segurança da informação na internet prof. dr. miguel franklin de castro [email protected]

219
Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro [email protected]

Upload: internet

Post on 18-Apr-2015

108 views

Category:

Documents


0 download

TRANSCRIPT

Page 1: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

Segurança da Informação na Internet

Prof. Dr. Miguel Franklin de [email protected]

Page 2: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

2

Agenda

Introdução Introdução à Segurança Internet

As Armas do Inimigo Vírus / Rabbits / Worms / Trojan Horses e Backdoors Falhas de Sistema Ferramentas Hackers Cenários de Ataque Engenharia Social Miscelânia

Page 3: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

3

AGENDA

As Armas do Defensor Criptografia Codificação de Mensagem Criptografia na Internet Antivírus Firewall Proxy VPN IDS Como Diminuir Ataques

Apêndice Redes Wireless: Um Novo Perigo

Page 4: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

Introdução

Page 5: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

5

Introdução

S e g u r a n ç a n a I n t e r n e t

O que é segurança? Como podemos alcançar segurança? Existem mecanismos auxiliares? É possível ter um ambiente 100% seguro?

O que é Internet? Como surgiu a Internet?

Qual a estrutura da Internet? Quais os pontos fracos desta grande rede?

Page 6: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

6

Cenário

Firewall Firewall

Page 7: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

Segurança

Page 8: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

8

O Que é Segurança?

Definição Segurança é minimizar a vulnerabilidade

de bens e recursos. Vulnerabilidade é qualquer fraqueza que

pode ser explorada para se violar um sistema ou as informações que ele contém.

Uma ameaça consiste de uma possível violação de segurança de um sistema.

Page 9: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

9

O Que é Segurança?

Ameaças Classificação de acordo com a origem:

Ameaças Acidentais Ameaças Intencionais

Classificação de acordo com os objetivos: Ameaças Passivas Ameaças Ativas

Ataque ou Incidente se constitui de uma ameaça intencional. Classificação quanto à presença do atacante:

Ataques ou Incidentes Diretos Ataques ou Incidentes Indiretos

Page 10: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

10

Segurança da Informação: Importância

Prejuízos sofridos por empresas - 2004Fonte: MÓDULO SECURITY SOLUTIONS S.A

Page 11: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

11

Incidentes no Brasil (RNP)

Fonte: CAIS/RNP

Page 12: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

12

Incidentes no Brasil (Cert.br)

http://www.cert.br/stats/incidentes/

Page 13: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

13

Principais Ameaças

9ª edição da Pesquisa Nacional de Segurança da Informação da Módulo Security

Page 14: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

14

Principais Obstáculos

9ª edição da Pesquisa Nacional de Segurança da Informação da Módulo Security

Page 15: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

15

Principais Problemas Encontrados

Computerworld nº 398 de 19 de novembro 20039 – Pesquisa realizada pela revista americana CIO e Pricewaterhouse Coopers

0

10

20

30

40

50

60

70

Problemas

Orçamento limitado

Pouco tempo

Poucas pessoas

Pouco treinamento

Falta de suporte

Infra-estrutura de TI complexa

Equipe de TI desqualificada

Falta de cooperação entre equipes

Políticas de segurança pouco definidas

Baixa maturidade de ferramentas de TI

Infra-estrutura de TI mal desenhada

Falta de colaboração entre equipes deTI e Segurança

Page 16: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

16

O Processo de Segurança

Segurança é um processo com as seguintes características: Não se constitui de uma tecnologia Não é estático Sempre inalcançável Sempre em evolução

Page 17: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

17

O Processo de Segurança

Avaliação

Análise Síntese

• Analise o problema levando em consideração tudo que conhece.• Sintetize uma solução para o problema a partir de sua análise.• Avalie a solução e descubra que aspectos não foram satisfeitos.

Page 18: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

18

Política de Segurança

Definição É um conjunto de regras e práticas que

regulam como uma organização protege e distribui seus recursos e informações.

Tipos de políticas: Política de segurança baseada em

regras Política de segurança baseada em

identidade

Page 19: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

19

Política de Segurança

Como fazer uma política de segurança? Antes de mais nada saiba que uma política de

segurança é a formalização dos anseios de uma empresa quanto à proteção das informações.

Escreva a política de segurança Texto em nível estratégico Texto em nível tático Texto em nível operacional

Page 20: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

20

Política de Segurança

Como fazer uma política de segurança? Atenda aos propósitos abaixo:

Descrever o que está sendo protegido e por quê Definir prioridades sobre o que precisa ser protegido Estabelecer um acordo explícito com as várias partes

da empresa em relação ao valor da segurança Orientar ao dept. de segurança para dizer “não”

quando necessário, dando-lhe autoridade para tal Impedir que o departamento tenha um papel fútil

Page 21: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

21

Política de Segurança

Empresas que utilizam Política de Segurança - 2004Fonte: MÓDULO SECURITY SOLUTIONS S.A

Page 22: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

22

Segurança Física

Providenciar mecanismos

para restringir o acesso às áreas

críticas da organização

Como isto pode ser feito?

Page 23: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

23

Segurança Lógica

Fornecer mecanismos para garantir: Confidencialidade; Integridade; Não Repúdio ou Irrefutabilidade; Autenticidade

Mecanismos tradicionais garantem a Segurança Lógica?

Page 24: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

24

Como pode se prevenir?

Mudando a Cultura!!! Palestras Seminários Exemplos práticos Simulações Estudo de Casos

Page 25: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

25

Ciclo de Vida de SegurançaO que precisa ser protegido?

Como proteger?

Simulação de um ataque

Qual é probabilidade de um ataque?

Qual prejuízo, se ataque sucedido?

Qual é nível da proteção?

Page 26: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

Internet

Revisando...

Page 27: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

27

O Que é Internet?

Definição Nome dado ao conjunto de redes de

computadores que se interligaram com o uso da arquitetura TCP/IP.

Internet internet

Page 28: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

28

Como Surgiu a Internet?

Década de 60 Comutação de pacote ARPANET

Page 29: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

29

Como Surgiu a Internet?

Década de 70 Arquitetura TCP/IP Expansão da ARPANET

Aplicação

Transporte

Rede

Int. de Rede

Page 30: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

30

Como Surgiu a Internet?

Década de 80 Divisão da ARPANET

MILNET: Rede militar ARPANET: Rede de pesquisa

ARPANET + NSFNET + EBONE + ... = INTERNET

ARPANET

NSFNET

EBONE

INTERNET

Page 31: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

31

Como Surgiu a Internet?

Década de 80(cont.) TCP/IP “atropela” OSI

Crescimento da ARPANET Implementações robustas do TCP/IP Complexidade do OSIAplicação

Apresentação

Sessão

Transporte

Rede

Enlace

Física

X

Aplicação

Transporte

Rede

Interfacede Rede

OK

Page 32: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

32

Arquitetura TCP/IP

Conceito de camadas Independência entre camadas PDUs

Camada N

Camada N-1

Aplicação

Transporte

Rede

Int. de Rede

APDU

TPDU

Datagrama

Quadro

Dados

Page 33: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

33

Arquitetura TCP/IP

Pilha TCP/IP

HTTP FTP SMTP SNMP

TCP UDP

IP ICMP ARP RARP IGMP

Interface de Rede

Page 34: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

34

Arquitetura TCP/IP

Camada de Rede (Inter-Rede/ Inter-Net) Protocolo IP é o “coração” da arquitetura. Responsável por funções essenciais como:

Encaminhamento de datagramas Endereçamento

Não orientado à conexão Roteamento independe da origem Não realiza qualquer processo de criptografia e

autenticação ARP, RARP, ICMP e IGMP são protocolos

auxiliares

Page 35: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

35

Arquitetura TCP/IP

Camada de Transporte - TCP Orientado à conexão: Three-Way

Handshake Certifica a entrega dos dados Controle de congestão Não realiza criptografia dos dados Não realiza autenticação Realiza controle de erro: Checksum

Page 36: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

36

Arquitetura TCP/IP

Camada de Transporte -UDP Não orientado à conexão Não realiza controle de congestão Não realiza criptografia dos dados Não realiza processo de autenticação Não certifica a entrega dos dados Realiza controle de erro: Checksum Raw IP Datagrams

