Sunteți pe pagina 1din 43

Instituto Federal de Braslia

Curso Tcnico em Informtica


Segurana de Redes de Computadores
Viso Geral
Profa. Msc. Cristiane Jorge de Lima Bonfim
Semestre Letivo 2016/1
Coordenao do Eixo de Informao e Comunicao
1

Segurana em redes de
computadores
Objetivos:
Modelo em Camadas de rede uma viso geral
Protocolos de rede uma viso geral
Segurana na prtica:

Segurana nas camadas de aplicao, transporte, rede e enlace

Firewalls

MODELO OSI X TCP


OSI/ISO

Aplicao

TCP/IP

Aplicao

Apresentao
Sesso
Transporte

Transporte

Rede

Rede

Linha de Montagem (simplificando)


Cliente

Passo1

Passo2

Internet

Aplicao

Transpor
te

Passo5

Passo4

Servidor

Passo3 Passo4 Passo5


Rede

Enlace

Fsica

Passo3 Passo2 Passo1

ENCAPSULAMENTO TCP
CLIENTE

M
C M
C C M
C C C M

SERVIDOR

Aplicao
Transporte
Rede
Enlace

Aplicao
Transporte
Rede
Enlace
Internet

MEIO FSICO
C Cabealho

Mensagem

M
M C
M C C
M C C C

PROTOCOLOS

CAMADA DE APLICAO: http, https, snmp, smtp, ssh


CAMADA DE SESSO: SSL e TSL
CAMADA DE TRANSPORTE: TCP, UDP e ICMP
CAMADA DE REDE: IP (Internet protocol), Ipsec (Ip seguro)
CAMADA DE ENLACE: REDE LOCAL: MAC, ATM
CAMADA DE ENLACE REDE PBLICA DE DADOS: FRAME RELAY E PPP
CAMADA DE FSICA: SINAL ELTRICO OU PTICO

CAMADA DE APLICAO
Possveis Problemas para o usurio:

Vulnerabilidades do Navegador (permitem a entrada e instalao de cdigos maliciosos no


computador. Ex. spyware)

E-mail malicioso

Vrus: trojan (cavalo de tria), vrus de macro, etc.

Uso de stios de comrcio eletrnico ou cadastro que no utilizam https

Soluo:

Antivrus Atualizado (AVG de Graa para usurio domstico, etc. )

No receber e-mail de remetente conhecido principalmente quando se referir a inserir seus dados
para atualizao e assim por diante. Ex. Embratel,receita federal

Atualizar sempre o navegador ou utilizar um navegador estvel e com poucos relatos de


vulnerabilidades. Ex. Firefox (Mozila), netscape

Utilizar Webmail (ex. gmail entre outros, considere na hora da escolha se todo o trfego
encriptado isso mais seguro)

Utilizar Firewall Pessoal(ex. Viruscan, Zone Alarm)

Comunicao ideal

Fluxo
normal

Ameaas de segurana na Internet


Anatomia de um ataque
Mapeamento:
Antes do ataque: teste a fechadura descubra quais servios esto
implementados na rede
Use ping para determinar quais hosts tem endereos acessveis na
rede
Varredura de portas: tente estabelecer conexes TCP com cada porta em
seqncia
(veja
o
que
acontece)
veja
nmap
(http://www.insecure.org/nmap/) mapeador: explorao de rede e
auditoria de segurana

Tipos de Ataques

Fabricao
Interceptao;
Interrupo;
Modificao.

Interceptao - SNIFFER

MALLORY

Interrupo - SABOTAGEM

BOB

Modificao
ATAQUE DE HOMEM NO MEIO COM IP SPOOFING

MALLORY

Tipos de Texto

%?#

Composio de um Criptossistema

Algoritmo: Seqncia de passos que executa uma determinada tarefa.

Algoritmo de criptografia tem como objetivo embaralhar uma informao


ex. funo hash, md5 128bits , DES (antigo e j foi quebrado) 3DES, SHA-1
160bits;
Chave: Nmero aleatrio composto de vrios algarismos, gerado por um
algoritmo a partir de um valor inicial ;

Criptografia Simtrica

ABC

Criptografia Assimtrica

Chaves diferentes;
Gerenciamento de chaves mais simples que a criptografia simtrica;
Os algoritmos assimtrico so mais lentos em relao mtodo simtrico;
No se pode descobrir a chave privada a partir da chave pblica;

