Centro Universitário Fundação Santo André. Disciplina Redes de Computadores Módulo 07

Centro Universitário Fundação Santo André Disciplina Redes de Computadores Módulo 07 2006 V1.0 Conteúdo INVASÃO AMEAÇAS AMEAÇAS

INVASÃO AÇÃO CRIMINOSA DE PESSOAS OU GRUPO DE PESSOAS, VISANDO A QUEBRA DE SIGILO E USO INDEVIDO DOS RECURSOS DE UMA REDE DE COMPUTADORES. INVASÃO AMEAÇAS 1 - NEGAÇÃO DE SERVIÇO DOS - ( DOS DENIAL OF SERVICE ) INUNDAÇÃO DE PACOTES MALICIOSAMENTE GERADOS AFOGAM O RECEPTOR. 2 - NEGAÇÃO DE SERVIÇO - DDOS ( DISTRIBUTED DOS ) FONTES MULTIPLAS E COORDENADAS INUNDAM O RECEPTOR C SYN SYN D SYN SYN RECEPTOR

INVASÃO ARQUITETURA GERAL DE PROTEÇÃO É UM EQUIPAMENTO OU CONJUNTO DE EQUIPAMENTOS OU A COMBINAÇÃO DE EQUIPAMENTOS E SOFTWARES CUJO OBJETIVO É CONTROLAR O TRÁFEGO ENTRE REDES. LAN FIREWALL INTENET REDE EXTERNA INSTALADO ENTRE A(s) REDE(s) DA ORGANIZAÇÃO E A REDE(s) EXTERNA(s) INVASÃO ARQUITETURA GERAL DE PROTEÇÃO LAN R.H. LAN ENGENHARIA FIREWALL INSTALADO ENTRE A(s) SUB- REDE(s) DA ORGANIZAÇÃO.

INVASÃO ARQUITETURA GERAL DE PROTEÇÃO MÁQUINAS SACRIFICADAS LAN SERVIDOR WEB INTERNET FIREWALL ROTEADOR SERVIDOR FTP SERVIDOR WEB E SERVIDOR FTP - MÁQUINAS SACRIFICADAS Também conhecido como DMZ Demilitarized Zone INVASÃO ROTEADOR CONFIGURADO COM FILTROS COMPUTADOR COM SOFTWARE FIREWALL COMBINAÇÃO ROTEADOR + SOFTWARE FIREWALL COMPUTADOR COM SOFTWARE PROXY

INVASÃO ROTEADOR CONFIGURADO COM FILTROS LAN ROTEADOR C/ FILTRO INTERNET FIREWALL INSTALADO ENTRE A(s) REDE(s) DA ORGANIZAÇÃO E A REDE EXTERNA INVASÃO ROTEADOR CONFIGURADO COM FILTROS LAN R.H. LAN ENGENHARIA ROTEADOR C/ FILTRO FIREWALL INSTALADO ENTRE A(s) SUB-REDE(s) DA ORGANIZAÇÃO.

INVASÃO CONFIGURAÇÃO DE FILTROS ROTEADOR CONFIGURADO COM FILTROS 1. OS PACOTES QUE ATENDEM ÀS EXIGÊNCIAS DESCRITAS NOS FILTROS SÃO ROTEADOS OU DESCARTADOS. 2. OS FILTROS DEFINEM VALORES PARA ANÁLISE DOS CABEÇALHOS DOS PACOTES ( HEADER ). CRITÉRIOS QUE PODERÃO SER UTILIZADOS ENDEREÇO DA MÁQUINA ORIGEM ENDEREÇO DA MÁQUINA DESTINO TIPO DE PROTOCOLO NUMERO DA PORTA DE COMUNICAÇÃO ORIGEM NUMERO DA PORTA DE COMUNICAÇÃO DESTINO INVASÃO ROTEADOR CONFIGURADO COM FILTROS PAC1 10.0.0.1 PAC2 10.0.0.0 e0 A s1 20.0.0.0 s0 s0 30.0.0.0 D s1 s1 50.0.0.0 40.0.0.0 s0 s1 C e0 60.0.0.0 60.0.0.2 10.0.0.2 s0 B interface e0 ip address 10.0.0.254 255.0.0.0 ip access-group 100 in access-list 100 deny ip host 10.0.0.1 60.0.0.0 0.0.0.255 access-list 100 deny ip host 10.0.0.2 host 60.0.0.4 access-list 100 permit ip any any 60.0.0.4 PAC 1 PAC 2 MAC Header MAC Header IP Header Dados Source Destinat 10.0.0.1 60.0.0.4 DADOS IP Header Dados Source Destinat 10.0.0.2 60.0.0.2 DADOS ORIGEM DESTINO As regras nos comandos access-list negam ou permitem o acesso. As listas de acesso são aplicadas na entrada da interface e 0 com o comando access-group

