redes de computadores -...

Segurança de Redes de Computadores

Ricardo José Cabeça de Souza

www.ricardojcsouza.com.br

[email protected]

http://www.ricardojcsouza.com.br/

mailto:[email protected]

Arquitetura de Redes

www.ricardojcsouza.com.br [email protected]

Arquitetura Redes

• COMUNICAÇÃO EM CAMADAS – Para reduzir a complexidade do projeto a maior

parte das redes são organizadas em uma série de camadas ou níveis

– O número, nome, conteúdo e função de cada camada difere de uma rede para outra

– Em cada par de camadas adjacentes há uma interface que define as operações e serviços que a camada inferior tem a oferecer a superior


Arquitetura Redes

Camada 4

Camada 3

Camada 2

Camada 1

Meio de Comunicação

Camada 4

Camada 3

Camada 2

Camada 1

P rotocolo da Camada 4




S IS TE MA BS IS TE MA A

Interface3/4

Interface3/4

Interface2/3

Interface2/3

Interface1/2

Interface1/2


Arquitetura Redes

• ARQUITETURA DE REDES

– Um conjunto de camadas de protocolos

– É formada por níveis, interfaces e protocolos

– Deve conter informações suficientes para permitir que um implementador desenvolva o programa ou construa o hardware de cada camada, de forma que ela obedeça corretamente ao protocolo adequado


Arquitetura Redes

• MODELO DE REFERÊNCIA OSI (Open Systems Interconnection) – Baseia-se no conceito de camadas – Padronizado pela ISO (International Organization for

Standardization) – Cada camada executa um conjunto bem definido de

funções – Devem possibilitar troca de informações entre processos

de aplicação (AP – Application Process) – Divide as redes de computadores em sete camadas


Arquitetura Redes


Arquitetura Redes

• TRANSMISSÃO DE DADOS NO MODELO OSI

PROCESSO

RECEPTOR

PROCESSO

EMISSOR DADOS

DADOSAH

DADOSPH

DADOSSH

DADOSTH

DADOSNH

DADOSLH

BITS

Aplicação

Apresentação

Sessão

Transporte

Rede

Enlace

Física

Aplicação

Apresentação

Sessão

Transporte

Rede

Enlace

Física

CRC


Arquitetura Redes

PCI Camada de aplicação

PCI Protocol Control Information SDU Service Date Unit PDU Protocol Date Unit


Arquitetura Redes


Arquitetura TCP/IP


Arquitetura TCP/IP

• TCP/IP – TCP Transmission Control Protocol

– IP Internet Protocol

• Meados década de 1960

• Departamento de Defesa dos EUA(DoD)

• Projeto ARPA(Advanced Research Project Agency)

• Projeto piloto: 1972


Arquitetura TCP/IP

• Principais Características –Padrões de protocolos abertos – Independente da especificação do

hardware da rede física – Esquema de endereçamento universal –Permite consistentes e amplos serviços aos

usuários – Independente de arquitetura e sistema

operacional de rede


Arquitetura TCP/IP

• Definições da Arquitetura TCP/IP são encontradas em documentos denominados RFC (Request for Comments)

• Documentos elaborados e distribuídos pelo Internet Architecture Board

• Subsidiária do IAB – IRTF(Internet Research Task Force)

– IETF (Internet Engineering Task Force)


Arquitetura TCP/IP www.ricardojcsouza.com.br [email protected]

Host A

Transporte

Inter-rede

Interface

de Rede

Aplicação

Rede Física 1

Intra-Rede

Host B

Transporte

Inter-rede

Interface

de Rede

Aplicação

Rede Física 2

Intra-Rede

Inter-rede

Interface

de Rede Interface

de Rede

Gateway

Pacote Idêntico

Mensagem Idêntica

Quadro

Idêntico

Datagrama

Idêntico

Quadro

Idêntico

Datagrama

Idêntico

Camadas Conceituais da Arquitetura Internet TCP/IP

OSI x TCP/IP

AplicaçãoAplicações que usam a rede

TransporteTransporte de dados fim-a-fim

InternetRoteamento de datagramas

Acesso à RedeAcesso ao nível físico

TransporteTransporte fim-a-fim com correção de erros

RedeTransferência de pacotes na rede

EnlaceComunicação confiável ponto-a-ponto

FísicoCaracterísticas físicas da rede

AplicaçãoAplicações que usam a rede

ApresentaçãoPadronização da representação dos dados

SessãoGerência de diálogos entre aplicações

Camadas do TCP/IP


Arquitetura TCP/IP

• REDE FÍSICA (INTRA-REDE)

– Padrões:

• EIA/TIA 568

• Coaxial

• Fibra Ótica

• Transmissão Sem Fio

• ISDN (Integraded Services Digital Network)

• ATM (Asynchronous Transfer Mode )


Segurança de Redes


Segurança de Redes

• Segurança Camada Física

– VLAN (Virtual Local Area Network ou Virtual LAN)

• Rede local que agrupa um conjunto de máquinas de maneira lógica e não física

• Definindo uma segmentação lógica (software) baseada num agrupamento de máquinas graças a critérios (endereços MAC, números de porta, protocolo, etc.)


