O documento discute autenticação e controle de acesso em redes e serviços de comunicações móveis. Aborda fatores de autenticação, mecanismos de acesso baseados em conhecimento, propriedade e características biométricas. Também discute protocolos de autenticação como RADIUS, Kerberos e AAA, assim como firewalls e sistemas de detecção e prevenção de intrusão.
4. Autenticação
Do grego Αυθεντικός
Αυθεν + τικός
Autor + real
É o acto de confirmar que alguém (ou algo) é
realmente essa pessoa e não outra a fazer-se
passar por ela.
Luis Batista Redes e Serviços de ComunicaçõesMóveis
5. Autenticação
Em segurança da informação
Autenticação é o processo que visa verificar
a identidade de um utilizador de um sistema
digital no momento em que este requisita o
acesso.
Luis Batista Redes e Serviços de ComunicaçõesMóveis
6. Factores de autenticação
Os factores de autenticação para humanos são normalmente
classificados em três casos.
SYH
SYK
SYA
Luis Batista Redes e Serviços de ComunicaçõesMóveis
7. Algo que se sabe
Luis Batista Redes e Serviços de ComunicaçõesMóveis
As mais utilizadas
Pode ser observada ou “escutada” de várias formas
8. Algo que se tem
Luis Batista Redes e Serviços de ComunicaçõesMóveis
É a menos segura
Sujeita a roubos ou duplicações
9. Algo que se é
Luis Batista Redes e Serviços de ComunicaçõesMóveis
A menos utilizada
Muita tolerância - autenticação de impostor
Pouca tolerância - rejeição de utilizador válido
10. One time password
É uma senha de acesso temporária de uma única utilização
O próprio utilizador não conhece a senha
É aleatória e gerada no momento
Possui uma função hash (por norma o MD4)
Luis Batista Redes e Serviços de ComunicaçõesMóveis
11. Autenticação de 2 passos
Luis Batista Redes e Serviços de ComunicaçõesMóveis
12. Mecanismos de acesso
Baseados no conhecimento
identificação e senha
Baseados na propriedade
identificação, senha e token
Baseados na característica
digital
Luis Batista Redes e Serviços de ComunicaçõesMóveis
13. Mecanismos baseados no conhecimento
Implementação de mecanismos
– Os caracteres indevidos são removidos, para evitar ataques
como os de injecção de SQL
– Verifica se a variável id está preenchida
– Valida os formulários, de acordo com as regras definidas
– Não permite que as variáveis de identificação e senha
estejam em branco
Luis Batista Redes e Serviços de ComunicaçõesMóveis
14. Mecanismos baseados no conhecimento
– A senha é criptografada
– Verifica se o utilizador existe na BD e se a senha introduzida
corresponde ao utilizador. Se a senha estiver correcta, a
aplicação lista os privilégios deste e salva as informações
em variáveis de sessão
– Permite o acesso e faz o reencaminhamento para o sistema
Luis Batista Redes e Serviços de ComunicaçõesMóveis
15. Mecanismos baseados na propriedade
– Utiliza um token, para além do id e senha
– Durante o autenticação do utilizador, são registados na BD
os tokens de acessso
– Estes tokens são gerados aleatóriamente
– No painel de acesso são solicitados o id, senha e o token
– Se a verificação for correta, o acesso é dado ao utilizador
Luis Batista Redes e Serviços de ComunicaçõesMóveis
16. Mecanismos baseados na característica
Implementação de mecanismos
– Cada utilizador tem uma ou mais “imagens” registadas na BD
– Requer uso de hardware específico para a leitura da imagem
– Requer o uso de software para fazer a comparação com a
imagem registada na BD
– Caso haja confirmação digital, o acesso ao sistema é dado
Luis Batista Redes e Serviços de ComunicaçõesMóveis
17. Protecção
A protecção da autenticação depende da comunicação segura
do armazenamento de dados
– Todas as comunicação devem estar encriptadas através da
utilização do protocolo SSL
– O protocolo de segurança deve ser o mesmo em todas as
partes autenticadas
– Os dados armazenados estão encriptados e/ou em hash
Luis Batista Redes e Serviços de ComunicaçõesMóveis
18. Protocolos
Utilizam mecanismos de password para autenticar utilizadores
– Point-to-Point Protocol (PPP)
– RADIUS
– Kerberos
– TACACS+
– Diameter
Luis Batista Redes e Serviços de ComunicaçõesMóveis
19. Autenticação - Protocolos
Point-to-Point Protocol - mecanismos
PAP (Password Authentication Protocol)
Não encripta passwords
Mais simples na implementação
CHAP (Challenge Handshake Authentication Protocol)
EAP (Extensible Authentication Protocol).
