capitulo 4 protocolos de segurança parte 2

Segurança na Web Segurança na Web Cap. 4: Protocolos de Segurança Cap. 4: Protocolos de Segurança –– Parte 2Parte 2

Free Powerpoint Templates

Prof. Roberto Franciscatto4º Semestre - TSI - CAFW

Cap. 4: Protocolos de SegurançaCap. 4: Protocolos de SegurançaParte 2Parte 2

• Protocolo de Segurança

• Sistemas Free/Open Source

• Exercício:


• No ambiente Linux, através do software GPG:

• Criar as chaves

• Exportar e importar chaves

• Assinando um arquivo qualquer

• Ler o conteúdo do arquivo


• Exercício 2

• Via Linux, realizar a seguinte tarefa, através do programa md5sum:



programa md5sum:

• inserir um hash md5 no arquivo /home/cafw/doc.txt

• criar o arquivo de hash

• verificar a integridade do arquivo

• relatar as mudanças ocorridas


• Assuntos que serão abordados nesta aula:

• L2TP



• L2TP

• IPSec

• SSH (Estudo de Caso - Completo)


• L2TP

• O que é ?



• Layer 2 Tunneling Protocol

• Protocolo para Tunelamento na Camada de Rede

• Pode ser definido como: um método para tunelamento para quadros PPP através de uma rede de comutação de pacotes


• L2TP

• O L2TP fornece:



• flexibilidade e escalabilidade do IP, permitindo que serviços de rede sejam enviados em redes roteadas IP.

• As decisões são tomadas nas terminações dos túneis ou VPNs, e comutadas sem a necessidade de processamento nos nós intermediários.


• L2TP

• Vantagens do L2TP



• permite o transporte de protocolos que não o IP (outros protocolos dos terminais);

• mecanismo simples de tunelamento para implementar funcionalidades de LAN e IP de forma transparente

• possibilitando serviços de VPN IP de forma bastante simples;


• L2TP

• Vantagens do L2TP



• simplifica a interação entre as redes do cliente e do provedor;

• fácil configuração para o cliente.


• L2TP

• Funcionamento do L2TP




• L2TP

• Cabeçalhos L2TP




• L2TP (Cabeçalhos L2TP)

• Identificador do túnel: identifica o túnel no sistema que desencapsula o pacote.



• Cookie: uma assinatura contendo 8 octetos, que é compartilhada entre as duas extremidades do túnel L2TP.

• Este cookie reduz as chances de que dois tráfegos sejam misturados após o desencapsulamento devido a erros de configuração;

• as assinaturas nos roteadores de origem em destino devem coincidir, ou os dados serão descartados.


• IPSec

• visa a ser o método padrão para o fornecimento de privacidade, integridade e autenticidade das informações



privacidade, integridade e autenticidade das informações transferidas através de redes IP.


• IPSec

• Ex.: compartilhamento da rede interna de uma empresa




• IPSec

• IPSec não é o mecanismo de encriptação ou autenticação, mas sim o que vem gerenciar estes.



autenticação, mas sim o que vem gerenciar estes.

• Pode ser definido como um framework (um conjunto de diversas ferramentas, compondo um sistema) de padrões abertos que visa a garantir uma comunicação segura em redes IP.


• IPSec

• O IPSec implementa encriptação e autenticação na camada de rede



camada de rede

•fornecendo uma solução de segurança fim-a-fim, ao contrário da anterior (enlace), que é ponto-a-ponto.

• O IPSec pode ser implementado nos roteadores ou no sistema operacional dos terminais, assim os aplicativos não precisam de alterações para poder utilizar comunicações seguras.


• IPSec

• Como os pacotes encriptados têm o mesmo formato de pacotes IP comuns



pacotes IP comuns

• eles podem ser roteados sem problemas em qualquer rede IP, e sem qualquer alteração nos equipamentos de rede intermediários.

• Os únicos dispositivos de rede que precisam ser alterados são os do início e fim das comunicações IPSec, reduzindo assim os custos de implementação e gerenciamento.


• IPSec

• Ex.: encriptação na camada de enlace, rede e aplicação




• IPSec

• Modos de Operação



• Cabeçalho genérico para o modo de transporte


• IPSec

• Modos de Operação



• Exemplo de um cabeçalho do modo túnel


• SSH (Estudo de caso)

• O SSH ou Secure Shell, pode ser simultaneamente um programa de computador e um protocolo de rede que



programa de computador e um protocolo de rede que permite a conexão com outro computador na rede, de forma a executar comandos de uma unidade remota.

• Possui as mesmas funcionalidades do TELNET, com a vantagem da conexão entre o cliente e o servidor ser criptografada.



