Aspectos de

Segurança de Redes
 Aspectos de Segurança de Redes
Introdução

Os utilizadores das redes de computadores

mudaram, bem como o uso que os mesmos fazem
da rede.

A segurança da rede despontou como um

problema em potencial.

O crescimento comercial assustador da Internet

nos últimos anos foi superado apenas pela
preocupação com a segurança deste novo tipo de
media.
 Aspectos de Segurança de Redes
Introdução
A segurança na sua forma mais simples preocupa-
se em garantir que as pessoas mal intencionadas
(externas à empresa, ou internas) não leiam, ou
pior, ainda modifiquem dados/mensagens.

É estatisticamente levantado que a maior parte

dos problemas de segurança são intencionalmente
causados por pessoas que tentam obter algum
benefício ou prejudicar alguém.
 Política de segurança da empresa
Considerações
Segundo pesquisas, e constatações feitas pelas
próprias empresas especializadas em vender
projetos e produtos voltados para o segmento de
segurança de informação:

“As empresas são vulneráveis, frágeis e passíveis

de invasões porque a grande maioria dos
executivos – não apenas os responsáveis pela área
de tecnologia – adoptam posturas paternalistas e
não profissionais em relação às informações
dentro das corporações”.
 Política de segurança da empresa
Considerações
Políticas de segurança são responsabilidades dos
CIOs, cabendo aos mesmos escreverem as
diretrizes, sejam elas agradáveis ou não para os
funcionários.

Especialistas reconhecem que 100% de segurança

é impossível de ser alcançado, todavia é possível
alcançar um alto grau de garantia da informação
se houver mecanismos de controlo diário, 24
horas por dia, sete dias por semana.
Política de segurança da empresa
Considerações

◼“Os equipamentos só funcionam se tivermos

uma política para cuidar das pessoas que lidam
com eles”.

◼“A equação no caso da informação é tratar do

funcionário”.
Tipos de penetras mais comuns
Diverte-se a bisbilhor as mensagens de correio
Estudante
electrónico de outras pessoas.
Testa o sistema de segurança de alguém
Hacker
(roubar/deletar/alterar, adicionar dados).
Executivos Descobrir a estratégia de marketing do concorrente.
Representantes
Ampliar mercado de atuação.
de vendas
Ex-funcionário Vingar-se, retaliar-se de perseguições ou demissões.

Espião Descobrir, roubar segredos ou informações privilegiadas.

Roubar números de cartão de crédito e vendê-los.
Vigarista
Alterar dados em proveito próprio.
Terrorista Roubar segredos militares ou bacteriológicos.
Passar-se por outros em intermediações ou transações
Outros
com ou em pessoas ou empresas.
Lidar com segurança é lidar com adversários inteligentes, dedicados,
e muitas vezes bem subsidiado.
 Tipos de ataque
Externos
Vulnerabilidade na rede (protocolos,
implementações, etc.).

Vulnerabilidade nas aplicações (web servers, etc.).

Causas mais prováveis

◼Faltade proteção ou proteção insuficiente.
◼Confiança excessiva.
◼Inexistência de auditoria
 Tipos de ataque
Internos

Acesso não autorizado a dados.

Sabotagem.

Engenharia social.

Causas mais prováveis

◼Inexistência de acesso hierárquico.
◼Retaliação.
 Tipos de ataque

Implementar uma política de segurança numa

empresa ou organização implica implementar
controlos de segurança do tipo:
◼Físicos;
◼Lógicos;
◼Organizacionais;
◼Pessoais;
◼Operacionais;
◼De desenvolvimento de aplicações;
◼Das estações de trabalho;
◼Dos servidores;
◼De proteção na transmissão de dados.
 Tipos de ataque

O desenvolvimento de uma política de segurança

deve ser uma actividade interdepartamental.

As áreas afetadas devem participar do processo

envolvendo-se e comprometendo-se com as metas
propostas além de:

◼Entender o que é necessário;

◼Saber porque são responsáveis;
◼O que é possível com o processo.
 Controles de segurança
Controles físicos

Referem-se à:
◼Restrição de acesso indevido de pessoas a áreas
críticas da empresa (ex: CPD);

◼Uso de equipamentos ou sistemas por

funcionários mal treinados;
 Controles de segurança
Controles lógicos

Referem-se à:
◼Prevenção e fortalecimento de proteção seletiva
de recursos;

◼Problemas / prevenção causados por vírus, e

acesso de invasores;

◼Fornecer / retirar autorização de acesso;

 Controles de segurança
Controles lógicos

Referem-se à:
◼Fornecer relatórios que informam que recursos
estão protegidos e que utilizadores tem acesso a
esses recursos;

