Controle de Acesso

Pós-‐Graduação -‐ lato Sensu

Prof: Cássio Alexandre Ramos cassioaramos (at) gmail (dot) com http://cassioaramos.blogspot.com http://www.facebook.com/cassioaramos

BEM-VINDO À DISCIPLINA DE: Controle de Acesso


•  Agenda –  Introdução

–  Iden6ficação, auten6cação, autorização e registro

– Métodos de Auten6cação e Caracterís6cas

– Gerência de Iden6dades

– Modelos

– Outras tecnologias de CA

–  Controle de Acesso Centralizado

Sistemas de Controle de Acesso


•  Tecnologias de CA são importantes componentes da arquitetura de segurança dos sistemas

•  São responsáveis por: –  Quais recursos podem ser acessados

•  hardware -‐ impressoras, discos, etc.

•  soMware -‐ que sistemas podem ser u6lizados? Ex. CATG

–  Quais operações podem ser realizadas

•  Ex. Acesso a home banking

–  Quais são os componentes autorizados a desempenhar tais operações

•  Administrador – config, instala programas, gerencia memória, proc e etc.

•  usuário do sistema

Introdução


Requisitos Básicos da Segurança

•  Disponibilidade -‐ Certeza que os dados estão acessíveis quando e onde forem necessários

•  Integridade -‐ Certeza que os dados não foram alterados -‐

por acidente ou intencionalmente

•  Confidencialidade -‐ Certeza que somente as pessoas

autorizadas a acessar os dados podem acessá-‐los


Requisitos Básicos da Segurança

•  Elementos U+lizados para Garan+r a Confidencialidade –  Criptografia dos dados –  Controle de acesso

•  Elementos para garan+r a Integridade (md5sum) –  Assinatura digital –  MD5-‐ hash

•  Elementos para garan+r a Disponibilidade –  Backup –  Tolerância a falhas –  Redundância


Tipos

•  Podemos classificar as tecnologias em três 6pos

básicos

–  Host

–  Sistemas

–  Rede


Host •  Tecnologias que controlam o acesso

a recursos do S.O –  Implementada normalmente nos sistemas operacionais

–  Ex. login •  Recursos mais comuns a serem

protegidos –  Arquivos –  Objetos

•  Serve para controlar recursos via rede


Sistemas

•  Sistemas funcionam dentro de hosts ou distribuidos •  Normalmente formado por dois componentes

–  Interface –  Banco de Dados

•  Nesta categoria temos sistemas de ERP, CRM, etc. •  Sistemas possuem mecanismos próprios de controle de acesso

–  Proteger acesso à BD –  Ex. acesso web a banco.


Rede

–  Normalmente implementadas através de

•  Firewalls: statefull, filtro de pacotes e proxy •  Roteadores: interligam redes

•  Switches: interligam computadores

–  Demo FIREWALL

•  Bloqueio de icmp e hcp


Arquitetura

Router B

Parceiro1 Parceiro2 Parceiro3

Internet

INTRANET

LAN1

LAN2

LAN3

LAN4

LAN5

FILIAL

VPN

DMZ

WEB Server

DNS Server

Mail Server

Proxy R.

Hardened Server

Firewall Firewall/ Proxy


Conceitos básicos

• Sujeito X Objeto • Reference Monitor • Security Kernel


X Sujeito

•  En6dade que solicita o acesso a uma peça de informação –  Exemplos: usuários, processos, hosts, etc.

•  Peça de informação acessada pelo sujeito –  Exemplos: arquivos, registros de banco de dados etc.

