seguranÇa em redes de computadores -...

SEGURANÇA EM REDES DE

COMPUTADORES

SUMÁRIO

• INTRODUÇÃO

• CRIPTOGRAFIA

• VULNERABILIDADES EM SISTEMAS DISTRIBUIDOS

• REDES LOCAIS E DE GRANDE ESCALA

• FIREWALLS

• SISTEMAS DE DETECÇÃO DE INTRUSÃO

SUMÁRIO

• INTRODUÇÃO

• CRIPTOGRAFIA

• VULNERABILIDADES EM SISTEMAS DISTRIBUÍDOS


• FIREWALLS


ÁREAS DE SEGURANÇA

• DEFESA CONTRA CATÁSTROFES NATURAIS

• DEFESA CONTRA FALHAS PREVISÍVEIS

• DEFESA CONTRA ACTIVIDADES NÃO AUTORIZADAS

DEFESA CONTRA CATÁSTROFES NATURAIS

• CATÁSTROFES AMBIENTAIS: TERRAMOTOS, INCÊNDIOS, INUNDAÇÕES, ...

• CATÁSTROFES POLÍTICAS: ATAQUES TERRORISTAS, MOTINS, ...

• CATÁSTROFES MATERIAIS: PERDA/ROUBO DE MATERIAL INFORMÁTICO, DEGRADAÇÃO DOS EQUIPAMENTOS, ...

DEFESA CONTRA FALHAS PREVISÍVEIS

• QUEBRAS DE ENERGIA ELÉCTRICA

• BLOQUEIO DE APLICAÇÕES

• FALHAS DE CONECTIVIDADE EM TROÇOS DE REDE

DEFESA CONTRA ACTIVIDADES NÃO AUTORIZADAS

• ACESSO À INFORMAÇÃO CONFIDENCIAL

• ALTERAÇÃO DA INFORMAÇÃO

• UTILIZAÇÃO ABUSIVA DOS RECURSOS

• IMPEDIMENTO DA PRESTAÇÃO DO SERVIÇO

• VANDALISMO

ATAQUES COMUNS À SEGURANÇA

• DERIVAÇÃO NOS CABOS• PERSONIFICAÇÃO• DENIAL OF SERVICE (DOS)• SUBSTITUIÇÃO DE MENSAGENS• DESCOBERTA DE PASSWORDS• DESCOBERTA DE CHAVES DE

ENCRIPTAÇÃO• VÍRUS

SOLUÇÕES PARA OS PROBLEMAS DE SEGURANÇA

• ENCRIPTAÇÃO DOS DADOS• AUTENTICAÇÃO POR ASSINATURAS DIGITAS• AUTORIZAÇÃO• VERIFICAÇÃO DA INTEGRIDADE DAS MENSAGENS• CÓDIGOS DE AUTENTICAÇÃO DAS MENSAGENS• NÃO REPÚDIO• ONE TIME PASSWORD (OTP)• REFRESCAMENTE FREQUENTE DAS CHAVES DE

ENCRIPTAÇÃO• MÁSCARA DOS ENDEREÇOS

REALIZAÇÃO DAS ACÇÕES DE SEGURANÇA

• FILTRO IP• NAT• IPSEC• SOCKS• SECURE SHELL (SSH)• SECURE SOCKET LAYER (SSL)• PROXIES DE APLICAÇÃO• FIREWALLS• SISTEMAS DE AUTENTICAÇÃO• TRANSACÇÕES ELECTRÓNICAS SEGURAS (SET)

SEGURANÇA NOS NÍVEIS TCP/IP

Interface de Rede

I P

TCP / UDP

Aplicação

CHAP, PAP, MS-CHAP

IPSec

Packet Filtering

Tunneling Protocols

SOCKS

SSL, TLS

Kerberos HTTPS

S-MIME IMAPS

Proxies POPS

SET SSH

IPSec

POLÍTICAS DE SEGURANÇA DE REDES

• Definição dos Serviços Permitidos• Definição dos Serviços Negados• Excepções às Regras

• Regras do Firewall:“Tudo o que não é permitido é negado”

ou“Tudo o que não é negado é permitido”

SUMÁRIO

• INTRODUÇÃO

• CRIPTOGRAFIA



• FIREWALLS


• KRYTHOS (OCULTO) + GRAPH (ESCREVER)

• BASTÃO DOS ESPARTANOS• CIFRA DE CÉSAR (ADITIVA)

