page 18: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/18.jpg)
Protocolos
Utilizam mecanismos de password para autenticar utilizadores
– Point-to-Point Protocol (PPP)
– RADIUS
– Kerberos
– TACACS+
– Diameter
Luis Batista Redes e Serviços de Comunicações Móveis
![Page 19: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/19.jpg)
Autenticação - Protocolos
Point-to-Point Protocol - mecanismos
PAP (Password Authentication Protocol)
Não encripta passwords
Mais simples na implementação
CHAP (Challenge Handshake Authentication Protocol)
EAP (Extensible Authentication Protocol).
PAP e CHAP são os mais implementados
EAP é o mais robusto (PEAP – Protected EAP : Microsoft, Cisco e RSA
Security)
Redes e Serviços de Comunicações Móveis Luis Batista
![Page 20: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/20.jpg)
CHAP
Challenge Handshake Authentication Protocol (CHAP)
Luis Batista Redes e Serviços de Comunicações Móveis
![Page 21: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/21.jpg)
EAP - Versões
Sistema de autenticação universal usado nas redes wireless e
redes ponto-a-ponto
Luis Batista Redes e Serviços de Comunicações Móveis
– LEAP - Lightweight Extensible Authentication Protocol (Cisco)
– EAP-TLS (o mais usado)
– EAP-MD5
– PEAP
![Page 22: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/22.jpg)
AAA
Autenticação, Autorização e Auditoria - Permite
a um utilizador ou PC aceder à rede e usar os
seus recursos
– Autenticação – o utilizador com quem
comunico é autentico
– Autorização – o que o que utilizador pode
fazer
– Auditoria – o que o utilizador faz
Luis Batista Redes e Serviços de Comunicações Móveis
![Page 23: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/23.jpg)
AAA
É usado em cenários onde um servidor de
acesso à rede (NAS) ou um servidor de acesso
remoto (RAS) age como um switch, garantindo
desta forma o acesso à rede ao utilizador.
Luis Batista Redes e Serviços de Comunicações Móveis
![Page 24: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/24.jpg)
AAA - Protocolos
*RADIUS (Remote Authentication Dial In User Service)
*TACACS+
Diameter
*RADIUS e TACACS+ não definem a quem é dado o acesso nem o
que o utilizador pode ou não fazer. Apenas servem para transporte
da informação entre o cliente e o servidor de autenticação. As
polítcas de acesso podem ser configuradas pelo SGBD.
Luis Batista Redes e Serviços de Comunicações Móveis
![Page 25: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/25.jpg)
RADIUS
O servidor frontend envia a informação do utilizador
através de credenciais para o servidor RADIUS (backend)
com pacotes RADIUS. Acessos e privilégios são
implementddos pelo servidor RADIUS ou pelas políticas de
base de dados.
Luis Batista Redes e Serviços de Comunicações Móveis
![Page 26: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/26.jpg)
RADIUS
1º servidor – proxy
2º servidor – autenticação
3º servidor (opcional) – concurrência
Luis Batista Redes e Serviços de Comunicações Móveis
![Page 27: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/27.jpg)
RADIUS A transacção começa normalmente com um pedido de acesso
carregando as credenciais do utilizador, seguindo de uma resposta
do servidor com a permissão ou negação de acesso.
Luis Batista Redes e Serviços de Comunicações Móveis
![Page 28: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/28.jpg)
RADIUS
Durante a sessão são trancsacionado pedidos de auditoria que
monitorizam o tempo de sessão, fim da sessão, etc.
