segurança de redes - projeto e gerenciamento de redes seguras
DESCRIPTION
Apresentação sobre projeto e gerenciamento de redes seguras.TRANSCRIPT
![Page 1: Segurança de Redes - Projeto e Gerenciamento de Redes Seguras](https://reader034.vdocuments.mx/reader034/viewer/2022051112/55760325d8b42a81158b504a/html5/thumbnails/1.jpg)
SEGURANÇA DE REDES
Projeto e Gerenciamento de Redes Seguras
Jivago Alves
![Page 2: Segurança de Redes - Projeto e Gerenciamento de Redes Seguras](https://reader034.vdocuments.mx/reader034/viewer/2022051112/55760325d8b42a81158b504a/html5/thumbnails/2.jpg)
Roteiro
O que é segurança? O processo de segurança O processo está funcionando? Política de segurança Como escrever uma política Conteúdo da política Quem está atacando? Boas práticas
![Page 3: Segurança de Redes - Projeto e Gerenciamento de Redes Seguras](https://reader034.vdocuments.mx/reader034/viewer/2022051112/55760325d8b42a81158b504a/html5/thumbnails/3.jpg)
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 3
O que é segurança?
Segurança é proporcional ao valor protegido.
Lidamos com componentes humanos!
Que tipo de empresa estamos protegendo?
![Page 4: Segurança de Redes - Projeto e Gerenciamento de Redes Seguras](https://reader034.vdocuments.mx/reader034/viewer/2022051112/55760325d8b42a81158b504a/html5/thumbnails/4.jpg)
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 4
O processo de segurança
Processo contínuo...
![Page 5: Segurança de Redes - Projeto e Gerenciamento de Redes Seguras](https://reader034.vdocuments.mx/reader034/viewer/2022051112/55760325d8b42a81158b504a/html5/thumbnails/5.jpg)
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 5
O processo de segurança
![Page 6: Segurança de Redes - Projeto e Gerenciamento de Redes Seguras](https://reader034.vdocuments.mx/reader034/viewer/2022051112/55760325d8b42a81158b504a/html5/thumbnails/6.jpg)
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 6
O processo está funcionando?
Não existe forma provar um ataque e receber os créditos pelo sucesso da defesa.
Atividade não pode ser diferenciada como legítima ou acidental.
Paradoxo: impossível quantificar, mas sem quantificação o processo parecerá ser um fracasso.
![Page 7: Segurança de Redes - Projeto e Gerenciamento de Redes Seguras](https://reader034.vdocuments.mx/reader034/viewer/2022051112/55760325d8b42a81158b504a/html5/thumbnails/7.jpg)
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 7
Política de segurança
O que e por que está sendo protegido? Prioridades de segurança: o que tem mais
valor? Definir acordo explícito entre partes. Fornece motivos válidos para se dizer não e
para sustentá-lo. Impede que tenhamos um desempenho fútil.
![Page 8: Segurança de Redes - Projeto e Gerenciamento de Redes Seguras](https://reader034.vdocuments.mx/reader034/viewer/2022051112/55760325d8b42a81158b504a/html5/thumbnails/8.jpg)
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 8
Como escrever uma política
Escreva um esboço com idéias genéricas e essenciais.
Descubra 3 pessoas para o comitê de política de segurança.
O comitê será legislador, você é o executor! Divulgue a política, crie um site interno. Trate a política como regras absolutas com
força de lei.
![Page 9: Segurança de Redes - Projeto e Gerenciamento de Redes Seguras](https://reader034.vdocuments.mx/reader034/viewer/2022051112/55760325d8b42a81158b504a/html5/thumbnails/9.jpg)
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 9
Como escrever uma política
Se alguém tiver algum problema com a política, faça com que a pessoa proponha uma sugestão.
Programe encontros regulares para consolidar a política.
![Page 10: Segurança de Redes - Projeto e Gerenciamento de Redes Seguras](https://reader034.vdocuments.mx/reader034/viewer/2022051112/55760325d8b42a81158b504a/html5/thumbnails/10.jpg)
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 10
Conteúdo da política
Defina prioridades
1) Saúde e segurança humana
2) Conformidade com legislação local, estadual e federal
3) Interesses da empresa
4) Interesses de parceiros da empresa
5) Disseminação gratuita e aberta de informações não-sensíveis.
![Page 11: Segurança de Redes - Projeto e Gerenciamento de Redes Seguras](https://reader034.vdocuments.mx/reader034/viewer/2022051112/55760325d8b42a81158b504a/html5/thumbnails/11.jpg)
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 11
Conteúdo da política
Defina níveis de acesso aos recursos: Vermelho: somente func. ”vermelhos” Amarelo: somente funcionários. Verde: funcionários contratados e selecionados. Branco: funcionários e contratados. Preto: funcionários, contratados e público
(selecionado)
![Page 12: Segurança de Redes - Projeto e Gerenciamento de Redes Seguras](https://reader034.vdocuments.mx/reader034/viewer/2022051112/55760325d8b42a81158b504a/html5/thumbnails/12.jpg)
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 12
Conteúdo da política
Caracterize seus recursos: Vermelho: informações extremamente confidenciais Amarelo: informações sensíveis, serviços
importantes Verde: capaz de ter acesso a recursos vermelhos,
ou amarelos, mas sem info. essenciais. Branco: sem acesso a vermelho, amarelo ou verde,
sem acesso externo Preto: acessível externamente, sem acesso aos
anteriores.