◼Maneira fácil e compreensível de administrar

essas capacidades.
 Controles de segurança
Controles organizacionais
Referem-se à:
◼Responsabilizar cada utilizador por lista de
deveres;

◼Especificar em cada lista o que, quando e como

deve ser feito;

◼Esclarecer as consequências do não cumprimento

da lista.
 Controles de segurança
Controles pessoais
Referem-se à:

◼Criação de motivação / treino sobre segurança;

◼Bloqueiodos ficheiros pessoais do empregado

quando da sua demissão;

◼Troca de senha quando da demissão do

funcionário;
 Controles de segurança
Controles pessoais
Referem-se à:

◼Inclusão de tópicos de segurança computacional

no manual dos empregados;

◼Cobrar aspectos de segurança na avaliação o

funcionário.
 Controles de segurança
Controles operacionais
Referem-se à:

◼Acompanhar e registar cada problema, a sua

causa e a sua solução;

◼Planear estruturas de ficheiros e de diretórios;

 Controles de segurança
Controles operacionais

◼Prever / fornecer proteção de energia ao parque

computacional e de conectividade (hubs, switches,
routers, etc.);

◼Garantir a confiabilidade e a integridade dos

dados avaliando o aspecto custo da rede.
 Controles de segurança
Controles de desenvolvimento de aplicações
Referem-se à:
1) No caso das empresas que não desenvolvem
aplicações:
◼Adquirir software necessário e documentação
necessária.

2) No caso de empresas que desenvolvem

aplicações:
• Verificar a existência / eliminar bugs em softwares;
• Dar apoio de software em outros locais da
organização;
• Manter / actualizar documentação.
 Controles de segurança
Controles das estações de trabalho

Referem-se a:
◼Proteger os computadores contra roubo de
placas e acessos ao interior do gabinete (uso de
travões);

◼Controlar instalação de programas de captura de

senha;

◼Controlar acesso às estações.

 Controles de segurança
Controles de servidor

Referem-se a:
◼Fornecer proteção diversa (contra incêndios,
humidade, temperatura, acesso);

◼Mantê-lo em ambiente fechado.

 Controles de segurança
Controles de proteção na transmissão de dados

Referem-se a:
◼Uso de criptografia;

◼Uso de fibras ópticas ou cabos pneumáticos que

emitem alarmes quando despressurizados por
“shunts”;

◼Filtros/ proxy /firewall nas fronteiras da rede,

entre redes.
 Mecanismos de segurança

Ajudam a implementar políticas de

segurança e os seus serviços:

◼Criptografia

◼Filtros

◼Proxy

◼Firewall
 O que vem a ser a Criptografia?

É a ciência que faz uso da

matemática permite criptografarmos
(cripto=esconder) e
decriptografarmos dados.
 O que vem a ser a Criptoanálise?

É a ciência que estuda como partir

um texto cifrado, ou seja, descobrir
o texto claro a partir do texto
cifrado revelando o significado da
mensagem.
 O que vem a ser a Criptologia?

É a área da matemática que estuda

a Criptografia e a Criptoanálise.
 Por que usar a Criptografia?

Para fornecer:

◼Confidencialidade;

◼Integridade;

◼Verificação de autoria;
◼Autenticação.
Como se dá um processo de
Encriptação e Decriptação?

SINTEGRA *$R!??:{ SINTEGRA

Texto Texto Texto

cifrado original
Encriptação Decriptação

Fonte Destino
 Como um sistema criptográfico é usado?

Algoritmo de criptografia: função

matemática usada para encriptar e
decriptar (Público).
Chave: é o código utilizado pelo algoritmo
de criptografia para encriptar necessário
para a realização da decriptação (Secreto).
Através do criptógrafo o sistema de
criptografia é formado.
 Características do criptógrafo

◼Confidencialidade da chave;

◼Uso de chaves comuns e fáceis de

adivinhar;

◼A dificuldade em se inverter o algoritmo

criptográfico sem a chave;
 Características do criptógrafo

◼A inexistência de backdoors;

◼A possibilidade de se decodificar todo um

texto cifrado dado que se saiba como parte
dele é decodificada;

◼O conhecimento de propriedades
peculiares da mensagem em texto claro.
Tipos de criptografia

Criptografia com chaves secretas

(ou simétricas);

Criptografia com chaves públicas

(ou assimétricas);
 Criptografia Simétrica
(ou com chave secreta)
Utiliza a mesma chave para encriptar e
decriptar uma mensagem.

