Você está na página 1de 58

SEGURANA EM REDES DE COMPUTADORES

SUMRIO
INTRODUO CRIPTOGRAFIA VULNERABILIDADES EM SISTEMAS DISTRIBUIDOS REDES LOCAIS E DE GRANDE ESCALA FIREWALLS SISTEMAS DE DETECO DE INTRUSO

SUMRIO
INTRODUO CRIPTOGRAFIA VULNERABILIDADES EM SISTEMAS DISTRIBUDOS REDES LOCAIS E DE GRANDE ESCALA FIREWALLS SISTEMAS DE DETECO DE INTRUSO

REAS DE SEGURANA
DEFESA CONTRA CATSTROFES NATURAIS DEFESA CONTRA FALHAS PREVISVEIS DEFESA CONTRA ACTIVIDADES NO AUTORIZADAS

DEFESA CONTRA CATSTROFES NATURAIS


CATSTROFES AMBIENTAIS: TERRAMOTOS, INCNDIOS, INUNDAES, ... CATSTROFES POLTICAS: ATAQUES TERRORISTAS, MOTINS, ... CATSTROFES MATERIAIS: PERDA/ROUBO DE MATERIAL INFORMTICO, DEGRADAO DOS EQUIPAMENTOS, ...

DEFESA CONTRA FALHAS PREVISVEIS


QUEBRAS DE ENERGIA ELCTRICA BLOQUEIO DE APLICAES FALHAS DE CONECTIVIDADE EM TROOS DE REDE

DEFESA CONTRA ACTIVIDADES NO AUTORIZADAS


ACESSO INFORMAO CONFIDENCIAL ALTERAO DA INFORMAO UTILIZAO ABUSIVA DOS RECURSOS IMPEDIMENTO DA PRESTAO DO SERVIO VANDALISMO

ATAQUES COMUNS SEGURANA


DERIVAO NOS CABOS PERSONIFICAO DENIAL OF SERVICE (DOS) SUBSTITUIO DE MENSAGENS DESCOBERTA DE PASSWORDS DESCOBERTA DE CHAVES DE ENCRIPTAO VRUS

SOLUES PARA OS PROBLEMAS DE SEGURANA


ENCRIPTAO DOS DADOS AUTENTICAO POR ASSINATURAS DIGITAS AUTORIZAO VERIFICAO DA INTEGRIDADE DAS MENSAGENS CDIGOS DE AUTENTICAO DAS MENSAGENS NO REPDIO ONE TIME PASSWORD (OTP) REFRESCAMENTE FREQUENTE DAS CHAVES DE ENCRIPTAO MSCARA DOS ENDEREOS

REALIZAO DAS ACES DE SEGURANA


FILTRO IP NAT IPSEC SOCKS SECURE SHELL (SSH) SECURE SOCKET LAYER (SSL) PROXIES DE APLICAO FIREWALLS SISTEMAS DE AUTENTICAO TRANSACES ELECTRNICAS SEGURAS (SET)

SEGURANA NOS NVEIS TCP/IP


Kerberos S-MIME Aplicao Proxies SET IPSec TCP / UDP SOCKS SSL, TLS IPSec IP Packet Filtering Tunneling Protocols Interface de Rede HTTPS IMAPS POPS SSH

CHAP, PAP, MS-CHAP

POLTICAS DE SEGURANA DE REDES


Definio dos Servios Permitidos Definio dos Servios Negados Excepes s Regras Regras do Firewall: Tudo o que no permitido negado ou Tudo o que no negado permitido

SUMRIO
INTRODUO CRIPTOGRAFIA VULNERABILIDADES EM SISTEMAS DISTRIBUDOS REDES LOCAIS E DE GRANDE ESCALA FIREWALLS SISTEMAS DE DETECO DE INTRUSO

CRIPTOGRAFIA
KRYTHOS (OCULTO) + GRAPH (ESCREVER)
ALGORITMO DE CIFRA TEXTO EM CLARO ALGORITMO DE DECIFRA CRIPTOGRAMA

BASTO DOS ESPARTANOS CIFRA DE CSAR (ADITIVA)

TIPOS DE CIFRA
TRANSPOSIO EX: AVANO DE LETRAS DO ALFABETO BLOCOS VERTICAIS SUBSTITUIO MONO / POLI ALFABETOS CRIPTO-LETRA= (LETRA + (X) CHAVE) (CHAVE UM N) MOD #ALFABETO CRIPTO-LETRA = (LETRA X CHAVE1) + CHAVE2 MOD #ALFABETO

