segurança de redes de computadoressegurança de redes •segurança camada rede –tipo de vlan...

Segurança de Redes de Computadores

Ricardo José Cabeça de Souza

www.ricardojcsouza.com.br

[email protected]

http://www.ricardojcsouza.com.br/

mailto:[email protected]

Camada Rede

• CAMADA INTER-REDE (REDE) – Controla as operações da sub-rede

– Efetua operações de funções características: • Mapeamento entre endereços de rede e endereços de

enlace

• Endereçamento - Utilização de endereços para identificação de usuários de

forma não-ambígua

• Roteamento

• Estabelece e libera conexões de rede

• Detecção e recuperação de erros

www.ricardojcsouza.com.br [email protected]

Arquitetura TCP/IP www.ricardojcsouza.com.br [email protected]

Host A

Transporte

Inter-rede

Interface

de Rede

Aplicação

Rede Física 1

Intra-Rede

Host B

Transporte

Inter-rede

Interface

de Rede

Aplicação

Rede Física 2

Intra-Rede

Inter-rede

Interface

de Rede Interface

de Rede

Gateway

Pacote Idêntico

Mensagem Idêntica

Quadro

Idêntico

Datagrama

Idêntico

Quadro

Idêntico

Datagrama

Idêntico

Camadas Conceituais da Arquitetura Internet TCP/IP

Camada Rede

• CAMADA INTER-REDE (REDE) – Efetua operações de funções características:

• Sequenciação

• Controle de congestionamento

• Seleção de qualidade de serviço - Especificação de parâmetros para garantir nível de qualidade

de serviço (taxa de erro, disponibilidade do serviço, confiabilidade, throughput (vazão), atraso, etc.)

• Multiplexação da conexão de rede - Várias conexões de rede em uma conexão de enlace


Camada Rede

• Camada Rede (Internet)

– Datagrama IP


VERS (4 bits): Versão do protocolo IP em uso. Por exemplo: IPv4 = 4. HLEN (4 bits): Tamanho do header do datagrama em 32 bits ou 4 bytes. Em geral possui 20 bytes: HLEN = 5. SERVICE TYPE ou TOS (TYPE OF SERVICE) (8 bits) – SERVIÇOS DIFERENCIADOS – Bits de Precedência (3) e Bits TOS (4). Precedência nunca foi usado. TOS de acordo com a tabela. TOTAL LENGTH: Tamanho total do datagrama em bytes. IDENTIFICATION: Identifica o datagrama fragmentado para associar estes fragmentos quando da remontagem no destino. FRAGMENT OFFSET: Posição do Fragmento no datagrama original, sendo que o primeiro Fragmento tem este campo = 0. Os demais, o número_byte / 8, assim sucessivamente. FLAGS: Bit 1 (MF) – More Fragments (fragmento intermediário). Bit 2 (DF) – Don’t Fragment (não pode ser fragmentado). Bit 3 (RES) – Reserved (sem uso). TIME TO LIVE (TTL): Indica o tempo de vida que resta a um datagrama (originalmente em segundos); na prática, uma unidade é descontada em cada roteador. Hoje se utiliza o número de saltos (hops). PROTOCOL: Indica qual protocolo cujas informações estão sendo encapsuladas no campo DATA do datagrama (ex.: TCP = 6, UDP = 17, ICMP = 1). HEADER CHECKSUM: Garantia da integridade apenas do Header e não do campo DATA. SOURCE IP ADDRESS: Endereço IP de origem. DESTINATION IP ADDRESS: Endereço IP de destino. IP OPTIONS: Opções para operações especiais no tratamento dos datagramas. PADDING: Possibilita arredondamento do tamanho do Header IP para um valor múltiplo de 4 bytes, já que o campo HLEN utiliza esta unidade. DATA: Dados encapsulados do protocolo que faz uso deste datagrama IP para entrega de seus “dados” a seu “destino”.

