Instituto de Ciências Exatas Departamento de Ciência da Computação Curso de Especialização em Gestão da Segurança da Informação e Comunicações

Tamanho: px
Começar a partir da página:

Download "Instituto de Ciências Exatas Departamento de Ciência da Computação Curso de Especialização em Gestão da Segurança da Informação e Comunicações"

Transcrição

1 Instituto de Ciências Exatas Departamento de Ciência da Computação Curso de Especialização em Gestão da Segurança da Informação e Comunicações FERNANDO MARQUES BORGES Análise Preliminar da Rede Virtual Privada do Centro de Comunicações e Guerra Eletrônica do Exército Brasília 2011

2 Fernando Marques Borges Análise Preliminar da Rede Virtual Privada do Centro de Comunicações e Guerra Eletrônica do Exército Brasília 2011

3 Fernando Marques Borges Análise Preliminar da Rede Virtual Privada do Centro de Comunicações e Guerra Eletrônica do Exército Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília como requisito parcial para a obtenção do título de Especialista em Ciência da Computação: Gestão da Segurança da Informação e Comunicações. Orientador: Prof. MSc. João José Costa Gondim Universidade de Brasília Instituto de Ciências Exatas Departamento de Ciência da Computação Brasília Dezembro de 2011

4 Desenvolvido em atendimento ao plano de trabalho do Programa de Formação de Especialistas para a Elaboração da Metodologia Brasileira de Gestão da Segurança da Informação e Comunicações - CEGSIC 2009/ Fernando Marques Borges. Qualquer parte desta publicação pode ser reproduzida, desde que citada a fonte. Borges, Fernando Marques Análise Preliminar da Rede Virtual Privada do Centro de Comunicações e Guerra Eletrônica do Exército / Fernando Marques Borges. Brasília: O autor, p.; Ilustrado; 25 cm. Monografia (especialização) Universidade de Brasília. Instituto de Ciências Exatas. Departamento de Ciência da Computação, Inclui Bibliografia. 1. VPN, Criptografia. 2. Segurança, Redes. 3. Exército Brasileiro CDU

5

6 Agradecimentos Agradeço a Deus, em primeiro lugar, pela porta que me foi aberta para cursar o CEGSIC. Agradeço à minha esposa, Sônia Regina, que apesar de sua árdua tarefa, sempre esteve ao meu lado, apoiando-me; aos meus pais, que mesmo distantes, transmitem-me energia e paz; ao amigo André Carvalhais, primeiro incentivador para meu ingresso no Curso; aos colegas da turma verde-claro, pelas discussões e aprendizado mútuo; ao Prof. MSc. João Gondim, pela compreensão de minhas dificuldades, pelas correções de rumo e pela ajuda inestimável nos momentos críticos de confecção deste trabalho; ao Prof. Dr. Jorge Henrique Cabral Fernandes, coordenador do CEGSIC, pela segura orientação e coordenação ímpar durante todo o Curso.

7 Os números governam o mundo. Pitágoras de Samos.

8 Lista de Ilustrações Ilustração 1: Conexões de Rede: Visão Geral (Fonte: O autor)...14

9 Lista de Abreviaturas e Siglas ABNT - Associação Brasileira de Normas Técnicas AC - Autoridade Certificadora ACL - Access Control Lists CEGSIC - Curso de Especialização em Gestão da Segurança da Informação e Comunicações CCOMGEx - Centro de Comunicações e Guerra Eletrônica do Exército DCT - Departamento de Ciência e Tecnologia DSIC - Departamento de Segurança da Informação e Comunicações EB - Exército Brasileiro EBNET - Rede Privativa Corporativa de Dados do Exército Brasileiro GSI/PR - Gabinete de Segurança Institucional da Presidência da República HMAC - Hash Message Authentication Code ICP - Infraestrutura de Chaves Públicas IDS - Intrusion Detection System IPS - Intrusion Prevention System IREPCAC - Instruções Reguladoras para Práticas de Certificação da Autoridade Certificadora do Exército Brasileiro IRERAIZ - Instruções Reguladoras para Práticas de Certificação da Autoridade Certificadora Raiz do Exército Brasileiro IRESER - Instruções Reguladoras sobre Segurança da Informação nas Redes de Comunicação e de Computadores do Exército Brasileiro IRESICP - Instruções Reguladoras sobre Segurança da Infra-Estrutura de Chaves Públicas do Exército Brasileiro

10 IRRISC - Instruções Reguladoras sobre Análise de Riscos para Ambientes de Tecnologia da Informação do Exército Brasileiro OM - Organização Militar OpenLDAP - Open Lightweight Directory Access Protocol PAM - Pluggable Authentication Modules PKI - Public Key Infrastructure PS - Política de Segurança RFC - Request For Comments RSA - Rivest, Shamir e Adleman Algorithm SIC Segurança da Informação e Comunicações SSL/TLS - Secure Sockets Layer/Transport Layer Security TI Tecnologia da Informação VPN - Virtual Private Network

11 Sumário Agradecimentos...4 Lista de Ilustrações...6 Lista de Abreviaturas e Siglas...7 Sumário... 9 Resumo Abstract Delimitação do Problema Introdução Formulação da situação problema Objetivos e escopo Objetivo Geral Objetivos Específicos Escopo Justificativa Hipótese Revisão de Literatura e Fundamentos Referencial teórico Conceitos Básicos Referenciais Conceituais...22

12 3 Metodologia Resultados Discussão Conclusões e Trabalhos Futuros Conclusões Trabalhos Futuros...49 Referências e fontes consultadas...50

13 Resumo Este trabalho analisa as características de segurança da Rede Virtual Privada (VPN) do Centro de Comunicações e Guerra Eletrônica do Exército (CCOMGEx), tomando como base a série de estudos de caso realizada neste ambiente organizacional no decorrer do CEGSIC A partir da análise dos dados coletados sobre a criptografia aplicada na rede, o gerenciamento da Infraestrutura de Chaves Públicas (ICP) e o nível de aderência da governança do sistema às principais normas que regem o assunto no âmbito do Exército Brasileiro (EB) e do Governo Federal, buscou-se verificar a coerência da Virtual Private Network com as mais recentes e adequadas práticas de Segurança da Informação e Comunicações (SIC). Futuros estudos que busquem definir uma Política de Segurança específica que preveja a utilização de sistemas dessa natureza no âmbito do CCOMGEx podem fazer uso dos resultados deste trabalho, com vistas a definir padronização de procedimentos, a conscientização dos usuários e o controle efetivo e eficaz da segurança do sistema.

14 Abstract This paper analyzes the security features of the Virtual Private Network (VPN) employed in the Brazilian Army's Signals and Electronic Warfare Center (CCOMGEx), based on a series of use case studies performed on that organizational environment throughout CEGSIC Starting from the analysis of collected data on the network's cryptography, the management of a Public Key Infrastructure (PKI), and the level of alignment of the system's governance to the main governance rules of both the Brazilian Army and the Brazilian Federal Government, it sought to verify the VPN's coherence in relation to the most recent best practices in Information and Communications Security (ICS). Future studies attempting to define a specific Security Policy that foresees the use of such systems within CCOMGEx can benefit from the results of this paper, aiming to define procedure standardization, user awareness, and the effective, efficient control of system security.

