Professional Documents
Culture Documents
MECANISMOS DE
SEGURANA
1
Definies
Segurana Fsica: realizada para evitar/dificultar as
falhas nos equipamentos e instalaes
Ex: Problema com equipamentos ativos, furtos, faxineira,
etc.
Segurana Fsica
2
Segurana Fsica
Abrange todo o ambiente onde os sistemas de informao
esto instalados:
Prdio, portas de acesso, trancas, piso, salas, computadores...
Requer ajuda da engenharia civil e eltrica
A norma ABNT NBR ISO/IEC 27002:2013 divide a rea de
segurana fsica da seguinte forma:
reas seguras (item 11.1)
Equipamento (item 11.2)
Segurana Fsica
reas seguras
Objetivo: Prevenir o acesso fsico no autorizado, danos e
interferncias com os recursos de processamento das
informaes e nas informaes da organizao
Permetro da segurana fsica
Controles de entrada fsica
Segurana em escritrios, salas e instalaes
Proteo contra ameaas externas e do meio ambiente
Trabalhando em reas seguras
reas de entrega e de carregamento
3
Segurana Fsica
Equipamento
Objetivo: Impedir perdas, danos, furto ou comprometimento
de ativos e interrupo das atividades da organizao
Instalao e proteo de equipamentos
Utilidades (fornecimento de energia e/ou outros ativos de servio)
Segurana do cabeamento
Manuteno de equipamentos
Segurana de equipamentos fora das instalaes
Reutilizao e alienao segura de equipamentos
Remoo de propriedade
Segurana Fsica
Segurana externa e de entrada
Proteo da instalao onde os equipamentos esto localizados, contra:
Entrada de pessoas no autorizadas
Catstrofes ambientais
O prdio deve ter paredes slidas e nmero restrito de entradas e
sadas
Evitar baixadas onde a gua possa se acumular enchentes
Evitar reas muito abertas descargas atmosfricas
Em qualquer lugar, usar para-raios
Usar muros externos e manter a rea limpa queimadas
4
Segurana Fsica
Segurana externa e de entrada
Controle de acesso fsico nas entradas e sadas:
Travas, alarmes, grades, vigilante humano, vigilncia eletrnica, portas com senha,
carto de acesso, registros de entrada e sada de pessoas e objetos
Segurana Fsica
Segurana da Sala de Equipamentos
Agrega todo o centro da rede e os servios que nela operam
Entrada somente de pessoal que trabalha na sala
Registro de todo o pessoal que entra e sai
A sala deve ser trancada ao sair
Deve fornecer acesso remoto aos equipamentos
O contedo da sala no deve ser visvel externamente
Alm do acesso indevido, a sala deve ser protegida contra:
Vandalismo, fogo, interferncias eletromagnticas, fumaa, gases corrosivos,
poeira
5
Segurana Fsica
Segurana da Sala de Equipamentos
Se possvel, uso de salas-cofre
Segurana Fsica
Segurana dos equipamentos
Evitar o acesso fsico aos equipamentos
Acesso ao interior da mquina (hardware)
Acesso utilizando dispositivos de entrada e sada (console)
Proteger o setup do BIOS
Tornar inativos botes de setup e liga/desliga no
gabinete
Colocar senha no BIOS
Inicializao apenas pelo disco rgido
6
Segurana Fsica
Segurana do ambiente
Geralmente o fornecimento de energia de
responsabilidade da concessionria, e pode apresentar
variao de tenso e interrupo do fornecimento
Para garantir a disponibilidade da informao
preciso garantir o fornecimento constante de energia e
que ela esteja dentro da tenso recomendada
Uso de nobreak e gerador
Refrigerao
Segurana Fsica
Segurana do ambiente
Nobreak (Uninterruptable
Power Supply - UPS)
Alimenta os equipamentos
at o gerador estar disponvel
Utiliza baterias
Autonomia limitada
7
Segurana Fsica
Segurana do ambiente
Banco de baterias
Alimentam o no-break
Segurana Fsica
Segurana do ambiente
Gerador
Diesel
Gs natural
Requer manuteno constante
Partida
Manual
Automtica
8
Segurana Fsica
Segurana do ambiente
Gerador
Local de instalao:
Exausto de gases
Rudo
Abastecimento
Armazenamento de combustvel
Segurana Fsica
Segurana do ambiente
Refrigerao
Temperatura e umidade
Funcionamento dos
equipamentos de TI
Vida til dos equipamentos de TI
9
Segurana Fsica
Segurana do ambiente
Fluxo de ar em um datacenter
Segurana Fsica
Segurana do ambiente
Combate a incndios
Deteco
Quanto mais cedo, melhor
Sensores de fumaa convencionais
Very early smoke detection apparatus (VESDA)
Deteco por aspirao (dutos que percorrem a rea)
Boto de acionamento manual
Alarme
Sirenes
Avisos por celular
10
Segurana Fsica
Segurana do ambiente
Combate a incndios
Extintores
Chave para desligamento de
emergncia
Disperso de gases
Combate s chamas.
