Notes - MIECT
Segurança Informática em Organizações
Notes - MIECT
Segurança Informática em Organizações
  • Segurança Informática em Organizações
  • Introdução
    • Introdução
      • Planeamento
      • Desenvolvimento
      • Execução
      • Pessoas
      • Análise e Auditoria
      • Dimensões
      • Facetas
    • Conceitos Fundamentais
      • Domínios de Segurança
      • Políticas de Segurança
      • Mecanismos de Segurança
      • Controlos de Segurança
    • Objetos da Segurança da Informação (CIA)
    • Objetivos da Segurança
    • Aplicação da Segurança
    • Fontes de Vulnerabilidade
    • Níveis de Segurança
    • Políticas de Segurança em Sistemas Distribuídos (SD)
    • Defesa em Perímetro
    • Defesa em Profundidade
  • Vulnerabilidades
    • Vulnerabilidades
    • Exposição
    • Prontidão (Security Readiness)
    • CVE: Common Vulnerabilities and Exposures
    • CVE: Identificadores
    • Deteção de Vulnerabilidades
    • CWE: Common Weakness Enumeration
    • Gestão de Vulnerabilidades
    • Ataques de dia 0
    • Sobrevivência
  • Criptografia
    • Criptografia
    • Terminologia
    • Criptanálise
    • Cifras
      • Aproximações Teóricas
      • Aproximações Práticas
    • Robustez Criptográfica
    • Cifras Contínuas (Stream)
    • Cifras Simétricas
    • Redes de Substituição Permutação
    • Modos: Reforço da Segurança
    • Cifras Assimétricas por Blocos
    • Confidencialidade
    • Autenticidade
    • Randomização de Cifras
    • Funções de Sínteses
    • Message Integrity Code (MIC)
    • Message Authentication Code (MAC)
    • Assinaturas Digitais
    • Derivação de Chaves
  • Gestão de Chaves Assimétricas
    • Gestão de Chaves Assimétricas
    • Objetivos
    • Geração de Chaves: Princípios
    • Geração de Chaves: Cuidados
    • Distribuição de Chaves Públicas
    • Certificados Digitais de Chaves Públicas
    • Utilizações de um Par de Chaves
    • Entidades Certificadoras (CA)
    • Hierarquias de Certificação
    • Refrescamento de Chaves Assimétricas
    • Listas de Revogação de Certificados (CRL)
    • Online Certificate Status Protocol
    • Distribuição de Certificados de Chave Pública
    • PKI: Public Key Infrastructure
    • Transparência de Certificação (RFC)
  • Smartcards e Cartão de Cidadão
    • Smartcards e Cartão de Cidadão
    • Smartcards
    • Estrutura
    • Interação
    • Codificação de objetos
    • Modelos de computação do Smartcard
    • Cartão de Cidadão
    • Certificados no Smartcard: Objetivos
      • Interoperação com outras aplicações
    • Aplicações no Cartão de Cidadão
    • Middleware
      • PKCS #11
    • PTEID middleware & SDK
    • Assinatura de Documentos
    • Autenticação com o CC
    • Chave Móvel Digital (CMD)
  • Autenticação: mecanismos e protocolos
    • Autenticação: Mecanismos e Protocolos
    • Authn
    • Sujeitos
      • Biometria
      • Senhas Descartáveis
    • RSA SecurID
    • Aproximação Desafio Resposta
    • Sujeitos
    • PAP e CHAP (RFC 1334, 1992; RFC 1994, 1996)
    • S/Key (RFC 2289, 1998)
    • Sujeitos
    • GSM: Autenticação do subscritor
    • Autenticação de Sistemas
    • Autenticação de Serviços
    • TLS
    • SSH (Secure Shell)
    • Autenticação em Sistemas Específicos
    • Dispositivos móveis: Smartphones
    • Impressão Digital
    • Reconhecimento Facial
    • Computadores Portáteis
    • OS: Windows
    • OS: Linux
    • Autenticação em Sistemas Distribuídos
    • SSO: Single Sign On
  • Sistemas Operativos
    • Sistemas Operativos
    • Execução de Máquinas Virtuais
    • Modelo computacional
    • Identificadores de Utilizadores (UID)
    • Identificadores de Grupos (GID)
    • Processos
    • Memória Virtual
    • Virtual File System (VFS)
    • Canais de Comunicação
    • Controlo de Acessos
    • Proteção com ACLs
    • Elevação de Privilégios: Set-UID
    • Login: não é uma operação do núcleo
    • Processo de validação da senha
    • Ferramenta sudo
    • Mecanismo chroot
    • Confinamento: Apparmor
    • Confinamento: Namespaces
    • Confinamento: Containers
  • Armazenamento
    • Problemas
    • Soluções
    • Backups
      • Compressão
      • Níveis
      • Local da Cópia
    • Seleção do Equipamento
    • RAID: Redundant Array of Inexpensive Drives
      • RAID 1 (mirroring)
      • RAID 0+1
      • RAID 4
      • RAID 5
      • RAID 6
    • NAS e SAN
    • Confidencialidade do Armazenamento
    • Soluções: Cifra de Informação
    • Aproximações
    • Nível Aplicacional
    • Nível dos Sistemas de Ficheiros
    • Nível dos Volumes
    • Nível do dispositivo
  • Segurança em redes IEEE 802.11
    • Comunicações sem fios: aspetos de segurança
    • Phy: Redução de interferência e interceção
    • MAC: Redução de interferência e interceção
    • IEEE 8902.11: Arquitetura em Redes Estruturadas
    • IEEE 8902.11: Terminologia
    • Tipos de Mensagens
    • WEP (Wired Equivalent Privacy)
    • Mitigação dos problemas do WEP: WPA
    • Ataque Beck-Tews
    • IEEE 802.11i: WPA2
    • IEEE 802.1X
      • Fases
      • Hierarquia de Chaves
    • EAP (Extensible Authentication Protocol)
    • IEEE 802.11: Segurança resolvida?
    • WPA2
      • Ataques: Segurança Futura
      • Descoberta de senhas
      • Reinstalação de chaves
Powered by GitBook
On this page
  • Explora sistemas externos de confiança (TTP) para autenticação
  • Serviços de AAA
  • Vantagens
  • Desvantagens
  • Requer agente que expõe utilizadores remotos nos sistemas locais
  • Pode fornecer informação adicional do perfil
  • Sistemas que fazem uso de SSO têm de ser aprovisionados
  • LDAP - Lightweight Directory Access Protocol
  • Protocolo para manter um diretório de informação
  • Acesso ao diretório pode ter partes públicas e restritas
  • LDAP Bind: associa uma sessão a um utilizador
  • Kerberos
  • Protocolo de autenticação para ambientes de rede
  • Suporta autenticação mútua
  • Quarto entidades chave
  • Key Distribution Center = AS + TGS ( + base de dados)
  • Kerberos: Client Authn
  • Utilizador envia pedido ao AS com o seu ClientID
  • AS responde com 2 mensagens:
  • Utilizador usa a sua chave para decifrar A
  • Envia pedido ao TGS com 2 mensagens
  1. Autenticação: mecanismos e protocolos

