SlideShare una empresa de Scribd logo

Controle de Acesso

Cassio Ramos
Cassio Ramos

Este documento apresenta uma introdução ao curso de Controle de Acesso e discute: 1) os conceitos básicos de segurança como disponibilidade, integridade e confidencialidade; 2) os requisitos do controle de acesso como identificação, autenticação, autorização e registro; e 3) os tipos de controle de acesso como host, sistemas e rede.

Tecnología
1 de 83
Descargar para leer sin conexión
BEM-VINDO À DISCIPLINA DE: Controle de Acesso Prof: Cássio Alexandre Ramos cassioaramos (at) gmail (dot) com http://cassioaramos.blogspot.com http://www.facebook.com/cassioaramos Pós-­‐Graduação    -­‐    lato  Sensu  
Sistemas de Controle de Acesso •  Agenda   –  Introdução   –  Iden6ficação,  auten6cação,  autorização  e  registro   –  Métodos  de  Auten6cação  e  Caracterís6cas   –  Gerência  de  Iden6dades   –  Modelos   –  Outras  tecnologias  de  CA   –  Controle  de  Acesso  Centralizado   Pós-­‐Graduação    -­‐    lato  Sensu  
Introdução   •  Tecnologias   de   CA   são   importantes   componentes   da   arquitetura  de  segurança  dos  sistemas   •  São  responsáveis  por:   –  Quais  recursos  podem  ser  acessados     •  hardware  -­‐  impressoras,  discos,  etc.   •  soMware  -­‐  que  sistemas  podem  ser  u6lizados?  Ex.  CATG   –  Quais  operações  podem  ser  realizadas   •  Ex.  Acesso  a  home  banking   –  Quais  são  os  componentes  autorizados  a  desempenhar  tais  operações   •  Administrador  –  config,  instala  programas,  gerencia  memória,  proc  e  etc.   •  usuário  do  sistema   Pós-­‐Graduação    -­‐    lato  Sensu  
Requisitos  Básicos  da  Segurança   •  Disponibilidade   -­‐   Certeza   que   os   dados   estão   acessíveis   quando  e  onde  forem  necessários   •  Integridade  -­‐  Certeza  que  os  dados  não  foram  alterados  -­‐   por  acidente  ou  intencionalmente   •  Confidencialidade   -­‐   Certeza   que   somente   as   pessoas   autorizadas  a  acessar  os  dados  podem  acessá-­‐los   Pós-­‐Graduação    -­‐    lato  Sensu  
Requisitos  Básicos  da  Segurança   •  Elementos  U+lizados  para  Garan+r  a  Confidencialidade   –   Criptografia  dos  dados   –   Controle  de  acesso   •  Elementos  para  garan+r  a  Integridade  (md5sum)   –   Assinatura  digital   –   MD5-­‐  hash   •  Elementos  para  garan+r  a  Disponibilidade   –   Backup     –   Tolerância  a  falhas   –   Redundância   Pós-­‐Graduação    -­‐    lato  Sensu  
Tipos   •  Podemos   classificar   as   tecnologias   em   três   6pos   básicos   –  Host   –  Sistemas   –  Rede   Pós-­‐Graduação    -­‐    lato  Sensu  
Host   •  Tecnologias   que   controlam   o   acesso   a  recursos  do  S.O   –  Implementada  normalmente  nos   sistemas  operacionais   –  Ex.  login     •  Recursos  mais  comuns  a  serem   protegidos   –  Arquivos     –  Objetos     •  Serve  para  controlar  recursos  via   rede     Pós-­‐Graduação    -­‐    lato  Sensu  
Sistemas   •  Sistemas  funcionam  dentro  de  hosts  ou  distribuidos   •  Normalmente  formado  por  dois  componentes   –  Interface   –  Banco  de  Dados   •  Nesta  categoria  temos  sistemas  de  ERP,  CRM,  etc.   •  Sistemas  possuem  mecanismos  próprios  de  controle  de  acesso   –  Proteger  acesso  à  BD   –  Ex.  acesso  web  a  banco.   Pós-­‐Graduação    -­‐    lato  Sensu  
     Rede   –  Normalmente  implementadas  através  de   •  Firewalls:  statefull,  filtro  de  pacotes  e  proxy   •  Roteadores:  interligam  redes     •  Switches:  interligam  computadores   –  Demo  FIREWALL   •  Bloqueio  de  icmp  e  hcp   Pós-­‐Graduação    -­‐    lato  Sensu  
Arquitetura   INTRANET Parceiro1 Parceiro2 Parceiro3 LAN1 LAN2 VPN LAN3 Firewall/ Firewall Internet Router B Proxy LAN4 DMZ FILIAL Hardened Server WEB LAN5 Server DNS Server Proxy R. Mail Server Pós-­‐Graduação    -­‐    lato  Sensu  
Conceitos  básicos   • Sujeito  X  Objeto   • Reference  Monitor   • Security  Kernel   Pós-­‐Graduação    -­‐    lato  Sensu  
Sujeito   X Objeto   •  En6dade  que  solicita   •  Peça  de  informação   o  acesso  a  uma  peça   acessada  pelo  sujeito   de  informação   –  Exemplos:  arquivos,   registros  de  banco  de   –  Exemplos:  usuários,   dados  etc.   processos,  hosts,  etc.   Pós-­‐Graduação    -­‐    lato  Sensu  
Reference  Monitor   •  Conceito  acadêmico   –  Introduzido  na  década  de  70   •  Caracterís6cas   –  Ser  sempre  chamado  para  mediar  um  acesso   –  Permi6r  que  sua  funcionalidade  possa  ser  testada   –  Ser  inviolável,  possuindo  controles  que  garantam  a   integridade  do  seu  funcionamento   Pós-­‐Graduação    -­‐    lato  Sensu  
Reference  Monitor   Pós-­‐Graduação    -­‐    lato  Sensu  
Security  Kernel   •  Conjunto   de   hardware,   soBware   e   firmware   que   implementa  o  conceito  do  Reference  Monitor   •  Firmware  –  soBware  que  vem  embu+do  dentro  de   um  hardware   Pós-­‐Graduação    -­‐    lato  Sensu  
Iden6ficação,  Auten6cação,  Autorização  e   Registro   •  4  etapas  que  devem  ser  realizadas  para  um  sujeito  acessar  um   objeto   Pós-­‐Graduação    -­‐    lato  Sensu  
Iden6ficação  e  Auten6cação   •  Responsáveis  por  confirmar  quem  são  os  sujeitos   que  acessam  os  objetos   –  Mecanismos   que   permitem   ao   usuário   mostrar   ao   sistema  quem  ele  é   •  Primeira  etapa  do  controle  de  acesso   Pós-­‐Graduação    -­‐    lato  Sensu  
Iden6ficação   •  Iden6ficar  um  sujeito  junto  ao   sistema   •  Responsabilização  individual  por   ações  no  sistema   •  Exemplos   –  Username   –  UserID   –  PIN     Pós-­‐Graduação    -­‐    lato  Sensu  
Iden6ficação   •  Principais  recomendações  de  segurança  no  processo  de  iden6ficação   –  Iden6ficação  deve  ser  única  (auditável  e  não  compar6lhada),  não   descri6va  e  expedida  por  autoridade   •  U6lizar  nomenclatura  padrão  para  nomes  de  usuários   •  Não   permi6r   a   iden6ficação   da   função   ou   responsabilidade   que   a   conta  possuí  (admin,  backup  operator  etc.)   •  Evitar  nomes  que  possam  ser  facilmente  deduzidos  de  e-­‐mails     •  Procedimento   seguro   e   controlado   para   emissão   e   revogação   de   contas   Pós-­‐Graduação    -­‐    lato  Sensu  
Auten6cação   •  Confirmação  de  iden6dade   •  Principais  tecnologias   –  Conhecimento:  algo  que  o  usuário  sabe   –  Posse:  algo  que  o  usuário  tem   –  Caracterís6ca:  traço  msico/comportamental  do  usuário   •  Auten6cação  Forte   –  Contém  2  das  3  tecnologias  (mul6fator)   Pós-­‐Graduação    -­‐    lato  Sensu  
Auten6cação   •  Conhecimento   –  Algo  que  o  usuário  sabe   •  Senha/Frase   –  Principais  problemas  de  segurança   •  Senhas  fracas   •  Interceptação  da  senha   –  hcp,  Mp,  telnet  etc   –  Demo  captura  de  senha  FTP   Pós-­‐Graduação    -­‐    lato  Sensu  
Auten6cação   •  Conhecimento   –  Problemas  no  uso   •  Segredo  tem  que  estar  armazenado  no  sistema   •  Local  de  armazenamento  é  o  alvo:     –   /etc/passwd  (DEMO  John)   –  c:windowssystem32config   •  Para  proteção  –  criptografia   –  Uso  de  hash  na  codificação  de  senhas  –  método  rápido,  porém   não  muito  seguro   •  Senhas  fornecidas  por  teclado  e  mouse   –  Facilmente  interceptados  por  soMwares  maliciosos   Pós-­‐Graduação    -­‐    lato  Sensu  
Auten6cação   •  Conhecimento   –  Principais  recomendações   •  Proteger  os  canais  de  transmissão  -­‐  sniffer   •  Usar  métodos  alterna6vos  quando  isso  não  for  possível   •  Proteção  msica  dos  servidores  de  auten6cação   –  Demo  Pmagic   Pós-­‐Graduação    -­‐    lato  Sensu  
Auten6cação   •  Posse   –  Algo  que  o  usuário  possui   –  Principais  tecnologias   •  Tokens   •  Smartcards   •  Cartões  com  listas  de  senhas   •  Cer6ficados  digitais   Pós-­‐Graduação    -­‐    lato  Sensu  
Auten6cação   •  Caracterís6cas   –  Caracterís6cas  msicas  ou  comportamentais   –  Biometria   Pós-­‐Graduação    -­‐    lato  Sensu  
Métodos  de  Auten6cação  e  Caracterís6cas   •  Senhas/Frases  Senha   –  Senhas  está6cas   –  Senhas  cogni6vas     •  OTP  ou  senhas  dinâmicas   •  Chaves  Criptograficas   •  Memory  Cards   •  Smart  Cards   •  Biometria   Pós-­‐Graduação    -­‐    lato  Sensu  
Métodos  de  Auten6cação  e  Caracterís6cas   (Senhas  Está6cas)   •  String  de  caracteres  u6lizada  para  auten6car  um   usuário   •  É  o  que  o  pessoa  sabe   •  Método  de  auten6cação  mais  u6lizado   •  SO  e  aplicações  podem  impor  requisitos  de   segurança   –  Demo  restrições  de  segurança  Windows  Server     Pós-­‐Graduação    -­‐    lato  Sensu  