INVASÃO VANTAGENS ROTEADOR CONFIGURADO COM FILTROS A CONFIGURAÇÃO É SIMPLES PARA TRÁFEGOS SIMPLES BAIXO CUSTO - NÃO REQUER A ADIÇÃO DE EQUIPAMENTOS ALTO DESEMPENHO OPERAÇÕES DE BAIXO NÍVEL DESVANTAGENS A CONFIGURAÇÃO E A MANUTENÇÃO DOS FILTROS É TRABALHOSA PARA TRÁFEGOS COMPLEXOS. DIFÍCIL GARANTIR QUE OS FILTROS ESTEJAM TODOS BEM CONFIGURADOS QUANDO EXISTE UMA GRANDE QTDE DE FILTROS. EXISTE DIFICULDADE PARAIDENTIFICAR A MÁQUINA INVASORA UMA VEZ QUE O ROTEADOR NÃO ARMAZENA EVENTOS. INVASÃO COMPUTADOR COM SOFTWARE FIREWALL LAN COMPUTADOR COM SOFTWARE FIREWALL INTERNET ROTEADOR INSTALADO ENTRE A(s) REDE(s) DA ORGANIZAÇÃO E O ROTEADOR TIPOS DE FIREWALL FILTRO DE PACOTES MONITORAMENTO DE CONEXÕES

INVASÃO COMPUTADOR COM SOFTWARE FIREWALL FILTROS DE PACOTES OPERAM DE FORMA SEMELHANTE AOS ROTEADORES COM FILTROS CONFIGURADOS ANALISAM OS PACOTES NA CAMADA DE REDE E TRANSPORTE NÃO SÃO CAPAZES DE MONITORAR O ESTADO DE UMA CONEXÃO NEM ENTENDER PROTOCOLOS DE APLICAÇÃO INVASÃO COMPUTADOR COM SOFTWARE FIREWALL MONITORAMENTO DE CONEXÕES CIRCUIT LEVEL ANALISAM OS PACOTES NA CAMADA DE REDE, TRANSPORTE E SESSÃO SÃO CAPAZES DE MONITORAR O ESTADO DE UMA CONEXÃO ENTRE AS MÁQUINAS PROTEGIDAS DA REDE E MÁQUINAS EXTERNA NÃO ENTENDEM PROTOCOLOS DE APLICAÇÃO NÃO SÃO CAPAZES DE MONITORAR SERVIÇOS CUJOS PROTOCOLOS NÃO SÃO ORIENTADOS À CONEXÃO ARMAZENAM INFORMAÇÕES SOBRE AS CONEXÕES

INVASÃO COMPUTADOR COM SOFTWARE FIREWALL MONITORAMENTO DE CONEXÕES CIRCUIT LEVEL E STATEFUL INSPECTION OPERAM DE FORMA SEMELHANTE AOS DE CIRCUIT LEVEL ADICIONALMENTE SÃO CAPAZES DE MONITORAR SERVIÇOS CUJOS PROTOCOLOS NÃO SÃO ORIENTADOS Á CONEXÃO ARMAZENAM INFORMAÇÕES SOBRE OS PACOTES ORIENTADOS OU NÃO ORIENTADOS Á CONEXÃO INSPECIONAM INFORMAÇÕES SOBRE PROTOCOLOS DE APLICAÇÃO INVASÃO COMPUTADOR COM SOFTWARE FIREWALL MONITORAMENTO DE CONEXÕES CIRCUIT LEVEL E STATEFUL INSPECTION INTERNET Pacote IP Source Destinat Source Destinat Source Destinat MAC MAC IP Add IP Add Port Port XXXXX YYYYY 60.0.0.2 10.0.0.2 1060 80 HTML DATA MAC Header IP Header TCP Header Dados Camada 2 Camada 3 Camada 4 Camadas 5-7 Conjunto de regras Permit Sour 60.0.0.2 TCP 1060 Dest 10.0.0.2 TCP 80 Deny Sour 60.0.0.3 TCP 1000 Dest 10.0.0.2 TCP 23 Sour 70.0.0.9 TCP 5500 Dest 20.0.0.1 TCP 80

INVASÃO ROTEADOR + COMPUTADOR COM SOFTWARE FIREWALL LAN COMPUTADOR COM SOFTWARE FIREWALL INTERNET ROTEADOR CONJUNTO DE REGRAS CIRCUIT LEVEL E STATEFUL INSPECTION LISTA DE ACESSO INVASÃO COMPUTADOR COM SOFTWARE PROXY LAN COMPUTADOR COM SOFTWARE PROXY INTERNET ROTEADOR INSTALADO ENTRE A(s) REDE(s) DA ORGANIZAÇÃO E O ROTEADOR