PROBLEMAS: A autoridade certificadora tem que ser confivel


Ex. Verisign, Certsign, ICP-Brasil http://www.iti.gov.br/

Camada Sesso
(SSL- Secure socket layer)
Segurana de camada de transporte para qualquer aplicao baseada no
protocolo TCP usando servios SSL
Usado entre Navegador de Internet e servidores para comrcio eletrnico
(shttp)
Servios de segurana:
Autenticao de servidor
Criptografia de dados
Autenticao de cliente (opcional Login e senha)
Servidor de autenticao:
Navegador com SSL habilitado inclui chaves pblicas para CAS confiveis
Navegador pede certificado do servidor, emitido pela CA confivel
Browser usa chave pblica da CA para extrair a chave pblica do servidor
do certificado
Verifique o menu de segurana do seu browser para ver suas CAs confiveis
19

SSL - Secure Sockets Layer - HTTPS

IPsec: Segurana de camada de rede


Confidencialidade na camada de rede:
Mquina transmissor criptografa os dados no datagrama IP
Segmentos TCP e UDP; mensagens ICMP e SNMP
Autenticao na camada de rede
Mquina de destino pode autenticar o endereo IP da origem
Dois protocolos principais:
Protocolo de autenticao de cabealho (AH)
Protocolo de encapsulamento seguro dos dados (ESP)
Tanto o AH quanto o ESP realizam uma associao da fonte e do destino:
Cria um canal lgico de camada de rede denominado associao de segurana
(SA Security association)
Cada SA unidirecional
Unicamente determinado por:
Protocolo de segurana (AH ou ESP)
Endereo IP de origem
ID de conexo de 32 bits
21

Protocolo de autenticao de cabealho (AH)


Oferece autenticao de fonte, integridade dos dados, mas no
confidencialidade
Cabealho AH inserido entre o cabealho IP e o campo de dados
Campo de protocolo 51
Roteadores intermedirios processam o pacote na forma usual
Cabealho AH inclui:
Identificador de conexo
Dados de autenticao de dados: resumo da mensagem assinado pela fonte
calculado sobre o datagrama IP original.
Campo de prximo cabealho: especifica tipo de dado (ex.: TCP, UDP, ICMP)

22

Protocolo ESP
Oferece confidencialidade, autenticao de hospedeiro e integridade dos
dados
Dados e trailer ESP so criptografados
Campo de prximo cabealho vai no trailer ESP
Campo de autenticao do ESP similar ao campo de autenticao do AH
Protocolo = 50

23

Segurana IEEE 802.11


Guerra: uma pesquisa na rea da Baa de San Francisco procurou encontrar
redes 802.11 acessveis
Mais de 9.000 acessveis a partir de reas pblicas
85% no usam criptografia nem autenticao
Packet-sniffing e vrios outros ataques so fceis!
Tornando 802.11 seguro
Criptografia, autenticao
Primeira tentativa no padro 802.11: Wired Equivalent Privacy (WEP): um
fracasso
Tentativa atual: 802.11i

24

Wired Equivalent Privacy (WEP):

Autenticao como no protocolo ap4.0


Hospedeiro solicita autenticao do ponto de acesso
Ponto de acesso envia um nonce de 128 bits
Hospedeiro criptografa o nonce usando uma chave simtrica compartilhada
Ponto de acesso decodifica o nonce, autentica o hospedeiro

Faltam mecanismos de distribuio de chaves


Autenticao: conhecer a chave compartilhada o bastante

25

Criptografia 802.11 WEP

26

Quebrando a criptografia WEP 802.11


Furo de segurana:
24 bits IV, um IV por quadro, -> IVs so reusados eventualmente
IV transmitido aberto -> reuso do IV detectado
Ataque:
Trudy provoca Alice para criptografar um texto conhecido d1 d2 d3 d4
Trudy v: ci = di XOR kiIV
Trudy conhece ci di, logo pode calcular kiIV
Trudy sabe a seqncia de chaves criptogrfica k1IV k2IV k3IV
Prxima vez que IV for usado, Trudy pode decodificar!

27

802.11i: segurana melhorada

Numerosas (e mais fortes) forma de criptografia so possveis


Oferece distribuio de chave
Usa autenticao de servidor separada do ponto de acesso

28

802.11i: quatro fases de operao

29

EAP: protocolo de autenticao extensvel


EAP: protocolo fim-a-fim entre o cliente (mvel) e o servidor de autenticao
EAP envia sobre enlaces separados
Mvel para AP (EAP sobre LAN)
AP para servidor de autenticao (RADIUS sobre

30

UDP)

Firewalls
Previne ataques de negao de servio:
Inundao de SYN: atacante estabelece muitas conexes TCP falsas,
esgota os recursos para as conexes reais.
Previne modificaes e acessos ilegais aos dados internos.
Ex., o atacante substitui a pgina da CIA por alguma outra coisa
Permite apenas acesso autorizado rede interna (conjunto de usurios e
hosts autenticados)
Tipos de firewalls:
Nvel de aplicao
Filtro de pacotes