gua pode apagar um incndio, mas
no conveniente num datacenter
(sprinklers)
11
Segurana Lgica
A segurana lgica compreende os mecanismos de
proteo baseados em software
Senhas
Listas de controle de acesso
Criptografia
Firewall
Sistemas de deteco de intruso
Redes virtuais privadas
Segurana Lgica
Firewall
Referncia s portas corta-fogo
responsveis por evitar que um
incndio em uma parte do prdio se
espalhe facilmente pelo prdio
inteiro
Na Informtica: previne que os
perigos da Internet (ou de qualquer
rede no confivel) se espalhem
para dentro de rede interna
12
Segurana Lgica
Firewall
Um firewall deve sempre ser instalado em um ponto
de entrada/sada de sua rede interna
Este ponto de entrada/sada deve ser nico
Segurana Lgica
Firewall
Objetivos especficos de um firewall:
Restringir a entrada a um ponto cuidadosamente controlado
Prevenir que atacantes cheguem perto de suas defesas mais
internas
Restringir a sada a um ponto cuidadosamente controlado
13
Segurana Lgica
Detectores de intruso
IDS (Intrusion Detection Systems): Sistemas
responsveis por analisar o comportamento de uma
rede ou sistema em busca de tentativas de invaso
HIDS (Host IDS):
Monitora um host especfico
NIDS (Network IDS):
Monitora uma segmento de rede
Segurana Lgica
VPN (Virtual Private Networks)
VPN (Virtual Private Networks):
Forma barata de interligar duas redes
privadas (Intranet) atravs da Internet
Permite usar uma rede no confivel de
forma segura
Exemplos:
Ligao entre dois firewalls ou entre dois
servidores de VPN para interligar duas redes
inteiras
Ligao entre uma estao na Internet e
servios localizados dentro da rede interna
(Intranet)
14
3.3 Tipos de criptografia
(simtrica e assimtrica)
e suas caractersticas
Criptologia
15
Criptografia
Criptografia
Criptografia diferente das tcnicas de esteganografia, que
escondem a mensagem real
Ex.: Usar tinta invisvel; escrever uma mensagem na cabea raspada,
esperar o cabelo crecer e enviar a pessoa ao destinatrio
16
Criptoanlise
17
Texto Simples, Texto Cifrado, Cifra
Texto simples: refere-se ao alfabeto comum usado
para compor a mensagem original
Texto cifrado: refere-se mensagem de texto simples
encriptado uma vez que as letras originais na
mensagem foram substitudas com o alfabeto cifrado
Cifras: so qualquer forma de substituio criptogrfica
aplicada ao texto da mensagem
Algoritmo, Chave
Um algoritmo um mtodo geral de criptografia
Uma chave especifica detalhes (informaes adicionais) de
uma encriptao em particular
Juntos, eles formam cifras e mensagens criptografadas
No caso de uma cifra de substituio:
O algoritmo iria substituir as letras do texto simples pelas letras
do texto cifrado
A chave seria o texto no alfabeto cifrado
18
Ciframento e Deciframento
Ciframento
casa uityoi
Deciframento
casa
uityoi
19
Tcnicas de Criptografia
Transposio: uma tcnica de criptografia em que as
letras em uma mensagem so reordenadas para fornecer
sigilo
Tcnicas de Criptografia
Substituio: cada letra da mensagem de texto substituda por
uma nica letra diferente
Cada letra mantm a sua posio original no texto da mensagem, mas a
identidade da letra mudada
Nessa definio tambm chamada substituio monoalfabtica
A B C D E Alfabeto comum
D C E G H Alfabeto cifrado
20
Tcnicas de Criptografia
Um exemplo de tcnica de criptografia de substituio a
Cifra de Csar
Usa deslocamento fixo ou varivel (k) do alfabeto
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
D E F G H I J K L M N O P Q R S T U V W X Y Z A B C
Por exemplo:
UNICARIOCA
XQLFDULRFD
Tcnicas de Criptografia
Particularidades das tcnicas clssicas
Fceis de usar
O receptor deve conhecer a chave para poder obter a
mensagem original
Frgeis, podem ser deduzidas (anlise de ocorrncia e
sequncia de caracteres)
21
Tcnicas de Criptografia
Um tipo de tcnica de substituio monoalfabtica denominada Cifra
Aditiva
A Cifra XOR Simples (Ou exclusivo - eXclusive OR) usa a operao
lgica correspondente com o uso de uma chave, para cifrar um texto