INVASÃO COMPUTADOR COM SOFTWARE PROXY OS PROXIES SUBSTITUEM OS PROGRAMAS DE FIREWALL OS SERVIÇOS DE CONEXÃO ENTRE A REDE INTERNA E EXTERNA PASSAM A SER PRESTADOS ATRAVÉS DOS PROXIES OS PROGRAMAS PROXIES SÃO COMPOSTOS POR MÓDULOS CADA PROXY ENTENDE UM PROTOCOLO DE APLICAÇÃO INVASÃO COMPUTADOR COM SOFTWARE PROXY SERVIÇO FTP CLIENTE PROXY SERVIÇO TELNET SERVIDOR FTP CLIENTE PROXY SERVIDOR FTP

ATIVIDADE 06 1. O que é invasão? 2. Que recursos podem ser utilizados contra invasão? 3. O que é um Firewall? Elabore um diagrama geral da arquitetura de proteção. 4. Explique como funciona a utilização de filtros nos roteadores. 5. Discorra a respeito dos tipos de Firewall existentes. 6. O que é um Proxy? AÇÃO CRIMINOSA DE PESSOAS OU GRUPO DE PESSOAS VISANDO A QUEBRA DE SIGILO, CAPTAÇÃO E USO INDEVIDO DE DADOS E INFORMAÇÕES

ELEMENTOS DA COMUNICAÇÃO REMENTE CANAL DESTINATÁRIO COMUNICAÇÃO SEGURA SIGILO EVITAR QUE UM INTRUSO LEIA OU REGISTRE A MENSAGEM AUTENTICIDADE TER CERTEZA DA INDENTIDADE DOS ENVOLVIDOS INTEGRIDADE NÃO PERMITIR ALTERAÇÃO DA MENSAGEM DE FORMA ACIDENTAL OU PROPOSITALMENTE.

INTRUSOS ATIVO PODE REMOVER OU MODIFICAR AS MENSAGENS PASSIVO PODE LER OU GRAVAR UMA MENSAGEM 1 - CAPTURA DE PACOTES AMEAÇAS MEIO BROADCAST PLACA DE REDE EM MODO PROMISCUO LÊEM TODOS OS OS PACOTES QUE PASSAM POR ELA PODEL LER TODOS OS DADOS NÃO CRIPTOGRAFADOS A ORIG: A / DEST: B / DADOS B

2 - IP SPOOFING AMEAÇAS PODE GERAR PACOTES NOVOS DIRETAMENTE DA APLICAÇÃO COLOCA QUALQUER VALOR NO CAMPO DE ENDEREÇO IP DE ORIGEM EXEMPLO: C FINGE SER B C ORIG: B / DEST: A / DADOS A B 1. CRIPTOGRAFIA 2. PGP Pretty Good Privacy 3. AUTENTICAÇÃO 4. CERTIFICADOS 5. SSL - SECURE SOCKET LAYERS 6. IPSEC - IP SECURITY

CRIPTOGRAFIA texto plaintext aberto Algoritmo de Criptografia K A ciphertext texto cifrado Figure 7.3 goes here canal K B Algoritmo de Decriptografia texto plaintext aberto CRIPTOGRAFIA CRIPTOGRAFIA COM CHAVE SIMÉTRICA AS CHAVES DO TRANSMISSOR ( ka ) E DO RECEPTOR (kb) SÃO IDÊNTICAS E DEVEM SER COMBINADAS TRANSMISSOR TEXTO ABERTO ALGORITIMO DE CRIPTOGRAFIA CANAL ALGORITIMO DE DESCRIPTOGRAFIA RECEPTOR TEXTO ABERTO CHAVE ka CHAVE kb

DES: Data Encryption Standard CRIPTOGRAFIA CRIPTOGRAFIA COM CHAVE SIMÉTRICA Padrão de criptografia dos EUA [NIST 1993] Chave simétrica de 56 bits Quão seguro é o padrão DES? 1977 - uma frase criptografada com chave de 56 bits ( Strong cryptography makes the world a safer place ) foi decriptografada em 4 meses 1999 um supercomputador junto com mais cem mil PCs na Internet decriptografaram a frase em 22 horas e 15 minutos CRIPTOGRAFIA CRIPTOGRAFIA COM CHAVE PÚBLICA TRANSMISSOR ( ka ) E RECEPTOR (kb) NÃO COMPARTILHAM UMA CHAVE SECRETA TRANSMISSOR TEXTO ABERTO ALGORITIMO DE CRIPTOGRAFIA CANAL ALGORITIMO DE DESCRIPTOGRAFIA RECEPTOR TEXTO ABERTO CHAVE ka PÚBLICA CHAVE kb PRIVADA

