FUMEC - Fundao Mineira de Educao e Cultura Mdulo: Segurana de Redes Professor: Mrcio H. C. d'vila Data: 03 de maio de 2001 Valor: 10 (% do total do mdulo) Data de Devoluo: 14/05/01, Segunda-feira Trabalho em Grupo: at 5 alunos Objetivo: Levantamento e anlise crtica dos aspectos prticos da importncia e indicadores de segurana, vulnerabilidades, ameaas, ataques e medidas. Este trabalho consiste em: 1. fazer uma pesquisa de levantamento de indicadores de segurana da informao em redes corporativas e computadores pessoais; 2. preparar um relatrio apresentando de forma clara e representativa os dados colhidos, se possvel apresentado tambm critrios e fontes de pesquisa; 3. complementar os dados do relatrio escrevendo uma anlise crtica dos resultados, incluindo as expectativas, opinies e concluses dos participantes do grupo e tomando como base comparativa a 6 Pesquisa Nacional sobre Segurana da Informao (Mdulo, Brasil, 2001) e, se for o caso, do Computer Crime and Security Survey (CSI/FBI, EUA, 2001). Os dados a serem pesquisados se dividiro em dois tpicos: Segurana em computadores pessoais: entrevistar os participantes do grupo e outros usurios de computador, excludos participantes de outros grupos, totalizando pelo menos 8 pessoas. Segurana em redes corporativas: levantar dados em pelo menos 1 empresa (estudo de caso). Os itens de pesquisa devem abordar pelo menos os seguintes aspectos: Segurana em computadores pessoais o Conscientizao: preocupaes, ameaas, ataques e medidas (preveno e providncias). o Vrus: contaminaes, uso e atualizao de anti-virus. o E-mail: anexos, SPAM. o Software: atualizao e uso de sistema operacional, browser, outros programas de internet, programas de segurana. o Backup: cpias de segurana, freqncia e mtodos. o Uso compartilhado do computador: controle de acesso, privacidade. Segurana em redes corporativas o Conscientizao: preocupaes, vulnerabilidades, ameaas, ataques, perdas. o Investimento em segurana: medidas de preveno e manuteno, providncias, limitaes. o Vrus: contaminaes, uso e atualizao de anti-virus. o E-mail: anexos, SPAM, acesso externo/remoto, monitoramento e sigilo. o Software: atualizao e uso de sistema operacional, browser, outros programas de internet, programas de segurana; pirataria. o Backup: cpias de segurana, freqncia e mtodos. o Usurios: senhas, controle de acesso, privacidade. o Internet e Intranet: usos, acesso interno e remoto, restries, abusos. o Polticas e procedimentos de segurana. Os trabalhos sero avaliados pelos seguintes critrios: adequao de objetivos; representatividade dos tpicos escolhidos e dados; contedo da anlise crtica e comparativa.
Trabalho Prtico 2 Conhecendo o PGP FUMEC - Fundao Mineira de Educao e Cultura Mdulo: Segurana de Redes Professor: Mrcio H. C. d'vila Data: 28 de maio de 2001 Valor: 3,5 pontos Data de Devoluo: 05/06/01, Tera-feira (-1 ponto por dia de atraso) Trabalho Individual Objetivo: Conhecer e utilizar o PGP, a mais popular ferramenta de segurana e privacidade pessoal para e-mail, computadores e redes. Este trabalho consiste em realizar uma pequena demonstrao de uso do software de segurana e privacidade pessoal PGP - Pretty Good Privacy - para comunicaes seguras por e-mail, entre cada aluno e o professor. As tarefas a serem realizadas consistem no seguinte: 1. Obter uma cpia do PGP verso 6.5.8 ou mais recente (7.0.x), que um software gratuito para uso pessoal. Para download do PGP para Windows (ou outra plataforma), deve-se acessar um destes sites: o PGPi - International PGP Home Page. o PGP International - Network Associates International (Win 9x/NT/2000: PGPFW703.zip).