PAP e CHAP são os mais implementados
EAP é o mais robusto (PEAP – Protected EAP : Microsoft, Cisco e RSA
Security)
Redes e Serviços de Comunicações MóveisLuis Batista
21. EAP - Versões
Sistema de autenticação universal usado nas redes wireless e
redes ponto-a-ponto
Luis Batista Redes e Serviços de ComunicaçõesMóveis
– LEAP - Lightweight Extensible Authentication Protocol (Cisco)
– EAP-TLS (o mais usado)
– EAP-MD5
– PEAP
22. AAA
Autenticação, Autorização e Auditoria - Permite
a um utilizador ou PC aceder à rede e usar os
seus recursos
– Autenticação – o utilizador com quem
comunico é autentico
– Autorização – o que o que utilizador pode
fazer
– Auditoria – o que o utilizador faz
Luis Batista Redes e Serviços de ComunicaçõesMóveis
23. AAA
É usado em cenários onde um servidor de
acesso à rede (NAS) ou um servidor de acesso
remoto (RAS) age como um switch, garantindo
desta forma o acesso à rede ao utilizador.
Luis Batista Redes e Serviços de ComunicaçõesMóveis
24. AAA - Protocolos
*RADIUS (Remote Authentication Dial In User Service)
*TACACS+
Diameter
*RADIUS e TACACS+ não definem a quem é dado o acesso nem o
que o utilizador pode ou não fazer. Apenas servem para transporte
da informação entre o cliente e o servidor de autenticação. As
polítcas de acesso podem ser configuradas pelo SGBD.
Luis Batista Redes e Serviços de ComunicaçõesMóveis
25. RADIUS
O servidor frontend envia a informação do utilizador
através de credenciais para o servidor RADIUS (backend)
com pacotes RADIUS. Acessos e privilégios são
implementddos pelo servidor RADIUS ou pelas políticas de
base de dados.
Luis Batista Redes e Serviços de ComunicaçõesMóveis
26. RADIUS
1º servidor – proxy
2º servidor – autenticação
3º servidor (opcional) – concurrência
Luis Batista Redes e Serviços de ComunicaçõesMóveis
27. RADIUS
A transacção começa normalmente com um pedido de acesso
carregando as credenciais do utilizador, seguindo de uma resposta
do servidor com a permissão ou negação de acesso.
Luis Batista Redes e Serviços de ComunicaçõesMóveis
28. RADIUS
Durante a sessão são trancsacionado pedidos de auditoria que
monitorizam o tempo de sessão, fim da sessão, etc.
Luis Batista Redes e Serviços de ComunicaçõesMóveis
30. Kerberos
Luis Batista Redes e Serviços de ComunicaçõesMóveis
Servidor de autenticação (Authentication Server ou Trusted
Third Party)
Verifica a identidade de utilizadores e serviços
– utilizando chaves secretas e o algoritmo de encriptação DES
Desenvolvido MIT para uso interno
Considera a existência de dois servidores de autenticação
Autenticação inicial dos agentes e obtenção das credenciais (tickets)
Separa a autenticação dos clientes da obtenção de credenciais
34. Controlo de Acessos
Pode-se comparar o controlo de acessos de um sistema
de informação a uma empresa.
LAN – Empresa
Empresa:
Escritórios – ambiente de trabalho
Salas de arquivo – servidores
Corredores – routers
Sala de espera - DMZ (zona desmilitarizada)
Luis Batista Redes e Serviços de ComunicaçõesMóveis
35. Firewalls
Barreiras interpostas entre a rede privada e a rede externa
Existem em equipamentos ou aplicações
Objectivo
evitar ataques (vírus, hackers)
monitorizar e filtrar todo o tráfego que fluí entre duas redes
bloquear completamente certos tipos de tráfego
localizados estrategicamente (onde?)
