Tópico 02
Conceitos e Princípios da Segurança da Informação. Arquitetura de Segurança OSI. Ataques a Segurança. Mecanismos de Segurança. Serviços de Segurança.
A Internet: Prestadores de Serviço
Provedores de comunicação: empresas que fornecem
serviços de comunicação de dados.
Provedores de acesso: montam uma rede com grande
capilaridade com o intuito de atingir uma gama enorme de usuários finais.
Provedores de “backbone”: grandes organizações
oferecendo as suas infra-estruturas de comunicação de dados como “espinha dorsal” para acesso a Internet.
Provedores de Informação: prestadores de serviço que se
utilizam da Internet para atingir os seus clientes oferecendo o seu produto.
Economia na Internet
O compartilhamento de recursos permite obter uma grande economia nos sistemas baseados na Internet.
O provedor de informações só precisa se conectar a rede e
oferecer as suas informações a comunidade de usuários da rede No caso de uma rede privada, além das funções de provedor de informação, devem ser feitas também as funções de provedor de backbone e de provedor de acesso.
Vamos comparar os custos de implementação de um sistema on-line de acesso a serviços bancários em três casos distintos:
- acesso via agência (sistema tradicional)
Ameaças
As informações que circulam na Internet devem passar por
roteadores de terceiros podendo percorrer caminhos diferentes a cada transação realizada.
Estas informações pode ser facilmente observadas quando estão em trânsito pela rede (softwares especialistas).
A enorme facilidade de acesso a Internet propicia um grande número de pessoas com facilidade de acesso, e
consequentemente podendo, em princípio, interferir
negativamente no sistema transacional on-line, (hackers e crackers)
• Requisitos de Segurança de Informações tem sido alterados constantemente, nos tempos atuais.
• Tradicionalmente, são providos por mecanismos administrativos e físicos.
• Computadores utilizam requisitos automatizados por ferramentas para proteger arquivos e outras informações armazenadas.
• O uso de redes e canais de comunicação
requerem medidas para proteger dados durante a transmissão
Internet Security
• Com o implementação da Internet, o
problema da segurança foi levado ainda também para o domínio da “coleção” de redes de comunicação de dados
interconectadas;
• As medidas para proteger dados durante
sua transmissão sobre a Internet é chamada de “Network Security”
Security
• Não há uma linha divisória muito clara entre os tipos de segurança.
• Claro é que esses tipos são extremamente necessários, e um não pode funcionar sem o outro;
• Qualquer solução de segurança em sistemas distribuídos deve contemplar estes aspectos com igualdade de importância.
Arquitetura de Segurança OSI
• ITU-T X.800 “Arquitetura de Segurança OSI• define uma forma sistemática de definição de requisitos de
Aspectos da Segurança
• São considerados 3 aspectos da segurança da informação – Ataque à segurança
– Mecanismos de segurança
Ataque à Segurança
Qualquer ação que compromete a segurança das informações proprietárias de uma organização. Segurança de informação é sobre como prevenir ataques, ou na sua impossibilidade, como detectar ataques a sistemas baseados em informações.
Muitas vezes ameaça e ataque são utilizados com o mesmo significado.
Ataque à Segurança
Passivo – Interrupção – Interceptação – Análise de Tráfego Ativo – Mascaramento – Replay – Modificação de Mensagem – Deny of Service (DoS)Deny of Service (DoS)
Defesa: aplicação de filtros no servidor.
Mecanismos de Segurança
Mecanismos de Segurança são
–técnicas;
–procedimentos; e –algoritmos
que, quando utilizados adequadamente garantem a
implementação dos serviços de segurança de computação ou de comunicação
Recurso projetado para detectar, prevenir ou recuperar de um ataque de segurança. Nenhum mecanismo único é capaz de suprir as necessidades de todos os serviços necessários.
No entanto, grande parte dos mecanismos de segurança em uso, são supridos por técnicas criptográficas; dessa forma,
Mecanismos de Segurança (X.800)
•
Mecanismos específicos de segurança:
– Podem ser incorporados à camada de protocolo apropriada a fim de oferecer algum dos serviços de segurança OSI.
