Segurança do Ambiente Físico Para garantir adequada segurança do ambiente físico, é necessário combinar as seguintes medidas: o De prevenção; o Detecç

Transcrição

1 Auditoria e Segurança de Sistemas Prof.: Mauricio Pitangueira Instituto Federal da Bahia

2 Segurança do Ambiente Físico Para garantir adequada segurança do ambiente físico, é necessário combinar as seguintes medidas: o De prevenção; o Detecção; e o Reação aos possíveis incidentes de segurança. A ISO atualizada para o número trata das seguintes medidas: o Físicas - muros, cercas, trancas, etc. o Lógicas - senhas de logon, etc. o Combinação de Ambas - tokens, etc.

3 Segurança do Ambiente Físico Perímetro de Segurança:

4 Segurança do Ambiente Físico Perímetro de Segurança: o É o contorno ou linha imaginária que delimita uma área ou região separada de outros espaços físicos por um conjunto qualquer de barreiras. o A definição clara do perímetro de segurança ajudar a estabelecer melhor os investimentos e definir que tipos de barreiras são mais adequados para a proteção do ativo da informação o Perímetros a serem protegidos podem ser: Prédios; Geradores; Cofres.

5 Segurança do Ambiente Físico Então o que devemos controlar? o Escritórios, Salas e Instalações de Processamento de Dados; o Equipamentos; o Documentos em Papel e Eletrônicos; o Mídias de Computador; o Cabeamento - expandindo este tópico, temos: Sempre que possível, a utilização de linhas subterrâneas; Proteção do cabeamento de rede contra interceptações não autorizadas ou danos; Separação de cabos elétricos dos cabos de comunicação; Uso de conduites blindados e salas trancadas para os sistemas críticos.

6 Segurança em Redes o As preocupações com a segurança de redes devem abranger os seguintes itens: Problemas de autenticação de usuários; Restrição de acesso dos usuários aos serviços autorizados; Estabelecimento de interfaces seguras entre a rede interna e a rede externa (pública). o A norma ISO menciona diversos mecanismos de proteção das redes, entre os quais destacamos: Os gateways e firewalls, que podem ser utilizados para controle de tráfego que entra e sai; Estabelecer rotas de redes obrigatórias e dividir grandes redes em domínios lógicos separados.

7 Firewalls

8 Perímetros Lógicos o Citaremos alguns exemplos de perímetros lógicos aplicados comumente pelos profissionais de TI, bem como os usuário de uma empresa de médio e grande porte: DMZ - De-militarized Zone - permite um computador ou segmento de rede que fica entre a rede interna e a Internet. VPN - Virtual Private Network - permite a criação túneis virtuais criptografados entre os pontos autorizados para transferência de informações de forma segura.

9 Criptografia o A criptografia é definida como a arte ou ciência de escrever em cifras ou em códigos, com o propósito ao destinatário a capacidade de decodificá-la e compreendê-la. Podemos citar dois tipos de criptografia: Simétrica ou tradicional - utiliza uma única chave que serve tanto cifrar como para decifrar a informação. Assimétrica ou de chave pública - trabalha com duas chaves públicas diferentes, matematicamente relacionadas, para codificar e decodificar a mensagem.

10 Criptografia Simétrica

11 Criptografia Assimétrica

12 Assinatura Digital o A utilização da assinatura digital providencia a prova inegável de que uma mensagem veio do emissor. o Para verificar este requisito, uma assinatura digital deve ter as seguintes propriedades: Autenticidade - o receptor deve confirmar a assinatura foi feita pelo emissor; Integridade - qualquer alteração da mensagem faz com que a assinatura não corresponda mais ao documento. Não-repúdio ou irretratabilidade - o emissor não pode negar a autenticidade da mensagem.

13 Certificado Digital o O primeiro passo para se obter um certificador digital é obter uma procurar uma autoridade certificadora (CA). o Um autoridade certificadora tem a função de verificar a identidade de um usuário e associar a ele uma chave. o Essas informações são então inseridas em um "certificado digital". o Um certificado digital contém a chave pública do usuário e os dados necessários para informar sua identidade, logo pode ser distribuído na internet.

14 Sistemas de Detecção de Intrusos o IDS ou Intrusion Detection System é um serviço que monitora e analisa eventos de um rede com o propósito de encontrar e providenciar alertas em tempo real a acessos não autorizados aos recursos de rede.

15 Controle de Acesso O controle de acesso pode ser dividido em controle lógico ou físico onde temos: Controle Lógico o Identificação e autenticação do usuário; o Administração dos privilégios de usuários; o Monitoração de uso e acesso ao sistema. Controle Físico o Controles de entrada apropriados; o Implantação de dispositivos de segurança.