Segurança de Redes de Computadores Ricardo José Cabeça de Souza
Arquitetura Redes COMUNICAÇÃO EM CAMADAS Para reduzir a complexidade do projeto a maior parte das redes são organizadas em uma série de camadas ou níveis O número, nome, conteúdo e função de cada camada difere de uma rede para outra Em cada par de camadas adjacentes há uma interface que define as operações e serviços que a camada inferior tem a oferecer a superior
Arquitetura Redes SISTEMA A Camada 4 Protocolo da Camada 4 SISTEMA B Camada 4 Interface 3/4 Interface 3/4 Camada 3 Protocolo da Camada 3 Camada 3 Interface Interface 2/3 2/3 P rotocolo da Camada 2 Camada 2 Camada 2 Interface 1/2 Camada 1 Protocolo da Camada 1 Camada 1 Interface 1/2 Meio de Comunicação
Arquitetura Redes ARQUITETURA DE REDES Um conjunto de camadas de protocolos É formada por níveis, interfaces e protocolos Deve conter informações suficientes para permitir que um implementador desenvolva o programa ou construa o hardware de cada camada, de forma que ela obedeça corretamente ao protocolo adequado
Arquitetura Redes MODELO DE REFERÊNCIA OSI (Open Systems Interconnection) Baseia-se no conceito de camadas Padronizado pela ISO (InternationalOrganizationfor Standardization) Cada camada executa um conjunto bem definido de funções Devem possibilitar troca de informações entre processos de aplicação (AP Application Process) Divide as redes de computadores em sete camadas
Arquitetura Redes
Protocolo TCP/IP, SCTP DoD- Department of Defense
Arquitetura Redes
Arquitetura Redes TRANSMISSÃO DE DADOS NO MODELO OSI PROCESSO PROCESSO EMISSOR DADO S RECEPTOR Aplicação AH DADO S Aplicação Apresentação PH DADO S Apresentação Sessão SH DADO S Sessão Transporte TH DADO S Transporte Rede NH DADOS Rede Enlace LH DADO S C R C Enlace Física BITS Física
Arquitetura Redes PCI Camada de aplicação PCI Protocol Control Information SDU Service Date Unit PDU Protocol Date Unit
Arquitetura TCP/IP TCP/IP TCP Transmission Control Protocol IP Internet Protocol Meados década de 1960 Departamento de Defesa dos EUA(DoD) Projeto ARPA(Advanced Research Project Agency) Projeto piloto: 1972
Arquitetura TCP/IP Principais Características Padrões de protocolos abertos Independente da especificação do hardware da rede física Esquema de endereçamento universal Permite consistentes e amplos serviços aos usuários Independente de arquitetura e sistema operacional de rede
Arquitetura TCP/IP Definições da Arquitetura TCP/IP são encontradas em documentos denominados RFC (Request for Comments) Documentos elaborados e distribuídos pelo Internet Architecture Board Subsidiária do IAB IRTF(Internet Research Task Force) IETF(Internet EngineeringTaskForce)
Arquitetura TCP/IP Host A Aplicação Mensagem Idêntica Pacote Idêntico Host B Aplicação Transporte Gateway Inter-rede Transporte Inter-rede Interface de Rede Datagrama Idêntico Quadro Idêntico Interface de Rede Interface de Rede Datagrama Idêntico Quadro Idêntico Inter-rede Interface de Rede Rede Física 1 Intra-Rede Rede Física 2 Intra-Rede Camadas Conceituais da Arquitetura Internet TCP/IP
Protocolo TCP/IP Camada Física/Enlace TCP/IP não define nenhum protocolo específico Suporta todos os protocolos-padrão e proprietários Exemplo Redes: LAN WAN Etc.
Arquitetura TCP/IP REDE FÍSICA (INTRA-REDE) Padrões: EIA/TIA 568 (Electronic Indrustry Association/Telecommunications Industry Association) Coaxial Fibra Ótica Transmissão Sem Fio ISDN (Integraded Services Digital Network) ATM (Asynchronous Transfer Mode) EIA encerrou operações em fev/2011 e atribuíusuas atividades ao ECIA - Electronic Components Industry Association.
