Controlando o acesso do usuário

sec team 1
Compartilhar no facebook
Compartilhar no linkedin
Compartilhar no twitter
Compartilhar no whatsapp
Sobre o autor: Guilherme Teles é um cara qualquer que não dorme direito e acaba escrevendo. Sou Certificado CISSP, CHFI, CEH, LPIC-3, AWS CDA, AWS SAA, AWS SOA Quer assinar a newsletter do site e receber esse e outros artigos? Clique aqui! Aproveite e navegue pelo smeu blog. Quem sabe você não está exatamente precisando de uma ajuda ?  

Controlando o acesso do usuário

Tradicionalmente os usuários, são o elo mais fraco de uma empresa. Embora necessários para toda organização, eles podem ser um pesadelo esperando para acontecer com a sua rede. Então, como é possível deixá-los trabalhar dentro da rede, controlando seus acessos aos recursos? Você tem que ter certeza que seu sistema de autenticação sabe quem são seus usuários e como auditá-los.

Autenticação, Autorização e Auditoria

A autenticação é simplesmente provar que a afirmação da identidade de um usuário é válida e autêntica. A autenticação requer alguma forma de “prova de identidade”. Usualmente, em seu dia a dia utilizamos identificação nacional com foto, como carteira de motorista, carteira de identidade, dentre outros. Em redes, precisamos identificar nossos usuários por meio de login, nome de usuários, ou mesmo e-mail. E também provar que esta identificação é sua, por meio de uma senha.

Para os nossos propósitos, as credenciais podem ser algo que o usuário sabe, algo que o usuário tem, ou algo que eles são. Uma vez que eles fornecem autenticação, também tem que ser autorizados, ou permissão para entrar. Por fim, ao autenticar um usuário, e autorizá-lo, você quer ter algum registro. Esse é o lado da auditoria do processo.

security-and-alarm-access-control

O que o usuário sabe

Usuários sabem muitos detalhes sobre suas próprias vidas, aniversários, primeiros carros, nome de sua esposa, filhos, datas de nascimento, e muitos vão tentar usar essas premissas de informação como uma simples forma de autenticação. O que eles não percebem é o quão inseguras essas peças de informações são.

Nas tecnologias de rede, estas informações são muitas vezes utilizadas como senhas e PINs porque são fáceis de lembrar. A não ser que algumas diretrizes rígidas sejam estabelecidas na maneira em que forma uma senha ou PIN, uma senha vai oferecer pouca ou nenhuma segurança real.

Infelizmente, para manter os custos baixos (em termos de operacionalidade), algumas organizações permitem que os usuários definam suas próprias senhas e PINs como credenciais e, em seguida, contam com um mecanismo de desafio-resposta (challenge-response) simples em que estas credenciais são fornecidas para o acesso. Não acredito, honestamente que senhas de 8 caracteres, com letras maiúsculas, minúsculas sejam assim tão complexas de serem lembradas.

Somando-se a perda de segurança ao fato que não são apenas as senhas muito fáceis de adivinhar, mas porque o usuário já tem muito a lembrar, ele as escreve em algum lugar perto do computador que usa. Acredite em histórias de senhas embaixo do teclado.

O que o usuário tem

O meio mais seguro de identificar os usuários é por uma combinação de um dispositivo de hardware em sua posse que é “conhecido” para um servidor de autenticação na sua rede, juntamente com o que eles sabem. Existem hoje, uma série de dispositivos disponíveis como tokens, cartões inteligentes, biometria, etc.

 

O que o usuário é

Quando falamos em o que o usuário é, tratamos de biometria. Muitos dizem que em um futuro próximo, sua senha será sua íris, palma da mão, voz, impressão digital ou qualquer outro meio em inovação e futuro uso. As características de biometria são várias, e as tratarei em outro artigo futuro.

Tokens

Há tokens de software e de hardware. Os de software pode ser instalados no computador de usuário, smartphones, e/ou tablets. Os tokens de hardware vêm em uma variedade de formatos, alguns com um único botão que tanto transforma o sinal e também exibe seu código de acesso gerado internamente. Outros com um teclado numérico mais elaborado para entrada de PIN. Em caso de perda ou roubo, estes podem facilmente ser removidos do sistema de cadastro, tornando-os completamente ineficazes.

As senhas geradas por tokens são chamadas de “uma única vez”, visto que seu código expira a partir de poucos segundos. Desta maneira, torna-se um meio seguro, quando capturado por terceiros.

Tokens são programados no local de sua geração (empresa, banco, fornecedor, etc) com o software de programação de token. Durante a programação, funções, como um símbolo de chave criptográfica, o comprimento da senha, se um PIN é necessário, e se ele gera senhas baseadas em tempo de relógio interno ou entrada de PIN do usuário são escritos na memória do token.

Quando a programação estiver concluída, um arquivo contendo essa informação e de série do número do token são importadas para o servidor de autenticação de modo que as características simbólicas são conhecidos.

