Autenticação e Controlo de Acessos em Redes

Luis Batista
Autenticação e Controlo de Acessos
Redes e Serviços de ComunicaçõesMóveis

Luis Batista
Autenticação

Agenda
Autenticação
Factores de autenticação
Mecanismos de acesso
Protocolos
Luis Batista Redes e Serviços de ComunicaçõesMóveis

Autenticação
Do grego Αυθεντικός
Αυθεν + τικός
Autor + real
É o acto de confirmar que alguém (ou algo) é
realmente essa pessoa e não outra a fazer-se
passar por ela.

Autenticação
Em segurança da informação
Autenticação é o processo que visa verificar
a identidade de um utilizador de um sistema
digital no momento em que este requisita o
acesso.

Factores de autenticação
Os factores de autenticação para humanos são normalmente
classificados em três casos.
SYH
SYK
SYA

Algo que se sabe
As mais utilizadas
Pode ser observada ou “escutada” de várias formas

Algo que se tem
É a menos segura
Sujeita a roubos ou duplicações

Algo que se é
A menos utilizada
Muita tolerância - autenticação de impostor
Pouca tolerância - rejeição de utilizador válido

One time password
É uma senha de acesso temporária de uma única utilização
O próprio utilizador não conhece a senha
É aleatória e gerada no momento
Possui uma função hash (por norma o MD4)

Autenticação de 2 passos

Mecanismos de acesso
Baseados no conhecimento
identificação e senha
Baseados na propriedade
identificação, senha e token
Baseados na característica
digital

Mecanismos baseados no conhecimento
Implementação de mecanismos
– Os caracteres indevidos são removidos, para evitar ataques
como os de injecção de SQL
– Verifica se a variável id está preenchida
– Valida os formulários, de acordo com as regras definidas
– Não permite que as variáveis de identificação e senha
estejam em branco

Mecanismos baseados no conhecimento
– A senha é criptografada
– Verifica se o utilizador existe na BD e se a senha introduzida
corresponde ao utilizador. Se a senha estiver correcta, a
aplicação lista os privilégios deste e salva as informações
em variáveis de sessão
– Permite o acesso e faz o reencaminhamento para o sistema

Mecanismos baseados na propriedade
– Utiliza um token, para além do id e senha
– Durante o autenticação do utilizador, são registados na BD
os tokens de acessso
– Estes tokens são gerados aleatóriamente
– No painel de acesso são solicitados o id, senha e o token
– Se a verificação for correta, o acesso é dado ao utilizador

Mecanismos baseados na característica
Implementação de mecanismos
– Cada utilizador tem uma ou mais “imagens” registadas na BD
– Requer uso de hardware específico para a leitura da imagem
– Requer o uso de software para fazer a comparação com a
imagem registada na BD
– Caso haja confirmação digital, o acesso ao sistema é dado

Protecção
A protecção da autenticação depende da comunicação segura
do armazenamento de dados
– Todas as comunicação devem estar encriptadas através da
utilização do protocolo SSL
– O protocolo de segurança deve ser o mesmo em todas as
partes autenticadas
– Os dados armazenados estão encriptados e/ou em hash

Protocolos
Utilizam mecanismos de password para autenticar utilizadores
– Point-to-Point Protocol (PPP)
– RADIUS
– Kerberos
– TACACS+
– Diameter

Autenticação - Protocolos
Point-to-Point Protocol - mecanismos
PAP (Password Authentication Protocol)
Não encripta passwords
Mais simples na implementação
CHAP (Challenge Handshake Authentication Protocol)
EAP (Extensible Authentication Protocol).
PAP e CHAP são os mais implementados
EAP é o mais robusto (PEAP – Protected EAP : Microsoft, Cisco e RSA
Security)
Redes e Serviços de Comunicações MóveisLuis Batista

CHAP
Challenge Handshake Authentication Protocol (CHAP)

EAP - Versões
Sistema de autenticação universal usado nas redes wireless e
redes ponto-a-ponto
– LEAP - Lightweight Extensible Authentication Protocol (Cisco)
– EAP-TLS (o mais usado)
– EAP-MD5
– PEAP

AAA
Autenticação, Autorização e Auditoria - Permite
a um utilizador ou PC aceder à rede e usar os
seus recursos
– Autenticação – o utilizador com quem
comunico é autentico
– Autorização – o que o que utilizador pode
fazer
– Auditoria – o que o utilizador faz

AAA
É usado em cenários onde um servidor de
acesso à rede (NAS) ou um servidor de acesso
remoto (RAS) age como um switch, garantindo
desta forma o acesso à rede ao utilizador.

