Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Segurança de Redes - Projeto e Gerenciamento de Redes Seguras

6,828 views

Published on

Apresentação sobre projeto e gerenciamento de redes seguras.

Published in: Technology
  • Be the first to comment

Segurança de Redes - Projeto e Gerenciamento de Redes Seguras

  1. 1. SEGURANÇA DE REDES Projeto e Gerenciamento de Redes Seguras Jivago Alves
  2. 2. Roteiro  O que é segurança?  O processo de segurança  O processo está funcionando?  Política de segurança  Como escrever uma política  Conteúdo da política  Quem está atacando?  Boas práticas
  3. 3. O que é segurança?  Segurança é proporcional ao valor protegido.  Lidamos com componentes humanos!  Que tipo de empresa estamos protegendo? SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 3
  4. 4. O processo de segurança  Processo contínuo... SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 4
  5. 5. O processo de segurança SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 5
  6. 6.  O processo está funcionando?  Não existe forma provar um ataque e receber os créditos pelo sucesso da defesa.  Atividade não pode ser diferenciada como legítima ou acidental.  Paradoxo: impossível quantificar, mas sem quantificação o processo parecerá ser um fracasso. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 6
  7. 7. Política de segurança  O que e por que está sendo protegido?  Prioridades de segurança: o que tem mais valor?  Definir acordo explícito entre partes.  Fornece motivos válidos para se dizer não e para sustentá-lo.  Impede que tenhamos um desempenho fútil. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 7
  8. 8. Como escrever uma política  Escreva um esboço com idéias genéricas e essenciais.  Descubra 3 pessoas para o comitê de política de segurança.  O comitê será legislador, você é o executor!  Divulgue a política, crie um site interno.  Trate a política como regras absolutas com força de lei. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 8
  9. 9. Como escrever uma política  Se alguém tiver algum problema com a política, faça com que a pessoa proponha uma sugestão.  Programe encontros regulares para consolidar a política. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 9
  10. 10. Conteúdo da política  Defina prioridades 1) Saúde e segurança humana 2) Conformidade com legislação local, estadual e federal 3) Interesses da empresa 4) Interesses de parceiros da empresa 5) Disseminação gratuita e aberta de informações não-sensíveis. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 10
  11. 11. Conteúdo da política  Defina níveis de acesso aos recursos:  Vermelho: somente func. ”vermelhos”  Amarelo: somente funcionários.  Verde: funcionários contratados e selecionados.  Branco: funcionários e contratados.  Preto: funcionários, contratados e público (selecionado) SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 11
  12. 12. Conteúdo da política  Caracterize seus recursos:  Vermelho: informações extremamente confidenciais  Amarelo: informações sensíveis, serviços importantes  Verde: capaz de ter acesso a recursos vermelhos, ou amarelos, mas sem info. essenciais.  Branco: sem acesso a vermelho, amarelo ou verde, sem acesso externo  Preto: acessível externamente, sem acesso aos anteriores. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 12
  13. 13. Conteúdo da política  Descrever responsabilidades e privilégios:  Geral: conhecimento da política  Admin. de sistemas: informações de usuário tratadas como confidenciais.  Admin. de segurança: mais alto nível de conduta ética.  Contratado: acesso a máquinas especificamente autorizadas.  Convidado: nenhum acesso, exceto com notificação prévia por escrito à segurança. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 13
  14. 14. Conteúdo da política  Definir penalidades:  Crítica: recomendação de demissão, abertura de ação legal.  Séria: recomendação de demissão, desconto de salário.  Limitada: desconto de salário, repreensão formal por escrito, suspensão não-remunerada. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 14
  15. 15. Quem está atacando?  É preciso estudar ameaças para uma boa defesa  Segurança é uma questão social.  Segredo é dificultar a vida do atacante.  Um ataque terá êxito se o atacante tiver:  Habilidade  Motivação  Oportunidade SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 15
  16. 16. Quem está atacando?  Navegadores, aproveitadores e vândalos.  Probab. alta, número grande, motivação baixa a média, e habilidade baixa a alta.  Estratégia de defesa:  Não ofereça recursos públicos e sem autenticação, que possam ser controlados pelos outros.  Examine os recursos periodicamente.  Elimine características atraentes para os atacantes.  Mantenha-se atualizado com metodologias de ataque. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 16
  17. 17. Quem está atacando?  Espiões e sabotadores.  Probab. depende da atividade, número baixo, motivação média a alta, habilidade média a alta.  Estratégia de defesa:  Sob ponto de vista externo, aparente ser um objetivo muito arriscado.  Elimine meios conhecidos de ataques de DoS.  Limite o que é conhecido publicamente sobre suas defesas.  Preteja os principais sistemas comerciais. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 17
  18. 18. Quem está atacando?  (Ex-)funcionários e (ex-)contratados frustrados.  Probab. média a alta, número depende da atividade, motivação alta, habilidade média a alta.  Estratégia de defesa:  Sob ponto de vista externo, aparente ser um objetivo muito arriscado.  Mantenha felizes seus funcionários. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 18
  19. 19. Quem está atacando?  Estratégia de defesa (cont.):  Desenvolva um plano para despedir funcionários que conhecem detalhes de segurança.  Elimine imediatamente o acesso.  Avise que o funcionário será o primeiro suspeito, em caso de ataque.  Crie situação na qual o funcionário demitido não será capaz de abusar do sistema. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 19
  20. 20. Boas práticas  Aprenda tudo que puder sobre as ameaças que encontrar.  Planeje o melhor possível de acordo com o que aprendeu, antes de implementar qualquer coisa.  Pense patologicamente e fortaleça o projeto.  Implemente exatamente como foi projetado.  Verifique tudo continuamente, previna-se! SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 20
  21. 21. Boas práticas  Pratique a execução para chegar a perfeição.  Simplifique o que deseja que as pessoas façam.  Dificulte o que não deseja que elas façam.  Facilite a identificação de problemas: um bom registro de problemas ajuda.  Teste tudo que puder testar! SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 21
  22. 22. Dúvidas? SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 22
  23. 23. Referências  Segurança de Redes – Thomas A. Wadlow. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 23

×