segurança & auditoria de sistemas aula 08 eduardo silvestri

35
Segurança & Segurança & Auditoria de Auditoria de Sistemas Sistemas AULA 08 AULA 08 Eduardo Silvestri www.eduardosilvestri.com .br

Upload: gabrielly-de-lemos

Post on 07-Apr-2016

217 views

Category:

Documents


1 download

TRANSCRIPT

Page 1: Segurança & Auditoria de Sistemas AULA 08 Eduardo Silvestri

Segurança & Segurança & Auditoria de Auditoria de

SistemasSistemas

AULA 08AULA 08Eduardo Silvestriwww.eduardosilvestri.com.br

Page 2: Segurança & Auditoria de Sistemas AULA 08 Eduardo Silvestri

Contramedidas Contramedidas VPNVPN

Page 3: Segurança & Auditoria de Sistemas AULA 08 Eduardo Silvestri

ContramedidasContramedidasA descrição não esta vinculada a A descrição não esta vinculada a

implementações implementações ou produtos específicos, mas reúne ou produtos específicos, mas reúne

contramedidas contramedidas em tipos ou categorias genéricos, oferecendo em tipos ou categorias genéricos, oferecendo

uma uma conceituação simples, uma breve descrição conceituação simples, uma breve descrição

do seu do seu funcionamento e uma rápida analise de suas funcionamento e uma rápida analise de suas possibilidades e limitações.possibilidades e limitações.

Page 4: Segurança & Auditoria de Sistemas AULA 08 Eduardo Silvestri

ContramedidasContramedidasAs contramedidas apresentadas foram As contramedidas apresentadas foram selecionadas por seu potencial de eficiência selecionadas por seu potencial de eficiência

ou por ou por terem sido desenvolvidas a partir de terem sido desenvolvidas a partir de

conceitos cuja conceitos cuja importância e validade tornaram-se importância e validade tornaram-se

fundamentais.fundamentais.

Page 5: Segurança & Auditoria de Sistemas AULA 08 Eduardo Silvestri

ContramedidasContramedidasContramedidas.Contramedidas.

• VPN’s – Virtual Private Network.VPN’s – Virtual Private Network.• FirewallsFirewalls• IDS – Instrusion Detection SystemsIDS – Instrusion Detection Systems• Protocolos Seguros.Protocolos Seguros.

Page 6: Segurança & Auditoria de Sistemas AULA 08 Eduardo Silvestri

VPN – Virtual Private NetworkVPN – Virtual Private NetworkAs VPN são redes virtuais estabelecidas entre As VPN são redes virtuais estabelecidas entre hosts remotos de modo que a comunicação hosts remotos de modo que a comunicação

entre entre eles sofra um estrito controle, resultando em eles sofra um estrito controle, resultando em garantias efetivas da garantias efetivas da autenticidade, autenticidade, confidencialidade e integridadeconfidencialidade e integridade dos dos

dados dados transmitidos e recebidos.transmitidos e recebidos.

Page 7: Segurança & Auditoria de Sistemas AULA 08 Eduardo Silvestri

VPN – Virtual Private NetworkVPN – Virtual Private NetworkA tecnologia das VPN’s tem encontrado A tecnologia das VPN’s tem encontrado

grande grande aceitação no mercado e vem sendo adotadas aceitação no mercado e vem sendo adotadas

por por empresas e instituições que encontram a empresas e instituições que encontram a necessidade, bastante usual, de conectar sua necessidade, bastante usual, de conectar sua

rede rede local a redes remotas ou hosts operando local a redes remotas ou hosts operando isoladamente fora dos limites físicos da rede isoladamente fora dos limites físicos da rede

local.local.

Page 8: Segurança & Auditoria de Sistemas AULA 08 Eduardo Silvestri

VPN – Virtual Private NetworkVPN – Virtual Private NetworkO conceito de VPN surgiu da necessidades de O conceito de VPN surgiu da necessidades de

se utilizar redes de computadores não se utilizar redes de computadores não confiáveis para trafegar informações de confiáveis para trafegar informações de forma segura.forma segura.

As redes publicas são consideradas não As redes publicas são consideradas não confiáveis, tendo em vista que os dados confiáveis, tendo em vista que os dados que nela trafegam estão sujeitos a que nela trafegam estão sujeitos a interceptação e captura. Em contrapartida, interceptação e captura. Em contrapartida, estas tendem a ter um custo de utilização estas tendem a ter um custo de utilização inferior aos necessários para o inferior aos necessários para o estabelecimento de redes proprietárias.estabelecimento de redes proprietárias.

