Segurana e Auditoria de Sistemas

Filtragem de PacotesRegras que avaliam as informaes no cabealho de um pacote toda vez que um chega ao firewall, para ento ser decidido se permitido ou no a sua passagem.Caso seja permitido a passagem do pacote, ele toma o seu caminho normalmente. Porm nenhum pacote passa por roteador ou firewall sem sofrer algumas modificaes. Antes do pacote tomar o seu caminho o roteador ou firewall reduz o valor da TTL (Time-To-Live) no cabealho em pelo menos 1. Se o TTL, que o emissor provavelmente configurou como 128, atingir a marca de 0, o pacote descartado.Filtragem de PacotesIP de origem: o endereo de IP que o pacote lista como seu emissor. IP de destino: o endereo de IP para onde o pacote est sendo mandado. ID de protocolo IP: Um cabealho IP pode ser seguido por vrios cabealhos de protocolos. Cada um desses protocolos tem seu prprio ID de protocolo IP. Os exemplos mais conhecidos so TCP (ID 6) e UDP (ID 17).Numero de portas TCP ou UDP : O numero da porta indica que tipo de servio o pacote destinado. Flag de fragmentao: Pacotes podem ser quebrados em pacotes menores.Ajuste de opes do IP: Funes opcionais no TCP/IP que podem ser especificadas nesse campo. Essas opes so apenas usadas para diagnstico, de forma que o firewall possa descartar pacotes com opes de IP determinadas.

Firewalls de AplicaoCom a utilizao deste tipo de firewall, podemos usufruir da filtragem na base em informao de nvel de aplicao (por exemplo, com base em URLS dentro de um servidor, possibilita o estabelecimento de zonas com diferentes tipos de acesso);Possibilita o modo de acordo com a informao e no simplesmente com base em regras de acesso estticas;Possibilidade de funcionarem como repositrios (arquivos) temporrios ocorrendo melhorias significativas ao longo do seu desempenho.Firewall baseado em estadoFirewall de Pacotes + Firewall de AplicaoPossibilita o funcionamento ao nvel da aplicao de uma forma dinmica;Inclui funcionalidades de encriptao e encapsulamento e balanceamento de carga;A manuteno e configurao requerem menos complexas operaes.Alto custoIDS Intrusion Detection SystemsConceitoPodem estar localizados em hosts (H-IDS) ou em uma rede (N-IDS)

Vantagens do IDS baseado em HostComo podem monitorar eventos localmente, os IDS de estao conseguem detectar ataques que no conseguem ser detectados por IDS de rede;Trabalham em ambientes onde o trafego seja criptografado, desde que os dados sejam encriptados na estao antes do envio ou decriptados nos host aps o recebimento;No so afetados por switches;Desvantagens do IDS baseado em HostSo de difcil monitoramento, j que em cada estao deve ser instalado e configurado um IDS;Podem ser desativados por DoS;Recursos computacionais so consumidos nas estaes monitoradas, com diminuio do desempenho;O IDS pode ser atacado e desativado, escondendo um ataque, se as fontes de informaes residirem na estao monitorada;Vantagens do IDS baseado em redeCom um bom posicionamento, pode haver apenas poucos IDS instalados para monitorar uma rede grandeUm pequeno impacto provocado na rede com a instalao desses IDS, pois so passivos, e no interferem no funcionamento da redeDifceis de serem percebidos por atacantes e com grande segurana contra ataquesDesvantagens do IDS baseado em redePodem falhar em reconhecer um ataque em um momento de trafego intenso;Em redes mais modernas baseadas em switches, algumas das vantagens desse tipo de IDS no se aplicam;No conseguem analisar informaes criptografadas, sendo um grande problema, visto que muitos atacantes utilizam criptografia em suas invases;Grande parte no pode informar se o ataque foi ou no bem sucedido, podendo apenas alertar quando o ataque foi iniciado.BackupFalhas tcnicas: falha no disco rgido (HD), falha de energia, sobrecarga na rede de computadores que pode gerar falhas de comunicao e de software; Falhas ambientais: descargas eltricas provindas de raios, enchentes, incndios; Falhas humanas: detm 84% das perdas de dados e so devidas excluso ou modificao de dados acidental ou mal-intencionada, vrus, roubo de equipamentos e sabotagem.

