2.1 Autenticação de utilizador de computador local
2.2 Autenticação de utilizador na rede (processos de autenticação)
2.3 Autenticação de Certificados
Grupo 1 - Autenticação utilizadores nos computadores locais
Grupo 2, 3 e 4 - Autenticação dos utilizadores na rede
Grupo 5 e 6 - Autenticação de Certificados
Material
Grupo 1 a. http://technet.microsoft.com/pt-pt/library/cc778707(WS.10).aspx
Grupo 1 b. http://www.dei.isep.ipp.pt/~andre/documentos/autenticacao.html
Grupo 1 c. http://biblioteca.universia.net/ficha.do?id=21571713
Grupo 2 - http://ci.ufp.pt/index.php?option=com_content&task=view&id=71&Itemid=199
Grupo 3 - http://www.mediafire.com/?jmcmwkeyjtm
Grupo 4 - http://www.mediafire.com/?nmkn02yzwnj
Grupo 5 - http://technet.microsoft.com/pt-pt/library/cc732169(WS.10).aspx
Grupo 6 - http://www.mediafire.com/?mwyrjwjm2jw
PS: Podem utilizar outros materiais desde que devidamente identificados
16 comentários:
Grupo 1 - Carlos e Carlos
Grupo 2 - Fábio e André
Grupo 3 - Ruben Silva e Cristiana
Grupo 4 - Gabriel e Ruben Pinto
Grupo 5 - Hélder e Jenha
Grupo 6 - Tiago e Daniel
Processo de autenticação
A autenticação na família Windows Server 2003 consiste em duas partes: um processo de início de sessão interactivo e um processo de autenticação de rede. Uma autenticação de utilizador bem sucedida depende destes dois processos.
Processo de início de sessão interactivos
O processo de início de sessão interactivo confirma a identificação do utilizador perante uma conta de domínio ou um computador local. O processo de início de sessão interactivo difere de acordo com o tipo de conta de utilizador:
Com uma conta de computador local, o utilizador inicia sessão num computador local utilizando as credenciais armazenadas no Gestor de contas de segurança (SAM, Security Accounts Manager), que é a base de dados de contas de segurança local. Qualquer estação de trabalho ou servidor membro pode armazenar contas de utilizadores locais.
Processo de autenticação de rede
A autenticação de rede confirma a identificação do utilizador perante qualquer serviço de rede a que o utilizador tente aceder. Para fornecer este tipo de autenticação, são suportados muitos mecanismos, incluindo Kerberos V5, camada segura de sockets/segurança da camada de transporte (SSL/TLS, Secure Socket Layer/Transport Layer Security) e, para compatibilidade com o Windows NT 4.0, o LAN Manager.
Os utilizadores que utilizam uma conta de domínio não vêem o processo de autenticação de rede. Os utilizadores que utilizam uma conta de computador local têm de fornecer credenciais (tais como um nome de utilizador e uma palavra-passe) sempre que acederem a um recurso de rede. Ao utilizar a conta de domínio, o utilizador fica com credenciais que são automaticamente utilizadas para o início de sessão único.
Com uma conta de domínio, o utilizador inicia sessão na rede com uma palavra-chave ou um cartão Smart Card utilizando credenciais de início de sessão único armazenadas no Active Directory. Ao iniciar sessão com uma conta de domínio, um utilizador autorizado pode aceder aos recursos do domínio e de todos os domínios fidedignos.
Problemas na autenticação de utilizadores
Principal problema dos sistemas de autenticação de utilizadores por "password" são os próprios utilizadores. Um utilizador raramente está alertado para os aspectos de segurança, os seguintes comportamentos são mais ou menos vulgares:
Emprestar a password ; Escrever a password num papel; Usar uma password igual ao login-name, ou palavras/nomes relacionados com o utilizador.
Elaborado por: Grupo 6.
- Daniel Couto e Tiago Silva
_____Autenticação de Certificados_____
Os Certificados são o método padrão usado na Internet para proteger as comunicações entre os utilizadores da Web e os sites. Essa tecnologia autentica a identidade de um site e criptografa as comunicações entre o usuário e o site.
