Segurana de sistemas nfase em rede de computadores Disciplina: Redes de Computadores I Professor: Otto Carlos Muniz Bandeira Duarte Aluno:

Marcelo icente ianna Magal!"es Per#odo: $%%$&%'

(ndice: 1 - Introduo 1.1 - Histria da Segurana 1.2 - O ambiente domstico 1.3 - O ambiente corporativo 1.4 - necessidade de segurana 2 - Os riscos da !a"ta de segurana em sistemas 2.1 - #$rus e %&ava"os de 'ria( 2.2 - Hac)ers 2.3 - 'ipos de ata*ue 3 - +o"$ticas de segurana 3.1 - Sen,as 3.2 - dministrao de pessoa" 3.3 - Segurana !$sica de sistemas 3.4 - 'ipo de sistemas de segurana 4 - So!t-are de segurana 4.1 - .ire-a"" 4.2 - Sistemas Open Source /0inu1 2 .ree 3S45 6 - Hard-are de segurana 6.1 - .ire-a"" 6.2 - 7oteadores 6.3 - S-itc, 8 - Sistemas de deteco de intrus9es /I4S5 : - &riptogra!ia e +ub"ic ;e< In!rastructure /+;I5 :.1 - Introduo :.2 - =todo simtrico e assimtrico :.3 - 'cnicas con,ecidas :.4 - 'ipos de ci!ragem de b"ocos :.6 - 'ipos de ata*ues :.8 - +;I :.: - ssinatura digita" > - 7ede privada virtua" /#+?5 >.1 - Introduo >.2 - p"icao para redes privadas virtuais @ - &onc"uso 1A - 3ib"iogra!ia

Pref)cio ?este traba",o irei !a"ar sobre segurana de sistemasB em espec$!icoB sistemas de computadores "igados em rede ou a Internet. &om o advento das redes de computadores e as cone19es %caseiras( de banda "argaB 4S0B IS4?B 7CdioB &aboB Home+? B etcB temos cada veD mais computadores "igados em redes e E Internet e1ecutando transa9es importantesB desde uma simp"es consu"ta de sa"do bancCrio de um usuCrio at transa9es entre bancos envo"vendo bi",9es de d"ares. F neste cenCrio *ue este traba",o se desenvo"verCB cobrindo desde sistemas domsticos e suas diversas !a",as de segurana at sistemas de grande porteB passando a"gumas no9es de ,ard-are e so!t-are a !im de evitar ser pego de surpresa por uma invaso em seu sistema. Irei comentar tambm sobre segurana !$sicas dos apare",os bem com po"$ticas de segurana e de sen,a. .a"arei de a"guns dos muitos so!t-ares uti"iDados para tentativas de invas9es e um pouco sobre v$rus e suas %ap"ica9es(. &omentarei sobre as "eis atuais *ue en*uadram as invas9es E sistemas de in!ormaoB bem como o *ue se pode ser !eito para um !uturo e o *ue pode ser !eito no caso de uma deteco de invaso. +or !im !a"arei de a"gumas tcnicas *ue minimiDam as !a",as de segurana em computadores tais como criptogra!iaB +;I e #+?. 4arei no9es tambm de sistemas de deteco de intrus9es e como uti"iDa-"os. Sendo assim ao !ina" do traba",o terei tentado passar a"gumas no9es bCsicas de segurana de sistemas e a"gumas so"u9esB contudo isto um assunto e1tremamente comp"e1o e e1tenso onde a cada dia ou at mesmo a cada ,ora surgem novas variantes.

' * Introdu"o 1.1 - Histria da Segurana +ara !a"ar de segurana de dados e in!orma9es temos *ue comear com uma !rase muito estran,a para um pro!issiona" de 'I. %?o e1istem sistemas 1AAG segurosHHH Isto um !ato.( +ode parecer absurdo uma !rase dessa em um traba",o sobre Segurana de dadosB mas isso um verdadeB mesmo com a tecno"ogia atua" os pro!issionais de 'I no podem garantir *ue um sistema ou uma rede de sistemas 1AAG segura. O *ue podemos sim ava"iar o grau de segurana de um sistema. Im sistemas bancCrios temos um n$ve" de seguranaB JC para sistemas domsticos temos outroB com certeDa de muito menor e!iciKnciaB sem !a"ar dos sistemas mi"itares de onde so contro"ados os m$sseis nuc"earesB in!orma9es de espionagemB at mesmo a rota de aeronaves mi"itares e espaonaves. F sabido *ue o mundo camin,a para uma %in!ormatiDao( tota"B onde todo tipo de in!ormao estarC armaDenado em sistemas digita". Luando essa %onda( de evo"uo tecno"gica inicio-seB a uns 6A anos atrCsB a necessidade de uma atuao na Crea da segurana dos dados contidos nos sistemas no era "evada muito a srio. Inicia"mente os sistemas eram puramente de processamentoB onde entravam dados e sa$am dados processados no ,avia nen,um tipo de reteno permanente dos dados. &om a evo"uo da tecno"ogia de in!ormao !oram sendo criados novos mode"os de processamentoB de armaDenamentoB de transmissoB de integraoB en!im tudo o *ue ,oJe em dia nos mais natura"B o computador. &om isso in!orma9es e dados comearam a tra!egar entre sistemas sendo processados e armaDenadosB bem agora temos %a"go dentro( dos computadoresB sendo assimB temos *ue nos certi!icar *ue estas in!orma9es !i*uem dispon$veis somente para *ue de direito. HoJe em dia vemos bi",9es de d"ares tra!egando entre paises e bancosB mas no da !orma antigaB em moeda correnteB mas sim em bits /H5B din,eiro %virtua"(B ,oJe temos mi",9es em um banco em i",a na Msia e da*ui a *uinDe minutos estes mi",9es esto em um banco *ua"*uer da Iuropa. Isso pode parecer meio norma" ,oJe em diaB a"m dissoB temos nossos dados cadastraisB identidadeB &+.B endereosB te"e!ones at mesmo nossos ,Cbitos armaDenados em sistemas computadoriDados. Sendo assim !oi-se necessCrio E criao de uma Crea da tecno"ogia de in!ormao *ue pressupon,o ser a Nnica *ue nunca se e1tinguirCB a 'ecno"ogia de Segurana da In!ormao. HoJe vemos pro!issionais especia"iDados em ta" Crea sendo contratados por bancosB administradoras de cart9esB compan,ias te"e!OnicasB mu"tinacionais at mesmo no setor pNb"ico. &om esse avano bruta" da 'ecno"ogia de In!ormaoB mais e mais dados !oram sendo co"ocados em sistemasB e tais dados tKm de ser protegidos. ssim c,egamos nos dias atuais onde todo tipo de in!ormao tra!ega entre sistemas au1i"iados pe"o crescimento da InternetB *ue teve a incumbKncia de inter"igar os diversos sistemas espa",ados pe"o =undo. &,egamos a criar um novo tipo de

%bandido(B o ,ac)er e suas deriva9esB tais %pro!issionais( tem somente o intuito de invadir sistemasB *uebrar sen,asB destruir in!orma9es somente pe"o praDer pessoa" ou o sadismo de ver a desordem e o caos. F neste conte1to *ue se desenvo"ve este traba",o onde !a"arei sobre os diversos tipos de 'ecno"ogia de Segurana da In!ormaoB desde sistemas domsticos protegidos por so!t-ares at grandes sistemas bancCrios e mi"itares protegidos por ,ard-are a"tamente so!isticadosB passando por um ponto muito neg"igenciado por pro!issionais desta CreaB a segurana !$sica dos sistemasB no somente a segurana "gica dos dados e in!orma9es. 1.2 - O ambiente domstico &omo JC !oi descrito anteriormenteB com o avano das tecno"ogias de banda "arga cada veD maisB computador domsticoB tKm !icado conectados a Internet por "ongos per$odos de tempo. &om isso JC se !aD a necessidade de um m$nimo de segurana a estes sistemas seJa para no serem invadidos atravs da grande rede ou at mesmo um ata*ue !$sico. este ata*ue !$sico denoto por uma pessoa %no autoriDada( "igar seu micro a acessar seus ar*uivos. +ara reso"ver este prob"ema os novos sistemas operacionais tKm imp"ementado uma po"$tica de sen,asB onde no se acessa um sistema se ser um usuCrio cadastrado. PC no setor de redes temos o prob"ema *ue com as conec9es de banda "arga os micros domsticos passaram a ter I+ vC"idos na Internet e isto um prato c,eio para os ata*ues vindos pe"a rede. "m dissoB temos o crescente nNmero de v$rus de computador e uma enorme ve"ocidade de produo destas pragas virtuais. ?este conte1to !aD-se uma campan,a de a"ertar o usuCrio domstico da necessidade de uti"iDar a"gum sistema de b"o*ueio ao micro. Iste pode ser imp"ementado via so!t-are ou ,ard-areB os *uais !a"armos mais adiante. 1.3 - O ambiente corporativo Se no ambiente domstico a necessidade de preocupao com segurana digita" no mundo corporativo e"e imprescind$ve". dotaremos de agora em diante *ue o ambiente corporativo descrito por uma rede "oca" de uma empresaB conectado E InternetB atravs de um "in). 'odas as descri9es de prob"emas !eitas anteriormenteB para o caso domstico va"em em dobro para o ambiente corporativoB visto *ue neste envo"vemos empresas com negcios e va"ores. 'omemos por base um bancoB um caso e1tremoB mas timo para ser dar uma viso gera" do prob"ema. Im uma entidade !inanceira deste porte e1istem mi",ares at deDenas de mi",ares de e*uipamentos "igados em redeB e conectados a Internet pr meio de a"gum "in). ?o !a"o somente de microcomputadores /+&5 insta"ados em agKnciasB mas tambm de grandes servidoresB terminais de c"ientesB cai1as automCticosB en!im uma enormidade de e*uipamentos. Im um ambiente deste temos um potencia" prob"ema com re"ao E segurana de dados e in!orma9es. Im um banco circu"am por dia mi",9es de reaisB din,eiro este