TIPOS DE CIFRA
SUBSTITUIO MONO ALFABETO EX: FRASE CHAVE: ELES NO SABEM NEM SONHAM LETRA CHAVE: H
(RETIRAR ESPAOS, PONTUAO E CARACTERES REPETIDOS)

ABCDEFGHIJKLMNOPQRSTUVWXYZ TUVWXYZELSNAOBMHCDFGIJKPQR FRASE: E L E S N A O S A B E M Q U E O S O N H O CRIPTA: X A X F B T M F T U X O C I X M F M B E M

SUBSTITUIO POLI ALFABETO EX VIGENERE

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

A A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

B B C D E F G H I J K L M N O P Q R S T U V W X Y Z A

C C D E F G H I J K L M N O P Q R S T U V W X Y Z A B

D D E F G H I J K L M N O P Q R S T U V W X Y Z A B C

E E F G H I J K L M N O P Q R S T U V W X Y Z A B C D

F F G H I J K L M N O P Q R S T U V W X Y Z A B C D E

G G H I J K L M N O P Q R S T U V W X Y Z A B C D E F

H H I J K L M N O P Q R S T U V W X Y Z A B C D E F G

I I J K L M N O P Q R S T U V W X Y Z A B C D E F G H

J J K L M N O P Q R S T U V W X Y Z A B C D E F G H I

K K L M N O P Q R S T U V W X Y Z A B C D E F G H I J

L L M N O P Q R S T U V W X Y Z A B C D E F G H I J K

M M N O P Q R S T U V W X Y Z A B C D E F G H I J K L

N N O P Q R S T U V W X Y Z A B C D E F G H I J K L M

O O P Q R S T U V W X Y Z A B C D E F G H I J K L M N

P P Q R S T U V W X Y Z A B C D E F G H I J K L M N O

Q Q R S T U V W X Y Z A B C D E F G H I J K L M N O P

R R S T U V W X Y Z A B C D E F G H I J K L M N O P Q

S S T U V W X Y Z A B C D E F G H I J K L M N O P Q R

T T U V W X Y Z A B C D E F G H I J K L M N O P Q R S

U U V W X Y Z A B C D E F G H I J K L M N O P Q R S T

V V W X Y Z A B C D E F G H I J K L M N O P Q R S T U

W W X Y Z A B C D E F G H I J K L M N O P Q R S T U V

X X Y Z A B C D E F G H I J K L M N O P Q R S T U V W

Y Y Z A B C D E F G H I J K L M N O P Q R S T U V W X

Z Z A B C D E F G H I J K L M N O P Q R S T U V W X Z

ORIGEM CHAVE CRIPTO

E L E S N A O S A B E M Q U E O S O N H O P O E M A P O E M A P O E M A P O E M A P T Z I E N P C W M B T A U G E D G S Z H D

CRIPTOGRAFIA

CHAVE

CHAVE

+
MENSAGEM

CRIPTOGRAMA

+
MENSAGEM

CRIPTOGRAFIA
CRITRIO DE QUALIDADE DA CIFRA SECRETISMO (TEMPO TIL VS TEMPO DE QUEBRA) DIMENSO DA CHAVE (TRANSMISSO E
SALVAGUARDA DA CHAVE)

SIMPLICIDADE DE UTILIZAO PROPAGAO DE ERROS DIMENSO DO CRIPTOGRAMA

CRIPTOGRAFIA
CIFRAS MODERNAS: USAM DADOS, CHAVES E LGICA BINRIA CIFRA POR BLOCOS (MONOALFABETOS) CIFRA CONTNUA (MULTIALFABETOS) CHAVES: SIMTRICAS ASSIMTRICAS

CRIPTOGRAFIA
CHAVES SIMTRICAS VANTAGENS: MAIS EFICIENTES DESVANTAGENS: N DE CHAVES CRESCE COM O QUADRADO DOS ENVOLVIDOS DISTRIBUIO SEGURA DAS CHAVES

CRIPTOGRAFIA
CHAVES ASSIMTRICAS
1 CHAVE PARA DESENCRIPTAR 1 CHAVE PARA ENCRIPTAR RELACIONADA PARES DE CHAVE PBLICA E CHAVE PRIVADA VANTAGENS: MENOS CHAVES (UM PAR POR ENTIDADE) DESVANTAGEM: MENOS EFICIENTE