Certificado digital
Um certificado digital é um arquivo de computador que contém um conjunto de informações referentes a entidade para o qual o certificado foi emitido (seja uma empresa, pessoa física ou computador) mais a chave pública referente a chave privada que acredita-se ser de posse unicamente da entidade especificada no certificado.
Um certificado digital normalmente é usado para ligar uma entidade a uma chave pública. Para garantir digitalmente, no caso de uma Infraestrutura de Chaves Públicas (ICP), o certificado é assinado pela Autoridade Certificadora que o emitiu e no caso de um modelo de Teia de Confiança (Web of trust) como o PGP, o certificado é assinado pela própria entidade e assinado por outros que dizem confiar naquela entidade. Em ambos os casos as assinaturas contidas em um certificado são atestamentos feitos por uma entidade que diz confiar nos dados contidos naquele certificado.
________________________________________________
Autenticação de certificado SSL
Quando um utilizador visita um site seguro, o servidor web irá enviar uma cópia do seu certificado SSL para o utilizador do navegador da Web. As informações contidas no certificado incluirá sempre web site o nome do seu domínio, tais como www.yourdomain.com, e às vezes vai também incluir informações de sua empresa. Isso permite que o browser sabe que o site está conectando é realmente o site correto, e não um impostor ou phishing site. Esta é a autenticação.
Autenticação/Confidencialidade de Sessão
A autenticação é uma questão fundamental quando duas entidades trocam dados entre si.
Em grande parte trata-se de um problema de distribuição de chaves. Como foi referido, uma implementação segura de distribuição de chaves obriga a:
• Criptografia convencional: a existência de um centro de distribuição de chaves (KDC - "Key Distribution Center")
• Criptografia de chave pública: a existência de um emissor de certificados de chave pública
Neste tipo de situação específica pretende-se que seja gerada uma chave Ks (tipicamente de criptografia convencional) que será usada apenas para a sessão a ser estabelecida, esta chave tem de ser distribuída pelas duas entidades participantes de sessão.
"Passwords"
O estabelecimento de uma sessão entre um utilizador e um sistema central deve ser visto como qualquer outro tipo de sessão.
Na prática corrente as medidas de validação e autenticação são contudo muito mais reduzidas. Geralmente a autenticação resume-se pelo envio ao servidor de um conjunto (LOGIN-NAME + PASSWORD), onde "LOGIN-NAME" é o nome do utilizador em versão reduzida e de conhecimento mais ou menos público, e a "PASSWORD" que é secreta, apenas do conhecimento do utilizador e do sistema, proporciona por isso autenticação do utilizador perante o sistema.
Geralmente apenas se pratica a referida autenticação de clientes perante servidores, contudo num ambiente de rede pouco controlado não é complicado a um intruso simular um dado sistema central, podendo assim obter "passwords" de utilizadores que nele tentam entrar.
O facto de o sistema fornecer algum tipo de informação como por exemplo a data/hora do último "login" pode facilitar a detecção deste tipo de situações. Uma solução que também se pode praticar é enviar uma "password" falsa e só depois a verdadeira.
Ficheiros de "passwords"
Um outro problema deste mecanismo é a necessidade de o sistema armazenar as "passwords" directa ou indirectamente sobre a forma de ficheiros. Neste aspecto a solução mais segura é usar um mecanismo de cifragem não reversível, onde só é possível cifrar. Quando o utilizador envia a "password" o sistema cifra-a e verifica se o resultado coincide com o que se encontra no ficheiro.
Mesmo este mecanismo apresenta alguns problemas, pode por exemplo acontecer de dois utilizadores usarem a mesma "password", então o resultado cifrado seria o mesmo, o que não é admissível. Nos sistemas Unix este problema é resolvido com o "salt", número de 12 bits composto pela hora e PID na altura em que a "password" é definida, o "salt" de cada utilizador é também armazenado pelo sistema e é sempre adicionado à "password" antes da cifragem.
Gestão de "passwords"
Mesmo sendo elementar e porque envolve utilizadores existem vários cuidados básicos a ter com a autenticação por "password":
• O sistema deve bloquear a conta após algumas tentativas de "login" falhadas.
