segurança de redes - projeto e gerenciamento de redes seguras

SEGURANÇA DE REDES

Projeto e Gerenciamento de Redes Seguras

Jivago Alves

Roteiro

O que é segurança? O processo de segurança O processo está funcionando? Política de segurança Como escrever uma política Conteúdo da política Quem está atacando? Boas práticas

SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 3

O que é segurança?

Segurança é proporcional ao valor protegido.

Lidamos com componentes humanos!

Que tipo de empresa estamos protegendo?


O processo de segurança

Processo contínuo...


O processo de segurança


O processo está funcionando?

Não existe forma provar um ataque e receber os créditos pelo sucesso da defesa.

Atividade não pode ser diferenciada como legítima ou acidental.

Paradoxo: impossível quantificar, mas sem quantificação o processo parecerá ser um fracasso.


Política de segurança

O que e por que está sendo protegido? Prioridades de segurança: o que tem mais

valor? Definir acordo explícito entre partes. Fornece motivos válidos para se dizer não e

para sustentá-lo. Impede que tenhamos um desempenho fútil.


Como escrever uma política

Escreva um esboço com idéias genéricas e essenciais.

Descubra 3 pessoas para o comitê de política de segurança.

O comitê será legislador, você é o executor! Divulgue a política, crie um site interno. Trate a política como regras absolutas com

força de lei.


Como escrever uma política

Se alguém tiver algum problema com a política, faça com que a pessoa proponha uma sugestão.

Programe encontros regulares para consolidar a política.


Conteúdo da política

Defina prioridades

1) Saúde e segurança humana

2) Conformidade com legislação local, estadual e federal

3) Interesses da empresa

4) Interesses de parceiros da empresa

5) Disseminação gratuita e aberta de informações não-sensíveis.



Defina níveis de acesso aos recursos: Vermelho: somente func. ”vermelhos” Amarelo: somente funcionários. Verde: funcionários contratados e selecionados. Branco: funcionários e contratados. Preto: funcionários, contratados e público

(selecionado)



Caracterize seus recursos: Vermelho: informações extremamente confidenciais Amarelo: informações sensíveis, serviços

importantes Verde: capaz de ter acesso a recursos vermelhos,

ou amarelos, mas sem info. essenciais. Branco: sem acesso a vermelho, amarelo ou verde,

sem acesso externo Preto: acessível externamente, sem acesso aos

anteriores.



Descrever responsabilidades e privilégios: Geral: conhecimento da política Admin. de sistemas: informações de usuário

tratadas como confidenciais. Admin. de segurança: mais alto nível de conduta

ética. Contratado: acesso a máquinas especificamente

autorizadas. Convidado: nenhum acesso, exceto com

notificação prévia por escrito à segurança.



Definir penalidades: Crítica: recomendação de demissão, abertura de

ação legal. Séria: recomendação de demissão, desconto de

salário. Limitada: desconto de salário, repreensão formal

por escrito, suspensão não-remunerada.


Quem está atacando?

É preciso estudar ameaças para uma boa defesa

Segurança é uma questão social. Segredo é dificultar a vida do atacante. Um ataque terá êxito se o atacante tiver:

Habilidade Motivação Oportunidade



Navegadores, aproveitadores e vândalos. Probab. alta, número grande, motivação baixa a

média, e habilidade baixa a alta.

Estratégia de defesa: Não ofereça recursos públicos e sem autenticação,

que possam ser controlados pelos outros. Examine os recursos periodicamente. Elimine características atraentes para os atacantes. Mantenha-se atualizado com metodologias de

ataque.



Espiões e sabotadores. Probab. depende da atividade, número baixo,

motivação média a alta, habilidade média a alta.

Estratégia de defesa: Sob ponto de vista externo, aparente ser um

objetivo muito arriscado. Elimine meios conhecidos de ataques de DoS. Limite o que é conhecido publicamente sobre suas

defesas. Preteja os principais sistemas comerciais.



(Ex-)funcionários e (ex-)contratados frustrados. Probab. média a alta, número depende da

atividade, motivação alta, habilidade média a alta.

Estratégia de defesa: Sob ponto de vista externo, aparente ser um

objetivo muito arriscado. Mantenha felizes seus funcionários.



Estratégia de defesa (cont.): Desenvolva um plano para despedir funcionários

que conhecem detalhes de segurança. Elimine imediatamente o acesso. Avise que o funcionário será o primeiro suspeito, em

caso de ataque. Crie situação na qual o funcionário demitido não será

capaz de abusar do sistema.


Boas práticas

Aprenda tudo que puder sobre as ameaças que encontrar.

Planeje o melhor possível de acordo com o que aprendeu, antes de implementar qualquer coisa.

Pense patologicamente e fortaleça o projeto. Implemente exatamente como foi projetado. Verifique tudo continuamente, previna-se!


Boas práticas

Pratique a execução para chegar a perfeição. Simplifique o que deseja que as pessoas

façam. Dificulte o que não deseja que elas façam. Facilite a identificação de problemas: um bom

registro de problemas ajuda. Teste tudo que puder testar!


Dúvidas?


Referências

Segurança de Redes – Thomas A. Wadlow.

segurança de redes - projeto e gerenciamento de redes seguras

Technology