Page 37: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

37

Arquitetura TCP/IP Camada de Aplicação

HTTP (80): Protocolo utilizado na Web. Mensagens em modo texto (ASCII) Não realiza criptografia Existe opção de autenticação Requisições – Case Sensitive:

GET: Lê uma página Web HEAD: Lê o cabeçalho de uma página PUT: Armazena uma página POST: Similar ao PUT – Append DELETE: Remove uma página

Page 38: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

38

Arquitetura TCP/IP Camada de Aplicação

FTP (20/21): Protocolo utilizado para transferência de arquivos. Utiliza o protocolo TCP Baseia-se em duas conexões: Conexão de Controle

(Porta 21) e Conexão de Transferência (Porta 20) Implementa mecanismo de autenticação - ASCII Transferência de arquivos em modo texto/binário

TFTP (69) Utiliza o protocolo UDP Baseia-se somente numa conexão

Page 39: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

39

Arquitetura TCP/IP Camada de Aplicação

SMTP (25): Responsável pelo transferência de mensagens. Mensagens em modo texto – ASCII Não realizava qualquer processo de

autenticação POP3 (110): Responsável pela entrega

final da mensagem. Mensagens em modo texto – ASCII Realiza o processo de autenticação

Page 40: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

40

Arquitetura TCP/IP Camada de Aplicação

DNS (53): Responsável pela resolução de nomes em endereços IP ou vice-versa. Não existe processo de autenticação Mensagens em modo texto – ASCII

SNMP (161): Protocolo utilizado no gerenciamento de redes. SNMPv1; SNMPv2: Mensagens em modo

texto – ASCII Possibilita a alteração de configurações

importantes da máquina. Utiliza o protocolo UDP

Page 41: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

As Armas do Inimigo

Page 42: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

42

Quais os tipos de códigos maliciosos?

Page 43: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

Vírus / Rabbits / Worms / Trojan Horses e Backdoors

Page 44: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

44

Vírus Definição

É um programa que “infecta” outro programa, modificando-o para incluir-se. [Cohen, 1993]

PROGRAMA

NÃOINFECTADO

YPROGRAMAINFECTADO

X

VÍRUS

PROGRAMAINFECTADO

Y

VÍRUS

Page 45: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

45

Vírus Histórico

Década de 60 Surgem os primeiros programas com poder

de auto replicação, os “rabbits”. Década de 70

Surgem os primeiros “worms”. 1971: Foi criado o primeiro “worm” – Creeper

– e o primeiro programa anti-infeccioso – Reaper –.

Até então, os “worms” não possuíam comportamento destrutivo.

Page 46: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

46

Vírus Histórico

Década de 80 Os primeiros programas com características

viróticas surgem. Inicialmente para o computador Apple II.

1982: “Worms” criados pelos lab. da Xerox começam a apresentar comportamento anormal.

1988: Disseminação de vírus através de disco flexíveis e BBS.

1988: Um “worm” desenvolvido por Robert Morris se espalha através da Internet.

1989: Robert Morris é indiciado pelo acontecido.

Page 47: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

47

Vírus Histórico

Década de 90 Surgimento dos primeiros vírus polimórficos Disseminação dos vírus através da grande

rede (INTERNET) 1992: Histeria com o vírus Michelangelo 1992: Primeiro programa de criação de vírus –

VCL: Virus Creation Lab – 1995: Os primeiros vírus de Macro para Word

Page 48: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

48

Rabbits Definição

Eram instruções que preenchiam áreas de memória livres.

Origem do nome Relativo ao alto poder de replicação

Page 49: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

49

Worms Definição

São programas projetados especialmente para replicação.

Origem do nome: Retirado de uma história de ficção-centífica

chamada “The Shockwave Ride”. Características:

Eles se replicam assim como os vírus; São entidades autônomas, não precisam se

atracar a um programa ou arquivo hospedeiro, assim como os vírus;

Page 50: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

50

Worms Residem, circulam e se multiplicam em

sistemas multi-tarefa; Em “worms” de redes a replicação

acontece através dos meios físico de transmissão.

A intenção inicial dos “worms” era realizar tarefas de gerenciamento e distribuição.

Page 51: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

51

Vírus Tipos de vírus

Vírus de arquivos ou de programas

Vírus de sistema ou de inicialização

Vírus de Macro

Page 52: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

52

Vírus Formas de disseminação

Através de meios magnéticos Através de Trojan Horses – Cavalos de

Tróia Através de redes de transmissão de

dados Explorando falhas de sistema Atuando da mesma forma que um “worm” Através de engenharia social

Page 53: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

53

Trojan Horses Definição

São programas que além de fazer as tarefas que apresentam aos usuários, realizam atividades maliciosas.

Características– Não possuem instruções para auto-

replicação; – São programas autônomos, não

necessitam infectar outras entidades (programas, setores de boot) para serem executados (ainda que possam estar agregados a eles);

Page 54: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

54

Trojan Horses Características (cont.)

– Sempre possuem um payload, ativados por diversos tipos de gatilho disparados diretamente pelo próprio usuário (executando ou abrindo um trojan no PC), por sequências lógicas de eventos (as chamadas bombas lógicas) ou por uma data ou período de tempo (as chamadas bombas de tempo);

– Não existe uma preocupação primordial de auto-preservação após o payload, já que não visam a auto-replicação.

Page 55: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

55

Backdoors Definição

Programas que ao entrar na máquina da vítima cria uma porta de entrada para o invasor.

VÍTIMAINVASOR

Backdoor

Page 56: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

56

Backdoors Disseminação:

Através de Trojan Horses Através de ataques diretos

Mais conhecidos SubSeven NetBus BackOrifice

Page 57: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

Falhas de Sistema

Page 58: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

58

Erros de Programação Programas que exploram falhas de

software (Serviços, Aplicações, ...) são chamados de “exploits”.

As conseqüências de um “exploit” podem ser várias, como: Indisponibilidade do serviço; Execução de código danoso; Alteração de conteúdos não acessíveis ou

não permitidos.

Page 59: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

59

Erros de Programação Construção de “exploits”:

É preciso grande conhecimento técnico; Envie mensagens não convencionais, que

poderiam levar o sistema a uma interpretação errada;

Envie mensagens volumosas, buscando um “buffer overflow”.

Page 60: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

60

Buffer Overflow Definição

Falha de programação que faz com que haja um “overflow” da área de memória de uma determinada variável sobre a área reservada para outras variáveis.

Consequências: Pode levar o sistema a um estado inconsistente; Pode alterar informações que não deveriam ser

acessíveis; Pode permitir a execução de códigos danosos.

Page 61: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

61

Buffer Overflow Abrangência

Qualquer software está susceptível a este tipo de erro. Trata-se de uma falha de programação.

Uma forma de minimizar este tipo de falha é sendo mais metódico no momento da implementação.

Page 62: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

Buffer OverflowExemplo Prático

Page 63: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

63

#include <stdio.h>#include <string.h>

int main(void){ char s1[10],s2[10]; strcpy(s1,""); strcpy(s2,""); printf("\nConteudo de S2:%s",s2); printf("\nEntre com o valor de S1:"); gets(s1); printf("\nConteudo de S2:%s",s2); return 0;}

Page 64: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

64

MISCELÂNIA “Exploits” podem atacar qualquer tipo

de erro de programação, por isso as possibilidades são infinitas

Alguns “exploits” conhecidos: Exploit para MS SQL 2000

Buffer Overflow Exploit para PWS/IIS 4.0

Interpretação errada de código Unicode Exploit para Winproxy

Buffer Overflow

Page 65: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

Ferramentas Hackers

Page 66: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

66

SCANNERS Definição

São ferramentas que “varrem” redes ou computadores em busca de informações importantes.

Tipos IP Scanner: Varre um intervalo de

endereços IP, verificando se existe conexão ou não.

Port Scanner: Varre as portas de uma máquina ou de um conjunto de máquinas verificando a conectividade.

Page 67: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

67

SCANNERS Funcionamento: IP Scanner

IP Range: 192.168.0.1 – 192.168.0.7

192.168.0.1 - OK!

192.168.0.3 - OK!192.168.0.6 - OK! 192.168.0.4 - OK!

192.168.0.2

192.168.0.5

192.168.0.7

Page 68: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

68

SCANNERS Funcionamento: Port Scanner

Request – Port 80

Response

Request – Port 110

Response

Port 80 -- OKPort 110 -- OKPort 23 -- X

Request – Port 23

Page 69: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

69

SCANNERS Considerações finais

Existem scanners que evitam uma busca em rajada na intenção de não serem descobertos.