2. Instalar o PGP em um computador no qual voc tenha acesso a sua conta de e-mail (seja localmente via POP ou IMAP, ou web-mail). 3. Criar uma nova chave PGP para o seu e-mail pessoal. Normalmente, o PGP j solicitao esta criao ao final da instalao. Se isto no ocorrer, abra o utilitrio "PGP Keys" (Windows); no menu "Keys" escolha "New Key". Eis as diretrizes para a criao da chave: a. Fornea seu nome completo. b. Fornea seu endereo de e-mail pessoal que ser utilizado nas comunicaes com o professor, para este trabalho. c. Escolha o tipo de par de chaves: "Diffie-Hellman/DSS". d. Escolha como tamanho de chave: 2048, 3072 ou 4096. Quanto maior a chave, mais lenta a execuo do programa. e. Escolha para durao da chave: "Never expires" (eterna). f. Escolha uma frase-passe que ser usada na senha de proteo de sua chave privada. g. Complete o processo de gerao do par de chaves pblica- privada. h. Se desejar, envie sua chave pblica para o servidor de chaves PGP, via Internet. Este envio opcional e no ser usado para este trabalho.
4. Importar a chave pblica do professor. Para tanto, faa download do seguinte arquivo, ou copie seu contedo: marcio_tp2.asc (2k) Formatos alternativos: mesmo arquivo como TXT (2k), marcio_tp2.zip (1k) Se for selecionada a opo de abrir o arquivo ASC diretamente do browser, no computador onde o PGP estiver instalado, automaticamente ser ativada a importao da chave pblica. O arquivo formato texto-puro e pode ser importado manualmente com o utilitrio PGP Keys, pela opo de menu "Keys" > "Import". Confira a chave pblica importada com as seguintes caractersticas: o Nome: Mrcio Henrique C. d'vila o E-mail: marcio.tp2@bol.com.br o Fingerprint Hexadecimal, que pode ser visualizado na janela de Propriedades da chave, com a opo "Hexadecimal" marcada: 4222 1403 880C 080A 88BC EF55 15B5 649A 640E 8279
5. Confirmada a chave pblica do professor, assin-la para torn-la vlida. No PGP Keys, selecione a chave do professor e escolha a opo "Key" > "Sign". 6. Na janela de propriedades da chave pblica do professor, definir o nvel de confiana como "Trusted" (todo direita). 7. Exportar para texto a sua chave pblica, que voc gerou inicialmente, para inclu-la em um e-mail destinado ao professor. Isto pode ser feito de vrias maneiras, no PGP Keys. Selecione a sua prpria entrada e use um destes procedimentos: o Envie para a rea de transferncia do Windows, com Ctrl+C ou "Edit" > "Copy". Com isto, o PGP copia a chave pblica em formato texto. Posteriormente bastar colar (Ctrl+V) este contedo com a chave pblica no texto do e-mail. o Arraste a entrada com seu nome, do PGP Keys para a janela de novo e-mail. Em alguns programas, como o Microsoft Outlook, esta operao inclui a chave pblica como anexo, e no diretamente no texto, o que no serve para o que precisaremos. Se o seu programa de e-mail incluir como anexo, exclua o anexo; esta maneira no poder ser usada. o Se as maneiras anteriores no funcionaram, sempre possvel exportar a chave pblica para arquivo texto: escolha "Key" > "Export" e salve o arquivo ASC, somente com a chave pblica (nomarque a opo de incluir a chave privada). Em seguida, abra o arquivo texto .asc (usando o Bloco de Notas ou similar), copie todo o contedo (Ctrl+C) para depois colar (Ctrl+V) no programa de e-mail.
8. Enviar sua chave pblica para o professor, por e-mail, conforme instrues a seguir. o Formato texto-puro. Por favor, no utilize formato HTML no e- mail. o Destinatrio: marcio.tp2@bol.com.br o Assunto: TP2 seu_nmero_de_matrcula O texto do e-mail deve conter o seguinte: o Seu nome completo o Seu nmero de matrcula da FUMEC o O fingerprint da sua chave pblica, em formato Hexadecimal, que voc copia da janela de propriedades da sua chave. o A sua chave pblica, que voc exportou como texto. No inclua o arquivo .asc como anexo. Coloque o contedo da chave pblica no texto do e-mail, aps as demais informaes. O PGP usa as marcas de incio (BEGIN) e fim (END) para reconhecer o contedo exato da informao. Por fim, resta o ltimo procedimento, antes de enviar: criptografar o e-mail com o PGP, usando a chave pblica do professor. Criptografe todo o texto do e-mail (nome, matrcula, fingerprint e chave). Existem duas maneiras de realizar isto. o A maneira geral copiar todo o texto do e-mail (Ctrl+C), selecionar no menu de acesso do PGP (o cadeado na barra de sistema do Windows) "Clipboard" > "Encrypt", escolher como destinatrio da criptografia apenas o professor, e por fim colar o resultado criptografado de volta (Ctrl+C), substituindo o contedo do e-mail pelo resultado criptografado. O PGP coloca o resultado da criptografia de volta na prpria rea de transferncia do Windows. o Nos programas de e-mail para os quais o PGP instala plugin, como Microsoft Outlook e Eudora, esta operao pode ser realizada de maneira simplificada com o boto "Encrypt (PGP)" que foi adicionado na janela do e-mail pelo plugin.