15 13 1 Delimitação do Problema 1.1 Introdução É de clareza solar que qualquer organização atualmente constituída tem como uma de suas principais demandas a dependência da informação. Esse caráter de dependência deve-se, em grande parte, ao fato de que informação, tomada como conhecimento transmitido, é pilar do desenvolvimento, do crescimento e da progressão de pessoas e dos próprios ambientes organizacionais. Esta dependência eleva sobremaneira a importância de seu controle e proteção. A informação é um ativo que tem um valor para a organização e, consequentemente, necessita ser adequadamente protegido (NBR ISO/IEC 27002, 2005). Estando ela, a informação, sob a perspectiva digital, na forma de dados que trafegam em redes de computadores, é imprescindível que haja controle e proteção sobre essa dinâmica. Veneziano (2010, p. 7) define a informação como sendo um conjunto de dados organizados de modo tal que fazem sentido ou possuem utilidade para alguém. No contexto organizacional, esta utilidade está ligada invariavelmente a serviços e recursos. Dessa ideia pode-se partir para o conceito de segurança da informação no contexto organizacional, que poderia ser resumido em linhas gerais como uma forma de proteger a informação das ameaças que possam alterar-lhe a continuidade e, por conseguinte, as atividades da organização. Se no meio civil a proteção da informação é atividade crítica, no campo militar essa atividade toma uma nuance ainda mais crucial. O Centro de Comunicações e Guerra Eletrônica do Exército (CCOMGEx) é uma Organização Militar (OM) pertencente ao Exército Brasileiro (EB) que desenvolve atividades em várias

16 14 vertentes, dentre as quais se destacam a gerência das Comunicações Militares, atuando sobre a correta manipulação e implementação de controles nas áreas de Comunicações, Eletrônica e Cibernética. Em determinada situação específica e limitada a este contexto, há necessidade de se interligar redes de computadores de três outras organizações militares subordinadas ao Centro, localizadas em diferentes regiões do país, para que seja viabilizado o tráfego seguro de informações (dados) entre essas OM e o CCOMGEx em um ambiente de comunicação totalmente controlado. Ilustração 1: Conexões de Rede: Visão Geral (Fonte: O autor) A fim de que se pudesse cumprir essa missão, foi necessária a criação de uma Rede Virtual Privada (Virtual Private Network VPN) com o objetivo de interligar as redes destas organizações e prover um nível aceitável de segurança ao fluxo de dados. Cumpre ressaltar que no presente trabalho as informações julgadas críticas e/ou sensíveis foram sanitizadas, com a finalidade de se preservar o sigilo do projeto original que deu origem ao sistema analisado. A necessidade da criação de uma VPN decorre de vários aspectos. Da economia de meios, ao utilizar-se de uma estrutura pública disponível ao invés de conexões dedicadas, passando pela operacionalidade e confiabilidade da operação, até sua atividade-fim: a proteção dos dados em tráfego. No cenário analisado destacou-se a imperiosa necessidade de preservação de três dos principais

17 15 atributos da informação, a saber: a confidencialidade, limitando o acesso à informação unicamente aos entes autorizados, a integridade, garantindo que os dados mantenham suas características originais e a disponibilidade, garantindo que a informação esteja sempre pronta para o uso pelos entes devidamente autorizados (NBR ISO/IEC 27002, 2005). Uma Rede Privada Virtual ou Virtual Private Network - VPN é, como seu nome indica, uma rede particular de dispositivos que usa conexões "virtuais" para interligar, de maneira segura, outras redes ou usuários remotos, usando como meio de acesso uma outra rede real de domínio público não confiável (Gleeson, 2000). A VPN utiliza-se da Criptografia, técnica utilizada para manipular a informação tornando-a incompreensível, exceto para o destinatário e o transmissor, que sabem como decifrá-la. A utilização da criptografia é imprescindível, já que o meio físico real que une as redes geograficamente distantes é de acesso público. Em outras palavras, uma VPN é uma rede privada construída dentro da infraestrutura de uma rede pública, utilizando recursos de Criptografia para garantir a integridade, a confidencialidade e a autenticidade dos dados que por ela trafegam. O cenário pesquisado utiliza como rede pública a Rede Privativa Corporativa de Dados do Exército Brasileiro, a partir desse ponto denominada resumidamente como EBNET. 1.2 Formulação da situação problema Todos os estudos de caso do Curso de Especialização em Gestão da Segurança da Informação e Comunicações (CEGSIC) foram voltados para responder ao seguinte questionamento: A tecnologia empregada na Rede Virtual Privada do Centro de Comunicações e Guerra Eletrônica do Exército pode garantir o sigilo necessário para os dados em tráfego entre as Organizações Militares envolvidas e CCOMGEx? A fim de que se pudesse chegar às conclusões, outros questionamentos relacionados foram analisados e os resultados serão apresentados no decorrer do trabalho, todos com base nos resultados obtidos durante a parte empírica desenvolvida no decurso do CEGSIC

18 Objetivos e escopo Objetivo Geral O objetivo geral da pesquisa é analisar se o nível de segurança obtido com a VPN pode garantir a privacidade necessária aos dados trafegados na rede. Verificar a aderência do sistema às principais normas de segurança, tanto as estudadas no CEGSIC quanto as baixadas pelo próprio Exército Brasileiro, bem como analisar se os recursos implementados no projeto podem alcançar o nível de segurança desejado serão as formas de se estudar como a utilização desta tecnologia insere-se no contexto da Segurança da Informação e Comunicações. Buscar-se-á, com os resultados do trabalho, subsidiar futuros trabalhos que tenham como foco propor uma Política de Segurança para utilização do sistema Objetivos Específicos A presente pesquisa tem como metas: a. Analisar de que maneira os principais conceitos, normas e princípios estudados no CEGSIC aplicam-se ao sistema e de que forma estes alavancam a segurança da rede; b. Verificar a aplicação das normas de segurança emitidas pelo Exército Brasileiro relacionadas com o tema; c. Estimar os riscos a que a conexão se expõe e, a partir dos resultados dos estudos de caso, verificar como o fluxo de dados é protegido; d. Identificar ferramentas e configurações que possam incrementar a segurança da rede, em especial no tocante ao sigilo dos dados; e. Concluir sobre a viabilidade de utilização da VPN no âmbito da organização estudada, no contexto da Segurança da Informação e Comunicações Escopo Declara-se como limite deste estudo a estrutura existente da Rede Virtual Privada (VPN) do Centro de Comunicações e Guerra Eletrônica do Exército (CCOMGEx), composta de um Servidor Central em Brasília/DF e três clientes dispostos em regiões distintas do país, todos interligados pela EBNET.

19 Justificativa A VPN do Centro de Comunicações e Guerra Eletrônica do Exército faz parte de um projeto relativamente recente, iniciado no ano de O projeto nasceu da necessidade de interligação de infraestruturas de redes de computadores situadas em três estados do país à Brasília, a fim de possibilitar um canal seguro para tráfego de dados entre as organizações envolvidas, sob a gerência exclusiva do CCOMGEx. Antes da implementação foram levantados os requisitos de segurança para o projeto. A necessidade primordial de confidencialidade do fluxo de dados exigiu a utilização de tecnologia que pudesse garantir este atributo às informações em trânsito. A solução mais adequada para o quadro foi apontada como sendo a criação de uma Rede Virtual Privada. Araújo (2010) explica que as VPN's são baseadas em dois conceitos: Criptografia e Tunelamento. A Criptografia garante a autenticidade, o sigilo e a integridade das conexões e o Tunelamento 1, permite a utilização de uma rede pública para o tráfego de informações entre duas partes da conexão. Desta forma, uma VPN pode tornar possível a passagem segura de dados sensíveis por uma rede pública, fazendo uso de tecnologias que transformem esse meio inseguro em confiável. A utilização da criptografia é imprescindível, já que, como citado anteriormente, o meio físico real que une as redes geograficamente distantes é de acesso público. Infere-se, portanto, que a VPN é uma das ferramentas mais indicadas para proteger o fluxo de dados interorganizacional, mas sua utilização depende, em considerável escala, da eficiente análise de riscos, eventos e incidentes no ambiente estudado. O projeto foi concebido com a exigência de pontos finais confiáveis, ou seja, tanto o servidor quanto os clientes devem ser máquinas com níveis elevados de confiança, bem como devem participar da rede corporativa de acordo com a política de segurança da organização. Dito de outra forma, as máquinas utilizadas devem ser totalmente sujeitas às práticas de Segurança da Informação organizacional. Além disso, deve existir a certeza de que as credenciais de autenticação e os componentes do software são pré-instalados de forma segura em todos os 1 Mecanismo que consiste em se encapsular um protocolo dentro de outro, formando um túnel privado que simula uma conexão ponto-a-ponto, daí a expressão virtual.

20 18 dispositivos, de maneira que cada ponto tem condições de autenticar corretamente um ao outro. Julga-se possível, então, que a organização analisada possa obter ganho significativo na segurança da rede a partir da análise proposta neste trabalho, já que à luz dos diversos estudos de caso realizados durante o CEGSIC foram verificadas as principais características de segurança da VPN, dentre as quais se destacam a Criptografia Aplicada e a Infraestrutura de Chaves Públicas associada, além do que foram analisadas as implicações no que diz respeito às boas práticas de SIC e verificada a aplicação das principais normas que regem o assunto no âmbito do Exército Brasileiro e do próprio Governo Federal. 1.5 Hipótese Uma Rede Virtual Privada (VPN) protege os dados que por ela trafegam de acesso não autorizado. A solução estudada, baseada em utilização de Software Livre e apoiada nas principais normas de segurança, pode ser tomada como um sistema seguro para prover segurança aos dados de uma rede, interligando de maneira confiável diferentes redes de computadores situadas em regiões geograficamente distantes no país.