Alguns scanners, além de descobrirem portas e IPs, trazem algumas informações adicionais.

Page 70: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

70

SNIFFERS Definição

Programas especializados na captura de pacotes da rede.

Tipos de captura Captura local Captura em modo promíscuo

Funcionalidade Muito útil para descobrir informações que

trafegam de forma não criptografada na rede. Muito em útil em rede montadas com HUBs

passivos.

Page 71: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

71

KEYLOGGERS Definição

Programas especializados na captura de dados entrados pelo usuário.

Tipos de captura Captura local Captura remota

Funcionalidade Muito útil na captura de dados confidenciais,

como senhas e logins. Também utilizado para fins de auditoria em

empresas (Problema com confidencialidade).

Page 72: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

Cenários de Ataque

Page 73: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

(Distributed) Denial of ServiceDoS - DDoS

Page 74: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

74

DoS / DDoS – Negação de Serviço

Significado DoS: Denial of Service DDoS: Distributed Denial of Service

Definição Ataque que objetiva retirar um serviço de

atividade. Tipos

DoS por Buffer Overflow DoS por Saturação

Geralmente é preciso o uso de várias máquinas de forma distribuída, ou seja, o Distributed DoS

Page 75: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

75

DoS / DDoS – Negação de Serviço

Objetivos Indisponibilizar um serviço

Como detectar? Verificando o tráfego na rede Verificando o tamanho das mensagens Verificando o tipo das mensagens

Page 76: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

76

DoS / DDoS – Negação de Serviço

DDoS – Elementos Atacante: Pessoa responsável pela

configuração do cenário de ataque. Máquina Mestre: Máquina que vai

sincronizar o ataque de máquinas zumbis. Máquina Zumbi: Máquina que vai disparar

uma rajada de requisições para um único servidor.

Vítima: Máquina que vai receber uma grande quantidade de requisições e não vai conseguir atendê-los.

Page 77: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

77

DoS / DDoS – Negação de Serviço

DDoS – Fases do Ataque1. Intrusão em massa

Fase onde o atacante procura máquinas que possuem vulnerabilidades capazes de permitirem a instalação de arquivos executáveis.

2. Instalação do software DDoSFase onde o atacante instala arquivos executáveis que serão responsáveis pela sincronização dos zumbis – Mestre – e pelo envio de requisições – Zumbis –

3. Disparo do ataqueFase onde o atacante coordena o ataque, de forma que as máquinas zumbis disparam floods de pacotes.

Page 78: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

78

DoS / DDoS – Negação de Serviço

Page 79: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

IP SPOOFING

Page 80: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

80

IP Spoofing Definição

Ataque onde uma máquina “Z” tenta se passar por uma máquina “Y” ao se conectar à máquina “X”.

Características Se baseia na “confiança de parceiros”; Utiliza o impedimento de serviço – DoS como parte

do seu ataque; Ficou conhecido a partir do momento que Kevin

Mitnick conseguiu invadir uma grande rede com o uso desta técnica.

Tipos IP Spoofing ARP Spoofing DNS Spoofing

Page 81: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

81

IP Spoofing Fases do ataque

1. Indisponibilizar a máquina que possui relação de confiança com o servidor;

2. Iniciar o Three-Way Handshake1. Pedido de conexão2. “Adivinhar” o número de seqüência para

enviar a resposta3. Conexão Estabelecida

3. Criar uma relação de confiança X Z4. Liberar a conexão entre X “Y”5. Estabelecer uma nova conexão entre

XZ

Page 82: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

82

IP Spoofing

Dest:XSource:YSeq: 1000 Z

X

Y

OBS: Existe uma relação de confiança entre X e Y

Dest:YSource:XAck: 1001Seq: 3243

Dest:XSource:YAck: 3267Seq: 1345

Dest:XSource:YAck: 3244Seq: 1345

OKConexão Estabelecida

Page 83: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

83

IP Spoofing

DELETE LOG

Z

X

Y

OBS: Existe uma relação de confiança entre X e Y

ACK

CREATE REL(X,Z)REBOOT

REBOOT

ACKACK

Page 84: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

ENGENHARIA SOCIAL

Page 85: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

85

ENGENHARIA SOCIAL Definição

Consiste no roubo de informações através de encenações e conversas maliciosas.

Características Não necessita de grande conhecimento técnico; É um ataque que incide geralmente em pontos

fracos da empresa, como empregados mal remunerados;

Também acontece em documentos que são colocados em latas de lixo.

Page 86: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

86

ENGENHARIA SOCIAL Tipos

Ataque presencial Ataque não presencial

Resultados Geralmente este tipo de ataque é o

mais eficiente, pois libera informações importantes a um esforço mínimo.

Muito utilizado por Kevin Mitnick

Page 87: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

87

ENGENHARIA SOCIALAtendente : Empresa alvo. Boa Tarde.Cracker[Fulano] : Boa tarde. Eu sou Fulano da empresa XXX, nós

criamos o site de vocês e eu preciso fazer uma manutenção na página, você pode me passar para o setor de informática?/* OBS.: Neste ponto não há o que fazer, a atendente simplesmente redireciona a chamada. A seguir veja onde está o problema.*/

Funcionário CPD : CPD. Boa tarde.Cracker[Fulano] : Boa tarde. Aqui é o Fulano, eu sou da Empresa

XXX e não consegui me logar no servidor de vocês para ajustar alguns links. Vocês mudaram a senha do root ?/* Falando com profissional da área técnica, o Cracker já utiliza jargões comuns a todos nós. Como o Cracker havia ligado para a empresa XXX, que fez o site, ele já sabe como eles lidam com os clientes e também como falam ao se referirem a mesma coisa, como usar site,homepage,página,website,etc... */

Funcionário CPD : Hmmm...Até onde eu sei não foi mudado nada.Cracker[Fulano] : Estranho...A senha não é Bc07dp12 ?

/* Neste ponto o funcionário já acretida estar falando com um funcioário da empresa XXX */

Funcionário CPD : Não, a senha é S3rvid0r. Com 'S' maiusculo.

Page 88: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

Phishing

Backdoor + Eng. Social

Page 89: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

89

Exemplo de Phishing

Page 90: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

90

Exemplo de Phishing

Page 91: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

91

Exemplo de Phishing

Page 92: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

92

O que é SPAM?

Page 93: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

93

Estatísticas

Page 94: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

94

De onde vem o SPAM (em 2007)

1 - Telemar

2 - NET Servicos de Comunicacao

3 – Telesp

4 - Brasil Telecom

5 - Global Village Telecom

6 – Vivax

7 - CTBC Telecom

8 - TVA Sistema de Televisao

9 - Way TV Belo Horizonte

10 - Terra Networks Brasil

11 - iMarketing Digital Business Consultoria

12 - TV Cabo de Porto Alegre

13 - Telesp Celular

14 - Click21 Comercio de Publicidade

15 - Mundivox do Brasil

Page 95: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

MISCELÂNIA

Page 96: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

96

MISCELÂNIA Tipos de invasores

NewbiesIniciantes que se aventuram pela Internet com técnicas já bem conhecidas e não sabem se camuflar. Não sabem programar.

LammersUm nível acima dos newbies, os lammers sabem se camuflar e possuem conhecimento de programação.

HackersSão experientes e criativos, capazes de criar novas técnicas de invasão. Dificilmente são descobertos.

Page 97: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

97

MISCELÂNIA Tipos de invasores

CrackersInvasores semelhantes aos hackers mas se diferenciam por ter comportamento destrutivo, são conhecidos como “Cyber Terroristas”.

CardersSão hackers especialistas no roubo de números de cartões de crédito.

PhreackersSão hackers especialistas em sistemas telefônicos

Page 98: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

98

MISCELÂNIA Outras denominações

Virus Hoaxes: Alarmes falsos sobre vírus, worms ou trojan-horses.

Spam: Distribuição de mensagens de caráter comercial sem a autorização prévia do receptor.

Mail Bomb: Programa que envia uma grande quantidade de e-mails, geralmente anônimos, objetivando prejudicar o destinatário.

Page 99: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

99

MISCELÂNIA Outras denominações

Password Cracker: Programas que buscam encontrar senhas de sistemas ou programas. Geralmente se usa o método da força bruta associado a um dicionário.