Segurança de Redes

• Segurança Camada Física

– VLAN (Virtual Local Area Network ou Virtual LAN)

• Estruturas capazes de segmentar, logicamente, uma rede local em diferentes domínios de broadcast

• Possibilita a partição de uma rede local em diferentes segmentos lógicos (criação de novos domínios broadcast), permitindo que usuários fisicamente distantes (por exemplo, um em cada andar de um edifício) estejam conectados a mesma rede


Segurança de Redes

• Benefícios VLAN

– Controle Tráfego broadcast

– Segmentação lógica

– Redução de custos e facilidade de gerenciamento

– Independência da topologia física

– Maior segurança


Segurança de Redes

• Segurança Camada Física –Tipo de VLAN

• VLAN de nível 1 (também chamada VLAN por porta, em inglês Port-Based VLAN) – Define uma rede virtual em função das portas de

conexão no comutador

– Configuração é rápida e simples

– Desvantagem:

» Movimentação dos usuários reconfiguração VLAN


Segurança de Redes


• VLAN

– Membros de uma VLAN podem ser definidos de acordo com as portas da ponte/comutador utilizado

Segurança de Redes


Fonte Imagem: http://sunsite.uakom.sk/sunworldonline/swol-07-1996/vlan1.gif

http://sunsite.uakom.sk/sunworldonline/swol-07-1996/vlan1.gif






Camada de Enlace


Camada Enlace

• CAMADA DE INTERFACE DE REDE (ENLACE)

– Fornece interface de serviço a camada de rede

– Determina como os bits da camada física serão agrupados em quadros(frames)

– Trata os erros de transmissão

– Controle de fluxo de quadros


Camada Enlace

• PROTOCOLOS NÍVEL DE ENLACE – Ethernet

– ATM (Asynchronous Transfer Mode)

– FDDI (Fiber Distributed Data Interface)

– HDLC (High-level Data Link Control)


• ETHERNET – Os elementos básicos do Ethernet

• QUADRO(Frame) – Conjunto padronizado bits usados para transporte

dados

• Protocolo MEDIA ACCESS CONTROL(MAC) – Regras de acesso

• COMPONENTES DE SINALIZAÇÃO – Dispositivos eletrônicos para enviar e receber dados

• MEIO FÍSICO – Cabos ou outros meios

Camada Enlace


• O Quadro Ethernet

Camada Enlace


• PROTOCOLO MAC (Media Access Control) • Regras de controle de acesso à mídia – CSMA/CD

– Sinal está sendo transmitido • PORTADORA

– Quando deseja transmitir • AUSÊNCIA DE PORTADORA

– Canal ocioso – espera breve tempo – IFG (InterFrame Gap – 96 bits) • TRANSMITE QUADRO

– Duas estações transmitem simultaneamente • DETECÇÃO DE COLISÃO • REPROGRAMAR TRANSMISSÃO

Camada Enlace


Protocolo ARP


Protocolo ARP

• Address Resolution Protocol

• Utilizado para mapear endereço IP(Nível superior) para endereço físico (MAC)

• Permite que o host origem encontre o endereço MAC do host destino


Protocolo ARP

• Funções: – Determinar endereço físico

– Responder pedidos outros hosts

• Funcionamento – Antes de enviar:

• Verifica cache

• Se encontrar endereço, envia frame

• Se não encontrar, envia broadcast pedido ARP


Protocolo ARP


Fonte Imagem: http://joseeuripedes.reimacpecas.com.br/imagens/ARP-Figura01.jpg

Protocolo ARP

• O host A, cujo endereço IP é IA e endereço físico PA, deseja enviar dados ao host B, cujo IP é IB porém de endereço físico desconhecido

• O host A envia um datagrama especial em broadcast.


