Centro Universitário Fundação Santo André. Disciplina Redes de Computadores Módulo 07

Transcrição

1 Centro Universitário Fundação Santo André Disciplina Redes de Computadores Módulo V1.0 Conteúdo INVASÃO AMEAÇAS AMEAÇAS

2 INVASÃO AÇÃO CRIMINOSA DE PESSOAS OU GRUPO DE PESSOAS, VISANDO A QUEBRA DE SIGILO E USO INDEVIDO DOS RECURSOS DE UMA REDE DE COMPUTADORES. INVASÃO AMEAÇAS 1 - NEGAÇÃO DE SERVIÇO DOS - ( DOS DENIAL OF SERVICE ) INUNDAÇÃO DE PACOTES MALICIOSAMENTE GERADOS AFOGAM O RECEPTOR. 2 - NEGAÇÃO DE SERVIÇO - DDOS ( DISTRIBUTED DOS ) FONTES MULTIPLAS E COORDENADAS INUNDAM O RECEPTOR C SYN SYN D SYN SYN RECEPTOR

3 INVASÃO ARQUITETURA GERAL DE PROTEÇÃO É UM EQUIPAMENTO OU CONJUNTO DE EQUIPAMENTOS OU A COMBINAÇÃO DE EQUIPAMENTOS E SOFTWARES CUJO OBJETIVO É CONTROLAR O TRÁFEGO ENTRE REDES. LAN FIREWALL INTENET REDE EXTERNA INSTALADO ENTRE A(s) REDE(s) DA ORGANIZAÇÃO E A REDE(s) EXTERNA(s) INVASÃO ARQUITETURA GERAL DE PROTEÇÃO LAN R.H. LAN ENGENHARIA FIREWALL INSTALADO ENTRE A(s) SUB- REDE(s) DA ORGANIZAÇÃO.

4 INVASÃO ARQUITETURA GERAL DE PROTEÇÃO MÁQUINAS SACRIFICADAS LAN SERVIDOR WEB INTERNET FIREWALL ROTEADOR SERVIDOR FTP SERVIDOR WEB E SERVIDOR FTP - MÁQUINAS SACRIFICADAS Também conhecido como DMZ Demilitarized Zone INVASÃO ROTEADOR CONFIGURADO COM FILTROS COMPUTADOR COM SOFTWARE FIREWALL COMBINAÇÃO ROTEADOR + SOFTWARE FIREWALL COMPUTADOR COM SOFTWARE PROXY

5 INVASÃO ROTEADOR CONFIGURADO COM FILTROS LAN ROTEADOR C/ FILTRO INTERNET FIREWALL INSTALADO ENTRE A(s) REDE(s) DA ORGANIZAÇÃO E A REDE EXTERNA INVASÃO ROTEADOR CONFIGURADO COM FILTROS LAN R.H. LAN ENGENHARIA ROTEADOR C/ FILTRO FIREWALL INSTALADO ENTRE A(s) SUB-REDE(s) DA ORGANIZAÇÃO.

6 INVASÃO CONFIGURAÇÃO DE FILTROS ROTEADOR CONFIGURADO COM FILTROS 1. OS PACOTES QUE ATENDEM ÀS EXIGÊNCIAS DESCRITAS NOS FILTROS SÃO ROTEADOS OU DESCARTADOS. 2. OS FILTROS DEFINEM VALORES PARA ANÁLISE DOS CABEÇALHOS DOS PACOTES ( HEADER ). CRITÉRIOS QUE PODERÃO SER UTILIZADOS ENDEREÇO DA MÁQUINA ORIGEM ENDEREÇO DA MÁQUINA DESTINO TIPO DE PROTOCOLO NUMERO DA PORTA DE COMUNICAÇÃO ORIGEM NUMERO DA PORTA DE COMUNICAÇÃO DESTINO INVASÃO ROTEADOR CONFIGURADO COM FILTROS PAC PAC e0 A s s0 s D s1 s s0 s1 C e s0 B interface e0 ip address ip access-group 100 in access-list 100 deny ip host access-list 100 deny ip host host access-list 100 permit ip any any PAC 1 PAC 2 MAC Header MAC Header IP Header Dados Source Destinat DADOS IP Header Dados Source Destinat DADOS ORIGEM DESTINO As regras nos comandos access-list negam ou permitem o acesso. As listas de acesso são aplicadas na entrada da interface e 0 com o comando access-group

