Capitulo 4 Protocolos de Segurança Parte 2

Segurana na Web
Cap. 4: Protocolos de Segurana Parte 2
Prof. Roberto Franciscatto

4 Free
Semestre
- TSITemplates
- CAFW
Powerpoint
Page 1
Cap. 4: Protocolos de Segurana

Parte 2
Protocolo de Segurana
Sistemas Free/Open Source
Exerccio:
No ambiente Linux, atravs do software GPG:
Criar as chaves
Exportar e importar chaves
Assinando um arquivo qualquer
Ler o contedo do arquivo
Free Powerpoint Templates
Page 2

Parte 2
Exerccio 2
Via Linux, realizar a seguinte tarefa, atravs do
programa md5sum:
inserir um hash md5 no arquivo /home/cafw/doc.txt
criar o arquivo de hash
verificar a integridade do arquivo
relatar as mudanas ocorridas
Page 3

Parte 2
Assuntos que sero abordados nesta aula:
L2TP
IPSec
SSH (Estudo de Caso - Completo)
Page 4

Parte 2
L2TP
O que ?
Layer 2 Tunneling Protocol
Protocolo para Tunelamento na Camada de
Rede
Pode ser definido como: um mtodo para tunelamento
para quadros PPP atravs de uma rede de comutao de
pacotes
Page 5

Parte 2
L2TP
O L2TP fornece:
flexibilidade e escalabilidade do IP,
permitindo que servios de rede sejam
enviados em redes roteadas IP.
As decises so tomadas nas terminaes
dos tneis ou VPNs, e comutadas sem a
necessidade de processamento nos ns
intermedirios.
Page 6

Parte 2
L2TP
Vantagens do L2TP
permite o transporte de protocolos que no
o IP (outros protocolos dos terminais);
mecanismo simples de tunelamento para
implementar funcionalidades de LAN e IP de
forma transparente
possibilitando servios de VPN IP de forma
bastante simples;
Page 7

Parte 2
L2TP
Vantagens do L2TP
simplifica a interao entre as redes do
cliente e do provedor;
fcil configurao para o cliente.
Page 8

Parte 2
L2TP
Funcionamento do L2TP
Page 9

Parte 2
L2TP
Cabealhos L2TP
Page 10

Parte 2
L2TP (Cabealhos L2TP)
Identificador do tnel: identifica o tnel no sistema
que desencapsula o pacote.
Cookie: uma assinatura contendo 8 octetos, que
compartilhada entre as duas extremidades do tnel L2TP.
Este cookie reduz as chances de que dois trfegos
sejam misturados aps o desencapsulamento devido a
erros de configurao;
as assinaturas nos roteadores de origem em destino
devem coincidir, ou os dados sero descartados.
Page 11

Parte 2
IPSec
visa a ser o mtodo padro para o fornecimento de
privacidade, integridade e autenticidade das informaes
transferidas atravs de redes IP.
Page 12

Parte 2
IPSec
Ex.: compartilhamento da rede interna de uma empresa
Page 13

Parte 2
IPSec
IPSec no o mecanismo de encriptao ou
autenticao, mas sim o que vem gerenciar estes.
Pode ser definido como um framework (um conjunto de
diversas ferramentas, compondo um sistema) de padres
abertos que visa a garantir uma comunicao segura em
redes IP.
Page 14

Parte 2
IPSec
O IPSec implementa encriptao e autenticao na
camada de rede
fornecendo uma soluo de segurana fim-a-fim, ao
contrrio da anterior (enlace), que ponto-a-ponto.
O IPSec pode ser implementado nos roteadores ou no
sistema operacional dos terminais, assim os aplicativos
no precisam de alteraes para poder utilizar
comunicaes seguras.
Page 15

Parte 2
IPSec
Como os pacotes encriptados tm o mesmo formato de
pacotes IP comuns
eles podem ser roteados sem problemas em
qualquer rede IP, e sem qualquer alterao nos
equipamentos de rede intermedirios.
Os nicos dispositivos de rede que precisam ser
alterados so os do incio e fim das comunicaes IPSec,
reduzindo assim os custos de implementao e
gerenciamento.
Page 16

