Segurança de Redes - Projeto e Gerenciamento de Redes Seguras

SEGURANÇA DE REDES Projeto e Gerenciamento de Redes Seguras Jivago Alves

Roteiro  O que é segurança?  O processo de segurança  O processo está funcionando?  Política de segurança  Como escrever uma política  Conteúdo da política  Quem está atacando?  Boas práticas

O que é segurança?  Segurança é proporcional ao valor protegido.  Lidamos com componentes humanos!  Que tipo de empresa estamos protegendo? SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 3

O processo de segurança  Processo contínuo... SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 4

O processo de segurança SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 5

 O processo está funcionando?  Não existe forma provar um ataque e receber os créditos pelo sucesso da defesa.  Atividade não pode ser diferenciada como legítima ou acidental.  Paradoxo: impossível quantificar, mas sem quantificação o processo parecerá ser um fracasso. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 6

Política de segurança  O que e por que está sendo protegido?  Prioridades de segurança: o que tem mais valor?  Definir acordo explícito entre partes.  Fornece motivos válidos para se dizer não e para sustentá-lo.  Impede que tenhamos um desempenho fútil. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 7

Como escrever uma política  Escreva um esboço com idéias genéricas e essenciais.  Descubra 3 pessoas para o comitê de política de segurança.  O comitê será legislador, você é o executor!  Divulgue a política, crie um site interno.  Trate a política como regras absolutas com força de lei. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 8

Como escrever uma política  Se alguém tiver algum problema com a política, faça com que a pessoa proponha uma sugestão.  Programe encontros regulares para consolidar a política. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 9

Conteúdo da política  Defina prioridades 1) Saúde e segurança humana 2) Conformidade com legislação local, estadual e federal 3) Interesses da empresa 4) Interesses de parceiros da empresa 5) Disseminação gratuita e aberta de informações não-sensíveis. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 10

Conteúdo da política  Defina níveis de acesso aos recursos:  Vermelho: somente func. ”vermelhos”  Amarelo: somente funcionários.  Verde: funcionários contratados e selecionados.  Branco: funcionários e contratados.  Preto: funcionários, contratados e público (selecionado) SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 11

Conteúdo da política  Caracterize seus recursos:  Vermelho: informações extremamente confidenciais  Amarelo: informações sensíveis, serviços importantes  Verde: capaz de ter acesso a recursos vermelhos, ou amarelos, mas sem info. essenciais.  Branco: sem acesso a vermelho, amarelo ou verde, sem acesso externo  Preto: acessível externamente, sem acesso aos anteriores. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 12

Conteúdo da política  Descrever responsabilidades e privilégios:  Geral: conhecimento da política  Admin. de sistemas: informações de usuário tratadas como confidenciais.  Admin. de segurança: mais alto nível de conduta ética.  Contratado: acesso a máquinas especificamente autorizadas.  Convidado: nenhum acesso, exceto com notificação prévia por escrito à segurança. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 13

Conteúdo da política  Definir penalidades:  Crítica: recomendação de demissão, abertura de ação legal.  Séria: recomendação de demissão, desconto de salário.  Limitada: desconto de salário, repreensão formal por escrito, suspensão não-remunerada. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 14

Quem está atacando?  É preciso estudar ameaças para uma boa defesa  Segurança é uma questão social.  Segredo é dificultar a vida do atacante.  Um ataque terá êxito se o atacante tiver:  Habilidade  Motivação  Oportunidade SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 15

Quem está atacando?  Navegadores, aproveitadores e vândalos.  Probab. alta, número grande, motivação baixa a média, e habilidade baixa a alta.  Estratégia de defesa:  Não ofereça recursos públicos e sem autenticação, que possam ser controlados pelos outros.  Examine os recursos periodicamente.  Elimine características atraentes para os atacantes.  Mantenha-se atualizado com metodologias de ataque. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 16

Quem está atacando?  Espiões e sabotadores.  Probab. depende da atividade, número baixo, motivação média a alta, habilidade média a alta.  Estratégia de defesa:  Sob ponto de vista externo, aparente ser um objetivo muito arriscado.  Elimine meios conhecidos de ataques de DoS.  Limite o que é conhecido publicamente sobre suas defesas.  Preteja os principais sistemas comerciais. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 17

Quem está atacando?  (Ex-)funcionários e (ex-)contratados frustrados.  Probab. média a alta, número depende da atividade, motivação alta, habilidade média a alta.  Estratégia de defesa:  Sob ponto de vista externo, aparente ser um objetivo muito arriscado.  Mantenha felizes seus funcionários. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 18

Quem está atacando?  Estratégia de defesa (cont.):  Desenvolva um plano para despedir funcionários que conhecem detalhes de segurança.  Elimine imediatamente o acesso.  Avise que o funcionário será o primeiro suspeito, em caso de ataque.  Crie situação na qual o funcionário demitido não será capaz de abusar do sistema. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 19

Boas práticas  Aprenda tudo que puder sobre as ameaças que encontrar.  Planeje o melhor possível de acordo com o que aprendeu, antes de implementar qualquer coisa.  Pense patologicamente e fortaleça o projeto.  Implemente exatamente como foi projetado.  Verifique tudo continuamente, previna-se! SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 20

Boas práticas  Pratique a execução para chegar a perfeição.  Simplifique o que deseja que as pessoas façam.  Dificulte o que não deseja que elas façam.  Facilite a identificação de problemas: um bom registro de problemas ajuda.  Teste tudo que puder testar! SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 21

Dúvidas? SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 22

Referências  Segurança de Redes – Thomas A. Wadlow. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 23

http://jivagoalves.blogspot.com	45
http://www.slideshare.net	33
http://jivagoalves.blogspot.com.br	5
http://www.jivagoalves.blogspot.com	1

Segurança de Redes - Projeto e Gerenciamento de Redes Seguras

by jivagoalves on Sep 26, 2008

Accessibility

Categories

Tags

Upload Details

Usage Rights

4 Embeds 84

Statistics

Segurança de Redes - Projeto e Gerenciamento de Redes Seguras — Presentation Transcript