Métodos  de  Auten6cação  e  Caracterís6cas   (Senhas  Está6cas)   •  Gerenciamento  de  Senhas   –  Senha  deve  ser  gerada,  atualizada  e  man6da  em   segredo  –  (treinamento)   –  Problemas  Comuns   •  Escolha  de  senhas  fracas  –  faceis  de  lembrar   •  Guardadas  de  forma  inapropriada   –  SO  podem  forçar  poli6ca  de  senhas  (Demo)   •  Numero  de  caracteres   •  Uso  de  caracteres  especiais     Pós-­‐Graduação    -­‐    lato  Sensu  
Métodos  de  Auten6cação  e  Caracterís6cas   (Senhas  Está6cas)   •  Gerenciamento  de  Senhas   –  SO  podem  forçar  poli6ca  de  senhas   •  Indicação  de  ul6mo  logon  (Demo)   •  Bloqueio  após  n  tenta6vas  de  logon  incorretas   •  Auditoria  de  acessos  negados   •  Tempo  de  vida  da  senha     Pós-­‐Graduação    -­‐    lato  Sensu  
Métodos  de  Auten6cação  e  Caracterís6cas   (Senhas  Está6cas)   •  Técnicas  de  Captura  de  Senhas   –  Monitoramento  eletrônico   –  Acesso  ao  arquivo  de  senhas   –  Ataques  de  força  bruta   –  Ataques  de  dicionário  (demo  Hydra)   –  Engenharia  social   –  Rainbow  tables     Pós-­‐Graduação    -­‐    lato  Sensu  
Métodos  de  Auten6cação  e  Caracterís6cas   (Senhas  Cogni6vas)   •  Baseada  na  experiencia  de  vida  do  usuário   •  Fácil  de  memorizar   •  Ex:  nome  do  cachorro,  CPF,  data  de  aniversário  etc   •  Muito  u6lizada  em  call  centers     Pós-­‐Graduação    -­‐    lato  Sensu  
Métodos  de  Auten6cação  e  Caracterís6cas   (Senhas  Dinâmicas)   •  One-­‐Time  Password   –  Senha  só  é  válida  1  vez   –  U6lizada  em  ambientes  de  nível  de  segurança  elevado   –  Pode  ser  u6lizado  como  2°  fator  de  auten6cação   –  Implementação   •  SoMware   •  Tokens     Pós-­‐Graduação    -­‐    lato  Sensu  
Métodos  de  Auten6cação  e  Caracterís6cas   (Senhas  Dinâmicas)   •  Tokens  OTP   –  Geradores   de   senha   independentes   (sem  PC)   –  Disposi6vos   de   hardware   usados   para  auten6cação   Pós-­‐Graduação    -­‐    lato  Sensu  
Métodos  de  Auten6cação  e  Caracterís6cas   (Senhas  Dinâmicas)   •  Tokens   –  Síncronos  –  sistema  que  auten6ca  e  sistema  que  solicita   auten6cação  possuem  6mer  ou  contador  para   sincronização   –  Assíncronos  –  não  demandam  sincronismo  entre  o   usuário  que  se  auten6ca  e  o  sistema     Pós-­‐Graduação    -­‐    lato  Sensu  
Métodos  de  Auten6cação  e  Caracterís6cas   (Senhas  Dinâmicas)   •  Tokens  Síncronos   –  Peça  de  hardware   –  Senha  trocada  (30  a  60s)   –  Token  sincronizado  com  servidor   –  Normalmente  combinado  com   senha  está6ca  (Personal   Iden6fica6on  Number)   –  Combina  algo  que  usuário  sabe  e   algo  que  ele  tem  -­‐  mul6fator   Pós-­‐Graduação    -­‐    lato  Sensu  
Métodos  de  Auten6cação  e  Caracterís6cas   (Senhas  Dinâmicas)   •  Tokens  Assíncronos   –  Funcionam  através  de  mecanismos  de  desafio/resposta   Pós-­‐Graduação    -­‐    lato  Sensu  
Métodos  de  Auten6cação  e  Caracterís6cas   (Tokens)   •  Vantagens   –  Fácil  de  usar   •  Desvantagens   –  Custo   Pós-­‐Graduação    -­‐    lato  Sensu  
Métodos  de  Auten6cação  e  Caracterís6cas   (Chaves  Criptográficas)   •  Assinatura  Digital   –  U6liza  chaves  privadas  para  comprovar  iden6dade  do  emissor   –  Tecnologia  que  usa  a  chave  privada  para  encriptar  um  hash  é  chamada   de  assinatura  digital   –  Cer6ficado  digital  -­‐  Conjunto  de  informações  assinadas  por  en6dade   confiável   Pós-­‐Graduação    -­‐    lato  Sensu  
Métodos  de  Auten6cação  e  Caracterís6cas   (Memory  Cards)   •  Não  tem  capacidade  de  processar  informação   •  Pode  armazenar  informações  de  auten6cação   –  Ex1:  Usuário  insere  cartão,  acesso  liberado  (1  fator)   –  Ex2:  Usuário  introduz  o  PIN  e  insere  o  cartão  (mul6fator)   •  Podem   ser   usados   com   computadores   (necessita   de   leitora)   Pós-­‐Graduação    -­‐    lato  Sensu  
Métodos  de  Auten6cação  e  Caracterís6cas   (Smartcards)   •  Além  de  armazenamento  tem  capacidade  de  processar   informação   •  Possui  micro-­‐processador  e  circuitos   •  Pode  realizar  operações  criptográficas   •  Pode  u6lizar  o  PIN  para  desbloquear  o  cartão  –  informação   não  pode  ser  lida  até  o  desbloqueio   Auten+cação  pode  ser  provida  por  OTP,  desafio/ resposta  ou  pelo  cer+ficado  digital   Pós-­‐Graduação    -­‐    lato  Sensu  
Métodos  de  Auten6cação  e  Caracterís6cas   (Smartcards)   •  Categorias   –  Contact:  leitor  transmite  energia  com  o  contato   –  Contactless:  antena  em  forma  de  bobina  enrolada     Pós-­‐Graduação    -­‐    lato  Sensu  
Métodos  de  Auten6cação  e  Caracterís6cas   (Biometria)       –  A  biometria  valida  um  traço   msico  ou  comportamental  do   usuário   –  Grande  facilidade  de  uso   –  Pode  envolver  aspectos   culturais  fortes   –  Necessita  de  ajustes   •  Erros  6po  I   •  Erros  6po  II   Pós-­‐Graduação    -­‐    lato  Sensu  
Métodos  de  Auten6cação  e  Caracterís6cas   (Biometria)   •  Categorias     –  Baseada  em  Caracterís6cas  Físicas   –  Baseada  em  caracterís6cas  comportamentais   Pós-­‐Graduação    -­‐    lato  Sensu  
Métodos  de  Auten6cação  e  Caracterís6cas   (Biometria)   •  Baseada  em  Caracterís6cas  Físicas   –  Analisam  um  traço  msico  do  usuário   •  Impressão  digital   •  Impressão  da  palma  da  mão   •  Geometria  da  mão   •  Reconhecimento  facial   •  Re6na   •  Íris   •  voz   Pós-­‐Graduação    -­‐    lato  Sensu  
Métodos  de  Auten6cação  e  Caracterís6cas   (Biometria)   •  Impressão  Digital   –  A  impressão  é   transformada  em  um  vetor   matemá6co  para   confrontação   –  Bastante  popular   Pós-­‐Graduação    -­‐    lato  Sensu  
Métodos  de  Auten6cação  e  Caracterís6cas   (Biometria)   •  Reconhecimento  facial   –  Analisa  estrutura  dos  ossos  do  rosto   –  Grande  potencial  de  crescimento  financiado  pela  indústria   an6-­‐terrorismo   Pós-­‐Graduação    -­‐    lato  Sensu  
Métodos  de  Auten6cação  e  Caracterís6cas   (Biometria)   •  Re6na   –  Analisa  o  padrão  formado  pelas  veias  internas  do  globo   ocular   –  Em  caso  de  doenças  oculares,  sua  precisão  pode  ser   afetada   Pós-­‐Graduação    -­‐    lato  Sensu  
Métodos  de  Auten6cação  e  Caracterís6cas   (Biometria)   •  Íris   –  Analisa  o  padrão  visual   formado  pela  íris   –  Extremamente  precisa   Pós-­‐Graduação    -­‐    lato  Sensu  
Métodos  de  Auten6cação  e  Caracterís6cas   (Biometria)   •  Voz   –  Analisa  o  padrão  de  voz   –  U6liza  mecanismos  de   prevenção  contra  gravações   Pós-­‐Graduação    -­‐    lato  Sensu  
Métodos  de  Auten6cação  e  Caracterís6cas   (Biometria)   •  Baseada  em  Caracterís6cas  Comportamentais   –  Analisam  um  traço  Comportamental  do  usuário   –  Menos  populares,  devido  a  sua  baixa  precisão   •  Padrão  de  digitação   •  Padrão  de  escrita   Pós-­‐Graduação    -­‐    lato  Sensu  
Autorização   •  Determina  se  indivíduo  está  autorizado  a  acessar   recurso  par6cular   •  Componente  de  todos  os  SO  e  desejável  em   aplicações   –  Ex.  Usuário  auten6cado  no  AD  acessa  planilha  no  servidor   de  arquivos   –  SO  verifica  permissões  (baseadas  em  critérios  de  acesso)   •  Localização  msica  e  lógica,  hora,  6po  de  transação.   •  Boas  prá6cas:  Default  –  no  access  e  baseado  na   necessidade  de  conhecer   Pós-­‐Graduação    -­‐    lato  Sensu  
Gerência  de  Iden6dades   Pós-­‐Graduação    -­‐    lato  Sensu  
Gerência  de  Iden6dades   •  Soluções   para   a   automa6zação   do   uso   das   tecnologias   de   iden6ficação,   auten6cação   e   autorização,  ao  longo  do  seu  ciclo  de  vida   •  Gerenciamento   de   contas   e   senhas,   controle   de   acesso,   SSO,   gerencia   de   direitos   e   permissões,   auditoria  e  monitoramento  desses  itens   •  Várias  tecnologias  combinadas  ou  integradas   Pós-­‐Graduação    -­‐    lato  Sensu  
Gerência  de  Iden6dades   •  Para  que  usar  isso?   Pós-­‐Graduação    -­‐    lato  Sensu  
Gerência  de  Iden6dades   •  Questões  Comuns   –  O  que  cada  usuário  deve  ter  acesso?   –  Quem  aprova  e  permite  o  acesso?   –  Como  é  o  processo  de  revogação  de  acesso?   –  Como  o  acesso  é  controlado  e  monitorado  de  forma  centralizada?   –  Como  centralizar  o  acesso  a  várias  plataformas  de  SO  e  aplicações?   –  Como  controlar  acesso  de  empregados,  parceiros  e  clientes?   •  A   tradicional   Gerência   de   iden6dades   (diretórios   com   permissões,   ACL   e   perfis)   é   considerada   incapaz   de   tratar   todos  esses  problemas       Pós-­‐Graduação    -­‐    lato  Sensu  
