Universidade Federal de Ouro Preto Instituto de Ciˆencias Exatas e Aplicadas – ICEA Departamento de Computa¸c˜ao e Sistemas – DECSI
Jo˜ao Monlevade-MG 1◦semestre de 2016
Nota de uso
Nota de uso
Este material foi produzido utilizando principalmente como referˆ
encia o
livro de Kim e Solomon (2014). As imagens referenciadas a esse livro
foram retiradas do material disponibilizado pela editora como conte´
udo
extra para professores.
Restrigir e permitir acesso → autom´oveis, casas, computadores, celulares, tablets, dentre outros.
Chaves “espec´ıficas”
Processo de proteger um recurso.
Garantir que o recurso seja utilizado somente por aqueles com permiss˜ao.
Protegem contra uso n˜ao autorizado. Definem quem s˜ao os usu´arios:
Pessoas ou processos computacionais → o que podem fazer, acessar e realizar.
Partes de Controle de Acesso
Partes de Controle de Acesso
Definido em quatro partes:
Autoriza¸c˜ao → Quem est´a aprovado para acessar e o que eles podem usar?
Identifica¸c˜ao → Como eles s˜ao identificados?
Autentica¸c˜ao → Suas identidades podem ser verificadas?
Responsabiliza¸c˜ao → Como acompanhar as a¸c˜oes e identificar que fez mudan¸cas?
Divididas em duas fases:
Defini¸c˜ao de pol´ıtica → determina quem tem acesso e quais sistemas ou recursos podem usar – Autoriza¸c˜ao.
Imposi¸c˜ao de pol´ıtica → concede ou rejeita solicita¸c˜oes com base nas autoriza¸c˜oes – Identifica¸c˜ao, Autentica¸c˜ao e Responsabiliza¸c˜ao.
Tipos, elementos e defini¸c˜oes
Tipos, elementos e defini¸c˜
oes
Controles de acesso f´ısico
Entrada em pr´edios, ´areas de estacionamento e ´areas protegidas. Catracas, cart˜oes de acesso, portas especiais, dentre outros.
Controles de acesso l´
ogico → sistema computacional, rede e
dispositivos.
Dedicidir quais usu´arios podem entrar em um sistema. Monitorar o que o usu´ario faz no sistema.
Restringir ou influenciar o comportamento do usu´ario no sistema. Access Control List, diret´orio, dom´ınio ou outro reposit´orio de permiss˜oes.
Tipos, elementos e defini¸c˜oes
Tipos, elementos e defini¸c˜
oes
Elementos centrais das pol´ıticas de controle de acesso:
Usu´arios
Recursos → objetos protegidos do sistema
A¸c˜oes → atividades que usu´arios autorizados podem realizar sobre os recursos.
Relacionamentos → permiss˜oes concedidas, como leitura, escrita, execu¸c˜ao.
Tipos, elementos e defini¸c˜oes
Tipos, elementos e defini¸c˜
oes
Definindo uma pol´ıtica de autoriza¸
c˜
ao:
Definir regras de autoriza¸c˜ao → quem tem acesso a qual recurso; Pol´ıtica de inclus˜ao em grupo → cargos ou grupos.
Pol´ıtica de n´ıvel de autoridade → grau maior de autoridade para acessar certos recursos.
M´
etodos de identifica¸
c˜
ao:
Pol´ıticas definidas → imposi¸c˜ao.
Identifica¸c˜ao → m´etodo utilizado para solicitar acesso a um recurso – cart˜ao inteligente, biometria.
Diretrizes de identifica¸
c˜
ao:
A¸c˜oes → usu´ario espec´ıfico. Usu´ario → identificador exclusivo. Associa¸c˜ao → auditoria (accounting ).
Processos e requisitos de autentica¸c˜ao
Processos e requisitos de autentica¸c˜
ao
Autentica¸
c˜
ao → prova que quem solicita o acesso ´
e o mesmo que
recebeu direito de acesso.
Tipos:
Conhecimento → usu´ario sabe: senha, frase secreta. Propriedade → usu´ario tem: cart˜ao, chave, crach´a, token.
Caracter´ısticas → exclusivo ao usu´ario: impress˜oes digitais, retina.
Autentica¸
c˜
ao de fator ´
unico → pode ser comprometida por si s´
o.
Autentica¸
c˜
ao de fator duplo → usar pelo menos dois dos trˆ
es
fatores.