• Vantagens em se utilizar SSH:



• ênfase na segurança

• mesmo que a rede local esteja comprometida você pode acessar de forma segura

• utiliza um conjunto de técnicas de criptografia

• são previstas respostas para vários tipos de ataques conhecidos



• Vantagens em se utilizar SSH (continuação):

• O SSH detecta casos em que o servidor tenha sido



• O SSH detecta casos em que o servidor tenha sido substituído por outra máquina

• situações nas quais se tenta injetar dados na conexão



• Vantagens em se utilizar SSH (continuação):

• A idéia central é que, mesmo em situações onde



• A idéia central é que, mesmo em situações onde seja fácil interceptar a transmissão (como no caso de uma rede wireless pública),

• seja impossível descobrir o conteúdo dos pacotes, devido à encriptação.

• É possível ainda, utilizar um par de chaves em vez de uma senha como forma de autenticação.



• O SSH utiliza chaves assimétricas para fazer a autenticação.



• Uma (a chave pública), permite apenas encriptar dados, enquanto a segunda (a chave privada) permite desencriptar as informações embaralhadas pela primeira.

• Quando você se conecta a um servidor SSH, seu micro e o servidor trocam suas respectivas chaves públicas, permitindo que um envie informações para o outro de forma segura.



• No SSH tudo é feito utilizando chaves de 512 bits ou mais (de acordo com a configuração).



• O problema é que, embora virtualmente impossível de quebrar, este nível de encriptação demanda um volume muito grande de processamento.

• Problema ???



• Para solucionar este problema, depois de fazer a autenticação, o SSH passa a utilizar um algoritmo mais simples (que demanda muito menos processamento) para



simples (que demanda muito menos processamento) para transmitir os dados.

• Por padrão é utilizado o 3DES (triple-DES), que utiliza uma combinação de três chaves DES, de 64 bits cada.

• As chaves são trocadas periodicamente durante a conexão, o que torna o sistema quase impossível de quebrar.

• Isso garante uma boa relação entre segurança e desempenho.


• SSH (Colocando em funcionamento...)

• SSH é dividido em dois módulos:

• sshd – módulo servidor



• sshd – módulo servidor• ssh – módulo cliente

• Instalar o SSH no servidor

• apt-get install openssh-server

• Iniciar o servidor

• /etc/init.d/ssh start



• Dicas importantes:

• Liberar a porta 22 (padrão SSH)



• Liberar a porta 22 (padrão SSH)

• Máquinas clientes devem ter o pacote openssh-client

• Configuração do servidor em: "/etc/ssh/sshd_config“

• Configuração do cliente em: "/etc/ssh/ssh_config"



• Outras distribuições do SSH:

Tectia



• Tectia

• SunSSH

• OpenSSH (usado neste estudo de caso)



• Logando via cliente SSH



• ssh usuario@ip_do_servidor

• ssh –l usuario ip_do_servidor

• ssh [email protected]



• Configuração do cliente SSH

• Rodar alicativos gráficos remotamente



• Rodar alicativos gráficos remotamente

• Editar “/etc/ssh/ssh_config” (no cliente) e substituir a linha “ForwardX11 no” por:

• ForwardX11 yes

• Ou logar com o X habilitado:

• Ex.: “ssh –X usuario@ip_do_servidor”




• Compressão de dados



• Compressão de dados

• Habilitar a linha:

• Compression = yes

• ou logar da seguinte forma:

• “ssh –C usuario@ip_do_servidor”






• Problema

• conexão ser fechada pelo servidor depois de alguns minutos de inatividade...

• Solução

• Habilitar a opção “ServerAliveInterval”definindo um valor em segundos (padrão 120)



• Configuração do servidor SSH

• Editar arquivo “/etc/ssh/sshd_config”




• Porta = (Port 22)

• Controle de Acesso (ListenAddress 192.168.0.1)

• Usuários e Senhas

(PermitRootLogin yes)(AllowUsers joao maria)(DenyUsers fulano ciclano)(PermitEmptyPasswords no)



• Configuração do servidor SSH

Editar arquivo “/etc/ssh/sshd_config”




• Banner = (Banner = /etc/ssh/banner.txt)

• X11 Forwarding = (X11Forwarding yes)

• SFTP = (Subsystem sftp /usr/lib/sftp-server)



• Exercício (em duplas)

• Configurar um servidor usando o OpenSSH. Uma



• Configurar um servidor usando o OpenSSH. Uma máquina é o servidor a outra o cliente que vai se conectar

• O cliente deve fazer conexões tanto em modo texto quanto interface gráfica, bem como tunelamento quando achar necessário.

• O cliente deve se logar via ssh, sftp (no linux) e via putty e filezilla no windows.



• Exercício (em duplas)

• Já o servidor deve aceitar conexões vindas somente



• Já o servidor deve aceitar conexões vindas somente da rede interna e somente do usuário do cliente. Não deve aceitar conexões como root e deve permitir conexões do tipo SFTP.

• Ainda faça upload de arquivos do cliente para o servidor e download no processo inverso

• O servidor não deve permitir senhas de login em branco, deve ainda deixar uma mensagem personalizada ao usuário no momento do login.

capitulo 4 protocolos de segurança parte 2

Documents