Objeto


Reference Monitor

•  Conceito acadêmico –  Introduzido na década de 70

•  Caracterís6cas –  Ser sempre chamado para mediar um acesso –  Permi6r que sua funcionalidade possa ser testada –  Ser inviolável, possuindo controles que garantam a integridade do seu funcionamento


Reference Monitor


•  Conjunto de hardware, soBware e firmware que implementa o conceito do Reference Monitor

•  Firmware – soBware que vem embu+do dentro de um hardware

Security Kernel


Iden6ficação, Auten6cação, Autorização e Registro

•  4 etapas que devem ser realizadas para um sujeito acessar um objeto


•  Responsáveis por confirmar quem são os sujeitos que acessam os objetos – Mecanismos que permitem ao usuário mostrar ao sistema quem ele é

•  Primeira etapa do controle de acesso

Iden6ficação e Auten6cação


Iden6ficação •  Iden6ficar um sujeito junto ao

sistema •  Responsabilização individual por

ações no sistema

•  Exemplos –  Username –  UserID –  PIN


Iden6ficação

•  Principais recomendações de segurança no processo de iden6ficação –  Iden6ficação deve ser única (auditável e não compar6lhada), não descri6va e expedida por autoridade

•  U6lizar nomenclatura padrão para nomes de usuários

•  Não permi6r a iden6ficação da função ou responsabilidade que a conta possuí (admin, backup operator etc.)

•  Evitar nomes que possam ser facilmente deduzidos de e-‐mails •  Procedimento seguro e controlado para emissão e revogação de contas


Auten6cação

•  Confirmação de iden6dade •  Principais tecnologias

–  Conhecimento: algo que o usuário sabe –  Posse: algo que o usuário tem –  Caracterís6ca: traço msico/comportamental do usuário

•  Auten6cação Forte –  Contém 2 das 3 tecnologias (mul6fator)


Auten6cação

•  Conhecimento –  Algo que o usuário sabe

•  Senha/Frase –  Principais problemas de segurança

•  Senhas fracas •  Interceptação da senha

–  hcp, Mp, telnet etc –  Demo captura de senha FTP


Auten6cação

•  Conhecimento –  Problemas no uso

•  Segredo tem que estar armazenado no sistema •  Local de armazenamento é o alvo:

–  /etc/passwd (DEMO John) –  c:\windows\system32\config

•  Para proteção – criptografia –  Uso de hash na codificação de senhas – método rápido, porém não muito seguro

•  Senhas fornecidas por teclado e mouse –  Facilmente interceptados por soMwares maliciosos


Auten6cação

•  Conhecimento –  Principais recomendações

•  Proteger os canais de transmissão -‐ sniffer •  Usar métodos alterna6vos quando isso não for possível •  Proteção msica dos servidores de auten6cação

–  Demo Pmagic


Auten6cação

•  Posse –  Algo que o usuário possui –  Principais tecnologias

•  Tokens •  Smartcards •  Cartões com listas de senhas •  Cer6ficados digitais


Auten6cação

•  Caracterís6cas –  Caracterís6cas msicas ou comportamentais –  Biometria


Métodos de Auten6cação e Caracterís6cas

•  Senhas/Frases Senha –  Senhas está6cas

–  Senhas cogni6vas

•  OTP ou senhas dinâmicas

•  Chaves Criptograficas •  Memory Cards

•  Smart Cards

•  Biometria


Métodos de Auten6cação e Caracterís6cas (Senhas Está6cas)

•  String de caracteres u6lizada para auten6car um usuário

•  É o que o pessoa sabe •  Método de auten6cação mais u6lizado •  SO e aplicações podem impor requisitos de segurança –  Demo restrições de segurança Windows Server



•  Gerenciamento de Senhas –  Senha deve ser gerada, atualizada e man6da em segredo – (treinamento)

–  Problemas Comuns •  Escolha de senhas fracas – faceis de lembrar •  Guardadas de forma inapropriada

–  SO podem forçar poli6ca de senhas (Demo) •  Numero de caracteres •  Uso de caracteres especiais



•  Gerenciamento de Senhas –  SO podem forçar poli6ca de senhas

•  Indicação de ul6mo logon (Demo) •  Bloqueio após n tenta6vas de logon incorretas •  Auditoria de acessos negados •  Tempo de vida da senha



•  Técnicas de Captura de Senhas – Monitoramento eletrônico –  Acesso ao arquivo de senhas –  Ataques de força bruta –  Ataques de dicionário (demo Hydra) –  Engenharia social –  Rainbow tables


Métodos de Auten6cação e Caracterís6cas (Senhas Cogni6vas)