CRIPTOGRAFIA CRIPTOGRAFIA COM CHAVE PÚBLICA ALGORÍTIMO RSA RSA tornou se um sinônimo de criptografia - chave pública Cem vezes mais lento que o DES em software Mil vezes mais lento que o DES em hardware Muitas vezes usado em combinação com o DES Usa-se o RSA para se transmitir uma chave simétrica entre os pares da comunicação. A partir disso passam a trocar dados usando o algoritmo DES já que ambos conhecem PGP - Pretty Good Privacy UTILIZADO PARA MANTER O SIGILO DE MENSAGENS TROCADAS POR CORREIO ELETRÔNICO OU ENVIO DE ARQUIVOS. USA CRIPTOGRAFIA DE CHAVE SIMÉTRICA, CHAVE PÚBLICA, FUNÇÃO HASH E ASSINATURA DIGITAL.. CADA USUÁRIO TEM UMA CHAVE PRIVADA PARA LER AS MENSAGENS OU ARQUIVOS RECEBIDOS CADA USUÁRIO TEM TAMBÉM UMA CHAVE PÚBLICA, QUE DIVULGA PARA OS OUTROS USUÁRIOS REMETENTES DE MENSAGEM OU ARQUIVOS.

PGP - Pretty Good Privacy ---BEGIN PGP SIGNED MESSAGE--- Hash: SHA1 ORIGINAL Bob: My husband is out of town tonight. Passionately yours, Alice ---BEGIN PGP SIGNATURE--- Version: PGP 5.0 Charset: noconv CIFRADA yhhjrhhgjghgg/12epj+lo8ge4vb3mqjhfevzp9 t6n7g6m5gw2 ---END PGP SIGNATURE--- AUTENTICAÇÃO GARANTE A INTEGRIDADE E AUTENTICIDADE DOS DADOS PARA GARANTIR A INTEGRIDADE DOS DADOS É UTILIZADA A FUNÇÃO Hash EXEMPLOS DE FUNÇÃO Hash : MAD 5 ( Message Digest 5 ) MAIS UTILIZADA MENSAGEM CALCULADA 128 Bits SAH 1 ( Secure Hash Algorith ) PADRÃO DOS USA FEDERAL MENSAGEM CALCULADA 160 Bits

AUTENTICAÇÃO FORMA DE OPERAÇÃO TRANSMISSOR DADOS DADOS RECEPTOR Hash: calcula um valor com base nos dados e Incluí na transmissão. FUNÇÕES HASH DADOS + VALOR CANAL FUNÇÕES HASH DADOS + VALOR Hash: calcula o valor com base nos dados recebidos e compara. se o valor for o mesmo os dados estão íntegros CERTIFICADOS CONTÉM INFORMAÇÕES QUE IDENTIFICAM E CERTIFICAM A ORIGEM DOS DADOS INFORMAÇÕES CONTIDAS NO CERTIFICADO PESSOA JURÍDICA IDENTIFICAÇÃO DO EMISSOR DO CERTIFICADO IDENTIFICAÇÃO DA ENTIDADE PARA O QUAL O CERTIFICADO FOI EMITIDO CHAVE PÚBLICA DA ENTIDADE DATA E HORA

CERTIFICADOS INFORMAÇÕES CONTIDAS NO CERTIFICADO PESSOA FÍSICA IDENTIFICAÇÃO DO EMISSOR DO CERTIFICADO IDENTIFICAÇÃO DA ENTIDADE PARA O QUAL O CERTIFICADO FOI EMITIDO CHAVE PÚBLICA DA ENTIDADE DATA E HORA NOME NACIONALIDADE E-MAIL ORGANIZAÇÃO EM QUE A PESSOA TRABALHA CERTIFICADOS OPERAÇÃO AUTORIDADE CERTIFICADORA ENTIDADE X ENTIDADE Y 1. X SOLICITA A Y O SEU CERTIFICADO 2. Y ENVIA PARA X O SEU CERTIFICADO 3. X TEM A CHAVE PUBLICA DA AUTORIDADE CERTIFICADORA PODE DECIFRAR O CERTIFICADO. 4. X ENVIA UMA MENSAGEM PARA Y SOLICITANDO QUE ESTE SE AUTENTIQUE. 5. Y RECEBE A SOLICITAÇÃO E GERA A MENSAGEM 6. Y USA A FUNÇÃO Hash PARA CALCULAR UM VALOR A PARTIR DA MENSAGEM COM SUA CHAVE PRIVADA E O ENVIA PARA X. 7. X USA A FUNÇÃO Hash PARA CALCULAR O VALOR, COMPARA COM O VALOR ENVIADO E LIBERA OU NÃO.