Gerência  de  Iden6dades   •  Conceito  Moderno  de  Gerência  de  Iden6dades   –  U6liza   aplicações   automá6cas,   ricas   em   funcionalidades   trabalhando   em   conjunto   para   criar   uma   infraestrutura   de   gerência  de  iden6dades   –  Gerencia   de   iden6dades,   auten6cação,   autorização   e   auditoria  em  múl6plos  sistemas     Pós-­‐Graduação    -­‐    lato  Sensu  
Gerência  de  Iden6dades   •  Ferramentas  e  Tecnologias   –  Diretórios   –  Gerenciamento  de  acesso  Web  (WAM)   –  Gerencia  de  senhas   –  SSO   –  Gerenciamento  de  contas   –  Atualização  de  perfis       Pós-­‐Graduação    -­‐    lato  Sensu  
Gerência  de  Iden6dades   •  Ferramentas  e  Tecnologias   –  Diretórios  (catálogo  de  informações)   •  Contém   informações   centralizadas   de   usuários   e   recursos   (principal  componente)   •  Formato  de  dados  hierárquico  -­‐  padrão  X.500   •  Protocolo  de  acesso  –LDAP   –  Aplicações  requisitam  info  de  usuários   –  Usuários  requisitam  info  de  recursos   •  Objetos  são  gerenciados  pelo  Serviço  de  Diretório     –  Permite   ao   admin   configurar   e   gerenciar   a   iden6ficação,   auten6cação  e  autorização  aos  recursos         Pós-­‐Graduação    -­‐    lato  Sensu  
Gerência  de  Iden6dades   •  Ferramentas  e  Tecnologias   –  Diretórios   •  Componente  principal  da  solução     •  Armazena  informações  vindas  de  outros  sistemas   –  Atributos  de  usuários  podem  ser  fornecidos  pelo  RH       Pós-­‐Graduação    -­‐    lato  Sensu  
Gerência  de  Iden6dades   •  Ferramentas  e  Tecnologias   –  Diretórios   •  Ambiente  windows   –  Usuário  loga  no  Controlador  de  Domínio   –  Serviço  de  diretório  –  AD   –  AD  organiza  recursos  e  implementa  controle  de  acesso   –  Configuração   do   AD   é   responsável   por   disponibilização   de   recursos   para   os   usuários   (impressoras,   arquivos,   servidores   web  etc)   •  Problemas   –  Muitas  aplicações  legadas  não  são  compa6veis     Pós-­‐Graduação    -­‐    lato  Sensu  
Gerência  de  Iden6dades   •  Ferramentas  e  Tecnologias   –  WAM   •  Controla  usuário  quando  acessa  aplicação  Web   •  Muito  u6lizada  em  e-­‐commerce,  online  banking  etc   •  Pode  u6lizar:  senhas,  cer6ficados  digitais,  tokens  etc     Pós-­‐Graduação    -­‐    lato  Sensu  
Gerência  de  Iden6dades   •  Ferramentas  e  Tecnologias   –  Gerência  de  senhas   •  Grande   custo   administra6vo   com   help-­‐desk   para   resetar   senhas   •  Usuários  precisam  memorizar  grande  quan6dade  de  senhas   para  diversos  sistemas   –  Soluções  de  Gerência  de  Senha   •  Sincronismo  de  senhas   •  Self-­‐service  reset   •  Reset  assis6do     Pós-­‐Graduação    -­‐    lato  Sensu  
Gerência  de  Iden6dades   •  Ferramentas  e  Tecnologias   –  SSO  –  Single  Sign  On   •  Auten6cação  única   •  Desafio  tecnológico   •  Alto  custo   •  Discu{vel  sob  o  aspecto  de  segurança   •  Não  compa{vel  com  sistemas  legados     Pós-­‐Graduação    -­‐    lato  Sensu  
Gerência  de  Iden6dades   •  Ferramentas  e  Tecnologias   –  SSO  com  kerberos     Pós-­‐Graduação    -­‐    lato  Sensu  
Gerência  de  Iden6dades   •  Ferramentas  e  Tecnologias   –  Gerênciamento  de  Contas   •  Criação  de  contas  em  diversos  sistemas   •  Modificação  de  privilégios   •  Ex6nção     –  Processo  formal  para  criação  de  contas,  atribuição  de  privilégios   e  ex6nção   •  Implementação  de  wokflow  auditável       Pós-­‐Graduação    -­‐    lato  Sensu  
Gerência  de  Iden6dades   •  Ferramentas  e  Tecnologias   –  Atualização  de  perfis   •  Informações  associadas  a  iden6dade  do  usuário   •  Perfil  pode  ter  informações  sensiveis  ou  não   –  Ex.   Usuário   atualiza   perfil   no   site   Submarino   e   as   informações  são  u6lizadas  pelo  CRM     Pós-­‐Graduação    -­‐    lato  Sensu  
Gerência  de  Iden6dades   •  Aspectos  de  segurança   –  Vantagens   •  Eficiência   •  Polí6ca  de  senhas  configurada  centralmente   •  Logs  centralizados   –  Desvantagens   •  Grande  dificuldade  técnica  e  financeira   Pós-­‐Graduação    -­‐    lato  Sensu  
Modelos   Pós-­‐Graduação    -­‐    lato  Sensu  
Modelos  de  Controle  de  Acesso   •  Framekorks  que  norma6zam  como  sujeitos  acessam   objetos   •  U6lizam  tecnologias  para  reforçar  regras  e  obje6vos   do  modelo   •  São  implementados  no  kernel  (seurity  kernel)  ou  em   aplicações   •  Principais   –  DAC   –  MAC   –  RBAC   Pós-­‐Graduação    -­‐    lato  Sensu  
Modelos  de  Controle  de  Acesso      Discre6onary  Access  Control   •  Proprietário  (owner)  do  recurso  é   responsável  por  atribuir  as   permissões   •  Princípio:  Ninguém  melhor  que  o   owner  para  dar  direitos   •  Problemas  prá6cos       –  owner  é  um  usuário   –  complexidade   •  Tipos  mais  comuns  de   implementação   –  ACL   –  Capability  Tables   Pós-­‐Graduação    -­‐    lato  Sensu  
Modelos  de  Controle  de  Acesso      Mandatory  Access  Control   •  Inicialmente  projetado  para  uso   militar     •  Baseado  no  modelo  Bell-­‐LaPadula  –   1973   •  Componentes   –  Classificação     –  Credenciais  de  segurança/necessidade   de  conhecer   •  hcp://www.vivaolinux.com.br/ ar6gos/impressora.php? codigo=9883   Pós-­‐Graduação    -­‐    lato  Sensu  
Modelos  de  Controle  de  Acesso    Role-­‐Based  Access  Control   •  Permissões  são  atribuídas  a  papéis   •  Os  papéis  representam  funções   •  Os  usuários  são  atribuídos  aos  papéis   Pós-­‐Graduação    -­‐    lato  Sensu  
Outras  tecnologias     de  Controle  de  Acesso   •  Rule-­‐based   •  Content  dependent   •  Context  dependent   •  Interfaces  restritas   •  Thin  clients   Pós-­‐Graduação    -­‐    lato  Sensu  
Outras  tecnologias     de  Controle  de  Acesso   Rule-­‐based   •  O  controle  de  acesso  é  feito  através  de  um  conjunto   regras   •  Exemplos   –  Anexos  de  e-­‐mail  >  5  MB,  nega   –  Firewalls   Pós-­‐Graduação    -­‐    lato  Sensu  
Outras  tecnologias     de  Controle  de  Acesso   Content  dependent   •  Considera  o  conteúdo  do  objeto  no  processo  de   controle  de  acesso   –  Filtros  de  e-­‐mail  que  procuram  por  strings  específicas   (confidencial,  CPF  etc)   •  Carnivore   Pós-­‐Graduação    -­‐    lato  Sensu  
Outras  tecnologias     de  Controle  de  Acesso   Context  dependent   •  Baseado  no  contexto,  por  meio  da  coleta  e  análise   de  informações   –  Statefull  firewall   Pós-­‐Graduação    -­‐    lato  Sensu  
Interfaces     restritas   •  Restrição  ou  limitação  das   interfaces  usadas  para  acessar  os   objetos   •  Tipos   –  Menus  e  shells   –  interfaces  msicas  restritas   •  Exemplos   –  Caixa  eletrônico   Pós-­‐Graduação    -­‐    lato  Sensu  
Outras  tecnologias     de  Controle  de  Acesso   Thin  client   •  Arquitetura  cliente/servidor   •  Computadores  sem  disco   •  Força  logon  centralizado   •  Pode  prover  SSO   Pós-­‐Graduação    -­‐    lato  Sensu  
Controle  de  Acesso  Centralizado   •  Obje6vo  ambicioso   •  Ponto  central  de  controle  de  acesso   •  Tecnologias  u6lizam  AAA   –  Radius  e  Tacacs   •  Auten6cação   –  PAP,  CHAP  e  EAP   Pós-­‐Graduação    -­‐    lato  Sensu  
Controle  de  Acesso  Centralizado   •  Radius  –  Remote   Authen6ca6on  Dial-­‐in  User   Service   –  Auten6cação  PAP,  CHAP  ou   EAP   –  Servidor  de  acesso  (AS)  é   cliente  Radius   –  Usa  UDP   –  Faz  bilhetagem  (AS  informa   login  e  logout)   –  Criptografa  somente  a  senha   –  Mais  u6lizado  para   auten6cação  simples   Pós-­‐Graduação    -­‐    lato  Sensu  
Controle  de  Acesso  Centralizado   •  Radius   –  “O  serviço  RADIUS  é  amplamente  usado  em  provedores  de  acesso  a   internet.   No   Brasil   por   exemplo,   a   Oi   (empresa   de   telecomunicações)   usa   RADIUS   no   seu   produto   ADSL   chamado   Velox.  No  sistema  Velox,  o  cliente  inicia  um  pedido  de  conexão  via   protocolo  PPPoE,  um  roteador  Cisco  série  7000  atende  o  pedido  e   envia   o   nome   de   usuário   e   senha   para   o   servidor   RADIUS   (localizado   num   datacenter   no   Rio   de   Janeiro),   o   RADIUS   por   sua   vez   confere   as   credenciais   em   seu   banco   de   dados   e   retorna   para   o   roteador   se   o   cliente   pode   se   conectar   ou   não.   Se   a   resposta   for   posi6va,  o  cliente  receberá  um  IP  público  e  poderá  navegar,  caso  a   resposta  seja  nega6va,  o  acesso  é  negado”   Pós-­‐Graduação    -­‐    lato  Sensu  
Controle  de  Acesso  Centralizado   •  TACACS  –  Termina  Access  Controller  Access  Control  System     –  Usa  TCP   –  Criptografa  todos  os  dados   –  Separa  processos  de  AAA  –  mais  flexibilidade   Pós-­‐Graduação    -­‐    lato  Sensu  
FIM   Pós-­‐Graduação    -­‐    lato  Sensu  