Observao: Quem utiliza sites de webmail pode ter problemas em incluir o texto criptografado do PGP na sua forma integral, na caixa de texto de formulrio destinada a escrever a mensagem, podendo ocorrer quebras de linha indevidas. Em caso de problemas, realize todo os procedimentos acima em um programa de texto como o Bloco de Notas, salve o resultado criptografado em arquivo e inclua apenas este arquivo TXT como anexo no e-mail para o professor. 9. Aps enviado o e-mail, voc receber to logo quanto possvel, atravs do seu e-mail pessoal usado para enviar a mensagem, uma confirmao de que sua chave foi recebida corretamente pelo professor junto com instrues para uma pequena tarefa final. Este e-mail de resposta estar assinado pela chave privada do professor. Se a chave pblica do aluno tiver sido recebida com sucesso, a tarefa estar criptografada com chave pblica do aluno. Caso contrrio, o aluno ser notificado do problema e dever re-enviar sua chave pblica o mais rpido possvel. 10. Aguardar o recebimento da confirmao e das instrues e executar a tarefa final. A tarefa final tambm ser devolvida ao professor via Internet. Observaes: O prazo de concluso deste trabalho ser considerado pela data de recebimento eletrnico do cumprimento da tarefa final. Como voc deve ter percebido, o professor criou uma conta de e-mail e chave PGP exclusivamente para este trabalho prtico. No utilize o e- mail e chave PGP pessoais do professor. Eles no sero aceitos neste trabalho.
Exerccio de Reviso em Aula FUMEC Mdulo: Segurana de Redes - Cincia da Computao Prof.: Mrcio H. C. dvila Data: 23 de Maio de 2001 Valor: 10 (% do total de pontos do mdulo) = 1,25 por questo. Extra: 1,25 pela presena
Nas questes dissertativas, procure ser sucinto e focar a questo fundamental de cada tpico.
1. Comente 2 dados de destaque nas estatsticas sobre segurana no Brasil e nos EUA. 2. Explique com suas palavras por que os seguintes modelos de segurana so frgeis: a. Obscuridade b. Perimetral 3. Mostre a presena do aspecto humano nas origens de vulnerabilidade em sistemas de segurana. E em qual tipo de ataque o fator humano mais marcante? A criptografia traz mtodos que podem garantir o sucesso de um projeto de segurana? 4. A ao de um hacker provavelmente consistir em uma seqncia de ataques, que podem ser divididos em 3 fases: a. Reconhecimento (coleta de informao) b. Acesso (caminho de invaso) c. Ao efetivamente danosa Enquadre cada um dos seguintes exemplos de ataque em uma ou mais destas 3 fases: o Back door o Port scanning o Spoofing (ex.: IP spoof) o Estouro de Pilha o Quebra de senha o Sniffing o Desfigurao de web site o War dialing 5. Compare as vantagens, desvantagens e o uso mais indicado das criptografias convencional e de chave-pblica. 6. Existe o algoritmo de criptografia totalmente seguro? Por que? Em que se baseia a segurana da criptografia? 7. O algoritmo DES inclui vrias operaes: . Mltiplas rodadas a. Permutao de bits b. Expanso e contrao de bits na funo F c. XOR com pedaos diferentes da chave Associe estas aes aos conceitos de confuso e difuso. 8. Em que consiste basicamente um certificado digital e por que a necessidade dele na criptografia de chave-pblica? (Extra: Valor 2) Em um sistema de chave-pblica RSA, voc intercepta uma cifra C = 10 enviada para um usurio cuja chave pblica { e = 5, n = 35 }. Qual a mensagem M?