CRIPTOGRAFIA
CIFRA SIMTRICA POR BLOCOS
Bloco(bits) DES CAST IDEA Blowfish AES *** RC5 64 64 64 64 128, 192 ou 256 varivel Chave(bits 56 64 128 Varivel at 448 128, 192 ou 256 varivel Iteraes internas 16 8 8 16 10, 12 ou 14 varivel

*** eficientes em processadores de 8 (cartes), 32 ou 64 bits adoptado 2002

CRIPTOGRAFIA
CIFRA SIMTRICA CONTNUA Chave (bits) 64 40 2048 160

A5 RC4 SEAL
A5 comunicaes GSM

RC4 no pblico, vendido pela RSA Security Inc

CRIPTOGRAFIA
CIFRA ASSIMTRICA POR BLOCOS ALGORITMO MAIS UTILIZADO: RSA DE CHAVE DE COMPRIMENTO VARIVEL (200 BITS MIN)
CHAVE PRIVADA JOO CHAVE PBLICA JOO

+
MENSAGEM JOO

CRIPTOGRAMA

+
MENSAGEM MARIA

CRIPTOGRAFIA
CDIGOS AUTENTICADOR DE MENSAGENS (MAC)

mensagem

mensagem

MAC CHAVE MAC RECEBIDO MAC = ? SIM? OK CHAVE

NO? ALTERAO DO CONTEDO

CRIPTOGRAFIA
CIFRA AUTENTICADA: MAC AUTENTICA MENSAGEM CIFRADA MSG CLARO ->MAC ENVIO MAC CLARO + MSG CRIPT MSG CLARO -> MAC ENVIO MAC CRIPT + MSG CRIPT MSG CRIPT-> MAC ENVIO MAC CLARO + MSG CRIPT

SSH

SSL

VPN

CRIPTOGRAFIA
Assinaturas digitais: garantir a autoria Criptografia assimtrica MAC com a chave privada

Problema: distribuio e gesto das chaves pblicas

CRIPTOGRAFIA
PGP: Pretty Good Privacy 2 chaveiros: para a chave privada (secring.skr) Para as chaves pblicas (pubring.skr)

CRIPTOGRAFIA
Autenticao do remetente
Rementente: chave privada prpria Destinatrio: chave publica do remetente

CRIPTOGRAFIA
Secretismo da mensagem
Remetente: chave pblica do destinatrio Destinatrio: chave privada prpria

CRIPTOGRAFIA
Autenticao do remetente e Secretismo da mensagem
Remetente: chave pblica do destinatrio + chave privada prpria Destinatrio: chave privada prpria + chave pblica do remetente

SUMRIO
INTRODUO CRIPTOGRAFIA VULNERABILIDADES EM SISTEMAS DISTRIBUIDOS REDES LOCAIS E DE GRANDE ESCALA FIREWALLS SISTEMAS DE DETECO DE INTRUSO

VULNERABILIDADES EM SISTEMAS DISTRIBUDOS


Identificao do sistema operativo: Banners nos servidores IP Finguerprinting: pilha IP (nmap e ring) Inventariao de servios activos

Portos tcp: envio de pedidos SYN ou FIN Portos udp (mais difcil no h resposta) Deficincias de Administrao Cenrios absurdos !!!

VULNERABILIDADES EM SISTEMAS DISTRIBUDOS


Land attack: mesmo porto e IP de origem e destino entra em ciclo -> firewall Teardrop attack: confuso nos incios dos segmentos dos pacotes IP - crash -> firewall Sobre fragmentao Ping of Death - crash SYN flooding: excessivas pedidos de ligaes TCP sem ACK

SUMRIO
INTRODUO CRIPTOGRAFIA VULNERABILIDADES EM SISTEMAS DISTRIBUIDOS REDES LOCAIS E DE GRANDE ESCALA FIREWALLS SISTEMAS DE DETECO DE INTRUSO

REDES LOCAIS E DE GRANDE ESCALA


Levantamento da arquitectura da rede Servidor DNS !!! personificao de servios ou mquinas Uso de nomes enganadores (whitehouse.org vs whitehouse.gov) DNS Spoofing: envenenamento da cache do DNS MAC spoofing: DHCP falso

REDES LOCAIS E DE GRANDE ESCALA


Confidencialidade de interaco entre redes Kerberos HTTPS
S-MIME Aplicao Proxies SET TCP / UDP IPSec SOCKS SSL, TLS IPSec IP Packet Filtering Tunneling Protocols CHAP, PAP, MS-CHAP IMAPS POPS SSH

Interface de Rede

REDES LOCAIS E DE GRANDE ESCALA


Captura de Passwords: Uso de passwords nicas (one time password OTP) Desafio e resposta: s o receptor sabe a resposta (MS-CHAP, cartes SIM telemovel) Credenciais cifradas com pw pessoais (domnio windows 2000) PROBLEMA: ataques com diccionrios

REDES LOCAIS E DE GRANDE ESCALA


Captura em redes sem fios (GSM, GPRS, UMTS, 802.11, DECT, Bluetooth, IRDa, ...) Impossvel limitar o acesso fsico rede

SOLUO: cifra de contedos....

