Segurança de Redes de Computadores. Ricardo José Cabeça de Souza

Transcrição

1 Segurança de Redes de Computadores Ricardo José Cabeça de Souza

2 Arquitetura TCP/IP Host A Aplicação Mensagem Idêntica Pacote Idêntico Host B Aplicação Transporte Gateway Inter-rede Transporte Inter-rede Interface de Rede Datagrama Idêntico Quadro Idêntico Interface de Rede Interface de Rede Datagrama Idêntico Quadro Idêntico Inter-rede Interface de Rede Rede Física 1 Intra-Rede Rede Física 2 Intra-Rede Camadas Conceituais da Arquitetura Internet TCP/IP

3 Camada Rede CAMADA INTER-REDE (REDE) Controla as operações da sub-rede Efetua operações de funções características: Mapeamento entre endereços de rede e endereços de enlace Endereçamento - Utilização de endereços para identificação de usuários de forma não-ambígua Roteamento Estabelece e libera conexões de rede Detecção e recuperação de erros

4 Camada Rede CAMADA INTER-REDE (REDE) Efetua operações de funções características: Sequenciação Controle de congestionamento Seleção de qualidade de serviço - Especificação de parâmetros para garantir nível de qualidade de serviço (taxa de erro, disponibilidade do serviço, confiabilidade, throughput (vazão), atraso, etc.) Multiplexação da conexão de rede - Várias conexões de rede em uma conexão de enlace

5 Camada Rede Camada Rede (Internet) Datagrama IP VERS (4 bits): Versão do protocolo IP em uso. Por exemplo: IPv4 = 4. HLEN (4 bits): Tamanho do header do datagrama em 32 bits ou 4 bytes. Em geral possui 20 bytes: HLEN = 5. SERVICE TYPE ou TOS (TYPE OF SERVICE) (8 bits) SERVIÇOS DIFERENCIADOS Bits de Precedência (3) e Bits TOS (4). Precedência nunca foi usado. TOS de acordo com a tabela. TOTAL LENGTH: Tamanho total do datagrama em bytes. IDENTIFICATION: Identifica o datagrama fragmentado para associar estes fragmentos quando da remontagem no destino. FRAGMENT OFFSET: Posição do Fragmento no datagrama original, sendo que o primeiro Fragmento tem este campo = 0. Os demais, o número_byte / 8, assim sucessivamente. FLAGS: Bit 1 (MF) More Fragments (fragmento intermediário). Bit 2 (DF) Don t Fragment (não pode ser fragmentado). Bit 3 (RES) Reserved (sem uso). TIME TO LIVE (TTL): Indica o tempo de vida que resta a um datagrama (originalmente em segundos); na prática, uma unidade é descontada em cada roteador. Hoje se utiliza o número de saltos (hops). PROTOCOL: Indica qual protocolo cujas informações estão sendo encapsuladas no campo DATA do datagrama (ex.: TCP = 6, UDP = 17, ICMP = 1). HEADER CHECKSUM: Garantia da integridade apenas do Header e não do campo DATA. SOURCE IP ADDRESS: Endereço IP de origem. DESTINATION IP ADDRESS: Endereço IP de destino. IP OPTIONS: Opções para operações especiais no tratamento dos datagramas. PADDING: Possibilita arredondamento do tamanho do Header IP para um valor múltiplo de 4 bytes, já que o campo HLEN utiliza esta unidade. DATA: Dados encapsulados do protocolo que faz uso deste datagrama IP para entrega de seus dados a seu destino.

6 Camada Rede ENDEREÇAMENTO IP O roteamento dos datagramas através das subredes são feitos baseados no seu endereço IP Números de 32 bits (4 bytes) normalmente escritos com quatro octetos (em decimal) 2 32 endereços possíveis Exemplo: Cada parte pode variar de 0 a 255

7 Camada Rede ENDEREÇAMENTO IP O endereço IP, com seus 32 bits, torna-se demasiado grande para a notação decimal Utilizada a notação decimal pontuada (separada por pontos) Os 32 bits são divididos em quatro grupos de 8 bits cada Exemplo:

8 Camada Rede ENDEREÇAMENTO IP O endereço IP é constituído basicamente de dois campos : netid: identifica a Rede a qual este host pertence; hostid: identifica o host na Rede. Máquinas dentro do mesmo NetId devem ter HostIds diferentes

