Ética e Gestão da Segurança da Informação

Prof.: Jhonathan Silva

Assunto: Protocolos de Segurança

Protocolos de Segurança
●
É um protocolo abstrato ou concreto que realiza uma função de segurança
relacionada e aplica métodos de criptografia. Um protocolo descreve como
os algoritmos devem ser usados.
●
Um protocolo suficientemente detalhado inclui especificações sobre
estruturas e representações de dados, e em que ponto ele pode ser usado
para implementar várias versões e operações de um programa.
●
Protocolos são projetados para fornecer garantias de segurança de vários
tipos, utilizando mecanismos de criptografia.
●
O termo "protocolo" é usado em um sentido amplo, para incluir
combinações off-line e on-line.
Protocolos de Segurança
●
Protocolos são amplamente utilizados para o transporte de dados em
aplicativos de segurança. Um protocolo criptográfico geralmente incorpora,
pelo menos, alguns desses aspectos:
– Estabelecimento de chaves;
– Autenticação das entidades;
– Encriptação simétrica e mensagem de autenticação;
– Transporte de dados seguros no nível da aplicação;
– Mecanismo para garantia da irretratabilidade;
– Mecanismo para compartilhamento de chaves;
Protocolos de Segurança
●
Protocolos são amplamente utilizados para o transporte de dados em
aplicativos de segurança. Um protocolo criptográfico geralmente incorpora,
pelo menos, alguns desses aspectos:
– Estabelecimento de chaves;
– Autenticação das entidades;
– Encriptação simétrica e mensagem de autenticação;
– Transporte de dados seguros no nível da aplicação;
– Mecanismo para garantia da irretratabilidade;
– Mecanismo para compartilhamento de chaves;
Protocolos de Segurança - Exemplos
●
Internet Key Exchange
●
IPsec
●
Kerberos
●
Point to Point Protocol
●
Transport Layer Security
Protocolos de Segurança - Exemplos
●
Internet Key Exchange
– O Internet Key Exchange (IKE, às vezes IKEv1 ou IKEv2, dependendo da
versão) é o protocolo usado para configurar uma associação de segurança
(SA) no conjunto de protocolos IPsec. IKE baseia-se no protocolo Oakley e
ISAKMP.
– O IKE usa certificados X.509 para autenticação ‒ pré-compartilhados ou
distribuídos usando DNS (de preferência com DNSSEC) ‒ e uma troca de
chaves Diffie–Hellman para configurar um segredo de sessão compartilhado
do qual as chaves criptográficas são derivadas.
– Além disso, uma política de segurança para cada peer que se conectará deve
ser mantida manualmente.
Protocolos de Segurança - Exemplos
●
IPsec
– Protocolo de Segurança IP (IP Security Protocol) é uma extensão do
protocolo IP que visa a ser o método padrão para o fornecimento de
privacidade do usuário aumentando a confiabilidade das informações
fornecidas pelo usuário, integridade dos dados e a autenticidade das
informações ou prevenção de identity spoofing (garantia de que uma
pessoa é quem diz ser), quando se transferem informações através de
redes IP pela internet.
– IPsec é uma suíte de protocolos que provê segurança no nível da
camada IP para comunicações pela Internet.
Protocolos de Segurança - Exemplos
●
IPsec
– Opera na camada de rede (ou camada 3) do modelo OSI, sendo essa a
camada de mesmo nome no modelo TCP/IP. Outros protocolos de
segurança da internet como SSL e TLS operam desde a camada de
transporte (camada 4) até a camada de aplicação (camada 7).
– Isso torna o IPsec mais flexível, como pode ser usado protegendo os
protocolos TCP e UDP, mas aumentando sua complexidade e despesas
gerais de processamento porque não se pode confiar em TCP (camada 4
do modelo OSI) para controlar a confiabilidade e a fragmentação. O
IPsec é parte obrigatória do IPv6, e opcional para o uso com IPv4. O
padrão foi projetado para ser indiferente às versões do IP, à distribuição
atual difundida e às implementações do IPv4.