MENSAGEM *$R!??:{ MENSAGEM

Texto Texto Texto

cifrado original
Encriptação Decriptação

Fonte Destino
Formas de implementar
Criptografia Simétrica
1) Através de tabela de códigos

Letra da mensagem Código

A ABC

B DEF

C GHI

D JKL
. .
. .
. .
 Formas de implementar
Criptografia Simétrica
1) Através de deslocamentos

◼As letras da mensagem são

substituídas pela n-ésima letra após a
sua posição no alfabeto.
 Criptografia Simétrica
Vantagens e desvantagens

Vantagens
◼Rapidez, simples de implementar.

Desvantagens
◼É necessário um canal seguro para
enviar a chave.
 Criptografia Assimétrica

Utiliza uma chave para encriptar e outra para

decriptar a mensagem.

Também chamados de Algoritmos de Chave

Pública.

Primeiros algoritmos desenvolvidos em 1975 por

Diffie and Hellman.
Criptografia Assimétrica
(ou com chave secreta)
Chave pública Chave privada

MENSAGEM *$R!??:{ MENSAGEM

Texto Texto Texto

cifrado original
Encriptação Decriptação

Fonte Destino
 Criptografia Assimétrica
Chave privada

Nesta implementação os utilizadores podem

difundir a chave pública para todos que
queiram enviar mensagens para eles, visto
que apenas com a chave privada será
possível a decriptação.

Chave Pública é distribuída e a Privada

mantida em segredo.
 Criptografia Assimétrica
Vantagens e desvantagens
Vantagens
◼Não há necessidade de canal seguro na
troca de chaves, pois não há riscos.

Desvantagens
◼A performance do sistema cai
demasiadamente se existe uma grande
quantidade de dados para
decriptografar.
 Assinatura digital

Mecanismo que pode garantir que uma mensagem

assinada só pode ter sido gerada com
informações privadas do signatário.
O mecanismo de assinatura digital deve:
A) Assegurar que o receptor possa verificar a
identidade declarada pelo transmissor
(assinatura);
B) Assegurar que o transmissor não possa mais
tarde negar a autoria da mensagem
(verificação).
 Autenticação dos interlocutores
BOB BUNK
I’m John...

Os utilizadores e
elementos devem
mostrar credenciais
X
ACCESS DENIED
para comprovar a
sua identidade.
ACCESS GRANTED
◼Possível através de
digital certificates e I’m John.

outros documentos PEP’S

assinados. JOHN PEP
COMPANY
 Funções de uma Autoridade
Certificadora (CA) CA

◼Distribuição de certificados;

◼Emissão de assinatura de novos

certificados;

◼Renegociação de certificados;

◼Revogação de certificados.
 Como autenticar uma chave pública?
Certificados
Para emitir o certificado, a CA pode exigir
que o utilizador se apresente pessoalmente
junto a alguma das suas instalações e prove
a sua identidade através de documentação
apropriada.

* Certificados também podem ser emitidos para

pessoas jurídicas, das quais pode ser exigido
esquema semelhante de comprovação de
identidade.
 Como autenticar uma chave pública?
Certificados

CA

Uma vez comprovada a identidade do

utilizador, ele fornece a sua chave pública à
CA que gera e assina o certificado.
 Como autenticar uma chave pública?
Certificados
Um certificado atesta a veracidade de uma chave
pública.

De forma simplificada, o certificado é uma chave

pública assinada por uma Autoridade de
Certificação (CA) que atesta a autenticidade
daquela chave pública como pertencente a uma
determinada pessoa.
CA
Um dos padrões de certificado usualmente
utilizados é definido pela norma ITU-T X.509.
Infraestrutura de rede
Proteção de Redes: Firewall

Conexão
Segura
 Firewall - Introdução
Definição
Dispositivo que conecta redes (interna e/ou
externa com vários níveis de direito de acesso).
Implementa e garante política de segurança entre
as redes conectadas.
Corporação

Intranet
Firewall

Segmento de
Acesso Público Internet
 Infraestrutura de rede
Firewall - Conceitos

Sistemas confiáveis que são colocados entre duas

redes;
Política de Segurança define o que passa;
Rede interna é confiável (blue net), nem sempre;
Rede externa é não-confiável (red net).
 Firewall -Introdução
Proteção de redes - Firewall
Quando conecta a sua rede à Internet, é de
crítica importância proteger a sua rede contra
intrusão. A forma mais efetiva de proteger o link
com a Internet é colocar um Sistema de Firewall
entre a sua rede local e a Internet.
Corporação

Intranet
Firewall

Segmento de
Acesso Público Internet
 Firewall -Introdução
Saiba o que um Firewall não faz:

1) Não protege contra utilizadores autorizados

maliciosos;

2) Não pode proteger contra conexões que não

passam através dele;

3) Não fornece 100% de proteção contra todos os

THREATS (ataques embutidos no protocolo).
Infraestrutura de rede
Proteção de redes - analogia

Firewall
Guarda
Internet