CSI463 Segurança e Auditoria de Sistemas

Transcrição

1 CSI463 Segurança e Auditoria de Sistemas Prof. Fernando Bernardes de Oliveira Universidade Federal de Ouro Preto Instituto de Ciências Exatas e Aplicadas ICEA Departamento de Computação e Sistemas DECSI João Monlevade-MG 1 semestre de 2016 Oliveira, F. B. (UFOP DECSI) CSI463 SAS 2016/01 1 / 29

2 Nota de uso Nota de uso Este material foi produzido utilizando principalmente como referência o livro de Kim e Solomon (2014). As imagens referenciadas a esse livro foram retiradas do material disponibilizado pela editora como conteúdo extra para professores. Oliveira, F. B. (UFOP DECSI) CSI463 SAS 2016/01 2 / 29

3 Introdução Introdução Controle de acesso: Restrigir e permitir acesso automóveis, casas, computadores, celulares, tablets, dentre outros. Chaves específicas Processo de proteger um recurso. Garantir que o recurso seja utilizado somente por aqueles com permissão. Protegem contra uso não autorizado. Definem quem são os usuários: Pessoas ou processos computacionais o que podem fazer, acessar e realizar. Várias tecnologias senhas, gerador de código, biometria, certificados, dentre outras. Acesso a ativos físicos, sistemas computacionais e dados. Oliveira, F. B. (UFOP DECSI) CSI463 SAS 2016/01 3 / 29

4 Partes de Controle de Acesso Partes de Controle de Acesso Definido em quatro partes: Autorização Quem está aprovado para acessar e o que eles podem usar? Identificação Como eles são identificados? Autenticação Suas identidades podem ser verificadas? Responsabilização Como acompanhar as ações e identificar que fez mudanças? Oliveira, F. B. (UFOP DECSI) CSI463 SAS 2016/01 4 / 29

5 Partes de Controle de Acesso Partes de Controle de Acesso Divididas em duas fases: Definição de poĺıtica determina quem tem acesso e quais sistemas ou recursos podem usar Autorização. Imposição de poĺıtica concede ou rejeita solicitações com base nas autorizações Identificação, Autenticação e Responsabilização. Oliveira, F. B. (UFOP DECSI) CSI463 SAS 2016/01 5 / 29

6 Tipos, elementos e definições Tipos, elementos e definições Controles de acesso físico Entrada em prédios, áreas de estacionamento e áreas protegidas. Catracas, cartões de acesso, portas especiais, dentre outros. Oliveira, F. B. (UFOP DECSI) CSI463 SAS 2016/01 6 / 29

7 Tipos, elementos e definições Tipos, elementos e definições Controles de acesso lógico sistema computacional, rede e dispositivos. Dedicidir quais usuários podem entrar em um sistema. Monitorar o que o usuário faz no sistema. Restringir ou influenciar o comportamento do usuário no sistema. Access Control List, diretório, domínio ou outro repositório de permissões. Oliveira, F. B. (UFOP DECSI) CSI463 SAS 2016/01 7 / 29

8 Tipos, elementos e definições Tipos, elementos e definições Figura 1: Imposição do controle de acesso (KIM; SOLOMON, 2014) Oliveira, F. B. (UFOP DECSI) CSI463 SAS 2016/01 8 / 29

9 Tipos, elementos e definições Tipos, elementos e definições Elementos centrais das poĺıticas de controle de acesso: Usuários Recursos objetos protegidos do sistema Ações atividades que usuários autorizados podem realizar sobre os recursos. Relacionamentos permissões concedidas, como leitura, escrita, execução. Oliveira, F. B. (UFOP DECSI) CSI463 SAS 2016/01 9 / 29

10 Tipos, elementos e definições Tipos, elementos e definições Definindo uma poĺıtica de autorização: Definir regras de autorização quem tem acesso a qual recurso; Poĺıtica de inclusão em grupo cargos ou grupos. Poĺıtica de nível de autoridade grau maior de autoridade para acessar certos recursos. Oliveira, F. B. (UFOP DECSI) CSI463 SAS 2016/01 10 / 29

11 Tipos, elementos e definições Tipos, elementos e definições Métodos de identificação: Poĺıticas definidas imposição. Identificação método utilizado para solicitar acesso a um recurso cartão inteligente, biometria. Diretrizes de identificação: Ações usuário específico. Usuário identificador exclusivo. Associação auditoria (accounting). Oliveira, F. B. (UFOP DECSI) CSI463 SAS 2016/01 11 / 29

12 Processos e requisitos de autenticação Processos e requisitos de autenticação Autenticação prova que quem solicita o acesso é o mesmo que recebeu direito de acesso. Tipos: Conhecimento usuário sabe: senha, frase secreta. Propriedade usuário tem: cartão, chave, crachá, token. Características exclusivo ao usuário: impressões digitais, retina. Autenticação de fator único pode ser comprometida por si só. Autenticação de fator duplo usar pelo menos dois dos três fatores. Oliveira, F. B. (UFOP DECSI) CSI463 SAS 2016/01 12 / 29