em sua maior parte %virtua"(B distribu$do em transa9es !inanceirasB trans!erKnciasB depsitosB c,e*ues e cart9esB todos se uti"iDando sistemas de in!ormao distribu$dos. Imagine agora se um sistema deste !osse !rCgi" com re"ao E seguranaB ter$amos prob"emas grav$ssimosB onde sistemas poderiam ser invadidos e terem seus dados e in!orma9es a"teradas. inda no caso de um banco temos tambm os terminais de c"ientes e cai1as automCticos /sa*ue5B *ue a"m de necessitarem de segurana digita" precisam tambm de segurana !$sica a !im de no serem vio"ados. Luando !a"o em segurana !$sica me re!iro a co"ocar certos e*uipamentos iso"adosB com acessos restritos e contro"ados. Imagine a situao um servidor de um banco Q estC comp"etamente con!igurado contra ata*ues e1ternosB com !ire-a""sB mC*uinas pote de me"B e outros sistemas de de!esaB mas no acesso direto ao conso"e "iberado e o e*uipamento estC em um canto *ua"*uer de sa"a. 'emos um outro prob"ema *ue estC re"acionado com o pessoa". ?as empresasB di!erentemente da situao de sua residKnciaB um e*uipamento pode e deve ser acessado por mais de um usuCrio. HoJe vocK pode estar traba",ando em um termina" aman,a estarC em outroB depois em outroB en!imB uma grande rotatividade de pessoa"2termina". ?este conte1to temos *ue garantir *ue o usuCrio somente irC ter acesso ao *ue ",e de direitoB independente do termina" *ue estC %"ogado(. #ocK no poderia ter o mesmo acesso de um gerente gera" de agKncia s por*ue estC uti"iDando a mC*uina *ue estC na mesa de"e. Im um ambiente corporativo e1iste ainda uma grande rotao de pessoa"B demiss9esB contrata9esB mudanas de setorB etc. ?este %troca-troca( de pessoa" vocK tem de continuar dando acesso ao !uncionCrio independentemente de sua "oca"iDao ou setor. I c"aroB poder b"o*uear os e1-!uncionCrios bem como criar novos acessos para novos !uncionCrios. F c"aro *ue este no um cenCrio da maioria das empresasB mas serve como base *uo comp"e1o deve ser a *uesto de segurana de sistema em um ambiente corporativo. +or *ue obvio *ue para um banco o mais importante a con!iana em suas transa9es !inanceirasB JC para uma empresa automobi"$stica a sua in!ormao e dados a serem protegidos tKm outra !isionomia. 1.4 necessidade de segurana

#imos com tudo isso *ue em todo e *ua"*uer sistema *ue esteJa integrado e inter"igado a outros sistemas deve possuir um n$ve" de seguranaB n$ve" este *ue serC obtido de acordo com o tipo da in!ormao e dados *ue sero armaDenados nestes sistemas. &om um enorme crescimento do %crime digita"( todosB desde o usuCrio domstico at os grandes bancos esto necessitando segurana digita". "m dissoB temos a *uesto das %pragas virtuais( *ue so os v$rusB *ue invadem sistemas e destroem ou a"teram o seu conteNdo. Istas pragas se pro"i!eram de uma !orma muito simp"es atravs de Internet ou at mesmo de uma rede "oca"B baseadas na !a"ta de

in!ormao ou descaso por parte do usuCrio ou do administrador da redeB em *uest9es de segurana. $ * Os riscos da falta de segurana em sistemas 2.1 - #$rus e %&ava"os de 'ria( ntes de comear a !a"ar sobre v$rus de computadorB dei1arei uma estat$stica para pensamento. 4e acordo com uma recente pes*uisa da +& =agaDine mais de 6AG dos prob"emas e1istentes em in!ormCtica decorrem de mau uso ou ine1periKncia por parte do usuCrioB ou at mesmo de um administrador de sistemas. 4e 2A a 3AG dos prob"emas ocorrem por erros no programaB con,ecidos ou descon,ecidos. O restanteB ou seJaB 3AGB mais ou menosB so prob"emas causados por v$rus de computador e invas9es de sistemas. Rm v$rus de computador um programa *ue pode in!ectar outro programa de computador atravs da modi!icao de"eB de !orma a inc"uir uma cpia de si mesmo. denominao de programa-v$rus vem de uma ana"ogia co mo v$rus bio"gicoB *ue trans!orma a c"u"a numa !Cbrica de cpias de"e. +ara o pub"ico em gera"B *ua"*uer programa *ue apague dadosB ou atrapa",e o !uncionamento de um computadorB pode "evar a denominao de v$rus. 4o ponto de vista do programadorB o v$rus de computador a"go bastante interessante. +ode ser descrito como m programa a"tamente so!isticadoB capaD de tomar decis9es automaticamenteB !uncionar em di!erentes tipos de computadorB e apresentar um $ndice m$nimo de prob"emas ou ma"-!uncionamento. Step,en Ha-)ing se re!eriu ao v$rus de computador como a primeira !orma de vida constru$da pe"o ,omem. 4e !atoB o v$rus capar de se reproduDir sem a inter!erKncia do ,omem e tambm de garantir soDin,o sua sobrevivKncia. autoreproduo e a manuteno da vida soB para a"guns cientistasB o bCsico para um organismo ser descrito como vivo. O v$rus Stoned um e1emp"o *ue resiste at ,oJeB anos depois da sua criao. Sendo o v$rus um programa de computador so!isticadoB ainda *ue use tcnicas de inte"igKncia arti!icia"B e"e obedece a um conJunto de instru9es contidas em seu cdigo. +ortanto poss$ve" prevenir contra seu !uncionamentoB con,ecendo seus ,Cbitos. PC o cava"o de tria se asseme",a mais a um arte!ato mi"itar como uma armadi",a e1p"osiva ou %bood<-trap(. O princ$pio o mesmo da*ue"e cigarro-e1p"osivo ou de um da*ue"es "ivros *ue do c,o*ue. O cava"o de tria no se %reproduD(. e1presso cava"o de tria usada para com programas *ue capturam sen,as sem o con,ecimento do usuCrio e as enviam para o seu %criado(. =uitos destes programas so uti"iDados para se descobrir sen,as de acesso E internet ban)ing. 3asicamente um v$rus de computador tem trKs modos de operao. #$rus de disco in!ectam o boot sectorB setor do disco responsCve" pe"a manuteno dos ar*uivos. #$rus de ar*uivo in!ectam os ar*uivos e1ecutCveisB somente so acionados *uando o ar*uivo onde esto a"ocados e1ecutado. I o terceiro modoB *ue a unio dos outros doisB in!ectamB tanto o boot sector *uanto ar*uivos e1ecutCveisB norma"mente so as pragas virtuais mais so!isticadas.

2.2 - Hac)ers "m dos perigosos e destrutivos v$rus de computadores e1istem os Hac)ers. 'a" determinao estC ,oJe em dia genera"iDadaB abrangendo muitas categoriasB entre e"as os crac)ersB os cardersB os p,reac)ingB todos e"es tem como intuito invadirB destruirB obter in!orma9esB etc. Independente da termino"ogia tais indiv$duos tem como intuito invadir sistemas para destru$-"os ou obter in!orma9es sigi"osas. Os Hac)ersB em sua grande maioriaB uti"iDam-se da !a"ta de e1periKncia dos administradores de sistemas ou usuCrio para conseguirem conc"uir suas inten9es %criminosas(. &omo dito anteriormente muitos %administradores de sistemas( ac,am *ue con,ecem muito e ac,am *ue seu sistema estC seguroB contudo por sua !a"ta de e1periKncia no con!iguram o sistema corretamente e dei1am !uro na segurana. Istes !uros podem ser atravs de so!t-ares insta"ados ou portas de servio abertasB pode ,aver tambm programas insta"ados por terceirosB os Hac)ersB *ue tem como base %abrir( o sistema para uma entrada no autoriDada. Sem *uerer entrar muito em deta",amento de ar*uitetura '&+2I+B cada servio da pi",a de protoco"os '&+2I+B por e1emp"oB .'+B S='+B uti"iDa-se de portas para comunicar-se com o sistema operaciona". Istas portas podem ser abertas por so!t-ares insta"ados por padro em um sistemaB as *uais o administrador do sistema no sabe como !ec,ar ou inuti"iDarB caracteriDando assim um !uro de segurana para o Hac)er invadir o seu sistema. I1istem os Hac)ers mais so!isticados *ue disponibi"iDam so!t-are na Internet para *ue os usuCrios uti"iDem-se deste sem saber *ue seu rea" conteNdo o de abrir o seu sistema para uma invaso. 'ais programas tambm podem vir em e-mai"s sob a !orma de componentes ativos de uma certa "inguagem de programao. + * Pol#ticas de segurana 3.1 - Sen,as 'odo sistema tem um certo nNmero de usuCrios ,abi"itados a uti"iDarem seus recursos. 'ais usuCrios possuem uma sen,a de acesso *ue combinada com seu username /nome do usuCrio no sistema5 do acesso ao sistema. 'a" acesso pode e deve ser con!igurado pe"o seu administrador a !im de de"egar certos n$veis de autonomia aos usuCrios. +or e1emp"oB os usuCrios do te"e mar)eting de uma empresa no temB ou no deveriam ter acesso Es con!igura9es das mC*uinasB poderes estes de"egados ao/s5 administrador/s5. ?orma"mente uma sen,a de acesso a um sistema deve ser con,ecida somente pe"o seu usuCrio e ser encriptada no sistema de !orma irrevers$ve". 4esta !orma somente o usuCrio poderC ter acesso ao sistema como sendo e"eB nem o administrador pode saber a sen,a de acesso de outro usuCrioB caso seJa necessCrio uma mudana de sen,a este procedimento deverC ser !eito pe"o administradorB inuti"iDando a sen,a anterior e so"icitando ao usuCrio *ue cadastre nova sen,a.