Um token é atribuído a um usuário, ligando o número de série para o registro do usuário, armazenado no banco de dados do sistema. Quando um usuário faz logon em rede e as necessidades de acesso a digamos, seu e-mail, é apresentado com algum desafio (challenge-response) que deve responder usando seus símbolos atribuídos.

Tokens operam em uma das três formas: síncrono de tempo, síncrono de evento, ou challenge-response (também conhecido como assíncrono).

Sincrono de tempo

Na operação síncrona de tempo, o relógio interno do token é sincronizado com a rede. Cada vez que o botão do token é pressionado, ele gera um código de acesso em forma de hash, com base em sua cronometragem interna. Enquanto o relógio do token é sincronizado com o relógio da rede, as senhas são aceitas. Em alguns casos (por exemplo , quando o sinal não tiver sido utilizado durante algum tempo ou algum tempo sem bateria) , o token fica fora de sincronia com o sistema e precisa ser novamente sincronizado.

Sincrono de evento

Em operações síncronas de eventos, o servidor mantém uma seqüência de código de acesso ordenado e determina que senha é válida com base na localização atual de sua seqüência.

Challenge-response

Em desafio-resposta ou challenge-response, um desafio o que leva o nome de usuário (por exemplo), é emitido para o usuário pelo servidor de autenticação, no momento do pedido de acesso. Uma vez que o nome do usuário é inserido, o servidor de autenticação verifica para ver qual a forma de autenticação é atribuída a esse usuário e emite um desafio. O usuário insere o desafio para o token, em seguida, entra o token gerado em resposta ao desafio. Enquanto o servidor de autenticação recebe o que ele esperava, a autenticação é bem sucedida e o acesso é concedido.

O usuário é autenticado, mas ela está autorizado ?

Autorização é independente de autenticação. Um usuário pode ser permitido a entrada na rede mas não pode ser autorizado a acessar um recurso. Você não quer um empregado ter acesso a informações sigilosas ou um parceiro ter acesso corporativo a informações confidenciais ou proprietárias.

Autorização requer um conjunto de regras que ditam os recursos aos quais o usuário terá acesso. Essas permissões são estabelecidas em sua política de segurança.

Auditoria

Digamos que nosso usuário tenha sido concedido o acesso ao recurso solicitado. Mas você quer (ou, em alguns casos são obrigados a ter) a capacidade de acessar e registrar atividades de quem acessou um determinado recurso. Esta informação é obrigatória para as organizações que lidam com o usuário de atividades financeiras ou informações médicas, ou mesmo sigilosas de acordo com determinada lei, ou política de segurança.

Auditoria e/ou rastreabilidade refere-se à gravação, registro e arquivamento de toda a atividade do servidor, especialmente atividade relacionada com as tentativas de acesso e se eles foram bem sucedidos. Esta informações devem ser escritas em logs de auditoria que são armazenados e disponíveis a qualquer hora que você quer ou precisa ver.

Os logs de auditoria devem conter, no mínimo, as seguintes informações:

• A identidade do usuário

• A data e hora da solicitação

• Se a solicitação passou a autenticação e se foi concedida

Qualquer sistema de segurança de rede deve ser capaz de armazenar, esses logs para um período de tempo especificado e permitir determinar por quanto tempo estes arquivos serão mantidos antes de começar a serem excluídos do sistema (por políticas, leis, determinações, etc)

Mantendo-se atualizado

Uma das melhores formas para se manter à frente é a de não ficar para trás. Novos sistemas com crescente sofisticação estão sendo desenvolvidos o tempo todo. Eles podem incorporar um processo inteligente e autônomo na forma como o sistema lida com uma ameaça detectada. Um método mais rápido e mais facilmente realizado para atualizar arquivos de ameaças e configurações flexíveis que permitam a personalização precisa de regras de acesso, requisitos de autenticação, atributos de usuários, e quão bem eles podem proteger aplicações especificas.

Registre-se em boletins informativos, participe de seminários e programas de segurança, e se necessário, contrate os serviços de especialistas em segurança da informação. O ponto é, você não deve menosprezar a segurança de rede. O preço que você paga para se manter à frente será muito menos do que o preço que você paga para se recuperar de uma falha de segurança ou de ataque.

Sobre o autor: Guilherme Teles é um cara qualquer que não dorme direito e acaba escrevendo. Sou Certificado CISSP, CHFI, CEH, LPIC-3, AWS CDA, AWS SAA, AWS SOA Quer assinar a newsletter do site e receber esse e outros artigos? Clique aqui! Aproveite e navegue pelo smeu blog. Quem sabe você não está exatamente precisando de uma ajuda ?  

Conteúdos relacionados

All articles loaded
No more articles to load

© 2019 GRRP Tech. Todos os direitos reservados.

Desenvolvido por Upsites