Segurança em Redes
de Computadores
Segurança
- Modalidades de quebra de segurança
das redes de computadores
- Estratégias de proteção
- Mecanismos de apoio à gerência
da segurança previstos nas arquiteturas OSI e TCP/IP
Situação atual
- Cada vez mais pessoas, com formação
mais heterogênea, tem acesso às redes de computadores
- Recursos valiosos são armazenados
para uso sem intermediação humana
- Ampliadas facilidades de acesso
e gerenciamento remoto facilitam obtenção de controle total
de um sistema remoto
- Rotinas disponíveis
para criptoanálise (quebradores de senhas)
- Literatura e conferências
eletrônicas ensinam como quebrar a segurança de sistemas
Abordagem básica
- O que vai ser protegido? Vale a
pena?
- Contra que tipo de ataque?
- Quais os ataques prováveis
?
- Implementar mecanismos de proteção
de modo eficiente e com custo aceitável
- Revisar o processo continuamente
e aperfeiçoar os mecanismos de proteção cada vez que
um ataque é percebido
- O custo de proteger contra um ataque
deve ser menor do que o valor da perda se um ataque é realizado
Identificando os alvos
- Hardware: cpu, placas, teclados,
terminais, estações de trabalho, PC, impressoras, unidade
de disco, linhas, servidores de terminais, modems, repetidores, pontes
e roteadores
- Software: programas fonte, programas
objeto, utilitários, programas de diagnóstico, sistemas operacionais,
programas de comunicação
- Dados: durante a execução,
armazenado on-line, arquivados off-line, backups, trilhas de auditoria,
BD, em trânsito na rede
- Pessoas: usuários, administradores
- Documentação: sobre
programas, hardware, sistemas, procedimentos administrativos locais
- Suprimentos: papel, formulários,
fitas de impressão, meio magnético
Identificando os ataques
- Acesso não autorizado
- Revelar informação
- Impedir o acesso ao serviço
Identificando problemas possíveis
- Pontos de acesso
- Enlaces
- Linhas discadas
- Servidores de terminais
- Sistemas mal configurados
- Bugs de software
- Acesso por pessoal interno
Análise de riscos
As formas de ataque podem incluir:
- VIRUS
- CAVALO DE TROIA
- BOMBA LÓGICA
Programa que causa dano quando verifica
determinada condição
- data
- alteração de arquivos
ou diretórios
ALGUMAS BRECHAS MAIS COMUNS EM AMBIENTE
UNIX
RECOMENDAÇÕES
Paredes "corta-fogo"
- Proteção contra a
entrada do "fogo de ataque"
- Acesso intermediado
- Computador de entrada da rede rigorosamente
controlado
- Restringir funcionalidades
tipo de tráfego que pode
cruzar a barreira
DES-Data Encryption Standard
- Transforma texto plano em texto
crifrado usando um algortimo (público) e uma chave
- O texto cifrado pode ser decodificado
mediante o uso da mesma chave
- Legislação americana
ALGORITMO DE CHAVE PÚBLICA
Kerberos
Sistema de segurança
desenvolvido pelo MIT-Massachusetts Institute of Technology para o projeto
Athena que utiliza o conceito de algoriitmo de chave pública
- Usado na Internet, adotado pela
OSF (Open Software Foundation) como parte do DCE (Distributed Computing
Environment). Vários fornecedores, como IBM, DEC, HP, Sun planejam
tornar Kerberos parte de seus sistemas operacionais UNIX.
Kerberos está baseado em
3 componentes para assegurar a segurança da rede:
- um banco de dados
- um servidor de autenticação
- um servidor garantidor de tiquetes
(TGS=Ticket Granting Server)
Todos os três componentes
ficam em um servidor seguro que é conectado à rede.
Componentes do KERBEROS
- O banco de dados contém
todos os nomes de usuários, suas passwords, os serviços a
que tem direito e as chaves de criptografia associadas
- O servidor de autenticação
assegura que a pessoa requisitando um serviço é quem diz
ser
- O servidor garantidor de tiquetes
fornece tiquetes para o usuários quando o servidor de autenticação
verificar sua identidade.
- Para acessar uma aplicação
um usuários necessita o tiquete e uma segunda credencial, denominada
autenticador que consiste do nome do usuário, o endereço
IP da estação e o horário em que o pedido foi originado.
- Para trabalhar com Kerberos o sistema
operacional do PC precisa ser modificado para processar os tiquetes e enviar
autenticadores. Cada aplicação que deve ser protegida por
meio do Kerberos precisa ser também modificada.