CRIPTOGRAFIA

ALGORITMO DE CIFRA

ALGORITMO DE DECIFRA

TEXTO EM CLARO CRIPTOGRAMA

TIPOS DE CIFRA

• TRANSPOSIÇÃOEX: AVANÇO DE LETRAS DO ALFABETO

BLOCOS VERTICAIS

• SUBSTITUIÇÃOMONO / POLI ALFABETOS

CRIPTO-LETRA= (LETRA + (X) CHAVE) (CHAVE É UM Nº)

MOD #ALFABETOCRIPTO-LETRA = (LETRA X CHAVE1) + CHAVE2

MOD #ALFABETO

TIPOS DE CIFRA• SUBSTITUIÇÃO MONO ALFABETO

EX: FRASE CHAVE:

ELES NÃO SABEM NEM SONHAM

LETRA CHAVE: H(RETIRAR ESPAÇOS, PONTUAÇÃO E CARACTERES REPETIDOS)

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

T U V W X Y Z E L S N A O B M H C D F G I J K P Q R

FRASE: E L E S N A O S A B E M Q U E O S O N H O

CRIPTA: X A X F B T M F T U X O C I X M F M B E M

• SUBSTITUIÇÃO POLI ALFABETO

EX VIGENERE

A B C D E F G H I J K L M N O P Q R S T U V W X Y ZA A B C D E F G H I J K L M N O P Q R S T U V W X Y ZB B C D E F G H I J K L M N O P Q R S T U V W X Y Z AC C D E F G H I J K L M N O P Q R S T U V W X Y Z A BD D E F G H I J K L M N O P Q R S T U V W X Y Z A B CE E F G H I J K L M N O P Q R S T U V W X Y Z A B C DF F G H I J K L M N O P Q R S T U V W X Y Z A B C D EG G H I J K L M N O P Q R S T U V W X Y Z A B C D E FH H I J K L M N O P Q R S T U V W X Y Z A B C D E F GI I J K L M N O P Q R S T U V W X Y Z A B C D E F G HJ J K L M N O P Q R S T U V W X Y Z A B C D E F G H I K K L M N O P Q R S T U V W X Y Z A B C D E F G H I J L L M N O P Q R S T U V W X Y Z A B C D E F G H I J KM M N O P Q R S T U V W X Y Z A B C D E F G H I J K LN N O P Q R S T U V W X Y Z A B C D E F G H I J K L MO O P Q R S T U V W X Y Z A B C D E F G H I J K L M NP P Q R S T U V W X Y Z A B C D E F G H I J K L M N OQ Q R S T U V W X Y Z A B C D E F G H I J K L M N O PR R S T U V W X Y Z A B C D E F G H I J K L M N O P QS S T U V W X Y Z A B C D E F G H I J K L M N O P Q RT T U V W X Y Z A B C D E F G H I J K L M N O P Q R SU U V W X Y Z A B C D E F G H I J K L M N O P Q R S TV V W X Y Z A B C D E F G H I J K L M N O P Q R S T UW W X Y Z A B C D E F G H I J K L M N O P Q R S T U VX X Y Z A B C D E F G H I J K L M N O P Q R S T U V WY Y Z A B C D E F G H I J K L M N O P Q R S T U V W XZ Z A B C D E F G H I J K L M N O P Q R S T U V W X Z ORIGEM E L E S N A O S A B E M Q U E O S O N H O CHAVE P O E M A P O E M A P O E M A P O E M A P CRIPTO T Z I E N P C W M B T A U G E D G S Z H D

CRIPTOGRAFIA

CHAVE

MENSAGEM

CRIPTOGRAMA

CHAVE

MENSAGEM

+ +

CRIPTOGRAFIA

• CRITÉRIO DE QUALIDADE DA CIFRA

• SECRETISMO (TEMPO ÚTIL VS TEMPO DE QUEBRA)

• DIMENSÃO DA CHAVE (TRANSMISSÃO E

SALVAGUARDA DA CHAVE)

• SIMPLICIDADE DE UTILIZAÇÃO

• PROPAGAÇÃO DE ERROS

• DIMENSÃO DO CRIPTOGRAMA

CRIPTOGRAFIA

• CIFRAS MODERNAS: USAM DADOS, CHAVES E LÓGICA BINÁRIA

• CIFRA POR BLOCOS (MONOALFABETOS)• CIFRA CONTÍNUA (MULTIALFABETOS)

• CHAVES: SIMÉTRICASASSIMÉTRICAS

CRIPTOGRAFIA

• CHAVES SIMÉTRICAS

• VANTAGENS:

MAIS EFICIENTES

• DESVANTAGENS:

Nº DE CHAVES CRESCE COM O QUADRADO DOS ENVOLVIDOS

DISTRIBUIÇÃO SEGURA DAS CHAVES

CRIPTOGRAFIA• CHAVES ASSIMÉTRICAS

• 1 CHAVE PARA DESENCRIPTAR

• 1 CHAVE PARA ENCRIPTAR RELACIONADA

• PARES DE CHAVE PÚBLICA E CHAVE PRIVADA

• VANTAGENS:

MENOS CHAVES (UM PAR POR ENTIDADE)

• DESVANTAGEM:

MENOS EFICIENTE

CRIPTOGRAFIA

• CIFRA SIMÉTRICA POR BLOCOS

Bloco(bits) Chave(bits Iterações internas

DES 64 56 16CAST 64 64 8IDEA 64 128 8Blowfish 64 Variável até 448 16AES *** 128, 192 ou 256 128, 192 ou 256 10, 12 ou 14RC5 variável variável variável

*** eficientes em processadores de 8 (cartões), 32 ou 64 bits – adoptado 2002

CRIPTOGRAFIA

CIFRA SIMÉTRICA CONTÍNUA

Chave (bits)A5 64RC4 40 – 2048SEAL 160

A5 – comunicações GSM

RC4 – não público, vendido pela RSA Security Inc

CRIPTOGRAFIA

CIFRA ASSIMÉTRICA POR BLOCOS

ALGORITMO MAIS UTILIZADO: RSA DE CHAVE DE COMPRIMENTO VARIÁVEL (200 BITS MIN)

CHAVE PRIVADA JOÃO

CRIPTOGRAMA

CHAVE PÚBLICA JOÃO

MENSAGEM

+ +

MENSAGEM

JOÃO MARIA

CRIPTOGRAFIA

• CÓDIGOS AUTENTICADOR DE MENSAGENS (MAC)

mensagem

CHAVE

MAC

mensagem

CHAVEMAC

MACRECEBIDO

=

?SIM? OK

NÃO? ALTERAÇÃO DO CONTEÚDO

CRIPTOGRAFIA

• CIFRA AUTENTICADA: MAC AUTENTICA MENSAGEM CIFRADA

MSG CLARO ->MAC ENVIO MAC CLARO + MSG CRIPT SSH

MSG CLARO -> MACENVIO MAC CRIPT + MSG CRIPT SSL

MSG CRIPT-> MACENVIO MAC CLARO + MSG CRIPT VPN

CRIPTOGRAFIA

• Assinaturas digitais: garantir a autoria• Criptografia assimétrica• MAC com a chave privada

• Problema: distribuição e gestão das chaves públicas

CRIPTOGRAFIA

• PGP: Pretty Good Privacy

• 2 chaveiros: • para a chave privada (secring.skr)• Para as chaves públicas (pubring.skr)

CRIPTOGRAFIA

• Autenticação do remetente

Rementente: chave privada própria

Destinatário: chave publica do remetente

CRIPTOGRAFIA

• Secretismo da mensagem

Remetente: chave pública do destinatário

Destinatário: chave privada própria

CRIPTOGRAFIA

• Autenticação do remetente e Secretismo da mensagem

Remetente: chave pública do destinatário + chave privada própria

Destinatário: chave privada própria + chave pública do remetente

SUMÁRIO

• INTRODUÇÃO

• CRIPTOGRAFIA



• FIREWALLS


VULNERABILIDADES EM SISTEMAS DISTRIBUÍDOS

• Identificação do sistema operativo:• Banners nos servidores• IP Finguerprinting: pilha IP (nmap e ring)• Inventariação de serviços activos

Portos tcp: envio de pedidos SYN ou FINPortos udp (mais difícil – não há resposta)

• Deficiências de Administração• Cenários absurdos !!!

VULNERABILIDADES EM SISTEMAS DISTRIBUÍDOS

• Land attack: mesmo porto e IP de origem e destino – entra em ciclo -> firewall

• Teardrop attack: confusão nos inícios dos segmentos dos pacotes IP - crash -> firewall

• Sobre fragmentação Ping of Death - crash

• SYN flooding: excessivas pedidos de ligações TCP sem ACK

SUMÁRIO

• INTRODUÇÃO

• CRIPTOGRAFIA



• FIREWALLS


REDES LOCAIS E DE GRANDE ESCALA

• Levantamento da arquitectura da rede• Servidor DNS !!!