Page 9: Segurança & Auditoria de Sistemas AULA 08 Eduardo Silvestri

VPN – Virtual Private NetworkVPN – Virtual Private NetworkCom o explosivo crescimento da internet, o Com o explosivo crescimento da internet, o

constante aumento de sua área de constante aumento de sua área de abrangência, e a expectativa de uma rápida abrangência, e a expectativa de uma rápida melhoria na qualidade dos meios de melhoria na qualidade dos meios de comunicação associado a um grande comunicação associado a um grande aumento nas velocidades de acesso, esta aumento nas velocidades de acesso, esta passou a ser vista como um meio passou a ser vista como um meio interessante de acesso para as interessante de acesso para as corporações.corporações.

No entanto, a passagem de dados sensíveis No entanto, a passagem de dados sensíveis pela Internet somente se torna possível pela Internet somente se torna possível com o uso de alguma tecnologia que torne com o uso de alguma tecnologia que torne esse meio altamente inseguro em um meio esse meio altamente inseguro em um meio confiável.confiável.

Page 10: Segurança & Auditoria de Sistemas AULA 08 Eduardo Silvestri

VPN – Virtual Private NetworkVPN – Virtual Private NetworkCom essa abordagem, o uso de VPN sobre Com essa abordagem, o uso de VPN sobre

Internet parece ser uma alternativa viável e Internet parece ser uma alternativa viável e adequada. No entanto veremos que não é adequada. No entanto veremos que não é apenas em acessos públicos que a VPN é apenas em acessos públicos que a VPN é empregada.empregada.

Aplicativos desenvolvidos para operar com Aplicativos desenvolvidos para operar com suporte a redes privadas não utilizam suporte a redes privadas não utilizam recursos para garantir a privacidade em recursos para garantir a privacidade em uma rede publica. A migração de tais uma rede publica. A migração de tais aplicativos é sempre possível, no entanto, aplicativos é sempre possível, no entanto, certamente incorreria em atividades certamente incorreria em atividades dispendiosas e exigiria muito tempo de dispendiosas e exigiria muito tempo de desenvolvimento e testes.desenvolvimento e testes.

Page 11: Segurança & Auditoria de Sistemas AULA 08 Eduardo Silvestri

VPN – Virtual Private NetworkVPN – Virtual Private NetworkA implantação de uma VPN pressupõe que A implantação de uma VPN pressupõe que

não haja necessidades de modificações nos não haja necessidades de modificações nos sistemas utilizados pela empresa, sendo sistemas utilizados pela empresa, sendo que todas as necessidades de privacidade que todas as necessidades de privacidade que possam ser exigidas sejam supridas que possam ser exigidas sejam supridas pela VPN.pela VPN.

Page 12: Segurança & Auditoria de Sistemas AULA 08 Eduardo Silvestri

VPN – VPN – Funções BásicasFunções BásicasA utilização de rede publicas tende a A utilização de rede publicas tende a

apresentar custos menores que os obtidos apresentar custos menores que os obtidos em implantação de redes privadas, sendo em implantação de redes privadas, sendo este, justamente o grande estímulo para o este, justamente o grande estímulo para o uso de VPN’s. No entanto, para que esta uso de VPN’s. No entanto, para que esta abordagem se torne efetiva, a VPN deve abordagem se torne efetiva, a VPN deve prover um conjunto de funções que garanta prover um conjunto de funções que garanta Confidencialidade, Integridade e Confidencialidade, Integridade e AutenticidadeAutenticidade..

Page 13: Segurança & Auditoria de Sistemas AULA 08 Eduardo Silvestri

VPN – VPN – Funções BásicasFunções BásicasConfidencialidadeConfidencialidadeTendo em vista que estarão sendo utilizados Tendo em vista que estarão sendo utilizados

meios públicos de comunicação, a tarefa de meios públicos de comunicação, a tarefa de interceptar uma seqüência de dados é interceptar uma seqüência de dados é relativamente simples. É imprescindível relativamente simples. É imprescindível que os dados que trafegam sejam privados, que os dados que trafegam sejam privados, de forma que, mesmo que sejam de forma que, mesmo que sejam capturados, não possam ser entendidos.capturados, não possam ser entendidos.

