BEM-VINDO À DISCIPLINA DE:Controle de Acesso                      Prof: Cássio Alexandre Ramos                      cassio...
Sistemas de Controle de Acesso•  Agenda	      –  Introdução	      –  Iden6ficação,	  auten6cação,	  autorização	  e	  regis...
Introdução	  •  Tecnologias	   de	   CA	   são	   importantes	   componentes	   da	     arquitetura	  de	  segurança	  dos...
Requisitos	  Básicos	  da	  Segurança	  •  Disponibilidade	   -­‐	   Certeza	   que	   os	   dados	   estão	   acessíveis	...
Requisitos	  Básicos	  da	  Segurança	  •  Elementos	  U+lizados	  para	  Garan+r	  a	  Confidencialidade	      –  	  Cript...
Tipos	  •  Podemos	   classificar	   as	   tecnologias	   em	   três	   6pos	     básicos	      –  Host	      –  Sistemas	 ...
Host	  •  Tecnologias	   que	   controlam	   o	   acesso	     a	  recursos	  do	  S.O	      –  Implementada	  normalmente	...
Sistemas	  •  Sistemas	  funcionam	  dentro	  de	  hosts	  ou	  distribuidos	  •  Normalmente	  formado	  por	  dois	  com...
 	  	  Rede	  –  Normalmente	  implementadas	  através	  de	      •  Firewalls:	  statefull,	  filtro	  de	  pacotes	  e	  ...
Arquitetura	  INTRANET                       Parceiro1        Parceiro2            Parceiro3  LAN1  LAN2                  ...
Conceitos	  básicos	  • Sujeito	  X	  Objeto	  • Reference	  Monitor	  • Security	  Kernel	                               ...
Sujeito	                            X                           Objeto	  •  En6dade	  que	  solicita	                •  Pe...
Reference	  Monitor	  •  Conceito	  acadêmico	      –  Introduzido	  na	  década	  de	  70	  •  Caracterís6cas	      –  Se...
Reference	  Monitor	                      Pós-­‐Graduação	  	  -­‐	  	  lato	  Sensu	  
Security	  Kernel	  •  Conjunto	   de	   hardware,	   soBware	   e	   firmware	   que	     implementa	  o	  conceito	  do	 ...
Iden6ficação,	  Auten6cação,	  Autorização	  e	                          Registro	  •  4	  etapas	  que	  devem	  ser	  rea...
Iden6ficação	  e	  Auten6cação	  •  Responsáveis	  por	  confirmar	  quem	  são	  os	  sujeitos	     que	  acessam	  os	  ob...
Iden6ficação	  •  Iden6ficar	  um	  sujeito	  junto	  ao	     sistema	  •  Responsabilização	  individual	  por	     ações	 ...
Iden6ficação	  •  Principais	  recomendações	  de	  segurança	  no	  processo	  de	  iden6ficação	      –  Iden6ficação	  dev...
Auten6cação	  •  Confirmação	  de	  iden6dade	  •  Principais	  tecnologias	     –  Conhecimento:	  algo	  que	  o	  usuári...
Auten6cação	  •  Conhecimento	     –  Algo	  que	  o	  usuário	  sabe	         •  Senha/Frase	     –  Principais	  problem...
Auten6cação	  •  Conhecimento	     –  Problemas	  no	  uso	         •  Segredo	  tem	  que	  estar	  armazenado	  no	  sis...
Auten6cação	  •  Conhecimento	     –  Principais	  recomendações	         •  Proteger	  os	  canais	  de	  transmissão	  -...
Auten6cação	  •  Posse	      –  Algo	  que	  o	  usuário	  possui	      –  Principais	  tecnologias	          •  Tokens	  ...
Auten6cação	  •  Caracterís6cas	     –  Caracterís6cas	  msicas	  ou	  comportamentais	     –  Biometria	                 ...
Métodos	  de	  Auten6cação	  e	  Caracterís6cas	  •  Senhas/Frases	  Senha	       –  Senhas	  está6cas	       –  Senhas	  ...
Métodos	  de	  Auten6cação	  e	  Caracterís6cas	                      (Senhas	  Está6cas)	  •  String	  de	  caracteres	  ...
Métodos	  de	  Auten6cação	  e	  Caracterís6cas	                     (Senhas	  Está6cas)	  •  Gerenciamento	  de	  Senhas	...
Métodos	  de	  Auten6cação	  e	  Caracterís6cas	                     (Senhas	  Está6cas)	  •  Gerenciamento	  de	  Senhas	...
Métodos	  de	  Auten6cação	  e	  Caracterís6cas	                      (Senhas	  Está6cas)	  •  Técnicas	  de	  Captura	  d...
Métodos	  de	  Auten6cação	  e	  Caracterís6cas	                            (Senhas	  Cogni6vas)	  •    Baseada	  na	  exp...
Métodos	  de	  Auten6cação	  e	  Caracterís6cas	                   (Senhas	  Dinâmicas)	  •  One-­‐Time	  Password	      –...
Métodos	  de	  Auten6cação	  e	  Caracterís6cas	                    (Senhas	  Dinâmicas)	  •  Tokens	  OTP	      –  Gerado...
Métodos	  de	  Auten6cação	  e	  Caracterís6cas	                   (Senhas	  Dinâmicas)	  •  Tokens	      –  Síncronos	  –...
Métodos	  de	  Auten6cação	  e	  Caracterís6cas	                    (Senhas	  Dinâmicas)	  •  Tokens	  Síncronos	      –  ...
Métodos	  de	  Auten6cação	  e	  Caracterís6cas	                    (Senhas	  Dinâmicas)	  •  Tokens	  Assíncronos	      –...
Métodos	  de	  Auten6cação	  e	  Caracterís6cas	                             (Tokens)	  •  Vantagens	     –  Fácil	  de	  ...
Métodos	  de	  Auten6cação	  e	  Caracterís6cas	                  (Chaves	  Criptográficas)	  •  Assinatura	  Digital	     ...
