redes de computadores -...

Segurança de Redes de Computadores

Ricardo José Cabeça de Souza

www.ricardojcsouza.com.br

[email protected]

http://www.ricardojcsouza.com.br/

mailto:[email protected]

Segurança da Informação

• Segurança do Computador – Conjunto de ferramentas projetadas para proteger

dados e impedir ataques

• Ataques – Passivos

– Ativos

• Mecanismo de Segurança – Qualquer processo (ou dispositivo incorporado ao

processo) projetado para detectar, impedir ou permitir a recuperação de um ataque à segurança

www.ricardojcsouza.com.br [email protected]


• Serviços de Segurança

– Incluem:

• Autenticação

• Controle de acesso

• Confidencialidade de dados

• Integridade de dados

• Irretratabilidade

• Disponibilidade



• Segurança de Redes

– Proteger os dados durante a transmissão

• Redes de Computadores

– Conjunto de redes interconectadas

– Inter-redes

– Segurança inter-redes



• Arquitetura de Segurança OSI(Open Systems Interconnection)

– Recomendação X.800 da ITU-T(International Telecommunication Union – Telecommunication Standardization Sector)

– Enfoca ataques, mecanismos e serviços de segurança



• Arquitetura de Segurança OSI(Open Systems Interconnection) – Ataques à segurança

• Qualquer ação que comprometa a segurança da informação pertencente a uma organização

– Mecanismo de segurança • Processo (ou dispositivo incorporado ao processo) que é projetado

para detectar, impedir ou permitir a recuperação de um ataque à segurança

– Serviço de segurança • Serviço de processamento ou comunicação que aumenta a

segurança dos sistemas de processamento de dados e as transferências de informação de uma organização

• Servem para frustrar ataques à segurança



• Ameaças e Ataques (RFC 2828) • Ameaça

– Potencial para violação da segurança quando há uma circunstância, capacidade, ação ou evento que pode quebrar a segurança e causar danos

– Possível perigo

• Ataque – Derivado de uma ameaça inteligente – Ato inteligente que é uma tentativa deliberada de

burlar os serviços de segurança e violar a política de segurança de um sistema



• Ataques à Segurança - Ataques Passivos – Possuem a natureza de bisbilhotar ou monitorar

transmissões

– Objetivo: obter informações que estão sendo transmitidas

– São difíceis de detectar

– Tipos: • Liberação de Conteúdo

– Leitura

• Análise de tráfego – Lê e observa padrões



• Ataques à Segurança - Ataques Passivos



• Ataques à Segurança - Ataques Passivos


Fonte da Imagem: http://www.juliobattisti.com.br/tutoriais/paulocfarias/redeswireless034_clip_image001.jpg

• Ataques à Segurança - Ataques Ativos – Envolve a modificação do fluxo de dados ou a criação

de um fluxo falso

– Tipos: • Disfarce

– Entidade finge ser uma entidade diferente

• Repetição – Captura passiva de uma unidade de dados e a subsequente

retransmissão para produzir um efeito não autorizado

• Modificação da Mensagem – Parte da mensagem legítima é alterada

• Negação do Serviço – Impede ou inibe o uso ou gerenciamento normal das

comunicações

Segurança de Informação www.ricardojcsouza.com.br [email protected]

• Ataques Ativos



• Ataques à Segurança - Ataques Ativos


Fonte da Imagem: http://www.juliobattisti.com.br/tutoriais/paulocfarias/redeswireless034_clip_image002.jpg

• Serviços de Segurança

– Recomendação X.800

• Security Architecture for Open Systems Interconnection for ITU-T(International Telecommunication Union – Telecommunication Standardization Sector)

– Define serviço de segurança como um serviço fornecido por uma camada de protocolo de comunicação de sistemas abertos

– Garante segurança adequada dos sistemas ou da transferência dos dados

– Divide os serviços em cinco categorias


• Autenticação

– Assegurar que a comunicação é autêntica

– A entidade se comunicando é aquela que ela afirma ser

– Serviços de autenticação:

• Autenticação de entidade par – Provê a confirmação da identidade de uma entidade par de

uma associação

• Autenticação da origem de dados – Provê a confirmação da origem de uma unidade de dados


• Controle de Acesso

– Capacidade de limitar e controlar o acesso aos sistemas e aplicações hospedeiras por meio de enlaces de comunicação