Luis Batista Redes e Serviços de Comunicações Móveis
![Page 29: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/29.jpg)
RADIUS
Uso comercial
Luis Batista Redes e Serviços de Comunicações Móveis
![Page 30: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/30.jpg)
Kerberos
Luis Batista Redes e Serviços de Comunicações Móveis
Servidor de autenticação (Authentication Server ou Trusted
Third Party)
Verifica a identidade de utilizadores e serviços
– utilizando chaves secretas e o algoritmo de encriptação DES
Desenvolvido MIT para uso interno
Considera a existência de dois servidores de autenticação
Autenticação inicial dos agentes e obtenção das credenciais (tickets)
Separa a autenticação dos clientes da obtenção de credenciais
![Page 31: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/31.jpg)
Kerberos
Luis Batista Redes e Serviços de Comunicações Móveis
![Page 32: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/32.jpg)
Luis Batista
Controlo de Acessos
Redes e Serviços de Comunicações Móveis
![Page 33: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/33.jpg)
Agenda
Controlo de acessos
Firewalls
IDS - Intrusion Detection System
IPS - Intrusion Prevention System
Luis Batista Redes e Serviços de Comunicações Móveis
![Page 34: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/34.jpg)
Controlo de Acessos
Pode-se comparar o controlo de acessos de um sistema
de informação a uma empresa.
LAN – Empresa
Empresa:
Escritórios – ambiente de trabalho
Salas de arquivo – servidores
Corredores – routers
Sala de espera - DMZ (zona desmilitarizada)
Luis Batista Redes e Serviços de Comunicações Móveis
![Page 35: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/35.jpg)
Firewalls
Barreiras interpostas entre a rede privada e a rede externa
Existem em equipamentos ou aplicações
Objectivo
evitar ataques (vírus, hackers)
monitorizar e filtrar todo o tráfego que fluí entre duas redes
bloquear completamente certos tipos de tráfego
localizados estrategicamente (onde?)
Redes e Serviços de Comunicações Móveis Luis Batista
![Page 36: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/36.jpg)
Firewalls - implementação
Considerações a ter em conta na implementação da firewall
de onde será originada uma ameaça sistema e porque razões?
não pensar que firewall = segurança (porquê?)
Redes e Serviços de Comunicações Móveis Luis Batista
![Page 37: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/37.jpg)
Firewalls - implementação
+ considerações - revisão de políticas
determinar o que se quer proteger e qual a sua importância
determinar como ocorrerão as comunicações na firewall
onde deve ser colocado
como configurá-lo
número de firewalls
o esquema da ligação
manutenção após a ligação
Redes e Serviços de Comunicações Móveis Luis Batista
![Page 38: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/38.jpg)
Firewalls - auditoria
+ considerações - auditoria (análise de logs)
em caso de “perseguição” (keyloggers)
disponibilização de logs
equipe e protocolo – aptos a actuar
Redes e Serviços de Comunicações Móveis Luis Batista
![Page 39: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/39.jpg)
Firewalls
+ considerações
aplicação de filtros
sujeito a vírus – integração com antivírus
outros motivos
e a performance?
suporte para autenticação
suporte para alterar passwords, mover bases de dados, executar scripts
para manipulação da base de dados, etc
acessos remotos (ligações para o interior)
será ou não preferível optar por uma VPN?
revisão da arquitectura
Redes e Serviços de Comunicações Móveis Luis Batista
![Page 40: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/40.jpg)
Firewalls - arquitectura
Arquitectura baseada num router e firewall
Uma das mais comuns
Internet Firewall Intranet
Servidor
WWW
Servidor
FTP
Servidor
SMTP
DMZ
Router
Switch
Redes e Serviços de Comunicações Móveis Luis Batista
![Page 41: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/41.jpg)
Firewalls - tipos
Packet filtering
método mais básico (integrados nos routers)
trabalha com os valores transportados em cada pacote
TCP/IP (end IP e porta origem/destino)
simples de criar
não é suficiente
Redes e Serviços de Comunicações Móveis
Application proxy
Stateful Inspection
Luis Batista
![Page 42: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/42.jpg)
Firewalls – Packet Filtering
Sites totalmente bloqueados não podem ser acedidos pelos
utilizadores da rede segura