Redes e Serviços de Comunicações MóveisLuis Batista
36. Firewalls - implementação
Considerações a ter em conta na implementação da firewall
de onde será originada uma ameaça sistema e porque razões?
não pensar que firewall = segurança (porquê?)
Redes e Serviços de Comunicações MóveisLuis Batista
37. Firewalls - implementação
+ considerações - revisão de políticas
determinar o que se quer proteger e qual a sua importância
determinar como ocorrerão as comunicações na firewall
onde deve ser colocado
como configurá-lo
número de firewalls
o esquema da ligação
manutenção após a ligação
Redes e Serviços de Comunicações MóveisLuis Batista
38. Firewalls - auditoria
+ considerações - auditoria (análise de logs)
em caso de “perseguição” (keyloggers)
disponibilização de logs
equipe e protocolo – aptos a actuar
Redes e Serviços de Comunicações MóveisLuis Batista
39. Firewalls
+ considerações
aplicação de filtros
sujeito a vírus – integração com antivírus
outros motivos
e a performance?
suporte para autenticação
suporte para alterar passwords, mover bases de dados, executar scripts
para manipulação da base de dados, etc
acessos remotos (ligações para o interior)
será ou não preferível optar por uma VPN?
revisão da arquitectura
Redes e Serviços de Comunicações MóveisLuis Batista
40. Firewalls - arquitectura
Arquitectura baseada num router e firewall
Uma das mais comuns
Internet Firewall Intranet
Servidor
WWW
Servidor
FTP
Servidor
SMTP
DMZ
Router
Switch
Redes e Serviços de Comunicações MóveisLuis Batista
41. Firewalls - tipos
Packet filtering
método mais básico (integrados nos routers)
trabalha com os valores transportados em cada pacote
TCP/IP (end IP e porta origem/destino)
simples de criar
não é suficiente
Redes e Serviços de Comunicações Móveis
Application proxy
Stateful Inspection
Luis Batista
42. Firewalls – Packet Filtering
Sites totalmente bloqueados não podem ser acedidos pelos
utilizadores da rede segura
Complexidade de manutenção
introdução manual
processo que se torna dificil de gerir
Redes e Serviços de Comunicações MóveisLuis Batista
43. Firewalls – Aplication Proxy
Trabalha com os valores transportados em cada pacote TCP/IP
e porta origem/destino)
São intermediários
Requerem autenticação (recorre à criptografia e passwords)
Capazes de rejeitar pacotes com determinadas extenções (exe, zip)
Excelentes níveis de segurança e controlo de acesso
Podem providenciar um elevado nível de protecção contra ataques do
tipo Deniel of Service (DoS)
Redes e Serviços de Comunicações MóveisLuis Batista
44. Firewalls - Aplication Proxy
Desvantagens
Requerem grandes quantidades de recursos do computador
Ocorrência de eventuais paragens ou diminuições de velocidades na
rede
Mais complexos em termos de configuração e manutenção
Nem todas as aplicações têm proxies disponíveis
Redes e Serviços de Comunicações MóveisLuis Batista
45. Firewalls – soluções híbridas
São as melhores abordagens
Vantangens
Combinam vários métodos de protecção, por exemplo, a combinação entre packet
filter e stateful inspection
Fornece funções de segurança a um elevado número de destinatários
O stateful inspection juntamente com os proxies combinam o desempenho e as
vantagens das políticas de segurança do stateful inspection com o elevado nível de
resistência a DoS do proxy
Redes e Serviços de Comunicações MóveisLuis Batista
46. Firewalls – soluções híbridas
Desvantagens
Compra de software e/ou hardware adicional
Não há incorporações com outro dispositivo de rede existente
Redes e Serviços de Comunicações MóveisLuis Batista
47. Variam – boas para um site, más para outros
“KISS - Keep it simple, stupid” ”
Flexíbilidade e de fácil manutenção
Suporte às políticas de segurança definidas para a rede
Sem impor restrições
Firewalls – características desejáveis
Redes e Serviços de Comunicações MóveisLuis Batista
48. Controlo de acesso a serviços
Negação ou permissão
Filtro de tráfego
Negação ou permissão de acesso a serviços oferecidos por