Tipos de BackupBackup normalBackup diferencialBackup incrementalBackup NormalUm backup normal copia todos os arquivos selecionados e os marca como arquivos que passaram por backup (ou seja, o atributo de arquivo desmarcado). Com backups normais, voc s precisa da cpia mais recente do arquivo ou da fita de backup para restaurar todos os arquivos. Geralmente, o backup normal executado quando voc cria um conjunto de backup pela primeira vez. Backup DiferencialUm backup diferencial copia arquivos criados ou alterados desde o ltimo backup normal ou incremental. No marca os arquivos como arquivos que passaram por backup (o atributo de arquivo no desmarcado). Se voc estiver executando uma combinao dos backups normal e diferencial, a restaurao de arquivos e pastas exigir o ltimo backup normal e o ltimo backup diferencial.Backup IncrementalUm backup incremental copia somente os arquivos criados ou alterados desde o ltimo backup normal ou incremental. e os marca como arquivos que passaram por backup (o atributo de arquivo desmarcado). Se voc utilizar uma combinao dos backups normal e incremental, precisar do ltimo conjunto de backup normal e de todos os conjuntos de backups incrementais para restaurar os dados.Periodicidade de BackupFrequncia de Modificaes X Importncia da InformaoBackup DirioBackup SemanalBackup MensalBackup AnualCriptografia

CriptografiaConceitoHistricoTiposCriptografia Simtrica;Criptografia AssimtricaConceituaokryptos (oculto, secreto), graphos (escrever).Texto aberto: mensagem ou informao a ocultarTexto cifrado: informao codificada;Cifrador: mecanismo responsvel por cifrar/decifrar as informaesChaves: elementos necessrios para poder cifrar ou decifrar as informaesEspao de chaves: O nmero de chaves possveis para um algoritmo de cifragemConceituaoAlgoritmo computacionalmente seguroCusto de quebrar excede o valor da informaoO tempo para quebrar excede a vida til da informaoMeios de criptoanliseFora brutaMensagem conhecidaMensagem escolhida (conhecida e apropriada)Anlise matemtica e estatsticaEngenharia socialConceitos para bom algoritmo de criptografiaConfuso: transformaes na cifra de forma irregular e complexaDifuso: pequena mudana na mensagem, grande na cifraHistricoCifrador de Csarmensagem aberta: Reunir todos os generais para o ataquemensagem cifrada com k = 1: Sfvojs upept pt hfofsbjt qbsb p bubrvfmensagem cifrada com k = 2: Tgwpkt vqfqu qu igpgtcku rctc q cvcswgmensagem cifrada com k = 3: Uhxqlu wrgrv rv jhqhudlv sdud r dwdtxh

CuriosidadeCriptografia AES (Advanced Encryption Standard)Chaves de 128 bits, ou seja, espao de chaves com 2128 possibilidades340.282.366.920.938.463.463.374.607.431.768.211.456 chaves diferentesTipos de CifrasCifras de TransposioCifras de Substituio:Cifra de substituio simples ou monoalfabtica ;Cifra de substituio polialfabtica;Cifra de substituio de polgramos ;Cifra de substituio por deslocamento.Criptografia SimtricaAlgoritmo o prprio processo de substituio ou transposio.Consiste nos passos a serem tomados para realizar a encriptao.ChaveDefine o alfabeto cifrado exato que ser utilizado numa codificao em particular.

O algoritmo utilizado em um processo de encriptao pode ser divulgado sem problemas. A chave, porm, deve ser uma informao confidencial do remetente e do destinatrio.

Desvantagens do Uso de Chaves SimtricasSe uma pessoa quer se comunicar com outra com segurana, ela deve passar primeiramente a chave utilizada para cifrar a mensagem.Grandes grupos de usurios necessitam de um volume grande de chaves, cujo gerenciamento complexoCriptografia AssimtricaPostulada pela primeira vez em meados de 1975 por Withfield Diffie e Martin HellmanAlgoritmos de chave pblica e privadaBaseada em princpios de manipulao matemtica.Os algoritmos so computacionalmente pesados e lentos.Criptografia Assimtrica

