Exercício - Segurança de Redes

1. CAMADA DE APLICAÇÃO

HTTPS (Hyper Text Transfer Protocol Secure):

O protocolo HTTPS fica na camada de Aplicação. Ele insere uma camada de

proteção na transmissão de dados entre seu computador e o servidor. Em sites com
endereço HTTPS, a comunicação é criptografada, aumentando significativamente a
segurança dos dados. É como se cliente e servidor conversassem uma língua que só as
duas entendessem, dificultando a interceptação das informações.
Com a crescente popularidade da internet, mais oportunidades são criadas para os
setores comerciais e não-comerciais. A maioria das pessoas não enviarão seus dados
confidenciais pela web a menos que saibam que as informações estarão seguras. Mas
mesmo que tenha uma conexão desse tipo ativa, é de extrema importância ficar atento para
tentativas de fraude. Há casos de phishing que levam o usuário para sites com HTTPS mas,
na verdade, é uma página errada – é criada uma conexão segura entre o usuário e um
servidor falso. Em outras situações, alguns sites imitam o símbolo de cadeado para atrair
desavisados, ou mesmo mudam o ícone do site para que quem usa e fornece os dados
acredite que está seguro.

DNSSec (Domain Name System Security Extensions):

É um padrão internacional que estende a tecnologia Domain Name System (DNS).

O que DNSSEC adiciona é um sistema de resolução de nomes mais seguro, reduzindo o
risco de manipulação de dados e domínios forjados. O mecanismo utilizado pelo DNSSEC é
baseado na tecnologia de criptografia que emprega assinaturas. DNSSEC utiliza um
sistema de chaves assimétricas. Isso significa que alguém com um domínio compatível com
DNSSEC possui um par de chaves eletrônicas que consistem em uma chave privada e uma
chave pública.
DNSSEC soluciona alguns problemas encontrados na atual tecnologia DNS. Falsas
informações DNS criam oportunidades para roubo de informações de terceiros ou alteração
de dados em diversos tipos de transações, como compras eletrônicas. Sem a tecnologia
DNSSEC, um ataque DNS com informação forjada é extremamente difícil de ser detectado
e na prática impossível de ser prevenido. O objetivo da extensão DNSSEC é assegurar o
conteúdo do DNS e impedir esses ataques validando os dados e garantindo a origem das
informações.
O DNSSEC realmente trabalha em uma camada bem baixa, dentro o mecanismo de
resolução de nomes da Internet. Um protocolo nada pode fazer contra ataques feitos nas
camadas de cima. Quanto mais alta a camada, quanto mais perto o mecanismo de
segurança estiver próximo do que efetivamente precisa ser protegido - como por exemplo o
caso do Internet Banking que são feitas transações financeiras - maior será a segurança
deste mecanismo.

PGP (Pretty Good Privacy):

 É um software de criptografia que fornece autenticação e privacidade criptográfica
para comunicação de dados. É frequentemente utilizado para assinar, encriptar e
descriptografar textos, e-mails, arquivos, diretórios e partições inteiras de disco e para
incrementar a segurança de comunicações via e-mail. O PGP pode, ainda, ser utilizado
como um sistema à prova de falsificações de assinaturas digitais permitindo, desta forma, a
comprovação de que arquivos ou e-mails não foram modificados.
O uso do software apenas garante que o dono do par de chaves realizou as
operações, e não que o par de chaves em questão pertence realmente a uma pessoa.

S/MIME (Secure/Multipurpose Internet Mail Extensions):

É uma tecnologia que permite criptografar e-mails. O S/MIME é baseado em

criptografia assimétrica para proteger seus e-mails contra acessos indesejados. Além disso,
ele permite assinar digitalmente seus e-mails para atestar que você é o remetente legítimo
da mensagem, tornando-se uma arma eficiente contra ataques de phishing.
Há pouco tempo foram descobertas vulnerabilidades no protocolo que podem
comprometer a criptografia, fazendo que assim, a confiabilidade e confidencialidade não
existam com 100% de segurança em relação ao uso desse protocolo de segurança.

2. CAMADA DE TRANSPORTE

TLS (Transport Layer Security):

É um protocolo de segurança projetado para fornecer segurança nas comunicações

sobre uma rede de computadores.[2] Várias versões do protocolo encontram amplo uso em
aplicativos como navegação na web, email, mensagens instantâneas e voz sobre IP (VoIP).
Os sites podem usar o TLS para proteger todas as comunicações entre seus servidores e
navegadores web. O protocolo TLS visa principalmente fornecer privacidade e integridade
de dados entre dois ou mais aplicativos de computador que se comunicam. Fornece
conexão privada, identidade das partes em comunicação e conexão confiável.
Atualmente, há três versões do protocolo TLS em uso: o TLS 1.0, 1.1 e 1.2. e o TLS
1.3. Fazer o uso de versões mais antigas pode afetar a integridade do protocolo, fazendo
disso uma vulnerabilidade.