Page 14: Segurança & Auditoria de Sistemas AULA 08 Eduardo Silvestri

VPN – VPN – Funções BásicasFunções BásicasIntegridadeIntegridadeNa eventualidade dos dados serem Na eventualidade dos dados serem

capturados, é necessário garantir que esses capturados, é necessário garantir que esses não sejam adulterados e re-encaminhados, não sejam adulterados e re-encaminhados, de tal forma que quaisquer tentativas nesse de tal forma que quaisquer tentativas nesse sentido não tenham sucesso, permitindo sentido não tenham sucesso, permitindo que somente dados válidos sejam que somente dados válidos sejam recebidos pelas aplicações suportadas pela recebidos pelas aplicações suportadas pela VPN.VPN.

Page 15: Segurança & Auditoria de Sistemas AULA 08 Eduardo Silvestri

VPN – VPN – Funções BásicasFunções BásicasAutenticidadeAutenticidadeSomente usuário e equipamentos que Somente usuário e equipamentos que

tenham sido autorizados a fazer parte de tenham sido autorizados a fazer parte de uma determinada VPN é que podem trocar uma determinada VPN é que podem trocar dados entre si, ou seja, um elemento de dados entre si, ou seja, um elemento de uma VPN somente reconhecerá dados uma VPN somente reconhecerá dados originados por um segundo elemento que originados por um segundo elemento que seguramente tenha autorização para fazer seguramente tenha autorização para fazer parte da VPN.parte da VPN.

Page 16: Segurança & Auditoria de Sistemas AULA 08 Eduardo Silvestri

VPN – VPN – Funções BásicasFunções BásicasDependendo da técnica utilizada na Dependendo da técnica utilizada na

implementação da VPN, a privacidade implementação da VPN, a privacidade poderá ser garantida apenas para os dados, poderá ser garantida apenas para os dados, ou para todo o pacote (cabeçalho e dados). ou para todo o pacote (cabeçalho e dados). Quatro técnicas podem ser usadas para a Quatro técnicas podem ser usadas para a implementação de soluções VPN.implementação de soluções VPN.

Modo TransmissãoModo TransmissãoSomente os dados são criptografados, não Somente os dados são criptografados, não

havendo mudança no tamanho dos havendo mudança no tamanho dos pacotes. Geralmente são soluções pacotes. Geralmente são soluções proprietárias, desenvolvidas por proprietárias, desenvolvidas por fabricantes.fabricantes.

Page 17: Segurança & Auditoria de Sistemas AULA 08 Eduardo Silvestri

VPN – VPN – Funções BásicasFunções BásicasModo TransporteModo TransporteSomente os dados são criptografados, Somente os dados são criptografados,

podendo haver mudança no tamanho dos podendo haver mudança no tamanho dos pacotes. É uma solução de segurança pacotes. É uma solução de segurança adequada para implementações onde os adequada para implementações onde os dados trafegam somente entre dois nós da dados trafegam somente entre dois nós da comunicação.comunicação.

Page 18: Segurança & Auditoria de Sistemas AULA 08 Eduardo Silvestri

VPN – VPN – Funções BásicasFunções BásicasModo Túnel Criptografado.Modo Túnel Criptografado.Tanto os dados quanto o cabeçalho dos Tanto os dados quanto o cabeçalho dos

pacotes são criptografados, sendo pacotes são criptografados, sendo empacotados e transmitidos segundo o um empacotados e transmitidos segundo o um novo endereçamento IP, em um túnel novo endereçamento IP, em um túnel estabelecido entre o ponto de origem e de estabelecido entre o ponto de origem e de destino.destino.

Page 19: Segurança & Auditoria de Sistemas AULA 08 Eduardo Silvestri

VPN – VPN – Funções BásicasFunções BásicasModo Túnel não Criptografado.Modo Túnel não Criptografado.Tanto os dados quanto o cabeçalho são Tanto os dados quanto o cabeçalho são

empacotados e transmitidos segundo um empacotados e transmitidos segundo um novo endereçamento IP, em um túnel novo endereçamento IP, em um túnel estabelecido entre o ponto de origem e estabelecido entre o ponto de origem e destino. No entanto, cabeçalhos e dados destino. No entanto, cabeçalhos e dados são mantidos tal como gerados na origem, são mantidos tal como gerados na origem, não garantindo a privacidade.não garantindo a privacidade.

Page 20: Segurança & Auditoria de Sistemas AULA 08 Eduardo Silvestri

VPN – VPN – Funções BásicasFunções BásicasPara disponibilizar as funcionalidades Para disponibilizar as funcionalidades

descritas anteriormente, a implementação descritas anteriormente, a implementação da VPN lança mão dos conceitos de da VPN lança mão dos conceitos de criptografia, autenticação e Controle criptografia, autenticação e Controle de Acessode Acesso..

