Roteiro TOCI-08: Seguranc¸a de Redes Prof. Rafael Obelheiro
[email protected]
1
˜ Introduc¸ao
2
Pol´ıticas formais
3
Pol´ıticas informais
Aula 5: Pol´ıticas
c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 5: Pol´ıticas
SEG
1 / 38
˜ Introduc¸ao
I I
I
I
o que e´ (formalmente) uma pol´ıtica de seguranc¸a ´ aspectos praticos de pol´ıticas de seguranc¸a
I I I
c 2008 Rafael Obelheiro (DCC/UDESC)
SEG
2 / 38
´ ´ Em um sistema multiusuario, Flora copia arquivos do diretorio de Donatela ˜ de seguranc¸a? Houve uma violac¸ao ´ ˜ Se sim, quem e´ responsavel pela violac¸ao?
o que e´ protegido? ˜ os usuarios ´ quem sao autorizados? ...
O objetivo da aula e´ entender I
Aula 5: Pol´ıticas
Um exemplo
A seguranc¸a e´ governada por pol´ıticas I
c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 5: Pol´ıticas
SEG
3 / 38
Flora Donatela ambas nenhuma delas, foi
c 2008 Rafael Obelheiro (DCC/UDESC)
(insira culpado aqui)
Aula 5: Pol´ıticas
SEG
4 / 38
Pol´ıtica de seguranc¸a
Sistema seguro: um exemplo
Uma pol´ıtica de seguranc¸a define o que e´ “seguro” para um sistema ou conjunto de sistemas Formalmente, a pol´ıtica de seguranc¸a particiona os estados de um sistema em dois conjuntos I I
A
autorizados (seguros): estados em que o sistema pode estar ˜ autorizados (inseguros): se o sistema entrar em um desses nao ˜ de seguranc¸a estados, ocorre uma violac¸ao
I
I
Aula 5: Pol´ıticas
I
I
SEG
6 / 38
Atributos de seguranc¸a
I
I
˜ a X se nenhum membro de I tem confidencialidade com relac¸ao ˜ sobre I X pode obter informac¸oes ˜ a X se todos os membros de X I tem integridade com relac¸ao confiam em I ˜ a X se todos os membros de X I tem disponibilidade com relac¸ao podem acessar I
A pol´ıtica de seguranc¸a define tudo isso I
falta definir “obter”, “confiar” e “acessar”. . .
o Windows e´ seguro?
c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 5: Pol´ıticas
SEG
7 / 38
SEG
9 / 38
˜ O que significa “obter” informac¸oes? ˜ Formalmente: fluxo de informac¸oes I I
Aula 5: Pol´ıticas
SEG
8 / 38
ˆ transferencia de direitos ˆ ˜ sem transferencia ˆ transferencia de informac¸oes de direitos F F
´ ˜ copia de informac¸oes canais cobertos
Historicamente ligadas a contextos de seguranc¸a nacional (governos, militares) ou envolvendo segredos industriais ˜ de dados privados Necessidade crescente de protec¸ao I
c 2008 Rafael Obelheiro (DCC/UDESC)
˜ autorizados; B e´ o estado inicial A, B sao ˜ autorizados; C e´ o estado inicial A, B, C sao
Pol´ıticas de confidencialidade
˜ ou recurso Seja X um conjunto de entidades e I uma informac¸ao I
D
´ Qualquer sistema pode ser representado por uma maquina de estados finitos
inicia em um estado autorizado ˜ autorizado nunca entra em um estado nao
c 2008 Rafael Obelheiro (DCC/UDESC)
C
O sistema e´ seguro?
