Segurança de Redes de Computadores

Ricardo José Cabeça de Souza

www.ricardojcsouza.com.br

ricardo.souza@ifpa.edu.br

Mecanismos de Segurança

www.ricardojcsouza.com.br ricardo.souza@ifpa.edu.br

• Mecanismos de Segurança – Usado para detectar, prever ou recuperar a

informação após um ataque à segurança

– Implementados em camadas específicas do protocolo

– Exemplos:

• Cifragem

• Assinatura digital

• Controle de acesso

• Etc.

Segurança de Redes www.ricardojcsouza.com.br ricardo.souza@ifpa.edu.br

• Mecanismos de Segurança

– Projetar algoritmo para realizar a transformação relacionada à segurança

– Gerar a informação secreta (chave) a ser usada com o algoritmo

– Desenvolver métodos de distribuição e compartilhamento das informações

– Especificar protocolo a ser usado pela entidades

Segurança de Redes www.ricardojcsouza.com.br ricardo.souza@ifpa.edu.br

Criptografia

www.ricardojcsouza.com.br ricardo.souza@ifpa.edu.br

• CRIPTOGRAFIA – Conjunto de técnicas que permitem tornar

“incompreensível” uma mensagem originalmente escrita com clareza, de forma a permitir que apenas o destinatário a decifre e a compreenda

• Criptoanálise – do grego kryptos + análysis (decomposição) -

ciência que estuda a decomposição do que está oculto ou a “quebra” do sistema criptográfico

• Criptologia – Criptografia + Criptoanálise

Segurança de Redes www.ricardojcsouza.com.br ricardo.souza@ifpa.edu.br

• Terminologia Básica de Criptografia – Texto Claro (Plain Text)

• Mensagem ou dados originais, inteligíveis, alimentados no algoritmo como entrada

– Algoritmo de Criptografia • Realiza diversas substituições e transformações no texto

claro

– Chave Secreta • Também é entrada para o algoritmo criptográfico

• Valor independente do texto claro

• Substituições e transformações realizadas pelo algoritmo dependem da chave

• Segredo por meio do qual a mensagem pode ser cifrada ou decifrada

Segurança de Redes www.ricardojcsouza.com.br ricardo.souza@ifpa.edu.br

• Terminologia Básica de Criptografia

– Texto Cifrado

• Mensagem embaralhada, produzida como saída

• Depende do texto claro, do algoritmo e da chave

• Fluxo de dados aparentemente aleatório e, nesse formato, ininteligível

– Algoritmo de Decriptografia

• Algoritmo de criptografia executado de modo inverso

• Toma o texto cifrado e a chave secreta e produz o texto original

Segurança de Redes www.ricardojcsouza.com.br ricardo.souza@ifpa.edu.br

• Algoritmos de Chave Simétrica

– Também chamados de Sistemas de Chave Simétrica, criptografia de chave única, ou criptografia de chave secreta) são uma classe de algoritmos para a criptografia que usam a mesma chave criptográfica nos extremos do túnel criptográfico para as operações de cifragem e decifragem

– Existir uma única chave entre as operações

Criptografia www.ricardojcsouza.com.br ricardo.souza@ifpa.edu.br

• Algoritmos de Chave Simétrica

Criptografia www.ricardojcsouza.com.br ricardo.souza@ifpa.edu.br

• Algoritmos de Chave Assimétrica

– Também chamados de algoritmos de chave pública e privada

– Utilizam chaves diferentes para cifrar e de cifrar os dados

– Cada pessoa tem duas chaves:

• Uma chave pública que pode ser divulgada

• Outra privada que deve ser mantida em segredo

Criptografia www.ricardojcsouza.com.br ricardo.souza@ifpa.edu.br

• Algoritmos de Chave Assimétrica

– Mensagens cifradas com a chave pública só podem ser decifradas com a chave secreta e vice versa

– Se o algoritmo de encriptação por chave-pública é muitíssimo lento, então deve-se utilizá-lo somente para proteger pequena quantidade de dados

Criptografia www.ricardojcsouza.com.br ricardo.souza@ifpa.edu.br

• Algoritmos de Chave Assimétrica

Criptografia www.ricardojcsouza.com.br ricardo.souza@ifpa.edu.br

• Combinação de Algoritmos

Criptografia www.ricardojcsouza.com.br ricardo.souza@ifpa.edu.br

Esteganografia

www.ricardojcsouza.com.br ricardo.souza@ifpa.edu.br

• ESTEGANOGRAFIA – Um dos ramos da criptografia

– Palavra de origem grega, significa a arte da escrita escondida • estegano = esconder

• grafia = escrita

– Inclui um amplo conjunto de métodos e técnicas para prover comunicações secretas desenvolvidos ao longo da história

– Exemplos: • tintas invisíveis, micropontos, arranjo de caracteres

(character arrangement), assinaturas digitais e canais escondidos

Esteganografia www.ricardojcsouza.com.br ricardo.souza@ifpa.edu.br

• ESTEGANOGRAFIA – Exemplo

“O Senhor Evandro quer usar este salão temporariamente.