Recomendados

Aula 01 - Introdução ao curso - Projeto de Redes de Computadores
Aula 01 - Introdução ao curso - Projeto de Redes de ComputadoresAula 01 - Introdução ao curso - Projeto de Redes de Computadores
Aula 01 - Introdução ao curso - Projeto de Redes de ComputadoresDalton Martins
 
Sistemas Distribuídos - Aula 01
Sistemas Distribuídos - Aula 01Sistemas Distribuídos - Aula 01
Sistemas Distribuídos - Aula 01Arthur Emanuel
 
Topologia em redes
Topologia em redesTopologia em redes
Topologia em redesYohana Alves
 
Comunicação de dados!
Comunicação de dados!Comunicação de dados!
Comunicação de dados!Armando Rivarola
 
Aula Teste Fatec - Projeto de Redes de Computadores
Aula Teste Fatec - Projeto de Redes de ComputadoresAula Teste Fatec - Projeto de Redes de Computadores
Aula Teste Fatec - Projeto de Redes de ComputadoresDalton Martins
 
Cabeamento Estruturado.pdf
Cabeamento Estruturado.pdfCabeamento Estruturado.pdf
Cabeamento Estruturado.pdfOs Fantasmas !
 
Arquitetura de Redes.pdf
Arquitetura de Redes.pdfArquitetura de Redes.pdf
Arquitetura de Redes.pdfOs Fantasmas !
 
Redes lan
Redes lanRedes lan
Redes lanFernandacapuano
 

Recomendados

Aula 01 - Introdução ao curso - Projeto de Redes de Computadores
Aula 01 - Introdução ao curso - Projeto de Redes de ComputadoresAula 01 - Introdução ao curso - Projeto de Redes de Computadores
Aula 01 - Introdução ao curso - Projeto de Redes de ComputadoresDalton Martins
 
Sistemas Distribuídos - Aula 01
Sistemas Distribuídos - Aula 01Sistemas Distribuídos - Aula 01
Sistemas Distribuídos - Aula 01Arthur Emanuel
 
Topologia em redes
Topologia em redesTopologia em redes
Topologia em redesYohana Alves
 
Comunicação de dados!
Comunicação de dados!Comunicação de dados!
Comunicação de dados!Armando Rivarola
 
Aula Teste Fatec - Projeto de Redes de Computadores
Aula Teste Fatec - Projeto de Redes de ComputadoresAula Teste Fatec - Projeto de Redes de Computadores
Aula Teste Fatec - Projeto de Redes de ComputadoresDalton Martins
 
Cabeamento Estruturado.pdf
Cabeamento Estruturado.pdfCabeamento Estruturado.pdf
Cabeamento Estruturado.pdfOs Fantasmas !
 
Arquitetura de Redes.pdf
Arquitetura de Redes.pdfArquitetura de Redes.pdf
Arquitetura de Redes.pdfOs Fantasmas !
 
Redes lan
Redes lanRedes lan
Redes lanFernandacapuano
 
Serviços de Redes.pdf
Serviços de Redes.pdfServiços de Redes.pdf
Serviços de Redes.pdfOs Fantasmas !
 
Tipos de cabos
Tipos de cabosTipos de cabos
Tipos de cabosGonçalo
 
Aula cabeamento estruturado Eia/Tia
Aula cabeamento estruturado Eia/TiaAula cabeamento estruturado Eia/Tia
Aula cabeamento estruturado Eia/TiaOsimar Almeida
 
Gerenciamento de Serviços de TI.pdf
Gerenciamento de Serviços de TI.pdfGerenciamento de Serviços de TI.pdf
Gerenciamento de Serviços de TI.pdfOs Fantasmas !
 
Sistemas Distribuídos - Computação Distribuída e Paralela
Sistemas Distribuídos - Computação Distribuída e ParalelaSistemas Distribuídos - Computação Distribuída e Paralela
Sistemas Distribuídos - Computação Distribuída e ParalelaAdriano Teixeira de Souza
 
Instalação e Configuração de Redes.pdf
Instalação e Configuração de Redes.pdfInstalação e Configuração de Redes.pdf
Instalação e Configuração de Redes.pdfOs Fantasmas !
 
Informática parte 8-internet
Informática parte 8-internetInformática parte 8-internet
Informática parte 8-internetMauro Pereira
 
Redes de computadores
Redes de computadoresRedes de computadores
Redes de computadoresJakson Silva
 
CMMI
CMMICMMI
CMMIElaine Cecília Gatto
 
Topologias de rede
Topologias de redeTopologias de rede
Topologias de redeSusana Oliveira
 
SOA - Uma Breve Introdução
SOA - Uma Breve IntroduçãoSOA - Uma Breve Introdução
SOA - Uma Breve IntroduçãoAndré Borgonovo
 
Datacenter - Apresentação
Datacenter - ApresentaçãoDatacenter - Apresentação
Datacenter - ApresentaçãoRuy Mendonça
 
Projeto de Rede Local (LAN)
Projeto de Rede Local (LAN)Projeto de Rede Local (LAN)
Projeto de Rede Local (LAN)Ferramentas Didáticas
 
Introdução à Virtualização
Introdução à VirtualizaçãoIntrodução à Virtualização
Introdução à VirtualizaçãoLucas Miranda
 
Topologia de Redes
Topologia de RedesTopologia de Redes
Topologia de RedesBreno Damasceno
 
Aula 1 - Redes de Computadores A - Conceitos Básicos.
Aula 1 - Redes de Computadores A - Conceitos Básicos.Aula 1 - Redes de Computadores A - Conceitos Básicos.
Aula 1 - Redes de Computadores A - Conceitos Básicos.Filipo Mór
 
Atividade fundamentos-de-redes
Atividade fundamentos-de-redesAtividade fundamentos-de-redes
Atividade fundamentos-de-redesArlimar Jacinto
 
Aula 3 - Introdução a cloud computing
Aula 3 - Introdução a cloud computingAula 3 - Introdução a cloud computing
Aula 3 - Introdução a cloud computingEduardo de Lucena Falcão
 
COCOMO E COCOMO II
COCOMO E COCOMO IICOCOMO E COCOMO II
COCOMO E COCOMO IIIsraelCunha
 
Aula 1 - Introdução ao Mobile
Aula 1 - Introdução ao MobileAula 1 - Introdução ao Mobile
Aula 1 - Introdução ao MobileCloves da Rocha
 
Rene Seguranca Ai Agents
Rene Seguranca Ai AgentsRene Seguranca Ai Agents
Rene Seguranca Ai AgentsMarco Manso
 
Segurança física e lógica e análise de vulnerabilidade 1
Segurança física e lógica e análise de vulnerabilidade 1Segurança física e lógica e análise de vulnerabilidade 1
Segurança física e lógica e análise de vulnerabilidade 1Diego BBahia
 

Más contenido relacionado

La actualidad más candente

Serviços de Redes.pdf
Serviços de Redes.pdfServiços de Redes.pdf
Serviços de Redes.pdfOs Fantasmas !
 
Tipos de cabos
Tipos de cabosTipos de cabos
Tipos de cabosGonçalo
 
Aula cabeamento estruturado Eia/Tia
Aula cabeamento estruturado Eia/TiaAula cabeamento estruturado Eia/Tia
Aula cabeamento estruturado Eia/TiaOsimar Almeida
 
Gerenciamento de Serviços de TI.pdf
Gerenciamento de Serviços de TI.pdfGerenciamento de Serviços de TI.pdf
Gerenciamento de Serviços de TI.pdfOs Fantasmas !
 
Sistemas Distribuídos - Computação Distribuída e Paralela
Sistemas Distribuídos - Computação Distribuída e ParalelaSistemas Distribuídos - Computação Distribuída e Paralela
Sistemas Distribuídos - Computação Distribuída e ParalelaAdriano Teixeira de Souza
 
Instalação e Configuração de Redes.pdf
Instalação e Configuração de Redes.pdfInstalação e Configuração de Redes.pdf
Instalação e Configuração de Redes.pdfOs Fantasmas !
 
Informática parte 8-internet
Informática parte 8-internetInformática parte 8-internet
Informática parte 8-internetMauro Pereira
 
Redes de computadores
Redes de computadoresRedes de computadores
Redes de computadoresJakson Silva
 
SOA - Uma Breve Introdução
SOA - Uma Breve IntroduçãoSOA - Uma Breve Introdução
SOA - Uma Breve IntroduçãoAndré Borgonovo
 
Datacenter - Apresentação
Datacenter - ApresentaçãoDatacenter - Apresentação
Datacenter - ApresentaçãoRuy Mendonça
 
Introdução à Virtualização
Introdução à VirtualizaçãoIntrodução à Virtualização
Introdução à VirtualizaçãoLucas Miranda
 
Aula 1 - Redes de Computadores A - Conceitos Básicos.
Aula 1 - Redes de Computadores A - Conceitos Básicos.Aula 1 - Redes de Computadores A - Conceitos Básicos.
Aula 1 - Redes de Computadores A - Conceitos Básicos.Filipo Mór
 
Atividade fundamentos-de-redes
Atividade fundamentos-de-redesAtividade fundamentos-de-redes
Atividade fundamentos-de-redesArlimar Jacinto
 
COCOMO E COCOMO II
COCOMO E COCOMO IICOCOMO E COCOMO II
COCOMO E COCOMO IIIsraelCunha
 
Aula 1 - Introdução ao Mobile
Aula 1 - Introdução ao MobileAula 1 - Introdução ao Mobile
Aula 1 - Introdução ao MobileCloves da Rocha
 

La actualidad más candente (20)

Serviços de Redes.pdf
Serviços de Redes.pdfServiços de Redes.pdf
Serviços de Redes.pdf
 
Tipos de cabos
Tipos de cabosTipos de cabos
Tipos de cabos
 
Aula cabeamento estruturado Eia/Tia
Aula cabeamento estruturado Eia/TiaAula cabeamento estruturado Eia/Tia
Aula cabeamento estruturado Eia/Tia
 
Gerenciamento de Serviços de TI.pdf
Gerenciamento de Serviços de TI.pdfGerenciamento de Serviços de TI.pdf
Gerenciamento de Serviços de TI.pdf
 
Sistemas Distribuídos - Computação Distribuída e Paralela
Sistemas Distribuídos - Computação Distribuída e ParalelaSistemas Distribuídos - Computação Distribuída e Paralela
Sistemas Distribuídos - Computação Distribuída e Paralela
 
Instalação e Configuração de Redes.pdf
Instalação e Configuração de Redes.pdfInstalação e Configuração de Redes.pdf
Instalação e Configuração de Redes.pdf
 
Informática parte 8-internet
Informática parte 8-internetInformática parte 8-internet
Informática parte 8-internet
 
Redes de computadores
Redes de computadoresRedes de computadores
Redes de computadores
 
CMMI
CMMICMMI
CMMI
 
Topologias de rede
Topologias de redeTopologias de rede
Topologias de rede
 
SOA - Uma Breve Introdução
SOA - Uma Breve IntroduçãoSOA - Uma Breve Introdução
SOA - Uma Breve Introdução
 
Datacenter - Apresentação
Datacenter - ApresentaçãoDatacenter - Apresentação
Datacenter - Apresentação
 
Projeto de Rede Local (LAN)
Projeto de Rede Local (LAN)Projeto de Rede Local (LAN)
Projeto de Rede Local (LAN)
 
Introdução à Virtualização
Introdução à VirtualizaçãoIntrodução à Virtualização
Introdução à Virtualização
 
Topologia de Redes
Topologia de RedesTopologia de Redes
Topologia de Redes
 
Aula 1 - Redes de Computadores A - Conceitos Básicos.
Aula 1 - Redes de Computadores A - Conceitos Básicos.Aula 1 - Redes de Computadores A - Conceitos Básicos.
Aula 1 - Redes de Computadores A - Conceitos Básicos.
 