AAA - Protocolos
*RADIUS (Remote Authentication Dial In User Service)
*TACACS+
Diameter
*RADIUS e TACACS+ não definem a quem é dado o acesso nem o
que o utilizador pode ou não fazer. Apenas servem para transporte
da informação entre o cliente e o servidor de autenticação. As
polítcas de acesso podem ser configuradas pelo SGBD.

RADIUS
O servidor frontend envia a informação do utilizador
através de credenciais para o servidor RADIUS (backend)
com pacotes RADIUS. Acessos e privilégios são
implementddos pelo servidor RADIUS ou pelas políticas de
base de dados.

RADIUS
1º servidor – proxy
2º servidor – autenticação
3º servidor (opcional) – concurrência

RADIUS
A transacção começa normalmente com um pedido de acesso
carregando as credenciais do utilizador, seguindo de uma resposta
do servidor com a permissão ou negação de acesso.

RADIUS
Durante a sessão são trancsacionado pedidos de auditoria que
monitorizam o tempo de sessão, fim da sessão, etc.

RADIUS
Uso comercial

Kerberos
Servidor de autenticação (Authentication Server ou Trusted
Third Party)
Verifica a identidade de utilizadores e serviços
– utilizando chaves secretas e o algoritmo de encriptação DES
Desenvolvido MIT para uso interno
Considera a existência de dois servidores de autenticação
Autenticação inicial dos agentes e obtenção das credenciais (tickets)
Separa a autenticação dos clientes da obtenção de credenciais

Kerberos

Luis Batista
Controlo de Acessos

Agenda
Controlo de acessos
Firewalls
IDS - Intrusion Detection System
IPS - Intrusion Prevention System

Controlo de Acessos
Pode-se comparar o controlo de acessos de um sistema
de informação a uma empresa.
LAN – Empresa
Empresa:
Escritórios – ambiente de trabalho
Salas de arquivo – servidores
Corredores – routers
Sala de espera - DMZ (zona desmilitarizada)

Firewalls
Barreiras interpostas entre a rede privada e a rede externa
Existem em equipamentos ou aplicações
Objectivo
evitar ataques (vírus, hackers)
monitorizar e filtrar todo o tráfego que fluí entre duas redes
bloquear completamente certos tipos de tráfego
localizados estrategicamente (onde?)

Firewalls - implementação
Considerações a ter em conta na implementação da firewall
de onde será originada uma ameaça sistema e porque razões?
não pensar que firewall = segurança (porquê?)

Firewalls - implementação
+ considerações - revisão de políticas
determinar o que se quer proteger e qual a sua importância
determinar como ocorrerão as comunicações na firewall
onde deve ser colocado
como configurá-lo
número de firewalls
o esquema da ligação
manutenção após a ligação

Firewalls - auditoria
+ considerações - auditoria (análise de logs)
em caso de “perseguição” (keyloggers)
disponibilização de logs
equipe e protocolo – aptos a actuar

Firewalls
+ considerações
aplicação de filtros
sujeito a vírus – integração com antivírus
outros motivos
e a performance?
suporte para autenticação
suporte para alterar passwords, mover bases de dados, executar scripts
para manipulação da base de dados, etc
acessos remotos (ligações para o interior)
será ou não preferível optar por uma VPN?
revisão da arquitectura

Firewalls - arquitectura
Arquitectura baseada num router e firewall
Uma das mais comuns
Internet Firewall Intranet
Servidor
WWW
Servidor
FTP
Servidor
SMTP
DMZ
Router
Switch

Firewalls - tipos
Packet filtering
método mais básico (integrados nos routers)
trabalha com os valores transportados em cada pacote
TCP/IP (end IP e porta origem/destino)
simples de criar
não é suficiente
Redes e Serviços de Comunicações Móveis
Application proxy
Stateful Inspection
Luis Batista

Firewalls – Packet Filtering
Sites totalmente bloqueados não podem ser acedidos pelos
utilizadores da rede segura
Complexidade de manutenção
introdução manual
processo que se torna dificil de gerir