Relembre o fato ocorrido, isto poderia estragar relíquias, florais e imagens talhadas.

Obrigado.”

Esteganografia www.ricardojcsouza.com.br ricardo.souza@ifpa.edu.br

• ESTEGANOGRAFIA – Incluem:

• Identificação de componentes dentro de um subconjunto de dados

• Legendagem (captioning)

• Rastreamento de documentos

• Certificação digital (time-stamping)

• Demonstração de que um conteúdo original não foi alterado (tamper-proofing)

– A esteganografia esconde as mensagens através de artifícios usando imagens ou um texto que tenha sentido, mas que sirvam apenas de suporte

Esteganografia www.ricardojcsouza.com.br ricardo.souza@ifpa.edu.br

• ESTEGANOGRAFIA – Anonimato

• É um conjunto de técnicas para tentar navegar na internet, por exemplo, sem ser localizado

• Isto poderia ser feito utilizando sites de desvio como o Anonymizer2 e/ou Remailers – NetConceal Anonymizer

» Permite uma navegação segura e anônima na Internet, ocultando seu endereço IP e país de origem para assegurar privacidade e segurança

– Remailers

» Remetente anônimo é um servidor que recebe mensagens com instruções incorporadas sobre onde enviá-los ao próximo, e que encaminha os dados sem revelar onde veio originalmente

Esteganografia www.ricardojcsouza.com.br ricardo.souza@ifpa.edu.br

• ESTEGANOGRAFIA DIGITAL

– Uso de:

• Imagens

• Sons

• Textos

• Entre outros, como meios de cobertura para mensagens a serem transmitidas

– São baseados na substituição de componentes de ruído de um objeto digital por uma mensagem secreta pseudo-randômica

Esteganografia www.ricardojcsouza.com.br ricardo.souza@ifpa.edu.br

• Ferramentas Esteganográficas

– Usando prompt de comando: escondendo arquivos em imagens

• Criação do arquivo se deseja esconder

• Compactação do arquivo

• Criação do arquivo de cobertura (imagem)

• Junção dos arquivos em novo arquivo imagem (estego-objeto) – copy /b arq1+arq2 arq3

Esteganografia www.ricardojcsouza.com.br ricardo.souza@ifpa.edu.br

Windows Hardening

www.ricardojcsouza.com.br ricardo.souza@ifpa.edu.br

Windows Hardening

• O conceito de Hardening caracteriza medidas e ações que visam proteger um determinado sistema de invasores

• Dentre as ações típicas do processo podemos citar: – Remoção de logins, usuários, programas e serviços

desnecessários – Aplicação de patches nos programas e no kernel do sistema

operacional – Fechar portas da rede – Adoção de sistemas de detecção e prevenção de intrusão (IDS) – Firewalls – Scripts de hardening

www.ricardojcsouza.com.br ricardo.souza@ifpa.edu.br

Windows Hardening

• Grande maioria de máquinas comprometidas têm o Windows como sistema operacional

• Criadores de malware tentam infectar o maior número possível de máquinas em um curto prazo de tempo

• Windows é a plataforma mais usada atualmente

• Sistema Windows deve estar sempre atualizado, protegido por Firewall e Anti-vírus, e os usuários locais devem ser cautelosos com o conteúdo de arquivos e páginas que acessam

www.ricardojcsouza.com.br ricardo.souza@ifpa.edu.br

Firewall

www.ricardojcsouza.com.br ricardo.souza@ifpa.edu.br

Firewall • Firewall

– Uma barreira de proteção, que controla o tráfego de dados entre seu computador e a Internet (ou entre a rede onde seu computador está instalado e a Internet)

– Pontos de conexão entre duas redes não confiáveis que permitem que a comunicação entre elas seja monitorada e segura

– Objetivo: permitir somente a transmissão e a recepção de dados autorizados

– Existem firewalls baseados na combinação de hardware e software e firewalls baseados somente em software

www.ricardojcsouza.com.br ricardo.souza@ifpa.edu.br

Firewall

www.ricardojcsouza.com.br ricardo.souza@ifpa.edu.br

Firewall

• Firewall

– São localizados entre uma organização e o mundo externo (Internet)

