Exercícios de Revisão Redes de Computadores Edgard Jamhour. TLS/SSL, VPN PPTP e IPsec

Transcrição

1 Exercícios de Revisão Redes de Computadores Edgard Jamhour TLS/SSL, VPN PPTP e IPsec

2 Exercício 1: Indique a função dos diferentes tipos de algoritmos usados para proteger a comunicação em redes de computadores FUNÇÃO ( ) Utiliza chaves de criptografia diferentes para cifrar e decifrar as informações ( ) Também chamado de algoritmo de chave secreta ou de chave de sessão ( ) Permite verificar a integridade de uma mensagem, isto é, se a mensagem recebida é idêntica a que foi gerada pelo transmissor. ( ) Para uma dada mensagem, gera um código único, de tamanho fixo, que independe do tamanho da mensagem. ALGORITMO 1. Criptografia Assimétrica 2. Criptografia Simétrica 3. Hashing 4. Assinatura Digital com chave pública 5. HMAC 6. Opções 3 a 5 7. Opções 4 e 5 6. Nenhuma das anteriores ( ) Permite verificar a integridade e a identidade do transmissor de uma mensagem. ( ) É unidirecional, isto é, as chaves para criptografar informações de A para B e de B para A são diferentes. ( ) O espaço de chaves é aproximadamente 2 N, onde N é o tamanho da chave.

3 Exercício 2: Classifique os algoritmos e protocolos usados para proteger a comunicação em redes de computadores FUNÇÃO ( ) DES, 3DES e AES ( ) RSA ( ) MD5 e SHA ( ) SHA + RSA ( ) HMAC MD5 ( ) Diffie-Hellman ( ) TLS e SSL ( ) ISAKMP/IKE ALGORITMO 1. Criptografia Assimétrica 2. Criptografia Simétrica 3. Hashing 4. Assinatura Digital com chave pública 5. Assinatura Digital com chave secreta 6. Algoritmo de Negociação de Chaves 7. Protocolo de Negociação de Chaves 8. Nenhuma das anteriores

4 Exercício 3: Indique as afirmações verdadeiras ( ) Algoritmos de criptografia assimétricos, como o RSA, são geralmente mais lentos que os simétricos, pois utilizam operações complexas com números primos. ( ) É possível determinar o valor da chave privada a partir da chave pública ( ) A criptografia simétrica usa chaves maiores que a criptografia assimétrica, a fim de oferecer o mesmo nível de proteção contra ações de descriptografia do tipo força-bruta. ( ) Uma boa prática de segurança usada em chaves de sessão simétricas consiste em trocar as chaves periodicamente ou por volume de tráfego, a fim de evitar que muitos dados sejam protegidos com a mesma chave. ( ) É possível recuperar o conteúdo de uma mensagem a partir do digest gerado por algoritmos de hash do tipo MD5 ou SHA. ( ) Algoritmos do tipo block ciphers dividem um mensagem que precisa ser protegida em blocos de tamanho fixo e criptografam um bloco de cada vez. O tamanho dos blocos é usualmente pequeno, como 64 ou 128 bits. Caso dois blocos idênticos apareçam na mensagem original, o resultado criptografado também será idêntico, para qualquer modo de operação, seja o CBC (Cipher Block Chaining) ou o ECB (Electronic CodeBook).

5 Exercício 4: Assumindo que os certificados X509 são do tipo RSA, relacione as ações do SSL/TLS FUNÇÃO ( ) Assinar um CSR (Certificate Server Request) e transformá-lo em um certificado digital. ( ) Criptografar o segredo gerado pelo navegador Web (cliente) para criar a chave de sessão. ( ) Criptografar os dados transmitidos do cliente para o servidor Web. ( ) Criptografar os dados transmitidos do servidor para o cliente Web. ( ) Descriptografar o segredo enviada pelo cliente para o Servidor Web. ( ) Verificar a validade de um certificado digital emitido por uma autoridade certificadora. ALGORITMO 1. Chave privada do servidor Web 2. Chave privada da autoridade certificadora 3. Chave pública do servidor Web 4. Chave pública da autoridade certificadora 5. Chave secreta gerada pelo cliente 6. Chave pública do cliente 7. Chave privada do cliente 8. Nenhuma das anteriores