4esta !orma mantemos um certo n$ve" de segurana no nosso sistemaB contudo temos um prob"ema muito grave neste aspectoB *ue serC discutido mais E !renteB *ue o do usuCrio !ornecer sua sen,a a outro usuCrioB por con!ianaB ou at mesmo por necessidade. 'emos outro caso grav$ssimoB o de co"ocar a sen,a escrita em um pape" co"ado no monitorB bem este ponto no e nem pass$ve" de discuss9esB isto no seguranaB ignorSncia. 3.2 - dministrao de pessoa" Iste com certeDa o pior ponto a ser comentado ou imp"ementado em um sistemaB pois nos deparamos com a pior das variCveisB o ser ,umano. &omentarei sobre um caso acontecido a*ui na !acu"dadeB 4I0 - R.7PB omitirei nomes por *uest9es ticas. u"a inaugura" da discip"ina de &omputao IB primeiro per$odoB todos os a"unos recebem uma !o",a para preenc,er com a"guns dados entre e"es um usernameB para serem cadastrados nos servidores do departamento para terem acesso ao sistema. 4urante uma au"a de "aboratrio o pro!essor comea a cadastrar os a"unos no sistemaB c,ama um a um para poderem cadastra uma sen,a. O pro!essor e1p"ica c"aramente *ue a sen,a no pode ser o mesmo *ue o usernameB a"m de outras restri9esB e pede ao a"uno para inserir sua sen,a. O sistema aceita a sen,a e duto certo. ?oHHH ps o termino do cadastro o pro!essor usa um programa para determinar a comp"e1idade das sen,as e descobre *ue o a"uno co"ocou seu username e sen,as iguais. Isso demonstra a comp"e1idade de traba",ar com o !ator ,umanoB vocK o a"erta de um !atoB e1p"ica-o e a pessoa ainda comete o erro. F certo *ue isso !aD parte da concepo do ser ,umanoB sendo assim um administrador de sistemaB mesmo depois de ter e1p"icado um mi",o de veDesB tem de se certi!icar *ue o usuCrio no ten,a !eito a"go erradoB ta" como cadastra uma sen,a igua" ao username. grande maioria das empresas tem em seu departamento de in!ormCtica um pro!issiona" *ue estC incumbido de propagar as regras de uti"iDao e po"$ticas de segurana no sistema da empresa. 'a" pro!issiona" pode ser o prprio administradorB o *ue ocorre na maioria dos casosB ou a"gum *ue o au1i"ie. Istas regras e po"$ticas devem sempre estar em "oca" de !Cci" acessoB em pan!"etosB cartaDesB na intranet da empresaB en!im em diversos "ugaresB para *ue posteriormente um usuCrio no possa negar o seu con,ecimento. Outro pesade"o para as empresas tem sido a uti"iDao dos sistemas da empresa para acesso a site de conteNdo pornogrC!ico e envio de e-mai"s com tais conteNdos. Isso tem gerado ondas de demiss9es e puni9es para os !uncionCrios *ue tem somente em sua de!esa o !ato de no terem con,ecimento da po"$tica de segurana e acesso da empresa. Isto a mais pura !a"ta de critrioB tem cabimento um !uncionCrio uti"iDar-se dos recursos da empresa para acesso a tais sitesB ou enviar e-mai"s para vCrios outros !uncionCriosB o *ue JC errado /S+ =5B com !otos pornogrC!icas. Iste !ato tem gerado uma discusso *ue !oi para nos tribunais de Justia. I1istem "eis *ue asseguram a privacidade de correspondKncia seJa e"a e"etrOnica ou noB contudo tambm e1iste uma "ei *ue determina como Justa causa de demisso a uti"iDao indevida e !ora dos regu"amentos pr-estabe"ecidosB dos e*uipamentos de

uma empresa. Sendo assim c,ega-se a um di"emaB *uem estC erradoB a empresa por ana"isar o conteNdo da correspondKncia e"etrOnica dos !uncionCrios ou estes por estarem uti"iDando os e*uipamentos da empresa para !ins irregu"ares. .ora dos tribunais de Justia ocorre um outro prob"emaB *ue seria o de muitos destes sites de conteNdo pornogrC!ico possu$rem pe*uenos programasB denominados 'roJansB *ue so desenvo"vidos para se insta"arem em sistemas e permitirem o acesso do seu criador a este sistema. Isso constitui de uma grave !a",a na segurana *ue poderia ser remediada com o esc"arecimento aos !uncionCrios das po"$ticas de acesso e segurana de sua empresa. 3.3 - Segurana !$sica de sistemas Rm administrador de rede tem sempre em mente a *uesto da segurana dos seus dadosB %como dados(B dentro de um H4 em uma mC*uina. +ara este !im e"e con!igura e insta"a diversos programas para contro"e e segurana dos seus dadosB contudo *uase sempre neg"igKncia a segurana !$sica dos dados. 'omemos como e1emp"o o seguinte cenCrio. Rma empresa *ua"*uer tem um e1ce"ente administrador de redesB este insta"ou e con!igurou diversos so!t-ares para barrar o acesso indevido aos dadosB contudo dei1ou o servidorB em um canto de sa"a *ua"*uer. &,egando um dia na empresa e"e descobre *ue o micro !oi aberto e o H4 "evadoB ou me",orB roubado. 4e *ue adiantou o seu per!eito sistema de segurana se e"e es*ueceu de proteger !isicamente as mC*uinas. Outro caso se re!ere ao !ato de desastres naturais ou casuais. 'odo sistema deve ter um proJeto de bac)upB em *ue seriam !eitas diversas cpias do sistemaB como um todo ou parcia"menteB e tais cpias armaDenadas em "ocais di!erentes. Isto parece uma certa paraniaB mas imagine o departamento de vendas de uma compan,ia de petr"eo perdendo seus dadosB ou por*ue es*ueceram ou no !aDem bac)upB ou por*ue o prdio em *ue !uncionavam seus escritrios !oi acometido por um atentado terrorista ou desastre natura". Sendo assim o es*uema de segurana de um sistema deve prever a sua integridade !$sicaB a"ocando os e*uipamento em "ocais apropriadosB de acesso restrito e contro"adosB a"m de prover um proJeto de bac)up e!iciente e e!icaD. Iste conte1to pode tambm ser adotado por um usuCrio domsticoB em suas devidas propor9es. Rm es*uema de bac)up em m$dias con!iCveis e durCveis /por e1emp"oB o &45 pode !aDer parte do dia-a-dia de um simp"es usuCrio de in!ormCtica. 3.4 - 'ipo de sistemas de segurana I1istem duas vertentes bCsicas em sistemas de seguranaB uma via so!t-are e outra via ,ard-are. ?o aspecto de ,ard-are pode ser con!uso di!erencia-"o do so!t-areB pois e este *uem rea"mente atua na segurana. 4esignamos como ,ard-are de segurana o e*uipamento *ue !ica dedicado a este !unoB com veremos mais adiante.