7 INVASÃO VANTAGENS ROTEADOR CONFIGURADO COM FILTROS A CONFIGURAÇÃO É SIMPLES PARA TRÁFEGOS SIMPLES BAIXO CUSTO - NÃO REQUER A ADIÇÃO DE EQUIPAMENTOS ALTO DESEMPENHO OPERAÇÕES DE BAIXO NÍVEL DESVANTAGENS A CONFIGURAÇÃO E A MANUTENÇÃO DOS FILTROS É TRABALHOSA PARA TRÁFEGOS COMPLEXOS. DIFÍCIL GARANTIR QUE OS FILTROS ESTEJAM TODOS BEM CONFIGURADOS QUANDO EXISTE UMA GRANDE QTDE DE FILTROS. EXISTE DIFICULDADE PARAIDENTIFICAR A MÁQUINA INVASORA UMA VEZ QUE O ROTEADOR NÃO ARMAZENA EVENTOS. INVASÃO COMPUTADOR COM SOFTWARE FIREWALL LAN COMPUTADOR COM SOFTWARE FIREWALL INTERNET ROTEADOR INSTALADO ENTRE A(s) REDE(s) DA ORGANIZAÇÃO E O ROTEADOR TIPOS DE FIREWALL FILTRO DE PACOTES MONITORAMENTO DE CONEXÕES

8 INVASÃO COMPUTADOR COM SOFTWARE FIREWALL FILTROS DE PACOTES OPERAM DE FORMA SEMELHANTE AOS ROTEADORES COM FILTROS CONFIGURADOS ANALISAM OS PACOTES NA CAMADA DE REDE E TRANSPORTE NÃO SÃO CAPAZES DE MONITORAR O ESTADO DE UMA CONEXÃO NEM ENTENDER PROTOCOLOS DE APLICAÇÃO INVASÃO COMPUTADOR COM SOFTWARE FIREWALL MONITORAMENTO DE CONEXÕES CIRCUIT LEVEL ANALISAM OS PACOTES NA CAMADA DE REDE, TRANSPORTE E SESSÃO SÃO CAPAZES DE MONITORAR O ESTADO DE UMA CONEXÃO ENTRE AS MÁQUINAS PROTEGIDAS DA REDE E MÁQUINAS EXTERNA NÃO ENTENDEM PROTOCOLOS DE APLICAÇÃO NÃO SÃO CAPAZES DE MONITORAR SERVIÇOS CUJOS PROTOCOLOS NÃO SÃO ORIENTADOS À CONEXÃO ARMAZENAM INFORMAÇÕES SOBRE AS CONEXÕES

9 INVASÃO COMPUTADOR COM SOFTWARE FIREWALL MONITORAMENTO DE CONEXÕES CIRCUIT LEVEL E STATEFUL INSPECTION OPERAM DE FORMA SEMELHANTE AOS DE CIRCUIT LEVEL ADICIONALMENTE SÃO CAPAZES DE MONITORAR SERVIÇOS CUJOS PROTOCOLOS NÃO SÃO ORIENTADOS Á CONEXÃO ARMAZENAM INFORMAÇÕES SOBRE OS PACOTES ORIENTADOS OU NÃO ORIENTADOS Á CONEXÃO INSPECIONAM INFORMAÇÕES SOBRE PROTOCOLOS DE APLICAÇÃO INVASÃO COMPUTADOR COM SOFTWARE FIREWALL MONITORAMENTO DE CONEXÕES CIRCUIT LEVEL E STATEFUL INSPECTION INTERNET Pacote IP Source Destinat Source Destinat Source Destinat MAC MAC IP Add IP Add Port Port XXXXX YYYYY HTML DATA MAC Header IP Header TCP Header Dados Camada 2 Camada 3 Camada 4 Camadas 5-7 Conjunto de regras Permit Sour TCP 1060 Dest TCP 80 Deny Sour TCP 1000 Dest TCP 23 Sour TCP 5500 Dest TCP 80

10 INVASÃO ROTEADOR + COMPUTADOR COM SOFTWARE FIREWALL LAN COMPUTADOR COM SOFTWARE FIREWALL INTERNET ROTEADOR CONJUNTO DE REGRAS CIRCUIT LEVEL E STATEFUL INSPECTION LISTA DE ACESSO INVASÃO COMPUTADOR COM SOFTWARE PROXY LAN COMPUTADOR COM SOFTWARE PROXY INTERNET ROTEADOR INSTALADO ENTRE A(s) REDE(s) DA ORGANIZAÇÃO E O ROTEADOR