Protocolos de Segurança - Exemplos
●
Kerberos
– É um Protocolo de rede, que permite comunicações individuais seguras e
identificadas, em uma rede insegura. Para isso o Massachusetts Institute of
Technology (MIT) disponibiliza um pacote de aplicativos que implementam
esse protocolo.
– O protocolo Kerberos previne Eavesdropping e Replay attack, e ainda
garante a integridade dos dados. Seus projetistas inicialmente o modelaram
na arquitetura cliente-servidor, e é possível a autenticação mutua entre o
cliente e o servidor, permitindo assim que ambos se autentiquem.
– Kerberos utiliza Criptografia simétrica e necessita de um sistema de
confiança tripla.
Protocolos de Segurança - Exemplos
●
Kerberos
– O Kerberos utiliza basicamente o protocolo Needham-Schroeder. O sistema
de confiança tripla é chamado de Centro de Distribuição de Chaves (CDC),
que é composta por duas partes separadas: um Servidor de Autenticação
(SA) e Servidor de Concessão de Ticket (SCT). O Kerberos trabalha
baseado em Tickets, que identificam os usuários.
– O CDC mantém um banco de dados de chaves secretas; toda entidade de
rede – tanto clientes como servidores – compartilham uma chave secreta
que é apenas conhecido por eles mesmos e pelo CDC. O conhecimento da
chave secreta pelo CDC é necessário para a identificação das entidades de
rede. Para a comunicação entre as entidades o CDC gera uma chave de
sessão temporária, que serve para garantir a privacidade das informações.
Protocolos de Segurança – Funcionamento do Kerberos
Protocolos de Segurança - Exemplos
●
Point to Point Protocol
– Em redes de computadores, o Point-to-Point Protocol (PPP), em português Protocolo ponto-a-
ponto é um protocolo de enlace de dados (camada 2) usado para estabelecer uma conexão
direta entre dois nós. Ele pode fornecer autenticação de conexão, criptografia de transmissão e
compressão.
– O PPP é usado sobre muitos tipos de redes físicas incluindo cabo serial, linha telefônica, linha
tronco, telefone celular, enlaces de rádio especializados e enlaces de fibra ótica.
– O PPP também é usado sobre conexões de acesso à Internet. Provedores de serviços de
Internet têm usado o PPP para acesso discado à Internet pelos clientes, uma vez que pacotes IP
não podem ser transmitidos sobre uma linha de modem por si próprios, sem algum protocolo de
enlace de dados.
– Derivado do PPP; temos o Point-to-Point Protocol over Ethernet (PPPoE), em português
protocolo ponto a ponto sobre Ethernet, é usado mais comumente por Provedores de Serviços
de Internet para estabelecer uma conexão de serviços de Internet de Linha Digital de Assinante
(ou DSL) com seus clientes.
Protocolos de Segurança - Exemplos
●
Transport Layer Security
– O TLS, assim como o seu antecessor Secure Sockets Layer (SSL), é um
protocolo de segurança projetado para fornecer segurança nas comunicações
sobre uma rede de computadores.
– Várias versões do protocolo encontram amplo uso em aplicativos como
navegação na web, email, mensagens instantâneas e voz sobre IP (VoIP). Os
sites podem usar o TLS para proteger todas as comunicações entre seus
servidores e navegadores web.
– O protocolo TLS visa principalmente fornecer privacidade e integridade de
dados entre dois ou mais aplicativos de computador que se comunicam.
– Quando protegidos por TLS, conexões entre um cliente e um servidor devem
ter uma ou mais propriedades.
Protocolos de Segurança - Exemplos
●
Transport Layer Security
– A conexão é privada (ou segura) porque a criptografia simétrica é usada para
criptografar os dados transmitidos. As chaves para essa criptografia simétrica são
geradas exclusivamente para cada conexão e são baseadas em um segredo
compartilhado que foi negociado no início da sessão.
– O servidor e o cliente negociam os detalhes de qual algoritmo de criptografia e
chaves criptográficas usar antes que o primeiro byte de dados seja transmitido.
– A identidade das partes em comunicação pode ser autenticada usando criptografia
de chave pública. Essa autenticação pode ser opcional, mas geralmente é necessária
para pelo menos uma das partes (geralmente o servidor).