Métodos	  de	  Auten6cação	  e	  Caracterís6cas	                    (Memory	  Cards)	  •  Não	  tem	  capacidade	  de	  pr...
Métodos	  de	  Auten6cação	  e	  Caracterís6cas	                           (Smartcards)	  •  Além	  de	  armazenamento	  t...
Métodos	  de	  Auten6cação	  e	  Caracterís6cas	                     (Smartcards)	  •  Categorias	     –  Contact:	  leito...
Métodos	  de	  Auten6cação	  e	  Caracterís6cas	                                (Biometria)	  	  	             –  A	  biom...
Métodos	  de	  Auten6cação	  e	  Caracterís6cas	                          (Biometria)	  •  Categorias	  	       –  Baseada...
Métodos	  de	  Auten6cação	  e	  Caracterís6cas	                         (Biometria)	  •  Baseada	  em	  Caracterís6cas	  ...
Métodos	  de	  Auten6cação	  e	  Caracterís6cas	                          (Biometria)	  •  Impressão	  Digital	      –  A	...
Métodos	  de	  Auten6cação	  e	  Caracterís6cas	                        (Biometria)	  •  Reconhecimento	  facial	     –  A...
Métodos	  de	  Auten6cação	  e	  Caracterís6cas	                            (Biometria)	  •  Re6na	      –  Analisa	  o	  ...
Métodos	  de	  Auten6cação	  e	  Caracterís6cas	                         (Biometria)	  •  Íris	       –  Analisa	  o	  pad...
Métodos	  de	  Auten6cação	  e	  Caracterís6cas	                           (Biometria)	  •  Voz	       –  Analisa	  o	  pa...
Métodos	  de	  Auten6cação	  e	  Caracterís6cas	                        (Biometria)	  •  Baseada	  em	  Caracterís6cas	  C...
Autorização	  •  Determina	  se	  indivíduo	  está	  autorizado	  a	  acessar	     recurso	  par6cular	  •  Componente	  d...
Gerência	  de	  Iden6dades	                         Pós-­‐Graduação	  	  -­‐	  	  lato	  Sensu	  
Gerência	  de	  Iden6dades	  •  Soluções	   para	   a	   automa6zação	   do	   uso	   das	     tecnologias	   de	   iden6fi...
Gerência	  de	  Iden6dades	  •  Para	  que	  usar	  isso?	                                                    Pós-­‐Gradua...
Gerência	  de	  Iden6dades	  •  Questões	  Comuns	       –  O	  que	  cada	  usuário	  deve	  ter	  acesso?	       –  Quem...
Gerência	  de	  Iden6dades	  •  Conceito	  Moderno	  de	  Gerência	  de	  Iden6dades	      –  U6liza	   aplicações	   auto...
Gerência	  de	  Iden6dades	  •  Ferramentas	  e	  Tecnologias	      –  Diretórios	      –  Gerenciamento	  de	  acesso	  W...
Gerência	  de	  Iden6dades	  •  Ferramentas	  e	  Tecnologias	      –  Diretórios	  (catálogo	  de	  informações)	        ...
Gerência	  de	  Iden6dades	  •  Ferramentas	  e	  Tecnologias	      –  Diretórios	             •  Componente	  principal	 ...
Gerência	  de	  Iden6dades	  •  Ferramentas	  e	  Tecnologias	      –  Diretórios	             •  Ambiente	  windows	     ...
Gerência	  de	  Iden6dades	  •  Ferramentas	  e	  Tecnologias	       –  WAM	              •  Controla	  usuário	  quando	 ...
Gerência	  de	  Iden6dades	  •  Ferramentas	  e	  Tecnologias	      –  Gerência	  de	  senhas	             •  Grande	   cu...
Gerência	  de	  Iden6dades	  •  Ferramentas	  e	  Tecnologias	      –  SSO	  –	  Single	  Sign	  On	             •  Auten6...
Gerência	  de	  Iden6dades	  •  Ferramentas	  e	  Tecnologias	      –  SSO	  com	  kerberos	      	                       ...
Gerência	  de	  Iden6dades	  •  Ferramentas	  e	  Tecnologias	      –  Gerênciamento	  de	  Contas	             •  Criação...
Gerência	  de	  Iden6dades	  •  Ferramentas	  e	  Tecnologias	      –  Atualização	  de	  perfis	             •  Informaçõe...
Gerência	  de	  Iden6dades	  •  Aspectos	  de	  segurança	      –  Vantagens	          •  Eficiência	          •  Polí6ca	 ...
Modelos	                Pós-­‐Graduação	  	  -­‐	  	  lato	  Sensu	  
Modelos	  de	  Controle	  de	  Acesso	  •  Framekorks	  que	  norma6zam	  como	  sujeitos	  acessam	     objetos	  •  U6li...
Modelos	  de	  Controle	  de	  Acesso	   	  	  Discre6onary	  Access	  Control	  •  Proprietário	  (owner)	  do	  recurso	...
Modelos	  de	  Controle	  de	  Acesso	   	  	  Mandatory	  Access	  Control	  •  Inicialmente	  projetado	  para	  uso	   ...
Modelos	  de	  Controle	  de	  Acesso	    	  Role-­‐Based	  Access	  Control	  •  Permissões	  são	  atribuídas	  a	  papé...
Outras	  tecnologias	  	                          de	  Controle	  de	  Acesso	  •    Rule-­‐based	  •    Content	  depende...
Outras	  tecnologias	  	                               de	  Controle	  de	  Acesso	      Rule-­‐based	  •  O	  controle	  ...
Outras	  tecnologias	  	                           de	  Controle	  de	  Acesso	     Content	  dependent	  •  Considera	  o...
Outras	  tecnologias	  	                          de	  Controle	  de	  Acesso	     Context	  dependent	  •  Baseado	  no	 ...