Sistema seguro I
B
´ clientes, funcionarios, ...
c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 5: Pol´ıticas
Pol´ıticas de integridade
Pol´ıticas de disponibilidade
˜ podem ser alteradas Definem como informac¸oes I I I
quem pode alterar dados ˜ em que os dados podem ser alterados condic¸oes ˜ de dados limites para a alterac¸ao
˜ Definem o que significa “ter acesso” a informac¸oes I I
Exemplos I I
I
˜ da chefia compras acima de R$ 1.000 precisam de autorizac¸ao cheques acima de R$ 5.000 precisam de duas assinaturas F
tradicional ˆ parametros de tempo (qualidade de servic¸o) formas de acesso: f´ısico, telefone, email, web, . . .
Integridade e disponibilidade podem estar inter-relacionadas I
˜ de deveres separac¸ao
´ acesso rapido a dados antigos × acesso lento a dados atuais
Ligadas ao mundo comercial I
´ registros financeiros, contabeis, ...
c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 5: Pol´ıticas
SEG
10 / 38
Mecanismos de seguranc¸a
I
I I
˜ que impedem que alguem ´ controles de acesso: bits de protec¸ao copie ou apague um arquivo ´ ´ proibir que usuarios instalem software nas maquinas para controlar o que existe em cada uma retirar dispositivos de m´ıdia remov´ıvel de computadores para evitar ˜ vazamentos de informac¸ao
I
Aula 5: Pol´ıticas
11 / 38
dono determina direitos de acesso tipicamente baseado em identidade (IBAC) mais comum
´ Controle de acesso obrigatorio (MAC) I I
direitos de acesso determinados por regras impostas pelo sistema ˜ de seguranc¸a nacional mais usado em aplicac¸oes
Controle de acesso controlado pela origem (ORCON) I
direitos de acesso determinados pelo criador ˜ necessariamente o dono e o criador sao ˜ identicos ˆ nao
´ Mais sobre o assunto nas proximas aulas
o mecanismo implementa a pol´ıtica? o mecanismo e´ restritivo demais?
c 2008 Rafael Obelheiro (DCC/UDESC)
I
I
˜ necessariamente sao ˜ controles computacionais Nao ˜ importantes Questoes I
SEG
´ Controle de acesso discricionario (DAC)
Um mecanismo implementa uma pol´ıtica (no todo ou em parte) Exemplos I
Aula 5: Pol´ıticas
Mecanismos de controle de acesso
A pol´ıtica define o que e´ permitido
I
c 2008 Rafael Obelheiro (DCC/UDESC)
SEG
12 / 38
c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 5: Pol´ıticas
SEG
13 / 38
De volta ao exemplo
O papel da confianc¸a
´ A pol´ıtica da universidade pro´ıbe o plagio ˜ em um sistema Os alunos realizam trabalhos de implementac¸ao ´ multiusuario Donatela deixa os arquivos de um trabalho de uma disciplina com ˜ de leitura permissao ´ Flora copia os arquivos do diretorio de Donatela ˜ de seguranc¸a? Houve uma violac¸ao ´ ˜ Se sim, quem e´ responsavel pela violac¸ao? I I I I
Flora Donatela ambas nenhuma delas, foi
c 2008 Rafael Obelheiro (DCC/UDESC)
Pol´ıticas e mecanismos de seguranc¸a dependem de premissas, impl´ıcitas ou expl´ıcitas ˜ de software Exemplo: o administrador instala uma correc¸ao (patch) ˜ veio do fornecedor e nao ˜ foi corrompida em 1. confia que a correc¸ao ˆ transito ˜ foi adequadamente testada 2. confia que a correc¸ao 3. confia que o ambiente de testes do fornecedor corresponde ao ambiente local ˜ e´ instalada corretamente 4. confia que a correc¸ao
˜ e´ o esperado Se as premissas falham, o resultado nao (insira culpado aqui)
Aula 5: Pol´ıticas