O so!t-are de seguranaB de *ue pode ser desde um programa ad*uirido para este !im ou um sistema operaciona" con!igurado para ser o agente de segurana. 3asicamente o so!t-are responsCve" por dei1ar um usuCrio entra no sistema e outro noB dei1ar um dado tra!egar na rede e outro noB dei1ar um servio acionado e outro noB etc. 'odos estes processos devem ser con!igurados pe"o administrador da redeB *ue deve saber di!erenciar o n$ve" de necessidade de segurana de uma determinada in!ormaoB para poder ap"icar a e"a o devido critrio de segurana. , * Soft-are de segurana 4.1 - .ire-a"" O termo .ire-a"" uma ana"ogia a uma parede corta-!ogo /traduo5 *ue impedirC o acesso a indevido a um sistema. =uitas pessoas imaginam *ue um .ire-a"" seJa um ,ard-are prprio e *ue impea o acesso de !ora ao seu sistemaB isso uma das suas atribui9es. +odemos ter .ire-a""s imp"ementados atravs de so!t-are ou ,ard-areB para contro"e de acesso e1terno ou interno. ?este ponto JC podemos comear a !a"ar sobre os mtodos de contro"e de acesso e segurana do sistema. I1istem diversas !ormas de se contro"ar o *ue entra e sai de um sistemaB desde os so!t-ares at mesmo os usuCrios. ?o setor de so!t-are recentemente comearam a surgir diversos programas de caa de v$rus /antiv$rus5 e !ire-a""s. O advento desta c"asse comeou com a introduo e popu"ariDao dos acessos de banda "arga e permanente. 'emos produtos como o Tone "arm e o ?orton Internet Securit<B entre outrosB *ue atendem per!eitamente aos usuCrios domsticos e as pe*uenas corpora9esB tais so!t-ares se encarregam de barra o acesso tanto para !ora do sistema *uanto para dentro do sistema. Istes programas atravs de con!igura9es !eitas pe"os usuCrios podem impedir *ue o seu sistema seJa acessado de uma mC*uina e1terna ou at mesmo barrando o acesso a Internet a determinados sites ou servios. Ista categoria no se ap"ica com certa e!iciKncia em sistemas de maior comp"e1idadeB para este !im uti"iDa-se ,ard-ares especia"iDados em seguranaB *ue sero descritor mais E !rente. 4.2 - Sistemas Open Source /0inu1 2 .ree 3S45 PC sabido por todos a e!iciKncia e amp"a capacidade operaciona" destes sistemasB sobre a"guns sistemas proprietCrios. Im sistemas open source temos um maior contro"e sobre o *ue pode e estC acontecendo dentro de"eB sendo assimB atravs de con!igura9es podemos b"o*uear serviosB portasB endereosB en!im um gama muito maior de op9es de segurana. 'anto o 0inu1 como o .ree 3S4 norma"mente so uti"iDados como servidores em uma rede com esta9es Uindo-s. ?esta con!igurao temos um cenCrio raDoCve" de segurana onde atendemos as suas necessidades bCsicas e no %comp"icamos( a vida do nosso usuCrio com a necessidade de aprendiDado de um novo sistema operaciona"B no

caso o 0inu1 ou .ree 3S4. 4igo isso com base nos seguintes dadosB @AG dos sistemas operacionais domsticos so baseados no Uindo-sB @6G dos processadores de te1to insta"ados so so!t-ares =icroso!tB no caso a"guma verso do Uord. Sendo assim um usuCrio comum tem maiores c,ances de saber operar a dup"a Uindo-s2O!!ice do *ue um sistema como o 0inu1 ou o .ree 3S4. I1iste ainda um conte1to de criar um .ire-a"" para uma rede atravs da insta"ao de uma mC*uina dedicada baseada em so!t-are Open Source. ?este cenCrio temos uma das me",ores con!igura9es de seguranaB mantendo os servidores tambm em sistemas Open SourceB devido a estes terem uma maior con!iabi"idade no *uesito segurana. Rm !ire-a"" 0inu1 pode ser imp"ementado de diversas maneirasB por e1emp"oB atravs de pro1< ou !i"tragem de pacotes. ?o primeiro caso um usuCrio re*uer uma cone1o ao pro1< e este consu"ta uma tabe"a a !im de c,ecar as autonomias do usuCrioB se e"e pode re*uere esta cone1oB se estC em uma mC*uina *ue pode aceitar a cone1oB en!im uma enorme gama de op9es de con!igurao. ?o segundo casoB o de !i"tragem de pacotesB temos um !orte es*uema de seguranaB onde todos os pacotes entrando ou saindo da sua rede sero ana"isados pe"o .ire-a"". ?esta anC"ise so c,ecadas as permiss9es de trC!ego do pacoteB se e"e pode ou no tra!egar nesta rede. Iste mtodo de con!igurao um pouco mais comp"e1o *ue o pro1<B e1igindo do administrador uma maior compreenso dos protoco"os e servios de rede. Im um !ire-a"" por !i"tragem de pacotes podemos con!igurar cada tipo de protoco"o com uma po"$tica de segurana di!erenteB podemos con!igurar em separado cada e*uipamento de rede para ter o no acessoB podemos b"o*uear ou "iberar as portas de servioB en!im uma enorme gama de op9es de con!igurao. . * /ard-are de segurana 6.1 - .ire-a"" &omo JC !oi mencionado anteriormente e1istem ,ard-ares dedicados E segurana. Istes podem ser !ire-a""sB roteadores e s-itc,. ?o caso dos !ire-a""s e1istem e*uipamentos prprios desenvo"vidos por empresas de segurana *ue desempen,am este pape" de acordo com a comp"e1idade e1igida. HC tambmB muito mais comumB mC*uinas con!iguradas para serem os %guardas( de uma rede. estas mC*uinas !ire-a""s e suas redes dado o nome de 4=T /4e-=i"itariDed Tone5B *ue consistem em um segmento de rede intermediCriaB entre uma rede protegida e uma rede aberta. &omo e1emp"o poder$amos citar um !ire-a"" entre uma rede interna protegida de uma empresa e a InternetB *ue seria a rede desprotegida. ?orma"mente estas mC*uinas possuem mais de uma inter!ace de rede a !im de poder comunicar-se com mais de uma rede !aDendo o roteamento entre as redesB baseado em con!igura9es de segurana e po"$ticas de acesso. Iste e*uipamento tem com !ina"idade !i"trarB no somente o trC!ego de !ora da sua redeB mas tambm o trC!ego interno bem como o *ue sai de"a.

?o !ire-a"" podemos con!igurar *ue somente uma determinada mC*uina acesse um servio ou um siteB podemos tambm de!inir ,orCrios de acessoB atribuir di!erentes po"$ticas de acesso a di!erentes usuCrios ou mC*uinasB en!im um bom administrador de redes podem a!inar o !ire-a"" de sua empresa de acordo com as necessidades. 6.2 - 7oteadores Os roteadores so e*uipamentos uti"iDados para e!etuar o roteamento dos pacotes *ue circu"am de uma rede para outra. Istes e*uipamentos podem ter em suas especi!ica9es um sistema operaciona" *ue conten,a rotinas para *ue e"e !uncione tambm como um ,ard-are de segurana. ?o caso dos e*uipamentos &iscoB o IOSB sistema operaciona" do roteadorB possui uma rotina para serem criadas as "istas de acesso / ccess 0ist5. Istas "istas de acesso servem para con!igurar o acesso as redes conectadas ao roteadores e o acesso dos ,osts ao prprio roteador. Istes e*uipamentos atravs de suas con!igura9es um !orte es*uema de seguranaB *ue pode ser baseado na !i"tragem de pacotes I+B atravs das ccess 0istsB ou o b"o*ueio de um servio atravs do b"o*ueio da porta do servio. Sendo assim muitos administradores gostam e uti"iDam as !unciona"idades de !ire-a"" de um roteador. F c"aro *ue os roteadores no !oram desenvo"vidos para atuarem tambm como !ire-a"" em uma redeB contudo em certas redes de taman,o pe*ueno e onde o trC!ego e1terno no seJa to grandeB e"e da conta do recado. &ontudo em redes de grande porte ou com grande vo"ume de trC!ego e1ternoB para no sobrecarregar o roteadorB *ue a"m de sua !uno bCsica de rotear pacotes teria de ana"isar o pacote em re"ao as suas access "istB aconse",Cve" *ue seJa insta"adas mC*uinas prprias para e!etuarem a !uno de roteador. 6.3 - S-itc, Os s-itc, so e*uipamentos responsCveis pe"a distribuio das conec9es para uma rede. F neste e*uipamento *ue "igamos os segmentos de rede vindos dos ,ostsB montando assim uma ma",a entre os ,osts e os servidoresB *ue podem ser "igados tambm aos s-itc,. O s-itc, um e*uipamento e1tremamente versCti"B podendo simp"esmente atuar com um repetidor mu"tiportasB !aDer a converso de meio entre duas redes e atuar como um e*uipamento de segurana. Os s-itc, gerenciCveis tKm um so!t-are insta"ado em seus circuitos *ue se encarrega de agregar certas !unciona"idades a e"e. Rma destas !unciona"idades pode ser vista com um contro"e de acessoB onde podemos contro"ar o acesso atravs da ,abi"itao2desabi"itao de uma de suas portas ou mesmo atravs de !i"tragem de pacotes. Isso mesmo um s-itc, pode atuar na camada do protoco"o I+ /camada 35B a este processo dC-se o nome de #0 ?B *ue seriam redes virtuais criadas atravs de um s-itc,. ?estas #0 ?s podemos con!igurar para *ue um grupo de mC*uinas somente possas se comunicar com outro grupoB e no com toda a empresa. Isso pode ser !eito somente em s-itc, *ue empreguem ta" tecno"ogia e *ue seJam gerenciCveis. +or