Page 21: Segurança & Auditoria de Sistemas AULA 08 Eduardo Silvestri

VPN – VPN – CriptografiaCriptografiaA criptografia é implementada por um A criptografia é implementada por um

conjunto de métodos de tratamento e conjunto de métodos de tratamento e transformação dos dados que serão transformação dos dados que serão transmitidos pela rede pública. Um transmitidos pela rede pública. Um conjunto de regras é aplicado sobre os conjunto de regras é aplicado sobre os dados, empregando uma seqüência de bits dados, empregando uma seqüência de bits (chaves) como padrão a ser utilizado na (chaves) como padrão a ser utilizado na criptografia.criptografia.

Partindo dos dados que serão transmitidos, o Partindo dos dados que serão transmitidos, o objetivo é criar uma seqüência de dados objetivo é criar uma seqüência de dados que não possa ser entendida por terceiros, que não possa ser entendida por terceiros, que não façam parte da VPN.que não façam parte da VPN.

Page 22: Segurança & Auditoria de Sistemas AULA 08 Eduardo Silvestri

VPN – VPN – CriptografiaCriptografiaSão chamadas de São chamadas de chaves Simétricaschaves Simétricas e e

chaves Assimétricas chaves Assimétricas as tecnologias as tecnologias utilizadas para criptografar dados.utilizadas para criptografar dados.

Chave SimétricasChave SimétricasÉ a técnica de criptografar onde é utilizada a É a técnica de criptografar onde é utilizada a

mesma mesma chave chave para criptografar e para criptografar e decriptografar os dados. Sendo assim, a decriptografar os dados. Sendo assim, a manutenção da manutenção da chavechave em segredo é em segredo é fundamental para a eficiência do processo.fundamental para a eficiência do processo.

Page 23: Segurança & Auditoria de Sistemas AULA 08 Eduardo Silvestri

VPN – VPN – CriptografiaCriptografiaChave AssimétricaChave AssimétricaÉ a técnica de criptografar onde as chaves É a técnica de criptografar onde as chaves

utilizadas para criptografar e decriptografar utilizadas para criptografar e decriptografar são diferentes, sendo, no entanto são diferentes, sendo, no entanto relacionadas.relacionadas.

A chave utilizada para criptografar os dados é A chave utilizada para criptografar os dados é formada por duas partes, sendo uma formada por duas partes, sendo uma publica e outra privada, da mesma forma publica e outra privada, da mesma forma que a chave utilizada para decriptografar.que a chave utilizada para decriptografar.

Page 24: Segurança & Auditoria de Sistemas AULA 08 Eduardo Silvestri

VPN – VPN – CriptografiaCriptografiaAlguns Algoritmos de Criptografia.Alguns Algoritmos de Criptografia.

• DES.DES.• Triple-Des.Triple-Des.• RSA – Rivest Shamir AdlemanRSA – Rivest Shamir Adleman• Diffie-HellmanDiffie-Hellman

Page 25: Segurança & Auditoria de Sistemas AULA 08 Eduardo Silvestri

VPN – VPN – IntegridadeIntegridadeA garantia da integridade dos dados trocados A garantia da integridade dos dados trocados

em uma VPN pode ser fornecida pelo uso em uma VPN pode ser fornecida pelo uso de algoritmos que geram, a partir dos de algoritmos que geram, a partir dos dados originais, códigos binários que sejam dados originais, códigos binários que sejam praticamente impossíveis de serem praticamente impossíveis de serem conseguidos, caso estes dados sofram conseguidos, caso estes dados sofram qualquer tipo de adulteração. Ao chegarem qualquer tipo de adulteração. Ao chegarem no destinatário, este executa o mesmo no destinatário, este executa o mesmo algoritmo e compara o resultado obtido algoritmo e compara o resultado obtido com a seqüência de bits que acompanha a com a seqüência de bits que acompanha a mensagem, fazendo assim a verificação.mensagem, fazendo assim a verificação.

Page 26: Segurança & Auditoria de Sistemas AULA 08 Eduardo Silvestri

VPN – VPN – IntegridadeIntegridadeAlgoritmos para IntegridadeAlgoritmos para Integridade

• SHA-1 – Secure Hash Algorithm OneSHA-1 – Secure Hash Algorithm One• É um algoritmo em Hash que gera É um algoritmo em Hash que gera

mensagens de 160 bits.mensagens de 160 bits.• MD5 – Message Digest Algorithm 5MD5 – Message Digest Algorithm 5

• É um algoritmo em Hash que gera É um algoritmo em Hash que gera mensagens de 128 bits.mensagens de 128 bits.