Dispositivos biométricos
- Métodos automatizados para
verificar ou reconhecer a identidade de um pessoa viva com base em características
fisiológicas, como impressão digital ou padrão da
iris ou com base em algum aspecto de seu comportamento, tal como escrita
manual ou padrão de toque digitação.
Dados biométricos
- Verificação de identidade
aceitar x rejeitar
- Reconhecimento de identidade
procurar num conjunto de dados
armazenados
- Custo, conforto, precisão,
aceitabilidade
Automated Fingerprint Identification
- Salas de computador, laboratórios,
bancos de sangue, ATM
- Algoritmos desenvolvidos pelo FBI,
NBS, Cornell Aeronautical Labooratory, Rockwell International Corp
- NEC, Printrak Morpho Systems
- ICL PLC, Cambridge Neurodynamics
- Orincon Corp
- Identix --> periférico
de um PC ou stand-alone
- 250 Kbytes -->30 segundos -->
1 Kbyte
- Falsa rejeição: 2
a 3 %
- Falsa aceitação::
< 0.0001%
Exemplos de uso do Identix
- 40 países
- Controle acesso a áreas
no Pentágono
- Acesso computadores redes financeiras
na Itália
- Automated Banking Terminal na Australia
- Alfândega e imigração
em Amsterdan
- Controle de apenados e visitantes
em Maryland
- Controle de acesso Expo’92 Sevilha
Mão
- Forma tridimensional da mão
- 1.2 segundos & 9 bytes para
armazenamento
- Cabe em tarja magnética
de cartões
- Raramente rejeitada
- ID3D Handkey by Recognition Systems
Inc
- Código digitado mais mão
em local com pinos para posicionar dedos
- Largura, comprimento e área
dos dedos
Exemplos de uso do ID3D
- San Francisco Intl Airport (controle
acesso operações)
- Lotus (visitantes fora de áreas
reservadas)
- University of Georgia (refeições
consumidas)
- Prisão em Jessup
- Aeroporto Kenneddy e Newark (inspeção
automática de passaporte e controle de pessoas que se registraram
como passageiros frequentes)
- Camara dos Deputados e Senaddo
na Colombia para evitar fraude nas votações
Iris
- Câmaras padrão
- Distância de 30-45 cm
- IriScan Inc, Mount Laurel
- Textura da iris
- Sun SparcStation para análise
- Resultado da análise do
sinal --> 256 bytes
- 100 mseg para computar um Iriscode,
depois de localizar a iris
- Laboratório: 1 erro em 131.000
- No mercado em 1994
Face
- Técnicas de processamento
de imagem
- Redes neurais
- NeuroMetric Vision Sysytems Inc
- NeuroMetric 1992 opera coom 386
ou 486 com co-processador matemático e cartão com DSP-Digital
Signal-processing
- Captura imagens de câmera
preto e branco, gira, redimensiona, compensa diferenças de luminosidade,
efetua transformações matemáticas
Comportamento dos usuários
- Brechas na segurança de
um sistema não constituem licença para agir de forma ilegal
se aproveitando de tais lacunas
- Acesso não autorizado constitui
violação das regras na Internet, não importa quão
fragil seja a segurança de um computador ou rede
- Legislação sobre
acesso não autorizado começa a aparecer em varios países
- USA Computer Fraud and Abuse Act
of 1986, Title 188 U.S.C. section 1030 --> crime acessar sem autorização
computadores governamentais e de instituições financeiras
- Usuários são responsáveis
individulamente pelos recursos alocados a eles.
CERT/CC
- Computer Emergency Response Team/Coordination
Center
- DARPA-Defense Research Projects
Agency
- SEI-Software Engineering Institute
- CMU
- Clearing house para identificação
e resolução de vulnerabilidades
- Coordenar soluções
- 24-hour hot-line
- www.cert.org
Sintomas suspeitos
- Crash do sistema
- Contas novas ou contas antigas
com atividade intensa não usual
- Novos arquivos com nomes estranhos:
data.ss ou k
- Discrepâncias nas contas
(/usr/admin/lastlog)
- Alteração no comprimento
de arquivos
- Tentativas de escrever
- Modificações ou deleções
de arquivos (arquivos ou dados "somem")
- Acesso barrado
- Performance inexplicavelmente baixa
- Anormalias (mensagens, bips)
- Tentativas de acesso não
sucedidas
- Vasculhar suspeito
<