Transcript
Page 1: Exercícios de Revisão Redes de Computadores Edgard Jamhour

Exercícios de RevisãoRedes de ComputadoresEdgard Jamhour

SSL, VPN PPTP e IPsec

Page 2: Exercícios de Revisão Redes de Computadores Edgard Jamhour

Auxilio para as questões 1 e 2

Criptografia Assimétrica: (ou de chave Pública)- Usa chaves diferentes para criptografar (pública) e descriptografar (privada) uma mensagem.- É unidirecional: a segurança só existe quando se criptografa com a chave pública e descriptografa com a chave privada.- É lento, pois utiliza operações complexas com números primos.- Para uma chave de tamanho N, o espaço de chaves (EC <<2N ), por isso usa chaves muito grandes (> 512 bits)- Exemplo: RSA

Criptografia Simétrica: (ou de chave Secreta)- Usa chaves iguais para criptografar e descriptografar uma mensagem.- É bidirecional: a segurança só existe se a chave for conhecida pelo par de usuários envolvidos na comunicação.- É rápido, pois utiliza operações simples e é projetado para criptografar grandes volumes de dados (e.g., páginas Web).- Para uma chave de tamanho N, o espaço de chaves (EC = 2N ), por isso pode usar chaves menores, entre 128 e 256 bits.- Exemplo: DES, 3DES, AES, RC4

Page 3: Exercícios de Revisão Redes de Computadores Edgard Jamhour

Auxilio para as questões 1 e 2

Algoritmo de Hashing:- Gera um código de tamanho fixo (pequeno) que independe do tamanho da mensagem denominado DIGEST.- Não podem haver duas mensagens diferentes que gerem o mesmo DIGEST.- É utilizado para verificar a integridade da mensagem, isto é, se a mensagem recebida é idêntica aquela transmitida.- Exemplo: SHA1, MD5

Algoritmo de Assinatura Digital:- Similar ao Hashing, gera um código de tamanho fixo (pequeno) que independe do tamanho da mensagem denominado assinatura digital.- A assinatura digital depende do conteúdo da mensagem, mas também do valor de uma chave de criptografia utilizado.- É utilizado para verificar a integridade da mensagem e a identidade do transmissor.- As assinaturas de chave pública combinam algoritmos de hashing e criptografia (isto é, a assinatura digital é um DIGEST criptografado com uma chave PRIVADA).-Exemplo: RSA/MD5, RSA/SHA1.

Page 4: Exercícios de Revisão Redes de Computadores Edgard Jamhour

Exercício 1: Relacione

FUNÇÃO ALGORITMO

( ) Utiliza chaves diferentes para criptografa e descriptografar as informações

( ) Também chamado de algoritmo de chave secreta

( ) Permite verificar apenas integridade de uma mensagem, isto é, se a mensagem recebida é idêntica a que foi gerada pelo transmissor.

( ) Para uma dada mensagem, gera um código único, de tamanho fixo, que independe do tamanho da mensagem.

( ) Permite verificar a integridade e a identidade do transmissor de uma mensagem.

( ) É unidirecional, isto é, as chaves para criptografar informações de A para B e de B para A são diferentes.

( ) O espaço de chaves é aproximadamente 2^N, onde N é o tamanho da chave.

1. Criptografia Assimétrica

2. Criptografia Simétrica

3. Hashing

4. Assinatura Digital

5. Alternativas 4 e 5

6. Nenhuma das anteriores

Page 5: Exercícios de Revisão Redes de Computadores Edgard Jamhour

Exercício 2: Indique as afirmações verdadeiras

( ) Algoritmos de criptografia assimétricos, como o RSA, são geralmente mais lentos que os simétricos, pois utilizam operações complexas com números primos.

( ) É possível determinar o valor da chave privada a partir da chave pública.

( ) A criptografia simétrica usa chaves maiores que a criptografia assimétrica, a fim de oferecer o mesmo nível de proteção contra ações de descriptografia do tipo força-bruta.

( ) Uma boa prática de segurança consiste em utilizar chaves de sessão, isto é, trocar de chave periodicamente, a fim de evitar que muitos dados sejam protegidos com a mesma chave.

( ) É possível recuperar o conteúdo de uma mensagem realizando uma operação sobre o digest gerado por algoritmos de hashing do tipo MD5 ou SHA.

.

Page 6: Exercícios de Revisão Redes de Computadores Edgard Jamhour

Auxilio para a questão 3

Geração do Certificado Digital (off-line)1.Gera-se um par de chaves assimétrico: chave privada do servidor e chave pública do servidor.

2.O CSR (Certificate Server Request) é gerado combinando a chave pública do servidor com sua identidade.

3.O certificado digital é gerado assinando-se o CSR com a chave privada da CA (autoridade certificadora)

Estabelecimento da Sessão SSL (on-line)

1.O servidor envia o certificado digital para o cliente.

2.O cliente valida a assinatura do certificado digital usando a chave pública da CA.

