seguranÇa em redes de computadores -...
TRANSCRIPT
SUMÁRIO
• INTRODUÇÃO
• CRIPTOGRAFIA
• VULNERABILIDADES EM SISTEMAS DISTRIBUIDOS
• REDES LOCAIS E DE GRANDE ESCALA
• FIREWALLS
• SISTEMAS DE DETECÇÃO DE INTRUSÃO
SUMÁRIO
• INTRODUÇÃO
• CRIPTOGRAFIA
• VULNERABILIDADES EM SISTEMAS DISTRIBUÍDOS
• REDES LOCAIS E DE GRANDE ESCALA
• FIREWALLS
• SISTEMAS DE DETECÇÃO DE INTRUSÃO
ÁREAS DE SEGURANÇA
• DEFESA CONTRA CATÁSTROFES NATURAIS
• DEFESA CONTRA FALHAS PREVISÍVEIS
• DEFESA CONTRA ACTIVIDADES NÃO AUTORIZADAS
DEFESA CONTRA CATÁSTROFES NATURAIS
• CATÁSTROFES AMBIENTAIS: TERRAMOTOS, INCÊNDIOS, INUNDAÇÕES, ...
• CATÁSTROFES POLÍTICAS: ATAQUES TERRORISTAS, MOTINS, ...
• CATÁSTROFES MATERIAIS: PERDA/ROUBO DE MATERIAL INFORMÁTICO, DEGRADAÇÃO DOS EQUIPAMENTOS, ...
DEFESA CONTRA FALHAS PREVISÍVEIS
• QUEBRAS DE ENERGIA ELÉCTRICA
• BLOQUEIO DE APLICAÇÕES
• FALHAS DE CONECTIVIDADE EM TROÇOS DE REDE
DEFESA CONTRA ACTIVIDADES NÃO AUTORIZADAS
• ACESSO À INFORMAÇÃO CONFIDENCIAL
• ALTERAÇÃO DA INFORMAÇÃO
• UTILIZAÇÃO ABUSIVA DOS RECURSOS
• IMPEDIMENTO DA PRESTAÇÃO DO SERVIÇO
• VANDALISMO
ATAQUES COMUNS À SEGURANÇA
• DERIVAÇÃO NOS CABOS• PERSONIFICAÇÃO• DENIAL OF SERVICE (DOS)• SUBSTITUIÇÃO DE MENSAGENS• DESCOBERTA DE PASSWORDS• DESCOBERTA DE CHAVES DE
ENCRIPTAÇÃO• VÍRUS
SOLUÇÕES PARA OS PROBLEMAS DE SEGURANÇA
• ENCRIPTAÇÃO DOS DADOS• AUTENTICAÇÃO POR ASSINATURAS DIGITAS• AUTORIZAÇÃO• VERIFICAÇÃO DA INTEGRIDADE DAS MENSAGENS• CÓDIGOS DE AUTENTICAÇÃO DAS MENSAGENS• NÃO REPÚDIO• ONE TIME PASSWORD (OTP)• REFRESCAMENTE FREQUENTE DAS CHAVES DE
ENCRIPTAÇÃO• MÁSCARA DOS ENDEREÇOS
REALIZAÇÃO DAS ACÇÕES DE SEGURANÇA
• FILTRO IP• NAT• IPSEC• SOCKS• SECURE SHELL (SSH)• SECURE SOCKET LAYER (SSL)• PROXIES DE APLICAÇÃO• FIREWALLS• SISTEMAS DE AUTENTICAÇÃO• TRANSACÇÕES ELECTRÓNICAS SEGURAS (SET)
SEGURANÇA NOS NÍVEIS TCP/IP
Interface de Rede
I P
TCP / UDP
Aplicação
CHAP, PAP, MS-CHAP
IPSec
Packet Filtering
Tunneling Protocols
SOCKS
SSL, TLS
Kerberos HTTPS
S-MIME IMAPS
Proxies POPS
SET SSH
IPSec
POLÍTICAS DE SEGURANÇA DE REDES
• Definição dos Serviços Permitidos• Definição dos Serviços Negados• Excepções às Regras
• Regras do Firewall:“Tudo o que não é permitido é negado”
ou“Tudo o que não é negado é permitido”
SUMÁRIO
• INTRODUÇÃO
• CRIPTOGRAFIA
• VULNERABILIDADES EM SISTEMAS DISTRIBUÍDOS
• REDES LOCAIS E DE GRANDE ESCALA
• FIREWALLS
• SISTEMAS DE DETECÇÃO DE INTRUSÃO