13 Processos e requisitos de autenticação Processos e requisitos de autenticação Autenticação por conhecimento: Poĺıtica e melhores práticas de senha. Senhas fortes. Poĺıticas de bloqueios de conta. Auditoria de eventos de acesso. Reativação e armazenamento de senha. Utilizando uma frase secreta. Oliveira, F. B. (UFOP DECSI) CSI463 SAS 2016/01 13 / 29

14 Processos e requisitos de autenticação Processos e requisitos de autenticação Autenticação por conhecimento: Tokens síncronos. Autenticação contínua proximidade. Tokens assíncronos desafio-resposta. Oliveira, F. B. (UFOP DECSI) CSI463 SAS 2016/01 14 / 29

15 Processos e requisitos de autenticação Processos e requisitos de autenticação Figura 2: Token assíncrono (KIM; SOLOMON, 2014) Oliveira, F. B. (UFOP DECSI) CSI463 SAS 2016/01 15 / 29

16 Processos e requisitos de autenticação Processos e requisitos de autenticação Autenticação por características Biometria: Estática fisiológica, por exemplo. Dinâmica comportamental, por exemplo. Preocupações precisão, aceitação e tempo de reação. Tipos impressão digital, impressão da palma, retina, íris, reconhecimento facial, padrão de voz, dinâmica de toque de tecla e dinâmica de assinatura. Oliveira, F. B. (UFOP DECSI) CSI463 SAS 2016/01 16 / 29

17 Processos e requisitos de autenticação Processos e requisitos de autenticação Vantagens: Presença física Lembrança Difícil de falsificar. Perda Desvantagens: Características físicas podem mudar. Nem todas as técnicas são igualmente efetivas qual usar? Tempo de resposta pode ser lento. Dispositivos podem ser caros. E quanto à privacidade? Oliveira, F. B. (UFOP DECSI) CSI463 SAS 2016/01 17 / 29

18 Responsabilização Responsabilização Arquivos de histórico log files Retenção de dados, descarte de mídia e requisitos de conformidade. Controles de segurança mecanismos para evitar interromper ou minimizar um risco de ataque para um ou mais recursos. Oliveira, F. B. (UFOP DECSI) CSI463 SAS 2016/01 18 / 29

19 Responsabilização Responsabilização Figura 3: Tipos de controle de segurança (KIM; SOLOMON, 2014) Oliveira, F. B. (UFOP DECSI) CSI463 SAS 2016/01 19 / 29

20 Modelos Formais de Controle de Acesso Modelos Formais de Controle de Acesso Controle de acesso discricionário (DAC) o proprietário do recurso pode delegar acesso a outros. Controle de acesso obrigatório (MAC) permissão para entrar em um sistema é mantida pelo proprietário e não pode ser dada a outros Isolamento temporal de objetos Controle de acesso não discricionário monitorado pelo administrador de segurança e não pelo administrador do sistema (recurso). Controle basedo em regra lista de regras (ACL). Interface restrita de usuário menus, bancos de dados, restrições físicas, criptografia. Dentre outros. Oliveira, F. B. (UFOP DECSI) CSI463 SAS 2016/01 20 / 29

21 Ameaças a Controle de acesso Ameaças a Controle de acesso Acesso físico. Interceptação por observação. Intercepção eletrônica. Intercepção de comunicação. Contornando a segurança. Explorando hardware e software. Reutilizando ou descartando mídia. Acessando redes. Explorando aplicativos. Oliveira, F. B. (UFOP DECSI) CSI463 SAS 2016/01 21 / 29

22 Efeitos de Violação de Controle de acesso Efeitos de Violação de Controle de acesso Perda de confiança de clientes. Perda de oportunidades de negócios. Má publicidade. Mais vigilância. Penalidades financeiras. Nova legislação e regulamentações impostas sobre a organização. Dentre outras. Oliveira, F. B. (UFOP DECSI) CSI463 SAS 2016/01 22 / 29

23 Controle de acesso Centralizado e Descentralizado Controle de acesso Centralizado e Descentralizado Centralizado: Uma única entidade comum decide que pode acessar sistemas e redes. Nível central em vez de nível local. Serviços de autenticação centralizados AAA authentication, autorization, accouting. Quais são os benefícios? E as desvantagens? Exemplo: RADIUS Remote Authentication Dial-In User Service. Oliveira, F. B. (UFOP DECSI) CSI463 SAS 2016/01 23 / 29

24 Controle de acesso Centralizado e Descentralizado Controle de acesso Centralizado e Descentralizado Descentralizado: Controle acesso definido localmente departamentos, seções, dentre outros. O controle está nas mãos das pessoas supervisores, gerentes entidades locais. Quais são os benefícios? E as desvantagens? Exemplo: PAP Password Authentication Protocol. Oliveira, F. B. (UFOP DECSI) CSI463 SAS 2016/01 24 / 29

25 Privacidade Privacidade Preocupações das organizações acerca do monitoramento eletrônico: Responsabilidade em processos de assédio. Perdas e roubos por funcionários. Produtividade Monitoramento do local de trabalho benefícios e desvantagens. Oliveira, F. B. (UFOP DECSI) CSI463 SAS 2016/01 25 / 29