PROTOCOLOS DE SEGURANÇA

Daiana Paula de Ávila1

RESUMO

Os Protocolos de Segurança realizam uma função de segurança relacionada e aplica métodos

de criptografia. Um protocolo descreve como os algoritmos devem ser usados. Um protocolo

suficientemente detalhado incluem detalhes sobre estruturas e representações de dados, em que

ponto ele pode ser usado para implementar várias versões e operações de um programa. Uma ampla

variedade de protocolos criptográficos excede os objetivos tradicionais de confidencialidade,

integridade e autenticação para garantir também uma variedade de outras características desejadas

de colaboração mediadas por computadores. Palavras-Chave: protocolo, segurança, criptografia. ABSTRACT The Security Protocols perform a related safety function and applies encryption methods. A protocol describes how the algorithms should be used. A sufficiently detailed protocol includes details on structures and data representations, at which point it can be used to implement multiple versions and operations of a program. A wide variety of cryptographic protocols go beyond the traditional objectives of confidentiality, integrity and authentication to ensure also a variety of other collaborative desired characteristics mediated by computers. Keywords: protocol, security, encryption.

1 1 Sistemas de Informação, Universidade do Contestado, Avenida Izabete Griza -469, Centro,

Irani/SC, CEP: 89680000, e-mail: daiana_avila@live.com

1 INTRODUÇÃO

Atualmente as redes sem fio, são utilizadas muito mais do que a rede

cabeada, e com isso a troca de informações necessita de confidencialidade e

segurança no envio e recebimento da mesma.

As empresas buscam hoje mais do que nunca um meio de manter sua

informação segura, por isso fazem altos investimento em tecnologia, deste modo

utilizando a rede wireless a qual proporciona uma melhor maneira de mobilidade e

utilização dos colaboradores. A informação utilizada pelas empresas precisa estar

sempre disponível para que a tomada de decisões possa ocorrer em tempo hábil. E

é claro, a integridade da informação e segurança é indispensável para a empresa,

pois o valor de uma informação é tão grande quanto o valor da sua tecnologia, se

não maior.

2 CERTIFICADO DIGITAL

O certificado digital é um documento eletrônico que contém o nome, um

número público exclusivo denominado chave pública e muitos outros dados que

mostram quem somos para as pessoas e para os sistemas de informação. A chave

pública serve para validar uma assinatura realizada em documentos eletrônicos. A

certificação digital tem trazido inúmeros benefícios para os cidadãos e para as

instituições que a adotam. (MACÊDO, 2012).

Em 24 de agosto de 2001, a Medida Provisória 2.200-2 instituiu a ICP-Brasil.

Hoje, a técnica é usada em diversas transações e processos eletrônicos, como a

apuração de tributos e a tramitação de documentos oficiais. (SERPRO).

De acordo com a Polícia Federal:

A Certificação Digital é um arquivo eletrônico que acompanha um documento assinado digitalmente e cujo conteúdo é criptografado. Ela contém informações que identificam a empresa e/ou pessoa com quem se está tratando na Internet. A assinatura digital comprova que a pessoa criou ou concorda com um documento assinado digitalmente, como a assinatura de próprio punho comprova a autoria de um documento escrito. Um documento eletrônico que possui Certificação Digital tem garantia de autenticidade de origem e autoria, de integridade de conteúdo, de confidencialidade e de irretratabilidade, ou

seja, de que a transação, depois de efetuada, não pode ser negada por nenhuma das partes.

2.1 Benefícios do Certificado Digital

De acordo com o Instituto Nacional de Tecnologia da Informação alguns benefícios

da Certificação digital são para uso em:

-Programa Universidade para Todos - PROUNI

-Programa Juros Zero - FINEP

-Troca de Informações de Saúde Suplementar - TISS

-Instituto Nacional da Propriedade Industrial - INPI

-ComprasNet

-Sistema de Diárias e Passagens

-Serviço de Documentos Oficiais - SIDOF

-Receita Federal

-Sistema de Pagamentos Brasileiro - SPB

-Sistema do Banco Central do Brasil - Sisbacen

-Sistema Integrado de Comércio Exterior - SISCOMEX

-Governo Estadual e Municipal

-Sistema Jurídico

2.2 Segurança Da Informação

A segurança e integridade da informação para as organizações é

indispensável. Conforme Nakamura; Geus (2007, pag 44).

A confiabilidade, integridade e disponibilidade dessa estrutura de rede passam, assim a ser essenciais para o bom andamento das organizações, fazendo com que elas precisem ser protegidas. A proteção via, sob esse ponto de vista, a manutenção do acesso às informações que estão sendo disponibilizadas para os usuários. Isso significa que toda informação deve chegar aos usuários de uma forma íntegra e confiável. Para que isso aconteça, todos os elementos de rede por onde a informação flui até chegar ao seu destino devem estar disponíveis, e devem também preservar a integridade das informações. O sigilo também pode ser importante e junto com a integridade e a disponibilidade formam as propriedade mais importantes para a segurança.