Camada Rede

• ENDEREÇAMENTO IP – O roteamento dos datagramas através das sub-

redes são feitos baseados no seu endereço IP

– Números de 32 bits (4 bytes) normalmente escritos com quatro octetos (em decimal)

– 232 endereços possíveis • Exemplo:

191.179.12.66

– Cada parte pode variar de 0 a 255


Camada Rede

• ENDEREÇAMENTO IP

– O endereço IP, com seus 32 bits, torna-se demasiado grande para a notação decimal

– Utilizada a notação decimal pontuada (separada por pontos)

– Os 32 bits são divididos em quatro grupos de 8 bits cada

– Exemplo:


Camada Rede

• ENDEREÇAMENTO IP

– O endereço IP é constituído basicamente de dois campos :

• netid: identifica a Rede a qual este host pertence;

• hostid: identifica o host na Rede.

– Máquinas dentro do mesmo NetId devem ter HostIds diferentes


Camada Rede • Regulamentação para Atribuição de

Endereços – No mundo

• IANA (Internet Assigned Numbers Authority) delegou ao ICANN (Internet Corporation for Assigned Names and Numbers) controle numeração desde 1998

– América Latina - Registro Regional de Endereçamento IP para América

Latina e Caribe (LACNIC)

www.lacnic.net

- No Brasil - registro.br (Comitê Gestor da Internet no Brasil - 1995)

www.registro.br


http://www.lacnic.net/

http://www.registro.br/

Camada Rede • Controle Endereços


Endereçamento IP www.ricardojcsouza.com.br [email protected]

Endereçamento IP

Classe do

endereço

Primeiro endereço

de rede

Último endereço

de rede

Classe A 1.0.0.0 126.0.0.0


Endereçamento IP

Classe do

endereço

Primeiro

endereço de rede

Último endereço de

rede

Classe B 128.0.0.0 191.255.0.0


Endereçamento IP

Classe do endereço Primeiro

endereço de rede

Último endereço de

rede

Classe C 192.0.0.0 223.255.255.0


Endereçamento IP

• Rede Interna

– Norma escrita pelo IANA (Internet Assigned Numbers Authority) recomenda o uso dos seguintes endereços para rede interna:

– Classe A: 10.0.0.0 até 10.255.255.255

– Classe B: 172.16.0.0 até 172.31.255.255

– Classe C: 192.168.0.0 até a 192.168.255.255


Endereçamento IP

• RESTRIÇÕES DE ENDEREÇOS

– O número zero significa a rede corrente

– O número 127.0.0.1 é um endereço de teste (loopback)

– O número 255 representa todos os hosts

– Os NetId de 224 a 254 estão reservados para protocolos especiais e não devem ser usados


Endereçamento IP

• MÁSCARA DA SUB-REDE

– Indica como separar o NetId do HostId, especificada em nível de bits

• Máscara das Sub-Redes Padrões

– Classe A: 255.0.0.0

– Classe B: 255.255.0.0

– Classe C: 255.255.255.0


Segurança de Redes

• Segurança Camada Rede – Tipo de VLAN

• VLAN de nível 3 – Distinguem-se vários tipos de VLAN de nível 3

• VLAN por sub-rede (em inglês Network Address-Based VLAN) – Associa sub-redes de acordo com o endereço IP fonte dos

datagramas – Este tipo de solução confere uma grande flexibilidade, na medida

em que a configuração dos comutadores se altera automaticamente no caso de deslocação de uma estação

– Por outro lado, uma ligeira degradação de desempenhos pode fazer-se sentir, dado que as informações contidas nos pacotes devem ser analisadas mais finamente


Segurança de Redes

• VLAN por sub-rede (em inglês Network Address-Based VLAN)


Endereçamento IP

• CRIAÇÃO DE SUB-REDES

– Criar sub-redes eficientes, que reflitam as necessidades de sua rede, requer três procedimentos básicos:

• 1°. Determinar o número de bits de host a serem usados para sub-redes

• 2º. Listar as novas identificações de sub-redes

• 3º. Listar os endereços IPs para cada nova identificação de sub-rede

• 4º. Definição da Máscara da Sub-Rede


Segurança de Redes

• Segurança Camada Rede

– Tipo de VLAN

• VLAN de nível 3 - VLAN por protocolo (em inglês Protocol-Based VLAN) – Permite criar uma rede virtual por tipo de protocolo (por

exemplo TCP/IP, IPX/SPX, AppleTalk, etc.)