Interfaces	  	      restritas	  •  Restrição	  ou	  limitação	  das	     interfaces	  usadas	  para	  acessar	  os	     ob...
Outras	  tecnologias	  	                            de	  Controle	  de	  Acesso	       Thin	  client	  •    Arquitetura	  ...
Controle	  de	  Acesso	  Centralizado	  •  Obje6vo	  ambicioso	  •  Ponto	  central	  de	  controle	  de	  acesso	  •  Tec...
Controle	  de	  Acesso	  Centralizado	  •  Radius	  –	  Remote	     Authen6ca6on	  Dial-­‐in	  User	     Service	      –  ...
Controle	  de	  Acesso	  Centralizado	  •  Radius	      –  “O	  serviço	  RADIUS	  é	  amplamente	  usado	  em	  provedore...
Controle	  de	  Acesso	  Centralizado	  •  TACACS	  –	  Termina	  Access	  Controller	  Access	  Control	  System	  	     ...
FIM	            Pós-­‐Graduação	  	  -­‐	  	  lato	  Sensu	  
Upcoming SlideShare
Loading in …5
×

Controle de Acesso

2,394 views

Published on

Aula de Controle de Acesso na Pós da Estácio

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
2,394
On SlideShare
0
From Embeds
0
Number of Embeds
494
Actions
Shares
0
Downloads
133
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Controle de Acesso

  1. 1. BEM-VINDO À DISCIPLINA DE:Controle de Acesso Prof: Cássio Alexandre Ramos cassioaramos (at) gmail (dot) com http://cassioaramos.blogspot.com http://www.facebook.com/cassioaramos Pós-­‐Graduação    -­‐    lato  Sensu  
  2. 2. Sistemas de Controle de Acesso•  Agenda   –  Introdução   –  Iden6ficação,  auten6cação,  autorização  e  registro   –  Métodos  de  Auten6cação  e  Caracterís6cas   –  Gerência  de  Iden6dades   –  Modelos   –  Outras  tecnologias  de  CA   –  Controle  de  Acesso  Centralizado   Pós-­‐Graduação    -­‐    lato  Sensu  
  3. 3. Introdução  •  Tecnologias   de   CA   são   importantes   componentes   da   arquitetura  de  segurança  dos  sistemas  •  São  responsáveis  por:   –  Quais  recursos  podem  ser  acessados     •  hardware  -­‐  impressoras,  discos,  etc.   •  soMware  -­‐  que  sistemas  podem  ser  u6lizados?  Ex.  CATG   –  Quais  operações  podem  ser  realizadas   •  Ex.  Acesso  a  home  banking   –  Quais  são  os  componentes  autorizados  a  desempenhar  tais  operações   •  Administrador  –  config,  instala  programas,  gerencia  memória,  proc  e  etc.   •  usuário  do  sistema   Pós-­‐Graduação    -­‐    lato  Sensu  
  4. 4. Requisitos  Básicos  da  Segurança  •  Disponibilidade   -­‐   Certeza   que   os   dados   estão   acessíveis   quando  e  onde  forem  necessários  •  Integridade  -­‐  Certeza  que  os  dados  não  foram  alterados  -­‐   por  acidente  ou  intencionalmente  •  Confidencialidade   -­‐   Certeza   que   somente   as   pessoas   autorizadas  a  acessar  os  dados  podem  acessá-­‐los   Pós-­‐Graduação    -­‐    lato  Sensu  
  5. 5. Requisitos  Básicos  da  Segurança  •  Elementos  U+lizados  para  Garan+r  a  Confidencialidade   –   Criptografia  dos  dados   –   Controle  de  acesso  •  Elementos  para  garan+r  a  Integridade  (md5sum)   –   Assinatura  digital   –   MD5-­‐  hash  •  Elementos  para  garan+r  a  Disponibilidade   –   Backup     –   Tolerância  a  falhas   –   Redundância   Pós-­‐Graduação    -­‐    lato  Sensu  
  6. 6. Tipos  •  Podemos   classificar   as   tecnologias   em   três   6pos   básicos   –  Host   –  Sistemas   –  Rede   Pós-­‐Graduação    -­‐    lato  Sensu  
  7. 7. Host  •  Tecnologias   que   controlam   o   acesso   a  recursos  do  S.O   –  Implementada  normalmente  nos   sistemas  operacionais   –  Ex.  login    •  Recursos  mais  comuns  a  serem   protegidos   –  Arquivos     –  Objetos    •  Serve  para  controlar  recursos  via   rede     Pós-­‐Graduação    -­‐    lato  Sensu  
  8. 8. Sistemas  •  Sistemas  funcionam  dentro  de  hosts  ou  distribuidos  •  Normalmente  formado  por  dois  componentes   –  Interface   –  Banco  de  Dados  •  Nesta  categoria  temos  sistemas  de  ERP,  CRM,  etc.  •  Sistemas  possuem  mecanismos  próprios  de  controle  de  acesso   –  Proteger  acesso  à  BD   –  Ex.  acesso  web  a  banco.   Pós-­‐Graduação    -­‐    lato  Sensu  
  9. 9.      Rede  –  Normalmente  implementadas  através  de   •  Firewalls:  statefull,  filtro  de  pacotes  e  proxy   •  Roteadores:  interligam  redes     •  Switches:  interligam  computadores  –  Demo  FIREWALL   •  Bloqueio  de  icmp  e  hcp   Pós-­‐Graduação    -­‐    lato  Sensu  
  10. 10. Arquitetura  INTRANET Parceiro1 Parceiro2 Parceiro3 LAN1 LAN2 VPN LAN3 Firewall/ Firewall Internet Router B Proxy LAN4 DMZ FILIAL Hardened Server WEB LAN5 Server DNS Server Proxy R. Mail Server Pós-­‐Graduação    -­‐    lato  Sensu  