2.3 O padrão IEEE 802.11

Conforme Guimarães, 2009:

Uma Rede Local (Local Area Network – LAN) sem fio é uma das tecnologias de rede mais usadas para o acesso à Internet e está presente nos locais de trabalho, residências, universidades, aeroportos e hotéis, sendo que é previsto que em um futuro próximo elas estejam disponíveis de forma ubíqua em todos os lugares, tal qual a rede de celulares. Embora muitas tecnologias tenham sido desenvolvidas para LANs sem fio na década de 1990, a que foi melhor recebida foi a IEEE 802.11, também conhecida como Wi-Fi (Wireless

Fidelity).

Há vários padrões de IEEE 802.11, eles diferem-se entre si pela taxa de

dados e níveis de frequência.

Tabela 1 - Diferença nos padrões IEEE 802.11

Fonte: Guimarães, 2009.

Ainda sobre o IEEE 802.11:

A arquitetura 802.11 é baseada no Basic Service Set (BSS), ou seja, um conjunto básico de serviço que contém uma ou mais estações sem fio que são conectadas à uma estação central, conhecida como Ponto de Acesso (Access Point – AP). O AP, por sua vez, pode ser conectado a um dispositivo de interconexão, que pode ser, por exemplo, um hub ou um roteador, que provê o acesso à Internet, sendo que um dispositivo interconexão pode ser utilizado para mais de um AP, como mostra a Figura 1. Essas LANs que utilizam AP e roteador são chamadas de LANs sem fio infra-estruturadas e é o foco de estudo deste projeto.

3 PROTOCOLOS DE SEGURANÇA DE REDE SEM FIO

3.1 WEP - Wired Equivalent Privacy

De acordo com Rufino (2005), existem vários tipos de redes que necessitam

de comunicação remota ou até mesmo física com um elemento de rede. Já nas

redes REDE SEM FIO é necessário existir uma forma de receptividade do sinal,

sendo assim, a aquisição da informação será adquirido de maneira totalmente

tranqüila. Assim, o modelo 802.11 tem a capacidade de cifrar os dados. Assim foi o

desenvolvido o protocolo WEP, que está sendo padronizado para o padrão REDE

SEM FIO. Esse tipo de protocolo atua com algoritmos proporcionais com chave

secreta, que tem a função de compartilhar entre as estações e o concentrador, a fim

de descobrir as informações que trafegam.

“O WEP faz uso de uma chave secreta (habitualmente de 104 bits) distribuída

pelas partes que querem comunicar.” (FERREIRA, 2006, pág. 14).

3.2 WPA - Wi-Fi Protected Access

Baseando-se em Demartini (2013) considera-se que quando o WEP saiu de

circulação, o WPA entrou em seu lugar como o protocolo-padrão da indústria. Sendo

adotado formalmente em 2003, a novidade trazia encriptação 256 bits e uma

segurança muito maior para as redes. Além disso, sistemas de análise de pacotes –

para verificar alterações e invasões – e outras ferramentas foram implementadas

para melhorar a segurança. O problema aqui é que a arquitetura WPA foi produzida

de forma a não tornar os dispositivos WEP obsoletos, e sim atualizáveis. Com isso,

uma série de elementos do protocolo antigo foi reaproveitada e, com ela, diversos

dos problemas do antecessor também acabaram presentes na nova versão.

A descoberta de senhas por meio de processamento também é uma ameaça

aqui, mas não acontece exatamente da mesma maneira que no antecessor. Em vez

de usar a força bruta para descobrir senhas, os criminosos podem atingir sistemas

suplementares, herdados do protocolo WEP, que servem para facilitar a

configuração e conexão entre dispositivos antigos e modernos.

3.3 WPA2 - Wi-Fi Protected Acces II

Além do padrão WPA original, de 2003, temos também o WPA2, que

corresponde à versão finalizada do 802.11i, ratificado em 2004.A principal diferença

entre os dois é que o WPA original utiliza algoritmo RC4 (o mesmo sistema de

encriptação usado no WEP) e garante a segurança da conexão através da troca

periódica da chave de encriptação (utilizando o TKIP), enquanto o WPA2 utiliza o

AES, um sistema de encriptação mais seguro e também mais pesado. O AES é o

sistema de criptografia usado pelo governo dos EUA, de forma que, mesmo que

alguém descobrisse uma falha no algoritmo que pudesse permitir um ataque bem-

sucedido, ele teria sistemas muito mais interessantes para invadir do que sua parca

rede. (COLAÇO).