Autentica¸
c˜
ao por conhecimento:
Pol´ıtica e melhores pr´aticas de senha. Senhas “fortes”.
Pol´ıticas de bloqueios de conta. Auditoria de eventos de acesso. Reativa¸c˜ao e armazenamento de senha. Utilizando uma frase secreta.
Processos e requisitos de autentica¸c˜ao
Processos e requisitos de autentica¸c˜
ao
Autentica¸
c˜
ao por conhecimento:
Tokens s´ıncronos.
Autentica¸c˜ao cont´ınua → proximidade. Tokens ass´ıncronos → desafio-resposta.
Processos e requisitos de autentica¸c˜ao
Processos e requisitos de autentica¸c˜
ao
Autentica¸
c˜
ao por caracter´ısticas – Biometria:
Est´atica → fisiol´ogica, por exemplo. Dinˆamica → comportamental, por exemplo.
Preocupa¸c˜oes → precis˜ao, aceita¸c˜ao e tempo de rea¸c˜ao. Tipos → impress˜ao digital, impress˜ao da palma, retina, ´ıris, reconhecimento facial, padr˜ao de voz, dinˆamica de toque de tecla e dinˆamica de assinatura.
Vantagens: Presen¸ca f´ısica Lembran¸ca Dif´ıcil de falsificar. Perda Desvantagens:
Caracter´ısticas f´ısicas podem mudar.
Nem todas as t´ecnicas s˜ao igualmente efetivas – qual usar? Tempo de resposta pode ser lento.
Dispositivos podem ser caros.
Responsabiliza¸c˜ao
Responsabiliza¸c˜
ao
Arquivos de hist´
orico → log files
Reten¸c˜
ao de dados, descarte de m´ıdia e requisitos de conformidade.
Controles de seguran¸
ca → mecanismos para evitar interromper ou
minimizar um risco de ataque para um ou mais recursos.
Modelos Formais de Controle de Acesso
Modelos Formais de Controle de Acesso
Controle de acesso discricion´
ario (DAC) → o propriet´
ario do recurso
pode delegar acesso a outros.
Controle de acesso obrigat´
orio (MAC) → permiss˜
ao para entrar em
um sistema ´
e mantida pelo propriet´
ario e n˜
ao pode ser dada a outros
Isolamento temporal de objetos
Controle de acesso n˜
ao discricion´
ario → monitorado pelo
administrador de seguran¸
ca e n˜
ao pelo administrador do sistema
(recurso).
Controle basedo em regra → lista de regras (ACL).
Interface restrita de usu´
ario → menus, bancos de dados, restri¸
c˜
oes
f´ısicas, criptografia.
Acesso f´ısico.
Intercepta¸c˜
ao por observa¸c˜
ao.
Intercep¸c˜
ao eletrˆ
onica.
Intercep¸c˜
ao de comunica¸
c˜
ao.
Contornando a seguran¸
ca.
Explorando hardware e software.
Reutilizando ou descartando m´ıdia.
Acessando redes.
Efeitos de Viola¸c˜ao de Controle de acesso
Efeitos de Viola¸c˜
ao de Controle de acesso
Perda de confian¸
ca de clientes.
Perda de oportunidades de neg´
ocios.
M´
a publicidade.
Mais vigilˆ
ancia.
Penalidades financeiras.
Nova legisla¸
c˜
ao e regulamenta¸
c˜
oes impostas sobre a organiza¸
c˜
ao.
Dentre outras.
Centralizado:
Uma ´unica entidade comum decide que pode acessar sistemas e redes. N´ıvel central em vez de n´ıvel local.
Servi¸cos de autentica¸c˜ao centralizados → AAA – authentication, autorization, accouting.
Quais s˜ao os benef´ıcios? E as desvantagens?
Controle de acesso Centralizado e Descentralizado
Controle de acesso Centralizado e Descentralizado
Descentralizado:
Controle acesso definido localmente → departamentos, se¸c˜oes, dentre outros.
O controle est´a nas m˜aos das pessoas → supervisores, gerentes – entidades locais.
Quais s˜ao os benef´ıcios? E as desvantagens?
Preocupa¸
c˜
oes das organiza¸
c˜
oes acerca do monitoramento eletrˆ
onico:
Responsabilidade em processos de ass´edio. Perdas e roubos por funcion´arios.
Produtividade