SEG
14 / 38
Modelos de seguranc¸a
c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 5: Pol´ıticas
SEG
15 / 38
Linguagens de pol´ıticas Linguagens de pol´ıticas permitem expressar pol´ıticas de seguranc¸a
˜ frequentemente Pol´ıticas de seguranc¸a sao expressas de modo ¨ informal I I
impl´ıcito vs expl´ıcito ambiguidades ¨
I
I I
Um modelo de seguranc¸a captura aspectos essenciais de uma ou mais pol´ıticas espec´ıficas I I
deve ser expl´ıcito e sem ambiguidade ¨ foco esta´ nos pontos de interesse de cada pol´ıtica F F
n´ıveis de seguranc¸a no modelo Bell-LaPadula ˜ de deveres no modelo Clark-Wilson separac¸ao
menos ambiguidade que linguagem natural ¨
Linguagens de alto n´ıvel: independem de mecanismos
I
˜ sao ˜ especificadas de forma abstrata restric¸oes exemplo: evitar que um applet Java leia o arquivo de senhas class File { public file(String name); public String getfilename(); public char read(); ... ˜ restric¸ao deny(|-> file.read) when file.getfilename() == "/etc/passwd"
Linguagens de baixo n´ıvel: atuam sobre os mecanismos I
c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 5: Pol´ıticas
SEG
16 / 38
exemplo: xhost +urano -netuno (X11)
c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 5: Pol´ıticas
SEG
17 / 38
Pol´ıticas informais
Aspectos organizacionais
Pol´ıticas formais de seguranc¸a permitem raciocinar de forma mais ˜ elaborada acerca da seguranc¸a de um sistema ou instalac¸ao I
provar propriedades e teoremas
´ ˜ complexas e dif´ıceis de escrever Na pratica, pol´ıticas formais sao I I I
riqueza de detalhes explicitar premissas remover ambiguidades ¨
I
I
˜ dependem de pol´ıticas de seguranc¸a expressas As organizac¸oes em linguagem natural I I I
˜ permitido em um determinado contexto determinam o que e´ ou nao inevitavelmente amb´ıguas ˜ impl´ıcitos muitos aspectos sao
c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 5: Pol´ıticas
SEG
19 / 38
Conteudo da pol´ıtica ´
´ ´ usuarios, administradores de redes e sistemas, funcionarios, gerentes, . . . ˜ relativas a` seguranc¸a define expectativas e atribuic¸oes
Estipula as penalidades para o descumprimento ´ Geralmente precedida por uma analise de riscos ˜ Ferramenta essencial para tipificar violac¸oes e punir ´ responsaveis
c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 5: Pol´ıticas
SEG
20 / 38
Aspectos preliminares
ˆ ˜ da pol´ıtica Abrangencia e escopo de atuac¸ao ˜ fundamentais Definic¸oes
Itens tipicamente presentes em uma pol´ıtica de seguranc¸a Aspectos preliminares
Normas e regulamentos aos quais a pol´ıtica esta´ subordinada
Pol´ıtica de senhas
Quem tem autoridade para sancionar, implementar e fiscalizar o cumprimento da pol´ıtica ˜ da pol´ıtica Meios de distribuic¸ao
´ Direitos e responsabilidades dos usuarios Direitos e responsabilidades do provedor dos recursos ˜ previstas em caso de violac¸ao ˜ da pol´ıtica Ac¸oes
c 2008 Rafael Obelheiro (DCC/UDESC)
˜ define procedimentos espec´ıficos de manipulac¸ao ˜ e protec¸ao ˜ Nao ˜ da informac¸ao ` Atribui direitos e responsabilidades as pessoas que lidam com as ˜ informac¸oes
Aula 5: Pol´ıticas
ˆ Como e com que frequ¨ encia a pol´ıtica e´ revisada
SEG
21 / 38
c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 5: Pol´ıticas
SEG
22 / 38