– Agrupa todas as máquinas que utilizam o mesmo protocolo numa mesma rede


Segurança de Redes

• VLAN de nível 3 - VLAN por protocolo (em inglês Protocol-Based VLAN)


Segurança de Redes

• IP Spoofing – Consiste basicamente em alterar o endereço origem em

um cabeçalho IP

– Simples programação em Sockets pode nos ensinar como fazer isso

– Existem várias técnicas utilizadas: • Blind Spoof

• Non Blind Spoof

• DNS Spoof

• ARP Spoof

– Ataque usado por Kevin Mitnick(dez/1994) a rede particular de Tsutomo Shimomura (Especialista Segurança)


Segurança de Redes

• Blind Spoofing

– Consiste basicamente em se predizer os números de sequência(ISN) utilizado no Three-way handshaking (Camada Transporte) e utilizá-los na exploração de serviços r*(rlogind, rshd, rexecd)


Protocolo TCP/IP

• Camada Transporte

– TCP (Transmission Control Protocol)

• Estabelecimento da Conexão – Three-way handshaking

– Processo começa no servidor, informando ao TCP que está pronto para aceitar uma conexão (abertura passiva)

– Programa cliente envia uma solicitação de abertura ativa


Protocolo TCP/IP • Estabelecimento da Conexão TCP

– Three-way handshaking


1. Cliente transmite SYN, usando um número de sequência gerado randomicamente. 2. Servidor transmite um segmento SYN com seu número de sequência + ACK com o número de confirmação 3. Cliente transmite um segmento ACK com o número de confirmação e o seu próximo número de sequência. Está estabelecida a conexão. Os dados já podem ser transmitidos.

Protocolo TCP/IP • Encerrando Conexão TCP

– Three-way handshaking


1. Cliente transmite FIN com um número de sequência. 2. Servidor transmite um segmento FIN com seu número de sequência + ACK com o número de confirmação 3. Cliente transmite um segmento ACK com o número de confirmação.

Segurança de Redes

• Non Blind Spoofing – Semelhante ao Blind Spoofing, só que não é feito “às

cegas"(Blind)

– O atacante já obteve acesso a um sistema no meio das conexões alvos(hosts de confiança) e ele passa a analisar o tráfego e com base na análise feita através de um sniffer, ele é capaz de "sequestrar" a conexão

– Esta técnica também recebe nomes variados como IP Hijacking, e também costumam se referir a ela com Man-in-the-middle


Segurança de Redes

• DNS Spoofing – Um servidor de DNS(Domain Name Server) é o

responsável por associar um determinado IP a um determinado nome de host

– Um atacante pode se utilizar disso de várias formas, desde usar técnicas de man-in-the-middle(invadindo um server no meio do caminho) até mesmo utilizando problemas no protocolo DNS(UDP/53)

– Existe um campo no cabeçalho DNS responsável pela ID que pode ser atacado como se ataca um cache, enviando múltiplas requisições até entupir a pilha

– Este tipo de ataque também é conhecido como DNS Cache Spoof


Segurança de Redes

• IP Spoofing – Como Prevenir

– É necessário criar uma Access-List(ACL) no roteador que está conectado a Internet (Ingress Filtering)

– Nunca um IP privado, de uso específico ou seu próprio IP, deve ser aceito como tráfego inbound na interface outside de um roteador conectado a Internet


Fonte imagem: http://www.brainwork.com.br/blog/wp-content/uploads/2008/11/image1.png

Segurança de Redes

• Firewall – Uma barreira de proteção, que controla o tráfego de

dados entre seu computador e a Internet (ou entre a rede onde seu computador está instalado e a Internet)