simples em texto cifrado
Tabela-verdade:
A B A XOR B
0 0 0
0 1 1
1 0 1
1 1 0
Exemplo:
Mensagem de texto simples: ARROZ
Representao em ASCII 8 bits:
01000001 01010010 01010010 01001111 01011010
Chave: 11110011
Mensagem cifrada:
22
Tcnicas de Criptografia
Substituio polialfabtica: permite diferentes smbolos de texto
cifrado para representar o mesmo smbolo do texto simples
Texto simples
Outro exemplo a A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
L L M N O P Q R S T U V W X Y Z A B C D E F G H I J K
Mens. texto simples: M M N O P Q R S T U V W X Y Z A B C D E F G H I J K L
FEIJAO N N O P Q R S T U V W X Y Z A B C D E F G H I J K L M
O O P Q R S T U V W X Y Z A B C D E F G H I J K L M N
Se o tamanho da chave P P Q R S T U V W X Y Z A B C D E F G H I J K L M N O
for menor que a Q Q R S T U V W X Y Z A B C D E F G H I J K L M N O P
mensagem, repete-se a R R S T U V W X Y Z A B C D E F G H I J K L M N O P Q
partir da ltima letra: S S T U V W X Y Z A B C D E F G H I J K L M N O P Q R
T T U V W X Y Z A B C D E F G H I J K L M N O P Q R S
ARROZA U U V W X Y Z A B C D E F G H I J K L M N O P Q R S T
V V W X Y Z A B C D E F G H I J K L M N O P Q R S T U
Mensagem Cifrada: W W X Y Z A B C D E F G H I J K L M N O P Q R S T U V
FVZXZO X X Y Z A B C D E F G H I J K L M N O P Q R S T U V W
Y Y Z A B C D E F G H I J K L M N O P Q R S T U V W X
Z Z A B C D E F G H I J K L M N O P Q R S T U V W X Y
23
Tcnicas de Criptografia
Tcnicas de Criptografia Modernas
Quanto ao tipo de chave
Algoritmos de chave simtrica (criptografia de chave
privada)
Algoritmos de chave assimtrica (criptografia de chave
pblica)
Tcnicas de Criptografia
Simtrica
Assimtrica
24
Criptografia de Chave Simtrica
25
Criptografia de Chave Simtrica
Cifragem em Bloco
ECB (Electronic Code Book - Modo do Livro de Cdigos)
Criptografar
Decriptografar
26
Cifragem em Bloco
CBC (Cipher Block Chaining - Modo do Encadeamento de
Blocos)
Criptografar
Decriptografar
Cifragem em Bloco
ECB X CBC
27
Cifragem em Bloco
OFB (Output Feedback Realimentao de Sada)
Criptografar
Decriptografar
Cifragem em Bloco
CFB (Cipher Feedback Realimentao de Cifra)
Criptografar
Decriptografar
28
Criptografia de Chave Simtrica
Alguns cifradores simtricos:
LUCIFER
DES, 3DES
BLOWFISH
RC2
RC4
IDEA
RC5
TWOFISH
SERPENT
RIJNDAEL (AES)
29
Criptografia de Chave Simtrica
Bloco Inicial
(64 bits)
Primeira Chave
32 bits 32 bits
+ F
Novo Novo
bloco 32 bloco 32
bits bits
30
Criptografia de Chave Simtrica
31
Criptografia de Chave Simtrica
Blowfish (Counterpane Systems)
RC2 (RSA)
RC4 (RSA)
IDEA (Ascon)
Cast (Entrust)
Safer (Cylink)
RC5 (RSA)
32
Criptografia de Chave Simtrica
Em 1997 o NIST (National Institute of Standards and
Technology), rgo do Departamento de Comrcio dos EUA,
encarregado de aprovar padres para o governo federal dos
EUA patrocinou um concurso para um novo padro criptogrfico
para uso no-confidencial
33
Criptografia de Chave Assimtrica
Proposto por W. Diffie e M. Hellman (1976)
Baseia-se num par de chaves
Pblica, serve para cifrar
Privada, serve para decifrar
Mais lento que algoritmos de chave simtrica
Exemplos: RSA, Diffie-Hellman, Curvas Elpticas, ElGamal,
Rabin
34
Criptografia de Chave Assimtrica
Gerao das chaves (por A)
Gerar dois primos grandes e distintos p e q
Computar n=p.q e = (p-1)(q-1)
Selecionar um inteiro aleatrio e, 1 < e <
mdc(e, ) = 1
Computar d, 1 < d <
ed = 1 (mod )
Chave pblica (n,e); Chave privada d
35
Comparativo entre os mtodos
Criptografia Hbrida
Criptografia Hbrida
Meio termo entre as criptografias
Aproveita o que tem de bom das duas partes
36
3.4 Mecanismos de
assinatura digital e
funes de hashing
Assinatura Digital
Assinatura Digital
Suponha que uma terceira pessoa (TRUDY) capaz de
interceptar a comunicao entre Alice e Bob
37
Assinatura Digital
Como Trudy no possui as chaves privadas de Alice e Bob, no consegue
decodificar a mensagem cifrada Confidencialidade OK!