Criptografia AssimtricaRSA Ron Rivest / Adi Shamir / Leonard AdlemanCriado em 1977. o algoritmo de chave pblica mais utilizado.Utiliza nmeros primos.A premissa por trs do RSA que fcil multiplicar dois nmeros primos para obter um terceiro nmero, mas muito difcil recuperar os dois primos a partir daquele terceiro nmero.Criptografia AssimtricaCerca de 95% dos sites de comrcio eletrnico utilizam chaves RSA de 512 bits.O desenvolvimento dos algoritmos de criptografia assimtrica possibilitou o aparecimento de aplicaes que trafegam dados internet de forma segura, notadamente do e-commerce.Certificado DigitalAssim como o RG ou o CPF identificam uma pessoa, um certificado digital contm dados que funcionam como um certificado fsico, contendo informaes referentes a:pessoa ou entidade a quem foi emitido o certificado digital e respectivo endereo;sua chave pblica e respectiva validade;nmero de srie; enome da empresa que emitiu seu certificado (chamada de Autoridade Certificadora, ou AC) com respectiva assinatura digital.

Certificado DigitalQualquer modificao realizada em um certificado digital o torna invlido e por isso impossvel falsific-lo.O objetivo da assinatura digital no certificado indicar que uma outra entidade (a Autoridade Certificadora AC) garante a veracidade das informaes nele contidas.Fazendo uma analogia, a AC faz o papel dos rgos pblicos como a Secretaria de Segurana Pblica quando emite um RG, ou seja, ela garante quem voc , dando-lhe legitimidade atravs de sua assinatura digital.

Assinatura DigitalUm documento pode ser considerado genuno quando no sofreu alteraes. No mundo real, a autenticidade de um documento pode ser garantida pelo uso de assinaturas, rubricas e marcas especiais.No mundo virtual, este item pode ser assegurado atravs do uso de assinaturas digitais.Assinatura DigitalA assinatura digital visa garantir que um determinado documento no seja alterado aps assinado. Etapas:O autor, atravs de um software prprio, realiza uma operao e faz um tipo de resumo dos dados do documento que quer enviar, tambm chamado de funo hash. O Autor usa a chave privada de seu certificado digital para encriptar este resumo.Assinatura Digital

Complexidade de SenhasA funo primordial da senhaMtodos de quebra de senha:Deduo inteligenteAtaques de dicionrioAutomatizao ou Fora BrutaSugestes para a criao de senhas segurasNo utilize palavras existentes em dicionrios nacionais ou estrangeiros;No escreva suas senhas em papis, muito menos salve na mquina documentos digitais, como o Word ou o bloco de notas;No utilize informaes pessoais fceis de serem obtidas, tais como: nome ou sobrenome do usurio, nome da esposa, filhos ou animais de estimao, matrcula na empresa, nmeros de telefone, data de nascimento, cidades de origem, etc.;No utilize senhas constitudas somente por nmeros ou somente por letras;Utilize senhas com, pelo menos, seis caracteres;Misture caracteres em caixa baixa e alta (minsculas e maisculas);Sugestes para a criao de senhas segurasCrie senhas que contenham letras, nmeros e caracteres especiais (*,#,$,%...);Inclua na senha, pelo menos, um caractere especial ou smbolo;Utilize um mtodo prprio para lembrar das senhas que dispense registrar a mesma em qualquer local;No empregue senhas com nmeros ou letras repetidos em sequncia;No fornea sua senha para ningum;Altere as senhas, pelo menos, a cada 3 meses;Utilize senhas que possam ser digitadas rapidamente, sem que seja preciso olhar para o teclado;Para facilita a memorizao da senha possvel criar uma frase secreta e extrair delas as iniciais de cada letra. Por exemplo da frase melhor 1 pssaro na mo do que 2 voando se extrai Em1pnmdq2v.Curiosidadehttp://www.nakedpassword.com/

Segurana em Redes WirelessHistrico e conceitosPopularizao das redes wirelessFacilidade na configurao dos equipamentos

Padres802.11bFrequncia: 2,4 GHzVelocidade: 11 Mbps802.11Frequncia: 5 GHzVelocidade: 54 Mbps802.11gFrequncia: 2,4 GHzVelocidade: 54 Mbps802.11 nFrequncia: 2,4 e/ou 5 GHzVelocidade: at 300 Mbps

Protocolos de SeguranaWEP(Wired Equivalent Privacy) - 1999WEP2ouWPA(Wi-Fi Protected Access) 2003Substitui a chave hexadecimal de tamanho fixo da WEP por uma frase-senha (passphrase)Compatibilidade com o WEPChaves TKIP ou AESServidor RadiusWPA2 2004Incompatibilidade com WEPChaves AESServidor RadiusTcnicas adicionais de Segurana para Redes WirelessFiltro de MACOcultamento de SSIDLimitar IP range no DHCP