6 Exercício 5: Indique na figura abaixo o formato de um pacote transmitido em SSL/TLS de um cliente para um servidor Web numa rede externa, relacionando os campos com a coluna ao lado. Além do número, coloque também um x nos campos criptografados. 1 4 início do quadro fim do quadro 1. MAC do cliente 2. MAC do roteador 3. MAC do servidor 4. FCS 5. IP do cliente 6. IP do servidor 7. IP do roteador 8. Porta TCP origem > Porta TCP destindo Porta TCP destino HTTP/Dados

7 Exercício 6: Identifique a função dos diferentes tipos de certificados X509 FUNÇÃO ( ) Certificado auto assinado que precisa ser sempre TRUSTED pois não pode se validado por nenhuma outra CA ( ) Certificado de CA que é enviado pela rede junto com o certificado do entidade final ( ) Certificado usado para que o cliente possa autenticar o servidor ( ) Certificado armazenado na máquina do usuário e que não precisa se validado ( ) Certificado usado para que o servidor possa autenticar o cliente ALGORITMO 1. Certificado de Entidade Final (Servidor) 2. Certificado de Entidade Final (Cliente) 3. Certificado ROOT 4. Certificado TRUSTED 5. Certificado Intermediário 6. Nenhuma das anteriores

8 Exercício 7: O administrador da rede de uma empresa redirecionou o tráfego enviado para o Gmail para um servidor falso, a fim de inspecionar as mensagens dos usuários. O certificado X509 do servidor falso foi assinado por uma CA privada instalada em todos os clientes da empresa. Indique entre as opções abaixo qual é a afirmativa correta. ( ) Os usuários irão receber uma aviso indicando que o certificado do servidor falso não pode ser validado porque a CA é desconhecida. ( ) Os usuários irão receber uma aviso indicando que o certificado do servidor falso é inválido porque o nome digitado no navegador Web não confere com o CN (Common Name) do certificado. ( ) Os usuários não irão receber aviso algum. Escolhendo corretamente o nome do certificado do servidor falso e da CA privada, os usuários não conseguirão detectar a fraude. ( ) A tentativa de redirecionamento irá falhar, porque não é possível redirecionar conexões protegidas por SSL/TLS. Assim, os clientes continuarão a acessar o servidor de Gmail verdadeiro. ( ) Não é necessário instalar uma CA privada nos clientes da empresa para implementar essa fraude. Ao invés disso, o certificado da CA pode ser enviado para os clientes pela rede na forma de um certificado de CA intermediário.

9 Exercício 8: Em relação ao estado da arte da tecnologia TLS/SSL indique as afirmativas corretas ( ) O SSL (Secure Socket Layer) é um algoritmo de criptografia usado apenas para proteger o protocolo HTTP. ( ) O TLS (Transport Layer Security) não define os algoritmos (cipher suite) usados para proteger uma conexão segura. Ao invés disso, os ele define uma forma de handshake entre o cliente e o servidor que permite negociar os algoritmos. ( ) Atualmente, o TLSv1.2 proposto pela Netscape está sendo gradativamente substituído pelo SSLv3 proposto pelo IETF. ( ) No TLS a autenticação do servidor pelo cliente é obrigatória, mas a autenticação do cliente pelo servidor é facultativa. ( ) Caso ocorra um erro na validação do certificado enviado do servidor para o cliente, a conexão segura TLS/SSL não é completada. A conexão fica desprotegida, e cabe ao usuário decidir se quer continuar a comunicação. ( ) O SSL se tornou obsoleto porque permite proteger apenas conexões TCP. Já o TLS permite proteger tanto TCP quanto UDP.

10 Exercício 9: Considerando os diferentes tipos de proteção para comunicação em redes de computadores e sua aplicabilidade, relacione as colunas. Característica ( ) Protege a conexão TCP de uma comunicação cliente-servidor. A proteção é feita pela própria aplicação. ( ) Faz tunelamento de pacotes, isto é, encapsula o pacote original no campo de dados de um novo pacote a fim de oferecer maior proteção aos dados transportados. ( ) Permite transportar apenas pacotes IP. Exemplo: IPsec em modo túnel Método de Proteção 1. TLS/SSL 2. VPN camada 2 3. VPN camada 3 4. Todas as anteriores 5. Alternativas 2 e 3 6. Nenhuma das anteriores ( ) Além de tráfego IP, pode transportar tráfego não-ip, como IPX e NetBEUI. Exemplo: L2TP e PPTP. ( ) Pode operar com qualquer aplicação, pois o tráfego é protegido quando atravessa o sistema operacional ou interfaces virtuais TUN/TAP.