servidores específicos
endereços IP, tipos de protocolos, portas e interfaces
Suporte à autenticação
Firewalls – características desejáveis
Redes e Serviços de Comunicações MóveisLuis Batista
49. Suporte de características de proxy para os principais
serviços
HTTP, SMTP, FTP
Permitir o acesso a servidores públicos
Não comprometendo a segurança das zonas não privadas da
rede
Redes e Serviços de Comunicações Móveis
Firewalls – características desejáveis
Luis Batista
50. Logs do tráfego
Acessos e tentativas de acesso
Disponibilização de ferramentas para uma fácil análise dos logs
Suporte técnico
Patchs e resolução de problemas e bugs
Interface de configuração e administração amigável e flexível
Redes e Serviços de Comunicações Móveis
Firewalls – características desejáveis
Luis Batista
51. IDS - Intrusion Detection Systems
Tem vindo a ganhar interesse devido ao grande
crescimento do número de intrusões
Necessidade de monitorização
tentativas de ataque
falhas da rede
calcular precisamente a extensão dos estragos
Existe a fechadura mas não existe câmara de segurança
Redes e Serviços de Comunicações MóveisLuis Batista
52. IDS - termos
Falsos positivos
situações “benignas” – tipicamente um erro
Falsos negativos
situações de falha – falha no sistema
Assinaturas
conjunto de condições que, quando reunidas,
indicam algum tipo de intrusão
Redes e Serviços de Comunicações MóveisLuis Batista
53. IDS - termos
Algorítmo
método usado pela assinatura
Intrusão
actividades concatenadas que colocam a segurança
dos recursos TI em perigo
Redes e Serviços de Comunicações MóveisLuis Batista
54. Ataque
uma tentativa falhada de entrada no sistema (não é executada
nenhuma transgressão)
Incidente
violação das regras do sistema de segurança - intrusão bem
sucedida
IDS - termos
Redes e Serviços de Comunicações MóveisLuis Batista
55. Modelação de intrusões
uma modelação temporal de actividades - a intrusão
1. o intruso inicia o seu ataque com uma acção introdutória
2. tenta outras auxiliares
3. até conseguir o acesso bem sucedido
Sensores
Network Intrusion Detection System (NIDS)
Host Sensors
IDS - termos
Redes e Serviços de Comunicações MóveisLuis Batista
56. Sistema de defesa
detecção de actividades “inimigas”
detectar/impedir as actividades comprometedoras
– tentativas de portscans
facilitar a visualização de actividade suspeita
emissão de alertas
bloqueio de ligações
distinção de ataques internos/externos
Redes e Serviços de Comunicações Móveis
IDS - caracterização
Luis Batista
57. Pattern Matching
procura por sequências fixas de bytes num único
pacote
apenas se houver associação do padrão a
um serviço concreto
uma porta específica
Exemplo: TCP com destino à porta 2222 e payload
contendo 123
Redes e Serviços de Comunicações Móveis
IDS - Metodologias
Luis Batista
58. Vantagens
método mais simples de IDS
permite correlações directas de um exploit com o padrão
altamente específico
gera alertas com o padrão especificado
aplicável em todos os protocolos
Redes e Serviços de Comunicações Móveis
IDS - Pattern Matching
Luis Batista
59. Desvantagens
probabilidade de ocorrência de taxas elevadas de falsos
positivos
as modificações ao ataque podem conduzir à falta de eventos
(falsos negativos)
necessidade de múltiplas assinaturas para tratar de uma única
ameaça
não aconselhado à natureza de tráfego de dados do HTTP
Redes e Serviços de Comunicações Móveis
IDS - Pattern Matching
Luis Batista
60. Análise heurística
Lógica algorítmica para tomar decisões de alarme
São frequentemente avaliações estatísticas do tipo de tráfego
apresentado
Redes e Serviços de Comunicações Móveis
IDS - Metodologias
Luis Batista
61. Vantagens
Alguns tipos de actividades suspeitas ou maliciosas não podem
ser detectadas por qualquer outro meio.
Redes e Serviços de Comunicações Móveis
IDS - Análise heurística
Desvantagens
Os algoritmos podem requerer afinações ou modificações (para
adequação de tráfego e limitação de falsos positivos).