– Pontos de conexão entre duas redes não confiáveis que permitem que a comunicação entre elas seja monitorada e segura

– Objetivo: permitir somente a transmissão e a recepção de dados autorizados

– Existem firewalls baseados na combinação de hardware e software e firewalls baseados somente em software


Segurança de Redes


Segurança de Redes

• Firewall

– São localizados entre uma organização e o mundo externo (Internet)

– Também podem ser utilizados dentro de uma organização, com a finalidade de isolar diferentes domínios de segurança (também chamados de domínios administrativos)

• Um domínio de segurança consiste em um conjunto de máquinas sobre um controle administrativo comum, com políticas e níveis de segurança comuns


Segurança de Redes

• Firewall – Podem ser implementados através de um

roteador, um PC (personal computer) com software especial, um sistema UNIX com esta capacidade ou um conjunto de hosts, todos configurados especificamente para proteger um site ou uma sub-rede de protocolos e serviços não confiáveis

– Soluções encontradas podem ser tanto baseadas em hardware quanto em software ou ambas


Segurança de Redes

• Firewall – Tecnologias de projeto de firewall: a tradicional

(ou estática) e a dinâmica • Firewalls estáticos: o principal propósito (política) é

permitir qualquer serviço a menos que ele seja expressamente negado ou negar qualquer serviço a menos que ele seja expressamente permitido

• Firewall dinâmico: irá permitir ou negar qualquer serviço para quando e por quanto tempo for desejado

– Firewall apresenta habilidade de se adaptar ao tráfego e projeto da rede


Segurança de Redes

• Firewall – Um firewall consiste, de maneira geral, dos seguintes

componentes: • filtro: também chamado de screen ou screening router,

bloqueia a transmissão de certas classes de tráfego, protegendo a rede interna contra ameaças

• gateway: máquina ou conjunto de máquinas que oferece serviços através de proxy

– A rede inabitada por este componente é chamada de Zona Desmilitarizada (DMZ - Demilitarized Zone) ou rede perimetral ou Rede de Perímetro

– Muitas vezes, um gateway nesta zona é auxiliado por um gateway interno


Segurança de Redes

• Firewall


Segurança de Redes

• Firewall

– Uma máquina gateway exposta é frequentemente chamada de bastion host

– Existem três tipos principais de firewalls

• packet filtering

• application-level gateway

• circuit-level gateway

– Na prática, mais de um tipo é usado ao mesmo tempo


Segurança de Redes

• Packet Filtering – Sistemas packet filtering roteiam pacotes entre hosts

internos e externos de maneira seletiva

– Eles permitem ou bloqueiam certos tipos de pacotes, refletindo a política de segurança adotada pelo site

– Pacotes permitidos são roteados para o destino, ao passo que pacotes não permitidos ou suspeitos são descartados ou manipulados (ferramentas de rastreamento)

– O tipo de roteador utilizado nestes sistemas é conhecido como screening router


Segurança de Redes

• Packet Filtering

– sistemas packet filtering devem apresentar as seguintes características:

• filtragem baseada nos endereços fonte e destino, nas portas fonte e destino, no protocolo, nos flags e/ou no tipo de mensagem

• filtragem realizada quando o pacote está chegando, quando o pacote está saindo ou ambos

• habilidade de desabilitar reprogramação a partir da rede, ou qualquer outra localização que não o console


Segurança de Redes



Segurança de Redes

• Sistemas packet filtering são úteis na definição de regras do tipo: – bloqueio todas as conexões oriundas de sistemas

localizados fora da rede interna • Exceto para conexões SMTP (simple mail transport protocol) que

chegam (ou seja, permita apenas o recebimento de mails) • Permita serviços FTP (file transfer protocol) e telnet • Bloqueio outros serviços tais como TFTP (trivial file transfer

protocol) e RPC (remote procedure call)

– Pelo simples fato de que certos serviços Internet residem em certos números de porta, isto permite que screening routers bloqueiem ou permitam certos tipos de conexão simplesmente especificando-se o número da porta • Por exemplo, porta 23 para conexões telnet