9 Camada Rede Regulamentação para Atribuição de Endereços No mundo IANA (Internet Assigned Numbers Authority) delegou ao ICANN (Internet Corporation for Assigned Names and Numbers) controle numeração desde 1998 América Latina - Registro Regional de Endereçamento IP para América Latina e Caribe (LACNIC) - No Brasil - registro.br (Comitê Gestor da Internet no Brasil )

10 Controle Endereços Camada Rede

11 Endereçamento IP

12 Endereçamento IP Classe do endereço Primeiro endereço de rede Último endereço de rede Classe A

13 Endereçamento IP Classe do endereço Primeiro endereço de rede Último endereço de rede Classe B

14 Endereçamento IP Classe do endereço Primeiro endereço de rede Último endereço de rede Classe C

15 Endereçamento IP Rede Interna Norma escrita pelo IANA (Internet Assigned Numbers Authority) recomenda o uso dos seguintes endereços para rede interna: Classe A: até Classe B: até Classe C: até a

16 Endereçamento IP RESTRIÇÕES DE ENDEREÇOS O número zero significa a rede corrente O número é um endereço de teste (loopback) O número 255 representa todos os hosts Os NetId de 224 a 254 estão reservados para protocolos especiais e não devem ser usados

17 Endereçamento IP RESTRIÇÕES DE ENDEREÇOS O número zero significa a rede corrente O número é um endereço de teste (loopback) O número 255 representa todos os hosts Os NetId de 224 a 254 estão reservados para protocolos especiais e não devem ser usados

18 Endereçamento IP MÁSCARA DA SUB-REDE Indica como separar o NetId do HostId, especificada em nível de bits Máscara das Sub-Redes Padrões Classe A: Classe B: Classe C:

19 Segurança de Redes Segurança Camada Rede Tipo de VLAN VLAN de nível 3 Distinguem-se vários tipos de VLAN de nível 3 VLAN por sub-rede (em inglês Network Address-Based VLAN) Associa sub-redes de acordo com o endereço IP fonte dos datagramas Este tipo de solução confere uma grande flexibilidade, na medida em que a configuração dos comutadores se altera automaticamente no caso de deslocação de uma estação Por outro lado, uma ligeira degradação de desempenhos pode fazer-se sentir, dado que as informações contidas nos pacotes devem ser analisadas mais finamente

20 Segurança de Redes VLAN por sub-rede (em inglês Network Address- Based VLAN)

21 Endereçamento IP CRIAÇÃO DE SUB-REDES Criar sub-redes eficientes, que reflitam as necessidades de sua rede, requer três procedimentos básicos: 1. Determinar o número de bits de host a serem usados para sub-redes 2º. Listar as novas identificações de sub-redes 3º. Listar os endereços IPs para cada nova identificação de sub-rede 4º. Definição da Máscara da Sub-Rede

22 Segurança de Redes Segurança Camada Rede Tipo de VLAN VLAN de nível 3 - VLAN por protocolo (em inglês Protocol-Based VLAN) Permite criar uma rede virtual por tipo de protocolo (por exemplo TCP/IP, IPX/SPX, AppleTalk, etc.) Agrupa todas as máquinas que utilizam o mesmo protocolo numa mesma rede

23 Segurança de Redes VLAN de nível 3 - VLAN por protocolo (em inglês Protocol- Based VLAN)

24 Segurança de Redes IP Spoofing Consiste basicamente em alterar o endereço origem em um cabeçalho IP Simples programação em Sockets pode nos ensinar como fazer isso Existem várias técnicas utilizadas: Blind Spoof Non Blind Spoof DNS Spoof ARP Spoof Ataque usado por Kevin Mitnick(dez/1994) a rede particular de Tsutomo Shimomura (Especialista Segurança)

25 Segurança de Redes Blind Spoofing Consiste basicamente em se predizer os números de sequência(isn) utilizado no Three-way handshaking (Camada Transporte) e utilizá-los na exploração de serviços r*(rlogind, rshd, rexecd)