•  Baseada na experiencia de vida do usuário •  Fácil de memorizar •  Ex: nome do cachorro, CPF, data de aniversário etc •  Muito u6lizada em call centers


Métodos de Auten6cação e Caracterís6cas (Senhas Dinâmicas)

•  One-‐Time Password –  Senha só é válida 1 vez –  U6lizada em ambientes de nível de segurança elevado –  Pode ser u6lizado como 2° fator de auten6cação –  Implementação

•  SoMware •  Tokens


•  Tokens OTP –  Geradores de senha independentes

(sem PC)

–  Disposi6vos de hardware usados para auten6cação



•  Tokens –  Síncronos – sistema que auten6ca e sistema que solicita auten6cação possuem 6mer ou contador para sincronização

–  Assíncronos – não demandam sincronismo entre o usuário que se auten6ca e o sistema



•  Tokens Síncronos –  Peça de hardware –  Senha trocada (30 a 60s)

–  Token sincronizado com servidor

–  Normalmente combinado com

senha está6ca (Personal Iden6fica6on Number)

–  Combina algo que usuário sabe e algo que ele tem -‐ mul6fator



•  Tokens Assíncronos –  Funcionam através de mecanismos de desafio/resposta



•  Vantagens –  Fácil de usar

•  Desvantagens –  Custo

Métodos de Auten6cação e Caracterís6cas (Tokens)


•  Assinatura Digital –  U6liza chaves privadas para comprovar iden6dade do emissor –  Tecnologia que usa a chave privada para encriptar um hash é chamada

de assinatura digital –  Cer6ficado digital -‐ Conjunto de informações assinadas por en6dade

confiável

Métodos de Auten6cação e Caracterís6cas (Chaves Criptográficas)


•  Não tem capacidade de processar informação •  Pode armazenar informações de auten6cação

–  Ex1: Usuário insere cartão, acesso liberado (1 fator) –  Ex2: Usuário introduz o PIN e insere o cartão (mul6fator)

•  Podem ser usados com computadores (necessita de leitora)

Métodos de Auten6cação e Caracterís6cas (Memory Cards)


Métodos de Auten6cação e Caracterís6cas (Smartcards)

•  Além de armazenamento tem capacidade de processar informação

•  Possui micro-‐processador e circuitos •  Pode realizar operações criptográficas •  Pode u6lizar o PIN para desbloquear o cartão – informação

não pode ser lida até o desbloqueio

Auten+cação pode ser provida por OTP, desafio/resposta ou pelo cer+ficado digital


•  Categorias –  Contact: leitor transmite energia com o contato –  Contactless: antena em forma de bobina enrolada

Métodos de Auten6cação e Caracterís6cas (Smartcards)


–  A biometria valida um traço msico ou comportamental do usuário

–  Grande facilidade de uso –  Pode envolver aspectos culturais fortes

–  Necessita de ajustes •  Erros 6po I •  Erros 6po II

Métodos de Auten6cação e Caracterís6cas (Biometria)



•  Categorias –  Baseada em Caracterís6cas Físicas –  Baseada em caracterís6cas comportamentais


•  Baseada em Caracterís6cas Físicas –  Analisam um traço msico do usuário

•  Impressão digital •  Impressão da palma da mão •  Geometria da mão •  Reconhecimento facial •  Re6na •  Íris •  voz



•  Impressão Digital –  A impressão é

transformada em um vetor matemá6co para confrontação

–  Bastante popular



•  Reconhecimento facial –  Analisa estrutura dos ossos do rosto –  Grande potencial de crescimento financiado pela indústria an6-‐terrorismo



•  Re6na –  Analisa o padrão formado pelas veias internas do globo ocular

–  Em caso de doenças oculares, sua precisão pode ser afetada



•  Íris –  Analisa o padrão visual formado pela íris

–  Extremamente precisa



•  Voz –  Analisa o padrão de voz –  U6liza mecanismos de

prevenção contra gravações




•  Baseada em Caracterís6cas Comportamentais –  Analisam um traço Comportamental do usuário – Menos populares, devido a sua baixa precisão