Segurança de Redes

• Configurar um packet filtering consiste em um processo de três passos:

– Determinar o que deve e o que não deve ser permitido (política de segurança)

– Especificar formalmente os tipos de pacotes permitidos, em termos de expressões lógicas (regras)

– Reescrever estas expressões de acordo com o produto utilizado


Segurança de Redes

• Suponha que a política de segurança de um site determine que todo o tráfego IP entre um host externo conhecido (endereço IP 172.161.51.50) e os hosts da rede interna (endereço IP 192.168.10) seja permitido – interno = 192.168.10.0

• As seguintes regras são derivadas:

between host 172.161.51.50 e net 192.168.10 accept; between host any and host any reject;


Segurança de Redes

• Application-Level Gateway – É um host que executa aplicações especiais, chamadas

proxy, as quais são responsáveis pela propagação de serviços para dentro da rede protegida

– O controle do tráfego entre a rede interna e a rede externa não confiável (como exemplo, Internet) é efetuado em nível de aplicação através de código especialmente escrito para cada serviço a ser disponibilizado, segundo requisitos próprios de segurança

– Somente serviços que possuam proxy conseguem passar pelo gateway


Segurança de Redes

• A principal funcionalidade de um application-level gateway é a sua capacidade de controlar todo tráfego entre a rede interna e a rede externa

• Permite um completo monitoramento do sistema, o qual pode gerar informações sobre o uso de serviços e seu posterior armazenamento em um arquivo de log


Segurança de Redes

• Application-level Gateway


Segurança de Redes

• O servidor proxy é responsável por avaliar pedidos de serviços, podendo permitir ou negar tais pedidos de acordo com a política de segurança vigente

• o cliente "acredita" que está lidando diretamente com o servidor real e o servidor real "acredita" que está lidando diretamente com um usuário presente no application-level gateway


Segurança de Redes

• Circuit-Level Gateway – Circuit-level gateway possui funcionalidade semelhante a

sistemas packet filtering, mas via aplicação – Responsável pela transmissão de conexões TCP – Pode possuir controles adicionais, tais como tempo limite

de utilização de uma porta e intervalo de tempo mínimo entre subsequentes usos de uma porta

– Todo o controle de conexões é efetuado com base no endereço fonte e portas fonte e destino

– Um cliente requisita um serviço através de uma porta fonte, sendo de responsabilidade do gateway a conexão com o destino e posterior propagação de bytes entre ambos


Segurança de Redes

• Circuit-Level Gateway


Segurança de Redes

• Arquiteturas de Firewall

– packet filtering

– dual-homed host

– screened host

– screened subnet

• Obs: Não existe uma arquitetura dita universal, a qual resolve todos os problemas de segurança


Segurança de Redes


– utiliza-se exclusivamente de um roteador inteligente para proteger uma rede interna

– não requer que aplicações cliente e servidor sejam modificadas, mas é a arquitetura menos desejável como firewall


Segurança de Redes



Segurança de Redes

• Packet Filtering – desvantagens:

• uma falha de segurança do roteador compromete toda a rede interna

• o número de regras geralmente é limitado

• o desempenho pode ser comprometido em função do número de regras

• impossibilidade de modificar serviços através do tratamento de operações individuais

• complexidade de configuração e tratamento de exceções, dentre outras


Segurança de Redes

• Dual-Homed Host – é implementada através de um host que possui

duas interfaces de rede, uma para a rede interna e outra para a rede não confiável

– Este host é a única porta de entrada para a rede interna, sendo acessível tanto por hosts internos quanto externos

– a função de roteamento é desabilitada e assim pacotes não conseguem ser roteados entre as redes, garantindo o isolamento de tráfego


Segurança de Redes

• Dual-Homed Host


Segurança de Redes • Screened Host

– possui dois componentes • screening router

– atua com primeiro nível de defesa contra uma rede não confiável e é responsável por restringir conexões de hosts externos que não sejam direcionadas a um host específico, chamado bastion host (segundo componente)