Protocolo ARP

• Apenas o host B responde, pois o datagrama foi endereçado via IP

• O datagrama resposta é constituído do endereço IP (IB) mais o endereço físico PB

• A partir desse instante o host A passa a endereçar o host B apenas com

seus endereços já conhecidos (PB e IB)


Protocolo ARP

Rede Local


Segurança de Redes


Segurança de Redes

• Segurança Camada Enlace

–Alguns Ataques

• Sniffer

• ARP Ataques


• SNIFFING

– É o procedimento realizado por uma ferramenta conhecida como Sniffer

– Também conhecido como Packet Sniffer, Analisador de Rede, Analisador de Protocolo, Ethernet Sniffer em redes do padrão Ethernet ou ainda Wireless Sniffer em redes wireless

– Constituída de um software ou hardware capaz de interceptar e registrar o tráfego de dados em uma rede de computadores

Segurança de Redes www.ricardojcsouza.com.br [email protected]

Segurança de Redes

• Sniffer


Fonte imagem: http://cdn.aiotestking.com/wp-content/ec-council/files/2012/01/312-50-E73-590x181.jpg

Segurança de Redes

• Sniffer – Usado para furto de informações:

• nomes de usuários, senhas, conteúdo de e-mails, - conversas MSN, dados internos em uma empresa

– Ataques internos (funcionários hostis)

– Ataques remotos, via Internet, com acesso privilegiado a um gateway (roteador de perímetro), que fica entre a rede interna e a externa


Segurança de Redes

• Sniffer

–Ferramentas:

• IPTraf

• Wireshark

• EtherDetect

• Kismet


Segurança de Redes

• ARP Poisoning/ARP Spoofing/MITM(Man In The Middle) – Quando uma falsa resposta é dada em consultas ARP – Um endereço MAC é associado a um IP que na

realidade não é o seu correspondente e então é adicionado na tabela ARP

– Consiste em modificar a tabela ARP de um computador se passando por outro

– Essa técnica permite desviar mensagens que seriam destinadas a outro computador para o seu

– Conhecido também como ARP Spoofing e Man In The Middle


Segurança de Redes

• ARP Poisoning/MITM(Man In The Middle)


Fonte imagem: http://joseeuripedes.reimacpecas.com.br/imagens/ARP-Figura02.jpg

Segurança de Redes

• ARP Poisoning/ARP Spoofing/MITM(Man In The Middle)

• Ferramentas:

– Arpwatch/ Winarpwatch

• É um programa de monitoração da tabela ARP em uma rede

• A partir de uma cópia da tabela que ele mantém armazenada, este software de vigilância consegue detectar qualquer alteração no ARP cache

• Ao detectar alguma mudança na tabela, o Arpwatch gera relatórios e pode enviar mensagens de aviso por e-mail


Segurança de Redes


– Tipo de VLAN - Modelo 1

• VLAN de nível 2 (igualmente chamada VLAN MAC, em inglês MAC Address-Based VLAN) – Consiste em definir uma rede virtual em função dos

endereços MAC das estações

– Este tipo de VLAN é muito mais flexível que a VLAN por porta, porque a rede é independente da localização da estação


Segurança de Redes

• Tipo de VLAN - Modelo 1

– VLAN de nível 2 (igualmente chamada VLAN MAC, em inglês MAC Address-Based VLAN)

– Os membros da rede virtual são identificados pelo endereço MAC (Media Access Control) da estação de trabalho

– O comutador reconhece o endereço MAC pertencente a cada VLAN


Segurança de Redes

• Tipo de VLAN - Modelo 1 – VLAN de nível 2 (igualmente chamada VLAN MAC, em

inglês MAC Address-Based VLAN)

– Quando uma estação de trabalho é movida, não é necessário reconfigurá-la para que esta continue pertencendo a mesma VLAN, já que o endereço MAC faz parte da sua placa de interface de rede

– Problema: membro de uma VLAN deve ser inicialmente especificado, obrigatoriamente.


Segurança de Redes


– Tipo de VLAN - Modelo 2

• VLAN de nível 2 – Consiste em definir uma rede virtual em função dos

endereços MAC das estações

– Membros de uma VLAN camada 2 também podem ser identificados de acordo com o campo "tipo de protocolo" encontrado no cabeçalho da camada 2

– Marcar frames com um número VLAN (frame-tagging)


Segurança de Redes


Fonte imagem: http://yotta.blog.br/wp-content/uploads/2012/05/dot1qethernetframe.png

http://yotta.blog.br/wp-content/uploads/2012/05/dot1qethernetframe.png




Segurança de Redes


Fonte imagem: http://pplware.sapo.pt/wp-content/uploads/2010/12/vlans_01_thumb.jpg

Segurança de Redes


Fonte Imagem: http://support.dell.com/support/edocs/network/BroadCom/R230837/bp/wntopt06.gif

Segurança de Redes


Fonte imagem: http://yotta.blog.br/wp-content/uploads/2012/04/vlan-trunk.png

http://yotta.blog.br/wp-content/uploads/2012/04/vlan-trunk.png






Referências


Referências

• COELHO, Flávia Estélia Silva. Gestão da Segurança da Informação. Versão 1.0.0. Escola Superior de Redes – RNP: 2010.