– A conexão é confiável porque cada mensagem transmitida inclui uma verificação de
integridade de mensagem usando um código de autenticação de mensagem para
evitar perda não detectada ou alteração dos dados durante a transmissão.
Protocolos de Segurança

●
Dúvidas?
Protocolos de Segurança - Exercício
●
1 - Sobre técnicas de segurança de tráfego na web, analise as afirmativas a seguir.
– I. IPSec pode ser usado para criptografar dados enviados entre quaisquer sistemas que
possam ser identificados por endereços IP.
– II. TLS opera na camada de rede do modelo OSI oferecendo um serviço seguro e confiável de
ponta a ponta.
– III. O protocolo HTTP pode operar em cima do protocolo SSL/TLS para obter conexão
criptografada.
Esta correto:
●
A) Apenas I;
●
B) Apenas II;
●
C) Apenas III;
●
D) Apenas I e III;
●
E) I, II e III;
Protocolos de Segurança - Exercício
●
No que diz respeito à segurança física e lógica em redes, um recurso
2 -
empregado na internet visa determinar se um usuário on-line é realmente
um ser humano e não um bot. A seguir é mostrada uma figura que ilustra
um exemplo de emprego desse recurso.
– A) Flooding;
– B) Hijacker;
– C) Spoofing;
– D) Protocolo Kerberos;
– E) Captcha;
Protocolos de Segurança - Exercício
●
3 - Considere as duas situações abaixo:
– I. O conteúdo do e-mail foi alterado antes de chegar ao destino.
– II. O conteúdo do e-mail foi lido por uma pessoa que não é o
destinatário devido.
○
Nas situações I e II, respectivamente, foram violados os seguintes
princípios básicos da segurança da informação:
●
A) confidencialidade e disponibilidade.
●
B) disponibilidade e integridade.
●
C) integridade e confidencialidade.
●
D) rastreabilidade e integridade.
●
E) disponibilidade e rastreabilidade.
Protocolos de Segurança - Exercício
●
4 - Sobre o vírus, analisar as alternativas abaixo:
●
I. É um programa ou parte de um programa de computador, normalmente malicioso, que se propaga
inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos;
●
II. Independe da execução do programa ou arquivo hospedeiro, ou seja, para que o seu computador seja
infectado, não é preciso que um programa já infectado seja executado;
●
III. Há diferentes tipos de vírus: alguns permanecem ocultos, infectando arquivos do disco e executando
uma série de atividades sem o conhecimento do usuário; há outros que ficam inativos durante certos
períodos, entrando em atividade apenas em datas específicas;
– As alternativas corretas são:
●
A) Apenas I;
●
B) Apenas II;
●
C) Apenas III;
●
D) Apenas I e III;
●
E) I, II e III;
Protocolos de Segurança - Exercício
●
5 - Considere a situação apresentada a seguir.
– 1. Maria frequentemente visita um site que é hospedado pela empresa E. O site da empresa E permite que Maria faça
login com credenciais de usuário/senha e armazene informações confidenciais, como informações de processos judiciais.
– 2. João observa que o site da empresa E contém uma determinada vulnerabilidade.
– 3. João cria um URL para explorar a vulnerabilidade e envia um e-mail para Maria, fazendo com que pareça ter vindo da
empresa E.
– 4. Maria visita o URL fornecido por João enquanto está logada no site da empresa E.
– 5. O script malicioso incorporado no URL é executado no navegador de Maria, como se viesse diretamente do servidor da
empresa E. O script rouba informações confidenciais (credenciais de autenticação, informações de processos etc.) e as
envia para o servidor da web de João sem o conhecimento de Maria.
– Um Analista de Segurança conclui, corretamente, que:
●
A) A empresa E sofreu um ataque SQL injection e Maria sofreu um ataque de e-mail sniffing.
●
B) Maria foi vítima de identity theft e João lançou um ataque SQL injection.
●
C) Maria foi vítima de e-mail spoofing e João lançou um ataque XSS.
●
D) João utilizou a técnica de sniffing e a empresa E foi vítima de defacement.
●
E) João utilizou a técnica de advance fee fraud e a empresa E foi vítima de um ataque XSS.
●