•  Padrão de digitação •  Padrão de escrita


Autorização •  Determina se indivíduo está autorizado a acessar recurso par6cular

•  Componente de todos os SO e desejável em aplicações –  Ex. Usuário auten6cado no AD acessa planilha no servidor de arquivos

–  SO verifica permissões (baseadas em critérios de acesso) •  Localização msica e lógica, hora, 6po de transação. •  Boas prá6cas: Default – no access e baseado na necessidade de conhecer


Gerência de Iden6dades



•  Soluções para a automa6zação do uso das tecnologias de iden6ficação, auten6cação e autorização, ao longo do seu ciclo de vida

•  Gerenciamento de contas e senhas, controle de acesso, SSO, gerencia de direitos e permissões, auditoria e monitoramento desses itens

•  Várias tecnologias combinadas ou integradas



•  Para que usar isso?



•  Questões Comuns –  O que cada usuário deve ter acesso? –  Quem aprova e permite o acesso? –  Como é o processo de revogação de acesso? –  Como o acesso é controlado e monitorado de forma centralizada?

–  Como centralizar o acesso a várias plataformas de SO e aplicações? –  Como controlar acesso de empregados, parceiros e clientes?

•  A tradicional Gerência de iden6dades (diretórios com permissões, ACL e perfis) é considerada incapaz de tratar todos esses problemas



•  Conceito Moderno de Gerência de Iden6dades –  U6liza aplicações automá6cas, ricas em funcionalidades trabalhando em conjunto para criar uma infraestrutura de gerência de iden6dades

–  Gerencia de iden6dades, auten6cação, autorização e auditoria em múl6plos sistemas



•  Ferramentas e Tecnologias –  Diretórios –  Gerenciamento de acesso Web (WAM) –  Gerencia de senhas –  SSO –  Gerenciamento de contas –  Atualização de perfis


Gerência de Iden6dades •  Ferramentas e Tecnologias

–  Diretórios (catálogo de informações)

•  Contém informações centralizadas de usuários e recursos (principal componente)

•  Formato de dados hierárquico -‐ padrão X.500 •  Protocolo de acesso –LDAP

– Aplicações requisitam info de usuários

– Usuários requisitam info de recursos •  Objetos são gerenciados pelo Serviço de Diretório

– Permite ao admin configurar e gerenciar a iden6ficação, auten6cação e autorização aos recursos



•  Ferramentas e Tecnologias –  Diretórios

•  Componente principal da solução •  Armazena informações vindas de outros sistemas

–  Atributos de usuários podem ser fornecidos pelo RH


Gerência de Iden6dades •  Ferramentas e Tecnologias

–  Diretórios •  Ambiente windows

–  Usuário loga no Controlador de Domínio

–  Serviço de diretório – AD –  AD organiza recursos e implementa controle de acesso –  Configuração do AD é responsável por disponibilização de recursos para os usuários (impressoras, arquivos, servidores web etc)

•  Problemas – Muitas aplicações legadas não são compa6veis



•  Ferramentas e Tecnologias –  WAM

•  Controla usuário quando acessa aplicação Web •  Muito u6lizada em e-‐commerce, online banking etc •  Pode u6lizar: senhas, cer6ficados digitais, tokens etc



•  Ferramentas e Tecnologias –  Gerência de senhas

•  Grande custo administra6vo com help-‐desk para resetar senhas

•  Usuários precisam memorizar grande quan6dade de senhas para diversos sistemas

–  Soluções de Gerência de Senha •  Sincronismo de senhas •  Self-‐service reset •  Reset assis6do



•  Ferramentas e Tecnologias –  SSO – Single Sign On

•  Auten6cação única •  Desafio tecnológico •  Alto custo •  Discu{vel sob o aspecto de segurança •  Não compa{vel com sistemas legados



•  Ferramentas e Tecnologias –  SSO com kerberos



•  Ferramentas e Tecnologias –  Gerênciamento de Contas

•  Criação de contas em diversos sistemas •  Modificação de privilégios •  Ex6nção