Arquitetura TCP/IP REDE FÍSICA (INTRA-REDE) Padrões: EIA/TIA 568 (Electronic Indrustry
Protocolo TCP/IP,SCTP
Camada Enlace CAMADA DE INTERFACE DE REDE (ENLACE) Fornece interface de serviço a camada de rede Determina como os bits da camada física serão agrupados em quadros(frames) Trata os erros de transmissão Controle de fluxo de quadros
Camada Enlace PROTOCOLOS NÍVEL DE ENLACE Ethernet ATM (Asynchronous Transfer Mode) FDDI (Fiber Distributed Data Interface) HDLC (High-level Data Link Control) Protocolo síncrono, orientado a bit, de caráter geral para canais full-duplex (ponto-a-ponto ou multiponto) HDLC é o tipo de encapsulamento padrão para cada porta serial em roteadores
Camada Física/Enlace Protocolo TCP/IP Principal protocolo utilizado: Ethernet
Camada Enlace ETHERNET Os elementos básicos do Ethernet QUADRO(Frame) Conjunto padronizado bits usados para transporte dados Protocolo MEDIA ACCESS CONTROL(MAC) Regras de acesso COMPONENTES DE SINALIZAÇÃO Dispositivos eletrônicos para enviar e receber dados MEIO FÍSICO Cabos ou outros meios
Camada Enlace O Quadro Ethernet
Camada Física/Enlace Protocolo TCP/IP Principal protocolo utilizado: Ethernet Frame(Quadro) Ethernet Fonte: http://dc195.4shared.com/doc/qppnqfow/preview.html
Camada Enlace PROTOCOLO MAC (Media Access Control) Regras de controle de acesso à mídia CSMA/CD Sinal está sendo transmitido PORTADORA Quando deseja transmitir AUSÊNCIA DE PORTADORA Canal ocioso espera breve tempo IFG(InterFrameGap 96 bits) TRANSMITE QUADRO Duas estações transmitem simultaneamente DETECÇÃO DE COLISÃO REPROGRAMAR TRANSMISSÃO
Protocolo ARP Address Resolution Protocol Utilizado para mapear endereço IP(Nível superior) para endereço físico (MAC) Permite que o host origem encontre o endereço MAC do host destino
Protocolo TCP/IP Address Resolution Protocol(ARP) Utilizado para mapear endereço IP(Nível superior) para endereço físico (MAC) Permite que o host origem encontre o endereço MAC do host destino Funções: Determinar endereço físico Responder pedidos outros hosts Funcionamento Antes de enviar: Verifica cache Se encontrar endereço, envia frame Se não encontrar, envia broadcast pedido ARP
Protocolo TCP/IP Address Resolution Protocol(ARP)
Protocolo TCP/IP Rede Local
Protocolo TCP/IP Rede Remota
Protocolo ARP Fonte Imagem: http://joseeuripedes.reimacpecas.com.br/imagens/arp-figura01.jpg
Protocolo ARP Comandos do ARP arp/? help arp a exibe as entradas atuais
Protocolo TCP/IP Spanning Tree Protocol (STP) É um protocolo de rede que protege a topologia da rede com loops gerados por algum dispositivo na rede local Ethernet STP é um protocolo da camada de enlace (Data Link Layer) Padronizado pelo IEEE como 802.1D Cada LAN é acessada pelas outras LANsatravés de um único caminho, sem loops
Protocolo TCP/IP Spanning Tree Protocol (STP) A topologia lógica sem loops criada é chamada de árvore É uma topologia lógica em estrela ou em estrela estendida Spanning-tree(árvore de espalhamento) porque todos os dispositivos da rede podem ser alcançados ou estão abrangidos por ela O algoritmo usado para criar essa topologia lógica sem loops é o algoritmo spanning-tree Esse algoritmo pode levar um tempo relativamente longo para convergir Para reduzir o tempo que uma rede leva para computar uma topologia lógica sem loops, foi desenvolvido um novo algoritmo, chamado rapid spanning-tree