  11. 11. Conceitos  básicos  • Sujeito  X  Objeto  • Reference  Monitor  • Security  Kernel   Pós-­‐Graduação    -­‐    lato  Sensu  
  12. 12. Sujeito   X Objeto  •  En6dade  que  solicita   •  Peça  de  informação   o  acesso  a  uma  peça   acessada  pelo  sujeito   de  informação   –  Exemplos:  arquivos,   registros  de  banco  de   –  Exemplos:  usuários,   dados  etc.   processos,  hosts,  etc.   Pós-­‐Graduação    -­‐    lato  Sensu  
  13. 13. Reference  Monitor  •  Conceito  acadêmico   –  Introduzido  na  década  de  70  •  Caracterís6cas   –  Ser  sempre  chamado  para  mediar  um  acesso   –  Permi6r  que  sua  funcionalidade  possa  ser  testada   –  Ser  inviolável,  possuindo  controles  que  garantam  a   integridade  do  seu  funcionamento   Pós-­‐Graduação    -­‐    lato  Sensu  
  14. 14. Reference  Monitor   Pós-­‐Graduação    -­‐    lato  Sensu  
  15. 15. Security  Kernel  •  Conjunto   de   hardware,   soBware   e   firmware   que   implementa  o  conceito  do  Reference  Monitor  •  Firmware  –  soBware  que  vem  embu+do  dentro  de   um  hardware   Pós-­‐Graduação    -­‐    lato  Sensu  
  16. 16. Iden6ficação,  Auten6cação,  Autorização  e   Registro  •  4  etapas  que  devem  ser  realizadas  para  um  sujeito  acessar  um   objeto   Pós-­‐Graduação    -­‐    lato  Sensu  
  17. 17. Iden6ficação  e  Auten6cação  •  Responsáveis  por  confirmar  quem  são  os  sujeitos   que  acessam  os  objetos   –  Mecanismos   que   permitem   ao   usuário   mostrar   ao   sistema  quem  ele  é  •  Primeira  etapa  do  controle  de  acesso   Pós-­‐Graduação    -­‐    lato  Sensu  
  18. 18. Iden6ficação  •  Iden6ficar  um  sujeito  junto  ao   sistema  •  Responsabilização  individual  por   ações  no  sistema   •  Exemplos   –  Username   –  UserID   –  PIN     Pós-­‐Graduação    -­‐    lato  Sensu  
  19. 19. Iden6ficação  •  Principais  recomendações  de  segurança  no  processo  de  iden6ficação   –  Iden6ficação  deve  ser  única  (auditável  e  não  compar6lhada),  não   descri6va  e  expedida  por  autoridade   •  U6lizar  nomenclatura  padrão  para  nomes  de  usuários   •  Não   permi6r   a   iden6ficação   da   função   ou   responsabilidade   que   a   conta  possuí  (admin,  backup  operator  etc.)   •  Evitar  nomes  que  possam  ser  facilmente  deduzidos  de  e-­‐mails     •  Procedimento   seguro   e   controlado   para   emissão   e   revogação   de   contas   Pós-­‐Graduação    -­‐    lato  Sensu  
  20. 20. Auten6cação  •  Confirmação  de  iden6dade  •  Principais  tecnologias   –  Conhecimento:  algo  que  o  usuário  sabe   –  Posse:  algo  que  o  usuário  tem   –  Caracterís6ca:  traço  msico/comportamental  do  usuário  •  Auten6cação  Forte   –  Contém  2  das  3  tecnologias  (mul6fator)   Pós-­‐Graduação    -­‐    lato  Sensu  
  21. 21. Auten6cação  •  Conhecimento   –  Algo  que  o  usuário  sabe   •  Senha/Frase   –  Principais  problemas  de  segurança   •  Senhas  fracas   •  Interceptação  da  senha   –  hcp,  Mp,  telnet  etc   –  Demo  captura  de  senha  FTP   Pós-­‐Graduação    -­‐    lato  Sensu  
  22. 22. Auten6cação  •  Conhecimento   –  Problemas  no  uso   •  Segredo  tem  que  estar  armazenado  no  sistema   •  Local  de  armazenamento  é  o  alvo:     –   /etc/passwd  (DEMO  John)   –  c:windowssystem32config   •  Para  proteção  –  criptografia   –  Uso  de  hash  na  codificação  de  senhas  –  método  rápido,  porém   não  muito  seguro   •  Senhas  fornecidas  por  teclado  e  mouse   –  Facilmente  interceptados  por  soMwares  maliciosos   Pós-­‐Graduação    -­‐    lato  Sensu  
  23. 23. Auten6cação  •  Conhecimento   –  Principais  recomendações   •  Proteger  os  canais  de  transmissão  -­‐  sniffer   •  Usar  métodos  alterna6vos  quando  isso  não  for  possível   •  Proteção  msica  dos  servidores  de  auten6cação   –  Demo  Pmagic   Pós-­‐Graduação    -­‐    lato  Sensu  
  24. 24. Auten6cação  •  Posse   –  Algo  que  o  usuário  possui   –  Principais  tecnologias   •  Tokens   •  Smartcards   •  Cartões  com  listas  de  senhas   •  Cer6ficados  digitais   Pós-­‐Graduação    -­‐    lato  Sensu  
  25. 25. Auten6cação  •  Caracterís6cas   –  Caracterís6cas  msicas  ou  comportamentais   –  Biometria   Pós-­‐Graduação    -­‐    lato  Sensu  
  26. 26. Métodos  de  Auten6cação  e  Caracterís6cas  •  Senhas/Frases  Senha   –  Senhas  está6cas   –  Senhas  cogni6vas    •  OTP  ou  senhas  dinâmicas  •  Chaves  Criptograficas  •  Memory  Cards  •  Smart  Cards  •  Biometria   Pós-­‐Graduação    -­‐    lato  Sensu  