•
Mecanismos de segurança pervasivos
– Mecanismos que não são específicos a qualquer serviço de segurança OSI ou camada de protocolo específica.
Cifragem
Uso de algoritmos matemáticos para transformar os dados em um formato que não seja
prontamente decifrável. A transformação e a
subsequente recuperação dos dados depende de um algoritmo, em conjunto ou não com chaves de criptografia.
Assinatura Digital
Dados anexados de (ou uma transformação criptográfica de) uma unidade de dados que
permite que um destinatário da unidade de dados comprove a origem a a integridade da unidade de dados e proteja-se contra falsificação (por
Controle de Acesso
Um série de mecanismos que impões direitos de acesso aos recursos.
Integridade de Dados
Um série de mecanismos utilizados para garantir a integridade de uma unidade de dados ou fluxo
Troca de Informações de Autenticação
Um mecanismo com o objetivo de garantir a
identificação de uma entidade por meio da troca de informações.
Preenchimento de Tráfego
Inserção de bits nas lacunas de um fluxo de dados para frustrar as tentativas de análise do tráfego.
Controle de Roteamento
Permite a seleção de determinadas rotas
fisicamente seguras para certos dados e permite mudanças de roteamento, especialmente quando existe suspeita de uma brecha de segurança.
Certificação
O uso de uma terceira entidade confiável para garantir certas propriedades de uma troca de dados.
Funcionalidade Confiável
Aquela que é considerada como sendo correta em relação a alguns critérios (por exemplo, conforme estabelecida por uma política de segurança)
Rótulo de Segurança
A marcação vinculada a um recursos (que pode ser uma unidade de dados), que nomeia ou
Detecção de Evento
Registros de Auditoria de Segurança
Dados coletados e potencialmente utilizados para facilitar uma auditoria de segurança, que é uma revisão e exame independentes dos registros e atividades dos sistemas.
Recuperação de Segurança
Lida com solicitações de mecanismos, como funções de tratamento e gerenciamento de eventos, e toma medidas de recuperação.
Serviços de Segurança
– Visam aumentar a segurança de sistemas informáticos e as transferências de informação de uma organização
– Destinam-se a combater os ataques à segurança, utilizando um ou mais mecanismos de segurança, por vezes replicando função associadas usualmente a documentos físicos, tais quais:
Assinaturas, datas; necessidade de proteção contra a
divulgação, alteração e destruição; serem autenticados ou testemunhados; serem registrados ou licenciados.
Serviços de Segurança
• X.800:“serviço fornecido por uma camada de protocolo de comunicação de sistemas abertos, o qual garante segurança adequada para os sistemas ou dados a serem transferidos. ”
• RFC 2828:
“processo ou serviço de comunicação fornecido por um sistema para dar um tipo específico de proteção aos recursos desse sistema.”
Confidencialidade
Garante que as informações armazenadas num sistema de computação ou transmitidas via rede de computadores sejam acessadas ou
manipuladas somente pelos usuários devidamente autorizados. Pode ser
- confidencialidade da conexão - confidencialidade sem conexão
- confidencialidade por campo selecionado - confidencialidade do fluxo de tráfego
Autenticação
Garante que os participantes de uma comunicação sejam corretamente identificados, tendo-se
certeza absoluta das identidades dos mesmos. Pode ser:
- autenticação da entidade par
Integridade
Garante que a informação processada ou
transmitida chegue ao seu destino exatamente da mesma forma em que partiu da origem, ou de
quando foi arquivada. Pode ser:
- integridade da conexão com recuperação - integridade da conexão sem recuperação
- integridade da conexão com campo selecionado - integridade sem conexão
Irretratabilidade
Garante que nem o originador nem o destinatário das informações possam negar a sua transmissão, recepção ou posse. Pode ser:
- irretratabilidade de origem - irretratabilidade de destino
Controle de Acesso
Garante controle total de acesso às informações e recursos do sistema, permitindo a sua operação somente por usuários autorizados.