11 INVASÃO COMPUTADOR COM SOFTWARE PROXY OS PROXIES SUBSTITUEM OS PROGRAMAS DE FIREWALL OS SERVIÇOS DE CONEXÃO ENTRE A REDE INTERNA E EXTERNA PASSAM A SER PRESTADOS ATRAVÉS DOS PROXIES OS PROGRAMAS PROXIES SÃO COMPOSTOS POR MÓDULOS CADA PROXY ENTENDE UM PROTOCOLO DE APLICAÇÃO INVASÃO COMPUTADOR COM SOFTWARE PROXY SERVIÇO FTP CLIENTE PROXY SERVIÇO TELNET SERVIDOR FTP CLIENTE PROXY SERVIDOR FTP

12 ATIVIDADE O que é invasão? 2. Que recursos podem ser utilizados contra invasão? 3. O que é um Firewall? Elabore um diagrama geral da arquitetura de proteção. 4. Explique como funciona a utilização de filtros nos roteadores. 5. Discorra a respeito dos tipos de Firewall existentes. 6. O que é um Proxy? AÇÃO CRIMINOSA DE PESSOAS OU GRUPO DE PESSOAS VISANDO A QUEBRA DE SIGILO, CAPTAÇÃO E USO INDEVIDO DE DADOS E INFORMAÇÕES

13 ELEMENTOS DA COMUNICAÇÃO REMENTE CANAL DESTINATÁRIO COMUNICAÇÃO SEGURA SIGILO EVITAR QUE UM INTRUSO LEIA OU REGISTRE A MENSAGEM AUTENTICIDADE TER CERTEZA DA INDENTIDADE DOS ENVOLVIDOS INTEGRIDADE NÃO PERMITIR ALTERAÇÃO DA MENSAGEM DE FORMA ACIDENTAL OU PROPOSITALMENTE.

14 INTRUSOS ATIVO PODE REMOVER OU MODIFICAR AS MENSAGENS PASSIVO PODE LER OU GRAVAR UMA MENSAGEM 1 - CAPTURA DE PACOTES AMEAÇAS MEIO BROADCAST PLACA DE REDE EM MODO PROMISCUO LÊEM TODOS OS OS PACOTES QUE PASSAM POR ELA PODEL LER TODOS OS DADOS NÃO CRIPTOGRAFADOS A ORIG: A / DEST: B / DADOS B

15 2 - IP SPOOFING AMEAÇAS PODE GERAR PACOTES NOVOS DIRETAMENTE DA APLICAÇÃO COLOCA QUALQUER VALOR NO CAMPO DE ENDEREÇO IP DE ORIGEM EXEMPLO: C FINGE SER B C ORIG: B / DEST: A / DADOS A B 1. CRIPTOGRAFIA 2. PGP Pretty Good Privacy 3. AUTENTICAÇÃO 4. CERTIFICADOS 5. SSL - SECURE SOCKET LAYERS 6. IPSEC - IP SECURITY

16 CRIPTOGRAFIA texto plaintext aberto Algoritmo de Criptografia K A ciphertext texto cifrado Figure 7.3 goes here canal K B Algoritmo de Decriptografia texto plaintext aberto CRIPTOGRAFIA CRIPTOGRAFIA COM CHAVE SIMÉTRICA AS CHAVES DO TRANSMISSOR ( ka ) E DO RECEPTOR (kb) SÃO IDÊNTICAS E DEVEM SER COMBINADAS TRANSMISSOR TEXTO ABERTO ALGORITIMO DE CRIPTOGRAFIA CANAL ALGORITIMO DE DESCRIPTOGRAFIA RECEPTOR TEXTO ABERTO CHAVE ka CHAVE kb

17 DES: Data Encryption Standard CRIPTOGRAFIA CRIPTOGRAFIA COM CHAVE SIMÉTRICA Padrão de criptografia dos EUA [NIST 1993] Chave simétrica de 56 bits Quão seguro é o padrão DES? uma frase criptografada com chave de 56 bits ( Strong cryptography makes the world a safer place ) foi decriptografada em 4 meses 1999 um supercomputador junto com mais cem mil PCs na Internet decriptografaram a frase em 22 horas e 15 minutos CRIPTOGRAFIA CRIPTOGRAFIA COM CHAVE PÚBLICA TRANSMISSOR ( ka ) E RECEPTOR (kb) NÃO COMPARTILHAM UMA CHAVE SECRETA TRANSMISSOR TEXTO ABERTO ALGORITIMO DE CRIPTOGRAFIA CANAL ALGORITIMO DE DESCRIPTOGRAFIA RECEPTOR TEXTO ABERTO CHAVE ka PÚBLICA CHAVE kb PRIVADA