Atividade fundamentos-de-redes
Atividade fundamentos-de-redesAtividade fundamentos-de-redes
Atividade fundamentos-de-redes
 
Aula 3 - Introdução a cloud computing
Aula 3 - Introdução a cloud computingAula 3 - Introdução a cloud computing
Aula 3 - Introdução a cloud computing
 
COCOMO E COCOMO II
COCOMO E COCOMO IICOCOMO E COCOMO II
COCOMO E COCOMO II
 
Aula 1 - Introdução ao Mobile
Aula 1 - Introdução ao MobileAula 1 - Introdução ao Mobile
Aula 1 - Introdução ao Mobile
 

Similar a Controle de Acesso

Rene Seguranca Ai Agents
Rene Seguranca Ai AgentsRene Seguranca Ai Agents
Rene Seguranca Ai AgentsMarco Manso
 
Segurança física e lógica e análise de vulnerabilidade 1
Segurança física e lógica e análise de vulnerabilidade 1Segurança física e lógica e análise de vulnerabilidade 1
Segurança física e lógica e análise de vulnerabilidade 1Diego BBahia
 
Segurança física e lógica e análise de vulnerabilidade
Segurança física e lógica e análise de vulnerabilidadeSegurança física e lógica e análise de vulnerabilidade
Segurança física e lógica e análise de vulnerabilidadeDiego BBahia
 
Hacking Ético e os Testes de Invasão - UruguaianaTech 2014
Hacking Ético e os Testes de Invasão - UruguaianaTech 2014Hacking Ético e os Testes de Invasão - UruguaianaTech 2014
Hacking Ético e os Testes de Invasão - UruguaianaTech 2014Thiago Finardi
 
Controle de Acesso
Controle de AcessoControle de Acesso
Controle de AcessoCassio Ramos
 
Sistemas_de_seguranca.ppt
Sistemas_de_seguranca.pptSistemas_de_seguranca.ppt
Sistemas_de_seguranca.pptJorgeSpindola1
 
Sistemas_de_seguranca.ppt
Sistemas_de_seguranca.pptSistemas_de_seguranca.ppt
Sistemas_de_seguranca.pptIvanildoGomes18
 
Analise de Vulnerabilidade
Analise de VulnerabilidadeAnalise de Vulnerabilidade
Analise de VulnerabilidadeCassio Ramos
 
Segurança em servidores Linux
Segurança em servidores LinuxSegurança em servidores Linux
Segurança em servidores LinuxImpacta Eventos
 
SQL Server ES - Visão geral sobre segurança
SQL Server ES - Visão geral sobre segurançaSQL Server ES - Visão geral sobre segurança
SQL Server ES - Visão geral sobre segurançaDirceu Resende
 
Top five security errors, and how to avoid them - DEM01-S - São Paulo AWS Summit
Top five security errors, and how to avoid them - DEM01-S - São Paulo AWS SummitTop five security errors, and how to avoid them - DEM01-S - São Paulo AWS Summit
Top five security errors, and how to avoid them - DEM01-S - São Paulo AWS SummitAmazon Web Services
 
Ferramentas de Segurança
Ferramentas de SegurançaFerramentas de Segurança
Ferramentas de SegurançaAlefe Variani
 
Segurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalSegurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalJefferson Costa
 
06-GestaoEquipamentosRedeOlharSeguranca_GTS22
06-GestaoEquipamentosRedeOlharSeguranca_GTS2206-GestaoEquipamentosRedeOlharSeguranca_GTS22
06-GestaoEquipamentosRedeOlharSeguranca_GTS22Gustavo Rodrigues Ramos
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoAndre Takegawa
 
10 minutos de Eleven Paths por Leandro Bennaton
10 minutos de Eleven Paths por Leandro Bennaton10 minutos de Eleven Paths por Leandro Bennaton
10 minutos de Eleven Paths por Leandro BennatonLeandro Bennaton
 

Similar a Controle de Acesso (20)

Rene Seguranca Ai Agents
Rene Seguranca Ai AgentsRene Seguranca Ai Agents
Rene Seguranca Ai Agents
 
Segurança física e lógica e análise de vulnerabilidade 1
Segurança física e lógica e análise de vulnerabilidade 1Segurança física e lógica e análise de vulnerabilidade 1
Segurança física e lógica e análise de vulnerabilidade 1
 
Segurança física e lógica e análise de vulnerabilidade
Segurança física e lógica e análise de vulnerabilidadeSegurança física e lógica e análise de vulnerabilidade
Segurança física e lógica e análise de vulnerabilidade
 
Hacking Ético e os Testes de Invasão - UruguaianaTech 2014
Hacking Ético e os Testes de Invasão - UruguaianaTech 2014Hacking Ético e os Testes de Invasão - UruguaianaTech 2014
Hacking Ético e os Testes de Invasão - UruguaianaTech 2014
 
Controle de Acesso
Controle de AcessoControle de Acesso
Controle de Acesso
 
Sistemas_de_seguranca.ppt
Sistemas_de_seguranca.pptSistemas_de_seguranca.ppt
Sistemas_de_seguranca.ppt
 
Sistemas_de_seguranca.ppt
Sistemas_de_seguranca.pptSistemas_de_seguranca.ppt
Sistemas_de_seguranca.ppt
 
Analise de Vulnerabilidade
Analise de VulnerabilidadeAnalise de Vulnerabilidade
Analise de Vulnerabilidade
 
Segurança em servidores Linux
Segurança em servidores LinuxSegurança em servidores Linux
Segurança em servidores Linux
 
SQL Server ES - Visão geral sobre segurança
SQL Server ES - Visão geral sobre segurançaSQL Server ES - Visão geral sobre segurança
SQL Server ES - Visão geral sobre segurança
 
Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017
 
Engenharia Social
Engenharia SocialEngenharia Social
Engenharia Social
 
Top five security errors, and how to avoid them - DEM01-S - São Paulo AWS Summit
Top five security errors, and how to avoid them - DEM01-S - São Paulo AWS SummitTop five security errors, and how to avoid them - DEM01-S - São Paulo AWS Summit
Top five security errors, and how to avoid them - DEM01-S - São Paulo AWS Summit
 
H2HC University 2014
H2HC University 2014H2HC University 2014
H2HC University 2014
 
Ferramentas de Segurança
Ferramentas de SegurançaFerramentas de Segurança
Ferramentas de Segurança
 
Segurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalSegurança da informação - Forense Computacional
Segurança da informação - Forense Computacional
 
06-GestaoEquipamentosRedeOlharSeguranca_GTS22
06-GestaoEquipamentosRedeOlharSeguranca_GTS2206-GestaoEquipamentosRedeOlharSeguranca_GTS22
06-GestaoEquipamentosRedeOlharSeguranca_GTS22
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
 
10 minutos de Eleven Paths por Leandro Bennaton
10 minutos de Eleven Paths por Leandro Bennaton10 minutos de Eleven Paths por Leandro Bennaton
10 minutos de Eleven Paths por Leandro Bennaton
 
Introdução de teste de segurança app web
Introdução de teste de segurança app webIntrodução de teste de segurança app web
Introdução de teste de segurança app web
 

Más de Cassio Ramos

3 scanning-ger paoctes-pub
3 scanning-ger paoctes-pub3 scanning-ger paoctes-pub
3 scanning-ger paoctes-pubCassio Ramos
 
Redes de Banda Larga
Redes de Banda LargaRedes de Banda Larga
Redes de Banda LargaCassio Ramos
 
Block disp-entrada e saida
Block disp-entrada e saidaBlock disp-entrada e saida
Block disp-entrada e saidaCassio Ramos
 
Trabalho sobre truecrypt
Trabalho sobre truecryptTrabalho sobre truecrypt
Trabalho sobre truecryptCassio Ramos
 
Exemplo de Script Iptables
Exemplo de Script IptablesExemplo de Script Iptables
Exemplo de Script IptablesCassio Ramos
 
Segurança em Aplicações Web
Segurança em Aplicações WebSegurança em Aplicações Web
Segurança em Aplicações WebCassio Ramos
 
Curso hacking com BT5
Curso hacking com BT5Curso hacking com BT5
Curso hacking com BT5Cassio Ramos
 

Más de Cassio Ramos (20)

3 scanning-ger paoctes-pub
3 scanning-ger paoctes-pub3 scanning-ger paoctes-pub
3 scanning-ger paoctes-pub
 
2 netcat enum-pub
2 netcat enum-pub2 netcat enum-pub
2 netcat enum-pub
 
Aula Inaugural
Aula InauguralAula Inaugural
Aula Inaugural
 
Redes de Banda Larga
Redes de Banda LargaRedes de Banda Larga
Redes de Banda Larga
 
Block disp-entrada e saida
Block disp-entrada e saidaBlock disp-entrada e saida
Block disp-entrada e saida
 
Trabalho sobre truecrypt
Trabalho sobre truecryptTrabalho sobre truecrypt
Trabalho sobre truecrypt
 
Gpo
GpoGpo
Gpo
 
Tunneling
TunnelingTunneling
Tunneling
 
Truecrypt
TruecryptTruecrypt
Truecrypt
 
Endian firewall
Endian firewallEndian firewall
Endian firewall
 
GnuPG
GnuPGGnuPG
GnuPG
 
Exemplo de Script Iptables
Exemplo de Script IptablesExemplo de Script Iptables
Exemplo de Script Iptables
 
Segurança Linux
Segurança LinuxSegurança Linux
Segurança Linux
 
RFID - Parte 2
RFID - Parte 2RFID - Parte 2
RFID - Parte 2
 
RFID - Parte 1
RFID - Parte 1RFID - Parte 1
RFID - Parte 1
 
Segurança em Aplicações Web
Segurança em Aplicações WebSegurança em Aplicações Web
Segurança em Aplicações Web
 
Anonimato na Web
Anonimato na Web Anonimato na Web
Anonimato na Web
 
Tutorial Maltego
Tutorial MaltegoTutorial Maltego
Tutorial Maltego
 
Curso hacking com BT5
Curso hacking com BT5Curso hacking com BT5
Curso hacking com BT5
 