– Impedimento de uso não autorizado de um recurso


• Confidencialidade

– Proteção dos dados contra divulgação não autorizada

– Proteção contra ataques passivos

• Confidencialidade da Conexão

– Proteção dos dados do usuário em uma conexão

• Confidencialidade sem conexão

– Proteção dos dados do usuário em um único bloco

• Confidencialidade por campo selecionado

– Confidencialidade em determinados campos selecionados dentro dos dados do usuário

• Confidencialidade de fluxo

– Proteção da informação que poderiam ser derivadas da observação dos fluxos de tráfego


• Integridade dos Dados

– Proteção total do fluxo de dados contra alterações

– Garante mensagem ser recebida conforma enviada, sem duplicações, inserção, modificação ou repetição


• Irretratabilidade – Impede que o emissor ou receptor negue uma

mensagem transmitida

– Quando a mensagem é enviada, o receptor pode provar que o emissor alegado de fato enviou a mensagem

– Proteção contra negação, por parte da entidades envolvidas em uma comunicação, de ter participado de toda ou em parte da comunicação

– Origem • Prova que a mensagem foi enviada pela parte especificada

– Destino • Prova que a mensagem foi recebida pela parte especificada


• Serviço de Disponibilidade

– Propriedade do sistema ou de um recurso ser acessível e utilizável sob demanda por uma entidade autorizada do sistema

– Protege o sistema para garantir disponibilidade


• Mecanismos de Segurança Específicos – Usado para detectar, prever ou recuperar a

informação após um ataque à segurança

– Implementados em camadas específicas do protocolo


• Mecanismos de Segurança Específicos – Cifragem

• Uso de algoritmos matemáticos para transformar os dados em um formato que não seja decifrável

– Assinatura Digital • Dados anexados a uma unidade de dados que permite

que um destinatário da unidade de dados comprove a origem e a integridade da unidade de dados e proteja-se contra falsificação

– Controle de Acesso • Série de mecanismos que impõe direitos de acesso a

recursos


• Mecanismos de Segurança Específicos – Integridade de Dados

• Série de mecanismos utilizados para garantir a integridade de dados ou fluxo de dados

– Troca de Informações de Autenticação • Mecanismo com o objetivo de garantir a identificação

de uma entidade por meio da troca de informações

– Preenchimento de Tráfego • Inserção de bits nas lacunas de um fluxo de dados para

frustrar as tentativas de análise de tráfego


• Mecanismos de Segurança Específicos –Controle de Roteamento

• Permite a seleção de determinadas rotas fisicamente seguras para certos dados e permitem mudanças de roteamento

–Certificação • Uso de uma terceira unidade confiável para garantir

certas propriedades de uma troca de dados



• Mecanismos de Segurança Pervasivos

– Mecanismos que não são específicos a qualquer serviço de segurança ou camada de protocolo

– Funcionalidade Confiável

• Considerada como sendo correta em relação a alguns critérios

– Rótulo de Segurança

• Marcação vinculada a um recurso que nomeia ou designa os atributos de segurança desse recurso



• Mecanismos de Segurança Pervasivos – Detecção de Evento

• Detecção de eventos relevantes à segurança

– Registros de Auditoria de Segurança • Dados coletados e potencialmente utilizados para

facilitar uma auditoria de segurança

– Recuperação de Segurança • Lida com solicitações de mecanismos como funções de

tratamento e gerenciamento de eventos e toma mediadas de recuperação


• Modelo para Segurança de Redes

– Projetar algoritmo para realizar a transformação relacionada à segurança

– Gerar a informação secreta (chave) a ser usada com o algoritmo

– Desenvolver métodos de distribuição e compartilhamento das informações

– Especificar protocolo a ser usado pela entidades



– Mensagem deve ser transferida de uma parte para outra da rede por meio de algum tipo de inter-rede


• CRIPTOGRAFIA

– Conjunto de técnicas que permitem tornar “incompreensível” uma mensagem originalmente escrita com clareza, de forma a permitir que apenas o destinatário a decifre e a compreenda


• Criptoanálise

– do grego kryptos + análysis (decomposição) - ciência que estuda a decomposição do que está oculto ou a “quebra” do sistema criptográfico

• Ataque de Força Bruta

– Atacante experimenta cada chave possível em um trecho de texto cifrado até obter a tradução inteligível para o texto claro

• Criptologia

– Criptografia + Criptoanálise


• Pré-requisitos da Criptografia

– Teoria de Números

– Matemática Discreta

– Teoria da Informação

– Teoria de Probabilidade

– Complexidade Computacional

– Processamento de Sinais


• Terminologia Básica de Criptografia – Texto Claro (Plain Text)