´ Direitos e responsabilidades dos usuarios
Pol´ıtica de senhas
˜ de contas de acesso Utilizac¸ao ˜ de softwares e informac¸oes, ˜ ˜ de Utilizac¸ao incluindo questoes ˜ licenciamento e copyright instalac¸ao, ˜ e uso de informac¸oes ˜ (sens´ıveis ou nao) ˜ Protec¸ao
˜ de senhas Requisitos para formac¸ao Per´ıodo de validade das senhas ˜ de senhas Normas para protec¸ao
I I
Reuso de senhas
I
Senhas default
senhas ˜ de sistemas dados de configurac¸ao ˜ dados confidenciais da organizac¸ao
´ Uso aceitavel de recursos como email e web ˜ nas quais esse direito pode ser Direito a` privacidade, e condic¸oes ˜ violado pelo provedor dos recursos (a organizac¸ao) Uso de antiv´ırus
c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 5: Pol´ıticas
SEG
23 / 38
Direitos e responsabilidades do provedor dos recursos
c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 5: Pol´ıticas
SEG
24 / 38
˜ previstas em caso de violac¸ao ˜ da pol´ıtica Ac¸oes
Backups ˜ e instalac¸ao ˜ de sistemas e Diretrizes para configurac¸ao equipamentos de rede Autoridade para I I I
Diretrizes para tratamento e resposta de incidentes de seguranc¸a
˜ de acesso conceder e revogar autorizac¸oes conectar e desconectar sistemas e equipamentos de rede alocar e registrar enderec¸os e nomes de sistemas e equipamentos
Penalidades cab´ıveis
Monitoramento de sistemas e equipamentos de rede Normas de seguranc¸a f´ısica
c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 5: Pol´ıticas
SEG
25 / 38
c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 5: Pol´ıticas
SEG
26 / 38
Fatores para o sucesso da pol´ıtica
Fatores para o fracasso da pol´ıtica
˜ superior Apoio por parte da administrac¸ao I
fator essencial
A pol´ıtica deve ser ampla, cobrindo todos os aspectos que envolvem a seguranc¸a dos recursos computacionais e da ˜ sob responsabilidade da organizac¸ao ˜ informac¸ao A pol´ıtica deve ser periodicamente atualizada de forma a refletir ˜ as mudanc¸as na organizac¸ao ´ Deve haver um indiv´ıduo ou grupo responsavel por verificar se a pol´ıtica esta´ sendo respeitada ´ ˜ devem tomar conhecimento da Todos os usuarios da organizac¸ao ˆ pol´ıtica e manifestar a sua concordancia em submeter-se a ela antes de obter acesso aos recursos computacionais ´ acesso aos A pol´ıtica deve estar dispon´ıvel em um local de facil ´ usuarios, tal como a intranet c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 5: Pol´ıticas
SEG
27 / 38
Exemplo: IN 002/2008
Aprovada em julho de 2008 Dispon´ıvel em http://www.udesc.br/coinf/ ´ Caracteriza uma pol´ıtica de uso aceitavel (AUP, Acceptable Use Policy) um subconjunto da pol´ıtica de seguranc¸a
c 2008 Rafael Obelheiro (DCC/UDESC)
˜ devem ser abertas excec¸oes ˜ para indiv´ıduos ou grupos Nao ˜ deve estar atrelada a software e/ou hardware A pol´ıtica nao espec´ıfico
c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 5: Pol´ıticas
SEG
28 / 38
Aspectos preliminares (1/2)
˜ no ambito ˆ Regulamenta o uso de Tecnologia da Informac¸ao da UDESC
I
˜ deve ser demasiadamente detalhada ou restritiva A pol´ıtica nao ˜ ou O excesso de detalhes na pol´ıtica pode causar confusao ˜ dificuldades na sua implementac¸ao
Aula 5: Pol´ıticas
SEG
29 / 38
