Prof. André Y. Kusumoto – [email protected]
2/25
Nível de Aplicação
• Responsável por interagir com os níveis “inferiores” de uma arquitetura de protocolos de forma a disponibilizar aos usuários humanos uma visão mais simples da rede de computadores
• Esta camada faz a comunicação entre os aplicativos e os protocolos de transporte.
Prof. André Y. Kusumoto – [email protected]
3/25
Segurança
• Nos últimos anos, é possível observar um crescimento no uso de meios de comunicação, em especial a Internet• Consultar extratos bancários, jogos, compras, etc.• Informações, muitas delas sensíveis e confidenciais
• Segurança na Internet – Necessidade
• Ataques são classificados em:• Passivos – se deseja obter um acesso indevido a uma informação, mas que não afeta o
funcionamento do sistema como um todo. Ex. Observação e monitoração das transmissões de dados
• Ativos – objetivo principal é alterar ou prejudicar o funcionamento normal do sistema. Ex.: vírus, cavalo de Tróia, backdoor (programa que se executa de forma não autorizada no sistema, isto é, sem o usuário ter conhecimento).
Um incidente de segurança, comumente chamado de ataque é qualquer tipo de ação que vise a afetar a correta operação de um sistema de computação pela alteração do seu funcionamento, dos dados que possui ou
por acessos indevidos.
Um incidente de segurança, comumente chamado de ataque é qualquer tipo de ação que vise a afetar a correta operação de um sistema de computação pela alteração do seu funcionamento, dos dados que possui ou
por acessos indevidos.
Prof. André Y. Kusumoto – [email protected]
4/25
Segurança
• A segurança da informação deve garantir quatro propriedades:
• Autenticidade – visa garantir que as partes envolvidas sejam realmente que elas dizer ser, ou seja, é preciso garantir a identificação das partes
• Confidencialidade – implica que uma informação só pode ser acessada por quem detém um determinado nível de privilégio ou autorização
• Integridade – significa que uma informação só pode ser modificada por quem tem a autorização para fazê-lo, isto é, deve-se prover a capacidade de garantir quem uma informação não seja modificada por terceiros não autorizados
• Disponibilidade – uma informação deve estar disponível sempre que uma parte autorizada necessitar consultá-la
Prof. André Y. Kusumoto – [email protected]
5/25
Conceitos de Criptografia
Introdução
•Criptografia é a ciência e arte de escrever mensagens em forma cifrada ou em código.
Ex. Um texto simples e seu texto cifrado correspondente.
Plaintext: HELLOCiphertext: KHOORPlaintext: HELLO
Ciphertext: KHOOR
Prof. André Y. Kusumoto – [email protected]
6/25
Conceitos de Criptografia
• É parte de um campo de estudos que trata das comunicações secretas, usadas, dentre outras finalidades, para:• autenticar a identidade de usuários;• autenticar e proteger o sigilo de comunicações pessoais e de transações comerciais
e bancárias;• proteger a integridade de transferências eletrônicas de fundos.
• A ideia básica da aplicação dessas técnicas é simples:
Prof. André Y. Kusumoto – [email protected]
7/25
Criptografia
• Durante a transferência de uma mensagem há três ataques diferentes:1. Intruso passivo pode interceptar a mensagem sem que o servidor nem o receptor
percebam. Se for utilizado um bom algoritmo de criptografia, a interceptação é inútil.2. Ataque que modifica a mensagem. Modificar um texto cifrado é muito dificil, primeiro o
intruso terá que decifrar a mensagem antes de modificá-la. E depois terá que criptografar novamente a mensagem de forma adequada, senão o receptor poderá notar o ataque.
3. Inserção de mensagens criptografadas nos sistemas de comunicação na tentativa de fazer com que o receptor acredite que as mensagens vieram do transmissor.
• Observe que se o intruso puder modificar as mensagens, também poderá inserir mensagens
Prof. André Y. Kusumoto – [email protected]
8/25
Chaves
• Os métodos de criptografia atuais são seguros e eficientes e baseiam-se no uso de uma ou mais chaves.
• A chave é uma seqüência de caracteres, que pode conter letras, dígitos e símbolos (como uma senha), e que é convertida em um número, utilizado pelos métodos de criptografia para codificar e decodificar mensagens.
• Atualmente, os métodos criptográficos podem ser subdivididos em duas grandes categorias, de acordo com o tipo de chave utilizada: a criptografia de chave única e a criptografia de chave pública e privada.