e1emp"oB temos 24 ,osts "igados a um s-itc,B podemos atravs de suas con!igura9es atribuir po"$ticas de acesso baseadas nas portas onde estes ,osts esto conectados. Sendo assim podemos impedir ou "iberar o acesso de um grupo ou de uma s mC*uina a uma redeB ou at mesmo b"o*uear o acesso a certas mC*uinas. #isto isso podemos atribuir ao s-itc, a capacidade de !uncionar com um dispositivo de segurana para uma rede interna. Sempre "embrando *ue sua !ina"idade no estaB mas *ue em uma pe*uena rede este aspecto de !ire-a"" pode ser imp"ementadoB sem o au1i"iou de uma mC*uina dedicada. 0 * Sistemas de detec"o de intrus1es 2IDS3 Rm I4S uma so"uo comp"ementar E insta"ao de uma !ire-a"". sua !uno ana"isar permanentemente o trC!ego da rede /interno e e1terno5 e comparC-"o com padr9es con,ecidos de comportamento de intrusos. +or estarem situados na rede interna ana"isam no s o trC!ego e1ternoB vindo da InternetB como tambm o trC!ego interno. +odemB assimB ser detectados ata*ues vindos de pessoas internas E empresa ou *ue acedem a esta por outros meios. Rm I4S pode ana"isar o trC!ego na rede de di!erentes perspectivasB cada uma com obJetivos e resu"tados di!erentesV a3 Signature detection4 &onsistem na procura de padr9es espec$!icos de trC!egoB correspondentes a determinado ata*ue. desvantagem *ue o padro de ata*ue tem de ser con,ecido de antemo e tem de ser programado no I4S. +ara a"m distoB em situa9es de a"to dbitoB o I4S poderC no esca"arB e"iminando pacotes do sistema de anC"ise. 53 Be!a6iour detection4 &onsiste na anC"ise e na procura de padr9es de comportamentoB atravs da identi!icao de anoma"ias estat$sticas. idia *ue uma rede segue determinados padr9es de comportamento *ue resu"tam em determinadas estat$sticas. "tera9es dessas estat$sticas /maior trC!ego a ,oras pouco usuaisB aumento do nNmero de pacotes de determinado tipo de protoco"oB etc.5 resu"tam na identi!icao de um poss$ve" ata*ue. c3 Protocol anomal7 detection4 &onsiste na anC"ise de con!ormidade com o standard de pacotes de determinado protoco"o. t$tu"o de e1emp"oB os recentes ata*ues do &ode 7ed so !aci"mente detectados por este tipo de I4SB dado *ue os pedidos H''+ !eitos ao servidor no esto con!ormes com o standardB usando caracteres invC"idos para conseguirem subverter o !uncionamento do Ueb server. 8 * Criptografia e Pu5lic 9e7 Infrastructure 2P9I5 :.1 - Introduo criptogra!ia JC estava presente no sistema de escrita ,ierog"$!ica dos eg$pcios. 4esde ento vem sendo muito uti"iDadaB principa"mente para !ins mi"itares e dip"omCticos. ?o Smbito da computao importante para *ue se possa garantir a segurana em todo o ambiente computaciona" *ue necessite de sigi"o em re"ao Es

in!orma9es *ue manipu"a. +ode ser usada para codi!icar dados e mensagens antes *ue esses seJam enviados por vias de comunicaoB para *ue mesmo *ue seJam interceptadosB di!ici"mente podero ser decodi!icadosB garantindo a privacidade. criptogra!ia computaciona" usada para garantirV - Sigi"oV somente os usuCrios autoriDados tKm acesso E in!ormaoW - Integridade da in!ormaoV garantia o!erecida ao usuCrio de *ue a in!ormao corretaB origina"B no !oi a"teradaB nem intenciona"B nem acidenta"menteW - utenticao dos participantesV identi!ica a pessoa ou entidade *ue so"icita o acesso e tambm o servidor acessadoW 'ermino"ogias da criptogra!ia &i!rarV o ato de trans!ormar dados em a"guma !orma i"eg$ve". Seu propsito garantir a privacidadeB mantendo a in!ormao escondida de *ua"*uer pessoa no autoriDadaB mesmo *ue esta consiga visua"iDar os dados criptogra!ados. 4eci!rarV o processo inversoB ou seJaB trans!ormar os dados criptogra!ados na sua !orma origina"B inte"ig$ve". +ara ci!rarmos ou deci!rarmos uma mensagemB necessitamos de in!orma9es con!idenciais gera"mente denominadas c,aves ou sen,as. 4ependendo do mtodo de criptogra!ia empregadoB a mesma c,ave pode ser uti"iDada tanto para criptogra!ar como para decriptogra!ar mensagensB en*uanto outros mecanismos uti"iDam sen,as di!erentes. :.2 - =todo simtrico e assimtrico Rma in!ormao pode ser codi!icada atravs de a"gum a"goritmo de criptogra!iaB de modo *ueB tendo con,ecimento do a"goritmo uti"iDado e da c,ave uti"iDadaB poss$ve" recuperar a in!ormao origina" !aDendo o percurso contrCrio da encriptaoB a decriptao. "goritmos criptogrC!icos so !un9es matemCticas usadas para codi!icar os dadosB garantindo segredo e autenticao. 4evem ser con,ecidos e testados. segurana reside na c,ave secreta *ue deve ter taman,o su!iciente para evitar sua descoberta por teste e1austivo. &om o aumento da capacidade computaciona"B podemos ,oJe uti"iDar comp"e1os es*uemas criptogrC!icosB *ue antes eram impraticCveis pe"a demora com os *uais eram codi!icadas pe*uenas in!orma9es. IB a"m da capacidade tcnicaB possu$mos a"gumas caracter$sticas na criptogra!ia moderna *ue a !aD se subdividir em dois grandes gruposV criptogra!ia de c,ave simtrica e criptogra!ia de c,ave assimtrica. criptogra!ia de c,ave simtrica a tradiciona". ?e"a a mesma c,ave uti"iDada na codi!icao deve ser uti"iDada na decodi!icao. I1emp"os de a"goritmos *ue imp"ementam esse tipo de criptogra!iaV I4I /Internationa" 4ata Incr<ption "gorit,m5B 4IS /4ata Incr<ption Standard5 da I3= e o 7&224 da 7S 4ata Securit<.

O prob"ema bvio dessa simetria V como vou in!ormar ao destinatCrio a c,ave para a decriptao de !orma seguraX Se encontrar um modo seguro de ",e contar a c,aveB eu no poderia uti"iDC-"o para passar a in!ormao de uma veDX 7ea"menteB este no o me",or mtodo para trocarmos nossos segredos. ?o entantoB a criptogra!ia simtrica bastante e!iciente em cone19es seguras na Internet onde processos computacionais trocam sen,as temporCrias para a"gumas transmiss9es cr$ticas eB ao contrCrio do *ue vocK pode estar imaginandoB JC uti"iDou a"gumas de"asV *uando vocK navega pe"a Internet e visita sites ditos YsegurosYB onde gera"mente so preenc,idos dados sigi"ososB vocK estC uti"iDando o SS0 /Secure Soc)ets 0a<er5 *ue !unciona E base de criptogra!ia simtricaB muito provave"mente 4IS ou a"go da 7S . ?a criptogra!ia de c,ave assimtrica so usadas duas c,aves "igadas matematicamenteW se uma uti"iDada para criptogra!ar uma mensagemB a outra c,ave deve ser uti"iDada para decriptogra!ar. Rma das duas mantida em segredo e re!erenciada como c,ave privada. Issa c,ave privada pode ser representada como sendo a identidade do seu proprietCrioW "ogoB sua privacidade crucia". F necessCrio *ue o emissor e o receptor da mensagem uti"iDem a mesma mensagem privada sem *ue ningum descubra. outra c,aveB denominada c,ave pNb"ica dispon$ve" a todos. Lua"*uer pessoa pode enviar uma mensagem con!idencia" apenas uti"iDando c,ave pNb"icaB mas esta mensagem s poderC ser decriptogra!ada com a c,ave-privada do destinatCrio. Os sistemas assimtricos gera"mente no so to e!icientes computaciona"mente *uanto os simtricosW e"es norma"mente so uti"iDados em conJuno com sistemas simtricos para !ornecer !aci"idades de distribuio da c,ave e capacidades de assinatura digita". :.3 - 'cnicas con,ecidas 7O'13V uti"iDada em codi!icao de mensagens. ?essa tcnicaB a "etra do a"!abeto move 13 casas. +or e1emp"oV a "etra torna-se a "etra O e assim sucessivamente. &r<ptV um uti"itCrio baseado numa mC*uina de criptogra!ia da 2a. Zuerra =undia". O so!t-are para *uebrar esse tipo de criptogra!ia de !Cci" obteno na Internet. 4IS /4ata Incr<ption Standard5V !oi desenvo"vida na dcada de :A pe"a I3= sendo *ue o governo americano adotou como mtodo de criptogra!ia no o!icia"B porm con!idencia". Rti"iDa a mesma c,ave tanto para criptogra!ia como para descriptogra!ia. .unciona da seguinte !ormaV pega-se dados em grupos de 84 bits e embara",a-os 18 veDes de uma !orma especia". +ossui duas varia9esV I&3 /I"etronic &ode 3oo)5 e &3& /&ip,er 3"oc) &,aining5. .oi o primeiro cdigo moderno a tornar-se pNb"ico.