21 19 2 Revisão de Literatura e Fundamentos 2.1 Referencial teórico Para a constituição da base conceitual deste estudo foram consultadas as seguintes publicações: Controle de Acessos, Introdução à Gestão de Riscos de Segurança da Informação e Sistemas, Informação e Comunicação, de Jorge Henrique Cabral Fernandes; Criptografia e Infraestrutura de Chaves Públicas, de Anderson Clayton Nascimento; Criptografia e Segurança: O guia Oficial RSA, de Steve Burnet e Stephen Paine; Gerenciamento das Operações e Comunicações, de João Gondim; Infraestrutura de Tecnologia da Informação, de Aletéia Favacho; Organizações e Sistemas de Informação, de Wilson Henrique Veneziano; Política e Cultura de Segurança, de João Souza Neto; Projetos de Cunho Científico, de André Ancona Porto Lopez; Redes de Computadores, de Andrew S. Tanenbaum; Redes de Computadores e a Internet, de James Kurose e Keith Ross; Segurança de Redes em Ambientes Cooperativos, de Emílio Nakamura e Paulo Geus e Servidores Linux, de Carlos E. Morimoto. Foram coletadas ainda informações sobre políticas de segurança das seguintes fontes: Departamento de Segurança da Informação e Comunicações do GSI/PR (DSIC), Associação Brasileira de Normas Técnicas (ABNT), Gabinete de Segurança Institucional da Presidência da República (GSI/PR) e Departamento de Ciência e Tecnologia do Exército Brasileiro (DCT/EB).

22 Conceitos Básicos De acordo com Gleeson (2000), uma Rede Privada Virtual ou Virtual Private Network (VPN) é, como seu nome indica, uma rede particular de dispositivos que usa conexões "virtuais" para interligar, de maneira segura, outras redes ou usuários remotos, usando como meio de acesso uma outra rede real de domínio público não confiável. Assim, uma VPN pode tornar possível a passagem segura de dados sensíveis por uma rede pública, fazendo uso de tecnologias que transformem esse meio inseguro em confiável. Em suma, são redes virtuais operando sobre redes reais. Kurose e Ross (2003) confirmam que nestas redes os dados são codificados por intermédio da utilização de técnicas que permitem a criação de "túneis" 2 para a transmissão e recepção de informações de modo seguro. Para isso, utilizam-se da Criptografia, que é uma técnica utilizada para cifrar uma informação, tornando-a incompreensível, exceto para o destinatário e o transmissor, que sabem com decifrála. Também segundo Burnet e Steve (2002), a criptografia pode manter seguros os segredos, mas pelo fato de o usuário precisar de suas chaves para recuperar os dados criptografados, este também deve mantê-las seguras. Nesse sentido, vale ressaltar o constante da Portaria n 483, de 20 de setembro de 2001, que aprova as Instruções Gerais de Segurança da Informação para o Exército Brasileiro (IG 20-19). As instruções têm por finalidade orientar o planejamento e a execução das ações relacionadas à Segurança da Informação no âmbito do Exército Brasileiro: [ ] toda informação com classificação sigilosa, que seja armazenada, processada ou trafegue por ambientes de rede, deve ser submetida a processos que assegurem a sua confidencialidade, considerando não só o grau de sigilo da informação mas também a classificação, com base na importância da informação circulante, daqueles ambientes (EB, 2001, p. 7). Nesse mesmo passo, as Instruções Reguladoras sobre Segurança da Informação nas Redes de Comunicação e de Computadores do Exército Brasileiro - IRESER (IR 13-15), que têm por finalidade regular as condições de segurança da informação a serem satisfeitas pelas redes de comunicação e de computadores no âmbito do Exército Brasileiro, preconizam em seu artigo 10 que: 2 Túnel é a denominação do caminho lógico percorrido por um pacote através da conexão formada pela VPN.

23 21 [...] a criptografia é um mecanismo que deve ser utilizado na cifração de dados a serem transmitidos ou armazenados nas redes do Exército sempre que houver necessidade de preservação do sigilo desses dados e em compatibilidade com as regras se segurança de salvaguarda de assuntos sigilosos em vigor (DCT/EB, 2007, p. 8). Definido o cenário, confirmada a necessidade imperiosa de garantir o sigilo dos dados e baseado na documentação normativa citada, para desenvolver a análise do sistema estudado há a necessidade de se entender preliminarmente os principais conceitos relacionados e a base de funcionamento da VPN, que tem como um de seus pilares a Criptografia. A Criptografia de Chaves Públicas, ou Assimétrica, de acordo com Stallings (2010, p. 183), conta com uma chave para Criptografia e uma chave diferente, porém relacionada, para a Decriptografia. Tem como características a inviabilidade de se determinar a chave de Decriptografia a partir do conhecimento do algoritmo 3 e da chave de Criptografia e a possibilidade de uso de qualquer uma das duas chaves para a Criptografia, usando-se a outra para a Decriptografia. Já a Criptografia Simétrica utiliza uma única chave secreta, previamente trocada ente emissor e o receptor por um canal de comunicação seguro, utilizada tanto para a Criptografia como para a Decriptografia dos dados. Tanenbaum (2003, p. 784), lembra que os algoritmos criptográficos podem ser implementados em hardware (para se obter velocidade) ou em software (para se obter flexibilidade). A RFC (2007) define ICP - Infraestrutura de Chave Pública (Public-Key Infrastructure - PKI) como o conjunto de políticas e procedimentos necessários para gerenciamento (criação, armazenamento, distribuição, revogação) de certificados digitais para usuários ou aplicações que façam uso de criptografia assimétrica. A VPN analisada reúne as características citadas, sendo um sistema implementado em software, que usa a Criptografia de Chaves Públicas para a 3 Funções matemáticas especialmente criadas para transformar textos legíveis em textos cifrados, ilegíveis a quem não possua o segredo (chave) necessário para sua leitura. 4 Request For Comments (RFC) são documentos técnicos e organizacionais de referência produzidos pelo Internet Engineering Task Force (IETF), que descrevem a maioria das tecnologias e protocolos ligados às redes de computadores. A RFC 4949, especificamente, é um glossário que oferece definições, abreviaturas e explicações detalhadas sobre as diversas terminologias utilizadas no contexto da Segurança da Informação.

24 22 autenticação de seus usuários e a criação de um canal seguro através do qual pode ser trocada a chave secreta para a Criptografia ponto-a-ponto do fluxo de dados. Em outras palavras, o terminal de origem, após a autenticação, criptografa os dados, que são transmitidos pela rede para o terminal de destino, que, por sua vez, tendo compartilhado a chave secreta com a origem, é capaz de decriptografar os dados. A solução empregada pela organização analisada é o OpenVPN. É um aplicativo de código-fonte aberto, que implementa uma solução de VPN usando todos os recursos de criptografia, autenticação e certificação da biblioteca OpenSSL para proteger o tráfego da rede privada, com uma ampla gama de configurações possíveis, incluindo a criação de túneis criptografados, acesso remoto, balanceamento de carga, possibilidade de ajustes finos em sua configuração e suporte a conexões instáveis, dentre outras dezenas de recursos de segurança. Distribuído sob a licença GPL v.2, o OpenVPN tem como premissa fundamental a de que "a complexidade é a inimiga da segurança", com a consequente simplicidade para sua implementação, modificação, personalização e manutenção. O software oferece uma alternativa economicamente viável e eficiente, altamente personalizável e sob a análise contínua da comunidade internacional de segurança. Nesse contexto, o trabalho desenvolvido buscou fazer considerações sobre o sistema, abordando como a gerência da VPN da organização estudada administra os recursos disponíveis, com a finalidade de ponderar sobre a sua aderência às principais normas de segurança aplicáveis ao cenário. 2.3 Referenciais Conceituais Araújo (2010) descreve que o estabelecimento de um nível de confiança dos produtos de TI de uma organização é fator importante para garantir um bom desempenho dos negócios. A estruturação dos processos organizacionais internos, o próprio crescimento da organização e seu funcionamento estão, por conseguinte, diretamente ligados ao tema segurança, já que na maioria dos sistemas trafegam informações sensíveis que devem ser protegidas, sejam informações de clientes, sejam da própria organização. Paralelamente, Nascimento (2011) lembra que a Criptografia tem como um de seus objetivos principais prover a troca de mensagens secretas entre duas partes,