3.3 Vantagem do WPA sobre o WEP

“Atualmente o protocolo WEP é menos seguro do que o WPA. No WPA foi

aprimorando a criptografia dos dados, e seu vetor de inicialização passa a ter 48 bits

ao invés de 24 utilizada.” (PINZON, 2009).

4 PROTOCOLOS DE REDE E DE SEGURANÇA DE TRANSPORTE

4.1 IPSec – Internet Protocol Security

Internet Protocol Security (IPSec) é uma estrutura de padrões abertos para

assegurar na rede de IP uma comunicação privada segura. Baseado em padròes

desenvolvidos pelo Internet Engineering Task Force (IETF), o IPSec assegura

confidencialidade, integridade e autenticidade para a comunicação de dados em

uma rede pública de IP. O IPSec é um componente necessário baseado em

padrões, uma solução flexível para distribuição de uma política de segurança por

toda a rede. (BURNETT; PAINE, 2002).

O IPSec é baseado em um modelo ponto-a-ponto, onde dois (ou mais)

computadores, para trocarem informações, precisam concordar em alguns aspectos

ou regras. Tem-se assim uma grande proteção a ataques feitos à uma rede, seja

privada ou não. Obtem-se com ele uma interessante política de proteção à captura

de dados. O IPSec não é de complexa configuração. (DEVEL).

5 SSL – Secure Sockets Layer e TLS – Transport Layer Security

5.1 SSL

De acordo com Burnett; Paine (2002) o Secure Sockets Layer é um protocolo

de Internet para a criptografia e autenticação baseada em sessão, fornece um canal

seguro entre as duas partes, o cliente e o servidor. O SSL fornece uma autenticação

de servidor e uma autenticação opcional de cliente para derrotar espionagem,

adulteração e falsificação de mensagem em aplicativos cliente-servidor.

Estabelecendo um segredo compartilhado entre duas partes, o SSL fornece

privacidade.

O protocolo SSL é um protocolo estruturado em camadas. Em cada camada

mensagens podem incluir campos para tamanho, descrição e conteúdo. O protocolo

SSL toma as mensagens a serem transmitidas pelas camadas superiores, fragmenta

os dados em blocos manuseáveis, opcionalmente executa a compressão de dados,

aplica um MAC (message authentication code), codifica os dados, adiciona um

cabeçalho para o registro e o transmite. Os dados recebidos são decodificados,

verificados, descomprimidos e remontados, para então serem entregues aos clientes

de camadas de nível superior. O cabeçalho contém dados que indicam o tipo de

informação que está contida no registro, a versão do protocolo que se está utilizando

e o tamanho do registro. (GUILLÉN; TORRES, 1999).

5.2 TLS

De acordo com Gullén; Torres (2009) o Protocolo Transport Layer Security –

TLS é a padronização do Protocolo SSL. Este protocolo foi padronizado pelo IETF –

Internet Engineering Task Force, que criou um grupo de trabalho chamado TLS

Working Group quem justamente se encarregou de estabelecer como padrão de

segurança entre duas aplicações ao TLS. Este padrão suporta as duas camadas de

segurança definidas no protocolo SSL com seus respectivos Protocolos Record,

Handshake, ChangeCipherSpec, e Alerta. O Protocolo TLS fornece uma camada de

segurança para a comunicação entre um cliente e um servidor através do

handshake realizado numa determinada sessão, de igual maneira como acontecia

no protocolo SSL.

Para existir um padrão de protocolo de segurança na comunicação de dados,

de código aberto. O IETF se baseou no SSL 3.0 para desenvolver o TLS.

O objetivo protocolo TLS é prover os serviços de encriptação, autenticação e integridade de dados. A encriptação garante que um atacante não consiga entender o que está sendo enviado para o outro lado; a autenticação verifica a autenticidade dos dados enviados pelo canal, garantindo que realmente está vindo de determinado remetente; e a integridade garante que os dados não são modificados ou forjados na comunicação. Embora não seja necessário utilizar os três serviços em uma sessão TLS, é possível aceitar um certificado sem validar a autenticidade, por exemplo, deve-se estar consciente dos riscos de aceitar de uma entidade não autenticada. (FERNANDES).

5.3 SSL e TLS diferenças

As diferenças entre o SSL e o TLS são muito pequenas e técnicas, porém

eles possuem normas diferentes. O TLS tem a capacidade de trabalhar em portas

diferentes e usa algoritmos de criptografia mais fortes como o keyed-Hashing for

Message Authentication Code (HMAC) enquanto o SSL apenas Message

Authentication Code (MAC). Além do que, a versão 1.0 do TLS não interopera com a

versão 3.0 do SSL.