Ping of Death: Pacotes IP com o tamanho maior que o máximo permitido (65535 bytes). Isso ocasiona um fragmentação que vai gerar um erro na remontagem.

Page 100: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

100

MISCELÂNIA Outras denominações

Nuke: Programas que enviam pacotes ICMP para servidores (Server Side Nuke) ou clientes (Client Side Nukes). Tais pacotes reportam erros e ocasionam o término da conexão.

Defacement: Desfiguração de sites, geralmente com finalidades de protestos.

WhiteHat: Especialistas responsáveis pela detecção de falhas, invasões e problemas relacionados à segurança. Não possuem como objetivo prejudicar pessoas e empresas.

Page 101: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

Segurança em Redes

Page 102: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

102

Segurança em Redes

Fundamentos: o que é segurança? criptografia autenticação integridade de mensagens distribuição de chaves e certificaçãoSegurança na prática: camada de aplicação: e-mail seguro camada de transporte: Comércio pela Internet,

SSL, SET camada de rede: segurança IP

Page 103: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

103

Amigos e inimigos: Alice, Bob, Trudy

bem conhecidos no mundo da segurança de redes Bob, Alice (amantes!) querem se comunicar

“seguramente” Trudy, a “intrusa” pode interceptar, apagar,

acrescentar mensagens

Figure 7.1 goes here

transmissorseguro

canal

mensagens de controle e dados

receptorseguro

Dados Dados

Page 104: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

104

O que é segurança de redes?

Segredo: apenas o transmissor e o receptor pretendido deveriam “entender”o conteúdo da mensagem transmissor criptografa mensagem receptir decriptografa mensagem

Autenticação: transmissor e o receptor querem confirmar as identidades um do outro

Integridade de Mensagem: transmissor, receptor querem assegurar que as mensagens não foram alteradas, (em trânsito, ou depois) sem detecção

Page 105: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

105

Ameaças à Segurança na Internet

Captura de Pacotes: meio broadcast Placas de rede em modo promiscuo lêem todos os pacotes que

passam por elas podem ler todos os dados não criptografados (ex. senhas) ex.: C captura os pacotes de B

A

B

C

org:B dest:A dados

Page 106: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

106

Ameaças à Segurança na Internet

IP Spoofing: pode gerar pacotes “novos” diretamente da aplicação,

colocando qualquer valor no campo de endereço IP de origem

receptor não sabe se a fonte foi falsificada ex.: C finge ser B

A

B

C

org:B dest:A dados

Page 107: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

107

Ameaças à Segurança na Internet

Negação de Serviço (DOS - Denial of Service): inundação de pacotes maliciosamente gerados “afogam” o

receptor DOS Distribuído (DDOS): fontes múltiplas e coordenadas

inundam o receptor ex., C e um computador remoto atacam A com mensagens SYN

A

B

C

SYN

SYNSYNSYN

SYN

SYN

SYN

Page 108: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

108

A linguagem da criptografia

chave simétrica de crptografia: as chaves do transmissor e do receptor são idênticas

chave pública de criptografia: critografa com chave pública, decriptografa com chave secreta

Figure 7.3 goes here

plaintext plaintext

ciphertext

KA

KB

texto aberto texto aberto

texto cifradoAlgoritmo deCriptografia

Algoritmo deDecriptografia

canal

Page 109: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

109

Criptografia com Chave Simétricacódigo de substituição: substituindo uma coisa

por outra código monoalfabético: substituir uma letra por

outratexto aberto: abcdefghijklmnopqrstuvwxyz

texto cifrado: mnbvcxzasdfghjklpoiuytrewq

texto aberto: bob. i love you. alice

texto cifrado: nkn. s gktc wky. mgsbc

Ex.:

Q: quão difícil é quebrar este código simples?:• força bruta (quantas tentativas?)• outro método?

Page 110: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

110

DES: criptografia com chave simétrica

DES: Data Encryption Standard Padrão de criptografia dos EUA [NIST 1993] chave simétrica de 56-bits, 64 bits de texto aberto na

entrada Quão seguro é o padrão DES?

DES Challenge: uma frase criptografada com chave de 56 bits (“Strong cryptography makes the world a safer place”) foi decriptografada pelo método da força bruta em 4 meses

não há ataque mais curto conhecido tornando o DES mais seguro

use três chaves em seqüência (3-DES) sobre cada dado use encadeamento de blocos de códigos

Page 111: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

111

Criptografia de chave simétrica: DES

permutação inicial 16 rodadas idênticas

de função de substituição, cada uma usando uma diferente chave de 48 bits

permutação final

operação do DES

Page 112: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

112

Criptografia com Chave Pública

chave simétrica exige que o transmissor

e o receptor compartilhem a chave secreta

Q: como combinar a chave inicialmente (especialmente no caso em que eles nunca se encontram)?

chave pública abordagem radicalmente

diferente [Diffie-Hellman76, RSA78]

transmissor e receptor não compartilham uma chave secreta

a chave de criptografia é pública (conhecida por todos)

chave de decriptografia é privada (conhecida somente pelo receptor)

Page 113: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

113

Criptografia com chave pública

Figure 7.7 goes hereAlgoritmo de

CriptografiaAlgoritmo de

Decriptografia

Mensagem aberta, m

Mensagem aberta, m

mensagem cifrada

Chave de criptografia pública

Chave de decriptografia privada

Page 114: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

114

Algoritmos de criptografia com chave pública

necessita d ( ) e e ( ) tal que

d (e (m)) = m BB

B B. .

necessita chaves pública e privada para d ( ) e e ( ). .

BB

Duas exigências correlatas:

1

2

RSA: Algoritmo de Rivest, Shamir, Adelson

Page 115: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

115

RSA: Escolhendo as chaves

1. Encontre dois números primos grandes p, q. (ex., 1024 bits cada um)

2. Calcule n = pq, z = (p-1)(q-1)

3. Escolha e (com e<n) que não tem fatores primos em comum com z. (e, z são “primos entre si”).

4. Escolha d tal que ed-1 é exatamente divisível por z. (em outras palavras: ed mod z = 1 ).

5. Chave Pública é (n,e). Chave Privada é (n,d).

Page 116: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

116

RSA: Criptografia e Decriptografia

0. Dado (n,e) e (n,d) como calculados antes

1. Para criptografar o padrão de bits, m, calcule

c = m mod n

e (i.e., resto quando m é dividido por n)e

2. Para decriptografar o padrão de bits recebidos, c, calcule

m = c mod n

d (i.e., resto quando c é dividido n)d

m = (m mod n)

e mod n

dMágicaacontece!

Page 117: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

117

RSA exemplo:

Bob escolhe p=5, q=7. Então n=35, z=24.e=5 (assim e, z são primos entre si).d=29 (assim ed-1 é exatamente divisível por z).

letra m me c = m mod ne

l 12 1524832 17

c m = c mod nd

17 481968572106750915091411825223072000 12

cdletra

l

criptografia:

decriptografia:

Page 118: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

118

RSA: Porque:m = (m mod n)

e mod n

d

(m mod n)

e mod n = m mod n

d ed

Resultado da teoria dos Números: Se p,q são primos, n = pq, then

x mod n = x mod ny y mod (p-1)(q-1)

= m mod n

ed mod (p-1)(q-1)

= m mod n1

= m

(usando o teorema apresentado acima)

(pois nós escolhemos ed divisível por(p-1)(q-1) com resto 1 )

Page 119: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

119

Autenticação

Meta: Bob quer que Alice “prove” sua identidade para ele

Protocolo ap1.0: Alice diz “Eu sou Alice”

Cenário de Falha??Eu sou Alice

Page 120: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

120

Autenticação: outra tentativaProtocolo ap2.0: Alice diz “Eu sou Alice” e envia seu

endereço IP junto como prova.

Cenário de Falha??

Eu sou Alice

Endereço IP de Alice

Page 121: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

121

Autenticação: outra tentativaProtocolo ap3.0: Alice diz “Eu sou Alice” e envia sua senha

secreta como prova.

Cenário de Falha?

Eu sou Alice,senha

Page 122: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

122

Autenticação: mais uma tentativa

Protocolo ap3.1: Alice diz “Eu sou Alice” e envia sua senha secreta criptografada para prová-lo.