Topologia lab
Topologia labTopologia lab
Topologia lab
 

Controle de Acesso

  • 1. BEM-VINDO À DISCIPLINA DE: Controle de Acesso Prof: Cássio Alexandre Ramos cassioaramos (at) gmail (dot) com http://cassioaramos.blogspot.com http://www.facebook.com/cassioaramos Pós-­‐Graduação    -­‐    lato  Sensu  
  • 2. Sistemas de Controle de Acesso •  Agenda   –  Introdução   –  Iden6ficação,  auten6cação,  autorização  e  registro   –  Métodos  de  Auten6cação  e  Caracterís6cas   –  Gerência  de  Iden6dades   –  Modelos   –  Outras  tecnologias  de  CA   –  Controle  de  Acesso  Centralizado   Pós-­‐Graduação    -­‐    lato  Sensu  
  • 3. Introdução   •  Tecnologias   de   CA   são   importantes   componentes   da   arquitetura  de  segurança  dos  sistemas   •  São  responsáveis  por:   –  Quais  recursos  podem  ser  acessados     •  hardware  -­‐  impressoras,  discos,  etc.   •  soMware  -­‐  que  sistemas  podem  ser  u6lizados?  Ex.  CATG   –  Quais  operações  podem  ser  realizadas   •  Ex.  Acesso  a  home  banking   –  Quais  são  os  componentes  autorizados  a  desempenhar  tais  operações   •  Administrador  –  config,  instala  programas,  gerencia  memória,  proc  e  etc.   •  usuário  do  sistema   Pós-­‐Graduação    -­‐    lato  Sensu  
  • 4. Requisitos  Básicos  da  Segurança   •  Disponibilidade   -­‐   Certeza   que   os   dados   estão   acessíveis   quando  e  onde  forem  necessários   •  Integridade  -­‐  Certeza  que  os  dados  não  foram  alterados  -­‐   por  acidente  ou  intencionalmente   •  Confidencialidade   -­‐   Certeza   que   somente   as   pessoas   autorizadas  a  acessar  os  dados  podem  acessá-­‐los   Pós-­‐Graduação    -­‐    lato  Sensu  
  • 5. Requisitos  Básicos  da  Segurança   •  Elementos  U+lizados  para  Garan+r  a  Confidencialidade   –   Criptografia  dos  dados   –   Controle  de  acesso   •  Elementos  para  garan+r  a  Integridade  (md5sum)   –   Assinatura  digital   –   MD5-­‐  hash   •  Elementos  para  garan+r  a  Disponibilidade   –   Backup     –   Tolerância  a  falhas   –   Redundância   Pós-­‐Graduação    -­‐    lato  Sensu  
  • 6. Tipos   •  Podemos   classificar   as   tecnologias   em   três   6pos   básicos   –  Host   –  Sistemas   –  Rede   Pós-­‐Graduação    -­‐    lato  Sensu  
  • 7. Host   •  Tecnologias   que   controlam   o   acesso   a  recursos  do  S.O   –  Implementada  normalmente  nos   sistemas  operacionais   –  Ex.  login     •  Recursos  mais  comuns  a  serem   protegidos   –  Arquivos     –  Objetos     •  Serve  para  controlar  recursos  via   rede     Pós-­‐Graduação    -­‐    lato  Sensu  
  • 8. Sistemas   •  Sistemas  funcionam  dentro  de  hosts  ou  distribuidos   •  Normalmente  formado  por  dois  componentes   –  Interface   –  Banco  de  Dados   •  Nesta  categoria  temos  sistemas  de  ERP,  CRM,  etc.   •  Sistemas  possuem  mecanismos  próprios  de  controle  de  acesso   –  Proteger  acesso  à  BD   –  Ex.  acesso  web  a  banco.   Pós-­‐Graduação    -­‐    lato  Sensu  
  • 9.      Rede   –  Normalmente  implementadas  através  de   •  Firewalls:  statefull,  filtro  de  pacotes  e  proxy   •  Roteadores:  interligam  redes     •  Switches:  interligam  computadores   –  Demo  FIREWALL   •  Bloqueio  de  icmp  e  hcp   Pós-­‐Graduação    -­‐    lato  Sensu  
  • 10. Arquitetura   INTRANET Parceiro1 Parceiro2 Parceiro3 LAN1 LAN2 VPN LAN3 Firewall/ Firewall Internet Router B Proxy LAN4 DMZ FILIAL Hardened Server WEB LAN5 Server DNS Server Proxy R. Mail Server Pós-­‐Graduação    -­‐    lato  Sensu  
  • 11. Conceitos  básicos   • Sujeito  X  Objeto   • Reference  Monitor   • Security  Kernel   Pós-­‐Graduação    -­‐    lato  Sensu  
  • 12. Sujeito   X Objeto   •  En6dade  que  solicita   •  Peça  de  informação   o  acesso  a  uma  peça   acessada  pelo  sujeito   de  informação   –  Exemplos:  arquivos,   registros  de  banco  de   –  Exemplos:  usuários,   dados  etc.   processos,  hosts,  etc.   Pós-­‐Graduação    -­‐    lato  Sensu  
  • 13. Reference  Monitor   •  Conceito  acadêmico   –  Introduzido  na  década  de  70   •  Caracterís6cas   –  Ser  sempre  chamado  para  mediar  um  acesso   –  Permi6r  que  sua  funcionalidade  possa  ser  testada   –  Ser  inviolável,  possuindo  controles  que  garantam  a   integridade  do  seu  funcionamento   Pós-­‐Graduação    -­‐    lato  Sensu  
  • 14. Reference  Monitor   Pós-­‐Graduação    -­‐    lato  Sensu  
  • 15. Security  Kernel   •  Conjunto   de   hardware,   soBware   e   firmware   que   implementa  o  conceito  do  Reference  Monitor   •  Firmware  –  soBware  que  vem  embu+do  dentro  de   um  hardware   Pós-­‐Graduação    -­‐    lato  Sensu  
  • 16. Iden6ficação,  Auten6cação,  Autorização  e   Registro   •  4  etapas  que  devem  ser  realizadas  para  um  sujeito  acessar  um   objeto   Pós-­‐Graduação    -­‐    lato  Sensu  
  • 17. Iden6ficação  e  Auten6cação   •  Responsáveis  por  confirmar  quem  são  os  sujeitos   que  acessam  os  objetos   –  Mecanismos   que   permitem   ao   usuário   mostrar   ao   sistema  quem  ele  é   •  Primeira  etapa  do  controle  de  acesso   Pós-­‐Graduação    -­‐    lato  Sensu  
  • 18. Iden6ficação   •  Iden6ficar  um  sujeito  junto  ao   sistema   •  Responsabilização  individual  por   ações  no  sistema   •  Exemplos   –  Username   –  UserID   –  PIN     Pós-­‐Graduação    -­‐    lato  Sensu  
  • 19. Iden6ficação   •  Principais  recomendações  de  segurança  no  processo  de  iden6ficação   –  Iden6ficação  deve  ser  única  (auditável  e  não  compar6lhada),  não   descri6va  e  expedida  por  autoridade   •  U6lizar  nomenclatura  padrão  para  nomes  de  usuários   •  Não   permi6r   a   iden6ficação   da   função   ou   responsabilidade   que   a   conta  possuí  (admin,  backup  operator  etc.)   •  Evitar  nomes  que  possam  ser  facilmente  deduzidos  de  e-­‐mails     •  Procedimento   seguro   e   controlado   para   emissão   e   revogação   de   contas   Pós-­‐Graduação    -­‐    lato  Sensu  
  • 20. Auten6cação   •  Confirmação  de  iden6dade   •  Principais  tecnologias   –  Conhecimento:  algo  que  o  usuário  sabe   –  Posse:  algo  que  o  usuário  tem   –  Caracterís6ca:  traço  msico/comportamental  do  usuário   •  Auten6cação  Forte   –  Contém  2  das  3  tecnologias  (mul6fator)   Pós-­‐Graduação    -­‐    lato  Sensu  
  • 21. Auten6cação   •  Conhecimento   –  Algo  que  o  usuário  sabe   •  Senha/Frase   –  Principais  problemas  de  segurança   •  Senhas  fracas   •  Interceptação  da  senha   –  hcp,  Mp,  telnet  etc   –  Demo  captura  de  senha  FTP   Pós-­‐Graduação    -­‐    lato  Sensu  
  • 22. Auten6cação   •  Conhecimento   –  Problemas  no  uso   •  Segredo  tem  que  estar  armazenado  no  sistema   •  Local  de  armazenamento  é  o  alvo:     –   /etc/passwd  (DEMO  John)   –  c:windowssystem32config   •  Para  proteção  –  criptografia   –  Uso  de  hash  na  codificação  de  senhas  –  método  rápido,  porém   não  muito  seguro   •  Senhas  fornecidas  por  teclado  e  mouse   –  Facilmente  interceptados  por  soMwares  maliciosos   Pós-­‐Graduação    -­‐    lato  Sensu  
  • 23. Auten6cação   •  Conhecimento   –  Principais  recomendações   •  Proteger  os  canais  de  transmissão  -­‐  sniffer   •  Usar  métodos  alterna6vos  quando  isso  não  for  possível   •  Proteção  msica  dos  servidores  de  auten6cação   –  Demo  Pmagic   Pós-­‐Graduação    -­‐    lato  Sensu  
  • 24. Auten6cação   •  Posse   –  Algo  que  o  usuário  possui   –  Principais  tecnologias   •  Tokens   •  Smartcards   •  Cartões  com  listas  de  senhas   •  Cer6ficados  digitais   Pós-­‐Graduação    -­‐    lato  Sensu  
  • 25. Auten6cação   •  Caracterís6cas   –  Caracterís6cas  msicas  ou  comportamentais   –  Biometria   Pós-­‐Graduação    -­‐    lato  Sensu  
  • 26. Métodos  de  Auten6cação  e  Caracterís6cas   •  Senhas/Frases  Senha   –  Senhas  está6cas   –  Senhas  cogni6vas     •  OTP  ou  senhas  dinâmicas   •  Chaves  Criptograficas   •  Memory  Cards   •  Smart  Cards   •  Biometria   Pós-­‐Graduação    -­‐    lato  Sensu  
  • 27. Métodos  de  Auten6cação  e  Caracterís6cas   (Senhas  Está6cas)   •  String  de  caracteres  u6lizada  para  auten6car  um   usuário   •  É  o  que  o  pessoa  sabe   •  Método  de  auten6cação  mais  u6lizado   •  SO  e  aplicações  podem  impor  requisitos  de   segurança   –  Demo  restrições  de  segurança  Windows  Server     Pós-­‐Graduação    -­‐    lato  Sensu  
  • 28. Métodos  de  Auten6cação  e  Caracterís6cas   (Senhas  Está6cas)   •  Gerenciamento  de  Senhas   –  Senha  deve  ser  gerada,  atualizada  e  man6da  em   segredo  –  (treinamento)   –  Problemas  Comuns   •  Escolha  de  senhas  fracas  –  faceis  de  lembrar   •  Guardadas  de  forma  inapropriada   –  SO  podem  forçar  poli6ca  de  senhas  (Demo)   •  Numero  de  caracteres   •  Uso  de  caracteres  especiais     Pós-­‐Graduação    -­‐    lato  Sensu  