No entanto, Trudy pode possuir as chaves pblicas de ambos.
O que a impede de enviar mensagens forjadas?
Assinatura Digital
Assinatura Digital - permite que:
38
Assinatura Digital
Uma propriedade do RSA
diz que:
Assinatura Digital
A mensagem codificada com a Chave Privada de um usurio:
Pode ser decodificada por qualquer um que tenha sua chave
pblica, ou seja, muitas pessoas
Porm, se for decodificada corretamente significa que o emissor
realmente o dono daquela chave pblica (pois s ele tem a
chave privada) garantia de identidade
Para garantir sua identidade, o emissor anexa na mensagem
uma assinatura de sua mensagem codificada com sua chave
privada
Para isso, utilizam-se as funes de Hashing
39
Assinatura Digital
Hashing ou Message Digest
Produz uma assinatura a partir de uma entrada
Caractersticas importantes:
1. O clculo do hash de uma mensagem deve ser fcil e rpido.
2. O tamanho do hash deve ser constante, independente do tamanho da
mensagem de entrada.
3. A partir do hash deve ser impossvel deduzir a mensagem original.
4. No deve ser possvel, a partir de uma mensagem e seu hash, deduzir
uma outra mensagem que produza o mesmo hash.
5. Uma mnima mudana na mensagem deve produzir uma grande
mudana no hash.
Assinatura Digital
Funes mais usadas:
MD5 - 128 bits
SHA-1 - 160 bits
SHA-2 - 224/256/384/512 bits
Uma mnima alterao no texto, altera todo o hash
Exemplo:
Os hashes MD5 de 128-bit so normalmente representados por
uma sequncia de 32 caracteres hexadecimais
MD5(mensagem de teste 1 2 3) 63745902de0027d04c06d8ba5b94a225
MD5(mensagem de teste 1 2 2) 4ebcbd22ef3815461cc75607647056cb
40
Assinatura Digital
Como as funes de hashing podem ser usadas para
gerar assinatura para quaisquer tamanhos de
mensagem, de se esperar que diferentes entradas
produzam a mesma sada coliso de hashing
Apesar de possvel, matematicamente improvvel (para no
dizer quase impossvel) que se consiga obter uma segunda
mensagem que produza o mesmo hash
Mesmo que se consiga (por fora-bruta), ainda mais
improvvel que esta mensagem possua algum sentido
ortogrfico e semntico
Assinatura Digital
Verificao da Assinatura Digital:
1. Executa-se a funo MD (usando o mesmo algoritmo MD que foi
aplicado ao documento na origem), obtendo-se um hash para aquele
documento, e posteriormente, decifra-se a assinatura digital com a
chave pblica do remetente
2. A assinatura digital decifrada deve produzir o mesmo hash gerado pela
funo MD executada anteriormente
3. Se estes valores so iguais determinado que o documento no foi
modificado aps a assinatura do mesmo, caso contrrio o documento
ou a assinatura, ou ambos foram alterados
41
Assinatura Digital
Assinatura Digital
Garante a integridade
da mensagem e a
identidade do
emissor
42
Assinatura Digital
Aplicaes Prticas: Autenticao/SMIME
Assinatura Digital
Aplicaes Prticas: Criptografia/SMIME
43
Assinatura Digital
Aplicaes Prticas: Autenticao e criptografia/SMIME
Assinatura Digital
Aplicaes Prticas: Web
Nos requisitos
Autenticao do servidor
Autenticao do cliente
Integridade de contedo
Confidencialidade
Nos protocolos
SSL (Secure Socket Layer)
Secure HTTP (Secure HyperText Transfer Protocol)
Nos aplicativos
SSH (Secure Shell)
IPSec (Internet Protocol Security)
VPNs (Virtual Private Networks)
EDI (Electronic Data Interchange)
44
3.5 Certificados Digitais:
Caractersticas e
objetivos
Certificao Digital
45
Certificao Digital
O originador de uma mensagem criptografada precisa
conhecer a chave pblica do destinatrio
O destinatrio de uma mensagem autenticada precisa
conhecer a chave pblica do originador
necessrio que o usurio tenha certeza de que a chave
pblica que est utilizando autntica
Em um pequeno grupo, poderia trocar as chaves
pblicas e guard-las de forma segura
J em um grande grupo, a troca manual de chave
impraticvel!