Luis Batista
62. Análise à anomalia
Procura tráfego “anormal” (problema?)
Pacotes de comunicação que não coincidem com o estado da ligação
Pacotes de comunicação que se encontram severamente fora da sequência
Subcategoria – detecção de métodos de perfis
forma como os utilizadores ou sistemas interagem com a rede
Possível detectar ataques em curso
Fornecem pouca informação, são vagos e requerem demasiada investigação
IDS - Metodologias
Luis Batista Redes e Serviços de ComunicaçõesMóveis
63. Vantagens
Quando implementado correctamente, podem detectar ataques
desconhecidos/novos
Menores cargas - não é necessário desenvolver novas
assinaturas
IDS – Análise à anomalia
Luis Batista Redes e Serviços de ComunicaçõesMóveis
64. Desvantagens
Não fornecem dados concretos da intrusão - acontece um
“desastre” mas o sistema não consegue determiná-lo
Altamente dependente do ambiente que os sistemas definem
como normal
IDS – Análise à anomalia
Luis Batista Redes e Serviços de ComunicaçõesMóveis
65. Os IDS
Utilizam apenas uma das metodologias como core
e fracções das outras metodologias (antes ou depois de analisar
os dados)
– Devido à degradação da performance
A detecção prematura de um intruso - evitar danos
Quanto mais cedo, melhor!
Eficiência - desencorajar ataques
IDS
Luis Batista Redes e Serviços de ComunicaçõesMóveis
66. Os IDS são
Um elemento de core
Um sensor (pelo menos)
responsável pelas decisões a tomar
recebem os dados de três fontes principais
base de dados do próprio IDS
syslog (configuração, permissões, utilizadores, etc)
Auditorias
estrutura da base para o processo de futuras tomadas de decisão
Redes e Serviços de Comunicações Móveis
IDS
Luis Batista
67. protecção do ataque
prevenção de intrusões
boa combinação de “iscas e
armadilhas” – para a investigação e
ameaças (Honey pots)
desvio da atenção do intruso
dos recursos protegidos
repulsão (muitas vezes
conseguida)
exame dos dados IDS
Prevenção
Monitorização
Detecção
Reacção
Simulação
Análise
Notificação
Redes e Serviços de Comunicações Móveis
IDS - Tarefas
Luis Batista
69. É uma evolução/extensão do IDS
Actua após o alerta dado pelo IDS
E previne a realização do ataque no sistema
Ao receber o alerta executa a acção de prevenção
Como bloquear o IP da origem do ataque
IPS – Instrusion Prevention System
Luis Batista Redes e Serviços de ComunicaçõesMóveis
70. Os métodos de autenticação e controlo de acessos não são mais
que sistemas de segurança para proteger sistemas de informação
Não há sistemas 100% seguros - apenas a ideia de sistemas
seguros (uma ilusão!!)
A implementação de um sistema de seguro não é dificil ou
complexa se a solução estiver bem desenhada (o mito de que os
sistemas de segurança são complicados...)
Conclusão
Luis Batista Redes e Serviços de ComunicaçõesMóveis
71. Apesar de recorrerem a algorítmos sofisticados e a métodos de
proteção efecientes, os sistemas de segurança dependem sempre de
intervenção humana (criatividade no desenho da arquitetura e
manutenção do sistema)
Não são resistentes à mudança - pois não há sistemas estanques - a
criatividade humana e o progresso tecnológico ditam as novas
necidades a implementar nos sistemas de autenticação e controlo de
acesso!
Conclusão
Luis Batista Redes e Serviços de ComunicaçõesMóveis
75. Para quê optar por uma abordagem híbrida
na implementação de uma firewall?
Luis Batista Redes e Serviços de ComunicaçõesMóveis
76. Para obter uma maior a segurança, combinando
o melhor de cada tipo de firewall
isto é, tirar partido das vantagens do
packet filtering e appilcation proxy, por exemplo
Fornecer funções de segurança a um elevado número de destinatários
Luis Batista Redes e Serviços de ComunicaçõesMóveis
77. Quais as metodologias usadas no IDS?
Luis Batista Redes e Serviços de ComunicaçõesMóveis