26 Segurança de Redes Non Blind Spoofing Semelhante ao Blind Spoofing, só que não é feito às cegas"(blind) O atacante já obteve acesso a um sistema no meio das conexões alvos(hosts de confiança) e ele passa a analisar o tráfego e com base na análise feita através de um sniffer, ele é capaz de "sequestrar" a conexão Esta técnica também recebe nomes variados como IP Hijacking, e também costumam se referir a ela com Man-in-the-middle

27 Segurança de Redes DNS Spoofing Um servidor de DNS(Domain Name Server) é o responsável por associar um determinado IP a um determinado nome de host Um atacante pode se utilizar disso de várias formas, desde usar técnicas de man-in-the-middle(invadindo um server no meio do caminho) até mesmo utilizando problemas no protocolo DNS(UDP/53) Existe um campo no cabeçalho DNS responsável pela ID que pode ser atacado como se ataca um cache, enviando múltiplas requisições até entupir a pilha Este tipo de ataque também é conhecido como DNS Cache Spoof

28 Segurança de Redes IP Spoofing Como Prevenir É necessário criar uma Access-List(ACL) no roteador que está conectado a Internet (Ingress Filtering) Nunca um IP privado, de uso específico ou seu próprio IP, deve ser aceito como tráfego inbound na interface outside de um roteador conectado a Internet Fonte imagem:

29 Camada de Transporte Camada de Transporte Responsável pela comunicação entre processos Comunicação nó-a-nó (fim-a-fim) Processo É um programa aplicativo em execução em um host Paradigma cliente/servidor Um processo no host local, denominado cliente, solicita serviços de outro processo, normalmente localizado em um host remoto, denominado servidor Comunicação entre processos envolve: Host local Processo local Host remoto Processo remoto

30 Camada de Transporte Camada de Transporte Processos... Processos... Internet Enlace Enlace Enlace Enlace Enlace Rede Processo a Processo

31 Camada de Transporte Endereçamento Uso do endereço na camada de transporte Denominado número de porta Define os processos em execução no host O número da porta de destino é necessário para entrega O número da porta de origem é necessário para resposta

32 Camada de Transporte Endereçamento Modelo Internet os números de porta são inteiros de 16 bits Variam de 0 a Cliente define para si um número de porta de forma aleatória Denominado número de porta efêmero EFÊMERO: 1 Que dura um só dia. 2 Passageiro, transitório. Fonte: Michaelis On-Line.

33 Camada de Transporte Endereçamento Faixa de endereços IANA (Internet Assigned Number Authority) Portas conhecidas Atribuídas e controladas pelo IANA De 0 a 1023 Portas registradas Podem ser registradas na IANA De 1024 a Portas dinâmicas Podem ser usadas por qualquer processo De a Lista de todas as portas

34 Endereçamento Camada de Transporte

35 Camada de Transporte Protocolos Camada de Transporte UDP (User Datagram Protocol) TCP (Transmission Control Protocol) SCTP (Stream Control Transmission Protocol)

36 Camada de Transporte UDP (User Datagram Protocol) 8 bytes Cabeçalho Dados

37 Camada de Transporte TCP (Transmission Control Protocol) Cabeçalho Dados

38 Camada de Transporte SCTP

39 Camada de Transporte TCP (Transmission Control Protocol) Protocolo de comunicação entre processos finais Usa número de portas Orientado a conexão e confiável Cria conexão virtual Implementa mecanismos de controle de fluxo e de erros

40 Camada de Transporte TCP (Transmission Control Protocol) Comunicação entre processos utilizando portas Serviço de entrega de fluxo de bytes Buffer de transmissão Área disponível Bytes enviados e não confirmados Bytes a enviar Buffer de Recepção Área disponível Bytes recebidos pronto para leitura

41 Camada de Transporte TCP (Transmission Control Protocol) Segmentação Cada segmento recebe um cabeçalho TCP Segmentos são encapsulados em datagramas IP Comunicação Full-Duplex Serviço orientado a conexão Serviço confiável Implementa mecanismo de confirmação

42 Camada de Transporte TCP (Transmission Control Protocol) Sistema de Numeração Número de bytes Os bytes são numerados em cada conexão TCP Começa com um número gerado randomicamente entre 0 e como número inicial Exemplo: Se o número randômico for e o total de dados a serem transmitidos for de bytes, os bytes serão numerados de a 7.056