• “personificação de serviços ou máquinas”• Uso de nomes enganadores (whitehouse.org vs

whitehouse.gov) • DNS Spoofing: envenenamento da cache do

DNS• MAC spoofing: DHCP falso


• Confidencialidade de interacção entre redes

Interface de Rede

I P

TCP / UDP

Aplicação

CHAP, PAP, MS-CHAP

IPSec

Packet Filtering

TunnelingProtocols

SOCKS

SSL, TLS

Kerberos HTTPS

S-MIME IMAPS

Proxies POPS

SET SSH

IPSec


• Captura de Passwords:

• Uso de passwords únicas (one time password –OTP)

• Desafio e resposta: só o receptor sabe a resposta (MS-CHAP, cartões SIM telemovel)

• Credenciais cifradas com pw pessoais –(domínio windows 2000)

• PROBLEMA: ataques com diccionários


• Captura em redes sem fios (GSM, GPRS, UMTS, 802.11, DECT, Bluetooth, IRDa, ...)

• Impossível limitar o acesso físico à rede

• SOLUÇÂO: cifra de conteúdos....


• Redes 802.11 (Wireless LAN)

• Comunicação AP – móvel de 2 tipos:Mensagens de controlo – não confidencial

Mensagens de dados – wep (wired equivalente privacy)

• WEP: chave pré partilhada – cifra contínua RC4

• Problema: a chave é sempre a mesma !!!

SUMÁRIO

• INTRODUÇÃO

• CRIPTOGRAFIA



• FIREWALLS


FIREWALLS

FIREWALLS

• OBJECTIVOS:Protecção por isolamento de máquinasControlo de interacções entre máquinas

• Definição de regras e aplicações

Perímetro Protegido

Redes PerigosasFireWall

FIREWALLS

• Componentes de uma FireWall– Filtros– Gateway– DeMilitarized Zone (DMZ)

INPerímetro Protegido

OUTRedes

Perigosas

Filtro FiltroGateway

DMZ

FIREWALLS

• DMZ: Servidores públicos– Correio electrónico– HTTP– FTP– NEWS

• Filtros: aplicam regras sobre portos TCP/UDP• Gateway: aplica regras de encaminhamento

FIREWALLS

• NAT (Network Address Translation)• PAT (Port Address Translation)• NAPT (Network Address and Port Translation)• Encapsulamento (tunneling)

• Vantagens– Impedir visibilidade exterior (IP masquerading)– Impedir visibilidade dos serviços (port forwarding)

FIREWALLS

• Modelo de intervenção:– Filtro de datagramas (packet filter)– Filtro aplicacional (application gateway)– Filtro de circuitos (circuit gateway)

FIREWALLS

• Filtro de datagramas (packet filter)– Endereço IP (de origem ou destino)– Protocolos e portos de transporte– Sentido da criação de circuitos virtuais– Operações ICMP (ping, tracert, ...)– Opções do cabeçalho IP

• Fáceis de realizar, sensíveis a alguns ataques (fragmentação IP)

FIREWALLS

• Filtro aplicacional (application gateway)– Controlo de acesso de utilizadores– Análise e alteração de conteúdos– Registo de operações

FIREWALLS

• Filtro de circuitos (circuit gateway)– Redireccionamento de circuitos– Balanceamento de tráfego– Autorização de circuitos virtuais

FIREWALLS

• Serviços oferecidos:– Autorização– Controlo de operação e conteúdos– Redireccionamento– Comunicação segura– Protecção contra ataques à prestação de serviços– Ocultação de sistemas

SUMÁRIO

• INTRODUÇÃO

• CRIPTOGRAFIA



• FIREWALLS


SISTEMAS DE DETECÇÃO DE INTRUSÃO

• Intrusion Detection Systems (IDS)– Detectar e contrariar intrusões– Alarmística

• Ex. Tripwire, Snort• Intrusão:

– Conjunto de acções para comprometer a integridade, confidencialidade ou disponibilidade de um recurso, executando um ou mais ataques


• Defesa contra intrusão– Coleccionar dados (assinaturas)– Registo dos comportamentos anómalos– Reporte desses comportamentos

• Acções :– Reforço da segurança– Correcção das falhas– Potes de mel (honeypots)


• Classificação dos IDS• Método de detecção:

• Baseada em conhecimento• Baseada em comportamento

• Fontes de eventos• Máquinas• Redes• Hibridos

• Instantes de detecção• Tempo real• À posteriori

• Reactividade• Activos• Passivos

• Tipo de análise• Singular• Cooperativa


• Limitações – Ambientes diversificados (falsos positivos)– Escalabilidade– Falta de taxionomia universal

• Evolução:Sistemas de Prevenção de Intrusão (IPS)

OBRIGADO

Teles [email protected]

seguranÇa em redes de computadores -...

Documents