• KRYTHOS (OCULTO) + GRAPH (ESCREVER)
• BASTÃO DOS ESPARTANOS• CIFRA DE CÉSAR (ADITIVA)
CRIPTOGRAFIA
ALGORITMO DE CIFRA
ALGORITMO DE DECIFRA
TEXTO EM CLARO CRIPTOGRAMA
TIPOS DE CIFRA
• TRANSPOSIÇÃOEX: AVANÇO DE LETRAS DO ALFABETO
BLOCOS VERTICAIS
• SUBSTITUIÇÃOMONO / POLI ALFABETOS
CRIPTO-LETRA= (LETRA + (X) CHAVE) (CHAVE É UM Nº)
MOD #ALFABETOCRIPTO-LETRA = (LETRA X CHAVE1) + CHAVE2
MOD #ALFABETO
TIPOS DE CIFRA• SUBSTITUIÇÃO MONO ALFABETO
EX: FRASE CHAVE:
ELES NÃO SABEM NEM SONHAM
LETRA CHAVE: H(RETIRAR ESPAÇOS, PONTUAÇÃO E CARACTERES REPETIDOS)
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
T U V W X Y Z E L S N A O B M H C D F G I J K P Q R
FRASE: E L E S N A O S A B E M Q U E O S O N H O
CRIPTA: X A X F B T M F T U X O C I X M F M B E M
• SUBSTITUIÇÃO POLI ALFABETO
EX VIGENERE
A B C D E F G H I J K L M N O P Q R S T U V W X Y ZA A B C D E F G H I J K L M N O P Q R S T U V W X Y ZB B C D E F G H I J K L M N O P Q R S T U V W X Y Z AC C D E F G H I J K L M N O P Q R S T U V W X Y Z A BD D E F G H I J K L M N O P Q R S T U V W X Y Z A B CE E F G H I J K L M N O P Q R S T U V W X Y Z A B C DF F G H I J K L M N O P Q R S T U V W X Y Z A B C D EG G H I J K L M N O P Q R S T U V W X Y Z A B C D E FH H I J K L M N O P Q R S T U V W X Y Z A B C D E F GI I J K L M N O P Q R S T U V W X Y Z A B C D E F G HJ J K L M N O P Q R S T U V W X Y Z A B C D E F G H I K K L M N O P Q R S T U V W X Y Z A B C D E F G H I J L L M N O P Q R S T U V W X Y Z A B C D E F G H I J KM M N O P Q R S T U V W X Y Z A B C D E F G H I J K LN N O P Q R S T U V W X Y Z A B C D E F G H I J K L MO O P Q R S T U V W X Y Z A B C D E F G H I J K L M NP P Q R S T U V W X Y Z A B C D E F G H I J K L M N OQ Q R S T U V W X Y Z A B C D E F G H I J K L M N O PR R S T U V W X Y Z A B C D E F G H I J K L M N O P QS S T U V W X Y Z A B C D E F G H I J K L M N O P Q RT T U V W X Y Z A B C D E F G H I J K L M N O P Q R SU U V W X Y Z A B C D E F G H I J K L M N O P Q R S TV V W X Y Z A B C D E F G H I J K L M N O P Q R S T UW W X Y Z A B C D E F G H I J K L M N O P Q R S T U VX X Y Z A B C D E F G H I J K L M N O P Q R S T U V WY Y Z A B C D E F G H I J K L M N O P Q R S T U V W XZ Z A B C D E F G H I J K L M N O P Q R S T U V W X Z ORIGEM E L E S N A O S A B E M Q U E O S O N H O CHAVE P O E M A P O E M A P O E M A P O E M A P CRIPTO T Z I E N P C W M B T A U G E D G S Z H D