  • 29. Métodos  de  Auten6cação  e  Caracterís6cas   (Senhas  Está6cas)   •  Gerenciamento  de  Senhas   –  SO  podem  forçar  poli6ca  de  senhas   •  Indicação  de  ul6mo  logon  (Demo)   •  Bloqueio  após  n  tenta6vas  de  logon  incorretas   •  Auditoria  de  acessos  negados   •  Tempo  de  vida  da  senha     Pós-­‐Graduação    -­‐    lato  Sensu  
  • 30. Métodos  de  Auten6cação  e  Caracterís6cas   (Senhas  Está6cas)   •  Técnicas  de  Captura  de  Senhas   –  Monitoramento  eletrônico   –  Acesso  ao  arquivo  de  senhas   –  Ataques  de  força  bruta   –  Ataques  de  dicionário  (demo  Hydra)   –  Engenharia  social   –  Rainbow  tables     Pós-­‐Graduação    -­‐    lato  Sensu  
  • 31. Métodos  de  Auten6cação  e  Caracterís6cas   (Senhas  Cogni6vas)   •  Baseada  na  experiencia  de  vida  do  usuário   •  Fácil  de  memorizar   •  Ex:  nome  do  cachorro,  CPF,  data  de  aniversário  etc   •  Muito  u6lizada  em  call  centers     Pós-­‐Graduação    -­‐    lato  Sensu  
  • 32. Métodos  de  Auten6cação  e  Caracterís6cas   (Senhas  Dinâmicas)   •  One-­‐Time  Password   –  Senha  só  é  válida  1  vez   –  U6lizada  em  ambientes  de  nível  de  segurança  elevado   –  Pode  ser  u6lizado  como  2°  fator  de  auten6cação   –  Implementação   •  SoMware   •  Tokens     Pós-­‐Graduação    -­‐    lato  Sensu  
  • 33. Métodos  de  Auten6cação  e  Caracterís6cas   (Senhas  Dinâmicas)   •  Tokens  OTP   –  Geradores   de   senha   independentes   (sem  PC)   –  Disposi6vos   de   hardware   usados   para  auten6cação   Pós-­‐Graduação    -­‐    lato  Sensu  
  • 34. Métodos  de  Auten6cação  e  Caracterís6cas   (Senhas  Dinâmicas)   •  Tokens   –  Síncronos  –  sistema  que  auten6ca  e  sistema  que  solicita   auten6cação  possuem  6mer  ou  contador  para   sincronização   –  Assíncronos  –  não  demandam  sincronismo  entre  o   usuário  que  se  auten6ca  e  o  sistema     Pós-­‐Graduação    -­‐    lato  Sensu  
  • 35. Métodos  de  Auten6cação  e  Caracterís6cas   (Senhas  Dinâmicas)   •  Tokens  Síncronos   –  Peça  de  hardware   –  Senha  trocada  (30  a  60s)   –  Token  sincronizado  com  servidor   –  Normalmente  combinado  com   senha  está6ca  (Personal   Iden6fica6on  Number)   –  Combina  algo  que  usuário  sabe  e   algo  que  ele  tem  -­‐  mul6fator   Pós-­‐Graduação    -­‐    lato  Sensu  
  • 36. Métodos  de  Auten6cação  e  Caracterís6cas   (Senhas  Dinâmicas)   •  Tokens  Assíncronos   –  Funcionam  através  de  mecanismos  de  desafio/resposta   Pós-­‐Graduação    -­‐    lato  Sensu  
  • 37. Métodos  de  Auten6cação  e  Caracterís6cas   (Tokens)   •  Vantagens   –  Fácil  de  usar   •  Desvantagens   –  Custo   Pós-­‐Graduação    -­‐    lato  Sensu  
  • 38. Métodos  de  Auten6cação  e  Caracterís6cas   (Chaves  Criptográficas)   •  Assinatura  Digital   –  U6liza  chaves  privadas  para  comprovar  iden6dade  do  emissor   –  Tecnologia  que  usa  a  chave  privada  para  encriptar  um  hash  é  chamada   de  assinatura  digital   –  Cer6ficado  digital  -­‐  Conjunto  de  informações  assinadas  por  en6dade   confiável   Pós-­‐Graduação    -­‐    lato  Sensu  
  • 39. Métodos  de  Auten6cação  e  Caracterís6cas   (Memory  Cards)   •  Não  tem  capacidade  de  processar  informação   •  Pode  armazenar  informações  de  auten6cação   –  Ex1:  Usuário  insere  cartão,  acesso  liberado  (1  fator)   –  Ex2:  Usuário  introduz  o  PIN  e  insere  o  cartão  (mul6fator)   •  Podem   ser   usados   com   computadores   (necessita   de   leitora)   Pós-­‐Graduação    -­‐    lato  Sensu  
  • 40. Métodos  de  Auten6cação  e  Caracterís6cas   (Smartcards)   •  Além  de  armazenamento  tem  capacidade  de  processar   informação   •  Possui  micro-­‐processador  e  circuitos   •  Pode  realizar  operações  criptográficas   •  Pode  u6lizar  o  PIN  para  desbloquear  o  cartão  –  informação   não  pode  ser  lida  até  o  desbloqueio   Auten+cação  pode  ser  provida  por  OTP,  desafio/ resposta  ou  pelo  cer+ficado  digital   Pós-­‐Graduação    -­‐    lato  Sensu  
  • 41. Métodos  de  Auten6cação  e  Caracterís6cas   (Smartcards)   •  Categorias   –  Contact:  leitor  transmite  energia  com  o  contato   –  Contactless:  antena  em  forma  de  bobina  enrolada     Pós-­‐Graduação    -­‐    lato  Sensu  
  • 42. Métodos  de  Auten6cação  e  Caracterís6cas   (Biometria)       –  A  biometria  valida  um  traço   msico  ou  comportamental  do   usuário   –  Grande  facilidade  de  uso   –  Pode  envolver  aspectos   culturais  fortes   –  Necessita  de  ajustes   •  Erros  6po  I   •  Erros  6po  II   Pós-­‐Graduação    -­‐    lato  Sensu  
  • 43. Métodos  de  Auten6cação  e  Caracterís6cas   (Biometria)   •  Categorias     –  Baseada  em  Caracterís6cas  Físicas   –  Baseada  em  caracterís6cas  comportamentais   Pós-­‐Graduação    -­‐    lato  Sensu  
  • 44. Métodos  de  Auten6cação  e  Caracterís6cas   (Biometria)   •  Baseada  em  Caracterís6cas  Físicas   –  Analisam  um  traço  msico  do  usuário   •  Impressão  digital   •  Impressão  da  palma  da  mão   •  Geometria  da  mão   •  Reconhecimento  facial   •  Re6na   •  Íris   •  voz   Pós-­‐Graduação    -­‐    lato  Sensu  
  • 45. Métodos  de  Auten6cação  e  Caracterís6cas   (Biometria)   •  Impressão  Digital   –  A  impressão  é   transformada  em  um  vetor   matemá6co  para   confrontação   –  Bastante  popular   Pós-­‐Graduação    -­‐    lato  Sensu  
  • 46. Métodos  de  Auten6cação  e  Caracterís6cas   (Biometria)   •  Reconhecimento  facial   –  Analisa  estrutura  dos  ossos  do  rosto   –  Grande  potencial  de  crescimento  financiado  pela  indústria   an6-­‐terrorismo   Pós-­‐Graduação    -­‐    lato  Sensu  
  • 47. Métodos  de  Auten6cação  e  Caracterís6cas   (Biometria)   •  Re6na   –  Analisa  o  padrão  formado  pelas  veias  internas  do  globo   ocular   –  Em  caso  de  doenças  oculares,  sua  precisão  pode  ser   afetada   Pós-­‐Graduação    -­‐    lato  Sensu  
  • 48. Métodos  de  Auten6cação  e  Caracterís6cas   (Biometria)   •  Íris   –  Analisa  o  padrão  visual   formado  pela  íris   –  Extremamente  precisa   Pós-­‐Graduação    -­‐    lato  Sensu  
  • 49. Métodos  de  Auten6cação  e  Caracterís6cas   (Biometria)   •  Voz   –  Analisa  o  padrão  de  voz   –  U6liza  mecanismos  de   prevenção  contra  gravações   Pós-­‐Graduação    -­‐    lato  Sensu  
  • 50. Métodos  de  Auten6cação  e  Caracterís6cas   (Biometria)   •  Baseada  em  Caracterís6cas  Comportamentais   –  Analisam  um  traço  Comportamental  do  usuário   –  Menos  populares,  devido  a  sua  baixa  precisão   •  Padrão  de  digitação   •  Padrão  de  escrita   Pós-­‐Graduação    -­‐    lato  Sensu  
  • 51. Autorização   •  Determina  se  indivíduo  está  autorizado  a  acessar   recurso  par6cular   •  Componente  de  todos  os  SO  e  desejável  em   aplicações   –  Ex.  Usuário  auten6cado  no  AD  acessa  planilha  no  servidor   de  arquivos   –  SO  verifica  permissões  (baseadas  em  critérios  de  acesso)   •  Localização  msica  e  lógica,  hora,  6po  de  transação.   •  Boas  prá6cas:  Default  –  no  access  e  baseado  na   necessidade  de  conhecer   Pós-­‐Graduação    -­‐    lato  Sensu  
  • 52. Gerência  de  Iden6dades   Pós-­‐Graduação    -­‐    lato  Sensu  
  • 53. Gerência  de  Iden6dades   •  Soluções   para   a   automa6zação   do   uso   das   tecnologias   de   iden6ficação,   auten6cação   e   autorização,  ao  longo  do  seu  ciclo  de  vida   •  Gerenciamento   de   contas   e   senhas,   controle   de   acesso,   SSO,   gerencia   de   direitos   e   permissões,   auditoria  e  monitoramento  desses  itens   •  Várias  tecnologias  combinadas  ou  integradas   Pós-­‐Graduação    -­‐    lato  Sensu  
  • 54. Gerência  de  Iden6dades   •  Para  que  usar  isso?   Pós-­‐Graduação    -­‐    lato  Sensu  
  • 55. Gerência  de  Iden6dades   •  Questões  Comuns   –  O  que  cada  usuário  deve  ter  acesso?   –  Quem  aprova  e  permite  o  acesso?   –  Como  é  o  processo  de  revogação  de  acesso?   –  Como  o  acesso  é  controlado  e  monitorado  de  forma  centralizada?   –  Como  centralizar  o  acesso  a  várias  plataformas  de  SO  e  aplicações?   –  Como  controlar  acesso  de  empregados,  parceiros  e  clientes?   •  A   tradicional   Gerência   de   iden6dades   (diretórios   com   permissões,   ACL   e   perfis)   é   considerada   incapaz   de   tratar   todos  esses  problemas       Pós-­‐Graduação    -­‐    lato  Sensu  
  • 56. Gerência  de  Iden6dades   •  Conceito  Moderno  de  Gerência  de  Iden6dades   –  U6liza   aplicações   automá6cas,   ricas   em   funcionalidades   trabalhando   em   conjunto   para   criar   uma   infraestrutura   de   gerência  de  iden6dades   –  Gerencia   de   iden6dades,   auten6cação,   autorização   e   auditoria  em  múl6plos  sistemas     Pós-­‐Graduação    -­‐    lato  Sensu  