O TLS pode ser utilizado por uma autoridade intermediária, não sendo

sempre necessário recorrer à raiz de uma Autoridade de Certificação.O protocolo

TLS foi criado como o sucessor do SSL. É mais freqüentemente usado como uma

configuração nos programas de e-mail, mas assim como o SSL, o TLS pode ter um

papel em qualquer transação cliente-servidor. (PINHEIRO; VIEIRA; SILVA).

6 CONCLUSÃO

Este artigo teve como objetivo descrever os principais protocolos de

segurança de redes. Sendo possível fazer comparações entre os protocolos de rede

sem fio, onde pode-se constatar a vantagem de se utilizar a criptografia WPA ao

invés da WEP.

Sendo que até 2001 era utilizado muito o WEP e a partir de 2002 foi

desenvolvido e aplicado o WPA, podendo assim ter uma maior segurança para que

não houvesse invasão de redes. Mas mesmo assim é necessário utilizar alguns

meios de proteger a rede como configurar os roteadores para que somente MAC

ADDRESS cadastrados possam acessar a rede.

Os hackers estão sempre se mantendo atualizados e fazendo novas

tentativas para quebrar esses protocolos, é possível que daqui a algum tempo o

WPA e WPA2 passem a se tornar mais vulneráveis e desta forma pode também

surgir um novo protocolo de segurança de redes mais robusto e menos vulnerável.

REFERÊNCIAS

BURNETT, Steve; PAINE, Stephen. Criptografia e segurança: o guia oficial. Rio

de Janeiro: Campus, 2002.

COLAÇO, Eric. Protocolos de segurança de rede wireless. Disponível em:

<http://ericcolaco.com.br/?p=123>. Acesso em: 10 mar. 2015.

DEMARTINI, Felipe. WEP, WPA, WPA2: o que as siglas significam para o seu

WiFi? Disponível em: <http://www.tecmundo.com.br/wi-fi/42024-wep-wpa-wpa2-o-

que-as-siglas-significam-para-o-seu-wifi-.htm>. Acesso em: 10 mar. 2015.

DEVEL, Sistemas. IPSec – Protocolo de segurança para redes IP. Disponível em:

<http://www.develsistemas.com.br/ipsec-protocolo-de-seguranca-para-redes-ip/>.

Acesso em 03 mar. 2015.

FERNANDES, Eder Leão. Segurança na implementação do Protocolo TLS.

Disponível em:

<http://www.dca.fee.unicamp.br/~marco/cursos/ia012_14_1/trabalhos_finais/tf_12_ar

tigo.pdf>. Acesso em 06 mar. 2015.

FERREIRA, Rui Alexandre Cardoso. Protocolos de segurança em redes sem fios.

Tese de Mestrado (Mestre em Engenharia Matemática) - Faculdade de Ciências da

Universidade do Porto, Porto, 2006.

GUILLÉN, Alex Marcelo Samaniego; TORRES, Maria Flávia Cunha de Figueiredo.

Segurança na Web - SSL, TLS e SET. UNICAMP – São Paulo, 1999.

GUIMARÃES , DIEGO MOREIRA. ANÁLISE DE VULNERABILIDADES DOS

PRINCIPAIS PROTOCOLOS DE SEGURANÇA DE REDES SEM FIO PADRÃO

IEEE 802.11. Trabalho de Conclusão de Curso (Bacharel em Ciência da

Computação) - Universidade Federal Fluminense, Niterói, 2009.

MACÊDO, Diego. Assinatura e Certificação Digital. Disponível em:

<http://www.diegomacedo.com.br/assinatura-e-certificacao-digital/>. Acesso em:17

mar 2015.

NAKAMURA, Emilio Tissato; GEUS, Paulo Lício. Segurança de Redes. São Paulo:

Novatec, 2007.

PINHEIRO; Fernando Venancio; VIEIRA, Gabriel Serafim; SILVA, Leonardo

Gonçalves Da. SSL & TLS. UFRJ. Disponível em:

<http://www.gta.ufrj.br/grad/11_1/tls/index.html>. Acesso em: 10 mar. 2015.

PINZON, Alexandre. VULNERABILIDADE DA SEGURANÇA EM REDES SEM FIO.

Trabalho de Conclusão de Curso (Bacharel em Sistemas de Informações) – Centro

Universitário Ritter dos Reis, Porto Alegre, 2009.

POLÍCIA FEDERAL. Certificação Digital. Disponível em:

<http://www.dpf.gov.br/servicos/seguranca-privada/sistemas/gesp/certificacao-

digital?a46388e0>. Acesso em: 17 mar 2015.

RUFINO, Nelson Murilo de Oliveira. Segurança em Redes sem Fio. 2.ed. São

Paulo: Novatec, 2005.

SERPRO. Certificação Digital. Disponível em: <https://www.serpro.gov.br/linhas-

negocio/certificacao-digital>. Acesso em: 10 mar 2015.