– Também podem ser utilizados dentro de uma organização, com a finalidade de isolar diferentes domínios de segurança (também chamados de domínios administrativos)

• Um domínio de segurança consiste em um conjunto de máquinas sobre um controle administrativo comum, com políticas e níveis de segurança comuns

www.ricardojcsouza.com.br ricardo.souza@ifpa.edu.br

Firewall

• Firewall – Podem ser implementados através de um

roteador, um PC (personal computer) com software especial, um sistema UNIX com esta capacidade ou um conjunto de hosts, todos configurados especificamente para proteger um site ou uma sub-rede de protocolos e serviços não confiáveis

– Soluções encontradas podem ser tanto baseadas em hardware quanto em software ou ambas

www.ricardojcsouza.com.br ricardo.souza@ifpa.edu.br

Firewall

• Firewall – Um firewall consiste, de maneira geral, dos seguintes

componentes: • filtro: também chamado de screen ou screening router,

bloqueia a transmissão de certas classes de tráfego, protegendo a rede interna contra ameaças

• gateway: máquina ou conjunto de máquinas que oferece serviços através de proxy

– A rede inabitada por este componente é chamada de Zona Desmilitarizada (DMZ - Demilitarized Zone) ou rede perimetral

– Muitas vezes, um gateway nesta zona é auxiliado por um gateway interno

www.ricardojcsouza.com.br ricardo.souza@ifpa.edu.br

Firewall

• Firewall

www.ricardojcsouza.com.br ricardo.souza@ifpa.edu.br

Firewall

• Packet Filtering

www.ricardojcsouza.com.br ricardo.souza@ifpa.edu.br

Firewall

• Configurar um packet filtering consiste em um processo de três passos:

– Determinar o que deve e o que não deve ser permitido (política de segurança)

– Especificar formalmente os tipos de pacotes permitidos, em termos de expressões lógicas (regras)

– Reescrever estas expressões de acordo com o produto utilizado

www.ricardojcsouza.com.br ricardo.souza@ifpa.edu.br

Firewall

• Suponha que a política de segurança de um site determine que todo o tráfego IP entre um host externo conhecido (endereço IP 172.161.51.50) e os hosts da rede interna (endereço IP 192.168.10) seja permitido – interno = 192.168.10.0

• As seguintes regras são derivadas:

between host 172.161.51.50 e net 192.168.10 accept; between host any and host any reject;

www.ricardojcsouza.com.br ricardo.souza@ifpa.edu.br

Firewall

• Outra forma de filtragem é a filtragem de pacotes por serviço, na qual serviços geralmente associados a determinados números de porta são permitidos ou negados

• Estudar fluxos de pacotes nos quais:

– (1) um cliente local está se comunicando com um servidor remoto (outbound)

– (2) um cliente remoto está se comunicando com um servidor local (inbound)

www.ricardojcsouza.com.br ricardo.souza@ifpa.edu.br

Firewall

• Para ambos os fluxos, deve-se especificar os endereços fonte e destino, o protocolo (TCP), as portas fonte e destino e as características do pacote (com ou sem ACK, para TCP), tanto para pacotes que chegam (incoming) quanto para pacotes que saem (outgoing)

www.ricardojcsouza.com.br ricardo.souza@ifpa.edu.br

Firewall

• O servidor proxy é responsável por avaliar pedidos de serviços, podendo permitir ou negar tais pedidos de acordo com a política de segurança vigente

• o cliente "acredita" que está lidando diretamente com o servidor real e o servidor real "acredita" que está lidando diretamente com um usuário presente no application-level gateway

www.ricardojcsouza.com.br ricardo.souza@ifpa.edu.br

Firewall

• Stateful Inspection Firewall

www.ricardojcsouza.com.br ricardo.souza@ifpa.edu.br

Firewall

• Stateful Inspection Firewall

www.ricardojcsouza.com.br ricardo.souza@ifpa.edu.br

Firewall

• Firewall do Windows

– Anteriormente conhecido como Firewall de Conexão com a Internet ou ICF

– É uma barreira protetora que monitora e restringe as informações passadas entre o seu computador e uma rede ou a Internet

– Isso fornece uma defesa contra pessoas que podem tentar acessar seu computador de fora do Firewall do Windows sem a sua permissão

www.ricardojcsouza.com.br ricardo.souza@ifpa.edu.br

Firewall

• Firewall do Windows

www.ricardojcsouza.com.br ricardo.souza@ifpa.edu.br

Firewall

• Como funciona o Firewall do Windows

– Você deverá ver uma janela semelhante a esta:

www.ricardojcsouza.com.br ricardo.souza@ifpa.edu.br

Firewall

• Firewall – Existe uma quantidade grande de soluções firewall

disponível

– Para usuários domésticos que usam o sistema Windows, um dos mais conhecidos é o ZoneAlarm, que dispõe de uma versão gratuita e outra paga, com mais recursos