25 23 de forma que uma terceira parte não autorizada não possa obter nenhuma informação relevante sobre o significado das mensagens secretas, ressaltando ainda que uma das maiores vantagens da criptografia de chave pública é o estabelecimento de comunicação segura utilizando apenas dados publicamente acessíveis. As duas definições citadas ligam o conceito de Criptografia à proteção e segurança de informações sensíveis. Na organização estudada, esta tarefa é desempenhada pela VPN, sistema no qual são intrinsecamente utilizadas técnicas criptográficas baseadas em software. Fernandes (2010a) define também dois importantes conceitos ligados ao presente estudo: sistema e comunicações. Segundo o autor, sistema é um conjunto de partes inter-relacionadas que forma um todo, o qual exibe estrutura e comportamentos que persistem ao longo de um tempo, e comunicação é um fenômeno no qual dois ou mais agentes trocam uma mensagem contendo informação. Relacionando estes dois conceitos de maneira singular, afirma que: [ ] a comunicação é essencial à existência dos sistemas, visto que é por meio dela que as partes se relacionam; por meio dessas relações, podem ser estabelecidos fluxos; por meio desses fluxos, são realizados os processos que dão vida aos sistemas (Fernandes, 2010a, p. 39). Relata ainda que os agentes do sistema de comunicação são encarregados de coordenar os processos, como o uso do canal, visando garantir o sucesso da comunicação. Estes agentes podem ainda proteger a integridade, a autenticidade e a confidencialidade da mensagem durante o seu transporte. Este trabalho alinha-se às definições do autor, na medida em que tem como meta verificar como o sistema VPN se comporta ao executar sua missão de utilizar um determinado canal de comunicações (neste caso, a EBNET) de maneira que sejam garantidos os atributos de integridade, autenticidade e confidencialidade dos dados em trânsito entre diferentes pontos da rede. SILVA (2010) comenta que: [ ] é imprescindível que sejam considerados fatores relacionados ao cotidiano de trabalho das pessoas, suas condições e organização do trabalho. O afastamento dos procedimentos de segurança propostos do contexto real de trabalho pode favorecer os comportamentos inseguros,

26 24 expondo as vulnerabilidades da informação institucional a riscos e ameaças (Silva, 2010, p. 9). Apreende-se, portanto, que não somente o contexto organizacional, mas também as características pessoais dos principais envolvidos com sistemas críticos devem ser levadas em consideração para a análise da SIC de uma organização. Mais adiante o autor lembra que muitas vezes as informações institucionais são expostas a ameaças, geralmente a partir de comportamentos inseguros dos colaboradores. Com base nisso, os dados referentes ao comportamento do atual administrador da VPN estudada também foram analisados na intenção de verificar se há situações de conflito entre este, o sistema de VPN e a normatização organizacional que favoreçam a ocorrência de comportamentos inseguros que possam interferir negativamente na segurança do sistema. A Norma ISO/IEC 27005:2008 (ISO/IEC, 2008), também diretamente relacionada ao presente estudo, define que as informações, classificadas como ativo primário, são usadas no apoio à execução dos processos que visam o desempenho das funções da organização, sejam de caráter pessoal, estratégicas ou as de alto custo de aquisição. Já as redes de computadores são classificadas pela Norma como ativo secundário, constituídas por todos os dispositivos de redes e telecomunicações que interconectam os dispositivos e elementos dos sistemas de informação, como redes telefônicas, redes de computadores de longa distância e outras interfaces de comunicação. Aquele ativo primário é usado, no sistema objeto deste estudo, no apoio à execução da atividade organizacional, que se utiliza do ativo secundário anteriormente definido para que possa ser difundido com oportunidade. Portanto, a VPN tem o condão de proteger o fluxo deste importante ativo, mas depende, em considerável escala, da análise eficiente dos riscos, eventos e incidentes no sistema estudado, que podem interferir negativamente na garantia dos atributos que se impõem ao tráfego de dados da rede. De outro lado, os requisitos funcionais de segurança da norma ISO/IEC 15408:2005 (ISO, 2005) têm o objetivo de avaliar a segurança de TI de organizações e determinar se os produtos relacionados possuem controles implantados. A VPN estudada, nesta esteira, foi criada com o intuito principal de

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação.

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação. 1. Com relação a segurança da informação, assinale a opção correta. a) O princípio da privacidade diz respeito à garantia de que um agente não consiga negar falsamente um ato ou documento de sua autoria.

Leia mais

1. A quebra de sistemas criptográficos simétricos sempre depende da descoberta da chave secreta utilizada no processo criptográfico.

1. A quebra de sistemas criptográficos simétricos sempre depende da descoberta da chave secreta utilizada no processo criptográfico. Exercícios da Parte II: Segurança da Informação Walter Cunha Criptografia (CESPE/PCF-PF 03 2002) 1. A quebra de sistemas criptográficos simétricos sempre depende da descoberta da chave secreta utilizada

Leia mais

SEGURANÇA EM REDE PEER TO PEER USANDO TECNOLOGIA IPSEC EM UM AMBIENTE CORPORATIVO *

SEGURANÇA EM REDE PEER TO PEER USANDO TECNOLOGIA IPSEC EM UM AMBIENTE CORPORATIVO * SEGURANÇA EM REDE PEER TO PEER USANDO TECNOLOGIA IPSEC EM UM AMBIENTE CORPORATIVO * Giovani Francisco de Sant Anna Centro Universitário do Triângulo (UNITRI) William Rodrigues Gomes Centro Universitário

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação (Extraído da apostila de Segurança da Informação do Professor Carlos C. Mello) 1. Conceito A Segurança da Informação busca reduzir os riscos de vazamentos, fraudes, erros, uso indevido,

Leia mais

Sistemas Distribuídos Introdução a Segurança em Sistemas Distribuídos

Sistemas Distribuídos Introdução a Segurança em Sistemas Distribuídos Sistemas Distribuídos Introdução a Segurança em Sistemas Distribuídos Departamento de Informática, UFMA Graduação em Ciência da Computação Francisco José da Silva e Silva 1 Introdução Segurança em sistemas

Leia mais

João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br. José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br

João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br. José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br BCInfo Consultoria e Informática 14 3882-8276 WWW.BCINFO.COM.BR Princípios básicos

Leia mais

USO DE CONTROLES CRIPTOGRÁFICOS. 1 OBJETIVO Estabelecer regras sobre o uso efetivo e adequado de criptografia na proteção da informação.

USO DE CONTROLES CRIPTOGRÁFICOS. 1 OBJETIVO Estabelecer regras sobre o uso efetivo e adequado de criptografia na proteção da informação. 1786/2015 - Quinta-feira, 06 de Agosto de 2015 Tribunal Regional do Trabalho da 18ª Região 1 FL. 2 Tribunal Regional do Trabalho da 18ª Região Comitê de Segurança da Informação Secretaria de Tecnologia

Leia mais

INFORMÁTICA PROF. RAFAEL ARAÚJO

INFORMÁTICA PROF. RAFAEL ARAÚJO INFORMÁTICA PROF. RAFAEL ARAÚJO CERTIFICADO DIGITAL O certificado digital é um arquivo eletrônico que contém dados de uma pessoa ou instituição, utilizados para comprovar sua identidade. Este arquivo pode

Leia mais

www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício AULA 08 Protocolos de Segurança

www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício AULA 08 Protocolos de Segurança www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício AULA 08 Protocolos de Segurança Protocolos de Segurança A criptografia resolve os problemas envolvendo a autenticação, integridade

Leia mais

VPN. Desempenho e Segurança de Sistemas de Informação

VPN. Desempenho e Segurança de Sistemas de Informação VPN Desempenho e Segurança de Sistemas de Informação Conceito Vantagens Tipos Protocolos utilizados Objetivos VPN (Virtual Private Network) Rede Privada Virtual - uma conexão onde o acesso e a troca de

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 Dispõe sobre a aprovação do documento acessório comum "Política de Segurança para Desenvolvimento,