CERTIFICADOS OBTENDO CERTIFICADOS 1. ESCOLHER UMA AUTORIDADE CERTIFICADORA 2. FORNECER AS INFORMAÇÕES PARA A AUTORIDADE GERAR UM PAR DE CHAVES PUBLICA E PRIVADA 3. GERAR E ENVIAR UMA SOLICITAÇÃO DE CERTIFICADO PARA A AUTORIDADE - USAR UM NAVEGADOR. 4. AGUARDAR O CERTIFICADO 5. INSTALAR O CERTIFICADO NA MÁQUINA SSL - SECURE SOCKETS LAYER PROTOCOLO CRIPTOGRÁFICO SSL OPERA NA CAMADA DE TRANSPORTE OFERECE SEGURANÇA PARA APLICAÇÕES BASEADAS NO TCP O SSL É USADO ENTRE CLIENTES E SERVIDORES: WWW CORREIO ELETRÔNICO TELNET SERVIÇOS OFERECIDOS Autenticação do Servidor Criptografia dos dados Autenticação do cliente

SSL - SECURE SOCKETS LAYER AUTENTICAÇÃO DO SERVIDOR 1. CLIENTE COM SSL INSTALADO INLCUEM CHAVES PÚBLICAS PARA PARA TRANSAÇÕES CONFIÁVEIS 2. CLIENTE SOLICITA O CERTIFICADO DO SERVIDOR 3. SERVIDOR ENVIA 4. CLIENTE USA SUA CHAVE PÚBLICA PARA EXTRAIR A CHAVE PÚBLICA DO SERVIDOR CERTIFICADOR 5. A CONEXÃO É ESTABELECIDA 6. O SSL GARANTE O SIGILO DOS DADOS TRANFERIDOS SSL - SECURE SOCKETS LAYER USA CRIPTOGRAFIA ASSIMÉTRICA ADICIONA O ENDEREÇO MAC AOS DADOS PARA DIFICULTAR ALTERAÇÕES USA CERTIFICADOS DIGITAIS ORIGEM : NETSCAPE O PROTOCOLO TORNOU-SE PADRÃO DO W3C - WORLD WIDE WEB Consortium

IPSec - IP Security ATUA NA CAMADA DE REDE O IPSec FOI PADRONIZADO PELO IETF - INTERNET ENG. TASK FORCE O IPSec é opcional no IPv4 MAS É OBRIGATÓRIO DO IPv6. GARANTE O SIGILO, AUTENTIICIDADE E INTEGRIDADE DOS DADOS ADICIONA DOIS HEADERS NO NO PACOTE IP. AH - AUTHENTICATION HEADER ESP Encapsulating Security Payload IPSec - IP Security O Header AH GARANTE A INTEGRIDADE E AUTENTICIDADE DOS DADOS ALGUMAS INFORMAÇÕES INCLUÍDAS ID DO CABEÇALHO SEGUINTE TAMANHO DA ASSINATURA DIGITAL SPI - SECURITY PARAMETERS INDEX ASSINATURA DIGITAL (UTILIZA MD-5 OU SHA-1) O Header ESP (ENCAPSULATING SECURITY PAYLOAD) GARANTE O SIGILO É INSERIDO ENTRE O HEADER DO IP E O HEADER DE TRANSPORTE

IPSec - IP Security OS headers AH e ESP, CRIAM UM CANAL LÓGICO DE CAMADA DE REDE CHAMADO DE ACORDO DE SERVIÇO - SA CADA SA - É UNIDIRECIONAL AH CANAL LÓGICO ESP ATIVIDADE 07 1. O que é interceptação de dados e informações? 2. Quais são os aspectos envolvidos em uma Comunicação Segura? 3. Discorra a respeito dos tipos de intrusos existentes. 4. Discorra a respeito das ameaças à Segurança na Internet. 5. O que é Criptografia com Chave Simétrica? 6. O que é Criptografia com Chave Pública? 7. O que é PGP Pretty Good Privacy? 8. O que é autenticação? 9. O que é um certificado de autenticação? Como ele funciona? 10. Discorra a respeito do processo de obtenção de um certificado de autenticação. 11. O que é SSL Secure Sockets Layer? 12. O que é IPSEC Segurança na Camada de Rede?