– Em ambos os casos, é possível utilizar configurações pré-definidas, que oferecem bons níveis de segurança

– O site para fazer o download do software é o www.zonealarm.com

www.ricardojcsouza.com.br ricardo.souza@ifpa.edu.br

Referências

• COELHO, Flávia Estélia Silva. Gestão da Segurança da Informação. Versão 1.0.0. Escola Superior de Redes – RNP: 2010.

• ABNT. ABNT NBR ISSO/IEC 27001. Tecnologia da Informação. Técnicas de Segurança. Sistemas de Gestão de Segurança da Informação. Requisitos. Primeira Edição 31.03.2006. ABNT: 2006.

• ABNT. ABNT NBR ISSO/IEC 27002. Tecnologia da Informação. Técnicas de Segurança. Códigos de práticas para a gestão da segurança da informação. Primeira Edição 31.08.2005. ABNT: 2005.

• PILLOU, Jean-François. VLAN – Redes Virtuais. Disponível em http://pt.kioskea.net/contents/internet/vlan.php3 acesso em 01/12/2012.

• VLAN. Disponível em http://www.gta.ufrj.br/grad/02_2/vlans/tipos_vlans.html acesso em 01/12/2012.

• STALLINGS, William. Criptografia e segurança de redes. 4. ed. São Paulo: Pearson Prentice Hall, 2008.

• FECHINI, Joseana Macêdo. Segurança da Informação. Disponível em http://www.dsc.ufcg.edu.br/~joseana/Criptografia-SI.html .

• BRAGA, Hugo Rodrigo. HISTÓRIA DA CRIPTOLOGIA – Antiguidade. Disponível em http://www.hu60.com.br/assuntos/criptologia.php .

• Lima, Marcelo. Nakamura, Emílio. Segurança de Redes e Sistemas. Versão 1.1.0. Escola Superior de Redes RNP:2007.

www.ricardojcsouza.com.br ricardo.souza@ifpa.edu.br

Referências

• FOROUZAN, Behrouz A. Comunicação de dados e redes de computadores. 4. ed. São Paulo: McGraw-Hill, 2008.

• KUROSE, Jim F. ROSS, Keith W. Redes de Computadores e a Internet. Uma nova abordagem. 3. ed. São Paulo: Addison Wesley, 2006.

• TANENBAUM, Andrew S. Redes de computadores. 3. Ed. Rio de Janeiro: Campus, 1997.

• COMER, Douglas E. Internetworking with TCP/IP. Principal, Protocolos, and Architecture. 2.ed. New Jersey: Prantice Hall, 1991. v.1.

• OPPENHEIMER, Priscilla. Projeto de Redes Top-down. Rio de Janeiro: Campus, 1999.

• GASPARINNI, Anteu Fabiano L., BARELLA, Francisco Rogério. TCP/IP Solução para conectividade. São Paulo: Editora Érica Ltda., 1993.

• Laufer, Rafael P. et. al. Negação de Serviço: Ataques e Contramedidas. Disponível em http://www.gta.ufrj.br/ftp/gta/TechReports/LMVB05a.pdf acesso em 01/02/2012.

www.ricardojcsouza.com.br ricardo.souza@ifpa.edu.br

Referências

• SPURGEON, Charles E. Ethernet: o guia definitivo. Rio de Janeiro: Campus, 2000.

• SOARES, Luiz Fernando G. Redes de Computadores: das LANs, MANs e WANs às redes ATM. Rio de Janeiro: Campus, 1995.

• CARVALHO, Tereza Cristina Melo de Brito (Org.). Arquitetura de Redes de Computadores OSI e TCP/IP. 2. Ed. rev. ampl. São Paulo: Makron Books do Brasil, Brisa; Rio de Janeiro: Embratel; Brasília, DF: SGA, 1997.

• COMER, Douglas E. Interligação em rede com TCP/IP. 2. Ed. Rio de Janeiro: Campus, 1998. v.1.

• ARNETT, Matthen Flint. Desvendando o TCP/IP. Rio de Janeiro: Campus, 1997. 543 p.

• ALVES, Luiz. Comunicação de dados. 2. Ed. rev. ampl. São paulo: Makron Books do Brasil, 1994.

www.ricardojcsouza.com.br ricardo.souza@ifpa.edu.br