Os novos mtodos de criptogra!ia baseiam-se no 4ISB porm na Internet comearam a surgir boatos de *ue o ?S podia invadir *ua"*uer tipo de dados *ue uti"iDava o mtodo 4IS. Luando pes*uisadores criaram a tcnica de criptoanC"ise di!erencia" para atacar os mtodos de criptogra!iaB !oi descoberto *ue a tcnica em *uesto no preJudicava o 4IS. I"e JC era protegido contra a criptoanC"ise di!erencia"B o *ue aumentaram as suspeitas em re"ao *ue a ?S seria a Nnica capaD de invadir *ua"*uer tipo de dados. Sua !a",a no nNmero de c,aves pe*ueno /cerca de 68 "etras5. Rma tima recomendao para a uti"iDao de uma c,ave uti"iDando-se uma c,ave composta por uma c,ave ,e1adecima" com 14 d$gitos /a base ,e1adecima" varia do nNmero A-@ e de -.5. 4IS 'rip"oV aumenta o nNmero de c,aves e codi!ica trKs veDes o dadoB uti"iDando c,aves di!erentes em cada estCgio da codi!icao tendo um e!eito de 18> c,aves. "guns criptgra!os erroneamente usam a mesma c,ave em dois dos estCgios diminuindo o e!eito para 112 bits. Isso c,amado de Incode-4ecode-Incode /4ISI4I5. O 4IS trip"o vu"nerCve" a criptoanC"ise di!erencia" meet in t,e midd"e. O 4IS um dos Nnicos a"goritmos *ue tem uma reunio de pes*uisadores independentes tentando detectar um mtodo de atacC-"o. +or en*uanto nen,um mtodo de ata*ue !oi detectado. I4I V desenvo"vido na dcada de >A por QueJia 0ai e Pames =asse< da S&O= 'ec, Z da SuiaB em Turi*ueB o I4I embara",a os dados em grupos de 84 bits e uti"iDa uma c,ave de 12> bits *ue su!iciente para resistir E maior parte dos ata*ues. 7S V !oi criado por 7on 0. 7ivestB di S,amir e 0eonard de"man !undadores da 7S 4ata Securit<. Rti"iDa a criptogra!ia de c,ave pNb"ica. criao da c,ave no mtodo 7S atravs de !atorao de dois nNmeros primos. Rm serC sua c,ave de criptogra!ia e outro de descriptogra!ia. O computadorB atravs de uma srie de cC"cu"os pode atravs do nNmero primo de criptogra!ia c,egar a descriptogra!ia dos dados. Im 1@:: os criadores do 7S divu"garam numa matria da revista Scienti!ic merican o mtodo de criptogra!ia Juntamente com uma mensagem codi!icada e uma c,ave pNb"ica com 12@ d$gitos e a!irmaram *ue a uti"iDao de uma c,ave poderia !icar secreta por dcadas e !icou con,ecido como a tare!a 7S 12@ onde no decorrente ano de 1@@3 mi",ares de Jovens curiosos com au1$"io de poderosas mC*uinas e troca de dados e testes atravs da Internet bata",aram para desvendar a c,ave. ?o ano de 1@@4B a !amosa c,ave pNb"ica !oi *uebrada. Rm segredo de muitas dcadas *uebrado em menos de 1 ano de tentativa. !atorao de um cdigo de 12@ d$gitos obviamente !aci"mente *uebrada para *uem tem acesso a supercomputadores e pai1o pe"a matemCtica. +rivac<-In,anced =ai" /+I=5V um dos padr9es da Internet para o envio de mensagens de correio e"etrOnico criptogra!adas. .oi criada uma imp"ementao

uti"iDando a "gica do 4IS c,amada de 7iodan[s Internet +rivac<-In,anced =ai" /7I+I=5 criada pe"o americano =i)e 7iordan. +rett< Zood +rivac< /+Z+5V criado por +,i""ip TimmermannB seme",ante em conceito em re"ao ao 7I+I=B porm uti"iDando o mtodo do 7S para c,ave pNb"ica e a "gica do I4I . F capaD de ocu"tar o nome da pessoa *ue enviou a mensagem. 7&2 e 7&4V desenvo"vido por 7on 7iverB na 7S 4ata Securit<B mantm em c,aves de criptogra!ia in!erior a c,ave de 4A d$gitosB permitindo assim a sua e1portao. :.4 - 'ipos de ci!ragem de b"ocos I&3 - I"etronic &ode 3oo) /=odo do "ivro de cdigos5V cada b"oco da mensagem origina" individua" e independentemente ci!rado para produDir os b"ocos da mensagem ci!rada. O b"oco t$pico tem 84 bitsB o *ue produD um "ivro de cdigos de 2 e1p/845 entradas. I note-se *ue para cada c,ave poss$ve" e1iste um "ivro de cdigos di!erentes. vantagem do mtodo sua simp"icidade e a independKncia entre os b"ocos. desvantagem *ue um criptoana"ista pode comear a compi"ar um "ivro de cdigosB mesmo sem con,ecer a c,ave. Rm prob"ema mais grave a c,amada repetio de b"ocoB onde um atacante ativo pode a"terar parte de uma mensagem criptogra!ada sem saber a c,ave e nem mesmo o conteNdo *ue !oi modi!icado. +ode-seB por e1emp"oB interceptar uma transao bancCria de trans!erKncia de sa"do de *ua"*uer pessoaB a seguir pode-se rea"iDar uma trans!erKncia de sa"do de uma conta para a conta do atacante e interceptar a mensagemB assim pode-se identi!icar os b"ocos correspondentes ao destinatCrio e dessa !orma substituir em todas as mensagens o destinatCrio pe"o atacante. &3& - &ip,er 3"oc) &,aining /=odo de encadeamento de b"ocos5V &3& rea"imenta a ci!ragem do b"oco atua" com o resu"tado das ci!ragens dos b"ocos anteriores. operao mais uti"iDada o ou-e1c"usivo com o b"oco anteriorB dessa !orma os b"ocos iguais sero norma"mente ci!rados de !orma di!erenteB desde *ue no m$nimo um dos b"ocos anteriores seJa di!erente da mensagem. IntretantoB duas mensagens iguais sero mapeadas para os mesmos b"ocos. I duas mensagens com in$cio igua" sero ci!radas da mesma !orma at *ue ocorra a di!erena. maneira empregada para evitar esse prob"ema a uti"iDao de um vetor de inicia"iDao distinto para cada mensagem. &.3 - &ip,er .eedbac) /=odo de rea"imentao de ci!ra5V *uando ,C necessidade de enviar mensagens *ue possuem taman,o menor *ue um b"oco usa-se o mtodo &.3B *ue traba",a com grupos /> bits por e1emp"o - 1 caracter5. ?este casoB a rea"imentao !eita sobre o grupoB uti"iDando-se tambm o ou-e1c"usivo. &i!ras de SubstituioV troca cada caractere ou grupo de caracteres por outroB de acordo com uma tabe"a de substituio. +ode-se *uebrar este mtodo ana"isando-se a !re*\Kncia de cada caractere no te1to ci!rado e comparando-se estas !re*\Kncias com a*ue"as *ue norma"mente aparecem em um determinado idioma. s vogais tKm maior !re*\Kncia *ue as consoantes e a"guns caracteres possuem !re*\Kncia bai1$ssima em

re"ao aos demais. +ara ameniDar a !re*\Kncia de caracteresB podemos uti"iDar vCrias tabe"as para ci!ragem de um te1to. +ara uma substituio mono a"!abtica podemos ter 281 tabe"as de substituio. 'em-se uma c,ave *ue diD *ua" das tabe"as serC usada para cada "etra do te1to origina". +ortantoB *uanto maior a c,ave mais seguro o mtodo. IntretantoB su!iciente descobrir o taman,o da c,ave ) e ana"isar b"ocos de ) caracteres no te1toB veri!icando a !re*\Kncia de repetio dos caracteres. Substituio =ono a"!abticaV cada "etra do te1to origina" trocada por outra de acordo com uma tabe"a e com sua posio no te1to. Substituio de &sar um e1emp"o de substituio mono a"!abtica *ue consiste em trocar cada "etra por outra *ue estC 3 "etras adiante na ordem a"!abtica. +or e1emp"oB ]4. +ode-se usar outros va"ores ao invs de 3B o *ue constitui a c,ave de ci!ragem. I1istem apenas 28 c,avesB por isso um mtodo *ue visa proteger te1tos com pe*ueno grau de sigi"o. Substituio por 4es"ocamentosV a c,ave indica *uantas posi9es deve-se avanar no a"!abeto para substituir cada "etra. 4i!erente da Substituio de &sarB as "etras no so trocadas sempre por uma "etra n posi9es a !rente no a"!abeto. +or e1emp"oB c,aveV A2A>13. primeira "etra trocada pe"a "etra *ue estC 2 posi9es a !rente no a"!abetoB a segunda pe"a *ue estC > posi9es a !renteB e assim por dianteB repetindo a c,ave se necessCrio. /+ I ] 7I#5 Substituio =ono!OnicaV como a anteriorB mas agora cada caractere pode ser mapeado para um ou vCrios caracteres na mensagem ci!rada. Isso evita a "inearidade da substituio. Substituio po"ia"!abticaV a combinao no uso de vCrias substitui9es mono a"!abticasB usadas em rotao de acordo com um critrio ou c,ave. +or e1emp"oB poderiam ser uti"iDadas 4 tabe"asB usadas em a"ternSncia a cada 4 caracteres. Substituio por +o"$gramosV uti"iDa grupo de caracteres ao invs de um caractere individua". Se !ossem considerados trigramasB por e1emp"oB 3 poderia ser substitu$do por 7'L ou ;QS. &i!ras de 'ransposioV troca-se a posio dos caracteres na mensagem. +or e1emp"oB pode-se reescrever o te1to percorrendo-o por co"unas. Ou ento de!inir o taman,o para um vetor de trocas e tambm uma ordem em *ue as trocas sero !eitas. +ode-se usar c,ave para isso. +or e1emp"oB em um vetor de taman,o 8 pode-se trocar o primeiro caractere pe"o terceiroB o segundo pe"o *uinto e o *uarto pe"o se1to. Se a !re*\Kncia dos caracteres !or E mesma do idiomaB temos substituio por transposio. Se !or di!erenteB temos por substituio. 'ambm poss$ve" combinar substituio e transposioB ou vice-versa. =C*uinas de &i!ragemV um cdigo traba",a com grupos de caracteres de taman,o variCve"B ao contrCrio da ci!ra. &ada pa"avra substitu$da por outra. Luebrar um cdigo e*uiva"e a *uebrar uma gigantesca substituio mono a"!abtica onde as unidades so as pa"avras e no os caracteres. +ara isso deve-se usar a gramCtica da "$ngua e ana"isar a estrutura das !rases. =C*uinas de ci!ragem baseiam-se em