Complexidade de manutenção
introdução manual
processo que se torna dificil de gerir
Redes e Serviços de Comunicações Móveis Luis Batista
![Page 43: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/43.jpg)
Firewalls – Aplication Proxy
Trabalha com os valores transportados em cada pacote TCP/IP (end IP
e porta origem/destino)
São intermediários
Requerem autenticação (recorre à criptografia e passwords)
Capazes de rejeitar pacotes com determinadas extenções (exe, zip)
Excelentes níveis de segurança e controlo de acesso
Podem providenciar um elevado nível de protecção contra ataques do
tipo Deniel of Service (DoS)
Redes e Serviços de Comunicações Móveis Luis Batista
![Page 44: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/44.jpg)
Firewalls - Aplication Proxy
Desvantagens
Requerem grandes quantidades de recursos do computador
Ocorrência de eventuais paragens ou diminuições de velocidades na
rede
Mais complexos em termos de configuração e manutenção
Nem todas as aplicações têm proxies disponíveis
Redes e Serviços de Comunicações Móveis Luis Batista
![Page 45: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/45.jpg)
Firewalls – soluções híbridas
São as melhores abordagens
Vantangens
Combinam vários métodos de protecção, por exemplo, a combinação entre packet
filter e stateful inspection
Fornece funções de segurança a um elevado número de destinatários
O stateful inspection juntamente com os proxies combinam o desempenho e as
vantagens das políticas de segurança do stateful inspection com o elevado nível de
resistência a DoS do proxy
Redes e Serviços de Comunicações Móveis Luis Batista
![Page 46: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/46.jpg)
Firewalls – soluções híbridas
Desvantagens
Compra de software e/ou hardware adicional
Não há incorporações com outro dispositivo de rede existente
Redes e Serviços de Comunicações Móveis Luis Batista
![Page 47: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/47.jpg)
Variam – boas para um site, más para outros
“KISS - Keep it simple, stupid” ”
Flexíbilidade e de fácil manutenção
Suporte às políticas de segurança definidas para a rede
Sem impor restrições
Firewalls – características desejáveis
Redes e Serviços de Comunicações Móveis Luis Batista
![Page 48: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/48.jpg)
Controlo de acesso a serviços
Negação ou permissão
Filtro de tráfego
Negação ou permissão de acesso a serviços oferecidos por
servidores específicos
endereços IP, tipos de protocolos, portas e interfaces
Suporte à autenticação
Firewalls – características desejáveis
Redes e Serviços de Comunicações Móveis Luis Batista
![Page 49: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/49.jpg)
Suporte de características de proxy para os principais
serviços
HTTP, SMTP, FTP
Permitir o acesso a servidores públicos
Não comprometendo a segurança das zonas não privadas da
rede
Redes e Serviços de Comunicações Móveis
Firewalls – características desejáveis
Luis Batista
![Page 50: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/50.jpg)
Logs do tráfego
Acessos e tentativas de acesso
Disponibilização de ferramentas para uma fácil análise dos logs
Suporte técnico
Patchs e resolução de problemas e bugs
Interface de configuração e administração amigável e flexível
Redes e Serviços de Comunicações Móveis
Firewalls – características desejáveis
Luis Batista
![Page 51: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/51.jpg)
IDS - Intrusion Detection Systems
Tem vindo a ganhar interesse devido ao grande
crescimento do número de intrusões
Necessidade de monitorização
tentativas de ataque
falhas da rede
calcular precisamente a extensão dos estragos
Existe a fechadura mas não existe câmara de segurança
Redes e Serviços de Comunicações Móveis Luis Batista
![Page 52: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/52.jpg)
IDS - termos
Falsos positivos
situações “benignas” – tipicamente um erro
Falsos negativos
situações de falha – falha no sistema
Assinaturas
conjunto de condições que, quando reunidas,
indicam algum tipo de intrusão
Redes e Serviços de Comunicações Móveis Luis Batista
![Page 53: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/53.jpg)
IDS - termos
Algorítmo
método usado pela assinatura
Intrusão
actividades concatenadas que colocam a segurança
dos recursos TI em perigo
Redes e Serviços de Comunicações Móveis Luis Batista