I am Aliceencrypt(password)

Eu sou Alicecriptografia (senha)

Page 123: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

123

Autenticação: mais uma tentativaMeta: evitar ataque de reprodução (playback)

Falhas, problemas?

Figure 7.11 goes here

Nonce: número (R) usado apenas uma vez na vida

ap4.0: para provar que Alice “está ao vivo”, Bob envia a Alice um nonce, R. Alice deve devolver R, criptografado com a chave secreta comum

Eu sou Alice

Page 124: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

124

Autenticação: ap5.0

ap4.0 exige chave secreta compartilhada problema: como Bob e Alice combinam a chave é possível autenticar usando técnicas de chave

pública?

ap5.0: usar nonce, criptografia de chave pública

Envie-me sua chave pública eA

Bob calculaeA[dA[R]]=RautenticandoAlice

Page 125: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

125

Figure 7.14 goes here

ap5.0: falha de segurançaAtaque do homem (mulher) no meio: Trudy se

passa por Alice (para Bob) e por Bob (para Alice)

Necessita chaves públicas certificadas (mais depois …)

Page 126: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

126

Assinaturas Digitais

Técnica criptográfica análoga às assinaturas manuais.

Transmissor(Bob) assina digitalmente um documento, estabelecendo que ele é o autor/criador.

Verificável, não-forjável: receptor (Alice) pode verificar que Bob, e ninguém mais, assinou o documento.

Assinatura digital simples para mensagem m:

Bob criptografa m com sua chave pública dB, criando a mensagem assinada dB(m).

Bob envia m e dB(m) para Alice.

Texto criptografadocom a chave pri-

vada de Bob

Mensagem prontapara transmissão

Chaveprivadade Bob

Page 127: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

127

Assinaturas Digitais (mais)

Suponha que Alice recebe a mensagem m, e a assinatura digital dB(m)

Alice verifica que m foi assinada por Bob aplicando a chave pública de Bob eB a dB(m) então verifica que eB(dB(m) ) = m.

Se eB(dB(m) ) = m, quem quer que tenha assinado m deve posuir a chave privada de Bob.

Alice verifica então que: Bob assinou m. Ninguém mais

assinou m. Bob assinou m e

não m’.Não-repúdio:

Alice pode levar m, e a assinatura dB(m) a um tribunal para provar que Bob assinou m.

Page 128: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

128

Resumos de Mensagens

Computacionalmente caro criptografar com chave pública mensagens longas

Meta: assinaturas digitais de comprimento fixo, facilmente computáveis, “impressão digital”

aplicar função hash H a m, para obter um resumo de tamanho fixo, H(m).

Propriedades das funções de Hash: Muitas-para-1 Produz um resumo da mensagem

de tamanho fixo (impressão digital) Dado um resumo da mensagem x,

é computacionalmente impraticável encontrar m tal que x = H(m)

computacionalmente impraticável encontrar duas mensagens m e m’ tal que H(m) = H(m’).

mensagemlongamensagemlonga

função de hashmuitas-para-um

resumo damensagem,tam. fixo

Page 129: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

129

Assinatura digital = resumo assinado de mensagem

Bob envia mensagem digitalmente assinada:

Alice verifica a asinatura e a integridade da mensagem digitalmente assinada:

Page 130: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

130

Algoritmos de Funções de Hash A soma verificadora da

Internet resulta num resumo de mensagem pobre. Muito fácil

encontrar duas mensagens com a mesma soma verificadora.

O algoritmo MD5 é a função de hash mais usada. Calcula resumo de

128-bits da mensagem num processo de 4 etapas.

uma cadeia arbitrária X` cujo hash de 128 bits obtido pelo MD5 é igual ao hash de um cadeia X parece difícil de construir.

SHA-1 também é usado. padrão do EUA resumo de

mensagem com 160-bits

Page 131: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

131

Intermediários Confiáveis

Problema: Como duas

entidades estabelecem uma chave compartilhada secreta sobre uma rede?

Solução: centro de

distribuição de chaves confiável (KDC) atuando como intermediário entre as entidades

Problema: Quando Alice

obtém a chave pública de Bob (de um web site, e-mail, ou diskette), como ela sabe que é a chave pública de Bob e não de Trudy?

Solução autoridade

certificadora confiável (CA)

Page 132: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

132

Centro de Distribuição de Chaves (KDC)

Alice e Bob necessitam de um chave simétrica compartilhada.

KDC: servidor compartilha diferentes chaves secretas com cada usuário registrado.

Alice e Bob conhecem as próprias chaves simétricas, KA-KDC KB-KDC

, para comunicação com o KDC.

Alice se comunica com o KDC, obtém a chave de sessão R1, e KB-KDC(A,R1)

Alice envia a Bob KB-KDC(A,R1), Bob extraí R1

Alice e Bob agora compartilham a chave simétrica R1.

Aliceconhece

R1

Bob conhece R1

Alice e Bob se comunicam usando chave compartilhada R1

Page 133: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

133

Autoridades Certificadoras Autoridades

certificadoras (CA) associam chaves públicas a uma particular entidade.

Entidade (pessoa, roteador, etc.) pode registrar sua chave pública com a CA. Entidade fornece

“prova de identidade” à CA.

CA cria certificado ligando a entidade à chave pública.

Certificado é digitalmente assinado pela CA.

Quando Alice quer a chave pública de Bob:

obtém o certificado de Bob (com Bob ou em outro local).

Aplica a chave pública da CA ao certificado de Bob para obter a chave pública de Bob.

informaçãode identidade

de Bob

certificadocriptografado

de Bob

chave públicade Bob

AutoridadeCertificadora

Chave privada daautoridade certificadora

Page 134: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

134

E-mail seguro

• gera chave simétrica aleatória, KS.• criptografa mensagem com KS

• também criptografa KS com a chave pública de Bob.• envia KS(m) e eB(KS) para Bob.

• Alice quer enviar uma mensagem de e-mail secreta, m, para Bob.

Alice envia mensagemde e-mail m

Bob recebe mensagemde e-mail m

Page 135: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

135

E-mail seguro (continuação)• Alice quer prover autenticação do transmissor e

integridade da mensagem.

• Alice assina digitalmente a mensagem.• envia a mensagem (em texto aberto) e a assinatura digital.

Alice envia mensagemde e-mail m

Bob recebe mensagemde e-mail m

Page 136: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

136

E-mail seguro (continuação)• Alice quer prover privacidade, autenticação do

transmissor e integridade da mensagem.

Nota: Alice usa tanto sua chave privada quanto a chave pública de Bob.

Page 137: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

137

Pretty good privacy (PGP)

Esquema de criptografia de e-mail da Internet, um padrão de fato.

Usa criptografia de chave simétrica, criptografia de chave pública, função de hash e assinatura digital, como descrito.

Oferece privacidade, autenticação do transmissor e integridade.

O inventor, Phil Zimmerman, foi alvo de uma investigação federal durante três anos.

---BEGIN PGP SIGNED MESSAGE---

Hash: SHA1

Bob:My husband is out of town tonight.Passionately yours, Alice

---BEGIN PGP SIGNATURE---Version: PGP 5.0Charset: noconvyhHJRHhGJGhgg/

12EpJ+lo8gE4vB3mqJhFEvZP9t6n7G6m5Gw2

---END PGP SIGNATURE---

Uma mensagem PGP assinada:

Page 138: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

138

Secure sockets layer (SSL)

PGP oferece segurança para uma aplicação de rede específica.

SSL opera na camada de transporte. Fornece segurança para qualquer aplicação baseada no TCP que usa os serviços da SSL.

SSL: usada entre clientes WWW e servidores de comércio eletrônico (shttp).

Serviços de segurança da SSL: autenticação do servidor criptografia dos dados autenticação do cliente

(opcional)

Autenticação do Servidor: clientes com SSL

habilitado incluem chaves públicas para CA’s confiáveis.

Cliente solicita o certificado do servidor, originado pela entidade certificadora confiável.

Cliente usa a chave pública da CA para extrair a chave pública do servidor do certificado.

Visite o menu de segurança do seu browser para examinar suas entidades certificadoras confiáveis.

Page 139: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

139

SSL (continuação)Sessão SSL criptografada: Cliente gera uma chave de

sessão simétrica e a criptografa com a chave pública do servidor, envia a chave simétrica criptografada ao servidor.

