SEGURANÇA DE REDES
Projeto e Gerenciamento de
Redes Seguras
Jivago Alves

Roteiro
 O que é segurança?
 O processo de segurança
 O processo está funcionando?
 Política de segurança
 Como escrever uma política
 Conteúdo da política
 Quem está atacando?
 Boas práticas

O que é segurança?
 Segurança é
proporcional ao valor
protegido.
 Lidamos com
componentes
humanos!
 Que tipo de empresa
estamos protegendo?
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN
INFORMATION SECURITY 3

O processo de segurança
 Processo contínuo...
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN
INFORMATION SECURITY 4

O processo de segurança
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN
INFORMATION SECURITY 5

 O processo está funcionando?
 Não existe forma provar um ataque e receber
os créditos pelo sucesso da defesa.
 Atividade não pode ser diferenciada como
legítima ou acidental.
 Paradoxo: impossível quantificar, mas sem
quantificação o processo parecerá ser um
fracasso.
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN
INFORMATION SECURITY 6

Política de segurança
 O que e por que está sendo protegido?
 Prioridades de segurança: o que tem mais
valor?
 Definir acordo explícito entre partes.
 Fornece motivos válidos para se dizer não e
para sustentá-lo.
 Impede que tenhamos um desempenho fútil.
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN
INFORMATION SECURITY 7

Como escrever uma política
 Escreva um esboço com idéias genéricas e
essenciais.
 Descubra 3 pessoas para o comitê de política
de segurança.
 O comitê será legislador, você é o executor!
 Divulgue a política, crie um site interno.
 Trate a política como regras absolutas com
força de lei.
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN
INFORMATION SECURITY 8

Como escrever uma política
 Se alguém tiver algum problema com a política,
faça com que a pessoa proponha uma
sugestão.
 Programe encontros regulares para consolidar
a política.
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN
INFORMATION SECURITY 9

Conteúdo da política
 Defina prioridades
1) Saúde e segurança humana
2) Conformidade com legislação local, estadual e
federal
3) Interesses da empresa
4) Interesses de parceiros da empresa
5) Disseminação gratuita e aberta de informações
não-sensíveis.
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN
INFORMATION SECURITY 10

Conteúdo da política
 Defina níveis de acesso aos recursos:
 Vermelho: somente func. ”vermelhos”
 Amarelo: somente funcionários.
 Verde: funcionários contratados e selecionados.
 Branco: funcionários e contratados.
 Preto: funcionários, contratados e público
(selecionado)
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN
INFORMATION SECURITY 11

Conteúdo da política
 Caracterize seus recursos:
 Vermelho: informações extremamente confidenciais
 Amarelo: informações sensíveis, serviços
importantes
 Verde: capaz de ter acesso a recursos vermelhos,
ou amarelos, mas sem info. essenciais.
 Branco: sem acesso a vermelho, amarelo ou verde,
sem acesso externo
 Preto: acessível externamente, sem acesso aos
anteriores.
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN
INFORMATION SECURITY 12

Conteúdo da política
 Descrever responsabilidades e privilégios:
 Geral: conhecimento da política
 Admin. de sistemas: informações de usuário
tratadas como confidenciais.
 Admin. de segurança: mais alto nível de conduta
ética.
 Contratado: acesso a máquinas especificamente
autorizadas.
 Convidado: nenhum acesso, exceto com
notificação prévia por escrito à segurança.
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN
INFORMATION SECURITY 13

Conteúdo da política
 Definir penalidades:
 Crítica: recomendação de demissão, abertura de
ação legal.
 Séria: recomendação de demissão, desconto de
salário.
 Limitada: desconto de salário, repreensão formal
por escrito, suspensão não-remunerada.
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN
INFORMATION SECURITY 14

Quem está atacando?
 É preciso estudar ameaças para uma boa
defesa
 Segurança é uma questão social.
 Segredo é dificultar a vida do atacante.
 Um ataque terá êxito se o atacante tiver:
 Habilidade
 Motivação
 Oportunidade
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN
INFORMATION SECURITY 15

Quem está atacando?
 Navegadores, aproveitadores e vândalos.
 Probab. alta, número grande, motivação baixa a
média, e habilidade baixa a alta.
 Estratégia de defesa:
 Não ofereça recursos públicos e sem autenticação,
que possam ser controlados pelos outros.
 Examine os recursos periodicamente.
 Elimine características atraentes para os atacantes.
 Mantenha-se atualizado com metodologias de
ataque.
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN
INFORMATION SECURITY 16

Quem está atacando?
 Espiões e sabotadores.
 Probab. depende da atividade, número baixo,
motivação média a alta, habilidade média a alta.
 Estratégia de defesa:
 Sob ponto de vista externo, aparente ser um
objetivo muito arriscado.
 Elimine meios conhecidos de ataques de DoS.
 Limite o que é conhecido publicamente sobre suas
defesas.
 Preteja os principais sistemas comerciais.
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN
INFORMATION SECURITY 17

Quem está atacando?
 (Ex-)funcionários e (ex-)contratados frustrados.
 Probab. média a alta, número depende da
atividade, motivação alta, habilidade média a alta.
 Estratégia de defesa:
 Sob ponto de vista externo, aparente ser um
objetivo muito arriscado.
 Mantenha felizes seus funcionários.
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN
INFORMATION SECURITY 18

Quem está atacando?
 Estratégia de defesa (cont.):
 Desenvolva um plano para despedir funcionários
que conhecem detalhes de segurança.
 Elimine imediatamente o acesso.
 Avise que o funcionário será o primeiro suspeito, em
caso de ataque.
 Crie situação na qual o funcionário demitido não será
capaz de abusar do sistema.
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN
INFORMATION SECURITY 19

Boas práticas
 Aprenda tudo que puder sobre as ameaças
que encontrar.
 Planeje o melhor possível de acordo com o que
aprendeu, antes de implementar qualquer
coisa.
 Pense patologicamente e fortaleça o projeto.
 Implemente exatamente como foi projetado.
 Verifique tudo continuamente, previna-se!
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN
INFORMATION SECURITY 20

Boas práticas
 Pratique a execução para chegar a perfeição.
 Simplifique o que deseja que as pessoas
façam.
 Dificulte o que não deseja que elas façam.
 Facilite a identificação de problemas: um bom
registro de problemas ajuda.
 Teste tudo que puder testar!
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN
INFORMATION SECURITY 21

Dúvidas?
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN
INFORMATION SECURITY 22

Referências
 Segurança de Redes – Thomas A. Wadlow.
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN
INFORMATION SECURITY 23