Prof. André Y. Kusumoto – [email protected]
9/25
Criptografia de chave única
• Também chamada de chaves simétricas
• Utiliza a mesma chave tanto para codificar quanto para decodificar mensagens.
• Apesar deste método ser bastante eficiente em relação ao tempo de processamento, ou seja, o tempo gasto para codificar e decodificar mensagens, tem como principal desvantagem a necessidade de utilização de um meio seguro para que a chave possa ser compartilhada entre pessoas ou entidades que desejem trocar informações criptografadas.
Prof. André Y. Kusumoto – [email protected]
10/25
Criptografia de chaves públicas e privadas
• Também chamada de chaves assimétricas
• Utiliza duas chaves distintas, uma para codificar e outra para decodificar mensagens.
• Neste método cada pessoa ou entidade mantém duas chaves: uma pública, que pode ser divulgada livremente, e outra privada, que deve ser mantida em segredo pelo seu dono. As mensagens codificadas com a chave pública só podem ser decodificadas com a chave privada correspondente.
Prof. André Y. Kusumoto – [email protected]
11/25
• Seja o exemplo, onde José e Maria querem se comunicar de maneira sigilosa. Então, eles terão que realizar os seguintes procedimentos:• José codifica uma mensagem utilizando a chave pública de Maria, que
está disponível para o uso de qualquer pessoa;• Depois de criptografada, José envia a mensagem para Maria, através
da Internet;• Maria recebe e decodifica a mensagem, utilizando sua chave privada,
que é apenas de seu conhecimento;• Se Maria quiser responder a mensagem, deverá realizar o mesmo
procedimento, mas utilizando a chave pública de José.
Criptografia de chaves públicas e privadas
Prof. André Y. Kusumoto – [email protected]
12/25
Criptografia de chaves públicas e privadas
• Apesar deste método ter o desempenho bem inferior em relação ao tempo de processamento, quando comparado ao método de criptografia de chave única, apresenta como principal vantagem – Livre distribuição de chaves públicas, não necessitando de
um meio seguro para que chaves sejam combinadas antecipadamente.
Prof. André Y. Kusumoto – [email protected]
14/25
Assinatura Digital
• Consiste na criação de um código, através da utilização de uma chave privada, de modo que a pessoa ou entidade que receber uma mensagem contendo este código possa verificar se o remetente é mesmo quem diz ser e identificar qualquer mensagem que possa ter sido modificada.
• Desta forma, é utilizado o método de criptografia de chaves pública e privada, mas em um processo inverso.
Prof. André Y. Kusumoto – [email protected]
15/25
• Se José quiser enviar uma mensagem assinada para Maria, ele codificará a mensagem com sua chave privada. Neste processo será gerada uma assinatura digital, que será adicionada à mensagem enviada para Maria.
• Ao receber a mensagem, Maria utilizará a chave pública de José para decodificar a mensagem. Neste processo será gerada uma segunda assinatura digital, que será comparada à primeira.
• Se as assinaturas forem idênticas, Maria terá certeza que o remetente da mensagem foi o José e que a mensagem não foi modificada.
Assinatura Digital
Prof. André Y. Kusumoto – [email protected]
16/25
• A segurança do método baseia-se no fato de que a chave privada é conhecida apenas pelo seu dono.
• O fato de assinar uma mensagem não significa gerar uma mensagem sigilosa. • Para o exemplo anterior, se José quisesse assinar a mensagem e ter certeza de que
apenas Maria teria acesso a seu conteúdo, seria preciso codificá-la com a chave pública de Maria, depois de assiná-la.
Assinatura Digital
Prof. André Y. Kusumoto – [email protected]
17/25
Gerência de Rede
• O termo “gerência” engloba as seguintes áreas funcionais:• Gerenciamento de configuração: saber quais elementos fazem parte da rede, quais
são suas relações uns com os outros.• Gerenciamento de falhas: detecção de eventos anormais, o diagnóstico de
problemas que levaram a esses eventos, acompanhamento e solução dos problemas.
• Gerenciamento de desempenho: monitoração de indicadores de desempenho, solução de problemas de desempenho, planejamento de capacidade, etc.
Prof. André Y. Kusumoto – [email protected]
18/25
SNMP
• Gerenciamento de Segurança - dar subsídios à aplicações de políticas de segurança, protegendo os objetos gerenciados e o sistema de acessos indevidos.