Parte 2
IPSec
Ex.: encriptao na camada de enlace, rede e aplicao
Page 17

Parte 2
IPSec
Modos de Operao
Cabealho genrico para o modo de transporte

Page 18

Parte 2
IPSec
Modos de Operao
Exemplo de um cabealho do modo tnel

Page 19

Parte 2
SSH (Estudo de caso)
O SSH ou Secure Shell, pode ser simultaneamente um
programa de computador e um protocolo de rede que
permite a conexo com outro computador na rede, de
forma a executar comandos de uma unidade remota.
Possui as mesmas funcionalidades do TELNET, com a
vantagem da conexo entre o cliente e o servidor ser
criptografada.
Page 20

Parte 2
Vantagens em se utilizar SSH:
nfase na segurana
mesmo que a rede local esteja comprometida voc
pode acessar de forma segura
utiliza um conjunto de tcnicas de criptografia
so previstas respostas para vrios tipos de ataques
conhecidos
Page 21

Parte 2
Vantagens em se utilizar SSH (continuao):
O SSH detecta casos em que o servidor tenha sido
substitudo por outra mquina
situaes nas quais se tenta injetar dados na
conexo
Page 22

Parte 2
Vantagens em se utilizar SSH (continuao):
A idia central que, mesmo em situaes onde
seja fcil interceptar a transmisso (como no caso de
uma rede wireless pblica),
seja impossvel descobrir o contedo dos
pacotes, devido encriptao.
possvel ainda, utilizar um par de chaves em
vez de uma senha como forma de autenticao.
Page 23

Parte 2
O SSH utiliza chaves assimtricas para fazer a
autenticao.
Uma (a chave pblica), permite apenas encriptar
dados, enquanto a segunda (a chave privada) permite
desencriptar as informaes embaralhadas pela
primeira.
Quando voc se conecta a um servidor SSH, seu micro e
o servidor trocam suas respectivas chaves pblicas,
permitindo que um envie informaes para o outro de
forma segura.
Page 24

Parte 2
No SSH tudo feito utilizando chaves de 512 bits ou
mais (de acordo com a configurao).
O problema que, embora virtualmente impossvel de
quebrar, este nvel de encriptao demanda um volume
muito grande de processamento.
Problema ???
Page 25

Parte 2
Para solucionar este problema, depois de fazer a
autenticao, o SSH passa a utilizar um algoritmo mais
simples (que demanda muito menos processamento) para
transmitir os dados.
Por padro utilizado o 3DES (triple-DES), que utiliza uma
combinao de trs chaves DES, de 64 bits cada.
As chaves so trocadas periodicamente durante a conexo, o
que torna o sistema quase impossvel de quebrar.
Isso garante uma boa relao entre segurana e

desempenho. Free Powerpoint Templates
Page 26

Parte 2
SSH (Colocando em funcionamento...)
SSH dividido em dois mdulos:
sshd mdulo servidor

ssh mdulo cliente
Instalar o SSH no servidor
apt-get install openssh-server
Iniciar o servidor
/etc/init.d/ssh start
Page 27

Parte 2
Dicas importantes:
Liberar a porta 22 (padro SSH)
Mquinas clientes devem ter o pacote openssh-client
Configurao do servidor em: "/etc/ssh/sshd_config
Configurao do cliente em: "/etc/ssh/ssh_config"
Page 28

Parte 2
Outras distribuies do SSH:
Tectia
SunSSH
OpenSSH (usado neste estudo de caso)
Page 29

Parte 2
Logando via cliente SSH
ssh usuario@ip_do_servidor
ssh l usuario ip_do_servidor
ssh usuario@dominio.com.br
Page 30

Parte 2
Configurao do cliente SSH
Rodar alicativos grficos remotamente

Editar /etc/ssh/ssh_config (no cliente) e
substituir a linha ForwardX11 no por:
ForwardX11 yes
Ou logar com o X habilitado:
Ex.: ssh X usuario@ip_do_servidor
Page 31

Parte 2
Compresso de dados
Habilitar a linha:
Compression = yes
ou logar da seguinte forma:
ssh C usuario@ip_do_servidor
Page 32

Parte 2
Problema
conexo ser fechada pelo servidor depois de
alguns minutos de inatividade...
Soluo
Habilitar a opo ServerAliveInterval
definindo um valor em segundos (padro 120)
Page 33