• ABNT. ABNT NBR ISSO/IEC 27001. Tecnologia da Informação. Técnicas de Segurança. Sistemas de Gestão de Segurança da Informação. Requisitos. Primeira Edição 31.03.2006. ABNT: 2006.

• ABNT. ABNT NBR ISSO/IEC 27002. Tecnologia da Informação. Técnicas de Segurança. Códigos de práticas para a gestão da segurança da informação. Primeira Edição 31.08.2005. ABNT: 2005.

• PILLOU, Jean-François. VLAN – Redes Virtuais. Disponível em http://pt.kioskea.net/contents/internet/vlan.php3 acesso em 01/12/2012.

• VLAN. Disponível em http://www.gta.ufrj.br/grad/02_2/vlans/tipos_vlans.html acesso em 01/12/2012.

• STALLINGS, William. Criptografia e segurança de redes. 4. ed. São Paulo: Pearson Prentice Hall, 2008.

• FECHINI, Joseana Macêdo. Segurança da Informação. Disponível em http://www.dsc.ufcg.edu.br/~joseana/Criptografia-SI.html .

• BRAGA, Hugo Rodrigo. HISTÓRIA DA CRIPTOLOGIA – Antiguidade. Disponível em http://www.hu60.com.br/assuntos/criptologia.php .

• Lima, Marcelo. Nakamura, Emílio. Segurança de Redes e Sistemas. Versão 1.1.0. Escola Superior de Redes RNP:2007.


http://pt.kioskea.net/contents/internet/vlan.php3 acesso em 01/12/2012

http://pt.kioskea.net/contents/internet/vlan.php3 acesso em 01/12/2012

http://www.gta.ufrj.br/grad/02_2/vlans/tipos_vlans.html

http://www.gta.ufrj.br/grad/02_2/vlans/tipos_vlans.html

http://www.dsc.ufcg.edu.br/~joseana/Criptografia-SI.html



http://www.hu60.com.br/assuntos/criptologia.php

Referências

• FOROUZAN, Behrouz A. Comunicação de dados e redes de computadores. 4. ed. São Paulo: McGraw-Hill, 2008.

• KUROSE, Jim F. ROSS, Keith W. Redes de Computadores e a Internet. Uma nova abordagem. 3. ed. São Paulo: Addison Wesley, 2006.

• TANENBAUM, Andrew S. Redes de computadores. 3. Ed. Rio de Janeiro: Campus, 1997.

• COMER, Douglas E. Internetworking with TCP/IP. Principal, Protocolos, and Architecture. 2.ed. New Jersey: Prantice Hall, 1991. v.1.

• OPPENHEIMER, Priscilla. Projeto de Redes Top-down. Rio de Janeiro: Campus, 1999.

• GASPARINNI, Anteu Fabiano L., BARELLA, Francisco Rogério. TCP/IP Solução para conectividade. São Paulo: Editora Érica Ltda., 1993.

• Laufer, Rafael P. et. al. Negação de Serviço: Ataques e Contramedidas. Disponível em http://www.gta.ufrj.br/ftp/gta/TechReports/LMVB05a.pdf acesso em 01/02/2012.


http://www.gta.ufrj.br/ftp/gta/TechReports/LMVB05a.pdf

http://www.gta.ufrj.br/ftp/gta/TechReports/LMVB05a.pdf

Referências

• SPURGEON, Charles E. Ethernet: o guia definitivo. Rio de Janeiro: Campus, 2000.

• SOARES, Luiz Fernando G. Redes de Computadores: das LANs, MANs e WANs às redes ATM. Rio de Janeiro: Campus, 1995.

• CARVALHO, Tereza Cristina Melo de Brito (Org.). Arquitetura de Redes de Computadores OSI e TCP/IP. 2. Ed. rev. ampl. São Paulo: Makron Books do Brasil, Brisa; Rio de Janeiro: Embratel; Brasília, DF: SGA, 1997.

• COMER, Douglas E. Interligação em rede com TCP/IP. 2. Ed. Rio de Janeiro: Campus, 1998. v.1.

• ARNETT, Matthen Flint. Desvendando o TCP/IP. Rio de Janeiro: Campus, 1997. 543 p.

• ALVES, Luiz. Comunicação de dados. 2. Ed. rev. ampl. São paulo: Makron Books do Brasil, 1994.


redes de computadores -...

Documents