3.O cliente gera uma chave secreta aleatória (também conhecida com chave de sessão) e a criptografa com a chave pública do servidor extraída do certificado digital.

4.O cliente envia a chave secreta criptografada para o servidor.

5.No servidor, a chave secreta recebida do cliente é descriptografada usando a chave privada do servidor.

Comunicação entre cliente e servidor (on-line)

6. Cliente e servidor trocam dados de forma direcional utilizado a chave secreta aleatória.

Page 7: Exercícios de Revisão Redes de Computadores Edgard Jamhour

Exercício 3: Relacione as ações do SSL/TLS

FUNÇÃO ALGORITMO

( ) Assinar um CSR e transformá-lo em um certificado digital.

( ) Criptografar a chave de sessão gerada pelo navegador Web (cliente).

( ) Criptografar os dados transmitidos do cliente para o servidor Web.

( ) Criptografar os dados transmitidos do servidor para o cliente Web.

( ) Descriptografar a chave de sessão enviada do cliente para o Servidor Web.

( ) Verificar a validade de um certificado digital emitido por uma autoridade certificadora.

1. Chave privada do servidor Web

2. Chave privada da autoridade certificadora

3. Chave pública do servidor Web

4. Chave pública da autoridade certificadora

5. Chave secreta gerada pelo cliente

6. Chave pública do cliente

7. Chave privada do cliente

8. Nenhuma das anteriores

Page 8: Exercícios de Revisão Redes de Computadores Edgard Jamhour

Auxílio a questão 4

HTTP TELNET

SSLSSL

IPIP

POP

8080 110110 2323

HTTPs TELNETsPOPs

443443 995995 992992

SocketsSockets

TCP/UPDTCP/UPD

Camada de enlaceCamada de enlace

Camada físicaCamada física

Protegido pelo SSL/TLS

Não Protegido pelo SSL/TLS

Page 9: Exercícios de Revisão Redes de Computadores Edgard Jamhour

Exercício 4

• Indique na figura abaixo o formato de um pacote transmitido em SSL de um cliente para um servidor Web numa rede externa, relacionando os campos com a coluna ao lado. Além do número, coloque também um x nos campos criptografados.

início do quadro

fim do quadro

1. MAC do cliente2. MAC do roteador3. MAC do servidor4. FCS5. IP do cliente6. IP do servidor7. IP do roteador8. Porta TCP origem > 10239. Porta TCP destindo 8010. Porta TCP destino 44311. HTTP12. Dados

FCS

MAC destino

MAC origem

IP origem

IP destino

Porta origem

Porta destino

Aplicacao

Dados

Fecho MAC

Page 10: Exercícios de Revisão Redes de Computadores Edgard Jamhour

Auxílio ao Exercício 5: Comunicação PPTP

IPN2 IPN1

SERVIDOR PPTP

IPVPN1IPVPN1IPVPN2IPVPN2

IPN2 IPN1 IPVPN2 IPVPN3

CLIENTE

IPN1 IPN3 IPVPN2 IPVPN3

IPN3

IPVPN3IPVPN3

CLIENTE

Tunel Tunel

Pool de Endereços PrivadosIPVPN1IPVPN2...IPVPN10

GRE GRE

IPs do Tunel IPs do Tunel

Page 11: Exercícios de Revisão Redes de Computadores Edgard Jamhour

Exercício 5

• Indique a seqüência completa de quadros/pacotes criados para enviar um pacote de A para C numa comunicação PPTP já estabelecida com o servidor B (indique os endereços MAC e IP apenas).

1 2

200.0.0.2(cliente PPTP A) 200.0.2.2

(cliente PPTP C)200.0.1.2

(servidor PPTP B)

a

b c

d

e f

g

Tabela de alocação de endereços:192.168.0.1 até 192.168.0.100

200.0.0.1

200.0.1.1

200.0.1.3

200.0.2.1

1 2 3 4

Page 12: Exercícios de Revisão Redes de Computadores Edgard Jamhour

Exercício 6

Pacote MAC

Destino

MAC Origem

IP Tunel

Origem

IP Tunel Destino

GRE/

PPP

IP Origem IP Destino DADOS

1 GRE/

PPP

DADOS

2 GRE/

PPP

DADOS

3 GRE/

PPP

DADOS

4 GRE/

PPP

DADOS

1 2 3 41 2

200.0.1.2(192.168.0.1)

b cd

e f g

200.0.0.2(192.168.0.2)

200.0.2.2(192.168.0.3)

a

tunel tunel

RoteadorAltera apenas MAC

RoteadorAltera apenas MAC

Servidor PPTP Altera IP do Tunel

Os endereços IP de origeme destino nunca são alterados

Page 13: Exercícios de Revisão Redes de Computadores Edgard Jamhour

Exercício 6: Marque as Afirmações Verdadeiras

( ) O IPsec pode operar através de dois protocolos distintos, o ESP e AH. O ESP permite fazer autenticação e criptografia dos pacotes e o AH apenas autenticação.