– É responsável por restringir certos tipos de conexão independente do host destino, por restringir que hosts internos abram uma conexão direta com a rede externa e por permitir que o bastion host abra alguns tipos de conexão com a rede externa

• bastion host

– localizado na rede interna e portanto sem possuir interface com a rede externa

– é o único host da rede interna acessível por hosts externos

– todo o tráfego entre a rede interna e externa deve passar primeiro pelo bastion host, o qual utiliza funções em nível de aplicação para selecionar serviços (proxy)


Windows Hardening

• Screened Host


Windows Hardening

• Screened Subnet

– adiciona uma camada extra de segurança que isola a rede interna de uma rede externa não confiável

– Tal camada (DMZ - Demilitarized Zone) abriga três componentes,

• dois roteadores

• um bastion host


Windows Hardening

• Screened Subnet


Segurança de Redes

• Stateful Inspection Firewall – Combina aspectos da packet-filtering, firewall,

circuit-level gateway e do application-level gateway

– Como o packet-filtering firewall, um stateful inspection firewall opera do nível de REDE até a camada de APLICAÇÃO do modelo OSI

– Filtra todas as entradas e saídas baseadas no endereço IP de origem e destino e no número de porta de origem e destino


Segurança de Redes

• Stateful Inspection Firewall


Segurança de Redes

• Firewall do Windows

– Anteriormente conhecido como Firewall de Conexão com a Internet ou ICF

– É uma barreira protetora que monitora e restringe as informações passadas entre o seu computador e uma rede ou a Internet

– Isso fornece uma defesa contra pessoas que podem tentar acessar seu computador de fora do Firewall do Windows sem a sua permissão


Segurança de Redes

• Firewall do Windows


Segurança de Redes

• Como funciona o Firewall do Windows – Quando alguém na Internet ou em uma rede tenta se

conectar ao seu computador, essa tentativa é chamada “pedido não solicitado”

– Quando o computador recebe um pedido não solicitado, o Firewall do Windows bloqueia a conexão

– Se você executar um programa como o de mensagens instantâneas ou um jogo em rede com vários participantes que precise receber informações da Internet ou da rede, o firewall perguntará se você deseja bloquear ou desbloquear (permitir) a conexão


Segurança de Redes

• Como funciona o Firewall do Windows

– Você deverá ver uma janela semelhante a esta:


Segurança de Redes

• Firewall – Existe uma quantidade grande de soluções firewall

disponível

– Para usuários domésticos que usam o sistema Windows, um dos mais conhecidos é o ZoneAlarm, que dispõe de uma versão gratuita e outra paga, com mais recursos

– Em ambos os casos, é possível utilizar configurações pré-definidas, que oferecem bons níveis de segurança

– O site para fazer o download do software é o www.zonealarm.com


http://www.zonealarm.com/

Referências • FOROUZAN, Behrouz A. Comunicação de dados e redes de computadores.

4. ed. São Paulo: McGraw-Hill, 2008.

• CIFERRI, Cristina D. A. CIFERRI , Ricardo R. FRANÇA, Sônia V. A. Firewall.

• Lima, Marcelo. Nakamura, Emílio. Segurança de Redes e Sistemas. Versão 1.1.0. Escola Superior de Redes RNP:2007.

• MEDEIROS, Carlos Diego Russo. SEGURANÇA DA INFORMAÇÃO: Implantação de Medidas e Ferramentas de Segurança da Informação. Universidade da Região de Joinville – UNIVILLE, 2001.

• NIC BR Security Office. Cartilha de Segurança para Internet. Parte VII: Incidentes de Segurança e Uso Abusivo da Rede. Versão 2.0, 2003.

• NIC BR Security Office. Cartilha de Segurança para Internet. Parte II: Riscos Envolvidos no Uso da Internet e Métodos de Prevenção. Versão 2.0, 2003.


segurança de redes de computadoressegurança de redes •segurança camada rede –tipo de vlan...

Documents