Usando sua chave privada, o servidor decriptografa a chave.

Cliente e o servidor negociam que as futuras mensagens serão criptografadas.

Todos os dados enviados na porta TCP (pelo cliente ou pelo servidor) são criptografados com a chave de sessão.

SSL: base do mecanismo Transport Layer Security (TLS) do IETF.

SSL pode ser usado por aplicações que não usam a Web, por exemplo, IMAP.

Autenticação do cliente pode ser feita com certificados do cliente.

Page 140: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

140

Secure electronic transactions (SET) projetado pra transações de

pagamento de cartões de crédito sobre a Internet.

oferece serviços de segurança envolvendo três partes: cliente comerciante banco do vendedor

Todos devem ter certificados.

SET especifica o valor legal dos certificados. divisão das

responsabilidades pelas transações

Número do cartão do cliente é enviado ao banco do vendedor sem que o vendedor veja o número aberto em nenhum momento. Previne que os

vededores possam furtar e repassar números de cartões de crédito.

Três componentes de software: Carteira do browser Servidor do comerciante Gateway do adquirente

Veja o texto do livro para a descrição de uma transação SET.

Page 141: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

141

Ipsec: Segurança na Camada de Rede

Segurança na Camada de Rede: o host transmissor

criptografa os dados no datagrama IP

Segmentos TCP e UDP; ICMP e mensagens SNMP.

Autenticação na Camada de Rede host destino pode

autenticar o endereço IP da origem

Dois protocolos principais: protocolo de autenticação

de cabeçalho (AH - Authentication Header)

protocolo de encapsulamento seguro de dados (ESP - Encapsulation Secure Payload)

Tanto para o AH como para o ESP, exige negociação entre a fonte e o destino: cria canal lógico de

camada de rede chamado de “acordo de serviço” (SA)

Cada SA é unidirecional. Unicamente determinado por:

protocolo de segurança (AH ou ESP)

endereço IP da origem Identificador de conexão

de 32-bit

Page 142: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

142

Protocolo ESP Oferece privacidade,

autenticação de host e integridade dos dados.

Dados e trailer ESP são criptografados.

Campo de próximo cabeçalho está no trailer ESP.

campo de autenticação do ESP é similar ao campo de autenticação do AH.

Protocolo = 50.

Autenticado

Criptografado

Protocolo = 50

Page 143: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

143

Protocolo de Autenticação de Cabeçalho (AH)

Oferece autenticação do host originador, integridade de dados, mas não privacidade dos dados.

Cabeçalho AH é inserido entre o cabeçalho IP e o campo de dados do IP.

Campo de Protocolo = 51. Roteadores intermediários

processam o datagrama na forma usual.

cabeçalho AH inclui: identificador de conexão dados de autenticação:

mensagem assinada e resumo da mensagem são calculados sobre o datagrama IP original, provendo autenticação da fonte e integridade dos dados.

Campo próximo cabeçalho: especifica o tipo de dados (TCP, UDP, ICMP, etc.)

Protocolo = 51

Page 144: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

144

Segurança de Redes (resumo)Técnicas básicas…... criptografia (simétrica e pública) autenticação integridade de mensagem

…. usadas em muitos cenários de segurança diferentes

email seguro transporte seguro (SSL) IP sec

See also: firewalls , in network management

Page 145: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

CRIPTOGRAFIA

Page 146: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

146

CRIPTOGRAFIA Definição

Processo que transforma uma mensagem qualquer numa mensagem cifrada.

O processo reverso chama-se decifragem.

TextoLimpo

TextoCifrado

Algoritmo decriptografia

Algoritmo dedecifragem

Page 147: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

147

CRIPTOGRAFIA Histórico

Sua origem se confunde com a própria origem da escrita.

Era e ainda continua a ser um ferramenta para troca de mensagens em guerras.

Cifragem de César A D B E C F ...

Page 148: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

148

CRIPTOGRAFIA Tipos de criptografia

Criptografia tradicional Criptografia simétrica ou de chave

secreta Criptografia assimétrica ou de chave

pública Criptografia híbrida ou mista

Page 149: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

149

CRIPTOGRAFIA Criptografia tradicional

Consiste em realizar uma cifragem unicamente a partir de um algoritmo, sem o uso de qualquer outro artifício.

C(M) = XD(X) = M

Forma mais simples de criptografia. Impossível de precisar sua origem.

C: Algoritmo de criptografia D: Algoritmo de decifragemM: Mensagem original (plaintext) X: Mensagem criptografada

Page 150: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

150

CRIPTOGRAFIA

MensagemOriginal

(M)

MensagemCodificada

(X)

MensagemOriginal

(M)

MensagemCodificada

(X)

AlgoritmoC

AlgoritmoD

Page 151: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

151

CRIPTOGRAFIA Criptografia tradicional

Vantagens Fácil implementação; Extremamente rápido; A única preocupação recai sobre o algoritmo.

Desvantagens Muito inseguro; Uma vez descoberto o algoritmo, é preciso

criar um outro; Fácil de ser descoberto pela análise de

padrões.

Page 152: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

152

CRIPTOGRAFIA Criptografia simétrica

Neste tipo de criptografia, além do algoritmo existe uma chave que dita o comportamento do algoritmo.

C(M,K) = X D(X,K) = M

Onde K é a chave. Chave é qualquer tipo de informação.

Geralmente uma seqüência de bits. A chave é única tanto na criptografia como na

decifragem. Também conhecido como criptografia da chave

secreta.

Page 153: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

153

CRIPTOGRAFIA

MensagemOriginal

(M)

MensagemCodificada

(X)

MensagemOriginal

(M)

MensagemCodificada

(X)

AlgoritmoC

AlgoritmoD

Page 154: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

154

CRIPTOGRAFIA Criptografia simétrica

Vantagens Mais seguro que a criptografia tradicional; É preciso conhecer o algoritmo e a chave; Bom desempenho.

Desvantagens Compartilhamento da chave entre os

envolvidos; Gerenciamento das diversas chaves.

Page 155: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

155

CRIPTOGRAFIA Criptografia simétrica

Algoritmos de chave simétrica DES – Data Encryption Standard

Utiliza blocos de 64 bits Utiliza uma chave de 56 bits

Triple-DES Utiliza o DES três vezes e com chaves diferentes

Blowfish Utiliza uma chave de tamanho variável, até 448 bits

IDEA – International Data Encryption Algorithm

Utiliza uma chave de 128 bits Considerado um dos mais robustos até o momento

Page 156: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

156

CRIPTOGRAFIA Criptografia simétrica

Algoritmos de chave simétrica RC2 / RC4

Criado por Ronald Rivest e mantido em segredo pela RSA Data Security

Utiliza chaves de até 2048 bits RC5

Também criado por Ronald Rivest Permite que o tamanho do bloco, o tamanho da

chave e o número de vezes que será realizada a criptografia sejam definidos pelo usuário

AES – Advanced Encryption Standard Provável substituto do DES, ainda em

desenvolvimento

Page 157: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

157

CRIPTOGRAFIA Criptografia assimétrica

Exige uma chave para o processo de criptografia (chave pública) e outra chave no processo de decifragem (chave privada).

C(M,K’) = X D(X,K’’) = MOnde K’ é a chave pública e K’’ é a chave privada

Também conhecido como criptografia de chave pública.

Criado por Withfield Diffie e Martin Hellman em 1976.

Page 158: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

158

CRIPTOGRAFIAMensagem

Original(M)

MensagemCodificada

(X)

MensagemOriginal

(M)

MensagemCodificada

(X)

AlgoritmoC

AlgoritmoD

PRIVADAPÚBLICAPÚBLICA

Page 159: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

159

CRIPTOGRAFIA Criptografia assimétrica

Vantagens Mais seguro de todos os métodos; Não existe compartilhamento de chaves; Sem gerenciamento de chaves.

Desvantagens Péssimo desempenho; Chaves são muito grandes.

Page 160: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

160

CRIPTOGRAFIA Criptografia assimétrica

Algoritmos de chaves assimétricas RSA

Desenvolvido por Ronald Rivest, Adi Shamir e Leonardo Adleman

As chaves podem ter quaisquer tamanhos DDS – Digital Signature Standard

Desenvolvido pela Agência Nacional de Segurança (NSA)

Chaves com tamanho entre 512 e 1024 bits

Page 161: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

161

CRIPTOGRAFIA Criptografia híbrida

Processo que utiliza a criptografia simétrica para o envio/recebimento de mensagens e a criptografia assimétrica no compartilhamento das chaves secretas.