  27. 27. Métodos  de  Auten6cação  e  Caracterís6cas   (Senhas  Está6cas)  •  String  de  caracteres  u6lizada  para  auten6car  um   usuário  •  É  o  que  o  pessoa  sabe  •  Método  de  auten6cação  mais  u6lizado  •  SO  e  aplicações  podem  impor  requisitos  de   segurança   –  Demo  restrições  de  segurança  Windows  Server     Pós-­‐Graduação    -­‐    lato  Sensu  
  28. 28. Métodos  de  Auten6cação  e  Caracterís6cas   (Senhas  Está6cas)  •  Gerenciamento  de  Senhas   –  Senha  deve  ser  gerada,  atualizada  e  man6da  em   segredo  –  (treinamento)   –  Problemas  Comuns   •  Escolha  de  senhas  fracas  –  faceis  de  lembrar   •  Guardadas  de  forma  inapropriada   –  SO  podem  forçar  poli6ca  de  senhas  (Demo)   •  Numero  de  caracteres   •  Uso  de  caracteres  especiais     Pós-­‐Graduação    -­‐    lato  Sensu  
  29. 29. Métodos  de  Auten6cação  e  Caracterís6cas   (Senhas  Está6cas)  •  Gerenciamento  de  Senhas   –  SO  podem  forçar  poli6ca  de  senhas   •  Indicação  de  ul6mo  logon  (Demo)   •  Bloqueio  após  n  tenta6vas  de  logon  incorretas   •  Auditoria  de  acessos  negados   •  Tempo  de  vida  da  senha     Pós-­‐Graduação    -­‐    lato  Sensu  
  30. 30. Métodos  de  Auten6cação  e  Caracterís6cas   (Senhas  Está6cas)  •  Técnicas  de  Captura  de  Senhas   –  Monitoramento  eletrônico   –  Acesso  ao  arquivo  de  senhas   –  Ataques  de  força  bruta   –  Ataques  de  dicionário  (demo  Hydra)   –  Engenharia  social   –  Rainbow  tables     Pós-­‐Graduação    -­‐    lato  Sensu  
  31. 31. Métodos  de  Auten6cação  e  Caracterís6cas   (Senhas  Cogni6vas)  •  Baseada  na  experiencia  de  vida  do  usuário  •  Fácil  de  memorizar  •  Ex:  nome  do  cachorro,  CPF,  data  de  aniversário  etc  •  Muito  u6lizada  em  call  centers     Pós-­‐Graduação    -­‐    lato  Sensu  
  32. 32. Métodos  de  Auten6cação  e  Caracterís6cas   (Senhas  Dinâmicas)  •  One-­‐Time  Password   –  Senha  só  é  válida  1  vez   –  U6lizada  em  ambientes  de  nível  de  segurança  elevado   –  Pode  ser  u6lizado  como  2°  fator  de  auten6cação   –  Implementação   •  SoMware   •  Tokens     Pós-­‐Graduação    -­‐    lato  Sensu  
  33. 33. Métodos  de  Auten6cação  e  Caracterís6cas   (Senhas  Dinâmicas)  •  Tokens  OTP   –  Geradores   de   senha   independentes   (sem  PC)   –  Disposi6vos   de   hardware   usados   para  auten6cação   Pós-­‐Graduação    -­‐    lato  Sensu  
  34. 34. Métodos  de  Auten6cação  e  Caracterís6cas   (Senhas  Dinâmicas)  •  Tokens   –  Síncronos  –  sistema  que  auten6ca  e  sistema  que  solicita   auten6cação  possuem  6mer  ou  contador  para   sincronização   –  Assíncronos  –  não  demandam  sincronismo  entre  o   usuário  que  se  auten6ca  e  o  sistema     Pós-­‐Graduação    -­‐    lato  Sensu  
  35. 35. Métodos  de  Auten6cação  e  Caracterís6cas   (Senhas  Dinâmicas)  •  Tokens  Síncronos   –  Peça  de  hardware   –  Senha  trocada  (30  a  60s)   –  Token  sincronizado  com  servidor   –  Normalmente  combinado  com   senha  está6ca  (Personal   Iden6fica6on  Number)   –  Combina  algo  que  usuário  sabe  e   algo  que  ele  tem  -­‐  mul6fator   Pós-­‐Graduação    -­‐    lato  Sensu  
  36. 36. Métodos  de  Auten6cação  e  Caracterís6cas   (Senhas  Dinâmicas)  •  Tokens  Assíncronos   –  Funcionam  através  de  mecanismos  de  desafio/resposta   Pós-­‐Graduação    -­‐    lato  Sensu  
  37. 37. Métodos  de  Auten6cação  e  Caracterís6cas   (Tokens)  •  Vantagens   –  Fácil  de  usar  •  Desvantagens   –  Custo   Pós-­‐Graduação    -­‐    lato  Sensu  
  38. 38. Métodos  de  Auten6cação  e  Caracterís6cas   (Chaves  Criptográficas)  •  Assinatura  Digital   –  U6liza  chaves  privadas  para  comprovar  iden6dade  do  emissor   –  Tecnologia  que  usa  a  chave  privada  para  encriptar  um  hash  é  chamada   de  assinatura  digital   –  Cer6ficado  digital  -­‐  Conjunto  de  informações  assinadas  por  en6dade   confiável   Pós-­‐Graduação    -­‐    lato  Sensu  
  39. 39. Métodos  de  Auten6cação  e  Caracterís6cas   (Memory  Cards)  •  Não  tem  capacidade  de  processar  informação  •  Pode  armazenar  informações  de  auten6cação   –  Ex1:  Usuário  insere  cartão,  acesso  liberado  (1  fator)   –  Ex2:  Usuário  introduz  o  PIN  e  insere  o  cartão  (mul6fator)  •  Podem   ser   usados   com   computadores   (necessita   de   leitora)   Pós-­‐Graduação    -­‐    lato  Sensu  