CRIPTOGRAFIA
• CRITÉRIO DE QUALIDADE DA CIFRA
• SECRETISMO (TEMPO ÚTIL VS TEMPO DE QUEBRA)
• DIMENSÃO DA CHAVE (TRANSMISSÃO E
SALVAGUARDA DA CHAVE)
• SIMPLICIDADE DE UTILIZAÇÃO
• PROPAGAÇÃO DE ERROS
• DIMENSÃO DO CRIPTOGRAMA
CRIPTOGRAFIA
• CIFRAS MODERNAS: USAM DADOS, CHAVES E LÓGICA BINÁRIA
• CIFRA POR BLOCOS (MONOALFABETOS)• CIFRA CONTÍNUA (MULTIALFABETOS)
• CHAVES: SIMÉTRICASASSIMÉTRICAS
CRIPTOGRAFIA
• CHAVES SIMÉTRICAS
• VANTAGENS:
MAIS EFICIENTES
• DESVANTAGENS:
Nº DE CHAVES CRESCE COM O QUADRADO DOS ENVOLVIDOS
DISTRIBUIÇÃO SEGURA DAS CHAVES
CRIPTOGRAFIA• CHAVES ASSIMÉTRICAS
• 1 CHAVE PARA DESENCRIPTAR
• 1 CHAVE PARA ENCRIPTAR RELACIONADA
• PARES DE CHAVE PÚBLICA E CHAVE PRIVADA
• VANTAGENS:
MENOS CHAVES (UM PAR POR ENTIDADE)
• DESVANTAGEM:
MENOS EFICIENTE
CRIPTOGRAFIA
• CIFRA SIMÉTRICA POR BLOCOS
Bloco(bits) Chave(bits Iterações internas
DES 64 56 16CAST 64 64 8IDEA 64 128 8Blowfish 64 Variável até 448 16AES *** 128, 192 ou 256 128, 192 ou 256 10, 12 ou 14RC5 variável variável variável
*** eficientes em processadores de 8 (cartões), 32 ou 64 bits – adoptado 2002
CRIPTOGRAFIA
CIFRA SIMÉTRICA CONTÍNUA
Chave (bits)A5 64RC4 40 – 2048SEAL 160
A5 – comunicações GSM
RC4 – não público, vendido pela RSA Security Inc
CRIPTOGRAFIA
CIFRA ASSIMÉTRICA POR BLOCOS
ALGORITMO MAIS UTILIZADO: RSA DE CHAVE DE COMPRIMENTO VARIÁVEL (200 BITS MIN)
CHAVE PRIVADA JOÃO
CRIPTOGRAMA
CHAVE PÚBLICA JOÃO
MENSAGEM
+ +
MENSAGEM
JOÃO MARIA
CRIPTOGRAFIA
• CÓDIGOS AUTENTICADOR DE MENSAGENS (MAC)
mensagem
CHAVE
MAC
mensagem
CHAVEMAC
MACRECEBIDO
=
?SIM? OK
NÃO? ALTERAÇÃO DO CONTEÚDO
CRIPTOGRAFIA
• CIFRA AUTENTICADA: MAC AUTENTICA MENSAGEM CIFRADA
MSG CLARO ->MAC ENVIO MAC CLARO + MSG CRIPT SSH
MSG CLARO -> MACENVIO MAC CRIPT + MSG CRIPT SSL
MSG CRIPT-> MACENVIO MAC CLARO + MSG CRIPT VPN
CRIPTOGRAFIA
• Assinaturas digitais: garantir a autoria• Criptografia assimétrica• MAC com a chave privada
• Problema: distribuição e gestão das chaves públicas
CRIPTOGRAFIA
• PGP: Pretty Good Privacy
• 2 chaveiros: • para a chave privada (secring.skr)• Para as chaves públicas (pubring.skr)
CRIPTOGRAFIA
• Autenticação do remetente
Rementente: chave privada própria
Destinatário: chave publica do remetente
CRIPTOGRAFIA
• Secretismo da mensagem
Remetente: chave pública do destinatário
Destinatário: chave privada própria
CRIPTOGRAFIA
• Autenticação do remetente e Secretismo da mensagem