![Page 54: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/54.jpg)
Ataque
uma tentativa falhada de entrada no sistema (não é executada
nenhuma transgressão)
Incidente
violação das regras do sistema de segurança - intrusão bem
sucedida
IDS - termos
Redes e Serviços de Comunicações Móveis Luis Batista
![Page 55: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/55.jpg)
Modelação de intrusões
uma modelação temporal de actividades - a intrusão
1. o intruso inicia o seu ataque com uma acção introdutória
2. tenta outras auxiliares
3. até conseguir o acesso bem sucedido
Sensores
Network Intrusion Detection System (NIDS)
Host Sensors
IDS - termos
Redes e Serviços de Comunicações Móveis Luis Batista
![Page 56: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/56.jpg)
Sistema de defesa
detecção de actividades “inimigas”
detectar/impedir as actividades comprometedoras
– tentativas de portscans
facilitar a visualização de actividade suspeita
emissão de alertas
bloqueio de ligações
distinção de ataques internos/externos
Redes e Serviços de Comunicações Móveis
IDS - caracterização
Luis Batista
![Page 57: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/57.jpg)
Pattern Matching
procura por sequências fixas de bytes num único
pacote
apenas se houver associação do padrão a
um serviço concreto
uma porta específica
Exemplo: TCP com destino à porta 2222 e payload
contendo 123
Redes e Serviços de Comunicações Móveis
IDS - Metodologias
Luis Batista
![Page 58: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/58.jpg)
Vantagens
método mais simples de IDS
permite correlações directas de um exploit com o padrão
altamente específico
gera alertas com o padrão especificado
aplicável em todos os protocolos
Redes e Serviços de Comunicações Móveis
IDS - Pattern Matching
Luis Batista
![Page 59: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/59.jpg)
Desvantagens
probabilidade de ocorrência de taxas elevadas de falsos
positivos
as modificações ao ataque podem conduzir à falta de eventos
(falsos negativos)
necessidade de múltiplas assinaturas para tratar de uma única
ameaça
não aconselhado à natureza de tráfego de dados do HTTP
Redes e Serviços de Comunicações Móveis
IDS - Pattern Matching
Luis Batista
![Page 60: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/60.jpg)
Análise heurística
Lógica algorítmica para tomar decisões de alarme
São frequentemente avaliações estatísticas do tipo de tráfego
apresentado
Redes e Serviços de Comunicações Móveis
IDS - Metodologias
Luis Batista
![Page 61: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/61.jpg)
Vantagens
Alguns tipos de actividades suspeitas ou maliciosas não podem
ser detectadas por qualquer outro meio.
Redes e Serviços de Comunicações Móveis
IDS - Análise heurística
Desvantagens
Os algoritmos podem requerer afinações ou modificações (para
adequação de tráfego e limitação de falsos positivos).
Luis Batista
![Page 62: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/62.jpg)
Análise à anomalia
Procura tráfego “anormal” (problema?)
Pacotes de comunicação que não coincidem com o estado da ligação
Pacotes de comunicação que se encontram severamente fora da sequência
Subcategoria – detecção de métodos de perfis
forma como os utilizadores ou sistemas interagem com a rede
Possível detectar ataques em curso
Fornecem pouca informação, são vagos e requerem demasiada investigação
IDS - Metodologias
Luis Batista Redes e Serviços de Comunicações Móveis
![Page 63: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/63.jpg)
Vantagens
Quando implementado correctamente, podem detectar ataques
desconhecidos/novos
Menores cargas - não é necessário desenvolver novas
assinaturas
IDS – Análise à anomalia
Luis Batista Redes e Serviços de Comunicações Móveis
![Page 64: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/64.jpg)
Desvantagens
Não fornecem dados concretos da intrusão - acontece um
“desastre” mas o sistema não consegue determiná-lo
Altamente dependente do ambiente que os sistemas definem
como normal
IDS – Análise à anomalia
Luis Batista Redes e Serviços de Comunicações Móveis
![Page 65: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/65.jpg)
Os IDS
Utilizam apenas uma das metodologias como core
e fracções das outras metodologias (antes ou depois de analisar
os dados)
– Devido à degradação da performance
A detecção prematura de um intruso - evitar danos
Quanto mais cedo, melhor!