• O sistema deve esperar que o utilizador digite a password, antes de enviar mensagens de erro, que não devem dar pistas sobre o facto de utilizador existir ou não.
• O sistema deve bloquear durante alguns segundos sempre que o acesso é negado.
• Se possível devem ser restringidos os pontos de acesso para cada utilizador, por exemplo endereços de origem. Os horários de acesso também podem ser definidos.
• Devem ser impostos limites quanto ao tamanho mínimo para as "passwords".
• O mecanismo dos utilizadores para alteração de "password" deve sempre exigir a "password" anterior.
• Deve ser impossível qualquer tipo de visualização da "password".
Os Utilizadores
Um utilizador raramente está alertado para os aspectos de segurança, os seguintes comportamentos são mais ou menos vulgares:
• "Emprestar" a "password".
• Escrever a "password" num papel.
• Usar uma "password" igual ao login - name, ou palavras/nomes relacionados com o utilizador.
Os utilizadores podem ser obrigados a alterar a sua "password" periodicamente, mas uma escolha sob pressão pode não ser boa ideia, por outro lado os utilizadores tentarão alternar entre duas "passwords".
Para precaver esta última possibilidade alguns sistemas armazenam as últimas "passwords" de cada utilizador, assim para voltar à "password" inicial terão de alterar a "password". Para evitar este truque alguns sistemas apenas permitem a alteração da "password" uma vez.
Autenticação com "password" protegida
Quando se procede à autenticação remota por "USERNAME/PASSWORD" a password circula pela rede sob forma legível. Uma forma de resolver este problema é usar uma sessão em que todos os dados são cifrados.
A utilização de "USERNAME/PASSWORD" coloca-se normalmente num contexto cliente - servidor em que o utilizador tem de se autenticar perante o serviço. O procedimento é o seguinte:
• Depois de estabelecida a ligação o servidor envia ao cliente um CODIGO.
• O cliente envia o nome de utilizador e em lugar da password envia HASH (PASSWORD+CODIGO).
• O servidor realiza a mesma operação e verifica se os HASH CODES são iguais, nesse caso a autenticação está concluída.
Este mecanismo simples garante uma elevada segurança, sendo impraticável qualquer tentativa de obter a password na rede.
O grande inconveniente desta técnica é a necessidade de o servidor dispor da "password" do utilizador já que tem de calcular HASH (PASSWORD+CODIGO) para comparar com o valor enviado pelo cliente.
Para qualquer mecanismo de geração de chaves é importante garantir que elas variam de sessão para sessão, ou seja é necessário introduzir um parâmetro que garanta chaves diferentes de sessão para sessão, mesmo que a "password" se mantenha, por exemplo gerar a chave a partir de "CODIGO+PASSWORD" em lugar da "password" apenas.
Sessões sem encriptação
A autenticação de utilizadores por "password" não proporciona qualquer tipo de segurança após o estabelecimento da sessão, quando os dados não são cifrados, esta pode sofrer ataques passivos e pode também sofre ataques activos.
A facilidade deste ataques a sessões não cifradas dependem em grande parte dos meios de transmissão e protocolos usados:
• Numa simples ligação série, tipo terminal, ambos os ataques são fáceis desde que exista acesso físico à linha série.
• Numa rede local de "broadcast" a escuta pode ser realizada em qualquer ponto, os ataques activos deparam com algumas dificuldades.
Numa rede local obrigaria a provocar algum tipo de bloqueio na máquina lícita para de seguida tentar tomar o seu lugar. Note-se que numa rede local teria de ser simulado não só o endereço de rede (nível 3) como também o endereço físico (nível 2).
Sessão de Trabalho de Rede :
Definição - Serviço de controlo de acesso ao seu espaço pessoal de rede e impressão de rede na rede local da UFP).
Objectivo - Este serviço permite a inicialização, através de autenticação do utilizador, de uma sessão de trabalho em todos os computadores dos gabinetes, centros, laboratórios, etc da UFP. Nos portáteis dos utilizadores não será necessária a inicialização de uma sessão através de autenticação do utilizador, usando as credênciais da UFP.