˜ existentes no “Art. 1o Os recursos de Tecnologia da Informac¸ao ˆ ˆ sua utilizac¸ao ˜ sujeita as ` normas da presente ambito da UDESC tem ˜ Normativa, independentemente da respectiva propriedade. Instruc¸ao ´ ˜ Normativa, Paragrafo unico. Para efeito do disposto nesta Instruc¸ao ´ consideram-se: ´ ´ I - Area de Trabalho: Espac¸o logico da rede local (Intranet) destinado ´ ao armazenamento exclusivo de arquivos de trabalho sujeitos a copia de seguranc¸a (backup); ˜ concatenadas pass´ıvel de II - Arquivo: Conjunto de informac¸oes armazenamento em meio digital; ˜ hierarquica ´ III - Chefia: Posic¸ao correspondente a` servidores publicos ´ no exerc´ıcio dos cargos na UDESC; (. . . )”
c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 5: Pol´ıticas
SEG
30 / 38
´ Direitos e responsabilidade dos usuarios (1/4)
Aspectos preliminares (2/2) ˜ de propriedade da “Art. 2o Os recursos de Tecnologia da Informac¸ao UDESC devem ser utilizados para o desempenho de atividades ˜ nao ˜ configurando administrativas e de ensino, pesquisa e extensao, ˜ de inspec¸oes ˜ ou manutenc¸oes ˜ quebra de sigilo a realizac¸ao preventivas e corretivas pela SETIC ou pela respectiva CINF. (. . . ) ´ Art. 3o Cabe a` CINF e a` SETIC orientar e supervisionar os usuarios ˜ da para o uso adequado dos recursos de tecnologia da informac¸ao UDESC. (. . . ) Art. 4o Cabe a` SETIC e a` CINF dos Campi, auxiliar a chefia e os ´ usuarios, visando ao uso adequado dos recursos de Tecnologia da ˜ da UDESC, bem como realizar ac¸oes ˜ preventivas e Informac¸ao ˜ de mecanismos de controle, que evitem corretivas, com a implantac¸ao ou co´ıbam irregularidades.” c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 5: Pol´ıticas
SEG
31 / 38
˜ usuarios ´ ˜ da “Art. 5o Sao dos recursos de Tecnologia da Informac¸ao UDESC os servidores, alunos, prestadores de servic¸o e demais colaboradores, de acordo com as necessidades do servic¸o. ´ ´ ˜ de uso e´ pessoal e intransfer´ıvel; toda Paragrafo Unico. A autorizac¸ao ˜ executada por meio de um determinado login, sera´ e qualquer ac¸ao, de responsabilidade daquele a quem atribu´ıdo, cabendo-lhe, portanto, zelar pela confidencialidade de sua senha. (. . . )”
c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 5: Pol´ıticas
SEG
32 / 38
´ Direitos e responsabilidade dos usuarios (2/4)
´ Direitos e responsabilidade dos usuarios (3/4)
´ “Art. 7o Aos usuarios compete: I - zelar pelo sigilo de sua senha; ˜ II - zelar pela seguranc¸a das informac¸oes, fechando ou bloqueando as ´ ˜ os telas de equipamentos de informatica ou softwares, quando nao estiver utilizando; III - comunicar imediatamente a` SETIC e/ou a` CINF qualquer suspeita de que estejam sendo executados atos em seu nome, por meio de recursos de TIC; ´ IV - zelar pela seguranc¸a da infra-estrutura tecnologica da UDESC, ˜ utilizando dispositivos, que possam conter programas de codigo ´ nao malicioso.”
“Art. 8o . E´ considerado uso inadequado dos recursos de Tecnologia ˜ da UDESC: da Informac¸ao I - fornecer, por qualquer motivo, seu login e senha de acesso para outrem; II - fazer uso do login e da senha de outrem; ˜ de direitos autorais, de III - utilizar arquivos que impliquem violac¸ao propriedade intelectual ou de qualquer material protegido; ˜ ou execuc¸ao ˜ de programas de codigo ´ IV - inclusao malicioso nos equipamentos de propriedade da UDESC.”