Page 27: Segurança & Auditoria de Sistemas AULA 08 Eduardo Silvestri

VPN – VPN – AutenticaçãoAutenticaçãoA autenticação é importante para garantir A autenticação é importante para garantir

que o originador dos dados que trafegam que o originador dos dados que trafegam na VPN seja, realmente, quem diz ser.na VPN seja, realmente, quem diz ser.

Um usuário deve ser identificado no seu Um usuário deve ser identificado no seu ponto de acesso a VPN, de forma que, ponto de acesso a VPN, de forma que, somente o tráfego de usuários somente o tráfego de usuários autenticados transite pela rede. Tal ponto autenticados transite pela rede. Tal ponto de acesso fica responsável por rejeitar as de acesso fica responsável por rejeitar as conexões que não sejam adequadamente conexões que não sejam adequadamente identificadas.identificadas.

Page 28: Segurança & Auditoria de Sistemas AULA 08 Eduardo Silvestri

VPN – VPN – ProtocolosProtocolosIPSECIPSEC

IPSEC é um conjunto de padrões e IPSEC é um conjunto de padrões e protocolos para segurança relacionada com protocolos para segurança relacionada com VPN sobre uma rede IP, e foi definido pelo VPN sobre uma rede IP, e foi definido pelo grupo de trabalho IP Security (IPSEC).grupo de trabalho IP Security (IPSEC).O IPSEC especifica os cabeçalhos AH O IPSEC especifica os cabeçalhos AH (Authentication Header) e ESP (Authentication Header) e ESP (Encapsulated Secutiry Payload), que (Encapsulated Secutiry Payload), que podem ser utilizados independentemente podem ser utilizados independentemente ou em conjunto, de forma que um pacote ou em conjunto, de forma que um pacote IPSEC poderá apresentar somente um dos IPSEC poderá apresentar somente um dos cabeçalhos ou os dois.cabeçalhos ou os dois.

Page 29: Segurança & Auditoria de Sistemas AULA 08 Eduardo Silvestri

VPN – VPN – ProtocolosProtocolos

Page 30: Segurança & Auditoria de Sistemas AULA 08 Eduardo Silvestri

VPN – VPN – ProtocolosProtocolosAuthentication Header (AH).Authentication Header (AH).

Utilizado para prover integridade e Utilizado para prover integridade e autenticidade dos dados presentes no autenticidade dos dados presentes no pacote, incluindo a parte invariante, no pacote, incluindo a parte invariante, no entanto, não provê confidencialidade.entanto, não provê confidencialidade.

Page 31: Segurança & Auditoria de Sistemas AULA 08 Eduardo Silvestri

VPN – VPN – ProtocolosProtocolosEncapsulated Security Payload (ESP).Encapsulated Security Payload (ESP).

Provê integridade, autenticidade e Provê integridade, autenticidade e criptografia a área de dados do pacote.criptografia a área de dados do pacote.

Page 32: Segurança & Auditoria de Sistemas AULA 08 Eduardo Silvestri

VPN – VPN – ProtocolosProtocolosA implementação do IpSec pode ser feita A implementação do IpSec pode ser feita tanto no modo Transporte quanto no modo tanto no modo Transporte quanto no modo Túnel.Túnel.

Page 33: Segurança & Auditoria de Sistemas AULA 08 Eduardo Silvestri

DúvidasDúvidas

Page 34: Segurança & Auditoria de Sistemas AULA 08 Eduardo Silvestri

PerguntasPerguntas1- O que é uma VPN ?1- O que é uma VPN ?

2- Quais as 3 garantias no uso da VPN ?2- Quais as 3 garantias no uso da VPN ?

3- Em que casos são mais utilizadas ?3- Em que casos são mais utilizadas ?

4- Como pode ser garantida a Confidencialidade ?4- Como pode ser garantida a Confidencialidade ?

5- Como pode ser garantida a Integridade ?5- Como pode ser garantida a Integridade ?

6- O que é IPSEC ?6- O que é IPSEC ?7- O que é AH ?7- O que é AH ?8- O que é ESP?8- O que é ESP?

PublicaçõesPublicações AS RESPOSTA DAS PERGUNTAS.AS RESPOSTA DAS PERGUNTAS.

- Pesquisa sobre IPSEC.Pesquisa sobre IPSEC.

Page 35: Segurança & Auditoria de Sistemas AULA 08 Eduardo Silvestri

www.eduardosilvestri.com.brwww.eduardosilvestri.com.brEduardo SilvestriEduardo Silvestri

[email protected]@eduardosilvestri.com.br

DúvidasDúvidas