Após esta inicialização, poderão ser usados os serviços de acesso via rede local ao seu espaço pessoal de rede e impressão de rede.
Configurações e Utilização - Em qualquer computador da UFP, ligado à rede local no momento da autenticação na rede do Windows, deve colocar o seu nome de utilizador e palavra-passe, credênciais de autenticação da UFP.Nessa altura a sua sessão de trabalho está autorizada a aceder aos serviços ja referidos e só disponíveis na rede local da universidade.
No seu portátil, só no momento em que pretende usar estes serviços, serão solicitadas através de uma janela do windows, as suas credênciais.
Sempre que utiliza os computadores disponíveis em laboratórios, gabinetes, centros e bibliotecas, é disponibilizado pela rede o seu perfil de configurações pessoais das aplicações que usa no Windows. A partir do momento que inicia uma sessão na rede com o seu nome de utilizador, até que a termine, não é possível iniciar outra sessão noutro computador com o mesmo nome de utilizador.
Segurança - É muito importante terminar a sua sessão no Windows (logoff), sempre que abandonar o computador num local de acesso a vários utilizadores (laboratórios, salas de docentes, bibliotecas, etc).
Grupo 5
http://www.mediafire.com/?sharekey=434f30ea67c1d4a0d0d290dca69ceb5c171d540b469a4173a601da0f25e869f4
ShadowRedo e ShadowRP
Acesso a rede
Controle de Acesso à Rede: Proteger os serviços conectados à rede é o principal objectivo
do controlo de acesso à rede, segundo (Ferreira, 1995). Este controlo baseia-se no controlo de
conexões aos serviços da rede, do percurso entre o terminal do utilizador e o sistema
informático, de utilizadores remotos. Além destes controlos defenderem a autenticação dos
utilizadores remotos aos sistemas informáticos e o acesso dos utilizadores devem ser
controlados, a nível de:
• Serviços de Acesso limitado
• Autenticação do Utilizador
• Segurança dos Serviços de Rede
Acesso do utilizador ao computador local
Perfil de utilizador é uma das formas de garantir a segurança a nível do sistema porque
abrange sobretudo a segurança lógica.
Na segurança lógica, o perfil de utilizador permite gerir as permissões de acesso dos
utilizadores a vários níveis: Sistema operativo, base de dados, aplicação e acesso à rede, por
exemplo, o perfil de utilizador permite a segurança lógica na medida em que quem não tiver
permissão de acesso, não consegue fazer login no computador e usufruir dos recursos da rede.
Certificados
Os certificados são utilizados para a autenticação de acesso à rede, uma vez que fornecem uma forte segurança para autenticar utilizadores e computadores e eliminam a necessidade de métodos de autenticação baseados em palavras-passe menos seguras. Este tópico descreve a forma como os servidores do Serviço de Autenticação da Internet (IAS, Internet Authentication Service) e de Rede Privada Virtual (VPN, Virtual Private Network) utilizam o EAP-TLS (Extensible Authentication Protocol-Transport Level Security), o Protocolo de Autenticação Extensível Protegida (PEAP, Protected Extensible Authentication Protocol) ou a Segurança do Protocolo Internet (IPSec, Internet Protocol Security) para executar a autenticação baseada em certificados para vários tipos de acesso à rede, incluindo ligações VPN e sem fios. Para além disso, este tópico descreve os métodos de inscrição de certificados para ajudar a determinar qual é o melhor método a utilizar.Dois métodos de autenticação utilizam certificados: EAP-TLS (Extensible Authentication Protocol-Transport Level Security) e Protocolo de Autenticação Extensível Protegida (PEAP). Ambos os métodos utilizam sempre certificados para autenticação de servidor. Dependendo do tipo de autenticação configurado com o método de autenticação, os certificados podem ser utilizados para autenticação de utilizador e de cliente. Para mais informações, consulte EAP e PEAP.
Grupo 5
http://www.mediafire.com/?sharekey=434f30ea67c1d4a0d0d290dca69ceb5c171d540b469a4173a601da0f25e869f4
Enviar um comentário