Eficiência - desencorajar ataques
IDS
Luis Batista Redes e Serviços de Comunicações Móveis
![Page 66: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/66.jpg)
Os IDS são
Um elemento de core
Um sensor (pelo menos)
responsável pelas decisões a tomar
recebem os dados de três fontes principais
base de dados do próprio IDS
syslog (configuração, permissões, utilizadores, etc)
Auditorias
estrutura da base para o processo de futuras tomadas de decisão
Redes e Serviços de Comunicações Móveis
IDS
Luis Batista
![Page 67: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/67.jpg)
protecção do ataque
prevenção de intrusões
boa combinação de “iscas e
armadilhas” – para a investigação e
ameaças (Honey pots)
desvio da atenção do intruso
dos recursos protegidos
repulsão (muitas vezes
conseguida)
exame dos dados IDS
Prevenção
Monitorização
Detecção
Reacção
Simulação
Análise
Notificação
Redes e Serviços de Comunicações Móveis
IDS - Tarefas
Luis Batista
![Page 68: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/68.jpg)
IDS
Infraestrutura IDS
Adicional
Monitoriz
a Notifica
Sistema a proteger
Reage
Intrusion Detection Systems - IDS
Redes e Serviços de Comunicações Móveis Luis Batista
![Page 69: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/69.jpg)
É uma evolução/extensão do IDS
Actua após o alerta dado pelo IDS
E previne a realização do ataque no sistema
Ao receber o alerta executa a acção de prevenção
Como bloquear o IP da origem do ataque
IPS – Instrusion Prevention System
Luis Batista Redes e Serviços de Comunicações Móveis
![Page 70: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/70.jpg)
Os métodos de autenticação e controlo de acessos não são mais
que sistemas de segurança para proteger sistemas de informação
Não há sistemas 100% seguros - apenas a ideia de sistemas
seguros (uma ilusão!!)
A implementação de um sistema de seguro não é dificil ou
complexa se a solução estiver bem desenhada (o mito de que os
sistemas de segurança são complicados...)
Conclusão
Luis Batista Redes e Serviços de Comunicações Móveis
![Page 71: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/71.jpg)
Apesar de recorrerem a algorítmos sofisticados e a métodos de
proteção efecientes, os sistemas de segurança dependem sempre de
intervenção humana (criatividade no desenho da arquitetura e
manutenção do sistema)
Não são resistentes à mudança - pois não há sistemas estanques - a
criatividade humana e o progresso tecnológico ditam as novas
necidades a implementar nos sistemas de autenticação e controlo de
acesso!
Conclusão
Luis Batista Redes e Serviços de Comunicações Móveis
![Page 72: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/72.jpg)
Algumas questões
Luis Batista Redes e Serviços de Comunicações Móveis
![Page 73: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/73.jpg)
Quais os 3 factores de autenticação mais usados?
Luis Batista Redes e Serviços de Comunicações Móveis
![Page 74: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/74.jpg)
SYK
SYH
SYA
Luis Batista Redes e Serviços de Comunicações Móveis
![Page 75: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/75.jpg)
Para quê optar por uma abordagem híbrida
na implementação de uma firewall?
Luis Batista Redes e Serviços de Comunicações Móveis
![Page 76: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/76.jpg)
Para obter uma maior a segurança, combinando
o melhor de cada tipo de firewall
isto é, tirar partido das vantagens do
packet filtering e appilcation proxy, por exemplo
Fornecer funções de segurança a um elevado número de destinatários
Luis Batista Redes e Serviços de Comunicações Móveis
![Page 77: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/77.jpg)
Quais as metodologias usadas no IDS?
Luis Batista Redes e Serviços de Comunicações Móveis
![Page 78: Autenticação e controlo de acessos](https://reader033.vdocuments.com.br/reader033/viewer/2022051502/58eeb5661a28aba8418b469f/html5/thumbnails/78.jpg)
Pattern Matching
Análise heurística
Análise à anomalia
...
Luis Batista Redes e Serviços de Comunicações Móveis