engrenagens *ue tKm taman,os di!erentes e *ue giram a ve"ocidades di!erentesB obtendo uma substituio po"i a"!abtica com c,ave de 28nB onde n o nNmero de engrenagens. :.6 - 'ipos de ata*ues Rm criptosistema deve ser seguro mesmo *uando os a"goritmos de criptogra!ia e descriptogra!ia seJam con,ecidos. +or esta raDo so uti"iDadas c,aves. Rma pessoa no autoriDada *ue tem acesso a a"guns dos e"ementos de um criptosistema denominada de atacante. Rm atacante passivo somente obtm cpias dos e"ementosB en*uanto um atacante ativo pode a"terar a"guns desses e"ementos. I1istem cinco tipos de ata*ue /ou criptoanC"ise5 mais comuns. 'odos e"es sup9em *ue o criptoana"ista possui con,ecimento tota" sobre os mtodos de criptogra!ia e descriptogra!ia uti"iDadosB mas no sobre as c,aves. - ata*ue de te1to ci!rado /c<p,erte1t-on"<5V o criptoana"ista tem a sua disposio uma grande *uantidade de mensagens ci!radasB mas descon,ece as originais e as c,aves uti"iDadas. Sua tare!a recuperar as mensagens normais /deduDir as c,aves uti"iDadas5. - ata*ue de te1to con,ecido /)no-n-p"ainte1t5V o criptoana"ista tem a sua disposio uma grande *uantidade de mensagens criptogra!adas e tambm as mensagens originais e*uiva"entes. Sua tare!a deduDir as c,aves uti"iDadas /ou um mtodo para recuperar mensagens ci!radas com a mesma c,ave5. - ata*ue adaptativo do te1to esco",ido /adaptative-c,oosen-p"ainte1t5V no mtodo anteriorB o criptoana"ista poderia ser capaD de !ornecer somente uma grande *uantidade de mensagens de uma s veDW agora e"e pode !ornecer um pe*ueno conJuntoB ana"isar os resu"tadosB !ornecer outro conJunto e assim por diante. Sua tare!a deduDir as c,aves uti"iDadas. "guns mtodos de criptogra!ia como os 7S so muito vu"nerCveis a este ata*ue. - ata*ue do te1to ci!rado esco",ido /c,oosen-c<p,erte1t5V o criptoana"ista no s tem uma grande *uantidade de mensagens e seus e*uiva"entes criptogra!adosB mas pode produDir uma mensagem criptogra!ada espec$!ica para ser deci!rada e obter o resu"tado produDido. F uti"iDado *uando se tem uma Ycai1a-pretaY *ue !aD descriptogra!ia automCtica. Sua tare!a deduDir c,aves uti"iDadas. - ata*ue de c,ave esco",ida /c,oosen-)e<5V o criptoana"ista pode testar o sistema com c,aves di!erentes ou pode convencer diversos usuCrios "eg$timos do sistema a uti"iDarem determinadas c,aves. ?este N"timo casoB a !ina"idade imediata seria de deci!rar as mensagens criptogra!adas com essas c,aves. Rm sistema dito seguro se e"e teoricamente in*uebrCve"B ou seJaB no interessa *ua" a *uantidade de te1to norma" ou deci!rado a disposioB nunca se tem in!ormao su!iciente para deduDir as c,aves uti"iDadas ou deci!rar um te1to *ua"*uer ci!rado. S se con,ece um mtodo nesta categoriaV a &i!ra de #ernam ou One-time pad /ci!ra de uso Nnico5. Im essKncia dois e"ementos *ue deseJem comunicar-se possuam cpias idKnticas de uma se*\Kncia randOmica de va"oresB *ue so uti"iDados como c,ave. O mtodoB entretantoB e1ige *ue cada c,ave seJa usada uma Nnica veD e *ue o

comprimento da se*\Kncia /c,ave5 seJa maiorB ou no m$nimo igua" ao comprimento da mensagem a ser criptogra!ada. :.8 - +;I O +;IB ouB +ub"ic ;e< In!rastruture um e1emp"o de novas tecno"ogias recmnascidas. +;I ou In!ra-estrutura de &,aves +Nb"icas consiste de serviosB protoco"os e ap"ica9es uti"iDados para o gerenciamento de c,aves pNb"icas e certi!icados. O *ue !aDemX +rovKem servios de criptogra!ia de c,ave pNb"ica e assinatura digita"B permitindo a interao segura entre usuCrios e ap"ica9es. Os servios o!erecidos por uma so"uo +;I variamV registro de c,aves com a emisso de um novo certi!icado para uma c,ave pNb"icaW revogao ou cance"amento de certi!icadosW obteno de c,aves pNb"icas de uma autoridade certi!icadoraW e va"idao de con!ianaB determinando se o certi!icado vC"ido e a *uais opera9es e"e estC autoriDado. .ormadas basicamente por so!t-areB essas so"u9es podem ser insta"adas na maioria dos servidores e1istentes no mercadoV Uindo-s ?'B ?ove"" ?et-areB So"arisB H+-RQB IQB =acintos, OSB etc. &ontudoB ainda e1istem iniciativas com so"u9es *ue suportam ,ard-ares prprios de criptogra!ia para a gerao das c,aves e emisso dos certi!icados. &omponentes de uma so"uo +;IV - utoridade &erti!icadora /& 5W - utoridade 7egistradora /7 5B opciona"W - 4iretrioW &erti!ication ut,orit< /& 5 ou utoridade &erti!icadora uma entidade representada por pessoasB processos e !erramentas usadas na emisso de certi!icados digitais *ueB de uma !orma seguraB associa o nome da entidade /usuCrioB mC*uina etc5 ao seu par de c,aves. I"a !unciona como um agente da segurana. 4esta !ormaB se os usuCrios con!iam em uma & e em sua po"$tica de emisso e gerenciamento de certi!icadosB con!iam nos certi!icados emitidos pe"a & . Isso o *ue c,amamos de t,ird-part< trust ou con!iana em uma terceira parte ou entidade. O 4iretrioB por sua veDB pode ser entendido como um "oca" de armaDenamento /repositrio5 dos certi!icados e das "istas de revogao emitida por uma & . 3ene!$cios de uma so"uo +;IV - utenticaoV identi!icar os usuCrios e mC*uinas - &ontro"e de cessoV contro"ar *uem acessa as in!orma9es e rea"iDa as transa9esW - &on!idencia"idade e +rivacidadeV ter certeDa de *ue a comunicao privada mesmo via InternetW - IntegridadeV garantir *ue a in!ormao no serC a"teradaW

- ?o-repNdioV prover um mtodo digita" de assinatura das in!orma9es e transa9esW O conceito inovador e vem para e1pandir a es!era da segurana at Es ap"ica9es. &ontudo preciso de!inir as necessidades com c"areDaB para s ento especi!icar uma so"uo +;I. :.: - ssinatura digita" ssinatura 4igita" a verso digita" da assinatura de pun,o em documentos !$sicos. assinatura de pun,o um componente *ue assegura *ue a pessoa em *uesto escreveu ou concordou com o documento no *ua" consta sua assinatura. ssinatura 4igita" apresenta grau de segurana muito superior ao de uma assinatura de pun,o. O destinatCrio de uma mensagem assinada digita"mente pode veri!icar se a mensagem !oi rea"mente emitida pe"a pessoa cuJa assinatura ne"a constaB ou se a mensagem no !oi em a"gum ponto adu"terada intenciona" ou acidenta"mente depois de assinada. =ais aindaB uma ssinatura 4igita" *ue ten,a sido veri!icada no pode ser negadaW a*ue"e *ue assinou digita"mente a mensagem no pode diDer mais tarde *ue sua assinatura digita" !oi !a"si!icada. Im outras pa"avrasB ssinaturas 4igitais ,abi"itam YautenticaoY de documentos digitaisB garantindo ao destinatCrio de uma mensagem digita" tanto a identidade do remetente *uanto a integridade da mensagem. +or e1emp"oB para persona"iDar uma mensagemB um determinado usuCrio codi!ica uma mensagem uti"iDando sua c,ave secreta e a envia para o destinatCrio. Somente a c,ave pNb"ica de permitirC a decodi!icao dessa mensagem. +ortanto a prova de *ue enviou a mensagem. mensagem assim pode ser decodi!icada por *ua"*uer um *ue ten,a a c,ave pNb"ica de . PropriedadesV - a assinatura autKnticaV *uando um usuCrio usa a c,ave pNb"ica de para deci!rar uma mensagemB e"e con!irma *ue !oi e somente *uem enviou a mensagemW - a assinatura no pode ser !orJadaV somente con,ece sua c,ave secretaW - o documento assinado no pode ser a"teradoV se ,ouver *ua"*uer a"terao no te1to criptogra!ado este no poderC ser restaurado com o uso da c,ave pNb"ica de W - a assinatura no reuti"iDCve"V a assinatura uma !uno do documento e no pode ser trans!erida para outro documentoW - a assinatura no pode ser repudiadaV o usuCrio 3 no precisa de nen,uma aJuda de para recon,ecer sua assinatura e no pode negar ter assinado o documento. : * Rede pri6ada 6irtual 2 P;3 >.1 - Introduo