SSO: Single Sign On

Explora sistemas externos de confiança (TTP) para autenticação

Sistemas próprios da organização

Sistemas externos (Google, Facebook)

Serviços de AAA

Autenticação, Autorização e Accounting

  • Em redes: RADIUS e DIAMETER (telecoms)

Vantagens

Permite a reutilização das mesmas credenciais em múltiplos sistemas

Repositório único para as credenciais

  • Mais difícil de roubar as credenciais do que se estiverem distribuídas pelos sistemas

Pode implementar restrições (vistas) ao perfil para cada sistema

Desvantagens

Requer mais recursos para o sistema de autenticação

Único ponto de falha

Falha implica a perda de acesso a todos os sistemas

  • Perda de credenciais implica comprometimento de todos os sistemas

Introduz atrasos nos processos de autenticação

Requer agente que expõe utilizadores remotos nos sistemas locais

Windows: Utilizadores com perfis remotos, não disponíveis na SAM

Linux: Utilizadores não presentes no /etc/passwd

Tem de utilizar mecanismos de cache para acelerar operações

Pode fornecer informação adicional do perfil

Tipo de utilizador: Estudante, professor, admin

Informação adicional: email, home, nome...

Sistemas que fazem uso de SSO têm de ser aprovisionados

Frequentemente também especificamente autorizados

LDAP - Lightweight Directory Access Protocol

Protocolo para manter um diretório de informação

Diretório hierárquico com informação sobre utilizadores, sistemas e serviços

Informação é organizada numa árvore

Acesso ao diretório pode ter partes públicas e restritas

Acesso anónimo: dados gerais dos contactos e configurações

Acesso Autenticado: Informações específicas do perfil

LDAP Bind: associa uma sessão a um utilizador

Login: caminho (dn=user,ou=people,ou=deti,dc=ua,dc=pt)

O mesmo diretório pode conter vários domínios

Kerberos

Protocolo de autenticação para ambientes de rede

Baseado no conceito de Tickets com validade limitada

Processo por defeito para MS AD (Ex, CodeUA)

Suporta autenticação mútua

Cliente recebe do autenticador um token cifrado com a sua senha (do cliente)

Quarto entidades chave

Cliente: pretende aceder a um serviço

Service Server (SS): Fornece um serviço que o utilizador pretende usar

Ticket Granting Server (TGS): Fornece acesso aos serviços

Authentication Server(AS): Fornece acesso ao TGS

Key Distribution Center = AS + TGS ( + base de dados)

Kerberos: Client Authn

Utilizador envia pedido ao AS com o seu ClientID

AS responde com 2 mensagens:

A: Enc_user-key(Client/TGS Session Key)

B: Enc_tgs-key(Cliente, Endereço de Rede, Validade, Client/TGS Session Key)

Utilizador usa a sua chave para decifrar A

Envia pedido ao TGS com 2 mensagens

C=B + Identificador do serviço

D=Enc_client/TGS SessionKey(ClientID, Timestamp)

PreviousAutenticação em Sistemas DistribuídosNextSistemas Operativos

Last updated 3 years ago