Resolve os problemas dos métodos de criptografia simétrica e assimétrica.

Page 162: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

162

MensagemOriginal

MensagemCodificada

MensagemOriginal

MensagemCodificada

AlgoritmoSimétrico

AlgoritmoSimétrico

PRIVADAPÚBLICA

SECRETA

PÚBLICA

AlgoritmoAssimétrico

SEC. CRIPT. SEC. CRIPT. SECRETA

AlgoritmoAssimétrico

Page 163: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

CODIFICAÇÃO DE MENSAGEM

Page 164: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

164

CODIFICAÇÃO DE MENSAGEM

Definição São funções de codificação que destilam

a informação contida num arquivo em um único número grande. É muito utilizado na certificação de integridade de arquivos.

MENSAGEM

f80bc342a2329cd

Algoritmo

Page 165: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

165

CODIFICAÇÃO DE MENSAGEM

Propriedades importantes: Cada bit da codificação é influenciado

por cada bit dos dados de entrada da função;

Se qualquer bit dos dados de entrada da função for modificado, cada bit da codificação tem 50% de chances de mudar;

Dado um arquivo e sua codificação, deve ser praticamente impossível outro arquivo com a mesma codificação.

Page 166: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

166

CODIFICAÇÃO DE MENSAGEM

Algoritmos de codificação de mensagens

MD4 / MD5 – Message Digest Desenvolvido por Ronald Rivest Produz uma codificação de 128 bits

SHA / SHA-1 Desenvolvido pelo NSA Produz uma codificação de 160 bits

Page 167: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

ASSINATURA DIGITAL

Page 168: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

168

ASSINATURA DIGITAL Definição

É uma seqüência de bits adicionada a uma mensagem. Esta seqüência possibilita o processo de certificação do remetente.

Características Se utiliza de um algoritmo de criptografia

assimétrico; Cada mensagem possui uma assinatura única; Nunca duas mensagens diferentes poderão ter

a mesma assinatura, mesmo pertencendo ao mesmo remetente.

Page 169: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

169

ASSINATURA DIGITAL1. A mensagem já criptografada é submetida

a um algoritmo de codificação de mensagem.

2. Este algoritmo gera uma seqüência (hash) de bits que retratam a mensagem.

3. Esta seqüência é criptografada assimetricamente com a chave privada de Alice, isso gera a assinatura.

4. A assinatura é enviada juntamente com a mensagem para efeitos de verificação.

5. Ao chegar no destino, a assinatura é decifrada com a chave pública de Alice.

6. A assinatura é comparada com o hash da mensagem, o qual é gerado novamente no destino.

Page 170: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

170

ASSINATURA DIGITAL Finalidades alcançadas

A assinatura não pode ser falsificada; só Alice conhece sua chave privada.

A assinatura é autêntica; quando o destino verifica a assinatura com a chave pública de Alice ele sabe que ela assinou (codificou) isto.

A assinatura não é reutilizável; a assinatura em um documento não pode ser transferida para qualquer outro documento.

O documento assinado é inalterável; qualquer alteração de um documento (se ele foi ou não codificado) e a assinatura não é mais válida.

A assinatura não pode ser repudiada. O destino não precisa da ajuda de Alice para verificar sua assinatura.

Page 171: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

CRIPTOGRAFIA NA INTERNET

Page 172: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

172

CRIPTOGRAFIA NA INTERNET

Definições Confidencialidade

Garantir que uma mensagem não possa ser decifrada caso uma pessoa não autorizada tenha acesso a mesma.

Autenticação Certificar-se sobre a identidade do provável autor da

mensagem. Integridade

Verificar se uma mensagem foi alterada ou não. Não-repúdio

Garantir que o autor não posso negar o envio de uma mensagem que realmente tenha sido enviado por ele.

Page 173: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

173

CRIPTOGRAFIA NA INTERNET

Sistemas criptográficos na Internet PGP – Pretty Good Privacy

Criado por Phil Zimmermann em 1991 Sistema de criptografia híbrido (RSA/IDEA) Confidencialidade: IDEA Autenticação: Certificados de chave pública Integridade: MD5 Não-Repúdio: Assinaturas criptográficas

Page 174: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

174

CRIPTOGRAFIA NA INTERNET

Sistemas criptográficos na Internet SET – Secure Electronic Transaction

Criado para trabalhar com a confidencialidade de números de cartões de crédito na Internet.

Confidencialidade: RSA Integridade; Autenticação; Não-Repúdio: Uso

de algoritmos de codificação de mensagens (MD5, RC2) e assinaturas digitais

Page 175: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

175

CRIPTOGRAFIA NA INTERNET

Sistemas criptográficos na Internet Kerberos

Sistema de autenticação composto por três servidores: AS; TGS e Admin Server

Utiliza criptografia simétrica - DES Confidencialidade e autenticação somente

SSH – Secure Shell Protege operações de transferências de

arquivos e terminal virtual com uso de criptografia

Confidencialidade e autenticação somente RSA, DES, Triple-DES, Blowfish e outros

Page 176: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

176

CRIPTOGRAFIA NA INTERNET

Sistemas criptográficos na Internet SSL – Secure Socket Layer

Tecnologia desenvolvida pela Netscape Funciona como uma camada adicional na arquitetura

TCP/IP, responsável pela criptografia dos dados Confidencialidade; Autenticação; Integridade e Não-

Repúdio Utiliza algoritmos como RSA, RC2, RC4, MD5 e outros

Netscape 6.2“This version supports high-grade (128-bit) security with RSA

Public Key Cryptography, DSA, MD2, MD5, RC2-CBC, RC4, DES-CBC, DES-EDE3-CBC”

Page 177: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

177

CRIPTOGRAFIA NA INTERNET

Sistemas criptográficos na Internet IPSec

Arquitetura para o protocolo IP, buscando alcançar confidencialidade e autenticação.

Implementado como dois cabeçalhos opcionais:

Authentication Header Encapsulating Security Payload Header

Permite o uso de diferentes algoritmos de codificação de mensagem e de confidencialidade.

MD5, SHA, DES.

Page 178: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

ANTIVÍRUS

Page 179: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

179

ANTIVÍRUS Definição

São programas especializados na detecção e remoção de vírus, worms e qualquer outro tipo de programa malicioso.

Funcionamento

ANTIVÍRUS

A

C

D

E

B

Alert

Page 180: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

180

ANTIVÍRUS Métodos de localização de vírus

Comparação de strings Análise de assinaturas Heurísticas

Recursos verificados MBR (Master Boot Record) Dispositivos de armazenamento de dados

Discos flexíveis Discos rígidos CD-ROM ...

Page 181: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

181

ANTIVÍRUS Recursos verificados

Memória principal Programas de correio eletrônico Browsers

Page 182: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

FIREWALL

Page 183: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

183

FIREWALL Definição

É uma barreira inteligente entre duas redes, na maior parte das vezes a rede local e a Internet, através da qual só passa tráfego autorizado.[HAZARI, 2000]

Funções Um firewall é um checkpoint, ou seja, é o ponto

de conexão com o mundo externo, tudo o que chega à rede interna passa pelo firewall;

Um firewall pode aplicar uma política de segurança;

Um firewall pode fazer registros (log) eficientes das atividades;

Um firewall limita a exposição da empresa ao mundo externo.

Page 184: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

184

FIREWALL

Firewall = Software + Hardware

Page 185: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

185

FIREWALL Tipos de firewalls

Filtros de pacote Realiza uma análise dos pacotes, verificando

suas origens e destinos. Possui regras que determinam a filtragem. Um número grande de regras pode prejudicar

o desempenho do processo de filtragem, gerando um bottleneck

Susceptível a ataques de Spoofing e DDoS

Page 186: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

186

FIREWALL Tipos de firewalls

Stateful firewalls Realiza um processo de filtragem de pacote

mais refinado, onde todo o conteúdo é analisado e não somente endereços – Stateful Packet Inspection.

Pode fazer bloqueio de portas, diminuindo o risco de ataques inesperados.

Susceptível a ataques do tipo DDoS.