11 Exercício 10: Considere o seguinte cenário, onde apenas usuários remotos autorizados possam acessar os servidores de aplicação A (TCP) e B (UDP) através de uma VPN criada com OpenVPN. Rede da Empresa Usuário Remoto tráfego de controle Servidor VPN Servidor Aplicação A UDP > 1024 TCP > 1024 dados UDP 1194 TCP A Switch Internet Switch Switch FIREWALL UDP > 1024 dados UDP B * norma nova: > Servidor Aplicação B

12 Exercício 10: Em relação ao cenário anterior, indique as afirmativas corretas ( ) O controle de quais usuários podem acessar os servidores é feito criando-se regras no firewall baseadas no IP dos usuários remotos e nos endereços IP dos servidores A e B. ( ) O controle de quais usuários podem acessar os servidores é feito criando-se regras no firewall que permitem que usuários remotos acessem a porta UDP 1194 do servidor de VPN, independente do IP que estejam usando. Não são criadas regras permitindo o acesso aos servidores A e B. ( ) Esse cenário não irá funcionar para aplicações TCP, uma vez que o OpenVPN está utilizando a porta UDP Para liberar acesso a aplicação TCP, é necessário ativar também a porta TCP 1194 no servidor OpenVPN. ( ) O tráfego entre o servidor de VPN e os servidores A e B também está criptografado, e protegido pelo protocolo OpenVPN. ( ) Apenas o tráfego de controle, usado para autenticação e criação do canal seguro TLS, precisa ser enviado para porta UDP 119. O tráfego de dados é enviado pelos usuários remotos diretamente para os servidores A e B sem passar pelo servidor de VPN. Dessa forma, o servidor de VPN pode operar tanto para TCP quanto UDP.

13 Exercício 11: Marque as Afirmações Verdadeiras ( ) O IPsec pode operar através de dois protocolos distintos, o ESP e AH. O ESP permite fazer autenticação e criptografia dos pacotes e o AH apenas autenticação. ( ) O IPsec pode trabalhar no modo túnel ou no modo transporte. O modo transporte apenas adiciona os campos ESP ou AH no cabeçalho do pacote, sem criar um novo cabeçalho IP. O modo túnel inclui um novo cabeçalho IP, mas não adiciona os campos do ESP ou AH. ( ) O modo túnel é mais apropriado para criar um canal seguro de comunicação entre um cliente e um servidor, enquanto que o modo transporte é mais apropriado para criar um canal seguro entre dois roteadores. ( ) O IPsec permite definir políticas de segurança que só são ativadas quando algum pacote que satisfaz a política é transmitido. As políticas ativas são denominada associação de segurança (SA). ( ) As associações de segurança (SA) são unidirecionais. Isto é, para que os hosts A e B se comuniquem de forma segura é necessário criar uma SA para proteger a comunicação de A para B e outra para proteger a comunicação de B para A. ( ) O IPsec necessita que chaves secretas sejam compartilhadas entre os hosts que estabelecem uma comunicação segura. ( ) O IPsec possui um mecanismo denominado IKE que permite criar chaves compartilhadas entre hosts de forma automática, utilizando o protocolo ISAKMP.