( ) O IPsec pode trabalhar no modo túnel ou no modo transporte. O modo transporte apenas adiciona os campos ESP ou AH no cabeçalho do pacote, sem criar um novo cabeçalho IP. O modo túnel inclui um novo cabeçalho IP, mas não adiciona os campos do ESP ou AH.

( ) O SSL permite criptografar apenas o protocolo de aplicação dos pacotes. As camadas inferiores não podem ser protegidas.

( ) VPN é a denominação de técnicas que fazem tunelamento de pacotes, isto é, encapsulam o pacote original no campo de dados de um novo pacote a fim de oferecer maior proteção aos dados transportados.

( ) As VPNs, como o PPTP e o IPsec em modo túnel, permite criptografar todos os campos de um pacote (camada de rede, transporte e aplicação).

Page 14: Exercícios de Revisão Redes de Computadores Edgard Jamhour

Auxilio a Questão 7: AH e Modo Túnel e Modo Transporte

IP TCP/UDP DADOS

IP TCP/UDP DADOSAH

IP TCP/UDP DADOSAH IP

IPv4

IPv4 com autenticação

IPv4 com autenticação e tunelamento

Especifica os Gateways nas Pontas do Tunnel

Especifica os Computadores

IP Normal

Modo Transporte

Modo Tunel

Page 15: Exercícios de Revisão Redes de Computadores Edgard Jamhour

Exercício 8

• Considere o cenário abaixo, onde os computadores A e C estabelecem uma comunicação segura IPsec do tipo AH em modo transporte.

1 2

192.168.0.2

A

192.168.1.2

a

b c e f

g

C

192.16

8.0.1

200.0.1.1

200.0.1.3

192.16

8.1.1

1 2 3

Page 16: Exercícios de Revisão Redes de Computadores Edgard Jamhour

Exercício 8: Relacione as Colunas

( ) Formato do pacote enviado de A para C entre o computador A e o Roteador 1 (flecha 2).

( ) Formato do pacote enviado de A para C entre o Roteador 1 e o Roteador 2 (flecha 3).

( ) Formato do pacote enviado de A para C entre o Roteador 2 e o Computador C (flecha 3).

1. Mac b: Mac a :192.168.0.2: 192.168.1.2: AH: TCP/UDP: Dados

2. Mac b: Mac a : AH: 192.168.0.2: 192.168.1.2: TCP/UDP: Dados

3. Mac b: Mac a :192.168.0.2: 192.168.0.1: AH: TCP/UDP: Dados

4. Mac e: Mac c :192.168.0.2: 192.168.1.2: AH: TCP/UDP: Dados

5. Mac g: Mac f :192.168.0.2: 192.168.0.1: AH: TCP/UDP: Dados

6. Mac e: Mac c :200.0.1.1:200.0.1.3: AH: TCP/UDP: Dados

192.168.0.2 192.168.1.2

a ---- b c ---- e f----g 1 1

Page 17: Exercícios de Revisão Redes de Computadores Edgard Jamhour

Auxílio a Questão 8: ESP IPSec : Tunel e Transporte

TCPUDP

DADOSESP HEADER

ESPTRAILER

ESPAUTH

criptografado

autenticado

TCPUDP

DADOSIP

IP TCPUDP

DADOSESP HEADER

ESPTRAILER

ESPAUTH

criptografadoautenticado

IP

IP

MODO TRANSPORTE

MODO TUNNEL

Page 18: Exercícios de Revisão Redes de Computadores Edgard Jamhour

Exercício 8

• Considere o cenário abaixo, onde existe uma conexão do tipo IPsec em modo túnel entre os roteadores 1 e 2.

1 2

192.168.0.2

A

192.168.1.2

a

b c e f

g

C

192.16

8.0.1

200.0.1.1

200.0.1.3

192.16

8.1.1

1 2 3

Tunel IPsec ESP

Page 19: Exercícios de Revisão Redes de Computadores Edgard Jamhour

Exercício 8: Relacione as Colunas

( ) Formato do pacote enviado de A para C entre o computador A e o Roteador 1 (flecha 2).

( ) Formato do pacote enviado de A para C entre o Roteador 1 e o Roteador 2 (flecha 3).

( ) Formato do pacote enviado de A para C entre o Roteador 2 e o Computador C (flecha 3).

1. b: a :192.168.0.2: 192.168.1.2: tcp/udp: dados

2. e: c : 192.168.0.2: 192.168.1.2: tcp/udp: dados

3. g: f : 192.168.0.2: 192.168.1.2: tcp/udp: dados

4. e: c : 192.168.0.2: 192.168.1.2: esph: tcp/udp: dados: espt: espa

5. e: c : 200.0.0.1: 200.0.1.3: esph: 192.168.0.2: 192.168.1.2: tcp/udp: dados: espt: espa

6. e: c : 192.168.0.2: 192.168.1.2: esph: 200.0.1.1: 200.0.1.3: tcp/udp: dados: espt: espa

192.168.0.2 192.168.1.2

a------ b c ---------------------------- e f---------g 200.0.1.1

200.0.1.3

1 2


Recommended