Page 187: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

187

FIREWALL Tipos de firewalls

Firewalls em nível de aplicação São firewalls coordenados por aplicações

chamadas proxies. Para cada tipo de serviço existe um aplicação

responsável pelo seu tratamento. Cada aplicação proxy intercepta o tráfego

vindo da rede interna e realiza a negociação com o meio exterior.

Permite um maior controle sobre o tráfego da rede, no entanto, prejudica o desempenho.

Page 188: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

188

FIREWALL Tipos de firewalls

Vantagens Diminui a necessidade de implantar

mecanismos de segurança em cada uma das máquinas da rede;

Facilita a administração e o acesso, permitindo a criação de regras e políticas de segurança.

Desvantagens Constitui um ponto de falha em potencial; Se não bem implementado pode interferir no

desempenho da rede

Page 189: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

PROXIES

Page 190: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

190

PROXIES Definição

É um tipo de firewall que funciona como um procurador (proxy) de todas as conexões da rede interna.

Page 191: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

191

PROXIES Tipos de proxy

Gateway de nível circuito É criada uma conexão virtual entre a máquina

cliente (rede interna) e o proxy. O proxy, por sua vez, altera o endereço IP da

requisição do cliente com seu endereço IP e realiza a negociação com o servidor externo.

As máquinas externas não e as máquinas internas não se comunicam diretamente, nunca.

Excelente cenário para implantação de endereços privados (10.0.0.0; 172.16.0.0; 192.168.0.0)

Page 192: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

192

PROXIES Tipos de proxy

Gateway de nível aplicação Implementa as mesmas funcionalidades do

gateway de nível circuito. Adiciona funcionalidade de análise detalhada

de pacotes. Permite o estabelecimento de políticas de

segurança robustas.

Page 193: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

193

PROXIES

Proxy de nível aplicação

Page 194: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

194

PROXIES Vantagens

Assim como um firewall qualquer, diminui a necessidade de aplicar políticas de segurança em todas as máquinas da rede;

Permite maior controle sobre o conteúdo acessado;

Permite o uso de redes privadas, evitando a aquisição de blocos grandes de endereços IP.

Desvantagens Funciona como um ponto de falha em potencial; É preciso implantar e manter gateways para

todos os tipos de serviços desejados.

Page 195: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

VPNVIRTUAL PRIVATE

NETWORK

Page 196: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

196

VPN Definição

São túneis virtuais criptografados entre pontos autorizados, criados através da Internet ou entre redes públicas e/ou privadas para a transferência de dados de forma segura.

Funcionalidades Permite a criação de redes virtuais através de

meios de comunicação de terceiros; Muito utilizado na configuração de extranets, ou

seja, a interligação entre duas intranets de uma mesma empresa;

Permite conexões dial-up seguras para usuário remotos.

Page 197: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

197

VPN

ACESSO REMOTO VIA INTERNET

Page 198: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

198

VPN

INTERCONEXÃO DE LANS VIA INTERNET

Page 199: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

199

VPN

ENCAPSULAMENTO IP-IN-IP

Page 200: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

200

VPN Como criar uma VPN?

Primeiro, é preciso dedicar e configurar duas máquinas (uma em cada ponta do túnel);

Depois, é preciso criar uma política de segurança para esse acesso (unidirecional ou bidirecional);

Sistemas criptográficos precisam ser analisados e estabelecidos;

Page 201: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

201

VPN Vantagens

Permite a criação de redes virtuais sem a aquisição de links dedicados;

Diminui os custos de interligação de empresas disseminadas geograficamente;

Desvantagens Cria uma entrada a mais na sua rede que

mesmo protegida precisa de monitoramento;

Não é possível exigir aspectos como segurança, desempenho e exclusividade dos recursos utilizados.

Page 202: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

IDSINTRUSION DETECTION

SYSTEM

Page 203: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

203

IDS Definição

É qualquer sistema que tem por finalidade identificar e responder a atividades maliciosas dirigidas a computadores e recursos da rede.[Amoroso, 1999]

Componentes de um IDS Geradores de eventos Analisadores de eventos Base de dados de eventos Unidades de respostas

Page 204: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

204

IDS Métodos de detecção de intrusão

Métodos tradicionais Trilhas de auditoria Captura de pacotes (tcpdump, windump) Consultas a agentes SNMP

Análise baseada em assinaturas Verifica as ações dos usuários, pacotes que

trafegam, etc e compara com uma base de possíveis ataques.

Page 205: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

205

IDS Métodos de detecção de intrusão

Análise baseada em comportamento Faz “retratos” do sistema em situação

normal. Depois, com o sistema em ação, compara seu estado com esses retratos.

Métodos avançados Redes Neurais Computer Immunology

Page 206: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

206

IDS Vantagens

Potencializa a segurança de sistemas computacionais;

Diminui a sobrecarga em cima do administrador que agora não precisa gastar tempo com análise de logs, ...

Desvantagens São sistemas que consumem muito

processamento e podem prejudicar o desempenho da máquina e da rede como um todo;

Dificuldade de manutenção.

Page 207: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

207

IDS Exemplos

Snort – freeware (Windows/Unix) Bro – freeware (Unix) RealSecure – Comercial (Windows)

Page 208: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

COMO DIMINUIR ATAQUES

Page 209: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

209

COMO DIMINUIR ATAQUES Vírus / Worms / Trojans

Uso de antivírus de comprovada eficiência Atualizações constantes, se possível diárias

Erros de programação - Exploits Atualizações constantes de softwares e uso de

patches Verificação constante de novos erros em

softwares através de sites na Internet Evite o uso de softwares pouco testados Faça análise constante dos logs

Page 210: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

210

COMO DIMINUIR ATAQUES Spoofing

Uso de criptografia e assinatura digital para transações importantes

Uso de autenticação de parceiros (Kerberos, por exemplo)

Uso de filtros anti-Spoofing DoS / DDoS

Verificar padrões de comportamento Uso de filtros anti-Spoofing

Page 211: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

211

COMO DIMINUIR ATAQUES Ferramentas IP/Port Scanner

Alguns IDS verificam se as máquinas de uma rede ou portas de um computador estão sendo “varridas” num curto intervalo de tempo.

Ferramentas Sniffer Preferir redes estruturadas com hubs ativos ou

switches. O custo representa segurança e melhor desempenho.

Evite o acesso de pessoas e máquinas estranhas(notebooks, por exemplo) a sua rede.

Page 212: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

212

COMO DIMINUIR ATAQUES Engenharia Social

Treinar os membros da equipe/empresa evitar o acesso a informações importantes.

Realizar uma seleção rígida nos prováveis funcionários da empresa.

Estabelecer e cultivar a estrutura de hierarquia da informação. “Eu não posso passar esta informação, somente o meu superior”.

Não desvalorizar os funcionários (financeiramente, profissionalmente, ...).

Tome cuidado com seu lixo.

Page 213: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

FIQUE POR DENTRO

Page 214: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

REDES WIRELESSUM NOVO PERIGO

Page 215: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

215

REDES WIRELESSESS/BSS Layout

IBSS Layout

Page 216: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

216

REDES WIRELESS As informações transmitidas numa

rede sem fio não estão condicionadas a um cabo físico.

Redes vizinhas não precisam obedecer a barreira do firewall/proxy.

Os sinais podem ser captados por ambientes externos ao da rede local.

“O Ataque das Batatas Pringles”

Page 217: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

217

REDES WIRELESS Segundo Scott Lowe 6(Seis) pontos

precisam ser levados em consideração na montagem de uma rede wireless:

Não se recomenda que a antena fique perto de janelas. O ideal é colocar a antena no centro da área que você quer cobrir;

Habilitar o WEP (Wired Equivalent Privacy), o qual é um método criptográfico em redes sem fio.;

Page 218: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

218

REDES WIRELESS Mudar o SSID e desabilitar o broadcast.

O SSID (Service Set IDentifier) é uma string de identificação utilizada em pontos de acesso à redes sem fios pelo qual os clientes podem iniciar suas conexões;

Desabilitar o DHCP (Dynamic Host Configuration Protocol);

Desabilitar ou modificar os parâmetros SNMP (Simple Network Management Protocol);

Page 219: Segurança da Informação na Internet Prof. Dr. Miguel Franklin de Castro miguel@lia.ufc.br

219

REDES WIRELESS

Utilizar “access lists”, especificando exatamente quais máquinas poderão se conectar ao ponto de acesso da rede.