43 Camada de Transporte TCP (Transmission Control Protocol) Sistema de Numeração Número de bytes Número de sequência Para cada segmento é o número do primeiro byte transportado Exemplo: Transmitir bytes e o primeiro byte recebe o número , enviados em 5 segmentos de bytes:» Segmento 1: Número sequência: » Segmento 2: Número sequência: » Segmento 3: Número sequência: » Segmento 4: Número sequência: » Segmento 5: Número sequência:

44 Camada de Transporte TCP (Transmission Control Protocol) Sistema de Numeração Número de bytes Número de confirmação Usado para confirmar os bytes que recebeu Identifica o número do próximo byte que a parte espera receber pega o número do último byte, incrementa 1 e anuncia a soma

45 Camada de Transporte TCP (Transmission Control Protocol) Controle de fluxo Janela deslizante Controle de erros Mecanismo de detecção de segmentos corrompidos, perdidos ou fora de ordem e segmentos duplicados Controle de congestionamento Alteração da quantidade de bytes transmitidos depende do congestionamento da rede

46 Camada de Transporte Camada Transporte TCP (Transmission Control Protocol) Estabelecimento da Conexão Three-way handshaking Processo começa no servidor, informando ao TCP que está pronto para aceitar uma conexão (abertura passiva) Programa cliente envia uma solicitação de abertura ativa

47 Camada de Transporte Estabelecimento da Conexão TCP Three-way handshaking 1. Cliente transmite SYN, usando um número de sequência gerado randomicamente. 2. Servidor transmite um segmento SYN com seu número de sequência + ACK com o número de confirmação 3. Cliente transmite um segmento ACK com o número de confirmação e o seu próximo número de sequência. Está estabelecida a conexão. Os dados já podem ser transmitidos.

48 Segurança de Redes TLS(Transport Layer Security) É um protocolo para estabelecer uma conexão segura entre um cliente e um usuário Capaz de autenticar o cliente e o servidor e capaz de criar uma conexão cifrada entre os dois É composto de duas camadas: TLS Record Protocol Fornece segurança na conexão. Ela tem duas propriedades básicas:» A conexão é privada» A conexão é de confiança TLS Handshake Protocol Têm três propriedades básicas:» A identidade do par pode ser autenticada usando uma chave» A negociação de um segredo compartilhado é segura» A negociação é de confiança

49 Segurança de Redes TLS(Transport Layer Security) Segurança da Camada de Transporte Predecessor, Secure Sockets Layer - SSL (Camada de Sockets Segura) São protocolos criptográficos que conferem segurança de comunicação na Internet para serviços como (SMTP), navegação por páginas (HTTP) e outros tipos de transferência de dados

50 Segurança de Redes TLS(Transport Layer Security) Há algumas pequenas diferenças entre o SSL 3.0 e o TLS 1.0, mas o protocolo permanece substancialmente o mesmo O termo "SSL" usado aqui aplica-se a ambos os protocolos, exceto se disposto em contrário O protocolo SSL 3.0 também é conhecido como SSL3, e o TLS 1.0 como TLS1 ou ainda SSL3.1 Exemplo ferramenta conexão SSL: Putty

51 Segurança de Redes SSL(Secury Socket Layer) Protocolo de segurança criado pela Netscape para prover autenticação e cifração em redes TCP/IP Roda sobre protocolos confiáveis (TCP) Provê: Segurança em conexões cliente/servidor Uso criptografia simétrica Uso do MAC(Message Autentication Code) para evitar modificações na mensagem calculado baseado em funções de hash Autenticação utilizando criptografia assimétrica e certificados digitais

52 Segurança de Redes TLS(Transport Layer Security)

53 Segurança de Redes TLS(Transport Layer Security)

54 Segurança de Redes TLS(Transport Layer Security)

55 Segurança de Redes SSL(Secury Socket Layer)

56 Segurança de Redes SSL(Secury Socket Layer) 1. Cliente Envia um número aleatório, uma lista de cifras e um método de compressão apto a negociar 2. Servidor retorna seu aleatório, a cifra e o método selecionado 3. Servidor envia sua chave pública 4. Servidor envia um pedido de certificado do cliente 5. Cliente responde ao servidor enviando seu certificado 6. Cliente gera segredo e envia ao servidor utilizando a chave pública do servidor 7. Servidor verifica autenticidade de certificado do cliente 8 e 9. Última mensagem é enviada com o segredo negociado. Os dois lados possuem a chave de sessão que será utilizada Processo handshake é finalizado