REDES LOCAIS E DE GRANDE ESCALA


Redes 802.11 (Wireless LAN) Comunicao AP mvel de 2 tipos: Mensagens de controlo no confidencial Mensagens de dados wep (wired equivalente privacy) WEP: chave pr partilhada cifra contnua RC4 Problema: a chave sempre a mesma !!!

SUMRIO
INTRODUO CRIPTOGRAFIA VULNERABILIDADES EM SISTEMAS DISTRIBUDOS REDES LOCAIS E DE GRANDE ESCALA FIREWALLS SISTEMAS DE DETECO DE INTRUSO

FIREWALLS

FIREWALLS
OBJECTIVOS: Proteco por isolamento de mquinas Controlo de interaces entre mquinas Definio de regras e aplicaes
Redes Perigosas

Permetro Protegido

FireWall

FIREWALLS
Componentes de uma FireWall
Filtros Gateway DeMilitarized Zone (DMZ)

DMZ IN
Permetro Protegido

OUT Filtro Gateway Filtro


Redes Perigosas

FIREWALLS
DMZ: Servidores pblicos
Correio electrnico HTTP FTP NEWS

Filtros: aplicam regras sobre portos TCP/UDP Gateway: aplica regras de encaminhamento

FIREWALLS
NAT (Network Address Translation) PAT (Port Address Translation) NAPT (Network Address and Port Translation) Encapsulamento (tunneling)

Vantagens
Impedir visibilidade exterior (IP masquerading) Impedir visibilidade dos servios (port forwarding)

FIREWALLS
Modelo de interveno:
Filtro de datagramas (packet filter) Filtro aplicacional (application gateway) Filtro de circuitos (circuit gateway)

FIREWALLS
Filtro de datagramas (packet filter)
Endereo IP (de origem ou destino) Protocolos e portos de transporte Sentido da criao de circuitos virtuais Operaes ICMP (ping, tracert, ...) Opes do cabealho IP

Fceis de realizar, sensveis a alguns ataques (fragmentao IP)

FIREWALLS
Filtro aplicacional (application gateway)
Controlo de acesso de utilizadores Anlise e alterao de contedos Registo de operaes

FIREWALLS
Filtro de circuitos (circuit gateway)
Redireccionamento de circuitos Balanceamento de trfego Autorizao de circuitos virtuais

FIREWALLS
Servios oferecidos:
Autorizao Controlo de operao e contedos Redireccionamento Comunicao segura Proteco contra ataques prestao de servios Ocultao de sistemas

SUMRIO
INTRODUO CRIPTOGRAFIA VULNERABILIDADES EM SISTEMAS DISTRIBUDOS REDES LOCAIS E DE GRANDE ESCALA FIREWALLS SISTEMAS DE DETECO DE INTRUSO

SISTEMAS DE DETECO DE INTRUSO


Intrusion Detection Systems (IDS)
Detectar e contrariar intruses Alarmstica

Ex. Tripwire, Snort Intruso:


Conjunto de aces para comprometer a integridade, confidencialidade ou disponibilidade de um recurso, executando um ou mais ataques

SISTEMAS DE DETECO DE INTRUSO


Defesa contra intruso
Coleccionar dados (assinaturas) Registo dos comportamentos anmalos Reporte desses comportamentos

Aces :
Reforo da segurana Correco das falhas Potes de mel (honeypots)

SISTEMAS DE DETECO DE INTRUSO


Classificao dos IDS Mtodo de deteco:
Baseada em conhecimento Baseada em comportamento

Fontes de eventos
Mquinas Redes Hibridos

Instantes de deteco
Tempo real posteriori

Reactividade
Activos Passivos

Tipo de anlise
Singular Cooperativa

SISTEMAS DE DETECO DE INTRUSO


Limitaes
Ambientes diversificados (falsos positivos) Escalabilidade Falta de taxionomia universal

Evoluo: Sistemas de Preveno de Intruso (IPS)

OBRIGADO
Teles Rodrigues vteles@est.ips.pt