  40. 40. Métodos  de  Auten6cação  e  Caracterís6cas   (Smartcards)  •  Além  de  armazenamento  tem  capacidade  de  processar   informação  •  Possui  micro-­‐processador  e  circuitos  •  Pode  realizar  operações  criptográficas  •  Pode  u6lizar  o  PIN  para  desbloquear  o  cartão  –  informação   não  pode  ser  lida  até  o  desbloqueio   Auten+cação  pode  ser  provida  por  OTP,  desafio/ resposta  ou  pelo  cer+ficado  digital   Pós-­‐Graduação    -­‐    lato  Sensu  
  41. 41. Métodos  de  Auten6cação  e  Caracterís6cas   (Smartcards)  •  Categorias   –  Contact:  leitor  transmite  energia  com  o  contato   –  Contactless:  antena  em  forma  de  bobina  enrolada     Pós-­‐Graduação    -­‐    lato  Sensu  
  42. 42. Métodos  de  Auten6cação  e  Caracterís6cas   (Biometria)       –  A  biometria  valida  um  traço   msico  ou  comportamental  do   usuário   –  Grande  facilidade  de  uso   –  Pode  envolver  aspectos   culturais  fortes   –  Necessita  de  ajustes   •  Erros  6po  I   •  Erros  6po  II   Pós-­‐Graduação    -­‐    lato  Sensu  
  43. 43. Métodos  de  Auten6cação  e  Caracterís6cas   (Biometria)  •  Categorias     –  Baseada  em  Caracterís6cas  Físicas   –  Baseada  em  caracterís6cas  comportamentais   Pós-­‐Graduação    -­‐    lato  Sensu  
  44. 44. Métodos  de  Auten6cação  e  Caracterís6cas   (Biometria)  •  Baseada  em  Caracterís6cas  Físicas   –  Analisam  um  traço  msico  do  usuário   •  Impressão  digital   •  Impressão  da  palma  da  mão   •  Geometria  da  mão   •  Reconhecimento  facial   •  Re6na   •  Íris   •  voz   Pós-­‐Graduação    -­‐    lato  Sensu  
  45. 45. Métodos  de  Auten6cação  e  Caracterís6cas   (Biometria)  •  Impressão  Digital   –  A  impressão  é   transformada  em  um  vetor   matemá6co  para   confrontação   –  Bastante  popular   Pós-­‐Graduação    -­‐    lato  Sensu  
  46. 46. Métodos  de  Auten6cação  e  Caracterís6cas   (Biometria)  •  Reconhecimento  facial   –  Analisa  estrutura  dos  ossos  do  rosto   –  Grande  potencial  de  crescimento  financiado  pela  indústria   an6-­‐terrorismo   Pós-­‐Graduação    -­‐    lato  Sensu  
  47. 47. Métodos  de  Auten6cação  e  Caracterís6cas   (Biometria)  •  Re6na   –  Analisa  o  padrão  formado  pelas  veias  internas  do  globo   ocular   –  Em  caso  de  doenças  oculares,  sua  precisão  pode  ser   afetada   Pós-­‐Graduação    -­‐    lato  Sensu  
  48. 48. Métodos  de  Auten6cação  e  Caracterís6cas   (Biometria)  •  Íris   –  Analisa  o  padrão  visual   formado  pela  íris   –  Extremamente  precisa   Pós-­‐Graduação    -­‐    lato  Sensu  
  49. 49. Métodos  de  Auten6cação  e  Caracterís6cas   (Biometria)  •  Voz   –  Analisa  o  padrão  de  voz   –  U6liza  mecanismos  de   prevenção  contra  gravações   Pós-­‐Graduação    -­‐    lato  Sensu  
  50. 50. Métodos  de  Auten6cação  e  Caracterís6cas   (Biometria)  •  Baseada  em  Caracterís6cas  Comportamentais   –  Analisam  um  traço  Comportamental  do  usuário   –  Menos  populares,  devido  a  sua  baixa  precisão   •  Padrão  de  digitação   •  Padrão  de  escrita   Pós-­‐Graduação    -­‐    lato  Sensu  
  51. 51. Autorização  •  Determina  se  indivíduo  está  autorizado  a  acessar   recurso  par6cular  •  Componente  de  todos  os  SO  e  desejável  em   aplicações   –  Ex.  Usuário  auten6cado  no  AD  acessa  planilha  no  servidor   de  arquivos   –  SO  verifica  permissões  (baseadas  em  critérios  de  acesso)   •  Localização  msica  e  lógica,  hora,  6po  de  transação.   •  Boas  prá6cas:  Default  –  no  access  e  baseado  na   necessidade  de  conhecer   Pós-­‐Graduação    -­‐    lato  Sensu  
  52. 52. Gerência  de  Iden6dades   Pós-­‐Graduação    -­‐    lato  Sensu  
  53. 53. Gerência  de  Iden6dades  •  Soluções   para   a   automa6zação   do   uso   das   tecnologias   de   iden6ficação,   auten6cação   e   autorização,  ao  longo  do  seu  ciclo  de  vida  •  Gerenciamento   de   contas   e   senhas,   controle   de   acesso,   SSO,   gerencia   de   direitos   e   permissões,   auditoria  e  monitoramento  desses  itens  •  Várias  tecnologias  combinadas  ou  integradas   Pós-­‐Graduação    -­‐    lato  Sensu  
  54. 54. Gerência  de  Iden6dades  •  Para  que  usar  isso?   Pós-­‐Graduação    -­‐    lato  Sensu  
  55. 55. Gerência  de  Iden6dades  •  Questões  Comuns   –  O  que  cada  usuário  deve  ter  acesso?   –  Quem  aprova  e  permite  o  acesso?   –  Como  é  o  processo  de  revogação  de  acesso?   –  Como  o  acesso  é  controlado  e  monitorado  de  forma  centralizada?   –  Como  centralizar  o  acesso  a  várias  plataformas  de  SO  e  aplicações?   –  Como  controlar  acesso  de  empregados,  parceiros  e  clientes?  •  A   tradicional   Gerência   de   iden6dades   (diretórios   com   permissões,   ACL   e   perfis)   é   considerada   incapaz   de   tratar   todos  esses  problemas       Pós-­‐Graduação    -­‐    lato  Sensu  