Remetente: chave pública do destinatário + chave privada própria
Destinatário: chave privada própria + chave pública do remetente
SUMÁRIO
• INTRODUÇÃO
• CRIPTOGRAFIA
• VULNERABILIDADES EM SISTEMAS DISTRIBUIDOS
• REDES LOCAIS E DE GRANDE ESCALA
• FIREWALLS
• SISTEMAS DE DETECÇÃO DE INTRUSÃO
VULNERABILIDADES EM SISTEMAS DISTRIBUÍDOS
• Identificação do sistema operativo:• Banners nos servidores• IP Finguerprinting: pilha IP (nmap e ring)• Inventariação de serviços activos
Portos tcp: envio de pedidos SYN ou FINPortos udp (mais difícil – não há resposta)
• Deficiências de Administração• Cenários absurdos !!!
VULNERABILIDADES EM SISTEMAS DISTRIBUÍDOS
• Land attack: mesmo porto e IP de origem e destino – entra em ciclo -> firewall
• Teardrop attack: confusão nos inícios dos segmentos dos pacotes IP - crash -> firewall
• Sobre fragmentação Ping of Death - crash
• SYN flooding: excessivas pedidos de ligações TCP sem ACK
SUMÁRIO
• INTRODUÇÃO
• CRIPTOGRAFIA
• VULNERABILIDADES EM SISTEMAS DISTRIBUIDOS
• REDES LOCAIS E DE GRANDE ESCALA
• FIREWALLS
• SISTEMAS DE DETECÇÃO DE INTRUSÃO
REDES LOCAIS E DE GRANDE ESCALA
• Levantamento da arquitectura da rede• Servidor DNS !!!
• “personificação de serviços ou máquinas”• Uso de nomes enganadores (whitehouse.org vs
whitehouse.gov) • DNS Spoofing: envenenamento da cache do
DNS• MAC spoofing: DHCP falso
REDES LOCAIS E DE GRANDE ESCALA
• Confidencialidade de interacção entre redes
Interface de Rede
I P
TCP / UDP
Aplicação
CHAP, PAP, MS-CHAP
IPSec
Packet Filtering
TunnelingProtocols
SOCKS
SSL, TLS
Kerberos HTTPS
S-MIME IMAPS
Proxies POPS
SET SSH
IPSec
REDES LOCAIS E DE GRANDE ESCALA
• Captura de Passwords:
• Uso de passwords únicas (one time password –OTP)
• Desafio e resposta: só o receptor sabe a resposta (MS-CHAP, cartões SIM telemovel)
• Credenciais cifradas com pw pessoais –(domínio windows 2000)
• PROBLEMA: ataques com diccionários
REDES LOCAIS E DE GRANDE ESCALA
• Captura em redes sem fios (GSM, GPRS, UMTS, 802.11, DECT, Bluetooth, IRDa, ...)
• Impossível limitar o acesso físico à rede
• SOLUÇÂO: cifra de conteúdos....
REDES LOCAIS E DE GRANDE ESCALA
• Redes 802.11 (Wireless LAN)
• Comunicação AP – móvel de 2 tipos:Mensagens de controlo – não confidencial
Mensagens de dados – wep (wired equivalente privacy)
• WEP: chave pré partilhada – cifra contínua RC4
• Problema: a chave é sempre a mesma !!!