Leia mais

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU Auditoria e Segurança da Informação GSI536 Prof. Rodrigo Sanches Miani FACOM/UFU Revisão Criptografia de chave simétrica; Criptografia de chave pública; Modelo híbrido de criptografia. Criptografia Definições

Leia mais

fonte: http://www.nit10.com.br/dicas_tutoriais_ver.php?id=68&pg=0

fonte: http://www.nit10.com.br/dicas_tutoriais_ver.php?id=68&pg=0 Entenda o que é um certificado digital SSL (OPENSSL) fonte: http://www.nit10.com.br/dicas_tutoriais_ver.php?id=68&pg=0 1. O que é "Certificado Digital"? É um documento criptografado que contém informações

Leia mais

APLICAÇÕES DA CRIPTOGRAFIA EM AMBIENTES COMPUTACIONAIS

APLICAÇÕES DA CRIPTOGRAFIA EM AMBIENTES COMPUTACIONAIS IV SEGeT Simpósio de Excelência em Gestão e Tecnologia 1 APLICAÇÕES DA CRIPTOGRAFIA EM AMBIENTES COMPUTACIONAIS RESUMO Este artigo demonstra como a criptografia pode ser empregada em transações e protocolos

Leia mais

www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício AULA 06 Criptografia e Esteganografia

www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício AULA 06 Criptografia e Esteganografia Gestão da Segurança da Informação Professor: Maurício Criptografia A forma mais utilizada para prover a segurança em pontos vulneráveis de uma rede de computadores é a utilização da criptografia. A criptografia

Leia mais

Segurança e Auditoria de Sistemas. Segurança de Redes VPN - Virtual Private Network

Segurança e Auditoria de Sistemas. Segurança de Redes VPN - Virtual Private Network Segurança e Auditoria de Sistemas Segurança de Redes VPN - Virtual Private Network Prof. Me Willians Bueno williansbueno@gmail.com UNIFEB/2013 INTRODUÇÃO; ROTEIRO APLICAÇÕES; VANTAGENS; CARACTERÍSTICAS;

Leia mais

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações 16/IN01/DSIC/GSIPR 00 21/NOV/12 1/8 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA DESENVOLVIMENTO E OBTENÇÃO DE SOFTWARE

Leia mais

Conceitos de Segurança em Sistemas Distribuídos

Conceitos de Segurança em Sistemas Distribuídos Conceitos de Segurança em Sistemas Distribuídos Francisco José da Silva e Silva Laboratório de Sistemas Distribuídos (LSD) Departamento de Informática / UFMA http://www.lsd.ufma.br 30 de novembro de 2011

Leia mais

Segurança de Redes de Computadores

Segurança de Redes de Computadores Segurança de Redes de Computadores Aula 10 Segurança na Camadas de Rede Redes Privadas Virtuais (VPN) Prof. Ricardo M. Marcacini ricardo.marcacini@ufms.br Curso: Sistemas de Informação 1º Semestre / 2015

Leia mais

Março/2005 Prof. João Bosco M. Sobral

Março/2005 Prof. João Bosco M. Sobral Plano de Ensino Introdução à Segurança da Informação Princípios de Criptografia Segurança de Redes Segurança de Sistemas Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador)

Leia mais

Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações

Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações Símbolos Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador) que tem uma determinada

Leia mais

Esta Política de Segurança da Informação se aplica no âmbito do IFBA.

Esta Política de Segurança da Informação se aplica no âmbito do IFBA. 00 dd/mm/aaaa 1/11 ORIGEM Instituto Federal da Bahia Comitê de Tecnologia da Informação CAMPO DE APLICAÇÃO Esta Política de Segurança da Informação se aplica no âmbito do IFBA. SUMÁRIO 1. Escopo 2. Conceitos

Leia mais

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU Auditoria e Segurança da Informação GSI536 Prof. Rodrigo Sanches Miani FACOM/UFU Princípios de Criptografia Tópicos O papel da criptografia na segurança das redes de comunicação; Criptografia de chave

Leia mais

1.1 Sistemas criptográficos

1.1 Sistemas criptográficos I 1.1 Sistemas criptográficos A criptografia é a base de inúmeros mecanismos de segurança, por este motivo esta seção apresenta inicialmente os dois principais modelos criptografia existentes (TERADA;

Leia mais

Assinatura Digital: problema

Assinatura Digital: problema Assinatura Digital Assinatura Digital Assinatura Digital: problema A autenticidade de muitos documentos, é determinada pela presença de uma assinatura autorizada. Para que os sistemas de mensagens computacionais

Leia mais

INFRA-ESTRUTURA EM CHAVES PÚBLICAS TEMPORAL

INFRA-ESTRUTURA EM CHAVES PÚBLICAS TEMPORAL UNIVERSIDADE FEDERAL DE SANTA CATARINA BACHARELADO EM CIÊNCIA DA COMPUTAÇÃO Geovani Ferreira da Cruz Guilherme Steinmann INFRA-ESTRUTURA EM CHAVES PÚBLICAS TEMPORAL Florianópolis, julho de 2007 Resumo

Leia mais

CERTIFICAÇÃO DIGITAL

CERTIFICAÇÃO DIGITAL Autenticidade Digital CERTIFICAÇÃO DIGITAL Certificação Digital 1 Políticas de Segurança Regras que baseiam toda a confiança em um determinado sistema; Dizem o que precisamos e o que não precisamos proteger;

Leia mais

Projeto de Redes de Computadores. Desenvolvimento de Estratégias de Segurança e Gerência

Projeto de Redes de Computadores. Desenvolvimento de Estratégias de Segurança e Gerência Desenvolvimento de Estratégias de Segurança e Gerência Segurança e Gerência são aspectos importantes do projeto lógico de uma rede São freqüentemente esquecidos por projetistas por serem consideradas questões

Leia mais

ORIGEM Departamento de Segurança da Informação e Comunicações

ORIGEM Departamento de Segurança da Informação e Comunicações 07/IN01/DSIC/GSIPR 01 15/JUL/14 1/9 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA IMPLEMENTAÇÃO DE CONTROLES DE ACESSO

Leia mais

Criptografia. 1. Introdução. 2. Conceitos e Terminologias. 2.1. Criptografia. 2.2. Criptoanálise e Criptologia. 2.3. Cifragem, Decifragem e Algoritmo

Criptografia. 1. Introdução. 2. Conceitos e Terminologias. 2.1. Criptografia. 2.2. Criptoanálise e Criptologia. 2.3. Cifragem, Decifragem e Algoritmo 1. Introdução O envio e o recebimento de informações são uma necessidade antiga, proveniente de centenas de anos. Nos últimos tempos, o surgimento da Internet e de tantas outras tecnologias trouxe muitas

Leia mais

Sumário. Parte I Introdução... 19. Capítulo 1 Fundamentos da infra-estrutura de chave pública... 21. Capítulo 2 Conceitos necessários...

Sumário. Parte I Introdução... 19. Capítulo 1 Fundamentos da infra-estrutura de chave pública... 21. Capítulo 2 Conceitos necessários... Agradecimentos... 7 O autor... 8 Prefácio... 15 Objetivos do livro... 17 Parte I Introdução... 19 Capítulo 1 Fundamentos da infra-estrutura de chave pública... 21 Introdução à ICP... 21 Serviços oferecidos

Leia mais

Segurança na Rede Local Redes de Computadores

Segurança na Rede Local Redes de Computadores Ciência da Computação Segurança na Rede Local Redes de Computadores Disciplina de Desenvolvimento de Sotware para Web Professor: Danilo Vido Leonardo Siqueira 20130474 São Paulo 2011 Sumário 1.Introdução...3

Leia mais

Capítulo 8. Segurança de redes

Capítulo 8. Segurança de redes Capítulo 8 Segurança de redes slide 1 2011 Pearson Prentice Hall. Todos os direitos reservados. Computer Networks, Fifth Edition by Andrew Tanenbaum and David Wetherall, Pearson Education-Prentice Hall,

Leia mais

Segurança e Informação Ativo de ouro dessa nova era Aula 01. Soraya Christiane / Tadeu Ferreira

Segurança e Informação Ativo de ouro dessa nova era Aula 01. Soraya Christiane / Tadeu Ferreira Segurança e Informação Ativo de ouro dessa nova era Aula 01 Soraya Christiane / Tadeu Ferreira Informação É o ativo que tem um valor para a organização e necessita ser adequadamente protegida (NBR 17999,

Leia mais

www.e-law.net.com.br certificação digital 1 de 5 Introdução

www.e-law.net.com.br certificação digital 1 de 5 Introdução www.e-law.net.com.br certificação digital 1 de 5 Introdução Cada pessoa cria sua assinatura de forma totalmente livre e a utiliza com significado de expressa concordância com os conteúdos dos documentos

Leia mais

Art. 1º Aprovar as Instruções Gerais de Segurança da Informação para o Exército Brasileiro (IG 20-19).