SSL (Secure Socket Layer):

Ele permite que aplicativos cliente/servidor possam trocar informações em total

segurança, protegendo a integridade e a veracidade do conteúdo que trafega na Internet.
Tal segurança só é possível através da autenticação das partes envolvidas na troca de
informações. Embora o SSL atualmente seja um protocolo obsoleto, muitos servidores o
mantém habilitado por questões de compatibilidade com a máquina cliente que pode não
trabalhar com o TLS. Como os dois protocolos não inter-operam, muitas vezes o SSL é
utilizado no lugar do TLS.
Algumas vulnerabilidades encontradas no SSL são:
 ● O POODLE tem por objetivo forçar que a comunicação entre servidor e cliente seja
criptografada através do SSLv3, que possui brechas na sua implementação.
Pode-se dizer que a criptografia implementada no SSLv3 foi quebrada, logo, ao
forçar a utilização desse protocolo, o atacante consegue decifrar as mensagens que
trafegam do servidor para o cliente e vice-versa.
● O HeartBleed é uma falha na implementação do OpenSSL, que permite ao atacante
extrair informações trocadas entre o cliente e o servidor, do servidor. Dentre essas
informações, podem estar inclusas informações sobre senhas, contas, etc.

SSH (Secure Shell):

É um protocolo popular usado principalmente por usuários de Linux e Unix para se

conectar a partir de um computador para outro . O principal uso do SSH é estabelecer uma
conexão criptografada para que ninguém entre consegue ler o tráfego , especialmente para
itens sensíveis, tais como senhas. SSH também pode estabelecer túneis de dados
criptografados por baixo , que permitem que os usuários a encaminhar o tráfego , como a
saída de um programa gráfico para um servidor distante.
O SSH utiliza um conjunto de criptografia de chaves assimétricas onde, além de
uma chave pública que permite que todos possam criptografar os dados, existe uma chave
privada que apenas as máquinas que irão fazer a conexão possuem para poder
descriptografar os dados. Quando o usuário se conecta a um servidor SSH, seu host e os
servidores trocam suas chaves públicas, permitindo que um envie informações para o outro
de forma segura.
Algumas vezes atacantes conseguem burlar o protocolo SSH até por meio de força
bruta e acessar informações confidenciais.

3. CAMADA DE REDE

IPSec (IP Security Protocol):

É uma extensão do protocolo IP que visa a ser o método padrão para o fornecimento
de privacidade do usuário (aumentando a confiabilidade das informações fornecidas pelo
usuário para uma localidade da internet, como bancos), integridade dos dados (garantindo
que o conteúdo que chegou ao seu destino seja o mesmo da origem) e autenticidade das
informações ou garantia de que uma pessoa é quem diz ser, quando se transferem
informações através de redes IP pela internet.
IPsec mais flexível, como pode ser usado protegendo os protocolos TCP e UDP,
mas aumentando sua complexidade e despesas gerais de processamento porque não se
pode confiar em TCP (camada 4 do modelo OSI) para controlar a confiabilidade e a
fragmentação. O IPsec é parte obrigatória do IPv6, e opcional para o uso com IPv4. O
padrão foi projetado para ser indiferente às versões do IP, à distribuição atual difundida e às
implementações do IPv4.

4. CAMADA DE ENLACE
802.1X:

É um padrão IEEE para controle de acesso à rede com base em portas; faz parte do
grupo IEEE 802.1 de protocolos de redes de computadores. Provê um mecanismo de
autenticação para dispositivos que desejam juntar-se a uma porta na LAN, seja
estabelecendo uma conexão ponto-a-ponto ou prevenindo acesso para esta porta se a
autenticação falhar. É usado para a maioria dos Access points sem fio 802.11 e é baseado
no Protocolo de Autenticação Extensiva (EAP).

PPP (Point-to-Point Protocol):

É um protocolo de enlace de dados (camada 2) usado para estabelecer uma

conexão direta entre dois nós. Ele pode fornecer autenticação de conexão, criptografia de
transmissão (usando ECP, RFC 1968) e compressão. O PPP é usado sobre muitos tipos de
redes físicas incluindo cabo serial, linha telefônica, linha tronco, telefone celular, enlaces de
rádio especializados e enlaces de fibra ótica como SONET. O PPP também é usado sobre
conexões de acesso à Internet. Provedores de serviços de Internet têm usado o PPP para
acesso discado à Internet pelos clientes, uma vez que pacotes IP não podem ser
transmitidos sobre uma linha de modem por si próprios, sem algum protocolo de enlace de
dados.

PPTP (Point-to-Point Tunneling Protocol):

É um método obsoleto de rede privada virtual, com diversos problemas de

segurança. O PPTP utiliza um canal de controle sobre TCP e um túnel GRE para
encapsular pacotes do tipo PPP. A especificação do PPTP não descreve funcionalidades de
criptografia ou autenticação e requer que o PPTP seja tunelado para que funcionalidades de
segurança sejam implementadas. Contudo, a maioria das implementações de PPTP
distribuídas na família de produtos Windows, implementa vários níveis de autenticação e
criptografia nativamente como funcionalidade padrão da pilha PPTP. O uso comum deste
protocolo é prover níveis de segurança e acesso remoto comparáveis a produtos típicos de
VPN existentes.
O PPTP foi alvo de diversas análises de segurança e sérias vulnerabilidades foram
descobertas no protocolo. As vulnerabilidades conhecidas estão relacionadas com os
protocolos de autenticação utilizados em conjunto com o PPP, o projeto do protocolo MPPE
assim como a integração entre PPP e MPPE durante a autenticação e estabelecimento de
chaves de sessão.