• Gerenciamento de Contabilização - Contabilidade significa tratar com pessoas usando os reais recursos de rede com despesas de operação real. Exemplos desses custos incluem uso do espaço em disco e dados armazenados, despesas de telecomunicação para acesso a dados remotos e taxas de envio de e-mail. Também utilizado para determinar tendências, o que deve indicar a necessidade de adições e reajustes num futuro próximo.
Prof. André Y. Kusumoto – [email protected]
19/25
Simple Network Management Protocol (SNMP)
• Protocolo da camada de aplicação designado para facilitar a troca de informações de gerenciamento entre dispositivos de rede.
• Usando os dados transportados pelo SNMP, os administradores de rede podem gerenciar mais facilmente a performance da rede, encontrar e solucionar problemas e planejar com mais precisão uma possível expansão da rede.
• O SNMP utiliza os serviços do protocolo de transporte UDP (User Datagram Protocol) para enviar suas mensagens através da rede.
• Sua especificação está definida na RFC 1157.
Prof. André Y. Kusumoto – [email protected]
20/25
Simple Network Management Protocol (SNMP)
• O SNMP é baseado na interação de diversas entidades:• Elementos de rede - também chamados dispositivos gerenciados, são dispositivos
de hardware como os computadores, roteadores, e servidores de terminais que estão conectados a rede.
• Agentes - módulos de software que residem nos elementos de rede. Coletam e armazenam informações de gerenciamento como o número de pacotes de erros recebidos pelo elemento de rede. São eles que respondem as solicitações dos gerentes.
• Network Management Stations (NMS) - também chamados consoles. São dispositivos que executam aplicações de gerenciamento para monitorar e controlar elementos de rede. Fisicamente, os NMS são usualmente workstations com CPU velozes, monitores coloridos de alta definição, memória substancial e um grande espaço em disco.
• Protocolo de gerenciamento - usado para transportar informações de gerenciamento entre agentes e NMS. O SNMP é o protocolo de gerenciamento padrão.
Prof. André Y. Kusumoto – [email protected]
21/25
Simple Network Management Protocol (SNMP)
Funcionamento•Cada objeto é visto como uma coleção de variáveis (MIB), cujo valor pode ser lido ou alterado, possibilitando, assim, a monitoração e o controle de cada elemento da rede.•O agente, quando recebe a solicitação do gerente, encaminha as informações ou altera valores das variáveis que representam os objetos gerenciados. •O agente pode, ainda, avisar o gerente da ocorrência de algum evento não previsto
Prof. André Y. Kusumoto – [email protected]
22/25
MIB (Management Information Base)
• As informações que se encontram nos nodos agentes ficam organizadas em bases de informações de gerência chamadas Management Information Base (MIB)
• A MIB pode ser definida como um conjunto gerenciável de recursos em determinado nodo.
• Ela é dividida por tipos de informação e contém as características de cada recurso que possam interessar a gerência.
Prof. André Y. Kusumoto – [email protected]
23/25
Operações SNMP
• O SNMP por si só é um protocolo de requisição/resposta simples. Os NMS podem enviar múltiplas requisições sem receber uma resposta.
• A identificação do objeto é referida por Object Identifier – OID.
• Cinco operações são definidas no SNMP:• PDU GET• PDU RESPONSE• PDU SET• PDU GET-NEXT• PDU TRAP
PDU (Protocol Data Unit)
Prof. André Y. Kusumoto – [email protected]
24/25
Operações SNMP
• PDU GET - Serve para o gerente enviar a um agente um pedido de leitura de uma variável de gerência. A PDU contém o Object Identifier (OID) da instância a ser lida.
• PDU RESPONSE - O agente responde às PDUs GET, GET-NEXT e SET com uma resposta contida numa PDU deste tipo.
• PDU SET - Serve para o gerente enviar a um agente um pedido de alteração de uma variável de gerência.
• PDU GET-NEXT - Em alguns casos, a PDU GET não pode ser usada para ler uma variável de gerência, porque o OID não é conhecido.
• PDU TRAP - Esta PDU é usada pelo agente para informar eventos extraordinários ao gerente.
Prof. André Y. Kusumoto – [email protected]
25/25
Referências Bibliográficas
• Comunicação de dados e Redes de computadores. FOROUZAN, Behrouz A. Ed. Mc Graw Hill, 4ª edição, 2008.
• Cartilha de Segurança para Internet - “Texto extraído da Cartilha de Segurança para Internet, desenvolvida pelo CERT.br, mantido pelo NIC.br, com inteiro teor em http://cartilha.cert.br/.”