31

Filtro de pacotes

Rede interna conectada Internet via roteador firewall


Roteador filtra pacotes: toma a deciso de enviar ou descartar
pacotes baseiando-se em:
Endereo IP de origem, endereo IP de destino
Nmero de portas TCP/UDP de origem e de destino
Tipo de mensagem ICMP
Bits TCP SYN e ACK

32

Filtro de pacotes

Exemplo 1: bloqueia datagramas que chegam e que saem com campo de

protocolo = 17 e com porta de destino ou de origem = 23


Todos os fluxos UDP que entram e que saem e as conexes Telnet so
bloqueadas
Exemplo 2: bloqueia segmentos TCP entrantes com ACK=0

Previne clientes externos de fazerem conexes com clientes


internos, mas
permite que os clientes internos se conectem para for a.
obs: O campo ACK usado para indicar se o valor carregado no campo de
reconhecimento do seguimento TCP vlido.

33

Resumo
Tcnicas bsicas...
Criptografia (simtrica e pblica)
Autenticao
Integridade de mensagens
Distribuio de chaves
usadas em muitos cenrios diferentes de segurana

E-mail seguro
Transporte seguro (SSL)
IP sec
802.11

34

Gateways de aplicao
Filtra pacotes em funo de dados de
aplicao, assim como de campos
do IP/TCP/UDP
Exemplo: permite selecionar usurios
internos que podem usar o Telnet
1. Exige que todos os usurios Telnet
se comuniquem atravs do gateway.
2. Para os usurios autorizados, o
gateway estabelece conexes Telnet
com o hospedeiro de destino. O
gateway repassa os dados entre as
duas conexes.
3. O filtro do roteador bloqueia
todas as sesses Telnet que no se
originam no gateway.
35

Limitaes de firewalls e gateways


IP spoofing: (falsificao de IP) roteador no pode saber se os dados
realmente vm da fonte declarada
O software cliente deve saber como contatar o gateway
Ex., deve configurar o endereo IP do proxy no browser Web ou na aplicao
cliente correspondente ao Telnet ex. Netterm
Filtros muitas vezes usam uma regra radical para UDP: bloqueiam tudo ou
deixam passar tudo
Desafio: grau de comunicao com mundo exterior versus nvel de segurana
Muitos stios altamente protegidos mesmo assim sofrem ataques ex. Ataques
de modificao de pgina utilizando porta 80. (vulnerabilizar IIS Nt4.0)

36

Ameaas de segurana na Internet


Packet
sniffing:
(cont.)

Meio broadcast
NIC em modo promscuo lem todos os pacotes que passam
Pode ler todos os dados no criptografados (ex., senhas)
Ex.: C captura os pacotes de B

37

Ameaas de segurana na Internet


(cont.)
IP Spoofing:
Pode gerar pacotes IP puros diretamente da aplicao,
colocando
qualquer valor do endereo IP no campo de endereo de origem
Receptor no sabe se a fonte verdadeira ou se foi forjada
Ex.: C finge ser B

38

Ameaas de segurana na Internet


(cont.)
IP Spoofing: filtro de entrada
Roteadores no devem repassar pacotes para a sada com endereo de
origem invlido (ex., endereo de fonte do datagrama fora do endereo
da rede local)
Grande, mas filtros de entrada no podem ser obrigatrios para todas as
redes

39

Ameaas de segurana na Internet


(cont.)
Negao de servio (DoS):
Inundao de pacotes maliciosamente gerados invade o

receptor

DoS Distribudo (DDoS): mltiplas fontes coordenadas atacam


simultaneamente o receptor
ex.: C e um hospedeiro remoto atacam A com inundao de SYN

40

Ameaas de segurana na Internet


(cont.)
Negao de servio (DoS): aes:
Filtragem de pacotes de inundao (ex., SYN) antes de
alvo: corta os pacotes bons e os maus
Rastrear em busca da fonte da inundao (mais
mquina inocente que foi invadida)

41

atingirem o

provavelmente uma

Assim vimos hoje:


Os aspectos gerais e introdutrios sobre segurana em redes de

computadores nas camadas da pilha TCP/IP

42

Referncias Bibliogrficas
KUROSE, James F. Redes de Computadores e a Internet: uma abordagem top-down 3.
So Paulo: Ed. Pearson Eaddison Wesley, 2006.
TANENBAUM, Andrew S. Redes de Computadores. 5 Edio. So Paulo: Ed. Prentice
Hall, 2011.

S-ar putea să vă placă și