Segurança em Redes de Computadores
VI Semana de Informática
Carlos de Castro Goulart
Departamento de Informática
Universidade Federal de Viçosa
Tópicos
Redes de Computadores Princípios de Segurança Técnicas de Segurança Acesso a páginas web Engenharia social Conclusões
Redes de Computadores
Redes locais (LAN) redes de difusão
Redes de longa distância (WAN) redes pontoaponto
Redes sem fio locais (difusão) (WLAN) de longa distância (pontoaponto)
Redes Públicas
Redes de Computadores
Redes de comunicaçao de dados Transação em caixa eletrônico Compra com cartão de crédito/débito Ligação telefônica Telegrama Internet
home banking, comércio eletrônico, skype, email
Confidencialidade
Sigilo da informação Tem como objetivo fazer o transporte da
informação de modo que seu conteúdo não possa ser lido ou, no caso de ser lido, que não possa ser entendido.
Controle de Integridade
Integridade da informação Tem como objetivo garantir que uma
informação não foi alterada, seja em seu local de origem ou no transporte
Autenticação
Controle de acesso Visa garantir que o acesso à informação seja
feito apenas por agentes (pessoas ou máquinas) autorizadas
Autenticidade
Garantia de origem Procura garantir que o acesso esteja sendo
feito a um local confiável
Criptografia
Criptografia: técnica usada para garantir a confidencialidade da informação transmitida do grego: cripto = segredo, grafia = escrita Cifragem + transmissão + decifragem Substituição e Transposição Chave de criptografia
DK1
(EK2
(P)) = P
algoritmos de chave simétrica (K1=K2) e de chave pública (K1!=K2)
Criptografia: princípio básico
Fonte: A. S. Tanenbaum, Computer Networks, 4th edition, Prentice Hall, 2003.
Criptografia de chave simétrica
Fonte: A. S. Tanenbaum, Computer Networks, 4th edition, Prentice Hall, 2003.
Criptografia de chave simétrica
Fonte: A. S. Tanenbaum, Computer Networks, 4th edition, Prentice Hall, 2003.
Criptografia de chave pública
Chave possui 2 partes pública: para ser divulgada privada: mantida secreta difícil obter a chave privada à partir da chave
pública
José envia msg criptografada para Maria D
KPriMaria(E
KPubMaria(P)) = P
Algoritmos assimétrico D
KPubMaria(E
KPubMaria(P)) != P
Criptografia de chave pública
Fonte: A. S. Tanenbaum, Computer Networks, 4th edition, Prentice Hall, 2003.
Assinatura Digital
Técnica que visa substituir a assinatura convencional, garantido a autenticidade e a integridade o envio de uma mensagem assinada digitalmente
deve garantir que: o receptor possa verificar a identidade do emissor; o emissor não possa repudiar o conteúdo da mensagem; o receptor não possa modificar a mensagem.
Assinatura Digital Simétrica: Big Brother
Fonte: A. S. Tanenbaum, Computer Networks, 4th edition, Prentice Hall, 2003.
Assinatura Digital usando chave pública
Fonte: A. S. Tanenbaum, Computer Networks, 4th edition, Prentice Hall, 2003.
Assinatura Digital baseada em Message Digest
Uso de uma função hash que gera uma informação de tamanho fixo
Permite a transmissão sem a necessidade de criptografia pode ser combinada com a criptografia
Algoritmos mais usados MD5 (Message Digest) e SHA (Secure Hash
Algorithm)
Assinatura Digital baseada em Message Digest
Fonte: A. S. Tanenbaum, Computer Networks, 4th edition, Prentice Hall, 2003.
Protocolos de Autenticação
Técnica utilizada para garantir a autenticação segura
Autenticação tradicional baseada em senha Senha deve ser trocada usando criptografia Para quem a senha está sendo enviada?
Autenticação mais geral pessoas, máquinas, páginas, etc.
Assinatura Digital e Autenticação
As duas técnicas são usadas em conjunto Acesso a páginas web
como verificar que uma página é confiável? o navegador pode me ajudar? eu posso ajudar?
Engenharia Social
Práticas utilizadas para obter acesso a informações importantes ou sigilosas em organizações ou sistemas por meio da enganação ou exploração da confiança das pessoas. se passar por outra pessoa assumir outra personalidade fingir que é um profissional de determinada área
Uso da Internet para aumentar o ”público alvo” Email (spam), comunidades de relacionamento, salas
de batepapo.
Conclusões Não existe sistema 100% seguro
mantenha seu sistema sempre atualizado falhas documentadas e não corrigidas deixam o
sistema vulnerável
Segurança não é um problema apenas tecnológico Cultura de uso de rede deve ser desenvolvida informação deve ser trocada de forma responsável
Não seja curioso e nem queira se dar bem! Desconfie sempre.