18 CRIPTOGRAFIA CRIPTOGRAFIA COM CHAVE PÚBLICA ALGORÍTIMO RSA RSA tornou se um sinônimo de criptografia - chave pública Cem vezes mais lento que o DES em software Mil vezes mais lento que o DES em hardware Muitas vezes usado em combinação com o DES Usa-se o RSA para se transmitir uma chave simétrica entre os pares da comunicação. A partir disso passam a trocar dados usando o algoritmo DES já que ambos conhecem PGP - Pretty Good Privacy UTILIZADO PARA MANTER O SIGILO DE MENSAGENS TROCADAS POR CORREIO ELETRÔNICO OU ENVIO DE ARQUIVOS. USA CRIPTOGRAFIA DE CHAVE SIMÉTRICA, CHAVE PÚBLICA, FUNÇÃO HASH E ASSINATURA DIGITAL.. CADA USUÁRIO TEM UMA CHAVE PRIVADA PARA LER AS MENSAGENS OU ARQUIVOS RECEBIDOS CADA USUÁRIO TEM TAMBÉM UMA CHAVE PÚBLICA, QUE DIVULGA PARA OS OUTROS USUÁRIOS REMETENTES DE MENSAGEM OU ARQUIVOS.

19 PGP - Pretty Good Privacy ---BEGIN PGP SIGNED MESSAGE--- Hash: SHA1 ORIGINAL Bob: My husband is out of town tonight. Passionately yours, Alice ---BEGIN PGP SIGNATURE--- Version: PGP 5.0 Charset: noconv CIFRADA yhhjrhhgjghgg/12epj+lo8ge4vb3mqjhfevzp9 t6n7g6m5gw2 ---END PGP SIGNATURE--- AUTENTICAÇÃO GARANTE A INTEGRIDADE E AUTENTICIDADE DOS DADOS PARA GARANTIR A INTEGRIDADE DOS DADOS É UTILIZADA A FUNÇÃO Hash EXEMPLOS DE FUNÇÃO Hash : MAD 5 ( Message Digest 5 ) MAIS UTILIZADA MENSAGEM CALCULADA 128 Bits SAH 1 ( Secure Hash Algorith ) PADRÃO DOS USA FEDERAL MENSAGEM CALCULADA 160 Bits

20 AUTENTICAÇÃO FORMA DE OPERAÇÃO TRANSMISSOR DADOS DADOS RECEPTOR Hash: calcula um valor com base nos dados e Incluí na transmissão. FUNÇÕES HASH DADOS + VALOR CANAL FUNÇÕES HASH DADOS + VALOR Hash: calcula o valor com base nos dados recebidos e compara. se o valor for o mesmo os dados estão íntegros CERTIFICADOS CONTÉM INFORMAÇÕES QUE IDENTIFICAM E CERTIFICAM A ORIGEM DOS DADOS INFORMAÇÕES CONTIDAS NO CERTIFICADO PESSOA JURÍDICA IDENTIFICAÇÃO DO EMISSOR DO CERTIFICADO IDENTIFICAÇÃO DA ENTIDADE PARA O QUAL O CERTIFICADO FOI EMITIDO CHAVE PÚBLICA DA ENTIDADE DATA E HORA

21 CERTIFICADOS INFORMAÇÕES CONTIDAS NO CERTIFICADO PESSOA FÍSICA IDENTIFICAÇÃO DO EMISSOR DO CERTIFICADO IDENTIFICAÇÃO DA ENTIDADE PARA O QUAL O CERTIFICADO FOI EMITIDO CHAVE PÚBLICA DA ENTIDADE DATA E HORA NOME NACIONALIDADE ORGANIZAÇÃO EM QUE A PESSOA TRABALHA CERTIFICADOS OPERAÇÃO AUTORIDADE CERTIFICADORA ENTIDADE X ENTIDADE Y 1. X SOLICITA A Y O SEU CERTIFICADO 2. Y ENVIA PARA X O SEU CERTIFICADO 3. X TEM A CHAVE PUBLICA DA AUTORIDADE CERTIFICADORA PODE DECIFRAR O CERTIFICADO. 4. X ENVIA UMA MENSAGEM PARA Y SOLICITANDO QUE ESTE SE AUTENTIQUE. 5. Y RECEBE A SOLICITAÇÃO E GERA A MENSAGEM 6. Y USA A FUNÇÃO Hash PARA CALCULAR UM VALOR A PARTIR DA MENSAGEM COM SUA CHAVE PRIVADA E O ENVIA PARA X. 7. X USA A FUNÇÃO Hash PARA CALCULAR O VALOR, COMPARA COM O VALOR ENVIADO E LIBERA OU NÃO.