Parte 2
Configurao do servidor SSH
Editar arquivo /etc/ssh/sshd_config

Porta = (Port 22)
Controle de Acesso (ListenAddress 192.168.0.1)
Usurios e Senhas
(PermitRootLogin yes)
(AllowUsers joao maria)
(DenyUsers fulano ciclano)
(PermitEmptyPasswords
no)
Page 34

Parte 2
Configurao do servidor SSH
Editar arquivo /etc/ssh/sshd_config

Banner = (Banner = /etc/ssh/banner.txt)
X11 Forwarding = (X11Forwarding yes)
SFTP = (Subsystem sftp /usr/lib/sftp-server)
Page 35

Parte 2
Exerccio (em duplas)
Configurar um servidor usando o OpenSSH. Uma

mquina o servidor a outra o cliente que vai se
conectar
O cliente deve fazer conexes tanto em modo texto
quanto interface grfica, bem como tunelamento
quando achar necessrio.
O cliente deve se logar via ssh, sftp (no linux) e via
putty e filezilla no windows.
Page 36

Parte 2
Exerccio (em duplas)
J o servidor deve aceitar conexes vindas somente

da rede interna e somente do usurio do cliente. No
deve aceitar conexes como root e deve permitir
conexes do tipo SFTP.
Ainda faa upload de arquivos do cliente para o
servidor e download no processo inverso
O servidor no deve permitir senhas de login em
branco, deve ainda deixar uma mensagem
Powerpoint
personalizadaFree
ao usurio
noTemplates
momento do login. Page 37

Capitulo 4 Protocolos de Segurança Parte 2

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Capitulo 4 Protocolos de Segurança Parte 2

Enviado por

Direitos autorais:

Formatos disponíveis

Segurana na Web

Cap. 4: Protocolos de Segurana Parte 2

Prof. Roberto Franciscatto

Cap. 4: Protocolos de Segurana

Cap. 4: Protocolos de Segurana

Cap. 4: Protocolos de Segurana

Free Powerpoint Templates

Cap. 4: Protocolos de Segurana

Cap. 4: Protocolos de Segurana

Cap. 4: Protocolos de Segurana

Cap. 4: Protocolos de Segurana

Free Powerpoint Templates

Cap. 4: Protocolos de Segurana

Free Powerpoint Templates

Cap. 4: Protocolos de Segurana

Free Powerpoint Templates

Cap. 4: Protocolos de Segurana

Cap. 4: Protocolos de Segurana

Free Powerpoint Templates

Cap. 4: Protocolos de Segurana

Free Powerpoint Templates

Cap. 4: Protocolos de Segurana

Free Powerpoint Templates

Cap. 4: Protocolos de Segurana

Cap. 4: Protocolos de Segurana

Cap. 4: Protocolos de Segurana

Free Powerpoint Templates

Cap. 4: Protocolos de Segurana

Cabealho genrico para o modo de transporte

Cap. 4: Protocolos de Segurana

Exemplo de um cabealho do modo tnel

Cap. 4: Protocolos de Segurana

Free Powerpoint Templates

Cap. 4: Protocolos de Segurana

Cap. 4: Protocolos de Segurana

Free Powerpoint Templates

Cap. 4: Protocolos de Segurana

Cap. 4: Protocolos de Segurana

Cap. 4: Protocolos de Segurana

Free Powerpoint Templates

Cap. 4: Protocolos de Segurana

Isso garante uma boa relao entre segurana e

Cap. 4: Protocolos de Segurana

sshd mdulo servidor

Free Powerpoint Templates

Cap. 4: Protocolos de Segurana

Free Powerpoint Templates

Cap. 4: Protocolos de Segurana

Free Powerpoint Templates

Cap. 4: Protocolos de Segurana

Free Powerpoint Templates

Cap. 4: Protocolos de Segurana

Rodar alicativos grficos remotamente

Cap. 4: Protocolos de Segurana

Cap. 4: Protocolos de Segurana

Cap. 4: Protocolos de Segurana

Editar arquivo /etc/ssh/sshd_config

Cap. 4: Protocolos de Segurana

Editar arquivo /etc/ssh/sshd_config

Free Powerpoint Templates

Cap. 4: Protocolos de Segurana

Configurar um servidor usando o OpenSSH. Uma

Cap. 4: Protocolos de Segurana

J o servidor deve aceitar conexes vindas somente