57 Segurança de Redes IPSec (IP Security) É uma extensão do protocolo IP Visa ser o método padrão para o fornecimento de privacidade do usuário, integridade dos dados e autenticidade das informações Prevenção de identity spoofing quando se transferem informações através de redes IP pela internet Implementa dois modos: Transporte Tunel

58 Segurança de Redes IPSec (IP Security) Modo Transporte Usado para cifrar dados transportados pelo protocolo IP

59 IPSec (IP Security) Modo Túnel Segurança de Redes Usado para cifrar todo pacote IP Considerando que o endereço de destino está dentro do pacote criptografado é necessário encapsular o bloco inteiro (ESP e IP criptografado) em novo cabeçalho IP

60 Segurança de Redes IPSec (IP Security) Associação de Segurança Conjunto de diretivas que permite negociar e utilizar algoritmos de cifração Descreve quais os mecanismos a utilizar para estabelecer uma comunicação segura Associação é uma relação de sentido único Necessita de duas associações de segurança relação se processa em dois sentidos Associação é identificada por endereço Internet(Endereço de Destino) e um índice de parâmetro de segurança (Security Parameter Index SPI)

61 Segurança de Redes IPSec (IP Security) Aplicações:

62 Segurança de Redes Denial of Service (DoS) Consomem os recursos de servidores e roteadores e impedem que usuários legítimos tenham acesso a um determinado Enviar uma enxurrada de pedidos de início de conexão (pacotes TCP SYN) negação de serviço Nenhuma das ferramentas existentes são eficazes contra ataques de negação de serviço Novas vulnerabilidades são descobertas a cada dia Não visa invadir um computador para extrair informações confidenciais

63 Segurança de Redes Formas de Negação de Serviços (DoS) Consumo de recursos essenciais para o seu funcionamento Memória Processamento Espaço em disco Banda passante Inundar a vítima com um grande número de mensagens de forma a consumir quase que a totalidade dos seus recursos(flooding) Problema: não é possível distinguir o tráfego de ataque do tráfego de usuários legítimos Atacante gera mensagens a uma taxa superior à taxa na qual a vítima, ou a sua infraestrutura de rede, consegue tratar estas mensagens

64 Segurança de Redes Distributed DoS (DDoS) Diversas estações atacando em conjunto para que os recursos da vítima se esgotem São uma ameaça mesmo para vítimas superdimensionadas Sítios famosos como Yahoo, Ebay, Amazon.com e CNN.com já foram alvos de ataques de negação de serviço distribuídos bem sucedidos

65 Segurança de Redes Distributed DoS (DDoS)

66 Segurança de Redes Denial of Service (DoS) Exploração de alguma vulnerabilidade existente na vítima, os chamados ataques por vulnerabilidade Vulnerabilidades são o resultado de falhas no projeto de determinada aplicação, do próprio sistema operacional ou até mesmo de um protocolo de comunicação

67 Segurança de Redes DoS e Arquitetura Internet Internet não há reserva de recursos em uma comunicação entre dois nós, pois se adota o melhor esforço Um pacote pode ser encaminhado através de qualquer rota entre o nó fonte e o nó destino Nenhuma verificação é realizada para confirmar a autenticidade dos pacotes IP Difícil detectar e filtrar pacotes IP com endereço de origem forjado

68 Segurança de Redes DoS e Arquitetura Internet Quando um pacote com endereço de origem do nó A e destinado ao nó B é recebido por R2, este nó não consegue determinar se o endereço da fonte contido no pacote é forjado, ou se o roteador R1 falhou e, por isso, os pacotes estão sendo encaminhados por outra rota

69 Segurança de Redes DoS e Arquitetura Internet A topologia da Internet também contribui para os ataques de negação de serviço Núcleo da rede é composto por enlaces de alta capacidade Os nós nas bordas são normalmente providos de enlaces de baixa capacidade e que estão conectados ao núcleo Possibilita que os nós localizados nas bordas sejam inundados pelo tráfego agregado de outros nós