![Page 13: Segurança de Redes - Projeto e Gerenciamento de Redes Seguras](https://reader034.vdocuments.mx/reader034/viewer/2022051112/55760325d8b42a81158b504a/html5/thumbnails/13.jpg)
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 13
Conteúdo da política
Descrever responsabilidades e privilégios: Geral: conhecimento da política Admin. de sistemas: informações de usuário
tratadas como confidenciais. Admin. de segurança: mais alto nível de conduta
ética. Contratado: acesso a máquinas especificamente
autorizadas. Convidado: nenhum acesso, exceto com
notificação prévia por escrito à segurança.
![Page 14: Segurança de Redes - Projeto e Gerenciamento de Redes Seguras](https://reader034.vdocuments.mx/reader034/viewer/2022051112/55760325d8b42a81158b504a/html5/thumbnails/14.jpg)
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 14
Conteúdo da política
Definir penalidades: Crítica: recomendação de demissão, abertura de
ação legal. Séria: recomendação de demissão, desconto de
salário. Limitada: desconto de salário, repreensão formal
por escrito, suspensão não-remunerada.
![Page 15: Segurança de Redes - Projeto e Gerenciamento de Redes Seguras](https://reader034.vdocuments.mx/reader034/viewer/2022051112/55760325d8b42a81158b504a/html5/thumbnails/15.jpg)
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 15
Quem está atacando?
É preciso estudar ameaças para uma boa defesa
Segurança é uma questão social. Segredo é dificultar a vida do atacante. Um ataque terá êxito se o atacante tiver:
Habilidade Motivação Oportunidade
![Page 16: Segurança de Redes - Projeto e Gerenciamento de Redes Seguras](https://reader034.vdocuments.mx/reader034/viewer/2022051112/55760325d8b42a81158b504a/html5/thumbnails/16.jpg)
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 16
Quem está atacando?
Navegadores, aproveitadores e vândalos. Probab. alta, número grande, motivação baixa a
média, e habilidade baixa a alta.
Estratégia de defesa: Não ofereça recursos públicos e sem autenticação,
que possam ser controlados pelos outros. Examine os recursos periodicamente. Elimine características atraentes para os atacantes. Mantenha-se atualizado com metodologias de
ataque.
![Page 17: Segurança de Redes - Projeto e Gerenciamento de Redes Seguras](https://reader034.vdocuments.mx/reader034/viewer/2022051112/55760325d8b42a81158b504a/html5/thumbnails/17.jpg)
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 17
Quem está atacando?
Espiões e sabotadores. Probab. depende da atividade, número baixo,
motivação média a alta, habilidade média a alta.
Estratégia de defesa: Sob ponto de vista externo, aparente ser um
objetivo muito arriscado. Elimine meios conhecidos de ataques de DoS. Limite o que é conhecido publicamente sobre suas
defesas. Preteja os principais sistemas comerciais.
![Page 18: Segurança de Redes - Projeto e Gerenciamento de Redes Seguras](https://reader034.vdocuments.mx/reader034/viewer/2022051112/55760325d8b42a81158b504a/html5/thumbnails/18.jpg)
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 18
Quem está atacando?
(Ex-)funcionários e (ex-)contratados frustrados. Probab. média a alta, número depende da
atividade, motivação alta, habilidade média a alta.
Estratégia de defesa: Sob ponto de vista externo, aparente ser um
objetivo muito arriscado. Mantenha felizes seus funcionários.
![Page 19: Segurança de Redes - Projeto e Gerenciamento de Redes Seguras](https://reader034.vdocuments.mx/reader034/viewer/2022051112/55760325d8b42a81158b504a/html5/thumbnails/19.jpg)
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 19
Quem está atacando?
Estratégia de defesa (cont.): Desenvolva um plano para despedir funcionários
que conhecem detalhes de segurança. Elimine imediatamente o acesso. Avise que o funcionário será o primeiro suspeito, em
caso de ataque. Crie situação na qual o funcionário demitido não será
capaz de abusar do sistema.
![Page 20: Segurança de Redes - Projeto e Gerenciamento de Redes Seguras](https://reader034.vdocuments.mx/reader034/viewer/2022051112/55760325d8b42a81158b504a/html5/thumbnails/20.jpg)
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 20
Boas práticas
Aprenda tudo que puder sobre as ameaças que encontrar.
Planeje o melhor possível de acordo com o que aprendeu, antes de implementar qualquer coisa.
Pense patologicamente e fortaleça o projeto. Implemente exatamente como foi projetado. Verifique tudo continuamente, previna-se!
![Page 21: Segurança de Redes - Projeto e Gerenciamento de Redes Seguras](https://reader034.vdocuments.mx/reader034/viewer/2022051112/55760325d8b42a81158b504a/html5/thumbnails/21.jpg)
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 21
Boas práticas
Pratique a execução para chegar a perfeição. Simplifique o que deseja que as pessoas
façam. Dificulte o que não deseja que elas façam. Facilite a identificação de problemas: um bom
registro de problemas ajuda. Teste tudo que puder testar!
![Page 22: Segurança de Redes - Projeto e Gerenciamento de Redes Seguras](https://reader034.vdocuments.mx/reader034/viewer/2022051112/55760325d8b42a81158b504a/html5/thumbnails/22.jpg)
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 22
Dúvidas?
![Page 23: Segurança de Redes - Projeto e Gerenciamento de Redes Seguras](https://reader034.vdocuments.mx/reader034/viewer/2022051112/55760325d8b42a81158b504a/html5/thumbnails/23.jpg)
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 23
Referências
Segurança de Redes – Thomas A. Wadlow.