  56. 56. Gerência  de  Iden6dades  •  Conceito  Moderno  de  Gerência  de  Iden6dades   –  U6liza   aplicações   automá6cas,   ricas   em   funcionalidades   trabalhando   em   conjunto   para   criar   uma   infraestrutura   de   gerência  de  iden6dades   –  Gerencia   de   iden6dades,   auten6cação,   autorização   e   auditoria  em  múl6plos  sistemas     Pós-­‐Graduação    -­‐    lato  Sensu  
  57. 57. Gerência  de  Iden6dades  •  Ferramentas  e  Tecnologias   –  Diretórios   –  Gerenciamento  de  acesso  Web  (WAM)   –  Gerencia  de  senhas   –  SSO   –  Gerenciamento  de  contas   –  Atualização  de  perfis       Pós-­‐Graduação    -­‐    lato  Sensu  
  58. 58. Gerência  de  Iden6dades  •  Ferramentas  e  Tecnologias   –  Diretórios  (catálogo  de  informações)   •  Contém   informações   centralizadas   de   usuários   e   recursos   (principal  componente)   •  Formato  de  dados  hierárquico  -­‐  padrão  X.500   •  Protocolo  de  acesso  –LDAP   –  Aplicações  requisitam  info  de  usuários   –  Usuários  requisitam  info  de  recursos   •  Objetos  são  gerenciados  pelo  Serviço  de  Diretório     –  Permite   ao   admin   configurar   e   gerenciar   a   iden6ficação,   auten6cação  e  autorização  aos  recursos         Pós-­‐Graduação    -­‐    lato  Sensu  
  59. 59. Gerência  de  Iden6dades  •  Ferramentas  e  Tecnologias   –  Diretórios   •  Componente  principal  da  solução     •  Armazena  informações  vindas  de  outros  sistemas   –  Atributos  de  usuários  podem  ser  fornecidos  pelo  RH       Pós-­‐Graduação    -­‐    lato  Sensu  
  60. 60. Gerência  de  Iden6dades  •  Ferramentas  e  Tecnologias   –  Diretórios   •  Ambiente  windows   –  Usuário  loga  no  Controlador  de  Domínio   –  Serviço  de  diretório  –  AD   –  AD  organiza  recursos  e  implementa  controle  de  acesso   –  Configuração   do   AD   é   responsável   por   disponibilização   de   recursos   para   os   usuários   (impressoras,   arquivos,   servidores   web  etc)   •  Problemas   –  Muitas  aplicações  legadas  não  são  compa6veis     Pós-­‐Graduação    -­‐    lato  Sensu  
  61. 61. Gerência  de  Iden6dades  •  Ferramentas  e  Tecnologias   –  WAM   •  Controla  usuário  quando  acessa  aplicação  Web   •  Muito  u6lizada  em  e-­‐commerce,  online  banking  etc   •  Pode  u6lizar:  senhas,  cer6ficados  digitais,  tokens  etc     Pós-­‐Graduação    -­‐    lato  Sensu  
  62. 62. Gerência  de  Iden6dades  •  Ferramentas  e  Tecnologias   –  Gerência  de  senhas   •  Grande   custo   administra6vo   com   help-­‐desk   para   resetar   senhas   •  Usuários  precisam  memorizar  grande  quan6dade  de  senhas   para  diversos  sistemas   –  Soluções  de  Gerência  de  Senha   •  Sincronismo  de  senhas   •  Self-­‐service  reset   •  Reset  assis6do     Pós-­‐Graduação    -­‐    lato  Sensu  
  63. 63. Gerência  de  Iden6dades  •  Ferramentas  e  Tecnologias   –  SSO  –  Single  Sign  On   •  Auten6cação  única   •  Desafio  tecnológico   •  Alto  custo   •  Discu{vel  sob  o  aspecto  de  segurança   •  Não  compa{vel  com  sistemas  legados     Pós-­‐Graduação    -­‐    lato  Sensu  
  64. 64. Gerência  de  Iden6dades  •  Ferramentas  e  Tecnologias   –  SSO  com  kerberos     Pós-­‐Graduação    -­‐    lato  Sensu  
  65. 65. Gerência  de  Iden6dades  •  Ferramentas  e  Tecnologias   –  Gerênciamento  de  Contas   •  Criação  de  contas  em  diversos  sistemas   •  Modificação  de  privilégios   •  Ex6nção     –  Processo  formal  para  criação  de  contas,  atribuição  de  privilégios   e  ex6nção   •  Implementação  de  wokflow  auditável       Pós-­‐Graduação    -­‐    lato  Sensu  
  66. 66. Gerência  de  Iden6dades  •  Ferramentas  e  Tecnologias   –  Atualização  de  perfis   •  Informações  associadas  a  iden6dade  do  usuário   •  Perfil  pode  ter  informações  sensiveis  ou  não   –  Ex.   Usuário   atualiza   perfil   no   site   Submarino   e   as   informações  são  u6lizadas  pelo  CRM     Pós-­‐Graduação    -­‐    lato  Sensu  
  67. 67. Gerência  de  Iden6dades  •  Aspectos  de  segurança   –  Vantagens   •  Eficiência   •  Polí6ca  de  senhas  configurada  centralmente   •  Logs  centralizados   –  Desvantagens   •  Grande  dificuldade  técnica  e  financeira   Pós-­‐Graduação    -­‐    lato  Sensu  
  68. 68. Modelos   Pós-­‐Graduação    -­‐    lato  Sensu  
  69. 69. Modelos  de  Controle  de  Acesso  •  Framekorks  que  norma6zam  como  sujeitos  acessam   objetos  •  U6lizam  tecnologias  para  reforçar  regras  e  obje6vos   do  modelo  •  São  implementados  no  kernel  (seurity  kernel)  ou  em   aplicações  •  Principais   –  DAC   –  MAC   –  RBAC   Pós-­‐Graduação    -­‐    lato  Sensu  