14 Exercício 12: Nesse cenário apenas usuários remotos autorizados podem acessar os servidores de aplicação A (TCP) e B (UDP) através de uma VPN criada com IPsec. Considere que a associação de segurança (SA) é estabelecida entre o usuário remoto e o firewall. Rede da Empresa Usuário Remoto tráfego de controle Servidor Aplicação A UDP > 500 TCP > 1024 dados TCP A Switch Internet UDP 500 Switch UDP > 1024 dados FIREWALL com suporte a IPsec UDP B Servidor Aplicação B * norma nova: > 49152

15 Exercício 12: Em relação ao cenário anterior, indique as afirmativas corretas ( ) Os pacotes recebidos pelos servidores A e B são do tipo IPsec, e podem ser do tipo ESP (50) ou AH (51), dependendo do tipo de VPN configurada. ( ) O controle de quais usuários podem acessar os servidores é feito criando-se uma única regra no firewall que permite que usuários remotos acessem a porta UDP 500 do roteador, independente do IP que estejam usando. ( ) Adicionalmente a regra que libera a negociação IKE na porta UDP 500, é necessário também criar regras permitindo a passagem de pacotes IPsec do tipo AH (51) e ESP (50). ( ) Os servidores A e B precisam ter políticas de IPsec configuradas para poderem receber e enviar pacotes para os usuários remotos. ( ) Adicionalmente a regra que libera a negociação IKE na porta UDP 500, é necessário também criar regras permitindo a passagem de pacotes TCP para o servidor A e UDP para o servidor B. ( ) Para que esse cenário possa funcionar, é necessário incluir um roteador com suporte a IPsec junto a rede do usuário remoto, uma vez que a associação de segurança precisa ser estabelecida entre dois roteadores.

16 Exercício 13: Indique na figura abaixo o formato de um pacote HTTP transmitido em IPsec ESP no modo transporte de um cliente (C) para um servidor Web (S) numa rede externa, relacionando os campos com a coluna ao lado. Além do número, coloque também um x nos campos criptografados. C R1 Internet R2 S início do quadro fim do quadro 1. MAC do cliente C 2. MAC do roteador R1 3. MAC do servidor S 4. FCS 5. IP do cliente C 6. IP do servidor S 7. IP do roteador R1 8. Porta TCP origem > Porta TCP destino Porta TCP destino HTTP 12. ESPH (ESP Header) 13. ESPT (ESP Tail) 14. ESPA (ESP Authentication) 15. Dados

17 Cenário para as questões 14, 15 e 16 ESCRITÓRIO MATRIZ a A Internet b c d e f g C

18 Exercício 14: Considerando que existe uma associação de segurança (SA) em modo transporte entre o cliente e o servidor do tipo IPsec AH, indique o formato dos pacotes nos trechos 1, 2 e 3. pacote b a 2 e c 3 g f a-g a-g ipa ipc ah, esph, espt, espa MAC de destino (indicar a letra do MAC) MAC de origem (indicar a letra do MAC) IP do host de origem (A) IP do host de destino (C) Indica uma das opções no campo em que ele ocorrer ip1 IP da interface c Gateway 1 ip2 IP da interface e Gateway 2 ipd tcp/udp dados IP da interface d do roteador na Internet Cabeçalho da camada de transporte Cabeçalho do protocolo de aplicação e dados

19 Exercício 15: Considerando que existe uma associação de segurança (SA) em modo tunnel entre o Gateway 1 e o Gateway 2 do tipo IPsec AH, indique o formato dos pacotes nos trechos 1, 2 e 3. pacote b a 2 e c 3 g f a-g a-g ipa ipc ah, esph, espt, espa MAC de destino (indicar a letra do MAC) MAC de origem (indicar a letra do MAC) IP do host de origem (A) IP do host de destino (C) Indica uma das opções no campo em que ele ocorrer ip1 IP da interface c Gateway 1 ip2 IP da interface e Gateway 2 ipd tcp/udp dados IP da interface d do roteador na Internet Cabeçalho da camada de transporte Cabeçalho do protocolo de aplicação e dados

20 Exercício 16: Considerando que existe uma associação de segurança (SA) em modo tunnel entre o Gateway 1 e o Gateway 2 do tipo IPsec ESP, indique o formato dos pacotes nos trechos 1, 2 e 3. pacote b a 2 e c 3 g f a-g a-g ipa ipc ah, esph, espt, espa MAC de destino (indicar a letra do MAC) MAC de origem (indicar a letra do MAC) IP do host de origem (A) IP do host de destino (C) Indica uma das opções no campo em que ele ocorrer ip1 IP da interface c Gateway 1 ip2 IP da interface e Gateway 2 ipd tcp/udp dados IP da interface d do roteador na Internet Cabeçalho da camada de transporte Cabeçalho do protocolo de aplicação e dados