tecno"ogia de #+? permite *ue as empresas com "in,as dedicadas !ormem um circuito !ec,ado e seguro pe"a InternetB entre e"as prprias. 4essa maneiraB essas empresas asseguram *ue os dados passados entre e"es e suas contrapartes esteJam seguros /e norma"mente criptogra!ados5. segurana a primeira e mais importante !uno da #+?. Rma veD *ue dados privados sero transmitidos pe"a InternetB *ue um meio de transmisso inseguroB e"es devem ser protegidos de !orma a no permitir *ue seJam modi!icados ou interceptados. Outro servio o!erecido pe"as #+?s a cone1o entre corpora9es /e1tranets5 atravs da InternetB a"m de possibi"itar cone19es dia"-up criptogra!adas *ue podem ser muito Nteis para usuCrios mveis ou remotosB bem como !i"iais distantes de uma empresa. Rma das grandes vantagens decorrentes do uso de #+?s a reduo de custos com comunica9es corporativasB pois e"imina a necessidade de "in)s dedicados de "onga distSncia *ue podem ser substitu$dos pe"a Internet. s 0 ?s podem atravs de "in)s dedicados ou discadosB conectar-se a a"gum provedor de acesso "oca" e inter"igar-se a outras 0 ?sB possibi"itando o !"u1o de dados atravs da Internet. Ista so"uo pode ser muito interessante sob o ponto de vista econOmicoB sobretudo nos casos em *ue en"aces internacionais ou nacionais de "onga distanciam esto envo"vidos. Outro !ator *ue simp"i!ica a operaciona"idade da U ? *ue a cone1o 0 ?-Internet-0 ? !ica parcia"mente a cargo dos provedores de acesso. >.2 - p"icao para redes privadas virtuais seguirB so apresentadas as trKs ap"ica9es consideradas como as mais importantes para as #+?sV cesso remoto via Internet O acesso remoto a redes corporativas uti"iDando a Internet pode ser viabi"iDado com a tecno"ogia #+? atravs da "igao "oca" a um provedor de acesso /Internet Service +rovider - IS+5. estao remota disca para o provedor de acessoB conectandose E Internet e o so!t-are de #+? cria uma rede virtua" privada entre o usuCrio remoto e o servidor de #+? corporativo atravs da Internet. &one1o de 0 ?s via Internet Rma so"uo *ue substitui as cone19es entre 0 ?s atravs de circuitos dedicados de "onga distSncia a uti"iDao de circuitos dedicados "ocais inter"igando-as E Internet. O So!t-are de #+? assegura esta intercone1o !ormando a U ? corporativa. depender das ap"ica9esB tambm se pode optar pe"a uti"iDao de circuitos discados em uma das pontasB devendo a 0 ? corporativa estar pre!erencia"mente

conectada E Internet via circuito dedicado "oca"B !icando dispon$ve" 24 ,oras por dia para eventuais trC!egos provenientes da #+?. &one1o de computadores numa intranet Im a"gumas organiDa9esB e1istem dados con!idenciais cuJo acesso restrito a um pe*ueno grupo de usuCrios. ?estas situa9esB redes "ocais departamentais so imp"ementadas !isicamente separadas da 0 ? corporativa. Ista so"uo apesar de garantir a Ycon!idencia"idadeY das in!orma9esB cria di!icu"dades de acesso a dados da rede corporativa por parte dos departamentos iso"ados. s #+?s possibi"itam a cone1o !$sica entre redes "ocaisB restringindo acessos indeseJados atravs da insero de um servidor #+? entre e"as. Observe *ue o servidor #+? no irC atuar como um roteador entre a rede departamenta" e o resto da rede corporativa uma veD *ue o roteador permitiria a cone1o entre as duas redes permitindo o acesso de *ua"*uer usuCrio E rede departamenta" sensitiva. &om o uso da #+? o administrador da rede pode de!inir *uais usuCrios estaro credenciados a atravessar o servidor #+? e acessar os recursos da rede departamenta" restrita. diciona"menteB toda comunicao ao "ongo da #+? pode ser criptogra!ada assegurando a Ycon!idencia"idadeY das in!orma9es. Os demais usuCrios no credenciados se*uer en1ergaro a rede departamenta". Im resumoB as #+?s podem-se constituir numa a"ternativa segura para a transmisso de dados atravs de redes pNb"icas ou privadasB uma veD *ue JC o!erecem recursos de autenticao e criptogra!ia com n$veis variados de seguranaB possibi"itando e"iminar os "in)s dedicados de "onga distSnciaB de a"tos custosB na cone1o de U ?s. IntretantoB em ap"ica9es onde o tempo de transmisso cr$ticoB o uso de #+?s atravs de redes e1ternas ainda deve ser ana"isado com muito cuidadoB pois podem ocorrer prob"emas de desempen,o e atrasos na transmisso sobre os *uais a organiDao no tem nen,um tipo de gerKncia ou contro"eB comprometendo a *ua"idade deseJada nos servios corporativos. deciso de imp"ementar ou no redes privadas virtuais re*uer uma anC"ise criteriosa dos re*uisitosB principa"mente a*ue"es re"acionados a seguranaB custosB *ua"idade de servio e !aci"idade de uso *ue variam de acordo com o negcio de cada organiDao. < * Conclus"o o !im deste traba",o percebemos *ue a segurana vem sendo uma das Creas de maior crescimento dentro da In!ormCticaB devido ao aumento de casos de invaso de sistemasB a"terao e roubo de dadosB YderrubarY um servidorB en!im todo tipo de Ycrime digita"Y. #imos tambm *ue tanto em um ambiente domstico como em um corporativo temo a necessidade de um n$ve" de seguranaB n$ve" este *ue serC dado atravs de uma criteriosa anC"ise dos dados e in!orma9es a serem resguardados.

&ontudo como sendo o proJeto de um sistema seguro um proJeto de engen,ariaB este deve ser e1ecutado e posteriormente administrado com competKncia sem neg"igenciar os ponto "evantadosB pois vemos *ue muitos proJetos !oram bem e"aboradosB contudo e1ecutados com enorme incompetKncia. I por N"timoB mas no menos importanteB a !igura de um administradorB *ue deve estar sempre ativo ao sistemaB Y"igadoY nas mais novas !ormas de invaso e destruio de dados e suas preven9esB e um administrador *ue saiba instruir seu pessoa"B seJa e"e at mesmo um simp"es usuCrio. '% * Bi5liografia: * Sites: &omitK gestor da Internet no 3rasi" ,ttpV22---.cg.org.br 0inu1 Securit< 3rasi" ,ttpV22---."inu1securit<.com.br 'picos Se"ecionados em Segurana &omputaciona" - R?3 ,ttpV22---.cic.unb.br2docentes2pedro2sdtopicos.,tm &riptogra!ia e Segurana de 7edes de &omputadores ,ttpV22---.redes.unb.br2securit<2 0oo) bit ,ttpV22---."oc)abit.coppe.u!rJ.br2 &omputer Imergenc< 7esponse 'eam - 7io Zrande do Su" ,ttpV22---.cert-rs.tc,e.br2outros.,tm" S ?S InstituteV In!ormation Securit< 7eading 7oom ,ttpV22rr.sans.org &isco ,ttpV22---.cisco.com &I7' &oordination &enter ,ttpV22---.cert.org In!orm I' ,ttpV22---.in!ormit.com * =i6ros: '$tu"oV &omputer ?et-or)s utorV ndre- S. 'anenbaum IditoraV +rentice Ha"" +'7

+ub"icaoV 1@@8 '$tu"oV ?et-or) Securit< in t,e @A[sV Issues and So"utions !or =anagers utorV ',omas U. =adron IditoraV Po,n Ui"e< ^ Sons +ub"icaoV 1@@2 '$tu"oV Segurana de 7edes - +roJeto e Zerenciamento de 7edes Seguras utorV ',omas . Uad"oIditoraV &ampus +ub"icaoV 2AAA '$tu"oV Segurana de 7edes em ambientes cooperativos utoresV Imi"io 'issato ?a)amura e +au"o 0$cio Zeus IditoraV 3er)e"e< +ub"icaoV 2AA2 '$tu"oV Segurana em In!ormCtica de In!orma9es utoresV &ar"os &aruso e ."avio 4en< Ste!!en IditoraV Senac +ub"icaoV 1@@@ '$tu"oV 3ui"ding Internet .ire-a""s utorV &,apman IditoraV O[7ei""< +ub"icaoV 1@@6 '$tu"oV Hac)ers I1postos /Segredos e so"u9es para a segurana de redes5 utoresV Zeorge ;urtD B Stuart =c&"ure e Poe" Scambra< IditoraV =a)ron 3oo)s +ub"icaoV 2AAA '$tu"oV Segurana 'ota" /protegendo-se contra os Hac)ers5 utorV O"avo Pos nc,eesc,i Zomes IditoraV =a)ron 3oo)s +ub"icaoV 2AAA