Art. 1º Aprovar as Instruções Gerais de Segurança da Informação para o Exército Brasileiro (IG 20-19). PORTARIA Nº 483, DE 20 DE SETEMBRO DE 2001. Aprova as Instruções Gerais de Segurança da Informação para o Exército Brasileiro (IG 20-19). O COMANDANTE DO EXÉRCITO, no uso da competência que lhe é conferida

Leia mais

67 das 88 vagas no AFRF no PR/SC 150 das 190 vagas no TRF no PR/SC 150 das 190 vagas no TRF Conquiste sua vitória ao nosso lado

67 das 88 vagas no AFRF no PR/SC 150 das 190 vagas no TRF no PR/SC 150 das 190 vagas no TRF Conquiste sua vitória ao nosso lado Carreira Policial Mais de 360 aprovados na Receita Federal em 2006 67 das 88 vagas no AFRF no PR/SC 150 das 190 vagas no TRF no PR/SC 150 das 190 vagas no TRF Conquiste sua vitória ao nosso lado Apostila

Leia mais

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro Segurança da Informação e Proteção ao Conhecimento Douglas Farias Cordeiro Criptografia Revisando A criptografia trata da escrita de um texto em códigos de forma a torná-lo incompreensível; A informação

Leia mais

14/IN01/DSIC/GSIPR 00 30/JAN/12 1/7

14/IN01/DSIC/GSIPR 00 30/JAN/12 1/7 14/IN01/DSIC/GSIPR 00 30/JAN/12 1/7 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação ORIGEM e Comunicações Departamento de Segurança da Informação e

Leia mais

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. APROVAÇÃO

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. APROVAÇÃO 10/IN01/DSIC/GSIPR 00 30/JAN/12 1/7 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações Inventário e Mapeamento de Ativos de Informação nos

Leia mais

Walter Cunha Tecnologia da Informação Segurança

Walter Cunha Tecnologia da Informação Segurança Walter Cunha Tecnologia da Informação Segurança ESAF 2008 em Exercícios 37 (APO MPOG 2008) - A segurança da informação tem como objetivo a preservação da a) confidencialidade, interatividade e acessibilidade

Leia mais

Segurança de Sistemas na Internet. Aula 10 - IPSec. Prof. Esp Camilo Brotas Ribeiro cribeiro@catolica-es.edu.br

Segurança de Sistemas na Internet. Aula 10 - IPSec. Prof. Esp Camilo Brotas Ribeiro cribeiro@catolica-es.edu.br Segurança de Sistemas na Internet Aula 10 - IPSec Prof. Esp Camilo Brotas Ribeiro cribeiro@catolica-es.edu.br Slide 2 de 31 Introdução Há inúmeras soluções de autenticação/cifragem na camada de aplicação

Leia mais

REDES VIRTUAIS PRIVADAS

REDES VIRTUAIS PRIVADAS REDES VIRTUAIS PRIVADAS VPN Universidade Católica do Salvador Curso de Bacharelado em Informática Disciplina: Redes de Computadores Professor: Marco Antônio Câmara Aluna: Patricia Abreu Página 1 de 10

Leia mais

Tencologia em Análise e Desenvolvimento de Sistemas Disciplina: WEB I Conteúdo: Segurança da Informação Aula 02

Tencologia em Análise e Desenvolvimento de Sistemas Disciplina: WEB I Conteúdo: Segurança da Informação Aula 02 Tencologia em Análise e Desenvolvimento de Sistemas Disciplina: WEB I Conteúdo: Segurança da Informação Aula 02 Agenda 1. Segurança da Informação 1.1.Introdução 1.2.Conceitos 1.3.Ameaças a Segurança da

Leia mais

I Seminário sobre Segurança da Informação e Comunicações CRIPTOGRAFIA

I Seminário sobre Segurança da Informação e Comunicações CRIPTOGRAFIA I Seminário sobre Segurança da Informação e Comunicações CRIPTOGRAFIA OBJETIVO Conhecer aspectos básicos do uso da criptografia como instrumento da SIC.. Abelardo Vieira Cavalcante Filho Assistente Técnico

Leia mais

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP HTTP (Hypertext Transfer Protocol ) Protocolo usado na Internet para transferir as páginas da WWW (WEB). HTTPS (HyperText Transfer

Leia mais

Requisitos de Segurança de E-mail

Requisitos de Segurança de E-mail Segurança de E-mail O e-mail é hoje um meio de comunicação tão comum quanto o telefone e segue crescendo Gerenciamento, monitoramento e segurança de e-mail têm importância cada vez maior O e-mail é muito

Leia mais

Falaremos um pouco das tecnologias e métodos utilizados pelas empresas e usuários domésticos para deixar a sua rede segura.

Falaremos um pouco das tecnologias e métodos utilizados pelas empresas e usuários domésticos para deixar a sua rede segura. Módulo 14 Segurança em redes Firewall, Criptografia e autenticação Falaremos um pouco das tecnologias e métodos utilizados pelas empresas e usuários domésticos para deixar a sua rede segura. 14.1 Sistemas

Leia mais

Entendendo a Certificação Digital

Entendendo a Certificação Digital Entendendo a Certificação Digital Novembro 2010 1 Sumário 1. Introdução... 3 2. O que é certificação digital?... 3 3. Como funciona a certificação digital?... 3 6. Obtendo certificados digitais... 6 8.

Leia mais

TRANSMISSÃO DE DADOS Prof. Ricardo Rodrigues Barcelar http://www.ricardobarcelar.com

TRANSMISSÃO DE DADOS Prof. Ricardo Rodrigues Barcelar http://www.ricardobarcelar.com - Aula 7 1. A CAMADA DE APLICAÇÃO Parte 1 Depois de estudar todas as camadas preliminares, chegamos à camada onde são encontradas todas as aplicações. As camadas situadas abaixo da camada de aplicação

Leia mais

Hardening de Servidores

Hardening de Servidores Hardening de Servidores O que é Mitm? O man-in-the-middle (pt: Homem no meio, em referência ao atacante que intercepta os dados) é uma forma de ataque em que os dados trocados entre duas partes, por exemplo

Leia mais

SEGURANÇA DA INFORMAÇÃO PROF. SÓCRATES FILHO http://socratesfilho.wordpress.com

SEGURANÇA DA INFORMAÇÃO PROF. SÓCRATES FILHO http://socratesfilho.wordpress.com Comentários sobre prova do TRE/PR 2009 (CESPE TRE/PR 2009 Analista Judiciário Especialidade: Análise de Sistemas) A figura acima ilustra como um sistema de gerenciamento de segurança da informação (SGSI)

Leia mais

MINISTÉRIO DA DEFESA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PARA O SISTEMA MILITAR DE COMANDO E CONTROLE

MINISTÉRIO DA DEFESA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PARA O SISTEMA MILITAR DE COMANDO E CONTROLE MINISTÉRIO DA DEFESA MD31-P-03 POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PARA O SISTEMA MILITAR DE COMANDO E CONTROLE 2014 MINISTÉRIO DA DEFESA ESTADO-MAIOR CONJUNTO DAS FORÇAS ARMADAS POLÍTICA DE SEGURANÇA

Leia mais

UNIP UNIVERSIDADE PAULISTA

UNIP UNIVERSIDADE PAULISTA UNIP UNIVERSIDADE PAULISTA GERENCIAMENTO DE REDES Segurança Lógica e Física de Redes 2 Semestre de 2012 SEGURANÇA LÓGICA: Criptografia Firewall Protocolos Seguros IPSec SSL SEGURANÇA LÓGICA: Criptografia

Leia mais

Estamos seguros mesmo?