Protocolo TCP/IP Se o switch A parar, o segmento 2 continua ativo em razão da redundância garantida pelo switch B
Protocolo TCP/IP Spanning Tree Protocol (STP) STP adiciona portas em estado de bloqueio
Protocolo TCP/IP Spanning Tree Protocol (STP) 1. STP estabelece um nó raiz chamado de bridge raiz 2. Constrói uma topologia que tem um caminho para alcançar todos os nós da rede, a partir de uma árvore com origem na bridge raiz 3. Os links redundantes que não fazem parte da árvore do caminho mais curto são bloqueados
Segurança de Redes Segurança Camada Enlace Alguns Ataques Sniffer ARP Ataques
Segurança de Redes SNIFFING É o procedimento realizado por uma ferramenta conhecida como Sniffer Também conhecido como Packet Sniffer, Analisador de Rede, Analisador de Protocolo, Ethernet Snifferem redes do padrão Ethernet ou ainda Wireless Sniffer em redes wireless Constituída de um softwareou hardware capaz de interceptar e registrar o tráfego de dados em uma rede de computadores
Segurança de Redes Sniffer Fonte imagem: http://cdn.aiotestking.com/wp-content/ec-council/files/2012/01/312-50-e73-590x181.jpg
Segurança de Redes Sniffer Usado para furto de informações: nomes de usuários, senhas, conteúdo de e- mails, -conversas chat, dados internos em uma empresa Ataques internos (funcionários hostis) Ataques remotos, via Internet, com acesso privilegiado a um gateway (roteador de perímetro), que fica entre a rede interna e a externa
Segurança de Redes Sniffer Ferramentas: IPTraf Wireshark EtherDetect Kismet
Segurança de Redes ARP Poisoning/ARP Spoofing/MITM(Man In The Middle) Quando uma falsa resposta é dada em consultas ARP Um endereço MAC é associado a um IP que na realidade não é o seu correspondente e então é adicionado na tabela ARP Consiste em modificar a tabela ARP de um computador se passando por outro Essa técnica permite desviar mensagens que seriam destinadas a outro computador para o seu Conhecido também como ARP Spoofinge Man In The Middle
Segurança de Redes ARP Poisoning/MITM(Man In The Middle) Fonte imagem: http://joseeuripedes.reimacpecas.com.br/imagens/arp-figura02.jpg
Segurança de Redes ARP Poisoning/ARP Spoofing/MITM(Man In The Middle) Ferramentas: Arpwatch/ Winarpwatch É um programa de monitoração da tabela ARP em uma rede A partir de uma cópia da tabela que ele mantém armazenada, este software de vigilância consegue detectar qualquer alteração no ARP cache Ao detectar alguma mudança na tabela, o Arpwatchgera relatórios e pode enviar mensagens de aviso por e-mail
Segurança de Redes Segurança Camada Física VLAN (Virtual Local AreaNetworkouVirtual LAN) Estruturas capazes de segmentar, logicamente, uma rede local em diferentes domínios de broadcast Possibilita a partição de uma rede local em diferentes segmentos lógicos (criação de novos domínios broadcast), permitindo que usuários fisicamente distantes (por exemplo, um em cada andar de um edifício) estejam conectados a mesma rede
Segurança de Redes Benefícios VLAN Controle Tráfego broadcast Segmentação lógica Redução de custos e facilidade de gerenciamento Independência da topologia física Maior segurança
Segurança de Redes Segurança Camada Física Tipo de VLAN Modelo 1 VLAN de nível 1(também chamadavlan por porta, em inglêsport-basedvlan) Define uma rede virtual em função das portas de conexão no comutador Configuração é rápida e simples Desvantagem:»Movimentação dos usuários reconfiguração VLAN