• Mensagem ou dados originais, inteligíveis, alimentados no algoritmo como entrada

– Algoritmo de Criptografia • Realiza diversas substituições e transformações no texto

claro

– Chave Secreta • Também é entrada para o algoritmo criptográfico

• Valor independente do texto claro

• Substituições e transformações realizadas pelo algoritmo dependem da chave

• Segredo por meio do qual a mensagem pode ser cifrada ou decifrada


• Terminologia Básica de Criptografia

– Texto Cifrado

• Mensagem embaralhada, produzida como saída

• Depende do texto claro, do algoritmo e da chave

• Fluxo de dados aparentemente aleatório e, nesse formato, ininteligível

– Algoritmo de Decriptografia

• Algoritmo de criptografia executado de modo inverso

• Toma o texto cifrado e a chave secreta e produz o texto original



• Modelo de Cifra Simétrica


Fonte da Imagem: http://t0.gstatic.com/images?q=tbn:ANd9GcTgkbhPbeEYGT3hha1Yqr13gGecPKFGKJ-uicu9qImfHSvnU_uy


• Modelo de Cifra Assimétrica


Fonte da Imagem: http://www.bpiropo.com.br/graficos/FPC20071203_2.jpg

• Fases da Evolução da Criptografia

– Criptografia manual

– Criptografia por máquinas

– Criptografia em rede


• Criptografia Manual

– A criptografia era feita manualmente através de algum processo predeterminado

– Exemplos:

• Mesopotâmia

• Cifras Hebraicas

• Bastão de Licurgo

• Crivo de Erastótenes

• Código de Políbio

• Código de César


• 1500 a.C.

– O primeiro registro do uso da criptografia nesta região está numa fórmula para fazer esmaltes para cerâmica

– O tablete que contém a fórmula tem apenas cerca de 8 cm x 5 cm e foi achado às margens do rio Tigre

– Usava símbolos especiais que podem ter vários significados diferentes. (Kahn)


• 600 a 500 a.C. – Escribas hebreus, escrevendo o livro de

Jeremias, usaram a cifra de substituição simples pelo alfabeto reverso conhecida como ATBASH

– As cifras mais conhecidas da época são o ATBASH, o ALBAM e o ATBAH, as chamadas cifras hebraicas. (Kahn)

• ATBASH – A primeira letra do alfabeto hebreu

(Aleph) é trocada pela última (Taw), a segunda letra (Beth) e trocada pela penúltima (Shin) e assim sucessivamente

– Destas quatro letras deriva o nome da cifra: Aleph Taw Beth SHin - ATBASH


• 487 a.C. - Bastão de Licurgo

– O remetente escreve a mensagem ao longo do bastão e depois desenrola a tira, a qual então se converte numa sequência de letras sem sentido

– O mensageiro usa a tira como cinto, com as letras voltadas para dentro

– O destinatário, ao receber o "cinto", enrola-o no seu bastão, cujo diâmetro é igual ao do bastão do remetente

– Desta forma, pode ler a mensagem


• Crivo de Erastótenes

– Erastótenes de Cirene, filósofo e geômetra grego, viveu de 276 a.C. a 194 a.C

– Um método simples e prático para encontrar números primos até um certo valor limite


• Crivo de Erastótenes - ± 240 a.C – Determinar maior número a ser

checado (raiz do valor limite arredondado para baixo. (Ex: Raiz[20]=4,4721.. 4)

– Criar lista todos inteiros acima 1 até o limite (20)

– Encontrar o primeiro primo da lista (2) – Remover todos os múltiplos do primo

encontrado – Encontre o próximo da lista e repita a

operação – Os números que não estiverem

eliminados são os números primos – Exemplo: Determinar os primos

menores ou igual a 20


• Código de Políbio - ± 150 a.C – Cada letra é representada pela combinação de

dois números, os quais se referem à posição ocupada pela letra

– Desta forma, A é substituído por 11, B por 12...,

– A mensagem pode ser transmitida com dois grupos de 5 tochas

– Por exemplo, a letra E é transformada em 1 e 5 e pode ser transmitida com 1 tocha à direita e 5 à esquerda

– Um sistema de telecomunicação - um telégrafo ótico


• Código de Políbio - ± 150 a.C


• Código de César- 50 a.C.