Estamos seguros mesmo? Grupo de Resposta a Incidentes de Segurança GRIS Departamento de Ciência da Computação Universidade Federal do Rio de Janeiro Segurança em WebMessengers: Meebo Estamos seguros mesmo? Por: Manoel Fernando

Leia mais

Segurança de Redes. em Ambientes Cooperativos. Emilio Tissato Nakamura Paulo Lício de Geus. Novatec

Segurança de Redes. em Ambientes Cooperativos. Emilio Tissato Nakamura Paulo Lício de Geus. Novatec Segurança de Redes em Ambientes Cooperativos Emilio Tissato Nakamura Paulo Lício de Geus Novatec sumário Agradecimentos...11 Palavra dos autores...13 Sobre os autores...14 Sobre este livro...15 Apresentação...16

Leia mais

Criptografia de chaves públicas

Criptografia de chaves públicas Marcelo Augusto Rauh Schmitt Maio de 2001 RNP/REF/0236 Criptografia 2001 RNP de chaves públicas Criptografia Introdução Conceito É a transformação de um texto original em um texto ininteligível (texto

Leia mais

07/IN01/DSIC/GSIPR 00 06/MAI/10 2/8 1. OBJETIVO

07/IN01/DSIC/GSIPR 00 06/MAI/10 2/8 1. OBJETIVO 07/IN01/DSIC/GSIPR 00 06/MAI/10 1/8 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA IMPLEMENTAÇÃO DE CONTROLES DE ACESSO

Leia mais

A utilização das redes na disseminação das informações

A utilização das redes na disseminação das informações A utilização das redes na disseminação das informações Elementos de Rede de computadores: Denomina-se elementos de rede, um conjunto de hardware capaz de viabilizar e proporcionar a transferência da informação

Leia mais

Protocolos Básicos e Aplicações. Segurança e SSL

Protocolos Básicos e Aplicações. Segurança e SSL Segurança e SSL O que é segurança na rede? Confidencialidade: apenas remetente e destinatário pretendido devem entender conteúdo da mensagem remetente criptografa mensagem destinatário decripta mensagem

Leia mais

SISTEMAS DISTRIBUIDOS. Prof. Marcelo de Sá Barbosa

SISTEMAS DISTRIBUIDOS. Prof. Marcelo de Sá Barbosa Prof. Marcelo de Sá Barbosa Introdução Visão geral das técnicas de segurança Algoritmos de criptografia Assinaturas digitais Criptografia na prática Introdução A necessidade de proteger a integridade e

Leia mais

Política de Segurança da informação e Comunicação

Política de Segurança da informação e Comunicação Política de Segurança da informação e Comunicação 2015-2017 HISTÓRICO DE REVISÕES Data Versão Descrição Autores 28/04/2015 1.0 Elementos textuais preliminares Jhordano e Joilson 05/05/2015 2.0 Elementos

Leia mais

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas:

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas: $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR 6(*85$1d$($8',725,$'(6,67(0$6 ³6HJXUDQoDGH,QIRUPDo}HV &\QDUD&DUYDOKR

Leia mais

M3D4 - Certificados Digitais Aula 2 Certificado Digital e suas aplicações

M3D4 - Certificados Digitais Aula 2 Certificado Digital e suas aplicações M3D4 - Certificados Digitais Aula 2 Certificado Digital e suas aplicações Prof. Fernando Augusto Teixeira 1 2 Agenda da Disciplina Certificado Digital e suas aplicações Segurança Criptografia Simétrica

Leia mais

A solução objetiva conjugar a operação dos mecanismos internos do Padrão IEEE 802.11b com uma autenticação externa, utilizando o Padrão IEEE 802.1x.

A solução objetiva conjugar a operação dos mecanismos internos do Padrão IEEE 802.11b com uma autenticação externa, utilizando o Padrão IEEE 802.1x. 1 Introdução A comunicação de dados por redes sem fio (Wireless Local Area Network - WLAN - Padrão IEEE 802.11b) experimenta uma rápida expansão tecnológica, proporcionando novas soluções para serem implementadas

Leia mais

12/IN01/DSIC/GSIPR 00 30/JAN/2012 1/5

12/IN01/DSIC/GSIPR 00 30/JAN/2012 1/5 12/IN01/DSIC/GSIPR 00 30/JAN/2012 1/5 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações Uso de Dispositivos Móveis nos Aspectos relativos

Leia mais

ESTUDO DE VIABILIDADE, PROJETO E IMPLANTAÇÃO DE UMA REDE VPN (VIRTUAL PRIVATE NETWORK)

ESTUDO DE VIABILIDADE, PROJETO E IMPLANTAÇÃO DE UMA REDE VPN (VIRTUAL PRIVATE NETWORK) ESTUDO DE VIABILIDADE, PROJETO E IMPLANTAÇÃO DE UMA REDE VPN (VIRTUAL PRIVATE NETWORK) 1. VPN Segundo TANENBAUM (2003), VPNs (Virtual Private Networks) são redes sobrepostas às redes públicas, mas com

Leia mais

Gerência de Redes Segurança

Gerência de Redes Segurança Gerência de Redes Segurança Cássio D. B. Pinheiro cdbpinheiro@ufpa.br cassio.orgfree.com Objetivos Apresentar o conceito e a importância da Política de Segurança no ambiente informatizado, apresentando

Leia mais

INSTITUTO DE PESQUISA ECONÔMICA APLICADA. PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010.

INSTITUTO DE PESQUISA ECONÔMICA APLICADA. PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010. INSTITUTO DE PESQUISA ECONÔMICA APLICADA PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010. Institui a Política de Segurança da Informação e Comunicações POSIC, no âmbito do IPEA. O PRESIDENTE DO INSTITUTO DE

Leia mais

Segurança da Informação

Segurança da Informação INF-108 Segurança da Informação ICP e Certificados Digitais Prof. João Henrique Kleinschmidt Santo André, junho de 2013 Criptografia de chave pública Oferece criptografia e também uma maneira de identificar

Leia mais

OTES07 - Segurança da Informação Módulo 08: VPN

OTES07 - Segurança da Informação Módulo 08: VPN OTES07 - Segurança da Informação Módulo 08: VPN Prof. Charles Christian Miers e-mail:charles.miers@udesc.br VPN: Virtual Private Networks Uma Rede Virtual Privada (VPN) é um meio de simular uma rede privada

Leia mais

Tecnologia da Informação UNIDADE 3:Estrutura organizacional de TI

Tecnologia da Informação UNIDADE 3:Estrutura organizacional de TI Tecnologia da Informação UNIDADE 3:Estrutura organizacional de TI * A segurança da informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor que possuem para a organização.

Leia mais

21/IN01/DSIC/GSIPR 00 08/OUT/14 1/12

21/IN01/DSIC/GSIPR 00 08/OUT/14 1/12 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações ORIGEM N ú m e r o da N o r m a C o m p l e m e n t a r R e v i s ã o E m i s s ã o F

Leia mais

Exército Brasileiro. Tecnologia da Informação e Comunicações. Exército Brasileiro. Cartilha Emergencial de Segurança. Braço Forte Mão Amiga

Exército Brasileiro. Tecnologia da Informação e Comunicações. Exército Brasileiro. Cartilha Emergencial de Segurança. Braço Forte Mão Amiga Exército Brasileiro Braço Forte Mão Amiga Tecnologia da Informação e Comunicações Exército Brasileiro Departamento de Ciência e Tecnologia Presente e Futuro se encontram aqui Versão 1.0-2011 Sumário 1

Leia mais

PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014.

PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014. PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014. Dispõe sobre aprovação da Política de Segurança da Informação do IFMG. O REITOR DO INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE MINAS GERAIS, no uso

Leia mais

VELOCIDADE DE TRANSMISSÃO DE DADOS UTILIZANDO VPNs

VELOCIDADE DE TRANSMISSÃO DE DADOS UTILIZANDO VPNs VELOCIDADE DE TRANSMISSÃO DE DADOS UTILIZANDO VPNs Rogers Rodrigues Garcia 1, Júlio César Pereira¹ ¹Universidade Paranaense (Unipar) Paranavai PR Brasil rogersgarcia@live.com, juliocesarp@unipar.br Resumo:

Leia mais

INFRA-ESTRUTURA EM CHAVES PÚBLICAS TEMPORAL

INFRA-ESTRUTURA EM CHAVES PÚBLICAS TEMPORAL UNIVERSIDADE FEDERAL DE SANTA CATARINA BACHARELADO EM CIÊNCIA DA COMPUTAÇÃO Geovani Ferreira da Cruz Guilherme Steinmann INFRA-ESTRUTURA EM CHAVES PÚBLICAS TEMPORAL Florianópolis, fevereiro de 2007 INFRA-ESTRUTURA

Leia mais

PORTARIA Nº 6.137, DE 10 DE OUTUBRO DE 2014.