22 CERTIFICADOS OBTENDO CERTIFICADOS 1. ESCOLHER UMA AUTORIDADE CERTIFICADORA 2. FORNECER AS INFORMAÇÕES PARA A AUTORIDADE GERAR UM PAR DE CHAVES PUBLICA E PRIVADA 3. GERAR E ENVIAR UMA SOLICITAÇÃO DE CERTIFICADO PARA A AUTORIDADE - USAR UM NAVEGADOR. 4. AGUARDAR O CERTIFICADO 5. INSTALAR O CERTIFICADO NA MÁQUINA SSL - SECURE SOCKETS LAYER PROTOCOLO CRIPTOGRÁFICO SSL OPERA NA CAMADA DE TRANSPORTE OFERECE SEGURANÇA PARA APLICAÇÕES BASEADAS NO TCP O SSL É USADO ENTRE CLIENTES E SERVIDORES: WWW CORREIO ELETRÔNICO TELNET SERVIÇOS OFERECIDOS Autenticação do Servidor Criptografia dos dados Autenticação do cliente

23 SSL - SECURE SOCKETS LAYER AUTENTICAÇÃO DO SERVIDOR 1. CLIENTE COM SSL INSTALADO INLCUEM CHAVES PÚBLICAS PARA PARA TRANSAÇÕES CONFIÁVEIS 2. CLIENTE SOLICITA O CERTIFICADO DO SERVIDOR 3. SERVIDOR ENVIA 4. CLIENTE USA SUA CHAVE PÚBLICA PARA EXTRAIR A CHAVE PÚBLICA DO SERVIDOR CERTIFICADOR 5. A CONEXÃO É ESTABELECIDA 6. O SSL GARANTE O SIGILO DOS DADOS TRANFERIDOS SSL - SECURE SOCKETS LAYER USA CRIPTOGRAFIA ASSIMÉTRICA ADICIONA O ENDEREÇO MAC AOS DADOS PARA DIFICULTAR ALTERAÇÕES USA CERTIFICADOS DIGITAIS ORIGEM : NETSCAPE O PROTOCOLO TORNOU-SE PADRÃO DO W3C - WORLD WIDE WEB Consortium

24 IPSec - IP Security ATUA NA CAMADA DE REDE O IPSec FOI PADRONIZADO PELO IETF - INTERNET ENG. TASK FORCE O IPSec é opcional no IPv4 MAS É OBRIGATÓRIO DO IPv6. GARANTE O SIGILO, AUTENTIICIDADE E INTEGRIDADE DOS DADOS ADICIONA DOIS HEADERS NO NO PACOTE IP. AH - AUTHENTICATION HEADER ESP Encapsulating Security Payload IPSec - IP Security O Header AH GARANTE A INTEGRIDADE E AUTENTICIDADE DOS DADOS ALGUMAS INFORMAÇÕES INCLUÍDAS ID DO CABEÇALHO SEGUINTE TAMANHO DA ASSINATURA DIGITAL SPI - SECURITY PARAMETERS INDEX ASSINATURA DIGITAL (UTILIZA MD-5 OU SHA-1) O Header ESP (ENCAPSULATING SECURITY PAYLOAD) GARANTE O SIGILO É INSERIDO ENTRE O HEADER DO IP E O HEADER DE TRANSPORTE

25 IPSec - IP Security OS headers AH e ESP, CRIAM UM CANAL LÓGICO DE CAMADA DE REDE CHAMADO DE ACORDO DE SERVIÇO - SA CADA SA - É UNIDIRECIONAL AH CANAL LÓGICO ESP ATIVIDADE O que é interceptação de dados e informações? 2. Quais são os aspectos envolvidos em uma Comunicação Segura? 3. Discorra a respeito dos tipos de intrusos existentes. 4. Discorra a respeito das ameaças à Segurança na Internet. 5. O que é Criptografia com Chave Simétrica? 6. O que é Criptografia com Chave Pública? 7. O que é PGP Pretty Good Privacy? 8. O que é autenticação? 9. O que é um certificado de autenticação? Como ele funciona? 10. Discorra a respeito do processo de obtenção de um certificado de autenticação. 11. O que é SSL Secure Sockets Layer? 12. O que é IPSEC Segurança na Camada de Rede?