Segurança de Redes VLAN Membros de uma VLAN podem ser definidos de acordo com as portas da ponte/comutador utilizado
Segurança de Redes Fonte Imagem: http://sunsite.uakom.sk/sunworldonline/swol-07-1996/vlan1.gif
Segurança de Redes Fonte Imagem:http://www.corecom.com/external/livesecurity/vlan-fig2.gif
Segurança de Redes Segurança Camada Enlace Tipo de VLAN -Modelo 2 VLAN de nível 2(igualmente chamadavlan MAC, em inglêsmac Address-BasedVLAN) Consiste em definir uma rede virtual em função dos endereços MAC das estações Este tipo de VLAN é muito mais flexível que a VLAN por porta, porque a rede é independente da localização da estação
Segurança de Redes Tipo de VLAN -Modelo 2 VLAN de nível 2(igualmente chamadavlan MAC, em inglêsmac Address-BasedVLAN) Os membros da rede virtual são identificados pelo endereço MAC (Media Access Control) da estação de trabalho O comutador reconhece o endereço MAC pertencente a cada VLAN
Segurança de Redes Tipo de VLAN -Modelo 2 VLAN de nível 2(igualmente chamadavlan MAC, em inglêsmac Address-BasedVLAN) Quando uma estação de trabalho é movida, não é necessário reconfigurá-lapara que esta continue pertencendo a mesma VLAN, já que o endereço MAC faz parte da sua placa de interface de rede Problema: membro de uma VLAN deve ser inicialmente especificado, obrigatoriamente.
Segurança de Redes Segurança Camada Enlace Tipo de VLAN -Modelo 3 VLAN de nível 2 Membros de uma VLAN camada 2 também podem ser identificados de acordo com o campo "tipo de protocolo" encontrado no cabeçalho da camada 2
Segurança de Redes Segurança Camada Enlace Tipo de VLAN -Modelo 3 VLAN de nível 2 Membros de uma VLAN camada 2 também podem ser identificados de acordo com o campo "tipo de protocolo" encontrado no cabeçalho da camada 2
Segurança de Redes Segurança Camada Enlace Tipo de VLAN -Modelo 4 VLAN de nível 2 Membros de uma VLAN camada 2 também podem ser identificados de acordo com o campo tagged" inserido no protocolo do cabeçalho da camada 2 Especificação 802.1Q É conseguido introduzindo um TAG com um identificador de VLAN (VID) entre 1 e 4.094 em cada frame As portas do Switch com protocolo 802.1Q podem ser configuradas para transmitir frames com tagged ou untagged
Segurança de Redes Fonte imagem: http://yotta.blog.br/wp-content/uploads/2012/05/dot1qethernetframe.png
Segurança de Redes Fonte imagem: http://pplware.sapo.pt/wp-content/uploads/2010/12/vlans_01_thumb.jpg
Segurança de Redes Fonte Imagem: http://support.dell.com/support/edocs/network/broadcom/r230837/bp/wntopt06.gif
Segurança de Redes Fonte imagem: http://yotta.blog.br/wp-content/uploads/2012/04/vlan-trunk.png
Referências FOROUZAN, BehrouzA. Comunicação de dados e redes de computadores. 4. ed. São Paulo: McGraw-Hill, 2008. CIFERRI, Cristina D. A. CIFERRI, Ricardo R. FRANÇA, Sônia V. A. Firewall. Lima, Marcelo. Nakamura, Emílio. Segurança de Redes e Sistemas. Versão 1.1.0. Escola Superior de Redes RNP:2007. MEDEIROS, Carlos Diego Russo. SEGURANÇA DA INFORMAÇÃO: Implantação de Medidas e Ferramentas de Segurança da Informação. Universidade da Região de Joinville UNIVILLE, 2001. NIC BR Security Office. Cartilha de Segurança para Internet. Parte VII: Incidentes de Segurança e Uso Abusivo da Rede. Versão 2.0, 2003. NIC BR Security Office. Cartilha de Segurança para Internet. Parte II: Riscos Envolvidos no Uso da Internet e Métodos de Prevenção. Versão 2.0, 2003.