PORTARIA Nº 6.137, DE 10 DE OUTUBRO DE 2014. PORTARIA Nº 6.137, DE 10 DE OUTUBRO DE 2014. Altera a Portaria nº 4.772/2008, a qual instituiu a Política de Segurança da Informação no âmbito do Tribunal Regional do Trabalho da 4ª Região. A PRESIDENTE

Leia mais

Certificação Digital Automação na Assinatura de Documentos de Compras

Certificação Digital Automação na Assinatura de Documentos de Compras XVIII Seminário Nacional de Distribuição de Energia Elétrica SENDI 2008-06 a 10 de outubro Olinda - Pernambuco - Brasil Certificação Digital Automação na Assinatura de Documentos de Compras Eder Soares

Leia mais

PROJETO DE REDES www.projetoderedes.com.br

PROJETO DE REDES www.projetoderedes.com.br PROJETO DE REDES www.projetoderedes.com.br Curso de Tecnologia em Redes de Computadores Disciplina: Tópicos Avançados II 5º período Professor: José Maurício S. Pinheiro AULA 2: Padrão X.509 O padrão X.509

Leia mais

Criptografia e Certificação Digital

Criptografia e Certificação Digital Criptografia e Certificação Digital Conheça os nossos produtos em criptografia e certificação digital. Um deles irá atender às necessidades de sua instituição. Criptografia e Certificação Digital Conheça

Leia mais

TECNOLOGIA WEB. Segurança na Internet Aula 4. Profa. Rosemary Melo

TECNOLOGIA WEB. Segurança na Internet Aula 4. Profa. Rosemary Melo TECNOLOGIA WEB Segurança na Internet Aula 4 Profa. Rosemary Melo Segurança na Internet A evolução da internet veio acompanhada de problemas de relacionados a segurança. Exemplo de alguns casos de falta

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES MINISTÉRIO DA INTEGRAÇÃO NACIONAL POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES PRINCÍPIOS E DIRETRIZES SETEMBRO 2013 Sumário 1. POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES DO MINISTÉRIO

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Vulnerabilidade do software Softwares comerciais contém falhas que criam vulnerabilidades na segurança Bugs escondidos (defeitos no

Leia mais

Exercícios da Parte II: Segurança da Informação Walter Cunha PSI

Exercícios da Parte II: Segurança da Informação Walter Cunha PSI Exercícios da Parte II: Segurança da Informação Walter Cunha PSI 1. (CESGRANRIO/Analista BNDES 2008) NÃO é uma boa prática de uma política de segurança: (a). difundir o cuidado com a segurança. (b). definir

Leia mais

Tecnologia da Informação UNIDADE 3

Tecnologia da Informação UNIDADE 3 Tecnologia da Informação UNIDADE 3 *Definição * A segurança da informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor que possuem para a organização. *Definição

Leia mais

ATO Nº 232/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais,

ATO Nº 232/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais, ATO Nº 232/2013 Aprova a Norma Complementar de Procedimentos para Inventariar Ativos de Tecnologia da Informação. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições

Leia mais

WatchKey. WatchKey USB PKI Token. Versão Windows. Manual de Instalação e Operação

WatchKey. WatchKey USB PKI Token. Versão Windows. Manual de Instalação e Operação WatchKey WatchKey USB PKI Token Manual de Instalação e Operação Versão Windows Copyright 2011 Watchdata Technologies. Todos os direitos reservados. É expressamente proibido copiar e distribuir o conteúdo

Leia mais

Sistemas Distribuídos Segurança em Sistemas Distribuídos: Gerenciamento, Canais de Acesso e Controle de Acesso aos Dados I. Prof. MSc.

Sistemas Distribuídos Segurança em Sistemas Distribuídos: Gerenciamento, Canais de Acesso e Controle de Acesso aos Dados I. Prof. MSc. Sistemas Distribuídos Segurança em Sistemas Distribuídos: Gerenciamento, Canais de Acesso e Controle de Acesso aos Dados I Prof. MSc. Hugo Souza Após abordarmos a distribuição de responsabilidades providas

Leia mais

Política de Segurança da. Autoridade Certificadora VALID SPB (PS AC VALID SPB)

Política de Segurança da. Autoridade Certificadora VALID SPB (PS AC VALID SPB) Política de Segurança da Autoridade Certificadora VALID SPB (PS AC VALID SPB) Versão 1.0 24 de agosto de 2012 Política de Segurança da AC VALID SPB V 1.0 1/30 ÍNDICE 1. INTRODUÇÃO...5 2. OBJETIVOS...5

Leia mais

CÓDIGO DA VAGA: TP08 QUESTÕES DE MÚLTIPLAS ESCOLHAS

CÓDIGO DA VAGA: TP08 QUESTÕES DE MÚLTIPLAS ESCOLHAS QUESTÕES DE MÚLTIPLAS ESCOLHAS 1) Em relação à manutenção corretiva pode- se afirmar que : a) Constitui a forma mais barata de manutenção do ponto de vista total do sistema. b) Aumenta a vida útil dos

Leia mais

Andarta - Guia de Instalação. Guia de Instalação

Andarta - Guia de Instalação. Guia de Instalação Guia de Instalação 29 de setembro de 2010 1 Sumário Introdução... 3 Os Módulos do Andarta... 4 Instalação por módulo... 6 Módulo Andarta Server... 6 Módulo Reporter... 8 Módulo Agent... 9 Instalação individual...

Leia mais

Certification Authority

Certification Authority Certification Authority An in-depth perspective on digital certificates, PKI and how certification authority s work Mestrado em Ciência da Informação Alexandra Ferreira mci1208749 Jorge Andrade mci1208751

Leia mais

Tecnologias Atuais de Redes

Tecnologias Atuais de Redes Tecnologias Atuais de Redes Aula 3 VPN Tecnologias Atuais de Redes - VPN 1 Conteúdo Conceitos e Terminologias Vantagens, Desvantagens e Aplicações Etapas da Conexão Segurança Tunelamento Protocolos de

Leia mais

Referências. Criptografia e Segurança de Dados. Outras Referências. Alguns tipos de ataques. Alguns tipos de ataques. Alguns tipos de ataques

Referências. Criptografia e Segurança de Dados. Outras Referências. Alguns tipos de ataques. Alguns tipos de ataques. Alguns tipos de ataques Criptografia e Segurança de Dados Aula 1: Introdução à Criptografia Referências Criptografia em Software e Hardware Autores: Edward D. Moreno Fábio D. Pereira Rodolfo B. Chiaramonte Rodolfo Barros Chiaramonte

Leia mais

Sistemas Distribuídos Segurança em Sistemas Distribuídos Gerenciamento, Canais de Acesso e Controle de Acesso II. Prof. MSc.

Sistemas Distribuídos Segurança em Sistemas Distribuídos Gerenciamento, Canais de Acesso e Controle de Acesso II. Prof. MSc. Sistemas Distribuídos Segurança em Sistemas Distribuídos Gerenciamento, Canais de Acesso e Controle de Acesso II Prof. MSc. Hugo Souza Após abordarmos a primeira parte sobre a Segurança em Sistemas Distribuídos,

Leia mais

REDE PRIVADA VIRTUAL (VPN)

REDE PRIVADA VIRTUAL (VPN) MINISTÉRIO DA DEFESA EXÉRCITO BRASILEIRO DCT - CITEx 5º CENTRO DE TELEMÁTICA DE ÁREA (C P D 4 / 1 9 7 8 ) REDE PRIVADA VIRTUAL (VPN) INTRODUÇÃO A Rede Privada Virtual (Virtual Private Network VPN) ou Acesso

Leia mais

Criptografia fundamentos e prática. Italo Valcy CERT.Bahia / UFBA

Criptografia fundamentos e prática. Italo Valcy <italo@pop-ba.rnp.br> CERT.Bahia / UFBA Criptografia fundamentos e prática Italo Valcy CERT.Bahia / UFBA Licença de uso e atribuição Todo o material aqui disponível pode, posteriormente, ser utilizado sobre os termos da:

Leia mais