c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 5: Pol´ıticas
SEG
33 / 38
c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 5: Pol´ıticas
SEG
34 / 38
´ Direitos e responsabilidade dos usuarios (4/4)
Direitos e responsabilidades do provedor de servic¸os
“Art. 35. E´ considerado uso inadequado da Internet: ˜ consideradas inadequadas ou I - tentar ou efetivamente acessar informac¸oes ˜ relacionadas as ` atividades educacionais ou administrativas, nao especialmente sites de conteudo agressivo (racismo, pedofilia, nazismo, etc), ´ de drogas, de pornografia; II - fazer o download de arquivos e outros que podem tornar a rede local ´ ˜ externas e ataques de programas de codigo ´ vulneravel a invasoes malicioso, em suas mais diferentes formas; III - tentar ou efetivamente violar os sistemas de seguranc¸a da UDESC; IV - tentar ou efetivamente burlar as regras definidas para o acesso a` Internet; V - tentar ou efetivamente alterar os registros de acesso a` Internet; ˜ a computadores da VI - tentar ou efetivamente realizar ataque ou invasao Internet; ˆ VII - utilizar acesso a` Internet provido pela UDESC para transferencia de ˜ estejam relacionados as ` atividades educacionais ou arquivos que nao administrativas.”
“Art. 36. Compete exclusivamente a` SETIC e a` CINF dos respectivos Centros: I - planejar, implantar, aperfeic¸oar e manter mecanismos que possibilitem ˜ definidas no artigo anterior e filtrar, detectar, restringir e bloquear as ac¸oes ˜ que possam acarretar riscos as ` atividades da quaisquer outras ac¸oes UDESC; ˜ referentes ao uso da Internet, para fins de II - armazenar informac¸oes ˜ estat´ısticas de utilizac¸ao ˜ e otimizac¸ao ˜ dos recursos da rede local; inspec¸ao, ´ ˆ III - comunicar a` chefia superior do usuario, para as providencias cab´ıveis, ˜ das ac¸oes ˜ relacionadas no artigo anterior. Em caso quando da constatac¸ao ˆ ˜ sera´ feita a chefia imediatamente superior do de reincidencia, a comunicac¸ao Centro ou ao Reitor; IV - fazer pesquisas e levantamentos sobre a seguranc¸a dos recursos de acesso a` Internet, providos pela UDESC.”
c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 5: Pol´ıticas
SEG
35 / 38
˜ previstas em caso de violac¸ao ˜ da pol´ıtica Ac¸oes
˜ de processo Art. 52. A autoridade que determinar a instaurac¸ao administrativo disciplinar contra servidor pode requisitar da SETIC e a CINF ˜ cautelar da correspondente autorizac¸ao ˜ de uso, mediante a suspensao bloqueio de recursos de TIC. ´ ´ Paragrafo unico. O usuario identificado como causador de risco imediato aos ´ ˜ da UDESC tera´ seu login recursos de tecnologia da informac¸ao imediatamente suspenso pela CINF do respectivo centro ou SETIC, com ˜ a Direc¸ao ˜ do Centro, e ao Reitor, inclusive podendo ser pronta notificac¸ao ´ ˜ confiscado o computador do usuario ate´ o fim das investigac¸oes.”
Aula 5: Pol´ıticas
SEG
Aula 5: Pol´ıticas
SEG
36 / 38
Bibliografia
˜ contidas nesta Instruc¸ao ˜ “Art. 51. O descumprimento das disposic¸oes ˜ funcional, a ser apurada em processo Normativa caracteriza infrac¸ao administrativo disciplinar.
c 2008 Rafael Obelheiro (DCC/UDESC)
c 2008 Rafael Obelheiro (DCC/UDESC)
37 / 38
Matt Bishop. Computer Security: Art and Science. Addison-Wesley, 2002. ˜ 4.1–4.6). Cap´ıtulo 4 (sec¸oes Centro de Estudos, Resposta e Tratamento de Incidentes de Seguranc¸a no Brasil (CERT.br). ´ Praticas de Seguranc¸a para Administradores de Redes Internet. http://www.cert.br/docs/seg-adm-redes/. ˜ 2. Sec¸ao UDESC. ˜ Normativa 002/2008. Instruc¸ao http://www.udesc.br/portal/temp/IN_002-2008_GR.pdf.
c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 5: Pol´ıticas
SEG
38 / 38