70 Segurança de Redes Ataques de Inundação de SYN Three-way handshaking é suscetível a ataques Chamado de ataque de inundação de SYN (SYN Flooding Attack) Explora o procedimento de abertura de conexão do protocolo de transporte TCP Invasor transmite um grande número de segmentos SYN a um servidor, simulando que cada um deles provém de um cliente diferente, forjando endereços IP de origem dos datagramas (IP Spoofing) Servidor aloca recursos necessários para os falsos clientes, que são ignorados ou perdidos Ocupa uma grande quantidade de recursos do servidor

71 Segurança de Redes Ataques por Refletor Visa consumir recursos da vítima Conta com a presença de uma estação intermediária entre o atacante e a vítima Ideia é usar a estação intermediária para refletir o tráfego de ataque em direção à vítima Para a reflexão do tráfego de ataque, é necessário que o atacante envie algum tipo de requisição (REQ) para o refletor, usando como endereço de origem o endereço da vítima ao invés do seu próprio endereço Ao receber uma requisição, o refletor não consegue verificar a autenticidade da origem dessa requisição e, consequentemente, envia uma resposta (RESP) diretamente para a vítima Usa o TCP e UDP

72 Segurança de Redes

73 Referências COELHO, Flávia Estélia Silva. Gestão da Segurança da Informação. Versão Escola Superior de Redes RNP: ABNT. ABNT NBR ISSO/IEC Tecnologia da Informação. Técnicas de Segurança. Sistemas de Gestão de Segurança da Informação. Requisitos. Primeira Edição ABNT: ABNT. ABNT NBR ISSO/IEC Tecnologia da Informação. Técnicas de Segurança. Códigos de práticas para a gestão da segurança da informação. Primeira Edição ABNT: PILLOU, Jean-François. VLAN Redes Virtuais. Disponível em acesso em 01/12/2012. VLAN. Disponível em acesso em 01/12/2012. STALLINGS, William. Criptografia e segurança de redes. 4. ed. São Paulo: Pearson Prentice Hall, FECHINI, Joseana Macêdo. Segurança da Informação. Disponível em BRAGA, Hugo Rodrigo. HISTÓRIA DA CRIPTOLOGIA Antiguidade. Disponível em Lima, Marcelo. Nakamura, Emílio. Segurança de Redes e Sistemas. Versão Escola Superior de Redes RNP:2007.

74 Referências FOROUZAN, Behrouz A. Comunicação de dados e redes de computadores. 4. ed. São Paulo: McGraw-Hill, KUROSE, Jim F. ROSS, Keith W. Redes de Computadores e a Internet. Uma nova abordagem. 3. ed. São Paulo: Addison Wesley, TANENBAUM, Andrew S. Redes de computadores. 3. Ed. Rio de Janeiro: Campus, COMER, Douglas E. Internetworking with TCP/IP. Principal, Protocolos, and Architecture. 2.ed. New Jersey: Prantice Hall, v.1. OPPENHEIMER, Priscilla. Projeto de Redes Top-down. Rio de Janeiro: Campus, GASPARINNI, Anteu Fabiano L., BARELLA, Francisco Rogério. TCP/IP Solução para conectividade. São Paulo: Editora Érica Ltda., Laufer, Rafael P. et. al. Negação de Serviço: Ataques e Contramedidas. Disponível em acesso em 01/02/2012.

75 Referências SPURGEON, Charles E. Ethernet: o guia definitivo. Rio de Janeiro: Campus, SOARES, Luiz Fernando G. Redes de Computadores: das LANs, MANs e WANs às redes ATM. Rio de Janeiro: Campus, CARVALHO, Tereza Cristina Melo de Brito (Org.). Arquitetura de Redes de Computadores OSI e TCP/IP. 2. Ed. rev. ampl. São Paulo: Makron Books do Brasil, Brisa; Rio de Janeiro: Embratel; Brasília, DF: SGA, COMER, Douglas E. Interligação em rede com TCP/IP. 2. Ed. Rio de Janeiro: Campus, v.1. ARNETT, Matthen Flint. Desvendando o TCP/IP. Rio de Janeiro: Campus, p. ALVES, Luiz. Comunicação de dados. 2. Ed. rev. ampl. São paulo: Makron Books do Brasil, 1994.