Virtual Private Network - VPNAs VPNs so tneis de criptografia entre pontos autorizados, criados atravs da Internet ou outras redes pblicas e/ou privadas para transferncia de informaes, de modo seguro, entre redes corporativas ou usurios remotos.Medidas Consideradas EfetivasNormas ISO/IEC de Segurana da InformaoISO/IEC 27001:ISMS (Information Security Management System);Ciclo PDCA;Dividida em cinco sees:O Sistema de Gesto da Segurana da Informao;A responsabilidade da administrao;As auditorias internas do ISMS;A reviso do ISMS;A melhoria do ISMS.Normas ISO/IEC de Segurana da InformaoISO/IEC 27002:Substitui a antiga ISO/IEC 17799;Dividida nas seguintes sees:Poltica de segurana da informao;Organizando a segurana da informao;Gesto de ativos;Segurana em recursos humanos;Segurana fsica do ambiente;Gesto das operaes e comunicaes;Normas ISO/IEC de Segurana da InformaoControle de acessoAquisio, desenvolvimento e manuteno de sistemas de informao;Gesto de incidentes de segurana da informao;Gesto da continuidade do negcio;Conformidade.Normas ISO/IEC da srie 27000 de Segurana da InformaoISO/IEC 27000:2009 - Sistema de Gerenciamento de Segurana - Explicao da srie de normas, objetivos e vocabulrios;ISO/IEC 27001:2005 - Sistema de Gesto de Segurana da Informao - Especifica requerimentos para estabalecer, implementar, monitorar e rever, alm de manter e provisionar um sistema de gerenciamento completo. Utiliza o PDCA como prinpio da norma e certificvel para empresas.ISO/IEC 27002:2005 - Cdigo de Melhores Prticas para a Gesto de Segurana da Informao - Mostra o caminho de como alcanas os controles certificceis na ISO 27001. Essa ISO certificvel para profissionais e no para empresas.

Normas ISO/IEC da srie 27000 de Segurana da InformaoISO/IEC 27003:2010 - Diretrizes para Implantao de um Sistema de Gesto da Segurana da Informao - Segundo a prpria ISO/IEC 27003, O propsito desta norma fornecer diretrizes prticas para a implementao de um Sistema de Gesto da Segurana da Informao (SGSI), na organizao, de acordo com a ABNT NBR ISO/IEC 27001:2005.ISO/IEC 27004:2009 - Gerenciamento de Mtricas e Relatrios para um Sistema de Gesto de Segurana da Informao - Mostra como medir a eficcia do sistema de gesto de SI na corporao.ISO/IEC 27005:2008 - Gesto de Riscos de Segurana da Informao - Essa norma responsvel por todo ciclo de controle de riscos na organizao, atuando junto ISO 27001 em casos de certificao ou atravs da ISO 27002 em casos de somente implantao.

Normas ISO/IEC da srie 27000 de Segurana da InformaoISO/IEC 27006:2007 - Requisitos para auditorias externas em um Sistema de Gerenciamento de Segurana da Informao - Especifica como o processo de auditoria de um sistema de gerenciamento de segurana da informao deve ocorrer.ISO/IEC 27007 - Referncias(guidelines) para auditorias em um Sistema de Gerenciamento de Segurana da Informao.ISO/IEC 27008 - Auditoria nos controles de um SGSI - O foco so nos controles para implementao da ISO 27001.Normas ISO/IEC da srie 27000 de Segurana da InformaoISO/IEC 27010 - Gesto de Segurana da Informao para Comunicaes Inter Empresariais- Foco nas melhores formas de comunicaar, acompanhar, monitorar grandes incidentes e fazer com que isso seja feito de forma tansparente entre empresas particulares e governamentais.ISO/IEC 27011:2008 - Gesto de Segurana da Informao para empresa de Telecomunicaes baseada na ISO 27002 - Entende-se que toda parte de telecomunicao vital e essencial para que um SGSI atinga seus objetivos plenos(claro que com outras reas), para tanto era necessrio normatizar os processos e procedimentos desta rea objetivando a segurana da informao corporativa de uma maneira geral. A maneira como isso foi feito, foi tendo como base os controles e indicaes da ISO 27002.