  • 57. Gerência  de  Iden6dades   •  Ferramentas  e  Tecnologias   –  Diretórios   –  Gerenciamento  de  acesso  Web  (WAM)   –  Gerencia  de  senhas   –  SSO   –  Gerenciamento  de  contas   –  Atualização  de  perfis       Pós-­‐Graduação    -­‐    lato  Sensu  
  • 58. Gerência  de  Iden6dades   •  Ferramentas  e  Tecnologias   –  Diretórios  (catálogo  de  informações)   •  Contém   informações   centralizadas   de   usuários   e   recursos   (principal  componente)   •  Formato  de  dados  hierárquico  -­‐  padrão  X.500   •  Protocolo  de  acesso  –LDAP   –  Aplicações  requisitam  info  de  usuários   –  Usuários  requisitam  info  de  recursos   •  Objetos  são  gerenciados  pelo  Serviço  de  Diretório     –  Permite   ao   admin   configurar   e   gerenciar   a   iden6ficação,   auten6cação  e  autorização  aos  recursos         Pós-­‐Graduação    -­‐    lato  Sensu  
  • 59. Gerência  de  Iden6dades   •  Ferramentas  e  Tecnologias   –  Diretórios   •  Componente  principal  da  solução     •  Armazena  informações  vindas  de  outros  sistemas   –  Atributos  de  usuários  podem  ser  fornecidos  pelo  RH       Pós-­‐Graduação    -­‐    lato  Sensu  
  • 60. Gerência  de  Iden6dades   •  Ferramentas  e  Tecnologias   –  Diretórios   •  Ambiente  windows   –  Usuário  loga  no  Controlador  de  Domínio   –  Serviço  de  diretório  –  AD   –  AD  organiza  recursos  e  implementa  controle  de  acesso   –  Configuração   do   AD   é   responsável   por   disponibilização   de   recursos   para   os   usuários   (impressoras,   arquivos,   servidores   web  etc)   •  Problemas   –  Muitas  aplicações  legadas  não  são  compa6veis     Pós-­‐Graduação    -­‐    lato  Sensu  
  • 61. Gerência  de  Iden6dades   •  Ferramentas  e  Tecnologias   –  WAM   •  Controla  usuário  quando  acessa  aplicação  Web   •  Muito  u6lizada  em  e-­‐commerce,  online  banking  etc   •  Pode  u6lizar:  senhas,  cer6ficados  digitais,  tokens  etc     Pós-­‐Graduação    -­‐    lato  Sensu  
  • 62. Gerência  de  Iden6dades   •  Ferramentas  e  Tecnologias   –  Gerência  de  senhas   •  Grande   custo   administra6vo   com   help-­‐desk   para   resetar   senhas   •  Usuários  precisam  memorizar  grande  quan6dade  de  senhas   para  diversos  sistemas   –  Soluções  de  Gerência  de  Senha   •  Sincronismo  de  senhas   •  Self-­‐service  reset   •  Reset  assis6do     Pós-­‐Graduação    -­‐    lato  Sensu  
  • 63. Gerência  de  Iden6dades   •  Ferramentas  e  Tecnologias   –  SSO  –  Single  Sign  On   •  Auten6cação  única   •  Desafio  tecnológico   •  Alto  custo   •  Discu{vel  sob  o  aspecto  de  segurança   •  Não  compa{vel  com  sistemas  legados     Pós-­‐Graduação    -­‐    lato  Sensu  
  • 64. Gerência  de  Iden6dades   •  Ferramentas  e  Tecnologias   –  SSO  com  kerberos     Pós-­‐Graduação    -­‐    lato  Sensu  
  • 65. Gerência  de  Iden6dades   •  Ferramentas  e  Tecnologias   –  Gerênciamento  de  Contas   •  Criação  de  contas  em  diversos  sistemas   •  Modificação  de  privilégios   •  Ex6nção     –  Processo  formal  para  criação  de  contas,  atribuição  de  privilégios   e  ex6nção   •  Implementação  de  wokflow  auditável       Pós-­‐Graduação    -­‐    lato  Sensu  
  • 66. Gerência  de  Iden6dades   •  Ferramentas  e  Tecnologias   –  Atualização  de  perfis   •  Informações  associadas  a  iden6dade  do  usuário   •  Perfil  pode  ter  informações  sensiveis  ou  não   –  Ex.   Usuário   atualiza   perfil   no   site   Submarino   e   as   informações  são  u6lizadas  pelo  CRM     Pós-­‐Graduação    -­‐    lato  Sensu  
  • 67. Gerência  de  Iden6dades   •  Aspectos  de  segurança   –  Vantagens   •  Eficiência   •  Polí6ca  de  senhas  configurada  centralmente   •  Logs  centralizados   –  Desvantagens   •  Grande  dificuldade  técnica  e  financeira   Pós-­‐Graduação    -­‐    lato  Sensu  
  • 68. Modelos   Pós-­‐Graduação    -­‐    lato  Sensu  
  • 69. Modelos  de  Controle  de  Acesso   •  Framekorks  que  norma6zam  como  sujeitos  acessam   objetos   •  U6lizam  tecnologias  para  reforçar  regras  e  obje6vos   do  modelo   •  São  implementados  no  kernel  (seurity  kernel)  ou  em   aplicações   •  Principais   –  DAC   –  MAC   –  RBAC   Pós-­‐Graduação    -­‐    lato  Sensu  
  • 70. Modelos  de  Controle  de  Acesso      Discre6onary  Access  Control   •  Proprietário  (owner)  do  recurso  é   responsável  por  atribuir  as   permissões   •  Princípio:  Ninguém  melhor  que  o   owner  para  dar  direitos   •  Problemas  prá6cos       –  owner  é  um  usuário   –  complexidade   •  Tipos  mais  comuns  de   implementação   –  ACL   –  Capability  Tables   Pós-­‐Graduação    -­‐    lato  Sensu  
  • 71. Modelos  de  Controle  de  Acesso      Mandatory  Access  Control   •  Inicialmente  projetado  para  uso   militar     •  Baseado  no  modelo  Bell-­‐LaPadula  –   1973   •  Componentes   –  Classificação     –  Credenciais  de  segurança/necessidade   de  conhecer   •  hcp://www.vivaolinux.com.br/ ar6gos/impressora.php? codigo=9883   Pós-­‐Graduação    -­‐    lato  Sensu  
  • 72. Modelos  de  Controle  de  Acesso    Role-­‐Based  Access  Control   •  Permissões  são  atribuídas  a  papéis   •  Os  papéis  representam  funções   •  Os  usuários  são  atribuídos  aos  papéis   Pós-­‐Graduação    -­‐    lato  Sensu  
  • 73. Outras  tecnologias     de  Controle  de  Acesso   •  Rule-­‐based   •  Content  dependent   •  Context  dependent   •  Interfaces  restritas   •  Thin  clients   Pós-­‐Graduação    -­‐    lato  Sensu  
  • 74. Outras  tecnologias     de  Controle  de  Acesso   Rule-­‐based   •  O  controle  de  acesso  é  feito  através  de  um  conjunto   regras   •  Exemplos   –  Anexos  de  e-­‐mail  >  5  MB,  nega   –  Firewalls   Pós-­‐Graduação    -­‐    lato  Sensu  
  • 75. Outras  tecnologias     de  Controle  de  Acesso   Content  dependent   •  Considera  o  conteúdo  do  objeto  no  processo  de   controle  de  acesso   –  Filtros  de  e-­‐mail  que  procuram  por  strings  específicas   (confidencial,  CPF  etc)   •  Carnivore   Pós-­‐Graduação    -­‐    lato  Sensu  
  • 76. Outras  tecnologias     de  Controle  de  Acesso   Context  dependent   •  Baseado  no  contexto,  por  meio  da  coleta  e  análise   de  informações   –  Statefull  firewall   Pós-­‐Graduação    -­‐    lato  Sensu  
  • 77. Interfaces     restritas   •  Restrição  ou  limitação  das   interfaces  usadas  para  acessar  os   objetos   •  Tipos   –  Menus  e  shells   –  interfaces  msicas  restritas   •  Exemplos   –  Caixa  eletrônico   Pós-­‐Graduação    -­‐    lato  Sensu  
  • 78. Outras  tecnologias     de  Controle  de  Acesso   Thin  client   •  Arquitetura  cliente/servidor   •  Computadores  sem  disco   •  Força  logon  centralizado   •  Pode  prover  SSO   Pós-­‐Graduação    -­‐    lato  Sensu  
  • 79. Controle  de  Acesso  Centralizado   •  Obje6vo  ambicioso   •  Ponto  central  de  controle  de  acesso   •  Tecnologias  u6lizam  AAA   –  Radius  e  Tacacs   •  Auten6cação   –  PAP,  CHAP  e  EAP   Pós-­‐Graduação    -­‐    lato  Sensu  
  • 80. Controle  de  Acesso  Centralizado   •  Radius  –  Remote   Authen6ca6on  Dial-­‐in  User   Service   –  Auten6cação  PAP,  CHAP  ou   EAP   –  Servidor  de  acesso  (AS)  é   cliente  Radius   –  Usa  UDP   –  Faz  bilhetagem  (AS  informa   login  e  logout)   –  Criptografa  somente  a  senha   –  Mais  u6lizado  para   auten6cação  simples   Pós-­‐Graduação    -­‐    lato  Sensu  
  • 81. Controle  de  Acesso  Centralizado   •  Radius   –  “O  serviço  RADIUS  é  amplamente  usado  em  provedores  de  acesso  a   internet.   No   Brasil   por   exemplo,   a   Oi   (empresa   de   telecomunicações)   usa   RADIUS   no   seu   produto   ADSL   chamado   Velox.  No  sistema  Velox,  o  cliente  inicia  um  pedido  de  conexão  via   protocolo  PPPoE,  um  roteador  Cisco  série  7000  atende  o  pedido  e   envia   o   nome   de   usuário   e   senha   para   o   servidor   RADIUS   (localizado   num   datacenter   no   Rio   de   Janeiro),   o   RADIUS   por   sua   vez   confere   as   credenciais   em   seu   banco   de   dados   e   retorna   para   o   roteador   se   o   cliente   pode   se   conectar   ou   não.   Se   a   resposta   for   posi6va,  o  cliente  receberá  um  IP  público  e  poderá  navegar,  caso  a   resposta  seja  nega6va,  o  acesso  é  negado”   Pós-­‐Graduação    -­‐    lato  Sensu  
  • 82. Controle  de  Acesso  Centralizado   •  TACACS  –  Termina  Access  Controller  Access  Control  System     –  Usa  TCP   –  Criptografa  todos  os  dados   –  Separa  processos  de  AAA  –  mais  flexibilidade   Pós-­‐Graduação    -­‐    lato  Sensu  
  • 83. FIM   Pós-­‐Graduação    -­‐    lato  Sensu