– Cada letra da mensagem original é substituída pela letra que a seguia em três posições no alfabeto: a letra A substituída por D, a B por E, e assim até a última letra, cifrada com a primeira

– Único da antiguidade usado até hoje, apesar de representar um retrocesso em relação à criptografia existente na época

– Denominação atual para qualquer cifra baseada na substituição cíclica do alfabeto: Código de César


• Código de César- 50 a.C.

• A cifra ROT13, que surgiu em 1984 na USENET, baseia-se

numa substituição na posição 13 (A por N, B por O, etc)


• Criptografia por Máquinas – Uma tabela predeterminada era usada em

conjunto com uma máquina, em que o operador desta, usando a tabela e manipulando a máquina, podia enviar uma mensagem criptografada

– Exemplos de máquinas de criptografia: • O Cilindro de Jefferson

• O Código Morse

• O Código Braille

• O Código ASCII

• A Máquina Enigma

• A Máquina Colossus


• O cilindro de Jefferson (Thomas Jefferson, 1743-1826) – Na sua forma original, é composto por

26 discos de madeira que giram livremente ao redor de um eixo central de metal

– As vinte e seis letras do alfabeto são inscritas aleatoriamente na superfície mais externa de cada disco de modo que, cada um deles, possua uma sequência diferente de letras

– Girando-se os discos pode-se obter as mensagens


• Samuel Morse (1791-1872)

– Desenvolveu o código que recebeu o seu nome

– Na verdade não é um código, mas sim um alfabeto cifrado em sons curtos( . ) e longos( - )

– Morse também foi o inventor do telégrafo


• Código Morse (1791-1872)


• Louis Braille (1809-1852)

– O Código Braille consiste de 63 caracteres, cada um deles constituído por 1 a 6 pontos dispostos numa matriz ou célula de seis posições

– O Sistema Braille é universalmente aceito e utilizado até os dias de hoje


• Código Braille (1809-1852)


• Código ASCII – Gottfried Wilhelm von Leibniz (1646-1716)

inventou o cálculo diferencial e integral, a máquina de calcular e descreveu minuciosamente o sistema binário

– Sua máquina de calcular usava a escala binária

– Esta escala, obviamente mais elaborada, é utilizada até hoje e é conhecida como código ASCII (American Standard Code for Information Interchange)

– Permitiu que máquinas de diferentes fabricantes trocassem dados entre si


• Código ASCII


• Máquina Enigma (1919)

– Máquina cifradora baseada em rotores

– Foi um dos segredos mais bem guardados na Segunda Grande Guerra, usada pelos Alemães para proteger as comunicações entre o comando e as embarcações navais


• 1940 (Alan Turing e sua equipe) Heath Robinson

– Construção do primeiro computador operacional para o serviço de inteligência britânico

– Utilizava tecnologia de relés e foi construído especificamente para decifrar mensagens alemãs (durante a Segunda Guerra Mundial) cifradas pela máquina Enigma


• 1943 – Alan Turing

– Desenvolvem uma nova máquina para substituir o Heath Robinson – Colossus


Referências

• STALLINGS, William. Criptografia e segurança de redes. 4. ed. São Paulo: Pearson Prentice Hall, 2008.

• FECHINI, Joseana Macêdo. Segurança da Informação. Disponível em http://www.dsc.ufcg.edu.br/~joseana/Criptografia-SI.html .

• BRAGA, Hugo Rodrigo. HISTÓRIA DA CRIPTOLOGIA – Antiguidade. Disponível em http://www.hu60.com.br/assuntos/criptologia.php .

• Lima, Marcelo. Nakamura, Emílio. Segurança de Redes e Sistemas. Versão 1.1.0. Escola Superior de Redes RNP:2007.

• MEDEIROS, Carlos Diego Russo. SEGURANÇA DA INFORMAÇÃO: Implantação de Medidas e Ferramentas de Segurança da Informação. Universidade da Região de Joinville – UNIVILLE, 2001.

• NIC BR Security Office. Cartilha de Segurança para Internet. Parte VII: Incidentes de Segurança e Uso Abusivo da Rede. Versão 2.0, 2003.

• NIC BR Security Office. Cartilha de Segurança para Internet. Parte II: Riscos Envolvidos no Uso da Internet e Métodos de Prevenção. Versão 2.0, 2003.

• FOROUZAN, Behrouz A. Comunicação de dados e redes de computadores. 4. ed. São Paulo: McGraw-Hill, 2008.


http://www.dsc.ufcg.edu.br/~joseana/Criptografia-SI.html



http://www.hu60.com.br/assuntos/criptologia.php

http://www.hu60.com.br/assuntos/criptologia.php

redes de computadores -...

Documents