SUMÁRIO
• INTRODUÇÃO
• CRIPTOGRAFIA
• VULNERABILIDADES EM SISTEMAS DISTRIBUÍDOS
• REDES LOCAIS E DE GRANDE ESCALA
• FIREWALLS
• SISTEMAS DE DETECÇÃO DE INTRUSÃO
FIREWALLS
• OBJECTIVOS:Protecção por isolamento de máquinasControlo de interacções entre máquinas
• Definição de regras e aplicações
Perímetro Protegido
Redes PerigosasFireWall
FIREWALLS
• Componentes de uma FireWall– Filtros– Gateway– DeMilitarized Zone (DMZ)
INPerímetro Protegido
OUTRedes
Perigosas
Filtro FiltroGateway
DMZ
FIREWALLS
• DMZ: Servidores públicos– Correio electrónico– HTTP– FTP– NEWS
• Filtros: aplicam regras sobre portos TCP/UDP• Gateway: aplica regras de encaminhamento
FIREWALLS
• NAT (Network Address Translation)• PAT (Port Address Translation)• NAPT (Network Address and Port Translation)• Encapsulamento (tunneling)
• Vantagens– Impedir visibilidade exterior (IP masquerading)– Impedir visibilidade dos serviços (port forwarding)
FIREWALLS
• Modelo de intervenção:– Filtro de datagramas (packet filter)– Filtro aplicacional (application gateway)– Filtro de circuitos (circuit gateway)
FIREWALLS
• Filtro de datagramas (packet filter)– Endereço IP (de origem ou destino)– Protocolos e portos de transporte– Sentido da criação de circuitos virtuais– Operações ICMP (ping, tracert, ...)– Opções do cabeçalho IP
• Fáceis de realizar, sensíveis a alguns ataques (fragmentação IP)
FIREWALLS
• Filtro aplicacional (application gateway)– Controlo de acesso de utilizadores– Análise e alteração de conteúdos– Registo de operações
FIREWALLS
• Filtro de circuitos (circuit gateway)– Redireccionamento de circuitos– Balanceamento de tráfego– Autorização de circuitos virtuais
FIREWALLS
• Serviços oferecidos:– Autorização– Controlo de operação e conteúdos– Redireccionamento– Comunicação segura– Protecção contra ataques à prestação de serviços– Ocultação de sistemas
SUMÁRIO
• INTRODUÇÃO
• CRIPTOGRAFIA
• VULNERABILIDADES EM SISTEMAS DISTRIBUÍDOS
• REDES LOCAIS E DE GRANDE ESCALA
• FIREWALLS
• SISTEMAS DE DETECÇÃO DE INTRUSÃO
SISTEMAS DE DETECÇÃO DE INTRUSÃO
• Intrusion Detection Systems (IDS)– Detectar e contrariar intrusões– Alarmística
• Ex. Tripwire, Snort• Intrusão:
– Conjunto de acções para comprometer a integridade, confidencialidade ou disponibilidade de um recurso, executando um ou mais ataques
SISTEMAS DE DETECÇÃO DE INTRUSÃO
• Defesa contra intrusão– Coleccionar dados (assinaturas)– Registo dos comportamentos anómalos– Reporte desses comportamentos
• Acções :– Reforço da segurança– Correcção das falhas– Potes de mel (honeypots)
SISTEMAS DE DETECÇÃO DE INTRUSÃO
• Classificação dos IDS• Método de detecção:
• Baseada em conhecimento• Baseada em comportamento
• Fontes de eventos• Máquinas• Redes• Hibridos
• Instantes de detecção• Tempo real• À posteriori
• Reactividade• Activos• Passivos
• Tipo de análise• Singular• Cooperativa
SISTEMAS DE DETECÇÃO DE INTRUSÃO
• Limitações – Ambientes diversificados (falsos positivos)– Escalabilidade– Falta de taxionomia universal
• Evolução:Sistemas de Prevenção de Intrusão (IPS)