Certificao Digital
Certificado Digital: arquivo digital que contm as
informaes necessrias identificao de um indivduo ou
programa, equipamento, componente, produto, etc, incluindo
sua chave pblica
Principal funo de um certificado: vincular uma chave
pblica ao nome de um protagonista (indivduo, empresa, etc.)
Os certificados em si no so secretos ou protegidos
Usualmente esto disponveis em uma base de acesso livre na
Internet (diretrio X.500)
46
Certificao Digital
Autoridade Certificadora - AC (Certification Authority - CA):
Cartrio eletrnico
Entidade que emite certificados para possuidores de chaves
pblicas e privadas (pessoa, dispositivo, servidor)
Certificao Digital
Atribuies de uma AC:
Gerar, entregar e armazenar a chave privada de forma segura
Distribuir a chave pblica
Atualizar o par de chaves
Assinar a chave pblica para gerar o certificado.
Assinar certificados digitais garantindo sua validade
Manter e divulgar uma lista com os certificados revogados (Certificate
Revocation List - CRL)
CAs podem estar encadeadas em hierarquias de certificao, em que a CA de
um nvel inferior valida sua assinatura com a assinatura de uma CA mais alta
na hierarquia
47
Certificao Digital
Certificao Digital
Componentes bsicos de um certificado digital:
A chave pblica
Nome e endereo de e-mail
Data da validade da chave pblica
Nome da autoridade certificadora (CA)
Nmero de srie do Certificado Digital
Assinatura Digital da Autoridade Certificadora
48
Certificao Digital
Certificao Digital
Para que serve um Certificado Digital?
Correio Eletrnico seguro
Transaes Bancrias sem repdio
Compras pela Internet sem repdio
Consultas confidenciais a cadastros
Arquivo de documentos legais digitalizados
Transmisso de documentos
Contratos digitais
Certificao de Equipamentos
Certificao de Programas de Computador
Certificao de vdeo, som e comandos digitais
49
Certificao Digital
Obteno de um Certificado
Cliente gera um par de chaves pblica e privada (por exemplo,
usando RSA)
Envia-se um pedido de certificado para a Autoridade de Registro
AR (Autoridade Regional de Registro) faz a prova de existncia do
requisitante e retransmite o pedido para a AC
AC assina e envia o certificado
Usurio instala seu certificado
Usurio divulga o certificado
Certificao Digital
Poltica de Certificao:
A Autoridade de Registro (AR), tendo a delegao de uma AC
para tal, faz uma investigao no solicitante e determina:
Se o pedido deve ser atendido
Quais as caractersticas que deve ter
50
Certificao Digital
Tipos de certificados
Certificados de AC: utilizados para validar outros certificados; auto-
assinados ou assinados por outra AC
Certificados de servidor: utilizados para identificar um servidor
seguro; contm o nome da organizao e o nome DNS do servidor
Certificados pessoais: contm nome do portador e,
eventualmente, informaes como endereo eletrnico, endereo
postal, etc
Certificados de desenvolvedores de software: utilizados para
validar assinaturas associadas a programas
Certificao Digital
Determina:
Onde os certificados digitais sero armazenados e recuperados
De que forma esto armazenados
Como um certificado revogado, etc.
51
Certificao Digital
Certificao Digital
Funo da PKI
Fornecer um modo para estruturar os componentes (usurios, CAs,
certificados, etc.).
Definir padres para os vrios documentos e protocolos.
Garantir a autenticao, confidencialidade, integridade e a no recusa
das informaes.
A prpria empresa pode criar sua PKI e fazer, por exemplo, com que um
departamento das filiais atue como AC ou AR, solicitando ou emitindo
certificados para seus funcionrios
52
Certificao Digital
ICP a sigla no Brasil para PKI
ICP-Brasil se caracteriza pela presena de um sistema
hierrquico ou vertical, onde h a presena de uma AC-raiz
(papel realizado pelo Instituto Nacional de Tecnologia da
Informao), que credencia e audita as ACs pertecentes ao
sistema
53
Certificao Digital
Certificao Digital
1. Solicita o certificado digital 2. Verifica identidade do usurio
Autoridade Registro
54