Segurança em Redes de Computadores

VI Semana de Informática

Carlos de Castro Goulart

Departamento de Informática 

Universidade Federal de Viçosa 

goulart@dpi.ufv.br

   

Tópicos

Redes de Computadores Princípios de Segurança Técnicas de Segurança Acesso a páginas web Engenharia social Conclusões

   

Redes de Computadores

Redes locais (LAN) redes de difusão

Redes de longa distância (WAN) redes ponto­a­ponto

Redes sem fio  locais (difusão) ­ (WLAN) de longa distância (ponto­a­ponto)

Redes Públicas

   

Redes de Computadores

Redes de comunicaçao de dados Transação em caixa eletrônico Compra com cartão de crédito/débito Ligação telefônica Telegrama Internet

home banking, comércio eletrônico, skype, e­mail

   

Princípios de Segurança

Confidencialidade Controle de Integridade Autenticação Autenticidade

   

Confidencialidade

Sigilo da informação Tem como objetivo fazer o transporte da 

informação de modo que seu conteúdo não possa ser lido ou, no caso de ser lido, que não possa ser entendido. 

   

Controle de Integridade

Integridade da informação Tem como objetivo garantir que uma 

informação não foi alterada, seja em seu local de origem ou no transporte

   

Autenticação

Controle de acesso Visa garantir que o acesso à informação seja 

feito apenas por agentes (pessoas ou máquinas) autorizadas

   

Autenticidade

Garantia de origem Procura garantir que o acesso esteja sendo 

feito a um local confiável

   

Técnicas de Seguraça

Criptografia Assinatura Digital Message Digest Protocolos de Autenticação

   

Criptografia

Criptografia: técnica usada para garantir a confidencialidade da informação transmitida   do grego: cripto = segredo, grafia = escrita  Cifragem + transmissão + decifragem Substituição e Transposição Chave de criptografia

DK1

(EK2

(P)) = P

algoritmos de chave simétrica (K1=K2) e de chave pública (K1!=K2)

   

Criptografia: princípio básico

Fonte: A. S. Tanenbaum, Computer Networks, 4th edition, Prentice Hall, 2003.

   

Criptografia de chave simétrica

Fonte: A. S. Tanenbaum, Computer Networks, 4th edition, Prentice Hall, 2003.

   

Criptografia de chave simétrica

Fonte: A. S. Tanenbaum, Computer Networks, 4th edition, Prentice Hall, 2003.

   

Criptografia de chave pública

Chave possui 2 partes pública: para ser divulgada privada: mantida secreta difícil obter a chave privada à partir da chave 

pública

José envia msg criptografada para Maria D

KPriMaria(E

KPubMaria(P)) = P

Algoritmos assimétrico D

KPubMaria(E

KPubMaria(P)) != P

   

Criptografia de chave pública

Fonte: A. S. Tanenbaum, Computer Networks, 4th edition, Prentice Hall, 2003.

   

Sem criptografia

   

Sem criptografia

   

Com criptografia

   

Com criptografia

   

Assinatura Digital

Técnica que visa substituir a assinatura convencional, garantido a autenticidade e a integridade o envio de uma mensagem assinada digitalmente 

deve garantir que: o receptor possa verificar a identidade do emissor; o emissor não possa repudiar o conteúdo da mensagem; o receptor não possa modificar a mensagem.  

   

Assinatura Digital Simétrica: Big Brother

Fonte: A. S. Tanenbaum, Computer Networks, 4th edition, Prentice Hall, 2003.

   

Assinatura Digital usando chave pública

Fonte: A. S. Tanenbaum, Computer Networks, 4th edition, Prentice Hall, 2003.

   

Assinatura Digital baseada em Message Digest

Uso de uma função hash que gera uma informação de tamanho fixo

Permite a transmissão sem a necessidade de criptografia pode ser combinada com a criptografia

Algoritmos mais usados MD5 (Message Digest) e SHA (Secure Hash 

Algorithm)

   

Assinatura Digital baseada em Message Digest

Fonte: A. S. Tanenbaum, Computer Networks, 4th edition, Prentice Hall, 2003.

   

Protocolos de Autenticação

Técnica utilizada para garantir a autenticação segura

Autenticação tradicional baseada em senha Senha deve ser trocada usando criptografia Para quem a senha está sendo enviada?

Autenticação mais geral pessoas, máquinas, páginas, etc. 

   

Autenticação usando chave simétrica

   

Falha na autenticação usando chave simétrica

   

Assinatura Digital e Autenticação

As duas técnicas são usadas em conjunto Acesso a páginas web

como verificar que uma página é confiável? o navegador pode me ajudar? eu posso ajudar?

   

Acessando uma página web

   

Acessando uma página web

   

Acessando uma página web

   

Acessando uma página web

   

Acessando uma página web: comércio eletrônico

   

Acessando uma página web

   

Acessando uma página web

   

Engenharia Social

Práticas utilizadas para obter acesso a informações importantes ou sigilosas em organizações ou sistemas por meio da enganação ou exploração da confiança das pessoas.  se passar por outra pessoa assumir outra personalidade fingir que é um profissional de determinada área

Uso da Internet para aumentar o ”público alvo” E­mail (spam), comunidades de relacionamento, salas 

de bate­papo.

   

Golpes usando e­mail

   

Golpes usando e­mail: arquivo executável para Windows

   

Golpes usando e­mail

   

Golpes usando e­mail: site denunciado

   

Golpes usando e­mail: informação sobre phishing

   

Golpes usando e­mail: url diferente do texto 

nslookupName:   www.fab.mil.brAddress: 189.59.79.56

   

Conclusões Não existe sistema 100% seguro

mantenha seu sistema sempre atualizado falhas documentadas e não corrigidas deixam o 

sistema vulnerável

Segurança não é um problema apenas tecnológico Cultura de uso de rede deve ser desenvolvida informação deve ser trocada de forma responsável

Não seja curioso e nem queira se dar bem! Desconfie sempre.

   

Perguntas?

Carlos de Castro Goulart

goulart@dpi.ufv.br