Parte 2 de 5
Sistemas associados
Para poder atingir os objetivos CIA (mostrados no artigo da semana passada), vários subsistemas do computador colaboram entre si. Vamos ver cada um separadamente e depois como eles se complementam.
Autenticação
Este subsistema verifica e garante que um determinado usuário ou computador é quem diz ser. Para realizar esta tarefa são utilizados fatores de autenticação que, em termos gerais, são divididos em 3 categorias (chamadas fatores):
- O que você sabe: senhas, PIN, datas de nascimento ou data do último acesso são informações ligadas ao usuário e podem ser usadas para legitimar a sua identidade digital.
- O que você possui: um arquivo no seu HD, um telefone celular ou um token são coisas que você possui e são pessoais.
- Quem você é: impressão digital, endereço físico da placa de rede, etc são informações intrínsecas à entidade que pede acesso.
Tem-se tornado comum sistemas de autenticação trabalharem com duplo fator de autenticação (dois itens de autenticação que pertençam a grupos distintos mostrados acima). Por exemplo, caixas eletrônicos que pedem cartão do banco e sensor biométrico. Ou a Receita Federal, que pede certificado digital e senha. Mas sempre deve-se levar em conta, no planejamento e consequente implementação, a diversidade de dispositivos que poderá ser usada para se autenticar em um sistema (pessoas usam celulares para se autenticar, mas nem todos os celulares dispõem de sensor biométrico).
O principal é ter em mente que sempre que os dados armazenados forem importantes, dê preferência a sistemas com autenticação de duplo fator.
Controle de Acesso
Uma vez que o usuário se autenticou, controla-se seu acesso aos recursos do sistema (arquivos, dispositivos, sites, etc..).
Existem várias técnicas para fazer isso, mas vamos nos focar em 3 técnicas básicas:
– Domínios de Proteção
É como se chama a segurança utilizada nos sistemas de arquivo UNIX e é manipulada pelo comando ‘chmod’.
De forma simples, cada recurso a ser protegido tem associado a ele uma lista de direitos de acesso para o dono, uma outra lista de direitos para usuários do mesmo grupo e uma terceira lista de direitos para todos outros usuários. Ou seja, neste caso existem três domínios de proteção.
– Listas de Controle de Acesso (ACL)
Neste modelo (utilizado pelo Windows) há, para cada recurso (arquivo, tela de programa, etc.) sendo protegido, uma lista do que pode ser acessado por cada usuário e organizada da seguinte forma:
Quem pede acesso | Tipo de acesso | Resultado da operação |
joao, antonio | leitura | permitido |
alunos | escrita | permitido |
todos | tudo | negado |
- Primeira coluna: quem está pedindo o acesso (pode ser um usuário ou grupo).
- Segunda coluna: tipo de acesso sendo pedido (leitura, alteração, execução, exclusão).
- Terceira coluna: resultado da operação (permitido ou negado).
Para determinar se um acesso será permitido, o sistema de controle de acesso olhará as duas primeiras colunas na ordem, até achar uma que case com o acesso sendo pedido. Ao encontrar a linha, a permissão da terceira coluna é retornada e a operação se encerra.
– Lista de Capacidades
Neste modelo, quando um usuário se autentica, é associado ao processo criado uma “lista de capacidades” (ou “operações permitidas ao usuário”). Assim, quando este usuário/processo acessar um recurso, é verificado se ele tem a capacidade requerida e, consequentemente, o acesso é permitido ou negado.
A maior diferença entre esta técnica e as duas anteriores é que nesta, um usuário pode adquirir uma capacidade mesmo após se autenticar (pode se criar um segundo nível de autenticação por exemplo). Isto torna esta técnica bem versátil e, por causa disso, tanto o Windows como o UNIX tem suporte a “capacidades” para alguns sistemas, além de suportarem suas respectivas técnicas de controle de acesso.
Combinando Autenticação e Controle de Acesso
Uma vez o usuário identificado, é criado no computador uma tarefa que irá representá-lo, ou melhor dizendo, que será responsável por executar os comandos do usuário (tal tarefa é chamada de processo ou de thread, dependendo do caso). Nesta tarefa são “penduradas” as capacidades, caso existam, e a lista de grupos aos quais o usuário pertence. Quando esta tarefa tenta acessar algum recurso, o usuário do processo, os grupos aos quais ele pertence e as respectivas capacidades são utilizados para decidir se o acesso ao recurso será permitido.
Em resumo, estas técnicas são utilizadas para decidir se determinada tarefa (processo ou thread) poderá ter acesso a determinado arquivo ou dispositivo.
Até a próxima semana, com o artigo Malwares.
Quer melhorar a segurança digital da sua empresa?
A Winco desenvolve há mais de 20 anos soluções de conectividade e segurança digital corporativa para a máxima proteção dos dados da sua empresa. Conheça os nossos produtos:
Winconnection – Solução completa UTM com Filtro de Conteúdo.
Winco Talk Manager – Controle e monitore o Skype e o Eikon Messenger da sua empresa.
Winco DDNS – Acesse facilmente na internet suas câmeras, computadores e outros dispositivos.
Netprotection – Roteador com software de gerenciamento cloud, para sua residência e empresa.
Quer melhorar a segurança digital da sua empresa?
- Winco Firewall – Solução com filtro web, relatórios, hotspot, VPN empresarial e muito mais.
- Winco Talk Manager – Controle e monitore o Skype e o Eikon Messenger da sua empresa.
- Connectas Cloud – VPN Empresarial. Disponibilize acesso seguro e controlado para os colaboradores externos.
- Winco DDNS – Acesse facilmente Câmeras, DVRs, computadores e outros dispositivos.