  70. 70. Modelos  de  Controle  de  Acesso      Discre6onary  Access  Control  •  Proprietário  (owner)  do  recurso  é   responsável  por  atribuir  as   permissões  •  Princípio:  Ninguém  melhor  que  o   owner  para  dar  direitos  •  Problemas  prá6cos       –  owner  é  um  usuário   –  complexidade  •  Tipos  mais  comuns  de   implementação   –  ACL   –  Capability  Tables   Pós-­‐Graduação    -­‐    lato  Sensu  
  71. 71. Modelos  de  Controle  de  Acesso      Mandatory  Access  Control  •  Inicialmente  projetado  para  uso   militar    •  Baseado  no  modelo  Bell-­‐LaPadula  –   1973  •  Componentes   –  Classificação     –  Credenciais  de  segurança/necessidade   de  conhecer  •  hcp://www.vivaolinux.com.br/ ar6gos/impressora.php? codigo=9883   Pós-­‐Graduação    -­‐    lato  Sensu  
  72. 72. Modelos  de  Controle  de  Acesso    Role-­‐Based  Access  Control  •  Permissões  são  atribuídas  a  papéis  •  Os  papéis  representam  funções  •  Os  usuários  são  atribuídos  aos  papéis   Pós-­‐Graduação    -­‐    lato  Sensu  
  73. 73. Outras  tecnologias     de  Controle  de  Acesso  •  Rule-­‐based  •  Content  dependent  •  Context  dependent  •  Interfaces  restritas  •  Thin  clients   Pós-­‐Graduação    -­‐    lato  Sensu  
  74. 74. Outras  tecnologias     de  Controle  de  Acesso   Rule-­‐based  •  O  controle  de  acesso  é  feito  através  de  um  conjunto   regras  •  Exemplos   –  Anexos  de  e-­‐mail  >  5  MB,  nega   –  Firewalls   Pós-­‐Graduação    -­‐    lato  Sensu  
  75. 75. Outras  tecnologias     de  Controle  de  Acesso   Content  dependent  •  Considera  o  conteúdo  do  objeto  no  processo  de   controle  de  acesso   –  Filtros  de  e-­‐mail  que  procuram  por  strings  específicas   (confidencial,  CPF  etc)   •  Carnivore   Pós-­‐Graduação    -­‐    lato  Sensu  
  76. 76. Outras  tecnologias     de  Controle  de  Acesso   Context  dependent  •  Baseado  no  contexto,  por  meio  da  coleta  e  análise   de  informações   –  Statefull  firewall   Pós-­‐Graduação    -­‐    lato  Sensu  
  77. 77. Interfaces     restritas  •  Restrição  ou  limitação  das   interfaces  usadas  para  acessar  os   objetos  •  Tipos   –  Menus  e  shells   –  interfaces  msicas  restritas  •  Exemplos   –  Caixa  eletrônico   Pós-­‐Graduação    -­‐    lato  Sensu  
  78. 78. Outras  tecnologias     de  Controle  de  Acesso   Thin  client  •  Arquitetura  cliente/servidor  •  Computadores  sem  disco  •  Força  logon  centralizado  •  Pode  prover  SSO   Pós-­‐Graduação    -­‐    lato  Sensu  
  79. 79. Controle  de  Acesso  Centralizado  •  Obje6vo  ambicioso  •  Ponto  central  de  controle  de  acesso  •  Tecnologias  u6lizam  AAA   –  Radius  e  Tacacs  •  Auten6cação   –  PAP,  CHAP  e  EAP   Pós-­‐Graduação    -­‐    lato  Sensu  
  80. 80. Controle  de  Acesso  Centralizado  •  Radius  –  Remote   Authen6ca6on  Dial-­‐in  User   Service   –  Auten6cação  PAP,  CHAP  ou   EAP   –  Servidor  de  acesso  (AS)  é   cliente  Radius   –  Usa  UDP   –  Faz  bilhetagem  (AS  informa   login  e  logout)   –  Criptografa  somente  a  senha   –  Mais  u6lizado  para   auten6cação  simples   Pós-­‐Graduação    -­‐    lato  Sensu  
  81. 81. Controle  de  Acesso  Centralizado  •  Radius   –  “O  serviço  RADIUS  é  amplamente  usado  em  provedores  de  acesso  a   internet.   No   Brasil   por   exemplo,   a   Oi   (empresa   de   telecomunicações)   usa   RADIUS   no   seu   produto   ADSL   chamado   Velox.  No  sistema  Velox,  o  cliente  inicia  um  pedido  de  conexão  via   protocolo  PPPoE,  um  roteador  Cisco  série  7000  atende  o  pedido  e   envia   o   nome   de   usuário   e   senha   para   o   servidor   RADIUS   (localizado   num   datacenter   no   Rio   de   Janeiro),   o   RADIUS   por   sua   vez   confere   as   credenciais   em   seu   banco   de   dados   e   retorna   para   o   roteador   se   o   cliente   pode   se   conectar   ou   não.   Se   a   resposta   for   posi6va,  o  cliente  receberá  um  IP  público  e  poderá  navegar,  caso  a   resposta  seja  nega6va,  o  acesso  é  negado”   Pós-­‐Graduação    -­‐    lato  Sensu  
  82. 82. Controle  de  Acesso  Centralizado  •  TACACS  –  Termina  Access  Controller  Access  Control  System     –  Usa  TCP   –  Criptografa  todos  os  dados   –  Separa  processos  de  AAA  –  mais  flexibilidade   Pós-­‐Graduação    -­‐    lato  Sensu  
  83. 83. FIM   Pós-­‐Graduação    -­‐    lato  Sensu  

×