–  Processo formal para criação de contas, atribuição de privilégios e ex6nção

•  Implementação de wokflow auditável



•  Ferramentas e Tecnologias –  Atualização de perfis

•  Informações associadas a iden6dade do usuário •  Perfil pode ter informações sensiveis ou não

–  Ex. Usuário atualiza perfil no site Submarino e as informações são u6lizadas pelo CRM


•  Aspectos de segurança –  Vantagens

•  Eficiência •  Polí6ca de senhas configurada centralmente •  Logs centralizados

–  Desvantagens •  Grande dificuldade técnica e financeira



Modelos


Modelos de Controle de Acesso

•  Framekorks que norma6zam como sujeitos acessam objetos

•  U6lizam tecnologias para reforçar regras e obje6vos do modelo

•  São implementados no kernel (seurity kernel) ou em aplicações

•  Principais –  DAC – MAC –  RBAC


•  Proprietário (owner) do recurso é responsável por atribuir as permissões

•  Princípio: Ninguém melhor que o owner para dar direitos

•  Problemas prá6cos –  owner é um usuário

–  complexidade

•  Tipos mais comuns de implementação –  ACL –  Capability Tables

Modelos de Controle de Acesso Discre6onary Access Control


Mandatory Access Control

•  Inicialmente projetado para uso militar

•  Baseado no modelo Bell-‐LaPadula – 1973

•  Componentes –  Classificação –  Credenciais de segurança/necessidade

de conhecer •  hcp://www.vivaolinux.com.br/

ar6gos/impressora.php?codigo=9883



Role-‐Based Access Control

•  Permissões são atribuídas a papéis •  Os papéis representam funções •  Os usuários são atribuídos aos papéis



Outras tecnologias de Controle de Acesso

•  Rule-‐based •  Content dependent •  Context dependent •  Interfaces restritas •  Thin clients


Rule-‐based

•  O controle de acesso é feito através de um conjunto regras

•  Exemplos –  Anexos de e-‐mail > 5 MB, nega –  Firewalls



Content dependent

•  Considera o conteúdo do objeto no processo de controle de acesso –  Filtros de e-‐mail que procuram por strings específicas (confidencial, CPF etc)

•  Carnivore



Context dependent

•  Baseado no contexto, por meio da coleta e análise de informações –  Statefull firewall



Interfaces restritas

•  Restrição ou limitação das interfaces usadas para acessar os objetos

•  Tipos –  Menus e shells

–  interfaces msicas restritas

•  Exemplos –  Caixa eletrônico


Thin client

•  Arquitetura cliente/servidor •  Computadores sem disco •  Força logon centralizado •  Pode prover SSO



•  Obje6vo ambicioso •  Ponto central de controle de acesso •  Tecnologias u6lizam AAA

–  Radius e Tacacs •  Auten6cação

–  PAP, CHAP e EAP

Controle de Acesso Centralizado


•  Radius – Remote Authen6ca6on Dial-‐in User Service –  Auten6cação PAP, CHAP ou

EAP –  Servidor de acesso (AS) é

cliente Radius –  Usa UDP –  Faz bilhetagem (AS informa

login e logout) –  Criptografa somente a senha –  Mais u6lizado para

auten6cação simples



•  Radius –  “O serviço RADIUS é amplamente usado em provedores de acesso a

internet. No Brasi l por exemplo, a Oi (empresa de telecomunicações) usa RADIUS no seu produto ADSL chamado Velox. No sistema Velox, o cliente inicia um pedido de conexão via protocolo PPPoE, um roteador Cisco série 7000 atende o pedido e envia o nome de usuário e senha para o servidor RADIUS (localizado num datacenter no Rio de Janeiro), o RADIUS por sua vez confere as credenciais em seu banco de dados e retorna para o roteador se o cliente pode se conectar ou não. Se a resposta for posi6va, o cliente receberá um IP público e poderá navegar, caso a resposta seja nega6va, o acesso é negado”



•  TACACS – Termina Access Controller Access Control System –  Usa TCP –  Criptografa todos os dados –  Separa processos de AAA – mais flexibilidade



FIM

Controle de Acesso

Technology