Firewalls – Aplication Proxy
Trabalha com os valores transportados em cada pacote TCP/IP
e porta origem/destino)
São intermediários
Requerem autenticação (recorre à criptografia e passwords)
Capazes de rejeitar pacotes com determinadas extenções (exe, zip)
Excelentes níveis de segurança e controlo de acesso
Podem providenciar um elevado nível de protecção contra ataques do
tipo Deniel of Service (DoS)

Firewalls - Aplication Proxy
Desvantagens
Requerem grandes quantidades de recursos do computador
Ocorrência de eventuais paragens ou diminuições de velocidades na
rede
Mais complexos em termos de configuração e manutenção
Nem todas as aplicações têm proxies disponíveis

Firewalls – soluções híbridas
São as melhores abordagens
Vantangens
Combinam vários métodos de protecção, por exemplo, a combinação entre packet
filter e stateful inspection
Fornece funções de segurança a um elevado número de destinatários
O stateful inspection juntamente com os proxies combinam o desempenho e as
vantagens das políticas de segurança do stateful inspection com o elevado nível de
resistência a DoS do proxy

Firewalls – soluções híbridas
Desvantagens
Compra de software e/ou hardware adicional
Não há incorporações com outro dispositivo de rede existente

Variam – boas para um site, más para outros
“KISS - Keep it simple, stupid” ”
Flexíbilidade e de fácil manutenção
Suporte às políticas de segurança definidas para a rede
Sem impor restrições
Firewalls – características desejáveis

Controlo de acesso a serviços
Negação ou permissão
Filtro de tráfego
Negação ou permissão de acesso a serviços oferecidos por
servidores específicos
endereços IP, tipos de protocolos, portas e interfaces
Suporte à autenticação

Suporte de características de proxy para os principais
serviços
HTTP, SMTP, FTP
Permitir o acesso a servidores públicos
Não comprometendo a segurança das zonas não privadas da
rede
Luis Batista

Logs do tráfego
Acessos e tentativas de acesso
Disponibilização de ferramentas para uma fácil análise dos logs
Suporte técnico
Patchs e resolução de problemas e bugs
Interface de configuração e administração amigável e flexível
Luis Batista

IDS - Intrusion Detection Systems
Tem vindo a ganhar interesse devido ao grande
crescimento do número de intrusões
Necessidade de monitorização
tentativas de ataque
falhas da rede
calcular precisamente a extensão dos estragos
Existe a fechadura mas não existe câmara de segurança

IDS - termos
Falsos positivos
situações “benignas” – tipicamente um erro
Falsos negativos
situações de falha – falha no sistema
Assinaturas
conjunto de condições que, quando reunidas,
indicam algum tipo de intrusão

IDS - termos
Algorítmo
método usado pela assinatura
Intrusão
actividades concatenadas que colocam a segurança
dos recursos TI em perigo

Ataque
uma tentativa falhada de entrada no sistema (não é executada
nenhuma transgressão)
Incidente
violação das regras do sistema de segurança - intrusão bem
sucedida
IDS - termos

Modelação de intrusões
uma modelação temporal de actividades - a intrusão
1. o intruso inicia o seu ataque com uma acção introdutória
2. tenta outras auxiliares
3. até conseguir o acesso bem sucedido
Sensores
Network Intrusion Detection System (NIDS)
Host Sensors
IDS - termos

Sistema de defesa
detecção de actividades “inimigas”
detectar/impedir as actividades comprometedoras
– tentativas de portscans
facilitar a visualização de actividade suspeita
emissão de alertas
bloqueio de ligações
distinção de ataques internos/externos
IDS - caracterização
Luis Batista

Pattern Matching
procura por sequências fixas de bytes num único
pacote
apenas se houver associação do padrão a
um serviço concreto
uma porta específica
Exemplo: TCP com destino à porta 2222 e payload
contendo 123
IDS - Metodologias
Luis Batista

Vantagens
método mais simples de IDS
permite correlações directas de um exploit com o padrão
altamente específico
gera alertas com o padrão especificado
aplicável em todos os protocolos
IDS - Pattern Matching
Luis Batista

Desvantagens
probabilidade de ocorrência de taxas elevadas de falsos
positivos
as modificações ao ataque podem conduzir à falta de eventos
(falsos negativos)
necessidade de múltiplas assinaturas para tratar de uma única
ameaça
não aconselhado à natureza de tráfego de dados do HTTP
IDS - Pattern Matching
Luis Batista

Análise heurística
Lógica algorítmica para tomar decisões de alarme
São frequentemente avaliações estatísticas do tipo de tráfego
apresentado
IDS - Metodologias
Luis Batista

Vantagens
Alguns tipos de actividades suspeitas ou maliciosas não podem
ser detectadas por qualquer outro meio.
IDS - Análise heurística
Desvantagens
Os algoritmos podem requerer afinações ou modificações (para
adequação de tráfego e limitação de falsos positivos).
Luis Batista

Análise à anomalia
Procura tráfego “anormal” (problema?)
Pacotes de comunicação que não coincidem com o estado da ligação
Pacotes de comunicação que se encontram severamente fora da sequência
Subcategoria – detecção de métodos de perfis
forma como os utilizadores ou sistemas interagem com a rede
Possível detectar ataques em curso
Fornecem pouca informação, são vagos e requerem demasiada investigação
IDS - Metodologias

Vantagens
Quando implementado correctamente, podem detectar ataques
desconhecidos/novos
Menores cargas - não é necessário desenvolver novas
assinaturas
IDS – Análise à anomalia

Desvantagens
Não fornecem dados concretos da intrusão - acontece um
“desastre” mas o sistema não consegue determiná-lo
Altamente dependente do ambiente que os sistemas definem
como normal
IDS – Análise à anomalia

Os IDS
Utilizam apenas uma das metodologias como core
e fracções das outras metodologias (antes ou depois de analisar
os dados)
– Devido à degradação da performance
A detecção prematura de um intruso - evitar danos
Quanto mais cedo, melhor!
Eficiência - desencorajar ataques
IDS

Os IDS são
Um elemento de core
Um sensor (pelo menos)
responsável pelas decisões a tomar
recebem os dados de três fontes principais
base de dados do próprio IDS
syslog (configuração, permissões, utilizadores, etc)
Auditorias
estrutura da base para o processo de futuras tomadas de decisão
IDS
Luis Batista

protecção do ataque
prevenção de intrusões
boa combinação de “iscas e
armadilhas” – para a investigação e
ameaças (Honey pots)
desvio da atenção do intruso
dos recursos protegidos
repulsão (muitas vezes
conseguida)
exame dos dados IDS
Prevenção
Monitorização
Detecção
Reacção
Simulação
Análise
Notificação
IDS - Tarefas
Luis Batista

IDS
Infraestrutura IDS
Adicional
Monitoriza Notifica
Sistema a proteger
Reage
Intrusion Detection Systems - IDS

É uma evolução/extensão do IDS
Actua após o alerta dado pelo IDS
E previne a realização do ataque no sistema
Ao receber o alerta executa a acção de prevenção
Como bloquear o IP da origem do ataque
IPS – Instrusion Prevention System

Os métodos de autenticação e controlo de acessos não são mais
que sistemas de segurança para proteger sistemas de informação
Não há sistemas 100% seguros - apenas a ideia de sistemas
seguros (uma ilusão!!)
A implementação de um sistema de seguro não é dificil ou
complexa se a solução estiver bem desenhada (o mito de que os
sistemas de segurança são complicados...)
Conclusão

Apesar de recorrerem a algorítmos sofisticados e a métodos de
proteção efecientes, os sistemas de segurança dependem sempre de
intervenção humana (criatividade no desenho da arquitetura e
manutenção do sistema)
Não são resistentes à mudança - pois não há sistemas estanques - a
criatividade humana e o progresso tecnológico ditam as novas
necidades a implementar nos sistemas de autenticação e controlo de
acesso!
Conclusão

Algumas questões

Quais os 3 factores de autenticação mais usados?

SYK
SYH
SYA

Para quê optar por uma abordagem híbrida
na implementação de uma firewall?

Para obter uma maior a segurança, combinando
o melhor de cada tipo de firewall
isto é, tirar partido das vantagens do
packet filtering e appilcation proxy, por exemplo
Fornecer funções de segurança a um elevado número de destinatários

Quais as metodologias usadas no IDS?

Pattern Matching
Análise heurística
Análise à anomalia
...

Autenticação e Controlo de Acessos em Redes

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Similar a Autenticação e Controlo de Acessos em Redes

Similar a Autenticação e Controlo de Acessos em Redes (20)

Autenticação e Controlo de Acessos em Redes